本發明公開了一種快速細粒度多域網絡互聯安全控制方法，屬于網絡空間安全領域。首先建立安全策略語言語法規范，將每個安全策略分別轉換成范式腳本，并實現相應的語法解析器，將沒有錯誤的腳本進行存儲；然后對其中域以及業務的語義在網絡中存在的腳本，將白名單中每條策略分別設計成一棵樹，對樹進行合并；將黑名單中每條策略分別設計成一棵樹，并將其合并白名單中；將范圍默認動作內每條策略分別設計成一棵樹，將其與黑白名單合并樹進行合并，得到安全策略樹。最后把描述域間業務通信的該腳本轉換為描述細粒度的七元組安全規則，并高速分發/傳輸到安全互聯網關，依據安全規則更新執行單元的安全控制信息。本發明具有簡便性和靈活性，效率更高。

技術領域

本發明屬于網絡空間安全領域，涉及天地一體化網絡信息安全保障體系，具體是一種快速細粒度多域網絡互聯安全控制方法。

背景技術

天地一體化網絡是為多域網絡用戶提供的一套共享互通的基礎設施網絡。但是，多域承載業務安全的需求存在差異，從應用業務角度分析，域間有互相通信的需求，這就形成了時空多變的特性，在網絡之上，業務類型/特征/安全等級隨多域多用戶的時空特性而變化，無法適應天地一體化網絡中各類用戶的動態需求。

天地一體化網絡由于用戶類型、業務類型以及安全級別等不同，可以形成物理或虛擬的網絡域(簡稱域)。為了對跨域通信進行安全控制，需要在域之間設置安全互聯網關。安全互聯網關是一種能夠依據安全策略互聯多域網絡的設備，被設置在隔離的物理網絡域或虛擬網絡域互聯處。

為了便于管理和應用，設計了一種安全策略語言，即多域互聯控制安全策略表達，該語言貼合用戶的使用習慣。但是，這種安全策略語言性能低、邏輯復雜，不能直接應用到高吞吐量的安全互聯網關上，由此，提出安全規則映射及高速傳輸方法，該映射方法把安全策略解釋成安全規則。

安全規則是一種安全互聯網關能夠理解的語言，具有大容量和執行高效性的特點，以滿足天地一體化網絡多域互聯細粒度安全控制的需求，達到深度防護目的。

發明內容

本發明針對安全策略語言不能直接應用到高吞吐量的安全互聯網關的問題，提出一種快速細粒度多域網絡互聯安全控制方法；該方法在天地一體化網絡中依據用戶類型、業務類型、安全域、安全級別、地基網絡特征在域間通信中進行差異化安全控制；能夠支撐基于域、業務、特征等多域網絡互聯安全控制，實現安全策略到安全規則的自動映射以及安全規則的部署和執行。

具體步驟為：

步驟一、建立安全策略的語言語法規范，將用戶要求的每個安全策略分別轉換成范式腳本，并實現相應的語法解析器，檢查腳本的語法錯誤，將沒有錯誤的腳本進行存儲；

安全策略的語言語法規范如下：

策略集::＝[“defaultaction”“:”action](策略組合)*

策略組合::＝白名單|黑名單|范圍動作默認設定

白名單::＝“whitelist”“:”“{”名單體“}”

黑名單::＝“blacklist”“:”“{”名單體“}”

范圍動作默認設定::＝“scop_drop”“:”“{”名單體“}”

名單體::＝策略名單體

|空集

策略::＝Id“-”Id“,”應用

應用::＝Id|“[”應用列表“]”|“*”

應用列表::＝“,”Id應用列表|Id

范式腳本包括四部分：全局默認動作，白名單，黑名單和范圍默認動作；

全局默認動作包括accept和drop；