(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210889163.4 (22)申请日 2022.07.27 (71)申请人 远江盛邦 （北京） 网络安全科技股份 有限公司 地址 100085 北京市海淀区上地九街9号9 号2层209号 申请人 北京盛邦赛云科技有限公司 (72)发明人 李盛白　邱志成　方伟　孙宾芳　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 赵娜 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种单包认证方法及系统 (57)摘要 本发明提供一种单包认证方法及系统， 其 中， 该方法包括： SDP客户端向SDP控制器敲门成 功后， SDP控制器对SDP客户端进行认证， 认证通 过后， SDP控制器向SDP客户端反馈对应所述SDP 客户端的SDP网关的敲门信息和对应所述SDP客 户端的标识信息； SDP客户端根据所述敲门信息 向所述SDP网关发起SPA单包认证， 所述SPA单包 认证包括所述标识信息， SDP网关根据所述标识 信息完成认证。 本发明优化了SDP网关的敲门实 现方法， 加强了SDP网关的安全性， 极大的提升了 攻击者的攻击成本， 减少了被攻击可能性， 让SDP 系统的业 务连续性和安全性都得到 了极大提升 。 权利要求书2页 说明书7页 附图6页 CN 114978773 A 2022.08.30 CN 114978773 A 1.一种单包认证方法， 其特 征在于， 包括： SDP客户端向SDP控制器敲门成功后， SDP控制器对SDP客户端进行认证， 认证通过后， SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息和对应所述SDP客户 端的标识信息， 所述SDP客户端表示基于软件定义边界的客户端， SDP控制器表示基于软件 定义边界的控制器； SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证， 所述SPA单包认证包括 所述标识信息， SDP 网关根据所述标识信息完成认证， SDP 网关表示基于软件定义边界的网 关， SPA单包认证表示基于零信任的单包授权认证。 2.根据权利要求1所述的单包认证方法， 其特征在于， 所述标识信息包括SDP客户端的 公网IP地址； 以及 SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证， 所述SPA单包认证包括所述 标识信息， 包括： SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文， 所述报文包括所述 公网IP地址和对应所述S DP客户端的第三层IP地址； SDP网关将所述第三层IP地址与所述公网IP地址比较， 若相同， 则SDP网关根据所述标 识信息认证成功。 3.根据权利要求2所述的单包认证方法， 其特 征在于， 所述方法还 包括： SDP客户端通过其它服 务器反射或者静态配置的方式获取 所述公网IP地址 。 4.根据权利要求1 ‑3任一项所述的单包认证方法， 其特征在于， 所述标识信息包括SDP 客户端的令牌， 所述令牌是由S DP控制器根据S DP客户端的第三层IP地址生成的； 以及 SDP客户端根据所述敲门信息向SDP网关发起SPA单包认证， 所述SPA单包认证包括所述 标识信息， 包括： SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文， 所述报文包括SDP客 户端的令牌和对应所述S DP客户端的第三层IP地址； SDP网关根据所述第三层IP地址生成目标令牌， 比较所述SDP客户端的令牌和所述目标 令牌， 若相同， 则S DP网关根据所述标识信息认证成功。 5.根据权利要求 4所述的单包认证方法， 其特 征在于， 所述方法还 包括： SDP客户端通过其它服务器反射或者静态配置的方式获取所述公网IP地址， 根据所述 公网IP地址生成令牌。 6.一种单包认证系统， 其特 征在于， 包括： 第一处理模块， 用于SDP客户端向SDP控制器敲门成功后， SDP控制器对SDP客户端进行 认证， 认证通过后， SDP控制器向SDP客户端反馈对应所述SDP客户端的SDP网关的敲门信息 和对应所述SDP客户端的标识信息， 所述SDP客户端表 示基于软件定义边界的客户端， SDP控 制器表示基于软件定义 边界的控制器； 第二处理模块， 用于SDP客户端根据所述敲门信息向所述SDP网关发起SPA单包认证， 所 述SPA单包认证包括所述标识信息， SDP网关根据所述标识信息完成认证， SDP网关表 示基于 软件定义 边界的网关， S PA单包认证表示基于零信任的单包授权认证。 7.根据权利要求6所述的单包认证系统， 其特征在于， 所述标识信息包括SDP客户端的 公网IP地址； 以及权　利　要　求　书 1/2 页 2 CN 114978773 A 2第二处理模块， 还用于： SDP客户端根据所述敲门信息向SDP网关发送SPA单包认证的报文， 所述报文包括所述 公网IP地址和对应所述S DP客户端的第三层IP地址； SDP网关将所述第三层IP地址与所述公网IP地址比较， 若相同， 则SDP网关根据所述标 识信息认证成功。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至5任一项所 述的单包认证方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 5任一项所述的单包认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 114978773 A 3