一种面向5G网络的动态安全边界防护系统

本发明申请属于网络安全。

背景技术：

1、5g以融合网络为目标，其标准不仅覆盖公共通信网络，也同时应用于下一代垂直行业网络。传统垂直行业网络是以工业自动化和控制系统为主的运营/操作技术网络，ot网络采取安全域划分方式，将大规模复杂系统分为不同安全子区域，在边界处部署专用安全设备/系统进行安全防护。当前，典型场景下的工业ot网络中分期分批部署了各种提供边界安全服务的设备或系统，如防火墙、网闸、入侵检测系统、入侵防御网关、负载均衡网关、防病毒软件等。5g网络通过统一的物理设备和网络功能虚拟化nfv技术，实现业务多样化、处理能力按需配置。软件定义网络sdn将网络的数据平面和控制平面分离，可以实现对网络功能的灵活控制和高效部署。目前实践中的边界防护机制多采网闸等设备以硬隔离的方式阻断恶意流量，虽然可以满足gb/t 22239-2008《信息安全技术信息系统安全等级保护基本要求》等相关技术标准中的三级标准要求，但缺乏完整性及主动性，在遇到网络攻击时，网闸的物理隔离方式严重影响了非攻击目标的正常运行。因此，面向5g网络，依托nfv技术和sdn技术，如何设计一种动态安全边界防护机制，根据业务流量的不同安全等级需求配置不同的服务功能链，尽可能地提高业务流在边界设备上的通过率以解决网闸过度隔离问题，从而提高网络安全防护的效果是十分必要的。

技术实现思路

1、本发明申请旨在至少在一定程度上解决相关技术中的技术问题之一。

2、为此，本发明申请的第一个目的在于提出一种面向5g网络的动态安全边界防护系统，用于动态地为不同防护等级的业务流量生成边界服务功能链从而提高流量在边界设备上的通过率。

3、本发明申请的第二个目的在于提出一种计算机设备。

4、本发明申请的第三个目的在于提出一种非临时性计算机可读存储介质。

5、为达上述目的，本发明申请第一方面实施例提出了一种动态安全边界防护系统，包括：

6、边界安全功能资源池模块、业务流量防护等级模块、边界服务功能规则库模块、边界服务链生成模块，其中，

7、所述边界安全功能资源池模块用于存储和管理虚拟化后的边界安全设备或系统；

8、所述业务流量防护等级模块用于根据5g业务质量指标5qi定义业务流的安全防护等级需求；

9、所述边界安全服务规则库模块用于存储和管理与业务流量防护等级需求对应的边界安全服务链生成规则；

10、所述边界服务链生成模块用于根据生成规则，采用多目标优化算法生成边界安全功能服务链。

11、另外，根据本发明申请上述实施例的一种动态安全边界防护系统还可以具有以下附加的技术特征：

12、进一步地，在本发明申请的一个实施例中，所述边界安全功能资源池模块，还用于：

13、量化边界安全功能能力，包括依托信息系统安全性评价方法，根据对每个安全功能安全设备在保护信息系统安全方面的可靠性、性能、安全性的多层次评估，定义安全设备的安全贡献度。

14、进一步地，在本发明申请的一个实施例中，所述业务流量防护等级模块，还用于：

15、映射5g业务质量指标5qi与业务流量的防护等级，包括根据5qi值作为定义业务流量防护等级的依据，通过映射关系将5qi值与防护等级进行对应。

16、进一步地，在本发明申请的一个实施例中，所述边界安全服务规则库模块，还用于：

17、设定规则名称、规则条目和触发条件，包括预设静态规则和系统运行过程中的动态加载、删除。

18、进一步地，在本发明申请的一个实施例中，所述边界服务链生成模块，还用于：

19、利用sdn控制平面调度边界安全功能；以及

20、跨域调度安全功能，若边界设备无法满足业务流的防护等级需求，跨域调度安全域内安全设备的安全功能生成服务链；以及

21、利用sdn控制器控制sdn交换机和虚拟网桥上的转发流表，实现业务流量按照指定的顺序经过指定类型的边界安全设备，完成服务功能链的优化部署。

22、为达上述目的，本发明申请第二方面实施例提出了一种动态安全边界防护方法，应用于如权利要求1所述的动态安全边界防护系统，其特征在于，包括：

23、通过虚拟化技术将安全域之间部署的边界安全防护设备或系统虚拟化；

24、评估安全设备在保护信息系统安全方面所起的作用和贡献，计算各自的安全贡献度；

25、输出带有安全功能贡献度的可平滑扩展的虚拟化的网元集合，并将这些虚拟化的网元写入安全功能资源池；

26、根据流量防护等级定义模板及预制规则，输出边界安全服务规则，写入动态安全边界规则库。

27、进一步地，在本发明申请的一个实施例中，在输出边界安全服务规则之后，还包括：

28、sdn数据平面根据到达安全边界网关的流量源/目的ip和5qi对流量进行解析，映射防护等级，与边界规则库中的触发条件进行匹配产生规则动作，生成边界服务功能链。

29、进一步地，在本发明申请的一个实施例中，还包括：

30、sdn控制器控制sdn交换机和虚拟网桥上的转发流表，实现流量按照指定的顺序经过指定类型的边界安全设备，完成安全服务功能链的优化部署。

31、为达上述目的，本发明第三方面实施例提出了一种计算机设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上所述的一种动态安全边界防护系统。

32、为达上述目的，本发明第四方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如上所述的一种动态安全边界防护系统。

33、本方案面向5g网络，依托网络功能虚拟化nfv技术和软件定义网络sdn技术，能够对到达安全边界的业务流量进行防护等级匹配映射，并根据规则库中的规则动态生成边界安全服务功能链，同时，还具备对边界服务功能链进行优化部署的能力，实现满足业务防护等级需求和最小化处理时延的多目标优化部署策略，为不同安全防护需求的5g网络业务流提供安全功能自适应匹配，提高在安全边界处的业务流通过率和安全资源利用率。

34、本发明申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

技术特征：

1.一种面向5g网络的动态安全边界防护系统，其特征在于，包括以下模块：边界安全功能资源池模块、业务流量防护等级模块、边界服务功能规则库模块、边界服务链生成模块，其中，

2.如权利要求1所述的系统，其特征在于，所述边界安全功能资源池模块，还用于：

3.如权利要求1所述的系统，其特征在于，所述业务流量防护等级模块，还用于：

4.如权利要求1所述的系统，其特征在于，所述边界安全服务规则库模块，还用于：

5.如权利要求1所述的系统，其特征在于，所述边界服务链生成模块，还用于：

6.一种面向5g网络的动态安全边界防护方法，应用于如权利要求1所述的面向5g网络的动态安全边界防护系统，其特征在于，包括：

7.根据权利要求6所述的方法，其特征在于，在输出边界安全服务规则之后，还包括：

8.根据权利要求6所述的方法，其特征在于，还包括：

9.根据权利要求6所述的方法，其特征在于，还包括：

10.一种计算机设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现对权利要求1-9中任一所述的方法。

11.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-9任一所述的方法。

技术总结本发明申请提出一种面向5G网络的动态安全边界防护系统，涉及网络安全技术领域，该系统包括：边界安全功能资源池模块、业务流量防护等级模块、边界服务功能规则库模块和边界服务链生成模块，其中，边界安全功能资源池模块用于存储和管理虚拟化后的边界安全设备或系统，业务流量防护等级模块用于根据5G业务质量指标定义业务流的安全防护等级，边界安全服务规则库模块用于存储和管理与业务流量防护等级对应的边界安全服务链生成规则，边界服务链生成模块用于根据生成规则生成边界安全功能服务链。本方案为不同安全防护需求的5G网络业务提供安全功能自适应匹配，能够提高在安全域边界处的业务通过率和安全资源利用率。技术研发人员：张勖,张莹,王东滨,陆月明,时金桥,左金鑫受保护的技术使用者：北京邮电大学技术研发日：技术公布日：2024/7/23