身份认证方法、装置和电子设备制造方法及图纸

本发明专利技术公开了一种身份认证方法、装置和电子设备。该方法包括：接收外网主机设备的消息回复请求，消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复；发送认证请求至外网主机设备，以请求获取外网主机设备的身份认证信息；接收认证请求的响应消息，以获取外网主机设备的身份认证信息；基于预先存储的与外网主机设备对应的密码，计算外网主机设备的身份认证信息；对响应消息中的身份认证信息与本服务器计算得到的身份认证信息进行对比，若对比结果一致，则确定对外网主机设备认证通过，并发送外网主机设备回复的消息至内网设备。根据本发明专利技术实施例提供的方法，可以完善NAT对于外网发送数据包的主机进行身份认证的机制。

【技术实现步骤摘要】
身份认证方法、装置和电子设备
本专利技术涉及通信
，具体涉及一种身份认证方法、装置和电子设备。
技术介绍
网络地址转换(NetworkAddressTranslation，NAT)是用于为互联网协议(InternetProtocol，IP)地址不足而提供的解决方法，并可以避免来自网络外部的攻击。该方法可以在内部网络(例如私有专用网)的私网IP地址连接到外部网的公网IP地址的路由器上安装NAT软件，将内部IP地址集中在该路由器设备上，通过网络地址转换隐藏内部IP地址，让任何离开内部网络的数据帧都只有该路由器的源地址，而不是发送消息的内部网络的实际源地址。伴随着云计算等技术的发展，网络环境也越来越复杂，在复杂的网络环境中，对于需要完善NAT中对于外网数据包来源的认证机制则更为必要。
技术实现思路
为此，本专利技术提供一种身份认证方法、装置和电子设备，以解决现有技术中由于缺少对外网数据包的来源进行身份认证而导致的安全认证问题。为了实现上述目的，本专利技术第一方面提供一种身份验证方法，应用于基于网络地址转换协议的服务器，包括：接收外网主机设备的消息回复请求，所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复；发送认证请求至所述外网主机设备，所述认证请求用于请求获取所述外网主机设备的身份认证信息；接收所述认证请求的响应消息，从所述响应消息中获取所述外网主机设备的身份认证信息；基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息；对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比，若对比结果一致，则确定对所述外网主机设备认证通过，并发送所述外网主机设备回复的消息至所述内网设备。本专利技术第二方面提供一种身份认证，应用于外网主机设备，该方法包括：发送消息回复请求至基于网络地址转换协议的服务器，所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复；响应于所述服务器的认证请求，基于预先存储的与所述服务器设备对应的密码，计算本设备的身份认证信息；生成并发送所述认证请求的响应消息至所述服务器，以使所述服务器对本设备进行身份认证；其中，所述响应消息中包含本设备的身份认证信息，且本设备的身份认证信息在所述服务器中被用于：与所述服务器计算得到的本设备的身份认证信息进行对比，以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网设备。本专利技术第三方面提供一种身份认证装置，包括：应用于基于网络地址转换协议的服务器；该装置包括：回复消息接收模块，用于接收外网主机设备的消息回复请求，所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复；认证请求发送模块，用于发送认证请求至所述外网主机设备，所述认证请求用于请求获取所述外网主机设备的身份认证信息；响应消息接收模块，用于接收所述认证请求的响应消息，从所述响应消息中获取所述外网主机设备的身份认证信息；认证信息计算模块，用于基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息；认证信息比对模块，用于对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比，若对比结果一致，则确定对所述外网主机设备认证通过，并发送所述外网主机设备回复的消息至所述内网设备。本专利技术第四方面提供一种身份认证装置，应用于外网设备，该装置包括：回复消息发送模块，用于发送消息回复请求至基于网络地址转换协议的服务器，所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复；认证请求响应模块，用于响应于所述服务器的认证请求，基于预先存储的与所述服务器设备对应的密码，计算本设备的身份认证信息；响应消息发送模块，用于生成并发送所述认证请求的响应消息至所述服务器，以使所述服务器对本设备进行身份认证；其中，所述响应消息中包含本设备的身份认证信息，且本设备的身份认证信息在所述服务器中被用于：与所述服务器计算得到的本设备的身份认证信息进行对比，以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网设备。本专利技术第五方面提供一种电子设备，包括：一个或多个处理器；存储器，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现本申请实施例中的任意一种方法。本专利技术具有如下优点：根据本专利技术实施例中的身份认证方法、装置和电子设备，在接收到外网主机发送至内网主机的消息时，通过对外网主机进行身份认证，完善NAT对于外网发送数据包的主机进行身份认证的机制。附图说明附图是用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本专利技术，但并不构成对本专利技术的限制。图1是示出根据本专利技术实施例的身份认证方法的流程图；图2是示出根据本专利技术另一实施例的身份认证方法的流程图；图3示出本申请一实施例的网络架构示意图；图4示出了根据本专利技术一实施例提供的身份认证装置的结构示意图；图5是示出了根据本专利技术另一实施例的身份认证装置的结构示意图；图6是示出能够实现根据本专利技术实施例的身份认证方法和装置的计算设备的示例性硬件架构的结构图。具体实施方式以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本专利技术，并不用于限制本专利技术。对于本领域技术人员来说，本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。在本申请实施例中，NAT是位于一个内部网络和互联网之间的网管，或者是位于内部网络和另一个网络之间的网关，执行透明的路由选择和地址转换。在本公开实施例中，可以将位于内部网络或专用网络的主机设备称为是内网主机设备，将位于外部网络或另一个网络的主机设备称为是为外网主机设备。通过将内部地址集中在一个设备上，NAT隐藏了内部地址，任何离开网络的数据帧都只有那台设备的源地址，从而隐藏了实际内部计算机的地址。由于这个原因，NAT很大程度上保障了安全利益。但是当外部主机响应内部主机而向内网发送数据包的时候，数据包通过NAT时，NAT并不对数据包进行扫描以发现恶意特征，也不会对外网中发送数据包的主机进行身份认证，在这种情况下很容易会发生攻击者利用外部主机发送恶意数据包进入内网，从而对内网安全构成威胁的情况。目前针对NAT中不对外来数据包进行扫描以发现恶意特征的情况并没有实际解决方法，如果恶本文档来自技高网...

【技术保护点】
1.一种身份认证方法，其特征在于，应用于基于网络地址转换协议的服务器，所述方法包括：/n接收外网主机设备的消息回复请求，所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复；/n发送认证请求至所述外网主机设备，所述认证请求用于请求获取所述外网主机设备的身份认证信息；/n接收所述认证请求的响应消息，从所述响应消息中获取所述外网主机设备的身份认证信息；/n基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息；/n对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比，若对比结果一致，则确定对所述外网主机设备认证通过，并发送所述外网主机设备回复的消息至所述内网设备。/n

【技术特征摘要】
1.一种身份认证方法，其特征在于，应用于基于网络地址转换协议的服务器，所述方法包括：
接收外网主机设备的消息回复请求，所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复；
发送认证请求至所述外网主机设备，所述认证请求用于请求获取所述外网主机设备的身份认证信息；
接收所述认证请求的响应消息，从所述响应消息中获取所述外网主机设备的身份认证信息；
基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息；
对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比，若对比结果一致，则确定对所述外网主机设备认证通过，并发送所述外网主机设备回复的消息至所述内网设备。


2.根据权利要求1所述的方法，其特征在于，在所述接收外网主机设备的消息回复请求之前，所述方法还包括：
接收内网主机设备的消息发送请求，对所述消息发送请求中的请求发送消息的数据帧首部进行修改，以将所述消息携带的内部地址修改为基于网络地址转换协议的网络地址，得到经地址转换后的请求发送消息；
发送所述经地址转换后的请求发送消息至所述外网主机设备。


3.根据权利要求1所述的方法，其特征在于，
所述认证请求中包括本服务器生成的随机数据和预设的本服务器的认证用户名；所述认证请求的响应消息中包括：所述外网主机设备的认证用户名和身份认证信息；其中，
所述响应消息中的身份认证信息，包括所述外网主机设备在接收到所述认证请求后，根据所述随机数据和所述外网主机设备存储的与本服务器的认证用户名对应的密码，生成的哈希值；
所述基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息，包括：
在本服务器的本地数据中查找预先存储的与所述外网主机设备的认证用户名对应的密码；
根据所述随机数据和查找到的与所述外网主机设备的认证用户名对应的密码，生成第二哈希值，作为本服务器计算得到的所述身份认证信息。


4.根据权利要求3所述的方法，其特征在于，
若所述认证请求中还包括认证序列号，则所述认证请求的响应消息中包括：所述认证序列号、所述外网主机设备的认证用户名和所述外网主机设备的身份认证信息；其中，
所述响应消息中的身份认证信息，包括所述外网主机设备在接收到所述认证请求后，根据所述认证序列号、所述随机数据和所述外网主机设备存储的与本服务器的认证用户名对应的密码，生成的哈希值；
所述基于预先存储的与所述外网主机设备对应的密码，计算所述外网主机设备的身份认证信息，包括：
在本服务器的本地数据中查找预先存储的与所述外网主机设备的认证用户名对应的密码；
根据所述认证序列号、所述随机数据和查找到的与所述外网主机设备的认证用户名对应的密码，生成第四哈希值，作为所述响应消息中的身份认证信息。


5.一种身份认证方法，其特征在于，应用于外网主机设备，所述方法包括：
发送消息回复请求至基于网络地址转换协议的服务器，所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复；
响应于所述服务器的认证请求，基于预先存储的与所述服务器设备对应的密码，计算本设备的身份认证信息；
生成并发送所述认证请求的响应消息至所述服务器，以使所述服务器对本设备进行身份认证；
其中，所述响应消息...

【专利技术属性】
技术研发人员：陈璐，陶冶，刘伟，智晓欢，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11