CN106130752B - 一种基于gdoi协议下大规模网络管理系统 - Google Patents

一种基于gdoi协议下大规模网络管理系统 Download PDF

Info

Publication number
CN106130752B
CN106130752B CN201610405992.5A CN201610405992A CN106130752B CN 106130752 B CN106130752 B CN 106130752B CN 201610405992 A CN201610405992 A CN 201610405992A CN 106130752 B CN106130752 B CN 106130752B
Authority
CN
China
Prior art keywords
equipment
management
asset
information
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610405992.5A
Other languages
English (en)
Other versions
CN106130752A (zh
Inventor
朱云
李元骅
张晓囡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shudun Information Technology Co ltd
Original Assignee
Beijing Shudun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shudun Information Technology Co ltd filed Critical Beijing Shudun Information Technology Co ltd
Priority to CN201610405992.5A priority Critical patent/CN106130752B/zh
Publication of CN106130752A publication Critical patent/CN106130752A/zh
Application granted granted Critical
Publication of CN106130752B publication Critical patent/CN106130752B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种基于GDOI协议下大规模网络管理系统,所述管理系统用于对资产的信息采集、分类和管理以及对资产所关联的加密设备和密钥管理设备进行管控,密钥管理设备和加密设备的配置信息进行管理,密钥管理设备和加密设备的组策略进行配置,本发明通过资产管理模块和配置管理模块对资产及资产所关联的加密设备和密钥管理设备进行安全保护,提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了安全通信。

Description

一种基于GDOI协议下大规模网络管理系统
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于GDOI协议下大规模网络管理系统。
背景技术
全球互联网已经在人们的工作生活中不可或缺,但是网络的信息安全威胁却在逐年加剧。2013年网络安全领域著名的“棱镜门”事件中,现有的以交换机、路由器为核心的网络构架非常易于被监听。大量信息通过交换机和路由器泄漏,为所有网络使用者敲响了一个警钟。
对于全球范围的大规模企业或政府部门的互联网络,其往往采用如图1所示的网络拓扑结构。整个网络分为三层,其中集团环网平台由若干个数据中心组成,数据中心之间由多个10G网络组成环网,为全集团提供应用业务访问,数据汇总等服务;区域中心平台,由若干个区域中心组成,区域中心根据地域汇总各地区公司的数据,并提供通向集团环网的数据通道;地区公司平台,由各地地区公司局域网或城域网组成,承载各地公司的基础应用的网络接入。为了便于实现上述网络中各对象间的相互寻址和数据交换,现有标准的TCP/IP协议在信道上采取明文传输的方式,大量的数据在没有任何安全保护的情况下被传输;网络的路由选择机制使不同地域、国家之间在网络虚拟空间没有“国门”,传输数据可以被任意的截取、重组,并还原出原始的数据信息导致数据信息泄漏。更加危险的是,现在国内使用的大多数交换机和路由器都是国外品牌,即使国内品牌也多使用国外核心芯片设计完成,造成国内传输网络数据可能被国外机构监听。因此,为保证网络内信息的安全传递,在系统互联互通中,需要使用大量自主研发的网络交换设备、数据加密设备、密钥管理设备、安全管理设备等。其中,安全管理设备(安全管理中心)从全局上集中对加密设备及密钥管理设备进行管控,管理密钥管理设备及加密设备的配置信息,配置密钥管理设备及加密设备的组策略,查看密钥管理设备和加密设备的状态信息。此外,互联网络中各种分布式计算、语音、视频等业务需要随时随地的在各分支机构间运行,传统意义上的Hub-Spoke、点对点的IPSec隧道解决方案不能满足用户的需求。GDOI(Group Domain of Interpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP安全通信提供了可能。为此,开发GDOI协议下的大规模网络安全管理中心具有重要的理论与实际意义。
发明内容
为了解决上述问题,本发明提供一种基于GDOI协议下大规模网络管理系统,所述管理系统用于对资产设备的信息采集、分类和管理以及对资产设备所关联的加密设备和密钥管理设备进行管控,密钥管理设备和加密设备的配置信息进行管理,密钥管理设备和加密设备的组策略进行配置,以及密钥管理设备和加密设备的状态信息进行查看;
进一步地,所述管理系统用于对资产设备的信息采集、分类和管理以及对资产设备所关联的加密设备和密钥管理设备进行管控,密钥管理设备和加密设备的配置信息进行管理以及密钥管理设备和加密设备的组策略进行配置;
进一步地,所述资产设备管理模块包括资产设备信息采集单元、资产设备信息管理单元、责任人信息管理单元和资产设备拓扑管理单元;
进一步地,所述资产设备信息采集单元用于配合管理员完成资产设备数据的采集录入,以及资产设备模型的建立,所述资产设备数据的采集录入包括自动采集和人工录入;
进一步地,所述资产设备信息管理单元用于协助管理员完成资产设备信息显示、根据不同属性实现资产设备查询、资产设备信息修改和资产设备删除;
进一步地,所述责任人信息管理单元用于资产设备的责任人信息的建立、维护、管理工作,所述责任人为需要对资产设备负责的管理人员;
进一步地,所述资产设备拓扑管理单元用于采集建立资产设备网络拓扑图和定期维护资产设备网络拓扑图信息,并对资产设备拓扑图进行实时展示和资产设备拓扑交互管理;
进一步地,所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元,其中;
组信息管理单元,所述组信息管理单元用于协助管理员获取组加密网络中资产设备的密钥管理设备的参数;
组成员信息管理单元,所述组成员信息管理单元用于协助管理员以组成员的角度对资产设备的加密设备的信息进行获取;
进一步地,所述组策略管理单元用于对密钥管理系统中的密钥管理中心下达组策略指令,密钥管理中心执行组策略的同时将组策略指令下发给指定的组成员,从而使得密码系统根据网络管理员的指令完成密码系统组织结构或者密码参数更新的任务,所述组成员即加密设备;
进一步地,所述密码设备状态监控单元用于监控密钥管理中心和组成员的运行状态;
本发明的有益效果如下:
1)通过资产设备管理模块和配置管理模块对资产设备及资产设备所关联的加密设备和密钥管理设备进行安全保护;
2)资产设备数据收入包括自动和人工两种方式,信息更加完整周全,同时效率也有提高;
3)基于GDOI(Group Domain of Interpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了安全通信。
附图说明
图1为本发明所述的互联网络的网络拓扑结构。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。下面为本发明的举出最佳实施例:
如图1所示,本发明提供一种基于GDOI协议下大规模网络管理系统,所述管理系统包括资产设备管理模块和配置管理模块。
资产设备管理模块,所述资产设备管理模块主要实现对信息资产设备的描述和定义,并结合组织的基本情况进行资产设备的分类和登记,资产设备管理是管理系统的核心之一,是开展其他一切安全运维管理工作的基础,所述资产设备管理模块包括资产设备信息采集单元、资产设备信息管理单元、责任人信息管理单元、资产设备拓扑管理单元,所述资产设备信息采集单元用于配合管理员完成资产设备数据的采集录入,以及资产设备模型的建立,包括自动采集方式和人员录入方式,所述资产设备信息管理单元用于协助管理员完成资产设备信息显示、根据不同属性实现资产设备查询、资产设备信息修改、资产设备删除管理工作,所述责任人信息管理单元用以对资产设备责任人信息进行建立、维护和管理工作,责任人主要指需要对资产设备负责的管理人员,所述资产设备拓扑管理单元用于完成资产设备网络拓扑图信息的采集建立、定期维护、资产设备拓扑图的实时展示、资产设备拓扑交互管理工作。
配置管理模块,所述配置管理模块用于对资产设备的功能配置和功能信息进行设定,所述配置管理模块协助网络管理员完成骨干加密通信网络的信息关键监控、加密网络关键设备的管理、关键密码参数(加密算法和参数)的维护、组密码策略的制定、下发、取消管理工作,所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元,所述组信息管理单元用于协助管理员获取组加密网络中全体或者部分加密组参数的详细情况。所述组成员信息管理单元主要协助管理员以组成员的角度完成对应关键信息的获取和了解。所述组策略管理单元协助网络管理员利用安全管中心提供的接口,向组密钥服务器(KMC)下达组策略指令,KMC在执行组策略的同时将组策略指令下发给指定的组成员,从而使得密码系统根据网络管理员的指令完成密码系统组织结构或者密码参数更新任务。所述密码设备状态监控单元用于监控密钥管理中心KMC和组成员的运行状态,上述密钥管理中心KMC即为密钥管理设备,上述组成员为加密设备,所述加密设备为高速加密模组,所述加密模组可以直接嵌入到现有的核心交换机、路由器网络设备中,承担与密码相关的所有安全业务和功能,所述加密模组分左右两个独立的通道,每个通道可以处理20Gbps的业务数据。每个通道提供独立的业务接口、管理接口和认证接口;同时两个通道共用一个配置接口。加密模组完全自主研发。40G加密模组内部硬件分为三个部分:通道0数据处理部分,通道1数据处理部分,两通道共用功能部分。通道0/1数据处理部分由数据处理单元、以太网PHY、数据缓存SRAM、安全芯片和扩展模块组成;共用部分由CPLD、微控制器ARM和FLASH存储器组成。所述密钥管理设备为密钥管理中心,该中心由4个核心模块组成,分别为:设备管理管理模块、算法处理及密钥管理模块、通信处理模块及本地状态监控和管理模块。通过安全定制的Linux系统内核、专用驱动程序、密码服务及管理模块,实现对密码机的身份验证和入网控制管理,以及全网各类密钥的管理和在线动态分发功能。
本发明所述管理系统硬件部分为服务器设备,主要包括X86架构主板、存储组件、网卡、电源等,硬件资源如下表:
Figure BDA0001013676880000071
以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (5)

1.一种基于GDOI协议下大规模网络管理系统,其特征在于,所述管理系统用于对资产设备设备的信息采集、分类和管理以及对资产设备设备所关联的加密设备和密钥管理设备进行管控,密钥管理设备和加密设备的配置信息进行管理以及密钥管理设备和加密设备的组策略进行配置;
所述管理系统包括资产管理模块和配置管理模块,所述资产管理模块连接配置管理模块,其中;
资产管理模块,所述资产管理模块用于对资产设备信息进行描述和定义,并结合加密组成员的情况进行资产设备的分类和登记;
配置管理模块,所述配置管理模块用于对资产设备设备相关联的加密设备和密钥管理设备的功能配置和功能信息进行设定;
所述资产管理模块包括资产设备信息采集单元、资产设备信息管理单元、责任人信息管理单元和资产设备拓扑管理单元;
所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元,其中;
组信息管理单元,所述组信息管理单元用于协助管理员获取组加密网络中资产设备的密钥管理设备的参数;
组成员信息管理单元,所述组成员信息管理单元用于协助管理员以组成员的角度对资产设备的加密设备的信息进行获取;
所述组策略管理单元用于对密钥管理系统中的密钥管理中心下达组策略指令,密钥管理中心执行组策略的同时将组策略指令下发给指定的组成员,从而使得密码系统根据网络管理员的指令完成密码系统组织结构或者密码参数更新的任务,所述组成员即加密设备;
所述密码设备状态监控单元用于监控密钥管理中心和组成员的运行状态;
所述密钥管理中心即为密钥管理设备,组成员为加密设备,所述加密设备为高速加密模组,所述加密模组可以直接嵌入到现有的核心交换机、路由器网络设备中,承担与密码相关的所有安全业务和功能,所述加密模组分左右两个独立的通道,每个通道可以处理20Gbps的业务数据;每个通道提供独立的业务接口、管理接口和认证接口;同时两个通道共用一个配置接口,高速加密模组分为三个部分:通道0数据处理部分,通道1数据处理部分,两通道共用功能部分,通道0/1数据处理部分由数据处理单元、以太网PHY、数据缓存SRAM、安全芯片和扩展模块组成;共用部分由CPLD、微控制器ARM和FLASH存储器组成,所述密钥管理设备由4个核心模块组成,分别为:设备管理管理模块、算法处理及密钥管理模块、通信处理模块及本地状态监控和管理模块,通过安全定制的Linux系统内核、专用驱动程序、密码服务及管理模块,实现对密码机的身份验证和入网控制管理,以及全网各类密钥的管理和在线动态分发功能。
2.根据权利要求1所述的管理系统,其特征在于,所述资产设备信息采集单元用于配合管理员完成资产设备设备数据的采集录入,以及资产设备模型的建立,所述资产设备数据的采集录入包括自动采集和人工录入。
3.根据权利要求2所述的管理系统,其特征在于,所述资产设备信息管理单元用于协助管理员完成资产设备信息显示、根据不同属性实现资产设备查询、资产设备信息修改和资产设备删除。
4.根据权利要求3所述的管理系统,其特征在于,所述责任人信息管理单元用于资产设备的责任人信息的建立、维护、管理工作,所述责任人为需要对资产设备负责的管理人员。
5.根据权利要求4所述的管理系统,其特征在于,所述资产设备拓扑管理单元用于采集建立资产设备网络拓扑图和定期维护资产设备网络拓扑图信息,并对资产设备拓扑图进行实时展示和资产设备拓扑交互管理。
CN201610405992.5A 2016-06-10 2016-06-10 一种基于gdoi协议下大规模网络管理系统 Active CN106130752B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610405992.5A CN106130752B (zh) 2016-06-10 2016-06-10 一种基于gdoi协议下大规模网络管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610405992.5A CN106130752B (zh) 2016-06-10 2016-06-10 一种基于gdoi协议下大规模网络管理系统

Publications (2)

Publication Number Publication Date
CN106130752A CN106130752A (zh) 2016-11-16
CN106130752B true CN106130752B (zh) 2023-04-07

Family

ID=57269963

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610405992.5A Active CN106130752B (zh) 2016-06-10 2016-06-10 一种基于gdoi协议下大规模网络管理系统

Country Status (1)

Country Link
CN (1) CN106130752B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106449A (zh) * 2006-07-13 2008-01-16 华为技术有限公司 实现多方通信安全的系统和方法
CN102447690A (zh) * 2010-10-12 2012-05-09 中兴通讯股份有限公司 一种密钥管理方法与网络设备
CN104038481A (zh) * 2014-05-22 2014-09-10 国家电网公司 一种电力资产管理主站系统与rfid终端之间的通讯方法
CN104281903A (zh) * 2013-07-05 2015-01-14 国家电网公司 电动汽车电池安全处理方法和电池安全管理装置
CN105637524A (zh) * 2013-10-01 2016-06-01 艾尼克斯股份有限公司 硬件平台中的资产管理设备和方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120266209A1 (en) * 2012-06-11 2012-10-18 David Jeffrey Gooding Method of Secure Electric Power Grid Operations Using Common Cyber Security Services
US9584314B2 (en) * 2013-08-21 2017-02-28 International Business Machines Corporation Event-driven, asset-centric key management in a smart grid
US20150281278A1 (en) * 2014-03-28 2015-10-01 Southern California Edison System For Securing Electric Power Grid Operations From Cyber-Attack

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106449A (zh) * 2006-07-13 2008-01-16 华为技术有限公司 实现多方通信安全的系统和方法
CN102447690A (zh) * 2010-10-12 2012-05-09 中兴通讯股份有限公司 一种密钥管理方法与网络设备
CN104281903A (zh) * 2013-07-05 2015-01-14 国家电网公司 电动汽车电池安全处理方法和电池安全管理装置
CN105637524A (zh) * 2013-10-01 2016-06-01 艾尼克斯股份有限公司 硬件平台中的资产管理设备和方法
CN104038481A (zh) * 2014-05-22 2014-09-10 国家电网公司 一种电力资产管理主站系统与rfid终端之间的通讯方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
GDOI多播密钥管理;冯俊昌等;《计算机与数字工程》;20061020(第11期);全文 *
基于GDOI的国产化加密系统设计与实现;卓才华等;《信息网络安全》;20150910(第09期);全文 *

Also Published As

Publication number Publication date
CN106130752A (zh) 2016-11-16

Similar Documents

Publication Publication Date Title
CN106341397A (zh) 一种工业安全隔离网闸
CN1949765B (zh) 获得被管设备的ssh主机公开密钥的方法和系统
CN100399739C (zh) 基于协商通信实现信任认证的方法
CN109361517A (zh) 一种基于云计算的虚拟化云密码机系统及其实现方法
CN106992984A (zh) 一种基于电力采集网的移动终端安全接入信息内网的方法
CN103684922A (zh) 基于sdn网络的出口信息保密检查检测平台系统及检测方法
CN105939353B (zh) 一种基于gdoi协议下安全管理及信息反馈系统
CN112738200B (zh) 一种基于封闭式公网系统的便捷运维工具及方法
CN104519055A (zh) Vpn业务实现方法、装置和vpn服务器
CN204559620U (zh) 远程支持系统、远程接入系统及远程协助系统
CN106130752B (zh) 一种基于gdoi协议下大规模网络管理系统
CN112311555A (zh) 一种企业信息监测校核系统和方法
CN216819851U (zh) 一种变电站内安全接入装置
Muhammad et al. An analysis of security challenges and their perspective solutions for cloud computing and IoT
Jia et al. A novel security private cloud solution based on eCryptfs
CN109754149A (zh) 电力通信可信后台管理系统、终端和电力通信可信系统
CN102868748B (zh) 一种文件安全共享系统及文件安全共享服务器、客户端
CN212463237U (zh) 一种基于区块链进行物联网访问控制的网关
CN206364833U (zh) 一种基于gdoi协议下大规模网络密钥管理系统
CN206364832U (zh) 一种基于gdoi协议下安全管理及信息反馈系统
CN106230856A (zh) 一种基于物联网的工业设备监控系统
CN105939354A (zh) 一种基于gdoi协议下大规模网络密钥管理系统
CN206117692U (zh) 一种基于gdoi协议下大规模网络管理系统
CN214174879U (zh) 面向电厂物联新安全分区的网络安全架构
CN109361684A (zh) 一种vxlan隧道的动态加密方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 100000 901, Floor 9, Building 7, Yard 8, Auto Museum East Road, Fengtai District, Beijing

Patentee after: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD.

Address before: Room 101-502, 5 / F, building 10, courtyard 3, fengxiu Middle Road, Haidian District, Beijing 100083

Patentee before: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD.