專利名稱:一種安全策略下發(fā)方法及實現(xiàn)該方法的網(wǎng)元和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通訊領(lǐng)域和互聯(lián)網(wǎng)領(lǐng)域��,具體涉及一種安全策略下發(fā)方法及實現(xiàn)該方法的網(wǎng)元和系統(tǒng)����。
背景技術(shù):
隨著網(wǎng)絡(luò)的融合以及全I(xiàn)P化的發(fā)展趨勢,安全問題越來越嚴(yán)重�����。同時�����,相應(yīng)的各種各樣的安全設(shè)備也層出不窮�����。目前,傳統(tǒng)安全設(shè)備已經(jīng)向大容量和高性能方向發(fā)展���,主要應(yīng)對網(wǎng)絡(luò)層的安全威脅�。各種各樣的應(yīng)用級安全設(shè)備和檢測設(shè)備也被部署到網(wǎng)絡(luò)中����,用以抵御來自網(wǎng)絡(luò)各個層面的安全威脅。傳統(tǒng)安全設(shè)備主要具有包過濾��、NAT(Network Address Transfer,網(wǎng)絡(luò)地址翻譯)�、防DDoS(Distribution Denial of service,分布式拒絕服務(wù))攻擊和防畸形報文攻擊等基本功能,可以抵御來自網(wǎng)絡(luò)層的安全威脅�。隨著網(wǎng)絡(luò)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的豐富,針對應(yīng)用層的攻擊技術(shù)發(fā)展迅速��。而抵御這些應(yīng)用層攻擊的安全設(shè)備也隨之出現(xiàn)���,如IDS (Intrusion Detection System,入侵檢測系統(tǒng))、IPS (Intrusion Protection System,入侵防護(hù)系統(tǒng))和UTM(Unified ThreatManagement,統(tǒng)一威脅管理)設(shè)備��。隨著人們的安全保護(hù)意識越來越強(qiáng)烈�,安全設(shè)備被部署在網(wǎng)絡(luò)的各個節(jié)點(diǎn),加強(qiáng)了對網(wǎng)絡(luò)的保護(hù)�。同時由于安全設(shè)備的增多��,安全設(shè)備的策略統(tǒng)一下發(fā)如圖1所示����,安全策略服務(wù)器可以跟安全執(zhí)行實體(或稱安全設(shè)備)進(jìn)行信令交互���,實現(xiàn)安全策略下發(fā)�����,減少人工維護(hù)安全設(shè)備的成本�����。但是隨著移動網(wǎng)絡(luò)的發(fā)展��,越來越多的用戶在不同的網(wǎng)絡(luò)之間移動��。在現(xiàn)有網(wǎng)絡(luò)中����,由于IP地址的二義性(既代表用戶的身份�,也代表用戶的位置),用戶在不同的網(wǎng)絡(luò)節(jié)點(diǎn)接入����,獲得的IP地址不同���。而現(xiàn)有的策略下發(fā)機(jī)制只能對固定用戶在單一安全設(shè)備下發(fā)安全策略,無法做到對移動用戶在多個安全設(shè)備下發(fā)相同的安全策略�,也就是說,安全策略服務(wù)器無法向該用戶接入的不同節(jié)點(diǎn)中的安全設(shè)備下發(fā)基于該用戶的安全策略�����。綜上�����,由于用戶移動��,身份標(biāo)識(IP)發(fā)生變化���,現(xiàn)有的安全策略下發(fā)機(jī)制已經(jīng)無法解決對用戶實施全網(wǎng)相同的安全策略的問題���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種安全策略下發(fā)方法,能夠?qū)τ脩魧嵤┤W(wǎng)相同的安全策略����。為解決上述技術(shù)問題,本發(fā)明提供了一種安全策略下發(fā)方法��,包括:身份標(biāo)識和位置登記寄存器(ILR)在接收到接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求后��,向策略服務(wù)器(PS)發(fā)送指示用戶新位置的消息���;所述PS接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�。進(jìn)一步地,所述ILR在收到用戶位置注冊請求后�����,所述方法還包括����,所述ILR更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系。進(jìn)一步地��,所述PS接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�,所述方法還包括:所述PS記錄該用戶當(dāng)前的位置。進(jìn)一步地�����,所述PS向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略,包括:所述PS先判斷用戶位置是否發(fā)生變化����,如果發(fā)生變化,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�����。進(jìn)一步地�����,所述安全執(zhí)行實體包括:安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR��。本發(fā)明所要解決的技術(shù)問題是提供一種安全策略下發(fā)系統(tǒng)�����,能夠?qū)τ脩魧嵤┤W(wǎng)相同的安全策略���。為解決上述技術(shù)問題�����,本發(fā)明提供了一種安全策略下發(fā)系統(tǒng)�,包括身份標(biāo)識和位置登記寄存器(ILR)和策略服務(wù)器(PS),其中:所述ILR�����,用于在接收到接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求后�����,向PS發(fā)送指示用戶新位置的消息��;所述PS����,用于在接收到所述ILR發(fā)送的所述指示用戶新位置的消息后���,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略���。進(jìn)一步地,所述PS還用于在接收到所述ILR發(fā)送的所述指示用戶新位置的消息后����,記錄用戶當(dāng)前的位置。進(jìn)一步地,所述PS是用于采用以下方式向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略:先判斷用戶位置是否發(fā)生變化���,如果發(fā)生變化�����,再向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�。進(jìn)一步地��,所述安全執(zhí)行實體包括:安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR�。本發(fā)明所要解決的技術(shù)問題是提供一種身份標(biāo)識和位置登記寄存器(ILR),以使安全策略服務(wù)器獲知何時向安全執(zhí)行實體下發(fā)安全策略��。為解決上述技術(shù)問題��,本發(fā)明提供了一種身份標(biāo)識和位置登記寄存器(ILR)���,包括接收模塊和發(fā)送模塊�����,其中:所述接收模塊����,用于接收接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求;所述發(fā)送模塊�,用于在所述接收模塊接收到用戶位置注冊請求過后,向策略服務(wù)器(PS)發(fā)送指示用戶新位置的消息���。進(jìn)一步地�����,所述ILR還包括保存模塊,其用于在所述接收模塊收到用戶位置注冊請求后����,更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系。本發(fā)明所要解決的技術(shù)問題是提供一種策略服務(wù)器(PS)���,實現(xiàn)安全策略下發(fā)系統(tǒng)����,能夠?qū)τ脩魧嵤┤W(wǎng)相同的安全策略���。為解決上述技術(shù)問題����,本發(fā)明提供了一種策略服務(wù)器(PS),包括接收模塊和發(fā)送模塊��,其中:所述接收模塊�����,用于接收身份標(biāo)識和位置登記寄存器(ILR)發(fā)送的指示用戶新位置的消息���;所述發(fā)送模塊���,用于在所述接收模塊接收到所述指示用戶新位置的消息后,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略���。進(jìn)一步地���,所述PS還包括保存模塊,其用于在所述接收模塊接收到所述ILR發(fā)送的指示用戶新位置的消息后�����,記錄用戶當(dāng)前的位置�。進(jìn)一步地,所述PS還包括判斷模塊��,其用于在所述接收模塊接收到所述ILR發(fā)送的指示用戶新位置的消息后,判斷用戶位置是否發(fā)生變化�����,如果發(fā)生變化�����,則通知發(fā)送模塊向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�。進(jìn)一步地,所述安全執(zhí)行實體包括:安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR�����。本發(fā)明通過結(jié)合身份標(biāo)識和位置分離網(wǎng)絡(luò)�,由ILR根據(jù)AID設(shè)置查詢用戶位置信息�,在用戶位置發(fā)生變化時,ILR可及時通知PS向用戶所在位置的安全設(shè)備下發(fā)基于該用戶AID的安全策略,利用用戶接入標(biāo)識(AID, AccessIdentification)的全網(wǎng)唯一1丨生來進(jìn)行基于用戶的全網(wǎng)安全策略下發(fā)��。
圖1示出了安全策略下發(fā)的示意圖����;圖2示出了 SILSN的系統(tǒng)架構(gòu)圖;圖3示出了本發(fā)明實施例全網(wǎng)動態(tài)下發(fā)基于用戶的安全策略的流程圖����;圖4為本發(fā)明應(yīng)用示例流程圖�;圖5為本發(fā)明實施例實現(xiàn)安全策略下發(fā)的系統(tǒng)結(jié)構(gòu)示意圖��。
具體實施例方式考慮到身份標(biāo)識和位置分離網(wǎng)絡(luò)中用戶接入標(biāo)識(Access Identification,AID)具有全網(wǎng)唯一性�,這為全網(wǎng)動態(tài)下發(fā)安全策略創(chuàng)造了先決條件。圖2為身份標(biāo)識和位置分離網(wǎng)絡(luò)的架構(gòu)圖���,圖中�,此身份標(biāo)識和位置分離系統(tǒng)(Subscriber Identifier&LocatorSeparation Network,簡稱 SILSN)由接入服務(wù)器(Access Service Router, ASR)和用戶終端(User Equipment, UE)�、身份標(biāo)識和位置登記寄存器(Identification&LocationRegister, ILR)以及認(rèn)證中心(Authentication Center,AC)等組成。其中接入服務(wù)器ASRl和ASR2分別用來接入用戶終端設(shè)備UE1��、UE2�,負(fù)責(zé)為用戶終端實現(xiàn)接入,并承擔(dān)計費(fèi)��、切換和安全等功能��。ILR承擔(dān)用戶的位置注冊和身份識別功能����。AC承擔(dān)用戶接入認(rèn)證功能。UEl和UE2分別存在唯一的身份標(biāo)識符AIDl和AID2��。圖2所示網(wǎng)絡(luò)有如下特征:此網(wǎng)絡(luò)內(nèi)每個用戶只有經(jīng)過嚴(yán)格認(rèn)證才能接入,用戶在發(fā)送每個數(shù)據(jù)包時�,都同時攜帶自己的真實用戶接入標(biāo)識符AID,此符號僅分配給該用戶使用且全網(wǎng)唯一�����,用戶在各種業(yè)務(wù)中所發(fā)送的數(shù)據(jù)包都一直攜帶此標(biāo)識符�����,用戶發(fā)送的每個數(shù)據(jù)包都必須經(jīng)過接入服務(wù)器ASR驗證����,保證用戶發(fā)出的數(shù)據(jù)包攜帶的是自己的接入身份標(biāo)識,不會假冒其他用戶AID接入網(wǎng)絡(luò)�,并且此標(biāo)識符在網(wǎng)內(nèi)傳送時將一直保持不變����,當(dāng)用戶在移動或切換時,此標(biāo)識符也不會發(fā)生變化���。在圖2中����,用戶UEl和UE2分別通過ASRl和ASR2接入網(wǎng)絡(luò),并需要經(jīng)過AC進(jìn)行接入認(rèn)證����。認(rèn)證成功之后,ASR會將用戶的位置信息上報到ILR�。ILR通知PS(Policy Server,策略服務(wù)器),告知用戶的新位置的信息(例如ASR的RID)���,PS根據(jù)用戶的新位置向?qū)?yīng)的安全設(shè)備下發(fā)基于該用戶的安全策略�。通過由ILR觀察用戶的位置信息��,在ASR向ILR注冊或者更新用戶的位置信息時�,ILR通知PS用戶的新位置,使PS向用戶當(dāng)前所在新位置的安全設(shè)備下發(fā)基于該用戶的安全策略�,實現(xiàn)全網(wǎng)動態(tài)的基于用戶的安全策略下發(fā)機(jī)制。
為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對本發(fā)明的實施例進(jìn)行詳細(xì)說明��。需要說明的是����,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。如圖3所示���,包括以下步驟:步驟301�,ILR在接收到ASR發(fā)送的用戶位置注冊請求后�,向PS發(fā)送指示用戶新位置的消息;優(yōu)選地��,ILR在收到用戶位置注冊請求后���,還更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系����。步驟302�����,PS接收到ILR發(fā)送的指示用戶新位置的消息后��,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略���。具體地,PS在接收到ILR發(fā)送的指示用戶新位置的消息后�����,記錄該用戶當(dāng)前的位置,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略����。該安全執(zhí)行實體包括:SG或者該具有SG功能的ASR。通常ILR都會在用戶位置變化時將用戶當(dāng)前的位置發(fā)送給PS����,但是,為了程序的優(yōu)化��,優(yōu)選地�����,PS接收到所述ILR的消息后����,先判斷用戶位置是否發(fā)生變化,如果發(fā)生變化��,再向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�,如果未發(fā)生變化,則不發(fā)送����。關(guān)于SG和ASR的關(guān)系��,SG可以獨(dú)立于ASR部署��,SG的功能也可以集成在ASR中��。如果SG與ASR分開部署�����,PS中需要維護(hù)一張SG與ASR之間的關(guān)聯(lián)表���。進(jìn)一步說明,當(dāng)用戶移動到ASR所在位置時�����,PS需要根據(jù)ASR的位置����,找到所述位置的SG,然后下發(fā)安全策略��。應(yīng)用示例圖4所示為在身份與位置分離網(wǎng)絡(luò)中下發(fā)安全策略的實施例�。用戶先在ASRl接A,PS (Policy Server,策略服務(wù)器)向SG (Security Gateway,安全網(wǎng)關(guān))I下發(fā)跟所述用戶相關(guān)的安全策略。當(dāng)用戶向ASR2移動后��,ILR通知PS用戶已移動到ASR2�,則PS向SG2下發(fā)跟所述用戶相關(guān)的安全策略,同時將SGl上跟所述用戶相關(guān)的安全策略刪除���。圖4中���,安全設(shè)備SG可以為獨(dú)立設(shè)備,也可以將安全設(shè)備的功能集成在ASR中�����。S400����,用戶在ASRl上線,ASRl向ILR發(fā)送所述用戶的位置注冊請求�;S404,ILR收到用戶的位置注冊請求���,完成注冊后向ASRl發(fā)送位置注冊請求響應(yīng)���;S408, ILR通知PS�����,告知用戶的位置��,PS記錄用戶的位置�;S412�����,PS根據(jù)用戶的位置�����,向用戶所在位置的SGl發(fā)送所述用戶相關(guān)的安全策略���;S416�,SGl接收用戶相關(guān)的安全策略���,并向PS發(fā)送安全策略下發(fā)響應(yīng)消息����;S420����,用戶從ASRl移動到ASR2����,ASR2向ILR發(fā)送用戶位置注冊請求��;S424���,ILR收到ASR2發(fā)送的用戶位置注冊請求,更新用戶身份和位置映射關(guān)系之后����,向ASR2發(fā)送用戶位置注冊請求響應(yīng);S428��,ILR在更新完用戶的身份和位置映射關(guān)系之后���,向PS發(fā)送用戶位置變化的消息��,攜帶用戶的新位置信息�����;S432�,PS收到用戶位置變化消息,與用戶原有位置對比�,若發(fā)生變化,則向用戶新的位置所在的SG2下發(fā)所述用戶相關(guān)的安全策略��;S436���,SG2向PS發(fā)送安全策略響應(yīng)消息��;
S440, PS向SGl下發(fā)所述用戶相關(guān)的安全策略刪除命令��;S444, SGl向PS發(fā)送命令響應(yīng)�。上述流程完成用戶從ASRl上線�����,然后移動到ASR2上線的過程中���,所述用戶相關(guān)的安全策略的下發(fā)過程��。實現(xiàn)上述安全策略下發(fā)方法的系統(tǒng)����,如圖5所示,包括ILR和PS���,其中:所述ILR�,用于在接收到ASR發(fā)送的用戶位置注冊請求后����,向PS發(fā)送指示用戶新位置的消息;所述PS��,用于在接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�����,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略��。具體地���,上述ILR包括第一接收模塊和第一發(fā)送模塊,其中:第一接收模塊�����,用于接收ASR發(fā)送的用戶位置注冊請求��;第一發(fā)送模塊�,用于在第一接收模塊接收到用戶位置注冊請求過后�,向PS發(fā)送指示用戶新位置的消息����。優(yōu)選地,該ILR還包括第一保存模塊��,其用于在第一接收模塊收到用戶位置注冊請求后���,更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系�����。具體地���,上述PS包括第二接收模塊和第二發(fā)送模塊,其中:第二接收模塊�,用于接收ILR發(fā)送的指示用戶新位置的消息;第二發(fā)送模塊�,用于在第二接收模塊接收到所述指示用戶新位置的消息后,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�����。優(yōu)選地,該P(yáng)S還包括第二保存模塊��,其用于在第二接收模塊接收到ILR發(fā)送的指示用戶新位置的消息后��,記錄用戶當(dāng)前的位置����。優(yōu)選地,該P(yáng)S還包括判斷模塊����,其用于在第二接收模塊接收到ILR發(fā)送的指示用戶新位置的消息后,判斷用戶位置是否發(fā)生變化���,如果發(fā)生變化,則通知第二發(fā)送模塊向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略��。上述安全執(zhí)行實體包括:SG或者具有SG功能的ASR�。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成,所述程序可以存儲于計算機(jī)可讀存儲介質(zhì)中�,如只讀存儲器、磁盤或光盤等����。可選地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)���。相應(yīng)地�,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)�����,也可以采用軟件功能模塊的形式實現(xiàn)�����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合��。當(dāng)然�����,本發(fā)明還可有其他多種實施例����,在不背離本發(fā)明精神及其實質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形���,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。
權(quán)利要求
1.一種安全策略下發(fā)方法,包括: 身份標(biāo)識和位置登記寄存器(ILR)在接收到接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求后�,向策略服務(wù)器(PS)發(fā)送指示用戶新位置的消息; 所述PS接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略。
2.如權(quán)利要求1所述的方法�����,其特征在于: 所述ILR在收到用戶位置注冊請求后��,所述方法還包括����,所述ILR更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系。
3.如權(quán)利要求1所述的方法����,其特征在于: 所述PS接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�����,所述方法還包括: 所述PS記錄該用戶當(dāng)前的位置����。
4.如權(quán)利要求1或 3所述的方法�����,其特征在于: 所述PS向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略����,包括: 所述PS先判斷用戶位置是否發(fā)生變化���,如果發(fā)生變化����,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略����。
5.如權(quán)利要求1所述的方法,其特征在于: 所述安全執(zhí)行實體包括:安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR�����。
6.一種安全策略下發(fā)系統(tǒng)���,包括身份標(biāo)識和位置登記寄存器(ILR)和策略服務(wù)器(PS)���,其中: 所述ILR��,用于在接收到接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求后����,向PS發(fā)送指示用戶新位置的消息�����; 所述PS����,用于在接收到所述ILR發(fā)送的所述指示用戶新位置的消息后,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略����。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于: 所述PS還用于在接收到所述ILR發(fā)送的所述指示用戶新位置的消息后�����,記錄用戶當(dāng)前的位置�����。
8.如權(quán)利要求6或7所述的系統(tǒng)���,其特征在于: 所述PS是用于采用以下方式向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略:先判斷用戶位置是否發(fā)生變化���,如果發(fā)生變化,再向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�����。
9.如權(quán)利要求7或8所述的系統(tǒng)�,其特征在于: 所述安全執(zhí)行實體包括:安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR。
10.一種身份標(biāo)識和位置登記寄存器(ILR)�����,包括接收模塊和發(fā)送模塊�,其中: 所述接收模塊,用于接收接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求���; 所述發(fā)送模塊�,用于在所述接收模塊接收到用戶位置注冊請求過后��,向策略服務(wù)器(PS)發(fā)送指示用戶新位置的消息����。
11.如權(quán)利要求10所述的ILR�,其特征在于: 所述ILR還包括保存模塊�����,其用于在所述接收模塊收到用戶位置注冊請求后��,更新本地保存的所述用戶的接入標(biāo)識與位置的映射關(guān)系���。
12.—種策略服務(wù)器(PS)���,包括接收模塊和發(fā)送模塊,其中: 所述接收模塊�,用于接收身份標(biāo)識和位置登記寄存器(ILR)發(fā)送的指示用戶新位置的消息; 所述發(fā)送模塊��,用于在所述接收模塊接收到所述指示用戶新位置的消息后�,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略。
13.如權(quán)利要求12所述的PS����,其特征在于: 所述PS還包括保存模塊,其用于在所述接收模塊接收到所述ILR發(fā)送的指示用戶新位置的消息后�,記錄用戶當(dāng)前的位置。
14.如權(quán)利要求12所述的PS,其特征在于: 所述PS還包括判斷模塊���,其用于在所述接收模塊接收到所述ILR發(fā)送的指示用戶新位置的消息后,判斷用戶位置是否發(fā)生變化����,如果發(fā)生變化,則通知發(fā)送模塊向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�����。
15.如權(quán)利要求14所述的PS����,其特征在于: 所述安全執(zhí)行實體包括: 安全網(wǎng)關(guān)(SG)或者具有SG功能的ASR。
全文摘要
本發(fā)明公開了一種安全策略下發(fā)方法及實現(xiàn)該方法的網(wǎng)元和系統(tǒng)���,能夠?qū)τ脩魧嵤┤W(wǎng)相同的安全策略�。所述方法包括身份標(biāo)識和位置登記寄存器(ILR)在接收到接入服務(wù)器(ASR)發(fā)送的用戶位置注冊請求后�,向策略服務(wù)器(PS)發(fā)送指示用戶新位置的消息;所述PS接收到所述ILR發(fā)送的所述指示用戶新位置的消息后��,向該用戶當(dāng)前位置所在的安全執(zhí)行實體發(fā)送與該用戶相關(guān)的安全策略�。所述系統(tǒng)包括ILR和PS,其中ILR包括接收模塊和發(fā)送模塊,PS包括接收模塊和發(fā)送模塊��。本發(fā)明方法在用戶位置發(fā)生變化時��,ILR可及時通知PS向用戶所在位置的安全設(shè)備下發(fā)基于該用戶AID的安全策略�����。
文檔編號H04W12/00GK103108302SQ20111036168
公開日2013年5月15日 申請日期2011年11月15日 優(yōu)先權(quán)日2011年11月15日
發(fā)明者顏正清, 張世偉, 符濤 申請人:中興通訊股份有限公司