单包授权认证方法及装置与流程

本说明书涉及，尤其涉及单包授权认证方法及装置。

背景技术：

1、单包授权认证(single packet authorization，spa)是新一代端口敲门技术。单包授权认证包括将认证信息存在报文中的数据部分(packet data)，并传输给sdp(software defined perimeter，软件定义边界)服务器，通过设置一系列动态规则，动态的调整防火墙策略或执行特定命令。spa技术可以与多种安全技术组合使用，增强整体方案的安全能力，为了适应不同的网络场景，spa的报文格式以及常用的协议可以适当进行调整。

2、目前，udp(user datagram protocol，用户数据报协议)类型的单包授权认证场景会导致一些问题。比如在公网方式下，一个局域网中存在多个用户，该多个用户共享同一个公网出口。由于多个用户共享同一个公网出口，其中一个用户在向sdp服务端进行认证时，服务端只能感知到它们共同的公网出口地址，而无法分别具体是哪个用户在进行认证。若其中一个用户通过单包授权认证后，其他用户其实也已经通过了单包授权认证，这样会有安全隐患。

技术实现思路

1、为克服相关技术中存在的问题，本说明书提供了单包授权认证方法及装置。

2、根据本说明书实施例的第一方面，提供一种单包授权认证方法，应用于服务器，所述方法包括：接收客户端发送的tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文，所述握手报文包括单包授权认证扩展字段；根据所述单包授权认证扩展头，识别所述tls握手请求中的握手报文，得到单包授权认证扩展字段；根据所述单包授权认证扩展字段进行单包授权认证。

3、根据本说明书实施例的第二方面，提供一种单包授权认证方法，应用于客户端，所述方法包括：生成tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文，所述握手报文包括单包授权认证扩展字段；将所述tls握手请求发送至服务器。

4、根据本说明书实施例的第三方面，提供一种单包授权认证装置，应用于服务器，所述装置包括：请求接收模块，用于接收客户端发送的tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文，所述握手报文包括单包授权认证扩展字段；识别模块，用于根据所述单包授权认证扩展头，识别所述tls握手请求中的握手报文，得到单包授权认证扩展字段；认证模块，用于根据所述单包授权认证扩展字段进行单包授权认证。

5、根据本说明书实施例的第四方面，提供一种单包授权认证装置，应用于客户端，所述装置包括：生成模块，用于生成tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文，所述握手报文包括单包授权认证扩展字段；发送模块，用于将所述tls握手请求发送至服务器。

6、根据本说明书实施例的第五方面，提供一种单包授权认证装置，包括：

7、处理器；

8、用于存储处理器可执行指令的存储器；

9、其中，所述处理器被配置为：接收客户端发送的tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文；根据所述单包授权认证扩展头，识别所述tls握手请求中的握手报文，所述握手报文包括单包授权认证扩展字段；根据所述单包授权认证扩展字段进行单包授权认证。

10、根据本说明书实施例的第六方面，提供一种单包授权认证装置，包括：

11、处理器；

12、用于存储处理器可执行指令的存储器；

13、其中，所述处理器被配置为：请求接收模块，用于接收客户端发送的tls握手请求，所述tls握手请求为ipv6报文，包括单包授权认证扩展头和握手报文，所述单包授权认证扩展头的下一报文头字段指向所述握手报文；识别模块，用于根据所述单包授权认证扩展头，识别所述tls握手请求中的握手报文，所述握手报文包括单包授权认证扩展字段；认证模块，用于根据所述单包授权认证扩展字段进行单包授权认证。

14、本说明书的实施例提供的技术方案可以包括以下有益效果：

15、本说明书实施例中，在tls握手请求中增加单包授权认证扩展头，用于标识该请求同时作为单包授权认证请求，并在握手报文中增加单包授权认证扩展字段，用于携带单包认证报文信息。由此，可以实现基于tcp协议的单包授权认证。从而可以避免基于udp协议的单包授权认证场景下的安全隐患，增强安全性。

16、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。

技术特征：

1.一种单包授权认证方法，应用于服务器，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述单包授权认证扩展字段包括应用标识、随机数、认证密码、类型标识和端口数量，所述根据所述单包授权认证扩展字段进行单包授权认证包括：

3.根据权利要求1所述的方法，其特征在于，所述tls握手请求还包括第一随机数和所述客户端支持的加密算法，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述根据与所述类型标识对应的目标信息获取方式，从所述tls握手请求中获取目标ip地址和所述端口数量的目标端口，包括：

5.一种单包授权认证方法，应用于客户端，其特征在于，所述方法包括：

6.根据权利要求5所述的方法，其特征在于，所述tls握手请求包括第一随机数和所述客户端支持的加密算法，所述方法还包括：

7.根据权利要求5所述的方法，其特征在于，所述单包授权认证扩展字段包括应用标识、随机数、认证密码、类型标识和端口数量，所述类型标识指示的类型包括单ip地址多端口号类型、多ip地址多端口号类型、预设ip地址单端口号类型或单ip地址单端口号类型。

8.一种单包授权认证装置，应用于服务器，其特征在于，所述装置包括：

9.根据权利要求8所述的装置，其特征在于，单包授权认证扩展字段包括应用标识、随机数、认证密码、类型标识和端口数量，所述认证模块包括：

10.一种单包授权认证装置，应用于客户端，其特征在于，所述装置包括：

技术总结
本说明书提供一种单包授权认证方法及装置。所述方法包括：接收客户端发送的TLS握手请求，TLS握手请求为IPv6报文，包括单包授权认证扩展头和握手报文，单包授权认证扩展头的下一报文头字段指向握手报文；根据单包授权认证扩展头，识别TLS握手请求中的握手报文，得到单包授权认证扩展字段；根据单包授权认证扩展字段进行单包授权认证。

技术研发人员：张世坤,鲁一鸣
受保护的技术使用者：新华三技术有限公司
技术研发日：
技术公布日：2024/3/11