CN114401327A - 一种基于零信任模型的服务隐藏架构及实现方法 - Google Patents

一种基于零信任模型的服务隐藏架构及实现方法 Download PDF

Info

Publication number
CN114401327A
CN114401327A CN202210202946.0A CN202210202946A CN114401327A CN 114401327 A CN114401327 A CN 114401327A CN 202210202946 A CN202210202946 A CN 202210202946A CN 114401327 A CN114401327 A CN 114401327A
Authority
CN
China
Prior art keywords
zero trust
zero
control center
security control
trust security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210202946.0A
Other languages
English (en)
Inventor
胡宝胜
查正朋
袁秋谨
王佳宁
盛承红
梅岩
徐健
吴俊昌
操昕
李卫东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Guoyu Hefei Technology Co ltd
Anhui Radio And Television Monitoring Station
Original Assignee
Zhongke Guoyu Hefei Technology Co ltd
Anhui Radio And Television Monitoring Station
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Guoyu Hefei Technology Co ltd, Anhui Radio And Television Monitoring Station filed Critical Zhongke Guoyu Hefei Technology Co ltd
Priority to CN202210202946.0A priority Critical patent/CN114401327A/zh
Publication of CN114401327A publication Critical patent/CN114401327A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及信息安全技术领域,尤其涉及了一种基于零信任模型的服务隐藏架构及实现方法,包括零信任安全控制中心和零信任安全代理组件,零信任安全控制中心设置于零信任安全代理组件内侧,将SDP敲门前通信的所有同步执行协议改为异步执行协议,只允许访问主体发送UDP通过零信任安全代理组件转发给零信任安全控制中心,零信任安全控制中心通过邮件、短信等其他安全通道将应答结果返回访问主体。该基于零信任模型的服务隐藏架构及实现方法,将零信任安全控制中心部署在零信任安全代理组件内侧,缩小了零信任体系风险暴露面;采用异步UDP协议替代传统TCP的思路,通过协议设计,保证访问主体在未认证通过前,无法建立TCP连接,极大提升了网络攻击难度。

Description

一种基于零信任模型的服务隐藏架构及实现方法
技术领域
本发明涉及信息安全技术领域,具体为一种基于零信任模型的服务隐藏架构及实现方法。
背景技术
零信任是面向数字时代的新型安全防护理念,是一种以资源保护为核心的网络安全范式,是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实施身份认证、获得许可后,才能访问业务应用,从而建立一次可信的安全***。
目前市场上的零信任产品主要是参照SDP架构或NIST的架构,这两种架构中SDP控制器(SDP Controler)和策略决策点(PDP)都直接暴露在公开的网络中,允许访问者建立TCP连接。而传统的网络攻击绝大部分都是建立在TCP协议基础上的,SDP控制器和PDP成为明确的攻击目标。本发明提供一种面向零信任模型,隐藏认证服务、策略服务等各类服务的架构,并提出具体实现方法,进一步减少零信任架构的安全风险点。
发明内容
本发明的目的是一种面向零信任模型,隐藏认证服务、策略服务等各类服务的架构,并提出具体实现方法,进一步减少零信任架构的安全风险点,提高整体安全性。
为实现上述目的,本发明提供如下技术方案:一种基于零信任模型的服务隐藏架构,包括零信任安全控制中心和零信任安全代理组件,所述零信任安全控制中心设置于零信任安全代理组件内侧。
优选的,所述零信任安全控制中心作为SDP的Controller和NIST的PDP的抽象,所述零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
优选的,所述零信任安全控制中心不直接暴露在公开网络中。
优选的,所述访问主体对零信任安全控制中心的访问,由零信任安全代理转发,所述零信任安全控制中心通过其他通道对访问主体完成应答。
一种基于零信任模型的服务隐藏架构实现方法,包括以下步骤:
S1:将SDP敲门前通信的所有同步执行协议,改为异步执行协议,只允许访问主体发送UDP通过零信任安全代理组件转发给零信任安全控制中心。
S2:零信任安全控制中心通过短信、邮件或其他通讯手段将应答信息发送给访问主体,访问主体根据应答结果执行后续流程,依次类推完成替代TCP协议的通信工作。
S3:SDP敲门通信协议一般为UDP协议无需改造。
S4:SDP敲门后通信协议无需改造,由零信任安全代理组件作为通讯代理,将相关协议转发给零信任安全控制中心,并将零信任安全控制中心应答结果,通过其他安全通道转发给访问主体。
优选的,所述UDP为无连接协议,当攻击者发送请求时响应方无需应答,增加了对攻击者的迷惑性,提升了攻击难度。
与现有技术相比,本发明的有益效果是:
1.该基于零信任模型的服务隐藏架构及实现方法,零信任安全控制中心是零信任体系的业务中枢,存储了海量核心数据,零信任安全控制中心暴露在公开网络中,成为零信任体系的一个风险隐患。
2.该基于零信任模型的服务隐藏架构及实现方法,将零信任安全控制中心部署在零信任安全代理组件内侧,缩小了零信任体系风险暴露面;采用异步UDP协议替代传统TCP的思路,通过协议设计,保证访问主体再未认证通过前,无法建立TCP连接,极大提升了网络攻击难度。
3.该基于零信任模型的服务隐藏架构及实现方法,进一步减少SDP架构和NIST架构的安全风险点,更好的提升零信任产品安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的面向零信任模型的服务隐藏架构。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1,本发明提供一种技术方案:一种基于零信任模型的服务隐藏架构,包括访问主体、零信任安全控制中心和零信任安全代理组件,零信任安全控制中心设置于零信任安全代理组件内侧,零信任安全控制中心作为SDP的Controller和NIST的PDP的抽象,零信任安全代理组件作为SDP的AH和NIST的PEP的抽象,零信任安全控制中心不直接暴露在公开网络中,访问主体对零信任安全控制中心的访问,由零信任安全代理转发,零信任安全控制中心通过其他通道对访问主体完成应答。
一种基于零信任模型的服务隐藏架构实现方法,包括以下步骤:
S1:将SDP敲门前通信的所有同步执行协议,改为异步执行协议,只允许访问主体发送UDP通过零信任安全代理组件转发给零信任安全控制中心。
S2:零信任安全控制中心通过短信、邮件或其他通讯手段将应答信息发送给访问主体,访问主体根据应答结果执行后续流程,依次类推完成替代TCP协议的通信工作。
S3:SDP敲门通信协议一般为UDP协议无需改造,UDP为无连接协议。
S4:SDP敲门后通信协议无需改造,由零信任安全代理组件作为通讯代理,将相关协议转发给零信任安全控制中心,并将零信任安全控制中心应答结果,转发给访问主体。
面向零信任模型的服务隐藏架构的本质减少零信任安全控制中心的暴露面,可以使用零信任安全代理组件,也可以使用其他安全防护设备;关键手段是在访问主体未经认证前,无法与零信任安全控制中心建立任何TCP连接;实现方法是重新设计注册、认证等协议,将访问主体发出的请求通过UDP协议传输,将访问主体接收的应答通过邮件、短消息等其他手段传递;零信任安全代理组件或其他防护模块通过对协议格式、协议完整性等进行校验,直接丢弃不符合规则的数据,避免数据传递到零信任安全控制中心,降低了零信任安全控制中心的风险,提高了零信任安全控制中心的执行效率;UDP为无连接协议,当攻击者发送请求时响应方无需应答,增加了对攻击者的迷惑性,提升了攻击难度。
综上所述:该基于零信任模型的服务隐藏架构及实现方法,零信任安全控制中心是零信任体系的业务中枢,存储了海量核心数据,零信任安全控制中心暴露在公开网络中,成为零信任体系的一个风险隐患;将零信任安全控制中心部署在零信任安全代理组件内侧,缩小了零信任体系风险暴露面;采用异步UDP协议替代传统TCP的思路,通过协议设计,保证访问主体再未认证通过前,无法建立TCP连接,极大提升了网络攻击难度;通过进一步减少SDP架构和NIST架构的安全风险点,更好的提升零信任产品安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种基于零信任模型的服务隐藏架构,包括访问主体、零信任安全控制中心和零信任安全代理组件,其特征在于:所述零信任安全控制中心部署在零信任安全代理组件内侧。
2.根据权利要求1所述的一种基于零信任模型的服务隐藏架构,其特征在于:所述零信任安全控制中心作为SDP的Controller和NIST的PDP的抽象,所述零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
3.根据权利要求1所述的一种基于零信任模型的服务隐藏架构,其特征在于:所述零信任安全控制中心不直接暴露在公开网络中。
4.根据权利要求1所述的一种基于零信任模型的服务隐藏架构,其特征在于:所述访问主体对零信任安全控制中心的访问,由零信任安全代理转发,所述零信任安全控制中心通过其他通道对访问主体完成应答。
5.一种基于零信任模型的服务隐藏架构实现方法,其特征在于,包括以下步骤:
S1:将SDP敲门前通信的所有同步执行协议,改为异步执行协议,只允许访问主体发送UDP通过零信任安全代理组件转发给零信任安全控制中心;
S2:零信任安全控制中心通过短信、邮件或其他通讯手段将应答信息发送给访问主体,访问主体根据应答结果执行后续流程,依次类推完成替代TCP协议的通信工作;
S3:SDP敲门通信协议一般为UDP协议无需改造;
S4:SDP敲门后通信协议无需改造,由零信任安全代理组件作为通讯代理,将相关协议转发给零信任安全控制中心,并将零信任安全控制中心应答结果,转发给访问主体。
6.根据权利要求1所述的一种基于零信任模型的服务隐藏架构实现方法,其特征在于:所述访问主体在未经认证前,零信任安全代理组件仅能接收访问主体向指定端口发送的UDP协议。
CN202210202946.0A 2022-03-03 2022-03-03 一种基于零信任模型的服务隐藏架构及实现方法 Pending CN114401327A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210202946.0A CN114401327A (zh) 2022-03-03 2022-03-03 一种基于零信任模型的服务隐藏架构及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210202946.0A CN114401327A (zh) 2022-03-03 2022-03-03 一种基于零信任模型的服务隐藏架构及实现方法

Publications (1)

Publication Number Publication Date
CN114401327A true CN114401327A (zh) 2022-04-26

Family

ID=81234708

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210202946.0A Pending CN114401327A (zh) 2022-03-03 2022-03-03 一种基于零信任模型的服务隐藏架构及实现方法

Country Status (1)

Country Link
CN (1) CN114401327A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830446A (zh) * 2019-10-14 2020-02-21 云深互联(北京)科技有限公司 一种spa安全验证的方法和装置
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全***及方法
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830446A (zh) * 2019-10-14 2020-02-21 云深互联(北京)科技有限公司 一种spa安全验证的方法和装置
CN111490993A (zh) * 2020-04-13 2020-08-04 江苏易安联网络技术有限公司 一种应用访问控制安全***及方法
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US11949656B2 (en) Network traffic inspection
Hong P2P networking based internet of things (IoT) sensor node authentication by Blockchain
US10958662B1 (en) Access proxy platform
US11457040B1 (en) Reverse TCP/IP stack
CN108429730B (zh) 无反馈安全认证与访问控制方法
CN111586025B (zh) 一种基于sdn的sdp安全组实现方法及安全***
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
Hijazi et al. Address resolution protocol spoofing attacks and security approaches: A survey
CN110830446B (zh) 一种spa安全验证的方法和装置
CN111586026B (zh) 一种基于sdn的软件定义边界实现方法及***
CN104869111B (zh) 一种终端可信接入认证***及方法
Hijazi et al. A new detection and prevention system for ARP attacks using static entry
CN112769568B (zh) 雾计算环境中的安全认证通信***、方法、物联网设备
CA2506418C (en) Systems and apparatuses using identification data in network communication
Rashid et al. Proposed methods of IP spoofing detection & prevention
CN111130769A (zh) 一种物联网终端加密方法及装置
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
CN115065564B (zh) 一种基于零信任机制的访问控制方法
CN115664693A (zh) 资源访问***、方法、电子设备和存储介质
Feng et al. A dual-layer zero trust architecture for 5G industry MEC applications access control
Fang et al. Zero‐Trust‐Based Protection Scheme for Users in Internet of Vehicles
CN110474922A (zh) 一种通信方法、pc***及接入控制路由器
Xia et al. An identity authentication scheme based on SM2 algorithm in UAV communication network
CN114401327A (zh) 一种基于零信任模型的服务隐藏架构及实现方法
Lei et al. Edge-enabled zero trust architecture for ICPS with spatial and temporal granularity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination