[发明专利]单包验证通信链路可信的方法、装置、计算设备及存储介质

说明书

本发明实施例涉及计算机技术领域，公开了一种单包验证通信链路可信的方法、装置及计算设备，该方法包括：接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。通过上述方式，本发明实施例能够最大程度地避免了重放攻击、中间人攻击以及DDOS攻击，只需一次包验证、无需回应，实现简单、传输信息简洁有效。

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种单包验证通信链路可信的方法、装置及计算设备。

背景技术

通常我们提供网络服务基本上需要对外提供一个服务端口，请求者向这个端口发送请求包，双方进行协议交互，以达到特定网络服务的目的。众说周知，既然你提供了网络服务，总有不怀好意者窥视，然后破坏，为此需要保护正常服务就需要一些手段尽量来防止网络攻击。由于网络环境越来越复杂，原有固定的边界变得模糊，因此确定连接上的终端可信非常必要。对应于不同的场景，确定的方法不一样，可以直接限制IP，也可以进行通信链路加密通过发送特定的包来鉴别对方是否可信。

现有技术可以是利用默认加密密钥加密扩展单包验证(Single PacketAuthorization，SPA)授权数据包，得到第一SPA加密包；将第一SPA加密包发送给软件定义边界(Software Defined Perimeter，SDP)框架中的SDP控制器以通过SDP控制器对第一SPA加密包进行解密和验证；接收SDP控制器的包括更新加密密钥的反馈信息；在反馈信息包括更新密钥的情况下，利用更新加密密钥加密扩展SPA单包授权数据包，得到第二SPA加密包；以及将第二SPA加密包发送给SDP控制器，以请求对SDP框架中的连接接受主机的访问授权。这种方法实际上是多包验证了，每个包验证一段，经过多次包验证达到验证的目的。这种方式确认链路安全比较复杂，需要多次认证，实际上是通过认证后续主机IP来实现的，没有确定终端使用者的后续网络信息是什么，如果终端使用者通过公用服务代理来访问SDP所保护的服务，则可能容易遭到DDOS攻击，因为多次认证需要加解密比较多，通过劫持公用场景的中间人发多巨量的包会让服务提供者崩溃的。因此，这种所谓单包验证安全性还是不够高，特别是在移动环境中，难以达到使用者的初衷。

现有技术也可以是接收客户端发送的访问服务器的访问请求数据包；根据数据包判断客户端是否有权访问服务器；如果是，则接收客户端发送的访问数据。然后通过向使用者发送短信验证码来确认使用者是否是合法使用者。依据短信验证码确定合法使用者验证复杂，而且也是主机IP验证方式，如果攻击者劫持中间人，不停发包，那么短信验证码需要不停发送，如此肯定会让服务提供者成本高昂，进而拒绝服务，使用者体验也不好。

现有技术还可以使用两种密钥，密钥状态指示字段的信息采用第一标识或第二标识进行表征，第一标识用于表征本次认证过程采用对称密钥，第二标识表征本次认证过程采用非对称密钥；封装用户名信息和密钥状态指示字段的信息得到SPA数据包；向服务器发送SPA数据包，以使服务器根据用户名信息和密钥状态指示字段的信息完成初步认证。该方法借鉴了安全套接层 (Secure Sockets Layer，SSL)链路中的加密方法，在密钥分发上有一定可取之处，但是传输的数据量还是很大，计算量也大，没有根本解决中间人攻击问题，以及DDOS攻击问题。

发明内容

鉴于上述问题，本发明实施例提供了一种单包验证通信链路可信的方法、装置及计算设备，克服了上述问题或者至少部分地解决了上述问题。