一種網(wǎng)絡(luò)安全監(jiān)控方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)安全監(jiān)控方法和系統(tǒng)��,涉及通信領(lǐng)域���。本發(fā)明公開的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)包括:接入安全執(zhí)行單元��,發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給安全策略引擎單元�,從安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略����,為該用戶執(zhí)行該安全策略;安全策略引擎單元�����,接收用戶安全策略查詢請求,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址�����,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息��,根據(jù)用戶身份信息查詢對應(yīng)的用戶安全策略��,通過用戶安全策略查詢響應(yīng)反饋所查詢到的用戶安全策略����。本發(fā)明還公開了一種網(wǎng)絡(luò)安全監(jiān)控方法��。本申請技術(shù)方案實現(xiàn)了網(wǎng)絡(luò)用戶的安全策略的執(zhí)行���。
【專利說明】一種網(wǎng)絡(luò)安全監(jiān)控方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域�����,尤其涉及網(wǎng)絡(luò)安全領(lǐng)域中的訪問控制��、身份認(rèn)證�、數(shù)據(jù)監(jiān)控方法和系統(tǒng)。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)的發(fā)展初期以自由開放為特點�,在促進(jìn)社會進(jìn)步、民主發(fā)展���、經(jīng)濟繁榮的同時��,也帶來一些公共安全����、網(wǎng)絡(luò)安全方面的隱患����。和真實社會中的種種約束相比,任何網(wǎng)絡(luò)行為僅能追蹤到某個IP (Internet Protocol互聯(lián)網(wǎng)協(xié)議)地址���,因此人們傾向于對自己的行為缺乏自律�����,有的甚至利用互聯(lián)網(wǎng)實施犯罪行為��。
[0003]隨著互聯(lián)網(wǎng)的發(fā)展��,尤其是互聯(lián)網(wǎng)用戶數(shù)量�、互聯(lián)網(wǎng)應(yīng)用的爆發(fā)式增長,和移動互聯(lián)網(wǎng)的高速發(fā)展�����,對互聯(lián)網(wǎng)的安全監(jiān)管也提出了比較高的要求�,既要保障互聯(lián)網(wǎng)的公共安全和網(wǎng)絡(luò)安全,又要保護用戶的隱私安全����。在互聯(lián)網(wǎng)安全和個人隱私間如何權(quán)衡���,各國都有所考量�����,比如中國提出了“前臺匿名�、后臺實名”的策略����。
[0004]為保障互聯(lián)網(wǎng)的安全,基于安全策略實施網(wǎng)絡(luò)安全監(jiān)控和管理是一種常用的方法和技術(shù)�,其中一種基于用戶身份的技術(shù)需要按用戶身份設(shè)置安全策略,但是網(wǎng)絡(luò)用戶在登入網(wǎng)絡(luò)后經(jīng)常被分配動態(tài)的網(wǎng)絡(luò)地址���,這給按用戶設(shè)置安全策略帶來了一定障礙��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所要解決的技術(shù)問題是����,提供一種網(wǎng)絡(luò)安全監(jiān)控方法和系統(tǒng),將終端用戶的動態(tài)地址�����、用戶的注冊身份信息�、用戶的安全策略關(guān)聯(lián)起來。
[0006]為了解決上述技術(shù)問題�,本發(fā)明公開了一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng),包括接入安全執(zhí)行單元和安全策略引擎單元���,其中:
[0007]所述接入安全執(zhí)行單元��,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識�,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給所述安全策略引擎單元�����,以及從所述安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略,并為該用戶執(zhí)行該安全策略�����;
[0008]所述安全策略引擎單元��,接收所述接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求�����,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址����,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息����,根據(jù)所述用戶身份信息查詢對應(yīng)的用戶安全策略,通過用戶安全策略查詢響應(yīng)向所述接入安全執(zhí)行單元反饋所查詢到的用戶安全策略�����。
[0009]較佳地�����,上述系統(tǒng)中���,所述安全策略引擎單元�����,從本地的緩存數(shù)據(jù)中查詢所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息���,或者向用戶管理系統(tǒng)或其他的安全策略引擎單元發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求����,并從所述用戶管理系統(tǒng)或其他的安全策略引擎單元反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�。
[0010]較佳地,上述系統(tǒng)還包括:
[0011]安全策略存儲和管理單元�,存儲和管理用戶身份信息與用戶安全策略的對應(yīng)關(guān)系;
[0012]所述安全策略引擎單元,通過所述安全策略存儲和管理單元查詢所述用戶身份信息對應(yīng)的用戶安全策略���。
[0013]較佳地�,上述系統(tǒng)中�����,所述接入安全執(zhí)行單元����,還將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息��,發(fā)送給數(shù)據(jù)分析中心���,以進(jìn)行后續(xù)的分析、審計���。
[0014]本發(fā)明還公開了一種網(wǎng)絡(luò)安全監(jiān)控方法���,包括:
[0015]當(dāng)用戶從終端接入網(wǎng)絡(luò)時,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)獲取該用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識��;
[0016]所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息�,根據(jù)所述用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略并為該用戶執(zhí)行該安全策略。
[0017]較佳地�����,上述方法中���,所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)包括接入安全執(zhí)行單元和安全策略引擎單元,其中:
[0018]所述接入安全執(zhí)行單元�����,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給所述安全策略引擎單元����;
[0019]所述安全策略引擎單元,接收所述接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求�,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息���,根據(jù)所述用戶身份信息查詢對應(yīng)的用戶安全策略����,通過用戶安全策略查詢響應(yīng)向所述接入安全執(zhí)行單元反饋所查詢到的用戶安全策略�����;
[0020]所述接入安全執(zhí)行單元����,從所述安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略,并為該用戶執(zhí)行該安全策略�����。
[0021]較佳地,上述方法中����,所述安全策略引擎單元確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息指:
[0022]所述安全策略引擎單元從本地的緩存數(shù)據(jù)中查詢所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息;或者
[0023]所述安全策略引擎單元向用戶管理系統(tǒng)或其他安全策略引擎單元發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求��,從所述用戶管理系統(tǒng)或其他安全策略引擎單元反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息��。
[0024]較佳地�,上述方法中,所述安全策略引擎單元根據(jù)所述用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略指:
[0025]所述安全策略引擎單元從本地或安全策略存儲和管理系統(tǒng)中查詢接入網(wǎng)絡(luò)的用戶的用戶身份信息對應(yīng)的用戶安全策略��。
[0026]較佳地��,上述方法還包括:
[0027]所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息�,發(fā)送給數(shù)據(jù)分析中心,以進(jìn)行后續(xù)的分析�����、審計��。
[0028]本申請技術(shù)方案針對網(wǎng)絡(luò)用戶在登入網(wǎng)絡(luò)后通常被分配動態(tài)網(wǎng)絡(luò)地址��,且目前的網(wǎng)絡(luò)監(jiān)控系統(tǒng)難以按用戶的真實注冊身份分配安全策略實施安全監(jiān)控的情況���,將終端用戶的動態(tài)地址�����、用戶的注冊身份信息����、用戶的安全策略關(guān)聯(lián)起來���,便于實現(xiàn)網(wǎng)絡(luò)用戶的安全策略的執(zhí)行�。
【專利附圖】
【附圖說明】
[0029]圖1是本發(fā)明網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖���;
[0030]圖2是本發(fā)明網(wǎng)絡(luò)安全監(jiān)控方法的流程圖��;
[0031]圖3是本發(fā)明獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的一種【具體實施方式】的流程圖���;
[0032]圖4是本發(fā)明獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的另一種【具體實施方式】的流程圖;
[0033]圖5是本發(fā)明獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的另一種【具體實施方式】的流程圖�;
[0034]圖6是本發(fā)明獲得用戶安全策略的流程圖;
[0035]圖7是本發(fā)明網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)的一種具體實施例的流程圖�;
[0036]圖8是本發(fā)明網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)的另一種具體實施例的流程圖;
[0037]圖9是本發(fā)明網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)的另一種具體實施例的流程圖�。
【具體實施方式】
[0038]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點更加清楚明白�,下文將結(jié)合附圖對本發(fā)明技術(shù)方案作進(jìn)一步詳細(xì)說明�。需要說明的是,在不沖突的情況下�,本申請的實施例和實施例中的特征可以任意相互組合。
[0039]實施例1
[0040]本實施例提供一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)�����,包括接入安全執(zhí)行單元和安全策略引擎單
J Li ο
[0041]接入安全執(zhí)行單元�,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給所述安全策略引擎單元�����,以及從所述安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略�����,并為該用戶執(zhí)行該安全策略�;
[0042]其中,用戶標(biāo)識包括但不限于如下任一種:
[0043]手機號��、固定電話號碼��、國際移動用戶識別(IMSI)號碼����、國際移動設(shè)備識別(IMEI)號碼、用戶注冊名����、用戶數(shù)字證書的使用者唯一標(biāo)識。
[0044]網(wǎng)絡(luò)地址包括但不限于如下任一種或任兩種的組合:
[0045]互聯(lián)網(wǎng)協(xié)議版本4 (IPv4)地址����、互聯(lián)網(wǎng)協(xié)議版本6 (IPv6)地址或網(wǎng)絡(luò)前綴、傳輸控制協(xié)議(TCP)端口號�。
[0046]另外,接入安全執(zhí)行單元���,還可以將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息����,發(fā)送給數(shù)據(jù)分析中心�����,以進(jìn)行后續(xù)的分析、審計����。
[0047]安全策略引擎單元,接收所述接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求����,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�,根據(jù)所述用戶身份信息查詢對應(yīng)的用戶安全策略,通過用戶安全策略查詢響應(yīng)向所述接入安全執(zhí)行單元反饋所查詢到的用戶安全策略���。
[0048]具體地����,上述安全策略引擎單元����,從本地的緩存數(shù)據(jù)中查詢所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息,或者向用戶管理系統(tǒng)/其他的安全策略引擎單元發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求�,并從用戶管理系統(tǒng)/其他的安全策略引擎單元反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息。
[0049]一些優(yōu)選方案在上述系統(tǒng)架構(gòu)的基礎(chǔ)上����,增加安全策略存儲和管理單元�,此時�,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的架構(gòu)如圖1所示,包括接入安全執(zhí)行單元ASM101���、安全策略引擎單元ISE102、安全策略存儲和管理單元ISS103�。
[0050]其中接入安全執(zhí)行單元ASMlOl的主要功能是:
[0051]獲得用戶標(biāo)識和網(wǎng)絡(luò)地址的映射;所述用戶標(biāo)識包括但不限于手機號����、固定電話號碼、頂SI (國際移動用戶識別碼)號碼����、頂EI號碼、用戶注冊名�����、用戶數(shù)字證書的使用者唯一標(biāo)識(Subject Unique Identifier)等能夠唯一標(biāo)識用戶的字符串�;所述網(wǎng)絡(luò)地址包括但不限于IPv4地址、IPv6地址或網(wǎng)絡(luò)前綴����、TCP端口號等��;
[0052]發(fā)送用戶安全策略查詢請求給ISE或用戶管理系統(tǒng)����,該用戶安全策略查詢請求中攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址用以獲取對應(yīng)的用戶安全策略����;
[0053]根據(jù)收到的用戶安全策略對用戶終端和IP網(wǎng)絡(luò)之間的用戶網(wǎng)絡(luò)數(shù)據(jù)實施用戶的安全策略。
[0054]還可以在接入網(wǎng)關(guān)和IP網(wǎng)絡(luò)之間透傳��、轉(zhuǎn)發(fā)認(rèn)證協(xié)議��、地址分配協(xié)議等����;還可以緩存已查詢過的用戶的安全策略;
[0055]還可以將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息�����,發(fā)送給數(shù)據(jù)分析中心����,�����,以進(jìn)行后續(xù)的分析���、審計。
[0056]例如�����,ASM可以將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文鏡像發(fā)送給數(shù)據(jù)分析中心��;或者將原始報文的源地址�����、目的地址����、協(xié)議等發(fā)送給數(shù)據(jù)分析中心��;或者對原始報文進(jìn)行深度報文檢測(DPI)���,將檢測結(jié)果���,如訪問的網(wǎng)頁地址等�����,上報到數(shù)據(jù)分析中心���。
[0057]安全策略引擎單元ISE102的主要功能是:接收接入安全執(zhí)行單元ASM的用戶安全策略查詢請求,根據(jù)用戶安全策略查詢請求中的用戶標(biāo)識或網(wǎng)絡(luò)地址確定接入網(wǎng)絡(luò)的用戶的身份信息(如用戶身份證信息等安全信息)��,通過用戶身份信息查詢對應(yīng)的用戶安全策略并反饋給接入安全執(zhí)行單元�;
[0058]可選地,安全策略引擎單元��,發(fā)送用戶安全策略檢索信息查詢請求(其中攜帶用戶標(biāo)識和/或網(wǎng)絡(luò)地址)給用戶管理系統(tǒng)或其他ISE����,并接收來自用戶管理系統(tǒng)或其他ISE的用戶安全策略檢索信息查詢響應(yīng),其中包含用戶安全策略檢索信息(即為用戶身份信息)�����;
[0059]發(fā)送用戶安全策略查詢請求(其中攜帶用戶安全策略檢索信息���,即用戶身份信息)給安全策略存儲和管理單元ISS ����;
[0060]接收來自安全策略存儲和管理單元ISS的用戶安全策略查詢響應(yīng),其中包含用戶安全策略���;
[0061]發(fā)送用戶安全策略查詢響應(yīng)給接入安全執(zhí)行單元ASM���。
[0062]還可以緩存用戶安全策略。
[0063]安全策略存儲和管理單元ISS103的主要功能是:
[0064]存儲和管理用戶的安全策略��;
[0065]接收來自安全策略引擎單元ISE的用戶安全策略查詢請求���;
[0066]發(fā)送包含用戶安全策略的用戶安全策略查詢響應(yīng)給安全策略引擎單元ISE����。
[0067]實際應(yīng)用中��,上述接入安全執(zhí)行單元和安全策略引擎單元可分別置于不同的網(wǎng)元中或集成在同一網(wǎng)元中實現(xiàn)�����。例如��,接入安全執(zhí)行單元可單獨采用網(wǎng)絡(luò)接入設(shè)備或網(wǎng)絡(luò)安全設(shè)備等網(wǎng)元實現(xiàn)�,如有線網(wǎng)絡(luò)的網(wǎng)絡(luò)接入設(shè)備中的寬帶遠(yuǎn)程接入服務(wù)器BRAS (BroadbandRemote Access Server)、業(yè)務(wù)路由器SR (Service Router)�����、無線網(wǎng)絡(luò)的核心網(wǎng)絡(luò)接入設(shè)備中的GGSN(GatewayGPRS Support Node)��、P-GW��、現(xiàn)有網(wǎng)絡(luò)安全設(shè)備中的深度報文檢測設(shè)備 DPI (Deep Packet Inspect1n)���、入侵防御系統(tǒng) IPS (Intrus1n Prevent1nSystem)�����、防火墻FW(Firewall)�����、統(tǒng)一威脅管理設(shè)備UTM(Unified ThreatManagement)等����,安全策略引擎單元可單獨采用業(yè)務(wù)控制層設(shè)備(如綜合業(yè)務(wù)管理平臺ISMP)����、用戶管理設(shè)備(如HLR/HSS/AAA)等網(wǎng)元實現(xiàn)�����。接入安全執(zhí)行單元和安全策略引擎單元也可同時置于網(wǎng)絡(luò)接入設(shè)備或網(wǎng)絡(luò)安全設(shè)備等網(wǎng)元中實現(xiàn)�����,如上面所述的BRAS����、SR�����、GGSN��、P-GW, DP1���、IPS、FW��、UTM等�。
[0068]實施例2
[0069]本實施例提供一種網(wǎng)絡(luò)安全監(jiān)控方法,該方法包括如下操作:
[0070]當(dāng)用戶從終端接入網(wǎng)絡(luò)時���,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)獲取該用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識�����;
[0071]網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息��,根據(jù)所述用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略并為該用戶執(zhí)行該安全策略���。
[0072]上述方法中涉及的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)可采用上述實施例1的架構(gòu)����,至少包括接入安全執(zhí)行單元和安全策略引擎單元�����,其中:
[0073]接入安全執(zhí)行單元����,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給安全策略引擎單元���;
[0074]安全策略引擎單元��,接收接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求����,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�����,根據(jù)用戶身份信息查詢對應(yīng)的用戶安全策略���,通過用戶安全策略查詢響應(yīng)向接入安全執(zhí)行單元反饋所查詢到的用戶安全策略�����;
[0075]接入安全執(zhí)行單元����,從安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略�,并為該用戶執(zhí)行該安全策略。
[0076]其中��,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的安全策略引擎單元確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息指:
[0077]安全策略引擎單元從本地的緩存數(shù)據(jù)中查詢所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�;或者向用戶管理系統(tǒng)發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求���,從用戶管理系統(tǒng)反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�����。
[0078]安全策略引擎單元根據(jù)用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略指:從本地或安全策略存儲和管理系統(tǒng)中查詢接入網(wǎng)絡(luò)的用戶的身份信息對應(yīng)的用戶安全策略��。
[0079]實際應(yīng)用中�����,上述接入安全執(zhí)行單元和安全策略引擎單元可分別置于不同的網(wǎng)元中或集成在同一網(wǎng)元中實現(xiàn)�����。例如�,接入安全執(zhí)行單元可單獨采用網(wǎng)絡(luò)接入設(shè)備或網(wǎng)絡(luò)安全設(shè)備等網(wǎng)元實現(xiàn),如有線網(wǎng)絡(luò)的網(wǎng)絡(luò)接入設(shè)備中的寬帶遠(yuǎn)程接入服務(wù)器BRAS (BroadbandRemote Access Server)����、業(yè)務(wù)路由器SR (Service Router)、無線網(wǎng)絡(luò)的核心網(wǎng)絡(luò)接入設(shè)備中的GGSN(GatewayGPRS Support Node)�、P-GW、現(xiàn)有網(wǎng)絡(luò)安全設(shè)備中的深度報文檢測設(shè)備 DPI (Deep Packet Inspect1n)����、入侵防御系統(tǒng) IPS (Intrus1n Prevent1nSystem)、防火墻FW(Firewall)、統(tǒng)一威脅管理設(shè)備UTM(Unified ThreatManagement)等���,安全策略引擎單元可單獨采用業(yè)務(wù)控制層設(shè)備(如綜合業(yè)務(wù)管理平臺ISMP)�����、用戶管理設(shè)備(如HLR/HSS/AAA)等網(wǎng)元實現(xiàn)���。接入安全執(zhí)行單元和安全策略引擎單元也可同時置于網(wǎng)絡(luò)接入設(shè)備或網(wǎng)絡(luò)安全設(shè)備等網(wǎng)元中實現(xiàn),如上面所述的BRAS�����、SR�、GGSN、P-GW, DP1��、IPS�、FW、UTM等��。
[0080]上述方法中所涉及的用戶標(biāo)識包括但不限于如下任一種或幾種的組合:
[0081]手機號����、固定電話號碼���、國際移動用戶識別(IMSI)號碼�、國際移動設(shè)備識別(IMEI)號碼、用戶注冊名�、用戶數(shù)字證書的使用者唯一標(biāo)識。
[0082]上述網(wǎng)絡(luò)地址包括但不限于如下任一種或兩種的組合:
[0083]互聯(lián)網(wǎng)協(xié)議版本4 (IPv4)地址��、互聯(lián)網(wǎng)協(xié)議版本6 (IPv6)地址或網(wǎng)絡(luò)前綴����、傳輸控制協(xié)議(TCP)端口號。
[0084]另外��,在上述方法的基礎(chǔ)上��,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)還可以將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息��,發(fā)送給數(shù)據(jù)分析中心���,以進(jìn)行后續(xù)的分析���、審計。
[0085]下面結(jié)合【專利附圖】
【附圖說明】上述方法的具體實現(xiàn)過程��。
[0086]圖2所示為網(wǎng)絡(luò)安全監(jiān)控方法的整體流程。
[0087]步驟201:用戶從終端接入網(wǎng)絡(luò)����,被分配網(wǎng)絡(luò)地址,ASM獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射���;
[0088]步驟202 =ASM獲得用戶安全策略����;
[0089]其中����,初始的安全策略是通過ISE從ISS獲得,而后續(xù)的安全策略可以從本地的緩存數(shù)據(jù)中獲得��。步驟203:用戶從終端通過接入網(wǎng)關(guān)訪問IP網(wǎng)絡(luò)��,所有的流量都進(jìn)入接入安全執(zhí)行單元ASM���。ASM對收到的用戶數(shù)據(jù)報文判斷是不是符合相應(yīng)的安全策略���;
[0090]步驟204:如果符合安全策略的用戶數(shù)據(jù),ASM進(jìn)行轉(zhuǎn)發(fā)�;
[0091 ] 例如對于用戶認(rèn)證協(xié)議產(chǎn)生的數(shù)據(jù)報文����,如RADIUS協(xié)議�、Diameter協(xié)議,ASM予以放行���,在用戶終端和RADIUS/Diameter服務(wù)器之間轉(zhuǎn)發(fā);對于IP地址分配協(xié)議產(chǎn)生的數(shù)據(jù)報文�,如動態(tài)主機配置協(xié)議DHCP,ASM也予以放行�,在用戶終端和DHCP服務(wù)器之間轉(zhuǎn)發(fā);
[0092]步驟205:對不符合安全策略的用戶數(shù)據(jù)���,ASM進(jìn)一步處理�����,例如ASM可以將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文鏡像發(fā)送給數(shù)據(jù)分析中心��;或者將原始報文的源地址���、目的地址、協(xié)議等發(fā)送給數(shù)據(jù)分析中心�����;或者對原始報文進(jìn)行深度報文檢測(DPI),將檢測結(jié)果���,如訪問的網(wǎng)頁地址等��,上報到數(shù)據(jù)分析中心���,以便進(jìn)行后續(xù)的分析、審計��。
[0093]這里對ASM處理用戶數(shù)據(jù)的方法僅為舉例說明����,并不是為了限制可以采用的方法。具體實施中���,對同一個用戶的不同應(yīng)用數(shù)據(jù)可以有多種不同的處理方法���,對不同用戶的相同應(yīng)用數(shù)據(jù)也可以有多種不同的處理方法。
[0094]所述接入網(wǎng)關(guān)可以是交換機����、路由器����、各種網(wǎng)關(guān)���,如GPRS網(wǎng)絡(luò)中的GGSN(GatewayGPRS Support Node)網(wǎng)關(guān)���、EPS (Evolved Packet System)網(wǎng)絡(luò)中的 P-GW 網(wǎng)關(guān)、BRAS (Broadband Remote Access Server)���、企業(yè)網(wǎng)關(guān)等。
[0095]如圖3-圖5所示����,為ASM獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的流程圖。其中圖3表示由接入網(wǎng)關(guān)為終端分配網(wǎng)絡(luò)地址的情況下���,ASM獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的流程����,具體步驟如下所示:
[0096]步驟301:終端接入網(wǎng)絡(luò)�,接入網(wǎng)關(guān)為終端分配網(wǎng)絡(luò)地址;
[0097]步驟302:接入網(wǎng)關(guān)將用戶標(biāo)識-網(wǎng)絡(luò)地址映射主動或應(yīng)ASM的請求發(fā)送給ASM �;
[0098]圖4表示由ASM為終端分配網(wǎng)絡(luò)地址的情況下���,ASM獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的流程,具體步驟如下所示:
[0099]步驟401:終端接入網(wǎng)絡(luò)����;
[0100]步驟402:接入網(wǎng)關(guān)和ASM通過DHCP/RADIUS/Diameter協(xié)議協(xié)商終端的網(wǎng)絡(luò)地址,ASM保存用戶標(biāo)識-網(wǎng)絡(luò)地址映射�����;
[0101]圖5表示由IP網(wǎng)絡(luò)為終端分配網(wǎng)絡(luò)地址的情況下�,ASM獲得用戶標(biāo)識-網(wǎng)絡(luò)地址映射的流程,具體步驟如下所示:
[0102]步驟501:終端接入網(wǎng)絡(luò)�;
[0103]步驟502:接入網(wǎng)關(guān)和IP網(wǎng)絡(luò)通過DHCP/RADIUS/Diameter協(xié)議協(xié)商終端的網(wǎng)絡(luò)地址,ASM作為DHCP/RADIUS/Diameter協(xié)議的中繼Relay或Server或Client,轉(zhuǎn)發(fā)接入網(wǎng)關(guān)和IP網(wǎng)絡(luò)的網(wǎng)絡(luò)地址協(xié)商消息��,從中獲得并保存用戶標(biāo)識-網(wǎng)絡(luò)地址映射��;
[0104]如圖6所示�����,是ASM從安全策略存儲和管理單元ISS獲得用戶安全策略的流程�����。
[0105]步驟601:ASM獲得用戶標(biāo)識和網(wǎng)絡(luò)地址的映射后,把包含用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求發(fā)送給ISE ��;
[0106]步驟602:可選�,ISE發(fā)送用戶安全策略檢索信息查詢請求給用戶管理系統(tǒng)或其他ISE ;
[0107]步驟603:可選�����,ISE接收來自用戶管理系統(tǒng)或其他ISE的用戶安全策略檢索信息查詢響應(yīng)�����,其中包含用戶安全策略檢索信息(即用戶身份信息)���,如用戶的身份證號;
[0108]步驟604 =ISE發(fā)送包含用戶安全策略檢索信息(如身份證號)的安全策略查詢請求給安全策略存儲和管理單元ISS ��;
[0109]步驟605:1SE接收來自安全策略存儲和管理單元ISS的用戶安全策略查詢響應(yīng)��,其中包含用戶安全策略��;
[0110]步驟606:1SE發(fā)送用戶安全策略查詢響應(yīng)給接入安全執(zhí)行單元ASM���,其中包含用戶安全策略���。
[0111]上述用戶安全策略的查詢流程中��,如果ASM本地查詢到用戶的安全策略已經(jīng)被緩存����,則可以省略其后的查詢步驟��;同樣的�����,如果安全策略引擎ISE處查詢到已緩存用戶的安全策略����,則可以省略其后的查詢步驟。
[0112]如圖7所示���,是網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)流量一種具體實施例的流程圖��。該具體實施例中����,ASM分別或同時獲得被接入用戶的安全策略和/或接入用戶的身份后,根據(jù)被接入用戶的安全策略和接入用戶的身份做出一個決策��,是否允許被接入用戶獲得涉及的數(shù)據(jù)流量����,并據(jù)此決策執(zhí)行。具體步驟如下:
[0113]步驟701:被接入用戶收到的數(shù)據(jù)報文首先接入安全執(zhí)行單元ASM ��;
[0114]步驟702 =ASM根據(jù)被接入用戶的網(wǎng)絡(luò)地址�,在本地查詢被接入用戶的安全策略,按照被接入用戶的安全策略執(zhí)行�����;如果本地沒有查詢到被接入用戶的安全策略���,向安全策略引擎單元ISE發(fā)送被接入用戶安全策略查詢請求�,其中包含被接入用戶的網(wǎng)絡(luò)地址���;
[0115]步驟703:ISE向用戶管理系統(tǒng)發(fā)送被接入用戶安全策略檢索信息的查詢請求,其中包含被接入用戶的網(wǎng)絡(luò)地址和/或接入用戶的網(wǎng)絡(luò)地址���;
[0116]步驟704:用戶管理系統(tǒng)向ISE返回被接入用戶安全策略檢索信息的查詢響應(yīng)�����,其中包含用于ISS查詢被接入用戶安全策略的檢索信息�,如被接入用戶注冊的身份證號碼;
[0117]步驟705 =ISE向安全策略存儲和管理單元ISS發(fā)送被接入用戶安全策略查詢請求��,其中包含被接入用戶安全策略檢索信息���;
[0118]步驟706 =ISS收到被接入用戶安全策略檢索信息后��,根據(jù)其中的檢索信息�,如被接入用戶的注冊身份證號碼�、接入用戶的注冊身份證號碼查詢到被接入用戶的安全策略,返回給ISE �����;
[0119]步驟707 =ISE再將被接入用戶安全策略轉(zhuǎn)發(fā)給ASM���。
[0120]可選地����,與上述步驟702至步驟707同時或分別地�����,ASM從ISE獲得接入用戶的身份,具體步驟如下:
[0121]步驟712:ASM發(fā)送接入用戶身份查詢請求給ISE��,其中包含接入用戶的網(wǎng)絡(luò)地址��;
[0122]步驟713 =ISE如果在本地沒有查詢到接入用戶身份�����,就將接入用戶身份查詢請求發(fā)送給其他的ISE���,如接入用戶注冊地的ISE ��;
[0123]步驟714:其他ISE向發(fā)起查詢的ISE返回接入用戶的身份信息�����,如身份證號����;
[0124]步驟715 =ISE向ASM返回接入用戶的身份信息�。
[0125]如圖8所示,是網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)流量另一種具體實施例的流程圖�����。該具體實施例中��,ISE分別或同時獲得被接入用戶的安全策略和/或接入用戶的身份后�,根據(jù)被接入用戶的安全策略和接入用戶的身份做出一個決策,是否允許被接入用戶獲得涉及的數(shù)據(jù)流量��,將決策下發(fā)至ASM執(zhí)行��。具體步驟如下:
[0126]步驟801:被接入用戶收到的數(shù)據(jù)報文首先接入安全執(zhí)行單元ASM ��;
[0127]步驟802:ASM根據(jù)被接入用戶的網(wǎng)絡(luò)地址和/或接入用戶的網(wǎng)絡(luò)地址�����,在本地查詢被接入用戶的安全策略��,按照被接入用戶的安全策略執(zhí)行�����;如果本地沒有查詢到被接入用戶的安全策略��,向安全策略引擎單元ISE發(fā)送被接入用戶安全策略查詢請求�����,其中包含被接入用戶和/或接入用戶的網(wǎng)絡(luò)地址;
[0128]步驟803 =ISE向用戶管理系統(tǒng)發(fā)送被接入用戶安全策略檢索信息的查詢請求�����,其中包含被接入用戶的網(wǎng)絡(luò)地址��;
[0129]步驟804:用戶管理系統(tǒng)向ISE返回被接入用戶安全策略檢索信息的查詢響應(yīng)����,其中包含用于ISS查詢被接入用戶安全策略的檢索信息,如被接入用戶注冊的身份證號碼����;
[0130]步驟805 =ISE向安全策略存儲和管理單元ISS發(fā)送被接入用戶安全策略查詢請求,其中包含被接入用戶安全策略檢索信息�;
[0131]步驟806 =ISS收到被接入用戶安全策略檢索信息后,根據(jù)其中的檢索信息����,如被接入用戶的注冊身份證號碼,查詢到被接入用戶的安全策略�����,返回給ISE ;可選地,用戶安全策略檢索信息還可包含接入用戶的注冊身份證號碼���。
[0132]步驟807:至此ISE已經(jīng)獲得被接入用戶的安全策略、接入用戶的身份(可選)�����,根據(jù)它們做出一個決策�,是否允許被接入用戶獲得涉及的數(shù)據(jù)流量,將決策下發(fā)給ASM��。
[0133]可選地�,與上述步驟803至步驟806同時或分別地,ISE在本地查詢接入用戶的身份���,如果沒有查詢到��,從其他ISE (如接入用戶注冊地的ISE)獲得接入用戶的身份�,具體步驟如下:
[0134]步驟815:1SE發(fā)送接入用戶身份查詢請求給其他ISE�,其中包含接入用戶的網(wǎng)絡(luò)地址;
[0135]步驟816:被查詢ISE向發(fā)起查詢的ISE返回接入用戶的身份信息�,如身份證號;
[0136]接下來�����,繼續(xù)執(zhí)行步驟807。
[0137]如圖9所示�,是網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)用于監(jiān)控被接入用戶數(shù)據(jù)流量另一種具體實施例的流程圖。該具體實施例中�,ISS獲得接入用戶的身份后,根據(jù)被接入用戶的安全策略和接入用戶的身份做出一個決策����,是否允許被接入用戶獲得涉及的數(shù)據(jù)流量,將決策通過ISE下發(fā)至ASM執(zhí)行����。具體步驟如下:
[0138]步驟901:被接入用戶收到的數(shù)據(jù)報文首先接入安全執(zhí)行單元ASM ;
[0139]步驟902:ASM根據(jù)被接入用戶的網(wǎng)絡(luò)地址和/或接入用戶的網(wǎng)絡(luò)地址�����,在本地查詢被接入用戶的安全策略����,按照被接入用戶的安全策略執(zhí)行;如果本地沒有查詢到被接入用戶的安全策略�,向安全策略引擎單元ISE發(fā)送被接入用戶安全策略查詢請求,其中包含被接入用戶和/或接入用戶的網(wǎng)絡(luò)地址;
[0140]步驟903 =ISE向用戶管理系統(tǒng)發(fā)送被接入用戶安全策略檢索信息的查詢請求�����,其中包含被接入用戶的網(wǎng)絡(luò)地址����;
[0141]步驟904:用戶管理系統(tǒng)向ISE返回被接入用戶安全策略檢索信息的查詢響應(yīng),其中包含用于ISS查詢被接入用戶安全策略的檢索信息�,如被接入用戶注冊的身份證號碼�����;
[0142]步驟905 =ISE向安全策略存儲和管理單元ISS發(fā)送被接入用戶安全策略查詢請求�,其中包含被接入用戶安全策略檢索信息和/或接入用戶的身份信息;
[0143]步驟906 =ISS收到被接入用戶安全策略檢索信息后���,根據(jù)其中的檢索信息����,如被接入用戶的注冊身份證號碼查詢到被接入用戶的安全策略��,根據(jù)用戶安全策略和接入用戶的身份信息(可選)做出一個決策�����,是否允許被接入用戶獲得所涉及的接入用戶的數(shù)據(jù)流量,并把決策下發(fā)給ISE ��;
[0144]步驟907 =ISE將收到的決策下發(fā)給ASM執(zhí)行�。
[0145]可選地,與上述步驟903至步驟904同時或分別地�,ISE在本地查詢接入用戶的身份,如果沒有查詢到��,從其他ISE (如接入用戶注冊地的ISE)獲得接入用戶的身份�����,具體步驟如下:
[0146]步驟913 =ISE發(fā)送接入用戶身份查詢請求給其他ISE����,其中包含接入用戶的網(wǎng)絡(luò)地址;
[0147]步驟914:被查詢ISE向發(fā)起查詢的ISE返回接入用戶身份信息��,如身份證號�;
[0148]接下來,繼續(xù)執(zhí)行步驟905至步驟907�。
[0149]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成,所述程序可以存儲于計算機可讀存儲介質(zhì)中��,如只讀存儲器、磁盤或光盤等��??蛇x地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)����。相應(yīng)地,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)�,也可以采用軟件功能模塊的形式實現(xiàn)。本申請不限制于任何特定形式的硬件和軟件的結(jié)合���。
[0150]以上所述,僅為本發(fā)明的較佳實例而已��,并非用于限定本發(fā)明的保護范圍��。凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改����、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)��。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)�����,其特征在于��,該系統(tǒng)包括接入安全執(zhí)行單元和安全策略引擎單元�,其中: 所述接入安全執(zhí)行單元,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識�����,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給所述安全策略引擎單元����,以及從所述安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略,并為該用戶執(zhí)行該安全策略�; 所述安全策略引擎單元,接收所述接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求�����,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址�,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息����,根據(jù)所述用戶身份信息查詢對應(yīng)的用戶安全策略�����,通過用戶安全策略查詢響應(yīng)向所述接入安全執(zhí)行單元反饋所查詢到的用戶安全策略�。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于�����, 所述安全策略引擎單元��,從本地的緩存數(shù)據(jù)中查詢所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�,或者向用戶管理系統(tǒng)或其他的安全策略引擎單元發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求,并從所述用戶管理系統(tǒng)或其他的安全策略引擎單元反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息�����。
3.如權(quán)利要求1所述的系統(tǒng)��,其特征在于���,該系統(tǒng)還包括: 安全策略存儲和管理單元��,存儲和管理用戶身份信息與用戶安全策略的對應(yīng)關(guān)系����; 所述安全策略引擎單元��,通過所述安全策略存儲和管理單元查詢所述用戶身份信息對應(yīng)的用戶安全策略���。
4.如權(quán)利要求1�����、2或3所述的系統(tǒng)���,其特征在于, 所述接入安全執(zhí)行單元�����,還將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息����,發(fā)送給數(shù)據(jù)分析中心,以進(jìn)行后續(xù)的分析����、審計��。
5.—種網(wǎng)絡(luò)安全監(jiān)控方法��,其特征在于�����,該方法包括: 當(dāng)用戶從終端接入網(wǎng)絡(luò)時�,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)獲取該用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識����; 所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息,根據(jù)所述用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略并為該用戶執(zhí)行該安全策略�����。
6.如權(quán)利要求5所述的方法���,其特征在于,所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)包括接入安全執(zhí)行單元和安全策略引擎單元��,其中: 所述接入安全執(zhí)行單元��,獲取接入網(wǎng)絡(luò)的用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識,并發(fā)送攜帶有用戶標(biāo)識和/或網(wǎng)絡(luò)地址的用戶安全策略查詢請求給所述安全策略引擎單元��; 所述安全策略引擎單元�����,接收所述接入安全執(zhí)行單元發(fā)送的用戶安全策略查詢請求����,從中提取用戶標(biāo)識和/或網(wǎng)絡(luò)地址,確定所提取的用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息���,根據(jù)所述用戶身份信息查詢對應(yīng)的用戶安全策略���,通過用戶安全策略查詢響應(yīng)向所述接入安全執(zhí)行單元反饋所查詢到的用戶安全策略; 所述接入安全執(zhí)行單元��,從所述安全策略引擎單元返回的用戶安全策略查詢響應(yīng)中獲取對應(yīng)的用戶安全策略��,并為該用戶執(zhí)行該安全策略�����。
7.如權(quán)利要求6所述的方法����,其特征在于�����,所述安全策略引擎單元確定所述用戶的網(wǎng)絡(luò)地址或用戶標(biāo)識對應(yīng)的用戶身份信息指: 所述安全策略引擎單元從本地的緩存數(shù)據(jù)中查詢所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息����;或者 所述安全策略引擎單元向用戶管理系統(tǒng)或其他安全策略引擎單元發(fā)送攜帶有所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址的安全策略檢索信息查詢請求���,從所述用戶管理系統(tǒng)或其他安全策略引擎單元反饋的響應(yīng)中獲取所述用戶標(biāo)識和/或網(wǎng)絡(luò)地址對應(yīng)的用戶身份信息����。
8.如權(quán)利要求6所述的方法�,其特征在于,所述安全策略引擎單元根據(jù)所述用戶身份信息查詢接入網(wǎng)絡(luò)的用戶的用戶安全策略指: 所述安全策略引擎單元從本地或安全策略存儲和管理系統(tǒng)中查詢接入網(wǎng)絡(luò)的用戶的用戶身份信息對應(yīng)的用戶安全策略�����。
9.如權(quán)利要求6�����、7或8所述的方法,其特征在于���,該方法還包括: 所述網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)將用戶網(wǎng)絡(luò)數(shù)據(jù)的原始報文或相關(guān)信息,發(fā)送給數(shù)據(jù)分析中心�����,以進(jìn)行后續(xù)的分析�����、審計�。
【文檔編號】H04L29/06GK104253798SQ201310265337
【公開日】2014年12月31日 申請日期:2013年6月27日 優(yōu)先權(quán)日:2013年6月27日
【發(fā)明者】滕志猛, 周蘇靜 申請人:中興通訊股份有限公司