[go: up one dir, main page]

CN106411817A - 时间戳认证系统及方法 - Google Patents

时间戳认证系统及方法 Download PDF

Info

Publication number
CN106411817A
CN106411817A CN201510456155.0A CN201510456155A CN106411817A CN 106411817 A CN106411817 A CN 106411817A CN 201510456155 A CN201510456155 A CN 201510456155A CN 106411817 A CN106411817 A CN 106411817A
Authority
CN
China
Prior art keywords
server
packet
force
force renew
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510456155.0A
Other languages
English (en)
Inventor
黄川哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ambit Microsystems Shanghai Ltd
Original Assignee
Ambit Microsystems Shanghai Ltd
Hon Hai Precision Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ambit Microsystems Shanghai Ltd, Hon Hai Precision Industry Co Ltd filed Critical Ambit Microsystems Shanghai Ltd
Priority to CN201510456155.0A priority Critical patent/CN106411817A/zh
Publication of CN106411817A publication Critical patent/CN106411817A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,该系统包括:生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。本发明还提供一种时间戳认证方法。通过本发明,可提高客户端与服务器之间的安全性。

Description

时间戳认证系统及方法
技术领域
本发明涉及一种时间戳认证系统和方法。
背景技术
现如今,当客户端连接到服务器时,服务器根据其上配置的DHCP协议自动为客户端分配IP地址等信息。当服务器上的DHCP协议的配置变更以后,服务器向客户端发送Force Renew数据包,通知客户端向服务器重新申请IP地址等信息。但是客户端不会对Force Renew数据包进行验证,使得当客户端接收到虚假服务器发送的Force Renew数据包后,客户端会向虚假服务器申请IP地址,从而出现安全问题。
发明内容
鉴于以上内容,有必要提供一种时间戳认证系统及方法,使得客户端可以验证Force Renew数据包是否是从虚假服务器发出。
一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,该系统包括:生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
一种时间戳认证方法,应用于服务器中,该服务器与客户端通信连接,该方法包括:生成步骤,在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述ForceRenew数据包中包含时间戳FTime、时间差FTD;加密步骤,以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送步骤,将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈步骤,在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
相较于现有技术,本发明中的服务器生成的Force Renew数据包包含时间戳FTime以及时间差FTD,且Force Renew数据包被服务器以私有秘钥进行加密。客户端可根据连续两个Force Renew数据包中的FTime以及FTD验证该Force Renew数据包是否是从虚假服务器中发出。通过本技术,提高了客户端与服务器之间的安全性。
附图说明
图1是本发明时间戳认证系统的较佳实施例的运行环境示意图。
图2是本发明时间戳认证方法的较佳实施例的流程图。
主要元件符号说明
服务器 1
时间戳认证系统 10
生成模块 101
加密模块 102
发送模块 103
反馈模块 104
第一通信装置 11
第一处理器 12
第一存储装置 13
客户端 2
第二通信装置 21
第二处理器 22
第二存储装置 23
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为便于理解,以下对本发明所涉及的术语做简要说明:
非对称加密中的加密和解密需要以两个不同的秘钥进行处理,两个秘钥分别为:公有秘钥和私有秘钥。若以其中一个秘钥加密,则需要以另一个秘钥进行解密。例如以公有秘钥进行加密,则需要以私有秘钥进行解密。反之以私有秘钥进行加密,则需要以公有秘钥进行解密。
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)是一个局域网的网络协议。配置于客户端和服务器上,当客户端连接到服务器时,服务器自动为客户端分配IP地址。网络管理员可通过服务器管理内部网络。
当服务器上的DHCP的配置变更后,连接到该服务器上的客户端需要重新获取IP地址等信息。其过程如下:服务器以单播的方式向连接到该服务器的客户端发送数据包以通知客户端重新获取IP地址等信息,该数据包为Force Renew。当客户端收到服务器发送的Force Renew数据包后,向服务器发送请求重新配置的申请,也即Renew数据包。当服务器收到客户端发送的Renew数据包后,向客户端做出回应,也即向客户端发送Reply数据包。客户端根据接收到的Reply数据包变更相关的配置,例如变更IP地址等。
参阅图1所示,是本发明时间戳认证系统10的较佳实施例的运行环境示意图。所述时间戳认证系统10运行于服务器1中,该服务器1与多个客户端2相连接。所述服务器1包含第一通信装置11,每个客户端2包含一个第二通信装置21,所述服务器1与客户端2通过第一通信装置11与第二通信装置21通信连接。所述第一通信装置11与第二通信装置21可以是WiFi设备、无线网卡等能够实现无线网络连接的设备,也可以是其他实现有线网络连接的设备。
所述服务器1还包括,但不限于,第一处理器12以及第一存储装置13。所述客户端还包含第二处理器22以及第二存储装置23。所述第一存储装置13以及第二存储装置23可以是内存等内部存储设备,也可以是智能媒体卡(Smart Media Card)、安全数字卡(Secure Digital Card)、快闪存储器卡(Flash Card)等外部储存设备。所述服务器1是配置有动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)的DHCP服务器。所述客户端2可以是手机、平板电脑、路由器等包含IP地址的设备。
在本实施例中,本发明所述的时间戳认证系统10可以被分割成一个或多个模块,所述一个或多个模块均被存储于第一存储装置13中,并由一个或多个第一处理器12(本实施例为一个处理器)所执行,以完成本发明。参阅图1所示,本发明所述的时间戳认证系统10被分割成生成模块101、加密模块102、发送模块103以及反馈模块104。本发明所称的模块是指能够完成特定功能的一系列计算机程序段,比程序更适合于描述所述时间戳认证系统10在服务器1中的执行过程。以下将结合图2的流程图来描述各个模块的具体功能。
参阅图2所示,是本发明时间戳认证方法的较佳实施例的流程图。在本实施例中,根据不同的需求,图2所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。
当服务器1上的DHCP的配置变更以后,步骤S20,生成模块101依次生成至少两个Force Renew数据包。所述Force Renew数据包中包含时间戳FTime、时间差FTD以及服务器识别码ServerID等信息,且后生成的Force Renew数据包中的时间戳FTime是其前一个Force Renew数据包中的时间戳FTime与时间差FTD的和。例如生成模块101生成的第一个Force Renew数据包的FTime为10000,FTD为20,则生成的第二个Force Renew数据包的FTime必须为10000+20,也即10020。
在本实施例中,生成模块101生成的各个Force Renew数据包中的时间差FTD不是一个固定的值。例如,生成模块101每次从某一数值范围内随机取一个整数作为一个Force Renew数据包的FTD。例如生成模块101从10到100之间随机取一个整数作为Force Renew数据包的FTD。在其他实施例中,生成模块101生成的各个Force Renew数据包中的时间差FTD也可以是某一固定的值。
步骤S21,加密模块102以服务器1的私有秘钥对生成的Force Renew数据包进行非对称加密。所述服务器1中的第一存储装置13中存储有该服务器1的私有秘钥。
步骤S22,发送模块103将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端2。所述发送模块103每隔指定时间间隔(例如100毫秒)按照生成顺序向客户端2发送一个ForceRenew数据包,直到收到客户端2的回复(也即Renew数据包)时停止发送。
需要说明的是,所述生成模块101在首次运行时会生成两个连续的Force Renew数据包。加密模块102加密生成的ForceRenew数据包后,经由发送模块103发送给客户端2。若在第二个Force Renew数据包发出后的一定时间(例如80毫秒,假设两个Force Renew数据包的发送时间间隔是100毫秒)内,未收到客户端2的回复,则生成模块101生成第三个Force renew数据包,该第三个Force Renew数据包经过加密模块102加密处理后,由发送模块103在第二个Force Renew数据包发出后的指定时间间隔(例如100毫秒)时,发送给客户端2。依次类推之后的ForceRenew数据包。
当客户端2从某一服务器连续接收到至少两个Force Renew数据包后,所述客户端2判断发送Force Renew数据包的服务器是不是虚假服务器,并在发送Force Renew数据包的服务器不是虚假服务器时,向该服务器发送Renew数据包。所述客户端2以服务器1的公有秘钥解密接收到的Force Renew数据包,并根据能否解密以及解密后的两个Force Renew数据包中的FTime与FTD判断发送Force Renew数据包的服务器是不是虚假服务器。
若客户端2不能以服务器1的公有秘钥解密Force Renew数据包,则表示该Force Renew数据包不是从服务器1发出的,也即客户端2判断发送Force Renew数据包的服务器是虚假服务器。当客户端2能够以服务器1的公有秘钥解密Force Renew数据包,则客户端2判断后接收的Force Renew数据包中的FTime是否等于先接收的Force Renew数据包中的FTime与FTD的和。若后接收的Force Renew数据包中的FTime等于先接收的Force Renew数据包中的FTime与FTD的和,则客户端2判断发送Force Renew数据包的服务器不是虚假服务器。若后接收的Force Renew数据包中的FTime不等于先接收的Force Renew数据包中的FTime与FTD的和,则客户端2无法判断发送Force Renew数据包的服务器是不是虚假服务器,客户端2拒绝向发出该Force Renew数据包的服务器做出回应。例如服务器1连续生成三个Force Renew数据包并发送给客户端2,因一些原因(例如网络延迟、丢失数据包等),客户端2连续接收的两个Force Renew数据包不是连续的,例如接收到第一个Force Renew数据包和第三个Force Renew数据包。则客户端2无法根据Force Renew数据包中的FTime与FTD判断Force Renew数据包是由服务器1发出的。
在本实施例中,所述客户端2的第二存储装置23中预先存储有对应于服务器1中的私有秘钥的公有秘钥。在其他实施例中,所述客户端2也可通过其他方式获取对应于服务器1中的私有秘钥的公有秘钥,例如从指定网站下载。
当客户端2判断发送Force Renew数据包的服务器不是虚假服务器时,客户端2向该服务器发送Renew数据包以请求重新获取IP地址等信息。
步骤S23,反馈模块104在接收到客户端2发送的Renew数据包后,向客户端2发送Reply数据包。客户端2接收到Reply数据包后,根据Reply数据包变更相关的配置,例如变更IP地址等。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,其特征在于,该系统包括:
生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;
加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;
发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及
反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
2.如权利要求1所述的时间戳认证系统,其特征在于,所述生成模块连续生成的两个Force Renew数据包中,后生成的Force Renew数据包中的FTime为其前一个Force Renew数据包中的FTime与FTD之和。
3.如权利要求1所述的时间戳认证系统,其特征在于,所述生成的各个Force Renew数据包中的FTD不是一个固定值。
4.如权利要求1所述的时间戳认证系统,其特征在于,所述客户端在连续接收到至少两个Force Renew数据包后,根据接收的Force Renew数据包中的FTime及FTD判断发送ForceRenew数据包的服务器是不是虚假服务器。
5.如权利要求4所述的时间戳认证系统,其特征在于,当接收的Force Renew数据包能够以对应于服务器的私有秘钥的公有秘钥解密,且解密后的后接收的Force Renew数据包中的FTime是先接收的Force Renew数据包中的FTime与FTD之和,则判断发送Force Renew数据包服务器不是虚假服务器。
6.一种时间戳认证方法,应用于服务器中,该服务器与客户端通信连接,其特征在于,该方法包括:
生成步骤,在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;
加密步骤,以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;
发送步骤,将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及
反馈步骤,在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
7.如权利要求6所述的时间戳认证方法,其特征在于,所述生成步骤连续生成的两个Force Renew数据包中,后生成的Force Renew数据包中的FTime为其前一个Force Renew数据包中的FTime与FTD之和。
8.如权利要求6所述的时间戳认证方法,其特征在于,所述生成的各个Force Renew数据包中的FTD不是一个固定值。
9.如权利要求6所述的时间戳认证方法,其特征在于,所述客户端在连续接收到至少两个Force Renew数据包后,根据接收的Force Renew数据包中的FTime及FTD判断发送ForceRenew数据包的服务器是不是虚假服务器。
10.如权利要求9所述的时间戳认证方法,其特征在于,所述客户端包含对应于服务器的私有秘钥的公有秘钥,当接收的Force Renew数据包能够以对应于服务器的私有秘钥的公有秘钥解密,且解密后的后接收的Force Renew数据包中的FTime是先接收的Force Renew数据包中的FTime与FTD之和,则判断发送Force Renew数据包服务器不是虚假服务器。
CN201510456155.0A 2015-07-29 2015-07-29 时间戳认证系统及方法 Pending CN106411817A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510456155.0A CN106411817A (zh) 2015-07-29 2015-07-29 时间戳认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510456155.0A CN106411817A (zh) 2015-07-29 2015-07-29 时间戳认证系统及方法

Publications (1)

Publication Number Publication Date
CN106411817A true CN106411817A (zh) 2017-02-15

Family

ID=58008678

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510456155.0A Pending CN106411817A (zh) 2015-07-29 2015-07-29 时间戳认证系统及方法

Country Status (1)

Country Link
CN (1) CN106411817A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7447184B1 (en) * 2004-09-08 2008-11-04 Airtight Networks, Inc. Method and system for detecting masquerading wireless devices in local area computer networks
CN101656764A (zh) * 2009-09-22 2010-02-24 中兴通讯股份有限公司 Dhcp用户的会话保活方法、系统和装置
CN102461073A (zh) * 2009-04-24 2012-05-16 北方电讯网络有限公司 用于适应重复mac地址的方法和设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7447184B1 (en) * 2004-09-08 2008-11-04 Airtight Networks, Inc. Method and system for detecting masquerading wireless devices in local area computer networks
CN102461073A (zh) * 2009-04-24 2012-05-16 北方电讯网络有限公司 用于适应重复mac地址的方法和设备
CN101656764A (zh) * 2009-09-22 2010-02-24 中兴通讯股份有限公司 Dhcp用户的会话保活方法、系统和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Y. T’JOENS等: "DHCP reconfigure extension", 《RFC3203》 *

Similar Documents

Publication Publication Date Title
CN105684344B (zh) 一种密钥配置方法和装置
CN105723648B (zh) 一种密钥配置方法、系统和装置
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
US20150229621A1 (en) One-time-pad data encryption in communication channels
US20160323100A1 (en) Key generation device, terminal device, and data signature and encryption method
EP3811583B1 (en) Secure systems and methods for resolving audio device identity using remote application
SE538304C2 (sv) Improved installation of a terminal in a secure system
EP3794852B1 (en) Secure methods and systems for identifying bluetooth connected devices with installed application
CN105554062A (zh) 一种文件传输方法、相关设备和系统
US20160373260A1 (en) Public Key Based Network
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
CN105208028A (zh) 一种数据传输方法和相关装置及设备
CN107408187A (zh) 通过认证令牌的改进安全
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN104135471A (zh) Dns防劫持通信方法
CN103650457B (zh) 一种共享接入的检测方法、设备和终端设备
WO2020157928A1 (ja) データ送信方法、通信処理方法、装置、および通信処理プログラム
CN101998405A (zh) 基于wlan接入认证的业务访问方法
CN101496340B (zh) 用于在通信网络中两个节点之间建立秘密密钥的方法
WO2014201783A1 (zh) 一种自组网的加密鉴权方法、系统及终端
KR101880999B1 (ko) 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법
CN111835716A (zh) 认证通信方法、服务器、设备及存储介质
CN113194471B (zh) 基于区块链网络的无线网络接入方法、装置和终端
JP5372100B2 (ja) 通信システム、中継装置、通信方法、中継方法及びコンピュータプログラム
CN106411817A (zh) 时间戳认证系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20180226

Address after: 201613 Shanghai city south of Songjiang Export Processing Zone Road No. 1925

Applicant after: Ambit Microsystems (Shanghai) Co., Ltd.

Address before: 201613 Shanghai City, Songjiang District Songjiang Export Processing Zone South Road No. 1925

Applicant before: Ambit Microsystems (Shanghai) Co., Ltd.

Applicant before: Hon Hai Precision Industry Co., Ltd.

TA01 Transfer of patent application right
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170215

WD01 Invention patent application deemed withdrawn after publication