CN112822158A - 网络的访问方法、装置、电子设备及存储介质 - Google Patents

网络的访问方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN112822158A
CN112822158A CN202011560194.2A CN202011560194A CN112822158A CN 112822158 A CN112822158 A CN 112822158A CN 202011560194 A CN202011560194 A CN 202011560194A CN 112822158 A CN112822158 A CN 112822158A
Authority
CN
China
Prior art keywords
user terminal
tcp
spa
server
knock
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011560194.2A
Other languages
English (en)
Other versions
CN112822158B (zh
Inventor
徐辉
胡良俊
沈韵
齐向东
吴云坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202011560194.2A priority Critical patent/CN112822158B/zh
Publication of CN112822158A publication Critical patent/CN112822158A/zh
Application granted granted Critical
Publication of CN112822158B publication Critical patent/CN112822158B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种网络的访问方法、装置、电子设备及存储介质。其中,网络的访问方法,包括:通过UDP端口接收用户终端发送的UDP SPA敲门包;对UDP SPA敲门包验证通过后,为终端的源地址开放TCP端口,以便终端通过TCP端口建立TCP网络连接;接收终端发送的TCP SPA敲门包,以建立TLS安全传输连接;对TCP SPA敲门包验证通过后,建立完成TLS安全传输连接,以通过目标TCP端口为终端提供基于TLS安全传输连接的访问服务。本发明的实施例,可以有效避免服务器收到DDOS、恶意嗅探、网络扫描等网络攻击,并可有效防止TCP SYN DDOS攻击,并避免受到CDN、前置WAF/负载的部署影响,使一个终端敲门通过后,仅对该终端提供TCP的访问权限,保证了网络访问的安全性。

Description

网络的访问方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络的访问方法、装置、电子设备及存储介质。
背景技术
目前常见的UDP(用户数据报协议,User Datagram Protocol)SPA(单包授权,Single Package Authorization)敲门技术(Port-knocking),客户端通过一个额外的UDP端口进行一次认证访问(敲门),服务端认证通过后,将UDP访问的源IP(网际互连协议,Internet Protocol)加入到防火墙规则中放行,此时客户端再访问原本的TCP(传输控制协议,Transmission Control Protocol)端口就可以通过。存在一些技术问题:如果有CDN(内容分发网络,Content Delivery Network)或前置WAF(网站应用级入侵防御系统,WebApplication Firewall)/负载,那么用户侧所有源IP都会一样,导致敲门放大。即:一个终端敲门,全网终端都可以访问服务端的资源或服务,网络访问安全性较差。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络的访问方法、装置、电子设备及存储介质。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种网络的访问方法,包括:
服务器通过UDP端口接收用户终端发送的UDP SPA敲门包;
对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;
通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接;
对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
进一步地,所述服务器通过UDP端口接收用户终端发送的UDP SPA敲门包,包括:
所述服务器进入UDP SPA模式,以启用所述UDP端口;
通过所述UDP端口接收所述用户终端发送的所述UDP SPA敲门包。
进一步地,所述UDP SPA敲门包包括用户终端的源地址、用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,所述对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,包括:
基于所述用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,对所述UDP SPA敲门包进行验证;
对所述UDP SPA敲门包验证通过后,基于所述用户终端的源地址和所述目标TCP端口配置防火墙,以便为所述用户终端的源地址开放或临时开放所述目标TCP端口,所述临时开放指在预设的开放时长内开放;其中,为所述用户终端的源地址临时开放所述目标TCP端口时,还包括:达到预设的开放时长后,关闭所述目标TCP端口。
进一步地,所述通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接之前,还包括:
接收所述用户终端通过所述目标TCP端口发送的连接请求;
基于所述连接请求,建立与所述用户终端之间的TCP网络连接。
进一步地,所述基于所述连接请求,建立与所述用户终端之间的TCP网络连接,包括:
所述服务器通过与所述用户终端之间的三次握手,建立与所述用户终端之间的TCP网络连接。
进一步地,所述对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,还包括:
通过所述目标TCP端口接收所述用户终端发送所述TCP SPA敲门包;
基于所述TCP SPA敲门包,与所述用户终端进行TLS会话握手,并在所述TLS会话握手成功后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,以便所述用户终端通过所述目标TCP端口安全的访问所述服务器提供的服务。
第二方面,本发明实施例还提供了一种网络的访问装置,包括:
SPA敲门包接收模块,用于通过服务器的UDP端口接收用户终端发送的UDP SPA敲门包,以及通过所述服务器的目标TCP端口与所述用户终端已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包;
端口开放模块,用于对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放所述服务器的目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;
访问模块,用于对所述TCP SPA敲门包验证,并在验证通过后,完成所述用户终端与所述服务器之间的TLS安全传输连接的建立,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的网络的访问方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的网络的访问方法的步骤。
第五方面,本发明实施例还提供了一种计算机程序产品,所计算机程序产品包括有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的网络的访问方法的步骤。
由上面技术方案可知,本发明实施例提供的网络的访问方法、装置、电子设备及存储介质,用户终端获取到服务器开放的TCP端口访问权限时,服务器的TCP端口是预先关闭的,从而,避免直接通过服务器的TCP端口向服务器发起DDOS、恶意嗅探、网络扫描等网络攻击,服务器预先开启UDP端口,由此,需要用户终端对UDP SPA敲门通过后,向用户终端临时开放TCP端口,并需要通过TCP端口对用户终端进行TCP SPA敲门验证,并在验证通过后,为用户终端提供TCP的访问权限,由此,防止TCP SYN DDOS攻击,并避免受到CDN、前置WAF/负载的部署影响,使一个终端敲门通过后,仅对该终端提供TCP的访问权限,进而,保证了网络访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的网络的访问方法的流程图;
图2为本发明一实施例提供的网络的访问方法的用户终端与服务器之间的交互图;
图3为本发明一实施例提供的网络的访问方法的时序图;
图4为本发明一实施例提供的网络的访问装置的结构框图;
图5为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例提供的网络的访问方法的流程图。如图1所示,本发明实施例提供的网络的访问方法,应用于服务器,该网络的访问方法包括如下步骤:
步骤101:通过UDP端口接收用户终端发送的UDP SPA敲门包。
其中,服务器例如为零信任系统的服务端的载体,用户终端例如为零信任系统的客户端的载体,因此,服务器通过自身的UDP端口接收用户终端发送的UDP SPA敲门包,可以认为是服务端通过UDP端口接收客户端发送的UDP SPA敲门包。
零信任系统作为一种网络安全防护架构,通过打破信任和网络位置的默认绑定关系,对所有访问主体都进行强制的身份认证和授权,可以有效降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问。零信任系统正逐渐被越来越多的企业机构安全管理者所认可,成为保护核心重要业务数据资产的选择。
零信任系统的控制中心和安全网关,作为零信任系统中的核心功能组件,分别承担身份认证、访问授权决策、策略管理和请求拦截、转发的重要作用。零信任系统在保护数据资源访问安全的同时,零信任系统通过对外暴露端口被用户访问。
在本发明的一个实施例中,如图2和图3所示,服务器通过UDP端口接收用户终端发送的UDP SPA敲门包,包括:服务器进入UDP SPA模式,以启用所述UDP端口;通过所述UDP端口接收所述用户终端发送的所述UDP SPA敲门包。该示例中,UDP SPA敲门包包含但不限于用户终端的源地址、用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部。
其中,图2中,服务端例如为零信任功能组件,客户端为合法用户终端,图3中,客户端指零信任组件客户端,服务端指零信任组件服务端。
步骤102:对UDP SPA敲门包验证,并在验证通过后,为用户终端的源地址开放目标TCP端口,以便用户终端通过目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接。
在本发明的一个实施例中,如图2和图3所示,对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放服务器的目标TCP端口,包括:基于所述用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,对所述UDP SPA敲门包进行验证;对所述UDP SPA敲门包验证通过后,基于所述用户终端的源地址和所述目标TCP端口配置防火墙,以便为所述用户终端的源地址开放或临时开放所述目标TCP端口,所述临时开放指在预设的开放时长内开放;其中,为所述用户终端的源地址临时开放所述目标TCP端口时,还包括:达到预设的开放时长后,关闭所述目标TCP端口。
具体来说,服务器在UDP SPA模式下,服务器对外隐藏TCP端口,服务器防火墙的默认规则为deny all,即关闭所有TCP端口,拒绝一切的TCP连接,同时服务器启用额外的UDP端口用于接收UDP SPA敲门包,用户终端获取用户输入的身份凭证(即:用户的身份标识)、设备标识后,基于共享密钥、时间戳构造UDP SPA敲门包并发通过服务器开启的UDP端口发送给服务器,服务器可被动地从网卡获取用户终端发送的UDP SPA敲门包,并对UDP SPA敲门包进行验证,验证通过后,将UDP SPA敲门包中的源IP(即:用户终端的源地址)和服务器自身的目标TCP端口加入到防火墙规则中,例如临时给用户终端开放目标TCP端口的访问权限,此时用户终端再访问目标TCP端口就可以正常连接了。此模式可有效防止TCP SYN DDOS的攻击,也就是说,由于对用户终端进行UDP SPA敲门包的验证,没有得到UDP SPA敲门包的验证通过之前,服务器的TCP端口是关闭的,因此,避免了利用TCP端口进行DDOS、恶意嗅探、网络扫描等网络攻击。
该示例中,预设的开放时长可以在防火墙中预先配置好,例如为10分钟,当目标TCP端口为用户终端开放了10分钟后,则自动关闭。这样,避免用户终端可以一次验证后便可以长期地访问服务器的目标TCP端口,进一步提升了服务器的访问安全性。
步骤103:通过目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接。
步骤S104:对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
对于步骤103和步骤104而言,在本发明的一个实施例中,如图2和图3所示,通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接之前,包括:接收所述用户终端通过所述目标TCP端口发送的连接请求;基于所述连接请求,建立与所述用户终端之间的TCP网络连接。
该示例中,基于所述连接请求,建立与所述用户终端之间的TCP网络连接,包括:所述服务器通过与所述用户终端之间的三次握手,建立与所述用户终端之间的TCP网络连接。
该示例中,在建立与所述用户终端之间的TCP网络连接之后,需要进行TCP SPA敲门包验证,具体来说,对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,包括:通过所述目标TCP端口接收所述用户终端发送所述TCPSPA敲门包;基于所述TCP SPA敲门包,与所述用户终端进行TLS会话握手,并在所述TLS会话握手成功后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,以便所述用户终端通过所述目标TCP端口安全的访问所述服务器提供的服务。
具体来说,通过UDP SPA敲门包,服务器向用户终端临时开放了目标TCP端口的访问权限,此时,服务器还需要对用户终端进行TCP SPA验证,即:服务器进入TCP SPA模式,该模式下,服务器对外隐藏TLS(安全传输层协议,Transport Layer Security)服务,用户终端和服务器之间通过三次握手建立TCP连接,接下来建立TLS会话之前,服务器要求用户终端提供一个包含TLS Client Hello及扩展字段的单个TCP数据包,服务端从TLS ClientHello的扩展字段上提取出SPA敲门包,并进行解析和验证。验证通过,按协议完成TLS会话握手,验证失败则断开或者重置用户终端和服务器之间的TCP连接。因此,避免受到CDN、前置WAF/负载的部署影响,即:如果有CDN或前置WAF/负载,那么对于一个用户侧而言,所有的终端的源IP一样,也就是说,服务器对其中一个用户终端授权开放TCP端口的访问权限后,其它的用户终端同样具有访问权限,而通过该实施例,可以有效避免受到CDN、前置WAF/负载的部署影响,换言之,避免了一个终端敲门通过后,全网的终端均可以访问的可能,有效地保证了网络访问的安全性。
根据本发明实施例的网络的访问方法,用户终端获取到服务器开放的TCP端口访问权限时,服务器的TCP端口是预先关闭的,从而,避免直接通过服务器的TCP端口向服务器发起DDOS、恶意嗅探、网络扫描等网络攻击,服务器预先开启UDP端口,由此,需要用户终端通过UDP SPA敲门通过后,向用户终端临时开放TCP端口,并需要通过TCP端口对用户终端进行TCP SPA敲门验证,并在验证通过后,为用户终端提供TCP的访问权限,由此,防止TCP SYNDDOS攻击,并避免受到CDN、前置WAF/负载的部署影响,使一个终端敲门通过后,仅对该终端提供TCP的访问权限,进而,保证了网络访问的安全性。
图4示出了本发明实施例提供的网络的访问装置的结构示意图。如图4所示,本实施例提供的网络的访问装置,包括:SPA敲门包接收模块410、端口开放模块420和访问模块430,其中:
SPA敲门包接收模块410,用于通过服务器的UDP端口接收用户终端发送的UDP SPA敲门包,以及通过所述服务器的目标TCP端口与所述用户终端已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包;
端口开放模块420,用于对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放所述服务器的目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;
访问模块430,用于对所述TCP SPA敲门包验证,并在验证通过后,完成所述用户终端与所述服务器之间的TLS安全传输连接的建立,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
基于上述各实施例的内容,在本实施例中,所述SPA敲门包接收模块410,具体用于:
控制所述服务器进入UDP SPA模式,以启用所述UDP端口;
通过所述UDP端口接收所述用户终端发送的所述UDP SPA敲门包。
基于上述各实施例的内容,在本实施例中,所述UDP SPA敲门包包括用户终端的源地址、用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,所述端口开放模块420,具体用于:
基于所述用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,对所述UDP SPA敲门包进行验证;
对所述UDP SPA敲门包验证通过后,基于所述用户终端的源地址和所述目标TCP端口配置防火墙,以便为所述用户终端的源地址开放或临时开放所述目标TCP端口,所述临时开放指在预设的开放时长内开放;其中,为所述用户终端的源地址临时开放所述目标TCP端口时,还包括:达到预设的开放时长后,关闭所述目标TCP端口。
基于上述各实施例的内容,在本实施例中,所述访问模块430,具体用于:
接收所述用户终端通过所述目标TCP端口发送的连接请求;
基于所述连接请求,建立与所述用户终端之间的TCP网络连接。
基于上述各实施例的内容,在本实施例中,所述基于所述连接请求,建立与所述用户终端之间的TCP网络连接,包括:
所述服务器通过与所述用户终端之间的三次握手,建立与所述用户终端之间的TCP网络连接。
基于上述各实施例的内容,在本实施例中,在建立与所述用户终端之间的TCP网络连接之后,还包括:
通过所述目标TCP端口接收所述用户终端发送所述TCP SPA敲门包;
基于所述TCP SPA敲门包,与所述用户终端进行TLS会话握手,并在所述TLS会话握手成功后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,以便所述用户终端通过所述目标TCP端口安全的访问所述服务器提供的服务。
根据本发明实施例的网络的访问方法,用户终端获取到服务器开放的TCP端口访问权限时,服务器的TCP端口是预先关闭的,从而,避免直接通过服务器的TCP端口向服务器发起DDOS、恶意嗅探、网络扫描等网络攻击,服务器预先开启UDP端口,由此,需要用户终端通过UDP SPA敲门通过后,向用户终端临时开放TCP端口,并需要通过TCP端口对用户终端进行TCP SPA敲门验证,并在验证通过后,为用户终端提供TCP的访问权限,由此,防止TCP SYNDDOS攻击,并避免受到CDN、前置WAF/负载的部署影响,使一个终端敲门通过后,仅对该终端提供TCP的访问权限,进而,保证了网络访问的安全性。
由于本发明实施例提供的网络的访问装置,可以用于执行上述实施例所述的网络的访问方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
在本实施例中,需要说明的是,本发明实施例的装置中的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图5,所述电子设备具体包括如下内容:处理器501、存储器502、通信接口503和通信总线504;
其中,所述处理器501、存储器502、通信接口503通过所述通信总线504完成相互间的通信;
所述处理器501用于调用所述存储器502中的计算机程序,所述处理器执行所述计算机程序时实现上述网络的访问方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:服务器通过UDP端口接收用户终端发送的UDP SPA敲门包;对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接;对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述网络的访问方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:服务器通过UDP端口接收用户终端发送的UDP SPA敲门包;对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCPSPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接;对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种计算机程序产品,所计算机程序产品包括有计算机程序,该计算机程序被处理器执行时实现上述网络的访问方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:服务器通过UDP端口接收用户终端发送的UDP SPA敲门包;对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接;对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的流量审计方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网络的访问方法,其特征在于,用于服务器,所述网络的访问方法包括:
通过UDP端口接收用户终端发送的UDP SPA敲门包;
对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;
通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接;
对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
2.根据权利要求1所述的网络的访问方法,其特征在于,所述服务器通过UDP端口接收用户终端发送的UDP SPA敲门包,包括:
所述服务器进入UDP SPA模式,以启用所述UDP端口;
通过所述UDP端口接收所述用户终端发送的所述UDP SPA敲门包。
3.根据权利要求1或2所述的网络的访问方法,其特征在于,所述UDP SPA敲门包包括用户终端的源地址、用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,所述对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放目标TCP端口,包括:
基于所述用户的身份标识、用户终端的设备标识、共享密钥和时间戳中的部分或全部,对所述UDP SPA敲门包进行验证;
对所述UDP SPA敲门包验证通过后,基于所述用户终端的源地址和所述目标TCP端口配置防火墙,以便为所述用户终端的源地址开放或临时开放所述目标TCP端口,所述临时开放指在预设的开放时长内开放;
其中,为所述用户终端的源地址临时开放所述目标TCP端口时,还包括:
达到预设的开放时长后,关闭所述目标TCP端口。
4.根据权利要求1所述的网络的访问方法,其特征在于,所述通过所述目标TCP端口已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包,以建立所述用户终端与所述服务器之间的TLS安全传输连接之前,还包括:
接收所述用户终端通过所述目标TCP端口发送的连接请求;
基于所述连接请求,建立与所述用户终端之间的TCP网络连接。
5.根据权利要求4所述的网络的访问方法,其特征在于,所述基于所述连接请求,建立与所述用户终端之间的TCP网络连接,包括:
所述服务器通过与所述用户终端之间的三次握手,建立与所述用户终端之间的TCP网络连接。
6.根据权利要求4或5所述的网络的访问方法,其特征在于,所述对所述TCP SPA敲门包验证,并在验证通过后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,还包括:
通过所述目标TCP端口接收所述用户终端发送所述TCP SPA敲门包;
基于所述TCP SPA敲门包,与所述用户终端进行TLS会话握手,并在所述TLS会话握手成功后,建立完成所述用户终端与所述服务器之间的TLS安全传输连接,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务,以便所述用户终端通过所述目标TCP端口安全的访问所述服务器提供的服务。
7.一种网络的访问装置,其特征在于,用于服务器,所述网络的访问装置包括:
SPA敲门包接收模块,用于通过服务器的UDP端口接收用户终端发送的UDP SPA敲门包,以及通过所述服务器的目标TCP端口与所述用户终端已建立的所述用户终端与所述服务器之间的TCP网络连接,接收所述用户终端发送的TCP SPA敲门包;
端口开放模块,用于对所述UDP SPA敲门包验证,并在验证通过后,为所述用户终端的源地址开放所述服务器的目标TCP端口,以便所述用户终端通过所述目标TCP端口建立所述用户终端与所述服务器之间的TCP网络连接;
访问模块,用于对所述TCP SPA敲门包验证,并在验证通过后,完成所述用户终端与所述服务器之间的TLS安全传输连接的建立,以通过所述目标TCP端口为所述用户终端提供基于TLS安全传输连接的访问服务。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现根据权利要求1~6任一项所述的网络的访问方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现根据权利要求1~6任一项所述的网络的访问方法的步骤。
10.一种计算机程序产品,所计算机程序产品包括有计算机程序,其特征在于,该计算机程序被处理器执行时实现根据权利要求1~6任一项所述的网络的访问方法的步骤。
CN202011560194.2A 2020-12-25 2020-12-25 网络的访问方法、装置、电子设备及存储介质 Active CN112822158B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011560194.2A CN112822158B (zh) 2020-12-25 2020-12-25 网络的访问方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011560194.2A CN112822158B (zh) 2020-12-25 2020-12-25 网络的访问方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN112822158A true CN112822158A (zh) 2021-05-18
CN112822158B CN112822158B (zh) 2022-11-11

Family

ID=75853906

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011560194.2A Active CN112822158B (zh) 2020-12-25 2020-12-25 网络的访问方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112822158B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612790A (zh) * 2021-08-11 2021-11-05 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
CN113904826A (zh) * 2021-09-29 2022-01-07 奇安信科技集团股份有限公司 数据传输方法、装置、设备和存储介质
CN113992357A (zh) * 2021-09-29 2022-01-28 新华三信息安全技术有限公司 一种客户端认证方法、装置、设备及机器可读存储介质
CN113992734A (zh) * 2021-11-19 2022-01-28 中国电信股份有限公司 会话连接方法及装置、设备
CN114257471A (zh) * 2021-11-09 2022-03-29 网宿科技股份有限公司 验证方法、网络设备及存储介质
CN114285607A (zh) * 2021-12-08 2022-04-05 北京安天网络安全技术有限公司 云环境下的联网认证方法、计算机设备及存储介质
CN114640495A (zh) * 2021-11-15 2022-06-17 江苏云涌电子科技股份有限公司 一种基于通用浏览器的零信任单包认证系统及方法
CN115022099A (zh) * 2022-08-09 2022-09-06 北京华云安软件有限公司 基于udp传输协议的身份认证方法和系统
CN115277254A (zh) * 2022-09-26 2022-11-01 安徽华云安科技有限公司 基于udp传输协议的网络服务隐藏方法和装置
CN115865370A (zh) * 2022-11-25 2023-03-28 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法
CN116366720A (zh) * 2021-12-27 2023-06-30 合肥登登立科技有限公司 基于tls中间人技术的网络方法、装置、设备及存储介质
CN115865370B (zh) * 2022-11-25 2024-06-04 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070234428A1 (en) * 2006-03-22 2007-10-04 Rash Michael B Method for secure single-packet remote authorization
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US20170180518A1 (en) * 2015-12-22 2017-06-22 Markany Inc. Authentication system, method, client and recording medium using tcp sync packet
US20180241718A1 (en) * 2017-02-23 2018-08-23 At&T Intellectual Property I, L.P. Single Packet Authorization in a Cloud Computing Environment
CN111131310A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 访问控制方法、装置、系统、计算机设备和存储介质
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全系统及方法
CN111586025A (zh) * 2020-04-30 2020-08-25 广州市品高软件股份有限公司 一种基于sdn的sdp安全组实现方法及安全系统
CN111935187A (zh) * 2020-10-12 2020-11-13 南京云信达科技有限公司 一种数据访问方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070234428A1 (en) * 2006-03-22 2007-10-04 Rash Michael B Method for secure single-packet remote authorization
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US20170180518A1 (en) * 2015-12-22 2017-06-22 Markany Inc. Authentication system, method, client and recording medium using tcp sync packet
US20180241718A1 (en) * 2017-02-23 2018-08-23 At&T Intellectual Property I, L.P. Single Packet Authorization in a Cloud Computing Environment
CN111131310A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 访问控制方法、装置、系统、计算机设备和存储介质
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全系统及方法
CN111586025A (zh) * 2020-04-30 2020-08-25 广州市品高软件股份有限公司 一种基于sdn的sdp安全组实现方法及安全系统
CN111935187A (zh) * 2020-10-12 2020-11-13 南京云信达科技有限公司 一种数据访问方法及装置

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612790B (zh) * 2021-08-11 2023-07-11 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113612790A (zh) * 2021-08-11 2021-11-05 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113904826A (zh) * 2021-09-29 2022-01-07 奇安信科技集团股份有限公司 数据传输方法、装置、设备和存储介质
CN113992357A (zh) * 2021-09-29 2022-01-28 新华三信息安全技术有限公司 一种客户端认证方法、装置、设备及机器可读存储介质
CN113904826B (zh) * 2021-09-29 2024-03-01 奇安信科技集团股份有限公司 数据传输方法、装置、设备和存储介质
CN114257471A (zh) * 2021-11-09 2022-03-29 网宿科技股份有限公司 验证方法、网络设备及存储介质
CN114257471B (zh) * 2021-11-09 2024-04-05 网宿科技股份有限公司 验证方法、网络设备及存储介质
CN114640495A (zh) * 2021-11-15 2022-06-17 江苏云涌电子科技股份有限公司 一种基于通用浏览器的零信任单包认证系统及方法
CN114640495B (zh) * 2021-11-15 2023-03-17 江苏云涌电子科技股份有限公司 一种基于通用浏览器的零信任单包认证系统及方法
CN113992734A (zh) * 2021-11-19 2022-01-28 中国电信股份有限公司 会话连接方法及装置、设备
CN113852697B (zh) * 2021-11-26 2022-03-25 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
CN114285607A (zh) * 2021-12-08 2022-04-05 北京安天网络安全技术有限公司 云环境下的联网认证方法、计算机设备及存储介质
CN114285607B (zh) * 2021-12-08 2023-09-22 北京安天网络安全技术有限公司 云环境下的联网认证方法、系统、计算机设备及存储介质
CN116366720B (zh) * 2021-12-27 2023-08-29 合肥登登立科技有限公司 基于tls中间人技术的网络方法、装置、设备及存储介质
CN116366720A (zh) * 2021-12-27 2023-06-30 合肥登登立科技有限公司 基于tls中间人技术的网络方法、装置、设备及存储介质
CN115022099A (zh) * 2022-08-09 2022-09-06 北京华云安软件有限公司 基于udp传输协议的身份认证方法和系统
CN115277254A (zh) * 2022-09-26 2022-11-01 安徽华云安科技有限公司 基于udp传输协议的网络服务隐藏方法和装置
CN115865370A (zh) * 2022-11-25 2023-03-28 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法
CN115865370B (zh) * 2022-11-25 2024-06-04 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法

Also Published As

Publication number Publication date
CN112822158B (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
CN112822158B (zh) 网络的访问方法、装置、电子设备及存储介质
US10382436B2 (en) Network security based on device identifiers and network addresses
US10542006B2 (en) Network security based on redirection of questionable network access
US10050938B2 (en) Highly secure firewall system
Denniss et al. Oauth 2.0 for native apps
CN110830446B (zh) 一种spa安全验证的方法和装置
WO2014165519A1 (en) Identity-based internet protocol networking
Kumar et al. Performance analysis of sdp for secure internal enterprises
US9548982B1 (en) Secure controlled access to authentication servers
US11539695B2 (en) Secure controlled access to protected resources
CN116346375A (zh) 访问控制方法、访问控制系统、终端及存储介质
Rashid et al. Proposed methods of IP spoofing detection & prevention
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
CN110830444A (zh) 一种单包增强安全验证的方法和装置
Tripathi et al. An ICMP based secondary cache approach for the detection and prevention of ARP poisoning
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
CN116248405A (zh) 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质
CN115801347A (zh) 一种基于单包授权技术增强网络安全的方法和系统
Feher et al. The security of WebRTC
US8590031B2 (en) Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
CN114615329A (zh) 一种无客户端sdp架构实现方法及系统
US20210377220A1 (en) Open sesame
Schwenk et al. The power of recognition: secure single sign-on using TLS channel bindings
Denniss et al. RFC 8252: OAuth 2.0 for Native Apps
EP2109284A1 (en) Protection mechanism against denial-of-service attacks via traffic redirection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

Applicant before: Qianxin Technology Group Co.,Ltd.

GR01 Patent grant
GR01 Patent grant