【技术实现步骤摘要】
一种多域协同的安全策略智能生成方法
本专利技术涉及网络安全
,尤其是一种多域协同的安全策略智能生成方法。
技术介绍
由于机动环境网络信息系统一般需要广域、分散部署,且通信信道存在高动态、强对抗、弱连接等诸多特点,同时基于任务要求需要实现多区域动态组网和协同工作,但目前繁琐、低效的人工配置安全策略流程不但需要在机动环境配置大量的安全管理人员,而且极大的增加了网络信息系统的开设部署和动态重构的时间,一直是制约机动网络安全系统发展的瓶颈问题之一。目前,在网络安全策略智能生成研究方向,付钰等人提出了“一种基于网络攻防图生成算法”,该方法需要较长的时间,并需要较大的网络带宽资源对整个区域的网络运行和脆弱性信息进行多源融合处理,且只能生成网络攻防图,而无法自动生成安全策略;唐成华等人提出了“基于异构的网络安全策略自适应发布”机制,该方法只说明了分布式异构网络安全策略的发布和通告机制,未涉及异构网络安全策略的自动生成和自动部署机制。
技术实现思路
本专利技术所要解决的技术问题是:针对上述存在的问题,提供一...
【技术保护点】
1.一种多域协同的安全策略智能生成方法,其特征在于,包括如下步骤:/n步骤1、域内资产可信注册机制:域控制节点会基于自身的ID号生成公私钥对;域内某一资产首次入网时,将基于资产的ID号生成公私钥对,之后将资产的共钥信息上报给域控制节点,并获取域控制节点的共钥信息;/n步骤2、域内资产可信感知机制:域内某一资产或者相关信息发生变化时,利用自身的公私钥对向本域的域控制节点进行资产认证注册,并向域控制节点上报资产属性信息以及资产序列号;/n步骤3、单域外部资产信息链生成机制:域控制节点将需要参与域间交换的资产属性信息、资产序列号以及整体摘要信息组合形成单域外部资产信息链;若域内某...
【技术特征摘要】
1.一种多域协同的安全策略智能生成方法,其特征在于,包括如下步骤:
步骤1、域内资产可信注册机制:域控制节点会基于自身的ID号生成公私钥对;域内某一资产首次入网时,将基于资产的ID号生成公私钥对,之后将资产的共钥信息上报给域控制节点,并获取域控制节点的共钥信息;
步骤2、域内资产可信感知机制:域内某一资产或者相关信息发生变化时,利用自身的公私钥对向本域的域控制节点进行资产认证注册,并向域控制节点上报资产属性信息以及资产序列号;
步骤3、单域外部资产信息链生成机制:域控制节点将需要参与域间交换的资产属性信息、资产序列号以及整体摘要信息组合形成单域外部资产信息链;若域内某一资产信息发生变化,则需要更新单域外部资产信息链;
步骤4、单域外部资产信息链通告机制:域控制节点利用自身私钥生成单域外部资产信息链通告信息,之后采用网络组播方式向全网的其他域控制节点进行通告,其他域控制节点收到该通告信息后进行效验,若通过则更新相应信息;
步骤5、域间联盟资产信息链发布机制:当多个域动态组网、协同工作时,多个域控制节点通过协商的方式选举某一域控制节点作为域间联盟权威节点,域间联盟权威节点负责记账,形成针对某一时刻的域间联盟资产信息链,并通过组播方式通告其他域控制节点,当其他各个域控制节点若均对该域间联盟资产信息链实现一致性认可,则各个分布式节点的资产信息已达成共识,可进行后续动作;若不认可,则要求相应的域控制节点实施单域外部资产信息链通告机制;
步骤6、域间联盟资产信息链更新机制:包括资产更变和新域入网两种情况;
(1)资产更变:域间联盟资产信息链在各个分布式节点达成共识后,域间联盟权威节点只需定期向各个域控制节点通告域间联盟资产信息链对应的资产序列号以及信任链摘要信息,其他各个域控制节点存储的摘要信息和单域外部资产信息链摘要信息吻合,则继续沿用,若不吻合,进一步比对资产序列号,并要求相应的域控制节点立即实施单域外部资产信息链通告机制;
(2)新域入网:新入网的域控制节点发现无本联盟资产序列号,立即实施单域外部资产信息链通告机制,域间联盟权威节点重新构建域间联盟资产信息链,并通过组播方式通告他域控制节点,待其他各个域控制节点若均对该域间联盟资产信息链实现一致性认可后,直接定向给新入网的域控制节点推送整个域间联盟资产信息链;
步骤7、安全策略智能生成机制:当各个分布式节点的资产信息已达成共识,各个域控制控制节点基于本域最新域间联盟资产信息链转化为域间联盟的资产信息矩阵,基于统一的安全策略语法转换和安全策略增量翻译技术,在域控制节点生成适用于本域的网络安全策略。
2.根据权利要求1所述的多域协同的安全策略智能生成方法,其特征在于,步骤2包括如下子步骤:
步骤2.1,当资产首次入网时,向本域的域控制节点进行资产注册,首先生成随机数发送给域控制节点,然后由域控制节点返回给设备一个挑战信息;
步骤2.2,将资产的IP地址、端口以及协议整合成该资产的属性信息和序列号,结合返回的挑战信息,生成资产注册信息,计算资产注册信息的摘要,利用ECC的组合公钥算法计算出其公钥PubA对身份信息和摘要进行加密,生成认证消息,向域内控制节点发送资产注册消息;
步骤2.3,域控制节点利用自己的私钥解密资产注册消息,获得资产注册信息的摘要,并计算资产注册信息的摘要,然后通过将此处计算出的摘要与步骤2.2计算的资产注册信息的摘要比较,若相等则说明未被篡改,否则丢弃返回;
步骤2.4,若成功,则对比资产序列号是否为最新值,若是则更新该资产信息。
3.根据权利要求1所述的多域协同的安全策略智能生成方法,其特征在于,步骤3包括如下子步骤:
步骤3.1,域控制节点完成对某一资产的注册认证后,在本地存储该资产信息,包括资产属性信息和资产序列号;
步骤3.2,域控制节点基于本域内存储的资产信息,构建本域的资产属性信息列表和资产序列号列表;
步骤3.3,针对某一时刻i,域控制节点将需要参与域间交换的资产信息构建单域外部资产属性信息列表和单域外部资产序列号列表;
步骤3.4,域控制节点计算单域外部资产属性信息列表和单域外部资产序列号列表的摘要,并形成单域外部资产信息链;
步骤3.5,若域内某一资产信息发生变化,则该资产需要重新发起资产注册认证流程,并变更资产序列号,域控制节点通过重新计算域内资产属性信息列表和域内资产序列号列表的摘要,形成新的单域外部资产信息链。
4.根据权利要求1所述的多域协同的安全策略智能生成方法,其特征在于,步骤4包括如下子步骤:
步骤4.1,域控制节点利用节点私钥对单域外部资产信息链进行加密,生成单域外部资产信息链通告信息,采用网络组播方式通告全网其他域控制节点;
步骤4.2,其他域控制节点接收到该单域外部资产信息链通告信息,采用相应的共钥PUBA对其进行解密,并计算解密结果的资产注册信息摘要,然后将其与步骤4.1中相关摘要比较,若相等则说明未被篡改,否则丢弃;
步骤4.3,若未被篡改,则对比资产信息序列号是否为最新值,若是,则其他域控制节点更新本地存储的资产信息,包括资产属性信息列表、资产序列号列表及其摘要信息;否则丢弃。
5.根据权利要求1所述的多域协同的安全策略智能生成方法,其特征在于,步...
【专利技术属性】
技术研发人员:卿昱,万抒,伍荣,王邦礼,余兴华,康建平,杜璋,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。