[发明专利]一种基于SDN的软件定义边界实现方法及系统

说明书

本发明公开了一种基于SDN的软件定义边界实现方法及系统，其中该方法通过SDN控制器代替SDP控制器，通过SDN交换机代替SDP网关，以通过SDN网络的流表方法实现SPA单包授权业务逻辑，一方面，SDN交换机属于基础网络设施，在布设软件定义边界的系统时无需增加额外的SDP网关设备，同时且SDN交换机的转发性能强，可按Tor分布式部署，解决单点处理性能问题，另一方面SDN交换机常作为内网的Tor交换机，因此本方法可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

技术领域

本发明属于软件定义边界技术领域，具体涉及一种基于SDN的软件定义边界实现方法及系统。

背景技术

软件定义的边界(SDP)是由云安全联盟(CSA)开发的一种安全框架，它根据身份控制对资源的访问。每个终端在连接服务器前必须进行单播授权(SPA)验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。传统的SDP架构由于受保护服务的范围较大，因此普遍采用网关模式，如图1所示：SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的，通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，通过单一访问控制方式，将受保护服务对非法用户完全屏蔽，这样便大大防止了外部的暴力攻击(如DDoS流量攻击)、精准打击(如APT持续威胁)、漏洞利用(如心脏出血漏洞)等，通过SDP软件定义边界减小网络的被攻击面。

但传统的SDP软件定义边界架构存在以下几个缺点：

1.SDP网关的单点问题，SDP网关作为受保护服务的统一流量入口，网络处理性能不足。

2.由于SDP控制器作为单播授权中心，因此需要暴露在外网，容易被黑客作为攻击目标，导致网络瘫痪或SDP控制器被劫持控制。

3.SDP网关防御外部网络的非法访问或攻击，无法防御内部网络间的非法访问或攻击。

发明内容

为了克服上述技术缺陷，本发明提供一种基于SDN的软件定义边界实现方法及系统，其中该方法在布设软件定义边界的系统时无需增加额外的SDP网关设备，解决单点处理性能问题，可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

为了解决上述问题，本发明按以下技术方案予以实现的：

一种基于SDN的软件定义边界实现方法，其步骤包括：

SDN控制器下发SPA采集流表至SDN交换机；

所述SDN交换机根据所述SPA采集流表采集来自客户端的SPA授权报文，并将采集到的所述SPA授权报文发送至所述SDN控制器；所述SPA授权报文中包括加密证书、客户端信息和目标服务信息；

所述SDN控制器根据预设的注册信息和所述目标服务信息，判断所述加密证书的合法性，当所述加密证书被判定为合法时，所述SDN控制器根据所述客户端信息和目标服务信息生成授权转发流表；

所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配，在匹配成功时转发所述访问报文至所述目标服务信息指定的目标服务。

作为本方法的进一步改进，其还包括步骤：

将受保护服务的网络信息注册至所述SDN控制器以生成所述注册信息以及所述加密证书；所述注册信息中包括用于解密所述加密证书的凭据。

作为本方法的进一步改进，其还包括步骤：所述客户端获取所述加密证书，并根据所述加密证书和欲访问的受保护服务的所述目标服务信息，生成所述SPA授权报文。

作为本方法的进一步改进，所述SPA授权报文中还包括对应于所述加密证书的加密信息。