面向信任增强的网络部署架构及其网络访问方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种面向信任增强的网络部署架构及其网络访问方法。


背景技术：

2.sdp是由云安全联盟(cloud security alliance，csa)面向零信任网络(zero trust network,ztn)环境于2013年提出的新型通用网络防御方案，其本质是一种利用软件定义逻辑组件在网元间构建基于身份的安全边界的增强型访问控制架构，主要由sdp控制器、应用网关(sdp accept host，sdp ah)及连接发起主机(sdp initial host，sdp ih)组成，可用于隐藏域内服务，最小化网络攻击表面，若将sdp架构直接移植套用部署于现有网络，不仅无法兼顾对网络本身的防护，还将带来较多安全开销。


技术实现要素：

3.为了加强网络本身的安全防护，本发明提供一种面向信任增强的网络部署架构及其网络访问方法。本发明通过改良sdp架构向现有网络适应性融合的部署模式，从而在为接入网络的终端设备提供认证管控外，还可为网络本身的交换设备提供额外保护，此外本发明还改进了对接入域内的终端设备的信任初值授予方式。
4.一方面，本发明提供一种面向信任增强的网络部署架构，包括：第一级sdp ah和第二级sdp ah；所述第一级sdp ah串联部署于sdp ih和域入口交换设备之间，所述第二级sdp ah串联部署于边缘交换设备和pe之间；所述sdp ah表示sdp应用网关，所述sdp ih表示sdp连接发起主机，所述pe表示供应商边缘节点；所述第一级sdp ah用于向接入的sdp ih隐藏网络拓扑，所述第二级sdp ah用于向接入的sdp ih隐藏网络服务。
5.另一方面，本发明还提供一种基于上述的面向信任增强的网络部署架构的网络访问方法，所述方法包括：
6.步骤1：sdp控制器上线，并连接至sdp应用；
7.步骤2：在sdp控制器和第一级sdp ah之间，以及在sdp控制器和第二级sdp ah之间分别建立mtls连接；
8.步骤3：将待接入网络的sdp ih预先接入应用平面的网络代理身份验证组件，以供所述网络代理身份验证组件读取所述sdp ih的安全信息项并录入网络代理安全信息库；
9.步骤4：待接入网络的sdp ih向第一级sdp ah发送spa认证包，以供所述第一级sdp ah通过其连接的域入口交换设备将所述spa认证包直接转发至sdp控制器；
10.步骤5：sdp控制器接收到所述spa认证包后，调用应用平面的身份认证授权组件以供其根据所述spa认证包认证所述sdp ih的身份，若认证通过，则向所述sdp ih授权其可访问的sdp ah列表、临时访问凭据及策略；
11.步骤6：sdp控制器通过mtls连接向所述sdp ah列表中的所有sdp ah通告已授权的sdp ih身份、临时访问凭据及策略；
12.步骤7：第一级sdp ah向所述sdp ih通告其可访问的sdp ah列表、临时访问凭据及策略；
13.步骤8：所述sdp ih使用所述临时访问凭据和spa认证包与第一级sdp ah建立mtls连接。
14.进一步地，所述方法还包括：
15.预先为sdpih对应的用户和设备分别设置两级身份码或识别码，并为域内所有sdp ah设置信任阈值；其中，用户的一级身份码用于对不同用户id进行加密标识；用户的二级身份码用于对单个用户的瞬时身份进行标识；设备的一级识别码用于对不同设备进行加密标识，设备的二级识别码用于对单个设备的不同端口进行标识。
16.进一步地，将用户i的所述一级身份码user
iid1
定义为：user
iid1
＝hmac(key
seed
idi)；将用户i的所述二级身份码user
iid2
定义为：user
iid2
＝hmac(key
seed
idi timestamp)；其中，key
seed
为管理员在应用平面中身份验证组件中预先设置并定期更换的种子密钥，timestamp为时间戳，idi标识用户i的唯一id，hmac表示基于散列的消息认证码。
17.进一步地，将设备j的所述一级识别码定义为：将设备j的所述二级识别码定义为：其中，ipj、macj和分别为设备j的用于接入第一级sdp ah的ip地址、对应网卡的mac地址和第k个端口，hmac表示基于散列的消息认证码。
18.进一步地，步骤5中，所述调用应用平面的身份认证授权组件以供其根据所述spa认证包认证所述sdp ih身份，具体包括：检测所述sdp ih的信任值是否大于等于预设的网络域信任准入阈值，若是，则认证通过；反之，则认证不通过；其中，按照预设规则计算所述sdp ih的信任值，所述预设规则具体包括：
19.规则1：sdp控制器读取spa认证包中的用户的一级身份码或者设备的一级识别码，然后确定在网络代理安全信息库中是否已记录有所述一级身份码或者所述一级识别码；并调用外部信源查看所述用户或所述设备是否存在恶意行为记录；
20.若已记录且不存在恶意行为记录，则向所述sdp ih赋予信任初值，并授予其可访问的sdp ah列表的访问证书集合certa及各个访问证书的有效期；其中，所述信任初值大于等于预设的网络域信任准入阈值且小于预设的服务资源信任阈值；
21.规则2：将一级身份码已记录且不存在恶意行为记录的用户视为“老用户”，将所述“老用户”的信任值增量定义为：其中，表示信任初值；ν表示统一的用户置信因子；表示用户i在最近一段时间间隔的二级身份码user
iid2
(t-1)对应的网络代理信任值；
22.规则3：将一级识别码已记录且二级识别码未记录的设备视为采用“新端口”的“老设备”，将所述“老设备”的信任值增量定义为：其中，σ表示统一的设备置信因子；表示设备入网保持正常连接的各端口对应的所有信任值中的最小信任值；表示设备j的二级识别码，指代设备j的第k
个端口；
23.规则4：将一级识别码和二级识别码均已记录的设备视为采用“老端口”的“老设备”，将所述“老设备”的信任值增量定义为：其中，表示所述“老端口”上次在网络中保持正常连接时的信任值。
24.进一步地，所述统一的用户置信因子ν的计算公式为：其中，λ为给定的用户置信因子确定函数。
25.进一步地，所述统一的设备置信因子σ的计算公式为：其中，ψ为给定的设备置信因子确定函数。
26.进一步地，所述方法还包括：
27.在sdp ih与第一级sdp ah建立mtls连接之后，若所述sdp ih需要继续访问第二级sdp ah，则所述sdp ih以包含临时访问凭据的spa认证包为数据包负载，通过交换设备向第二级sdp ah发送访问请求，验证通过后经交换设备在所述sdp ih与第二级sdp ah之间建立mtls连接。
28.进一步地，若所述sdp ih的信任值大于等于所述服务资源信任阈值，则认为所述sdp ih通过所述第二级sdp ah的验证。
29.本发明的有益效果：
30.1)提高了网络安全性，体现在：一是对网络域内拓扑、服务实现了多级隐藏；二是对接入设备实现了身份认证和信任管理；
31.2)基于将sdpih强制接入网络代理安全信息库，实现了spa单包难以承载的多因子信息认证，还避免了恶意节点实施伪装攻击或重放攻击；
32.3)可实现sdp模型在网络中部署的“快启动”，相比单纯根据sdpih历史表现的信任授予，从网络代理的用户因子和设备因子方面考虑为其引入信任继承，加速了网络代理对服务资源的访问流程，降低了sdp架构的信任管理时延开销。
附图说明
33.图1为本发明实施例提供的面向信任增强的网络部署架构的示意图。
具体实施方式
34.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.实施例1
36.本发明实施例提供一种面向信任增强的网络部署架构，包括第一级sdp ah和第二级sdp ah；所述第一级sdp ah串联部署于sdp ih和域入口交换设备之间，所述第二级sdp ah串联部署于边缘交换设备和pe之间；所述sdp ah表示sdp应用网关，所述sdp ih表示sdp连接发起主机，所述pe(provider edge)表示供应商边缘节点；所述第一级sdp ah用于向接
入的sdp ih隐藏网络拓扑，所述第二级sdp ah用于向接入的sdp ih隐藏网络服务。
37.具体地，如图1所示，ah0表示第一级sdp ah，也称为sdp ah
ent
；ah1表示第二级sdp ah，也称为sdp ah
ser
。通过设置sdp ah
ent
，在sdp ih进入网络访问域内交换设备前，就需经sdp ah
ent
请求sdp控制器验证自身身份。pe是用于提供服务的服务终端设备，通过在pe和边缘交换设备之间设置sdp ah
ser
可以向接入的sdp ih隐藏网络服务，防止攻击者掌握服务资源端口等信息。
38.本发明提供的网络部署架构，其基本思想是：区分网络域入口设备节点和域内服务资源，设置两级sdpah组件，分别用于保护域内交换设备和域内资源终端设备。
39.实施例2
40.本发明实施例提供一种网络访问方法，应用于上述的面向信任增强的网络部署架构，所述方法包括以下步骤：
41.步骤1：sdp控制器上线，并连接至sdp应用；
42.步骤2：在sdp控制器和第一级sdp ah之间，以及在sdp控制器和第二级sdp ah之间分别建立mtls连接；
43.具体地，两级sdp ah分别串联接入域入口节点和服务资源，默认采取“drop-all”访问策略，丢弃所有来访数据包(但识别spa敲门数据包，仅对验证通过的予以回应)，通过直连交换设备将自身spa包传至sdp控制器，请求其认证身份，若认证通过，则经交换设备，在sdp控制器和sdp ah间建立mtls连接。
44.步骤3：将待接入网络的sdp ih预先接入应用平面的身份认证授权组件，以供所述网络代理身份验证组件读取所述sdp ih的安全信息项并录入网络代理安全信息库；
45.具体地，某sdp ih接入网络前，需要先将其接入网络代理身份验证组件。所述网络代理安全信息库包括多条网络代理安全信息项。
46.步骤4：待接入网络的sdp ih向第一级sdp ah发送spa认证包，以供所述第一级sdp ah通过其连接的域入口交换设备将所述spa认证包直接转发至sdp控制器；
47.具体地，sdp ih通过sdp ah
ent
连接至交换设备，将包含自身身份信息的spa认证包发送至sdp ah
ent
，sdp ah
ent
不予回应，将其通过域入口交换设备节点直接转发至sdp控制器，请求其认证身份并下发访问凭据。
48.步骤5：sdp控制器接收到所述spa认证包后，调用应用平面的身份认证授权组件以供其根据所述spa认证包认证所述sdp ih的身份，若认证通过，则向所述sdp ih授权其可访问的sdp ah列表、临时访问凭据及策略；
49.具体地，sdp控制器调用应用平面身份认证授权组件认证sdp ih身份，为取消默认信任，为身份验证组件中未记录对应一级身份/识别码的用户和设备授予初始信任时，对其授予默认信任值0。若认证通过，则对其授权可访问的sdp ah列表、临时访问凭据及策略，但暂不发送。
50.步骤6：sdp控制器通过mtls连接向所述sdp ah列表中的所有sdp ah通告已授权的sdp ih身份、临时访问凭据及策略；
51.步骤7：第一级sdp ah修改自身包过滤规则，并向所述sdp ih通告其可访问的sdp ah列表、临时访问凭据及策略；
52.步骤8：所述sdp ih使用所述临时访问凭据和spa认证包与第一级sdp ah建立mtls
连接，取得域数据平面访问权。
53.本发明实施例通过将sdpih强制接入网络代理安全信息库，实现了spa单包难以承载的多因子信息认证，还避免了恶意节点实施伪装攻击或重放攻击。
54.实施例3
55.在上述实施例2的基础上，本发明实施例还提供一种网络访问方法，应用上述的面向信任增强的网络部署架构，该方法与实施例2中的方法的主要区别在于，本发明实施例在调用应用平面的身份认证授权组件以供其根据所述spa认证包认证所述sdp ih的身份的过程中，主要是通过检测所述sdp ih的信任值是否大于等于预设的网络域信任准入阈值，若是，则认证通过；反之，则认证不通过；
56.具体地，sdp ih的信任值可以采用现有的单纯根据sdpih历史表现的信任授予。
57.为了实现sdp模型在网络中部署的“快启动”，加强对待接入域内的sdpih的安全管控，本发明实施例从网络代理的用户因子和设备因子方面考虑为其引入信任继承。为分别考量网络代理信任中的用户因子与设备因子，本发明实施例根据粒度为用户和设备设置两级身份/识别码，同时对域内所有sdp ah设置信任阈值，设sdp ah m的信任阈值为thm；其中，用户的一级身份码用于对不同用户id进行加密标识；用户的二级身份码用于对单个用户的瞬时身份进行标识；设备的一级识别码用于对不同设备进行加密标识，设备的二级识别码用于对单个设备的不同端口进行标识。
58.作为一种可实施方式，将用户i的所述一级身份码user
iid1
定义为：user
iid1
＝hmac(key
seed
idi)；将用户i的所述二级身份码user
iid2
定义为：user
iid2
＝hmac(key
seed
idi timestamp)；其中，key
seed
为管理员在应用平面的身份认证授权组件中预先设置并定期更换的种子密钥；timestamp为时间戳，可精确到秒，用于为用户身份提供时间因子；idi标识用户i的唯一id；hmac表示基于散列的消息认证码。
59.需要说明的是，key
seed
无法读取，仅能通过“挑战-响应”机制验证，用户可通过专属身份验证附属硬件使用该key
seed
，也可通过记忆临机使用(事实上key
seed
即使泄露也不会从根本上危及域安全)。idi可以是用户的18位身份证号码；此外，在具备条件的验证环境下，也可使用用户的生物特征作为用户的唯一id。
60.作为一种可实施方式，将设备j的所述一级识别码定义为：将设备j的所述二级识别码定义为：其中，ipj、macj和分别为设备j的用于接入第一级sdp ah的ip地址、对应网卡的mac地址和第k个端口，hmac表示基于散列的消息认证码。
61.在上述内容的基础上，按照预设规则计算所述sdp ih的信任值，所述预设规则具体包括：
62.规则1：sdp控制器读取spa认证包中的用户的一级身份码或者设备的一级识别码，然后确定在网络代理安全信息库中是否已记录有所述一级身份码或者所述一级识别码；并调用外部信源查看所述用户或所述设备是否存在恶意行为记录；
63.若已记录且不存在恶意行为记录，则向所述sdp ih赋予信任初值，并授予其可访问的sdp ah列表的访问证书集合certa及各个访问证书的有效期；其中，所述信任初值大于
等于预设的网络域信任准入阈值且小于预设的服务资源信任阈值；
64.具体地，sdp ah列表可表示为aha＝{ah
ent
,ah
ser1
,ah
ser2
,ah
ser3
,...,ah
sern
}；访问证书集合可表示为证书的有效期
65.规则2：将一级身份码已记录且不存在恶意行为记录的用户视为“老用户”，将所述“老用户”的信任值增量定义为：其中，表示信任初值；ν表示统一的用户置信因子；表示用户i在最近一段时间间隔的二级身份码user
iid2
(t-1)对应的网络代理信任值；
66.作为一种可实施方式，所述统一的用户置信因子ν的计算公式为：其中，λ为给定的用户置信因子确定函数，由具体网络确定。由该计算公式可知：用户置信因子ν由最近一段时间网络中所有用户的信任表现确定，用于保证该网络代理可适度减少验证。
67.规则3：将一级识别码已记录且二级识别码未记录的设备视为采用“新端口”的“老设备”，将所述“老设备”的信任值增量定义为：其中，σ表示统一的设备置信因子；表示设备入网保持正常连接的各端口对应的所有信任值中的最小信任值；表示设备j的二级识别码，指代设备j的第k个端口；
68.规则4：将一级识别码和二级识别码均已记录的设备视为采用“老端口”的“老设备”，将所述“老设备”的信任值增量定义为：其中，表示所述“老端口”上次在网络中保持正常连接时的信任值。
69.作为一种可实施方式，所述统一的设备置信因子σ的计算公式为：其中，ψ为给定的设备置信因子确定函数，由具体网络确定。由该计算公式可知：设备置信因子σ由最近一段时间网络中所有接入设备的信任表现确定。
70.本发明实施例主要按照待接入的sdp ih对应的用户、设备是否与已入域网络代理对应的用户、设备重复，对其进行基于信任继承的信任初值授予，加速了网络代理对服务资源的访问流程，降低了sdp架构的信任管理时延开销，并对接入域内的主机等终端设备增强了基于信任的安全管控。
71.实施例4
72.在上述实施例2或3的基础上，若sdp ih想要进一步访问服务资源，还包括以下步骤：
73.在sdp ih与第一级sdp ah建立mtls连接之后，若所述sdp ih需要继续访问第二级sdp ah，则所述sdp ih以包含临时访问凭据的spa认证包为数据包负载，通过交换设备向第二级sdp ah发送访问请求，验证通过后经交换设备在所述sdp ih与第二级sdp ah之间建立mtls连接。
74.具体地，若所述sdp ih的信任值大于等于所述服务资源信任阈值，则认为所述sdp ih通过所述第二级sdp ah的验证。此时，正常sdp ih将因验证授权通过而成功访问sdp ah保护的服务资源，如图1中粗实线所示；恶意ih将因无法获取访问凭据而验证失败、无法访问，如图1中细实线所示。
75.对应实施例1中的两级sdp ah部署模式，本发明实施例提供的网络访问方法对sdp ih设置有两级访问控制机制，即：设置服务资源信任阈值高于网络域信任准入阈值，仅在sdp ih的信任值达到网络域信任准入阈值后，准许其访问交换设备；仅在其信任值达到指定服务资源信任阈值后，准许其访问该服务资源。
76.此外，需要说明的是，由sdp ih直连的sdp ah
ent
基于其历史行为进行持续信任评估，若sdp ih临时访问凭据到期时其信任值高于自身可信阈值，则允许其信用续租，凭据延期；否则关闭相应mtls连接，需经sdp控制器重新验证才能恢复连接。
77.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。