CN116866010A - 端口控制方法及装置 - Google Patents

端口控制方法及装置 Download PDF

Info

Publication number
CN116866010A
CN116866010A CN202310726042.2A CN202310726042A CN116866010A CN 116866010 A CN116866010 A CN 116866010A CN 202310726042 A CN202310726042 A CN 202310726042A CN 116866010 A CN116866010 A CN 116866010A
Authority
CN
China
Prior art keywords
port
type
packet
address
port number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310726042.2A
Other languages
English (en)
Inventor
张世坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN202310726042.2A priority Critical patent/CN116866010A/zh
Publication of CN116866010A publication Critical patent/CN116866010A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种端口控制方法及装置。所述方法包括:接收客户端发送的单包授权认证报文,单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;根据应用标识、随机数和本地存储的本地密钥,对认证密码进行校验处理;若类型标识指示单包授权认证报文的类型为单IP地址多端口号类型,则根据端口数量,从单包授权认证报文中,获取与端口数量等量的第一端口号;若认证密码通过校验,则为单包授权认证报文的源IP地址开放端口数量的第一端口号所指示的端口。

Description

端口控制方法及装置
技术领域
本公开涉及通信技术领域,尤其涉及一种端口控制方法及装置。
背景技术
单包认证(Single Packet Authorization,SPA)是新一代端口敲门技术。SPA只使用单个数据包进行访问申请,通过将所有必要信息集成在单个数据包内来简化敲门流程,在允许访问网络前,先验证设备和用户身份,以此达到“网络隐身”,使攻击者无法找到服务地址和端口。
在一些复杂场景中,客户端需要与和多个服务端口进行交互。但单包授权认证报文中仅携带一个端口号,只能敲开一个服务端口,无法敲开该多个服务端口。
发明内容
有鉴于此,本公开提供了一种端口控制方法及装置,用以使单包授权认证报文支持敲开多个端口。
第一方面,本公开提供了一种端口控制方法,所述方法包括:接收客户端发送的单包授权认证报文,所述单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;根据所述应用标识、随机数和本地存储的本地密钥,对所述认证密码进行校验处理;若所述类型标识指示所述单包授权认证报文的类型为单IP地址多端口号类型,则根据所述端口数量,从所述单包授权认证报文中,获取与所述端口数量等量的第一端口号;若所述认证密码通过校验,则为所述单包授权认证报文的源IP地址开放所述端口数量的第一端口号所指示的端口。
第二方面,本公开提供了一种端口控制装置,所述装置包括接收模块,用于接收客户端发送的单包授权认证报文,所述单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;校验模块,用于根据所述应用标识、随机数和本地存储的本地密钥,对所述认证密码进行校验处理;第一获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为单IP地址多端口号类型,则根据所述端口数量,从所述单包授权认证报文中,获取与所述端口数量等量的第一端口号;第一开放模块,用于若所述认证密码通过校验,则为所述单包授权认证报文的源IP地址开放所述端口数量的第一端口号所指示的端口。
第三方面,本公开提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本公开第一方面所提供的方法。
因此,根据应用本公开提供的端口控制方法及装置,单包认证报文中新增了类型标识和端口数量两个字段,可以携带多个端口号,从而可以支持敲开多个端口,满足复杂场景的需求。
附图说明
图1为本公开实施例提供的系统架构的示意图;
图2为本公开实施例提供的一种端口控制方法的流程图;
图3A为本公开实施例提供的单包授权认证报文的示意图;
图3B为本公开实施例提供的单IP地址单端口号类型的报文的示意图;
图3C为本公开实施例提供的预设IP地址单端口号类型的报文的示意图;
图3D为本公开实施例提供的单IP地址多端口号类型的报文的示意图;
图3E为本公开实施例提供的多IP地址多端口号类型的报文的示意图;
图4为本公开实施例提供的端口控制方法示意图;
图5为本公开实施例提供的一种端口控制装置结构图;
图6为本公开实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本公开相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本公开实施例提供的可以用于端口控制方法和装置的示例性系统架构进行详细地说明。参见图1,图1为本公开实施例提供的系统架构的示意图。系统架构可包括主机110、控制器120、网关130和服务器140。
主机110例如可以包括智能手机、平板电脑、台式机、笔记本电脑等等。主机中可以安装有客户端。
控制器120可以用于对用户进行身份认证和对用户访问权限进行鉴别的设备。控制器120可以有自己的身份和权限管理系统,管理员可以在控制器120中配置用户的身份信息以及对资源的访问权限。
网关130可以用于为有权限的用户提供资源访问服务的设备。网关130不进行用户身份认证,仅对控制器120授权的用户提供资源访问服务。
服务器140可以为提供各种服务的服务器,例如为应用程序提供后台服务的服务器、提供API(应用程序接口)服务的服务器等。
客户端例如可以为SDP(Software Defined Perimeter,软件定义边界)客户端。控制器120例如可以为SDP控制器。网关130例如可以为SDP网关。SDP(Software DefinedPerimeter,软件定义边界)零信任功能是指设备作为SDP网关与SDP控制器联动,对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。
根据本公开的实施例,SDP控制器可以设置有SPA认证接口。SDP客户端可以通过互联网向SPA认证接口发送单包授权认证报文,以敲开端口。单包授权认证报文可以包括应用标识、随机数、认证密码,除此之外,还支持携带多个端口信息和/或多个IP地址信息。
SDP控制器接到单包授权认证报文之后,可以根据本地的密钥和随机数生成本地密钥,判断本地密钥与认证密码是否一致,如果一致,则确定认证密码通过校验,然后为单包授权认证报文中的IP地址信息开放对应的端口。
SDP网关作为企业边界设备,一方面可以通过互联网连接主机110,另一方面可以通过内部网络连接服务器140。SDP网关可以根据SDP控制器的授权,向主机110提供针对服务器140的资源访问服务。
下面对本公开实施例提供的端口控制方法进行详细地说明。参见图2,图2为本公开实施例提供的另一种端口控制方法的流程图。该方法例如可以应用于上文所示的控制器,本公开实施例提供的端口控制方法可包括如下所示步骤。
步骤210、接收客户端发送的单包授权认证报文,单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;
根据本公开的实施例,应用标识可以用于唯一地标识用户。随机数可以为客户端计算得到一个随机数值。认证密码可以为根据随机数计算得到的密钥。类型标识例如可以用于标识单包授权认证报文的类型。端口数量例如可以用于表示单包授权认证报文中携带的端口号数量,这些端口号即用于指示用户意图敲开的端口。
根据本公开的实施例,客户端可以预先向控制器进行终端备案,控制器在备案时会向客户端下发唯一的应用标识(AID)和私钥(key)。客户端可以生成随机数,然后利用私钥对随机数进行加密,得到认证密码。
步骤220、根据应用标识、随机数和本地存储的本地密钥,对认证密码进行校验处理。
根据本公开的实施例,控制器例如可以根据应用标识,获取本地存储的对应私钥。根据该对应私钥对随机数进行加密,得到本地密码。若本地密码与认证密码一致,则确定认证密码通过校验,否则,确定认证密码未通过校验。
步骤230、若类型标识指示单包授权认证报文的类型为单IP地址多端口号类型,则根据端口数量,从单包授权认证报文中,获取与端口数量等量的第一端口号。
根据本公开的实施例,单包授权认证报文的类型例如可以包括单IP地址多端口号类型。单IP地址多端口号类型的单包授权认证报文携带有多个端口号,单包授权认证报文中的端口数量字段记录了携带的端口号的数量。基于此,可以从单包授权认证报文中,获取与端口数量等量的端口号,即第一端口号。
步骤240、若认证密码通过校验,则为单包授权认证报文的源IP地址开放端口数量的第一端口号所指示的端口。
根据本公开的实施例,源IP地址可以为客户端所在设备的IP地址。例如可以将IP地址和端口号之间的对应关系写入防火墙白名单策略,从而为IP地址开放对应端口号所指示的端口。
在一些复杂场景中,客户端需要与和多个服务端口进行交互。但单包授权认证报文中仅携带一个端口号,只能敲开一个服务端口,无法敲开该多个服务端口。
根据本公开的实施例,通过单包认证报文中新增了类型标识和端口数量两个字段,可以携带多个端口号,从而可以支持敲开多个端口,满足复杂场景的需求。
可选地,除了单IP地址多端口号类型之外,单包授权认证报文的类型还可以包括多IP地址多端口号类型、预设IP地址单端口号类型和单IP地址单端口号类型中的至少一个。
根据本公开的实施例,在单包授权认证报文的类型为多IP地址多端口号类型的情况下,单包授权认证报文可以包括多个预设IP地址和多个端口号,该多个预设IP地址和该多个端口号一一对应。该预设IP地址是与源IP地址不同的IP地址。为便于区分,以下将该类型单包授权认证报文包含的端口号称为第二端口号,将该类型单包授权认证报文包含的预设IP地址称为第一预设IP地址。
基于此,若类型标识指示单包授权认证报文的类型为多IP地址多端口号类型,则可以在单包授权认证报文中获取与端口数量等量的第二端口号和与每个第二端口号对应的第一预设IP地址。若认证密码通过校验,则为与每个第二端口号对应的第一预设IP地址开放该第二端口号所指示的端口。
根据本公开的实施例,通过单包认证报文中新增了类型标识和端口数量两个字段,可以携带多个端口号和多IP地址,从而可以支持为多IP地址敲开多个端口,能更好地满足场景的需求。
根据本公开的实施例,在单包授权认证报文的类型为预设IP地址单端口号类型的情况下,单包授权认证报文可以包括一个预设IP地址和一个端口号。为便于区分,以下将该类型单包授权认证报文包含的端口号称为第三端口号,将该类型单包授权认证报文包含的预设IP地址称为第二预设IP地址。
基于此,若类型标识指示单包授权认证报文的类型为预设IP地址单端口号类型,则在单包授权认证报文中获取第二预设IP地址和第三端口号。若认证密码通过校验,则为第二预设IP地址开放第三端口号所指示的端口。
根据本公开的实施例,通过单包认证报文中新增了类型标识和端口数量两个字段,可以携带预设IP地址,从而可以支持为预设IP地址敲开对应端口,能更好地满足场景的需求。
根据本公开的实施例,在单包授权认证报文的类型为单IP地址单端口号类型的情况下,单包授权认证报文可以包括源IP地址和一个端口号。为便于区分,以下将该类型单包授权认证报文包含的端口号称为第四端口号。
基于此,若类型标识指示单包授权认证报文的类型为单IP地址单端口号类型,则在单包授权认证报文中获取第四端口号。若认证密码通过校验,则为源IP地址开放与第四端口号所指示的端口。
可选地,单包授权认证报文包括UDP报文,类型标识和端口数量位于UDP报文的数据部分。
图3A为本公开实施例提供的单包授权认证报文的示意图。如图3A所示,单包授权认证报文可以包括源端口、目的端口、长度、校验和以及数据(Data)部分。其中,数据部分包括报文头、应用标识AID、随机数Counter、认证密码Password、类型标识Flag、端口数量PortCount、端口Port信息(例如Port 1、……Port n,n为正整数)和IP地址信息(例如IP 1、……IP n)等字段。其中,IP地址信息为可选字段,例如,单IP地址单端口号类型和单IP地址多端口号类型的单包授权认证报文中可以不携带IP地址信息。
示例性地,本实施例中,类型标识Flag可以占用1字节位置,类型标识Flag的值可以包括0、1、2和3。其中,0可以表示单IP地址单端口号类型,1可以表示预设IP地址单端口号类型,2可以表示单IP地址多端口号类型,3可以表示多IP地址多端口号类型。
图3B为本公开实施例提供的单IP地址单端口号类型的报文的示意图。如图3B所示,对于单IP地址单端口号类型的报文,数据部分例如可以包括报文头、应用标识AID、随机数Counter、认证密码Password、类型标识Flag、端口数量Port Count和端口号Port 1。其中,Flag字段的值可以为0,表示该报文为单IP地址单端口号类型。Port Count字段的值可以为1,表示携带一个端口号。
图3C为本公开实施例提供的预设IP地址单端口号类型的报文的示意图。如图3C所示,对于预设IP地址单端口号类型的报文,数据部分例如可以包括报文头、应用标识AID、随机数Counter、认证密码Password、类型标识Flag、端口数量Port Count、IP地址IP 1和端口号Port 1。其中,Flag字段的值可以为1,表示该报文为预设IP地址单端口号类型。PortCount字段的可以值为1,表示携带一个端口号。IP 1字段记载有预设IP地址。
图3D为本公开实施例提供的单IP地址多端口号类型的报文的示意图。如图3D所示,对于单IP地址多端口号类型的报文,数据部分例如可以包括报文头、应用标识AID、随机数Counter、认证密码Password、类型标识Flag、端口数量Port Count和端口号Port 1、Port2……Port n。其中,Flag字段的值可以为2,表示该报文为单IP地址多端口号类型。PortCount字段的可以值为n,表示携带n个端口号。可选地,对于单IP地址多端口号类型的报文,数据部分还可以包与端口号一一对应的IP地址IP 1、IP 2……IP n,IP 1、IP 2……IP n的值可以为0,表示为空,即不携带实际的IP数据。
图3E为本公开实施例提供的多IP地址多端口号类型的报文的示意图。如图3E所示,对于多IP地址多端口号类型的报文,数据部分例如可以包括报文头、应用标识AID、随机数Counter、认证密码Password、类型标识Flag、端口数量Port Count、IP地址IP 1、IP2……IP n和端口号Port 1、Port 2……Port n。其中,Flag字段的值可以为3,表示该报文为多IP地址多端口号类型。Port Count字段的可以值为n,表示携带n个端口号。IP 1、IP2……IP n字段分别记载有预设IP地址。IP 1、IP 2……IP n和Port 1、Port 2……Port n一一对应。
下面对本公开实施例提供的端口控制方法进行详细地说明。参见图4,图4为本公开实施例提供的端口控制方法示意图。在图4中,客户端可以向控制器进行终端备案,控制器会向客户端下发唯一的应用标识(AID)和私钥(key)。
客户端在向控制器发起SPA认证请求时,可以根据备案过程中的应用标识和私钥,生成随机数(Counter),然后采用加密算法基于随机数生成秘钥信息(Password)。加密算法例如可以为host算法,
然后,客户端可以向控制器指定的端口发送单包授权认证报文。单包授权认证报文中可以携带有应用标识、随机数、认证密码、类型标识和端口数量等。指定的端口例如可以为UDP端口,单包授权认证报文例如可以为UDP报文。例如,指定的端口的URL Path(路径)例如可以为“控制器:60001”,其中,60001可以为UDP端口的端口号。
控制器接收到单包授权认证报文后,可以根据单包授权认证报文中的AID、Counter和本地存储的对应Key,检验Password是否一致,校验成功则可以确定认证密码通过校验,表示SPA认证通过,否则可以确定认证密码未通过校验,表示SPA认证不通过。
控制器还可以根据单包授权认证报文中的类型标识,确定单包授权认证报文的类型。
若类型标识指示单包授权认证报文的类型为单IP地址多端口号类型,则根据端口数量,从单包授权认证报文中,获取与端口数量等量的端口号。若认证密码通过校验,则新建防火墙白名单策略,以便为单包授权认证报文的源IP地址开放端口数量的端口号所指示的端口。
若类型标识指示单包授权认证报文的类型为多IP地址多端口号类型,则可以在单包授权认证报文中获取与端口数量等量的端口号和与每个端口号对应的预设IP地址。若认证密码通过校验,则新建防火墙白名单策略,以便为每个预设IP地址开放对应端口号所指示的端口。
若类型标识指示单包授权认证报文的类型为预设IP地址单端口号类型,则在单包授权认证报文中获取预设IP地址和对应端口号。若认证密码通过校验,则新建防火墙白名单策略,以便为预设IP地址开放对应端口号所指示的端口。
若类型标识指示单包授权认证报文的类型为单IP地址单端口号类型,则在单包授权认证报文中获取第四端口号。若认证密码通过校验,则新建防火墙白名单策略,以便为源IP地址开放与第四端口号所指示的端口。
在开放端口后,客户端就可以通过对应端口进行业务请求和交互访问。例如,本实施例中,控制器在SPA通过后,为客户端开放登录服务端口。客户端可以向登录服务端口发送用户登录信息,到达网关的用户信息通道。
网关可以对客户端进行SPA认证,在通过网关的SPA认证后,与客户端建立VPN隧道。后续客户端可以通过VPN通道与内部网的服务器进行交互。
基于同一发明构思,本公开实施例还提供了与端口控制方法对应的端口控制装置。参见图5,图5为本公开实施例提供的一种端口控制装置结构图,装置可以应用于控制器,装置包括;
接收模块510,用于接收客户端发送的单包授权认证报文,单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;
校验模块520,用于根据应用标识、随机数和本地存储的本地密钥,对认证密码进行校验处理;
第一获取模块530,用于若类型标识指示单包授权认证报文的类型为单IP地址多端口号类型,则根据端口数量,从单包授权认证报文中,获取与端口数量等量的第一端口号;
第一开放模块540,用于若认证密码通过校验,则为单包授权认证报文的源IP地址开放端口数量的第一端口号所指示的端口。
可选地,端口控制装置还可以包括:
第二获取模块,用于若类型标识指示单包授权认证报文的类型为多IP地址多端口号类型,则在单包授权认证报文中获取与端口数量等量的第二端口号和与每个第二端口号对应的第一预设IP地址;
第二开放模块,用于若认证密码通过校验,则为与每个第二端口号对应的第一预设IP地址开放该第二端口号所指示的端口。
可选地,端口控制装置还可以包括:
第三获取模块,用于若类型标识指示单包授权认证报文的类型为预设IP地址单端口号类型,则在单包授权认证报文中获取第二预设IP地址和第三端口号;
第三开放模块,用于若认证密码通过校验,则为第二预设IP地址开放第三端口号所指示的端口。
可选地,端口控制装置还可以包括:
第四获取模块,用于若类型标识指示单包授权认证报文的类型为单IP地址单端口号类型,则在单包授权认证报文中获取第四端口号;
第四开放模块,用于若认证密码通过校验,则为源IP地址开放与第四端口号所指示的端口。
可选地,单包授权认证报文可以为UDP报文,类型标识和端口数量可以位于UDP报文的数据部分。
根据本公开的实施例,通过单包认证报文中新增了类型标识和端口数量两个字段,可以携带一个或多个端口号以及一个或多个IP地址,提高了端口敲门的灵活性。
基于同一发明构思,本公开实施例还提供了一种网络设备,如图6所示,包括处理器610、收发器620和机器可读存储介质630,机器可读存储介质630存储有能够被处理器610执行的机器可执行指令,处理器610被机器可执行指令促使执行本公开实施例所提供的端口控制方法。前述图5所示的端口控制装置,可采用如图6所示的网络设备硬件结构实现。
上述计算机可读存储介质630可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质630还可以是至少一个位于远离前述处理器610的存储装置。
上述处理器610可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本公开实施例中,处理器610通过读取机器可读存储介质630中存储的机器可执行指令,被机器可执行指令促使能够实现处理器610自身以及调用收发器620执行前述本公开实施例描述的端口控制方法。
另外,本公开实施例提供了一种机器可读存储介质630,机器可读存储介质630存储有机器可执行指令,在被处理器610调用和执行时,机器可执行指令促使处理器610自身以及调用收发器620执行前述本公开实施例描述的端口控制方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于xx装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。

Claims (10)

1.一种端口控制方法,其特征在于,所述方法包括;
接收客户端发送的单包授权认证报文,所述单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;
根据所述应用标识、随机数和本地存储的本地密钥,对所述认证密码进行校验处理;
若所述类型标识指示所述单包授权认证报文的类型为单IP地址多端口号类型,则根据所述端口数量,从所述单包授权认证报文中,获取与所述端口数量等量的第一端口号;
若所述认证密码通过校验,则为所述单包授权认证报文的源IP地址开放所述端口数量的第一端口号所指示的端口。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述类型标识指示所述单包授权认证报文的类型为多IP地址多端口号类型,则在所述单包授权认证报文中获取与所述端口数量等量的第二端口号和与每个第二端口号对应的第一预设IP地址;
若所述认证密码通过校验,则为与每个第二端口号对应的第一预设IP地址开放该第二端口号所指示的端口。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述类型标识指示所述单包授权认证报文的类型为预设IP地址单端口号类型,则在所述单包授权认证报文中获取第二预设IP地址和第三端口号;
若所述认证密码通过校验,则为所述第二预设IP地址开放所述第三端口号所指示的端口。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述类型标识指示所述单包授权认证报文的类型为单IP地址单端口号类型,则在所述单包授权认证报文中获取第四端口号;
若所述认证密码通过校验,则为所述源IP地址开放与所述第四端口号所指示的端口。
5.根据权利要求1所述的方法,其特征在于,所述单包授权认证报文为UDP报文,所述类型标识和所述端口数量位于所述UDP报文的数据部分。
6.一种端口控制装置,其特征在于,所述装置包括:
接收模块,用于接收客户端发送的单包授权认证报文,所述单包授权认证报文包括应用标识、随机数、认证密码、类型标识和端口数量;
校验模块,用于根据所述应用标识、随机数和本地存储的本地密钥,对所述认证密码进行校验处理;
第一获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为单IP地址多端口号类型,则根据所述端口数量,从所述单包授权认证报文中,获取与所述端口数量等量的第一端口号;
第一开放模块,用于若所述认证密码通过校验,则为所述单包授权认证报文的源IP地址开放所述端口数量的第一端口号所指示的端口。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为多IP地址多端口号类型,则在所述单包授权认证报文中获取与所述端口数量等量的第二端口号和与每个第二端口号对应的第一预设IP地址;
第二开放模块,用于若所述认证密码通过校验,则为与每个第二端口号对应的第一预设IP地址开放该第二端口号所指示的端口。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为预设IP地址单端口号类型,则在所述单包授权认证报文中获取第二预设IP地址和第三端口号;
第三开放模块,用于若所述认证密码通过校验,则为所述第二预设IP地址开放所述第三端口号所指示的端口。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第四获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为单IP地址单端口号类型,则在所述单包授权认证报文中获取第四端口号;
第四开放模块,用于若所述认证密码通过校验,则为所述源IP地址开放与所述第四端口号所指示的端口。
10.根据权利要求6所述的装置,其特征在于,所述单包授权认证报文为UDP报文,所述类型标识和所述端口数量位于所述UDP报文的数据部分。
CN202310726042.2A 2023-06-16 2023-06-16 端口控制方法及装置 Pending CN116866010A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310726042.2A CN116866010A (zh) 2023-06-16 2023-06-16 端口控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310726042.2A CN116866010A (zh) 2023-06-16 2023-06-16 端口控制方法及装置

Publications (1)

Publication Number Publication Date
CN116866010A true CN116866010A (zh) 2023-10-10

Family

ID=88234968

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310726042.2A Pending CN116866010A (zh) 2023-06-16 2023-06-16 端口控制方法及装置

Country Status (1)

Country Link
CN (1) CN116866010A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118300899A (zh) * 2024-06-05 2024-07-05 新华三工业互联网有限公司 授权通信方法、装置、计算机设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118300899A (zh) * 2024-06-05 2024-07-05 新华三工业互联网有限公司 授权通信方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
JP7227919B2 (ja) モノのインターネット(iot)デバイスの管理
CN110036613B (zh) 提供用于去中心化应用的身份认证的系统和方法
JP6262278B2 (ja) アクセス制御クライアントの記憶及び演算に関する方法及び装置
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
CA2774648C (en) Modular device authentication framework
US8635671B2 (en) Systems and methods for a security delegate module to select appropriate security services for web applications
US11184336B2 (en) Public key pinning for private networks
US10944736B2 (en) Application authentication wrapper
US10257171B2 (en) Server public key pinning by URL
JP2016526223A (ja) モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証
US20070011452A1 (en) Multi-level and multi-factor security credentials management for network element authentication
CN109861968A (zh) 资源访问控制方法、装置、计算机设备及存储介质
US9524394B2 (en) Method and apparatus for providing provably secure user input/output
CN109309684A (zh) 一种业务访问方法、装置、终端、服务器及存储介质
US20150249639A1 (en) Method and devices for registering a client to a server
US9875371B2 (en) System and method related to DRM
US11818097B2 (en) Packet watermark with static salt and token validation
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
US11977620B2 (en) Attestation of application identity for inter-app communications
EP3820078A1 (en) Device and method for mediating configuration of authentication information
CN114697963A (zh) 终端的身份认证方法、装置、计算机设备和存储介质
US20240080314A1 (en) Packet watermark with dynamic token validation
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
CN116866010A (zh) 端口控制方法及装置
US11956275B2 (en) Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination