技術領域

本發明涉及屬于計算機安全領域，涉及軟件開發設計的中間件技術，具體涉及一種軟件定義安全體系(Software Defined Security Architecture,SDSA)

背景技術

計算機信息安全領域涵蓋的范圍非常廣泛并且隨信息時代的發展逐漸擴大。信息安全學科可分為狹義安全與廣義安全兩個層次，狹義的安全是建立在以密碼論為基礎的計算機安全領域。廣義的信息安全幾乎涵蓋了計算機應用學科的大部分科學與技術。

對于軟件開發商來說，為了使軟件能夠應對目前的安全威脅，就必須開發出更加安全的軟件產品。于是他們對于軟件安全問題的關注焦點在于：“如何才能開發出安全的軟件產品？”遺憾的是，傳統的軟件工程中使用的瀑布模型、螺旋模型和增量模型等軟件開發模型并未對軟件安全進行過多的關注，這些模型的使用并不能使企業的軟件產品得到安全性的保障。傳統的軟件開發模型需要進行安全方面的改造。

現有的安全方法包含密碼論方法和結構性安全方法。其中密碼論方法有：

DES(Data Encryption Standard)：對稱算法，數據加密標準，速度較快，適用于加密大量數據的場合；3DES(Triple DES)：是基于DES的對稱算法，對一塊數據用三個不同的密鑰進行三次加密，強度更高；RC2和RC4：對稱算法，用變長密鑰對大量數據進行加密，比DES快；IDEA(International Data Encryption Algorithm)國際數據加密算法，使用128位密鑰提供非常強的安全性；RSA：由RSA公司發明，是一個支持變長密鑰的公共密鑰算法，需要加密的文件塊的長度也是可變的，非對稱算法；MD5摘要算法；PKCS(The Public-Key Cryptography Standards)公鑰算法，等等。

現有的結構性安全方法包含硬件保全，網絡安全、病毒檢測、網站過濾，等等。但是網絡安全日益更高的性能和靈活擴展需求，更需要從軟件設計層面思考,這是因為一方面，不論密碼論還是網絡信息安全，其科學涵蓋范圍之大，技術層次之深都導致其難以為有限的專業普通軟件工程開發人員所掌握和熟練應用；另一方面，現代網絡的發展導致信息安全環境極度惡化，信息安全的需求逐漸廣泛化、平民化，越來越多的軟件設計需要進行安全模塊設計。

發明內容

針對以上現有技術中的不足，本發明的目的在于提供一種軟件設計者提供可供調用的安全組件、可供軟件運行的安全運行環境的軟件定義安全體系結構，本發明的技術方案如下：

一種軟件定義安全體系結構，其特征在于：包括基礎設施層、安全能力層、安全執行平臺、安全開發環境模塊及應用層模塊：其中

基礎設施層：包括若干分布式集群，通過分布式集群為安全能力層及以上層提供物理承載平臺；

安全能力層：包括系統安全模塊，用于封裝對系統運行狀態的接口，如CPU運行狀態、內存狀態、IO、硬盤讀寫、網絡狀態，安全模塊中不同接口排列組合構成中間件的安全引擎，系統安全模塊包含所有與底層操作系統、網絡有關的安全行為管控；算法安全模塊用于安全算法的實現與封裝，對數據進行處理，進行功能化實現，構成中間件的安全核心庫用于將加密解密、認證、隔離功能轉化為對算法模塊的調用；

安全執行平臺：包括安全運行環境、安全引擎、安全核心庫、安全執行管控模塊和彈性安全服務模塊；系統安全執行管控模塊運行時環境為安全引擎，在安全引擎之上包含安全狀態監控、安全任務執行以及開發者管理模塊，安全狀態監控模塊司職管控安全系統的運行狀態，彈性安全服務模塊運行時環境為安全核心庫，底層將抽象加密解密算法封裝為可供組合調用的核心庫；

安全開發環境：用于為中間件系統提供安全軟件開發環境，為軟件開發者提供完整的安全軟件組件和開發文檔、軟件開發示例；

安全服務接口：中間件向應用層提供安全應用程序編程接口的方式向應用軟件，網絡服務軟件提供安全服務。

進一步的，所述基礎設施層的分布式集群包括hadoop集群，spark集群，hama集群，關系數據庫集群。

進一步的，所述體系結構安全模塊的安全行為管控包括內存檢測、進程隔離、網絡管控及數據隔離。

進一步的，所述算法安全模塊包括DES加密算法、AES加密算法、基于屬性的加密算法、RSA加密算法、安全策略、PKI密鑰體系。

進一步的，所述安全執行平臺的安全執行管控模塊在安全引擎上包括安全狀態監控、安全任務執行以及開發者管理模塊。