CN101729531B - 网络安全策略分发方法、装置及系统 - Google Patents
网络安全策略分发方法、装置及系统 Download PDFInfo
- Publication number
- CN101729531B CN101729531B CN200910127580.XA CN200910127580A CN101729531B CN 101729531 B CN101729531 B CN 101729531B CN 200910127580 A CN200910127580 A CN 200910127580A CN 101729531 B CN101729531 B CN 101729531B
- Authority
- CN
- China
- Prior art keywords
- security policy
- communication
- entity
- resource control
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全策略分发方法、装置及系统。其中,上述网络安全策略分发系统包括:安全策略系统、归属于安全策略系统的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,资源控制实体,用于在接收到通信请求时,向其归属的安全策略系统发送请求消息,其中,该请求消息用于请求与上述通信请求相关的安全策略;安全策略系统,用于根据接收到的上述请求消息,获取与上述通信请求相关的安全策略,并将上述安全策略发送给资源控制实体。通过本发明,可以提高网络的整体防御效果,解除网络安全威胁。
Description
技术领域
本发明涉及通信网络安全技术领域,尤其涉及一种网络安全策略分发方法、装置及系统。
背景技术
随着因特网应用的快速增长,通信网络上的安全事件不断出现,各种非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫、病毒、木马,甚至恶意攻击与破坏等事件也越来越多。网络的不安全性给网络运营商、业务提供商及用户造成了巨大的损失,如何保证通信网络自身的安全以及通信网络上用户信息的安全,已经成为网络设计与应用中的基本课题。
针对各种网络入侵、计算机病毒、以及各种系统自身的缺陷和漏洞,目前已有各种安全设备,比如,防火墙、入侵检测系统、身份认证、数据加密产品等。但是,这些产品仅能提供一定的安全防护能力,只依靠这些设备,并不能全面地解决潜在的网络安全问题。因此,一些设备供应商提出了自己的安全解决方案,如自防御网络(SelfDefenseNetwork,简称为SDN)、安全联动协议等,这些解决方案的基本思路是在各种安全设备之间交换必要的安全策略信息,从而达到整体防御的效果。
随着网络环境日益复杂化,在每个安全设备上分别单独配置安全策略已经无法满足整个网络系统安全策略的需求;并且,由于各个厂家有自己特定的功能和独特的控制机制,而没有统一的标准和规范,因此,各个不同厂家的安全产品不能很好协调运作,难以互相整合,因而难以达到整体防御的效果,不能达到解除网络安全威胁的目的。
发明内容
有鉴于此,本发明提供了一种改进的网络安全策略分发方案,用以解决现有技术中难以达到整体防御的效果,及不能达到解除网络安全威胁的目的的问题。
根据本发明的一个方面,提供了一种网络安全策略分发系统。
根据本发明的网络安全策略分发系统包括:安全策略系统、归属于安全策略系统的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,资源控制实体,用于在接收到通信请求时,向其归属的安全策略系统发送请求消息,其中,该请求消息用于请求与上述通信请求相关的安全策略;安全策略系统,用于根据接收到的上述请求消息,获取与上述通信请求相关的安全策略,并将上述安全策略发送给资源控制实体。
根据本发明的另一个方面,提供了一种网络安全策略分发方法。根据本发明的网络安全策略分发方法包括:安全策略系统、归属于安全策略系统的一个或多个资源控制实体、及分别归属每个资源控制实体的一个或多个通信实体的系统。
根据本发明的网络安全策略分发方法包括:安全策略系统接收来自资源控制实体的请求消息,其中,该请求消息用于请求与第一通信实体相关的安全策略,其中,第一通信实体归属于该资源控制实体;安全策略系统获取资源控制实体请求的安全策略,并将该安全策略发送给资源控制实体。
根据本发明的又一个方面,提供了一种网络安全策略分发装置。
根据本发明的网络安全策略分发装置包括:存储模块、接收模块、获取模块和发送模块。其中,存储模块,用于保存安全策略信息;接收模块,用于接收资源控制实体发送的请求消息,其中,该请求消息用于请求与第一通信实体相关的安全策略;获取模块,用于获取上述资源控制实体请求的安全策略;发送模块,用于将获取模块获取的安全策略发送给上述资源控制实体。
通过本发明的上述至少一个方案,由安全策略系统存储安全策略信息,该安全策略系统的管辖范围内包括一个或多个资源控制实体,在接收到归属于其下的资源控制实体发送的请求消息时,安全策略系统将该资源控制实体请求的安全策略发送给该资源控制实体,从而可以提高整体防御的效果,解除网络安全威胁。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为根据本发明实施例的网络安全策略分发系统的结构示意图;
图2为根据本发明优选实施例的网络安全策略分发系统的结构示意图;
图3为根据本发明实施例的网络安全策略分发装置的结构示意图;
图4为根据本发明实施例的网络安全策略分发方法的流程图;
图5为根据本发明实施例的系统框架示意图;
图6为实施例一的流程示意图;
图7为实施例二的流程示意图。
具体实施方式
功能概述
针对现有技术中的分别在每个安全设备上单独配置安全策略已无法满足整个网络系统安全策略需求的问题,本发明实施例提供了一种改进的网络安全策略分发方案,在本发明实施例的方案中,提出了一种由安全策略系统、资源控制实体和通信实体组成的系统,在该系统中安全策略系统管理一个或多个资源控制实体,而一个资源控制实体负责一个或多个通信实体的网络安全,在本发明实施例中,由安全策略系统统一存储和分发安全策略,安全策略系统将安全策略分发给资源控制实体,资源控制实体根据安全策略系统分发的安全策略,判断通信实体的通信。
在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
系统实施例
根据本发明实施例,首先提供了一种网络安全策略分发系统。
图1为根据本发明实施例的网络安全策略分发系统的架构示意图。如图1所示,根据本发明实施例的网络安全策略分发系统包括:安全策略系统1(安全策略系统的个数可以为一个或多个,图中示出3个安全策略系统,即,安全策略系统1-1、安全策略系统1-2、安全策略系统1-3)、归属于安全策略系统的一个或多个资源控制实体2(在图中只示出了归属于一个安全策略系统的资源控制实体只有一个的情况,其中,归属于安全策略系统1-1的为资源控制实体2-1、归属于安全策略系统1-2的为资源控制实体2-2)、分别归属每个资源控制实体的一个或多个通信实体4(在图中,只示出了归属于一个资源控制实体的通信实体只有一个的情况,其中,归属于资源控制实体2-1的为通信实体4-1、归属于资源控制实体2-2为通信实体4-2),其中,通信实体4在发起通信请求时,该通信请求首先到达与之连接的资源控制实体2,其中,该通信请求携带该通信实体请求与其他通信实体进行通信的信息;资源控制实体2与通信实体4连接,用于在接收到通信实体4发送的通信请求时,向其归属的安全策略系统1发送请求消息,其中,该请求消息用于请求与接收到的通信请求相关的安全策略;安全策略系统1与资源控制实体2连接,用于根据接收到的上述请求消息,获取与上述通信请求相关的安全策略,并将获取到的安全策略发送给资源控制实体2。
在具体应用中,资源控制实体2为传送层、业务层或应用层上的各种资源控制节点,比如,位于传送层的接入网关、防火墙、路由器等。
通信实体4可以为网络中请求资源的各种用户终端设备,比如,企业网中的个人电脑、移动网络中的移动终端等。通信实体4可以位于网络层,也可以位于业务层和应用层。
上述的三个安全策略系统中,可以存在有第三方的安全策略系统(图中为安全策略系统1-3),第三方的安全策略系统存储的安全策略信息可以是不同运营商或不同网络共享的、具有共性的一些安全策略,并且,第三方的安全策略系统可以只作为安全策略数据库使用,而不用管理资源控制实体。
图2为根据本发明优选实施例的网络安全策略分发系统的架构示意图。如图2所示,资源控制实体2可以进一步包括:第一存储模块20,第一接收模块22,查找模块24,以及第一发送模块26。
其中,第一存储模块20用于保存本地安全策略信息;第一接收模块22,用于接收通信请求,其中,该通信请求由归属于资源控制实体4的通信实体4-1发送,该通信请求用于通信实体4-1请求与通信实体4-2进行通信;或者,该通信请求由通信实体4-2发送,用于通信实体4-2请求与通信实体4-1进行通信;查找模块24与第一存储模块20连接,用于从第一存储模块20保存的本地安全策略信息查找与通信请求匹配的安全策略;第一发送模块26,用于向安全策略系统发送请求消息。
具体地,第一存储模块20保存的为直接配置并保存在资源控制实体2上的安全策略信息,该安全策略信息是针对已知的、明确的安全威胁的安全策略信息。查找模块24从第一存储模块20保存的本地安全策略信息查找与通信请求匹配的安全策略,如果查找到,则根据该安全策略判断通信实体4-1或通信实体4-2发起的上述通信请求是否符合该安全策略;如果没有查找到,则触发第一发送模块26向安全策略系统1发送上述请求消息。
具体地,如图2所示,安全策略系统1可以进一步包括:第二存储模块21、第二接收模块23、获取模块25以及第二发送模块27。
其中,第二存储模块21,用于保存该安全策略系统管辖范围内的安全策略信息;第二接收模块23,用于接收资源控制实体2发送的请求消息;获取模块25与第二接收模块23连接,用于获取接收到的上述请求消息请求的安全策略;优选地,获取模块25可以在第二存储模块21保存的安全策略信息中查找请求的安全策略。如果通信实体4-1与通信实体4-2归属的资源控制实体2属于不同的安全策略系统1,且如果获取模块25从第二存储模块21中没有查找到请求的安全策略,则获取模块25还用于与通信实体4-2归属的资源控制实体所在的安全策略系统进行协商,获取请求的安全策略。第二发送模块27与获取模块25连接,用于将获取模块25获取的安全策略发送给资源控制实体。
根据本发明实施例提供的上述网络安全策略分发系统,可以由安全策略系统统一的存储和分发安全策略,从而提高整体防御的效果。
装置实施例
根据本发明实施例,还提供了一种网络安全策略分发装置。,该网络安全策略分发装置可以作为图1或2中的安全策略系统应用在上述网络安全策略分发系统中。
图3为根据本发明实施例的网络安全策略分发装置的结构示意图,如图3所示,根据本发明实施例的网络安全策略分发装置包括:存储模块30、接收模块32、获取模块34及发送模块36。其中,存储模块30用于保存安全策略信息;接收模块32,用于接收资源控制实体发送的请求消息,其中,该请求消息用于请求与通信实体相关A的安全策略;获取模块34与接收模块32连接,用于获取资源控制实体请求的安全策略;发送模块36与获取模块34连接,用于将获取模块34获取的安全策略发送给资源控制实体。
具体地,获取模块34可以通过查找存储模块30中保存的安全策略信息获取资源控制实体请求的安全策略,如果存储模块30中保存的安全策略信息没有与资源控制实体请求相关的安全策略,且通信实体A请求通信的或请求与通信实体A进行通信的通信实体B与通信实体A由不同的网络安全策略分发装置管理,则可以通过这两个装置相互协商,获取相关的安全策略,因此,获取模块34可以进一步包括:查找单元350和协商单元352。其中,查找单元350用于在存储模块32保存的安全策略信息中查找上述安全策略;协商单元352,用于与其它网络安全策略分发装置进行协商,获取安全策略,其中,该其它网络安全策略分发装置为通信实体B归属的网络安全策略分发装置(即可以为图1或图2中的安全策略系统)。
方法实施例
根据本发明实施例,还提供了一种网络安全策略分发方法。该方法应用于包括安全策略系统、归属于所述安全策略系统的一个或多个资源控制实体、及分别归属每个资源控制实体的一个或多个通信实体的系统。该方法可以由图1、图2或图3中的装置实现。
图4为根据本发明实施例的网络安全策略分发方法的流程图。如图4所示,根据本发明实施例的网络安全策略分发方法包括以下步骤(步骤S401-步骤S403):
步骤S401:安全策略系统接收来自资源控制实体的请求消息,其中,该请求消息用于请求与通信实体A相关的安全策略,其中,该通信实体A归属于资源控制实体;
具体地,步骤S401可以通过以下方式之一触发:
方式一:资源控制实体接收通信实体A发送的通信请求,其中,该通信请求用于通信实体A请求与通信实体B进行通信,且,通信实体A和通信实体B归属于不同的资源控制实体;
方式二:资源控制实体接收通信实体B归属的资源控制实体发送的通信请求,其中,该通信请求用于请求通信实体B与通信实体A进行通信,且通信实体A和通信实体B归属于不同的资源控制实体;
并且,资源控制实体在接收到上述方式一或方式二中的通信请求后,在向安全策略系统发送上述请求消息之前,资源控制实体首先判断其本地存储的安全策略信息中是否存在与通信请求匹配的安全策略,如果是,则根据本地存储的安全策略信息判断通信请求是否符合安全策略的要求;否则,资源控制实体向其归属的安全策略系统发送请求消息。
其中,资源控制实体本地存储的安全策略是直接配置并保存的,与安全策略系统中的策略不同的是:资源控制实体本地存储的安全策略是针对已知的、明确的安全威胁,而安全策略系统中的安全策略是在对资源控制实体上报的安全信息分析后动态生成的;
步骤S403:安全策略系统获取安全策略,并将该安全策略发送给资源控制实体。
具体实施过程中,安全策略系统获取安全策略包括但不限于以下两种方式:
方式一:安全策略系统从保存的安全策略信息中获取资源控制实体请求的安全策略;
方式二:安全策略系统与通信实体B归属的安全策略系统进行协商,获取安全策略,其中,通信实体A和通信实体B归属于不同的安全策略系统。
优选地,安全策略系统在获取安全策略时,首选方式一,在利用方式一获取不到安全策略的情况下,再利用方式二获取安全策略。
通过本发明实施例的上述网络安全策略分发方法,可以统一的存储和分发安全策略,因此可以达到整体防御的效果。
在具体应用中,可以将网络中具有相同安全保护需求、并相互信任的系统构成的逻辑区域称作为一个安全域,每个安全域内部都有着类似的安全特性,如安全级别、安全威胁、安全风险等。
图5为根据本发明实施例的网络安全控制框架,如图5所示,根据本发明实施例的网络安全控制框架包括多个安全域(图中示出了2个安全域:安全域A和安全域B),其中,每个安全域由一个网络安全策略分发系统构成。以下分别以同属于一个安全域的两个通信实体A和B(在这种情况下,也可以称通信实体A和通信实体B归属于一个安全策略系统),以及分别属于不同安全域的两个通信实体A和B(在这种情况下,也可以称通信实体A和通信实体B归属于不同的安全策略系统)之间进行通信为例,对本发明实施例提供的上述网络安全策略分发方法进行说明。
实施例一
在本实施例中,通信实体A和通信实体B分别归属于不同的资源控制实体A和B,资源控制实体A和资源控制实体B同属于一个安全域A(即同归属于一个安全策略系统A)。
图6为本实施例中网络安全策略分发方法的流程示意图。如图6所示,本实施例中网络安全策略分发主要包括以下步骤(步骤S601-步骤S617):
步骤S601:通信实体A向资源控制实体A发出通信请求,请求与通信实体B进行通信;
步骤S603:资源控制实体A检查其本地存储的安全策略信息,如果没有与通信实体A此次通信请求相匹配的安全策略信息,则向安全策略系统A请求与通信实体A相关的安全策略信息;
步骤S605:安全策略系统A向资源控制实体A返回与通信实体A相关的安全策略信息集SP1,其中,该安全策略信息集SP1包含一个或多个安全策略;
步骤S607:资源控制实体A执行安全策略信息集合SP1中的可执行部分;
步骤S609:资源控制实体A判定通信实体A发起的请求是否符合安全策略集SP1要求,如果符合要求,则向资源控制实体B转发通信实体A的通信请求;
步骤S611:资源控制实体B接收资源控制实体A转发的上述通信请求,检查其本地存储的安全策略信息,如果没有与通信实体B相关的安全策略信息,则向安全策略系统A请求与通信实体B相关的安全策略信息;
步骤S613:安全策略系统A向资源控制实体B返回与通信实体B相关的安全策略信息集SP2,其中,该安全策略信息集SP2包含一个或多个安全策略;
步骤S615:资源控制实体B执行安全策略信息集SP2中的可执行部分;
步骤S617:资源控制实体B判定通信实体A与通信实体B的通信是否符合安全策略信息集SP2要求,如果符合要求,则通信实体A与通信实体B之间经协商后建立通信连接。如果不符合安全策略信息集SP2要求,则通信实体B拒绝此次通信连接。
实施例二
在本实施例中,通信实体A和通信实体B分别归属于不同的资源控制实体A和B,资源控制实体A和资源控制实体B分别归属于不同安全域(即归属于不同安全策略系统),其中,资源控制实体A归属于安全域A(即归属于安全策略系统A),资源控制实体B归属于安全域B(即归属于安全策略系统B)。
图7为本实施例中网络安全策略分发方法的流程示意图。如图7所示,本实施例中网络安全策略分发主要包括以下步骤(步骤S701-步骤S719):
步骤S701:位于安全域A中的通信实体A向资源控制实体A发出通信请求,请求同位于安全域B中的通信实体B进行通信;
步骤S703:资源控制实体A检查其存储的本地安全策略信息,如果没有与通信实体A此次通信请求相匹配的安全策略,则向同一个安全域内的安全策略系统A请求与通信实体A相关的安全策略信息;
步骤S705:安全策略系统A向资源控制实体A返回与通信实体A相关的安全策略信息集SP1,其中,该安全策略信息集SP1包括一个或多个安全策略信息;
步骤S707:资源控制实体A执行安全策略信息集SP1中的可执行部分;
步骤S709:资源控制实体A判定通信实体A发起的请求是否符合安全策略信息集SP1要求,如果符合要求,则向位于安全域B内的资源控制实体B转发通信实体A的通信请求;
步骤S711:资源控制实体B检查其本地存储的安全策略信息,如果没有与通信实体B相关的安全策略,则向同一个安全域内的安全策略系统B请求与通信实体B相关的安全策略信息;
步骤S713:在必要的情况下,安全策略系统B与安全策略系统A协商并决策是否允许通信实体A与通信实体B之间的通信请求;
具体地,上述必要的情况包括但不限于以下至少之一:
1.如果安全策略系统A或安全策略系统B在保存的安全策略信息中没有找到相关的安全策略;
2.安全策略系统A与安全策略系统B获取的安全策略不一致;
3.安全策略系统A与安全策略系统B位于不同的运营商网络内,且在安全策略系统中对不同运营商的通信实体之间的通信未做任何规定。
步骤S715:安全策略系统B向资源控制实体B返回通信实体B相关的安全策略信息集SP2,其中,该安全策略信息集SP2包括一个或多个安全策略信息;
步骤S717:资源控制实体B执行安全策略信息集SP2中的可执行部分;
步骤S719:资源控制实体B判定通信实体A与通信实体B的通信是否符合安全策略集SP2要求,如果符合要求,则通信实体A与通信实体B之间经协商后建立通信连接。如果不符合安全策略信息集SP2要求,则通信实体B拒绝此次通信连接。
如上所述,借助本发明实施例提供的技术方案,由一个网络安全策略分发系统架构统一实现安全策略的存储和分发,在此架构内用一种统一集中安全策略系统管理配置网络安全设备,确保安全策略在整体上的一致性,在面临安全威胁情况下,各种设备之间联合协调发挥各自的作用,可以及时发现威胁,从而有效地阻止各种威胁的产生,提高整体防御的效果,解除网络安全威胁,提高用户体验,保证网络运营商、业务提供商及用户的利益。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络安全策略分发系统,其特征在于,包括:安全策略系统、归属于所述安全策略系统的一个或多个资源控制实体、分别归属每个资源控制实体的一个或多个通信实体,其中,
所述资源控制实体,用于在接收到通信请求时,向其归属的所述安全策略系统发送请求消息,其中,所述请求消息用于请求与所述通信请求相关的安全策略;
所述安全策略系统,用于根据接收到的所述请求消息,获取与所述通信请求相关的所述安全策略,并将所述安全策略发送给所述资源控制实体;
其中,所述资源控制实体,包括:
第一存储模块,用于保存本地安全策略信息;
第一接收模块,用于接收所述通信请求,其中,所述通信请求由归属于所述资源控制实体的第一通信实体发送,用于所述第一通信实体请求与第二通信实体进行通信;或者,所述通信请求由第二通信实体发送,用于所述第二通信实体请求与所述第一通信实体进行通信;
查找模块,用于从所述第一存储模块保存的所述本地安全策略信息查找与所述通信请求匹配的安全策略;
第一发送模块,用于向所述安全策略系统发送所述请求消息;
其中,所述第二通信实体与所述第一通信实体归属于不同的资源控制实体。
2.根据权利要求1所述的系统,其特征在于,所述安全策略系统包括:
第二存储模块,用于保存所述安全策略系统管辖范围内的安全策略信息;
第二接收模块,用于接收所述资源控制实体发送的所述请求消息;
获取模块,用于获取所述资源控制实体请求的所述安全策略;
第二发送模块,用于将所述获取模块获取的所述安全策略发送给所述资源控制实体。
3.根据权利要求2所述的系统,其特征在于,所述获取模块还用于在所述第二存储模块保存的所述安全策略信息中查找所述安全策略。
4.根据权利要求2或3所述的系统,其特征在于,所述第一通信实体与所述第二通信实体归属的资源控制实体属于不同的安全策略系统;
所述获取模块包括:
协商单元,用于与所述第二通信实体归属的资源控制实体所在的安全策略系统进行协商,获取所述安全策略。
5.一种网络安全策略分发方法,应用于包括安全策略系统、归属于所述安全策略系统的一个或多个资源控制实体、及分别归属每个资源控制实体的一个或多个通信实体的系统,其特征在于,所述方法包括:
安全策略系统接收来自资源控制实体的请求消息,其中,所述请求消息用于请求与第一通信实体的通信请求相匹配的安全策略,其中,所述第一通信实体归属于所述资源控制实体;
所述安全策略系统获取所述安全策略,并将所述安全策略发送给所述资源控制实体;
其中,所述安全策略系统接收来自所述资源控制实体的请求消息之前,所述方法还包括:所述资源控制实体接收所述第一通信实体发送的所述通信请求,其中,所述通信请求用于所述第一通信实体请求与第二通信实体进行通信;所述资源控制实体向所述安全策略系统发送所述请求消息;其中,所述第一通信实体和所述第二通信实体归属于不同的资源控制实体;
所述安全策略系统获取所述安全策略包括:所述安全策略系统从保存的安全策略信息中获取所述安全策略信息;或者所述安全策略系统与所述第二通信实体归属的安全策略系统进行协商,获取所述安全策略,其中,所述第一通信实体和所述第二通信实体归属于不同的安全策略系统;
或者,所述安全策略系统接收来自所述资源控制实体的请求消息之前,所述方法还包括:所述资源控制实体接收第二通信实体归属的资源控制实体发送的通信请求,其中,所述通信请求用于所述第二通信实体请求与所述第一通信实体进行通信;所述资源控制实体向所述安全策略系统发送所述请求消息;其中,所述第一通信实体和所述第二通信实体归属于不同的资源控制实体;
所述安全策略系统获取所述安全策略包括:所述安全策略系统从保存的安全策略信息中获取所述安全策略;或者所述安全策略系统与所述第二通信实体归属的安全策略系统进行协商,获取所述安全策略,其中,所述第一通信实体和所述第二通信实体归属于不同的安全策略系统。
6.根据权利要求5所述的方法,其特征在于,向所述安全策略系统发送所述请求消息包括:
所述资源控制实体判断其本地存储的安全策略信息中是否存在与所述通信请求匹配的安全策略,如果是,则根据本地存储的所述安全策略信息判断所述通信请求是否符合安全策略的要求;
否则,所述资源控制实体向其归属的所述安全策略系统发送所述请求消息。
7.一种网络安全策略分发装置,其特征在于,位于包括一个或多个资源控制实体的安全策略系统中,所述装置包括:
存储模块,用于保存安全策略信息;
接收模块,用于接收所述资源控制实体发送的请求消息,其中,所述请求消息用于请求与第一通信实体的通信请求相匹配的安全策略;
获取模块,用于获取所述资源控制实体请求的所述安全策略;
发送模块,用于将所述获取模块获取的所述安全策略发送给所述资源控制实体;
其中,所述获取模块包括:
查找单元,用于在所述存储模块保存的所述安全策略信息中查找所述安全策略;
协商单元,用于与其它网络安全策略分发装置进行协商,获取所述安全策略,其中,所述其它安全策略系统为第二通信实体归属的网络安全策略分发装置,其中,第二通信实体为所述第一通信实体请求与之通信的通信实体,或者,所述第二通信实体为请求与所述第一通信实体进行通信的通信实体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910127580.XA CN101729531B (zh) | 2009-03-16 | 2009-03-16 | 网络安全策略分发方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910127580.XA CN101729531B (zh) | 2009-03-16 | 2009-03-16 | 网络安全策略分发方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729531A CN101729531A (zh) | 2010-06-09 |
| CN101729531B true CN101729531B (zh) | 2016-04-13 |
Family
ID=42449739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910127580.XA Expired - Fee Related CN101729531B (zh) | 2009-03-16 | 2009-03-16 | 网络安全策略分发方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101729531B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
| US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US9558352B1 (en) | 2014-11-06 | 2017-01-31 | Palantir Technologies Inc. | Malicious software detection in a computing system |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8515912B2 (en) | 2010-07-15 | 2013-08-20 | Palantir Technologies, Inc. | Sharing and deconflicting data changes in a multimaster database system |
| CN102480478B (zh) * | 2010-11-30 | 2016-03-30 | 中兴通讯股份有限公司 | 一种ngn中安全策略的协商方法和系统 |
| US9081975B2 (en) | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
| US9501761B2 (en) | 2012-11-05 | 2016-11-22 | Palantir Technologies, Inc. | System and method for sharing investigation results |
| US9965937B2 (en) | 2013-03-15 | 2018-05-08 | Palantir Technologies Inc. | External malware data item clustering and analysis |
| US8818892B1 (en) | 2013-03-15 | 2014-08-26 | Palantir Technologies, Inc. | Prioritizing data clusters with customizable scoring strategies |
| CN104380686B (zh) * | 2013-11-07 | 2018-08-21 | 华为技术有限公司 | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 |
| US10356032B2 (en) | 2013-12-26 | 2019-07-16 | Palantir Technologies Inc. | System and method for detecting confidential information emails |
| US9338013B2 (en) | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
| US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
| US9009827B1 (en) | 2014-02-20 | 2015-04-14 | Palantir Technologies Inc. | Security sharing system |
| US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
| US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
| US9785773B2 (en) | 2014-07-03 | 2017-10-10 | Palantir Technologies Inc. | Malware data item analysis |
| US9202249B1 (en) | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
| US9256664B2 (en) | 2014-07-03 | 2016-02-09 | Palantir Technologies Inc. | System and method for news events detection and visualization |
| US10572496B1 (en) | 2014-07-03 | 2020-02-25 | Palantir Technologies Inc. | Distributed workflow system and database with access controls for city resiliency |
| US9021260B1 (en) | 2014-07-03 | 2015-04-28 | Palantir Technologies Inc. | Malware data item analysis |
| US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
| US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US10372879B2 (en) | 2014-12-31 | 2019-08-06 | Palantir Technologies Inc. | Medical claims lead summary report generation |
| US9407652B1 (en) | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
| US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
| US9537880B1 (en) | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
| US10102369B2 (en) | 2015-08-19 | 2018-10-16 | Palantir Technologies Inc. | Checkout system executable code monitoring, and user account compromise determination system |
| US10044745B1 (en) | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
| US9888039B2 (en) | 2015-12-28 | 2018-02-06 | Palantir Technologies Inc. | Network-based permissioning system |
| US9916465B1 (en) | 2015-12-29 | 2018-03-13 | Palantir Technologies Inc. | Systems and methods for automatic and customizable data minimization of electronic data stores |
| US10498711B1 (en) | 2016-05-20 | 2019-12-03 | Palantir Technologies Inc. | Providing a booting key to a remote system |
| US10084802B1 (en) | 2016-06-21 | 2018-09-25 | Palantir Technologies Inc. | Supervisory control and data acquisition |
| US10291637B1 (en) | 2016-07-05 | 2019-05-14 | Palantir Technologies Inc. | Network anomaly detection and profiling |
| US10698927B1 (en) | 2016-08-30 | 2020-06-30 | Palantir Technologies Inc. | Multiple sensor session and log information compression and correlation system |
| US10728262B1 (en) | 2016-12-21 | 2020-07-28 | Palantir Technologies Inc. | Context-aware network-based malicious activity warning systems |
| US10721262B2 (en) | 2016-12-28 | 2020-07-21 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
| US10754872B2 (en) | 2016-12-28 | 2020-08-25 | Palantir Technologies Inc. | Automatically executing tasks and configuring access control lists in a data transformation system |
| US10027551B1 (en) | 2017-06-29 | 2018-07-17 | Palantir Technologies, Inc. | Access controls through node-based effective policy identifiers |
| US10963465B1 (en) | 2017-08-25 | 2021-03-30 | Palantir Technologies Inc. | Rapid importation of data including temporally tracked object recognition |
| US10984427B1 (en) | 2017-09-13 | 2021-04-20 | Palantir Technologies Inc. | Approaches for analyzing entity relationships |
| GB201716170D0 (en) | 2017-10-04 | 2017-11-15 | Palantir Technologies Inc | Controlling user creation of data resources on a data processing platform |
| US10079832B1 (en) | 2017-10-18 | 2018-09-18 | Palantir Technologies Inc. | Controlling user creation of data resources on a data processing platform |
| US10250401B1 (en) | 2017-11-29 | 2019-04-02 | Palantir Technologies Inc. | Systems and methods for providing category-sensitive chat channels |
| US11133925B2 (en) | 2017-12-07 | 2021-09-28 | Palantir Technologies Inc. | Selective access to encrypted logs |
| US10142349B1 (en) | 2018-02-22 | 2018-11-27 | Palantir Technologies Inc. | Verifying network-based permissioning rights |
| US10878051B1 (en) | 2018-03-30 | 2020-12-29 | Palantir Technologies Inc. | Mapping device identifiers |
| US10255415B1 (en) | 2018-04-03 | 2019-04-09 | Palantir Technologies Inc. | Controlling access to computer resources |
| US10949400B2 (en) | 2018-05-09 | 2021-03-16 | Palantir Technologies Inc. | Systems and methods for tamper-resistant activity logging |
| US11244063B2 (en) | 2018-06-11 | 2022-02-08 | Palantir Technologies Inc. | Row-level and column-level policy service |
| CN109246100A (zh) * | 2018-09-07 | 2019-01-18 | 刘洋 | 一种软件定义网络安全的实施方法 |
| US10868887B2 (en) | 2019-02-08 | 2020-12-15 | Palantir Technologies Inc. | Systems and methods for isolating applications associated with multiple tenants within a computing platform |
| US11704441B2 (en) | 2019-09-03 | 2023-07-18 | Palantir Technologies Inc. | Charter-based access controls for managing computer resources |
| US10761889B1 (en) | 2019-09-18 | 2020-09-01 | Palantir Technologies Inc. | Systems and methods for autoscaling instance groups of computing platforms |
| CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3182138A (en) * | 1960-03-31 | 1965-05-04 | Siemens Ag | Method of and circuit arrangement for supervising and maintaining coaxial lines |
| US4435841A (en) * | 1982-03-01 | 1984-03-06 | Zenith Radio Corporation | Communications receiver having a switchable filter input stage |
| CN1289482A (zh) * | 1998-01-23 | 2001-03-28 | Adc束利查股份有限公司 | 用于减小带通滤波器系统中互调的电路装置 |
| KR20010090297A (ko) * | 2000-03-24 | 2001-10-18 | 강상훈 | 보안 정책 시스템 |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1728632A (zh) * | 2004-07-28 | 2006-02-01 | 中兴通讯股份有限公司 | 一种安全等级握手协商方法和系统 |
| CN1773903A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 通用安全策略构造方法 |
| CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
| CN1860723A (zh) * | 2003-10-23 | 2006-11-08 | 微软公司 | 提供增强的安全模型的系统与方法 |
| CN1859735A (zh) * | 2005-10-15 | 2006-11-08 | 华为技术有限公司 | 一种通过关联响应系统实现移动终端安全更新的方法及系统 |
| CN1933392A (zh) * | 2006-08-16 | 2007-03-21 | 华为技术有限公司 | 一种提高局端-终端架构安全和性能的系统及其方法 |
| CN101018119A (zh) * | 2007-02-09 | 2007-08-15 | 浪潮电子信息产业股份有限公司 | 基于硬件的与操作系统无关的服务器网络安全集中管理系统 |
| CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
| CN101123534A (zh) * | 2007-09-29 | 2008-02-13 | 华中科技大学 | 应用于合法监听系统的网络策略架构及其策略处理方法 |
| CN101128044A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种关联响应系统中实现策略控制的方法及其系统 |
| CN101188492A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 实现安全业务的系统和方法 |
| WO2008080430A1 (en) * | 2006-12-29 | 2008-07-10 | Telecom Italia S.P.A. | METHOD AND SYSTEM FOR ENFORCING SECURITY POLICIES IN MANETs |
| CN101247263A (zh) * | 2008-03-18 | 2008-08-20 | 浪潮电子信息产业股份有限公司 | 基于数据链路层的服务器集中管理方法 |
| CN101330757A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中业务安全等级实现方法 |
| CN101330462A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中网络安全等级实现方法 |
| US7496956B1 (en) * | 2005-01-05 | 2009-02-24 | Symantec Corporation | Forward application compatible firewall |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776230B1 (en) * | 2001-10-02 | 2014-07-08 | Mcafee, Inc. | Master security policy server |
| US7665118B2 (en) * | 2002-09-23 | 2010-02-16 | Credant Technologies, Inc. | Server, computer memory, and method to support security policy maintenance and distribution |
| WO2007093079A1 (fr) * | 2006-02-16 | 2007-08-23 | Zte Corporation | Procédé de mise en oeuvre d'une politique de sécurité en matière de négociation-clé dans un réseau interdomaine de commutation de paquets à plusieurs garde-portes |
| US20070199044A1 (en) * | 2006-02-17 | 2007-08-23 | Samsung Electronics Co., Ltd. | Systems and methods for distributed security policy management |
-
2009
- 2009-03-16 CN CN200910127580.XA patent/CN101729531B/zh not_active Expired - Fee Related
Patent Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3182138A (en) * | 1960-03-31 | 1965-05-04 | Siemens Ag | Method of and circuit arrangement for supervising and maintaining coaxial lines |
| US4435841A (en) * | 1982-03-01 | 1984-03-06 | Zenith Radio Corporation | Communications receiver having a switchable filter input stage |
| CN1289482A (zh) * | 1998-01-23 | 2001-03-28 | Adc束利查股份有限公司 | 用于减小带通滤波器系统中互调的电路装置 |
| KR20010090297A (ko) * | 2000-03-24 | 2001-10-18 | 강상훈 | 보안 정책 시스템 |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
| CN1860723A (zh) * | 2003-10-23 | 2006-11-08 | 微软公司 | 提供增强的安全模型的系统与方法 |
| CN1728632A (zh) * | 2004-07-28 | 2006-02-01 | 中兴通讯股份有限公司 | 一种安全等级握手协商方法和系统 |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1773903A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 通用安全策略构造方法 |
| CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
| US7496956B1 (en) * | 2005-01-05 | 2009-02-24 | Symantec Corporation | Forward application compatible firewall |
| CN1859735A (zh) * | 2005-10-15 | 2006-11-08 | 华为技术有限公司 | 一种通过关联响应系统实现移动终端安全更新的方法及系统 |
| CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
| CN101128044A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种关联响应系统中实现策略控制的方法及其系统 |
| CN1933392A (zh) * | 2006-08-16 | 2007-03-21 | 华为技术有限公司 | 一种提高局端-终端架构安全和性能的系统及其方法 |
| CN101188492A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 实现安全业务的系统和方法 |
| WO2008080430A1 (en) * | 2006-12-29 | 2008-07-10 | Telecom Italia S.P.A. | METHOD AND SYSTEM FOR ENFORCING SECURITY POLICIES IN MANETs |
| CN101018119A (zh) * | 2007-02-09 | 2007-08-15 | 浪潮电子信息产业股份有限公司 | 基于硬件的与操作系统无关的服务器网络安全集中管理系统 |
| CN101123534A (zh) * | 2007-09-29 | 2008-02-13 | 华中科技大学 | 应用于合法监听系统的网络策略架构及其策略处理方法 |
| CN101247263A (zh) * | 2008-03-18 | 2008-08-20 | 浪潮电子信息产业股份有限公司 | 基于数据链路层的服务器集中管理方法 |
| CN101330757A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中业务安全等级实现方法 |
| CN101330462A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中网络安全等级实现方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
| US9558352B1 (en) | 2014-11-06 | 2017-01-31 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9589299B2 (en) | 2014-12-22 | 2017-03-07 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101729531A (zh) | 2010-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729531B (zh) | 网络安全策略分发方法、装置及系统 | |
| CN113949573B (zh) | 一种零信任的业务访问控制系统及方法 | |
| CN103634314B (zh) | 一种基于虚拟路由器vsr的服务访问控制方法及设备 | |
| CN111488595B (zh) | 用于实现权限控制的方法及相关设备 | |
| US8819768B1 (en) | Split password vault | |
| CN101309272B (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| CN102035660B (zh) | 基于idc网络的业务处理方法、设备和系统 | |
| CN102223365A (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| CN100369434C (zh) | 无线局域网中实现基于wapi体制的虚拟局域网的方法 | |
| CN107819732A (zh) | 用户终端访问本地网络的方法和装置 | |
| CN102075934A (zh) | 接入点监控器、监控非法接入点的方法及系统 | |
| CN112437441B (zh) | 面向物联网的基于智能合约的访问控制系统及方法 | |
| CN105721420A (zh) | 访问权限控制方法和反向代理服务器 | |
| CN105472613B (zh) | 认证请求接收方法和系统及用户端和ap | |
| CN105163062B (zh) | 一种将社会资源接入到公共平台的系统及方法 | |
| CN110650009B (zh) | 一种移动网络及通信方法 | |
| CN102823219B (zh) | 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| CN104301437A (zh) | 一种基于多点传输的私有云平台 | |
| CN1863193B (zh) | 实现网络安全装置安全策略的方法 | |
| CN108111516A (zh) | 基于无线局域网的安全通信方法、装置和电子设备 | |
| CN104750723A (zh) | 文件共享方法、系统、浏览器及服务器 | |
| CN105681268A (zh) | 数据传送方法及装置 | |
| CN106506239B (zh) | 在组织单位域中进行认证的方法及系统 | |
| CN110933018B (zh) | 网络认证方法、装置以及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160413 Termination date: 20210316 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |