信息安全工程综合实践平台的体系结构
专利汇可以提供信息安全工程综合实践平台的体系结构专利检索,专利查询,专利分析的服务。并且一种信息安全工程综合实践平台的体系结构,用于信息安全技术领域。由下至上包括以下五层: 基础 设施层,安全服务功能层,安全服务管理层,应用层和用户管理层,基础设施层为平台体系结构的最低一层,通过 硬件 接口 来与安全服务功能层连接,安全服务功能层构建在基础设施层之上,向下通过硬件接口与基础设施层连接,向上通过服务提供接口与安全服务功能层连接,安全服务管理层是整个体系架构的核心,通过通用服务接口与应用层连接,应用层是基于安全服务管理层之上,通过通用服务接口与安全服务管埋层连接,用户管理层则是通过 人机界面 与应用层联系。本 发明 具有以下特点:1.开放性结构,2.可扩展性,3.多功能集成,4.形成自身的完整保障体系。,下面是信息安全工程综合实践平台的体系结构专利的具体信息内容。
1、一种信息安全工程综合实践平台的体系结构,包括:安全服务功能层, 安全服务管理层,应用层,其特征在于还包括:基础设施层,用户管理层,连 接关系为:基础设施层、安全服务功能层、安全服务管理层、应用层和用户管 理层由下至上设置,基础设施层为平台体系结构的最低一层,通过硬件接口来 与安全服务功能层连接,安全服务功能层构建在基础设施层之上,向下通过硬 件接口与基础设施层连接,向上通过服务提供接口与安全服务功能层连接,安 全服务管理层是整个体系架构的核心,通过通用服务接口与应用层连接,应用 层是基于安全服务管理层之上,通过通用服务接口与安全服务管埋层连接,用 户管理层则是通过人机界面与应用层联系。
2、根据权利要求1所述的信息安全工程综合实践平台的体系结构,其特征 是,在安全服务功能层、安全服务管理层和应用层三层中,又分为面向应用和 面向管理两部分,面向应用部分通过硬件接口从基础设施层取得服务以完成具 体应用,而面向管理部分则通过硬件接口从基础设施层取得服务来实现具体的 管理功能,这两部分之间各自独立,但通过基础设施层产生了联系,成为被管 理和管理两个角色。
3、根据权利要求1或2所述的信息安全工程综合实践平台的体系结构,其 特征是,安全服务功能层向下通过硬件接口与基础设施层连接,实现基本安全 服务和功能对硬件的操作,这样就为安全服务管理层屏蔽了基础设施层中的具 体硬件,在这层中为安全服务管理层提供的服务和功能都是通过插件来完成, 这些插件包括安全插件模块和设备插件模块,安全插件模块位于面向应用部分, 设备插件模块则位于面向管理部分,这两部分之间的联系是通过基础设施层来 实现,安全插件模块指安全方面基本的算法模块,提供各种基本的安全服务, 一个安全插件模块对应一个服务,这些安全插件模块通过服务提供接口向安全 服务管理层中的面向应用部分提供服务,设备插件模块是在具体硬件之上,采 用驱动程序的方式提取出与设备对应的硬件模式和编程接口,通过服务提供接 口向安全服务管理层中的面向管理部分提供服务,在这层内部,一个设备对应 一个设备插件模块,但从上层来看,对同一类型的设备只需要使用一种接口。
4、根据权利要求1或2所述的信息安全工程综合实践平台的体系结构,其 特征是,安全服务管理层主要负责安全服务功能层中所有插件模块的管理,并 为应用层提供统一的通用服务接口,在安全服务管理层的面向应用部分中,包 括安全插件管理模块和与安全服务功能层中安全插件模块相对应的统一的安全 服务模块,其中安全插件管理模块负责通过服务提供接口与安全服务功能层进 行连接,实现对安全服务功能层安全插件的管理、添加和删除,以及把这些安 全插件的信息提供给这层中的安全服务模块,让这些安全服务模块为应用层生 成通用服务接口;在面向管理部分中,包括设备插件管理模块和与安全服务功 能层设备插件相对应的各种设备模型,其中设备插件管理模块负责对安全服务 功能层的设备插件模块进行管理,根据这些插件模块的信息和参数进行建模, 产生设备模型,一类设备对应一种模型,所有模型都是由数据结构和算法来表 示,然后根据这些数据结构和算法,通过唯一的通用服务接口向上层提供安全 服务。
5、根据权利要求1或2所述的信息安全工程综合实践平台的体系结构,其 特征是,应用层是基于安全服务管理层之上,是所有具体安全应用的组成,包 括安全应用系统和安全管理系统两部分,其中安全应用系统位于面向应用部分, 安全管理系统则位于面向管理部分,两者之间的联系是通过基础设施层来建立, 安全应用系统通过安全策略的执行,有效地控制应用系统的运行;安全管理系 统的重点在于对用户安全事件的管理,以各种的安全模式向用户提供,应用层 中的应用模块通过安全应用接口来使用下层模块的安全服务。
6、根据权利要求1所述的信息安全工程综合实践平台的体系结构,其特征 是,基础设施层,指网络组成中的具体硬件和涉及安全管理的设备,包括平台 的全部硬件设备,构成平台中的硬件平台,这层通过硬件接口来与安全服务功 能层连接,直接为安全服务功能层提供服务。
7、根据权利要求1所述的信息安全工程综合实践平台的体系结构,其特征 是,用户管理层实现对平台用户的管理,把合法的用户,根据其权限引导到应 用层中面向应用部分或面向管理部分的人机界面,这层中通过基于证书的PKI、 基于用户名/密码的对称加密、基于用户名/密码的哈希运算或基于USB卡来达 到用户的身份认证,然后在PKI的基础上,由PMI提供用户身份到应用授权的 映射,实现与实际应用处理模式相对应的访问控制机制,用户管理层建立了平 台内部和外部之间的安全控制。
8、根据权利要求1所述的信息安全工程综合实践平台的体系结构,其特征 是,按安全防护功能来划分,分为六个大类,十九个子系统:
(1)安全基础支撑:包括安全协议验证系统、密码系统;
(2)安全网络隔离:包括安全网闸系统、防火墙系统、VPN系统;
(3)安全检测防护:包括攻防系统、安全扫描系统、入侵检测系统;
(4)安全访问控制:包括PMI系统、PKI系统;
(5)安全内容监控:包括多媒体内容认证系统、文本内容过滤系统、分级 内容监管系统、视频内容监控系统、图像内容监控系统;
(6)安全综合管理:包括安全办公系统、安全实验资源管理系统、安全管 理系统、安全审计系统。
技术领域
本发明涉及用于信息安全技术领域。具体说是一种信息安全工程综合实践 平台的体系结构。
背景技术
信息安全已经发展成为一个综合、交叉的学科领域,信息安全人才不仅要 有很强的理论知识背景,而且要有高超的实践技术。然而,因为信息安全方面 的实验可能具有危害性,不可能在实际的环境中进行,所以需要一个具有多功 能、能利用信息安全各方面资源进行综合性实验的工程实践平台。
目前,在国内外已经出现了各种各样信息安全方面的实践平台。经文献检 索发现,中国专利申请号01132350.7,专利名称:基于信任与授权服务的电子 政务安全平台系统,该专利介绍的是一种针对政务事务处理方面的平台系统。 然而,在信息安全领域,目前国内外现有的实验平台,主要是针对某一项安全 技术的科学研究或者某一个安全产品的测试而建立的基于单一功能的研究型或 者检测型平台,这些平台存在以下不足:1.基于单一功能,在一个平台中,只 能进行信息安全中某一方面的实验;2.结构不开放,所以不能根据特定要求进 行功能增强;3.没有考虑平台自身的安全,对平台内部信息的保护不够完善。 所以现时在信息安全领域,还没有能进行全方位综合性实验的工程实践平台。
发明内容
本发明是通过以下的技术方案实现的,本发明是一种分层结构,由下至上 包括以下五层:基础设施层,安全服务功能层,安全服务管理层,应用层和用 户管理层。基础设施层为平台体系结构的最低一层,通过硬件接口来与安全服 务功能层连接;安全服务功能层构建在基础设施层之上,向下通过硬件接口与 基础设施层连接,向上通过服务提供接口与安全服务功能层连接;安全服务管 理层是整个体系架构的核心,通过通用服务接口与应用层连接;应用层是基于 安全服务管理层之上,通过通用服务接口与安全服务管埋层连接;用户管理层 则是通过人机界面与应用层联系。
其中在安全服务功能层、安全服务管理层和应用层三层中,又分为面向应 用和面向管理两部分,面向应用部分通过硬件接口从基础设施层取得服务以完 成具体应用,而面向管理部分则通过硬件接口从基础设施层取得服务来实现具 体的管理功能,这两部分之间没有直接的连接,但通过基础设施层产生了联系, 成为被管理和管理两个角色。
以下对本发明作进一步说明,具体的描述如下:
1.基础设施层:
基础设施层是指网络组成中的具体硬件和涉及安全管理的其它设备,包括 平台的全部硬件设备,构成平台中的硬件平台,这层通过硬件接口来与安全服 务功能层连接,直接为安全服务功能层提供服务。
2.安全服务功能层:
安全服务功能层向下通过硬件接口与基础设施层连接,实现基本安全服务 和功能对硬件的操作,这样就为安全服务管理层屏蔽了基础设施层中的具体硬 件。这层向上通过服务提供接口向安全服务管理层连接。在这层中为安全服务 管理层提供的各种服务和功能都是通过这层中的插件来完成。这些插件包括安 全插件模块和设备插件模块,安全插件模块位于面向应用部分,设备插件模块 则位于面向管理部分,这两部分间没有直接连接,它们之间的联系是通过基础 设施层来实现。安全插件模块指安全方面基本的算法模块,提供各种基本的安 全服务,一个安全插件模块对应一个服务,这些安全插件模块通过服务提供接 口向安全服务管理层中的面向应用部分提供服务。以这种插件的形式,用户可 以方便灵活地通过增减安全插块模块的数目来增减平台提供的基本安全服务。 设备插件模块是在具体硬件之上,采用驱动程序的方式提取出与设备对应的硬 件模式和编程接口,通过服务提供接口向安全服务管理层中的面向管理部分提 供服务,在这层内部,一个设备对应一个设备插件模块,但从上层来看,对同 一类型的设备只需要使用一种接口,而不需要考虑设备厂商和型号。
3.安全服务管理层:
安全服务管理层是整个体系架构的核心,主要负责安全服务功能层中所有 插件模块的管理,并为应用层提供统一的通用服务接口,从应用层看来,只要 通过通用服务接口就能得到各种较高层次的安全服务,而不需要关心这些安全 服务实现的细节和实现时涉及到哪些具体设备,例如,对应用层来说,要得到 不同的加解密服务,只需通过统一的通用服务接口调用服务就可,而且也不需 要考虑这些服务实际由那台主机来完成。
在安全服务管理层的面向应用部分中,包括安全插件管理模块和与安全服 务功能层中安全插件模块相对应的统一的较高层次的安全服务模块,其中安全 插件管理模块负责通过服务提供接口与安全服务功能层进行连接,实现对安全 服务功能层安全插件的管理、添加和删除,以及把这些安全插件的信息提供给 这层中的安全服务模块,让这些安全服务模块为应用层生成通用服务接口。在 这层的面向管理部分中,包括设备插件管理模块和与安全服务功能层设备插件 相对应的各种设备模型。其中设备插件管理模块负责对安全服务功能层的设备 插件模块进行管理,根据这些插件模块的信息和参数进行建模,产生设备模型, 一类设备对应一种模型,所有模型都是由一些数据结构和算法来表示,然后就 可根据这些数据结构和算法,通过唯一的通用服务接口向上层提供与设备类型 无关的安全服务。
可以看到,安全服务功能层中的插件模块分别由安全服务管理层中相应的 管理模块进行管理,然后再向上层提供统一的服务和管理接口,实现统一管理。
4.应用层:
应用层是基于安全服务管理层之上,这层是所有具体安全应用的组成,包 括安全应用系统和安全管理系统两部分。其中安全应用系统位于面向应用部分, 安全管理系统则位于面向管理部分,这两部分之间没有直接连接,但因为平台 中面向应用部分和面向管理部分都是处于相同的基础设施层之上,所以安全管 理系统和安全应用系统之间的联系是通过基础设施层来建立。安全应用系统体 现了以应用为中心的安全管理的概念,通过安全策略的执行,有效地控制安全 办工、内容安全监控等应用系统的运行,使得在具体应用中,用户的信息得到 有效的保护;安全管理系统的重点在于对用户安全事件的管理,以不同的安全 模式向用户提供。应用层中的应用模块可通过系统调用或动态链接库等安全应 用接口来使用下层模块的安全服务,而不需要关心下层模块的具体细节。
5.用户管理层:
用户管理层实现对平台用户的管理,把合法的用户,根据其权限引导到应 用层中面向应用部分或面向管理部分的人机界面。这层中通过基于证书的PKI、 基于用户名/密码的对称加密、基于用户名/密码的哈希运算或基于USB卡来达 到用户的身份认证,然后在PKI的基础上,由PMI提供用户身份到应用授权的 映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无 关的访问控制机制。这样,进入平台的所有用户都必须经过身份认证,而且在 平台内会受到权限控制,因此,用户管理层建立了平台内部和外部之间的安全 控制。
因为本平台的结构是开放性的,而且每层内都是模块化的,所以可以根据 特定要求,通过对某层或某个功能模块进行更新或直接增加功能模块来对平台 进行功能的增强和扩充,这样平台的功能就能不断进行更新和扩展,以适应因 信息安全领域新技术不断涌现而导致实践环境要求的变化。同时,在这样的体 系结构中,下层的资源可以向上层多个模块提供,达到不同资源共享,互相配 合利用的目的。
按本发明提出的体系结构来构建信息安全工程综合实践平台,具有以下特 征:开放性结构,可扩展性,多功能集成,形成自身的完整保障体系,不同系 统间资源共享。
附图说明
图1是信息安全工程综合实践平台的分层逻辑模型图
图2是信息安全工程综合实践平台的安全保障体系组成图
具体实施方式
如图1所示,本平台由下至上共五层,具体的描述如下:
1.基础设施层:
基础设施层为体系结构的最低一层,是指网络组成中的具体硬件和涉及安 全管理的其它设备,包括平台的全部硬件设备,构成平台中的硬件平台。这层 通过硬件接口来与安全服务功能层连接,直接为安全服务功能层提供服务。如 图1所示,包括分布式主机、本地主机、Hub、防火墙、安全网闸、路由器、VPN 网关、扫描器、IDS、服务器、路由器、交换机等一切硬件设备,是平台中安全 服务的实质提供者。
2.安全服务功能层:
安全服务功能层向下通过硬件接口与基础设施层连接,实现基本安全服务 和功能对硬件的操作,这样就为安全服务管理层屏蔽了基础设施层中的具体硬 件。这层向上通过服务提供接口向安全服务管理层连接。在这层中为安全服务 管理层提供的各种服务和功能都是通过这层中的插件来完成。如图1所示,这 些插件包括安全插件模块和设备插件模块,安全插件模块位于面向应用部分, 设备插件模块则位于面向管理部分,这两部分间没有直接连接,它们之间的联 系是通过基础设施层来实现。安全插件模块指安全方面基本的算法模块,提供 各种基本安全服务,如:DES加密服务、AES加密服务、DES解密服务、密钥生 成服务、数字签名服务和认证计算服务等,一个安全插件模块对应一个服务, 在图1中,为了表示方便,用一个箭头符号代表多个插件模块,如图中的加解 密插件模块,代表的是DES加密插件模块、AES加密插件模块、DES解密插件模 块等,这些安全插件模块通过服务提供接口向上层提供服务,一个接口对应一 种类型的基本服务,就加密算法举例说,不管用户要得到的是那种算法的加密 服务,DES或AES等,只要通过同一接口来调用即可。以这种插件的形式,用户 可以方便灵活地通过增减安全插块模块的数目来增减平台提供的基本安全服 务。设备插件模块是在具体硬件之上,采用驱动程序的方式提取出与设备对应 的硬件模式和编程接口,然后再通过服务提供接口向上层提供服务,在这层内 部,一个设备对应基础设施层的一个设备插件模块,如两个防火墙插件模块就 与两个防火墙对应,但从上层来看,对同一类型的设备只需要使用一种接口, 而不需要考虑设备厂商和型号,例如,对所有防火墙都使用同一接口,对所有 路由器则使用另一个统一接口,也就是说,安全服务功能层为上层实现了设备 的厂商无关性。
3.安全服务管理层:
安全服务管理层是整个体系架构的核心,向下通过服务提供接口与安全服 务功能层连接,向上通过通用服务接口与应用层连接。这层主要负责安全服务 功能层中所有插件模块的管理,并为应用层提供统一的通用服务接口,从应用 层看来,只要通过通用服务接口就能得到各种较高层次的安全服务,而不需要 关心这些安全服务实现的细节和实现时涉及到哪些具体设备,例如,对应用层 来说,要得到不同的加解密服务,只需通过统一的通用服务接口调用服务就可, 而且也不需要考虑这些服务实际由那台主机来完成。而且这层还会对对安全服 务功能层的设备插件模块进行建模,一类设备对应一种模型,所有模型都是由 一些数据结构和算法来表示,如图1所示,这层中的防火墙模型与安全服务功 能层的多个防火墙插件模块对应,交换机模型与多个交换机插件模块相对应, 然后再根据这些数据结构和算法,通过唯一的通用服务接口向上层提供与设备 类型无关的安全服务。
4.应用层:
应用层是基于安全服务管理层之上,向上则通过人机界面来向经过用户管 理层身份认证和权限控制的合法用户提供服务。这层是所有具体安全应用的组 成,包括安全应用系统和安全管理系统两部分。其中安全应用系统位于面向应 用部分,安全管理系统则位于面向管理部分,这两部分之间没有直接连接,但 因为平台中面向应用部分和面向管理部分都是处于相同的基础设施层之上,所 以安全管理系统和安全应用系统之间的联系是通过基础设施层来建立。安全应 用系统体现了以应用为中心的安全管理的概念,通过安全策略的执行,有效地 控制各种应用的运行,使得在具体应用中,用户的信息得到有效的保护,如图1 所示,这些应用包括:安全办公、协议验证、视频内容监控、多媒体内容认证、 图像内容监控、分级内容监控、文本内容监控等;安全管理系统的重点在于对 用户安全事件的管理,以不用的安全模式向用户提供,如图1所示,这部分包 括:安全设备管理、安全实验资源管理、安全审计、攻防、入侵监测、安全扫 描等。应用层中的应用模块可通过系统调用或动态链接库等安全应用接口来使 用下层模块的安全服务,而不需要关心下层模块的具体细节。
5.用户管理层:
用户管理层实现对平台用户的管理,把合法的用户,根据其权限引导到应 用层中面向应用部分或面向管理部分的人机界面。如图1所示,通过基于证书 的PKI、基于用户名/密码的对称加密、基于用户名/密码的哈希运算或基于USB 卡来达到用户的身份认证,然后在PKI的基础上,由PMI提供用户身份到应用 授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和 管理无关的访问控制机制。这样,进入平台的所有用户都必须经过身份认证, 而且在平台内会受到权限控制,如图1所示,经过身份认证,用户被分为信任 用户和管理员两种,并得到不同的权限,因此,用户管理层建立了平台内部和 外部之间的安全控制。
如图2所示的信息的安全保障体系组成图,本发明平台(可参看图1),按 安全防护功能来划分,分为六个大类,十九个子系统:
1.安全基础支撑
●安全协议验证系统
●密码系统
2.安全网络隔离
●安全网闸系统
●防火墙系统
●VPN系统
3.安全检测防护
●攻防系统
●安全扫描系统
●入侵检测系统
4.安全访问控制
●PMI系统
●PKI系统
5.安全内容监控
●多媒体内容认证系统
●文本内容过滤系统
●分级内容监管系统
●视频内容监控系统
●图像内容监控系统
6.安全综合管理
●安全办公系统
●安全实验资源管理系统
●安全管理系统
●安全审计系统(桌面监管系统)
图中横向所有子系统构成了从安全基础支撑到安全综合管理的信息安全保 障体系,基本覆盖了信息安全的各个方面,从平台提供的培训、教学和科研实 验环境来看,是功能全面的,从平台本身的安全角度来看,是安全保障完善的。
一个良好的工程实践平台对信息安全领域的培训、实验和科研具有举足轻 重的地位,根据本发明中提出的信息安全综合工程实践平台的体系结构,构建 出实践平台具有良好的可扩展性、多功能、分层保障安全和不同系统资源共享 的特点,可促进信息安全领域的发展,具有重要的社会意义。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种用于彩色图像超分辨率重建的6维嵌入的去噪自编码先验信息算法 | 2020-05-12 | 779 |
| 网构软件全生命周期开发实现系统 | 2020-05-21 | 481 |
| 一种计算机体系结构性能模拟方法及系统 | 2020-05-26 | 768 |
| 一种基于神经网络的群机器人利用信息素通信实现协作觅食的方法 | 2020-05-11 | 794 |
| 一种基于SystemC的GPU软硬件交互TLM系统 | 2020-05-13 | 784 |
| 在逻辑驱动器模型下呈现直接存取的存储设备 | 2020-05-08 | 995 |
| 一种应用系统部署体系结构建模和验证方法 | 2020-05-12 | 335 |
| 在逻辑驱动器模型下呈现直接存取的存储设备 | 2020-05-15 | 573 |
| 一种基于模型驱动的日志文件自动生成方法 | 2020-05-12 | 702 |
| 一种基于业务流程设计的快速开发引擎系统 | 2020-05-11 | 100 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
