一种基于全要素网络标识的可信安全网关实现方法技术

本发明专利技术公开了一种基于全要素网络标识的可信安全网关实现方法，包括：对网络身份标识进行管控；建立矩阵式全流量检测引擎；对业务工作流进行可信管控；对微服务进行强隔离。对微服务进行强隔离。对微服务进行强隔离。

【技术实现步骤摘要】
一种基于全要素网络标识的可信安全网关实现方法


[0001]本专利技术涉及网络安全
，更具体地说，涉及一种基于全要素网络标识的可信安全网关实现方法。

技术介绍

[0002]在当今信息社会的时代，保护信息的私密性、完整性、真实性和可靠性，提供一个可信赖的计算环境已经成为信息化的必然要求。
[0003]为此，必须做到终端接入可信，从源头解决人与程序、人与机器还有人与人之间的信息安全传递，进而形成一个可信的网络，解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。当前，在交通、政务、能源、金融、通信等重要行业和领域，关键信息基础设施融入其中、控制其内，直接关系到国家命脉，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害公共利益。
[0004]针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战，提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系，建立风险可控“天网恢恢、疏而不漏”式主动安全体系，建立网络空间“风险可控、主动防御”的安全技术方法和系统，是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。
[0005]在现代网络边界“逐步模糊与消失”安全体系结构下，需要解决安全问题是资源共享和业务协作理论为突破方向，并制定出符合要求的可信模型。
[0006]在互联网与物联网中，由于信息安全的隐患源于多个方面，在对陌生方建立信任所依赖的访问控制策略中，都可能泄露交互主体的敏感信息，在基于服务为中心的计算环境中，服务间的信任关系常常是动态地建立、调整，需要协商的方式达成协作或资源访问的目的，通过策略的一致性保证系统和网络的稳定性。
[0007]安全策略是对有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。
[0008]访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法，访问控制(Access Control) 是国际标准化组织ISO在网络安全标准(ISO7498
‑
2)中定义的安全信息系统的基础架构中必须包含的五种安全服务之一，是指主体依据某些控制策略或权限对客体本身或资源进行不同授权访问。著名的经典访问控制模型包括：自主访问控制DAC、强制访问控制MAC和基 于角色的访问控制RBAC。随着网络技术的迅速发展，可信网络作为下一代的移动网络，在为用户提供了更加广阔的资源空间和更加便利服务的同时，也产生了新的安全问题。
[0009]但传统访问控制模型主要关注在一个信息系统封闭环境中资源机密性和完整性的保护，不能很好地满足可信网络环境中动态、连续的访问控制需求。
近几年，可信计算研究不断从终端向网络扩展，而且研究的深度也进一步 增加，在理论发展的同时，可信计算的实现也逐步跟进。
[0010]防火墙是现代网络安全防护技术中的重要构成内容，通过内部与外部网络的中间过程，部署网络访问控制防御系统，可有效地防护外部的侵扰与影响。
[0011]同时，具有一定的抗攻击能力，对于外部攻击具有自我保护的作用。
[0012]目前，网络访问控制方法，包含MAC地址过滤、VLAN隔离、ACL自主访问控制方法，和防火墙控制法，在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限，从而限制了每一业务流的通断。
[0013]从防护功能上，包过滤型防火墙、状态检测型防火墙、应用级防火墙和混合型防火墙，针对一些底层(网络层、传输层)的信息进行阻断，提供IP、端口防护，以及对应用层实施协议过滤等功能，包含不限于如下的安全问题：第一，网络接入控制措施不完善。目前，边缘端不支持完整性检验，缺少用户授信与授权，存在着诸多安全风险，不能阻止感染病毒、蠕虫的程序和文件的传输。
[0014]第二，用户身份认证机制不统一。边缘端对不同网络的资源进行访问时，存在没有统一身份认证机制与用户账户管理，仅提供粗粒度的访问控制能力。
[0015]第三，网络监控和授权机制不完善。现有的网络监控设备并没有预知安全状态变化的功能,缺少系统授权要求，不能防范新威胁，由自身安全漏洞引起的威胁。
[0016]第四，难以管控，非专业用户难于管理和配置，易造成安全漏洞；不区分所执行策略对错，一旦被控制，保护网络就无安全性。
[0017]由于以上缺陷与不足，导致被攻破的几率已经接近50%。
[0018]针对关键信息基础设施（简称：关基）中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知威胁等带来的严峻挑战，基于软件定义边界(SDP，Software Defined Perimeter)零信任网络访问的安全架构，提出了基于全要素网络标识实现可信安全网关的装置与方法，不限于包含根据身份控制对资源的访问模型—每个终端在连接服务器前必须进行验证，并确保每台设备都是被允许接入，并隐藏核心网络资产与设施，没有对外暴露的DNS或者IP地址，只有通过授权的SDP客户端才能使用专有的协议进行连接，实现可信网络连接（TNC，Trusted Network Connection），包含实施多维度安全认证、南北向算力网络强制访问控制与东西向微服务的强隔离等措施，有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地管控的安全问题。

技术实现思路

[0019]本专利技术提供了一种基于全要素网络标识的可信安全网关实现方法，解决现有技术中无法有效地制止内部网络用户泄露敏感信息；无法有效地预防内部网络用户发起的网络攻击；无法有效地阻止各种数据驱动型网络攻击；无法有效地防止各种网络拒绝服务攻击等问题。
[0020]为解决上述问题，一方面，本专利技术提供一种基于全要素网络标识的可信安全网关实现方法，包括：对网络身份标识进行管控；建立矩阵式全流量检测引擎；
对业务工作流进行可信管控；对微服务进行强隔离。
[0021]所述对网络身份标识进行管控，包括：建立全要素网络身份标识；建立认证操作链，定义多种认证序列，并基于角色授权框架的基础上，结合上下文感知信息构建业务访问权限以实施自适应的访问控制；设置统一登录平台，并制定网络访问策略；通过网络监测和信任评估，实时评估访问主体当前的信任状态。
[0022]所述设置统一登录平台，并制定网络访问策略，包括：设置访问控制接口，从而与外部权限管理服务器共同实现访问控制功能；设置安全审计接口，从而与外部安全审计服务器共同实现安全审计功能；判断客户端证书是否作废；获取客户端证书的属性，并将客户端证书的属性提交给服务器以进行处理；为生成站点私钥文件和为生成站点证书提供请求文件，从而为认证网关提供站点私钥文件和站点证书；进行用户身份确认，并接受网络信任域管理中心的统一管理，从而保证合法用户可以在全网范围内自由通行；为责任认定提供用户上网状态信息，提供用户跨本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于全要素网络标识的可信安全网关实现方法，其特征在于，包括：对网络身份标识进行管控；建立矩阵式全流量检测引擎；对业务工作流进行可信管控；对微服务进行强隔离。2.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述对网络身份标识进行管控，包括：建立全要素网络身份标识；建立认证操作链，定义多种认证序列，并基于角色授权框架的基础上，结合上下文感知信息构建业务访问权限以实施自适应的访问控制；设置统一登录平台，并制定网络访问策略；通过网络监测和信任评估，实时评估访问主体当前的信任状态。3.根据权利要求2所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述设置统一登录平台，并制定网络访问策略，包括：设置访问控制接口，从而与外部权限管理服务器共同实现访问控制功能；设置安全审计接口，从而与外部安全审计服务器共同实现安全审计功能；判断客户端证书是否作废；获取客户端证书的属性，并将客户端证书的属性提交给服务器以进行处理；为生成站点私钥文件和为生成站点证书提供请求文件，从而为认证网关提供站点私钥文件和站点证书；进行用户身份确认，并接受网络信任域管理中心的统一管理，从而保证合法用户可以在全网范围内自由通行；为责任认定提供用户上网状态信息，提供用户跨网、跨域访问的行为记录，从而支持责任认定的全网化；通过责任认定后，将访问请求放行，并路由到目的地；提供用户终端到可信安全网关的加密传输服务，从而确保信息传输的安全性。4.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述建立矩阵式全流量检测引擎，包括：基于SDN全交换的并行检测技术框架，实现矩阵式全流量检测引擎；基于多目标分发机制形成连接级并行内容分析，并运行多个逻辑上独立的并行内容分析协议栈；基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。5.根据权利要求4所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述基于SDN全交换的并行检测技术框架，实现矩阵式全流量检测引擎，包括：划分空闲缓冲区队列和已使用缓冲区队列，并保存缓冲区数据单元指针的指针列表；当捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元，并将从网卡读入的数据拷贝到所述存储单元以后，捕包程序将缓冲单元挂到已使用缓冲队列的尾部；从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后，直接将所述数
据单元挂到待发送缓冲区队列；所述基于多目标分发机制形成连接级并行内容分析，并运行多个逻辑上独立的并行内容分析协议栈，包括：通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理，并通过一个发送单元收集器完成数据单元的发送；同时，将发送单元收集器占用的数据单元返回给空闲存储单元队列中，让捕包系统重复利用这些单元；每一个内容分析任务，均设有一个私有的协议栈状态表和两个数据队列索引，其中，协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候，用来保存上下文信息和暂存数据使用，而两个数据队列索引则分别用来存储待分析的数据块和...

【专利技术属性】
技术研发人员：戚建淮，徐国前，崔宸，唐娟，汪乔，
申请(专利权)人：深圳市永达电子信息股份有限公司，
类型：发明
国别省市：