一种机载网络安全软件有效性实时监控装置和方法与流程
本发明属于计算机软件-系统应用软件,涉及一种机载网络安全软件有效性实时监控装置和方法。
背景技术:
随着信息技术在民用航空电子系统中的大量应用,为了向飞机使用者(如飞机运营商、飞行员、维护人员等)提供更多、更便利的服务,引入了由不同平台组成的、由以太网网络构建的机载网络服务系统,形成一个空地一体的开放的环境。ARINC821(Aircraft Network Server System(NSS)Functional Definition)中定义了机载网络服务系统对网络安全(Security)的功能要求。由于机载网络服务系统既与高安全等级的传统航空电子系统进行数据交换,又与低安全等级的客舱系统、飞机外部支持系统(如维护终端,信息中心等)进行数据交互,因此机载网络服务系统内部的安全网关要完成对高安全等级的信息安全防护,阻止来自飞机外部的攻击威胁对飞机电子系统的安全性产生影响。
安全网关作为关键的网络安全域边界保护部件,提高其内部运行时所使用的网络安全软件的有效性监控能力是机载网络服务系统设计中所要解决的重点问题之一。
技术实现要素:
本发明的目的:
本发明提供一种机载网络安全软件有效性实时监控装置和方法,在运行时通过对网络安全软件采用实时状态收集、有效性逻辑判断与消息通信实现了有效性实时监控,提出实现了对机载网络安全软件的有效性的实时监控能力。
本发明的技术方案:
一种机载网络安全软件有效性实时监控装置,包括:
访问控制功能模块(101):在运行时,每周期生成访问控制功能工作状态数据,更新状态存储区(105)中对应访问控制功能模块(101)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
虚拟私有网功能模块(102):在运行时,每周期生成虚拟私有网功能工作状态数据,更新状态存储区(105)中对应虚拟私有网功能模块(102)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
入侵防御功能模块(103):在运行时,每周期生成入侵防御功能工作状态数据,更新状态存储区(105)中对应入侵防御功能模块(103)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
防病毒功能模块(104):在运行时,每周期生成防病毒功能工作状态数据,更新状态存储区(105)中对应防病毒功能模块(104)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
状态存储区(105):存储在内存中,以规定的数据格式保存安全软件内部各个功能模块的工作状态数据;
有效性判断模块(106):在运行时,每周期读取状态存储区(105)中的访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)的工作状态数据,通过检查时间戳和校验值以判断对应的功能模块是否有效;综合访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)的工作状态数据成安全软件工作状态消息,并发送至状态监控模块(107);如果上述访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)中存在无效模块时,生成告警消息,发送至状态监控模块(107);
状态监控模块(107):在运行时,每周期向外部发送安全软件工作状态消息;当接收到告警消息时,立即向外部发送告警消息。
状态存储区(105)中运行时规则库数据使用表(Table)方式保存;表中的每一个存储区由时间戳、工作状态数据和校验值组成;表依次保存访问控制功能、虚拟私有网功能、入侵防御功能与防病毒功能等模块的数据;如果增加有新的功能模块,可以通过在表中新增行来实现;
时间戳数据为二进制数据,用64比特整数保存,记录更新时间,时间精度为毫秒;
工作状态数据为二进制数据,按照规定的格式记录功能模块的工作状态;
校验值为二进制数据,用32比特整数保存,使用CRC32校验算法,记录时间戳和工作状态数据的校验和数值。
一种机载网络安全软件有效性实时监控方法,包括:
步骤1、在运行时,访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)分别检查本模块是否到状态上报周期,如果没到,则继续执行其他任务,如果到上报周期,则进入步骤2;
步骤2、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)将自身工作状态数据写入状态存储区(105)内对应本模块存储区域;
步骤3、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)获取当前时间,更新状态存储区(105)中对应本模块存储区域的时间戳数据;
步骤4、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)根据时间戳数据与工作状态数据计算校验值,更新状态存储区(105)中对应本模块存储区域的校验值;
步骤5、在运行时,有效性判断模块(106)周期性访问状态存储区(105),读取访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)所写入的时间戳数据;
步骤6、有效性判断模块(106)检查各个时间戳数据是否已更新,如果已更新则执行步骤(7),如果未更新,则标记该时间戳对应的网络安全功能模块为无效状态,执行步骤(9);
步骤7、有效性判断模块(106)从状态存储区(105)读取访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)工作状态数据;
步骤8、有效性判断模块(106)检查访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)所对应的校验值是否正确,如果不正确,则标记对应的网络安全功能模块为无效状态;
步骤9、有效性判断模块(106)将访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)工作状态数据综合成软件状态消息;
步骤10、有效性判断模块(106)上报软件状态消息给状态监控模块(107);
步骤11、有效性判断模块(106)检查是否存在网络安全功能模块为无效状态,如果没有,则结束本模块流程,如果有,则执行步骤(12);
步骤12、有效性判断模块(106)生成告警消息,上报给状态监控模块(107);
步骤13、状态监控模块(107)按照规定的周期向外部发出软件状态消息;
步骤14、状态监控模块(107)如果接收到告警消息,则立即向外部发出告警消息。
本发明具有的优点效果:
本设计在使用过程中可以获取以下有益效果:
1)有效性检查:通过使用时间戳、工作状态数据检查,实现了对机载网络安全软件功能有效性的检查;通过使用校验值,实现了对时间戳和工作状态数据的完整性检查;从两个层次对机载网络安全软进行了有效性检查。;
2)实时监控:通过运行时的周期性检查,机载网络服务系统能对安全网关上运行的安全软件功能有效性进行实时监控。
3)易于扩展:由于本设计方法主要从体系架构入手设计,采用表(Table)方式设计,易于增加或扩展新的网络安全功能模块。
附图说明
图1为本发明的整体结构。
图2为本发明的数据模型。
图3为本发明的运行过程。
具体实施方式
一种机载网络安全软件有效性实时监控装置,如图1所示,包括:
访问控制功能模块(101):在运行时,每周期生成访问控制功能工作状态数据,更新状态存储区(105)中对应访问控制功能模块(101)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
虚拟私有网功能模块(102):在运行时,每周期生成虚拟私有网功能工作状态数据,更新状态存储区(105)中对应虚拟私有网功能模块(102)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
入侵防御功能模块(103):在运行时,每周期生成入侵防御功能工作状态数据,更新状态存储区(105)中对应入侵防御功能模块(103)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
防病毒功能模块(104):在运行时,每周期生成防病毒功能工作状态数据,更新状态存储区(105)中对应防病毒功能模块(104)存储区域的时间戳数据、工作状态数据,计算并更新校验值;
状态存储区(105):存储在内存中,以规定的数据格式保存安全软件内部各个功能模块的工作状态数据;
有效性判断模块(106):在运行时,每周期读取状态存储区(105)中的访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)的工作状态数据,通过检查时间戳和校验值以判断对应的功能模块是否有效;综合访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)的工作状态数据成安全软件工作状态消息,并发送至状态监控模块(107);如果上述访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)中存在无效模块时,生成告警消息,发送至状态监控模块(107);
状态监控模块(107):在运行时,每周期向外部发送安全软件工作状态消息;当接收到告警消息时,立即向外部发送告警消息。
如图2所示,状态存储区(105)中运行时规则库数据使用表(Table)方式保存;表中的每一个存储区由时间戳、工作状态数据和校验值组成;表依次保存访问控制功能、虚拟私有网功能、入侵防御功能与防病毒功能等模块的数据;如果增加有新的功能模块,可以通过在表中新增行来实现;
时间戳数据为二进制数据,用64比特整数保存,记录更新时间,时间精度为毫秒;
工作状态数据为二进制数据,按照规定的格式记录功能模块的工作状态;
校验值为二进制数据,用32比特整数保存,使用CRC32校验算法,记录时间戳和工作状态数据的校验和数值。
一种机载网络安全软件有效性实时监控方法,如图3所示,包括:
步骤1、在运行时,访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)分别检查本模块是否到状态上报周期,如果没到,则继续执行其他任务,如果到上报周期,则进入步骤2;
步骤2、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)将自身工作状态数据写入状态存储区(105)内对应本模块存储区域;
步骤3、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)获取当前时间,更新状态存储区(105)中对应本模块存储区域的时间戳数据;
步骤4、访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)根据时间戳数据与工作状态数据计算校验值,更新状态存储区(105)中对应本模块存储区域的校验值;
步骤5、在运行时,有效性判断模块(106)周期性访问状态存储区(105),读取访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)所写入的时间戳数据;
步骤6、有效性判断模块(106)检查各个时间戳数据是否已更新,如果已更新则执行步骤(7),如果未更新,则标记该时间戳对应的网络安全功能模块为无效状态,执行步骤(9);
步骤7、有效性判断模块(106)从状态存储区(105)读取访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)工作状态数据;
步骤8、有效性判断模块(106)检查访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)所对应的校验值是否正确,如果不正确,则标记对应的网络安全功能模块为无效状态;
步骤9、有效性判断模块(106)将访问控制功能模块(101)、虚拟私有网功能模块(102)、入侵防御功能模块(103)、防病毒功能模块(104)工作状态数据综合成软件状态消息;
步骤10、有效性判断模块(106)上报软件状态消息给状态监控模块(107);
步骤11、有效性判断模块(106)检查是否存在网络安全功能模块为无效状态,如果没有,则结束本模块流程,如果有,则执行步骤(12);
步骤12、有效性判断模块(106)生成告警消息,上报给状态监控模块(107);
步骤13、状态监控模块(107)按照规定的周期向外部发出软件状态消息;
步骤14、状态监控模块(107)如果接收到告警消息,则立即向外部发出告警消息。
实施例
1.架构组成
架构组成如图1所示。
架构的内部组成包括:
(1)网络安全软件访问控制模块(简称访问控制功能模块,101):在运行时,每周期生成访问控制功能工作状态数据,更新工作状态数据存储区(105)中的对应的时间戳数据、工作状态数据,计算并更新校验值。
(2)网络安全软件虚拟私有网功能模块(简称虚拟私有网功能模块,102):在运行时,每周期生成虚拟私有网功能工作状态数据,更新工作状态数据存储区(105)中的对应的时间戳数据、工作状态数据,计算并更新校验值。
(3)网络安全软件入侵防御功能模块(简称入侵防御功能模块,103):在运行时,每周期生成入侵防御功能工作状态数据,更新工作状态数据存储区(105)中的对应的时间戳数据、工作状态数据,计算并更新校验值。
(4)网络安全软件防病毒功能模块(简称防病毒功能模块,104):在运行时,每周期生成防病毒功能工作状态数据,更新工作状态数据存储区(105)中的对应的时间戳数据、工作状态数据,计算并更新校验值。。
(5)工作状态数据存储区(简称状态存储区,105):存储在内存中,以规定的数据格式保存安全软件内部各个功能模块的工作状态数据。
(6)网络安全软件有效性判断模块(简称有效性判断模块,106):在运行时,每周期读取工作状态数据存储区中的各个功能模块的工作状态数据,通过检查时间戳和校验值以判断对应的功能模块是否有效;综合各功能模块的工作状态数据成安全软件工作状态消息,并发送至状态监控模块。当检查出存在无效模块时,生成告警消息,发送至状态监控模块。
(7)网络安全软件状态监控模块(简称状态监控模块,107):在运行时,每周期发送安全软件工作状态消息;当接收到告警消息时,立即发送告警消息。
2.数据模型
数据模型如图2所示,为工作状态数据存储区。
运行时规则库数据使用表(Table)方式保存。表中的每一个存储区由时间戳、工作状态数据和校验值组成。表依次保存访问控制功能、虚拟私有网功能、入侵防御功能与防病毒功能等模块的数据。如果增加有新的功能模块,可以通过在表中新增行来实现。
时间戳数据为二进制数据,用64比特整数保存,记录更新时间,时间精度为毫秒。
工作状态数据为二进制数据,按照规定的格式记录功能模块的工作状态。
校验值为二进制数据,用32比特整数保存,使用CRC32校验算法,记录时间戳和工作状态数据的校验和数值。
3.运行过程
本方法的具体运行过程如图3所示,按照功能模块分阶段描述。
各网络安全功能模块状态上报流程:
(1)在运行时,各网络安全功能模块(101,102,103,104)检查是否到状态上报周期,如果没到,则继续执行其他任务,如果到上报周期,则进入状态上报流程。
(2)各网络安全功能模块(101,102,103,104)将自身工作状态数据写入状态存储区(105)内相应的数据区。
(3)各网络安全功能模块(101,102,103,104)获取当前时间,更新对应的时间戳数据。
(4)各网络安全功能模块(101,102,103,104)根据时间戳数据与工作状态数据计算校验和,更新对应的校验和数据。
网络安全功能有效性判断模块的状态处理流程:
(1)在运行时,有效性判断模块(106)周期性访问状态存储区(105),读取各功能模块所写入的时间戳数据。
(2)有效性判断模块(106)检查各个时间戳数据是否已更新,如果已更新则执行步骤(3),如果未更新,则标记该时间戳对应的网络安全功能模块为无效状态,执行步骤(5)。
(3)有效性判断模块(106)从状态存储区(105)读取各网络安全功能模块工作状态数据。
(4)有效性判断模块(106)检查各网络安全功能模块所对应的校验值是否正确,如果不正确,则标记对应的网络安全功能模块为无效状态。
(5)有效性判断模块(106)将各网络安全功能模块工作状态数据综合成软件状态消息。
(6)有效性判断模块(106)上报软件状态消息给状态监控模块(107)。
(7)有效性判断模块(106)检查是否存在网络安全功能模块为无效状态,如果没有,则结束本模块流程,如果有,则执行步骤(8)。
(8)有效性判断模块(106)生成告警消息,上报给状态监控模块(107)。
网络安全软件状态监控模块的消息发送流程:
(1)状态监控模块(107)按照规定的周期发出软件状态消息。
(2)状态监控模块(107)如果接收到告警消息,则立即发出告警消息。
本发明在C919机载信息系统网络安全功能中,采用本方法实现对网络安全软件的有效性实时监控。
- 还没有人留言评论。精彩留言会获得点赞!