[发明专利]一种基于全要素网络标识的可信安全网关实现方法

权利要求书

1.一种基于全要素网络标识的可信安全网关实现方法，其特征在于，包括：

对网络身份标识进行管控；

建立矩阵式全流量检测引擎；

对业务工作流进行可信管控；

对微服务进行强隔离。

2.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述对网络身份标识进行管控，包括：

建立全要素网络身份标识；

建立认证操作链，定义多种认证序列，并基于角色授权框架的基础上，结合上下文感知信息构建业务访问权限以实施自适应的访问控制；

设置统一登录平台，并制定网络访问策略；

通过网络监测和信任评估，实时评估访问主体当前的信任状态。

3.根据权利要求2所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述设置统一登录平台，并制定网络访问策略，包括：

设置访问控制接口，从而与外部权限管理服务器共同实现访问控制功能；

设置安全审计接口，从而与外部安全审计服务器共同实现安全审计功能；

判断客户端证书是否作废；

获取客户端证书的属性，并将客户端证书的属性提交给服务器以进行处理；

为生成站点私钥文件和为生成站点证书提供请求文件，从而为认证网关提供站点私钥文件和站点证书；

进行用户身份确认，并接受网络信任域管理中心的统一管理，从而保证合法用户可以在全网范围内自由通行；

为责任认定提供用户上网状态信息，提供用户跨网、跨域访问的行为记录，从而支持责任认定的全网化；

通过责任认定后，将访问请求放行，并路由到目的地；

提供用户终端到可信安全网关的加密传输服务，从而确保信息传输的安全性。

4.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述建立矩阵式全流量检测引擎，包括：

基于SDN全交换的并行检测技术框架，实现矩阵式全流量检测引擎；

基于多目标分发机制形成连接级并行内容分析，并运行多个逻辑上独立的并行内容分析协议栈；

基于全交换的矩阵式全流量检测引擎将多个安全功能整合为一体。

5.根据权利要求4所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述基于SDN全交换的并行检测技术框架，实现矩阵式全流量检测引擎，包括：

划分空闲缓冲区队列和已使用缓冲区队列，并保存缓冲区数据单元指针的指针列表；

当捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元，并将从网卡读入的数据拷贝到所述存储单元以后，捕包程序将缓冲单元挂到已使用缓冲队列的尾部；

从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后，直接将所述数据单元挂到待发送缓冲区队列；

所述基于多目标分发机制形成连接级并行内容分析，并运行多个逻辑上独立的并行内容分析协议栈，包括：

通过一个数据分发器并按照IP包首的源地址和目的地址对分发到相应的线程对并行协议栈进行处理，并通过一个发送单元收集器完成数据单元的发送；同时，将发送单元收集器占用的数据单元返回给空闲存储单元队列中，让捕包系统重复利用这些单元；

每一个内容分析任务，均设有一个私有的协议栈状态表和两个数据队列索引，其中，协议栈状态表是协议栈在进行IP协议、TCP协议和上层应用协议还原的时候，用来保存上下文信息和暂存数据使用，而两个数据队列索引则分别用来存储待分析的数据块和已分析的数据块。

6.根据权利要求1所述的基于全要素网络标识的可信安全网关实现方法，其特征在于，所述对业务工作流进行可信管控，包括：

基于SDN对业务工作流进行可信管控；

将业务流程与数据流间映射，把业务审计流程映射到相关网络交换策略、数据隔离策略，形成业务与数据安全平面；

根据业务要求定义业务逻辑拓扑；

设置流量基线；

设置可信业务工作流的安全机制。