CN114422194A - 一种单包认证方法、装置、服务端及存储介质 - Google Patents

一种单包认证方法、装置、服务端及存储介质 Download PDF

Info

Publication number
CN114422194A
CN114422194A CN202111594649.7A CN202111594649A CN114422194A CN 114422194 A CN114422194 A CN 114422194A CN 202111594649 A CN202111594649 A CN 202111594649A CN 114422194 A CN114422194 A CN 114422194A
Authority
CN
China
Prior art keywords
client
authentication
spa
address
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111594649.7A
Other languages
English (en)
Inventor
李子钦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111594649.7A priority Critical patent/CN114422194A/zh
Publication of CN114422194A publication Critical patent/CN114422194A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种单包认证方法、装置、服务端及存储介质,该方法包括:获取客户端发送的SPA请求,SPA请求包括客户端的身份认证因子;根据SPA请求的源IP地址,判断客户端是否为合法终端;若确定客户端为合法终端,则根据身份认证因子,对客户端进行单包认证。这样,实现了身份增强认证,即使存在共享密钥泄露、客户端反编译等情况,攻击者也无法获取到身份认证因子,进而无法实现对SPA服务端的攻击,提高了SPA服务端的安全性。

Description

一种单包认证方法、装置、服务端及存储介质
技术领域
本申请涉及网络技术与安全的技术领域,特别是涉及一种单包认证方法、装置、服务端及存储介质。
背景技术
SDP(Software Defined Perimeter,软件定义边界)安全框架是CSA(CloudSecurity Alliance,云安全联盟)开发的一种安全框架,基于SDP安全框架实现的服务器,可以通过SPA(Single Packet Authorization,单包认证)技术,隐藏用户的核心网络资产与设施,使之不直接暴露于外来安全威胁。
相比于其他认证技术,SPA技术存在着较大的安全优势,但在SPA技术中仍然存在共享密钥泄露、客户端反编译等行为攻击SPA服务端的风险。
发明内容
本申请实施例的目的在于提供一种单包认证方法、装置、服务端及存储介质,以增强SPA服务端的安全性。具体技术方案如下:
第一方面,本申请实施例提供了一种单包认证方法,应用于SPA服务端,所述方法包括:
获取客户端发送的SPA请求,所述SPA请求包括所述客户端的身份认证因子;
根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端;
若确定所述客户端为合法终端,则根据所述身份认证因子,对所述客户端进行单包认证。
可选的,在对所述客户端进行单包认证之后,所述方法还包括:
若所述客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发所述客户端发送的业务请求;
若所述客户端认证失败,则获取所述客户端的认证失败原因,向所述客户端发送携带所述认证失败原因的第一提示信息。
可选的,所述调整防火墙策略的步骤,包括:
利用网络链接netlink套接字,控制防火墙策略中的地址集合开放所述客户端至目的端的业务请求端口。
可选的,在调整防火墙策略之后,所述方法还包括:
获取所述客户端对目的端访问失败的指示信息;
基于所述指示信息,获取访问失败原因;
向所述客户端发送携带所述访问失败原因的第二提示信息。
可选的,所述方法还包括:
若所述客户端为非法终端,则向所述客户端发送第三提示信息,所述第三提示信息指示控制报文协议ICMP网络不可达。
可选的,所述根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端的步骤,包括:
判断所述SPA请求的源IP地址是否攻击IP地址,所述攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址;
若是,则确定所述客户端为非法终端;
若否,则确定所述客户端为合法终端。
第二方面,本申请实施例提供了一种单包认证装置,应用于SPA服务端,所述装置包括:
第一获取单元,用于获取客户端发送的SPA请求,所述SPA请求包括所述客户端的身份认证因子;
判断单元,用于根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端;
认证单元,用于若确定所述客户端为合法终端,则根据所述身份认证因子,对所述客户端进行单包认证。
可选的,所述装置还包括:
调整单元,用于在对所述客户端进行单包认证之后,若所述客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发所述客户端发送的业务请求;
第一发送单元,用于在对所述客户端进行单包认证之后,若所述客户端认证失败,则获取所述客户端的认证失败原因,向所述客户端发送携带所述认证失败原因的第一提示信息。
可选的,所述调整单元,具体用于:
利用网络链接netlink套接字,控制防火墙策略中的地址集合开放所述客户端至目的端的业务请求端口。
可选的,所述装置还包括:
第二获取单元,用于在调整防火墙策略之后,获取所述客户端对目的端访问失败的指示信息;
第三获取单元,用于基于所述指示信息,获取访问失败原因;
第二发送单元,用于向所述客户端发送携带所述访问失败原因的第二提示信息。
可选的,所述装置还包括:
第三发送单元,用于若所述客户端为非法终端,则向所述客户端发送第三提示信息,所述第三提示信息指示控制报文协议ICMP网络不可达。
可选的,所述判断单元,具体用于:
判断所述SPA请求的源IP地址是否攻击IP地址,所述攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址;
若是,则确定所述客户端为非法终端;
若否,则确定所述客户端为合法终端。
第三方面,本申请实施例提供了一种SPA服务端,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的单包认证方法步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的单包认证方法步骤。
本申请实施例有益效果:
本申请实施例中提供的技术方案中,客户端在SPA请求中添加了身份认证因子,SPA服务端利用身份认证因子,对客户端进行SPA。这样,实现了身份增强认证,即使存在共享密钥泄露、客户端反编译等情况,攻击者也无法获取到身份认证因子,进而无法实现对SPA服务端的攻击,提高了SPA服务端的安全性。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本申请实施例提供的单包认证方法的第一种流程示意图;
图2为本申请实施例提供的单包认证方法的第二种流程示意图;
图3为本申请实施例提供的单包认证方法的第三种流程示意图;
图4为本申请实施例提供的调整防火墙策略的一种流程示意图;
图5为本申请实施例提供的单包认证方法的第四种流程示意图;
图6为本申请实施例提供的单包认证方法的第五种流程示意图;
图7为本申请实施例提供的单包认证方法的第六种流程示意图;
图8为本申请实施例提供的单包认证装置的一种结构示意图;
图9为本申请实施例提供的SPA服务端的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
SPA技术,是由客户端将敲门所需要的授权包PA(Authorization Packet)编码在SPA请求内,并发送给SPA服务端,SPA服务端基于SPA请求携带的PA,利用共享密钥解码、MD5防重放攻击拦截、时钟比对、硬件设备指纹等各类认证因子,对访问的客户端进行解密验证、MD5防重放、时钟验证等单包认证,认证成功的客户端可以访问隐藏在默认丢弃过滤规则的防火墙后面的服务。
相比于其他认证技术,SPA技术存在着较大的安全优势,但在SPA技术中仍存在以下多个问题亟待解决:
1.存在共享密钥泄露、客户端反编译等行为攻击服务器的风险。
2.不能根据客户端的鉴权认证场景返回合理的反馈信息,用户侧对交互的感知不强。
3.SDP安全框架会存在上万用户并发接入的场景,这对动态持续的SPA操作防火墙的速度和效率有着较高的要求,而通过相关技术中的脚本命令操作防火墙无法满足SDP安全框架的上述需求。
为解决上述问题,本申请实施例提供了一种单包认证方法,该方法应用于SPA服务端。该方法中,客户端在SPA请求中添加了身份认证因子,SPA服务端利用身份认证因子,对客户端进行SPA。这样,实现了身份增强认证,即使存在共享密钥泄露、客户端反编译等情况,攻击者也无法获取到身份认证因子,进而无法实现对SPA服务端的攻击,提高了SPA服务端的安全性。
下面通过具体实施例,对本申请实施例提供的单包认证方法进行详细说明。
参见图1,图1为本申请实施例提供的单包认证方法的第一种流程示意图。该单包认证方法包括如下步骤。
步骤S11,获取客户端发送的SPA请求,SPA请求包括客户端的身份认证因子。
本申请实施例中,身份认证因子可以包括用户名、密码、指纹和人脸特征等用户身份信息。客户端除将随机数、终端用户名、时钟和MAC(Media Access Control,媒体访问控制)地址等认证因子编码在SPA请求内外,还将身份认证因子编码在SPA请求内,并通过SPA服务端的共享密钥对SPA请求进行加密。客户端将加密后的SPA请求携带在UDP(UserDatagram Protocol,用户数据包协议)报文中,发送给SPA服务端。这里的加密算法可以根据实际需求进行设定。
本申请实施例中,客户端对SPA请求进行加密的算法包括但不限于Rijndael算法、DES(Data Encryption Standard,数据加密标准)算法和3DES算法等,对此不进行限定。
本申请实施例中,为提高SPA服务端的安全性,客户端和SPA服务端之间可以设置防火墙。这种情况下,携带SPA请求的UDP报文在到达SPA服务端之前,会先经过SDP安全框架中的防火墙,防火墙策略默认为丢弃(drop)所有端口请求,因此,携带SPA请求的UDP报文同样会被防火墙丢弃。SPA服务端可以通过pcap/dpdk库编程,对指定端口进行抓包,获得客户端发送的携带SPA请求的UDP报文。
SPA服务端可以通过回调函数对UDP报文进行拆包,获得UDP报文的源IP地址、源端口地址、目标IP地址、目标端口地址以及加密的SPA请求。上述UDP报文的源IP地址、源端口地址、目标IP地址和目标端口地址可以理解为SPA请求的源IP地址、源端口地址、目标IP地址和目标端口地址。
对于加密的SPA请求,SPA服务端利用共享密钥,对加密的SPA请求进行解密,得到明文的SPA请求。这里,若SPA服务端对SPA请求解密失败,则确定SPA请求的源IP地址为授权包解码失败的IP地址。
本申请实施例中,SPA服务端对SPA请求进行解密的算法包括但不限于Rijndael算法、DES算法和3DES算法等,只要满足SPA服务端对SPA请求进行解密的算法和客户端对SPA请求进行加密的算法一致即可。
步骤S12,根据SPA请求的源IP地址,判断客户端是否为合法终端。若是,则执行步骤S13。
本申请实施例中,SPA服务端中预先存储攻击IP地址,该攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址。
在获取到SPA请求的源IP地址后,SPA服务端可以判断SPA请求的源IP地址是否攻击IP地址。若判断SPA请求的源IP地址是攻击IP地址,则确定该客户端为非法终端。若判断SPA请求的源IP地址不是攻击IP地址,则确定该客户端为合法终端,执行步骤S13。
步骤S13,根据身份认证因子,对客户端进行单包认证。
若确定客户端为合法终端,则SPA服务端根据身份认证因子,对客户端进行单包认证。
可选的,SPA请求包括随机数、终端用户名、时钟、MAC地址和身份认证因子等认证因子。SPA服务端在确定客户端为合法终端之后,可以综合身份认证因子和随机数、终端用户名、时钟、mac地址等其他认证因子,进行解密验证、MD5防重放、时钟验证等单包认证,以增强单包认证能力。
本申请实施例提供的技术方案中,客户端在SPA请求中添加了身份认证因子,SPA服务端利用身份认证因子,对客户端进行SPA。这样,实现了身份增强认证,即使存在共享密钥泄露、客户端反编译等情况,也就是,攻击者通过非法渠道获取到客户端和共享密钥,依然无法成功通过SPA,提高了SPA服务端的安全性,有效保障了核心网络资产和设施的安全访问。
在本申请的一个实施例中,本申请实施例还提供了一种单包认证方法,如图2所示,该方法可以包括如下步骤:步骤S21-S25。其中,步骤S21-S23与上述步骤S11-S13相同。
步骤S24,若客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发客户端发送的业务请求。
若SPA服务端对客户端认证成功,则SPA服务端调整防火墙策略,以使调整后的防火墙策略的动作项为转发客户端发送的业务请求,也就是,开放客户端至目的端的业务请求端口。
这种情况下,若防火墙接收到客户端发送的SPA请求,则根据调整后的防火墙策略的动作项,通过业务请求端口,向目的端转发业务请求。
步骤S25,若客户端认证失败,则获取客户端的认证失败原因,向客户端发送携带认证失败原因的第一提示信息。
客户端的认证失败原因可以包括但不限于用户名错误、用户密码错误或指纹错误等。
若SPA服务端对客户端认证失败,则SPA服务端获取客户端的认证失败原因,构造携带认证失败原因的第一提示信息,并利用SPA请求的源IP地址,向客户端发送第一提示信息。
例如,客户端的认证失败原因为用户密码错误。SPA服务端根据客户端的认证失败原因,向客户端发送用户密码错误的第一提示信息,指示客户端采用正确的用户密码进行单包认证。
可选的,SPA服务端构造携带认证失败原因的第一提示信息后,可以利用共享密钥,对第一提示信息进行加密,并将加密后的第一提示信息发送给客户端,以提高客户端与SPA服务端交互的安全性。这里,对第一提示信息进行加密的算法并不进行限定。
本申请实施例提供的技术方案中,若SPA服务端对客户端认证失败,则向客户端发送携带认证失败原因的第一提示信息。这样,SPA服务端可以通过第一提示信息指示用户根据认证失败原因对身份认证因子进行调整,提升了用户侧对交互的感知能力。
另外,SPA服务端向客户端发送第一提示信息,基于该第一提示信息,客户端可以及时的采用正确的认证因子进行单包认证,而减少了因未感知到SPA失败或失败的原因而发送的业务请求和SPA请求的数量,进而减轻了SPA服务端和核心网的运维工作量。
在本申请的一个实施例中,本申请实施例还提供了一种单包认证方法,如图3所示,该方法可以包括如下步骤:步骤S31-S35。其中,步骤S31-S33、步骤S35与上述步骤S21-S23、步骤S25相同。步骤S34为步骤S24的一可选的实现方式。
步骤S34,若客户端认证成功,则利用网络链接netlink套接字,控制防火墙策略中的地址集合开放客户端至目的端的业务请求端口。
若客户端认证成功,则SPA服务端利用网络链接netlink套接字,控制防火墙策略中的地址集合(如ipset策略集)开放客户端至目的端的业务请求端口。
本申请实施例提供的技术方案中,SPA服务端利用netlink套接字实现对防火墙策略的管控。相较于传统的SPA技术中的脚本命令操作,netlink套接字可大大提高SPA服务端对防火墙策略管控的执行效率,对防火墙策略的管控更加高效且灵活。
下面结合图4所示的调整防火墙策略的流程示意图,对本申请实施例提供的单包认证方法进行详细说明。
在用户态中,SPA服务端打开netlink套接字,随后绑定netlink套接字和防火墙策略,并向内核态发送配置信息。在内核态中,防火墙内核协议栈中的NETLINK_NETFILTER组件根据用户态发送的配置信息操作防火墙策略中的ipset策略集和内核协议栈哈希表,并对用户态的配置信息予以响应。用户态接收内核态的响应,并对内核态的响应进行处理。
本申请的一个实施例中,本申请实施例还提供了一种单包认证方法,如图5所示,该方法可以包括如下步骤:步骤S51-S58。其中,步骤S51-S55与上述步骤S21-S25相同。
步骤S56,获取客户端对目的端访问失败的指示信息。
本申请实施例中,在SPA服务端调整防火墙策略之后,客户端可通过防火墙向目的端发送业务请求,以访问目的端。
客户端在访问目的端时,还存在访问失败的情况,如业务请求连接超时、业务请求未送达或访问资源不存在等,防火墙在获取到访问失败的信息后,可以向SPA服务端发送客户端对目的端访问失败的指示信息。
步骤S57,基于指示信息,获取访问失败原因。
在接收到客户端对目的端访问失败的指示信息后,SPA服务端可根据指示信息,获取客户端访问失败的具体原因,例如,业务请求连接超时时获取的访问失败原因为业务请求连接超时,业务请求未送达时获取的访问失败原因为访问资源不存在等。
在接收到客户端对目的端访问失败的指示信息后,SPA服务端也可根据指示信息,获取客户端访问失败的模糊原因,例如,业务请求连接超时和业务请求未送达时,获取的访问失败原因均为业务请求连接超时等。
步骤S58,向客户端发送携带访问失败原因的第二提示信息。
SPA服务端在获取到客户端访问失败原因之后,构造携带访问失败原因的第二提示信息,并利用客户端的源IP地址向客户端发送第二提示信息。
可选的,SPA服务端构造携带访问失败原因的第二提示信息后,可以对第二提示信息进行加密,并将加密后的第二提示信息发送给客户端,以提高客户端与SPA服务端交互的安全性。这里,对第二提示信息进行加密的算法并不进行限定。
本申请实施例提供的技术方案中,若客户端对目的端访问失败,SPA服务端向客户端发送携带访问失败原因的第二提示信息。SPA服务端可以通过第二提示信息指示用户重新发送业务请求,提升了用户侧对交互的感知能力。
另外,SPA服务端向客户端发送第二提示信息,基于该第二提示信息客户端可以及时的解决访问失败的问题,减少了因未感知到SPA失败或失败的原因而发送的业务请求的数量,进而减轻了SPA服务端和核心网的运维工作量。
在本申请的一个实施例中,本申请实施例还提供了一种单包认证方法,如图6所示,该方法可以包括如下步骤:步骤S61-S64。其中,步骤S61-S63与上述步骤S11-S13相同。在步骤S62中判定客户端为非法终端的情况下,执行步骤S64。
步骤S64,向客户端发送第三提示信息,第三提示信息指示ICMP网络不可达。
若SPA服务端确定客户端为非法终端,则SPA服务端可以确认客户端为攻击者,利用原始套接字,构造code取值为0、type取值为3的ICMP数据包(即第三提示信息),此时,ICMP数据包指示网络不可达。其中,ICMP协议包的目标IP地址和目标端口地址为SPA请求的源IP地址和源端口地址,ICMP协议包的源IP地址和源端口地址为SPA请求的目标IP地址和目标端口地址。
这种情况下,SPA服务端会将第三提示信息发送至客户端。客户端接收到第三提示信息后,基于该第三提示信息携带的信息,可确定网络不可达,进而认为目的端不存在,进而放弃对目的端的攻击。
本申请实施例提供的技术方案中,SPA服务端向非法终端发送第三提示信息,用以告知客户端第三提示信息的源IP地址不存在,使之放弃对第三提示信息的源IP地址的攻击,进而隐藏用户的核心网络资产与设施,使之不直接暴露于外来安全威胁。
下面结合图7所示的单包认证方法的流程图,对本申请实施例提供的单包认证方法进行详细说明。
客户端向SPA服务端发送包含有身份认证因子的SPA请求,SPA请求经过防火墙时,被防火墙drop,SPA服务端进行抓包,获得客户端发送的SPA请求。SPA服务端确定客户端为合法终端且对客户端认证成功之后,动态调整防火墙策略,以使防火墙的动作项为转发客户端发送的业务请求,将业务请求发送至内网。
与上述单包认证方法对应,本申请实施例提供了一种单包认证装置,应用于SPA服务端,如图8所示,该装置包括:
第一获取单元81,用于获取客户端发送的SPA请求,SPA请求包括客户端的身份认证因子;
判断单元82,用于根据SPA请求的源IP地址,判断客户端是否为合法终端;
认证单元83,用于若确定客户端为合法终端,则根据身份认证因子,对客户端进行单包认证。
一个可选的实施例中,上述单包认证装置还可以包括:
调整单元,用于在对客户端进行单包认证之后,若客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发客户端发送的业务请求;
第一发送单元,用于在对客户端进行单包认证之后,若客户端认证失败,则获取客户端的认证失败原因,向客户端发送携带认证失败原因的第一提示信息。
一个可选的实施例中,上述调整单元,具体可以用于:
利用网络链接netlink套接字,控制防火墙策略中的地址集合开放客户端至目的端的业务请求端口。
一个可选的实施例中,上述单包认证装置还可以包括:
第二获取单元,用于在调整防火墙策略之后,获取客户端对目的端访问失败的指示信息;
第三获取单元,用于基于指示信息,获取访问失败原因;
第二发送单元,用于向客户端发送携带访问失败原因的第二提示信息。
一个可选的实施例中,上述单包认证装置还可以包括:
第三发送单元,用于若客户端为非法终端,则向客户端发送第三提示信息,第三提示信息指示控制报文协议ICMP网络不可达。
一个可选的实施例中,上述判断单元82,具体可以用于:
判断SPA请求的源IP地址是否攻击IP地址,攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址;
若是,则确定客户端为非法终端;
若否,则确定客户端为合法终端。
本申请实施例中提供的技术方案中,客户端在SPA请求中添加了身份认证因子,SPA服务端利用身份认证因子,对客户端进行SPA。这样,实现了身份增强认证,即使存在共享密钥泄露、客户端反编译等情况,攻击者也无法获取到身份认证因子,进而无法实现对SPA服务端的攻击,提高了SPA服务端的安全性。
与上述数据处理方法对应,本申请实施例还提供了一种SPA服务端,如图9所示,包括处理器91和机器可读存储介质92,机器可读存储介质92存储有能够被处理器91执行的机器可执行指令,处理器91被机器可执行指令促使:实现上述任一单包认证方法步骤。
机器可读存储介质可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一单包认证方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一单包认证方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、SPA服务端、存储介质和计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (14)

1.一种单包认证方法,其特征在于,应用于单包认证SPA服务端,所述方法包括:
获取客户端发送的SPA请求,所述SPA请求包括所述客户端的身份认证因子;
根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端;
若确定所述客户端为合法终端,则根据所述身份认证因子,对所述客户端进行单包认证。
2.根据权利要求1所述的方法,其特征在于,在对所述客户端进行单包认证之后,所述方法还包括:
若所述客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发所述客户端发送的业务请求;
若所述客户端认证失败,则获取所述客户端的认证失败原因,向所述客户端发送携带所述认证失败原因的第一提示信息。
3.根据权利要求2所述的方法,其特征在于,所述调整防火墙策略的步骤,包括:
利用网络链接netlink套接字,控制防火墙策略中的地址集合开放所述客户端至目的端的业务请求端口。
4.根据权利要求2或3所述的方法,其特征在于,在调整防火墙策略之后,所述方法还包括:
获取所述客户端对目的端访问失败的指示信息;
基于所述指示信息,获取访问失败原因;
向所述客户端发送携带所述访问失败原因的第二提示信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述客户端为非法终端,则向所述客户端发送第三提示信息,所述第三提示信息指示控制报文协议ICMP网络不可达。
6.根据权利要求1所述的方法,其特征在于,所述根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端的步骤,包括:
判断所述SPA请求的源IP地址是否攻击IP地址,所述攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址;
若是,则确定所述客户端为非法终端;
若否,则确定所述客户端为合法终端。
7.一种单包认证装置,其特征在于,应用于单包认证SPA服务端,所述装置包括:
第一获取单元,用于获取客户端发送的SPA请求,所述SPA请求包括所述客户端的身份认证因子;
判断单元,用于根据所述SPA请求的源IP地址,判断所述客户端是否为合法终端;
认证单元,用于若确定所述客户端为合法终端,则根据所述身份认证因子,对所述客户端进行单包认证。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
调整单元,用于在对所述客户端进行单包认证之后,若所述客户端认证成功,则调整防火墙策略,调整后的防火墙策略的动作项为转发所述客户端发送的业务请求;
第一发送单元,用于在对所述客户端进行单包认证之后,若所述客户端认证失败,则获取所述客户端的认证失败原因,向所述客户端发送携带所述认证失败原因的第一提示信息。
9.根据权利要求8所述的装置,其特征在于,所述调整单元,具体用于:
利用网络链接netlink套接字,控制防火墙策略中的地址集合开放所述客户端至目的端的业务请求端口。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于在调整防火墙策略之后,获取所述客户端对目的端访问失败的指示信息;
第三获取单元,用于基于所述指示信息,获取访问失败原因;
第二发送单元,用于向所述客户端发送携带所述访问失败原因的第二提示信息。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三发送单元,用于若所述客户端为非法终端,则向所述客户端发送第三提示信息,所述第三提示信息指示控制报文协议ICMP网络不可达。
12.根据权利要求7所述的装置,其特征在于,所述判断单元,具体用于:
判断所述SPA请求的源IP地址是否攻击IP地址,所述攻击IP地址为黑名单的IP地址,或授权包解码失败的IP地址,或存在攻击行为或可疑行为的IP地址;
若是,则确定所述客户端为非法终端;
若否,则确定所述客户端为合法终端。
13.一种单包认证SPA服务端,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
CN202111594649.7A 2021-12-24 2021-12-24 一种单包认证方法、装置、服务端及存储介质 Pending CN114422194A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111594649.7A CN114422194A (zh) 2021-12-24 2021-12-24 一种单包认证方法、装置、服务端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111594649.7A CN114422194A (zh) 2021-12-24 2021-12-24 一种单包认证方法、装置、服务端及存储介质

Publications (1)

Publication Number Publication Date
CN114422194A true CN114422194A (zh) 2022-04-29

Family

ID=81268429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111594649.7A Pending CN114422194A (zh) 2021-12-24 2021-12-24 一种单包认证方法、装置、服务端及存储介质

Country Status (1)

Country Link
CN (1) CN114422194A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统
CN115086079A (zh) * 2022-07-27 2022-09-20 远江盛邦(北京)网络安全科技股份有限公司 防止报文攻击的单包认证方法、装置、电子设备及介质
CN115174264A (zh) * 2022-08-03 2022-10-11 远江盛邦(北京)网络安全科技股份有限公司 一种安全优化的单包认证方法及系统
CN115865370A (zh) * 2022-11-25 2023-03-28 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法
CN115865370B (zh) * 2022-11-25 2024-06-04 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
CN109121136A (zh) * 2017-06-22 2019-01-01 中国电信股份有限公司 网络接入、终端连接和验证方法及终端、网关和系统
CN111770090A (zh) * 2020-06-29 2020-10-13 深圳市联软科技股份有限公司 一种单包授权方法及系统
CN111833507A (zh) * 2020-07-10 2020-10-27 腾讯科技(深圳)有限公司 访客认证方法、装置、设备及计算机可读存储介质
CN112866297A (zh) * 2021-04-02 2021-05-28 中国工商银行股份有限公司 访问数据处理方法、装置及系统
CN112989314A (zh) * 2019-12-02 2021-06-18 阿里巴巴集团控股有限公司 数据认证的方法、装置和终端

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109121136A (zh) * 2017-06-22 2019-01-01 中国电信股份有限公司 网络接入、终端连接和验证方法及终端、网关和系统
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
CN112989314A (zh) * 2019-12-02 2021-06-18 阿里巴巴集团控股有限公司 数据认证的方法、装置和终端
CN111770090A (zh) * 2020-06-29 2020-10-13 深圳市联软科技股份有限公司 一种单包授权方法及系统
CN111833507A (zh) * 2020-07-10 2020-10-27 腾讯科技(深圳)有限公司 访客认证方法、装置、设备及计算机可读存储介质
CN112866297A (zh) * 2021-04-02 2021-05-28 中国工商银行股份有限公司 访问数据处理方法、装置及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统
CN115086079A (zh) * 2022-07-27 2022-09-20 远江盛邦(北京)网络安全科技股份有限公司 防止报文攻击的单包认证方法、装置、电子设备及介质
CN115174264A (zh) * 2022-08-03 2022-10-11 远江盛邦(北京)网络安全科技股份有限公司 一种安全优化的单包认证方法及系统
CN115865370A (zh) * 2022-11-25 2023-03-28 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法
CN115865370B (zh) * 2022-11-25 2024-06-04 四川启睿克科技有限公司 一种基于tcp选项的单包授权验证方法

Similar Documents

Publication Publication Date Title
US10462114B2 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
US8763097B2 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
CN108418691B (zh) 基于sgx的动态网络身份认证方法
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US8904178B2 (en) System and method for secure remote access
US8543808B2 (en) Trusted intermediary for network data processing
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
CN114422194A (zh) 一种单包认证方法、装置、服务端及存储介质
CN108769007B (zh) 网关安全认证方法、服务器及网关
US20080276309A1 (en) System and Method for Securing Software Applications
CN103248479A (zh) 云存储安全系统、数据保护以及共享方法
CN113225352B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及系统
US20210390533A1 (en) User-Centric, Blockchain-Based and End-to-End Secure Home IP Camera System
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
US20060230443A1 (en) Private key protection for secure servers
WO2015180399A1 (zh) 一种认证方法及装置系统
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
CN113645115B (zh) 虚拟专用网络接入方法和系统
CN106576050B (zh) 三层安全和计算架构
Sung et al. Security analysis of mobile authentication using qr-codes
CN116321136A (zh) 一种支持多因素身份认证的隐身网关设计方法
CN115242430A (zh) 一种软件定义边界的实现方法及系统
JP2007267064A (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
US10079857B2 (en) Method of slowing down a communication in a network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination