一种判断业务网络互访安全性的方法、系统、介质及程序产品

本发明涉及网络安全，具体涉及一种判断业务网络互访安全性的方法、系统、介质及程序产品。

背景技术：

1、现代网络往往按照一定的业务意图进行规划，业务网络被部署在网络设备某个接口上，同时会对网络设备进行配置，确保某些业务网络可以被一些业务网络访问，或者不能被一些业务网络访问。然而由于网络的复杂度越来越高（网络规模越来越大，配置越来越复杂），配置发生错误的概率越来越大，路由策略的配置错误或者安全策略的配置错误，可能会导致非法的业务网络互访，带来了巨大的网络安全威胁。

2、依靠人工对现有配置进行检查，在现代网络的规模下已不可行。业界提出了一些业务网络互访安全性的自动验证方法。一种常见的办法是进行配置校验，根据模板进行错误配置的排查，然而网络的配置会互相影响，从一个设备扩散到全网的设备，难以排查，另一方面策略类的配置难以在本地定义正确或者错误。另一种常见的方法就是在现网中注入报文进行测试，从某个业务网络接口注入报文，然后查看能否到达待测目的业务接口。然而，这种方法面临着不完备测试的问题，因为业务网络往往是一个网段（比如/24网段有256个ip地址），两个业务网络需要生成256*256=65536个报文才能测试完全。实际上网络中存在大量的业务网络，如果全量测试，需要生成海量的报文，如果采样测试，则可能存在测试不全的问题。

3、因此，需要研究一种更高效、更完备地判断业务网络互访安全性的方法。

技术实现思路

1、本发明的目的在于提供一种判断业务网络互访安全性的方法、系统、介质及程序产品，其能够在集中式场景下使用bdd快速地、准确地找到互不隔离的业务网络，结合网络规划和网络安全验证工具判断现有网络的安全性。

2、为实现上述目的，本发明采用的技术方案是：

3、一种判断业务网络互访安全性的方法，所述方法包括以下步骤：

4、步骤1、根据所提供的胖树网络结构将接入层的设备端口标记为业务端口，并获取业务端口之间正确的互访信息；

5、步骤2、根据实际路由器的具体信息，采集相应的设备端口转发规则、设备端口访问控制策略以及连接拓扑，并根据连接拓扑生成转发图；其中，设备转发规则为允许某一网段经由该设备的某一端口进行转发的规则；设备端口控制策略为不允许某一网段经由该设备的任何端口进行转发的策略；转发图中，点为设备，边为设备端口与设备端口的连线，边上带有允许转发的报文空间，用bdd来编码与存储；

6、步骤3、根据目的业务网络，选择一个目的业务端口，构造一个目的转发图；

7、步骤4、在步骤3构造的目的转发图中，以目的业务端口为起点，沿着拓扑结构进行深度搜索，当其遇到另一个业务端口或访问重复端口时或者报文空间无交集，该搜索分支结束，返回上一层；

8、步骤5、深度搜索结束后，目的业务网络对除目的业务端口外的其他所有业务端口进行评估，判断是否存在从业务端口转发来的网段；如果有且不允许该目的业务网段访问，则认为该业务接口与该目的业务端口不隔离，网络不安全；反之，则认为网络安全；

9、步骤6、选取下一个目的业务端口，继续深度搜索，直到遍历所有的目的业务端口。

10、所述步骤2中，使用bdd来编码与存储网段空间的操作具体如下：

11、（1）生成bdd根节点，规定bdd的编码方式，并确定需要编码的报文头的比特长度；

12、（2）对于访问控制策略集合，将每个访问控制策略转换成对应的网段空间并用bdd图存储；记录允许通过的网段空间为，不允许通过的网段空间为；按照策略表项顺序，依次进行编码并存储编码结果；

13、（3）对于转发规则集合，将每个转发规则转换成对应的网段空间并用bdd图存储；计算每条转发规则对应的网段空间并用bdd图存储，并关联到相应的出端口，记录当前转发的网段空间为，按照转发规则优先级顺序，依次进行编码并存储编码结果。

14、所述步骤3具体为：从具有业务网段的端口集合中选择一个作为目的业务端口，并复用读取的拓扑连接关系，构造出该目的业务端口到其他端口的目的转发图。

15、所述步骤4中，对目的转发图进行深度搜索的具体操作如下：

16、（1）目的转发图从目的业务端口出发，生成对应的网段空间，并记录访问路径，开始以深度搜索的方式转发此网段空间；

17、（2）标记深度搜索过程中访问到的每个设备端口，并判断其是否为已经访问过的设备端口，如果是，则认为出现了环路，此时退出该分支的搜索，返回上一层；

18、（3）对于非环路的每个新端口，用bdd判断转发而来的网段空间与新端口转发策略网段空间的交集；如果没有交集，则放弃该分支的搜索，返回上一层；如果有交集，则取交集继续下一层的搜索；

19、（4）对于目的业务网络中的业务端口，存储转发至当前业务端口的网段空间，停止当前的搜索，并返回上一层使用相同的网段交集继续搜索；

20、（5）重复递归步骤（2）-（4），直至完成所有的深度搜索遍历。

21、一种判断业务网络互访安全性的系统，其包括存储器、处理器及存储在存储器上的计算机程序，所述处理器执行所述计算机程序以实现如上所述的一种判断业务网络互访安全性的方法的步骤。

22、一种计算机可读存储介质，其上存储有计算机程序/指令，所述计算机程序/指令被处理器执行时实现如上所述的一种判断业务网络互访安全性的方法的步骤。

23、一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现如上所述的一种判断业务网络互访安全性的方法的步骤。

24、总而言之，本发明在步骤1～2进行网络建模，在步骤3～6使用了形式化验证的方法，从而快速、准确地计算业务网段之间的互访关系，结合网络规划信息，可快速、准确地判断业务网络互访的安全性。

技术特征：

1.一种判断业务网络互访安全性的方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求1所述的一种判断业务网络互访安全性的方法，其特征在于，所述步骤2中，使用bdd来编码与存储网段空间的操作具体如下：

3.根据权利要求1所述的一种判断业务网络互访安全性的方法，其特征在于，所述步骤3具体为：从具有业务网段的端口集合中选择一个作为目的业务端口，并复用读取的拓扑连接关系，构造出该目的业务端口到其他端口的目的转发图。

4.根据权利要求1所述的一种判断业务网络互访安全性的方法，其特征在于，所述步骤4中，对目的转发图进行深度搜索的具体操作如下：

5.一种判断业务网络互访安全性的系统，其特征在于，包括存储器、处理器及存储在存储器上的计算机程序，所述处理器执行所述计算机程序以实现如权利要求1-4任一所述的一种判断业务网络互访安全性的方法的步骤。

6.一种计算机可读存储介质，其上存储有计算机程序/指令，其特征在于，所述计算机程序/指令被处理器执行时实现如权利要求1-4任一所述的一种判断业务网络互访安全性的方法的步骤。

7.一种计算机程序产品，包括计算机程序/指令，其特征在于，所述计算机程序/指令被处理器执行时实现如权利要求1-4任一所述的一种判断业务网络互访安全性的方法的步骤。

技术总结本发明涉及一种判断业务网络互访安全性的方法、系统、介质及程序产品，其根据连接拓扑生成转发图；然后根据目的业务网络选取一个相应的目的业务端口，构造目的转发图；在目的转发图中，以目的业务端口为起点，沿着拓扑结构进行深度搜索；深度搜索结束后，目的业务网络对除目的业务端口外的其他所有业务端口进行评估，判断是否存在从业务端口转发来的网段；如果有且不允许该目的业务网段访问，则认为该业务接口与该目的业务端口不隔离，网络不安全；反之，则认为网络安全。本发明采用网络建模与形式化分析的方法，快速、准确地计算业务网段之间的互访关系，结合网络规划信息，可快速、准确地判断业务网络互访的安全性。技术研发人员：刘苇,游理钊,彭澎,向乔,舒继武受保护的技术使用者：厦门大学技术研发日：技术公布日：2024/8/1