(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210722625.3 (22)申请日 2022.06.20 (71)申请人 江苏易安联网络技 术有限公司 地址 211111 江苏省南京市江宁区秣陵街 道秣周东路12号悠谷 孵化器4楼401室 (72)发明人 秦益飞　赵越　张玉健　杨正权　 (74)专利代理 机构 南京华恒专利代理事务所 (普通合伙) 32335 专利代理师 裴素艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种引入OTP动态选择端口的单包授权方法 及系统 (57)摘要 本发明公开了引入OTP动态选择端口的单包 授权方法及系统， 包括： 将当前时间戳、 原始密钥 作为OTP计算因子进行哈希计算， 得到OTP密码， 根据OTP密码选择白名单端口号作为动态端口； 客户端获取用户的身份信息， 将身份信息与OTP 密码打包生成SPA数据包， 将SPA数据包发送至动 态端口； 服务端对动态端口进行监听， 在收到客 户端发送的SPA数据包时执行验证， 若验证成功， 服务端打开服务端口进行数据传输， 若验证失 败， 则丢弃SPA数据包， 返回监听状态。 本发明将 OTP机制引入单包授权系统中， 不仅用于身份验 证， 且通过OTP选择由客户端及服务端都信任的 动态端口， 提高了系统的安全性。 权利要求书2页 说明书6页 附图5页 CN 115277089 A 2022.11.01 CN 115277089 A 1.一种引入OTP动态选择端口 的单包授权方法， 其特 征在于， 包括如下步骤： 将当前时间戳、 原始密钥作为OTP计算因子进行哈希计算， 得到OTP密码， 根据OTP密码 选择白名单端口号作为动态端口； 客户端获取用户的身份信息， 将身份信息与OTP密码打包生成SPA数据包， 将SPA数据包 发送至动态端口； 服务端对动态端口进行监听， 在收到客户端发送的SPA数据包时执行验证， 若验证成 功， 服务端打开 服务端口进行 数据传输， 若验证失败， 则丢弃S PA数据包， 返回监听状态。 2.根据权利 要求1所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述OTP 密码设有 有效时间， 若在有效时间内没有验证OTP密码， 则OTP密码失效。 3.根据权利要求1或2所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述 客户端的IP地址需为服务端IP白名单中的合法用户， 所述服务端存储有与客户端请求用户 相同的原 始密钥。 4.根据权利要求3所述的引入OTP动态选择端口的单包授权方法， 其特征在于， 所述动 态端口的计算过程如下： 获取当前时间戳； 将当前时间戳与原 始密钥进行哈希计算， 计算公式为： TOTP(K， C)  = Truncate(H MAC‑SHA‑1(K， T)) 其中K为原 始密钥， T为当前时间戳； 截取计算得到散列结果中的六位十进制数得到OTP密码， 将OTP密码对10进行取模， 将 取模结果作为白名单端口号中的选择序号。 5.根据权利要求4所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述用 户的身份信息包括用户名、 固定口令、 IP地址 。 6.根据权利要求5所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述客 户端将用户的身份信息、 OTP密码进 行哈希计算得到散列， 将散列、 用户名、 客户端IP地址组 合成列表后打包成S PA数据包进行传输； 服务端获取SPA数据包的源IP地址， 判断是否为IP白名单中的合法用户； 若为合法用 户， 服务端对SPA数据包进 行解码， 解码后得到原始信息列 表； 同时服务端将用户名、 固定口 令、 源IP地址、 OTP密码进 行哈希计算， 将 计算结果与 原始信息列 表中的散列比较， 若比较结 果一致， 则验证成功， 进入防火墙策略。 7.根据权利要求6所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述服 务器采用离线散列验证方式进行验证。 8.根据权利 要求1所述的引入OTP动态选择端口的单包授权方法， 其特征在于： 所述OTP 密码包括原 始密钥、 动态因子、 密钥产生器以及生成的密钥。 9.一种引入OTP动态选择端口的单包授权系统， 其特征在于： 包括客户端、 服务端， 所述 客户端包括OTP动态端口生 成模块一和授权数据包打包模块， 所述服务端包括OTP动态端口 生成模块二、 授权数据包验证模块、 防火墙策略模块， 所述客户端提前在服务端注册为合法 用户， 所述 服务端存储有与来自客户端请求用户相同的原 始密钥； 所述OTP动态端口生成模块一将当前时间戳、 原始密钥作 为OTP计算因子进行哈希计算 得到OTP密码， 采用OTP密码选择白名单端口号作为动态端口； 所述授权数据包打包模块一权　利　要　求　书 1/2 页 2 CN 115277089 A 2获取用户的身份信息， 将身份信息、 OTP密码进行哈希计算并打包得到SPA数据包， 将SPA数 据包发送至动态端口； 所述OTP动态端口生成模块二获取与客户端同步的当前时间戳以及来自客户端请求用 户的原始密钥， 将当前时间戳、 来自客户端请求用户的原始密钥作为OTP 计算因子进 行哈希 计算得到OTP密码， 采用OTP密码选择白名单端口号作为动态端口； 所述授权数据包验证模 块用于监听动态端口， 对来自动态端口的SPA数据包进 行验证； 所述防火墙策略模块用于针 对验证通过的S PA数据包开启临时防火墙策略线程。 10.根据权利要求9所述引入OTP动态选择端口 的单包授权系统， 其特 征在于， 所述授权数据包打包模块包括： 将用户的身份信息、 OTP密码进行哈希计算得到散列， 将散列、 用户名、 客户端IP地址组合成列表后打包成S PA数据包进行传输； 所述单包授权数据包包括： 获取SPA数据包的源IP地址， 判断是否为IP白名单中的合法 用户； 若为合法用户， 对SPA数据包进行解码， 解码后得到原始信息列表； 同时将用户名、 固 定口令、 源IP地址、 OTP密码进 行哈希计算， 将 计算结果与 原始信息列表中的散列比较， 比较 结果一致， 判定验证成功； 所述防火墙策略模块将验证通过的用户IP的流量置为ACCEPT， 维持时长为30s， 若OTP 密码过期或者超时， 则回到初始状态。权　利　要　求　书 2/2 页 3 CN 115277089 A 3