CN116708039B - 基于零信任单包认证的访问方法、装置及系统 - Google Patents
基于零信任单包认证的访问方法、装置及系统 Download PDFInfo
- Publication number
- CN116708039B CN116708039B CN202310982767.8A CN202310982767A CN116708039B CN 116708039 B CN116708039 B CN 116708039B CN 202310982767 A CN202310982767 A CN 202310982767A CN 116708039 B CN116708039 B CN 116708039B
- Authority
- CN
- China
- Prior art keywords
- authentication
- verification
- client
- information
- control end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000012795 verification Methods 0.000 claims abstract description 297
- 238000004422 calculation algorithm Methods 0.000 claims description 82
- 230000005540 biological transmission Effects 0.000 claims description 76
- 238000004364 calculation method Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 230000006854 communication Effects 0.000 description 18
- 238000004891 communication Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013496 data integrity verification Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/165—Combined use of TCP and UDP protocols; selection criteria therefor
Abstract
本申请涉及一种基于零信任单包认证的访问方法、装置、系统、计算机设备及计算机可读存储介质。所述方法包括:获取单包认证信息;根据所述单包认证信息构建认证报文;发送所述认证报文至控制端,以指示所述控制端对所述认证报文进行校验并生成校验结果信息;接收来自所述控制端的所述校验结果信息,并在所述校验结果信息指示所述校验通过的情况下向所述控制端请求应用鉴权信息;接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。采用本方法能够降低报文被截获、篡改的风险,确保访问链路安全。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种基于零信任单包认证的访问方法、装置、系统、计算机设备及计算机可读存储介质。
背景技术
在传统的网络通讯中,用户访问应用服务时通常需要在服务端提供至少一个访问端口,然而,暴露访问接口很可能会产生服务器被攻击、信息数据被盗取的隐患。因此,出现了单包认证技术,提升了网络安全,使得链接访问更透明,隐藏访问端口,有效的杜绝恶意扫描等黑客技术。
然而,目前的单包认证技术仍然存在虚假网络认证风险,并且由于请求访问的发起方、被请求访问的网关和进行单包认证的验证方很有可能分别部署在不同的地理位置,而二者又通过互联网连接,这使得目前的单包认证技术无法确保全链路的访问均是安全的,在全链路的访问期间,存在着报文被截获、篡改等风险。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低报文被截获、篡改的风险,确保访问链路安全的基于零信任单包认证的访问方法、装置、系统、计算机设备及计算机可读存储介质。
第一方面,本申请提供了一种基于零信任单包认证的访问方法。所述方法包括:
获取单包认证信息;
根据所述单包认证信息构建认证报文;
发送所述认证报文至控制端,以指示所述控制端对所述认证报文进行校验并生成校验结果信息;
接收来自所述控制端的所述校验结果信息,并在所述校验结果信息指示所述校验通过的情况下向所述控制端请求应用鉴权信息;
接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
在其中一个实施例中,所述发送所述认证报文至控制端,以指示所述控制端对所述认证报文进行校验并生成校验结果信息包括:
以第一传输协议发送所述认证报文至控制端,以指示所述控制端完成对所述认证报文的第一类型校验,并在所述第一类型校验通过的情况下开启访问端口;
通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端,以指示所述控制端完成对所述认证报文的第二类型校验并生成校验结果信息。
在其中一个实施例中,所述根据所述单包认证信息构建认证报文包括:
采用对称加密算法对所述单包认证信息进行加密处理,以获得数据包信息;
使用密码加密算法对所述单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,所述共享密码用于供控制端获取;
按照预设规则封装所述数据包信息和所述第一密钥,以构建认证报文。
在其中一个实施例中,所述第一传输协议是UDP协议,和/或所述第二传输协议是TCP协议。
在其中一个实施例中, 所述接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口包括:
接收来自所述控制端的所述应用鉴权信息;
根据所述应用鉴权信息提取网关地址信息;
根据所述网关地址信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
上述基于零信任单包认证的访问方法,以客户端作为应用访问的请求方,通过客户端向控制端发送认证报文,从而指示控制端对认证报文进行校验,进而完成对客户端的校验,初步提升通信安全性。在校验通过的情况下,客户端能够向控制端发送应用鉴权请求,从而获得应用鉴权信息,并根据应用鉴权信息与网关建立通信联系,因此,客户端只有在其构建的认证报文能够通过控制端的校验时,才能进一步地请求应用鉴权。进一步地,当客户端接收到应用鉴权信息后,还要将认证报文发送至网关,完成再一次的校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
第二方面,本申请还提供了一种基于零信任单包认证的访问方法,应用于控制端,所述方法包括:
接收来自客户端的认证报文,并对所述认证报文进行校验,以生成校验结果信息,所述认证报文是根据单包认证信息构建的;
在所述校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求;
接收来自网关的应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
在其中一个实施例中,所述接收来自客户端的所述认证报文,并对所述认证报文进行校验,以生成校验结果信息包括:
接收客户端以第一传输协议传输的认证报文;
对所述认证报文进行第一类型校验;
在所述第一类型校验通过的情况下开启访问端口,并将对应的客户端加入可信清单;
通过所述访问端口接收客户端以第二传输协议传输的所述认证报文;
根据所述认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于所述可信清单。
在其中一个实施例中,所述认证报文包括数据包信息和第一密钥,所述数据包信息是所述单包认证信息通过对称加密算法加密获得的,所述第一密钥是所述单包认证信息通过共享密码加密获得的,所述对所述认证报文进行第一类型校验包括:
采用对称加密算法对所述数据包信息进行解密处理,以获得所述单包认证信息;
获取所述共享密码;
使用密码加密算法对所述单包认证信息进行加密计算,以获取与所述共享密码相关联的第二密钥;
根据所述第一密钥和所述第二密钥验证所述认证报文是否符合预设要求,以完成第一类型校验。
在其中一个实施例中,所述根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口包括:
根据所述应用鉴权校验请求,对所述认证报文进行所述第二类型校验,并向网关返回第二类型校验结果,以指示网关向客户端开放应用访问接口。
在其中一个实施例中,所述第一传输协议是UDP协议,和/或所述第二传输协议是TCP协议。
上述基于零信任单包认证的访问方法,控制端能够对认证报文进行校验,从而指示客户端发出应用鉴权请求,控制端只有在认证报文符合要求的前提下才会向客户端返回应用鉴权信息,从而保证了单包验证的初期校验阶段是安全的。进一步地,控制端还会接收来自网关的应用鉴权校验请求,并对网关接收到的认证报文进行再一次的校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
第三方面,本申请还提供了一种基于零信任单包认证的访问方法,应用于零信任网络,所述零信任网络包括客户端、控制端和网关,所述方法包括:
所述客户端获取单包认证信息,以构建认证报文;
所述控制端接收来自所述客户端的所述认证报文,并对所述认证报文进行校验,以生成校验结果信息;
所述客户端来自所述控制端的所述校验结果信息,并向所述控制端请求应用鉴权信息;
在所述校验通过的情况下,所述控制端接收来自所述客户端的应用鉴权请求,并向所述客户端返回应用鉴权信息;
所述客户端向所述网关发送所述认证报文;
所述网关向所述控制端发送应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
所述控制端接收来自网关的应用鉴权校验请求,并对所述认证报文进行所述校验,以及向所述网关返回所述校验结果信息;
所述网关根据所述校验结果信息向所述客户端开放应用访问接口。
在其中一个实施例中,所述客户端获取单包认证信息,以构建认证报文包括:
所述客户端采用对称加密算法对所述单包认证信息进行加密处理,以获得数据包信息;
所述客户端使用密码加密算法对所述单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,所述共享密码用于供控制端获取;
所述客户端按照预设规则封装所述数据包信息和所述第一密钥,以构建认证报文。
在其中一个实施例中,所述控制端接收来自所述客户端的所述认证报文,并对所述认证报文进行校验,以生成校验结果信息包括:
所述客户端以第一传输协议发送所述认证报文至所述控制端;
所述控制端接收客户端以第一传输协议传输的认证报文,并采用对称加密算法对所述数据包信息进行解密处理,以获得所述单包认证信息;
所述控制端获取所述共享密码,并使用密码加密算法对所述单包认证信息进行加密计算,以获取与所述共享密码相关联的第二密钥;
所述控制端根据所述第一密钥和所述第二密钥验证所述认证报文是否符合预设要求,以完成第一类型校验;
所述控制端在所述第一类型校验通过的情况下开启访问端口,并将对应的客户端加入可信清单;
所述客户端通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端;
所述控制端通过所述访问端口接收客户端以第二传输协议传输的所述认证报文,并根据所述认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于所述可信清单。
第四方面,本申请还提供了一种基于零信任单包认证的访问装置,应用于客户端,所述装置包括:
信息获取模块,用于获取单包认证信息;
报文构建模块,用于根据所述单包认证信息构建认证报文;
报文发送模块,用于发送所述认证报文至控制端,以指示所述控制端对所述认证报文进行校验并生成校验结果信息;
结果获取模块,用于接收来自所述控制端的所述校验结果信息,并在所述校验结果信息指示所述校验通过的情况下向所述控制端请求应用鉴权信息;
访问请求模块,用于接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
第五方面,本申请还提供了一种基于零信任单包认证的访问装置,应用于控制端,所述装置包括:
报文接收模块,用于接收来自客户端的认证报文,并对所述认证报文进行校验,以生成校验结果信息,所述认证报文是根据单包认证信息构建的;
鉴权处理模块,用于在所述校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求;
请求接收模块,用于接收来自网关的应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
鉴权校验模块,用于根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
第六方面,本申请还提供了一种基于零信任单包认证的访问系统,所述系统用于构成零信任网络,所述零信任网络包括客户端、控制端和网关;其中:
所述客户端,用于获取单包认证信息,以构建认证报文;
所述控制端,用于接收来自所述客户端的所述认证报文,并对所述认证报文进行校验,以生成校验结果信息;
所述客户端,用于来自所述控制端的所述校验结果信息,并向所述控制端请求应用鉴权信息;
所述控制端,用于在所述校验通过的情况下接收来自所述客户端的应用鉴权请求,并向所述客户端返回应用鉴权信息;
所述客户端,用于向所述网关发送所述认证报文;
所述网关,用于向所述控制端发送应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
所述控制端,用于接收来自网关的应用鉴权校验请求,并对所述认证报文进行所述校验,以及向所述网关返回所述校验结果信息;
所述网关,用于根据所述校验结果信息向所述客户端开放应用访问接口。
第七方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤,或实现如第二方面所述的方法的步骤。
第八方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法的步骤,或实现如第二方面所述的方法的步骤。
上述基于零信任单包认证的访问方法、装置、系统、计算机设备及计算机可读存储介质,以客户端作为应用访问的请求方,通过客户端向控制端发送认证报文来请求网关的应用访问接口。控制端能够对认证报文进行校验,从而指示客户端发出应用鉴权请求。因此,客户端只有在其构建的认证报文能够通过控制端的校验时,才能进一步地请求应用鉴权,而控制端也只有在认证报文符合要求的前提下才会向客户端返回应用鉴权信息,从而保证了单包验证的初期校验阶段是安全的。在客户端获取到控制端发出的应用鉴权信息后,即可进一步地向网关发送认证报文,在经过网关的再一次认证后,即可使得网关开放应用访问接口,从而使得这一客户端得以访问对应的应用访问接口。由于网关接收到客户端发来的认证报文后,还会向控制端请求一次校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
附图说明
图1为一个实施例中基于零信任单包认证的访问方法的应用环境图;
图2为一个实施例中基于零信任单包认证的访问方法的流程示意图;
图3为一个实施例中步骤S206的流程示意图;
图4为一个实施例中步骤S204的流程示意图;
图5为一个实施例中步骤S210的流程示意图;
图6为另一个实施例中基于零信任单包认证的访问方法的流程示意图;
图7为一个实施例中步骤S602的流程示意图;
图8为一个实施例中步骤S704的流程示意图;
图9为另一个实施例中基于零信任单包认证的访问方法的流程示意图;
图10为一个实施例中基于零信任单包认证的访问装置的结构框图;
图11为另一个实施例中基于零信任单包认证的访问装置的结构框图;
图12为一个实施例中计算机设备的内部结构图;
图13为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的基于零信任单包认证的访问方法,可以应用于如图1所示的应用环境中。其中,客户端102通过网络与控制器104和网关106进行通信。控制器104可以用于处理认证报文等数据,并且用于存储校验规则和对应于多个网关的应用鉴权信息。其中,客户端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。控制器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种基于零信任单包认证的访问方法,该方法应用于零信任网络的客户端,以该方法应用于图1中的客户端102为例进行说明。
其中,零信任网络是一种网络安全模型,可以应用于各种网络环境和架构。它假设任何设备或用户都不可信,并要求对所有网络请求进行验证和授权,无论它们来自何处。零信任网络的目标是保护企业网络和数据免受未经授权的访问和攻击。示例性地,零信任网络可以是软件定义的边界(Software Defined Perimeter,SDP)服务网络,SDP是一种网络安全架构,旨在提供更严格的访问控制和安全性,以保护应用程序和服务免受未经授权的访问和攻击。它采用了一系列的安全措施和技术,包括身份验证、访问控制、加密和认证等,以实现更细粒度和动态的网络访问控制。SDP的核心思想是将网络资源和服务隐藏在一个不可见的、软件定义的边界之后,只有经过授权的用户和设备才能访问。零信任网络还可以是某个内部网络、云计算环境、IoT(物联网)网络以及边缘计算网络等。以零信任网络为SDP服务网络为例。该方法包括以下步骤S202至步骤S210。
步骤S202,获取单包认证信息。
其中,单包认证信息是确定发出应用访问请求的客户端所需的信息,示例性地,单包认证信息包括:包标识、协议版本号、终端标识、系统时间戳、当前包序列码、下一包序列码和信息包长度。其中,包标识(Packet Identifier)用于标识客户端将要发出的认证报文的类型或目的;协议版本号(Protocol Version)用于指定认证报文协议的版本;终端标识(Terminal Identifier)用于标识客户端的终端设备;系统时间戳(System Timestamp)用于标记认证报文发送的时间;当前包序列码(Current Packet Sequence Number)用于表示当前认证报文的序列号;下一包序列码(Next Packet Sequence Number)用于表示下一个认证报文的序列号;信息包长度(Payload Length)用于表示单包认证需要发送的认证信息数据长度。
步骤S204,根据单包认证信息构建认证报文。
其中,认证报文是用于请求网关处应用接口的报文。示例性地,根据上述单包认证信息,按照单包认证的报文协议构建认证报文即可。进一步地,在构建认证报文的过程中,可以采用以下任意的加密方法对认证报文中的数据进行加密处理:第一,可以使用散列函数,将输入数据转换成固定长度的哈希值,利用散列函数的单向性校验数据完整性;第二,可以采用消息认证码验证消息完整性和认证消息来源,如基于散列函数的消息认证码(Hash-based Message Authentication Code,HMAC)等;第三,可以采用数字签名验证消息的真实性和完整性,并确认消息来源,通常结合非对称加密来实现,即用私钥对消息进行签名,公钥用于验证签名的有效性;第四,可以采用分组密码模式,例如电子密码本模式(Electronic Codebook Mode,ECB)、密码块链模式(Cipher Block Chaining Mode,CBC)、计数器模式(Counter Mode,CTR)等。
步骤S206,发送认证报文至控制端,以指示控制端对认证报文进行校验并生成校验结果信息。
其中,控制端是指零信任网络中用于校验认证报文是否符合要求、是否合法的一端,示例性地,认证报文可以通过传输控制协议(Transmission Control Protocol,TCP)或用户数据报协议(User Datagram Protocol,UDP)进行传输,也可以通过以下协议进行传输:流控制传输协议(Stream Control Transmission Protocol,SCTP);传输层安全/安全套接层协议(Transport Layer Security/Secure Socket Layer,TLS/SSL);安全外壳协议(Secure Shell,SSH);网络套接字协议(WebSocket);动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP);简单网络管理协议(Simple NetworkManagementProtocol,SNMP);简单文件传输协议(Trivial File Transfer Protocol,TFTP)
进一步地,控制端对认证报文的校验可以包括:对报文长度的校验、对数据标识的校验以及对密钥的校验等,当任意一种校验不通过时,均可以将该认证报文直接丢弃,并且可以生成对应的校验结果信息。并且,若校验结果信息指示校验通过,则该校验结果信息需要通过以上协议传输至客户端;若校验结果信息指示校验未通过,则该校验结果信息可以通过以上协议传输至客户端,也可以不向客户端传输。
步骤S208,接收来自控制端的校验结果信息,并在校验结果信息指示校验通过的情况下向控制端请求应用鉴权信息。
其中,应用鉴权(Application Authentication)是一种用于验证和授权应用程序访问权限的安全机制。它确保只有经过身份验证和授权的应用程序能够访问特定的资源、服务或功能,其强调在应用层面上进行的身份验证和授权,与用户身份验证(例如用户名和密码)不同。它关注的是应用程序本身的身份和权限,而不是特定用户的身份。示例性地,当校验结果信息指示检验通过时,即可确认当前的客户端为符合要求的,客户端即可请求应用鉴权信息,而若校验结果信息指示检验不通过时,即可确认当前的客户端为不符合要求的,客户端不能够请求应用鉴权信息。可选地,客户端可以通过TCP协议接收来自控制端的校验结果信息,也可以通过TLS/SSL协议接收来自控制端的校验结果信息。
步骤S210,接收来自控制端的应用鉴权信息,并根据应用鉴权信息向对应的网关发送认证报文,以指示网关完成对认证报文的校验,并在校验通过的情况下开放应用访问接口。
其中,网关作为应用程序的入口或出口,其相关信息需要被保护,从而确保链路的安全。示例性地,应用鉴权信息可以作为客户端访问网关的准入信息,也可以作为客户端找到对应网关的导航信息,例如,当客户端接收到来自控制端的应用鉴权信息后,可以从应用鉴权信息中解析出网关的相关信息,从而定位到具体可以访问的网关,进而与对应的网关建立联系。
进一步地,客户端向网关再次发送上述认证报文以请求访问应用的接口,而不是直接对网关的应用接口进行访问,能够提供给网关以再一次校验的机会,方式在通信过程中,由于物理距离等原因造成的报文被截获、篡改,以及发起访问的客户端由合法到不合法的变更等问题。
上述基于零信任单包认证的访问方法,以客户端作为应用访问的请求方,通过客户端向控制端发送认证报文,从而指示控制端对认证报文进行校验,进而完成对客户端的校验,初步提升通信安全性。在校验通过的情况下,客户端能够向控制端发送应用鉴权请求,从而获得应用鉴权信息,并根据应用鉴权信息与网关建立通信联系,因此,客户端只有在其构建的认证报文能够通过控制端的校验时,才能进一步地请求应用鉴权。进一步地,当客户端接收到应用鉴权信息后,还要将认证报文发送至网关,完成再一次的校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
在一个实施例中,如图3所示,步骤S206包括:
步骤S302,以第一传输协议发送认证报文至控制端,以指示控制端完成对认证报文的第一类型校验,并在第一类型校验通过的情况下开启访问端口。
其中,第一传输协议是指可以直接向控制端发送认证报文、无需控制端做出回应,从而能够隐藏控制端接口的协议。示例性地,第一传输协议可以为UDP协议,也可以为DHCP协议、SNMP协议或TFTP协议等。
其中,第一类型校验是指对认证报文是否符合要求的合法性校验。示例性地,第一类型校验可以包括:对报文长度的校验、对数据标识的校验以及对密钥的校验等。在第一类型校验通过的情况下,控制端即可开启访问端口。
步骤S304,通过访问端口,以第二传输协议发送认证报文至控制端,以指示控制端完成对认证报文的第二类型校验并生成校验结果信息。
其中,访问端口作为能够使用第二类型传输协议的必要条件,当步骤S302中的第一类型校验通过时才会开启。第二传输协议是指基于已确认的链路进行信息传输的协议。示例性地,第二传输协议可以为TCP协议,也可以为TLS/SSL协议、SSH协议等。
其中,第二类型校验作为客户端于控制端的第二次校验,区别于第一类型校验,其校验内容可以包括:认证报文重放情况、报文连续性、时间戳,以及认证报文对应的客户端是否已被记录等。
本实施例中,通过采用两种传输协议相结合的方式,能够兼顾接收方接口的隐蔽性和传输链路的稳定性,从而提升单包认证的数据安全性。例如,当前使用较为广泛的内容分发网络(Content Delivery Network,CDN),其中有多个分布式的缓存服务器节点,这些服务器存储了来自原始服务器的内容的副本,当用户请求内容时,CDN会根据用户的位置和其他参数,将内容从最近的缓存服务器提供给用户,而不是从原始服务器提供。因此,采用UDP与TCP相结合的方式对认证报文进行两次校验,能够有效的避免在CDN网络环境下,单独使用UDP协议进行数据传输的报文数据全开放问题,和单独的TCP协议进行数据传输的端口暴漏问题。
在一个实施例中,如图4所示,步骤S204包括:
步骤S402,采用对称加密算法对单包认证信息进行加密处理,以获得数据包信息。
其中,对称加密算法是指一类使用相同密钥进行加密和解密的算法。示例性地,对称加密算法可以为SM4算法,SM4算法是一种分组密码,属于对称加密算法,用于数据加密和解密,其使用128位的密钥和128位的分组大小,采用了Feistel结构和多轮迭代的加密过程,提供了可靠的数据保护,具有良好的安全性和性能,并广泛应用于数据加密、安全通信和身份认证等领域。除此之外,对称加密算法还可以为高级加密标准算法(AdvancedEncryption Standard,AES)、三重数据加密算法(TripleData Encryption Algorithm,3DES)等。
示例性地,在客户端构建认证报文的过程中,可以采用SM4算法对单包认证信息进行加密处理,使得只有当控制端有相同密钥的情况下才能通过对数据包信息解密得到单包认证信息。
步骤S404,使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,共享密码用于供控制端获取。
其中,密码加密算法是一种通过对信息的加密计算获得唯一确定的密钥的算法。示例性地,密码加密算法可以为SM3算法,一种密码散列函数,用于数据完整性校验和数字签名应用,基于Merkle-Damgard结构,将输入消息压缩为固定长度的哈希值(通常为256位),具有抗碰撞和抗预像攻击的特性,适用于验证数据的完整性,保护数据不被篡改,并用于生成数字签名以验证数据的身份和真实性。进一步地,SM3算法可以与单次密码生成算法(HMAC-based One-Time Password,HOTP)相结合,采用HOTP算法生成一次性密码作为共享密码,对单包认证信息进行SM3算法的加密计算,使得第一密钥为一次性密钥。
其中,共享密码即为上述哈希值计算过程中使用的密码,其同时能够被控制端获取,并在控制端对认证报文进行验证的过程中被使用。
步骤S406,按照预设规则封装数据包信息和第一密钥,以构建认证报文。
其中,预设规则为单包认证的报文所需要的固定规则,其规定了数据格式,内存分配等信息。
示例性地,将第一密钥拼接在数据包信息上,从而构建出认证报文,即可使得第一密钥与数据包信息共同发送至控制端,从而使控制端能够使用第一密钥对单包认证信息进行验证。
在本实施例中,采用对称加密算法和密码加密算法对单包认证信息进行加密,能够增强认证报文中数据的安全性,减小数据被破解或篡改的风险。
在一个实施例中,如图5所示,步骤S210包括:
步骤S502,接收来自控制端的应用鉴权信息。
步骤S504,根据应用鉴权信息提取网关地址信息。
步骤S506,根据网关地址信息向对应的网关发送认证报文,以指示网关完成对认证报文的校验,并在校验通过的情况下开放应用访问接口。
在本实施例中,客户端需要在上述验证均通过的情况下向控制端请求应用鉴权信息,并且通过控制端发来的应用鉴权信息获知对应需要访问的网关地址信息,从而找到对应的网关,进一步地确保网关接口不会暴露,进一步地提升了链路的安全性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
如图6所示,基于同样的发明构思,本申请实施例还提供了另一种基于零信任单包认证的访问方法,该方法应用于零信任网络的控制端,以该方法应用于图1中的控制端104为例进行说明。该方法包括以下步骤S602至步骤S608。
步骤S602,接收来自客户端的认证报文,并对认证报文进行校验,以生成校验结果信息。
其中,认证报文是根据单包认证信息构建的,用于请求网关处应用接口的报文。示例性地,认证报文可以通过传输控制协议TCP或用户数据报协议UDP进行传输。
进一步地,控制端对认证报文的校验可以包括:对报文长度的校验、对数据标识的校验以及对密钥的校验等,当任意一种校验不通过时,均可以将该认证报文直接丢弃,并且可以生成对应的校验结果信息。并且,若校验结果信息指示校验通过,则该校验结果信息需要通过以上协议传输至客户端;若校验结果信息指示校验未通过,则该校验结果信息可以通过以上协议传输至客户端,也可以不向客户端发送。可选地,控制端可以通过TCP协议向客户端发送校验结果信息,也可以通过TLS/SSL协议向客户端发送校验结果信息。
步骤S604,在校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求。
其中,应用鉴权(Application Authentication)是一种用于验证和授权应用程序访问权限的安全机制。示例性地,当校验结果信息指示检验通过时,即可确认当前的客户端为符合要求的,控制端即可接收到来自客户端的应用鉴权请求,而若校验结果信息指示检验不通过时,即可确认当前的客户端为不符合要求的,则服务端不能接收到对应的应用鉴权请求。
进一步地,控制端向客户端返回的应用鉴权信息,能够用于指示客户端向网关发起应用访问请求,因此,当控制端未向客户端返回应用鉴权信息的情况下,客户端将无法发送应用访问请求。示例性地,上述应用鉴权信息可以作为客户端访问网关的准入信息,也可以作为客户端找到对应网关的导航信息,例如,当客户端接收到来自控制端的应用鉴权信息后,可以从应用鉴权信息中解析出网关的相关信息,从而定位到具体可以访问的网关,进而与对应的网关建立联系。可选地,应用鉴权信息包括网关地址信息,控制端将包括有网关地址信息的应用鉴权信息发送至客户端,客户端即可根据其中的网关地址找到对应的网关,进行后续的应用接口访问。
步骤S606,接收来自网关的应用鉴权校验请求,其中,应用鉴权校验请求携带认证报文。
示例性地,客户端将会在上述验证均通过的情况下向控制端请求应用鉴权信息,此时,通过控制端发来的应用鉴权信息获知对应需要访问的网关地址信息,从而找到对应的网关,进一步地确保网关接口不会暴露,进一步地提升了链路的安全性。当网关接收到来自客户端的认证报文后,网关将会向控制端发出应用鉴权校验请求,对认证报文进行再一次的校验,以确保认证报文的合法性。
步骤S608,根据应用鉴权校验请求,对认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
上述基于零信任单包认证的访问方法,控制端能够对认证报文进行校验,从而指示客户端发出应用鉴权请求,控制端只有在认证报文符合要求的前提下才会向客户端返回应用鉴权信息,从而保证了单包验证的初期校验阶段是安全的。进一步地,控制端还会接收来自网关的应用鉴权校验请求,并对网关接收到的认证报文进行再一次的校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
在一个实施例中,如图7所示,步骤S602包括:
步骤S702,接收客户端以第一传输协议传输的认证报文。
其中,第一传输协议是指可以直接由客户端向控制端发送认证报文、无需控制端做出回应,从而能够隐藏控制端接口的协议。示例性地,第一传输协议可以为UDP协议,也可以为DHCP协议、SNMP协议或TFTP协议等。
步骤S704,对认证报文进行第一类型校验。
其中,第一类型校验是指对认证报文是否符合要求的合法性校验。示例性地,第一类型校验可以包括:对报文长度的校验、对数据标识的校验以及对密钥的校验等。在第一类型校验通过的情况下,控制端即可开启访问端口。
步骤S706,在第一类型校验通过的情况下开启访问端口,并将对应的客户端加入可信清单。
其中,访问端口作为能够使用第二类型传输协议的必要条件,当第一类型校验通过时才会开启。可信清单是指控制端记录的、经过第一类型校验通过的客户端清单,可以在后续的重复校验过程中直接使用可信清单来验证客户端是否已经被认证为符合要求。
步骤S708,通过访问端口接收客户端以第二传输协议传输的认证报文。
其中,第二传输协议是指基于已确认的链路进行信息传输的协议。示例性地,第二传输协议可以为TCP协议,也可以为TLS/SSL协议、SSH协议等。在上述步骤S706中,在第一类型校验通过的情况下,控制端将会开启访问端口,从而使得端口信息能够为客户端所获知,进而建立信息发送链路,使得第二传输协议传输的认证报文能够被控制端接收到。
步骤S710,根据认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于可信清单。
示例性地,在步骤S706中已经将通过第一类型校验的认证报文对应的客户端添加至可信清单中,因此,在此步骤的第二类型校验中,比对本次接收到的、客户端通过第二传输协议传输的认证报文指示的客户端是否存在于可新清单,即可得知这一客户端是否符合第一类型校验的要求。
进一步地,第二类型校验作为第二次校验,区别于第一类型校验,除可信清单的校验过程外,其校验内容还可以包括:认证报文重放情况、报文连续性、时间戳,以及认证报文对应的客户端是否已被记录等。
本实施例中,通过采用两种传输协议相结合的方式,能够兼顾接收方接口的隐蔽性和传输链路的稳定性,从而提升单包认证的数据安全性。例如,当前使用较为广泛的内容分发网络(Content Delivery Network,CDN),其中有多个分布式的缓存服务器节点,这些服务器存储了来自原始服务器的内容的副本,当用户请求内容时,CDN会根据用户的位置和其他参数,将内容从最近的缓存服务器提供给用户,而不是从原始服务器提供。因此,采用UDP与TCP相结合的方式对认证报文进行两次校验,能够有效的避免在CDN网络环境下,单独使用UDP协议进行数据传输的报文数据全开放问题,和单独的TCP协议进行数据传输的端口暴漏问题。
在一个实施例中,如图8所示,步骤S704包括:
步骤S802,采用对称加密算法对数据包信息进行解密处理,以获得单包认证信息。
其中,步骤S704中的认证报文包括数据包信息和第一密钥,数据包信息是单包认证信息通过对称加密算法加密获得的,第一密钥是单包认证信息通过共享密码加密获得的。
进一步地,对称加密算法是指一类使用相同密钥进行加密和解密的算法。示例性地,对称加密算法可以为SM4算法,SM4算法是一种分组密码,属于对称加密算法,用于数据加密和解密,其使用128位的密钥和128位的分组大小,采用了Feistel结构和多轮迭代的加密过程,提供了可靠的数据保护,具有良好的安全性和性能,并广泛应用于数据加密、安全通信和身份认证等领域。除此之外,对称加密算法还可以为高级加密标准算法(AdvancedEncryption Standard,AES)、三重数据加密算法(Triple Data Encryption Algorithm,3DES)等。
示例性地,由于在客户端构建认证报文的过程中采用SM4算法对单包认证信息进行加密处理,只有当控制端有相同密钥的情况下才能通过对数据包信息解密得到单包认证信息。
步骤S804,获取共享密码。
其中,由于第一密钥是单包认证信息通过共享密码加密获得的。因此,控制端只有通过共享密码才能获得与认证报文中的第一密钥相关联的信息,从而验证认证报文的合法性。示例性地,控制器可以通过解析认证报文中的单包认证信息获取共享密码。
步骤S806,使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第二密钥。
其中,密码加密算法是一种通过对信息的加密计算获得唯一确定的密钥的算法。示例性地,密码加密算法可以为SM3算法,一种密码散列函数,用于数据完整性校验和数字签名应用,基于Merkle-Damgard结构,将输入消息压缩为固定长度的哈希值(通常为256位),具有抗碰撞和抗预像攻击的特性,适用于验证数据的完整性,保护数据不被篡改,并用于生成数字签名以验证数据的身份和真实性。
步骤S808,根据第一密钥和第二密钥验证认证报文是否符合预设要求,以完成第一类型校验。
示例性地,共享密码即为上述哈希值计算过程中使用的密码,采用密码加密算法,通过共享密码对步骤S704中解密出来的单包认证信息进行加密,即可得到第二密钥,若其对应的认证报文合法且没有被篡改,则此时的第二密钥应当与认证报文中的第一密钥相同,若此时的第二密钥与第一密钥不同,则可以将此认证报文直接丢弃。
在一个实施例中,步骤S608包括:
根据应用鉴权校验请求,对认证报文进行第二类型校验,并向网关返回第二类型校验结果,以指示网关向客户端开放应用访问接口。
当控制端接收到来自网关的应用鉴权校验请求时,会对对应的认证报文完成第二类型校验,根据上述步骤可知,此时进行的第二类型的校验可以是验证对应的客户端是否存在于可信清单。当客户端存在于可信清单时,则第二类型校验通过,在此情况下控制端指示网关向客户端开放应用访问接口,以建立访问链路,反之则网关不会开放应用访问接口。
如图9所示,基于同样的发明构思,本申请实施例还提供了另一种基于零信任单包认证的访问方法,该方法应用于零信任网络,并且零信任网络包括客户端、控制端和网关,以该方法应用于图1中的客户端102和控制端104组成的系统为例进行说明。该方法包括以下步骤:
步骤S902,客户端获取单包认证信息,以构建认证报文。
步骤S904,控制端接收来自客户端的认证报文,并对认证报文进行校验,以生成校验结果信息。
步骤S906,客户端来自控制端的校验结果信息,并向控制端请求应用鉴权信息。
步骤S908,在校验通过的情况下,控制端接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息。
步骤S910,客户端向网关发送认证报文。
步骤S912,网关向控制端发送应用鉴权校验请求,其中,应用鉴权校验请求携带认证报文。
步骤S914,控制端接收来自网关的应用鉴权校验请求,并对认证报文进行校验,以及向网关返回校验结果信息。
步骤S916,网关根据校验结果信息向客户端开放应用访问接口。
上述基于零信任单包认证的访问方法中,以客户端作为应用访问的请求方,通过客户端向控制端发送认证报文来请求网关的应用访问接口。控制端能够对认证报文进行校验,从而指示客户端发出应用鉴权请求。因此,客户端只有在其构建的认证报文能够通过控制端的校验时,才能进一步地请求应用鉴权,而控制端也只有在认证报文符合要求的前提下才会向客户端返回应用鉴权信息,从而保证了单包验证的初期校验阶段是安全的。在客户端获取到控制端发出的应用鉴权信息后,即可进一步地向网关发送认证报文,在经过网关的再一次认证后,即可使得网关开放应用访问接口,从而使得这一客户端得以访问对应的应用访问接口。由于网关接收到客户端发来的认证报文后,还会向控制端请求一次校验,因此,在单包认证的后期访问阶段,仍然能够确保信息安全,上述方案能够降低报文被截获、篡改的风险,确保访问全阶段的安全。
在一个实施例中,步骤S902包括:
客户端采用对称加密算法对单包认证信息进行加密处理,以获得数据包信息;
客户端使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,共享密码用于供控制端获取;
客户端按照预设规则封装数据包信息和第一密钥,以构建认证报文。
在一个实施例中,步骤S904包括:
客户端以第一传输协议发送认证报文至控制端;
控制端接收客户端以第一传输协议传输的认证报文,并采用对称加密算法对数据包信息进行解密处理,以获得单包认证信息;
控制端获取共享密码,并使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第二密钥;
控制端根据第一密钥和第二密钥验证认证报文是否符合预设要求,以完成第一类型校验;
控制端在第一类型校验通过的情况下开启访问端口,并将对应的客户端加入可信清单;
客户端通过访问端口,以第二传输协议发送认证报文至控制端;
控制端通过访问端口接收客户端以第二传输协议传输的认证报文,并根据认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于可信清单。
在一个实施例中,本方法用于SDP服务网络,SDP服务网络包括客户端、控制端和网关。
首先,由客户端需要获取单包认证信息,单包认证信息包括:包标识、协议版本号、终端标识、系统时间戳、当前包序列码、下一包序列码和信息包长度。接下来,客户端采用SM4算法对单包认证信息进行加密处理获得数据包信息,使得只有当控制端有相同密钥的情况下才能通过对数据包信息解密得到单包认证信息。随后,客户端采用SM3算法对单包认证信息进行进一步地哈希值计算,这里采用SM3算法与单次密码生成算法(HOTP)相结合,采用HOTP算法生成一次性密码作为共享密码,对单包认证信息进行SM3算法的加密计算,使得第一密钥为一次性密钥。将计算得到的哈希值作为第一密钥与数据包信息封装在一起,从而构建出认证报文。接下来,客户端以UDP协议将包括有第一密钥和数据包信息的认证报文发给控制端。
接下来,控制端获取到UDP协议传输过来的认证报文后,首先需要采用SM4算法对认证报文中的数据包信息进行解密处理,从而获得单包认证信息。从而校验数据长度、终端标识、包标识等单包认证信息是否合法,检查对应的客户端是否存在于预设的失信名单中,若出现不合法的情况或对应的客户端存在于失信名单,则直接将认证报文丢弃。再从单包认证信息中解析出共享密码,使用共享密码对解密得到的单包认证信息进行SM3算法加密,从而获得唯一确定的哈希值,将获得到的哈希值作为第二密钥,与认证报文中的第一密钥进行对比,当第一密钥与第二密钥相同的情况下,认定该认证报文通过了第一类型校验。随后,在第一类型校验通过的情况下开放访问端口,并将对应的客户端接入到可信清单中。此时,客户端到控制端的通信链路形成,客户端能够以TCP协议向控制端传输信息。
接下来,客户端以TCP协议向控制端发送认证报文,控制端在接收到TCP协议传输的认证报文后,对认证报文的丢包、重放、报文连续性、报文时间戳、客户端设备状态等情况进行检查,并对这一认证报文对应的客户端是否存在于上述可信清单进行校验,从而完整第二类型校验,并以TCP协议向客户端返回校验结果信息。
接下来,当客户端接收到控制端返回的校验结果信息后,若上述校验通过,则向控制端请求应用鉴权信息,控制端将会采用推荐算法根据认证报文推荐请求应用路由,并将应用鉴权信息返回客户端。客户端可以通过应用鉴权信息获知要请求应用的网关地址信息。
接下来,客户端以UDP协议向目标的网关发送认证报文,当目标网关接收到此认证报文后,会通过SDP网格化链路组织,将认证报文发送到控制端进行上述第一类型校验和第二类型校验,完成开放应用端口前的安全检查。
最后,控制端在完成校验后会向网关返回校验结果。网关在接收到校验通过的结果后,会将对应的应用端口开放,使得客户端能够向网关请求访问应用,网关将代理应用请求和转发,并向客户端返回应用响应。
基于同样的发明构思,如图10所示,本申请实施例还提供了一种用于实现上述所涉及的基于零信任单包认证的访问方法的基于零信任单包认证的访问装置,用于客户端。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个基于零信任单包认证的访问装置实施例中的具体限定可以参见上文中对于基于零信任单包认证的访问方法的限定,在此不再赘述。
在一个实施例中,提供了一种基于零信任单包认证的访问装置,包括:信息获取模块、报文构建模块、报文发送模块、结果获取模块和访问请求模块,其中:
信息获取模块1002,用于获取单包认证信息;
报文构建模块1004,用于根据单包认证信息构建认证报文;
报文发送模块1006,用于发送认证报文至控制端,以指示控制端对认证报文进行校验并生成校验结果信息;
结果获取模块1008,用于接收来自控制端的校验结果信息,并在校验结果信息指示校验通过的情况下向控制端请求应用鉴权信息;
访问请求模块1010,用于接收来自控制端的应用鉴权信息,并根据应用鉴权信息向对应的网关发送认证报文,以指示网关完成对认证报文的校验,并在校验通过的情况下开放应用访问接口。
在其中一个实施例中,报文发送模块包括:
第一发送单元,用于以第一传输协议发送认证报文至控制端,以指示控制端完成对认证报文的第一类型校验,并在第一类型校验通过的情况下开启访问端口;
第二发送单元,用于通过访问端口,以第二传输协议发送认证报文至控制端,以指示控制端完成对认证报文的第二类型校验并生成校验结果信息。
在其中一个实施例中,报文构建模块包括:
对称加密单元,用于采用对称加密算法对单包认证信息进行加密处理,以获得数据包信息;
密码加密单元,用于使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,共享密码用于供控制端获取;
报文构建单元,用于按照预设规则封装数据包信息和第一密钥,以构建认证报文。
在其中一个实施例中,第一传输协议是UDP协议,和/或第二传输协议是TCP协议。
在其中一个实施例中, 访问请求模块包括:
信息接收单元,用于接收来自控制端的应用鉴权信息;
网关确认单元,用于根据应用鉴权信息提取网关地址信息;
接口请求单元,用于根据网关地址信息向对应的网关发送认证报文,以指示网关完成对认证报文的校验,并在校验通过的情况下开放应用访问接口。
上述基于零信任单包认证的访问装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
基于同样的发明构思,如图11所示,本申请实施例还提供了一种用于实现上述所涉及的基于零信任单包认证的访问方法的基于零信任单包认证的访问装置,用于控制端。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个基于零信任单包认证的访问装置实施例中的具体限定可以参见上文中对于基于零信任单包认证的访问方法的限定,在此不再赘述。
在一个实施例中,提供了一种基于零信任单包认证的访问装置,包括:报文接收模块和鉴权处理模块,其中:
报文接收模块1102,用于接收来自客户端的认证报文,并对认证报文进行校验,以生成校验结果信息,认证报文是根据单包认证信息构建的;
鉴权处理模块1104,用于在校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求;
请求接收模块1106,用于接收来自网关的应用鉴权校验请求,其中,应用鉴权校验请求携带认证报文;
鉴权校验模块1108,用于根据应用鉴权校验请求,对认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
在其中一个实施例中,报文接收模块包括:
第一接收子模块,用于接收客户端以第一传输协议传输的认证报文;
第一校验子模块,用于对认证报文进行第一类型校验;
第一处理子模块,用于在第一类型校验通过的情况下开启访问端口,并将对应的客户端加入可信清单;
第二接收子模块,用于通过访问端口接收客户端以第二传输协议传输的认证报文;
第二校验子模块,用于根据认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于可信清单。
在其中一个实施例中,第一传输协议是UDP协议,和/或第二传输协议是TCP协议。
在其中一个实施例中,认证报文包括数据包信息和第一密钥,数据包信息是单包认证信息通过对称加密算法加密获得的,第一密钥是单包认证信息通过共享密码加密获得的,第一校验子模块包括:
第一解密单元,用于采用对称加密算法对数据包信息进行解密处理,以获得单包认证信息;
密码获取单元,用于获取共享密码;
第二解密单元,用于使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第二密钥;
验证单元,用于根据第一密钥和第二密钥验证认证报文是否符合预设要求,以完成第一类型校验。
在其中一个实施例中,鉴权校验模块还包括:
鉴权校验单元,用于根据应用鉴权校验请求,对认证报文进行第二类型校验,并向网关返回第二类型校验结果,以指示网关向客户端开放应用访问接口。
上述基于零信任单包认证的访问装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的基于零信任单包认证的访问方法的基于零信任单包认证的访问系统,用于构成零信任网络,再参图1,零信任网络包括客户端102、控制端104和网关106。该系统所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个基于零信任单包认证的访问系统实施例中的具体限定可以参见上文中对于基于零信任单包认证的访问方法的限定,在此不再赘述。其中:
客户端102,用于获取单包认证信息,以构建认证报文;
控制端104,用于接收来自客户端102的认证报文,并对认证报文进行校验,以生成校验结果信息;
客户端102,用于来自控制端104的校验结果信息,并向控制端104请求应用鉴权信息;
控制端104,用于在校验通过的情况下接收来自客户端102的应用鉴权请求,并向客户端102返回应用鉴权信息;
客户端102,用于向网关106发送认证报文;
网关106,用于向控制端104发送应用鉴权校验请求,其中,应用鉴权校验请求携带认证报文;
控制端104,用于接收来自网关106的应用鉴权校验请求,并对认证报文进行校验,以及向网关106返回校验结果信息;
网关106,用于根据校验结果信息向客户端102开放应用访问接口。
在一个实施例中,客户端102包括:
加密模块,用于采用对称加密算法对单包认证信息进行加密处理,以获得数据包信息;
计算模块,用于使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,共享密码用于供控制端104获取;
密钥生成模块,用于按照预设规则封装数据包信息和第一密钥,以构建认证报文。
在一个实施例中,客户端102、控制端104还用于实现以下功能:
客户端102,用于以第一传输协议发送认证报文至控制端104;
控制端104,用于接收客户端102以第一传输协议传输的认证报文,并采用对称加密算法对数据包信息进行解密处理,以获得单包认证信息;
控制端104,用于获取共享密码,并使用密码加密算法对单包认证信息进行加密计算,以获取与共享密码相关联的第二密钥;
控制端104,用于根据第一密钥和第二密钥验证认证报文是否符合预设要求,以完成第一类型校验;
控制端104,用于在第一类型校验通过的情况下开启访问端口,并将对应的客户端102加入可信清单;
客户端102,用于通过访问端口,以第二传输协议发送认证报文至控制端104;
控制端104,用于通过访问端口接收客户端102以第二传输协议传输的认证报文,并根据认证报文对客户端102进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端102是否存在于可信清单。
上述基于零信任单包认证的访问系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储认证报文的校验规则等数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于零信任单包认证的访问方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图13所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种基于零信任单包认证的访问方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图13中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (15)
1.一种基于零信任单包认证的访问方法,其特征在于,应用于客户端,所述方法包括:
获取单包认证信息;
根据所述单包认证信息构建认证报文;
以第一传输协议发送所述认证报文至控制端,以指示所述控制端完成对所述认证报文的第一类型校验,并在所述第一类型校验通过的情况下开启访问端口,其中,所述第一传输协议是UDP协议;通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端,以指示所述控制端完成对所述认证报文的第二类型校验并生成校验结果信息,其中,所述第二传输协议是TCP协议;
接收来自所述控制端的所述校验结果信息,并在所述校验结果信息指示所述校验通过的情况下向所述控制端请求应用鉴权信息;
接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
2.根据权利要求1所述的方法,其特征在于,所述根据所述单包认证信息构建认证报文包括:
采用对称加密算法对所述单包认证信息进行加密处理,以获得数据包信息;
使用密码加密算法对所述单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,所述共享密码用于供控制端获取;
按照预设规则封装所述数据包信息和所述第一密钥,以构建认证报文。
3.根据权利要求1所述的方法,其特征在于,所述接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口包括:
接收来自所述控制端的所述应用鉴权信息;
根据所述应用鉴权信息提取网关地址信息;
根据所述网关地址信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
4.一种基于零信任单包认证的访问方法,其特征在于,应用于控制端,所述方法包括:
接收客户端以第一传输协议传输的认证报文,并对所述认证报文进行第一类型校验,其中,所述第一传输协议是UDP协议;
在所述第一类型校验通过的情况下开启访问端口,并通过所述访问端口接收客户端以第二传输协议传输的所述认证报文,其中,所述第二传输协议是TCP协议;
对所述认证报文进行校验,以生成校验结果信息,所述认证报文是根据单包认证信息构建的;
在所述校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求;
接收来自网关的应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
5.根据权利要求4所述的方法,其特征在于,
所述对所述认证报文进行第一类型校验之后还包括:
将对应的客户端加入可信清单;
所述对所述认证报文进行校验,以生成校验结果信息包括:
根据所述认证报文对客户端进行第二类型校验并生成校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于所述可信清单。
6.根据权利要求5所述的方法,其特征在于,所述认证报文包括数据包信息和第一密钥,所述数据包信息是所述单包认证信息通过对称加密算法加密获得的,所述第一密钥是所述单包认证信息通过共享密码加密获得的,所述对所述认证报文进行第一类型校验包括:
采用对称加密算法对所述数据包信息进行解密处理,以获得所述单包认证信息;
获取所述共享密码;
使用密码加密算法对所述单包认证信息进行加密计算,以获取与所述共享密码相关联的第二密钥;
根据所述第一密钥和所述第二密钥验证所述认证报文是否符合预设要求,以完成第一类型校验。
7.根据权利要求5所述的方法,其特征在于,所述根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口包括:
根据所述应用鉴权校验请求,对所述认证报文进行所述第二类型校验,并向网关返回第二类型校验结果,以指示网关向客户端开放应用访问接口。
8.一种基于零信任单包认证的访问方法,其特征在于,应用于零信任网络,所述零信任网络包括客户端、控制端和网关,所述方法包括:
所述客户端获取单包认证信息,以构建认证报文;
所述客户端以第一传输协议发送所述认证报文至所述控制端,其中,所述第一传输协议是UDP协议;
所述控制端接收客户端以第一传输协议传输的认证报文,对所述认证报文进行第一类型校验,以生成第一校验结果信息,在所述第一类型校验通过的情况下开启访问端口;
所述客户端通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端,其中,所述第二传输协议是TCP协议;
所述控制端对所述认证报文进行校验,以生成第二校验结果信息;
所述客户端接收来自所述控制端的所述第二校验结果信息,并向所述控制端请求应用鉴权信息;
在所述校验通过的情况下,所述控制端接收来自所述客户端的应用鉴权请求,并向所述客户端返回应用鉴权信息;
所述客户端向所述网关发送所述认证报文;
所述网关向所述控制端发送应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
所述控制端接收来自网关的应用鉴权校验请求,并对所述认证报文进行所述校验,以及向所述网关返回第三校验结果信息;
所述网关根据所述第三校验结果信息向所述客户端开放应用访问接口。
9.根据权利要求8所述的方法,其特征在于,所述客户端获取单包认证信息,以构建认证报文包括:
所述客户端采用对称加密算法对所述单包认证信息进行加密处理,以获得数据包信息;
所述客户端使用密码加密算法对所述单包认证信息进行加密计算,以获取与共享密码相关联的第一密钥,其中,所述共享密码用于供控制端获取;
所述客户端按照预设规则封装所述数据包信息和所述第一密钥,以构建认证报文。
10.根据权利要求9所述的方法,其特征在于,所述控制端对所述认证报文进行校验,以第二生成校验结果信息包括:
所述控制端采用对称加密算法对所述数据包信息进行解密处理,以获得所述单包认证信息;
所述控制端获取所述共享密码,并使用密码加密算法对所述单包认证信息进行加密计算,以获取与所述共享密码相关联的第二密钥;
所述控制端根据所述第一密钥和所述第二密钥验证所述认证报文是否符合预设要求,以完成第一类型校验;
所述控制端在所述第一类型校验通过的情况下将对应的客户端加入可信清单;
所述控制端通过所述访问端口接收客户端以第二传输协议传输的所述认证报文,并根据所述认证报文对客户端进行第二类型校验并生成第二校验结果信息,其中,第二类型校验为验证对应的客户端是否存在于所述可信清单。
11.一种基于零信任单包认证的访问装置,其特征在于,应用于客户端,所述装置包括:
信息获取模块,用于获取单包认证信息;
报文构建模块,用于根据所述单包认证信息构建认证报文;
报文发送模块,以第一传输协议发送所述认证报文至控制端,以指示所述控制端完成对所述认证报文的第一类型校验,并在所述第一类型校验通过的情况下开启访问端口,其中,所述第一传输协议是UDP协议;通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端,以指示所述控制端完成对所述认证报文的第二类型校验并生成校验结果信息,其中,所述第二传输协议是TCP协议;
结果获取模块,用于接收来自所述控制端的所述校验结果信息,并在所述校验结果信息指示所述校验通过的情况下向所述控制端请求应用鉴权信息;
访问请求模块,用于接收来自所述控制端的所述应用鉴权信息,并根据所述应用鉴权信息向对应的网关发送所述认证报文,以指示所述网关完成对所述认证报文的校验,并在所述校验通过的情况下开放应用访问接口。
12.一种基于零信任单包认证的访问装置,其特征在于,应用于控制端,所述装置包括:
报文接收模块,用于接收客户端以第一传输协议传输的认证报文,并对所述认证报文进行第一类型校验,其中,所述第一传输协议是UDP协议;在所述第一类型校验通过的情况下开启访问端口,并通过所述访问端口接收客户端以第二传输协议传输的所述认证报文,其中,所述第二传输协议是TCP协议;并对所述认证报文进行校验,以生成校验结果信息,所述认证报文是根据单包认证信息构建的;
鉴权处理模块,用于在所述校验通过的情况下,接收来自客户端的应用鉴权请求,并向客户端返回应用鉴权信息,以指示客户端向网关发起应用访问请求;
请求接收模块,用于接收来自网关的应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
鉴权校验模块,用于根据所述应用鉴权校验请求,对所述认证报文进行校验,并向网关返回校验结果,以指示网关向客户端开放应用访问接口。
13.一种基于零信任单包认证的访问系统,其特征在于,所述系统用于构成零信任网络,所述零信任网络包括客户端、控制端和网关;其中:
所述客户端,用于获取单包认证信息,以构建认证报文,以第一传输协议发送所述认证报文至所述控制端;
所述控制端,用于接收客户端以第一传输协议传输的认证报文,对所述认证报文进行第一类型校验,以生成第一校验结果信息,在所述第一类型校验通过的情况下开启访问端口,其中,所述第一传输协议是UDP协议;
所述客户端,用于通过所述访问端口,以第二传输协议发送所述认证报文至所述控制端,其中,所述第二传输协议是TCP协议;
所述控制端对所述认证报文进行校验,以生成第二校验结果信息;
所述客户端,用于接收来自所述控制端的所述第二校验结果信息,并向所述控制端请求应用鉴权信息;
所述控制端,用于在所述校验通过的情况下接收来自所述客户端的应用鉴权请求,并向所述客户端返回应用鉴权信息;
所述客户端,用于向所述网关发送所述认证报文;
所述网关,用于向所述控制端发送应用鉴权校验请求,其中,所述应用鉴权校验请求携带所述认证报文;
所述控制端,用于接收来自网关的应用鉴权校验请求,并对所述认证报文进行所述校验,以及向所述网关返回第三校验结果信息;
所述网关,用于根据所述第三校验结果信息向所述客户端开放应用访问接口。
14.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3中任一项所述的方法的步骤,或者实现权利要求4至7中任一项所述的方法的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至3中任一项所述的方法的步骤,或实现权利要求4至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310982767.8A CN116708039B (zh) | 2023-08-07 | 2023-08-07 | 基于零信任单包认证的访问方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310982767.8A CN116708039B (zh) | 2023-08-07 | 2023-08-07 | 基于零信任单包认证的访问方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116708039A CN116708039A (zh) | 2023-09-05 |
CN116708039B true CN116708039B (zh) | 2023-11-21 |
Family
ID=87831569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310982767.8A Active CN116708039B (zh) | 2023-08-07 | 2023-08-07 | 基于零信任单包认证的访问方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116708039B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296818A (zh) * | 2022-08-05 | 2022-11-04 | 中国电信股份有限公司 | 认证方法及装置、存储介质及电子设备 |
CN115333840A (zh) * | 2022-08-15 | 2022-11-11 | 中国电信股份有限公司 | 资源访问方法、系统、设备及存储介质 |
CN115603932A (zh) * | 2021-07-08 | 2023-01-13 | 华为技术有限公司(Cn) | 一种访问控制方法、访问控制系统及相关设备 |
CN116094849A (zh) * | 2023-04-11 | 2023-05-09 | 深圳竹云科技股份有限公司 | 应用访问鉴权方法、装置、计算机设备和存储介质 |
CN116346375A (zh) * | 2021-12-22 | 2023-06-27 | 中兴通讯股份有限公司 | 访问控制方法、访问控制系统、终端及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101680525B1 (ko) * | 2016-07-12 | 2016-12-06 | 김주한 | 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 |
-
2023
- 2023-08-07 CN CN202310982767.8A patent/CN116708039B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115603932A (zh) * | 2021-07-08 | 2023-01-13 | 华为技术有限公司(Cn) | 一种访问控制方法、访问控制系统及相关设备 |
CN116346375A (zh) * | 2021-12-22 | 2023-06-27 | 中兴通讯股份有限公司 | 访问控制方法、访问控制系统、终端及存储介质 |
CN115296818A (zh) * | 2022-08-05 | 2022-11-04 | 中国电信股份有限公司 | 认证方法及装置、存储介质及电子设备 |
CN115333840A (zh) * | 2022-08-15 | 2022-11-11 | 中国电信股份有限公司 | 资源访问方法、系统、设备及存储介质 |
CN116094849A (zh) * | 2023-04-11 | 2023-05-09 | 深圳竹云科技股份有限公司 | 应用访问鉴权方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116708039A (zh) | 2023-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11533297B2 (en) | Secure communication channel with token renewal mechanism | |
JP2020058042A (ja) | 部分的に信頼できる第三者機関を通しての鍵交換 | |
RU2307391C2 (ru) | Способы дистанционного изменения пароля связи | |
CN110971415A (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
US9531540B2 (en) | Secure token-based signature schemes using look-up tables | |
CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
CN109714176B (zh) | 口令认证方法、装置及存储介质 | |
US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
MX2007009790A (es) | Secreto compartido de contexto limitado. | |
CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
US20220069995A1 (en) | System and method for securing data | |
US20180013832A1 (en) | Health device, gateway device and method for securing protocol using the same | |
CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
CN115102740A (zh) | 通信方法、装置、设备、存储介质及程序产品 | |
CN112565205A (zh) | 可信认证和度量方法、服务器、终端及可读存储介质 | |
Hu et al. | Gatekeeper: A gateway-based broadcast authentication protocol for the in-vehicle Ethernet | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
CN116232700A (zh) | 登录认证方法、装置、计算机设备、存储介质 | |
CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
CN116708039B (zh) | 基于零信任单包认证的访问方法、装置及系统 | |
WO2022135394A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
CN115333779A (zh) | 一种验证数据的方法、装置及电子设备 | |
CN111756531B (zh) | 一种基于CPK的LoRa终端的通信系统及方法 | |
KR100381710B1 (ko) | 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |