CN112866297B

CN112866297B - 访问数据处理方法、装置及***

Info

Publication number: CN112866297B
Application number: CN202110360329.9A
Authority: CN
Inventors: 曾炜; 谢晓昕; 黄文蕾; 刘智彬
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2021-04-02
Filing date: 2021-04-02
Publication date: 2023-02-24
Anticipated expiration: 2041-04-02
Also published as: CN112866297A

Abstract

本发明公开了一种访问数据处理方法、装置及***，涉及信息安全领域，其中，该方法包括：通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息和传输控制协议TCP端口信息；根据预定规则对所述敲门包数据进行认证操作，该认证操作包括：对与源地址信息相应的访问设备和访问用户进行认证；响应于对所述敲门包数据认证通过，开放所述源地址信息对所述目标地址信息、TCP端口信息的访问控制，其中，TCP端口仅对认证数据开放访问权限。通过本发明，可以有效防止应用端口被扫描与侦测，从而可以提高网络安全。

Description

访问数据处理方法、装置及***

技术领域

本发明涉及信息安全领域，具体涉及一种访问数据处理方法、装置及***。

背景技术

随着互联网技术的普及与发展，互联网用户、互联网应用越来越多，互联网攻击行为也越来越多，特别是因为疫情等社会、经济因素的影响，远程应用、远程办公、远程接入成为互联网使用的主流，互联网攻击也随之变化。互联网攻击行为，第一步从扫描应用或业务接入平台的服务端口开始，通过穷举等方式，组装业务的攻击路径。因为业务端口需要时刻开放提供给用户访问，在攻击者进行端口扫描时，应用端口信息是完全开放的，传统的防守方法没有办法防御攻击者的端口扫描与侦测行为，只能在攻击者扫描完业务端口，收集完应用信息后，对应用发起攻击行为时，才被动地进行攻击行为防御，并有可能因攻击行为的发展更新，导致防御失效而造成网络安全风险。

发明内容

有鉴于此，本发明提供一种访问数据处理方法、装置及***，以解决上述提及的至少一个问题。

根据本发明的第一方面，提供一种访问数据处理方法，所述方法包括：

通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息和传输控制协议TCP端口信息；

根据预定规则对所述敲门包数据进行认证操作，该认证操作包括：对与源地址信息相应的访问设备和访问用户进行认证；

响应于对所述敲门包数据认证通过，开放所述源地址信息对所述目标地址信息、TCP端口信息的访问控制，其中，TCP端口仅对认证数据开放访问权限。

根据本发明的第二方面，提供一种访问数据处理装置，所述装置包括：

数据接收单元，用于通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息和传输控制协议TCP端口信息；

认证单元，用于根据预定规则对所述敲门包数据进行认证操作，该认证操作包括：对与源地址信息相应的访问设备和访问用户进行认证；

控制单元，用于响应于对所述敲门包数据认证通过，开放所述源地址信息对所述目标地址信息、TCP端口信息的访问控制，其中，TCP端口仅对认证数据开放访问权限。

根据本发明的第三方面，提供一种访问数据处理***，所述***包括上述的访问数据处理装置和访问设备。

根据本发明的第四方面，提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法的步骤。

根据本发明的第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。

由上述技术方案可知，通过监听DTLS UDP端口接收与该端口协议相应的敲门包数据并对该数据进行认证操作，在认证操作通过时，才开放源地址信息对目标地址信息、TCP端口信息的访问权限，从而可以有效防止应用端口被扫描与侦测，从而可以提高网络安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的访问数据处理方法的流程图；

图2是根据本发明实施例的访问数据处理***的结构框图；

图3是根据本发明实施例的访问数据处理装置的结构框图；

图4是根据本发明实施例的访问数据处理***的示例架构图；

图5是根据本发明实施例的基于图4***的访问数据处理流程图；

图6为本发明实施例的电子设备600的***构成的示意框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，应用端口信息是完全开放的，传统的防守方法无法主动防御攻击者的端口扫描与侦测行为，只能被动地进行攻击行为防御，从而可能导致防御失效而造成网络安全风险。基于此，本发明实施例提供一种访问数据处理方案，针对现有网络安全防御的不足，该方案可以在攻击者实际攻击行为发生前，在攻击者进行端口扫描与侦测阶段，就防止这种对应用服务端口的信息收集行为。攻击者无法获知应用服务端口等信息，也就无从探测应用服务，无法从***、中间件、应用逻辑上尝试对应用发动攻击，从而避免了后续的有针对性的攻击行为。该方案可以有效防止应用端口被扫描与侦测，提高网络安全。以下结合附图来详细描述本发明实施例。

图1是根据本发明实施例的访问数据处理方法的流程图，如图1所示，该方法包括：

步骤101，通过监听DTLS UDP(Datagram Transport Layer Security UserDatagram Protocol，数据包传输层安全性协议用户数据包协议)端口接收与该端口协议相应的敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息和传输控制协议(TCP，Transmission Control Protocol)端口信息，以及访问设备标识。

步骤102，根据预定规则对所述敲门包数据进行认证操作，该认证操作包括：对与源地址信息相应的访问设备和访问用户进行认证。

在一个实施例中，该敲门包数据为：单包授权DTLS UDP SPA(Single PacketAuthorization，单包授权认证)敲门包数据。

对敲门包数据进行认证操作具体为：根据预设的秘钥对所述敲门包数据进行SPA授权信息认证。具体地，可以根据预设的秘钥对所述敲门包数据进行解包操作；响应于解包操作成功，对所述敲门包数据进行SPA授权信息认证。

在认证操作中，可以根据敲门包数据中的访问设备标识对访问设备进行认证，根据源地址信息对访问用户进行认证。

步骤103，响应于对所述敲门包数据认证通过，开放所述源地址信息对所述目标地址信息、TCP端口信息的访问控制，其中，TCP端口仅对认证数据开放访问权限。

在具体实施过程中，响应于所述DTLS UDP端口接收到与该端口协议不符的数据、响应于对所述敲门包数据认证失败、或者响应于对所述敲门包数据解包操作失败，仅执行丢弃数据操作，而不执行任何反馈操作，避免攻击者从反馈信息进行信息收集或进行***攻击。

由以上描述可知，通过监听DTLS UDP端口接收与该端口协议相应的敲门包数据并对该数据进行认证操作，在认证操作通过时，才开放源地址信息对目标地址信息、TCP端口信息的访问权限，从而可以有效防止应用端口被扫描与侦测，提高网络安全。

本发明实施例基于DTLS协议，利用UDP协议不需进行通信握手的原理，通过只监听DTLS UDP SPA(单包授权认证)敲门包，根据预设的密钥解封通过DTLS封装过的UDP包，如无法解包，或解封后数据包类型有误，则丢弃，如解包后正常，再进一步认证其中的SPA授权信息。

在实际操作中，可以对解包后的数据进行多重认证，根据预设密钥、DTLS协议加密、SPA授权信息来确认设备与用户身份。对于其他无预设密钥的包，都不进行回应，只有包含了预设密钥、客户端设备标识、用户源IP地址、访问目标及端口的UDP包，服务端才进行数据的合法性校验。校验部分包括是否为重放信息、是否为伪造信息、用户身份是否经过验证、设备标识是否经过验证等，确认连接设备与用户为授权用户。通过验证后，可以更新本地的防火墙策略，根据敲门包中的客户端信息与访问的目标及端口，开放合法设备对真正应用业务的访问。如此，可以防止攻击者对应用业务端口的扫描与侦测行为，最大限度地保障***的安全性。

基于相似的发明构思，本发明实施例还提供一种访问数据处理***，如图2所示，该***包括：访问设备1和访问数据处理装置2，其中，访问数据处理装置2优选地可用于实现上述访问数据处理方法的流程。

图3是该访问数据处理装置2的结构框图，如图3所示，该访问数据处理装置2包括：数据接收单元21、认证单元22和控制单元23，其中：

数据接收单元21，用于通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息和传输控制协议(TCP)端口信息。

认证单元22，用于根据预定规则对所述敲门包数据进行认证操作，该认证操作包括：对与源地址信息相应的访问设备和访问用户进行认证。

在一个实施例中，敲门包数据为：单包授权DTLS UDP SPA敲门包数据，所述敲门包数据还包括：访问设备标识。

认证单元具体用于：根据预设的秘钥对所述敲门包数据进行SPA授权信息认证，其中，根据所述访问设备标识对所述访问设备进行认证，根据所述源地址信息对所述访问用户进行认证。

在一个实施例中，认证单元包括：解包模块和认证模块，其中：

解包模块，用于根据预设的秘钥对所述敲门包数据进行解包操作；

认证模块，用于响应于解包操作成功，对所述敲门包数据进行SPA授权信息认证。

控制单元23，用于响应于对所述敲门包数据认证通过，开放所述源地址信息对所述目标地址信息、TCP端口信息的访问控制，其中，TCP端口仅对认证数据开放访问权限。

在具体实施过程中，上述装置2还包括：处理单元，用于响应于所述DTLS UDP端口接收到与该端口协议不符的数据、响应于对所述敲门包数据认证失败、或者响应于对所述敲门包数据解包操作失败，仅执行丢弃数据操作。

由以上描述可知，通过数据接收单元21监听DTLS UDP端口接收与该端口协议相应的敲门包数据，认证单元22对该数据进行认证操作，在认证操作通过时，控制单元23开放源地址信息对目标地址信息、TCP端口信息的访问权限，从而可以有效防止应用端口被扫描与侦测，提高网络安全。

上述各单元、各模块的具体执行过程，可以参见上述方法实施例中的描述，此处不再赘述。

在实际操作中，上述各单元、各模块可以组合设置、也可以单一设置，本发明不限于此。

为了更好地理解本发明，以下结合图4所示的示例***来详细描述本发明实施例。

图4是访问数据处理***的示例架构图，如图4所示，该***包括：模块1业务安全访问控制模块、模块2验证评估模块、模块3动态访问控制模块，以下分别描述这三个模块。

模块1业务安全访问控制模块监听UDP认证端口，只接受经过DTLS加密协议封装的UDP数据包，即服务端通过预设的密钥解封数据包，确认数据包是通过DTLS封装过的UDP包，如无法解包，或解封后数据包类型有误，则丢弃，如通过则再进一步认证数据包中的SPA授权信息，包括用户所使用的接入设备标识，用户源IP地址与访问目标与端口等信息。由于UDP没有连接握手机制，对于不符合DTLS封装的UDP包，模块1业务安全访问控制模块不会予以任何响应，攻击者无法从该设计功能的UDP监听端口获取任何信息。

模块1业务安全访问控制模块收到经过DTLS加密协议封装的UDP数据后，传输给模块2验证评估模块，模块2验证评估模块进行数据的合法性校验，在能够以预设密钥打开DTLS数据包，并确认解封后的数据包类型后，进一步校验数据包内容，验证评估模块从数据的时间戳哈希值，数据处理缓存历史判断数据包是否是重放信息，验证数据包中的SAP信息确认用户身份是否经过验证，从用户认证授权与历史访问记录，进一步判断数据包是否是伪造信息，从可信设备验证用户访问的设备标识是否是历史可信设备，如为新设备则进一步进行短信验证码等方式进行设备与人的认证，当模块2验证评估模块对数据包的验证失败时，丢弃该数据包，同时不给客户端任何反馈信息，避免攻击者从反馈信息进行信息收集或进行***攻击。

模块2验证评估模块通过对用户的DTLS UDP SAP认证请求后，模块3动态访问控制模块打开在认证包中包含的用户源IP地址对应用目标和端口的访问控制，即通过本机防火墙，放开认证后的访问关系，放开用户源IP地址到目标***目的地址的访问控制，此时可靠的应用业务地址与端口才面向用户开放服务。

图5是基于图4***的访问数据处理流程图，如图5所示，该流程包括：

步骤S1，业务安全访问控制模块关闭业务TCP端口，监听DTLS UDP端口；

步骤S2，UDP端口收到请求；

步骤S3，判断是否为DTLS UDP SAP请求，如果是，则进行步骤S5，否则进行步骤S4；

步骤S4，将请求丢弃；

行步骤S5，验证请求是否包括用户预设密钥，并对用户身份、是否为重放或伪造请求、设备标识等进行验证，如果验证通过，则进行步骤S6，否则，执行步骤S4；

步骤S6，动态访问控制模块放开用户源IP访问目标***与端口的访问控制。

由以上描述可知，本发明实施例提出了一种防止端口被扫描与侦测的***，以DTLS UDP SAP认证的方式，隐藏真正服务的地址与端口，防止真正业务被扫描侦测。通过对访问设备、用户双认证方式，可以验证用户访问请求，只有验证通过才能够访问应用，进一步提高了网络安全。

在实际操作中，配合常规网络安全防御设备，可以对攻击者进行源IP与设备标识进行溯源反制。

本实施例还提供一种电子设备，该电子设备可以是台式计算机、平板电脑及移动终端等，本实施例不限于此。在本实施例中，该电子设备可以参照上述方法实施例进行实施及访问数据处理装置/***的实施例进行实施，其内容被合并于此，重复之处不再赘述。

图6为本发明实施例的电子设备600的***构成的示意框图。如图6所示，该电子设备600可以包括中央处理器100和存储器140；存储器140耦合到中央处理器100。值得注意的是，该图是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。

一实施例中，访问数据处理功能可以被集成到中央处理器100中。其中，中央处理器100可以被配置为进行如下控制：

从上述描述可知，本申请实施例提供的电子设备，通过监听DTLS UDP端口接收与该端口协议相应的敲门包数据并对该数据进行认证操作，在认证操作通过时，才开放源地址信息对目标地址信息、TCP端口信息的访问权限，从而可以有效防止应用端口被扫描与侦测，提高网络安全。

在另一个实施方式中，访问数据处理装置/***可以与中央处理器100分开配置，例如可以将访问数据处理装置/***配置为与中央处理器100连接的芯片，通过中央处理器的控制来实现访问数据处理功能。

如图6所示，该电子设备600还可以包括：通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是，电子设备600也并不是必须要包括图6中所示的所有部件；此外，电子设备600还可以包括图6中没有示出的部件，可以参考现有技术。

如图6所示，中央处理器100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器100接收输入并控制电子设备600的各个部件的操作。

其中，存储器140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序，以实现信息存储或处理等。

输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器，但并不限于此。

该存储器140可以是固态存储器，例如，只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142，该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。

存储器140还可以包括数据存储部143，该数据存储部143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。

通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。

基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132，以经由扬声器131提供音频输出，并接收来自麦克风132的音频输入，从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器130还耦合到中央处理器100，从而使得可以通过麦克风132能够在本机上录音，且使得可以通过扬声器131来播放本机上存储的声音。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时以实现上述访问数据处理方法的步骤。

综上所述，本发明实施例提供了一种防止端口扫描与侦测方案，针对现有网络安全防御的不足，提供了一种在攻击者实际攻击行为发生前，在攻击者进行端口扫描与侦测阶段，就防止这种对应用的服务端口的信息收集行为。通过本发明实施例，防止了攻击者对应用业务端口的扫描与侦测行为，最大限度地保障了***的安全性。

以上参照附图描述了本发明的优选实施方式。这些实施方式的许多特征和优点根据该详细的说明书是清楚的，因此权利要求旨在覆盖这些实施方式的落入其真实精神和范围内的所有这些特征和优点。此外，由于本领域的技术人员容易想到很多修改和改变，因此不是要将本发明的实施方式限于所例示和描述的精确结构和操作，而是可以涵盖落入其范围内的所有合适修改和等同物。

本领域内的技术人员应明白，本发明的实施例可提供为方法、***、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种访问数据处理方法，其特征在于，所述方法包括：

通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据为：单包授权DTLS UDP SPA敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息、传输控制协议TCP端口信息和访问设备标识；

根据预设的秘钥对所述敲门包数据进行解包操作，响应于解包操作成功，对所述敲门包数据进行SPA授权信息认证，其中，根据所述访问设备标识对所述访问设备进行认证，根据所述源地址信息对所述访问用户进行认证；

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

响应于所述DTLS UDP端口接收到与该端口协议不符的数据、响应于对所述敲门包数据认证失败、或者响应于对所述敲门包数据解包操作失败，仅执行丢弃数据操作。

3.一种访问数据处理装置，其特征在于，所述装置包括：

数据接收单元，用于通过监听用户数据包协议DTLS UDP端口接收与该端口协议相应的敲门包数据，所述敲门包数据为：单包授权DTLS UDP SPA敲门包数据，所述敲门包数据包括：源地址信息、预访问的目标地址信息、传输控制协议TCP端口信息和访问设备标识；

认证单元包括解包模块和认证模块，所述解包模块，用于根据预设的秘钥对所述敲门包数据进行解包操作；所述认证模块，用于响应于解包操作成功，对所述敲门包数据进行SPA授权信息认证，其中，根据所述访问设备标识对所述访问设备进行认证，根据所述源地址信息对所述访问用户进行认证；

4.根据权利要求3所述的装置，其特征在于，所述装置还包括：

处理单元，用于响应于所述DTLS UDP端口接收到与该端口协议不符的数据、响应于对所述敲门包数据认证失败、或者响应于对所述敲门包数据解包操作失败，仅执行丢弃数据操作。

5.一种访问数据处理***，其特征在于，所述***包括：如权利要求3至4中任一项所述的访问数据处理装置、访问设备。

6.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至2中任一项所述方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至2中任一项所述方法的步骤。