技術領域

本發明涉及通信領域，具體而言，涉及一種安全策略的老化方法及裝置。

背景技術

隨著網絡的融合以及全英特網協議(Internet?Protocol，簡稱為IP)化的發展趨勢，安全問題越來越受重視。因此，相應的各種安全設備層出不窮。目前，傳統安全設備已經向大容量和高性能方向發展，主要應對網絡層的安全威脅。各種應用級安全設備和檢測設備也被部署到網絡中，用以抵御來自網絡各個層面的安全威脅。

傳統安全設備主要具有包過濾、網絡地址翻譯(Network?AddressTransfer，簡稱為NAT)、防分布式拒絕服務(Distribution?Denial?ofservice，簡稱為DDoS)攻擊和防畸形報文攻擊等基本功能，可以抵御來自網絡層的安全威脅。隨著網絡的發展和網絡應用的豐富，針對應用層的攻擊技術發展迅速。而抵御這些應用層攻擊的安全設備也隨之出現，如入侵檢測系統(Intrusion?Detection?System，簡稱為IDS)、入侵防護系統(Intrusion?Protection?System，簡稱為IPS)和統一威脅管理(Unified?Threat?Management，簡稱為UTM)設備。同時一些非專業安全網絡設備也在逐漸增加安全功能。

ITU-T?X.1036標準對安全策略進行了定義和分類，分類如下：攻擊檢測策略(Attack?Detection?Policy)、訪問控制策略(AccessControl?Policy)、告警控制策略(Alert?Control?Policy)、流量控制策略(Traffic?Control?Policy)和路由控制策略(Routing?Control?Policy)。

相關技術中，在安全策略系統中，上述安全策略可由策略服務器向安全設備分發。但是，可能存在如下問題：網絡中越來越多的安全威脅導致策略服務器向安全策略分發大量的安全策略。有些安全策略用于抵御風險級別很高的網絡攻擊，例如，TCP?SYN?Flood攻擊；而有些安全策略只用于抵御一些簡單的非法報文，例如，用訪問控制列表(Access?Control?List，簡稱為ACL)實現的訪問控制。越來越多的安全策略被下發到安全設備中執行，這必然會導致安全設備的執行效率下降，有時還會導致安全設備無法保存如此之多的安全策略。

發明內容

針對相關技術中網絡安全設備因接收大量安全策略而導致效率下降或者容量達到上限的問題而提出本發明，為此，本發明的主要目的在于提供一種改進的安全策略的老化方法及裝置，以解決上述問題。

根據本發明的一個方面，提供了一種安全策略的老化方法。

根據本發明的安全策略的老化方法包括：安全設備接收來自于策略服務器的包括安全策略的報文，其中，報文攜帶有老化時間長度的信息；安全設備對老化時間長度和時間戳差值進行比較；若時間戳差值大于或等于老化時間長度，則老化安全策略。

根據本發明的另一方面，提供了一種安全策略的老化方法。

根據本發明的安全策略的老化方法包括：安全設備接收來自于策略服務器的包括安全策略的報文并設定老化時間長度；安全設備對老化時間長度和時間戳差值進行比較；若時間戳差值大于或等于老化時間長度，則老化安全策略。

根據本發明的又一方面，提供了一種安全策略的老化裝置。

根據本發明的安全策略的老化裝置包括：接收單元，用于接收來自于策略服務器的包括安全策略的報文，其中，報文攜帶有老化時間長度信息；比較單元，用于對老化時間長度和時間戳差值進行比較；老化單元，用于在時間戳差值大于或等于老化時間長度的情況下，老化安全策略。

根據本發明的再一方面，提供了一種安全策略的老化裝置。

根據本發明的安全策略的老化裝置包括：接收設定單元，用于接收來自于策略服務器的包括安全策略的報文并設定老化時間長度；比對單元，用于對老化時間長度和時間戳差值進行比較；老化執行單元，用于在時間戳差值大于或等于老化時間長度的情況下，老化安全策略。

通過本發明，策略服務器在分發安全策略時，為每一條安全策略定制老化時間。當上述安全策略在安全設備中存在時間的長度超過該老化時間時，安全設備將老化上述安全策略，解決了安全設備因接收大量安全策略而導致效率下降或者容量達到上限的問題，進而可以提高安全設備的工作效率，減小安全策略的存儲量。

本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。