一种网络安全监控方法和系统的制作方法

一种网络安全监控方法和系统的制作方法
【专利摘要】本发明提供了一种网络安全监控方法和系统，涉及通信领域。本发明公开的网络安全监控系统包括：接入安全执行单元，发送携带有用户标识和/或网络地址的用户安全策略查询请求给安全策略引擎单元，从安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，为该用户执行该安全策略；安全策略引擎单元，接收用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应反馈所查询到的用户安全策略。本发明还公开了一种网络安全监控方法。本申请技术方案实现了网络用户的安全策略的执行。
【专利说明】一种网络安全监控方法和系统

【技术领域】
[0001]本发明涉及通信领域，尤其涉及网络安全领域中的访问控制、身份认证、数据监控方法和系统。

【背景技术】
[0002]互联网的发展初期以自由开放为特点，在促进社会进步、民主发展、经济繁荣的同时，也带来一些公共安全、网络安全方面的隐患。和真实社会中的种种约束相比，任何网络行为仅能追踪到某个IP (Internet Protocol互联网协议)地址，因此人们倾向于对自己的行为缺乏自律，有的甚至利用互联网实施犯罪行为。
[0003]随着互联网的发展，尤其是互联网用户数量、互联网应用的爆发式增长，和移动互联网的高速发展，对互联网的安全监管也提出了比较高的要求，既要保障互联网的公共安全和网络安全，又要保护用户的隐私安全。在互联网安全和个人隐私间如何权衡，各国都有所考量，比如中国提出了“前台匿名、后台实名”的策略。
[0004]为保障互联网的安全，基于安全策略实施网络安全监控和管理是一种常用的方法和技术，其中一种基于用户身份的技术需要按用户身份设置安全策略，但是网络用户在登入网络后经常被分配动态的网络地址，这给按用户设置安全策略带来了一定障碍。


【发明内容】

[0005]本发明所要解决的技术问题是，提供一种网络安全监控方法和系统，将终端用户的动态地址、用户的注册身份信息、用户的安全策略关联起来。
[0006]为了解决上述技术问题，本发明公开了一种网络安全监控系统，包括接入安全执行单元和安全策略引擎单元，其中:
[0007]所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元，以及从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略；
[0008]所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略。
[0009]较佳地，上述系统中，所述安全策略引擎单元，从本地的缓存数据中查询所提取的用户标识和/或网络地址对应的用户身份信息，或者向用户管理系统或其他的安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，并从所述用户管理系统或其他的安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
[0010]较佳地，上述系统还包括:
[0011]安全策略存储和管理单元，存储和管理用户身份信息与用户安全策略的对应关系;
[0012]所述安全策略引擎单元，通过所述安全策略存储和管理单元查询所述用户身份信息对应的用户安全策略。
[0013]较佳地，上述系统中，所述接入安全执行单元，还将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
[0014]本发明还公开了一种网络安全监控方法，包括:
[0015]当用户从终端接入网络时，网络安全监控系统获取该用户的网络地址或用户标识；
[0016]所述网络安全监控系统确定所述用户的网络地址或用户标识对应的用户身份信息，根据所述用户身份信息查询接入网络的用户的用户安全策略并为该用户执行该安全策略。
[0017]较佳地，上述方法中，所述网络安全监控系统包括接入安全执行单元和安全策略引擎单元，其中:
[0018]所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元；
[0019]所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略；
[0020]所述接入安全执行单元，从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略。
[0021]较佳地，上述方法中，所述安全策略引擎单元确定所述用户的网络地址或用户标识对应的用户身份信息指:
[0022]所述安全策略引擎单元从本地的缓存数据中查询所述用户标识和/或网络地址对应的用户身份信息；或者
[0023]所述安全策略引擎单元向用户管理系统或其他安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，从所述用户管理系统或其他安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
[0024]较佳地，上述方法中，所述安全策略引擎单元根据所述用户身份信息查询接入网络的用户的用户安全策略指:
[0025]所述安全策略引擎单元从本地或安全策略存储和管理系统中查询接入网络的用户的用户身份信息对应的用户安全策略。
[0026]较佳地，上述方法还包括:
[0027]所述网络安全监控系统将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
[0028]本申请技术方案针对网络用户在登入网络后通常被分配动态网络地址，且目前的网络监控系统难以按用户的真实注册身份分配安全策略实施安全监控的情况，将终端用户的动态地址、用户的注册身份信息、用户的安全策略关联起来，便于实现网络用户的安全策略的执行。

【专利附图】

【附图说明】
[0029]图1是本发明网络安全监控系统的系统结构图；
[0030]图2是本发明网络安全监控方法的流程图；
[0031]图3是本发明获得用户标识-网络地址映射的一种【具体实施方式】的流程图；
[0032]图4是本发明获得用户标识-网络地址映射的另一种【具体实施方式】的流程图；
[0033]图5是本发明获得用户标识-网络地址映射的另一种【具体实施方式】的流程图；
[0034]图6是本发明获得用户安全策略的流程图；
[0035]图7是本发明网络安全监控系统用于监控被接入用户数据的一种具体实施例的流程图；
[0036]图8是本发明网络安全监控系统用于监控被接入用户数据的另一种具体实施例的流程图；
[0037]图9是本发明网络安全监控系统用于监控被接入用户数据的另一种具体实施例的流程图。

【具体实施方式】
[0038]为使本发明的目的、技术方案和优点更加清楚明白，下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是，在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。
[0039]实施例1
[0040]本实施例提供一种网络安全监控系统，包括接入安全执行单元和安全策略引擎单
J Li ο
[0041]接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元，以及从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略；
[0042]其中，用户标识包括但不限于如下任一种:
[0043]手机号、固定电话号码、国际移动用户识别(IMSI)号码、国际移动设备识别(IMEI)号码、用户注册名、用户数字证书的使用者唯一标识。
[0044]网络地址包括但不限于如下任一种或任两种的组合:
[0045]互联网协议版本4 (IPv4)地址、互联网协议版本6 (IPv6)地址或网络前缀、传输控制协议(TCP)端口号。
[0046]另外，接入安全执行单元，还可以将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
[0047]安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略。
[0048]具体地，上述安全策略引擎单元，从本地的缓存数据中查询所提取的用户标识和/或网络地址对应的用户身份信息，或者向用户管理系统/其他的安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，并从用户管理系统/其他的安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
[0049]一些优选方案在上述系统架构的基础上，增加安全策略存储和管理单元，此时，网络安全监控系统的架构如图1所示，包括接入安全执行单元ASM101、安全策略引擎单元ISE102、安全策略存储和管理单元ISS103。
[0050]其中接入安全执行单元ASMlOl的主要功能是:
[0051]获得用户标识和网络地址的映射；所述用户标识包括但不限于手机号、固定电话号码、頂SI (国际移动用户识别码)号码、頂EI号码、用户注册名、用户数字证书的使用者唯一标识(Subject Unique Identifier)等能够唯一标识用户的字符串；所述网络地址包括但不限于IPv4地址、IPv6地址或网络前缀、TCP端口号等；
[0052]发送用户安全策略查询请求给ISE或用户管理系统，该用户安全策略查询请求中携带有用户标识和/或网络地址用以获取对应的用户安全策略；
[0053]根据收到的用户安全策略对用户终端和IP网络之间的用户网络数据实施用户的安全策略。
[0054]还可以在接入网关和IP网络之间透传、转发认证协议、地址分配协议等；还可以缓存已查询过的用户的安全策略；
[0055]还可以将用户网络数据的原始报文或相关信息，发送给数据分析中心，，以进行后续的分析、审计。
[0056]例如，ASM可以将用户网络数据的原始报文镜像发送给数据分析中心；或者将原始报文的源地址、目的地址、协议等发送给数据分析中心；或者对原始报文进行深度报文检测(DPI)，将检测结果，如访问的网页地址等，上报到数据分析中心。
[0057]安全策略引擎单元ISE102的主要功能是:接收接入安全执行单元ASM的用户安全策略查询请求，根据用户安全策略查询请求中的用户标识或网络地址确定接入网络的用户的身份信息(如用户身份证信息等安全信息)，通过用户身份信息查询对应的用户安全策略并反馈给接入安全执行单元；
[0058]可选地，安全策略引擎单元，发送用户安全策略检索信息查询请求(其中携带用户标识和/或网络地址)给用户管理系统或其他ISE，并接收来自用户管理系统或其他ISE的用户安全策略检索信息查询响应，其中包含用户安全策略检索信息(即为用户身份信息)；
[0059]发送用户安全策略查询请求(其中携带用户安全策略检索信息，即用户身份信息)给安全策略存储和管理单元ISS ；
[0060]接收来自安全策略存储和管理单元ISS的用户安全策略查询响应，其中包含用户安全策略；
[0061]发送用户安全策略查询响应给接入安全执行单元ASM。
[0062]还可以缓存用户安全策略。
[0063]安全策略存储和管理单元ISS103的主要功能是:
[0064]存储和管理用户的安全策略；
[0065]接收来自安全策略引擎单元ISE的用户安全策略查询请求；
[0066]发送包含用户安全策略的用户安全策略查询响应给安全策略引擎单元ISE。
[0067]实际应用中，上述接入安全执行单元和安全策略引擎单元可分别置于不同的网元中或集成在同一网元中实现。例如，接入安全执行单元可单独采用网络接入设备或网络安全设备等网元实现，如有线网络的网络接入设备中的宽带远程接入服务器BRAS (BroadbandRemote Access Server)、业务路由器SR (Service Router)、无线网络的核心网络接入设备中的GGSN(GatewayGPRS Support Node)、P-GW、现有网络安全设备中的深度报文检测设备 DPI (Deep Packet Inspect1n)、入侵防御系统 IPS (Intrus1n Prevent1nSystem)、防火墙FW(Firewall)、统一威胁管理设备UTM(Unified ThreatManagement)等，安全策略引擎单元可单独采用业务控制层设备(如综合业务管理平台ISMP)、用户管理设备(如HLR/HSS/AAA)等网元实现。接入安全执行单元和安全策略引擎单元也可同时置于网络接入设备或网络安全设备等网元中实现，如上面所述的BRAS、SR、GGSN、P-GW, DP1、IPS、FW、UTM等。
[0068]实施例2
[0069]本实施例提供一种网络安全监控方法，该方法包括如下操作:
[0070]当用户从终端接入网络时，网络安全监控系统获取该用户的网络地址或用户标识；
[0071]网络安全监控系统确定所述用户的网络地址或用户标识对应的用户身份信息，根据所述用户身份信息查询接入网络的用户的用户安全策略并为该用户执行该安全策略。
[0072]上述方法中涉及的网络安全监控系统可采用上述实施例1的架构，至少包括接入安全执行单元和安全策略引擎单元，其中:
[0073]接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给安全策略引擎单元；
[0074]安全策略引擎单元，接收接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向接入安全执行单元反馈所查询到的用户安全策略；
[0075]接入安全执行单元，从安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略。
[0076]其中，网络安全监控系统中的安全策略引擎单元确定所述用户的网络地址或用户标识对应的用户身份信息指:
[0077]安全策略引擎单元从本地的缓存数据中查询所述用户标识和/或网络地址对应的用户身份信息；或者向用户管理系统发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，从用户管理系统反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
[0078]安全策略引擎单元根据用户身份信息查询接入网络的用户的用户安全策略指:从本地或安全策略存储和管理系统中查询接入网络的用户的身份信息对应的用户安全策略。
[0079]实际应用中，上述接入安全执行单元和安全策略引擎单元可分别置于不同的网元中或集成在同一网元中实现。例如，接入安全执行单元可单独采用网络接入设备或网络安全设备等网元实现，如有线网络的网络接入设备中的宽带远程接入服务器BRAS (BroadbandRemote Access Server)、业务路由器SR (Service Router)、无线网络的核心网络接入设备中的GGSN(GatewayGPRS Support Node)、P-GW、现有网络安全设备中的深度报文检测设备 DPI (Deep Packet Inspect1n)、入侵防御系统 IPS (Intrus1n Prevent1nSystem)、防火墙FW(Firewall)、统一威胁管理设备UTM(Unified ThreatManagement)等，安全策略引擎单元可单独采用业务控制层设备(如综合业务管理平台ISMP)、用户管理设备(如HLR/HSS/AAA)等网元实现。接入安全执行单元和安全策略引擎单元也可同时置于网络接入设备或网络安全设备等网元中实现，如上面所述的BRAS、SR、GGSN、P-GW, DP1、IPS、FW、UTM等。
[0080]上述方法中所涉及的用户标识包括但不限于如下任一种或几种的组合:
[0081]手机号、固定电话号码、国际移动用户识别(IMSI)号码、国际移动设备识别(IMEI)号码、用户注册名、用户数字证书的使用者唯一标识。
[0082]上述网络地址包括但不限于如下任一种或两种的组合:
[0083]互联网协议版本4 (IPv4)地址、互联网协议版本6 (IPv6)地址或网络前缀、传输控制协议(TCP)端口号。
[0084]另外，在上述方法的基础上，网络安全监控系统还可以将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
[0085]下面结合【专利附图】

【附图说明】上述方法的具体实现过程。
[0086]图2所示为网络安全监控方法的整体流程。
[0087]步骤201:用户从终端接入网络，被分配网络地址，ASM获得用户标识-网络地址映射；
[0088]步骤202 =ASM获得用户安全策略；
[0089]其中，初始的安全策略是通过ISE从ISS获得，而后续的安全策略可以从本地的缓存数据中获得。步骤203:用户从终端通过接入网关访问IP网络，所有的流量都进入接入安全执行单元ASM。ASM对收到的用户数据报文判断是不是符合相应的安全策略；
[0090]步骤204:如果符合安全策略的用户数据，ASM进行转发；
[0091 ] 例如对于用户认证协议产生的数据报文，如RADIUS协议、Diameter协议，ASM予以放行，在用户终端和RADIUS/Diameter服务器之间转发；对于IP地址分配协议产生的数据报文，如动态主机配置协议DHCP，ASM也予以放行，在用户终端和DHCP服务器之间转发；
[0092]步骤205:对不符合安全策略的用户数据，ASM进一步处理，例如ASM可以将用户网络数据的原始报文镜像发送给数据分析中心；或者将原始报文的源地址、目的地址、协议等发送给数据分析中心；或者对原始报文进行深度报文检测(DPI)，将检测结果，如访问的网页地址等，上报到数据分析中心，以便进行后续的分析、审计。
[0093]这里对ASM处理用户数据的方法仅为举例说明，并不是为了限制可以采用的方法。具体实施中，对同一个用户的不同应用数据可以有多种不同的处理方法，对不同用户的相同应用数据也可以有多种不同的处理方法。
[0094]所述接入网关可以是交换机、路由器、各种网关，如GPRS网络中的GGSN(GatewayGPRS Support Node)网关、EPS (Evolved Packet System)网络中的 P-GW 网关、BRAS (Broadband Remote Access Server)、企业网关等。
[0095]如图3-图5所示，为ASM获得用户标识-网络地址映射的流程图。其中图3表示由接入网关为终端分配网络地址的情况下，ASM获得用户标识-网络地址映射的流程，具体步骤如下所示:
[0096]步骤301:终端接入网络，接入网关为终端分配网络地址；
[0097]步骤302:接入网关将用户标识-网络地址映射主动或应ASM的请求发送给ASM ；
[0098]图4表示由ASM为终端分配网络地址的情况下，ASM获得用户标识-网络地址映射的流程，具体步骤如下所示:
[0099]步骤401:终端接入网络；
[0100]步骤402:接入网关和ASM通过DHCP/RADIUS/Diameter协议协商终端的网络地址，ASM保存用户标识-网络地址映射；
[0101]图5表示由IP网络为终端分配网络地址的情况下，ASM获得用户标识-网络地址映射的流程，具体步骤如下所示:
[0102]步骤501:终端接入网络；
[0103]步骤502:接入网关和IP网络通过DHCP/RADIUS/Diameter协议协商终端的网络地址，ASM作为DHCP/RADIUS/Diameter协议的中继Relay或Server或Client,转发接入网关和IP网络的网络地址协商消息，从中获得并保存用户标识-网络地址映射；
[0104]如图6所示，是ASM从安全策略存储和管理单元ISS获得用户安全策略的流程。
[0105]步骤601:ASM获得用户标识和网络地址的映射后，把包含用户标识和/或网络地址的用户安全策略查询请求发送给ISE ；
[0106]步骤602:可选，ISE发送用户安全策略检索信息查询请求给用户管理系统或其他ISE ；
[0107]步骤603:可选，ISE接收来自用户管理系统或其他ISE的用户安全策略检索信息查询响应，其中包含用户安全策略检索信息(即用户身份信息)，如用户的身份证号；
[0108]步骤604 =ISE发送包含用户安全策略检索信息(如身份证号)的安全策略查询请求给安全策略存储和管理单元ISS ；
[0109]步骤605:1SE接收来自安全策略存储和管理单元ISS的用户安全策略查询响应，其中包含用户安全策略；
[0110]步骤606:1SE发送用户安全策略查询响应给接入安全执行单元ASM，其中包含用户安全策略。
[0111]上述用户安全策略的查询流程中，如果ASM本地查询到用户的安全策略已经被缓存，则可以省略其后的查询步骤；同样的，如果安全策略引擎ISE处查询到已缓存用户的安全策略，则可以省略其后的查询步骤。
[0112]如图7所示，是网络安全监控系统用于监控被接入用户数据流量一种具体实施例的流程图。该具体实施例中，ASM分别或同时获得被接入用户的安全策略和/或接入用户的身份后，根据被接入用户的安全策略和接入用户的身份做出一个决策，是否允许被接入用户获得涉及的数据流量，并据此决策执行。具体步骤如下:
[0113]步骤701:被接入用户收到的数据报文首先接入安全执行单元ASM ；
[0114]步骤702 =ASM根据被接入用户的网络地址，在本地查询被接入用户的安全策略，按照被接入用户的安全策略执行；如果本地没有查询到被接入用户的安全策略，向安全策略引擎单元ISE发送被接入用户安全策略查询请求，其中包含被接入用户的网络地址；
[0115]步骤703:ISE向用户管理系统发送被接入用户安全策略检索信息的查询请求，其中包含被接入用户的网络地址和/或接入用户的网络地址；
[0116]步骤704:用户管理系统向ISE返回被接入用户安全策略检索信息的查询响应，其中包含用于ISS查询被接入用户安全策略的检索信息，如被接入用户注册的身份证号码；
[0117]步骤705 =ISE向安全策略存储和管理单元ISS发送被接入用户安全策略查询请求，其中包含被接入用户安全策略检索信息；
[0118]步骤706 =ISS收到被接入用户安全策略检索信息后，根据其中的检索信息，如被接入用户的注册身份证号码、接入用户的注册身份证号码查询到被接入用户的安全策略，返回给ISE ；
[0119]步骤707 =ISE再将被接入用户安全策略转发给ASM。
[0120]可选地，与上述步骤702至步骤707同时或分别地，ASM从ISE获得接入用户的身份，具体步骤如下:
[0121]步骤712:ASM发送接入用户身份查询请求给ISE，其中包含接入用户的网络地址；
[0122]步骤713 =ISE如果在本地没有查询到接入用户身份，就将接入用户身份查询请求发送给其他的ISE，如接入用户注册地的ISE ；
[0123]步骤714:其他ISE向发起查询的ISE返回接入用户的身份信息，如身份证号；
[0124]步骤715 =ISE向ASM返回接入用户的身份信息。
[0125]如图8所示，是网络安全监控系统用于监控被接入用户数据流量另一种具体实施例的流程图。该具体实施例中，ISE分别或同时获得被接入用户的安全策略和/或接入用户的身份后，根据被接入用户的安全策略和接入用户的身份做出一个决策，是否允许被接入用户获得涉及的数据流量，将决策下发至ASM执行。具体步骤如下:
[0126]步骤801:被接入用户收到的数据报文首先接入安全执行单元ASM ；
[0127]步骤802:ASM根据被接入用户的网络地址和/或接入用户的网络地址，在本地查询被接入用户的安全策略，按照被接入用户的安全策略执行；如果本地没有查询到被接入用户的安全策略，向安全策略引擎单元ISE发送被接入用户安全策略查询请求，其中包含被接入用户和/或接入用户的网络地址；
[0128]步骤803 =ISE向用户管理系统发送被接入用户安全策略检索信息的查询请求，其中包含被接入用户的网络地址；
[0129]步骤804:用户管理系统向ISE返回被接入用户安全策略检索信息的查询响应，其中包含用于ISS查询被接入用户安全策略的检索信息，如被接入用户注册的身份证号码；
[0130]步骤805 =ISE向安全策略存储和管理单元ISS发送被接入用户安全策略查询请求，其中包含被接入用户安全策略检索信息；
[0131]步骤806 =ISS收到被接入用户安全策略检索信息后，根据其中的检索信息，如被接入用户的注册身份证号码，查询到被接入用户的安全策略，返回给ISE ;可选地，用户安全策略检索信息还可包含接入用户的注册身份证号码。
[0132]步骤807:至此ISE已经获得被接入用户的安全策略、接入用户的身份(可选)，根据它们做出一个决策，是否允许被接入用户获得涉及的数据流量，将决策下发给ASM。
[0133]可选地，与上述步骤803至步骤806同时或分别地，ISE在本地查询接入用户的身份，如果没有查询到，从其他ISE (如接入用户注册地的ISE)获得接入用户的身份，具体步骤如下:
[0134]步骤815:1SE发送接入用户身份查询请求给其他ISE，其中包含接入用户的网络地址；
[0135]步骤816:被查询ISE向发起查询的ISE返回接入用户的身份信息，如身份证号；
[0136]接下来，继续执行步骤807。
[0137]如图9所示，是网络安全监控系统用于监控被接入用户数据流量另一种具体实施例的流程图。该具体实施例中，ISS获得接入用户的身份后，根据被接入用户的安全策略和接入用户的身份做出一个决策，是否允许被接入用户获得涉及的数据流量，将决策通过ISE下发至ASM执行。具体步骤如下:
[0138]步骤901:被接入用户收到的数据报文首先接入安全执行单元ASM ；
[0139]步骤902:ASM根据被接入用户的网络地址和/或接入用户的网络地址，在本地查询被接入用户的安全策略，按照被接入用户的安全策略执行；如果本地没有查询到被接入用户的安全策略，向安全策略引擎单元ISE发送被接入用户安全策略查询请求，其中包含被接入用户和/或接入用户的网络地址；
[0140]步骤903 =ISE向用户管理系统发送被接入用户安全策略检索信息的查询请求，其中包含被接入用户的网络地址；
[0141]步骤904:用户管理系统向ISE返回被接入用户安全策略检索信息的查询响应，其中包含用于ISS查询被接入用户安全策略的检索信息，如被接入用户注册的身份证号码；
[0142]步骤905 =ISE向安全策略存储和管理单元ISS发送被接入用户安全策略查询请求，其中包含被接入用户安全策略检索信息和/或接入用户的身份信息；
[0143]步骤906 =ISS收到被接入用户安全策略检索信息后，根据其中的检索信息，如被接入用户的注册身份证号码查询到被接入用户的安全策略，根据用户安全策略和接入用户的身份信息(可选)做出一个决策，是否允许被接入用户获得所涉及的接入用户的数据流量，并把决策下发给ISE ；
[0144]步骤907 =ISE将收到的决策下发给ASM执行。
[0145]可选地，与上述步骤903至步骤904同时或分别地，ISE在本地查询接入用户的身份，如果没有查询到，从其他ISE (如接入用户注册地的ISE)获得接入用户的身份，具体步骤如下:
[0146]步骤913 =ISE发送接入用户身份查询请求给其他ISE，其中包含接入用户的网络地址；
[0147]步骤914:被查询ISE向发起查询的ISE返回接入用户身份信息，如身份证号；
[0148]接下来，继续执行步骤905至步骤907。
[0149]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
[0150]以上所述，仅为本发明的较佳实例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种网络安全监控系统，其特征在于，该系统包括接入安全执行单元和安全策略引擎单元，其中: 所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元，以及从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略； 所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略。
2.如权利要求1所述的系统，其特征在于， 所述安全策略引擎单元，从本地的缓存数据中查询所提取的用户标识和/或网络地址对应的用户身份信息，或者向用户管理系统或其他的安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，并从所述用户管理系统或其他的安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
3.如权利要求1所述的系统，其特征在于，该系统还包括: 安全策略存储和管理单元，存储和管理用户身份信息与用户安全策略的对应关系； 所述安全策略引擎单元，通过所述安全策略存储和管理单元查询所述用户身份信息对应的用户安全策略。
4.如权利要求1、2或3所述的系统，其特征在于， 所述接入安全执行单元，还将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
5.—种网络安全监控方法，其特征在于，该方法包括: 当用户从终端接入网络时，网络安全监控系统获取该用户的网络地址或用户标识； 所述网络安全监控系统确定所述用户的网络地址或用户标识对应的用户身份信息，根据所述用户身份信息查询接入网络的用户的用户安全策略并为该用户执行该安全策略。
6.如权利要求5所述的方法，其特征在于，所述网络安全监控系统包括接入安全执行单元和安全策略引擎单元，其中: 所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元； 所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略； 所述接入安全执行单元，从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略。
7.如权利要求6所述的方法，其特征在于，所述安全策略引擎单元确定所述用户的网络地址或用户标识对应的用户身份信息指: 所述安全策略引擎单元从本地的缓存数据中查询所述用户标识和/或网络地址对应的用户身份信息；或者 所述安全策略引擎单元向用户管理系统或其他安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，从所述用户管理系统或其他安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。
8.如权利要求6所述的方法，其特征在于，所述安全策略引擎单元根据所述用户身份信息查询接入网络的用户的用户安全策略指: 所述安全策略引擎单元从本地或安全策略存储和管理系统中查询接入网络的用户的用户身份信息对应的用户安全策略。
9.如权利要求6、7或8所述的方法，其特征在于，该方法还包括: 所述网络安全监控系统将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。
【文档编号】H04L29/06GK104253798SQ201310265337
【公开日】2014年12月31日 申请日期:2013年6月27日 优先权日:2013年6月27日
【发明者】滕志猛, 周苏静 申请人:中兴通讯股份有限公司