【技术实现步骤摘要】
一种基于SDN的零信任快速调度控制方法及系统
[0001]本专利技术涉及信息安全技术云计算安全领域,具体涉及一种基于SDN的零信任快速调度控制方法及系统。
技术介绍
[0002]随着计算机网络和云计算虚拟化技术的日渐成熟,当今的网络调度控制机制已经难以应对越来越多的新型网络攻击,这也使得信息安全问题变得日渐突出,受到人们越来越多的关注。SDN是一种新型网络架构,其核心技术就是把网络设备的控制平面和转发平面分离,采用控制器集中控制的方式来替代原本分散在各个网络设备上的控制引擎功能,通过定义开放的可编程接口实现业务的灵活定制。
[0003]零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,概括的说就是“持续验证,永不信任”。默认不信任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信和链路可信。
[0004]虽然有许多技术来解决这类安全问题,但是没有一种完美的结合SDN和零信任机制进行虚拟安全设备调度的方法和系统,本专利技术在信任度评估和实际流量调度方面...
【技术保护点】
【技术特征摘要】
1.一种基于SDN的零信任快速调度控制方法,其步骤为:1)生成多个不同种类安全虚拟机的组合,并能够根据流量实时增加或减少安全虚拟机的数量,也能够管理安全虚拟机的生命周期;2)用户访问目标服务需要首先通过身份认证;3)用户通过身份认证之后,采取不信任并始终验证的思想,持续计算用户的信任度;4)根据信任度级别的不同生成不同的调度策略,下发到对应的安全虚拟机,让用户的流量持续经过不同安全虚拟机的检测,并持续计算信任度;5)在此过程中完整记录用户的访问和行为日志。2.如权利要求1所述的方法,其特征在于,步骤1)中,所述安全虚拟机根据对应的模板生成,模板由管理员事先配置,包括各种类型的虚拟安全设备和网络设备,同类型的安全虚拟机在一个小的集合中,便于快速配置和分发;安全虚拟机扩展指的是可以方便快速的生成需要的安全虚拟机或者销毁不要的安全虚拟机,也能够快速的更改对应安全虚拟机的配置;安全虚拟机生命周期管理指的是可以对单个安全虚拟机从创建、启动、关机、重启、销毁等进行全生命周期管理,以便安全虚拟机扩展的功能。3.如权利要求1所述的方法,其特征在于,步骤2)中,所述身份认证指的是简单的认证程序或者是专门的认证服务器如RADIUS,必须通过认证才能继续下面的流程,否则用户的访问直接结束。4.如权利要求1所述的方法,其特征在于,步骤3)中,所述的不信任并始终验证的思想指的是零信任的思想,对初次访问的用户不做任何信任,即使通过身份认证也会处于持续验证的阶段,持续计算该用户的信任度。5.如权利要求1所述的方法,其特征在于,步骤4)中,所述的信任度级别是从访问者历史的行为分析得出的,主要包括信任、验证、拒绝三种级别;下面以分别介绍系统对各种级别的处理方式:a)信任度处于信任级别时,对应的是正常访问用户应该处于的级别,这个级别下面SDN控制器会根据用户访问服务的最短路径生成并下发流表,只做最基础的验证,经过的各类安全设备只审计不阻断,确保用户的流畅访问;用户的行为在后台进行分析,如果超过系统设置的阈值则会调整用户的信任度;b)信任度处于验证级别时,对应的是新...
【专利技术属性】
技术研发人员:邓高见,李宜花,李晓明,马多玲,陈德勇,
申请(专利权)人:中科天御苏州科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。