【技术实现步骤摘要】
本专利技术涉及网络安全协议,具体涉及一种安全协议重构配置文件的动态自动生成方法。
技术介绍
1、安全协议是安全系统的重要组成部分,是实现网络与系统安全的关键要素。安全协议种类繁多,数量巨大,传统的安全协议又面临如复杂度高、难配置、易出错等无法克服的问题。将可重构思想引入安全协议设计,可有效提高安全协议灵活性、适应性和安全服务能力,有效提高计算效率,抵御不同类型的攻击,对提高安全系统的可配置性和安全性具有重要意义。
2、可重构的安全协议是以可重构资源为基础构建起来的安全协议处理架构,它能够根据计算环境及需求变化情况,调整其内部组织结构,形成最适合当前安全需求和性能需求的软硬件处理架构,达到增强安全适应性和提高性能的目的。动态重构为安全协议功能的动态升级与优化提供了可能,以满足当前安全需求的方式运行,从而提高重构系统的安全性。这是静态分析与静态重构无法达到的效果。安全系统的动态重构对安全系统的灵活性、效率和安全性都有着重要的影响。当现有可重构平台不足以满足整个安全重构系统对资源的需求时,需要将重构资源依据一定的粒度动态地划分成若干个块,并且在安全系统运行时根据其控制流图和数据流图动态地进行配置,从而以功能虚拟化的方式满足需求。
3、专利文献cn109361710a(申请号201811534640.5)公开了一种安全协议重构方法及装置。在已构建网络安全协议对应的网络安全需求发生变化的情况下,获取变化后的网络安全需求对应用的目标安全协议重构流,并根据目标安全协议重构流对应的目标重构元集合和已构建网络安全协议对应的
4、文献“可重构安全系统建模与配置生成方法研究”(肖玮等,软件学报,2018年第29卷第12期)针对动态自动可重构安全系统的建模以及配置生成过程的描述问题,提出了一种基于直觉主义逻辑扩展的动态自动可重构安全系统逻辑模型sspe,给出了逻辑模型sspe上的语法和推理规则,设计了基于sspe的等级化安全重构元和安全需求建模和表达方法,并给出了基于映射关系的安全重构元描述向逻辑语言的转换规则。最后,以ipsec(internet protocol security,互联网安全协议)协议为例,阐述了可重构安全系统重构配置的动态自动推理生成过程。该文献提出的建模和表达方法,能够动态自动生成适应安全需求和效能属性变化的重构配置,适用于对可重构安全系统的理论证明和安全验证,对ipsec协议的可重构配置只给出了一般的通用理论过程。
5、文献“基于重构构件的安全协议重构择优技术研究”(李玲等,计算机科学,2014年第41卷第11a期)在深入分析大量现有安全协议体系结构的基础上,提出了一种基于可重构构件的安全协议高性能实现架构,并且针对该架构中可重构构件库择优优化这一关键问题,提出了安全协议系统中可重构构件拆分的原则及重构构件的数学模型,并采用启发式算法对择优问题展开研究,并以ipsec为例,以粗粒度的方式进行重构构件的拆分。该文献主要解决的问题是如何从重构构件库中提取符合条件的重构构件并以最佳的方式组合完成安全协议,但对安全协议的配置文件的自动生成没有详细的阐述。
6、ipsec协议提供了应用于网络层上数据安全的一整套体系结构,该体系结构包括了封装载荷协议(encapsulating security payload,esp)、网络认证协议(authenticationheader,ah)、密钥交换协议(intemet key exchange,ike)以及用于网络加密和认证的一些算法等。ipsec的加密、认证以及密钥管理机制能够对通信数据提供数据完整性、可靠性、身份验证以及不可否认性等安全保障。
7、根据is07498的定义,安全服务类型包括机密性(confidentiality)、完整性(integrity)、抗抵赖性(non-repudiation)、访问控制(access control)、认证(authentication)这5种,每种类型的安全重构元划分成若干等级,若干不同种类、不同级别的安全重构元组合而成的安全服务形成多样的安全保障等级。在专利文献cn109361710a中,ipsec协议可分成发送或接收、封装、抗重放、分段处理、组包处理、icmp报文处理、密码算法、apr地址解析、arp代理、策略与sa管理、证书等可重构的模块。其中封装又分esp和ah封装,每一种封装都有隧道模式和传输模式两种封装模式,密码算法有哈希、序列、分组、公钥等。
技术实现思路
1、本专利技术需要解决的技术问题是:通过ipsec构建vpn(virtual private network,虚拟专用网)时,在ipsec vpn两端的对等体需要配置大量的ipsec参数,除了两端的ip地址外,还包括传输模式、认证方式、ike及esp的加解密算法、生存时间等大量与ipsec相关的参数。这些参数手工配置比较繁杂且容易出错,正常情况下,这些参数一旦配置好后,基本不会再修改了。当网络安全需求发生变化时,需要及时修改ipsec参数配置文件。
2、为了解决上述问题,减轻网络工作人员的压力,本专利技术的技术方案是提供了一种安全协议重构配置文件的动态自动生成方法,包括以下步骤:
3、步骤1:根据预设数据安全等级,确定ipsec vpn可重构处理模块的多个参数集合;
4、步骤2:对于每一个参数集合采用轮询或随机的方法确定一个参数值;
5、步骤3:对每一个数据安全等级确定ipsec vpn所有参数的默认值,形成ipsec vpn的初始参数配置文件,每一个数据安全等级分别对应一个初始参数配置文件;
6、步骤4:获取需要在ipsec vpn网上传输的数据安全等级;
7、步骤5:在获取数据安全等级后,依据步骤2和步骤3,基于相对应安全等级的初始参数配置文件生成新的参数配置文件;
8、步骤6:重启ipsec vpn,新的参数配置文件生效,进行网络数据传输;
9、步骤7:网络数据传输任务结束,等待新的网络数据传输任务,返回步骤4,若没有新的网络数据传输任务则停止ipsec vpn。
10、优选地,所述获取在ipsec vpn网上传输的数据安全等级的方式为约定的数据包格式或者专用的api接口。
11、优选地,所述数据安全等级为公开、内部、秘密以及机密。
12、优选地,所述ipsec vpn可重构处理模块包括认证算法、ike加密算法、esp加密算法、生存周期以及dif本文档来自技高网...
【技术保护点】
1.一种安全协议重构配置文件的动态自动生成方法,其特征在于,包括以下步骤:
2.如权利要求1所述的一种安全协议重构配置文件的动态自动生成方法,其特征在于,所述获取在IPSec VPN网上传输的数据安全等级的方式为约定的数据包格式或者专用的API接口。
3.如权利要求1所述的一种安全协议重构配置文件的动态自动生成方法,其特征在于,所述数据安全等级为公开、内部、秘密以及机密。
4.如权利要求1所述的一种安全协议重构配置文件的动态自动生成方法,其特征在于,所述IPSec VPN可重构处理模块包括认证算法、IKE加密算法、ESP加密算法、生存周期以及Diffie-Hellman。
【技术特征摘要】
1.一种安全协议重构配置文件的动态自动生成方法,其特征在于,包括以下步骤:
2.如权利要求1所述的一种安全协议重构配置文件的动态自动生成方法,其特征在于,所述获取在ipsec vpn网上传输的数据安全等级的方式为约定的数据包格式或者专用的api接口。
3.如权利要求1所述的一种安全协...
【专利技术属性】
技术研发人员:许光泞,文欣秀,邓畅,杨柳,
申请(专利权)人:华东计算技术研究所中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。