零信任模式下基于网络隐身的客户端安全分发方法技术

本发明专利技术公开一种零信任模式下基于网络隐身的客户端安全分发方法，通过邮件或者短信有针对性的定向分发客户端，并且在SDP控制器配置客户端软件时自动把SDP控制器信息动态内置进去，这样使得给每个用户分发的客户端都是独一无二的。也就实现了“专端专用”，即使是合法的两个用户之间也不能混用对方的客户端。本发明专利技术中内置的敲门码code第一次使用后即变化，反向更新到已经安装的客户端上，使得已经下载的客户端软件自动失效。同时，由于本发明专利技术在合法用户已下载的客户端中内置有最新的SDP控制器全局策略和用户策略，使得在敲门SDP控制器前就能够获得全局策略和用户策略，并在用户登录前能执行相应全局策略和用户策略。前能执行相应全局策略和用户策略。前能执行相应全局策略和用户策略。

【技术实现步骤摘要】
零信任模式下基于网络隐身的客户端安全分发方法


[0001]本专利技术属于计算机网络领域，具体涉及一种零信任模式下基于网络隐身的客户端安全分发方法。

技术介绍

[0002]零信任SDP安全模型包括SDP控制器、SDP网关和SDP客户端，SDP客户端发起连接请求，SDP控制器认证客户端请求，并控制SDP客户端与SDP网关建立数据通道。
[0003]SDP客户端通过敲门技术携带认证信息，包含用户名、密码、终端信息、网络环境等，然后由SDP控制器对这些认证信息组合的多因素身份进行验证，向客户端返回SDP网关列表及权限列表；SDP控制器自身具备安全策略管理，能够动态管控用户的认证和访问行为，以及与企业已有的身份管理、态势感知等系统对接；默认情况下，SDP网关拒绝一切连接请求，只有SDP控制器下发认证策略后，才动态接受指定SDP客户端的连接，通过加密传输的方式代理SDP客户端和应用的数据通信，同时根据控制器下发的控制策略，管理通信过程。
[0004]SDP网络隐身作为零信任SDP最关键的技术之一，其目标之一是克服传输控制协议/互联网协议地址TCP/IP开放和不安全的基本特性，实现“先认证后连接”，使得只有被授权的用户才能可靠地访问，而未授权用户则看不到这些服务。SDP网络隐身的核心网络安全协议为单包授权SPA，单包授权SPA在允许访问控制器、网关等相关系统组件所在的网络之前，先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型。
[0005]单包授权SPA包括包含有请求方的IP地址等在内的连接请求的信息，在单一的网络信息中被加密和认证，通过配置默认丢弃(Default
‑
Drop)的防火墙策略使保护的服务对外不可见，该防火墙系统丢弃所有TCP和用户数据报协议UDP数据包，不回复连接尝试，从而不为潜在的攻击者提供任何关于该端口是否正被监听的信息。用户尝试访问时，必须先验证用户的身份、设备和网络信息，然后允许用户网络访问零信任系统组件SDP控制器和SDP网关，最后用户才被允许访问该服务。所以，单包授权SPA对于零信任SDP安全模型不可或缺。
[0006]但是，现有的零信任SDP安全模型以及单包授权SPA方法则存在以下技术缺陷：
[0007]1)现有大多数方案是分发出去的客户端是标准品，没有内置管理端信息，客户端要登录之前需要配置管理端信息，易用性不好；
[0008]2)有些客户端为了解决易用性问题，针对某个特定的局点控制器安装情况，在发出客户端之前先把控制器信息内置进去，然后再把这个客户端提供给用户下载；这里就存在着每遇到一个部署局点都要手工把控制器信息内置进去的动作；
[0009]3)由于现有技术提供的是通用客户端下载页面，使得黑客也能拿到客户端软件，拿到客户端软件后，成功攻破控制器的概率就大大增加；
[0010]4)现有技术方案中，客户端一旦被下载下来，就可以被随处复制使用，对端设备的管控造成了很大的风险；
[0011]5)现存技术方案没有办法判断是否允许一个新终端敲门，比如有些公司约定一个
人只能有一台设备可以敲门；
[0012]6)现有方案在敲门成功前没有办法从控制器把全局策略拉取下来。

技术实现思路

[0013]专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种零信任模式下基于网络隐身的客户端安全分发方法；通过本专利技术能够保证端定向发放给指定人员，实现专端专用，每个合法用户都有一个或者多个指定的端可以用控制器主动把自己需要的安全信息内置到端里面去，解决第一次需要敲开门才能获取到全局策略和用户策略的疑难问题。
[0014]技术方案：本专利技术的一种零信任模式下基于网络隐身的客户端安全分发方法，包括以下步骤：
[0015]步骤(1)生成SDP客户端软件的具体步骤为：
[0016]步骤(1.1)安装好SDP控制器和SDP应用网关；管理员到SDP控制器配置页里面配置要分发的客户端软件；保存配置后SDP控制器立即在指定的客户端软件文件中放置controller加密文件，controller加密文件中含有安装SDP控制器过程配置的控制器参数；此处由于controller加密文件是依据SDP控制器自动配置的，其运维成本较低；同时又因为controller加密文件是内置到客户端软件中的，因此用户在后续安装并登录时，可以省去输入SDP控制器信息的步骤，能够解决现有技术中的易用性问题；
[0017]步骤(1.2)管理员在SDP控制器的策略模块中配置和具体用户无关的全局策略；当管理员点击保存以后，自动在客户端软件生成加密的globalPolicy文件，globalPolicy文件中存储有全局策略；
[0018]步骤(1.3)管理员在SDP控制器的用户管理模块创建用户名为employee的用户，并绑定用户邮箱地址或者手机号，同时设定employee用户的数字化唯一标识为employeeKey；
[0019]步骤(1.4)点击保存后系统为用户employee分配全局唯一的敲门码encryptedCode；在SDP控制器管理端记录下用户名到code码的映射关系：employeeKey:[encryptedCode]；此处敲门码code还可以结合固定资产来生成，即将敲门码code用于设备标识,这样能够实现只允许使用公司的固定资产接入IT系统；进一步提高安全性能；
[0020]步骤(1.5)然后生成供用户employee下载客户端软件的链接，同时通过邮件或手机短信将该链接发送给用户employee；
[0021]步骤(2)下载SDP客户端软件的具体步骤为
[0022]步骤(2.1)管理员在SDP控制器用户配置页面针对用户employee创建一个用户策略，同时生成一个放置该用户策略的employeePolicy文件；
[0023]步骤(2.2)当用户employee点击收到的下载客户端软件的链接时；下载中心首先解析出链接中用户employee的唯一标识employeeKey和对应敲门码encryptedCode；
[0024]步骤(2.3)查询SDP控制器是否存在employeeKey
‑
encryptedCode这个映射，如果不存在，则返回错误页面；如果存在，则生成一个code文件，code文件中存放加密后的employeeKey
‑
encryptedCode键值对；
[0025]步骤(2.4)先复制一份客户端软件，然后把code文件和employeePolicy文件均都放入该客户端软件，接着将修改后的客户端软件返回给用户employee。
[0026]至此生成及下载的客户端带有敲门所需的认证信息，因此保留有零信任SDP安全模型的敲门机制和网络隐身功能；只有合法客户端和用户才能登录过程敲开SDP控制器的门，所以能够在客户登录成功前就能从控制器拿到全局策略；本专利技术能够结合不同合法的客户端之间混用乱用问题，例如禁止用户emp本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任模式下基于网络隐身的客户端安全分发方法，其特征在于：包括以下步骤：步骤(1)生成SDP客户端软件的具体步骤为：步骤(1.1)安装好SDP控制器和SDP应用网关；管理员到SDP控制器配置页里面配置要分发的客户端软件；保存配置后SDP控制器立即在指定的客户端软件文件中放置controller加密文件，controller加密文件中含有安装SDP控制器过程配置的控制器参数；步骤(1.2)管理员在SDP控制器的策略模块中配置和具体用户无关的全局策略；当管理员点击保存以后，自动在客户端软件生成加密的globalPolicy文件，globalPolicy文件中存储有全局策略；步骤(1.3)管理员在SDP控制器的用户管理模块创建用户名为employee的用户，并绑定用户邮箱地址或者手机号，同时设定用户employee的数字化唯一标识为employeeKey；步骤(1.4)点击保存后系统为用户employee分配全局唯一的敲门码encryptedCode；在SDP控制器管理端记录下用户名到code码的映射关系：employeeKey:[encryptedCode]；步骤(1.5)然后生成供用户employee下载客户端软件的链接，同时通过邮件或手机短信将该链接发送给用户employee；步骤(2)下载SDP客户端软件的具体步骤为步骤(2.1)管理员在控制器用户配置页面针对用户employee创建一个用户策略，同时生成一个放置该用户策略的employeePolicy文件；步骤(2.2)当用户employee点击收到的下载客户端软件的链接时；下载中心首先解析出链接中用户employee的唯一标识employeeKey和对应敲门码encryptedCode；步骤(2.3)查询SDP控制器是否存在employeeKey
...

【专利技术属性】
技术研发人员：杨安印，杨正权，秦益飞，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：