專利名稱:一種跨網(wǎng)絡的安全能力協(xié)商方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,具體而言�����,涉及一種跨網(wǎng)絡的安全能力協(xié)商方法和系 統(tǒng)�����。
背景技術(shù):
隨著網(wǎng)絡的融合以及全IP化的發(fā)展趨勢�,安全問題越來越嚴重���。同時��,相應 的各種各樣的安全設備也層出不窮��。目前���,傳統(tǒng)安全設備已經(jīng)向大容量和高性能方向發(fā) 展�����,主要應對網(wǎng)絡層的安全威脅���。各種各樣的應用級安全設備和檢測設備也被部署到網(wǎng) 絡中,用以抵御來自網(wǎng)絡各個層面的安全威脅�。傳統(tǒng)安全設備主要具有包過濾、NAT (Network Address Transfer�����,網(wǎng)絡地址翻 譯)����、防DDoS (Distribution Denial of service,分布式拒絕服務)攻擊和防畸形報文攻擊
等基本功能,可以抵御來自網(wǎng)絡層的安全威脅�。隨著網(wǎng)絡的發(fā)展和網(wǎng)絡應用的豐富, 針對應用層的攻擊技術(shù)發(fā)展迅速����。而抵御這些應用層攻擊的安全設備也隨之出現(xiàn),如 IDS (Intrusion Detection System,入侵檢測系統(tǒng))�、IPS (Intrusion Protection System,入侵防 護系統(tǒng))和UTM (Unified ThreatManagement,統(tǒng)一威脅管理)設備。隨著人們的安全保護意識越來越強烈��,大大小小的安全設備被部署在網(wǎng)絡的各 個角落,加強了對網(wǎng)絡的保護����。但是�,網(wǎng)絡也越來越復雜,效率越來越低下����。SOC (Security Operation Center,安全運營中心)主要用于統(tǒng)一管理網(wǎng)絡中各種各
樣的安全設備;SOC由“四個中心����、五個功能模塊”組成。四個中心分別為事件監(jiān)控中 心���、漏洞評估中心�����、綜合分析決策支持與預警中心和應急管理中心���;五個功能模塊分別 為策略管理、資產(chǎn)管理�、用戶管理��、安全知識管理和自身系統(tǒng)維護����。SOC只是對網(wǎng)絡中 的各種安全設備實現(xiàn)了統(tǒng)一管理和統(tǒng)一監(jiān)控��,提供各種安全分析報告�����,并未解決網(wǎng)絡因 引入大量安全設備而導致效率下降的問題��。在單一網(wǎng)絡的情況下���,一臺策略服務器可以管理該網(wǎng)絡中的各種安全設備�。策 略服務器收集這些安全設備的安全能力信息��,為這些安全設備在策略服務器上建立安全 能力參數(shù)數(shù)據(jù)庫���,并為這些安全設備之間建立安全能力關(guān)系數(shù)據(jù)庫���,優(yōu)化網(wǎng)絡中的安全 設備配置,提高網(wǎng)絡效率����。同時策略服務器也可以從其它策略服務器接收來自另外一個 網(wǎng)絡的安全設備的安全能力信息����。但是目前的技術(shù)并未提出策略服務器之間的安全設備 的安全能力參數(shù)交互方法���。
發(fā)明內(nèi)容
本發(fā)明旨在提供一種安全能力協(xié)商方法和系統(tǒng)�����,能夠?qū)崿F(xiàn)網(wǎng)絡中不同策略服務 器之間安全設備的安全能力信息的交換,對跨網(wǎng)絡的安全設備的安全能力進行優(yōu)化��。為了解決上述問題�����,本發(fā)明提供了一種跨網(wǎng)絡的安全能力協(xié)商方法�,用于多個 網(wǎng)絡中的策略服務器之間協(xié)商安全能力,策略服務器將本地安全設備的安全能力參數(shù)發(fā) 送給其他策略服務器�����,并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)�����,在本地建立外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫,建立本地安全設備與 外網(wǎng)安全設備的安全能力關(guān)系數(shù)據(jù)庫���,下發(fā)給本地安全設備執(zhí)行�。進一步地�����,上述方法還可具有以下特點��,策略服務器還在本地安全設備的安全 能力參數(shù)更新時��,發(fā)送更新的安全能力參數(shù)至與該本地安全設備相關(guān)的其他策略服務 器���,還接收其他策略服務器發(fā)送的其管理的外網(wǎng)安全設備的更新的安全能力參數(shù)�,更新 在本地為所述外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫���,并更新本地安全設備和外網(wǎng)安 全設備之間的安全能力關(guān)系數(shù)據(jù)庫����,下發(fā)給本地安全設備執(zhí)行。
進一步地�,上述方法還可具有以下特點,策略服務器在本地安全設備退出網(wǎng)絡 時�����,發(fā)送通知信息給其他策略服務器�,通知其他策略服務器刪除與該本地安全設備的相 關(guān)信息;策略服務器收到其他策略服務器發(fā)送的通知信息時�����,刪除本地為所述通知信息 中指示的退出網(wǎng)絡的外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫�,刪除該退出網(wǎng)絡的外網(wǎng) 安全設備與本地安全設備之間的安全能力關(guān)系數(shù)據(jù)庫,通知與該退出網(wǎng)絡的外網(wǎng)安全設 備相關(guān)的本地安全設備刪除相關(guān)的安全能力關(guān)系數(shù)據(jù)庫���。進一步地,上述方法還可具有以下特點���,在所述策略服務器上手動配置其他策 略服務器的地址�;或者���,由網(wǎng)管設備自動在所述策略服務器上配置其他策略服務器的地 址�。進一步地,上述方法還可具有以下特點����,所述策略服務器之間通過安全能力協(xié) 商報文攜帶安全能力參數(shù),其中��,所述安全能力協(xié)商報文包括類型字段和載荷字段��,類 型字段用于指示載荷字段攜帶的內(nèi)容是安全能力參數(shù)信息����、或者是更新的安全能力參數(shù) 信息、或者是通知信息��;所述安全能力協(xié)商報文基于超文本傳輸協(xié)議��,內(nèi)部參數(shù)采用可 擴展標記語言封裝�。本發(fā)明還提供一種跨網(wǎng)絡的安全能力協(xié)商系統(tǒng),包括多個策略服務器�,其中所述策略服務器,用于將本地安全設備的安全能力參數(shù)發(fā)送給其他策略服務 器�����,并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)��,在 本地建立該外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫,建立本地安全設備與該外網(wǎng)安全設備 的安全能力關(guān)系數(shù)據(jù)庫��,下發(fā)給本地安全設備執(zhí)行�。進一步地,上述系統(tǒng)還可具有以下特點�����,所述策略服務器�,還用于在本地安全 設備的安全能力參數(shù)更新時,發(fā)送更新的安全能力參數(shù)至其他策略服務器���,還接收其他 策略服務器發(fā)送的其管理的外網(wǎng)安全設備的更新的安全能力參數(shù)��,更新在本地為所述外 網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫����,并更新本地安全設備和外網(wǎng)安全設備之間的安 全能力關(guān)系數(shù)據(jù)庫����,下發(fā)給本地安全設備執(zhí)行�����。進一步地,上述系統(tǒng)還可具有以下特點����,所述策略服務器,還用于在本地安全 設備退出網(wǎng)絡時�,發(fā)送通知信息給其他策略服務器,通知其他策略服務器刪除與該本地 安全設備的相關(guān)信息��;還用于收到其他策略服務器發(fā)送的通知信息時����,刪除本地為所述 通知信息中指示的退出網(wǎng)絡的外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫,刪除該退出網(wǎng) 絡的外網(wǎng)安全設備與本地安全設備之間的安全能力關(guān)系數(shù)據(jù)庫���,通知與該退出網(wǎng)絡的外 網(wǎng)安全設備相關(guān)的本地安全設備刪除相關(guān)的安全能力關(guān)系數(shù)據(jù)庫�����。進一步地����,上述系統(tǒng)還可具有以下特點�����,所述策略服務器,還用于保存手動配 置的其他策略服務器的地址����;或者,保存由網(wǎng)管設備自動配置的其他策略服務器的地址�����。進一步地�����,上述系 統(tǒng)還可具有以下特點����,所述策略服務器之間通過安全能力協(xié) 商報文攜帶安全能力參數(shù),其中���,所述安全能力協(xié)商報文包括類型字段和載荷字段��,類 型字段用于指示載荷字段攜帶的內(nèi)容是安全能力參數(shù)信息����、或者是更新的安全能力參數(shù) 信息����、或者是通知信息;所述安全能力協(xié)商報文基于超文本傳輸協(xié)議�����,內(nèi)部參數(shù)采用可 擴展標記語言封裝���。本發(fā)明所述方法和系統(tǒng)�����,能夠?qū)崿F(xiàn)網(wǎng)絡中不同策略服務器之間安全設備的安全 能力信息的交換���,對跨網(wǎng)絡的安全設備的安全能力進行優(yōu)化。
圖1示出了根據(jù)本發(fā)明實施例的用于實現(xiàn)策略服務之間人工配置對方鏈接地 址����;圖2示出了根據(jù)本發(fā)明實施例的用于實現(xiàn)網(wǎng)絡設備對策略服務器進行自動管理 和配置;圖3示出了根據(jù)本發(fā)明實施例的用于實現(xiàn)策略服務器之間協(xié)商安全能力參數(shù)的 報文格式����。
具體實施例方式下面根據(jù)附圖介紹各實施例。需要說明的是�,本發(fā)明內(nèi)容可以用以下實施例解 釋��,但不限于以下的實施例��。本發(fā)明提供了一種跨網(wǎng)絡的安全能力協(xié)商方法�����,用于多個網(wǎng)絡中的策略服務器 之間協(xié)商安全能力�,對任一策略服務器�,該策略服務器將本地安全設備的安全能力參數(shù) 發(fā)送給若干個其他策略服務器,并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安 全設備的安全能力參數(shù)����,在本地建立該外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫,建立本地 安全設備與該外網(wǎng)安全設備的安全能力關(guān)系數(shù)據(jù)庫���,下發(fā)給本地安全設備執(zhí)行�����。策略服務器還在本地安全設備的安全能力參數(shù)更新時���,發(fā)送更新的安全能力參 數(shù)至與該本地安全設備相關(guān)的其他策略服務器,還接收其他策略服務器發(fā)送的其管理的 外網(wǎng)安全設備的更新的安全能力參數(shù),更新在本地為所述外網(wǎng)安全設備建立的安全能力 參數(shù)數(shù)據(jù)庫����,并更新本地安全設備和所述外網(wǎng)安全設備之間的安全能力關(guān)系數(shù)據(jù)庫����,下 發(fā)給本地安全設備執(zhí)行。策略服務器在本地安全設備退出網(wǎng)絡時���,發(fā)送通知信息給其他策略服務器�����,通 知其他策略服務器刪除與該外網(wǎng)安全設備的相關(guān)信息�����;策略服務器收到其他策略服務器 發(fā)送的通知信息時����,刪除本地為所述通知信息中指示的退出網(wǎng)絡的外網(wǎng)安全設備建立的 安全能力參數(shù)數(shù)據(jù)庫��,刪除該退出網(wǎng)絡的外網(wǎng)安全設備與本地安全設備之間的安全能力 關(guān)系數(shù)據(jù)庫����,通知與該退出網(wǎng)絡的外網(wǎng)安全設備相關(guān)的本地安全設備刪除相關(guān)的安全能 力關(guān)系數(shù)據(jù)庫�。在所述策略服務器上手動配置其他策略服務器的地址���;或者�����,由網(wǎng)管設備自動 在所述策略服務器上配置其他策略服務器的地址��。策略服務器之間通過安全能力協(xié)商報文攜帶安全能力參數(shù)�,其中�����,所述安全能力協(xié)商報文包括類型字段和載荷字段����,類型字段用于指示載荷字段攜帶的內(nèi)容是安全能 力參數(shù)信息、或者是更新的安全能力參數(shù)信息��、或者是通知信息�;所述安全能力協(xié)商報 文基于超文本傳輸協(xié)議,內(nèi)部參數(shù)采用可擴展標記語言封裝���。所述安全能力協(xié)商報文還 可包括版本字段��,用于指示該協(xié)議報文的版本�。下面以兩個策略服務器的交互說明本發(fā)明跨網(wǎng)絡的安全能力協(xié)商方法,但本發(fā) 明不限于兩個策略服務器�。圖1為根據(jù)本發(fā)明實施例的用于實現(xiàn)策略服務器之間人工配置對方鏈接地址的 系統(tǒng)示意圖,具體包括在策略服務器A上配置策略服務器B的地址���,在策略服務器B上也配置策略服 務器A的地址;在策略服務器A和策略服務器B建立連接之后���,策略服務器A將安全設備A的 安全能力參數(shù)發(fā)送到策略服務器B�����,策略服務器B為安全設備A建立安全能力參數(shù)數(shù)據(jù) 庫�����,并為安全設備A和安全設備B建立安全能力關(guān)系數(shù)據(jù)庫��。 同樣�����,策略服務器B也會將安全設備B的安全能力參數(shù)發(fā)送到策略服務器A�, 策略服務器A為安全設備B建立安全能力參數(shù)數(shù)據(jù)庫,并為安全設備B和安全設備A建 立安全能力關(guān)系數(shù)據(jù)庫��。需要進一步說明的是����,如果安全設備A退出網(wǎng)絡,則策略服務器A需要通知與 安全設備A相關(guān)的策略服務器B�����,策略服務器B收到該通知后刪除本地的安全設備A的 安全能力參數(shù)數(shù)據(jù)庫以及安全設備A與安全設備B之間的安全能力關(guān)系數(shù)據(jù)庫��,同時通 知安全設備B刪除與安全設備A相關(guān)的安全能力關(guān)系數(shù)據(jù)庫����。需要進一步說明的是,如果安全設備A有安全能力參數(shù)更新��,則策略服務器A 在更新本地的安全設備A的安全能力參數(shù)數(shù)據(jù)庫以及更新與安全設備A相關(guān)的安全能力 關(guān)系數(shù)據(jù)庫之后�����,需要通知策略服務器B更新安全設備A的安全能力參數(shù)數(shù)據(jù)庫以及與 安全設備A相關(guān)的安全能力關(guān)系數(shù)據(jù)庫��。策略服務器B也需要將更新的與安全設備A和 安全設備B相關(guān)的關(guān)系數(shù)據(jù)庫發(fā)送到安全設備B。圖2示出了根據(jù)本發(fā)明實施例的用于實現(xiàn)網(wǎng)絡設備對策略服務器進行自動管理 和配置�����,具體描述如下本實施例與圖1所示實施例的區(qū)別在于策略服務器之間的發(fā)現(xiàn)機制����。圖1所示 的實施例中策略服務器之間的發(fā)現(xiàn)依靠人工配置地址。而本實施例中的所有策略服務器 需連接上級網(wǎng)管設備��。網(wǎng)管設備根據(jù)拓撲情況��,將策略服務器的地址自動下發(fā)到各個策 略服務器�����。例如策略服務器A與策略服務器B相連接����,且都連接上了上級網(wǎng)管設備�����。網(wǎng) 管設備將策略服務器A的地址下發(fā)到策略服務器B�,而將策略服務器B的地址下發(fā)到策 略服務器A�。從而實現(xiàn)了利用網(wǎng)管設備對策略服務器進行自動管理和配置�。需要說明的是,本實施例中的安全能力協(xié)商過程與圖1所示實施例中的安全能 力協(xié)商過程一致���。需要說明的是����,本實施例不規(guī)定策略服務器與網(wǎng)管設備之間的接口��。以上圖1和圖2所示兩個實施例分別適用于不同的應用場景����。例如,圖1所示 的實施例適用于網(wǎng)絡環(huán)境簡單���,策略服務器少的情況���,人工配置簡單快捷。圖2所示的 實施例適用于網(wǎng)絡環(huán)境復雜�,策略服務器較多,人工配置繁瑣�,因此,采用更上一級的網(wǎng)管設備來管理策略服務器�����。圖3示出了根據(jù)本發(fā)明實施例的用于實現(xiàn)策略服務器之間協(xié)商安全能力參數(shù)的 報文格式,具體描述如下策略服務器之間使用安全能力協(xié)商報文攜帶安全能力協(xié)商參數(shù)��。本發(fā)明安全 能力協(xié)商報文基于HTTP (HyperText Transfer Protocol,超文本傳輸協(xié)議)����,內(nèi)部參數(shù)采用 XML (Extensible Markup Language,可擴展標記語言)封裝,包括Version (版本)字段�、 Type(類型)和Payload(載荷)字段,其中
Version(版本)字段為版本號����,用于指示該協(xié)議報文的版本。Type (類型)字段為報文類型�,用于指示該協(xié)議報文的Payload(載荷)字段中所 攜帶的內(nèi)容����,即用于指示Payload字段攜帶的內(nèi)容是安全能力參數(shù)信息、或者是更新的安 全能力參數(shù)信息����、或者是通知信息。具體地�����,Type字段取不同的值代表報文攜帶不同的 Payload,如下表所示
TypePayload
_O__安全設備的安全能力參數(shù)信息_
1通知信息,Information (信息)報文����,本端安全設 備下線,該報文用于通知對端策略服務器刪除跟該安全
設備相關(guān)的安全能力參數(shù)數(shù)據(jù)庫和安全能力關(guān)系數(shù)據(jù)
__
2更新信息��,當本端安全設備的安全能力參數(shù)有更新 時���,本端策略服務器將更新的內(nèi)容用該報文發(fā)送到對端 策略服務器����,通知對方更新該安全設備的安全能力參數(shù)
_數(shù)據(jù)庫和安全能力關(guān)系數(shù)據(jù)庫�����。_當然Type字段的取值不限于上述0���,1�����,2��;也可是使用其他值進行指示��,此處 僅為示例��。本發(fā)明還提供一種跨網(wǎng)絡的安全能力協(xié)商系統(tǒng)��,包括多個策略服務器�,其中所述策略服務器,用于將本地安全設備的安全能力參數(shù)發(fā)送給其他策略服務 器���,并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)�����,在 本地建立該外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫��,建立本地安全設備與該外網(wǎng)安全設備 的安全能力關(guān)系數(shù)據(jù)庫��,下發(fā)給本地安全設備執(zhí)行。其中��,所述策略服務器��,還用于在本地安全設備的安全能力參數(shù)更新時����,發(fā)送 更新的安全能力參數(shù)至其他策略服務器���,還接收其他策略服務器發(fā)送的其管理的外網(wǎng)安全設備的更新的安全能力參數(shù),更新在本地為所述外網(wǎng)安全設備建立的安全能力參數(shù)數(shù) 據(jù)庫�,并更新本地安全設備和外網(wǎng)安全設備之間的安全能力關(guān)系數(shù)據(jù)庫,下發(fā)給本地安 全設備執(zhí)行��。其中��,所述策略服務器�,還用于在本地安全設備退出網(wǎng)絡時,發(fā)送通知信息給 其他策略服務器�,通知其他策略服務器刪除與該本地安全設備的相關(guān)信息;還用于收到 其他策略服務器發(fā)送的通知信息時��,刪除本地為所述通知信息中指示的退出網(wǎng)絡的外網(wǎng) 安全設備建立的安全能力參數(shù)數(shù)據(jù)庫��,刪除該退出網(wǎng)絡的外網(wǎng)安全設備與本地安全設備 之間的安全能力關(guān)系數(shù)據(jù)庫����,通知與該退出網(wǎng)絡的外網(wǎng)安全設備相關(guān)的本地安全設備刪 除相關(guān)的安全能力關(guān)系數(shù)據(jù)庫。其中�����,策略服務器,還用于保存手動配置的其他策略服務器的地址�����;或者����,保 存由網(wǎng)管設備自動配置的其他策略服務器的地址。其中����,策略服務器之間通過安全能力協(xié)商報文攜帶安全能力參數(shù),其中��,所述 安全能力協(xié)商報文包括類型字段和載荷字段�,類型字段用于指示載荷字段攜帶的內(nèi)容是 安全能力參數(shù)信息、或者是更新的安全能力參數(shù)信息��、或者是通知信息�;所述安全能力 協(xié)商報文基于超文本傳輸協(xié)議,內(nèi)部參數(shù)采用可擴展標記語言封裝�。本發(fā)明 所述方法和系統(tǒng),能夠?qū)崿F(xiàn)網(wǎng)絡中不同策略服務器之間安全設備的安全 能力信息的交換�,對跨網(wǎng)絡的安全設備的安全能力進行優(yōu)化。
權(quán)利要求
1.一種跨網(wǎng)絡的安全能力協(xié)商方法���,用于多個網(wǎng)絡中的策略服務器之間協(xié)商安全能 力�����,其特征在于��,策略服務器將本地安全設備的安全能力參數(shù)發(fā)送給其他策略服務器�, 并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)��,在本地 建立外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫�,建立本地安全設備與外網(wǎng)安全設備的安全能 力關(guān)系數(shù)據(jù)庫,下發(fā)給本地安全設備執(zhí)行��。
2.如權(quán)利要求1所述的方法��,其特征在于�,策略服務器還在本地安全設備的安全能力 參數(shù)更新時,發(fā)送更新的安全能力參數(shù)至與該本地安全設備相關(guān)的其他策略服務器����,還 接收其他策略服務器發(fā)送的其管理的外網(wǎng)安全設備的更新的安全能力參數(shù),更新在本地 為所述外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫�����,并更新本地安全設備和外網(wǎng)安全設備 之間的安全能力關(guān)系數(shù)據(jù)庫,下發(fā)給本地安全設備執(zhí)行���。
3.如權(quán)利要求1所述的方法�����,其特征在于����,策略服務器在本地安全設備退出網(wǎng)絡時���, 發(fā)送通知信息給其他策略服務器�����,通知其他策略服務器刪除與該本地安全設備的相關(guān)信 息�����;策略服務器收到其他策略服務器發(fā)送的通知信息時��,刪除本地為所述通知信息中指 示的退出網(wǎng)絡的外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫����,刪除該退出網(wǎng)絡的外網(wǎng)安全 設備與本地安全設備之間的安全能力關(guān)系數(shù)據(jù)庫,通知與該退出網(wǎng)絡的外網(wǎng)安全設備相 關(guān)的本地安全設備刪除相關(guān)的安全能力關(guān)系數(shù)據(jù)庫�����。
4.如權(quán)利要求1����、2或3所述的方法��,其特征在于���,在所述策略服務器上手動配置其 他策略服務器的地址��;或者�,由網(wǎng)管設備自動在所述策略服務器上配置其他策略服務器 的地址����。
5.如權(quán)利要求1、2或3所述的方法�����,其特征在于,所述策略服務器之間通過安全 能力協(xié)商報文攜帶安全能力參數(shù)��,其中���,所述安全能力協(xié)商報文包括類型字段和載荷字 段����,類型字段用于指示載荷字段攜帶的內(nèi)容是安全能力參數(shù)信息���、或者是更新的安全能 力參數(shù)信息����、或者是通知信息�����;所述安全能力協(xié)商報文基于超文本傳輸協(xié)議���,內(nèi)部參數(shù) 采用可擴展標記語言封裝���。
6.一種跨網(wǎng)絡的安全能力協(xié)商系統(tǒng),包括多個策略服務器���,其中所述策略服務器���,用于將本地安全設備的安全能力參數(shù)發(fā)送給其他策略服務器����,并 從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)�,在本地建 立該外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫���,建立本地安全設備與該外網(wǎng)安全設備的安全 能力關(guān)系數(shù)據(jù)庫�����,下發(fā)給本地安全設備執(zhí)行��。
7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于�����,所述策略服務器�����,還用于在本地安全設備 的安全能力參數(shù)更新時���,發(fā)送更新的安全能力參數(shù)至其他策略服務器���,還接收其他策略 服務器發(fā)送的其管理的外網(wǎng)安全設備的更新的安全能力參數(shù),更新在本地為所述外網(wǎng)安 全設備建立的安全能力參數(shù)數(shù)據(jù)庫���,并更新本地安全設備和外網(wǎng)安全設備之間的安全能 力關(guān)系數(shù)據(jù)庫���,下發(fā)給本地安全設備執(zhí)行。
8.如權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述策略服務器�����,還用于在本地安全設備 退出網(wǎng)絡時�,發(fā)送通知信息給其他策略服務器,通知其他策略服務器刪除與該本地安全 設備的相關(guān)信息��;還用于收到其他策略服務器發(fā)送的通知信息時����,刪除本地為所述通知 信息中指示的退出網(wǎng)絡的外網(wǎng)安全設備建立的安全能力參數(shù)數(shù)據(jù)庫�����,刪除該退出網(wǎng)絡的 外網(wǎng)安全設備與本地安全設備之間的安全能力關(guān)系數(shù)據(jù)庫�����,通知與該退出網(wǎng)絡的外網(wǎng)安全設備相關(guān)的本地安全設備刪除相關(guān)的安全能力關(guān)系數(shù)據(jù)庫�。
9.如權(quán)利要求6�、7或8所述的系統(tǒng)��,其特征在于���,所述策略服務器�,還用于保存手 動配置的其他策略服務器的地址�;或者,保存由網(wǎng)管設備自動配置的其他策略服務器的 地址��。
10.如權(quán)利要求6���、7或8所述的系統(tǒng)�����,其特征在于���,所述策略服務器之間通過安全 能力協(xié)商報文攜帶安全能力參數(shù)����,其中�����,所述安全能力協(xié)商報文包括類型字段和載荷字 段���,類型字段用于指示載荷字段攜帶的內(nèi)容是安全能力參數(shù)信息���、或者是更新的安全能 力參數(shù)信息、或者是通知信息����;所述安全能力協(xié)商報文基于超文本傳輸協(xié)議,內(nèi)部參數(shù) 采用可擴展標記語言封裝���。
全文摘要
本發(fā)明提供了一種跨網(wǎng)絡的安全能力協(xié)商方法���,用于多個網(wǎng)絡中的策略服務器之間協(xié)商安全能力���,策略服務器將本地安全設備的安全能力參數(shù)發(fā)送給其他策略服務器,并從其他策略服務器接收其他策略服務器管理的外網(wǎng)安全設備的安全能力參數(shù)��,在本地建立外網(wǎng)安全設備的安全能力參數(shù)數(shù)據(jù)庫�����,建立本地安全設備與外網(wǎng)安全設備的安全能力關(guān)系數(shù)據(jù)庫���,下發(fā)給本地安全設備執(zhí)行���。本發(fā)明還提供一種跨網(wǎng)絡的安全能力協(xié)商系統(tǒng)�����。本發(fā)明所述方法和系統(tǒng)��,實現(xiàn)多網(wǎng)絡間安全能力協(xié)商�����,從而能對多網(wǎng)絡安全能力進行優(yōu)化。
文檔編號H04L12/24GK102013992SQ20091017146
公開日2011年4月13日 申請日期2009年9月4日 優(yōu)先權(quán)日2009年9月4日
發(fā)明者滕志猛, 韋銀星, 顏正清 申請人:中興通訊股份有限公司