CN114679323B - 网络连接方法、装置、设备及存储介质 - Google Patents

Abstract

本申请提供一种网络连接方法、装置、设备及存储介质，该方法包括：向SDP控制器发起注册请求，并生成唯一密码发送至SDP控制器；接收SDP控制器发送的临时凭证，其中，临时凭证为SDP控制器根据唯一密码生成的；存储临时凭证；响应于SDP客户端发送的连接请求，根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

Description

网络连接方法、装置、设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络连接方法、装置、设备及存储介质。

背景技术

软件定义的边界(Software Defined Perimeter，SDP)是由云安全联盟(CSA)开发的一种安全框架，它根据身份控制对资源的访问。每个终端在连接服务器前必须进行单播授权(SPA)验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。

目前，SDP的基本组件包括连接发起主机(SDP客户端)、连接接收主机(SDP网关)与SDP控制器，在SDP框架中连接发起主机在向连接接受主机建立连接之前需要先与SDP控制器连接并进行身份验证。其中，在向SDP控制器进行身份验证之前，连接发起主机要先向SDP控制器发送单包授权(Single packet authorization，SPA)数据包，只有SPA数据包通过验证后连接发起主机才能与SDP控制器建立连接并进行身份验证。在验证过程中，针对不同的连接发起主机，SPA验证信息均为默认一致的信息。

然而现有技术中，默认一致的SPA验证信息泄漏后或者被窃取后，连接接受主机会存在被攻击的风险，网络连接安全性低。

发明内容

本申请提供一种网络连接方法、装置、设备及存储介质，以解决现有技术中默认一致的SPA验证信息泄漏后或者被窃取后，连接接受主机会存在被攻击的风险，网络连接安全性低的技术问题。

第一方面，本申请提供一种网络连接方法，应用于SDP网关，包括：

向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

接收所述SDP控制器发送的临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；

存储所述临时凭证；

响应于SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

这里，本申请提供了一种应用于SDP网关的网络连接方法，在建立安全通信的过程中，SDP网关首先向SDP控制器注册，并生成唯一密码发送至SDP控制器，从而获取SDP控制器根据唯一密码生成的临时凭证，SDP网关可以根据此临时凭证和SDP客户端携带的临时凭证进行安全验证，临时凭证的短暂性减少了客户端设备和会话通信通过证书泄露的脆弱性时间窗口，SDP客户端与SDP网关在建立连接时可采用SDP网关注册的不同临时凭证进行验证，即使历史临时凭证泄露或丢失，网络连接及访问仍然安全，避免了默认一致的SPA验证信息泄漏后或者被窃取后带来的网络安全性问题，提高了连接接收主机的网络安全性，提高了网络连接的安全性及稳定性。

可选地，所述临时凭证为基于量子随机数的一次性临时密钥。

其中，使用量子随机数生成临时密钥，量子随机数使用无法预测的量子现象来生成量子随机数，因为它们基本上是随机的。此类量子现象的示例包括测量穿过半透明镜的光子、由盖革计数器测量的辐射源的核衰变、由光电二极管或电子管测量的电子电路中的散粒噪声、穿过反射镜的隧道电子的放大。半导体的带隙、真空能量波动的零差检测和/或其他类型的量子现象。以量子随机数生成的临时密钥来建立安全连接，可以有效避免伪随机数不适用于高安全性应用程序，减少伪随机数方法生成的熵相对较低的随机数容易受到密码分析攻击的风险，进一步地提高了网络连接的安全及SDP网络通信安全。

可选地，所述存储所述临时凭证包括：

将所述临时凭证存储至进程内存中。

这里，本申请将临时凭证存储在进程内存中，基于非持久性存储，为了避免被对手或恶意软件读取，秘钥只能被短暂的存储在内存中，进一步地提高了网络连接的安全性。

可选地，在所述存储所述临时凭证之后，还包括：

在预设时间之后，更新临时凭证。

这里，本申请中的SDP网关为了保证网络连接的安全性，可以定期更换、更新临时凭证，降低临时凭证被窃取导致的网络安全危机的发生。

可选地，在所述根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接之后，还包括：

若确定允许所述SDP客户端进行网络连接，则与所述SDP客户端建立网络连接。

其中，本申请中的SDP客户端和SDP网关可以在临时凭证验证成功之后建立连接，以实现客户端设备对相应网关的登录，实现了SDP网络的稳定连接。

第二方面，本申请提供了一种网络连接方法，包括：

接收SDP网关发送的注册请求和唯一密码；

响应于所述注册请求，根据所述唯一密码生成临时凭证；

将所述临时凭证发送至所述SDP网关，所述临时凭证用于所述SDP网关根据所述临时凭证与SDP客户端发送的连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

这里，本申请提供的SDP控制器可以根据SDP网关的注册请求，为SDP网关根据其唯一密码发放临时凭证，用于SDP网关的网络验证，避免了单一SPA验证信息泄露带来的安全危机，提高了SDP网络连接的安全性。

第三方面，本申请提供了一种网络连接系统，包括SDP网关、SDP控制器和SDP客户端；

所述SDP网关向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

所述SDP控制器接收所述SDP网关发送的唯一密码，并根据所述唯一密码生成临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；

所述SDP网关接收并存储所述临时凭证；

SDP客户端向所述SDP网关发送连接请求，其中，所述连接请求携带有待验证临时凭证；

所述SDP网关响应于所述SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

第四方面，本申请提供了一种网络连接装置，包括：

第一处理模块，用于向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

第一接收模块，用于接收所述SDP控制器发送的临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；

存储模块，用于存储所述临时凭证；

第二处理模块，用于响应于SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

可选地，所述临时凭证为基于量子随机数的一次性临时密钥。

可选地，所述存储模块具体用于：

将所述临时凭证存储至进程内存中。

可选地，在所述存储模块存储所述临时凭证之后，上述装置还包括：

更新模块，用于在预设时间之后，更新临时凭证。

可选地，在所述第二处理模块根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接之后，上述装置还包括：

第四处理模块，用于若确定允许所述SDP客户端进行网络连接，则与所述SDP客户端建立网络连接。

第五方面，本申请提供了一种网络连接装置，包括：

第二接收模块，用于接收SDP网关发送的注册请求和唯一密码；

生成模块，用于响应于所述注册请求，根据所述唯一密码生成临时凭证；

第三处理模块，用于将所述临时凭证发送至所述SDP网关，所述临时凭证用于所述SDP网关根据所述临时凭证与SDP客户端发送的连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

第六方面，本申请提供一种网络连接设备，包括：至少一个处理器和存储器；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的网络连接方法。

第七方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第一方面以及第一方面各种可能的设计所述的网络连接方法。

第八方面，本申请提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现如上第一方面以及第一方面各种可能的设计所述的网络连接方法。

第九方面，本申请提供一种网络连接设备，包括：至少一个处理器和存储器；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第二方面以及第二方面各种可能的设计所述的网络连接方法。

第十方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第二方面以及第二方面各种可能的设计所述的网络连接方法。

第十一方面，本申请提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现如上第二方面以及第二方面各种可能的设计所述的网络连接方法。

本申请提供的网络连接方法、装置、服务器及存储介质，其中该方法在建立安全通信的过程中，SDP网关首先向SDP控制器注册，并生成唯一密码发送至SDP控制器，从而获取SDP控制器根据唯一密码生成的临时凭证，SDP网关可以根据此临时凭证和SDP客户端携带的临时凭证进行安全验证，临时凭证的短暂性减少了客户端设备和会话通信通过证书泄露的脆弱性时间窗口，SDP客户端与SDP网关在建立连接时可采用SDP网关注册的不同临时凭证进行验证，即使历史临时凭证泄露或丢失，网络连接及访问仍然安全，避免了默认一致的SPA验证信息泄漏后或者被窃取后带来的网络安全性问题，提高了连接接收主机的网络安全性，提高了网络连接的安全性及稳定性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种SDP网络的架构示意图；

图2为本申请实施例提供的一种网络连接方法的流程示意图；

图3为为本申请实施例提供的另一种网络连接方法的流程示意图；

图4为本申请实施例提供的又一种网络连接方法的流程示意图；

图5为本申请实施例提供的一种网络连接装置的结构示意图；

图6为本申请实施例提供的一种网络连接设备的结构示意图；

图7为本申请实施例提供的另一种网络连接装置的结构示意图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

SDP作为零信任的最佳实践落地技术架构，在“移动+云”的时代背景下，旨在通过网络隐身技术，为企业构建起一个云安全边界，确保只有合法的身份、设备和网络环境才能接入，对其他工具完全不可见，由于看不到目标，因此有效地规避了各种安全风险。同时，SDP还有一个很重要的零信任机制，就是在访问过程中对用户行为持续进行安全等级评估，并对风险行为进行动态控制，从而有效保护企业的数据资产的安全。零信任SDP安全模型由3部分组成：SDP控制端(SDP控制器)、SDP网关(连接接收主机)和SDP客户端(连接发起主机)。该模型采用三角架构，SDP客户端发起连接请求，SDP控制端认证客户端请求，并控制SDP客户端与SDP网关建立数据通道。

示范性地，图1为本申请实施例提供的一种SDP网络的架构示意图，如图1所示，该架构包括软件定义的边界控制器101、连接发起主机102和连接接收主机103，这里的软件定义的边界控制器101在SDP架构中执行SDP控制器的功能，连接发起主机102为SDP客户端，连接接收主机103为SDP网关。在SDP框架中连接发起主机在向连接接受主机建立连接之前需要先与SDP控制器连接并进行身份验证。其中在向SDP控制器进行身份验证之前，连接发起主机要先向SDP控制器发送SPA数据包，只有SPA数据包通过验证后连接发起主机才能与SDP控制器建立连接并进行身份验证。现有技术中存在如下问题：在初次登录SDP控制器时，连接发起主机还没有进行任何的身份验证，此时各个不同的连接发起主机均使用默认一致的SPA验证信息，那么，当该默认一致的SPA验证信息泄漏后或者被窃取后，攻击者就可以通过该默认一致的SPA验证信息从SDP控制器处获取对连接接受主机的访问授权，进而会导致连接接受主机存在被攻击的风险，带来网络不安全问题。

为了解决上述技术问题，本申请实施例提供一种网络连接方法、装置、服务器及存储介质，SDP网关在建立连接之前首先向SDP服务器注册以获取临时凭证，通过临时凭证的短暂性减少了客户端设备和/或会话通信通过证书泄露的脆弱性时间窗口。

可以理解的是，本申请实施例示意的结构并不构成对网络连接系统架构的具体限定。在本申请另一些可行的实施方式中，上述架构可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置，具体可根据实际应用场景确定，在此不做限制。图1所示的部件可以以硬件，软件，或软件与硬件的组合实现。

另外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面以几个实施例为例对本申请的技术方案进行描述，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图2为本申请实施例提供的一种网络连接方法的流程示意图，本申请实施例的执行主体为SDP网关，可以为图1所示实施例中的连接接收主机103或者连接接收主机103的服务器，具体执行主体可以根据实际应用场景确定。如图2所示，该方法包括如下步骤：

S201：向SDP控制器发起注册请求，并生成唯一密码发送至SDP控制器。

可选地，临时凭证为基于量子随机数的一次性临时密钥。

使用量子随机数生成临时密钥，量子随机数使用无法预测的量子现象来生成量子随机数，因为它们基本上是随机的。此类量子现象的示例包括测量穿过半透明镜的光子、由盖革计数器测量的辐射源的核衰变、由光电二极管或电子管测量的电子电路中的散粒噪声、穿过反射镜的隧道电子的放大。半导体的带隙、真空能量波动的零差检测和/或其他类型的量子现象。以量子随机数生成的临时密钥来建立安全连接。

可选地，SDP控制器从SDP客户端设备接收对量子随机数的请求；通过SDP控制器建立与SDP客户端设备的安全通信信道；SDP控制器从量子随机数发生器获取量子随机数流；SDP控制器经由所建立的安全通信信道向客户端设备提供来自所获得的量子随机数流的一组量子随机数。

其中，使用量子随机数生成临时密钥，量子随机数使用无法预测的量子现象来生成量子随机数，因为它们基本上是随机的。以量子随机数生成的临时密钥来建立安全连接，可以有效避免伪随机数不适用于高安全性应用程序，减少伪随机数方法生成的熵相对较低的随机数容易受到密码分析攻击的风险，进一步地提高了网络连接的安全及SDP网络通信安全。

S202：接收SDP控制器发送的临时凭证。

其中，临时凭证为SDP控制器根据唯一密码生成的。

可选地，向SDP控制器发起注册请求之前，系统在用户数据库中添加客户端设备(连接发起网关)作为客户端/用户(SDP客户端)，在客户端设备上安装包含唯一密码加密的定制客户端包，定制客户端包用于根据唯一密码生成注册的一次性临时凭证，这里的一次性临时凭证为待验证临时凭证。

SDP网关可以在连接之前向SDP控制器发起注册获取临时凭证。

具体地，客户端设备生成包含适当主题字段的证书签名请求(CSR)；客户端设备将CSR消息(连同与会话相关的其他对象)发送到SDP控制器；SDP控制器接收CSR消息，读取CSR中的主题字段并将其提交给适当的中间证书颁发机构(CA，Certificate Authority)以进行签名。并将临时凭证发送至SDP客户端，并且将临时凭证的对象发送至SDP网关。

使用SPA确保安全通信仅接受具有有效SPA密钥的客户端设备的请求。这些SPA密钥被临时分配给每个新会话，从而消除未授权终端设备使用密钥。使用SPA可以实现以下好处：

运行SDP网关的SDP控制器和/或应用服务器对于未授权的客户端设备和攻击者都是不可见的——所有开放端口都受到动态防火墙的保护，以阻止所有未授权网络访问。

客户端授权通过单个SPA数据报传输进行验证。

处理所有SPA消息(例如，在Linux内核中处理)比网络速度更快。SPA消息包含比特币式的“工作量证明”，使伪造行为变得任意昂贵，以及需要访问客户端特定密钥的数字签名。它们还包含使重放攻击不可能的时间戳和全局唯一标识符(GUID)。攻击者发送的任何伪造或重放的SPA消息都将根据：a)时间戳进行检测；b)随机数；c)工作量证明；d)数字签名。如果攻击者要重放捕获的SPA消息，则需要在数据包过期之前重放数据包，即使如此，前一次传输的GUID也用于过滤重放。这些攻击是无效的，并被记录以备可能的缓解措施。

授权后在后端(目标服务器)安装客户端特定的防火墙规则。对手(具有不同IP流特征的)将始终被静默阻止，从而保持隐身。

S203：存储临时凭证。

可选地，存储临时凭证包括：

将临时凭证存储至进程内存中。

这里，本申请实施例将临时凭证存储在进程内存中，基于非持久性存储，为了避免被对手或恶意软件读取，秘钥只能被短暂的存储在内存中，进一步地提高了网络连接的安全性。

可选地，在存储临时凭证之后，还包括：在预设时间之后，更新临时凭证。

可以理解的是，这里的预设时间可以根据实际情况确定，本申请实施例对此不作具体限制。

可选地，SDP网关可以通过策略设置为始终保持与服务器的连接，定期更新其临时凭证，或者可以在需要与对等方通信时发起与服务器的连接，或满足部署的特定要求时进行临时凭证的更新。

可选地，SDP网关每次与SDP控制器或对等SDP网关连接时都使用新的临时凭证进行相互认证。

这里，本申请实施例中的SDP网关为了保证网络连接的安全性，可以定期更换、更新临时凭证，降低临时凭证被窃取导致的网络安全危机的发生。

S204：响应于SDP客户端发送的连接请求，根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

可选地，在根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接之后，还包括：若确定允许SDP客户端进行网络连接，则与SDP客户端建立网络连接。

其中，本申请实施例中的SDP客户端和SDP网关可以在临时凭证验证成功之后建立连接，以实现客户端设备对相应网关的登录，实现了SDP网络的稳定连接。

其中，SDP网关检测SDP客户端的临时凭证与其本地存储的是否匹配，若匹配则允许SDP客户端登录到SDP网关。

可选地，当客户端设备注销时，与对等客户端设备的所有连接都被断开，可以删除该临时凭证。

本申请实施例提供了一种应用于SDP网关的网络连接方法，在建立安全通信的过程中，SDP网关首先向SDP控制器注册，并生成唯一密码发送至SDP控制器，从而获取SDP控制器根据唯一密码生成的临时凭证，SDP网关可以根据此临时凭证和SDP客户端携带的临时凭证进行安全验证，临时凭证的短暂性减少了客户端设备和会话通信通过证书泄露的脆弱性时间窗口，SDP客户端与SDP网关在建立连接时可采用SDP网关注册的不同临时凭证进行验证，即使历史临时凭证泄露或丢失，网络连接及访问仍然安全，避免了默认一致的SPA验证信息泄漏后或者被窃取后带来的网络安全性问题，提高了连接接收主机的网络安全性，提高了网络连接的安全性及稳定性。

可选地，本申请实施例还提供了一种针对SDP控制器的网络连接方法，相应的，图3为为本申请实施例提供的另一种网络连接方法的流程示意图，本申请实施例的执行主体为SDP控制器，可以为图1所示实施例中的软件定义的边界控制器101或者软件定义的边界控制器101的服务器，具体执行主体可以根据实际应用场景确定。如图3所示，该方法包括如下步骤：

S301：接收SDP网关发送的注册请求和唯一密码。

S302：响应于注册请求，根据唯一密码生成临时凭证。

S303：将临时凭证发送至SDP网关。

可选地，SDP控制器具体用于：从SDP客户端设备接收对量子随机数的请求；通过SDP控制器建立与SDP客户端设备的安全通信信道；SDP控制器从量子随机数发生器获取量子随机数流；SDP控制器经由所建立的安全通信信道向客户端设备提供来自所获得的量子随机数流的一组量子随机数。

可选地，SDP控制器还用于确定客户端设备请求的量子随机数的数量；以及经由所建立的安全通信信道向客户端设备提供所确定数量的量子随机数。

可选地，SDP控制器在经由所建立的安全通信信道将量子随机数集提供给客户端设备之后，从量子随机数流中移除量子随机数集。

这里，本申请实施例提供的SDP控制器可以根据SDP网关的注册请求，为SDP网关根据其唯一密码发放临时凭证，用于SDP网关的网络验证，避免了单一SPA验证信息泄露带来的安全危机，提高了SDP网络连接的安全性。

在一种可能的实现方式中，本申请实施例还提供了一种网络连接系统，包括SDP网关、SDP控制器和SDP客户端。相应的，图4为本申请实施例提供的又一种网络连接方法的流程示意图，该方法的执行主体为网络连接系统，如图4所示，该方法包括：

S401：SDP网关向SDP控制器发起注册请求，并生成唯一密码发送至SDP控制器。

可选地，在步骤S401之前，还包括：

客户端设备生成包含适当主题字段的CSR。客户端设备将CSR消息(连同与会话相关的其他对象)发送到SDP控制器。SDP控制器接收CSR消息，读取CSR中的主题字段并将其提交给适当的中间CA以进行签名。并将临时凭证发送至SDP客户端，并且将临时凭证的对象发送至SDP网关。

临时凭证的短暂性减少了客户端设备和/或会话通信通过证书泄露的脆弱性时间窗口。例如，临时凭证生存期提供了“完美的前向认证”，因为被破坏的客户端设备不能加入SDP网关，因为其私钥可能仅被用于认证一次。

S402：SDP控制器接收SDP网关发送的唯一密码，并根据唯一密码生成临时凭证。

其中，临时凭证为SDP控制器根据唯一密码生成的。

S403：SDP网关接收并存储临时凭证。

S404：SDP客户端向SDP网关发送连接请求。

其中，连接请求携带有待验证临时凭证。

S405：SDP网关响应于SDP客户端发送的连接请求，根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

在一些可能的实施例中，SDP客户端为软件化部署形态，PC端通过下载页面、手机端通过应用商店下载安装。

在一些可能的实施例中，SDP控制器支持硬件及虚拟化交付。SDP控制器硬件选用Intel-x86架构，整机采用工控机设备，可发挥硬件的高效及稳定性。

在一些可能的实施例中，SDP网关为软硬一体机，网关硬件设计配合密码局检测通过的硬件加密卡，完全满足商用密码算法需求。同时整机采用工控机设备，可发挥硬件的高效及稳定性。

可选地，针对认证成功的客户端，SDP网关生成临时的防火墙允许访问策略，并在超时后立即删除。此时SDP控制端与客户端建立连接双向传输层安全性协议(TransportLayer Security，TLS)连接。

可选地，SDP客户端初始化后，需要预先同步用于解密和消息摘要验证的相关加密和消息摘要算法、相关密钥等，该步骤可以通过静态配置文件实现，无需在网络中传输密钥。

可选地，SDP客户端生成SPA认证报文，并发送给SDP控制端。认证报文内容，可以由SDP控制端和客户端事先进行约定，例如可包含用户名、防火墙临时允许的策略内容、超时时长等。

可选地，.客户端设备生成并传输包含六个字段的SPA消息：SPA版本号；时间戳；全局唯一标识符(GUID，Globally Unique Identifier)；填充；工作量证明(POW)；SDP客户端的数字签名。

使用SPA确保安全通信仅接受具有有效SPA密钥的客户端设备的请求。这些SPA密钥被临时分配给每个新会话，从而消除未授权终端设备使用密钥。使用SPA可以实现以下好处：

运行SDP网关的SDP控制器和/或应用服务器对于未授权的客户端设备和攻击者都是不可见的——所有开放端口都受到动态防火墙的保护，以阻止所有未授权网络访问；客户端授权通过单个SPA数据报传输进行验证；处理所有SPA消息(例如，在Linux内核中处理)比网络速度更快。SPA消息包含比特币式的“工作量证明”，使伪造行为变得任意昂贵，以及需要访问客户端特定密钥的数字签名。它们还包含使重放攻击不可能的时间戳和全局唯一标识符(GUID，Globally Unique Identifier)。攻击者发送的任何伪造或重放的SPA消息都将根据：a)时间戳进行检测；b)随机数；c)工作量证明；d)数字签名。如果攻击者要重放捕获的SPA消息，则需要在数据包过期之前重放数据包，即使如此，前一次传输的GUID也用于过滤重放。这些攻击是无效的，并被记录以备可能的缓解措施。授权后在后端(目标服务器)安装客户端特定的防火墙规则。对手(具有不同IP流特征的)将始终被静默阻止，从而保持隐身。

可选地，SDP客户端传输SPA信息之后，SDP控制器接收SPA消息并基于这些字段对其进行过滤。过时(或因果关系)、显示工作不足或签名无效等的非法消息将被丢弃而没有任何反馈。并记录虚假消息以进行取证分析。

当接收到合法的SPA消息时，SDP网关创建流特定的防火墙规则，该防火墙规则将向授权的客户端设备提供对后端的访问。还创建提供对批准的应用服务器的访问的防火墙规则。使用端到端加密通信的新规则更新动态防火墙。

可选地，SDP控制器从SDP客户端设备接收来请求授权访问后端服务的数据包，对收到的请求授权包进行解包、验证：若允许通信，由SDP控制器生成一次性临时密钥，并将生成的一次性临时密钥发送到SDP客户端设备；通过建立安全通信信道，其中SDP控制器和SDP客户端设备之间的通信使用一次性临时密钥进行加密和解密；以及在SDP控制器和SDP客户端设备之间的安全通信会话终止时，通过SDP控制器销毁一次性临时密钥。

可选地，SDP控制器可以管理SDP客户端和SDP网关之间的所有连接。例如，SDP客户端和SDP网关之间的每个连接都可以通过安全连接建立，例如使用由SDP控制器生成的证书建立的TLS连接。SDP连接使用SPA来建立，其中单个包用于传输授权数据。SPA报文校验通过后，就可以发起基于数字认证的TLS握手建立TLS连接。

可选地，建立安全通信通道的过程为：1、SDP客户端预置SPA种子；2、SDP客户端向SDP控制器UDP端口A发送敲门报文；如果敲门通过，控制器对敲门客户端开放TCP端口B；如果不通过不开放TCP端口；客户端在敲门后发起对控制器特定TCP端口的B的TLS加密连接。

其中，目前SDP网络主要通过两种方式来实现种子分发：管理员下载含种子的专属客户端安装包，内部分发，这种方式可以通过比较可靠的途径将种子发给合法用户；管理员先启用SPA白名单，在规定时间内及网络环境下，用户通过标准客户端登录，登录后系统自动下发种子。

图5为本申请实施例提供的一种网络连接装置的结构示意图，如图5所示，本申请实施例的装置包括：第一处理模块501、第一接收模块502、存储模块503和第二处理模块504。这里的网络连接装置可以是上述连接接收主机103或者连接接收主机103的服务器，或者是实现连接接收主机的功能的芯片或者集成电路。这里需要说明的是，第一处理模块501、第一接收模块502、存储模块503和第二处理模块504的划分只是一种逻辑功能的划分，物理上两者可以是集成的，也可以是独立的。

其中，第一处理模块，用于向SDP控制器发起注册请求，并生成唯一密码发送至SDP控制器；

第一接收模块，用于接收SDP控制器发送的临时凭证，其中，临时凭证为SDP控制器根据唯一密码生成的；

存储模块，用于存储临时凭证；

第二处理模块，用于响应于SDP客户端发送的连接请求，根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

可选地，临时凭证为基于量子随机数的一次性临时密钥。

可选地，存储模块具体用于：

将临时凭证存储至进程内存中。

可选地，在存储模块存储临时凭证之后，上述装置还包括：

更新模块，用于在预设时间之后，更新临时凭证。

可选地，在第二处理模块根据存储的临时凭证与连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接之后，上述装置还包括：

第四处理模块，用于若确定允许SDP客户端进行网络连接，则与SDP客户端建立网络连接。

图6为本申请实施例提供的一种网络连接设备(可以为图1中的连接接收主机103或者连接接收主机103的服务器)的结构示意图。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不限制本文中描述的和/或者要求的本申请的实现。

如图6所示，该网络连接设备包括：处理器601和存储器602，各个部件利用不同的总线互相连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器601可以对在终端内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示的图形信息的指令。在其它实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。图6中以一个处理器601为例。

存储器602作为一种非瞬时计算机可读存储介质，可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块，如本申请实施例中的网络连接设备的方法对应的程序指令/模块(例如，附图5所示的第一处理模块501、第一接收模块502、存储模块503和第二处理模块504)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块，从而执行网络连接设备的各种功能应用以及数据处理，即实现上述方法实施例中的网络连接设备的方法。

网络连接设备还可以包括：输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接，图6中以通过总线连接为例。

输入装置603可接收输入的数字或字符信息，以及产生与网络连接设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以是网络连接设备的显示设备等输出设备。该显示设备可以包括但不限于，液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中，显示设备可以是触摸屏。

本申请实施例的网络连接设备，可以用于执行本申请上述各方法实施例中的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现上述任一的网络连接方法。

本申请实施例还提供一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时，用于实现上述任一项的网络连接方法。

图7为本申请实施例提供的另一种网络连接装置的结构示意图，如图7所示，本申请实施例的装置包括：第二接收模块701、生成模块702和第三处理模块703。这里的网络连接装置可以是上述软件定义的边界控制器101或者软件定义的边界控制器101的服务器，或者是实现软件定义的边界控制器101的功能的芯片或者集成电路。这里需要说明的是，第二接收模块701、生成模块702和第三处理模块703的划分只是一种逻辑功能的划分，物理上两者可以是集成的，也可以是独立的。

其中，第二接收模块，用于接收SDP网关发送的注册请求和唯一密码；

生成模块，用于响应于注册请求，根据唯一密码生成临时凭证；

第三处理模块，用于将临时凭证发送至SDP网关。

本申请实施例还提供一种网络连接设备(可以为图1中的软件定义的边界控制器101或者软件定义的边界控制器101的服务器)的结构示意图。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不限制本文中描述的和/或者要求的本申请的实现。

该网络连接设备包括：处理器和存储器，各个部件利用不同的总线互相连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在终端内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示的图形信息的指令。在其它实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。

存储器作为一种非瞬时计算机可读存储介质，可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块，如本申请实施例中的网络连接设备的方法对应的程序指令/模块(例如，附图7所示的第二接收模块701、生成模块702和第三处理模块703)。处理器通过运行存储在存储器中的非瞬时软件程序、指令以及模块，从而执行网络连接设备的各种功能应用以及数据处理，即实现上述方法实施例中的网络连接设备的方法。

网络连接设备还可以包括：输入装置和输出装置。处理器、存储器、输入装置和输出装置可以通过总线或者其他方式连接。

输入装置可接收输入的数字或字符信息，以及产生与网络连接设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置可以是网络连接设备的显示设备等输出设备。该显示设备可以包括但不限于，液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中，显示设备可以是触摸屏。

本申请实施例的网络连接设备，可以用于执行本申请上述各方法实施例中的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现上述任一的网络连接方法。

本申请实施例还提供一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时，用于实现上述任一项的网络连接方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求书指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims (9)

1.一种网络连接方法，其特征在于，应用于SDP网关，包括：

向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

接收所述SDP控制器发送的临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；所述临时凭证为基于量子随机数的一次性临时密钥；

将所述临时凭证存储至进程内存中；

响应于SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

2.根据权利要求1所述的方法，其特征在于，在所述存储所述临时凭证之后，还包括：

在预设时间之后，更新临时凭证。

3.根据权利要求1或2所述的方法，其特征在于，在所述根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接之后，还包括：

若确定允许所述SDP客户端进行网络连接，则与所述SDP客户端建立网络连接。

4.一种网络连接方法，其特征在于，应用于SDP控制器，包括：

接收SDP网关发送的注册请求和唯一密码；

响应于所述注册请求，根据所述唯一密码生成临时凭证；所述临时凭证为基于量子随机数的一次性临时密钥；将所述SDP网关的进程内存中存储的所述临时凭证发送至所述SDP网关，所述临时凭证用于所述SDP网关根据所述临时凭证与SDP客户端发送的连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

5.一种网络连接系统，其特征在于，包括SDP网关、SDP控制器和SDP客户端；

所述SDP网关向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

所述SDP控制器接收所述SDP网关发送的唯一密码，并根据所述唯一密码生成临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；所述临时凭证为基于量子随机数的一次性临时密钥；

所述SDP网关接收所述临时凭证，并将所述临时凭证存储至进程内存中；

SDP客户端向所述SDP网关发送连接请求，其中，所述连接请求携带有待验证临时凭证；

所述SDP网关响应于所述SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

6.一种网络连接装置，其特征在于，包括：

第一处理模块，用于向SDP控制器发起注册请求，并生成唯一密码发送至所述SDP控制器；

第一接收模块，用于接收所述SDP控制器发送的临时凭证，其中，所述临时凭证为所述SDP控制器根据所述唯一密码生成的；所述临时凭证为基于量子随机数的一次性临时密钥；

存储模块，用于将所述临时凭证存储至进程内存中；

第二处理模块，用于响应于SDP客户端发送的连接请求，根据存储的所述临时凭证与所述连接请求中携带的待验证临时凭证进行网络验证，确定是否允许所述SDP客户端进行网络连接。

7.一种网络连接装置，其特征在于，包括：

第二接收模块，用于接收SDP网关发送的注册请求和唯一密码；

生成模块，用于响应于所述注册请求，根据所述唯一密码生成临时凭证；所述临时凭证为基于量子随机数的一次性临时密钥；

第三处理模块，用于将所述SDP网关的进程内存中存储的所述临时凭证发送至所述SDP网关，所述临时凭证用于所述SDP网关根据所述临时凭证与SDP客户端发送的连接请求中携带的待验证临时凭证进行网络验证，确定是否允许SDP客户端进行网络连接。

8.一种网络连接设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至3任一项或者权利要求4所述的方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至3任一项或者权利要求4所述的网络连接方法。