[发明专利]一种快速细粒度多域网络互联安全控制方法

说明书

本发明公开了一种快速细粒度多域网络互联安全控制方法，属于网络空间安全领域。首先建立安全策略语言语法规范，将每个安全策略分别转换成范式脚本，并实现相应的语法解析器，将没有错误的脚本进行存储；然后对其中域以及业务的语义在网络中存在的脚本，将白名单中每条策略分别设计成一棵树，对树进行合并；将黑名单中每条策略分别设计成一棵树，并将其合并白名单中；将范围默认动作内每条策略分别设计成一棵树，将其与黑白名单合并树进行合并，得到安全策略树。最后把描述域间业务通信的该脚本转换为描述细粒度的七元组安全规则，并高速分发/传输到安全互联网关，依据安全规则更新执行单元的安全控制信息。本发明具有简便性和灵活性，效率更高。

技术领域

本发明属于网络空间安全领域，涉及天地一体化网络信息安全保障体系，具体是一种快速细粒度多域网络互联安全控制方法。

背景技术

天地一体化网络是为多域网络用户提供的一套共享互通的基础设施网络。但是，多域承载业务安全的需求存在差异，从应用业务角度分析，域间有互相通信的需求，这就形成了时空多变的特性，在网络之上，业务类型/特征/安全等级随多域多用户的时空特性而变化，无法适应天地一体化网络中各类用户的动态需求。

天地一体化网络由于用户类型、业务类型以及安全级别等不同，可以形成物理或虚拟的网络域(简称域)。为了对跨域通信进行安全控制，需要在域之间设置安全互联网关。安全互联网关是一种能够依据安全策略互联多域网络的设备，被设置在隔离的物理网络域或虚拟网络域互联处。

为了便于管理和应用，设计了一种安全策略语言，即多域互联控制安全策略表达，该语言贴合用户的使用习惯。但是，这种安全策略语言性能低、逻辑复杂，不能直接应用到高吞吐量的安全互联网关上，由此，提出安全规则映射及高速传输方法，该映射方法把安全策略解释成安全规则。

安全规则是一种安全互联网关能够理解的语言，具有大容量和执行高效性的特点，以满足天地一体化网络多域互联细粒度安全控制的需求，达到深度防护目的。

发明内容

本发明针对安全策略语言不能直接应用到高吞吐量的安全互联网关的问题，提出一种快速细粒度多域网络互联安全控制方法；该方法在天地一体化网络中依据用户类型、业务类型、安全域、安全级别、地基网络特征在域间通信中进行差异化安全控制；能够支撑基于域、业务、特征等多域网络互联安全控制，实现安全策略到安全规则的自动映射以及安全规则的部署和执行。

具体步骤为：

步骤一、建立安全策略的语言语法规范，将用户要求的每个安全策略分别转换成范式脚本，并实现相应的语法解析器，检查脚本的语法错误，将没有错误的脚本进行存储；

安全策略的语言语法规范如下：

策略集::＝[“defaultaction”“:”action](策略组合)*

策略组合::＝白名单|黑名单|范围动作默认设定

白名单::＝“whitelist”“:”“{”名单体“}”

黑名单::＝“blacklist”“:”“{”名单体“}”

范围动作默认设定::＝“scop_drop”“:”“{”名单体“}”

名单体::＝策略名单体

|空集

策略::＝Id“-”Id“,”应用

应用::＝Id|“[”应用列表“]”|“*”

应用列表::＝“,”Id应用列表|Id

范式脚本包括四部分：全局默认动作，白名单，黑名单和范围默认动作；

全局默认动作包括accept和drop；