一种基于GDOI协议下大规模网络管理系统技术方案

本实用新型专利技术提供一种基于GDOI协议下大规模网络管理系统，所述管理系统用于对资产的信息采集、分类和管理以及对资产所关联的加密设备和密钥管理设备进行管控，密钥管理设备和加密设备的配置信息进行管理，密钥管理设备和加密设备的组策略进行配置，本实用新型专利技术通过资产管理模块和配置管理模块对资产及资产所关联的加密设备和密钥管理设备进行安全保护，提出了密钥管理服务器和组成员（GM）的组加密部署模型，整网协商机制（Group SA），使用Group SA加解密节点间的流量，为任意节点IP提供了安全通信。

A large scale network management system based on GDOI protocol

The utility model provides a large-scale network management system based on GDOI protocol, the management system for information collection, classification and management of the assets and the assets of the associated encryption devices and key management equipment management, key management and equipment configuration information encryption equipment management, key management and encryption equipment equipment group strategy configuration, the utility model through asset management module and configuration management module of assets and assets associated with encryption devices and key management equipment for the safety protection, the key management server (GM) and group members of the group encryption deployment model, the whole network negotiation mechanism (Group SA), Group SA encryption and decryption of inter node traffic, provide security communication for any node IP.

【技术实现步骤摘要】

本专利技术属于信息安全
，尤其涉及一种基于GDOI协议下大规模网络管理系统。
技术介绍
全球互联网已经在人们的工作生活中不可或缺，但是网络的信息安全威胁却在逐年加剧。2013年网络安全领域著名的“棱镜门”事件中，现有的以交换机、路由器为核心的网络构架非常易于被监听。大量信息通过交换机和路由器泄漏，为所有网络使用者敲响了一个警钟。对于全球范围的大规模企业或政府部门的互联网络，其往往采用如图1所示的网络拓扑结构。整个网络分为三层，其中集团环网平台由若干个数据中心组成，数据中心之间由多个10G网络组成环网，为全集团提供应用业务访问，数据汇总等服务；区域中心平台，由若干个区域中心组成，区域中心根据地域汇总各地区公司的数据，并提供通向集团环网的数据通道；地区公司平台，由各地地区公司局域网或城域网组成，承载各地公司的基础应用的网络接入。为了便于实现上述网络中各对象间的相互寻址和数据交换，现有标准的TCP/IP协议在信道上采取明文传输的方式，大量的数据在没有任何安全保护的情况下被传输；网络的路由选择机制使不同地域、国家之间在网络虚拟空间没有“国门”，传输数据可以被任意的截取、重组，并还原出原始的数据信息导致数据信息泄漏。更加危险的是，现在国内使用的大多数交换机和路由器都是国外品牌，即使国内品牌也多使用国外核心芯片设计完成，造成国内传输网络数据可能被国外机构监听。因此，为保证网络内信息的安全传递，在系统互联互通中，需要使用大量自主研发的网络交换设备、数据加密设备、密钥管理设备、安全管理设备等。其中，安全管理设备(安全管理中心)从全局上集中对加密设备及密钥管理设备进行管控，管理密钥管理设备及加密设备的配置信息，配置密钥管理设备及加密设备的组策略，查看密钥管理设备和加密设备的状态信息。此外，互联网络中各种分布式计算、语音、视频等业务需要随时随地的在各分支机构间运行，传统意义上的Hub-Spoke、点对点的IPSec隧道解决方案不能满足用户的需求。GDOI(GroupDomainofInterpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型，整网协商机制(GroupSA)，使用GroupSA加解密节点间的流量，为任意节点IP安全通信提供了可能。为此，开发GDOI协议下的大规模网络安全管理中心具有重要的理论与实际意义。
技术实现思路
为了解决上述问题，本专利技术提供一种基于GDOI协议下大规模网络管理系统，所述管理系统用于对资产的信息采集、分类和管理以及对资产所关联的加密设备和密钥管理设备进行管控，密钥管理设备和加密设备的配置信息进行管理，密钥管理设备和加密设备的组策略进行配置，以及密钥管理设备和加密设备的状态信息进行查看；进一步地，所述管理系统用于对资产的信息采集、分类和管理以及对资产所关联的加密设备和密钥管理设备进行管控，密钥管理设备和加密设备的配置信息进行管理以及密钥管理设备和加密设备的组策略进行配置；进一步地，所述资产管理模块包括资产信息采集单元、资产信息管理单元、责任人信息管理单元和资产拓扑管理单元；进一步地，所述资产信息采集单元用于配合管理员完成资产数据的采集录入，以及资产模型的建立，所述资产数据的采集录入包括自动采集和人工录入；进一步地，所述资产信息管理单元用于协助管理员完成资产信息显示、根据不同属性实现资产查询、资产信息修改和资产删除；进一步地，所述责任人信息管理单元用于资产的责任人信息的建立、维护、管理工作，所述责任人为需要对资产负责的管理人员；进一步地，所述资产拓扑管理单元用于采集建立资产网络拓扑图和定期维护资产网络拓扑图信息，并对资产拓扑图进行实时展示和资产拓扑交互管理；进一步地，所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元，其中；组信息管理单元，所述组信息管理单元用于协助管理员获取组加密网络中资产的密钥管理设备的参数；组成员信息管理单元，所述组成员信息管理单元用于协助管理员以组成员的角度对资产的加密设备的信息进行获取；进一步地，所述组策略管理单元用于对密钥管理系统中的密钥管理中心下达组策略指令，密钥管理中心执行组策略的同时将组策略指令下发给指定的组成员，从而使得密码系统根据网络管理员的指令完成密码系统组织结构或者密码参数更新的任务，所述组成员即加密设备；进一步地，所述密码设备状态监控单元用于监控密钥管理中心和组成员的运行状态；本专利技术的有益效果如下:1)通过资产管理模块和配置管理模块对资产及资产所关联的加密设备和密钥管理设备进行安全保护；2)资产数据收入包括自动和人工两种方式，信息更加完整周全，同时效率也有提高；3)基于GDOI(GroupDomainofInterpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型，整网协商机制(GroupSA)，使用GroupSA加解密节点间的流量，为任意节点IP提供了安全通信。附图说明图1为本专利技术所述的互联网络的网络拓扑结构。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细描述。应当理解，此处所描述的具体实施例仅仅用于解释本专利技术，并不用于限定本专利技术。相反，本专利技术涵盖任何由权利要求定义的在本专利技术的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本专利技术有更好的了解，在下文对本专利技术的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本专利技术。下面结合附图和具体实施例对本专利技术作进一步说明，但不作为对本专利技术的限定。下面为本专利技术的举出最佳实施例：如图1所示，本专利技术提供一种基于GDOI协议下大规模网络管理系统，所述管理系统包括资产管理模块和配置管理模块。资产管理模块，所述资产管理模块主要实现对信息资产的描述和定义，并结合组织的基本情况进行资产的分类和登记，资产管理是管理系统的核心之一，是开展其他一切安全运维管理工作的基础，所述资产管理模块包括资产信息采集单元、资产信息管理单元、责任人信息管理单元、资产拓扑管理单元，所述资产信息采集单元用于配合管理员完成资产数据的采集录入，以及资产模型的建立，包括自动采集方式和人员录入方式，所述资产信息管理单元用于协助管理员完成资产信息显示、根据不同属性实现资产查询、资产信息修改、资产删除管理工作，所述责任人信息管理单元用以对资产责任人信息进行建立、维护和管理工作，责任人主要指需要对资产负责的管理人员，所述资产拓扑管理单元用于完成资产网络拓扑图信息的采集建立、定期维护、资产拓扑图的实时展示、资产拓扑交互管理工作。配置管理模块，所述配置管理模块用于对资产的功能配置和功能信息进行设定，所述配置管理模块协助网络管理员完成骨干加密通信网络的信息关键监控、加密网络关键设备的管理、关键密码参数(加密算法和参数)的维护、组密码策略的制定、下发、取消管理工作，所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元，所述组信息管理单元用于协助管理员获取组加密网络中全体或者部分加密组参数的详细情况。所述组成员信息管理单元主要协助管理员以组成员的角度完成对应关键信息的获取和了解。所述组策略管理单元协助网本文档来自技高网...

【技术保护点】
一种基于GDOI协议下大规模网络管理系统，其特征在于，所述管理系统包括资产管理模块和配置管理模块，所述资产管理模块连接配置管理模块,所述资产管理模块和配置管理模块均为服务器设备，所述服务器设备包括X86架构主板、存储组件、网卡和电源。

【技术特征摘要】
1.一种基于GDOI协议下大规模网络管理系统，其特征在于，所述管理系统包括资产管理模块和配置管理模块，所述资产管理模块连接配置管理模块,所述资产管理模块和配置管理模块均为服务器设备，所述服务器设备包括X86架构主板、存储组件、网卡和电源。2.根据权利要求1所述的管理系统，其特征在于，所述资产管理模块包括资产信息采集单元、资产信息管理单元、责任人信息管理单元和资产拓扑管理单元。3.根据权利要求2所述的管理系统，其特征在于，所述资产信息采集单元用于配合管...

【专利技术属性】
技术研发人员：朱云，李元骅，张晓囡，
申请(专利权)人：北京数盾信息科技有限公司，
类型：新型
国别省市：北京;11