密码定义网络安全体系构建方法、体系架构及数据转发方法与流程

技术特征：
1.一种密码定义网络安全体系构建方法，其特征在于，包含如下内容：建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；并为每个实体分配用于表示身份id数据的实体标识；根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。2.根据权利要求1所述的密码定义网络安全体系构建方法，其特征在于，所述实体至少包含如下类型：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，用于对同一控制域内的转发器和控制器进行注册管理的域管理器，用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。3.根据权利要求1或2所述的密码定义网络安全体系构建方法，其特征在于，所述实体属性包含：实体类型，用于描述实体名称、ip地址及证书凭证的逻辑属性，用于描述实体硬件配置和地理位置的物理属性，及用于描述实体所属控制子域的域属性。4.根据权利要求3所述的密码定义网络安全体系构建方法，其特征在于，所述实体标识采用字节进行编码，其中，实体标识编码包含：隧道类型字段、网络分组标识字段、实体类型字段、实体编号字段、所属域管理器字段、所属控制器字段、实体内软设备编号字段及预留字节。5.一种密码定义网络安全体系架构，其特征在于，基于权利要求1所述的方法实现，将网络中设备和资源进行切片，采用密码套件将网络划分为与业务数据流对应并通过密码隔离的若干控制子域，利用实体标识将各控制子域中的相关实体进行关联，并基于信道标识选取数据转发路径来进行流数据包的转发。6.根据权利要求5所述的密码定义网络安全体系架构，其特征在于，网络中设备包含但不限于：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，及用于对同一控制域内的转发器和控制器进行注册管理的域管理器。7.根据权利要求5所述的密码定义网络安全体系架构，其特征在于，网络中资源包含但不限于：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。8.一种密码定义网络安全体系数据转发方法，其特征在于，基于权利要求5所述的体系架构实现，通过实体标识将网络中物理实体和逻辑实体关联，其中，物理实体包含：用于用户接入网络进行资源访问的用户设备、作为安全网关来执行安全策略的转发器、作为策略决策点来为转发器分发隧道策略的控制器、及用于对同一控制域内的转发器和控制器进行注册管理的域管理器，逻辑实体包含：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系
统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统，该转发过程包含如下内容：转发器依据用户设备请求向控制器申请用于数据转发的安全策略；控制器根据转发器发送的转发请求信息从身份管理系统中获取认证授权决策来确定转发器能否建立隧道连接，并从安全管理系统中获取用于创建转发器之间密码定义网络的安全策略，其中，转发请求信息包含：转发数据五元组、转发器和用户设备两者的实体标识及访问时间；转发器依据安全策略建立基于信道标识的安全信道，基于信道标识对数据包进行加密转发。9.根据权利要求8所述的密码定义网络安全体系数据转发方法，其特征在于，控制器使用转发请求信息访问身份管理系统，基于实体标识查找实体属性，并获取实体属性对应的安全等级，判断转发请求信息的转发行为合法性及是否符合安全等级要求，针对转发行为合法的情形授权按照安全等级转发；控制器使用转发请求信息和安全等级访问安全管理系统，并基于实体标识查找并获取通信连接信息及信道标识，并依据安全等级生成安全策略，所述安全策略包含但不限于：通信连接信息、信道标识、密码套件、密码交换算法及密码更新周期。10.根据权利要求8所述的密码定义网络安全体系数据转发方法，其特征在于，安全信道流量中数据包通过携带信道标识来区分所处控制子域的密码定义网络，并依据安全策略执行反馈对密码定义网络生命周期进行维护。

技术总结
本发明属于网络安全技术领域，特别涉及一种密码定义网络安全体系构建方法、体系架构及数据转发方法，通过建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；为每个实体分配用于表示身份ID数据的实体标识；根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。本发明依托密码技术并基于实体标识对网络设备资源全局统一管理，针对不同业务流、数据流采用配套的场景化、多样化的安全策略，保障通信数据机密性、完整性，满足网络动态变化应用的安全需求。化应用的安全需求。化应用的安全需求。


技术研发人员：周伟 荆晓亮 袁喜凤
受保护的技术使用者：郑州信大信息技术研究院有限公司
技术研发日：2021.11.25
技术公布日：2022/2/8