一種可重構網絡安全服務構造方法

一種可重構網絡安全服務構造方法
【專利摘要】一種可重構網絡安全服務構造方法，它有兩大步驟：步驟一：安全基片配置階段：建立安全策略庫；步驟二：安全服務構建階段：它包含確定安全需求、制定安全方案、確定安全服務路徑、構建安全元能力和安全服務實時調整五個部分。本發明將安全服務的構建過程設計為動態調整的迭代過程，滿足了可重構基礎網絡差異化業務、多級安全需求、動態結構重組和安全功能動態重構的性能需求，并將安全基片作為功能基礎，具有內嵌于可同構基礎網絡體系結構中的特性。
【專利說明】-種可重構網絡安全服務構造方法

【技術領域】
[0001] 本發明涉及一種可重構網絡安全服務構造方法，尤其以可重構網絡安全基片為功 能基礎的安全服務動態構造方法，屬于下一代互聯網設計【技術領域】。

【背景技術】
[0002] 在下一代互聯網設計的研究中，人們主要集中在網絡的靈活擴展性、安全性、可控 性等方面的問題，已解決現有互聯網體系網絡結構僵化、安全性問題突出的問題。可重構網 絡指具備在業務需求變化時，根據重構目標在網絡中引入或移除構件和功能實體，并對其 進行相應的配置以在一定資源消耗條件下達到重構目標能力的網絡
[0003] 安全可管可控是可重構基礎網絡的重要設計目標，可重構網絡的安全可管可控直 接受制于網絡內在功能和結構要素，必須在網絡體系結構中內嵌網絡安全與管控機制。
[0004] 在上述研究背景下，為了實現網絡安全管控能力的內嵌，基于網絡重構技術構建 具有多級安全強度的安全基片結構，并基于安全基片構造可重構網絡安全服務，在此基礎 上為上層應用提供機密性、完整性、抗抵賴性、鑒別、訪問控制服務，同時實現面向網絡行為 和業務內容的追蹤溯源。
[0005] 本發明涉及安全基片，安全元能力，安全元服務，安全服務鏈，安全服務路徑、可重 構技術等概念。
[0006] 定義1安全基片

【權利要求】
1. 一種可重構網絡安全服務構造方法，其特征在于：該方法具體步驟如下： 步驟一：安全基片配置階段： 建立安全策略庫，安全策略即Security Policy是指在一個特定的安全區域內，為保 證提供一定級別的安全保護所必須遵守的一套規則，安全策略形成安全策略庫即Security Policy Library,安全策略庫是實現可重構網絡安全服務動態可重構的決策功能的核心， 為多級安全等級安全服務的動態構建過程中的各個環節提供決策依據；安全策略庫包含以 下幾個方面的規則： (1) 業務類型與具體安全需求的映射規則 (2) 安全需求到安全服務等級的映射規則 (3) 安全服務等級與具體安全技術及其配置的映射規則 (4) 安全服務動態調整策略 (5) 可重構網絡管控策略 安全策略庫具備動態更新和擴展的能力，針對新出現的業務類型擴展安全策略庫中新 業務所對應的安全需求；隨著時間和安全技術演進，更新安全服務等級與具體安全技術及 其配置的映射規則；添加、調整和升級管控策略； 步驟二：安全服務構建階段： 可重構基礎網絡中的安全服務必須是動態可重構的，這是因為網絡承載的安全業務的 安全需求以及網絡的安全態勢和網絡資源都是動態變化的，因此安全服務整個的構建過程 是一個動態調整的迭代過程； 步驟1 :確定安全需求 為了實現針對上層安全業務提供充分且適度的安全服務，首先需要準確描述安全業 務的安全需求，業務安全需求由網絡智能感知和業務需求驅動共同確定；對上層業務安全 需求和網絡安全態勢的智能感知是可重構網絡的一項特性，是實現安全服務可重構、資源 自配置、能力自調整的前提，包括業務類型分析和網絡安全態勢分析，業務類型通過協議解 析、數據流量分析獲得；在網絡智能感知的基礎上，業務需求驅動同樣重要，從用戶角度判 斷用戶信息資產的"價值"，由用戶主動定制對數據機密性、完整性和隱私保護的安全需求 會更加準確，業務需求信息通過數據包頭部中的標志位確定； 步驟2 :制定安全方案 基于具體業務安全需求和當前網絡安全態勢，根據網絡安全策略庫，決定提供何種安 全服務以及該安全服務的安全等級級別，進而確定所需要的具體安全機制和安全技術；選 擇哪些安全服務以及各安全服務的強度級別需要綜合考慮業務的安全需求和當前網絡安 全態勢，即所確定的安全方案需要在應對當前網絡安全威脅的基礎上滿足業務安全需求； 針對業務相同的安全需求，如果當前網絡面臨的安全風險較大，則需選擇更高安全等級級 別的安全服務；反之，則適度選擇較低安全等級級別的安全服務，節約網絡資源； 網絡安全策略庫中需建立安全服務的安全等級分級機制，參考信息系統等級保護機 制，但有許多不同點，信息系統等級保護從全面保護系統的角度進行分級，而安全服務的安 全等級分級需要針對某一具體安全屬性的滿足程度進行劃分，更加細化和具體； 通過安全策略庫中建立的安全技術評估推薦機制，在確定需提供的安全服務及其安全 等級后，通過評估推薦機制確定需要采取的安全技術及其具體配置的所有相關信息； 步驟3 :確定安全服務路徑 根據安全方案的具體要求，結合路由策略、網絡節點安全基片狀態和可用資源信息綜 合決策，確定提供安全服務的安全服務路徑，確定安全服務路徑經過的所有節點及需要其 提供的安全服務；安全方案中規定了構建安全服務所必需的安全技術及其具體配置，接下 來需要確定由哪些節點來提供這些安全服務，這個過程理解為是在對網絡節點可提供的安 全元能力和可用資源即計算資源、存儲資源、帶寬資源進行認知、分析的基礎上，綜合考慮 數據包轉發可達性以及網絡節點行為的信任值約束條件的路由建立過程；安全服務路徑的 確定需要形成網絡和網絡節點資源的實時認知，形成資源視圖，資源視圖要能反映網絡靜 態資源和動態資源的全貌，網絡節點現有安全基片所能提供的安全元服務以及利用現有資 源重構后可提供的安全元服務； 步驟4 :構建安全元能力 安全服務路徑經過的所有節點根據安全方案重構安全基片，構建安全元服務進而構建 安全服務鏈，建立安全服務路徑；確定某網絡節點是安全服務路徑中的節點，則開始根據該 節點的實時資源使用情況進行安全元服務的重構，重構分為以下幾種情況： 1) 具備所需安全元能力，則直接構建安全服務鏈； 2) 目前不具備所需安全元能力，但通過重構具備該元能力且可用資源滿足實現重構的 條件，執行安全元能力的重構過程，進而構建安全服務鏈； 3) 目前不具備所需安全元能力，雖然通過重構具備該元能力但目前節點資源不滿足實 現的條件，則通過網絡級的重構，釋放該節點部分資源以滿足重構條件，執行安全元能力的 重構過程，進而構建安全服務鏈； 步驟5:安全服務實時調整 完成安全服務的構建過程，網絡開始承載安全業務，實時監測安全業務的運行情況，根 據出現的網絡環境和用戶安全需求的變化，動態調整安全方案，重構安全服務；考慮到可重 構網絡的動態特征，在安全業務執行過程中，可能出現網絡拓撲的動態變化、安全態勢的動 態變化、網絡資源的動態變化，需要對這些變化進行感知，并反映到網絡控制層面，必要時 須對安全方案進行調整，重新進行步驟2、3、4。
【文檔編號】H04L29/06GK104092668SQ201410282733
【公開日】2014年10月8日 申請日期:2014年6月23日 優先權日:2014年6月23日
【發明者】劉建偉, 陳杰, 毛劍, 王蒙蒙, 何雙羽, 劉哲 申請人:北京航空航天大學