专利名称:由用户和设备管理网络接入安全策略的系统和方法
技术领域:
本发明涉及网络接入安全、入侵防御,具体地涉及用于网,入安全和周界(perimeter)控制的策略。
技术背景提供网^入给用户的服务提供商通常通过将网,入策略放置于适 当的位置并管理它,来实现网络的接入安全。适当配置的接入安全有助于 使得用户设备和网络二者免于恶意攻击和妄用。已经采取了各种方法来实现接入安全。 一种方法是针对整个公司或运 营商网络设定通用的过滤规则。这些规则或策略可以专用于业务类型、要 提供的指定服务或用户位置,但是不考虑受保护网络中的用户的身份和用 于接入的设备类型。许多当前应用感知的防火墙和IDS/IPS (入侵检测系 统/入侵防御系统)系统已经按照这个方法被开发出来。更为近期的管理安全性的方法是根据用户的身份和/或用户的责任来 设定安全策略。在通常存在不同规则的网络中,功能或特权特权被分配给 每个用户。因此,可以实现接入安全以便当用户接入网络时,用户被识别 并且与分配给该用户的所分配的规则、功能或特权相关联的策略因而被用 来提供适用于该用户的安全性。这种方法的例子是针对基于规则的或基于 用户的接入控制而使用ACL (接入控制列表)。授权的设备可以被若干不 同用户中的任一用户使用来接入网络。每个用户都受制于通过他或她的身 份确定的网络安全策略。图1A示出了这个原理。网,入设备10可以由 每个拥有不同身份的第一用户20、第二用户22或第三用户24使用来接入 网络5,并且可以具有不同的规则或特权.接入设备10通过通常是控制双向业务和接入的安全代理的安全策略执行点(SPEP ) 21来接入网络5。图 IB示出了利用通过SPEP 21耦合到网络5的若干不同接入i殳备10、 12和 14中的任一个接入网络5的单个用户20。不管用户4吏用哪个i殳备10、 12、 14来接入网络5,由于单个用户20总是维持相同的身份、相同的规则和相 同的特权,因此将应用相同的安全策略。与这些安全策略无关,例如基于 端口的接入控制802.1x或IMEI (国际移动设备识别码)的工具被用来识 别和/或认证被用来接入网络时的设备。不管网络接入安全策略执行的当前状态如何,如今的终端用户可以使 用连接到接入网的若干不同类型设备中的任一个。这些类型的设备包括例 如膝上型计算机、掌上计算机、平板个人计算机(PC )、个人数字助理(PDA ) 和台式计算机。这些设备中的每一个都具有唯一的不同硬件和软件配置并统。因此,每个设备都可能成为特定开采(exploit)和攻击的对象。这些 不同设备的性能彼此间可能也是相当不同的。户提供至网络的接入,并且当用户改变接入设备时理想地为用户接入动态 地提供安全性同时维持注册在安全策略执行点上的相同用户身份。已知的接入安全管理方法没有解决这样的情形,即终端用户在同一位 置以同一身份动态改变设备;例如,作为富出席概念架构内的用户在不同 操作系统间或PDA和PC间切换。不跟踪这些设备的改变的当前系统无法 获知它们的安全策略视角。通用的规则和策略或基于用户身份和他的已知提供适当的安全级别。例如,防火墙/过滤规则即使针对每个用户身份(即 相应地证书)是专用的,也没有考虑所使用的终端设备的类型;相反,它 们U于设备对于给定网段总是相同类型这一假设的(例如台式计算机)。 结果,如果没有被网络中的安全控制阻止,则当使用第一设备时有害的事 件、业务或终端用户的动作可能对于另一i殳备或对于服务是石皮坏性的。一 个例子^IJ艮务器(例如PC)和小型便携式网络支持的设备(例如PDA)之间的差异。PC每秒能够接收大量的SYN分组,而PDA会被PC能容易 地处理的相同业务量浸没。PDA安全策略可以设定对每秒接收的SYN分 组数目的限制,其远小于PC的PC安全策略中每秒接收的SYN分组的限 制。发明内容根据本发明的一个宽泛方面,提供了一种用于管理用户-设备接入安全 策略的系统,该系统包括具有相应设备证书的接入设备;和安全策略执 行点,其用于从所述接入设备接收用户证书和所述设备证书、利用所述用 户证书检索用户安全策略、利用所述设备证书检索设备安全策略、利用所 述用户安全策略和所述设备安全策略生成用户-设备安全策略、以及执行所 述用户-设备安全策略。在本发明的一些实施例中,所述设备证书包拾没备指示符,该指示符 包含设备类型、设备模型、设备配置和设备类别中的至少一个。在本发明的一些实施例中,所述用户证书在第一信息信道上从所述接 入设备被传送至所述安全策略执行管理器,并且所述设备证书在第二信息 信道上从所述安全i殳备被传送至所述安全策略执行管理器。在本发明的一些实施例中,所述安全策略执行点还包括用户策略模 块,用于从用户数据库检索所述用户安全策略;和PSDDSP (用于设定设 备相关的安全策略的点),用于从设备数据库检索所述设备安全策略。在本发明的一些实施例中,所述用户数据库包括对应于所述用户证书 的用户记录,所述用户记录包括与所述用户安全策略有关的信息,并且所 述设备数据库包括对应于所述设备证书的i殳备记录,所述设备记录包括与 所述设备安全策略有关的信息。在本发明的一些实施例中,所述用户-设备安全策略是通过组合所述用的。在本发明的一些实施例中,所述组合包括将所述用户安全规则添加到所述i殳备安全规则中以构成所述用户-设备策略的用户-设4*则的集合。根据另一个宽泛方面,本发明提供了一种用于管理用户-设备接入安全 策略的方法,该方法包括从接入设备发送用户证书和设备证书;在安全 策略执行点接收来自所述接入设备的所述用户证书和所述设备证书;利用 所述用户证书检索用户安全策略;利用所述设备证书检索设备安全策略; 利用所述用户安全策略和所述设备安全策略生成用户-设备安全策略;以及 执行所述用户-设备安全策略。在本发明的一些实施例中,所述设备证书包^i殳备指示符,该指示符 包^i殳备类型、设备模型、设备配置和设备类别中的至少一个。在本发明的一些实施例中,所述用户证书在第 一信息信道上从所述接 入设备被传送至所述安全策略执行管理器,并且所述设备证书在第二信息 信道上从所述安全^殳备被传送至所述安全策略执行管理器。在本发明的一些实施例中,所述检索所述用户安全策略包括由用户策 略模块从用户数据库检索所述用户安全策略,并且所述检索所述设备策略 包括由PSDDSP (用于设定设备相关的安全策略的点)从设备数据库检索 所述设备安全策略。在本发明的一些实施例中,所述用户数据库包括对应于所述用户证书 的用户记录,所述用户记录包括与所述用户安全策略有关的信息,并且所 述i殳备数据库包括对应于所述i殳备证书的设备记录,所述设备记录包括与 所述设备安全策略有关的信息。在本发明的一些实施例中,生成所述用户-设备安全策略包括组合所述 用户安全策略的用户安全规则与所述设备安全策略的设备安全规则。在本发明的一些实施例中,所述组合的步骤包括将所述用户安全规则 添加到所述设备安全规则中以构成所述用户-设备策略的用户-设备规则的 集合。
参考附图,通过阅读下面对优选实施例的详细描述,本发明的特征和图1A是说明由多个用户中的任一个通过单个设备利用已知方法接入 网络的一个例子的框图;图IB是说明由单个用户通过多个设备中的任一个利用已知方法接入 网络的一个例子的框图;图2是说明根据本发明优选实施例的由用户和设备进行网备接入安全 策略管理的框图;和图3是说明根据优选实施例的用于由用户和设备进行网洛接入安全策 略管理的方法的流程图。应当指出,在附图中,对于相同的部分^f吏用相同的标记。
具体实施方式
现在参考图2描述根据优选实施例的用于由用户和设备进行网洛接入 安全策略管理的系统。这个策略管理机制能够实现从一个用户接入设备至 另一个的动态移动,做出针对每个设备的合适的安全策略改变,同时使得 用户能够保持相同的身份。支持用户接入设备的动态改变需要动态地应用考虑了接入设备特性 的、接入网中各种不同安全机制(例如过滤规则、接入控制、入侵检测标 准、业务管理)的策略。这些特性可以包括性能、所安装的软件、关联的 硬件、操作系统和协议、以及该特定类型的设备所固有的特定安全漏洞。 当用户在具有十分不同的能力的接入设备之间切换时也需要动态的安全策 略,例如当用户为接入网络而在PC和PDA之间切换时。现在将从结构方面描述如图2所示的用于由用户和设备进行网络接入 安全策略管理的系统。用户120使用接入设备110来接入网络105。接入 设备110经由安全策略执行点(SPEP ) 210耦合到网络105。 SPEP 210控 制双向的业务和接入,其可以是防火墙、IDS (入侵检测系统)。SBC (会 话边界控制器)、任何其他类型的安全代理。安全策略执行点210具有关 联的用户策略模块220和PSDDSP (用于设定设备相关的安全策略的点)230。在安全策略执行点210和设备110之间的业务中,是第一信息信道 225、数据信道215和第二信息信道235。第一信息信道225和第二信息信 道235 二者都是从接入设备110到SPEP 210的安全通信信道。用户策略 模块220能够访问用户数据库250,而PSDDSP 230能够访问设备数据库 260。现在将从功能方面描述如图2所示的用于由用户和设备进行网,入 安全策略管理的系统。用户120通过接入设备110接入网络105。用户证 书125因而在第一信息信道225上被转发至SPEP 210。 SPEP 210分析在 第一信息信道225上接收到用户证书125。该SPEP使用用户策略模块220 来确定经由SPEP 210的用户接入的用户安全策略。策略模块220访问用 户数据库250以认证用户证书并查找与要在用户接入网络105时执行的用 户安全策略的用户安全规则相关联的身份、规则和/或服务。接入设备110在第二信息信道235上将设备证书传送给SPEP 210。该 设备证书包括指示了接入设备的类型、模型、配置或类别的设备指示符。 SPEP 210的PSDDSP 230使用该设备证书来搜索设备数据库260。设备数 据库260包含针对每个定义的设备类型、设备模型、设备配置和设备类别 的记录。该数据库中的每个记录包含要在通过设备的类型、模型、配置或 类别来请求接入时所使用的安全策略考虑或设备安全规则,包括安全参数 (限制、阈值、签名等)、风险和该记录所对应的特定类型、模型、配置 或类别的"i殳备所固有的安全漏洞。设备数据库260可以位于SPEP 210的 远端或本地。在检索了包含于与接入设备类型、模型、配置或类别相对应的记录中 的信息之后,PSDDSP 230然后形成对设备策略的需求,并且针对接入设 备110所参与的务活而执行对SPEP 210的安全控制的调整。这些对所执 行的安全策略的调整是通过从设备数据库260中检索到的控制或设备安全 规则来被确定的,并且可以包括限制进入业务的速率或类型、查找攻击签 名、设定警告阈值以及其他专用于接入设备IIO的控制。对SPEP 120中 的安全策略进行这些修改所产生的安全策略称作用户-设备安全策略。优选地,简单地通过将关联于用户安全策略的用户安全规则添加到关联于设备安全策略的设备安全规则中来组合用户和设备策略。PSDDSP 230和SPEP 210可以使用例如MIDCOM框架的协议来传送并执行用户-设备安全策 略。一旦用户-设备安全策略已经针对通信会话而被建立,就对接入设备 110与网络105之间的数据信道215上传送的业务执行该用户-设备安全策略o由PSDDSP 230做出的修改特别地用于这样的情况,即用户和设备组 合更改成不同的i殳备和同一用户的组合。图2所示的实施例完整地设想了 这样的动态情形,即用户可以在不同设备之间以同一用户证书切换。这种 动态接入的示例性背景是用户接入所谓的富出席框架。在富出席框架中, 富出席服务器注册每个设备并且跟踪和协调设备的状态和使用,其中用户 通常改变所使用的接入设备。在一些实施例中,安全策略不包括任何详细的用户相关的安全策略, 而是使用PSDDSP 230来修改安全策略的通用或公共集合,从而基于所提 供的设备证书来考虑设备相关的安全策略考虑。这通常仍关联于用户的认 证。现在参考图3描述根据优选实施例的用于由用户和设备进行网络接入 安全策略管理的方法。在步骤400,在用户已输入他或她的用户证书到接 入设备中之后,该接入设备在开始进行会话时发送用户和设备证书至 SPEP。在步骤410, SPEP的用户策略模块接收该用户证书,而在步骤420 中,PSDDSP (用于设定设备相关的安全策略的点)接收该设备证书。在 步骤430,用户策略才莫块针对对应于该用户的用户安全策略而搜索用户数 据库,而在步骤440中,PSDDSP针对对应于该接入设备的设备安全策略 而搜索设备数据库。在步骤450, SPEP按照该用户安全策略而设定安全策 略,然后在步骤460中,SPEP修改该安全策略以纳入该设备安全策略, 从而生成用户-设备安全策略。优选地,简单地通过将关联于用户安全策略 的用户安4^0'j添加到关联于设备安全策略的设备安全规则中来组合用户和设备策略。 一旦用户-设备安全策略就位,SPEP就可以执行其功能以执 行考虑了用户策略和设备策略二者的安全。在示例性实施例中,顺序地执 行策略,其中用户安全策略首先被执行而设备安全策略最后被执行。当用户从一个设备切换至另 一个设备时可以执行这个网络接入安全策 略管理方法,在该情况下,网络通信会话保持激活并且从旧接入设备平滑 地转移至新接入i殳备。 一个例子是从旧设备至新设备的分組隧道传送,这 发生于IP移动性框架内。在这种情况下,会话转移触发了新接入设备与 PSDDSP的通信。应当理解,在这个方法中,步骤410至420可以以相反的顺序执行, 步骤430和440也同样。所说明的实施例仅是示例性的,并且本领域技术人员应当认识到,可 以在不脱离本发明精神的前提下实现上述实施例的变型。本发明的范围仅 由所附权利要求来限定。
权利要求
1.一种用于管理用户-设备接入安全策略的系统,该系统包括接入设备,其具有相应的设备证书;和安全策略执行点,用于从所述接入设备接收用户证书和所述设备证书、利用所述用户证书检索用户安全策略、利用所述设备证书检索设备安全策略、利用所述用户安全策略和所述设备安全策略生成用户-设备安全策略、以及执行所述用户-设备安全策略。
2. 根据权利要求1所述的用于管理用户-设备接入安全策略 的系统,其中,所述设备证书包括设备指示符,该设备指示符包 含设备类型、设备模型、设备配置和设备类别中的至少一个。
3. 根据权利要求2所述的用于管理用户-设备接入安全策略 的系统,其中,所述用户证书在第一信息信道上从所述接入设备 被传送至所述安全策略执行管理器,而所述设备证书在第二信息 信道上从所述接入设备被传送至所述安全策略执行管理器。
4. 根据权利要求2所述的用于管理用户-设备接入安全策略 的系统,其中,所述安全策略执行点还包括用于从用户数据库 检索所述用户安全策略的用户策略模块,和用于从设备数据库检 索所述设备安全策略的PSDDSP (用于设定设备相关的安全策略 的点)。
5. 根据权利要求4所述的用于管理用户-设备接入安全策略 的系统,其中,所述用户数据库包括对应于所述用户证书的用户 记录,所述用户记录包括与所述用户安全策略有关的信息,并且 所述设备数据库包括对应于所述设备证书的设备记录,所述设备 记录包括与所述设备安全策略有关的信息。
6. 根据权利要求1所述的用于管理用户-设备接入安全策略的系统,其中,所述用户-设备安全策略是通过组合所述用户安全 策略的用户安全规则与所述设备安全策略的设备安全规则来生成 的。
7. 根据权利要求6所述的用于管理用户-设备接入安全策略 的系统,其中,所述组合包括将所述用户安全规则添加到所述设 备安全规则中以构成所述用户-设备策略的用户-设备规则的集合。
8. —种用于管理用户-设备接入安全策略的方法,该方法包括'.从接入设备发送用户证书和设备证书;在安全策略执行点接收来自所述接入设备的所述用户证 书和所述设备证书;利用所述用户证书检索用户安全策略;利用所述设备证书检索设备安全策略;利用所述用户安全策略和所述设备安全策略生成用户-设备安全策略;和执行所述用户-设备安全策略。
9. 根据权利要求8所述的用于管理用户-设备接入安全策略 的方法,其中,所述设备证书包括设备指示符,该设备指示符包 含设备类型、设备模型、设备配置和设备类别中的至少一个。
10. 根据权利要求9所述的用于管理用户-设备接入安全策略 的方法,其中,所述用户证书在第一信息信道上从所述接入设备 被传送至所述安全策略执行管理器,并且所述设备证书在第二信 息信道上从所述接入设备被传送至所述安全策略执行管理器。
11. 根据权利要求9所述的用于管理用户-设备接入安全策略 的方法,其中,对所述用户安全策略的所述检索包括由用户策略 模块检索从用户数据库检索所述用户安全策略,并且对所述设备 策略的检索包括由PSDDSP (用于设定设备相关的安全策略的点) 从设备数据库检索所述设备安全策略。
12. 根据权利要求11所述的用于管理用户-设备接入安全策 略的方法,其中,所述用户数据库包括对应于所述用户证书的用 户记录,所述用户记录包括与所述用户安全策略有关的信息,并 且所述设备数据库包括对应于所述设备证书的设备记录,所述设 备记录包括与所述设备安全策略有关的信息。
13. 根据权利要求8所述的用于管理用户-设备接入安全策略 的方法,其中,生成所述用户-设备安全策略包括组合所述用户安 全策略的用户安全规则与所述设备安全策略的设备安全规则。
14. 根据权利要求13所述的用于管理用户-设备接入安全策 略的方法,其中,所述组合的步骤包括将所述用户安全规则添加 到所述设备安全规则中以构成所述用户-设备策略的用户-设备规 则的集合。
全文摘要
提供了用于由用户和设备管理接入安全的系统和方法。安全策略执行点具有用于从用户的接入设备接收用户证书的用户策略模块以及用于从接入设备接收设备证书的设定设备相关的安全策略的点。利用用户证书从用户数据库检索用户策略,而利用设备证书从设备数据库检索设备策略。用户策略和设备策略被组合并被用在SPEP中以执行基于用户和设备的安全策略。
文档编号H04L29/06GK101601257SQ200880003990
公开日2009年12月9日 申请日期2008年2月7日 优先权日2007年2月9日
发明者D·维诺库罗夫, V·K·乔伊 申请人:阿尔卡特朗讯公司