| 发明名称 | 基于可信计算的大数据安全防护云系统 | ||
| 摘要 | 本发明公开了一种基于可信计算的大数据安全防护云系统,该安全防护云系统是在具有安全分级功能、可信安全配置功能等系统的基础上构建一种基于可信的安全分级系统和基于最小树的安全配置系统,并在此基础上配合安全网络监测系统为信息的安全防护提供一个可信的计算环境。该可信防护云系统从基础数据的采集、安全分级开始,通过计算网络节点的重要性值将网络节点分为4个不同的安全等级,构建整体信任环境,利用高可信度的安全分级配置,保证信息安全防护的可信安全,确保数据不会被随意获取,在计算量和可信安全配置之间取得了很好的平衡。 | ||
| 申请公布号 | CN105933361B | 申请公布日期 | 2017.02.22 |
| 申请号 | CN201610550782.5 | 申请日期 | 2016.07.13 |
| 申请人 | 广西电网有限责任公司 | 发明人 | 陈祖斌;谢铭;胡继军;翁小云;袁勇;邓戈锋;莫英红;谢菁;张鹏;唐玲丽;黄连月;郑俊明;曾明霏;杭聪;宋骏豪;沈汉灵;何钟柱 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京高航知识产权代理有限公司 11530 | 代理人 | 吴强 |
| 主权项 | 基于可信计算的大数据安全防护云系统,其特征是,包括可信云网络节点安全分级系统、多级可信安全防护配置系统、网络安全监测系统和云服务系统,所述可信云网络节点安全分级系统通过计算网络节点的重要性值将网络节点分为4个不同的安全等级,所述多级可信安全防护配置系统根据可信云网络节点安全分级系统的分级结果,为不同安全等级的网络节点以及节点之间的链路提供不同的安全加密服务,确保数据不会被随意获取,保证系统的可信性;所述网络安全监测系统用于监测网络节点状态,所述云服务系统为整个安全防护云系统提供云支撑;(1)可信云网络节点安全分级系统包括关联矩阵生成模块、最小生成树模块、分级模块和更替模块,通过计算网络节点的重要性值将网络节点分为4个不同的安全等级,构建整体信任环境和可信数据平台,所述可信云网络节点分级系统为可信链的起点,所述可信云网络节点安全分级系统、多级可信安全防护配置系统、网络安全监测系统和云服务系统生成共同构成可信链,上述各系统均设置有3G模块和数据收发应用程序,数据通过3G模块进行传输,3G模块上电后,由所述可信数据平台进行上电检测:a、关联矩阵生成模块:用G表示一个具有m个网络节点V和n条链路E的无向图,其中VV<sub>1</sub>,V<sub>2</sub>,…V<sub>m</sub>},EE<sub>1</sub>,E<sub>2</sub>,…E<sub>n</sub>},用一个m×n的关联矩阵R表示网络结构中节点和链路的连接关系,矩阵R的一行对应网络中的一个网络节点,R的一列表示网络节点与对应边的关联属性的值,R中每个元素的值均为0或1,其中0代表链路与网络节点不关联,1代表链路与网络节点关联;b.最小生成树模块:用(i,j代表无向图G中连接网络节点V<sub>i</sub>与网络节点V<sub>j</sub>的链路,ω(V<sub>i</sub>,V<sub>j</sub>)代表此链路的权重,若存在T为E的子集且为无循环图,使得ω(T)最小,就将T称为G的最小生成树,则G中最小生成树总数τ(G)=det(RR<sup>T</sup>),其中det(.)代表行列式生成函数;c.分级模块:由下式得到节点V<sub>i</sub>的重要性值r<sub>i</sub>:<img file="FDA0001167613900000011.GIF" wi="518" he="111" />其中τ(G)为由最小生成树计算模块得到的最小生成树总数;k为关联矩阵R中第i行非零元素的数量,Z是移除R的第i行和第i行的非零元素所在列之后得到的新的矩阵,det(Z<sub>i</sub>)代表Z的行列式;r<sub>i</sub>的值越大,即节点显示出越高的重要性,当r<sub>i</sub>的值取1的时候,则表示V<sub>i</sub>是该网络中最重要的网络节点,一旦该网络节点被破坏图的连通性就会极大程度地被破坏,从而造成网络通信中断;按以上方法分别计算所有网络节点的重要性值,同时设定分级阈值T1、T2、T3,且T1>T2>T3,如果r<sub>i</sub>>T1,则将该网络节点标记为重要节点,如果T1>r<sub>i</sub>>T2,则将该网络节点标记为次重要节点,如果T2>r<sub>i</sub>>T3,则将该网络节点标记为中间节点,如果r<sub>i</sub>小于T3,则将该网络节点标记为边缘节点,并且将重要节点、次重要节点、中间节点和边缘节点的安全等级分别记为等级1、等级2、等级3和等级4;d.更替模块:每当网络节点数量或者节点位置发生变化时,自动重新计算每个网络节点的重要性值,并重新进行安全分级和标记;(2)多级可信安全防护配置系统:在安全等级相同的网络节点之间,认证进行信息收集的网络中的硬件节点,判断网络硬件节点可信度,建立所采集信息的信任关系,采用基于网络层的安全网际协议IPSec进行信息交互,提供通道级的信息安全防护,IPSec协议将密码技术应用于网络层,提供点到点数据传输的包括安全认证、数据加密、访问控制、完整性鉴别的安全服务;不同安全等级的网络节点之间采用工作在网络层协议之上的应用层协议进行信息交互,应用层的安全以PKI系统为基础,用密码技术确保信息文件传输、共享和使用的安全,确保数据不会被随意获取;(3)网络安全监测系统,用于监测网络节点数和网络节点位置,配合网络节点安全分级系统共同构建安全信任环境,其包括感知模块和传输模块:所述感知模块通过在网络节点周围部署大量无线传感器实现,所述无线传感器通过接受网络节点无线信号,结合自身与其他无线传感器位置关系,对网络节点位置进行定位;(4)云服务系统,包括云存储模块和云计算模块;所述云存储模块包括公有云存储子模块和私有云存储子模块,所述公有存储云子模块主要存储网络节点分级数据,其存储内容外界可进行自由访问,所述私有云存储子模块主要存储密匙和解密函数,只有通过身份验证的人员才能够进行访问,在已建立的的安全信任环境下进一步实现数据的安全可信储存和访问;所述云计算模块通过部署SOA服务器实现,包括公有云计算子模块和私有云计算子模块,所述公有云计算子模块为可信云网络节点安全分级系统和网络安全监测系统提供计算支撑,所述私有云计算子模块为多级可信安全防护配置系统提供计算支撑,各类用户通过终端程序获取云端数据;所述云服务系统还提供可信软件系统,所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口,同时对所述可信数据平台后续软件提供完整性度量,并对不可控操作系统的特定行为进行行为审计和分析;所述后续软件包括核心加载软件和不可控操作系统软件。 | ||
| 地址 | 530000 广西壮族自治区南宁市兴宁区民主路6号 | ||