【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种全业务链的内生安全管理方法。
技术介绍
1、随着信息化和数字化的发展,企业面临着越来越多的安全威胁和风险。传统的安全领域一般单纯的依靠防火墙、行为管理等安全设备来保障业务安全,但不具备从业务视角出发的全链条安全保障。少数具备相关基础设施或者相关业务侧安全保证能力的企业,仅能从若干局部环节提供安全保障,无法提供全业务链的安全保障。这类安全管理方法已经无法满足企业复杂多变的安全需求。
2、公开号为cn106254315a的专利技术专利公开了一种云安全业务系统接入方法及装置,其预先将云安全业务系统嵌入网络服务平台的业务页面,在接收到客户端发送的访问请求后,在业务页面中显示该云安全业务系统,将待接入网站的域名添加到云安全业务系统的反向代理列表中,从而接入云安全业务系统,可以在不破坏原有网站布局的情况下为idc服务商和云计算平台的用户部署云安全业务系统。但是这种方式只能帮助idc服务商和云计算平台等抵御网络攻击,针对企业与idc数据中心之间的安全交互、乃至终端用户侧至源头应用之间的全链条安全交互则取法提供足够的安全保障。
3、因此需要一种顾及全业务链的内生安全管理方法,以实现基于业务视角的全方位的安全管理。
技术实现思路
1、有鉴于此,本专利技术提出了一种全业务链的内生安全管理方法,用于解决现有的内生安全管理技术无法提供全业务链的安全保障的问题。
2、本专利技术公开了一种全业务链的内生安全管理方法,所述方法包括:p>
3、通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护;
4、基于设备安全管理系统、安全编排器和安全cpe建立专线传输通道;
5、通过所述专线传输通道对所述互联网数据中心产生的应用数据流量进行安全接入、安全指令控制和安全传输;
6、企业网关接收从所述专线传输通道传输的应用数据流量,并根据园区/厂区/楼宇实际环境,选择相应的安全接入方式将所述应用数据流量传输至终端用户。
7、在以上技术方案的基础上,优选的,所述专线传输通道中:
8、所述设备安全管理系统用于实现设备安全管理系统与所述安全编排器之间的注册认证、安全管理和报文转发;
9、所述安全cpe用于实现安全cpe与所述安全编排器之间的注册认证、安全管理、密钥协商和安全通讯;
10、多个所述安全cpe之间进行密钥协商与安全通信。
11、在以上技术方案的基础上,优选的,所述设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块;
12、所述密钥管理节点用于进行密钥管理与设备认证;
13、所述密钥分发服务节点用于进行密钥分发、互通域管理和在线设备管理;
14、所述第一硬件密码模块用于为所述密钥管理节点、密钥分发服务节点提供所需的密码运算。
15、在以上技术方案的基础上,优选的,所述安全编排器包括编排器业务模块、osm安全模块及第二硬件密码模块;
16、所述osm安全模块用于管理sd-wan内的设备管理模块与编排器业务模块之间的数据报文加解密、用户操作鉴别认证,以及进行编排器控制指令的安全传输;
17、所述编排器业务模块用于进行sd-wan内各类设备的业务管理和编排;
18、所述第二硬件密码模块用于为所述osm安全模块提供所需的密码运算。
19、在以上技术方案的基础上,优选的,所述安全cpe包括安全中间件、cpe业务模块和第三硬件密码模块;
20、所述安全中间件用于实现与所述osm安全模块之间的注册认证、安全管理、密钥协商和安全通讯,并为cpe业务模块提供数据报文加解密和用户操作鉴别认证;
21、所述cpe业务模块用于进行各类cpe设备的业务管理;
22、所述第三硬件密码模块用于为所述安全中间件提供所需的密码运算。
23、在以上技术方案的基础上,优选的,所述安全编排器内部的报文传输流程为:
24、所述安全编排器通过所述osm安全模块与sdwan内的设备管理模块进行交互,使用临时身份密钥发起编排器设备入网前的身份认证请求;所述编排器设备包括编排器业务模块;
25、所述sdwan内的设备管理模块确认所述编排器设备的身份认证无误后,建立与所述osm安全模块之间临时安全通道;
26、所述安全编排器通过osm安全模块将第二硬件密码模块生成的正式身份密钥、设备信息、第二硬件密码模块信息进行加密,发起编排器设备注册入网请求,通过临时安全通道将所述编排器设备注册入网请求发送至sdwan内的设备管理模块;
27、所述sdwan内的设备管理模块收到所述编排器设备注册入网请求后,获取安全编排器的正式身份密钥信息,进行存储;
28、使用所述安全编排器的正式身份密钥建立sdwan内的设备管理模块与所述安全编排器之间的安全通道;
29、定期更新安全编排器的正式身份密钥中的公钥和cpe设备的公钥列表信息。
30、在以上技术方案的基础上,优选的,所述设备安全管理系统、安全编排器和安全cpe之间的报文传输流程为:
31、所述安全cpe通过安全中间件将第三硬件密码模块生成的正式身份密钥、设备信息、第三硬件密码模块信息进行加密,发起cpe设备注册入网请求,通过所述osm安全模块将cpe设备注册入网请求转发给所述设备安全管理系统;所述cpe设备包括cpe业务模块;
32、所述设备安全管理系统收到所述cpe设备注册入网请求后,获取安全cpe的正式身份密钥,存储并更新cpe互通域;
33、使用所述安全cpe的正式身份密钥建立所述安全cpe与所述安全编排器之间的安全通道;
34、定期更新所述安全cpe的正式身份密钥中的公钥和cpe互通域的公钥列表信息。
35、在以上技术方案的基础上,优选的,所述报文传输流程中,在ipv4的基础上应用ipv6的技术,进行数据层的安全保护,通过send协议实现ndp的安全,并通过内置预案的方式,按需自动生成应急预案。
36、在以上技术方案的基础上,优选的,通过应用数据流量传输的过程中,通过标识解析的技术,对流量访问行为和流经节点进行赋码,在赋码后通过数据库比对,判断异常信息,实现全生命周期的管理。
37、在以上技术方案的基础上,优选的,根据园区/厂区/楼宇实际环境,选择5g/wifi6的安全接入方式将所述应用数据流量传输至终端用户。
38、本专利技术相对于现有技术具有以下有益效果:
39、(1)本专利技术通过安全等保设备对互联网数据中心(idc)产生的应用数据流量进行审计保护,并建立专线传输通道对互联网数据中心出来应用数据流量进行安全传输,最后选择安全接入方式将应用数据流量传输至终端用户,实现了从终端用户访问到应用后台的全业务链安全保障,能更好的保障业务和访问安全。...
【技术保护点】
1.一种全业务链的内生安全管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种全业务链的内生安全管理方法,其特征在于,所述专线传输通道中:
3.根据权利要求2所述的全业务链的内生安全管理方法,其特征在于,所述设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块;
4.根据权利要求2所述的全业务链的内生安全管理方法,其特征在于,所述安全编排器包括编排器业务模块、OSM安全模块及第二硬件密码模块;
5.根据权利要求4所述的全业务链的内生安全管理方法,其特征在于,所述安全CPE包括安全中间件、CPE业务模块和第三硬件密码模块;
6.根据权利要求5所述的全业务链的内生安全管理方法,其特征在于,所述安全编排器内部的报文传输流程为:
7.根据权利要求6所述的全业务链的内生安全管理方法,其特征在于,所述设备安全管理系统、安全编排器和安全CPE之间的报文传输流程为:
8.根据权利要求6或7所述的全业务链的内生安全管理方法,其特征在于,所述报文传输流程中,在IPv4的基础上应用IPv6
9.根据权利要求1所述的全业务链的内生安全管理方法,其特征在于,通过应用数据流量传输的过程中,通过标识解析的技术,对流量访问行为和流经节点进行赋码,在赋码后通过数据库比对,判断异常信息,实现全生命周期的管理。
10.根据权利要求1所述的全业务链的内生安全管理方法,其特征在于,根据园区/厂区/楼宇实际环境,选择5G/WIFI6的安全接入方式将所述应用数据流量传输至终端用户。
...【技术特征摘要】
1.一种全业务链的内生安全管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种全业务链的内生安全管理方法,其特征在于,所述专线传输通道中:
3.根据权利要求2所述的全业务链的内生安全管理方法,其特征在于,所述设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块;
4.根据权利要求2所述的全业务链的内生安全管理方法,其特征在于,所述安全编排器包括编排器业务模块、osm安全模块及第二硬件密码模块;
5.根据权利要求4所述的全业务链的内生安全管理方法,其特征在于,所述安全cpe包括安全中间件、cpe业务模块和第三硬件密码模块;
6.根据权利要求5所述的全业务链的内生安全管理方法,其特征在于,所述安全编排器内部的报文传输流程为:
7.根据权利要求6...
【专利技术属性】
技术研发人员:熊克,王亮,王晶晶,燕奇瑜,李阳,
申请(专利权)人:东风通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。