CN114915534B - 面向信任增强的网络部署架构及其网络访问方法 - Google Patents

面向信任增强的网络部署架构及其网络访问方法 Download PDF

Info

Publication number
CN114915534B
CN114915534B CN202210428982.9A CN202210428982A CN114915534B CN 114915534 B CN114915534 B CN 114915534B CN 202210428982 A CN202210428982 A CN 202210428982A CN 114915534 B CN114915534 B CN 114915534B
Authority
CN
China
Prior art keywords
sdp
network
user
stage
trust
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210428982.9A
Other languages
English (en)
Other versions
CN114915534A (zh
Inventor
马海龙
张鹏
王亮
江逸茗
陈祥
李艳捷
张进
祖铄迪
杨杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Network Communication and Security Zijinshan Laboratory
Original Assignee
Information Engineering University of PLA Strategic Support Force
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force , Network Communication and Security Zijinshan Laboratory filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202210428982.9A priority Critical patent/CN114915534B/zh
Publication of CN114915534A publication Critical patent/CN114915534A/zh
Application granted granted Critical
Publication of CN114915534B publication Critical patent/CN114915534B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种面向信任增强的网络部署架构及其网络访问方法。该网络部署架构包括第一级SDP AH和第二级SDP AH;所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间,所述第二级SDP AH串联部署于边缘交换设备和PE之间;所述SDP AH表示SDP应用网关,所述SDP IH表示SDP连接发起主机,所述PE表示供应商边缘节点;所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑,所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。本发明旨在加强网络本身的安全防护,并降低安全开销。

Description

面向信任增强的网络部署架构及其网络访问方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种面向信任增强的网络部署架构及其网络访问方法。
背景技术
SDP是由云安全联盟(Cloud Security Alliance,CSA)面向零信任网络(ZeroTrust Network,ZTN)环境于2013年提出的新型通用网络防御方案,其本质是一种利用软件定义逻辑组件在网元间构建基于身份的安全边界的增强型访问控制架构,主要由SDP控制器、应用网关(SDP Accept Host,SDP AH)及连接发起主机(SDP Initial Host,SDP IH)组成,可用于隐藏域内服务,最小化网络攻击表面,若将SDP架构直接移植套用部署于现有网络,不仅无法兼顾对网络本身的防护,还将带来较多安全开销。
发明内容
为了加强网络本身的安全防护,本发明提供一种面向信任增强的网络部署架构及其网络访问方法。本发明通过改良SDP架构向现有网络适应性融合的部署模式,从而在为接入网络的终端设备提供认证管控外,还可为网络本身的交换设备提供额外保护,此外本发明还改进了对接入域内的终端设备的信任初值授予方式。
一方面,本发明提供一种面向信任增强的网络部署架构,包括:第一级SDP AH和第二级SDP AH;所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间,所述第二级SDPAH串联部署于边缘交换设备和PE之间;所述SDP AH表示SDP应用网关,所述SDP IH表示SDP连接发起主机,所述PE表示供应商边缘节点;所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑,所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。
另一方面,本发明还提供一种基于上述的面向信任增强的网络部署架构的网络访问方法,所述方法包括:
步骤1:SDP控制器上线,并连接至SDP应用;
步骤2:在SDP控制器和第一级SDP AH之间,以及在SDP控制器和第二级SDP AH之间分别建立mTLS连接;
步骤3:将待接入网络的SDP IH预先接入应用平面的网络代理身份验证组件,以供所述网络代理身份验证组件读取所述SDP IH的安全信息项并录入网络代理安全信息库;
步骤4:待接入网络的SDP IH向第一级SDP AH发送SPA认证包,以供所述第一级SDPAH通过其连接的域入口交换设备将所述SPA认证包直接转发至SDP控制器;
步骤5:SDP控制器接收到所述SPA认证包后,调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH的身份,若认证通过,则向所述SDP IH授权其可访问的SDP AH列表、临时访问凭据及策略;
步骤6:SDP控制器通过mTLS连接向所述SDP AH列表中的所有SDP AH通告已授权的SDP IH身份、临时访问凭据及策略;
步骤7:第一级SDP AH向所述SDP IH通告其可访问的SDP AH列表、临时访问凭据及策略;
步骤8:所述SDP IH使用所述临时访问凭据和SPA认证包与第一级SDP AH建立mTLS连接。
进一步地,所述方法还包括:
预先为SDPIH对应的用户和设备分别设置两级身份码或识别码,并为域内所有SDPAH设置信任阈值;其中,用户的一级身份码用于对不同用户ID进行加密标识;用户的二级身份码用于对单个用户的瞬时身份进行标识;设备的一级识别码用于对不同设备进行加密标识,设备的二级识别码用于对单个设备的不同端口进行标识。
进一步地,将用户i的所述一级身份码Useri ID1定义为:Useri ID1=HMAC(Keyseed+IDi);将用户i的所述二级身份码Useri ID2定义为:Useri ID2=HMAC(Keyseed+IDi+timestamp);其中,Keyseed为管理员在应用平面中身份验证组件中预先设置并定期更换的种子密钥,timestamp为时间戳,IDi标识用户i的唯一ID,HMAC表示基于散列的消息认证码。
进一步地,将设备j的所述一级识别码
Figure BDA0003611012520000021
定义为:
Figure BDA0003611012520000031
将设备j的所述二级识别码/>
Figure BDA0003611012520000032
定义为:
Figure BDA0003611012520000033
其中,IPj、MACj和/>
Figure BDA0003611012520000034
分别为设备j的用于接入第一级SDP AH的IP地址、对应网卡的MAC地址和第k个端口,HMAC表示基于散列的消息认证码。
进一步地,步骤5中,所述调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH身份,具体包括:检测所述SDP IH的信任值是否大于等于预设的网络域信任准入阈值,若是,则认证通过;反之,则认证不通过;其中,按照预设规则计算所述SDP IH的信任值,所述预设规则具体包括:
规则1:SDP控制器读取SPA认证包中的用户的一级身份码或者设备的一级识别码,然后确定在网络代理安全信息库中是否已记录有所述一级身份码或者所述一级识别码;并调用外部信源查看所述用户或所述设备是否存在恶意行为记录;
若已记录且不存在恶意行为记录,则向所述SDP IH赋予信任初值,并授予其可访问的SDP AH列表的访问证书集合CertA及各个访问证书的有效期;其中,所述信任初值大于等于预设的网络域信任准入阈值且小于预设的服务资源信任阈值;
规则2:将一级身份码已记录且不存在恶意行为记录的用户视为“老用户”,将所述“老用户”的信任值增量
Figure BDA0003611012520000035
定义为:/>
Figure BDA0003611012520000036
其中,/>
Figure BDA0003611012520000037
表示信任初值;ν表示统一的用户置信因子;/>
Figure BDA0003611012520000038
表示用户i在最近一段时间间隔的二级身份码Useri ID2(t-1)对应的网络代理信任值;
规则3:将一级识别码已记录且二级识别码未记录的设备视为采用“新端口”的“老设备”,将所述“老设备”的信任值增量
Figure BDA0003611012520000039
定义为:/>
Figure BDA00036110125200000310
其中,σ表示统一的设备置信因子;/>
Figure BDA00036110125200000311
表示设备入网保持正常连接的各端口对应的所有信任值中的最小信任值;/>
Figure BDA00036110125200000312
表示设备j的二级识别码,指代设备j的第k个端口;
规则4:将一级识别码和二级识别码均已记录的设备视为采用“老端口”的“老设备”,将所述“老设备”的信任值增量
Figure BDA0003611012520000041
定义为:/>
Figure BDA0003611012520000042
其中,/>
Figure BDA0003611012520000043
表示所述“老端口”上次在网络中保持正常连接时的信任值。
进一步地,所述统一的用户置信因子ν的计算公式为:
Figure BDA0003611012520000044
其中,Λ为给定的用户置信因子确定函数。
进一步地,所述统一的设备置信因子σ的计算公式为:
Figure BDA0003611012520000045
其中,Ψ为给定的设备置信因子确定函数。
进一步地,所述方法还包括:
在SDP IH与第一级SDP AH建立mTLS连接之后,若所述SDP IH需要继续访问第二级SDP AH,则所述SDP IH以包含临时访问凭据的SPA认证包为数据包负载,通过交换设备向第二级SDP AH发送访问请求,验证通过后经交换设备在所述SDP IH与第二级SDP AH之间建立mTLS连接。
进一步地,若所述SDP IH的信任值大于等于所述服务资源信任阈值,则认为所述SDP IH通过所述第二级SDP AH的验证。
本发明的有益效果:
1)提高了网络安全性,体现在:一是对网络域内拓扑、服务实现了多级隐藏;二是对接入设备实现了身份认证和信任管理;
2)基于将SDPIH强制接入网络代理安全信息库,实现了SPA单包难以承载的多因子信息认证,还避免了恶意节点实施伪装攻击或重放攻击;
3)可实现SDP模型在网络中部署的“快启动”,相比单纯根据SDPIH历史表现的信任授予,从网络代理的用户因子和设备因子方面考虑为其引入信任继承,加速了网络代理对服务资源的访问流程,降低了SDP架构的信任管理时延开销。
附图说明
图1为本发明实施例提供的面向信任增强的网络部署架构的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本发明实施例提供一种面向信任增强的网络部署架构,包括第一级SDP AH和第二级SDP AH;所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间,所述第二级SDPAH串联部署于边缘交换设备和PE之间;所述SDP AH表示SDP应用网关,所述SDP IH表示SDP连接发起主机,所述PE(Provider Edge)表示供应商边缘节点;所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑,所述第二级SDP AH用于向接入的SDP IH隐藏网络服务。
具体地,如图1所示,AH0表示第一级SDP AH,也称为SDP AHent;AH1表示第二级SDPAH,也称为SDP AHser。通过设置SDP AHent,在SDP IH进入网络访问域内交换设备前,就需经SDP AHent请求SDP控制器验证自身身份。PE是用于提供服务的服务终端设备,通过在PE和边缘交换设备之间设置SDP AHser可以向接入的SDP IH隐藏网络服务,防止攻击者掌握服务资源端口等信息。
本发明提供的网络部署架构,其基本思想是:区分网络域入口设备节点和域内服务资源,设置两级SDPAH组件,分别用于保护域内交换设备和域内资源终端设备。
实施例2
本发明实施例提供一种网络访问方法,应用于上述的面向信任增强的网络部署架构,所述方法包括以下步骤:
步骤1:SDP控制器上线,并连接至SDP应用;
步骤2:在SDP控制器和第一级SDP AH之间,以及在SDP控制器和第二级SDP AH之间分别建立mTLS连接;
具体地,两级SDP AH分别串联接入域入口节点和服务资源,默认采取“drop-all”访问策略,丢弃所有来访数据包(但识别SPA敲门数据包,仅对验证通过的予以回应),通过直连交换设备将自身SPA包传至SDP控制器,请求其认证身份,若认证通过,则经交换设备,在SDP控制器和SDP AH间建立mTLS连接。
步骤3:将待接入网络的SDP IH预先接入应用平面的身份认证授权组件,以供所述网络代理身份验证组件读取所述SDP IH的安全信息项并录入网络代理安全信息库;
具体地,某SDP IH接入网络前,需要先将其接入网络代理身份验证组件。所述网络代理安全信息库包括多条网络代理安全信息项。
步骤4:待接入网络的SDP IH向第一级SDP AH发送SPA认证包,以供所述第一级SDPAH通过其连接的域入口交换设备将所述SPA认证包直接转发至SDP控制器;
具体地,SDP IH通过SDP AHent连接至交换设备,将包含自身身份信息的SPA认证包发送至SDP AHent,SDP AHent不予回应,将其通过域入口交换设备节点直接转发至SDP控制器,请求其认证身份并下发访问凭据。
步骤5:SDP控制器接收到所述SPA认证包后,调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH的身份,若认证通过,则向所述SDP IH授权其可访问的SDP AH列表、临时访问凭据及策略;
具体地,SDP控制器调用应用平面身份认证授权组件认证SDP IH身份,为取消默认信任,为身份验证组件中未记录对应一级身份/识别码的用户和设备授予初始信任时,对其授予默认信任值0。若认证通过,则对其授权可访问的SDP AH列表、临时访问凭据及策略,但暂不发送。
步骤6:SDP控制器通过mTLS连接向所述SDP AH列表中的所有SDP AH通告已授权的SDP IH身份、临时访问凭据及策略;
步骤7:第一级SDP AH修改自身包过滤规则,并向所述SDP IH通告其可访问的SDPAH列表、临时访问凭据及策略;
步骤8:所述SDP IH使用所述临时访问凭据和SPA认证包与第一级SDP AH建立mTLS连接,取得域数据平面访问权。
本发明实施例通过将SDPIH强制接入网络代理安全信息库,实现了SPA单包难以承载的多因子信息认证,还避免了恶意节点实施伪装攻击或重放攻击。
实施例3
在上述实施例2的基础上,本发明实施例还提供一种网络访问方法,应用上述的面向信任增强的网络部署架构,该方法与实施例2中的方法的主要区别在于,本发明实施例在调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH的身份的过程中,主要是通过检测所述SDP IH的信任值是否大于等于预设的网络域信任准入阈值,若是,则认证通过;反之,则认证不通过;
具体地,SDP IH的信任值可以采用现有的单纯根据SDPIH历史表现的信任授予。
为了实现SDP模型在网络中部署的“快启动”,加强对待接入域内的SDPIH的安全管控,本发明实施例从网络代理的用户因子和设备因子方面考虑为其引入信任继承。为分别考量网络代理信任中的用户因子与设备因子,本发明实施例根据粒度为用户和设备设置两级身份/识别码,同时对域内所有SDP AH设置信任阈值,设SDP AH m的信任阈值为Thm;其中,用户的一级身份码用于对不同用户ID进行加密标识;用户的二级身份码用于对单个用户的瞬时身份进行标识;设备的一级识别码用于对不同设备进行加密标识,设备的二级识别码用于对单个设备的不同端口进行标识。
作为一种可实施方式,将用户i的所述一级身份码Useri ID1定义为:Useri ID1=HMAC(Keyseed+IDi);将用户i的所述二级身份码Useri ID2定义为:Useri ID2=HMAC(Keyseed+IDi+timestamp);其中,Keyseed为管理员在应用平面的身份认证授权组件中预先设置并定期更换的种子密钥;timestamp为时间戳,可精确到秒,用于为用户身份提供时间因子;IDi标识用户i的唯一ID;HMAC表示基于散列的消息认证码。
需要说明的是,Keyseed无法读取,仅能通过“挑战-响应”机制验证,用户可通过专属身份验证附属硬件使用该Keyseed,也可通过记忆临机使用(事实上Keyseed即使泄露也不会从根本上危及域安全)。IDi可以是用户的18位身份证号码;此外,在具备条件的验证环境下,也可使用用户的生物特征作为用户的唯一ID。
作为一种可实施方式,将设备j的所述一级识别码
Figure BDA0003611012520000081
定义为:
Figure BDA0003611012520000082
将设备j的所述二级识别码/>
Figure BDA0003611012520000083
定义为:
Figure BDA0003611012520000084
其中,IPj、MACj和/>
Figure BDA0003611012520000085
分别为设备j的用于接入第一级SDP AH的IP地址、对应网卡的MAC地址和第k个端口,HMAC表示基于散列的消息认证码。
在上述内容的基础上,按照预设规则计算所述SDP IH的信任值,所述预设规则具体包括:
规则1:SDP控制器读取SPA认证包中的用户的一级身份码或者设备的一级识别码,然后确定在网络代理安全信息库中是否已记录有所述一级身份码或者所述一级识别码;并调用外部信源查看所述用户或所述设备是否存在恶意行为记录;
若已记录且不存在恶意行为记录,则向所述SDP IH赋予信任初值,并授予其可访问的SDP AH列表的访问证书集合CertA及各个访问证书的有效期;其中,所述信任初值大于等于预设的网络域信任准入阈值且小于预设的服务资源信任阈值;
具体地,SDP AH列表可表示为AHA={AHent,AHser1,AHser2,AHser3,...,AHsern};访问证书集合可表示为
Figure BDA0003611012520000086
证书/>
Figure BDA0003611012520000087
的有效期
Figure BDA0003611012520000088
规则2:将一级身份码已记录且不存在恶意行为记录的用户视为“老用户”,将所述“老用户”的信任值增量
Figure BDA0003611012520000089
定义为:/>
Figure BDA00036110125200000810
其中,/>
Figure BDA00036110125200000811
表示信任初值;ν表示统一的用户置信因子;/>
Figure BDA00036110125200000812
表示用户i在最近一段时间间隔的二级身份码Useri ID2(t-1)对应的网络代理信任值;
作为一种可实施方式,所述统一的用户置信因子ν的计算公式为:
Figure BDA00036110125200000813
其中,Λ为给定的用户置信因子确定函数,由具体网络确定。由该计算公式可知:用户置信因子ν由最近一段时间网络中所有用户的信任表现确定,用于保证该网络代理可适度减少验证。
规则3:将一级识别码已记录且二级识别码未记录的设备视为采用“新端口”的“老设备”,将所述“老设备”的信任值增量
Figure BDA0003611012520000091
定义为:/>
Figure BDA0003611012520000092
其中,σ表示统一的设备置信因子;/>
Figure BDA0003611012520000093
表示设备入网保持正常连接的各端口对应的所有信任值中的最小信任值;/>
Figure BDA0003611012520000094
表示设备j的二级识别码,指代设备j的第k个端口;
规则4:将一级识别码和二级识别码均已记录的设备视为采用“老端口”的“老设备”,将所述“老设备”的信任值增量
Figure BDA0003611012520000095
定义为:/>
Figure BDA0003611012520000096
其中,/>
Figure BDA0003611012520000097
表示所述“老端口”上次在网络中保持正常连接时的信任值。
作为一种可实施方式,所述统一的设备置信因子σ的计算公式为:
Figure BDA0003611012520000098
其中,Ψ为给定的设备置信因子确定函数,由具体网络确定。由该计算公式可知:设备置信因子σ由最近一段时间网络中所有接入设备的信任表现确定。
本发明实施例主要按照待接入的SDP IH对应的用户、设备是否与已入域网络代理对应的用户、设备重复,对其进行基于信任继承的信任初值授予,加速了网络代理对服务资源的访问流程,降低了SDP架构的信任管理时延开销,并对接入域内的主机等终端设备增强了基于信任的安全管控。
实施例4
在上述实施例2或3的基础上,若SDP IH想要进一步访问服务资源,还包括以下步骤:
在SDP IH与第一级SDP AH建立mTLS连接之后,若所述SDP IH需要继续访问第二级SDP AH,则所述SDP IH以包含临时访问凭据的SPA认证包为数据包负载,通过交换设备向第二级SDP AH发送访问请求,验证通过后经交换设备在所述SDP IH与第二级SDP AH之间建立mTLS连接。
具体地,若所述SDP IH的信任值大于等于所述服务资源信任阈值,则认为所述SDPIH通过所述第二级SDP AH的验证。此时,正常SDP IH将因验证授权通过而成功访问SDP AH保护的服务资源,如图1中粗实线所示;恶意IH将因无法获取访问凭据而验证失败、无法访问,如图1中细实线所示。
对应实施例1中的两级SDP AH部署模式,本发明实施例提供的网络访问方法对SDPIH设置有两级访问控制机制,即:设置服务资源信任阈值高于网络域信任准入阈值,仅在SDP IH的信任值达到网络域信任准入阈值后,准许其访问交换设备;仅在其信任值达到指定服务资源信任阈值后,准许其访问该服务资源。
此外,需要说明的是,由SDP IH直连的SDP AHent基于其历史行为进行持续信任评估,若SDP IH临时访问凭据到期时其信任值高于自身可信阈值,则允许其信用续租,凭据延期;否则关闭相应mTLS连接,需经SDP控制器重新验证才能恢复连接。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.面向信任增强的网络部署架构的网络访问方法,其特征在于,包括第一级SDP AH和第二级SDP AH;所述第一级SDP AH串联部署于SDP IH和域入口交换设备之间,所述第二级SDP AH串联部署于边缘交换设备和PE之间;所述SDP AH表示SDP应用网关,所述SDP IH表示SDP连接发起主机,所述PE表示供应商边缘节点;所述第一级SDP AH用于向接入的SDP IH隐藏网络拓扑,所述第二级SDP AH用于向接入的SDP IH隐藏网络服务;所述网络访问方法包括:
步骤1:预先为SDP IH对应的用户和设备分别设置两级身份码或识别码,并为域内所有SDP AH设置信任阈值;其中,用户的一级身份码用于对不同用户ID进行加密标识;用户的二级身份码用于对单个用户的瞬时身份进行标识;设备的一级识别码用于对不同设备进行加密标识,设备的二级识别码用于对单个设备的不同端口进行标识;
SDP控制器上线,并连接至SDP应用;
步骤2:在SDP控制器和第一级SDP AH之间,以及在SDP控制器和第二级SDP AH之间分别建立mTLS连接;
步骤3:将待接入网络的SDP IH预先接入应用平面的网络代理身份验证组件,以供所述网络代理身份验证组件读取所述SDP IH的安全信息项并录入网络代理安全信息库;
步骤4:待接入网络的SDP IH向第一级SDP AH发送SPA认证包,以供所述第一级SDP AH通过其连接的域入口交换设备将所述SPA认证包直接转发至SDP控制器;
步骤5:SDP控制器接收到所述SPA认证包后,调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH的身份,若认证通过,则向所述SDP IH授权其可访问的SDP AH列表、临时访问凭据及策略;
步骤6:SDP控制器通过mTLS连接向所述SDP AH列表中的所有SDP AH通告已授权的SDPIH身份、临时访问凭据及策略;
步骤7:第一级SDP AH向所述SDP IH通告其可访问的SDP AH列表、临时访问凭据及策略;
步骤8:所述SDP IH使用所述临时访问凭据和SPA认证包与第一级SDP AH建立mTLS连接。
2.根据权利要求1所述的网络访问方法,其特征在于,将用户i的所述一级身份码Useri ID1定义为:Useri ID1=HMAC(Keyseed+IDi);将用户i的所述二级身份码Useri ID2定义为:Useri ID2=HMAC(Keyseed+IDi+timestamp);其中,Keyseed为管理员在应用平面中身份验证组件中预先设置并定期更换的种子密钥,timestamp为时间戳,IDi标识用户i的唯一ID,HMAC表示基于散列的消息认证码。
3.根据权利要求1所述的网络访问方法,其特征在于,将设备j的所述一级识别码
Figure FDA0004204924760000021
定义为:/>
Figure FDA0004204924760000022
将设备j的所述二级识别码/>
Figure FDA0004204924760000023
定义为:/>
Figure FDA0004204924760000024
其中,IPj、MACj和/>
Figure FDA0004204924760000025
分别为设备j的用于接入第一级SDP AH的IP地址、对应网卡的MAC地址和第k个端口,HMAC表示基于散列的消息认证码。
4.根据权利要求1所述的网络访问方法,其特征在于,步骤5中,所述调用应用平面的身份认证授权组件以供其根据所述SPA认证包认证所述SDP IH身份,具体包括:检测所述SDPIH的信任值是否大于等于预设的网络域信任准入阈值,若是,则认证通过;反之,则认证不通过;其中,按照预设规则计算所述SDP IH的信任值,所述预设规则具体包括:
规则1:SDP控制器读取SPA认证包中的用户的一级身份码或者设备的一级识别码,然后确定在网络代理安全信息库中是否已记录有所述一级身份码或者所述一级识别码;并调用外部信源查看所述用户或所述设备是否存在恶意行为记录;
若已记录且不存在恶意行为记录,则向所述SDP IH赋予信任初值,并授予其可访问的SDP AH列表的访问证书集合CertA及各个访问证书的有效期;其中,所述信任初值大于等于预设的网络域信任准入阈值且小于预设的服务资源信任阈值;
规则2:将一级身份码已记录且不存在恶意行为记录的用户视为“老用户”,将所述“老用户”的信任值增量
Figure FDA0004204924760000026
定义为:/>
Figure FDA0004204924760000027
其中,/>
Figure FDA0004204924760000028
表示信任初值;ν表示统一的用户置信因子;/>
Figure FDA0004204924760000029
表示用户i在最近一段时间间隔的二级身份码Useri ID2(t-1)对应的网络代理信任值;
规则3:将一级识别码已记录且二级识别码未记录的设备视为采用“新端口”的“老设备”,将所述“老设备”的信任值增量
Figure FDA0004204924760000031
定义为:/>
Figure FDA0004204924760000032
其中,σ表示统一的设备置信因子;/>
Figure FDA0004204924760000033
表示设备入网保持正常连接的各端口对应的所有信任值中的最小信任值;/>
Figure FDA0004204924760000034
表示设备j的二级识别码,指代设备j的第k个端口;
规则4:将一级识别码和二级识别码均已记录的设备视为采用“老端口”的“老设备”,将所述“老设备”的信任值增量
Figure FDA0004204924760000035
定义为:/>
Figure FDA0004204924760000036
其中,/>
Figure FDA0004204924760000037
表示所述“老端口”上次在网络中保持正常连接时的信任值。
5.根据权利要求4所述的网络访问方法,其特征在于,所述统一的用户置信因子ν的计算公式为:
Figure FDA0004204924760000038
其中,Λ为给定的用户置信因子确定函数。
6.根据权利要求4所述的网络访问方法,其特征在于,所述统一的设备置信因子σ的计算公式为:
Figure FDA0004204924760000039
其中,Ψ为给定的设备置信因子确定函数。
7.基于权利要求4所述的网络访问方法,其特征在于,还包括:
在SDP IH与第一级SDP AH建立mTLS连接之后,若所述SDP IH需要继续访问第二级SDPAH,则所述SDP IH以包含临时访问凭据的SPA认证包为数据包负载,通过交换设备向第二级SDP AH发送访问请求,验证通过后经交换设备在所述SDP IH与第二级SDP AH之间建立mTLS连接。
8.根据权利要求7所述的网络访问方法,其特征在于,若所述SDP IH的信任值大于等于所述服务资源信任阈值,则认为所述SDP IH通过所述第二级SDP AH的验证。
CN202210428982.9A 2022-04-22 2022-04-22 面向信任增强的网络部署架构及其网络访问方法 Active CN114915534B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210428982.9A CN114915534B (zh) 2022-04-22 2022-04-22 面向信任增强的网络部署架构及其网络访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210428982.9A CN114915534B (zh) 2022-04-22 2022-04-22 面向信任增强的网络部署架构及其网络访问方法

Publications (2)

Publication Number Publication Date
CN114915534A CN114915534A (zh) 2022-08-16
CN114915534B true CN114915534B (zh) 2023-06-16

Family

ID=82764132

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210428982.9A Active CN114915534B (zh) 2022-04-22 2022-04-22 面向信任增强的网络部署架构及其网络访问方法

Country Status (1)

Country Link
CN (1) CN114915534B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116015930B (zh) * 2022-12-30 2024-05-28 四川启睿克科技有限公司 基于工业互联网的零信任接入安全管理系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、系统及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4498132A (en) * 1981-05-22 1985-02-05 Data General Corporation Data processing system using object-based information and a protection scheme for determining access rights to such information and using multilevel microcode techniques
CN108494729B (zh) * 2018-02-07 2019-05-07 北京卓讯科信技术有限公司 一种零信任模型实现系统
CN109561066B (zh) * 2018-10-15 2022-02-01 达闼机器人有限公司 数据处理方法、装置、终端及接入点计算机
CN111490993B (zh) * 2020-04-13 2021-03-30 江苏易安联网络技术有限公司 一种应用访问控制安全系统及方法
CN112134866A (zh) * 2020-09-15 2020-12-25 腾讯科技(深圳)有限公司 业务访问控制方法、装置、系统及计算机可读存储介质
CN112118102A (zh) * 2020-10-21 2020-12-22 国网天津市电力公司 一种电力专用的零信任网络系统
CN114039750B (zh) * 2021-10-26 2023-11-10 中电鸿信信息科技有限公司 一种保护sdp控制器的实现方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、系统及装置

Also Published As

Publication number Publication date
CN114915534A (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
Xu et al. An identity management and authentication scheme based on redactable blockchain for mobile networks
US20170302644A1 (en) Network user identification and authentication
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
JP4861417B2 (ja) 拡張ワンタイム・パスワード方法および装置
CN112039909A (zh) 基于统一网关的认证鉴权方法、装置、设备及存储介质
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
CN109688119B (zh) 一种云计算中的可匿名追踪性身份认证方法
US20080005359A1 (en) Method and apparatus for OS independent platform based network access control
US20080134314A1 (en) Automated security privilege setting for remote system users
Namasudra et al. A new secure authentication scheme for cloud computing environment
US8504824B1 (en) One-time rotating key for third-party authentication
Zargar et al. A lightweight authentication protocol for IoT‐based cloud environment
Alqubaisi et al. Should we rush to implement password-less single factor FIDO2 based authentication?
Zhang et al. EL PASSO: efficient and lightweight privacy-preserving single sign on
CN112769568A (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
CN114915534B (zh) 面向信任增强的网络部署架构及其网络访问方法
CN101764788B (zh) 基于扩展802.1x认证系统的安全接入方法
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
Ferretti et al. Authorization transparency for accountable access to IoT services
US11177958B2 (en) Protection of authentication tokens
CN115486030A (zh) 流氓证书检测
Deeptha et al. Extending OpenID connect towards mission critical applications
US20080060060A1 (en) Automated Security privilege setting for remote system users
Damabi Security analysis of the OpenID financial-grade API
Krishnamoorthy et al. Proposal of HMAC based Protocol for Message Authenication in Kerberos Authentication Protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant