【技术实现步骤摘要】
一种单包授权的方法及系统
[0001]本专利技术涉及云计算
,尤其涉及一种单包授权的方法及系统。
技术介绍
[0002]SPA(Single Packet Authorization,单包授权,也称作敲门),是一种通过发送带有特殊认证信息的敲门包进行访问鉴权技术,通过SPA能力,可以实现服务隐藏的能力,只有认证后的IP才能连接服务,保障服务不暴露出去被攻击。SPA是企业构建零信任安全防护体系的基石。
[0003]现有的技术方案一般通过udp的payload带上加密后的数据进行敲门认证,每次访问资源的时候进行敲门或者周期敲门验证放入白名单内的IP,使用该放入白名单内的IP的流量就能正常访问服务了,反之流量会被SPA服务丢弃。
[0004]但本申请专利技术人在实现本申请实施例中专利技术技术方案的过程中,发现上述技术至少存在如下技术问题:
[0005]现有的技术中公网网络链路十分复杂,会有UDP报文不通的情况,比如目的端设置了拦截UDP报文防火墙;公网出口IP会变化,导致放白的IP不是客户端访问业务的...
【技术保护点】
【技术特征摘要】
1.一种单包授权的方法,其特征在于,所述单包授权的方法用于客户端,包括以下步骤:S1,当用户登陆时,和服务器进行密钥交换,获得服务器的公钥;S2,当用户登录成功后,对含有客户端认证信息的单包进行加密;S3,分别使用udp、tcp syn和icmp协议将加密单包发送到服务器进行解密处理;S4,判断是否收到服务器解密成功的回复,若未收到,则单包授权失败,若收到,则单包授权成功。2.如权利要求1所述单包授权的方法,其特征在于,在所述单包授权成功后,还包括步骤:步骤一:使用单包请求授权时使用的端口向服务器发送带有tls证书并携带payload的tcp syn包;步骤二:服务器收到tcp syn包后,将tcp syn包转发到nginx进行tls认证,若验证失败则丢弃报文,若验证成功则建立tcp复用通道。3.如权利要求2所述单包授权的方法,其特征在于:所述tcp复用通道用于将客户端的剩余请求数据即侯客与服务器中的应用服务进行连接。4.如权利要求1所述单包授权的方法,其特征在于:所述S1中的客户端上部署有用于监听所有网关业务流量服务的SPA客户端。5.如权利要求1所述单包授权的方法,其特征在于:所述S1中的服务器包括SPA服务端和不小于一个的应用服务。6.如权利要求5所述单包授权的方法,其特征在于:所述SPA服务端包括敲门处理模块、tls认证模块和流量分发模块:敲门处理模块:用于接收客户端发来的加密单包和单包授权请求,并在控制中心对加密单包进行解密,根据解密结果对用户进行授权验证;tls认证模块:用于对...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。