法律状态公告日
法律状态信息
法律状态
2016-02-03
授权
授权
2013-12-04
实质审查的生效 IPC(主分类):H04L29/06 申请日:20130716
实质审查的生效
2013-11-06
公开
公开
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种多等级安全服务的可组合安 全网络构建方法及其装置。
背景技术
TCP/IP在设计之初未考虑到开放的不可信环境的安全威胁,导致其发展过 程中遇到了各种各样的安全问题,另一方面,解决安全问题所采用的方法都是 零散式修补式,不同的协议引入各自的安全扩展,经过长时间积累,导致整个 系统越来越复杂,产生更多新的亟待解决的问题。现在的TCP/IP安全体系结构 僵化且效率低下,网络层功能单一、业务与网络过度分离、无法满足多样化安 全需求,在提供灵活的安全可信可管服务和可扩展性等方面仍存在严重缺陷。
发明内容
为了克服现有技术中的不足,本发明提出了一种灵活性高、适用性好、 可用性强的多等级安全服务的可组合安全网络构建方法及其装置。
一种多等级安全服务的可组合安全网络构建方法,包含如下步骤:
步骤1.对安全业务进行安全特征归纳和需求分析,获取安全业务等级向量 S=(f1,f2…fi…),fi为第i个安全服务的等级;
步骤2.查询网络安全资源数据库,网络安全资源数据库存储不同安全业务 等级向量S所对应的安全资源取值大小和组合关系,即为(SID,Gfunc), Gfunc=<Fc,Efunc>,Fc={Fi|Fi=(FID,Name,Description),i=1,2,…},根据 安全业务等级向量S的ID号SID对网络安全资源数据库进行查询,并 返回安全业务等级相对应的安全资源取值大小和组合关系,其中SID是 安全业务等级向量S的ID号,Efunc为安全资源的连接关系,Fc为安全特 征对应的安全资源取值集合,Gfunc是安全资源的组合关系,FID为一种 安全资源Fi的ID号,Name为Fi的名称,Description为Fi的描述;
步骤3.查询网络安全拓扑图,网络安全拓扑图存储网络中节点的安全资源 情况,根据安全资源取值集合Fc中的描述信息Description对网络安全 拓扑图的数据库进行基于关键字的资源检索,获得网络中满足安全资源 需求的候选节点集合;
步骤4.根据候选节点集合的连接关系和构建准则,即根据最低等级优先准 则、最短路径优先准则和最小负载优先准则对候选节点集合进行节点筛 选,建立可组合安全网络的拓扑结构;
步骤5.依据节点资源分配函数R=fassi(S)和资源组合函数SA=fcomb(R, Gfunc),将网络拓扑中节点的安全资源进行分配和组合,建立满足安全业 务需求的可组合安全网络,其中,fassi是分配函数的映射法则,S是安 全业务等级向量,R是分配的资源向量,fcomb是组合函数的映射法则, Gfunc是资源链接关系,SA是节点的安全业务能力;
步骤6.检测安全业务需求的变更并评估网络节点中安全资源的剩余情况, 将网络节点中安全资源不能满足安全业务变更后资源需求的节点标记为 关键节点;
步骤7.对包含关键节点的可组合安全网络,依据重构准则,进行节点资源 的重组和网络路径的重构。
所述步骤1中安全业务等级向量S=(f1,f2…fi…),fi为第i个安全服务的等级,1 ≤i≤5。
所述步骤5中建立满足安全业务需求的可组合安全网络还包含:
步骤5.1.剔除不满足安全业务需求等级所对应安全资源大小的节点,得到 可行的底层物理拓扑;
步骤5.2.对安全业务需求中的候选节点集映射到满足需求的底层物理节 点;
步骤5.3.对安全业务需求中的链路集使用最短路径算法映射到底层物理 链路,若当前该最短路径算法无可行解,则随机推迟时间Tw后,返回 步骤5.1,直到构建次数大于最大循环数K,Tw和K根据网络实际情况 确定。
所述步骤7中重构准则包含有限度的局部重构和有选择的全局重构。
所述步骤7中网络路径的重构包含:
步骤7.1.标记占用关键节点的可组合安全网络的链路为待重构链路;
步骤7.2.对每条待重构链路实施最短路径算法,若该最短路径算法有 新的可行解,则用可行解替换该待重构链路。
一种多等级安全服务的可组合安全网络构建装置,包含:
业务等级模块,用于对安全业务进行特征归纳和需求分析,得到所属的安全 业务等级;
资源查询模块,用于查询安全资源数据库,得到该安全业务等级所对应的网 络安全资源大小;
网络构建模块,用于确定满足需求条件的候选节点集并依据其连接关系和构 建准则,建立可组合安全网络的拓扑结构;
资源分配模块,用于根据节点的资源分配函数和资源组合函数,将网络拓扑 中各节点的安全资源进行分配和组合,建立满足该类安全业务需求的可组合 安全网络;
网络重构模块,用于标记关键节点并对包含关键节点的安全网络依据重构准 则进行节点资源的重组和网络路径的重构。
所述业务等级模块包含:
特征分析代理,负责依据安全业务特性计算安全业务等级向量,并计算与安 全等级数据库中各聚类中心的距离,得到最近的聚类中心,判断出该安全业 务所属的安全业务等级;
安全等级数据库,安全业务等级向量集合;
需求分析代理,负责分析安全业务对应的安全业务等级向量并依据安全等级 数据库判定该安全业务所属的安全业务等级。
所述资源查询模块包含:
安全资源数据库,安全资源集合;
资源查询代理,负责根据安全业务等级在安全资源数据库中查询相应安全资 源的大小。
所述网络构建模块包含:
节点集发现代理,负责发现满足安全资源大小需求的可行网络节点集;
构建代理,负责在可行网络节点集拓扑上基于构建准则构建可组合安全网络 的拓扑结构。
所述网络重构模块包含:
标记代理,负责找出网络中关键节点并将占用关键节点的可组合安全网络链 路标记为待重构链路;
重构代理,负责依据重构准则及重构算法对待重构链路或关键节点实施重 构。
本发明多等级安全服务的可组合安全网络构建方法及其装置的有益效果:
1.本发明多等级安全服务的可组合安全网络构建方法及其装置,灵活性高,安 全业务需求与网络安全资源呈现松耦合关系,网络根据安全业务需求扩大和 减小相应的网络安全服务资源。
2.本发明多等级安全服务的可组合安全网络构建方法及其装置,适应性好,内 在结构的时变性,即由时变的结构驱动时变的服务能力,最终实现网络安全 服务对安全业务要求和特征的动态匹配。
3.本发明多等级安全服务的可组合安全网络构建方法及其装置,可用性强,可 重构路由节点不仅可以根据安全业务的变化动态重组内部安全资源的种类 和大小,还可以动态增加或减少安全资源的种类和大小,实现节点安全资源 的动态可配置,增加安全网络的可用性。
4.本发明多等级安全服务的可组合安全网络构建方法及其装置,多级安全,根 据安全业务需求的高低分配安全资源,使有限的网络安全资源得到更加合理 的利用,避免了单一追求高安全等级或高服务质量的简单模式。
附图说明
图1为本发明多等级安全服务的可组合安全网络构建方法的步骤流程示意 图;
图2为本发明的可组合安全网络建构的步骤流程示意图;
图3为本发明的可组合安全网络重构的步骤流程示意图;
图4为本发明多等级安全服务的可组合安全网络构建装置的结构框图;
图5为本发明的安全等级数据库的表结构示意图;
图6为本发明的安全资源数据库的表结构示意图。
具体实施方式
首先对本文出现的技术名词或术语进行解释,以方便本领域技术人员对本 文技术方案的理解:
可重构路由节点:针对可组合安全网络的一种资源可动态组合的节点设备, 并且可以动态增加或减少安全资源的种类和大小;
安全资源:是指安全业务实际运行所需要的全部软硬件实例集合,各实例 是具有一定安全业务处理能力的程序实体及其相关描述。安全资源可以被明确 识别、复用和重构;
安全业务等级:根据安全业务的需求对安全业务的一种划分,是可组合安全 网络中资源分配的参考依据。
下面将结合本发明附图,对本发明实施例中的技术方案进行清楚、完整地描 述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例,基 于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得 的所有其他实施例,都属于本发明保护的范围。
参见图1~6所示,一种多等级安全服务的可组合安全网络构建方法,包含如下步 骤:
步骤1.对安全业务进行安全特征归纳和需求分析,获取安全业务等级向量 S=(f1,f2…fi…),fi为第i个安全服务的等级;
步骤2.查询网络安全资源数据库,网络安全资源数据库存储不同安全业务 等级向量S所对应的安全资源取值大小和组合关系,即为(SID,Gfunc), Gfunc=<Fc,Efunc>,Fc={Fi|Fi=(FID,Name,Description),i=1,2,…},根据 安全业务等级向量S的ID号SID对网络安全资源数据库进行查询,并 返回安全业务等级相对应的安全资源取值大小和组合关系,其中SID是 安全业务等级向量S的ID号,Efunc为安全资源的连接关系,Fc为安全特 征对应的安全资源取值集合,Gfunc是安全资源的组合关系,FID为一种 安全资源Fi的ID号,Name为Fi的名称,Description为Fi的描述;
步骤3.查询网络安全拓扑图,网络安全拓扑图存储网络中节点的安全资源 情况,根据安全资源取值集合Fc中的描述信息Description对网络安全 拓扑图的数据库进行基于关键字的资源检索,获得网络中满足安全资源 需求的候选节点集合;
步骤4.根据候选节点集合的连接关系和构建准则,即根据最低等级优先准 则、最短路径优先准则和最小负载优先准则对候选节点集合进行节点筛 选,建立可组合安全网络的拓扑结构;
步骤5.依据节点资源分配函数R=fassi(S)和资源组合函数SA=fcomb(R, Gfunc),将网络拓扑中节点的安全资源进行分配和组合,建立满足安全业 务需求的可组合安全网络,其中,fassi是分配函数的映射法则,S是安 全业务等级向量,R是分配的资源向量,fcomb是组合函数的映射法则, Gfunc是资源链接关系,SA是节点的安全业务能力;
步骤6.检测安全业务需求的变更并评估网络节点中安全资源的剩余情况, 将网络节点中安全资源不能满足安全业务变更后资源需求的节点标记为 关键节点;
步骤7.对包含关键节点的可组合安全网络,依据重构准则,进行节点资源 的重组和网络路径的重构。
所述步骤1中安全业务等级向量S=(f1,f2…fi…),fi为第i个安全服务的等级,1 ≤i≤5。
所述步骤5中建立满足安全业务需求的可组合安全网络包含:
步骤5.1.剔除不满足安全业务需求等级所对应安全资源大小的节点,得到 可行的底层物理拓扑;
步骤5.2.对安全业务需求中的候选节点集映射到满足需求的底层物理节 点;
步骤5.3.对安全业务需求中的链路集使用最短路径算法映射到底层物理 链路,若当前该最短路径算法无可行解,则随机推迟时间Tw后,返回 步骤5.1,直到构建次数大于最大循环数K,Tw和K根据网络实际情况 确定。
所述步骤7中重构准则包含有限度的局部重构和有选择的全局重构。
所述步骤7中网络路径的重构包含:
步骤7.1.标记占用关键节点的可组合安全网络的链路为待重构链路;
步骤7.2.对每条待重构链路实施最短路径算法,若该最短路径算法有新的 可行解,则用可行解替换该待重构链路,对可重构路由节点实现安全资 源种类和大小的动态重构,满足变化的安全业务需求;等待下一重构周 期到达,重新标记关键节点并实施上述操作。
一种多等级安全服务的可组合安全网络构建装置,包含:
业务等级模块,用于对安全业务进行特征归纳和需求分析,得到所属的安全 业务等级;
资源查询模块,用于查询安全资源数据库,得到该安全业务等级所对应的网 络安全资源大小;
网络构建模块,用于确定满足需求条件的候选节点集并依据其连接关系和构 建准则,建立可组合安全网络的拓扑结构;
资源分配模块,用于根据节点的资源分配函数和资源组合函数,将网络拓扑 中各节点的安全资源进行分配和组合,建立满足该类安全业务需求的可组合 安全网络;
网络重构模块,用于标记关键节点并对包含关键节点的安全网络依据重构准 则进行节点资源的重组和网络路径的重构。
所述业务等级模块包含:
特征分析代理,负责依据安全业务特性计算安全业务等级向量,并计算与安 全等级数据库中各聚类中心的距离,得到最近的聚类中心,判断出该安全业 务所属的安全业务等级;
安全等级数据库,安全业务等级向量集合;
需求分析代理,负责分析安全业务对应的安全业务等级向量并依据安全等级 数据库判定该安全业务所属的安全业务等级。
所述资源查询模块包含:
安全资源数据库,安全资源集合;
资源查询代理,负责根据安全业务等级在安全资源数据库中查询相应安全资 源的大小。
所述网络构建模块包含:
节点集发现代理,负责发现满足安全资源大小需求的可行网络节点集;
构建代理,负责在可行网络节点集拓扑上基于构建准则构建可组合安全网络 的拓扑结构。
所述网络重构模块包含:
标记代理,负责找出网络中关键节点并将占用关键节点的可组合安全网络链 路标记为待重构链路;
重构代理,负责依据重构准则及重构算法对待重构链路或关键节点实施重 构。
本发明多等级安全服务的可组合安全网络构建方法及其装置,灵活性高,安 全业务需求与网络安全资源呈现松耦合关系,网络根据安全业务需求扩大和减小 相应的网络安全服务资源;适应性好,内在结构的时变性,即由时变的结构驱动 时变的服务能力,最终实现网络安全服务对安全业务要求和特征的动态匹配;可 用性强,可重构路由节点不仅可以根据安全业务的变化动态重组内部安全资源的 种类和大小,还可以动态增加或减少安全资源的种类和大小,实现节点安全资源 的动态可配置,增加安全网络的可用性;多级安全,根据安全业务需求的高低分 配安全资源,使有限的网络安全资源得到更加合理的利用,避免了单一追求高安 全等级或高服务质量的简单模式。
机译: 公开信息表示装置,个人识别等级计算装置,ID等级取得装置,访问控制系统,公开信息表示方法,个人识别等级计算方法,ID等级取得方法及程序
机译: 注意等级估计装置,注意等级估计模型学习装置,注意等级估计方法,注意等级估计模型学习方法以及程序
机译: 移动多媒体广播系统中的等级发送方法,等级接收方法,等级发送装置以及等级接收装置