(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111594649.7 (22)申请日 2021.12.24 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 李子钦　 (74)专利代理 机构 北京柏杉松知识产权代理事 务所(普通 合伙) 11413 代理人 马敬　项京 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/16(2022.01) (54)发明名称 一种单包认证方法、 装置、 服务端及存储介 质 (57)摘要 本申请实施例提供了一种单包认证方法、 装 置、 服务端及存储介质， 该方法包括： 获取客户端 发送的SPA请求， SPA请求包括客户端的身份认 证 因子； 根据SPA请求的源 IP地址， 判断客户端是否 为合法终端； 若确定客户端为合法终端， 则根据 身份认证因子， 对客户端进行单包认证。 这样， 实 现了身份增强认证， 即使存在共享密钥泄露、 客 户端反编译等情况， 攻击者也无法获取到身份认 证因子， 进而无法实现对SPA服务端的攻击， 提高 了SPA服务端的安全性。 权利要求书2页 说明书9页 附图4页 CN 114422194 A 2022.04.29 CN 114422194 A 1.一种单包认证方法， 其特 征在于， 应用于单包认证S PA服务端， 所述方法包括： 获取客户端发送的S PA请求， 所述S PA请求包括所述 客户端的身份认证因子； 根据所述S PA请求的源IP地址， 判断所述 客户端是否为 合法终端； 若确定所述客户端为合法终端， 则根据所述身份认证因子， 对所述客户端进行单包认 证。 2.根据权利要求1所述的方法， 其特征在于， 在对所述客户端进行单包认证之后， 所述 方法还包括： 若所述客户端认证成功， 则调整 防火墙策略， 调整后的防火墙策略的动作项为转发所 述客户端发送的业 务请求； 若所述客户端认证失败， 则获取所述客户端的认证失败原因， 向所述客户端发送携带 所述认证失败原因的第一 提示信息。 3.根据权利要求2所述的方法， 其特 征在于， 所述调整防火墙策略的步骤， 包括： 利用网络链接netlink套接字， 控制防火墙策略中的地址集合开放所述客户端至目的 端的业务请求端口。 4.根据权利要求2或3所述的方法， 其特征在于， 在调整防火墙策略之后， 所述方法还包 括： 获取所述客户端对目的端访问失败的指示信息； 基于所述指示信息， 获取访问失败原因； 向所述客户端发送携带 所述访问失败原因的第二 提示信息。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若所述客户端为非法终端， 则向所述客户端发送第三提示信息， 所述第三提示信息指 示控制报文协议 ICMP网络不可达 。 6.根据权利 要求1所述的方法， 其特征在于， 所述根据所述SPA请求的源IP地址， 判断所 述客户端是否为 合法终端的步骤， 包括： 判断所述SPA请求的源IP地址是否攻击IP地址， 所述攻击IP地址为黑名单的IP地址， 或 授权包解码失败的IP地址， 或存在攻击行为或可疑行为的IP地址； 若是， 则确定所述 客户端为非法终端； 若否， 则确定所述 客户端为 合法终端。 7.一种单包认证装置， 其特 征在于， 应用于单包认证S PA服务端， 所述装置包括： 第一获取单元， 用于获取客户端发送的SPA请求， 所述SPA请求包括所述客户端 的身份 认证因子； 判断单元， 用于根据所述S PA请求的源IP地址， 判断所述 客户端是否为 合法终端； 认证单元， 用于若确定所述客户端为合法终端， 则根据所述身份认证因子， 对所述客户 端进行单包认证。 8.根据权利要求7 所述的装置， 其特 征在于， 所述装置还 包括： 调整单元， 用于在对所述客户端进行单包认证之后， 若所述客户端认证成功， 则调整防 火墙策略， 调整后的防火墙策略的动作项为 转发所述 客户端发送的业 务请求； 第一发送单元， 用于在对所述客户端进行单包认证之后， 若所述客户端认证失败， 则获 取所述客户端的认证失败原因， 向所述客户端发送携带所述认证失败原因的第一提示信权　利　要　求　书 1/2 页 2 CN 114422194 A 2息。 9.根据权利要求8所述的装置， 其特 征在于， 所述调整单 元， 具体用于： 利用网络链接netlink套接字， 控制防火墙策略中的地址集合开放所述客户端至目的 端的业务请求端口。 10.根据权利要求8或9所述的装置， 其特 征在于， 所述装置还 包括： 第二获取单元， 用于在调整 防火墙策略之后， 获取所述客户端对目的端访 问失败的指 示信息； 第三获取 单元， 用于基于所述指示信息， 获取访问失败原因； 第二发送单 元， 用于向所述 客户端发送携带 所述访问失败原因的第二 提示信息。 11.根据权利要求7 所述的装置， 其特 征在于， 所述装置还 包括： 第三发送单元， 用于若所述客户端为非法终端， 则向所述客户端发送第 三提示信 息， 所 述第三提示信息指示控制报文协议 ICMP网络不可达 。 12.根据权利要求7 所述的装置， 其特 征在于， 所述判断单 元， 具体用于： 判断所述SPA请求的源IP地址是否攻击IP地址， 所述攻击IP地址为黑名单的IP地址， 或 授权包解码失败的IP地址， 或存在攻击行为或可疑行为的IP地址； 若是， 则确定所述 客户端为非法终端； 若否， 则确定所述 客户端为 合法终端。 13.一种单包认证SPA服务端， 其特征在于， 包括处理器和机器可读存储介质， 所述机器 可读存储介质存储有能够被所述处理器执行的机器可执行指令， 所述处理器被所述机器可 执行指令促使： 实现权利要求1 ‑6任一所述的方法步骤。 14.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑6任一所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 114422194 A 3