安全策略共享方法和安全策略共享系统与流程

本发明涉及物联网技术领域，特别涉及一种安全策略共享方法和安全策略共享系统。

背景技术

安全防护本身是一种概率事件，我们无法预知设备何时会遭遇非法攻击。所以一般的终端防护方式都是在终端上同时安装或配备多种安全策略来保障设备安全，设备一旦遭遇非法攻击，可及时进行防御。也就是说，对于终端来讲，无论是否出现安全风险，都必须配备相关防御措施以防备随时可能发生的风险。物联网终端可配置的安全策略有很多，如病毒木马查杀、ddos攻击防御、行为分析、实时告警等；

由于安全风险越来越多，对终端的防御手段也要增加，因此各终端设备上所需要堆叠(安装/配置)的安全策略越来越多；然而，由于物联网中的终端设备数量是海量的，且终端分布区域广，逐个向各终端设备配置安全策略，需要花费较高的成本；此外，由于物联网中还存在窄带通信的问题，在通过网络向终端设备配置安全策略时，会加大带宽的损耗，给物联网终端应用带来更大的负担。

技术实现要素：

本发明旨在至少解决现有技术中存在的技术问题之一，提出了一种安全策略共享方法和安全策略共享系统

为实现上述目的，本发明提供了一种安全策略共享方法，包括：

客户终端向共享服务终端发送共享查询请求；

共享服务终端根据所述共享查询请求，向所述客户终端反馈安全策略列表和共享规则，所述安全策略列表中记载有所述共享服务终端可提供的全部安全策略的选项，所述共享规则中记载有其他终端设备能够享受所述共享服务终端所提供的共享服务时所需满足的相关条件；

所述客户终端根据接收到的所述安全策略列表和所述共享规则选择所需的安全策略，并向所述共享服务终端发送共享使用请求，所述共享使用请求包括：所述客户终端的终端信息和所述客户终端所选择的安全策略的选项；

所述共享服务终端根据所述共享规则和所述客户终端的终端信息，判断所述共享服务终端当前是否可为所述客户终端提供共享服务；

当判断出所述共享服务终端当前可为所述客户终端提供共享服务时，所述共享服务终端根据所述客户终端所选择的安全策略和所述共享服务终端自身的运行状况，确定所述共享服务终端当前实际可提供的安全策略，并向所述客户终端发送共享确认请求，所述共享确认请求中记载有所述共享服务终端当前实际可提供的安全策略；

在所述客户终端确认使用所述共享确认请求中的安全策略时，所述客户终端创建临时授权，并将授权信息发送至所述共享服务终端；

所述共享服务终端根据所述授权信息向所述客户终端提供相应的安全策略。

可选地，还包括：

在所述共享服务终端接入至内网时，控制中心询问所述共享服务终端是否开启安全策略共享服务，并在所述共享服务终端同意开启安全策略共享服务时，所述控制中心为所述共享服务终端创建共享服务节点信息，所述共享服务节点信息包括：所述共享服务终端的身份标识信息；

所述控制中心将所述共享服务终端的身份标识信息在内网中进行广播。

可选地，所述共享服务节点信息还包括：所述共享服务终端所对应的非对称会话密钥对，所述非对称会话密钥对包括：会话公钥和会话私钥；

所述控制中心将所述共享服务终端的身份标识信息在内网中进行广播的同时，还包括：

所述控制中心将所述共享服务终端对应的会话公钥进行广播，以及将所述共享服务终端对应的会话私钥发送至所述共享服务终端。

可选地，所述客户终端将授权信息发送至所述共享服务终端之前，还包括：

所述客户终端采用所述共享服务终端对应的会话公钥对所述授权信息进行加密；

所述共享服务终端根据所述授权信息向所述客户终端提供相应的安全策略的步骤之前，还包括：

所述共享服务终端根据其自身的会话私钥对所述客户端所发送的授权信息进行解密。

可选地，所述共享服务终端根据所述授权信息向所述客户终端提供相应的安全策略的步骤之后，还包括：

在达到授权期限后，所述共享服务终端向客户终端反馈安全策略共享期间的检测报告；

所述客户终端回收临时授权，且将所述客户终端的设备信息、所述共享服务终端的设备信息、所述客户终端所使用的安全策略和所述检测报告打包为共享服务纪录信息，并将所述共享服务纪录信息在内网中广播。

为实现上述目的，本发明还提供了一种安全策略共享系统，包括：客户终端和共享服务终端，其中，客户终端包括：第一发送模块、第二发送模块和授权模块，所述共享服务终端包括：第一反馈模块、判断模块、确定模块和共享模块；

所述第一发送模块，用于向共享服务终端发送共享查询请求；

所述第一反馈模块，用于根据所述共享查询请求，向所述客户终端反馈安全策略列表和共享规则，所述安全策略列表中记载有所述共享服务终端可提供的全部安全策略的选项，所述共享规则中记载有其他终端设备能够享受所述共享服务终端所提供的共享服务时所需满足的相关条件；

所述第二发送模块，用于根据接收到的所述安全策略列表和所述共享规则选择所需的安全策略，并向所述共享服务终端发送共享使用请求，所述共享使用请求包括：所述客户终端的终端信息和所述客户终端所选择的安全策略的选项；

所述判断模块，用于根据所述共享规则和所述客户终端的终端信息，判断所述共享服务终端当前是否可为所述客户终端提供共享服务；

所述确定模块，用于当所述判断模块判断出所述共享服务终端当前可为所述客户终端提供共享服务时，根据所述客户终端所选择的安全策略和所述共享服务终端自身的运行状况，确定所述共享服务终端当前实际可提供的安全策略，并向所述客户终端发送共享确认请求，所述共享确认请求中记载有所述共享服务终端当前实际可提供的安全策略；

所述授权模块，用于在所述客户终端确认使用所述共享确认请求中的安全策略时，创建临时授权，并将授权信息发送至所述共享服务终端；

所述共享模块，用于根据所述授权信息向所述客户终端提供相应的安全策略。

可选地，还包括：控制中心；

所述控制中心包括：询问模块、节点信息创建模块和第一广播模块；

询问模块，用于在所述共享服务终端接入至内网时，询问所述共享服务终端是否开启安全策略共享服务；

节点信息创建模块，用于在所述共享服务终端同意开启安全策略共享服务时，为所述共享服务终端创建共享服务节点信息，所述共享服务节点信息包括：所述共享服务终端的身份标识信息；

第一广播模块，用于将所述共享服务终端的身份标识信息在内网中进行广播。

可选地，，所述共享服务节点信息还包括：所述共享服务终端所对应的非对称会话密钥对，所述非对称会话密钥对包括：会话公钥和会话私钥；

所述广播模块还用于将所述共享服务终端对应的会话公钥进行广播；

所述控制中心还包括：第三发送模块；

所述第三发送模块，用于将所述共享服务终端对应的会话私钥发送至所述共享服务终端。

可选地，所述客户终端还包括：加密模块；

所述加密模块，用于在所述授权模块将授权信息发送至所述共享服务终端之前，采用所述共享服务终端对应的会话公钥对所述授权信息进行加密；

所述共享服务终端还包括：解密模块；

所述解密模块，用于在所述共享模块根据所述授权信息向所述客户终端提供相应的安全策略之前，根据其自身的会话私钥对所述客户端所发送的授权信息进行解密。

可选地，所述共享服务终端还包括：第二反馈模块；

所述第二反馈模块，用于在达到授权期限后，所述共享服务终端向客户终端反馈安全策略共享期间的检测报告；

所述客户终端还包括：回收模块和第二广播模块；

所述回收模块，用于在所述客户终端接收到所述检测报告之后，回收对所述共享服务终端的临时授权；

所述第二广播模块，用于将所述客户终端的设备信息、所述共享服务终端的设备信息、所述客户终端所使用的安全策略和所述检测报告打包为共享服务纪录信息，并将所述共享服务纪录信息在内网中广播。

本发明具有以下有益效果：

本发明提供了一种安全策略共享方法和安全策略共享系统，通过对安全策略进行共享，可使得客户终端能够使用到共享服务终端内的安全策略，因而无需在客户终端内配置安全策略，防止出现安全策略堆叠，有效降低系统的安全防御成本。

附图说明

图1为本发明实施例一提供的一种安全策略共享方法的流程图；

图2为本发明实施例二提供的一种安全策略共享方法的流程图；

图3为本发明实施例三提供的一种安全策略共享系统的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的一种安全策略共享方法和安全策略共享系统进行详细描述。

图1为本发明实施例一提供的一种安全策略共享方法的流程图，如图1所示，该安全策略共享方法基于安全策略共享系统，该安全策略共享系统包括：客户终端和共享服务终端；该安全策略共享方法，包括：

步骤s101、客户终端向共享服务终端发送共享查询请求。

在客户终端希望从共享服务终端处共享到安全策略时，其会向相应的共享服务终端发送共享查询请求。

步骤s102、共享服务终端根据共享查询请求，向客户终端反馈安全策略列表和共享规则。

在共享服务终端接收到客户终端发送的共享查询请求之后，共享查询请求会向相应的客户终端反馈安全策略列表和共享规则。其中，安全策略列表中记载有共享服务终端可提供的全部安全策略的选项，共享规则中记载能够享受共享服务终端所提供的共享服务的相关条件。

在本发明中，共享服务终端预先对自身可供共享的安全策略进行评估，具体包括：策略资源评估和策略安全级评估；其中，策略资源评估是指评估共享服务终端共享单个或多个安全策略时占用的本终端的资源量；策略安全级评估是指评估共享服务终端使用单个或多个安全策略时能实现的安全级别。共享服务终端根据评估结果创建共享规则。

可选地，共享规则中记载有共享服务终端可支持的终端设备的网络范围、网络标识、终端类型、硬件配置、软件配置、最大数量、需要所述终端设备开放的权限范围以及提供共享服务的时间段中的至少一者。

步骤s103、客户终端根据接收到的安全策略列表和共享规则选择所需的安全策略，并向共享服务终端发送共享使用请求。

客户终端在接收到安全策略列表后，根据自身需求，从安全策略列表中选择所需的1个或多个安全策略；与此同时，客户终端根据接收到的共享规则，提取自身的终端信息。例如，共享规则中记载了共享服务终端可支持的终端设备的网络范围、终端类型、硬件配置和软件配置，则客户终端会将自身的网络地址、终端类型、硬件配置、软件配置提取出来，构成终端信息，以供共享服务终端在后续进行验证。

客户终端将自身所选择的安全策略的选项、提取的终端信息进行打包，生成共享使用请求，并发送至共享服务终端。

步骤s104、共享服务终端根据共享规则和客户终端的终端信息，判断共享服务终端当前是否可为客户终端提供共享服务。

在步骤s104中，共享服务终端根据共享规则，对所接到的共享使用请求中的客户终端的终端信息进行验证；若客户终端的终端信息满足共享规则，则判断出共享服务终端当前可为客户终端提供共享服务提供共享服务，此时执行步骤s105；若客户终端的终端信息不满足共享规则，则判断出共享服务终端当前不可为客户终端提供共享服务提供共享服务，共享服务终端向客户终端反馈终端信息不符合共享规则，共享服务请求失败的信息。

步骤s105、共享服务终端根据客户终端所选择的安全策略和共享服务终端自身的运行状况，确定共享服务终端当前实际可提供的安全策略，并向客户终端发送共享确认请求。

通过步骤s104验证客户终端的终端信息符合共享规则之后，共享服务终端检测自身的运行状况，并确定出共享服务终端当前实际可提供的安全策略。例如，当共享服务终端检测出自身运行负载较重时，无法运行客户终端提供其所需的全部安全策略，此时共享服务终端会根据预设的筛选算法从客户终端所选择的安全策略中筛选出部分安全策略(保证共享服务终端在后续能正常运行)，作为共享服务终端当前共享服务终端当前实际可提供的安全策略；当共享服务终端检测出自身运行负载较轻时，可为客户终端运行其所需的全部安全策略，此时共享服务终端将客户终端所选择的全部安全策略，作为共享服务终端当前共享服务终端当前实际可提供的安全策略。

需要说明的是，本发明的技术方案对共享服务终端筛选客户终端所选择的安全策略时所使用的筛选算法不作限定。

在确定共享服务终端当前实际可提供的安全策略之后，共享服务终端向客户终端发送共享确认请求，该共享确认请求中记载有共享服务终端当前实际可提供的安全策略。

步骤s106、在客户终端确认使用共享确认请求中的安全策略时，客户终端创建临时授权，并将授权信息发送至共享服务终端。

客户终端在接收到共享服务终端发送的共享确认请求后，其可以根据自身需求选择放弃使用共享服务，或者选择确认使用共享确认请求中的安全策略。

其中，在客户终端确认使用共享确认请求中的安全策略时，客户终端创建临时授权，并将授权信息发送至共享服务终端；其中，授权信息中记载有客户终端开放的权限范围以及授权有效时间区间。

步骤s107、共享服务终端根据授权信息向客户终端提供相应的安全策略。

共享服务终端在接收到授权信息后，运行记载相应的安全策略(共享确认请求中记录的安全策略)，为客户终端提供安全保障。

在本发明中，通过对安全策略进行共享，可使得客户终端能够使用到共享服务终端内的安全策略，因而无需在客户终端内配置安全策略，防止出现安全策略堆叠，有效降低系统的安全防御成本。

图2为本发明实施例二提供的一种安全策略共享方法的流程图，如图2所示，在本实施中，该安全策略共享系统包括：控制中心、客户终端和共享服务终端。

该安全策略共享方法包括：

步骤s201、控制中心询问共享服务终端是否开启安全策略共享服务。

步骤s202、共享服务终端向共享服务终端反馈同意开启安全策略共享服务。

步骤s203、控制中心为共享服务终端创建共享服务节点信息。

其中，享服务节点信息包括：共享服务终端的身份标识(id)信息和共享服务终端所对应的非对称会话密钥对。

步骤s204、控制中心将共享服务终端的身份标识信息和共享服务终端对应的会话公钥在内网中进行广播。

步骤s205、控制中心将共享服务终端对应的会话私钥发送至共享服务终端。

步骤s206、客户终端向共享服务终端发送共享查询请求。

步骤s207、共享服务终端根据共享查询请求，向客户终端反馈安全策略列表和共享规则。

步骤s208、客户终端根据接收到的安全策略列表和共享规则选择所需的安全策略，并向共享服务终端发送共享使用请求。

步骤s209、共享服务终端根据共享规则和客户终端的终端信息，判断共享服务终端当前是否可为客户终端提供共享服务。

当判断出共享服务终端当前可为客户终端提供共享服务提供共享服务，此时执行步骤s210；否则，共享服务终端向客户终端反馈终端信息不符合共享规则，共享服务请求失败的信息。

步骤s210、共享服务终端根据客户终端所选择的安全策略和共享服务终端自身的运行状况，确定共享服务终端当前实际可提供的安全策略，并向客户终端发送共享确认请求。

步骤s211、在客户终端确认使用共享确认请求中的安全策略时，客户终端创建临时授权，且采用共享服务终端对应的会话公钥对授权信息进行加密，并将完成加密后的授权信息发送至共享服务终端。

步骤s212、共享服务终端根据其自身的会话私钥对客户端所发送的授权信息进行解密。

步骤s213、共享服务终端根据授权信息向客户终端提供相应的安全策略。

通过采用公私钥对对授权信息进行加解密，可有效保障授权信息在传播过程中的安全性。

步骤s214、在达到授权期限后，共享服务终端向客户终端反馈安全策略共享期间的检测报告。

其中，该检测报告可以为扫描报告、分析报告、防护报告、预测报告中的至少一种。

步骤s215、客户终端回收临时授权。

步骤s216、客户终端将自身的设备信息、共享服务终端的设备信息、客户终端所使用的安全策略和检测报告打包为共享服务纪录信息，并将共享服务纪录信息在内网中广播。

客户终端在享受安全策略共享服务期间，其会向共享服务终端开放一些权项，对于客户终端而言，会存在一定的安全隐患(例如，共享服务终端修改或盗取客户终端内的数据)；为此，通过将共享服务纪录信息在内网中进行广播，可将共享服务纪录信息存储于其他终端设备中，以便在后续出现问题(例如，在安全策略共享期间，共享服务终端对客户终端进行了攻击，导致客户终端后续出现问题)时，提供有利的证据。

本发明实施例一和实施例二均提供了一种安全策略共享方法，通过对安全策略进行共享，可使得客户终端能够使用到共享服务终端内的安全策略，因而无需在客户终端内配置安全策略，防止出现安全策略堆叠，有效降低系统的安全防御成本。

图3为本发明实施例三提供的一种安全策略共享系统的结构示意图，如图3所示，该安全策略共享系统可用于实现上述实施例一和实施例二中的安全策略共享方法，该安全策略共享系统包括：客户终端和共享服务终端，其中，客户终端包括：第一发送模块、第二发送模块和授权模块，共享服务终端包括：第一反馈模块、判断模块、确定模块和共享模块；

第一发送模块，用于向共享服务终端发送共享查询请求。

第一反馈模块，用于根据共享查询请求，向客户终端反馈安全策略列表和共享规则，安全策略列表中记载有共享服务终端可提供的全部安全策略的选项，共享规则中记载有其他终端设备能够享受共享服务终端所提供的共享服务时所需满足的相关条件。

第二发送模块，用于根据接收到的安全策略列表和共享规则选择所需的安全策略，并向共享服务终端发送共享使用请求，共享使用请求包括：客户终端的终端信息和客户终端所选择的安全策略的选项。

判断模块，用于根据共享规则和客户终端的终端信息，判断共享服务终端当前是否可为客户终端提供共享服务。

确定模块，用于当判断模块判断出共享服务终端当前可为客户终端提供共享服务时，根据客户终端所选择的安全策略和共享服务终端自身的运行状况，确定共享服务终端当前实际可提供的安全策略，并向客户终端发送共享确认请求，共享确认请求中记载有共享服务终端当前实际可提供的安全策略。

授权模块，用于在客户终端确认使用共享确认请求中的安全策略时，创建临时授权，并将授权信息发送至共享服务终端。

共享模块，用于根据授权信息向客户终端提供相应的安全策略。

可选地，安全策略共享系统还包括：控制中心，控制中心包括：询问模块、节点信息创建模块和第一广播模块。

其中，询问模块，用于在共享服务终端接入至内网时，询问共享服务终端是否开启安全策略共享服务。

节点信息创建模块，用于在共享服务终端同意开启安全策略共享服务时，为共享服务终端创建共享服务节点信息，共享服务节点信息包括：共享服务终端的身份标识信息。

第一广播模块，用于将共享服务终端的身份标识信息在内网中进行广播。

可选地，共享服务节点信息还包括：共享服务终端所对应的非对称会话密钥对，非对称会话密钥对包括：会话公钥和会话私钥；广播模块还用于将共享服务终端对应的会话公钥进行广播；

控制中心还包括：第三发送模块；第三发送模块用于将共享服务终端对应的会话私钥发送至共享服务终端。

可选地，客户终端还包括：加密模块；加密模块用于在授权模块将授权信息发送至共享服务终端之前，采用共享服务终端对应的会话公钥对授权信息进行加密。

共享服务终端还包括：解密模块；解密模块用于在共享模块根据授权信息向客户终端提供相应的安全策略之前，根据其自身的会话私钥对客户端所发送的授权信息进行解密。

可选地，共享服务终端还包括：第二反馈模块；第二反馈模块，用于在达到授权期限后，共享服务终端向客户终端反馈安全策略共享期间的检测报告。

客户终端还包括：回收模块和第二广播模块。

其中，回收模块，用于在客户终端接收到检测报告之后，回收对共享服务终端的临时授权；

第二广播模块，用于将客户终端的设备信息、共享服务终端的设备信息、客户终端所使用的安全策略和检测报告打包为共享服务纪录信息，并将共享服务纪录信息在内网中广播。

对于上述各模块可用于执行上述实施例一和实施例二中的相应步骤，对于各模块的具体描述可参见上述实施例一和实施例二中的内容，此处不再赘述。

本发明实施例三提供了一种安全策略共享系统，通过对安全策略进行共享，可使得客户终端能够使用到共享服务终端内的安全策略，因而无需在客户终端内配置安全策略，防止出现安全策略堆叠，有效降低系统的安全防御成本。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。