[发明专利]一种连接发起主机到控制器的单包授权种子分发方法及装置

说明书

本公开提供一种单包授权种子分发装置及方法，包括：地址围栏模块，限定接入控制器进行种子自动分发的用户接入地址范围；认证模块，对接入控制用户的身份进行识别；种子自动分发模块，自动生成并分发种子及共享密钥，并与用户终端绑定，不同终端对应不同密钥。本公开实现了种子的自动生成和分发，避免了管理员逐个分发的繁琐；同时，采用地址围栏、身份认证，以及动态生成、不同终端不同密钥等手段提升了种子分发过程中的安全性。

技术领域

本发明涉及数据通信技术领域，尤其涉及一种单包授权种子分发的方法及装置。

背景技术

SDP软件定义边界架构中，连接发起主机IH到控制器、连接接收主机AH到控制器和IH到AH通信前，需要通过SPA单包授权认证后才允许建立连接。SPA认证基于RFC4226 HOTP标准，基于共享种子实现认证。那么，如何进行种子分发就成了问题。连接发起主机IH到控制器的常见分发种子方式是采用静态种子，所有用户采用同一种子进行SPA认证，这种方式一旦静态种子被非法用户获取，SPA认证将形同虚设；若采用管理员逐个分发，又需要消耗大量时间和精力，增加运维管理成本。

发明内容

本发明的目的在于克服现有技术的不足，提供一种连接发起主机IH到控制器的单包授权认证种子的分发方法和装置，在自动完成种子分发的同时保证安全性。

本公开提供的连接发起主机IH到控制器的单包授权认证种子分发方法，包括以下步骤：

设置允许接入控制器进行种子自动分发的用户接入地址范围；

对请求接入控制器的用户进行身份识别认证；

对认证通过的用户，自动生成并分发种子及共享密钥，并与用户终端绑定，不同终端对应不同种子及共享密钥。

进一步地，所述设置允许接入控制器进行种子自动分发的用户接入地址范围的步骤，具体包括：

通过配置指定允许用户接入控制器的地址范围；

通过配置指定，或控制器根据用户访问行为，自动生成不允许用户接入控制器的地址范围。

进一步地，所述对请求接入控制器的用户进行身份识别认证的方法，包括但不限于以下认证方法：口令认证、证书认证、短信认证、动态令牌认证、终端认证中的一种，或多种的组合。

进一步地，所述步骤“自动生成并分发种子及共享密钥，并与用户终端绑定，不同终端对应不同种子及共享密钥”，具体包括以下步骤：

连接发起主机IH计算终端唯一标识，并向控制器发起种子申请；

控制器检查终端是否已经绑定了种子；

对未绑定种子的终端，利用硬件随机数生成所述种子及共享密钥，并与终端建立一对一的绑定关系，响应给连接发起主机IH。

进一步地，对所述种子及共享密钥采用国密算法进行加密。

本公开还提供了一种连接发起主机IH到控制器的单包授权认证种子分发装置，包括：地址围栏模块、认证模块和种子自动分发模块，其中：

地址围栏模块，被配置为限定接入控制器进行种子自动分发的用户接入地址范围；

认证模块，被配置为对接入控制用户的身份进行识别认证；

种子自动分发模块，被配置为对认证通过的用户，自动生成并分发种子及共享密钥，并与用户终端绑定，不同终端对应不同种子及密钥。

进一步地，所述地址围栏模块包含黑、白名单两个子模块，其中：

所述黑名单子模块中包含不允许接入控制器的用户地址范围；

所述白名单子模块中包含允许接入控制器的用户地址范围；