基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法技术

本发明专利技术属于网络安全技术领域，特别涉及一种基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法，在由应用平面、控制平面和数据平面构成的三层平面架构下，利用SDP组件为数据平面的接入终端设备进行安全管控；在数据平面中的SR网络域外节点、SR网络域入口路由器及网络服务资源间，部署基于信任阈值进行恶意终端检测的多级应用网关；该多级应用网关至少包含：用于对接入SR网络域内终端设备进行入网通信级身份验证的一级应用网关，及用于对接入SR网络域内终端设备进行资源访问级身份验证的二级应用网关，其中，一级应用网关信任阈值低于二级应用网关信任阈值。本发明专利技术通过引入SDP组件为接入SR数据平面的终端设备提供安全部署方案，部署灵活，便于实际场景应用。便于实际场景应用。便于实际场景应用。

【技术实现步骤摘要】
基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法


[0001]本专利技术属于网络安全
，特别涉及一种基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法。

技术介绍

[0002]在分段路由为未来网络带来敏捷性的同时，也为网络带来因引入新组件、新协议而产生的控制器单点失效、SR节点服务失效等新隐患。但目前学术界对SR安全技术鲜有研究；产业界为确保其安全性主要基于防火墙、VPN等硬件边界式安全组件，缺少体系化安全解决方案，又缺乏部署灵活性，难以面向移动互联、云计算、边缘计算、IaaS等新型应用场景为网络提供安全防护。软件定义边界(Software Defined Perimeter,SDP)是一种新型通用网络防御方案，其本质是一种利用SDP控制器、连接发起主机、连接接受主机等软件定义组件，在访问主客体间构建安全边界的访问控制架构，可实现服务及端口隐藏。将SDP安全架构与SR网络架构结合，有望实现安全和功能的良性耦合。

技术实现思路

[0003]本专利技术提供一种基于SDP组件的网络架构及面向新型网络的终端设备安全防护方法，通过引入软件定义边界(Software Defined Perimeter)SDP组件为接入分段路由(SegmentRouting)SR数据平面的终端设备提供安全部署方案，可面向移动互联、云计算、边缘计算、IaaS等新型应用场景网络提供安全防护，便于实际场景应用。
[0004]按照本专利技术所提供的设计方案，提供一种基于SDP组件的网络架构，在应用平面、控制平面和数据平面的三层平面架构下，利用SDP组件为数据平面的接入终端设备进行安全管控，在数据平面中的SR网络域外节点、SR网络域入口路由器及网络服务资源间，部署基于信任阈值进行恶意终端检测的多级应用网关，该多级应用网关至少包含：用于对接入SR网络域内终端设备进行入网通信级身份验证的一级应用网关，及用于对接入SR网络域内终端设备进行资源访问级身份验证的二级应用网关，其中，一级应用网关信任阈值低于二级应用网关信任阈值。
[0005]本专利技术基于SDP组件的网络架构中，进一步地，应用平面中同时集成有SDP应用和SR应用；控制平面中部署有SDP控制器及用于控制SR路由器的控制模块，该控制模块为SR网络控制器或SR路径计算单元，SDP控制器及控制模块组件之间建立mTLS连接；数据平面中，将公开网络中的用户和/或主机绑定为网络代理，并利用映射函数将该网络代理映射为连接发起主机，利用SDP控制器并结合多级应用网关对连接发起主机进行恶意终端威胁管控。
[0006]本专利技术基于SDP组件的网络架构中，进一步地，控制平面中各节点通过运行标签管理器来确保SR网络中SR组件与非SR组件之间的通信，其中，SR组件至少包含：SR路径计算单元、SR网络控制器及SR路由器，非SR组件至少包含：连接发起主机和连接接受主机。
[0007]进一步地，基于上述的网络架构，本专利技术还提供一种面向新型网络的终端设备安
全防护方法，将SR域入口节点和SR域内服务资源处设置的层级式应用网关作为连接接受主机，利用层级式连接接受主机对SR网络中接入域内的终端设备进行梯度式访问控制。
[0008]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，应用平面中集成有SDP应用和SR应用；控制平面中部署有SDP控制器及用于控制SR路由器的控制模块，该控制模块为SR网络控制器或SR路径计算单元，SDP控制器及控制模块组件之间建立mTLS连接；数据平面中，将公开网络中的用户和/或主机绑定为网络代理，并利用映射函数将该网络代理映射为连接发起主机，利用SDP控制器并结合多级应用网关对连接发起主机进行恶意终端威胁管控，多级应用网关呈串联模式分别接入SR网络域入口节点和服务资源。
[0009]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，连接发起主机接入SR网络前，预先通过接入应用平面进行网络代理身份验证和安全信息项的读取录入。
[0010]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，连接发起主机通过一级应用网关连接至路由设备，并通过域入口路由节点请求SDP控制器对其进行身份认证；SDP控制器认证通过后，向连接发起主机授权可访问连接接受主机列表、访问凭据及访问策略，并向主机列表中涉及的连接接受主机通告已授权连接发起主机身份、访问凭据及访问策略；一级应用网关修改包过滤规则，向连接发起主机转达授权相关信息；连接发起主机使用访问凭据及自身SPA包与一级应用网关建立mTLS连接。
[0011]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，连接发起主机访问二级应用网关时，以SR网络域入口节点为头节点，生成到达二级应用网关直连路由设备的Segment列表，将该列表压入数据包报头，并将包含访问凭据的SPA包作为数据包负载，通过SR源路由传送机制向二级应用网关请求访问，通过验证后经中间路由器为其与二级应用网关之间建立mTLS连接。
[0012]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，一级应用网关持续对连接发起主机进行信任评估，若连接发起主机临时访问凭据到期时，其信任值高于信任阈值时，允许信用续租，访问凭据延期，否则关闭其与一级应用网关之间的mTLS连接，并设置需经SDP控制器重新验证后再恢复连接。
[0013]作为本专利技术面向新型网络的终端设备安全防护方法，进一步地，一级应用网关访问控制中的异常检测，包含：通过检测接收到的报文包中MPLS报头标签数量关系来判断是否为连接发起主机对域内标签进行探测；以SR网络中可用带宽下降的负反馈来判定连接发起主机对域内的环路攻击，利用SR域控制器对环路包中源IP溯源判断攻击来源；通过连接发起主机向一级应用网关发送报文的平稳度及转发速率来判断其节点行为是否异常。
[0014]本专利技术的有益效果：
[0015]本专利技术现有SDP组件面向SR网络进行适应性改造，并用于SR网络安全防护，便于SR网络终端设备的安全管控实施；针对SR域入口节点和SR域内服务资源分别设置两级SDP AH，实现了SR网络对接入域内的终端设备的“梯度式”访问控制；并在SDP组件对SDP IH实现的安全管控基础上，通过对其标签探测、环路攻击等攻击样式的识别，基于其行为负反馈来进行信任评估和安全控制，通过拓展原SDP组件的安全功能来进一步提升SR网络安全性能，具有较好的应用前景。
附图说明：
[0016]图1为实施例中基于SDP组件的网络架构示意；
[0017]图2为实施例中面向新型网络的终端设备安全防护原理示意。
具体实施方式：
[0018]为使本专利技术的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本专利技术作进一步详细的说明。
[0019]本专利技术实施例，参见图1所示，提供一种基于SDP组件的网络架构，在应用平面、控制平面和数据平面的三层平面架构下，利用SDP组件为数据平面的接入终端设备进行安全管控，在数据平面中的SR网络域外节点、SR网络域本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SDP组件的网络架构，在应用平面、控制平面和数据平面的三层平面架构下，利用SDP组件为数据平面的接入终端设备进行安全管控，其特征在于，在数据平面中的SR网络域外节点、SR网络域入口路由器及网络服务资源间，部署基于信任阈值进行恶意终端检测的多级应用网关，该多级应用网关至少包含：用于对接入SR网络域内终端设备进行入网通信级身份验证的一级应用网关，及用于对接入SR网络域内终端设备进行资源访问级身份验证的二级应用网关，其中，一级应用网关信任阈值低于二级应用网关信任阈值。2.根据权利要求1所述的基于SDP组件的网络架构，其特征在于，应用平面中同时集成有SDP应用和SR应用；控制平面中部署有SDP控制器及用于控制SR路由器的控制模块，该控制模块为SR网络控制器或SR路径计算单元，SDP控制器及控制模块组件间建立mTLS连接；数据平面中，将公开网络中的用户和/或主机绑定为网络代理，并利用映射函数将该网络代理映射为连接发起主机，利用SDP控制器并结合多级应用网关对连接发起主机进行恶意终端威胁管控。3.根据权利要求1或2所述的基于SDP组件的网络架构，其特征在于，控制平面中各节点通过运行标签管理器来确保SR网络中SR组件与非SR组件之间的通信，其中，SR组件至少包含：SR路径计算单元、SR网络控制器及SR路由器，非SR组件至少包含：连接发起主机和连接接受主机。4.一种面向新型网络的终端设备安全防护方法，其特征在于，基于权利要求1所述的架构实现，该实现过程包含如下内容：将SR域入口节点和SR域内服务资源处设置的层级式应用网关作为连接接受主机，利用层级式连接接受主机对SR网络中接入域内的终端设备进行梯度式访问控制。5.根据权利要求4所述的面向新型网络的终端设备安全防护方法，其特征在于，应用平面中集成有SDP应用和SR应用；控制平面中部署有SDP控制器及用于控制SR路由器的控制模块，该控制模块为SR网络控制器或SR路径计算单元，SDP控制器及控制模块组件之间建立mTLS连接；数据平面中，将公开网络中的用户和/或主机绑定为网络代理，并利用映射函数将该网络代理映射为连接发起主机，利用SDP控制器并结合多级应用网关...

【专利技术属性】
技术研发人员：伊鹏，王亮，胡宇翔，张鹏，周锟，傅敏，祖铄迪，曲彦泽，孙重鑫，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：