CN116760633B - 一种安全可信物理网网关的实现方法 - Google Patents
一种安全可信物理网网关的实现方法 Download PDFInfo
- Publication number
- CN116760633B CN116760633B CN202311006632.4A CN202311006632A CN116760633B CN 116760633 B CN116760633 B CN 116760633B CN 202311006632 A CN202311006632 A CN 202311006632A CN 116760633 B CN116760633 B CN 116760633B
- Authority
- CN
- China
- Prior art keywords
- access
- sdp
- authentication
- client
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000013475 authorization Methods 0.000 claims abstract description 52
- 238000011217 control strategy Methods 0.000 claims abstract description 29
- 238000004891 communication Methods 0.000 claims abstract description 14
- 230000000977 initiatory effect Effects 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 21
- 238000011156 evaluation Methods 0.000 claims description 13
- 230000006399 behavior Effects 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 8
- 230000003213 activating effect Effects 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 238000012502 risk assessment Methods 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 45
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000010419 fine particle Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000009440 infrastructure construction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全可信物理网网关的实现方法,该方法包括:通过客户端向SDP准入网关发起客户认证请求,使SDP准入网关向策略管控服务中心发起敲门单包认证请求;将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证;建立SDP访问网关与客户端的网络通道并告知策略管控服务中心;通过加密通道向SDP访问网关开通网络通信连接,并告知SDP控制器;通过SDP控制器进行身份认证与业务授权;通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息,客户端与SDP控制器建立安全TLS隧道连接,并按业务权限开通业务访问控制;通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种安全可信物理网网关的实现方法。
背景技术
当前,数字经济是经济转型升级的重要方向,随着5G、人工智能等新技术、新业态、新平台蓬勃兴起时代,推进数字产业化、产业数字化,推动数字技术同经济社会发展深度融合。
智慧城市是未来城市的发展方向,新型基础设施建设是智慧城市的重要支撑,为智慧城市装备物联化、互联化、智能化三大技术体系,并将物联网感知体系、万物智联的“一张网”与“城市大脑”等OICT深度融合等智能化手段引入城市运行管理中,从而提升城市管理水平。
随着经济转型与升级,物联网作为新型ICT基础设施,以惊人的速度发展。并且通过遥感技术、卫星定位、射频识别技术(RFID)、传感器及摄像头等多种感知技术,对城市各种信息的透彻感知和度量、泛在接入和互联以及智能分析和共享,推进交通、能源、给排水、环保、应急等城市基础设施智慧化建设;实现人、机、物、系统等全要素互联互通,支撑生产制造、管理控制智能化发展。
物联网感知设备数量巨大,分布广泛,存在漏洞极易被黑客利用,网络安全问题也逐渐凸显出来。
目前,物联网边端设备一般是通过物联网网关接入物联网网络中,从而与物联网网络中各物联网节点进行通信,由于缺少安全认证,或者采用简单的认证方式,物联网设备可以任意访问物联网节点,对物联网边端造成了威胁。
物联网的感知层是物联网末梢实现感知工作的重要媒介,存在着类型种类多与数量规模也都比较大,需要大量的传感器装置,按约定的协议实现人与人、人与物、物与物之间全面互联网络;并且,通过信息传感设备等方式获取物理世界的各种信息。
目前,物联网设备接入到系统时,可通过基于简单网络协议的 MAC 地址认证方法,降低了终端设备复杂度,并简化认证过程,虽一定程度上加强了设备接入的安全性,但无法杜绝“IP地址盗用和地址欺骗”安全隐患。
针对物联网网关具有广泛的接入能力、可管理能力和协议转换能力,将成为连接感知网络与传统通信网络的纽带。
传统物联网设备采用简单的接入认证方式,可以降低网管系统的认证负载和业务访问的便利性, 这种“先连接后验证,来者都是客”的特性,不可避免的将网络资产与网络设施暴露在公网下。
虽然其便利性加快了互联网/物联网的发展,但随着现有互联网技术的发展,其安全问题越来越多。暴露在公网下的网络资产与设施,非常容易受到网络攻击而导致服务终端、数据被窃取,信息泄露等问题。
首先,传统先连接后认证与验证的方式,存在着关键网络资产及设施不可避免的暴露在互联网环境中而不受保护,包括IP地址,端口等;而互联网资产暴露面包括开放的网站、系统、应用、APP接口等。
第二,网络资产本身不一定存在安全问题,但是暴露在互联网下则增加了安全风险,在传统的网络架构中,使用防火墙来建立一堵墙将组织网络框起来变成内网,但是防火墙本身也成为了内外网之间的弱环所在。
同时,随着业务上云的发展,网络边界模糊,防火墙的作用也逐渐变小,提供服务的应用端口由于业务使用动态需求始终是暴露在互联网下的。这种网络资产及设施暴露在公网下,会直面互联网上的各类安全威胁,譬如DDOS攻击,端口扫描,暴力破解等。
第三,缺失安全准入机制,在传统网络向新一代网络环境演变过程中,对于互联网使用过程的各项安全管理机制,大多数情况下仍然是沿用原有的管理机制。对于新的网络环境及用户需求来说,这是不能满足业务需求的。
发明内容
本发明提供了一种安全可信物理网网关的实现方法,解决现有技术先连接后认证与验证、网络资产暴露在互联网下增加了安全风险、缺失安全准入机制的问题。
为解决上述问题,一方面,本发明提供一种安全可信物理网网关的实现方法,包括:
通过客户端向SDP准入网关发起客户认证请求,依据所述客户认证请求使SDP准入网关向策略管控服务中心发起敲门单包认证请求;
在策略管控服务中心收到SDP准入网关的敲门单包认证请求后,将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证;
通过身份鉴权及认证之后,建立SDP访问网关与客户端的网络通道并告知策略管控服务中心;
通过加密通道向SDP访问网关开通网络通信连接,并告知SDP控制器;
通过SDP控制器进行身份认证与业务授权;
通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息,核对通过后,客户端与SDP控制器建立安全TLS隧道连接,并按业务权限开通业务访问控制;
通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制。
所述在策略管控服务中心收到SDP准入网关的敲门单包认证请求后,将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证,包括:
在接收到SDP准入网关发出的敲门单包认证请求并验证合法之后,对所述客户端的IP开放指定端口;
根据实际需要授权客户端预设时间的访问权限;
通过SDP控制器实时对访问连接监控以于发现威胁时立刻中断连接;
将认证消息存放在Packet-data中传输给服务器,动态调整防火墙策略或执行特定命令,敲门单包认证请求的数据包使用UDP或TCP协议发起认证。
所述将认证消息存放在Packet-data中传输给服务器,动态调整防火墙策略或执行特定命令,敲门单包认证请求的数据包使用UDP或TCP协议发起认证,包括:
客户端在发包时通过共享密钥和随机数,经过基于RFC4266定义的HOTP算法计算出SPA密钥,与终端标识、随机数、时间戳、客户端IP及端口打包成UDP数据包并发送到服务器指定敲门端口;
服务器根据接收到UDP数据包中的时间戳、客户端IP以及服务器内部存储的服务密码计算出SPA密钥,并将SPA密钥与预设的哈希值进行对比,如果相同,则为客户端打开申请访问的服务端口;
服务器将记录所收到的最后一个有效授权的UDP数据包以防止攻击者发送旧的数据包进行重放攻击;如果哈希值不匹配或者与此前收到的有效SPA密钥相同,则不执行任何操作。
所述通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制,包括:
根据SDP控制器的策略与客户端建立数据传输的加密通道,并在敲门单包认证请求通过后,打开SDP访问网关的激活策略;
在敲门单包认证请求通过后,打开并激活客户端的可连接网络策略,并开启访问控制策略;
SDP访问网关与客户端为双向认证;
设置动态防火墙;
执行SDP访问网关。
所述执行SDP访问网关,包括:
通过SDP访问网关进行认证管理;
通过SDP访问网关进行动态最小化权限控制,根据策略中心下发的权限策略,实时最小化细粒度权限控制,可根据预设的信任评估等级,激活或关闭访问控制策略;
通过SDP访问网关执行访问控制策略;
基于策略的访问控制支持动态运行时授权和管理态授权;
基于主体、客体和环境属性实现角色的动态映射和过滤机制,激活权限基线检查;
通过SDP访问网关进行文件类型/内容的识别及过滤。
还包括:
执行策略管控服务中心;
执行SDP控制器。
所述执行策略管控服务中心,包括:
将用户和资源按照配置进行分组;
根据风险评估给出的分析结果实时调整用户的资源访问权限。
所述执行SDP控制器,包括:
对企业内网用户身份管理与访问控制策略预置与执行,与用户身份管理系统对接以便对用户请求进行身份验证和授权验证;
通过身份认证的方式进行身份验证,并建立物联网设备和企业内网计算资源之间的加密隧道,为物联网前端请求的被授权的特定资源提供访问权限。
所述执行SDP控制器,还包括:
为用户颁发数字证书和身份密钥;
对用户和终端认证,基于用户和应用的可信度生成动态权限;
根据用户权限以及策略规范生成用户访问权限,生成安全隧道策略,并下发到客户端和网关;
对用户、应用进行持续可信评估;根据评估结果动态调整用户权限,并对用户的接入、访问等行为进行全面的统计分析;
为本地网络隐蔽业务系统资源,并提供动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,对异常访问行为进行阻断;
抵御网络攻击;
设置SPA认证前置条件,未经过SPA认证的非可信终端无法访问控制器,控制器对其服务隐藏;
对设备身份标识管理,设置主体对客体的访问权限。
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种安全可信物理网网关的实现方法。
本发明的有益效果是:防止无权限的终端接入被保护的网络,访问被保护的应用,避免引起的内网安全威胁,保护在终端上的敏感业务数据不被泄露。具体包括以下有益效果:
第一,边缘端授权认证,采用物联网感知设备MAC标识与IP地址,联合接入控制器的网络标识信息与就近策略中心实现授权认证,认证方式可选择以产生随机串以挑战应答方式,或者单包授权认证SPA方式,只有通过授权认证,边缘端才能入网访问。
1.资产隐藏,结合动态防火墙、SPA单包认证等功能实现了重要服务与资产的隐藏,减少攻击暴露面,通过先认证,再连接方式保障了整体架构安全;
2.抵御网络攻击,默认全关闭访问控制策略,针对非授信用户或黑客等非法用户不开放任何访问IP及端口,黑客无法攻击其不可视的网络资产及目标,进而可以防止非法的端口扫描、SQL注入、暴力破解、DDOS攻击、APT渗入等典型攻击行为;
第二,以用户权限为中心,传统网络准入和控制是以网络为中心,默认外网即防火墙外部为非授信访问,而防火墙内部即内网为授信访问,然而70%的网络攻击或数据泄露都是由内网发起,本发明所涉及安全可信网关装置,采用了零信任安全架构,以用户权限为中心,通过身份可信管控(IAM),包含敲门认证、身份管理、集中权限管理、集中业务管控、全面审计能力,实施了自适应的访问控制,使无论内网还是外网都应先对身份及权限进行验证,实现用户最小化权限访问控制。
第三,简化安全运维,SDP通过集中控制器对全网的网关及访问策略进行集中管理,减少原有防火墙ACL策略的维护工作,极大简化安全运维人员日常工作。
1.持续监测与评估,持续对网络安全监测和信任评估功能:支持根据访问主体、通信链路、资源反馈的信息等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
2.动态访问控制策略引擎,根据用户不同,数据不用,应用系统不同等种种差异化需求,通过动态访问控制策略,实现快速建立安全防御策略,准入策略,提高整体网络环境的安全防护可用性。
第四,满足等保要求。企业需要花费大量人力、物力购买各种昂贵的安全防护设备以满足等保合规要求,通过SDP方案可以从多个维度满足等保合规要求,如安全访问控制、运维安全审计、抵御各种网络攻击等,进而最小成本快速满足合规要求。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种安全可信物理网网关的实现方法的流程图;
图2是本发明一实施例提供的网络标识单包授权认证实现安全可信物联网网关的步骤示意图;
图3是本发明一实施例提供的单包授权数据包流程图;
图4是本发明一实施例提供的单包授权过程的示意图;
图5是本发明一实施例提供的可信物联网网关实例化工作流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
本专利所涉及到安全可信物联网网关,用于物联网设备入网授权认证和动态访问控制装置,防止无权限的终端接入被保护的网络,访问被保护的应用,避免引起的内网安全威胁,保护在终端上的敏感业务数据不被泄露。
首先,边缘端授权认证,采用物联网感知设备MAC标识与IP地址,联合接入控制器的网络标识信息与就近策略中心实现授权认证,认证方式可选择以产生随机串以挑战应答方式,或者单包授权认证SPA方式,只有通过授权认证,边缘端才能入网访问。
第二,数据传输的完整性与机密性双重保护,安全可信物联网网关装置,对传输数据进行数字签名与验签,对关键数据进行数字信封方式进行保护。
第三,动态访问控制,支持基于MAC、IP地址和端口的访问控制机制,对非授权物联网终端禁止访问,并根据权限管理和持续信任评估,实现动态访问控制。
第四,策略管控服务中心(controller),基于零信任SDP安全模型,实施以用户权限为中心,通过形成按需、动态的权限矩阵,结合IAM认证技术对用户身份进行授权管理,支持对访问资源范围进行策略预设立,实现应用级的安全准入和动态访问控制,有效控制访问资源列表范围。
第五,访问控制网关,包含支持预验证、预授权、应用级访问准入、网络隐身防护壳,即所有受安全网关连接控制的后端资源,没有对外暴露的服务或端口,只有通过验证且被授权的用户,才可以接入隐身的网络资源,并且范围被严格控制且实现动态开放与回收,有效地增强了安全防御能力,包含防拒绝服务攻击、查错纠错能力、抗病毒能力等。
参见图1,图1是本发明一实施例提供的一种安全可信物理网网关的实现方法的流程图,所述安全可信物理网网关的实现方法包括步骤S1-S7:
S1、通过客户端向SDP准入网关发起客户认证请求,依据所述客户认证请求使SDP准入网关向策略管控服务中心发起敲门单包认证请求。
本实施例中,参见图2,图2是本发明一实施例提供的网络标识单包授权认证实现安全可信物联网网关的步骤示意图,敲门认证,包含客户端(Client)向SDP准入网关发起认证请求;SDP准入网关携带着Client指纹信息,包含不限于MAC标识、物联网设备唯一ID,向策略管控服务中心(Controller)发起敲门单包认证(SPA)请求。
S2、在策略管控服务中心收到SDP准入网关的敲门单包认证请求后,将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证。
本实施例中,敲门通知,包含Controller收到SDP准入网关的SPA认证请求后,可将认证转发至SDP访问网关,进行身份鉴权及认证。
步骤S2包括步骤S21-S24:
S21、在接收到SDP准入网关发出的敲门单包认证请求并验证合法之后,对所述客户端的IP开放指定端口。
本实施例中,SPA单包授权认证,采用“先认证后连接”的机制,是新一代端口敲门技术,它将认证消息存放在Packet-data中传输给服务器,通过设置一系列规则,动态的调整防火墙策略或执行特定命令,通常情况下,SPA数据包可以使用UDP或TCP协议发起认证。
包含基础设施隐藏,终端用户设备在通过身份验证授权之前,SDP控制器和SDP网关不会响应任何连接请求。
包含隐藏服务端口,在开启SPA认证功能后,SPA报文认证通过之前,服务器不会响应来自任何客户端的任何连接,从而阻止攻击者通过检测客户端和服务器之间的通讯来获取敲门信息的行为,也可以通过记录有效数据包防止重放攻击。
认证后开通网络,SDP访问网关只有接收到了SDP准入网络发出的SPA认证包,验证合法之后,才对该客户端的IP开放指定端口。
包含相比于传统的TCP协议相比,SPA单包授权具备最小授权、微隔离、动态授权等诸多技术优势,企业构建零信任安全防护体系的基础件
包含遵守最小授权原则:对客户端的访问授权只会开放相应资源的相关端口,非必要的访问端口保持关闭,实现了最小授权的访问原则。
包含微隔离:由于客户端只能由授权建立的连接来访问相关资源,逻辑上与其他客户端形成了微隔离。
S22、根据实际需要授权客户端预设时间的访问权限。
本实施例中,动态授权:客户端验证通过后,只授权了一段时间的访问权限,网络连接并非持久。
S23、通过SDP控制器实时对访问连接监控以于发现威胁时立刻中断连接。
本实施例中,持续监控:SDP控制器作为业务访问控制,会实时对访问连接监控,一旦发现威胁,将会立刻中断连接。
S24、将认证消息存放在Packet-data中传输给服务器,动态调整防火墙策略或执行特定命令,敲门单包认证请求的数据包使用UDP或TCP协议发起认证。
本实施例中,SPA单包授权认证工作流程,包含将认证消息存放在Packet-data中传输给服务器,通过设置一系列规则,动态的调整防火墙策略或执行特定命令。通常情况下,SPA数据包可以使用UDP或TCP协议发起认证。步骤S24包括步骤S241-S243:
S241、客户端在发包时通过共享密钥和随机数,经过基于RFC4266定义的HOTP算法计算出SPA密钥,与终端标识、随机数、时间戳、客户端IP及端口打包成UDP数据包并发送到服务器指定敲门端口。
本实施例中,参见图3-图4,图3是本发明一实施例提供的单包授权数据包流程图,图4是本发明一实施例提供的单包授权过程的示意图,客户端在发包时通过共享密钥和随机数,经过基于RFC4266定义的HOTP(HMAC-based One-Time Password)算法计算出SPA密钥,与终端标识、随机数、时间戳(日期、小时、分钟)、客户端IP(UDP报头内)、 端口一起打包成UDP数据包发送到服务器指定敲门端口。
S242、服务器根据接收到UDP数据包中的时间戳、客户端IP以及服务器内部存储的服务密码计算出SPA密钥,并将SPA密钥与预设的哈希值进行对比,如果相同,则为客户端打开申请访问的服务端口。
本实施例中,服务器根据接收到UDP报头中的时间戳、客户端IP以及服务器内部存储的服务密码计算出SPA密钥,与接收到的哈希值进行对比,如果相同,则为客户端打开申请访问的服务端口。
S243、服务器将记录所收到的最后一个有效授权的UDP数据包以防止攻击者发送旧的数据包进行重放攻击;如果哈希值不匹配或者与此前收到的有效SPA密钥相同,则不执行任何操作。
本实施例中,服务器将记录它收到的最后一个有效授权的数据包,以防止攻击者发送旧的数据包进行重放攻击。如果哈希值不匹配或者与此前收到的有效SPA密钥相同,则不执行任何操作。
此外,单包授权(SPA)是实现网络隐身的核心网络安全协议,包含无监听端口、大网络流量处理、使用UDP通信、SPA授权包支持签名、加密算法密文以及防篡改MAC保护,并且支持网络动态策略,过期时访问策略会清除。
S3、通过身份鉴权及认证之后,建立SDP访问网关与客户端的网络通道并告知策略管控服务中心。
本实施例中,网络通道开通,包含SDP访问网关通过[Client+SDP准入网关]联合认证通过后,会告知Controller;只有通过敲门认证后,才会收到SPA响应报文。并且,在未通过单包认证(SPA)前,SDP访问网关不响应任何请求,实现SDP访问网关的网络隐藏,防止非法用户连接与攻击。
S4、通过加密通道向SDP访问网关开通网络通信连接,并告知SDP控制器。
本实施例中,通信隧道建立,包含敲门认证通过后,Controller会通过加密通道;并向SDP访问网关开通网络接连,并且,告知将连接的SDP控制器或业务网关(Gateway)及资源。
S5、通过SDP控制器进行身份认证与业务授权。
本实施例中,身份认证与业务授权,包含SDP控制器通过预置业务授权,动态告知准入用户及所访问资源信息;并且Client客户端与SDP控制器(Gateway)发起TLS隧道连接请求。
S6、通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息,核对通过后,客户端与SDP控制器建立安全TLS隧道连接,并按业务权限开通业务访问控制。
本实施例中,通知开通业务权限,包含SDP控制器(Gateway)收到SDP准入网关TLS隧道连接请求时,核对客户端身份以及Controller下发的关于客户端的信息,核对通过后,Client与Gateway建立安全TLS隧道连接;并且,实现按业务权限开通业务访问控制。
S7、通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制。
本实施例中,开通业务与动态访问控制,SDP控制器Gateway依据控制策略信息,控制客户端与后端资源的连接,实现细颗粒访问控制。
本专利所涉及安全可信物联网网关的装置,支持用户准入网关、访问控制网关和安全业务网关,不限于包含支持预验证、预授权、应用级访问准入、网络隐身防护壳,即所有受安全网关连接控制的后端资源,没有对外暴露的服务或端口,只有通过验证且被授权的用户,才可以接入隐身的网络资源,并且范围被严格控制且实现动态开放与回收。
同时,支持可定义多重接入认证方式,从网络级认证、切片认证到数据网认证,根据不同的业务灵活配置认证策略,满足不同行业的接入认证安全需求。
步骤S7包括步骤S71-S75:
S71、根据SDP控制器的策略与客户端建立数据传输的加密通道,并在敲门单包认证请求通过后,打开SDP访问网关的激活策略。
本实施例中,SDP访问网关,根据SDP控制器的策略与客户端Client建立安全加密的数据传输通道,并根据“策略管控服务中心(controller)”敲门认证通告后,才打开“SDP访问网关”激活策略,为客户网络“隐身”的作用,实现用户网络暴露面为“零”。
S72、在敲门单包认证请求通过后,打开并激活客户端的可连接网络策略,并开启访问控制策略。
本实施例中,服务/应用隐藏,在默认情况下,SDP动态防火墙是“常闭”态,SDP准入网关“敲门认证”验证后,才打开激活该“用户”可连接网络策略,并开启访问控制策略。
S73、SDP访问网关与客户端为双向认证。
本实施例中,双向认证(MTLS):访问网关跟SDP客户端的通信是加密的,而且是双向认证,网关认证用户,用户也要认证网关,可避免中间人攻击。
S74、设置动态防火墙。
本实施例中,动态防火墙:经过SPA认证后,访问网关会放行指定端口(但端口放行是暂时的,几秒内没有操作,端口就会自动关闭),并激活动态访问控制策略。执行访问控制策略,网络访问接入、业务访问鉴权、静态访问控制和动态访问控制等策略。
S75、执行SDP访问网关。步骤S75包括步骤S751-S756:
S751、通过SDP访问网关进行认证管理。
本实施例中,认证管理:支持单向报文认证、设备接入认证、身份接入认证。
S752、通过SDP访问网关进行动态最小化权限控制,根据策略中心下发的权限策略,实时最小化细粒度权限控制,可根据预设的信任评估等级,激活或关闭访问控制策略。
本实施例中,动态最小化权限控制,根据策略中心下发的权限策略,实时最小化细粒度权限控制,可根据“信任评估等级”,激活或关闭访问控制策略。
S753、通过SDP访问网关执行访问控制策略。
本实施例中,执行访问控制策略,网络访问接入、业务访问鉴权、静态访问控制和动态访问控制等策略。
S754、基于策略的访问控制支持动态运行时授权和管理态授权。
本实施例中,PBAC策略访问控制,基于策略的访问控制(PBAC),支持动态运行时授权和管理态授权。
S755、基于主体、客体和环境属性实现角色的动态映射和过滤机制,激活权限基线检查。
本实施例中,权限基线,基于主体、客体和环境属性实现角色的动态映射和过滤机制,激活权限基线检查。
S756、通过SDP访问网关进行文件类型/内容的识别及过滤。
本实施例中,流控:支持基于应用、用户、网关、时间段的新建、并发、吞吐流量控制,支持文件类型/内容的识别、过滤。
优选的,所述安全可信物理网网关的实现方法还包括步骤S8-S9:
S8、执行策略管控服务中心。
本实施例中,策略管控服务中心(controller),用于物联网设备敲门认证的策略中心,基于零信任SDP安全模型,实施以用户权限为中心,通过形成按需、动态的权限矩阵,结合统一认证(IAM)子系统对用户身份进行授权管理,支持对访问资源范围进行策略预设立,实现应用级的安全准入和动态访问控制,有效控制访问资源列表范围。步骤S8包括步骤S81-S82:
S81、将用户和资源按照配置进行分组。
本实施例中,用户权限策略管理,将用户和资源按照配置进行分组对应,同时根据风险评估给出的分析结果实时调整用户的资源访问权限。
S82、根据风险评估给出的分析结果实时调整用户的资源访问权限。
本实施例中,用户权限策略管理,基于应用、功能、服务、接口的细粒度动态权限,包含支持动态管理访问控制策略、基于角色的访问控制策略、基于属性的访问控制等访问控制模型。
S9、执行SDP控制器。步骤S9包括步骤S901-910:
S901、对企业内网用户身份管理与访问控制策略预置与执行,与用户身份管理系统对接以便对用户请求进行身份验证和授权验证。
本实施例中,SDP控制器,用于企业内网用户身份管理与访问控制策略预置与执行,并可充当物联网设备与企业内网计算资源之间的信任协调人,并与用户身份管理(IDM)系统对接,以便对用户请求进行身份验证和授权验证。
S902、通过身份认证的方式进行身份验证,并建立物联网设备和企业内网计算资源之间的加密隧道,为物联网前端请求的被授权的特定资源提供访问权限。
本实施例中,可通过身份认证等方式进行身份验证,并建立物联网设备和企业内网计算资源之间的加密隧道,为物联网前端请求的被授权的特定资源提供访问权限。
S903、为用户颁发数字证书和身份密钥。
本实施例中,包含统一认证IAM公钥基础设施,为用户颁发数字证书和身份密钥。
S904、对用户和终端认证,基于用户和应用的可信度生成动态权限。
本实施例中,包含身份管理组件,对用户和终端认证,基于用户和应用的可信度生成动态权限。
S905、根据用户权限以及策略规范生成用户访问权限,生成安全隧道策略,并下发到客户端和网关。
本实施例中,包含策略管理组件,根据用户权限以及策略规范生成用户访问权限,生成安全隧道策略,并下发到客户端和网关。
S906、对用户、应用进行持续可信评估;根据评估结果动态调整用户权限,并对用户的接入、访问等行为进行全面的统计分析。
本实施例中,包含可信评估组件,对用户、应用进行持续可信评估;根据评估结果动态调整用户权限,并对用户的接入、访问等行为进行全面的统计分析。
S907、为本地网络隐蔽业务系统资源,并提供动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,对异常访问行为进行阻断。
本实施例中,包含为本地网络隐蔽业务系统资源,并提供动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,对异常访问行为进行阻断。
S908、抵御网络攻击。
本实施例中,包含抵御网络攻击,包括DDos、中间人攻击、服务器查询(OWASP十大威胁)和高级持续性威胁(ATP)。
S909、设置SPA认证前置条件,未经过SPA认证的非可信终端无法访问控制器,控制器对其服务隐藏。
本实施例中,包含SPA认证前置条件,未经过SPA认证的非可信终端无法访问控制器,控制器对其服务隐藏,为商家隐蔽“业务系统资源”。
S910、对设备身份标识管理,设置主体对客体的访问权限。
本实施例中,包含设备身份标识管理,设置主体对客体的访问权限,权限根据主体风险进行策略控制知识库,主体:主动访问业务的用户、应用、设备,客体:被访问的业务、功能、API、设备等。
本发明提供如下实施例:
本专利所涉及到的可信物联网网关装置,由SDP准入网关、SDP访问网关、SDP控制器与策略管控服务中心(controller),可信物联网网关实例化工作流程,如图5所示,图5是本发明一实施例提供的可信物联网网关实例化工作流程图。
首先,SDP准入网关,采用零信任SDP安全模型,用于端实体以零信任准入方式“先认证、再准入原则,动态、按需、最小化实现网络应用安全连接与访问”,完成端实体SDP可信接入--“隐形”端口,先认证、再连接,解决“传统防火墙”弱环、因端口暴露被扫描、嗅探的安全威胁。
1.SDP准入网关,包含物理网设备+准入网关联合认证准入方式,或者在边缘端设置安全终端(代理)方式。
2.用户+终端“指纹”SPA敲门认证,包含支持远程空间/受控客户端,发起入网请求,网关获取终端“指纹”,对操作者身份+使用终端“指纹”进行绑定。
3.准入网关校验秘钥及账号信息正确,并验证确实使用该终端,完成认证,赋予用户权限,相反则丢弃,不做回应。
4.认证完成,准入网关对该终端开放限时端口,并通知客户端向网关发起连接。
5.客户端向网关发起连接协商,进行隧道建立,完成可信接入认证。
6.客户端可以使用被授权的应用、业务系统。
7.支持运营方的策略管控服务中心(controller),用于准入网关的注册,开通与企业用户访问网关的网络连接,实现受控终端的可管可控。
8.可信接入管控,支持用户管理、终端指纹、数据证书、短信等多认证方式、动态接入、可信认证、权限控制和数据加密等。
第二,SDP访问网关,用于企业网络访问控制能力的策略执行点,利用零信任的优势,用于企业网络“隐身”的作用。
1.企业网络部署SDP访问网关,通过在运营方的策略管控服务中心预验证、预授权和打通物理网边缘端部署的SDP网络准入基础上,为企业网络后端应用资源增加了一层隐身防护壳,即所有受安全网关连接控制的后端资源,没有对外暴露的服务或端口,只有通过验证且被授权的用户,才可以接入隐身的网络资源,并且范围被严格控制且实现动态开放与回收。
2.企业SDP访问网关提供网络隐身的能力,并为业务系统提供统一访问入口,只有通过身份可信识别的访问主体才可以与访问网关建立访问通路,并根据访问控制策略对受保护业务资产发起访问,原有主体终端到目标业务系统的物理网络策略无需提供。
包含网络资产隐藏,通过SPA单包授权认证、后开通网络接连,有网络隐身,和业务隐身双重“防弹衣”,从而提升了针对不良攻击的防御系数。
包含支持单向报文认证:设备接入认证、身份接入认证;
包含支持动态资源分配、和加密隧道数据传输能力;
包含动态防火墙,支持应用单点登录和全流量应用操作记录能力。
3.业务系统避免被暴露在终端所在的任意风险等级的网络,防御攻击效果直接,即使被入侵,也扫描不到企业资产,只能够扫到网关入口,同时访问主体必须符合访问控制策略,才能对业务系统发起访问。
第三,企业SDP控制器,为SDP访问网关隐蔽业务系统资源,并提供动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,对异常访问行为进行阻断。
1.统一身份管控(IAM),通过统一认证、统一身份管理、集中权限管理、集中业务管控、全面审计能力,帮助企业实现安全性与便利性的统一,从而确保企业业务的安全访问。在基于角色授权框架的基础上,结合上下文感知信息(IP、地理位置、接入网络、时间、设备安全状态等),实现自适应的访问控制。
2.持续对企业网络安全监测和信任评估功能:支持根据访问主体、通信链路、资源反馈的信息等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
3.微隔离(MSG)动态访问控制功能,支持动态管理访问控制策略,在资源的IP地址等状态发生变化时,策略可以自适应调整;支持基于基于角色的访问控制、基于属性的访问控制等访问控制模型,并根据访问主体当前信任状态动态决定访问权限;支持细粒度的访问控制,最小粒度可达到对单一资源的单次访问请求进行授权控制。
4. 动态访问控制策略引擎,根据用户不同,数据不用,应用系统不同等种种差异化需求,通过动态访问控制策略,实现快速建立安全防御策略,准入策略,提高整体网络环境的安全防护可用性。
5.关键词:用户权限为中心安全准入、按需动态权限矩阵、IAM及多因素认证管理、动态访问控制策略。
6.威胁安全防护,融合设备身份验证、基于身份的访问和动态配置连接等安全组件,阻止所有类型的网络攻击,包括DDos、中间人攻击、服务器查询(OWASP十大威胁)和高级持续性威胁(ATP)。
第四,运营方的策略管控服务中心(controller),用于注册准入网关,并为企业SDP访问网关起了网络“隐身”作业,并授信入网用户,实现网络加速,包含支持智能动态规划最优加速路径,结合访问主体可信识别与访问控制引擎,为企业搭建“无缝接入、链路高效、终端可靠、访问可控“的办公加速网络,实现用户在任意网络环境中高速、稳定、安全地访问企业数据和协同办公。
1.零信任安全控制中心,用户SDP准入网关注册,并支持“敲门”认证通过后,智能打通商家网络。
2.持续对企业网络安全监测和信任评估功能:支持根据访问主体、通信链路、资源反馈的信息和外部威胁情报等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
3.支持全局策略管理与下发到企业SDP管控器,包含持续对企业网络安全监测和信任评估功能,包含支持根据访问主体、通信链路、资源反馈的信息和外部威胁情报等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
第五,物联网边缘端在无客户端或无代理模式下,用户通过终端浏览器与控制器的认证服务,建立HTTPS连接进行用户认证,认证成功后,在浏览器上显示用户可以访问的资源列表。
当用户访问资源时,SDP准入网关作为终端与资源服务器之间的代理服务器进行流量代理和业务转发。用户在无客户端模式下只能访问WEB代理类型的资源(只包括http、https等B/S类型的资源),下面是无客户端模式下的业务处理流程:
1.零信任(准入)网关向SDP控制器进行注册,注册成功后SDP控制器将资源下发到准入网关,以便后续网关对用户所访问的资源进行判断,SDP控制器新增资源时会将资源信息同步到网关;
2.用户终端访问应用或者应用导航页面,如果用户没有凭证(token),会弹出认证页面,要求用户进行认证;
3.用户认证通过后,SDP控制器将应用权限策略下发到终端和SDP访问网关。
4.用户的业务访问申请到达SDP访问网关,网关根据用户的权限策略对用户业务访问执行访问控制,可以控制到应用、功能级;
5.如果应用需要访问应用/数据服务,则通过API进行访问,要将用户token携带到API请求中;API请求到达SDP-API网关。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种安全可信物理网网关的实现方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种安全可信物理网网关的实现方法中的步骤,因此,可以实现本发明实施例所提供的任一种安全可信物理网网关的实现方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种安全可信物理网网关的实现方法,其特征在于,包括:
通过客户端向SDP准入网关发起客户认证请求,依据所述客户认证请求使SDP准入网关向策略管控服务中心发起敲门单包认证请求;
在策略管控服务中心收到SDP准入网关的敲门单包认证请求后,将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证;
通过身份鉴权及认证之后,建立SDP访问网关与客户端的网络通道并告知策略管控服务中心;
通过加密通道向SDP访问网关开通网络通信连接,并告知SDP控制器;
通过SDP控制器进行身份认证与业务授权;
通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息,核对通过后,客户端与SDP控制器建立安全TLS隧道连接,并按业务权限开通业务访问控制;
通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制;
所述在策略管控服务中心收到SDP准入网关的敲门单包认证请求后,将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证,包括:
在接收到SDP准入网关发出的敲门单包认证请求并验证合法之后,对所述客户端的IP开放指定端口;
根据实际需要授权客户端预设时间的访问权限;
通过SDP控制器实时对访问连接监控以于发现威胁时立刻中断连接;
将认证消息存放在Packet-data中传输给服务器,动态调整防火墙策略或执行特定命令,敲门单包认证请求的数据包使用UDP或TCP协议发起认证;
所述将认证消息存放在Packet-data中传输给服务器,动态调整防火墙策略或执行特定命令,敲门单包认证请求的数据包使用UDP或TCP协议发起认证,包括:
客户端在发包时通过共享密钥和随机数,经过基于RFC4266定义的HOTP算法计算出SPA密钥,与终端标识、随机数、时间戳、客户端IP及端口打包成UDP数据包并发送到服务器指定敲门端口;
服务器根据接收到UDP数据包中的时间戳、客户端IP以及服务器内部存储的服务密码计算出SPA密钥,并将SPA密钥与预设的哈希值进行对比,如果相同,则为客户端打开申请访问的服务端口;
服务器将记录所收到的最后一个有效授权的UDP数据包以防止攻击者发送旧的数据包进行重放攻击;如果哈希值不匹配或者与此前收到的有效SPA密钥相同,则不执行任何操作;
所述通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制,包括:
根据SDP控制器的策略与客户端建立数据传输的加密通道,并在敲门单包认证请求通过后,打开SDP访问网关的激活策略;
在敲门单包认证请求通过后,打开并激活客户端的可连接网络策略,并开启访问控制策略;
SDP访问网关与客户端为双向认证;
设置动态防火墙;
执行SDP访问网关;
所述执行SDP访问网关,包括:
通过SDP访问网关进行认证管理;
通过SDP访问网关进行动态最小化权限控制,根据策略中心下发的权限策略,实时最小化细粒度权限控制,可根据预设的信任评估等级,激活或关闭访问控制策略;
通过SDP访问网关执行访问控制策略;
基于策略的访问控制支持动态运行时授权和管理态授权;
基于主体、客体和环境属性实现角色的动态映射和过滤机制,激活权限基线检查;
通过SDP访问网关进行文件类型/内容的识别及过滤;
还包括:
执行策略管控服务中心;
执行SDP控制器;
所述执行策略管控服务中心,包括:
将用户和资源按照配置进行分组;
根据风险评估给出的分析结果实时调整用户的资源访问权限;
所述执行SDP控制器,包括:
对企业内网用户身份管理与访问控制策略预置与执行,与用户身份管理系统对接以便对用户请求进行身份验证和授权验证;
通过身份认证的方式进行身份验证,并建立物联网设备和企业内网计算资源之间的加密隧道,为物联网前端请求的被授权的特定资源提供访问权限;
所述执行SDP控制器,还包括:
为用户颁发数字证书和身份密钥;
对用户和终端认证,基于用户和应用的可信度生成动态权限;
根据用户权限以及策略规范生成用户访问权限,生成安全隧道策略,并下发到客户端和网关;
对用户、应用进行持续可信评估;根据评估结果动态调整用户权限,并对用户的接入、访问行为进行全面的统计分析;
为本地网络隐蔽业务系统资源,并提供动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,对异常访问行为进行阻断;
抵御网络攻击;
设置SPA认证前置条件,未经过SPA认证的非可信终端无法访问控制器,控制器对其服务隐藏;
对设备身份标识管理,设置主体对客体的访问权限。
2.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1所述的一种安全可信物理网网关的实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311006632.4A CN116760633B (zh) | 2023-08-11 | 2023-08-11 | 一种安全可信物理网网关的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311006632.4A CN116760633B (zh) | 2023-08-11 | 2023-08-11 | 一种安全可信物理网网关的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116760633A CN116760633A (zh) | 2023-09-15 |
| CN116760633B true CN116760633B (zh) | 2024-03-08 |
Family
ID=87951738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311006632.4A Active CN116760633B (zh) | 2023-08-11 | 2023-08-11 | 一种安全可信物理网网关的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116760633B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116996587B (zh) * | 2023-09-25 | 2024-01-23 | 北京持安科技有限公司 | 一种分布式sdp隧道控制方法及设备 |
| CN118200923B (zh) * | 2024-02-08 | 2024-10-01 | 中国联合网络通信有限公司广东省分公司 | 访问控制方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112436957A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于云计算的pdrr网络安全保障模型并行实现系统 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN115189904A (zh) * | 2022-05-06 | 2022-10-14 | 国网湖北省电力有限公司信息通信公司 | 一种基于sdp的电力物联网及组网方法 |
| CN115499235A (zh) * | 2022-09-27 | 2022-12-20 | 江苏易安联网络技术有限公司 | 一种基于dns的零信任网络授权方法及系统 |
| CN115801347A (zh) * | 2022-11-02 | 2023-03-14 | 北京国泰网信科技有限公司 | 一种基于单包授权技术增强网络安全的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11190489B2 (en) * | 2019-06-04 | 2021-11-30 | OPSWAT, Inc. | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter |
-
2023
- 2023-08-11 CN CN202311006632.4A patent/CN116760633B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112436957A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于云计算的pdrr网络安全保障模型并行实现系统 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN115189904A (zh) * | 2022-05-06 | 2022-10-14 | 国网湖北省电力有限公司信息通信公司 | 一种基于sdp的电力物联网及组网方法 |
| CN115499235A (zh) * | 2022-09-27 | 2022-12-20 | 江苏易安联网络技术有限公司 | 一种基于dns的零信任网络授权方法及系统 |
| CN115801347A (zh) * | 2022-11-02 | 2023-03-14 | 北京国泰网信科技有限公司 | 一种基于单包授权技术增强网络安全的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116760633A (zh) | 2023-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114553568B (zh) | 一种基于零信任单包认证与授权的资源访问控制方法 | |
| CN116760633B (zh) | 一种安全可信物理网网关的实现方法 | |
| US8683607B2 (en) | Method of web service and its apparatus | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| JP2020518899A (ja) | デバイスを検証および認証するためのシステムおよび方法 | |
| CN114615328A (zh) | 一种安全访问控制系统和方法 | |
| Sumitra et al. | A survey of cloud authentication attacks and solution approaches | |
| CN110169011A (zh) | 用于装置鉴认的系统和方法 | |
| CN107852405A (zh) | 服务层的内容安全性 | |
| KR102041341B1 (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
| CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
| Rahim et al. | Sensor based PUF IoT authentication model for a smart home with private blockchain | |
| Zhang | Integrated security framework for secure web services | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| Wan et al. | An internet of things roaming authentication protocol based on heterogeneous fusion mechanism | |
| US20210377224A1 (en) | Secure and auditable proxy technology using trusted execution environments | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| CN116260656B (zh) | 基于区块链的零信任网络中主体可信认证方法和系统 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| Tyagi et al. | Securing IoT Devices Against MITM and DoS Attacks: An Analysis | |
| CN106576050B (zh) | 三层安全和计算架构 | |
| EP4170965A1 (en) | Application security through global lockout and capture | |
| CN115801347A (zh) | 一种基于单包授权技术增强网络安全的方法和系统 | |
| Sebbar et al. | BCDS-SDN: Privacy and Trusted Data Sharing Using Blockchain Based on a Software-Defined Network's Edge Computing Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |