技术摘要：
本公开提供了一种应用于软件定义边界SDP框架中的连接发起主机的数据处理方法、装置、系统、介质及程序。所述方法包括：利用默认加密密钥加密扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密包发送给所述SDP框架中的SDP控制器以通过所述SDP控制器对所述第  全部
背景技术：
SDP(Software  defined  perimeter，软件定义边界)是一种安全框架，其基本组件 包括：连接发起主机、连接接受主机与SDP控制器。在SDP框架中连接发起主机在向连接接受 主机建立连接之前需要先与SDP控制器连接并进行身份验证。其中在向SDP控制器进行身份 验证之前，连接发起主机要先向SDP控制器发送SPA(Single  packet  authorization，单包 授权)数据包。只有SPA数据包通过验证后连接发起主机才能与SDP控制器建立连接并进行 身份验证。 在实现本公开构思的过程中，发明人发现现有技术中至少存在如下问题：在初次 登录SDP控制器时，连接发起主机还没有进行任何的身份验证，此时各个不同的连接发起主 机均使用默认一致的SPA验证信息。那么，当该默认一致的SPA验证信息泄漏后或者被窃取 后，攻击者就可以通过该默认一致的SPA验证信息从SDP控制器处获取对连接接受主机的访 问授权，进而会导致连接接受主机存在被攻击的风险，带来极大的网络不安全问题。
技术实现要素：
有鉴于此，本公开实施例提供了一种可以更好地保护连接接受主机的安全性的数 据处理方法、装置和系统。 本公开实施例的一个方面提供了一种应用于软件定义边界SDP框架的连接发起主 机的数据处理方法。所述方法包括：利用默认加密密钥加密包括所述连接发起主机的用户 认证信息和设备指纹的扩展SPA单包授权数据包，得到第一SPA加密包；将所述第一SPA加密 包发送给所述SDP框架中的SDP控制器，以通过所述SDP控制器对所述第一SPA加密包进行解 密和验证；接收所述SDP控制器的反馈信息，其中，在所述SDP控制器用默认解密密码对所述 第一SPA加密包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所 述反馈信息包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更 新加密密钥为基于所述用户认证信息和所述设备指纹生成的加密密钥；在所述反馈信息包 括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据包，得到 第二SPA加密包；以及将所述第二SPA加密包发送给所述SDP控制器，以请求对所述SDP框架 中的连接接受主机的访问授权，其中，在所述SDP控制器利用与所述更新加密密钥对应的更 新解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数 据验证通过的情况下，所述SDP控制器开启所述访问授权。 根据本公开的实施例，利用默认加密密钥加密扩展SPA单包授权数据包，得到第一 SPA加密包包括：确定是否存在所述更新加密密钥，以及在确定不存在所述更新加密密钥的 情况下，利用默认加密密钥加密所述扩展SPA单包授权数据包，得到所述第一SPA加密包。 5 CN 111600906 A 说　明　书 2/15 页 根据本公开的实施例，所述数据处理方法还包括：获取所述用户认证信息以及所 述设备指纹，将所述用户认证信息与所述设备指纹添加到所述SDP框架的默认的单包授权 SPA数据包中，得到所述扩展SPA单包授权数据包。 根据本公开的实施例，所述数据处理方法还包括：在获得所述访问授权后，向所述 SDP控制器请求使用所述用户认证信息对所述连接接受主机进行访问的认证登录授权，以 及在获得所述认证登录授权后，使用所述用户认证信息对所述连接接受主机进行访问。 本公开实施例的第二方面提供了一种应用于软件定义边界SDP框架中的SDP控制 器的数据处理方法，所述方法包括：接收由所述SDP框架中的连接发起主机发送的第三SPA 加密包，其中所述第三SPA加密包为加密的扩展SPA单包授权数据包，其中所述扩展SPA单包 授权数据包包括所述连接发起主机的用户认证信息和设备指纹；当利用默认解密密钥对所 述第三SPA加密包解密成功且对解密后的所述第三SPA加密包的数据验证通过后，从解密后 的所述第三SPA加密包的数据中提取所述用户认证信息和所述设备指纹，基于所述用户认 证信息和所述设备指纹生成更新加密密钥及其对应的更新解密密钥；将所述更新加密密钥 发送给所述连接发起主机；接收由所述连接发起主机发送的第四SPA加密包，其中所述第四 SPA加密包为另一个加密的所述扩展SPA单包授权数据包；以及当利用所述更新解密密钥对 所述第四SPA加密包解密成功且对解密后的所述第四SPA加密包的数据验证通过后，向所述 连接发起主机开启对所述SDP框架中的连接接受主机的访问授权。 根据本公开的实施例，该数据处理方法还包括：利用所述SDP控制器中的多个解密 密钥对所述第三SPA加密包进行解密尝试，其中，所述多个解密密钥至少包括所述默认解密 密钥。若解密成功，则确定所使用的解密密钥是否为所述默认解密密钥；若所述多个解密密 钥均解密失败，则结束对所述第三SPA加密包的处理。 根据本公开的实施例，该数据处理方法还包括：接收所述连接发起主机发送的使 用所述用户认证信息对所述连接接受主机进行访问的认证登录授权请求，以及授权所述连 接发起主机使用所述用户认证信息访问所述连接接受主机。 本公开实施例的第三方面提供了一种应用于软件定义边界SDP框架中的连接发起 主机的数据处理装置。所述装置包括第一加密模块、加密数据发送模块、反馈信息接收模 块、第二加密模块、以及访问授权模块。其中，第一加密模块用于利用默认加密密钥加密包 括所述连接发起主机的用户认证信息和设备指纹的扩展SPA单包授权数据包，得到第一SPA 加密包。加密数据发送模块用于将所述第一SPA加密包发送给所述SDP框架中的SDP控制器， 以通过所述SDP控制器对所述第一SPA加密包进行解密和验证。反馈信息接收模块用于接收 所述SDP控制器的反馈信息，其中，在所述SDP控制器利用默认解密密码对所述第一SPA加密 包解密成功并对解密后的所述第一SPA加密包中的数据验证通过的情况下，所述反馈信息 包括更新加密密钥，其中，所述默认解密密钥与所述默认加密密钥对应，所述更新加密密钥 为基于所述用户认证信息和所述设备指纹生成的加密密钥。第二加密模块用于在所述反馈 信息包括所述更新密钥的情况下，利用所述更新加密密钥加密所述扩展SPA单包授权数据 包，得到第二SPA加密包。访问授权请求模块用于将所述第二SPA加密包发送给所述SDP控制 器，以请求对所述SDP框架中的连接接受主机的访问授权，其中，在所述SDP控制器利用更新 解密密钥对所述第二SPA加密包进行解密成功并对解密后的所述第二SPA加密包中的数据 验证通过的情况下，所述SDP控制器开启所述访问授权，所述更新解密密钥与所述更新加密 6 CN 111600906 A 说　明　书 3/15 页 密钥对应。 根据本公开的实施例，所述第一加密模块还用于确定是否存在所述更新加密密 钥，以及在确定不存在所述更新加密密钥的情况下，利用默认加密密钥加密所述扩展SPA单 包授权数据包，得到所述第一SPA加密包。 根据本公开的实施例，所述装置还包括第一获得模块。所述第一获得模块用于获 取所述用户认证信息以及所述设备指纹，以及将所述用户认证信息与所述设备指纹添加到 所述SDP框架的默认的单包授权SPA数据包中，得到所述扩展SPA单包授权数据包。 本公开实施例的第四方面提供了一种应用于软件定义边界SDP框架中的SDP控制 器的数据处理装置。所述装置包括第一接收模块、数据提取模块、密钥生成模块、密钥发送 模块、第二接收模块和访问授权模块。其中，第一接收模块用于接收由所述SDP框架中的连 接发起主机发送的第三SPA加密包，其中所述第三SPA加密包为加密的包括所述连接发起主 机的用户认证信息和设备指纹的扩展SPA单包授权数据包。数据提取模块用于当利用默认 解密密钥对所述第三SPA加密包解密成功且对解密后的第三SPA加密包的数据验证通过后， 从解密后的所述第三SPA加密包的数据中提取所述用户认证信息和所述设备指纹。密钥生 成模块用于基于所述用户认证信息和所述设备指纹生成更新加密密钥及其对应的更新解 密密钥。密钥发送模块用于将所述更新加密密钥发送给所述连接发起主机。第二接收模块 用于接收由所述连接发起主机发送的第四SPA加密包，其中所述第四SPA加密包为另一个加 密的所述扩展SPA单包授权数据包。访问授权模块用于当利用所述更新解密密钥对所述第 四SPA加密包解密成功且对解密后的所述第四SPA加密包的数据验证通过后，向所述连接发 起主机开启对所述SDP框架中的连接接受主机的访问授权。 根据本公开的实施例，所述装置还包括解密模块。所述解密模块用于：利用所述 SDP控制器中的多个解密密钥对所述第三SPA加密包进行解密尝试，其中，所述多个解密密 钥至少包括所述默认解密密钥；若解密成功，则确定所使用的解密密钥是否为所述默认解 密密钥；若所述多个解密密钥均解密失败，则结束对所述第三SPA加密包的处理。 本公开实施例的第五方面提供了一种数据处理系统。所述系统包括：一个或多个 存储器以及一个或多个处理器。所述存储器存储有可执行指令。所述处理器执行所述可执 行指令，以实现本公开实施例的第一方面和第二方面所提供的方法。 本公开实施例的第六方面提供了一种计算机可读存储介质，其上存储有可执行指 令，该指令被处理器执行时使处理器执行本公开实施例的第一方面和第二方面所提供的方 法。 本公开实施例的第七方面提供了一种计算机程序，所述计算机程序包括计算机可 执行指令，所述指令在被执行时用于实现本公开实施例的第一方面和第二方面所提供的方 法。 附图说明 通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和 优点将更为清楚，在附图中： 图1示意性示出了根据本公开实施例的数据处理方法、装置和系统的应用场景图； 图2示意性示出了根据本公开实施例的软件定义边界SDP框架的示意图； 7 CN 111600906 A 说　明　书 4/15 页 图3示意性示出了根据本公开实施例的设置于软件定义边界SDP框架中的连接发 起主机的数据处理装置的框图； 图4示意性示出了根据本公开实施例的应用于软件定义边界SDP框架中的连接发 起主机的数据处理方法的流程图； 图5示意性示出了根据本公开另一实施例的应用于软件定义边界SDP框架中的连 接发起主机的数据处理方法的流程图； 图6示意性示出了根据本公开另一实施例的应用于软件定义边界SDP框架中的连 接发起主机的数据处理方法的流程图； 图7示意性示出了根据本公开另一实施例的应用于软件定义边界SDP框架中的连 接发起主机的数据处理方法的流程图； 图8示意性示出了根据本公开实施例的设置于软件定义边界SDP框架中的SDP控制 器的数据处理装置的框图； 图9示意性示出了根据本公开实施例的应用于软件定义边界SDP框架中的SDP控制 器的数据处理方法的流程图； 图10示意性示出了根据本公开另一实施例的应用于软件定义边界SDP框架中的 SDP控制器的数据处理方法的流程图； 图11示意性示出了根据本公开另一实施例的应用于软件定义边界SDP框架中的 SDP控制器的数据处理方法的流程图； 图12示意性示出了可以应用于软件定义边界SDP框架的数据处理方法的整体架构 交互图； 图13示意性示出了根据本公开实施例的图12所示的架构中SDP控制器中对SPA数 据包进行解密处理流程图； 图14示意性示出了根据本公开实施例的图12所示的架构中登录终端的处理流程 图； 图15示意性示出了根据本公开实施例的图12所示的架构中SDP控制器中密钥管理 模块处理流程图； 图16示意性示出了根据本公开实施例的图12所示的架构中连接接受主机密钥管 理模块处理流程图；以及 图17示意性示出了适于实现根据本公开实施例的数据处理方法的计算机系统的 框图。