一种引入OTP动态选择端口的单包授权方法及系统技术方案

本发明专利技术公开了引入OTP动态选择端口的单包授权方法及系统，包括：将当前时间戳、原始密钥作为OTP计算因子进行哈希计算，得到OTP密码，根据OTP密码选择白名单端口号作为动态端口；客户端获取用户的身份信息，将身份信息与OTP密码打包生成SPA数据包，将SPA数据包发送至动态端口；服务端对动态端口进行监听，在收到客户端发送的SPA数据包时执行验证，若验证成功，服务端打开服务端口进行数据传输，若验证失败，则丢弃SPA数据包，返回监听状态。本发明专利技术将OTP机制引入单包授权系统中，不仅用于身份验证，且通过OTP选择由客户端及服务端都信任的动态端口，提高了系统的安全性。提高了系统的安全性。提高了系统的安全性。

【技术实现步骤摘要】
一种引入OTP动态选择端口的单包授权方法及系统


[0001]本专利技术涉及单包授权方法
，具体涉及一种引入OTP动态选择端口的单包授权方法及系统。

技术介绍

[0002]软件定义边界（Software Defined Perimeter，SDP）是一个能够为 OSI七层协议栈提供安全防护的网络安全架构。SDP 可实现网络隐藏，并在允许连接到隐藏网络资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
[0003]单包授权（Single Packet Authorization，SPA）是SDP的核心功能，主要作用是通过默认关闭服务端口，使服务实现网络隐身，从网络上无法连接、无法扫描。如果需要使用服务，则通过特定客户端发送认证报文信息给服务器，服务器认证该报文后，授权申请进行认证，成功后放行，将对该IP地址打开相关的服务。
[0004]但目前市面上的单包授权方法普遍存在以下缺点：1、口令泄露风险：市面上普遍的单包授权方法，使用简单的固定口令或者其他容易泄露的方式进行身份认证，存在泄露风险；2、DOS攻击风险：传统的单包授权方法中服务端的监听端口一般都是固定的（或者需提前指定），存在DOS攻击风险。
[0005]CN202011161929.4公布了一种基于网络隐身下高效并发访问的控制方法及系统。服务器端获取客户端发起的授权认证请求，服务器开启非著名端口做服务侦听，并对授权申请进行认证，成功后放行；服务器端部署数据库，服务器对放行规则与数据库进行比较，确保是新的非重复规则，添加到数据库并贴标签；对于重复申请的规则，在数据库更新超时时间；服务器定时查看数据库，从数据库添加新规则到防火墙后删除新规则标签，删除超时规则。
[0006]但是该专利本质上是通过对称加密及数字签名在传输过程中保证了信息的安全性，但是用户仍然有泄露自身重要信息的风险。此外该专利在侦听阶段，服务器端获取客户端发起的授权认证请求，服务器开启非著名端口做服务侦听，此非著名端口为固定端口，一旦被攻击者发现，即可对该端口发动攻击，从而达到拒绝服务的严重后果。
[0007]公开号为CN113055357A的专利《单包验证通信链路可信的方法、装置、计算设备及存储介质》中，服务提供者接收网络请求者发送的软件定义边界验证包，该验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码（One Time Password，OTP）；服务提供者解析该数据包并对使用者信息及HOTP一次性密码进行验证，若校验通过则开启网络服务。这种方式很好的解决了软件定义边界敲门机制现存的安全性问题。但是该专利技术存在着一种固定目的端口所带来的风险，即上述软件定义边界验证包的目的端口是固定的，该端口一般是由服务端预先设定好的，若攻击者获取到该端口号，可以发送大量无用数据包堵塞该端口，最终造成拒绝服务的结果。本专利技术在此基础上根据TOTP的结果进行相应的计算，根据该计算结果从已有的端口白名单中选择一个端口，该操作是周
期性、随机性的，避免了服务端监听端口泄露所带来的安全隐患。

技术实现思路

[0008]专利技术目的：本专利技术目的在于针对现有技术的不足，提供一种引入OTP动态选择端口的单包授权方法及系统，将OTP机制引入单包授权系统中，不仅可用于身份验证，其核心技术是通过OTP选择由客户端及服务端都信任的动态端口，提高了系统的安全性。
[0009]技术方案：本专利技术所述引入OTP动态选择端口的单包授权方法，包括如下步骤：将当前时间戳、原始密钥作为OTP计算因子进行哈希计算，得到OTP密码，根据OTP密码选择白名单端口号作为动态端口；客户端获取用户的身份信息，将身份信息与OTP密码打包生成SPA数据包，将SPA数据包发送至动态端口；服务端对动态端口进行监听，在收到客户端发送的SPA数据包时执行验证，若验证成功，服务端打开服务端口进行数据传输，若验证失败，则丢弃SPA数据包，返回监听状态。该特定服务端口仅用于服务（如http服务80的端口），与监听端口（即本方法通过OTP密码计算出的随机动态端口）要区别开来。
[0010]进一步完善上述技术方案，所述OTP密码设有有效时间，若在有效时间内没有验证OTP密码，则OTP密码失效。
[0011]进一步地，所述客户端的IP地址需为服务端IP白名单中的合法用户，所述服务端存储有与客户端请求用户相同的原始密钥。原始密钥用于生成OTP密码，该OTP密码用于生成随机端口。
[0012]进一步地，所述动态端口的计算过程如下：获取当前时间戳；将当前时间戳与原始密钥进行哈希计算，计算公式为：TOTP(K，C) = Truncate(HMAC
‑
SHA
‑
1(K，T))其中K为原始密钥，T为当前时间戳；截取计算得到散列结果中的六位十进制数得到OTP密码，将OTP密码对10进行取模，将取模结果作为白名单端口号中的选择序号。
[0013]进一步地，所述用户的身份信息包括用户名、固定口令、IP地址。
[0014]进一步地，所述客户端将用户的身份信息、OTP密码进行哈希计算得到散列，将散列、用户名、客户端IP地址组合成列表后打包成SPA数据包进行传输；服务端获取SPA数据包的源IP地址，判断是否为IP白名单中的合法用户；若为合法用户，服务端对SPA数据包进行解码，解码后得到原始信息列表；同时服务端将用户名、固定口令、源IP地址、OTP密码进行哈希计算，将计算结果与原始信息列表中的散列比较，若比较结果一致，则验证成功，进入防火墙策略。
[0015]进一步，所述服务器采用离线散列验证方式进行验证。身份验证阶段，服务端采取离线散列验证的方式，无需用户通过网络直接传输该密码即可完成身份认证（仅需传输包含该密码的散列结果），有效避免了原始密钥在网络中暴露的风险。
[0016]进一步地，所述OTP密码包括原始密钥、动态因子、密钥产生器以及生成的密钥。
[0017]用于实现上述方法的引入OTP动态选择端口的单包授权系统，包括客户端、服务
端，所述客户端包括OTP动态端口生成模块一和授权数据包打包模块，所述服务端包括OTP动态端口生成模块二、授权数据包验证模块、防火墙策略模块，所述客户端提前在服务端注册为合法用户，所述服务端存储有与来自客户端请求用户相同的原始密钥；所述OTP动态端口生成模块一将当前时间戳、原始密钥作为OTP计算因子进行哈希计算得到OTP密码，采用OTP密码选择白名单端口号作为动态端口；所述授权数据包打包模块一获取用户的身份信息，将身份信息、OTP密码进行哈希计算并打包得到SPA数据包，将SPA数据包发送至动态端口；所述OTP动态端口生成模块二获取与客户端同步的当前时间戳以及来自客户端请求用户的原始密钥，将当前时间戳、来自客户端请求用户的原始密钥作为OTP计算因子进行哈希计算得到OTP密码，采用OTP密码选择白名单端口号作为动态端口；所述授权数据包验本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种引入OTP动态选择端口的单包授权方法，其特征在于，包括如下步骤：将当前时间戳、原始密钥作为OTP计算因子进行哈希计算，得到OTP密码，根据OTP密码选择白名单端口号作为动态端口；客户端获取用户的身份信息，将身份信息与OTP密码打包生成SPA数据包，将SPA数据包发送至动态端口；服务端对动态端口进行监听，在收到客户端发送的SPA数据包时执行验证，若验证成功，服务端打开服务端口进行数据传输，若验证失败，则丢弃SPA数据包，返回监听状态。2.根据权利要求1所述的引入OTP动态选择端口的单包授权方法，其特征在于：所述OTP密码设有有效时间，若在有效时间内没有验证OTP密码，则OTP密码失效。3.根据权利要求1或2所述的引入OTP动态选择端口的单包授权方法，其特征在于：所述客户端的IP地址需为服务端IP白名单中的合法用户，所述服务端存储有与客户端请求用户相同的原始密钥。4.根据权利要求3所述的引入OTP动态选择端口的单包授权方法，其特征在于，所述动态端口的计算过程如下：获取当前时间戳；将当前时间戳与原始密钥进行哈希计算，计算公式为：TOTP(K，C) = Truncate(HMAC
‑
SHA
‑
1(K，T))其中K为原始密钥，T为当前时间戳；截取计算得到散列结果中的六位十进制数得到OTP密码，将OTP密码对10进行取模，将取模结果作为白名单端口号中的选择序号。5.根据权利要求4所述的引入OTP动态选择端口的单包授权方法，其特征在于：所述用户的身份信息包括用户名、固定口令、IP地址。6.根据权利要求5所述的引入OTP动态选择端口的单包授权方法，其特征在于：所述客户端将用户的身份信息、OTP密码进行哈希计算得到散列，将散列、用户名、客户端IP地址组合成列表后打包成SPA数据包进行传输；服务端获取SPA数据包的源IP地址，判断是否为IP白名单中的合法用户；若为合法用户，服务端对SPA数据包进行解码，解码后得到原始信息列表；同时服务端将用户名、固定口令、源IP地址、OTP密码进行哈希计算，将计算结果与原始信息列表中的散列比较，若比较结果一致，则验证成功，进入防火墙策略。7...

【专利技术属性】
技术研发人员：秦益飞，赵越，张玉健，杨正权，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：