專利名稱:一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全通信技術(shù)��,尤指一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法及系統(tǒng)。
背景技術(shù):
寬帶無線接入(BWA)是一種快速���、低成本的無線上網(wǎng)解決方案,基于802.16標(biāo)準(zhǔn)的WiMAX是滿足“最后一英里”接入的無線城域網(wǎng)技術(shù)�����,該技術(shù)既能滿足傳輸市場(chǎng)���、大中小企業(yè)接入及家庭接入的室外應(yīng)用����,也能滿足家庭和個(gè)人的室內(nèi)應(yīng)用��;既能滿足固定的無線寬帶接入�����,也能滿足中低速的便攜式接入����。由于在技術(shù)標(biāo)準(zhǔn)上解決了QoS和物理層環(huán)境即室外射頻傳輸兩方面的問題,使得WiMAX產(chǎn)品能夠支持室外和室內(nèi)應(yīng)用�����,進(jìn)而完成數(shù)據(jù)接入和實(shí)時(shí)性要求比較高的話音和視頻業(yè)務(wù)。
WiMAX技術(shù)主要用于無線傳輸和寬帶接入����,重點(diǎn)解決互操作性問題,以保證運(yùn)營(yíng)商可以根據(jù)自己的需求選擇供應(yīng)商和設(shè)備�����。WiMAX可與2G/3G移動(dòng)通信系統(tǒng)����、無線本地環(huán)(WLL)、無線局域網(wǎng)(WLAN)等網(wǎng)絡(luò)混合組網(wǎng)���,為新一代網(wǎng)絡(luò)(NGN)提供綜合接入��。在實(shí)現(xiàn)接入時(shí)�,可提供數(shù)據(jù)�����、語音和視頻等業(yè)務(wù)�,分別用于大中小型企業(yè)接入�����、家庭接入�����,甚至為個(gè)人終端提供業(yè)務(wù)。
WiMAX是運(yùn)營(yíng)商在計(jì)劃構(gòu)建寬帶IP城域網(wǎng)時(shí)要重點(diǎn)考慮的一種技術(shù)���,其應(yīng)用場(chǎng)景如圖1中第④部分所示��,圖1為一整體的IP城域網(wǎng)架構(gòu)�����。
正如在Internet上存在安全問題一樣�����,基于數(shù)據(jù)業(yè)務(wù)的無線城域網(wǎng)中更迫切需要解決安全的問題��。目前���,在WiMAX中定義了一個(gè)安全子層����,安全子層在MAC層實(shí)現(xiàn)�����,主要提供完整性��、機(jī)密性的保護(hù)能力���。但該安全子層只提供業(yè)務(wù)層的安全保護(hù)���,而不提供對(duì)網(wǎng)絡(luò)層及應(yīng)用層上黑客攻擊、病毒攻擊帶來的安全隱患的防護(hù)��,也就是說����,該方案僅僅考慮到系統(tǒng)本身信息傳輸?shù)谋Wo(hù),而沒考慮對(duì)病毒��、黑客攻擊的防御�。
但是,由于無線城域網(wǎng)的應(yīng)用主要是在個(gè)人便攜機(jī)���、臺(tái)式機(jī)中插入無線數(shù)據(jù)卡�,而個(gè)人PC機(jī)上又存在Windows操作系統(tǒng)以及各種大量的軟件,不可避免的會(huì)有各種各樣的病毒����,并且,無線城域網(wǎng)直接與公網(wǎng)相連��,病毒也會(huì)通過網(wǎng)絡(luò)進(jìn)行廣泛的傳播�。
現(xiàn)有技術(shù)中,傳統(tǒng)解決病毒的方法主要有以下兩種1)在個(gè)人PC機(jī)上安裝防病毒軟件���,通過主機(jī)安裝的防病毒軟件對(duì)經(jīng)過本機(jī)的數(shù)據(jù)進(jìn)行掃描、殺毒���。
2)在網(wǎng)絡(luò)上安裝防病毒網(wǎng)關(guān)�����,數(shù)據(jù)流量上去后��,對(duì)流經(jīng)網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行在線掃描和殺毒��,但該方案要求防病毒網(wǎng)關(guān)要有較高的性能�����。
從上述方法可以看出�,傳統(tǒng)防病毒方法都是通過在數(shù)據(jù)流經(jīng)的設(shè)備上安裝殺毒軟件,對(duì)經(jīng)過的數(shù)據(jù)進(jìn)行掃描和殺毒����。但現(xiàn)在使用的所有殺毒軟件都只能對(duì)已知的病毒進(jìn)行查殺,很難防止未知病毒的蔓延�����,因此仍會(huì)造成一些不知名病毒對(duì)網(wǎng)絡(luò)流量的侵襲��。并且��,主機(jī)防病毒軟件或網(wǎng)絡(luò)殺毒軟件只能查殺�,沒有能力在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)包傳輸、轉(zhuǎn)發(fā)的控制�����。
此外���,病毒和蠕蟲的影響是多方面因素造成的�,包括操作系統(tǒng)版本、防病毒軟件版本以及防病毒軟件能力等等���,例如未及時(shí)安裝操作系統(tǒng)的版本補(bǔ)丁����,就可能使操作系統(tǒng)受到大的攻擊��,沖擊波病毒的發(fā)生主要就是利用了Windows操作系統(tǒng)的漏洞����。實(shí)際上在病毒爆發(fā)前,操作系統(tǒng)的提供商都會(huì)發(fā)布補(bǔ)丁公告��,但通常由于大量的PC機(jī)未能及時(shí)安裝補(bǔ)丁���,而造成病毒大范圍的傳播。還有���,對(duì)于已安裝防病毒軟件的終端來說�,防病毒軟件版本更新也是非常重要的����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法,能對(duì)無線寬帶接入網(wǎng)中的各種非法數(shù)據(jù)包進(jìn)行有效地處理和抑制����。
本發(fā)明的另一目的在于提供一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的系統(tǒng),形成網(wǎng)絡(luò)和終端聯(lián)合進(jìn)行安全處理的機(jī)制����,進(jìn)而提高對(duì)無線寬帶接入網(wǎng)中各種非法數(shù)據(jù)包的防御。
為達(dá)到上述目的�,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法,關(guān)鍵在于����,在無線寬帶接入網(wǎng)中設(shè)置安全策略服務(wù)實(shí)體,該方法還包括以下步驟a.所述安全策略服務(wù)實(shí)體根據(jù)終端設(shè)備上報(bào)的安全狀態(tài)信息���,獲取所述終端設(shè)備當(dāng)前的安全狀況�����,并根據(jù)所獲取的終端設(shè)備安全狀況以及自身保存的相關(guān)安全信息�,確定對(duì)所述終端設(shè)備的安全策略;b.將步驟a所確定的安全策略發(fā)送給所述終端設(shè)備和/或其所屬的無線寬帶接入設(shè)備����,收到安全策略的無線寬帶接入設(shè)備和/或終端設(shè)備根據(jù)安全策略完成相應(yīng)控制處理。
步驟a之前該方法還包括所述終端設(shè)備主動(dòng)向安全策略服務(wù)實(shí)體上報(bào)當(dāng)前收集的自身的安全狀態(tài)信息����。其中,所述終端設(shè)備周期性����、或定期、或在自身安全狀態(tài)信息發(fā)生變化時(shí)向所述安全策略服務(wù)實(shí)體上報(bào)����。
步驟a之前該方法還包括a0.所述安全策略服務(wù)實(shí)體向所述終端設(shè)備發(fā)送要求終端設(shè)備上報(bào)安全狀態(tài)信息的請(qǐng)求;所述終端設(shè)備收到請(qǐng)求后�,根據(jù)所述安全策略服務(wù)實(shí)體的要求收集自身相關(guān)的安全狀態(tài)信息,并將所收集的安全狀態(tài)信息上報(bào)給所述安全策略服務(wù)實(shí)體�。其中,步驟a0之前該方法還包括無線寬帶接入設(shè)備向所述安全策略服務(wù)實(shí)體發(fā)送策略請(qǐng)求信息�,所述安全策略服務(wù)實(shí)體收到請(qǐng)求后����,向終端設(shè)備發(fā)送要求終端設(shè)備上報(bào)相關(guān)安全狀態(tài)信息的請(qǐng)求。
上述方案中,所述安全狀態(tài)信息為終端的應(yīng)用操作系統(tǒng)版本信息����、終端的防病毒軟件信息、終端系統(tǒng)本身的操作系統(tǒng)版本信息�����、補(bǔ)丁軟件安裝情況����、或四者的任意組合。所述安全策略服務(wù)實(shí)體為單獨(dú)的安全策略服務(wù)器�,或?yàn)樵O(shè)置于網(wǎng)絡(luò)設(shè)備的功能模塊,或?yàn)榫哂胁呗怨芾砉δ艿牟蹇?����。所述無線寬帶接入設(shè)備為具備IP數(shù)據(jù)包解析能力的無線城域網(wǎng)中的BS����,所述BS包括含有物理層和媒體訪問控制層的無線底層處理模塊,以及與Internet網(wǎng)上路由器互通的協(xié)議處理模塊�����;或?yàn)闊o線局域網(wǎng)中的AC/AS。所述終端設(shè)備為配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)����、或?yàn)橥ㄟ^無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端。
該方法進(jìn)一步包括無線寬帶接入設(shè)備將當(dāng)前收到的數(shù)據(jù)包發(fā)送到安全網(wǎng)關(guān)設(shè)備進(jìn)行安全處理��,安全網(wǎng)關(guān)設(shè)備完成安全處理后���,將經(jīng)過安全處理的數(shù)據(jù)包返回?zé)o線寬帶接入設(shè)備��。
本發(fā)明還提供一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的系統(tǒng)����,包括至少一個(gè)無線寬帶接入設(shè)備和一個(gè)或一個(gè)以上終端設(shè)備�,終端設(shè)備與自身所屬的無線寬帶接入設(shè)備相連,關(guān)鍵是�,該系統(tǒng)還包括安全策略服務(wù)實(shí)體,用于獲取終端設(shè)備的安全狀態(tài)信息�,確定和保存安全策略,并將安全策略下發(fā)給相關(guān)的無線寬帶接入設(shè)備和/或終端設(shè)備����,該安全策略服務(wù)實(shí)體與至少一個(gè)無線寬帶接入設(shè)備相連;所述終端設(shè)備和所述無線寬帶接入設(shè)備中分別設(shè)置有與安全策略服務(wù)實(shí)體進(jìn)行互通的安全策略處理功能模塊����,用于接收安全策略服務(wù)實(shí)體的指令信息并完成相應(yīng)處理,和/或向安全策略服務(wù)實(shí)體發(fā)送與安全相關(guān)的信息�。
其中,所述安全策略服務(wù)實(shí)體為單獨(dú)的安全策略服務(wù)器�����,或?yàn)樵O(shè)置于網(wǎng)絡(luò)設(shè)備的功能模塊����,或?yàn)榫哂胁呗怨芾砉δ艿牟蹇āK鼋K端設(shè)備為配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)����、或?yàn)橥ㄟ^無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端。
該系統(tǒng)進(jìn)一步包括安全網(wǎng)關(guān)設(shè)備����,用于對(duì)無線寬帶接入設(shè)備發(fā)來的數(shù)據(jù)包進(jìn)行安全處理。所述安全網(wǎng)關(guān)設(shè)備為防病毒網(wǎng)關(guān)���。
上述方案中��,所述無線寬帶接入設(shè)備為具備IP數(shù)據(jù)包解析能力的無線城域網(wǎng)中的BS���,所述BS包括含有物理層和媒體訪問控制層的無線底層處理模塊��,以及與Internet網(wǎng)上路由器互通的協(xié)議處理模塊�����;或?yàn)闊o線局域網(wǎng)中的AC/AS��。
本發(fā)明所提供的保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法及系統(tǒng)��,在現(xiàn)有的無線寬帶接入網(wǎng)中增加用于確定和保存安全策略的安全策略服務(wù)實(shí)體�����,該實(shí)體能根據(jù)終端當(dāng)前的安全情況制定安全策略���,并通知無線寬帶接入設(shè)備和/或終端設(shè)備進(jìn)行相應(yīng)的防御處理,因此��,本發(fā)明具有以下優(yōu)點(diǎn)和特點(diǎn)1)本發(fā)明中的安全策略服務(wù)實(shí)體將終端與網(wǎng)絡(luò)之間的安全策略關(guān)聯(lián)起來����,提供了一種網(wǎng)絡(luò)和終端聯(lián)合的安全保護(hù)機(jī)制,重點(diǎn)防范由于病毒��、蠕蟲蔓延而造成的對(duì)網(wǎng)絡(luò)流量的影響,不僅防止已知病毒還防止未知病毒對(duì)網(wǎng)絡(luò)的侵襲�,達(dá)到全面防護(hù)的目的。
當(dāng)然�����,本發(fā)明的方法和系統(tǒng)對(duì)各種非法數(shù)據(jù)包����,包括病毒包��、垃圾郵件包����、有害信息包等等,同樣具有防護(hù)作用�����,只要安全策略服務(wù)實(shí)體制定相應(yīng)的安全策略并下發(fā)給相關(guān)的無線寬帶接入設(shè)備和/或終端設(shè)備即可�����。
2)由于安全威脅都是從終端發(fā)出的���,本發(fā)明方法可進(jìn)行安全源頭控制���,通過對(duì)終端的有效控制可以防止威脅的擴(kuò)散�。同時(shí)�,通過網(wǎng)絡(luò)的配合能對(duì)病毒包及垃圾郵件包等非法數(shù)據(jù)包進(jìn)行有效地處理和抑制。
3)本發(fā)明僅對(duì)無線寬帶接入設(shè)備���、終端設(shè)備的功能處理模塊稍加改動(dòng)或增加簡(jiǎn)單的安全協(xié)議���,即可實(shí)現(xiàn)有效的安全互通,并能實(shí)現(xiàn)對(duì)數(shù)據(jù)包的安全處理�,實(shí)現(xiàn)簡(jiǎn)單方便,且不會(huì)增加硬件成本�。
4)由于本發(fā)明能及時(shí)獲取終端設(shè)備當(dāng)前的安全狀況,針對(duì)終端設(shè)備安全狀況的漏洞����,及時(shí)制定相應(yīng)的安全策略,并通知無線寬帶接入設(shè)備和/或終端設(shè)備根據(jù)安全策略進(jìn)行控制�,因此可有效抑制由于終端不安全因素導(dǎo)致的病毒擴(kuò)散或垃圾郵件包的攻擊。
5)本發(fā)明通過對(duì)上行數(shù)據(jù)包提供安全保護(hù)能力�����,可避免網(wǎng)絡(luò)處理大量無效數(shù)據(jù)或存在安全隱患的數(shù)據(jù),進(jìn)而能有效防止網(wǎng)絡(luò)資源的浪費(fèi)����。
6)本發(fā)明能夠提供一種事前預(yù)防的機(jī)制,從而保證對(duì)沒有安裝防病毒軟件�、或存在一些未知病毒;或存在不明攻擊包如垃圾郵件包����、有害信息包的情況具有一定的防范作用����。
7)本發(fā)明的方法可用于無線城域網(wǎng)或無線局域網(wǎng),具有靈活的適用性�。
圖1為現(xiàn)有IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)示意圖;圖2為本發(fā)明系統(tǒng)的組成結(jié)構(gòu)示意圖���;圖3為本發(fā)明方法的實(shí)現(xiàn)流程圖���。
具體實(shí)施例方式
本發(fā)明的核心思想是在現(xiàn)有的無線寬帶接入網(wǎng)中設(shè)置安全策略服務(wù)實(shí)體,由安全策略服務(wù)實(shí)體根據(jù)終端設(shè)備當(dāng)前的安全情況制定安全策略���,并通知無線寬帶接入設(shè)備和/或終端設(shè)備根據(jù)所制定的安全策略進(jìn)行相應(yīng)的防御處理�����。
這里�����,所述安全策略服務(wù)實(shí)體可以是安全策略服務(wù)器�����、或是嵌入其他網(wǎng)絡(luò)實(shí)體的功能模塊���、或是插卡�;所述終端設(shè)備為配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)�����,包括便攜式PC和臺(tái)式PC�,或是通過無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端;所述接入設(shè)備可以是無線城域網(wǎng)中具有IP數(shù)據(jù)包解析能力的無線寬帶接入設(shè)備BS�,也可以是無線局域網(wǎng)中的接入控制器/認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器(AC/AS)。
如圖2所示����,本發(fā)明所提出的保證無線寬帶接入系統(tǒng)中數(shù)據(jù)業(yè)務(wù)安全的系統(tǒng)�����,主要包括安全策略服務(wù)實(shí)體����、一個(gè)或多個(gè)無線寬帶接入設(shè)備以及多個(gè)終端設(shè)備��,每個(gè)終端設(shè)備通過無線方式與自己所屬的無線寬帶接入設(shè)備相連��,每個(gè)無線寬帶接入設(shè)備經(jīng)由路由器連入Internet公網(wǎng)��。其中����,安全策略服務(wù)實(shí)體可直接或通過網(wǎng)絡(luò)與一個(gè)或多個(gè)無線寬帶接入設(shè)備相連�����,用于制定和保存安全策略�����,安全策略服務(wù)實(shí)體可通過無線寬帶接入設(shè)備與終端設(shè)備之間進(jìn)行交互,獲取終端設(shè)備當(dāng)前的安全狀態(tài)信息����,再根據(jù)終端設(shè)備的安全狀態(tài)信息和自身已存儲(chǔ)的安全信息,針對(duì)不同終端制定相應(yīng)的安全策略���,并將所制定的安全策略下發(fā)給相應(yīng)的終端設(shè)備和/或其所屬的無線寬帶接入設(shè)備��,比如終端設(shè)備A歸屬于BS1�,則與終端設(shè)備A相關(guān)的安全策略要下發(fā)給終端設(shè)備A和/或BS1�;安全策略服務(wù)實(shí)體還可以保存直接配置的安全策略或安全相關(guān)信息。
安全策略服務(wù)實(shí)體可以為單獨(dú)的安全策略服務(wù)器���,也可以為設(shè)置于網(wǎng)絡(luò)設(shè)備如BS中的功能模塊���,還可以為具有策略管理功能的插卡嵌入如BS的設(shè)備中;所述終端設(shè)備主要是指配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)��,包括便攜式PC和臺(tái)式PC�����,或是通過無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端���,如PDA��、掌上電腦等等����;所述接入設(shè)備可以是無線城域網(wǎng)中具有IP數(shù)據(jù)包解析能力的無線寬帶接入設(shè)備BS,也可以是無線局域網(wǎng)中的接入控制器/認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器(AC/AS)���,其中���,BS包括含有物理層和媒體訪問控制(MAC)層的無線底層處理模塊,以及與Internet網(wǎng)上路由器互通的協(xié)議處理模塊�。
為了與安全策略服務(wù)實(shí)體進(jìn)行互通,終端設(shè)備中要增加設(shè)置安全策略處理功能模塊���,用于支持與安全策略服務(wù)實(shí)體之間的交互����,該安全策略處理功能模塊主要用于接收安全策略服務(wù)實(shí)體發(fā)來的指令信息���,并按指令進(jìn)行相應(yīng)的操作,比如安全策略服務(wù)實(shí)體向終端設(shè)備發(fā)送需要獲取相關(guān)安全狀態(tài)信息的請(qǐng)求����,安全策略處理功能模塊接收到該請(qǐng)求后���,就收集自身相關(guān)的安全狀態(tài)信息上報(bào)給安全策略服務(wù)實(shí)體,這樣�����,安全策略服務(wù)實(shí)體就可以通過終端設(shè)備的安全策略處理功能模塊收集終端設(shè)備的安全狀態(tài)信息���,比如終端的應(yīng)用操作系統(tǒng)版本信息��、終端的防病毒軟件信息�、終端系統(tǒng)本身的操作系統(tǒng)版本信息�、補(bǔ)丁軟件安裝情況等等。終端設(shè)備通過自身所屬的無線寬帶接入設(shè)備與安全策略服務(wù)實(shí)體進(jìn)行交互��。
該安全策略處理功能模塊也可以定時(shí)�����、或周期����、或在自身安全狀態(tài)信息發(fā)生變化時(shí)主動(dòng)向安全策略服務(wù)實(shí)體上報(bào)自身的安全狀態(tài)信息��。該安全策略處理功能模塊可以是一個(gè)獨(dú)立的軟件���,與安全策略服務(wù)實(shí)體互通的終端設(shè)備只要安裝該軟件即可,該安全策略處理功能模塊中還可以保存防病毒軟件����。
與無線寬帶接入設(shè)備相連的安全策略服務(wù)實(shí)體中包含各個(gè)相關(guān)終端設(shè)備的安全策略信息,安全策略服務(wù)實(shí)體可根據(jù)所有收集到的終端設(shè)備的安全狀態(tài)信息或歷史狀態(tài)信息���,制定相應(yīng)的安全策略����,可在安全策略服務(wù)實(shí)體中設(shè)置專門的策略管理模塊來收集各個(gè)終端設(shè)備安全狀態(tài)信息和制定安全策略�。安全策略服務(wù)實(shí)體與終端設(shè)備的安全策略處理功能模塊之間建立安全協(xié)議協(xié)商,即建立相互的安全信任關(guān)系����,那么,安全策略服務(wù)實(shí)體就可以向終端設(shè)備下發(fā)需要收集策略信息的請(qǐng)求�,終端設(shè)備則上報(bào)自身的安全狀態(tài)信息,如防病毒軟件信息���、補(bǔ)丁軟件安裝信息等���;終端設(shè)備也可以主動(dòng)上報(bào)自身的安全狀態(tài)信息。
為使無線寬帶接入設(shè)備的上層處理模塊能根據(jù)安全策略服務(wù)實(shí)體的需求對(duì)相應(yīng)的用戶進(jìn)行控制����,在無線寬帶接入設(shè)備中也增加有與安全策略服務(wù)實(shí)體互通的安全策略處理功能模塊及與安全策略服務(wù)實(shí)體協(xié)商的協(xié)議,如此����,無線寬帶接入設(shè)備一方面可以根據(jù)安全策略服務(wù)實(shí)體給的策略信息,進(jìn)行相應(yīng)的用戶控制���,另一方面�,也可以給安全策略服務(wù)實(shí)體提供相應(yīng)的策略支持需求���。
本發(fā)明系統(tǒng)還可以進(jìn)一步包括一個(gè)或多個(gè)完成不同安全保障功能的�����、或檢測(cè)不同病毒的安全網(wǎng)關(guān)設(shè)備��,無線寬帶接入設(shè)備可將相關(guān)數(shù)據(jù)包發(fā)送到相應(yīng)的安全網(wǎng)關(guān)設(shè)備����,例如發(fā)送到專門檢測(cè)某種病毒的防病毒網(wǎng)關(guān)上,由該防病毒網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行掃描���、殺毒����,并把經(jīng)過殺毒的數(shù)據(jù)包返回?zé)o線寬帶接入設(shè)備���,通過無線寬帶接入設(shè)備送往Internet公網(wǎng)���。
基于上述系統(tǒng),以安全策略服務(wù)實(shí)體為安全策略服務(wù)器為例����,本發(fā)明的實(shí)現(xiàn)方法如圖3所示,具體包括以下步驟步驟301安全策略服務(wù)器向某終端設(shè)備發(fā)送請(qǐng)求信息,請(qǐng)求該終端設(shè)備上報(bào)其自身相關(guān)的安全狀態(tài)信息。這里�,終端設(shè)備是配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī),包括便攜式PC和臺(tái)式PC,或是通過無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端����,如PDA����、掌上電腦等等。
本步驟中�,所述請(qǐng)求可由安全策略服務(wù)器隨時(shí)發(fā)起���,且該請(qǐng)求信息通過目的終端設(shè)備所屬的無線寬帶接入設(shè)備透?jìng)鹘o目的終端設(shè)備�,同時(shí)該請(qǐng)求信息中含有所需要信息的指示���,比如指示終端設(shè)備上報(bào)其補(bǔ)丁軟件安裝信息�,至于請(qǐng)求信息的具體格式可采用安全策略服務(wù)器與終端設(shè)備預(yù)先協(xié)商確定的格式即可�����,比如不同字段代表安全策略服務(wù)器需要獲取的不同類型的信息等等。
步驟302終端設(shè)備收到安全策略服務(wù)器發(fā)來的請(qǐng)求后�����,根據(jù)安全策略服務(wù)器的需求終端設(shè)備通過自身的安全策略處理功能模塊�,收集自身相關(guān)的安全狀態(tài)信息,并將所收集的相關(guān)安全狀態(tài)信息上報(bào)給安全策略服務(wù)器���。
這里�,所述的安全狀態(tài)信息包括但不限于終端的應(yīng)用操作系統(tǒng)版本信息、終端的防病毒軟件信息�、終端系統(tǒng)本身的操作系統(tǒng)版本信息、補(bǔ)丁軟件安裝情況等等���。所述終端設(shè)備通過自己所屬的無線寬帶接入設(shè)備向策略服務(wù)器上報(bào)自身的安全狀態(tài)信息����。
步驟303安全策略服務(wù)器根據(jù)終端設(shè)備上報(bào)的安全狀態(tài)信息�����,獲取該終端設(shè)備當(dāng)前的安全狀況;然后�,安全策略服務(wù)器根據(jù)終端設(shè)備當(dāng)前的安全狀況以及自身存儲(chǔ)的相關(guān)安全信息,確定對(duì)相應(yīng)終端設(shè)備的控制信息�����,再將確定的控制信息作為安全策略向該終端所屬無線寬帶接入設(shè)備和/或該終端設(shè)備發(fā)送��。
這里���,安全策略服務(wù)器存儲(chǔ)的相關(guān)安全信息包括但不限于終端設(shè)備應(yīng)安裝的補(bǔ)丁軟件信息、終端設(shè)備應(yīng)安裝的防病毒軟件信息等等����。所述無線寬帶接入設(shè)備可以是具有IP數(shù)據(jù)包解析能力的BS、或AC/AS����。
步驟304無線寬帶接入設(shè)備和/或終端設(shè)備收到相應(yīng)的安全策略后,就根據(jù)安全策略服務(wù)器的需求進(jìn)行相應(yīng)的控制處理���。
比如如果安全策略是要求對(duì)某些終端設(shè)備傳輸?shù)臄?shù)據(jù)進(jìn)行某種病毒檢測(cè)�����,則無線寬帶接入設(shè)備可在收到指定IP地址發(fā)來的數(shù)據(jù)或發(fā)向指定IP地址的數(shù)據(jù)后���,將相應(yīng)數(shù)據(jù)送至指定的安全網(wǎng)關(guān)設(shè)備上進(jìn)行病毒掃描和殺毒��;或是無線寬帶接入設(shè)備將某類數(shù)據(jù)通過指定的安全網(wǎng)關(guān)設(shè)備進(jìn)行傳輸?shù)鹊取?br>
再比如安全策略服務(wù)器確定一條安全策略是對(duì)來自終端設(shè)備N的所有數(shù)據(jù)包進(jìn)行流量控制����,以防止有大量垃圾郵件包造成流量攻擊����,安全策略服務(wù)器將該安全策略下發(fā)給終端設(shè)備N所屬的無線寬帶接入設(shè)備B,則無線寬帶接入設(shè)備B會(huì)根據(jù)收到的安全策略對(duì)終端設(shè)備N發(fā)來的數(shù)據(jù)包進(jìn)行流量控制����。
在實(shí)際應(yīng)用中,也可以由無線寬帶接入設(shè)備向安全策略服務(wù)器發(fā)送策略請(qǐng)求信息�,安全策略服務(wù)器收到請(qǐng)求后,再執(zhí)行上述步驟301至304�。還可以由終端設(shè)備主動(dòng)向安全策略服務(wù)器上報(bào)當(dāng)前收集的自身的安全狀態(tài)信息,安全策略服務(wù)器收到后�,執(zhí)行步驟303和步驟304,這里�����,可以采用周期上報(bào)、或定時(shí)上報(bào)�����、或在自身安全狀態(tài)信息發(fā)生變化時(shí)上報(bào)等方式�����。
在具體應(yīng)用的實(shí)現(xiàn)過程中����,安全策略服務(wù)實(shí)體也可以作為插卡嵌入到無線寬帶接入設(shè)備如BS或AC/AS中提供相應(yīng)安全服務(wù)�����。
本發(fā)明通過安全策略服務(wù)實(shí)體對(duì)安全策略的制定���,在網(wǎng)絡(luò)側(cè)可以判別終端設(shè)備所處的安全狀態(tài)�,并能將安全威脅信息或者存在的潛在威脅源通知給安全策略服務(wù)實(shí)體��,由安全策略服務(wù)實(shí)體通過判斷���,考慮確定對(duì)終端設(shè)備實(shí)施相應(yīng)的安全策略�,并可以通過無線寬帶接入設(shè)備對(duì)終端設(shè)備的控制防止威脅的擴(kuò)散。
舉一個(gè)安裝補(bǔ)丁軟件管理的例子���,目前����,很多蠕蟲病毒的擴(kuò)散都是由于沒有及時(shí)對(duì)終端設(shè)備安裝相應(yīng)的補(bǔ)丁軟件����,另外,諸如“沖擊波”��、“震蕩波”等病毒也都是這種情況����。那么,通過本發(fā)明的方法就可以防止由于補(bǔ)丁軟件沒有及時(shí)安裝�����,而造成的病毒對(duì)網(wǎng)絡(luò)攻擊的擴(kuò)散�。
本例中,無線寬帶接入設(shè)備為BS��;安全策略服務(wù)實(shí)體為安全策略服務(wù)器��,該安全策略服務(wù)器中存儲(chǔ)有所有應(yīng)安裝的補(bǔ)丁軟件信息,還可以進(jìn)一步保存每個(gè)補(bǔ)丁軟件信息的相關(guān)信息�,比如重要程度。本例中����,本發(fā)明方法的具體實(shí)現(xiàn)過程是1)安全策略服務(wù)器向終端設(shè)備M發(fā)送操作系統(tǒng)補(bǔ)丁配置信息需求,要求終端設(shè)備M返回其自身當(dāng)前的補(bǔ)丁配置情況�����。
這里���,操作系統(tǒng)補(bǔ)丁配置信息就是終端設(shè)備的安全狀態(tài)信息���。
2)終端設(shè)備M收到請(qǐng)求后���,通過自身的安全策略處理功能模塊提取出目前自身操作系統(tǒng)中所安裝的補(bǔ)丁軟件情況�,并將提取出的補(bǔ)丁軟件安裝信息上傳給安全策略服務(wù)器��。
3)安全策略服務(wù)器接收到補(bǔ)丁軟件安裝信息后����,根據(jù)所獲取的終端設(shè)備M的補(bǔ)丁軟件安裝信息以及自身存儲(chǔ)的應(yīng)安裝的補(bǔ)丁軟件信息���,對(duì)終端設(shè)備M的補(bǔ)丁安裝情況進(jìn)行判斷,結(jié)果發(fā)現(xiàn)終端設(shè)備M有一個(gè)重要補(bǔ)丁沒有安裝����。比如每個(gè)終端設(shè)備應(yīng)至少安裝A、B���、C���、D四個(gè)補(bǔ)丁程序,才能保證終端設(shè)備的基本安全狀態(tài)�����,而當(dāng)前終端設(shè)備M只安裝了A���、C�����、D����,沒有安裝B。
4)安全策略服務(wù)器則向該終端設(shè)備M發(fā)送某補(bǔ)丁程序未安裝的通知信息����,比如通知終端設(shè)備M補(bǔ)丁程序B未安裝。同時(shí)��,安全策略服務(wù)器可根據(jù)當(dāng)前所獲得的信息制定安全策略�����,比如對(duì)該終端設(shè)備M限制帶寬�;之后,安全策略服務(wù)器向BS發(fā)送該終端設(shè)備M的帶寬限制信息���。
5)BS收到該終端設(shè)備M的帶寬限制信息后��,對(duì)該終端設(shè)備M進(jìn)行帶寬限制����,甚至對(duì)該終端設(shè)備M進(jìn)行上網(wǎng)阻斷��。
對(duì)于終端設(shè)備M來說���,可以根據(jù)步驟4)中的通知���,決定是否安裝補(bǔ)丁程序B。
在實(shí)際應(yīng)用中���,本發(fā)明的方法和系統(tǒng)不僅適用于對(duì)病毒包的防范和控制����,還可以對(duì)其他一些非法數(shù)據(jù)包如垃圾郵件包����、有害信息數(shù)據(jù)包等等起到防范和控制,只要制定相應(yīng)的安全策略即可��,總之�����,對(duì)于各種非法數(shù)據(jù)包均可采用本發(fā)明的方法進(jìn)行防御和控制���。以上所述����,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法,其特征在于�,在無線寬帶接入網(wǎng)中設(shè)置安全策略服務(wù)實(shí)體,該方法還包括以下步驟a.所述安全策略服務(wù)實(shí)體根據(jù)終端設(shè)備上報(bào)的安全狀態(tài)信息�,獲取所述終端設(shè)備當(dāng)前的安全狀況,并根據(jù)所獲取的終端設(shè)備安全狀況以及自身保存的相關(guān)安全信息��,確定對(duì)所述終端設(shè)備的安全策略�����;b.將步驟a所確定的安全策略發(fā)送給所述終端設(shè)備和/或其所屬的無線寬帶接入設(shè)備����,收到安全策略的無線寬帶接入設(shè)備和/或終端設(shè)備根據(jù)安全策略完成相應(yīng)控制處理。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,步驟a之前該方法還包括所述終端設(shè)備主動(dòng)向安全策略服務(wù)實(shí)體上報(bào)當(dāng)前收集的自身的安全狀態(tài)信息�����。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述終端設(shè)備周期性�����、或定期���、或在自身安全狀態(tài)信息發(fā)生變化時(shí)向所述安全策略服務(wù)實(shí)體上報(bào)�。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,步驟a之前該方法還包括a0.所述安全策略服務(wù)實(shí)體向所述終端設(shè)備發(fā)送要求終端設(shè)備上報(bào)安全狀態(tài)信息的請(qǐng)求����;所述終端設(shè)備收到請(qǐng)求后,根據(jù)所述安全策略服務(wù)實(shí)體的要求收集自身相關(guān)的安全狀態(tài)信息��,并將所收集的安全狀態(tài)信息上報(bào)給所述安全策略服務(wù)實(shí)體�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于����,步驟a0之前該方法還包括無線寬帶接入設(shè)備向所述安全策略服務(wù)實(shí)體發(fā)送策略請(qǐng)求信息����,所述安全策略服務(wù)實(shí)體收到請(qǐng)求后����,向終端設(shè)備發(fā)送要求終端設(shè)備上報(bào)相關(guān)安全狀態(tài)信息的請(qǐng)求。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法���,其特征在于����,所述安全狀態(tài)信息為終端的應(yīng)用操作系統(tǒng)版本信息�����、終端的防病毒軟件信息����、終端系統(tǒng)本身的操作系統(tǒng)版本信息、補(bǔ)丁軟件安裝情況�、或四者的任意組合。
7.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法�,其特征在于��,所述安全策略服務(wù)實(shí)體為單獨(dú)的安全策略服務(wù)器�����,或?yàn)樵O(shè)置于網(wǎng)絡(luò)設(shè)備的功能模塊,或?yàn)榫哂胁呗怨芾砉δ艿牟蹇ā?br>
8.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法�,其特征在于,所述無線寬帶接入設(shè)備為具備IP數(shù)據(jù)包解析能力的無線城域網(wǎng)中的BS���,所述BS包括含有物理層和媒體訪問控制層的無線底層處理模塊�,以及與Internet網(wǎng)上路由器互通的協(xié)議處理模塊�����;或?yàn)闊o線局域網(wǎng)中的AC/AS��。
9.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法�,其特征在于,所述終端設(shè)備為配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)��、或?yàn)橥ㄟ^無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端�。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于����,該方法進(jìn)一步包括無線寬帶接入設(shè)備將當(dāng)前收到的數(shù)據(jù)包發(fā)送到安全網(wǎng)關(guān)設(shè)備進(jìn)行安全處理���,安全網(wǎng)關(guān)設(shè)備完成安全處理后,將經(jīng)過安全處理的數(shù)據(jù)包返回?zé)o線寬帶接入設(shè)備����。
11.一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的系統(tǒng),包括至少一個(gè)無線寬帶接入設(shè)備和一個(gè)或一個(gè)以上終端設(shè)備�����,終端設(shè)備與自身所屬的無線寬帶接入設(shè)備相連�����,其特征在于�,該系統(tǒng)還包括安全策略服務(wù)實(shí)體,用于獲取終端設(shè)備的安全狀態(tài)信息���,確定和保存安全策略�����,并將安全策略下發(fā)給相關(guān)的無線寬帶接入設(shè)備和/或終端設(shè)備���,該安全策略服務(wù)實(shí)體與至少一個(gè)無線寬帶接入設(shè)備相連����;所述終端設(shè)備和所述無線寬帶接入設(shè)備中分別設(shè)置有與安全策略服務(wù)實(shí)體進(jìn)行互通的安全策略處理功能模塊�,用于接收安全策略服務(wù)實(shí)體的指令信息并完成相應(yīng)處理,和/或向安全策略服務(wù)實(shí)體發(fā)送與安全相關(guān)的信息�。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于�,所述安全策略服務(wù)實(shí)體為單獨(dú)的安全策略服務(wù)器�,或?yàn)樵O(shè)置于網(wǎng)絡(luò)設(shè)備的功能模塊,或?yàn)榫哂胁呗怨芾砉δ艿牟蹇ā?br>
13.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其特征在于,所述終端設(shè)備為配有無線寬帶接入功能數(shù)據(jù)卡的PC機(jī)�、或?yàn)橥ㄟ^無線寬帶接入系統(tǒng)上網(wǎng)的手持式終端。
14.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于��,該系統(tǒng)進(jìn)一步包括安全網(wǎng)關(guān)設(shè)備�����,用于對(duì)無線寬帶接入設(shè)備發(fā)來的數(shù)據(jù)包進(jìn)行安全處理�����。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)��,其特征在于�����,所述安全網(wǎng)關(guān)設(shè)備為防病毒網(wǎng)關(guān)�。
16.根據(jù)權(quán)利要求11至15任一項(xiàng)所述的系統(tǒng),其特征在于����,所述無線寬帶接入設(shè)備為具備IP數(shù)據(jù)包解析能力的無線城域網(wǎng)中的BS,所述BS包括含有物理層和媒體訪問控制層的無線底層處理模塊�����,以及與Internet網(wǎng)上路由器互通的協(xié)議處理模塊��;或?yàn)闊o線局域網(wǎng)中的AC/AS����。
全文摘要
本發(fā)明公開了一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的方法��,在無線寬帶接入網(wǎng)中設(shè)置安全策略服務(wù)實(shí)體���,該方法還包括以下步驟a.所述安全策略服務(wù)實(shí)體根據(jù)終端設(shè)備上報(bào)的安全狀態(tài)信息,獲取所述終端設(shè)備當(dāng)前的安全狀況�,并根據(jù)所獲取的終端設(shè)備安全狀況以及自身保存的相關(guān)安全信息,確定對(duì)所述終端設(shè)備的安全策略���;b.將所確定的安全策略發(fā)送給所述終端設(shè)備和/或其所屬的無線寬帶接入設(shè)備���,收到安全策略的無線寬帶接入設(shè)備和/或終端設(shè)備根據(jù)安全策略完成相應(yīng)控制處理���。本發(fā)明還同時(shí)公開了一種保證無線寬帶接入系統(tǒng)數(shù)據(jù)業(yè)務(wù)安全的系統(tǒng)���,采用該方法和系統(tǒng)能形成網(wǎng)絡(luò)和終端聯(lián)合進(jìn)行安全處理的機(jī)制,能對(duì)移動(dòng)通信網(wǎng)中的非法數(shù)據(jù)包有效地處理和抑制����。
文檔編號(hào)H04L12/24GK1798064SQ20041010357
公開日2006年7月5日 申請(qǐng)日期2004年12月30日 優(yōu)先權(quán)日2004年12月30日
發(fā)明者鄭志彬 申請(qǐng)人:華為技術(shù)有限公司