CN115776408B - 基于零信任的单包多级认证方法 - Google Patents

基于零信任的单包多级认证方法 Download PDF

Info

Publication number
CN115776408B
CN115776408B CN202211579131.0A CN202211579131A CN115776408B CN 115776408 B CN115776408 B CN 115776408B CN 202211579131 A CN202211579131 A CN 202211579131A CN 115776408 B CN115776408 B CN 115776408B
Authority
CN
China
Prior art keywords
client
packet
controller
gateway
feedback
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211579131.0A
Other languages
English (en)
Other versions
CN115776408A (zh
Inventor
胡凯
康红娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Cric Technology Co ltd
Original Assignee
Sichuan Cric Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Cric Technology Co ltd filed Critical Sichuan Cric Technology Co ltd
Priority to CN202211579131.0A priority Critical patent/CN115776408B/zh
Publication of CN115776408A publication Critical patent/CN115776408A/zh
Application granted granted Critical
Publication of CN115776408B publication Critical patent/CN115776408B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明基于零信任的单包多级认证方法,涉及网络安全技术领域,通过在SPA包验证通过后,利用控制器发送探测包给客户端,客户端接收探测包后再发送确认包给控制器,控制器认证确认包后,将客户端信息发送到网关,网关接收到客户端信息给控制器发出第一反馈,控制器接收到第一反馈后,发送第二反馈给客户端,客户端接收第二反馈向网关发起连接请求,网关验证连接请求,认证通过后,建立连接,解决了现有技术中SPD存在安全隐患的问题,本发明适用于SDP。

Description

基于零信任的单包多级认证方法
技术领域
本发明涉及网络安全技术领域,特别涉及基于零信任的单包多级认证方法。
背景技术
软件定义边界(Software Defined Perimeter,简称SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构,三大组件:SDP控制器、SDP客户端、SDP网关。企业能够在需要时通过软件的形式部署安全边界,利用单包SPA完成认证机制,即在企业员工访问受保护服务器的DNS或IP之前,要求进行SPA认证,获得身份验证并获得授权。
SDP可实现信息隐藏,并在允许客户端连接到隐藏信息之前使用单包SPA建立信任连接。
现有的SPA认证为:SPD客户端先以UDP的传输方式发一个SPA包到SPD控制器,认证通过后,SPD控制器通知SPD网关打开端口,客户端通过打开的端口和网关建立连接,开始业务。
传统的SPD存在以下问题:SDP控制器发送的单包SPA到SDP控制器,容易导致控制器受UDP的DDOS攻击,无法识别SPA包是真实服务器发出的,还是攻击者伪装地址发出的UDP包。大量的伪装数据会导致控制器不能正常的授权。另外一旦客户端经过控制器认证通过后,客户端访问网关就“畅通无阻”,SPD控制器的单包认证和网关的认证缺少关联性。
发明内容
本发明所解决的技术问题:提供一种基于零信任的单包多级认证方法,解决现有技术中SPD存在安全隐患的问题。
本发明解决上述技术问题采用的技术方案:基于零信任的单包多级认证方法,包括以下步骤:
S01、客户端发送SPA包到控制器;
S02、控制器接收SPA包,验证通过后,发送探测包到客户端;
S03、客户端接收所述探测包,并发送确认包到控制器,所述探测包和确认包用于判断客户端的有效性;
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
S08、网关验证客户端的连接请求,认证通过后,建立连接。
进一步的,所述SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息。
进一步的,所述探测包包括从空闲协议端口中选取的一个端口。
进一步的,所述客户端信息包括SPA包中的身份信息和选取的协议端口。
进一步的,所述第一反馈和第二反馈中均包含网关的IP地址和网关的端口。
进一步的,所述探测包包括第一标识符,所述确认包包括第二标识符,所述第一标识符与第二标识符的关系存储在客户端和控制器中。
进一步的,所述第一标识符与第二标识符的关系为:第二标识符等于第一标识符加或减N,所述N为整数。
本发明的有益效果:本发明基于零信任的单包多级认证方法,通过在SPA包验证通过后,利用控制器发送探测包给客户端,客户端接收探测包后再发送确认包给控制器,控制器认证确认包后,将客户端信息发送到网关,网关接收到客户端信息给控制器发出第一反馈,控制器接收到第一反馈后,发送第二反馈给客户端,客户端接收第二反馈向网关发起连接请求,网关验证连接请求,认证通过后,建立连接,解决了现有技术中SPD存在安全隐患的问题,提高了SPD安全性。
附图说明
附图1是本发明基于零信任的单包多级认证方法的流程示意图。
具体实施方式
本发明基于零信任的单包多级认证方法,如附图1所示,包括以下步骤:
S01、客户端发送SPA包到控制器;
具体的,SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息等用于确定身份的信息,如:用户身份信息包括用户ID或用户名称等,客户端设备信息包括客户端名称或客户端IP地址等。
S02、控制器接收SPA包,验证通过后,发送探测包到客户端;
具体的,探测包包括从客户端空闲协议端口中选取的一个端口和第一标识符,特别的,第一标识符可以是随机生成的二进制数字。
S03、客户端接收所述探测包,并发送确认包到控制器,所述探测包和确认包用于判断客户端的有效性;
具体的,所述确认包中包括第二标识符,客户端和控制器中存储有第一标识符与第二标识符的关系,如:第二标识符等于第一标识符加或减N,所述N为整数,或者设定一个固定值,第二标识符等于第一标识符与所述固定值的与运算、或运算或者非运算。以此,控制器根据发送的第一标识符计算出其应该收到的第二标识符,从而可以通过确认包中的第二标识符判断出客户端是否为有效的客户端,从而判断出客户端的真假,即判断客户端的有效性。
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
具体的,所述客户端信息包括SPA包中的身份信息和选取的协议端口,以此告知网关,身份信息以及采用的协议端口。
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
具体的,所述第一反馈包括网关IP地址以及网关的端口,以此,提供给客户端连接请求使用。
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
具体的,第二反馈中包含网关的IP地址和网关的端口,控制器接收到第一反馈后,将第一反馈中的网关IP地址和网关的端口告知客户端,以此实现隐藏网关IP的功能,提高了安全性。
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
具体的,客户端从第二反馈中获得网关的IP地址、网关的端口,以此,通过选取的客户端空闲协议端口向网关发送连接请求,所述连接请求包括身份信息。
S08、网关验证客户端的连接请求,认证通过后,建立连接。
具体的,网关通过连接请求,确认身份信息和客户端协议端口,如果与控制器下发的客户端信息中的SPA包中的身份信息和选取的协议端口均相同,则认证通过,建立连接。
本发明基于零信任的单包多级认证方法,通过SPA认证、确认包认证和网关认证实现多级认证,并且SPA认证、确认包认证和网关认证之间具备相关性,所述相关性体现在协议端口上,以及隐藏了网关的IP地址和网关端口,提高了SPD的安全性。

Claims (5)

1.基于零信任的单包多级认证方法,应用于SDP,所述SDP包括客户端、控制器和网关,其特征在于,包括以下步骤:
S01、客户端发送SPA包到控制器;
S02、控制器接收SPA包,验证通过后,发送探测包到客户端,所述探测包包括第一标识符;
S03、客户端接收所述探测包,并发送确认包到控制器,所述确认包包括第二标识符,所述第一标识符与第二标识符的关系存储在客户端和控制器中,所述第一标识符与第二标识符的关系为:第二标识符等于第一标识符加或减N,所述N为整数,所述探测包和确认包用于判断客户端的有效性;
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
S08、网关验证客户端的连接请求,认证通过后,建立连接。
2.根据权利要求1所述的基于零信任的单包多级认证方法,其特征在于,所述SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息。
3.根据权利要求2所述的基于零信任的单包多级认证方法,其特征在于,所述探测包包括从空闲协议端口中选取的一个端口。
4.根据权利要求3所述的基于零信任的单包多级认证方法,其特征在于,所述客户端信息包括SPA包中的身份信息和选取的协议端口。
5.根据权利要求4所述的基于零信任的单包多级认证方法,其特征在于,所述第一反馈和第二反馈中均包含网关的IP地址和网关的端口。
CN202211579131.0A 2022-12-08 2022-12-08 基于零信任的单包多级认证方法 Active CN115776408B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211579131.0A CN115776408B (zh) 2022-12-08 2022-12-08 基于零信任的单包多级认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211579131.0A CN115776408B (zh) 2022-12-08 2022-12-08 基于零信任的单包多级认证方法

Publications (2)

Publication Number Publication Date
CN115776408A CN115776408A (zh) 2023-03-10
CN115776408B true CN115776408B (zh) 2024-05-14

Family

ID=85391793

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211579131.0A Active CN115776408B (zh) 2022-12-08 2022-12-08 基于零信任的单包多级认证方法

Country Status (1)

Country Link
CN (1) CN115776408B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770090A (zh) * 2020-06-29 2020-10-13 深圳市联软科技股份有限公司 一种单包授权方法及系统
CN112261067A (zh) * 2020-12-21 2021-01-22 江苏易安联网络技术有限公司 一种多级单包授权的方法及系统
CN113794739A (zh) * 2021-11-16 2021-12-14 北京邮电大学 针对中间人攻击的双层主动防御的方法及装置
CN113810347A (zh) * 2020-06-16 2021-12-17 中国电信股份有限公司 Sdp架构下服务模式的切换方法和系统
CN114039750A (zh) * 2021-10-26 2022-02-11 中电鸿信信息科技有限公司 一种保护sdp控制器的实现方法
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质
CN115174264A (zh) * 2022-08-03 2022-10-11 远江盛邦(北京)网络安全科技股份有限公司 一种安全优化的单包认证方法及系统
CN115333840A (zh) * 2022-08-15 2022-11-11 中国电信股份有限公司 资源访问方法、系统、设备及存储介质
CN115442100A (zh) * 2022-08-29 2022-12-06 北京从云科技有限公司 基于多节点零信任网关的数据访问方法及相关设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11558184B2 (en) * 2020-08-09 2023-01-17 Perimeter 81 Ltd Unification of data flows over network links with different internet protocol (IP) addresses
US20220345446A1 (en) * 2021-04-21 2022-10-27 Avaya Management L.P. Session initiation protocol (sip) authentication and registration in software defined perimeter (sdp) networks

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810347A (zh) * 2020-06-16 2021-12-17 中国电信股份有限公司 Sdp架构下服务模式的切换方法和系统
CN111770090A (zh) * 2020-06-29 2020-10-13 深圳市联软科技股份有限公司 一种单包授权方法及系统
CN112261067A (zh) * 2020-12-21 2021-01-22 江苏易安联网络技术有限公司 一种多级单包授权的方法及系统
CN114039750A (zh) * 2021-10-26 2022-02-11 中电鸿信信息科技有限公司 一种保护sdp控制器的实现方法
CN113794739A (zh) * 2021-11-16 2021-12-14 北京邮电大学 针对中间人攻击的双层主动防御的方法及装置
CN114978773A (zh) * 2022-07-27 2022-08-30 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法及系统
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质
CN115174264A (zh) * 2022-08-03 2022-10-11 远江盛邦(北京)网络安全科技股份有限公司 一种安全优化的单包认证方法及系统
CN115333840A (zh) * 2022-08-15 2022-11-11 中国电信股份有限公司 资源访问方法、系统、设备及存储介质
CN115442100A (zh) * 2022-08-29 2022-12-06 北京从云科技有限公司 基于多节点零信任网关的数据访问方法及相关设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"零信任"在云化业务中的安全技术研究;杨正权;靳明星;张晓东;;信息安全与通信保密;20200310(03);全文 *
R. Wang等."Anonymous Authentication and Application Stealth Scheme for Mobile Network Based on SPA,".《2022 IEEE 2nd International Conference on Power, Electronics and Computer Applications (ICPECA)》.2022,全文. *

Also Published As

Publication number Publication date
CN115776408A (zh) 2023-03-10

Similar Documents

Publication Publication Date Title
US7565554B2 (en) Method and system for a service process to provide a service to a client
Patel et al. Securing L2TP using IPsec
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
US8800001B2 (en) Network authentication method, method for client to request authentication, client, and device
US7069438B2 (en) Establishing authenticated network connections
Aboba et al. RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP)
JP4376711B2 (ja) アクセス管理方法及びその装置
US8054761B2 (en) Providing security between network elements in a network
WO2010048865A1 (zh) 一种防止网络攻击的方法及装置
JP2010086529A (ja) 連続する再認証を必要としないsipシグナリング
US8880891B2 (en) Method, system and apparatus for establishing communication
CN114726513A (zh) 数据传输方法、设备、介质及产品
CN113612790A (zh) 基于设备身份预认证的数据安全传输方法及装置
CN111416824B (zh) 一种网络接入认证控制系统
CN113645115B (zh) 虚拟专用网络接入方法和系统
CN115776408B (zh) 基于零信任的单包多级认证方法
CN115801347A (zh) 一种基于单包授权技术增强网络安全的方法和系统
Deng et al. Advanced flooding attack on a SIP server
US7860977B2 (en) Data communication system and method
CN116887266B (zh) 车辆数据访问方法、电子设备及计算机可读存储介质
Aboba et al. RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)
Patel et al. RFC3193: Securing L2TP using IPsec
CN117395069A (zh) 一种无固定ip客户端间的加密传输方法及传输平台
CN117857105A (zh) 一种通信方法、系统、装置、电子设备及存储介质
CN117155668A (zh) 一种信息的发送方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant