基于分布式与并行计算的安全可信防火云系统和控制方法与流程

本发明涉及网络安全，更具体地说，尤其涉及一种基于分布式与并行计算的安全可信防火云系统。此外，本发明还涉及一种基于分布式与并行计算的安全可信防火云系统的控制方法。

背景技术：

1、在当今信息社会的时代，保护信息的私密性、完整性、真实性和可靠性，提供一个可信赖的计算环境已经成为信息化的必然要求。为此，必须做到终端接入可信，从源头解决人与程序、人与机器还有人与人之间的信息安全传递，进而形成一个可信的网络，解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。

2、在互联网与物联网中，由于信息安全的隐患源于多个方面，在对陌生方建立信任所依赖的访问控制策略中，都可能泄露交互主体的敏感信息，在基于服务为中心的计算环境中，服务间的信任关系常常是动态地建立、调整，需要协商的方式达成协作或资源访问的目的，通过策略的一致性保证系统和网络的稳定性。传统防火墙与网络访问控制模型，主要关注在一个信息系统封闭环境中资源机密性和完整性的保护，不能很好地满足可信网络环境中动态、连续的访问控制需求，仍存在如网络接入控制措施不完善等众多问题，导致被攻破的几率已经接近50%。

3、因此，如何提供一种基于分布式与并行计算的安全可信防火云系统，其能够有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地控制的安全问题，是本领域技术人员亟待解决的技术问题。

技术实现思路

1、为解决上述技术问题，本发明提供一种基于分布式与并行计算的安全可信防火云系统，其能够有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地控制的安全问题，本发明还提供一种基于分布式与并行计算的安全可信防火云系统的控制方法，同样具有上述有益效果。

2、本发明提供的一种技术方案如下：

3、本发明提供一种基于分布式与并行计算的安全可信防火云系统，包括：分布式并行算力控制的网络基础平台，所述网络基础平台用于提供网络基础算力；

4、基于所述网络基础平台搭建分布式并行算力网络处理机，所述分布式并行算力网络处理机用于对所述网络基础平台的网络基础算力进行管理，协同完成计算或处理任务；

5、部署于所述网络基础平台的并行计算检测阵列，所述并行计算检测阵列用于对用户访问目标网络的网络流进行多任务并行检测处理；

6、所述多任务并行检测处理的检测对象包括操作角色、业务端口、业务协议和操作内容。

7、进一步地，在本发明一种优选的方式中，所述网络基础平台包括：计算单元盒、高速通信盒、智能存储系统，所述计算单元盒用于提供算力；所述智能存储系统为分布式共享存储器系统，所述智能存储系统与所述计算单元盒通信连接；所述分布式共享存储器系统包括：内存共享存储器、对象存储设备（osd）和存算适配器（gw）、ssd存储控制器；所述智能存储系统通过所述高速通信盒连接至高性能互联网络；多个的所述计算单元盒基于所述高性能互联网络实现并行计算。

8、进一步地，在本发明一种优选的方式中，所述智能存储系统为具有计算功能的存储系统；和/或所述高速通信盒为局部网卡（nic），所述高速通信盒包括高速互联网卡(hca)、pci-x。

9、进一步地，在本发明一种优选的方式中，多种所述计算单元盒组成大规模并行机；所述计算单元盒通过局部网卡（nic）接入高性能互联网络，以实现多个所述计算单元盒之间的通信连接；所述计算单元盒包括一个或多个微处理器（p/c）、内存模块（mem）,所述微处理器（p/c）通过局部总线或互联网络连接至局部内存模块和i/o设备；所述计算单元盒之间的所述内存模块（mem）独立运行；所述计算单元盒配置操作系统映像，用于接受作业管理系统控制或人工控制。

10、进一步地，在本发明一种优选的方式中，所述分布式并行算力网络处理机包括多台独立的处理机；所述分布式并行算力网络处理机由统一的操作系统进行管理；所述分布式并行算力网络处理机的应用程序与应用数据采用分离机制，所述对象存储设备包括：程序存储器、数据存储器，所述应用程序通过程序存储器存储，所述应用数据通过数据存储器存储；所述程序存储器通过服务总线构建服务api接口，所述数据存储器通过资源总线构建资源api接口；所述分布式并行算力网络处理机包括：共享存储器多处理机，所述共享存储器多处理机与所述内存共享存储器连接并获取共享数据；所述共享数据包括每个程序的程序段数据和数据段数据。

11、进一步地，在本发明一种优选的方式中，所述分布式并行算力网络处理机采用apram计算模型，apram计算模型为异步随机存取并行机器模型。

12、进一步地，在本发明一种优选的方式中，所述并行计算检测阵列包括：多个并行任务检测单元和安全控制中心；所述多任务并行检测处理包括以下步骤：根据用户访问目标网络的网络流，识别出安全检测任务；将所述安全检测任务分解为操作服务链和业务服务链；将所述操作服务链和所述业务服务链导入安全控制中心；所述安全控制中心结合元服务检测单元、元数据转发器对所述操作服务链、所述业务服务链进行深度内容检测。

13、进一步地，在本发明一种优选的方式中，所述深度内容检测包括：基于白名单方式实现业务特征数据流分析和基于特征数据流的业务数据流精准分析。

14、此外，本发明还提供一种基于分布式与并行计算的安全可信防火云控制方法，该方法用于所述基于分布式与并行计算的安全可信防火云系统，该方法包括以下步骤：对并行任务进行检测：交换机将收到的用户请求的网络流转至所述防火云系统，由所述防火云系统对用户请求的网络流进行并行任务检查校验；检查校验失败则拒绝用户访问请求；检查校验成功，则将网络流转至https解密节点，对https流量进行解密，得到http的流量；将http的流量转到http检测节点进行请求检查；若请求检查成功则将网络流转到目标业务服务。

15、进一步地，在本发明一种优选的方式中，所述请求检查包括：判断对用户请求的目标地址，是否为dsn域名解析的ip地址；判断对终端用户请求的cookie里特定的特征是否与基线一致；判断对终端用户请求的图片/视频加载的链接路径是否与基线一致 ；判断对请求接口的地址和参数是否与基线一致。

16、进一步地，在本发明一种优选的方式中，该方法还包括：对https检测节点的响应进行响应检查；所述响应检查包括：检查业务服务返回的地址、请求的目标地址是否与基线一致；检查接口返回的信息接口地址是否与基线一致。

17、本发明提供的一种基于分布式与并行计算的安全可信防火云系统。与现有技术相比，本发明提供的技术方案包括：分布式并行算力控制的网络基础平台，所述网络基础平台用于提供网络基础算力；基于所述网络基础平台搭建分布式并行算力网络处理机，所述分布式并行算力网络处理机用于对所述网络基础平台的网络基础算力进行管理，协同完成计算或处理任务；部署于所述网络基础平台的并行计算检测阵列，所述并行计算检测阵列用于对用户访问目标网络的网络流进行多任务并行检测处理；多任务并行检测处理的检测对象包括操作角色、业务端口、业务协议和操作内容，其能够有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地控制的安全问题，本发明涉及的技术方案所涉及到分布式并行算力防火云作为一种设置在被保护网络与因特网之间的访问控制防护系统，采用可信控制计算体系，通过多任务并行算力控制机制，采集所管网络或子网的计算环境、网络边界、通信网络的信息资产基线和网络设备的安全检查基线，并通过系统风险评估和网络攻击路径可达性分析，确定安全目标和策略，相较于现有技术而言，具有显著的技术效果。