【技术实现步骤摘要】
一种基于全要素网络标识的可信安全网关实现方法
[0001]本专利技术涉及网络安全
,更具体地说,涉及一种基于全要素网络标识的可信安全网关实现方法。
技术介绍
[0002]在当今信息社会的时代,保护信息的私密性、完整性、真实性和可靠性,提供一个可信赖的计算环境已经成为信息化的必然要求。
[0003]为此,必须做到终端接入可信,从源头解决人与程序、人与机器还有人与人之间的信息安全传递,进而形成一个可信的网络,解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。当前,在交通、政务、能源、金融、通信等重要行业和领域,关键信息基础设施融入其中、控制其内,直接关系到国家命脉,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害公共利益。
[0004]针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战,提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系,建立风险可控“天网恢恢、疏而不漏”式主动安全体系,建立网络空间“风险可控、主动防御”的安全技术方法和系统,是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。
[0005]在现代网络边界“逐步模糊与消失”安全体系结构下,需要解决安全问题是资源共享和业务协作理论为突破方向,并制定出符合要求的可信模型。
[0006]在互联网与物联网中,由于信息安全的隐患源于多个方面,在对陌生方建立信任所依赖的访问控制策略中,都可能泄露交互主体的敏感信息,在基于 ...
【技术保护点】
【技术特征摘要】
1.一种基于全要素网络标识的可信安全网关实现方法,其特征在于,包括:对网络身份标识进行管控;建立矩阵式全流量检测引擎;对业务工作流进行可信管控;对微服务进行强隔离。2.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述对网络身份标识进行管控,包括:建立全要素网络身份标识;建立认证操作链,定义多种认证序列,并基于角色授权框架的基础上,结合上下文感知信息构建业务访问权限以实施自适应的访问控制;设置统一登录平台,并制定网络访问策略;通过网络监测和信任评估,实时评估访问主体当前的信任状态。3.根据权利要求2所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述设置统一登录平台,并制定网络访问策略,包括:设置访问控制接口,从而与外部权限管理服务器共同实现访问控制功能;设置安全审计接口,从而与外部安全审计服务器共同实现安全审计功能;判断客户端证书是否作废;获取客户端证书的属性,并将客户端证书的属性提交给服务器以进行处理;为生成站点私钥文件和为生成站点证书提供请求文件,从而为认证网关提供站点私钥文件和站点证书;进行用户身份确认,并接受网络信任域管理中心的统一管理,从而保证合法用户可以在全网范围内自由通行;为责任认定提供用户上网状态信息,提供用户跨网、跨域访问的行为记录,从而支持责任认定的全网化;通过责任认定后,将访问请求放行,并路由到目的地;提供用户终端到可信安全网关的加密传输服务,从而确保信息传输的安全性。4.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述建立矩阵式全流量检测引擎,包括:基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎;基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈;基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。5.根据权利要求4所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎,包括:划分空闲缓冲区队列和已使用缓冲区队列,并保存缓冲区数据单元指针的指针列表;当捕获一个数据包之前,从空闲缓冲区队列的头部取下一个空的存储单元,并将从网卡读入的数据拷贝到所述存储单元以后,捕包程序将缓冲单元挂到已使用缓冲队列的尾部;从已使用缓冲队列的头部取下一个数据单元进行消费,消费完成以后,直接将所述数
据单元挂到待发送缓冲区队列;所述基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈,包括:通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理,并通过一个发送单元收集器完成数据单元的发送;同时,将发送单元收集器占用的数据单元返回给空闲存储单元队列中,让捕包系统重复利用这些单元;每一个内容分析任务,均设有一个私有的协议栈状态表和两个数据队列索引,其中,协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候,用来保存上下文信息和暂存数据使用,而两个数据队列索引则分别用来存储待分析的数据块和...
【专利技术属性】
技术研发人员:戚建淮,徐国前,崔宸,唐娟,汪乔,
申请(专利权)人:深圳市永达电子信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。