一種基于零信任架構的四重端口隱藏方法及裝置

本發明屬于計算機網絡安全，具體涉及一種基于零信任架構的四重端口隱藏方法及裝置。

背景技術：

1、spa(single?packet?authorization)單包敲門是一種輕量級的安全協議，只使用單個數據包進行訪問申請，通過將所有必要信息集成在單個數據包內來簡化敲門流程，在允許訪問網絡前，先驗證設備和用戶身份，以此達到“網絡隱身”，使攻擊者無法找到服務地址和端口。相比于傳統的tcp協議相比，spa單包授權具備最小授權、微隔離、動態授權等諸多技術優勢，能夠幫助企業實現縮小攻擊面、緩解ddos攻擊、0day漏洞保護等功能，是企業構建零信任安全防護體系的基石。根據其敲門包的不同分為tcp?spa敲門和udp?spa敲門。然而，tcp?spa的敲門方案存在端口泄露等風險，因此更多采用udp?spa敲門的方案。

2、在用戶登錄認證業務系統之前，sdp控制器的認證端口是隱藏的，需通過udp?spa敲門實現認證端口開放。udp?spa敲門的整體流程如圖1所示，分為以下步驟：

3、(1)密鑰協商與分發：sdp控制器作為中心管理節點，負責與各個sdp客戶端進行密鑰協商，這一過程通常涉及生成臨時密鑰或使用預置密鑰，一旦密鑰協商完成，sdp控制器將相應的密鑰分發給對應的sdp客戶端，這些密鑰將用于構建udp敲門包；(2)spa密鑰計算：sdp客戶端根據客戶端唯一標識(如mac地址或設備id)、客戶端隨機數以及spa私鑰來計算spa密鑰，確保每個sdp客戶端的spa密鑰都是唯一的，且難以預測；(3)構建并發送udp敲門包：sdp客戶端將計算出的spa密鑰與其自身的信息(如客戶端唯一標識)以及待訪問的認證端口口號封裝為一個udp數據包，這個udp數據包隨后被發送至sdp控制器，作為初次接觸的“敲門”信號；(4)核對spa密鑰：sdp控制器接收到udp敲門包后，使用之前與sdp客戶端協商好的spa私鑰對spa密鑰進行計算，并與接收到的spa密鑰進行比較，如果spa密鑰匹配成功，表明sdp客戶端的身份已被初步確認；(5)認證端口開啟：若spa密鑰核對成功，sdp控制器將開放認證端口口號，以便sdp客戶端可以進行下一步的身份驗證過程；(6)發起登錄請求：在一段時間間隔后，sdp客戶端發起正式的登錄請求，這個間隔是為了避免攻擊者利用敲門包進行探測。

4、spa單包敲門作為一種零信任安全模型中的關鍵技術，雖然在一定程度上提高了網絡的安全性，但仍存在一些局限性和潛在的安全風險。具體在于：

5、(1)單一敲門技術的局限性：spa等傳統的零信任產品依賴于單次敲門機制，這種機制在復雜多變的網絡攻擊面前顯得脆弱，攻擊者可能通過破解單個入口點，進而獲取對整個網絡的訪問權限，由于spa機制下業務資源的網絡暴露面相對較大，因此更容易成為攻擊的目標。

6、(2)共享公網ip的spa漏洞：在多個局域網終端共享同一公網ip的情況下，如果一個終端成功通過spa驗證，那么其他終端無需再次驗證即可訪問業務資源，這種情況暴露了傳統spa機制在特定網絡配置下的安全漏洞，即缺乏對每個終端進行獨立且安全驗證的能力。

7、(3)身份驗證與訪問控制的深度不足：單一的身份驗證步驟無法充分保障用戶準入的嚴謹性，一旦驗證環節被攻破，后續的業務服務防護將形同虛設，缺乏深度的訪問控制機制，使得即便合法用戶也可能因為權限管理不當而造成安全漏洞。

8、在數字化轉型的浪潮下，企業網絡邊界日益模糊，傳統基于邊界的網絡安全策略面臨嚴峻挑戰。零信任架構作為新一代的安全理念，強調“永不信任，始終驗證”，要求對所有用戶、設備和服務進行持續驗證，以確保只有經過認證和授權的實體才能訪問企業資源。然而，傳統的零信任產品往往依賴于單一的敲門技術(如spa，single?packetauthorization)，這種機制雖然能提供一定的安全保障，但面對復雜的網絡環境和不斷演進的攻擊手段，其防護能力顯得捉襟見肘。

技術實現思路

1、本發明的目的是增強網絡的安全性和防止未授權訪問，從而提供一種基于零信任架構的四重端口隱藏方法及裝置。本發明通過四重端口隱藏技術增加了額外的安全層，使得攻擊者難以輕易找到有效的攻擊入口點；同時基于信任的身份認證機制能夠實現更加精細化的訪問控制，并且能夠適應復雜的網絡環境，從而避免了傳統spa機制中存在的安全漏洞。

2、本發明為解決技術問題所采用的技術方案如下：

3、本發明提供的一種基于零信任架構的四重端口隱藏方法，主要包括以下步驟：

4、步驟s1:認證端口敲門；

5、步驟s1.1:第一次敲門操作；

6、步驟s1.2:基于時空矩陣融合多因子模型的終端信任評估方法；

7、首先構造具有時空屬性的多信任因子時空矩陣用于計算和更新終端信任等級；然后采用主觀層次分析法和客觀熵值法對多信任因子自適應賦權；最后根據多信任因子時空矩陣和動態分配的信任因子權重，融合計算當前時段終端信任等級；

8、步驟s2:基于信任的多元身份認證；

9、步驟s2.1:初始狀態：低級信任等級；

10、步驟s2.2:中級信任等級；

11、步驟s2.3:高級信任等級；

12、步驟s2.4:基于用戶行為持續監控的動態信任等級調整方法；

13、在用戶登錄系統之前，系統會采集終端設備信息并調用信任評估接口來獲取用戶的初始信任等級；在用戶登錄系統之后，系統會持續采集終端設備信息并定期更新信任等級；如果用戶信任等級下降至低于初始信任等級，系統會斷開連接并要求用戶重新登錄；

14、步驟s3:隧道端口敲門；

15、sdp客戶端向sdp控制器發起隧道連接請求；sdp控制器接收到隧道連接請求后，驗證sdp客戶端的身份；sdp客戶端通過身份驗證后，sdp控制器向sdp網關發送指令，指示其開放隧道端口，由sdp網關為sdp客戶端創建一個加密的隧道；

16、步驟s4:業務端口敲門；

17、準備一個包含業務訪問請求的敲門數據包；sdp客戶端通過已建立的隧道發送敲門數據包到sdp網關；sdp網關接收到敲門數據包后，根據sdp客戶端的唯一標識和其他相關信息來驗證請求的合法性，如果請求合法，sdp網關會向sdp控制器發送確認信息；sdp控制器再次驗證sdp客戶端的身份及其訪問權限，如果驗證成功，sdp控制器會指示sdp網關開放相應的業務端口，允許sdp客戶端訪問指定的業務資源；sdp網關根據sdp控制器的指令開放業務端口后，sdp客戶端能夠直接與業務系統進行交互。

18、進一步的，步驟s1.1的具體實現流程為：

19、步驟s1.1.1:密鑰協商與分發；

20、sdp控制器作為中心管理節點，負責與各個sdp客戶端進行密鑰協商，生成臨時密鑰或使用預置密鑰，密鑰協商完成后，sdp控制器將相應的密鑰分發給對應的sdp客戶端，這些密鑰將用于構建udp敲門包；

21、步驟s1.1.2:spa密鑰計算；

22、sdp客戶端根據客戶端唯一標識、客戶端隨機數以及spa私鑰來計算spa密鑰，確保每個sdp客戶端的spa密鑰都是唯一的且難以預測；

23、步驟s1.1.3:構建并發送udp敲門包；

24、sdp客戶端將計算出的spa密鑰與其自身的信息以及待訪問的認證端口口號封裝為一個udp數據包，這個udp數據包隨后被發送至sdp控制器，作為初次接觸的敲門信號。

25、進一步的，所述udp敲門包包括：sdp客戶端唯一標識、sdp客戶端用戶的信任值和sdp客戶端攜帶的私鑰信息。

26、進一步的，步驟s1.2中，利用終端部署的edr與sdp網關攻擊檢測引擎捕獲的終端攻擊行為進行關聯分析，利用sdp網關協議解析引擎對通過的流量進行解析，根據五種常見流量異常模型進行分析；在sdp控制器端關聯到的攻擊行為和異常行為在sdp控制器中產生告警，對終端信任等級進行更新。

27、進一步的，步驟s1.2中，所述主觀層次分析法中，通過建立層次結構專家模型、構造判別矩陣、層次單排序及一致性檢驗、層次總排序及一致性檢驗的流程對主觀權重進行賦值，確保專家打分的合理性，具體計算公式為：

28、

29、其中，ci表示一致性指標，λmax表示最大特征根，n表示特征維數，表示權重，ci1,ci2,…,cin表示不同特征的一致性指標。

30、進一步的，步驟s1.2中，所述客觀熵值法中，通過標準化/無量綱化、指標比重比較、指標信息熵計算、權重計算步驟，得到客觀權重因子，進而對客觀權重進行賦值，具體計算公式為：

31、

32、其中，h(x)表示指標信息熵，p(xi)表示指標i的概率，xi表示第i個指標，表示第i個指標的客觀權重，k表示指標數量。

33、進一步的，步驟s2.4中，所述基于用戶行為持續監控的動態信任等級調整方法的具體實現流程為：

34、當用戶首次登錄系統時，其初始信任等級為最低級別，信任等級低，采用用戶名密碼+短信驗證碼+ukey密鑰進行認證；

35、用戶首次登錄系統成功后，系統持續進行用戶行為監控，計算信任風險值，并將其與風險閾值比對，當信任風險值大于風險閾值時，系統返回登錄界面，用戶的信任度仍然為低，當信任風險值小于風險閾值時，系統提升用戶信任等級至中級；系統在此過程中不斷學習用戶的常規行為模式，直到用戶的登錄行為和使用習慣逐漸穩定；當用戶再次登錄系統時，系統會自動提升其信任等級至中級，信任等級中，采用用戶名密碼+短信驗證碼進行認證；

36、用戶多次登錄系統成功后，系統繼續持續進行用戶行為監控，計算信任風險值，并將其與風險閾值比對，當信任風險值大于風險閾值時，系統返回登錄界面，用戶的信任度仍然為低，當信任風險值小于風險閾值時，系統提升用戶信任等級至高級；系統在此過程中不斷學習用戶的常規行為模式，直到用戶的登錄行為和使用習慣逐漸穩定；當用戶再次登錄系統時，系統會自動提升其信任等級至高級，信任等級高，采用用戶名密碼進行認證；

37、用戶多次登錄系統成功后，系統繼續持續進行用戶行為監控，計算信任風險值，并將其與風險閾值比對，當信任風險值大于風險閾值時，系統返回登錄界面，用戶的信任度仍然為中或低。

38、進一步的，步驟s2.1中，當用戶首次登錄系統時，其初始信任等級設定為最低級別，此時身份驗證方式為：用戶名和密碼認證、短信驗證碼認證和ukey密鑰認證。

39、本發明提供的一種基于零信任架構的四重端口隱藏裝置，包括：存儲器和處理器；所述存儲器存儲有可執行指令，所述處理器被配置為執行存儲器中可執行指令以實現所述的一種基于零信任架構的四重端口隱藏方法的步驟。

40、本發明的有益效果是：

41、(1)增強的安全性：針對spa單包敲門技術在網絡攻擊面前的脆弱性，本發明通過多層次的身份驗證和信任評估，以及四重端口敲門機制，顯著增強了系統的安全性，降低了被攻擊的風險；

42、(2)精細化的訪問控制：針對spa機制中身份驗證與訪問控制的深度不足問題，本發明通過動態調整信任等級和嚴格的權限管理，實現了更為精細化的訪問控制，確保了即使合法用戶也只能訪問被授權的資源；

43、(3)適應復雜網絡環境：針對spa機制在特定網絡配置(如共享公網ip)下的安全漏洞，本發明通過四重端口隱藏技術和持續的終端信任狀態監測，能夠在復雜多變的網絡環境中保持高度的安全性；

44、(4)用戶體驗優化：本發明通過動態調整信任等級，根據用戶的行為模式和歷史記錄自動簡化認證流程，提高了用戶體驗，同時不影響安全性；

45、(5)持續的終端信任狀態監測：本發明在登錄前后均進行終端信任狀態的檢測，確保用戶身份的持續有效性，一旦信任等級下降，即時采取安全措施，進一步增強了系統的整體安全性。