一种单包授权中网络超隐身的实现方法及系统与流程

1.本发明属于通信处理技术领域，具体涉及一种单包授权中网络超隐身的实现方法及系统。


背景技术：

2.目前，现有的零信任技术架构中，使用udpspa单包授权实现网络服务的隐身，处于隐身状态的服务资源忽略并丢弃所有未经授权的访问。如需访问资源时，请求方须先发送spa数据包请求敲门，在spa包信息通过一系列认证后请求方才能获取访问服务资源的授权。
3.现有技术方案中，对spa进行授权认证的服务通常与被保护服务位于同一台主机上，或者在请求方发送敲门请求时，需要事先掌握并在spa请求包中携带被访问服务的具体地址以进行进一步的认证。但是这样却无形中在服务资源地址的分发上增加了暴露面。同时在处理高并发spa请求时，授权服务会额外消耗被保护服务带宽和处理器计算能力。


技术实现要素：

4.为此，本发明提供一种单包授权中网络超隐身的实现方法及系统，解决现有单包授权流程中，发起方需要事先获取被保护服务资源信息的问题，以在整个访问过程中完全隐藏被保护服务的真实地址，实现“超隐身”的目的。
5.为了实现上述目的，本发明提供如下技术方案：一种单包授权中网络超隐身的实现方法，包括：
6.nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；
7.所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；
8.所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；
9.所述nhp敲门验证服务器接收后台服务提供商返回的健全结果和所述请求发起方所请求的信息；
10.若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。
11.作为单包授权中网络超隐身的实现方法的优选方案，所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；
12.若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。
13.作为单包授权中网络超隐身的实现方法的优选方案，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息。
14.作为单包授权中网络超隐身的实现方法的优选方案，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。
15.作为单包授权中网络超隐身的实现方法的优选方案，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。
16.作为单包授权中网络超隐身的实现方法的优选方案，被保护资源在入口处采取全部否定原则，将所有入站的包默认情况下全部丢弃，以使被保护资源对于外部端口扫描和嗅探处于全隐身状态。
17.本发明还提供一种单包授权中网络超隐身的实现系统，包括：
18.udp敲门请求模块，用于nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；
19.解密验证模块，用于所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；
20.鉴权处理模块，用于所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；
21.返回信息接收模块，用于所述nhp敲门验证服务器接收后台服务提供商返回的健全结果和所述请求发起方所请求的信息；
22.放行配置模块，用于若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。
23.作为单包授权中网络超隐身的实现系统优选方案，还包括公钥获取模块，用于所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；
24.还包括请求丢弃处理模块，用于若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。
25.作为单包授权中网络超隐身的实现系统优选方案，还包括放行成功处理模块，用于所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息；
26.若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。
27.作为单包授权中网络超隐身的实现系统优选方案，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。
28.本发明的有益效果如下：通过nhp敲门验证服务器接收请求发起方的udp敲门请
求，udp敲门请求中携带用户与设备信息，udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；nhp敲门验证服务器收到udp敲门请求后，对请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证请求发起方的身份和访问策略，nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；nhp敲门验证服务器接收后台服务提供商返回的健全结果和请求发起方所请求的信息；若nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，nhp敲门验证服务器通知nhp门禁配置请求发起方会话的放行操作。本发明对现有的网络隐身技术在实际应用上做了更好地扩展，对验证逻辑和放行逻辑进行了物理上的分离，增加了请求发起方敲门验证流程的隐蔽性和稳定性，从而在整个请求方访问过程中完全隐藏被保护服务的真实地址，实现“超隐身”的目的。
附图说明
29.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其他的实施附图。
30.本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。
31.图1为本发明实施例中提供的单包授权中网络超隐身的实现方法流程示意图；
32.图2为本发明实施例中提供的单包授权中网络超隐身的实现方法技术架构；
33.图3为本发明实施例中提供的单包授权中网络超隐身的实现系统示意图。
具体实施方式
34.以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.在理解本实施例技术方案之前，周知的，零信任代表了新一代的网络安全防护理念，关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。
36.在理解本实施例技术方案之前，周知的，网络隐身是网络服务使用技术手段在网络中隐藏自身存在，对未经授权的外部访问不做出任何回复或响应，使外部攻击者无法窥探到任何可以利用的信息，实现自身的隐蔽和防护。
37.在理解本实施例技术方案之前，周知的，单包授权协议是一种轻量级的安全协议，
只使用单个数据包进行访问申请，通过将所有必要信息集成在单个数据包内来简化敲门流程，在允许访问网络前，先验证设备和用户身份，以此达到“网络隐身”，使攻击者无法找到服务地址和端口。
38.为了解决现有单包授权流程中，发起方需要事先获取被保护服务资源信息的问题，从而在整个请求方访问过程中完全隐藏被保护服务的真实地址，实现“超隐身”的目的。参见图1和图2，本发明实施例中，提供一种单包授权中网络超隐身的实现方法，包括以下步骤：
39.nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；
40.所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；
41.所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；
42.所述nhp敲门验证服务器接收后台服务提供商返回的健全结果和所述请求发起方所请求的信息；
43.若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。
44.本实施例中，所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息。若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。
45.本实施例中，被保护资源在入口处采取全部否定原则，将所有入站的包默认情况下全部丢弃，以使被保护资源对于外部端口扫描和嗅探处于全隐身状态。当请求发起方(客户端、浏览器、服务器等)需要访问被保护服务资源时，事先并不知道被保护资源的真实地址。请求发起方需要向nhp敲门验证服务器发送udp请求被保护资源的id进行敲门，当nhp敲门验证服务器通过证书签名验证、用户身份与策略验证后，通知nhp门禁服务单独放行请求发起方对被保护服务资源的访问。同时将服务真实地址返回给请求发起方。请求发起方在授权成功后可以对被保护服务进行访问。如果授权未能成功完成，请求发起方将不会收到nhp验证服务器的任何响应。
46.辅助图1和图2，整个单包授权中网络超隐身的实现过程的数据处理流程如下：
47.第一，请求发起方(可以是客户端、浏览器或者服务器)向nhp敲门验证服务器发送udp敲门请求，密文中携带用户与设备信息，并用会话应用编号appid作为唯一标识符表示需要访问的服务。这里请求发起方和nhp敲门验证服务器已经互相获取了对方证书公钥；
48.第二，nhp敲门验证服务器收到udp敲门请求后，解密获取该请求发起方的身份信息，如果解密或者消息格式验证失败，则直接丢弃该udp敲门请求。如果数据格式初步验证成功，则进入第三步进行鉴权验证；
49.第三，nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证该身份和访问策略。同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；
50.第四，后台服务提供商向nhp敲门验证服务器返回健全结果和请求发起方所请求的信息；
51.第五，如果鉴权成功，nhp敲门验证服务器通知nhp门禁配置相应请求发起方会话的放行操作；
52.第六，nhp门禁向nhp敲门验证服务器回复放行已成功执行；
53.第七，如果身份鉴权失败，或者nhp门禁放行不成功，nhp敲门验证服务器不再回复请求发起方。如果鉴权成功，nhp敲门验证服务器返回请求发起方发起请求所需要的会话、地址等信息。
54.第八，请求发起方可以开始访问被保护的资源。
55.综上所述，本发明实施例通过nhp敲门验证服务器接收请求发起方的udp敲门请求，udp敲门请求中携带用户与设备信息，udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；nhp敲门验证服务器收到udp敲门请求后，对请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证请求发起方的身份和访问策略，nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；nhp敲门验证服务器接收后台服务提供商返回的健全结果和请求发起方所请求的信息；若nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，nhp敲门验证服务器通知nhp门禁配置请求发起方会话的放行操作。本发明对现有的网络隐身技术在实际应用上做了更好地扩展，对验证逻辑和放行逻辑进行了物理上的分离，增加了请求发起方敲门验证流程的隐蔽性和稳定性，从而在整个请求方访问过程中完全隐藏被保护服务的真实地址，实现“超隐身”的目的。
56.需要说明的是，本实施例的方法可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
57.需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
58.参见图3，基于同一发明构思，本发明实施例还提供一种单包授权中网络超隐身的实现系统，包括：
59.udp敲门请求模块1，用于nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯
一标识符表示需要访问的服务；
60.解密验证模块2，用于所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；
61.鉴权处理模块3，用于所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；
62.返回信息接收模块4，用于所述nhp敲门验证服务器接收后台服务提供商返回的健全结果和所述请求发起方所请求的信息；
63.放行配置模块5，用于若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。
64.本实施例中，还包括公钥获取模块6，用于所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；
65.还包括请求丢弃处理模块7，用于若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。
66.本实施例中，还包括放行成功处理模块8，用于所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息；
67.若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。
68.本实施例中，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。
69.需要说明的是，上述系统各模块之间的信息交互、执行过程等内容，由于与本技术实施例中的方法实施例基于同一构思，其带来的技术效果与本技术方法实施例相同，具体内容可参见本技术前述所示的方法实施例中的叙述，此处不再赘述。
70.本技术实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本技术实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种单包授权中网络超隐身的实现方法，其特征在于，包括：nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；所述nhp敲门验证服务器接收后台服务提供商返回的健全结果和所述请求发起方所请求的信息；若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。2.根据权利要求1所述的一种单包授权中网络超隐身的实现方法，其特征在于，所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。3.根据权利要求1所述的一种单包授权中网络超隐身的实现方法，其特征在于，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息。4.根据权利要求3所述的一种单包授权中网络超隐身的实现方法，其特征在于，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。5.根据权利要求3所述的一种单包授权中网络超隐身的实现方法，其特征在于，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。6.根据权利要求1所述的一种单包授权中网络超隐身的实现方法，其特征在于，被保护资源在入口处采取全部否定原则，将所有入站的包默认情况下全部丢弃，以使被保护资源对于外部端口扫描和嗅探处于全隐身状态。7.一种单包授权中网络超隐身的实现系统，其特征在于，包括：udp敲门请求模块，用于nhp敲门验证服务器接收请求发起方的udp敲门请求，所述udp敲门请求中携带用户与设备信息，所述udp敲门请求采用会话应用编号appid作为唯一标识符表示需要访问的服务；解密验证模块，用于所述nhp敲门验证服务器收到所述udp敲门请求后，对所述请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；鉴权处理模块，用于所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证所述请求发起方的身份和访问策略，所述nhp敲门验证服务器同时向后台服务提供商的地址解析服务请求被访问服务的真实地址；返回信息接收模块，用于所述nhp敲门验证服务器接收后台服务提供商返回的健全结
果和所述请求发起方所请求的信息；放行配置模块，用于若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作。8.根据权利要求7所述的一种单包授权中网络超隐身的实现系统，其特征在于，还包括公钥获取模块，用于所述nhp敲门验证服务器和所述请求发起方预先相互获取对方证书公钥；还包括请求丢弃处理模块，用于若所述nhp敲门验证服务器对所述请求发起方的身份信息解密或者消息格式验证失败，直接丢弃所述udp敲门请求。9.根据权利要求7所述的一种单包授权中网络超隐身的实现系统，其特征在于，还包括放行成功处理模块，用于所述nhp敲门验证服务器通知nhp门禁配置所述请求发起方会话的放行操作后，所述nhp敲门验证服务器接收所述nhp门禁回复的放行已成功执行消息；若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权失败，或者所述nhp门禁放行失败，所述nhp敲门验证服务器不再回复所述请求发起方。10.根据权利要求8所述的一种单包授权中网络超隐身的实现系统，其特征在于，若所述nhp敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，所述nhp敲门验证服务器向所述请求发起方返回发起请求所需要的会话、地址信息。

技术总结
一种单包授权中网络超隐身的实现方法及系统，该方法通过NHP敲门验证服务器接收请求发起方的UDP敲门请求，NHP敲门验证服务器收到UDP敲门请求后，对请求发起方的身份信息进行解密，如果解密及数据格式初步验证成功，进行鉴权验证；NHP敲门验证服务器向后台服务提供商的身份验证服务进行鉴权，查询并认证请求发起方的身份和访问策略；NHP敲门验证服务器接收后台服务提供商返回的健全结果和请求发起方所请求的信息；若NHP敲门验证服务器向后台服务提供商的身份验证服务进行鉴权成功，NHP敲门验证服务器通知NHP门禁配置请求发起方会话的放行操作。本发明在整个请求方访问过程中完全隐藏被保护服务的真实地址，实现超隐身的目的。目的。目的。


技术研发人员：陈本峰 曾倞
受保护的技术使用者：湖州市西塞数字安全研究院
技术研发日：2023.05.10
技术公布日：2023/8/14