本发明专利技术公开了一种分布式网络安全监管协议。该协议在发送消息时,将要发送的有关信息传递给调度器,消息处理器准备好消息的头部字段以及原始的载荷字段部分,并调用安全子系统,安全子系统对消息进行加密和鉴别处理,将加密和鉴别参数返给消息处理子系统,消息处理子系统准备好消息发送给调度器,调度器将准备好的发送消息映射到传输映射组件进行发送;当接收消息时,传输映射组件将接收到的消息和地址信息传递给调度器,调度器调用消息处理器对消息进行分析,恢复出不同的字段,消息处理器调用安全处理子系统对鉴别信息进行验证,对加密的信息进行解密操作,消息处理器将恢复后的消息返回给调度器,调度器传递给需要接收该消息的应用。
【技术实现步骤摘要】
一种分布式网络安全监管协议
本专利技术涉及一种分布式网络安全监管协议,用于实现具有紧耦合结构的安全管理平台,属于信息安全
技术介绍
我国电子政务、电子商务和军队信息化建设如火似荼。各部门对信息安全防护的要求越来越高。原有的单一的、朴素的信息安全防护理念,如依靠某一种信息安全机制包打天下,或通过几种信息安全产品的各自为战或简单堆砌来应对复杂的、动态的、多维的网络安全威胁,早已不适应信息安全日益增长的客观要求。但在事实上这种现象却十分严重。用户在部署网络系统安全防护体系时往往一味对安全产品进行堆砌。由于不同产品之间存在防护盲区,无法有机管理和协同,极大的增大了管理成本和管理负担,同时还给网络系统引入了新的安全隐患。如果能够在一个统一的管理平台上实现对不同安全产品和设备的统一管理和部署,在一个整体的控制和调度框架下有机协同不同产品进行共同防护,将会在极大的降低安全管理成本的同时大大提高安全防护机制的强度。这也正是市场和应用对网络安全综合管理平台的迫切需求。但是,网络安全综合管理平台需要有机集成和控制分布式环境中应用的各安全子系统的功能而非仅仅简单的堆砌,必须有一个统一、有效的技术系统框架和底层通信机制,同时必须保证平台内部控制、通信的高度安全性,防止监控平台的部署为网络引入新的安全隐患。这就必须从系统架构和产品引擎的层次对不同安全产品和系统进行耦合、协同和管理,我们称这类在产品架构和系统引擎级进行深度耦合的管理平台为紧耦合结构安全管理平台。为实现上述的紧耦合结构安全管理平台,仍然存在一系列技术问题需要解决。
技术实现思路
本专利技术的目的是提供一种在分布式环境中统一安全管理和监控系统的安全协议,该协议可以用于实现具有紧耦合结构的安全管理平台。为实现上述目的,本专利技术采用下述的技术方案:一种分布式网络安全监管协议,应用于具有监控中心和多数个监控-->子系统的分布式网络中,监控中心控制各监控子系统的协调,监控中心和监控子系统都包括调度器、消息处理子系统、安全子系统、监控信息更新/获取子系统、上层应用和传输映射组件,其特征在于:1)发送消息时,应用将要发送的消息类型、消息载荷和目标系统的编码DstSysID传递给调度器,调度器请求消息处理子系统准备一条消息,消息处理器准备好消息的除加密、鉴别参数外的头部字段以及原始的载荷body字段部分,并调用安全子系统,安全子系统根据消息处理器传来的消息相关字段对消息进行加密和鉴别处理,将加密和鉴别参数返给消息处理子系统,消息处理子系统准备好消息发送给调度器,调度器将准备好的发送消息映射到传输映射组件进行发送;2)当接收消息时,传输映射组件将接收到的消息和地址信息传递给调度器,调度器调用消息处理器对消息进行分析,恢复出不同的字段,消息处理器调用安全处理子系统对鉴别信息进行验证,对加密的信息进行解密操作,消息处理器将恢复后的消息返回给调度器,调度器传递给需要接收该消息的应用。该安全处理子系统根据消息处理器传来的消息头部的标识Flags字段中的加密标识privateFlag和授权标识authFlag标识位的设置情况对消息进行加密和鉴别处理。该安全处理子系统进一步填充授权参数AuthParam和加密参数PrivateParam字段,然后将准备好的消息返回给消息处理子系统。该消息类型包括至少三字段,第一字段对监控中心与不同子系统间的数据传输类型进行编码,第二字段对监控中心向子系统发出的控制消息进行编码,第三字段用于表示系统间的确认消息。监控中心对不同的子系统进行统一编码,在运行期间维护子系统的编码表,由传输映射组件完成系统编码到实际通讯地址的映射。该监控中心维护一张运行时各监控子系统信息链表,该各监控子系统信息链表保存了每个子系统的系统编码、网络地址、监听端口、系统类型。该监控中心监听子系统的连接请求,将发出连接请求的子系统加入链表。该监控中心接收到子系统的注册消息,为该子系统产生唯一的系统编码,并用确认消息将该系统编码发回该子系统。该监控子系统收到确认消息后,判断是否是注册确认消息,如果是,则-->用全局变量记录系统编码的值,在后续通信中使用该系统编码;判断不是注册确认消息,则解析该消息并进行处理。该监控中心响应应用层的控制命令,判断是否是文件传输命令,如果是,则与特定的监控子系统建立一个新的连接并向监控子系统发出连接请求和文件请求;如果不是文件传输命令,则在监控子系统注册时已经建立的连接上向监控子系统发送相应的消息。本专利技术所提供的分布式网络安全监管协议可以提供足够的安全性服务,确保内部控制指令和监控数据的传输安全,保证平台的整体安全,避免引入安全隐患,同时还可以保证通信信息传输的可靠性。附图说明下面结合附图和具体实施方式对本专利技术作进一步的说明。图1为本专利技术所述的分布式网络安全监管协议的逻辑结构框图。图2为本专利技术所述的分布式网络安全监管协议的内部服务示意图。图3为使用本分布式网络安全监管协议的网络安全综合管理平台的运行流程示意图。具体实施方式参考图1,本专利技术公开了一种用于分布式环境中网络安全综合管理平台的的安全协议。网络安全综合管理平台需要有机集成和控制分布式环境中应用的各安全子系统。网络安全综合管理平台包括监控中心和多数个监控子系统。监控中心通过底层通信机制与多数个监控子系统联系,由监控中心协调对各监控子系统的控制。监控中心和监控子系统都包括调度器、消息处理子系统、安全子系统、监控信息更新/获取子系统、上层应用和传输映射等主要组件。不同组件间通过服务原语提供的通信服务支持,共同完成平台的整体通信任务。下面提供的是消息格式举例。-->消息包括头标和载荷(Message Body)两部分,其中消息头标包括协议版本号(Version)、消息序号(ID)、消息类型(Type)、标识(Flags)、确认消息序号(AckID)、载荷长度(BodyLength)、源系统编码(SrcSysID)、目标系统编码(DstSysID)、授权标识(authenFlag)和加密标识(privateFlag)。本实施例中,标识(Flags)为8字节长字段,其中高5位保留未用,低3位从高到低依次是需确认位(needAck)、授权标识(authenFlag)、加密标识(privateFlag)。需确认位(needAck)置1表示该消息需要确认,如果没有收到确认需要重传;authenFlag置1表示消息需要鉴别,12字节的鉴别码放在AuthParam字段中;privateFlag置1表示消息体需要加密,此时8字节的salt值需要放到PrivateParam字段中。系统规定不允许出现authenFlag=0同时privateFlag=1的情况。Salt值是现有DES算法中CRYPT()函数的一个位字串,能影响加密的暗码,进一步排除预计算攻击的可能性。传递消息的类型(Type),直接决定了message body中的数据格式和消息的语义。为保证可扩展性,将消息类型编码定为32位,高16位保留未用。低16位分为4个字段,每4位一个字段,分别代表不同的消息类型含义。为便于描述,四个字段从低位到高位依次称为第一字段、第二字段、第三字段和第四字段。 保留位 第四字段 第三字段 第二字段 第一字段 本文档来自技高网...
【技术保护点】
一种分布式网络安全监管协议,应用于具有监控中心和多数个监控子系统的分布式网络中,监控中心控制各监控子系统的协调,监控中心和监控子系统都包括调度器、消息处理子系统、安全子系统、监控信息更新/获取子系统、上层应用和传输映射组件,其特征在于: 1)发送消息时,应用将要发送的消息类型、消息载荷和目标系统的编码传递给调度器,调度器请求消息处理子系统准备一条消息,消息处理器准备好消息的除加密、鉴别参数外的头部字段以及原始的载荷body字段部分,并调用安全子系统,安全子系统根据消息处 理器传来的消息相关字段对消息进行加密和鉴别处理,将加密和鉴别参数返给消息处理子系统,消息处理子系统准备好消息发送给调度器,所述调度器将准备好的发送消息映射到传输映射组件进行发送;2)当接收消息时,传输映射组件将接收到的消息和地址信息 传递给调度器,调度器调用消息处理器对消息进行分析,恢复出不同的字段,消息处理器调用安全处理子系统对鉴别信息进行验证,对加密的信息进行解密操作,消息处理器将恢复后的消息返回给调度器,调度器传递给需要接收该消息的应用。
【技术特征摘要】
CN 2004-10-29 20041000973571.一种分布式网络安全监管协议,应用于具有监控中心和多数个监控子系统的分布式网络中,监控中心控制各监控子系统的协调,监控中心和监控子系统都包括调度器、消息处理子系统、安全子系统、监控信息更新/获取子系统、上层应用和传输映射组件,其特征在于:1)发送消息时,应用将要发送的消息类型、消息载荷和目标系统的编码传递给调度器,调度器请求消息处理子系统准备一条消息,消息处理器准备好消息的除加密、鉴别参数外的头部字段以及原始的载荷body字段部分,并调用安全子系统,安全子系统根据消息处理器传来的消息相关字段对消息进行加密和鉴别处理,将加密和鉴别参数返给消息处理子系统,消息处理子系统准备好消息发送给调度器,所述调度器将准备好的发送消息映射到传输映射组件进行发送;2)当接收消息时,传输映射组件将接收到的消息和地址信息传递给调度器,调度器调用消息处理器对消息进行分析,恢复出不同的字段,消息处理器调用安全处理子系统对鉴别信息进行验证,对加密的信息进行解密操作,消息处理器将恢复后的消息返回给调度器,调度器传递给需要接收该消息的应用。2.如权利要求1所述的分布式网络安全监管协议,其特征在于:该安全处理子系统根据消息处理器传来的消息头部的标识字段中的加密标识和授权标识标识位的设置情况对消息进行加密和鉴别处理。3.如权利要求2所述的分布式网络安全监管协议,其特征在于:该安全处理子系统进一步填充授权参数和加密参数字段,然后将准备好的消息返回给消息处理子系统。4.如...
【专利技术属性】
技术研发人员:怀进鹏,刘利军,张文燚,刘旭东,刘庆云,杨超峰,张玉东,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。