本发明专利技术公开了一种基于SDP架构的网络访问控制方法,涉及通信技术领域,应用于SDP客户端、SDP控制器和SDP网关构成的SDP系统架构中,所述SDP客户端为C/S型客户端应用、B/S型Web应用统一的应用访问入口,所述支持应用级别的访问控制,SDP控制器提供身份管理、可信评估以及策略管理组件,所述SDP网关对应用业务进行隐藏保护。本发明专利技术利用SPA敲门包密钥关联一个索引,从而提高SPA服务密钥匹配定位效率,大大提高SPA验证效率,从而提高SDP网关服务能力,同时也提高了对DDOS攻击的抵抗能力;将SPA验证与防火墙规则都统一在内核空间,提高验证和过滤规则设置效率,在数据包根据规则是否放行方面,从规则设置到根据规则放行或丢弃效率也得到了提高。到了提高。到了提高。
【技术实现步骤摘要】
一种基于SDP架构的网络访问控制方法
[0001]本专利技术涉及通信
,具体是一种基于SDP架构的网络访问控制方法。
技术介绍
[0002]SDP(Software Defined Perimeter,软件定义边界)是在网络边界模糊和消失趋势下给业务资源提供的隐身衣,它使网络黑客看不到目标而无法发动攻击。SDP架构主要由SDP客户端、SDP控制器、SDP网关三个主要部分组成。SDP客户端为C/S型客户端应用、B/S型Web应用提供统一的应用访问入口,支持应用级别的访问控制。SDP控制器提供身份管理、可信评估、策略管理等组件。SDP网关对应用业务进行隐藏保护。
[0003]客户要获得SDP网关后面隐藏的服务,必须通过单包授权(Single Packet Authorization,SPA)敲开被SDP网关隐藏的服务端口。敲门过程的第一步通常是由SDP客户端发送一个SPA认证包给SDP网关,SDP网关认证该报文合法后,将根据SPA认证包的内容开放相应的端口。从而使客户能够通过打开的端口进行后续的认证和服务。
[0004]SDP网关在这里起到一个屏障的作用,其自身的安全与高效尤为重要。SPA敲门包的内容按照规范包含客户端的IP,防重放攻击的随机数,时间戳,客户端身份信息,要敲开的服务端口等。最新的2.0规范还包含一次性口令密码做进一步身份验证。SDP控制器会为每个SDP客户端分配两个密钥(密钥A,密钥B),密钥A用于对敲门内容加密,加密后的内容用密钥B计算Hash,hash结果附加在加密的敲门内容的后面,构成一个最终的敲门包,敲门包可以看作由加密的敲门内容与加密内容的Hash两部分构成。SDP控制器会将SDP网关所服务的所有客户端密钥下发给它,因此SDP网关拥有很多客户端的密钥。SDP网关收到来自客户端的敲门包后,尝试用其拥有的某个密钥B对加密的敲门包内容做Hash,当某一个密钥B的Hash结果与收到的敲门包所携带的Hash结果一致,则判为一个合法的敲门包,并用与密钥B对应的密钥A解码敲门内容,并进一步根据敲门包的内容做身份与合法性验证。当验证通过后,会通过Iptables或其它防火墙设置规则,针对性的开放端口。
[0005]这个过程中,为防御DDOS攻击和足够高效与安全,敲门内容加密用的是对称加密,加密密钥本身并不会被敲门包所携带。同时为服务不同的SDP客户,且方便灵活的管理权限,每个SDP客户端的密钥是不同的,因此SDP网关维护的客户端密钥数据量常常会较多,由于当前的匹配过程是逐一匹配,密钥匹配效率很低。
[0006]SPA包验证程序工作在用户空间,每个敲门包都经历了内核网络协议栈,并最终到达用户空间。经历了复杂的网络协议栈处理、中断、内核空间到用户空间切换。同时在验证成功后又通过Iptables等工具将防火墙策略设置到内核的netfilter,又经历了用户空间到内核空间的切换,同时netfiler的规则缺少整理与合并,表链往往很长导致规则匹配过程时间开销也是随表链长度线性增长。整个验证过程与防火墙设置、规则匹配过程开销很高,当服务大量客户时容易形成瓶颈,同时易受DDOS攻击的影响。
[0007]于是,在此提出一种基于SDP架构的网络访问控制方法。
技术实现思路
[0008]解决的技术问题
[0009]本专利技术的目的就是为了弥补现有技术的不足,针对SDP网关匹配敲门包解密密钥过程的低效和数据包的传输路径与规则设置的低效,提供了一种解决方法,具体为一种基于SDP架构的网络访问控制方法。
[0010]技术方案
[0011]为实现上述目的,本专利技术提供如下技术方案:一种基于SDP架构的网络访问控制方法,应用于SDP客户端、SDP控制器和SDP网关构成的SDP系统架构中,所述SDP客户端为C/S型客户端应用、B/S型Web应用提供统一的应用访问入口,所述支持应用级别的访问控制,SDP控制器提供身份管理、可信评估以及策略管理组件,所述SDP网关对应用业务进行隐藏保护,访问SDP网关需通过SPA敲门包来敲开被SDP网关隐藏的服务端口,所述SPA敲门包中明文的形式携带一个密钥索引,所述SDP控制器下发SDP网关密钥信息时同时绑定该密钥索引,所述SDP网关基于客户端的密钥索引建立一个Hash表,并将所述SPA包验证程序工作在用户空间移入内核空间,使所述SPA敲门包的验证与设置统一在内核空间进行,并针对SPA敲门在内核空间设置管理放行规则。
[0012]优选的,所述Hash表以索引为键,以密钥为值,SDP网关收到敲门包时,该索引以O(1)时间复杂度定位密钥,并验证hash,和解密。
[0013]优选的,所述管理放行规则包括严格模式规则表和宽松模式规则表。
[0014]优选的,所述严格模式规则表以敲门包源ip和目的端口的hash值为key,端口开放时间、敲门包随机数等其它信息为值。
[0015]优选的,所述宽松模式规则表以目的端口为键,端口开放时间、敲门包随机数等其它信息为值。
[0016]优选的,所述严格模式规则表和宽松模式规则表每隔一定时间或者定时时钟中断到来时进行清理。
[0017]有益效果:
[0018]与现有技术相比,该基于SDP架构的网络访问控制方法具备如下有益效果:
[0019]一、本专利技术利用SPA敲门包密钥关联一个索引,从而提高SPA服务密钥匹配定位效率,大大提高SPA验证效率,从而提高SDP网关服务能力,同时也提高了对DDOS攻击的抵抗能力。
[0020]二、本专利技术将通过SPA验证与防火墙规则,提高验证和过滤规则设置效率,在数据包根据规则是否放行方面,从规则设置到根据规则放行或丢弃效率也得到了提高。
附图说明
[0021]图1为本专利技术的网络访问控制的流程图。
具体实施方式
[0022]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本专利技术保护的范围。
[0023]请参阅图1所示,本专利技术提供一种技术方案:一种基于SDP架构的网络访问控制方法,应用于SDP客户端、SDP控制器和SDP网关构成的SDP系统架构中,所述SDP客户端为C/S型客户端应用、B/S型Web应用提供统一的应用访问入口,所述支持应用级别的访问控制,SDP控制器提供身份管理、可信评估以及策略管理组件,所述SDP网关对应用业务进行隐藏保护,访问SDP网关需通过SPA敲门包来敲开被SDP网关隐藏的服务端口,针对SPA密钥匹配过程的低效,本专利技术在SPA敲门包中明文的形式携带一个密钥索引,SDP控制器下发SDP网关密钥信息时同时绑定这个索引,SDP网关基于客户端的密钥索引建立一个Hash表,以索引为键,以密钥为值,当SDP网关收到敲门包时,通过该索引以O(1)时间复杂度直接定位密钥,并验证hash,和解密,可大本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于SDP架构的网络访问控制方法,应用于SDP客户端、SDP控制器和SDP网关构成的SDP系统架构中,所述SDP客户端为C/S型客户端应用、B/S型Web应用提供统一的应用访问入口,所述支持应用级别的访问控制,SDP控制器提供身份管理、可信评估以及策略管理组件,所述SDP网关对应用业务进行隐藏保护,访问SDP网关需通过SPA敲门包来敲开被SDP网关隐藏的服务端口,其特征在于:所述SPA敲门包中明文的形式携带一个密钥索引,所述SDP控制器下发SDP网关密钥信息时同时绑定该密钥索引,所述SDP网关基于客户端的密钥索引建立一个Hash表,并将所述SPA包验证程序工作在用户空间移入内核空间,使所述SPA敲门包的验证与设置统一在内核空间进行,并针对SPA敲门在内核空间设置管理放行规则。2.根据权利要求1所述的一种基于SDP架构的网络访问控制方法,...
【专利技术属性】
技术研发人员:于新宇,关冬亮,冉幼松,
申请(专利权)人:上海安几科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。