技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，具體而言，涉及一種安全策略的老化方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)的融合以及全英特網(wǎng)協(xié)議(Internet?Protocol，簡(jiǎn)稱為IP)化的發(fā)展趨勢(shì)，安全問(wèn)題越來(lái)越受重視。因此，相應(yīng)的各種安全設(shè)備層出不窮。目前，傳統(tǒng)安全設(shè)備已經(jīng)向大容量和高性能方向發(fā)展，主要應(yīng)對(duì)網(wǎng)絡(luò)層的安全威脅。各種應(yīng)用級(jí)安全設(shè)備和檢測(cè)設(shè)備也被部署到網(wǎng)絡(luò)中，用以抵御來(lái)自網(wǎng)絡(luò)各個(gè)層面的安全威脅。

傳統(tǒng)安全設(shè)備主要具有包過(guò)濾、網(wǎng)絡(luò)地址翻譯(Network?AddressTransfer，簡(jiǎn)稱為NAT)、防分布式拒絕服務(wù)(Distribution?Denial?ofservice，簡(jiǎn)稱為DDoS)攻擊和防畸形報(bào)文攻擊等基本功能，可以抵御來(lái)自網(wǎng)絡(luò)層的安全威脅。隨著網(wǎng)絡(luò)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的豐富，針對(duì)應(yīng)用層的攻擊技術(shù)發(fā)展迅速。而抵御這些應(yīng)用層攻擊的安全設(shè)備也隨之出現(xiàn)，如入侵檢測(cè)系統(tǒng)(Intrusion?Detection?System，簡(jiǎn)稱為IDS)、入侵防護(hù)系統(tǒng)(Intrusion?Protection?System，簡(jiǎn)稱為IPS)和統(tǒng)一威脅管理(Unified?Threat?Management，簡(jiǎn)稱為UTM)設(shè)備。同時(shí)一些非專業(yè)安全網(wǎng)絡(luò)設(shè)備也在逐漸增加安全功能。

ITU-T?X.1036標(biāo)準(zhǔn)對(duì)安全策略進(jìn)行了定義和分類，分類如下：攻擊檢測(cè)策略(Attack?Detection?Policy)、訪問(wèn)控制策略(AccessControl?Policy)、告警控制策略(Alert?Control?Policy)、流量控制策略(Traffic?Control?Policy)和路由控制策略(Routing?Control?Policy)。

相關(guān)技術(shù)中，在安全策略系統(tǒng)中，上述安全策略可由策略服務(wù)器向安全設(shè)備分發(fā)。但是，可能存在如下問(wèn)題：網(wǎng)絡(luò)中越來(lái)越多的安全威脅導(dǎo)致策略服務(wù)器向安全策略分發(fā)大量的安全策略。有些安全策略用于抵御風(fēng)險(xiǎn)級(jí)別很高的網(wǎng)絡(luò)攻擊，例如，TCP?SYN?Flood攻擊；而有些安全策略只用于抵御一些簡(jiǎn)單的非法報(bào)文，例如，用訪問(wèn)控制列表(Access?Control?List，簡(jiǎn)稱為ACL)實(shí)現(xiàn)的訪問(wèn)控制。越來(lái)越多的安全策略被下發(fā)到安全設(shè)備中執(zhí)行，這必然會(huì)導(dǎo)致安全設(shè)備的執(zhí)行效率下降，有時(shí)還會(huì)導(dǎo)致安全設(shè)備無(wú)法保存如此之多的安全策略。

發(fā)明內(nèi)容

針對(duì)相關(guān)技術(shù)中網(wǎng)絡(luò)安全設(shè)備因接收大量安全策略而導(dǎo)致效率下降或者容量達(dá)到上限的問(wèn)題而提出本發(fā)明，為此，本發(fā)明的主要目的在于提供一種改進(jìn)的安全策略的老化方法及裝置，以解決上述問(wèn)題。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種安全策略的老化方法。

根據(jù)本發(fā)明的安全策略的老化方法包括：安全設(shè)備接收來(lái)自于策略服務(wù)器的包括安全策略的報(bào)文，其中，報(bào)文攜帶有老化時(shí)間長(zhǎng)度的信息；安全設(shè)備對(duì)老化時(shí)間長(zhǎng)度和時(shí)間戳差值進(jìn)行比較；若時(shí)間戳差值大于或等于老化時(shí)間長(zhǎng)度，則老化安全策略。

根據(jù)本發(fā)明的另一方面，提供了一種安全策略的老化方法。

根據(jù)本發(fā)明的安全策略的老化方法包括：安全設(shè)備接收來(lái)自于策略服務(wù)器的包括安全策略的報(bào)文并設(shè)定老化時(shí)間長(zhǎng)度；安全設(shè)備對(duì)老化時(shí)間長(zhǎng)度和時(shí)間戳差值進(jìn)行比較；若時(shí)間戳差值大于或等于老化時(shí)間長(zhǎng)度，則老化安全策略。

根據(jù)本發(fā)明的又一方面，提供了一種安全策略的老化裝置。

根據(jù)本發(fā)明的安全策略的老化裝置包括：接收單元，用于接收來(lái)自于策略服務(wù)器的包括安全策略的報(bào)文，其中，報(bào)文攜帶有老化時(shí)間長(zhǎng)度信息；比較單元，用于對(duì)老化時(shí)間長(zhǎng)度和時(shí)間戳差值進(jìn)行比較；老化單元，用于在時(shí)間戳差值大于或等于老化時(shí)間長(zhǎng)度的情況下，老化安全策略。

根據(jù)本發(fā)明的再一方面，提供了一種安全策略的老化裝置。

根據(jù)本發(fā)明的安全策略的老化裝置包括：接收設(shè)定單元，用于接收來(lái)自于策略服務(wù)器的包括安全策略的報(bào)文并設(shè)定老化時(shí)間長(zhǎng)度；比對(duì)單元，用于對(duì)老化時(shí)間長(zhǎng)度和時(shí)間戳差值進(jìn)行比較；老化執(zhí)行單元，用于在時(shí)間戳差值大于或等于老化時(shí)間長(zhǎng)度的情況下，老化安全策略。

通過(guò)本發(fā)明，策略服務(wù)器在分發(fā)安全策略時(shí)，為每一條安全策略定制老化時(shí)間。當(dāng)上述安全策略在安全設(shè)備中存在時(shí)間的長(zhǎng)度超過(guò)該老化時(shí)間時(shí)，安全設(shè)備將老化上述安全策略，解決了安全設(shè)備因接收大量安全策略而導(dǎo)致效率下降或者容量達(dá)到上限的問(wèn)題，進(jìn)而可以提高安全設(shè)備的工作效率，減小安全策略的存儲(chǔ)量。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述，并且，部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在所寫(xiě)的說(shuō)明書(shū)、權(quán)利要求書(shū)、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。