CN114448706B - 一种单包授权方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明实施例公开了一种单包授权方法、装置、电子设备及存储介质，方法包括：获取待授权处理流量数据；对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码；将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。本发明实施例的技术方案能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

Description

一种单包授权方法、装置、电子设备及存储介质

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种单包授权方法、装置、电子设备及存储介质。

背景技术

SPA(Single Packet Authorization)即单包授权，是SDP(Software DefinedPerimeter，软件定义边界)的核心功能。通过对连接服务器的所有数据包进行认证授权，服务器认证通过之后才会响应连接请求，以此实现企业业务的服务隐身，从网络上无法连接、无法扫描。SPA为受SPA保护的服务器(零信任控制中心及安全代理网关)提供以下安全作用：(1)保护服务器：在提供真正的SPA之前，服务器不会响应来自任何客户端的任何连接；(2)缓解对TLS(Transport Layer Security，安全传输层协议)的拒绝服务攻击：面向互联网的运行HTTPS(Hyper Text Transfer Protocol over SecureSocket Laye，超文本传输安全协议)协议的服务器极易受到DoS(Denial of Service，拒绝服务)攻击。SPA可以缓解这些攻击，因为它允许服务器在进入TLS之前拒绝TLS连接尝试。

当用户从互联网接入业务***时，必须经过SPA单包授权，认证通过之后服务器才会予以响应。企业用户接入业务时，场景如下：(1)用户在内网登录，服务器对其数据包不做SPA单包授权校验，可正常访问；(2)用户有互联网接入业务的需求，需要安装客户端，并且经过管理员授权。当用户在内网登录成功后，客户端会获取SPA授权码，作为互联网环境接入时的认证“钥匙”；(3)非法用户尝试在互联网接入时，因为没有管理员下发的SPA授权码，无法接入。

发明人在实现本发明的过程中，发现现有技术存在如下缺陷：目前SPA单包授权机制中，SPA授权码的生成方式较为简单，安全性和可靠性较低，极易受到攻击和破解，从而导致SPA单包授权失败，给网络访问带来极大的安全隐患。

发明内容

本发明实施例提供一种单包授权方法、装置、电子设备及存储介质，能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

根据本发明的一方面，提供了一种单包授权方法，应用于客户端，包括：

获取待授权处理流量数据；

对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码；

将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；

将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。

根据本发明的另一方面，提供了一种单包授权方法，应用于服务器，包括：

获取客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和/或动态授权密码；

对所述待授权流量数据进行单包授权验证。

根据本发明的另一方面，提供了一种单包授权装置，配置于客户端，包括：

待授权处理流量数据获取模块，用于获取待授权处理流量数据；

单包授权数据生成模块，用于对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码；

待授权流量数据获取模块，用于将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；

待授权流量数据发送模块，用于将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。

根据本发明的另一方面，提供了一种单包授权装置，配置于服务器，包括：

待授权流量数据接收模块，用于接收客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和/或动态授权密码；

单包授权验证模块，用于对所述待授权流量数据进行单包授权验证。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的单包授权方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的单包授权方法。

本发明实施例通过客户端对获取的待授权处理流量数据生成包括置信水平数值和/或动态授权密码的单包授权数据，并将单包授权数据添加至待授权处理流量数据中，得到待授权流量数据，从而将待授权流量数据发送至服务器，以使服务器对待授权流量数据进行单包授权验证，解决现有单包授权方法存在的极易受到攻击和破解等问题，能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种单包授权方法的流程图；

图2是本发明实施例一提供的一种客户端与服务器之间进行单包授权的流程示意图；

图3是本发明实施例二提供的一种单包授权方法的流程图；

图4是本发明实施例三提供的一种单包授权装置的示意图；

图5是本发明实施例四提供的一种单包授权装置的示意图；

图6示出了可以用来实施本发明的实施例的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1是本发明实施例一提供的一种单包授权方法的流程图，本实施例可适用于客户端根据信水平数值和/或动态授权密码作为授权数据进行单包授权的情况，该方法可以由单包授权装置来执行，该装置可以由软件和/或硬件的方式来实现，并一般可集成在电子设备中，该电子设备可以是终端设备，与用于完成单包授权验证的服务器配合使用，本发明实施例并不对电子设备的具体设备类型进行限定。相应的，如图1所示，该方法包括如下操作：

S110、获取待授权处理流量数据。

其中，待授权处理流量数据可以是需要进行SPA单包授权的访问服务器的流量数据。

当企业业务可以在互联网环境接入时，会面临着互联网带来的威胁，例如：非法人员盗用账号密码接入业务***，盗取商业机密，或非法人员对业务服务器进行DoS攻击，使服务瘫痪。

当企业分公司员工远程接入服务器时，因为终端环境不可控，希望可以增强接入安全。因此，有必要对访问服务器的流量数据进行SPA单包授权，以保证访问服务器流量数据的安全性。开启SPA单包授权机制之后，管理员可以设置：当用户从互联网或内网接入业务***时，必须经过SPA单包授权，认证通过之后服务器才会予以响应。企业用户接入业务时，场景如下：(1)企业所有员工在未获取客户端授权的情况下，无法接入；(2)管理员需下发SPA安全专属客户端，用户安装成功后即可接入成功。

相应的，在服务器开启SPA单包授权机制之后，所有访问服务器的流量数据都可以被引流至客户端。客户端可以从服务器侧获取到待授权处理流量数据。

在本发明的一个可选实施例中，所述获取待授权处理流量数据，可以包括：通过本地DNS(Domain Name Syste，域名***)获取所述服务器发送的服务器访问流量数据；根据路由表数据将所述服务器访问流量数据引流至虚拟网卡，得到所述待授权处理流量数据。

其中，服务器访问流量数据可以是初始访问服务器的流量数据。示例性的，服务器访问流量数据的数据内容可以是用户认证流量及Web应用的访问流量等，本发明实施例并不对服务器访问流量数据的具体数据内容进行限定。路由表数据可以是客户端与服务器之间的路由转发数据。

具体的，客户端可以通过私有DNS获取用户认证流量或Web应用的访问流量等服务器访问流量数据并引流至虚拟网卡。可选的，服务器访问流量数据可以通过路由表数据被引流至客户端的虚拟网卡。此时，客户端可以将获取的服务器访问流量数据作为待授权处理流量数据。

S120、对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码。

其中，单包授权数据也即对待授权处理流量数据进行SPA单包授权的数据。置信水平数值可以是综合客户端多维度关联数据生成的，可以表征客户端安全性程度的置信度数值。动态授权密码可以是采用专有密码生成方式生成的，可以进行SPA授权验证的动态变更的密码。

在现有技术中，单包授权数据仅通过简单的加密算法生成，极易被攻破。为了提高单包授权数据的安全性和可靠性，本发明实施例可以综合客户端多维度关联数据生成用于评判客户端安全性的置信水平数值，并可以采用专有密码生成方式生成动态授权密码。相应的，客户端可以采用置信水平数值和/或动态授权密码作为待授权处理流量数据的单包授权数据，对待授权处理流量数据进行SPA单包授权。

在本发明的一个可选实施例中，所述对所述待授权处理流量数据生成置信水平数值，可以包括：根据所述待授权处理流量数据提取置信水平评估关联数据；其中，所述置信水平评估关联数据包括终端环境检测数据、用户数据以及内置变量数据中的至少一项；根据所述置信水平评估关联数据生成所述置信水平数值。

其中，置信水平评估关联数据也即客户端用于生成置信水平数值的相关数据。终端环境检测数据可以是对客户端所在终端设备进行检测得到的数据。用户数据可以是登录客户端的用户相关数据。内置变量数据可以是客户端的变量数据。

具体的，客户端可以参考终端环境检测数据、用户数据以及内置变量数据等置信水平评估关联数据生成置信水平数值。可选的，终端环境检测数据可以包括但不限于客户端版本、安装指定软件、杀毒软件是否为最新版本、是否开启操作防火墙、运行任意一款杀毒软件、安装指定的杀毒软件、运行进程、是否存在指定文件、Windows操作***安装的补丁、终端设备名称、终端设备操作***版本、终端设备加入的域名称、终端设备本地IP列表以及终端设备MAC(Media Access Control Address，媒体存取控制位址)地址列表等。用户数据可以包括但不限于用户本次登录的时间、用户本次接入的国家、用户本次接入的城市以及控制中心IP等。内置变量数据则可以包括但不限于接入的网络区域、是否为异常时间段登录、是否为授信域环境、是否为授信终端、是否为异地登录以及是否为弱密码登录等。

相应的，客户端可以结合以上终端环境检测数据、用户数据以及内置变量数据对其灵活组合进行评估，得出置信水平数值。可选的，置信水平数值可为数字、字符及其组合等，本发明实施例并不对置信水平数值的具体数值类型和数值内容进行限定。

在本发明的一个可选实施例中，所述对所述待授权处理流量数据生成动态授权密码，可以包括：根据基准密码生成算法生成基准种子密码；随机生成随机时间和随机盐值；对所述基准种子密码、所述随机时间和所述随机盐值进行加密，得到所述动态授权密码；其中；所述动态授权密码按照周期动态变更。

其中，基准密码生成算法可以是任意一种可用的可以用于生成密码的算法，本发明实施例并不对基准密码生成算法的算法类型进行限定。基准种子密码则可以是基准密码生成算法生成的密码，可以作为基础密码进一步加工得到动态授权密码。

在本发明实施例中，客户端生成动态授权密可以采用“种子+时间+盐值”的方式。具体的，客户端可以根据基准密码生成算法生成基准种子密码，并随机生成随机时间和随机盐值。进一步的，在基准种子密码的基础上，结合随机时间和随机盐值采用特定的加密算法进行加密，从而得到动态授权密码。采用上述方法所生成的动态授权密码可以被称为OTP(One Time Password，一次性密码)动态码。另外，动态授权密码本身可以随着时间改变，以防止使用单一密码导致的被破解风险，进一步提高动态授权密码的安全性和可靠性。

S130、将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据。

其中，待授权流量数据也即经过客户端单包授权处理过的包括单包授权数据的流量数据。

当客户端生成单包授权数据后，即可将单包授权数据添加至待授权处理流量数据中，从而得到待授权流量数据。

在本发明的一个可选实施例中，所述将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据，可以包括：获取所述待授权处理流量数据在进行应用层握手过程中生成的应用层握手数据；在所述应用层握手数据的目标扩展字段中添加所述单包授权数据，得到所述待授权流量数据。

其中，应用层握手数据可以是客户端与服务器在应用层握手过程中生成的数据。目标扩展字段可以是应用层握手数据中用于添加单包授权数据的扩展字段。

客户端获取到待授权处理流量数据之后，可以对待授权处理流量数据进行改包，得到待授权流量数据。图2是本发明实施例一提供的一种客户端与服务器之间进行单包授权的流程示意图。在一个具体的例子中，如图2所示，客户端通过HTTPS协议与服务端建立链接，需要经过TCP(Transmission Control Protocol，传输控制协议)三次握手(传输层)，和TLS四次握手(应用层)，生成的应用层握手数据，握手成功即可建立通信。应用层握手数据也即TLS握手包，相应的，客户端可以在TLS握手包的扩展字段中增加客户端生成的单包授权数据，如增加“置信水平数值+动态授权密码”，作为客户端与服务端通信的单包授权校验码。该单包授权校验码可以作为一种动态令牌实现单包授权流程。

S140、将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。

可选的，客户端可以通过本地网卡代理将待授权流量数据发送至服务器，服务器则可以对接收的待授权流量数据进行单包授权验证。

相应的，如图2所示，当服务器端对接收的待授权流量数据完成单包授权验证后，可以对客户端反馈包括验证结果的证书链。客户端则可以针对接收的证书链向服务器反馈证书链的应答过程，表明客户端接收到了证书链。同时，客户端可以对接收的证书链进行验证，并在验证通过后可以开始计算密钥，该密钥可以是用户登录客户端的密钥，从而实现用户安全访问服务器的后续流程。

本发明实施例通过客户端对获取的待授权处理流量数据生成包括置信水平数值和/或动态授权密码的单包授权数据，并将单包授权数据添加至待授权处理流量数据中，得到待授权流量数据，从而将待授权流量数据发送至服务器，以使服务器对待授权流量数据进行单包授权验证，解决现有单包授权方法存在的极易受到攻击和破解等问题，能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

实施例二

图3是本发明实施例二提供的一种单包授权方法的流程图，本实施例可适用于服务器根据信水平数值和/或动态授权密码进行单包授权验证的情况，该方法可以由单包授权装置来执行，该装置可以由软件和/或硬件的方式来实现，并一般可集成在电子设备中，该电子设备可以是服务器设备，与用于完成单包授权的客户端配合使用，本发明实施例并不对电子设备的具体设备类型进行限定。相应的，如图3所示，该方法包括如下操作：

S210、获取客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和/或动态授权密码。

可以理解的是，服务器可以授权验证的待授权流量数据的类型，取决于单包授权机制的配置。服务器开启SPA功能后，可以配置SPA鉴权的服务器接入地址(包括控制中心和代理网关的接入地址)，当数据包从这些接入地址进入服务器时，则需要进行SPA鉴权。例如，当需要对互联网接入的流量做SPA鉴权时，则填写服务器上互联网流量的接入地址及端口。因为控制中心以及代理网关都可以配置SPA鉴权，所以会对终端用户登录认证、隧道连接以及web应用访问的过程起作用。

相应的，服务器的服务器访问流量数据可以被客户端通过本地DNS获取，由客户端根据路由表数据将服务器访问流量数据引流至虚拟网卡，得到待授权处理流量数据。

进一步的，客户端对待授权处理流量数据生成单包授权数据；其中，单包授权数据包括置信水平数值和/或动态授权密码。相应的，客户端将单包授权数据添加至待授权处理流量数据中，得到待授权流量数据，并反馈至服务器。

可选的，客户端可以根据待授权处理流量数据提取置信水平评估关联数据；其中，置信水平评估关联数据包括终端环境检测数据、用户数据以及内置变量数据中的至少一项，并根据所述置信水平评估关联数据生成所述置信水平数值。

可选的，客户端可以根据基准密码生成算法生成基准种子密码，并随机生成随机时间和随机盐值，以对基准种子密码、随机时间和随机盐值进行加密，得到动态授权密码。其中；动态授权密码按照周期动态变更。

可选的，客户端可以获取待授权处理流量数据在进行应用层握手过程中生成的应用层握手数据，以在应用层握手数据的目标扩展字段中添加单包授权数据，得到待授权流量数据。

S220、对所述待授权流量数据进行单包授权验证。

相应的，服务器接收到待授权流量数据后，可以对待授权流量数据进行单包授权验证。示例性的，假设待授权流量数据的单包授权数据包括置信水平数值和动态授权密码，则服务器对置信水平数值进行验证时，可以判断置信水平数值是否满足置信度条件，如数值是否大于等于A％等。其中，A的数值可以根据实际需求设定，本发明实施例对此并不进行限制。如果服务器确定置信水平数值满足置信度条件，则确定置信水平数值通过校验。服务器对动态授权密码进行验证时，可以采用与客户端生成动态授权密码的同样方式生成待匹配的动态授权密码，并对接收的动态授权密码核生成的待匹配的动态授权密码进行对比匹配，匹配成功则确定动态授权密码通过校验。当置信水平数值和动态授权密码均通过校验时，服务器可以向客户端回应数据包请求。如果置信水平数值和/或动态授权密码没有通过校验，则服务器可以阻断待授权流量数据，也即禁止待授权流量数据访问服务器，或还可以对客户端提示或者验证码重新对待授权流量数据进行二次验证。

上述单包授权流程中，客户端可以采取带内敲门技术给服务器发送数据包，网关无需开启额外的UDP(User Datagram Protocol，用户数据报协议)端口。当浏览器或C/S(Client-Server，服务器-客户机)应用发起对服务器内网资源的TCP连接时，如浏览器访问内网OA(Office Automation，办公自动化)，客户端会在第一个数据包中增加单包授权数据。服务端校验，如果单包授权数据通过校验，则连接建立成功。如果校验失败，则拒绝连接。单包授权数据可以包括置信水平数值和/或动态授权密码，其置信度更高，SPA授权的安全性更高。

由此可见，相较于现有的单包授权方法，本发明实施例所提供的的单包授权方法主要具备以下优势：现有SPA方法采用普通敲门技术需要额外开启一个UDP端口，发起连接前对此UDP端口进行敲门，敲门完成后才能进行TCP连接。此时会增加额外RTT(Round-TripTime，往返时延)数据包交互，弱网环境导致延迟明显加剧。由于UDP是无连接的，如果出现丢包，会敲门失败，且无法快速定位敲门失败原因。本发明实施例则可以实现在TLS握手阶段完成敲门，不存在上述问题。另外，现有SPA流程中采用iptalbes(一种位于用户空间的命令行工具)进行防火墙规则放行，当客户端数量大时候，会导致规则过多，清除困难且影响设备性能，而且无法应对复杂网络环境。也即，现有SPA方法以UDP包原IP进行放行，将导致特殊网络环境敲门放大增加风险，例如：若通往网关的链路中前有SNAT(Source NetworkAddress Translation，源地址转换)设备，那么这部分所有源IP均相同，导致敲门放大。

本发明实施例通过客户端对获取的待授权处理流量数据生成包括置信水平数值和/或动态授权密码的单包授权数据，并将单包授权数据添加至待授权处理流量数据中，得到待授权流量数据，从而将待授权流量数据发送至服务器，以使服务器对待授权流量数据进行单包授权验证，解决现有单包授权方法存在的极易受到攻击和破解等问题，能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

需要说明的是，以上各实施例中各技术特征之间的任意排列组合也属于本发明的保护范围。

实施例三

图4是本发明实施例三提供的一种单包授权装置的示意图，如图4所示，所述装置包括：待授权处理流量数据获取模块310、单包授权数据生成模块320、待授权流量数据获取模块330以及待授权流量数据发送模块340，其中：

待授权处理流量数据获取模块310，用于获取待授权处理流量数据；

单包授权数据生成模块320，用于对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码；

待授权流量数据获取模块330，用于将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；

待授权流量数据发送模块340，用于将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。

本发明实施例通过客户端对获取的待授权处理流量数据生成包括置信水平数值和/或动态授权密码的单包授权数据，并将单包授权数据添加至待授权处理流量数据中，得到待授权流量数据，从而将待授权流量数据发送至服务器，以使服务器对待授权流量数据进行单包授权验证，解决现有单包授权方法存在的极易受到攻击和破解等问题，能够提高单包授权的安全性和可靠性，从而提高网络访问的安全性。

可选的，待授权处理流量数据获取模块310具体用于：通过本地域名***DNS获取所述服务器发送的服务器访问流量数据；根据路由表数据将所述服务器访问流量数据引流至虚拟网卡，得到所述待授权处理流量数据。

可选的，单包授权数据生成模块320具体用于：根据所述待授权处理流量数据提取置信水平评估关联数据；其中，所述置信水平评估关联数据包括终端环境检测数据、用户数据以及内置变量数据中的至少一项；根据所述置信水平评估关联数据生成所述置信水平数值。

可选的，单包授权数据生成模块320具体用于：根据基准密码生成算法生成基准种子密码；随机生成随机时间和随机盐值；对所述基准种子密码、所述随机时间和所述随机盐值进行加密，得到所述动态授权密码；其中；所述动态授权密码按照周期动态变更。

可选的，待授权流量数据获取模块330具体用于：获取所述待授权处理流量数据在进行应用层握手过程中生成的应用层握手数据；在所述应用层握手数据的目标扩展字段中添加所述单包授权数据，得到所述待授权流量数据。

上述单包授权装置可执行本发明任意实施例所提供的客户端执行的单包授权方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的客户端执行的单包授权方法。

实施例四

图5是本发明实施例四提供的一种单包授权装置的示意图，如图5所示，所述装置包括：待授权流量数据接收模块410以及单包授权验证模块420，其中：

待授权流量数据接收模块410，用于接收客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和/或动态授权密码；

单包授权验证模块420，用于对所述待授权流量数据进行单包授权验证。

上述单包授权装置可执行本发明任意实施例所提供的服务器执行的单包授权方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的服务器执行的单包授权方法。

实施例五

图6示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图6所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如单包授权方法。

在一些实施例中，单包授权方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时，可以执行上文描述的单包授权方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行单包授权方法。

本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的***和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者触觉输入)来接收来自用户的输入。

可以将此处描述的***和技术实施在包括后台部件的计算***(例如，作为数据服务器)、或者包括中间件部件的计算***(例如，应用服务器)、或者包括前端部件的计算***(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将***的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

实施例六

本发明实施例六还提供一种存储计算机程序的计算机存储介质，所述计算机程序在由计算机处理器执行时用于执行本发明上述实施例任一所述的单包授权方法。

例如执行客户端所执行的单包授权方法：获取待授权处理流量数据；对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和/或动态授权密码；将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证。

又例如执行服务器所执行的单包授权方法：获取客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和/或动态授权密码；对所述待授权流量数据进行单包授权验证。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ReadOnly Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read OnlyMemory，EPROM，或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、射频(Radio Frequency，RF)等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (9)

1.一种单包授权方法，其特征在于，应用于客户端，包括：

获取待授权处理流量数据；

对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和动态授权密码；

将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；

将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证；

所述对所述待授权处理流量数据生成置信水平数值，包括：

根据所述待授权处理流量数据提取置信水平评估关联数据；其中，所述置信水平评估关联数据包括终端环境检测数据、用户数据以及内置变量数据中的至少一项；

根据所述置信水平评估关联数据生成所述置信水平数值；

其中，所述终端环境检测数据包括客户端版本、安装杀毒软件是否为最新版本、是否开启操作防火墙、是否运行所述安装杀毒软件、Windows操作***安装的补丁、终端设备名称、终端设备操作***版本、终端设备加入的域名称、终端设备本地IP列表以及终端设备MAC地址列表；

用户数据包括用户本次登录的时间、用户本次接入的国家、用户本次接入的城市以及控制中心IP；

内置变量数据则包括接入的网络区域、是否为异常时间段登录、是否为授信域环境、是否为授信终端、是否为异地登录以及是否为弱密码登录。

2.根据权利要求1所述的方法，其特征在于，所述获取待授权处理流量数据，包括：

通过本地域名***DNS获取所述服务器发送的服务器访问流量数据；

根据路由表数据将所述服务器访问流量数据引流至虚拟网卡，得到所述待授权处理流量数据。

3.根据权利要求1所述的方法，其特征在于，所述对所述待授权处理流量数据生成动态授权密码，包括：

根据基准密码生成算法生成基准种子密码；

随机生成随机时间和随机盐值；

对所述基准种子密码、所述随机时间和所述随机盐值进行加密，得到所述动态授权密码；

其中；所述动态授权密码按照周期动态变更。

4.根据权利要求1所述的方法，其特征在于，所述将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据，包括：

获取所述待授权处理流量数据在进行应用层握手过程中生成的应用层握手数据；

在所述应用层握手数据的目标扩展字段中添加所述单包授权数据，得到所述待授权流量数据。

5.一种单包授权方法，其特征在于，应用于服务器，包括：

获取客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和动态授权密码；

对所述待授权流量数据进行单包授权验证；

所述对所述待授权流量数据进行单包授权验证，包括：

判断置信水平数值是否大于等于预设置信阈值，若满足则确定所述置信水平数值通过校验；

采用所述客户端生成所述动态授权密码的方式生成待匹配的动态授权密码，并对接收的所述动态授权密码与所述待匹配的动态授权密码进行对比匹配，若匹配成功则确定所述动态授权密码通过校验；

当所述置信水平数值和所述动态授权密码均通过校验时，向所述客户端回应数据包请求。

6.一种单包授权装置，其特征在于，配置于客户端，包括：

待授权处理流量数据获取模块，用于获取待授权处理流量数据；

单包授权数据生成模块，用于对所述待授权处理流量数据生成单包授权数据；其中，所述单包授权数据包括置信水平数值和动态授权密码；

待授权流量数据获取模块，用于将所述单包授权数据添加至所述待授权处理流量数据中，得到待授权流量数据；

待授权流量数据发送模块，用于将所述待授权流量数据发送至服务器，以使所述服务器对所述待授权流量数据进行单包授权验证；

所述单包授权数据生成模块具体用于：

根据所述待授权处理流量数据提取置信水平评估关联数据；其中，所述置信水平评估关联数据包括终端环境检测数据、用户数据以及内置变量数据中的至少一项；

根据所述置信水平评估关联数据生成所述置信水平数值；

其中，所述终端环境检测数据包括客户端版本、安装杀毒软件是否为最新版本、是否开启操作防火墙、是否运行所述安装杀毒软件、Windows操作***安装的补丁、终端设备名称、终端设备操作***版本、终端设备加入的域名称、终端设备本地IP列表以及终端设备MAC地址列表；

用户数据包括用户本次登录的时间、用户本次接入的国家、用户本次接入的城市以及控制中心IP；

内置变量数据则包括接入的网络区域、是否为异常时间段登录、是否为授信域环境、是否为授信终端、是否为异地登录以及是否为弱密码登录。

7.一种单包授权装置，其特征在于，配置于服务器，包括：

待授权流量数据接收模块，用于接收客户端发送的待授权流量数据；其中，所述待授权流量数据包括单包授权数据，所述单包授权数据包括置信水平数值和动态授权密码；

单包授权验证模块，用于对所述待授权流量数据进行单包授权验证；

所述单包授权验证模块具体用于：

判断置信水平数值是否大于等于预设置信阈值，若满足则确定所述置信水平数值通过校验；

采用所述客户端生成所述动态授权密码的方式生成待匹配的动态授权密码，并对接收的所述动态授权密码与所述待匹配的动态授权密码进行对比匹配，若匹配成功则确定所述动态授权密码通过校验；

当所述置信水平数值和所述动态授权密码均通过校验时，向所述客户端回应数据包请求。

8.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-4中任一项所述的单包授权方法，或者实现如权利要求5所述的单包授权方法。

9.一种计算机存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-4中任一项所述的单包授权方法，或者实现如权利要求5所述的单包授权方法。