CN115776408B - 基于零信任的单包多级认证方法 - Google Patents
基于零信任的单包多级认证方法 Download PDFInfo
- Publication number
- CN115776408B CN115776408B CN202211579131.0A CN202211579131A CN115776408B CN 115776408 B CN115776408 B CN 115776408B CN 202211579131 A CN202211579131 A CN 202211579131A CN 115776408 B CN115776408 B CN 115776408B
- Authority
- CN
- China
- Prior art keywords
- client
- packet
- controller
- gateway
- feedback
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000012790 confirmation Methods 0.000 claims abstract description 17
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 6
- 239000000523 sample Substances 0.000 claims description 4
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明基于零信任的单包多级认证方法,涉及网络安全技术领域,通过在SPA包验证通过后,利用控制器发送探测包给客户端,客户端接收探测包后再发送确认包给控制器,控制器认证确认包后,将客户端信息发送到网关,网关接收到客户端信息给控制器发出第一反馈,控制器接收到第一反馈后,发送第二反馈给客户端,客户端接收第二反馈向网关发起连接请求,网关验证连接请求,认证通过后,建立连接,解决了现有技术中SPD存在安全隐患的问题,本发明适用于SDP。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及基于零信任的单包多级认证方法。
背景技术
软件定义边界(Software Defined Perimeter,简称SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构,三大组件:SDP控制器、SDP客户端、SDP网关。企业能够在需要时通过软件的形式部署安全边界,利用单包SPA完成认证机制,即在企业员工访问受保护服务器的DNS或IP之前,要求进行SPA认证,获得身份验证并获得授权。
SDP可实现信息隐藏,并在允许客户端连接到隐藏信息之前使用单包SPA建立信任连接。
现有的SPA认证为:SPD客户端先以UDP的传输方式发一个SPA包到SPD控制器,认证通过后,SPD控制器通知SPD网关打开端口,客户端通过打开的端口和网关建立连接,开始业务。
传统的SPD存在以下问题:SDP控制器发送的单包SPA到SDP控制器,容易导致控制器受UDP的DDOS攻击,无法识别SPA包是真实服务器发出的,还是攻击者伪装地址发出的UDP包。大量的伪装数据会导致控制器不能正常的授权。另外一旦客户端经过控制器认证通过后,客户端访问网关就“畅通无阻”,SPD控制器的单包认证和网关的认证缺少关联性。
发明内容
本发明所解决的技术问题:提供一种基于零信任的单包多级认证方法,解决现有技术中SPD存在安全隐患的问题。
本发明解决上述技术问题采用的技术方案:基于零信任的单包多级认证方法,包括以下步骤:
S01、客户端发送SPA包到控制器;
S02、控制器接收SPA包,验证通过后,发送探测包到客户端;
S03、客户端接收所述探测包,并发送确认包到控制器,所述探测包和确认包用于判断客户端的有效性;
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
S08、网关验证客户端的连接请求,认证通过后,建立连接。
进一步的,所述SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息。
进一步的,所述探测包包括从空闲协议端口中选取的一个端口。
进一步的,所述客户端信息包括SPA包中的身份信息和选取的协议端口。
进一步的,所述第一反馈和第二反馈中均包含网关的IP地址和网关的端口。
进一步的,所述探测包包括第一标识符,所述确认包包括第二标识符,所述第一标识符与第二标识符的关系存储在客户端和控制器中。
进一步的,所述第一标识符与第二标识符的关系为:第二标识符等于第一标识符加或减N,所述N为整数。
本发明的有益效果:本发明基于零信任的单包多级认证方法,通过在SPA包验证通过后,利用控制器发送探测包给客户端,客户端接收探测包后再发送确认包给控制器,控制器认证确认包后,将客户端信息发送到网关,网关接收到客户端信息给控制器发出第一反馈,控制器接收到第一反馈后,发送第二反馈给客户端,客户端接收第二反馈向网关发起连接请求,网关验证连接请求,认证通过后,建立连接,解决了现有技术中SPD存在安全隐患的问题,提高了SPD安全性。
附图说明
附图1是本发明基于零信任的单包多级认证方法的流程示意图。
具体实施方式
本发明基于零信任的单包多级认证方法,如附图1所示,包括以下步骤:
S01、客户端发送SPA包到控制器;
具体的,SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息等用于确定身份的信息,如:用户身份信息包括用户ID或用户名称等,客户端设备信息包括客户端名称或客户端IP地址等。
S02、控制器接收SPA包,验证通过后,发送探测包到客户端;
具体的,探测包包括从客户端空闲协议端口中选取的一个端口和第一标识符,特别的,第一标识符可以是随机生成的二进制数字。
S03、客户端接收所述探测包,并发送确认包到控制器,所述探测包和确认包用于判断客户端的有效性;
具体的,所述确认包中包括第二标识符,客户端和控制器中存储有第一标识符与第二标识符的关系,如:第二标识符等于第一标识符加或减N,所述N为整数,或者设定一个固定值,第二标识符等于第一标识符与所述固定值的与运算、或运算或者非运算。以此,控制器根据发送的第一标识符计算出其应该收到的第二标识符,从而可以通过确认包中的第二标识符判断出客户端是否为有效的客户端,从而判断出客户端的真假,即判断客户端的有效性。
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
具体的,所述客户端信息包括SPA包中的身份信息和选取的协议端口,以此告知网关,身份信息以及采用的协议端口。
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
具体的,所述第一反馈包括网关IP地址以及网关的端口,以此,提供给客户端连接请求使用。
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
具体的,第二反馈中包含网关的IP地址和网关的端口,控制器接收到第一反馈后,将第一反馈中的网关IP地址和网关的端口告知客户端,以此实现隐藏网关IP的功能,提高了安全性。
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
具体的,客户端从第二反馈中获得网关的IP地址、网关的端口,以此,通过选取的客户端空闲协议端口向网关发送连接请求,所述连接请求包括身份信息。
S08、网关验证客户端的连接请求,认证通过后,建立连接。
具体的,网关通过连接请求,确认身份信息和客户端协议端口,如果与控制器下发的客户端信息中的SPA包中的身份信息和选取的协议端口均相同,则认证通过,建立连接。
本发明基于零信任的单包多级认证方法,通过SPA认证、确认包认证和网关认证实现多级认证,并且SPA认证、确认包认证和网关认证之间具备相关性,所述相关性体现在协议端口上,以及隐藏了网关的IP地址和网关端口,提高了SPD的安全性。
Claims (5)
1.基于零信任的单包多级认证方法,应用于SDP,所述SDP包括客户端、控制器和网关,其特征在于,包括以下步骤:
S01、客户端发送SPA包到控制器;
S02、控制器接收SPA包,验证通过后,发送探测包到客户端,所述探测包包括第一标识符;
S03、客户端接收所述探测包,并发送确认包到控制器,所述确认包包括第二标识符,所述第一标识符与第二标识符的关系存储在客户端和控制器中,所述第一标识符与第二标识符的关系为:第二标识符等于第一标识符加或减N,所述N为整数,所述探测包和确认包用于判断客户端的有效性;
S04、控制器接收确认包,认证通过后,控制器下发客户端信息到网关;
S05、网关接收到所述客户端信息,发送第一反馈给控制器;
S06、控制器接收到第一反馈后,发送第二反馈发送给客户端;
S07、客户端接收第二反馈,并根据第二反馈向网关发起连接请求;
S08、网关验证客户端的连接请求,认证通过后,建立连接。
2.根据权利要求1所述的基于零信任的单包多级认证方法,其特征在于,所述SPA包包括客户端空闲协议端口和身份信息,所述身份信息包括用户身份信息和/或客户端设备信息。
3.根据权利要求2所述的基于零信任的单包多级认证方法,其特征在于,所述探测包包括从空闲协议端口中选取的一个端口。
4.根据权利要求3所述的基于零信任的单包多级认证方法,其特征在于,所述客户端信息包括SPA包中的身份信息和选取的协议端口。
5.根据权利要求4所述的基于零信任的单包多级认证方法,其特征在于,所述第一反馈和第二反馈中均包含网关的IP地址和网关的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211579131.0A CN115776408B (zh) | 2022-12-08 | 2022-12-08 | 基于零信任的单包多级认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211579131.0A CN115776408B (zh) | 2022-12-08 | 2022-12-08 | 基于零信任的单包多级认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115776408A CN115776408A (zh) | 2023-03-10 |
| CN115776408B true CN115776408B (zh) | 2024-05-14 |
Family
ID=85391793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211579131.0A Active CN115776408B (zh) | 2022-12-08 | 2022-12-08 | 基于零信任的单包多级认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115776408B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111770090A (zh) * | 2020-06-29 | 2020-10-13 | 深圳市联软科技股份有限公司 | 一种单包授权方法及系统 |
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及系统 |
| CN113794739A (zh) * | 2021-11-16 | 2021-12-14 | 北京邮电大学 | 针对中间人攻击的双层主动防御的方法及装置 |
| CN113810347A (zh) * | 2020-06-16 | 2021-12-17 | 中国电信股份有限公司 | Sdp架构下服务模式的切换方法和系统 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN114978773A (zh) * | 2022-07-27 | 2022-08-30 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种单包认证方法及系统 |
| CN115065553A (zh) * | 2022-07-27 | 2022-09-16 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种单包认证方法、装置、电子设备及存储介质 |
| CN115174264A (zh) * | 2022-08-03 | 2022-10-11 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种安全优化的单包认证方法及系统 |
| CN115333840A (zh) * | 2022-08-15 | 2022-11-11 | 中国电信股份有限公司 | 资源访问方法、系统、设备及存储介质 |
| CN115442100A (zh) * | 2022-08-29 | 2022-12-06 | 北京从云科技有限公司 | 基于多节点零信任网关的数据访问方法及相关设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558184B2 (en) * | 2020-08-09 | 2023-01-17 | Perimeter 81 Ltd | Unification of data flows over network links with different internet protocol (IP) addresses |
| US20220345446A1 (en) * | 2021-04-21 | 2022-10-27 | Avaya Management L.P. | Session initiation protocol (sip) authentication and registration in software defined perimeter (sdp) networks |
-
2022
- 2022-12-08 CN CN202211579131.0A patent/CN115776408B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810347A (zh) * | 2020-06-16 | 2021-12-17 | 中国电信股份有限公司 | Sdp架构下服务模式的切换方法和系统 |
| CN111770090A (zh) * | 2020-06-29 | 2020-10-13 | 深圳市联软科技股份有限公司 | 一种单包授权方法及系统 |
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及系统 |
| CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
| CN113794739A (zh) * | 2021-11-16 | 2021-12-14 | 北京邮电大学 | 针对中间人攻击的双层主动防御的方法及装置 |
| CN114978773A (zh) * | 2022-07-27 | 2022-08-30 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种单包认证方法及系统 |
| CN115065553A (zh) * | 2022-07-27 | 2022-09-16 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种单包认证方法、装置、电子设备及存储介质 |
| CN115174264A (zh) * | 2022-08-03 | 2022-10-11 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种安全优化的单包认证方法及系统 |
| CN115333840A (zh) * | 2022-08-15 | 2022-11-11 | 中国电信股份有限公司 | 资源访问方法、系统、设备及存储介质 |
| CN115442100A (zh) * | 2022-08-29 | 2022-12-06 | 北京从云科技有限公司 | 基于多节点零信任网关的数据访问方法及相关设备 |
Non-Patent Citations (2)
| Title |
|---|
| "零信任"在云化业务中的安全技术研究;杨正权;靳明星;张晓东;;信息安全与通信保密;20200310(03);全文 * |
| R. Wang等."Anonymous Authentication and Application Stealth Scheme for Mobile Network Based on SPA,".《2022 IEEE 2nd International Conference on Power, Electronics and Computer Applications (ICPECA)》.2022,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115776408A (zh) | 2023-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7565554B2 (en) | Method and system for a service process to provide a service to a client | |
| Patel et al. | Securing L2TP using IPsec | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US7069438B2 (en) | Establishing authenticated network connections | |
| Aboba et al. | RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP) | |
| JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
| US8054761B2 (en) | Providing security between network elements in a network | |
| WO2010048865A1 (zh) | 一种防止网络攻击的方法及装置 | |
| US8880891B2 (en) | Method, system and apparatus for establishing communication | |
| CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
| CN113612790A (zh) | 基于设备身份预认证的数据安全传输方法及装置 | |
| CN111416824B (zh) | 一种网络接入认证控制系统 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| CN115776408B (zh) | 基于零信任的单包多级认证方法 | |
| CN115801347A (zh) | 一种基于单包授权技术增强网络安全的方法和系统 | |
| Deng et al. | Advanced flooding attack on a SIP server | |
| US7860977B2 (en) | Data communication system and method | |
| Aboba et al. | RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP) | |
| CN116887266B (zh) | 车辆数据访问方法、电子设备及计算机可读存储介质 | |
| EP3907967A1 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
| Patel et al. | RFC3193: Securing L2TP using IPsec | |
| CN117395069A (zh) | 一种无固定ip客户端间的加密传输方法及传输平台 | |
| CN117857105A (zh) | 一种通信方法、系统、装置、电子设备及存储介质 | |
| CN117155668A (zh) | 一种信息的发送方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |