CN104144166B - 面向可重构服务承载网的安全管控模型建立方法 - Google Patents

Abstract

本发明涉及一种面向可重构服务承载网的安全管控模型建立方法，含有如下步骤：1.定义安全管控模型中的参量；2.采用资源管理器对可重构服务承载网进行实时监控，并获取网络当前的状态信息；3.依据状态信息对可重构服务承载网所有节点的可信性、所面临的风险进行评估；4.依据评估结果和上层管控需求，在策略库的指导下生成管控需求；5.依据管控需求分别生成可重构服务承载网网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略；6.管控方案优化；7.资源控制器将所得到的最优管控方案在可重构服务承载网上进行部署；本发明实时保证了可重构服务承载网上的数据安全、行为可信、风险可控。

Description

面向可重构服务承载网的安全管控模型建立方法

(一)、技术领域：本发明涉及一种安全管控模型建立方法，特别是涉及一种面向可重构服务承载网的安全管控模型建立方法。

(二)、背景技术：互联网以IP分组交换和资源统计复用为基础，提供“尽力而为”的网络服务，并已成为最普遍的通信载体。然而，随着信息产业的高速发展，这种僵化的网络体系结构已难以承载日益多样化的网络业务。为解决传统网络对融合、泛在、质量、安全、扩展、可管可控、移动等的支持能力低下的问题，可重构信息通信基础网络体系结构被提出。在该网络中，依据网络服务提供能力以及用户的需求和业务特性，通过构建专用虚拟网络，即可重构服务承载网，来提供网络服务，从而使网络具有高度灵活的服务能力。

可重构服务承载网面向一类业务特殊的业务提供服务，具有动态性和可伸缩性，这在解决了有限的网络基础能力与丰富的上层应用之间的矛盾的同时，也带来了严峻的安全问题，首先，在这种开放、动态和不确定的可重构服务承载网环境下，无法保证来源于不同自治域、可能陌生的实体之间协作活动的安全性和高效性，此外，实体行为不可信会导致网络服务可用性降低和安全风险增长；其次，基于密码技术的安全机制主要是针对不知道合法用户秘密信息的外部攻击者所实施的攻击，而不能防范拥有秘密信息的内部用户在被控制或者是配置错误的情况下实施的内部攻击，更无法防范由系统漏洞、病毒木马带来的网络安全风险。

(三)、发明内容：

本发明要解决的技术问题是：提供一种面向可重构服务承载网的安全管控模型建立方法，该方法实时保证了可重构服务承载网上的数据安全、行为可信、风险可控。

本发明的技术方案：

一种面向可重构服务承载网的安全管控模型建立方法，其特征是：

步骤1.定义安全管控模型中的参量：可重构服务承载网、安全元服务、安全元能力、网络安全设备和信任因子；

步骤2.可重构服务承载网状态信息采集：采用资源管理器对可重构服务承载网进行实时监控，并获取网络当前的状态信息，对于任意一个可重构服务承载网n，记其在当前时刻t的状态信息为S_n(t)；

步骤3.可重构服务承载网安全状态评估：依据状态信息S_n(t)对该可重构服务承载网n所有节点的可信性、所面临的风险进行评估，并推导出整个可重构服务承载网的可信性程度和所处的风险状态；

步骤4.依据步骤3的评估结果和上层管控需求C_n(t)，在策略库的指导下生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求；

步骤5.依据步骤4所生成的可重构服务承载网n当前时刻的管控需求，分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略，最后得到整个可重构服务承载网n的候选安全管控方案集合；

步骤6.管控方案优化：在满足管控需求的前提下，选择出实施成本最低的安全管控方案；

步骤7.资源控制器将所得到的最优管控方案在可重构服务承载网n上进行部署。

步骤1中的参量定义如下：

可重构服务承载网：可重构服务承载网是在可重构通信基础网的基础上建立的，用N表示所有的可重构服务承载网的集合，用无向图G_n＝(V_n，E_n)表示该集合中的任一可重构服务承载网n的网络拓扑，其中V_n表示可重构服务承载网n的虚拟节点集合，V是整个可重构通信基础网中的节点集合，E_n表示可重构服务承载网n的链路集合；

安全元服务：安全元服务是保证可重构服务承载网上数据安全传输所需要的服务，安全元服务含有s种不同的类型，用S＝{1，2，...，s}表示安全元服务的所有类型的集合；

安全元能力：安全元能力是实现安全元服务的密码算法，不同类型的安全元服务对应不同的安全元能力，不同的安全元能力具有不同的等级，用L＝{0，1，2，...，l}表示安全元能力的所有等级的集合，设i∈S、j∈L，u_i，j表示实现了第i类安全元服务的一种j等级安全元能力，用表τ_i，j示实施该安全元能力u_i，j所带来的计算耗时；所有安全元能力用下述s×(l+1)的矩阵U表示：

网络安全设备：网络安全设备是部署在可重构服务承载网上、用来降低网络风险的设备，网络安全设备含有d种不同的类型，用D＝{1，2，...，d}表示网络安全设备的所有类型的集合；根据安全需求的不同，每一类网络安全设备的安全强度可以配置成k个等级，用K＝{0，1，2，...，k}表示所有安全强度等级的集合；设i1∈D、j1∈K，f_i1，j1表示类型为i1、安全强度为j1等级的一种网络安全设备，用λ_i1，j1表示f_i1，j1的经济成本；所有网络安全设备用下述d×(k+1)的矩阵F表示：

信任因子：信任因子是影响可重构服务承载网上节点行为可信性的最基本因素，信任因子含有b种不同的类型，用B＝{1，2，...，b}表示信任因子的所有类型的集合；对每一类信任因子，管理层采取不同强度的激励措施以提高节点行为在该类信任因子方面的可信性，用H＝{0，1，2，...，h}表示激励措施的所有激励强度等级的集合；设i2∈B、j2∈H，p_i2，j2表示对第i2类信任因子实现的激励强度为j2等级的激励措施，用δ_i2，j2表示p_i2，j2的实施成本；所有激励措施用下述b×(h+1)的矩阵P表示：

安全元服务含有机密性服务、完整性服务和不可抵赖性服务；机密性服务对应的安全元能力是RSA-1024，完整性服务对应的安全元能力是Sha-1，RSA-1024具有比RSA-512更高的安全等级；

网络安全设备含有入侵检测系统和防火墙，入侵检测系统用来防止IP欺骗和网络泛洪，防火墙用来阻止直接访问和网络操作；

u_i，0表示可重构服务承载网上的一个节点不提供第i类安全元服务，此时的τ_i，0＝0；f_i1，0表示在可重构服务承载网上的一个节点上没有部署i1类网络安全设备，此时，λ_i1，0＝0；p_i2，0表示对可重构服务承载网上的一个节点，不在i2类信任因子方面进行激励，此时，δ_i2，0＝0。

步骤2中，网络当前的状态信息含有流量分布、节点行为记录和入侵检测记录。

步骤3的具体内容如下：

步骤3.1.对可重构服务承载网n的风险状态进行评估：

步骤3.1.1.从S_n(t)中提取出风险证据信息，通过弱点识别记录得到可重构服务承载网n中的管理配置脆弱点和节点上的漏洞，通过网络资产所在的网络位置、资产的性能和资产提供的服务得到网络资产的价值评估；

步骤3.1.2.将所得到的风险证据信息进行聚合，并将其作为一个风险评估模型的输入；

步骤3.1.3.风险评估模型分别输出可重构服务承载网n上每个节点所面临的风险和整个可重构服务承载网n所面临的风险；整个风险评估过程抽象如下：

其中，R_n(t)∈[0，+∞)表示可重构服务承载网n在时刻t所面临的风险，R_v(t)表示节点v在时刻t所面临的风险，V_n表示可重构服务承载网n的虚拟节点集合；

步骤3.2.对可重构服务承载网n的可信度进行评估：

步骤3.2.1.从S_n(t)中提取信任证据信息，并将信任证据信息分为历史证据信息和当前时刻证据信息，把当前时刻证据信息又分为直接证据信息和间接证据信息；其中，直接证据信息反映了可重构服务承载网n上节点对与该节点直接交互节点的可信性，而间接信任证据信息则是由第三方提供的推荐性信息；

步骤3.2.2.对所提取出的信任证据信息进行过滤和聚合后作为一个信任评估模型的输入，以保证信任证据信息的可信性；

步骤3.2.3.信任评估模型对信任证据信息进行分析，得到可重构服务承载网n上每个节点的可信性和整个可重构服务承载网的可信性；信任评估过程抽象如下：

其中，T_n(t)∈[0，1]表示可重构服务承载网n在时刻t的可信性，T_n(t)表示节点v在时刻t的可信性；

步骤3.3.将可重构服务承载网n的信任评估结果和风险评估结果进行聚合，即有：

步骤4中，按下述步骤生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求：

步骤4.1.依据步骤3的评估结果和上层管控需求C_n(t)判定需要重新配置安全元能力的节点集合 对任一属于的节点v，其所需要的数据安全元服务类型的集合为S^v，S为安全元服务的所有类型的集合；设i3∈S^v，相应的安全等级集合为 L为安全元能力的所有等级的集合；即有：

步骤4.2.依据步骤3的评估结果和上层管控需求C_n(t)判定需要进行信任激励的节点集合 对任一属于的节点v，其所需要激励的信任因子类型的集合为B^v，B表示信任因子的所有类型的集合；设i4∈B^v，相应的激励强度等级集合为 H表示激励措施的所有激励强度等级的集合；即有：

步骤4.3.依据步骤3的评估结果和上层管控需求C_v(t)选择需要配置安全设备的节点集合 对任一属于的节点v，需要在该节点v上配置的安全设备类型的集合为D^v，D表示网络安全设备的所有类型的集合，设i5∈D^v，相应的设备安全强度等级集合为 K表示所有设备安全强度等级的集合；即有：

步骤5中，按下述步骤分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略：

步骤5.1.安全元能力配置方案生成：给定一个具体的数据安全需求：

生成任意节点上的安全元能力配置方案的过程如下：

步骤5.1.1.当i6∈S且时，令相应的安全等级集合 与组合在一起形成安全等级集合L^v；

步骤5.1.2.对任意i7∈S和j7∈L^v，构造一个s×s的矩阵C₀和一个(l+1)×(l+1)的矩阵C₁；在矩阵C₀中，除第i7行i7列处元素的值为1外，其余元素的值均为0；在矩阵C₁中，除第j7行j7列处元素的值为1外，其余元素的值均为0；

步骤5.1.3.利用上述步骤所构造的矩阵C₀和矩阵C₁计算出一个s×(l+1)的矩阵U^v：

步骤5.1.4.节点v上任意一个满足管控需求的管控方案表示为向量集合u^v，向量集合u^v中向量的取值和排列方法为：从矩阵U^v的第一行开始，逐行从矩阵U^v中取出不等于0的向量后依次排列在向量集合u^v中，直到矩阵U^v的最后一行为止，其中，从矩阵U^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.1.5.整个可重构服务承载网n上所有节点的安全元能力配置方案表示为其中，符号×表示笛卡尔乘积；

步骤5.2.网络安全设备配置方案生成：给定一个具体的风险控制需求：

生成任意节点上的网络安全设备配置方案的过程如下：

步骤5.2.1.当i8∈D且时，令相应的设备安全强度等级集合 与组合在一起形成设备安全强度等级集合K^v；

步骤5.2.2.对任意i9∈D和j9∈K^v，构造一个d×d的矩阵C1₀和一个(k+1)×(k+1)的矩阵C1₁；在矩阵C1₀中，除第i9行i9列处元素的值为1外，其余元素的值均为0；在矩阵C1₁中，除第j9行j9列处元素的值为1外，其余元素的值均为0；

步骤5.2.3.利用上述步骤所构造的矩阵C1₀和矩阵C1₁计算出一个d×(k+1)的矩阵F^v：

步骤5.2.4.节点v上任意一个满足管控需求的风险控制方案表示为向量集合f^v，向量集合f^v中向量的取值和排列方法为：从矩阵F^v的第一行开始，逐行从矩阵F^v中取出不等于0的向量后依次排列在向量集合f^v中，直到矩阵F^v的最后一行为止，其中，从矩阵F^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.2.5.整个可重构服务承载网n上网络安全设备的配置方案可表示为其中，符号×表示笛卡尔乘积；

步骤5.3.信任激励策略生成：给定一个具体的可信性需求：

生成任意节点上的信任激励策略的过程如下：

步骤5.3.1.当ia∈B且时，令相应的激励强度等级集合与组合在一起形成激励强度等级集合H^v；

步骤5.3.2.对任意ib∈B和jb∈H^v，构造一个b×b的矩阵C2₀和一个(h+1)×(h+1)的矩阵C2₁；在矩阵C2₀中，除第ib行ib列处元素的值为1外，其余元素的值均为0；在矩阵C2₁中，除第jb行jb列处元素的值为1外，其余元素的值均为0；

步骤5.3.3.利用上述步骤所构造的矩阵C2₀和矩阵C2₁计算出一个b×(h+1)的矩阵P^v：

步骤5.3.4.节点v上任意一个满足管控需求的信任激励策略表示为表示为向量集合p^v，向量集合p^v中向量的取值和排列方法为：从矩阵P^v的第一行开始，逐行从矩阵P^v中取出不等于0的向量后依次排列在向量集合p^v中，直到矩阵P^v的最后一行为止，其中，从矩阵P^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.3.5.整个可重构服务承载网n的信任激励策略表示为其中，符号×表示笛卡尔乘积；

步骤5.4.将步骤5.1～步骤5.3所生成的方案策略进行聚合，得到整个可重构服务承载网n的候选安全管控方案集合：X×Y×Z，其中，符号×表示笛卡尔乘积；

所述步骤6的具体方法如下：

步骤6.1.对每一个候选管控方案o＝(x，y，z)∈X×Y×Z，按下述步骤计算其实施代价：

步骤6.1.1.设安全元能力配置方案实施安全元能力配置方案x中的每一个分量u^v所带来的计算耗时为τ_v，τ_v为实施u^v中各向量所带来的计算耗时的总和，则安全元能力配置方案x的代价为

步骤6.1.2.设激励策略激励策略z中的每一个分量p^v的实施成本为δ_v，δ_v为p^v中各向量的实施成本的总和，则激励策略z的实施代价为

步骤6.1.3.设安全设备配置方案安全设备配置方案y中的每一个分量f^v的经济成本为λ_v，λ_v为f^v中各向量的经济成本的总和，则安全设备配置方案y的实施代价为

步骤6.1.4.管控方案o＝(x，y，z)的实施代价即为

步骤6.2.按照下述约束条件从管控方案候选集X×Y×Z中选出最优的管控方案：

并令o_min＝(x_min，y_min，z_min)表示优化后得到的最优管控方案。

风险证据信息含有利用入侵检测记录发现的可重构服务承载网中存在的恶意攻击；网络资产含有主机、服务器和防火墙。

本发明的有益效果：

1、本发明依据可重构服务承载网的状态信息对其可信性和所面临的安全风险做出评估，并依据评估结果推导出可重构服务承载网在数据安全、信任管理、风险控制三个方面的管控需求，进而为其生成最优的满足条件的安全管控方案，最后再将该方案部署在可重构服务承载网上。本发明从“硬安全”和“软安全”两个方面解决可重构服务网的安全管控问题，即利用密码学工具保证可重构服务承载网上数据的安全，而通过信任评估和风险评估来增强可重构服务服务承载的安全性、可协作性和可用性，抑制恶意实体和行为不可信实体的活动，为可重构服务承载网安全管控提供有效支撑和辅助决策信息，实时保证可重构服务承载网上数据安全、行为可信、风险可控。

(四)、附图说明：

图1为面向可重构服务承载网的安全管控模型框架示意图；

图2为风险评估模块的工作流程示意图；

图3为信任评估模块的工作流程示意图。

(五)、具体实施方式：

一种面向可重构服务承载网的安全管控模型建立方法，其特征是：

步骤1.定义安全管控模型中的参量：可重构服务承载网、安全元服务、安全元能力、网络安全设备和信任因子；

步骤2.可重构服务承载网状态信息采集：采用资源管理器对可重构服务承载网进行实时监控，并获取网络当前的状态信息，对于任意一个可重构服务承载网n，记其在当前时刻t的状态信息为S_n(t)；

步骤3.可重构服务承载网安全状态评估：依据状态信息S_n(t)对该可重构服务承载网n所有节点的可信性、所面临的风险进行评估，并推导出整个可重构服务承载网的可信性程度和所处的风险状态；

步骤4.依据步骤3的评估结果和上层管控需求C_n(t)，在策略库的指导下生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求；

步骤5.依据步骤4所生成的可重构服务承载网n当前时刻的管控需求，分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略，最后得到整个可重构服务承载网n的候选安全管控方案集合；

步骤6.管控方案优化：在满足管控需求的前提下，选择出实施成本最低的安全管控方案；

步骤7.资源控制器将所得到的最优管控方案在可重构服务承载网n上进行部署。

步骤1中的参量定义如下：

可重构服务承载网：可重构服务承载网是在可重构通信基础网的基础上建立的，用N表示所有的可重构服务承载网的集合，用无向图G_n＝(V_n，E_n)表示该集合中的任一可重构服务承载网n的网络拓扑，其中V_n表示可重构服务承载网n的虚拟节点集合，V是整个可重构通信基础网中的节点集合，E_n表示可重构服务承载网n的链路集合；

安全元服务：安全元服务是保证可重构服务承载网上数据安全传输所需要的服务，安全元服务含有s种不同的类型，用S＝{1，2，...，s}表示安全元服务的所有类型的集合；

安全元能力：安全元能力是实现安全元服务的密码算法，不同类型的安全元服务对应不同的安全元能力，不同的安全元能力具有不同的等级，用L＝{0，1，2，...，l}表示安全元能力的所有等级的集合，设i∈S、j∈L，u_i，j表示实现了第i类安全元服务的一种j等级安全元能力，用表τ_i，j示实施该安全元能力u_i，j所带来的计算耗时；所有安全元能力用下述s×(l+1)的矩阵U表示：

网络安全设备：网络安全设备是部署在可重构服务承载网上、用来降低网络风险的设备，网络安全设备含有d种不同的类型，用D＝{1，2，...，d}表示网络安全设备的所有类型的集合；根据安全需求的不同，每一类网络安全设备的安全强度可以配置成k个等级，用K＝{0，1，2，...，k}表示所有安全强度等级的集合；设i1∈D、j1∈K，f_i1，j1表示类型为i1、安全强度为j1等级的一种网络安全设备，用λ_i1，j1表示f_i1，j1的经济成本；所有网络安全设备用下述d×(k+1)的矩阵F表示：

信任因子：信任因子是影响可重构服务承载网上节点行为可信性的最基本因素，信任因子含有b种不同的类型，用B＝{1，2，...，b}表示信任因子的所有类型的集合；对每一类信任因子，管理层采取不同强度的激励措施以提高节点行为在该类信任因子方面的可信性，用H＝{0，1，2，...，h}表示激励措施的所有激励强度等级的集合；设i2∈B、j2∈H，p_i2，j2表示对第i2类信任因子实现的激励强度为j2等级的激励措施，用δ_i2，j2表示p_i2，j2的实施成本；所有激励措施用下述b×(h+1)的矩阵P表示：

安全元服务含有机密性服务、完整性服务和不可抵赖性服务；机密性服务对应的安全元能力是RSA-1024，完整性服务对应的安全元能力是Sha-1，RSA-1024具有比RSA-512更高的安全等级；

网络安全设备含有入侵检测系统和防火墙，入侵检测系统用来防止IP欺骗和网络泛洪，防火墙用来阻止直接访问和网络操作；

u_i，0表示可重构服务承载网上的一个节点不提供第i类安全元服务，此时的τ_i，0＝0；f_i1，0表示在可重构服务承载网上的一个节点上没有部署i1类网络安全设备，此时，λ_i1，0＝0；p_i2，0表示对可重构服务承载网上的一个节点，不在i2类信任因子方面进行激励，此时，δ_i2，0＝0。

步骤2中，网络当前的状态信息含有流量分布、节点行为记录和入侵检测记录。

步骤3的具体内容如下：

步骤3.1.对可重构服务承载网n的风险状态进行评估：

步骤3.1.1.从S_n(t)中提取出风险证据信息，通过弱点识别记录得到可重构服务承载网n中的管理配置脆弱点和节点上的漏洞，通过网络资产所在的网络位置、资产的性能和资产提供的服务得到网络资产的价值评估；

步骤3.1.2.将所得到的风险证据信息进行聚合，并将其作为一个风险评估模型的输入；

步骤3.1.3.风险评估模型分别输出可重构服务承载网n上每个节点所面临的风险和整个可重构服务承载网n所面临的风险；整个风险评估过程抽象如下：

其中，R_n(t)∈[0，+∞)表示可重构服务承载网n在时刻t所面临的风险，R_v(t)表示节点v在时刻t所面临的风险，V_n表示可重构服务承载网n的虚拟节点集合；

步骤3.2.对可重构服务承载网n的可信度进行评估：

步骤3.2.1.从S_n(t)中提取信任证据信息，并将信任证据信息分为历史证据信息和当前时刻证据信息，把当前时刻证据信息又分为直接证据信息和间接证据信息；其中，直接证据信息反映了可重构服务承载网n上节点对与该节点直接交互节点的可信性，而间接信任证据信息则是由第三方提供的推荐性信息；

步骤3.2.2.对所提取出的信任证据信息进行过滤和聚合后作为一个信任评估模型的输入，以保证信任证据信息的可信性；

步骤3.2.3.信任评估模型对信任证据信息进行分析，得到可重构服务承载网n上每个节点的可信性和整个可重构服务承载网的可信性；信任评估过程抽象如下：

其中，T_n(t)∈[0，1]表示可重构服务承载网n在时刻t的可信性，T_v(t)表示节点v在时刻t的可信性；

步骤3.3.将可重构服务承载网n的信任评估结果和风险评估结果进行聚合，即有：

步骤4中，按下述步骤生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求：

步骤4.1.依据步骤3的评估结果和上层管控需求C_n(t)判定需要重新配置安全元能力的节点集合 对任一属于的节点v，其所需要的数据安全元服务类型的集合为S^v，S为安全元服务的所有类型的集合；设i3∈S^v，相应的安全等级集合为 L为安全元能力的所有等级的集合；即有：

步骤4.2.依据步骤3的评估结果和上层管控需求C_n(t)判定需要进行信任激励的节点集合 对任一属于的节点v，其所需要激励的信任因子类型的集合为B^v，B表示信任因子的所有类型的集合；设i4∈B^v，相应的激励强度等级集合为 H表示激励措施的所有激励强度等级的集合；即有：

步骤4.3.依据步骤3的评估结果和上层管控需求C_n(t)选择需要配置安全设备的节点集合 对任一属于的节点v，需要在该节点v上配置的安全设备类型的集合为D^v，D表示网络安全设备的所有类型的集合，设i5∈D^v，相应的设备安全强度等级集合为 K表示所有设备安全强度等级的集合；即有：

步骤5中，按下述步骤分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略：

步骤5.1.安全元能力配置方案生成：给定一个具体的数据安全需求：

生成任意节点上的安全元能力配置方案的过程如下：

步骤5.1.1.当i6∈S且时，令相应的安全等级集合 与组合在一起形成安全等级集合L^v；

步骤5.1.2.对任意i7∈S和j7∈L^v，构造一个s×s的矩阵C₀和一个(l+1)×(l+1)的矩阵C₁；在矩阵C₀中，除第i7行i7列处元素的值为1外，其余元素的值均为0；在矩阵C₁中，除第j7行j7列处元素的值为1外，其余元素的值均为0；

步骤5.1.3.利用上述步骤所构造的矩阵C₀和矩阵C₁计算出一个s×(l+1)的矩阵U^v：

步骤5.1.4.节点v上任意一个满足管控需求的管控方案表示为向量集合u^v，向量集合u^v中向量的取值和排列方法为：从矩阵U^v的第一行开始，逐行从矩阵U^v中取出不等于0的向量后依次排列在向量集合u^v中，直到矩阵U^v的最后一行为止，其中，从矩阵U^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.1.5.整个可重构服务承载网n上所有节点的安全元能力配置方案表示为其中，符号×表示笛卡尔乘积；

步骤5.2.网络安全设备配置方案生成：给定一个具体的风险控制需求：

生成任意节点上的网络安全设备配置方案的过程如下：

步骤5.2.1.当i8∈D且时，令相应的设备安全强度等级集合 与组合在一起形成设备安全强度等级集合K^v；

步骤5.2.2.对任意i9∈D和j9∈K^v，构造一个d×d的矩阵C1₀和一个(k+1)×(k+1)的矩阵C1₁；在矩阵C1₀中，除第i9行i9列处元素的值为1外，其余元素的值均为0；在矩阵C1₁中，除第j9行j9列处元素的值为1外，其余元素的值均为0；

步骤5.2.3.利用上述步骤所构造的矩阵C1₀和矩阵C1₁计算出一个d×(k+1)的矩阵F^v：

步骤5.2.4.节点v上任意一个满足管控需求的风险控制方案表示为向量集合f^v，向量集合f^v中向量的取值和排列方法为：从矩阵F^v的第一行开始，逐行从矩阵F^v中取出不等于0的向量后依次排列在向量集合f^v中，直到矩阵F^v的最后一行为止，其中，从矩阵F^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.2.5.整个可重构服务承载网n上网络安全设备的配置方案可表示为其中，符号×表示笛卡尔乘积；

步骤5.3.信任激励策略生成：给定一个具体的可信性需求：

生成任意节点上的信任激励策略的过程如下：

步骤5.3.1.当ia∈B且时，令相应的激励强度等级集合 与组合在一起形成激励强度等级集合H^v；

步骤5.3.2.对任意ib∈B和jb∈H^v，构造一个b×b的矩阵C2₀和一个(h+1)×(h+1)的矩阵C2₁；在矩阵C2₀中，除第ib行ib列处元素的值为1外，其余元素的值均为0；在矩阵C2₁中，除第jb行jb列处元素的值为1外，其余元素的值均为0；

步骤5.3.3.利用上述步骤所构造的矩阵C2₀和矩阵C2₁计算出一个b×(h+1)的矩阵P^v：

步骤5.3.4.节点v上任意一个满足管控需求的信任激励策略表示为表示为向量集合p^v，向量集合p^v中向量的取值和排列方法为：从矩阵P^v的第一行开始，逐行从矩阵P^v中取出不等于0的向量后依次排列在向量集合p^v中，直到矩阵P^v的最后一行为止，其中，从矩阵P^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.3.5.整个可重构服务承载网n的信任激励策略表示为其中，符号×表示笛卡尔乘积；

步骤5.4.将步骤5.1～步骤5.3所生成的方案策略进行聚合，得到整个可重构服务承载网n的候选安全管控方案集合：X×Y×Z，其中，符号×表示笛卡尔乘积；

步骤6的具体方法如下：

步骤6.1.对每一个候选管控方案o＝(x，y，z)∈X×Y×Z，按下述步骤计算其实施代价：

步骤6.1.1.设安全元能力配置方案实施安全元能力配置方案x中的每一个分量u^v所带来的计算耗时为T_v，T_v为实施u^v中各向量所带来的计算耗时的总和，则安全元能力配置方案x的代价为

步骤6.1.2.设激励策略激励策略z中的每一个分量p^v的实施成本为δ_v，δ_v为p^v中各向量的实施成本的总和，则激励策略z的实施代价为

步骤6.1.3.设安全设备配置方案安全设备配置方案y中的每一个分量f^v的经济成本为λ_v，λ_v为f^v中各向量的经济成本的总和，则安全设备配置方案y的实施代价为

步骤6.1.4.管控方案o＝(x，y，z)的实施代价即为

步骤6.2.按照下述约束条件从管控方案候选集X×Y×Z中选出最优的管控方案：

并令o_min＝(x_min，y_min，z_min)表示优化后得到的最优管控方案。

风险证据信息含有利用入侵检测记录发现的可重构服务承载网中存在的恶意攻击；网络资产含有主机、服务器和防火墙。

面向可重构服务承载网的安全管控模型可分为四个模块(如图1所示)：评估模块、管控需求生成模块、管控方案生成模块、管控方案优化模块，下面以可重构服务承载网n为例，分别叙述各个模块的具体实施方式：

1)评估模块：

评估模块的功能在于依据可重构服务承载网n在当前时刻t的状态信息S_n(t)，对可重构服务承载网n的可信性与所面临的风险进行评估，分为两个子模块：风险评估模块与信任评估模块。

风险评估模块(如图2所示)对可重构服务承载网n上所有节点以及整个可重构服务承载网所面临的风险进行评估，其流程如下：

(1)从可重构服务承载网n的状态信息S_n(t)中提取出风险证据信息，包括利用入侵检测记录发现可重构服务承载网中存在的恶意攻击等威胁，通过弱点识别记录得到可重构服务承载网中的管理配置脆弱性和节点上的漏洞等，通过网络资产(包括主机、服务器、防火墙等)所在的网络位置、资产的性能、资产提供的服务等，得到其价值评估；

(2)依据可重构服务承载网n的拓扑结构G_n＝(V_n，E_n)和其所承载业务的类型，选择恰当的风险评估模型，如基于攻击图的风险评估模型、基于隐马尔科夫模型的风险评估模型等；

(3)将所提取的风险证据信息进行聚合，并作为所选取风险评估模型的输入；

(4)风险评估模型对风险证据信息进行分析，并输出可重构服务承载网上每个节点的风险值和整个可重构服务承载网的风险值。

信任评估模块(如图3所示)对可重构服务承载网上每个节点的行为以及整个可重构服务承载网的可信性进行评估，其流程如下：

(1)从可重构服务承载网n的状态信息S_n(t)中提取信任证据信息。信任证据信息分为两类，即历史证据信息和当前时刻证据信息；历史证据信息反映了可重构服务承载网上节点前一时刻的可信性，当前时刻证据信息又可分为直接证据信息和间接证据信息；直接证据信息反映了可重构服务承载网上节点对与其直接交互节点的可信性，这类证据信息具备完全可信性；间接信任证据信息则是由第三方提供的推荐性信息，其可信性与第三方的属性相关，不具备完全可信性；

(2)依据可重构服务承载网n的拓扑结构G_n＝(V_n，E_n)和其所承载业务的类型，选择恰当的信任评估模型，如基于证据推导的信任评估模型、基于贝叶斯理论的信任评估模型等；

(3)对所提取的信任证据信息进行过滤，保证信息的可信性，然后再对其进行聚合，并作为所选择信任评估模型的输入；

(4)所选择的信任评估模型对信任证据信息进行分析，得到可重构服务承载网上每个节点的可信性和整个可重构服务承载网的可信性。

2)管控需求生成模块：

管控需求生成模块的功能在于依据评估模块对可重构服务承载网n在t时刻所做出的在可信性和风险方面的评估结果，并结合管理层对可重构服务承载网在当前时刻t的管控需求C_n(t)，在策略库的指导下按照步骤4所述生成可重构服务承载网n当前时刻t在数据安全、信任管理、风险控制三个方面的管控需求。

管理层对可重构服务承载网在当前时刻t的管控需求C_n(t)，指管理层依据可重构服务承载网n在当前时刻t自身安全需求的变化，所给出的对可重构服务承载网n的管控要求。在实际应用中，可重构服务承载网运营商可以实时地改变可重构服务承载网的安全需求，而管理层能够服务承载自身安全需求的变化，实时地给出满足要求的可重构服务承载网管控需求。

策略库描述了每一种安全元能力、网络安全设备、信任激励措施的类型和等级，以及其所对应的实施成本，定义了从可重构服务承载网的风险和信任评估结果到相应的安全管控需求的映射关系。

3)管控方案生成模块：

管控方案生成模块的功能在于针对可重构服务承载网n当前安全管控的需求，按照步骤5.1～步骤5.4，分别由数据安全模块、风险控制模块和信任管理模块生成可重构服务承载网节点上安全元能力的配置方案、网络安全设备的配置方案和信任激励策略，然后再将这些方案策略进行聚合，得到整个可重构服务承载网的安全管控方案。

安全元能力在实际应用中指具体的密码算法，如RSA-512、RSA-1024、AES-128、AES-256、DSA、Sha-1等等，其安全等级按照相关的标准(如NIST)来评定；网络安全设备在实际应用中，指防火墙、代理服务器、入侵检测系统等用来降低网络风险的设备，其安全等级由其配置所决定，如防火墙的安全性由低到高可配置为基本过滤防火墙、状态化防火墙、三接口防火墙、多防火墙等；所述信任激励策略在实际应用中，指为激励可重构服务承载网上节点行为可信性所采取的措施，如对于发布虚假路由信息的路由器，对其所公布的路由更新信息进行过滤。

4)管控方案优化模块：

管控优化模块的功能在于对管控方案生成模块所生成的候选管控方案，按照步骤6.1～步骤6.2，从中选出实施成本最低的管控方案。管控方案的实施成本指管控方案中所涉及到的密码算法的计算耗时、网络安全设备的经济成本、信任激励策略的实施代价。密码算法的计算耗时在实际应用中依据相关标准(如NIST)来确定；网络安全设备的经济成本在实际应用中按照市场价格来确定；信任激励策略的实施代价在实际应用中由激励措施的配置复杂度决定。

Claims (6)

1.一种面向可重构服务承载网的安全管控模型建立方法，其特征是：

步骤1.定义安全管控模型中的参量：可重构服务承载网﹑安全元服务﹑安全元能力﹑网络安全设备和信任因子；

步骤2.可重构服务承载网状态信息采集：采用资源管理器对可重构服务承载网进行实时监控，并获取网络当前的状态信息，对于任意一个可重构服务承载网n，记其在当前时刻t的状态信息为S_n(t)；

步骤3.可重构服务承载网安全状态评估：依据状态信息S_n(t)对该可重构服务承载网n所有节点的可信性﹑所面临的风险进行评估，并推导出整个可重构服务承载网的可信性程度和所处的风险状态；

步骤4.依据步骤3的评估结果和上层管控需求C_n(t)，在策略库的指导下生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求；

步骤5.依据步骤4所生成的可重构服务承载网n当前时刻的管控需求，分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略，最后得到整个可重构服务承载网n的候选安全管控方案集合；

步骤6.管控方案优化：在满足管控需求的前提下，选择出实施成本最低的安全管控方案；

步骤7.资源控制器将所得到的最优管控方案在可重构服务承载网n上进行部署。

2.根据权利要求1所述的面向可重构服务承载网的安全管控模型建立方法，其特征是：所述步骤1中的参量定义如下：

可重构服务承载网：可重构服务承载网是在可重构通信基础网的基础上建立的，用N表示所有的可重构服务承载网的集合，用无向图G_n＝(V_n，E_n)表示该集合中的任一可重构服务承载网n的网络拓扑，其中V_n表示可重构 服务承载网n的虚拟节点集合，V是整个可重构通信基础网中的节点集合， E_n表示可重构服务承载网n的链路集合；

安全元服务：安全元服务是保证可重构服务承载网上数据安全传输所需要的服务，安全元服务含有s种不同的类型，用S＝{1，2，...，s}表示安全元服务的所有类型的集合；

安全元能力：安全元能力是实现安全元服务的密码算法，不同类型的安全元服务对应不同的安全元能力，不同的安全元能力具有不同的等级，用L＝{0，1，2，...，l}表示安全元能力的所有等级的集合，设i∈S、j∈L，u_i，j表示实现了第i类安全元服务的一种j等级安全元能力，用τ_i，j表示实施该安全元能力u_i，j所带来的计算耗时；所有安全元能力用下述s×(l+1)的矩阵U表示：

网络安全设备：网络安全设备是部署在可重构服务承载网上、用来降低网络风险的设备，网络安全设备含有d种不同的类型，用D＝{1，2，...，d}表示网络安全设备的所有类型的集合；根据安全需求的不同，每一类网络安全设备的安全强度配置成k个等级，用K＝{0，1，2，...，k}表示所有安全强度等级的集合；设il∈D、jl∈K，f_i1，j1表示类型为il、安全强度为jl等级的一种网络安全设备，用λ_i1，j1表示f_i1，j1的经济成本；所有网络安全设备用下述d×(k+1)的矩阵F表示：

信任因子：信任因子是影响可重构服务承载网上节点行为可信性的最基本因素，信任因子含有b种不同的类型，用B＝{1，2，...，b}表示信任因子的所有类型的集合；对每一类信任因子，管理层采取不同强度的激励措施以提高节点行为 在该类信任因子方面的可信性，用H＝{0,1,2,...,h}表示激励措施的所有激励强度等级的集合；设i2∈B﹑j2∈H，p_i2，j2表示对第i2类信任因子实现的激励强度为j2等级的激励措施，用δ_i2，j2表示p_i2，j2的实施成本；所有激励措施用下述b×(h+1)的矩阵P表示：

3.根据权利要求2所述的面向可重构服务承载网的安全管控模型建立方法，其特征是：所述安全元服务含有机密性服务、完整性服务和不可抵赖性服务；机密性服务对应的安全元能力是RSA-1024，完整性服务对应的安全元能力是Sha-1，RSA-1024具有比RSA-512更高的安全等级；

所述网络安全设备含有入侵检测系统和防火墙，入侵检测系统用来防止IP欺骗和网络泛洪，防火墙用来阻止直接访问和网络操作；

u_i,0表示可重构服务承载网上的一个节点不提供第i类安全元服务，此时的τ_i,0＝0；f_i1,0表示在可重构服务承载网上的一个节点上没有部署i1类网络安全设备，此时，λ_i1，0＝0；p_i2，0表示对可重构服务承载网上的一个节点，不在i2类信任因子方面进行激励，此时，δ_i2，0＝0。

4.根据权利要求1所述的面向可重构服务承载网的安全管控模型建立方法，其特征是：所述步骤2中，网络当前的状态信息含有流量分布、节点行为记录和入侵检测记录。

5.根据权利要求2所述的面向可重构服务承载网的安全管控模型建立方法，其特征是：所述步骤3的具体内容如下：

步骤3.1.对可重构服务承载网n的风险状态进行评估：

步骤3.1.1.从S_n(t)中提取出风险证据信息，通过弱点识别记录得到可重构服务承载网n中的管理配置脆弱点和节点上的漏洞，通过网络资产所在的网络位置、资产的性能和资产提供的服务得到网络资产的价值评估；

步骤3.1.2.将所得到的风险证据信息进行聚合，并将其作为一个风险评估模型的输入；

步骤3.1.3.风险评估模型分别输出可重构服务承载网n上每个节点所面临的风险和整个可重构服务承载网n所面临的风险；整个风险评估过程抽象如下：

其中，R_n(t)∈[0,+∞)表示可重构服务承载网n在时刻t所面临的风险，R_v(t)表示节点v在时刻t所面临的风险，V_n表示可重构服务承载网n的虚拟节点集合；

步骤3.2.对可重构服务承载网n的可信度进行评估：

步骤3.2.1.从S_n(t)中提取信任证据信息，并将信任证据信息分为历史证据信息和当前时刻证据信息，把当前时刻证据信息又分为直接证据信息和间接证据信息；其中，直接证据信息反映了可重构服务承载网n上节点对与该节点直接交互节点的可信性，而间接信任证据信息则是由第三方提供的推荐性信息；

步骤3.2.2.对所提取出的信任证据信息进行过滤和聚合后作为一个信任评估模型的输入；

步骤3.2.3.信任评估模型对信任证据信息进行分析，得到可重构服务承载网n上每个节点的可信性和整个可重构服务承载网的可信性；信任评估过程抽象如下：

其中，T_n(t)∈[0,1]表示可重构服务承载网n在时刻t的可信性，T_v(t)表示节点v在时刻t的可信性；

步骤3.3.将可重构服务承载网n的信任评估结果和风险评估结果进行聚合，即有：

所述步骤4中，按下述步骤生成可重构服务承载网n当前时刻在数据安全、行为可信、风险控制三个方面的管控需求：

步骤4.1.依据步骤3的评估结果和上层管控需求C_n(t)判定需要重新配置安全元能力的节点集合 对任一属于的节点v，其所需要的数据安全元服务类型的集合为S^v，S为安全元服务的所有类型的集合；设i3∈S^v， 相应的安全等级集合为 L为安全元能力的所有等级的集合；即有：

步骤4.2.依据步骤3的评估结果和上层管控需求Cn(t)判定需要进行信任激励的节点集合 对任一属于的节点v，其所需要激励的信任因子类型的集合为B^v，B表示信任因子的所有类型的集合；设i4∈B^v，相应的激励强度等级集合为 H表示激励措施的所有激励强度等级的集合；即有：

步骤4.3.依据步骤3的评估结果和上层管控需求C_n(t)选择需要配置安全设备的节点集合 对任一属于的节点v，需要在该节点v上配置的安全设备类型的集合为D^v，D表示网络安全设备的所有类型的集合，设i5∈D^v，相应的设备安全强度等级集合为 K表示所有设备安全强度等级的集合；即有：

所述步骤5中，按下述步骤分别生成可重构服务承载网n网络上节点安全元能力的配置方案、网络安全设备的配置方案和信任激励策略：

步骤5.1.安全元能力配置方案生成：给定一个具体的数据安全需求：

生成任意节点上的安全元能力配置方案的过程如下：

步骤5.1.1.当i6∈S且时，令相应的安全等级集合 与组 合在一起形成安全等级集合L^v；

步骤5.1.2.对任意i7∈S和j7∈L^v，构造一个s×s的矩阵C₀和一个(l+1)×(l+1)的矩阵C₁；在矩阵C₀中，除第i7行i7列处元素的值为1外，其余元素的值均为0；在矩阵C₁中，除第j7行j7列处元素的值为1外，其余元素的值均为0；

步骤5.1.3.利用上述步骤所构造的矩阵C₀和矩阵C₁计算出一个s×(l+1)的矩阵U^v：

步骤5.1.4.节点v上任意一个满足管控需求的管控方案表示为向量集合u^v，向量集合u^v中向量的取值和排列方法为：从矩阵U^v的第一行开始，逐行从矩阵U^v中取出不等于0的向量后依次排列在向量集合u^v中，直到矩阵U^v的最后一行为止，其中，从矩阵U^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.1.5.整个可重构服务承载网n上所有节点的安全元能力配置方案表示为其中，符号×表示笛卡尔乘积；

步骤5.2.网络安全设备配置方案生成：给定一个具体的风险控制需求：

生成任意节点上的网络安全设备配置方案的过程如下：

步骤5.2.1.当i8∈D且时，令相应的设备安全强度等级集合 与组合在一起形成设备安全强度等级集合K^v；

步骤5.2.2.对任意i9∈D和j9∈K^v，构造一个d×d的矩阵C1₀和一个(k+1)×(k+1)的矩阵C1₁；在矩阵C1₀中，除第i9行i9列处元素的值为1外，其余元素的值均为0；在矩阵C1₁中，除第j9行j9列处元素的值为1外，其余元素的值均为0；

步骤5.2.3.利用上述步骤所构造的矩阵C1₀和矩阵C1₁计算出一个d×(k+1)的矩阵F^v：

步骤5.2.4.节点v上任意一个满足管控需求的风险控制方案表示为向量集合f^v，向量集合f^v中向量的取值和排列方法为：从矩阵F^v的第一行开始，逐行从矩阵F^v中取出不等于0的向量后依次排列在向量集合f^v中，直到矩阵F^v的最后一行为止，其中，从矩阵F^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.2.5.整个可重构服务承载网n上网络安全设备的配置方案可表示为其中，符号×表示笛卡尔乘积；

步骤5.3.信任激励策略生成：给定一个具体的可信性需求：

生成任意节点上的信任激励策略的过程如下：

步骤5.3.1.当ia∈B且时，令相应的激励强度等级集合 与组合在一起形成激励强度等级集合H^v；

步骤5.3.2.对任意ib∈B和jb∈H^v，构造一个b×b的矩阵C2₀和一个(h+1)×(h+1)的矩阵C2₁；在矩阵C2₀中，除第ib行ib列处元素的值为1外，其余元素的值均为0；在矩阵C2₁中，除第jb行jb列处元素的值为1外，其余元素的值均为0；

步骤5.3.3.利用上述步骤所构造的矩阵C2₀和矩阵C2₁计算出一个b×(h+1)的矩阵P^v：

步骤5.3.4.节点v上任意一个满足管控需求的信任激励策略表示为表示为向量集合p^v，向量集合p^v中向量的取值和排列方法为：从矩阵P^v的第一行开始， 逐行从矩阵P^v中取出不等于0的向量后依次排列在向量集合p^v中，直到矩阵P^v的最后一行为止，其中，从矩阵P^v的每行中取向量的顺序为：从本行的第一个向量开始到最后一个向量为止；

步骤5.3.5.整个可重构服务承载网n的信任激励策略表示为其中，符号×表示笛卡尔乘积；

步骤5.4.将步骤5.1～步骤5.3所生成的方案策略进行聚合，得到整个可重构服务承载网n的候选安全管控方案集合：X×Y×Z，其中，符号×表示笛卡尔乘积；

所述步骤6的具体方法如下：

步骤6.1.对每一个候选管控方案o＝(x,y,z)∈X×Y×Z，按下述步骤计算其实施代价：

步骤6.1.1.设安全元能力配置方案实施安全元能力配置方案x中的每一个分量u^v所带来的计算耗时为t_v，τ_v为实施u^v中各向量所带来的计算耗时的总和，则安全元能力配置方案x的代价为

步骤6.1.2.设激励策略激励策略z中的每一个分量p^v的实施成本为δ_v，δ_v为p^v中各向量的实施成本的总和，则激励策略z的实施代价为

步骤6.1.3.设安全设备配置方案安全设备配置方案y中的每一个分量f^v的经济成本为λ_v，λ_v为f^v中各向量的经济成本的总和，则安全设备配置方案y的实施代价为

步骤6.1.4.管控方案o＝(x,y,z)的实施代价即为

步骤6.2.按照下述约束条件从管控方案候选集X×Y×Z中选出最优的管控方案：

并令o_min＝(x_min,y_min,z_min)表示优化后得到的最优管控方案。

6.根据权利要求5所述的面向可重构服务承载网的安全管控模型建立方法，其特征是：所述风险证据信息含有利用入侵检测记录发现的可重构服务承载网中存在的恶意攻击；网络资产含有主机、服务器和防火墙。