[go: up one dir, main page]

TW201705739A - 時間戳記認證系統及方法 - Google Patents

時間戳記認證系統及方法 Download PDF

Info

Publication number
TW201705739A
TW201705739A TW104124600A TW104124600A TW201705739A TW 201705739 A TW201705739 A TW 201705739A TW 104124600 A TW104124600 A TW 104124600A TW 104124600 A TW104124600 A TW 104124600A TW 201705739 A TW201705739 A TW 201705739A
Authority
TW
Taiwan
Prior art keywords
server
force renew
force
renew data
client
Prior art date
Application number
TW104124600A
Other languages
English (en)
Inventor
黃川哲
Original Assignee
鴻海精密工業股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 鴻海精密工業股份有限公司 filed Critical 鴻海精密工業股份有限公司
Priority to TW104124600A priority Critical patent/TW201705739A/zh
Priority to US14/859,554 priority patent/US9716775B2/en
Publication of TW201705739A publication Critical patent/TW201705739A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一種時間戳記認證系統,運行於伺服器中,該伺服器與用戶端通訊連接,該系統包括複數模組,用於在伺服器上的DHCP的配置變更以後,依次生成至少兩個Force Renew資料包,所述Force Renew資料包中包含時間戳記FTime、時間差FTD;以伺服器的私有秘鑰對生成的Force Renew資料包進行非對稱加密;將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端;及在接收到用戶端發送的Renew資料包後,向用戶端發送Reply資料包。

Description

時間戳記認證系統及方法
本發明涉及一種時間戳記認證系統和方法。
現如今,當用戶端連接到伺服器時,伺服器根據其上配置的DHCP協定自動為用戶端分配IP位址等資訊。當伺服器上的DHCP協定的配置變更以後,伺服器向用戶端發送Force Renew資料包,通知用戶端向服務器重新申請IP位址等資訊。但是用戶端不會對Force Renew資料包進行驗證,使得當用戶端接收到虛假伺服器發送的Force Renew資料包後,用戶端會向虛假伺服器申請IP地址,從而出現安全問題。
鑒於以上內容,有必要提供一種時間戳記認證系統及方法,使得用戶端可以驗證Force Renew資料包是否是從虛假伺服器發出。
一種時間戳記認證系統,運行於伺服器中,該伺服器與用戶端通訊連接,該系統包括:生成模組,用於在伺服器上的DHCP的配置變更以後,依次生成至少兩個Force Renew資料包,所述Force Renew資料包中包含時間戳記FTime、時間差FTD;加密模組,用於以伺服器的私有秘鑰對生成的Force Renew資料包進行非對稱加密;發送模組,用於將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端;及回饋模組,用於在接收到用戶端發送的Renew資料包後,向用戶端發送Reply資料包。
一種時間戳記認證方法,應用於伺服器中,該伺服器與用戶端通訊連接,該方法包括:生成步驟,在伺服器上的DHCP的配置變更以後,依次生成至少兩個Force Renew資料包,所述Force Renew資料包中包含時間戳記FTime、時間差FTD;加密步驟,以伺服器的私有秘鑰對生成的Force Renew資料包進行非對稱加密;發送步驟,將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端;及回饋步驟,在接收到用戶端發送的Renew資料包後,向用戶端發送Reply資料包。
相較於習知技術,本發明中的伺服器生成的Force Renew資料包包含時間戳記FTime以及時間差FTD,且Force Renew資料包被伺服器以私有秘鑰進行加密。用戶端可根據連續兩個Force Renew資料包中的FTime以及FTD驗證該Force Renew資料包是否是從虛假伺服器中發出。透過本技術,提高了用戶端與伺服器之間的安全性。
圖1是本發明時間戳記認證系統的較佳實施例的運行環境示意圖。
圖2是本發明時間戳記認證方法的較佳實施例的流程圖。
為便於理解,以下對本發明所涉及的術語做簡要說明:
非對稱加密中的加密和解密需要以兩個不同的秘鑰進行處理,兩個秘鑰分別為:公有秘鑰和私有秘鑰。若以其中一個秘鑰加密,則需要以另一個秘鑰進行解密。例如以公有秘鑰進行加密,則需要以私有秘鑰進行解密。反之以私有秘鑰進行加密,則需要以公有秘鑰進行解密。
動態主機設定通訊協定(Dynamic Host Configuration Protocol,DHCP)是一個區域網路的網路通訊協定。配置於用戶端和伺服器上,當用戶端連接到伺服器時,伺服器自動為用戶端分配IP位址。網路系統管理員可透過伺服器管理內部網路。
當伺服器上的DHCP的配置變更後,連接到該伺服器上的用戶端需要重新獲取IP位址等資訊。其過程如下:伺服器以單播的方式向連接到該伺服器的用戶端發送資料包以通知用戶端重新獲取IP位址等資訊,該資料包為Force Renew。當用戶端收到伺服器發送的Force Renew資料包後,向伺服器發送請求重新配置的申請,也即Renew資料包。當伺服器收到用戶端發送的Renew資料包後,向用戶端做出回應,也即向用戶端發送Reply資料包。用戶端根據接收到的Reply資料包變更相關的配置,例如變更IP位址等。
參閱圖1所示,是本發明時間戳記認證系統10的較佳實施例的運行環境示意圖。所述時間戳記認證系統10運行於伺服器1中,該伺服器1與複數用戶端2相連接。所述伺服器1包含第一通訊裝置11,每個用戶端2包含一個第二通訊裝置21,所述伺服器1與用戶端2透過第一通訊裝置11與第二通訊裝置21通訊連接。所述第一通訊裝置11與第二通訊裝置21可以是WiFi設備、無線網卡等能夠實現無線網路連接的設備,也可以是其他實現有線網路連接的設備。
所述伺服器1還包括,但不限於,第一處理器12以及第一儲存裝置13。所述用戶端還包含第二處理器22以及第二儲存裝置23。所述第一儲存裝置13以及第二儲存裝置23可以是記憶體等內部存放裝置,也可以是智慧媒體卡(Smart Media Card)、安全數位卡(Secure Digital Card)、快閃記憶體卡(Flash Card)等外部儲存設備。所述伺服器1是配置有動態主機設定通訊協定(Dynamic Host Configuration Protocol,DHCP)的DHCP伺服器。所述用戶端2可以是手機、平板電腦、路由器等包含IP位址的設備。
在本實施例中,本發明所述的時間戳記認證系統10可以被分割成一個或複數模組,所述一個或複數模組均被儲存於第一儲存裝置13中,並由一個或複數第一處理器12(本實施例為一個處理器)所執行,以完成本發明。參閱圖1所示,本發明所述的時間戳記認證系統10被分割成生成模組101、加密模組102、發送模組103以及回饋模組104。本發明所稱的模組是指能夠完成特定功能的一系列電腦程式段,比程式更適合於描述所述時間戳記認證系統10在伺服器1中的執行過程。以下將結合圖2的流程圖來描述各個模組的具體功能。
參閱圖2所示,是本發明時間戳記認證方法的較佳實施例的流程圖。在本實施例中,根據不同的需求,圖2所示的流程圖中的步驟的執行順序可以改變,某些步驟可以省略。
當伺服器1上的DHCP的配置變更以後,步驟S20,生成模組101依次生成至少兩個Force Renew資料包。所述Force Renew資料包中包含時間戳記FTime、時間差FTD以及伺服器識別碼Server ID等資訊,且後生成的Force Renew資料包中的時間戳記FTime是其前一個Force Renew資料包中的時間戳記FTime與時間差FTD的和。例如生成模組101生成的第一個Force Renew資料包的FTime為10000,FTD為20,則生成的第二個Force Renew資料包的FTime必須為10000+20,也即10020。
在本實施例中,生成模組101生成的各個Force Renew資料包中的時間差FTD不是一個固定的值。例如,生成模組101每次從某一數值範圍內隨機取一個整數作為一個Force Renew資料包的FTD。例如生成模組101從10到100之間隨機取一個整數作為Force Renew資料包的FTD。在其他實施例中,生成模組101生成的各個Force Renew資料包中的時間差FTD也可以是某一固定的值。
步驟S21,加密模組102以伺服器1的私有秘鑰對生成的Force Renew資料包進行非對稱加密。所述伺服器1中的第一儲存裝置13中儲存有該伺服器1的私有秘鑰。
步驟S22,發送模組103將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端2。所述發送模組103每隔指定時間間隔(例如100毫秒)按照生成順序向用戶端2發送一個Force Renew資料包,直到收到用戶端2的回復(也即Renew資料包)時停止發送。
需要說明的是,所述生成模組101在首次運行時會生成兩個連續的Force Renew資料包。加密模組102加密生成的Force Renew資料包後,經由發送模組103發送給用戶端2。若在第二個Force Renew資料包發出後的一定時間(例如80毫秒,假設兩個Force Renew資料包的發送時間間隔是100毫秒)內,未收到用戶端2的回復,則生成模組101生成第三個Force renew資料包,該第三個Force Renew資料包經過加密模組102加密處理後,由發送模組103在第二個Force Renew資料包發出後的指定時間間隔(例如100毫秒)時,發送給用戶端2。依次類推之後的Force Renew資料包。
當用戶端2從某一伺服器連續接收到至少兩個Force Renew資料包後,所述用戶端2判斷發送Force Renew資料包的伺服器是不是虛假伺服器,並在發送Force Renew資料包的伺服器不是虛假伺服器時,向該伺服器發送Renew資料包。所述用戶端2以伺服器1的公有秘鑰解密接收到的Force Renew資料包,並根據能否解密以及解密後的兩個Force Renew資料包中的FTime與FTD判斷發送Force Renew資料包的伺服器是不是虛假伺服器。
若用戶端2不能以伺服器1的公有秘鑰解密Force Renew資料包,則表示該Force Renew資料包不是從伺服器1發出的,也即用戶端2判斷發送Force Renew資料包的伺服器是虛假伺服器。當用戶端2能夠以伺服器1的公有秘鑰解密Force Renew資料包,則用戶端2判斷後接收的Force Renew資料包中的FTime是否等於先接收的Force Renew資料包中的FTime與FTD的和。若後接收的Force Renew資料包中的FTime等於先接收的Force Renew資料包中的FTime與FTD的和,則用戶端2判斷發送Force Renew資料包的伺服器不是虛假伺服器。若後接收的Force Renew資料包中的FTime不等於先接收的Force Renew資料包中的FTime與FTD的和,則用戶端2無法判斷發送Force Renew資料包的伺服器是不是虛假伺服器,用戶端2拒絕向發出該Force Renew資料包的伺服器做出回應。例如伺服器1連續生成三個Force Renew資料包併發送給用戶端2,因一些原因(例如網路延遲、丟失資料包等),用戶端2連續接收的兩個Force Renew資料包不是連續的,例如接收到第一個Force Renew資料包和第三個Force Renew資料包。則用戶端2無法根據Force Renew資料包中的FTime與FTD判斷Force Renew資料包是由伺服器1發出的。
在本實施例中,所述用戶端2的第二儲存裝置23中預先儲存有對應於伺服器1中的私有秘鑰的公有秘鑰。在其他實施例中,所述用戶端2也可透過其他方式獲取對應於伺服器1中的私有秘鑰的公有秘鑰,例如從指定網站下載。
當用戶端2判斷發送Force Renew資料包的伺服器不是虛假伺服器時,用戶端2向該伺服器發送Renew資料包以請求重新獲取IP位址等資訊。
步驟S23,回饋模組104在接收到用戶端2發送的Renew資料包後,向用戶端2發送Reply資料包。用戶端2接收到Reply資料包後,根據Reply資料包變更相關的配置,例如變更IP位址等。
最後所應說明的是,以上實施例僅用以說明本發明的技術方案而非限制,本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或等同替換,而不脫離本發明技術方案的精神和範圍。
1‧‧‧伺服器
10‧‧‧時間戳記認證系統
101‧‧‧生成模組
102‧‧‧加密模組
103‧‧‧發送模組
104‧‧‧回饋模組
11‧‧‧第一通訊裝置
12‧‧‧第一處理器
13‧‧‧第一儲存裝置
2‧‧‧用戶端
21‧‧‧第二通訊裝置
22‧‧‧第二處理器
23‧‧‧第二儲存裝置
1‧‧‧伺服器
10‧‧‧時間戳記認證系統
101‧‧‧生成模組
102‧‧‧加密模組
103‧‧‧發送模組
104‧‧‧回饋模組
11‧‧‧第一通訊裝置
12‧‧‧第一處理器
13‧‧‧第一儲存裝置
2‧‧‧用戶端
21‧‧‧第二通訊裝置
22‧‧‧第二處理器
23‧‧‧第二儲存裝置

Claims (10)

  1. 一種時間戳記認證系統,運行於伺服器中,該伺服器與用戶端通訊連接,該系統包括:
    生成模組,用於在伺服器上的DHCP的配置變更以後,依次生成至少兩個Force Renew資料包,所述Force Renew資料包中包含時間戳記FTime、時間差FTD;
    加密模組,用於以伺服器的私有秘鑰對生成的Force Renew資料包進行非對稱加密;
    發送模組,用於將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端;及
    回饋模組,用於在接收到用戶端發送的Renew資料包後,向用戶端發送Reply資料包。
  2. 如申請專利範圍第1項所述的時間戳記認證系統,所述生成模組連續生成的兩個Force Renew資料包中,後生成的Force Renew資料包中的FTime為其前一個Force Renew資料包中的FTime與FTD之和。
  3. 如申請專利範圍第1項所述的時間戳記認證系統,所述生成的各個Force Renew資料包中的FTD不是一個固定值。
  4. 如申請專利範圍第1項所述的時間戳記認證系統,所述用戶端在連續接收到至少兩個Force Renew資料包後,根據接收的Force Renew資料包中的FTime及FTD判斷發送Force Renew資料包的伺服器是不是虛假伺服器。
  5. 如申請專利範圍第4項所述的時間戳記認證系統,當接收的Force Renew資料包能夠以對應於伺服器的私有秘鑰的公有秘鑰解密,且解密後的後接收的Force Renew資料包中的FTime是先接收的Force Renew資料包中的FTime與FTD之和,則判斷發送Force Renew資料包伺服器不是虛假伺服器。
  6. 一種時間戳記認證方法,應用於伺服器中,該伺服器與用戶端通訊連接,該方法包括:
    生成步驟,在伺服器上的DHCP的配置變更以後,依次生成至少兩個Force Renew資料包,所述Force Renew資料包中包含時間戳記FTime、時間差FTD;
    加密步驟,以伺服器的私有秘鑰對生成的Force Renew資料包進行非對稱加密;
    發送步驟,將至少兩個Force Renew資料包按照其生成的先後順序發送給用戶端;及
    回饋步驟,在接收到用戶端發送的Renew資料包後,向用戶端發送Reply資料包。
  7. 如申請專利範圍第6項所述的時間戳記認證方法,所述生成步驟連續生成的兩個Force Renew資料包中,後生成的Force Renew資料包中的FTime為其前一個Force Renew資料包中的FTime與FTD之和。
  8. 如申請專利範圍第6項所述的時間戳記認證方法,所述生成的各個Force Renew資料包中的FTD不是一個固定值。
  9. 如申請專利範圍第6項所述的時間戳記認證方法,所述用戶端在連續接收到至少兩個Force Renew資料包後,根據接收的Force Renew資料包中的FTime及FTD判斷發送Force Renew資料包的伺服器是不是虛假伺服器。
  10. 如申請專利範圍第9項所述的時間戳記認證方法,所述用戶端包含對應於伺服器的私有秘鑰的公有秘鑰,當接收的Force Renew資料包能夠以對應於伺服器的私有秘鑰的公有秘鑰解密,且解密後的後接收的Force Renew資料包中的FTime是先接收的Force Renew資料包中的FTime與FTD之和,則判斷發送Force Renew資料包伺服器不是虛假伺服器。
TW104124600A 2015-07-29 2015-07-29 時間戳記認證系統及方法 TW201705739A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW104124600A TW201705739A (zh) 2015-07-29 2015-07-29 時間戳記認證系統及方法
US14/859,554 US9716775B2 (en) 2015-07-29 2015-09-21 Server and authentication method based on a time stamp

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW104124600A TW201705739A (zh) 2015-07-29 2015-07-29 時間戳記認證系統及方法

Publications (1)

Publication Number Publication Date
TW201705739A true TW201705739A (zh) 2017-02-01

Family

ID=57883705

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104124600A TW201705739A (zh) 2015-07-29 2015-07-29 時間戳記認證系統及方法

Country Status (2)

Country Link
US (1) US9716775B2 (zh)
TW (1) TW201705739A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10425475B2 (en) * 2017-02-27 2019-09-24 International Business Machines Corporation Distributed data management

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4603100A (en) * 1999-05-03 2000-11-17 Nokia Corporation Sim based authentication mechanism for dhcrv4/v6 messages
TW200505200A (en) 2003-07-16 2005-02-01 zhao-jia Xu Method for performing authentication in wireless communication network
US20060010245A1 (en) * 2004-06-01 2006-01-12 Telestream, Inc. Internet protocol for the delivery of complex digital media content
US7571460B2 (en) * 2004-08-06 2009-08-04 Time Warner Cable, Inc. System and method for affecting the behavior of a network device in a cable network
US7447184B1 (en) 2004-09-08 2008-11-04 Airtight Networks, Inc. Method and system for detecting masquerading wireless devices in local area computer networks
US8077732B2 (en) * 2005-11-14 2011-12-13 Cisco Technology, Inc. Techniques for inserting internet protocol services in a broadband access network
US8886934B2 (en) * 2006-07-26 2014-11-11 Cisco Technology, Inc. Authorizing physical access-links for secure network connections
US8661252B2 (en) * 2008-06-20 2014-02-25 Microsoft Corporation Secure network address provisioning
US8555347B2 (en) * 2009-12-22 2013-10-08 Juniper Networks, Inc. Dynamic host configuration protocol (DHCP) authentication using challenge handshake authentication protocol (CHAP) challenge
US9124585B1 (en) * 2012-12-31 2015-09-01 Emc Corporation Framework for mapping network addresses to hosts in an enterprise network

Also Published As

Publication number Publication date
US20170034134A1 (en) 2017-02-02
US9716775B2 (en) 2017-07-25

Similar Documents

Publication Publication Date Title
US10601594B2 (en) End-to-end service layer authentication
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
CN105706390B (zh) 在无线通信网络中执行设备到设备通信的方法和装置
CN106936570B (zh) 一种密钥配置方法及密钥管理中心、网元
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
TWI654866B (zh) 閘道器、用戶端裝置及用於促進用戶端裝置與應用伺服器間之通信之方法
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
KR20190099066A (ko) 디지털 인증서 관리 방법 및 장치
EP3537652B1 (en) Method for securely controlling smart home appliance and terminal device
CN112997447A (zh) 用于无线设备的基于时间戳的接入处理
US20160373260A1 (en) Public Key Based Network
CN103650457B (zh) 一种共享接入的检测方法、设备和终端设备
WO2014201783A1 (zh) 一种自组网的加密鉴权方法、系统及终端
TW201705739A (zh) 時間戳記認證系統及方法
WO2022041151A1 (zh) 设备验证方法、设备和云端
WO2017206185A1 (zh) 验证应用程序合法性的方法、装置及系统
CN113194471B (zh) 基于区块链网络的无线网络接入方法、装置和终端
CN110913351A (zh) 组播控制方法、装置、网络设备及存储介质
CN106954210B (zh) 一种空口标识的保护方法及装置
CN106411817A (zh) 时间戳认证系统及方法
CN117939450A (zh) 蓝牙mesh网络的连接方法、装置和蓝牙通信系统
CN118828493A (zh) 一种认证方法、agw、终端设备及存储介质
HK40056163A (zh) 一种终端与服务器的通信方法和装置