CN115396172A - 安全服务接入方法、装置、设备及存储介质 - Google Patents
安全服务接入方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115396172A CN115396172A CN202211006970.3A CN202211006970A CN115396172A CN 115396172 A CN115396172 A CN 115396172A CN 202211006970 A CN202211006970 A CN 202211006970A CN 115396172 A CN115396172 A CN 115396172A
- Authority
- CN
- China
- Prior art keywords
- node
- pop
- information
- target terminal
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000004891 communication Methods 0.000 claims abstract description 107
- 238000001514 detection method Methods 0.000 claims abstract description 79
- 230000005540 biological transmission Effects 0.000 claims abstract description 50
- 238000012216 screening Methods 0.000 claims abstract description 26
- 230000004044 response Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 9
- 239000002957 persistent organic pollutant Substances 0.000 description 224
- 230000008859 change Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 239000000523 sample Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 230000036541 health Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 101150025129 POP1 gene Proteins 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种安全服务接入方法、装置、设备及存储介质,所述方法应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;所述方法包括:获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;根据所述接入请求信息在多个POP节点中筛选至少一候选节点;将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
Description
技术领域
本申请涉及但不限于网络安全技术领域,尤其涉及一种安全服务接入方法、装置、设备及存储介质。
背景技术
随着用户量上涨,通信数据总量剧增,云上的安全服务平台提供商需要在全球范围内搭建更多的POP节点以支撑暴涨的通信数据,利用边缘分布的POP节点为用户提供安全服务。现有技术中提供了一种通信数据就近接入POP节点的方案,即选择和用户的通信数据距离最近的POP节点进行接入,以提升云上的安全服务平台的效率。
然而网络环境复杂多变,即使接入距离最近的POP节点,也可能会随着网络环境的变化而变化;另外,如果大量用户的流量被接入到同一个最近的POP节点,反而会降低云上的安全服务平台产品的效率。因此,如何选择出适合用户需求的POP节点,成为亟待解决的问题。
发明内容
基于相关技术存在的问题,本申请实施例提供一种安全服务接入方法、装置、设备及存储介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种安全服务接入方法,所述方法应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;所述方法包括:
获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;
根据所述接入请求信息在多个POP节点中筛选至少一候选节点;
将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,所述多个POP节点中,各POP节点提供相同的安全能力;或者,所述多个POP节点中,部分POP节点提供相同的安全能力。
在一些实施例中,所述安全能力通过虚拟机或者容器承载。
在一些实施例中,所述根据所述接入请求信息在多个POP节点中筛选至少一候选节点包括:
根据运营商信息确定第一分值及根据传输协议信息确定第二分值;
根据预设的权重信息对所述第一分值及所述第二分值进行加权运算,得到总分值,根据所述总分值在多个POP节点中筛选至少一候选节点。
在一些实施例中,根据所述安全服务于需求方请求的服务类型,或者所述安全服务的重要程度,或者POP节点的承载能力部署各POP节点的安全能力。
第二方面,本申请实施例提供一种安全服务接入方法,所述方法应用于引流器,所述引流器用于将目标终端的通信数据引流到安全服务平台中的POP节点,所述POP节点用于提供所述安全服务对应的安全能力,所述目标终端包括安全服务需求方对应的终端;所述方法包括:
接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;
根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,若所述候选节点有多个,相应地,所述根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测,包括:
根据所述标识信息分别向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;
根据所述通信质量参数在各候选节点中筛选待接入的POP节点;
将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
在一些实施例中,在接收到候选节点之后,在所述候选节点中选择一POP节点作为初始节点,根据所述初始节点对应的标识信息将目标终端的通信数据引流到所述初始节点进行安全检测;
相应地,在确定待接入的POP节点之后,若所述待接入的POP节点和所述初始节点不同,根据所述待接入的POP节点的标识信息将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
在一些实施例中,在根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测之后,所述方法还包括:
根据预设的触发条件重新执行向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;
根据所述通信质量参数在各候选节点中筛选待接入的POP节点;
将目标终端的通信数据引流到所述待接入的POP节点进行安全检测的操作;
其中,所述预设的触发条件至少包括:所述引流器的网络状态发生变化,或者,所述引流器的连接状态发生变化;或者,所述引流器的IP地址发生变化,或者,每隔预设时间。
第三方面,本申请实施例提供一种安全服务接入装置,所述装置应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;所述装置包括:
获取模块,用于获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;
筛选模块,用于根据所述接入请求信息在多个POP节点中筛选至少一候选节点;
发送模块,用于将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
第四方面,本申请实施例提供一种安全服务接入装置,所述装置应用于引流器,所述引流器用于将目标终端的通信数据引流到安全服务平台中的POP节点,所述POP节点用于提供所述安全服务对应的安全能力,所述目标终端包括安全服务需求方对应的终端;装置包括:
接收模块,用于接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;
安全检测模块,用于根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
第五方面,本申请实施例提供一种安全服务平台,所述平台至少包括中心端、引流器和多个POP节点;所述中心端分别与引流器和多个POP节点连接,所述引流器与多个pop节点连接;其中,
所述中心端,用于获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;根据所述接入请求信息在多个POP节点中筛选至少一候选节点;将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测;
所述引流器,用于接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
第六方面,本申请实施例提供一种安全服务接入设备,包括处理器和存储器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述安全服务接入方法。
第七方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述安全服务接入方法。
第八方面,本申请实施例提供一种计算机程序产品,所述计算机程序产品包括可执行指令,所述可执行指令存储在计算机可读存储介质中;当安全服务接入设备的处理器从所述计算机可读存储介质读取所述可执行指令,并执行所述可执行指令时,实现上述安全服务接入方法。
本申请实施例提供的安全服务接入方法、装置、设备及存储介质,一方面,安全服务平台的中心端获取目标终端发送的包括运营商信息和传输协议信息的接入请求信息,在安全服务平台的多个POP节点中筛选出至少一候选节点,引流器根据候选节点的标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。由于本申请实施例可以根据目标终端的接入请求,在安全服务平台的多个POP节点中确定出满足目标终端接入请求需求的候选节点,并通过筛选出的候选节点来对目标终端的通信数据提供安全服务,因此,目标终端可以通过优选的接入点快速接入安全服务平台,提高SASE产品的接入效率,实现了目标终端数据传输的优化与加速;另一方面,引流器根据候选节点的标识信息将目标终端的通信数据引流到对应POP节点进行安全检测,使得目标终端能够使用对应POP节点提供的安全服务,保证了数据安全和企业网络的安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
图1是本申请实施例提供的安全服务接入方法的应用场景示意图;
图2是本申请实施例提供的一种安全服务接入方法的交互流程示意图;
图3是本申请实施例提供的一种安全服务接入方法的交互流程示意图;
图4是本申请实施例提供的一种安全服务接入方法的实现流程示意图;
图5是本申请实施例提供的一种安全服务接入装置示意图一;
图6是本申请实施例提供的一种安全服务接入装置示意图二;
图7是本申请实施例提供的一种安全服务接入设备的硬件实体示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
图1是本申请实施例提供的安全服务接入方法的应用场景示意图。本申请实施例提供的安全服务平台10中包括中心端100及引流器300,安全服务平台中包括多个POP节点,如POP-1至POP-n。这里,引流器300可以包括硬件引流器或软件引流器,硬件引流器可以部署在目标终端200的网络出口处(比如路由器处,网关处等);软件引流器可以安装在目标终端200上。为了便于理解,下面以引流器300通过软件的形式,安装于目标终端200上为例进行说明。
如图1所示,目标终端200在进行安全服务接入时,安全服务平台的中心端100获取目标终端200发送的包括运营商信息和传输协议信息的接入请求信息,其中,目标终端200包括安全服务需求方对应的终端,安全服务平台的中心端100根据接入请求信息,在多个POP节点中筛选至少一候选节点,并将至少一候选节点的标识信息发送至目标终端200对应的引流器300,引流器300截取安全服务需求方对应的终端的通信数据,并根据标识信息将通信数据引流到对应POP节点进行安全检测。
图2是本申请实施例提供的一种安全服务接入方法的交互流程示意图,如图2所示,本申请实施例展示了安全服务平台与目标设备对应的引流器之间的交互流程,下面以引流器通过软件的形式,安装于目标终端上为例进行说明。该方法通过步骤S201至步骤S206实现:
这里,步骤S201至步骤S203应用于安全服务平台的中心端,安全服务平台包括多个POP节点,每一POP节点用于提供安全服务对应的安全能力。
步骤S201、安全服务平台的中心端获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端。
在一些实施例中,接入请求信息是指目标终端基于安装于目标终端上的引流器发出的,用于请求接入安全服务平台的信息,安全服务平台中心端接收到接入请求信息之后,在安全服务平台中的多个POP节点中确定出待接入的候选节点,候选节点提供有目标终端需求的安全服务对应的安全能力,例如,上网行为管理、终端检测响应、敏感信息外泄管控、风险应用拦截、工作无关应用流量管控、U盘管控和/或病毒查杀/处理等安全服务。
这里,安全服务平台可以是SASE(Secure Access Service Edge,安全访问服务边缘)平台,安全服务平台是基于云的网络和网络安全服务融合的架构。SASE是一种基于实体的身份、实时上下文、企业安全/合规策略、以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。安全服务平台的中心端是SASE的大脑,能对所有的POP节点、服务进行管控、调度。
POP节点位于网络的边缘外侧,是访问网络的进入点,用户的通信数据通过POP节点来获取外界提供的服务,这些服务包括因特网(Internet)接入,广域连接以及电话服务。
这里,运营商信息可以是指为目标终端提供网络服务的供应商的信息,可以是供应商的名称,例如,移动运营商、或联通运营商,或电信运营商、或中国广电运营商,或中国铁路运营商等;所述运营商信息还可以是运营商的标识,比如用46001标识移动运营商、46002标识联通运营商等。传输协议信息可以是指目标终端对应的引流器使用的传输协议的名称,目标终端可以采用多种数据传输协议,例如,目标终端可以采用安全套接层(secure socket layer,ssl)、互联网安全协议(Internet Protocol Security,IPsec)、用户数据报协议(User Datagram Protocol,UDP)和实时传输协议(Real-time TransportProtocol,RTP);所述传输协议信息还可以是目标终端对应的引流器使用的数据传输协议的报文格式,比如各种传输协议的报文格式不同,以不同的报文格式标识不同的传输协议。
步骤S202、安全服务平台的中心端根据所述接入请求信息在多个POP节点中筛选至少一候选节点。
在一些实施例中,可以根据接入请求信息中的运营商信息及传输协议信息在安全服务平台中的多个POP节点中选择至少一个候选节点。优选地,可以是选择运营商信息及传输协议信息均符合要求的POP节点作为候选节点。
在一些其他的实施例中,还可以根据接入请求信息中的运营商信息和传输协议信息,通过多元加权计算得到安全服务平台的多个POP节点中每一个POP节点的总分值,按照总分值的大小,在多个POP节点中筛选出至少一个候选节点。中心端根据运营商信息及传输协议信息对安全服务使用的重要程度为运营商信息及传输协议信息分别分配权值,根据权值计算运营商信息对应的第一分数及传输协议信息对应的第二分数,将第一分数和第二分数相加得到总分值,根据总分值的由高到低依次选取预设数量的POP节点作为候选节点。
比如,每一个POP节点的总分值可以通过运营商信息对应的第一分值和传输协议信息对应的第二分值计算得到。其中,第一分值可以根据POP节点的运营商来确定,POP节点的运营商与接入请求信息中的运营商信息相同时,第一分值高,可以是100分;POP节点的运营商与接入请求信息中的运营商信息不同时,第一分值低,可以是50分。第二分值可以根据每一POP节点的传输协议信息来确定,不同传输协议信息设置不同分值,例如,ssl协议为100分;IPsec协议为80分,传输协议信息的分值可以根据传输协议的稳定性、传输协议的传输效率或者用户需求等设定。
在一些实施例中,在进行总分值计算时,可以为运营商信息和传输协议信息预先设定不同的权重信息,例如,运营商信息对应的第一分值占总分值的60%;传输协议信息对应的第二分值占总分值的40%。根据预设的权重信息对第一分值及第二分值进行加权运算,得到总分值,根据总分值在多个POP节点中筛选出至少一个候选节点。
在一些其他的实施例中,在进行每一POP节点的总分值计算时,在运营商信息和传输协议信息的基础上,还可以通过每一POP节点的位置信息和/或每一POP节点对应服务器的业务饱和度(可以根据该POP节点对应服务器的带宽、CPU、内存和/或IO等参数来计算业务饱和度)来计算总分值。这里,可以根据每一POP节点的位置与目标终端位置的远近来确定第三分值,离目标终端越近的POP节点的第三分值越高。POP节点服务器的业务饱和度越低,该POP节点对应的第四分值越高。本申请实施例还可以对第三分值和第四分值设置权重信息,通过对第一分值、第二分值、第三分值和/或第四分值对每一分值对应的权重进行多元加权计算来得到每一POP节点的总分值。
在一些实施例中,目标终端发送的接入请求信息还可以包括目标终端的位置信息,以使中心端在筛选候选节点的时候考虑考虑位置信息的因素,比如中心端还可以选择距离目标终端所在位置信息最近的POP节点作为候选节点,以减少通信数据的传输距离,提升传输效率。
步骤S203、安全服务平台的中心端将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,目标终端对应一引流器,引流器用于截取用户的通信数据,并将用户的通信数据引流到POP节点上进行处理。引流器包括硬件引流器及软件引流器,硬件引流器部署在用户网络出口处(比如路由器处,网关处等);软件引流器可以安装在用户终端上。
这里,安全服务平台在确定出接入请求信息对应的至少一个候选节点之后,可以将每一个候选节点的标识信息发送至引流器,引流器根据候选节点的标识信息将目标终端的通信数据引流到标识信息对应的POP节点,以使标识信息对应的POP节点利用其内置的安全能力(例如,上网行为管理、终端检测响应、敏感信息外泄管控、风险应用拦截、工作无关应用流量管控、U盘管控、病毒查杀/处理等安全服务)对所述通信数据进行安全检测。如果标识信息对应的POP节点多通信数据的安全检测为通过,则标识信息对应的POP节点将该通信数据发送到其目的地址对应终端,比如,用户通信数据是访问百度的资源,在标识信息对应的POP节点的安全检测通过后将该通信数据发送到百度服务器请求资源。候选节点的标识信息可以是候选节点的IP地址。
在一些实施例中,POP节点对接入的通信数据进行安全检测可以是指根据用户制定的安全策略,即目标终端需求的安全服务,来提供与需求的安全服务对应的安全能力,例如,对上网行为进行管理、文件识别、终端检测响应、敏感信息外泄管控、风险应用拦截、工作无关应用流量管控、U盘管控、病毒查杀/处理中至少一个安全服务。
在一些实施例中,由于安全服务平台是部署在用户的通信数据和其访问资源之间的,因此,安全服务平台的工作效率是提高用户体验的一个重要的因素。因此,为了给用户提供快速的安全服务,安全服务平台可以在全球各地部署多个POP节点。在多个POP节点中,为了使用户随时随地可以使用优选的POP节点来访问资源,各POP节点可以提供相同的安全能力,即所有的POP节点可以提供完全一致的安全能力。这里,当各POP节点提供相同的安全能力时,即使是远程办公,或者出差的用户,也可以使用优选的POP节点来访问资源。比如,用户A在公司办公时,中心端为其分配的是POP节点1提供安全服务;但是在用户A出差到另一个区域B,此时,POP节点1在区域B已经不是优选的POP节点了,中心端经过分析后发现在区域B优选的POP节点是POP节点2,那么此时,由于用户A需要的安全服务未发生改变,则需要POP节点2提供和POP节点1相同的安全能力。
在另一些实施例中,由于POP节点的部署需要高性能的处理器,存储器等,考虑到POP节点部署成本及其工作效率的问题,在多个POP节点中,还可以是部分POP节点提供相同的安全能力,即多个POP节点可以提供不同的安全能力,比如,安全服务平台包括15个POP节点,其中,5个POP节点可以提供相同的安全能力(比如上网行为管理的能力和终端检测和响应的安全能力),另外5个POP节点可以提供和前面5个POP节点不相同的安全能力(比如敏感信息外泄管控的能力和风险应用拦截的能力),最后5个POP节点可以提供和前面10个POP节点不相同的安全能力(比如U盘管控能力)。
在一些实施例中,POP节点提供的安全能力可以通过虚拟机或者容器承载。即,安全能力可以由虚拟机提供或容器提供。可以减少物理服务器部署的成本问题,另外,通过虚拟机或容器部署安全能力的可扩展性更强,可以实时调整各POP节点的安全能力,更符合用户需求。
在一些实施例中,安全服务平台可以根据安全服务于需求方请求的服务类型,或者安全服务的重要程度,或者POP节点的承载能力部署各POP节点的安全能力。这里,POP节点的承载能力可以是POP节点内部服务器的承载能力,例如服务器带宽、CPU性能、内存容量或IO性能;POP节点的安全能力还可以是根据终端用户的需求确定的,对部分用户而言,员工上网行为管理的重要程度最高;对部分用户而言,敏感信息外泄管控的重要程度最高。该安全服务的重要程度还可以是根据该安全服务对应的攻击对用户的危害程度确定的,比如,勒索病毒攻击对用户的危害程度比较高,则可以考虑在多个POP节点上部署勒索病毒检测的安全能力。使得每个POP节点的安全能力与用户需求更匹配,还更好的利用了POP节点资源,节省了带宽,减少了不必要的POP节点建设,避免造成资源浪费的问题,降低了POP节点部署成本。
本申请实施例提供的安全服务平台的中心端获取目标终端发送的包括运营商信息和传输协议信息的接入请求信息,在安全服务平台的多个POP节点中确定出满足目标终端接入请求需求的候选节点,并通过筛选出的候选节点来对目标终端的通信数据提供安全服务,因此,目标终端可以通过优选的接入点快速接入安全服务平台,提高SASE产品的接入效率,实现了目标终端数据传输的优化与加速。
在本申请实施例中,图2中的步骤S204和步骤S205应用于引流器,所述引流器用于将目标终端的通信数据引流到安全服务平台中的POP节点,所述POP节点用于提供所述安全服务对应的安全能力,所述目标终端包括安全服务需求方对应的终端。
步骤S204、引流器接收安全服务平台的中心端发送的候选节点对应的标识信息。
步骤S205、引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点。
在一些实施例中,安全服务平台确定出至少一候选节点之后,将每一候选节点的标识信息发送至目标终端的引流器,引流器接收安全服务平台发送的候选节点对应的标识信息,并根据标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,目标终端的通信数据引流到对应POP节点进行安全检测可以是指POP节点根据目标终端配置的安全策略,对引流到POP节点的通信数据进行管理和安全检测。
本申请实施例提供的引流器根据候选节点的标识信息将目标终端的通信数据引流到对应POP节点进行安全检测,使得目标终端能够使用对应POP节点提供的安全服务,保证数据安全和企业网络的安全。
步骤S206、安全服务平台中对应的POP节点进行安全检测。
在一些实施例中,引流器根据标识信息将目标终端的通信数据引流到对应POP节点,即候选节点之后,候选节点进行安全检测。
在本申请实施例中,图3是本申请实施例提供的一种安全服务接入方法的交互流程示意图,如图3所示,针对目标终端对应的引流器,当接收到的候选节点为多个时,步骤S205可以通过步骤S301至步骤S303实现:
步骤S301、引流器根据所述标识信息分别向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息。
在一些实施例中,引流器可以根据每一候选节点的标识信息,分别向每一候选节点发送探测信息,例如,可以是发送数据包,根据数据包的响应信息来确定每一个候选节点的通信质量参数。响应信息可以是各候选节点针对接收到的探测信息回复的信息。这里,通信质量参数可以是是指吞吐率、响应时延、信号损耗、丢包率和/或抖动值等用于衡量通信质量的参数。
表1是本申请实施例提供的候选节点表格,如表1所示:
表1
步骤S302、引流器根据所述通信质量参数在各候选节点中筛选待接入的POP节点。
在一些实施例中,引流器可以根据每一候选节点的通信质量参数,在各候选节点中筛选待接入的POP节点,例如,可以是将响应时延最低的候选节点作为引流器对应的待接入的POP节点;也可以是根据响应时延的大小进行排序,根据需求将响应时延最低的几个候选节点作为引流器对应的待接入的POP节点。
当目标终端的位置在深圳,运营商为运营商A线路时,目标终端对应的引流器分别向每一候选节点发送探测信息,即对每个候选节点的每个服务器对应的每个运营商的每个协议进行探测,得到的响应信息如表2所示:
表2
如表2所示,可以将响应时延作为各候选节点的通信质量参数,向每一候选节点发送探测信息后,得到的结果是位置1候选节点的A服务器的运营商A线路ssl协议的响应时延最低为10毫秒(ms),可以将该候选节点作为引流器待接入的POP节点。
在一些实施例中,还可以根据目标终端的需求和每个POP节点部署的安全能力,来确定待接入的POP节点的数量。这里,当多个POP节点中,各POP节点提供相同的安全能力时,可以将通信质量参数最高的候选节点作为待接入的POP节点;当多个POP节点中,部分POP节点提供相同的安全能力时,需要根据目标终端(即需求方)请求的服务类型、每一候选节点提供的安全能力和通信质量参数来确定引流器待接入的POP节点,例如,在表2中,位置1候选节点的A服务器的运营商A线路ssl协议提供的安全能力是上网行为管理,位置2候选节点的A服务器的运营商A线路IPsec协议和位置2候选节点的B服务器的运营商A线路ssl协议提供的安全能力均是风险应用拦截,当需求方请求的服务类型为上网行为管理和风险应用拦截时,根据响应时延可以将位置1候选节点的A服务器的运营商A线路ssl协议和位置2候选节点的A服务器的运营商A线路IPsec协议确定为引流器待接入的POP节点。
步骤S303、引流器将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
在一些实施例中,引流器将目标终端的通信数据引流到待接入的POP节点之后,POP节点根据目标终端请求的安全服务,对引流到POP节点的通信数据进行管理和安全检测。
本申请实施例通过每一候选节点的通信质量参数来确定出目标终端对应的安全服务平台中的待接入的POP节点,通过发送探测信息得到响应信息来确定通信质量参数时,充分考虑了目标终端的网络环境、安全服务平台的网络环境、运营商和传输协议对网络环境的影响,优化了安全服务平台与目标终端的引流器之间交互的性能;引流器通过待接入的POP节点接入安全服务平台,能够提高引流效率,提高用户使用体验。
在一些实施例中,为了防止引流器在进行探测时,收到响应信息时间太长,导致目标终端断网的问题,引流器在接收到多个候选节点的情况下,可以在候选节点中先选择一POP节点作为初始节点,根据初始节点对应的标识信息先将目标终端的通信数据引流到初始节点进行安全检测。
优选地,初始节点可以是至少一个候选节点中总分值最高的POP节点。
相应地,引流器在至少一个候选节点中确定引流器待接入的POP节点之后,如果待接入的POP节点和引流器已接入的初始节点不同,根据待接入的POP节点的标识信息将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
如此,本申请实施例不仅保证了目标终端的网络连贯性,还使得目标终端连接的POP节点始终是当前优选的POP节点,保证了目标终端的数据传输质量。
在一些实施例中,图4是本申请实施例提供的一种安全服务接入方法的实现流程示意图,如图4所示,在根据标识信息将目标终端的通信数据引流到对应POP节点进行安全检测之后,本申请实施例提供的安全服务接入方法还可以具有步骤S401至步骤S403:
步骤S401、根据预设的触发条件重新执行向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,响应信息是各候选节点针对接收到的探测信息回复的信息。
在一些实施例中,预设的触发条件包括以下至少之一:引流器的网络状态发生变化;引流器的连接状态发生变化;引流器的IP地址发生变化;每隔预设时间。其中,引流器的网络状态发生变化可以是引流器的网络由第四代网络(4generation,4G)变为5G或无线网络(Wireless Fidelity,WIFI),也可以是引流器的网络运营商由运营商A变为运营商B。引流器的连接状态发生变化可以是引流器与POP节点之间的接入隧道断开。引流器的IP地址发生变化可以是指引流器的出口公网IP发生变化。预设时间可以是目标终端制定用户策略时设置的,预设时间可以是每小时。
在本申请实施例中,当安全服务平台在对通信数据进行安全检测的过程中,满足预设的触发条件时,例如,引流器的网络状态发生变化时,引流器可以重新向每一候选节点发送探测信息,根据响应信息再次确定各候选节点对应当前引流器的网络状态的通信质量参数,实时调整引流器接入的POP节点,使得目标终端连接的POP节点始终是当前优选的POP节点,保证了目标终端的数据传输质量。确定通信质量参数的方法可以参见相关技术,在此不再赘述。
步骤S402、根据通信质量参数在各候选节点中筛选待接入的POP节点。
这时,待接入的POP节点是指在满足预设的触发条件之后的引流器对应的当前优选POP节点。筛选待接入的POP节点的方法可以与前述实施例提供的方法相同或不同。
步骤S403、将目标终端的通信数据引流到待接入的POP节点进行安全检测的操作。
本申请实施例实时监测网络状态的变化,根据网络状态的变化调整引流器的接入POP节点,使得目标终端在遇到网络状态变化等突发情况时,本申请实施例可以实时调整引流器的接入POP节点,避免终端断网造成损失,优化了安全服务平台的性能。
本申请实施例再提供一种安全服务接入方法在实际场景中的应用。
本申请实施例通过SASE中心端(即安全服务平台的中心端)在SASE(即安全服务平台)中挑选一批健康的候选接入点(即候选节点)下发给接入设备(即目标终端)。接入设备通过探测的方式,从这一批候选接入点挑选出优选接入点(即待接入的POP节点)进行接入。在持续访问过程中,不断地对候选点探测,如果有更好的接入点,通过快速地切换更优接入点。
本申请实施例通过竞选运营商、接入方式、POP节点、POP节点内部服务器和传输协议来确定优选接入点,因此能选择出接入设备对应的接入SASE服务的优选接入点,从而给接入设备带来更好的SASE体验。本申请实施例有利于SASE节点的搭建,能让接入设备更好的利用POP节点资源、节省带宽以及减少不必要的POP节点建设,从而降低SASE服务POP节点搭建成本。
本申请实施例提供的安全服务接入方案中,首先,SASE中心端根据接入设备的ip地址,通过查ip地址库,判定接入设备的地理位置和运营商信息。以接入设备所在地理位置为中心挑选出一批健康候选接入点下发给接入设备。其次,接入设备接收到健康候选接入点的接入点信息后,启用竞赛接入方式对这些接入点进行探测,挑选出优选接入点进行接入。最后,在接入引流后,实时监视网络状态变化,当网络发生变更时,重新进行竞赛选出优选接入点。
在一些实施例中,接入点选择需要接入设备对接入点进行探测,而SASE组网的接入点通常很多,如果全部给接入设备进行探测,没必要的一些接入点将会浪费接入设备的资源。因此,在接入设备接入SASE中心端时,SASE中心端需要选择一批健康候选接入点给接入设备。
本申请实施例可以通过多元加权方式选出健康候选接入点。
首先,SASE中心端根据接入设备的IP地址,通过查IP地址库判定接入设备的地理位置和运营商信息,选择以接入设备为中心最近的位置的20个健康POP节点,根据接入设备与POP节点之间的距离得到位置分值,距离越近,位置分值越高,位置分值可以占总分值的30%。其次,根据20个健康POP节点中每个POP节点的每个服务器业务饱和度,得到服务器分值,服务器业务饱和越低,该POP节点对应的服务器分值越高,服务器分值可以占总分值的30%。最后,可以根据接入设备与POP节点是否具有同运营商线路,计算运营商分值,运营商分值可以占总分值的20%。
对位置分值、服务器分值、运营商分值和每一分值对应的权重进行多元加权计算,得到每一候选接入点的总分值,可以将总分值在全部总分值中位数以上的候选接入点发送至接入设备。在一些实施例中,还可以将其他因素计入总分值的计算,例如传输协议。
在本申请实施例中,当接入设备收到候选接入点后,首先,接入总分值最高的接入点,以防止接入设备探测过慢导致接入设备断网。然后,启用竞赛接入方式对这些候选接入点进行探测选出优选接入点:对每个候选接入点的每条线路、每个隧道传输模式都进行拨测,响应时间最短者胜出。最终,根据探测的结果,挑选出时延最低的接入点进行接入。假设接入设备是深圳的运营商A线路,现请求SASE中心端获取到如下表3的候选接入点:
表3
然后,接入设备根据候选接入点的信息,为每个POP的每个服务器的每个运营商的每个协议进行探测。假设探测结果如下表4所示:
表4
表4结果显示为位置1POP节点的A服务器的运营商A线路ssl协议时延最低为10ms,那么,接入设备会将尝试跟这个接入点进行连接,连接成功后替换掉旧的接入点。
在一些实施例中,在接入设备接入引流后,实时监视网络状态变化,当网络发生变更时,可以重新进行竞赛选出优选接入点。网络发生变更可以是接入隧道传输断开或接入设备的出口网络发生变更,例如4G切wifi。探测方法可以是接受网络变化事件,如果系统网络发生变更,则重新触发上述竞赛流程;或者定期拨测SASE中心端,SASE中心端返回接入设备的出口公网IP,从而感知自己的出口公网IP是否发生了变化。
本申请实施例提出一种SASE中心端根据多因素选择候选接入点的方式,包含地理距离、业务繁忙程度(带宽、CPU、内存、IO等)、是否具备同运营商以及拓展因素;还提出一种接入设备对POP节点、运营商线路、协议、服务器进行接入点竞赛探测的方法;还提出一种实时监测网络状态变更、进行接入点竞赛探测的方法。使得本申请实施例能选择出接入设备对应的接入SASE服务的优选接入点,从而给接入设备带来更好的SASE体验。本申请实施例有利于SASE节点的搭建,能让接入设备更好的利用POP节点资源、节省带宽以及减少不必要的POP节点建设,从而降低SASE服务POP节点搭建成本。
基于上述实施例,本申请实施例提供一种安全服务接入装置,所述装置应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;图5是本申请实施例提供的一种安全服务接入装置示意图一,如图5所示,所述装置50包括获取模块501、筛选模块502和发送模块503。
获取模块501,用于获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;
筛选模块502,用于根据所述接入请求信息在多个POP节点中筛选至少一候选节点;
发送模块503,用于将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,所述装置50还包括提供模块,用于安全服务平台的所述多个POP节点中,各POP节点提供相同的安全能力;或者,所述多个POP节点中,部分POP节点提供相同的安全能力。
在一些实施例中,筛选模块502还用于根据运营商信息确定第一分值及根据传输协议信息确定第二分值;根据预设的权重信息对所述第一分值及所述第二分值进行加权运算,得到总分值,根据所述总分值在多个POP节点中筛选至少一候选节点。
在一些实施例中,所述装置50还包括部署模块,用于根据所述安全服务于需求方请求的服务类型,或者所述安全服务的重要程度,或者POP节点的承载能力部署各POP节点的安全能力。
基于上述实施例,本申请实施例再提供一种安全服务接入装置,所述装置应用于引流器,所述引流器用于将目标终端的通信数据引流到安全服务平台中的POP节点,所述POP节点用于提供所述安全服务对应的安全能力,所述目标终端包括安全服务需求方对应的终端;图6是本申请实施例提供的一种安全服务接入装置示意图二,如图6所示,所述装置60包括接收模块601和安全检测模块602。
接收模块601,用于接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;
安全检测模块602,用于根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
在一些实施例中,若所述候选节点有多个,安全检测模块602还用于根据所述标识信息分别向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;根据所述通信质量参数在各候选节点中筛选待接入的POP节点;将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
在一些实施例中,所述装置60还包括引流模块,用于在接收到候选节点之后,在所述候选节点中选择一POP节点作为初始节点,根据所述初始节点对应的标识信息将目标终端的通信数据引流到所述初始节点进行安全检测;引流模块还用于在确定待接入的POP节点之后,若所述待接入的POP节点和所述初始节点不同,根据所述待接入的POP节点的标识信息将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
在一些实施例中,在根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测之后,所述装置60还包括:发送模块,用于根据预设的触发条件重新执行向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;筛选模块,用于根据所述通信质量参数在各候选节点中筛选待接入的POP节点;引流模块,用于将目标终端的通信数据引流到所述待接入的POP节点进行安全检测的操作;其中,所述预设的触发条件至少包括:所述引流器的网络状态发生变化,或者,所述引流器的连接状态发生变化;或者,所述引流器的IP地址发生变化,或者,每隔预设时间。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述安全服务接入方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台安全服务接入设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ReadOnly Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
本申请实施例提供一种安全服务平台,所述平台至少包括中心端、引流器和多个POP节点;所述中心端分别与引流器和多个POP节点连接,所述引流器与多个pop节点连接;其中,所述中心端,用于获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;根据所述接入请求信息在多个POP节点中筛选至少一候选节点;将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测;所述引流器,用于接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
本申请实施例提供一种安全服务接入设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述安全服务接入方法。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述安全服务接入方法。所述计算机可读存储介质可以是瞬时性的,也可以是非瞬时性的。
本申请实施例提供一种计算机程序产品,所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,所述计算机程序被计算机读取并执行时,实现上述方法中的部分或全部步骤。该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software DevelopmentKit,SDK)等等。
需要说明的是,图7是本申请实施例提供的一种安全服务接入设备的硬件实体示意图,如图7所示,该安全服务接入设备70的硬件实体包括:处理器701、通信接口702和存储器703,其中:
处理器701通常控制安全服务接入设备70的总体操作。
通信接口702可以使安全服务接入设备通过网络与其他终端或服务器通信。
存储器703配置为存储由处理器701可执行的指令和应用,还可以缓存待处理器701以及安全服务接入设备70中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。处理器701、通信接口702和存储器703之间可以通过总线704进行数据传输。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本申请实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台安全服务接入设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种安全服务接入方法,其特征在于,所述方法应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;所述方法包括:
获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;
根据所述接入请求信息在多个POP节点中筛选至少一候选节点;
将所述至少一候选节点中各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
2.根据权利要求1所述的安全服务接入方法,其特征在于,所述多个POP节点中,各POP节点提供相同的安全能力;或者,
所述多个POP节点中,部分POP节点提供相同的安全能力。
3.根据权利要求2所述的安全服务接入方法,其特征在于,根据所述安全服务于需求方请求的服务类型,或者所述安全服务的重要程度,或者POP节点的承载能力部署各POP节点的安全能力。
4.一种安全服务接入方法,其特征在于,所述方法应用于引流器,所述引流器用于将目标终端的通信数据引流到安全服务平台中的POP节点,所述POP节点用于提供所述安全服务对应的安全能力,所述目标终端包括安全服务需求方对应的终端;所述方法包括:
接收安全服务平台的中心端发送的候选节点对应的标识信息;其中,所述候选节点是安全服务平台根据目标终端发送的接入请求信息确定的,所述接入请求信息包括运营商信息和传输协议信息;
根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
5.根据权利要求4所述的安全服务接入方法,其特征在于,若所述候选节点有多个,相应地,所述根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测,包括:
根据所述标识信息分别向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;
根据所述通信质量参数在各候选节点中筛选待接入的POP节点;
将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
6.根据权利要求5所述的安全服务接入方法,其特征在于,在接收到候选节点之后,在所述候选节点中选择一POP节点作为初始节点,根据所述初始节点对应的标识信息将目标终端的通信数据引流到所述初始节点进行安全检测;
相应地,在确定待接入的POP节点之后,若所述待接入的POP节点和所述初始节点不同,根据所述待接入的POP节点的标识信息将目标终端的通信数据引流到所述待接入的POP节点进行安全检测。
7.根据权利要求5所述的安全服务接入方法,其特征在于,在根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测之后,所述方法还包括:
根据预设的触发条件重新执行向每一候选节点发送探测信息,根据响应信息确定各候选节点的通信质量参数,其中,所述响应信息是各候选节点针对接收到的探测信息回复的信息;
根据所述通信质量参数在各候选节点中筛选待接入的POP节点;将目标终端的通信数据引流到所述待接入的POP节点进行安全检测的操作;
其中,所述预设的触发条件至少包括:所述引流器的网络状态发生变化,或者,所述引流器的连接状态发生变化;或者,所述引流器的IP地址发生变化,或者,每隔预设时间。
8.一种安全服务接入装置,其特征在于,所述装置应用于安全服务平台的中心端,所述安全服务平台包括多个POP节点,每一POP节点用于提供所述安全服务对应的安全能力;所述装置包括:
获取模块,用于获取目标终端发送的接入请求信息,所述接入请求信息包括运营商信息和传输协议信息,所述目标终端包括安全服务需求方对应的终端;
筛选模块,用于根据所述接入请求信息在多个POP节点中筛选至少一候选节点;
发送模块,用于将各候选节点的标识信息发送至所述目标终端对应的引流器,以使所述引流器根据所述标识信息将目标终端的通信数据引流到对应POP节点进行安全检测。
9.一种安全服务接入设备,包括处理器及存储器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的安全服务接入方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的安全服务接入方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211006970.3A CN115396172A (zh) | 2022-08-22 | 2022-08-22 | 安全服务接入方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211006970.3A CN115396172A (zh) | 2022-08-22 | 2022-08-22 | 安全服务接入方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396172A true CN115396172A (zh) | 2022-11-25 |
Family
ID=84119823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211006970.3A Pending CN115396172A (zh) | 2022-08-22 | 2022-08-22 | 安全服务接入方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115396172A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116015936A (zh) * | 2022-12-30 | 2023-04-25 | 中国联合网络通信集团有限公司 | 一种安全能力编排方法、装置及计算机可读存储介质 |
-
2022
- 2022-08-22 CN CN202211006970.3A patent/CN115396172A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116015936A (zh) * | 2022-12-30 | 2023-04-25 | 中国联合网络通信集团有限公司 | 一种安全能力编排方法、装置及计算机可读存储介质 |
CN116015936B (zh) * | 2022-12-30 | 2024-05-03 | 中国联合网络通信集团有限公司 | 一种安全能力编排方法、装置及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11979786B2 (en) | Network nodes for joint MEC host and UPF selection | |
US8873753B2 (en) | Analysis of network operation | |
US9137744B2 (en) | Dynamic network connection system and method | |
CN112087815B (zh) | 通信方法、装置及系统 | |
US10645617B2 (en) | Systems and methods for hybrid management of an in-premises network | |
CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
US20140024383A1 (en) | System and method for quality of service in a wireless network environment | |
CN110620678A (zh) | 一种资源管理方法及装置 | |
CN115150305B (zh) | 承载网时延链路确定系统、方法、电子设备及存储介质 | |
JP2016517643A (ja) | データ送信方法、装置及びシステム | |
EP3917083A1 (en) | Network device and method for searching for edge service implemented in network device | |
US7561883B2 (en) | System and method for management of the resources of a broadband mobile network having prolonged fixed accesses by wireless local area network access terminals | |
US20220360580A1 (en) | Private networks sharing sliced resources with public network | |
CN115396172A (zh) | 安全服务接入方法、装置、设备及存储介质 | |
US11310677B2 (en) | Method for selecting packet processing function and device therefor | |
CN114025400B (zh) | 会话状态保持方法及会话状态保持装置 | |
CN113301003B (zh) | 信息、数据链路检测方法、设备及存储介质 | |
US20210352061A1 (en) | Secure systems and methods for hosted and edge site services | |
CN114173318A (zh) | 待优化区域识别方法、装置及设备 | |
CN113543262A (zh) | 一种降低云游戏网络时延的方法及装置 | |
CN115843434A (zh) | 网元发现方法、装置、设备及存储介质 | |
CN113692753B (zh) | 网络装置和在网络装置中实现的搜索边缘服务的方法 | |
CN112073463B (zh) | 一种租赁设备控制方法、系统、装置、设备及存储介质 | |
KR102333106B1 (ko) | Pdu 세션 수립 방법 및 상기 방법을 수행하는 사용자 단말 | |
CN117675892A (zh) | 一种传输链路切换方法、电子设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |