專利名稱:全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全防護方法,特別是涉及一種全網(wǎng)聯(lián)動 的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法���。背景技術(shù):
互聯(lián)網(wǎng)業(yè)務(wù)越來越復(fù)雜和多樣�,業(yè)務(wù)涉及的范圍越來越廣,用戶 數(shù)量越來越龐大��,可以跨越多個域��,并且持續(xù)很長的時間��。這就對傳統(tǒng)的粗放式網(wǎng)絡(luò)運行 維護和運營模式提出了嚴峻的挑戰(zhàn)���,運營商由于缺乏精細化運營的基礎(chǔ)����,愈發(fā)難以掌控客 戶的網(wǎng)絡(luò)行為����,更為嚴重的是,對于一些不良信息����,如非法宣傳、網(wǎng)絡(luò)病毒���、網(wǎng)絡(luò)攻擊��、垃圾 郵件等��,由于缺乏有效的識別和管控手段�����,致使惡意信息能夠通過網(wǎng)絡(luò)廣泛傳播���、大規(guī)模泛 濫,對網(wǎng)絡(luò)的安全和可信造成了嚴重威脅���。例如�����,2009年5月19日�,因黑客攻擊域名系統(tǒng)(Domain Name System, DNS)服 務(wù)器造成暴風(fēng)影音軟件產(chǎn)生了 DNS查詢網(wǎng)絡(luò)風(fēng)暴�����,其實質(zhì)是一種分布式拒絕服務(wù)攻擊 (Distribution Denial of service, DDOS)���;此次攻擊導(dǎo)致中國電信的多臺關(guān)鍵DNS服務(wù) 器崩潰����,使得我國江蘇、安徽等六省無法訪問互聯(lián)網(wǎng)并造成了巨大的損失���,因此僅在單一節(jié) 點上進行業(yè)務(wù)管控?zé)o法阻止這種DDOS非法流量�����,必須依靠全網(wǎng)部署的管控裝置進行聯(lián)動 才能抵御DDOS的攻擊����。又如����,目前很多寬帶運營商使用動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol, DHCP)來為寬帶用戶分配動態(tài)IP地址,管控裝置只有和用戶接 入控制系統(tǒng)協(xié)同操作才能對同一用戶作到長期統(tǒng)一的使用習(xí)慣分析和統(tǒng)一的業(yè)務(wù)控制��。管控裝置是一類網(wǎng)絡(luò)安全防護裝置的總稱����,包括網(wǎng)絡(luò)業(yè)務(wù)管控節(jié)點裝置、防火墻����、 路由器、交換機和入侵檢測系統(tǒng)等���。目前����,國內(nèi)外有不少實現(xiàn)聯(lián)動的網(wǎng)絡(luò)安全管理平臺,如Check Point公司的OPSEC 安全聯(lián)動平臺���、天融信公司的T0PSEC平臺和中科網(wǎng)威自有的安全聯(lián)動解決方案等都是較 為著名的實現(xiàn)方案��。上述平臺的聯(lián)動方式通常是以某種管控裝置(通常是防火墻)為中心,外圍是支 持聯(lián)動協(xié)議的管控裝置(通常是入侵檢測系統(tǒng))����,其管控范圍通常局限在單個網(wǎng)絡(luò)節(jié)點范圍 內(nèi),例如在企業(yè)網(wǎng)入口處實現(xiàn)防火墻和入侵檢測系統(tǒng)之間實現(xiàn)簡單的設(shè)備聯(lián)動�,僅僅建立 了多個設(shè)備之間的安全聯(lián)動互操作機制,而沒有上升到全網(wǎng)范圍安全管控的層次����。其次,防 火墻與入侵檢測的聯(lián)動由于入侵檢測系統(tǒng)誤報較多���,且缺乏關(guān)聯(lián)與歸并��,常常造成防火墻 的錯誤聯(lián)動�,阻斷正常的網(wǎng)絡(luò)通信。因此����,面對當(dāng)前業(yè)務(wù)管控在空間分布和功能協(xié)同等方面的挑戰(zhàn),不能再從單個管 控裝置����,單個管控范圍來考慮業(yè)務(wù)管控,管控裝置必須全網(wǎng)部署��,多點聯(lián)動��,通過管控中心 對安全事件關(guān)聯(lián)與歸并��,生成業(yè)務(wù)管控策略��,最終實現(xiàn)全網(wǎng)管控����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是克服現(xiàn)有技術(shù)的缺陷,提供一種全 網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法��,該方法用于實現(xiàn)網(wǎng)絡(luò)安全事件一點發(fā)現(xiàn)后多種管控裝 置協(xié)調(diào)聯(lián)動的效果����,可以達到安全事件全網(wǎng)范圍處理�����、用戶安全充分保障的目的�。本發(fā)明的技術(shù)方案一種全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法�,采用全網(wǎng)業(yè)務(wù)管 控體系來實現(xiàn),全網(wǎng)業(yè)務(wù)管控體系含有基于管理域的分層策略管理�����、聯(lián)動業(yè)務(wù)管控策略服 務(wù)協(xié)議�����、聯(lián)動業(yè)務(wù)管控策略信息庫和管控體系安全����,其中��,基于管理域的分層策略管理規(guī)定了全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的組織結(jié)構(gòu)����、功能模塊、處理流程和接口方式,聯(lián)動業(yè)務(wù)管控策略 服務(wù)協(xié)議規(guī)定了聯(lián)動業(yè)務(wù)管控策略信息在管控裝置間的交互方式�,聯(lián)動業(yè)務(wù)管控策略信息 庫定義了標準的聯(lián)動業(yè)務(wù)管控策略信息結(jié)構(gòu)和信息內(nèi)容,管控體系安全從管控裝置的安全 和聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全兩方面考慮全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的安全性解決方案�����。聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議也稱為COPS+����,COPS+是在通用開放策略服務(wù)(Common Open Policy Service,COPS)協(xié)議基礎(chǔ)上的一個擴展��,用于傳輸業(yè)務(wù)管控策略���。為了保證聯(lián) 動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全性����,將通用開放策略服務(wù)(Common Open Policy Service, COPS)協(xié)議力口載 BEEP (The Blocks Extensible Exchange Protocol)協(xié)議(The Blocks Extensible Exchange Protocol)的框架之上�,從而利用 BEEP (The Blocks Extensible Exchange Protocol)協(xié)議提供的安全特性可靠地傳輸策略信息(包括文本和二進制格式)?�;诠芾碛虻姆謱硬呗怨芾砗杏虿呗允芸貙雍秃诵牟呗苑?wù)層�;域策略受控層 含有各管理域的域聯(lián)動管控中心和管控裝置,各管理域的域聯(lián)動管控中心通過核心策略服 務(wù)層提供的服務(wù)對本管理域內(nèi)的管控裝置實施控制�;核心策略服務(wù)層提供核心策略服務(wù)以 及為各管理域所共用的域間服務(wù)(負責(zé)安全通信等域間服務(wù))和事件服務(wù)(負責(zé)事件的產(chǎn) 生�、分發(fā)���、傳遞和響應(yīng))����,并協(xié)同各管理域共同實現(xiàn)分層的全網(wǎng)業(yè)務(wù)管控�;管理域是具有相同 的業(yè)務(wù)管控需求且遵循共同業(yè)務(wù)管控策略的系統(tǒng)實體和資源的集合,網(wǎng)絡(luò)被劃分為多個可 以獨立管理的管理域����,各管理域獨立實施基于策略的業(yè)務(wù)管控;管理域分為多個級別(如可 分為頂級���、二級����、三級等各種級別)�,采用樹形的組織結(jié)構(gòu)�����;在每個管理域都有域聯(lián)動管控中 心��,負責(zé)該管理域的業(yè)務(wù)管控策略決策和聯(lián)動協(xié)調(diào),各域聯(lián)動管控中心之間采用分層逐級 控制的方法(例如頂級域聯(lián)動管控中心管理二級域聯(lián)動管控中心�,二級域聯(lián)動管控中心管 理三級域聯(lián)動管控中心)。各管理域的域聯(lián)動管控中心負責(zé)根據(jù)管控裝置提交的策略請求��,從聯(lián)動業(yè)務(wù)管控 策略信息庫獲取策略��,并將策略解釋后返回給管控裝置�;策略管理員使用策略管理工具通 過策略配置界面遠程維護聯(lián)動業(yè)務(wù)管控策略信息庫中的存儲策略的數(shù)據(jù)庫,配置策略及相 關(guān)fe息��。聯(lián)動業(yè)務(wù)管控策略信息庫是實現(xiàn)策略統(tǒng)一管理的基礎(chǔ)�����,存儲策略及其相關(guān)的各 種信息����,各管理域的域聯(lián)動管控中心與聯(lián)動業(yè)務(wù)管控策略信息庫采用輕量級目錄訪問 (Lightweight Directory Access Protocol,LDAP)協(xié)議進行通信��,從聯(lián)動業(yè)務(wù)管控策 略信息庫中獲取業(yè)務(wù)管控策略規(guī)則�,輕量級目錄訪問(Lightweight Directory Access ftx)t0C0l,LDAP)協(xié)議是一個訪問在線目錄服務(wù)的協(xié)議����;管控裝置就是網(wǎng)絡(luò)中的策略受控節(jié) 點����,管控裝置含有業(yè)務(wù)管控節(jié)點���、防火墻����、路由器����、交換機、入侵檢測系統(tǒng)和接入控制系統(tǒng)����, 管控裝置通過分組過濾、帶寬預(yù)留�、業(yè)務(wù)分類和多轉(zhuǎn)發(fā)隊列具體實施策略。聯(lián)動業(yè)務(wù)管控策略信息庫使用可擴展標記語言(Extensible Markup Language, XML)文檔類型定義(Document Type Definition���,DTD)來聲明文檔所用的標記����,該標記含有 元素(文檔包括的不同信息部分)��、屬性(信息的特征)和內(nèi)容模型(各部分信息之間的關(guān)系)�����, 元素是指文檔包括的不同信息部分����,屬性是指信息的特征,內(nèi)容模型是指各部分信息之間 的關(guān)系��;聯(lián)動業(yè)務(wù)管控策略信息庫主要含有業(yè)務(wù)管控聯(lián)動信息��,業(yè)務(wù)管控聯(lián)動信息含有業(yè) 務(wù)管控信息���、存活狀況信息和管控實施信息��,業(yè)務(wù)管控信息主要用來描述業(yè)務(wù)管控事件�,存活狀況信息用來描述用于探測對端是否存活的心跳消息�����,管控實施信息用來說明業(yè)務(wù)管控 實施的詳細措施和管控效果�����。聯(lián)動業(yè)務(wù)管控策略信息庫還含有網(wǎng)管聯(lián)動信息、接入控制聯(lián)動信息和入侵檢測聯(lián) 動信息�����。由于管控裝置的接口沒有IP地址���,無法在網(wǎng)絡(luò)層從系統(tǒng)外部進行攻擊��,因此管控 裝置安全性可以得到一定保障��;但是���,當(dāng)由于遠程管理和交互需要時,管控裝置的聯(lián)動接口 必須配置IP地址�����,這時管控體系安全的解決方案為使用VPN技術(shù)在管控裝置間建立安全 的虛擬通道���,保證全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的通信內(nèi)容的安全性��;采用加密和認證技術(shù)保證 各管理域的域聯(lián)動管控中心與管控裝置之間的聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全����。全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控處理流程為 步驟a.管控裝置對網(wǎng)絡(luò)數(shù)據(jù)進行裁決并采集;
步驟b.各管理域的域聯(lián)動管控中心對步驟a中采集的數(shù)據(jù)進行融合歸并和關(guān)聯(lián)分 析��,形成業(yè)務(wù)管控事件���;
步驟c.聯(lián)動業(yè)務(wù)管控策略信息庫采用人工智能方法生成對步驟b中的業(yè)務(wù)管控事件 的響應(yīng)處理措施;
步驟d.管控裝置根據(jù)步驟c中的響應(yīng)處理措施���,通過聯(lián)動機制執(zhí)行相應(yīng)的響應(yīng)事件�����, 響應(yīng)事件為對業(yè)務(wù)流進行阻斷�、劣化和重定向��。本發(fā)明的有益效果
1�、本發(fā)明采用全網(wǎng)業(yè)務(wù)管控體系來實現(xiàn),全網(wǎng)業(yè)務(wù)管控體系含有基于管理域的分層策 略管理���、聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議�、聯(lián)動業(yè)務(wù)管控策略信息庫和管控體系安全����,基于管理 域的分層策略管理依照樹形組織結(jié)構(gòu)劃分各種級別的管理域�����,分別由域聯(lián)動管控中心負責(zé) 管理域的業(yè)務(wù)管控策略決策和聯(lián)動協(xié)調(diào)�,域聯(lián)動管控中心之間采用分層逐級控制的方法�, 根據(jù)管控裝置采集的數(shù)據(jù),從聯(lián)動業(yè)務(wù)管控策略信息庫獲取業(yè)務(wù)管控策略�����,通過聯(lián)動業(yè)務(wù) 管控策略服務(wù)協(xié)議分發(fā)給管控裝置�。本發(fā)明能夠擴展支持業(yè)務(wù)管控節(jié)點、防火墻���、入侵檢 測����、接入控制等多種管控裝置���,而且能夠提供統(tǒng)一的部署和管理�����,最終實現(xiàn)全網(wǎng)聯(lián)動的一體 化網(wǎng)絡(luò)業(yè)務(wù)管控�,具備了可擴展性和自動化管理能力,同時還為管控裝置提供了安全的信 息共享和協(xié)作平臺����,從而,能夠大幅度提高網(wǎng)絡(luò)的業(yè)務(wù)管控能力和安全性�。2���、本發(fā)明不必為每一個管控裝置或網(wǎng)絡(luò)的每一次變化制定一套管理方案����,而是根 據(jù)所有的情況進行統(tǒng)一制定��,這樣能夠保持網(wǎng)絡(luò)狀態(tài)的一致性并實現(xiàn)統(tǒng)一自動管理�����。3��、本發(fā)明可以從網(wǎng)絡(luò)的整體出發(fā)�,用抽象策略信息描述語言對管控功能進行描 述,而不必拘泥于具體的網(wǎng)絡(luò)設(shè)備和技術(shù)細節(jié)��,能夠減輕工作負擔(dān),提高運營效率����。4、本發(fā)明可以較好地適應(yīng)網(wǎng)絡(luò)的動態(tài)變化����,當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時,不需要進行 復(fù)雜的配置���,只需對相應(yīng)的策略進行增���、刪、改�,即可在保證網(wǎng)絡(luò)繼續(xù)運行的情況下實現(xiàn)業(yè) 務(wù)管控功能的重配置。
圖1為全網(wǎng)業(yè)務(wù)管控體系的結(jié)構(gòu)示意圖�����; 圖2為基于管理域的分層策略管理的結(jié)構(gòu)示意圖之一�; 圖3為基于管理域的分層策略管理的結(jié)構(gòu)示意圖之二; 圖4為業(yè)務(wù)管控聯(lián)動信息的結(jié)構(gòu)示意圖��;圖5為管控體系安全的結(jié)構(gòu)示意圖��; 圖6為全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控處理流程示意圖。具體實施例方式
參見圖1 圖6�,圖中,全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法為采用全網(wǎng)業(yè)務(wù)管控體 系來實現(xiàn)���,全網(wǎng)業(yè)務(wù)管控體系含有基于管理域的分層策略管理����、聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié) 議��、聯(lián)動業(yè)務(wù)管控策略信息庫和管控體系安全�����,其中�����,基于管理域的分層策略管理規(guī)定了全 網(wǎng)業(yè)務(wù)管控聯(lián)動體系的組織結(jié)構(gòu)����、功能模塊�、處理流程和接口方式,聯(lián)動業(yè)務(wù)管控策略服務(wù) 協(xié)議規(guī)定了聯(lián)動業(yè)務(wù)管控策略信息在管控裝置間的交互方式��,聯(lián)動業(yè)務(wù)管控策略信息庫定 義了標準的聯(lián)動業(yè)務(wù)管控策略信息結(jié)構(gòu)和信息內(nèi)容,管控體系安全從管控裝置的安全和聯(lián) 動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全兩方面考慮全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的安全性解決方案����。聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議也稱為COPS+,COPS+是在通用開放策略服務(wù)(Common Open Policy Service�����,COPS)協(xié)議基礎(chǔ)上的一個擴展����,用于傳輸業(yè)務(wù)管控策略。為了保證聯(lián) 動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全性�,將通用開放策略服務(wù)(Common Open Policy Service, COPS)協(xié)議力口載 BEEP (The Blocks Extensible Exchange Protocol)協(xié)議(The Blocks Extensible Exchange Protocol)的框架之上,從而利用 BEEP (The Blocks Extensible Exchange Protocol)協(xié)議提供的安全特性可靠地傳輸策略信息(包括文本和二進制格式)�。基于管理域的分層策略管理含有域策略受控層和核心策略服務(wù)層����;域策略受控層 含有各管理域的域聯(lián)動管控中心和管控裝置,各管理域的域聯(lián)動管控中心通過核心策略服 務(wù)層提供的服務(wù)對本管理域內(nèi)的管控裝置實施控制�����;核心策略服務(wù)層提供核心策略服務(wù)以 及為各管理域所共用的域間服務(wù)(負責(zé)安全通信等域間服務(wù))和事件服務(wù)(負責(zé)事件的產(chǎn) 生���、分發(fā)�、傳遞和響應(yīng)),并協(xié)同各管理域共同實現(xiàn)分層的全網(wǎng)業(yè)務(wù)管控�����;管理域是具有相同 的業(yè)務(wù)管控需求且遵循共同業(yè)務(wù)管控策略的系統(tǒng)實體和資源的集合���,網(wǎng)絡(luò)被劃分為多個可 以獨立管理的管理域���,各管理域獨立實施基于策略的業(yè)務(wù)管控;管理域分為多個級別(如可 分為頂級����、二級���、三級等各種級別)��,采用樹形的組織結(jié)構(gòu)�����;在每個管理域都有域聯(lián)動管控中 心�,負責(zé)該管理域的業(yè)務(wù)管控策略決策和聯(lián)動協(xié)調(diào),各域聯(lián)動管控中心之間采用分層逐級 控制的方法(例如頂級域聯(lián)動管控中心管理二級域聯(lián)動管控中心�,二級域聯(lián)動管控中心管 理三級域聯(lián)動管控中心)。各管理域的域聯(lián)動管控中心負責(zé)根據(jù)管控裝置提交的策略請求��,從聯(lián)動業(yè)務(wù)管控 策略信息庫獲取策略���,并將策略解釋后返回給管控裝置�����;策略管理員使用策略管理工具通 過策略配置界面遠程維護聯(lián)動業(yè)務(wù)管控策略信息庫中的存儲策略的數(shù)據(jù)庫���,配置策略及相 關(guān)fe息。聯(lián)動業(yè)務(wù)管控策略信息庫是實現(xiàn)策略統(tǒng)一管理的基礎(chǔ)���,存儲策略及其相關(guān)的各 種信息�����,各管理域的域聯(lián)動管控中心與聯(lián)動業(yè)務(wù)管控策略信息庫采用輕量級目錄訪問 (Lightweight Directory Access Protocol�����,LDAP)協(xié)議進行通信���,從聯(lián)動業(yè)務(wù)管控策 略信息庫中獲取業(yè)務(wù)管控策略規(guī)則�����,輕量級目錄訪問(Lightweight Directory Access ftx)t0C0l��,LDAP)協(xié)議是一個訪問在線目錄服務(wù)的協(xié)議��;管控裝置就是網(wǎng)絡(luò)中的策略受控節(jié) 點��,管控裝置含有業(yè)務(wù)管控節(jié)點�、防火墻����、路由器、交換機����、入侵檢測系統(tǒng)和接入控制系統(tǒng)�����, 管控裝置通過分組過濾�����、帶寬預(yù)留、業(yè)務(wù)分類和多轉(zhuǎn)發(fā)隊列具體實施策略���。聯(lián)動業(yè)務(wù)管控策略信息庫使用可擴展標記語言(Extensible Markup Language,XML)文檔類型定義(Document Type Definition����,DTD)來聲明文檔所用的標記����,該標記含有 元素(文檔包括的不同信息部分)、屬性(信息的特征)和內(nèi)容模型(各部分信息之間的關(guān)系)��, 元素是指文檔包括的不同信息部分�,屬性是指信息的特征,內(nèi)容模型是指各部分信息之間 的關(guān)系����;聯(lián)動業(yè)務(wù)管控策略信息庫主要含有業(yè)務(wù)管控聯(lián)動信息,業(yè)務(wù)管控聯(lián)動信息含有業(yè) 務(wù)管控信息����、存活狀況信息和管控實施信息,業(yè)務(wù)管控信息主要用來描述業(yè)務(wù)管控事件,存 活狀況信息用來描述用于探測對端是否存活的心跳消息��,管控實施信息用來說明業(yè)務(wù)管控 實施的詳細措施和管控效果��。聯(lián)動業(yè)務(wù)管控策略信息庫還含有網(wǎng)管聯(lián)動信息�����、接入控制聯(lián)動信息和入侵檢測聯(lián) 動信息��。由于管控裝置的接口沒有IP地址�,無法在網(wǎng)絡(luò)層從系統(tǒng)外部進行攻擊,因此管控 裝置安全性可以得到一定保障����;但是,當(dāng)由于遠程管理和交互需要時�,管控裝置的聯(lián)動接口 必須配置IP地址,這時管控體系安全的解決方案為使用VPN技術(shù)在管控裝置間建立安全 的虛擬通道�����,保證全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的通信內(nèi)容的安全性���;采用加密和認證技術(shù)保證 各管理域的域聯(lián)動管控中心與管控裝置之間的聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全�。全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控處理流程為 步驟a.管控裝置對網(wǎng)絡(luò)數(shù)據(jù)進行裁決并采集���;
步驟b.各管理域的域聯(lián)動管控中心對步驟a中采集的數(shù)據(jù)進行融合歸并和關(guān)聯(lián)分 析����,形成業(yè)務(wù)管控事件��;
步驟c.聯(lián)動業(yè)務(wù)管控策略信息庫采用人工智能方法生成對步驟b中的業(yè)務(wù)管控事件 的響應(yīng)處理措施�;
步驟d.管控裝置根據(jù)步驟c中的響應(yīng)處理措施,通過聯(lián)動機制執(zhí)行相應(yīng)的響應(yīng)事件����, 響應(yīng)事件為對業(yè)務(wù)流進行阻斷、劣化和重定向�。
權(quán)利要求
1.一種全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法,其特征是采用全網(wǎng)業(yè)務(wù)管控體系來實 現(xiàn)�����,全網(wǎng)業(yè)務(wù)管控體系含有基于管理域的分層策略管理�����、聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議����、聯(lián)動 業(yè)務(wù)管控策略信息庫和管控體系安全�,其中��,基于管理域的分層策略管理規(guī)定了全網(wǎng)業(yè)務(wù) 管控聯(lián)動體系的組織結(jié)構(gòu)����、功能模塊、處理流程和接口方式�,聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議規(guī) 定了聯(lián)動業(yè)務(wù)管控策略信息在管控裝置間的交互方式,聯(lián)動業(yè)務(wù)管控策略信息庫定義了標 準的聯(lián)動業(yè)務(wù)管控策略信息結(jié)構(gòu)和信息內(nèi)容�����,管控體系安全從管控裝置的安全和聯(lián)動業(yè)務(wù) 管控策略服務(wù)協(xié)議的安全兩方面考慮全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的安全性解決方案��。
2.根據(jù)權(quán)利要求1所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法����,其特征是所述基于 管理域的分層策略管理含有域策略受控層和核心策略服務(wù)層;域策略受控層含有各管理域 的域聯(lián)動管控中心和管控裝置�����,各管理域的域聯(lián)動管控中心通過核心策略服務(wù)層提供的服 務(wù)對本管理域內(nèi)的管控裝置實施控制��;核心策略服務(wù)層提供核心策略服務(wù)以及為各管理域 所共用的域間服務(wù)和事件服務(wù),并協(xié)同各管理域共同實現(xiàn)分層的全網(wǎng)業(yè)務(wù)管控���;管理域是 具有相同的業(yè)務(wù)管控需求且遵循共同業(yè)務(wù)管控策略的系統(tǒng)實體和資源的集合�,網(wǎng)絡(luò)被劃分 為多個可以獨立管理的管理域�,各管理域獨立實施基于策略的業(yè)務(wù)管控��;管理域分為多個 級別����,采用樹形的組織結(jié)構(gòu);在每個管理域都有域聯(lián)動管控中心�����,負責(zé)該管理域的業(yè)務(wù)管控 策略決策和聯(lián)動協(xié)調(diào)��,各域聯(lián)動管控中心之間采用分層逐級控制的方法����。
3.根據(jù)權(quán)利要求2所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法,其特征是所述各管 理域的域聯(lián)動管控中心負責(zé)根據(jù)管控裝置提交的策略請求���,從聯(lián)動業(yè)務(wù)管控策略信息庫獲 取策略����,并將策略解釋后返回給管控裝置;策略管理員使用策略管理工具通過策略配置界 面遠程維護聯(lián)動業(yè)務(wù)管控策略信息庫中的存儲策略的數(shù)據(jù)庫�����,配置策略及相關(guān)信息�。
4.根據(jù)權(quán)利要求2或3所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法,其特征是所述 聯(lián)動業(yè)務(wù)管控策略信息庫是實現(xiàn)策略統(tǒng)一管理的基礎(chǔ)����,存儲策略及其相關(guān)的各種信息,各 管理域的域聯(lián)動管控中心與聯(lián)動業(yè)務(wù)管控策略信息庫采用輕量級目錄訪問協(xié)議進行通信��, 從聯(lián)動業(yè)務(wù)管控策略信息庫中獲取業(yè)務(wù)管控策略規(guī)則���;所述管控裝置就是網(wǎng)絡(luò)中的策略受 控節(jié)點��,管控裝置含有業(yè)務(wù)管控節(jié)點����、防火墻����、路由器��、交換機�����、入侵檢測系統(tǒng)和接入控制系 統(tǒng)�����,管控裝置通過分組過濾、帶寬預(yù)留�����、業(yè)務(wù)分類和多轉(zhuǎn)發(fā)隊列具體實施策略��。
5.根據(jù)權(quán)利要求1所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法�,其特征是所述聯(lián)動 業(yè)務(wù)管控策略信息庫使用可擴展標記語言文檔類型定義來聲明文檔所用的標記,該標記含 有元素���、屬性和內(nèi)容模型��,元素是指文檔包括的不同信息部分���,屬性是指信息的特征����,內(nèi)容 模型是指各部分信息之間的關(guān)系��;聯(lián)動業(yè)務(wù)管控策略信息庫主要含有業(yè)務(wù)管控聯(lián)動信息��, 業(yè)務(wù)管控聯(lián)動信息含有業(yè)務(wù)管控信息�����、存活狀況信息和管控實施信息�����,業(yè)務(wù)管控信息主要 用來描述業(yè)務(wù)管控事件��,存活狀況信息用來描述用于探測對端是否存活的心跳消息�,管控 實施信息用來說明業(yè)務(wù)管控實施的詳細措施和管控效果。
6.根據(jù)權(quán)利要求5所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法����,其特征是所述聯(lián)動 業(yè)務(wù)管控策略信息庫還含有網(wǎng)管聯(lián)動信息、接入控制聯(lián)動信息和入侵檢測聯(lián)動信息����。
7.根據(jù)權(quán)利要求2所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法�����,其特征是所述管控 體系安全的解決方案為使用VPN技術(shù)在管控裝置間建立安全的虛擬通道�����,保證全網(wǎng)業(yè)務(wù) 管控聯(lián)動體系的通信內(nèi)容的安全性�;采用加密和認證技術(shù)保證各管理域的域聯(lián)動管控中心 與管控裝置之間的聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全����。
8.根據(jù)權(quán)利要求1所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法��,其特征是所述聯(lián)動 業(yè)務(wù)管控策略服務(wù)協(xié)議是在通用開放策略服務(wù)協(xié)議基礎(chǔ)上的一個擴展����,用于傳輸業(yè)務(wù)管控 策略;為了保證聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議的安全性����,將通用開放策略服務(wù)協(xié)議加載BEEP 協(xié)議的框架之上,從而利用BEEP協(xié)議提供的安全特性可靠地傳輸策略信息����。
9.根據(jù)權(quán)利要求2所述的全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法����,其特征是全網(wǎng)聯(lián)動 的一體化網(wǎng)絡(luò)業(yè)務(wù)管控處理流程為步驟a.所述管控裝置對網(wǎng)絡(luò)數(shù)據(jù)進行裁決并采集���;步驟b.所述各管理域的域聯(lián)動管控中心對步驟a中采集的數(shù)據(jù)進行融合歸并和關(guān)聯(lián) 分析�,形成業(yè)務(wù)管控事件�����;步驟c.所述聯(lián)動業(yè)務(wù)管控策略信息庫采用人工智能方法生成對步驟b中的業(yè)務(wù)管控 事件的響應(yīng)處理措施����;步驟d.所述管控裝置根據(jù)步驟c中的響應(yīng)處理措施,通過聯(lián)動機制執(zhí)行相應(yīng)的響應(yīng) 事件�����,響應(yīng)事件為對業(yè)務(wù)流進行阻斷���、劣化和重定向���。
全文摘要
本發(fā)明涉及一種全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法;全網(wǎng)聯(lián)動的一體化網(wǎng)絡(luò)業(yè)務(wù)管控方法采用全網(wǎng)業(yè)務(wù)管控體系來實現(xiàn),全網(wǎng)業(yè)務(wù)管控體系含有基于管理域的分層策略管理����、聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議、聯(lián)動業(yè)務(wù)管控策略信息庫和管控體系安全��,基于管理域的分層策略管理規(guī)定了全網(wǎng)業(yè)務(wù)管控聯(lián)動體系的組織結(jié)構(gòu)�、功能模塊、處理流程和接口方式���,聯(lián)動業(yè)務(wù)管控策略服務(wù)協(xié)議規(guī)定了聯(lián)動業(yè)務(wù)管控策略信息在管控裝置間的交互方式�����,聯(lián)動業(yè)務(wù)管控策略信息庫定義了標準的聯(lián)動業(yè)務(wù)管控策略信息結(jié)構(gòu)和信息內(nèi)容����;本發(fā)明可實現(xiàn)網(wǎng)絡(luò)安全事件一點發(fā)現(xiàn)后多種管控裝置協(xié)調(diào)聯(lián)動的效果���,可以達到安全事件全網(wǎng)范圍處理、用戶安全充分保障的目的����。
文檔編號H04L29/06GK102143179SQ20111007998
公開日2011年8月3日 申請日期2011年3月31日 優(yōu)先權(quán)日2011年3月31日
發(fā)明者劉文波, 卜佑軍, 姜鯤鵬, 張建輝, 朱珂, 李玉峰, 賀磊, 陳正虎, 馬海龍, 齊寧 申請人:中國人民解放軍信息工程大學(xué)