CN111131200B - 网络安全性检测方法及装置 - Google Patents
网络安全性检测方法及装置 Download PDFInfo
- Publication number
- CN111131200B CN111131200B CN201911267855.XA CN201911267855A CN111131200B CN 111131200 B CN111131200 B CN 111131200B CN 201911267855 A CN201911267855 A CN 201911267855A CN 111131200 B CN111131200 B CN 111131200B
- Authority
- CN
- China
- Prior art keywords
- detected
- equipment
- authentication code
- detection
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 163
- 230000006855 networking Effects 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 14
- 239000000523 sample Substances 0.000 claims description 11
- 230000002265 prevention Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全性检测方法,方法包括:从组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收待检测设备返回的包含第一鉴定码的探测响应;对第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对第二鉴定码进行解密获得第二时间戳;若第一时间戳与第二时间戳不相同,则确定待检测设备不可信,对不可信设备实施抵制措施,并全网通告,以保证组网中报文安全可靠的传输。其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种网络安全性检测方法及装置。
背景技术
网络攻击是一种由来已久的网络入侵手段,通常是非法设备先接入网络,然后采用ARP欺骗方式对网络中的正常数据进行拦截、盗取以及篡改等。
目前的防攻击方式是依靠一系列的节点设备对报文进行安全检查来保证网络安全,而一旦有一个节点设备被恶意攻击替代,该节点设备所在的组网就难以保证安全可靠的传输。
发明内容
本发明的目的是针对上述现有技术的不足提出的一种网络安全性检测方法及装置,该目的是通过以下技术方案实现的。
本发明的第一方面提出了一种网络安全性检测方法,所述方法应用于组网中的检测设备,所述方法包括:
从所述组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收所述待检测设备返回的包含第一鉴定码的探测响应;
对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;
若所述第一时间戳与所述第二时间戳不相同,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;
向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同。
本发明的第二方面提出了一种网络安全性检测方法,所述方法应用于组网中的待检测设备,所述方法包括:
接收包含检测设备标识的探测请求;
从已建立的信任表中获取所述检测设备标识对应的第一鉴定码;
向所述检测设备标识对应的设备返回包含所述第一鉴定码的探测响应,以使检测设备对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;若所述第一时间戳与所述第二时间戳不一致,则确定所述待检测设备不可信,阻止再接收所述待检测设备的流量;向所述组网广播用于指示所述待检测设备不可信的通知,以使组网中的其他设备不再接收所述待检测设备的流量;
其中,所述检测设备在生成第二鉴定码时使用的时间戳与所述待检测设备在生成第一鉴定码时使用的时间戳相同。
本发明的第三方面提出了一种网络安全性检测装置,所述装置应用于组网中的检测设备,所述装置包括:
探测模块,用于从所述组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收所述待检测设备返回的包含第一鉴定码的探测响应;
解密模块,用于对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;
检测模块,用于若所述第一时间戳与所述第二时间戳不相同,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;
通告模块,用于向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同。
本发明的第四方面提出了一种网络安全性检测装置,所述装置应用于组网中的待检测设备,所述装置包括:
接收模块,用于接收包含检测设备标识的探测请求;
获取模块,用于从已建立的信任表中获取所述检测设备标识对应的第一鉴定码;
返回模块,用于向所述检测设备标识对应的设备返回包含所述第一鉴定码的探测响应,以使检测设备对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;若所述第一时间戳与所述第二时间戳不一致,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,所述检测设备在生成第二鉴定码时使用的时间戳与所述待检测设备在生成第一鉴定码时使用的时间戳相同。
在本发明实施例中,通过在每个设备中维护一张信任表,在每个设备的信任表中记录为对端设备生成的鉴定码,并且本设备和对端设备各自生成鉴定码所使用的时间戳相同。在探测过程中,如果作为待检测设备的一侧被非法设备攻击代替,那么作为检测设备的一侧获取的信息必定不是真实的鉴定码,即不是待检测设备为检测设备生成的鉴定码,因此检测设备对获取的信息解密得到的时间戳与本地记录的鉴定码包含的时间戳也就不同,判定待检测设备不可信,对不可信设备实施抵制措施,并全网通告,以保证组网中报文安全可靠的传输。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明根据一示例性实施例示出的一种网络安全性检测方法的实施例流程图;
图2为本发明根据一示例性实施例示出的另一种网络安全性检测方法的实施例流程图;
图3为本发明根据一示例性实施例示出的一种组网结构示意图;
图4为本发明根据一示例性实施例示出的一种网络设备的硬件结构图;
图5为本发明根据一示例性实施例示出的一种网络安全性检测装置的实施例流程图;
图6为本发明根据一示例性实施例示出的另一种网络安全性检测装置的实施例流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
由于目前的防攻击方式是依靠一系列的节点设备对报文进行安全检查来保证网络安全,而一旦有一个节点设备被恶意攻击替代,该节点设备所在的组网就难以保证安全可靠的传输。
为解决上述技术问题,本发明提出一种网络安全性检测方法,以防止非法设备接入,确保设备间的可信性。
基于此,通过在每个设备中维护一张信任表以记录为对端设备生成的鉴定码,并且本设备和对端设备各自生成鉴定码所使用的时间戳相同。在探测过程中,如果作为待检测设备的一侧被非法设备攻击代替,那么作为检测设备的一侧获取的信息必定不是真实的鉴定码,即不是待检测设备为检测设备生成的鉴定码,因此检测设备对获取的信息解密得到的时间戳与本地记录的鉴定码包含的时间戳也就不同,判定待检测设备不可信,对不可信设备实施抵制措施,并全网通告,以保证组网中报文安全可靠的传输。
由上述描述可知,由于任意两个设备之间都有一对鉴定码来达成可信性,如果非法设备想成功替代某一设备,需要同时能够破解该设备与组网中其他设备之间的鉴定码,因此被替代的概率非常低。通过本技术方案可以增强组网中设备与设备间的可信度。
下面分别以组网中作为检测设备一侧和作为待检测设备一侧为例,对本发明提出的网络安全性检测方案进行详细阐述。
需要说明的是,组网中任意设备可以作为检测设备,检测与其连接的设备是否可信。相对应的,组网中任意设备也可以作为待检测设备,用于向检测设备返回探测请求所查询的鉴定码。
对于检测设备侧,图1为本发明根据一示例性实施例示出的一种网络安全性检测方法的实施例流程图,如图1所示,所述网络安全性检测方法包括如下步骤:
步骤101:从组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收待检测设备返回的包含第一鉴定码的探测响应。
在执行步骤101之前,检测设备与待检测设备在进行接口协商建立连接过程中,两设备均会通过在本地生成鉴定码以建立各自的信任表,达成共识信任机制。
对于检测设备的信任表建立过程可以是:当接收到待检测设备发送的包含待检测设备物理信息的连接请求时,基于接收连接请求的时间确定接收时间戳,并向待检测设备发送包含接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码,同时利用接收时间戳和所述待检测设备物理信息为待检测设备加密生成第二鉴定码,并将第二鉴定码和待检测设备标识添加到信任表中。
其中,检测设备在为待检测设备生成第二鉴定码时使用的时间戳和待检测设备在为检测设备生成第一鉴定码时使用的时间戳均是统一的接收时间戳。
示例性的,检测设备还可以将与待检测设备建立连接的出接口的标识记录到信任表中。
本领域技术人员可以理解的是,基于接收连接请求的时间确定接收时间戳可以通过相关时间戳生成技术实现。
示例性的,待检测设备标识可以是待检测设备发送的连接请求中携带的与检测设备协商连接的出接口的IP地址,也可以是连接请求中其他能够唯一标识待检测设备的信息,本发明对此不进行限定。
另外,检测设备与待检测设备交互的各自的物理信息可以包括桥MAC(MediaAccess Control Address,媒体存取控制位址)、出接口号等信息。
在一个例子中,检测设备接收的连接请求中还可以携带待检测设备指定的加密算法类型信息、公钥信息,从而检测设备可以通过指定的加密算法类型和公钥信息对接收时间戳和待检测设备物理信息进行加密,得到第二鉴定码,并且待检测设备也通过指定的加密算法类型和公钥信息对检测设备返回的接收时间戳和检测设备物理信息进行加密,得到第一鉴定码,从而检测设备和待检测设备之间对应有一对鉴定码。
在步骤101中,检测设备本地记录有组网中与本检测设备连接的所有设备的设备标识,因此检测设备可以定期轮询组网中与本检测设备连接的设备,将该设备作为待检测设备,并向其发送包含检测设备标识的探测请求。
其中,检测设备标识可以是与待检测设备连接的出接口的IP地址,也可以是其他能够唯一标识检测设备的信息,本发明对此不进行限定。
步骤102:对第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对第二鉴定码进行解密获得第二时间戳。
基于上述步骤101的描述,检测设备可以记录为待检测设备生成第二鉴定码时使用的加密算法类型信息,从而通过使用本地记录的加密算法对应的解密流程分别对第一鉴定码和第二鉴定码进行解密,得到两个时间戳,即第一时间戳和第二时间戳。
步骤103:若第一时间戳与第二时间戳不相同,则确定待检测设备不可信,阻止再接收待检测设备的流量。
其中,可以通过关闭与待检测设备建立连接的出接口,以阻止再接收待检测设备发送的流量。
需要说明的是,如果第一时间戳与第二时间戳不相同,表示待检测设备很可能已经被非法设备攻击,还可以将信任表中记录的待检测设备对应的状态信息修改为不可信状态。
步骤104:向组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量。
至此,完成上述图1所示的检测流程,通过图1所示的检测流程,可以防止非法设备接入,确保设备间的可信性。
对于待检测设备侧,图2为本发明根据一示例性实施例示出的另一种网络安全性检测方法的实施例流程图,在上述图1所示实施例的基础上,如图2所示,所述网络安全性检测方法包括如下步骤:
步骤201:接收包含检测设备标识的探测请求。
步骤202:从已建立的信任表中获取所述检测设备标识对应的第一鉴定码。
针对待检测设备本地建立信任表的方式,可以参见上述步骤101的相关描述,不再详述。
其中,待检测设备本地预先建立的信任表中也会记录检测设备标识、第一鉴定码以及与检测设备建立连接的出接口的标识(即在发送给检测设备的连接请求中携带的与检测设备建立协商连接的出接口)。
需要说明的是,在与检测设备建立连接过程中,待检测设备向检测设备发送连接请求之前,可以接收外部输入的加密算法类型信息和公钥信息,进而再向检测设备发送包含加密算法类型信息、公钥信息、待检测设备物理信息的连接请求。
其中,用户可以分别指定每对设备生成鉴定码使用的加密算法的类型和公钥信息,以降低非法设备的破解概率。
步骤203:向所述检测设备标识对应的设备返回包含第一鉴定码的探测响应,以使检测设备对第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对第二鉴定码进行解密获得第二时间戳;若第一时间戳与第二时间戳不一致,则确定待检测设备不可信,阻止再接收所述待检测设备的流量;向所述组网广播用于指示所述待检测设备不可信的通知,以使组网中的其他设备不再接收所述待检测设备的流量。
至此,完成上述图2所示的检测流程,通过图2所示的检测流程,可以防止非法设备接入,确保设备间的可信性。
下面以一个具体的组网实例,对本发明提出的网络安全性检测流程进行说明。
如图3所示的组网结构,包括4个设备,分别为设备A、设备B、设备C和设备D,并且两两设备间均有连接关系。
假设表1为设备A中建立的信任表,表2为设备B中建立的信任表,其中,鉴定码A1与鉴定码B1包含的时间戳相同,表1和表2如下所示。
| 设备标识 | 鉴定码 | 出接口标识 | 可信状态 |
| 设备B | 鉴定码A1 | Port1 | 可信 |
| 设备C | 鉴定码A2 | Port2 | 可信 |
| 设备D | 鉴定码A3 | Port3 | 可信 |
表1
| 设备标识 | 鉴定码 | 出接口标识 | 可信状态 |
| 设备A | 鉴定码B1 | Port11 | 可信 |
| 设备C | 鉴定码B2 | Port22 | 可信 |
| 设备D | 鉴定码B3 | Port33 | 可信 |
表2
其中,如果组网中设备间协商的加密算法类型和公钥不同,在每个设备本地还需要记录与其他设备协商的加密算法类型信息和公钥信息,以用于探测过程中解密使用。
如设备A需要分别记录与设备B、设备C及设备D之间协商的加密算法类型信息和公钥信息,如表3所示,为设备A记录的协商信息。
| 两两协商 | 鉴定码加解密信息 |
| 设备B | 加密算法1,公钥1 |
| 设备C | 加密算法2,公钥2 |
| 设备D | 加密算法3,公钥3 |
表3
下面以设备A为检测设备,设备A选取设备B为待检测设备为例:
1)设备A向设备B发送包含设备标识为设备A的探测请求。
2)设备B利用设备A查找表2,查找到设备A对应的鉴定码B1时,向设备A返回包含鉴定码B1的探测响应。
3)设备A对鉴定码B1进行解密获得第一时间戳,并利用设备标识为设备B查找表1,查找到设备B对应的鉴定码A1,并对鉴定码A1进行解密获得第二时间戳。
在一例子中,设备A可以利用设备B查找表3,查找到设备B对应的加密算法1和公钥1,并通过加密算法1对应的解密流程和公钥1,分别对鉴定码A1、鉴定码B1进行解密。
4)将第一时间戳与第二时间戳进行比较,若不相同,则确定设备B为不可信设备,阻止再接收设备B的流量,并向组网广播用于指示设备B不可信的通知,以使组网中的设备C和设备D不再接收设备B的流量。
图4为本发明根据一示例性实施例示出的一种网络设备的硬件结构图,该网络设备包括:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402和机器可读存储介质403通过总线404完成相互间的通信。处理器402通过读取并执行机器可读存储介质403中与网络安全性检测方法的控制逻辑对应的机器可执行指令,可执行上文描述的网络安全性检测方法,该方法的具体内容参见上述实施例,此处不再累述。
本发明中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Random Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
与前述网络安全性检测方法的实施例相对应,本发明还提供了网络安全性检测装置的实施例。
图5为本发明根据一示例性实施例示出的一种网络安全性检测装置的实施例流程图,基于上述图1至图3所示实施例基础上,所述网络安全性检测装置应用于组网中的检测设备,所述装置包括:
探测模块510,用于从所述组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收所述待检测设备返回的包含第一鉴定码的探测响应;
解密模块520,用于对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;
检测模块530,用于若所述第一时间戳与所述第二时间戳不相同,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;
通告模块540,用于向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同。
在一可选实现方式中,所述装置还包括(图5中未示出):
信任表建立模块,用于接收所述待检测设备发送的包含待检测设备物理信息的连接请求;基于接收所述连接请求的时间确定接收时间戳,并向待检测设备发送包含所述接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码;利用所述接收时间戳和所述待检测设备物理信息为所述待检测设备加密生成第二鉴定码;将所述第二鉴定码和待检测设备标识添加到信任表中。
在一可选实现方式中,所述装置包括(图5中未示出):
防攻击模块,用于在所述检测模块530确定所述待检测设备不可信之后,将所述信任表中记录的所述待检测设备对应的状态信息修改为不可信状态。
图6为本发明根据一示例性实施例示出的另一种网络安全性检测装置的实施例流程图,基于上述图1至图3所示实施例基础上,所述网络安全性检测装置应用于组网中的待检测设备,所述装置包括:
接收模块610,用于接收包含检测设备标识的探测请求;
获取模块620,用于从已建立的信任表中获取所述检测设备标识对应的第一鉴定码;
返回模块630,用于向所述检测设备标识对应的设备返回包含所述第一鉴定码的探测响应,以使检测设备对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;若所述第一时间戳与所述第二时间戳不一致,则确定所述待检测设备不可信,阻止再接收所述待检测设备的流量;向所述组网广播用于指示所述待检测设备不可信的通知,以使组网中的其他设备不再接收所述待检测设备的流量;
其中,所述检测设备在生成第二鉴定码时使用的时间戳与所述待检测设备在生成第一鉴定码时使用的时间戳相同。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种网络安全性检测方法,其特征在于,所述方法应用于组网中的检测设备,所述方法包括:
从所述组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收所述待检测设备返回的包含第一鉴定码的探测响应;
对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;
若所述第一时间戳与所述第二时间戳不相同,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;
向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同;其中,所述信任表的建立过程包括:
接收所述待检测设备发送的包含待检测设备物理信息的连接请求;
基于接收所述连接请求的时间确定接收时间戳,并向待检测设备发送包含所述接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码;
利用所述接收时间戳和所述待检测设备物理信息为所述待检测设备加密生成第二鉴定码;
将所述第二鉴定码和待检测设备标识添加到信任表中。
2.根据权利要求1所述的方法,其特征在于,在确定所述待检测设备不可信之后,所述方法包括:
将所述信任表中记录的所述待检测设备对应的状态信息修改为不可信状态。
3.一种网络安全性检测方法,其特征在于,所述方法应用于组网中的待检测设备,所述方法包括:
接收包含检测设备标识的探测请求;
从已建立的信任表中获取所述检测设备标识对应的第一鉴定码;
向所述检测设备标识对应的设备返回包含所述第一鉴定码的探测响应,以使检测设备对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;若所述第一时间戳与所述第二时间戳不一致,则确定所述待检测设备不可信,阻止再接收所述待检测设备的流量;向所述组网广播用于指示所述待检测设备不可信的通知,以使组网中的其他设备不再接收所述待检测设备的流量;
其中,所述检测设备在生成第二鉴定码时使用的时间戳与所述待检测设备在生成第一鉴定码时使用的时间戳相同;
所述信任表的建立过程包括:
接收所述待检测设备发送的包含待检测设备物理信息的连接请求;
基于接收所述连接请求的时间确定接收时间戳,并向待检测设备发送包含所述接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码;
利用所述接收时间戳和所述待检测设备物理信息为所述待检测设备加密生成第二鉴定码;
将所述第二鉴定码和待检测设备标识添加到信任表中。
4.一种网络安全性检测装置,其特征在于,所述装置应用于组网中的检测设备,所述装置包括:
探测模块,用于从所述组网中选取待检测设备,并向待检测设备发送包含本检测设备标识的探测请求,接收所述待检测设备返回的包含第一鉴定码的探测响应;
解密模块,用于对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;
检测模块,用于若所述第一时间戳与所述第二时间戳不相同,则确定所述待检测设备不可信,阻止再接收待检测设备的流量;
通告模块,用于向所述组网广播用于指示待检测设备不可信的通知,以使组网中的其他设备不再接收待检测设备的流量;
其中,本检测设备在生成第二鉴定码时使用的时间戳与待检测设备在生成第一鉴定码时使用的时间戳相同;
信任表建立模块,用于接收所述待检测设备发送的包含待检测设备物理信息的连接请求;基于接收所述连接请求的时间确定接收时间戳,并向待检测设备发送包含所述接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码;利用所述接收时间戳和所述待检测设备物理信息为所述待检测设备加密生成第二鉴定码;将所述第二鉴定码和待检测设备标识添加到信任表中。
5.根据权利要求4所述的装置,其特征在于,所述装置包括:
防攻击模块,用于在所述检测模块确定所述待检测设备不可信之后,将所述信任表中记录的所述待检测设备对应的状态信息修改为不可信状态。
6.一种网络安全性检测装置,其特征在于,所述装置应用于组网中的待检测设备,所述装置包括:
接收模块,用于接收包含检测设备标识的探测请求;
获取模块,用于从已建立的信任表中获取所述检测设备标识对应的第一鉴定码;
返回模块,用于向所述检测设备标识对应的设备返回包含所述第一鉴定码的探测响应,以使检测设备对所述第一鉴定码进行解密获得第一时间戳,并从已建立的信任表中获取待检测设备标识对应的第二鉴定码,并对所述第二鉴定码进行解密获得第二时间戳;若所述第一时间戳与所述第二时间戳不一致,则确定所述待检测设备不可信,阻止再接收所述待检测设备的流量;向所述组网广播用于指示所述待检测设备不可信的通知,以使组网中的其他设备不再接收所述待检测设备的流量;
其中,所述检测设备在生成第二鉴定码时使用的时间戳与所述待检测设备在生成第一鉴定码时使用的时间戳相同;
信任表建立模块,用于接收所述待检测设备发送的包含待检测设备物理信息的连接请求;基于接收所述连接请求的时间确定接收时间戳,并向待检测设备发送包含所述接收时间戳和本检测设备物理信息的连接响应,以使待检测设备利用本检测设备物理信息和接收时间戳为本检测设备加密生成第一鉴定码;利用所述接收时间戳和所述待检测设备物理信息为所述待检测设备加密生成第二鉴定码;将所述第二鉴定码和待检测设备标识添加到信任表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267855.XA CN111131200B (zh) | 2019-12-11 | 2019-12-11 | 网络安全性检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267855.XA CN111131200B (zh) | 2019-12-11 | 2019-12-11 | 网络安全性检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131200A CN111131200A (zh) | 2020-05-08 |
| CN111131200B true CN111131200B (zh) | 2022-06-28 |
Family
ID=70498592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911267855.XA Active CN111131200B (zh) | 2019-12-11 | 2019-12-11 | 网络安全性检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131200B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| CN102647461A (zh) * | 2012-03-29 | 2012-08-22 | 奇智软件(北京)有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN104184580A (zh) * | 2013-05-21 | 2014-12-03 | 北京神州泰岳软件股份有限公司 | 一种网络操作方法和网络操作系统 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
| CN110445809A (zh) * | 2019-09-03 | 2019-11-12 | 深圳绿米联创科技有限公司 | 网络攻击检测方法、装置、系统、电子设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9306693B2 (en) * | 2013-11-15 | 2016-04-05 | Broadcom Corporation | Time synchronization architecture in a network device |
| CN105450406B (zh) * | 2014-07-25 | 2018-10-02 | 华为技术有限公司 | 数据处理的方法和装置 |
-
2019
- 2019-12-11 CN CN201911267855.XA patent/CN111131200B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| CN102647461A (zh) * | 2012-03-29 | 2012-08-22 | 奇智软件(北京)有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN104184580A (zh) * | 2013-05-21 | 2014-12-03 | 北京神州泰岳软件股份有限公司 | 一种网络操作方法和网络操作系统 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
| CN110445809A (zh) * | 2019-09-03 | 2019-11-12 | 深圳绿米联创科技有限公司 | 网络攻击检测方法、装置、系统、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于证书权威(CA)中心的时间戳服务系统的实现;朱国东等;《中国安全科学学报》;20041230(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131200A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8719938B2 (en) | Detecting network intrusion using a decoy cryptographic key | |
| KR101252707B1 (ko) | 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 | |
| US7653713B2 (en) | Method of measuring round trip time and proximity checking method using the same | |
| KR20130086387A (ko) | 훼손된 컴퓨팅 장치의 위치에 대한 정보를 안전하게 통신하기 위한 방법 | |
| US9515827B2 (en) | Key management device, communication device, communication system, and computer program product | |
| WO2006118391A1 (en) | Method and apparatus for checking proximity between devices using hash chain | |
| CN111107087B (zh) | 报文检测方法及装置 | |
| Chen et al. | Enhanced authentication protocol for the Internet of Things environment | |
| Staudemeyer et al. | Security and Privacy for the Internet of Things Communication in the SmartCity | |
| CN115967941B (zh) | 电力5g终端认证方法及认证系统 | |
| CN104410580A (zh) | 可信安全WiFi路由器及其数据处理方法 | |
| CN112448808B (zh) | 通信方法、设备、接入点、服务器、系统及存储介质 | |
| CN111294793A (zh) | 一种无线传感网中身份认证的数据隐私保护方法 | |
| CN111131200B (zh) | 网络安全性检测方法及装置 | |
| EP3592055B1 (en) | Methods for securely validating localization of a wireless communication device, and related devices | |
| US20220052842A1 (en) | Methods and devices for remote integrity verification | |
| CN115567200B (zh) | http接口防刷方法、系统及相关设备 | |
| JP5949909B2 (ja) | ゲートウェイおよび地震検知方法 | |
| Renault et al. | Communication security in vanets based on the physical unclonable function | |
| CN111611574A (zh) | 信息获取方法、装置、设备和系统 | |
| CN118378310B (zh) | 一种区块链系统的检测方法及系统 | |
| JP2003244131A (ja) | 鍵管理装置、鍵管理方法、鍵管理プログラムおよび当該鍵管理プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| Wu et al. | A comprehensive set of security measures for IOT | |
| CN108173828B (zh) | 数据传输方法、装置及存储介质 | |
| US20110023134A1 (en) | Network based casualty loss prevention system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |