一种单包认证的方法及相关装置与流程

1.本发明涉及网络通信技术领域，尤其涉及一种单包认证的方法及相关装置。


背景技术：

2.软件定义边界(sdp)，也被称为“黑云(blackcloud)”，是一种新的计算机安全方法，它是由2007年左右disa在全球信息网格(gig)网络倡议下所做的工作内容演变而来，后来被云安全联盟(cloudsecurityalliance)采纳并用于联盟成员。
3.sdp要求在获得对受保护服务器的网络访问之前，先对端点进行身份验证和授权。然后，在请求系统和应用程序基础设施之间实时创建加密连接。sdp将用户的数据和基础设施等关键it资产隐藏在用户自己的黑云里，使得这些关键it资产对外是不可见的。而要实现对隐藏资产的访问，需要通过spa(singlepacketauthorization，单包授权)来建立端点和服务器之间的信任连接。
4.而现有技术中的spa单包授权均采用单因素执行单包授权认证，而这种单因素认证的单包授权认证方案，主要技术缺陷如下：
5.若零信任服务端仅对零信任客户端执行spa敲门密钥的验证，则会使得用户b可以通过用户a的spa敲门密钥完成单包授权，从而获得对零信任服务端的访问权限，从而降低了单因素认证的安全性。


技术实现要素：

6.本发明实施例提供了一种单包认证的方法及相关装置，用于在单包授权认证请求中设置至少两个认证因素，从而在单包传输信息的前提下，进一步提升了单包授权认证过程的安全性。
7.本技术实施例第一方面提供了一种单包认证的方法，应用于零信任服务端，其中，所述零信任服务端启用单包授权认证，所述方法包括：
8.接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
9.对所述单包授权认证请求进行合法性校验和认证因素校验；
10.若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
11.优选的，所述至少两个认证因素包括：
12.秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。
13.优选的，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；
14.所述物理介质认证信息包括：证书、ukey或硬件otp；
15.所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。
16.优选的，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；
17.则对所述单包授权认证请求进行认证因素的校验，包括：
18.根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；
19.利用所述敲门密钥对加密的硬件otp动态口令进行解密；
20.根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
21.若一致，则对所述单包授权认证请求的认证因素校验通过；
22.若不一致，则对所述单包授权认证请求的认证因素校验不通过。
23.优选的，所述方法还包括：
24.通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；
25.根据所述用户身份认证请求，对用户身份进行校验；
26.若校验通过，则建立与所述零信任客户端之间的应用层连接。
27.优选的，所述接收零信任客户端根据零信任接入地址所发送的单包授权认证请求，包括：
28.通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。
29.优选的，对所述单包授权认证请求进行合法性校验包括：
30.对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。
31.本技术实施例第二方面提供了一种零信任服务端，所述零信任服务端启用单包授权认证，所述零信任客户端包括：
32.接收单元，用于接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
33.校验单元，用于对所述单包授权认证请求进行合法性校验和认证因素校验；
34.发送单元，用于若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
35.优选的，所述至少两个认证因素包括：
36.秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。
37.优选的，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；
38.所述物理介质认证信息包括：证书、ukey或硬件otp；
39.所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。
40.优选的，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；
41.校验单元具体用于：
42.根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；
43.利用所述敲门密钥对加密的硬件otp动态口令进行解密；
44.根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
45.若一致，则对所述单包授权认证请求的认证因素校验通过；
46.若不一致，则对所述单包授权认证请求的认证因素校验不通过。
47.优选的，接收单元还用于：
48.通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；
49.校验单元还用于：
50.根据所述用户身份认证请求，对用户身份进行校验；
51.若校验通过，则建立与所述零信任客户端之间的应用层连接。
52.优选的，接收单元具体用于：
53.通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。
54.优选的，校验单元具体用于：
55.对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。
56.本技术实施例第三方面提供了一种计算机装置，包括处理器，所述处理器在执行存储于存储器上的计算机程序时，用于实现本技术实施例第一方面提供的单包认证的方法。
57.本技术实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，用于实现本技术实施例第一方面提供的单包认证的方法。
58.从以上技术方案可以看出，本发明实施例具有以下优点：
59.本技术实施例中，在零信任客户端和零信任服务端之间的单包授权认证请求中，包括了至少两种类型的认证因素，从而相较于现有技术中单因素的认证而言，在单包数据传输的基础上，进一步提升了认证过程的可靠性。
附图说明
60.图1为本技术实施例中单包认证的方法的一个实施例示意图；
61.图2为本技术图1实施例中步骤102的细化步骤；
62.图3为本技术实施例中零信任服务端的一个实施例示意图。
具体实施方式
63.本发明实施例提供了一种单包认证的方法及相关装置，用于在单包授权认证请求中设置至少两个认证因素，从而在单包传输信息的前提下，进一步提升了单包授权认证过程的安全性。
64.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范
围。
65.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
66.为方便理解，下面先对本技术实施例中的专业术语进行描述：
67.1、零信任：一种“永不信任，总是验证”的安全理念，并发展出“以身份为中心、持续信任评估、动态访问控制”的安全框架，主流技术实现有sdp软件定义边界、iam统一身份管理、msg微隔离三种，本发明方案中的“零信任”概念均特指sdp软件定义边界类产品。
68.2、sdp软件定义边界：访问被隐藏的资产之前，需要通过spa单包授权来建立信任连接，并采用最小授权策略实现对用户的访问控制。由三大组件构成：sdp控制中心和代理网关(以下称“服务端”)、sdp连接发起主机(以下称“客户端”)。
69.3、spa单包授权：客户端通过单一数据包携带认证鉴别信息向服务端发起认证请求，认证通过前不能或仅能建立tcp连接，从而无法访问服务端提供的服务，认证通过后才允许和服务端相关服务建立连接。
70.4、spa敲门密钥：spa单包授权过程中的认证鉴别信息。
71.5、身份认证：通常是指通过某种或多种方式完成对用户身份的确认。本发明方案中的“身份认证”概念均特指通过spa单包授权认证后，才允许访问的服务端认证服务，即spa单包授权不属于本发明方案所指的的身份认证服务。
72.下面接着对本技术实施例中的单包认证方法进行描述，请参阅图1，本技术实施例中单包认证方法的一个实施例，包括：
73.101、接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
74.本技术实施例应用于spa单包授权的场景下，其中，本技术实施例中的零信任服务端启用单包授权认证，也即零信任客户端和零信任服务端建立应用层的连接之前，需要零信任服务端对零信任客户端进行单包授权认证，只有单包授权认证通过以后，才能允许零信任客户端和零信任服务端之间建立服务连接(也即应用层的连接)。
75.区别于现有技术，因为零信任客户端向零信任服务端发送单包授权认证请求时，零信任服务端只对零信任客户端执行敲门密钥的验证，并在敲门验证通过后，零信任服务端即向零信任客户端发送服务端端口和/或业务服务，从而导致用户b在截获用户a的敲门密钥后，利用a的敲门密钥访问零信任服务端，造成数据泄露的问题。
76.本技术实施例，为了进一步提升单包授权认证的可靠性，本技术实施例中的零信任客户端向零信任服务端发送单包授权认证请求时，该单包授权认证请求中包括至少两种类型的认证因素，从而相对于现有技术的单因素认证而言，提升了认证过程的可靠性。
77.具体的，本技术实施例中至少两种类型的认证因素包括：
78.秘密知识认证信息、物理介质认证信息和实体特征认证信息中不同种类的两个认
证因素。
79.其中，秘密知识的认证信息包括敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；物理介质认证信息包括：证书、ukey或硬件otp；实体特征认证信息包括：指纹、人脸图像或虹膜图像。
80.故本技术实施例单包授权认证请求中至少两种不同种类的认证因素可以为1个秘密知识的认证因素和1个物理介质的认证因素(敲门密钥标识和敲门密钥、以及证书)，或1个秘密知识的认证因素和1个实体特征的认证因素(如敲门密钥标识和敲门密钥、以及指纹)，或1个物理介质的认证因素和1个实体特征的认证因素(如证书和指纹)。
81.因为零信任客户端向零信任服务端所发送的单包认证请求中包含了至少2种类型的认证因素，故本技术实施例相比于现有技术中的单个认证因素而言，在保证单包信息传输的前提下，提升了认证过程的可靠性和安全性。
82.102、对单包授权认证请求进行合法性校验和认证因素的校验；
83.零信任服务端得到解密后的单包授权认证请求后，则对单包授权认证请求的合法性和认证因素进行校验，若校验通过，则执行步骤103，若校验不通过，则零信任客户端无响应。
84.103、若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
85.若零信任服务端对零信任客户端的合法性校验和认证因素的校验都通过，则零信任服务端向零信任客户端发送服务端端口和/或业务服务。
86.进一步，为了保证单包数据传输，本技术实施例中零信任客户端和零信任服务端之间采用udp协议进行通信，从而保证了数据传输过程中，只有单包而无回包，从而保证了零信任客户端和零信任服务端之间通信过程的可靠性。
87.本技术实施例中，在零信任客户端和零信任服务端之间的单包授权认证请中，设置至少两种类型的认证因素，从而相较于现有技术中单因素的认证而言，进一步提升了认证过程的可靠性。
88.基于图1所述的实施例，零信任服务端在执行步骤102中对单包授权认证请求执行合法性验证的过程中，其中，合法性校验包括但不限于重放校验、伪造校验和设备识别码校验，其中，重放校验用于校验单包授权请求是否为零信任服务端之间接收过的单包授权请求，以防止用户b截获用户a的敲门密钥向零信任服务端发送数据请求，而伪造校验，则是校验单包授权请求是否被篡改过，而设备识别码校验则是校验零信任服务端中是否存在该设备识别码，以鉴别设备识别码的合法性。
89.进一步，基于图1所述的实施例，零信任客户端和零信任服务端之间完成单包授权认证请求之后，为了更进一步提升零信任客户端和零信任服务端之间通信过程的可靠性，本技术实施例还可以进一步对零信任客户端进行身份认证，故零信任服务端向零信任客户端发送服务端端口和/或业务服务以后，零信任服务端接收由零信任客户端发送的身份认证请求，并根据该身份认证请求，对零信任客户端的身份进行校验，若校验通过，则建立零信任客户端和零信任服务端之间的应用层连接。
90.其中，该身份认证可以是手机验证码验证，邮箱验证码验证或二维码验证等，此处对身份验证的形式不做具体限制，而需要说明的是，因为身份验证的过程中，零信任服务端
和零信任客户端之间需要双向通信，故在身份验证的过程中，零信任客户端和零信任服务端之间采用tcp协议进行通信。
91.基于图1所述的实施例，若步骤101中的单包授权认证请求中的至少两种类型的认证因素为敲门密钥标识和敲门密钥，以及硬件otp动态口令，则对应的单包授权认证请求包括敲门密钥标识、以及采用敲门密钥加密的硬件otp动态口令，下面对步骤102做详细描述，请参阅图2，图2为步骤102的细化步骤：
92.201、根据敲门密钥标识，确定与敲门密钥标识对应的敲门密钥；
93.具体的，零信任服务端接收到由零信任客户端发送的单包授权认证请求后，首先获取单包授权认证请求中的敲门密钥标识(明文传输)，然后根据敲门密钥标识在零信任服务端或数据库中确定与敲门密钥标识对应的敲门密钥，并利用敲门密钥执行步骤202。
94.202、利用敲门密钥对加密的硬件otp动态口令进行解密；
95.零信任服务端获取到与敲门密钥标识对应的敲门密钥后，则根据敲门密钥对加密的硬件otp动态口令进行解密，以得到明文的硬件otp动态口令。
96.203、根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
97.零信任服务端获取到明文的硬件otp动态口令后，则将获取到的硬件otp动态口令与零信任服务端预先生成的硬件otp口令进行匹配，并校验两者是否一致，若一致，则执行步骤204，若不一致，则执行步骤205。
98.204、若一致，则对所述单包授权认证请求的认证因素校验通过；
99.若获取到的硬件otp动态口令与零信任服务端预先生成的硬件otp口令一致，则零信任服务端对零信任客户端的单包授权认证请求的认证因素校验通过。
100.205、若不一致，则对所述单包授权认证请求的认证因素校验不通过。
101.若获取到的硬件otp动态口令与零信任服务端预先生成的硬件otp口令不一致，则零信任服务端对零信任客户端的单包授权认证请求的认证因素校验不通过。
102.本技术实施例中，对零信任客户端校验包含至少两种认证因素的单包授权认证请求的过程做了详细描述，从而提升了校验单包授权认证请求过程的可靠性。
103.上面对本技术实施例中的单包认证的方法做了详细描述，下面接着对本技术实施例中的零信任服务端进行描述，请参阅图3，本技术实施例中零信任服务端的一个实施例，包括：
104.接收单元301，用于接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
105.校验单元302，用于对所述单包授权认证请求进行合法性校验和认证因素校验；
106.发送单元303，用于若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
107.优选的，所述至少两个认证因素包括：
108.秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。
109.优选的，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；
110.所述物理介质认证信息包括：证书、ukey或硬件otp；
111.所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。
112.优选的，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；
113.校验单元302具体用于：
114.根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；
115.利用所述敲门密钥对加密的硬件otp动态口令进行解密；
116.根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
117.若一致，则对所述单包授权认证请求的认证因素校验通过；
118.若不一致，则对所述单包授权认证请求的认证因素校验不通过。
119.优选的，接收单元301还用于：
120.通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；
121.校验单元302还用于：
122.根据所述用户身份认证请求，对用户身份进行校验；
123.若校验通过，则建立与所述零信任客户端之间的应用层连接。
124.优选的，接收单元301具体用于：
125.通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。
126.优选的，校验单元302具体用于：
127.对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。
128.本技术实施例中，接收单元301所接收的单包授权认证请中，至少包括两种类型的认证因素，从而相较于现有技术中单因素的认证而言，进一步提升了认证过程的可靠性。
129.上面从模块化功能实体的角度对本发明实施例中的零信任服务端进行了描述，下面从硬件处理的角度对本发明实施例中的计算机装置进行描述：
130.该计算机装置用于实现零信任服务端的功能，本发明实施例中计算机装置一个实施例包括：
131.处理器以及存储器；
132.存储器用于存储计算机程序，处理器用于执行存储器中存储的计算机程序时，可以实现如下步骤：
133.接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
134.对所述单包授权认证请求进行合法性校验和认证因素校验；
135.若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
136.在本发明的一些实施例中，所述至少两个认证因素包括：
137.秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。
138.在本发明的一些实施例中，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；
139.所述物理介质认证信息包括：证书、ukey或硬件otp；
140.所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。
141.在本发明的一些实施例中，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；
142.在本发明的一些实施例中，处理器，可以实现如下步骤：
143.根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；
144.利用所述敲门密钥对加密的硬件otp动态口令进行解密；
145.根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
146.若一致，则对所述单包授权认证请求的认证因素校验通过；
147.若不一致，则对所述单包授权认证请求的认证因素校验不通过。
148.在本发明的一些实施例中，处理器，可以实现如下步骤：
149.通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；
150.根据所述用户身份认证请求，对用户身份进行校验；
151.若校验通过，则建立与所述零信任客户端之间的应用层连接。
152.在本发明的一些实施例中，处理器，可以实现如下步骤：
153.通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。
154.在本发明的一些实施例中，处理器，可以实现如下步骤：
155.对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。
156.可以理解的是，上述说明的计算机装置中的处理器执行所述计算机程序时，也可以实现上述对应的各装置实施例中各单元的功能，此处不再赘述。示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述零信任服务端中的执行过程。例如，所述计算机程序可以被分割成上述零信任服务端中的各单元，各单元可以实现如上述相应网关设备说明的具体功能。
157.所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解，处理器、存储器仅仅是计算机装置的示例，并不构成对计算机装置的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
158.所述处理器可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分
立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述计算机装置的控制中心，利用各种接口和线路连接整个计算机装置的各个部分。
159.所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(secure digital,sd)卡，闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
160.本发明还提供了一种计算机可读存储介质，该计算机可读存储介质用于实现零信任服务端的功能，其上存储有计算机程序，计算机程序被处理器执行时，处理器，可以用于执行如下步骤：
161.接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；
162.对所述单包授权认证请求进行合法性校验和认证因素校验；
163.若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。
164.在本发明的一些实施例中，所述至少两个认证因素包括：
165.秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。
166.在本发明的一些实施例中，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；
167.所述物理介质认证信息包括：证书、ukey或硬件otp；
168.所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。
169.在本发明的一些实施例中，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；
170.在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以实现如下步骤：
171.根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；
172.利用所述敲门密钥对加密的硬件otp动态口令进行解密；
173.根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；
174.若一致，则对所述单包授权认证请求的认证因素校验通过；
175.若不一致，则对所述单包授权认证请求的认证因素校验不通过。
176.在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以实现如下步骤：
177.通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；
178.根据所述用户身份认证请求，对用户身份进行校验；
179.若校验通过，则建立与所述零信任客户端之间的应用层连接。
180.在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以实现如下步骤：
181.通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。
182.在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以实现如下步骤：
183.对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。
184.可以理解的是，所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在相应的一个计算机可读取存储介质中。基于这样的理解，本发明实现上述相应的实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，random accessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
185.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
186.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
187.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
188.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
189.以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前
述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征：
1.一种单包认证的方法，其特征在于，应用于零信任服务端，其中，所述零信任服务端启用单包授权认证，所述方法包括：接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；对所述单包授权认证请求进行合法性校验和认证因素校验；若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。2.根据权利要求1所述的方法，其特征在于，所述至少两个认证因素包括：秘密知识的认证信息、物理介质认证信息和实体特征认证信息中至少两个不同种类的认证因素。3.根据权利要求2所述的方法，其特征在于，所述秘密知识认证信息包括：敲门密钥标识和敲门密钥、用户名和登录密码或安全问答；所述物理介质认证信息包括：证书、ukey或硬件otp；所述实体特征认证信息包括：指纹、人脸图像或虹膜图像。4.根据权利要求3所述的方法，其特征在于，若所述至少两种类型的认证因素包括：敲门密钥标识和敲门密钥、和硬件otp动态口令，则所述单包授权认证请求包括所述敲门密钥标识，以及采用所述敲门密钥加密的硬件otp动态口令；则对所述单包授权认证请求进行认证因素的校验，包括：根据所述敲门密钥标识，确定与所述敲门密钥标识对应的敲门密钥；利用所述敲门密钥对加密的硬件otp动态口令进行解密；若解密成功，则根据零信任服务端的硬件otp口令，校验与所述单包授权认证请求中的硬件otp口令是否一致；若一致，则对所述单包授权认证请求的认证因素校验通过；若不一致，则对所述单包授权认证请求的认证因素校验不通过。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：通过所述服务端端口接收由所述零信任客户端发送的用户身份认证请求；根据所述用户身份认证请求，对用户身份进行校验；若校验通过，则建立与所述零信任客户端之间的应用层连接。6.根据权利要求1所述的方法，其特征在于，所述接收零信任客户端根据零信任接入地址所发送的单包授权认证请求，包括：通过udp协议接收零信任客户端根据零信任接入地址所发送的单包授权认证请求。7.根据权利要求1至6中任一项所述的方法，其特征在于，对所述单包授权认证请求进行合法性校验包括：对所述单包授权认证请求执行重放校验、伪造校验和设备标识码校验。8.一种零信任服务端，其特征在于，所述零信任服务端启用单包授权认证，所述零信任客户端包括：接收单元，用于接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；校验单元，用于对所述单包授权认证请求进行合法性校验和认证因素校验；
发送单元，用于若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。9.一种计算机装置，包括处理器，其特征在于，所述处理器在执行存储于存储器上的计算机程序时，用于实现如权利要求1至7中任一项所述的单包认证的方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，用于实现如权利要求1至7中任一项所述的单包认证的方法。

技术总结
本发明实施例提供了一种单包认证的方法及相关装置，用于在单包授权认证请求中设置至少两个认证因素，从而在单包传输信息的前提下，进一步提升了单包授权认证过程的安全性。本发明实施例方法包括：接收由零信任客户端发送的单包授权认证请求，其中，所述单包授权认证请求包括至少两种类型的认证因素；对所述单包授权认证请求进行合法性校验和认证因素校验；若所述合法性校验和所述认证因素的校验都通过，则向所述零信任服务端发送服务端端口和/或业务服务。和/或业务服务。和/或业务服务。


技术研发人员：郭炳梁 殷伟 余敏文
受保护的技术使用者：深圳市深信服信息安全有限公司
技术研发日：2023.06.29
技术公布日：2023/8/24