专利名称:一种安全能力协商方法和系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种安全能力协商方法和系统。
背景技术:
随着网络的融合以及全IP化的发展趋势,安全问题越来越严重。同时,相应的各种各样的安全设备也层出不穷。目前,传统安全设备已经向大容量和高性能方向发展,主要应对网络层的安全威胁。各种各样的应用级安全设备和检测设备也被部署到网络中,用以抵御来自网络各个层面的安全威胁。 传统安全设备主要具有包过滤、NAT(Network Address Transfer,网络地址翻译)、防DDoS(Distribution Denial of service,分布式拒绝服务)攻击和防畸形报文攻击等基本功能,可以抵御来自网络层的安全威胁。随着网络的发展和网络应用的丰富,针对应用层的攻击技术发展迅速。而抵御这些应用层攻击的安全设备也随之出现,如IDS (Intrusion Detection System,入侵检测系统)、IPS (Intrusion Protection System,入侵防护系统)和UTM(UnifiedThreat Management,统一成胁管理)设备。
随着人们的安全保护意识越来越强烈,大大小小的安全设备被部署在网络的各个角落,加强了对网络的保护。但是,网络也越来越复杂,效率越来越低下。
SOC(Security Operation Center,安全运营中心)主要用于统一管理网络中各种各样的安全设备;S0C由"四个中心、五个功能模块"组成。四个中心分别为事件监控中心、漏洞评估中心、综合分析决策支持与预警中心和应急管理中心;五个功能模块分别为策略管理、资产管理、用户管理、安全知识管理和自身系统维护。 SOC只是对网络中的各种安全设备实现了统一管理和统一监控,提供各种安全分析报告,并未解决网络因引入大量安全设备而导致效率下降的问题。
发明内容
本发明旨在提供一种安全能力协商方法和系统,能够实现网络中安全能力的合理分配,解决网络因引入安全设备而导致效率下降的问题。 为了解决上述问题,本发明提供了一种安全能力协商方法,策略服务器获取安全
设备安全能力参数,为相互关联的安全设备建立安全能力关系数据库,并下发给安全设备
执行;所述相互关联的安全设备是指在策略服务器已经注册的安全设备。 进一步地,上述方法还可具有以下特点,所述策略服务器通过如下方式获取安全
设备安全能力参数安全设备向策略服务器注册,认证通过后向策略服务器上报安全设备
安全能力参数。 进一步地,上述方法还可具有以下特点,安全设备的安全能力参数更新或者有新安全设备加入时,策略服务器更新安全设备间的安全能力关系数据库,重新下发给安全设备执行。 进一步地,上述方法还可具有以下特点,所述策略服务器还检测安全设备是否退出,在安全设备退出时,删除该安全设备的安全能力参数数据库,向与该安全设备关联的其它安全设备发送安全能力关系数据库删除信息。 进一步地,上述方法还可具有以下特点,所述策略服务器通过如下方式检测安全设备是否退出 所述策略服务器定时发送检测报文给安全设备;如果安全设备连续指定次数未发送响应报文给策略服务器,则策略服务器判断所述安全设备退出。 进一步地,上述方法还可具有以下特点,所述策略服务器生成安全设备之间的安全能力关系数据库时,至少一方为具有控制功能的安全设备,且所述策略服务器只下发所述安全能力关系数据库给具有控制功能的安全设备。 进一步地,上述方法还可具有以下特点,所述策略服务器从其他策略服务器获取安全设备安全能力参数时,生成安全能力关系数据库后发送给其他策略服务器,由其他策略服务器下发给相应的安全设备执行。
—种安全能力协商系统,包括,策略服务器和安全设备,其中 所述策略服务器,用于获取安全设备的安全能力参数,为相互关联的安全设备建立安全能力关系数据库,并下发给安全设备执行;所述相互关联的安全设备是指在策略服务器已经注册的安全设备。 进一步地,上述系统还可具有以下特点,所述安全设备,还用于向策略服务器注册,认证通过后向策略服务器上报安全设备安全能力参数; 所述策略服务器,还用于接收安全设备上报的安全设备安全能力参数。 进一步地,上述系统还可具有以下特点,所述策略服务器,还用于在安全设备的安
全能力参数更新或者有安全设备加入时,更新安全设备间的安全能力关系数据库,重新下
发给安全设备执行。 进一步地,上述系统还可具有以下特点,所述策略服务器,还用于检测安全设备是否退出,在安全设备退出时,删除该安全设备的安全能力参数,向与该安全设备关联的其它安全设备发送安全能力关系数据库删除信息。 进一步地,上述系统还可具有以下特点,所述策略服务器通过如下方式检测安全设备是否退出 所述策略服务器定时发送检测报文给安全设备,如果安全设备连续指定次数未发送响应报文给策略服务器,则策略服务器判断所述安全设备退出。 进一步地,上述系统还可具有以下特点,所述策略服务器生成安全设备之间的安全能力关系数据库时,至少一方为具有控制功能的安全设备,且所述策略服务器只下发所述安全能力关系数据库给具有控制功能的安全设备。 进一步地,上述系统还可具有以下特点,所述系统中还包括其他策略服务器,所述
策略服务器,还用于从其他策略服务器获取安全设备安全能力参数,生成安全能力关系数
据库后发送给其他策略服务器,由其他策略服务器下发给相应的安全设备执行。 本发明提供的安全能力协商方法,与现有技术中只局限于将简单的安全策略发送
到安全设备去执行,并不考虑设备的安全能力,也不考虑安全设备之间的关系相比,本发明
中的策略服务器通过采集安全设备的安全能力参数,协商出安全设备之间的安全能力关
系,从而合理配置网络中安全能力,提高网络使用效率。
图1示出了根据本发明实施例的用于实现安全设备与策略服务器之间协议交互流程图; 图2示出了根据本发明实施例的用于实现安全能力协商的报文格式; 图3示出了根据本发明实施例的用于表示安全能力参数的格式; 图4示出了根据本发明实施例的用于优化安全设备之间的安全能力配置的安全
能力协商和执行过程; 图5示出了根据本发明实施例的用于异常流量检测的安全能力协商和执行过程;
图6示出了根据本发明实施例的用于实现跨策略服务器的安全能力参数协商。
具体实施例方式本发明提供了一种安全能力协商方法,包括以下步骤 1)安全设备向策略服务器注册; 2)策略服务器获取安全设备的安全能力参数; 其中,策略服务器获取安全设备的安全能力参数的方式如下安全设备在注册通
过后上报安全能力参数,和/或,从其他策略服务器获取安全设备的安全能力参数。
3)策略服务器对各安全设备的安全能力参数进行分析和优化,生成安全设备之间
的安全能力关系数据库,即为相互关联的安全设备生成安全能力关系数据库,并下发给相
关安全设备执行。相互关联的安全设备为在策略服务器已经注册的安全设备。 安全设备一般分两类, 一类为具备检测与控制的安全设备,典型的有防火墙,UTM
设备;另一类为只进行检测,不进行控制的安全设备,典型的有深度报文检测设备。 以上两类安全设备形成安全能力关系数据库的条件是至少有一方是具有控制功
能的安全设备,如防火墙。如果两者都是只具有检测功能的安全设备,则无需形成安全能力
关系数据库。 安全能力关系数据库通过策略服务器只下发给具有控制功能的安全设备,如防火墙;不下发到只具有检测功能的安全设备,如深度报文检测设备。 其中,安全能力关系数据库中包含安全设备之间的安全能力的优化信息、对方安全设备的基本信息中的一种或多种。 具体的优化配置存在多种情况,比如,多个安全设备之间的安全能力之间存在重
复功能时,对安全能力进行优化配置,确保同一安全功能不在不同的安全设备重复执行而
降低系统效率,又比如,存在多个同样安全设备时,进行各安全设备的负荷分担等。 其中,在系统运行过程中,策略服务器检测安全设备是否在线,在检测到安全设备
退出时,策略服务器需要删除该安全设备的安全能力参数数据库,同时也向与该安全设备
关联的其它安全设备发送安全能力关系数据库删除信息。 其中,安全设备的安全能力参数更新或者有新的安全设备加入时,策略服务器需
更新安全设备间的安全能力关系数据库,重新下发给相关安全设备执行。 下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释,
但不限于以下的实施例。
图1示出了根据本发明实施例的用于实现安全设备100与策略服务器110之间协议交互流程图,具体介绍如下 S10 :安全设备100向策略服务器110发送注册请求报文; S20 :策略服务器110对注册请求报文进行认证,如果通过,则建立该安全设备100的安全能力数据库,并返回OK (通过)报文给安全设备100,如果不通过,则返回Error (错误)报文给安全设备100 ; S30:如果收到0K报文,安全设备IOO将自身的安全能力参数发送到策略服务器
110 ; 需要说明的是,后续安全设备100自身的安全能力参数有更新时,也需要向策略服务器110发送自身更新过的安全能力参数。 S40 :如果收到安全设备100的安全能力参数,策略服务器IIO将为该安全设备100建立安全能力参数数据库,同时为该安全设备100与其它已经上报安全能力参数的安全设备建立安全能力关系数据库。然后,策略服务器iio将安全能力关系数据库发送到该安全设备100以及与其关联的其它安全设备。 安全能力关系数据库中包含安全能力优化信息,还可以包括对方安全设备的基本信息,如设备类别,安全能力等等。 如果策略服务器110收到安全设备100更新自身安全能力参数的报文,经分析处理后也向更新自身安全能力参数的安全设备100以及与其关联的安全设备发送安全能力关系数据库更新信息。 S50 :策略服务器110在管理安全设备100的过程中需要向安全设备100定时发送Ke印alive(保持存活)报文,用以探测安全设备100是否在线。 例如,策略服务器110每隔3秒向安全设备100发送一次Ke印alive报文,如果安全设备100连续3次未回复,则视该安全设备100为退出。如果安全设备100退出,策略服务器110需要删除该安全设备100的安全能力参数数据库,同时也向与该安全设备100关联的其它安全设备发送安全能力关系数据库删除信息; S60 :如果安全设备100在线,将会向策略服务器110发送Ke印alive回复报文,用以表示在线。 在上述图1所示描述中,步骤S10和S20描述了安全设备100向策略服务器110注册的过程,本发明并不对注册所选用的方法进行规定,可以选择共享密钥,第三方证书或者其它方式。 步骤S30和S40描述了安全设备100如何向策略服务器110上报自身的安全能力参数以及策略服务器110收集到安全设备100的安全能力参数后如何将与该安全设备100相关的安全能力关系数据库下发给安全设备100。 需要说明的是,在系统运行过程中,如果安全设备IOO有安全能力参数更新或者有新的安全设备加入,也将通过步骤S30和S40对安全能力参数和关系数据库进行更新。
在上述图1所示流程中,步骤S50和S60用于解释策略服务器110与安全设备100之间的Ke印alive机制。策略服务器110作为探测发起方,主动向其管理的安全设备100发送探测报文,如果收到对应的响应报文,则表示安全设备100在线;如果收不到对应的响应报文,则继续发送一定数量的探测报文给该安全设备ioo,在无响应报文达到一指定次数
7之后,判定该安全设备100已离线。 需要说明的是,本发明不对具体的Ke印alive机制做规定,使用者可以采用流行的"心跳机制",也可以采用其它机制实现。 图2所示为一个典型的安全能力协商报文格式,基于HTTP(HyperTextTransferProtocol,超文本传输协议),安全能力参数以XML(ExtensibleMarkup Language,可扩展标记语言)格式封装。Version(版本)字段200为版本号,用于区别该协议报文的版本。D字段210代表报文的方向,该字段值为"O"时表示该报文是安全设备向策略服务器发送安全能力参数的上送报文,该字段值为"1"表示该报文是策略服务器向安全设备下发安全能力关系数据库的下发报文。Type(类型)字段220则定义不同方向报文的具体类型,Type字段220取不同的值代表不同类型的报文,请见下表所述
D 210Type 220说明
00安全设备初次向策略服务器上送自身安全能力参数, 此时后面的XML封装了该安全设备的安全能力参数。
01安全设备向策略服务器更新自身安全能力参数,此时 后面的XML封装了该安全设备自身安全能力参数的更
新部分。
10策略服务器向安全设备下发安全能力关系数据库,后 面的XML封装了该安全设备与其它安全设备之间的安 全能力关系数据。
11策略服务器向安全设备下发安全能力关系数据库的更 新部分,后面的XML封装了该安全能力关系数据库的 更新内容。
12策略服务器向安全设备下发安全能力关系数据库删除 信息,后面的XML封装了待删除的安全能力关系数据 库名称。 图3所示为典型的安全能力参数格式例子。安全能力参数用XML格式封装,易于扩展。 Device—Type (设备类型)字段300为安全设备的类型, 一般安全设备的类型可以分为防火墙、UTM、IDS和深度报文检测设备等,前两者属于既有检测功能也有控制功能的安全设备类型;而后面两种则为只具有检测功能的安全设备类型。
8
Item(项目)字段310中的内容为安全能力参数,包括名称和具体的内容或者数值。如果图3中所示为URL过滤,其可过滤的URL(UniformResource Location,统一资源定位符)分别为www. abed. com. cn和www. efgh. com. cn。 图3所示只是安全能力参数的一个例子,其它安全能力参数可以按照例中的格式封装,也可以根据参数的实际情况进行扩展或者裁减。 图4所示是一个典型的端到端安全防护实施例,图中的用户A和用户B进行通信,均需各自经过安全设备A和安全设备B的安全检查。安全设备A和安全设备B都属于既有检测功能又有控制功能的安全设备,它们之间建立了 IPSec VPN(IP security VirtualPrivate Network,基于IP的安全虚拟专用网)隧道;安全设备A具备的安全能力有WEB内容过滤、HTTP地址过滤、防DDoS攻击和黑名单功能。安全设备B具备的安全能力有WEB内容过滤、黑名单和病毒防护功能。 安全设备A和安全设备B向策略服务器400注册,并分别上报自身安全能力参数。
策略服务器400收集到安全设备A和安全设备B的安全能力参数,为安全设备A和安全设备B分别建立安全能力参数数据库。如果安全设备A(或者安全设备B)先向策略服务器400注册,策略服务器400中除了安全设备A(或者安全设备B)的安全能力参数数据库,还没有其它安全设备的安全能力参数数据库。因此,策略服务器暂时无法生成安全设备A (或者安全设备B)与其它安全设备的安全能力关系数据库。 如图4所示,如果安全设备B (或者安全设备A)向策略服务器400注册时,策略服务器中已经有其它安全设备的安全能力参数数据库,则策略服务器400将为安全设备B (或者安全设备A)和其它安全设备建立安全能力关系数据库,并下发给安全设备B (或者安全设备A)以及与其关联的其它安全设备。 需要进一步说明的是安全能力关系数据库保存了经过策略服务器400对安全设备之间的安全能力参数进行的优化配置。例如用户A和用户B在安全设备A和安全设备B之间传输的报文,不再做重复的安全检查。在安全设备A,对报文进行HTTP地址过滤,防DDoS攻击和黑名单的安全检察;在安全设备B,对报文进行WEB内容过滤和病毒防护的安全检查,即: 安全设备A :,进行HTTP地址过滤,防DDoS攻击和黑名单安全检察,安全设备A具备的WEB内容过滤功能在安全设备B上执行,不再在安全设备A上重复执行;
安全设备B :进行WEB内容过滤和病毒防护,安全设备B具备的黑名单检查功能在安全设备A上执行,不再在安全设备B上重复执行。 从图4所示流程可以看出,通过安全能力协商,合理配置网络中的安全能力资源,可以解决现有网络中资源浪费导致效率下降的问题。 图5所示为一种用于深度报文检测的安全设备能力协商流程。策略服务器500中存放了与用户530有关的策略。用户530相关的策略定义为凡是源属于该用户530的HTTP报文流,均需要进行色情、暴力和游戏网站的检测,如果用户530访问的属于策略定义中的色情、暴力或者游戏网站,则需阻断该访问或者向用户530发送警告页面。如图5中所示,多业务安全网关520的主要功能有用户接入、ACL(Access Control List,访问控制列表)和防DdoS攻击等功能,深度报文检测设备510的主要功能有URL检测和HTTP报文内容检
多业务安全网关520和深度报文检测设备510分别向策略服务器500注册,并上报自身的安全能力参数; 策略服务器500收到多业务安全网关520和深度报文检测设备510的安全能力参数后,分别为多业务安全网关520和深度报文检测设备510建立安全能力参数数据库。如果多业务安全网关520(或者深度报文检测设备510)先向策略服务器500注册,而此时尚无其它安全设备的安全能力参数数据库,则策略服务器500暂不生成多业务安全网关520 (或者深度报文检测设备510)与其它安全设备的安全能力关系数据库,也不下发安全能力关系数据库给多业务安全网关520(或者深度报文检测设备510)。 如果策略服务器500中已经有其它安全设备的安全能力参数数据库。例如,多业务安全网关520已经先注册,现在深度报文检测设备510向策略服务器500注册。策略服务器500为深度报文检测设备510与多业务安全网关520建立安全能力关系数据库,该安全能力关系数据库包含深度报文检测设备的基本信息,如设备类型,安全能力,接口地址等,并下发给多业务安全网关520。由于深度报文检测设备510只具有检测功能,不具有控制功能,策略服务器500将不发送安全能力关系数据库给深度报文检测设备510。
在该实施例中,策略服务器500中还保存了用户530相关的策略。这些策略需要分别下发到多业务安全网关520和深度报文检测设备510。下发到多业务安全网关520的策略为通知其将接收到的属于该用户530的HTTP的报文流转发到深度报文检测设备510进行色情、暴力和游戏网站检测;下发到深度报文检测设备510的策略为通知其对用户530的HTTP报文进行色情、暴力和游戏网站检测,同时也要针对该用户530的HTTP报文跳过深度报文检测设备510中的其它检测项,如P2P(Peer to Peer,点对点)检测,用以提高检测效率。深度报文检测设备510检测完后将检测结果送到策略服务器500进行处理。
在该实施例中,深度报文检测设备510对于检测结果的处理有两种一是检测通过,深度报文检测设备510不向策略服务器500发送检测结果;二是检测不通过,例如深度报文检测设备510检测到用户530报文访问色情、暴力和游戏网站,则将检测结果(发现用户530报文访问色情、暴力或者游戏)和该报文流特征,如报文的源地址、目的地址、协议号、源端口和目的端口 ,发送到策略服务器500 。 在该实施例中,策略服务器500对检测结果的处理如下描述。如果策略服务器500收到深度报文检测设备510发来的检测结果和报文流特征,则策略服务器500根据检测结果查找到对应的策略中定义的执行项,然后将报文流特征和执行项发送到多业务安全网关520执行。例如,策略服务器500收到深度报文检测设备510的检测结果和报文流特征,检测结果为访问暴力网站,策略服务器500查找到访问暴力网站所对应的执行项为阻断访问,然后策略服务器500将该执行项以及报文流特征发送到多业务安全网关520,多业务安全网关520将该报文流阻断。 当在图5的基础上又有新的深度报文检测设备加入时,策略服务器可以更新安全
能力关系数据库,并同时对待分析的流量进行合理分配,达到负载均衡的效果。 从图5所示的流程可以看出,通过安全能力协商,可以统一调度网络中各种安全
设备,实现这些安全设备之间的合理配置,达到网络安全能力的优化效果。 图6所示的实施例是当安全能力参数来自策略服务器B时,这些安全能力参数对
策略服务器A以及安全设备A的影响。例如,图中所示策略服务器B可以与策略服务器A来自相同的网络域,也可以来自不同的网络域。策略服务器B中已存储有一些安全设备的安全能力参数数据库,策略服务器A中只有安全设备A的安全能力参数数据库。
在该实施例中,安全设备A向策略服务器A注册并上报自身安全能力参数。策略服务器A为安全设备A建立安全能力参数数据库。如果策略服务器A已经接收到来自策略服务器B发送过来的一组安全能力参数,例如包括了防火墙,UTM, IDS三台安全设备的安全能力参数。策略服务器A需要为这一组安全能力参数分别建立安全能力参数数据库,同时需要标明这些安全能力参数数据库来自其它策略服务器。策略服务器A为安全设备A与这一组安全设备建立安全能力关系数据库,并下发给安全设备A,同时也将这些安全能力关系数据库发送给策略服务器B。 需要说明的是,策略服务器A不直接维护来自其它策略服务器的安全能力参数数据库。例如,防火墙设备在策略服务器B上加入或者退出,都由策略服务器B维护其安全能力参数数据库的添加或删除,并由策略服务器B通知策略服务器A进行添加或删除。
需要说明的是,本发明不定义策略服务器A与策略服务器B之间的接口 。
权利要求
一种安全能力协商方法,其特征在于,策略服务器获取安全设备安全能力参数,为相互关联的安全设备建立安全能力关系数据库,并下发给安全设备执行;所述相互关联的安全设备是指在策略服务器已经注册的安全设备。
2. 如权利要求1所述的方法,其特征在于,所述策略服务器通过如下方式获取安全设 备安全能力参数安全设备向策略服务器注册,认证通过后向策略服务器上报安全设备安 全能力参数。
3. 如权利要求1所述的方法,其特征在于,安全设备的安全能力参数更新或者有新安 全设备加入时,策略服务器更新安全设备间的安全能力关系数据库,重新下发给安全设备 执行。
4. 如权利要求1所述的方法,其特征在于,所述策略服务器还检测安全设备是否退出, 在安全设备退出时,删除该安全设备的安全能力参数数据库,向与该安全设备关联的其它 安全设备发送安全能力关系数据库删除信息。
5. 如权利要求4所述方法,其特征在于,所述策略服务器通过如下方式检测安全设备 是否退出所述策略服务器定时发送检测报文给安全设备;如果安全设备连续指定次数未发送响 应报文给策略服务器,则策略服务器判断所述安全设备退出。
6. 如权利要求1所述的方法,其特征在于,所述策略服务器生成安全设备之间的安全 能力关系数据库时,至少一方为具有控制功能的安全设备,且所述策略服务器只下发所述 安全能力关系数据库给具有控制功能的安全设备。
7. 如权利要求1所述的方法,其特征在于,所述策略服务器从其他策略服务器获取安 全设备安全能力参数时,生成安全能力关系数据库后发送给其他策略服务器,由其他策略 服务器下发给相应的安全设备执行。
8. —种安全能力协商系统,其特征在于,包括,策略服务器和安全设备,其中 所述策略服务器,用于获取安全设备的安全能力参数,为相互关联的安全设备建立安全能力关系数据库,并下发给安全设备执行;所述相互关联的安全设备是指在策略服务 器已经注册的安全设备。
9. 如权利要求8所述的系统,其特征在于,所述安全设备,还用于向策略服务器注册,认证通过后向策略服务器上报安全设备安 全能力参数;所述策略服务器,还用于接收安全设备上报的安全设备安全能力参数。
10. 如权利要求8所述的系统,其特征在于,所述策略服务器,还用于在安全设备的安 全能力参数更新或者有安全设备加入时,更新安全设备间的安全能力关系数据库,重新下 发给安全设备执行。
11. 如权利要求8所述的系统,其特征在于,所述策略服务器,还用于检测安全设备是 否退出,在安全设备退出时,删除该安全设备的安全能力参数,向与该安全设备关联的其它 安全设备发送安全能力关系数据库删除信息。
12. 如权利要求11所述的系统,其特征在于,所述策略服务器通过如下方式检测安全 设备是否退出所述策略服务器定时发送检测报文给安全设备,如果安全设备连续指定次数未发送响应报文给策略服务器,则策略服务器判断所述安全设备退出。
13. 如权利要求8所述的系统,其特征在于,所述策略服务器生成安全设备之间的安全 能力关系数据库时,至少一方为具有控制功能的安全设备,且所述策略服务器只下发所述 安全能力关系数据库给具有控制功能的安全设备。
14. 如权利要求8所述的系统,其特征在于,所述系统中还包括其他策略服务器,所述 策略服务器,还用于从其他策略服务器获取安全设备安全能力参数,生成安全能力关系数 据库后发送给其他策略服务器,由其他策略服务器下发给相应的安全设备执行。
全文摘要
本发明提供了一种安全能力协商方法,策略服务器获取安全设备安全能力参数,为相互关联的安全设备建立安全能力关系数据库,并下发给安全设备执行;所述相互关联的安全设备是指在策略服务器已经注册的安全设备。本发明还提供了一种安全能力协商系统。本发明中的策略服务器通过采集安全设备的安全能力参数,协商出安全设备之间的安全能力关系,从而合理配置网络中安全能力,提高网络使用效率。
文档编号H04L9/00GK101729544SQ20091020344
公开日2010年6月9日 申请日期2009年5月21日 优先权日2009年5月21日
发明者滕志猛, 颜正清 申请人:中兴通讯股份有限公司