本公开实施例公开了一种数据传输方法、设备、介质及产品,该方法包括:向目的服务器的目的端口首次发送首数据包;接收所述目的服务器发送的目的不可达消息,所述目的不可达消息用于指示客户端发起认证;响应于接收所述目的不可达消息,生成并返回认证数据包,所述认证数据包中携带认证信息;重新向目的服务器的目的端口发送所述首数据包。该技术方案可以消减交付型数据中心中底层网络暴露面的安全风险,保护云平台。护云平台。护云平台。
【技术实现步骤摘要】
数据传输方法、设备、介质及产品
[0001]本公开实施例涉及通信
,具体涉及一种数据传输方法、设备、介质及产品。
技术介绍
[0002]在新型的交付型数据中心场景中,云平台的服务提供者会将物理服务器这些物理网络部署到用户的机房中,并将云产品部署到这些物理服务器上,如此,云平台的underlay(底层)网络会暴露于服务商的网络隔离和安全运维的边界之外,极大依赖于用户的管理和防护手段,通过底层网络攻击云平台的风险急剧上升。云平台东西向、南北向通信暴露在底层网络上,可以被实施网络嗅探、报文劫持/篡改、监听端口扫描和端口攻击等网络攻击,因此,如何消减交付型数据中心中底层网络暴露面的安全风险,保护云平台成为目前亟待解决的技术问题。
技术实现思路
[0003]本公开实施例提供一种数据传输方法、设备、介质及产品。
[0004]第一方面,本公开实施例中提供了一种数据传输方法。
[0005]具体的,所述数据传输方法,包括:
[0006]向目的服务器的目的端口首次发送首数据包;
[0007]接收所述目的服务器发送的目的不可达消息,所述目的不可达消息用于指示客户端发起认证;
[0008]响应于接收所述目的不可达消息,生成并返回认证数据包,所述认证数据包中携带认证信息;
[0009]重新向目的服务器的目的端口发送所述首数据包。
[0010]在一种可能的实现方式中,所述目的不可达消息中携带有随机值,所述方法还包括:
[0011]获取所述客户端的共享密钥;r/>[0012]使用所述共享密钥对所述随机值和待加密信息进行加密计算,得到认证码,所述待加密信息包括客户端标识,或者还包括当前时间戳;
[0013]所述生成并返回认证数据包,包括:
[0014]将所述待加密信息和所述认证码封装在数据包内,生成认证数据包;
[0015]向所述目的服务器发送所述认证数据包。
[0016]在一种可能的实现方式中,所述响应于接收所述目的不可达消息,生成并返回认证数据包,包括:
[0017]通过所述客户端的传输层或套接层响应所述目的不可达消息,生成并返回认证数据包,所述套接层位于协议栈中的传输层和应用层之间。
[0018]在一种可能的实现方式中,所述方法还包括:
[0019]定期接收所述目的服务器发送的目的不可达消息。
[0020]在一种可能的实现方式中,所述使用所述共享密钥对所述随机值和待加密信息进行加密计算,得到认证码,包括:
[0021]使用所述共享密钥对所述随机值、待加密信息以及认证次数进行加密计算,得到认证码,所述认证次数包括所述客户端被所述目的服务器指示发起认证的次数。
[0022]第二方面,本公开实施例中提供了一种数据传输方法。
[0023]具体的,所述数据传输方法,包括:
[0024]在接收到客户端首次发送的首数据包时,丢弃所述首数据包;
[0025]向所述客户端返回目的不可达消息,所述目的不可达消息用于指示客户端发起认证;
[0026]接收所述客户端发送的认证数据包,所述认证数据包中携带认证信息;
[0027]基于所述认证信息确定所述客户端具有访问目的端口的权限时,为所述客户端放通所述目的端口的访问;
[0028]通过所述目的端口接收所述客户端重新发送的所述首数据包。
[0029]在一种可能的实施方式中,所述目的不可达消息中携带有随机值,所述认证信息包括待加密信息和认证码,所述待加密信息包括客户端标识,或者还包括当前时间戳;所述基于所述认证信息确定所述客户端具有访问目的端口的权限,包括:
[0030]基于所述客户端标识查询得到所述客户端的共享密钥和访问权限,所述访问权限用于限定所述客户端在所述目的服务器的可访问端口;
[0031]使用所述共享密钥对所述随机值和所述待加密信息进行加密计算,得到验证码;
[0032]在所述验证码和所述认证码相同时,若所述客户端在所述目的服务器的可访问端口包括所述首数据包要到达的目的端口,则确定所述客户端具有访问目的端口的权限。
[0033]在一种可能的实施方式中,在为所述客户端放通所述目的端口的访问之后,所述方法还包括:
[0034]定期向所述客户端发送目的不可达消息。
[0035]在一种可能的实施方式中,所述使用所述共享密钥对所述随机值和所述待加密信息进行加密计算,得到验证码,包括:
[0036]使用所述共享密钥对所述随机值、待加密信息以及验证次数进行加密计算,得到验证码,所述验证次数包括所述目的服务器对所述客户端是否具有访问目的端口权限进行验证的次数。
[0037]第三方面,本公开实施例中提供了一种数据传输方法。
[0038]具体的,所述数据传输方法,包括:
[0039]所述客户端执行第一方面中所述的方法,所述目的服务器执行第二方面中所述的方法。
[0040]第四方面,本公开实施例中提供了一种数据传输装置。
[0041]具体的,所述数据传输装置,包括:
[0042]第一发送模块,被配置为向目的服务器的目的端口首次发送首数据包;
[0043]第一接收模块,被配置为接收所述目的服务器发送的目的不可达消息,所述目的不可达消息用于指示客户端发起认证;
[0044]响应模块,被配置为响应于接收所述目的不可达消息,生成并返回认证数据包,所述认证数据包中携带认证信息;
[0045]第二发送模块,被配置为重新向目的服务器的目的端口发送所述首数据包。
[0046]在一种可能的实现方式中,所述目的不可达消息中携带有随机值,所述装置还包括:
[0047]第一获取模块,被配置为获取所述客户端的共享密钥;
[0048]第一计算模块,被配置为使用所述共享密钥对所述随机值和待加密信息进行加密计算,得到认证码,所述待加密信息包括客户端标识,或者还包括当前时间戳;
[0049]所述响应模块中生成并返回认证数据包的部分被配置为:
[0050]将所述待加密信息和所述认证码封装在数据包内,生成认证数据包;
[0051]向所述目的服务器发送所述认证数据包。
[0052]在一种可能的实现方式中,所述响应模块中响应于接收所述目的不可达消息,生成并返回认证数据包的部分被配置为:
[0053]通过所述客户端的传输层或套接层响应所述目的不可达消息,生成并返回认证数据包,所述套接层位于协议栈中的传输层和应用层之间。
[0054]在一种可能的实现方式中,所述装置还包括:
[0055]第二接收模块,被配置为定期接收所述目的服务器发送的目的不可达消息。
[0056]在一种可能的实现方式中,所述第一计算模块被配置为:
[0057]使用所述共享密钥对所述随机值、待加密信息以及认证次数进行加密计算,得到认证码,所述认证次数包括所述客户端被所述目的服务器指示发起认证的次数。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据传输方法,其中,包括:向目的服务器的目的端口首次发送首数据包;接收所述目的服务器发送的目的不可达消息,所述目的不可达消息用于指示客户端发起认证;响应于接收所述目的不可达消息,生成并返回认证数据包,所述认证数据包中携带认证信息;重新向目的服务器的目的端口发送所述首数据包。2.根据权利要求1所述的方法,其中,所述目的不可达消息中携带有随机值,所述方法还包括:获取所述客户端的共享密钥;使用所述共享密钥对所述随机值和待加密信息进行加密计算,得到认证码,所述待加密信息包括客户端标识,或者还包括当前时间戳;所述生成并返回认证数据包,包括:将所述待加密信息和所述认证码封装在数据包内,生成认证数据包;向所述目的服务器发送所述认证数据包。3.根据权利要求1所述的方法,其中,所述响应于接收所述目的不可达消息,生成并返回认证数据包,包括:通过所述客户端的传输层或套接层响应所述目的不可达消息,生成并返回认证数据包,所述套接层位于协议栈中的传输层和应用层之间。4.根据权利要求1或2所述的方法,其中,所述方法还包括:定期接收所述目的服务器发送的目的不可达消息。5.根据权利要求4所述的方法,其中,所述使用所述共享密钥对所述随机值和待加密信息进行加密计算,得到认证码,包括:使用所述共享密钥对所述随机值、待加密信息以及认证次数进行加密计算,得到认证码,所述认证次数包括所述客户端被所述目的服务器指示发起认证的次数。6.一种数据传输方法,其中,包括:在接收到客户端首次发送的首数据包时,丢弃所述首数据包;向所述客户端返回目的不可达消息,所述目的不可达消息用于指示客户端发起认证;接收所述客户端发送的认证数据包,所述认证数据包中携带认证信息;基于所述认证信息确定所述客户端具有访问目的端口的权限时,为所述客户端放通所述目的端口的访问;通过所述目的端口接收所述客户端重新发送的所述首数据包。7.根据权利要求6所述的方法,...
【专利技术属性】
技术研发人员:聂百川,
申请(专利权)人:阿里巴巴中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。