本公開提供了一種應用于軟件定義邊界SDP框架中的連接發起主機的數據處理方法、裝置、系統、介質及程序。所述方法包括：利用默認加密密鑰加密擴展SPA單包授權數據包，得到第一SPA加密包；將所述第一SPA加密包發送給所述SDP框架中的SDP控制器以通過所述SDP控制器對所述第一SPA加密包進行解密和驗證；接收所述SDP控制器的包括更新加密密鑰的反饋信息；在所述反饋信息包括所述更新加密密鑰的情況下，利用所述更新加密密鑰加密所述擴展SPA單包授權數據包，得到第二SPA加密包；以及將所述第二SPA加密包發送給所述SDP控制器，以請求對所述SDP框架中的連接接受主機的訪問授權。本公開提供了一種應用于軟件定義邊界SDP框架中的SDP控制器的數據處理方法、裝置、系統、介質及程序。

技術領域

本公開涉及互聯網技術領域，更具體地，涉及一種應用于軟件定義邊界SDP框架中的數據處理方法、裝置、系統、介質及程序。

背景技術

SDP(Software defined perimeter，軟件定義邊界)是一種安全框架，其基本組件包括：連接發起主機、連接接受主機與SDP控制器。在SDP框架中連接發起主機在向連接接受主機建立連接之前需要先與SDP控制器連接并進行身份驗證。其中在向SDP控制器進行身份驗證之前，連接發起主機要先向SDP控制器發送SPA(Single packet authorization，單包授權)數據包。只有SPA數據包通過驗證后連接發起主機才能與SDP控制器建立連接并進行身份驗證。

在實現本公開構思的過程中，發明人發現現有技術中至少存在如下問題：在初次登錄SDP控制器時，連接發起主機還沒有進行任何的身份驗證，此時各個不同的連接發起主機均使用默認一致的SPA驗證信息。那么，當該默認一致的SPA驗證信息泄漏后或者被竊取后，攻擊者就可以通過該默認一致的SPA驗證信息從SDP控制器處獲取對連接接受主機的訪問授權，進而會導致連接接受主機存在被攻擊的風險，帶來極大的網絡不安全問題。

發明內容

有鑒于此，本公開實施例提供了一種可以更好地保護連接接受主機的安全性的數據處理方法、裝置和系統。

本公開實施例的一個方面提供了一種應用于軟件定義邊界SDP框架的連接發起主機的數據處理方法。所述方法包括：利用默認加密密鑰加密包括所述連接發起主機的用戶認證信息和設備指紋的擴展SPA單包授權數據包，得到第一SPA加密包；將所述第一SPA加密包發送給所述SDP框架中的SDP控制器，以通過所述SDP控制器對所述第一SPA加密包進行解密和驗證；接收所述SDP控制器的反饋信息，其中，在所述SDP控制器用默認解密密鑰對所述第一SPA加密包解密成功并對解密后的所述第一SPA加密包中的數據驗證通過的情況下，所述反饋信息包括更新加密密鑰，其中，所述默認解密密鑰與所述默認加密密鑰對應，所述更新加密密鑰為基于所述用戶認證信息和所述設備指紋生成的加密密鑰；在所述反饋信息包括所述更新密鑰的情況下，利用所述更新加密密鑰加密所述擴展SPA單包授權數據包，得到第二SPA加密包；以及將所述第二SPA加密包發送給所述SDP控制器，以請求對所述SDP框架中的連接接受主機的訪問授權，其中，在所述SDP控制器利用與所述更新加密密鑰對應的更新解密密鑰對所述第二SPA加密包進行解密成功并對解密后的所述第二SPA加密包中的數據驗證通過的情況下，所述SDP控制器開啟所述訪問授權。

根據本公開的實施例，利用默認加密密鑰加密擴展SPA單包授權數據包，得到第一SPA加密包包括：確定是否存在所述更新加密密鑰，以及在確定不存在所述更新加密密鑰的情況下，利用默認加密密鑰加密所述擴展SPA單包授權數據包，得到所述第一SPA加密包。

根據本公開的實施例，所述數據處理方法還包括：獲取所述用戶認證信息以及所述設備指紋，將所述用戶認證信息與所述設備指紋添加到所述SDP框架的默認的單包授權SPA數據包中，得到所述擴展SPA單包授權數據包。