基于雙模單包授權(quán)的公路零信任安全應(yīng)用研究*

陳 瑜，殷 浩，姚 蕾，馮 鼎，管浩杰，嚴(yán) 浩

(1.南通市公路事業(yè)發(fā)展中心，江蘇 南通 226006；2.東南大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 211100；3.深信服科技股份有限公司，廣東 深圳 518055)

0 引言

進(jìn)入“十四五”以來(lái)，國(guó)家加快推動(dòng)普通公路新型基礎(chǔ)設(shè)施建設(shè)，數(shù)字化、網(wǎng)絡(luò)化、智能化外場(chǎng)設(shè)施快速增長(zhǎng)，在提升行業(yè)高質(zhì)量發(fā)展水平的同時(shí)，大量與行業(yè)專(zhuān)網(wǎng)互聯(lián)互通的外場(chǎng)智能設(shè)施、多物理隔離下的交通信息系統(tǒng)工程也逐步成為網(wǎng)絡(luò)安全防護(hù)的薄弱環(huán)節(jié)和監(jiān)管難點(diǎn)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及威脅也日益復(fù)雜，身份假冒、APT攻擊、內(nèi)部威脅等新型網(wǎng)絡(luò)攻擊手段層出不窮，給數(shù)字交通時(shí)代網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。2010年，F(xiàn)orrest咨詢(xún)公司首次提出“零信任網(wǎng)絡(luò)”(Zero Trust Networks，ZTN)的概念，力求通過(guò)去中心化安全架構(gòu)來(lái)打破傳統(tǒng)的安全模式，實(shí)現(xiàn)對(duì)用戶(hù)、終端設(shè)備、操作系統(tǒng)和應(yīng)用程序的全面、智能管控，建立一個(gè)全生命周期的安全防護(hù)體系。近年來(lái)，零信任在國(guó)內(nèi)逐步引起了重視，在2019年9月發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》中，“零信任安全”被列為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域亟需攻克的一項(xiàng)重要技術(shù)。

當(dāng)下零信任主流技術(shù)有三種，分別是軟件定義邊界(Software Defined Perimeter，SDP)、身份識(shí)別和訪問(wèn)管理系統(tǒng)(Identity and Access Management，IAM)、微隔離(Micro Segmentation，MSG)[1]。其中零信任最佳實(shí)踐方式SDP就是通過(guò)打破傳統(tǒng)邊界防護(hù)的思路，建立基于身份、運(yùn)行環(huán)境和上下文信息的授權(quán)訪問(wèn)機(jī)制[2]。而單包授權(quán)(Single Packet Authorization，SPA)則是SDP中關(guān)鍵技術(shù)，其核心思想是通過(guò)單個(gè)數(shù)據(jù)包敲門(mén)認(rèn)證成功后，才被授權(quán)建立安全連接。目前，國(guó)內(nèi)學(xué)者針對(duì)SPA技術(shù)做出了大量研究。文獻(xiàn)[3]利用單包授權(quán)技術(shù)實(shí)現(xiàn)端口敲門(mén)機(jī)制，有效實(shí)現(xiàn)了資源隱藏，攻擊者在未完成單包授權(quán)的情況下無(wú)法得知業(yè)務(wù)系統(tǒng)的通信端口，極大降低了攻擊成功率。文獻(xiàn)[4]以單包授權(quán)為核心，建立了以身份、環(huán)境、行為、軟件和硬件為評(píng)估因素的動(dòng)態(tài)授權(quán)機(jī)制，實(shí)現(xiàn)了5G 終端在最小授權(quán)、微隔離、動(dòng)態(tài)授權(quán)、持續(xù)監(jiān)控下訪問(wèn)醫(yī)院資源。文獻(xiàn)[5]驗(yàn)證了基于單包授權(quán)的零信任防火墻可根據(jù)客戶(hù)端提供的認(rèn)證憑據(jù)實(shí)現(xiàn)防火墻動(dòng)態(tài)授權(quán)，緩解了經(jīng)典防火墻面臨的安全威脅，提升網(wǎng)絡(luò)安全控制能力。綜合國(guó)內(nèi)所檢文獻(xiàn)分析，目前國(guó)內(nèi)零信任安全防護(hù)應(yīng)用研究主要基于一張網(wǎng)，且大多是通過(guò)單模SPA單包授權(quán)技術(shù)對(duì)設(shè)備本身服務(wù)進(jìn)行隱身保護(hù)及論證。公路交通行業(yè)零信任應(yīng)用不多。南通公路網(wǎng)絡(luò)按照等級(jí)保護(hù)2.0“一個(gè)中心，三重防護(hù)”標(biāo)準(zhǔn)建設(shè)，目前使用傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)，專(zhuān)注于對(duì)網(wǎng)絡(luò)邊界的監(jiān)管和防御，這種傳統(tǒng)的網(wǎng)絡(luò)分區(qū)和城墻式隔離防護(hù)模型至今仍然作為主流網(wǎng)絡(luò)安全防護(hù)架構(gòu)發(fā)揮著積極作用，但是隨著網(wǎng)絡(luò)規(guī)模增長(zhǎng)和網(wǎng)絡(luò)攻擊手段越來(lái)越多樣化、隱蔽化，即使采用了完備的邊界防御措施，也面臨著被攻陷的風(fēng)險(xiǎn)。尤其是一些運(yùn)行在互聯(lián)網(wǎng)的重要信息系統(tǒng)存在較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。而傳統(tǒng)一張網(wǎng)零信任架構(gòu)并不適用于公路多物理隔離的現(xiàn)狀，傳統(tǒng)SPA機(jī)制仍能夠在網(wǎng)絡(luò)上掃描到相關(guān)端口，不能實(shí)現(xiàn)網(wǎng)絡(luò)隱身。

本文基于多物理隔離環(huán)境研究公路落地架構(gòu)并進(jìn)行應(yīng)用延伸，改進(jìn)傳統(tǒng)的SPA機(jī)制，采用傳輸控制協(xié)議(Transmission Control Protocol，TCP)與用戶(hù)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol，UDP)結(jié)合的雙模SPA，開(kāi)展雙模單包授權(quán)的公路零信任安全防護(hù)研究，通過(guò)不同的 SPA 技術(shù)與公路安全接入的現(xiàn)狀相結(jié)合，對(duì)比 UDP SPA、TCP SPA 等不同技術(shù)的實(shí)踐效果，并依托交通信息系統(tǒng)建設(shè)工程智慧農(nóng)路管理系統(tǒng)進(jìn)行實(shí)踐和驗(yàn)證。

1 基于SDP關(guān)鍵技術(shù)的雙模單包授權(quán)機(jī)制

單包授權(quán)機(jī)制是實(shí)現(xiàn) SDP 網(wǎng)絡(luò)隱身核心網(wǎng)絡(luò)安全協(xié)議。SPA機(jī)制核心思想為客戶(hù)端在通過(guò)單個(gè)數(shù)據(jù)包敲門(mén)驗(yàn)證成功后才會(huì)被授權(quán)建立安全連接[6]?；诰?jiǎn)敲門(mén)包并收斂端口的優(yōu)化思路，本文研究和應(yīng)用的雙模SPA機(jī)制能夠極大提升安全性。傳統(tǒng)的UDP SPA技術(shù)通過(guò)UDP發(fā)送SPA敲門(mén)包，獲取認(rèn)證信息，認(rèn)證信息和敲門(mén)信息需要一一關(guān)聯(lián)。如果存在敲門(mén)包中IP頭處于源地址轉(zhuǎn)換(Source Network Address Translation，SNAT)環(huán)境，返回的認(rèn)證信息無(wú)法確認(rèn)真實(shí)源IP，更無(wú)法關(guān)聯(lián)到真實(shí)訪問(wèn)終端，這就存在認(rèn)證放大的風(fēng)險(xiǎn)[7]。通過(guò)TCP發(fā)送的SPA包，包頭包含更加豐富的客戶(hù)端信息，在TCP-SYN過(guò)程中插入敲門(mén)特征，可以建立真實(shí)連接并完成敲門(mén)動(dòng)作，精確地對(duì)應(yīng)到應(yīng)用的每個(gè)TCP連接，有效規(guī)避了UDP SPA中的“敲門(mén)放大”風(fēng)險(xiǎn)。但是，客戶(hù)端的每一個(gè)TCP連接都被暴露，同時(shí)每一次 TCP 建連時(shí)都需要處理 SPA 的封裝、發(fā)送和校驗(yàn)過(guò)程，帶來(lái)資源的大量消耗，無(wú)法應(yīng)對(duì)公路行業(yè)的高并發(fā)應(yīng)用。不同單包授權(quán)機(jī)制對(duì)比如表1所示。

表1 不同單包授權(quán)機(jī)制對(duì)比

2 基于多物理環(huán)境下的公路零信任安全防護(hù)方法

2.1 零信任安全系統(tǒng)總體架構(gòu)

按照系統(tǒng)總體設(shè)計(jì)原則，公路零信任安全系統(tǒng)架構(gòu)使用SDP、IAM、MSG核心技術(shù)，采用了面向訪問(wèn)者身份的動(dòng)態(tài)訪問(wèn)控制模型、智能信任評(píng)估算法模型等新技術(shù)，將公路現(xiàn)有架構(gòu)調(diào)整升級(jí)并與零信任技術(shù)融合，促使網(wǎng)絡(luò)安全保障體系達(dá)到主導(dǎo)防御的目標(biāo)。該架構(gòu)主要由網(wǎng)關(guān)管理平臺(tái)、可信身份管控平臺(tái)、微隔離管控平臺(tái)、物聯(lián)網(wǎng)管控平臺(tái)、態(tài)勢(shì)感知安全管理平臺(tái)、智能策略控制中心這6個(gè)平臺(tái)組成，如圖1所示。網(wǎng)關(guān)管理平臺(tái)建立起公路網(wǎng)絡(luò)虛擬邊界及授權(quán)訪問(wèn)機(jī)制。可信身份管控平臺(tái)為用戶(hù)、設(shè)備等實(shí)體設(shè)定全網(wǎng)統(tǒng)一身份，確認(rèn)合法性。微隔離管控平臺(tái)在虛擬化環(huán)境中劃分邏輯域形成安全邊界，實(shí)現(xiàn)細(xì)粒度的流量監(jiān)測(cè)、訪問(wèn)控制和安全審計(jì)。物聯(lián)網(wǎng)管控平臺(tái)管理物聯(lián)網(wǎng)接入及權(quán)限，實(shí)現(xiàn)安全持續(xù)信任評(píng)估。態(tài)勢(shì)感知安全管理平臺(tái)自動(dòng)化聯(lián)動(dòng)安全組件，閉環(huán)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。智能策略控制中心通過(guò)AI整體調(diào)度其他管理平臺(tái)，統(tǒng)一進(jìn)行認(rèn)證、授權(quán)、策略管理與下發(fā)功能。

圖1 公路零信任安全網(wǎng)絡(luò)架構(gòu)圖

公路零信任架構(gòu)通過(guò)網(wǎng)關(guān)管理平臺(tái)實(shí)現(xiàn)先認(rèn)證后連接的安全防護(hù)機(jī)制。智能策略控制中心進(jìn)行單包授權(quán)并控制網(wǎng)關(guān)管理平臺(tái)動(dòng)態(tài)地開(kāi)放業(yè)務(wù)端口。在網(wǎng)絡(luò)層面，隱藏了業(yè)務(wù)的通信端口，縮小了業(yè)務(wù)系統(tǒng)的暴露面，確保業(yè)務(wù)系統(tǒng)不響應(yīng)未授權(quán)的連接請(qǐng)求[8]。另外，在授權(quán)協(xié)議和接入交互過(guò)程中，采用數(shù)據(jù)包傳輸安全層(Transport Layer Security，TLS)算法實(shí)現(xiàn)基于標(biāo)識(shí)的加密和簽名，保障通信過(guò)程的鏈路安全。對(duì)于單包授權(quán)的訪問(wèn)終端，智能策略控制中心依據(jù)零信任安全機(jī)制以及態(tài)勢(shì)感知安全管理平臺(tái)的安全情報(bào)，對(duì)訪問(wèn)終端進(jìn)行持續(xù)評(píng)估，對(duì)于發(fā)生異常行為的終端，及時(shí)通知網(wǎng)關(guān)管理平臺(tái)進(jìn)行阻斷處理，避免業(yè)務(wù)系統(tǒng)遭受惡意攻擊或破壞。

2.2 基于SDP公路網(wǎng)關(guān)管理平臺(tái)

公路網(wǎng)關(guān)管理平臺(tái)利用基于身份的訪問(wèn)控制機(jī)制，通過(guò)完備的權(quán)限認(rèn)證機(jī)制，建立基于身份、運(yùn)行環(huán)境和上下文信息的授權(quán)訪問(wèn)機(jī)制。公路網(wǎng)關(guān)管理平臺(tái)架構(gòu)由三大組件組成：零信任客戶(hù)端、SDP網(wǎng)關(guān)和SDP控制器，該SDP控制器為南通公路智能策略控制中心組件，作為網(wǎng)關(guān)管理平臺(tái)的控制中心，管理外網(wǎng)及專(zhuān)網(wǎng)SDP網(wǎng)關(guān)，實(shí)時(shí)評(píng)估公路外網(wǎng)及專(zhuān)網(wǎng)業(yè)務(wù)用戶(hù)訪問(wèn)狀態(tài)并動(dòng)態(tài)管控用戶(hù)的訪問(wèn)行為，如圖2所示。

圖2 網(wǎng)關(guān)管理平臺(tái)架構(gòu)邏輯示意圖

2.3 安全交互方法研究

一次正常公路業(yè)務(wù)訪問(wèn)主要分為三個(gè)階段：首先終端上根據(jù)不同網(wǎng)絡(luò)環(huán)境選擇對(duì)應(yīng)的網(wǎng)關(guān)管理平臺(tái)進(jìn)行訪問(wèn)，實(shí)現(xiàn)多物理隔離環(huán)境下的自動(dòng)路由效果；其次根據(jù)SPA單包授權(quán)機(jī)制進(jìn)行可信訪問(wèn)敲門(mén)驗(yàn)證，建立安全可靠的訪問(wèn)連接；最后在智能策略控制中心的實(shí)時(shí)信任評(píng)估下，進(jìn)行業(yè)務(wù)的安全訪問(wèn)[9]。

2.3.1 多物理環(huán)境下自動(dòng)路由策略研究

在多物理隔離網(wǎng)絡(luò)環(huán)境下，采用了同一SDP控制器對(duì)不同SDP網(wǎng)關(guān)進(jìn)行復(fù)用。公路中心SDP控制器具備用戶(hù)認(rèn)證、會(huì)話管理和訪問(wèn)控制策略判定等功能。用戶(hù)在公路中心SDP控制器登錄一次，即可獲取全局用戶(hù)會(huì)話，后續(xù)訪問(wèn)具體應(yīng)用時(shí)，零信任客戶(hù)端會(huì)根據(jù)目標(biāo)應(yīng)用所在物理隔離網(wǎng)絡(luò)自動(dòng)路由至對(duì)應(yīng)數(shù)據(jù)中心部署的SDP網(wǎng)關(guān)，如圖3所示。

圖3 多物理環(huán)境下自動(dòng)路由策略

2.3.2 雙模SPA敲門(mén)方法研究

公路終端訪問(wèn)信息系統(tǒng)時(shí)，通過(guò)單包授權(quán)機(jī)制實(shí)現(xiàn)敲門(mén)。雙模SPA具體敲門(mén)方法如圖4所示。

圖4 雙模SPA單包授權(quán)時(shí)序圖

雙模SPA機(jī)制默認(rèn)丟棄非授權(quán)數(shù)據(jù)包，使得非授權(quán)的客戶(hù)端無(wú)法感知有效 IP 和端口，保護(hù)信息系統(tǒng)外網(wǎng)及專(zhuān)網(wǎng)重要數(shù)字資源。雙模SPA單包授權(quán)方法具體可以分為UDP認(rèn)證和TCP敲門(mén)兩個(gè)階段。

(1)UDP認(rèn)證階段

零信任架構(gòu)下，客戶(hù)端向SDP控制器發(fā)送敲門(mén)包。敲門(mén)包主要包含用戶(hù)安全碼、設(shè)備標(biāo)識(shí)(MAC地址、計(jì)算機(jī)名稱(chēng))、時(shí)間戳、隨機(jī)數(shù)和主機(jī)MAC值。為確保傳輸安全，用戶(hù)安全碼使用SM3哈希算法進(jìn)行加密，設(shè)備標(biāo)識(shí)使用SM4算法進(jìn)行全稱(chēng)加密處理，SM4算法包含了輪函數(shù)、輪密鑰擴(kuò)展和輪迭代的步驟，以提供高強(qiáng)度數(shù)據(jù)保護(hù)。設(shè)備標(biāo)識(shí)碼明文輸入 (L0，L1，L2，L3)共32輪128位數(shù)據(jù)，輪密鑰為Ri(i=0，1，2，…，31)，采用SM4算法加密得出Li+4=Li?T(Li+1?Li+2?Li+3?Ri)，i=0，1，2，…，31，?為異或運(yùn)算，T為加密算法的非線性轉(zhuǎn)換。設(shè)備標(biāo)識(shí)碼經(jīng)過(guò)SM4加密后輸出密文(M0，M1，M2，M3)= (L31，L30，L29，L28)，從而保障終端設(shè)備敲門(mén)過(guò)程安全性[10]。

SDP網(wǎng)關(guān)收到經(jīng)過(guò)網(wǎng)卡流轉(zhuǎn)的SPA包后，驗(yàn)證其數(shù)據(jù)合法性。SPA包的校驗(yàn)包括重放驗(yàn)證、偽造驗(yàn)證、用戶(hù)身份驗(yàn)證和設(shè)備標(biāo)識(shí)驗(yàn)證等多個(gè)部分。重放驗(yàn)證用于確認(rèn)消息是否曾經(jīng)被重復(fù)發(fā)送或接收，確保收到的消息是當(dāng)前通信階段內(nèi)唯一有效。偽造驗(yàn)證則利用數(shù)字簽名等技術(shù)驗(yàn)證數(shù)據(jù)的來(lái)源和完整性。用戶(hù)身份驗(yàn)證和設(shè)備標(biāo)識(shí)驗(yàn)證用于確認(rèn)SPA包合法終端和用戶(hù)，以確保包發(fā)件人身份安全。

在SPA敲門(mén)包驗(yàn)證后，SDP網(wǎng)關(guān)更新本地防火墻規(guī)則，對(duì)合法用戶(hù)、設(shè)備源IP開(kāi)放TCP端口訪問(wèn)權(quán)限，固定窗口時(shí)間30～60 s，可有效防止端口放大，避免鏈接端口長(zhǎng)時(shí)間暴露被黑客利用，從而有效提升安全性。開(kāi)放窗口時(shí)間不能過(guò)短，以免由于網(wǎng)絡(luò)鏈路延時(shí)或用戶(hù)認(rèn)證等時(shí)間問(wèn)題，導(dǎo)致TCP敲門(mén)包無(wú)法接收，從而影響用戶(hù)體驗(yàn)。

UDP認(rèn)證階段數(shù)據(jù)包如表2所示。

(2)TCP敲門(mén)階段

在公路零信任安全架構(gòu)下，SDP網(wǎng)關(guān)會(huì)根據(jù)UDP敲門(mén)請(qǐng)求動(dòng)態(tài)更新本地防火墻規(guī)則，臨時(shí)開(kāi)放TCP端口供客戶(hù)端使用。

為了完成SPA敲門(mén)認(rèn)證，客戶(hù)端需要使用TCP敲門(mén)方式進(jìn)行通信?？蛻?hù)端與SDP網(wǎng)關(guān)使用TCP三次握手建立連接，并通過(guò)在TLS字段中添加SPA令牌的方式，使數(shù)據(jù)包攜帶動(dòng)態(tài)令牌。服務(wù)端在收到TLS握手請(qǐng)求后，會(huì)對(duì)SPA令牌進(jìn)行認(rèn)證，認(rèn)證成功則TLS握手建立成功，否則連接會(huì)被斷開(kāi)。

客戶(hù)端發(fā)送的TLS握手包包含用戶(hù)預(yù)共享密鑰和設(shè)備標(biāo)識(shí)等信息。服務(wù)端驗(yàn)證TLS握手包的擴(kuò)展字段中的SPA包信息，若驗(yàn)證成功，則TLS握手建立成功。此時(shí)客戶(hù)端與SDP網(wǎng)關(guān)之間的信任鏈接正式建立，可以進(jìn)行安全的數(shù)據(jù)交互。

TCP敲門(mén)數(shù)據(jù)包如表3所示。

在TLS類(lèi)型為unknown type的擴(kuò)展字段中，data部分包括TCP種子內(nèi)容，用于加密和解密TCP協(xié)議中的數(shù)據(jù)包，如表4所示。引入TCP種子有效增強(qiáng)了通信的安全性。

表4 unknown type擴(kuò)展字段

此種子為625253，TCP敲門(mén)數(shù)據(jù)包每8小時(shí)變化一次。unknown擴(kuò)展字段包括類(lèi)型為65283和65284的兩種。轉(zhuǎn)換成十六進(jìn)制分別為未知的FF03和未知的FF04。FF03是客戶(hù)端在建立TLS連接時(shí)訪問(wèn)用戶(hù)接入域名和Web資源時(shí)插入的擴(kuò)展字段，F(xiàn)F04是客戶(hù)端與代理網(wǎng)關(guān)建立隧道時(shí)插入的TLS擴(kuò)展字段。經(jīng)過(guò)上述驗(yàn)證和TLS握手協(xié)商后，建立SSL加密傳輸隧道，從而使得客戶(hù)端與SDP網(wǎng)關(guān)之間建立信任連接。

2.3.3 安全訪問(wèn)機(jī)制研究

多物理環(huán)境下，終端使用零信任客戶(hù)端訪問(wèn)后端業(yè)務(wù)系統(tǒng)。在訪問(wèn)前，每個(gè)業(yè)務(wù)資源都會(huì)關(guān)聯(lián)不同的公路網(wǎng)關(guān)管理平臺(tái)。零信任客戶(hù)端使用自動(dòng)路由機(jī)制來(lái)選擇不同物理環(huán)境下的網(wǎng)關(guān)進(jìn)行訪問(wèn)，以確定訪問(wèn)路徑。一旦訪問(wèn)路徑確定，終端會(huì)建立與公路網(wǎng)關(guān)管理平臺(tái)的連接，并發(fā)出敲門(mén)包。終端采用雙模SPA單包授權(quán)機(jī)制，在使用UDP SPA敲門(mén)時(shí)獲取網(wǎng)關(guān)的窗口連接時(shí)間以建立業(yè)務(wù)連接。終端接著使用加密的TCP請(qǐng)求進(jìn)行數(shù)據(jù)傳輸，以實(shí)現(xiàn)安全的交互。

2.4 方法實(shí)踐及分析

2.4.1 案例分析

本研究依托南通公路“2+1”智能養(yǎng)護(hù)巡查新模式，以南通市縣一體化智慧農(nóng)路管理系統(tǒng)為主，所有新模式均采用零信任網(wǎng)絡(luò)架構(gòu)。該系統(tǒng)主要實(shí)現(xiàn)“公路資產(chǎn)數(shù)字化、工程監(jiān)管精準(zhǔn)化、路網(wǎng)監(jiān)控可視化、養(yǎng)護(hù)管理智能化、運(yùn)營(yíng)服務(wù)優(yōu)質(zhì)化、決策分析科學(xué)化”。經(jīng)實(shí)踐，系統(tǒng)運(yùn)用雙模SPA技術(shù)實(shí)現(xiàn)安全訪問(wèn)。零信任架構(gòu)下，通過(guò)外網(wǎng)及專(zhuān)網(wǎng)分別單臂部署SDP網(wǎng)關(guān)，同時(shí)由零信任智能策略控制中心統(tǒng)一管理。關(guān)閉防火墻對(duì)外發(fā)布相關(guān)端口后，用戶(hù)按照零信任控制中心及SDP網(wǎng)關(guān)規(guī)則訪問(wèn)，合規(guī)后使用PC瀏覽器或者移動(dòng)端APP訪問(wèn)智慧農(nóng)路管理系統(tǒng)業(yè)務(wù)?？缤饩W(wǎng)與專(zhuān)網(wǎng)網(wǎng)絡(luò)交互數(shù)據(jù)時(shí)，外網(wǎng)SDP網(wǎng)關(guān)將通過(guò)網(wǎng)閘擺渡客戶(hù)端請(qǐng)求到專(zhuān)網(wǎng)SDP網(wǎng)關(guān)，并根據(jù)專(zhuān)網(wǎng)SDP網(wǎng)關(guān)的相關(guān)轉(zhuǎn)發(fā)策略進(jìn)行數(shù)據(jù)處理，同時(shí)關(guān)閉其他訪問(wèn)請(qǐng)求途徑，統(tǒng)一安全接入，統(tǒng)一訪問(wèn)控制。

2.4.2 安全效果分析

公路智能策略控制中心對(duì)請(qǐng)求主體身份、設(shè)備等信息進(jìn)行安全認(rèn)證并對(duì)合法請(qǐng)求動(dòng)態(tài)授予訪問(wèn)權(quán)限，設(shè)置精細(xì)化訪問(wèn)控制策略，實(shí)時(shí)評(píng)估業(yè)務(wù)系統(tǒng)用戶(hù)客戶(hù)端訪問(wèn)狀態(tài)并動(dòng)態(tài)管控用戶(hù)的訪問(wèn)行為，如圖5所示。

圖5 零信任訪問(wèn)路徑架構(gòu)圖

SPA為零信任控制中心及安全代理網(wǎng)關(guān)提供以下安全作用：(1)保護(hù)服務(wù)器。在提供真正的SPA之前，服務(wù)器不會(huì)響應(yīng)來(lái)自任何客戶(hù)端的任何連接；(2)隱藏對(duì)外服務(wù)端口，防止非法端口掃描；(3)阻止拒絕服務(wù)攻擊。用戶(hù)在進(jìn)行SPA敲門(mén)前，無(wú)法探測(cè)到服務(wù)端口，進(jìn)而防止針對(duì)性的拒絕服務(wù)攻擊。雙模單包授權(quán)SPA技術(shù)采用了UDP+TCP SPA混合模式的零信任服務(wù)隱藏方法，結(jié)合UDP SPA和TCP SPA兩種單包授權(quán)的優(yōu)點(diǎn)。在UDP SPA的基礎(chǔ)上疊加TCP SPA能力，服務(wù)端默認(rèn)關(guān)閉所有端口，正常用戶(hù)訪問(wèn)前客戶(hù)端需要發(fā)含有身份憑證的UDP SPA敲門(mén)包，驗(yàn)證成功后更新本地防火墻規(guī)則臨時(shí)放行很短的時(shí)間窗口允許指定源IP對(duì)設(shè)備TCP端口的訪問(wèn)，后續(xù)的連接建立過(guò)程中遵循TCP SPA流程完成TLS協(xié)商。

2.4.3 國(guó)產(chǎn)化適配實(shí)踐

公路零信任實(shí)踐選取國(guó)產(chǎn)終端進(jìn)行適配，使用Loongson-3A4000芯片，該芯片采用MIPS 64位架構(gòu)，運(yùn)行麒麟Kylin桌面操作系統(tǒng)。零信任工作臺(tái)可訪問(wèn)零信任發(fā)布應(yīng)用資源，實(shí)現(xiàn)自動(dòng)單點(diǎn)登錄。

2.4.4 移動(dòng)端運(yùn)行效果實(shí)踐

在零信任實(shí)踐中，包括客戶(hù)端應(yīng)用、移動(dòng)端應(yīng)用?？蛻?hù)端應(yīng)用通過(guò)發(fā)送HTTPS請(qǐng)求向智慧農(nóng)路管理系統(tǒng)發(fā)起認(rèn)證鏈接，以完成用戶(hù)名密碼校驗(yàn)。智慧農(nóng)路管理系統(tǒng)后端通過(guò)內(nèi)網(wǎng)地址調(diào)用零信任應(yīng)用程序編程接口，以完成零信任用戶(hù)信息和智慧農(nóng)路管理系統(tǒng)用戶(hù)認(rèn)證信息的同步，從而實(shí)現(xiàn)身份認(rèn)證對(duì)接。通過(guò)登錄零信任客戶(hù)端訪問(wèn)智慧農(nóng)路管理系統(tǒng)，密碼代填的方式可以實(shí)現(xiàn)單點(diǎn)登錄，之后無(wú)需再次登錄。

3 結(jié)果討論

3.1 安全評(píng)估分析

根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求2.0第三級(jí)控制點(diǎn)要求，本文基于雙模SPA單包授權(quán)技術(shù)，對(duì)SDP典型應(yīng)用實(shí)施安全測(cè)評(píng)，結(jié)果如表5所示。

表5 安全評(píng)估

3.2 效率分析

網(wǎng)關(guān)管理平臺(tái)應(yīng)用雙模SPA技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隱身，實(shí)驗(yàn)利用普通Win10終端進(jìn)行網(wǎng)絡(luò)掃描和通過(guò)單包認(rèn)證后掃描應(yīng)用服務(wù)比對(duì)發(fā)現(xiàn)，通過(guò)掃描工具進(jìn)行公路零信任系統(tǒng)IP地址全端口掃描可發(fā)現(xiàn)當(dāng)前業(yè)務(wù)IP地址下未有業(yè)務(wù)端口開(kāi)啟。通過(guò)SPA認(rèn)證后，可以正常訪問(wèn)交通信息系統(tǒng)。同時(shí)對(duì)訪問(wèn)過(guò)程進(jìn)行通信分析，如圖6所示TCP SPA過(guò)程，實(shí)驗(yàn)證明雙模SPA比TCP SPA在敲門(mén)階段縮短了過(guò)程，速率提升50%。

圖6 TCP SPA交互過(guò)程

4 結(jié)束語(yǔ)

本文針對(duì)公路乃至交通行業(yè)接入終端復(fù)雜、接入范圍廣的特點(diǎn)，提出多物理隔離網(wǎng)絡(luò)環(huán)境下公路落地架構(gòu)并進(jìn)行應(yīng)用延伸，實(shí)現(xiàn)安全與體驗(yàn)的平衡。主要開(kāi)展零信任架構(gòu)在網(wǎng)關(guān)管理平臺(tái)中單包授權(quán)技術(shù)研究，對(duì)比UDP SPA、TCP SPA等不同技術(shù)的實(shí)踐效果，應(yīng)用雙模SPA技術(shù)與公路安全接入現(xiàn)狀相結(jié)合，研究更加貼合公路行業(yè)實(shí)際、安全高效的SPA單包授權(quán)技術(shù)實(shí)踐。成功在國(guó)產(chǎn)操作系統(tǒng)上安全運(yùn)行智慧農(nóng)路管理應(yīng)用，應(yīng)用訪問(wèn)的安全性和訪問(wèn)效率都得到有效提升。后續(xù)將探索零信任物聯(lián)網(wǎng)應(yīng)用延伸、開(kāi)展零信任數(shù)據(jù)安全研究，建立更全面、更安全的零信任安全防護(hù)方案。