主动安全网络及构建方法

摘要

本公开实施例公开了一种主动安全网络及构建方法。其中，主动安全网络架构，包括：管理控制平台、边界认证机、认证客户端和标识系统；所述管理控制平台，用于存储和管理设备身份及控制策略，并识别和确认所述边界认证机的合法性，为边界认证机提供所接入设备的身份和策略信息；所述边界认证机，用于接收来自所述管理控制平台的控制策略并对接入设备进行身份认证、控制策略执行及状态监测；所述认证客户端，用于响应边界认证机的认证挑战；所述标识系统，用于产生基于设备标识的非对称密钥对，公钥传输至所述管理控制平台，私钥传输至接入设备。通过在网络接入边界上综合运用身份、准入和策略实现网络安全的目的。

说明书

技术领域

本公开涉及网络安全领域，尤其涉及一种主动安全网络及构建方法。

背景技术

现有网络安全局域网采用业界通行的三层架构，三层架构分为核心层、汇聚层和接入层，是通道为主的网络架构，该架构缺乏体系化的完整网络安全能力，是局域网网络安全问题的根源，其网络安全问题体现在以下三个方面：

一、完全开放，三层架构局域以太网技术和TCP/IT协议，网络设备间的互联没有认知和控制机制，任意设备间都可开放互联，造成局域网边界可以随意扩展，无法保证网络范围和边界的安全完整性。

二、接入开放，三层架构对于接入设备缺乏身份验证能力和接入控制能力，任何有IP地址的设备都可以随意接入网络，不能阻止未经安全风险确认的设备进入网络。

三、访问控制策略，三层架构的访问控制是基于个体网络设备的，是基于IP地址的，没有与接入设备的精确对应关系，静态的控制策略不能集中配置和灵活管理，造成访问控制配置落后于业务和安全需求，而致访问控制虚设或无，特别是接入层基本没有访问控制设置。

发明内容

有鉴于此，本公开实施例提供了一种主动安全网络及构建方法，至少部分的解决现有技术中存在的无法保证网络范围和边界的问题。

第一方面，本公开实施例提供了一种主动安全网络架构，包括：管理控制平台、边界认证机、认证客户端和标识系统；

所述管理控制平台，用于存储和管理设备身份及控制策略，并识别和确认所述边界认证机的合法性，决定所述边界认证机与相邻网络设备的连通性，为边界认证机提供所接入设备身份和策略信息；

所述边界认证机，用于基于接收的来自所述管理控制平台的控制策略对接入设备进行身份认证、控制策略执行及状态监测；

所述认证客户端，用于接收来自所述边界认证机的加密数据，并基于约定的非对称算法和本地私钥解算出明文，用于响应所述边界认证机发起的身份认证挑战；

所述标识系统，用于产生基于设备标识的非对称密钥对，并将非对称密钥对中的公钥传输至所述管理控制平台，将所述非对称密钥对中的私钥传输至接入设备。

可选的，所述管理控制平台通过信任互联协议识别和确认所述边界认证机的合法性。

可选的，所述边界认证机通过管理控制协议与所述管理控制平台交互控制策略。

可选的，所述标识系统，用于产生基于设备标识的非对称密钥对，包括：

基于非对称加密算法和IPK密钥机制，产生接入设备的身份唯一标识；

基于所述身份唯一标识产生非对称密钥对。

可选的，所述认证客户端安装在接入设备上，所述认证客户端响应所述边界认证机发起的身份认证挑战，所述认证挑战由边界认证机通过接入认证协议发起。

可选的所述认证客户端响应所述边界认证机发起的身份认证挑战，包括：

基于所述认证挑战调用接入设备内保存的私钥；

基于约定的非对称算法和所述私钥解算挑战请求数据，得到解算结果；

将解算结果发送给发起认证挑战的边界认证机完成认证。

可选的，所述主动安全网络架构外的第三方系统基于开放互联协议与所述管理控制平台连通。

第二方面，本公开实施例还提供了一种构建第一方面任一所述主动安全网络的方法，包括：

将标识系统生成的密钥对的私钥预置到边界认证机，将密钥对公钥保存至管理控制平台；

所述边界认证机在所述管理控制平台注册后，基于边界认证机保存的私钥和管理控制平台保存的公钥完成边界认证机的认证；

将配置的控制策略保存中所述管理控制平台，所述管理控制平台存储多种不同的控制策略，根据网络安全要求调用相应的控制策略控制接入设备与边界认证机的连通。

本公开实施例提供的主动安全网络及构建方法，其中该主动安全网络，通过设置管理控制平台、边界认证机、认证客户端和标识系统，接入设备只能接入到边界认证机从而物理上设置网络边界，构建了网络的边界和范围，从而达到保证网络范围和边界，实现网络安全的目的。

上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本公开实施例提供的一种主动安全网络架构的原来框图；

附图说明：图中的T表示接入设备。

具体实施方式

下面结合附图对本公开实施例进行详细描述。

应当明确，以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

还需要说明的是，以下实施例中所提供的图示仅以示意方式说明本公开的基本构想，图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

另外，在以下描述中，提供具体细节是为了便于透彻理解实例。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所述方面。

ASN:Active Security Network Architecture主动安全网络架构；

AAP:Access Authentication Protocal接入认证协议；

MCP:Management Control Protocal管理控制协议；

BIP:Business Interaction Protocal业务互联协议；

OIP(Open Integration Protocal)：开放互联协议；

TIP:Trust Interconnection Protocal信任互联协议。

IPK是一种非对称的公钥密码体系，它将物联网体系中的标识作为演算并分发公/私钥的因子，公钥和私钥完全通过公/私钥因子计算产生，IPK是一种安全自证体系，实现了标识与密钥的关联，解决了公钥体制下的公钥分发和公钥真实性证明的问题。

为了便于理解，如图1所示，本实施例公开了一种主动安全网络架构，包括：管理控制平台、边界认证机和标识系统；

所述管理控制平台，用于存储和管理设备身份及控制策略，并识别和确认所述边界认证机的合法性，决定所述边界认证机与相邻网络设备的连通性，为边界认证机提供所接入设备身份和策略信息。

可选的，所述管理控制平台接入网络核心层或汇聚层，要求是IP可达。

管理控制平台通过信任互联协议识别和确认所述边界认证机的合法性。

边界认证机，用于基于接收的来自所述管理控制平台的控制策略并对接入设备进行身份认证、控制策略执行及状态监测。

所述认证客户端，用于接收来自所述边界认证机的加密数据，并基于约定的非对称算法和本地私钥解算出明文，用于响应所述边界认证机发起的身份认证挑战；

认证客户端，所述认证客户端用于存储本设备的私钥。认证客户端为安装的软件或APP等。

认证客户端安装在接入设备上，所述认证客户端响应所述边界认证机发起的身份认证挑战，所述认证挑战由边界认证机通过接入认证协议发起。

认证客户端响应所述边界认证机发起的身份认证挑战，包括：

基于述认证挑战调用接入设备内保存的私钥；

基于约定的非对称算法和所述私钥解算挑战请求数据，得到解算结果；

将解算结果发送给发起认证挑战的边界认证机完成认证。

边界认证机通过管理控制协议与所述管理控制平台交互控制策略。

可选的，所述边界认证机为多个时，所述边界认证机之间通过信任互联协议连通。

所述标识系统，用于产生基于设备标识的非对称密钥对，并将非对称密钥对中的公钥传输至所述管理控制平台，将所述非对称密钥对中的私钥传输至接入设备。

标识系统，用于产生基于设备标识的非对称密钥对，包括：

基于非对称加密算法和IPK密钥机制，产生接入设备的身份唯一标识；

基于所述身份唯一标识产生非对称密钥对。

可选的，所述主动安全网络架构外的第三方系统基于开放互联协议与所述管理控制平台连通。

在三层架构上增加了一个管控层，在管控层中增加了管控控制平台，和第三方接入的接口协议OIP；接入层用边界认证机代替接入交换机，边界认证机也可以代替汇聚交换机和核心交换机，本实施例并不进行限定，可以根据具体网络的汇聚层管控要求确定，普通网络交换机采用TIP协议也可以在TIP支持下实现与边界认证机的信任互联；增加标识系统为整个架构提供标识唯一性支持，标识系统可以在线/离线方式提供密钥支持。

边界认证机是网络安全设备，是主动安全网络架构的重要组件，边界认证机接入认证亦采用嵌入认证技术之接入认证协议(AAP)，本公开对界认证机接入认证进行了两项扩展，增加信任互联协议(TIP)和管理控制协议(MCP)协议，这两个协议的扩展，使得现有技术中的安全交换机转变为边界认证机的关键特征，也是大规模局域网适用性的关键。

本公开的主动安全网络架构如下：

1、在核心层之上增加管理控制平台，

2、以边界认证机代替接入层交换机，

3、在三层架构之外增加支持性的标识系统，

4、在此基础之上实现五个专用协议，五个专用协议为AAP、TIP、MCP、BIP和OIP，

5、认证客户端安装在接入设备上。

管理控制平台(PCP)是全网的控制中心，存储网络设备、接入设备的身份标识、准入状态及与身份对应的访问控制策略，网络设备为边界认证机、核心交换机和汇聚交换机等。管理控制平台同时兼具控制策略制定、审核、发布等管理功能，并根据边界认证机和接入设备的在线状态动态实时部署对应的控制策略，控制策略为安全控制的策略，PCP同时是所有边界认证机的控制中心，PCP通过TIP(信任互联协议)协议识别和确认本局域网中边界认证机的合法性，并决定该边界认证机与相邻网络设备的连通性。

边界认证机在接入交换机的基本通信能力的基础上，增加身份认证、网络准入、访问控制接收和执行能力。边界认证机通过管理控制协议(MCP)与PCP交互认证、准入和策略信息，通过接入认证协议(AAP)与接入设备的客户端软件完成和维持接入设备的身份认证和状态监测。

标识系统基于非对称加密算法和IPK密钥机制，产生接入设备的身份唯一标识(CID)及基于CID的非对称密钥对，密钥对的公钥由PCP保持和使用，私钥由接入设备保存并由客户端软件调用，标识系统可以在线或离线方式提供支持。

接入认证协议(AAP)是边界认证机对接入设备完成身份认证和状态维持的协议，基于非对称加密的密钥对实现，该协议用于网络接入设备的身份认证。信任互联协议(TIP)是管理控制平台识别和确认边界认证机与已组网边界认证机连通性的协议，此协议用保持网络接入边界的完整性；开放互联协议(OIP)是为第三方安全应用与主导安全网络架构集成应用提供的互联协议；信任互联协议、开放互联协议、管理控制协议和业务互联协议的协议数据均采用对称加密。

认证客户端运行在接入设备上，响应所接入的边界认证机通过AAP协议发起的认证挑战，认证过程调用本地密钥对私钥，密钥对私钥保存和加解密过程通过密码芯片或加解密组件实现。认证客户端为安装到接入设备的软件。

本公开的标识系统可以采用多种方式实现，1、基于X.509标准的数字证书技术。2、国密算法的SM9。3、IPK标识公钥技术。边界认证机是在标识系统提供的非对称密钥对基础上实现身份认证的，接入认证协议(AAP)和信任互联协议(TIP)也是在标识系统提供的非对称密钥对基础上实现身份认证的。

在主动安全网络架构下，网络接入层受管理控制平台管控而不能非授权改变，构建起确定的网络边界；接入设备在边界认证机上完成身份认证、网络准入和安全策略执行；集中的体系化安全策略覆盖完整的网络边界和资产，实现网络安全的目的。

另外，本实施例还公开了一种构建主动安全网络的方法，包括：

将标识系统生成的密钥对的私钥预置到边界认证机，将密钥对公钥保存至管理控制平台；

所述边界认证机在所述管理控制平台注册后，基于边界认证机保存的私钥和管理控制平台保存的公钥完成边界认证机的认证；

将配置的控制策略保存中所述管理控制平台，所述管理控制平台存储多种不同的控制策略，根据网络安全要求调用相应的控制策略控制接入设备与边界认证机的连通。

在一个具体的应用场景中，

步骤1、设置管理控制平台，并将管理控制平台接入网络，管理控制平台可接入网络核心层，也可以接入汇聚层，要求是IP可达。

步骤2、在管理控制平台建立管理员、操作员、审核员或审计员的账号和密码，并设置不同账号的管控权限。

步骤3、将标识系统提供的密钥对私钥预置在边界认证机和接入设备中，相应的公钥输入管理控制平台。

步骤4、边界认证机配置管理控制平台的地址和端口，在管理控制平台上注册，根据密钥对匹配关系决定属于本网络的边界认证机设备。

步骤5、接入设备在管理控制平台注册，接入设备秘钥相应的公钥输入管理控制平台。

步骤6、根据业务管理要求和网络安全需要，制定访问控制策略，并经审核后发布给具体的接入设备；

步骤7、以上步骤完成后主动安全网络架构建立完成，进入运行维护阶段，利用管理控制平台的账号权限，可以实现受控的边界认证机扩展和接入设备的增减，控制策略的维护；

步骤8、管理控制平台提供控制策略库功能，可以预先制定多种控制策略备用，待业务和安全需求发生变化时，调用相应的控制策略并发布给相应的接入设备，实现体系化的全局网络安全管控，用控制策略保护接入设备安全。

本公开实施例实现的网络架构与现有技术相比具有以下有益效果：

1、构建可管控的网络，改变现有网络完全开放、范围和边界失控的状态，与现有网络安全技术相比对网络设备控制能力更强，实现了网络边界完整性。

2、网络提供安全能力，网络接入层上实现身份认证、网络准入、控制策略三者一体会融合运用，面向所有接入设备实现先安全后入网的管控方法，相对于现有技术的先入网后认证及仅对应用认证的安全措施更加彻底、有效、全面且精准。

3、体系化网络安全能力，基于接入设备身份的集中式访问控制策略，相对于现有技术的基于IP地址的访问控制策略，具有体系化、常态化、实战化、全局化、精细化、动态化和主动化特征，改变了现有技术访问控制策略局部化、离散化、静态化、粗略化和管理困难的缺点，可以在构建全网体系化安全能力中应对不断变化的网络安全情况。

4、汇集多方安全能力，主动安全网络架构通过开放互联协议(OIP)实现多方安全信息的汇集，自动形成控制策略，产生超值的安全能力，相对于现有技术的设备联动具有更大的包容性和综合能力，实现1+1>2的效果。

以上结合具体实施例描述了本公开的基本原理，但是，需要指出的是，在本公开中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本公开为必须采用上述具体的细节来实现。

在本公开中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序，本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

另外，如在此使用的，在以“至少一个”开始的项的列举中使用的“或”指示分离的列举，以便例如“A、B或C的至少一个”的列举意味着A或B或C，或AB或AC或BC，或ABC(即A和B和C)。此外，措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。

还需要指出的是，在本公开的系统和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。

可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外，本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而，所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此，本公开不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。