本公开提供一种端口控制方法及装置。所述方法包括:接收客户端发送的单包授权认证报文,单包授权认证报文包括IPv6基本头、拓展头和有效载荷,拓展头包括类型标识,有效载荷包括认证数据;若类型标识指示单包授权认证报文的类型为第一类型,则从有效载荷中获取IPv6地址;根据IPv6地址与IPv4地址之间的映射关系,将IPv6地址转换为IPv4地址;对认证数据进行验证;若认证数据通过验证,则为IPv4地址开放目标端口。标端口。标端口。
【技术实现步骤摘要】
端口控制方法及装置
[0001]本公开涉及通信
,尤其涉及一种端口控制方法及装置。
技术介绍
[0002]单包授权认证(Single Packet Authorization,SPA)是新一代端口敲门技术。SPA只使用单个数据包进行访问申请,通过将所有必要信息集成在单个数据包内来简化敲门流程,在允许访问网络前,先验证设备和用户身份,以此达到“网络隐身”,使攻击者无法找到服务地址和端口。
[0003]IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是互联网工程任务组(IETF)设计的用于替代IPv4的下一代IP协议。与IPv4相比,IPv6具备以下优势:一、IPv6具有更大的地址空间。二、IPv6使用更小的路由表。三、IPv6增加了增强的组播(Multicast)支持以及对流的控制(Flow Control)。四、IPv6加入了对自动配置(Auto Configuration)的支持。五、IPv6具有更高的安全性。六、IPv6允许扩充。七、IPv6具有更好的头部格式。八、IPv6具有新的选项来实现附加的功能。
[0004]相关技术在IPv6场景中进行单包授权认证时,仅支持使用IPv6地址,无法支持IPv4地址,应用范围较窄。
技术实现思路
[0005]有鉴于此,本公开提供了一种端口控制方法及装置,可以使IPv6场景中的单包授权认证兼容IPv4地址。
[0006]第一方面,本公开提供了一种端口控制方法,所述方法包括:接收客户端发送的单包授权认证报文,所述单包授权认证报文包括IPv6基本头、拓展头和有效载荷,所述拓展头包括类型标识,所述有效载荷包括认证数据;若所述类型标识指示所述单包授权认证报文的类型为第一类型,则从所述有效载荷中获取IPv6地址;根据IPv6地址与IPv4地址之间的映射关系,将所述IPv6地址转换为IPv4地址;对所述认证数据进行验证;若所述认证数据通过验证,则为所述IPv4地址开放目标端口。
[0007]第二方面,本公开提供了一种端口控制装置,所述装置包括:接收模块,用于接收客户端发送的单包授权认证报文,所述单包授权认证报文包括IPv6基本头、拓展头和有效载荷,所述拓展头包括类型标识,所述有效载荷包括认证数据;第一地址获取模块,用于若所述类型标识指示所述单包授权认证报文的类型为第一类型,则从所述有效载荷中获取IPv6地址;转换模块,用于根据IPv6地址与IPv4地址之间的映射关系,将所述IPv6地址转换为IPv4地址;验证模块,用于对所述认证数据进行验证;开放模块,用于若所述认证数据通过验证,则为所述IPv4地址开放目标端口。
[0008]第三方面,本公开提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本公开第一方面所提供的方法。
[0009]因此,通过应用本公开提供的端口控制方法及装置,在单包授权认证报文中增加用于标识报文类型的类型标识,控制器接收到单包授权认证报文后,若单包授权认证报文中类型标识指示单包授权认证报文的类型为第一类型,则从有效载荷中获取IPv6地址,将IPv6地址转换为IPv4地址,从而使IPv6场景中的单包授权认证兼容IPv4地址,拓展了单包授权认证在在IPv6场景中的应用范围。
附图说明
[0010]图1为本公开实施例提供的系统架构的示意图;
[0011]图2为本公开实施例提供的一种端口控制方法的流程图;
[0012]图3为本公开实施例提供的第一类型的单包认证报文的示意图;
[0013]图4为本公开实施例提供的第二类型的单包认证报文的示意图;
[0014]图5为本公开实施例提供的一种端口控制装置的示意图;
[0015]图6为本公开实施例提供的网络设备硬件结构体的示意图。
具体实施方式
[0016]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本公开相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0017]在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0018]应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0019]下面对本公开实施例提供的可以用于端口控制方法和装置的示例性系统架构进行详细地说明。参见图1,图1为本公开实施例提供的系统架构的示意图。系统架构可包括主机110、控制器120、网关130和服务器140。
[0020]主机110例如可以包括智能手机、平板电脑、台式机、笔记本电脑等等。主机中可以安装有客户端。
[0021]控制器120可以用于对用户进行身份认证和对用户访问权限进行鉴别的设备。控制器120可以有自己的身份和权限管理系统,管理员可以在控制器120中配置用户的身份信息以及对资源的访问权限。
[0022]网关130可以用于为有权限的用户提供资源访问服务的设备。网关130不进行用户身份认证,仅对控制器120授权的用户提供资源访问服务。
[0023]服务器140可以为提供各种服务的服务器,例如为应用程序提供后台服务的服务
器、提供API(应用程序接口)服务的服务器等。
[0024]客户端例如可以为SDP(Software Defined Perimeter,软件定义边界)客户端。控制器120例如可以为SDP控制器。网关130例如可以为SDP网关。SDP(Software Defined Perimeter,软件定义边界)零信任功能是指设备作为SDP网关与SDP控制器联动,对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。
[0025]根据本公开的实施例,SDP控制器可以设置有SPA认证接口。SDP客户端可以通过互联网向SPA认证接口发送单包授权认证报文,以敲开端口。单包授权认证报文可以包括应用标识、随机数、认证密码,除此之外,还支持携带多个端口信息和/或多个IP地址信息。
[0026]SDP控制器通过SPA认证接口接到单包授权认证报文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种端口控制方法,其特征在于,所述方法包括;接收客户端发送的单包授权认证报文,所述单包授权认证报文包括IPv6基本头、拓展头和有效载荷,所述拓展头包括类型标识,所述有效载荷包括认证数据;若所述类型标识指示所述单包授权认证报文的类型为第一类型,则从所述有效载荷中获取IPv6地址;根据IPv6地址与IPv4地址之间的映射关系,将所述IPv6地址转换为IPv4地址;对所述认证数据进行验证;若所述认证数据通过验证,则为所述IPv4地址开放目标端口。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述类型标识指示所述单包授权认证报文的类型为第二类型,则从所述有效载荷中获取IPv4地址。3.根据权利要求1所述的方法,其特征在于,所述有效载荷还包括IPv6地址与IPv4地址之间的地址映射关系,所述方法还包括:从所述有效载荷中获取所述地址映射关系。4.根据权利要求1所述的方法,其特征在于,所述有效载荷还包括关系标识,所述方法还包括:从所述有效载荷中获取关系标识;从多个预设地址映射关系中确定与所述关系标识对应的预设地址映射关系,作为所述IPv6地址与IPv4地址之间的映射关系。5.根据权利要求1所述的方法,其特征在于,所述认证数据包括随机数和认证密码;所述对所述认证数据进行验证包括:利用本地密钥对所述随机数进行加密,得到本地密码;若所述本地密码和所述认证密码一致,则确定所述认证数据通过验证。6.一种端口控制装置,其特征在于,所述装置包括;接收模块,用于接收客户端发送的单包授权认证报文,...
【专利技术属性】
技术研发人员:张世坤,
申请(专利权)人:新华三工业互联网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。