CN115174264A - 一种安全优化的单包认证方法及系统 - Google Patents
一种安全优化的单包认证方法及系统 Download PDFInfo
- Publication number
- CN115174264A CN115174264A CN202210929315.9A CN202210929315A CN115174264A CN 115174264 A CN115174264 A CN 115174264A CN 202210929315 A CN202210929315 A CN 202210929315A CN 115174264 A CN115174264 A CN 115174264A
- Authority
- CN
- China
- Prior art keywords
- port
- target controller
- port information
- client
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 78
- 230000006855 networking Effects 0.000 claims abstract description 30
- 238000012795 verification Methods 0.000 claims abstract description 15
- 238000004590 computer program Methods 0.000 claims description 17
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种安全优化的单包认证方法及系统,其中,该方法应用于软件定义边界零信任组网,软件定义边界零信任组网包括客户端和目标控制器,客户端和目标控制器内设有共享的算法,包括:客户端通过共享的算法,根据端口生成因子生成第一端口信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息;目标控制器接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。加强了SDP控制器的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种安全优化的单包认证方法及系统。
背景技术
软件定义边界(Software Defined Perimeter,简称SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP三大组件:SDP控制器、SDP客户端、SDP网关。SDP可实现资产隐藏,并在允许客户端连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络能够防御旧攻击方法的新变种,可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
传统SDP存在以下问题:对于SDP客户端发起的对SDP控制器的SPA,客户端需要预先知道所连接的SDP控制器的敲门IP和端口,这样攻击者就较容易获知控制器IP地址及端口,进而发起后续的网络攻击。
发明内容
本发明提供一种安全优化的单包认证方法及系统。
第一方面,本发明提供了一种安全优化的单包认证方法,应用于软件定义边界零信任组网,所述软件定义边界零信任组网包括客户端和目标控制器,所述客户端和目标控制器内设有共享的算法,包括:客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息;目标控制器接收到所述数据包,通过所述共享的算法,根据所述端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
进一步地,所述软件定义边界零信任组网还可以包括分流设备,所述分流设备用于确定客户端对应的目标控制器的IP地址;以及所述客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,并向所述目标控制器发送敲门请求的数据包,包括:客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,并向所述分流设备发送敲门请求的数据包;所述分流设备根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将所述数据包发送至所述目标控制器。
进一步地,所述共享的算法包括哈希算法。
第二方面,本发明还提供了一种安全优化的单包认证系统,应用于软件定义边界零信任组网,所述软件定义边界零信任组网包括客户端和目标控制器,所述客户端和目标控制器内设有共享的算法,包括:客户端,用于通过所述共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息;目标控制器,用于接收到所述数据包,通过所述共享的算法,根据所述端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
第三方面,本发明提供了一种安全优化的单包认证方法,应用于软件定义边界零信任组网的客户端,包括:通过共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息,所述客户端和目标控制器内均设有共享的算法。
第四方面,本发明提供了一种安全优化的单包认证方法,应用于软件定义边界零信任组网的目标控制器,包括:接收到所述数据包,通过共享的算法,根据所述端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,所述数据包中包括端口生成因子和第一端口信息,所述客户端和目标控制器内均设有共享的算法,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
第五方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第三方面或第四方面任一种所述安全优化的单包认证方法的步骤。
第六方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第三方面或第四方面任一种所述安全优化的单包认证方法的步骤。
第七方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述第三方面或第四方面任一种所述安全优化的单包认证方法的步骤。
本发明提供的一种安全优化的单包认证方法及系统,应用于软件定义边界零信任组网,所述软件定义边界零信任组网包括客户端和目标控制器,所述客户端和目标控制器内设有共享的算法。基于客户端和目标控制器内预设的共享的算法,客户端在目标控制器的既定端口集合中,通过共享的算法和端口生成因子生成目标控制器的第一端口信息,实现了目标控制器采用敲门端口集合代替单一端口,即在既定端口集合中选定第一端口信息。目标控制器收到端口生成因子和第一端口信息的数据包后,根据共享的算法和端口生成因子生成第二端口信息,将第一端口信息与第二端口信息比较,验证敲门端口是否合法。加强了SDP控制器的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明提供的安全优化的单包认证方法的一些实施例的流程示意图;
图2是安全优化的单包认证的一个应用场景流程示意图;
图3是本发明提供的安全优化的单包认证方法的一个实施例的流程示意图;
图4是根据本发明提供的安全优化的单包认证方法的另一些实施例的流程示意图;
图5是根据本发明提供的安全优化的单包认证方法的再一些实施例的流程示意图;
图6是根据本发明提供的安全优化的单包认证系统的一些实施例的结构示意图;
图7是根据本发明提供的安全优化的单包认证装置的一些实施例的结构示意图;
图8是根据本发明提供的安全优化的单包认证装置的一些实施例的结构示意图;
图9是根据本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的系统、模块或单元进行区分,并非用于限定这些系统、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本发明实施方式中的多个系统之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本发明。
请参阅图1,图1是本发明提供的安全优化的单包认证方法的一些实施例的流程示意图。如图1所示,该方法包括以下步骤:
步骤101,客户端通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息。
客户端和目标控制器包括在软件定义边界零信任组网内,而且,客户端和目标控制器内设有共享的算法。作为示例,共享的算法可以是哈希算法。软件定义边界是基于零信任(Zero Trust)理念的新一代网络安全模型。零信任安全是一种理念,软件定义边界组网是实践零信任安全理念的技术架构与方案。
在一些实施例中,端口生成因子可以是客户端公网的IP地址,也可以是客户端随机生成的序列。通过端口生成因子和共享的算法在控制器的端口集合中确定本次发送的数据包的端口,使得控制器每次接收的不同客户端的数据包的端口都不一样,因而攻击者不能确定控制器每次接收数据包的端口信息,能有效的防止攻击者入侵。
客户端可以通过IP地址找到对应的服务器端,但是服务器端是有很多端口的,每个应用程序对应一个端口号,通过类似门牌号的端口号,客户端才能真正的访问到该服务器。为了对端口进行区分,将每个端口进行了编号,这就是端口号。端口号只有整数,范围是从0到65535。作为示例,第一端口信息可以是目标控制器的敲门端口的端口号1024。
步骤102,目标控制器接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
仍以上述为例,若目标控制器根据接收到的端口生成因子,通过共享的算法生成第二端口信息,第二端口信息为目标控制器的敲门端口的端口号1024。将端口号1024与第一端口信息相比,第一端口信息表示目标控制器的敲门端口的端口号1024,比较结果一致,则端口验证通过。
本发明一些实施例公开的安全优化的单包认证方法,应用于软件定义边界零信任组网,软件定义边界零信任组网包括客户端和目标控制器,客户端和目标控制器内设有共享的算法。基于客户端和目标控制器内预设的共享的算法,客户端在目标控制器的既定端口集合中,通过共享的算法和端口生成因子生成目标控制器的第一端口信息,实现了目标控制器采用敲门端口集合代替单一端口,即在既定端口集合中选定第一端口信息。目标控制器收到端口生成因子和第一端口信息的数据包后,根据共享的算法和端口生成因子生成第二端口信息,将第一端口信息与第二端口信息比较,验证敲门端口是否合法。加强了SDP控制器的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
在一些可选的实现方式中,软件定义边界零信任组网还包括分流设备,分流设备用于确定客户端对应的目标控制器的IP地址;以及客户端通过共享的算法,根据端口生成因子生成第一端口信息,并向目标控制器发送敲门请求的数据包,包括:客户端通过共享的算法,根据端口生成因子生成第一端口信息,并向分流设备发送敲门请求的数据包;分流设备根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将数据包发送至目标控制器。
分流设备亦可以用于检测第一端口信息是否合法。
如图2所示,当软件定义边界零信任组网中有多个控制器时,需要通过分流设备确定目标控制器。在客户端向目标控制器发送数据包时,需要通过分流设备将数据包转发给目标控制器。
在一个应用场景中,软件定义边界零信任组网中的多个控制器具有相同的共享算法,因此,需要分流设备根据客户端的IP地址确定目标控制器的IP地址,以将客户端发出的数据包转发至目标控制器。可选的,分流设备可以根据预先存储的对照表,查询对应客户端的IP对应的目标控制器的IP地址。
在一个应用场景中,分流设备可以根据客户端的IP地址,通过哈希函数计算出一个索引,通过这个索引查找目标控制器的IP地址。解决了因为流量集中于控制器的单一固定端口或者单一控制器,造成的单点业务压力过大,容易成为业务瓶颈或攻击对象的问题。
请参阅图3,图3是本发明提供的安全优化的单包认证方法的一个实施例的流程示意图,本发明既支持SDP控制器单机部署,也支持集群部署:
S1)SDP控制器(或称控制器)的敲门端口不再是某个端口,而是端口集合。
S2)SDP客户端(或称客户端)利用与SDP控制器共享的特定算法,在既定端口集合中选定本次SDP控制器敲门端口。
S3)SDP客户端向SDP控制器发起SPA单包认证。如果上一步端口计算算法有需要告知SDP控制器的计算因子(即端口生成因子),可以在SPA认证报文中携带。
S4)SDP控制器收到单包认证后,依据与SDP客户端共享的特定算法验证敲门端口是否合法。
本发明提供一种新的SDP控制器敲门方法,加强了SDP控制器的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
请参阅图4,图4是本发明提供的安全优化的单包认证方法的一些实施例的流程示意图。如图4所示,该方法应用于软件定义边界零信任组网的客户端,包括以下步骤:
步骤401,通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息,客户端和目标控制器内均设有共享的算法。
步骤401中关于客户端的描述及产生的技术效果可以参考图1,在此不再赘述。
请参阅图5,图5是本发明提供的安全优化的单包认证方法的一些实施例的流程示意图。如图5所示,该方法应用于软件定义边界零信任组网的目标控制器,包括以下步骤:
步骤501,接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,数据包中包括端口生成因子和第一端口信息,客户端和目标控制器内均设有共享的算法,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
步骤501中关于控制器的描述及产生的技术效果可以参考图1,在此不再赘述。
请参阅图6,图6是根据本发明提供的安全优化的单包认证系统的一些实施例的结构示意图,作为对上述各图所示方法的实现,本发明还提供了一种安全优化的单包认证系统的一些实施例,这些系统实施例与图1所示的一些方法的实施例相对应,且该系统可以应用于各种电子设备中。
如图6所示,一些实施例的安全优化的单包认证系统,包括客户端601、目标控制器602:客户端601,用于通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息;目标控制器602,用于接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
在一些实施例的可选实现方式中,软件定义边界零信任组网还包括分流设备,分流设备用于确定客户端对应的目标控制器的IP地址;以及
客户端601,还用于通过共享的算法,根据端口生成因子生成第一端口信息,并向分流设备发送敲门请求的数据包;
分流设备,用于根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将数据包发送至目标控制器。
在一些实施例的可选实现方式中,共享的算法包括哈希算法。
可以理解的是,该系统中记载的客户端、控制器和分流设备与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于系统及其中包含的模块、单元,在此不再赘述。
如图7所示,一些实施例的安全优化的单包认证装置,包括第一处理模块701:第一处理模块701,用于通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息,客户端和目标控制器内均设有共享的算法。
在一些实施例的可选实现方式中,软件定义边界零信任组网还包括分流设备,分流设备用于确定客户端对应的目标控制器的IP地址;以及第一处理模块,还用于通过共享的算法,根据端口生成因子生成第一端口信息,并向分流设备发送敲门请求的数据包;分流设备用于根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将数据包发送至目标控制器。
在一些实施例的可选实现方式中,共享的算法包括哈希算法。
可以理解的是,该系统中记载的客户端、控制器和分流设备与参考图4描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于系统及其中包含的模块、单元,在此不再赘述。
如图8所示,一些实施例的安全优化的单包认证装置,包括第二处理模块801:第二处理模块801,用于接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,数据包中包括端口生成因子和第一端口信息,客户端和目标控制器内均设有共享的算法,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
在一些实施例的可选实现方式中,软件定义边界零信任组网还包括分流设备,分流设备用于确定客户端对应的目标控制器的IP地址;以及,客户端用于通过共享的算法,根据端口生成因子生成第一端口信息,并向分流设备发送敲门请求的数据包;分流设备用于根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将数据包发送至目标控制器。
在一些实施例的可选实现方式中,共享的算法包括哈希算法。
可以理解的是,该系统中记载的客户端、控制器和分流设备与参考图5描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于系统及其中包含的模块、单元,在此不再赘述。
图9示例了一种电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行安全优化的单包认证方法,应用于软件定义边界零信任组网,软件定义边界零信任组网包括客户端和目标控制器,客户端和目标控制器内设有共享的算法,包括:客户端通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息;目标控制器接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,上述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,上述计算机程序包括程序指令,当上述程序指令被计算机执行时,计算机能够执行上述各方法所提供的安全优化的单包认证方法,应用于软件定义边界零信任组网,软件定义边界零信任组网包括客户端和目标控制器,客户端和目标控制器内设有共享的算法,包括:客户端通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息;目标控制器接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的安全优化的单包认证方法,应用于软件定义边界零信任组网,软件定义边界零信任组网包括客户端和目标控制器,客户端和目标控制器内设有共享的算法,包括:客户端通过共享的算法,根据端口生成因子生成第一端口信息,第一端口信息表示目标控制器的敲门端口的信息,并向目标控制器发送敲门请求的数据包,数据包中包括端口生成因子和第一端口信息;目标控制器接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,第二端口信息表示目标控制器的敲门端口的信息,比较第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
以上所描述的系统实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分上述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种安全优化的单包认证方法,其特征在于,应用于软件定义边界零信任组网,所述软件定义边界零信任组网包括客户端和目标控制器,所述客户端和目标控制器内设有共享的算法,包括:
客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息;
目标控制器接收到所述数据包,通过所述共享的算法,根据所述端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
2.根据权利要求1所述的安全优化的单包认证方法,其特征在于,所述软件定义边界零信任组网还包括分流设备,所述分流设备用于确定客户端对应的目标控制器的IP地址;以及
所述客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,并向所述目标控制器发送敲门请求的数据包,包括:
客户端通过所述共享的算法,根据端口生成因子生成第一端口信息,并向所述分流设备发送敲门请求的数据包;
所述分流设备根据接收的数据包解析出客户端的IP地址,根据客户端的IP地址确定目标控制器的IP地址,并根据目标控制器的IP地址,将所述数据包发送至所述目标控制器。
3.根据权利要求1所述的安全优化的单包认证方法,其特征在于,所述共享的算法包括哈希算法。
4.一种安全优化的单包认证系统,其特征在于,应用于软件定义边界零信任组网,所述软件定义边界零信任组网包括客户端和目标控制器,所述客户端和目标控制器内设有共享的算法,包括:
客户端,用于通过所述共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息;
目标控制器,用于接收到所述数据包,通过所述共享的算法,根据所述端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
5.一种安全优化的单包认证方法,其特征在于,应用于软件定义边界零信任组网的客户端,包括:
通过共享的算法,根据端口生成因子生成第一端口信息,所述第一端口信息表示目标控制器的敲门端口的信息,并向所述目标控制器发送敲门请求的数据包,所述数据包中包括端口生成因子和第一端口信息,所述客户端和目标控制器内均设有共享的算法。
6.一种安全优化的单包认证方法,其特征在于,应用于软件定义边界零信任组网的目标控制器,包括:
接收到数据包,通过共享的算法,根据端口生成因子生成第二端口信息,所述第二端口信息表示所述目标控制器的敲门端口的信息,所述数据包中包括端口生成因子和第一端口信息,客户端和目标控制器内均设有共享的算法,比较所述第一端口信息与第二端口信息是否一致,若一致,则端口验证通过。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求5或6任一项所述的安全优化的单包认证方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5或6任一项所述的安全优化的单包认证方法的步骤。
9.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5或6任一项所述安全优化的单包认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210929315.9A CN115174264A (zh) | 2022-08-03 | 2022-08-03 | 一种安全优化的单包认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210929315.9A CN115174264A (zh) | 2022-08-03 | 2022-08-03 | 一种安全优化的单包认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115174264A true CN115174264A (zh) | 2022-10-11 |
Family
ID=83476806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210929315.9A Pending CN115174264A (zh) | 2022-08-03 | 2022-08-03 | 一种安全优化的单包认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174264A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113055357A (zh) * | 2021-02-24 | 2021-06-29 | 深圳竹云科技有限公司 | 单包验证通信链路可信的方法、装置及计算设备 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
-
2022
- 2022-08-03 CN CN202210929315.9A patent/CN115174264A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113055357A (zh) * | 2021-02-24 | 2021-06-29 | 深圳竹云科技有限公司 | 单包验证通信链路可信的方法、装置及计算设备 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN115776408B (zh) * | 2022-12-08 | 2024-05-14 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3481029B1 (en) | Internet defense method and authentication server | |
| US10972478B2 (en) | Data processing method and apparatus, terminal, and access point computer | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| US9356958B2 (en) | Apparatus and method for protecting communication pattern of network traffic | |
| US8453208B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US20170366558A1 (en) | Verification method, apparatus, and system used for network application access | |
| US10824744B2 (en) | Secure client-server communication | |
| US10911581B2 (en) | Packet parsing method and device | |
| US20190044730A1 (en) | Apparatus and method for generating and operating dynamic can id based on hash-based message authentication code | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| CN113992354A (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 | |
| CN110995662B (zh) | 一种基于多路网络媒介的数据传输方法和系统 | |
| CN114978773A (zh) | 一种单包认证方法及系统 | |
| CN115174264A (zh) | 一种安全优化的单包认证方法及系统 | |
| US8127355B2 (en) | System and method for protecting network resources from denial of service attacks | |
| EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| CN108989316B (zh) | 一种适用于专用网络的端口跳变通信方法及系统 | |
| CN102427452B (zh) | 同步报文发送方法、装置和网络设备 | |
| WO2009043304A1 (fr) | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission | |
| CN110035082B (zh) | 一种交换机准入认证方法、交换机及系统 | |
| CN111818015A (zh) | 一种适用于远程节点访问的安全保护系统 | |
| CN112688948B (zh) | 一种对象处理方法及装置 | |
| Halgamuge | Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment | |
| EP3907967A1 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
| CN111031075B (zh) | 网络服务安全访问方法、终端、系统和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |