(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211043829.0 (22)申请日 2022.08.30 (65)同一申请的已公布的文献号 申请公布号 CN 115118442 A (43)申请公布日 2022.09.27 (73)专利权人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 41/40(2022.01) (56)对比文件 CN 114553568 A,202 2.05.27CN 10791 1381 A,2018.04.13 JP 2007058455 A,2007.03.08 审查员 宁波 (54)发明名称 一种软件定义边界框架下的端口保护方法 及装置 (57)摘要 本申请公开了一种软件定义边界框架下的 端口保护方法及装置， 包括： 客户端根据待访问 的业务服务器IP地址、 目标端口和客户端 IP地址 生成第一SPA密钥获取请求， 若控制服务器中存 在第一访问策略以访问目标端口， 生成第一SPA 密钥并下发， 客户端基于随机数、 第一SPA密钥、 目标端口、 客户端IP地址生 成端口访问请求发送 给业务服务器， 业务服务器根据解析结果中的参 数生成第二SPA密钥获取请求， 若控制服务器中 存在第二访问策略以访问目标端口， 下发第二 SPA密钥， 业务服务器根据随机数以及第二SPA密 钥生成第二哈希消息认证码， 若第二哈希消息认 证码与第一哈希消息认证码相同， 业务服务器开 放目标端口。 所述方法可有效防止恶意 攻击。 权利要求书4页 说明书12页 附图2页 CN 115118442 B 2022.11.22 CN 115118442 B 1.一种软件定义 边界框架下的端口保护方法， 其特 征在于， 所述方法包括： 步骤S1： 客户端生成身份认证请求， 并将所述身份认证请求发送给控制服 务器； 步骤S2： 所述控制服务器对所述身份认证请求进行验证， 若验证通过， 则将验证通过结 果返回给 所述客户端， 执 行步骤S3， 否则， 向所述 客户端返回验证未通过 结果； 步骤S3： 所述客户端根据待访问的业务服务器IP地址、 待访问的目标端 口以及客户端 IP地址生成第一S PA密钥获取请求， 将所述第一S PA密钥获取请求发送给 所述控制服 务器； 步骤S4： 所述控制服务器根据接收的所述第一SPA密钥获取请求判断数据库中是否存 在第一访问策略以使所述客户端IP地址能对所述业务服务器IP地址以及所述目标端口进 行访问， 若存在， 则生成第一SPA密钥， 并对所述第一SPA密钥与所述第一访问策略进行关 联， 将所述第一SPA密钥下发给所述客户端， 执行步骤S 5， 若不存在， 则向所述客户端返回密 钥获取失败响应； 步骤S5： 所述客户端获取目标数据， 并根据所述目标数据以及所述第一SPA密钥生成第 一哈希消息认证码， 基于所述目标端口、 所述客户端IP地址以及所述第一哈希消息认证码 生成端口访问请求， 将所述端口访问请求发送给业 务服务器； 步骤S6： 所述业务服务器对所述端口访问请求进行解析， 根据解析结果中的目标端口、 客户端IP地址以及业务服务器IP地址生 成第二SPA密钥获取请求， 将所述第二SPA密钥获取 请求发送给 所述控制服 务器； 步骤S7： 所述控制服务器根据接收的所述第二SPA密钥获取请求判断数据库中是否存 在第二访问策略以使 所述第二SPA密钥获取请求中的客户端IP地址能对业务服务器IP地址 以及目标端口进 行访问， 若存在， 则将所述第二访问策略关联的第二SPA密钥下发给所述业 务服务器， 并执 行步骤S8， 若不存在， 则向所述 业务服务器返回密钥获取失败响应； 步骤S8： 所述业务服务器基于所述第二SPA密钥生成第二哈希消息认证码， 并判断所述 第二哈希消息认证码与解析结果中的第一哈希消息认证码是否相同， 若相同， 执行步骤S9， 若不相同， 则向所述 客户端返回端口访问失败响应； 步骤S9： 所述业务服务器开放所述目标端口， 并将所述目标端口的开放结果返回给所 述客户端。 2.根据权利要求1所述的方法， 其特 征在于， 所述 业务服务器开放所述目标端口， 包括： 所述业务服务器将解析结果中的客户端IP地址以及目标端口记录至本地数据库中， 完 成对所述目标端口 的开放操作； 所述步骤S9之后， 还 包括： 步骤S10： 所述业务服务器接收所述客户端发送的业务请求， 并对所述业务请求进行解 析获得客户端IP地址、 待访问端口以及业 务数据； 步骤S11： 所述业务服务器对解析获得的客户端IP地址以及待访问端口与本地数据库 中记录的客户端IP地址以及目标端口进行匹配， 若匹配成功， 则允许所述业务数据通过路 由并对所述目标端口进行访问， 执 行步骤S12， 否则， 向所述 客户端返回端口访问失败响应； 步骤S12： 所述业务服务器针对所述业务请求生成业务响应结果， 并将所述业务响应结 果返回给 所述客户端。 3.根据权利要求1所述的方法， 其特 征在于， 所述 开放所述目标端口之后， 还 包括： 所述业务服务器获取 所述目标端口 的开放时长；权　利　要　求　书 1/4 页 2 CN 115118442 B 2所述业务服务器判断所述开放时长是否到达预设时长， 若是， 则对所述目标端口进行 关闭， 若否， 则保持所述目标端口处于开 放状态。 4.根据权利要求3所述的方法， 其特 征在于， 所述对所述目标端口进行关闭， 包括： 判断所述目标端口当前是否被访 问， 若是， 则保持所述目标端口处于开放状态直至访 问结束， 若否， 则对所述目标端口进行关闭。 5.根据权利要求1所述的方法， 其特 征在于， 所述 生成第一S PA密钥， 包括： 所述控制服 务器获取系统时间及计数因子； 所述控制服 务器对系统时间和计数因子按预设运 算方式进行运 算， 生成第一S PA密钥。 6.根据权利要求1所述的方法， 其特 征在于， 所述 生成第一S PA密钥， 包括： 所述控制服 务器以随机方式生成第一S PA密钥。 7.根据权利要求1所述的方法， 其特征在于， 所述将所述第二访问策略关联的第二SPA 密钥下发给 所述业务服务器， 包括： 所述控制服务器获取当前系统时间以及所述第 二访问策略关联的第二SPA密钥的生成 时间， 并从所述第二访问策略中获取密钥有效时长； 所述控制服务器判断所述当前系统时间是否大于等于所述第 二SPA密钥的生成时间与 密钥有效时长 之和， 若否， 则所述第二访问策略关联的第二SPA密钥有效， 将所述第二SPA密 钥下发给所述业务服务器， 并执行步骤S8， 若是， 则将所述第二访问策 略关联的第二SPA密 钥作废， 并向所述 业务服务器返回密钥获取失败响应。 8.根据权利要求1所述的方法， 其特征在于， 所述目标数据具体为随机数， 所述步骤S5 包括： 所述客户端获取随机数， 并根据所述随机数以及所述第一SPA密钥生成第一哈希消息 认证码， 基于所述目标端口、 所述客户端IP地址、 所述随机数以及所述第一哈希消息认证码 生成端口访问请求， 将所述端口访问请求发送给业 务服务器； 所述步骤S8包括： 所述业务服务器根据解析结果中的随机数以及所述第 二SPA密钥生成第 二哈希消息认 证码， 并判断所述第二哈希消息认证码与解析结果中的第一哈希消息认证码是否相同， 若 相同， 执行步骤S9， 若不相同， 则向所述 客户端返回端口访问失败响应。 9.根据权利要求1所述的方法， 其特征在于， 所述目标数据具体为第一时间， 所述步骤 S5包括： 所述客户端获取第一时间， 并根据所述第一时间以及所述第一SPA密钥生成第一哈希 消息认证码， 基于所述 目标端口、 所述客户端IP地址以及所述第一哈希消息认证码生成端 口访问请求， 将所述端口访问请求发送给业 务服务器， 所述第一时间为 客户端当前时间； 所述步骤S8包括： 所述业务服务器获取第二时间， 并根据所述第二时间以及所述第二SPA密钥生成第二 哈希消息认证码， 所述第二时间为 业务服务器当前时间； 所述业务服务器判断所述第二哈希消息认证码与解析结果中的第一哈希消息认证码 是否相同， 若相同， 执 行步骤S9， 若不相同， 则向所述 客户端返回端口访问失败响应。 10.根据权利要求9所述的方法， 其特征在于， 若判断所述第二哈希消息认证码与解析 结果中的第一哈希消息认证码不相同， 则向所述 客户端返回端口访问失败响应， 包括：权　利　要　求　书 2/4 页 3 CN 115118442 B 3