[发明专利]网络安全策略分发方法、装置及系统

说明书

技术领域

本发明涉及通信网络安全技术领域，尤其涉及一种网络安全策 略分发方法、装置及系统。

背景技术

随着因特网应用的快速增长，通信网络上的安全事件不断出现， 各种非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫、病 毒、木马，甚至恶意攻击与破坏等事件也越来越多。网络的不安全 性给网络运营商、业务提供商及用户造成了巨大的损失，如何保证 通信网络自身的安全以及通信网络上用户信息的安全，已经成为网 络设计与应用中的基本课题。

针对各种网络入侵、计算机病毒、以及各种系统自身的缺陷和 漏洞，目前已有各种安全设备，比如，防火墙、入侵检测系统、身 份认证、数据加密产品等。但是，这些产品仅能提供一定的安全防 护能力，只依靠这些设备，并不能全面地解决潜在的网络安全问题。 因此，一些设备供应商提出了自己的安全解决方案，如自防御网络 (SelfDefenseNetwork，简称为SDN)、安全联动协议等，这些解 决方案的基本思路是在各种安全设备之间交换必要的安全策略信 息，从而达到整体防御的效果。

随着网络环境日益复杂化，在每个安全设备上分别单独配置安 全策略已经无法满足整个网络系统安全策略的需求；并且，由于各 个厂家有自己特定的功能和独特的控制机制，而没有统一的标准和 规范，因此，各个不同厂家的安全产品不能很好协调运作，难以互 相整合，因而难以达到整体防御的效果，不能达到解除网络安全威 胁的目的。

发明内容

有鉴于此，本发明提供了一种改进的网络安全策略分发方案， 用以解决现有技术中难以达到整体防御的效果，及不能达到解除网 络安全威胁的目的的问题。

根据本发明的一个方面，提供了一种网络安全策略分发系统。

根据本发明的网络安全策略分发系统包括：安全策略系统、归 属于安全策略系统的一个或多个资源控制实体、分别归属每个资源 控制实体的一个或多个通信实体，其中，资源控制实体，用于在接 收到通信请求时，向其归属的安全策略系统发送请求消息，其中， 该请求消息用于请求与上述通信请求相关的安全策略；安全策略系 统，用于根据接收到的上述请求消息，获取与上述通信请求相关的 安全策略，并将上述安全策略发送给资源控制实体。

根据本发明的另一个方面，提供了一种网络安全策略分发方法。 根据本发明的网络安全策略分发方法包括：安全策略系统、归属于 安全策略系统的一个或多个资源控制实体、及分别归属每个资源控 制实体的一个或多个通信实体的系统。

根据本发明的网络安全策略分发方法包括：安全策略系统接收 来自资源控制实体的请求消息，其中，该请求消息用于请求与第一 通信实体相关的安全策略，其中，第一通信实体归属于该资源控制 实体；安全策略系统获取资源控制实体请求的安全策略，并将该安 全策略发送给资源控制实体。

根据本发明的又一个方面，提供了一种网络安全策略分发装置。

根据本发明的网络安全策略分发装置包括：存储模块、接收模 块、获取模块和发送模块。其中，存储模块，用于保存安全策略信 息；接收模块，用于接收资源控制实体发送的请求消息，其中，该 请求消息用于请求与第一通信实体相关的安全策略；获取模块，用 于获取上述资源控制实体请求的安全策略；发送模块，用于将获取 模块获取的安全策略发送给上述资源控制实体。

通过本发明的上述至少一个方案，由安全策略系统存储安全策 略信息，该安全策略系统的管辖范围内包括一个或多个资源控制实 体，在接收到归属于其下的资源控制实体发送的请求消息时，安全 策略系统将该资源控制实体请求的安全策略发送给该资源控制实 体，从而可以提高整体防御的效果，解除网络安全威胁。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部 分地从说明书中变得显而易见，或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部 分，与本发明的实施例一起用于解释本发明，并不构成对本发明的 限制。在附图中：

图1为根据本发明实施例的网络安全策略分发系统的结构示意 图；

图2为根据本发明优选实施例的网络安全策略分发系统的结构 示意图；