CN113972992A - 用于sdp控制器的访问方法及装置、计算机可存储介质 - Google Patents
用于sdp控制器的访问方法及装置、计算机可存储介质 Download PDFInfo
- Publication number
- CN113972992A CN113972992A CN202010717089.9A CN202010717089A CN113972992A CN 113972992 A CN113972992 A CN 113972992A CN 202010717089 A CN202010717089 A CN 202010717089A CN 113972992 A CN113972992 A CN 113972992A
- Authority
- CN
- China
- Prior art keywords
- sdp
- controller
- sdp controller
- access
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012502 risk assessment Methods 0.000 claims abstract description 38
- 238000011156 evaluation Methods 0.000 claims abstract description 12
- 230000006399 behavior Effects 0.000 claims description 51
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 16
- 239000011159 matrix material Substances 0.000 description 11
- 238000001514 detection method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- ITIONVBQFUNVJV-UHFFFAOYSA-N Etomidoline Chemical compound C12=CC=CC=C2C(=O)N(CC)C1NC(C=C1)=CC=C1OCCN1CCCCC1 ITIONVBQFUNVJV-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002821 scintillation proximity assay Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及用于SDP控制器的访问方法及装置、计算机可存储介质,涉及网络技术领域。用于SDP控制器的访问方法包括:对第一SDP控制器进行风险评估,得到风险评估结果;在所述风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和所述第二SDP控制器;控制访问所述第一SDP控制器的目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息。根据本公开,可以精准及时地控制SDP客户端对SDP控制器的访问,从而提高软硬件资源的利用率和SDP架构的安全性。
Description
技术领域
本公开涉及网络技术领域,特别涉及用于SDP控制器的访问方法及装置、计算机可存储介质。
背景技术
SDP(Software Defined Perimeter,软件定义边界)是由云安全联盟(CloudSecurity Alliance,CSA)开发的一种安全框架。SDP作为零信任概念的扩展,可以抑制威胁并减少攻击面,防止基于网络及利用应用程序漏洞的攻击。
SDP的主要组件通常包括SDP客户端、服务端和包含了SDP控制器的SDP管控平台,SDP客户端和服务端之间的连接都是通过SDP控制器与安全控制信道的交互来管控的。
SDP控制器和SDP架构下的服务器默认情况下利用单包授权(Single PacketAuthorization,SPA)技术工作于网络隐身模式,即为其提供防护的防火墙配置的默认防护策略为“缺省丢弃”,在监听到发往特定端口的SPA数据包并通过认证的情况下,才会面向可信的SDP客户端开放访问通道,完成后续的通信。
SDP控制器作为SDP系统的核心设备,配置信息相对固化。随着SDP控制器的在线时间越来越长,以及SDP客户端在复杂的网络环境下使用,SDP控制器将面临大量的监听、网络扫描等信息收集行为,SDP控制器的IP地址、认证端口、负载情况等信息会逐渐被收集从而暴露出来,进而导致SDP控制器的可信度下降,影响SDP架构的安全。
相关技术中,采用固定周期对为各个SDP客户端服务的SDP控制器进行设备轮换,但保持SDP客户端用于访问SDP控制器的访问配置信息不变。
发明内容
发明人认为:相关技术中,SDP控制器的应用场景复杂且不固定,存在多种不确定因素,采用固定周期进行设备轮换无法精准及时地控制SDP客户端对SDP控制器的访问,固定周期过长会降低SDP架构的安全性,固定周期过短会导致软硬件资源浪费。
针对上述技术问题,本公开提出了一种解决方案,可以精准及时地控制SDP客户端对SDP控制器的访问,从而提高软硬件资源的利用率和SDP架构的安全性。
根据本公开的第一方面,提供了一种用于软件定义边界SDP控制器的访问方法,包括:对第一SDP控制器进行风险评估,得到风险评估结果;在所述风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和所述第二SDP控制器;控制访问所述第一SDP控制器的目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息。
在一些实施例中,生成所述第二SDP控制器包括:在生成所述访问信息后,监测包括所述目标SDP客户端的多个SDP客户端是否满足预设发送条件,所述目标SDP客户端满足预设发送条件;对于满足所述预设发送条件的一个或多个SDP客户端,发送所述访问信息到所述一个或多个SDP客户端,直到所述一个或多个SDP客户端的数量与所述多个SDP客户端的总数量的比值大于或等于比值阈值;在所述比值大于或等于所述比值阈值的情况下,生成所述第二SDP控制器。
在一些实施例中,所述预设发送条件包括在线状态信息为在线。
在一些实施例中,控制所述目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息包括:在生成所述第二SDP控制器后,停用所述第一SDP控制器;响应于接收到所述目标SDP客户端依据所述第一SDP控制器的访问信息发送给所述第一SDP控制器的访问请求消息,发送触发指令到所述目标SDP客户端,所述触发指令控制所述目标SDP客户端利用所述第二SDP控制器的访问信息,更新所述目标SDP客户端的访问配置信息,并通过更新后的访问配置信息向所述第二SDP控制器发送访问请求消息。
在一些实施例中,对第一SDP控制器进行风险评估,得到风险评估结果包括:取所述第一SDP控制器接收到的除单包授权SPA数据包以外的其他数据包;分析所述其他数据包,得到针对所述第一SDP控制器的至少一种攻击行为及每种攻击行为发生的频率;获取包括所述目标SDP客户端的多个SDP客户端的操作行为数据,所述操作行为数据包括至少一种操作行为及每种操作行为发生的频率;根据至少一种攻击行为及每种攻击行为发生的频率、至少一种操作行为及每种操作行为发生的频率,确定所述第一SDP控制器的风险值,作为所述风险评估结果。
在一些实施例中,所述预设风险条件为所述风险值大于或等于风险阈值。
在一些实施例中,生成所述第二SDP控制器包括:获取当前的基线标准;根据所述当前的基线标准,生成所述第二SDP控制器。
在一些实施例中,所述访问信息包括IP地址和访问端口。
根据本公开第二方面,提供了一种用于软件定义边界SDP控制器的访问装置,包括:风险评估模块,被配置为对第一SDP控制器进行风险评估,得到风险评估结果;生成模块,被配置为在所述风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和所述第二SDP控制器;控制模块,被配置为控制访问所述第一SDP控制器的目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息。
根据本公开第三方面,提供了一种用于软件定义边界SDP控制器的访问装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行上述任一实施例所述的用于SDP控制器的访问方法。
根据本公开的第四方面,提供了一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任一实施例所述的用于SDP控制器的访问方法。
在上述实施例中,可以精准及时地控制SDP客户端对SDP控制器的访问,从而提高软硬件资源的利用率和SDP架构的安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是示出根据本公开一些实施例的用于SDP控制器的访问方法的流程图;
图2是示出根据本公开一些实施例的用于SDP控制器的访问系统的框图;
图3是示出根据本公开一些实施例的对第一SDP控制器进行风险评估的流程图;
图4是示出根据本公开一些实施例的用于SDP控制器的访问装置的框图;
图5是示出根据本公开另一些实施例的用于SDP控制器的访问装置的框图;
图6是示出用于实现本公开一些实施例的计算机系统的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
下面将结合图1和图2详细描述本公开一些实施例的用于SDP控制器的访问方法。
图1是示出根据本公开一些实施例的用于SDP控制器的访问方法的流程图。
图2是示出根据本公开一些实施例的用于SDP控制器的访问系统的框图。
如图1所示,用于SDP控制器的访问方法包括:步骤S110,对第一SDP控制器进行风险评估,得到风险评估结果;步骤S120,生成第二SDP控制器的访问信息和第二SDP控制器;和步骤S130,控制目标SDP客户端根据第二SDP控制器的访问信息,向第二SDP控制器发送访问请求消息。
在步骤S110中,对第一SDP控制器进行风险评估,得到风险评估结果。
例如,通过如图3所示的方式实现对第一SDP控制器进行风险评估。
图3是示出根据本公开一些实施例的对第一SDP控制器进行风险评估的流程图。
如图3所示,对第一SDP控制器进行风险评估包括步骤S111-步骤S114。
在步骤S111中,获取第一SDP控制器接收到的除SPA数据包以外的其他数据包。在一些实施例中,其他数据包包括非SPA数据包和未认证通过的SPA数据包等。
例如,由图2的SDP管控平台21中的攻击检测模块211监测并收集第一SDP控制器212在一段时间内接收到其他数据包。在攻击检测模块211通过监测和收集操作获取到其他数据包后,将获取到的其他数据包发送给SDP管控平台的信用评估模块213。在一些实施例中,上述中的一段时间为一个月。
在步骤S112中,分析其他数据包,得到针对第一SDP控制器的至少一种攻击行为及每种攻击行为发生的频率。
例如,由图2的信用评估模块213在接收到来自攻击检测模块211的其他数据包后,对每个其他数据包进行解码分析,得到每个其他数据包的数据包类型、多种参数及其参数值;从而,信用评估模块213根据预先存储的攻击行为、数据包类型、多种参数及其异常值范围的对应关系,确定每个其他数据包对应的攻击行为;进而,信用评估模块213将对应相同的攻击行为的其他数据包的数量与所有其他数据包的总数量的比值,确定为该种攻击行为发生的频率。
在一些实施例中,攻击行为包括网络扫描、漏洞利用尝试、中间人攻击和DoS(Denial of Service,拒绝服务)攻击等。
在步骤S113中,获取包括目标SDP客户端的多个SDP客户端的操作行为数据。操作行为数据包括至少一种操作行为及每种操作行为发生的频率。
例如,图2的日志记录模块214记录一段时间内SDP客户端22a(目标SDP客户端)、SDP客户端22b和SDP客户端22c等N个SDP客户端的各种操作行为以及各种操作行为发生的次数,并将各种操作行为以及各种操作行为发生的次数发送给信用评估模块213;信用评估模块213计算每种操作行为发生的次数与所有操作行为发生的总次数的比值,作为该种操作行为发生的频率。N为正整数。
在一些实施例中,操作行为包括在不安全环境下的登录行为、特定时间的登录行为和高频访问行为等。
在步骤S114中,根据至少一种攻击行为及每种攻击行为发生的频率、至少一种操作行为及每种操作行为发生的频率,确定第一SDP控制器的风险值,作为风险评估结果。例如,由图2的信用评估模块213执行步骤S114。
在一些实施例中,利用矩阵法确定第一SDP控制器的风险值。
下面将结合一个具体的实施例,详细描述利用矩阵法确定第一SDP控制器的风险值的过程。
根据前述确定的攻击行为和操作行为,结合行为与威胁的对应关系,可以确定第一SDP控制器面临的威胁。通常情况下,一种行为对应一种威胁。例如,第一SDP控制器面临三种威胁A1、A2和A3(如虚假客户端仿冒、DDoS(Distributed Denial of Service,分布式拒绝服务攻击)攻击、非法处理数据等),第一SDP控制器的脆弱性包括B1、B2、B3、B4(如认证机制不健全、软硬件漏洞、协议漏洞、缺乏审计等),其中,A1可以利用的脆弱性包括B1和B2,A2可以利用脆弱性B3,A3可以利用脆弱性B4。
在一些实施例中,以1~5表示脆弱性的严重程度或资产的价值,数字越大表示越严重或者价值越高。例如,考虑到SDP系统的重要性,将第一SDP控制器的资产价值设置为5。
根据脆弱性可知,资产存在4个风险值。下面以威胁A1可以利用脆弱性B1造成的风险计算为例,计算资产的风险值。
首先,对于安全事件发生的可能性,假设威胁A1(如虚假客户端仿冒)发生的频率等级为1,脆弱性B1的严重程度为2。威胁A1发生的频率等级可以通过前述计算得到的威胁A1对应的攻击行为或操作行为发生的频率确定,也可以通过计算攻击检测模块211收集到的非法SPA数据包(如未认证通过的SPA)与全部SPA数据包的比例并结合专家经验等确定。脆弱性B1的严重程度也可以通过经验设定(在此假定B1被威胁利用会造成危害,但危害程度较小)。根据如表1所示的安全事件可能性矩阵,可以得到此种情况下安全事件发生可能性的矩阵值为4。
表1安全事件可能性矩阵
其次,根据安全事件发生可能性矩阵的值进行线性变化,得到安全事件发生的可能性等级。根据如表2所示的安全事件可能性等级划分,可以得出安全事件发生可能性的值为1。
表2安全事件可能性等级划分
再次,根据如表3所示的安全事件损失矩阵,计算安全事件损失。根据前述可知,资产价值为5,脆弱性B1的严重程度根据经验确定为2,得到安全事件损失的值为10。
表3安全事件损失矩阵
然后,根据如表4所示的安全事件损失等级划分,通过安全事件损失值可以得出安全事件损失等级为2。
表4安全事件损失等级划分
| 安全事件损失的值 | 1-5 | 6-10 | 11-15 | 16-20 | 21-25 |
| 安全事件损失等级 | 1 | 2 | 3 | 4 | 5 |
随后,根据如表5所示的风险矩阵,计算风险值。根据前述内容可知,安全事件发生可能性的值为1,安全事件损失的值为2,根据表5所示的风险矩阵,可以确定风险值为5。
表5风险矩阵
最后,根据如表6所示的风险等级划分,可以得到风险等级为1。
表6风险等级划分
| 风险值 | 1-6 | 7-12 | 13-18 | 19-23 | 24-25 |
| 风险等级 | 1 | 2 | 3 | 4 | 5 |
参考威胁A1利用脆弱性B1造成的风险等级的计算过程,也可以采用类似的方式计算得到威胁A1利用脆弱性B2造成的风险等级为5,威胁A2利用脆弱性B3造成的风险等级为3,威胁A3利用脆弱性B4造成的风险等级为3。在一些实施例中,将所有威胁A1、A2、A3利用脆弱性得到的风险等级求和,可以得到SDP控制器的综合风险。例如,第一SDP控制器的风险值为1+5+3+3=12。
返回图1,在得到风险评估结果后,执行步骤S120。
在步骤S120中,在风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和第二SDP控制器。例如,风险评估结果为第一SDP控制器的风险值,预设风险条件为第一SDP控制器的风险值大于或等于风险阈值。在一些实施例中,风险阈值可以通过经验设定得到,也可以通过威胁建模进行计算得到。例如,风险阈值为10。
例如,由图2的信用评估模块213确定第一SDP控制器212的风险值12后,判断该风险值12是否大于或等于风险阈值10。比较可知,12大于10,风险值大于风险阈值。信用评估模块213通知信任续租模块215启动信任续租流程。
例如,信任续租模块215接收到启动信任续租流程的通知后,生成第二SDP控制器的访问信息和第二SDP控制器。在一些实施例中,第二SDP控制器的访问信息包括IP地址和访问端口(即认证接收端口)。例如,第二SDP控制器的IP地址为2.2.2.2,访问端口为5678。这里第二SDP控制器的访问信息和第一SDP控制器的访问信息(IP地址为1.1.1.1,接收SPA数据包的端口为1234)不同,可以进一步提高SDP架构的安全性。
例如,通过如下方式实现生成第二SDP控制器。
首先,在生成第二SDP控制器的访问信息后,监测包括目标SDP客户端的多个SDP客户端是否满足预设发送条件。目标SDP客户端满足预设发送条件。例如,预设发送条件包括在线状态信息为在线。
在一些实施例中,由图2的信任续租模块215生成第二SDP控制器的访问信息后,发送该访问信息到配置下发模块216。配置下发模块216监测SDP客户端22a(目标SDP客户端)、SDP客户端22b和SDP客户端22c等N个SDP客户端的在线状态信息是否为在线。SDP客户端22a处于在线状态。
然后,对于满足预设发送条件的一个或多个SDP客户端,发送第二SDP控制器的访问信息到一个或多个SDP客户端,直到一个或多个SDP客户端的数量与多个SDP客户端的总数量的比值大于或等于比值阈值。SDP客户端在接收到第二SDP控制器的访问信息后,进行加密存储。
在一些实施例中,N为10,比值阈值为0.8。例如,图2的配置下发模块216在某一时刻监测到处于在线状态的SDP客户端有4个(包括目标SDP客户端),则通过SDP客户端与第一SDP控制器212之间建立的MTLS(Mutual Transport Layer Security,相互传输层安全协议)加密通道发送第二SDP控制器的访问信息到这4个SDP客户端;并判断这4个SDP客户端与全部SDP客户端的总数量10的比值是否大于或等于比值阈值;判断可知4/10=0.4小于0.8,继续监测除上述4个SDP客户端以外的其他SDP客户端的在线状态信息。在一些实施例中,比值阈值还可以设置为0.95。
例如,图2的配置下发模块216在另一时刻监测到除上述4个SDP客户端以外的其他SDP客户端中处于在线状态的SDP客户端有5个,则发送第二SDP控制器的访问信息到这5个SDP客户端;并判断这5个SDP客户端和上述4个SDP客户端与全部SDP客户端的总数量10的比值是否大于或等于比值阈值;判断可知(4+5)/10=0.9大于0.8,停止监测。
最后,在比值大于或等于比值阈值的情况下,生成第二SDP控制器。
在上述实施例中,图2的配置下发模块216在另一时刻判断得到比值大于或等于比值阈值,则通知信任续租模块215生成第二SDP控制器217。例如,信任续租模块215获取当前的基线标准(最新的基线标准),并根据当前的基线标准,生成第二SDP控制器217。在一些实施例中,信任续租模块215构建并启用第二SDP控制器217。启用第二SDP控制器217为控制第二SDP控制器217上线。
上述实施例中,按照最新的基线标准进行基线配置核查,使得第二SDP控制器217符合最新的基线标准,可以最大程度地避免潜在的攻击。
例如,基线标准,也叫安全基线,即最小的安全标准,是企业根据政策法规要求、自身业务的运营需求、设备及系统的部署环境等针对系统涉及的设备及应用的安全基线标准。基线标准包括虚机的操作系统、数据库、中间件、应用等安全配置,涵盖了账号口令、认证授权、网络与服务、日志审计等多个方面。基线标准一般由企业制定,只有达到这些基线标准的基本要求的SDP控制器才是基本安全的。
在上述实施例中,通过监测SDP客户端是否满足预设发送条件,并将第二SDP控制器的访问信息发送到一定比例数量的且满足预设发送条件的SDP客户端,可以降低运维成本,避免由于大量的SDP客户端没有接收第二SDP控制器的访问信息而采用运维成本更高的系统更新方式来获取第二SDP控制器的访问信息,可以进一步提高软硬件资源利用率。
返回图1,在生成第二SDP控制器的访问信息和第二SDP控制器后,执行步骤S130。
在步骤S130中,控制访问第一SDP控制器的目标SDP客户端根据第二SDP控制器的访问信息,向第二SDP控制器发送访问请求消息。
在一些实施例中,在生成第二SDP控制器后,停用第一SDP控制器;并响应于接收到目标SDP客户端依据第一SDP控制器的访问信息发送给第一SDP控制器的访问请求消息,发送触发指令到目标SDP客户端。触发指令控制目标SDP客户端利用第二SDP控制器的访问信息,更新目标SDP客户端的访问配置信息,并通过更新后的访问配置信息向第二SDP控制器发送访问请求消息。即依据第二SDP客户端的访问信息向第二SDP控制器发送访问请求消息。
例如,由图2的信任续租模块215在生成第二SDP控制器217后,停用第一SDP控制器212;配置下发模块216生成用于指示防火墙218在接收到SDP客户端22a发送给第一SDP控制器212的SPA数据包(包括第一SDP控制器212的访问端口)时返回REJECT(拒绝)指令的防火墙规则,并发送给防火墙218;防火墙218根据该防火墙规则进行相应的规则配置。
例如,在某一时刻,SDP客户端22a向第一SDP控制器212发送包括第一SDP控制器212的访问端口的SPA数据包;防火墙218拦截该SPA数据包,分析得到该SPA数据包对应的防火墙规则,并根据对应的防火墙规则,向SDP客户端22a返回REJECT指令(即触发指令)。
在一些实施例中,原控制器(第一SDP控制器212)的IP地址为1.1.1.1,接收SPA数据包的端口为1234,在未添加防火墙规则时,默认规则为DROP(丢弃)所有的数据包,在原控制器停用后,新增防火墙规则为当1234端口收到SPA数据包时,防火墙执行REJECT动作,向发送SPA数据包的SDP客户端返回特定的拒绝包。
SDP客户端22a在接收到REJECT指令后,利用从配置下发模块216接收到的第二SDP控制器217的访问信息,将SDP客户端22a中原有的包括第一SDP控制器212的访问信息的访问配置信息更新为包括第二SDP控制器217的访问信息的访问配置信息;在SDP客户端22a更新访问配置信息后,根据更新后的访问配置信息向第二SDP控制器217发送包括第二SDP控制器217的访问端口等访问信息的SPA数据包进行认证。
上述实施例中,通过触发指令控制目标SDP客户端自动更新访问配置信息,无需目标SDP客户端的用户手动更新,也无需进行系统更新,实现了用户无感知更新访问配置信息,减少由于手动更新或系统更新导致的业务中断,可以进一步精准地控制SDP客户端对SDP控制器的访问。
图4是示出根据本公开一些实施例的用于SDP控制器的访问装置的框图。
如图4所示,用于SDP控制器的访问装置41包括风险评估模块411、生成模块412和控制模块413。例如,用于SDP控制器的访问装置41还可以与图2的SDP管控平台21具有相同或类似的结构和功能。
风险评估模块411被配置为对第一SDP控制器进行风险评估,得到风险评估结果,例如执行如图1所示的步骤S110。在一些实施例中,风险评估模块411与图2的攻击检测模块211和信用评估模块213的至少一部分功能相同或类似。
生成模块412被配置为在风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和第二SDP控制器,例如执行如图1所示的步骤S120。在一些实施例中,生成模块412与图2的信用评估模块213、信任续租模块215、配置下发模块216的至少一部分功能相同或类似。
控制模块413被配置为控制访问第一SDP控制器的目标SDP客户端根据第二SDP控制器的访问信息,向第二SDP控制器发送访问请求消息,例如执行如图1所示的步骤S130。在一些实施例中,控制模块413与图2的信任续租模块215、配置下发模块216、防火墙218的至少一部分功能相同或类似。
图5是示出根据本公开另一些实施例的用于SDP控制器的访问装置的框图。
如图5所示,用于SDP控制器的访问装置51包括存储器511;以及耦接至该存储器511的处理器512。存储器511用于存储执行用于SDP控制器的访问方法对应实施例的指令。处理器512被配置为基于存储在存储器511中的指令,执行本公开中任意一些实施例中的用于SDP控制器的访问方法。例如,用于SDP控制器的访问装置51与图2的SDP管控平台21或图4的用于SDP控制器的访问装置41具有相同或类似的功能或结构。
图6是示出用于实现本公开一些实施例的计算机系统的框图。
如图6所示,计算机系统60可以通用计算设备的形式表现。计算机系统60包括存储器610、处理器620和连接不同系统组件的总线600。
存储器610例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质,例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行用于SDP控制器的访问方法中的至少一种的对应实施例的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。
处理器620可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地,诸如判断模块和确定模块的每个模块,可以通过中央处理器(CPU)运行存储器中执行相应步骤的指令来实现,也可以通过执行相应步骤的专用电路来实现。
总线600可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。
计算机系统60还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器610和处理器620之间可以通过总线600连接。输入输出接口630可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为软盘、U盘、SD卡等外部存储设备提供连接接口。
这里,参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个框以及各框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器,以产生一个机器,使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。
这些计算机可读程序指令也可存储在计算机可读存储器中,这些指令使得计算机以特定方式工作,从而产生一个制造品,包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。
本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
通过上述实施例中的用于SDP控制器的访问方法及装置、计算机可存储介质,可以精准及时地控制SDP客户端对SDP控制器的访问,从而提高软硬件资源的利用率和SDP架构的安全性。
至此,已经详细描述了根据本公开的用于SDP控制器的访问方法及装置、计算机可存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
Claims (11)
1.一种用于软件定义边界SDP控制器的访问方法,包括:
对第一SDP控制器进行风险评估,得到风险评估结果;
在所述风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和所述第二SDP控制器;
控制访问所述第一SDP控制器的目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息。
2.根据权利要求1所述的用于SDP控制器的访问方法,其中,生成所述第二SDP控制器包括:
在生成所述访问信息后,监测包括所述目标SDP客户端的多个SDP客户端是否满足预设发送条件,所述目标SDP客户端满足预设发送条件;
对于满足所述预设发送条件的一个或多个SDP客户端,发送所述访问信息到所述一个或多个SDP客户端,直到所述一个或多个SDP客户端的数量与所述多个SDP客户端的总数量的比值大于或等于比值阈值;
在所述比值大于或等于所述比值阈值的情况下,生成所述第二SDP控制器。
3.根据权利要求2所述的用于SDP控制器的访问方法,其中,所述预设发送条件包括在线状态信息为在线。
4.根据权利要求1所述的用于SDP控制器的访问方法,其中,控制所述目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息包括:
在生成所述第二SDP控制器后,停用所述第一SDP控制器;
响应于接收到所述目标SDP客户端依据所述第一SDP控制器的访问信息发送给所述第一SDP控制器的访问请求消息,发送触发指令到所述目标SDP客户端,所述触发指令控制所述目标SDP客户端利用所述第二SDP控制器的访问信息,更新所述目标SDP客户端的访问配置信息,并通过更新后的访问配置信息向所述第二SDP控制器发送访问请求消息。
5.根据权利要求1所述的用于SDP控制器的访问方法,其中,对第一SDP控制器进行风险评估,得到风险评估结果包括:
获取所述第一SDP控制器接收到的除单包授权SPA数据包以外的其他数据包;
分析所述其他数据包,得到针对所述第一SDP控制器的至少一种攻击行为及每种攻击行为发生的频率;
获取包括所述目标SDP客户端的多个SDP客户端的操作行为数据,所述操作行为数据包括至少一种操作行为及每种操作行为发生的频率;
根据至少一种攻击行为及每种攻击行为发生的频率、至少一种操作行为及每种操作行为发生的频率,确定所述第一SDP控制器的风险值,作为所述风险评估结果。
6.根据权利要求5所述的用于SDP控制器的访问方法,其中,所述预设风险条件为所述风险值大于或等于风险阈值。
7.根据权利要求1所述的用于SDP控制器的访问方法,其中,生成所述第二SDP控制器包括:
获取当前的基线标准;
根据所述当前的基线标准,生成所述第二SDP控制器。
8.根据权利要求1所述的用于SDP控制器的访问方法,其中,所述访问信息包括IP地址和访问端口。
9.一种用于软件定义边界SDP控制器的访问装置,包括:
风险评估模块,被配置为对第一SDP控制器进行风险评估,得到风险评估结果;
生成模块,被配置为在所述风险评估结果满足预设风险条件的情况下,生成第二SDP控制器的访问信息和所述第二SDP控制器;
控制模块,被配置为控制访问所述第一SDP控制器的目标SDP客户端根据所述第二SDP控制器的访问信息,向所述第二SDP控制器发送访问请求消息。
10.一种用于软件定义边界SDP控制器的访问装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行如权利要求1至8任一项所述的用于SDP控制器的访问方法。
11.一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至8任一项所述的用于SDP控制器的访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010717089.9A CN113972992B (zh) | 2020-07-23 | 2020-07-23 | 用于sdp控制器的访问方法及装置、计算机可存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010717089.9A CN113972992B (zh) | 2020-07-23 | 2020-07-23 | 用于sdp控制器的访问方法及装置、计算机可存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113972992A true CN113972992A (zh) | 2022-01-25 |
| CN113972992B CN113972992B (zh) | 2024-01-30 |
Family
ID=79585255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010717089.9A Active CN113972992B (zh) | 2020-07-23 | 2020-07-23 | 用于sdp控制器的访问方法及装置、计算机可存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113972992B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582374A (zh) * | 2023-07-14 | 2023-08-11 | 湖北省楚天云有限公司 | 一种基于流量识别的零信任动态访问控制方法 |
| CN117977816A (zh) * | 2024-03-29 | 2024-05-03 | 江苏高雷德电力科技有限公司 | 一种电力安全智能电源系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
| KR20180069610A (ko) * | 2016-12-15 | 2018-06-25 | 주식회사 포스링크 | 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 |
| US10032039B1 (en) * | 2017-06-16 | 2018-07-24 | International Business Machines Corporation | Role access to information assets based on risk model |
| US20190370263A1 (en) * | 2018-06-04 | 2019-12-05 | Cisco Technology, Inc. | Crowdsourcing data into a data lake |
| CN111131307A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 一种控制访问权限的方法及系统 |
-
2020
- 2020-07-23 CN CN202010717089.9A patent/CN113972992B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
| KR20180069610A (ko) * | 2016-12-15 | 2018-06-25 | 주식회사 포스링크 | 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 |
| US10032039B1 (en) * | 2017-06-16 | 2018-07-24 | International Business Machines Corporation | Role access to information assets based on risk model |
| US20190370263A1 (en) * | 2018-06-04 | 2019-12-05 | Cisco Technology, Inc. | Crowdsourcing data into a data lake |
| CN111131307A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 一种控制访问权限的方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582374A (zh) * | 2023-07-14 | 2023-08-11 | 湖北省楚天云有限公司 | 一种基于流量识别的零信任动态访问控制方法 |
| CN116582374B (zh) * | 2023-07-14 | 2023-09-26 | 湖北省楚天云有限公司 | 一种基于流量识别的零信任动态访问控制方法 |
| CN117977816A (zh) * | 2024-03-29 | 2024-05-03 | 江苏高雷德电力科技有限公司 | 一种电力安全智能电源系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113972992B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11621968B2 (en) | Intrusion detection using a heartbeat | |
| US11722516B2 (en) | Using reputation to avoid false malware detections | |
| US11936619B2 (en) | Combined security and QOS coordination among devices | |
| US9654489B2 (en) | Advanced persistent threat detection | |
| CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| US8312540B1 (en) | System for slowing password attacks | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| EP3687140B1 (en) | On-demand and proactive detection of application misconfiguration security threats | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| US20220086645A1 (en) | System and method for rogue device detection | |
| CN113972992B (zh) | 用于sdp控制器的访问方法及装置、计算机可存储介质 | |
| US20170346837A1 (en) | Real-time security modification and control | |
| CN111131173B (zh) | 一种内网主动提供服务的方法 | |
| CN117811847B (zh) | 一种基于公网与内网结合的人机验证方法以及装置 | |
| US20230319113A1 (en) | Applying network access control configurations with a network switch based on device health | |
| Mebrahtu et al. | Key architectural models, security issues and solutions on Cloud computing | |
| Bahkali et al. | How Can Organizations Prevent Cyber Attacks Using Proper Cloud Computing Security? | |
| WO2023187310A1 (en) | Applying network access control configurations with a network switch based on device health | |
| CN118214591A (zh) | 零信任代理方法、装置、电子设备和存储介质 | |
| Munir et al. | Security Attacks and Countermeasures in Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |