网络访问认证:从端口敲门到单包授权的技术剖析
1. 加密端口敲门序列
端口敲门是一种网络认证技术,可通过对称加密算法(如美国国家标准与技术研究院(NIST)选定用于高级加密标准的Rijndael 密码算法)对端口敲门序列进行加密,为其添加强大的加密层,不过这会带来密钥管理的额外负担。
为了防止信息被窥探,应在加密的端口敲门序列中尽可能多地编码信息。至少要将允许通过数据包过滤器访问的源 IP 地址、协议和端口号编码在加密负载中。具体来说:
-IP 地址:32 位无符号整数,可表示为四个 8 位值,例如 187.23.1.4。
-IP 协议号:单个 8 位值,如 1(ICMP)、6(TCP)或 17(UDP)。
-端口号:16 位无符号短整数,可表示为两个 8 位值,例如 6000 = (0x17 << 8) | 0x70。
若要让端口敲门服务器为 IP 地址 207.44.10.34 开放 TCP 端口 22,需加密字节 6、22、207、44、10 和 34(即 0x06、0x16、0xcf、0x2c、0x10 和 0x22)。由于 Rijndael 密码算法的最小块大小为 16 字节,所以需填充剩余的 9 字节。这里用 8 字节表示用户名,1 字节作为最小校验和值。假设用户名是“mbr”,其十六进制字节为 0x6d、0x62、0x72,再填充五个零。
校验和计算为所有值的总和对 256 取模:
(0x06)
