[发明专利]数据处理方法、装置、系统、介质及程序

说明书

本公开提供了一种应用于软件定义边界SDP框架中的连接发起主机的数据处理方法、装置、系统、介质及程序。所述方法包括：利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密包发送给所述SDP框架中的SDP控制器以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；接收所述SDP控制器的包括更新加密密钥的反馈信息；在所述反馈信息包括所述更新加密密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的访问授权。本公开提供了一种应用于软件定义边界SDP框架中的SDP控制器的数据处理方法、装置、系统、介质及程序。

技术领域

本公开涉及互联网技术领域，更具体地，涉及一种应用于软件定义边界SDP框架中的数据处理方法、装置、系统、介质及程序。

背景技术

SDP(Software defined perimeter，软件定义边界)是一种安全框架，其基本组件包括：连接发起主机、连接接受主机与SDP控制器。在SDP框架中连接发起主机在向连接接受主机建立连接之前需要先与SDP控制器连接并进行身份验证。其中在向SDP控制器进行身份验证之前，连接发起主机要先向SDP控制器发送SPA(Single packet authorization，单包授权)数据包。只有SPA数据包通过验证后连接发起主机才能与SDP控制器建立连接并进行身份验证。

在实现本公开构思的过程中，发明人发现现有技术中至少存在如下问题：在初次登录SDP控制器时，连接发起主机还没有进行任何的身份验证，此时各个不同的连接发起主机均使用默认一致的SPA验证信息。那么，当该默认一致的SPA验证信息泄漏后或者被窃取后，攻击者就可以通过该默认一致的SPA验证信息从SDP控制器处获取对连接接受主机的访问授权，进而会导致连接接受主机存在被攻击的风险，带来极大的网络不安全问题。

发明内容

有鉴于此，本公开实施例提供了一种可以更好地保护连接接受主机的安全性的数据处理方法、装置和系统。

本公开实施例的一个方面提供了一种应用于软件定义边界SDP框架的连接发起主机的数据处理方法。所述方法包括：利用默认加密密钥加密包括所述连接发起主机的用户认证信息和设备指纹的扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解密和验证；接收所述SDP控制器的反馈信息，其中，在所述SDP控制器用默认解密密钥对所述第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥；在所述反馈信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到第二SPA加密包；以及将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架中的连接接受主机的访问授权，其中，在所述SDP控制器利用与所述更新加密密钥对应的更新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据验证通过的情况下，所述SDP控制器开启所述访问授权。

根据本公开的实施例，利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包包括：确定是否存在所述更新加密密钥，以及在确定不存在所述更新加密密钥的情况下，利用默认加密密钥加密所述扩展SPA单包授权数据包，得到所述第一SPA加密包。

根据本公开的实施例，所述数据处理方法还包括：获取所述用户认证信息以及所述设备指纹，将所述用户认证信息与所述设备指纹添加到所述SDP框架的默认的单包授权SPA数据包中，得到所述扩展SPA单包授权数据包。