本发明专利技术提供了一种跨网络的安全能力协商方法,用于多个网络中的策略服务器之间协商安全能力,策略服务器将本地安全设备的安全能力参数发送给其他策略服务器,并从其他策略服务器接收其他策略服务器管理的外网安全设备的安全能力参数,在本地建立外网安全设备的安全能力参数数据库,建立本地安全设备与外网安全设备的安全能力关系数据库,下发给本地安全设备执行。本发明专利技术还提供一种跨网络的安全能力协商系统。本发明专利技术所述方法和系统,实现多网络间安全能力协商,从而能对多网络安全能力进行优化。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种跨网络的安全能力协商方法和系 统。
技术介绍
随着网络的融合以及全IP化的发展趋势,安全问题越来越严重。同时,相应 的各种各样的安全设备也层出不穷。目前,传统安全设备已经向大容量和高性能方向发 展,主要应对网络层的安全威胁。各种各样的应用级安全设备和检测设备也被部署到网 络中,用以抵御来自网络各个层面的安全威胁。传统安全设备主要具有包过滤、NAT (Network Address Transfer,网络地址翻 译)、防DDoS (Distribution Denial of service,分布式拒绝服务)攻击和防畸形报文攻击等基本功能,可以抵御来自网络层的安全威胁。随着网络的发展和网络应用的丰富, 针对应用层的攻击技术发展迅速。而抵御这些应用层攻击的安全设备也随之出现,如 IDS (Intrusion Detection System,入侵检测系统)、IPS (Intrusion Protection System,入侵防 护系统)和UTM (Unified ThreatManagement,统一威胁管理)设备。随着人们的安全保护意识越来越强烈,大大小小的安全设备被部署在网络的各 个角落,加强了对网络的保护。但是,网络也越来越复杂,效率越来越低下。SOC (Security Operation Center,安全运营中心)主要用于统一管理网络中各种各样的安全设备;SOC由“四个中心、五个功能模块”组成。四个中心分别为事件监控中 心、漏洞评估中心、综合分析决策支持与预警中心和应急管理中心;五个功能模块分别 为策略管理、资产管理、用户管理、安全知识管理和自身系统维护。SOC只是对网络中 的各种安全设备实现了统一管理和统一监控,提供各种安全分析报告,并未解决网络因 引入大量安全设备而导致效率下降的问题。在单一网络的情况下,一台策略服务器可以管理该网络中的各种安全设备。策 略服务器收集这些安全设备的安全能力信息,为这些安全设备在策略服务器上建立安全 能力参数数据库,并为这些安全设备之间建立安全能力关系数据库,优化网络中的安全 设备配置,提高网络效率。同时策略服务器也可以从其它策略服务器接收来自另外一个 网络的安全设备的安全能力信息。但是目前的技术并未提出策略服务器之间的安全设备 的安全能力参数交互方法。
技术实现思路
本专利技术旨在提供一种安全能力协商方法和系统,能够实现网络中不同策略服务 器之间安全设备的安全能力信息的交换,对跨网络的安全设备的安全能力进行优化。为了解决上述问题,本专利技术提供了一种跨网络的安全能力协商方法,用于多个 网络中的策略服务器之间协商安全能力,策略服务器将本地安全设备的安全能力参数发 送给其他策略服务器,并从其他策略服务器接收其他策略服务器管理的外网安全设备的安全能力参数,在本地建立外网安全设备的安全能力参数数据库,建立本地安全设备与 外网安全设备的安全能力关系数据库,下发给本地安全设备执行。进一步地,上述方法还可具有以下特点,策略服务器还在本地安全设备的安全 能力参数更新时,发送更新的安全能力参数至与该本地安全设备相关的其他策略服务 器,还接收其他策略服务器发送的其管理的外网安全设备的更新的安全能力参数,更新 在本地为所述外网安全设备建立的安全能力参数数据库,并更新本地安全设备和外网安 全设备之间的安全能力关系数据库,下发给本地安全设备执行。 进一步地,上述方法还可具有以下特点,策略服务器在本地安全设备退出网络 时,发送通知信息给其他策略服务器,通知其他策略服务器删除与该本地安全设备的相 关信息;策略服务器收到其他策略服务器发送的通知信息时,删除本地为所述通知信息 中指示的退出网络的外网安全设备建立的安全能力参数数据库,删除该退出网络的外网 安全设备与本地安全设备之间的安全能力关系数据库,通知与该退出网络的外网安全设 备相关的本地安全设备删除相关的安全能力关系数据库。进一步地,上述方法还可具有以下特点,在所述策略服务器上手动配置其他策 略服务器的地址;或者,由网管设备自动在所述策略服务器上配置其他策略服务器的地 址。进一步地,上述方法还可具有以下特点,所述策略服务器之间通过安全能力协 商报文携带安全能力参数,其中,所述安全能力协商报文包括类型字段和载荷字段,类 型字段用于指示载荷字段携带的内容是安全能力参数信息、或者是更新的安全能力参数 信息、或者是通知信息;所述安全能力协商报文基于超文本传输协议,内部参数采用可 扩展标记语言封装。本专利技术还提供一种跨网络的安全能力协商系统,包括多个策略服务器,其中所述策略服务器,用于将本地安全设备的安全能力参数发送给其他策略服务 器,并从其他策略服务器接收其他策略服务器管理的外网安全设备的安全能力参数,在 本地建立该外网安全设备的安全能力参数数据库,建立本地安全设备与该外网安全设备 的安全能力关系数据库,下发给本地安全设备执行。进一步地,上述系统还可具有以下特点,所述策略服务器,还用于在本地安全 设备的安全能力参数更新时,发送更新的安全能力参数至其他策略服务器,还接收其他 策略服务器发送的其管理的外网安全设备的更新的安全能力参数,更新在本地为所述外 网安全设备建立的安全能力参数数据库,并更新本地安全设备和外网安全设备之间的安 全能力关系数据库,下发给本地安全设备执行。进一步地,上述系统还可具有以下特点,所述策略服务器,还用于在本地安全 设备退出网络时,发送通知信息给其他策略服务器,通知其他策略服务器删除与该本地 安全设备的相关信息;还用于收到其他策略服务器发送的通知信息时,删除本地为所述 通知信息中指示的退出网络的外网安全设备建立的安全能力参数数据库,删除该退出网 络的外网安全设备与本地安全设备之间的安全能力关系数据库,通知与该退出网络的外 网安全设备相关的本地安全设备删除相关的安全能力关系数据库。进一步地,上述系统还可具有以下特点,所述策略服务器,还用于保存手动配 置的其他策略服务器的地址;或者,保存由网管设备自动配置的其他策略服务器的地址。进一步地,上述系 统还可具有以下特点,所述策略服务器之间通过安全能力协 商报文携带安全能力参数,其中,所述安全能力协商报文包括类型字段和载荷字段,类 型字段用于指示载荷字段携带的内容是安全能力参数信息、或者是更新的安全能力参数 信息、或者是通知信息;所述安全能力协商报文基于超文本传输协议,内部参数采用可 扩展标记语言封装。本专利技术所述方法和系统,能够实现网络中不同策略服务器之间安全设备的安全 能力信息的交换,对跨网络的安全设备的安全能力进行优化。附图说明图1示出了根据本专利技术实施例的用于实现策略服务之间人工配置对方链接地 址;图2示出了根据本专利技术实施例的用于实现网络设备对策略服务器进行自动管理 和配置;图3示出了根据本专利技术实施例的用于实现策略服务器之间协商安全能力参数的 报文格式。具体实施例方式下面根据附图介绍各实施例。需要说明的是,本
技术实现思路
可以用以下实施例解 释,但不限于以下的实施例。本专利技术提供了一种跨网络的安全能力协商方法,用于多个网络中的策略服务器 之间协商安全能力,对任一策略服务器,该策略服务器将本地安全设备的安全能力参数 发送给若干个其他策略服务器,并从其本文档来自技高网...
【技术保护点】
一种跨网络的安全能力协商方法,用于多个网络中的策略服务器之间协商安全能力,其特征在于,策略服务器将本地安全设备的安全能力参数发送给其他策略服务器,并从其他策略服务器接收其他策略服务器管理的外网安全设备的安全能力参数,在本地建立外网安全设备的安全能力参数数据库,建立本地安全设备与外网安全设备的安全能力关系数据库,下发给本地安全设备执行。
【技术特征摘要】
1.一种跨网络的安全能力协商方法,用于多个网络中的策略服务器之间协商安全能 力,其特征在于,策略服务器将本地安全设备的安全能力参数发送给其他策略服务器, 并从其他策略服务器接收其他策略服务器管理的外网安全设备的安全能力参数,在本地 建立外网安全设备的安全能力参数数据库,建立本地安全设备与外网安全设备的安全能 力关系数据库,下发给本地安全设备执行。2.如权利要求1所述的方法,其特征在于,策略服务器还在本地安全设备的安全能力 参数更新时,发送更新的安全能力参数至与该本地安全设备相关的其他策略服务器,还 接收其他策略服务器发送的其管理的外网安全设备的更新的安全能力参数,更新在本地 为所述外网安全设备建立的安全能力参数数据库,并更新本地安全设备和外网安全设备 之间的安全能力关系数据库,下发给本地安全设备执行。3.如权利要求1所述的方法,其特征在于,策略服务器在本地安全设备退出网络时, 发送通知信息给其他策略服务器,通知其他策略服务器删除与该本地安全设备的相关信 息;策略服务器收到其他策略服务器发送的通知信息时,删除本地为所述通知信息中指 示的退出网络的外网安全设备建立的安全能力参数数据库,删除该退出网络的外网安全 设备与本地安全设备之间的安全能力关系数据库,通知与该退出网络的外网安全设备相 关的本地安全设备删除相关的安全能力关系数据库。4.如权利要求1、2或3所述的方法,其特征在于,在所述策略服务器上手动配置其 他策略服务器的地址;或者,由网管设备自动在所述策略服务器上配置其他策略服务器 的地址。5.如权利要求1、2或3所述的方法,其特征在于,所述策略服务器之间通过安全 能力协商报文携带安全能力参数,其中,所述安全能力协商报文包括类型字段和载荷字 段,类型字段用于指示载荷字段携带的内容是安全能力参数信息、或者是更新的安全能 力参数信息、或者是通知信息;所述安全能力协商报文基于超文本传输协议,内部参数 采用可扩展...
【专利技术属性】
技术研发人员:颜正清,韦银星,滕志猛,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。