密码定义网络安全体系构建方法、体系架构及数据转发方法技术

本发明专利技术属于网络安全技术领域，特别涉及一种密码定义网络安全体系构建方法、体系架构及数据转发方法，通过建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；为每个实体分配用于表示身份ID数据的实体标识；根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。本发明专利技术依托密码技术并基于实体标识对网络设备资源全局统一管理，针对不同业务流、数据流采用配套的场景化、多样化的安全策略，保障通信数据机密性、完整性，满足网络动态变化应用的安全需求。化应用的安全需求。化应用的安全需求。

【技术实现步骤摘要】
密码定义网络安全体系构建方法、体系架构及数据转发方法


[0001]本专利技术属于网络安全
，特别涉及一种密码定义网络安全体系构建方法、体系架构及数据转发方法。

技术介绍

[0002]企业信息安全重要但一直是个难题，这是由于IT基础设施和应用程序架构的复杂性、用户访问的广度和速度，以及信息安全固有的对抗性决定的。传统的安全方法是采用基于边界防御技术，如在网络边界上部署防火墙、入侵检测系统、网络访问控制等，通常基于网络流量中五元组信息(源IP、目的IP、源端口、目的端口和协议)，安全规则不够丰富，并且不能基于网络上下文动态自适应，存在滞后风险；随着时间的推移，如入侵检测系统变得不那么有效，主要由于网络规模和复杂度的增长，采用基于云的资源部署，以及加密协议的使用增加。传统的安全方法对网络的访问控制提供了粗粒度的实现，只能将用户、网络和应用程序进行粗粒度的分离，访问者的权限模糊，往往授予了比实际需要更大的权限，这大大增加了网络内部横向攻击的风险；而采用在本地容器化或虚拟化环境中运行的动态的或短暂工作负载，以及远程用户访问的增加，传统的安全工具旨在保护更静态和确定性的IT基础设施，安全解决方案整体效率降低。

技术实现思路

[0003]为此，本专利技术提供一种密码定义网络安全体系构建方法、体系架构及数据转发方法，依托密码学技术并基于实体标识对网络设备和进行全局统一管理，能够针对不同业务流、数据流采用配套的场景化、多样化的安全策略，保障通信数据的机密性、完整性，实现通信安全要求。
[0004]按照本专利技术所提供的设计方案，一种密码定义网络安全体系构建方法，包含：
[0005]建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；并为每个实体分配用于表示身份ID数据的实体标识；
[0006]根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。
[0007]作为本专利技术密码定义网络安全体系构建方法，进一步地，所述实体至少包含如下类型：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，用于对同一控制域内的转发器和控制器进行注册管理的域管理器，用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。
[0008]作为本专利技术密码定义网络安全体系构建方法，进一步地，所述实体属性包含：实体
类型，用于描述实体名称、IP地址及证书凭证的逻辑属性，用于描述实体硬件配置和地理位置的物理属性，及用于描述实体所属控制子域的域属性。
[0009]作为本专利技术密码定义网络安全体系构建方法，进一步地，所述实体标识采用字节进行编码，其中，实体标识编码包含：隧道类型字段、网络分组标识字段、实体类型字段、实体编号字段、所属域管理器字段、所属控制器字段、实体内软设备编号字段及预留字节。
[0010]进一步地，本专利技术还提供一种密码定义网络安全体系架构，基于上述的方法实现，将网络中设备和资源进行切片，采用密码套件将网络划分为与业务数据流对应并通过密码隔离的若干控制子域，利用实体标识将各控制子域中的相关实体进行关联，并基于信道标识选取数据转发路径来进行流数据包的转发。
[0011]作为本专利技术密码定义网络安全体系架构，进一步地，网络中设备包含但不限于：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，及用于对同一控制域内的转发器和控制器进行注册管理的域管理器。
[0012]作为本专利技术密码定义网络安全体系架构，进一步地，网络中资源包含但不限于：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。
[0013]进一步地，本专利技术还提供一种密码定义网络安全体系数据转发方法，基于上述的体系架构实现，通过实体标识将网络中物理实体和逻辑实体关联，其中，物理实体包含：用于用户接入网络进行资源访问的用户设备、作为安全网关来执行安全策略的转发器、作为策略决策点来为转发器分发隧道策略的控制器、及用于对同一控制域内的转发器和控制器进行注册管理的域管理器，逻辑实体包含：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统，该转发过程包含如下内容：
[0014]转发器依据用户设备请求向控制器申请用于数据转发的安全策略；
[0015]控制器根据转发器发送的转发请求信息从身份管理系统中获取认证授权决策来确定转发器能否建立隧道连接，并从安全管理系统中获取用于创建转发器之间密码定义网络的安全策略，其中，转发请求信息包含：转发数据五元组、转发器和用户设备两者的实体标识及访问时间；
[0016]转发器依据安全策略建立基于信道标识的安全信道，基于信道标识对数据包进行加密转发。
[0017]作为本专利技术密码定义网络安全体系数据转发方法，进一步地，控制器使用转发请求信息访问身份管理系统，基于实体标识查找实体属性，并获取实体属性对应的安全等级，判断转发请求信息的转发行为合法性及是否符合安全等级要求，针对转发行为合法的情形授权按照安全等级转发；控制器使用转发请求信息和安全等级访问安全管理系统，并基于实体标识查找并获取通信连接信息及信道标识，并依据安全等级生成安全策略，所述安全策略包含但不限于：通信连接信息、信道标识、密码套件、密码交换算法及密码更新周期。
[0018]作为本专利技术密码定义网络安全体系数据转发方法，进一步地，安全信道流量中数据包通过携带信道标识来区分所处控制子域的密码定义网络，并依据安全策略执行反馈对密码定义网络生命周期进行维护。
[0019]本专利技术的有益效果：
[0020]本专利技术基于实体标识和安全策略等方式的组合实现密码定义边界，并建立可信网络链接，同一密钥分组内可以组成一个网络；网络访问受到加密协议的保护，保证通信内容的机密性、完整性；并且实现信道分离，不同的访问请求使用专属加密信道，能够满足用户远程的、多设备种类的、多场景及移动访问资源的需求；且在网络访问资源之前通过身份认证，确保授权后才能通过网络访问应用程序资源，从而使攻击者更难攻击；对设备自身安全持续可信跟踪，增强安全体系的整体安全，既保障信道的安全，也保本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密码定义网络安全体系构建方法，其特征在于，包含如下内容：建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；并为每个实体分配用于表示身份ID数据的实体标识；根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。2.根据权利要求1所述的密码定义网络安全体系构建方法，其特征在于，所述实体至少包含如下类型：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，用于对同一控制域内的转发器和控制器进行注册管理的域管理器，用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。3.根据权利要求1或2所述的密码定义网络安全体系构建方法，其特征在于，所述实体属性包含：实体类型，用于描述实体名称、IP地址及证书凭证的逻辑属性，用于描述实体硬件配置和地理位置的物理属性，及用于描述实体所属控制子域的域属性。4.根据权利要求3所述的密码定义网络安全体系构建方法，其特征在于，所述实体标识采用字节进行编码，其中，实体标识编码包含：隧道类型字段、网络分组标识字段、实体类型字段、实体编号字段、所属域管理器字段、所属控制器字段、实体内软设备编号字段及预留字节。5.一种密码定义网络安全体系架构，其特征在于，基于权利要求1所述的方法实现，将网络中设备和资源进行切片，采用密码套件将网络划分为与业务数据流对应并通过密码隔离的若干控制子域，利用实体标识将各控制子域中的相关实体进行关联，并基于信道标识选取数据转发路径来进行流数据包的转发。6.根据权利要求5所述的密码定义网络安全体系架构，其特征在于，网络中设备包含但不限于：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，及用于对同一控制域内的转发器和控制器进行注册管理的域管理器。7.根据权利要求5所述的密码定义网络安全体系架构，其特征在...

【专利技术属性】
技术研发人员：周伟，荆晓亮，袁喜凤，
申请(专利权)人：郑州信大信息技术研究院有限公司，
类型：发明
国别省市：