DSDP zero trust architecture for high-speed railway passenger service system
-
摘要:
为解决高速铁路旅客服务系统(简称:旅服系统)业务终端设备数量多且统一安全接入管理权限复杂、零信任访问控制手段不足,以及传统软件定义边界(SDP,Software Defined Perimeter)零信任架构在实际应用中存在单点故障等问题,设计一种DSDP(Dual-identity SDP)零信任架构,用以改造旅服系统主数据中心(简称:主数据中心)和铁路局集团公司服务器集群架构,保障其代管的车站业务终端设备接入的安全性;提出基于同态加密技术的双重认证流程算法,用以实现DSDP零信任架构下,主数据中心和铁路局集团公司SDP控制模块双向互认功能。实验结果表明: DSDP零信任架构可有效对抗劫持风险;在多用户的情况下,可保障旅服系统响应时间在合理范围内;具有可用性,可为旅服系统终端设备的统一接入与不同权限要求的零信任身份认证提供技术手段。
Abstract:To solve the problems of a large number of business terminal devices and complex unified security access management permissions in the high-speed railway passenger service system (referred to as the passenger service system), insufficient zero trust access control measures, and single point of failure in the traditional Software Defined Perimeter (SDP) zero trust architecture in practical applications, this paper designed a Dual identity SDP (DSDP) zero trust architecture to transform the main data center of the passenger service system and the server cluster architecture of the railway bureau group company, ensured the security of the station business terminal device access under its management. The paper proposed a dual authentication process algorithm based on homomorphic encryption technology to implement bidirectional mutual recognition between the main data center and the SDP control module of the railway group company under the zero trust architecture of DSDP. The experimental results show that the zero trust architecture of DSDP can effectively combat hijacking risks. In the case of multiple users, this architecture can ensure that the response time of the passenger service system is within a reasonable range and with availability, provide technical means for unified access of passenger service system terminal devices and zero trust identity authentication with different permission requirements.
-
近年来,随着我国高速铁路(简称:高铁)建设的平稳、快速发展,高铁车站旅客服务信息化建设成为旅客出行服务的重要环节。目前,全国铁路约
2000 多个高铁车站均建设了高铁旅客服务系统(简称:旅服系统),它是一个以信息自动采集为基础,以提供全方位信息服务为目标,实现客运车站信息自动广播、导向揭示等多种途径信息服务的重要生产系统[1-2]。目前,旅服系统已形成了以中国国家铁路集团有限公司(简称:国铁集团)主数据中心(简称:主数据中心)为核心,国铁集团−铁路局集团公司−车站三级应用的架构体系。即在主数据中心集中部署旅服系统核心数据存储、数据计算和外部数据平台数据交互等全部业务管理资源,利用铁路数据通信网作为主数据中心与各车站的数据通道,实现对车站接入的广播、引导及检票等旅服系统终端设备的一体化管理与控制。随着高铁车站接入的客运智能化终端应用不断增加,传统的采用防火墙为边界,隔离铁路数据网络非可信区域与可信区域的方式已难以满足现阶段集中部署模式下对旅服系统终端设备安全统一接入与管控的业务需求。
目前,在集中部署架构下,旅服系统终端通过防火墙配置安全接入主数据中心过程中存在的问题包括:(1) 终端设备数量多,安全接入工作量大,大批量智能化终端应用的接入需要在铁路局集团公司和车站逐层、逐个配置防火墙策略,整体工作繁杂,工作量较大;(2) 权限访问控制参差不齐,统一配置难度大,旅服系统在车站可能涉及旅服、客运管理、安全应急等多个种类的终端设备或应用的接入管控,权限访问控制无法统一配置管理,易因访问控制不当而造成核心数据泄露;(3) 旅服系统攻击面增大,易被攻击,通过防火墙进行统一的端对端安全接入配置无法对通信流量进行安全审计,在大量设备接入后攻击面增大,使旅服系统易被攻击;(4) 现有架构缺乏终端访问的零信任管理。按照网络安全等级保护(简称:等保)2.0的要求,旅服系统作为等保第三级防护系统,在访问控制方面需要进行零信任管理,而既有旅服架构由于建设时间久远,缺乏这方面的考虑。
综上,为对车站的旅服系统终端设备访问请求进行双重认证,提高软件定义边界(SDP,Software Defined Perimeter)架构的抗劫持能力,本文设计了双重身份SDP(DSDP,Dual-identity SDP )零信任架构,并提出一种基于同态加密技术的DSDP身份认证算法,实现SDP安全消息互认。
1 SDP技术现状分析
1.1 SDP技术概述
SDP是由云安全联盟(CSA,Cloud Security Alliance)开发的一种基于零信任理念的网络安全框架[3]。该框架要求每一个终端设备在连接服务器前均须进行验证,确保每台终端设备都是允许接入的。在SDP架构下,终端设备在未认证授权情况下无法窥探核心网络内的任何设备与端口信息,从而可隐藏其核心网络资产与设施,使之不直接暴露在互联网下,确保企业网络资产与设施免受外来安全威胁。
SDP架构的安全模型主要由SDP控制器、客户端访问代理(IH,Initiating Host)和SDP网关(AH,Accepting Host)等3个组件组成,如图1所示。其中,IH通过SDP控制器获得身份认证从而获得AH的访问权;IH与AH之间建立双向TLS(Transport Layer Security)链接,从而实现IH到内网应用节点的安全访问[4-7]。
1.2 SDP技术研究现状
随着云安全联盟SDP标准规范1.0的正式发布,SDP架构的安全模型和部署模式等已较为规范化。而目前,针对SDP技术的研究主要围绕SPA(Single Packet Authorization)认证流程优化、SDP架构与应用结合等方面开展。
在SPA认证流程优化方面,Zhang等人[8]采用eBPF包过滤技术,对SPA包进行检查,解决了在SPA包与链接解耦或从嗅探器复制到用户空间过程出现大量短暂流,从而降低认证效率的问题;Dong等人[9]使用TLA+形式化语言对SDP架构进行建模,实现对其安全性的验证;Lucion等人[10]提出新的HTOTP密码协议,以整合SPA包中HOTP与TOPT协议,进而提高SPA包传输中抵御破解的能力,同时,通过C语言原型实现对系统安全性与性能的定量分析。
在SDP架构应用方面,Refaey等人[11]在MQTT通信协议框架中增加了SDP认证技术,对物联网传输过程进行安全优化,验证其在拒绝服务攻击及离线字典类攻击下的安全性;吴克河等人[12]在电力物联网中利用SDP技术提高了系统整体架构的安全性,并验证其与既有架构相比的安全性优势;周游等人[13]通过将SDP技术与流量检测分析技术相结合,实现对铁路局集团公司软件供应链安全防护的提升。
我国云安全联盟各企业也纷纷推出了面向企业应用安全的SDP解决方案,包括:企业远程办公SDP解决方案[14]、企业应用管理运维SDP解决方案[15]和企业多中心数据共享解决方案[16]等,为SDP技术实践提供了重要支撑。
1.3 SDP架构在旅服系统应用存在的主要问题
SDP架构虽有效减小了企业资源映射在外网的攻击面,对外部DDos攻击、TCPSYN泛洪攻击等有着良好的防范效果,但对于SDP控制器本身存在的安全性问题、单点故障问题等,尚没有较好的解决方案。由于涉及系统众多,攻击面大,针对铁路供应链各节点的APT攻击,可在其中发现某个系统组件漏洞[13],从而扩展对其他系统的攻击或者破坏。
例如,假设旅服系统在铁路局集团公司节点部署了传统SDP服务,以实现对本局旅服终端设备的安全管理。而攻击者入侵综合信息网内某铁路局集团公司信息系统虚拟机资源,并利用某0day漏洞通过虚拟机逃逸攻击等手段对旅服系统SDP控制器进行入侵破坏,导致整个旅服系统设备接入瘫痪;又或者攻击者对SDP控制器进行劫持,并通过伪造SPA认证证书更新消息及伪造虚假SDP网关方式,诱使IH链接至虚假AH,从而对旅服终端设备进行攻击,如图2所示。因此,亟需设计一套抗劫持的SDP架构,从而提升旅服系统的安全性。
2 DSDP零信任架构
2.1 架构设计
本文提出一种面向旅服系统安全的DSDP零信任架构。DSDP零信任架构主要包括铁路局集团公司SDP安全模型、国铁集团SDP安全模型,如图3所示。
2.1.1 铁路局集团公司SDP安全模型
铁路局集团公司SDP安全模型主要包括:IH、Ngnix路由代理集群及铁路局集团公司SDP控制器。其中,铁路局集团公司SDP控制器主要负责接收IH访问的认证与国铁集团AH授权工作;IH作为可信根节点,主要负责对Ngnix路由代理集群的集中调度管理,同时,通过可信计算单元实现对双重身份验证同态计算算法的存储与同态计算工作;Ngnix路由代理集群主要负责汇聚旅服系统车站终端设备访问,并在IH的调度下实现与国铁集团AH的路由链接。
2.1.2 国铁集团SDP安全模型
国铁集团SDP安全模型主要包括:国铁集团SDP控制器、AH及旅服系统应用服务器集群。其中,国铁集团SDP控制器负责接收旅服系统车站终端设备与SDP网关访问的认证与授权工作,从而实现对访问的双重认证;AH主要负责接收SDP控制器的认证消息与链接通知,并通过铁路局集团公司Ngnix访问代理集群与终端设备建立双向TLS链接,同时,也负责进行终端访问密码的同态解密运算;旅服系统应用服务器集群主要负责接收AH访问、业务计算及数据反馈工作。
2.2 业务流程设计
铁路局集团公司与国铁集团的SDP控制器对IH访问的双重身份认证可认为是一种安全多方计算场景,因此,本文采用同态加密技术作为双重认证手段,并分别按照业务流程正常情况、SDP控制器或AH被劫持情况进行流程设计。
同态加密技术是一种基于数学困难问题对明文与密文进行同构运算,从而实现秘密分享的技术。其可在对密文执行运算的同时,对明文执行同种逻辑运算[17-18]。近年来,同态加密技术广泛应用在安全多方计算、电子投票及隐私计算等领域,可有效解决双重身份认证中的互认问题。下文中符号定义如表1所示。
表 1 符号定义符号 定义 E( ),E’( ) 公钥加密 $ {m_i} $ 验证码 i D( ),D’( ) 私钥解密 M 验证码的逻辑与运算结果 $ \oplus $ 明文同态与运算 $ \odot $ 密文同态与运算 2.2.1 正常情况
正常情况下的业务流程如图4所示。
(1)IH分别向铁路局集团公司与国铁集团的SDP控制器发送加密的SPA单包认证授权;
(2)认证授权成功后,IH分别向铁路局集团公司与国铁集团的SDP控制器发送TLS链接请求,并发送验证码
$ m_1、m_2 $ ;(3)铁路局集团公司与国铁集团的SDP控制器向IH发送AH访问列表,同时,验证码
$ m_1、m_2 $ 用各自的公钥进行加密,生成$ E(\mathit{\text{$ m $}}_1) $ 、$E({{\text{$ m $}}_2})$ ,并与IH访问请求共同发送至 AH;(4)IH收到SDP控制器发送的AH访问列表与安全隧道授权后,向AH发送SPA单包认证授权;
(5)AH收到IH的SPA包后进行密文同态与运算
$E(M) = E({{\text{$ m $}}_1}) \odot E({{\text{$ m $}}_2})$ ,并用私钥进行解密,即计算明文$D(E(M))$ ,将结果反馈至IH,并在可信计算空间进行明文同态与运算$M = {{\text{$ m $}}_1} \oplus {{\text{$ m $}}_2}$ ,验证$D(E(M))$ 是否与$M$ 相等,若相等则验证成功,若失败则停止授权;(6)收到验证成功消息的IH与AH建立双向TLS链接,实现对旅服系统应用服务器集群的访问。
2.2.2 被劫持情况
SDP控制器或 AH被劫持情况下的业务流程如图5所示。
(1) IH分别向铁路局集团公司与国铁集团的SDP控制器发送加密的SPA单包认证授权;
(2) 认证授权成功后,IH分别向铁路局集团公司与国铁集团的SDP控制器发送TLS链接请求,并发送验证码
$ m_1、m_2 $ ;(3) 若铁路局集团公司SDP控制器与 AH被入侵或劫持,则劫持的SDP控制器对验证码
${m_1}$ 进行假冒的公钥加密,生成$E'({{\text{$ m $}}_1})$ 并发送至AH;同时,未被劫持的国铁SDP控制器将$ E({{\text{$ m $}}_{\text{2}}}) $ 发送至AH;(4) IH收到SDP控制器发送的AH访问列表与安全隧道授权后,向被劫持的AH发送SPA单包认证授权;
(5) AH收到IH的SPA包后由于加密算法
$ E $ 与$ E' $ 不同,无法进行同态计算,进而无法进行认证;若通过虚假的$ {{\text{$ m $}}_2}' $ 进行同态计算,$E'(M) = E'({{\text{$ m $}}_1}) \odot E'({{\text{$ m $}}_2}')$ ,并用私钥进行解密,即计算$D'(E'(M))$ ,并将结果反馈至IH,IH在可信计算空间计算$M = {{\text{$ m $}}_1} \oplus {{\text{$ m $}}_2}$ ,并验证$D'(E'(M))$ ,发现不相等,则终止链接。3 DSDP零信任架构仿真实验与性能分析
ElGamal同态加密算法作为基于离散对数困难问题的国际公认的公钥密码体制,具有乘法同态性质,可在特定场景进行信息的快速同态加密[19-21]。因此,本文基于ElGamal同态加密算法的乘法同态性,质对SDP控制器、AH身份认证进行仿真实验。
3.1 仿真流程
3.1.1 同态密钥生成与交换
由铁路主数据中心某可信第三方服务器随机选择一个大素数
$p$ ,并在模$p$ 的有限域${Z_p}$ 计算生成元$g$ ,同时,选取一个${Z_p}$ 上的随机数$X$ ,$X \in {Z_p}$ 。计算$Y = {g^X}\text{mod} p$ ,从而得到公钥为$\{ p,g,Y\} $ ,私钥为$X$ 。可信第三方服务器将公钥发送给铁路局集团公司和国铁集团的SDP控制器,将私钥存储在AH中。3.1.2 SDP控制器对验证码同态加密
客户端代理随机生成明文验证码
$ m_1、m_2 $ ,并分别发送至铁路局集团公司与国铁集团的SDP控制器。SDP控制器选择随机数$ \text{$k$}_1、\text{$k$}_2\in Z_p $ ,用公钥对明文验证码$ m_1、m_2 $ 加密,${m_1}$ 加密结果为${c_1} = {g^{{{\text{$k$}}_1}}}\text{mod} p$ 、${c_1}' = {m_1}{Y^{{k_1}}}\text{mod} p$ ;${m_2}$ 加密结果为${c_2} = {g^{{{\text{$k$}}_2}}}\text{mod} p、 {c_2}' = {m_2}{Y^{{k_2}}}\text{mod} p$ ,即密文为$E({{\text{$m$}}_1}) = \{ {c_1},{c_1}'\} $ 、$E({{\text{$m$}}_2}) = \{ {c_2},{c_2}'\} $ 。3.1.3 AH进行同态计算解密与IH验证
SDP控制器将密文
$E({{\text{$m$}}_1}) = \{ {c_1},{c_1}'\} $ 、$E({{\text{$m$}}_2}) = \{ {c_2},{c_2}'\} $ 发送至AH。AH在接收到IH发送的SPA包认证请求后,进行同态乘法计算$E({{\text{$m$}}_1}) \cdot E({{\text{$m$}}_2}) = \{ {g^{{k_1} + {k_2}}}\text{mod} p,{m_1}{m_2}{Y^{{k_1} + {k_2}}}\text{mod} p\} $ ,同时进行解密:$D(E({{\text{$m$}}_1}) \cdot E({{\text{$m$}}_2})) = {m_1}{m_2}{Y^{{k_1} + {k_2}}}{[{({g^{{k_1} + {k_2}}})^X}]^{ - 1}}\text{mod} p$ 。并将结果发送至IH,IH计算$ {m}_{1}\cdot{m}_{2} $ ,验证$ {m}_{1}\cdot{m}_{2} $ 与$D(E({{\text{$m$}}_1}) \cdot E({{\text{$m$}}_2}))$ 是否相等,从而判定是否进行后续链接。3.2 实验环境
基于本文架构构建了一套用于实验的DSDP零信任原型系统。硬件环境包括:1台业务服务器,用于部署业务应用后台及数据库;1台AH服务器,用于部署AH应用;2台SDP控制器,用于分别部署SDP控制器应用;1台IH服务器,用于部署IH应用。SDP控制器和AH的操作系统为Linux redhat 7.7;IH服务器环境采用PC主机,配置参数为CPU Intel Core i5-10500,内存8 GB,操作系统为Windows 11。实验部署架构如图6所示。
在开发环境方面,DSDP零信任原型系统各模块控制软件原型采用Java开发,数据库采用MySQL 8.0,SPA包采用fwknop模拟实现。
3.3 实验与性能分析
3.3.1 DSDP零信任防劫持实验
假设DSDP零信任原型系统架构中1台SDP控制器被入侵劫持,验证码被篡改,则IH比对验证码与同态解密结果不一致,无法获取数据。
而对于传统SDP系统架构,当验证码被篡改,则依然可以获得验证结果。
综上,DSDP零信任架构在防劫持性能方面优于传统SDP架构。
3.3.2 DSDP零信任原型系统可用性实验
考虑到在实际生产中,铁路局集团公司平均代管的客服系统终端设备总量约为800~
1000 台,平均活跃数量占比约10%左右。因此,本文使用性能评测软件对DSDP零信任原型系统身份认证模块代码分别进行10 min的单用户、50名用户、100名用户并发情况性能测试。(1)单用户情况下平均事务响应时间为0.059 s,如图7所示。
(2)50名用户并发的平均事务响应时间为0.159 s,如图8所示。
(3)100名用户并发的平均事务响应时间为0.295 s,如图9所示。
由实验结果可知,DSDP零信任原型系统在单个用户事务运行情况下,响应时间仅为0.059 s,性能较高。而当用户并发提高,在50用户、100用户并发情况下,其平均响应时间也随之有小幅度提高,分别为:0.159 s、0.295 s,但依然不超过1 s,表明在满足安全访问前提下,可保障旅服系统业务响应要求。
4 结束语
综上所述,本文针对车站的旅服系统终端设备接入的问题,在引入SDP架构的基础上,进一步提出了基于DSDP的零信任架构,并进行了原型系统设计。相比于传统SDP架构,本文研究的DSDP零信任架构具有以下特点。
(1)抗入侵劫持方面:DSDP零信任架构通过铁路局集团公司与国铁集团SDP控制器双重身份认证与AH同态验证,可有效防护由于铁路局集团公司或国铁集团任意节点SDP控制器被劫持、入侵带来的旅服系统终端设备接入不安全问题,解决了传统SDP架构中控制器安全性方面的不足;(2)DSDP零信任原型系统响应时间与可用性方面:在100名用户并发的情况下,平均响应时间小于1 s,能够满足旅服系统需求,具备实际应用能力。
目前,本文架构依然存在一定程度的响应延时、验证交互轮次较多等问题,需要在后续研究中进一步对验证算法和软件框架等方面进行调优。
-
表 1 符号定义
符号 定义 E( ),E’( ) 公钥加密 $ {m_i} $ 验证码 i D( ),D’( ) 私钥解密 M 验证码的逻辑与运算结果 $ \oplus $ 明文同态与运算 $ \odot $ 密文同态与运算 
下载: 导出CSV
-
[1] 中华人民共和国铁道部. 关于印发《铁路客运专线客运服务系统总体技术方案(暂行)》的通知(铁集成2008[41]号文)[R]. 北京:中华人民共和国铁道部,2008. [2] 国家铁路局. 铁路客运服务信息系统设计规范:TB 10074-2016[S]. 北京:中国铁道出版社,2016. [3] 百度百科. 软件定义边界(SDP)[DB/OL]. (2020-05-29)[2024-07-15]. https://baike.baidu.com/item/软件定义边界%28SDP%29/50363659?fr=aladdin. [4] 软件定义边界(SDP)工作组. SDP标准规范1.0[EB/OL]. (2020-07-06)[2024-07-15]. https://www.c-csa.cn/u_file/photo/20200706/40c72deb73.pdf. [5] 云安全联盟软件定义边界工作组. 软件定义边界(SDP)标准规范v2.0[EB/OL]. (2022-05-17)[2024-07-15]. https://www.c-csa.cn/u_file/photo/20220517/9286a8c3b5.pdf. [6] 诸葛程晨,王 群,刘家银,等. 零信任网络综述[J]. 计算机工程与应用,2022,58(22):12-29. [7] 谢欣梦. 软件定义边界的安全应用研究[D]. 成都:成都信息工程大学,2020. [8] Zhang L, Li H, Ge J G, et al. EDP: An eBPF-based dynamic perimeter for SDP in data center[C]//Proceedings of the 23rd Asia-Pacific Network Operations and Management Symposium, 28-30 September, 2022, Takamatsu, Japan. New York, USA: IEEE, 2022.
[9] Dong L M, Niu Z, Zhu Y, et al. Specifying and verifying SDP protocol based zero trust architecture using TLA+[C]//Proceedings of the 7th International Conference on Cyber Security and Information Engineering, 23-25 September, 2022, Brisbane, QLD, Australia. New York: ACM, 2022.
[10] Lucion E L R, Nunes R C. Software defined perimeter: improvements in the security of single packet authorization and user authentication[C]//Proceedings of 2018 XLIV Latin American Computer Conference, 01-05 October, 2018, Sao Paulo, Brazil. New York, USA: IEEE, 2018.
[11] Refaey A, Sallam A, Shami A. On IoT applications: a proposed SDP framework for MQTT[J]. Electronics Letters, 2019, 55(22): 1201-1203. DOI: 10.1049/el.2019.2334
[12] 吴克河,程 瑞,姜啸晨,等. 基于SDP的电力物联网安全防护方案[J]. 信息网络安全,2022,22(2):32-38. DOI: 10.3969/j.issn.1671-1122.2022.02.004 [13] 周 游,赵悠麒. 应对供应链攻击的铁路企业网络SDP部署方案研究[J]. 铁路计算机应用,2022,31(11):41-47. [14] 深信服科技有限公司. 深信服零信任的0号样板点[EB/OL]. (2023-03-30)[2024-07-15]. https://www.sangfor.com.cn/news/1680158317362. [15] 易安联网络技术有限公司. 易安联零信任助力奇瑞汽车项目落地案例[EB/OL]. (2021-11-26)[2024-07-15]. https://www.c-csa.cn/case/case-detail/i-222/. [16] 上海缔安科技股份有限公司. SDP解决方案在金融企业中的应用案例[EB/OL]. (2020-06-18)[2024-07-15]. https://www.c-csa.cn/case/case-detail/i-159/. [17] Kim D, Guyot C. Optimized privacy-preserving CNN inference with fully homomorphic encryption[J]. IEEE Transactions on Information Forensics and Security, 2023(18): 2175-2187. DOI: 10.1109/TIFS.2023.3263631
[18] Bay A, Erkin Z, Hoepman J H, et al. Practical multi-party private set intersection protocols[J]. IEEE Transactions on Information Forensics and Security, 2022(17): 1-15. DOI: 10.1109/TIFS.2021.3118879
[19] 邵 航,李子臣,王东飞. 基于ElGamal的同态云端密文存储检索方案[J]. 计算机系统应用,2022,31(10):108-115. [20] 陈志伟,张卷美,李子臣. 基于ElGamal变体同态的安全两方计算协议设计[J]. 通信学报,2015,36(2):204-211. [21] 方立娇,李子臣,丁海洋. 基于ElGamal的同态交换加密水印算法[J]. 计算机系统应用,2021,30(5):234-240.
计量
- 文章访问数: 46
- HTML全文浏览量: 6
- PDF下载量: 21
