(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111411810.2 (22)申请日 2021.11.25 (71)申请人 郑州信大信息技 术研究院有限公司 地址 450000 河南省郑州市高新 技术产业 开发区莲花街55号D座1号楼1-5层、 2 号楼5层 (72)发明人 周伟　荆晓亮　袁喜凤　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) (54)发明名称 密码定义网络安全体系构建方法、 体系架构 及数据转发方法 (57)摘要 本发明属于网络安全技术领域， 特别涉及一 种密码定义网络安全体系构建方法、 体系架构及 数据转发方法， 通过建立若干用于描述网络设施 和/或网络资源的实体， 并依据各实体特征生成 与实体对应的实体属性； 为每个实体 分配用于表 示身份ID数据的实体标识； 根据业务数据流， 利 用不同密码套件将网络内实体进行分组并划分 到对应控制子域， 同一密钥分组控制子域内的实 体相互之间基于实体标识和安全策略建立可信 网络链接， 同时为每一密钥分组控制子域定义网 络边界。 本发 明依托密码技术并基于实体标识对 网络设备资源全局统一管理， 针对不同业务流、 数据流采用配套的场景化、 多样化的安全策略， 保障通信数据机密性、 完整性， 满足网络动态变 化应用的安全需求。 权利要求书2页 说明书8页 附图2页 CN 114024767 A 2022.02.08 CN 114024767 A 1.一种密码定义网络安全体系构建方法， 其特 征在于， 包 含如下内容： 建立若干用于描述网络设施和/或网络资源的实体， 并依据各实体特征生成与实体对 应的实体属性； 并为每 个实体分配用于表示身份ID数据的实体标识； 根据业务数据流， 利用不同密码套件将网络内实体进行分组并划分到对应控制子域， 同一密钥分组控制子域内的实体相互之 间基于实体标识和安全策略建立可信网络链接， 同 时为每一密钥分组控制子域定义网络边界。 2.根据权利要求1所述的密码定义网络安全体系构建方法， 其特征在于， 所述实体至少 包含如下类型： 用户接入网络进行资源访问的用户设备， 作为安全网关来执行安全策略的 转发器， 作为策略决策点并用于为转发器分发隧道策略的控制器， 用于对同一控制域内的 转发器和控制器进行注册管理的域管理器， 用于持续分析管理控制器和转发器运行时间日 志的运行时间日志管 理系统， 用于持续监测维护控制器和转 发器设备状态的持续可信管理 系统， 用于证书和密钥管理的密钥管理系统， 用于监视体系运行过程并制 定和调整隧道策 略的安全管理系统， 及用于访问控制管理的身份管理系统。 3.根据权利要求1或2所述的密码定义网络安全体系构建方法， 其特征在于， 所述实体 属性包含： 实体类型， 用于描述实体名称、 IP地址及证书凭证的逻辑属性， 用于描述实体硬 件配置和地理位置的物理属性， 及用于描述实体所属控制子域的域属性。 4.根据权利要求3所述的密码定义网络安全体系构建方法， 其特征在于， 所述实体标识 采用字节进 行编码， 其中， 实体标识编 码包含： 隧道类型字段、 网络 分组标识字段、 实体类型 字段、 实体编号字段、 所属 域管理器字段、 所属控制器字段、 实体内软设备编号字段及预留 字节。 5.一种密码定义网络安全体系架构， 其特征在于， 基于权利要求1所述的方法实现， 将 网络中设备和资源进 行切片， 采用密码套件将网络划分为与业务数据流对应并通过密码隔 离的若干控制 子域， 利用实体标识将各控制 子域中的相关实体进行关联， 并基于信道标识 选取数据转发路径来进行流数据包的转发。 6.根据权利要求5所述的密码定义网络安全体系架构， 其特征在于， 网络 中设备包含但 不限于： 用户接入网络进 行资源访问的用户设备， 作为安全网关来执行安全策略的转 发器， 作为策略决策点并用于为转 发器分发隧道策略的控制器， 及用于对同一控制域内的转发器 和控制器进行注 册管理的域管理器。 7.根据权利要求5所述的密码定义网络安全体系架构， 其特征在于， 网络 中资源包含但 不限于： 用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统， 用于 持续监测维护控制器和转 发器设备状态的持续可信管理系统， 用于证书和密钥管理的密钥 管理系统， 用于监视体系运行过程并制 定和调整隧道策略的安全管理系统， 及用于访问控 制管理的身份管理系统。 8.一种密码定义网络安全体系数据转发方法， 其特征在于， 基于权利要求5所述的体系 架构实现， 通过实体标识将网络中物理实体和逻辑实体关联， 其中， 物理实体包含： 用于用 户接入网络进行资源访问的用户设备、 作为安全网关来执行安全策略的转发器、 作为策略 决策点来为转发器分发隧道策略的控制器、 及用于对同一控制域内的转 发器和控制器进 行 注册管理的域管理器， 逻辑实体包含： 用于持续分析管理控制器和转发器运行时间日志的 运行时间日志管理系统， 用于持续监测维护控制器和转发器设备状态的持续可信管理系权　利　要　求　书 1/2 页 2 CN 114024767 A 2统， 用于证书和密钥管理的密钥管理系统， 用于监视体系运行过程并制 定和调整隧道策略 的安全管理系统， 及用于访问控制管理的身份管理系统， 该转发过程包 含如下内容： 转发器依据用户设备请求向控制器申请用于数据转发的安全策略； 控制器根据转发器发送的转发请求信息从身份管理系统中获取认证授权决策来确定 转发器能否 建立隧道连接， 并从安全管理系统中获取用于创建转 发器之间密码定义网络的 安全策略， 其中， 转发请求信息包含： 转发数据五元组、 转发器和用户设备两者的实体标识 及访问时间； 转发器依据安全策略建立基于信道标识的安全信道， 基于信道标识对数据包进行加密 转发。 9.根据权利要求8所述的密码定义网络安全体系数据转发方法， 其特征在于， 控制器使 用转发请求信息访问身份管理系统， 基于实体标识查找实体属 性， 并获取实体属 性对应的 安全等级， 判断转发请求信息的转发行为合法性及是否符合安全等级要求， 针对转发行为 合法的情形授权按照安全等级转 发； 控制器使用转发请求信息和安全等级访问安全管理系 统， 并基于实体标识 查找并获取通信连接信息及信道标识， 并依据安全等级生成安全策略， 所述安全策略包含但不限于： 通信连接信息、 信道标识、 密码套件、 密码交换算法及密码更 新周期。 10.根据权利要求8所述的密码定义网络安全体系数据转发方法， 其特征在于， 安全信 道流量中数据包通过携带信道标识 来区分所处控制子域的密码定义网络， 并依据安全策略 执行反馈对密码定义网络生命周期进行维护。权　利　要　求　书 2/2 页 3 CN 114024767 A 3