一种基于APNv6的Web应用资产探测方法与流程

本发明涉及的是网络安全，具体涉及一种基于ipv6的应用感知网络框架——apnv6的web应用资产探测方法。

背景技术：

1、随着《网络安全法》的落地，网络安全已经上升为国家战略高度，确保网络安全也已经成为企业应该履行的责任与义务。近年来随着网络环境的不断变化，安全策略也在不断进行变化。从最早的终端防护，到针对流量进行的安全防护，防护的对象正在不断转换，而目前安全核心正在转向企业的网络资产。随着物联网、大数据、云计算等业务的快速发展，企业内部各类资产数量大大增加，同时所带来的是资产安全面临的风险增加的挑战。

2、而在各种类型的资产中，web应用资产由于本身存在数量庞大、类型多样、信息变更频繁的特点，再加上现阶段很多企业主要依赖人工的方式对资产进行管理，往往会存在应用资产发现不及时，不全面，应用信息不准确的情况，导致存在大量的影子资产和信息缺失的资产。其中，影子资产是指存在于企业的网络中，但未被纳入管理的资产，也因此更容易被黑客利用来进行网络攻击，这些资产的存在增加了企业网络面临的脆弱性风险，大大增加企业遭受网络攻击的威胁风险。信息缺失的资产是指虽已被企业发现且纳入管理，但相关信息缺失的资产。这些应用由于应用名称、应用类型、版本号、厂商、业务类型等信息的缺失，网络安全管理人员无法全面掌握其信息，难于进行漏洞修复等安全保护措施，因此往往存在各种网络安全漏洞，更容易遭受网络攻击，加大了企业面临的安全风险。

3、综上所述，企业具备对web应用资产的全面、准确探测能力，对于整体网络安全能力的提升具有重大意义。

4、当前，对于web应用资产的探测发现，主要通过采用主、被动资产发现方式相结合来实现，主动探测主要用于对未知网络下的资产探测，包括网络主机探测、端口探测扫描，硬件特性及版本信息检测；被动探测主要是指采集目标网络的流量，对流量中应用层http，ftp，snmp等协议分析，从而实现对网络资产信息的被动探测，用于持续性的监听已知网络下的未发现资产，并通过信息补全和深度扫描等方式完成资产属性的补全。这种资产探测方法由于需要先进行网络主机探测、端口探测扫描等探测，再被动探测对资产进行信息被动补全，存在探测时间长、信息补全不稳定的弱点。而随着ipv6的普及和万物互联时代的到来，企业的web应用数量也会呈现爆发式增长的趋势，对资产探测的速度、准确性要求也越来越高，当前主、被动资产发现方式相结合的探测方法已难以满足需求。

5、为了解决在探测web应用资产时，如何缩短探测时长，增加信息完整率的问题，亟需开发一个基于现在和未来网络框架下、顺应ipv6+和5g、6g时代要求的web应用资产探测方法。

技术实现思路

1、针对现有技术上存在的不足，本发明目的是在于提供一种基于apnv6的web应用资产探测方法，通过将应用的需求信息封装在数据分组中，使网络能感知应用及相关信息，便于对web应用资产进行快速、准确探测发现，提高资产发现效率，降低计算资源，易于推广使用。

2、为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于apnv6的web应用资产探测方法，其步骤为：在用户终端或服务器上的运行web应用时，自动将应用信息携带入apn6数据分组头(ipv6的扩展报头，如逐跳选项报头)中，接着由业务感知边缘节点对ip报文进行源地址认证和完整性检测，同时检查apn6信息是否和用户的使用权限匹配，对符合身份的，映射入srv6路径，最后感知应用的ipv6网络框架——apn6，从而实现对web应用资产探测。

3、作为优选，所述的apn6选项报头包含以下信息：asset id、host id、user id、session id、al、version、manufacturer、reserved，设计数据包ipv6应用标识信息占112bit，其中asset id的长度24bit，host id 24bit、user id 40bit、session id 4bit、al4bit、version 4bit、manufacturer 4bit、reserved 8bit。

4、作为优选，基于apnv6的web应用资产探测方法的具体步骤如下：

5、(1)web应用提供方与web应用管理方进行协商，将该web应用的asset id、hostid、user id、version及manufacturer等信息向应用管理服务器侧报备；

6、(2)主机在发送报文时，对报文的ip源地址，apn6数据分组中的asset id、hostid、user id、version及manufacturer等应用信息以及时间戳和序列号生成摘要，并使用共享密钥进行签名，生成消息认证码；

7、(3)业务感知节点维护ip地址-消息认证密钥列表，对收到的报文携带的消息认证码进行校验，对校验成功且未超时的apn6数据分组进行应用信息的确认；

8、(4)对校验签名通过的消息，检验asset id及user id的身份等级是否匹配：对符合身份的，映射入srv6路径；对不符合的，将其应用需求更改为所在身份默认等级，映射入srv6路径；

9、(5)感知应用的ipv6网络框架——apn6，进行web应用资产探测。根据设计的应用信息格式，apn6允许应用将其标识信息和需求信息在数据分组中封装携带，使网络能够根据应用信息进行web应用资产的识别探测。

10、本发明的有益效果：本方法能够对web应用资产进行快速、准确探测发现，评估apn6可否允许应用在数据分组中携带应用标识及需求信息，让网络感知应用信息以实现对web应用快速、准确探测的目标，有效提高资产发现效率，降低计算资源，应用前景广阔。

技术特征：

1.一种基于apnv6的web应用资产探测方法，其特征在于，其步骤为：在用户终端或服务器上的运行web应用时，自动将应用信息携带入apn6数据分组头中，接着由业务感知边缘节点对ip报文进行源地址认证和完整性检测，同时检查apn6信息是否和用户的使用权限匹配，对符合身份的，映射入srv6路径，最后感知应用的ipv6网络框架apn6，从而实现对web应用资产探测。

2.根据权利要求1所述的一种基于apnv6的web应用资产探测方法，其特征在于，所述的apn6选项报头包含以下信息：asset id、host id、user id、session id、al、version、manufacturer、reserved。

3.根据权利要求1所述的一种基于apnv6的web应用资产探测方法，其特征在于，其具体步骤如下：

技术总结
本发明公开了一种基于APNv6的Web应用资产探测方法，它涉及网络安全技术领域。在用户终端或服务器上的运行Web应用时，自动将应用信息携带入APN6数据分组头中，接着由业务感知边缘节点对IP报文进行源地址认证和完整性检测，同时检查APN6信息是否和用户的使用权限匹配，对符合身份的，映射入SRv6路径，最后感知应用的IPv6网络框架，从而实现对Web应用资产探测。本发明通过将应用的需求信息封装在数据分组中，使网络能感知应用及相关信息，便于对Web应用资产进行快速、准确探测发现，提高资产发现效率，降低计算资源。

技术研发人员：叶翔,王帅,范希平,郭银锋,吴艳
受保护的技术使用者：浙江御安信息技术有限公司
技术研发日：
技术公布日：2024/2/19