技術領域

本發明涉及網絡安全技術領域，特別涉及一種可信網絡架構和可信網絡的工作方法。

背景技術

現有網絡中常用的安全手段，大多是被動的防御、排除網絡已存在的問題；隨著網絡結構復雜化和網絡設備的多樣化，安全管理效率、能力已成為網絡安全發展的瓶頸。

傳統網絡存在以下幾方面問題：

1、設備多，網絡結構越來復雜，管理難度增大；

2、網絡內部設備不能協同工作；

3、網絡安全設備上報安全事件不準確，容易錯報、漏報，不能及時處理；

4、網絡安全依賴于安全廠商對威脅的跟進、分析、服務。

針對上述問題，有必要提供一種區別于傳統網絡安全手段的可信安全網絡架構，其能夠采用主動出擊的方式，對網絡的源頭終端（身份、應用程序、進程等）進行安全認證并根據設定的規則進行安全標記，以實現用戶終端按角色權限的安全準入，實現網絡層授權；且根據業務類別和業務權限建議安全的訪問路徑，使邏輯上網絡中僅存在客體和主體兩個對象，避免了數據被竊取、被篡改。同時彌補傳統安全防護手段的不足，從數據傳輸、網絡邊界、主機終端各個層面對網絡進行一體式聯動安全防護，并真正意義上滿足網絡等級保護的要求。

發明內容

本發明的目的在于提供一種可信網絡，其能夠采用主動出擊的方式，對網絡的源頭終端（身份、應用程序、進程等）進行安全認證并根據設定的規則進行安全標記。

為實現上述目的，本發明采用以下技術方案：

一種可信網絡，包括可信應用、可信標記、可信代理、可信管理平臺和可信路由器；其中，

所述可信應用是部署在網絡中用于支撐業務的IT服務，由可以被識別的主體和客體組成，其中，所述主體為代表用戶行為的進程，所述客體為文件、目錄、設備文件、符號鏈接中的一種或幾種；所述可信應用賦予了上讀/下寫具體的安全級別和類別；

所述可信標記存在于所述主體和客體之間交互的IP報文中，可信標記包含安全級別、可信應用的類別兩個字段內容；

所述可信代理部署在終端上，根據所述可信管理平臺要求的規則識別可信應用，并在IP報文中增加可信標記；

所述可信管理平臺為提供給機構管理員的操作平臺，管理員通過所述可信管理平臺，編輯可信規則，所述可信代理對所述可信標記的處理規則以及可信控制設備對所述可信標記的處理規則，所述可信管理平臺為大型機構提供分布式管理的特性；

所述可信路由器部署在網絡中，用于識別IP報文中的可信標記，并根據所述可信管理平臺制定的規則對IP報文進行處理。

進一步地，所述可信標記的選項格式的各字段的含義依次為：

選項類型、選項長度、解析域和標簽；

其中，所述選項長度表示所述可信標記的選項的總長度，包括所述選項類型和選項長度這兩個字段的長度。

進一步地，在所述可信標記的選項格式中：

所述選項類型的長度為1字節，值為134；

所述選項長度的長度為1字節；

所述解析域的長度為4字節；

所述標簽的長度可變。

進一步地，所述標簽為位圖標簽類型，所述標簽的格式的各字段的含義依次為：

標簽類型、標簽長度、對齊字節、安全級別和類別位圖。

進一步地，在所述標簽的格式中：

所述標簽類型的長度為1字節；

所述標簽長度的長度為1字節，表示標簽總長度，包括標簽類型和標簽長度這兩個字段的長度；

所述對齊字節的長度為1字節，值為0，使所述類別位圖在偶數字節的邊界對齊；

所述安全級別的長度為1字節，取值范圍是0到255；

所述類別位圖的長度可變，長度范圍是0-30字節。

進一步地，所述安全級別和類別用數字表示，并且主機創建有把數字映射到ASCII碼的映射表，所述解析域用來指示主機應該使用哪條映射表項解釋CIPSO選項中的數字。

進一步地，在所述類別位圖中，比特按從左到右排序，其中，

類別n由第n位的比特表示；

比特n為1表示類別n是標簽的一部分，為0表示類別n不是標簽的一部分；

所述n滿足0≤n≤239。

進一步地，所述類別位圖的尾部字節不全為0。

進一步地，所述標簽類型的值為1，所述類別位圖的長度為10字節。

進一步地，所述可信標記的選項規范是draft-ietf-cipso-ipsecurity-01。