《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 一種基于DNS的零信任增強(qiáng)認(rèn)證系統(tǒng)設(shè)計(jì)
一種基于DNS的零信任增強(qiáng)認(rèn)證系統(tǒng)設(shè)計(jì)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
鄒立剛1,張逸凡1,張新躍2,袁建廷3
1.北京國(guó)科云計(jì)算技術(shù)有限公司;2.中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心; 3.新疆大學(xué)信息科學(xué)與工程學(xué)院
摘要: 針對(duì)當(dāng)前大量HTTPS應(yīng)用復(fù)用證書(shū)存在安全風(fēng)險(xiǎn)問(wèn)題,借鑒了零信任模型中安全策略動(dòng)態(tài)授權(quán)的思路,提出了一種基于現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)設(shè)施DNS來(lái)擴(kuò)展增強(qiáng)認(rèn)證功能的方案,通過(guò)在現(xiàn)有DNS權(quán)威服務(wù)器上額外配置增強(qiáng)的認(rèn)證信息來(lái)對(duì)HTTPS訪問(wèn)請(qǐng)求進(jìn)行動(dòng)態(tài)認(rèn)證,從而能實(shí)時(shí)驗(yàn)證當(dāng)前HTTPS證書(shū)的安全狀態(tài)。該方案通過(guò)可信易得的DNS基礎(chǔ)設(shè)施解決了當(dāng)前普遍存在的HTTPS證書(shū)復(fù)用帶來(lái)的安全問(wèn)題,是一種靈活高效并且可擴(kuò)展的零信任安全增強(qiáng)認(rèn)證架構(gòu)。
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.07.004
引用格式:鄒立剛,張逸凡,張新躍,等.一種基于DNS的零信任增強(qiáng)認(rèn)證系統(tǒng)設(shè)計(jì)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(7):21-25.
Design of DNS based Zero Trust enhanced authentication system
Zou Ligang1, Zhang Yifan1, Zhang Xinyue2,Yuan Jianting3
1. Beijing Guoke Cloud Computing Technology Co., Ltd.; 2. China Internet Network Information Center; 3. School of Information Science and Engineering,Xinjiang University,Unumqi
Abstract: The article addresses the security risks associated with the widespread reuse of certificates in current HTTPS applications. Drawing on the idea of dynamic authorization of security policies in the Zero Trust model, it proposes a solution that enhances authentication capabilities by leveraging the existing Internet infrastructure, specifically DNS. This solution involves dynamically authenticating HTTPS access requests by adding enhanced authentication information to existing DNS authoritative servers. By doing so, it enables real-time validation of the security status of current HTTPS certificates. This approach effectively tackles the security issues arising from the common practice of certificate reuse in HTTPS, utilizing the trusted and readily available DNS infrastructure. It represents a flexible, efficient, and scalable Zero Trust security enhancement authentication framework.
Key words : HTTPS; certificate; Zero Trust Security Model; DNS; DNS-CA

引言

隨著互聯(lián)網(wǎng)電子商務(wù)的快速應(yīng)用和電子支付的蓬勃發(fā)展,越來(lái)越多的Web應(yīng)用開(kāi)始部署支持HTTPS,需要Web應(yīng)用開(kāi)發(fā)者同步部署HTTPS證書(shū)來(lái)實(shí)現(xiàn)安全可信的互聯(lián)網(wǎng)應(yīng)用。最初HTTPS證書(shū)頒發(fā)與網(wǎng)站域名一一對(duì)應(yīng),然而隨著技術(shù)的發(fā)展,一個(gè)組織需要多個(gè)HTTPS網(wǎng)站應(yīng)用,因此同一個(gè)組織內(nèi)的不同個(gè)體共享證書(shū)就成為一種典型的應(yīng)用場(chǎng)景,尤其是同一組織內(nèi)部不同網(wǎng)站共享同一個(gè)證書(shū)是常見(jiàn)的典型場(chǎng)景,甚至在使用內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)后,兩個(gè)毫無(wú)關(guān)聯(lián)的網(wǎng)站因?yàn)槭褂猛粋€(gè)CDN服務(wù)商而不得不共享同一個(gè)HTTPS證書(shū)也很常見(jiàn)。針對(duì)需要共享證書(shū)的場(chǎng)景,目前很多公有云服務(wù)商都提供共享型增強(qiáng)證書(shū)的解決方案,但共享證書(shū)的場(chǎng)景實(shí)際存在很大風(fēng)險(xiǎn),當(dāng)前利用共享證書(shū)之間網(wǎng)站的安全脆弱性進(jìn)行中間人攻擊已經(jīng)存在[1]。研究數(shù)據(jù)表明,世界排名前100的HTTPS網(wǎng)站及其子網(wǎng)站,63%存在可能被攻擊的風(fēng)險(xiǎn),可見(jiàn)這類安全風(fēng)險(xiǎn)隱患具有一定的普遍性。中間人攻擊本質(zhì)上是利用了證書(shū)共享中客戶端對(duì)證書(shū)的信任關(guān)系,雖然部署證書(shū)應(yīng)用的服務(wù)器安全配置和防護(hù)級(jí)別很高,但是攻擊者可以通過(guò)攻擊另一個(gè)共享同一個(gè)證書(shū)的配置相對(duì)薄弱的服務(wù)器,在獲取了服務(wù)器的權(quán)限后,利用共享證書(shū)的信任關(guān)系實(shí)現(xiàn)對(duì)其他服務(wù)器的中間人劫持攻擊,甚至可將HTTPS降級(jí)為明文傳輸?shù)腍TTP,從而實(shí)現(xiàn)傳輸內(nèi)容的監(jiān)聽(tīng)和篡改[1]。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006087


作者信息:

鄒立剛1,張逸凡1,張新躍2,袁建廷3

(1.北京國(guó)科云計(jì)算技術(shù)有限公司,北京100190;

2.中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心,北京100190;

3.新疆大學(xué)信息科學(xué)與工程學(xué)院,新疆烏魯木齊,830046)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。