2022軟件定義邊界架構(gòu)標(biāo)準(zhǔn)2.0

軟件定義邊界SDP架構(gòu)標(biāo)準(zhǔn)2.02022PAGE8PAGE8目錄介紹 9意義 9范圍 9讀者 9SDP設(shè)計(jì) 10SDP概念 11SDP的架構(gòu)和組件 11SDP部署模型 14SDP工作流程 16IH加載流程示例 19單包授權(quán)(SPA) 20組件之間的傳輸層雙向認(rèn)證 22設(shè)備校驗(yàn) 23軟件定義邊界SDP與物聯(lián)網(wǎng)設(shè)備 24訪問策略 24SDP協(xié)議 26接受主機(jī)AH-控制器協(xié)議 26IH-控制器協(xié)議 28IH–AH協(xié)議 313.4日志 34總結(jié) 37參考文獻(xiàn) 37附錄A：SDP，SDN和NFV 39附錄B：OSI/SDP組件映射 40介紹軟件定義邊界(SDP)架構(gòu)提供了動(dòng)態(tài)靈活的網(wǎng)絡(luò)安全邊界部署能力，以在不安全網(wǎng)絡(luò)上對(duì)應(yīng)用和服務(wù)進(jìn)行隔離。SDP提供了隔離的、按需的和動(dòng)態(tài)配置的可信邏輯層，緩解來自企業(yè)內(nèi)外SDPSDP意義該規(guī)范是對(duì)國際云安全聯(lián)盟CSA的軟件定義邊界工作組(SDPWG)于2014年4月發(fā)布的《軟件定義邊界(SDP)標(biāo)準(zhǔn)規(guī)范V1.0》（以下簡稱“SDPv1”）的升級(jí)。NPE（Non-PersonEntities）等方面的問題1SDPv1發(fā)布以來，SDP架構(gòu)得到業(yè)界廣泛認(rèn)可，并包含在SDP（包含對(duì)內(nèi)容的添加、澄清和延展），并反映了當(dāng)前最新的零信任行業(yè)狀態(tài)。值得一提的是，該修訂版基于SDP工作組發(fā)布的SDPv1及后期發(fā)布的其他文檔進(jìn)行修訂，特別是基于《SDP術(shù)語表》和《SDP架構(gòu)指南》。這兩個(gè)文檔的鏈接在本文的“參考文獻(xiàn)”章節(jié)。范圍SDPIH讀者本標(biāo)準(zhǔn)規(guī)范的目標(biāo)受眾是：SDP產(chǎn)品的解決方案架構(gòu)師和安全主管SDP架構(gòu)實(shí)施零信任安全理念的供應(yīng)商和技術(shù)提供商非人類實(shí)體（NPE）是一個(gè)具有數(shù)字身份的實(shí)體，在網(wǎng)絡(luò)空間中行動(dòng)，但不是人類行為者。這可以包括硬件設(shè)備、1010SDP設(shè)計(jì)SDP的目標(biāo)是讓企業(yè)安全架構(gòu)師、網(wǎng)絡(luò)提供商和應(yīng)用程序所有者能夠:部署動(dòng)態(tài)的“軟件定義”邊界隱藏網(wǎng)絡(luò)和資源防止非授權(quán)訪問企業(yè)的服務(wù)實(shí)施以身份為中心的訪問策略模型SDP將物理的安全設(shè)備替換為安全邏輯組件，無論組件部署在何處，都在企業(yè)的控制之下，從而最大程度地收縮邏輯邊界。SDP執(zhí)行零信任原則，即強(qiáng)制執(zhí)行最小特權(quán)訪問、假設(shè)被入侵、以及“信任但驗(yàn)證”，僅在認(rèn)證和身份驗(yàn)證成功后，基于策略來授權(quán)對(duì)資源的訪問。SDP的設(shè)計(jì)初衷是為IPv4和IPv6網(wǎng)絡(luò)提供有效且易于集成的安全架構(gòu)，包括對(duì)控制平面SDP（成功之后才能以加密方式登錄到邊界網(wǎng)絡(luò)。SDP的設(shè)計(jì)理念上提供多個(gè)層次的無縫集成–包括用戶、用戶設(shè)備、網(wǎng)絡(luò)和設(shè)備的安全。SDP適用于任何基于IP的基礎(chǔ)設(shè)施，無論是基于硬件的傳統(tǒng)網(wǎng)絡(luò)、軟件定義網(wǎng)絡(luò)(SDN)，還是基于云計(jì)算的基礎(chǔ)設(shè)施。SDP的雙向驗(yàn)證隧道實(shí)際上是一個(gè)加密層，可以部署在任何一種IP網(wǎng)絡(luò)之上。因此，SDP能將多個(gè)異構(gòu)的環(huán)境統(tǒng)一成通用的安全層，從而簡化了網(wǎng)絡(luò)、安全和運(yùn)維。對(duì)于云計(jì)算基礎(chǔ)設(shè)施，SDP在OSI網(wǎng)絡(luò)模型七層中的五層集成了安全性，即：網(wǎng)絡(luò)層：在該層以虛擬化的方式提供計(jì)算、存儲(chǔ)和監(jiān)測。傳輸層：在該層云API將虛擬化資產(chǎn)與資源池和用戶聯(lián)系起來。會(huì)話層：該層用于管理底層虛擬化基礎(chǔ)設(shè)施。表示層：該層用中間件來管理應(yīng)用層和應(yīng)用。應(yīng)用層：為用戶提供商業(yè)價(jià)值。未集成SDP的OSI層是數(shù)據(jù)鏈路層和物理層，TCP/IP網(wǎng)絡(luò)模型將這兩層合并為網(wǎng)絡(luò)層。有關(guān)SDP和分層網(wǎng)絡(luò)模型的更多信息，請(qǐng)參見附錄B。作為SDN和網(wǎng)絡(luò)功能虛擬化(NFV)的補(bǔ)充，SDP可以保護(hù)SDN創(chuàng)建的基于IP的網(wǎng)絡(luò)連接?；谶^往的反饋以及《SDP標(biāo)準(zhǔn)規(guī)范1.0》實(shí)施中的經(jīng)驗(yàn)教訓(xùn)，本次更新的《SDP標(biāo)準(zhǔn)規(guī)范2.0》將進(jìn)一步闡明上一版本標(biāo)準(zhǔn)規(guī)范中定義的以及《SDP架構(gòu)指南》白皮書中闡述的各種部署模型中的訪問控制問題3。SDP提供了一個(gè)顯著更好的方法預(yù)防、監(jiān)測和應(yīng)對(duì)那些針對(duì)應(yīng)用程序和基礎(chǔ)設(shè)施的各種網(wǎng)絡(luò)SDP（NFV）的論文-\h/resources/publications/\h/artifacts/sdp-architecture-guide-v2/1111SDPSDP側(cè)重于以身份為中心保護(hù)SDPDDoS、憑證失竊和對(duì)企業(yè)資源的勒索軟件等攻擊。SDP概念SDPSDP為定義和執(zhí)行訪SDP能夠?yàn)閼?yīng)用程序和企業(yè)資源所有者提供的邊界防護(hù)能力有：可以將服務(wù)安全部署到假定被入侵的網(wǎng)絡(luò)上（即“假定被入侵”）。通過不受信任的網(wǎng)絡(luò)訪問企業(yè)資源時(shí)，可以精細(xì)化調(diào)整用戶身份權(quán)限。一個(gè)典型的用例是替換VPN。SDP（通常是物理的SDP通過訪問策略進(jìn)行設(shè)備認(rèn)證和身份驗(yàn)證后，才允許用戶對(duì)應(yīng)用程序的訪問。SDP背后的原理并非全新的。美國國防部（DoD）和美國情報(bào)機(jī)構(gòu)（IC）內(nèi)的多個(gè)組織，已經(jīng)實(shí)施構(gòu)建了相應(yīng)的網(wǎng)絡(luò)架構(gòu)，即訪問網(wǎng)絡(luò)之前先進(jìn)行身份驗(yàn)證和授權(quán)。通常在機(jī)密或“高端”（如國防部定義的網(wǎng)絡(luò)借鑒了機(jī)密網(wǎng)絡(luò)中使用的邏輯模型，2004Jericho（NIST）中定義的零信任架構(gòu)中也包含了這些原則4。SDP保留了上述“需知最小特權(quán)SDP要求任何（如用SDP的架構(gòu)和組件簡單來說，SDP由兩個(gè)邏輯組件構(gòu)成：SDP主機(jī)和SDP控制器。–參見NIST零信任架構(gòu)文檔–SP800-207\h/publications/detail/sp/800-207/finalPAGE20PAGE20SDPSDP控制器管SDP（發(fā)起主機(jī)或接受主機(jī)SDP控制器是一個(gè)設(shè)備或服務(wù)器圖1:SDP架構(gòu)（之前由CSA在《軟件定義的邊界和零信任》中發(fā)布）5SDP的架構(gòu)由以下組件組成：SDP控制器—該組件的設(shè)計(jì)初衷是用于管理所有的身份驗(yàn)證和訪問流程。SDP控制器本質(zhì)上是整個(gè)解決方案的“大腦”，負(fù)責(zé)定義和評(píng)估相應(yīng)訪問策略。它充當(dāng)了零信任架構(gòu)下的策略決策點(diǎn)（PDP職能）。SDP控制器負(fù)責(zé)同企業(yè)身份驗(yàn)證方（例如，身份提供商IdP、多因子身份驗(yàn)證MFA服務(wù)）的通信，統(tǒng)一協(xié)調(diào)身份驗(yàn)證和授權(quán)分發(fā)。它是一個(gè)中心控制點(diǎn)，用于查看和審計(jì)所有被訪問策略定義的合法連接。這類訪問實(shí)體可以是用戶設(shè)備或非人類實(shí)體（如終端用戶設(shè)備或服務(wù)器（用于網(wǎng)絡(luò)連接SDP用戶可以使用SDP客戶端或?yàn)g覽器來發(fā)起SDP連接。接受主機(jī)（AH）-這些實(shí)體是邏輯組件，通常被放置在受SDP保護(hù)的應(yīng)用程序、服務(wù)和資源的前端。AH充當(dāng)零信任架構(gòu)下的策略執(zhí)行點(diǎn)（PEP職能）。PEP通常由具備SDP功SDP控制器的指令來執(zhí)行網(wǎng)絡(luò)流量是否允許發(fā)送到目標(biāo)服務(wù)（可能是應(yīng)用程序、輕量級(jí)服務(wù)或資源）。從邏輯上講，AH可以與目標(biāo)服務(wù)可以部署在一起或者分布在不同網(wǎng)絡(luò)上。這些SDP組件可以部署在本地或云上，出于擴(kuò)容或可用性目的可以進(jìn)行冗余部署。以下我們詳細(xì)介紹每個(gè)組件：SDP控制器SDP控制器是一個(gè)關(guān)于策略的定義、驗(yàn)證和決策的組件（零信任架構(gòu)中的策略決策點(diǎn)PDP），\h/artifacts/software-defined-perimeter-and-zero-trust/第6（如用戶和組（本地或云中）SDP主機(jī)可以相互通信。一旦用戶（在IH上）連接到控制器，控制器將對(duì)該用戶進(jìn)行身份驗(yàn)證，并根據(jù)用戶的上下文（包括身份和設(shè)備屬性）判定是否允許其訪問被授權(quán)的服務(wù)（通過AHs）。為了對(duì)用戶進(jìn)行身份驗(yàn)證，控制器可以使用內(nèi)部用戶表或者連接到第三方的身份和訪問管理（IAM）服務(wù)（本地或云中）執(zhí)行認(rèn)證，并且可以加上多因子認(rèn)證。身份驗(yàn)證方式通常LDAP、活動(dòng)目錄（AD）或其他授權(quán)解決方案（本地或云上的）。授權(quán)通常由用戶角色和細(xì)粒度信息決定：基于用戶或設(shè)備屬性，或者用戶被授權(quán)訪問的實(shí)際數(shù)據(jù)元素/數(shù)據(jù)流。（如企業(yè)服務(wù)目錄和標(biāo)識(shí)存儲(chǔ)）來輸入。通過這種方式，SDPNIST定義的零信任原則中的動(dòng)態(tài)零信任策略。此外，控制器可以從外部服務(wù)獲取信息，例如地理位置信息或主機(jī)驗(yàn)證服務(wù)，以進(jìn)一步驗(yàn)證（在IH上的）用戶。此外，控制器可以向其他網(wǎng)絡(luò)組件提供上下文信息，例如有關(guān)用戶身份驗(yàn)證失敗或訪問敏感服務(wù)的信息。SDP控制器與零信任PDP概念組件密切相關(guān)。根據(jù)SDP架構(gòu)的配置需求，它可以部署在云上或本地。SDP控制器由單包授權(quán)（SPA）協(xié)議的隔離機(jī)制保護(hù)，使其對(duì)未授權(quán)的用戶和設(shè)備不可見和不可達(dá)。該機(jī)制可以由控制器前端的SDP網(wǎng)關(guān)提供，也可以由控制器本身提供。SDPIHSDPIHsSDPAH接受主機(jī)來訪問受保護(hù)的公司資源的過程。IH在認(rèn)證階段提供用戶身份、硬件或軟件清單以及設(shè)備健康狀況等信息。IH提供某種機(jī)制（如憑證密鑰）IHAH建立安全通信。IH瀏覽器。使用客戶端程序可以提供更豐富的能力，例如主機(jī)檢查（設(shè)備安全狀態(tài)檢查）、流量路由和更便捷的身份驗(yàn)證。SDPIH（如員工或承包商的計(jì)算機(jī)或移動(dòng)設(shè)備）、應(yīng)用程序（如胖客戶端）或是物聯(lián)網(wǎng)（IoT）設(shè)備（如遠(yuǎn)程水表（遠(yuǎn)程水表章節(jié)。SDPAH（AH）SDP（或服務(wù)以及實(shí)施基于身份的訪問控制。AH可以位于本地、私有云、公共云等各種環(huán)境中。受AH保護(hù)的服務(wù)不僅限于Web應(yīng)用程序；可以是任何基于TCP-或UDP的應(yīng)用程序，例如SSH、RDP、SFTP、SMB或胖客戶端訪問的專有應(yīng)用程序。默認(rèn)情況下，對(duì)AH的任何網(wǎng)絡(luò)訪問都被阻止，只有經(jīng)過身份驗(yàn)證和授權(quán)的實(shí)體才能訪問。所示。

如上所述，AH可以與目標(biāo)服務(wù)部署在一起，或者分布在不同的網(wǎng)絡(luò)上。這些模型如圖2服務(wù)服務(wù)C服務(wù)BAAH接受主機(jī)AH接受主機(jī)(SDP網(wǎng)關(guān))IH發(fā)起主機(jī)SDP控制器圖2SDP（IH）的連接請(qǐng)求。利用從控制器接收到的控制信息，接受主機(jī)（AH）保證只有經(jīng)過授權(quán)的發(fā)起主機(jī)（IH，包括用戶和設(shè)備）才能訪問到受保護(hù)的服務(wù)。接受主機(jī)（AH）作為安全通信的交換站，從發(fā)起主機(jī)（IH）接收訪問流量然后轉(zhuǎn)發(fā)到被保護(hù)的后端服務(wù)。后端服務(wù)的響應(yīng)信息通過接受主機(jī)（AH）返回到發(fā)起主機(jī)（IH）。SDP3介紹了多種SDPSDPSDP組件的配置。SDP部署模型SDP（包括人類和非人類實(shí)體在下圖中資源被描述為服務(wù)器IaaS、PaaS平臺(tái)上運(yùn)行的服務(wù)或容器化的服務(wù)。本節(jié)概述了六種SDP部署模型。盡管不同模型使用了不同的網(wǎng)絡(luò)拓?fù)?，但在邏輯上提供了同樣的價(jià)值，都是對(duì)受保護(hù)的資源進(jìn)行嚴(yán)格的訪問限制。要請(qǐng)參閱《SDP架構(gòu)指南》6了解這些部署模型的詳細(xì)情況。關(guān)于完整的描述，請(qǐng)參見CSA201951418下圖中，藍(lán)線表示被雙向認(rèn)證加密協(xié)議（mTLSIKE協(xié)議等）保護(hù)的網(wǎng)絡(luò)連接，從而可以抵御中間人攻擊（MITM）?；揖€表示使用應(yīng)用程序原有協(xié)議的網(wǎng)絡(luò)連接，這些連接可能SDP控制器。SDP網(wǎng)關(guān)。SDPSDP接受主機(jī)（AH）的軟件程序，為受保護(hù)的后端服務(wù)提供隔離性和訪問控制能力?？蛻舳?網(wǎng)關(guān)模型原有流量原有流量SDP保護(hù)bySDP)（未變）客戶端 網(wǎng)關(guān) 服務(wù)器當(dāng)一個(gè)或多個(gè)服務(wù)器需要被SDP和接受主機(jī)（AH，網(wǎng)關(guān)）之間的通信連接將會(huì)被加密保護(hù)。在客戶端-網(wǎng)關(guān)模型中，網(wǎng)關(guān)可以被遠(yuǎn)程客戶端-服務(wù)器模mTLSmTLS由SDP保護(hù)客戶端 服務(wù)器（AH）綁定在同一個(gè)主機(jī)上。在這個(gè)模型中，服務(wù)器隱藏在安全邊界內(nèi)的，服務(wù)器端必須要安裝一個(gè)SDP（AH）的功能。服務(wù)器-服務(wù)器模mTLS由SDP保護(hù)mTLS由SDP保護(hù)服務(wù)器 服務(wù)器服務(wù)器-服務(wù)器模型下，不論底層網(wǎng)絡(luò)拓?fù)淙绾?，可以保證所有服務(wù)器之間的通信連接全部經(jīng)過加密來保護(hù)。在這個(gè)模型下，服務(wù)器都隱藏在安全邊界內(nèi)?？蛻舳?服務(wù)器-客戶端模型mTLSmTLSSDP保護(hù)mTLSSDP保護(hù)客戶端

服務(wù)器

客戶端在一些點(diǎn)對(duì)點(diǎn)的通信場景中（如VOIP、聊天和視頻會(huì)議服務(wù)等），點(diǎn)對(duì)點(diǎn)的流量都通過中間服務(wù)器來轉(zhuǎn)發(fā)。在這個(gè)模型下，服務(wù)器隱藏在安全邊界內(nèi)。客戶端-網(wǎng)關(guān)-客戶端模型mTLSmTLSSDP保護(hù)mTLSSDPmTLSSDP保護(hù)客戶端SDP

網(wǎng)關(guān) 客戶端網(wǎng)關(guān)-網(wǎng)關(guān)模型mTLSSDP保護(hù)化)SDP保護(hù)化)網(wǎng)關(guān) 網(wǎng)關(guān)SDP1.0中未包含網(wǎng)關(guān)-網(wǎng)關(guān)模型。這個(gè)模型很適合用于某些物聯(lián)網(wǎng)場景。在這個(gè)模型下，網(wǎng)關(guān)都隱藏在安全邊界內(nèi)。圖3–SDP部署模型SDP工作流程一般來說，SDP（Onboarding）（每個(gè)組件均有獨(dú)立流程）和訪問流程（在多個(gè)組件之間協(xié)調(diào)）SDP組件都有一個(gè)單獨(dú)的加載（Onboarding）流程，并參與多個(gè)訪問流程。SDPSDP部署模型之間的細(xì)節(jié)會(huì)有所不同?？刂破骷虞d（Onboarding）流程每個(gè)SDP系統(tǒng)都需要一個(gè)或多個(gè)控制器。為了讓加載流程得以成功，至少必須保證有一個(gè)控制器在任何時(shí)候都是可用的。一些SDP實(shí)現(xiàn)方案中，需要一個(gè)始終在線的控制器使訪問流程獲得成功?？刂破鞅仨毷强蓮钠渌魏蜸DP組件的運(yùn)行位置進(jìn)行網(wǎng)絡(luò)訪問。因此，它們通常是可通過互聯(lián)網(wǎng)在全球范圍內(nèi)可達(dá)，但僅限于獲得授權(quán)的用戶/設(shè)備。11組織機(jī)構(gòu)專屬的配置和初始化參數(shù):網(wǎng)絡(luò)配置PKI和CAIAM認(rèn)證多因子認(rèn)證設(shè)備/端點(diǎn)管理等等SDP2等等…后續(xù)的SDP控制器初始SDP控制器圖4–控制器加載流程4（主要的（SAML、OpenID、OAuth、LDAP、Kerberos、多因子身份驗(yàn)證和其他此類服務(wù)）。SDP控制器應(yīng)該時(shí)刻在SDP組件隨時(shí)可用。如有必要，也可以讓后續(xù)更多的控制器上線，并使用相同的組織機(jī)構(gòu)的專屬配置，以及來自初始控制器的初始化參數(shù)（配置）信息加載。SDPSDP實(shí)現(xiàn)方接受主機(jī)（AH）加載流程SDPAHSDP部署模型進(jìn)行（資源/業(yè)務(wù)系統(tǒng)的一部分部署。AH可以是長期在線的，也可以是短暫的——兩者在SDP實(shí)施中都是可以接受的。獨(dú)立網(wǎng)關(guān)AH可能壽命較長，運(yùn)行數(shù)月或數(shù)年。但也可能是短暫的，如在基于負(fù)載進(jìn)行擴(kuò)展或收縮的動(dòng)態(tài)網(wǎng)關(guān)集群中。1AH初始參數(shù)控制器信息SPA配置等等….2連接和認(rèn)證接收服務(wù)信息接受主機(jī)SDP控制器1AH初始參數(shù)控制器信息SPA配置等等….2連接和認(rèn)證接收服務(wù)信息接受主機(jī)SDP控制器圖5-接受主機(jī)（AH）加載流程AH5AHSDP系統(tǒng)中的一個(gè)或多個(gè)控IH的訪問。任何SDPAH都可以被配置為連接到控制器集群中。SDPAH發(fā)起主機(jī)（IH）加載流程（IH的服務(wù)器。SDP系統(tǒng)中的其他所有組件一樣，IH6所示。在這個(gè)流程中，它們首先需要被配置連接到控制器所需的初始參數(shù)信息：包括網(wǎng)絡(luò)信息（IP地址），以及任何必（加載流程需要使用到企業(yè)身份管理服務(wù)供應(yīng)商，并且在用戶設(shè)備上需要做用戶身份認(rèn)證。1IH初始參數(shù)控制器信息1IH初始參數(shù)控制器信息配置SPA數(shù)字證書其他發(fā)起主機(jī)（IH）SDP控制器訪問流程

圖6–發(fā)起主機(jī)(IH)加載流程步驟訪問流程1當(dāng)已加入的IH重新上線時(shí)（例如，在設(shè)備重新啟動(dòng)后，或當(dāng)用戶啟動(dòng)連接時(shí)），它將連接到SDP控制器進(jìn)行身份驗(yàn)證2在IH身份驗(yàn)證（在某些情況下，使用其相應(yīng)的身份提供商）成功后，SDP控制器會(huì)確定該IH有權(quán)（通過步驟訪問流程1當(dāng)已加入的IH重新上線時(shí)（例如，在設(shè)備重新啟動(dòng)后，或當(dāng)用戶啟動(dòng)連接時(shí)），它將連接到SDP控制器進(jìn)行身份驗(yàn)證2在IH身份驗(yàn)證（在某些情況下，使用其相應(yīng)的身份提供商）成功后，SDP控制器會(huì)確定該IH有權(quán)（通過AH）通信的服務(wù)列表。但此時(shí)控制器尚未將此列表發(fā)送給IH；必須等到步驟3之后。3SDP控制器指示AH可以接受來自IH的通信，以及向AH發(fā)送用于建立用戶、設(shè)備和服務(wù)之間雙向加密通信所需的信息。4SDP控制器向IH提供已授權(quán)的AH和服務(wù)列表，以及建立雙向加密通信所需的任何可選信息。5IH使用SPA協(xié)議發(fā)起與授權(quán)AH的連接，首先驗(yàn)證SPA中的信息以確保安全，然后IH建立與AH之間的雙向TLS（mTLS）加密連接。表1：訪問流程IH加載流程示例SDP控制器、IH、AH和用戶的加載，根據(jù)圖2所示的部署模型以及具體實(shí)現(xiàn)方案的不同情況會(huì)有差異。SDP系統(tǒng)的創(chuàng)建和運(yùn)行可以通過應(yīng)用程序編程接口（API）或管理界面進(jìn)行。如上述流程所述，當(dāng)SDP系統(tǒng)部署和配置完成之后，接下來SDP控制器和AH上線。以下時(shí)序圖是使用了外部身份提供商（IdP）進(jìn)行身份驗(yàn)證的IH用戶加載流程7。圖8—加載（IdP場景）注解：此示例使用身份提供商（IdP）的信息用于用戶加載上線。加載系統(tǒng)可以包括多因子和設(shè)備屬性驗(yàn)證(如企業(yè)部署的數(shù)字證書或終端管理軟件)密鑰或其他共享密鑰)SDPSDPSDP的組件。使用客戶端(SDP客戶端)與身份提供商(IdP)SDPIdP（基于SDP的開源參考實(shí)現(xiàn)-\h/open-source-sdp/給它的SAML令牌）。單包授權(quán)SDP（資源還不得訪問SDPSDP組件連接之前必須要通過基于密碼學(xué)SDPSDP組件建立網(wǎng)絡(luò)VPN）形成了鮮明的對(duì)比，后者往往暴露在互聯(lián)網(wǎng)上的所有惡意攻擊者面前。8SDP中實(shí)現(xiàn)這個(gè)目標(biāo)的機(jī)制就是單包授權(quán)SDPRFC4226HMAC的一次性密碼“HOTP”9包中如何使用它。SDPAH替代方案章節(jié)部分。SPA在SDP中實(shí)現(xiàn)的主要原則如下：SDP系統(tǒng)組件：AH不會(huì)對(duì)來自遠(yuǎn)程系統(tǒng)的任何連接嘗試作出反應(yīng)，直到它SDPUDP的情況下，主TCP()AH(SDP網(wǎng)關(guān)/業(yè)務(wù)系統(tǒng)一AH，都采用這樣的原則。TLSHTTPS(TLS)協(xié)議的面向互聯(lián)網(wǎng)的服務(wù)器非常容易受到拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)TCPTLS連接的建立，即使DoS攻擊還在進(jìn)行中。AHAH收到SDP能夠根據(jù)單個(gè)惡意報(bào)文確定攻擊。SDP系統(tǒng)DDoS攻擊的恢復(fù)能力(SDPSDPDDoSSDP組件之間的通信由SPA發(fā)起：IH-控制器、AH-控制器和IH-AH。SPA報(bào)文使用UDP或TCP協(xié)議，具體取決于所選的實(shí)現(xiàn)方案。UDPUDP相比，TCPTCPSDP組件將向所有遠(yuǎn)程(和潛在的惡意)DDoS攻擊--IPTCPTLSTCP連接VPNWireguard\h/html/rfc4226\h/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/TLSDDoSTCP包來鑒別攻擊，但這種識(shí)TCP連接之后才能做到，因此會(huì)消耗服務(wù)器資源。AHDNSIPDNS服務(wù)進(jìn)行連接可能會(huì)降低服務(wù)對(duì)攻擊者的可見性。也就是說，SDP服務(wù)DNS（）的本身可能就對(duì)惡意攻擊者暴露了攻擊面（SDPDDoS攻擊）。SDP標(biāo)準(zhǔn)規(guī)v1版做了改進(jìn)和更新。消息格式用戶ID為每對(duì)用戶–256用戶、設(shè)備或邏輯組。非重復(fù)隨機(jī)數(shù)16SPA時(shí)間戳通過確保SPA報(bào)文在短時(shí)間內(nèi)的有效性(例如15到30秒)，以防止處理過期無效的SPA報(bào)文。這也提供了一種機(jī)制減少接收方所需的重放用戶ID為每對(duì)用戶–256用戶、設(shè)備或邏輯組。非重復(fù)隨機(jī)數(shù)16SPA時(shí)間戳通過確保SPA報(bào)文在短時(shí)間內(nèi)的有效性(例如15到30秒)，以防止處理過期無效的SPA報(bào)文。這也提供了一種機(jī)制減少接收方所需的重放攻擊檢測緩存。源IP地址發(fā)起主機(jī)的公開可見IPIP地址，IH必須能夠獲得IPAH使用，作為報(bào)文的來源地址。消息類型該字段是可選的。它可用于通知接收者在建立連接后，IH會(huì)發(fā)送什么類型的消息。消息內(nèi)容字符串此字段是可選的。它將取決于“消息類型”字段。例如，這個(gè)字段可以用于標(biāo)明IH將請(qǐng)求的服務(wù)（如果在連接時(shí)已知目標(biāo)服務(wù)）。HO（基于HMAC次性密碼)這個(gè)一次性哈希密碼是基于RFC4226所描述的算法以及共享密鑰生成的。SPA報(bào)文中必須要使用OTP以驗(yàn)證其真實(shí)可靠性，其他替代的OTP算法也可以應(yīng)用在這里，只要能達(dá)到驗(yàn)證SPA報(bào)文真實(shí)可行性的總體目標(biāo)。HMAC值基于上述所有字段計(jì)算得出。算法可選擇SHA256(推薦)、SHA384、SHA512SM3、Equihash或其他高效魯棒的算法。HMAC使用共享(密鑰)SPAHMAC值，AHSPA消息的完整性。HMAC驗(yàn)證在計(jì)算上是DoS效HMAC的SPA報(bào)文將被立即丟棄。表2：SPA消息結(jié)構(gòu)IH的私鑰(以實(shí)現(xiàn)不可假冒)AH的公鑰(以實(shí)現(xiàn)保密)HMAC)AHDoS攻擊的彈性。作為一種安全的、獨(dú)立的、無連接的消息傳輸協(xié)議SDP的一個(gè)有趣的“副產(chǎn)品”包不僅可以用作發(fā)起連接的手段，SDP客戶端發(fā)布的。種子密鑰對(duì)于特定的客戶端是唯一的(ClientID標(biāo)識(shí))，那么消息內(nèi)容字符串字段可以被客戶端用來傳輸有意義的數(shù)據(jù)。這既不需要任何進(jìn)一步的處理或策略評(píng)估，TCPTLS連接。這個(gè)方案對(duì)一組需要定期傳輸少量數(shù)據(jù)的分布式物聯(lián)網(wǎng)傳感器很有用。將數(shù)據(jù)嵌入到TCP/TLS(AH)報(bào)文傳輸被收到，發(fā)送方也不會(huì)收到確認(rèn)消息。盡管如此，數(shù)據(jù)傳輸可以是一種有用的方案。的替代方案SDPSDP的關(guān)鍵原則，DDoS攻擊的彈性應(yīng)對(duì)能力，并提高了檢測攻擊的能力。還具有SDPAH建立加密通信，而無需依賴任何外部系統(tǒng)。并不是實(shí)現(xiàn)這些目標(biāo)的唯一機(jī)制。有一些替代方案也可以實(shí)現(xiàn)上述定義的原則，SDPSDP系統(tǒng)可以SDPAH式下，IH向身份提供商的認(rèn)證請(qǐng)求的將觸發(fā)一個(gè)控制面消息給SDPAHIHIHIP將能夠建立一個(gè)與控AHTCPAH已經(jīng)預(yù)期到這個(gè)連接。當(dāng)然，TCP連接之后緊跟著會(huì)TLS連接（mTLS），以及下文將闡述的其他安全層。SDP系統(tǒng)的組成部分。組件之間的傳輸層雙向認(rèn)證SDP在建立連接的過程需要進(jìn)行多層次的安全校驗(yàn)。第一步是SPA，如上所述。下一步，也就是本章節(jié)的主題，要求雙向認(rèn)證，它是作為分布式SDP組件之間建立安全加密連接的關(guān)鍵步驟。其他更多的步驟，包括設(shè)備和用戶安全校驗(yàn)，將在后面討論。SDP進(jìn)行安全校驗(yàn)和授權(quán)后，SDPTLS（IKE），SDP的授權(quán)成員。具體而言，發(fā)起主機(jī)和接受主機(jī)（IH-AH）、發(fā)起主機(jī)到控制器（IH控制器）以及控制器到AH之間的連接必須使用雙向認(rèn)證。請(qǐng)注意，TCPUDPTLS（UDP情況下，它被稱為（DatagramTransportLayerSecuritySDP系統(tǒng)。PKISDPCA。它不能依賴預(yù)裝的或與用戶瀏覽器SDPSDPMITMTLS降級(jí)協(xié)議攻擊（mTLS可以避免這種攻擊）。設(shè)備校驗(yàn)上個(gè)章節(jié)闡述的傳輸層雙向認(rèn)證方案可以證明SDP的訪問設(shè)備擁有一個(gè)未過期且未被吊銷的私鑰，但不校驗(yàn)設(shè)備是否滿足安全或配置要求。SDP網(wǎng)關(guān)也在企業(yè)的控制下，SDPSDPAHmTLS身份驗(yàn)證的正確私鑰。SDP的驗(yàn)證和授權(quán)的，都會(huì)被丟棄，因此該過\hhttps://wott.io/blog/tutorials/2019/09/09/what-is-mtls\h/html/rfc6960SDP系統(tǒng)必須具備與企業(yè)設(shè)備管理/端點(diǎn)管理系統(tǒng)進(jìn)行集成的能力，并將其設(shè)備安全態(tài)勢檢SDP客戶端軟件所運(yùn)行的用戶設(shè)備本地環(huán)境進(jìn)行mTLSSDP設(shè)計(jì)方案有關(guān)：是否使用設(shè)備信息作為訪問策略決策“設(shè)備”SDP與物聯(lián)網(wǎng)設(shè)備NIST800-207文檔中的有兩個(gè)核心零信任原則：系統(tǒng)必須確?！八袛?shù)據(jù)源和計(jì)算服務(wù)”以及“所有通信”的安全訪問，14IoT的概念，不IT（IPVOIP電話而且還包含更專業(yè)的設(shè)備，如環(huán)境或醫(yī)療傳感器或工業(yè)控制系統(tǒng)。IH主機(jī)沒有區(qū)別。我們在這里著重討論以下三類（不可擴(kuò)展（如但其計(jì)算/內(nèi)存/SDP架構(gòu)和策略模型中應(yīng)包括對(duì)它們的訪問以及它們發(fā)起的訪問。SDP“上游”（“代理”或“連接器來捕獲SDP系統(tǒng)中。SDPIH。需要注意到是，該代理應(yīng)該能夠完全控制進(jìn)出物聯(lián)網(wǎng)設(shè)備的流量。SDPIH。SDP架構(gòu)對(duì)來自這些設(shè)備和可能來自這些設(shè)備的其他通信模型保持開放兼容。例如一組低功耗、SDP報(bào)文來TLS連接，也不需要認(rèn)證，以一種非常輕量級(jí)的方式安全15傳輸數(shù)據(jù)。訪問策略(回顧一下零信任的關(guān)鍵概PDPPEP)NIST對(duì)資源的訪問由動(dòng)態(tài)策略決定，其中包括客戶身份、應(yīng)用程序/服務(wù)和請(qǐng)求資產(chǎn)的可觀察狀態(tài)，還參照NIST特別出版物800-207）可能包括其他行為和環(huán)境屬性16?！本W(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)零信任成熟度模型討論了策略如何從成熟度傳統(tǒng)級(jí)別的靜態(tài)策略，轉(zhuǎn)變到高級(jí)級(jí)別的跨域輸入和輸出，再到最優(yōu)級(jí)別的“基于自動(dòng)/觀察觸發(fā)器的動(dòng)態(tài)策略”17。訪問請(qǐng)求主體數(shù)據(jù)庫與歷史資產(chǎn)數(shù)據(jù)庫信任算法資源策略需求訪問請(qǐng)求主體數(shù)據(jù)庫與歷史資產(chǎn)數(shù)據(jù)庫信任算法資源策略需求 威脅情報(bào)及日志SDP能力略有不同。這種多樣性造成的結(jié)果是， 早期的零信任文檔往往對(duì)策略這個(gè)話題閉口不談。例如，SDP標(biāo)準(zhǔn)規(guī)范的第一版沒有 討論或定義策略模型較新的零信任模型為我們提供了一些如何處理策略的指引。NIST800-207文檔中引入了基于信任算9級(jí)別所示。

圖9：來自NIST800-207的信任算法圖NIST800-207文檔提到的策略模型中討論了資源策略的要求：ID和屬性數(shù)據(jù)庫網(wǎng)絡(luò)位置(IP地址的訪問)、數(shù)據(jù)(即負(fù)責(zé)數(shù)據(jù)的人)和數(shù)據(jù)業(yè)務(wù)流程的負(fù)責(zé)人(即負(fù)責(zé)任務(wù)的人)共同制訂?！盋ISA零信任成熟度模型并不直接對(duì)策略下定義，而是通過給出不同成熟度級(jí)別下的系統(tǒng)能力的具體示例來間接表明?！傲阈湃巍盨DPSDP部署模型之間存在差SDP客戶端軟件運(yùn)行在用戶設(shè)備上的場景，證書驗(yàn)證很容易實(shí)施的（零信任策略模型不在SDP標(biāo)準(zhǔn)規(guī)范v2的討論范圍內(nèi)，但它是SDP和零信任工作組甚至整個(gè)行業(yè)未來的一個(gè)有趣研究領(lǐng)域。我們對(duì)于這個(gè)主題上未來的合作和成果發(fā)布充滿期待。使用單獨(dú)分發(fā)的密鑰）。參見NIST800-2076202161.05c.d.e.f.c.d.e.f.SDP協(xié)議SDP協(xié)議包括四個(gè)部分:AH–控制器協(xié)議、IH–控制器協(xié)議-、IH–AH協(xié)議和日志，SDPSDP進(jìn)行通信，但它不是SDP部署模型將需要不同的交互和消息。這里的目標(biāo)是展示一個(gè)可運(yùn)行的典型系統(tǒng)，而不是指定固定或標(biāo)準(zhǔn)化的消息格式。值得注意的是，如前所述，該協(xié)議不包括組件或設(shè)備加載過程的消息或數(shù)據(jù)流。IH登IH身份認(rèn)證。TCPTLSUDP的無連接協(xié)議(DTLS)也是可以接受的，但為了簡化起見，下文就不進(jìn)行贅述了。AH-控制器協(xié)議AH到控制器的時(shí)序圖接受主機(jī)連接控制器的協(xié)議時(shí)序圖如圖10所示。單包授權(quán)SPA打開TCP連接雙向TLS握手登錄請(qǐng)求消息登錄響應(yīng)消息登出請(qǐng)求消息心跳消息AH服務(wù)消息用戶保留消息控制器控制器AHAHa.b.基于單包授權(quán)SPA打開TCP連接雙向TLS握手登錄請(qǐng)求消息登錄響應(yīng)消息登出請(qǐng)求消息心跳消息AH服務(wù)消息用戶保留消息控制器控制器AHAHa.b.圖10：接受主機(jī)AH連接到控制器g.h.以下小節(jié)定義了AH和控制器之間傳遞的各種消息和格式?；镜南⒏袷饺缦拢篻.h.指令數(shù)據(jù)指令數(shù)據(jù)(指令長度)指令編號(hào)(8-bit)單包授權(quán)SPA報(bào)文由AH發(fā)送到控制器以請(qǐng)求連接，遵循本文前面討論的格式。打開連接并建立雙向認(rèn)證的通信AHTCP報(bào)文合法有TCP連接。接下來是建立mTLS連接所需的雙向身份認(rèn)證?；赨DP的DTLS是一個(gè)邏輯連接，因?yàn)閁DP是一個(gè)無連接協(xié)議。登錄（SDP）請(qǐng)求消息無指令特定數(shù)據(jù)0x00登錄請(qǐng)求消息由AH發(fā)送到控制器以表明它正在運(yùn)行狀態(tài)中，并請(qǐng)求作為活躍的AH加入SDP。請(qǐng)注意，AH登錄請(qǐng)求消息中有可能包括AH無指令特定數(shù)據(jù)0x00登錄（SDP）響應(yīng)消息AHIDAH或者控制器可能AH的連接。AHTCP連接。0x01狀態(tài)碼（16位）AH會(huì)話ID（256位）以及更新AH的SPA密鑰和TLS密鑰（可選項(xiàng)）狀態(tài)碼取決于實(shí)現(xiàn)方案。AH會(huì)話ID在系統(tǒng)日志中使用。JSON規(guī)范及示例如下：格式示例{“session_id”:<256bits>,“credentials”:[“spa_encryption_key”:<64bit>,“spa_hmac_key”:<64bit>,“tls_key”:<filecontents>,“tls_cert”<filecontents>]}{“session_id”:“0x1234…”“credentials”:[“spa_encryption_key”:”aldskf…”,“spa_hmac_key”:“asldjf…”,“tls_key”:“tls_key”,“tls_cert”:“tls_cert”]}注銷請(qǐng)求消息AHAHTCPAH或控制器終止。PAGE36PAGE36無指令特定數(shù)據(jù)無指令特定數(shù)據(jù)0x02心跳消息Keep-Alive心跳消息由AH或控制器發(fā)出，表示其仍處于活躍狀態(tài)。無指令特定數(shù)據(jù)無指令特定數(shù)據(jù)0x03AH服務(wù)消息JSON格式定義的服務(wù)數(shù)組0x04AHIP地址（AHSDP網(wǎng)關(guān)的時(shí)候會(huì)出現(xiàn)這種情況）。服務(wù)也可能被指向主AHAH(1A)id或nameAHJSON格式定義的服務(wù)數(shù)組0x04JSON規(guī)范如下：格式示例{“services”:{“services”:[“port”:<Serverport>,“id”:[“port”:“443”,<256-bitServiceID>,“address”:“id”:“123445678”,<ServerIP>,“name”:<servicename>“address”:“23”,“type”:<protocoltypetag>“name”:“MarketingWebApp”,]“type”:“HTTPS”}]}注意，此規(guī)范既可以描述基于TCP或UDP的服務(wù)，也可以用于其他協(xié)議(如ICMP)的服務(wù)。自定義用途的保留消息該指令（0xff）為保留指令，用于AH和控制器之間的非標(biāo)準(zhǔn)消息。用戶自定義用戶自定義0xffIH-控制器協(xié)議IH-控制器協(xié)議利用網(wǎng)絡(luò)路由和報(bào)文傳遞，其實(shí)現(xiàn)細(xì)節(jié)依賴于傳輸協(xié)議類型（TCP有保障UDP的發(fā)后不管模式）。IH到控制器時(shí)序圖圖11：發(fā)起主機(jī)（IH）連接至SDP控制器本節(jié)定義了IH和控制器之間交互的各種消息及其格式，基本協(xié)議格式如下：特定長度的指令特定數(shù)據(jù)特定長度的指令特定數(shù)據(jù)指令(8位)IH發(fā)送SPA報(bào)文到控制器請(qǐng)求連接,遵循本文前面討論的格式.打開連接并建立雙向認(rèn)證通信IH發(fā)送SPA報(bào)文后,將嘗試打開與控制器的TCP連接.如果控制器確定SPA報(bào)文合法有效,它將允許該TCP連接建立,隨后進(jìn)行建立mTLS連接所需的雙向身份認(rèn)證。對(duì)于基于UDP的DTLS的情況,由于UDP是無連接協(xié)議,建立的是邏輯的連接。登錄(SDP)請(qǐng)求消息無特定指令數(shù)據(jù)0x00IH向控制器發(fā)送登錄請(qǐng)求消息,以示IH可用并嘗試加入SDP。注意,IH向控制器發(fā)送的登錄請(qǐng)求可能包含IH自身的身份標(biāo)識(shí)和認(rèn)證憑證。如前文所述,該登錄請(qǐng)求出現(xiàn)在加載流程之后。該登錄請(qǐng)求每次會(huì)話均會(huì)出現(xiàn)一次,無特定指令數(shù)據(jù)0x00登錄響應(yīng)消息IHIDIH登錄請(qǐng)求，例如無效的認(rèn)證憑據(jù)，或者控制器受到系統(tǒng)授權(quán)許可或擴(kuò)展規(guī)模的限制。0x01狀態(tài)碼(16位)IHID(32位)IHSPATLS密鑰（可選項(xiàng)）格式示例{“session_id”:<256bits>,“credentials”:[“spa_encryption_key”:<64bit>,“spa_hmac_key”:<64bit>,“tls_key”:<filecontents>,“tls_cert”<filecontents>]}{“session_id”:“0x1234…”“credentials”:[“spa_encryption_key”:”aldskf…”,“spa_hmac_key”:“asldjf…”,“tls_key”:“tls_key”,“tls_cert”:“tls_cert”]}心跳消息Keep-Alive心跳消息由IH或控制器發(fā)送以表示仍處于活動(dòng)狀態(tài)。無特定指令數(shù)據(jù)無特定指令數(shù)據(jù)0x03IH服務(wù)消息服務(wù)消息由控制器發(fā)送,IHAHIP地址或主機(jī)名.IH能夠連接到該服務(wù)。請(qǐng)注意，列出的主機(jī)名/IP地IHAH。如前面的“部署模型”AH不同的主機(jī)/IP上。JSON格式的服務(wù)數(shù)組0x06服務(wù)ID將用于后續(xù)IH與JSON格式的服務(wù)數(shù)組0x06JSON規(guī)范為：格式示例{“services”:[{“address”:<AHIP>,“id”:<256-bitServiceID>,“name”:<servicename>,“type”:<servicetype>,“port”:<Serverport>}]}{“services”:[{“address”:“4”,“id”:“123445678”,“name”:“FinanceApp”,“type”:“HTTPS”,“port”:“8443”}]}IH認(rèn)證信息接受主機(jī)的作用是確保受保護(hù)資源在被允許訪問之前成功進(jìn)行身份驗(yàn)證?？刂破飨駻H發(fā)送IH的認(rèn)證消息，以指示AH新的IH已被成功驗(yàn)證，且指示AH應(yīng)允許IH訪問指定的服務(wù)。IH的JSON格式的服務(wù)數(shù)組信息0x05請(qǐng)注意，盡管此消息是從控制器發(fā)送到IH的JSON格式的服務(wù)數(shù)組信息0x05JSON規(guī)范為：格式示例{“IHAuthenticators”:“IH”:<IH/DevicePair>,“session_id”:<256-bitIHSessionID>,“hmac_seed”:<256-bitSPAHMACseedfortheIH>,“hotp_seed”:<256-bitSPAHOTPseedfortheIH>“id”:[<arrayof256-bitserviceIDs>]}{“IHAuthenticators”:“IH”:“IH/DeviceID”,“session_id”:“hmac_seed”:“hotp_seed”:“id”:[“123445678”,“9012345”}AHAHIH的連接。AHIH專屬的設(shè)備IDID注銷請(qǐng)求消息無特定指令數(shù)據(jù)0x07IHIHSDPTCPIH或控制器終止。請(qǐng)注意，IH無特定指令數(shù)據(jù)0x07z.自定義用途的保留消息用戶自定義0xff此指令（0xff）為保留指令，用于IH和控制器之間的任何非標(biāo)準(zhǔn)消息。圖11用戶自定義0xffIH–AH協(xié)議IH到AH協(xié)議利用網(wǎng)絡(luò)路由和報(bào)文傳遞。實(shí)現(xiàn)細(xì)節(jié)取決于傳輸?shù)念愋停ɡ?，TCP的有保障傳輸，或UDP的發(fā)后不管模式）。需要注意的是，只有在IH使用有效的SPA單包授權(quán)報(bào)文連接、建立了雙向認(rèn)證的通信，并AHIHAHAH隱藏不可見。IH到AH序列圖圖12顯示了IH和AH之間協(xié)議的示例序列圖。圖12：IH連接到一個(gè)AH，接著把數(shù)據(jù)送到一個(gè)服務(wù)本節(jié)定義不同的消息和格式在IH和AH間交換?；镜膮f(xié)議如以下的格式：根據(jù)指令類型有不同長度和數(shù)據(jù)內(nèi)容根據(jù)指令類型有不同長度和數(shù)據(jù)內(nèi)容指令（8位）IH發(fā)送SPA包到AH，按照前面討論的格式請(qǐng)求連接。打開連接和建立雙向認(rèn)證的通信IHAHTCPAH會(huì)TCPmTLS連接所需的雙向身份認(rèn)證。對(duì)于基于UDP的DTLS的情況,由于UDP是無連接協(xié)議,建立的是邏輯的連接發(fā)起連接請(qǐng)求的消息當(dāng)IH要連接到一個(gè)特定的服務(wù)，IH會(huì)發(fā)送一個(gè)連接請(qǐng)求消息到AH。IHID是因?yàn)檫@些標(biāo)識(shí)IHIH（IH-）會(huì)話標(biāo)識(shí)被IH和AH用于區(qū)分不同遠(yuǎn)程服務(wù)的TCP連接。服務(wù)標(biāo)識(shí)服務(wù)標(biāo)識(shí)–256位會(huì)話標(biāo)識(shí)–256位0x07打開適合連接類型IHSDP實(shí)現(xiàn)方案和部署（SDP感知服務(wù)可能需要借助這個(gè)AHIHSDP的部署模型，這個(gè)連接有可能是一個(gè)網(wǎng)絡(luò)上的連接或是在本機(jī)上的連接（如進(jìn)程間通信）。打開連接響應(yīng)消息AH會(huì)發(fā)送一個(gè)“打開–IH來告知連接請(qǐng)求是否成功。打開連接請(qǐng)求和打開連IHIH把返回值和其對(duì)應(yīng)的請(qǐng)求給關(guān)聯(lián)起來。0x08狀態(tài)碼（16bits）256位256位數(shù)據(jù)消息IHAH發(fā)送，它用于在連接建立后推送數(shù)據(jù)。該消息無需回復(fù)。這個(gè)消息和SDPSDP0x09數(shù)據(jù)長度（16位）256-位256-位連接關(guān)閉消息256位標(biāo)識(shí)符256位標(biāo)識(shí)符256位標(biāo)識(shí)符256位標(biāo)識(shí)符0x0Az．用戶自定義消息IHAH12中未顯示此消息。用戶自行定義用戶自行定義0xFF日志日志消息字段所有日志均應(yīng)包含以下基本字段。字段含義時(shí)間當(dāng)前日志記錄的產(chǎn)生時(shí)間名稱人工可讀的事件名稱。注意：請(qǐng)勿包含任何變量數(shù)據(jù)，如用戶名、IP地址、主機(jī)名等，這些信息已包含在日志記錄的內(nèi)容信息字段中。嚴(yán)重等級(jí)事件的嚴(yán)重等級(jí)（從debug調(diào)試級(jí)到critical嚴(yán)重級(jí)，參看下文）設(shè)備地址產(chǎn)生該日志的設(shè)備IP地址運(yùn)維日志下表給出了需要被記錄的運(yùn)維用例和活動(dòng)清單。特征標(biāo)識(shí)（signature_id）是一個(gè)標(biāo)識(shí)符，使之可以識(shí)別事件的類型。第三列包含需要記錄的具體消息的額外字段?；顒?dòng)特征標(biāo)識(shí)記錄的數(shù)據(jù)/信息（啟）ops:startupops:shutdownops:restart原因：組件重啟或關(guān)閉的原因；組件：指明受影響的組件。（IHAH、第三方組件、數(shù)據(jù)庫）之ops:conn:upops:conn:down源地址：通信連接的源IP地址（以日志報(bào)告方為觀察視角）；間的連接事件，包括發(fā)起，斷開和重連ops:conn:reconnect目的地址：通信連接的目標(biāo)IP地址（以日志報(bào)告方為觀察視角）；重連次數(shù)：嘗試重新連接的次數(shù)；原因：說明通訊中斷的原因。安全/連接日志安全日志是SDP的核心，在更廣泛的場景下對(duì)于檢測大規(guī)模的針對(duì)基礎(chǔ)設(shè)施的攻擊也很重要。因此將安全日志轉(zhuǎn)發(fā)給安全信息和事件管理（SIEM）系統(tǒng)是非常有用的。它們是零信任實(shí)現(xiàn)方案的必要條件?；顒?dòng)特征標(biāo)識(shí)記錄的數(shù)據(jù)/信息AH登錄成功sec:login源地址：AHIP地址。AHSessionID：AH會(huì)話ID。AH登錄失敗sec:login_failure源地址：AHIP地址。AHSessionID：AH會(huì)話ID。IH登錄成功sec:login源地址：控制器所看到的IH的IP地址。IHSessionID：IH會(huì)話ID。IH登錄失敗sec:login_failure源地址：控制器所看到的IH的IP地址。IHSessionID：IH會(huì)話ID。SPA認(rèn)證Sec:auth從IH到控制器的SPA報(bào)文從AH到控制器的SPA報(bào)文從IH到AH的SPA報(bào)文組件認(rèn)證（如IH->控制器）Sec:connectionIHSessionID：IH的會(huì)話IDAHSessionID：AH的會(huì)話ID被拒絕的入站連接sec:fw:denied源地址：嘗試連接的源IP