[发明专利]一种基于国密算法的SDP认证协议实现方法

说明书

本发明涉及基于国密算法的SDP认证协议实现方法，包括：将一个或多个SDP控制器服务上线并连接至适当的可选认证和授权服务；将一个或多个AH上线，将接受主机连接到控制器并由其进行身份验证；将每个上线的IH都与SDP控制器连接并进行身份验证；在验证IH之后，通过SDP控制器确定可授权给IH与之通信的AH列表；通过SDP控制器通知AH接受来自IH的通信以及加密通信所需的所有可选安全策略；通过SDP控制器向IH发送可接受连接的AH列表以及可选安全策略；通过IH向每个可接受连接的AH发起单包授权，并创建与AH的双向TLS连接。本发明通过构建基于零信任的安全网络模型，解决了现有技术中无法实现自主可控的问题。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于国密算法的SDP认证协议实现方法。

背景技术

企业内部数据安全防护的问题多对企业内部进行网络设置，即部署内网，对互联网实现物理隔离，以保护企业内部的数据安全。通常这种解决方案会提出对边界安全、防火墙、入侵检测设备配置等的安全需求，并用信息安全等级保护的标准来规范系统及数据安全。但随着人工智能、5G等技术的迅速发展，这种传统安全方式在逐渐变化的网络环境下越来越显示出其弊端和局限性。另外，云计算的发展使得用户根本无法得知自己的数据到底存储在什么物理位置，使得用户彻底失去数据控制权。此外，用户存储数据的位置是动态的，对于终端用户而言是透明的。这种发展态势，使得将终端用户、提供相应服务的服务器拘泥于特定地理位置成为不可能。即使构建再稳固的“安全堡垒”，由于无法保障服务器、终端客户处于“堡垒里面”。这使得传统网络安全架构越来越难以保障网络的安全性。

SDP是一种用作解决以上难题的新技术。SDP，即软件定义边界(SoftwareDefinedPerimeter，SDP)，国际云安全联盟(CSA)定义了SDP网络安全模型的国际标准。这种模型是基于“零”信任基础构建安全架构，即对网络、IP地址不可信，每个终端在连接服务器前必须进行验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，即用可控的逻辑组件取代了物理设备，使得网络资产与设施免受外来安全威胁。

为了保证数据的传输安全，部署SDP的系统中所有实体将通过安全传输层协议(TLS协议)进行通信。现有SDP中TLS协议都是基于传统国际密码算法构建的，由于现有技术中基于不同的加解密思想出现了多种不同的密码算法，每套密码算法有其独特的处理方式，相互之间往往并不兼容，这导致了基于不同算法的技术或产品无法通用，限制了安全产品的发展。此外，部分国际密码算法由于安全强度有限，未公开算法实现进行有效性论证，或未经过严格的安全性检验就在产业中进行应用，也很容易留下各种密码安全隐患，造成用户隐私泄露、商业机密被窃或财产安全受损等多种问题。在此情况下，有必要建立统一安全的国内自主可控的商用密码算法来规范密码技术或密码产品的应用。

国密算法即是在我国通用的商用密码算法，国密算法是由国家密码管理局编制并公开的一系列商用密码算法，其包括标准对称算法(SM1)、基于椭圆曲线ECC的非对称加密算法(SM2)、数据摘要算法(SM3)和分组对称块加密算法(SM4)等。国密算法的公开为中国商用密码算法提供了安全应用的标准，同时也通过公开算法来使算法的安全性接受全世界的检验，使得相关的安全产品能得到国际市场的认可。使用基于国密算法设计的TLS协议构建的SDP，具有自主可控的优势，能够适应国内安全产品的发展应用，因此，亟需一种基于国密算法的SDP认证协议实现方法。

发明内容

本发明的目的是提供一种基于国密算法的SDP认证协议实现方法，将国密算法融入SDP认证体系，在请求系统和应用程序基础架构之间创建加密连接，构建基于零信任的安全网络模型，解决现有技术中无法实现自主可控的问题。

本发明提供了一种基于国密算法的SDP认证协议实现方法，包括如下步骤：

步骤1，将一个或多个SDP控制器服务上线并连接至适当的可选认证和授权服务；