一种可重构网络安全服务构造方法技术

一种可重构网络安全服务构造方法，它有两大步骤：步骤一：安全基片配置阶段：建立安全策略库；步骤二：安全服务构建阶段：它包含确定安全需求、制定安全方案、确定安全服务路径、构建安全元能力和安全服务实时调整五个部分。本发明专利技术将安全服务的构建过程设计为动态调整的迭代过程，满足了可重构基础网络差异化业务、多级安全需求、动态结构重组和安全功能动态重构的性能需求，并将安全基片作为功能基础，具有内嵌于可同构基础网络体系结构中的特性。

【技术实现步骤摘要】
-种可重构网络安全服务构造方法
本专利技术涉及，尤其以可重构网络安全基片为功 能基础的安全服务动态构造方法，属于下一代互联网设计
。
技术介绍
在下一代互联网设计的研究中，人们主要集中在网络的灵活扩展性、安全性、可控 性等方面的问题，已解决现有互联网体系网络结构僵化、安全性问题突出的问题。可重构网 络指具备在业务需求变化时，根据重构目标在网络中引入或移除构件和功能实体，并对其 进行相应的配置以在一定资源消耗条件下达到重构目标能力的网络 安全可管可控是可重构基础网络的重要设计目标，可重构网络的安全可管可控直 接受制于网络内在功能和结构要素，必须在网络体系结构中内嵌网络安全与管控机制。 在上述研究背景下，为了实现网络安全管控能力的内嵌，基于网络重构技术构建 具有多级安全强度的安全基片结构，并基于安全基片构造可重构网络安全服务，在此基础 上为上层应用提供机密性、完整性、抗抵赖性、鉴别、访问控制服务，同时实现面向网络行为 和业务内容的追踪溯源。 本专利技术涉及安全基片，安全元能力，安全元服务，安全服务链，安全服务路径、可重 构技术等概念。 定义1安全基片

【技术保护点】
一种可重构网络安全服务构造方法，其特征在于：该方法具体步骤如下：步骤一：安全基片配置阶段：建立安全策略库，安全策略即Security Policy是指在一个特定的安全区域内，为保证提供一定级别的安全保护所必须遵守的一套规则，安全策略形成安全策略库即Security Policy Library，安全策略库是实现可重构网络安全服务动态可重构的决策功能的核心，为多级安全等级安全服务的动态构建过程中的各个环节提供决策依据；安全策略库包含以下几个方面的规则：(1)业务类型与具体安全需求的映射规则(2)安全需求到安全服务等级的映射规则(3)安全服务等级与具体安全技术及其配置的映射规则(4)安全服务动态调整策略(5)可重构网络管控策略安全策略库具备动态更新和扩展的能力，针对新出现的业务类型扩展安全策略库中新业务所对应的安全需求；随着时间和安全技术演进，更新安全服务等级与具体安全技术及其配置的映射规则；添加、调整和升级管控策略；步骤二：安全服务构建阶段：可重构基础网络中的安全服务必须是动态可重构的，这是因为网络承载的安全业务的安全需求以及网络的安全态势和网络资源都是动态变化的，因此安全服务整个的构建过程是一个动态调整的迭代过程；步骤1：确定安全需求为了实现针对上层安全业务提供充分且适度的安全服务，首先需要准确描述安全业务的安全需求，业务安全需求由网络智能感知和业务需求驱动共同确定；对上层业务安全需求和网络安全态势的智能感知是可重构网络的一项特性，是实现安全服务可重构、资源自配置、能力自调整的前提，包括业务类型分析和网络安全态势分析，业务类型通过协议解析、数据流量分析获得；在网络智能感知的基础上，业务需求驱动同样重要，从用户角度判断用户信息资产的“价值”，由用户主动定制对数据机密性、完整性和隐私保护的安全需求会更加准确，业务需求信息通过数据包头部中的标志位确定；步骤2：制定安全方案基于具体业务安全需求和当前网络安全态势，根据网络安全策略库，决定提供何种安全服务以及该安全服务的安全等级级别，进而确定所需要的具体安全机制和安全技术；选择哪些安全服务以及各安全服务的强度级别需要综合考虑业务的安全需求和当前网络安全态势，即所确定的安全方案需要在应对当前网络安全威胁的基础上满足业务安全需求；针对业务相同的安全需求，如果当前网络面临的安全风险较大，则需选择更高安全等级级别的安全服务；反之，则适度选择较低安全等级级别的安全服务，节约网络资源；网络安全策略库中需建立安全服务的安全等级分级机制，参考信息系统等级保护机制，但有许多不同点，信息系统等级保护从全面保护系统的角度进行分级，而安全服务的安全等级分级需要针对某一具体安全属性的满足程度进行划分，更加细化和具体；通过安全策略库中建立的安全技术评估推荐机制，在确定需提供的安全服务及其安全等级后，通过评估推荐机制确定需要采取的安全技术及其具体配置的所有相关信息；步骤3：确定安全服务路径根据安全方案的具体要求，结合路由策略、网络节点安全基片状态和可用资源信息综合决策，确定提供安全服务的安全服务路径，确定安全服务路径经过的所有节点及需要其提供的安全服务；安全方案中规定了构建安全服务所必需的安全技术及其具体配置，接下来需要确定由哪些节点来提供这些安全服务，这个过程理解为是在对网络节点可提供的安全元能力和可用资源即计算资源、存储资源、带宽资源进行认知、分析的基础上，综合考虑数据包转发可达性以及网络节点行为的信任值约束条件的路由建立过程；安全服务路径的确定需要形成网络和网络节点资源的实时认知，形成资源视图，资源视图要能反映网络静态资源和动态资源的全貌，网络节点现有安全基片所能提供的安全元服务以及利用现有资源重构后可提供的安全元服务；步骤4：构建安全元能力安全服务路径经过的所有节点根据安全方案重构安全基片，构建安全元服务进而构建安全服务链，建立安全服务路径；确定某网络节点是安全服务路径中的节点，则开始根据该节点的实时资源使用情况进行安全元服务的重构，重构分为以下几种情况：1)具备所需安全元能力，则直接构建安全服务链；2)目前不具备所需安全元能力，但通过重构具备该元能力且可用资源满足实现重构的条件，执行安全元能力的重构过程，进而构建安全服务链；3)目前不具备所需安全元能力，虽然通过重构具备该元能力但目前节点资源不满足实现的条件，则通过网络级的重构，释放该节点部分资源以满足重构条件，执行安全元能力的重构过程，进而构建安全服务链；步骤5：安全服务实时调整完成安全服务的构建过程，网络开始承载安全业务，实时监测安全业务的运行情况，根据出现的网络环境和用户安全需求的变化，动态调整安全方案，重构安全服务；考虑到可重构网络的动态特征，在安全业务执行过程中，可能出现网络拓扑的动态变化、安全态势的动态变化、网络资源的动态变化，需要对这些变化进行...

【技术特征摘要】
1. 一种可重构网络安全服务构造方法，其特征在于：该方法具体步骤如下： 步骤一：安全基片配置阶段： 建立安全策略库，安全策略即Security Policy是指在一个特定的安全区域内，为保 证提供一定级别的安全保护所必须遵守的一套规则，安全策略形成安全策略库即Security Policy Library,安全策略库是实现可重构网络安全服务动态可重构的决策功能的核心， 为多级安全等级安全服务的动态构建过程中的各个环节提供决策依据；安全策略库包含以 下几个方面的规则： (1) 业务类型与具体安全需求的映射规则 (2) 安全需求到安全服务等级的映射规则 (3) 安全服务等级与具体安全技术及其配置的映射规则 (4) 安全服务动态调整策略 (5) 可重构网络管控策略 安全策略库具备动态更新和扩展的能力，针对新出现的业务类型扩展安全策略库中新 业务所对应的安全需求；随着时间和安全技术演进，更新安全服务等级与具体安全技术及 其配置的映射规则；添加、调整和升级管控策略； 步骤二：安全服务构建阶段： 可重构基础网络中的安全服务必须是动态可重构的，这是因为网络承载的安全业务的 安全需求以及网络的安全态势和网络资源都是动态变化的，因此安全服务整个的构建过程 是一个动态调整的迭代过程； 步骤1 :确定安全需求 为了实现针对上层安全业务提供充分且适度的安全服务，首先需要准确描述安全业 务的安全需求，业务安全需求由网络智能感知和业务需求驱动共同确定；对上层业务安全 需求和网络安全态势的智能感知是可重构网络的一项特性，是实现安全服务可重构、资源 自配置、能力自调整的前提，包括业务类型分析和网络安全态势分析，业务类型通过协议解 析、数据流量分析获得；在网络智能感知的基础上，业务需求驱动同样重要，从用户角度判 断用户信息资产的价值，由用户主动定制对数据机密性、完整性和隐私保护的安全需求 会更加准确，业务需求信息通过数据包头部中的标志位确定； 步骤2 :制定安全方案 基于具体业务安全需求和当前网络安全态势，根据网络安全策略库，决定提供何种安 全服务以及该安全服务的安全等级级别，进而确定所需要的具体安全机制和安全技术；选 择哪些安全服务以及各安全服务的强度级别需要综合考虑业务的安全需求和当前网络安 全态势，即所确定的安全方案需要在应对当前网络安全威胁的基础上满足业务安全需求； 针对业务相同的安全需求，如果当前网络面临的安全风险较大，则需选择更高安全等级级 别的安全服务；反之，则适度选择较低安全等级级别的安全服务...

【专利技术属性】
技术研发人员：刘建伟，陈杰，毛剑，王蒙蒙，何双羽，刘哲，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：北京;11