一种网络可信接入认证方法、装置、系统及存储介质与流程

本公开一般涉及网络安全，具体涉及一种网络可信接入认证方法、装置、系统及存储介质。

背景技术：

1、随着信息化技术的不断发展和进步，网络服务在对外提供服务时经常会遭遇ddos（distributed denial of service，分布式阻断服务）攻击和重放攻击等各种攻击。

2、为了避免这些攻击，相关技术采用单包验证（single packet authorization，spa）、多包验证或者第三方通道验证等方式进行网络安全接入，然而这些方式验证过程复杂，同时没有从根本上解决中间人攻击的弊端，局限性大。

技术实现思路

1、鉴于相关技术中的上述缺陷或不足，期望提供一种网络可信接入认证方法、装置、系统及存储介质，能够高效地实现网络可信接入，适用范围广泛。

2、第一方面，本公开提供一种网络可信接入认证方法，所述方法应用于服务端，包括：

3、接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询ip请求包，所述身份安全接入验证包与所述使用者向服务端查询ip请求包的请求序列号相同；

4、分别对所述身份安全接入验证包与所述使用者向服务端查询ip请求包进行校验，若校验成功，则缓存所述客户端的请求序列号，并向所述客户端对应的网络地址开放预设时长的请求ip服务端口，以及向所述客户端发送返回查询ip请求包。

5、可选地，在本公开一些实施例中，所述对所述身份安全接入验证包进行校验，包括：

6、根据所述身份安全接入验证包的内容和属性，对所述身份安全接入验证包进行筛选；

7、当所述身份安全接入验证包筛选通过时，计算使用者信息和请求对应的终端账户密码的第一哈希值；

8、检测所述第一哈希值与所述身份安全接入验证包中基于使用者身份准入信息包和终端账户密码得到的第二哈希值是否一致，若一致，则校验成功。

9、可选地，在本公开一些实施例中，所述根据所述身份安全接入验证包的内容和属性，对所述身份安全接入验证包进行筛选，包括：

10、获取所述身份安全接入验证包的网络地址，并判断所述身份安全接入验证包的网络地址是否在黑名单中；

11、当所述身份安全接入验证包的网络地址不在所述黑名单中时，判断所述身份安全接入验证包的长度格式是否正确；

12、当所述身份安全接入验证包的长度格式正确时，根据所述身份安全接入验证包中终端身份识别号和请求序列号，判断所述身份安全接入验证包是否重复发送，并获得第一筛选结果。

13、可选地，在本公开一些实施例中，所述获得第一筛选结果之前，所述方法还包括：

14、比较所述客户端的前次发包时间戳和所述身份安全接入验证包中请求时间戳的差值；

15、当所述差值大于或者等于预设阈值时，获得所述第一筛选结果。

16、可选地，在本公开一些实施例中，所述方法还包括：

17、接收所述客户端发送的使用者身份和网络验证请求包，所述使用者身份和网络验证请求包由所述客户端在本地网络服务ip与所述返回查询ip请求包中请求者对外服务ip不一致时构建得到；

18、根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中ip信息，对所述使用者身份和网络验证请求包进行筛选；

19、当所述使用者身份和网络验证请求包筛选通过时，计算使用者身份和网络信息及请求对应的终端账户密码的第三哈希值；

20、检测所述第三哈希值与所述使用者身份和网络验证请求包中基于使用者身份和网络信息包及终端账户密码得到的第四哈希值是否一致，若一致，则将所述客户端对应的网络地址添加至开放服务白名单。

21、可选地，在本公开一些实施例中，所述根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中ip信息，对所述使用者身份和网络验证请求包进行筛选，包括：

22、判断所述客户端对应的网络地址是否在黑名单中；

23、当所述客户端对应的网络地址不在所述黑名单中时，判断所述客户端对应的网络地址与所述使用者身份和网络验证请求包中ip信息是否一致，并获得第二筛选结果。

24、可选地，在本公开一些实施例中，所述接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询ip请求包之前，所述方法还包括：

25、关闭所有对外网络服务端口，以通过内核从网卡接收所述身份安全接入验证包与所述使用者向服务端查询ip请求包。

26、第二方面，本公开提供一种网络可信接入认证装置，所述装置应用于服务端，包括：

27、接收模块，用于接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询ip请求包，所述身份安全接入验证包与所述使用者向服务端查询ip请求包的请求序列号相同；

28、校验模块，用于分别对所述身份安全接入验证包与所述使用者向服务端查询ip请求包进行校验，若校验成功，则缓存所述客户端的请求序列号，并向所述客户端对应的网络地址开放预设时长的请求ip服务端口，以及向所述客户端发送返回查询ip请求包。

29、第三方面，本公开提供一种网络可信接入认证系统，所述系统包括客户端和服务端，所述服务端用于实现第一方面中任意一项所述的网络可信接入认证方法的步骤。

30、第四方面，本公开提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面中任意一项所述的网络可信接入认证方法的步骤。

31、从以上技术方案可以看出，本公开实施例具有以下优点：

32、本公开实施例提供了一种网络可信接入认证方法、装置、系统及存储介质，通过接收客户端使用不同网络通道发送的身份安全接入验证包与使用者向服务端查询ip请求包，并分别对身份安全接入验证包与使用者向服务端查询ip请求包进行校验，能够将真正的服务端口与查询ip服务端口以及身份与网络安全验证接收通道相互分离，高效可靠地实现了网络可信接入，避免了非法请求者发送非法包进行拒绝服务攻击和服务端横向攻击， 同时缓存请求序列号还能够在一定程度上减少重放攻击，安全系数高。

技术特征：

1.一种网络可信接入认证方法，其特征在于，所述方法应用于服务端，包括：

2.根据权利要求1所述的网络可信接入认证方法，其特征在于，所述对所述身份安全接入验证包进行校验，包括：

3.根据权利要求2所述的网络可信接入认证方法，其特征在于，所述根据所述身份安全接入验证包的内容和属性，对所述身份安全接入验证包进行筛选，包括：

4.根据权利要求3所述的网络可信接入认证方法，其特征在于，所述获得第一筛选结果之前，所述方法还包括：

5.根据权利要求1至4中任意一项所述的网络可信接入认证方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的网络可信接入认证方法，其特征在于，所述根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中ip信息，对所述使用者身份和网络验证请求包进行筛选，包括：

7.根据权利要求5所述的网络可信接入认证方法，其特征在于，所述接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询ip请求包之前，所述方法还包括：

8.一种网络可信接入认证装置，其特征在于，所述装置应用于服务端，包括：

9.一种网络可信接入认证系统，其特征在于，所述系统包括客户端和服务端，所述服务端用于实现权利要求1至7中任意一项所述的网络可信接入认证方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现权利要求1至7中任意一项所述的网络可信接入认证方法的步骤。

技术总结
本公开提供了一种网络可信接入认证方法、装置、系统及存储介质，涉及网络安全技术领域。该方法应用于服务端，包括接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包，所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同；分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验，若校验成功，则缓存所述客户端的请求序列号，并向所述客户端对应的网络地址开放预设时长的请求IP服务端口，以及向所述客户端发送返回查询IP请求包。采用本公开的网络可信接入认证方法，能够高效可靠地实现网络可信接入，适用范围广泛。

技术研发人员：王洪波,范端胜,尹高宁,杨烁,李远思
受保护的技术使用者：拓尔思天行网安信息技术有限责任公司
技术研发日：
技术公布日：2024/1/13