网络安全知识点：单包授权认证(SPA)

单包授权认证(SPA)英文全称是Single packet authorization 中文译为单包授权认证(SPA)。顾名思义，SPA这项技术就是对单个数据包进行授权的过程。

SPA作用于SDP客户端与SDP网关之间，以实现强大的服务隐蔽性。有了SPA技术，才能够实现SDP中的资产隐藏功能。所谓的资产隐藏功能，就是未经过身份验证的SDP客户端无法“看见”敏感资产，既然看不见就更谈不上访问请求了。而这个功能实现的基础就是SPA技术。SPA会根据内置算法生成一个单数据包，在经过加密分组等等一些手段发送到SDP网关之上，若是这个数据包通过了SDP网关的验证，这样才会同意与SDP客户端建立连接。除此之外，SDP网关都直接将该数据包丢弃，让其他终端无法确认对方是否存在。

SPA本质上是下一代PortKnocking（PK），但解决了PK表现出的许多局限性，同时保留了其核心优势。PK限制包括防止重放攻击的一般困难，不对称密码和HMAC方案通常不可能可靠地支持，并且仅通过将额外的数据包欺骗为PK序列就很容易对PK服务器发起DoS攻击。它遍历网络，从而使得PK服务器客户端不知道正确的顺序。SPA都完美的解决了所有这些缺点，同时SPA将服务隐藏在默认丢弃防火墙策略之后，被动地（通常通过libpcap或其他方式）获取SPA数据，并为SPA数据包身份验证和加密/解密实现标准的加密操作。

SDP架构又称“黑云”，意思是在SDP网络中，你无法“看到”除SDP控制器之外的任何其他资产（终端/端口等等），而实现这一功能的就是SPA。SPA存在于SDP客户端以及SDP网关上，但所作的工作却不相同。以黑客在内网进行端口扫描攻击举例，黑客控制了某台肉鸡，然后使用Nmap批量扫描网段，这个扫描过程其实就是在该网段下向每一个IP地址发送ICMP数据包，也就是Ping命令。在SDP网关上，SPA对接收到的数据包进行拆解，发现是ICMP数据包而不是由SDP客户端上的SPA发送的特殊单个数据包，所以将ICMP数据包丢弃，反观黑客，发现一个针对发出去的ICMP数据包的应答都没有，这也导致了黑客无法确定到底有多少主机存活而无法进行下一步攻击步骤。这也就达到了SDP的“看不见”的效果。