零信任aTrust，使用网页访问内网资源，能实现SPA吗？SPA的流程？

使用网页访问内网资源，能实现SPA吗？SPA的流程？

使用网页访问内网资源时，可以实现SPA（Single Packet Authorization）功能。SPA的主要目的是隐藏服务器的端口，防止攻击者通过端口扫描发现服务器，从而提高安全性。

SPA的流程如下：
客户端请求：

客户端首先向aTrust服务器的指定UDP敲门端口发送特定的UDP敲门包。
服务端校验：

服务端接收到UDP敲门包后进行校验，如果校验通过，则将客户端的IP地址放入白名单中。
TCP连接建立：

当客户端对aTrust服务器的业务端口进行TCP握手时，服务端已经知道该IP不是攻击者IP，因此会回复TCP握手包，建立TCP连接。
TLS握手：

在TCP三次握手成功并建立连接后，TCP SPA会在TLS协议的Client Hello握手包中的Extensions字段中增加一个额外的字段，并附上基于SPA种子计算出的TOTP令牌值等信息。
服务端校验TLS握手：

服务端在TLS协商中会校验这个额外的字段。如果校验失败，服务端会终止TLS协商并返回错误。
访问内网资源：

一旦TCP连接建立并通过TLS握手，客户端就可以正常访问内网资源。
通过这种方式，SPA能够有效地隐藏服务器的端口，确保只有经过授权的客户端才能访问内网资源，从而提高了安全性

SPA（Single Packet Authorization）单包授权是SDP中非常重要的一个概念和功能，它的目的简单地说就是让服务器在互联网中隐藏自己，不被攻击者发现。目前很多的攻击行为都是从端口探测/扫描开始的，也就是尝试进行TCP握手。由于TLS等众多安全协议都运行在TCP连接建立之后，所以攻击者可以通过TCP握手发现服务器暴露的端口，从而进行下一步攻击行为。aTrust产品的SPA功能解决的就是这个问题，让攻击者扫描不到服务器端口，无法发现服务器的存在，从而将攻击行为拒之门外。aTrust产品的SPA功能分为两个部分，一个是UDP SPA，另一个是TCP SPA。在aTrust SDPC的控制台，可以选择开启SPA（TCP SPA），以及是否进一步开启UDP SPA。 UDP SPA原理：客户端首先给aTrust服务器的指定UDP敲门端口发送了特定的UDP敲门包。之后，服务端校验通过后，将客户端IP放入白名单中。待客户端对aTrust服务器的业务端口真正开始进行TCP握手时，服务端已经知道该IP不是攻击者IP，因此回复TCP握手包，建立TCP连接，进而与客户端开展下一步业务。这里的aTrust服务器可以是SDPC，也可以是proxy。注意，UDP敲门端口和业务端口是两个独立的端口，一个用来专门接收UDP敲门数据包，一个用来提供业务服务。两者可以相同，也可以不同，没有直接的联系，需要特别注意。注意，对于有效或非法的UDP敲门数据包，服务端都不会以包括UDP回包在内的任何方式进行回复响应。这是因为UDP敲门包是比较容易被截获的。如果攻击者对其他服务器进行重放攻击，服务器进行了回复，则服务器就失去了隐身的效果。 TCP SPA原理： TCP SPA是在TCP三次握手成功并建立连接之后进行的。它在TLS协议的Client Hello握手包中的Extensions字段中增加了一个额外的字段，并附上了更具SPA种子（同UDP SPA的种子）算出的TOTP令牌值等信息。当服务端开启TCP SPA之后，服务端在TLS协商中会校验这个额外的字段。如果校验失败，服务端会终止TLS协商并返回错误。

aTrust设备开启SPA功能后，终端在和设备建立TLS连接时，需要在hello包中携带spa种子方可以建立连接成功。如开启UDP敲门功能，则能够实现端口完全隐藏（端口无法被扫描到），客户端需要向设备的UDP敲门端口发送敲门包（包中携带了spa种子）后，方可临时打开被隐藏的TCP端口（因此客户端需要周期性的持续敲门方可保证访问连通性正常）。SPA一人一码功能作用是：启用SPA服务隐身功能并设置为一人一码后，用户登录aTrust客户端必须输入账号对应的安全码才能正常接入，以此增加用户接入的安全性