SDP-CoAP:基于软件定义边界的安全增强CoAP通信框架设计

约束应用协议(CoAP)作为一种新兴的物联网协议,虽然考虑了安全设计,但依然不能满足新的安全需求。文章提出了一个基于软件定义边界(SDP)的安全增强CoAP通信框架(SDP-CoAP),利用单包认证(SPA)技术,客户端将认证信息、数据包传输层安全性协议(DTLS)的隧道加密方式和CoAP请求方式等信息添加到握手过程的第一个数据包中,并发送给SDP控制器,实现先认证后通信。对于通过认证的访问请求,从环境、行为等多个维度实时评估访问的可信度,结合客户端不同的请求方式,实现多维动态访问授权。文章还对SDP-CoAP架构的具体部署方式进行分析,设计了一种综合安全性能、能量消耗和处理延迟的部署方式。实验结果表明,SDP-CoAP的客户端-网关部署方式在没有引入明显能源消耗和网络延迟的情况下可以有效增强CoAP网络的安全性。

基于软件定义边界的服务保护方案

针对在零信任环境下,基于物理边界防护的传统网络安全架构逐渐被瓦解而导致的服务暴露问题,文章提出一种基于软件定义边界的服务保护方案。通过收集请求终端的用户属性和设备属性以对终端进行授权判定;使用单包授权认证机制进行先认证后连接,实现服务隐藏、身份认证及访问控制等功能;基于零信任持续认证的思想,在操作系统启动前基于固件层对访问终端进行初始度量,在操作系统启动后基于服务进行持续度量;最后,基于AHP设计信任评估算法对终端进行安全评估。从性能与安全性两方面进行分析,结果证明该方案能有效提高通信效率并抵御多种网络安全攻击。

基于软件定义边界的电力物联网LwM2M协议安全架构

电力物联网数据涉及广泛,LwM2M协议受限于电力设备本身和安全层的设计,安全能力无法满足双向通信请求的安全需求,存在数据泄露的风险。文中引入零信任中软件定义边界的理念,提出将软件定义边界和LwM2M协议结合成新的安全架构,通过单包授权机制对访问实体进行身份认证,通过网关和控制器从主体、对象、环境、行为、操作五个维度对访问实体进行信任持续评估,并对其访问权限进行动态调整,从而实现设备和服务器之间的安全通信。实验结果证明,提出的安全架构能够通过控制器和网关对请求方进行数据包分析并作出响应,提高了电力物联网在该协议下电力设备和边缘服务器双向通信的安全性。

软件定义边界SDP:概念、技术及应用研究综述

随着云计算、容器技术、软件定义网络等新技术不断发展,带来了一系列新的安全挑战,如身份验证,访问控制,数据隐私和数据完整性等。软件定义边界SDP的提出为网络安全模型提供了一种新的解决思路,该模型与VPN最大的区别在于需要先验证用户身份并验证设备才能建立连接。简要描述SDP体系结构,关键技术及应用场景,并对相关产品进行简单对比,结果表明SDP作为一种安全模型可以动态保护访问安全。

软件定义边界安全模型在电网企业系统中的应用

针对电网企业在内网环境下应用系统访问出现安全问题,结合传统访问控制机制,提出了一种基于软件定义边界(Software Defined Perimeter,SDP)的用户多维度数据身份验证模型。首先分析了当前电网企业应用系统中访问控制模型存在的不足,然后对现有的模型引入信任的属性,依照最小化授权方式,建立每个人与公司业务系统的对应关系,创建千人千面的安全软边界网关。实际应用和理论分析表明,该模型可以实现用户只能看到被授权访问的应用,建立强信任、强可控、强防护的新安全架构,有效保护电网企业的各类应用系统。

软件定义边界技术在云计算场景中的应用

采用网络访问动态授权的方法应对云计算场景网络边界模糊和传统防御手段容易被绕过的特点.该方法摒弃对固定边界防御方式的依赖,将对目标资产的访问控制与访问身份、访问时间、访问地点、访问内容、访问行为等多种因素关联,构建统一安全策略的动态防御安全体系.

基于联邦学习的SDP信任评估模型设计

随着网络边界日益模糊,零信任作为网络安全防御的新范式应运而生.针对零信任安全架构在面对大数据时代所带来的海量上下文信息和多样化终端情境下,信任评估效率低且难以有效保护用户数据隐私的问题,提出了一种基于联邦学习的SDP信任评估模型及其部署方法.该模型通过去中心化思想,在不共享原始数据的情况下训练全局模型,保护各分布式SDP控制器节点的用户数据隐私.通过实验和对比分析,证明此零信任评估模型可有效分类恶意和合法数据流,并且效率优于同类文献方案.

基于SDP的无线数据采集与传输的零信任方案浅析

文章分析无线数据在采集和传输方面存在安全风险趋势,引入基于SDP(软件定义边界)的零信任网络安全管控机制,详细阐述该机制在无线通信环境中的工作流程和作用,并提供相应的解决方案。对比5G专网和无线SDP架构在数据链路加密、网络暴露、认证手段、访问权限、用户监控、商业成本、安全性方面的不同。零信任方案能提高网络的安全性,有效应对现代网络安全面临的复杂挑战。

基于零信任的软件定义边界网络隐身技术研究

软件定义边界(Software-Defined-Perimeter,SDP)作为零信任安全的最佳实践落地技术架构,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术,不区分内外网,确保只有合法的身份以及设备和网络环境才能接入。在访问过程中,对用户行为持续进行安全等级评估,并对风险行为进行动态控制,在云计算及数字化转型的大趋势下能有效地保护企业的数据资产安全。

基于零信任的软件定义边界安全模型研究

互联网时代,在移动化和云化的大背景下,随着企业的数字化转型,传统的安全防御技术已不能满足企业的安全要求,零信任(Zero Trust,ZT)安全理念应运而生,软件定义边界(Software-Defi ned-Perimeter,SDP)作为零信任的最佳实践落地技术架构,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制,通过网路隐身技术,默认不信任网络内部和外部的任何人/设备/网络,持续进行安全等级评估和动态访问控制,有效保护企业的数据资产的安全。

基于SDP2.0的工业互联网安全接入技术研究

随着工业互联网与5G、云计算、大数据的融合,工业互联网服务能力得到极大提升,风险和挑战也随之剧增。基于目前工业互联网在接入安全、访问安全、数据安全和工控安全方面存在的风险,我们引入《软件定义边界标准规范2.0》提出的“网关-网关”模型,并对该模型进行了安全优化。对接入工业互联网的各类终端设备,启用了全新的轻量级身份验证方法,通过提取终端设备指纹,建立终端设备画像,持续收集终端设备的各类静态和动态特征信息,结合指纹库、画像库、身份库、策略库等对终端设备进行持续信任评估,认证设备可信身份,解决工业终端设备接入本地SDP网关的安全问题,从而建立更完善的零信任安全架构体系,确保工业设备联网安全。

基于零信任架构的云办公安全解决方案--广东电信宽带SDP边缘接入产品

广东电信宽带SDP边缘接入产品,是一个基于零信任网络接入模型构建的云办公安全访问解决方案。方案采用了软件定义边界(Software Defined Perimeter)的安全框架,通过在泛在宽带网络中构建叠加虚拟网络(Overlay Network)的方式,重建以身份为中心的零信任安全体系,其主要目标是满足中小型企业快速搭建安全访问云办公网络的需求,解决企业传统模式的资源统一管理难、分级管控难、安全能力不足、效率低下等问题,实现企业当前无边界网络下的安全需求,为客户提供按需、动态的可信访问。

基于软件定义边界的零信任匿名访问方案

软件定义边界作为一种具有良好可扩展性与安全性的零信任安全架构得到了广泛应用。标准的软件定义边界架构采用单包授权机制来实现对服务资源的隐藏与对访问者身份的验证,但现有的方案普遍采用集中式的方式存储与分发SPA密钥,且缺乏对访问者隐私信息的保护。针对以上问题,提出了一种软件定义边界架构下的零信任匿名访问方案,采用三方密钥协商实现SPA密钥的分发,并使用通用指定验证者签名实现了对访问者身份的匿名认证,且能够抵抗SPA密钥窃取、敲门放大攻击、身份假冒等网络攻击,与目前的软件定义边界方案相比具有更强的安全性。实验结果表明,所提方案降低了33%的通信开销,在多节点网络环境下降低了20%的平均认证时延。

电力物联网零信任架构下的分布式认证模型

针对智能电网大量分布式异构终端无限公网接入、新型电力交互业务、新信息技术应用在电力系统等行业发展趋势给电力系统带来的新型网络安全挑战,基于零信任安全架构,提出一种分布式认证模型,在电力物联网整体安全架构下,充分发挥零信任安全理念和技术的优势,结合电力终端硬件可信计算模块提供的可信信任根技术,拓展和延伸电力智能终端和接入网络的主动安全防护能力,以应对智能电网所面临的新型网络安全挑战.该模型将零信任安全架构中的动态信任评估和南向终端认证模块下沉到边缘智能设备,以终端可信模块提供的信任根为基础,进行信任和访问控制的细分及扩展,在兼容现有电力物联网认证模型基础上,充分发挥零信任安全理念和技术在终端安全接入、安全监控、业务细粒度防护方面的具体优势,提升电力物联网系统整体网络安全防护能力.

虚拟化安全领域软件定义边界应用研究

虚拟化是数据中心向集约化、智能化转型发展的必然趋势,虚拟化的实施在给信息化治理开辟新格局的同时,也给信息安全带来复杂性和隐蔽性的风险与挑战。软件定义边界是实践零信任理念的一种网络安全范式,具有攻击溯源、数控分离、资产隐匿、先证后连等特点,其在虚拟化环境的应用将成为信息安全领域研究的新热点。本文对软件定义边界的概念背景、设计理念及工作原理作了全面概述,指出了虚拟化环境下面临的各种信息安全风险,对软件定义边界在虚拟化环境中的应用进行了分析与探讨。

基于SDP的电力物联网安全防护方案

电力物联网的快速发展及海量终端的泛在连接和智能交互使得电力物联网的网络边界变得模糊,网络安全风险点和暴露面显著增多。文章摒弃传统的先连接后认证的安全认证措施,结合零信任安全机制提出一种基于软件定义边界的电力物联网安全防护方案,该方案利用改进的单包授权技术解决电力物联终端接入过程中存在的身份认证、电力物联系统资源隐藏及访问控制等问题,并从安全和性能两方面对方案进行分析。实验结果表明,该方案能有效抵御多类网络攻击,节省了电力物联终端的计算和通信资源,有效解决了电力物联网存在的安全认证等问题。

零信任工业无线局域网安全访问框架与机制

针对工业无线局域网日益复杂的安全态势,开展了零信任工业无线局域网安全访问技术研究。首先,为了兼容工业网络中不具备扩展性终端,在融合无线局域网安全认证与软件定义边界(SDP)安全接入技术的基础上,提出了兼容传统无线工业终端的零信任工业无线局域网安全访问系统框架,在无线接入点中内嵌SDP透明代理,并适应性地引入了SDP网关与安全控制器;然后,设计了面向SDP与无线网络认证融合的身份体系,以及基于SDP透明代理的服务安全访问机制,同时,为了实现终端访问异常行为动态识别及访问权限动态调整,设计了基于终端访问服务的空间、时间、频率多维的信任评估模型,以及基于信任评估的动态访问控制方法。最后,通过系统实验的方法验证了所提出的系统框架及方法的安全性与有效性。

基于零信任的5G网络切片安全研究

随着5G网络的广泛部署和网络切片技术的出现,安全问题逐渐成为5G网络建设中不可忽视的一部分。在5G网络中,传统基于边界的安全防护架构无法满足更高安全需求的挑战,而不再划分信任区域、持续验证的零信任架构逐渐得到认可。分析切片现有安全技术缺陷,结合软件定义安全边界的思想,设计了基于零信任的切片安全架构。在信任评估中引入基于服务质量参数的可信度量方法,从可用性、可靠性和实时性角度建立可信度量过程,为持续验证用户是否可信、提供细粒度的访问控制决策奠定了基础。试验结果初步验证了可信度量方法的可行性。所设计的零信任网络安全架构和可信度量方法对信息安全防御相关研究和工程技术人员具有借鉴意义。

零信任网络理念、架构及关键技术综述

近年来,随着网络规模的不断扩大,网络边界变得愈发模糊。同时网络攻击技术也变得更隐蔽、更智能、更多样化,传统网络架构的缺陷愈发不容忽视。零信任网络通过对现代技术的融合,对传统网络架构升级,构建出更安全的网络环境。本文首先描述了传统网络的局限性,指出对传统网络升级的必要性。接着引出零信任网络的核心理念、发展过程、基本假设,总结零信任网络的特征。然后阐述零信任网络架构及相应组件,实现零信任网络的关键技术。最后对其现状和挑战进行总结。

构建基于SDP技术的网络安全体系

本文通过对SDP软件定义的边界技术研究和企业应用实践,阐述通过SDP技术保障等保2.0要求的安全通信网络、安全区域边界和安全计算环境。本文研究方法适用于通过限制和隐藏互联网接触面,提供面向单位用户、合作伙伴等之间实现安全可靠的信息共享,同时降低企业遭受网络攻击安全风险。