专利名称:网络安全策略分发方法、装置及系统的制作方法
技术领域:
本发明涉及通信网络安全技术领域,尤其涉及一种网络安全策略分发方法、装置
及系统。
背景技术:
随着因特网应用的快速增长,通信网络上的安全事件不断出现,各种非法窃取网 络资源、非法使用网络业务、拒绝服务、蠕虫、病毒、木马,甚至恶意攻击与破坏等事件也越 来越多。网络的不安全性给网络运营商、业务提供商及用户造成了巨大的损失,如何保证通 信网络自身的安全以及通信网络上用户信息的安全,已经成为网络设计与应用中的基本课 题。 针对各种网络入侵、计算机病毒、以及各种系统自身的缺陷和漏洞,目前已有各种 安全设备,比如,防火墙、入侵检测系统、身份认证、数据加密产品等。但是,这些产品仅能提 供一定的安全防护能力,只依靠这些设备,并不能全面地解决潜在的网络安全问题。因此, 一些设备供应商提出了自己的安全解决方案,如自防御网络(Self Defense Network,简称 为SDN)、安全联动协议等,这些解决方案的基本思路是在各种安全设备之间交换必要的安 全策略信息,从而达到整体防御的效果。 随着网络环境日益复杂化,在每个安全设备上分别单独配置安全策略已经无法满 足整个网络系统安全策略的需求;并且,由于各个厂家有自己特定的功能和独特的控制机 制,而没有统一的标准和规范,因此,各个不同厂家的安全产品不能很好协调运作,难以互 相整合,因而难以达到整体防御的效果,不能达到解除网络安全威胁的目的。
发明内容
有鉴于此,本发明提供了一种改进的网络安全策略分发方案,用以解决现有技术
中难以达到整体防御的效果,及不能达到解除网络安全威胁的目的的问题。 根据本发明的一个方面,提供了 一种网络安全策略分发系统。 根据本发明的网络安全策略分发系统包括安全策略系统、归属于安全策略系统 的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,资 源控制实体,用于在接收到通信请求时,向其归属的安全策略系统发送请求消息,其中,该 请求消息用于请求与上述通信请求相关的安全策略;安全策略系统,用于根据接收到的上 述请求消息,获取与上述通信请求相关的安全策略,并将上述安全策略发送给资源控制实 体。 根据本发明的另一个方面,提供了一种网络安全策略分发方法。根据本发明的网 络安全策略分发方法包括安全策略系统、归属于安全策略系统的一个或多个资源控制实 体、及分别归属每个资源控制实体的一个或多个通信实体的系统。 根据本发明的网络安全策略分发方法包括安全策略系统接收来自资源控制实体 的请求消息,其中,该请求消息用于请求与第一通信实体相关的安全策略,其中,第一通信
4实体归属于该资源控制实体;安全策略系统获取资源控制实体请求的安全策略,并将该安 全策略发送给资源控制实体。 根据本发明的又一个方面,提供了 一种网络安全策略分发装置。 根据本发明的网络安全策略分发装置包括存储模块、接收模块、获取模块和发送 模块。其中,存储模块,用于保存安全策略信息;接收模块,用于接收资源控制实体发送的请 求消息,其中,该请求消息用于请求与第一通信实体相关的安全策略;获取模块,用于获取 上述资源控制实体请求的安全策略;发送模块,用于将获取模块获取的安全策略发送给上 述资源控制实体。 通过本发明的上述至少一个方案,由安全策略系统存储安全策略信息,该安全策 略系统的管辖范围内包括一个或多个资源控制实体,在接收到归属于其下的资源控制实体 发送的请求消息时,安全策略系统将该资源控制实体请求的安全策略发送给该资源控制实 体,从而可以提高整体防御的效果,解除网络安全威胁。 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实
施例一起用于解释本发明,并不构成对本发明的限制。在附图中 图1为根据本发明实施例的网络安全策略分发系统的结构示意图; 图2为根据本发明优选实施例的网络安全策略分发系统的结构示意图; 图3为根据本发明实施例的网络安全策略分发装置的结构示意图; 图4为根据本发明实施例的网络安全策略分发方法的流程图; 图5为根据本发明实施例的系统框架示意图; 图6为实施例一的流程示意图; 图7为实施例二的流程示意图。
具体实施方式
功能概述 针对现有技术中的分别在每个安全设备上单独配置安全策略已无法满足整个网 络系统安全策略需求的问题,本发明实施例提供了一种改进的网络安全策略分发方案,在 本发明实施例的方案中,提出了一种由安全策略系统、资源控制实体和通信实体组成的系 统,在该系统中安全策略系统管理一个或多个资源控制实体,而一个资源控制实体负责一 个或多个通信实体的网络安全,在本发明实施例中,由安全策略系统统一存储和分发安全 策略,安全策略系统将安全策略分发给资源控制实体,资源控制实体根据安全策略系统分 发的安全策略,判断通信实体的通信。 在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。 以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实
施例仅用于说明和解释本发明,并不用于限定本发明。
系统实施例 根据本发明实施例,首先提供了一种网络安全策略分发系统。 图1为根据本发明实施例的网络安全策略分发系统的架构示意图。如图1所示, 根据本发明实施例的网络安全策略分发系统包括安全策略系统1 (安全策略系统的个数 可以为一个或多个,图中示出3个安全策略系统,即,安全策略系统l-l、安全策略系统1-2、 安全策略系统l-3)、归属于安全策略系统的一个或多个资源控制实体2(在图中只示出了 归属于一个安全策略系统的资源控制实体只有一个的情况,其中,归属于安全策略系统l-l 的为资源控制实体2-l、归属于安全策略系统l-2的为资源控制实体2-2)、分别归属每个资 源控制实体的一个或多个通信实体4(在图中,只示出了归属于一个资源控制实体的通信 实体只有一个的情况,其中,归属于资源控制实体2-l的为通信实体4-l、归属于资源控制 实体2-2为通信实体4-2),其中,通信实体4在发起通信请求时,该通信请求首先到达与之 连接的资源控制实体2,其中,该通信请求携带该通信实体请求与其他通信实体进行通信的 信息;资源控制实体2与通信实体4连接,用于在接收到通信实体4发送的通信请求时,向 其归属的安全策略系统1发送请求消息,其中,该请求消息用于请求与接收到的通信请求 相关的安全策略;安全策略系统1与资源控制实体2连接,用于根据接收到的上述请求消 息,获取与上述通信请求相关的安全策略,并将获取到的安全策略发送给资源控制实体2。
在具体应用中,资源控制实体2为传送层、业务层或应用层上的各种资源控制节 点,比如,位于传送层的接入网关、防火墙、路由器等。 通信实体4可以为网络中请求资源的各种用户终端设备,比如,企业网中的个人 电脑、移动网络中的移动终端等。通信实体4可以位于网络层,也可以位于业务层和应用层。 上述的三个安全策略系统中,可以存在有第三方的安全策略系统(图中为安全策 略系统l-3),第三方的安全策略系统存储的安全策略信息可以是不同运营商或不同网络共 享的、具有共性的一些安全策略,并且,第三方的安全策略系统可以只作为安全策略数据库 使用,而不用管理资源控制实体。 图2为根据本发明优选实施例的网络安全策略分发系统的架构示意图。如图2所 示,资源控制实体2可以进一步包括第一存储模块20,第一接收模块22,查找模块24,以 及第一发送模块26。 其中,第一存储模块20用于保存本地安全策略信息;第一接收模块22,用于接收 通信请求,其中,该通信请求由归属于资源控制实体4的通信实体4-l发送,该通信请求用 于通信实体4-1请求与通信实体4-2进行通信;或者,该通信请求由通信实体4-2发送,用 于通信实体4-2请求与通信实体4-1进行通信;查找模块24与第一存储模块20连接,用于 从第一存储模块20保存的本地安全策略信息查找与通信请求匹配的安全策略;第一发送 模块26,用于向安全策略系统发送请求消息。 具体地,第一存储模块20保存的为直接配置并保存在资源控制实体2上的安全策 略信息,该安全策略信息是针对已知的、明确的安全威胁的安全策略信息。查找模块24从 第一存储模块20保存的本地安全策略信息查找与通信请求匹配的安全策略,如果查找到, 则根据该安全策略判断通信实体4-1或通信实体4-2发起的上述通信请求是否符合该安全 策略;如果没有查找到,则触发第一发送模块26向安全策略系统1发送上述请求消息。
6
具体地,如图2所示,安全策略系统1可以进一步包括第二存储模块21、第二接 收模块23、获取模块25以及第二发送模块27。 其中,第二存储模块21,用于保存该安全策略系统管辖范围内的安全策略信息; 第二接收模块23,用于接收资源控制实体2发送的请求消息;获取模块25与第二接收模块 23连接,用于获取接收到的上述请求消息请求的安全策略;优选地,获取模块25可以在第 二存储模块21保存的安全策略信息中查找请求的安全策略。如果通信实体4-1与通信实 体4-2归属的资源控制实体2属于不同的安全策略系统1,且如果获取模块25从第二存储 模块21中没有查找到请求的安全策略,则获取模块25还用于与通信实体4-2归属的资源 控制实体所在的安全策略系统进行协商,获取请求的安全策略。第二发送模块27与获取模 块25连接,用于将获取模块25获取的安全策略发送给资源控制实体。
根据本发明实施例提供的上述网络安全策略分发系统,可以由安全策略系统统一 的存储和分发安全策略,从而提高整体防御的效果。
装置实施例 根据本发明实施例,还提供了一种网络安全策略分发装置。,该网络安全策略分发 装置可以作为图1或2中的安全策略系统应用在上述网络安全策略分发系统中。
图3为根据本发明实施例的网络安全策略分发装置的结构示意图,如图3所示,根 据本发明实施例的网络安全策略分发装置包括存储模块30、接收模块32、获取模块34及 发送模块36。其中,存储模块30用于保存安全策略信息;接收模块32,用于接收资源控制 实体发送的请求消息,其中,该请求消息用于请求与通信实体相关A的安全策略;获取模块 34与接收模块32连接,用于获取资源控制实体请求的安全策略;发送模块36与获取模块 34连接,用于将获取模块34获取的安全策略发送给资源控制实体。 具体地,获取模块34可以通过查找存储模块30中保存的安全策略信息获取资源 控制实体请求的安全策略,如果存储模块30中保存的安全策略信息没有与资源控制实体 请求相关的安全策略,且通信实体A请求通信的或请求与通信实体A进行通信的通信实体 B与通信实体A由不同的网络安全策略分发装置管理,则可以通过这两个装置相互协商,获 取相关的安全策略,因此,获取模块34可以进一步包括查找单元350和协商单元352。其 中,查找单元350用于在存储模块32保存的安全策略信息中查找上述安全策略;协商单元 352,用于与其它网络安全策略分发装置进行协商,获取安全策略,其中,该其它网络安全策 略分发装置为通信实体B归属的网络安全策略分发装置(即可以为图1或图2中的安全策 略系统)。 方法实施例 根据本发明实施例,还提供了一种网络安全策略分发方法。该方法应用于包括安 全策略系统、归属于所述安全策略系统的一个或多个资源控制实体、及分别归属每个资源 控制实体的一个或多个通信实体的系统。该方法可以由图1、图2或图3中的装置实现。
图4为根据本发明实施例的网络安全策略分发方法的流程图。如图4所示,根据 本发明实施例的网络安全策略分发方法包括以下步骤(步骤S401-步骤S403):
步骤S401 :安全策略系统接收来自资源控制实体的请求消息,其中,该请求消息 用于请求与通信实体A相关的安全策略,其中,该通信实体A归属于资源控制实体;
具体地,步骤S401可以通过以下方式之一触发
方式一 资源控制实体接收通信实体A发送的通信请求,其中,该通信请求用于通 信实体A请求与通信实体B进行通信,且,通信实体A和通信实体B归属于不同的资源控制 实体; 方式二 资源控制实体接收通信实体B归属的资源控制实体发送的通信请求,其 中,该通信请求用于请求通信实体B与通信实体A进行通信,且通信实体A和通信实体B归 属于不同的资源控制实体; 并且,资源控制实体在接收到上述方式一或方式二中的通信请求后,在向安全策 略系统发送上述请求消息之前,资源控制实体首先判断其本地存储的安全策略信息中是否 存在与通信请求匹配的安全策略,如果是,则根据本地存储的安全策略信息判断通信请求 是否符合安全策略的要求;否则,资源控制实体向其归属的安全策略系统发送请求消息。
其中,资源控制实体本地存储的安全策略是直接配置并保存的,与安全策略系统 中的策略不同的是资源控制实体本地存储的安全策略是针对已知的、明确的安全威胁,而 安全策略系统中的安全策略是在对资源控制实体上报的安全信息分析后动态生成的;
步骤S403 :安全策略系统获取安全策略,并将该安全策略发送给资源控制实体。
具体实施过程中,安全策略系统获取安全策略包括但不限于以下两种方式
方式一 安全策略系统从保存的安全策略信息中获取资源控制实体请求的安全策 略; 方式二 安全策略系统与通信实体B归属的安全策略系统进行协商,获取安全策 略,其中,通信实体A和通信实体B归属于不同的安全策略系统。 优选地,安全策略系统在获取安全策略时,首选方式一,在利用方式一获取不到安 全策略的情况下,再利用方式二获取安全策略。 通过本发明实施例的上述网络安全策略分发方法,可以统一的存储和分发安全策 略,因此可以达到整体防御的效果。 在具体应用中,可以将网络中具有相同安全保护需求、并相互信任的系统构成的 逻辑区域称作为一个安全域,每个安全域内部都有着类似的安全特性,如安全级别、安全威 胁、安全风险等。 图5为根据本发明实施例的网络安全控制框架,如图5所示,根据本发明实施例的 网络安全控制框架包括多个安全域(图中示出了 2个安全域安全域A和安全域B),其中, 每个安全域由一个网络安全策略分发系统构成。以下分别以同属于一个安全域的两个通信 实体A和B (在这种情况下,也可以称通信实体A和通信实体B归属于一个安全策略系统), 以及分别属于不同安全域的两个通信实体A和B (在这种情况下,也可以称通信实体A和通 信实体B归属于不同的安全策略系统)之间进行通信为例,对本发明实施例提供的上述网 络安全策略分发方法进行说明。
实施例一 在本实施例中,通信实体A和通信实体B分别归属于不同的资源控制实体A和B, 资源控制实体A和资源控制实体B同属于一个安全域A(即同归属于一个安全策略系统A)。
图6为本实施例中网络安全策略分发方法的流程示意图。如图6所示,本实施例 中网络安全策略分发主要包括以下步骤(步骤S601-步骤S617): 步骤S601 :通信实体A向资源控制实体A发出通信请求,请求与通信实体B进行
8通信; 步骤S603 :资源控制实体A检查其本地存储的安全策略信息,如果没有与通信实 体A此次通信请求相匹配的安全策略信息,则向安全策略系统A请求与通信实体A相关的 安全策略信息; 步骤S605 :安全策略系统A向资源控制实体A返回与通信实体A相关的安全策略
信息集SPl,其中,该安全策略信息集SP1包含一个或多个安全策略; 步骤S607 :资源控制实体A执行安全策略信息集合SP1中的可执行部分; 步骤S609 :资源控制实体A判定通信实体A发起的请求是否符合安全策略集SP1
要求,如果符合要求,则向资源控制实体B转发通信实体A的通信请求; 步骤S611 :资源控制实体B接收资源控制实体A转发的上述通信请求,检查其本
地存储的安全策略信息,如果没有与通信实体B相关的安全策略信息,则向安全策略系统A
请求与通信实体B相关的安全策略信息; 步骤S613 :安全策略系统A向资源控制实体B返回与通信实体B相关的安全策略
信息集SP2,其中,该安全策略信息集SP2包含一个或多个安全策略; 步骤S615 :资源控制实体B执行安全策略信息集SP2中的可执行部分; 步骤S617 :资源控制实体B判定通信实体A与通信实体B的通信是否符合安全策
略信息集SP2要求,如果符合要求,则通信实体A与通信实体B之间经协商后建立通信连
接。如果不符合安全策略信息集SP2要求,则通信实体B拒绝此次通信连接。 实施例二 在本实施例中,通信实体A和通信实体B分别归属于不同的资源控制实体A和B, 资源控制实体A和资源控制实体B分别归属于不同安全域(即归属于不同安全策略系统), 其中,资源控制实体A归属于安全域A (即归属于安全策略系统A),资源控制实体B归属于 安全域B (即归属于安全策略系统B)。 图7为本实施例中网络安全策略分发方法的流程示意图。如图7所示,本实施例 中网络安全策略分发主要包括以下步骤(步骤S701-步骤S719): 步骤S701 :位于安全域A中的通信实体A向资源控制实体A发出通信请求,请求 同位于安全域B中的通信实体B进行通信; 步骤S703 :资源控制实体A检查其存储的本地安全策略信息,如果没有与通信实 体A此次通信请求相匹配的安全策略,则向同一个安全域内的安全策略系统A请求与通信 实体A相关的安全策略信息; 步骤S705 :安全策略系统A向资源控制实体A返回与通信实体A相关的安全策略
信息集SPl,其中,该安全策略信息集SP1包括一个或多个安全策略信息; 步骤S707 :资源控制实体A执行安全策略信息集SP1中的可执行部分; 步骤S709 :资源控制实体A判定通信实体A发起的请求是否符合安全策略信息集
SP1要求,如果符合要求,则向位于安全域B内的资源控制实体B转发通信实体A的通信请
求; 步骤S711 :资源控制实体B检查其本地存储的安全策略信息,如果没有与通信实 体B相关的安全策略,则向同一个安全域内的安全策略系统B请求与通信实体B相关的安 全策略信息;
步骤S713 :在必要的情况下,安全策略系统B与安全策略系统A协商并决策是否
允许通信实体A与通信实体B之间的通信请求; 具体地,上述必要的情况包括但不限于以下至少之一 1.如果安全策略系统A或安全策略系统B在保存的安全策略信息中没有找到相关 的安全策略; 2.安全策略系统A与安全策略系统B获取的安全策略不一致; 3.安全策略系统A与安全策略系统B位于不同的运营商网络内,且在安全策略系
统中对不同运营商的通信实体之间的通信未做任何规定。 步骤S715 :安全策略系统B向资源控制实体B返回通信实体B相关的安全策略信
息集SP2,其中,该安全策略信息集SP2包括一个或多个安全策略信息; 步骤S717 :资源控制实体B执行安全策略信息集SP2中的可执行部分; 步骤S719 :资源控制实体B判定通信实体A与通信实体B的通信是否符合安全策
略集SP2要求,如果符合要求,则通信实体A与通信实体B之间经协商后建立通信连接。如
果不符合安全策略信息集SP2要求,则通信实体B拒绝此次通信连接。 如上所述,借助本发明实施例提供的技术方案,由一个网络安全策略分发系统架
构统一实现安全策略的存储和分发,在此架构内用一种统一集中安全策略系统管理配置网
络安全设备,确保安全策略在整体上的一致性,在面临安全威胁情况下,各种设备之间联合
协调发挥各自的作用,可以及时发现威胁,从而有效地阻止各种威胁的产生,提高整体防御
的效果,解除网络安全威胁,提高用户体验,保证网络运营商、业务提供商及用户的利益。 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技
术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修
改、等同替换、改进等,均应包含在本发明的保护范围之内。
10
权利要求
一种网络安全策略分发系统,其特征在于,包括安全策略系统、归属于所述安全策略系统的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,所述资源控制实体,用于在接收到通信请求时,向其归属的所述安全策略系统发送请求消息,其中,所述请求消息用于请求与所述通信请求相关的安全策略;所述安全策略系统,用于根据接收到的所述请求消息,获取与所述通信请求相关的所述安全策略,并将所述安全策略发送给所述资源控制实体。
2. 根据权利要求1所述的系统,其特征在于,所述资源控制实体,包括 第一存储模块,用于保存本地安全策略信息;第一接收模块,用于接收所述通信请求,其中,所述通信请求由归属于所述资源控制实 体的第一通信实体发送,用于所述第一通信实体请求与第二通信实体进行通信;或者,所 述通信请求由第二通信实体发送,用于所述第二通信实体请求与所述第一通信实体进行通 信;查找模块,用于从所述第一存储模块保存的所述本地安全策略信息查找与所述通信请 求匹配的安全策略;第一发送模块,用于向所述安全策略系统发送所述请求消息。
3. 根据权利要求2所述的系统,其特征在于,所述安全策略系统包括 第二存储模块,用于保存所述安全策略系统管辖范围内的安全策略信息; 第二接收模块,用于接收所述资源控制实体发送的所述请求消息; 获取模块,用于获取所述资源控制实体请求的所述安全策略;第二发送模块,用于将所述获取模块获取的所述安全策略发送给所述资源控制实体。
4. 根据权利要求3所述的系统,其特征在于,所述获取模块还用于在所述第二存储模 块保存的所述安全策略信息中查找所述安全策略。
5. 根据权利要求3或4所述的系统,其特征在于,所述第一通信实体与所述第二通信实 体归属的资源控制实体属于不同的安全策略系统;所述获取模块包括协商单元,用于与所述第二通信实体归属的资源控制实体所在的安全策略系统进行协 商,获取所述安全策略。
6. —种网络安全策略分发方法,应用于包括安全策略系统、归属于所述安全策略系统 的一个或多个资源控制实体、及分别归属每个资源控制实体的一个或多个通信实体的系 统,其特征在于,所述方法包括安全策略系统接收来自资源控制实体的请求消息,其中,所述请求消息用于请求与第 一通信实体相关的安全策略,其中,所述第一通信实体归属于所述资源控制实体;所述安全策略系统获取所述安全策略,并将所述安全策略发送给所述资源控制实体。
7. 根据权利要求6所述的方法,其特征在于,所述安全策略系统接收来自所述资源控 制实体的请求消息之前,所述方法还包括所述资源控制实体接收所述第一通信实体发送的通信请求,其中,所述通信请求用于 所述第一通信实体请求与第二通信实体进行通信;所述资源控制实体向所述安全策略系统发送所述请求消息;其中,所述第一通信实体和所述第二通信实体归属于不同的资源控制实体。
8. 根据权利要求7所述的方法,其特征在于,所述安全策略系统获取所述安全策略包括所述安全策略系统从保存的安全策略信息中获取所述安全策略信息;或者 所述安全策略系统与所述第二通信实体归属的安全策略系统进行协商,获取所述安全 策略,其中,所述第一通信实体和所述第二通信实体归属于不同的安全策略系统。
9. 根据权利要求6所述的方法,其特征在于,所述安全策略系统接收来自所述资源控 制实体的请求消息之前,所述方法还包括所述资源控制实体接收第二通信实体归属的资源控制实体发送的通信请求,其中,所 述通信请求用于所述第二通信实体请求与所述第一通信实体进行通信; 所述资源控制实体向所述安全策略系统发送所述请求消息; 其中,所述第一通信实体和所述第二通信实体归属于不同的资源控制实体。
10. 根据权利要求9所述的方法,其特征在于,所述安全策略系统获取所述安全策略包括所述安全策略系统从保存的安全策略信息中获取所述安全策略;或者 所述安全策略系统与所述第二通信实体归属的安全策略系统进行协商,获取所述安全 策略,其中,所述第一通信实体和所述第二通信实体归属于不同的安全策略系统。
11. 根据权利要求7至10中任一项所述的方法,其特征在于,向所述安全策略系统发送 所述请求消息包括所述资源控制实体判断其本地存储的安全策略信息中是否存在与所述通信请求匹配 的安全策略,如果是,则根据本地存储的所述安全策略信息判断所述通信请求是否符合安 全策略的要求;否则,所述资源控制实体向其归属的所述安全策略系统发送所述请求消息。
12. —种网络安全策略分发装置,其特征在于,包括 存储模块,用于保存安全策略信息;接收模块,用于接收资源控制实体发送的请求消息,其中,所述请求消息用于请求与第 一通信实体相关的安全策略;获取模块,用于获取所述资源控制实体请求的所述安全策略; 发送模块,用于将所述获取模块获取的所述安全策略发送给所述资源控制实体。
13. 根据权利要求12所述的装置,其特征在于,所述获取模块包括 查找单元,用于在所述存储模块保存的所述安全策略信息中查找所述安全策略; 协商单元,用于与其它网络安全策略分发装置进行协商,获取所述安全策略,其中,所述其它安全策略系统为第二通信实体归属的网络安全策略分发装置,其中,第二通信实体 为所述第一通信实体请求与之通信的通信实体,或者,所述第二通信实体为请求与所述第 一通信实体进行通信的通信实体。
全文摘要
本发明公开了一种网络安全策略分发方法、装置及系统。其中,上述网络安全策略分发系统包括安全策略系统、归属于安全策略系统的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,资源控制实体,用于在接收到通信请求时,向其归属的安全策略系统发送请求消息,其中,该请求消息用于请求与上述通信请求相关的安全策略;安全策略系统,用于根据接收到的上述请求消息,获取与上述通信请求相关的安全策略,并将上述安全策略发送给资源控制实体。通过本发明,可以提高网络的整体防御效果,解除网络安全威胁。
文档编号H04L29/06GK101729531SQ200910127580
公开日2010年6月9日 申请日期2009年3月16日 优先权日2009年3月16日
发明者滕志猛, 钱勇, 韦银星 申请人:中兴通讯股份有限公司