一种单包授权认证方法、装置、服务端和存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种单包授权认证方法、装置、服务端和存储介质。


背景技术：

2.传统的网络接入控制是先接入再认证，由于端口暴露在互联网上，很容易遭受安全攻击，从而产生各种安全威胁。单包授权认证(spa)是实现sdp网络隐身的核心网络安全协议。在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念，以此实现企业业务的网络隐身，从网络层面上实现无法连接、无法扫描。
3.单包授权认证spa是一种轻量级的安全协议，只使用单个包进行访问申请，通过将必要的信息集成在单个数据包内来简化敲门流程，在被允许访问网络前，需要对设备、用户的身份进行验证，验证通过才能打开服务器端口，建立网络访问，以此达到“网络隐身”。spa经历了两代的发展，第一代利用udp无需连接、无需响应的机制，通过对spa服务器发送数据包进行校验，只有校验通过才能建立连接。第二代采用tcp的实现，在tls握手过程中，通过加入otp动态码进行服务器校验，口令通过，才可允许连接主机接入。
4.采用udp敲门的方式，由于局域网中的客户机在访问公网时需要进行源地址转换snat，因此，只要同一网络中的任一客户机敲门成功，其他客户机均可访问，因此这种方式存在敲门放大漏洞。而通过tcp可靠连接的方式，相比于udp的方式，tcp连接能够建立，而阻断了tls的建立，过程中未能完全隐藏端口，仍存在端口暴露的问题。
5.同时，无论采用udp还是tcp连接的方式，黑客若截取了客户端发送的数据包，则可通过新的设备进行模拟敲门，从而实施攻击，即存在重放攻击的可能性。


技术实现要素：

6.基于此，提供一种单包授权认证方法、装置、服务端和存储介质，以解决现有单纯udp敲门方式存在敲门放大漏洞、单纯tcp敲门方式无法完全隐藏服务器端口，并且两种敲门方式均面临重放攻击的可能性的技术问题。
7.为了实现上述目的，本技术提供如下技术方案：
8.第一方面，一种单包授权认证方法，应用于服务端，所述方法包括：
9.s1，接收客户端设备轮询发送过来的udp敲门包，所述udp敲门包包含所述客户端设备的设备指纹和身份信息；
10.s2，对所述udp敲门包进行验证，判断是否敲门成功；
11.s3，若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，所述tcp数据包包含所述客户端设备的设备指纹；
12.s4，对所述udp敲门包和tcp数据包中的所述客户端设备的设备指纹进行比对，判断所述客户端设备的设备指纹是否发生改变；
13.s5，若判定没有发生改变，持续接收所述客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略；
14.s6，当判定符合要求，建立与所述客户端设备之间的连接通道；当判定不符合要求，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。
15.可选地，所述身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳；所述时间戳和登录账号由所述客户端设备本地生成的rsa私钥进行加密。
16.进一步可选地，所述对所述udp敲门包进行验证，判断是否敲门成功包括：
17.采用所述客户端设备的rsa公钥对数据包进行解密，得到时间戳和登录账号信息；
18.对解密后得到的时间戳和登录账号信息进行验证，验证时间戳的有效性以及登录账号的合法性；
19.若验证时间戳有效以及登录账号合法，则判定敲门成功。
20.可选地，所述终端环境信息包括客户端设备ip地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
21.进一步可选地，所述判断用户行为和客户端设备的终端环境信息是否符合要求包括：
22.判断用户访问时间是否在预设许可时间段内；
23.判断客户端设备是否在授信列表内；
24.若用户访问时间在预设许可时间段内，并且客户端设备在授信列表内，则判定符合要求。
25.可选地，步骤s6还包括：
26.接收通过所述连接通道的相应ip端口发来的数据包，并识别其中的身份信息；
27.若识别得到的身份信息与所述udp敲门包中的身份信息不一致，将接收得到的数据包进行丢弃处置。
28.第二方面，一种单包授权认证装置，包括：
29.udp敲门包接收模块，用于接收客户端设备轮询发送过来的udp敲门包，所述udp敲门包包含所述客户端设备的设备指纹和身份信息；
30.敲门验证模块，用于对所述udp敲门包进行验证，判断是否敲门成功；
31.tcp数据包接收模块，用于若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，所述tcp数据包包含所述客户端设备的设备指纹；
32.设备指纹比对模块，用于对所述udp敲门包和tcp数据包中的所述客户端设备的设备指纹进行比对，判断所述客户端设备的设备指纹是否发生改变；
33.终端环境信息接收模块，用于若判定没有发生改变，持续接收所述客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略；
34.连接通道建立模块，用于当判定符合要求，建立与所述客户端设备之间的连接通道；当判定不符合要求，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲
门阻止策略。
35.第三方面，一种单包授权认证服务端，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面中任一项所述的方法的步骤。
36.第四方面，一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。
37.本发明至少具有以下有益效果：
38.本发明实施例提供的一种单包授权认证方法中，采用udp+tcp+设备指纹(dfp)“3p敲门”的方式实现单包授权认证，避免了单纯使用tcp敲门方式无法完全隐藏服务器端口的缺陷；在授权认证过程中，通过设备指纹技术进行设备唯一性标识，敲门过程中当发现设备唯一性标识发生改变，便进行策略阻止，能够确保就算同一网络中有一客户机敲门成功，其他客户机由于设备指纹不同仍然无法访问，并且能够确保哪怕黑客若截取了客户端发送的数据包，也无法更换设备进行模拟敲门；因此本技术实施例所提供的单包授权认证方法还解决了udp敲门方式存在敲门放大漏洞的问题，同时能够防止重放攻击。
附图说明
39.图1为本发明一个实施例提供的一种单包授权认证方法的流程示意图；
40.图2为本发明一个实施例提供的一种单包授权认证方法的另一种流程示意图；
41.图3为本发明一个实施例提供的一种单包授权认证装置的模块架构框图；
42.图4为本发明一个实施例提供的一种单包授权认证服务端的内部结构图。
具体实施方式
43.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
44.在一个实施例中，如图1所示，提供了一种单包授权认证方法，该方法应用于服务端，包括以下步骤：
45.s1，接收客户端设备轮询发送过来的udp敲门包，udp敲门包包含客户端设备的设备指纹和身份信息。
46.其中，设备指纹也就是设备唯一性标识dfp；身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳；时间戳和登录账号由客户端设备本地生成的rsa私钥进行加密。
47.身份信息具体还可以包括：浏览器信息(useragent、language、screen、font、plugin、mime、syslang、platform，均为hash值)、canvas图形绘制数据(声卡audio采样数据、显卡gpu采样数据、绘制采样数据)。
48.s2，对udp敲门包进行验证，判断是否敲门成功。
49.具体来说，对udp敲门包进行验证，判断是否敲门成功的验证过程包括：
50.a)采用客户端设备的rsa公钥对数据包进行解密，得到时间戳和登录账号信息；其中，数据包指的是udp敲门包的数据包；
51.b)对解密后得到的时间戳和登录账号信息进行验证，验证时间戳的有效性以及登
录账号的合法性；
52.c)若验证时间戳有效以及登录账号合法，则判定敲门成功。
53.s3，若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，tcp数据包包含客户端设备的设备指纹。
54.s4，对udp敲门包和tcp数据包中的客户端设备的设备指纹进行比对，判断客户端设备的设备指纹是否发生改变。
55.也就是判断tcp数据包中的设备指纹是否与udp敲门包中的设备指纹一致。
56.s5，若判定没有发生改变，持续接收客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。
57.其中，终端环境信息具体包括客户端设备ip地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
58.具体来说，判断用户行为和终端环境信息是否符合要求包括：
59.a)判断用户访问时间是否在预设许可时间段内；
60.b)判断用户所用客户端设备是否在授信列表内；可以通过客户端设备ip地址判断该设备是否在授信列表内；
61.c)若用户访问时间在预设许可时间段内，并且客户端设备在授信列表内，则判定符合要求；若用户访问时间不在预设许可时间段内，并且客户端设备不在授信列表内，则判定异常、不符合要求。
62.s6，当判定符合要求，建立与客户端设备之间的连接通道；当判定不符合要求，关闭数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。
63.进一步地，步骤s6还包括：
64.接收通过连接通道的相应ip端口发来的数据包，并识别其中的身份信息；
65.若识别得到的身份信息与udp敲门包中的身份信息不一致，将接收得到的数据包进行丢弃处置。
66.上述方法的另一种流程示意图可参见图2。
67.简单来说，该单包授权认证方法包括以下步骤：
68.1、客户端轮询发送udp包(包含设备唯一性标识dfp、用户身份信息)，服务端进行验证，验证通过，打开服务端端口，建立传输隧道。
69.2、客户端轮询发送tcp包(含计算设备唯一性标识dfp的相关向量)，服务端进行设备唯一性标识比对判定，当发现设备唯一性标识dfp发生改变时，下发二次认证或敲门阻止等策略。
70.3、持续上报设备终端环境信息，当环境信息或用户行为产生异常，下发二次认证或敲门阻止策略。
71.本发明实施例的目的在于针对单包授权认证spa进行优化，以克服现有udp敲门存在的敲门放大漏洞问题，克服现有tcp敲门无法完全隐藏服务器端口的问题，克服现有两种敲门方式所面临重放攻击的可能性。
72.上述一种单包授权认证方法中，采用udp+tcp+dfp“3p敲门”的方式实现单包授权认证，dfp指设备指纹，即设备唯一性标识，是对现有单包授权认证spa的优化。
73.该单包授权认证方法能够通过设备指纹技术进行设备唯一性标识dfp，敲门过程中当发现设备唯一性标识发生改变，进行策略阻止，防止重放攻击；采用终端环境感知和用户行为分析技术，当终端环境和用户访问出现异常时，进行访问阻止；采用单包授权认证spa时，携带了用户身份信息，通过udp敲门打开ip端口后，针对该ip下其他用户的数据包进行丢弃处置。
74.综上，本技术实施例所提供的单包授权认证方法，具有以下优点：
75.1、解决了单包授权认证spa单纯采用udp作为传输协议而产生敲门放大漏洞的问题；
76.2、解决了单包授权认证spa单纯采用tcp作为传输协议而无法进行端口隐藏的问题；
77.3、解决了现有单包授权认证spa可能存在的重放攻击问题。
78.4、优化单包授权认证spa能力，敲门成功仍然会对用户身份和设备身份进行持续校验。
79.应该理解的是，虽然图1-2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-2中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
80.在一个实施例中，如图3所示，提供了一种单包授权认证装置，包括以下程序模块：
81.udp敲门包接收模块301，用于接收客户端设备轮询发送过来的udp敲门包，udp敲门包包含客户端设备的设备指纹和身份信息。
82.其中，设备指纹也就是设备唯一性标识dfp；身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳；时间戳和登录账号由客户端设备本地生成的rsa私钥进行加密。
83.身份信息具体还可以包括：浏览器信息(useragent、language、screen、font、plugin、mime、syslang、platform，均为hash值)、canvas图形绘制数据(声卡audio采样数据、显卡gpu采样数据、绘制采样数据)。
84.敲门验证模块302，用于对udp敲门包进行验证，判断是否敲门成功。
85.具体来说，对udp敲门包进行验证，判断是否敲门成功的验证过程包括：
86.a)采用客户端设备的rsa公钥对数据包进行解密，得到时间戳和登录账号信息；其中，数据包指的是udp敲门包的数据包；
87.b)对解密后得到的时间戳和登录账号信息进行验证，验证时间戳的有效性以及登录账号的合法性；
88.c)若验证时间戳有效以及登录账号合法，则判定敲门成功。
89.tcp数据包接收模块303，用于若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，tcp数据包包含客户端设备的设备指纹。
90.设备指纹比对模块304，用于对udp敲门包和tcp数据包中的客户端设备的设备指纹进行比对，判断客户端设备的设备指纹是否发生改变。
91.也就是判断tcp数据包中的设备指纹是否与udp敲门包中的设备指纹一致。
92.终端环境信息接收模块305，用于若判定没有发生改变，持续接收客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。
93.其中，终端环境信息具体包括客户端设备ip地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。
94.具体来说，判断用户行为和终端环境信息是否符合要求包括：
95.a)判断用户访问时间是否在预设许可时间段内；
96.b)判断用户所用客户端设备是否在授信列表内；可以通过客户端设备ip地址判断该设备是否在授信列表内；
97.c)若用户访问时间在预设许可时间段内，并且客户端设备在授信列表内，则判定符合要求；若用户访问时间不在预设许可时间段内，并且客户端设备不在授信列表内，则判定异常、不符合要求。
98.连接通道建立模块306，用于当判定符合要求，建立与客户端设备之间的连接通道；当判定不符合要求，关闭数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。
99.进一步地，连接通道建立模块306还用于：
100.接收通过连接通道的相应ip端口发来的数据包，并识别其中的身份信息；
101.若识别得到的身份信息与udp敲门包中的身份信息不一致，将接收得到的数据包进行丢弃处置。
102.关于一种单包授权认证装置的具体限定可以参见上文中对于一种单包授权认证方法的限定，在此不再赘述。上述一种单包授权认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
103.在一个实施例中，提供了一种单包授权认证服务端，其内部结构图可以如图4所示。该单包授权认证服务端包括通过系统总线连接的处理器、存储器和网络接口。其中，该单包授权认证服务端的处理器用于提供计算和控制能力。该单包授权认证服务端的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该单包授权认证服务端的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述的一种单包授权认证方法。
104.本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
105.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，涉及上述实施例方法中的全部或部分流程。
106.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，涉及上述实施例方法中的全部或部分流程。
107.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-onlymemory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random accessmemory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(staticrandomaccessmemory，sram)或动态随机存取存储器(dynamicrandomaccessmemory，dram)等。
108.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
109.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种单包授权认证方法，其特征在于，应用于服务端，所述方法包括：s1，接收客户端设备轮询发送过来的udp敲门包，所述udp敲门包包含所述客户端设备的设备指纹和身份信息；s2，对所述udp敲门包进行验证，判断是否敲门成功；s3，若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，所述tcp数据包包含所述客户端设备的设备指纹；s4，对所述udp敲门包和tcp数据包中的所述客户端设备的设备指纹进行比对，判断所述客户端设备的设备指纹是否发生改变；s5，若判定没有发生改变，持续接收所述客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略；s6，当判定符合要求，建立与所述客户端设备之间的连接通道；当判定不符合要求，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。2.根据权利要求1所述的单包授权认证方法，其特征在于，所述身份信息包括敲门包类型、登录账号、客户端设备索引号和时间戳；所述时间戳和登录账号由所述客户端设备本地生成的rsa私钥进行加密。3.根据权利要求2所述的单包授权认证方法，其特征在于，所述对所述udp敲门包进行验证，判断是否敲门成功包括：采用所述客户端设备的rsa公钥对数据包进行解密，得到时间戳和登录账号信息；对解密后得到的时间戳和登录账号信息进行验证，验证时间戳的有效性以及登录账号的合法性；若验证时间戳有效以及登录账号合法，则判定敲门成功。4.根据权利要求1所述的单包授权认证方法，其特征在于，所述终端环境信息包括客户端设备ip地址、时间信息、杀毒软件运行状态、操作系统版本、屏幕锁定密码设置状态、防火墙状态和异常程序安装列表。5.根据权利要求4所述的单包授权认证方法，其特征在于，所述判断用户行为和客户端设备的终端环境信息是否符合要求包括：判断用户访问时间是否在预设许可时间段内；判断客户端设备是否在授信列表内；若用户访问时间在预设许可时间段内，并且客户端设备在授信列表内，则判定符合要求。6.根据权利要求1所述的单包授权认证方法，其特征在于，步骤s6还包括：接收通过所述连接通道的相应ip端口发来的数据包，并识别其中的身份信息；若识别得到的身份信息与所述udp敲门包中的身份信息不一致，将接收得到的数据包进行丢弃处置。7.一种单包授权认证装置，其特征在于，包括：udp敲门包接收模块，用于接收客户端设备轮询发送过来的udp敲门包，所述udp敲门包包含所述客户端设备的设备指纹和身份信息；敲门验证模块，用于对所述udp敲门包进行验证，判断是否敲门成功；
tcp数据包接收模块，用于若判定敲门成功，打开数据传输端口和tcp数据上报端口，接收客户端设备轮询发送过来的tcp数据包，所述tcp数据包包含所述客户端设备的设备指纹；设备指纹比对模块，用于对所述udp敲门包和tcp数据包中的所述客户端设备的设备指纹进行比对，判断所述客户端设备的设备指纹是否发生改变；终端环境信息接收模块，用于若判定没有发生改变，持续接收所述客户端设备发送过来的终端环境信息，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略；连接通道建立模块，用于当判定符合要求，建立与所述客户端设备之间的连接通道；当判定不符合要求，关闭所述数据传输端口和tcp数据上报端口，并下发二次认证或敲门阻止策略。8.一种单包授权认证服务端，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。

技术总结
本发明公开了一种单包授权认证方法、装置、服务端和存储介质。其中方法包括：接收客户端设备轮询发送过来的包含设备指纹的UDP敲门包；判断是否敲门成功；若判定敲门成功，接收客户端设备轮询发送过来的包含设备指纹的TCP数据包；判断设备指纹是否发生改变；若判定没有发生改变，判断用户行为和客户端设备的终端环境信息是否符合要求；若判定发生改变，关闭端口并下发二次认证或敲门阻止策略；当判定符合要求，建立连接通道；当判定不符合要求，关闭端口并下发二次认证或敲门阻止策略。本发明采用3P敲门方式，避免了TCP敲门方式无法完全隐藏服务器端口的缺陷，解决了UDP敲门方式存在敲门放大漏洞的问题，同时能够防止重放攻击。同时能够防止重放攻击。同时能够防止重放攻击。


技术研发人员：陈本峰 金祺昌
受保护的技术使用者：苏州云至深技术有限公司
技术研发日：2023.04.14
技术公布日：2023/8/4