[发明专利]SDP架构下服务模式的切换方法和系统

说明书

本发明涉及软件定义边界SDP架构下服务模式的切换方法和系统。其中，公开了一种软件定义边界SDP架构下服务模式的切换方法，包括：SDP控制器对来自SDP客户端的合法认证请求进行流量识别，并且根据合法流量变化情况在网络隐身模式和性能模式之间进行服务模式切换，其中，在网络隐身模式下，SDP控制器在与SDP客户端建立TCP连接之前进行单包授权SPA认证，而在性能模式下，SDP控制器在与SDP客户端建立TCP连接之前不进行SPA认证，其中，当合法流量上升至超过第一阈值时，SDP控制器将服务模式从网络隐身模式切换到性能模式，并且其中，当合法流量下降至低于第二阈值时，SDP控制器将服务模式从性能模式切换到网络隐身模式。

技术领域

本公开涉及网络技术与安全技术领域，并且具体地涉及软件定义边界(SoftwareDefined Perimeter，SDP)架构下服务模式的切换方法和系统。

背景技术

SDP是由云安全联盟(Cloud Security Alliance，CSA)开发的一种安全框架，其利用单包授权(Single Packet Authorization，SPA)技术实现网络隐身，隐藏核心网络资产与设施，使其不暴露在互联网下，从而免受外来安全威胁。SPA是一种轻量级安全协议，数据包内部包含了认证所需的必要的信息。采用SPA技术的授权方案基于默认丢弃所有数据包的访问控制策略，客户端通过单个加密的数据包发送认证与授权请求，只有通过认证和授权的客户端才能访问被保护的应用资源，未授权的用户和设备无法感知或探测到被保护的应用端口，显著的缩小了攻击面，提升了系统的安全水平。

然而，运行在SDP控制器侧实施监听和捕获SPA数据包的组件存在性能瓶颈，在面对突发性、大量认证请求(例如，断电重启、特殊时间点等)时，只能实时扩容或者直接采用开放端口的解决方案，这会造成资源浪费、系统处理时延增加，以及开放端口后导致SDP架构的攻击面扩大等问题。因此，存在面对大量突发认证请求时避免资源浪费和时延增加，同时保证SDP系统的安全性的需要。

发明内容

本公开提供了一种软件定义边界SDP架构下服务模式的切换方法和系统，使得能够在资源受限的情况下，面对突发性、大量认证请求时满足系统可用性要求，在安全和性能二者之间实现平衡，减少端口的暴露窗口期，提升系统安全性。

根据本发明实施例的一个方面，提供了一种软件定义边界SDP架构下服务模式的切换方法，包括：SDP控制器对来自SDP客户端的合法认证请求进行流量识别，并且根据合法流量变化情况在网络隐身模式和性能模式之间进行服务模式切换，其中，在网络隐身模式下，SDP控制器在与SDP客户端建立TCP连接之前进行单包授权SPA认证，而在性能模式下，SDP控制器在与SDP客户端建立TCP连接之前不进行SPA认证，其中，当合法流量上升至超过第一阈值时，SDP控制器将所述服务模式从网络隐身模式切换到性能模式，并且其中，当合法流量下降至低于第二阈值时，SDP控制器将所述服务模式从性能模式切换到网络隐身模式。

根据本发明实施例的另一个方面，提供了一种软件定义边界SDP架构下服务模式的切换系统，包括：SDP控制器，包括：流量识别和判定模块，被配置为对来自SDP客户端的合法认证请求进行流量识别，并且根据合法流量变化情况产生服务模式切换指令；以及服务模式切换模块，被配置为基于所述服务模式切换指令，在网络隐身模式和性能模式之间进行服务模式切换，其中，在网络隐身模式下，SDP控制器在与SDP客户端建立TCP连接之前进行单包授权SPA认证，而在性能模式下，SDP控制器在与SDP客户端建立TCP连接之前不进行SPA认证，其中，当合法流量上升至超过第一阈值时，所述服务模式切换指令指示将所述服务模式从网络隐身模式切换到性能模式，并且其中，当合法流量下降至低于第二阈值时，所述服务模式切换指令指示将所述服务模式从性能模式切换到网络隐身模式。

根据本发明实施例的另一个方面，提供了计算机可读存储介质，其上存储有指令，所述指令当由处理器执行时，使得所述处理器执行如上所述的SDP架构下服务模式的切换方法。