一种网络安全控制方法及系统转让专利
申请号 : CN200680012272.7
文献号 : CN101160876B
文献日 : 2011-02-16
发明人 : 位继伟 , 郑志彬 , 刘淑玲
申请人 : 华为技术有限公司
摘要 :
本发明适用于网络安全领域,提供一种网络安全控制方法及系统。本发明中网络侧的服务器端接收终端设备收集并上报的本地安全信息,对接收到的多个安全信息进行分析,根据分析结果来确定安全策略。由于实现网络侧和终端侧的安全联动,根据来自终端设备的信息来制定安全策略,因此可以从源头上对抗来自终端设备的安全威胁。本发明还可以在确定安全策略时考虑较多的信息源,使得确定的安全策略更为合理和准确。在此基础上,进一步针对不同用户等级的终端设备提供差别化的安全服务。此外,本发明还提供基于终端和服务器联动思想的防垃圾邮件方法和系统。
权利要求 :
1.一种网络安全控制方法,其特征在于,包括:
终端设备收集本地的安全信息并向服务器端上报;
所述服务器端接收所述安全信息后进行解析,结合用户预先定购的安全服务的安全服务等级确定各终端设备对应的安全策略;
所述服务器端采用所述安全策略通过网络接入设备对终端设备进行网络接入控制和/或服务接入控制。
2.如权利要求1所述的网络安全控制方法,其特征在于,还包括:所述服务器端将终端设备上报的安全信息发送给网络中的安全设备,安全设备根据接收到的安全信息执行安全响应,对网络进行安全防护。
3.如权利要求1所述的网络安全控制方法,其特征在于,所述收集本地的安全信息为:收集本地的安全配置信息和/或安全事件信息。
4.如权利要求3所述的网络安全控制方法,其特征在于,当所述终端设备收集的安全信息中包括安全事件信息时,终端设备根据预先设定的过滤规则对收集到的安全事件信息进行过滤,并将过滤后剩余的安全事件信息上报给服务器端。
5.如权利要求3所述的网络安全控制方法,其特征在于,所述安全配置信息中包括系统安全配置信息和应用安全配置信息;所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
6.如权利要求1所述的网络安全控制方法,其特征在于,所述服务器端接收所述安全信息采用的方式为中断方式或查询方式。
7.如权利要求1所述的网络安全控制方法,其特征在于,还包括:所述服务器端基于所述安全策略向终端设备提供安全服务。
8.如权利要求7所述的网络安全控制方法,其特征在于,所述提供安全服务包括:进行安全攻击处理、进行安全配置更新或者提供安全报告。
9.如权利要求1至8任一项所述的网络安全控制方法,其特征在于,所述的服务器端接收所述安全信息后进行解析,为:对接收到的至少两个终端设备上报的安全信息进行综合分析。
10.一种网络安全控制系统,包括终端设备及与其连接的网络接入设备,和与所述网络接入设备相连的安全策略服务器,其特征在于,还包括:安全代理单元,设置在终端设备侧,用于收集终端设备的安全信息并上报给安全策略服务器;
所述安全策略服务器用于接收并解析所述安全代理单元上报的安全信息,获取与解析结果对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制;
安全设备,与所述安全策略服务器连接,用于从安全策略服务器中获取安全信息,执行相应的安全响应,对网络进行安全防护。
11.如权利要求10所述的网络安全控制系统,其特征在于,所述安全策略服务器解析所述安全代理单元上报的安全信息为:综合分析至少两个终端设备的安全代理单元上报的安全信息。
12.如权利要求10所述的网络安全控制系统,其特征在于,所述安全代理单元包括:配置信息获取子单元,用于收集终端设备的安全配置信息并发送给安全策略服务器。
13.如权利要求12所述的网络安全控制系统,其特征在于,所述配置信息获取子单元收集的安全配置信息包括系统安全配置信息和应用安全配置信息。
14.如权利要求12所述的网络安全控制系统,其特征在于,所述安全代理单元还包括:事件信息获取子单元,用于收集终端设备的安全事件信息;
事件信息过滤子单元,与所述事件信息获取子单元连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
15.如权利要求10所述的网络安全控制系统,其特征在于,所述安全代理单元包括:事件信息获取子单元,用于收集终端设备的安全事件信息;
事件信息过滤子单元,与所述事件信息获取子单元连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
16.如权利要求14或15所述的网络安全控制系统,其特征在于,所述事件信息获取子单元收集的安全事件信息包括病毒事件信息、攻击事件信息和非法扫描信息。
17.如权利要求10所述的网络安全控制系统,其特征在于,所述的安全代理单元为设置在终端设备内的功能模块,或者为系统中的独立功能实体。
18.如权利要求10所述的网络安全控制系统,其特征在于,所述安全策略服务器包括数据库,记录用户定购的安全服务的安全服务等级;所述安全策略服务器获取与解析结果对应的安全策略时,结合用户预先定购的安全服务的安全服务等级确定各终端设备对应的安全策略。
19.如权利要求18所述的网络安全控制系统,其特征在于,所述安全策略服务器和安全代理单元基于所述各终端设备对应的安全策略为终端设备提供安全服务。
20.如权利要求18或19所述的网络安全控制系统,其特征在于,所述安全服务包括安全攻击处理、安全配置更新或者安全报告。
21.一种防垃圾邮件系统,包括邮件服务器及通过网络接入设备与邮件服务器连接的至少一个客户端,其特征在于,还包括:配置信息获取单元,设置在客户端中,用于获取客户端接收到的垃圾邮件的配置信息并发送;
安全策略服务器,与网络接入设备连接,用于接收并存储配置信息获取单元发送的配置信息,以及根据该配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略控制网络接入设备过滤掉邮件服务器从网络中接收到的垃圾邮件;
所述安全策略服务器包括:
配置信息存储单元,用于接收并存储配置信息获取单元发出的配置信息;
配置信息处理单元,与配置信息存储单元连接,从配置信息存储单元中获取配置信息,根据该配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略控制网络接入设备过滤掉邮件服务器从网络中接收到的垃圾邮件。
22.根据权利要求21所述的防垃圾邮件系统,其特征在于,所述配置信息存储单元采用中断方式或查询方式从配置信息获取单元中接收垃圾邮件配置信息;
所述配置信息处理单元采用中断方式或查询方式从配置信息存储单元中读取垃圾邮件配置信息。
23.根据权利要求21所述的防垃圾邮件系统,其特征在于,所述系统还包括:邮件检测单元,与配置信息获取单元连接,用于对客户端接收到的邮件进行检测,识别出其中的垃圾邮件。
24.根据权利要求23所述的防垃圾邮件系统,其特征在于,所述邮件检测单元设置在所述客户端内,或者为所述系统中的独立实体。
25.一种防垃圾邮件系统,包括邮件服务器及通过网络接入设备与邮件服务器连接的至少一个客户端,其特征在于,还包括:配置信息获取单元,设置在客户端中,用于获取客户端接收到的垃圾邮件的配置信息并发送;
安全策略服务器,与网络接入设备连接,用于接收并存储配置信息获取单元发送的垃圾邮件配置信息;
邮件过滤单元,与安全策略服务器连接,用于根据安全策略服务器输出的垃圾邮件配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略过滤掉从网络中接收到的垃圾邮件;
所述客户端包括:
邮件检测单元,与配置信息获取单元连接,用于对客户端接收到的邮件进行检测,识别出其中的垃圾邮件。
26.根据权利要求25所述的防垃圾邮件系统,其特征在于,所述邮件过滤单元设置在邮件服务器内或者通过通信接口与邮件服务器连接。
27.根据权利要求25所述的防垃圾邮件系统,其特征在于,所述邮件过滤单元连接在邮件服务器与因特网路由器之间。
28.根据权利要求25所述的防垃圾邮件系统,其特征在于,所述邮件检测单元设置在所述客户端内,或者为所述系统中的独立实体。
29.根据权利要求25所述的防垃圾邮件系统,其特征在于,所述安全策略服务器采用中断方式或查询方式从配置信息获取单元中接收垃圾邮件配置信息;
所述邮件过滤单元采用中断方式或查询方式从安全策略服务器中获取垃圾邮件配置信息。
说明书 :
一种网络安全控制方法及系统
技术领域
[0001] 本发明涉及网络安全技术,尤其涉及无线数据网络的安全控制方法和系统。 背景技术
[0002] 随着无线数据网的应用,越来越多的人开始使用移动终端设备享受网络服务,现有的3GPP(3rd Generation Partnership Project,第三代移动通信标准化组织)、WLAN(Wireless Local Area Network,无线局域网)、WiMAX(Worldwide Interoperability Microwave Access,微波接入全球互通)中的安全机制可以为用户接入认证、业务传输安全提供保障,但由于应用服务提供者和IP(Internet Protocol,互联网协议)网络本身的开放性和安全漏洞,导致来自应用层面的安全威胁(如病毒、黑客攻击、用户信息盗用等)层出不穷,现有的无线数据网中的安全机制难以应付这些安全威胁。
[0003] 现有的网络安全机制采用防火墙、入侵监测系统等安全辅助设备,对黑客攻击、病毒入侵等威胁通过网络流量过滤、应用协议分析或者安全事件预警的方式进行安全响应,从而达到对网络进行安全防护的目的。例如,当发生病毒入侵或蠕虫传播时,一般所采取的手段是切断感染病毒的服务器设备或向所有用户提供有限的服务。由于现有技术主要是基于网络侧进行安全防护,当移动终端感染病毒、终端系统具有安全漏洞或者终端系统安全配置信息被窜改时,网络不能及时做出响应,例如不能基于前述移动终端侧的情况进行适当的安全控制,不仅终端无法得到及时修正,而且会影响到整个网络的安全性能。 发明内容
[0004] 本发明提供一种网络安全控制方法及系统,可以对终端侧的安全信息进行响应以提高系统的安全性能。
[0005] 在此基础上,本发明可以实现不同终端用户的差别化安全保护。 [0006] 根据本发明的一个方面,一种网络安全控制方法,包括:
[0007] 终端设备收集本地的安全信息并向服务器端上报;
[0008] 所述服务器端接收所述安全信息后进行解析,结合用户预先定购的安全服务的安全服务等级确定各终端设备对应的安全策略;
[0009] 所述服务器端采用所述安全策略通过网络接入设备对终端设备进行网络接入控制和/或服务接入控制。
[0010] 可选地,该方法还包括:所述服务器端将终端设备上报的安全信息发送给网络中的安全设备,安全设备根据接收到的安全信息执行安全响应,对网络进行安全防护。 [0011] 可选地,所述收集本地的安全信息为:收集本地的安全配置信息和/或安全事件信息。
[0012] 可选地,当所述终端设备收集的安全信息中包括安全事件信息时,终端设备根据预先设定的过滤规则对收集到的安全事件信息进行过滤,并将过滤后剩余的安全事件信息上报给服务器端。
[0013] 可选地,所述安全配置信息中包括系统安全配置信息和应用安全配置信息;所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
[0014] 可选地,所述服务器端接收所述安全信息采用的方式为中断方式或查询方式。 [0015] 可选地,该方法还包括:所述服务器端基于所述安全策略向终端设备提供安全服务。
[0016] 可选地,所述提供安全服务包括:进行安全攻击处理、进行安全配置更新或者提供安全报告。
[0017] 可选地,所述的服务器端接收所述安全信息后进行解析,为:对接收到的至少两个终端设备上报的安全信息进行综合分析。
[0018] 根据本发明的另一方面,一种网络安全控制系统,包括终端设备及与其连接的网络接入设备,和与所述网络接入设备相连的安全策略服务器,还包括: [0019] 安全代理单元,设置在终端设备侧,用于收集终端设备的安全信息并上报给安全策略服务器;
[0020] 所述安全策略服务器用于接收并解析所述安全代理单元上报的安全信息,获取与解析结果对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制;
[0021] 安全设备,与所述安全策略服务器连接,用于从安全策略服务器中获取安全信息,执行相应的安全响应,对网络进行安全防护。
[0022] 可选地,所述安全策略服务器解析所述安全代理单元上报的安全信息为:综合分析至少两个终端设备的安全代理单元上报的安全信息。
[0023] 可选地,所述安全代理单元包括:
[0024] 配置信息获取子单元,用于收集终端设备的安全配置信息并发送给安全策略服务器。
[0025] 可选地,所述配置信息获取子单元收集的安全配置信息包括系统安全配置信息和应用安全配置信息。
[0026] 可选地,所述安全代理单元还包括:
[0027] 事件信息获取子单元,用于收集终端设备的安全事件信息;
[0028] 事件信息过滤子单元,与所述事件信息获取子单元连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
[0029] 可选地,所述安全代理单元包括:
[0030] 事件信息获取子单元,用于收集终端设备的安全事件信息;
[0031] 事件信息过滤子单元,与所述事件信息获取子单元连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
[0032] 可选地,所述事件信息获取子单元收集的安全事件信息包括病毒事件信息、攻击事件信息和非法扫描信息。
[0033] 可选地,所述的安全代理单元为设置在终端设备内的功能模块,或者为系统中的独立功能实体。
[0034] 可选地,所述安全策略服务器包括数据库,记录用户定购的安全服务的安全服务等级;所述安全策略服务器获取与解析结果对应的安全策略时,结合用户预先定购的安全服务的安全服务等级确定各终端设备对应的安全策略。
[0035] 可选地,所述安全策略服务器和安全代理单元基于所述各终端设备对应的安全策略为终端设备提供安全服务。
[0036] 可选地,所述安全服务包括安全攻击处理、安全配置更新或者安全报告。 [0037] 根据本发明的再一方面,一种防垃圾邮件系统,包括邮件服务器及通过网络接入设备与邮件服务器连接的至少一个客户端,还包括:
[0038] 配置信息获取单元,设置在客户端中,用于获取客户端接收到的垃圾邮件的配置信息并发送;
[0039] 安全策略服务器,与网络接入设备连接,用于接收并存储配置信息获取单元发送的配置信息,以及根据该配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略控制网络接入设备过滤掉邮件服务器从网络中接收到的垃圾邮件;
[0040] 所述安全策略服务器包括:
[0041] 配置信息存储单元,用于接收并存储配置信息获取单元发出的配置信息; [0042] 配置信息处理单元,与配置信息存储单元连接,从配置信息存储单元中获取配置信息,根据该配置信息制定或更新垃圾邮件过滤策咯,利用该过滤策略控制网络接入设备过滤掉邮件服务器从网络中接收到的垃圾邮件。
[0043] 可选地,所述配置信息存储单元采用中断方式或查询方式从配置信息 获取单元中接收垃圾邮件配置信息;
[0044] 所述配置信息处理单元采用中断方式或查询方式从配置信息存储单元中读取垃圾邮件配置信息。
[0045] 可选地,所述系统还包括:
[0046] 邮件检测单元,与配置信息获取单元连接,用于对客户端接收到的邮件进行检测,识别出其中的垃圾邮件。
[0047] 可选地,所述邮件检测单元设置在所述客户端内,或者为所述系统中的独立实体。 [0048] 根据本发明的另外一方面,一种防垃圾邮件系统,包括邮件服务器及通过网络接入设备与邮件服务器连接的至少一个客户端,还包括:
[0049] 配置信息获取单元,设置在客户端中,用于获取客户端接收到的垃圾邮件的配置信息并发送;
[0050] 安全策略服务器,与网络接入设备连接,用于接收并存储配置信息获取单元发送的垃圾邮件配置信息;
[0051] 邮件过滤单元,与安全策略服务器连接,用于根据安全策略服务器输出的垃圾邮件配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略过滤掉从网络中接收到的垃圾邮件;
[0052] 所述客户端包括:
[0053] 邮件检测单元,与配置信息获取单元连接,用于对客户端接收到的邮件进行检测,识别出其中的垃圾邮件。
[0054] 可选地,所述邮件过滤单元设置在邮件服务器内或者通过通信接口与邮件服务器连接。
[0055] 可选地,所述邮件过滤单元连接在邮件服务器与因特网路由器之间。 [0056] 可选地,所述邮件检测单元设置在所述客户端内,或者为所述系统中的独立实体。 [0057] 可选地,所述安全策略服务器采用中断方式或查询方式从配置信息获 取单元中接收垃圾邮件配置信息;
[0058] 所述邮件过滤单元采用中断方式或查询方式从安全策略服务器中获取垃圾邮件配置信息。
[0059] 本发明的网络安全控制方法及系统通过终端设备收集本地安全信息并上报给关联的服务器端,服务器端分析终端设备的安全信息获取相应的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制,由于采用安全联动机制,根据来自终端设备侧的安全信息来制定安全策略,因此可以进行及时的响应,改善网络的安全性能。
[0060] 在本发明的优选方案中,服务器端获取安全策略的过程是在综合分析至少两个终端上报的安全信息的基础之上进行的,也就是说,所制定的安全策略综合分析了多个终端设备上报的安全信息,因此获得的安全策略在合理性方面较为完善。
[0061] 本发明的防垃圾邮件方法及系统利用客户端向关联的服务器上传的垃圾邮件配置信息制定垃圾邮件过滤规则,利用该过滤规则对接收到的邮件进行过滤,过滤掉其中的垃圾邮件。由于实现了服务器端与客户端的联动,且垃圾邮件配置信息直接来源于广大的客户端,保证了配置信息的真实有效并有足够的样本,从而可使服务器端制定出合理的垃圾邮件过滤规则,利用该过滤规则可以更加全面和准确的防御垃圾邮件的传播。 [0062] 更进一步,本发明的终端设备收集的安全信息中除了安全配置信息外还可以包括安全事件信息,从而使服务器端能够从每个终端设备中获取更多的有效信息量,因此能够制定出更为准确及合理的安全策略。
[0063] 此外,通过本发明,移动网络可以向移动终端提供有差别的应用安全服务,定购高安全服务等级的用户,可以得到更快的安全响应、更高质量和更优先的应用服务提供以及网络资源以完成安全升级,在保证移动网络安全性的同时,能够保证用户应用服务的质量。 [0064] 附图说明
[0065] 图1为本发明的网络安全系统的实施方式的组网结构示意图;
[0066] 图2为图1中所示的安全联动系统及其外部接口的示意图;
[0067] 图3为本发明实施例一的组网结构示意图;
[0068] 图4为本发明实施例一进行网络安全控制的流程图;
[0069] 图5本发明实施例二的组网结构示意图;
[0070] 图6为本发明实施例二进行网络安全控制的流程图;
[0071] 图7本发明实施例三的组网结构示意图;
[0072] 图8为本发明实施例三进行网络安全控制的流程图;
[0073] 图9本发明实施例四的组网结构示意图;
[0074] 图10为本发明实施例四进行网络安全控制的流程图;
[0075] 图11本发明实施例五的组网结构示意图;
[0076] 图12为本发明实施例五进行网络安全控制的流程图;
[0077] 图13为本发明实施例六的组网结构示意图;
[0078] 图14为本发明实施例六进行网络安全控制的流程图。
[0079] 图15为本发明中根据用户安全等级制定安全策略的实施例的流程图; [0080] 图16为本发明防垃圾邮件系统的实施例一的组网结构示意图; [0081] 图17为本发明防垃圾邮件方法的实施例一的流程图;
[0082] 图18为本发明防垃圾邮件系统的实施例二的组网结构示意图; [0083] 图19为本发明防垃圾邮件方法的实施例二的流程图;
[0084] 图20为本发明防垃圾邮件系统的实施例三的组网结构示意图; [0085] 图21为本发明防垃圾邮件方法的实施例三的流程图。
具体实施方式
[0086] 本发明基于无线数据网的安全联动系统(CRS,Correlative ReactingSystem)实现网络安全控制。
[0087] 安全联动系统是一种通过控制不安全移动终端(即不符合网络设定的安全策略的移动终端,例如有安全漏洞或感染病毒的的移动终端)的接入,以降低无线数据网络所遭受的安全威胁的系统,其实质是通过移动终端和网络侧的安全联动,对移动终端的网络接入进行控制,对移动终端的应用服务接入进行限制,从而为网络提供抵御病毒、网络攻击等安全威胁的能力。
[0088] 图1所示为安全联动系统的组网结构示意图,该系统主要包括移动终端侧的安全代理单元110、网络侧的安全策略服务器120、与安全策略服务器关联的网络接入设备(如网络接入控制器131和应用服务接入控制器132)。安全代理单元110和安全策略服务器120之间通过联动协议进行信息交互,构成安全联动系统的核心。
[0089] 其中,安全代理单元110用于收集来自移动终端10的安全信息,初步处理和组织上述信息,将其上报给安全策略服务器120。安全代理单元110还接收安全策略服务器120的安全更新命令和指示,一方面向用户报告移动终端的安全信息,另一方面为移动终端10提供必要的信息和配合,帮助修复不安全的移动终端。
[0090] 安全策略服务器120用于从安全代理单元110中获取到移动终端10的安全信息,根据来自移动终端10的安全信息采用相应的预设安全策略控制移动终端10的网络接入和应用服务接入,并与相关网络设备配合,协助移动终端10进行安全更新。 [0091] 所谓的安全策略是安全联动系统根据网络总体安全需求,针对各种特定安全威胁定义的防范措施的总和,主要包括网络接入控制策略和应用服务接入控制策略。 [0092] 网络接入控制策略是指安全策略服务器120通过与网络接入控制器131的联动,利用流量控制、限制访问、QoS(Quality of Service,业务质量)重配置等技术手段,实现对移动终端10接入网络的数据总流量的限制,以防止不安全的移动终端(例如有安全漏洞或感染病毒的移动终端)对网络资源的不合理占用,阻止恶意病毒在网络中传播。此外,对于来自外部ASP(Application Service Provider,应用服务提供商)的不安全服务 提供者的接入,安全策略服务器120也能够通过与网络接入控制器131(例如网络边界网关等)的联动,提供基于网络层的流量屏蔽。
[0093] 其中,限流是指将不安全的移动终端或者ASP的上/下行流量限制在某个预定值之内。根据网络侧联动设备的能力,还可以提供精确带宽整形等扩展控制方法。限制流量方式虽然不能够阻止病毒向网络大规模传播,但是能够防止病毒大规模爆发,避免运营网络很快瘫痪。
[0094] 阻断是指将不安全的移动终端或ASP直接阻断,禁止其接入网络。 [0095] 此外,还可以进行重定向处理。重定向是指对不安全移动终端或ASP的特定流量,通过网络接入控制器131重定向到其他专门的网络安全设备做进一步处理。例如为了不影响用户正常上网,将用户所有的上行流量重定向到一个防病毒网关,清除用户已感染蠕虫病毒的报文,然后转发用户正常的报文。根据网络侧联动设备的能力,还可以提供基于协议和状态的流量流分析的重定向功能。
[0096] 应用服务接入控制策略是指安全策略服务器120通过与应用服务接入控制器132的联动,对移动终端10进行基于应用层的服务接入控制。应用服务接入控制主要是限制移动终端的可用服务,保证移动终端和系统只运行必要的服务。基于服务的不同类型,实施服务接入控制的方法也应不同。
[0097] 此外,在终端侧的安全代理单元110可以与移动终端10相互配合,保证终端用户不能发起已经被禁用的服务,以进一步节约网络资源。
[0098] 为了对抗由不安全移动终端带来的网络安全威胁,提供从网络接入控制到应用服务控制的多层安全控制手段是非常必要的和有益的。网络接入控制可以与应用服务控制相互补充,同时弥补应用服务控制的局限性,有效控制网络蠕虫、黑客攻击等基于复杂机制的安全风险。而通过应用服务控制,可以从源头上阻止针对特定服务的攻击带来的网络流量冲击,有效阻止病毒在网络的传播。
[0099] 在此基础上,本发明的安全联动系统的一个实施例中,在确定安全策略时,不仅仅根据单个终端设备的安全信息进行安全控制,而是综合考虑网络中多个终端设备的安全信息,可以获得较多的信息量且信息源多样 化,采用此种方式确定的安全策略对终端设备进行网络接入控制及应用服务接入限制,其准确性与合理性较为完善。
[0100] 本发明在具体实施时,无线数据网络可以但不限于为WCDMA(Wideband Code Division Multiple Access,宽带码分多址)或者CDMA2000等,移动终端可以但不限于为通过空中接口与网络连接通信的移动电话或PDA(Personal Digital Assistant,个人数字助理)等。
[0101] 请一并参阅图2,安全联动系统通过安全联动服务接口与外部组件进行通信,包括终端侧安全代理单元110的安全代理外部接口111和网络侧安全策略服务器120的安全服务外部接口121。
[0102] 安全代理单元110通过安全代理外部接口111与终端的操作系统101以及SAS-A(Security Application Software Agent,安全应用软件代理)102相连。安全策略服务器120通过安全服务外部接口121与SAS-S(SecurityApplication Software Server,安全应用软件服务器)141以及TOS-S(Terminal Operating System Vulnerabilty Server,移动终端操作系统攻击服务器)142相连。
[0103] 安全策略服务器120还与外部网络的ASP 151、SAS-S 152以及TOS-S153连接通信。
[0104] 在安全策略服务器120中具有数据库122,保存用户的安全联动信息以及选择服务描述等,并提供安全联动服务所必须的固定用户信息,以及一些动态的用户安全状态、服务情况等信息。
[0105] 为了使本发明更加便于理解,以下对本发明进行进一步详细说明。 [0106] 实施例一:
[0107] 图3所示为本发明实施例一的组网结构示意图。安全联动系统包括设置在终端设备侧的安全代理单元110,以及设置在网络侧通过网络接入设备130与终端设备连接的安全策略服务器120。
[0108] 安全代理单元110可以为设置在终端设备内的功能模块,也可以为系统中的独立的功能实体。安全代理单元110中包括配置信息获取子单元112,用于收集终端设备的安全配置信息。
[0109] 安全策略服务器120存储有安全配置信息和预先定制的安全策略的对 应关系,安全策略通过综合考虑网络中多个终端设备的安全配置信息而确定。安全策略服务器120采用中断方式或查询方式接收安全代理单元110发出的安全配置信息,通过对至少两个终端设备上报的安全配置信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备130对终端设备进行网络接入控制和/或应用服务接入控制。 [0110] 图4为本发明实施例一进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
[0111] 步骤S10、在安全策略服务器上设置安全配置信息与安全策略的对应关系; [0112] 例如:安全策略服务器有可能发现大于或等于设定数目的终端设备上报了被篡改的安全配置信息,这种篡改是终端设备遭受了非法扫描事件引起的。为了避免网络中的其他终端遭受相同的非法扫描事件,在安全策略服务器上设置的与前述安全配置信息对应的安全策略为:向网络中所有终端设备提供针对该非法扫描事件的操作系统补丁,同时对安全配置信息被篡改的终端设备进行阻断,要求其在安装补丁后才能接入。 [0113] 步骤S11、收集终端设备的安全配置信息;
[0114] 设置在终端设备侧的安全代理单元中的配置信息获取子单元利用与终端设备操作系统及常规应用软件之间的通信接口收集终端设备的安全配置信息,主要包括系统配置信息和应用配置信息。
[0115] 步骤S12、安全策略服务器采用中断方式或查询方式接收至少两个终端设备发出的安全配置信息。
[0116] 步骤S13、安全策略服务器对接收到的多个终端设备的安全配置信息进行综合分析,根据步骤S10中设置的安全配置信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。
[0117] 网络接入策略包含以下方面:
[0118] 限流:将不安全终端设备的上/下行流量限制在某个预定值之内; [0119] 阻断:将不安全终端设备直接阻断,禁止其接入网络;
[0120] 重定向:通过网络接入设备将不安全终端设备的特定流量重定向到其 他专门的网络安全设备做进一步处理,例如,为不影响终端设备正常上网,将终端设备的所有上行流量重定向到一个防病毒网关,清除终端设备已感染蠕虫病毒的报文,然后转发用户正常的报文。
[0121] 应用服务接入策略为对移动终端的可用服务进行限制或禁用。 [0122] 步骤S14、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0123] 本实施例中,在安全策略服务器中确定安全策略时综合分析多个终端设备上报的安全配置信息,确定的安全策略在合理性方面较为完善。
[0124] 实施例二:
[0125] 图5所示为本发明实施例二的组网结构示意图。与实施例一相比,本实施例在网络侧增加了与安全策略服务器120连接的安全设备150。
[0126] 本实施例中,安全策略服务器120可将终端设备上报的安全配置信息发送给网络中的安全设备150,如防火墙、入侵监测装置、运维管理中心等,这些安全设备150根据接收到的安全信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
[0127] 在本实施例中,安全设备150通过控制路由器160达到对移动网络进行安全防护的目的。
[0128] 图6为本发明实施例二进行网络安全控制的流程图,其主要实现过程如下: [0129] 步骤S20至S22、与上述实施例一中的步骤S10至S12相似。
[0130] 在步骤S22后,安全策略服务器分别执行步骤S23和步骤S24。
[0131] 步骤S23、安全策略服务器将终端设备上报的安全配置信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S25。
[0132] 步骤S25、网络中的安全设备根据接收到的安全配置信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。 [0133] 步骤S24、安全策略服务器对接收到的多个终端设备的安全配置信息 进行综合分析,根据步骤S20中设置的安全配置信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S26。 [0134] 步骤S26、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0135] 与实施例一相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全配置信息,根据接收到的安全配置信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
[0136] 实施例三:
[0137] 图7所示为本发明实施例三的组网结构示意图。系统包括设置在终端设备侧的安全代理单元110,以及设置在网络侧通过网络接入设备130与终端设备连接的安全策略服务器120。
[0138] 安全代理单元110中包括事件信息获取子单元113、事件信息过滤子单元114和配置信息获取子单元112,其中事件信息获取子单元113用于收集终端设备的安全事件信息;事件信息过滤子单元114与事件信息获取子单元113连接,用于根据预先设定的事件信息的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息通过网络接入设备130发送给安全策略服务器120;配置信息获取子单元112用于收集终端设备的安全配置信息并发送给安全策略服务器120。
[0139] 安全策略服务器120中存储有安全事件信息、安全配置信息和预先定制的安全策略的对应关系。安全策略服务器120采用中断方式或查询方式接收安全代理单元110发出的安全事件信息和安全配置信息,通过对至少两个终端设备上报的安全事件信息和安全配置信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备130对终端设备进行网络接入控制和应用服务接入控制。
[0140] 图8所示为实施例三进行网络安全控制的流程图,其主要实现过程如下: [0141] 步骤S30、在安全策略服务器上设置终端的安全配置信息及安全事件 信息与安全策略的对应关系;
[0142] 例如:若安全策略服务器收到大于或等于设定数目的终端设备上报相同或相似的安全事件信息(如病毒事件、非法扫描事件等)时,由于多个终端设备遭受相同或相似的安全事件可能会导致网络的瘫痪,因此所设置的安全策略为:对上报安全事件信息的终端设备进行阻断,同时查看终端设备上报的安全配置信息,对其中上报未安装针对上述安全事件的安全补丁的终端设备进行安全更新。
[0143] 步骤S31、收集终端设备的安全配置信息和安全事件信息;
[0144] 设置在终端设备侧的安全代理单元中的配置信息获取子单元利用与终端设备操作系统及常规应用软件之间的通信接口收集终端设备的安全配置信息,主要包括系统配置信息和应用配置信息;
[0145] 安全代理单元中的事件信息获取子单元利用与终端设备上安全应用软件(如防火墙软件、杀毒软件、漏洞扫描软件和入侵检测软件等)之间的通信接口收集终端设备的安全事件信息,主要包括病毒事件、攻击事件和非法扫描事件等。
[0146] 步骤S32、安全代理单元中的事件信息过滤子单元根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的关键安全事件信息通过网络接入设备发送给安全策略服务器;配置信息获取子单元将安全配置信息发送给安全策略服务器。 [0147] 由于终端设备的安全事件信息的数目较多,若不进行过滤,其传输信息量会很大,因此应在安全代理单元中设置事件信息过滤子单元,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,以形成重要且传输信息量不大的关键安全事件信息;例如,针对非法扫描事件信息,设置扫描的端口数门限,如果扫描的端口数大于5,则认为此扫描为关键安全事件,此为过滤规则之一,针对不同的安全应用软件可设置不同的过滤规则。 [0148] 步骤S33、安全策略服务器采用中断方式或查询方式接收事件信息过滤子单元发出的关键安全事件信息以及配置信息获取子单元发出的安全配置信息。 [0149] 步骤S34、安全策略服务器对接收到的多个终端设备的安全配置信息 及安全事件信息进行综合分析,根据步骤S30中设置的安全配置信息及安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。 [0150] 步骤S35、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0151] 本实施例中终端设备同时向安全策略服务器提供了关键安全事件信息和安全配置信息,与实施例一相比,安全策略服务器能够从每个终端设备中获取更多的有效信息量,因此能够确定出更为准确及合理的安全策略。
[0152] 实施例四:
[0153] 图9所示为本发明实施例四的组网结构示意图,与实施例三相比,本实施例在网络侧增加了与安全策略服务器120连接的安全设备150。
[0154] 本实施例中,安全策略服务器120可将终端设备上报的安全配置信息及安全事件信息发送给网络中的安全设备150,如防火墙、入侵监测装置、运维管理中心等,这些安全设备150根据接收到的安全信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
[0155] 在本实施例中,安全设备150通过控制路由器160达到对移动网络进行安全防护的目的。
[0156] 图10为本发明实施例四的流程图,其主要实现过程如下:
[0157] 步骤S40至S43、与上述步骤S30至S33相似。
[0158] 在步骤S43后,安全策略服务器分别执行步骤S44和S45。
[0159] 步骤S44、安全策略服务器对接收到的多个终端设备的安全配置信息及安全事件信息进行综合分析,根据步骤S40中设置的安全配置信息及安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S46。
[0160] 步骤S46、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0161] 步骤S45、安全策略服务器将终端设备上报的安全配置信息及安全事 件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S47。 [0162] 步骤S47、网络中的安全设备根据接收到的安全配置信息及安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。
[0163] 与实施例三相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全配置信息及安全事件信息,根据接收到的安全配置信息及安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
[0164] 实施例五:
[0165] 图11所示为本发明实施例五的组网结构示意图。系统包括设置在终端设备侧的安全代理单元110,以及设置在网络侧通过网络接入设备130与终端设备连接的安全策略服务器120。
[0166] 安全代理单元110可以为设置在终端设备内的功能模块,也可以为系统中的独立的功能实体。安全代理单元110中包括事件信息获取子单元113和事件信息过滤子单元114。其中事件信息获取子单元113用于收集终端设备的安全事件信息;事件信息过滤子单元114与事件信息获取子单元113连接,用于根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息通过网络接入设备130发送给安全策略服务器120。
[0167] 安全策略服务器120存储有安全事件信息和预先定制的安全策略的对应关系。安全策略服务器120采用中断方式或查询方式接收安全代理单元110发出的安全事件信息,通过对至少两个终端设备上报的安全事件信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制。
[0168] 图12为本发明实施例五进行网络安全控制的流程图,其主要实现过程如下: [0169] 步骤S50、在安全策略服务器上设置安全事件信息与安全策略的对应 关系; [0170] 例如:若安全策略服务器收到大于或等于设定数目的终端设备上报相同或相似的安全事件信息(如病毒事件、非法扫描事件等)时,由于多个终端设备遭受相同或相似的安全事件可能会导致网络的瘫痪,因此所设置的安全策略为:在大于或等于设定数目的终端设备上报相同或相似的安全事件时,对上报安全事件信息的终端设备进行阻断,同时对网络中的其他终端设备进行流量控制。
[0171] 步骤S51、收集终端设备的安全事件信息;
[0172] 设置在终端设备侧的安全代理单元中的事件信息获取子单元利用与终端设备上安全应用软件(如防火墙软件、杀毒软件、漏洞扫描软件和入侵检测软件等)之间的通信接口收集终端设备的安全事件信息,主要包括病毒事件、攻击事件和非法扫描事件等。 [0173] 步骤S52、安全代理模块中的事件信息过滤子单元根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的关键安全事件信息通过网络接入设备发送给安全策略服务器。
[0174] 步骤S53、安全策略服务器中采用中断方式或查询方式接收至少两个终端设备发出的安全事件信息。
[0175] 步骤S54、安全策略服务器对接收到的多个终端设备的安全事件信息进行综合分析,根据步骤S50中设置的安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。
[0176] 步骤S55、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0177] 实施例六:
[0178] 图13所示为本发明实施例六的组网结构示意图,与实施例五相比,本实施例在网络侧增加了与安全策略服务器120连接的安全设备150。
[0179] 本实施例中,安全策略服务器120可将终端设备上报的安全事件信息发送给网络中的安全设备150,如防火墙、入侵监测装置、运维管理中心等,这些安全设备150根据接收到的安全事件信息通过网络流量过滤、应 用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
[0180] 在本实施例中安全设备150通过控制路由器160达到对移动网络进行安全防护的目的。
[0181] 图14为本发明实施例六进行网络安全控制的流程图,其主要实现过程如下: [0182] 步骤S60至S63、与上述步骤S50至S53相似。
[0183] 步骤S63后,安全策略服务器分别执行步骤S64和步骤S65。
[0184] 步骤S64、安全策略服务器对接收到的多个终端设备的安全事件信息进行综合分析,根据步骤S60中设置的安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S66。 [0185] 步骤S66、安全策略服务器利用确定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
[0186] 步骤S65、安全策略服务器将终端设备上报的安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S67。
[0187] 步骤S67、网络中的安全设备根据接收到的安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。 [0188] 与实施例五相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全事件信息,根据接收到的安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
[0189] 在此基础上,可以向用户提供有差别的应用安全服务,即为用户设定不同的安全服务等级,对于高安全服务等级服务的用户,可以得到更快的安全响应,更高质量和更优先的应用服务以及更多的网络资源以完成安全升级。具体地说,在安全策略的制定和实施中,进一步区分不同级别的安 全服务定购用户,这种区分在网络资源应对流量冲击时是有必要的。
[0190] 本发明中,在预设安全策略时,安全联动系统根据网络的总体安全策略,为不同的安全服务等级用户定制不同的安全策略,包括网络接入策略和应用服务控制策略。在确定和实施具体的安全策略时,针对网络资源和移动终端的安全状况进行不同处理。准则是用户向网络定购某一种安全服务等级,在其他条件相同时,等级越高网络提供的安全服务的质量越高,例如定购了高安全服务等级的用户,在接入服务时会受到更少的网络接入的限制,并能得到相应级别的安全机制保护其更安全的通信。
[0191] 在出现安全事件时,安全联动系统按照与用户定购的安全服务等级对应的安全策略,结合移动终端安全状况和网络资源状况,将安全策略内容映射到一个安全策略组中,例如相同服务等级、相同移动终端安全状况的用户对应到同一安全策略组,安全联动系统根据该安全策略组的内容完成安全控制。
[0192] 请一并参阅图15,是本发明中向用户提供差异化安全服务的实施例的流程图。 [0193] 步骤S910,用户向网络定购一定安全服务等级的安全服务,安全服务等级越高,网络提供的安全服务的质量越高。
[0194] 步骤S920,根据网络的总体安全策略,安全联动系统为用户定制满足其安全服务等级的安全策略,包括网络接入策略和应用服务控制策略。
[0195] 网络接入策略包含以下内容:
[0196] 流量控制:提供不同的网络带宽资源;对于可能恶意的用户流量,优先重定向到较高性能的网元进行处理,清除病毒后的用户数据包,以较高的优先级得到转发;必要的话,为用户提供网络专用安全通道;阻塞用户的门槛根据用户的安全服务等级设置,高安全服务等级的门槛要高一些,发生被阻塞流量的可能性较低;对安全服务等级的用户提供较高的安全信用额度。
[0197] QoS参数重配置:定购安全服务等级越高,重配置QoS参数导致的服务降低程度越小,优先保证高安全服务等级用户的QoS需求。
[0198] 限制访问:即只允许用户访问特定的安全目标地址或与正常网络隔离 的安全网段。高安全服务等级用户可访问的安全目标地址更多,安全网段更多。 [0199] 对于其他网络接入控制策略的设置也以高安全服务等级用户受到的影响更小为准则。
[0200] 应用服务控制策略包括:定购的应用服务不一定被禁用,仍能提供给高安全服务等级用户;对于存在安全风险的服务进行限制,如QoS参数、特定服务的流量上限等。另外,对高安全服务等级用户可以不限制其高峰时段的服务提供。对于第三方ASP提供的服务,限制其入网的下行流量。
[0201] 步骤S930,在安全策略的实施过程中,根据用户定购的安全服务等级为用户实施有差别的安全服务。
[0202] 以下分别在安全攻击处理、病毒库升级、系统漏洞升级等安全配置更新、安全代理单元更新以及安全报告等方面进行说明。
[0203] 在进行安全攻击处理时,安全代理单元发现病毒,形成消息发送到安全策略服务器,安全策略服务器判断移动终端为不安全移动终端时,制定实施相应的安全策略,该安全策略对应于用户定购的安全服务等级,同时根据用户的安全服务级别,进行不同详尽程度的安全日志。安全策略服务器按照其制定的差别对待安全策略,逐步进行有区别的策略实施。例如:
[0204] (1)根据病毒或攻击类型,判断是否为特定服务类型的攻击,进行各种流量控制。差别对待体现在对差别策略的各种控制措施的实施上,例如对于定购高安全服务等级的用户,除了一般的重定向外,还可以提供基于协议和状态的流量流分析的重定向功能,以帮助用户完成快速病毒发现和清除工作,而且尽量保证不影响用户的服务正常进行。 [0205] (2)判断是否处理得当,如果根据对移动终端安全信息的评估结果,仅使用网络接入控制无法完全控制威胁,则启动服务接入控制措施,包括禁用服务、限制服务等。 [0206] 在对病毒库升级、系统漏洞升级、系统安全配置等进行安全更新时,安全代理单元发现需要升级更新,则形成移动终端安全状态消息,发送给网络侧安全策略服务器;制定实施相应的安全策略,该安全策略对应于用户定购的安全服务等级,同时根据用户服务级别,进行不同详尽程度的安 全日志。安全策略服务器按照其制定的差别对待安全策略,逐步进行有区别的策略实施,例如:
[0207] (1)根据网络资源情况,优先安排为高级用户实施病毒库升级等更新。包括安全策略服务器与防病毒服务器等进行联动,同时帮助用户完成更新或配置;如果网络资源不足,则可能对低级用户延缓实施安全更新;
[0208] (2)如果有必要,安全策略服务器同时启动相应网络接入控制过程和应用服务控制过程。同样,这个实施过程也根据用户定购的安全服务等级进行差别提供。具体实施遵从安全策略服务器为该用户定制的安全策略。如果网络资源不足,则可能对低级用户实施较严格的接入控制和服务限制。
[0209] 在安全策略服务期需要更新安全代理单元时,根据用户等级以及网络资源情况,从高级到低级,逐步实施安全代理单元的版本更新过程。较低安全服务等级的用户可能被延迟享受更新服务,同时还有可能因此导致其应用业务服务质量降低。 [0210] 在安全报告方面,对于定购了高安全服务等级服务的用户,如果其请求,则通过网络侧提供一份相关信息的详尽报告。
[0211] 本发明的终端和服务器进行联动的思想的另一个具体的应用是防御垃圾邮件。本发明的防垃圾邮件方法及系统利用客户端向服务器上传的垃圾邮件配置信息制定垃圾邮件过滤规则,利用该过滤规则能够更加全面和准确的防御垃圾邮件。
[0212] 本发明在客户端将接收到的垃圾邮件的配置信息上报给与其关联的服务器端,由服务器端根据垃圾邮件配置信息制定垃圾邮件过滤策略,在服务器端从网络中接收电子邮件时,即可根据制定的过滤策略过滤掉电子邮件中的垃圾邮件。
[0213] 应用实例一:
[0214] 图16所示为本发明应用实例一的组网结构示意图。防垃圾邮件系统包括: [0215] 邮件服务器870,用于从网络中接收电子邮件,并对接收到的电子邮 件进行暂存。 [0216] 网络接入设备830,用于将客户端810发出的电子邮件转发给邮件服务器870,并且将邮件服务器870接收的电子邮件转发给指定的客户端,该网络接入设备830可以为有线通信系统中的宽带接入设备,也可以为无线通信系统中的无线数据支撑节点。 [0217] 至少一个客户端810,通过网络接入设备830与邮件服务器870连接,该客户端810可以为移动客户端,也可以为固定客户端,本发明在客户端侧设置有邮件检测单元880和配置信息获取单元813;
[0218] 安全策略服务器820,与网络接入设备830连接,包括配置信息存储单元822和配置信息处理单元823,用于接收并存储配置信息获取单元813发送的配置信息,以及根据该配置信息制定垃圾邮件过滤策略,利用该过滤策略控制网络接入设备830过滤掉邮件服务器870从网络中接收到的垃圾邮件。
[0219] 客户端侧的邮件检测单元880可以为设置在客户端内的功能模块,也可以为系统中的独立实体,用于对客户端810接收到的邮件进行检测,识别出其中的垃圾邮件;配置信息获取单元813通过通信接口与邮件检测单元880连接,通常设置在客户端810内,用于获取邮件检测单元880检测出的垃圾邮件的配置信息,并发送给网络接入设备830。 [0220] 安全策略服务器820中的配置信息存储单元822采用中断方式或查询方式接收配置信息获取单元813发送的配置信息,并对其进行存储;配置信息处理单元823采用中断方式或查询方式从配置信息存储单元822中读取垃圾邮件配置信息,根据该垃圾邮件配置信息制定或实时更新垃圾邮件过滤策略,并利用该过滤策略控制网络接入设备830过滤掉邮件服务器870从网络中接收到的垃圾邮件。
[0221] 图17为利用图16所示系统进行垃圾邮件防护的流程图,其主要实现过程如下: [0222] 步骤S100、客户端通过邮件检测单元检测接收到的电子邮件是否为垃圾邮件,若是,执行步骤S110将该邮件标识为垃圾邮件;随后执行步骤S120;否则,不予处理; [0223] 在邮件检测单元上设置过滤规则,对接收下来的电子邮件进行检查和匹配,可根据源地址、邮件主题、正文内容中的关键词等信息项来制定过滤规则,例如可以把正文内容中包括关键词“促销”的邮件过滤掉。
[0224] 步骤S120、配置信息获取单元获取具有垃圾邮件标识的邮件的配置信息,并将该配置信息通过网络接入设备发送给安全策略服务器中的配置信息存储单元; [0225] 所述垃圾邮件的配置信息至少包括邮件的源地址/目的地址、主题关键词、内容关键词中的一项。
[0226] 步骤S130、配置信息存储单元采用中断方式或查询方式接收配置信息获取单元输出的垃圾邮件配置信息,并对接收到的垃圾邮件配置信息进行存储;
[0227] 步骤S140、配置信息处理单元采用中断方式或查询方式读取配置信息存储单元中的垃圾邮件配置信息,根据该垃圾邮件配置信息制定或实时更新垃圾邮件过滤策略; [0228] 例如,由于垃圾邮件通常是群发的,所以在配置信息处理单元中可以根据上报同一源地址的客户端的数量设定垃圾邮件的封闭等级,最低等级为只封堵该地址向该客户端的邮件传递,最高等级为封堵该地址向所有客户端的邮件传递。
[0229] 步骤S150、配置信息处理单元根据所述垃圾邮件过滤策略控制网络接入设备过滤掉邮件服务器从网络中接收到的垃圾邮件;
[0230] 网络接入设备在配置信息处理单元的控制下,根据垃圾邮件过滤策略对垃圾邮件的源地址或端口执行相应处理,过滤掉邮件服务器从网络中接收到的垃圾邮件。 [0231] 应用实例二:
[0232] 图18所示为本发明防垃圾邮件系统应用实例二的组网结构示意图。防垃圾邮件系统主要包括:
[0233] 邮件服务器870,用于从网络中接收电子邮件,并对接收到的电子邮件进行暂存; [0234] 网络接入设备830,用于将客户端810发出的电子邮件转发给邮件服 务器870,并且将邮件服务器870接收的电子邮件转发给指定的客户端;
[0235] 至少一个客户端810,通过网络接入设备810与邮件服务器870连接,本发明在客户端侧设置有邮件检测单元880和配置信息获取单元813;
[0236] 安全策略服务器820,与网络接入设备830连接,其内部具有配置信息存储单元822,用于接收并存储配置信息获取单元813发送的配置信息;
[0237] 邮件过滤单元871,与安全策略服务器820连接,设置在邮件服务器870内或者通过通信接口与邮件服务器870连接,用于根据安全策略服务器820输出的垃圾邮件配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略过滤掉从网络中接收到的垃圾邮件。 [0238] 客户端侧的邮件检测单元880可以设置在客户端内,也可以为系统中的独立实体,用于对客户端810接收到的邮件进行检测,识别出其中的垃圾邮件;配置信息获取单元813通过通信接口与邮件检测单元880连接,通常设置在客户端810内,用于获取邮件检测单元检测出的垃圾邮件的配置信息,并发送给网络接入设备830。
[0239] 图19为利用图18所示系统进行垃圾邮件防护的流程图,其主要实现过程如下: [0240] 步骤S200、客户端通过邮件检测单元检测接收到的电子邮件是否为垃圾邮件,若是,执行步骤S210,将该邮件标识为垃圾邮件;随后执行步骤S220,否则,不予处理; [0241] 在邮件检测单元上设置过滤规则,对接收下来的电子邮件进行检查和匹配,过滤规则可根据源地址、邮件主题、正文内容中的关键词等信息项来制定。 [0242] 步骤S220、配置信息获取单元获取具有垃圾邮件标识的邮件的配置信息,并将该配置信息通过网络接入设备发送给配置信息存储单元;
[0243] 所述垃圾邮件的配置信息包括至少包括邮件的源地址/目的地址、主题关键词、内容关键词中的一项。
[0244] 步骤S230、配置信息存储单元采用中断或查询方式接收配置信息获取单元输出的垃圾邮件配置信息,对其进行存储。
[0245] 步骤S240、邮件过滤单元采用中断或查询方式读取配置信息存储单元 中的垃圾邮件配置信息,并根据该配置信息制定或实时更新垃圾邮件过滤策略; [0246] 例如,邮件过滤单元可将客户端上报的垃圾邮件源地址加入黑名单中,或者将垃圾邮件的主题关键词增加为过滤规则。
[0247] 步骤S250、邮件过滤单元根据所述垃圾邮件过滤策略对邮件服务器从网络中接收到的电子邮件进行识别,将识别出的垃圾邮件过滤掉。
[0248] 应用实例三:
[0249] 图20所示为本发明防垃圾邮件系统应用实例三的组网结构示意图。防垃圾邮件系统包括:
[0250] 邮件服务器870,用于从网络中接收电子邮件,并对接收到的电子邮件进行暂存; [0251] 网络接入设备830,用于将客户端810发出的电子邮件转发给邮件服务器870,并且将邮件服务器870接收的电子邮件转发给指定的客户端;
[0252] 至少一个客户端810,通过网络接入设备830与邮件服务器870连接,本发明在客户端侧设置有邮件检测单元880和配置信息获取单元813;
[0253] 安全策略服务器820,与网络接入设备830连接,其内部具有配置信息存储单元822,用于接收并存储配置信息获取单元813发送的配置信息;
[0254] 邮件过滤单元890,具备常规的邮件过滤能力,连接在邮件服务器870与因特网路由器860之间,并与安全策略服务器820连接,用于根据安全策略服务器820输出的垃圾邮件配置信息制定或更新垃圾邮件过滤策略,利用该过滤策略过滤掉从网络中接收到的垃圾邮件。
[0255] 客户端侧的邮件检测单元880可以设置在客户端内,也可以为系统中的独立实体,用于对客户端810接收到的邮件进行检测,识别出其中的垃圾邮件;配置信息获取单元813通过通信接口与邮件检测单元880连接,通常设置在客户端内,用于获取邮件检测单元
880检测出的垃圾邮件的配置信息,并发送给网络接入设备830。
880检测出的垃圾邮件的配置信息,并发送给网络接入设备830。
[0256] 图21为利用图20所示系统进行垃圾邮件防护的流程图,其主要实现过程如下: [0257] 步骤S300、客户端通过邮件检测单元检测接收到的电子邮件是否为垃 圾邮件,若是,执行步骤S310将该邮件标识为垃圾邮件;继续执行步骤S320,否则,不予处理; [0258] 在邮件检测单元上设置过滤规则,对接收下来的电子邮件进行检查和匹配,过滤规则根据源地址、邮件主题、正文内容中的关键词等信息项来制定。
[0259] 步骤S320、配置信息获取单元获取具有垃圾邮件标识的邮件的配置信息,并将该配置信息通过网络接入设备发送给配置信息存储单元;
[0260] 所述垃圾邮件的配置信息包括至少包括邮件的源地址/目的地址、主题关键词、内容关键词中的一项。
[0261] 步骤S330、配置信息存储单元采用中断方式或查询方式接收配置信息获取单元输出的垃圾邮件配置信息,对其进行存储。
[0262] 步骤S340、邮件过滤单元采用中断方式或查询方式读取配置信息存储单元中的垃圾邮件配置信息,根据该配置信息制定或更新垃圾邮件过滤策略。
[0263] 步骤S350、邮件过滤单元根据所述垃圾邮件过滤策略过滤掉从网络中接收到的垃圾邮件。
[0264] 本发明的防垃圾邮件的方法及系统可以和现有技术中其他防垃圾邮件的方式任意结合,从而可以使整个防垃圾邮件体系能够在更准确接收正常邮件的同时,更大程度上防止垃圾邮件的传输。
[0265] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。