一种基于动态种子SPA单包检测的业务隐藏方法技术

本发明专利技术公开了一种基于动态种子SPA单包检测的业务隐藏方法，涉及移动安全接入技术领域，包括步骤：首次接入认证前，输入初始安全码与安全码保护密码；认证接入时解锁安全码，客户端基于安全码生成SPA敲门包客户端在初始安全码的有效时间内计算出令牌值，建立TCP会话连接；客户端认证成功后接收新安全码并使用新安全码计算令牌值；客户端断开连接时记录最后一次成功下发的安全码，下次接入时客户端解密该安全码生成敲门包进行敲门、认证登录。本发明专利技术通过动态下发安全码解决了传统UDP的SPA敲门包被非法截取与安全码本地明文/加密存储的泄露风险，有益于提高在客户端敲门阶段对安全码的动态防护，大大减少了安全码被盗用的情况。况。况。

【技术实现步骤摘要】
一种基于动态种子SPA单包检测的业务隐藏方法


[0001]本专利技术涉及移动安全接入
，尤其涉及一种基于动态种子SPA单包检测的业务隐藏方法。

技术介绍

[0002]零信任业务隐藏机制作为一种安全模型机制，能够实现对业务隐藏，保证用户网络的安全，对攻击者的攻击行为进行有效阻断。
[0003]而现有的零信任SPA机制，在敲门阶段各家实现方案分别为：厂商1支持SPA但不支持一人一码模式，厂商1和VPN的区别仅在于，将VPN的TCP端口换成了UDP端口，任意客户端即可接入任意服务端，严格来讲并非SPA，简单的讲就是并没有按照业界对零信任SDP的规范实现SPA的预认证机制，而是通过将用户认证和隧道传输从常用的TCP协议改为UDP协议，从而实现所谓的端口隐藏，但并没有预认证的过程。以下是在某项目中对自身产品在SPA部分的介绍：“将敲门包和认证数据包做了融合，同时通过UDP端口传输给控制器，控制器无需开放任何TCP端口，UDP端口默认丢弃一切数据包，不给响应，只有我们的客户端发来的符合我们协议且认证通过账号密码、设备健康度、网络环境、位置等各本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态种子SPA单包检测的业务隐藏方法，其特征在于，包括如下步骤：客户端接收输入的初始安全码，并根据初始安全码生成UDP的SPA敲门包；客户端在初始安全码的有效时间内计算出TOTP令牌值，完成TCP的SPA单包验证，建立TCP会话连接，并准备接入认证；所述初始安全码的有效时间为服务端接收所述SPA敲门包后对所述初始安全码有效性进行倒计时的时间；客户端接入认证成功后，接收新安全码并对所述新安全码有效性进行倒计时；所述新安全码由服务端通过加密的所述TCP动态下发；客户端通过加密算法对新安全码进行本地加密存储，使用所述新安全码生成TOTP令牌值加入数据包中进行持续校验；客户端断开连接时，记录最后一次成功下发的安全码，下次接入时客户端解密最后一次下发的安全码，并生成敲门包进行敲门及认证登录。2.如权利要求1所述的一种基于动态种子SPA单包检测的业务隐藏方法，其特征在于，下载安装客户端后进行初始化，通过客户端设置安全码保护密码。3.如权利要求2所述的一种基于动态种子SPA单包检测的业务隐藏方法，其特征在于，所述通过客户端接收输入的初始安全码，并根据初始安全码生成UDP的SPA敲门包，具体包括如下步骤：接入认证前，通过客户端输入初始安全码与用于保护安全码的安全码保护密码；在所述认证接入时，客户端通过加密算法得到安全码加密密钥并解密出明文安全码，客户端基于安全码生成SPA敲门包，发送给服务端进行预认证。4.如权利要求3所述的一种基于动态种子SPA单包检测的业务隐藏方法，其特征在于，所述通过加密算法进行本地加密存储中，所述加密算法使用使用计算机硬件特征码信息+安全码保护...

【专利技术属性】
技术研发人员：于佳龙，陈元林，
申请(专利权)人：于佳龙，
类型：发明
国别省市：