[发明专利]一种无客户端SDP架构实现方法及系统

说明书

本发明涉及软件定义边界领域，特别是一种无客户端SDP架构实现方法。其中，方法包括：终端向SDP代理服务器发送登录包；SDP代理服务器接收登录包，获取登录参数；SDP代理服务器向SDP控制器发送SPA请求；SDP控制器接收SPA请求，进行认证。通过该SDP架构实现方法，用户能够通过轻量化的方式接入SDP代理服务器进行SPA认证，实现SDP架构功能，提高SDP架构方案的可实施性。

技术领域

本发明涉及软件定义边界领域，特别是一种无客户端SDP架构实现方法。

背景技术

软件定义边界(SDP)是由云安全联盟(CSA)开发的一种安全框架，隐藏核心网络资产与设置，默认不暴露在互联网下。访问者通过终端，利用单包授权(Single PacketAuthorization,SPA)技术，发送认证请求，认证通过后，由SDP控制器动态开通指定访问者的指定网络资产的访问权限。实施中，通常SDP网关采用默认丢弃所有数据包的访问策略，因此未获取授权的用户和设备，将无法探测或访问受保护的应用端口，极大的提升了系统的安全水平。

传统的SDP架构采用网关模式，SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次访问，未被授权的陌生访问在TCP链接建立阶段就完全被屏蔽和拒绝，通过单一访问的控制方式，增强系统的安全性。

但SDP的网关模式需要用户安装SDP终端程序，以完成与SDP控制器的SPA认证流程，而在目前互联网的浪潮影响之下，所有业务都逐渐走向云化、轻量化，此时如果仍需要依赖本地的SDP终端进行SPA认证流程，明显不符合现代的互联网技术发展方向，因此，寻找一种轻量化的SDP架构实现方法成为了现有技术当中迫切要解决的技术问题。

发明内容

为解决相关技术中所存在的问题，本发明提供一种SDP架构实现方法，解决SDP架构的轻量化问题，同时提高SDP架构的安全性。

为实现上述目的，本发明采用如下技术方案：

作为本发明的第一个方面，一种无客户端SDP架构实现方法，包括SPA认证方法，所述SPA认证方法包括以下步骤：

终端向SDP代理服务器发送登录包；

SDP代理服务器接收登录包，获取登录参数；

SDP代理服务器向SDP控制器发送SPA请求；

SDP控制器接收SPA请求，进行认证。

进一步的，所述SDP代理服务器包括计数器，所述计数器计算固定时间间隔相同登录包的个数，当计数器达到告警阈值，则拒绝接收相同登录包。

进一步的，所述SPA请求通过UDP数据包方式发送至SDP服务器。

可选的，还包括网关配置方法，所述网关配置方法包括以下步骤：

SDP控制器接收应用地址，生成对应的代理地址，组成应用信息；

SDP控制器向SDP网关发送应用信息；

SDP网关解析应用信息，生成地址转换规则；

SDP控制器配置访问权限。

可选的，还包括以下步骤：

终端向SDP代理服务器获取登录页；

终端向SDP代理服务器发送登录内容，发起SPA认证，其中，所述登录内容包括终端IP、用户名、密码，所述SPA认证为执行所述SPA认证方法；

SDP控制器生成令牌Token，向SDP网关发送认证信息，其中，所述认证信息包括所述令牌Token与终端IP；

SDP控制器返回请求信息，其中，所述请求信息包括令牌Token、终端IP；