面向高铁旅客服务系统的DSDP零信任架构设计

1

作者 吴兴华 姚洪磊 +1 位作者 刘勇 王朋函 《铁路计算机应用》 2024年第10期40-47,共8页

为解决高速铁路旅客服务系统(简称:旅服系统)业务终端设备数量多且统一安全接入管理权限复杂、零信任访问控制手段不足,以及传统软件定义边界(SDP,Software Defined Perimeter)零信任架构在实际应用中存在单点故障等问题,设计一种DSDP(D... 为解决高速铁路旅客服务系统(简称:旅服系统)业务终端设备数量多且统一安全接入管理权限复杂、零信任访问控制手段不足,以及传统软件定义边界(SDP,Software Defined Perimeter)零信任架构在实际应用中存在单点故障等问题,设计一种DSDP(Dual-identity SDP)零信任架构,用以改造旅服系统主数据中心(简称:主数据中心)和铁路局集团公司服务器集群架构,保障其代管的车站业务终端设备接入的安全性;提出基于同态加密技术的双重认证流程算法,用以实现DSDP零信任架构下,主数据中心和铁路局集团公司SDP控制模块双向互认功能。实验结果表明:DSDP零信任架构可有效对抗劫持风险;在多用户的情况下,可保障旅服系统响应时间在合理范围内;具有可用性,可为旅服系统终端设备的统一接入与不同权限要求的零信任身份认证提供技术手段。 展开更多

关键词 高速铁路 旅客服务系统 系统架构 零信任 sdp架构 同态加密

在线阅读 下载PDF 职称材料

SDP-CoAP:基于软件定义边界的安全增强CoAP通信框架设计 被引量：1

2

作者 张伟 李子轩 +1 位作者 徐晓瑀 黄海平 《信息网络安全》 CSCD 北大核心 2023年第8期17-31,共15页

约束应用协议(CoAP)作为一种新兴的物联网协议,虽然考虑了安全设计,但依然不能满足新的安全需求。文章提出了一个基于软件定义边界(SDP)的安全增强CoAP通信框架(SDP-CoAP),利用单包认证(SPA)技术,客户端将认证信息、数据包传输层安全性... 约束应用协议(CoAP)作为一种新兴的物联网协议,虽然考虑了安全设计,但依然不能满足新的安全需求。文章提出了一个基于软件定义边界(SDP)的安全增强CoAP通信框架(SDP-CoAP),利用单包认证(SPA)技术,客户端将认证信息、数据包传输层安全性协议(DTLS)的隧道加密方式和CoAP请求方式等信息添加到握手过程的第一个数据包中,并发送给SDP控制器,实现先认证后通信。对于通过认证的访问请求,从环境、行为等多个维度实时评估访问的可信度,结合客户端不同的请求方式,实现多维动态访问授权。文章还对SDP-CoAP架构的具体部署方式进行分析,设计了一种综合安全性能、能量消耗和处理延迟的部署方式。实验结果表明,SDP-CoAP的客户端-网关部署方式在没有引入明显能源消耗和网络延迟的情况下可以有效增强CoAP网络的安全性。 展开更多

关键词 物联网 零信任 软件定义边界 单包认证 CoAP

在线阅读 下载PDF 职称材料

采油厂油气生产物联网信息安全防护研究与实践

3

作者 朱建峰 《信息安全与通信保密》 2025年第2期105-117,共13页

为应对油气生产物联网的网络安全威胁,研究建立了一种纵深防御的主动安全体系。通过资产识别、威胁分析和脆弱性评估开展全面风险评估,基于零信任原则设计了身份认证、访问控制、数据加密和态势感知等安全机制,构建了软件定义边界微分... 为应对油气生产物联网的网络安全威胁,研究建立了一种纵深防御的主动安全体系。通过资产识别、威胁分析和脆弱性评估开展全面风险评估,基于零信任原则设计了身份认证、访问控制、数据加密和态势感知等安全机制,构建了软件定义边界微分段模型实现可信隔离。研究创新性地引入同态加密和主动免疫技术,实现数据全生命周期保护。在典型油田12个月的测试验证显示,系统安全状况显著改善,渗透成功率从43%降至5%,异常检测准确率从85%提升至98%,达到行业领先水平,为关键信息基础设施安全防御提供了新思路和实践经验。 展开更多

关键词 油气物联网 工控安全 零信任 软件定义边界 同态加密 纵深防御

在线阅读 下载PDF 职称材料

应对供应链攻击的铁路企业网络SDP部署方案研究 被引量：6

4

作者 周游 赵悠麒 《铁路计算机应用》 2022年第11期41-47,共7页

在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击... 在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界(SDP,Software Defined Perimeter)模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。 展开更多

关键词 铁路企业网络 网络安全 零信任 软件定义边界 供应链攻击

在线阅读 下载PDF 职称材料

软件定义边界SDP:概念、技术及应用研究综述 被引量：12

5

作者 潘吴斌 任国强 《数字通信世界》 2021年第3期192-195,共4页

随着云计算、容器技术、软件定义网络等新技术不断发展,带来了一系列新的安全挑战,如身份验证,访问控制,数据隐私和数据完整性等。软件定义边界SDP的提出为网络安全模型提供了一种新的解决思路,该模型与VPN最大的区别在于需要先验证用... 随着云计算、容器技术、软件定义网络等新技术不断发展,带来了一系列新的安全挑战,如身份验证,访问控制,数据隐私和数据完整性等。软件定义边界SDP的提出为网络安全模型提供了一种新的解决思路,该模型与VPN最大的区别在于需要先验证用户身份并验证设备才能建立连接。简要描述SDP体系结构,关键技术及应用场景,并对相关产品进行简单对比,结果表明SDP作为一种安全模型可以动态保护访问安全。 展开更多

关键词 网络安全 软件定义边界 sdp 零信任 安全模型

在线阅读 下载PDF 职称材料

基于SDP2.0的工业互联网安全接入技术研究 被引量：3

6

作者 吴青松 张玉 《工业信息安全》 2023年第1期28-34,共7页

随着工业互联网与5G、云计算、大数据的融合,工业互联网服务能力得到极大提升,风险和挑战也随之剧增。基于目前工业互联网在接入安全、访问安全、数据安全和工控安全方面存在的风险,我们引入《软件定义边界标准规范2.0》提出的“网关-... 随着工业互联网与5G、云计算、大数据的融合,工业互联网服务能力得到极大提升,风险和挑战也随之剧增。基于目前工业互联网在接入安全、访问安全、数据安全和工控安全方面存在的风险,我们引入《软件定义边界标准规范2.0》提出的“网关-网关”模型,并对该模型进行了安全优化。对接入工业互联网的各类终端设备,启用了全新的轻量级身份验证方法,通过提取终端设备指纹,建立终端设备画像,持续收集终端设备的各类静态和动态特征信息,结合指纹库、画像库、身份库、策略库等对终端设备进行持续信任评估,认证设备可信身份,解决工业终端设备接入本地SDP网关的安全问题,从而建立更完善的零信任安全架构体系,确保工业设备联网安全。 展开更多

关键词 软件定义边界 工业互联网 安全接入

在线阅读 下载PDF 职称材料

基于零信任架构的网络安全防护技术分析

7

作者 刘波 廖游 《网络空间安全》 2024年第4期172-175,共4页

[目的/意义]在信息时代迅猛发展的背景下,大数据、云计算等数字技术的不断发展和更新,为各行业的发展提供了技术支撑.但是,在数字技术发展的过程中,也为网络安全构架带来了安全性的冲击.因此,为了有效地避免此类情况的出现,确保网络空... [目的/意义]在信息时代迅猛发展的背景下,大数据、云计算等数字技术的不断发展和更新,为各行业的发展提供了技术支撑.但是,在数字技术发展的过程中,也为网络安全构架带来了安全性的冲击.因此,为了有效地避免此类情况的出现,确保网络空间安全,应树立零信任网络安全理念,进行网络防护体系的有效构建.[方法/过程]立足于零信任构架,对新时期网络安全防护技术进行分析,旨在构建新形势下的网络安全防护技术体系,确定网络空间安全防护关键技术方向.[结果/结论]基于零信任网络安全体系的运用,需要保障对实际情况进行适当地调整,并保障各方面的配合与协作,为网络空间安全运行保驾护航. 展开更多

关键词 零信任架构 网络空间安全 网络防护体系 安全防护技术 软件定义边界

在线阅读 下载PDF 职称材料

零信任工业无线局域网安全访问框架与机制

8

作者 商威 杨勇 +1 位作者 张政洁 唐鼎 《网络新媒体技术》 2024年第1期54-62,共9页

针对工业无线局域网日益复杂的安全态势,开展了零信任工业无线局域网安全访问技术研究。首先,为了兼容工业网络中不具备扩展性终端,在融合无线局域网安全认证与软件定义边界(SDP)安全接入技术的基础上,提出了兼容传统无线工业终端的零... 针对工业无线局域网日益复杂的安全态势,开展了零信任工业无线局域网安全访问技术研究。首先,为了兼容工业网络中不具备扩展性终端,在融合无线局域网安全认证与软件定义边界(SDP)安全接入技术的基础上,提出了兼容传统无线工业终端的零信任工业无线局域网安全访问系统框架,在无线接入点中内嵌SDP透明代理,并适应性地引入了SDP网关与安全控制器;然后,设计了面向SDP与无线网络认证融合的身份体系,以及基于SDP透明代理的服务安全访问机制,同时,为了实现终端访问异常行为动态识别及访问权限动态调整,设计了基于终端访问服务的空间、时间、频率多维的信任评估模型,以及基于信任评估的动态访问控制方法。最后,通过系统实验的方法验证了所提出的系统框架及方法的安全性与有效性。 展开更多

关键词 工业物联网 无线局域网 软件定义边界 零信任 安全访问

在线阅读 下载PDF 职称材料

零信任网络安全:从理论到实践

9

作者 方智阳 方玏彦 杨湘 《计算机应用》 CSCD 北大核心 2024年第S2期88-94,共7页

零信任(ZT)是一种新兴的网络安全理念,旨在改变传统的“信任但验证”模式,从而在网络中实现更严格的访问控制和安全防御。ZT架构基于一个基本前提,即不信任任何用户、设备或网络,要求在每次访问时都验证用户身份,并对访问请求进行细粒... 零信任(ZT)是一种新兴的网络安全理念,旨在改变传统的“信任但验证”模式,从而在网络中实现更严格的访问控制和安全防御。ZT架构基于一个基本前提,即不信任任何用户、设备或网络,要求在每次访问时都验证用户身份,并对访问请求进行细粒度的授权控制。首先,阐述ZT的概念及核心原则。其次,介绍ZT架构的主要应用场景及其主要组成部分,以及这些架构的工作原理。同时,比较分析现有的ZT架构,从而为掌握ZT理念的具体实现方式并构建ZT架构提供重要的借鉴和参考。最后,总结ZT架构的局限性,从而为优化ZT的应用提供思路。 展开更多

关键词 零信任 身份认证 权限检验 BeyondCorp VMware NSX sdp 7层零信任方案

在线阅读 下载PDF 职称材料

基于软件定义边界的零信任匿名访问方案

10

作者 李惟贤 张建辉 +2 位作者 曾俊杰 贾洪勇 门蕊蕊 《计算机科学》 CSCD 北大核心 2024年第12期293-302,共10页

软件定义边界作为一种具有良好可扩展性与安全性的零信任安全架构得到了广泛应用。标准的软件定义边界架构采用单包授权机制来实现对服务资源的隐藏与对访问者身份的验证,但现有的方案普遍采用集中式的方式存储与分发SPA密钥,且缺乏对... 软件定义边界作为一种具有良好可扩展性与安全性的零信任安全架构得到了广泛应用。标准的软件定义边界架构采用单包授权机制来实现对服务资源的隐藏与对访问者身份的验证,但现有的方案普遍采用集中式的方式存储与分发SPA密钥,且缺乏对访问者隐私信息的保护。针对以上问题,提出了一种软件定义边界架构下的零信任匿名访问方案,采用三方密钥协商实现SPA密钥的分发,并使用通用指定验证者签名实现了对访问者身份的匿名认证,且能够抵抗SPA密钥窃取、敲门放大攻击、身份假冒等网络攻击,与目前的软件定义边界方案相比具有更强的安全性。实验结果表明,所提方案降低了33%的通信开销,在多节点网络环境下降低了20%的平均认证时延。 展开更多

关键词 零信任 软件定义边界 单包授权 三方密钥协商 通用指定验证者签名 匿名访问

在线阅读 下载PDF 职称材料

零信任安全网关实现机制研究

11

作者 颜光伟 何智 +2 位作者 刘扬 陈勃翰 尚松超 《通信技术》 2024年第12期1324-1330,共7页

为了达到安全网关到零信任网关的转变,在现有安全网关的基础上,提出了一种基于零信任三大核心要素SIM中的“S”即软件定义边界(Software Defined Perimeter,SDP)和“M”即微隔离(Micro-Segmentation,MSG)的实现方案。在对应用和用户访... 为了达到安全网关到零信任网关的转变,在现有安全网关的基础上,提出了一种基于零信任三大核心要素SIM中的“S”即软件定义边界(Software Defined Perimeter,SDP)和“M”即微隔离(Micro-Segmentation,MSG)的实现方案。在对应用和用户访问透明的情况下,达到零信任所需的服务隐藏、东西向网络流量控制和更多的应用场景支持的目的。该方案已经在实际项目中应用验证,具有较强的兼容性和普适性。 展开更多

关键词 安全网关 零信任 软件定义边界 微隔离

在线阅读 下载PDF 职称材料

零信任网络理念、架构及关键技术综述

12

作者 刘云峰 翟大海 段张珏 《现代传输》 2024年第5期61-70,共10页

近年来,随着网络规模的不断扩大,网络边界变得愈发模糊。同时网络攻击技术也变得更隐蔽、更智能、更多样化,传统网络架构的缺陷愈发不容忽视。零信任网络通过对现代技术的融合,对传统网络架构升级,构建出更安全的网络环境。本文首先描... 近年来,随着网络规模的不断扩大,网络边界变得愈发模糊。同时网络攻击技术也变得更隐蔽、更智能、更多样化,传统网络架构的缺陷愈发不容忽视。零信任网络通过对现代技术的融合,对传统网络架构升级,构建出更安全的网络环境。本文首先描述了传统网络的局限性,指出对传统网络升级的必要性。接着引出零信任网络的核心理念、发展过程、基本假设,总结零信任网络的特征。然后阐述零信任网络架构及相应组件,实现零信任网络的关键技术。最后对其现状和挑战进行总结。 展开更多

关键词 零信任 网络安全 网络架构 微分段 软件定义边界

在线阅读 下载PDF 职称材料

基于TOTP流标签的软件定义边界

13

作者 赵宇鹏 朱旋 李继港 《信息工程大学学报》 2024年第6期689-696,共8页

零信任网络的出现极大拓展了现有网络安全范式,软件定义边界作为零信任的成熟落地架构将传统基于边界的网络安全防护理念转换为“永不相信,永续认证”的先进安全防护理念。然而现有的软件定义边界网络实现在协议实现和网络通信方面存在... 零信任网络的出现极大拓展了现有网络安全范式,软件定义边界作为零信任的成熟落地架构将传统基于边界的网络安全防护理念转换为“永不相信,永续认证”的先进安全防护理念。然而现有的软件定义边界网络实现在协议实现和网络通信方面存在潜在弱点,为此提出基于时间的一次性密码(TOTP)流标签技术的软件定义边界网络改进解决方案。该方案使用TOTP算法对单包认证协议进行加强,并在客户端进行身份认证后,生成会话标签标记后续建立的所有通信流量,用以保护通信通道不被篡改。实验结果表明,该网络改进与传统SDN网络和典型软件定义边界实现相比,具有更高安全性和可以接受的传输时延损失。 展开更多

关键词 软件定义边界 零信任网络 动态访问控制 基于时间的一次性密码

在线阅读 下载PDF 职称材料

零信任网络综述 被引量：25

14

作者 诸葛程晨 王群 +1 位作者 刘家银 梁广俊 《计算机工程与应用》 CSCD 北大核心 2022年第22期12-29,共18页

针对目前网络安全形势日益严峻的问题,零信任网络给出了一种能够有效缓解传统网络安全威胁的架构及其设计与实现方法。零信任的核心思想是“永不信任,始终验证”,零信任网络是在传统网络架构中有效融入零信任机制的一种新型网络安全架构... 针对目前网络安全形势日益严峻的问题,零信任网络给出了一种能够有效缓解传统网络安全威胁的架构及其设计与实现方法。零信任的核心思想是“永不信任,始终验证”,零信任网络是在传统网络架构中有效融入零信任机制的一种新型网络安全架构,将实现对网络中所有的对象进行验证,并授予其最小访问权限,同时对所有的访问行为进行持续、动态的评估决策。介绍了零信任网络的基本定义,指出了传统网络架构的不足之处,给出了零信任网络架构。重点从身份和访问管理、微分段以及软件定义边界等方面简述了零信任网络的关键技术,评价了各自的技术特点及应用场景。对目前零信任网络在大数据、云计算、5G和物联网等相关领域内的研究进展和成果进行了分析。对零信任网络进行了总结,并对未来的发展进行了展望。 展开更多

关键词 零信任网络 身份和访问管理 微分段 软件定义边界

在线阅读 下载PDF 职称材料

软件定义边界技术在云计算场景中的应用 被引量：3

15

作者 郑伟 王琳琳 《枣庄学院学报》 2020年第5期60-65,共6页

采用网络访问动态授权的方法应对云计算场景网络边界模糊和传统防御手段容易被绕过的特点.该方法摒弃对固定边界防御方式的依赖,将对目标资产的访问控制与访问身份、访问时间、访问地点、访问内容、访问行为等多种因素关联,构建统一安... 采用网络访问动态授权的方法应对云计算场景网络边界模糊和传统防御手段容易被绕过的特点.该方法摒弃对固定边界防御方式的依赖,将对目标资产的访问控制与访问身份、访问时间、访问地点、访问内容、访问行为等多种因素关联,构建统一安全策略的动态防御安全体系. 展开更多

关键词 软件定义边界 零信任 连接发起主机 连接接受主机

在线阅读 下载PDF 职称材料

远程办公时期数据安全保护研究 被引量：4

16

作者 刁喆 刘彦孜 +2 位作者 金路超 杨舒婷 林清然 《信息安全研究》 2020年第11期1036-1041,共6页

随着疫情在全国乃至全球爆发,我国疫情虽然得到了有效控制,为配合国家疫情防控,很多公司实施远程办公,但是远程办公中如何保证传输数据安全的问题,显然是迫切需要得到解决的.既要满足众多用户集中访问内网办公系统的需求,又要保证数据... 随着疫情在全国乃至全球爆发,我国疫情虽然得到了有效控制,为配合国家疫情防控,很多公司实施远程办公,但是远程办公中如何保证传输数据安全的问题,显然是迫切需要得到解决的.既要满足众多用户集中访问内网办公系统的需求,又要保证数据在互联网传输以及用户直接从互联网接入的网络安全问题.在对几种常见的网络管理办法进行对比的基础上,主要讨论常用的网络管理架构与零信任网络存在的巨大差异(一种更安全的网络访问的安全架构——软件定义边界(SDP)). 展开更多

关键词 网络安全 虚拟专用网 远程办公 软件定义边界 零信任网络

在线阅读 下载PDF 职称材料

基于软件定义边界的服务保护方案 被引量：3

17

作者 黄杰 何城鋆 《信息网络安全》 CSCD 北大核心 2023年第6期1-10,共10页

针对在零信任环境下,基于物理边界防护的传统网络安全架构逐渐被瓦解而导致的服务暴露问题,文章提出一种基于软件定义边界的服务保护方案。通过收集请求终端的用户属性和设备属性以对终端进行授权判定;使用单包授权认证机制进行先认证... 针对在零信任环境下,基于物理边界防护的传统网络安全架构逐渐被瓦解而导致的服务暴露问题,文章提出一种基于软件定义边界的服务保护方案。通过收集请求终端的用户属性和设备属性以对终端进行授权判定;使用单包授权认证机制进行先认证后连接,实现服务隐藏、身份认证及访问控制等功能;基于零信任持续认证的思想,在操作系统启动前基于固件层对访问终端进行初始度量,在操作系统启动后基于服务进行持续度量;最后,基于AHP设计信任评估算法对终端进行安全评估。从性能与安全性两方面进行分析,结果证明该方案能有效提高通信效率并抵御多种网络安全攻击。 展开更多

关键词 零信任 软件定义边界 单包授权认证 设备安全 层次分析法

在线阅读 下载PDF 职称材料

基于运营商零信任的一体化纵深防御体系研究 被引量：1

18

作者 徐浩 张侃 刘光 《数字通信世界》 2022年第9期21-25,共5页

零信任是新一代网络安全防护理念,零信任默认网络无时无刻不处于危险环境中,所有设备、用户、行为与网络流量都应当经过认证和授权。文章基于零信任理念探索一种多维纵深一体化防御联动的安全防护体系,保障用户及数据访问过程的安全。

关键词 零信任 软件定义边界 微隔离 IAM 云计算

在线阅读 下载PDF 职称材料

基于单包授权的零信任架构下5G+医疗的网络安全研究 被引量：9

19

作者 章俊 张雨恬 胡少文 《通信技术》 2022年第3期404-408,共5页

为了解决通过5G网络安全访问医院内部资源时,医院网络边界模糊、准入机制易失效等安全隐患,通过搭建零信任平台作为5G网络通往医院内部的桥梁,以单包授权为核心,建立了以身份、环境、行为、软件和硬件为评估因素的动态授权机制,实现了5... 为了解决通过5G网络安全访问医院内部资源时,医院网络边界模糊、准入机制易失效等安全隐患,通过搭建零信任平台作为5G网络通往医院内部的桥梁,以单包授权为核心,建立了以身份、环境、行为、软件和硬件为评估因素的动态授权机制,实现了5G终端在最小授权、微隔离、动态授权、持续监控下访问医院资源。该机制不仅提升了5G远程接入每个环节的安全性,而且实现了对医院重要资源的网络隐身,极大程度地缩小了网络攻击面。 展开更多

关键词 零信任架构 5G 软件定义边界 单包授权

在线阅读 下载PDF 职称材料

基于零信任的软件定义边界网络隐身技术研究 被引量：12

20

作者 于欣越 孙刚 张亚伟 《通信技术》 2021年第5期1229-1234,共6页

软件定义边界(Software-Defined-Perimeter,SDP)作为零信任安全的最佳实践落地技术架构,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术,不区分内外网,确保只有合法的身份以及... 软件定义边界(Software-Defined-Perimeter,SDP)作为零信任安全的最佳实践落地技术架构,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制。通过网络隐身技术,不区分内外网,确保只有合法的身份以及设备和网络环境才能接入。在访问过程中,对用户行为持续进行安全等级评估,并对风险行为进行动态控制,在云计算及数字化转型的大趋势下能有效地保护企业的数据资产安全。 展开更多

关键词 网络安全 零信任 软件定义边界 网络隐身

在线阅读 下载PDF 职称材料