CN116633693A - 一种基于全要素网络标识的可信安全网关实现方法 - Google Patents
一种基于全要素网络标识的可信安全网关实现方法 Download PDFInfo
- Publication number
- CN116633693A CN116633693A CN202310904849.0A CN202310904849A CN116633693A CN 116633693 A CN116633693 A CN 116633693A CN 202310904849 A CN202310904849 A CN 202310904849A CN 116633693 A CN116633693 A CN 116633693A
- Authority
- CN
- China
- Prior art keywords
- network
- trusted
- service
- full
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000001514 detection method Methods 0.000 claims abstract description 63
- 239000011159 matrix material Substances 0.000 claims abstract description 19
- 238000007726 management method Methods 0.000 claims description 53
- 239000000872 buffer Substances 0.000 claims description 35
- 238000002955 isolation Methods 0.000 claims description 30
- 238000004458 analytical method Methods 0.000 claims description 27
- 230000007246 mechanism Effects 0.000 claims description 27
- 230000006870 function Effects 0.000 claims description 23
- 238000012550 audit Methods 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 16
- 238000013475 authorization Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 238000011217 control strategy Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 4
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 20
- 230000001276 controlling effect Effects 0.000 description 8
- 230000007123 defense Effects 0.000 description 8
- 238000001914 filtration Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011118 depth filtration Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000012464 large buffer Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于全要素网络标识的可信安全网关实现方法,包括:对网络身份标识进行管控;建立矩阵式全流量检测引擎;对业务工作流进行可信管控;对微服务进行强隔离。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种基于全要素网络标识的可信安全网关实现方法。
背景技术
在当今信息社会的时代,保护信息的私密性、完整性、真实性和可靠性,提供一个可信赖的计算环境已经成为信息化的必然要求。
为此,必须做到终端接入可信,从源头解决人与程序、人与机器还有人与人之间的信息安全传递,进而形成一个可信的网络,解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。
当前,在交通、政务、能源、金融、通信等重要行业和领域,关键信息基础设施融入其中、控制其内,直接关系到国家命脉,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害公共利益。
针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战,提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系,建立风险可控“天网恢恢、疏而不漏”式主动安全体系,建立网络空间“风险可控、主动防御”的安全技术方法和系统,是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。
在现代网络边界“逐步模糊与消失”安全体系结构下,需要解决安全问题是资源共享和业务协作理论为突破方向,并制定出符合要求的可信模型。
在互联网与物联网中,由于信息安全的隐患源于多个方面,在对陌生方建立信任所依赖的访问控制策略中,都可能泄露交互主体的敏感信息,在基于服务为中心的计算环境中,服务间的信任关系常常是动态地建立、调整,需要协商的方式达成协作或资源访问的目的,通过策略的一致性保证系统和网络的稳定性。
安全策略是对有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。
访问控制模型是一种从访问控制的角度出发,描述安全系统,建立安全模型的方法,访问控制(Access Control) 是国际标准化组织ISO在网络安全标准(ISO7498-2)中定义的安全信息系统的基础架构中必须包含的五种安全服务之一,是指主体依据某些控制策略或权限对客体本身或资源进行不同授权访问。
著名的经典访问控制模型包括:自主访问控制DAC、强制访问控制MAC和基 于角色的访问控制RBAC。随着网络技术的迅速发展,可信网络作为下一代的移动网络,在为用户提供了更加广阔的资源空间和更加便利服务的同时,也产生了新的安全问题。
但传统访问控制模型主要关注在一个信息系统封闭环境中资源机密性和完整性的保护,不能很好地满足可信网络环境中动态、连续的访问控制需求。
近几年,可信计算研究不断从终端向网络扩展,而且研究的深度也进一步 增加,在理论发展的同时,可信计算的实现也逐步跟进。
防火墙是现代网络安全防护技术中的重要构成内容,通过内部与外部网络的中间过程,部署网络访问控制防御系统,可有效地防护外部的侵扰与影响。
同时,具有一定的抗攻击能力,对于外部攻击具有自我保护的作用。
目前,网络访问控制方法,包含MAC地址过滤、VLAN隔离、ACL自主访问控制方法,和防火墙控制法,在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限,从而限制了每一业务流的通断。
从防护功能上,包过滤型防火墙、状态检测型防火墙、应用级防火墙和混合型防火墙,针对一些底层(网络层、传输层)的信息进行阻断,提供IP、端口防护,以及对应用层实施协议过滤等功能,包含不限于如下的安全问题:
第一,网络接入控制措施不完善。目前,边缘端不支持完整性检验,缺少用户授信与授权,存在着诸多安全风险,不能阻止感染病毒、蠕虫的程序和文件的传输。
第二,用户身份认证机制不统一。边缘端对不同网络的资源进行访问时,存在没有统一身份认证机制与用户账户管理,仅提供粗粒度的访问控制能力。
第三,网络监控和授权机制不完善。现有的网络监控设备并没有预知安全状态变化的功能,缺少系统授权要求,不能防范新威胁,由自身安全漏洞引起的威胁。
第四,难以管控,非专业用户难于管理和配置,易造成安全漏洞;不区分所执行策略对错,一旦被控制,保护网络就无安全性。
由于以上缺陷与不足,导致被攻破的几率已经接近50%。
针对关键信息基础设施(简称:关基)中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知威胁等带来的严峻挑战,基于软件定义边界(SDP,SoftwareDefined Perimeter)零信任网络访问的安全架构,提出了基于全要素网络标识实现可信安全网关的装置与方法,不限于包含根据身份控制对资源的访问模型—每个终端在连接服务器前必须进行验证,并确保每台设备都是被允许接入,并隐藏核心网络资产与设施,没有对外暴露的DNS或者IP地址,只有通过授权的SDP客户端才能使用专有的协议进行连接,实现可信网络连接(TNC,Trusted Network Connection),包含实施多维度安全认证、南北向算力网络强制访问控制与东西向微服务的强隔离等措施,有效地解决传统防火墙“粗放”的访问控制机制,所带来的防护能力不足与难以有效地管控的安全问题。
发明内容
本发明提供了一种基于全要素网络标识的可信安全网关实现方法,解决现有技术中无法有效地制止内部网络用户泄露敏感信息;无法有效地预防内部网络用户发起的网络攻击;无法有效地阻止各种数据驱动型网络攻击;无法有效地防止各种网络拒绝服务攻击等问题。
为解决上述问题,一方面,本发明提供一种基于全要素网络标识的可信安全网关实现方法,包括:
对网络身份标识进行管控;
建立矩阵式全流量检测引擎;
对业务工作流进行可信管控;
对微服务进行强隔离。
所述对网络身份标识进行管控,包括:
建立全要素网络身份标识;
建立认证操作链,定义多种认证序列,并基于角色授权框架的基础上,结合上下文感知信息构建业务访问权限以实施自适应的访问控制;
设置统一登录平台,并制定网络访问策略;
通过网络监测和信任评估,实时评估访问主体当前的信任状态。
所述设置统一登录平台,并制定网络访问策略,包括:
设置访问控制接口,从而与外部权限管理服务器共同实现访问控制功能;
设置安全审计接口,从而与外部安全审计服务器共同实现安全审计功能;
判断客户端证书是否作废;
获取客户端证书的属性,并将客户端证书的属性提交给服务器以进行处理;
为生成站点私钥文件和为生成站点证书提供请求文件,从而为认证网关提供站点私钥文件和站点证书;
进行用户身份确认,并接受网络信任域管理中心的统一管理,从而保证合法用户可以在全网范围内自由通行;
为责任认定提供用户上网状态信息,提供用户跨网、跨域访问的行为记录,从而支持责任认定的全网化;
通过责任认定后,将访问请求放行,并路由到目的地;
提供用户终端到可信安全网关的加密传输服务,从而确保信息传输的安全性。
所述建立矩阵式全流量检测引擎,包括:
基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎;
基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈;
基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。
所述基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎,包括:
划分空闲缓冲区队列和已使用缓冲区队列,并保存缓冲区数据单元指针的指针列表;
当捕获一个数据包之前,从空闲缓冲区队列的头部取下一个空的存储单元,并将从网卡读入的数据拷贝到所述存储单元以后,捕包程序将所述缓冲单元挂到已使用缓冲队列的尾部;
从已使用缓冲队列的头部取下一个数据单元进行消费,消费完成以后,直接将所述数据单元挂到待发送缓冲区队列;
所述基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈,包括:
通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理,并通过一个发送单元收集器完成数据单元的发送;同时,将发送单元收集器占用的数据单元返回给空闲存储单元队列中,让捕包系统重复利用这些单元;
每一个内容分析任务,均设有一个私有的协议栈状态表和两个数据队列索引,其中,协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候,用来保存上下文信息和暂存数据使用,而两个数据队列索引则分别用来存储待分析的数据块和已分析的数据块。
所述对业务工作流进行可信管控,包括:
基于SDN对业务工作流进行可信管控;
将业务流程与数据流间映射,把业务审计流程映射到相关网络交换策略、数据隔离策略,形成业务与数据安全平面;
根据业务要求定义业务逻辑拓扑;
设置流量基线;
设置可信业务工作流的安全机制。
所述设置流量基线,包括:
以网络中的实际流量为基础,通过流量自学习方法建立初步的可信业务工作流模型,并所述实际流量对可信业务工作流模型进行修正,成为可用于检测的基线模型;其中,可信业务工作流包括符合业务系统预先定义的执行逻辑的业务以及符合业务系统运行规律的网络流量符合业务系统运行的规律的业务;
对网络中的流量进行实时监测,并将监测到的数据与基线模型进行对比,当实际检测数据与基线模型的超出许可偏差时则记录为一个异常事件;
对可信业务工作流进行异常分析;
对可扩展工作流进行深度检测及隐蔽信道检测;
所述设置可信业务工作流的安全机制,包括:
验证应用程序的完整性和合法性,并确定网络访问是可信任的;
验证业务逻辑是否可靠地执行,若否,则用异常逻辑处理机制保证业务构件给出可预期的结果,并设立了逻辑可信度量状态监视器;
对行为监控,并控制异常行为,并设立行为可信状态监视器,以监视审查业务构件运行是否符合可预期的行为和结果;
检测业务运行的使用约束是否正常,并设立约束可信状态监视器;
评价业务构件的负荷与能力的平衡、业务较佳的状态以及业务较差的状态,并设立能力可信状态监视器。
设置可信状态机的状态度量监视器与安全管控中心。
所述对微服务进行强隔离,包括:
设置微隔离安全组件以负责每个服务器之间的访问控制,并实施微隔离策略,采用在服务器上部署一个Agent软件;
设置动态管理访问控制策略以在资源的IP地址等状态发生变化时,策略可以自适应调整;设置基于角色的访问控制、基于属性的访问控制的访问控制模型,并根据访问主体当前信任状态动态决定访问权限;设置细粒度的访问控制以对单一资源的单次访问请求进行授权控制;
设置微隔离安全组件以校验服务器之间的访问请求,阻断未授权的非法访问。
所述设置动态管理访问控制策略以在资源的IP地址等状态发生变化时,策略可以自适应调整;设置基于角色的访问控制、基于属性的访问控制的访问控制模型,并根据访问主体当前信任状态动态决定访问权限;设置细粒度的访问控制以对单一资源的单次访问请求进行授权控制,包括:
通过微隔离组件采集的数据来学习主机的行为习惯,形成安全基线白名单,并采用安全组对主机之间的交互流量进行控制;
设置软件定义微隔离组件。
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种基于全要素网络标识的可信安全网关实现方法。
本发明的有益效果是:提出可信网络访问控制体系架构,将实施多维度安全认证、南北向算力网络强制访问控制、东西向微服务的强隔离和可信计算机制有机地结合等措施, 系统性实施网络强制访问控制,并具备为关保信息系统提供结构化保护;基于业务工作流强制的保障能力。
并且,具有较高安全检测与访问控制能力,可以根据不同的风险事件进行分类,同时生成形成以主动检测为核心的动态防御体系,及早发现自己的安全隐患和外界的入侵途径,支持大数据平台进行大数据分析、存储及备份,同时系统允许用户对网络中的设备进行渗透测试攻击,以检测系统中存在的安全风险,实现安全风险的可预见。
第一,身份可信管控(IAM),通过统一认证、统一身份管理、集中权限管理、集中业务管控、全面审计能力,帮助企业实现安全性与便利性的统一,从而确保企业业务的安全访问。在基于角色授权框架的基础上,结合上下文感知信息(IP、地理位置、接入网络、时间、设备安全状态等),实现自适应的访问控制。
第二,持续监测与评估,持续对网络安全监测和信任评估功能:支持根据访问主体、通信链路、资源反馈的信息等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
第三,动态访问控制策略引擎,根据用户不同,数据不用,应用系统不同等种种差异化需求,通过动态访问控制策略,实现快速建立安全防御策略,准入策略,提高整体网络环境的安全防护可用性。
第四,可信认证操作链与敲门SPA认证,基于全要素网络标识实现可信安全网关的装置与方法,不限于包含根据身份控制对资源的访问模型—每个终端在连接服务器前必须进行验证,并确保每台设备都是被允许接入,并隐藏核心网络资产与设施,没有对外暴露的DNS或者IP地址,只有通过授权的业务端才能使用专有的协议进行连接,实现可信网络连接(TNC,Trusted Network Connection)。
第五,业务状态机的检测,并构成业务任务序列,包含时序状态、空间状态、和状态机变迁的触发条件,并设置三种以上违反安全原则的控制点,构成业务流检测拓扑关系,使攻击流无法逼近,实现基于业务任务序列的访问控制和主动防御,达到超4级安全保障要求,满足零信任“双向认证、准入检测、业务流访问控制,有效消除隐蔽信道”安全验证。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于全要素网络标识的可信安全网关实现方法的流程图;
图2是本发明一实施例提供的登录平台的登录过程示意图;
图3是本发明一实施例提供的网络算力的结构示意图;
图4是本发明另一实施例提供的一种基于全要素网络标识的可信安全网关实现方法的流程图;
图5是本发明一实施例提供的执行拓扑图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
本发明所涉及一种基于全要素网络标识的可信安全网关实现方法,采用以身份为中心的零信任网络访问的安全架构,基于全要素网络标识,建立网络空间中的用户、设备、网络、业务、数据的身份属性的标识库,形成了全要素网络标识和可信认证基础框架,同时,以多级安全模型为理论依据,采用无干扰信息流访问机制,并构造出多级、多层强制访问控制与可信网络连接机制有机结合,系统性实施网络强制访问控制,具有包过滤、状态检测、应用防御、网络强制访问控制等实时安全监测和快速响应的防御能力,并具备为关保信息系统提供结构化保护;基于业务工作流强制的保障能力。
该基于全要素网络标识的可信安全网关实现方法,不限于包含根据身份控制对资源的访问模型—每个终端在连接服务器前必须进行验证,并确保每台设备都是被允许接入,并隐藏核心网络资产与设施,没有对外暴露的DNS或者IP地址,只有通过授权的SDP客户端才能使用专有的协议进行连接,实现可信网络连接(TNC,Trusted NetworkConnection),包含实施多维度安全认证、南北向算力网络强制访问控制与东西向微服务的强隔离等措施,有效地解决传统防火墙“粗放”的访问控制机制,所带来的防护能力不足与难以有效地管控的安全问题。
首先,将用户、设备、网络、业务、数据的身份属性建立唯一身份标识,并实施统一管理,让用户基础设施中的每一个要素,都能够不受位置、环境、网络的约束,拥有一个唯一的身份标识,对全要素的身份化网络标识构建可信管控能力。
第二,实施统一网络策略,对网络基础设施实施软件定义策略管理,建立网络流量实现统一管理,并定义用户业务访问权限,实现业务微服务访问控制。
第三,实施统一安全数据,对全局安全数据进行统一管控,包含安全信息资产视图、身份标识与安全标记视图、安全策略视图等。
第四,实施可信度量,基于身份认证和授权构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
参见图1,图1是本发明一实施例提供的一种基于全要素网络标识的可信安全网关实现方法的流程图,所述基于全要素网络标识的可信安全网关实现方法包括S1-S4:
S1、对网络身份标识进行管控;步骤S1包括步骤S11-S14:
S11、建立全要素网络身份标识。
本实施例中,建立全要素网络身份标识,不限于网络环境下的用户身份、设备MAC和IP、网络链路、应用进程服务、关键数据等,能够不受位置、环境、网络的约束,对网络身份标识实施可信管控能力。
S12、建立认证操作链,定义多种认证序列,并基于角色授权框架的基础上,结合上下文感知信息构建业务访问权限以实施自适应的访问控制。
本实施例中,建立认证操作链,可定义多种认证序列,不限于包含用户入网身份认证、设备IP认证、应用进程服务认证、网络链路接入认证和数据操作接入认证,并基于角色授权框架的基础上,结合上下文感知信息(IP、地理位置、接入网络、时间、设备安全状态等),构建业务访问权限管理,并实施自适应的访问控制。
S13、设置统一登录平台,并制定网络访问策略。
本实施例中,参见图2,图2是本发明一实施例提供的登录平台的登录过程示意图。支持统一登录平台,不限于包含对设备身份认证和验证;对用户进行身份验证和授权;网络链路认证和验证、应用进程服务认证等多种身份认证适配方式,同时,对用户/用户组制定网络访问策略,非授权的应用完全不可见,做到最小特权的授权。
步骤S13包括步骤S131-S139:
S131、设置访问控制接口,从而与外部权限管理服务器共同实现访问控制功能。
本实施例中,访问控制:通过访问控制接口,与外部权限管理服务器共同实现访问控制功能。
S132、设置安全审计接口,从而与外部安全审计服务器共同实现安全审计功能。
本实施例中,安全审计:通过安全审计接口,与外部安全审计服务器共同实现安全审计功能。
S133、判断客户端证书是否作废。
本实施例中,证书黑名单验证:与系统内部的黑名单服务模块结合,判断客户端证书是否作废。
S134、获取客户端证书的属性,并将客户端证书的属性提交给服务器以进行处理。
本实施例中,证书属性获取:与系统内部的属性证书服务模块结合,获取客户端证书的其他属性,然后通过服务器端接口将证书属性提交给服务器进行处理。
S135、为生成站点私钥文件和为生成站点证书提供请求文件,从而为认证网关提供站点私钥文件和站点证书。
本实施例中,站点证书请求生成模块:本模块独立于其他模块,作为程序存在,基本功能为生成站点私钥文件和为生成站点证书提供请求文件,将生成的站点证书请求导入并生成站点证书,为认证网关提供私钥和证书。
S136、进行用户身份确认,并接受网络信任域管理中心的统一管理,从而保证合法用户可以在全网范围内自由通行。
本实施例中,全网统一身份认证:认证网关作为网络信任体系的信任域控制点,依托身份认证服务器进行用户身份确认;接受网络信任域管理中心的统一管理,保证合法用户可以在全网范围内自由通行。
S137、为责任认定提供用户上网状态信息,提供用户跨网、跨域访问的行为记录,从而支持责任认定的全网化。
本实施例中,全网责任认定:认证网关部署在网络的用户接入层,为责任认定提供用户上网状态信息,支持责任认定的全程化;提供用户跨网、跨域访问的行为记录,支持责任认定的全网化。
S138、通过责任认定后,将访问请求放行,并路由到目的地。
本实施例中,路由功能:通过认证后,将访问请求放行,路由到目的地。
S139、提供用户终端到可信安全网关的加密传输服务,从而确保信息传输的安全性。
本实施例中,安全传输功能:提供用户终端到可信安全网关的加密传输服务,确保信息传输的安全性。
S14、通过网络监测和信任评估,实时评估访问主体当前的信任状态。
本实施例中,支持网络监测和信任评估能力,包含支持根据访问主体、通信链路、资源反馈的信息等多源数据进行持续的安全分析,实时评估访问主体当前的信任状态。
S2、建立矩阵式全流量检测引擎;步骤S2包括步骤S21-S23:
S21、基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎。
本实施例中,网络算力参见图3,图3是本发明一实施例提供的网络算力的结构示意图,基于SDN全交换的并行检测技术框架,提供检测任务可编排,实现矩阵式全流量检测引擎,对计算环境的重要信息资产和网络流量,完成全面检测,包括攻击特征、请求响应、行为操作链等多重检测。
步骤S21包括步骤S211-S213:
S211、划分空闲缓冲区队列和已使用缓冲区队列,并保存缓冲区数据单元指针的指针列表。
本实施例中,遵循数据交换原则,采用大的缓冲区来交换数据,并划分成了独立的两部分:空闲缓冲区队列和已使用缓冲区队列,同时,保存缓冲区数据单元指针的指针列表。
S212、当捕获一个数据包之前,从空闲缓冲区队列的头部取下一个空的存储单元,并将从网卡读入的数据拷贝到所述存储单元以后,捕包程序将所述缓冲单元挂到已使用缓冲队列的尾部。
本实施例中,当捕获一个数据包之前,从空闲缓冲区队列的头部取下一个空的存储单元,为了提高访问速度,采用内存边界对齐的数据单元,比如说2K字节一个单元。并将从网卡读入的数据拷贝到这个缓冲区以后,捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。
S213、从已使用缓冲队列的头部取下一个数据单元进行消费,消费完成以后,直接将所述数据单元挂到待发送缓冲区队列。
本实施例中,分析线程,在从缓冲区取数据的时候,从已使用缓冲队列的头部取下一个数据单元进行消费,消费完成以后,直接将这个数据单元挂到待发送缓冲区队列就可以了,这样既避免的锁定,也避免了内存拷贝,而且可以充分利用缓冲区的空间。
S22、基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈。
本实施例中,基于多目标分发机制,形成了连接级并行内容分析,同时,运行多个逻辑上独立的并行内容分析协议栈。
步骤S22包括步骤S221-S222:
S221、通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理,并通过一个发送单元收集器完成数据单元的发送;同时,将发送单元收集器占用的数据单元返回给空闲存储单元队列中,让捕包系统重复利用这些单元。
本实施例中,并行协议栈通过一个数据分发器,按照IP包首的源地址和目的地址对分发到相应的线程进行处理。并通过一个发送单元收集器,完成数据单元的发送;同时,将发送单元占用的数据单元返回给空闲存储单元队列中,让捕包系统重复利用这些单元,实现捕包到分析的零拷贝过程。
S222、每一个内容分析任务,均设有一个私有的协议栈状态表和两个数据队列索引,其中,协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候,用来保存上下文信息和暂存数据使用,而两个数据队列索引则分别用来存储待分析的数据块和已分析的数据块。
本实施例中,每一个内容分析任务,均设有一个私有的协议栈状态表和两个数据队列索引,其中协议栈状态表是协议栈在进行IP协议、TCP协议、和上层应用协议还原的时候,用来保存上下文信息和暂存数据使用,而两个数据队列索引则分别用来存储待分析的数据块和已分析块。这样,任何一个内容分析的任务,进行数据操作时都不会与其他内容分析产生共享数据块,避免协议分析任务的临界锁,提供整个系统的计算吞吐量。
S23、基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。
本实施例中,基于全交换的矩阵式全流量检测引擎,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。
S3、对业务工作流进行可信管控;步骤S3包括步骤S31-S35:
S31、基于SDN对业务工作流进行可信管控。
本实施例中,业务工作流可信管控,基于可重塑网络技术(SDN),构建了系统网络平行的独立“管控网”,能根据不同业务环境,可定义“关键业务域”,并根据业务需要锁定“业务工作流”,构成了业务工作流可信的管控结构,这一特色功效,能够根据安全策略,进行安全能力协同,确保为完成计算任务的逻辑组合不被篡改和破坏,计算全程可测可控,不被干扰,实现正确计算,使计算结果总是与预期一致。
S32、将业务流程与数据流间映射,把业务审计流程映射到相关网络交换策略、数据隔离策略,形成业务与数据安全平面。
本实施例中,可信业务流是在网络环境中,与业务系统运行逻辑一致的,符合业务系统运行规律的网络流量模型。可利用SDN网络可编程的特性,将业务流程与数据流间映射,把业务审计流程映射到相关网络交换策略、数据隔离策略,形成业务与数据安全平面。
S33、根据业务要求定义业务逻辑拓扑。
本实施例中,业务逻辑可按需定义,根据业务要求按需定义业务逻辑拓扑,并可按需定义虚拟通道等。
S34、设置流量基线。
本实施例中,流量基线,可信业务流包含,一是与业务系统运行逻辑一致网络流量,符合业务系统预先定义的执行逻辑,其源IP、目的IP、源端口、目的端口、协议等符合预先的定义。二是符合业务系统运行规律的网络流量符合业务系统运行的规律,如流量出现的时间、高低峰值范围等。
步骤S34包括步骤S341-S344:
S341、以网络中的实际流量为基础,通过流量自学习方法建立初步的可信业务工作流模型,并所述实际流量对可信业务工作流模型进行修正,成为可用于检测的基线模型;其中,可信业务工作流包括符合业务系统预先定义的执行逻辑的业务以及符合业务系统运行规律的网络流量符合业务系统运行的规律的业务。
本实施例中,流量基线模型,以网络中的实际流量为基础,通过流量自学习方法建立初步的可信业务流模型,并对模型进行修正,成为可用于检测的基线模型。
S342、对网络中的流量进行实时监测,并将监测到的数据与基线模型进行对比,当实际检测数据与基线模型的超出许可偏差时则记录为一个异常事件。
本实施例中,监测流量偏差,对网络中的流量进行实时监测,并将监测到的数据与基线模型进行对比,当实际检测数据与基线模型的超出许可偏差,就记录一个异常事件。
S343、对可信业务工作流进行异常分析。
本实施例中, 异常分析,非常态业务流、灰色业务流。
S344、对可扩展工作流进行深度检测及隐蔽信道检测。
本实施例中,可扩展工作流的深度检测、隐蔽信道检测。
S35、设置可信业务工作流的安全机制。
本实施例中,可信业务工作流的安全机制,可信业务,包含四大可信要素:逻辑可信、行为可信、约束可信和能力可信。
步骤S35包括步骤S351-S356:
S351、验证应用程序的完整性和合法性,并确定网络访问是可信任的。
本实施例中,应用程序运行可信,验证应用程序的完整性和合法性,网络访问是可信任的。
S352、验证业务逻辑是否可靠地执行,若否,则用异常逻辑处理机制保证业务构件给出可预期的结果,并设立了逻辑可信度量状态监视器。
本实施例中,业务逻辑可信机制,验证业务逻辑能否正确可靠地执行,若出现执行异常,则用异常逻辑处理机制保证业务构件给出可预期的结果,并设立了逻辑可信度量状态监视器。
S353、对行为监控,并控制异常行为,并设立行为可信状态监视器,以监视审查业务构件运行是否符合可预期的行为和结果。
本实施例中,业务行为可信机制,行为监控,异常行为控制,并设立了行为可信状态监视器,审查业务构件运行是否可预期的行为和结果。
S354、检测业务运行的使用约束是否正常,并设立约束可信状态监视器。
本实施例中,业务约束可信机制,用于检测业务运行的使用约束是否正常?包括前置条件、后置条件和不变式,并设立了约束可信状态监视器。
S355、评价业务构件的负荷与能力的平衡、业务较佳的状态以及业务较差的状态,并设立能力可信状态监视器。
本实施例中,业务能力可信机制,用于评价业务构件的负荷与能力的平衡,和业务较佳的状态、和较差的状态,并设立了能力可信状态监视器。
S356、设置可信状态机的状态度量监视器与安全管控中心。
本实施例中,可信状态机的状态度量监视器与安全管控中心(SOSF),通过公共管理总线进行互操作。
S4、对微服务进行强隔离。步骤S4包括步骤S41-S43:
S41、设置微隔离安全组件以负责每个服务器之间的访问控制,并实施微隔离策略,采用在服务器上部署一个Agent软件。
本实施例中,微隔离安全组件,负责每个服务器之间的访问控制,并实施微隔离策略,采用在服务器上部署一个Agent软件,相当于在服务器上部署了一个基于身份的“防火墙”。
S42、设置动态管理访问控制策略以在资源的IP地址等状态发生变化时,策略可以自适应调整;设置基于角色的访问控制、基于属性的访问控制的访问控制模型,并根据访问主体当前信任状态动态决定访问权限;设置细粒度的访问控制以对单一资源的单次访问请求进行授权控制。
本实施例中,支持动态管理访问控制策略,在资源的IP地址等状态发生变化时,策略可以自适应调整;支持基于角色的访问控制、基于属性的访问控制等访问控制模型,并根据访问主体当前信任状态动态决定访问权限;支持细粒度的访问控制,最小粒度可达到对单一资源的单次访问请求进行授权控制。
步骤S42包括步骤S421-S422:
S421、通过微隔离组件采集的数据来学习主机的行为习惯,形成安全基线白名单,并采用安全组对主机之间的交互流量进行控制。
本实施例中,支持被管设备行为基线,通过微隔离组件采集的数据来学习主机的行为习惯,形成安全基线白名单,并采用安全组对主机之间的交互流量进行控制,实现4层访问控制。
S422、设置软件定义微隔离组件。
本实施例中,支持软件定义微隔离组件,为东西向(如数据中心服务器之间的流量占主导)微服务系统,提供独特的、针对东西向流量的识别、控制和检测能力,并支持细颗粒度、高精度的网络控制能力。
S43、设置微隔离安全组件以校验服务器之间的访问请求,阻断未授权的非法访问。
本实施例中,微隔离安全防护,微隔离安全组件为校验服务器之间的访问请求,阻断未授权的非法访问,同时,支持网络攻击即使攻陷了某个服务器,也无法以此为跳板,攻击网络中的其它服务器。并且,微隔离安全组件,可与主机安全组件融合,实现安全能力协同支持,当在服务器上发现了入侵迹象时,立即触发告警,提醒管理员尽快修复,如果超过一定期限没有修复,则自动隔离或限制服务器的访问权限。
参见图4,图4是本发明另一实施例提供的一种基于全要素网络标识的可信安全网关实现方法的流程图,本实施例包括:
1.业务边端(主体)请求网络接入,可信安全网关装置与S1:网络身份标识管控(IAM)请求“授权认证”,通过后,才连通网络。
2.授权认证,可选择S1-2认证操作链,如设备IP认证、应用进程服务认证等多种方式,或自适应敲门认证(SPA),基于业务边端的MAC等指纹信息,联合可信安全网关身份标识,生成ID和一次性口令的种子,实施敲门认证(SPA),实现先认证后网络接连的方式。参见图5,图5是本发明一实施例提供的执行拓扑图。
3.启动可信安全网关的网格算力(S2),实现矩阵式全流量检测。
南北向网络流量实时检测是最耗算力,为了提高效能,将检测任务,划分成四个子任务,包含状态包过滤、状态检测、深度检测和网格算力管控等任务。网络算力智能引擎,也划分成四个子任务:网络流量安全检测、网络应用的访问控制、应用内容管控和工作流管控,编排出多个目标检测/管控任务序列树,并对应网格算力的数据流、资源约束的映射关系,构建安全检测服务链策略,动态编排网络服务算力,和快速调度网络数据流到服务算力节点,并进行实施策略相关性检测、处理策略冲突、配置防护策略、生成并下发交换机流表,实现安全服务链自动编排。
(1)状态包过滤、状态检测、协议类别识别可以分配到同一个算力。
(2)内容识别与管控采用并行网格算力,将数据包还原的内容级别进行全面的威胁检测,还可针对入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生,帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
a.通过内容识别技术,实现了阻止木马、间谍软件和漏洞攻击,限制未经授权的文件和敏感数据的传输,控制与工作无关的上网行为等功能。
b.在管控任务编排上预置2-3个网格算力,并支持全交换的矩阵式全流量检测引擎,执行内容管控任务,也支持向安全管控中心迁移此任务。
(3)流量管理与控制,基于用户和应用的流量管理功能,完成基于应用的流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
a.将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类),分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
b.基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,精细智能的流量管理既防止带宽滥用,提升带宽使用效率。
c.在流量管控任务编排上也预置1-2个网格算力,并支持全交换的矩阵式全流量检测引擎,执行流量管控任务,也支持向安全管控中心迁移此任务。
(4)支持下方与更新访问控制策略,支持对访问控制仲裁机授信和授权,支持主动监控和可信度量。
4.可信安全网关支持访问控制组件,不限于包过滤、状态检测、深度检测和访问控制等防护能力。
5.启动S3:业务工作流可信管控,包含不限于对协议内容数据做深度包检测(DPI),支持线速提取,对数据包的内容,URL,包含携带的文件等,具有多目标、多任务的并行检测能力,可对接IDPS能力,威胁感知和URL过滤等,和对关键业务提供工作流强控,包含不限于网络层访问控制、应用层访问控制、流量管理、攻击防护、安全事件实时检测、业务流程的授权访问等。
6.支持东西向微隔离(MSG)动态访问控制,支持动态管理访问控制策略,在资源的IP地址等状态发生变化时,策略可以自适应调整;支持基于角色的访问控制、基于属性的访问控制等访问控制模型,并根据访问主体当前信任状态动态决定访问权限;支持细粒度的访问控制,最小粒度可达到对单一资源的单次访问请求进行授权控制。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种基于全要素网络标识的可信安全网关实现方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种基于全要素网络标识的可信安全网关实现方法中的步骤,因此,可以实现本发明实施例所提供的任一种基于全要素网络标识的可信安全网关实现方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于全要素网络标识的可信安全网关实现方法,其特征在于,包括:
对网络身份标识进行管控;
建立矩阵式全流量检测引擎;
对业务工作流进行可信管控;
对微服务进行强隔离。
2.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述对网络身份标识进行管控,包括:
建立全要素网络身份标识;
建立认证操作链,定义多种认证序列,并基于角色授权框架的基础上,结合上下文感知信息构建业务访问权限以实施自适应的访问控制;
设置统一登录平台,并制定网络访问策略;
通过网络监测和信任评估,实时评估访问主体当前的信任状态。
3.根据权利要求2所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述设置统一登录平台,并制定网络访问策略,包括:
设置访问控制接口,从而与外部权限管理服务器共同实现访问控制功能;
设置安全审计接口,从而与外部安全审计服务器共同实现安全审计功能;
判断客户端证书是否作废;
获取客户端证书的属性,并将客户端证书的属性提交给服务器以进行处理;
为生成站点私钥文件和为生成站点证书提供请求文件,从而为认证网关提供站点私钥文件和站点证书;
进行用户身份确认,并接受网络信任域管理中心的统一管理,从而保证合法用户可以在全网范围内自由通行;
为责任认定提供用户上网状态信息,提供用户跨网、跨域访问的行为记录,从而支持责任认定的全网化;
通过责任认定后,将访问请求放行,并路由到目的地;
提供用户终端到可信安全网关的加密传输服务,从而确保信息传输的安全性。
4.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述建立矩阵式全流量检测引擎,包括:
基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎;
基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈;
基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。
5.根据权利要求4所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述基于SDN全交换的并行检测技术框架,实现矩阵式全流量检测引擎,包括:
划分空闲缓冲区队列和已使用缓冲区队列,并保存缓冲区数据单元指针的指针列表;
当捕获一个数据包之前,从空闲缓冲区队列的头部取下一个空的存储单元,并将从网卡读入的数据拷贝到所述存储单元以后,捕包程序将缓冲单元挂到已使用缓冲队列的尾部;
从已使用缓冲队列的头部取下一个数据单元进行消费,消费完成以后,直接将所述数据单元挂到待发送缓冲区队列;
所述基于多目标分发机制形成连接级并行内容分析,并运行多个逻辑上独立的并行内容分析协议栈,包括:
通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理,并通过一个发送单元收集器完成数据单元的发送;同时,将发送单元收集器占用的数据单元返回给空闲存储单元队列中,让捕包系统重复利用这些单元;
每一个内容分析任务,均设有一个私有的协议栈状态表和两个数据队列索引,其中,协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候,用来保存上下文信息和暂存数据使用,而两个数据队列索引则分别用来存储待分析的数据块和已分析的数据块。
6.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述对业务工作流进行可信管控,包括:
基于SDN对业务工作流进行可信管控;
将业务流程与数据流间映射,把业务审计流程映射到相关网络交换策略、数据隔离策略,形成业务与数据安全平面;
根据业务要求定义业务逻辑拓扑;
设置流量基线;
设置可信业务工作流的安全机制。
7.根据权利要求6所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述设置流量基线,包括:
以网络中的实际流量为基础,通过流量自学习方法建立初步的可信业务工作流模型,并所述实际流量对可信业务工作流模型进行修正,成为可用于检测的基线模型;其中,可信业务工作流包括符合业务系统预先定义的执行逻辑的业务以及符合业务系统运行规律的网络流量符合业务系统运行的规律的业务;
对网络中的流量进行实时监测,并将监测到的数据与基线模型进行对比,当实际检测数据与基线模型的超出许可偏差时则记录为一个异常事件;
对可信业务工作流进行异常分析;
对可扩展工作流进行深度检测及隐蔽信道检测;
所述设置可信业务工作流的安全机制,包括:
验证应用程序的完整性和合法性,并确定网络访问是可信任的;
验证业务逻辑是否可靠地执行,若否,则用异常逻辑处理机制保证业务构件给出可预期的结果,并设立了逻辑可信度量状态监视器;
对行为监控,并控制异常行为,并设立行为可信状态监视器,以监视审查业务构件运行是否符合可预期的行为和结果;
检测业务运行的使用约束是否正常,并设立约束可信状态监视器;
评价业务构件的负荷与能力的平衡、业务较佳的状态以及业务较差的状态,并设立能力可信状态监视器;
设置可信状态机的状态度量监视器与安全管控中心。
8.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述对微服务进行强隔离,包括:
设置微隔离安全组件以负责每个服务器之间的访问控制,并实施微隔离策略,采用在服务器上部署一个Agent软件;
设置动态管理访问控制策略以在资源的IP地址等状态发生变化时,策略可以自适应调整;设置基于角色的访问控制、基于属性的访问控制的访问控制模型,并根据访问主体当前信任状态动态决定访问权限;设置细粒度的访问控制以对单一资源的单次访问请求进行授权控制;
设置微隔离安全组件以校验服务器之间的访问请求,阻断未授权的非法访问。
9.根据权利要求8所述的基于全要素网络标识的可信安全网关实现方法,其特征在于,所述设置动态管理访问控制策略以在资源的IP地址等状态发生变化时,策略可以自适应调整;设置基于角色的访问控制、基于属性的访问控制的访问控制模型,并根据访问主体当前信任状态动态决定访问权限;设置细粒度的访问控制以对单一资源的单次访问请求进行授权控制,包括:
通过微隔离组件采集的数据来学习主机的行为习惯,形成安全基线白名单,并采用安全组对主机之间的交互流量进行控制;
设置软件定义微隔离组件。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1至9任一项所述的一种基于全要素网络标识的可信安全网关实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310904849.0A CN116633693B (zh) | 2023-07-24 | 2023-07-24 | 一种基于全要素网络标识的可信安全网关实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310904849.0A CN116633693B (zh) | 2023-07-24 | 2023-07-24 | 一种基于全要素网络标识的可信安全网关实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116633693A true CN116633693A (zh) | 2023-08-22 |
| CN116633693B CN116633693B (zh) | 2023-10-31 |
Family
ID=87636918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310904849.0A Active CN116633693B (zh) | 2023-07-24 | 2023-07-24 | 一种基于全要素网络标识的可信安全网关实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116633693B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118118278A (zh) * | 2024-04-29 | 2024-05-31 | 江苏天泽智联信息技术有限公司 | 物联网网关安全防护检测方法和系统 |
| CN118118278B (zh) * | 2024-04-29 | 2024-07-02 | 江苏天泽智联信息技术有限公司 | 物联网网关安全防护检测方法和系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018005479A1 (en) * | 2016-06-30 | 2018-01-04 | General Electric Company | Secure industrial control platform |
| US20180367570A1 (en) * | 2017-06-15 | 2018-12-20 | Palo Alto Networks, Inc. | Mobile equipment identity and/or iot equipment identity and application identity based security enforcement in service provider networks |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112637118A (zh) * | 2020-11-10 | 2021-04-09 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常的流量分析实现方法 |
| CN113783871A (zh) * | 2021-09-09 | 2021-12-10 | 云南电网有限责任公司信息中心 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
| CN114302402A (zh) * | 2021-12-24 | 2022-04-08 | 国网福建省电力有限公司 | 一种基于5g的电力调控业务安全通信方法 |
| CN115242644A (zh) * | 2022-07-26 | 2022-10-25 | 天元大数据信用管理有限公司 | 一种微服务开发治理系统 |
| CN115865515A (zh) * | 2022-12-28 | 2023-03-28 | 网络通信与安全紫金山实验室 | 一种基于去中心化标识的可信访问控制方法及相关装置 |
| CN116055254A (zh) * | 2023-01-10 | 2023-05-02 | 华中科技大学 | 一种安全可信网关系统、控制方法、介质、设备及终端 |
-
2023
- 2023-07-24 CN CN202310904849.0A patent/CN116633693B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018005479A1 (en) * | 2016-06-30 | 2018-01-04 | General Electric Company | Secure industrial control platform |
| US20180367570A1 (en) * | 2017-06-15 | 2018-12-20 | Palo Alto Networks, Inc. | Mobile equipment identity and/or iot equipment identity and application identity based security enforcement in service provider networks |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112637118A (zh) * | 2020-11-10 | 2021-04-09 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常的流量分析实现方法 |
| CN113783871A (zh) * | 2021-09-09 | 2021-12-10 | 云南电网有限责任公司信息中心 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
| CN114302402A (zh) * | 2021-12-24 | 2022-04-08 | 国网福建省电力有限公司 | 一种基于5g的电力调控业务安全通信方法 |
| CN115242644A (zh) * | 2022-07-26 | 2022-10-25 | 天元大数据信用管理有限公司 | 一种微服务开发治理系统 |
| CN115865515A (zh) * | 2022-12-28 | 2023-03-28 | 网络通信与安全紫金山实验室 | 一种基于去中心化标识的可信访问控制方法及相关装置 |
| CN116055254A (zh) * | 2023-01-10 | 2023-05-02 | 华中科技大学 | 一种安全可信网关系统、控制方法、介质、设备及终端 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118118278A (zh) * | 2024-04-29 | 2024-05-31 | 江苏天泽智联信息技术有限公司 | 物联网网关安全防护检测方法和系统 |
| CN118118278B (zh) * | 2024-04-29 | 2024-07-02 | 江苏天泽智联信息技术有限公司 | 物联网网关安全防护检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116633693B (zh) | 2023-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chica et al. | Security in SDN: A comprehensive survey | |
| Liu et al. | A survey: Typical security issues of software-defined networking | |
| Jimenez et al. | A survey of the main security issues and solutions for the SDN architecture | |
| Ryutov et al. | Integrated access control and intrusion detection for web servers | |
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| CN113225333A (zh) | 零信任下的网络资源访问控制方法 | |
| KR20130117728A (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| CN102546624A (zh) | 一种网络多路入侵检测防御方法及系统 | |
| CN114124583B (zh) | 基于零信任的终端控制方法、系统及装置 | |
| CN116668197B (zh) | 信息流无干扰策略的网络强制访问控制实现方法及装置 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Vasylyshyn et al. | A model of decoy system based on dynamic attributes for cybercrime investigation | |
| EP2747345B1 (en) | Ips detection processing method, network security device and system | |
| CN117319064A (zh) | 基于可信计算的网络空间安全管控系统 | |
| CN113839945A (zh) | 一种基于身份的可信接入控制系统和方法 | |
| CN116192497B (zh) | 一种基于零信任体系的网络准入和用户认证的安全交互方法 | |
| RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
| CN116633693B (zh) | 一种基于全要素网络标识的可信安全网关实现方法 | |
| Karmakar et al. | Towards a dynamic policy enhanced integrated security architecture for SDN infrastructure | |
| Kfouri et al. | Design of a Distributed HIDS for IoT Backbone Components. | |
| SafaeiSisakht et al. | An Intelligent Two-Phase Automated Architecture for Securing SDN-Based IoT Infrastructure | |
| Azad et al. | Verify and trust: A multidimensional survey of zero-trust security in the age of IoT | |
| Kruegel | Network alertness: towards an adaptive, collaborating intrusion detection system | |
| Trisolino | Analysis of Security Configuration for IDS/IPS | |
| CN114629689B (zh) | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |