CN113055357B

CN113055357B - 单包验证通信链路可信的方法、装置、计算设备及存储介质

Info

Publication number: CN113055357B
Application number: CN202110206667.7A
Authority: CN
Inventors: 范端胜; 王泽峰; 刘峰
Original assignee: Shenzhen Bamboocloud Technology Co ltd
Current assignee: Shenzhen Zhuyun Technology Co ltd
Priority date: 2021-02-24
Filing date: 2021-02-24
Publication date: 2022-03-11
Anticipated expiration: 2041-02-24
Also published as: CN113055357A

Abstract

本发明实施例涉及计算机技术领域，公开了一种单包验证通信链路可信的方法、装置及计算设备，该方法包括：接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。通过上述方式，本发明实施例能够最大程度地避免了重放攻击、中间人攻击以及DDOS攻击，只需一次包验证、无需回应，实现简单、传输信息简洁有效。

Description

单包验证通信链路可信的方法、装置、计算设备及存储介质

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种单包验证通信链路可信的方法、装置及计算设备。

背景技术

通常我们提供网络服务基本上需要对外提供一个服务端口，请求者向这个端口发送请求包，双方进行协议交互，以达到特定网络服务的目的。众说周知，既然你提供了网络服务，总有不怀好意者窥视，然后破坏，为此需要保护正常服务就需要一些手段尽量来防止网络攻击。由于网络环境越来越复杂，原有固定的边界变得模糊，因此确定连接上的终端可信非常必要。对应于不同的场景，确定的方法不一样，可以直接限制IP，也可以进行通信链路加密通过发送特定的包来鉴别对方是否可信。

现有技术可以是利用默认加密密钥加密扩展单包验证(Single PacketAuthorization，SPA)授权数据包，得到第一SPA加密包；将第一SPA加密包发送给软件定义边界(Software Defined Perimeter，SDP)框架中的SDP控制器以通过SDP控制器对第一SPA加密包进行解密和验证；接收SDP控制器的包括更新加密密钥的反馈信息；在反馈信息包括更新密钥的情况下，利用更新加密密钥加密扩展SPA单包授权数据包，得到第二SPA加密包；以及将第二SPA加密包发送给SDP控制器，以请求对SDP框架中的连接接受主机的访问授权。这种方法实际上是多包验证了，每个包验证一段，经过多次包验证达到验证的目的。这种方式确认链路安全比较复杂，需要多次认证，实际上是通过认证后续主机IP来实现的，没有确定终端使用者的后续网络信息是什么，如果终端使用者通过公用服务代理来访问SDP所保护的服务，则可能容易遭到DDOS攻击，因为多次认证需要加解密比较多，通过劫持公用场景的中间人发多巨量的包会让服务提供者崩溃的。因此，这种所谓单包验证安全性还是不够高，特别是在移动环境中，难以达到使用者的初衷。

现有技术也可以是接收客户端发送的访问服务器的访问请求数据包；根据数据包判断客户端是否有权访问服务器；如果是，则接收客户端发送的访问数据。然后通过向使用者发送短信验证码来确认使用者是否是合法使用者。依据短信验证码确定合法使用者验证复杂，而且也是主机IP验证方式，如果攻击者劫持中间人，不停发包，那么短信验证码需要不停发送，如此肯定会让服务提供者成本高昂，进而拒绝服务，使用者体验也不好。

现有技术还可以使用两种密钥，密钥状态指示字段的信息采用第一标识或第二标识进行表征，第一标识用于表征本次认证过程采用对称密钥，第二标识表征本次认证过程采用非对称密钥；封装用户名信息和密钥状态指示字段的信息得到SPA数据包；向服务器发送SPA数据包，以使服务器根据用户名信息和密钥状态指示字段的信息完成初步认证。该方法借鉴了安全套接层 (Secure Sockets Layer，SSL)链路中的加密方法，在密钥分发上有一定可取之处，但是传输的数据量还是很大，计算量也大，没有根本解决中间人攻击问题，以及DDOS攻击问题。

发明内容

鉴于上述问题，本发明实施例提供了一种单包验证通信链路可信的方法、装置及计算设备，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种单包验证通信链路可信的方法，所述方法包括：接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用 HOTP算法生成的一次性密码；从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

在一种可选的方式中，所述使用者网络信息包中包括：所述网络请求者的用户ID、网络协议类型、网络IP地址和端口、访问目标IP地址和端口、 HOTP计数信息以及下一次HOTP计数信息。

在一种可选的方式中，所述使用者网络信息包加上共享密码形成HOTP 预加密包，应用HOTP算法对所述HOTP预加密包进行加密形成所述一次性密码。

在一种可选的方式中，所述从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码之前，包括：根据网络协议类型判断所述软件定义边界验证包的长度是否合法；如果不合法，则丢弃所述软件定义边界验证包，结束。

在一种可选的方式中，所述验证所述软件定义边界验证包是否合法，包括：从所述使用者网络信息包中获取所述用户ID和所述HOTP计数信息；从数据库中获取与所述用户ID对应的共享密码；根据所述共享密码和所述 HOTP计数信息应用HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证；如果验证成功，则说明所述软件定义边界验证包合法。

在一种可选的方式中，所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息之前，包括：判断所述网络请求者是否请求过；如果否，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果是，则判断HOTP算法的计数器是否与验证端记录所述网络请求者的上次发的计数器一致；如果一致，则执行所述校验 HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果不一致，则丢弃所述软件定义边界验证包，结束。

在一种可选的方式中，所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，包括：获取所述网络请求者实际的请求网络 IP地址和端口；将所述请求网络IP地址和端口与所述软件定义边界验证包中的所述网络连接信息进行比较，所述网络连接信息包括网络IP地址和端口；如果一致，则将所述网络连接信息加入白名单，并开启网络服务。

根据本发明实施例的另一个方面，提供了一种单包验证通信链路可信的装置，所述装置包括：接收单元，用于接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；第一验证单元，用于从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；第二验证单元，用于如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

根据本发明实施例的另一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述单包验证通信链路可信的方法的步骤。

根据本发明实施例的又一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使所述处理器执行上述单包验证通信链路可信的方法的步骤。

本发明实施例的单包验证通信链路可信的方法通过接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务，只需在服务器端进行一次包验证、无需回应，使得攻击者无法确定包是否有效，实现简单、传输信息简洁有效，能够最大程度地避免了重放攻击、中间人攻击以及DDOS攻击，，。

上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的单包验证通信链路可信的方法的流程示意图；

图2示出了本发明实施例提供的又一单包验证通信链路可信的方法的示意图；

图3示出了本发明实施例提供的单包验证通信链路可信的装置的结构示意图；

图4示出了本发明实施例提供的计算设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

图1示出了本发明实施例提供的单包验证通信链路可信的方法的流程示意图。该方法由服务器执行。如图1所示，单包验证通信链路可信的方法包括：

步骤S11：接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP 算法生成的一次性密码。

在本发明实施例中，使用者网络信息包中包括：所述网络请求者的用户 ID、网络协议类型、网络IP地址和端口、访问目标IP地址和端口、基于哈希运算消息认证码(哈希运算消息认证码，HMAC)算法加密的一次性密码 (HMAC-based One-Time Password，HOTP)计数信息以及下一次HOTP计数信息。客户端的网络请求者把自己的用户ID、网络协议类型(IPV4/IPV6)、网络IP地址和端口、访问目标IP地址和端口，以及用于HOTP算法加密的 HOTP计数信息以及下一次HOTP计数信息进行明文封装。其中，HOTP计数信息优选为一个64位随机数，如果中间使用了代理，则还包括使用中间代理IP地址和端口，对这些信息进行明文封装，形成使用者网络信息包，如下表1。

表1使用者网络信息包

使用者网络信息包加上共享密码形成HOTP预加密包，应用HOTP算法对所述HOTP预加密包进行加密形成所述一次性密码。网络请求者在使用者网络信息包后面加上该用户ID在服务端的共享密码形成HOTP预加密包，如表2所示。其中该共享密码是能让使用者在客户端输入或使用其它手段保存到客户端的。

表2 HOTP预加密包

使用者信息包

共享密码

使用HOTP算法对HOTP预加密包进行加密，生成一个一次性密钥。将应用HOTP算法生成的一次性密钥附加在使用者网络信息包之后，形成SPA 验证包，如表3所示。

表3 SPA验证包

使用者信息包

约定长度的HOTP一次性密钥

客户端将该SPA验证包发送给服务器端以端进行验证。发送的协议方式包括但不限于UDP，TCP等4层网络包，也可以是通过http或ssh等其他7 层协议。客户端先应用4层或7层协议对SPA验证包进行封装，然后发送至服务器端。服务器端接收客户端的网络请求者发送的软件定义边界验证包。

步骤S12：从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法。

在本发明实施例中，在步骤S12之前，根据网络协议类型判断所述软件定义边界验证包的长度是否合法；如果不合法，则丢弃所述软件定义边界验证包，结束。如果合法，则从软件定义边界验证包中解析出使用者网络信息包和一次性密码。服务器端接收到软件定义边界验证包之后，根据网络协议类型(IPV4/IPV6)判断该软件定义边界验证包长度是否合法。在本发明实施例中，软件定义边界验证包的长度是可以确定的，确定了IP类型之后其它包字段是确定的，比如说用户ID长度固定，HOTP计数信息按标准是64位rfc-4226、 IP和端口长度固定、随机数可以事先约定长度，而应用HOTP算法生成的一次性密码时，共享密码的长度可以事先约定，比如说16位，如此可以避免接收非法长度包的可能。

在长度判定之后，再验证软件定义边界验证包是否合法。从所述使用者网络信息包中获取所述用户ID和所述HOTP计数信息；从数据库中获取与所述用户ID对应的共享密码；根据所述共享密码和所述HOTP计数信息应用 HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证；如果验证成功，则说明所述软件定义边界验证包合法。具体地，把软件定义边界验证包的内容依次读出，读出使用者网络信息包和HOTP生成的一次性密码，然后从使用者网络信息包中再读取用户ID和HOTP计数信息，然后根据用户ID去服务器端数据库中查找对应的共享密码，把使用者网络信息包和 HOTP生成的一次性密码组成的信息使用HOTP算法和HOTP计数信息进行验证，如果验证成功则说明该SPA验证包合法。

步骤S13：如果合法，校验HOTP算法的计数器以及软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

在本发明实施例中，SPA验证包合法并不意味者就可以认为以后该客户端主机IP的网络请求者就合法了。判断所述网络请求者是否请求过；如果否，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果是，则判断HOTP算法的计数器是否与验证端记录所述网络请求者的上次发的计数器一致。如果一致，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果不一致，则视为重放攻击，丢弃所述软件定义边界验证包，结束。

在步骤S13中，获取所述网络请求者实际的请求网络IP地址和端口；将所述请求网络IP地址和端口与所述软件定义边界验证包中的所述网络连接信息进行比较，所述网络连接信息包括网络IP地址和端口；如果一致，则将所述网络连接信息加入白名单，并开启网络服务。

在本发明实施例中，由于使用了HOTP协议对使用者的网络信息进行了单向加密，单项加密算法包括但不限于SHA1，还使用了随机数和共享密钥加扰，虽然这些信息都是明文，但是无法伪造，因为单向加密算法决定了任何破解算法只能是找到冲突的另一个因子，如单项加密算法、随机数以及共享密钥中的其中一个，使用这个因子冒充合法信息；该伪造信息肯定不是原有的原来的信息，那么这个伪造信息因为网络信息和用户ID对不上而被服务端视为非法，使得任何信息篡改和其他中间人重放都能被识别。中间没有传输共享密钥，也无需回应给网络请求者网络包，可以最大程度的避免了中间人攻击和DDOS攻击。需要注意的是，单向加密不用特别复杂，最好就使用SHA1 算法，能够避免非法请求者发送非法包进行算力用尽拒绝服务攻击。

本发明实施例的单包验证通信链路可信的方法如图2所示，包括：

步骤301：服务器端接收SPA验证包。

客户端的网络请求者把自己的用户ID、网络协议类型(IPV4/IPV6)、网络IP地址和端口、访问目标IP地址和端口，以及用于HOTP算法加密的HOTP 计数信息以及下一次HOTP计数信息进行明文封装。如果中间使用了代理，则还包括使用中间代理IP地址和端口。在使用者网络信息包后面加上共享密码形成HOTP预加密包，再使用HOTP算法对HOTP预加密包进行加密，生成一次性密钥。一次性密钥附加在使用者网络信息包之后，形成SPA验证包。客户端网络请求者将该SPA验证包发送给服务器端，服务器端接收该SPA验证包。

步骤302：判断长度是否合法。如果否，则执行步骤303；如果是，则跳转至执行步骤304。

服务器端接收到SPA验证包之后，首先验证SPA验证包的长度是否合法。即判断SPA验证包的长度是否符合预设的长度。

步骤303：丢弃包并结束。

如果SPA验证包的长度不合法，则将SPA验证包丢弃，可以避免接收非法长度包的可能。

步骤304：解析包信息，读出使用者网络信息包和应用HOTP算法生成的一次性密码。

解析SPA验证包，读出组成SPA验证包的使用者网络信息包和一次性密码。

步骤305：读出用户ID，查找对应的共享密码，判断该共享密码是否存在。如果是，则执行步骤306；如果否，则跳转至执行步骤311。

根据用户ID从服务器端数据库查找与用户ID对应的共享密码，并判断是否存在对应的共享密码。

步骤306：把使用者网络信息包和HOTP算法生成的一次性密码组成的信息使用HOTP算法和HOTP计数信息进行验证。

具体将使用者网络信息包与服务器端数据库获取的共享密码组合并应用 HOTP算法进行加密生成一次性密码，将该一次性密码与SPA验证包中获取的一次性密码比较，同时验证HOTP计数信息。

步骤307：判断是否合法。如果是，则执行步骤308；如果否，则跳转至执行步骤303。

根据步骤306中的验证判断SPA验证包是否合法。

步骤308：判断发送者是否之前请求过。如果是，则执行步骤309；如果否，则跳转至执行步骤311。

该发送者即为发送SPA验证包至服务器端的发送者，可能是网络请求者，也可能是进行网络攻击的中间人。如果该发送者从来没有请求过，则忽略步骤309中的校验。因为该校验是用于防止重放攻击，忽略该校验不会影响安全性。

步骤309：判断是否是验证端记录该网络请求者的上次发给它的那个 counter。如果是，则执行步骤310；如果否，则执行步骤311。

如果这个值不一致我们视为重放攻击，则丢弃这个SPA验证包，并直接结束该流程。

步骤310：对比发送者网络信息是否一致。如果是，则执行步骤312；否则执行步骤313。

将软件定义边界验证包中的网络连接信息进行保存，如果有中间代理服务信息也一并保存。服务器端获取所述网络请求者实际的请求网络IP地址和端口；将所述请求网络IP地址和端口与所述软件定义边界验证包中的所述网络连接信息进行比较，确定网络信息是否一致。

步骤311：丢弃并结束。

如果服务器端获取的网络请求者实际的请求网络IP地址和端口与软件定义边界验证包中的网络连接信息不一致，则丢弃这个SPA验证包，并直接结束该流程。如果有人做中间人攻击，那么这个发送者的网络信息必然和真正请求者的网络信息不一致，那么到网络信息比对这步的时候一定会被视为非法

步骤312：将发送者的网络信息加入白名单，开启相关网络服务。

即将该网络请求者的用户ID、网络IP地址和端口等加入白名单，开启网络服务。

步骤313：结束。

如此通过使用单向加密算法与网络请求者网络信息加共享密码的混合加密，使用同样算法确定信息是否被篡改，再把明文携带的信息与网络真实信息比对，校验这个值是否一致，完成了单包验证以确认通信链路是否可信，整个过程只需在服务器端进行一次包验证、无需回应，使得攻击者无法确定包是否有效，实现简单、传输信息简洁有效可预定长度，而且算法强度较小，耗资源少，可以最大程度地避免了重放攻击、以及中间人攻击和DDOS攻击。

本发明实施例的单包验证通信链路可信的方法通过接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务，能够最大程度地避免了重放攻击、中间人攻击以及DDOS攻击，只需一次包验证、无需回应，实现简单、传输信息简洁有效。

图3示出了本发明实施例的单包验证通信链路可信的装置的结构示意图。该单包验证通信链路可信的装置应用于服务器。如图3所示，该单包验证通信链路可信的装置包括：接收单元301、第一验证单元302以及第二验证单元 303。其中：

接收单元301用于接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；第一验证单元302用于从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；第二验证单元303用于如果合法，校验HOTP 算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

在一种可选的方式中，使用者网络信息包中包括：所述网络请求者的用户ID、网络协议类型、网络IP地址和端口、访问目标IP地址和端口、HOTP 计数信息以及下一次HOTP计数信息。

在一种可选的方式中，使用者网络信息包加上共享密码形成HOTP预加密包，应用HOTP算法对所述HOTP预加密包进行加密形成所述一次性密码。

在一种可选的方式中，第一验证单元302还用于：根据网络协议类型判断所述软件定义边界验证包的长度是否合法；如果不合法，则丢弃所述软件定义边界验证包，结束。

在一种可选的方式中，第一验证单元302用于：从所述使用者网络信息包中获取所述用户ID和所述HOTP计数信息；从数据库中获取与所述用户ID 对应的共享密码；根据所述共享密码和所述HOTP计数信息应用HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证。

在一种可选的方式中，第二验证单元303还用于：判断所述网络请求者是否请求过；如果否，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果是，则判断HOTP算法的计数器是否与验证端记录所述网络请求者的上次发的计数器一致；如果一致，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果不一致，则丢弃所述软件定义边界验证包，结束。

在一种可选的方式中，第二验证单元303用于：获取所述网络请求者实际的请求网络IP地址和端口；将所述请求网络IP地址和端口与所述软件定义边界验证包中的所述网络连接信息进行比较，所述网络连接信息包括网络IP 地址和端口；如果一致，则将所述网络连接信息加入白名单，并开启网络服务。

本发明实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的单包验证通信链路可信的方法。

可执行指令具体可以用于使得处理器执行以下操作：

接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；

从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法；

如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

根据网络协议类型判断所述软件定义边界验证包的长度是否合法；

如果不合法，则丢弃所述软件定义边界验证包，结束。

从所述使用者网络信息包中获取所述用户ID和所述HOTP计数信息；

从数据库中获取与所述用户ID对应的共享密码；

根据所述共享密码和所述HOTP计数信息应用HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证；

如果验证成功，则说明所述软件定义边界验证包合法。

判断所述网络请求者是否请求过；

如果否，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果是，则判断HOTP算法的计数器是否与验证端记录所述网络请求者的上次发的计数器一致；

如果一致，则执行所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息的步骤；如果不一致，则丢弃所述软件定义边界验证包，结束。

获取所述网络请求者实际的请求网络IP地址和端口；

将所述请求网络IP地址和端口与所述软件定义边界验证包中的所述网络连接信息进行比较，所述网络连接信息包括网络IP地址和端口；

如果一致，则将所述网络连接信息加入白名单，并开启网络服务。

本发明实施例提供一种单包验证通信链路可信的装置，用于执行上述单包验证通信链路可信的方法。

本发明实施例提供了一种计算机程序，所述计算机程序可被处理器调用使基站设备执行上述任意方法实施例中的单包验证通信链路可信的方法。

本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任意方法实施例中的单包验证通信链路可信的方法。

可执行指令具体可以用于使得处理器执行以下操作：

如果不合法，则丢弃所述软件定义边界验证包，结束。

从数据库中获取与所述用户ID对应的共享密码；

如果验证成功，则说明所述软件定义边界验证包合法。

判断所述网络请求者是否请求过；

获取所述网络请求者实际的请求网络IP地址和端口；

图4示出了本发明实施例提供的计算设备的结构示意图，本发明具体实施例并不对设备的具体实现做限定。

如图4所示，该计算设备可以包括：处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。

其中：处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。通信接口404，用于与其它设备比如客户端或其它服务器等的网元通信。处理器402，用于执行程序410，具体可以执行上述单包验证通信链路可信的方法实施例中的相关步骤。

具体地，程序410可以包括程序代码，该程序代码包括计算机操作指令。

处理器402可能是中央处理器CPU，或者是特定集成电路ASIC (ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器，可以是同一类型的处理器，如一个或各个CPU；也可以是不同类型的处理器，如一个或各个CPU 以及一个或各个ASIC。

存储器406，用于存放程序410。存储器406可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序410具体可以用于使得处理器402执行以下操作：

在一种可选的方式中，所述程序410使所述处理器执行以下操作：

如果不合法，则丢弃所述软件定义边界验证包，结束。

从数据库中获取与所述用户ID对应的共享密码；

如果验证成功，则说明所述软件定义边界验证包合法。

判断所述网络请求者是否请求过；

获取所述网络请求者实际的请求网络IP地址和端口；

在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。

本领域技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。

Claims

1.一种单包验证通信链路可信的方法，其特征在于，所述方法包括：

从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法，包括：从所述使用者网络信息包中获取用户ID和HOTP计数信息；从数据库中获取与所述用户ID对应的共享密码；根据所述共享密码和所述HOTP计数信息应用HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证；如果验证成功，则说明所述软件定义边界验证包合法；

2.根据权利要求1所述的方法，其特征在于，所述使用者网络信息包中包括：所述网络请求者的用户ID、网络协议类型、网络IP地址和端口、访问目标IP地址和端口、HOTP计数信息以及下一次HOTP计数信息。

3.根据权利要求1所述的方法，其特征在于，所述使用者网络信息包加上共享密码形成HOTP预加密包，应用HOTP算法对所述HOTP预加密包进行加密形成所述一次性密码。

4.根据权利要求2所述的方法，其特征在于，所述从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码之前，包括：

如果不合法，则丢弃所述软件定义边界验证包，结束。

5.根据权利要求2所述的方法，其特征在于，所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息之前，包括：

判断所述网络请求者是否请求过；

6.根据权利要求1所述的方法，其特征在于，所述校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，包括：

获取所述网络请求者实际的请求网络IP地址和端口；

7.一种单包验证通信链路可信的装置，其特征在于，所述装置包括：

接收单元，用于接收网络请求者发送的软件定义边界验证包，所述软件定义边界验证包包括使用者网络信息包以及根据所述使用者网络信息包应用HOTP算法生成的一次性密码；

第一验证单元，用于从所述软件定义边界验证包中解析出所述使用者网络信息包和所述一次性密码，并验证所述软件定义边界验证包是否合法，包括：从所述使用者网络信息包中获取用户ID和HOTP计数信息；从数据库中获取与所述用户ID对应的共享密码；根据所述共享密码和所述HOTP计数信息应用HOTP算法对所述使用者网络信息包和所述一次性密码组成的信息进行验证；如果验证成功，则说明所述软件定义边界验证包合法；

第二验证单元，用于如果合法，校验HOTP算法的计数器以及所述软件定义边界验证包中的网络连接信息，如果校验通过，则开启网络服务。

8.一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行根据权利要求1-6任一项所述单包验证通信链路可信的方法的步骤。

9.一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行根据权利要求1-6任一项所述单包验证通信链路可信的方法的步骤。