SDP-CoAP:基于软件定义边界的安全增强CoAP通信框架设计

约束应用协议(CoAP)作为一种新兴的物联网协议,虽然考虑了安全设计,但依然不能满足新的安全需求。文章提出了一个基于软件定义边界(SDP)的安全增强CoAP通信框架(SDP-CoAP),利用单包认证(SPA)技术,客户端将认证信息、数据包传输层安全性协议(DTLS)的隧道加密方式和CoAP请求方式等信息添加到握手过程的第一个数据包中,并发送给SDP控制器,实现先认证后通信。对于通过认证的访问请求,从环境、行为等多个维度实时评估访问的可信度,结合客户端不同的请求方式,实现多维动态访问授权。文章还对SDP-CoAP架构的具体部署方式进行分析,设计了一种综合安全性能、能量消耗和处理延迟的部署方式。实验结果表明,SDP-CoAP的客户端-网关部署方式在没有引入明显能源消耗和网络延迟的情况下可以有效增强CoAP网络的安全性。

基于SDP2.0的工业互联网安全接入技术研究

随着工业互联网与5G、云计算、大数据的融合,工业互联网服务能力得到极大提升,风险和挑战也随之剧增。基于目前工业互联网在接入安全、访问安全、数据安全和工控安全方面存在的风险,我们引入《软件定义边界标准规范2.0》提出的“网关-网关”模型,并对该模型进行了安全优化。对接入工业互联网的各类终端设备,启用了全新的轻量级身份验证方法,通过提取终端设备指纹,建立终端设备画像,持续收集终端设备的各类静态和动态特征信息,结合指纹库、画像库、身份库、策略库等对终端设备进行持续信任评估,认证设备可信身份,解决工业终端设备接入本地SDP网关的安全问题,从而建立更完善的零信任安全架构体系,确保工业设备联网安全。

零信任工业无线局域网安全访问框架与机制

针对工业无线局域网日益复杂的安全态势,开展了零信任工业无线局域网安全访问技术研究。首先,为了兼容工业网络中不具备扩展性终端,在融合无线局域网安全认证与软件定义边界(SDP)安全接入技术的基础上,提出了兼容传统无线工业终端的零信任工业无线局域网安全访问系统框架,在无线接入点中内嵌SDP透明代理,并适应性地引入了SDP网关与安全控制器;然后,设计了面向SDP与无线网络认证融合的身份体系,以及基于SDP透明代理的服务安全访问机制,同时,为了实现终端访问异常行为动态识别及访问权限动态调整,设计了基于终端访问服务的空间、时间、频率多维的信任评估模型,以及基于信任评估的动态访问控制方法。最后,通过系统实验的方法验证了所提出的系统框架及方法的安全性与有效性。

应对供应链攻击的铁路企业网络SDP部署方案研究

在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界(SDP,Software Defined Perimeter)模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。

软件定义边界SDP:概念、技术及应用研究综述

随着云计算、容器技术、软件定义网络等新技术不断发展,带来了一系列新的安全挑战,如身份验证,访问控制,数据隐私和数据完整性等。软件定义边界SDP的提出为网络安全模型提供了一种新的解决思路,该模型与VPN最大的区别在于需要先验证用户身份并验证设备才能建立连接。简要描述SDP体系结构,关键技术及应用场景,并对相关产品进行简单对比,结果表明SDP作为一种安全模型可以动态保护访问安全。

基于软件定义边界的服务保护方案

针对在零信任环境下,基于物理边界防护的传统网络安全架构逐渐被瓦解而导致的服务暴露问题,文章提出一种基于软件定义边界的服务保护方案。通过收集请求终端的用户属性和设备属性以对终端进行授权判定;使用单包授权认证机制进行先认证后连接,实现服务隐藏、身份认证及访问控制等功能;基于零信任持续认证的思想,在操作系统启动前基于固件层对访问终端进行初始度量,在操作系统启动后基于服务进行持续度量;最后,基于AHP设计信任评估算法对终端进行安全评估。从性能与安全性两方面进行分析,结果证明该方案能有效提高通信效率并抵御多种网络安全攻击。

基于软件定义边界的电力物联网LwM2M协议安全架构

电力物联网数据涉及广泛,LwM2M协议受限于电力设备本身和安全层的设计,安全能力无法满足双向通信请求的安全需求,存在数据泄露的风险。文中引入零信任中软件定义边界的理念,提出将软件定义边界和LwM2M协议结合成新的安全架构,通过单包授权机制对访问实体进行身份认证,通过网关和控制器从主体、对象、环境、行为、操作五个维度对访问实体进行信任持续评估,并对其访问权限进行动态调整,从而实现设备和服务器之间的安全通信。实验结果证明,提出的安全架构能够通过控制器和网关对请求方进行数据包分析并作出响应,提高了电力物联网在该协议下电力设备和边缘服务器双向通信的安全性。

基于双模单包授权的公路零信任安全应用研究

针对交通信息系统工程具有接入范围复杂、网络安全风险大的特点,提出了公路全面零信任系统架构。该架构主要由网关管理平台、可信身份管控平台等6个平台组成。重点研究了基于网关管理平台的安全交互过程,一是实现多物理环境下自动路由策略;二是研究双模SPA敲门机制,重点分析UDP认证和TCP敲门数据访问。依托智慧农路系统工程,评估了应用前后安全访问的效果和效率。研究结果表明,公路零信任系统可在国产芯片Loongson-3A4000上运行;双模单包授权SPA技术在UDP SPA基础上拓展了TCP SPA能力,比单模SPA访问速率快50%;在满足三级等保控制点的基础上可实现网络隐身。

基于可信身份检索的物联网隐私保护方案

针对物联网场景下身份认证和加密数据检索效率不高的问题,提出一种基于可信身份检索的物联网隐私保护方案。物联网系统是由远端节点和中心业务节点组成的应用系统,远端节点负责执行业务,并将产生的业务数据加密存储,中心业务节点根据上层应用的具体要求每次与远端节点验证身份,随后请求所有业务相关的加密数据再统一作解密处理,这种方式存在数据传输压力大和数据处理效率低的问题。所提方案利用软件定义边界(SDP)技术保证访问身份可信,使用一种基于倒排索引的可搜索加密技术实现密文数据的高效检索,为远端节点的加密数据建立数据倒排查询索引,中心业务节点只需要确定所需数据关键字,调用检索算法即可获取期望的加密数据,从而减少每次因大量数据传输带来的网络带宽压力,同时满足物联网数据加密存储和隐私保护需求。

零信任网络综述

针对目前网络安全形势日益严峻的问题,零信任网络给出了一种能够有效缓解传统网络安全威胁的架构及其设计与实现方法。零信任的核心思想是“永不信任,始终验证”,零信任网络是在传统网络架构中有效融入零信任机制的一种新型网络安全架构,将实现对网络中所有的对象进行验证,并授予其最小访问权限,同时对所有的访问行为进行持续、动态的评估决策。介绍了零信任网络的基本定义,指出了传统网络架构的不足之处,给出了零信任网络架构。重点从身份和访问管理、微分段以及软件定义边界等方面简述了零信任网络的关键技术,评价了各自的技术特点及应用场景。对目前零信任网络在大数据、云计算、5G和物联网等相关领域内的研究进展和成果进行了分析。对零信任网络进行了总结,并对未来的发展进行了展望。

软件定义边界技术在云计算场景中的应用

采用网络访问动态授权的方法应对云计算场景网络边界模糊和传统防御手段容易被绕过的特点.该方法摒弃对固定边界防御方式的依赖,将对目标资产的访问控制与访问身份、访问时间、访问地点、访问内容、访问行为等多种因素关联,构建统一安全策略的动态防御安全体系.

远程办公时期数据安全保护研究

随着疫情在全国乃至全球爆发,我国疫情虽然得到了有效控制,为配合国家疫情防控,很多公司实施远程办公,但是远程办公中如何保证传输数据安全的问题,显然是迫切需要得到解决的.既要满足众多用户集中访问内网办公系统的需求,又要保证数据在互联网传输以及用户直接从互联网接入的网络安全问题.在对几种常见的网络管理办法进行对比的基础上,主要讨论常用的网络管理架构与零信任网络存在的巨大差异(一种更安全的网络访问的安全架构——软件定义边界(SDP)).

基于运营商零信任的一体化纵深防御体系研究

零信任是新一代网络安全防护理念,零信任默认网络无时无刻不处于危险环境中,所有设备、用户、行为与网络流量都应当经过认证和授权。文章基于零信任理念探索一种多维纵深一体化防御联动的安全防护体系,保障用户及数据访问过程的安全。

基于单包授权的零信任架构下5G+医疗的网络安全研究

为了解决通过5G网络安全访问医院内部资源时,医院网络边界模糊、准入机制易失效等安全隐患,通过搭建零信任平台作为5G网络通往医院内部的桥梁,以单包授权为核心,建立了以身份、环境、行为、软件和硬件为评估因素的动态授权机制,实现了5G终端在最小授权、微隔离、动态授权、持续监控下访问医院资源。该机制不仅提升了5G远程接入每个环节的安全性,而且实现了对医院重要资源的网络隐身,极大程度地缩小了网络攻击面。

基于零信任的软件定义边界网络隐身技术研究

软件定义边界(Software-Defined-Perimeter,SDP)作为零信任安全的最佳实践落地技术架构,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术,不区分内外网,确保只有合法的身份以及设备和网络环境才能接入。在访问过程中,对用户行为持续进行安全等级评估,并对风险行为进行动态控制,在云计算及数字化转型的大趋势下能有效地保护企业的数据资产安全。