专利名称:一种下发安全策略的方法
技术领域:
本发明涉及网络安全检测技术,尤指一种下发安全策略的方法。
背景技术:
入侵检测就是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,进行有针对性的动作并将这些有针对性地动作下发至所有入侵检测所针对的对象,包括交换机、路由器、防火墙等网络设备上。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。IDS检测并进行有针对性动作的对象,如交换机、路由器、防火墙等,称为IDS的联动设备。IDS针对不同的攻击制定不同阻断攻击的策略称为联动规则。通常,在联动规则内设置有阻断时间,在阻断时间内联动设备对联动规则中所定义的报文进行阻断。
当IDS每检测到一次攻击时,则会针对这次攻击产生一条联动规则,并将这条联动规则下发至IDS的所有联动设备上,联动设备则会应用IDS下发的联动规则来阻断当前攻击。但是,由于联动设备对联动规则的处理能力有限,当攻击大量发生,IDS也会针对大量发生的攻击而不断向联动设备下发大量的联动规则,大量下发的联动规则极大的影响了联动设备的正常运行。特别是对于相同的攻击,不仅大量向联动设备下发联动规则,会极大地影响联动设备的正常运行,而且对于相同的攻击在联动规则还有效的时间内,重复下发是没有意义的。
发明内容
有鉴于此,本发明的目的在于提供下发安全策略的方法,应用该方法可以限制安全策略的大量下发。
为达到上述目的,本发明提出了三种技术方案,具体是这样实现的第一种技术方案为一种下发安全策略的方法,设置最大下发速率,执行以下步骤A1、存储根据每个攻击产生的新安全策略;B1、当满足触发条件时,获得当前下发安全策略的速率,判断当前下发安全策略的速率是否小于最大下发速率,如果是,则取得并下发最先存储的安全策略;否则,放弃下发安全策略。
另外,该方法进一步包括设置定时器及定时时长;则步骤B1中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
另外,该方法进一步包括设置未下发安全策略表,在步骤A1之前进一步包括a、将新产生的安全策略与未下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则在未下发安全策略表中,将与新产生安全策略相同的安全策略的阻断时间更新为新安全策略所携带的阻断时间;如果不存在,则执行步骤A1;步骤A1中所述存储为在未下发安全策略表中存储产生的安全策略。
另外,该方法进一步包括设置已下发安全策略表;步骤B1中取得最先存储的安全策略之后、下发取得的安全策略之前,进一步包括B11、将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
其中,在步骤B1之后,该方法进一步包括C1、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
另外,该方法进一步包括设置最大下发策略数,在步骤a之后、步骤A1之前,进一步包括
判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,执行步骤A1。
另外,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
另外,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表和已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则将该条安全策略在它所在的安全策略表中删除。
其中,设置计数器,周期性不断存储已下发安全策略数,所述获得当前下发安全策略的速率为用存储的已下发安全策略数除以周期的大小。
其中,所述安全策略为联动规则。
其中,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述已下发安全策略表为已下发联动规则表;所述最大下发策略数为最大下发规则数。
第二种技术方案为一种下发安全策略的方法,设置未下发安全策略表,执行以下步骤A2、将根据每个攻击新产生的安全策略与未下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则在未下发安全策略表中,将与新产生安全策略相同的安全策略的阻断时间更新为新安全策略所携带的阻断时间;如果不存在,则在未下发安全策略表中存储当前新产生的安全策略;B2、当满足触发条件时,取得并下发最先存储的安全策略。
另外,该方法进一步包括设置定时器及定时时长;则步骤B2中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
另外,该方法进一步包括设置最大下发策略数,在步骤A2中,在向未下发安全策略表中存储当前新产生的安全策略之前,进一步包括
判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,在未下发安全策略表中存储当前新产生的安全策略。
另外,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则在未下发安全策略表中将该条安全策略删除。
所述,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述最大下发策略数为最大下发规则数。
另外,设置已下发安全策略表;步骤B2中取得最先存储的安全策略之后、下发取得的安全策略之前,进一步包括B21、将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
其中,在步骤B2之后,该方法进一步包括C2、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
另外,该方法进一步包括设置最大下发策略数,在步骤A2中,在向未下发安全策略表中存储当前新产生的安全策略之前,进一步包括判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,在未下发安全策略表中存储当前新产生的安全策略。
另外,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
另外,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表和已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则将该条安全策略在它所在的安全策略表中删除。
其中,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述已下发安全策略表为已下发联动规则表;所述最大下发策略数为最大下发规则数。
第三种技术方案为一种下发安全策略的方法,设置已下发安全策略表,执行以下步骤A3、存储根据每个攻击产生的新安全策略;B3、当满足触发条件时,取得最先存储的安全策略,并将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
另外,该方法进一步包括设置定时器及定时时长;则步骤B3中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
另外,在步骤B3之后,该方法进一步包括C3、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
所述,设置最大下发策略数,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
另外,该方法进一步包括设置指定时间,每到指定时间将已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则在已下发安全策略表将该条安全策略删除。
本发明所提供的下发安全策略的方法,通过对产生的安全策略进行存储,当满足下发安全策略的条件时,再由安全检测设备将产生的安全策略下发至被检测设备的方法,实现了控制安全检测设备下发安全策略的数量,使被检测设备不会因为大量下发的安全策略而不能正常运行,减少下发安全策略所占用的传输资源。不仅如此,本发明还通过对安全策略的有效聚合,实现了在安全策略有效的时间内,不重复下发相同的安全策略。
图1为本发明实施例的流程图。
具体实施例方式
本发明的核心思想是当安全检测设备针对发生的攻击产生安全策略时,首先对产生的安全策略进行存储,当满足下发安全策略的条件时,再将产生的安全策略下发至被检测设备。
在本发明中,需设置未下发安全策略表、已下发安全策略表,最大下发策略数和最大下发速率。其中,未下发安全策略表提供给安全检测设备,用来存储没有下发的安全策略;已下发安全策略表提供给安全检测设备,用来存储已经下发的安全策略;最大下发策略数是用来规定未下发安全策略表和已下发安全策略表中最大能够存储的安全策略数;最大下发速率,是用来限制安全检测设备下发安全策略的速率,安全检测设备下发安全策略的速率不得超过最大下发速率。
本发明所提供的方法可以使用在任何安全检测设备内,并且适用于任何安全策略的下发过程。在此,仅以IDS设备为安全检测设备、IDS设备的联动设备为被检测设备、IDS设备向联动设备发送的联动规则为安全策略为例,对本发明所提出的方法进一步详细说明。
在本实施例中,需在IDS设备的内部设置未下发联动规则表、已下发联动规则表,最大下发规则数和最大下发速率;未下发联动规则表、已下发联动规则表以及最大下发规则数,分别对应为未下发安全策略表、已下发安全策略表以及最大下发策略数。其中,未下发联动规则表提供给IDS设备,用来存储没有下发的联动规则;已下发联动规则表提供给IDS设备,用来存储已经下发的联动规则;最大下发规则数是用来规定未下发联动规则表和已下发联动规则表中最大能够存储的联动规则数,可以针对未下发联动规则表和已下发联动规则表分别设置不同或者相同的最大下发规则数,在本实施例中,对于未下发联动规则表和已下发联动规则表设置相同的最大下发规则数;最大下发速率,是用来限制IDS设备下发联动规则的速率,IDS设备下发联动规则的速率不得超过最大下发速率。这里,最大下发规则数可以根据联动设备中访问控制列表(ACL)内最大能包含的表项数进行确定。
图1为本实施例的流程图,参见图1,该流程包括以下步骤步骤101~102IDS设备针对当前发生的攻击产生新的联动规则,并将新产生的联动规则与未下发联动规则表中的联动规则进行比较,判断在未下发联动规则表中是否存在相同的联动规则,如果不存在,执行步骤103;否则,执行步骤104。
步骤103判断未下发联动规则表中的联动规则数是否已经达到的最大下发规则数,如果不是,则执行步骤105;否则,执行步骤106。
步骤104在未下发联动规则表中,针对当前产生的联动规则进行聚合。
这里,所述相同的联动规则,是根据联动规则中所含有的参数所确定的,当联动规则内包含的参数为源介质访问控制(MAC)地址、目的MAC地址、虚拟局域网(VLAN)标签、源IP地址、源IP地址掩码、目的IP地址、目的IP地址掩码、源端口、目的端口、限流类型、阻断时间、总流量、状态位、版本以及协议类型,则认为具有相同的源MAC地址、目的MAC地址、VLAN标签、源IP地址、源IP地址掩码、目的IP地址、目的IP地址掩码、源端口、目的端口、限流类型以及协议类型为相同的联动规则。所述对联动规则进行聚合为将未下发联动规则表中与当前产生的联动规则相同的联动规则中的阻断时间,修改为当前产生的联动规则中携带的阻断时间,并将新产生的联动规则丢弃。
步骤105将当前新产生的联动规则加入未下发联动规则表,执行步骤107。
在本实施例中,未下发联动规则表采用先进先出的原则。
步骤106丢弃当前新产生的联动规则,结束流程,并等待IDS设备下一次新的联动规则的产生。
步骤107获得当前下发联动规则的速率,并判断当前下发联动规则的速率是否小于最大下发速率,如果是,则执行步骤108;否则执行步骤114。
这里,下发联动规则的速率为单位时间内成功下发的联动规则数,也可称为下发速率。其中,获得下发联动规则速率的方法可以是设置计数器,该计数器每整秒则重新开始计数,计数器计数的内容为已成功下发的联动规则数。当然,流程执行到步骤107时,不可能都是整一秒的时刻,因此,在获得下发联动规则的速率时,只需直接读取当前计数器的计数值,而不需等待计数器到达整一秒的时间。当然,也可以设置计数器以一定的周期重新开始计数,周期时长可根据需要任意设定,相应的,将计数值除以周期时长即可得到当前联动规则的下发速率。
步骤108判断已下发联动规则表中的联动规则数是否已达到最大下发规则数,如果不是,则执行步骤109;否则,执行步骤114。
步骤109~110取得未下发联动规则表中位于表头的表项,并将当前取出的联动规则,与已下发联动规则表中的联动规则进行比较,判断是否存在相同的联动规则,如果不存在,则执行步骤111;否则,执行步骤115。
其中,判断联动规则相同的方法与步骤104中所述判断联动规则相同的一样,在此不再详述。
步骤111将当前取出的联动规则下发到所有联动设备。
步骤112判断当前下发的联动规则是否下发成功,如果成功,则执行步骤113;否则,执行步骤115。
这里,所述判断当前下发的联动规则是否下发成功,可以根据IDS设备下发联动规则时,判断当前底层链路是否可用,来确定当前下发的联动规则是否下发成功。在底层链路不可用的情况下,当IDS设备向联动设备下发联动规则时,IDS设备通常会立即返回下发联动规则不成功的消息,因此可以根据这个消息来及时地判断联动规则是否下发成功。
这里的步骤112为可选步骤,可以在执行完步骤111后,直接执行步骤113。
步骤113将当前已下发的联动规则添加至已下发联动规则表,结束流程。
步骤114放弃本次联动规则的下发,结束流程。
步骤115丢弃当前取出的联动规则。
在本实施例中,还进一步包括对未下发联动规则表和已下发联动规则表的老化处理。老化处理的过程具体为当时间每经过一个指定时间,则将未下发联动规则表和已下发联动规则表中联动规则所携带的阻断时间减去这个指定时间,当联动规则所携带的阻断时间为0时,则将该条联动规则从其所在的联动规则表中删去。较佳的,可以选择这个指定时间为1秒。
在本实施例中,主要介绍的是以IDS设备产生一个联动规则为触发条件来触发IDS设备下发联动规则,在此称这种触发条件为联动规则触发。
在本发明中,还可以设置定时器以及定时时长,在IDS设备开始运行时即启动定时器,依靠定时器到达定时时长来触发IDS设备下发联动规则的过程,在此称这种触发条件为定时器触发。当定时器到达定时时长时,则从流程中的步骤107开始执行,其他的过程与本实施例中的描述完全相同,在此不再详述。定时时长的设置可以根据联动设备的处理效率,以及网络中攻击的情况进行设置。这里,当定时器到达定时时长时,有可能已经存在了一个由联动规则触发的联动规则下发过程正在进行,这时,既可以等待此次由联动规则触发的联动规则下发过程结束之后,再进行由定时器触发的联动规则下发过程;也可以在进行由联动规则触发的联动规则下发过程中,由定时器到达定时时长来同时触发联动规则的下发过程,即同时存在由两种触发条件触发的联动规则下发过程。当由定时器触发和联动规则触发同时存在时,下发速率计算的方法不变。
本发明中,还可以不使用由产生的联动规则来触发联动规则的下发过程,只使用由定时器到达定时时长来触发下发联动规则的过程。在这种触发条件下,下发联动规则的过程可以分为两个部分,一个部分为存储部分,包括实施例中介绍的步骤101~106;一个则为下发部分,包括实施例中的步骤107~114。这两个部分的具体操作与实施例中所述相同,只是在定时器到达定时时长时,触发下发部分,否则只执行存储部分的流程。
在实施例中,可以根据IDS设备以及联动设备的具体情况,不执行步骤103以及步骤108中判断,这时,流程中的其他的步骤不变,只需将该判断的流程去掉即可。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种下发安全策略的方法,其特征在于,设置最大下发速率,执行以下步骤A1、存储根据每个攻击产生的新安全策略;B1、当满足触发条件时,获得当前下发安全策略的速率,判断当前下发安全策略的速率是否小于最大下发速率,如果是,则取得并下发最先存储的安全策略;否则,放弃下发安全策略。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括设置定时器及定时时长;则步骤B1中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
3.根据权利要求1或2所述的方法,其特征在于,该方法进一步包括设置未下发安全策略表,在步骤A1之前进一步包括a、将新产生的安全策略与未下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则在未下发安全策略表中,将与新产生安全策略相同的安全策略的阻断时间更新为新安全策略所携带的阻断时间;如果不存在,则执行步骤A1;步骤A1中所述存储为在未下发安全策略表中存储产生的安全策略。
4.根据权利要求3所述的方法,其特征在于,该方法进一步包括设置已下发安全策略表;步骤B1中取得最先存储的安全策略之后、下发取得的安全策略之前,进一步包括B11、将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
5.根据权利要求4所述的方法,其特征在于,在步骤B1之后,该方法进一步包括C1、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
6.根据权利要求5所述的方法,其特征在于,该方法进一步包括设置最大下发策略数,在步骤a之后、步骤A1之前,进一步包括判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,执行步骤A1。
7.根据权利要求6所述的方法,其特征在于,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
8.根据权利要求7所述的方法,其特征在于,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表和已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则将该条安全策略在它所在的安全策略表中删除。
9.根据权利要求1或2所述的方法,其特征在于,设置计数器,周期性不断存储已下发安全策略数,所述获得当前下发安全策略的速率为用存储的已下发安全策略数除以周期的大小。
10.根据权利要求1或2所述的方法,其特征在于,所述安全策略为联动规则。
11.根据权利要求8所述的方法,其特征在于,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述已下发安全策略表为已下发联动规则表;所述最大下发策略数为最大下发规则数。
12.一种下发安全策略的方法,其特征在于,设置未下发安全策略表,执行以下步骤A2、将根据每个攻击新产生的安全策略与未下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则在未下发安全策略表中,将与新产生安全策略相同的安全策略的阻断时间更新为新安全策略所携带的阻断时间;如果不存在,则在未下发安全策略表中存储当前新产生的安全策略;B2、当满足触发条件时,取得并下发最先存储的安全策略。
13.根据权利要求12所述的方法,其特征在于,该方法进一步包括设置定时器及定时时长;则步骤B2中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
14.根据权利要求12所述的方法,其特征在于,该方法进一步包括设置最大下发策略数,在步骤A2中,在向未下发安全策略表中存储当前新产生的安全策略之前,进一步包括判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,在未下发安全策略表中存储当前新产生的安全策略。
15.根据权利要求12、13或14所述的方法,其特征在于,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则在未下发安全策略表中将该条安全策略删除。
16.根据权利要求14所述的方法,其特征在于,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述最大下发策略数为最大下发规则数。
17.根据权利要求12、13或14所述的方法,其特征在于,设置已下发安全策略表;步骤B2中取得最先存储的安全策略之后、下发取得的安全策略之前,进一步包括B21、将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
18.根据权利要求17所述的方法,其特征在于,在步骤B2之后,该方法进一步包括C2、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
19.根据权利要求18所述的方法,其特征在于,该方法进一步包括设置最大下发策略数,在步骤A2中,在向未下发安全策略表中存储当前新产生的安全策略之前,进一步包括判断未下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则丢弃当前产生的新安全策略;否则,在未下发安全策略表中存储当前新产生的安全策略。
20.根据权利要求19所述的方法,其特征在于,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
21.根据权利要求20所述的方法,其特征在于,该方法进一步包括设置指定时间,每到指定时间将未下发安全策略表和已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则将该条安全策略在它所在的安全策略表中删除。
22.根据权利要求19所述的方法,其特征在于,所述安全策略为联动规则;所述未下发安全策略表为未下发联动规则表;所述已下发安全策略表为已下发联动规则表;所述最大下发策略数为最大下发规则数。
23.一种下发安全策略的方法,其特征在于,设置已下发安全策略表,执行以下步骤A3、存储根据每个攻击产生的新安全策略;B3、当满足触发条件时,取得最先存储的安全策略,并将取得的安全策略与已下发安全策略表中的安全策略进行比较,判断是否存在相同的安全策略,如果存在,则丢弃取得的安全策略;否则,下发取得的安全策略。
24.根据权利要求23所述的方法,其特征在于,该方法进一步包括设置定时器及定时时长;则步骤B3中,所述满足触发条件为存储了产生的新安全策略和定时器到达定时时长中至少一个。
25.根据权利要求23或24所述的方法,其特征在于,在步骤B3之后,该方法进一步包括C3、判断当前下发的安全策略是否下发成功,如果成功,则将当前下发的安全策略加入已下发安全策略表;否则,丢弃当前下发的安全策略。
26.根据权利要求25所述的方法,其特征在于,设置最大下发策略数,在取得最先存储的安全策略之前,进一步包括判断已下发安全策略表中的安全策略数是否已达到了最大下发策略数,如果是,则放弃下发安全策略;否则,取得最先存储的安全策略。
27.根据权利要求23所述的方法,其特征在于,该方法进一步包括设置指定时间,每到指定时间将已下发安全策略表中安全策略所携带的阻断时间减去指定时间,当安全策略所携带的阻断时间为零时,则在已下发安全策略表将该条安全策略删除。
全文摘要
本发明公开了一种下发安全策略的方法,设置最大下发速率,执行以下步骤A1、存储根据每个攻击产生的新安全策略;B1、当满足触发条件时,获得当前下发安全策略的速率,判断当前下发安全策略的速率是否小于最大下发速率,如果是,则取得并下发最先存储的安全策略;否则,放弃下发安全策略。同时,本发明还公开了另外两种下发安全策略的方法。本发明实现了控制安全检测设备下发安全策略的数量,使被检测设备不会因为大量下发的安全策略而不能正常运行,减少下发安全策略所占用的传输资源。不仅如此,本发明还通过对安全策略的有效聚合,实现了在安全策略有效的时间内,不重复下发相同的安全策略。
文档编号H04L29/06GK1777122SQ20051013184
公开日2006年5月24日 申请日期2005年12月15日 优先权日2005年12月15日
发明者汪翰林 申请人:杭州华为三康技术有限公司