数据处理方法、装置、系统、介质及程序制造方法及图纸

本公开提供了一种应用于软件定义边界SDP框架中的连接发起主机的数据处理方法、装置、系统、介质及程序。所述方法包括：利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密包发送给所述SDP框架中的SDP控制器以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；接收所述SDP控制器的包括更新加密密钥的反馈信息；在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的访问授权。本公开提供了一种应用于软件定义边界SDP框架中的SDP控制器的数据处理方法、装置、系统、介质及程序。

【技术实现步骤摘要】
数据处理方法、装置、系统、介质及程序
本公开涉及互联网
，更具体地，涉及一种应用于软件定义边界SDP框架中的数据处理方法、装置、系统、介质及程序。
技术介绍
SDP(Softwaredefinedperimeter，软件定义边界)是一种安全框架，其基本组件包括：连接发起主机、连接接受主机与SDP控制器。在SDP框架中连接发起主机在向连接接受主机建立连接之前需要先与SDP控制器连接并进行身份验证。其中在向SDP控制器进行身份验证之前，连接发起主机要先向SDP控制器发送SPA(Singlepacketauthorization，单包授权)数据包。只有SPA数据包通过验证后连接发起主机才能与SDP控制器建立连接并进行身份验证。在实现本公开构思的过程中，专利技术人发现现有技术中至少存在如下问题：在初次登录SDP控制器时，连接发起主机还没有进行任何的身份验证，此时各个不同的连接发起主机均使用默认一致的SPA验证信息。那么，当该默认一致的SPA验证信息泄漏后或者被窃取后，攻击者就可以通过该默认一致的SPA验证信息从SDP控制器处获取对连接接受主机的访问授权，进而会导致连接接受主机存在被攻击的风险，带来极大的网络不安全问题。
技术实现思路
有鉴于此，本公开实施例提供了一种可以更好地保护连接接受主机的安全性的数据处理方法、装置和系统。本公开实施例的一个方面提供了一种应用于软件定义边界SDP框架的连接发起主机的数据处理方法。所述方法包括：利用默认加密密钥加密包括所述连接发起主机的用户认证信息和设备指纹的扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；接收所述SDP控制器的反馈信息，其中，在所述SDP控制器用默认解密密码对所述第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥；在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的访问授权，其中，在所述SDP控制器利用与所述更新加密密钥对应的更新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据验证通过的情况下，所述SDP控制器开启所述访问授权。根据本公开的实施例，利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包包括：确定是否存在所述更新加密密钥，以及在确定不存在所述更新加密密钥的情况下，利用默认加密密钥加密所述扩展SPA单包授权数据包，得到所述第一SPA加密包。根据本公开的实施例，所述数据处理方法还包括：获取所述用户认证信息以及所述设备指纹，将所述用户认证信息与所述设备指纹添加到所述SDP框架的默认的单包授权SPA数据包中，得到所述扩展SPA单包授权数据包。根据本公开的实施例，所述数据处理方法还包括：在获得所述访问授权后，向所述SDP控制器请求使用所述用户认证信息对所述连接接受主机进行访问的认证登录授权，以及在获得所述认证登录授权后，使用所述用户认证信息对所述连接接受主机进行访问。本公开实施例的第二方面提供了一种应用于软件定义边界SDP框架中的SDP控制器的数据处理方法，所述方法包括：接收由所述SDP框架中的连接发起主机发送的第三SPA加密包，其中所述第三SPA加密包为加密的扩展SPA单包授权数据包，其中所述扩展SPA单包授权数据包包括所述连接发起主机的用户认证信息和设备指纹；当利用默认解密密钥对所述第三SPA加密包解密成功且对解密后的所述第三SPA加密包的数据验证通过后，从解密后的所述第三SPA加密包的数据中提取所述用户认证信息和所述设备指纹，基于所述用户认证信息和所述设备指纹生成更新加密密钥及其对应的更新解密密钥；将所述更新加密密钥发送给所述连接发起主机；接收由所述连接发起主机发送的第四SPA加密包，其中所述第四SPA加密包为另一个加密的所述扩展SPA单包授权数据包；以及当利用所述更新解密密钥对所述第四SPA加密包解密成功且对解密后的所述第四SPA加密包的数据验证通过后，向所述连接发起主机开启对所述SDP框架中的连接接受主机的访问授权。根据本公开的实施例，该数据处理方法还包括：利用所述SDP控制器中的多个解密密钥对所述第三SPA加密包进行解密尝试，其中，所述多个解密密钥至少包括所述默认解密密钥。若解密成功，则确定所使用的解密密钥是否为所述默认解密密钥；若所述多个解密密钥均解密失败，则结束对所述第三SPA加密包的处理。根据本公开的实施例，该数据处理方法还包括：接收所述连接发起主机发送的使用所述用户认证信息对所述连接接受主机进行访问的认证登录授权请求，以及授权所述连接发起主机使用所述用户认证信息访问所述连接接受主机。本公开实施例的第三方面提供了一种应用于软件定义边界SDP框架中的连接发起主机的数据处理装置。所述装置包括第一加密模块、加密数据发送模块、反馈信息接收模块、第二加密模块、以及访问授权模块。其中，第一加密模块用于利用默认加密密钥加密包括所述连接发起主机的用户认证信息和设备指纹的扩展SPA单包授权数据包，得到第一SPA加密包。加密数据发送模块用于将所述第一SPA加密包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解密和验证。反馈信息接收模块用于接收所述SDP控制器的反馈信息，其中，在所述SDP控制器利用默认解密密码对所述第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥。第二加密模块用于在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包。访问授权请求模块用于将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的访问授权，其中，在所述SDP控制器利用更新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据验证通过的情况下，所述SDP控制器开启所述访问授权，所述更新解密密钥与所述更新加密密钥对应。根据本公开的实施例，所述第一加密模块还用于确定是否存在所述更新加密密钥，以及在确定不存在所述更新加密密钥的情况下，利用默认加密密钥加密所述扩展SPA单包授权数据包，得到所述第一SPA加密包。根据本公开的实施例，所述装置还包括第一获得模块。所述第一获得模块用于获取所述用户认证信息以及所述设备指纹，以及将所述用户认证信息与所述设备指纹添加到所述SDP框架的默认的单包授权SPA数据包中，得到所述扩展SPA单包授权数据本文档来自技高网...

【技术保护点】
1.一种数据处理方法，应用于软件定义边界SDP框架中的连接发起主机，所述方法包括：/n利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包，其中所述扩展SPA单包授权数据包包括所述连接发起主机的用户认证信息和设备指纹；/n将所述第一SPA加密包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；/n接收所述SDP控制器的反馈信息，其中，在所述SDP控制器用默认解密密码对所述第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥；/n在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及/n将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的防问授权，其中，在所述SDP控制器利用更新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据验证通过的情况下，所述SDP控制器开启所述访问授权，所述更新解密密钥与所述更新加密密钥对应。/n...

【技术特征摘要】
1.一种数据处理方法，应用于软件定义边界SDP框架中的连接发起主机，所述方法包括：
利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包，其中所述扩展SPA单包授权数据包包括所述连接发起主机的用户认证信息和设备指纹；
将所述第一SPA加密包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；
接收所述SDP控制器的反馈信息，其中，在所述SDP控制器用默认解密密码对所述第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥；
在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及
将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的防问授权，其中，在所述SDP控制器利用更新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据验证通过的情况下，所述SDP控制器开启所述访问授权，所述更新解密密钥与所述更新加密密钥对应。


2.根据权利要求1所述的方法，其中，所述利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包包括：
确定是否存在所述更新加密密钥；以及
在确定不存在所述更新加密密钥的情况下，利用默认加密密钥加密所述扩展SPA单包授权数据包，得到所述第一SPA加密包。


3.根据权利要求1所述的方法，其中，所述方法还包括：
获取所述用户认证信息以及所述设备指纹；
将所述用户认证信息与所述设备指纹添加到所述SDP框架的默认的单包授权SPA数据包中，得到所述扩展SPA单包授权数据包。


4.根据权利要求1所述的方法，其中，所述方法还包括：
在获得所述访问授权后，向所述SDP控制器请求使用所述用户认证信息对所述连接接受主机进行访问的认证登录授权；以及
在获得所述认证登录授权后，使用所述用户认证信息对所述连接接受主机进行访问。


5.一种数据处理方法，应用于软件定义边界SDP框架中的SDP控制器，所述方法包括：
接收由所述SDP框架中的连接发起主机发送的第三SPA加密包，其中所述第三SPA加密包为加密的扩展SPA单包授权数据包；其中所述扩展SPA单包授权数据包包括所述连接发起主机的用户认证信息和设备指纹；
当利用默认解密密钥对所述第三SPA加密包解密成功且对解密后的所述第三SPA加密包的数据验证通过后，从解密后的所述第三SPA加密包的数据中提取所述用户认证信息和所述设备指纹；
基于所述用户认证信息和所述设备指纹生成更新加密密钥及其对应的更新解密密钥；
将所述更新加密密钥发送给所述连接发起主机；
接收由所述连接发起主机发送的第四SPA加密包，其中所述第四SPA加密包为另一个加密的所述扩展SPA单包授权数据包；以及
当利用所述更新解密密钥对所述第四SPA加密包解密成功且对解密后的所述第四SPA加密包的数据验证通过后，向所述连接发起主机开启对所述SDP框架中的连接接受主机的访问授权。


6.根据权利要求5所述的方法，其中，还包括：
利用所述SDP控制器中的多个解密密钥对所述第三SPA加密包进行解密尝试，其中，所述多个解密密钥至少包括所述默认解密密钥；
若解密成功，则确定所使用的解密...

【专利技术属性】
技术研发人员：刘成伟，张泽洲，简明，魏勇，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11