CN107872335A - 安全服务方法和系统以及安全资源单元 - Google Patents
安全服务方法和系统以及安全资源单元 Download PDFInfo
- Publication number
- CN107872335A CN107872335A CN201610851384.7A CN201610851384A CN107872335A CN 107872335 A CN107872335 A CN 107872335A CN 201610851384 A CN201610851384 A CN 201610851384A CN 107872335 A CN107872335 A CN 107872335A
- Authority
- CN
- China
- Prior art keywords
- secure resources
- logical
- resources unit
- packet
- network group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0233—Object-oriented techniques, for representation of network management data, e.g. common object request broker architecture [CORBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全服务方法和系统以及安全资源单元,涉及信息安全领域。通过采用逻辑网络组划分安全对象和服务于安全对象的安全资源单元,并且对于进入逻辑网络组的数据包,根据数据包中的逻辑标签与本逻辑网络组的逻辑组标签是否一致决定是否处理该数据包,能够仅对目标为本逻辑网络组的数据进行处理,提高了安全处理的效率。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种安全服务方法和系统以及安全资源单元。
背景技术
安全资源池是网络业务所涉及的各种安全设备和系统的集合。资源池中的每个安全设备和系统都被称作安全资源单元。
传统安全资源单元池并未针对不同安全对象进行区分服务,每一个体安全设备或系统上都集成着所有安全对象的安全策略,以统一的处理流程顺次处理。这种方式需要对资源池中单点资源的处理性能提出非常高的要求,因此建设成本也很高。
云化安全资源池可以通过区分服务的方式,对不同安全对象进行不同的安全处理。目前存在两种区分服务的实现方式:
一种方式是将安全对象和为其进行服务的安全资源单元进行静态绑定,即对特定的安全对象指定固定的安全资源单元进行服务。然而,这种方式无法实现自动化业务配置,服务缺乏灵活性,安全处理的效率低。
另一种方式是在云安全资源单元池的外部网络通过策略路由,基于IP(InternetProtocol,网络协议)五元组来选择服务资源。这种方式可以动态调整安全对象和安全资源单元的配置,但由于策略路由过于细节化,控制和转发的效率都不高,采用这种方式,实施策略路由的节点会成为限制安全处理的性能瓶颈,也会影响安全处理的效率。
发明内容
本发明实施例所要解决的一个技术问题是:如何提升安全资源的安全处理效率。
根据本发明实施例的第一个方面,提供了一种安全服务方法,包括:为安全对象服务的安全资源单元提取发送给安全对象的数据包中的逻辑标签,安全对象和安全资源单元位于同一逻辑网络组;安全资源单元比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致;如果数据包中的逻辑标签与逻辑网络组的逻辑组标签一致,安全资源单元继续处理数据包;如果数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致,安全资源单元丢弃数据包。
根据本发明实施例的第二个方面,提供了一种安全资源单元,包括:数据包逻辑标签提取模块,用于提取发送给安全资源单元服务的安全对象的数据包中的逻辑标签;数据包逻辑标签比较模块,用于比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致;安全处理模块,用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签一致时,继续处理数据包;数据包丢弃模块,用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致时,丢弃数据包;其中,安全对象和安全资源单元位于同一逻辑网络组。
根据本发明实施例的第三个方面,提供一种安全服务系统,包括:前述任意一种安全资源,安全对象,和,业务配置设备。其中,业务配置设备包括:配置信息获取模块,用于获取新增或变更的安全对象的配置信息。
本发明通过采用逻辑网络组划分安全对象和服务于安全对象的安全资源单元,并且对于进入逻辑网络组的数据包,根据数据包中的逻辑标签与本逻辑网络组的逻辑组标签是否一致决定是否处理该数据包,能够仅对目标为本逻辑网络组的数据进行处理,提高了安全处理的效率。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安全服务方法的应用场景示意图。
图2为本发明安全服务方法的一个实施例的流程图。
图3为本发明安全资源单元部署方法的一个实施例的流程图。
图4为本发明安全资源单元部署方法的另一个实施例的流程图。
图5为本发明安全对象配置方法的一个实施例的流程图。
图6为本发明安全服务系统的一个实施例的结构图。
图7为本发明安全资源单元的一个实施例的结构图。
图8为本发明安全资源单元的另一个实施例的结构图。
图9为本发明安全资源单元的又一个实施例的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的应用场景可以如图1所示。在本发明中,根据各个安全对象12的业务类型或者其他指标对安全对象12进行分组,每组为一个逻辑网络组10,各个逻辑网络组10分别采用不同的逻辑组标签进行标识。例如,可以根据邮件服务、语音服务、数据服务等业务进行分组。此外,逻辑网络组10中还存在若干为各个安全对象12服务的安全资源单元14。
各个逻辑网络组10中的安全资源单元14可以保存本逻辑网络组10的一些基本信息。例如,安全资源单元14可以配置有安全资源表,其中包含本逻辑网络组的逻辑组标签、本逻辑网络组中安全对象的业务类型以及业务类型对应的应用层协议标签等等。同一逻辑网络组10的各个安全资源单元14配置的安全资源表的内容是相同的,以便同一逻辑网络组10的各个安全资源单元14可以对接收到的信息进行相同的处理。
下面参考图2描述本发明一个实施例的安全服务方法。
图2为本发明安全服务方法的一个实施例的流程图。如图2所示,该实施例的方法包括:
步骤S202,为安全对象服务的安全资源单元提取发送给安全对象的数据包中的逻辑标签,安全对象和安全资源单元位于同一逻辑网络组。
安全对象例如可以为虚机或者实体设备等需要进行安全服务的对象。
在安全服务系统中,对于安全对象接收的数据包,均需要进行安全处理,以避免对安全对象造成安全隐患。
本发明中的安全资源单元在进行常规的安全处理之前,首先采用步骤S204~S206的方法进行预处理。
步骤S204,安全资源单元比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致。
为了增加安全性,安全对象所接收的数据包需要带有逻辑标签,以表明该数据包是针对何种业务的数据包。逻辑标签的取值方式和各个逻辑网络组的逻辑组标签的取值方式一致。
例如,用于邮件业务的安全对象处于邮件业务逻辑网络组,其逻辑组标识为1,则邮件业务数据中的逻辑标签也需要取值为1,以表明该数据包的业务类型以及目的逻辑网络组。
逻辑标签可以利用现有的报文结构中的保留字段实现。
步骤S206,如果数据包中的逻辑标签与逻辑网络组的逻辑组标签一致,安全资源单元继续处理数据包。
如果通过识别数据包中的逻辑标签,发现该数据包的目的是本逻辑网络组,则说明该数据包和本逻辑网络组的业务一致,可以继续进行其他的安全处理流程。在安全处理流程结束后,安全资源单元再将数据包发送给安全对象。
步骤S208,如果数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致,安全资源单元丢弃数据包。
如果通过识别数据包中的逻辑标签,发现该数据包的发送目的并非本逻辑网络组,则说明该数据包是错发的或者伪造的数据包,可以将其丢弃。
通过采用逻辑网络组划分安全对象和服务于安全对象的安全资源单元,并且对于进入逻辑网络组的数据包,根据数据包中的逻辑标签与本逻辑网络组的逻辑组标签是否一致决定是否处理该数据包,能够仅对目标为本逻辑网络组的数据进行处理,提高了安全处理的效率。
除了采用识别数据包中的逻辑标签的方式,还可以采用其他方式对接收到的数据包进行进一步筛选。例如,可以通过识别数据包中的协议标签和IP地址来判断数据包的目的是否为本逻辑网络组,或者预先判断该数据包是否安全。
第一种筛选方法为:首先,安全资源单元提取数据包中的协议标签;然后,安全资源单元比较数据包中的协议标签与逻辑网络组对应的协议是否匹配;如果匹配,安全资源单元继续处理数据包;如果不匹配,安全资源单元丢弃数据包。
其中,协议标签可以是协议的名称,也可以是预先设置的协议对应的编号等等。因此,当数据包中的协议标签对应的协议与逻辑网络组对应的协议一致时,视为数据包中的协议标签与逻辑网络组对应的协议匹配。
当安全对象按照业务类型划分逻辑网络组时,各个逻辑网络组中的安全对象处理特定业务类型对应的协议的数据包,因此通过这种方法,可以进一步过滤非本逻辑网络组处理范围内的数据包,提高了安全性。
第二种筛选方法为:首先,安全资源单元提取数据包中的源地址信息;然后,安全资源单元判断数据包中的源地址信息是否为逻辑网络组的许可源地址信息;如果是,安全资源单元继续处理数据包;如果不是,安全资源单元丢弃数据包。
其中,安全资源单元可以查看数据包中的源地址信息是否位于可信列表、业务列表等许可处理的列表中,也可以查看是否位于地址黑名单中,从而判断该源地址信息是否为许可源地址信息。
通过采用这种方法,可以预先丢弃来源于不安全的地址的数据包,或者非本逻辑网络组的业务范围内的数据包,增加了安全性。
上述方法通过进一步的筛选过程,能够避免处理不属于本逻辑网络组的数据包或者具有潜在危险的数据包,提高了处理效率,增加了系统的安全性。
本发明中,同一逻辑网络组中的安全资源之间可以预先进行地址学习,从而同一逻辑网络组中的安全资源可以形成彼此连通的网络。当安全资源单元丢失了其他安全资源单元的地址信息,或者安全资源单元发生变更时,可以采用本发明提供的方法快速地进行地址学习。下面参考图3描述本发明一个实施例的安全资源单元部署方法。
图3为本发明安全资源单元部署方法的一个实施例的流程图。如图3所示,该实施例的方法包括:
步骤S302,安全资源单元接收邻近安全资源单元发送的地址通告,地址通告包括邻近安全资源单元的地址信息和邻近安全资源单元所属的逻辑网络组的逻辑组标签。
其中,邻近安全资源单元是指安全资源单元在网络中的相邻节点,即安全资源单元的“邻居”。
地址信息可以包括虚拟IP地址信息、MAC(Media Access Control,媒体访问控制)地址。
各个安全资源单元在发送地址通告时,可以附带其所属的逻辑网络组的逻辑组标签。
步骤S304,安全资源比较邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源所属的逻辑网络组的逻辑组标签是否一致。
步骤S306,如果邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源单元所属的逻辑网络组的逻辑组标签不一致,安全资源单元丢弃地址通告。
步骤S308,如果邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源单元所属的逻辑网络组的逻辑组标签一致,安全资源单元学习地址通告中的地址信息。
例如,安全资源单元可以提取地址通告中的IP地址和MAC地址,并在安全资源单元的ARP(Address Resolution Protocol,地址解析协议)表中生成新条目。
当邻近安全资源单元发送地址通告时,安全资源单元可以通过逻辑标签判断该邻近安全资源单元是否与自己位于同一个逻辑网络组。如果是,可以学习邻近安全资源单元的地址信息,以便同一逻辑网络组中的安全资源单元之间形成连通的网络。如果不是,则说明安全资源单元与网络中邻近的安全资源单元没有相互通信的需求,可以不学习邻近安全资源单元的地址信息。
通过采用上述方法,可以根据地址通告中的逻辑组标签判断安全资源单元与邻近安全资源单元是否位于同一个逻辑网络组,并且仅在二者位于同一个逻辑网络组时才进行地址信息学习,提高了组网效率。
上述实施例中的安全资源单元和邻近安全资源单元是一组相对的概念。例如,安全资源单元A和安全资源单元B为相互邻近的安全资源单元,则安全资源单元A和安全资源单元B可以分别采用上述方法学习对方的地址信息。
进一步地,当安全资源发生变更时,可以参考图4所示的方法对安全资源单元进行重新部署。
图4为本发明安全资源单元部署方法的另一个实施例的流程图。如图4所示,该实施例的方法包括:
步骤S402,发生网络属性变更的第一安全资源单元向邻近的第二安全资源单元发送地址查询请求和地址通告,该地址通告包括第一安全资源单元的第一地址信息和第一安全资源单元所属的逻辑网络组的逻辑组标签。
其中,网络属性变更包括虚拟网络协议地址变更、物理网络协议地址变更、逻辑网络组变更中的至少一种变更。
步骤S404,第二安全资源单元比较第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源单元所属的逻辑网络组的逻辑组标签是否一致。
步骤S406,如果第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源单元所属的逻辑网络组的逻辑组标签不一致,第二安全资源单元丢弃地址通告,并结束部署流程。
步骤S408,如果第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源单元所属的逻辑网络组的逻辑组标签一致,第二安全资源单元学习第一地址信息。
步骤S410,响应于地址查询请求,第二安全资源单元向邻近的第一安全资源单元发送地址通告,该地址通告包括第二安全资源单元的第二地址信息和第二安全资源单元所属的逻辑网络组的逻辑组标签。
第二安全资源单元可以在步骤S402后立即响应地址查询请求,也可以仅在确定第一安全资源单元与第二安全资源单元属于同一逻辑网络组后才响应地址查询请求。
步骤S412,第一安全资源比较第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源所属的逻辑网络组的逻辑组标签是否一致。
步骤S414,如果第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源单元所属的逻辑网络组的逻辑组标签不一致,第一安全资源单元丢弃地址通告。
步骤S416,如果第一安全资源单元所属的逻辑网络组的逻辑组标签和第二安全资源单元所属的逻辑网络组的逻辑组标签一致,第一安全资源单元学习第二地址信息。
通过采用上述方法,能够在安全资源单元发生网络属性变更后,使变更的安全资源单元及其邻近安全资源单元自动地根据地址通告中的逻辑组标签判定与对方是否属于同一个逻辑网络组,并学习位于同一网络组中的邻近安全资源的地址信息,从而自动地形成连通网络,配置高效并且灵活。
此外,对于系统中新增的安全对象,可以根据其业务属性等配置信息为其分配逻辑网络组。下面参考图5描述本发明一个实施例的安全对象配置方法。
图5为本发明安全对象配置方法的一个实施例的流程图。如图5所示,该实施例的方法包括:
步骤S502,业务配置设备获取新增或变更的安全对象的配置信息。
安全对象的变更例如可以包括安全对象的业务变更、租户变更、网络地址变更等等。这些变更可能会影响到安全对象所属的逻辑网络组的变更。这些变更信息例如可以从云管理平台获取,并将变化的内容添加至配置信息。
步骤S504,业务配置设备将安全对象分配到配置信息对应的逻辑网络组。
在安全对象发生变更或者新增安全对象以后,可以根据安全对象的配置信息分配安全对象对应的安全资源单元,并将其划分到安全资源单元所在的逻辑网络组。从而,安全资源可以采用前述实施例的方法为安全对象提供安全服务。
通过采用上述方法,可以依据安全对象的业务类型等配置信息为其划分到相应的逻辑网络组,并分配相应的安全资源单元,实现了安全资源单元的灵活调度。
下面参考图6描述本发明一个实施例的安全服务系统。
图6为本发明安全服务系统的一个实施例的结构图。如图6所示,该实施例的系统包括:安全资源单元70、安全对象62和业务配置设备64。其中,业务配置设备64包括:配置信息获取模块642,用于获取新增或变更的安全对象62的配置信息;安全对象分组模块644,用于将安全对象62分配到配置信息对应的逻辑网络组。
下面参考图7描述本发明一个实施例的安全资源单元。
图7为本发明安全资源单元的一个实施例的结构图。如图7所示,该实施例的安全资源单元70包括:数据包逻辑标签提取模块71,用于提取发送给安全资源单元70服务的安全对象的数据包中的逻辑标签;数据包逻辑标签比较模块72,用于比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致;安全处理模块73,用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签一致时,继续处理数据包;数据包丢弃模块74,用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致时,丢弃数据包。其中,安全对象62和安全资源单元70位于同一逻辑网络组。
下面参考图8描述本发明另一个实施例的安全资源单元。
图8为本发明安全资源单元的另一个实施例的结构图。如图8所示,该实施例的安全资源单元70还可以包括:协议标签提取模块85、协议标签比较模块86,和/或,还包括源地址信息提取模块87、源地址可信判断模块88。协议标签提取模块85用于提取数据包中的协议标签;协议标签比较模块86用于比较数据包中的协议标签与逻辑网络组对应的协议标签是否一致;源地址信息提取模块87用于提取数据包中的源地址信息;源地址可信判断模块88用于判断数据包中的源地址信息是否为逻辑网络组的许可源地址信息;安全处理模块73进一步用于在数据包中的协议标签与逻辑网络组对应的协议标签一致时,或者,在数据包中的源地址信息为逻辑网络组的许可源地址信息时,继续处理数据包;数据包丢弃模块74进一步用于在数据包中的协议标签与逻辑网络组对应的协议标签不一致时,或者,在数据包中的源地址信息不是逻辑网络组的许可源地址信息时,丢弃数据包。
下面参考图9描述本发明又一个实施例的安全资源单元。
图9为本发明安全资源单元的又一个实施例的结构图。如图9所示,该实施例的安全资源单元70还可以包括:地址通告接收模块91,用于接收邻近安全资源单元发送的地址通告,地址通告包括邻近安全资源单元的逻辑标签和地址信息;地址通告逻辑标签比较模块92,用于比较邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源所属的逻辑网络组的逻辑组标签是否一致;地址通告丢弃模块93,用于当邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源所属的逻辑网络组的逻辑组标签不一致时,丢弃地址通告;地址信息学习模块94,用于当邻近安全资源单元所属的逻辑网络组的逻辑组标签和安全资源所属的逻辑网络组的逻辑组标签一致时,学习地址通告中的地址信息。
在上述实施例中,安全资源单元70可以为发生网络属性变更的安全资源单元70;安全资源单元70还包括地址查询请求发送模块95,用于向邻近安全资源单元发送地址查询请求。
或者,邻近安全资源单元可以为发生网络属性变更的邻近安全资源单元。
其中,网络属性变更包括虚拟网络协议地址变更、物理网络协议地址变更、逻辑网络组变更中的至少一种变更。
此外,根据本发明的方法还可以实现为一种计算机程序产品,该计算机程序产品包括计算机可读介质,在该计算机可读介质上存储有用于执行本发明的方法中限定的上述功能的计算机程序。本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种安全服务方法,其特征在于,包括:
为安全对象服务的安全资源单元提取发送给所述安全对象的数据包中的逻辑标签,所述安全对象和安全资源单元位于同一逻辑网络组;
安全资源单元比较所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签是否一致;
如果所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签一致,安全资源单元继续处理所述数据包;
如果所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签不一致,安全资源单元丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:
安全资源单元提取所述数据包中的协议标签;安全资源单元比较所述数据包中的协议标签与所述逻辑网络组对应的协议是否匹配;如果匹配,安全资源单元继续处理所述数据包;如果不匹配,安全资源单元丢弃所述数据包;和/或,
安全资源单元提取所述数据包中的源地址信息;安全资源单元判断所述数据包中的源地址信息是否为所述逻辑网络组的许可源地址信息;如果是,安全资源单元继续处理所述数据包;如果不是,安全资源单元丢弃所述数据包。
3.根据权利要求1所述的方法,其特征在于,还包括:
安全资源单元接收邻近安全资源单元发送的地址通告,所述地址通告包括所述邻近安全资源单元的地址信息和所述邻近安全资源单元所属的逻辑网络组的逻辑组标签;
安全资源比较所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源所属的逻辑网络组的逻辑组标签是否一致;
如果所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源单元所属的逻辑网络组的逻辑组标签不一致,所述安全资源单元丢弃所述地址通告;
如果所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源单元所属的逻辑网络组的逻辑组标签一致,所述安全资源单元学习所述地址通告中的地址信息。
4.根据权利要求3所述的方法,其特征在于,
所述安全资源单元为发生网络属性变更的安全资源单元;在安全资源单元接收邻近安全资源单元发送的地址通告之前,所述安全资源单元向邻近安全资源单元发送地址查询请求;
或者,所述邻近安全资源单元为发生网络属性变更的邻近安全资源单元。
5.根据权利要求4所述的方法,其特征在于,
所述网络属性变更包括虚拟网络协议地址变更、物理网络协议地址变更、逻辑网络组变更中的至少一种变更。
6.根据权利要求1所述的方法,其特征在于,还包括:
业务配置设备获取新增或变更的安全对象的配置信息;
业务配置设备将安全对象分配到所述配置信息对应的逻辑网络组。
7.一种安全资源单元,其特征在于,包括:
数据包逻辑标签提取模块,用于提取发送给所述安全资源单元服务的安全对象的数据包中的逻辑标签;
数据包逻辑标签比较模块,用于比较所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签是否一致;
安全处理模块,用于当所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签一致时,继续处理所述数据包;
数据包丢弃模块,用于当所述数据包中的逻辑标签与所述逻辑网络组的逻辑组标签不一致时,丢弃所述数据包;
其中,所述安全对象和安全资源单元位于同一逻辑网络组。
8.根据权利要求7所述的安全资源单元,其特征在于,
还包括协议标签提取模块、协议标签比较模块,和/或,还包括源地址信息提取模块、源地址可信判断模块;
所述协议标签提取模块用于提取所述数据包中的协议标签;
所述协议标签比较模块用于比较所述数据包中的协议标签与所述逻辑网络组对应的协议是否匹配;
所述源地址信息提取模块用于提取所述数据包中的源地址信息;
所述源地址可信判断模块用于判断所述数据包中的源地址信息是否为所述逻辑网络组的许可源地址信息;
所述安全处理模块进一步用于在所述数据包中的协议标签与所述逻辑网络组对应的协议匹配时,或者,在所述数据包中的源地址信息为所述逻辑网络组的许可源地址信息时,继续处理所述数据包;
所述数据包丢弃模块进一步用于在所述数据包中的协议标签与所述逻辑网络组对应的协议不匹配时,或者,在所述数据包中的源地址信息不是所述逻辑网络组的许可源地址信息时,丢弃所述数据包。
9.根据权利要求7所述的安全资源单元,其特征在于,还包括:
地址通告接收模块,用于接收邻近安全资源单元发送的地址通告,所述地址通告包括所述邻近安全资源单元的地址信息和所述邻近安全资源单元所属的逻辑网络组的逻辑组标签;
地址通告逻辑标签比较模块,用于比较所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源所属的逻辑网络组的逻辑组标签是否一致;
地址通告丢弃模块,用于当所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源所属的逻辑网络组的逻辑组标签不一致时,丢弃所述地址通告;
地址信息学习模块,用于当所述邻近安全资源单元所属的逻辑网络组的逻辑组标签和所述安全资源所属的逻辑网络组的逻辑组标签一致时,学习所述地址通告中的地址信息。
10.根据权利要求9所述的安全资源单元,其特征在于,
所述安全资源单元为发生网络属性变更的安全资源单元;所述安全资源单元还包括地址查询请求发送模块,用于向邻近安全资源单元发送地址查询请求;或者,
所述邻近安全资源单元为发生网络属性变更的邻近安全资源单元。
11.根据权利要求10所述的安全资源单元,其特征在于,
所述网络属性变更包括虚拟网络协议地址变更、物理网络协议地址变更、逻辑网络组变更中的至少一种变更。
12.一种安全服务系统,其特征在于,包括:
权利要求7-11中任一项所述的安全资源单元,
安全对象,和,
业务配置设备,所述业务配置设备包括:
配置信息获取模块,用于获取新增或变更的安全对象的配置信息;
安全对象分组模块,用于将安全对象分配到所述配置信息对应的逻辑网络组。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610851384.7A CN107872335B (zh) | 2016-09-26 | 2016-09-26 | 安全服务方法和系统以及安全资源单元 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610851384.7A CN107872335B (zh) | 2016-09-26 | 2016-09-26 | 安全服务方法和系统以及安全资源单元 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107872335A true CN107872335A (zh) | 2018-04-03 |
CN107872335B CN107872335B (zh) | 2020-12-18 |
Family
ID=61751865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610851384.7A Active CN107872335B (zh) | 2016-09-26 | 2016-09-26 | 安全服务方法和系统以及安全资源单元 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107872335B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112737973A (zh) * | 2020-12-14 | 2021-04-30 | 安徽继远软件有限公司 | 一种基于协议感知的电力网络监控方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101014008A (zh) * | 2007-02-15 | 2007-08-08 | 杭州华为三康技术有限公司 | 多协议标签交换业务分类处理方法及网络设备 |
CN101448023A (zh) * | 2008-09-09 | 2009-06-03 | 创新科存储技术(深圳)有限公司 | 一种访问存储设备中逻辑单元的方法及装置 |
US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
WO2012159338A1 (zh) * | 2011-07-21 | 2012-11-29 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
CN103607432A (zh) * | 2013-10-30 | 2014-02-26 | 中兴通讯股份有限公司 | 一种网络创建的方法和系统及网络控制中心 |
US20150281059A1 (en) * | 2014-03-27 | 2015-10-01 | Nicira, Inc. | Host architecture for efficient cloud service access |
CN105871573A (zh) * | 2015-01-20 | 2016-08-17 | 国家计算机网络与信息安全管理中心 | 一种报文分析过滤方法及装置 |
-
2016
- 2016-09-26 CN CN201610851384.7A patent/CN107872335B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101014008A (zh) * | 2007-02-15 | 2007-08-08 | 杭州华为三康技术有限公司 | 多协议标签交换业务分类处理方法及网络设备 |
CN101448023A (zh) * | 2008-09-09 | 2009-06-03 | 创新科存储技术(深圳)有限公司 | 一种访问存储设备中逻辑单元的方法及装置 |
US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
WO2012159338A1 (zh) * | 2011-07-21 | 2012-11-29 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
CN103607432A (zh) * | 2013-10-30 | 2014-02-26 | 中兴通讯股份有限公司 | 一种网络创建的方法和系统及网络控制中心 |
US20150281059A1 (en) * | 2014-03-27 | 2015-10-01 | Nicira, Inc. | Host architecture for efficient cloud service access |
CN105871573A (zh) * | 2015-01-20 | 2016-08-17 | 国家计算机网络与信息安全管理中心 | 一种报文分析过滤方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112737973A (zh) * | 2020-12-14 | 2021-04-30 | 安徽继远软件有限公司 | 一种基于协议感知的电力网络监控方法及系统 |
CN112737973B (zh) * | 2020-12-14 | 2024-04-30 | 安徽继远软件有限公司 | 一种基于协议感知的电力网络监控方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107872335B (zh) | 2020-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111095901B (zh) | 服务操作链接方法、设备、系统、以及可读存储介质 | |
US11671898B2 (en) | Systems and methods for routing data | |
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
CN103718527B (zh) | 一种通信安全处理方法、装置及系统 | |
CN108632098A (zh) | 流分类器、业务路由触发器、报文处理的方法和系统 | |
CN101741855B (zh) | 地址解析协议缓存表维护方法和网络设备 | |
US8798046B2 (en) | Methods and apparatus for providing unique MAC address to individual node for fibre channel over Ethernet (FCoE) traffic | |
CN101088256A (zh) | 与通信系统中的分组流有关的装置和方法 | |
US20150381478A1 (en) | Proxy for port to service instance mapping | |
CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
CN110493366A (zh) | 一种接入点加入网络管理的方法及装置 | |
CN106603550A (zh) | 一种网络隔离方法及装置 | |
CN107046506A (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
CN110933048B (zh) | 一种基于报文识别异常应用操作的方法和设备 | |
CN107864162A (zh) | 融合网关双系统及其通信安全保护方法 | |
CN105704206A (zh) | 与led显示控制卡进行以太网通信的实现方法 | |
CN109600726A (zh) | 流量分类控制方法、装置、系统、设备以及存储介质 | |
CN114205282B (zh) | SRv6 Policy的调度方法、系统、路由器和控制器 | |
CN104348638A (zh) | 识别会话流量的业务类型的方法、系统及设备 | |
CN105591967B (zh) | 一种数据传输方法和装置 | |
CN103888435B (zh) | 用于业务接纳控制的方法、装置和系统 | |
CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
CN105933235A (zh) | 数据通信方法及装置 | |
CN107547676A (zh) | 一种地址处理方法及装置 | |
CN107872335A (zh) | 安全服务方法和系统以及安全资源单元 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |