CN112839062B - 夹杂鉴权信号的端口隐藏方法和装置、设备 - Google Patents
夹杂鉴权信号的端口隐藏方法和装置、设备 Download PDFInfo
- Publication number
- CN112839062B CN112839062B CN202110422616.8A CN202110422616A CN112839062B CN 112839062 B CN112839062 B CN 112839062B CN 202110422616 A CN202110422616 A CN 202110422616A CN 112839062 B CN112839062 B CN 112839062B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- ciphertext
- server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种夹杂鉴权信号的端口隐藏方法和装置、设备,该夹杂鉴权信号的端口隐藏方法包括接收客户端发送的鉴权数据包,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。以使本公开的夹杂鉴权信号的端口隐藏方法不借助任何隧道或TLS,直接在裸露的传输层实现,并与现有的网络协议、业务协议和业务代码和配置均无冲突,对于有抓包能力的,有针对性的恶意攻击者,完全杜绝了鉴权流程本身被窃听以及中间人攻击的可能。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种夹杂鉴权信号的端口隐藏方法和装置、设备。
背景技术
UDP协议是与TCP协议齐名的传输层协议,由于其轻量便利的特点,在许多领域都被使用,从传统的IPSec、DNS等协议,到最新的QUIC协议,以及各种视频协议,都离不开UDP的身影。
而正由于其便利性,针对UDP的端口扫描,比针对TCP的扫描逻辑判断更方便,危害也更大。对于服务器来说,通过黑白名单阻止不受信任IP地址来源的访问和扫描也就成了一个主流的保护手段。
对于服务器之间的通信,由于所有的可信IP地址都是已知且可维护的,使用黑白名单作为保护手段是非常便利且可靠的,但对于那些对互联网提供业务的服务器,IP地址量巨大且动态,传统的黑白名单手段只能作为发现被攻击后的“亡羊补牢”手段,完全没有主动防御能力。
发明内容
有鉴于此,本公开提出了一种夹杂鉴权信号的端口隐藏方法,包括:
接收客户端发送的鉴权数据包;
通过所述鉴权数据包获取认证信息,并将所述认证信息发送至所述客户端,等待接收所述客户端返回的反馈消息;
在接收到所述反馈消息后,根据所述反馈消息与所述客户端进行认证,在认证失败时向所述客户端返回端口关闭消息。
在一种可能的实现方式中,通过所述鉴权数据包获取认证信息包括:
其中,所述鉴权数据包包括固定密钥、加密密文和用户名;
获取本地预存的本地密钥;
将所述固定密钥与本地密钥进行对比得到比对结果;
根据所述比对结果读取所述用户名;
依据所述用户名获取对应的公钥,使用所述公钥解密所述加密密文得到认证信息。
在一种可能的实现方式中,根据所述比对结果读取所述用户名包括:
若所述固定密钥与所述本地密钥相同,则读取所述用户名;
若所述固定密钥与所述本地密钥不相同,则向所述客户端返回端口关闭消息。
在一种可能的实现方式中,根据所述反馈消息与所述客户端进行认证包括:
在收到所述反馈消息后,随机生成随机字符串;
使用公钥对所述随机字符串进行加密得到第一认证密文;
将所述认证信息使用公钥进行加密得到第二认证密文;
将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证。
在一种可能的实现方式中,将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证后,接收所述客户端发送的认证字符串;
使用所述公钥对所述认证字符串进行解密得到第三认证密文;
将所述第三认证密文与所述随机字符串进行对比得到认证结果;
在所述认证结果为认证失败时向所述客户端返回端口关闭消息。
根据本公开的另一方面,提供了一种客户端认证方法,其特征在于,包括:
生成鉴权数据包,将所述鉴权数据包发送至服务器,并等待接收所述服务器发送的认证信息;其中,所述认证信息由所述服务器接收客户端发送的所述鉴权数据包,通过所述鉴权数据包获取;
接收所述服务器发送的所述认证信息,并在接收到所述服务器发送的认证信息后,通过所述认证信息与所述服务器进行认证。
在一种可能的实现方式中,通过所述认证信息与所述服务器进行认证包括:
从服务器接收第一认证密文和第二认证密文;
将所述第二认证密文使用私钥进行解密得到明文消息;
将所述明文消息与原始明文进行对比,若所述明文消息与所述原始明文一致,使用所述私钥解密所述第一认证密文得到认证明文;
使用所述私钥对所述认证明文进行加密得到认证字符串;
将所述认证字符串发送至所述服务器。
根据本公开的另一方面,提供了一种夹杂鉴权信号的端口隐藏装置,其特征在于,包括鉴权包接收模块、认证信息获取模块和服务端认证模块;
所述鉴权包接收模块,被配置为从客户端接收鉴权数据包;
所述认证信息获取模块,被配置为通过所述鉴权数据包获取认证信息,并将所述认证信息发送至所述客户端,等待接收所述客户端返回的反馈消息;
所述服务端认证模块,被配置为在接收到所述反馈消息后,根据所述反馈消息与所述客户端进行认证,在认证失败时向所述客户端返回端口关闭消息。
根据本公开的另一方面,提供了一种客户端认证装置,其特征在于,包括鉴权包生成模块和客户端认证模块;
所述鉴权包生成模块,被配置为生成鉴权数据包,将所述鉴权数据包发送至服务器,并等待接收所述服务器发送的认证信息;其中,认证信息由服务器接收客户端发送的鉴权数据包,通过鉴权数据包获取;
所述客户端认证模块,被配置为接收所述服务器发送的所述认证信息,并在接收到所述服务器发送的认证信息后,通过所述认证信息与所述服务器进行认证通过所述认证信息与所述服务器进行认证。
根据本公开的另一方面,提供了一种夹杂鉴权信号的端口隐藏设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现前面任一所述的方法。
通过接收客户端发送的鉴权数据包,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。以使本公开的夹杂鉴权信号的端口隐藏方法不借助任何隧道或TLS,直接在裸露的传输层实现,并与现有的网络协议、业务协议和业务代码和配置均无冲突,对于有抓包能力的,有针对性的恶意攻击者,完全杜绝了鉴权流程本身被窃听以及中间人攻击的可能。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出本公开实施例的夹杂鉴权信号的端口隐藏方法的流程图;
图2示出本公开实施例的客户端认证方法的流程图;
图3示出本公开实施例的夹杂鉴权信号的端口隐藏方法的原理图;
图4示出本公开实施例的夹杂鉴权信号的端口隐藏装置的框图;
图5示出本公开实施例的客户端认证装置的框图;
图6示出本公开实施例的夹杂鉴权信号的端口隐藏设备的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开一实施例的夹杂鉴权信号的端口隐藏方法的流程图。如图1所示,该夹杂鉴权信号的端口隐藏方法包括:
步骤S100,接收客户端发送的鉴权数据包,步骤S200,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息,步骤S300,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。
通过接收客户端发送的鉴权数据包,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。以使本公开的夹杂鉴权信号的端口隐藏方法不借助任何隧道或TLS,直接在裸露的传输层实现,并与现有的网络协议、业务协议和业务代码和配置均无冲突,对于有抓包能力的,有针对性的恶意攻击者,完全杜绝了鉴权流程本身被窃听以及中间人攻击的可能。
具体的,参见图1,执行步骤S100,接收客户端发送的鉴权数据包。
在一种可能的实现方式中,所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为原始明文,用私钥将原始明文加密成加密密文,为了减少服务器对所有数据包作解密处理,约定鉴权数据包的起始几个字节为固定值,即固定密钥,优选的,固定密钥的固定值为128bit,接着,客户端向服务器发送固定密钥和加密密文以及客户端的用户名,服务器就会接收到鉴权数据包,鉴权数据包也就包括了固定密钥、加密密文和用户名。
进一步的,参见图1,执行步骤S200,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息。
在一种可能的实现方式中,其中,所述鉴权数据包包括固定密钥、加密密文和用户名,根据固定密钥读取用户名包括:获取本地预存的本地密钥,将固定密钥与本地密钥进行对比得到比对结果,根据比对结果读取用户名。其中,根据比对结果读取用户名包括:若固定密钥与本地密钥相同,则读取用户名,若固定密钥与本地密钥不相同,则向客户端返回端口关闭消息。举例来说,固定密钥的固定值为128bit,在服务器接收到鉴权数据包后,获取鉴权数据包中的固定密钥,也就是说,获取鉴权数据包的起始的128bit固定值,同时获取本地预存的本地密钥,将固定密钥与本地密钥进行对比,若本地密钥和固定密钥一致,即判定客户端为可信用户,则读取出用户名。
在另一种可能的实现方式中,固定密钥的固定值为128bit,在服务器接收到鉴权数据包后,获取鉴权数据包中的固定密钥,也就是说,获取鉴权数据包的起始的128bit固定值,同时获取本地预存的本地密钥,将固定密钥与本地密钥进行对比,若固定密钥与本地密钥不相同,则向客户端返回端口关闭消息:“ICMP port unreachable”。
进一步的,依据用户名获取对应的公钥,使用公钥解密加密密文得到认证信息。
在一种可能的实现方式中,固定密钥的固定值为128bit,在服务器接收到鉴权数据包后,获取鉴权数据包中的固定密钥,也就是说,获取鉴权数据包的起始的128bit固定值,同时获取本地预存的本地密钥,将固定密钥与本地密钥进行对比,若本地密钥和固定密钥一致,即判定客户端为可信用户,则读取出用户名,并可在本地存储中找到该用户名对应的公钥,并用公钥对加密密文进行解密,得到认证信息,接着,将认证信息发送至客户端,等待接收客户端返回的反馈消息。
进一步的,参见图1,执行步骤S300,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。
在一种可能的实现方式中,在接收到反馈消息后,通过认证信息与客户端进行认证,包括:生成随机字符串,使用公钥对随机字符串进行加密得到第一认证密文,将认证信息使用公钥进行加密得到第二认证密文,将第一认证密文和第二认证密文发送至客户端进行认证。进一步的,将第一认证密文和第二认证密文发送至客户端进行认证后,接收客户端发送的认证字符串,使用公钥对认证字符串进行解密得到第三认证密文,将第三认证密文与随机字符串进行对比得到认证结果,在认证结果为认证失败时向客户端返回端口关闭消息。举例来说,固定密钥的固定值为128bit,在服务器接收到鉴权数据包后,获取鉴权数据包中的固定密钥,也就是说,获取鉴权数据包的起始的128bit固定值,同时获取本地预存的本地密钥,将固定密钥与本地密钥进行对比,若本地密钥和固定密钥一致,即判定客户端为可信用户,则读取出用户名,并可在本地存储中找到该用户名对应的公钥,并用公钥对加密密文进行解密,得到认证信息,服务器随机生成随机字符串,使用公钥将随机字符串加密为第一认证密文,再使用公钥将认证信息进行加密得到第二认证密文,接着,将第一认证密文和第二认证密文一起发给客户端。
进一步的,在一种可能的实现方式中,在客户端认证通过后,会收到客户端发送的认证字符串,使用公钥对认证字符串进行解密得到第三认证密文,将第三认证密文与之前生成的随机字符串进行对比,若第三认证密文与随机字符串完全一致,则标识认定成功,在认证成功时,将客户端进行信任标记,该客户端的后续数据包即可进行传输。
在另一种可能的实现方式中,在客户端认证通过后,会收到客户端发送的认证字符串,使用公钥对认证字符串进行解密得到第三认证密文,将第三认证密文与之前生成的随机字符串进行对比,若第三认证密文与随机字符串不一致,则标识认定失败,直接向客户端返回“ICMP port unreachable”表示端口已关闭。
需要说明的是,尽管以上述各个步骤作为示例介绍了本公开的夹杂鉴权信号的端口隐藏方法如上,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定夹杂鉴权信号的端口隐藏方法,只要达到所需功能即可。
这样,通过接收客户端发送的鉴权数据包,通过鉴权数据包获取认证信息,并将认证信息发送至客户端,等待接收客户端返回的反馈消息,在接收到反馈消息后,根据反馈消息与客户端进行认证,在认证失败时向客户端返回端口关闭消息。以使本公开的夹杂鉴权信号的端口隐藏方法不借助任何隧道或TLS,直接在裸露的传输层实现,并与现有的网络协议、业务协议和业务代码和配置均无冲突,对于有抓包能力的,有针对性的恶意攻击者,完全杜绝了鉴权流程本身被窃听以及中间人攻击的可能。
图2示出根据本公开一实施例的客户端认证方法的流程图。如图2所示,该客户端认证方法包括:
步骤S400,生成鉴权数据包,将鉴权数据包发送至服务器,并等待接收服务器发送的认证信息;其中,认证信息由服务器接收客户端发送的鉴权数据包,通过鉴权数据包获取,步骤S500,接收服务器发送的认证信息,并在接收到服务器发送的认证信息后,通过认证信息与服务器进行认证。
在一种可能实现的方式中,通过认证信息与服务器进行认证包括:从服务器接收第一认证密文和第二认证密文,将第二认证密文使用私钥进行解密得到明文消息,将明文消息与原始明文进行对比,若明文消息与原始明文一致,使用私钥解密第一认证密文得到认证明文,使用私钥对认证明文进行加密得到认证字符串,将认证字符串发送至服务器。
具体的,在一种可能的实现方式中,所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为原始明文,用私钥将原始明文加密成加密密文,为了减少服务器对所有数据包作解密处理,约定鉴权数据包的起始几个字节为固定值,即固定密钥,优选的,固定密钥的固定值为128bit,接着,客户端向服务器发送固定密钥和加密密文以及客户端的用户名,服务器就会接收到鉴权数据包,鉴权数据包也就包括了固定密钥、加密密文和用户名。经过服务器的认证程序后,服务器将第一认证密文和第二认证密文发送至客户端后,客户端将第二认证密文使用私钥进行解密得到明文消息,将明文消息与最初的原始明文进行对比,如果明文消息与最初的原始明文进行对比完全一致,则判定该服务器并非钓鱼节点,再使用私钥解密第一认证密文得到认证明文,进一步的,使用私钥对认证明文进行加密得到认证字符串,最后将认证字符串发送至服务器。
在另一种可能的实现方式中,客户端将第二认证密文使用私钥进行解密得到明文消息,将明文消息与最初的原始明文进行对比,如果明文消息与最初的原始明文进行对比发现不一致,则直接放弃连接。
需要说明的是,尽管以上述各个步骤作为示例介绍了本公开的客户端认证方法如上,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定客户端认证方法,只要达到所需功能即可。
总的来说,参见图3,从服务器和客户端两个角度进行描述,在一种可能的实现方式中,所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为原始明文,用私钥将原始明文加密成加密密文,为了减少服务器对所有数据包作解密处理,约定鉴权数据包的起始几个字节为固定值,即固定密钥,优选的,固定密钥的固定值为128bit,接着,客户端向服务器发送固定密钥和加密密文以及客户端的用户名,服务器就会接收到鉴权数据包,鉴权数据包也就包括了固定密钥、加密密文和用户名。
进一步的,在服务器接收到鉴权数据包后,获取鉴权数据包中的固定密钥,也就是说,获取鉴权数据包的起始的128bit固定值,同时获取本地预存的本地密钥,将固定密钥与本地密钥进行对比,若本地密钥和固定密钥一致,即判定客户端为可信用户,则读取出用户名,并可在本地存储中找到该用户名对应的公钥,并用公钥对加密密文进行解密,得到认证信息,服务器随机生成随机字符串,使用公钥将随机字符串加密为第一认证密文,再使用公钥将认证信息进行加密得到第二认证密文,接着,将第一认证密文和第二认证密文一起发给客户端。
服务器将第一认证密文和第二认证密文发送至客户端后,客户端将第二认证密文使用私钥进行解密得到明文消息,将明文消息与最初的原始明文进行对比,如果明文消息与最初的原始明文进行对比完全一致,则判定该服务器并非钓鱼节点,再使用私钥解密第一认证密文得到认证明文,进一步的,使用私钥对认证明文进行加密得到认证字符串,最后将认证字符串发送至服务器。
服务器收到客户端发送的认证字符串,使用公钥对认证字符串进行解密得到第三认证密文,将第三认证密文与之前生成的随机字符串进行对比,若第三认证密文与随机字符串不一致,则标识认定失败,直接向客户端返回“ICMP port unreachable”表示端口已关闭。这样就实现了端口隐藏,对于有抓包能力的,有针对性的恶意攻击者,通过非对称加密完全杜绝了鉴权流程本身被窃听以及中间人攻击的可能。
需要说明的是,每过一段时间,需要周期性地重复本方法,以保证客户端的可信,进一步的,可以保留基于非对称加密的首个鉴权包,而对后续鉴权数据包,可以使用伪随机数序列的方式实现。
在一种可能的实现方式中,服务器和客户端双方先通过非对称加密算法共享一个随机生成的密钥,双方通过计算RC4(随机字符串),即对随机字符串进行流加密算法,得到一个可无限推导的伪随机数序列,根据需要,依次截断成多个等长的字符串,由客户端依次放在后续鉴权包中发送给服务端作比对,如双方计算的值一致,则表示客户端可信。这样可以达到兼顾安全与性能的效果。
进一步的,根据本公开的另一方面,还提供了一种夹杂鉴权信号的端口隐藏装置100。由于本公开实施例的夹杂鉴权信号的端口隐藏装置100的工作原理与本公开实施例的夹杂鉴权信号的端口隐藏方法的原理相同或相似,因此重复之处不再赘述。参见图4,本公开实施例的夹杂鉴权信号的端口隐藏装置100包括鉴权包接收模块110、认证信息获取模块120和服务端认证模块130;
鉴权包接收模块110,被配置为从客户端接收鉴权数据包;
认证信息获取模块120,被配置为通过所述鉴权数据包获取认证信息,并将所述认证信息发送至所述客户端,等待接收所述客户端返回的反馈消息;
服务端认证模块130,被配置为在接收到所述反馈消息后,根据所述反馈消息与所述客户端进行认证,在认证失败时向所述客户端返回端口关闭消息。
进一步的,根据本公开的另一方面,还提供了一种客户端认证装置200。由于本公开实施例的客户端认证装置200的工作原理与本公开实施例的客户端认证方法的原理相同或相似,因此重复之处不再赘述。参见图5,本公开实施例的客户端认证装置200包括鉴权包生成模块210和客户端认证模块220;
鉴权包生成模块210,所述鉴权包生成模块,被配置为生成鉴权数据包,将鉴权数据包发送至服务器,并等待接收服务器发送的认证信息;其中,认证信息由服务器接收客户端发送的鉴权数据包,通过鉴权数据包获取;
客户端认证模块220,被配置为接收服务器发送的认证信息,并在接收到服务器发送的认证信息后,通过认证信息与服务器进行认证。
更进一步地,根据本公开的另一方面,还提供了一种夹杂鉴权信号的端口隐藏设备300。参阅图6,本公开实施例夹杂鉴权信号的端口隐藏设备300包括处理器310以及用于存储处理器310可执行指令的存储器320。其中,处理器310被配置为执行可执行指令时实现前面任一所述的夹杂鉴权信号的端口隐藏方法。
此处,应当指出的是,处理器310的个数可以为一个或多个。同时,在本公开实施例的夹杂鉴权信号的端口隐藏设备300中,还可以包括输入装置330和输出装置340。其中,处理器310、存储器320、输入装置330和输出装置340之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的夹杂鉴权信号的端口隐藏方法所对应的程序或模块。处理器310通过运行存储在存储器320中的软件程序或模块,从而执行夹杂鉴权信号的端口隐藏设备300的各种功能应用及数据处理。
输入装置330可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置340可以包括显示屏等显示设备。
根据本公开的另一方面,还提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令被处理器310执行时实现前面任一所述的夹杂鉴权信号的端口隐藏方法。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (6)
1.一种夹杂鉴权信号的端口隐藏方法,其特征在于,包括:
接收客户端发送的鉴权数据包;
通过所述鉴权数据包获取认证信息,并将所述认证信息发送至所述客户端,等待接收所述客户端返回的反馈消息;
在接收到所述反馈消息后,根据所述反馈消息与所述客户端进行认证,在认证失败时向所述客户端返回端口关闭消息;
通过所述鉴权数据包获取认证信息包括:
其中,所述鉴权数据包包括固定密钥、加密密文和用户名;
获取本地预存的本地密钥;
将所述固定密钥与本地密钥进行对比得到比对结果;
在所述比对结果为所述固定密钥与所述本地密钥相同时,读取所述用户名;
依据所述用户名获取对应的公钥,使用所述公钥解密所述加密密文得到认证信息;
其中,所述固定密钥为所述鉴权数据包的起始预设字节;
根据所述反馈消息与所述客户端进行认证包括:
在收到所述反馈消息后,随机生成随机字符串;
使用公钥对所述随机字符串进行加密得到第一认证密文;
将所述认证信息使用公钥进行加密得到第二认证密文;
将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证;
将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证后,接收所述客户端发送的认证字符串;
使用所述公钥对所述认证字符串进行解密得到第三认证密文;
将所述第三认证密文与所述随机字符串进行对比得到认证结果;
在所述认证结果为认证失败时向所述客户端返回端口关闭消息;
所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为原始明文,用私钥将原始明文加密成所述加密密文。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述固定密钥与所述本地密钥不相同,则向所述客户端返回端口关闭消息。
3.一种客户端认证方法,其特征在于,包括:
生成鉴权数据包,将所述鉴权数据包发送至服务器,并等待接收所述服务器发送的认证信息;其中,所述鉴权数据包包括固定密钥、加密密文和用户名;
其中,所述认证信息由所述服务器接收客户端发送的所述鉴权数据包,通过所述鉴权数据包获取;
接收所述服务器发送的所述认证信息,并在接收到所述服务器发送的认证信息后,通过所述认证信息与所述服务器进行认证;
所述认证信息由所述服务器接收客户端发送的所述鉴权数据包,通过所述鉴权数据包获取包括:
所述服务器获取本地预存的本地密钥;
所述服务器将所述固定密钥与本地密钥进行对比得到比对结果;
在所述比对结果为所述固定密钥与所述本地密钥相同时,所述服务器读取所述用户名;
所述服务器依据所述用户名获取对应的公钥,使用所述公钥解密所述加密密文得到认证信息;
其中,所述固定密钥为所述鉴权数据包的起始预设字节;
通过所述认证信息与所述服务器进行认证包括:
向服务器发送反馈消息,并从服务器接收第一认证密文和第二认证密文;
将所述第二认证密文使用私钥进行解密得到明文消息;
将所述明文消息与原始明文进行对比,若所述明文消息与所述原始明文一致,使用所述私钥解密所述第一认证密文得到认证明文;
使用所述私钥对所述认证明文进行加密得到认证字符串;
将所述认证字符串发送至所述服务器,由服务器接收所述客户端发送的认证字符串,并使用所述公钥对所述认证字符串进行解密得到第三认证密文,将所述第三认证密文与随机字符串进行对比得到认证结果;在所述认证结果为认证失败时向所述客户端返回端口关闭消息;
其中,所述第一认证密文和所述第二认证密文,通过以下方式得到:
所述服务器在收到所述反馈消息后,随机生成随机字符串;使用公钥对所述随机字符串进行加密得到第一认证密文;将所述认证信息使用公钥进行加密得到第二认证密文;将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证;
所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为所述原始明文,用私钥将所述原始明文加密成所述加密密文。
4.一种夹杂鉴权信号的端口隐藏装置,其特征在于,包括鉴权包接收模块、认证信息获取模块和服务端认证模块;
所述鉴权包接收模块,被配置为从客户端接收鉴权数据包;
所述认证信息获取模块,被配置为通过所述鉴权数据包获取认证信息,并将所述认证信息发送至所述客户端,等待接收所述客户端返回的反馈消息;
所述服务端认证模块,被配置为在接收到所述反馈消息后,根据所述反馈消息与所述客户端进行认证,在认证失败时向所述客户端返回端口关闭消息;
所述认证信息获取模块,被配置通过所述鉴权数据报获取认证信息时,包括:
其中,所述鉴权数据包包括固定密钥、加密密文和用户名;
获取本地预存的本地密钥;
将所述固定密钥与本地密钥进行对比得到比对结果;
在所述比对结果为所述固定密钥与所述本地密钥相同时,读取所述用户名;
依据所述用户名获取对应的公钥,使用所述公钥解密所述加密密文得到认证信息;
其中,所述固定密钥为所述鉴权数据包的起始预设字节;
所述服务端认证模块,被配置为根据所述反馈消息与所述客户端进行认证时,包括:
在收到所述反馈消息后,随机生成随机字符串;
使用公钥对所述随机字符串进行加密得到第一认证密文;
将所述认证信息使用公钥进行加密得到第二认证密文;
将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证;
将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证后,接收所述客户端发送的认证字符串;
使用所述公钥对所述认证字符串进行解密得到第三认证密文;
将所述第三认证密文与所述随机字符串进行对比得到认证结果;
在所述认证结果为认证失败时向所述客户端返回端口关闭消息;
其中,所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为原始明文,用私钥将原始明文加密成所述加密密文。
5.一种客户端认证装置,其特征在于,包括鉴权包生成模块和客户端认证模块;
所述鉴权包生成模块,被配置为生成鉴权数据包,将所述鉴权数据包发送至服务器,并等待接收所述服务器发送的认证信息;所述鉴权数据包包括固定密钥、加密密文和用户名;
其中,认证信息由服务器接收客户端发送的鉴权数据包,通过鉴权数据包获取;
所述客户端认证模块,被配置为接收所述服务器发送的所述认证信息,并在接收到所述服务器发送的认证信息后,通过所述认证信息与所述服务器进行认证;
其中,所述认证信息由所述服务器接收客户端发送的所述鉴权数据包,通过所述鉴权数据包获取,包括:
所述服务器获取本地预存的本地密钥;
所述服务器将所述固定密钥与本地密钥进行对比得到比对结果;
在所述比对结果为所述固定密钥与所述本地密钥相同时,所述服务器读取所述用户名;
所述服务器依据所述用户名获取对应的公钥,使用所述公钥解密所述加密密文得到认证信息;
其中,所述固定密钥为所述鉴权数据包的起始预设字节;
所述客户端认证模块,被配置为通过所述认证信息与所述服务器进行认证包括:
向服务器发送反馈消息,并从服务器接收第一认证密文和第二认证密文;
将所述第二认证密文使用私钥进行解密得到明文消息;
将所述明文消息与原始明文进行对比,若所述明文消息与所述原始明文一致,使用所述私钥解密所述第一认证密文得到认证明文;
使用所述私钥对所述认证明文进行加密得到认证字符串;
将所述认证字符串发送至所述服务器,由服务器接收所述客户端发送的认证字符串,并使用所述公钥对所述认证字符串进行解密得到第三认证密文,将所述第三认证密文与随机字符串进行对比得到认证结果;在所述认证结果为认证失败时向所述客户端返回端口关闭消息;
其中,所述第一认证密文和所述第二认证密文,通过以下方式得到;
所述服务器在收到所述反馈消息后,随机生成随机字符串;使用公钥对所述随机字符串进行加密得到第一认证密文;将所述认证信息使用公钥进行加密得到第二认证密文;将所述第一认证密文和所述第二认证密文发送至所述客户端进行认证;
其中,所有客户端都保存有预先设置的账户,且预先为每个账号预先生成密钥对,服务器会存储公钥,客户端会存储私钥,在从客户端接收鉴权数据包前,客户端随机生成字符串作为所述原始明文,用私钥将所述原始明文加密成所述加密密文。
6.一种夹杂鉴权信号的端口隐藏设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1或2中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110422616.8A CN112839062B (zh) | 2021-04-20 | 2021-04-20 | 夹杂鉴权信号的端口隐藏方法和装置、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110422616.8A CN112839062B (zh) | 2021-04-20 | 2021-04-20 | 夹杂鉴权信号的端口隐藏方法和装置、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112839062A CN112839062A (zh) | 2021-05-25 |
| CN112839062B true CN112839062B (zh) | 2021-08-13 |
Family
ID=75929807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110422616.8A Active CN112839062B (zh) | 2021-04-20 | 2021-04-20 | 夹杂鉴权信号的端口隐藏方法和装置、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112839062B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726513A (zh) * | 2022-03-18 | 2022-07-08 | 阿里巴巴(中国)有限公司 | 数据传输方法、设备、介质及产品 |
| CN114531303B (zh) * | 2022-04-24 | 2022-07-12 | 北京天维信通科技有限公司 | 一种服务器端口隐藏方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005155A (zh) * | 2018-07-04 | 2018-12-14 | 北京奇安信科技有限公司 | 身份认证方法及装置 |
| CN110535868A (zh) * | 2019-09-05 | 2019-12-03 | 山东浪潮商用系统有限公司 | 基于混合加密算法的数据传输方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603485B (zh) * | 2016-10-31 | 2020-03-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| WO2019226115A1 (en) * | 2018-05-23 | 2019-11-28 | Sixscape Communications Pte Ltd | Method and apparatus for user authentication |
| CN109672664B (zh) * | 2018-11-13 | 2021-06-18 | 视联动力信息技术股份有限公司 | 一种视联网终端的认证方法和系统 |
| CN109688104A (zh) * | 2018-11-15 | 2019-04-26 | 成都科来软件有限公司 | 一种实现将网络中的主机隐藏的系统及方法 |
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及系统 |
-
2021
- 2021-04-20 CN CN202110422616.8A patent/CN112839062B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005155A (zh) * | 2018-07-04 | 2018-12-14 | 北京奇安信科技有限公司 | 身份认证方法及装置 |
| CN110535868A (zh) * | 2019-09-05 | 2019-12-03 | 山东浪潮商用系统有限公司 | 基于混合加密算法的数据传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112839062A (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7584505B2 (en) | Inspected secure communication protocol | |
| CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
| RU2307391C2 (ru) | Способы дистанционного изменения пароля связи | |
| US8302170B2 (en) | Method for enhancing network application security | |
| US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
| Petullo et al. | MinimaLT: minimal-latency networking through better security | |
| KR20010004791A (ko) | 인터넷 환경의 이동통신시스템에서 사용자 정보 보안 장치 및그 방법 | |
| JP2009503916A (ja) | マルチ鍵暗号化生成アドレス | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
| CN113225352A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US20060031680A1 (en) | System and method for controlling access to a computerized entity | |
| CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
| Momani et al. | Comparative analysis of Open-SSL vulnerabilities & heartbleed exploit detection | |
| Kraev et al. | Authentication via RDP Using Electronic Identifiers | |
| CN113225298A (zh) | 一种报文验证方法及装置 | |
| CN114244569B (zh) | Ssl vpn远程访问方法、系统和计算机设备 | |
| Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks | |
| CN116708039B (zh) | 基于零信任单包认证的访问方法、装置及系统 | |
| CN114500041B (zh) | 一种软件定义边界的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |