本發明公開了一種基于全要素網絡標識的可信安全網關實現方法，包括：對網絡身份標識進行管控；建立矩陣式全流量檢測引擎；對業務工作流進行可信管控；對微服務進行強隔離。

技術領域

本發明涉及網絡安全技術領域，更具體地說，涉及一種基于全要素網絡標識的可信安全網關實現方法。

背景技術

在當今信息社會的時代，保護信息的私密性、完整性、真實性和可靠性，提供一個可信賴的計算環境已經成為信息化的必然要求。

為此，必須做到終端接入可信，從源頭解決人與程序、人與機器還有人與人之間的信息安全傳遞，進而形成一個可信的網絡，解決當前以防火墻、入侵監測和病毒防范為主的傳統網絡安全系統存在的被動防御的不足。

當前，在交通、政務、能源、金融、通信等重要行業和領域，關鍵信息基礎設施融入其中、控制其內，直接關系到國家命脈，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害公共利益。

針對關鍵信息基礎設施中復雜網絡拓撲、開放融合環境、多元接入終端、海量業務應用和未知漏洞后門等帶來的嚴峻挑戰，提出和構建扭轉“封堵查殺”被動局面、堅持“可管可控”縱深防御的安全體系，建立風險可控“天網恢恢、疏而不漏”式主動安全體系，建立網絡空間“風險可控、主動防御”的安全技術方法和系統，是提升網絡、平臺、運行環境、軟件和數據防御能力的迫切要求。

在現代網絡邊界“逐步模糊與消失”安全體系結構下，需要解決安全問題是資源共享和業務協作理論為突破方向，并制定出符合要求的可信模型。

在互聯網與物聯網中，由于信息安全的隱患源于多個方面，在對陌生方建立信任所依賴的訪問控制策略中，都可能泄露交互主體的敏感信息，在基于服務為中心的計算環境中，服務間的信任關系常常是動態地建立、調整，需要協商的方式達成協作或資源訪問的目的，通過策略的一致性保證系統和網絡的穩定性。

安全策略是對有關管理、保護和發布敏感信息的法律、規定和實施細則。安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，它為安全策略和安全策略實現機制的關聯提供了一種框架。

訪問控制模型是一種從訪問控制的角度出發，描述安全系統，建立安全模型的方法，訪問控制(Access?Control)?是國際標準化組織ISO在網絡安全標準(ISO7498-2)中定義的安全信息系統的基礎架構中必須包含的五種安全服務之一，是指主體依據某些控制策略或權限對客體本身或資源進行不同授權訪問。

著名的經典訪問控制模型包括：自主訪問控制DAC、強制訪問控制MAC和基?于角色的訪問控制RBAC。隨著網絡技術的迅速發展，可信網絡作為下一代的移動網絡，在為用戶提供了更加廣闊的資源空間和更加便利服務的同時，也產生了新的安全問題。

但傳統訪問控制模型主要關注在一個信息系統封閉環境中資源機密性和完整性的保護，不能很好地滿足可信網絡環境中動態、連續的訪問控制需求。

近幾年，可信計算研究不斷從終端向網絡擴展，而且研究的深度也進一步?增加，在理論發展的同時，可信計算的實現也逐步跟進。

防火墻是現代網絡安全防護技術中的重要構成內容，通過內部與外部網絡的中間過程，部署網絡訪問控制防御系統，可有效地防護外部的侵擾與影響。

同時，具有一定的抗攻擊能力，對于外部攻擊具有自我保護的作用。

目前，網絡訪問控制方法，包含MAC地址過濾、VLAN隔離、ACL自主訪問控制方法，和防火墻控制法，在最大限度上限制了源IP地址、目的IP地址、源上聯端口號、目的上聯端口號的訪問權限，從而限制了每一業務流的通斷。

從防護功能上，包過濾型防火墻、狀態檢測型防火墻、應用級防火墻和混合型防火墻，針對一些底層(網絡層、傳輸層)的信息進行阻斷，提供IP、端口防護，以及對應用層實施協議過濾等功能，包含不限于如下的安全問題：