一种集中管控中心传输数据的加密方法与流程

1.本发明涉及网络安全、soc(security operation center)、信息共享、数据加密、网络事件处理和网络事件报告的技术领域，尤其涉及到一种集中管控中心传输数据的加密方法。


背景技术：

2.安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行，是企业一切市场经营活动和正常运作的基础。
3.当前，企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备，有效地提高了劳动生产率，降低了运营成本，已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面，因为一旦网络及各业务系统出现安全事件或故障，如果不能及时发现、及时处理、及时恢复，这势必直接影响承载在其上所有业务的运行，影响企业的正常运营秩序，涉及到客户的系统将直接导致用户投诉，满意度下降，企业形象受到损害，对于企业网络的安全保障就显得格外重要。另一方面，现代的高级网络威胁，尤其是多阶段的网络攻击，例如，stuxnet，利用了企业之间的相互依赖性，网络攻击者侵入了多个企业，将它们被用作到达目标的垫脚石。因此，为了应对这类威胁，多个企业之间需要一种协同机制来保护其业务，这种机制不完全使用从本企业采集的信息，而是另外还要采集其它企业共享或公开的相关观察结果，加以分析，及时披露此类网络攻击和迅速部署缓减策略等，并作出快速协同和协同反应。快速协同和协同反应是减轻网络威胁影响到越来越多的企业和/或减轻网络威胁进一步地在多个企业之间传播和连锁影响的关键；但是，现有的集中管控，仅负责本企业范围内的安全运维与管理服务。集中管控之间是相互隔离和孤立的，没有任何的联系。
4.由于各种网络攻击技术也变得越来越先进，越来越普及化，企业的网络系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了企业网络的正常运行；日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护，不断追求多层次、立体化的安全防御体系。建设集中管控中心，采用跨越企业边界的安全措施来预防、检测和应对网络威胁，消除或缩减攻击所造成的损失，尽一切可能来保护企业网络及业务系统正常运营。
5.集中管控中心，如图1所示，具有强大的安全运维管理与运维服务功能，能够解决跨越多个企业的网络攻击的问题。如图2所示，它与各个集中管控相互连接，使得已有的各个集中管控不再是孤岛。以集中管控中心为中央节点而各个集中管控为边缘节点的网络拓扑构成了一个星型的网络结构图。集中管控中心接收多个集中管控发送过来的采集数据、多个集中管控共享的战略信息和公开的网络情报信息等，并进行分析，评估所获得的跨企业边界的网络攻击，一旦分析和评估结束，将向各个集中管控发布威胁信息与缓减策略、建议或早期警告等。集中管控中心包括互连输入模块、采集模块、处理模块、存储模块、聚合和
分析模块、评估模块、影响分析模块、缓减模块、管理模块、可视化模块、互连输出模块和协同模块。
6.集中管控中心，如图3所示，需要与各个集中管控之间交换信息，例如，威胁信息和缓减策略等；另一方面，传输这些数据时，要解决数据隐私和敏感性的问题。也就是说，当集中管控中心向各个集中管控传输加密数据时，必须建立一种特定的访问控制策略，以确定谁可以解密数据，或者说，以确定哪些集中管控能够解密数据。
7.然而，大多数现有的公钥加密方法允许一方对特定用户的数据进行加密，但无法有效地处理更具表现力的加密访问控制类型，无法有效地处理更具表现力的数据隐私与敏感性和无法有效地处理更具表现力的各个集中管控之间的差异与不同。


技术实现要素：

8.为了解决上述技术问题，本发明提供了一种集中管控中心传输数据的加密方法，解决了集中管控中心向多个集中管控传输数据的数据隐私和数据敏感性的问题。
9.一种集中管控中心传输数据的加密方法，其特征在于，能够应用在集中管控中心与多个集中管控之间的数据传输中，所述方法，还包括如下步骤：
10.(1)集中管控中心生成一对公钥和私钥；
11.(2)使用若干属性来表示各个集中管控，分别将所述若干属性赋值并嵌入到各自所属集中管控的私钥中；
12.(3)集中管控中心将私钥分发到所属的各个集中管控中；
13.(4)集中管控中心生成能够解密数据的集中管控的访问控制策略；
14.(5)集中管控中心使用公钥加密访问控制策略和加密将要传输的数据，之后一并发送到各个集中管控中；
15.(6)集中管控私钥中被嵌入的属性值满足访问控制策略吗；
16.(7)若满足，则解密数据、接收数据。
17.进一步地，所述若干属性，包括集中管控级别，认证等级和分类。
18.进一步地，所述集中管控级别，包括集中管控中心和集中管控。
19.进一步地，所述认证等级，包括高级、中等和低级。
20.进一步地，所述分类，包括工控ics和信息系统it。
21.本发明的技术效果在于：
22.在本发明中，提供了一种集中管控中心传输数据的加密方法，其特征在于，能够应用在集中管控中心与多个集中管控之间的数据传输中，所述方法，还包括如下步骤：(1)集中管控中心生成一对公钥和私钥；(2)使用若干属性来表示各个集中管控，分别将所述若干属性赋值并嵌入到各自所属集中管控的私钥中；(3)集中管控中心将私钥分发到所属的各个集中管控中；(4)集中管控中心生成能够解密数据的集中管控的访问控制策略；(5)集中管控中心使用公钥加密访问控制策略和加密将要传输的数据，之后一并发送到各个集中管控中；(6)集中管控私钥中被嵌入的属性值满足访问控制策略吗；(7)若满足，则解密数据、接收数据。通过本发明，解决了集中管控中心向多个集中管控传输数据的隐私和敏感性的问题。
附图说明
23.图1是一种集中管控中心传输数据的加密方法的集中管控中心的功能模块结构的示意图；
24.图2是一种集中管控中心传输数据的加密方法的网络拓扑示意图；
25.图3是一种集中管控中心传输数据的加密方法的所要传输数据种类的示意图；
26.图4是一种集中管控中心传输数据的加密方法的表示不同集中管控的属性示意图；
27.图5是一种集中管控中心传输数据的加密方法的访问控制策略的示意图；
28.图6是一种集中管控中心传输数据的加密方法的实现步骤的框架示意图。
具体实施方式
29.下面是根据附图和实例对本发明的进一步详细说明：
30.本技术提供了一种集中管控中心传输数据的加密方法，能够应用在集中管控中心和多个集中管控之间的数据传输中。所述集中管控，用于本企业范围内的入侵和威胁检测，不仅能够自动转发采集数据到集中管控中心的采集模块，而且还向集中管控中心上报可能具有跨企业相关性的事件。另外，通过分析本地检测到的异常而获得的安全相关信息(如事件、漏洞、观测值等)，集中管控的安全运维人员通过手动方式上报给集中管控中心。所述集中管控中心，接收多个集中管控发送过来的采集数据、多个集中管控共享的战略信息和公开的网络情报信息，并进行分析，评估所获得的跨企业的网络攻击，一旦分析和评估结束，将向集中管控发布相关信息，包括缓减措施、建议或早期警告。网络事件信息聚合、关联、分类和分析是集中管控中心提供的主要功能。
31.如图1所示，给出了集中管控中心的功能模块的结构。集中管控中心接收各个集中管控上报的数据和公开网络情报所提供的信息，按照图1中的箭头所示的方向进行数据处理与分析，并向各个集中管控发布威胁报告，整个过程由集中管控中心的安全经理、各个集中管控的企业安全运维服务人员和专家团队负责监督与协同。在某些网络威胁事件中，作出快速协同和协同反应，是减轻网络威胁影响和/或减轻网络威胁进一步传播和连锁影响的关键，包括互连输入模块、采集模块、处理模块、存储模块、聚合和分析模块、评估模块、影响分析模块、缓减模块、管理模块、可视化模块、互连输出模块和协同模块。提供多种即时通信机制实现安全经理、企业安全运维服务人员和专家团队之间的视频通信、语言通信和信息交换，并具有日志功能。
32.如图2所示，由集中管控中心与各个集中管控连接而构成的一种星型的网络拓扑图。集中管控中心为中央节点，与已有的位于不同站点/或地点的各个集中管控进行连接，使得已有的集中管控不再成为孤岛。集中管控中心可以从各个集中管控采集数据，也可以向各个集中管控发布威胁信息和缓减策略等；各个集中管控也可以向集中管控中心作缓减策略实施情况的反馈，等等。
33.如图3所示，给出了集中管控中心与各个集中管控交换的信息、信息类型和实时性要求：
34.事件(文本信息)，以文本形式编写的事件报告，实时性要求强。它们由集中管控传输到集中管控中心。
35.事件(结构信息)，集中管控上显示的结构化事件发送到集中管控中心。与文本事件一样，实时性强。
36.观察(文本信息)，用文本撰写的观察通常是非实时性的。它们在集中管控和集中管控中心之间双向通信。
37.威胁信息，结构化威胁信息从集中管控中心分发到相关的集中管控。
38.ioc(在威胁信息内)，从集中管控发送到集中管控中心的观测中包含ioc(indicators of compromise威胁信息指示)。
39.ioc(在观察信息内)集中管控向集中管控中心发送威胁信息，报告威胁对其基础设施的相关性，以及是否以及在多大程度上受到威胁的影响。
40.建议(文本信息)，告警是由集中管控中心生成的文本消息，并汇总有关已暴露威胁的信息。它们被分发到不受特定威胁影响的集中管控。
41.缓减策略(文本信息)，缓减策略是由集中管控中心制定的指导方针，指出应对事故应遵循的步骤。它们用文本表示，并转发到相关的集中管控中。应用缓减策略是一个迭代和交互的过程。集中管控接收缓减策略信息时，需要将收到的缓减策略的实施情况反馈给集中管控中心，并在需要时请求支持。
42.公开网络情报是集中管控中心从公开可用的资源(如cve数据库、cert邮件列表等)收集的。
43.如图4所示，假设本技术使用这3个属性来区分集中管控生态中的不同的集中管控，例如：集中管控级别、认证等级和分类；进一步地，所述集中管控级别，包括集中管控中心和集中管控；所述认证等级，包括高级、中等和低级；所述分类，包括工控ics和信息系统it。各个集中管控根据自身情况分别给这3个属性进行赋值并嵌入到各自所属集中管控的私钥中。图4列出了示例中每个属性的虚拟值。任何的集中管控都拥有一个包含它自己的属性值的私钥。具有以下属性的私钥(集中管控、中等、ics)可能是一个负责工控ics且认证等级为中等或高级的安全运维服务提供商(或者说，负责工控ics且认证等级为中等或高级的集中管控)。当集中管控中心想要共享数据时，它可能会使用一个访问控制策略来确定能够解密数据的集中管控，该访问控制策略只允许具有中等或高级安全运维认证级别的工控ics的安全运维服务提供商访问数据。也就是说，只有被嵌入到私钥中的属性值满足访问控制策略的集中管控，才能够解密数据和访问数据。
44.如图5所示，访问控制策略可以用树结构来表示。树的节点是布尔运算，例如and、or和not。如果用于解密的密钥包含左边的属性的值，则集中管控满足解密数据的条件，能够解密数据和接收数据。图5所示的访问控制策略，只允许具有中等或高级的认证等级的负责工控ics安全运维服务的集中管控才能够解密数据和访问数据。
45.如图6所示，一种集中管控中心传输数据的加密方法，步骤如下：
46.(1)集中管控中心生成一对公钥和私钥；
47.(2)使用若干属性来表示各个集中管控，分别将所述若干属性赋值并嵌入到各自所属集中管控的私钥中；
48.(3)集中管控中心将私钥分发到所属的各个集中管控中；
49.(4)集中管控中心生成能够解密数据的集中管控的访问控制策略；
50.(5)集中管控中心使用公钥加密访问控制策略和加密将要传输的数据，之后一并
发送到各个集中管控中；
51.(6)集中管控私钥中被嵌入的属性值满足访问控制策略吗？
52.(7)若满足，则解密数据、接收数据。
53.以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。