专利名称:一种安全策略下发方法及实现该方法的网元和系统的制作方法
技术领域:
本发明涉及移动通讯领域和互联网领域,具体涉及一种安全策略下发方法及实现该方法的网元和系统。
背景技术:
随着网络的融合以及全IP化的发展趋势,安全问题越来越严重。同时,相应的各种各样的安全设备也层出不穷。目前,传统安全设备已经向大容量和高性能方向发展,主要应对网络层的安全威胁。各种各样的应用级安全设备和检测设备也被部署到网络中,用以抵御来自网络各个层面的安全威胁。传统安全设备主要具有包过滤、NAT(Network Address Transfer,网络地址翻译)、防DDoS(Distribution Denial of service,分布式拒绝服务)攻击和防畸形报文攻击等基本功能,可以抵御来自网络层的安全威胁。随着网络的发展和网络应用的丰富,针对应用层的攻击技术发展迅速。而抵御这些应用层攻击的安全设备也随之出现,如IDS (Intrusion Detection System,入侵检测系统)、IPS (Intrusion Protection System,入侵防护系统)和UTM(Unified ThreatManagement,统一威胁管理)设备。随着人们的安全保护意识越来越强烈,安全设备被部署在网络的各个节点,加强了对网络的保护。同时由于安全设备的增多,安全设备的策略统一下发如图1所示,安全策略服务器可以跟安全执行实体(或称安全设备)进行信令交互,实现安全策略下发,减少人工维护安全设备的成本。但是随着移动网络的发展,越来越多的用户在不同的网络之间移动。在现有网络中,由于IP地址的二义性(既代表用户的身份,也代表用户的位置),用户在不同的网络节点接入,获得的IP地址不同。而现有的策略下发机制只能对固定用户在单一安全设备下发安全策略,无法做到对移动用户在多个安全设备下发相同的安全策略,也就是说,安全策略服务器无法向该用户接入的不同节点中的安全设备下发基于该用户的安全策略。综上,由于用户移动,身份标识(IP)发生变化,现有的安全策略下发机制已经无法解决对用户实施全网相同的安全策略的问题。
发明内容
本发明所要解决的技术问题是提供一种安全策略下发方法,能够对用户实施全网相同的安全策略。为解决上述技术问题,本发明提供了一种安全策略下发方法,包括:身份标识和位置登记寄存器(ILR)在接收到接入服务器(ASR)发送的用户位置注册请求后,向策略服务器(PS)发送指示用户新位置的消息;所述PS接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述ILR在收到用户位置注册请求后,所述方法还包括,所述ILR更新本地保存的所述用户的接入标识与位置的映射关系。进一步地,所述PS接收到所述ILR发送的所述指示用户新位置的消息后,所述方法还包括:所述PS记录该用户当前的位置。进一步地,所述PS向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略,包括:所述PS先判断用户位置是否发生变化,如果发生变化,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述安全执行实体包括:安全网关(SG)或者具有SG功能的ASR。本发明所要解决的技术问题是提供一种安全策略下发系统,能够对用户实施全网相同的安全策略。为解决上述技术问题,本发明提供了一种安全策略下发系统,包括身份标识和位置登记寄存器(ILR)和策略服务器(PS),其中:所述ILR,用于在接收到接入服务器(ASR)发送的用户位置注册请求后,向PS发送指示用户新位置的消息;所述PS,用于在接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述PS还用于在接收到所述ILR发送的所述指示用户新位置的消息后,记录用户当前的位置。进一步地,所述PS是用于采用以下方式向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略:先判断用户位置是否发生变化,如果发生变化,再向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述安全执行实体包括:安全网关(SG)或者具有SG功能的ASR。本发明所要解决的技术问题是提供一种身份标识和位置登记寄存器(ILR),以使安全策略服务器获知何时向安全执行实体下发安全策略。为解决上述技术问题,本发明提供了一种身份标识和位置登记寄存器(ILR),包括接收模块和发送模块,其中:所述接收模块,用于接收接入服务器(ASR)发送的用户位置注册请求;所述发送模块,用于在所述接收模块接收到用户位置注册请求过后,向策略服务器(PS)发送指示用户新位置的消息。进一步地,所述ILR还包括保存模块,其用于在所述接收模块收到用户位置注册请求后,更新本地保存的所述用户的接入标识与位置的映射关系。本发明所要解决的技术问题是提供一种策略服务器(PS),实现安全策略下发系统,能够对用户实施全网相同的安全策略。为解决上述技术问题,本发明提供了一种策略服务器(PS),包括接收模块和发送模块,其中:所述接收模块,用于接收身份标识和位置登记寄存器(ILR)发送的指示用户新位置的消息;所述发送模块,用于在所述接收模块接收到所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述PS还包括保存模块,其用于在所述接收模块接收到所述ILR发送的指示用户新位置的消息后,记录用户当前的位置。进一步地,所述PS还包括判断模块,其用于在所述接收模块接收到所述ILR发送的指示用户新位置的消息后,判断用户位置是否发生变化,如果发生变化,则通知发送模块向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。进一步地,所述安全执行实体包括:安全网关(SG)或者具有SG功能的ASR。本发明通过结合身份标识和位置分离网络,由ILR根据AID设置查询用户位置信息,在用户位置发生变化时,ILR可及时通知PS向用户所在位置的安全设备下发基于该用户AID的安全策略,利用用户接入标识(AID, AccessIdentification)的全网唯一1丨生来进行基于用户的全网安全策略下发。
图1示出了安全策略下发的示意图;图2示出了 SILSN的系统架构图;图3示出了本发明实施例全网动态下发基于用户的安全策略的流程图;图4为本发明应用示例流程图;图5为本发明实施例实现安全策略下发的系统结构示意图。
具体实施例方式考虑到身份标识和位置分离网络中用户接入标识(Access Identification,AID)具有全网唯一性,这为全网动态下发安全策略创造了先决条件。图2为身份标识和位置分离网络的架构图,图中,此身份标识和位置分离系统(Subscriber Identifier&LocatorSeparation Network,简称 SILSN)由接入服务器(Access Service Router, ASR)和用户终端(User Equipment, UE)、身份标识和位置登记寄存器(Identification&LocationRegister, ILR)以及认证中心(Authentication Center,AC)等组成。其中接入服务器ASRl和ASR2分别用来接入用户终端设备UE1、UE2,负责为用户终端实现接入,并承担计费、切换和安全等功能。ILR承担用户的位置注册和身份识别功能。AC承担用户接入认证功能。UEl和UE2分别存在唯一的身份标识符AIDl和AID2。图2所示网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在发送每个数据包时,都同时携带自己的真实用户接入标识符AID,此符号仅分配给该用户使用且全网唯一,用户在各种业务中所发送的数据包都一直携带此标识符,用户发送的每个数据包都必须经过接入服务器ASR验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户AID接入网络,并且此标识符在网内传送时将一直保持不变,当用户在移动或切换时,此标识符也不会发生变化。在图2中,用户UEl和UE2分别通过ASRl和ASR2接入网络,并需要经过AC进行接入认证。认证成功之后,ASR会将用户的位置信息上报到ILR。ILR通知PS(Policy Server,策略服务器),告知用户的新位置的信息(例如ASR的RID),PS根据用户的新位置向对应的安全设备下发基于该用户的安全策略。通过由ILR观察用户的位置信息,在ASR向ILR注册或者更新用户的位置信息时,ILR通知PS用户的新位置,使PS向用户当前所在新位置的安全设备下发基于该用户的安全策略,实现全网动态的基于用户的安全策略下发机制。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。如图3所示,包括以下步骤:步骤301,ILR在接收到ASR发送的用户位置注册请求后,向PS发送指示用户新位置的消息;优选地,ILR在收到用户位置注册请求后,还更新本地保存的所述用户的接入标识与位置的映射关系。步骤302,PS接收到ILR发送的指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。具体地,PS在接收到ILR发送的指示用户新位置的消息后,记录该用户当前的位置,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。该安全执行实体包括:SG或者该具有SG功能的ASR。通常ILR都会在用户位置变化时将用户当前的位置发送给PS,但是,为了程序的优化,优选地,PS接收到所述ILR的消息后,先判断用户位置是否发生变化,如果发生变化,再向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略,如果未发生变化,则不发送。关于SG和ASR的关系,SG可以独立于ASR部署,SG的功能也可以集成在ASR中。如果SG与ASR分开部署,PS中需要维护一张SG与ASR之间的关联表。进一步说明,当用户移动到ASR所在位置时,PS需要根据ASR的位置,找到所述位置的SG,然后下发安全策略。应用示例图4所示为在身份与位置分离网络中下发安全策略的实施例。用户先在ASRl接A,PS (Policy Server,策略服务器)向SG (Security Gateway,安全网关)I下发跟所述用户相关的安全策略。当用户向ASR2移动后,ILR通知PS用户已移动到ASR2,则PS向SG2下发跟所述用户相关的安全策略,同时将SGl上跟所述用户相关的安全策略删除。图4中,安全设备SG可以为独立设备,也可以将安全设备的功能集成在ASR中。S400,用户在ASRl上线,ASRl向ILR发送所述用户的位置注册请求;S404,ILR收到用户的位置注册请求,完成注册后向ASRl发送位置注册请求响应;S408, ILR通知PS,告知用户的位置,PS记录用户的位置;S412,PS根据用户的位置,向用户所在位置的SGl发送所述用户相关的安全策略;S416,SGl接收用户相关的安全策略,并向PS发送安全策略下发响应消息;S420,用户从ASRl移动到ASR2,ASR2向ILR发送用户位置注册请求;S424,ILR收到ASR2发送的用户位置注册请求,更新用户身份和位置映射关系之后,向ASR2发送用户位置注册请求响应;S428,ILR在更新完用户的身份和位置映射关系之后,向PS发送用户位置变化的消息,携带用户的新位置信息;S432,PS收到用户位置变化消息,与用户原有位置对比,若发生变化,则向用户新的位置所在的SG2下发所述用户相关的安全策略;S436,SG2向PS发送安全策略响应消息;
S440, PS向SGl下发所述用户相关的安全策略删除命令;S444, SGl向PS发送命令响应。上述流程完成用户从ASRl上线,然后移动到ASR2上线的过程中,所述用户相关的安全策略的下发过程。实现上述安全策略下发方法的系统,如图5所示,包括ILR和PS,其中:所述ILR,用于在接收到ASR发送的用户位置注册请求后,向PS发送指示用户新位置的消息;所述PS,用于在接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。具体地,上述ILR包括第一接收模块和第一发送模块,其中:第一接收模块,用于接收ASR发送的用户位置注册请求;第一发送模块,用于在第一接收模块接收到用户位置注册请求过后,向PS发送指示用户新位置的消息。优选地,该ILR还包括第一保存模块,其用于在第一接收模块收到用户位置注册请求后,更新本地保存的所述用户的接入标识与位置的映射关系。具体地,上述PS包括第二接收模块和第二发送模块,其中:第二接收模块,用于接收ILR发送的指示用户新位置的消息;第二发送模块,用于在第二接收模块接收到所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。优选地,该PS还包括第二保存模块,其用于在第二接收模块接收到ILR发送的指示用户新位置的消息后,记录用户当前的位置。优选地,该PS还包括判断模块,其用于在第二接收模块接收到ILR发送的指示用户新位置的消息后,判断用户位置是否发生变化,如果发生变化,则通知第二发送模块向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。上述安全执行实体包括:SG或者具有SG功能的ASR。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种安全策略下发方法,包括: 身份标识和位置登记寄存器(ILR)在接收到接入服务器(ASR)发送的用户位置注册请求后,向策略服务器(PS)发送指示用户新位置的消息; 所述PS接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
2.如权利要求1所述的方法,其特征在于: 所述ILR在收到用户位置注册请求后,所述方法还包括,所述ILR更新本地保存的所述用户的接入标识与位置的映射关系。
3.如权利要求1所述的方法,其特征在于: 所述PS接收到所述ILR发送的所述指示用户新位置的消息后,所述方法还包括: 所述PS记录该用户当前的位置。
4.如权利要求1或 3所述的方法,其特征在于: 所述PS向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略,包括: 所述PS先判断用户位置是否发生变化,如果发生变化,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
5.如权利要求1所述的方法,其特征在于: 所述安全执行实体包括:安全网关(SG)或者具有SG功能的ASR。
6.一种安全策略下发系统,包括身份标识和位置登记寄存器(ILR)和策略服务器(PS),其中: 所述ILR,用于在接收到接入服务器(ASR)发送的用户位置注册请求后,向PS发送指示用户新位置的消息; 所述PS,用于在接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
7.如权利要求6所述的系统,其特征在于: 所述PS还用于在接收到所述ILR发送的所述指示用户新位置的消息后,记录用户当前的位置。
8.如权利要求6或7所述的系统,其特征在于: 所述PS是用于采用以下方式向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略:先判断用户位置是否发生变化,如果发生变化,再向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
9.如权利要求7或8所述的系统,其特征在于: 所述安全执行实体包括:安全网关(SG)或者具有SG功能的ASR。
10.一种身份标识和位置登记寄存器(ILR),包括接收模块和发送模块,其中: 所述接收模块,用于接收接入服务器(ASR)发送的用户位置注册请求; 所述发送模块,用于在所述接收模块接收到用户位置注册请求过后,向策略服务器(PS)发送指示用户新位置的消息。
11.如权利要求10所述的ILR,其特征在于: 所述ILR还包括保存模块,其用于在所述接收模块收到用户位置注册请求后,更新本地保存的所述用户的接入标识与位置的映射关系。
12.—种策略服务器(PS),包括接收模块和发送模块,其中: 所述接收模块,用于接收身份标识和位置登记寄存器(ILR)发送的指示用户新位置的消息; 所述发送模块,用于在所述接收模块接收到所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
13.如权利要求12所述的PS,其特征在于: 所述PS还包括保存模块,其用于在所述接收模块接收到所述ILR发送的指示用户新位置的消息后,记录用户当前的位置。
14.如权利要求12所述的PS,其特征在于: 所述PS还包括判断模块,其用于在所述接收模块接收到所述ILR发送的指示用户新位置的消息后,判断用户位置是否发生变化,如果发生变化,则通知发送模块向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。
15.如权利要求14所述的PS,其特征在于: 所述安全执行实体包括: 安全网关(SG)或者具有SG功能的ASR。
全文摘要
本发明公开了一种安全策略下发方法及实现该方法的网元和系统,能够对用户实施全网相同的安全策略。所述方法包括身份标识和位置登记寄存器(ILR)在接收到接入服务器(ASR)发送的用户位置注册请求后,向策略服务器(PS)发送指示用户新位置的消息;所述PS接收到所述ILR发送的所述指示用户新位置的消息后,向该用户当前位置所在的安全执行实体发送与该用户相关的安全策略。所述系统包括ILR和PS,其中ILR包括接收模块和发送模块,PS包括接收模块和发送模块。本发明方法在用户位置发生变化时,ILR可及时通知PS向用户所在位置的安全设备下发基于该用户AID的安全策略。
文档编号H04W12/00GK103108302SQ20111036168
公开日2013年5月15日 申请日期2011年11月15日 优先权日2011年11月15日
发明者颜正清, 张世伟, 符涛 申请人:中兴通讯股份有限公司