基于sdn的移動數(shù)據(jù)安全保護系統(tǒng)及方法
【專利摘要】本發(fā)明提供了基于SDN的移動數(shù)據(jù)安全保護系統(tǒng),該系統(tǒng)包括移動數(shù)據(jù)安全控制臺、系統(tǒng)基礎(chǔ)功能模塊和第三方移動數(shù)據(jù)安全保護產(chǎn)品接口。其中,移動數(shù)據(jù)安全控制臺包括流表控制模塊、身份服務(wù)模塊、移動用戶操作權(quán)限判斷模塊、數(shù)據(jù)加密模塊、移動數(shù)據(jù)安全控制臺安全保障模塊。系統(tǒng)基礎(chǔ)功能模塊包括交換機接口通信模塊、控制器同步模塊、分布式管理模塊、故障恢復(fù)模塊和冗余備份模塊。同時本發(fā)明還提供了基于SDN的移動數(shù)據(jù)安全保護方法,采用了基于SDN能動態(tài)感知移動設(shè)備接入組織內(nèi)網(wǎng)及對數(shù)據(jù)訪問情況,并自動判斷是否授權(quán)用戶操作移動數(shù)據(jù),從而實現(xiàn)了控制對移動數(shù)據(jù)的訪問、處理,實現(xiàn)移動數(shù)據(jù)安全保護,最終達到對組織移動數(shù)據(jù)保密性的安全管理。
【專利說明】基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)及方 法。
【背景技術(shù)】
[0002] 隨著BY0D的興起,政府、企業(yè)使用移動智能終端處理事務(wù)的增加,移動智能終端 上的數(shù)據(jù)安全保密性問題越來越受到重視。但在同一臺移動智能終端上運行著辦公應(yīng)用和 私人應(yīng)用,一旦移動應(yīng)用未授權(quán)讀取及修改政府、企業(yè)數(shù)據(jù)就可能造成政府或企業(yè)機密泄 露,造成安全威脅?,F(xiàn)在急需從移動智能終端上對政府、企業(yè)數(shù)據(jù)的讀取、修改、復(fù)制、刪除 操作進行有效控制,確保組織的移動數(shù)據(jù)的保密性。
[0003] 我國現(xiàn)有的MDM產(chǎn)品中移動終端數(shù)據(jù)保護主要有明朝萬達的(安元)chinasec移 動安全管理平臺,主要通過文件加密加VPN安全傳輸來實現(xiàn)。所有從內(nèi)部網(wǎng)絡(luò)發(fā)送到移動 終端的數(shù)據(jù)均加密,在移動終端通過產(chǎn)品的客戶端輸入密碼認(rèn)證后,才可對數(shù)據(jù)進行操作。
[0004] 申請?zhí)枮?01110105772. 8的發(fā)明專利申請揭示了一種基于VPN的移動通訊終端 安全訪問數(shù)據(jù)的方法,包括:當(dāng)數(shù)據(jù)安全裝置在所述移動通訊終端運行時,所述數(shù)據(jù)安全裝 置允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡(luò),且禁止所述移動通訊終端訪問外部網(wǎng)絡(luò);當(dāng)數(shù)據(jù) 安全裝置沒有在所述移動通訊終端運行時,VPN服務(wù)器禁止所述移動通訊終端訪問內(nèi)部網(wǎng) 絡(luò)。該發(fā)明還提出了相應(yīng)的系統(tǒng)。該發(fā)明提出的一種基于VPN的移動通訊終端安全訪問數(shù) 據(jù)的方法和系統(tǒng),在移動通訊終端上設(shè)置數(shù)據(jù)安全裝置,該數(shù)據(jù)安全裝置結(jié)合VPN服務(wù)器, 使移動通訊終端用戶無法在數(shù)據(jù)安全裝置關(guān)閉時通過網(wǎng)絡(luò)將受保護文件發(fā)送到外部網(wǎng)絡(luò), 而運行在數(shù)據(jù)安全裝置上的應(yīng)用程序也無法通過訪問除VPN資源外的網(wǎng)絡(luò),將受保護文件 發(fā)布到外網(wǎng)。
[0005] 目前此技術(shù)對所有通過移動網(wǎng)關(guān)傳輸?shù)揭苿又悄芙K端的數(shù)據(jù)都采用加密和VPN 的傳輸方式,并且在終端安裝客戶端進行控制,不能對數(shù)據(jù)進行細粒度的區(qū)分隔離,并對資 源的耗用較大。在此類解決方案中,機密數(shù)據(jù)需要單個或小范圍的指定,然后通過移動網(wǎng)關(guān) 加密后傳輸?shù)揭苿又悄芙K端。用戶若遵守行政要求而下載訪問企業(yè)數(shù)據(jù),則相關(guān)的數(shù)據(jù)的 安全得不到保障。
[0006] 我國現(xiàn)有的個人移動終端數(shù)據(jù)保護主要有騰訊手機管家、360手機安全衛(wèi)士等產(chǎn) 品,均使用文件保密箱的方法。用戶將指定的數(shù)據(jù)放入"保險箱",當(dāng)移動應(yīng)用對這些數(shù)據(jù)進 行訪問操作時對此應(yīng)用進行權(quán)限驗證(用戶輸入密碼驗證),判別后授權(quán)應(yīng)用對所有數(shù)據(jù) 進行操作,以實現(xiàn)對移動數(shù)據(jù)保密性的控制。
[0007] 目前此技術(shù)只能實現(xiàn)對數(shù)據(jù)粗粒度的控制。不僅每個敏感數(shù)據(jù)都需要用戶手動添 加到文件保密箱內(nèi),而且每次使用該敏感數(shù)據(jù)時都需要用戶手動輸入密碼。數(shù)據(jù)的保密性 級別十分單調(diào),只分為"保密"、"不保密"這2個級別;數(shù)據(jù)的保密性也不強,一旦密碼泄露 或其它應(yīng)用通過某一移動應(yīng)用獲得數(shù)據(jù)操作權(quán)限,則所有的數(shù)據(jù)都得不到有效保護;此外 這些敏感數(shù)據(jù)只能在移動終端上得到保護,一旦取得合法權(quán)限的應(yīng)用將其發(fā)送到本移動終 端之外則不能再對此敏感數(shù)據(jù)進行保護。
[0008] 此類解決方案只適用于用戶主動的對機密數(shù)據(jù)進行保護,不適用于政府、企業(yè)組 織需要強制進行數(shù)據(jù)保護的應(yīng)用場景。
[0009] 專利號為ZL200680052439. 2的發(fā)明專利描述一種用于向移動單元/終端安全傳 送醫(yī)療數(shù)據(jù)的方法,其中可通過網(wǎng)絡(luò)中的中央服務(wù)器使用來自患者的定期醫(yī)生的編碼醫(yī)療 數(shù)據(jù)。所述方法包括下述步驟:定購編碼信息到移動單元/終端的傳送,其中請求被發(fā)送給 中央服務(wù)器;在中央服務(wù)器中生成包含醫(yī)療數(shù)據(jù)的編碼信息,用戶驗證自身之后,把加密和 編碼格式的信息從所述服務(wù)器傳送給移動單元/終端;在移動單元/終端中存儲和保護編 碼信息;把編碼信息轉(zhuǎn)換成可讀格式,其中用戶利用從移動單元/終端發(fā)送給服務(wù)器的個 人代碼驗證自身,由此在所述服務(wù)器中核實所述ID,并且把該編碼信息發(fā)送給服務(wù)器以供 解碼;和把明文形式的圖片從服務(wù)器傳送給移動單元。
[0010] 專利號為ZL200510070601. 0的發(fā)明專利公開了實現(xiàn)移動通信設(shè)備的數(shù)據(jù)安全傳 輸?shù)难b置和方法。該裝置可以通過無線移動通信設(shè)備接口單元可拆卸地連接于GSM或CDMA 網(wǎng)無線移動通信設(shè)備上。該裝置由七部分組成:主控單元,數(shù)據(jù)編譯碼CODEC單元,數(shù)據(jù)壓 縮編碼解碼單元,非對稱加密單元,對稱加密單元,供電單元,無線移動通信設(shè)備接口單元 等。該裝置利用現(xiàn)有的GSM或CDMA無線網(wǎng)絡(luò),通過改進的沒有CA的PKI非對稱密碼體制 來進行身份認(rèn)證和會話密鑰傳遞,通過會話密鑰對數(shù)據(jù)進行加密處理,然后將加密后的數(shù) 據(jù)利用網(wǎng)絡(luò)支持的電路交換數(shù)據(jù)業(yè)務(wù)進行傳輸,同時在接受端進行逆處理,從而實現(xiàn)端對 端的保密通信功能。由于對SIM卡的捆綁處理,本發(fā)明的特點是即使某一用戶的移動通信 設(shè)備丟失也不會影響整個集團用戶的使用。
[0011] 上述兩項專利的解決方案主要確保組織內(nèi)網(wǎng)與移動終端之間的通信是安全的, 移動終端是合法的,方案耗用的資源較大。專利號為ZL200680052439. 2的發(fā)明僅對特 定類型的數(shù)據(jù)進行保密,不能進行有效的擴展,對新類型的數(shù)據(jù)進行有效保護;專利號為 ZL200510070601. 0的發(fā)明對所有的數(shù)據(jù)均進行保護,浪費了一定的資源。
[0012] 此外,專利號為ZL201120434292. 1的實用新型專利公開了一種基于安全芯片的 可信移動存儲系統(tǒng),屬于信息安全【技術(shù)領(lǐng)域】。該系統(tǒng)包括可信第三方、可信移動存儲設(shè)備、 可信用戶主機三部分;所述各部分均內(nèi)置安全芯片;所述可信第三方由內(nèi)置安全芯片的第 三方服務(wù)器,或內(nèi)嵌安全芯片的安全計算機擔(dān)任;所述的可信移動存儲設(shè)備是內(nèi)嵌安全芯 片且能夠存儲數(shù)據(jù),并能夠與可信用戶主機交互數(shù)據(jù)的可移動裝置;所述的可信用戶主機, 是內(nèi)嵌安全芯片的計算機,是可信移動存儲設(shè)備的訪問主體。
[0013] 此方案需要采用專用的設(shè)備,即可信芯片。這對移動設(shè)備形成了相當(dāng)大的限制,使 得大多執(zhí)有普通移動設(shè)備的用戶無法對內(nèi)網(wǎng)資源進行訪問,不適用于大多數(shù)據(jù)組織的工作 場景,且此方案與專利號為ZL200510070601. 0的發(fā)明類似,對所有的數(shù)據(jù)均進行保護,浪 費了一定的資源。
【發(fā)明內(nèi)容】
[0014] 本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的缺陷,采用了基于SDN的移動數(shù)據(jù)安全保護 系統(tǒng)及方法,從而實現(xiàn)移動數(shù)據(jù)安全保護,最終達到對組織移動數(shù)據(jù)保密性的安全管理。
[0015] 本發(fā)明提供了一種基于SDN的移動數(shù)據(jù)安全保護系統(tǒng),包括移動數(shù)據(jù)安全控制 臺、系統(tǒng)基礎(chǔ)功能模塊和第三方移動數(shù)據(jù)安全保護產(chǎn)品接口。
[0016] 移動數(shù)據(jù)安全控制臺是系統(tǒng)中最重要的模塊,包括流表控制模塊、身份服務(wù)模塊、 移動用戶操作權(quán)限判斷、數(shù)據(jù)加密模塊、移動數(shù)據(jù)安全控制臺安全保障模塊;流表控制模塊 包括流表生成模塊、流表下發(fā)模塊和流表同步模塊;流表生成模塊根據(jù)移動用戶操作權(quán)限 模塊輸入的用戶權(quán)限生成數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則和規(guī)則的有效期,并且生成相應(yīng)的流表;流表下發(fā) 模塊將流表生成模塊輸入的流表下發(fā)到相關(guān)的SDN交換機;流表同步模塊根據(jù)系統(tǒng)基礎(chǔ)功 能模塊中反映的控制器和交換機變化信息,保持流表在控制器和交換機上的一致性;身份 服務(wù)模塊向移動用戶提供身份認(rèn)證服務(wù);移動用戶操作權(quán)限判斷模塊根據(jù)身份服務(wù)模塊和 移動用戶信息數(shù)據(jù)庫提供的信息,判斷移動用戶使用某應(yīng)用對某數(shù)據(jù)進行操作的權(quán)限;數(shù) 據(jù)加密模塊根據(jù)移動用戶對數(shù)據(jù)操作的權(quán)限對數(shù)據(jù)進行加密;移動數(shù)據(jù)安全控制臺安全保 障模塊保證移動數(shù)據(jù)安全控制臺自身系統(tǒng)的安全。
[0017] 系統(tǒng)基礎(chǔ)功能模塊為系統(tǒng)的運行提供基礎(chǔ)設(shè)施的保證,包括交換機接口通信模 塊、控制器同步模塊、分布式管理模塊、故障恢復(fù)模塊和冗余備份模塊;交換機接口通信模 塊確保移動數(shù)據(jù)能安全的進行傳輸,確保基于SDN實現(xiàn)的移動數(shù)據(jù)安全保護產(chǎn)品的系統(tǒng)之 間的通信基于安全的傳輸方式;控制器同步模塊提供控制臺所在的服務(wù)器集群之間的信息 同步保證;冗余備份模塊對各區(qū)域內(nèi)的移動數(shù)據(jù)安全控制臺、移動用戶信息數(shù)據(jù)庫、移動用 戶身份認(rèn)證信息進行冗余備份,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn);故障恢 復(fù)模塊在系統(tǒng)所在機器發(fā)生故障后,快速的恢復(fù)相關(guān)安全保護的措施。
[0018] 第三方移動數(shù)據(jù)安全保護產(chǎn)品接口向第三方移動安全產(chǎn)品提供接口。第三方移動 安全產(chǎn)品可調(diào)用基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的系統(tǒng)基礎(chǔ)功能模塊和移動數(shù)據(jù)安全 控制臺的服務(wù)功能,或與基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)進行聯(lián)動,共同保護組織中移 動數(shù)據(jù)的安全。
[0019] 本發(fā)明還提供了一種基于SDN的移動數(shù)據(jù)安全保護方法,該方法基于SDN能動態(tài) 感知移動設(shè)備接入組織內(nèi)網(wǎng)及對數(shù)據(jù)訪問情況,并自動判斷是否授權(quán)用戶操作移動數(shù)據(jù), 從而實現(xiàn)了控制對移動數(shù)據(jù)的訪問、處理,從而實現(xiàn)移動數(shù)據(jù)安全保護,最終達到對組織移 動數(shù)據(jù)保密性的安全管理,該方法包括移動設(shè)備接入注冊和移動設(shè)備訪問數(shù)據(jù),其中移動 設(shè)備接入注冊的流程為:
[0020] sll :移動用戶使用設(shè)備通過Wi-Fi或2G/3G/LTE接入組織內(nèi)網(wǎng),組織內(nèi)網(wǎng)邊界的 支持SDN的交換機收到移動設(shè)備發(fā)出的數(shù)據(jù)包,查找流表進行匹配。
[0021] S12:如果匹配成功則交換機按流表規(guī)則進行下一步操作,允許移動用戶進一步操 作或拒絕移動用戶訪問組織內(nèi)網(wǎng);如果匹配不成功,則說明此移動設(shè)備是初次接入組織內(nèi) 網(wǎng)或者流表的有效期已過,交換機將移動設(shè)備發(fā)出的此數(shù)據(jù)包復(fù)制轉(zhuǎn)發(fā)至控制臺,控制臺 查找移動用戶信息數(shù)據(jù)庫,查看此移動設(shè)備是否已注冊。
[0022] sl3:如果用戶信息不存在,則說明移動用戶是初次登入組織內(nèi)網(wǎng),控制臺下發(fā)流 表至交換機,指引移動用戶完成身份注冊服務(wù);用戶收到要求注冊的請求,通過交換機連接 到移動數(shù)據(jù)安全保護控制網(wǎng)絡(luò),與身份/認(rèn)證服務(wù)器進行通信完成注冊,之后用戶重新開 始其業(yè)務(wù)請求。
[0023] sl4:如果用戶信息存在,則控制臺通過移動數(shù)據(jù)安全控制臺的移動用戶操作權(quán)限 判斷模塊判斷此移動用戶的相關(guān)權(quán)限,下發(fā)相應(yīng)流表回交換機,交換機根據(jù)流表進行下一 步操作:允許移動用戶進一步操作或拒絕移動用戶訪問組織內(nèi)網(wǎng)。
[0024] 移動設(shè)備訪問數(shù)據(jù)的流程為:
[0025] s21 :移動用戶發(fā)送數(shù)據(jù)包請求訪問組織內(nèi)網(wǎng)數(shù)據(jù),數(shù)據(jù)所在的PC或服務(wù)器直接 連接的交換機收到該數(shù)據(jù)包,交換機查找流表匹配。
[0026] s22 :如果匹配不成功,交換機將移動設(shè)備發(fā)出的此數(shù)據(jù)包轉(zhuǎn)發(fā)至控制臺,控制臺 提取移動設(shè)備使用的移動應(yīng)用信息和預(yù)訪問的數(shù)據(jù)信息,聯(lián)合身份/認(rèn)證服務(wù)器、移動用 戶信息數(shù)據(jù)庫,最終移動用戶操作權(quán)限判斷確定用戶使用該應(yīng)用對此數(shù)據(jù)進行操作的權(quán) 限;流表生成模塊根據(jù)權(quán)限信息生成相應(yīng)的流表,通過流表下發(fā)模塊將流表推送至相應(yīng)的 交換機。
[0027] s23:如果匹配成功,交換機根據(jù)流表規(guī)則對數(shù)據(jù)包進行操作,若用戶有權(quán)進行某 些操作,則控制臺通知文件加密服務(wù)器根據(jù)用戶權(quán)限將文件加密,并將帶有期限的密鑰通 過安全的通信方式發(fā)送給用戶;若用戶無權(quán)進行操作則根據(jù)下發(fā)的流表拒絕用戶訪問該數(shù) 據(jù)。
[0028] 本發(fā)明技術(shù)方案帶來的有益效果:
[0029] 基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)及方法能自動的感知移動用戶使用移動設(shè)備 登入組織內(nèi)網(wǎng)和對內(nèi)網(wǎng)的數(shù)據(jù)進行訪問的場景。該發(fā)明技術(shù)方案能夠?qū)σ苿佑脩暨M行識 另IJ,根據(jù)用戶使用不同的移動設(shè)備訪問不同的數(shù)據(jù),自動判斷允許的操作級別,進而實現(xiàn)對 移動數(shù)據(jù)進行細粒度的全方位的保護。且基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)向第三方移動 安全產(chǎn)品提供接口,能進行靈活快速的擴展,同時對新類型的數(shù)據(jù)進行有效的保護,適用于 政府、企業(yè)組織需要強制進行數(shù)據(jù)保護的應(yīng)用場景。
【專利附圖】
【附圖說明】
[0030] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以 根據(jù)這些附圖獲得其它的附圖。
[0031] 圖1是本發(fā)明的基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的功能模塊圖;
[0032] 圖2是本發(fā)明的基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的總體網(wǎng)絡(luò)拓撲圖;
[0033] 圖3是本發(fā)明中移動設(shè)備接入注冊流程圖;
[0034] 圖4是本發(fā)明中移動設(shè)備接入注冊的局部拓撲結(jié)構(gòu)圖;
[0035] 圖5是本發(fā)明中移動設(shè)備訪問數(shù)據(jù)流程圖;
[0036] 圖6是本發(fā)明中移動設(shè)備訪問數(shù)據(jù)的局部拓撲結(jié)構(gòu)圖。
【具體實施方式】
[0037] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;?本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍。
[0038] 基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)針對組織中員工使用自帶移動設(shè)備來訪問、處 理組織數(shù)據(jù)而引起的移動數(shù)據(jù)安全威脅的問題,基于SDN技術(shù)動態(tài)感知移動設(shè)備接入組織 內(nèi)網(wǎng)及對數(shù)據(jù)訪問的動作,自動根據(jù)現(xiàn)有信息如策略對移動用戶操作權(quán)限進行判斷,進而 下發(fā)流表指示交換機完成對數(shù)據(jù)包的處理:如不允許操作,則交換機簡單丟棄數(shù)據(jù)包;如 允許對數(shù)據(jù)進行操作,則調(diào)用數(shù)據(jù)加密模塊送往移動設(shè)備。通過此解決方案,組織可控制移 動設(shè)備對移動數(shù)據(jù)的訪問、處理,從而實現(xiàn)移動終端數(shù)據(jù)的安全保護,最終達到對移動數(shù)據(jù) 保密性的安全管理。
[0039] 基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的功能模塊圖如圖1所示,其包括移動數(shù)據(jù)安 全控制臺、系統(tǒng)基礎(chǔ)功能模塊和第三方移動數(shù)據(jù)安全保護產(chǎn)品接口。
[0040] 移動數(shù)據(jù)安全控制臺是系統(tǒng)中最重要的模塊,包括流表控制模塊、身份服務(wù)模塊、 移動用戶操作權(quán)限判斷模塊、數(shù)據(jù)加密模塊、移動數(shù)據(jù)安全控制臺安全保障模塊。流表控制 模塊包括流表生成模塊、流表下發(fā)模塊和流表同步模塊,流表生成模塊根據(jù)移動用戶操作 權(quán)限判斷模塊輸入的用戶權(quán)限生成數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則和規(guī)則的有效期,并且生成相應(yīng)的流表; 流表下發(fā)模塊將流表生成模塊輸入的流表下發(fā)到相關(guān)的SDN交換機;流表同步模塊根據(jù)系 統(tǒng)基礎(chǔ)功能模塊中反映的控制器和交換機變化信息,保持流表在控制器和交換機上的一致 性。身份服務(wù)模塊向移動用戶提供身份認(rèn)證服務(wù),如注冊用戶、Mac地址,身份認(rèn)證,權(quán)限授 予。移動用戶操作權(quán)限判斷模塊根據(jù)身份服務(wù)模塊和移動用戶信息數(shù)據(jù)庫提供的信息,判 斷移動用戶使用某應(yīng)用對某數(shù)據(jù)進行操作的權(quán)限。數(shù)據(jù)加密模塊根據(jù)移動用戶對數(shù)據(jù)操作 的權(quán)限對數(shù)據(jù)進行加密。移動數(shù)據(jù)安全控制臺安全保障模塊保證移動數(shù)據(jù)安全控制臺自身 系統(tǒng)的安全。
[0041] 系統(tǒng)基礎(chǔ)功能模塊為系統(tǒng)的運行提供基礎(chǔ)設(shè)施的保證,包括交換機接口通信模 塊、控制器同步模塊、分布式管理模塊、故障恢復(fù)模塊和冗余備份模塊。交換機接口通信模 塊確保移動數(shù)據(jù)能安全的進行傳輸,確?;赟DN實現(xiàn)的移動數(shù)據(jù)安全保護產(chǎn)品的系統(tǒng)之 間的通信基于安全的傳輸方式??刂破魍侥K提供控制臺所在的服務(wù)器集群之間的信息 同步保證。冗余備份模塊對各區(qū)域內(nèi)的移動數(shù)據(jù)安全控制臺、移動用戶信息數(shù)據(jù)庫、移動用 戶身份認(rèn)證信息進行冗余備份,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn)。故障恢 復(fù)模塊在系統(tǒng)所在機器發(fā)生故障后,快速的恢復(fù)相關(guān)安全保護的措施。
[0042] 第三方移動數(shù)據(jù)安全保護產(chǎn)品接口向第三方移動安全產(chǎn)品提供接口。第三方移動 安全產(chǎn)品可調(diào)用基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的系統(tǒng)基礎(chǔ)功能模塊和移動數(shù)據(jù)安全 控制臺的服務(wù)功能或與基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)進行聯(lián)動,共同保護組織中移動 數(shù)據(jù)的安全。
[0043] 基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)的總體網(wǎng)絡(luò)拓撲圖如圖2所示,基于SDN的移 動數(shù)據(jù)安全保護系統(tǒng)部署在原組織內(nèi)網(wǎng)(圖中實線網(wǎng)絡(luò))和移動數(shù)據(jù)安全保護控制網(wǎng)絡(luò)上 (圖中虛線網(wǎng)絡(luò))。原組織內(nèi)網(wǎng)的交換機均支持SDN,交換機的管理端口與移動數(shù)據(jù)安全保 護控制網(wǎng)絡(luò)相連,其他連接保持原組織內(nèi)網(wǎng)拓撲結(jié)構(gòu)?;赟DN的移動數(shù)據(jù)安全保護系統(tǒng) 的移動數(shù)據(jù)安全控制臺、身份/認(rèn)證服務(wù)器、移動用戶信息數(shù)據(jù)庫均部署在移動數(shù)據(jù)安全 保護控制網(wǎng)絡(luò)上,以增加安全性并且不占用原組織內(nèi)網(wǎng)的網(wǎng)絡(luò)資源;文件加密服務(wù)器部署 在原組織內(nèi)網(wǎng)上,以方便文件加密的傳輸。具體流程分為移動設(shè)備接入注冊流程和移動設(shè) 備訪問數(shù)據(jù)流程表述。
[0044] 如圖3所示為移動設(shè)備接入注冊流程圖,如圖4所示為移動設(shè)備接入注冊的局部 拓撲結(jié)構(gòu)圖。具體工作流程如下:
[0045] sll :移動用戶使用設(shè)備通過Wi-Fi或2G/3G/LTE接入組織內(nèi)網(wǎng),組織內(nèi)網(wǎng)邊界的 支持SDN的交換機收到移動設(shè)備發(fā)出的數(shù)據(jù)包,查找流表進行匹配。
[0046] sl2:如果匹配成功則交換機按流表規(guī)則進行下一步操作,允許移動用戶進一步操 作或拒絕移動用戶訪問組織內(nèi)網(wǎng),具體見"移動設(shè)備訪問數(shù)據(jù)流程";如果匹配不成功,則說 明此移動設(shè)備是初次接入組織內(nèi)網(wǎng)或者流表的有效期已過,交換機將移動設(shè)備發(fā)出的此數(shù) 據(jù)包復(fù)制轉(zhuǎn)發(fā)至控制臺。控制臺查找移動用戶信息數(shù)據(jù)庫,查看此移動設(shè)備是否已注冊。
[0047] sl3:如果用戶信息不存在,則說明移動用戶是初次登入組織內(nèi)網(wǎng),控制臺下發(fā)流 表至交換機,指引移動用戶完成身份注冊服務(wù)。用戶收到要求注冊的請求,通過交換機連接 到移動數(shù)據(jù)安全保護控制網(wǎng)絡(luò),與身份/認(rèn)證服務(wù)器進行通信完成注冊。之后用戶重新開 始其業(yè)務(wù)請求。
[0048] sl4:如果用戶信息存在,則控制臺通過移動數(shù)據(jù)安全控制臺的移動用戶操作權(quán)限 判斷模塊判斷此移動用戶的相關(guān)權(quán)限,下發(fā)相應(yīng)流表回交換機。交換機根據(jù)流表進行下一 步操作:允許移動用戶進一步操作或拒絕移動用戶訪問組織內(nèi)網(wǎng)。具體見"移動設(shè)備訪問 數(shù)據(jù)流程"。
[0049] 如圖5所示為移動設(shè)備訪問數(shù)據(jù)流程圖,如圖6所示為移動設(shè)備訪問數(shù)據(jù)的局部 拓撲結(jié)構(gòu)圖。具體工作流程如下:
[0050] s21 :移動用戶發(fā)送數(shù)據(jù)包請求訪問組織內(nèi)網(wǎng)數(shù)據(jù),數(shù)據(jù)所在機器(PC或服務(wù)器) 直接連接的交換機收到該數(shù)據(jù)包,交換機查找流表匹配。
[0051] S22 :如果匹配不成功,交換機將移動設(shè)備發(fā)出的此數(shù)據(jù)包轉(zhuǎn)發(fā)至控制臺,控制臺 提取移動設(shè)備使用的移動應(yīng)用信息和預(yù)訪問的數(shù)據(jù)信息,聯(lián)合身份/認(rèn)證服務(wù)器、移動用 戶信息數(shù)據(jù)庫,最終移動用戶操作權(quán)限判斷確定用戶使用該應(yīng)用對此數(shù)據(jù)進行操作的權(quán) 限;流表生成模塊根據(jù)權(quán)限信息生成相應(yīng)的流表,通過流表下發(fā)模塊將流表推送至相應(yīng)的 交換機。
[0052] s23 :如果匹配成功,交換機根據(jù)流表規(guī)則對數(shù)據(jù)包進行操作。操作可分成兩種情 況。
[0053] a)若用戶有權(quán)進行某些操作,則控制臺通知文件加密服務(wù)器根據(jù)用戶權(quán)限將文件 加密,并將帶有期限的密鑰通過安全的通信方式發(fā)送給用戶;
[0054] b)若用戶無權(quán)進行操作則根據(jù)下發(fā)的流表拒絕用戶訪問該數(shù)據(jù)。
[0055] 此外,除了本發(fā)明的技術(shù)方案外還可以在內(nèi)網(wǎng)上對機密數(shù)據(jù)加密或在計算機上監(jiān) 控數(shù)據(jù)是否被訪問,這樣也能起到保護這些數(shù)據(jù)被移動用戶訪問/操作時可知。但這需要 對所有機密數(shù)據(jù)進行加密,而且內(nèi)網(wǎng)上任何服務(wù)/用戶使用時均需要加解密,這耗用了極 大的資源。
[0056] 也可使用帶有可信芯片的移動設(shè)備來對用戶進行認(rèn)證,但是這樣的解決方案過于 昂貴。
[0057] 以上對本發(fā)明實施例所提供的基于SDN的移動數(shù)據(jù)安全保護系統(tǒng)及方法進行了 詳細介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的 說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依 據(jù)本發(fā)明的思想,在【具體實施方式】及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容 不應(yīng)理解為對本發(fā)明的限制。
【權(quán)利要求】
1. 基于SDN的移動數(shù)據(jù)安全保護系統(tǒng),其特征在于,該系統(tǒng)包括移動數(shù)據(jù)安全控制臺、 系統(tǒng)基礎(chǔ)功能模塊和第三方移動數(shù)據(jù)安全保護產(chǎn)品接口; 移動數(shù)據(jù)安全控制臺是系統(tǒng)中最重要的模塊,包括流表控制模塊、身份服務(wù)模塊、移動 用戶操作權(quán)限判斷、數(shù)據(jù)加密模塊、移動數(shù)據(jù)安全控制臺安全保障模塊;身份服務(wù)模塊向移 動用戶提供身份認(rèn)證服務(wù);移動用戶操作權(quán)限判斷模塊根據(jù)身份服務(wù)模塊和移動用戶信息 數(shù)據(jù)庫提供的信息,判斷移動用戶使用某應(yīng)用對某數(shù)據(jù)進行操作的權(quán)限;數(shù)據(jù)加密模塊根 據(jù)移動用戶對數(shù)據(jù)操作的權(quán)限對數(shù)據(jù)進行加密;移動數(shù)據(jù)安全控制臺安全保障模塊保證移 動數(shù)據(jù)安全控制臺自身系統(tǒng)的安全; 系統(tǒng)基礎(chǔ)功能模塊為系統(tǒng)的運行提供基礎(chǔ)設(shè)施的保證,包括交換機接口通信模塊、控 制器同步模塊、分布式管理模塊、故障恢復(fù)模塊和冗余備份模塊;交換機接口通信模塊確保 移動數(shù)據(jù)能安全的進行傳輸,確?;赟DN實現(xiàn)的移動數(shù)據(jù)安全保護產(chǎn)品的系統(tǒng)之間的通 信基于安全的傳輸方式;控制器同步模塊提供控制臺所在的服務(wù)器集群之間的信息同步保 證;冗余備份模塊對各區(qū)域內(nèi)的移動數(shù)據(jù)安全控制臺、移動用戶信息數(shù)據(jù)庫、移動用戶身份 認(rèn)證信息進行冗余備份,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn);故障恢復(fù)模塊 在系統(tǒng)所在機器發(fā)生故障后,快速的恢復(fù)相關(guān)安全保護的措施; 第三方移動數(shù)據(jù)安全保護產(chǎn)品接口向第三方移動安全產(chǎn)品提供接口。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,流表控制模塊包括流表生成模塊、流表下 發(fā)模塊和流表同步模塊;流表生成模塊根據(jù)移動用戶操作權(quán)限模塊輸入的用戶權(quán)限生成數(shù) 據(jù)轉(zhuǎn)發(fā)規(guī)則和規(guī)則的有效期,并且生成相應(yīng)的流表;流表下發(fā)模塊將流表生成模塊輸入的 流表下發(fā)到相關(guān)的SDN交換機;流表同步模塊根據(jù)系統(tǒng)基礎(chǔ)功能模塊中反映的控制器和交 換機變化信息,保持流表在控制器和交換機上的一致性。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,身份認(rèn)證服務(wù)包括注冊用戶,Mac地址,身 份認(rèn)證,權(quán)限授予。
4. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,第三方移動安全產(chǎn)品可調(diào)用基于SDN的 移動數(shù)據(jù)安全保護系統(tǒng)的系統(tǒng)基礎(chǔ)功能模塊和移動數(shù)據(jù)安全控制臺的服務(wù)功能,或與基于 SDN的移動數(shù)據(jù)安全保護系統(tǒng)進行聯(lián)動,共同保護組織中移動數(shù)據(jù)的安全。
5. 基于SDN的移動數(shù)據(jù)安全保護方法,其特征在于,該方法基于SDN能動態(tài)感知移動設(shè) 備接入組織內(nèi)網(wǎng)及對數(shù)據(jù)訪問情況,并自動判斷是否授權(quán)用戶操作移動數(shù)據(jù),從而實現(xiàn)了 控制對移動數(shù)據(jù)的訪問、處理,從而實現(xiàn)移動數(shù)據(jù)安全保護,最終達到對組織移動數(shù)據(jù)保密 性的安全管理,該方法包括移動設(shè)備接入注冊和移動設(shè)備訪問數(shù)據(jù),其中移動設(shè)備接入注 冊的流程為: sll :移動用戶使用設(shè)備通過Wi-Fi或2G/3G/LTE接入組織內(nèi)網(wǎng),組織內(nèi)網(wǎng)邊界的支持 SDN的交換機收到移動設(shè)備發(fā)出的數(shù)據(jù)包,查找流表進行匹配; sl2 :如果匹配成功則交換機按流表規(guī)則進行下一步操作,允許移動用戶進一步操作或 拒絕移動用戶訪問組織內(nèi)網(wǎng);如果匹配不成功,則說明此移動設(shè)備是初次接入組織內(nèi)網(wǎng)或 者流表的有效期已過,交換機將移動設(shè)備發(fā)出的此數(shù)據(jù)包復(fù)制轉(zhuǎn)發(fā)至控制臺,控制臺查找 移動用戶信息數(shù)據(jù)庫,查看此移動設(shè)備是否已注冊; sl3:如果用戶信息不存在,則說明移動用戶是初次登入組織內(nèi)網(wǎng),控制臺下發(fā)流表至 交換機,指引移動用戶完成身份注冊服務(wù);用戶收到要求注冊的請求,通過交換機連接到移 動數(shù)據(jù)安全保護控制網(wǎng)絡(luò),與身份/認(rèn)證服務(wù)器進行通信完成注冊,之后用戶重新開始其 業(yè)務(wù)請求; sl4:如果用戶信息存在,則控制臺通過移動數(shù)據(jù)安全控制臺的移動用戶操作權(quán)限判斷 模塊判斷此移動用戶的相關(guān)權(quán)限,下發(fā)相應(yīng)流表回交換機,交換機根據(jù)流表進行下一步操 作:允許移動用戶進一步操作或拒絕移動用戶訪問組織內(nèi)網(wǎng); 移動設(shè)備訪問數(shù)據(jù)的流程為: s21 :移動用戶發(fā)送數(shù)據(jù)包請求訪問組織內(nèi)網(wǎng)數(shù)據(jù),數(shù)據(jù)所在的PC或服務(wù)器直接連接 的交換機收到該數(shù)據(jù)包,交換機查找流表匹配; s22 :如果匹配不成功,交換機將移動設(shè)備發(fā)出的此數(shù)據(jù)包轉(zhuǎn)發(fā)至控制臺,控制臺提取 移動設(shè)備使用的移動應(yīng)用信息和預(yù)訪問的數(shù)據(jù)信息,聯(lián)合身份/認(rèn)證服務(wù)器、移動用戶信 息數(shù)據(jù)庫,最終移動用戶操作權(quán)限判斷確定用戶使用該應(yīng)用對此數(shù)據(jù)進行操作的權(quán)限;流 表生成模塊根據(jù)權(quán)限信息生成相應(yīng)的流表,通過流表下發(fā)模塊將流表推送至相應(yīng)的交換 機; s23 :如果匹配成功,交換機根據(jù)流表規(guī)則對數(shù)據(jù)包進行操作。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟s23中對數(shù)據(jù)包操作時,若用戶有權(quán) 進行某些操作,則控制臺通知文件加密服務(wù)器根據(jù)用戶權(quán)限將文件加密,并將帶有期限的 密鑰通過安全的通信方式發(fā)送給用戶;若用戶無權(quán)進行操作則根據(jù)下發(fā)的流表拒絕用戶訪 問該數(shù)據(jù)。
7. 根據(jù)權(quán)利要求5所述的方法,其特征在于,還能夠在內(nèi)網(wǎng)上對機密數(shù)據(jù)加密或在計 算機上監(jiān)控數(shù)據(jù)是否被訪問,這樣也能起到保護這些數(shù)據(jù)被移動用戶訪問/操作時可知, 但這需要對所有機密數(shù)據(jù)進行加密,而且內(nèi)網(wǎng)上任何服務(wù)/用戶使用時均需要加解密,這 耗用了極大的資源。
8. 根據(jù)權(quán)利要求5所述的方法,其特征在于,還能夠使用帶有可信芯片的移動設(shè)備來 對用戶進行認(rèn)證,但是這樣的解決方案過于昂貴。
【文檔編號】H04W12/08GK104113839SQ201410333228
【公開日】2014年10月22日 申請日期:2014年7月14日 優(yōu)先權(quán)日:2014年7月14日
【發(fā)明者】楊育斌, 柯宗貴, 程麗明 申請人:藍盾信息安全技術(shù)有限公司