27、端口敲门与单包授权技术解析

端口敲门与单包授权技术解析

1. 单包授权（SPA）在短连接场景的局限性及应对策略

在默认丢弃规则下，即便最初允许会话建立的规则被移除，连接仍可能保持打开状态。对于长时间运行的 TCP 会话，使用连接跟踪机制来保持连接打开是一个不错的解决方案，但对于像 Web 上传输 HTTP 数据或邮件服务器间传输 SMTP 数据这样的短连接来说，情况就不同了。

如果每次用户想要查看一个网页链接都需要生成一个新的 SPA 包，这会非常不便，而且每个链接都是通过单独的 TCP 连接传输的，这使得问题更加复杂。总体而言，SPA 不太适合保护这类服务。

为了解决这个问题，可以采取以下策略：
-延长客户端 IP 地址的超时时间：例如，将超时时间延长到一小时，这样在这一小时内就不需要新的 SPA 包。不过，这种延长会在一定程度上降低 SPA 的有效性。但如果你的 Web 服务器运行着关键应用，且安全是首要考虑因素，那么这样做可能是有意义的。
-让 SPA 客户端自动生成 SPA 包：通过在本地文件系统中缓存加密密码来实现。但一般来说，将加密密码放在文件系统中不是个好主意，因为这可能会削弱 GnuPG 私钥的安全性。一个有用的做法是尽可能将 SPA 客户端与更多的客户端程序紧密集成。

2. 端口敲门和 SPA 是否属于模糊安全

端口敲门或 SPA 是否属于模糊安全一直是一个备受争议的话题，自端口敲门首次向安全社区公布以来，各方对此都有强烈的看法。

当提出一种新的安全技术时，全球的研究人员会对其架构进行审查。其中一个常见的测试是该技术是否存在