[发明专利]保护网络空间安全的电子隔离墙方法、装置及系统

说明书

本发明提供了一种保护网络空间安全的电子隔离墙方法、装置及系统，包括在通过电子墙隔离的第一网络空间和第二网络空间之间建立可信认证和安全连接；用户终端对初始请求接入的网络空间进行网络空间注册，并向所述网络空间进行安全认证以及身份和网络的分离映射；当用户向当前接入的第一网络空间之外的第二网络空间申请接入时，用户终端向所述的第二网络空间进行网络空间注册，并根据在所述第二网络空间注册的身份符号执行跨网络空间安全认证以及身份和网络的分离映射。该方法解决了网络空间中用户身份、位置和行为隐私的安全问题。

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种保护网络空间安全的电子隔离墙方法、装置及系统。

背景技术

随着信息技术的发展，人们无时无刻不在使用互联网获取和制造信息。然而，互联网中广泛传播的海量信息也为它带来了极大地安全隐患，威胁着互联网的健康发展。例如，假冒伪造者可以捕获普通用户的身份信息，进而重放和伪造该用户的数据流来攻击他人，攻击者也可以通过用户的身份和位置信息对其进行DDoS(Distributed Denial ofService，分布式拒绝服务)攻击，更有甚者通过跟踪监测用户的数据流来窥探用户行为隐私。因此，对用户身份、位置、行为隐私和安全进行保护是保障互联网健康发展必不可少的。

由于未来互联网将存在包罗万象的网络空间，面临复杂的应用场景和多样化的业务需求和网络资源等。因此，根据不同的环境和不同的需求可以建立“电子墙”，划分不同的网络空间，并通过全球集中控制中心进行统一管理。例如，根据不同协议，传统的IPv4网络和IPv6网络可以划分为两个网络空间；根据不同频段，卫星网络、3G/4G蜂窝网络和Wi-Fi网络也可以划分为三个网络空间。在这种情况下，解决用户处于单个网络空间和处于多个网络空间的身份、位置、行为隐私和安全问题迫在眉睫。

现有技术中的用户安全隔离机制主要是集中于在保证受信任用户通信顺畅的同时，防止恶意入侵、数据泄露和对用户行为隐私进行安全管理等。其中，典型的代表机制有AAA认证的方式对用户进行身份认证，采用防火墙和NAT(Network Address Translation，网络地址转换)等安全防护措施保障用户终端的安全，采用IPSec(Security Architecturefor IP network，IP层协议安全结构)和GRE(Generic Routing Encapsulation，通用路由封装)等加密封装协议保障数据信息的安全传输。但是，这些现有技术的缺点为：当用户终端从一个旧的接入网切换到另一个新的接入网时，需要与新的接入网络重新认证，并根据用户安全需求和新的接入网安全部署状态协商是否更新防火墙机制，以及是否启用IPSec等操作，这些交互过程和操作耗费的时间产生较长的通信时延，明显无法满足时延敏感型的业务需求；而且，当一个用户处于多个网络空间时，用户终端需要建立多种安全机制以满足不同的安全需求，严重地增大了用户终端的负荷；此外，传统互联网中用户身份与网络的绑定特性也会使得用户终端更容易被攻击，例如，攻击者通过获取用户的IP地址，就可以直接对该用户进行攻击。更严重的情况是，当一个处于多个的用户终端被恶意攻击时，与之关联的所有用户都将面临被攻击的风险。

因此，应用于传统互联网中的安全机制无法满足日益增长的用户需求，难以适应未来互联网用户安全问题的变化，传统互联网架构也为网络空间安全带来潜在威胁，难以对用户身份、位置、行为隐私和安全进行保护。

发明内容

本发明提供了一种保护网络空间安全的电子隔离墙方法、装置及系统，以解决网络空间中用户身份、位置、行为隐私和安全的问题。

为了实现上述目的，本发明采取了如下技术方案。

根据本发明的一个方面，提供了一种保护网络空间安全的电子隔离墙方法，包括：

在通过电子墙隔离的第一网络空间和第二网络空间之间建立可信认证和安全连接；