用于實施ng防火墻的方法和系統(tǒng)、ng防火墻客戶端和ng防火墻服務器的制造方法
【專利摘要】本發(fā)明的實施例提供用于實施NG防火墻的方法和系統(tǒng)、NG防火墻客戶端以及NG防火墻服務器。所述方法包括:當應用在配置有所述NG防火墻客戶端的終端設備中被啟動時,發(fā)送用于請求應用的安全信息的請求消息;接收包含所述應用的所述安全信息的響應消息;通過使用所述應用的所述安全信息處理所述應用的接收或發(fā)送數(shù)據(jù)。在本發(fā)明中,可以實現(xiàn)動態(tài)加載攻擊防范,從而終端設備所需的軟件占用空間可以減少,并且安裝在終端設備上的應用的性能可以得到提高。
【專利說明】用于實施NG防火墻的方法和系統(tǒng)、NG防火墻客戶端和NG 防火墻服務器
【技術領域】
[0001] 本發(fā)明涉及通信技術,尤其涉及一種用于實施NG防火墻的方法和系統(tǒng)、一種NG防 火墻客戶端以及一種NG防火墻服務器。
【背景技術】
[0002] NG防火墻(NG-FW,下一代防火墻)將安全服務統(tǒng)一到單一引擎中并改變接入控制 和安全策略的設計。NG防火墻擴展了應用和業(yè)務流的管理。NG防火墻的功能包括:允許、 攔截、記錄、監(jiān)控以及帶寬控制等。
[0003] NG防火墻結合了第一代防火墻,例如,狀態(tài)和無狀態(tài)網(wǎng)絡防火墻、應用防火墻、 NAT-ALG (網(wǎng)絡地址轉換應用層網(wǎng)關)、IPS (入侵防御系統(tǒng))/IDS (入侵檢測系統(tǒng))、反X惡 意軟件掃描。這種結合增加了 NG防火墻的復雜性。NG防火墻的基礎是對關聯(lián)先前接收報 文的傳入和傳出報文進行深度報文檢測。
[0004] 另一方面,智能手機是旅行中BYOD(攜帶自己的設備辦公)、個人銀行、社交網(wǎng)站 和娛樂的關鍵推動因素。這樣增加了對消費者隱私的安全威脅以及個人和商業(yè)數(shù)據(jù)的泄 漏。
[0005] 然而, 申請人:發(fā)現(xiàn):NG防火墻安裝在具有高計算能力的專用服務器上。然而,NG防 火墻還沒有在智能手機等終端設備上實施。因此終端設備所需的軟件占用空間沒有減少, 而且安裝在終端設備上的應用的性能沒有得到提高。
【發(fā)明內容】
[0006] 本發(fā)明的實施例涉及提供一種實施NG防火墻的方法和系統(tǒng)、一種NG防火墻客戶 端以及一種NG防火墻服務器,以在不影響應用層防攻擊的情況下,減少終端設備上NF防火 墻NG防火墻的軟件占用空間。
[0007] 根據(jù)本發(fā)明的實施例的一方面,提供了一種用于實施NG防火墻(下一代防火墻) 的方法,所述方法包括:
[0008] 當應用在終端設備中被啟動時,向NG防火墻服務器發(fā)送用于請求所述應用的安 全信息的請求消息;
[0009] 從所述NG防火墻服務器接收包含所述應用的所述安全信息的響應消息,其中所 述應用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息;
[0010] 通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
[0011] 根據(jù)本發(fā)明的實施例的另一方面,所述請求消息包含所述應用的識別信息,以及 所述應用的所述識別信息用于所述NG防火墻服務器確定所述應用的所述安全信息。
[0012] 根據(jù)本發(fā)明的實施例的另一方面,所述方法進一步包括:
[0013] 當所述應用在所述終端設備中被關閉時,清除所述應用的所述安全信息。
[0014] 根據(jù)本發(fā)明的實施例的另一方面,所述響應消息進一步包括用于維護所述應用的 部分或全部安全信息的一個或多個定時器值;以及
[0015] 所述方法進一步包括:當對應于所述應用的所述部分安全信息的所述一個或多個 定時器值中的一個或多個定時器超時時,重新請求所述應用的所述部分安全信息,或
[0016] 當對應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或 多個定時器超時時,重新請求所述應用的所述全部安全信息。
[0017] 根據(jù)本發(fā)明的實施例的另一方面,所述方法進一步包括:
[0018] 當對應于所述應用的所述部分安全信息的所述一個或多個定時器值中的一個或 多個定時器超時時,清除所述應用的所述部分安全信息,或
[0019] 當對應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或 多個定時器超時時,清除所述應用的所述全部安全信息。
[0020] 根據(jù)本發(fā)明的實施例的另一方面,所述應用的所述安全信息包括以下信息的任意 一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報 文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息。
[0021] 根據(jù)本發(fā)明的實施例的另一方面,存在不同的定時器值用于保存以下信息的任意 一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報 文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息;或
[0022] 存在相同的定時器值用于保存以下信息的任意一項或組合:所述應用的報文簽名 信息、所述應用的接入控制列表信息、所述應用的畸形報文攻擊信息、所述應用的有狀態(tài)防 火墻庫信息以及所述應用的報文限速策略信息。
[0023] 根據(jù)本發(fā)明的實施例的另一方面,通過使用所述應用的所述安全信息處理所述應 用的數(shù)據(jù)包括:
[0024] 通過使用所述應用的所述報文簽名信息處理所述應用的所述數(shù)據(jù),或
[0025] 通過使用所述應用的所述接入控制列表信息處理所述應用的所述數(shù)據(jù),或
[0026] 通過使用所述應用的所述畸形攻擊信息處理所述應用的所述數(shù)據(jù),或
[0027] 通過使用所述應用的所述狀態(tài)防火墻庫信息處理所述應用的所述數(shù)據(jù),或
[0028] 通過使用所述應用的所述報文限速策略信息處理所述應用的所述數(shù)據(jù)。
[0029] 根據(jù)本發(fā)明的實施例的另一方面,提供了一種用于實施NG防火墻的方法,所述方 法包括:
[0030] 從終端設備接收用于請求應用的安全信息的請求消息,其中所述應用的所述安全 信息表示對所述終端設備中啟動的所述應用作安全保護的信息;
[0031] 根據(jù)所述請求消息確定所述應用的所述安全信息;
[0032] 向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
[0033] 根據(jù)本發(fā)明的實施例的另一方面,所述請求消息包括所述應用的識別信息;以及
[0034] 根據(jù)所述請求消息確定所述應用的所述安全信息包括:根據(jù)所述請求消息中包含 的所述應用的所述識別信息從數(shù)據(jù)庫中獲取所述應用的所述安全信息。
[0035] 根據(jù)本發(fā)明的實施例的另一方面,在向所述終端設備發(fā)送包含所述應用的所述安 全信息的響應消息之前,所述方法進一步包括:
[0036] 認證所述請求消息是否有效;
[0037] 當所述請求消息有效時,執(zhí)行向所述終端設備發(fā)送所述包含所述應用的所述安全 信息的響應消息的過程。
[0038] 根據(jù)本發(fā)明的實施例的另一方面,所述方法進一步包括:
[0039] 確定用于維護所述應用的部分或全部安全信息的一個或多個定時器值;
[0040] 所述向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息包括:發(fā)送包 含所述應用的所述安全信息的響應消息,以及用于維護所述應用的部分或全部安全信息的 一個或多個定時器值給所述終端設備。
[0041] 根據(jù)本發(fā)明的實施例的另一方面,所述應用的所述安全信息包括以下信息的任意 一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報 文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息。
[0042] 根據(jù)本發(fā)明的實施例的另一方面,提供了一種NG防火墻客戶端,包括:
[0043] 發(fā)送單元,用于當應用在配置有NG防火墻客戶端的終端設備中被啟動時,向NG防 火墻服務器發(fā)送用于請求所述應用的安全信息的請求消息;
[0044] 接收單元,用于從所述NG防火墻服務器接收包含所述應用的所述安全信息的響 應消息,其中所述應用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護 的信息;
[0045] 處理單元,用于通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
[0046] 根據(jù)本發(fā)明的實施例的另一方面,所述發(fā)送單元具體用于,當應用在配置有所述 NG防火墻客戶端的終端設備中被啟動時,向所述NG防火墻服務器發(fā)送用于請求所述應用 的所述安全信息的所述請求消息;其中所述請求消息包含所述應用的識別信息,以及所述 應用的所述識別信息用于所述NG防火墻服務器確定所述應用的所述安全信息。
[0047] 根據(jù)本發(fā)明的實施例的另一方面,所述NG防火墻客戶端進一步包括:
[0048] 清除單元,用于當所述應用在所述終端設備中被關閉時,清除所述應用的所述安 全信息。
[0049] 根據(jù)本發(fā)明的實施例的另一方面,所述響應消息進一步包括用于維護所述應用的 部分或全部安全信息的一個或多個定時器值;以及
[0050] 所述發(fā)送單元進一步用于,當對應于所述應用的所述部分安全信息的所述一個或 多個定時器值中的一個或多個定時器超時時,重新請求所述應用的所述部分安全信息,或 當對應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或多個定時 器超時時,重新請求所述應用的所述全部安全信息。
[0051] 根據(jù)本發(fā)明的實施例的另一方面,所述清除單元進一步用于,當對應于所述應用 的所述部分安全信息的所述一個或多個定時器值中的一個或多個定時器超時時,清除所述 應用的所述部分安全信息,或當對應于所述應用的所述全部安全信息的所述一個或多個定 時器值中的一個或多個定時器超時時,清除所述應用的所述全部安全信息。
[0052] 根據(jù)本發(fā)明的實施例的另一方面,所述應用的所述安全信息包括以下信息的任意 一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報 文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息。
[0053] 根據(jù)本發(fā)明的實施例的另一方面,所述處理單元具體用于:
[0054] 通過使用所述應用的所述報文簽名信息處理所述應用的所述數(shù)據(jù),或
[0055] 通過使用所述應用的所述接入控制列表信息處理所述應用的所述數(shù)據(jù),或
[0056] 通過使用所述應用的所述畸形攻擊信息處理所述應用的所述數(shù)據(jù),或
[0057] 通過使用所述應用的所述狀態(tài)防火墻庫信息處理所述應用的所述數(shù)據(jù),或
[0058] 通過使用所述應用的所述報文限速策略信息處理所述應用的所述數(shù)據(jù)。
[0059] 根據(jù)本發(fā)明的實施例的另一方面,提供了一種NG防火墻服務器,包括:
[0060] 接收單元,用于從終端設備接收用于請求應用的安全信息的請求消息,其中所述 應用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息;
[0061] 第一確定單元,用于根據(jù)所述請求消息確定所述應用的所述安全信息;
[0062] 發(fā)送單元,用于向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
[0063] 根據(jù)本發(fā)明的實施例的另一方面,所述請求消息包括所述應用的識別信息;以及
[0064] 所述第一確定單元具體用于根據(jù)所述請求消息中包含的所述應用的所述識別信 息從數(shù)據(jù)庫中獲取所述應用的所述安全信息。
[0065] 根據(jù)本發(fā)明的實施例的另一方面,所述NG防火墻服務器進一步包括:
[0066] 認證單元,用于認證所述請求消息是否有效;以及
[0067] 所述發(fā)送單元具體用于,當所述請求消息有效時,發(fā)送包含所述應用的所述安全 信息的所述響應消息給所述終端設備。
[0068] 根據(jù)本發(fā)明的實施例的另一方面,所述NG防火墻服務器進一步包括:
[0069] 第二確定單元,用于確定用于維護所述應用的部分或全部安全信息的一個或多個 定時器值;
[0070] 所述發(fā)送單元具體用于發(fā)送包含所述應用的所述安全信息的響應消息,以及用于 維護所述應用的部分或全部安全信息的一個或多個定時器值給所述終端設備。
[0071] 根據(jù)本發(fā)明的實施例的另一方面,所述應用的所述安全信息包括以下信息的任意 一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報 文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息。
[0072] 根據(jù)本發(fā)明的實施例的另一方面,提供一種終端設備,包括:
[0073] 處理器和耦合至所述處理器的存儲器;
[0074] 其中所述處理器用于:
[0075] 當應用在所述終端設備中被啟動時,向NG防火墻服務器發(fā)送用于請求所述應用 的安全信息的請求消息;
[0076] 從所述NG防火墻服務器接收包含所述應用的所述安全信息的響應消息,其中所 述應用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息;
[0077] 通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
[0078] 根據(jù)本發(fā)明的實施例的另一方面,提供了一種NG防火墻服務器,包括:
[0079] 處理器和耦合至所述處理器的存儲器;
[0080] 其中所述處理器用于:
[0081] 從終端設備接收用于請求應用的安全信息的請求消息,其中所述應用的所述安全 信息表示對所述終端設備中啟動的所述應用作安全保護的信息;
[0082] 根據(jù)所述請求消息確定所述應用的所述安全信息;
[0083] 向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
[0084] 根據(jù)本發(fā)明的實施例的另一方面,提供了一種用于實施NG防火墻的系統(tǒng),包括:
[0085] 如上所述的一個或多個終端設備;以及
[0086] 如上所述的NG防火墻服務器。
[0087] 本發(fā)明的實施例的有益效果在于:當應用在終端設備中被啟動時,NG防火墻客戶 端向NG防火墻服務器請求所述應用的安全信息。因此,本發(fā)明的實施例可以實現(xiàn)動態(tài)加載 攻擊防范,從而終端設備所需的軟件占用空間可以減少,并且安裝在終端設備上的應用的 性能可以得到提1?。
[0088] 此外,終端設備將受到保護,免遭來自新應用或服務的新攻擊。由于攻擊防范的數(shù) 量直接依賴于用戶正在使用的應用的數(shù)量,所以信令報文將減少,這樣有助于延長移動終 端的電池壽命。
[0089] 參考以下描述和附圖,本發(fā)明的這些和其他方面以及特征將顯而易見。在描述和 附圖中,詳細揭示了本發(fā)明的特定實施例,以指示出本發(fā)明的原理可以采用的一些方式,但 應理解,本發(fā)明并不限于對應的范圍。相反,本發(fā)明包括所附權利要求書的精神和項內的所 有變化、修改以及等效物。
[0090] 參考一項實施例描述和/或說明的特征可以采用相同方式或類似方式用于一項 或多項其他實施例,和/或與其他實施例的特征結合使用或替代這些特征。
[0091] 應強調的是,本說明書中所用的術語"包括"用于說明存在所述特征、整體、步驟或 部件,但并不排除存在或添加一個或多個其他特征、整體、步驟、部件或上述項的組合。
[0092] 參考以下附圖可以更好地理解本發(fā)明的許多方面。附圖中的部件不必按比例繪 制,而是將重點放在清晰地說明本發(fā)明的原理上。為了有助于說明并描述本發(fā)明的一些部 分,可以將附圖中對應部分的尺寸放大,例如,相對于其他部分而言,使其比根據(jù)本發(fā)明實 際制作的示例性裝置大。本發(fā)明的一個附圖或實施例中描繪的元件和特征可以與一個或多 個額外附圖或實施例中描繪的元件和特征相結合。此外,在附圖中,相同參考編號指代若干 視圖中的對應部分,并且可以用來指代一項以上實施例中的相同或類似部分。
【專利附圖】
【附圖說明】
[0093] 附圖被包括在內以提供對本發(fā)明的進一步理解,附圖構成本說明書的一部分,說 明本發(fā)明的優(yōu)選實施例,并且與描述內容一起用于闡明本發(fā)明的原理。附圖中相同的參考 編號始終表示相同的元件。
[0094] 在附圖中:
[0095] 圖1為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的流程示意圖;
[0096] 圖2為圖示關于終端設備和NG防火墻服務器的結構示意圖;
[0097] 圖3為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的流程示意圖;
[0098] 圖4為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的另一流程示意圖; [0099] 圖5為根據(jù)本發(fā)明的實施例的步驟402的流程示意圖;
[0100] 圖6為根據(jù)本發(fā)明的實施例的步驟403的流程示意圖;
[0101] 圖7為根據(jù)本發(fā)明的實施例的步驟405的流程示意圖;
[0102] 圖8為根據(jù)本發(fā)明的實施例的步驟406的流程示意圖;
[0103] 圖9為根據(jù)本發(fā)明的實施例的步驟407的流程示意圖;
[0104] 圖10為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的流程示意圖;
[0105] 圖11為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的另一流程示意圖;
[0106] 圖12為根據(jù)本發(fā)明的實施例的終端設備的結構示意圖;
[0107] 圖13為根據(jù)本發(fā)明的實施例的終端設備的結構示意圖;
[0108] 圖14為根據(jù)本發(fā)明的實施例的NG防火墻服務器的結構示意圖;
[0109] 圖15為根據(jù)本發(fā)明的實施例的NG防火墻服務器的另一結構示意圖;
[0110] 圖16為根據(jù)本發(fā)明的實施例的終端設備的結構示意圖;
[0111] 圖17為根據(jù)本發(fā)明的實施例的NG防火墻服務器的結構示意圖;
[0112] 圖18為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的系統(tǒng)的結構示意圖。
【具體實施方式】
[0113] 各實施例的許多特征和優(yōu)點在詳細說明書中顯而易見,因此,所附權利要求書意 圖涵蓋屬于其真實精神和范圍內的實施例的所有此類特征和優(yōu)點。此外,由于所屬領域的 技術人員將容易想到多種修改和變化,因而并不希望將發(fā)明性實施例限于所說明并描述的 確切構造和操作,因此,可以采取的所有適當修改和等效物均屬于相應范圍內。
[0114] 下文參考附圖來描述本發(fā)明的實施例。
[0115] 實施例1
[0116] 本發(fā)明的該實施例提供一種用于實施NG防火墻的方法,該方法應用在NG防火墻 客戶端中。
[0117] 圖1是根據(jù)本發(fā)明的實施例1的用于實施NG防火墻的方法的流程示意圖。如圖 1所示,所述方法包括:
[0118] 步驟101,當應用在配置有NG防火墻客戶端的終端設備中被啟動時,NG防火墻客 戶端發(fā)送請求消息給NG防火墻服務器,其中,請求消息用于請求應用的安全信息。
[0119] 步驟102, NG防火墻客戶端從NG防火墻服務器接收響應消息;其中應用的安全消 息包含在響應消息中;應用的安全信息表示在終端設備中啟動的應用的安全保護的信息。
[0120] 步驟103, NG防火墻客戶端通過使用應用的安全信息處理應用的數(shù)據(jù)。
[0121] 在該實施例中,NG防火墻客戶端可以配置在終端設備中,終端設備可以是固定設 備或無線設備,例如,智能手機、平板電腦。應用可以是社交軟件(例如,Skype、youtube), 并且可能已經(jīng)安裝在終端設備中。然而,并不限于此,可根據(jù)實際需要來確定特定實施方 式。
[0122] 在該實施例中,NG防火墻服務器具有一個含有NG防火墻的數(shù)據(jù)或信息的NG-FW 數(shù)據(jù)庫。關于NG-FW數(shù)據(jù)庫的詳情,請參考現(xiàn)有技術。NG防火墻服務器可以通過終端設備 (例如智能手機)的任意接口,例如,藍牙、USP端口或任何空中接口進行連接。
[0123] 在該實施例中,應用的安全信息可包括:應用的報文簽名信息、應用的接入控制列 表信息、應用的畸形攻擊信息、應用的狀態(tài)防火墻庫信息以及應用的報文限速策略信息。然 而,并不限于此,可根據(jù)實際需要來確定特定實施方式。
[0124] 圖2為圖示關于終端設備和NG防火墻服務器的結構的示例的示意圖。應注意的 是該圖僅是示例性的,其他類型的結構可用于補充或替換此結構。
[0125] 如圖2所示,配置有NG-FW客戶端的終端設備中存在一些應用;同時配置有數(shù)據(jù)庫 的NG-FW服務器中存在這些應用的安全信息(例如應用的攻擊防范數(shù)據(jù))。
[0126] 例如,存儲應用的安全信息的數(shù)據(jù)庫可以配置在NG-FW服務器中;換句話說,數(shù)據(jù) 庫是NG-FW服務器的本地數(shù)據(jù)庫。在另一示例中,存儲應用的安全信息的數(shù)據(jù)庫可以單獨 配置;NG-GW服務器可以通過通信接口訪問該數(shù)據(jù)庫。然而,并不限于此。
[0127] 在該實施例中,NG-FW是終端設備(智能手機等)的強制要求之一以實現(xiàn)BY0D,獲 得個人理財和戰(zhàn)略業(yè)務信息以及安全個人信息。智能手機是電池操作設備,還具有有限的 計算資源。
[0128] 隨著移動VAS (增值業(yè)務)的數(shù)量呈指數(shù)級增長,攻擊的數(shù)量也將呈指數(shù)級增長, 因此NG-FW的軟件占用空間以及使用復雜應用框架處理每種類型的攻擊將會很昂貴。顯 然,移動用戶同時將使用數(shù)量非常有限的應用。
[0129] 在該實施例中,例如,基于NG-FW的窮盡攻擊防范可以安裝在集中式實體上,例 如,在環(huán)境中的分組核心網(wǎng)、輔助存儲器,或服務器中。當智能手機用戶啟動任何應用時,攻 擊防范請求將被發(fā)送到NG-FW數(shù)據(jù)庫。智能手機將安裝應用特定攻擊防范、接入控制列表 以及應用簽名。任何Rx/Tx報文將檢查新安裝的攻擊防范,這樣入口和出口應用的接入控 制就可以在智能手機上實現(xiàn)。
[0130] 從上述實施例可以看出:當應用在配置有NG防火墻客戶端的終端設備中被啟動 時,NG防火墻客戶端向NG防火墻服務器請求應用的安全信息。因此,本發(fā)明的實施例可以 實現(xiàn)動態(tài)加載攻擊防范,從而終端設備所需的軟件占用空間可以減少,并且安裝在終端設 備上的應用的性能可以得到提高。
[0131] 實施例2
[0132] 基于實施例1,本發(fā)明的該實施例提供一種用于實施NG防火墻的方法;相同內容 將不再予以描述。
[0133] 圖3為根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的流程示意圖。如圖3 所示,該方法包括:
[0134] 步驟301,當應用在配置有NG防火墻客戶端的終端設備中被啟動時,NG防火墻客 戶端發(fā)送請求消息給NG防火墻服務器,其中該請求消息用于請求所述應用的安全信息。
[0135] 在該實施例中,請求消息可包括應用的識別信息,例如,應用的標識符或應用的種 類;應用的識別信息由NG防火墻服務器用來確定應用的安全信息。然而,并不限于此,可根 據(jù)實際需要來確定特定實施方式。
[0136] 步驟302, NG防火墻從NG防火墻服務器接收包含應用的安全信息的響應消息。
[0137] 步驟303, NG防火墻客戶端通過使用應用的安全信息處理應用的數(shù)據(jù)。
[0138] 如圖3所示,該方法可進一步包括:
[0139] 步驟304,當應用在終端設備中關閉時,NG防火墻客戶端清除應用的安全信息。
[0140] 在該實施例中,一旦智能手機結束或關閉應用(例如Skype),應用的安全信息(例 如,所有安裝和下載的數(shù)據(jù)、應用接入列表和簽名)被清空。
[0141] 圖4是根據(jù)本發(fā)明的實施例的用于實施NG防火墻的方法的另一流程示意圖。終 端設備配置有NG-FW客戶端。如圖4所示,該方法可包括:
[0142] 步驟401,在終端設備中啟用NG防火墻功能。
[0143] 步驟402,在終端設備中配置NG防火墻服務器的IP地址和端口號。
[0144] 在該步驟中,終端設備可基于NG防火墻服務器的IP地址和端口號生成請求消息。
[0145] 步驟403,當應用在終端設備中被啟動時,終端設備發(fā)送請求消息給NG防火墻服 務器;其中請求消息用于請求應用的安全信息并包括應用的識別信息。
[0146] 步驟404, NG防火墻服務器在接收請求消息之后根據(jù)請求消息中包含的應用的識 別信息確定應用的安全信息。
[0147] 在該實施例中,NG-FW服務器可發(fā)送響應消息給終端設備;應用的安全信息包含 在響應消息中。
[0148] 此外,用于保存應用的部分或全部安全信息的一個或多個定時器值可包含在響應 消息中。
[0149] 例如,響應消息中存在一個定時器值,用于應用的所有安全信息;或存在一個定時 器值,用于應用的報文簽名信息;另一定時器值,用于應用的接入控制列表信息;以及另一 定時器值,用于應用的畸形攻擊信息。然而,并不限于此,可根據(jù)實際需要來確定特定實施 方式。
[0150] 步驟405, NG防火墻從NG防火墻服務器接收包含應用的安全信息的響應消息。
[0151] 步驟406, NG防火墻客戶端通過使用應用的安全信息處理應用的數(shù)據(jù)。
[0152] 在該實施例中,當對應于應用的部分安全信息的一個或多個定時器值中的一個或 多個定時器超時時,終端設備可重新請求應用的部分安全信息。
[0153] 或者,當對應于應用的全部安全信息的一個或多個定時器值中的一個或多個定時 器超時時,終端設備可重新請求應用的全部安全信息。
[0154] 例如,如果響應消息中存在用于應用的全部安全信息的定時器值A,則當對應于定 時器值A的定時器超時時,終端設備可重新請求應用的全部安全信息。
[0155] 又例如,如果響應消息中有三個定時器值:用于應用的報文簽名信息的定時器值 B、用于應用的接入控制列表信息的定時器值C以及用于應用的畸形攻擊信息的定時器值 D,則當對應于定時器值B的定時器超時時,終端設備可重新請求應用的報文簽名信息;或 當對應于定時器值C的定時器超時時,終端設備可重新請求應用的接入控制列表信息;或 當對應于定時器值D的定時器超時時,終端設備可重新請求應用的畸形攻擊信息。
[0156] 如圖4所示,該方法可進一步包括:
[0157] 步驟407,當應用在終端設備中關閉時,終端設備清除應用的安全信息。
[0158] 在該步驟中,終端設備還可基于定時器清除應用的安全信息。終端設備將在定時 器超時時清除應用的安全信息。
[0159] 例如,當對應于應用的部分安全信息的一個或多個定時器值中的一個或多個定時 器超時時,終端設備可清除應用的部分安全信息。或者,當對應于應用的全部安全信息的一 個或多個定時器值中的一個或多個定時器超時時,終端設備可清除應用的全部安全信息。
[0160] 在步驟401中,在終端設備上啟用NG-FW客戶端(其具有NG防火強功能)??梢?允許每個應用來選擇終端設備用戶是否想要啟用NG-FW攻擊應用。默認所有的應用都不允 許從NG-FW服務器上下載。
[0161] 在步驟402中,NG防火墻服務器信息,例如NG防火墻服務器的端口號和IP地址, 可由用戶在終端設備中配置。此外,用于保存應用的安全信息的定時器值可由用戶在終端 設備中配置。
[0162] 在該實施例中,應用的安全信息可包括以下信息的任意一項或組合:應用的報文 簽名信息、應用的接入控制列表信息、應用的畸形攻擊信息、應用的狀態(tài)防火墻庫信息以及 應用的報文限速策略信息。
[0163] 其中存在不同的定時器值用于保存以下信息的任意一項或組合:應用的報文簽名 信息、應用的接入控制列表信息、應用的畸形攻擊信息、應用的狀態(tài)防火墻庫信息以及應用 的報文限速策略信息。
[0164] 或者,存在相同的定時器值用于保存以下信息的任意一項或組合:應用的報文簽 名信息、應用的接入控制列表信息、應用的畸形攻擊信息、應用的狀態(tài)防火墻庫信息以及應 用的報文限速策略信息。
[0165] 在該實施例中,通過使用應用的安全信息處理應用的數(shù)據(jù)的過程可包括:通過使 用應用的報文簽名信息處理應用的數(shù)據(jù),或通過使用應用的接入控制列表信息處理應用的 數(shù)據(jù),或通過使用應用的畸形攻擊信息處理應用的數(shù)據(jù),或通過使用應用的狀態(tài)防火墻庫 信息處理應用的數(shù)據(jù),或通過使用應用的報文限速策略信息處理應用的數(shù)據(jù)。
[0166] 圖5為根據(jù)本發(fā)明的實施例的步驟402的流程示意圖。如圖5所示,終端設備判 斷現(xiàn)有策略中是否存在任何變化;例如,判斷安全配置是否是默認配置(步驟501)。
[0167] 當配置不是默認配置時,在終端設備中配置端口號和IP地址(步驟502)。此外, 可以配置用于保存應用的安全信息的定時器。
[0168] 在步驟403中,例如,終端設備的用戶啟動"Skype"等應用進行社交活動。事件將 被發(fā)送給在終端設備上運行的NG-FW客戶端。終端設備將生成請求消息以請求應用的安全 信息。該請求消息可以基于任何傳送機制。
[0169] 在實施中,應用的安全信息可包括:應用的報文簽名信息、應用的接入控制列表信 息、應用的畸形攻擊、應用的狀態(tài)防火墻庫信息以及應用的報文限速策略信息等。
[0170] 圖6為根據(jù)本發(fā)明的實施例的步驟403的流程示意圖。如圖6所示,終端設備可 判斷安全信息是否是默認配置(步驟601)。當配置不是默認配置時,終端設備可觸發(fā)事件 (步驟602),例如發(fā)送消息給在終端設備中配置的NG-FW客戶端。
[0171] 隨后,終端設備可判斷NG-FW數(shù)據(jù)庫是否退出應用(步驟603)。當NG-FW數(shù)據(jù)庫 未退出應用時,終端設備發(fā)送請求應用的安全信息的請求消息(步驟604)。
[0172] 如圖6所示,終端設備可判斷是否發(fā)生超時或是否接收到確認消息(步驟605); 如果否,終端設備將繼續(xù)下載應用的安全信息和更新現(xiàn)有策略(步驟606)。隨后,使用現(xiàn)有 應用策略和安全機制(即,攻擊防范機制)(步驟607)。
[0173] 在步驟403中,請求消息可基于作為傳送協(xié)議的UDP(用戶數(shù)據(jù)報協(xié)議)生成。請 求消息的格式如下所示。
[0174] 智能手機請求消息 (:
【權利要求】
1. 一種用于實施NG防火墻(下一代防火墻)的方法,其特征在于,所述方法包括: 當應用在終端設備中被啟動時,向NG防火墻服務器發(fā)送用于請求所述應用的安全信 息的請求消息; 從所述NG防火墻服務器接收包含所述應用的所述安全信息的響應消息,其中所述應 用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息; 通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
2. 根據(jù)權利要求1所述的方法,其特征在于,所述請求消息包含所述應用的識別信息, 以及所述應用的所述識別信息用于所述NG防火墻服務器確定所述應用的所述安全信息。
3. 根據(jù)權利要求1所述的方法,其特征在于,所述方法進一步包括: 當所述應用在所述終端設備中被關閉時,清除所述應用的所述安全信息。
4. 根據(jù)權利要求1至3任一項權利要求所述的方法,其特征在于,所述響應消息還包括 用于維護所述應用的部分或全部安全信息的一個或多個定時器值;以及 所述方法進一步包括:當對應于所述應用的所述部分安全信息的所述一個或多個定時 器值中的一個或多個定時器超時時,重新請求所述應用的所述部分安全信息,或 當對應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或多個 定時器超時時,重新請求所述應用的所述全部安全信息。
5. 根據(jù)權利要求4所述的方法,其特征在于,所述方法進一步包括: 當對應于所述應用的所述部分安全信息的所述一個或多個定時器值中的一個或多個 定時器超時時,清除所述應用的所述部分安全信息,或 當對應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或多個 定時器超時時,清除所述應用的所述全部安全信息。
6. 根據(jù)權利要求1至5任一項權利要求所述的方法,其特征在于,所述應用的所述安全 信息包括以下信息的任意一項或組合: 所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的畸形報文攻擊 信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息。
7. 根據(jù)權利要求6所述的方法,其特征在于,存在不同的定時器值用于保存以下信息 的任意一項或組合:所述應用的報文簽名信息、所述應用的接入控制列表信息、所述應用的 畸形報文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用的報文限速策略信息; 或 存在相同的定時器值用于保存以下信息的任意一項或組合:所述應用的報文簽名信 息、所述應用的接入控制列表信息、所述應用的畸形報文攻擊信息、所述應用的有狀態(tài)防火 墻庫信息以及所述應用的報文限速策略信息。
8. 根據(jù)權利要求6所述的方法,其特征在于,通過使用所述應用的所述安全信息處理 所述應用的數(shù)據(jù)包括: 通過使用所述應用的所述報文簽名信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述接入控制列表信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述畸形攻擊信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述狀態(tài)防火墻庫信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述報文限速策略信息處理所述應用的所述數(shù)據(jù)。
9. 一種用于實施NG防火墻的方法,其特征在于,所述方法包括: 從終端設備接收用于請求應用的安全信息的請求消息,其中所述應用的所述安全信息 表示對所述終端設備中啟動的所述應用作安全保護的信息; 根據(jù)所述請求消息確定所述應用的所述安全信息; 向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
10. 根據(jù)權利要求9所述的方法,其特征在于,所述請求消息包括所述應用的識別信 息;以及 所述根據(jù)所述請求消息確定所述應用的所述安全信息包括:根據(jù)所述請求消息中包含 的所述應用的所述識別信息從數(shù)據(jù)庫中獲取所述應用的所述安全信息。
11. 根據(jù)權利要求9或10所述的方法,其特征在于,在向所述終端設備發(fā)送包含所述應 用的所述安全信息的響應消息之前,所述方法進一步包括: 認證所述請求消息是否有效; 當所述請求消息有效時,執(zhí)行向所述終端設備發(fā)送所述包含所述應用的所述安全信息 的響應消息的過程。
12. 根據(jù)權利要求9或10所述的方法,其特征在于,所述方法進一步包括: 確定用于維護所述應用的部分或全部安全信息的一個或多個定時器值; 所述向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息包括:向所述終端 設備發(fā)送包含所述應用的所述安全信息的響應消息,以及用于維護所述應用的部分或全部 安全信息的一個或多個定時器值。
13. 根據(jù)權利要求9至12任一項權利要求所述的方法,其特征在于,所述應用的所述安 全信息包括以下信息的任意一項或組合:所述應用的報文簽名信息、所述應用的接入控制 列表信息、所述應用的畸形報文攻擊信息、所述應用的有狀態(tài)防火墻庫信息以及所述應用 的報文限速策略信息。
14. 一種NG防火墻客戶端,其特征在于,包括: 發(fā)送單元,用于當應用在配置有NG防火墻客戶端的終端設備中被啟動時,向NG防火墻 服務器發(fā)送用于請求所述應用的安全信息的請求消息; 接收單元,用于從所述NG防火墻服務器接收包含所述應用的所述安全信息的響應消 息,其中所述應用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信 息; 處理單元,用于通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
15. 根據(jù)權利要求14所述的NG防火墻客戶端,其特征在于,所述發(fā)送單元具體用于,當 應用在配置有所述NG防火墻客戶端的終端設備中被啟動時,向所述NG防火墻服務器發(fā)送 用于請求所述應用的所述安全信息的所述請求消息;其中所述請求消息包含所述應用的識 別信息,以及所述應用的所述識別信息用于所述NG防火墻服務器確定所述應用的所述安 全信息。
16. 根據(jù)權利要求14所述的NG防火墻客戶端,其特征在于,所述NG防火墻客戶端進一 步包括: 清除單元,用于當所述應用在所述終端設備中被關閉時,清除所述應用的所述安全信 肩、。
17. 根據(jù)權利要求14至16任一項權利要求所述的NG防火墻客戶端,其特征在于,所述 響應消息進一步包括用于維護所述應用的部分或全部安全信息的一個或多個定時器值;以 及 所述發(fā)送單元進一步用于,當對應于所述應用的所述部分安全信息的所述一個或多個 定時器值中的一個或多個定時器超時時,重新請求所述應用的所述部分安全信息,或當對 應于所述應用的所述全部安全信息的所述一個或多個定時器值中的一個或多個定時器超 時時,重新請求所述應用的所述全部安全信息。
18. 根據(jù)權利要求17所述的NG防火墻客戶端,其特征在于,所述清除單元進一步用于, 當對應于所述應用的所述部分安全信息的所述一個或多個定時器值中的一個或多個定時 器超時時,清除所述應用的所述部分安全信息,或當對應于所述應用的所述全部安全信息 的所述一個或多個定時器值中的一個或多個定時器超時時,清除所述應用的所述全部安全 信息。
19. 根據(jù)權利要求14至18任一項權利要求所述的NG防火墻客戶端,其特征在于,所述 應用的所述安全信息包括以下信息的任意一項或組合:所述應用的報文簽名信息、所述應 用的接入控制列表信息、所述應用的畸形報文攻擊信息、所述應用的有狀態(tài)防火墻庫信息 以及所述應用的報文限速策略信息。
20. 根據(jù)權利要求19所述的NG防火墻客戶端,其特征在于,所述處理單元具體用于: 通過使用所述應用的所述報文簽名信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述接入控制列表信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述畸形攻擊信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述狀態(tài)防火墻庫信息處理所述應用的所述數(shù)據(jù),或 通過使用所述應用的所述報文限速策略信息處理所述應用的所述數(shù)據(jù)。
21. -種NG防火墻服務器,其特征在于,包括: 接收單元,用于從終端設備接收用于請求應用的安全信息的請求消息,其中所述應用 的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息; 第一確定單元,用于根據(jù)所述請求消息確定所述應用的所述安全信息; 發(fā)送單元,用于向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
22. 根據(jù)權利要求21所述的NG防火墻服務器,其特征在于,所述請求消息包括所述應 用的識別信息;以及 所述第一確定單元具體用于根據(jù)所述請求消息中包含的所述應用的所述識別信息從 數(shù)據(jù)庫中獲取所述應用的所述安全信息。
23. 根據(jù)權利要求21或22所述的NG防火墻服務器,其特征在于,所述NG防火墻服務 器進一步包括: 認證單元,用于認證所述請求消息是否有效;以及 所述發(fā)送單元具體用于,當所述請求消息有效時,發(fā)送包含所述應用的所述安全信息 的所述響應消息給所述終端設備。
24. 根據(jù)權利要求21或22所述的NG防火墻服務器,其特征在于,所述NG防火墻服務 器進一步包括: 第二確定單元,用于確定用于維護所述應用的部分或全部安全信息的一個或多個定時 器值; 所述發(fā)送單元具體用于發(fā)送包含所述應用的所述安全信息的響應消息,以及用于維護 所述應用的部分或全部安全信息的一個或多個定時器值給所述終端設備。
25. 根據(jù)權利要求21至24任一項權利要求所述的NG防火墻服務器,其特征在于,所述 應用的所述安全信息包括以下信息的任意一項或組合:所述應用的報文簽名信息、所述應 用的接入控制列表信息、所述應用的畸形報文攻擊信息、所述應用的有狀態(tài)防火墻庫信息 以及所述應用的報文限速策略信息。
26. 一種終端設備,其特征在于,包括: 處理器和耦合至所述處理器的存儲器; 其中所述處理器用于: 當應用在所述終端設備中被啟動時,向NG防火墻服務器發(fā)送用于請求所述應用的安 全信息的請求消息; 從所述NG防火墻服務器接收包含所述應用的所述安全信息的響應消息,其中所述應 用的所述安全信息表示對所述終端設備中啟動的所述應用作安全保護的信息; 通過使用所述應用的所述安全信息處理所述應用的數(shù)據(jù)。
27. -種NG防火墻服務器,其特征在于,包括: 處理器和耦合至所述處理器的存儲器; 其中所述處理器用于: 從終端設備接收用于請求應用的安全信息的請求消息,其中所述應用的所述安全信息 表示對所述終端設備中啟動的所述應用作安全保護的信息; 根據(jù)所述請求消息確定所述應用的所述安全信息; 向所述終端設備發(fā)送包含所述應用的所述安全信息的響應消息。
28. -種用于實施NG防火墻的系統(tǒng),其特征在于,所述方法包括: 如權利要求26所述的一個或多個終端設備;以及 如權利要求27所述的NG防火墻服務器。
【文檔編號】H04L29/06GK104380686SQ201480001549
【公開日】2015年2月25日 申請日期:2014年4月3日 優(yōu)先權日:2013年11月7日
【發(fā)明者】山賈·庫馬爾·納維, 德布塔·納亞克, 章馳 申請人:華為技術有限公司