本技术涉及信息安全,特别是涉及一种业务访问方法、装置、设备及计算机可读存储介质。
背景技术:
1、软件定义边界(software defined perimeter,sdp)是由国际云安全联盟(csa)提出新一代网络安全模型。sdp主张网络隐身、最小授权,是更适用于云和移动时代的企业访问控制方案。sdp规范中采用spa单包认证机制对客户端进行身份认证,动态控制网络边界的访问策略。
2、spa是一种保护服务端口免受攻击的特殊认证方式,即通过一个单一数据包(single packet)携带认证鉴别信息(authentication)从而在完成认证后获得授权(authorization),再允许访问业务。spa单包授权是sdp的核心功能,在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份,实现零信任“先认证再连接”的安全模型。
3、sdp安全架构由sdp主机与sdp控制器两个逻辑组件组成。sdp主机包括sdp连接发起主机(ih,initiating host)与sdp连接接受主机(ah,accepting host),通常是全栈主机或轻量级服务。sdp控制器是一个设备或服务进程,用于定义和实现用户的身份认证与授权策略,并建立安全通信,保证网络上的数据流量和控制流量是分离的。在sdp安全架构中sdp控制器、ah接受主机由spa单包认证隔离机制保护,使其对未授权的用户和设备不可见。ih发起主机访问sdp控制器、ah主机访问sdp控制器,ih主机访问ah主机前,均需要发送spa单包敲门数据包进行身份认证。
4、目前spa单包认证数据包采用基于密码学的授权验证机制对数据包进行保护,通常采用内置固定密钥或采用文件手动分发密钥方式,采用文件手动分发密钥方式,密钥加密存储于文件,文件通常只能通过邮件、u盘等方式传递,再手动导入sdp主机,该方式存在分发灵活性差的缺点。采用内置固定密钥方式,所有sdp主机使用相同密钥进行单包敲门,存在密钥多次重用的问题,增加密钥被破解的几率,密钥保护安全性低。
5、综上所述,如何有效地解决文件手动分发密钥方式分发灵活性差,密钥多次重用增加密钥被破解的几率,密钥保护安全性低等问题,是目前本领域技术人员急需解决的问题。
技术实现思路
1、本技术的目的是提供一种业务访问方法,该方法保证了发起主机和接收主机访问sdp控制器以及发起主机访问接收主机spa单包认证数据包保护的安全性,提升了单包认证密钥分发灵活性;本技术的另一目的是提供一种业务访问装置、设备及计算机可读存储介质。
2、为解决上述技术问题,本技术提供如下技术方案:
3、一种业务访问方法,应用于sdp连接发起主机,包括:
4、当接收到业务访问请求时,向sdp控制器发送第一spa单包认证包;其中,所述第一spa单包认证包中包括所述sdp连接发起主机对应的第一控制spa敲门密钥、第一控制密钥id和第一密钥有效期;
5、在所述sdp控制器对所述第一spa单包认证包进行认证通过后,从所述sdp控制器中获取资源列表;
6、对接收到的针对所述资源列表中各资源的选择指令进行解析,得到待访问业务服务所属的目标sdp连接接受主机;
7、向所述sdp控制器发送针对所述目标sdp连接接受主机的数据spa敲门密钥和数据密钥id获取请求;
8、接收所述sdp控制器对所述目标sdp连接接受主机发送的代理鉴权spa单包认证包进行认证通过后返回的目标数据spa敲门密钥和目标数据密钥id;其中,所述代理鉴权spa单包认证包中包括所述目标sdp连接接受主机对应的第二控制spa敲门密钥、第二控制密钥id和第二密钥有效期;
9、根据所述目标数据spa敲门密钥和目标数据密钥id向所述目标sdp连接接受主机发送业务服务访问spa单包认证包,以使所述目标sdp连接接受主机对所述业务服务访问spa单包认证包进行认证通过时,对所述sdp连接发起主机进行访问授权;其中,所述目标sdp连接接受主机预存有所述sdp控制器对所述代理鉴权spa单包认证包进行认证通过后返回的所述目标数据spa敲门密钥和所述目标数据密钥id。
10、在本技术的一种具体实施方式中,在向sdp控制器发送第一spa单包认证包之前,还包括当所述sdp连接发起主机首次访问所述sdp控制器时,所述sdp连接发起主机在所述sdp控制器激活的过程,所述sdp连接发起主机在所述sdp控制器激活的过程,包括:
11、当所述sdp连接发起主机向所述sdp控制器注册时,利用所述sdp控制器生成所述sdp连接发起主机对应的客户端id和激活码;
12、接收所述客户端id和所述激活码;
13、根据所述客户端id和所述激活码生成第三控制spa敲门密钥;
14、根据所述第三控制spa敲门密钥生成注册spa单包认证包;
15、将所述注册spa单包认证包发送至所述sdp控制器,以使所述sdp控制器在根据所述注册spa单包认证包对所述sdp连接发起主机身份验证通过时,对所述sdp连接发起主机进行激活。
16、在本技术的一种具体实施方式中,在对所述sdp连接发起主机进行激活之后,还包括:
17、建立与所述sdp控制器之间的第一安全通道;
18、接收所述sdp控制器通过所述第一安全通道下发的所述第一控制spa敲门密钥、所述第一控制密钥id和所述第一密钥有效期;
19、对所述第一控制spa敲门密钥、所述第一控制密钥id和所述第一密钥有效期进行文件加密;
20、相应的,向sdp控制器发送第一spa单包认证包,包括:
21、对所述第一控制spa敲门密钥、所述第一控制密钥id和所述第一密钥有效期进行文件解密后,向所述sdp控制器发送所述第一spa单包认证包。
22、在本技术的一种具体实施方式中,在对所述第一控制spa敲门密钥、所述第一控制密钥id和所述第一密钥有效期进行文件解密后,向所述sdp控制器发送所述第一spa单包认证包之前,还包括:
23、获取当前系统时间;
24、计算所述当前系统时间与所述第一密钥有效期之间的时间差值;
25、判断所述时间差值是否小于预设值;
26、若是,则向所述sdp控制器发送spa换钥请求;
27、接收所述sdp控制器通过所述第一安全通道下发的新生成的控制spa敲门密钥、新生成的控制密钥id和新生成的密钥有效期;
28、将所述新生成的控制spa敲门密钥确定为新的第一控制spa敲门密钥,将所述新生成的控制密钥id确定为新的第一控制密钥id,将所述新生成的密钥有效期确定为新的第一密钥有效期。
29、在本技术的一种具体实施方式中,还包括所述sdp控制器在根据所述注册spa单包认证包对所述sdp连接发起主机进行身份验证的验证过程,所述sdp控制器在根据所述注册spa单包认证包对所述sdp连接发起主机进行身份验证的验证过程,包括:
30、所述sdp控制器从所述注册spa单包认证包的包头获取所述客户端id和密钥id;
31、当所述密钥id为0时,查询所述客户端id对应的激活码;
32、对所述激活码进行时间有效性验证,得到验证结果;
33、当所述验证结果为验证通过时,根据所述客户端id和所述激活码生成第四控制spa敲门密钥;
34、利用所述第四控制spa敲门密钥对所述注册spa单包认证包中的消息内容字段进行解密,得到明文数据包;
35、对所述明文数据包进行正确性验证。
36、在本技术的一种具体实施方式中,接收所述客户端id和所述激活码,包括:
37、接收通过扫码、短信、邮件、离线等分发方式中的任一项分发的所述客户端id和所述激活码。
38、在本技术的一种具体实施方式中,利用所述sdp控制器生成所述sdp连接发起主机对应的客户端id和激活码,包括:
39、利用所述sdp控制器生成所述sdp连接发起主机对应的客户端id和明文可见字符串形式的激活码。
40、一种业务访问装置,应用于sdp连接发起主机,包括:
41、资源访问认证包发送模块,用于当接收到业务访问请求时,向sdp控制器发送第一spa单包认证包;其中,所述第一spa单包认证包中包括所述sdp连接发起主机对应的第一控制spa敲门密钥、第一控制密钥id和第一密钥有效期;
42、资源列表获取模块,用于在所述sdp控制器对所述第一spa单包认证包进行认证通过后,从所述sdp控制器中获取资源列表;
43、指令解析模块,用于对接收到的针对所述资源列表中各资源的选择指令进行解析,得到待访问业务服务所属的目标sdp连接接受主机;
44、请求发送模块,用于向所述sdp控制器发送针对所述目标sdp连接接受主机的数据spa敲门密钥和数据密钥id获取请求;
45、数据密钥接收模块,用于接收所述sdp控制器对所述目标sdp连接接受主机发送的代理鉴权spa单包认证包进行认证通过后返回的目标数据spa敲门密钥和目标数据密钥id;其中,所述代理鉴权spa单包认证包中包括所述目标sdp连接接受主机对应的第二控制spa敲门密钥、第二控制密钥id和第二密钥有效期;
46、访问授权模块,用于根据所述目标数据spa敲门密钥和目标数据密钥id向所述目标sdp连接接受主机发送业务服务访问spa单包认证包,以使所述目标sdp连接接受主机对所述业务服务访问spa单包认证包进行认证通过时,对所述sdp连接发起主机进行访问授权;其中,所述目标sdp连接接受主机预存有所述sdp控制器对所述代理鉴权spa单包认证包进行认证通过后返回的所述目标数据spa敲门密钥和所述目标数据密钥id。
47、一种业务访问设备,包括:
48、存储器,用于存储计算机程序;
49、处理器,用于执行所述计算机程序时实现如前所述业务访问方法的步骤。
50、一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述业务访问方法的步骤。
51、本技术所提供的业务访问方法,当接收到业务访问请求时,向sdp控制器发送第一spa单包认证包;其中,第一spa单包认证包中包括sdp连接发起主机对应的第一控制spa敲门密钥、第一控制密钥id和第一密钥有效期;在sdp控制器对第一spa单包认证包进行认证通过后,从sdp控制器中获取资源列表;对接收到的针对资源列表中各资源的选择指令进行解析,得到待访问业务服务所属的目标sdp连接接受主机;向sdp控制器发送针对目标sdp连接接受主机的数据spa敲门密钥和数据密钥id获取请求;接收sdp控制器对目标sdp连接接受主机发送的代理鉴权spa单包认证包进行认证通过后返回的目标数据spa敲门密钥和目标数据密钥id;其中,代理鉴权spa单包认证包中包括目标sdp连接接受主机对应的第二控制spa敲门密钥、第二控制密钥id和第二密钥有效期;根据目标数据spa敲门密钥和目标数据密钥id向目标sdp连接接受主机发送业务服务访问spa单包认证包,以使目标sdp连接接受主机对业务服务访问spa单包认证包进行认证通过时,对sdp连接发起主机进行访问授权;其中,目标sdp连接接受主机预存有sdp控制器对代理鉴权spa单包认证包进行认证通过后返回的目标数据spa敲门密钥和目标数据密钥id。
52、由上述技术方案可知,sdp控制器预先为sdp连接发起主机分发第一控制spa敲门密钥、第一控制密钥id和第一密钥有效期,并为目标sdp连接接受主机分发第二控制spa敲门密钥、第二控制密钥id和第二密钥有效期。当进行业务访问时,首先sdp连接发起主机通过访问sdp控制器得到资源列表,根据资源列表确定需要访问的目标sdp连接接受主机,并向目标sdp连接接受主机发送业务服务访问spa单包认证包,sdp控制器对目标sdp连接接受主机代理鉴权通过后,分别向发起主机和接收主机返回目标数据spa敲门密钥,接收主机对业务服务访问spa单包认证包进行认证,认证通过后进行访问授权。发起主机和接收主机访问sdp控制器时使用各自对应的spa敲门密钥进行保护,发起主机访问接收主机时实时从sdp控制器获取目标数据spa敲门密钥,一次一密,保证了发起主机和接收主机访问sdp控制器以及发起主机访问接收主机spa单包认证数据包保护的安全性,提升了单包认证密钥分发灵活性。
53、相应的,本技术还提供了与上述业务访问方法相对应的业务访问装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
1.一种业务访问方法,其特征在于,应用于sdp连接发起主机,包括:
2.根据权利要求1所述的业务访问方法,其特征在于,在向sdp控制器发送第一spa单包认证包之前,还包括当所述sdp连接发起主机首次访问所述sdp控制器时,所述sdp连接发起主机在所述sdp控制器激活的过程,所述sdp连接发起主机在所述sdp控制器激活的过程,包括:
3.根据权利要求2所述的业务访问方法,其特征在于,在对所述sdp连接发起主机进行激活之后,还包括:
4.根据权利要求3所述的业务访问方法,其特征在于,在对所述第一控制spa敲门密钥、所述第一控制密钥id和所述第一密钥有效期进行文件解密后,向所述sdp控制器发送所述第一spa单包认证包之前,还包括:
5.根据权利要求2所述的业务访问方法,其特征在于,还包括所述sdp控制器在根据所述注册spa单包认证包对所述sdp连接发起主机进行身份验证的验证过程,所述sdp控制器在根据所述注册spa单包认证包对所述sdp连接发起主机进行身份验证的验证过程,包括:
6.根据权利要求2所述的业务访问方法,其特征在于,接收所述客户端id和所述激活码,包括:
7.根据权利要求2所述的业务访问方法,其特征在于,利用所述sdp控制器生成所述sdp连接发起主机对应的客户端id和激活码,包括:
8.一种业务访问装置,其特征在于,应用于sdp连接发起主机,包括:
9.一种业务访问设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述业务访问方法的步骤。
