基于软件定义边界的零信任匿名访问方案

软件定义边界作为一种具有良好可扩展性与安全性的零信任安全架构得到了广泛应用。标准的软件定义边界架构采用单包授权机制来实现对服务资源的隐藏与对访问者身份的验证,但现有的方案普遍采用集中式的方式存储与分发SPA密钥,且缺乏对访问者隐私信息的保护。针对以上问题,提出了一种软件定义边界架构下的零信任匿名访问方案,采用三方密钥协商实现SPA密钥的分发,并使用通用指定验证者签名实现了对访问者身份的匿名认证,且能够抵抗SPA密钥窃取、敲门放大攻击、身份假冒等网络攻击,与目前的软件定义边界方案相比具有更强的安全性。实验结果表明,所提方案降低了33%的通信开销,在多节点网络环境下降低了20%的平均认证时延。