CN111586025B - 一种基于sdn的sdp安全组实现方法及安全系统 - Google Patents
一种基于sdn的sdp安全组实现方法及安全系统 Download PDFInfo
- Publication number
- CN111586025B CN111586025B CN202010362532.5A CN202010362532A CN111586025B CN 111586025 B CN111586025 B CN 111586025B CN 202010362532 A CN202010362532 A CN 202010362532A CN 111586025 B CN111586025 B CN 111586025B
- Authority
- CN
- China
- Prior art keywords
- server
- rule
- authorization
- sdn
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的SDP安全组实现方法及安全系统,其中该方法通过SDN网络的流表方法实现SPA单包授权业务逻辑,同时结合了云平台的IAM用户管理对不同的用户的访问权限进行了规划以及身份认证。本发明加强了云平台安全组功能的安全性,实现安全组对外授权的精确控制,结合云平台的身份认证技术以及SDN云网络实现减少SDP网关、SDP控制器的额外成本开销,实现SDP技术与云计算安全的技术融合,同时可以有效防御来自内部网络的攻击,可实现云平台各向流量的全面防御。
Description
技术领域
本发明属于软件定义边界技术领域,具体涉及一种基于SDN的SDP安全组实现方法及安全系统。
背景技术
软件定义的边界(SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。每个终端在连接服务器前必须进行单播授权(SPA)验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。传统的SDP架构由于受保护服务的范围较大,因此普遍采用网关模式,如图1所示:SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的,通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的,通过单一访问控制方式,将受保护服务对非法用户完全屏蔽,这样便大大防止了外部的暴力攻击(如DDoS流量攻击)、精准打击(如APT持续威胁)、漏洞利用(如心脏出血漏洞)等,通过SDP软件定义边界减小网络的被攻击面。
但传统的SDP安全架构存在以下几个缺点:
1.由于客户端的移动性强,IP地址经常发生变更,因此安全组需要通过大范围IP网段白名单授权的方式,开放端口访问,这样的方式,导致服务端容易被黑客扫描探测,发现服务的对外端口,从而发起破环性攻击、暴力破解等等攻击行为。
2.传统的SDP软件定义边界的架构,需要通过SDP网关和SDP控制器实现,SDP网关需要有虚拟机或物理机作为载体,带来一定的成本提升与管理复杂度提升,并且SDP网关存在单点负载能力有限的问题,与云平台现有的安全管理体系难以有效融合。
3.传统的SDP软件定义边界安全主要针对外部网络对内部网络的边界安全,针对云平台内多租户间的内网防护,在同一台主机内,不同虚拟机之间的SDP安全防护,传统SDP软件定义边界安全架构难以满足。
发明内容
为了克服上述技术缺陷,本发明提供一种基于SDN的SDP安全组实现方法及安全系统,加强了云平台安全组功能的安全性,实现安全组对外授权的精确控制,结合云平台的身份认证技术以及SDN云网络实现减少SDP网关、SDP控制器的额外成本开销,实现SDP技术与云计算安全的技术融合,同时可以有效防御来自内部网络的攻击,可实现云平台各向流量的全面防御。
为了解决上述问题,本发明按以下技术方案予以实现的:
一种基于SDN的SDP安全组实现方法,其步骤包括:
SDN控制器接收来自客户端用户的SPA授权报文;所述SPA授权报文包括客户端信息、目标服务端信息和用户标识;
所述SDN控制器将所述用户标识和所述目标服务端信息发送至云平台;
所述云平台对所述用户标识进行校验,并在校验通过后根据预设的SPA验证规则对所述用户标识以及所述目标服务端信息进行验证,并将验证结果发送至所述SDN控制器;
所述SDN控制器在接到所述验证结果为验证合法时,将所述客户端信息和所述目标服务端信息添加到安全组规则中;
所述SDN控制器接收来自客户端用户的服务端访问报文,并根据所述安全组规则判断所述服务端访问报文是否合法,若合法,所述SDN控制器将所述服务端访问报文转发至对应的服务端。
作为本方法的进一步改进,其还包括步骤:
所述云平台接收来自客户端用户的注册请求,在注册成功后生成所述用户标识,并发送所述用户标识给客户端用户;所述用户标识用于被客户端用户生成所述SPA授权报文。
作为本方法的进一步改进,所述SDN控制器接收来自客户端用户的SPA授权报文的步骤具体为:
所述SDN控制器下发SPA采集流表至SDN交换机;
所述SPA采集流表使得所述SDN交换机采集来自客户端的SPA授权报文,并将采集到的所述SPA授权报文发送至所述SDN控制器。
作为本方法的进一步改进,所述服务端访问报文中包括客户端信息和目标服务端信息;所述SDN控制器将所述服务端访问报文转发至对应的服务端的步骤具体为:
所述SDN控制器根据所述客户端信息和目标服务端信息生成授权转发流表;
所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配,在匹配成功时转发所述访问报文至所述目标服务端信息指定的服务端。
作为本方法的进一步改进,所述SPA验证规则为自动验证规则;所述自动验证规则为:
所述云平台根据预设的用户—服务端授权规则对所述用户标识和所述目标服务端信息进行匹配,在匹配成功时判定为验证合法。
作为本方法的进一步改进,其还包括步骤:
所述云平台接收来自服务端客户的规则创建指令,并创建所述用户—服务端授权规则;所述用户—服务端授权规则用于指示特定的IAM用户与特定的服务端之间的合法访问关系。
作为本方法的进一步改进,所述SPA验证规则为手动验证规则;所述手动验证规则为:
所述云平台将所述用户标识和所述目标服务端信息发送至服务端客户进行消息通知;
所述云平台在接收到来自所述服务端客户的验证通过信息时,判定所述验证结果为验证合法。
作为本方法的进一步改进,其还包括步骤:
云平台接收来自服务端用户的安全策略;所述安全策略指示受保护的服务端的网络信息;
云平台将所述安全策略发送至所述SDN控制器;
所述SDN控制器根据所述安全策略生成SPA授权报文判定规则和服务端访问报文判定规则;所述SPA授权报文判定规则用于判定所述SDN控制器接收的任意报文是否为所述SPA授权报文;所述服务端访问报文判定规则用于判定所述SDN控制器接收到的任意报文是否为所述服务端访问报文。
作为本方法的进一步改进,所述服务端的网络信息和所述目标服务端信息均包括服务端的IP地址和端口信息。
本发明还公开了一种安全系统,包括云平台和SDN控制器;
所述云平台包括:
SPA验证模块,用于对接收到的用户标识进行校验;根据预设的SPA验证规则对所述用户标识以及目标服务端信息进行验证,并将验证结果发送至所述SDN控制器;
所述SDN控制器包括:
首包采集引擎,用于接收来自客户端用户的SPA授权报文或服务端访问报文;所述SPA授权报文包括客户端信息、所述目标服务端信息和所述用户标识;
SPA处理模块,用于将所述用户标识和所述目标服务端信息发送至所述云平台,并在在接到所述验证结果为验证合法时,将所述客户端信息和所述目标服务端信息添加到安全组规则中;
安全组模块,用于根据所述安全组规则判断所述服务端访问报文是否合法,若合法,将所述服务端访问报文转发至对应的服务端。
作为本系统的进一步改进,所述云平台还包括:
IAM用户管理模块,用于接收来自客户端用户的注册请求,在注册成功后生成所述用户标识,并发送所述用户标识给客户端用户;所述用户标识用于被客户端用户生成所述SPA授权报文。
作为本系统的进一步改进,本系统还包括与所述SDN控制器连接的SDN交换机,所述SDN交换机用于接收所述SDN控制器下发的SPA采集流表,根据所述SPA采集流表采集来自客户端的SPA授权报文,并将采集到的所述SPA授权报文发送至所述SDN控制器。
作为本系统的进一步改进,所述服务端访问报文中包括客户端信息和目标服务端信息;所述安全组模块根据所述客户端信息和目标服务端信息生成授权转发流表;所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配,在匹配成功时转发所述访问报文至所述目标服务端信息指定的服务端。
作为本系统的进一步改进,所述SPA验证规则为自动验证规则;所述自动验证规则:所述SPA验证模块根据预设的用户—服务端授权规则对所述用户标识和所述目标服务端信息进行匹配,在匹配成功时判定为验证合法。
作为本系统的进一步改进,所述云平台还包括:
安全服务注册模块,用于接收来自服务端客户的规则创建指令,并创建所述用户—服务端授权规则;所述用户—服务端授权规则用于指示特定的IAM用户与特定的服务端之间的合法访问关系。
作为本系统的进一步改进,所述SPA验证规则为手动验证规则;所述手动验证规则为:所述SPA验证模块将所述用户标识和所述目标服务端信息发送至服务端客户进行消息通知;所述SPA验证模块在接收到来自所述服务端客户的验证通过信息时,判定所述验证结果为验证合法。
作为本系统的进一步改进,所述安全服务注册模块还用于接收来自服务端用户的安全策略;所述安全策略指示受保护的服务端的网络信息;所述安全服务注册模块将所述安全策略发送至所述SDN控制器的所述安全组模块;
所述安全组模块根据所述安全策略生成SPA授权报文判定规则和服务端访问报文判定规则;所述SPA授权报文判定规则用于判定所述SDN控制器接收的任意报文是否为所述SPA授权报文;所述服务端访问报文判定规则用于判定所述SDN控制器接收到的任意报文是否为所述服务端访问报文。
作为本系统的进一步改进,所述服务端的网络信息和所述目标服务端信息均包括服务端的IP地址和端口信息。
相对于现有技术,本发明的有益效果为:
本发明公开了一种基于SDN的SDP安全组实现方法及安全系统,其中该方法通过SDN网络的流表方法实现SPA单包授权业务逻辑,同时结合了云平台的IAM用户管理对不同的用户的访问权限进行了规划以及身份认证。本发明加强了云平台安全组功能的安全性,实现安全组对外授权的精确控制,结合云平台的身份认证技术以及SDN云网络实现减少SDP网关、SDP控制器的额外成本开销,实现SDP技术与云计算安全的技术融合,同时可以有效防御来自内部网络的攻击,可实现云平台各向流量的全面防御。
附图说明
图1是本发明的背景技术中所述传统的SDP架构的结构示意图。
图2是本发明的实施例1中所述基于SDN的SDP安全组实现方法的步骤示意图。
图3是本发明的实施例中所述SDP安全组实现方法的系统数据传输示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。此外,本发明中的附图仅仅对本发明中的实施例的结构或功能做出示例性的说明,其大小、长度、比例在没有说明或标注的情况下,并不对实施例中的结构或功能做出具体的限定。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本发明的描述中,需要说明的是,术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
如图2和图3所示,本实施例公开了一种基于SDN的SDP安全组实现方法,其步骤包括:
S1、云平台接收来自服务端客户的安全策略和规则创建指令。
具体的,安全策略指示受保护的服务端的网络信息,包括服务端的IP地址和端口信息。具体的,云平台将安全策略发送至SDN控制器,SDN控制器根据安全策略生成SPA授权报文判定规则和服务端访问报文判定规则。SPA授权报文判定规则用于判定SDN控制器接收的任意报文是否为SPA授权报文。服务端访问报文判定规则用于判定SDN控制器接收到的任意报文是否为服务端访问报文。
上述设置的安全策略是为了更规范地指定需要进行保护的服务端地址或服务端端口号,也便于SDN控制器在后续进行报文判定时能将一些访问普通服务器或服务器的普通端口的无关报文进行忽略,以减少SDN控制器的工作负荷。
具体的,云平台根据规则创建指令创建用户—服务端授权规则。用户—服务端授权规则用于指示特定的IAM用户与特定的服务端之间的合法访问关系;更具体的,用户—服务端授权规则同样可以设定特定的IAM用户与特定的服务端的特定端口之间的合法访问关系。
S2、云平台接收来自客户端用户的注册请求。
具体的,云平台在注册成功后生成用户标识,并发送用户标识给客户端用户。该用户标识用于被客户端用户生成SPA授权报文。
优选的,用户标识可包括Access KEY(用于标识访问者的身份)和Security KEY(用于加密签名字符串和服务器端验证签名字符串的密钥)。
S3、SDN控制器接收来自客户端用户的SPA授权报文。
具体的,SPA授权报文包括客户端信息、目标服务端信息和用户标识。优选的,SPA授权报文的网络协议为UDP协议、目标IP为服务端虚拟机IP、目标端口号为SDP安全组授权规则的端口号,此外报文Payload内容格式如下:
具体的,客户端用户使用指定的加密方式,加密报文的Payload,发送至服务端。SDN交换机通过首包采集流表捕获SPA单包授权报文,通过Openflow协议的封装转发至SDN控制器。
具体的在本实施例中,步骤S3具体为:
SDN控制器下发SPA采集流表至SDN交换机。
SPA采集流表使得SDN交换机采集来自客户端的SPA授权报文,并将采集到的SPA授权报文发送至SDN控制器。
S4、SDN控制器将用户标识和目标服务端信息发送至云平台。
具体的,SDN控制器的首包采集引擎,采集到SPA授权报文,并提取报文的特征信息,其中包括:目标MAC地址、目标IP地址、网络协议、目标端口号,根据上述SPA授权报文判定规则判断报文是否为SPA单包授权报文。
具体的,SPA授权报文判定规则可以为:根据报文的目标MAC地址查询到服务端虚拟机的网卡信息;报文的目标IP地址与服务端虚拟机网卡的注册IP地址一致;网络协议为UDP协议;目标端口号为SDP安全组授权规则的端口号。
具体的,如果确定报文是SPA授权报文,则转至SDN控制器的SPA处理模块。SPA处理模块通过指定的解密方式,解密SPA授权报文的Payload,通过API方式将解密报文Payload发送至云平台的SPA验证模块。
S5、云平台对用户标识进行校验,并在校验通过后根据预设的SPA验证规则对用户标识以及目标服务端信息进行验证。
具体的,云平台的SPA验证模块提取Access KEY,并通过云平台的IAM用户管理获取Security KEY,校验Signature的合法性。如果校验不合法,则回复SPA处理模块校验不合法;如果校验合法,则根据预设的SPA验证规则对用户标识以及目标服务端信息进行验证。
本实施例中的SPA验证规则包括两种,自动验证规则和手动验证规则,其中自动验证规则为:SPA验证模块根据预设的用户—服务端授权规则对用户标识和目标服务端信息进行匹配,在匹配成功时判定为验证合法,从而实现了自动的授权。
可选的,手动验证规则为:云平台的SPA验证模块将用户标识和目标服务端信息发送至服务端客户进行消息通知。云平台在接收到来自服务端客户的验证通过信息时,判定验证结果为验证合法。具体的,SPA验证模块提取SPA报文的Timestamp、MACAddress、hostname信息以及客户端的IAM用户名,以消息通知的方式告知服务端用户,根据用户消息授权结果回复SPA处理模块。
S6、SDN控制器在接到验证结果为验证合法时,将客户端信息和目标服务端信息添加到安全组规则中。
具体的,SDN控制器的SPA处理模块根据云平台SPA验证模块的校验结果,如果SPA认证不合法,则丢弃SPA报文。如果合法则提取SPA单包授权报文中的目标MAC地址、AccessIP、protocol、Access Port信息,添加到安全组模块中。安全组模块根据目标MAC地址和Access IP查询具体的服务端虚拟机,根据虚拟机的信息查询安全组,根据Access Port查询具体的SDP安全组规则。并将SPA报文的Source IP地址记录到SDP安全组规则中,完成SDP安全组的动态授权。
优选的,SPA处理模块添加了安全组规则后,丢弃SPA报文,无需回复客户端,以防止黑客的UDP端口嗅探。
S7、SDN控制器接收来自客户端用户的服务端访问报文,并根据安全组规则判断服务端访问报文是否合法,若合法,SDN控制器将服务端访问报文转发至对应的服务端。
具体的在本实施例中,服务端访问报文中包括客户端信息和目标服务端信息。具体的,客户端在SPA授权后,直接访问服务端,SDN交换机通过首包采集流表捕获访问报文,并通过Openflow封装发送至SDN控制器。SDN控制器通过首包采集引擎,根据上述SPA授权报文判断规则和服务端访问报文判断规则,判断报文为非SPA授权报文且为服务端访问报文,将则将访问报文发送至数据报文处理模块。
数据报文处理模块提取访问报文中的目标Mac地址,目标IP地址,通过虚拟网卡模块查询访问目标虚拟机的网卡注册信息,并根据网卡注册信息定位到具体的安全组规则。
安全组模板根据访问报文的目标端口,定位到具体的SDP安全组规则,根据访问报文的源IP地址,查询SDP授权表,如果源IP地址在授权表中,则通过流表控制引擎下下发授权转发流表至SDN交换机,SDN交换机根据授权转发流表对接收到的访问报文进行匹配,在匹配成功时转发访问报文至目标服务端信息指定的服务端。
如果源IP地址不在授权表中,安全组模块通过流表控制引擎下发流表拦截源IP地址的客户端的所有访问目标虚拟机服务端的访问流量。
本实施例中公开的SDP安全组实现方法加强了云平台安全组功能的安全性,实现安全组对外授权的精确控制,结合云平台的身份认证技术以及SDN云网络实现减少SDP网关、SDP控制器的额外成本开销,实现SDP技术与云计算安全的技术融合。将SDP技术与云安全功能结合的方式,实现云平台东西南北向流量的全面防御,加强了SDP技术的使用范围。提供零信任的授权管理方式,用户可通过云平台的消息通知完成精准的安全组授权控制,进一步提升SDP技术的安全性与交互性。
实施例2
如图3所示,本实施例对应于实施例1中公开的基于SDN的SDP安全组实现方法,公开了一种安全系统,包括云平台、SDN控制器和SDN交换机。
具体的,云平台包括安全服务注册模块、SPA验证模块和IAM用户管理模块,SDN控制器中包括首包采集引擎、SPA处理模块、安全组模块、数据报文处理模块和流表控制引擎。
具体的,安全服务注册模块用于接收来自服务端客户的安全策略和规则创建指令。具体的,安全策略指示受保护的服务端的网络信息,包括服务端的IP地址和端口信息。具体的,云平台将安全策略发送至SDN控制器,SDN控制器根据安全策略生成SPA授权报文判定规则和服务端访问报文判定规则。SPA授权报文判定规则用于判定SDN控制器接收的任意报文是否为SPA授权报文。服务端访问报文判定规则用于判定SDN控制器接收到的任意报文是否为服务端访问报文。
具体的,云平台根据规则创建指令创建用户—服务端授权规则。用户—服务端授权规则用于指示特定的IAM用户与特定的服务端之间的合法访问关系;更具体的,用户—服务端授权规则同样可以设定特定的IAM用户与特定的服务端的特定端口之间的合法访问关系。
具体的,IAM用户管理模块用于接收来自客户端用户的注册请求,在注册成功后生成用户标识,并发送用户标识给客户端用户;用户标识用于被客户端用户生成SPA授权报文。
具体的,SPA验证模块,用于对接收到的用户标识进行校验;根据预设的SPA验证规则对用户标识以及目标服务端信息进行验证,并将验证结果发送至SDN控制器;
具体的,首包采集引擎用于接收来自客户端用户的SPA授权报文或服务端访问报文。具体的,SDN交换机通过首包采集流表捕获SPA单包授权报文,通过Openflow协议的封装转发至SDN控制器。具体的,SDN控制器的首包采集引擎,采集到SPA授权报文,并提取报文的特征信息,其中包括:目标MAC地址、目标IP地址、网络协议、目标端口号,根据上述SPA授权报文判定规则判断报文是否为SPA单包授权报文。具体的,如果确定报文是SPA授权报文,则转至SDN控制器的SPA处理模块。
具体的,SPA处理模块用于将用户标识和目标服务端信息发送至云平台,并在在接到验证结果为验证合法时,将客户端信息和目标服务端信息添加到安全组规则中。SPA处理模块通过指定的解密方式,解密SPA授权报文的Payload,通过API方式将解密报文Payload发送至云平台的SPA验证模块。具体的,SDN控制器的SPA处理模块根据云平台SPA验证模块的校验结果,如果SPA认证不合法,则丢弃SPA报文。如果合法则提取SPA单包授权报文中的目标MAC地址、Access IP、protocol、Access Port信息,添加到安全组模块中。安全组模块根据目标MAC地址和Access IP查询具体的服务端虚拟机,根据虚拟机的信息查询安全组,根据Access Port查询具体的SDP安全组规则。并将SPA报文的Source IP地址记录到SDP安全组规则中,完成SDP安全组的动态授权。
具体的,安全组模块用于根据安全组规则判断服务端访问报文是否合法,若合法,将服务端访问报文转发至对应的服务端。
具体的,客户端在SPA授权后,直接访问服务端,SDN交换机通过首包采集流表捕获访问报文,并通过Openflow封装发送至SDN控制器。SDN控制器通过首包采集引擎,根据上述SPA授权报文判断规则和服务端访问报文判断规则,判断报文为非SPA授权报文且为服务端访问报文,将则将访问报文发送至数据报文处理模块。
数据报文处理模块提取访问报文中的目标Mac地址,目标IP地址,通过虚拟网卡模块查询访问目标虚拟机的网卡注册信息,并根据网卡注册信息定位到具体的安全组规则。
安全组模板根据访问报文的目标端口,定位到具体的SDP安全组规则,根据访问报文的源IP地址,查询SDP授权表,如果源IP地址在授权表中,则通过流表控制引擎下下发授权转发流表至SDN交换机,SDN交换机根据授权转发流表对接收到的访问报文进行匹配,在匹配成功时转发访问报文至目标服务端信息指定的服务端。
如果源IP地址不在授权表中,安全组模块通过流表控制引擎下发流表拦截源IP地址的客户端的所有访问目标虚拟机服务端的访问流量。
具体的,本实施例中的技术方案中未具体说明的部分均可以参照实施例1中的表述,同样的,其技术效果与实施例1中的类似,在此不再赘述。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可查看存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
Claims (10)
1.一种基于SDN的SDP安全组实现方法,其特征在于,其步骤包括:
SDN控制器接收来自客户端用户的单播授权报文;所述单播授权报文包括客户端信息、目标服务端信息和用户标识;
所述SDN控制器将所述用户标识和所述目标服务端信息发送至云平台;
所述云平台对所述用户标识进行校验,并在校验通过后根据预设的单播授权验证规则对所述用户标识以及所述目标服务端信息进行验证,并将验证结果发送至所述SDN控制器;
所述SDN控制器在接到所述验证结果为验证合法时,将所述客户端信息和所述目标服务端信息添加到安全组规则中;
所述SDN控制器接收来自客户端用户的服务端访问报文,并根据所述安全组规则判断所述服务端访问报文是否合法,若合法,所述SDN控制器将所述服务端访问报文转发至对应的服务端。
2.根据权利要求1所述的基于SDN的SDP安全组实现方法,其特征在于,还包括步骤:
所述云平台接收来自客户端用户的注册请求,在注册成功后生成所述用户标识,并发送所述用户标识给客户端用户;所述用户标识用于被客户端用户生成所述单播授权报文。
3.根据权利要求1所述的基于SDN的SDP安全组实现方法,其特征在于,所述SDN控制器接收来自客户端用户的单播授权报文的步骤具体为:
所述SDN控制器下发单播授权采集流表至SDN交换机;
所述单播授权采集流表使得所述SDN交换机采集来自客户端的单播授权报文,并将采集到的所述单播授权报文发送至所述SDN控制器。
4.根据权利要求1所述的基于SDN的SDP安全组实现方法,其特征在于,所述服务端访问报文中包括客户端信息和目标服务端信息;所述SDN控制器将所述服务端访问报文转发至对应的服务端的步骤具体为:
所述SDN控制器根据所述客户端信息和目标服务端信息生成授权转发流表;
所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配,在匹配成功时转发所述访问报文至所述目标服务端信息指定的服务端。
5.根据权利要求1中所述的基于SDN的SDP安全组实现方法,其特征在于,所述单播授权验证规则为自动验证规则;所述自动验证规则为:
所述云平台根据预设的用户—服务端授权规则对所述用户标识和所述目标服务端信息进行匹配,在匹配成功时判定为验证合法。
6.根据权利要求5中所述的基于SDN的SDP安全组实现方法,其特征在于,还包括步骤:
所述云平台接收来自服务端客户的规则创建指令,并创建所述用户—服务端授权规则;所述用户—服务端授权规则用于指示特定的IAM web服务用户与特定的服务端之间的合法访问关系。
7.根据权利要求1中所述的基于SDN的SDP安全组实现方法,其特征在于,所述单播授权验证规则为手动验证规则;所述手动验证规则为:
所述云平台将所述用户标识和所述目标服务端信息发送至服务端客户进行消息通知;
所述云平台在接收到来自所述服务端客户的验证通过信息时,判定所述验证结果为验证合法。
8.根据权利要求1所述的基于SDN的SDP安全组实现方法,其特征在于,还包括步骤:
云平台接收来自服务端用户的安全策略;所述安全策略指示受保护的服务端的网络信息;
云平台将所述安全策略发送至所述SDN控制器;
所述SDN控制器根据所述安全策略生成单播授权报文判定规则和服务端访问报文判定规则;所述单播授权报文判定规则用于判定所述SDN控制器接收的任意报文是否为所述单播授权报文;所述服务端访问报文判定规则用于判定所述SDN控制器接收到的任意报文是否为所述服务端访问报文。
9.根据权利要求8所述的基于SDN的SDP安全组实现方法,其特征在于,所述服务端的网络信息和所述目标服务端信息均包括服务端的IP地址和端口信息。
10.一种安全系统,其特征在于,包括云平台和SDN控制器;
所述云平台包括:
单播授权验证模块,用于对接收到的用户标识进行校验;根据预设的单播验证规则对所述用户标识以及目标服务端信息进行验证,并将验证结果发送至所述SDN控制器;
所述SDN控制器包括:
首包采集引擎,用于接收来自客户端用户的单播授权报文或服务端访问报文;所述单播授权报文包括客户端信息、所述目标服务端信息和所述用户标识;
单播处理模块,用于将所述用户标识和所述目标服务端信息发送至所述云平台,并在在接到所述验证结果为验证合法时,将所述客户端信息和所述目标服务端信息添加到安全组规则中;
安全组模块,用于根据所述安全组规则判断所述服务端访问报文是否合法,若合法,将所述服务端访问报文转发至对应的服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010362532.5A CN111586025B (zh) | 2020-04-30 | 2020-04-30 | 一种基于sdn的sdp安全组实现方法及安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010362532.5A CN111586025B (zh) | 2020-04-30 | 2020-04-30 | 一种基于sdn的sdp安全组实现方法及安全系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111586025A CN111586025A (zh) | 2020-08-25 |
| CN111586025B true CN111586025B (zh) | 2021-03-23 |
Family
ID=72117100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010362532.5A Active CN111586025B (zh) | 2020-04-30 | 2020-04-30 | 一种基于sdn的sdp安全组实现方法及安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111586025B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112104506B (zh) * | 2020-09-21 | 2023-07-18 | 北京指掌易科技有限公司 | 组网方法、装置、服务器及可读存储介质 |
| CN114531250A (zh) * | 2020-10-30 | 2022-05-24 | 中国电信股份有限公司 | 终端身份认证实现方法、系统和控制器 |
| CN112822158B (zh) * | 2020-12-25 | 2022-11-11 | 奇安信科技集团股份有限公司 | 网络的访问方法、装置、电子设备及存储介质 |
| CN112968971B (zh) * | 2021-03-15 | 2023-08-15 | 北京数字认证股份有限公司 | 会话连接建立的方法、装置、电子设备和可读存储介质 |
| CN112866297B (zh) * | 2021-04-02 | 2023-02-24 | 中国工商银行股份有限公司 | 访问数据处理方法、装置及系统 |
| CN113572738B (zh) * | 2021-06-29 | 2023-04-07 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113890760B (zh) * | 2021-09-28 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 基于单包授权的数据包处理方法、装置、电子设备及介质 |
| CN114039750B (zh) * | 2021-10-26 | 2023-11-10 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN114301693B (zh) * | 2021-12-30 | 2023-03-14 | 同济大学 | 一种用于云平台数据的隐信道安全防御系统 |
| CN115189904A (zh) * | 2022-05-06 | 2022-10-14 | 国网湖北省电力有限公司信息通信公司 | 一种基于sdp的电力物联网及组网方法 |
| CN115225412B (zh) * | 2022-09-20 | 2023-01-03 | 国网江西省电力有限公司信息通信分公司 | 一种云边访问管控系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| US9282164B2 (en) * | 2013-03-15 | 2016-03-08 | Cisco Technology, Inc. | Application hints for network action |
| CN106130776A (zh) * | 2016-07-14 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种基于CloudStack云平台利用SDN技术对虚拟机和物理服务器进行混合管控的方法 |
| WO2017152396A1 (zh) * | 2016-03-09 | 2017-09-14 | 华为技术有限公司 | 流表处理方法及装置 |
| CN108512763A (zh) * | 2018-04-16 | 2018-09-07 | 广州市品高软件股份有限公司 | 一种流表规则生成过程的跟踪方法 |
| CN109067809A (zh) * | 2018-10-18 | 2018-12-21 | 深信服科技股份有限公司 | 安全组件的权限配置方法、装置、设备及存储介质 |
| US10572495B2 (en) * | 2018-02-06 | 2020-02-25 | Cisco Technology Inc. | Network assurance database version compatibility |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2684151B1 (en) * | 2011-03-08 | 2018-09-12 | Telefonica S.A. | A method for providing authorized access to a service application in order to use a protected resource of an end user |
| US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
| US11032294B2 (en) * | 2017-08-15 | 2021-06-08 | Gigamon Inc. | Dynamic decryption of suspicious network traffic based on certificate validation |
| CN110602150B (zh) * | 2019-10-16 | 2021-11-16 | 超越科技股份有限公司 | 一种sdn节点间可信认证方法 |
-
2020
- 2020-04-30 CN CN202010362532.5A patent/CN111586025B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9282164B2 (en) * | 2013-03-15 | 2016-03-08 | Cisco Technology, Inc. | Application hints for network action |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| WO2017152396A1 (zh) * | 2016-03-09 | 2017-09-14 | 华为技术有限公司 | 流表处理方法及装置 |
| CN106130776A (zh) * | 2016-07-14 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种基于CloudStack云平台利用SDN技术对虚拟机和物理服务器进行混合管控的方法 |
| US10572495B2 (en) * | 2018-02-06 | 2020-02-25 | Cisco Technology Inc. | Network assurance database version compatibility |
| CN108512763A (zh) * | 2018-04-16 | 2018-09-07 | 广州市品高软件股份有限公司 | 一种流表规则生成过程的跟踪方法 |
| CN109067809A (zh) * | 2018-10-18 | 2018-12-21 | 深信服科技股份有限公司 | 安全组件的权限配置方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 《品高基础架构云平台》;刘忻 等;《科技成果登记表》;20131226;全文 * |
| 《基于品高基础架构云的公共服务平台》;刘忻 等;《科技成果登记表》;20141023;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111586025A (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| CN108429730B (zh) | 无反馈安全认证与访问控制方法 | |
| US7644436B2 (en) | Intelligent firewall | |
| US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
| US8074264B2 (en) | Secure key distribution to internet clients | |
| CN111586026B (zh) | 一种基于sdn的软件定义边界实现方法及系统 | |
| CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
| CA2321407C (en) | Security mechanisms and architecture for collaborative systems using tuple space | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| CN112291295A (zh) | 一种基于多标识网络体系的高安全移动办公网 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
| KR101047994B1 (ko) | 네트워크 기반 단말인증 및 보안방법 | |
| CN108494731B (zh) | 一种基于双向身份认证的抗网络扫描方法 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования | |
| RU2163744C2 (ru) | Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования | |
| CN114567479B (zh) | 一种智能设备安全管控加固及监测预警方法 | |
| WO2014073948A1 (en) | System and method for managing public network | |
| CN115834164A (zh) | 一种Kerberos认证中防止票据攻击的方法和系统 | |
| KR101143368B1 (ko) | 분산형 DDos 방어 시스템 및 이를 이용한 방어 방법 | |
| CN117061140A (zh) | 一种渗透防御方法和相关装置 | |
| Sudhakar et al. | A Security Approach and Prevention Technique against ARP Poisoning | |
| CN114389813A (zh) | 浏览器的访问授权方法、装置、设备和存储介质 | |
| CN117728986A (zh) | 网络接入认证方法、装置、系统、设备及存储介质 | |
| Parham et al. | Validation of security for participant control exchanges in multicast content distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |