【技术实现步骤摘要】
本专利技术涉及通信,具体是一种基于sdp架构的网络访问控制系统。
技术介绍
1、sdp(software defined perimeter,软件定义边界)是在网络边界模糊和消失趋势下给业务资源提供的隐身衣,它使网络黑客看不到目标而无法发动攻击。sdp架构主要由sdp客户端、sdp控制器、sdp网关三个主要部分组成。sdp客户端为c/s型客户端应用、b/s型web应用提供统一的应用访问入口,支持应用级别的访问控制。sdp控制器提供身份管理、可信评估、策略管理等组件。sdp网关对应用业务进行隐藏保护。
2、客户要获得sdp网关后面隐藏的服务,必须通过单包授权(single packetauthorization,spa)敲开被sdp网关隐藏的服务端口。敲门过程的第一步通常是由sdp客户端发送一个spa认证包给sdp网关,sdp网关认证该报文合法后,将根据spa认证包的内容开放相应的端口。从而使客户能够通过打开的端口进行后续的网络服务。
3、sdp网关在这里起到一个屏障的作用,其自身的安全与高效尤为重要。spa敲门包的内容按照规范包含客户端的ip,防重放攻击的随机数,时间戳,客户端身份信息,要敲开的服务端口等。最新的2.0规范还包含一次性口令密码做进一步身份验证。sdp网关收到来自客户端的敲门包后,根据敲门包的内容做进行验证。当验证通过后,会通过iptables或其它防火墙设置规则,针对性的开放端口。
4、spa包验证程序工作在用户空间,每个敲门包都经历了内核网络协议栈,并最终到达用户空间。经历了
5、于是,本专利技术在此提出一种基于sdp架构的网络访问控制系统。
技术实现思路
1、解决的技术问题
2、本专利技术的目的就是为了弥补现有技术的不足,提供了一种基于sdp架构的网络访问控制系统。
3、技术方案
4、为实现上述目的,本专利技术提供如下技术方案:一种基于sdp架构的网络访问控制系统,应用于sdp客户端、sdp控制器和sdp网关构成的sdp系统架构中,其特征在于:所述sdp网关包括储存安全码及相关内容的敲门码池,负责敲门安全码的更新与维护的控制中心,负责敲门包的检查、验证与处理的敲门服务,负责对数据包的丢弃与转发的转发执行单元和用于储存规则的转发规则表,访问所述sdp网关需通过spa敲门包来敲开被sdp网关隐藏的服务端口,所述spa敲门包中明文的形式携带一个密钥索引,所述控制中心下发密钥信息时绑定该密钥索引,基于hash表的安全码池以该索引为键,以密钥等信息为值,收到敲门包时,通过该索引以o(1)时间复杂度定位密钥,并验证hash,和解密。
5、优选的,所述转发执行单元为用户空间的程序或内核空间的ebpf程序,转发执行单元可以是用户空间的程序,也可以是内核空间的ebpf程序,转发规则表可以如图1所示建立在用户空间,供用户空间的转发执行单元使用;也可如图2所示建立在内核空间,如通过ebpf的map建立在内核空间,供内核空间的ebpf技术实现的转发执行单元使用,严格模式的规则表以敲门包源ip和目的端口的hash值为key,端口开放时间、敲门包随机数等其它信息为值,宽松模式规则表,以目的端口为键,端口开放时间、敲门包随机数等其它信息为值。
6、优选的,所述转发规则表包括严格、宽松和不限制三种模式,敲门模式(严格、宽松、不限制)可以由控制中心进行配置,收到的数据包为非敲门包根据转发规则表及当前模式,对收到的数据包进行放行或丢弃,如果是不限制模式,直接放行;如果是宽松模式查询宽松规则表决定是否放行;如果是严格模式,查询严格规则表决定是否放行。每隔一定时间或者定时时钟中断到来时清理规则表。
7、优选的,所述严格模式的规则表以敲门包源ip和目的端口的hash值为key,端口开放时间、敲门包随机数等其它信息为值。
8、优选的,所述宽松模式规则表,以目的端口为键,端口开放时间、敲门包随机数等其它信息为值。
9、优选的,严格模式所述的转发规则表和宽松模式的转发规则表每隔一定时间或者定时时钟中断到来时进行清理。
10、有益效果:
11、与现有技术相比,该基于sdp架构的网络访问控制系统具备如下有益效果:
12、一、本专利技术可以复用现有的以用户空间为主的敲门服务。
13、二、本专利技术通过结合几种更新的技术提高数据包传输效率。推荐使用pf_ring或dpdk技术代替目前以libpcap技术为主的包捕获技术,来提高数据包到达用户空间的敲门服务等单元效率。
14、三、本专利技术通过基于hash的规则表改进目前iptables的规则表,提高包的拦截转发效率与设置效率。
本文档来自技高网...【技术保护点】
1.一种基于SDP架构的网络访问控制系统,应用于SDP客户端、SDP控制器和SDP网关构成的SDP系统架构中,其特征在于:所述SDP网关包括储存安全码及相关内容的敲门码池,负责敲门安全码的更新与维护的控制中心,负责敲门包的检查、验证与处理的敲门服务,负责对数据包的丢弃与转发的转发执行单元和用于储存规则的转发规则表,访问所述SDP网关需通过SPA敲门包来敲开被SDP网关隐藏的服务端口,所述SPA敲门包中明文的形式携带一个密钥索引,所述控制中心下发密钥信息时绑定该密钥索引,基于Hash表的安全码池以该索引为键,以密钥等信息为值,收到敲门包时,通过该索引以O(1)时间复杂度定位密钥,并验证hash,和解密。
2.根据权利要求1所述的一种基于SDP架构的网络访问控制系统,其特征在于:所述转发执行单元为用户空间的程序或内核空间的EBPF程序。
3.根据权利要求2所述的一种基于SDP架构的网络访问控制系统,其特征在于:所述转发规则表包括严格、宽松和不限制三种模式。
4.根据权利要求3所述的一种基于SDP架构的网络访问控制系统,其特征在于:严格模式的所述转发
5.根据权利要求4所述的一种基于SDP架构的网络访问控制系统,其特征在于:宽松模式的转发规则表以目的端口为键,端口开放时间、敲门包随机数等其它信息为值。
6.根据权利要求5所述的一种基于SDP架构的网络访问控制系统,其特征在于:严格模式所述的转发规则表和宽松模式的转发规则表每隔一定时间或者定时时钟中断到来时进行清理。
...【技术特征摘要】
1.一种基于sdp架构的网络访问控制系统,应用于sdp客户端、sdp控制器和sdp网关构成的sdp系统架构中,其特征在于:所述sdp网关包括储存安全码及相关内容的敲门码池,负责敲门安全码的更新与维护的控制中心,负责敲门包的检查、验证与处理的敲门服务,负责对数据包的丢弃与转发的转发执行单元和用于储存规则的转发规则表,访问所述sdp网关需通过spa敲门包来敲开被sdp网关隐藏的服务端口,所述spa敲门包中明文的形式携带一个密钥索引,所述控制中心下发密钥信息时绑定该密钥索引,基于hash表的安全码池以该索引为键,以密钥等信息为值,收到敲门包时,通过该索引以o(1)时间复杂度定位密钥,并验证hash,和解密。
2.根据权利要求1所述的一种基于sdp架构的网络访问控制系统,其特征在于:所述转发执行单元为用...
【专利技术属性】
技术研发人员:于新宇,关冬亮,
申请(专利权)人:上海安几科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。