CN115086079A - 防止报文攻击的单包认证方法、装置、电子设备及介质 - Google Patents
防止报文攻击的单包认证方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN115086079A CN115086079A CN202210889152.6A CN202210889152A CN115086079A CN 115086079 A CN115086079 A CN 115086079A CN 202210889152 A CN202210889152 A CN 202210889152A CN 115086079 A CN115086079 A CN 115086079A
- Authority
- CN
- China
- Prior art keywords
- message
- spa
- value
- abstract value
- time factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止报文攻击的单包认证方法、装置、电子设备及介质,所述方法包括:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。本发明提供的单包认证方法,能够快速判断SPA报文是否合法,防止SPA报文的泛洪攻击,加强了SDP控制器或SDP网关的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防止报文攻击的单包方法、装置、电子设备及介质。
背景技术
软件定义边界(Software Defined Perimeter, SDP)是一个能够为 OSI 七层协议栈提供安全防护的网络安全架构。SDP三大组件:SDP控制器、SDP客户端、SDP网关。SDP可实现资产隐藏,并在允许客户端连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接,使用SDP实现的零信任网络能够防御旧攻击方法的新变种,可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
现有技术中,SDP控制器或SDP网关接收到SPA报文后,需要先对SPA报文进行解密,才能获取时间戳,进而判断该SPA的时效性。无论是对称密钥解密还是非对称密钥解密均很消耗CPU资源,攻击者如果进行SPA报文的大量攻击,则SDP控制器或SDP网关会因为频繁的解密操作而瘫痪,使得安全性较低。
发明内容
本发明提供一种防止报文攻击的单包认证方法、装置、电子设备及介质以解决现有技术中SDP控制器或网关在面对大量SPA报文攻击时安全性不高的技术问题,本发明以实现通过生成的带有颗粒度时间因子的摘要值与SPA报文中带有颗粒度时间因子的摘要值进行对比的方式,提高控制器安全性的目的。
第一方面,本发明提供一种防止报文攻击的单包认证方法,包括:
接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;
对所述SPA报文进行解析,得到所述第一摘要值;
生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;
根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
进一步,根据本发明提供的防止报文攻击的单包认证方法,所述生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值,包括:
生成与所述客户端发送的SPA报文具有相同颗粒度的时间因子;
基于与所述客户端共享的摘要算法对含有时间因子的参数进行计算,得到具有相同颗粒度时间因子的第二摘要值。
进一步,根据本发明提供的防止报文攻击的单包认证方法,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,包括:
当所述第一摘要值和所述第二摘要值相等时,确定所述SPA报文为合法报文。
进一步,根据本发明提供的防止报文攻击的单包认证方法,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,还包括:
当所述第一摘要值和所述第二摘要值不相等时,确定所述SPA报文为非法报文。
第二方面,本发明还提供一种防止报文攻击的单包认证方法,包括:
生成具有颗粒度时间因子的第一摘要值;
将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
进一步,根据本发明提供的防止报文攻击的单包认证方法,所述生成具有颗粒度时间因子的第一摘要值,包括:
生成具有预设颗粒度的时间因子;
在计算第一摘要值的参数中加入所述具有预设颗粒度的时间因子,得到具有颗粒度时间因子的第一摘要值。
第三方面,本发明还提供一种防止报文攻击的单包认证装置,包括:
接收模块,用于接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;
解析模块,用于对所述SPA报文进行解析,得到所述第一摘要值;
生成模块,用于生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;
确定模块,用于根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
第四方面,本发明提供一种防止报文攻击的单包认证装置,包括:
生成模块,用于生成具有颗粒度时间因子的第一摘要值;
发送模块,用于将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
第五方面,本发明还提供一种电子设备,包括:
处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上任一项所述防止报文攻击的单包认证方法的步骤。
第六方面,本发明还提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使计算机执行如上任一项所述防止报文攻击的单包认证方法的步骤。
本发明提供一种防止报文攻击的单包认证方法、装置、电子设备及介质,所述方法包括:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。本发明提供的单包认证方法,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的防止报文攻击的单包认证方法的流程示意图;
图2是本发明提供的防止报文攻击的单包认证方法的整体流程示意图;
图3是本发明提供的防止报文攻击的单包认证装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了对本发明所要保护的技术方案具有更有的理解,现对现有技术进行如下介绍。
图1为本发明提供的防止报文攻击的单包认证方法的流程示意图,如图1所示,本发明提供的防止报文攻击的单包认证方法,包括:
步骤101:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值。
在本实施例中,SDP控制器或SDP网关需要接收SDP客户端发送的SPA报文,其中,SPA(Single Packet Authorization)报文是指单个数据包授权报文,属于SDP的核心功能,且该SPA报文中携带具有颗粒度时间因子的第一摘要值。
需要说明的是,颗粒度是指时间戳变化的时间间隔值,比如1分钟级颗粒度:时间戳为2022/06/01 13:18:00, 精确到18分钟;时间戳是以1分钟递增变化的。再比如10秒级颗粒度:时间戳为2022/06/01 13:18:50, 精确到50秒;时间戳是以10秒递增变化的。
步骤102:对所述SPA报文进行解析,得到所述第一摘要值。
在本实施例中,需要对SPA报文进行解析,得到该报文中所包含的第一摘要值,摘要又称概要,是摘录要点或摘录下来的要点,是以提供文献内容梗概为目的,不加评论和补充解释、简明、确切地记述文献重要内容的短文。
其中,第一摘要值是指根据报文中的参数计算出的数值,比如,发送方的发送时间为2022/06/01 13:18:21,发送方的时间因子为2022/06/01 13:18:00。将【报文+发送方时间因子+密钥】用SHA1计算出的第一摘要值H1,将H1存入SPA报文。
步骤103:生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值。
在本实施例中,SDP控制器或SDP网关在接收到SPA报文之后,还需要生成与SDP客户端具有相同颗粒度的时间因子,然后利用SDP客户端共享的摘要算法对含有该时间因子的参数进行计算,得到第二摘要值。比如,接收方的接收时间为2022/06/01 13:18:31,接收方的时间因子为2022/06/01 13:18:00,将【报文+接收方时间因子+密钥】用SHA1计算出的第二摘要值H2。
步骤104:根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
在本实施例中,需要将上述步骤102中得到的第一摘要值与步骤103中得到的第二摘要值进行比较,根据两者的比较结果,确定出SPA报文是否为合法报文,具体的比较方式见下述实施例,在此不作详细介绍。
需要说明的是,如果攻击者拿原始报文重放,上述报文会在1分钟后失效,并且由于摘要值的生成因子包含密钥,攻击者无法构造出合法的摘要值。
根据本发明提供的防止报文攻击的单包认证方法,通过接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。本发明提供的单包认证方法,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
基于上述任一实施例,在本实施例中,所述生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值,包括:
生成与所述客户端发送的SPA报文具有相同颗粒度的时间因子;
基于与所述客户端共享的摘要算法对含有时间因子的参数进行计算,得到具有相同颗粒度时间因子的第二摘要值。
在本实施例中,需要在SDP控制器或SDP网关处生成与客户端发送的SPA报文具有相同颗粒度的时间因子,然后基于相同的摘要算法对含有该时间因子的参数进行计算,得到具有相同颗粒度时间因子的第二摘要值。
举例说明,比如时间因子颗粒度为1分钟,发送方(SDP客户端)发送报文的发送时间为2022/06/01 13:18:21,发送方的时间因子为2022/06/01 13:18:00,接收方(SDP控制器或SDP网关)接收报文发送时间为2022/06/01 13:18:31,接收方的时间因子也为2022/06/01 13:18:00。考虑到临界跨越问题,接收方一般可以生成两个时间因子,本实施例中生成2022/06/01 13:18:00和2022/06/01 13:17:00,对于合法发送者,至少会与其中一个时间因子匹配。
根据本发明提供的防止报文攻击的单包认证方法,通过在接收方生成与SDP客户端具有相同颗粒度的时间因子,根据该时间因子得到第二摘要值,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
基于上述任一实施例,在本实施例中,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,包括:
当所述第一摘要值和所述第二摘要值相等时,确定所述SPA报文为合法报文。
在本实施例中,当第一摘要值和第二摘要值相等时,确定SPA报文为合法报文,比如计算得到的第一摘要值H1,接收方生成的第二摘要值H2,当第一摘要值H1与第二摘要值H2相等时,判断SPA报文为合法报文。
根据本发明提供的防止报文攻击的单包认证方法,通过设定第一摘要值等于第二摘要值,SPA报文才为合法报文,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
基于上述任一实施例,在本实施例中,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,还包括:
当所述第一摘要值和所述第二摘要值不相等时,确定所述SPA报文为非法报文。
在本实施例中,当第一摘要值和第二摘要值不相等时,确定SPA报文为非法报文,比如计算得到的第一摘要值H1,接收方生成的第二摘要值H2,当第一摘要值H1与第二摘要值H2不相等时,判断SPA报文为非法报文。
根据本发明提供的防止报文攻击的单包认证方法,通过设定第一摘要值不等于第二摘要值,SPA报文为非法报文,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
基于上述任一实施例,在本实施例中,本发明还提供一种单包认证方法,包括:
生成具有颗粒度时间因子的第一摘要值;
将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
在本实施例中,需要SDP客户端在计算SPA报文摘要的参数中引入具有一定颗粒度的时间因子,然后将含有该时间因子的第一摘要放入SPA报文中,同时,将该SPA报文发送至SDP控制器或SDP网关中。具体可见上述实施例,在此不作详细介绍。
根据本发明提供的防止报文攻击的单包认证方法,通过在SPA报文中设定具有一定颗粒度的时间因子,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性,让SDP系统的业务连续性和安全性得到极大的提升。
基于上述任一实施例,在本实施例中,所述生成具有颗粒度时间因子的第一摘要值,包括:
生成具有预设颗粒度的时间因子;
在计算第一摘要值的参数中加入所述具有预设颗粒度的时间因子,得到具有颗粒度时间因子的第一摘要值。
在本实施例中,需要生成具有预设颗粒度的时间因子,在计算第一摘要值的参数中加入具有预设颗粒度的时间因子,得到具有颗粒度时间因子的第一摘要值,比如,预设颗粒度为1分钟,发送方(SDP客户端)的发送时间为2022/06/01 13:18:21,发送方的时间因子为2022/06/01 13:18:00,将【报文+发送方时间因子+密钥】用SHA1计算出的第一摘要值H1,将H1存入SPA报文。需要说明的是,预设颗粒度具体可以根据客户的需求进行设定,在此不作具体限定。
需要说明的是,为了防止攻击者构造第一摘要值,可以在所述第一摘要值和第二摘要值的生成因子中加入密钥,如果在生成的第一摘要值的生成因子中加入了密钥,则在SDP控制器或SDP网关计算第二摘要值时也需要加入相同的密钥。通过密钥的设置,防止了攻击者通过构造摘要值来破坏系统安全的操作。
根据本发明提供的防止报文攻击的单包认证方法,通过在SPA报文中设定具有预设颗粒度的时间因子,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性,让SDP系统的业务连续性和安全性得到极大的提升。
基于上述任一实施例,在本实施例中,如图2所示,SDP客户端在计算SPA报文第一摘要值的参数中引入有一定颗粒度的时间因子,并将该明文摘要放入SPA报文内,SDP客户端将SPA报文发往SDP控制器或SDP网关。
需要说明的是,SDP控制器或SDP网关在接收到SPA报文后,首先生成与SDP客户端具有相同颗粒度的时间因子,然后利用与SDP客户端共享的摘要算法对含有该时间因子的参数进行计算,得到第二摘要值,将计算生成的第二摘要值与SPA报文中的第一摘要值进行比较,根据比较结果判断该SPA报文是否为合法报文,两者若是相等则确定该SPA报文为合法报文,两者若是不相等则确定该SPA报文为非法报文。
本发明提供的防止SPA flood攻击的敲门方法,能够快速判断SPA报文是否为合法报文,可以有效的防止SPA flood攻击,加强了SDP控制器或SDP网关的安全性,让SDP系统的业务连续性和安全性都得到了极大提升。
图3为本发明提供的防止报文攻击的单包认证装置,如图3所示,本发明提供的防止报文攻击的单包认证装置包括:
接收模块301,用于接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;
解析模块302,用于对所述SPA报文进行解析,得到所述第一摘要值;
生成模块303,用于生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;
确定模块304,用于根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
根据本发明提供的防止报文攻击的单包认证装置,通过接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。本发明提供的单包认证装置,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性。
基于上述任一实施例,在本实施例中,本发明还提供一种单包认证装置,包括:
生成模块,用于生成具有颗粒度时间因子的第一摘要值;
发送模块,用于将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
根据本发明提供的防止报文攻击的单包认证装置,通过在SPA报文中设定具有一定颗粒度的时间因子,能够快速判断SPA报文是否合法,防止SPA报文大量的攻击,加强了SDP控制器或SDP网关的安全性,让SDP系统的业务连续性和安全性得到极大的提升。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
图4为本发明实施例中提供的电子设备实体结构示意图,如图4所示,本发明提供一种电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;
其中,处理器401、存储器402通过总线403完成相互间的通信;
处理器401用于调用存储器402中的程序指令,以执行上述各方法实施例中所提供的方法,例如包括:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
此外,上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的方法,该方法包括:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的方法,该方法包括:接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;对所述SPA报文进行解析,得到所述第一摘要值;生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种防止报文攻击的单包认证方法,其特征在于,包括:
接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;
对所述SPA报文进行解析,得到所述第一摘要值;
生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;
根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
2.根据权利要求1所述的防止报文攻击的单包认证方法,其特征在于,所述生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值,包括:
生成与所述客户端发送的SPA报文具有相同颗粒度的时间因子;
基于与所述客户端共享的摘要算法对含有时间因子的参数进行计算,得到具有相同颗粒度时间因子的第二摘要值。
3.根据权利要求1所述的防止报文攻击的单包认证方法,其特征在于,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,包括:
当所述第一摘要值和所述第二摘要值相等时,确定所述SPA报文为合法报文。
4.根据权利要求3所述的防止报文攻击的单包认证方法,其特征在于,所述根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文,还包括:
当所述第一摘要值和所述第二摘要值不相等时,确定所述SPA报文为非法报文。
5.一种防止报文攻击的单包认证方法,其特征在于,包括:
生成具有颗粒度时间因子的第一摘要值;
将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
6.根据权利要求5所述的防止报文攻击的单包认证方法,其特征在于,所述生成具有颗粒度时间因子的第一摘要值,包括:
生成具有预设颗粒度的时间因子;
在计算第一摘要值的参数中加入所述具有预设颗粒度的时间因子,得到具有颗粒度时间因子的第一摘要值。
7.一种防止报文攻击的单包认证装置,其特征在于,包括:
接收模块,用于接收客户端发送的SPA报文;其中,所述SPA报文携带具有颗粒度时间因子的第一摘要值;
解析模块,用于对所述SPA报文进行解析,得到所述第一摘要值;
生成模块,用于生成与所述SPA报文具有相同颗粒度时间因子的第二摘要值;
确定模块,用于根据所述第一摘要值和所述第二摘要值,确定所述SPA报文是否为合法报文。
8.一种防止报文攻击的单包认证装置,其特征在于,包括:
生成模块,用于生成具有颗粒度时间因子的第一摘要值;
发送模块,用于将所述第一摘要值放入SPA报文中,并发送所述SPA报文至SDP控制器或SDP网关。
9.一种电子设备,其特征在于,包括:
处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至4中任一项所述防止报文攻击的单包认证方法的步骤,或执行如权利要求5至6中任一项所述防止报文攻击的单包认证方法的步骤。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使计算机执行如权利要求1至4中任一项所述防止报文攻击的单包认证方法的步骤,或执行如权利要求5至6中任一项所述防止报文攻击的单包认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210889152.6A CN115086079A (zh) | 2022-07-27 | 2022-07-27 | 防止报文攻击的单包认证方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210889152.6A CN115086079A (zh) | 2022-07-27 | 2022-07-27 | 防止报文攻击的单包认证方法、装置、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115086079A true CN115086079A (zh) | 2022-09-20 |
Family
ID=83243783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210889152.6A Pending CN115086079A (zh) | 2022-07-27 | 2022-07-27 | 防止报文攻击的单包认证方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086079A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030204728A1 (en) * | 2002-04-30 | 2003-10-30 | Tippingpoint Technologies, Inc. | Steganographically authenticated packet traffic |
| US20110185182A1 (en) * | 2008-06-18 | 2011-07-28 | Andrew William Roscoe | Improvements related to the authentication of messages |
| CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
| CN110198295A (zh) * | 2018-04-18 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 安全认证方法和装置及存储介质 |
| CN111586680A (zh) * | 2020-05-15 | 2020-08-25 | 中国南方电网有限责任公司 | 电网端到端通信加密系统、方法、通信设备和存储介质 |
| WO2021180012A1 (zh) * | 2020-03-11 | 2021-09-16 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
-
2022
- 2022-07-27 CN CN202210889152.6A patent/CN115086079A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030204728A1 (en) * | 2002-04-30 | 2003-10-30 | Tippingpoint Technologies, Inc. | Steganographically authenticated packet traffic |
| US20110185182A1 (en) * | 2008-06-18 | 2011-07-28 | Andrew William Roscoe | Improvements related to the authentication of messages |
| CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
| CN110198295A (zh) * | 2018-04-18 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 安全认证方法和装置及存储介质 |
| WO2021180012A1 (zh) * | 2020-03-11 | 2021-09-16 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
| CN111586680A (zh) * | 2020-05-15 | 2020-08-25 | 中国南方电网有限责任公司 | 电网端到端通信加密系统、方法、通信设备和存储介质 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3014802B1 (en) | Securing method for lawful interception | |
| US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
| WO2016184216A1 (zh) | 一种防止盗链的方法、防止盗链的服务器及客户端 | |
| CN103581173B (zh) | 一种基于工业以太网的数据安全传输方法、系统及装置 | |
| CN101640682B (zh) | 一种改善Web服务安全性的方法 | |
| CN110099048B (zh) | 一种云存储方法及设备 | |
| CA2502134A1 (en) | Inter-authentication method and device | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN112711759A (zh) | 一种防重放攻击漏洞安全防护的方法及系统 | |
| CN114900338A (zh) | 一种加密解密方法、装置、设备和介质 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN107196972B (zh) | 一种认证方法及系统、终端和服务器 | |
| CN110838920B (zh) | web系统中无需存储口令相关信息的口令认证与密钥协商协议 | |
| CN112804269B (zh) | 一种实现网站接口反爬虫的方法 | |
| Chen et al. | Security analysis and improvement of user authentication framework for cloud computing | |
| CN113824705A (zh) | 一种Modbus TCP协议的安全加固方法 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN112566121B (zh) | 一种防止攻击的方法及服务器、存储介质 | |
| CN115549930B (zh) | 登录操作系统的验证方法 | |
| CN108632295B (zh) | 防止终端反复攻击服务器的方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN115086079A (zh) | 防止报文攻击的单包认证方法、装置、电子设备及介质 | |
| CN103812843B (zh) | 基于WebService应用的鉴权方法及系统 | |
| CN115065553A (zh) | 一种单包认证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220920 |
|
| RJ01 | Rejection of invention patent application after publication |