一种网络访问控制方法、系统、电子设备及程序产品技术方案

技术编号：40078454 阅读：7 留言：0更新日期：2024-01-17 02:00

本发明专利技术提供了一种网络访问控制方法，包括，接受请求数据包：若所述请求数据包中存在识别信息，则根据所述识别信息匹配至该请求发送方对应的认证密钥；基于认证密钥计算验证值并与所述请求报文中基于认证密钥计算的待验证值对比；验证值与待验证值对比一致，则建立连接或维持连接；验证值与待验证对比不一致，则不做响应或结束连接；若所述请求数据包中不存在识别信息，则对该请求不做响应。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络通信安全,具体涉及到一种网络访问控制方法方法、系统、电子设备及程序产品。

技术介绍

1、现有的网络访问控制方案中，无论防火墙还是代理方式，通常都部署在网络入口和关键节点上，以保护内部网络免受外部威胁。

2、只有流量经过防火墙时，才能进行控制过滤，因而无法控制网络内部终端之间的流量和互访。如果终端位于防火墙外的internet上，也无法进行保护。

3、网络访问控制通常都是依据ip地址进行访问控制，用ip地址代表了访问终端的身份。攻击者能很容易地盗用ip地址，依据ip地址进行访问控制并不能可靠地识别出源终端的真实性。

技术实现思路

1、本专利技术解决的问题是，在终端上进行访问源控制，使得访问控制不再受网络拓扑的约束。

2、本方案中使用公钥/私钥证书来标识终端身份，通过验证认证数据的方式，使网络访问控制不再依据ip地址，而是依据终端身份进行访问控制。

3、为解决上述问题，本专利技术采用了如下技术方案：

4、一种网络访问控制方法，包括：

5、接受请求数据包；

6、若所述请求数据包中存在识别信息，

7、则根据所述识别信息匹配至该请求发送方对应的认证密钥；

8、基于认证密钥计算验证值并与所述请求报文中基于认证密钥计算的待验证值对比；

9、验证值与待验证值对比一致，则建立连接或维持连接；

10、验证值与待验证对比不一致，则不做响应或结束连接；>

11、若所述请求数据包中不存在识别信息，则对该请求不做响应。

12、进一步的，所述识别信息由控制中心基于注册请求生成并下发至请求终端。

13、进一步的，所述认证密钥基于认证应答信息解密生成，所述认证应答信息由控制中心基于认证请求生成并下发。

14、进一步的，根据所述识别信息匹配至唯一认证密钥。

15、进一步的，所述认证密钥获得方法为：上传公私密钥对中公钥到所述控制中心，

16、保留所述公私密钥对中私钥在所述公私密钥对生成终端；

17、所述控制中心随机产生认证密钥；

18、所述控制中心用所述公钥对认证密钥进行加密并下发至所述生成终端；

19、所述生成终端基于所述公私密钥对中私钥对认证密钥密文进行解密得到对应认证密钥。

20、进一步的，可信终端按照预设时长向所述控制中心请求认证密钥。

21、进一步的，所述请求认证密钥的方法为：

22、基于预设时长，所述控制中心响应于至少一可信终端发送的请求；

23、基于访问策略，所述控制中心查找所有可信终端认证密钥，并基于请求方公钥加密所有可信终端认证密钥并下发至发送请求的可信终端；

24、基于自身私钥对认证密钥解密，发送请求的可信终端获取所有可信终端的认证密钥。

25、本专利技术还提供了一种网络控制系统，包括：

26、控制中心：所述控制中心响应于注册请求，生成识别信息下发至该注册请求发送终端；

27、所述控制中心获取注册请求报文中请求注册终端的公钥；

28、所述控制中心使用所述公钥加密认证密钥并发送至生成所述公钥终端；

29、所述控制中心基于请求查找可信设备认证密钥并根据预设规则发送给请求方。

30、本专利技术还提供了一种电子设备，包括：

31、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述网络访问控制方法。

32、本专利技术还提供了一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现所述网络访问控制方法。

33、本专利技术的有益效果是：

34、1、在控制中心集中配置访问策略，在终端上实现通信访问控制，只要终端能访问到控制中心，就能获得对应的访问控制规则，不受制于网络拓扑结构；

35、2、终端位于外网时，只要能访问到控制中心，访问控制规则依然有效。

36、3、能实现内部网络终端之间的访问控制或隔离。

37、4、能实现虚拟机之间的访问控制或隔离。

38、5、使用私钥证书标识终端身份，有效避免了ip地址欺骗。

39、6、在通信初始过程中携带了签名数据，通过验证签名数据，更准确更可靠的鉴别访问源终端的身份。

本文档来自技高网...

【技术保护点】

1.一种网络访问控制方法，其特征在于，包括：

2.根据权利要求1所述的网络访问控制方法，其特征在于，所述识别信息由控制中心基于注册请求生成并下发至请求终端。

3.根据权利要求1所述的网络访问控制方法，其特征在于，所述认证密钥基于认证应答信息解密生成，所述认证应答信息由控制中心基于认证请求生成并下发。

4.根据权利要求1中任一项所述的网络访问控制方法，其特征在于，根据所述识别信息匹配至唯一认证密钥。

5.根据权利要求3所述的网络访问控制方法，其特征在于，所述认证密钥获得方法为：上传公私密钥对中的公钥到所述控制中心，保留所述公私密钥对中的私钥在所述公私密钥对生成终端；

6.按照权利要求1所述的网络访问控制方法，其特征在于，可信终端按照预设时长向所述控制中心请求认证密钥。

7.按照权利要求6所述的网络访问控制方法，其特征在于，所述请求认证密钥的方法为：

8.一种网络控制系统，其特征在于,包括：

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所

10.一种计算机程序产品，包括计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现权利要求1至7任一所述方法。

...

【技术特征摘要】

1.一种网络访问控制方法，其特征在于，包括：

2.根据权利要求1所述的网络访问控制方法，其特征在于，所述识别信息由控制中心基于注册请求生成并下发至请求终端。

4.根据权利要求1中任一项所述的网络访问控制方法，其特征在于，根据所述识别信息匹配至唯一认证密钥。

5.根据权利要求3所述的网络访问控制方法，其特征在于，所述认证密钥获得方法为：上传公私密钥对中的公钥到所述控制中心，保留所述公私密钥对中的私钥在所...

【专利技术属性】
技术研发人员：李健，宋巍，王宁，宋思杨，
申请(专利权)人：北京鼎震科技有限责任公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人