CN118300899A - 授权通信方法、装置、计算机设备及存储介质 - Google Patents
授权通信方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN118300899A CN118300899A CN202410720217.3A CN202410720217A CN118300899A CN 118300899 A CN118300899 A CN 118300899A CN 202410720217 A CN202410720217 A CN 202410720217A CN 118300899 A CN118300899 A CN 118300899A
- Authority
- CN
- China
- Prior art keywords
- client
- port number
- source
- spa
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000013507 mapping Methods 0.000 claims abstract description 30
- 238000004806 packaging method and process Methods 0.000 claims abstract description 9
- 238000006243 chemical reaction Methods 0.000 claims description 26
- 230000015654 memory Effects 0.000 claims description 24
- 238000013519 translation Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信技术领域,公开了授权通信方法、装置、计算机设备及存储介质,该方法包括:随机生成随机数,并指定请求访问的服务器的端口号范围;根据认证信息封装SPA报文;认证信息包括随机数、端口号范围和客户端的源IP地址;基于用户数据报协议,将SPA报文发送至服务器,指示网关开放访问目的端口号对应的目的端口的权限;目的端口号是按照预设映射规则,将随机数映射至端口号范围内的端口号。本发明中,客户端与服务器之间基于随机端口实现通信,使得未经过SPA认证的非法终端难以准确地基于该随机端口访问服务器,从而可以有效防止敲门放大漏洞,提高安全性;网关还可以判断连接报文中的源端口号是否一致,进一步保证通信安全。
Description
技术领域
本发明涉及通信技术领域,具体涉及授权通信方法、装置、计算机设备及存储介质。
背景技术
零信任架构中一般通过单包授权(Single Packet Authorization,SPA)认证的方式,认证终端的合法性,放开合法终端的公网源IP地址,以屏蔽大多数非法用户的网络攻击。
但是在网络地址转换(Network Address Translation,NAT)场景下,局域网内的多个终端可能使用相同的公网源IP地址,导致其他终端在未经过SPA认证的情况下,可以绕开单包授权认证,其也能够正常访问服务器,存在安全风险。
发明内容
有鉴于此,本发明提供了一种授权通信方法、装置、计算机设备及存储介质,以解决单包授权认证易被绕开的问题。
第一方面,本发明提供了一种授权通信方法,应用于客户端,包括:
随机生成随机数,并指定请求访问的服务器的端口号范围;
根据认证信息封装SPA报文;所述认证信息包括所述随机数、所述端口号范围和所述客户端的源IP地址;
基于用户数据报协议,将所述SPA报文发送至网关,指示所述网关开放访问目的端口号对应的目的端口的权限;所述目的端口号是按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号。
在一些可选的实施方式中,该方法还包括:
按照所述预设映射规则,将所述随机数映射为所述端口号范围内的所述目的端口号;
在将所述SPA报文发送至所述网关之后,向所述网关发送用于与所述目的端口号对应的目的端口建立通信连接的第一连接报文;所述第一连接报文包括第一源端口号。
第二方面,本发明提供了一种授权通信方法,应用于网关,包括:
获取客户端基于用户数据报协议发送的SPA报文;
对所述SPA报文进行解析处理,提取出相应的认证信息;所述认证信息包括随机数、所述客户端请求访问的服务器的端口号范围和所述客户端的源IP地址;
根据所述认证信息对所述客户端进行鉴权处理;
在鉴权成功的情况下,按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号,作为允许所述客户端访问的目的端口号,并向所述源IP地址开放访问所述目的端口号对应的目的端口的权限。
在一些可选的实施方式中,所述向所述源IP地址开放访问所述目的端口号对应的目的端口的权限,包括:
设置第一防火墙规则;所述第一防火墙规则用于允许所述源IP地址访问所述目的端口。
在一些可选的实施方式中,该方法还包括:
根据所述SPA报文判断所述客户端是否存在网络地址转换;
在所述客户端存在网络地址转换的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则;所述第一连接报文包括第一源端口号,所述第二防火墙规则用于阻止所述源IP地址所对应的源端口中,除所述第一源端口号对应的源端口之外的其他源端口访问所述目的端口。
在一些可选的实施方式中,所述根据所述客户端发送的第一连接报文,设置第二防火墙规则,包括:
为所述客户端的认证信息设置用于表示所述客户端存在网络地址转换的转换标记;
在获取到所述客户端发送的第一连接报文之后,判断所述客户端的认证信息是否设有转换标记;
在所述客户端的认证信息设有转换标记的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则。
在一些可选的实施方式中,在所述设置第二防火墙规则之后,该方法还包括:
在获取到来自所述源IP地址的用于与所述目的端口建立通信连接的第二连接报文的情况下,确定所述第二连接报文中的第二源端口号;
根据所述第二防火墙规则,判断所述第二源端口号与所述第一源端口号是否相同;
在所述第二源端口号与所述第一源端口号相同的情况下,向所述服务器转发所述第二连接报文;
在所述第二源端口号与所述第一源端口号不同的情况下,拦截所述第二连接报文。
在一些可选的实施方式中,所述根据所述SPA报文判断所述客户端是否存在网络地址转换,包括:
解析出所述SPA报文的报文头中的第一源IP地址和报文载荷中的第二源IP地址;
判断所述第一源IP地址与所述第二源IP地址是否相同;
在所述第一源IP地址与所述第二源IP地址不同的情况下,确定所述客户端存在网络地址转换。
第三方面,本发明提供了一种授权通信装置,应用于客户端,所述装置包括:
预处理模块,用于随机生成随机数,并指定请求访问的服务器的端口号范围;
封装模块,用于根据认证信息封装SPA报文;所述认证信息包括所述随机数、所述端口号范围和所述客户端的源IP地址;
发送模块,用于基于用户数据报协议,将所述SPA报文发送至网关,指示所述网关开放访问目的端口号对应的目的端口的权限;所述目的端口号是按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号。
第四方面,本发明提供了一种授权通信装置,应用于网关,所述装置包括:
获取模块,用于获取客户端基于用户数据报协议发送的SPA报文;
解析模块,用于对所述SPA报文进行解析处理,提取出相应的认证信息;所述认证信息包括随机数、所述客户端请求访问的服务器的端口号范围和所述客户端的源IP地址;
鉴权模块,用于根据所述认证信息对所述客户端进行鉴权处理;
处理模块,用于在鉴权成功的情况下,按照预设映射规则,根据所述随机数从所述端口号范围内选取出允许所述客户端访问的目的端口号,并向所述源IP地址开放访问所述目的端口号对应的目的端口的权限。
第五方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面、第二方面或其对应的任一实施方式的授权通信方法。
第六方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面、第二方面或其对应的任一实施方式的授权通信方法。
第七方面,本发明提供了一种计算机程序产品,包括计算机指令,计算机指令用于使计算机执行上述第一方面、第二方面或其对应的任一实施方式的授权通信方法。
本发明实施例中,客户端基于随机数和端口号范围封装SPA报文,进行SPA认证,网关可以根据该随机数,从端口号范围内随机选取出目的端口号,客户端与服务器之间基于随机端口实现通信,使得未经过SPA认证的非法终端难以准确地基于该随机端口访问服务器,从而可以有效防止敲门放大漏洞,能够提高安全性。并且,客户端通过UDP SPA方式进行授权认证,可以保证端口隐私,且对服务器的开销影响较小。
附图说明
为了更清楚地说明本发明具体实施方式或相关技术中的技术方案,下面将对具体实施方式或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是单包授权认证的一种流程示意图;
图2是第三代单包授权认证的一种流程示意图;
图3是根据本发明实施例的授权通信方法的流程示意图;
图4是根据本发明实施例的SPA报文封装解析的一种示意图;
图5是根据本发明实施例的另一授权通信方法的流程示意图;
图6是根据本发明实施例的NAT场景下的一种通信示意图;
图7是根据本发明实施例的再一授权通信方法的流程示意图;
图8是根据本发明实施例的客户端的授权通信装置的结构框图;
图9是根据本发明实施例的网关的授权通信装置的结构框图;
图10是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着互联网时代的飞速发展,企业数字化转型成为企业生存的必经之路,企业需要利用数字技术根本性地改变企业的商业模式和运行方式,帮助企业捕捉到新的数据洞察,实现更快的决策和创新。在数字化转型的背景下,企业的人员合作和接入方式都面临着显著变化:
云服务和应用程序:企业越来越多地依赖于云基础设施和应用程序,以支持员工的远程协作和数据共享。
移动办公:随着智能手机和平板电脑的普及,员工可以随时随地通过这些移动设备接入企业资源,促进了在家工作、在路上工作或客户现场工作的可能性。
协作工具:视频会议、即时消息、项目管理软件和共享工作空间的使用增加了,这些工具支持实时通信、文件共享和项目协作。
这些变化共同塑造了一个更为动态和灵活的工作环境,提高了生产力和员工满意度,同时也带来了对企业管理策略的新考验。
在移动办公等场景下,用户越来越多地使用远程连接接入企业网络,满足办公的各种需求,而远程连接提供服务的访问端口暴露在互联网上,成为网络恶意攻击的重灾区。通过这样的一个暴露在外面的门户,黑客使用一切手段寻找服务漏洞,攻陷远程连接服务器从而进入企业网络窃取资源或破坏。企业急需升级远程连接的安全能力,采用零信任系统升级远程连接的安全能力。
零信任架构阻止网络威胁,推出了一个核心技术:单包授权认证,即SPA(SinglePacket Authorization,单包授权)认证。这是一种保护服务端口免受攻击的特殊认证方式,即通过一个单一数据包携带认证鉴别信息,从而在完成认证后获得授权,再允许访问业务。网关(网关中可以部署有防火墙)只有接收到了客户端发出的SPA报文,验证合法之后,才对该客户端的IP开放指定的目的端口。有了SPA技术,未经过身份验证的客户端无法看到隐藏在后面的业务资产,更谈不上进行访问或者攻击,这可以屏蔽大多数非法用户的网络攻击,让漏洞探测、DDoS(Distributed Denial of Service,分布式阻断服务)等攻击方式都失效。
第一代的SPA认证使用UDP(User Datagram Protocol,用户数据报协议) SPA技术,如图1所示,其交互流程主要包括:
1)单包敲门发起:客户端封装SPA报文,并向网关发送该SPA报文,以向网关发起单包敲门;该SPA报文也可称为SPA数据包、SPA敲门包等。
2)认证校验并放开授权:网关校验SPA报文后,放开客户端的公网源IP,并向客户端开放目的端口。
3)正常访问应用:公网源IP所在终端(即敲门客户端所在终端)可正常访问服务器侧受保护应用。
第一代的SPA认证存在敲门放大漏洞的问题,即对于存在网络地址转换(NetworkAddress Translation,NAT)场景,相同公网源IP的多个局域网终端,只要有任意一个终端敲门成功,其他终端即可以通过SPA校验,进而能够正常访问服务器。
第二代的SPA认证采用TCP SPA方式,该方式在TCP(Transmission ControlProtocol,传输控制协议)连接的TLS(Transport Layer Security,安全传输层)阶段携带认证信息,保证按连接区分终端,不存在敲门放大漏洞的问题。但是该方式相对UDP SPA,缺少了端口隐身的效果,容易被攻击者进行TCP flood和TCP syn-flood攻击。
第三代的SPA认证,采用UDP SPA+TCP SPA的方式,结合了两者所长,成为一个强化的版本。在UDP端口敲门的基础上支持TCP SPA,既能够达到端口隐藏,又能够解决传统UDP敲门的敲门放大漏洞问题。
其中,TCP SPA是在TCP三次握手成功并建立连接之后进行的。它在TLS协议的Client Hello握手包中的Extensions字段中增加了一个额外的字段,并附上了根据SPA种子(同UDP SPA的种子)算出的TOTP(Time-based One-time Password,基于时间的一次性口令)令牌值等信息。当服务器开启TCP SPA之后,服务器在TLS协商中会校验这个额外的字段。如果校验失败,服务器会终止TLS协商并返回错误。客户端与设有第三代零信任组件的服务器之间的交互流程,可参见图2所示。
但是,UDP SPA是每终端进行敲门,敲门成功后需要定时添加删除IP端口规则,TCPSPA是连接级SPA,需要每连接进行校验,这样会增加服务器校验的压力。大量的用户上下线时,对服务器的开销影响较大;并且在客户端处于弱网的情况下,TCP连接不够稳定,容易掉线影响用户体验。
本发明实施例提供的授权通信方法,服务器与通过SPA认证的客户端之间基于随机的端口实现通信,未经过SPA认证的非法终端难以准确地基于该随机端口访问服务器,从而可以有效防止敲门放大漏洞,能够提高安全性。
根据本发明实施例,提供了一种授权通信方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种授权通信方法,可应用于上述的客户端,该客户端具体可以为终端中用于访问服务器的客户端。图3是根据本发明实施例的授权通信方法的流程图,如图3所示,该流程包括以下步骤S301至步骤S303。
步骤S301,随机生成随机数,并指定请求访问的服务器的端口号范围。
本实施例中,客户端需要访问某服务器时,需要发起单包授权认证。其中,客户端需要随机生成某随机数,例如随机生成16bit(位)的随机字符串。此外,客户端还指定一个端口号范围,顾名思义,该端口号范围是包含多个端口号的范围;并且,该端口号是上述服务器的端口号。
例如,客户端可以通过枚举的方式指定该端口号范围。例如,该端口号范围为:11、12、15,即该端口号范围包含三个端口号。或者,客户端也可以指定首位端口号和末尾端口号,形成在该首位端口号与末尾端口号之间的端口号范围,该端口号范围包括首位端口号和末尾端口号。例如,客户端可以指定端口号范围为11~30,其中的11为首位端口号,30为末尾端口号。
步骤S302,根据认证信息封装SPA报文;该认证信息包括随机数、端口号范围和客户端的源IP地址。
本实施例中,为实现单包授权认证,需要客户端确定相应的认证信息,并对该认证信息进行封装,生成需要发送至网关的SPA报文。其中,该认证信息包括上述的随机数和端口号范围,并且,该认证信息还包括客户端的源IP地址,即客户端所在终端的IP地址。此外,认证信息还可以包括终端标识、时间戳(日期/小时/分钟)等。
图4示出了SPA报文封装解析的一种示意图。例如,参见图4所示,客户端在封装SPA报文时,可以基于上述的随机数等认证信息以及与服务器之间共享的共享密钥,经过加密算法可以计算出SPA密钥,该SPA密钥是一种消息认证码,加密算法例如可以包括HOTP(HMAC-based One-Time Password)算法,即基于HMAC(Hash-based MessageAuthentication Code,哈希运算消息认证码)算法加密的一次性密码生成方法,例如,基于共享密钥K和随机数C生成SPA密钥的过程可表示为:HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)),其中,Truncate函数的作用是如何截取加密后的串,并取加密后串的哪些字段组成一个数字,HMAC-SHA-1函数是HMAC算法的一种,它使用SHA-1哈希函数;将该SPA密钥与认证信息进行打包,即可生成SPA报文。其中,可以采用UDP(User Datagram Protocol,用户数据报协议)打包方式进行打包,且源IP地址位于报头内。
步骤S303,基于用户数据报协议,将SPA报文发送至网关,指示网关开放访问目的端口号对应的目的端口的权限;该目的端口号是按照预设映射规则,将随机数映射至端口号范围内的端口号。
本实施例中,客户端生成SPA报文后,即可将该SPA报文发送至网关,使得网关对该客户端进行单包授权认证,即SPA认证。其中,客户端采用UDP SPA的认证方式,即客户端基于用户数据报协议(UDP),将该SPA报文发送至网关。
其中,客户端生成的随机数以及指定的端口号范围,用于随机确定目的端口号,且客户端和网关二者可以确定同一个目的端口号。具体地,网关获取到该随机数和端口号范围后,可以按照预设映射规则,将该随机数映射至端口号范围内的某个端口号,并将与该随机数相映射的端口号作为目的端口号。由于该目的端口号是基于随机数而定的,故该目的端口号相当于是从端口号范围内随机选取出的端口号,对于与该客户端使用同一公网源IP地址的其他终端,在不知道该目的端口号的情况下,不能正常访问服务器,从而可以有效避免非法终端恶意访问服务器的行为。
在一些可选的实施方式中,在上述将SPA报文发送至网关之后,客户端还执行与服务器建立通信连接的过程,其中,该方法还包括以下步骤A1至步骤A2。
步骤A1,按照预设映射规则,将随机数映射为端口号范围内的目的端口号。
本实施例中,客户端向网关发送SPA报文后,可以尝试与服务器之间建立通信连接。具体地,与网关确定目标端口号的方式相同,客户端也按照相同的预设映射规则,根据随机数从端口号范围内确定映射的目的端口号。
例如,该预设映射规则可以是取余规则,即将随机数作为被除数,将端口号范围内的端口号数量作为除数,进行取余运算,进而根据计算得到的余数以及端口号范围的首位端口号,选取出相应的端口号作为目的端口号。当然,也可以采用其他映射规则,本实施例对此不做限定。
步骤A2,在将SPA报文发送至网关之后,向网关发送用于与目的端口号对应的目的端口建立通信连接的第一连接报文;第一连接报文包括第一源端口号。
本实施例中,客户端向网关发送SPA报文后,即可再向网关发送相应的连接报文,以请求与服务器的目的端口建立通信连接;其中,为方便描述,将该连接报文称为第一连接报文。
并且,该第一连接报文包括源端的端口号,即第一源端口号,例如客户端侧请求与服务器建立通信连接的端口号。网关基于该第一源端口号,可以进一步判断客户端是否合法,能够进一步提高通信安全性,后续对此进行详述。
本实施例提供的授权通信方法,客户端基于随机数和端口号范围封装SPA报文,进行SPA认证,使得网关可以根据该随机数,从端口号范围内随机选取出目的端口号,客户端与服务器之间基于随机端口实现通信,使得未经过SPA认证的非法终端难以准确地基于该随机端口访问服务器,从而可以有效防止敲门放大漏洞,能够提高安全性。并且,客户端通过UDP SPA方式进行授权认证,可以保证端口隐私,且对服务器的开销影响较小。
在本实施例中提供了一种授权通信方法,可应用于上述的网关。图5是根据本发明实施例的授权通信方法的流程图,如图5所示,该流程包括以下步骤S501至步骤S504。
步骤S501,获取客户端基于用户数据报协议发送的SPA报文。
本实施例中,当客户端需要进行单包授权认证时,即可基于用户数据报协议向网关发送相应的SPA报文,以请求进行UDP SPA认证;其中,客户端封装并发送SPA报文的过程可参见图3所示实施例的相关描述,此处不再赘述。
步骤S502,对SPA报文进行解析处理,提取出相应的认证信息;该认证信息包括随机数、客户端请求访问的服务器的端口号范围和客户端的源IP地址。
网关接收到客户端发送的SPA报文后,即可对其进行解析,提取出其中包含的信息。基于图3所示实施例可知,该SPA报文包括认证信息,且该认证信息包括随机数、客户端请求访问的服务器的端口号范围,以及客户端的源IP地址。
步骤S503,根据认证信息对客户端进行鉴权处理。
本实施例中,网关解析出认证信息后,即可基于该认证信息对客户端进行鉴权处理,以实现单包授权认证,验证该客户端是否合法。
例如,参见图4所示,网关接收到SPA报文后,可以对该SPA报文进行解析,提取出SPA报文中包含的SPA密钥(即客户端生成的SPA密钥);并且,基于与客户端相同的加密算法还可以计算得到SPA密钥。网关对比SPA报文中包含的SPA密钥以及得到SPA密钥,若两个SPA密钥相同,则可认为该SPA报文未被篡改,该客户端鉴权成功,即可以认定该客户端是合法的。
此外,网关还可以检测该SPA报文是否重放,以防止重放攻击。例如,在认证信息中包含时间戳的情况下,基于该时间戳也可以检测SPA报文是否重放。或者,由于客户端每次生成的随机数一般是不同的,故网关接收到某客户端发送的SPA报文后,可以检测该SPA报文中的随机数与该客户端发送的其他SPA报文(例如,来自于同一源IP地址的SPA报文)中的随机数是否相同,若两个随机数相同,则可认为本次的SPA报文属于重放攻击。换句话说,本实施例中的随机数除了可以用于选取出随机的目的端口之外,还可以用于重放检测。
若SPA报文未被篡改,且不存在重放问题,则该SPA报文通过鉴权,即客户端鉴权成功。
步骤S504,在鉴权成功的情况下,按照预设映射规则,将随机数映射至端口号范围内的端口号,作为允许客户端访问的目的端口号,并向源IP地址开放访问目的端口号对应的目的端口的权限。
本实施例中,若鉴权成功,则可认为该客户端是合法的,从而可以向客户端开放允许其访问的端口,即目的端口。其中,该目的端口并不是固定的,而是基于该SPA报文中的随机数和端口号范围生成的。
具体地,网关按照预设映射规则,可以确定端口号范围内的哪一端口号与该随机数是相映射的,将与该随机数相映射的端口号作为允许客户端访问的目的端口;其中,该预设映射规则是与客户端之间预先约定好的规则,例如取余规则等,使得客户端基于该随机数和端口号范围,也能够确定相同的目的端口。
可选地,网关确定目的端口后,可以设置相应的防火墙规则。其中,上述步骤“向源IP地址开放访问目的端口号对应的目的端口的权限”可以包括:设置第一防火墙规则;该第一防火墙规则用于允许源IP地址访问目的端口,从而向源IP地址开放访问目的端口号对应的目的端口的权限,允许该源IP地址的终端访问服务器的目的端口。该源IP地址一般为公网源IP地址。
本实施例提供的授权通信方法,网关获取到客户端发送的SPA报文后,对其进行鉴权,并在鉴权成功后,基于解析出的随机数和端口号范围选取出向该客户端开放的目的端口,从而允许客户端访问目的端口。由于该目的端口是随机的,其并不是固定,从而可以有效避免非法终端伪造报文,未经过SPA认证的非法终端未正确访问该目的端口的情况下,可以禁止非法终端的访问行为,从而可以有效防止敲门放大漏洞,能够提高安全性。并且,客户端通过UDP SPA方式进行授权认证,可以保证端口隐私,且服务器所需开销较少,对服务器的开销影响较小。
在一些可选的实施方式中,网关接收到客户端发送的SPA报文之后,还可能接收到该客户端发送的用于建立通信连接的第一连接报文,并进一步建立相应的防火墙规则。具体地,该方法还包括步骤B1至步骤B2。
步骤B1,根据SPA报文判断客户端是否存在网络地址转换。
若客户端不存在网络地址转换(NAT)的情况,则一般不存在敲门放大漏洞的问题;本实施例中,主要对处于NAT场景下的客户端设置防火墙规则。
可选地,上述步骤B1“根据SPA报文判断客户端是否存在网络地址转换”可以包括以下步骤B11至步骤B13。
步骤B11,解析出SPA报文的报文头中的第一源IP地址和报文载荷中的第二源IP地址。
步骤B12,判断第一源IP地址与第二源IP地址是否相同。
步骤B13,在第一源IP地址与第二源IP地址不同的情况下,确定客户端存在网络地址转换。
本实施中,SPA报文的报文头中和报文载荷中均设有源IP地址,一般情况下,两个源IP地址是相同的;但在NAT场景下,报文头中的第一源IP地址会发生变化,从而导致第一源IP地址与第二源IP地址不同,故通过判断第一源IP地址与第二源IP地址是否相同,即可简单方便地确定客户端是否存在网络地址转换。
图6示出了NAT场景下的一种通信示意图。如图6所示,客户端A与客户端B位于同一局域网,二者的源IP地址分别为1.1.1.1和2.2.2.2;并且,客户端A与客户端B均需要通过某NAT网关(例如,路由器)访问服务器,且该NAT网关的公网IP地址为3.3.3.3,服务器的公网IP地址为4.4.4.4。
客户端A发起单包授权认证时,其封装SPA报文,并将该SPA报文发送至NAT网关,此时,SPA报文的报文头和报文载荷中的源IP地址均为1.1.1.1;但经过NAT网关处理后,会将SPA报文头中的源IP地址修改为NAT网关的公网IP地址,并发送至服务器侧的网关(即上述执行该授权通信方法的网关),使得网关接收到的SPA报文中,报文头内的源IP地址是3.3.3.3,其与报文载荷中的源IP地址(1.1.1.1)不同,故该网关可以确定该客户端A处于NAT场景下。
在客户端A的SPA报文鉴权成功后,网关即可向源IP地址开放目的端口,可以理解,该源IP地址是报文头中的源IP地址。在NAT场景下,网关实际上是向第一源IP地址开放目的端口,即向NAT网关开放目的端口。具体地,网关可以基于服务器的公网IP地址(例如4.4.4.4)、随机选取的目的端口以及接收到的报文头中的源IP地址(例如3.3.3.3)构建相应的防火墙规则,以用于后续连接的匹配。
步骤B2,在客户端存在网络地址转换的情况下,根据客户端发送的第一连接报文,设置第二防火墙规则。其中,第一连接报文包括第一源端口号,第二防火墙规则用于阻止源IP地址所对应的源端口中,除第一源端口号对应的源端口之外的其他源端口访问目的端口。
本实施例中,如上述步骤A1的相关描述所示,客户端向网关发送SPA报文后,可以尝试与服务器的目的端口之间建立通信连接,即客户端可以向网关发送的第一连接报文,该第一连接报文用于与服务器的目的端口建立通信连接;相应地,网关可以接收到该客户端发送的第一连接报文。并且,该第一连接报文包括第一源端口号,例如客户端所在终端的源端口号。
若网关接收到客户端发送的SPA报文,之后又接收到该客户端发送的第一连接报文,即网关允许客户端通过相应的源端口(第一源端口号对应的源端口)访问服务器的目的端口。并且,网关也可以设置相应的第二防火墙规则,该第二防火墙规则用于阻止源IP地址所对应的源端口中,除第一源端口号对应的源端口之外的其他源端口访问目的端口。换句话说,该源IP地址的其他源端口不能访问目的端口。
其中,在网关接收到客户端发送的SPA报文,若首次接收到来自该源IP地址的连接报文时,即可认为该连接报文是客户端发送的第一连接报文,并与该客户端建立通信连接,设置第二防火墙规则,使得客户端能够正常访问服务器。
可选地,可以基于转换标记,表示客户端是否存在网络地址转换。具体地,如图7所示,本实施例提供的授权通信方法可以包括以下步骤S701至步骤S710。
步骤S701,获取客户端基于用户数据报协议发送的SPA报文。
步骤S702,对SPA报文进行解析处理,提取出相应的认证信息;该认证信息包括随机数、客户端请求访问的服务器的端口号范围和客户端的源IP地址。
步骤S703,根据认证信息对客户端进行鉴权处理。
步骤S704,在鉴权成功的情况下,设置第一防火墙规则。该第一防火墙规则用于允许源IP地址访问目的端口。
步骤S705,根据SPA报文判断客户端是否存在网络地址转换。在客户端存在网络地址转换的情况下,执行步骤S706;否则,直接执行步骤S707。
步骤S706,为客户端的认证信息设置用于表示客户端存在网络地址转换的转换标记。
步骤S707,获取客户端发送的用于与目的端口建立通信连接的第一连接报文;该第一连接报文包括第一源端口号。
可以理解,该步骤S707在步骤S701之后执行即可,即网关可以先执行步骤S707,之后再执行步骤S705等;此时,在根据SPA报文判断客户端存在网络地址转换的情况下,若接收到客户端发送的第一连接报文,则执行后续步骤S708。
步骤S708,判断客户端的认证信息是否设有转换标记。在客户端的认证信息设有转换标记的情况下,执行步骤S709;否则直接执行步骤S710,即此时不需要另外设置防火墙规则。
步骤S709,设置第二防火墙规则;该第二防火墙规则用于阻止源IP地址所对应的源端口中,除第一源端口号对应的源端口之外的其他源端口访问目的端口。
步骤S710,向服务器转发第一连接报文,以建立服务器与客户端之间的通信连接。
本实施例中,对于NAT场景下的客户端,基于其源端口号(即第一源端口号)设置第二防火墙规则,可以限制只有该源IP地址的第一源端口号能够访问服务器的目的端口,从而可以进一步提高通信安全,防止恶意攻击。
具体地,在建立第二防火墙规则之后,该方法还包括以下步骤C1至步骤C4。
步骤C1,网关在获取到来自源IP地址的用于与目的端口建立通信连接的第二连接报文的情况下,确定第二连接报文中的第二源端口号。
步骤C2,判断第二源端口号与第一源端口号是否相同。
步骤C3,在第二源端口号与第一源端口号相同的情况下,向服务器转发第二连接报文。
步骤C4,在第二源端口号与第一源端口号不同的情况下,拦截第二连接报文。
本实施例中,在网关设置只允许源IP地址的第一源端口号对应的源端口与目的端口建立通信连接的第二防火墙规则之后,若再次获取到来自该源IP地址的用于与该目的端口建立通信连接的第二连接报文,则可以基于该第二连接报文中的源端口号(即第二源端口号)进一步判断相应终端的合法性。
具体地,在NAT场景下,不同客户端经NAT网关后,会被分配不同的源端口,若当前第二连接报文中的第二源端口号与经过SPA认证的第一源端口号不同,则可确定此时发起第二连接报文的客户端并未通过SPA认证,可以拦截第二连接报文,从而拒绝与该客户端建立通信连接;若第二源端口号与第一源端口号相同,则可认为再次发起第二连接报文的客户端仍然是最开始发送SPA报文的客户端,故网关可以向服务器转发第二连接报文,以建立通信连接。
例如,参见图6所示,在客户端A通过SPA认证后,即可通过NAT网关与服务器随机的目的端口建立通信连接。若在目的端口开放的周期内,与该客户端A处于同一局域网的客户端B(正常用户的客户端,或者攻击者所用的客户端)也向网关发起第二连接报文,虽然该第二连接报文的源IP地址也是NAT网关的公网IP地址,但若客户端B并未正确指定需要访问的目的端口,则服务器拒绝与该客户端B建立连接。
进一步地,即使客户端B通过某些方式指定了正确的目的端口,但由于其连接报文中的源端口号(即第二源端口号)与第二防火墙规则中的第一源端口号不同,故网关也可以确定该客户端B是非法终端的客户端,此时也可以拦截第二连接报文,即只允许首次发起的连接建立,这样能够阻止后续利用该敲门漏洞的客户端连接,有效避免敲门放大漏洞的问题,可以进一步提高安全性。
在本实施例中还提供了一种授权通信装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种授权通信装置,应用于客户端,如图8所示,包括:
预处理模块801,用于随机生成随机数,并指定请求访问的服务器的端口号范围;
封装模块802,用于根据认证信息封装SPA报文;所述认证信息包括所述随机数、所述端口号范围和所述客户端的源IP地址;
发送模块803,用于基于用户数据报协议,将所述SPA报文发送至网关,指示所述网关开放访问目的端口号对应的目的端口的权限;所述目的端口号是按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号。
在一些可选的实施方式中,所述发送模块803还用于:
按照所述预设映射规则,将所述随机数映射为所述端口号范围内的所述目的端口号;
在将所述SPA报文发送至所述网关之后,向所述网关发送用于与所述目的端口号对应的目的端口建立通信连接的第一连接报文;所述第一连接报文包括第一源端口号。
本实施例提供一种授权通信装置,应用于网关,如图9所示,包括:
获取模块901,用于获取客户端基于用户数据报协议发送的SPA报文;
解析模块902,用于对所述SPA报文进行解析处理,提取出相应的认证信息;所述认证信息包括随机数、所述客户端请求访问的服务器的端口号范围和所述客户端的源IP地址;
鉴权模块903,用于根据所述认证信息对所述客户端进行鉴权处理;
处理模块904,用于在鉴权成功的情况下,按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号,作为允许所述客户端访问的目的端口号,并向所述源IP地址开放访问所述目的端口号对应的目的端口的权限。
在一些可选的实施方式中,所述处理模块904向所述源IP地址开放访问所述目的端口号对应的目的端口的权限,包括:
设置第一防火墙规则;所述第一防火墙规则用于允许所述源IP地址访问所述目的端口。
在一些可选的实施方式中,所述处理模块904还用于:
根据所述SPA报文判断所述客户端是否存在网络地址转换;
在所述客户端存在网络地址转换的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则;所述第一连接报文包括第一源端口号,所述第二防火墙规则用于阻止所述源IP地址所对应的源端口中,除所述第一源端口号对应的源端口之外的其他源端口访问所述目的端口。
在一些可选的实施方式中,所述处理模块904根据所述客户端发送的第一连接报文,设置第二防火墙规则,包括:
为所述客户端的认证信息设置用于表示所述客户端存在网络地址转换的转换标记;
在获取到所述客户端发送的第一连接报文之后,判断所述客户端的认证信息是否设有转换标记;
在所述客户端的认证信息设有转换标记的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则。
在一些可选的实施方式中,所述处理模块904在设置第二防火墙规则之后,还用于:
在所述获取模块901获取到来自所述源IP地址的用于与所述目的端口建立通信连接的第二连接报文的情况下,确定所述第二连接报文中的第二源端口号;
根据所述第二防火墙规则,判断所述第二源端口号与所述第一源端口号是否相同;
在所述第二源端口号与所述第一源端口号相同的情况下,向所述服务器转发所述第二连接报文;
在所述第二源端口号与所述第一源端口号不同的情况下,拦截所述第二连接报文。
在一些可选的实施方式中,所述处理模块904根据所述SPA报文判断所述客户端是否存在网络地址转换,包括:
解析出所述SPA报文的报文头中的第一源IP地址和报文载荷中的第二源IP地址;
判断所述第一源IP地址与所述第二源IP地址是否相同;
在所述第一源IP地址与所述第二源IP地址不同的情况下,确定所述客户端存在网络地址转换。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本实施例中的授权通信装置是以功能单元的形式来呈现,这里的单元是指ASIC(Application Specific Integrated Circuit,专用集成电路)电路,包括执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
本发明实施例还提供一种计算机设备,具有上述图8或图9所示的授权通信装置。例如,该计算机设备可以为网关,或者客户端所在的终端。
请参阅图10,图10是本发明可选实施例提供的一种计算机设备的结构示意图,如图10所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图10中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,所述存储器20存储有可由至少一个处理器10执行的指令,以使所述至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。本领域技术人员应能理解,计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等,相应地,计算机程序指令被计算机执行的方式包括但不限于:该计算机直接执行该指令,或者该计算机编译该指令后再执行对应的编译后程序,或者该计算机读取并执行该指令,或者该计算机读取并安装该指令后再执行对应的安装后程序。在此,计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (13)
1.一种授权通信方法,其特征在于,应用于客户端,所述方法包括:
随机生成随机数,并指定请求访问的服务器的端口号范围;
根据认证信息封装SPA报文;所述认证信息包括所述随机数、所述端口号范围和所述客户端的源IP地址;
基于用户数据报协议,将所述SPA报文发送至网关,指示所述网关开放访问目的端口号对应的目的端口的权限;所述目的端口号是按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号。
2.根据权利要求1所述的方法,其特征在于,还包括:
按照所述预设映射规则,将所述随机数映射为所述端口号范围内的所述目的端口号;
在将所述SPA报文发送至所述网关之后,向所述网关发送用于与所述目的端口号对应的目的端口建立通信连接的第一连接报文;所述第一连接报文包括第一源端口号。
3.一种授权通信方法,其特征在于,应用于网关,所述方法包括:
获取客户端基于用户数据报协议发送的SPA报文;
对所述SPA报文进行解析处理,提取出相应的认证信息;所述认证信息包括随机数、所述客户端请求访问的服务器的端口号范围和所述客户端的源IP地址;
根据所述认证信息对所述客户端进行鉴权处理;
在鉴权成功的情况下,按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号,作为允许所述客户端访问的目的端口号,并向所述源IP地址开放访问所述目的端口号对应的目的端口的权限。
4.根据权利要求3所述的方法,其特征在于,所述向所述源IP地址开放访问所述目的端口号对应的目的端口的权限,包括:
设置第一防火墙规则;所述第一防火墙规则用于允许所述源IP地址访问所述目的端口。
5.根据权利要求3所述的方法,其特征在于,还包括:
根据所述SPA报文判断所述客户端是否存在网络地址转换;
在所述客户端存在网络地址转换的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则;所述第一连接报文包括第一源端口号,所述第二防火墙规则用于阻止所述源IP地址所对应的源端口中,除所述第一源端口号对应的源端口之外的其他源端口访问所述目的端口。
6.根据权利要求5所述的方法,其特征在于,所述根据所述客户端发送的第一连接报文,设置第二防火墙规则,包括:
为所述客户端的认证信息设置用于表示所述客户端存在网络地址转换的转换标记;
在获取到所述客户端发送的第一连接报文之后,判断所述客户端的认证信息是否设有转换标记;
在所述客户端的认证信息设有转换标记的情况下,根据所述客户端发送的第一连接报文,设置第二防火墙规则。
7.根据权利要求5所述的方法,其特征在于,在所述设置第二防火墙规则之后,还包括:
在获取到来自所述源IP地址的用于与所述目的端口建立通信连接的第二连接报文的情况下,确定所述第二连接报文中的第二源端口号;
根据所述第二防火墙规则,判断所述第二源端口号与所述第一源端口号是否相同;
在所述第二源端口号与所述第一源端口号相同的情况下,向所述服务器转发所述第二连接报文;
在所述第二源端口号与所述第一源端口号不同的情况下,拦截所述第二连接报文。
8.根据权利要求5所述的方法,其特征在于,所述根据所述SPA报文判断所述客户端是否存在网络地址转换,包括:
解析出所述SPA报文的报文头中的第一源IP地址和报文载荷中的第二源IP地址;
判断所述第一源IP地址与所述第二源IP地址是否相同;
在所述第一源IP地址与所述第二源IP地址不同的情况下,确定所述客户端存在网络地址转换。
9.一种授权通信装置,其特征在于,应用于客户端,所述装置包括:
预处理模块,用于随机生成随机数,并指定请求访问的服务器的端口号范围;
封装模块,用于根据认证信息封装SPA报文;所述认证信息包括所述随机数、所述端口号范围和所述客户端的源IP地址;
发送模块,用于基于用户数据报协议,将所述SPA报文发送至网关,指示所述网关开放访问目的端口号对应的目的端口的权限;所述目的端口号是按照预设映射规则,将所述随机数映射至所述端口号范围内的端口号。
10.一种授权通信装置,其特征在于,应用于网关,所述装置包括:
获取模块,用于获取客户端基于用户数据报协议发送的SPA报文;
解析模块,用于对所述SPA报文进行解析处理,提取出相应的认证信息;所述认证信息包括随机数、所述客户端请求访问的服务器的端口号范围和所述客户端的源IP地址;
鉴权模块,用于根据所述认证信息对所述客户端进行鉴权处理;
处理模块,用于在鉴权成功的情况下,按照预设映射规则,根据所述随机数从所述端口号范围内选取出允许所述客户端访问的目的端口号,并向所述源IP地址开放访问所述目的端口号对应的目的端口的权限。
11.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至2或3至8中任一项所述的授权通信方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至2或3至8中任一项所述的授权通信方法。
13.一种计算机程序产品,其特征在于,包括计算机指令,所述计算机指令用于使计算机执行权利要求1至2或3至8中任一项所述的授权通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410720217.3A CN118300899B (zh) | 2024-06-05 | 2024-06-05 | 授权通信方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410720217.3A CN118300899B (zh) | 2024-06-05 | 2024-06-05 | 授权通信方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118300899A true CN118300899A (zh) | 2024-07-05 |
| CN118300899B CN118300899B (zh) | 2024-10-18 |
Family
ID=91688341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410720217.3A Active CN118300899B (zh) | 2024-06-05 | 2024-06-05 | 授权通信方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118300899B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389813A (zh) * | 2021-11-26 | 2022-04-22 | 北京升明科技有限公司 | 浏览器的访问授权方法、装置、设备和存储介质 |
| CN114615329A (zh) * | 2022-03-08 | 2022-06-10 | 北京从云科技有限公司 | 一种无客户端sdp架构实现方法及系统 |
| CN116232683A (zh) * | 2023-01-04 | 2023-06-06 | 浙江中智达科技有限公司 | 一种工业微服务系统的认证方法、装置和计算机介质 |
| WO2023125712A1 (zh) * | 2021-12-31 | 2023-07-06 | 中兴通讯股份有限公司 | 单包授权的状态检测方法、终端设备及存储介质 |
| CN116781410A (zh) * | 2023-08-03 | 2023-09-19 | 上海安几科技有限公司 | 一种基于sdp架构的网络访问控制方法 |
| CN116866010A (zh) * | 2023-06-16 | 2023-10-10 | 新华三技术有限公司 | 端口控制方法及装置 |
| CN116996257A (zh) * | 2023-06-26 | 2023-11-03 | 新华三信息安全技术有限公司 | 一种udp端口的认证方法、网络设备和存储介质 |
| US11831638B1 (en) * | 2021-04-19 | 2023-11-28 | Amazon Technologies, Inc. | Single-packet authorization using proof of work |
| CN117768137A (zh) * | 2023-04-27 | 2024-03-26 | 中国银联股份有限公司 | 远程办公系统和在远程办公系统中提供安全机制的方法 |
| CN117834268A (zh) * | 2024-01-02 | 2024-04-05 | 国网智能电网研究院有限公司 | 一种提升单包授权中认证过程安全性的方法及装置 |
| CN118074974A (zh) * | 2024-02-21 | 2024-05-24 | 湖州市西塞数字安全研究院 | 解决敲门请求地址与真实访问地址不一致的方法及系统 |
-
2024
- 2024-06-05 CN CN202410720217.3A patent/CN118300899B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11831638B1 (en) * | 2021-04-19 | 2023-11-28 | Amazon Technologies, Inc. | Single-packet authorization using proof of work |
| CN114389813A (zh) * | 2021-11-26 | 2022-04-22 | 北京升明科技有限公司 | 浏览器的访问授权方法、装置、设备和存储介质 |
| WO2023125712A1 (zh) * | 2021-12-31 | 2023-07-06 | 中兴通讯股份有限公司 | 单包授权的状态检测方法、终端设备及存储介质 |
| CN114615329A (zh) * | 2022-03-08 | 2022-06-10 | 北京从云科技有限公司 | 一种无客户端sdp架构实现方法及系统 |
| CN116232683A (zh) * | 2023-01-04 | 2023-06-06 | 浙江中智达科技有限公司 | 一种工业微服务系统的认证方法、装置和计算机介质 |
| CN117768137A (zh) * | 2023-04-27 | 2024-03-26 | 中国银联股份有限公司 | 远程办公系统和在远程办公系统中提供安全机制的方法 |
| CN116866010A (zh) * | 2023-06-16 | 2023-10-10 | 新华三技术有限公司 | 端口控制方法及装置 |
| CN116996257A (zh) * | 2023-06-26 | 2023-11-03 | 新华三信息安全技术有限公司 | 一种udp端口的认证方法、网络设备和存储介质 |
| CN116781410A (zh) * | 2023-08-03 | 2023-09-19 | 上海安几科技有限公司 | 一种基于sdp架构的网络访问控制方法 |
| CN117834268A (zh) * | 2024-01-02 | 2024-04-05 | 国网智能电网研究院有限公司 | 一种提升单包授权中认证过程安全性的方法及装置 |
| CN118074974A (zh) * | 2024-02-21 | 2024-05-24 | 湖州市西塞数字安全研究院 | 解决敲门请求地址与真实访问地址不一致的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118300899B (zh) | 2024-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9882876B2 (en) | System and method for redirected firewall discovery in a network environment | |
| US9781114B2 (en) | Computer security system | |
| US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
| US7313618B2 (en) | Network architecture using firewalls | |
| US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
| US11595385B2 (en) | Secure controlled access to protected resources | |
| US20090288158A1 (en) | Intelligent firewall | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US10050938B2 (en) | Highly secure firewall system | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| US11444958B2 (en) | Web server security | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN113612790B (zh) | 基于设备身份预认证的数据安全传输方法及装置 | |
| Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
| CN118300899B (zh) | 授权通信方法、装置、计算机设备及存储介质 | |
| WO2009005698A1 (en) | Computer security system | |
| Poulter et al. | pySRUP–simplifying secure communications for command & control in the Internet of Things | |
| KR101448711B1 (ko) | 통신 암호화를 통한 보안시스템 및 보안방법 | |
| US20220400525A1 (en) | Method and system for communicating over overlay networks | |
| Thangavel et al. | Session Hijacking over Cloud Environment: A Literature Survey | |
| CN117318932A (zh) | 一种基于Nginx插件的API防篡改与防重放的系统和方法 | |
| Hong et al. | Content-based control of HTTPs mail for implementation of IT-convergence security environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |