CN103384251A - 多等级安全服务的可组合安全网络构建方法及其装置 - Google Patents

Abstract

本发明公开一种多等级安全服务的可组合安全网络构建方法及其装置，该方法包括：对安全业务进行归纳分析，得到所属安全业务等级；查询安全资源数据库，得到对应的网络安全资源大小；查询网络拓扑图，得到满足需求的候选节点集合；根据候选节点集合的连接关系和构建准则，建立网络拓扑结构；依据节点资源分配组合函数，将安全资源进行分配和组合，建立可组合安全网络；检测安全业务需求变更并评估安全资源剩余情况，将不满足变更后资源需求的节点标记为关键节点；对包含关键节点的安全网络进行重组和重构。本发明能够提高网络安全服务对安全应用业务支持的灵活性和适应性，并有效合理利用网络安全资源实现多级安全，从而满足可组合安全网络的要求。

Description

多等级安全服务的可组合安全网络构建方法及其装置

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种多等级安全服务的可组合安全网络构建方法及其装置。

背景技术

TCP/IP在设计之初未考虑到开放的不可信环境的安全威胁，导致其发展过程中遇到了各种各样的安全问题，另一方面，解决安全问题所采用的方法都是零散式修补式，不同的协议引入各自的安全扩展，经过长时间积累，导致整个系统越来越复杂，产生更多新的亟待解决的问题。现在的TCP/IP安全体系结构僵化且效率低下，网络层功能单一、业务与网络过度分离、无法满足多样化安全需求，在提供灵活的安全可信可管服务和可扩展性等方面仍存在严重缺陷。

发明内容

为了克服现有技术中的不足，本发明提出了一种灵活性高、适用性好、可用性强的多等级安全服务的可组合安全网络构建方法及其装置。

一种多等级安全服务的可组合安全网络构建方法，包含如下步骤：

步骤1.对安全业务进行安全特征归纳和需求分析，获取安全业务等级向量S=(f₁,f₂…f_i…)，f_i为第i个安全服务的等级；

步骤2.查询网络安全资源数据库，网络安全资源数据库存储不同安全业务等级向量S所对应的安全资源取值大小和组合关系，即为(SID，G_func)，G_func=<F_c，E_func>，F_c={Fi|Fi=(FID,Name,Description),i=1,2,…}，根据安全业务等级向量S的ID号SID对网络安全资源数据库进行查询，并返回安全业务等级相对应的安全资源取值大小和组合关系，其中SID是安全业务等级向量S的ID号，E_func为安全资源的连接关系，F_c为安全特征对应的安全资源取值集合，G_func是安全资源的组合关系，FID为一种安全资源Fi的ID号，Name为Fi的名称，Description为Fi的描述；

步骤3.查询网络安全拓扑图，网络安全拓扑图存储网络中节点的安全资源情况，根据安全资源取值集合Fc中的描述信息Description对网络安全拓扑图的数据库进行基于关键字的资源检索，获得网络中满足安全资源需求的候选节点集合；

步骤4.根据候选节点集合的连接关系和构建准则，即根据最低等级优先准则、最短路径优先准则和最小负载优先准则对候选节点集合进行节点筛选，建立可组合安全网络的拓扑结构；

步骤5.依据节点资源分配函数R=fassi(S)和资源组合函数SA=fcomb(R，G_func)，将网络拓扑中节点的安全资源进行分配和组合，建立满足安全业务需求的可组合安全网络，其中，fassi是分配函数的映射法则，S是安全业务等级向量，R是分配的资源向量，fcomb是组合函数的映射法则，G_func是资源链接关系，SA是节点的安全业务能力；

步骤6.检测安全业务需求的变更并评估网络节点中安全资源的剩余情况，将网络节点中安全资源不能满足安全业务变更后资源需求的节点标记为关键节点；

步骤7.对包含关键节点的可组合安全网络，依据重构准则，进行节点资源的重组和网络路径的重构。

所述步骤1中安全业务等级向量S=(f₁,f₂…f_i…)，f_i为第i个安全服务的等级，1≤i≤5。

所述步骤5中建立满足安全业务需求的可组合安全网络还包含：

步骤5.1.剔除不满足安全业务需求等级所对应安全资源大小的节点，得到可行的底层物理拓扑；

步骤5.2.对安全业务需求中的候选节点集映射到满足需求的底层物理节点；

步骤5.3.对安全业务需求中的链路集使用最短路径算法映射到底层物理链路，若当前该最短路径算法无可行解，则随机推迟时间Tw后，返回步骤5.1，直到构建次数大于最大循环数K，Tw和K根据网络实际情况确定。

所述步骤7中重构准则包含有限度的局部重构和有选择的全局重构。

所述步骤7中网络路径的重构包含：

步骤7.1.标记占用关键节点的可组合安全网络的链路为待重构链路；

步骤7.2.对每条待重构链路实施最短路径算法，若该最短路径算法有新的可行解，则用可行解替换该待重构链路。

一种多等级安全服务的可组合安全网络构建装置，包含：

业务等级模块，用于对安全业务进行特征归纳和需求分析，得到所属的安全业务等级；

资源查询模块，用于查询安全资源数据库，得到该安全业务等级所对应的网络安全资源大小；

网络构建模块，用于确定满足需求条件的候选节点集并依据其连接关系和构建准则，建立可组合安全网络的拓扑结构；

资源分配模块，用于根据节点的资源分配函数和资源组合函数，将网络拓扑中各节点的安全资源进行分配和组合，建立满足该类安全业务需求的可组合安全网络；

网络重构模块，用于标记关键节点并对包含关键节点的安全网络依据重构准则进行节点资源的重组和网络路径的重构。

所述业务等级模块包含：

特征分析代理，负责依据安全业务特性计算安全业务等级向量，并计算与安全等级数据库中各聚类中心的距离，得到最近的聚类中心，判断出该安全业务所属的安全业务等级；

安全等级数据库，安全业务等级向量集合；

需求分析代理，负责分析安全业务对应的安全业务等级向量并依据安全等级数据库判定该安全业务所属的安全业务等级。

所述资源查询模块包含：

安全资源数据库，安全资源集合；

资源查询代理，负责根据安全业务等级在安全资源数据库中查询相应安全资源的大小。

所述网络构建模块包含：

节点集发现代理，负责发现满足安全资源大小需求的可行网络节点集；

构建代理，负责在可行网络节点集拓扑上基于构建准则构建可组合安全网络的拓扑结构。

所述网络重构模块包含：

标记代理，负责找出网络中关键节点并将占用关键节点的可组合安全网络链路标记为待重构链路；

重构代理，负责依据重构准则及重构算法对待重构链路或关键节点实施重构。

本发明多等级安全服务的可组合安全网络构建方法及其装置的有益效果：

1.本发明多等级安全服务的可组合安全网络构建方法及其装置，灵活性高，安全业务需求与网络安全资源呈现松耦合关系，网络根据安全业务需求扩大和减小相应的网络安全服务资源。

2.本发明多等级安全服务的可组合安全网络构建方法及其装置，适应性好，内在结构的时变性，即由时变的结构驱动时变的服务能力，最终实现网络安全服务对安全业务要求和特征的动态匹配。

3.本发明多等级安全服务的可组合安全网络构建方法及其装置，可用性强，可重构路由节点不仅可以根据安全业务的变化动态重组内部安全资源的种类和大小，还可以动态增加或减少安全资源的种类和大小，实现节点安全资源的动态可配置，增加安全网络的可用性。

4.本发明多等级安全服务的可组合安全网络构建方法及其装置，多级安全，根据安全业务需求的高低分配安全资源，使有限的网络安全资源得到更加合理的利用，避免了单一追求高安全等级或高服务质量的简单模式。

附图说明

图1为本发明多等级安全服务的可组合安全网络构建方法的步骤流程示意图；

图2为本发明的可组合安全网络建构的步骤流程示意图；

图3为本发明的可组合安全网络重构的步骤流程示意图；

图4为本发明多等级安全服务的可组合安全网络构建装置的结构框图；

图5为本发明的安全等级数据库的表结构示意图；

图6为本发明的安全资源数据库的表结构示意图。

具体实施方式

首先对本文出现的技术名词或术语进行解释，以方便本领域技术人员对本文技术方案的理解：

可重构路由节点：针对可组合安全网络的一种资源可动态组合的节点设备，并且可以动态增加或减少安全资源的种类和大小；

安全资源：是指安全业务实际运行所需要的全部软硬件实例集合，各实例是具有一定安全业务处理能力的程序实体及其相关描述。安全资源可以被明确识别、复用和重构；

安全业务等级：根据安全业务的需求对安全业务的一种划分，是可组合安全网络中资源分配的参考依据。

下面将结合本发明附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1～6所示，一种多等级安全服务的可组合安全网络构建方法，包含如下步骤：

步骤1.对安全业务进行安全特征归纳和需求分析，获取安全业务等级向量S=(f₁,f₂…f_i…)，f_i为第i个安全服务的等级；

步骤2.查询网络安全资源数据库，网络安全资源数据库存储不同安全业务等级向量S所对应的安全资源取值大小和组合关系，即为(SID，G_func)，G_func=<F_c，E_func>，F_c={Fi|Fi=(FID,Name,Description),i=1,2,…}，根据安全业务等级向量S的ID号SID对网络安全资源数据库进行查询，并返回安全业务等级相对应的安全资源取值大小和组合关系，其中SID是安全业务等级向量S的ID号，E_func为安全资源的连接关系，F_c为安全特征对应的安全资源取值集合，G_func是安全资源的组合关系，FID为一种安全资源Fi的ID号，Name为Fi的名称，Description为Fi的描述；

步骤3.查询网络安全拓扑图，网络安全拓扑图存储网络中节点的安全资源情况，根据安全资源取值集合Fc中的描述信息Description对网络安全拓扑图的数据库进行基于关键字的资源检索，获得网络中满足安全资源需求的候选节点集合；

步骤4.根据候选节点集合的连接关系和构建准则，即根据最低等级优先准则、最短路径优先准则和最小负载优先准则对候选节点集合进行节点筛选，建立可组合安全网络的拓扑结构；

步骤5.依据节点资源分配函数R=fassi(S)和资源组合函数SA=fcomb(R，G_func)，将网络拓扑中节点的安全资源进行分配和组合，建立满足安全业务需求的可组合安全网络，其中，fassi是分配函数的映射法则，S是安全业务等级向量，R是分配的资源向量，fcomb是组合函数的映射法则，G_func是资源链接关系，SA是节点的安全业务能力；

步骤6.检测安全业务需求的变更并评估网络节点中安全资源的剩余情况，将网络节点中安全资源不能满足安全业务变更后资源需求的节点标记为关键节点；

步骤7.对包含关键节点的可组合安全网络，依据重构准则，进行节点资源的重组和网络路径的重构。

所述步骤1中安全业务等级向量S=(f₁,f₂…f_i…)，f_i为第i个安全服务的等级，1≤i≤5。

所述步骤5中建立满足安全业务需求的可组合安全网络包含：

步骤5.1.剔除不满足安全业务需求等级所对应安全资源大小的节点，得到可行的底层物理拓扑；

步骤5.2.对安全业务需求中的候选节点集映射到满足需求的底层物理节点；

步骤5.3.对安全业务需求中的链路集使用最短路径算法映射到底层物理链路，若当前该最短路径算法无可行解，则随机推迟时间Tw后，返回步骤5.1，直到构建次数大于最大循环数K，Tw和K根据网络实际情况确定。

所述步骤7中重构准则包含有限度的局部重构和有选择的全局重构。

所述步骤7中网络路径的重构包含：

步骤7.1.标记占用关键节点的可组合安全网络的链路为待重构链路；

步骤7.2.对每条待重构链路实施最短路径算法，若该最短路径算法有新的可行解，则用可行解替换该待重构链路，对可重构路由节点实现安全资源种类和大小的动态重构，满足变化的安全业务需求；等待下一重构周期到达，重新标记关键节点并实施上述操作。

一种多等级安全服务的可组合安全网络构建装置，包含：

业务等级模块，用于对安全业务进行特征归纳和需求分析，得到所属的安全业务等级；

资源查询模块，用于查询安全资源数据库，得到该安全业务等级所对应的网络安全资源大小；

网络构建模块，用于确定满足需求条件的候选节点集并依据其连接关系和构建准则，建立可组合安全网络的拓扑结构；

资源分配模块，用于根据节点的资源分配函数和资源组合函数，将网络拓扑中各节点的安全资源进行分配和组合，建立满足该类安全业务需求的可组合安全网络；

网络重构模块，用于标记关键节点并对包含关键节点的安全网络依据重构准则进行节点资源的重组和网络路径的重构。

所述业务等级模块包含：

特征分析代理，负责依据安全业务特性计算安全业务等级向量，并计算与安全等级数据库中各聚类中心的距离，得到最近的聚类中心，判断出该安全业务所属的安全业务等级；

安全等级数据库，安全业务等级向量集合；

需求分析代理，负责分析安全业务对应的安全业务等级向量并依据安全等级数据库判定该安全业务所属的安全业务等级。

所述资源查询模块包含：

安全资源数据库，安全资源集合；

资源查询代理，负责根据安全业务等级在安全资源数据库中查询相应安全资源的大小。

所述网络构建模块包含：

节点集发现代理，负责发现满足安全资源大小需求的可行网络节点集；

构建代理，负责在可行网络节点集拓扑上基于构建准则构建可组合安全网络的拓扑结构。

所述网络重构模块包含：

标记代理，负责找出网络中关键节点并将占用关键节点的可组合安全网络链路标记为待重构链路；

重构代理，负责依据重构准则及重构算法对待重构链路或关键节点实施重构。

本发明多等级安全服务的可组合安全网络构建方法及其装置，灵活性高，安全业务需求与网络安全资源呈现松耦合关系，网络根据安全业务需求扩大和减小相应的网络安全服务资源；适应性好，内在结构的时变性，即由时变的结构驱动时变的服务能力，最终实现网络安全服务对安全业务要求和特征的动态匹配；可用性强，可重构路由节点不仅可以根据安全业务的变化动态重组内部安全资源的种类和大小，还可以动态增加或减少安全资源的种类和大小，实现节点安全资源的动态可配置，增加安全网络的可用性；多级安全，根据安全业务需求的高低分配安全资源，使有限的网络安全资源得到更加合理的利用，避免了单一追求高安全等级或高服务质量的简单模式。

Claims (10)

1.一种多等级安全服务的可组合安全网络构建方法，其特征在于：包含如下步骤：

步骤1.对安全业务进行安全特征归纳和需求分析，获取安全业务等级向量S=(f₁,f₂...f_i...)，f_i为第i个安全服务的等级；

步骤2.查询网络安全资源数据库，网络安全资源数据库存储不同安全业务等级向量S所对应的安全资源取值大小和组合关系，即为(SID，G_func)，G_func=<F_c，E_func>，F_c={Fi|Fi=(FID,Name,Description),i=1,2,...}，根据安全业务等级向量S的ID号SID对网络安全资源数据库进行查询，并返回安全业务等级相对应的安全资源取值大小和组合关系，其中SID是安全业务等级向量S的ID号，E_func为安全资源的连接关系，F_c为安全特征对应的安全资源取值集合，G_func是安全资源的组合关系，FID为一种安全资源Fi的ID号，Name为Fi的名称，Description为Fi的描述；

步骤3.查询网络安全拓扑图，网络安全拓扑图存储网络中节点的安全资源情况，根据安全资源取值集合Fc中的描述信息Description对网络安全拓扑图的数据库进行基于关键字的资源检索，获得网络中满足安全资源需求的候选节点集合；

步骤4.根据候选节点集合的连接关系和构建准则，即根据最低等级优先准则、最短路径优先准则和最小负载优先准则对候选节点集合进行节点筛选，建立可组合安全网络的拓扑结构；

步骤5.依据节点资源分配函数R=fassi(S)和资源组合函数SA=fcomb(R，G_func)，将网络拓扑中节点的安全资源进行分配和组合，建立满足安全业务需求的可组合安全网络，其中，fassi是分配函数的映射法则，S是安全业务等级向量，R是分配的资源向量，fcomb是组合函数的映射法则，G_func是资源链接关系，SA是节点的安全业务能力；

步骤6.检测安全业务需求的变更并评估网络节点中安全资源的剩余情况，将网络节点中安全资源不能满足安全业务变更后资源需求的节点标记为关键节点；

步骤7.对包含关键节点的可组合安全网络，依据重构准则，进行节点资源的重组和网络路径的重构。

2.根据权利要求1所述的多等级安全服务的可组合安全网络构建方法，其特征在于：所述步骤1中安全业务等级向量S=(f₁,f₂...f_i...)，f_i为第i个安全服务的等级，1≤i≤5。

3.根据权利要求1所述的多等级安全服务的可组合网络构建方法，其特征在于：所述步骤5中建立满足安全业务需求的可组合安全网络包含：

步骤5.1.剔除不满足安全业务需求等级所对应安全资源大小的节点，得到可行的底层物理拓扑；

步骤5.2.对安全业务需求中的候选节点集映射到满足需求的底层物理节点；

步骤5.3.对安全业务需求中的链路集使用最短路径算法映射到底层物理链路，若当前该最短路径算法无可行解，则随机推迟Tw时间后，返回步骤5.1，直到构建次数大于最大循环数K。

4.根据权利要求1所述的多等级安全服务的可组合网络构建方法，其特征在于：所述步骤7中重构准则包含有限度的局部重构和有选择的全局重构。

5.根据权利要求1所述的多等级安全服务的可组合网络构建方法，其特征在于：所述步骤7网络路径的重构包含：

步骤7.1.标记占用关键节点的可组合安全网络的链路为待重构链路；

步骤7.2.对每条待重构链路实施最短路径算法，若该最短路径算法有新的可行解，则用可行解替换该待重构链路。

6.一种多等级安全服务的可组合安全网络构建装置，其特征在于：包含：

业务等级模块，用于对安全业务进行特征归纳和需求分析，得到所属的安全业务等级；

资源查询模块，用于查询安全资源数据库，得到该安全业务等级所对应的网络安全资源大小；

网络构建模块，用于确定满足需求条件的候选节点集并依据其连接关系和构建准则，建立可组合安全网络的拓扑结构；

资源分配模块，用于根据节点的资源分配函数和资源组合函数，将网络拓扑中各节点的安全资源进行分配和组合，建立满足该类安全业务需求的可组合安全网络；

网络重构模块，用于标记关键节点并对包含关键节点的安全网络依据重构准则进行节点资源的重组和网络路径的重构。

7.根据权利要求6所述的多等级安全服务的可组合安全网络构建装置，其特征在于：所述业务等级模块包含：

特征分析代理，负责依据安全业务特性计算安全业务等级向量，并计算与安全等级数据库中各聚类中心的距离，得到最近的聚类中心，判断出该安全业务所属的安全业务等级；

安全等级数据库，安全业务等级向量集合；

需求分析代理，负责分析安全业务对应的安全业务等级向量并依据安全等级数据库判定该安全业务所属的安全业务等级。

8.根据权利要求6所述的多等级安全服务的可组合安全网络构建装置，其特征在于：所述资源查询模块包含：

安全资源数据库，安全资源集合；

资源查询代理，负责根据安全业务等级在安全资源数据库中查询相应安全资源的大小。

9.根据权利要求6所述的多等级安全服务的可组合安全网络构建装置，其特征在于：所述网络构建模块包含：

节点集发现代理，负责发现满足安全资源大小需求的可行网络节点集；

构建代理，负责在可行网络节点集拓扑上基于构建准则构建可组合安全网络的拓扑结构。

10.根据权利要求6所述的多等级安全服务的可组合安全网络构建装置，其特征在于：所述网络重构模块包含：

标记代理，负责找出网络中关键节点并将占用关键节点的可组合安全网络链路标记为待重构链路；

重构代理，负责依据重构准则及重构算法对待重构链路或关键节点实施重构。

Images