利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质技术方案

一种用于利用安全服务引擎(SSE)来评估安全网关元件(SGE)上的安全漏洞的方法，包括：建立对应于所供应的安全服务策略定义的针对SGE的安全配置，以及基于安全服务策略定义中包括的策略，在SGE上配置由SSE托管的多个SGE安全服务管理器。该方法还包括由SSE实时执行多个SGE安全服务管理器中的每一个作为基于软件的服务，以在SGE上实施安全服务策略定义的策略，以及如果多个SGE安全服务管理器中的一个或多个检测到对应于SGE的操作的安全漏洞，则补救SGE的安全配置。

【技术实现步骤摘要】
【国外来华专利技术】利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质优先权声明本申请要求2019年3月14日提交的美国专利申请序列号16/354,121的优先权权益，其公开通过引用整体并入本文。
这里描述的主题涉及将安全智能实现到安全网关元件(SGE)中以在SGE处提供网络监控和补救服务。更特别地，这里描述的主题涉及用于利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质。
技术介绍
诸如会话边界控制器的安全网关元件是部署在通信网络中并被配置为管理和调节网际协议通信业务流的网络元件。安全网关元件通常部署在通信网络(诸如企业网络)的边界处，以便控制穿越安全网关元件的网际协议(IP)通信会话。安全网关元件可以被配置为提供针对拒绝服务攻击的保护，针对通行费欺诈和服务盗窃的防护，提供针对恶意分组业务的保护和加密信令消息和媒体业务消息。要实现这些安全特征，安全网关元件传统上需要服从安全配置、第三方软件管理和实时网络业务控制。目前，通常通过向系统管理员提供安全配置指南来实现安全配置。然而，这样的方法不以任何方式保证安全网关元件实际上是以安全方式配置的。同样，第三方软件管理的一般方法是手动检查安全网关元件中存在的每个软件组件，并确保不存在现有的安全漏洞。然而，这种手动安全检查非常耗时且资源密集。此外，虽然安全网关元件的动态业务流控制可以通过来自所提供的安全配置的参数来管理，但是这种方法提供了能够实时适应实际网络业务流状况的不适合的机制。因此，需要用于利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质。
技术实现思路
这里描述的主题包括用于利用安全服务引擎(SSE)来评估安全网关元件(SGE)上的安全漏洞的方法、系统和计算机可读介质。一种方法包括建立对应于所供应的安全服务策略定义的针对SGE的安全配置，以及基于安全服务策略定义中包括的策略，在SGE上配置由SSE托管的多个SGE安全服务管理器。该方法还包括由SSE实时执行多个SGE安全服务管理器中的每一个作为基于软件的服务，以在SGE上实施安全服务策略定义的策略，以及如果多个SGE安全服务管理器中的一个或多个检测到对应于SGE的操作的安全漏洞，则补救SGE的安全配置。在该方法的一个示例中，SGE包括会话边界控制器(SBC)、防火墙、Web服务网关或虚拟专用网(VPN)服务器。在该方法的一个示例中，多个SGE安全服务管理器之一包括SGE组件安全管理器，所述SGE组件安全管理器被配置为有助于基于从所述SGE获得的硬件组件信息和软件组件信息来评估所述SGE的安全漏洞的安全服务。在该方法的一个示例中，多个SGE安全服务管理器之一包括网络安全状态管理器，所述网络安全状态管理器被配置为有助于评估所述SGE的管理端口和服务端口的安全漏洞的安全服务。在该方法的一个示例中，多个SGE安全服务管理器之一包括SGE安全配置管理器，所述SGE安全配置管理器被配置为有助于基于所述SGE的当前安全配置来评估所述SGE的安全漏洞的安全服务。在该方法的一个示例中，多个SGE安全服务管理器之一包括网络业务安全分析管理器，所述网络业务安全分析管理器被配置为有助于基于对经由所述SGE穿越的传入和传出网络业务的分析来评估所述SGE的安全漏洞的安全服务。在该方法的一个示例中，多个SGE安全服务管理器之一包括分析安全服务管理器，所述分析安全服务管理器被配置为有助于通过对从运行中的SGE收集的数据和统计的系统分析来评估所述SGE的安全漏洞的安全服务。一种用于利用安全服务引擎来评估安全网关元件上的安全漏洞的系统，包括会话网关元件，该会话网关元件包括至少一个处理器和存储器。该系统还包括安全服务引擎，其存储在所述存储器中的，并且当由该至少一个处理器执行时，被配置为建立对应于所供应的安全服务策略定义的针对所述SGE的安全配置，基于所述安全服务策略定义中包括的策略，配置由所述SSE托管的多个SGE安全服务管理器，将所述多个SGE安全服务管理器中的每一个作为基于软件的服务实时执行，以在所述SGE上实施所述安全服务策略定义的策略，以及如果所述多个SGE安全服务管理器中的一个或多个检测到对应于所述SGE的操作的安全漏洞，则补救所述SGE的安全配置。在该系统的一个示例中，SGE包括会话边界控制器、防火墙、Web服务网关或虚拟专用网服务器。在该系统的一个示例中，多个SGE安全服务管理器之一包括SGE组件安全管理器，所述SGE组件安全管理器被配置为有助于基于从所述SGE获得的硬件组件信息和软件组件信息来评估所述SGE的安全漏洞的安全服务。在该系统的一个示例中，多个SGE安全服务管理器之一包括网络安全状态管理器，所述网络安全状态管理器被配置为有助于评估所述SGE的管理端口和服务端口的安全漏洞的安全服务。在该系统的一个示例中，多个SGE安全服务管理器之一包括SGE安全配置管理器，所述SGE安全配置管理器被配置为有助于基于所述SGE的当前安全配置来评估所述SGE的安全漏洞的安全服务。在该系统的一个示例中，多个SGE安全服务管理器之一包括网络业务安全分析管理器，所述网络业务安全分析管理器被配置为有助于基于对经由所述SGE穿越的传入和传出网络业务的分析来评估所述SGE的安全漏洞的安全服务。在该系统的一个示例中，多个SGE安全服务管理器之一包括分析安全服务管理器，所述分析安全服务管理器被配置为有助于通过对从运行中的SGE收集的数据和统计的系统分析来评估所述SGE的安全漏洞的安全服务。这里描述的主题可以用硬件、软件、固件或其任意组合来实现。因此，这里使用的术语“功能”、“节点”或“引擎”指的是用于实现所描述的特征的硬件，其还可以包括软件和/或固件组件。在一个示例性实现中，这里描述的主题可以使用其上存储有计算机可执行指令的非瞬态计算机可读介质来实现，计算机可执行指令当由计算机的处理器执行时，控制计算机执行步骤。适于实现这里描述的主题的示例性计算机可读介质包括非瞬态计算机可读介质，诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外，实现这里描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。附图说明图1是示出根据这里描述的主题的实施例的用于利用安全服务引擎来评估安全网关元件上的安全漏洞的示例性网络的框图；图2是示出根据这里描述的主题的实施例的供应有安全会话引擎的示例性安全网关元件的框图；图3是示出根据这里描述的主题的实施例的与中央安全服务器通信的示例性安全网关元件的框图；图4是示出根据这里描述的主题的实施例的示例性网络状态安全服务过程的流程图；图5是示出根据这里描述的主题的实施例的示例性安全配置服务过程的流程图；图6是示出根据这里描述的主题的实施例的示例性真实业务安全分析服务过程的流程图；图7是示出根据这里描述的主题的实施例的示例性分析安全服务过程的流程图；以及<本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n建立对应于所供应的安全服务策略定义的针对安全网关元件(SGE)的安全配置；/n基于所述安全服务策略定义中包括的策略，在所述SGE上配置由服务安全引擎(SSE)托管的多个SGE安全服务管理器；/n由所述SSE实时执行所述多个SGE安全服务管理器中的每一个作为基于软件的服务，以在所述SGE上实施所述安全服务策略定义的策略；以及/n如果所述多个SGE安全服务管理器中的一个或多个检测到对应于所述SGE的操作的安全漏洞，则补救所述SGE的安全配置。/n

【技术特征摘要】
【国外来华专利技术】20190314 US 16/354,1211.一种方法，包括：
建立对应于所供应的安全服务策略定义的针对安全网关元件(SGE)的安全配置；
基于所述安全服务策略定义中包括的策略，在所述SGE上配置由服务安全引擎(SSE)托管的多个SGE安全服务管理器；
由所述SSE实时执行所述多个SGE安全服务管理器中的每一个作为基于软件的服务，以在所述SGE上实施所述安全服务策略定义的策略；以及
如果所述多个SGE安全服务管理器中的一个或多个检测到对应于所述SGE的操作的安全漏洞，则补救所述SGE的安全配置。


2.如权利要求1所述的方法，其中，所述SGE包括会话边界控制器(SBC)、防火墙、Web服务网关或虚拟专用网(VPN)服务器。


3.如权利要求1或2所述的方法，其中，所述多个SGE安全服务管理器之一包括SGE组件安全管理器，所述SGE组件安全管理器被配置为有助于基于从所述SGE获得的硬件组件信息和软件组件信息来评估所述SGE的安全漏洞的安全服务。


4.如前述权利要求中的任一项所述的方法，其中，所述多个SGE安全服务管理器之一包括网络安全状态管理器，所述网络安全状态管理器被配置为有助于评估所述SGE的管理端口和服务端口的安全漏洞的安全服务。


5.如前述权利要求中的任一项所述的方法，其中，所述多个SGE安全服务管理器之一包括SGE安全配置管理器，所述SGE安全配置管理器被配置为有助于基于所述SGE的当前安全配置来评估所述SGE的安全漏洞的安全服务。


6.如前述权利要求中的任一项所述的方法，其中，所述多个SGE安全服务管理器之一包括网络业务安全分析管理器，所述网络业务安全分析管理器被配置为有助于基于对经由所述SGE穿越的传入和传出网络业务的分析来评估所述SGE的安全漏洞的安全服务。


7.如前述权利要求中的任一项所述的方法，其中，所述多个SGE安全服务管理器之一包括分析安全服务管理器，所述分析安全服务管理器被配置为有助于通过对从运行中的SGE收集的数据和统计的系统分析来评估所述SGE的安全漏洞的安全服务。


8.一种系统，包括：
包括至少一个处理器和存储器的会话网关元件(SGE)；
安全服务引擎(SSE)，其被存储在所述存储器中并且当由所述至少一个处理器执行时，被配置为建立对应于所供应的安全服务策略定义的针对所述SGE的安全配置，基于所述安全服务策略定义中包括的策略，配置由所述SSE托管的多个SGE安全服务管理器，实时执行所述多个SGE安全服务管理器中的每一个作为基于软件的服务，以在所述SGE上实施所述安全服务策略定义的策略，以及如果所述多个SGE安全服务管理器中的一个或多个检测到对应于所述SGE的操作的安全漏洞，则补救所述SGE的安全配置。


9.如权利要求8所述的系统，其中，所述SGE包括会话边界控制器(SBC)、防火墙、Web服务网关或虚拟专用网(VPN)服务器。


10.如权利要求8或9所述的系统，其中，所述多个SGE安全服务管理器之一包括SGE组件安全管理器，所述SGE组件安全管理器被配置为有助于基于从所述SGE获得的硬件组件信息和软件组件信息来评估所述SGE的安全漏洞的安全服务。...

【专利技术属性】
技术研发人员：刘成，郭革，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国;US