CN116015928A - 单包认证方法、装置和计算机可读存储介质 - Google Patents
单包认证方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN116015928A CN116015928A CN202211720030.0A CN202211720030A CN116015928A CN 116015928 A CN116015928 A CN 116015928A CN 202211720030 A CN202211720030 A CN 202211720030A CN 116015928 A CN116015928 A CN 116015928A
- Authority
- CN
- China
- Prior art keywords
- authentication
- information
- identity
- client
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种单包认证方法、装置和计算机可读存储介质,属于网络安全技术领域,客户端对认证信息进行加密,获得认证密文信息;在认证密文信息的头部追加身份标识;对增加身份标识的认证密文信息进行加密,获得单包认证加密报文,将单包认证加密报文发送给计算设备,计算设备对单包认证加密报文进行解密,获得单包认证报文中的认证密文信息和身份标识;判断身份标识对应的身份是否合法,若合法,对认证密文信息进行解密,获得认证密文信息中的认证信息,判断单包认证是否为合法请求,若合法,判断终端环境信息与预设环境认证策略是否匹配,若匹配,计算设备根据请求资源信息对客户端开放请求资源信息的服务端口和协议,提高单包认证的安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种单包认证方法、装置和计算机可读存储介质。
背景技术
单包认证技术是指客户端只需要发送一个数据包到服务器,服务器便可以识别该终端身份的合法性,对于合法的终端服务器会开放真正的业务服务端口来响应终端的业务请求,非法的终端则忽略该数据包,且没有任何回复消息使终端无法感知服务器的存在。
而目前的单包认证技术都是基于客户端的公网IP来验证客户端的合法性,而一个公网IP中往往存在多个客户端,这些客户端的公网IP一样,这样在验证终端合法性时,可能存在不确定性,进而使得内网中的其他终端可利用该不确定性进行攻击,从而存在安全性低的问题。
发明内容
本申请实施例的目的在于提供一种单包认证方法、装置和计算机可读存储介质,用以解决目前单包认证技术基于客户端的公网IP进行合法性验证存在的安全性低的问题。
第一方面,本发明提供一种单包认证方法,该方法应用于计算设备,包括:获取客户端发送的单包认证加密报文;对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;根据身份标识,判断身份标识对应的身份是否合法;若判定身份标识对应的身份合法,则对认证密文信息进行解密,获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息;根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求;若判定单包认证为合法请求,则判断终端环境信息与预设环境认证策略是否匹配;若判定终端环境信息与预设环境认证策略匹配,则根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
上述设计的单包认证方法,计算设备对单包认证加密报文进行解密,获得认证密文信息和身份标识,然后基于身份标识判断对应的身份是否合法,在身份合法的基础上,对认证密文信息进行解密,然后通过认证密文信息中的终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,在单包认证为合法请求的基础上,判断终端环境信息与预设环境认证策略是否匹配,在判定终端环境信息与预设环境认证策略匹配的基础上,计算设备才根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
在第一方面的可选实施方式中,对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识,包括:采用第一共享秘钥对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;其中,计算设备与客户端共享有第一共享秘钥;单包认证报文通过客户端基于第一共享秘钥对认证密文信息和身份标识进行加密生成。
在第一方面的可选实施方式中,根据身份标识,判断身份标识对应的身份是否合法,包括:判断已注册的身份标识库中是否存在单包认证加密报文中的身份标识;若已注册的身份标识库中存在单包认证加密报文中的身份标识,则判定身份标识对应的身份合法。
在第一方面的可选实施方式中,对认证密文信息进行解密,包括:根据身份标识获取身份标识对应的目标合法性凭证;其中,预存有多个合法性凭证,每个合法性凭证与一身份标识对应,不同的合法性凭证对应的身份标识不同;通过TOTP算法,利用目标合法性凭证生成第一动态秘钥;利用第一动态秘钥对认证密文信息进行解密;其中,认证密文信息通过客户端采用其对应的合法性凭证和TOTP算法生成的第二动态秘钥对终端信息、终端环境信息、用户信息以及请求资源信息加密获得。
上述设计的实施方式,本方案通过TOTP算法和目标合法性凭证来生成第一动态秘钥,从而通过第一动态秘钥来对客户端利用TOTP算法和合法性凭证生成的第二动态秘钥加密的认证密文信息进行解密,从而在秘钥中加入时间因素,防止该单包认证加密报文被非法捕获后被用于重放攻击,从而提高单包认证的安全性。
在第一方面的可选实施方式中,其中,第一动态秘钥与第二动态秘钥相同。
在第一方面的可选实施方式中,其中,身份标识包括客户端标识和用户标识;根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,包括:判断客户端标识与终端信息中的终端标识是否一致,以及判断用户标识与用户信息中的用户标识是否一致;若客户端标识与终端信息中的终端标识一致,以及所述用户标识与所述用户信息中的用户标识一致,则判定单包认证为合法请求。
第二方面,本发明提供一种单包认证装置,所述单包认证装置设置于计算设备中,包括:获取模块、第一解密模块、判断模块以及开放模块;获取模块用于获取客户端发送的单包认证加密报文;第一解密模块用于对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;判断模块用于根据身份标识,判断身份标识对应的身份是否合法;第一解密模块还用于在判断模块判定身份标识对应的身份合法之后,对认证密文信息进行解密,以获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息;判断模块还用于根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求;以及在判定为合法请求之后,判断终端环境信息与预设环境认证策略是否匹配;开放模块用于在判断模块判定终端环境信息与预设环境认证策略匹配之后,根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
上述设计的单包认证装置,计算设备对单包认证加密报文进行解密,获得认证密文信息和身份标识,然后基于身份标识判断对应的身份是否合法,在身份合法的基础上,对认证密文信息进行解密,然后通过认证密文信息中的终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,在单包认证为合法请求的基础上,判断终端环境信息与预设环境认证策略是否匹配,在判定终端环境信息与预设环境认证策略匹配的基础上,计算设备才根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
在第二方面的可选实施方式中,第一解密模块,具体用于采用第一共享秘钥对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;其中,计算设备与客户端共享有第一共享秘钥;单包认证报文通过客户端基于第一共享秘钥对认证密文信息和身份标识进行加密生成。
在第二方面的可选实施方式中,该判断模块,具体用于判断已注册的身份标识库中是否存在单包认证加密报文中的身份标识;若已注册的身份标识库中存在单包认证加密报文中的身份标识,则判定身份标识对应的身份合法。
在第二方面的可选实施方式中,该第一解密模块,还具体用于根据身份标识获取身份标识对应的目标合法性凭证;其中,预存有多个合法性凭证,每个合法性凭证与一身份标识对应,不同的合法性凭证对应的身份标识不同;通过TOTP算法,利用目标合法性凭证生成第一动态秘钥;利用第一动态秘钥对认证密文信息进行解密;其中,认证密文信息通过客户端采用其对应的合法性凭证和TOTP算法生成的第二动态秘钥对终端信息、终端环境信息、用户信息以及请求资源信息加密获得。
在第二方面的可选实施方式中,身份标识包括客户端标识和用户标识;该判断模块,还具体用于判断客户端标识与终端信息中的终端标识是否一致,以及判断用户标识与所述用户信息中的用户标识是否一致;若客户端标识与终端信息中的终端标识一致,以及用户标识与用户信息中的用户标识一致,则判定单包认证为合法请求。
第三方面,本发明提供一种单包认证方法,该方法应用于客户端,包括:通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥;利用第二动态秘钥对认证信息进行加密,获得认证密文信息;其中,认证信息包括终端信息、终端环境信息、用户信息以及请求资源信息;在认证密文信息的头部追加身份标识;利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;将单包认证加密报文发送给计算设备,以使计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议。
上述设计的单包认证方法,本方案首先通过客户端基于TOTP算法和客户端对应的合法性凭证生成第二动态秘钥,利用第二动态秘钥对认证信息进行加密,获得认证密文信息,然后在认证密文信息的头部追加身份标识;利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;将单包认证加密报文发送给计算设备,使得计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
第四方面,本发明提供一种单包认证装置,该装置设置于客户端中,包括:生成模块、第二加密模块、追加模块以及发送模块;生成模块用于通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥;第二加密模块用于利用第二动态秘钥对认证信息进行加密,获得认证密文信息,其中,认证信息包括终端信息、终端环境信息、用户信息以及请求资源信息;追加模块用于在认证密文信息的头部追加身份标识;第二加密模块,还用于利用第一共享秘钥对增加身份标识的认证密文信息进行加密,获得单包认证加密报文;发送模块用于将单包认证加密报文发送给计算设备,以使计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议。
上述设计的单包认证装置,本方案首先通过客户端基于TOTP算法和客户端对应的合法性凭证生成第二动态秘钥,利用第二动态秘钥对认证信息进行加密,获得认证密文信息,然后在认证密文信息的头部追加身份标识;利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;将单包认证加密报文发送给计算设备,使得计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
第五方面,本申请提供一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时执行第一方面、第一方面中任一可选的实现方式、或第三方面、第三方面中任一可选的实现方式中的所述方法。
第六方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时执行第一方面、第一方面中任一可选的实现方式、或第三方面、第三方面中任一可选的实现方式中的所述方法。
第七方面,本申请提供了一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面、第一方面中任一可选的实现方式、或第三方面、第三方面中任一可选的实现方式中的所述方法。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的单包认证方法的流程交互示意图;
图2为本申请实施例提供的一种单包认证装置的结构示意图;
图3为本申请实施例提供的另一种单包认证装置的结构示意图;
图4为本申请实施例提供的电子设备的结构示意图。
图标:200-获取模块;210-第一解密模块;220-判断模块;230-开放模块;300-生成模块;310-第二加密模块;320-追加模块;330-发送模块;4-电子设备;401-处理器;402-存储器;403-通信总线。
具体实施方式
下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案,因此只作为示例,而不能以此来限制本申请的保护范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。
在本申请实施例的描述中,技术术语“第一”“第二”等仅用于区别不同对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量、特定顺序或主次关系。在本申请实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请实施例的描述中,术语“多个”指的是两个以上(包括两个),同理,“多组”指的是两组以上(包括两组),“多片”指的是两片以上(包括两片)。
在本申请实施例的描述中,技术术语“中心”“纵向”“横向”“长度”“宽度”“厚度”“上”“下”“前”“后”“左”“右”“竖直”“水平”“顶”“底”“内”“外”“顺时针”“逆时针”“轴向”“径向”“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请实施例的限制。
在本申请实施例的描述中,除非另有明确的规定和限定,技术术语“安装”“相连”“连接”“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;也可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请实施例中的具体含义。
目前的网络环境中,远程接入、远程访问的应用场景越来越多,可以通过任意一台终端就可以访问远程的服务,在享受网络提供的便利同时,远程服务器也承受着被非法访问、攻击的风险。由于远程服务器暴露在网络上,如何让合法的用户和终端正常的访问服务资源,而将未经授权的用户和终端则拒之门外,正是当前需要解决的问题。
单包认证技术则是解决上述问题的一种手段,单包认证技术是指客户端只需要发送一个数据包到服务器,服务器便可以识别该终端身份的合法性,对于合法的终端服务器会开放真正的业务服务端口来响应终端的业务请求,非法的终端则忽略该数据包,且没有任何回复消息使终端无法感知服务器的存在。
本申请发明人发现,目前的单包认证技术都是基于客户端的公网IP来验证客户端的合法性,而一个公网IP中往往存在多个客户端,这些客户端的公网IP一样,这样在验证终端合法性时,可能存在不确定性,进而使得内网中的其他终端可利用该不确定性对服务器进行攻击,从而导致网络安全性低的问题。
基于上述问题,本申请发明人提出一种单包认证方法、装置、方法、装置和计算机可读存储介质,可以对网络接入终端(客户端)的终端本身、用户身份以及终端使用环境进行合法性校验,从而在校验成功的基础上,服务器才对该客户端开放对应的端口和协议,等待客户端的业务访问,从而提高单包认证和接入设备的安全性。
基于上述思路,本申请提供一种单包认证方法,该方法可应用于客户端与计算设备的交互,该客户端包括但不限于计算机、手机、ipad或其他终端设备等,该计算设备包括但不限于服务器、安全网关、控制器等计算设备,如图1所示,该单包认证方法可通过如下方式实现:
步骤S100:客户端通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥。
步骤S110:客户端利用第二动态秘钥对认证信息进行加密,获得认证密文信息。
步骤S120:客户端在认证密文信息的头部追加身份标识。
步骤S130:客户端利用第一共享秘钥对增加身份标识的认证密文信息进行加密,获得单包认证加密报文。
步骤S140:客户端将单包认证加密报文发送给计算设备。
步骤S150:计算设备对单包认证加密报文进行解密,获得单包认证报文中的认证密文信息和身份标识。
步骤S160:计算设备根据身份标识,判断身份标识对应的身份是否合法,若合法,则转到步骤S170。
步骤S170:计算设备对认证密文信息进行解密,获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息。
步骤S180:计算设备根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,若合法,则转到步骤S190。
步骤S190:计算设备判断终端环境信息与预设环境认证策略是否匹配,若匹配,则转到步骤S191。
步骤S191:计算设备根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
上述实施方式,客户端首先根据TOTP算法和客户端对应的合法性凭证生成第二动态秘钥,其中,客户端对应的合法性凭证可以是用户预存共享秘钥、数字签名证书等等,其可提前烧写或存储在客户端中。
具体地,客户端可根据TOTP算法、客户端对应的合法性凭证以及当前时间来生成第二动态秘钥,其目的在于在第二动态秘钥中加入时间因素,从而可防止加密后的信息被非法捕获后被用于重放攻击,从而提高安全性。
客户端可获取认证信息,该认证信息可包括终端信息、终端环境信息、用户信息以及请求资源信息,其中,终端信息可具体为客户端自身的信息,例如,客户端自身的IP地址、客户端标识等等;终端环境信息可具体为客户端所处环境的信息,例如,所处的地理位置、客户端所处的公网IP、客户端是否进行过病毒扫描等等;用户信息具体可为使用该客户端的用户的信息,例如,用户标识、用户名称等等;请求资源信息具体可为对该计算设备进行访问所需的协议和服务端口等信息。
其中,客户端获取认证信息可在生成第二动态秘钥之前进行获取,也可以在生成第二动态秘钥的同一时间段进行获取,也可以在生成第二动态秘钥之后进行获取,具体获取认证信息的时间段可根据具体场景进行适应性调整,本申请并不作具体限定。
客户端在生成第二动态秘钥和获取认证信息后,客户端可通过第二动态秘钥对认证信息进行加密,生成认证密文信息,然后在认证密文信息的头部追加身份标识,该身份标识可表征客户端以及使用客户端的用户身份,例如,该身份标识可包括客户端标识以及用户标识。
客户端在认证密文信息的头部追加身份标识后,客户端再利用第一共享秘钥对整个数据块进行加密,从而得到单包认证加密报文,然后将该单包认证加密报文发送给计算设备。
计算设备默认拒绝任何外部的访问,仅通过网卡镜像的流量中过滤符合单包认证格式的报文对其进行解析和校验,具体地,计算设备可接收到客户端发送的单包认证加密报文,然后对该单包认证加密报文进行解密,获得该单包认证加密报文中的认证密文信息和身份标识。
作为一种可能的实施方式,前文描述的客户端在对认证密文信息和身份标识采用的是第一共享秘钥进行加密,因此,计算设备也可采用第一共享秘钥对该单包认证加密报文进行解密,其中,该计算设备与客户端提前共享有该第一共享秘钥,该第一共享秘钥可提前烧写到计算设备和客户端中。
另外,这里需要说明的是,由于计算设备可能与多个客户端进行单包认证,因此,计算设备中烧写的共享秘钥可能存在多个,在此基础上,计算设备可通过将每个共享秘钥与对应客户端IP地址建立映射关系,在接收到单包认证加密报文时,通过发送单包认证加密报文的客户端IP地址从而查找到映射的第一共享秘钥。
计算设备通过上述方式对单包认证加密报文解密获得认证密文信息和身份标识之后,计算设备可首先根据身份标识,判断身份标识对应的身份是否合法。
作为一种可能的实施方式,计算设备可判断已注册的身份标识库中是否存在单包认证加密报文中的身份标识,若已注册的身份标识库中存在单包认证加密报文中的身份标识,则判定单包认证加密报文中的身份标识对应的身份合法;若已注册的身份标识库中不存在单包认证加密报文中的身份标识,则说明该身份不合法,进而忽略该单包认证加密报文。
计算设备通过上述方式判定身份标识对应的身份合法之后,计算设备可对认证密文信息进行解密,从而获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息。
作为一种可能的实施方式,前文描述到客户端通过TOTP算法和客户端对应的合法性凭证来对认证信息进行加密,获得认证密文信息,因此,计算设备也可以通过相同的TOTP算法以及客户端对应的合法性凭证来生成第一动态秘钥,从而通过第一动态秘钥对认证密文信息进行解密。
这里需要说明的是,由于TOTP算法的时间因子的颗粒度可灵活设定,而在该灵活设定的时间因子对应的时间差内,基于相同TOTP算法和合法性凭证计算的动态秘钥是一样的,例如,设定的时间偏差为5s,那么在5s内,采用相同的TOTP算法以及箱体的合法性凭证生成的动态秘钥是相同的。因此,本方案可根据客户端生成第二动态秘钥的时间与计算设备接收单包认证加密报文的时间来适应性调整TOTP算法的时间偏差,使得计算设备在该时间偏差内采用相同的TOTP算法以及客户端对应的合法性凭证生成第一动态秘钥,使得第一动态秘钥与客户端生成的第二动态秘钥相同,进而使得基于第一动态秘钥即可对采用第二动态加密的认证密文信息进行解密。
另外,计算设备中可存储有多个客户端分别对应的合法性凭证,在此基础上,可提前将每个客户端对应的合法性凭证与对应客户端标识建立映射关系,计算设备可在获得客户端标识基础上,基于客户端标识查找映射的目标合法性凭证,从而基于目标合法性凭证以及TOTP算法来生成第一动态秘钥。
计算设备通过第一动态秘钥对认证密文信息进行解密后,即可获得认证信息,在此基础上,计算设备可根据认证信息中的终端信息、用户信息以及解密后的单包认证加密报文中的身份标识来判断单包认证是否为合法请求。具体地,前文描述到身份标识可包括客户端标识以及用户标识,在此基础上,计算设备可具体判断客户端标识与终端信息中的终端标识是否一致,以及判断用户标识与用户信息中的用户标识是否一致,若客户端标识与终端信息中的终端标识一致,以及用户标识与用户信息中的用户标识一致,则判定单包认证为合法请求;若客户端标识与终端信息中的终端标识不一致,或用户标识与用户信息中的用户标识不一致,则说明判定单包认证为不合法的请求,进而忽略该单包认证加密报文。
计算设备在判定单包认证为合法请求基础上,计算设备继续判定终端环境信息与预设环境认证策略是否匹配,若判定终端环境信息与预设环境认证策略匹配,则根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
具体地,前文描述到终端环境信息可包括客户端的地理位置信息、公网IP地址、病毒扫描结果等等信息,在此基础上,计算设备判断终端环境信息与预设环境认证策略是否匹配,可具体判断终端环境信息中客户端的地理位置信息是否处于预设地理区域范围中,若处于预设地理区域范围中,则判定终端环境信息与预设环境认证策略匹配;
或判断终端环境信息中的客户端的公网IP地址与预设IP地址是否相同,若与预设IP地址相同,则判定终端环境信息与预设环境认证策略匹配。
或判断终端环境信息中的病毒扫描结果是否完成过预设病毒扫描,若完成预设病毒扫描,则判定终端环境信息与预设环境认证策略匹配等等。
上述设计的单包认证方法,本方案首先通过客户端基于TOTP算法和客户端对应的合法性凭证生成第二动态秘钥,利用第二动态秘钥对认证信息进行加密,获得认证密文信息,然后在认证密文信息的头部追加身份标识;利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;将单包认证加密报文发送给计算设备;计算设备利用第一共享秘钥对单包认证加密报文进行解密,获得认证密文信息和身份标识,然后基于身份标识判断对应的身份是否合法,在身份合法的基础上,基于TOTP算法和客户端对应的合法性凭证生成第一动态秘钥对认证密文信息进行解密,然后通过认证密文信息中的终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,在单包认证为合法请求的基础上,判断终端环境信息与预设环境认证策略是否匹配,在判定终端环境信息与预设环境认证策略匹配的基础上,计算设备才根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
图2出示了本申请提供一种单包认证装置的示意性结构框图,应理解,该装置与图1中计算设备执行的方法实施例对应,能够执行前述的方法涉及的步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operatingsystem,OS)中的软件功能模块。具体地,该装置包括:获取模块200、第一解密模块210、判断模块220以及开放模块230;获取模块200用于获取客户端发送的单包认证加密报文;第一解密模块210用于对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;判断模块220用于根据身份标识,判断身份标识对应的身份是否合法;第一解密模块210还用于在判断模块判定身份标识对应的身份合法之后,对认证密文信息进行解密,以获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息;判断模块220还用于根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求;以及在判定为合法请求之后,判断终端环境信息与预设环境认证策略是否匹配;开放模块230用于在判断模块220判定终端环境信息与预设环境认证策略匹配之后,根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
上述设计的单包认证装置,计算设备对单包认证加密报文进行解密,获得认证密文信息和身份标识,然后基于身份标识判断对应的身份是否合法,在身份合法的基础上,对认证密文信息进行解密,然后通过认证密文信息中的终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,在单包认证为合法请求的基础上,判断终端环境信息与预设环境认证策略是否匹配,在判定终端环境信息与预设环境认证策略匹配的基础上,计算设备才根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
在本实施例的可选实施方式中,第一解密模块210,具体用于采用第一共享秘钥对单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;其中,计算设备与客户端共享有第一共享秘钥;单包认证报文通过客户端基于第一共享秘钥对认证密文信息和身份标识进行加密生成。
在本实施例的可选实施方式中,该判断模块220,具体用于判断已注册的身份标识库中是否存在单包认证加密报文中的身份标识;若已注册的身份标识库中存在单包认证加密报文中的身份标识,则判定身份标识对应的身份合法。
在本实施例的可选实施方式中,该第一解密模块210,还具体用于根据身份标识获取身份标识对应的目标合法性凭证;其中,预存有多个合法性凭证,每个合法性凭证与一身份标识对应,不同的合法性凭证对应的身份标识
不同;通过TOTP算法,利用目标合法性凭证生成第一动态秘钥;利用第一5动态秘钥对认证密文信息进行解密;其中,认证密文信息通过客户端采用其对应的合法性凭证和TOTP算法生成的第二动态秘钥对终端信息、终端环境信息、用户信息以及请求资源信息加密获得。
在本实施例的可选实施方式中,身份标识包括客户端标识和用户标识;
该判断模块220,还具体用于判断客户端标识与终端信息中的终端标识是否0一致,以及判断用户标识与所述用户信息中的用户标识是否一致;若客户端标识与终端信息中的终端标识一致,以及用户标识与用户信息中的用户标识一致,则判定单包认证为合法请求。
图3出示了本申请提供一种单包认证装置的示意性结构框图,应理解,
该装置与图1中客户端执行的方法实施例对应,能够执行前述的方法涉及5的步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。具体地,该装置包括:生成模块300、第二加密模块310、追加模
块320以及发送模块330;生成模块300用于通过TOTP算法和客户端对应0的合法性凭证生成第二动态秘钥;第二加密模块310用于利用第二动态秘钥对认证信息进行加密,获得认证密文信息,其中,认证信息包括终端信息、终端环境信息、用户信息以及请求资源信息;追加模块320用于在认证密文信息的头部追加身份标识;第二加密模块310,还用于利用第一共享秘钥对增加身份标识的认证密文信息进行加密,获得单包认证加密报文;发送模块330用于将单包认证加密报文发送给计算设备,以使计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议。
上述设计的单包认证装置,本方案首先通过客户端基于TOTP算法和客户端对应的合法性凭证生成第二动态秘钥,利用第二动态秘钥对认证信息进行加密,获得认证密文信息,然后在认证密文信息的头部追加身份标识;利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;将单包认证加密报文发送给计算设备,使得计算设备基于单包认证加密报文进行解析和校验,以确定是否对客户端开放对应的服务端口和协议,基于此,本方案的单包认证过程需要对客户端的终端本身、用户身份以及终端使用环境进行合法性校验,并且通过双重加密对单包认证报文进行加密,从而提高单包认证和接入设备的安全性。
根据本申请的一些实施例,如图4所示,本申请提供一种电子设备4,包括:处理器401和存储器402,处理器401和存储器402通过通信总线403和/或其他形式的连接机构(未标出)互连并相互通讯,存储器402存储有处理器401可执行的计算机程序,当计算设备运行时,处理器401执行该计算机程序,以执行时执行前述实现方式中执行的方法,例如步骤S100到步骤S140:客户端通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥;客户端利用第二动态秘钥对认证信息进行加密,获得认证密文信息;客户端在认证密文信息的头部追加身份标识;客户端利用第一共享秘钥对增加身份标识的认证密文信息进行加密,获得单包认证加密报文;客户端将单包认证加密报文发送给计算设备。或步骤S150到步骤S191:计算设备对单包认证加密报文进行解密,获得单包认证报文中的认证密文信息和身份标识;计算设备根据身份标识,判断身份标识对应的身份是否合法,若合法,计算设备对认证密文信息进行解密,获得认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息,计算设备根据终端信息、用户信息以及身份标识,判断单包认证是否为合法请求,若合法,计算设备判断终端环境信息与预设环境认证策略是否匹配,若匹配,计算设备根据请求资源信息对客户端开放请求资源信息对应的服务端口和协议。
本申请提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行前述执行的方法。
其中,存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行前述的方法。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围,其均应涵盖在本申请的权利要求和说明书的范围当中。尤其是,只要不存在结构冲突,各个实施例中所提到的各项技术特征均可以任意方式组合起来。本申请并不局限于文中公开的特定实施例,而是包括落入权利要求的范围内的所有技术方案。
Claims (10)
1.一种单包认证方法,其特征在于,所述方法应用于计算设备,包括:
获取客户端发送的单包认证加密报文;
对所述单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;
根据所述身份标识,判断所述身份标识对应的身份是否合法;
若判定所述身份标识对应的身份合法,则对所述认证密文信息进行解密,获得所述认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息;
根据所述终端信息、用户信息以及身份标识,判断所述单包认证是否为合法请求;
若判定所述单包认证为合法请求,则判断所述终端环境信息与预设环境认证策略是否匹配;
若判定终端环境信息与预设环境认证策略匹配,则根据所述请求资源信息对所述客户端开放所述请求资源信息对应的服务端口和协议。
2.根据权利要求1所述的方法,其特征在于,所述对所述单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识,包括:
采用第一共享秘钥对所述单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;
其中,所述计算设备与客户端共享有所述第一共享秘钥;所述单包认证报文通过所述客户端基于所述第一共享秘钥对所述认证密文信息和身份标识进行加密生成。
3.根据权利要求1所述的方法,其特征在于,所述根据所述身份标识,判断所述身份标识对应的身份是否合法,包括:
判断已注册的身份标识库中是否存在所述单包认证加密报文中的身份标识;
若已注册的身份标识库中存在所述单包认证加密报文中的身份标识,则判定所述身份标识对应的身份合法。
4.根据权利要求1所述的方法,其特征在于,所述对所述认证密文信息进行解密,包括:
根据所述身份标识获取所述身份标识对应的目标合法性凭证;其中,预存有多个合法性凭证,每个合法性凭证与一身份标识对应,不同的合法性凭证对应的身份标识不同;
通过TOTP算法,利用所述目标合法性凭证生成第一动态秘钥;
利用所述第一动态秘钥对所述认证密文信息进行解密;
其中,所述认证密文信息通过所述客户端采用其对应的合法性凭证和TOTP算法生成的第二动态秘钥对终端信息、终端环境信息、用户信息以及请求资源信息加密获得。
5.根据权利要求4所述的方法,其特征在于,其中,所述第一动态秘钥与第二动态秘钥相同。
6.根据权利要求1所述的方法,其特征在于,其中,所述身份标识包括客户端标识和用户标识;
所述根据所述终端信息、用户信息以及身份标识,判断所述单包认证是否为合法请求,包括:
判断所述客户端标识与所述终端信息中的终端标识是否一致,以及判断所述用户标识与所述用户信息中的用户标识是否一致;
若所述客户端标识与所述终端信息中的终端标识一致,以及所述用户标识与所述用户信息中的用户标识一致,则判定单包认证为合法请求。
7.一种单包认证装置,其特征在于,所述单包认证装置设置于计算设备中,包括:获取模块、第一解密模块、判断模块以及开放模块;
所述获取模块用于获取客户端发送的单包认证加密报文;
所述第一解密模块用于对所述单包认证加密报文进行解密,以获得单包认证报文中的认证密文信息和身份标识;
所述判断模块用于根据所述身份标识,判断所述身份标识对应的身份是否合法;
所述第一解密模块还用于在判断模块判定所述身份标识对应的身份合法之后,对所述认证密文信息进行解密,以获得所述认证密文信息中的终端信息、终端环境信息、用户信息以及请求资源信息;
所述判断模块还用于根据所述终端信息、用户信息以及身份标识,判断所述单包认证是否为合法请求;以及在判定为合法请求之后,判断所述终端环境信息与预设环境认证策略是否匹配;
所述开放模块用于在所述判断模块判定终端环境信息与预设环境认证策略匹配之后,根据所述请求资源信息对所述客户端开放所述请求资源信息对应的服务端口和协议。
8.一种单包认证方法,其特征在于,所述方法应用于客户端,包括:
通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥;
利用所述第二动态秘钥对认证信息进行加密,获得认证密文信息;其中,所述认证信息包括终端信息、终端环境信息、用户信息以及请求资源信息;
在认证密文信息的头部追加身份标识;
利用第一共享秘钥对增加身份标识的认证密文信息进行加密,以获得单包认证加密报文;
将所述单包认证加密报文发送给计算设备,以使所述计算设备基于所述单包认证加密报文进行解析和校验,以确定是否对所述客户端开放对应的服务端口和协议。
9.一种单包认证装置,其特征在于,所述装置设置于客户端中,包括:生成模块、第二加密模块、追加模块以及发送模块;
所述生成模块用于通过TOTP算法和客户端对应的合法性凭证生成第二动态秘钥;
所述第二加密模块用于利用所述第二动态秘钥对认证信息进行加密,获得认证密文信息,其中,所述认证信息包括终端信息、终端环境信息、用户信息以及请求资源信息;
所述追加模块用于在认证密文信息的头部追加身份标识;
所述第二加密模块,还用于利用第一共享秘钥对增加身份标识的认证密文信息进行加密,获得单包认证加密报文;
所述发送模块用于将所述单包认证加密报文发送给计算设备,以使所述计算设备基于所述单包认证加密报文进行解析和校验,以确定是否对所述客户端开放对应的服务端口和协议。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6或权利要求8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211720030.0A CN116015928A (zh) | 2022-12-30 | 2022-12-30 | 单包认证方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211720030.0A CN116015928A (zh) | 2022-12-30 | 2022-12-30 | 单包认证方法、装置和计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015928A true CN116015928A (zh) | 2023-04-25 |
Family
ID=86022562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211720030.0A Pending CN116015928A (zh) | 2022-12-30 | 2022-12-30 | 单包认证方法、装置和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015928A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116248416A (zh) * | 2023-05-11 | 2023-06-09 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
CN116260661A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 终端认证方法、装置、计算机设备及存储介质 |
-
2022
- 2022-12-30 CN CN202211720030.0A patent/CN116015928A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116248416A (zh) * | 2023-05-11 | 2023-06-09 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
CN116248416B (zh) * | 2023-05-11 | 2023-07-28 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
CN116260661A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 终端认证方法、装置、计算机设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4546240B2 (ja) | チャレンジ/レスポンス方式によるユーザー認証方法及びシステム | |
US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
US20040015692A1 (en) | Authentication in a mobile communications network | |
US20080141357A1 (en) | Method and apparatus for pervasive authentication domains | |
US20120102546A1 (en) | Method And System For Authenticating Network Device | |
US20070097904A1 (en) | Wireless nodes with active authentication and associated methods | |
CN116015928A (zh) | 单包认证方法、装置和计算机可读存储介质 | |
CN103155512A (zh) | 用于对服务提供安全访问的系统和方法 | |
US20070036110A1 (en) | Access control of mobile equipment to an IP communication network with dynamic modification of the access policies | |
CN113473458B (zh) | 一种设备接入方法、数据传输方法和计算机可读存储介质 | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
WO2018121394A1 (zh) | 移动终端、告警信息获取、告警信息发送方法及装置 | |
CN114386063A (zh) | 用于访问物联网设备数据的鉴权系统、方法及装置 | |
CN113596823A (zh) | 切片网络保护方法及装置 | |
CN113079506B (zh) | 网络安全认证方法、装置及设备 | |
CN115022850A (zh) | 一种d2d通信的认证方法、装置、系统、电子设备及介质 | |
KR101204648B1 (ko) | 무선 통신 네트워크와 유선 통신 네트워크가 공존하는 통신 네트워크에서 안전하게 비밀키를 교환하는 방법 | |
EP2442519A1 (en) | Method and system for authenticating network device | |
CN111181722A (zh) | 一种认证方法及系统 | |
CN113316141B (zh) | 无线网络接入方法、共享服务器及无线接入点 | |
CN114222296B (zh) | 一种无线网的安全接入方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |