一种可信网络和可信网络的工作方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种可信网络架构和可信网络的工作方法。
背景技术
现有网络中常用的安全手段,大多是被动的防御、排除网络已存在的问题;随着网络结构复杂化和网络设备的多样化,安全管理效率、能力已成为网络安全发展的瓶颈。
传统网络存在以下几方面问题:
1、设备多,网络结构越来复杂,管理难度增大;
2、网络内部设备不能协同工作;
3、网络安全设备上报安全事件不准确,容易错报、漏报,不能及时处理;
4、网络安全依赖于安全厂商对威胁的跟进、分析、服务。
针对上述问题,有必要提供一种区别于传统网络安全手段的可信安全网络架构,其能够采用主动出击的方式,对网络的源头终端(身份、应用程序、进程等)进行安全认证并根据设定的规则进行安全标记,以实现用户终端按角色权限的安全准入,实现网络层授权;且根据业务类别和业务权限建议安全的访问路径,使逻辑上网络中仅存在客体和主体两个对象,避免了数据被窃取、被篡改。同时弥补传统安全防护手段的不足,从数据传输、网络边界、主机终端各个层面对网络进行一体式联动安全防护,并真正意义上满足网络等级保护的要求。
发明内容
本发明的目的在于提供一种可信网络,其能够采用主动出击的方式,对网络的源头终端(身份、应用程序、进程等)进行安全认证并根据设定的规则进行安全标记。
为实现上述目的,本发明采用以下技术方案:
一种可信网络,包括可信应用、可信标记、可信代理、可信管理平台和可信路由器;其中,
所述可信应用是部署在网络中用于支撑业务的IT服务,由可以被识别的主体和客体组成,其中,所述主体为代表用户行为的进程,所述客体为文件、目录、设备文件、符号链接中的一种或几种;所述可信应用赋予了上读/下写具体的安全级别和类别;
所述可信标记存在于所述主体和客体之间交互的IP报文中,可信标记包含安全级别、可信应用的类别两个字段内容;
所述可信代理部署在终端上,根据所述可信管理平台要求的规则识别可信应用,并在IP报文中增加可信标记;
所述可信管理平台为提供给机构管理员的操作平台,管理员通过所述可信管理平台,编辑可信规则,所述可信代理对所述可信标记的处理规则以及可信控制设备对所述可信标记的处理规则,所述可信管理平台为大型机构提供分布式管理的特性;
所述可信路由器部署在网络中,用于识别IP报文中的可信标记,并根据所述可信管理平台制定的规则对IP报文进行处理。
进一步地,所述可信标记的选项格式的各字段的含义依次为:
选项类型、选项长度、解析域和标签;
其中,所述选项长度表示所述可信标记的选项的总长度,包括所述选项类型和选项长度这两个字段的长度。
进一步地,在所述可信标记的选项格式中:
所述选项类型的长度为1字节,值为134;
所述选项长度的长度为1字节;
所述解析域的长度为4字节;
所述标签的长度可变。
进一步地,所述标签为位图标签类型,所述标签的格式的各字段的含义依次为:
标签类型、标签长度、对齐字节、安全级别和类别位图。
进一步地,在所述标签的格式中:
所述标签类型的长度为1字节;
所述标签长度的长度为1字节,表示标签总长度,包括标签类型和标签长度这两个字段的长度;
所述对齐字节的长度为1字节,值为0,使所述类别位图在偶数字节的边界对齐;
所述安全级别的长度为1字节,取值范围是0到255;
所述类别位图的长度可变,长度范围是0-30字节。
进一步地,所述安全级别和类别用数字表示,并且主机创建有把数字映射到ASCII码的映射表,所述解析域用来指示主机应该使用哪条映射表项解释CIPSO选项中的数字。
进一步地,在所述类别位图中,比特按从左到右排序,其中,
类别n由第n位的比特表示;
比特n为1表示类别n是标签的一部分,为0表示类别n不是标签的一部分;
所述n满足0≤n≤239。
进一步地,所述类别位图的尾部字节不全为0。
进一步地,所述标签类型的值为1,所述类别位图的长度为10字节。
进一步地,所述可信标记的选项规范是draft-ietf-cipso-ipsecurity-01。
本发明还提供一种上述可信网络的工作方法,包括:
步骤1,在服务器上部署可信代理;
步骤2,所述可信代理根据可信管理平台要求的规则识别可信应用,并在IP报文中增加可信标记;
步骤3,可信路由器识别IP报文中的可信标记,并根据所述可信管理平台定制的规则对IP报文进行处理。
进一步地,所述步骤3包括:
步骤31,若可信路由器的接口启用可信标记策略,则转至步骤32;若可信路由器的接口不启用可信标记策略,则正常接收或发送IP报文;
步骤32,所述可信路由器对接口上接收或发送的IP报文进行识别,若IP报文带有可信标记的选项时,则进入步骤33;若IP报文不带有可信标记的选项时,则进入步骤34;
步骤33,将可信标记的选项与接口上的设置进行比较,若匹配成功,则转发IP报文;否则,丢弃IP报文;
步骤34,如果在所述接口上配置有入方向的缺省可信标记的选项标签,则在收到IP报文时,在IP首部***缺省可信标记的选项标签,然后转至步骤33;如果在所述接口上没有配置入方向的缺省可信标记的选项标签,则丢弃IP报文;
如果在所述接口上配置有出方向的缺省可信标记的选项标签,则在发送IP报文时,在IP首部***缺省可信标记的选项标签,然后发送;如果在所述接口上没有配置出方向的缺省可信标记的选项标签,则直接发送IP报文。
进一步地,所述步骤33中的所述匹配成功具体为:所述可信标记的选项中的安全级别的范围在所述接口上配置的入方向或出方向许可的安全级别范围以内,所述可信标记的选项中的类别在所述接口上配置的入方向或出方向许可的类别范围以内。
进一步地,所述步骤33中的转发IP报文包括:根据策略直接发送IP报文,或者去掉所述IP报文中的可信标记选项后发送该IP报文。
本发明提供的一种可信网络,包括可信应用、可信标记、可信代理、可信管理平台和可信路由器。该可信网络采用主动出击的方式,对网络的源头终端(身份、应用程序、进程等)进行安全认证并根据设定的规则进行安全标记。可信网络设备和标记管理平台结合,实现用户终端按角色权限的安全准入,实现网络层授权;且根据业务类别和业务权限建议安全的访问路径,使逻辑上网络中仅存在客体和主体两个对象,避免了数据被窃取、被篡改。通过标记管理平台、CIPSO报文控制弥补了传统安全防护手段的不足,从数据传输、网络边界、主机终端各个层面对网络进行一体式联动安全防护,并真正意义上满足了网络等级保护的要求。
附图说明
图1为本发明的一种可信网络的组成示意图。
图2为本发明的一种可信网络中采用的CIPSO选项的格式示意图。
图3为图2所示的CIPSO选项中的标签的格式示意图。
图4为本发明的一种可信网络的工作方法流程示意图。
图5为本发明的一种可信网络的工作方法的另一实施例的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚,下面结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明,但并不用于限定本发明。
本发明的一种可信网络,如图1所示,包括可信应用、可信标记、可信代理、可信管理平台和可信路由器;其中,可信应用是部署在网络中用于支撑业务的IT服务,由可以被识别的主体和客体组成,其中,主体为代表用户行为的进程,客体为文件、目录、设备文件、符号链接中的一种或几种;可信应用赋予了上读/下写具体的安全级别和类别;可信标记存在于主体和客体之间交互的IP报文中,可信标记包含安全级别、可信应用的类别两个字段内容;可信代理部署在终端上,根据可信管理平台要求的规则识别可信应用,并在IP报文中增加可信标记;可信管理平台为提供给机构管理员的操作平台,管理员通过可信管理平台,编辑可信规则,可信代理对可信标记的处理规则以及可信控制设备对可信标记的处理规则,可信管理平台为大型机构提供分布式管理的特性;可信路由器部署在网络中,用于识别IP报文中的可信标记,并根据可信管理平台制定的规则对IP报文进行处理。
本发明提供的一种可信网络,采用主动出击的方式,对网络的源头终端(身份、应用程序、进程等)进行安全认证并根据设定的规则进行安全标记。可信网络设备和标记管理平台结合,实现用户终端按角色权限的安全准入,实现网络层授权;且根据业务类别和业务权限建议安全的访问路径,使逻辑上网络中仅存在客体和主体两个对象,避免了数据被窃取、被篡改。通过标记管理平台、CIPSO报文控制弥补了传统安全防护手段的不足,从数据传输、网络边界、主机终端各个层面对网络进行一体式联动安全防护,并真正意义上满足了网络等级保护的要求。
IP协议有3种安全选项:
BSO:全称是“DoD Basic Security Option”,DoD是“Department of Defense”,即美国国防部。选项类型是130。
ESO:全称是“DoD Extended Security Option”。选项类型是133。
CIPSO:全称是“Commercial IP Security Option”。选项类型是134。
BSO和ESO是美国国防部专用的安全选项,而CIPSO是商业化的安全选项。
本发明的可信标记采用CIPSO选项,如图2所示,该CIPSO选项格式的各字段的含义依次为:选项类型、选项长度、解析域(DOI,即Domain of Interpretation)和标签;其中,选项长度表示可信标记的选项的总长度,包括选项类型和选项长度这两个字段的长度。
作为一个优选实施例,在CIPSO选项格式中:选项类型的长度为1字节,值为134;选项长度的长度为1字节;解析域的长度为4字节;标签的长度可变。
更进一步地,作为一个优选实施例,CIPSO选项中的标签为位图标签类型,如图3所示,该标签的格式的各字段的含义依次为:标签类型、标签长度、对齐字节、安全级别和类别位图。需要说明的是,本文前述的类别分为位图,枚举和范围三种格式。而本实施例涉及的是位图格式,称作“类别位图”。
作为优选,在标签的格式中:标签类型的长度为1字节;标签长度的长度为1字节,表示标签总长度,包括标签类型和标签长度这两个字段的长度;对齐字节的长度为1字节,值为0,使类别位图在偶数字节的边界对齐;安全级别的长度为1字节,取值范围是0到255;类别位图的长度可变,长度范围是0-30字节。
对于本发明来说,为了节省空间,CIPSO选项中的安全级别和类别优选用数字表示,而不是用ASCII码表示,这就要求主机必须创建一张把数字映射到ASCII码的映射表,DOI用来告诉主机应该使用哪条映射表项解释CIPSO选项中的数字。
在上述类别位图中,比特按从左到右排序,其中,类别n由第n位的比特表示;比特n(从0开始)为1表示类别n是标签的一部分,为0表示类别n不是标签的一部分;并且所述n满足0≤n≤239。
进一步地,为使位图最短,本发明的类别位图的尾部字节优选不全为0。
另外,因为路由器处理固定长度的字段的效率是最高的,所以可以定义上述标签类型的值为1,类别位图的长度为10字节。
作为优选实施例,本发明可信标记的选项规范是draft-ietf-cipso-ipsecurity-01。
另外,本发明中管理员通过可信管理平台编辑的各种可信规则包括识别可信应用的规则。
针对现有技术中的缺陷和本发明要解决的技术问题,本发明的可信网络有如下工作方法,如图4所示,包括:
步骤1,在服务器上部署可信代理;
步骤2,可信代理根据可信管理平台要求的规则识别可信应用,并在IP报文中增加可信标记;
步骤3,可信路由器识别IP报文中的可信标记,并根据可信管理平台定制的规则对IP报文进行处理。
作为更详细的实施例,如图5所示,由于每个接口可以启用可信标记策略,也可以不启用该策略,所以其中的步骤3包括:
步骤31,若可信路由器的接口启用可信标记策略,则转至步骤32;若可信路由器的接口不启用可信标记策略,则正常接收或发送IP报文;
步骤32,可信路由器对接口上接收或发送的IP报文进行识别,若IP报文带有可信标记的选项时,则进入步骤33;若IP报文不带有可信标记的选项时,则进入步骤34;
步骤33,将可信标记的选项与接口上的设置进行比较,若匹配成功,则转发IP报文;否则,丢弃IP报文;
步骤34,如果在接口上配置有入方向的缺省可信标记的选项标签,则在收到IP报文时,在IP首部***缺省可信标记的选项标签,然后转至步骤33;如果在接口上没有配置入方向的缺省可信标记的选项标签,则丢弃IP报文;
如果在接口上配置有出方向的缺省可信标记的选项标签,则在发送IP报文时,在IP首部***缺省可信标记的选项标签,然后发送;如果在接口上没有配置出方向的缺省可信标记的选项标签,则直接发送IP报文。
作为优选实施例,步骤33中的匹配成功具体为:可信标记的选项中的安全级别在接口上配置的入方向或出方向许可的安全级别范围以内,可信标记的选项中的类别在接口上配置的入方向或出方向许可的类别范围以内。
作为另一优选实施例,步骤33中的转发IP报文包括:根据策略直接发送IP报文,或者去掉IP报文中的可信标记选项后发送该IP报文。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;如果不脱离本发明的精神和范围,对本发明进行修改或者等同替换,均应涵盖在本发明权利要求的保护范围当中。