CN116545659A - 一种单包授权认证方法、装置、服务端和存储介质 - Google Patents

一种单包授权认证方法、装置、服务端和存储介质 Download PDF

Info

Publication number
CN116545659A
CN116545659A CN202310402198.5A CN202310402198A CN116545659A CN 116545659 A CN116545659 A CN 116545659A CN 202310402198 A CN202310402198 A CN 202310402198A CN 116545659 A CN116545659 A CN 116545659A
Authority
CN
China
Prior art keywords
client device
knocking
udp
knock
package
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310402198.5A
Other languages
English (en)
Inventor
陈本峰
金祺昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Yunzhishen Technology Co ltd
Original Assignee
Suzhou Yunzhishen Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Yunzhishen Technology Co ltd filed Critical Suzhou Yunzhishen Technology Co ltd
Priority to CN202310402198.5A priority Critical patent/CN116545659A/zh
Publication of CN116545659A publication Critical patent/CN116545659A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种单包授权认证方法、装置、服务端和存储介质。其中方法包括:接收客户端设备轮询发送过来的包含设备指纹的UDP敲门包;判断是否敲门成功;若判定敲门成功,接收客户端设备轮询发送过来的包含设备指纹的TCP数据包;判断设备指纹是否发生改变;若判定没有发生改变,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭端口并下发二次认证或敲门阻止策略;当判定符合要求,建立连接通道;当判定不符合要求,关闭端口并下发二次认证或敲门阻止策略。本发明采用3P敲门方式,避免了TCP敲门方式无法完全隐藏服务器端口的缺陷,解决了UDP敲门方式存在敲门放大漏洞的问题,同时能够防止重放攻击。

Description

一种单包授权认证方法、装置、服务端和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种单包授权认证方法、装置、服务端和存储介质。
背景技术
传统的网络接入控制是先接入再认证,由于端口暴露在互联网上,很容易遭受安全攻击,从而产生各种安全威胁。单包授权认证(SPA)是实现SDP网络隐身的核心网络安全协议。在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份,实现零信任“先认证,再连接”的安全模型理念,以此实现企业业务的网络隐身,从网络层面上实现无法连接、无法扫描。
单包授权认证SPA是一种轻量级的安全协议,只使用单个包进行访问申请,通过将必要的信息集成在单个数据包内来简化敲门流程,在被允许访问网络前,需要对设备、用户的身份进行验证,验证通过才能打开服务器端口,建立网络访问,以此达到“网络隐身”。SPA经历了两代的发展,第一代利用UDP无需连接、无需响应的机制,通过对SPA服务器发送数据包进行校验,只有校验通过才能建立连接。第二代采用TCP的实现,在TLS握手过程中,通过加入OTP动态码进行服务器校验,口令通过,才可允许连接主机接入。
采用UDP敲门的方式,由于局域网中的客户机在访问公网时需要进行源地址转换SNAT,因此,只要同一网络中的任一客户机敲门成功,其他客户机均可访问,因此这种方式存在敲门放大漏洞。而通过TCP可靠连接的方式,相比于UDP的方式,TCP连接能够建立,而阻断了TLS的建立,过程中未能完全隐藏端口,仍存在端口暴露的问题。
同时,无论采用UDP还是TCP连接的方式,黑客若截取了客户端发送的数据包,则可通过新的设备进行模拟敲门,从而实施攻击,即存在重放攻击的可能性。
发明内容
基于此,提供一种单包授权认证方法、装置、服务端和存储介质,以解决现有单纯UDP敲门方式存在敲门放大漏洞、单纯TCP敲门方式无法完全隐藏服务器端口,并且两种敲门方式均面临重放攻击的可能性的技术问题。
为了实现上述目的,本申请提供如下技术方案:
第一方面,一种单包授权认证方法,应用于服务端,所述方法包括:
S1,接收客户端设备轮询发送过来的UDP敲门包,所述UDP敲门包包含所述客户端设备的设备指纹和身份信息;
S2,对所述UDP敲门包进行验证,判断是否敲门成功;
S3,若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,所述TCP数据包包含所述客户端设备的设备指纹;
S4,对所述UDP敲门包和TCP数据包中的所述客户端设备的设备指纹进行比对,判断所述客户端设备的设备指纹是否发生改变;
S5,若判定没有发生改变,持续接收所述客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略;
S6,当判定符合要求,建立与所述客户端设备之间的连接通道;当判定不符合要求,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
可选地,所述身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳;所述时间戳和登录账号由所述客户端设备本地生成的RSA私钥进行加密。
进一步可选地,所述对所述UDP敲门包进行验证,判断是否敲门成功包括:
采用所述客户端设备的RSA公钥对数据包进行解密,得到时间戳和登录账号信息;
对解密后得到的时间戳和登录账号信息进行验证,验证时间戳的有效性以及登录账号的合法性;
若验证时间戳有效以及登录账号合法,则判定敲门成功。
可选地,所述终端环境信息包括客户端设备IP地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
进一步可选地,所述判断用户行为和客户端设备的终端环境信息是否符合要求包括:
判断用户访问时间是否在预设许可时间段内;
判断客户端设备是否在授信列表内;
若用户访问时间在预设许可时间段内,并且客户端设备在授信列表内,则判定符合要求。
可选地,步骤S6还包括:
接收通过所述连接通道的相应IP端口发来的数据包,并识别其中的身份信息;
若识别得到的身份信息与所述UDP敲门包中的身份信息不一致,将接收得到的数据包进行丢弃处置。
第二方面,一种单包授权认证装置,包括:
UDP敲门包接收模块,用于接收客户端设备轮询发送过来的UDP敲门包,所述UDP敲门包包含所述客户端设备的设备指纹和身份信息;
敲门验证模块,用于对所述UDP敲门包进行验证,判断是否敲门成功;
TCP数据包接收模块,用于若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,所述TCP数据包包含所述客户端设备的设备指纹;
设备指纹比对模块,用于对所述UDP敲门包和TCP数据包中的所述客户端设备的设备指纹进行比对,判断所述客户端设备的设备指纹是否发生改变;
终端环境信息接收模块,用于若判定没有发生改变,持续接收所述客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略;
连接通道建立模块,用于当判定符合要求,建立与所述客户端设备之间的连接通道;当判定不符合要求,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
第三方面,一种单包授权认证服务端,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现第一方面中任一项所述的方法的步骤。
第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。
本发明至少具有以下有益效果:
本发明实施例提供的一种单包授权认证方法中,采用UDP+TCP+设备指纹(DFP)“3P敲门”的方式实现单包授权认证,避免了单纯使用TCP敲门方式无法完全隐藏服务器端口的缺陷;在授权认证过程中,通过设备指纹技术进行设备唯一性标识,敲门过程中当发现设备唯一性标识发生改变,便进行策略阻止,能够确保就算同一网络中有一客户机敲门成功,其他客户机由于设备指纹不同仍然无法访问,并且能够确保哪怕黑客若截取了客户端发送的数据包,也无法更换设备进行模拟敲门;因此本申请实施例所提供的单包授权认证方法还解决了UDP敲门方式存在敲门放大漏洞的问题,同时能够防止重放攻击。
附图说明
图1为本发明一个实施例提供的一种单包授权认证方法的流程示意图;
图2为本发明一个实施例提供的一种单包授权认证方法的另一种流程示意图;
图3为本发明一个实施例提供的一种单包授权认证装置的模块架构框图;
图4为本发明一个实施例提供的一种单包授权认证服务端的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种单包授权认证方法,该方法应用于服务端,包括以下步骤:
S1,接收客户端设备轮询发送过来的UDP敲门包,UDP敲门包包含客户端设备的设备指纹和身份信息。
其中,设备指纹也就是设备唯一性标识DFP;身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳;时间戳和登录账号由客户端设备本地生成的RSA私钥进行加密。
身份信息具体还可以包括:浏览器信息(UserAgent、Language、Screen、Font、Plugin、Mime、SysLang、Platform,均为Hash值)、Canvas图形绘制数据(声卡Audio采样数据、显卡Gpu采样数据、绘制采样数据)。
S2,对UDP敲门包进行验证,判断是否敲门成功。
具体来说,对UDP敲门包进行验证,判断是否敲门成功的验证过程包括:
a)采用客户端设备的RSA公钥对数据包进行解密,得到时间戳和登录账号信息;其中,数据包指的是UDP敲门包的数据包;
b)对解密后得到的时间戳和登录账号信息进行验证,验证时间戳的有效性以及登录账号的合法性;
c)若验证时间戳有效以及登录账号合法,则判定敲门成功。
S3,若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,TCP数据包包含客户端设备的设备指纹。
S4,对UDP敲门包和TCP数据包中的客户端设备的设备指纹进行比对,判断客户端设备的设备指纹是否发生改变。
也就是判断TCP数据包中的设备指纹是否与UDP敲门包中的设备指纹一致。
S5,若判定没有发生改变,持续接收客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
其中,终端环境信息具体包括客户端设备IP地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
具体来说,判断用户行为和终端环境信息是否符合要求包括:
a)判断用户访问时间是否在预设许可时间段内;
b)判断用户所用客户端设备是否在授信列表内;可以通过客户端设备IP地址判断该设备是否在授信列表内;
c)若用户访问时间在预设许可时间段内,并且客户端设备在授信列表内,则判定符合要求;若用户访问时间不在预设许可时间段内,并且客户端设备不在授信列表内,则判定异常、不符合要求。
S6,当判定符合要求,建立与客户端设备之间的连接通道;当判定不符合要求,关闭数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
进一步地,步骤S6还包括:
接收通过连接通道的相应IP端口发来的数据包,并识别其中的身份信息;
若识别得到的身份信息与UDP敲门包中的身份信息不一致,将接收得到的数据包进行丢弃处置。
上述方法的另一种流程示意图可参见图2。
简单来说,该单包授权认证方法包括以下步骤:
1、客户端轮询发送udp包(包含设备唯一性标识DFP、用户身份信息),服务端进行验证,验证通过,打开服务端端口,建立传输隧道。
2、客户端轮询发送tcp包(含计算设备唯一性标识DFP的相关向量),服务端进行设备唯一性标识比对判定,当发现设备唯一性标识DFP发生改变时,下发二次认证或敲门阻止等策略。
3、持续上报设备终端环境信息,当环境信息或用户行为产生异常,下发二次认证或敲门阻止策略。
本发明实施例的目的在于针对单包授权认证SPA进行优化,以克服现有UDP敲门存在的敲门放大漏洞问题,克服现有TCP敲门无法完全隐藏服务器端口的问题,克服现有两种敲门方式所面临重放攻击的可能性。
上述一种单包授权认证方法中,采用UDP+TCP+DFP“3P敲门”的方式实现单包授权认证,DFP指设备指纹,即设备唯一性标识,是对现有单包授权认证SPA的优化。
该单包授权认证方法能够通过设备指纹技术进行设备唯一性标识DFP,敲门过程中当发现设备唯一性标识发生改变,进行策略阻止,防止重放攻击;采用终端环境感知和用户行为分析技术,当终端环境和用户访问出现异常时,进行访问阻止;采用单包授权认证SPA时,携带了用户身份信息,通过UDP敲门打开IP端口后,针对该IP下其他用户的数据包进行丢弃处置。
综上,本申请实施例所提供的单包授权认证方法,具有以下优点:
1、解决了单包授权认证SPA单纯采用UDP作为传输协议而产生敲门放大漏洞的问题;
2、解决了单包授权认证SPA单纯采用TCP作为传输协议而无法进行端口隐藏的问题;
3、解决了现有单包授权认证SPA可能存在的重放攻击问题。
4、优化单包授权认证SPA能力,敲门成功仍然会对用户身份和设备身份进行持续校验。
应该理解的是,虽然图1-2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种单包授权认证装置,包括以下程序模块:
UDP敲门包接收模块301,用于接收客户端设备轮询发送过来的UDP敲门包,UDP敲门包包含客户端设备的设备指纹和身份信息。
其中,设备指纹也就是设备唯一性标识DFP;身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳;时间戳和登录账号由客户端设备本地生成的RSA私钥进行加密。
身份信息具体还可以包括:浏览器信息(UserAgent、Language、Screen、Font、Plugin、Mime、SysLang、Platform,均为Hash值)、Canvas图形绘制数据(声卡Audio采样数据、显卡Gpu采样数据、绘制采样数据)。
敲门验证模块302,用于对UDP敲门包进行验证,判断是否敲门成功。
具体来说,对UDP敲门包进行验证,判断是否敲门成功的验证过程包括:
a)采用客户端设备的RSA公钥对数据包进行解密,得到时间戳和登录账号信息;其中,数据包指的是UDP敲门包的数据包;
b)对解密后得到的时间戳和登录账号信息进行验证,验证时间戳的有效性以及登录账号的合法性;
c)若验证时间戳有效以及登录账号合法,则判定敲门成功。
TCP数据包接收模块303,用于若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,TCP数据包包含客户端设备的设备指纹。
设备指纹比对模块304,用于对UDP敲门包和TCP数据包中的客户端设备的设备指纹进行比对,判断客户端设备的设备指纹是否发生改变。
也就是判断TCP数据包中的设备指纹是否与UDP敲门包中的设备指纹一致。
终端环境信息接收模块305,用于若判定没有发生改变,持续接收客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
其中,终端环境信息具体包括客户端设备IP地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
具体来说,判断用户行为和终端环境信息是否符合要求包括:
a)判断用户访问时间是否在预设许可时间段内;
b)判断用户所用客户端设备是否在授信列表内;可以通过客户端设备IP地址判断该设备是否在授信列表内;
c)若用户访问时间在预设许可时间段内,并且客户端设备在授信列表内,则判定符合要求;若用户访问时间不在预设许可时间段内,并且客户端设备不在授信列表内,则判定异常、不符合要求。
连接通道建立模块306,用于当判定符合要求,建立与客户端设备之间的连接通道;当判定不符合要求,关闭数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
进一步地,连接通道建立模块306还用于:
接收通过连接通道的相应IP端口发来的数据包,并识别其中的身份信息;
若识别得到的身份信息与UDP敲门包中的身份信息不一致,将接收得到的数据包进行丢弃处置。
关于一种单包授权认证装置的具体限定可以参见上文中对于一种单包授权认证方法的限定,在此不再赘述。上述一种单包授权认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种单包授权认证服务端,其内部结构图可以如图4所示。该单包授权认证服务端包括通过系统总线连接的处理器、存储器和网络接口。其中,该单包授权认证服务端的处理器用于提供计算和控制能力。该单包授权认证服务端的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该单包授权认证服务端的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述的一种单包授权认证方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random AccessMemory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(StaticRandomAccessMemory,SRAM)或动态随机存取存储器(DynamicRandomAccessMemory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种单包授权认证方法,其特征在于,应用于服务端,所述方法包括:
S1,接收客户端设备轮询发送过来的UDP敲门包,所述UDP敲门包包含所述客户端设备的设备指纹和身份信息;
S2,对所述UDP敲门包进行验证,判断是否敲门成功;
S3,若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,所述TCP数据包包含所述客户端设备的设备指纹;
S4,对所述UDP敲门包和TCP数据包中的所述客户端设备的设备指纹进行比对,判断所述客户端设备的设备指纹是否发生改变;
S5,若判定没有发生改变,持续接收所述客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略;
S6,当判定符合要求,建立与所述客户端设备之间的连接通道;当判定不符合要求,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
2.根据权利要求1所述的单包授权认证方法,其特征在于,所述身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳;所述时间戳和登录账号由所述客户端设备本地生成的RSA私钥进行加密。
3.根据权利要求2所述的单包授权认证方法,其特征在于,所述对所述UDP敲门包进行验证,判断是否敲门成功包括:
采用所述客户端设备的RSA公钥对数据包进行解密,得到时间戳和登录账号信息;
对解密后得到的时间戳和登录账号信息进行验证,验证时间戳的有效性以及登录账号的合法性;
若验证时间戳有效以及登录账号合法,则判定敲门成功。
4.根据权利要求1所述的单包授权认证方法,其特征在于,所述终端环境信息包括客户端设备IP地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
5.根据权利要求4所述的单包授权认证方法,其特征在于,所述判断用户行为和客户端设备的终端环境信息是否符合要求包括:
判断用户访问时间是否在预设许可时间段内;
判断客户端设备是否在授信列表内;
若用户访问时间在预设许可时间段内,并且客户端设备在授信列表内,则判定符合要求。
6.根据权利要求1所述的单包授权认证方法,其特征在于,步骤S6还包括:
接收通过所述连接通道的相应IP端口发来的数据包,并识别其中的身份信息;
若识别得到的身份信息与所述UDP敲门包中的身份信息不一致,将接收得到的数据包进行丢弃处置。
7.一种单包授权认证装置,其特征在于,包括:
UDP敲门包接收模块,用于接收客户端设备轮询发送过来的UDP敲门包,所述UDP敲门包包含所述客户端设备的设备指纹和身份信息;
敲门验证模块,用于对所述UDP敲门包进行验证,判断是否敲门成功;
TCP数据包接收模块,用于若判定敲门成功,打开数据传输端口和TCP数据上报端口,接收客户端设备轮询发送过来的TCP数据包,所述TCP数据包包含所述客户端设备的设备指纹;
设备指纹比对模块,用于对所述UDP敲门包和TCP数据包中的所述客户端设备的设备指纹进行比对,判断所述客户端设备的设备指纹是否发生改变;
终端环境信息接收模块,用于若判定没有发生改变,持续接收所述客户端设备发送过来的终端环境信息,判断用户行为和客户端设备的终端环境信息是否符合要求;若判定发生改变,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略;
连接通道建立模块,用于当判定符合要求,建立与所述客户端设备之间的连接通道;当判定不符合要求,关闭所述数据传输端口和TCP数据上报端口,并下发二次认证或敲门阻止策略。
8.一种单包授权认证服务端,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202310402198.5A 2023-04-14 2023-04-14 一种单包授权认证方法、装置、服务端和存储介质 Pending CN116545659A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310402198.5A CN116545659A (zh) 2023-04-14 2023-04-14 一种单包授权认证方法、装置、服务端和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310402198.5A CN116545659A (zh) 2023-04-14 2023-04-14 一种单包授权认证方法、装置、服务端和存储介质

Publications (1)

Publication Number Publication Date
CN116545659A true CN116545659A (zh) 2023-08-04

Family

ID=87451475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310402198.5A Pending CN116545659A (zh) 2023-04-14 2023-04-14 一种单包授权认证方法、装置、服务端和存储介质

Country Status (1)

Country Link
CN (1) CN116545659A (zh)

Similar Documents

Publication Publication Date Title
US7526654B2 (en) Method and system for detecting a secure state of a computer system
CN108429730B (zh) 无反馈安全认证与访问控制方法
US8910241B2 (en) Computer security system
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
US20140082736A1 (en) Certifying server side web applications against security vulnerabilities
US20210352101A1 (en) Algorithmic packet-based defense against distributed denial of service
CN111770071B (zh) 一种网络隐身场景下网关认证可信设备的方法和装置
JP2019536157A (ja) 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法
Al-Bahadili et al. Network security using hybrid port knocking
Kumar et al. Performance analysis of sdp for secure internal enterprises
CN112671779A (zh) 基于DoH服务器的域名查询方法、装置、设备及介质
CN116032533A (zh) 基于零信任的远程办公访问方法及系统
US20190166160A1 (en) Proactive transport layer security identity verification
US20240039891A1 (en) Packet watermark with static salt and token validation
CN108924122B (zh) 一种网络敌我识别方法及系统
CN115333840A (zh) 资源访问方法、系统、设备及存储介质
CN101764788B (zh) 基于扩展802.1x认证系统的安全接入方法
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN110301127B (zh) 用于预测性令牌验证的装置和方法
CN113904826A (zh) 数据传输方法、装置、设备和存储介质
CN116321136A (zh) 一种支持多因素身份认证的隐身网关设计方法
CN116208401A (zh) 一种基于零信任的云主站访问控制方法及装置
CN116545659A (zh) 一种单包授权认证方法、装置、服务端和存储介质
US20220343095A1 (en) Fingerprint-Based Device Authentication
Liu et al. Risk‐Based Dynamic Identity Authentication Method Based on the UCON Model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination