一种面向分区操作系统的轻量级安全通信方法及系统与流程

1.本发明属于通信技术领域，具体涉及一种面向分区操作系统的轻量级安全通信方法及系统。


背景技术：

2.mils系统将不同安全级别的应用集成到一个硬件平台上，面临着处理不同安全级别信息的问题。通过分离内核的时空隔离机制提供了多个分区，根据所处理信息的敏感级别，为每个分区指定不同的安全等级并运行不同的应用。各个分区在时间和空间上彼此隔离，互不影响，有效的防止了敏感信息的泄露，在不存在分区间交互的情况下是绝对安全的。为了实现多种信息和资源的共享，除了实现隔离的安全性之外，还需要不同安全等级的分区之间可以进行通信。分区间的通信将会引入不安全的信息流，为了防止不同级别的应用间出现敏感信息的非法授权、未授权获取和恶意披露，禁止被篡改或被破坏的数据流向其他可信分区，需要对分区间的信息流进行控制。因此提出多级数据传输安全防护组件对分区间传输的信息提供高确保性的保护。
3.分区通信系统(partition communication system)，简称pcs，mils的一个中间层组件，是基于可信网络接口单元技术实现的，pcs将分离的思想扩展到了系统间通信，通过通信网络将处于多个物理平台的分区互联成分布式mils系统，并负责mils节点间的所有通信。pcs将mils分离内核的安全策略扩展到分布式系统中，执行端到端的信息流控制、数据隔离、期处理和损害限制。pcs的功能类似于一个通信接口，负责所有节点间的通信，并在这些通信上执行安全策略。同时pcs根据配置数据对分配信道所需要的带宽等共享资源，控制所使用的信道容量的比例，限制最大额度防止拒绝服务攻击，并确定数据块的大小和传送速率。此外pcs提供了信道动态添加重配置功能，使得系统能快速响应需求的变化，方便网络中心操作。


技术实现要素：

4.本发明的目的在于克服上述不足，提供一种面向分区操作系统的轻量级安全通信方法及系统，通过设计报文统一各分区的通信和安全判定机制，将通信和认证策略与防火墙运行机制结合，结合有效的加解密算法以及密钥管理方案实现分区间安全通信。
5.为了达到上述目的，一种面向分区操作系统的轻量级安全通信方法，包括以下步骤：
6.当策略检验源第一次与实体通信时，策略检验源发送认证报文至实体的分区通信节点，实体的分区通信节点解析报文头部的类型信息，若判定为认证请求消息，则认证策略检验源端实体的合法性，认证通过后更新防火墙接入策略；
7.成功认证的策略检验源再次与实体通信时，策略检验源发送认证报文至实体的分区通信节点，实体的分区通信节点解析报文头部的类型信息，实体通过访问防火墙接入策略根据策略检验源端的合法性，对未认证策略检验源发来的通信消息直接丢弃，对认证后
的策略检验源端报文信息进行转发。
8.判定认证请求消息的方法如下：
9.解析报文，根据报文中的身份信息和时间戳信息，判断身份认证的阶段；
10.根据每一步的认证协议进行认证计算，并根据计算结果得出认证是否成功的结果；
11.若认证成功，则更新防火墙接入策略；若认证失败，则丢弃该信息。
12.判定认证的具体方法如下：
13.发送方节点使用第二分区通信节点的公钥加密发送认证消息m
a
，认证消息m
a
包括第一分区通信节点的证书和公钥、时间戳信息和随机数和m
a
的哈希值，将认证消息m
a
发送至接收方节点；
14.接收方节点为第二分区通信节点，第二分区通信节点解密后，根据认证消息m
a
中时间戳和随机数信息判断认证消息的新鲜性，其次通过比较m
a
消息中发送的哈希值和计算得到的哈希值判断认证消息是否被篡改过，若未被篡改，则通过预存的证书列表确定发送方身份，若认证通过，生成根密钥用于后续会话密钥协商，接收方节点将证书和公钥、时间戳信息和随机数的信息包含在消息m
r
中，接收方使用第一分区通信节点公钥加密m
r
和公钥加密m
r
的哈希值发送至发送方节点；
15.发送方节点为第一分区通信节点，第一分区通信节点解密并确认接收方节点身份，若身份真实有效，则双方之间建立会话，并生成根秘钥。
16.当第一分区通信节点与第二分区通信节点需要进行通信时，需要进行密钥协商，密钥协商的具体方法如下：
17.报文头部的类型信息包括根密钥，第一分区通信节点与第二分区通信节点根据根密钥协商生成此次通信过程所使用的会话密钥；
18.协商完成后，储存会话密钥存储；
19.当有报文发送或到达时，分析报文中的安全等级，然后选择对应的密码算法并结合存储的会话密钥进行加密或解密操作；
20.当第一分区通信节点与第二分区通信节点通信结束后，此次会话密钥将被丢弃；下一次通信时将更新新的会话密钥。
21.策略检验源与实体通信包括以下通信模型：
22.对等通信模型为策略检验源与实体间直接互联进行通信，此种对应自组织通信网络拓扑；
23.中心通信模型为策略检验源和实体由中心节点进行控制通信，此种对应基础设施网络拓扑。
24.一种面向分区操作系统的轻量级安全通信系统，包括，
25.接入控制模块用于对通信的数据报文进行接入控制，保证只有认证通过的通信节点才能进行通信；
26.数据加解密模块用于通信过程中发送/接收的数据进行加解密处理以及使用的密钥进行管理；
27.身份认证模块用于对其他系统的分区通信模块进行身份验证；
28.数据通信模块用于与其他分区通信节点模块的通信。
29.接入控制模块包括判定模块、过滤模块和防火墙；
30.判定模块用于解析报文，并判定发来的消息是认证消息还是通信消息；
31.过滤模块用于处理接收到的通信消息，若策略检验源端已通过认证则视为合法消息，传递给消息内容过滤模块进行安全级过滤，否则将该报文丢弃；
32.防火墙用于根据反馈的策略管理过滤模块的执行动作。
33.身份认证模块包括报文解析模块和认证控制模块；
34.报文解析模块用于对发送来的认证消息进行报文解析，析取认证消息数据发送至认证控制模块；
35.认证控制模块用于根据解析后的认证数据判断身份认证的阶段，并根据每一步的认证协议对其认证结果进行判定；若认证成功，则更新防火墙接入策略；若认证失败，则丢弃该信息；若认证还在交互中，则根据所处阶段生成下一步所需认证报文。
36.与现有技术相比，本发明通过在当策略检验源第一次与实体通信时，首先认证策略检验源端实体的合法性，认证通过后更新防火墙接入策略，成功认证的策略检验源再次与实体通信时，通过访问防火墙接入策略根据策略检验源端的合法性，对未认证策略检验源发来的通信消息直接丢弃，对认证后的策略检验源端报文信息进行转发。本发明解决不同分区之间发生的无意或恶意越界读写。在通信时引入不安全的信息流，使得不同分区的通信出现敏感信息的非法授权、未授权获取和恶意披露，被篡改或被破坏的数据流向其他可信分区，需要对分区间的信息流进行控制。因此提出面向分区通信的安全提供高确保性的保护。
附图说明
37.图1为本发明的系统架构图；
38.图2为本发明的接入控制流程图；
39.图3为本发明的身份认证流程图；
40.图4为本发明的加解密流程图；
41.图5为本发明的对等通信模型图；
42.图6为本发明的中心控制通信模型图；
43.图7为本发明的接入控制模块基本结构图；
44.图8为本发明的身份认证模块架构图；
45.图9为本发明的身份认证协议图；
46.图10为本发明的认证报文格式；
47.图11为本发明的分区通信节点数据加解密模块；
48.图12为本发明的加解密处理映射表；
49.图13为本发明的中心通信节点系统架构图；
50.图14为本发明的中心通信节点系统接入控制及身份认证模块图；
51.图15为本发明的中心通信节点身份认证模块(申请者部分)；
52.图16为本发明的中心通信节点网络控制中心中身份认证模块(认证者、认证服务器部分)。
具体实施方式
53.下面结合附图对本发明做进一步说明。
54.如图1所示，本发明的技术方案是面向分区系统的安全通信技术，由接入控制模块、数据加解密模块，身份认证模块以及数据通信模块组成，结合不同通信场景的需求以及不容通信系统网络拓扑结构不同设计对等通信模型如图所示与中心通信模型，
55.(1)对等通信：任两个系统间直接互联进行通信，此种对应自组织通信网络拓扑(ad
‑
hoc)。
56.(2)中心通信：由中心节点(网络控制中心)进行控制通信，此种对应基础设施网络拓扑(infrastructure)。网络控制中心则对应无线接入点类设备。
57.在两种不同的网络拓扑结构下，针对分区通信节点中的身份认证及接入控制功能需求，分别设计了对等通信模型如图5所示和中心控制通信模型如图6所示。
58.本发明实现了一种面向分区操作系统的轻量级安全通信系统，具体的实施包括以下几个部分：
59.一、对等分区通信设计
60.1.数据通信模块
61.数据通信模块向分区通信节点上层模块提供数据发送和接收接口，采用以太网协议进行封包和拆包，实现分区通信节点之间的数据交互。
62.2.身份认证模块
63.分区通信节点身份认证模块由接入控制子模块及认证子模块构成，接入控制子模块实现了接收报文的过滤控制；认证子模块实现了对其他分区通信节点的认证功能。
64.(a)接入控制子模块
65.依照802.1x协议，接入控制通过在分区通信节点中部署防火墙子模块来实现，认证模块通过请求者的认证消息后，更新防火墙策略，从而间接管理分区通信节点间的通信。
66.接入控制模块基本结构如图7所示。接入控制模块中共包含三个子模块：判定模块、过滤模块、防火墙，各模块功能介绍如下：
67.1)判定模块：解析报文，判定发来的消息是认证消息还是通信消息
68.2)过滤模块：处理接收到的通信消息，若源端已通过认证则视为合法消息，传递给消息内容过滤模块进行安全级过滤，否则将该报文丢弃
69.3)防火墙：是本系统访问控制机制的核心，通过认证模块反馈的策略管理过滤模块的执行动作
70.接入控制模块工作流程如下：
71.实体a若第一次与实体b通信，a需发送认证报文至实体b的分区通信节点，实体b的分区通信节点接入控制模块的判定子模块接收到消息，通过解析报文头部的类型信息若判定为认证请求消息，则将其交至分区通信节点的认证模块。认证模块通过认证策略检验源端实体的合法性，通过认证后更新接入控制模块的防火墙策略。成功认证的源端a再次发送通信消息，同样由b的判定模块接收报文并解析，将通信消息统一交于过滤子模块进行处理。过滤子模块通过访问防火墙的接入策略根据源端的合法性，对未认证源发来的通信消息直接丢弃，对认证的合法源端报文信息转交给其他模块进行下一步的处理。
72.(b)身份认证模块
73.1)身份认证模块架构及工作流程
74.身份认证模块由报文解析模块和认证控制模块组成，如图8所示。
75.报文解析模块：对发送来的认证消息进行报文解析，析取认证消息数据交给认证控制模块进行处理。
76.认证控制模块：根据解析后的认证数据判断属于认证流程中的哪一步，并根据每一步的认证协议对其认证结果进行判定。若认证成功，则更新防火墙策略；若认证失败，则直接丢弃该信息；若认证还在交互中，则根据所处步骤生成下一步所需认证报文。
77.身份认证模块工作流程如下：
78.1.判定模块将认证消息发送至认证模块的报文解析模块；
79.2.报文解析模块接收到认证信息后，解析报文，并将其中的认证数据交给认证控制模块；
80.3.认证控制模块根据报文信息中的身份信息和时间戳信息判断属于身份认证阶段的第几步，然后根据具体每一步的认证协议进行认证计算，并根据计算结果得出认证是否成功的结果；
81.4.认证模块根据认证的结果对消息进行控制，认证成功，通知防火墙更新策略；认证失败，直接丢弃该信息；认证进行中，则生成相应认证报文并交给数据通信模块发送出去。
82.2)身份认证协议
83.分区通信节点身份认证采用预共享证书的双向认证方法，在认证前预先装载好所需身份证书，具体认证流程如图9所示。
84.1.发送方节点使用第二分区通信节点公钥加密发送认证消息m
a
包括第一分区通信节点自己的身份信息(证书和公钥)、时间戳信息和随机数等和m
a
的哈希值后发送至接收方节点；
85.2.接受方节点第二分区通信节点解密后，首先根据认证消息m
a
中时间戳和随机数信息判断认证消息的新鲜性，其次通过比较m
a
消息中发送的哈希值和计算得到的哈希值判断认证消息是否被篡改过，若未被篡改，则通过预存的证书列表确定发送方身份，若认证通过，生成根密钥用于后续会话密钥协商，接收方节点将自己的身份信息(证书和公钥)、时间戳信息和随机数等信息包含在消息m
r
中，接收方使用第一分区通信节点公钥加密m
r
和m
r
哈希值发送至发送方节点；
86.3.发送方第一分区通信节点使用同样方法解密并确认接收方节点身份，若身份真实有效，则双方之间建立会话，并生成根秘钥。
87.3)身份认证报文格式
88.eap是目前身份认证协议普遍采用协议格式，具有可扩展性。所设计的身份认证报文参考eap协议格式。设计身份认证报文格式如图10所示。
89.其中，身份认证报文各字段的含义如下:
90.1.code字段：1个八位组长，用于识别eap协议包的类型，仅包括有请求(request)、响应(response)、成功(success)和失败(failure)这种类型的包。
91.2.标志(identifier)：1个八位组长，它用于帮助匹配请求和响应报文。
92.3.data：认证时交互的数据，如认证协议中的随机数等。
93.3.数据加解密模块
94.在数据通信模块、身份认证模块支撑下，设计对等分区通信节点数据加解密模块如图11所示。该系统由报文解析模块、加解密处理模块、密钥管理模块及密码算法库组成。
95.1.报文解析模块
96.报文解析模块负责分析数据的安全等级并进行加密后报文重封装操作。
97.2.密码算法库
98.密码算法库为加解密处理及密钥管理模块提供算法支撑。考虑性能影响，目前加解密处理主要采用对称密码算法；而认证、密钥协商主要采用非对称密码算法。该算法库可以由开源库openssl提供。
99.本系统中所使用的密码算法包括des、3des以及aes，其安全性依次递增。
100.3.加解密处理模块
101.加解密处理模块一方面根据报文的安全等级对报文进行加密处理，另一方面需要对接收到的报文进行解密处理。
102.在该模块中，主要是根据安全等级选择对应的密码算法，针对目前所支持的安全标签表，建立分级加解密处理映射如图12所示。
103.其中，由于头部包含有数据安全等级的信息，其安全性较高，因此，在此要求分区通信节点间所有通信报文的头部均采用最高安全级别加密，在本系统中采用aes/128bit加密。
104.此外，为了支持模块的可扩展性，可以根据不同的密钥长度来区分更多的不同的安全级别。
105.加密处理模块具体工作流程如下：
106.1.当第一分区通信节点与第二分区通信节点需要进行通信时，首先由密钥管理模块进行密钥协商，在此过程中，第一分区通信节点与第二分区通信节点根据认证过程中生成的根密钥协商生成此次通信过程所使用的会话密钥。
107.2.协商完成后，密钥管理模块将会话密钥存储下来用于后续数据加解密操作，当有报文发送/到达时，首先由报文解析模块分析报文中的安全等级，然后由加解密处理模块选择对应的密码算法并结合存储的会话密钥进行加密/解密操作。
108.3.当第一分区通信节点与第二分区通信节点通信结束后，此次会话密钥将被丢弃；下一次通信时将更新新的会话密钥。
109.4.密钥管理模块
110.(1)密钥管理
111.该模块负责密钥协商、存储等功能。当有报文到达数据加解密模块时，首先由密钥管理模块与对方分区通信节点进行密钥协商，协商完成后将密钥存储在双方分区通信节点的密钥管理模块中，并将该密钥作为此次会话所使用的加解密密钥供加解密处理模块使用。
112.其中，在密钥协商过程中，该模块可以根据安全等级的不同选择不同长度的密钥。
113.(2)密钥协商协议
114.当第一分区通信节点与第二分区通信节点进行通信时，首先进行密钥协商，具体协商协议设计如下：
115.1.当第一分区通信节点和第二分区通信节点身份认证通过后，第一分区通信节点生成协商秘钥k，发送协商密钥消息m
q
(包括时间戳信息、随机数、第一分区通信节点标识符、第二分区通信节点标识符、协商密钥)并使用认证过程中生成的根密钥加密m
q
发送至第二分区通信节点；
116.2.第二分区通信节点接收到该消息m
q
后，使用刚刚认证过程中保存的根密钥解密该消息获取进行通话的协商密钥k；
117.3.通信双方使用该协商密钥进行后续的通信。
118.二、中心分区通信设计
119.根据中心通信模型及中心接入控制模型，设计中心分区通信系统架构如图13所示。在中心接入控制模型中，接入控制功能及身份认证(认证者及认证服务器部分)集成在网络控制中心中。相比对等分区通信系统，中心分区通信由数据通信模块、身份认证模块(申请者部分)及数据加解密模块组成。
120.其中，数据通信模块负责数据的发送及接收。身份认证模块实现与网络控制中心认证功能。数据加解密模块则根据认证过程中生成的会话密钥对发送/接收的数据进行加解密操作。该系统主要涉及数据发送和接收两种流程，具体流程如下：
121.(1)数据发送流程
122.与对等分区通信系统数据发送流程一致。
123.(2)数据接收流程
124.与对等分区通信系统存在差别。当数据到达后，无需进行接入控制，直接交给数据加解密模块进行解密处理，解密完成后进行信息流安全性分析，分析通过后将该报文转给对应的分区x。
125.1.数据通信模块
126.与对等分区通信数据通信模块设计一致。
127.2.接入控制及身份认证模块
128.在中心接入控制模型中，接入控制模块及身份认证模块(认证者及认证服务器)在网络控制中心中实现，身份认证模块(申请者)在分区通信节点中实现，如图14所示。中心分区通信节点接入控制及身份认证模块工作流程如下：
129.分区通信节点a(未加入网络)若第一次与分区通信节点b(已加入网络)通信，a首先需要发送认证报文与控制中心进行认证，网络控制中心认证模块通过认证策略检验源端实体的合法性，通过认证后更新接入控制模块的防火墙策略，允许转发a的数据。此时源端a再次发送通信消息，控制中心将通信消息统一交于过滤子模块进行处理。过滤子模块通过访问防火墙的接入策略根据源端的合法性，对未认证源发来的通信消息直接丢弃，对认证的合法源端报文信息转交给b进行下一步的处理。
130.(a)接入控制模块
131.如图14所示，中心分区通信节点接入控制模块与对等分区通信节点的接入控制模块设计一致，包含判定模块、防火墙及过滤模块。但部署设备不同，对等分区通信节点在分区通信节点直接实现，中心通信节点则在网络控制中心实现。
132.为了能够对网络中的通信数据进行有效控制，控制中心需要具备转发该网络中所有节点报文的能力，类似于核心路由或无线接入点设备。
133.(b)身份认证模块
134.1)身份认证模块架构及工作流程
135.中心通信节点身份认证中申请者部分与认证者、认证服务器部分在不同实体中进行部署实现。其中，申请者部分在分区通信节点中实现，认证者、认证服务器部分在网络控制中心中实现。
136.(1)身份认证申请者部分
137.分区通信节点中身份认证模块同样由认证控制模块及报文解析模块组成，如图15所示。
138.认证控制模块判定当前认证步骤，生成相应的认证报文；当认证结束(成功/失败)时判断认证结果。
139.报文解析模块则来分析认证服务器的回复报文，并将认证数据交给认证控制模块做进一步处理。
140.当分区通信节点要加入网络时，首先由分区通信节点中的身份认证模块(申请者部分)向网络控制中心发送认证请求报文，开始认证过程。
141.(2)身份认证认证者、认证服务器部分
142.网络控制中心中的身份认证模块设计与对等分区通信节点中的身份认证模块结构类似，由报文解析模块及认证控制模块构成，如图16所示。其中，报文解析模块的功能是对发送来的认证消息进行报文解析，析取认证消息数据交给认证控制模块进行处理。认证控制模块根据解析后的认证数据判断属于认证流程中的哪一步，并根据每一步的认证协议对其认证结果进行判定。若认证成功，则更新防火墙策略；若认证失败，则直接丢弃该信息；若认证还在交互中，则根据所处步骤生成下一步所需认证报文。
143.当网络控制中心接收到分区通信节点发来的认证报文时，则交给该模块进行处理。具体流程如下：
144.1.接入控制模块将认证消息发送至认证模块的报文解析模块；
145.2.报文解析模块接收到认证信息后，解析报文，并将其中的认证数据交给认证控制模块；
146.3.认证控制模块根据报文信息中的身份信息和时间戳信息判断属于身份认证阶段的第几步，然后根据具体每一步的认证协议进行认证计算，并根据计算结果得出认证是否成功的结果；
147.4.认证模块根据认证的结果对消息进行控制，认证成功，通知防火墙更新策略；认证失败，直接丢弃该信息；认证进行中，则生成相应认证报文并交给数据通信模块发送出去。
148.2)身份认证协议
149.身份认证协议涉及参考对等通信节点身份认证协议，但认证双方变为分区通信节点及网络控制中心。
150.3)身份认证报文设计
151.与对等通信节点身份证报文设计一致。
152.3.数据加解密模块
153.与对等分区通信数据加解密模块类似，设计中心通信数据加解密模块如图11所
示。该系统由报文解析模块、加解密处理模块、密钥管理模块及密码算法库组成。
154.工作流程与对等通信节点数据加解密模块类似，在通信之前首先需要通信双方的密钥协商，但此次协商过程需要网络控制中心参加；加解密流程与对等通信系统设计一致。
155.1.报文解析模块
156.与对等通信系统设计一致。
157.2.密码算法库
158.与对等通信系统设计一致。
159.3.加解密处理模块
160.与对等通信系统设计一致。
161.4.密钥管理模块
162.除密钥协商协议外，其他设计与对等通信系统设计一致。
163.当第一分区通信节点与第二分区通信节点进行通信时，首先进行密钥协商，对于中心通信模型，协商过程需要网络控制中心参与，具体协商协议设计如下：
164.1.当第一分区通信节点和网络控制中心、第二分区通信节点与网络控制中心身份认证通过后，第一分区通信节点生成协商秘钥k，发送协商密钥消息m
q
(包括时间戳信息、随机数、第一分区通信节点标识符、第二分区通信节点标识符、协商密钥)并使用与控制中心认证过程中生成的根密钥k1加密m
q
发送至网络控制中心；
165.2.网络控制中心接收到消息m
q
后，使用第一分区通信节点密钥k1解密，然后使用与第二分区通信节点的根密钥k2加密m
q
′
发送至网络控制中心
166.3.第二分区通信节点接收到该消息m
q
′
后，使用刚刚认证过程中保存的根密钥k2解密该消息获取进行通话的协商密钥k；
167.4.通信双方使用该协商密钥进行后续的通信。