一种制造技术

本发明专利技术涉及信息安全技术领域，特别是涉及基于一种

【技术实现步骤摘要】
一种SDP客户端安全鉴权系统


[0001]本专利技术涉及信息安全
，更具体地，涉及一种
SDP
客户端安全鉴权系统
。

技术介绍

[0002]SDP(Software Defined Perimeter
，软件定义边界
)
是由云安全联盟
(Cloud Security Alliance
，
CSA)
开发的一种安全框架
。SDP
作为零信任概念的扩展，可以抑制威胁并减少攻击面，防止基于网络及利用应用程序漏洞的攻击
。SDP
的主要组件通常包括
SDP
客户端
、
服务端和包含了
SDP
控制器的
SDP
管控平台，
SDP
客户端和服务端之间的连接都是通过
SDP
控制器与安全控制信道的交互来管控的
。
[0003]现有技术中，
SDP
客户端安全鉴权系统每个步骤都需要验证，验证后建立客户端与
SDP
网关的通信，在通信过程中容易被攻击从而泄漏数据，安全性较低，因此，提高鉴权系统在通信过程中的安全性是目前有待解决的技术问题
。

技术实现思路

[0004]本专利技术提供一种
SDP
客户端安全鉴权系统，用以解决，
SDP
客户端安全鉴权系统在通信过程中容易被攻击从而泄漏数据，安全性较低的技术问题
。
该系统应用于客户端
、
控制器和网关上，包括：请求单元，用于根据客户端的第一临时私钥和控制器的公钥得到第一密钥和加密数据包，根据第一密钥和加密数据包对控制器发送鉴权请求；认证单元，用于接收鉴权请求，根据控制器的私钥和客户端的第一临时公钥得到第二密钥和解密数据包，根据所述第二密钥和解密数据包进行认证，得到认证结果，其中，所述认证结果包括认证成功和认证失败；建立单元，用于当认证结果为认证成功时，建立客户端与网关的通信并计算通信的风险等级系数，若通信的风险等级系数大于预设风险等级系数阈值，断开客户端与网关的通信并发送报警信号
。
[0005]在本申请的一些实施例中，所述加密数据包包括设备环境信息
、
用户信息
、ID
信息和客户端的第一临时公钥
、
第二临时公钥
。
[0006]在本申请的一些实施例中，根据所述第二密钥和解密数据包进行认证，得到认证结果，包括：所述认证单元用于根据预设数据包中的存储数据对解密数据包中的设备环境信息
、
用户信息
、ID
信息和客户端的第一临时公钥
、
第二临时公钥进行逐一比对，若其中一项与所述存储数据比对不合格，则拒绝当前的鉴权请求并认证失败，若每一项都与所述存储数据比对合格，则认证成功
。
[0007]在本申请的一些实施例中，其特征在于，建立客户端与网关的通信并计算通信的风险等级系数，包括：获取所述客户端的历史设备环境和历史使用行为；
对所述客户端的历史设备环境和历史使用行为进行分析，确定客户端历史设备环境与历史使用行为的第一历史异常次数，生成第一风险集；获取所述网关的历史设备环境和历史使用行为；对所述网关的历史设备环境和历史使用行为进行分析，确定网关历史设备环境与历史使用行为的第二历史异常次数，生成第二风险集；获取客户端当前的设备环境和使用行为，根据第一风险集确定第一匹配度和第一异常次数，获取网关当前的设备环境和使用行为，根据第二风险集确定第二匹配度和第二异常次数；根据第一匹配度
、
第一异常次数
、
第二匹配度和第二异常次数计算通信的风险等级系数
。
[0008]在本申请的一些实施例中，所述第一匹配度根据客户端当前的设备环境和使用行为与历史设备环境和历史使用行为进行匹配，得到第一环境匹配系数
a1
和第一行为匹配系数
b1
，根据第一环境匹配系数
a1
和第一行为匹配系数
b1
的关系确定第一匹配度的计算公式；所述第一匹配度的计算公式为：当
a1
×
v1
＜
a0
且
b1
×
v2
＞
b0
或
a1
×
v1
＜
b1
×
v2
且
b1
×
v2
＞
b0
时，所述第一匹配度计算公式为：
K1=b1
×
v2
；当
b1
×
v2
＜
b0
且
a1
×
v1
＞
a0
或
b1
×
v2
＜
a1
×
v1
且
a1
×
v1
＞
a0
时，所述第一匹配度计算公式为
K1=a1
×
v1
；其中，
K1
为第一匹配度，
v1
为第一环境匹配系数对第一匹配度的影响系数，
v2
为第一行为匹配系数对第一匹配度的影响系数，
a0
为预设第一环境匹配系数，
b0
为预设第一行为匹配系数；所述第二匹配度根据网关当前的设备环境和使用行为与历史设备环境和历史使用行为进行匹配，得到第二环境匹配系数
a2
和第二行为匹配系数
b2
，根据第二环境匹配系数
a2
和第二行为匹配系数
b2
的关系确定第二匹配度的计算公式；所述第二匹配度的计算公式为：当
a2
×
n1
＜
ai
且
b2
×
n2
＞
bi
或
a2
×
n1
＜
b2
×
n2
且
b2
×
n2
＞
bi
时，所述第二匹配度计算公式为：
K2=b2
×
n2
；当
b2
×
n2
＜
bi
且
a2
×
n1
＞
ai
或
b2
×
n2
＜
a2
×
n1
且
a2
×
n1
＞
ai
时，所述第二匹配度计算公式为
K2=a2
×
n1
；其中，
K2
为第二匹配度，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种
SDP
客户端安全鉴权系统，应用于客户端
、
控制器和网关上，其特征在于，包括：请求单元，用于根据客户端的第一临时私钥和控制器的公钥得到第一密钥和加密数据包，根据第一密钥和加密数据包对控制器发送鉴权请求；认证单元，用于接收鉴权请求，根据控制器的私钥和客户端的第一临时公钥得到第二密钥和解密数据包，根据所述第二密钥和解密数据包进行认证，得到认证结果，其中，所述认证结果包括认证成功和认证失败；建立单元，用于当认证结果为认证成功时，建立客户端与网关的通信并计算通信的风险等级系数，若通信的风险等级系数大于预设风险等级系数阈值，断开客户端与网关的通信并发送报警信号
。2.
如权利要求1所述的
SDP
客户端安全鉴权系统，其特征在于，所述加密数据包包括设备环境信息
、
用户信息
、ID
信息和客户端的第一临时公钥
、
第二临时公钥
。3.
如权利要求2所述的
SDP
客户端安全鉴权系统，其特征在于，根据所述第二密钥和解密数据包进行认证，得到认证结果，包括：所述认证单元用于根据预设数据包中的存储数据对解密数据包中的设备环境信息
、
用户信息
、ID
信息和客户端的第一临时公钥
、
第二临时公钥进行逐一比对，若其中一项与所述存储数据比对不合格，则拒绝当前的鉴权请求并认证失败，若每一项都与所述存储数据比对合格，则认证成功
。4.
如权利要求1所述的
SDP
客户端安全鉴权系统，其特征在于，建立客户端与网关的通信并计算通信的风险等级系数，包括：获取所述客户端的历史设备环境和历史使用行为；对所述客户端的历史设备环境和历史使用行为进行分析，确定客户端历史设备环境与历史使用行为的第一历史异常次数，生成第一风险集；获取所述网关的历史设备环境和历史使用行为；对所述网关的历史设备环境和历史使用行为进行分析，确定网关历史设备环境与历史使用行为的第二历史异常次数，生成第二风险集；获取客户端当前的设备环境和使用行为，根据第一风险集确定第一匹配度和第一异常次数，获取网关当前的设备环境和使用行为，根据第二风险集确定第二匹配度和第二异常次数；根据第一匹配度
、
第一异常次数
、
第二匹配度和第二异常次数计算通信的风险等级系数
。5.
如权利要求4所述的
SDP
客户端安全鉴权系统，其特征在于，所述第一匹配度根据客户端当前的设备环境和使用行为与历史设备环境和历史使用行为进行匹配，得到第一环境匹配系数
a1
和第一行为匹配系数
b1
，根据第一环境匹配系数
a1
和第一行为匹配系数
b1
的关系确定第一匹配度的计算公式；所述第一匹配度的计算公式为：当
a1
×
v1
＜
a0
且
b1
×
v2
＞
b0
或
a1
×
v1
＜
b1
×
v2
且
b1
×
v2
＞
b0
时，所述第一匹配度计算公式为：
K1=b1
×
v2
；当
b1
×
v2
＜
b0
且
a1
×
v1
＞
a0
或
b1
×
v2
＜
a1
×
v1
且
a1
×
v1
＞
a0
时，所述第一匹配度计算公式为
K1=a1
×
v1
；
其中，
K1
为第一匹配度，
v1
为第一环境匹配系数对第一匹配度的影响系数，
v2
为第一行为匹配系数对第一匹配度的影响系数，
a0
为预设第一环境匹配系数，
b0
为预设第一行为匹配系数；所述第二匹配度根据网关当前的设备环境和使用行为与历史设备环境和历史使用行为进行匹配，得到第二环境匹配系数
a2
和第二行为匹配系数
b2
，根据第二环境匹配系数
a2
和第二行为匹配系数
b2
的关系确定第二匹配度的计算公...

【专利技术属性】
技术研发人员：范伟宁，孟子涵，于亮，王灿，吴家乐，范振兴，
申请(专利权)人：华能信息技术有限公司，
类型：发明
国别省市：