本发明专利技术公开了一种单包授权的方法及装置。该方法包括:客户端根据Z密码算法,获取对应于客户端的挑战码;客户端构建用户数据报协议UDP数据包,UDP数据包中携带有包含所述挑战码的认证请求;客户端将所述UDP数据包发送给管控平台,所述管控平台验证所述UDP数据包携带的挑战码,在该管控平台验证所述挑战码通过时,向所述客户端返回网关信息和票据信息。客户端根据所述网关信息与该网关信息对应的应用网关进行数据传输。通过本发明专利技术,提高了单包授权的安全性。授权的安全性。授权的安全性。
【技术实现步骤摘要】
单包授权的方法及装置
[0001]本专利技术涉及互联网领域,具体涉及一种单包授权方法及装置。
技术介绍
[0002]零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。
[0003]基于零信任理念,为企业建立安全接入网关,对访问主体的身份可信度进行持续评估和动态访问控制,同时实现业务应用服务隐藏和数据安全传输,再和终端数据安全方案集合起来形成一个完整的闭环保护方案。
[0004]软件定义边界(SDP)中有一个核心机制单包授权(Single Packet Authorization,简称为SPA)认证,SDP网关只有接收到了客户端发出的SPA包,验证合法之后,才对该客户端的网络协议(IP)开放指定端口。这个技术可以屏蔽绝大多数非法用户的网络攻击,让漏洞扫描、分布式拒绝服务(Distributed Denial of Service,简称为DDoS)等攻击方式都失效。
[0005]为了实现SPA单包授权,相关技术中是在SDP客户端预制固定密钥,客户端通过固定密钥和固定算法对认证请求数据进行加密,将加密后的密文数据,以用户数据报协议(User Datagram Protocol,简称为UDP)单包的形式发送到管控端,管控端以固定密钥和固定算法进行解密,实现认证逻辑。
[0006]在这个过程中因客户端为固定密钥,因此密钥有被窃取的风险,一旦密钥丢失,可能造成单包认证信息被截获、认证数据被伪造等安全隐患。
技术实现思路
[0007]本专利技术提供了一种单包授权的方法及装置,用于解决相关技术中单包授权安全性比较差的问题。
[0008]根据本专利技术的一个方面,提供了一种单包授权的方法,包括客户端根据Z密码算法,获取对应于所述客户端的挑战码;所述客户端构建用户数据报协议UDP数据包,所述UDP数据包中携带有包含所述挑战码的认证请求;所述客户端将所述UDP数据包发送给管控平台,所述管控平台验证所述UDP数据包携带的挑战码,在该管控平台验证所述挑战码通过时,向所述客户端返回网关信息和票据信息。所述客户端根据所述网关信息与该网关信息对应的应用网关进行数据传输。
[0009]优选地,在所述SDP客户端接收所述SDP管控平台发送的网关信息和票据信息之后,还包括:所述SDP客户端根据所述票据信息和所述网关信息建立传输层安全协议(TLS)通道。
[0010]优选地,在客户端根据Z密码算法,获取对应于所述客户端的挑战码之前,还包括:所述客户端获取Z密码算法的软件开发工具包SDK。
[0011]根据本专利技术的另一方面,提供了一种单包授权的方法,其特征在于,包括:管控平台接收客户端发送的UDP数据包,UDP数据包中携带有包含所述挑战码的认证请求;管控平台验证UDP数据包携带的挑战码,在验证所述挑战码通过时,向所述客户端返回网关信息,所述网关信息用于所述客户端与所述网关信息对应的应用网关进行数据传输。
[0012]根据本专利技术的另一方面,提供了一种单包授权的装置,包括:第一获取模块,用于根据Z密码算法,获取对应于客户端的挑战码;
[0013]构建模块,用于构建用户数据报协议UDP数据包,所述UDP数据包中携带有包含所述挑战码的认证请求;第一发送模块,用于将所述UDP数据包发送给管控平台,该管控平台验证所述UDP数据包携带的挑战码,在验证所述挑战码通过时,向所述客户端返回网关信息和票据信息;传输模块,用于根据所述网关信息与该网关信息对应的应用网关进行数据传输。
[0014]优选地,该装置还包括:建立模块,用于根据所述网关信息建立传输层安全协议TLS通道。
[0015]优选地,该装置还包括:第二获取模块,用于获取Z密码算法的软件开发工具包SDK。
[0016]根据本专利技术的另一方面,提供了一种单包授权的装置,包括:接收模块,用于接收客户端发送的UDP数据包,UDP数据包中携带有包含所述挑战码的认证请求;验证模块,用于验证UDP数据包携带的挑战码;第二发送模块,用于该管控平台验证所述挑战码通过时,向所述客户端返回网关信息,所述网关信息用于所述客户端与所述网关信息对应的应用网关进行数据传输。
[0017]根据本专利技术的又一方面,提供了一种服务器,包括:存储器和处理器,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器执行时,执行如上述的单包授权的方法的步骤。
[0018]根据本专利技术的又一方面,提供了一种客户端,包括:存储器和处理器,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器执行时,执行如上述的单包授权的方法的步骤。
[0019]本专利技术通过在客户端根据Z算法,为每个终端设备生成一设备一算法的个性化算法。通过个性化算法生成一次一密的挑战码,并将包含挑战码的认证请求进行加密,通过UDP单包发送到管控端,管控端对认证请求进行解密,并验证挑战码实现对客户端合法身份的认证。提高了单包授权的安全性。
附图说明
[0020]此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0021]图1是根据本专利技术实施例的单包授权的方法的第一流程图;
[0022]图2是根据本专利技术实施例的单包授权的方法的第二流程图;
[0023]图3是根据本专利技术实施例的单包授权的装置的第一结构框图;
[0024]图4是根据本专利技术实施例的单包授权的装置的第二结构框图;
[0025]图5是根据本专利技术实施例的单包授权的工作机制的逻辑示意图。
具体实施方式
[0026]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本专利技术。
[0027]本实施例提供了一种单包授权的处理方法,图1是根据本专利技术实施例的单包授权的方法的第一流程图,如图1所示,该方法包括如下步骤S102至步骤S106。
[0028]步骤S102,客户端根据Z密码算法,获取对应于客户端的挑战码;
[0029]步骤S104,客户端构建用户数据报协议UDP数据包,所述UDP数据包中携带有包含所述挑战码的认证请求;
[0030]步骤S106,客户端将所述UDP数据包发送给管控平台,管控平台验证所述UDP数据包携带的挑战码,在验证所述挑战码通过时,向所述客户端返回网关信息和票据信息。
[0031]步骤S108,客户端根据所述网关信息,与该网关信息对应的应用网关进行数据传输。
[0032]通过本实施例及其优选实施方式,通过在客户端根据Z算法,为每个客户端生成一设备一算法的个性化算法。通过个性化算法生成一次一密的挑战码,并将包含挑战码的认证请求进行加密,通过UDP单包发送到管控端,管控端(管控平台)对认证请求进行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种单包授权的方法,其特征在于,包括:客户端根据Z密码算法,获取对应于所述客户端的挑战码;所述客户端构建用户数据报协议UDP数据包,所述UDP数据包中携带有包含所述挑战码的认证请求;所述客户端将所述UDP数据包发送给管控平台,所述管控平台验证所述UDP数据包携带的挑战码,在该管控平台验证所述挑战码通过时,向所述客户端返回网关信息和票据信息;所述客户端根据所述网关信息与该网关信息对应的应用网关进行数据传输。2.根据权利要求1所述的方法,其特征在于,在所述SDP客户端接收所述SDP管控平台发送的网关信息和票据信息之后,还包括:所述SDP客户端根据所述票据信息和所述网关信息建立传输层安全协议TLS通道。3.根据权利要求1所述的方法,其特征在于,在客户端根据Z密码算法,获取对应于所述客户端的挑战码之前,还包括:所述客户端获取Z密码算法的软件开发工具包SDK。4.一种单包授权的处理方法,其特征在于,包括:管控平台接收客户端发送的UDP数据包,UDP数据包中携带有包含所述挑战码的认证请求;管控平台验证UDP数据包携带的挑战码,在验证所述挑战码通过时,向所述客户端返回网关信息,所述网关信息用于所述客户端与所述网关信息对应的应用网关进行数据传输。5.一种单包授权的装置,其特征在于,包括:第一获取模块,用于根据Z密码算法,获取对应于客户端的挑战码;构建模块,用于构建用户数据报协议U...
【专利技术属性】
技术研发人员:宫丹,闫岗岗,
申请(专利权)人:联易软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。