(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210656798.X (22)申请日 2022.06.06 (71)申请人 公安部第一研究所 地址 100044 北京市海淀区首都体 育馆南 路一号 (72)发明人 胡光俊　李海威　王锐　李艳斐　 李坤　黄长慧　李佳文　 (74)专利代理 机构 北京汲智翼成知识产权代理 事务所(普通 合伙) 11381 专利代理师 陈曦　董烨飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 49/20(2022.01) H04L 49/55(2022.01) (54)发明名称 一种软件定义 边界的实现方法及系统 (57)摘要 本发明公开了一种软件定义边界的实现方 法及系统。 该方法包括如下步骤： 将预先生成的 受保护服务的网络信息注册到SDP系统， 生成SPA 服务认证信息； SDP客户端获取SPA服务认证信 息， 生成访问报文， 并通过交换机向受保护服务 发送访问报文； SDP系统获取交换机流量的镜像 数据， 镜像数据包含访问报文； SDP系统根据SPA 服务认证信息对访问报文进行匹配， 在匹配成功 时对SDP客户端进行授权并对访问报文放行。 本 发明采取旁路部署SDP系统的方式镜像接入交换 机流量， 对交换机流量的镜像数据进行监测和阻 断， 实现对内部用户访问内部服务时的SDP功能， 有效抵御内部攻击 。 权利要求书1页 说明书7页 附图4页 CN 115242430 A 2022.10.25 CN 115242430 A 1.一种软件定义 边界的实现方法， 其特 征在于包括如下步骤： 将预先生成的受保护服 务的网络信息注 册到SDP系统， 生成S PA服务认证信息； SDP客户端获取SPA服务认证信息， 生成访问报文， 并通过交换机向所述受保护服务发 送所述访问报文； 所述SDP系统获取 所述交换机流 量的镜像数据， 所述镜像数据包 含所述访问报文； 所述SDP系统根据所述SPA服务认证信息对所述访问报文进行匹配， 在匹配成功时对所 述SDP客户端进行授权并对所述访问报文放行。 2.如权利要求1所述的软件定义 边界的实现方法， 其特 征在于： 所述预先生成的受保护服务的网络信息包括： 受保护服务的IP地址、 服务端 口、 SPA认 证端口、 校验码、 单次认证有效时长、 公私钥对。 3.如权利要求2所述的软件定义边界的实现方法， 其特征在于对所述SDP客户端进行授 权， 包括如下子步骤： 将SDP客户端的IP地址与所述受保护服 务的IP地址和所述 服务端口绑定 。 4.如权利要求1所述的软件定义边界的实现方法， 其特征在于所述SDP客户端获取SPA 服务认证信息， 生成访问报文， 还 包括如下子步骤： 所述SDP客户端离线获取SPA认证端口、 校验码、 公钥 文件， 基于所述公钥文件和校验码 构造认证令牌， 生成包 含所述认证令牌的单包认证报文。 5.如权利要求 4所述的软件定义 边界的实现方法， 其特 征在于： 所述认证令牌的加密内容包括SDP客户端发起单包认证请求时的本地系统时间戳和验 证码。 6.如权利要求1所述的软件定义 边界的实现方法， 其特 征在于： 所述SDP系统根据所述SPA服务认证信息对所述访问报文进行匹配， 在匹配不成功时对 所述SDP客户端的IP地址访问进行阻断， 丢弃 所述访问报文。 7.如权利要求1所述的软件定义边界的实现方法， 其特征在于在所述SDP系统根据 所述 SPA服务认证信息对所述访问报文 进行匹配的步骤之前， 还 包括如下子步骤： SDP系统采用私钥对所述认证令牌解密并对所述校验码进行校验， 当所述认证令牌为 合法时， 所述S DP系统根据所述S DP客户端的信息和所述受保护服 务的信息生成白名单。 8.如权利要求7 所述的软件定义 边界的实现方法， 其特 征在于： 当所述SDP客户端的访问时长超过所述单次认证有效时长后， 所述白名单失效， 所述 SDP系统对所述S DP客户端的IP地址访问进行阻断。 9.如权利要求1所述的软件定义 边界的实现方法， 其特 征在于： 所述SDP系统采用旁路部署方式获取所述交换机流量的镜像数据， 并且仅对所述镜像 数据进行监测 和阻断， 不进行 数据转发。 10.一种访问控制系统， 包括S DP系统、 SDP客户端和交换机； 其特 征在于： 所述SDP系统和所述SDP客户端分别连接所述交换机， 并通过所述交换机， 采用权利要 求1～9中任意一项所述的方法访问预 先生成的受保护服 务。权　利　要　求　书 1/1 页 2 CN 115242430 A 2一种软件定义边界的实现方 法及系统 技术领域 [0001]本发明涉及 一种软件定义边界的实现方法， 同时也涉及 一种采用该方法的访问控 制系统， 属于网络安全技 术领域。 背景技术 [0002]软件定义边界(Software  Defined Perimeter， 简写为SDP)是由云安全联盟 (Cloud Security  Alliance， 简写为CSA)提出一种创新性较强的网络安全解决方案。 它根 据用户身份控制其对资源的访问， 用安全隐身 取代安全防护， 其核心 技术思想是通过SDP架 构隐藏核心网络资产与设施， 使之不直接暴露在互联网下， 使得网络资产与设施免受外来 安全威胁。 [0003]在传统的SDP架构中， 由于受保护服务(或应用)的范围较大， 因此普遍采用网关模 式， 围绕某个或某组服务创建基于身份和上下文的逻辑访问边界。 每个客户端在访问前， 必 须通过单包认 证(Single  Packet Authorization， 简 写为SPA)后， 才允许访问受SDP保护的 服务(或应用)。 [0004]但是， 传统的S DP架构仍然存在以下几个缺 点： [0005](1)SDP网关串联在网络中， 采用单点部署。 SDP网关作为 受保护服务的统一流量入 口， 对所有网络流 量进行转发， 网络性能压力较大， 一 旦宕机， 其保护的服 务都不可访问。 [0006](2)SDP控制器作为SPA控制中心， 客户端和受保护服务都需要与SDP控制器进行网 络连接， 因此SDP控制器需要连接在网路中， 即暴露在互联网中， 容易受到黑客攻击。 一旦 SDP控制器被攻击， 将导致网络瘫痪； 若SDP控制器被劫持控制， SDP控制器便可对任意用户 进行授权， 威胁SDP所需要保护的服务的安全； 如SDP控制器被恶意关停， 便可导致受保护服 务无法正常访问。 [0007](3)SDP网关可防御外 部网络攻击， 但无法有效防御发自内网的非法访问或攻击 。 [0008]因此， 需要一种可以将需要保护的服务进行隐藏， 使攻击者在网络空间中看不到 攻击目标， 无法对其进 行攻击， 使用代理或设备验证指 定访问者的身份、 上下文和策略合规 性， 以保护服 务资源， 显著缩小攻击面的技 术解决方案 。 发明内容 [0009]本发明所要解决的首要技术问题在于提供一种软件定义边界的实现方法。 利用该 方法， 可以实现授权用户对预定服 务的隐身访问。 [0010]本发明所要解决的另一 技术问题在于提供一种采用该 方法的访问控制系统。 [0011]为了实现上述目的， 本发明采用以下的技 术方案： [0012]根据本发明实施例的第一方面， 提供一种软件定义边界的实现方法， 包括如下步 骤： [0013]将预先生成的受保护服 务的网络信息注 册到SDP系统， 生成S PA服务认证信息； [0014]SDP客户端获取SPA服务认证信息， 生成访问报文， 并通过交换机向所述受保护服说　明　书 1/7 页 3 CN 115242430 A 3