CN117793702A - 一种全业务链的内生安全管理方法 - Google Patents

Abstract

本发明公开了一种全业务链的内生安全管理方法，所述方法包括：通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护；基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道；通过所述专线传输通道对所述互联网数据中心产生的应用数据流量进行安全接入、安全指令控制和安全传输；企业网关接收从所述专线传输通道传输的应用数据流量，选择相应的安全接入方式将所述应用数据流量传输至终端用户。本发明建立了专线传输通道进行应用数据流量的传输，并针对设备安全管理系统与安全CPE之间，以及编排器自身的控制报文设定了不同的报文传输流程，实现了从终端用户到应用后台的全业务链安全保障，能更好的保障业务和访问安全。

Description

一种全业务链的内生安全管理方法

技术领域

本发明属于网络安全领域，具体涉及一种全业务链的内生安全管理方法。

背景技术

随着信息化和数字化的发展，企业面临着越来越多的安全威胁和风险。传统的安全领域一般单纯的依靠防火墙、行为管理等安全设备来保障业务安全，但不具备从业务视角出发的全链条安全保障。少数具备相关基础设施或者相关业务侧安全保证能力的企业，仅能从若干局部环节提供安全保障，无法提供全业务链的安全保障。这类安全管理方法已经无法满足企业复杂多变的安全需求。

公开号为CN106254315A的发明专利公开了一种云安全业务系统接入方法及装置，其预先将云安全业务系统嵌入网络服务平台的业务页面，在接收到客户端发送的访问请求后，在业务页面中显示该云安全业务系统，将待接入网站的域名添加到云安全业务系统的反向代理列表中，从而接入云安全业务系统，可以在不破坏原有网站布局的情况下为IDC服务商和云计算平台的用户部署云安全业务系统。但是这种方式只能帮助IDC服务商和云计算平台等抵御网络攻击，针对企业与IDC数据中心之间的安全交互、乃至终端用户侧至源头应用之间的全链条安全交互则取法提供足够的安全保障。

因此需要一种顾及全业务链的内生安全管理方法，以实现基于业务视角的全方位的安全管理。

发明内容

有鉴于此，本发明提出了一种全业务链的内生安全管理方法，用于解决现有的内生安全管理技术无法提供全业务链的安全保障的问题。

本发明公开了一种全业务链的内生安全管理方法，所述方法包括：

通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护；

基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道；

通过所述专线传输通道对所述互联网数据中心产生的应用数据流量进行安全接入、安全指令控制和安全传输；

企业网关接收从所述专线传输通道传输的应用数据流量，并根据园区/厂区/楼宇实际环境，选择相应的安全接入方式将所述应用数据流量传输至终端用户。

在以上技术方案的基础上，优选的，所述专线传输通道中：

所述设备安全管理系统用于实现设备安全管理系统与所述安全编排器之间的注册认证、安全管理和报文转发；

所述安全CPE用于实现安全CPE与所述安全编排器之间的注册认证、安全管理、密钥协商和安全通讯；

多个所述安全CPE之间进行密钥协商与安全通信。

在以上技术方案的基础上，优选的，所述设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块；

所述密钥管理节点用于进行密钥管理与设备认证；

所述密钥分发服务节点用于进行密钥分发、互通域管理和在线设备管理；

所述第一硬件密码模块用于为所述密钥管理节点、密钥分发服务节点提供所需的密码运算。

在以上技术方案的基础上，优选的，所述安全编排器包括编排器业务模块、OSM安全模块及第二硬件密码模块；

所述OSM安全模块用于管理SD-WAN内的设备管理模块与编排器业务模块之间的数据报文加解密、用户操作鉴别认证，以及进行编排器控制指令的安全传输；

所述编排器业务模块用于进行SD-WAN内各类设备的业务管理和编排；

所述第二硬件密码模块用于为所述OSM安全模块提供所需的密码运算。

在以上技术方案的基础上，优选的，所述安全CPE包括安全中间件、CPE业务模块和第三硬件密码模块；

所述安全中间件用于实现与所述OSM安全模块之间的注册认证、安全管理、密钥协商和安全通讯，并为CPE业务模块提供数据报文加解密和用户操作鉴别认证；

所述CPE业务模块用于进行各类CPE设备的业务管理；

所述第三硬件密码模块用于为所述安全中间件提供所需的密码运算。

在以上技术方案的基础上，优选的，所述安全编排器内部的报文传输流程为：

所述安全编排器通过所述OSM安全模块与SDWAN内的设备管理模块进行交互，使用临时身份密钥发起编排器设备入网前的身份认证请求；所述编排器设备包括编排器业务模块；

所述SDWAN内的设备管理模块确认所述编排器设备的身份认证无误后，建立与所述OSM安全模块之间临时安全通道；

所述安全编排器通过OSM安全模块将第二硬件密码模块生成的正式身份密钥、设备信息、第二硬件密码模块信息进行加密，发起编排器设备注册入网请求，通过临时安全通道将所述编排器设备注册入网请求发送至SDWAN内的设备管理模块；

所述SDWAN内的设备管理模块收到所述编排器设备注册入网请求后，获取安全编排器的正式身份密钥信息，进行存储；

使用所述安全编排器的正式身份密钥建立SDWAN内的设备管理模块与所述安全编排器之间的安全通道；

定期更新安全编排器的正式身份密钥中的公钥和CPE设备的公钥列表信息。

在以上技术方案的基础上，优选的，所述设备安全管理系统、安全编排器和安全CPE之间的报文传输流程为：

所述安全CPE通过安全中间件将第三硬件密码模块生成的正式身份密钥、设备信息、第三硬件密码模块信息进行加密，发起CPE设备注册入网请求，通过所述OSM安全模块将CPE设备注册入网请求转发给所述设备安全管理系统；所述CPE设备包括CPE业务模块；

所述设备安全管理系统收到所述CPE设备注册入网请求后，获取安全CPE的正式身份密钥，存储并更新CPE互通域；

使用所述安全CPE的正式身份密钥建立所述安全CPE与所述安全编排器之间的安全通道；

定期更新所述安全CPE的正式身份密钥中的公钥和CPE互通域的公钥列表信息。

在以上技术方案的基础上，优选的，所述报文传输流程中，在IPv4的基础上应用IPv6的技术，进行数据层的安全保护，通过SEND协议实现NDP的安全，并通过内置预案的方式，按需自动生成应急预案。

在以上技术方案的基础上，优选的，通过应用数据流量传输的过程中，通过标识解析的技术，对流量访问行为和流经节点进行赋码，在赋码后通过数据库比对，判断异常信息，实现全生命周期的管理。

在以上技术方案的基础上，优选的，根据园区/厂区/楼宇实际环境，选择5G/WIFI6的安全接入方式将所述应用数据流量传输至终端用户。

本发明相对于现有技术具有以下有益效果：

(1)本发明通过安全等保设备对互联网数据中心(IDC)产生的应用数据流量进行审计保护，并建立专线传输通道对互联网数据中心出来应用数据流量进行安全传输，最后选择安全接入方式将应用数据流量传输至终端用户，实现了从终端用户访问到应用后台的全业务链安全保障，能更好的保障业务和访问安全。

(2)本发明基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道，分别保护了应用数据流量安全的接入、安全的控制指令、安全的传输，组成了完整的安全体系，并针对设备安全管理系统与安全CPE之间，以及编排器自身的控制报文，设定了不同的报文传输流程：对于编排器自身的控制报文，由通过商密认证的第二硬件密码模块使用身份密钥进行了信源加密，只有设备管理模块与安全编排器可以对数据进行解密，对于设备安全管理系统与安全CPE之间的数据报文，由通过商密认证的第三硬件密码模块使用身份密钥进行了信源加密，只有设备安全管理系统与安全CPE可以对数据进行解密，提升了数据安全性，提高了数据传输的安全性。

(3)本发明利用SDWAN等技术手段进行专线传输保障，结合标识解析的技术，对流量访问行为和流经节点进行赋码，可确保实现节点和过程等操作行为可视和数据溯源，有效保证业务应用访问过程中的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种全业务链的内生安全管理方法的总体架构图；

图2为本发明的专线传输通道的结构框架图。

具体实施方式

下面将结合本发明实施方式，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

本发明提出一种全业务链的内生安全管理方法，为内生安全管理提供了基于业务视角的安全保障。

图1为本发明的一种全业务链的内生安全管理方法的总体架构图，所述方法包括：

S1、通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护。

联网数据中心(Internet Data Center，简称IDC)是指一种拥有完善的设备专业化的管理、完善的应用服务平台，本发明的应用数据流量从受保护的IDC产生。

本发明先通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护。等保设备可以通过防火墙、入侵检测系统、入侵防护系统等功能，对网络进行全方位的安全防护，防止黑客入侵、数据泄露等安全威胁。还可以对网络中的各种操作和事件进行审计，包括用户登录、文件操作、应用行为等，记录并分析所有的操作数据，为安全事件的溯源和调查提供有力的证据。

此外，等保设备还能够安全监控、行为过滤和网络隔离。比如，通过安全监控实时监控网络流量、用户行为和系统状态，及时发现异常情况并进行警报和记录，保障网络安全的稳定运行；通过行为过滤来限制非法操作和访问，提高网络资源的利用效率，并减少安全风险；通过网络隔离将不同安全等级的网络、系统和用户进行隔离管理，防止信息泄露和传播，提高整体安全性。

S2、基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道；

本发明建立专线传输通道对IDC出来的应用数据流量进行专线传输，利用SDWAN、PTN等技术手段进行安全保障并实现过程可视化。

如图2所示为本发明的专线传输通道结构框架图，所述专线传输通道主要包括设备安全管理系统、安全编排器和安全CPE(Common Platform Enumeration，通用平台枚举)。

其中，设备安全管理系统用于实现设备安全管理系统与所述安全编排器之间的注册认证、安全管理和报文转发。安全CPE用于实现安全CPE与所述安全编排器之间的注册认证、安全管理、密钥协商和安全通讯。此外，多个所述安全CPE之间还进行密钥协商与安全通信。

下面结合图2对专线传输通道的设备安全管理系统、安全编排器和安全CPE进行具体说明。

如图2所示，本发明的设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块；

其中，密钥管理节点用于进行密钥管理与设备认证。密钥分发服务节点用于进行密钥分发、互通域管理和在线设备管理。第一硬件密码模块用于为所述密钥管理节点、密钥分发服务节点提供所需的密码运算。

该设备安全管理系统为专线传输通道提供了密钥管理、设备认证、密钥分发、互通域管理、在线设备管理等底层安全支撑功能。

如图2所示，本发明的安全编排器包括编排器业务模块、OSM安全模块及第二硬件密码模块。

其中，OSM安全模块用于管理SD-WAN内的设备管理模块与编排器业务模块之间的数据报文加解密、用户操作鉴别认证，以及进行编排器控制指令的安全传输。OSM即OpenSource MANO，全称为Open Source Management and Orchestration，是一个开源的管理和编排平台，它提供了一套工具和框架，用于管理和编排虚拟化的网络功能。本发明的安全编排器中，OSM安全模块是SDWAN内设备管理模块与被管理设备(业务模块等)信息交互的安全传输模块，用于对身份密钥、入网认证请求、各类加密密钥等进行安全中转。同时，OSM安全模块也是安全编排器的安全保护模块，保护了编排器控制指令的安全传输，包括安全通道的协商、加密、签名、认证等。

编排器业务模块用于进行SD-WAN内各类设备的业务管理和编排。

第二硬件密码模块用于为所述OSM安全模块提供所需的密码运算。

图2所示，本发明的安全CPE包括安全中间件、CPE业务模块和第三硬件密码模块。

其中，安全中间件用于实现与所述OSM安全模块之间的注册认证、安全管理、密钥协商和安全通讯，并为CPE业务模块提供数据报文加解密和用户操作鉴别认证。CPE业务模块用于进行各类CPE设备的业务管理。第三硬件密码模块用于为所述安全中间件提供所需的密码运算，第三硬件密码模块具体可以是硬件密码、密码卡、云密码机或第三方密码机。

本发明的安全CPE的部署方式包括设备CPE(Device CPE)、移动CPE(Mobile CPE)和虚拟CPE(Virtual CPE)，实现了符合密评要求的数据加解密、签名验签、身份认证等密码功能，并完成通信过程中的密钥协商、密文传输等过程。

本发明基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道，分别保护了应用数据流量安全的接入、安全的控制指令、安全的传输，组成了完整的安全体系，实现了互联网数据中心与用户端的数据专线传输，提高了数据传输安全性。

S3、通过所述专线传输通道对所述互联网数据中心产生的应用数据流量进行安全接入、安全指令控制和安全传输；

基于专线传输通道的应用数据流量传输是以数据报文的形式传输的，本发明在步骤S2的专线传输通道的基础上，针对设备安全管理系统与安全CPE之间，以及安茜编排器自身的控制报文，独创性地设定了不同的报文传输流程。

S31、IDC出来的应用数据流量先在安全编排器内部进行报文传输。

针对编排器自身的控制报文，由编排器的OSM安全模块管理，流程为：

1)编排器设备信息及入网注册请求

a)安全编排器通过所述OSM安全模块与SDWAN内的设备管理模块进行交互，使用临时身份密钥发起编排器设备入网前的身份认证请求；所述编排器设备包括编排器业务模块；

b)SDWAN内的设备管理模块确认所述编排器设备的身份认证无误后，建立与所述OSM安全模块之间临时安全通道；

c)安全编排器通过OSM安全模块将第二硬件密码模块生成的正式身份密钥、设备信息、第二硬件密码模块信息进行加密，发起编排器设备注册入网请求，通过临时安全通道将所述编排器设备注册入网请求发送至SDWAN内的设备管理模块；

d)SDWAN内的设备管理模块收到所述编排器设备注册入网请求后，获取安全编排器的正式身份密钥信息，进行存储；

2)安全编排器身份公钥和CPE互通域公钥列表信息的更新

e)SDWAN内的设备管理模块与所述安全编排器之间使用所述安全编排器的正式身份密钥建立安全通道；

f)定期更新安全编排器的正式身份密钥中的公钥和CPE设备的公钥列表信息。

在以上安全编排器内部的数据报文传输过程中，由于通过商密认证的第三密码模块使用身份密钥进行了信源加密，只有设备安全管理系统与安全编排器可以对数据进行解密。

S32、在设备安全管理系统、安全编排器和安全CPE之间进行报文传输。

针对设备安全管理系统与安全CPE之间的控制报文，由安全编排器的OSM安全模块转发给CPE，流程为：

1)CPE设备信息及入网注册请求

A)安全CPE通过安全中间件将第三硬件密码模块生成的正式身份密钥、设备信息、密码卡信息进行加密，发起CPE设备注册入网请求，通过所述OSM安全模块将CPE设备注册入网请求转发给所述设备安全管理系统；所述CPE设备包括CPE业务模块；

B)设备安全管理系统收到所述CPE设备注册入网请求后，获取安全CPE的正式身份密钥，存储并更新CPE互通域。

2)CPE设备身份公钥和CPE互通域公钥列表信息的更新

C)安全CPE与所述安全编排器之间使用所述安全CPE的正式身份密钥建立安全通道；

D)定期更新所述安全CPE的正式身份密钥中的公钥和CPE互通域的公钥列表信息。

设备安全管理系统与安全CPE之间的数据报文传输过程中，由于通过商密认证的第三硬件密码模块对身份密钥进行了信源加密，只有设备安全管理系统与安全CPE可以对数据进行解密。

此外，本发明报文传输流程中，在IPv4的基础上对数据包应用IPv6的技术，进行数据层的安全保护，通过SEND协议实现NDP的安全，并通过内置预案的方式，按需自动生成应急预案。

具体的，在IPv6方面，充分利用SRv6进行流量采集、分析，实现安全监测“无盲区”，通过SEND协议实现NDP的安全，通过对ICMPv6报文的控制，减轻设备处理ICMPv6报文的压力以及攻击者针对ICMPv6报文的攻击。通过IPv6的特性，例如攻击可溯源、反黑客嗅探、避免广播攻击、端到端的隧道机制、避免分片攻击等方面提供安全保障。此外，通过内置预案的方式，按需自动生成预案，实现分钟级自动处置，自动率80％+，超过业界水平。

同时，本发明在应用数据流量传输的过程中，通过标识解析的技术，对流量访问行为和流经节点进行赋码，在赋码后通过数据库比对，判断异常信息，实现全生命周期的管理。

标识解析的技术通过赋码—解析—过程赋码的方式，对传输节点和过程进行赋码，实现节点和过程等操作行为可视和溯源。具体的，通过标识解析，对实物资产和数据资产进行全标注，同时涵盖过程变量，在赋码后通过数据库比对，判断异常信息，在确保流程节点稳定的同时，实现全生命周期的管理，对各类型资产进行管理时，同时实现标识调用和联动，如图1中列出了本发明所使用的标识示例，依次由32bit的固定前缀区、32bit的自定义前缀区、64bit的主机地址区组成了标识：88.173.1/abc1234567。

S3、企业网关接收从所述专线传输通道传输的应用数据流量，并根据园区/厂区/楼宇实际环境，选择相应的安全接入方式将所述应用数据流量传输至终端用户。

具体的，根据园区/厂区/楼宇实际环境，选择5G/WIFI6的安全接入方式将所述应用数据流量传输至终端用户，实现访问闭环。本发明在用户侧利用5G/WIFI6的传输能力和加密保障，实现访问的便捷和安全。

本发明在传统外在的网络安全、数据安全之外，结合自有资源，利用网络架构、业务场景等内在因素获得的安全功能和属性，依靠网络自身构造因素产生更大安全功效。与传统安全仅仅针对单个环节进行保证不同，本发明的优势是软硬结合、物理资产和数据资产进行联动，同时以业务视角贯穿业务使用的全生命周期，以实现全方位的安全管理。

以上所述仅为本发明的较佳实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种全业务链的内生安全管理方法，其特征在于，所述方法包括：

通过安全等保设备对互联网数据中心产生的应用数据流量进行审计保护；

基于设备安全管理系统、安全编排器和安全CPE建立专线传输通道；

通过所述专线传输通道对所述互联网数据中心产生的应用数据流量进行安全接入、安全指令控制和安全传输；

企业网关接收从所述专线传输通道传输的应用数据流量，并根据园区/厂区/楼宇实际环境，选择相应的安全接入方式将所述应用数据流量传输至终端用户。

2.根据权利要求1所述的一种全业务链的内生安全管理方法，其特征在于，所述专线传输通道中：

所述设备安全管理系统用于实现设备安全管理系统与所述安全编排器之间的注册认证、安全管理和报文转发；

所述安全CPE用于实现安全CPE与所述安全编排器之间的注册认证、安全管理、密钥协商和安全通讯；

多个所述安全CPE之间进行密钥协商与安全通信。

3.根据权利要求2所述的全业务链的内生安全管理方法，其特征在于，所述设备安全管理系统包括密钥管理节点、密钥分发服务节点及第一硬件密码模块；

所述密钥管理节点用于进行密钥管理与设备认证；

所述密钥分发服务节点用于进行密钥分发、互通域管理和在线设备管理；

所述第一硬件密码模块用于为所述密钥管理节点、密钥分发服务节点提供所需的密码运算。

4.根据权利要求2所述的全业务链的内生安全管理方法，其特征在于，所述安全编排器包括编排器业务模块、OSM安全模块及第二硬件密码模块；

所述OSM安全模块用于管理SD-WAN内的设备管理模块与编排器业务模块之间的数据报文加解密、用户操作鉴别认证，以及进行编排器控制指令的安全传输；

所述编排器业务模块用于进行SD-WAN内各类设备的业务管理和编排；

所述第二硬件密码模块用于为所述OSM安全模块提供所需的密码运算。

5.根据权利要求4所述的全业务链的内生安全管理方法，其特征在于，所述安全CPE包括安全中间件、CPE业务模块和第三硬件密码模块；

所述安全中间件用于实现与所述OSM安全模块之间的注册认证、安全管理、密钥协商和安全通讯，并为CPE业务模块提供数据报文加解密和用户操作鉴别认证；

所述CPE业务模块用于进行各类CPE设备的业务管理；

所述第三硬件密码模块用于为所述安全中间件提供所需的密码运算。

6.根据权利要求5所述的全业务链的内生安全管理方法，其特征在于，所述安全编排器内部的报文传输流程为：

所述安全编排器通过所述OSM安全模块与SDWAN内的设备管理模块进行交互，使用临时身份密钥发起编排器设备入网前的身份认证请求；所述编排器设备包括编排器业务模块；

所述SDWAN内的设备管理模块确认所述编排器设备的身份认证无误后，建立与所述OSM安全模块之间临时安全通道；

所述安全编排器通过OSM安全模块将第二硬件密码模块生成的正式身份密钥、设备信息、第二硬件密码模块信息进行加密，发起编排器设备注册入网请求，通过临时安全通道将所述编排器设备注册入网请求发送至SDWAN内的设备管理模块；

所述SDWAN内的设备管理模块收到所述编排器设备注册入网请求后，获取安全编排器的正式身份密钥信息，进行存储；

使用所述安全编排器的正式身份密钥建立SDWAN内的设备管理模块与所述安全编排器之间的安全通道；

定期更新安全编排器的正式身份密钥中的公钥和CPE设备的公钥列表信息。

7.根据权利要求6所述的全业务链的内生安全管理方法，其特征在于，所述设备安全管理系统、安全编排器和安全CPE之间的报文传输流程为：

所述安全CPE通过安全中间件将第三硬件密码模块生成的正式身份密钥、设备信息、第三硬件密码模块信息进行加密，发起CPE设备注册入网请求，通过所述OSM安全模块将CPE设备注册入网请求转发给所述设备安全管理系统；所述CPE设备包括CPE业务模块；

所述设备安全管理系统收到所述CPE设备注册入网请求后，获取安全CPE的正式身份密钥，存储并更新CPE互通域；

使用所述安全CPE的正式身份密钥建立所述安全CPE与所述安全编排器之间的安全通道；

定期更新所述安全CPE的正式身份密钥中的公钥和CPE互通域的公钥列表信息。

8.根据权利要求6或7所述的全业务链的内生安全管理方法，其特征在于，所述报文传输流程中，在IPv4的基础上应用IPv6技术，进行数据层的安全保护，通过SEND协议实现NDP的安全，并通过内置预案的方式，按需自动生成应急预案。

9.根据权利要求1所述的全业务链的内生安全管理方法，其特征在于，通过应用数据流量传输的过程中，通过标识解析的技术，对流量访问行为和流经节点进行赋码，在赋码后通过数据库比对，判断异常信息，实现全生命周期的管理。

10.根据权利要求1所述的全业务链的内生安全管理方法，其特征在于，根据园区/厂区/楼宇实际环境，选择5G/WIFI6的安全接入方式将所述应用数据流量传输至终端用户。