CN111586047B - 一种集中网络数据的安全管理方法及系统 - Google Patents
一种集中网络数据的安全管理方法及系统 Download PDFInfo
- Publication number
- CN111586047B CN111586047B CN202010381758.XA CN202010381758A CN111586047B CN 111586047 B CN111586047 B CN 111586047B CN 202010381758 A CN202010381758 A CN 202010381758A CN 111586047 B CN111586047 B CN 111586047B
- Authority
- CN
- China
- Prior art keywords
- attribute
- physical
- user
- data
- security layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种集中网络数据的安全管理方法及系统,将指定网络资源定义为物理安全层、网络中间安全层、业务安全层和主控节点,并将防护系统定义包括为物理安全层、网络中间安全层、业务安全层和主控节点四个部分,实现防护系统组成与指定网络分层的一一对应。不仅可以根据物理设备的状态实时动态调整安全分层,还可以动态调整属性域的大小,避免物理设备过于集中,降低被攻击的概率。引入属性加密的技术手段,对传输数据进行属性加密,更好地保护不同用户的业务数据。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种集中网络数据的安全管理方法及系统。
背景技术
现有网络资源通常是在某一个域内集中存在,例如对应某一属性域的网络资源集中存在,而偏离该某一个域的网络资源较少。由此会带来一个网络安全问题,过于集中存在的网络资源更容易遭到网络攻击。同时,传统的网络架构分层并不是从网络安全角度来划分,更多的是从网络传输角度来划分的,导致无论是资源集中度,还是架构分层,网络的安全性急需加强。
因此,急需一种针对性的安全管理方法和对应的系统。
发明内容
本发明的目的在于提供一种集中网络数据的安全管理方法及系统,解决现有过于集中存在的网络资源的安全问题,并引入资源安全动态分层的技术手段,更好地保护不同用户的业务数据。
第一方面,本申请提供一种集中网络数据的安全管理方法,所述方法包括:
将指定网络资源定义为物理安全层、网络中间安全层、业务安全层和主控节点;
所述物理安全层,包括:周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层,包括根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
结合第一方面,在第一方面第一种可能的实现方式中,所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
结合第一方面,在第一方面第二种可能的实现方式中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第一方面,在第一方面第三种可能的实现方式中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
第二方面,本申请提供一种集中网络数据的安全管理系统,所述系统包括:物理安全层、网络中间安全层、业务安全层和主控节点四个部分,分别对应被定义为物理安全层、网络中间安全层、业务安全层和主控节点的指定网络资源;
所述物理安全层,包括:周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层,包括根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
结合第二方面,在第二方面第一种可能的实现方式中,所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
结合第二方面,在第二方面第二种可能的实现方式中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第二方面,在第二方面第三种可能的实现方式中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
本发明提供一种集中网络数据的安全管理方法及系统,将指定网络资源定义为物理安全层、网络中间安全层、业务安全层和主控节点,并将防护系统定义包括为物理安全层、网络中间安全层、业务安全层和主控节点四个部分,实现防护系统组成与指定网络分层的一一对应。不仅可以根据物理设备的状态实时动态调整安全分层,还可以动态调整属性域的大小,避免物理设备过于集中,降低被攻击的概率。引入属性加密的技术手段,对传输数据进行属性加密,更好地保护不同用户的业务数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明集中网络数据的安全管理方法的大致流程图;
图2为本发明集中网络数据的安全管理系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的集中网络数据的安全管理方法的大致流程图,所述方法包括:
将指定网络资源定义为物理安全层、网络中间安全层、业务安全层和主控节点;
所述物理安全层,包括:周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层,包括根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
在一些优选实施例中,所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
在一些优选实施例中,所述物理安全层、网络中间安全层、业务安全层和主控节点部署在不同的装置上,装置之间协同工作。
所述部署在不同的装置上,可以是每一个安全层为一个装置,不同装置之间通过专用安全传输协议进行传输。所述专用安全传输协议可以是在通用传输协议的基础上添加特殊的报头,所述报头中携带有字段,用于指示加密算法或密钥。
所述部署在不同的装置上,可以是物理安全层、网络中间安全层、业务安全层集成在一个装置上,而主控节点部署在一个网络中间装置上,不同装置之间通过专用安全传输协议进行传输。
所述主控节点可以不是固定在一个网络中间装置上,可以根据网络中间装置当前的负载情况、业务种类动态调整到其他网络中间装置上。
所述物理安全层、网络中间安全层、业务安全层和主控节点四个部分,也可以不是固定一种部署方式,可以根据情况动态调整部署。这里所述的情况,可以是网络拥塞、被攻击范围等等因素。
还可以物理设备包括被固化在芯片内的第一加密密钥,是指在物理设备的硬件加密芯片内完成第一道数字加密,这里的密钥是固定不变的。
在一些优选实施例中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
图2为本申请提供的集中网络数据的安全管理系统的架构图,所述系统包括:物理安全层、网络中间安全层、业务安全层和主控节点四个部分,分别对应被定义为物理安全层、网络中间安全层、业务安全层和主控节点的指定网络资源;
所述物理安全层,包括:周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层,包括根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
在一些优选实施例中,所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
在一些优选实施例中,所述物理安全层、网络中间安全层、业务安全层和主控节点部署在不同的装置上,装置之间协同工作。
在一些优选实施例中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种集中网络数据的安全管理方法,其特征在于,所述方法包括:
将指定网络资源定义为物理安全层单元、网络中间安全层单元、业务安全层单元和主控节点;
所述物理安全层单元,周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层单元;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层单元,根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层单元;对传输数据进行基于用户属性加密处理;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层单元,进行业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到的。
2.根据权利要求1所述的方法,其特征在于:所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
3.根据权利要求1所述的方法,其特征在于:所述网络中间安全层单元还采用访问控制、入侵检测,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
4.根据权利要求1所述的方法,其特征在于:所述主控节点还进行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
5.一种集中网络数据的安全管理系统,其特征在于,所述系统包括:物理安全层单元、网络中间安全层单元、业务安全层单元和主控节点四个部分,分别对应被定义为物理安全层单元、网络中间安全层单元、业务安全层单元和主控节点的指定网络资源;
所述物理安全层单元,用于执行:周期获知底层物理设备的工作状态,激活休眠的物理设备,休眠故障的物理设备,将所述休眠的物理设备剔除出物理安全层单元;
其中,所述激活休眠的物理设备之前,包括指示所述物理设备上传自身状态代码,如果所述状态代码为非故障代码,则判断该物理设备恢复正常,激活该物理设备;
所述网络中间安全层单元,用于执行:根据用户属性动态划分不同的属性域,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述物理安全层单元;对传输数据进行基于用户属性加密处理;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务安全层单元,用于执行:业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,用于执行:下发获知物理设备的工作状态的指令,下发休眠故障物理设备的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还统计各个属性域下辖的物理设备数量,若某一属性域下辖的物理设备数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的物理设备数量,计算有关物理设备数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到的。
6.根据权利要求5所述的系统,其特征在于,所述将该属性域下的与其他属性域业务相关度高的物理设备重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的物理设备数量,计算有关物理设备数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
7.根据权利要求5所述的系统,其特征在于,所述网络中间安全层单元还采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
8.根据权利要求5所述的系统,其特征在于,所述主控节点还进行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010381758.XA CN111586047B (zh) | 2020-05-08 | 2020-05-08 | 一种集中网络数据的安全管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010381758.XA CN111586047B (zh) | 2020-05-08 | 2020-05-08 | 一种集中网络数据的安全管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111586047A CN111586047A (zh) | 2020-08-25 |
| CN111586047B true CN111586047B (zh) | 2022-01-04 |
Family
ID=72110746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010381758.XA Active CN111586047B (zh) | 2020-05-08 | 2020-05-08 | 一种集中网络数据的安全管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111586047B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN103647644A (zh) * | 2013-12-26 | 2014-03-19 | 北京航空航天大学 | 一种实现分层认证机构的属性基加密方法 |
| CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10498762B1 (en) * | 2015-10-22 | 2019-12-03 | Versafe Ltd. | Methods for hypertext markup language (HTML) input field obfuscation and devices thereof |
| CN110099043B (zh) * | 2019-03-24 | 2021-09-17 | 西安电子科技大学 | 支持策略隐藏的多授权中心访问控制方法、云存储系统 |
| CN110636500B (zh) * | 2019-08-27 | 2022-04-05 | 西安电子科技大学 | 支持跨域数据共享的访问控制系统及方法、无线通信系统 |
-
2020
- 2020-05-08 CN CN202010381758.XA patent/CN111586047B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN103647644A (zh) * | 2013-12-26 | 2014-03-19 | 北京航空航天大学 | 一种实现分层认证机构的属性基加密方法 |
| CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于属性的加密算法设计与分析;张凯;《中国博士学位论文全文数据库》;20190115;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111586047A (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rana et al. | Lightweight cryptography in IoT networks: A survey | |
| Zarpelão et al. | A survey of intrusion detection in Internet of Things | |
| CN111464563B (zh) | 一种工业控制网络的防护方法及对应的装置 | |
| US9294489B2 (en) | Method and apparatus for detecting an intrusion on a cloud computing service | |
| Puthal et al. | SEEN: A selective encryption method to ensure confidentiality for big sensing data streams | |
| AU2016234999A1 (en) | Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness | |
| Igbe et al. | Deterministic dendritic cell algorithm application to smart grid cyber-attack detection | |
| Al Shehri | A survey on security in wireless sensor networks | |
| CN110677234B (zh) | 一种基于同态加密区块链的隐私保护方法与系统 | |
| Battistoni et al. | CURE—Towards enforcing a reliable timeline for cloud forensics: Model, architecture, and experiments | |
| CN111585813B (zh) | 一种物联网环境下网络节点的管理方法及系统 | |
| Rana et al. | Current lightweight cryptography protocols in smart city IoT networks: a survey | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
| Zhang et al. | TIIA: A blockchain-enabled threat intelligence integrity audit scheme for IIoT | |
| Sadineni et al. | Ready-iot: A novel forensic readiness model for internet of things | |
| CN116232770A (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
| Venkatesan et al. | Retracted: An enhance the data security performance using an optimal cloud network security for big data cloud framework | |
| CN111586045B (zh) | 一种属性加密和动态安全层的防护方法及对应的防火墙 | |
| Manimaran et al. | The conjectural framework for detecting DDoS attack using enhanced entropy based threshold technique (EEB-TT) in cloud environment | |
| Neu et al. | An approach for detecting encrypted insider attacks on OpenFlow SDN Networks | |
| US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
| KR20130085473A (ko) | 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 | |
| Liang et al. | Collaborative intrusion detection as a service in cloud computing environment | |
| Do et al. | Privacy-preserving approach for sharing and processing intrusion alert data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |