《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 一種基于DNS的零信任增強認證系統設計
一種基于DNS的零信任增強認證系統設計
網絡安全與數據治理
鄒立剛1,張逸凡1,張新躍2,袁建廷3
1.北京國科云計算技術有限公司;2.中國互聯網絡信息中心; 3.新疆大學信息科學與工程學院
摘要: 針對當前大量HTTPS應用復用證書存在安全風險問題,借鑒了零信任模型中安全策略動態授權的思路,提出了一種基于現有互聯網基礎設施DNS來擴展增強認證功能的方案,通過在現有DNS權威服務器上額外配置增強的認證信息來對HTTPS訪問請求進行動態認證,從而能實時驗證當前HTTPS證書的安全狀態。該方案通過可信易得的DNS基礎設施解決了當前普遍存在的HTTPS證書復用帶來的安全問題,是一種靈活高效并且可擴展的零信任安全增強認證架構。
中圖分類號:TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.07.004
引用格式:鄒立剛,張逸凡,張新躍,等.一種基于DNS的零信任增強認證系統設計[J].網絡安全與數據治理,2024,43(7):21-25.
Design of DNS based Zero Trust enhanced authentication system
Zou Ligang1, Zhang Yifan1, Zhang Xinyue2,Yuan Jianting3
1. Beijing Guoke Cloud Computing Technology Co., Ltd.; 2. China Internet Network Information Center; 3. School of Information Science and Engineering,Xinjiang University,Unumqi
Abstract: The article addresses the security risks associated with the widespread reuse of certificates in current HTTPS applications. Drawing on the idea of dynamic authorization of security policies in the Zero Trust model, it proposes a solution that enhances authentication capabilities by leveraging the existing Internet infrastructure, specifically DNS. This solution involves dynamically authenticating HTTPS access requests by adding enhanced authentication information to existing DNS authoritative servers. By doing so, it enables real-time validation of the security status of current HTTPS certificates. This approach effectively tackles the security issues arising from the common practice of certificate reuse in HTTPS, utilizing the trusted and readily available DNS infrastructure. It represents a flexible, efficient, and scalable Zero Trust security enhancement authentication framework.
Key words : HTTPS; certificate; Zero Trust Security Model; DNS; DNS-CA

引言

隨著互聯網電子商務的快速應用和電子支付的蓬勃發展,越來越多的Web應用開始部署支持HTTPS,需要Web應用開發者同步部署HTTPS證書來實現安全可信的互聯網應用。最初HTTPS證書頒發與網站域名一一對應,然而隨著技術的發展,一個組織需要多個HTTPS網站應用,因此同一個組織內的不同個體共享證書就成為一種典型的應用場景,尤其是同一組織內部不同網站共享同一個證書是常見的典型場景,甚至在使用內容分發網絡(CDN)服務后,兩個毫無關聯的網站因為使用同一個CDN服務商而不得不共享同一個HTTPS證書也很常見。針對需要共享證書的場景,目前很多公有云服務商都提供共享型增強證書的解決方案,但共享證書的場景實際存在很大風險,當前利用共享證書之間網站的安全脆弱性進行中間人攻擊已經存在[1]。研究數據表明,世界排名前100的HTTPS網站及其子網站,63%存在可能被攻擊的風險,可見這類安全風險隱患具有一定的普遍性。中間人攻擊本質上是利用了證書共享中客戶端對證書的信任關系,雖然部署證書應用的服務器安全配置和防護級別很高,但是攻擊者可以通過攻擊另一個共享同一個證書的配置相對薄弱的服務器,在獲取了服務器的權限后,利用共享證書的信任關系實現對其他服務器的中間人劫持攻擊,甚至可將HTTPS降級為明文傳輸的HTTP,從而實現傳輸內容的監聽和篡改[1]。


本文詳細內容請下載:

http://m.xxav2194.com/resource/share/2000006087


作者信息:

鄒立剛1,張逸凡1,張新躍2,袁建廷3

(1.北京國科云計算技術有限公司,北京100190;

2.中國互聯網絡信息中心,北京100190;

3.新疆大學信息科學與工程學院,新疆烏魯木齊,830046)


Magazine.Subscription.jpg

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 久久久本网站受美利坚法律保护| 免费女人18毛片a级毛片视频| 97在线观看中心| 无码人妻丰满熟妇区毛片18| 亚洲图片中文字幕| 精品伊人久久久| 国产成人啪精品视频免费网| 99久久精品午夜一区二区| 日本tvvivodes人妖| 亚洲人成图片小说网站| 男女一边摸一边做爽爽爽视频| 国产亚洲精彩视频| 色老板在线视频一区二区| 婷婷被公交车猛烈进出视频| 久久国产劲暴∨内射新川| 欧美换爱交换乱理伦片免费观看| 全彩里番acg里番本子| 青娱乐免费视频观看| 国产精品久久久久久网站| a级日本高清免费看| 成人毛片手机版免费看| 二个人的视频www| 欧美精品久久天天躁| 免费观看四虎精品国产永久| 边亲边摸边做视频免费| 国产私拍福利精品视频推出| 99ri在线视频网| 少妇真实被内射视频三四区| 久久人人爽人人爽人人片av高请| 欧美不卡一区二区三区| 亚洲精品亚洲人成在线| 精品人人妻人人澡人人爽人人| 国产乱人视频在线播放不卡| 好吊色青青青国产在线观看| 国产精品资源站| WWW夜片内射视频在观看视频| 成人免费在线视频| 久久久久无码精品亚洲日韩| 曰批视频免费40分钟试看天天| 亚洲性久久久影院| 波多野结衣在线观看一区|