无反馈安全认证与访问控制方法技术

本发明专利技术涉及信息安全领域，公开了一种无反馈安全认证与访问控制方法，方法依据的认证控制系统包括认证端、认证服务器、若干个客户端及若干个服务端，客户端和认证服务器均设有认证值，认证服务器处于侦听状态，服务端的端口默认处于关闭状态，不接受访问请求，客户端通过认证端发送含有认证值的认证报文至认证服务器，由认证服务器认证成功后，认证服务器通知服务端执行相应服务操作，打开相应端口允许客户端访问，同时客户端和认证服务器的认证值均更新。本发明专利技术无反馈安全认证与访问控制方法采用认证服务器对所有发往服务端的访问请求进行合法性认证，并根据认证结果控制对服务端的访问，防止服务端被非法扫描、探测和访问。

【技术实现步骤摘要】
无反馈安全认证与访问控制方法
本专利技术涉及信息安全领域，具体涉及一种无反馈安全认证与访问控制方法。
技术介绍
计算机网络的开放性、交互性、分散性的等特征使人们的信息共享、信息传播等需求得到极大满足的同时，也带来了日益严重的网络安全问题。现有通信网络往往依托于开放的标准通信协议(如TCP)，信息的内容被裸露于网络上潜在的监听者面前，使得网络设备面临着被大规模恶意攻击的危险。采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，难以解决重要网络设备的安全保护问题。所有网络攻击的前提是获取目标设备的地址、协议、服务端口等信息，再根据上述信息查找漏洞并实施攻击，端口扫描是一种检测目标网络设备或者目标系统开放端口的信息收集技术，通过这些开放端口，攻击者能够获知网络设备上运行的服务，然后进一步整理、分析这些服务可能的漏洞，发起下一步攻击行为。如果网络设备只对授权用户开放端口而对非授权用户关闭，则可以有效阻止被非法设备扫描、探测和访问，有效的提升网络设备的安全性。因此，有必要对所有连接请求进行认证，并根据认证结果允许合法用户访问并拒绝所有非法的请求连接。现有典型端口认证技术包本文档来自技高网...

【技术保护点】
1.一种无反馈安全认证与访问控制方法，其特征在于：所述方法依据的认证控制系统包括认证端、认证服务器、与所述认证端连接的m个客户端及与所述认证服务器连接的n个服务端，所述方法包括如下步骤：A)将每个所述客户端的IP地址和设备码d进行登记并储存在所述认证服务器的数据库中，每个所述客户端设置有客户端认证值Kcm(i)，i为客户端认证值的序号，i为自然数，所述认证服务器对应每个所述客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i)，Kcm(1)＝Ksm(1)，每个所述客户端与所述认证服务器之间设有一个共享密钥Km；B)使所述认证服务器处于侦听状态，监听和接收所有发送给所述认证服务器的数...

【技术特征摘要】
1.一种无反馈安全认证与访问控制方法，其特征在于：所述方法依据的认证控制系统包括认证端、认证服务器、与所述认证端连接的m个客户端及与所述认证服务器连接的n个服务端，所述方法包括如下步骤：A)将每个所述客户端的IP地址和设备码d进行登记并储存在所述认证服务器的数据库中，每个所述客户端设置有客户端认证值Kcm(i)，i为客户端认证值的序号，i为自然数，所述认证服务器对应每个所述客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i)，Kcm(1)＝Ksm(1)，每个所述客户端与所述认证服务器之间设有一个共享密钥Km；B)使所述认证服务器处于侦听状态，监听和接收所有发送给所述认证服务器的数据包，每个所述服务端的端口默认处于关闭状态，不接受访问请求；C)当其中一个所述客户端x试图第z次访问所述服务端y时，所述客户端x通过认证端向所述认证服务器发送认证报文Ax(z)，并延时时间T1后连接所述服务端y，所述认证报文Ax(z)包括报文主体ax(z)及所述客户端x的设备码dx，所述报文主体ax(z)依据所述客户端x的共享密钥Kx使用密码算法C计算而来，ax(z)＝C(bx(z),H(bx(z)))，bx(z)为包括发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)的信息包，所述服务操作请求包括请求所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问，H(bx(z))为对信息包bx(z)的Hash运算值；D)所述认证服务器接收到所述客户端x通过所述认证端发送的认证报文Ax(z)后，依据所述认证报文Ax(z)的来源IP地址及所述认证报文Ax(z)内含的所述客户端x的设备码dx检查所述客户端x是否已在所述认证服务器中登记，若没有登记，则丢弃所述认证报文Ax(z)且不响应任何信息，返回所述步骤B)；若有登记，所述认证服务器查询与所述客户端x对应的共享密钥Kx及此时的服务器认证值Ksx(z)，通过共享密钥Kx使用密码算法C对所述认证报文Ax(z)的报文主体ax(z)进行解密获取信息包bx(z)和信息包bx(z)的Hash值H(bx(z))，并通过H(bx(z))对信息包bx(z)进行完整性验证，若验证失败则返回所述步骤B)；若通过验证，则从bx(z)中提取发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)，检查所述发送时间戳与所述认证服务器本地UTC时间的误差是否在预设范围内，若不是，则认证失败，返回所述步骤B)；若是，则验证Kcx(z)是否等于Ksx(z)，若相等，则认证成功，进入下一步；若Kcx(z)与Ksx(z)不相等，则采用认证服务器上一次与客户端x对应的服务器认证值Ksx(z-...

【专利技术属性】
技术研发人员：贺章擎，陆洪毅，刘玖阳，郑朝霞，
申请(专利权)人：北京智涵芯宇科技有限公司，
类型：发明
国别省市：北京,11