CN114978773A - 一种单包认证方法及系统 - Google Patents
一种单包认证方法及系统 Download PDFInfo
- Publication number
- CN114978773A CN114978773A CN202210889163.4A CN202210889163A CN114978773A CN 114978773 A CN114978773 A CN 114978773A CN 202210889163 A CN202210889163 A CN 202210889163A CN 114978773 A CN114978773 A CN 114978773A
- Authority
- CN
- China
- Prior art keywords
- sdp
- client
- gateway
- authentication
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种单包认证方法及系统,其中,该方法包括:SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息;SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证。本发明优化了SDP网关的敲门实现方法,加强了SDP网关的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种单包认证方法及系统。
背景技术
软件定义边界(Software Defined Perimeter,简称 SDP)是一个能够为 OSI 七层协议栈提供安全防护的网络安全架构。SDP三大组件:SDP控制器、SDP客户端、SDP网关。SDP可实现资产隐藏,并在允许客户端连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络能够防御旧攻击方法的新变种,可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
然而,传统SDP在互联网部署中存在以下问题:对于SDP客户端向SDP网关发起的SPA单包认证的敲门报文,敲门报文内没有携带关于发送敲门报文的SDP客户端的信息,因此,SDP网关无法辨别发起SPA单包认证的SDP客户端是否合法,则敲门报文很容易被他人重放冒用。而如果将SDP客户端的私网IP放入敲门报文,敲门报文经过公网后SDP客户端的IP很可能已经发生了改变,则无法进行对比校验。
发明内容
本发明提供一种单包认证方法及系统。
第一方面,本发明提供了一种单包认证方法,包括:SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息,所述SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
进一步地,所述标识信息包括SDP客户端的公网IP地址;以及SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,包括:SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文,所述报文包括所述公网IP地址和对应所述SDP客户端的第三层IP地址;SDP网关将所述第三层IP地址与所述公网IP地址比较,若相同,则SDP网关根据所述标识信息认证成功。
进一步地,所述方法还包括:SDP客户端通过其它服务器反射或者静态配置的方式获取所述公网IP地址。
进一步地,所述标识信息包括SDP客户端的令牌,所述令牌是由SDP控制器根据SDP客户端的第三层IP地址生成的;以及SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,包括:SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文,所述报文包括SDP客户端的令牌和对应所述SDP客户端的第三层IP地址;SDP网关根据所述第三层IP地址生成目标令牌,比较所述SDP客户端的令牌和所述目标令牌,若相同,则SDP网关根据所述标识信息认证成功。
进一步地,所述方法还包括:SDP客户端通过其它服务器反射或者静态配置的方式获取所述公网IP地址,根据所述公网IP地址生成令牌。
第二方面,本发明还提供了一种单包认证系统,包括:第一处理模块,用于SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息,所述SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;第二处理模块,用于SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述单包认证方法的步骤。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述单包认证方法的步骤。
第五方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述单包认证方法的步骤。
本发明提供的一种单包认证方法及系统,通过响应于SDP客户端向SDP控制器敲门成功,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息,所述SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。优化了SDP网关的敲门实现方法,加强了SDP网关的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明提供的单包认证方法的一些实施例的流程示意图;
图2是SDP单包认证的一个应用场景流程示意图;
图3是标识信息为公网IP地址时,SDP单包认证的一个应用场景流程的示意图;
图4是标识信息为公网IP地址时,SDP单包认证的另一个应用场景流程的示意图;
图5是标识信息为令牌时,SDP单包认证的一个应用场景流程的示意图;
图6是标识信息为令牌时,SDP单包认证的另一个应用场景流程的示意图;
图7是根据本发明提供的单包认证系统的一些实施例的结构示意图;
图8是根据本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的系统、模块或单元进行区分,并非用于限定这些系统、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本发明实施方式中的多个系统之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本发明。
请参阅图1,图1是本发明提供的单包认证方法的一些实施例的流程示意图。如图1所示,该方法包括以下步骤:
步骤101, SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器。
SDP(Software Defined Perimeter,软件定义边界),旨在利用基于标准且已验证的组件,如数据加密、远程认证(主机对远程访问进行身份验证)、传输层安全(TLS,一种加密验证客户端信息的方法)、安全断言标记语言(SAML),它依赖于加密和数字签名来保护特定的访问及通过X.509证书公钥验证访问。将这些技术和其他基于标准的技术结合起来,确保SDP与企业现有安全系统可以集成。
如图2所示,SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host,即SDP客户端)、SDP连接接受主机(AH,Accept host,即SDP网关),SDP主机可以发起连接也可以接受连接,IH和AH会直接连接到SDP控制器,通过控制器与安全控制信道的交互来管理。该结构使得控制层能够与数据层保持分离,以便实现完全可扩展的安全系统。此外,所有组件都可以是冗余的,用于扩容或提高稳定运行时间。
如图2所示,SDP客户端向SDP控制器发送SPA(Secure Password Authentication,安全口令认证)数据包敲门,若敲门成功,则 SDP控制器对SDP客户端进行认证,作为示例,SDP控制器可以先获取SDP客户端的公网IP地址,将其与事先保存的白名单中的IP地址匹配,若匹配成功,则认证通过。认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息。作为示例,敲门信息包括但不限于SDP网关的IP地址、密钥。标识信息用于告知SDP网关SDP控制器认证成功的SDP客户端。SDP客户端携带标识信息访问SDP网关,就可以防止他人通过重放SPA报文,非法的访问SDP网关。
步骤102,SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
仍以上述为例,敲门信息包括但不限于SDP网关的IP地址、密钥。SDP客户端将要发送的数据包通过密钥加密后,根据SDP网关的IP地址向SDP网关发送SPA单包认证的数据包。SDP网关接收到SPA单包认证的数据包,解析后,得到标识信息。SDP网关再根据SPA报文第三层中的IP地址,将IP地址与标识信息比较,或者基于IP生成的令牌与标识信息比较,完成认证。
本发明一些实施例公开的单包认证方法,通过响应于SDP客户端向SDP控制器敲门成功,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。优化了SDP网关的敲门实现方法,加强了SDP网关的安全性,极大的提升了攻击者的攻击成本,减少了被攻击可能性,让SDP系统的业务连续性和安全性都得到了极大提升。
在一些可选的实现方式中,标识信息包括SDP客户端的公网IP地址;以及SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,包括:SDP客户端根据敲门信息向SDP网关发送SPA单包认证的报文,报文包括公网IP地址和对应SDP客户端的第三层IP地址;SDP网关将第三层IP地址与公网IP地址比较,若相同,则SDP网关根据标识信息认证成功。
图3示出了标识信息为公网IP地址时,且公网IP地址是由SDP控制器返回的单包认证流程。公网IP地址,即广域网IP是指以公网连接Internet上的非保留地址。广域网、局域网是两种Internet的接入方式,广域网的计算机和Internet上的其他计算机可随意互相访问。公网IP地址相对固定,因此通过公网IP地址标识SDP客户端十分稳定。
在一些可选的实现方式中,方法还包括:SDP客户端通过其它服务器反射或者静态配置的方式获取公网IP地址。
图4示出了标识信息为公网IP地址时,且公网IP地址是由其它服务器反射或者静态配置的方式获取的单包认证流程。其它服务器反射公网IP地址的过程与SDP控制器反射公网IP地址的过程类似。
作为示例,静态配置的方式,可以是SDP客户端事先存储好的表格,表格中记录有SDP客户端的公网IP地址。
在一些可选的实现方式中,标识信息包括SDP客户端的令牌,令牌是由SDP控制器根据SDP客户端的第三层IP地址生成的;以及SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,包括:SDP客户端根据敲门信息向SDP网关发送SPA单包认证的报文,报文包括SDP客户端的令牌和对应SDP客户端的第三层IP地址;SDP网关根据第三层IP地址生成目标令牌,比较SDP客户端的令牌和目标令牌,若相同,则SDP网关根据标识信息认证成功。
令牌(即token),是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。例如在USB1.1协议中定义了4类数据包:token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段,第一个阶段由主机发送token包,不同的token包内容不一样(暗号不一样)可以告诉设备做不同的工作,第二个阶段发送data包,第三个阶段由设备返回一个handshake包。
图5示出了标识信息为令牌时,且令牌是由SDP控制器返回的单包认证流程。作为示例,token可以是SDP控制器根据第三层IP地址加密生成的一串字符串,以作SDP客户端进行请求的一个令牌。
在一些可选的实现方式中,方法还包括:SDP客户端通过其它服务器反射或者静态配置的方式获取公网IP地址(或称公网IP因子),根据公网IP地址生成令牌。
图6示出了标识信息为令牌时,且令牌是由其它服务器反射或者静态配置的方式所获取的令牌单包认证流程。其中,其它服务器反射令牌的过程与SDP控制器反射令牌的过程类似。
作为示例,如图2所示,本发明提供的单包认证的流程可以参考:
1)SDP客户端向SDP控制器敲门。
2)SDP客户端敲门成功后,SDP控制器对SDP客户端进行认证。认证通过后,SDP控制器告知SDP客户端其对应的SDP网关敲门方法(网关的IP、端口),并告知SDP客户端该客户端的公网IP或者基于公网IP生成的token,该公网IP可以从SDP客户端的SPA报文或者认证报文的三层头中获得。SPA报文内携带客户端公网IP或基于公网IP因子生成的token。SDP网关收到SPA消息后,利用SPA报文头中的源IP进行同样的验证计算,进而判断SPA是否为他人重放。
3)SDP客户端向SDP网关发起SPA单包认证,SPA报文包含客户端的公网IP或者基于公网IP因子生成的token,该公网IP或者token可以从SDP控制器的认证响应报文中获得。SDP客户端也可以通过其它服务器反射或者静态配置的方式获得自己的公网IP或token。
4)SDP网关有两种SPA单包认证方式:a)如果SPA包含的是SDP客户端的公网IP,那么SDP网关验证SPA报文的三层IP(IP地址)与报文内携带的客户端公网IP是否一致,只有一致时才可以验证通过,如果不一致则认为该报文来自于非SDP控制器认证的客户端,可能为他人重放攻击;b)如果SPA包含的是SDP客户端公网IP因子生成的token,SDP网关需要根据SPA报文三层头内的源IP生成token,进行一致性校验。
请参阅图7,图7是根据本发明提供的单包认证系统的一些实施例的结构示意图,作为对上述各图所示方法的实现,本发明还提供了一种单包认证系统的一些实施例,这些系统实施例与图1所示的一些方法的实施例相对应,且该系统可以应用于各种电子设备中。
如图7所示,一些实施例的单包认证系统,包括第一处理模块701、第二处理模块702:
第一处理模块701,用于SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;
第二处理模块702,用于SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
在一些实施例的可选实现方式中,标识信息包括SDP客户端的公网IP地址;以及第二处理模块702,还用于:SDP客户端根据敲门信息向SDP网关发送SPA单包认证的报文,报文包括公网IP地址和SDP客户端的第三层IP地址;SDP网关将第三层IP地址与公网IP地址比较,若相同,则SDP网关根据标识信息认证成功。
在一些实施例的可选实现方式中,系统还包括第三处理模块,用于:SDP客户端通过其它服务器反射或者静态配置的方式获取公网IP地址。
在一些实施例的可选实现方式中,标识信息包括SDP客户端的令牌,令牌是由SDP控制器根据SDP客户端的第三层IP地址生成的;以及第二处理模块702,还用于:SDP客户端根据敲门信息向SDP网关发送SPA单包认证的报文,报文包括SDP客户端的令牌和对应SDP客户端的第三层IP地址;SDP网关根据第三层IP地址生成目标令牌,比较SDP客户端的令牌和目标令牌,若相同,则SDP网关根据标识信息认证成功。
在一些实施例的可选实现方式中,系统还包括第四处理模块,用于:SDP客户端通过其它服务器反射或者静态配置的方式获取公网IP地址,根据公网IP地址生成令牌。
可以理解的是,该系统中记载的各模块与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于系统及其中包含的模块、单元,在此不再赘述。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行单包认证方法,该方法包括: SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,上述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,上述计算机程序包括程序指令,当上述程序指令被计算机执行时,计算机能够执行上述各方法所提供的单包认证方法,该方法包括:SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的单包认证方法,该方法包括:SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应SDP客户端的SDP网关的敲门信息和对应SDP客户端的标识信息,SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;SDP客户端根据敲门信息向SDP网关发起SPA单包认证,SPA单包认证包括标识信息,SDP网关根据标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
以上所描述的系统实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分上述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种单包认证方法,其特征在于,包括:
SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息,所述SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;
SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
2.根据权利要求1所述的单包认证方法,其特征在于,所述标识信息包括SDP客户端的公网IP地址;以及
SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,包括:
SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文,所述报文包括所述公网IP地址和对应所述SDP客户端的第三层IP地址;
SDP网关将所述第三层IP地址与所述公网IP地址比较,若相同,则SDP网关根据所述标识信息认证成功。
3.根据权利要求2所述的单包认证方法,其特征在于,所述方法还包括:
SDP客户端通过其它服务器反射或者静态配置的方式获取所述公网IP地址。
4.根据权利要求1-3任一项所述的单包认证方法,其特征在于,所述标识信息包括SDP客户端的令牌,所述令牌是由SDP控制器根据SDP客户端的第三层IP地址生成的;以及
SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,包括:
SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文,所述报文包括SDP客户端的令牌和对应所述SDP客户端的第三层IP地址;
SDP网关根据所述第三层IP地址生成目标令牌,比较所述SDP客户端的令牌和所述目标令牌,若相同,则SDP网关根据所述标识信息认证成功。
5.根据权利要求4所述的单包认证方法,其特征在于,所述方法还包括:
SDP客户端通过其它服务器反射或者静态配置的方式获取所述公网IP地址,根据所述公网IP地址生成令牌。
6.一种单包认证系统,其特征在于,包括:
第一处理模块,用于SDP客户端向SDP控制器敲门成功后,SDP控制器对SDP客户端进行认证,认证通过后,SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户端的标识信息,所述SDP客户端表示基于软件定义边界的客户端,SDP控制器表示基于软件定义边界的控制器;
第二处理模块,用于SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证,所述SPA单包认证包括所述标识信息,SDP网关根据所述标识信息完成认证,SDP网关表示基于软件定义边界的网关,SPA单包认证表示基于零信任的单包授权认证。
7.根据权利要求6所述的单包认证系统,其特征在于,所述标识信息包括SDP客户端的公网IP地址;以及
第二处理模块,还用于:
SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文,所述报文包括所述公网IP地址和对应所述SDP客户端的第三层IP地址;
SDP网关将所述第三层IP地址与所述公网IP地址比较,若相同,则SDP网关根据所述标识信息认证成功。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述的单包认证方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的单包认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210889163.4A CN114978773A (zh) | 2022-07-27 | 2022-07-27 | 一种单包认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210889163.4A CN114978773A (zh) | 2022-07-27 | 2022-07-27 | 一种单包认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114978773A true CN114978773A (zh) | 2022-08-30 |
Family
ID=82969958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210889163.4A Pending CN114978773A (zh) | 2022-07-27 | 2022-07-27 | 一种单包认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978773A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN115865433A (zh) * | 2022-11-17 | 2023-03-28 | 中国联合网络通信集团有限公司 | 业务数据的请求方法、装置及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200403787A1 (en) * | 2019-06-21 | 2020-12-24 | Verizon Patent And Licensing Inc. | Quantum entropy distributed via software defined perimeter connections |
| CN112235235A (zh) * | 2020-08-28 | 2021-01-15 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的sdp认证协议实现方法 |
| CN113992387A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114615329A (zh) * | 2022-03-08 | 2022-06-10 | 北京从云科技有限公司 | 一种无客户端sdp架构实现方法及系统 |
-
2022
- 2022-07-27 CN CN202210889163.4A patent/CN114978773A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200403787A1 (en) * | 2019-06-21 | 2020-12-24 | Verizon Patent And Licensing Inc. | Quantum entropy distributed via software defined perimeter connections |
| CN112235235A (zh) * | 2020-08-28 | 2021-01-15 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的sdp认证协议实现方法 |
| CN113992387A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
| CN114422194A (zh) * | 2021-12-24 | 2022-04-29 | 中国电信股份有限公司 | 一种单包认证方法、装置、服务端及存储介质 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114615329A (zh) * | 2022-03-08 | 2022-06-10 | 北京从云科技有限公司 | 一种无客户端sdp架构实现方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865433A (zh) * | 2022-11-17 | 2023-03-28 | 中国联合网络通信集团有限公司 | 业务数据的请求方法、装置及存储介质 |
| CN115776408A (zh) * | 2022-12-08 | 2023-03-10 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
| CN115776408B (zh) * | 2022-12-08 | 2024-05-14 | 四川启睿克科技有限公司 | 基于零信任的单包多级认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5599910B2 (ja) | 暗号証拠の再検証に基づく認証委任 | |
| US6892308B1 (en) | Internet protocol telephony security architecture | |
| US9118665B2 (en) | Authentication system and method | |
| US7562224B2 (en) | System and method for multi-session establishment for a single device | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN114978773A (zh) | 一种单包认证方法及系统 | |
| WO2001082037A2 (en) | Security link management in dynamic networks | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| KR20190114432A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| KR20190114433A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| CN113595985A (zh) | 一种基于国密算法安全芯片的物联网安全云平台实现方法 | |
| CN110545285A (zh) | 一种基于安全芯片的物联网终端安全认证方法 | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| CN114764492A (zh) | 基于区块链的sdp访问控制方法及系统 | |
| EP1320975B1 (en) | Internet protocol telephony security architecture | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN116633562A (zh) | 一种基于WireGuard的网络零信任安全交互方法及系统 | |
| US7631344B2 (en) | Distributed authentication framework stack | |
| CN115065553A (zh) | 一种单包认证方法、装置、电子设备及存储介质 | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 | |
| KR101400736B1 (ko) | 신뢰기관과의 연계를 통한 부인방지기능을 포함한 전화인증서 구현방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220830 |