[发明专利]安全服务方法和系统以及安全资源单元

说明书

本发明公开了一种安全服务方法和系统以及安全资源单元，涉及信息安全领域。通过采用逻辑网络组划分安全对象和服务于安全对象的安全资源单元，并且对于进入逻辑网络组的数据包，根据数据包中的逻辑标签与本逻辑网络组的逻辑组标签是否一致决定是否处理该数据包，能够仅对目标为本逻辑网络组的数据进行处理，提高了安全处理的效率。

技术领域

本发明涉及信息安全领域，特别涉及一种安全服务方法和系统以及安全资源单元。

背景技术

安全资源池是网络业务所涉及的各种安全设备和系统的集合。资源池中的每个安全设备和系统都被称作安全资源单元。

传统安全资源单元池并未针对不同安全对象进行区分服务，每一个体安全设备或系统上都集成着所有安全对象的安全策略，以统一的处理流程顺次处理。这种方式需要对资源池中单点资源的处理性能提出非常高的要求，因此建设成本也很高。

云化安全资源池可以通过区分服务的方式，对不同安全对象进行不同的安全处理。目前存在两种区分服务的实现方式：

一种方式是将安全对象和为其进行服务的安全资源单元进行静态绑定，即对特定的安全对象指定固定的安全资源单元进行服务。然而，这种方式无法实现自动化业务配置，服务缺乏灵活性，安全处理的效率低。

另一种方式是在云安全资源单元池的外部网络通过策略路由，基于IP(InternetProtocol，网络协议)五元组来选择服务资源。这种方式可以动态调整安全对象和安全资源单元的配置，但由于策略路由过于细节化，控制和转发的效率都不高，采用这种方式，实施策略路由的节点会成为限制安全处理的性能瓶颈，也会影响安全处理的效率。

发明内容

本发明实施例所要解决的一个技术问题是：如何提升安全资源的安全处理效率。

根据本发明实施例的第一个方面，提供了一种安全服务方法，包括：为安全对象服务的安全资源单元提取发送给安全对象的数据包中的逻辑标签，安全对象和安全资源单元位于同一逻辑网络组；安全资源单元比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致；如果数据包中的逻辑标签与逻辑网络组的逻辑组标签一致，安全资源单元继续处理数据包；如果数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致，安全资源单元丢弃数据包。

根据本发明实施例的第二个方面，提供了一种安全资源单元，包括：数据包逻辑标签提取模块，用于提取发送给安全资源单元服务的安全对象的数据包中的逻辑标签；数据包逻辑标签比较模块，用于比较数据包中的逻辑标签与逻辑网络组的逻辑组标签是否一致；安全处理模块，用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签一致时，继续处理数据包；数据包丢弃模块，用于当数据包中的逻辑标签与逻辑网络组的逻辑组标签不一致时，丢弃数据包；其中，安全对象和安全资源单元位于同一逻辑网络组。

根据本发明实施例的第三个方面，提供一种安全服务系统，包括：前述任意一种安全资源单元，安全对象，和，业务配置设备。其中，业务配置设备包括：配置信息获取模块，用于获取新增或变更的安全对象的配置信息。

本发明通过采用逻辑网络组划分安全对象和服务于安全对象的安全资源单元，并且对于进入逻辑网络组的数据包，根据数据包中的逻辑标签与本逻辑网络组的逻辑组标签是否一致决定是否处理该数据包，能够仅对目标为本逻辑网络组的数据进行处理，提高了安全处理的效率。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明安全服务方法的应用场景示意图。