CN1933392A - 一种提高局端-终端架构安全和性能的***及其方法 - Google Patents
一种提高局端-终端架构安全和性能的***及其方法 Download PDFInfo
- Publication number
- CN1933392A CN1933392A CN 200610062157 CN200610062157A CN1933392A CN 1933392 A CN1933392 A CN 1933392A CN 200610062157 CN200610062157 CN 200610062157 CN 200610062157 A CN200610062157 A CN 200610062157A CN 1933392 A CN1933392 A CN 1933392A
- Authority
- CN
- China
- Prior art keywords
- local side
- data
- security strategy
- side apparatus
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种提高局端-终端架构安全和性能的***及其方法,该***包括局端设备和终端设备,所述局端设备集中向终端设备下发安全策略,所述终端设备根据下发的安全策略设置本地的安全策略,在终端设备上根据安全策略对用户访问网络的数据进行安全检查,符合安全策略的合法数据允许进入网络并发送至局端设备,不符合安全策略的非法数据被安全处理。在本发明中,通过局端设备引入安全策略并集中向终端设备下发安全策略,使安全策略在终端设备上生效,从而使用户攻击网络的数据在进入网络前即被安全策略过滤,防止***网络带宽、局端设备甚至整个***受到攻击,保护***资源,提高接入网,特别是局端终端架构***的安全性和综合性能。
Description
技术领域
本发明涉及通信领域,具体来说,涉及到一种提高局端-终端架构安全和性能的***及其方法。
背景技术
随着宽带网络的飞速发展以及各种高带宽业务和应用的不断出现,使接入网技术越来越受到大家的关注,在接入网***中典型的有无源光网络(PON)***、非对称数字用户环路(ADSL/ADSL2+)***等。这类***有一个共同的特征,即它们由局端设备和终端设备组成,是一种典型的局端-终端架构模型的***。
网络的安全一直是运营商和企业在部署、运营网络时候重点考虑的内容之一,目前局端-终端架构类型***的安全方案通常采用的方法之一是在局端设备引入安全策略并进行安全策略检查的方案,该方法如下:
(1)在局端设备上配置安全策略或者通过策略服务器将安全策略下发给局端设备;
(2)用户接入网络的数据经过终端设备接入网络,传送到局端设备再进行安全策略检查,并进行相应的安全处理。
但是,该现有技术中存在以下问题:首先,现有技术仅能将网络安全控制在局端级或以上,用户产生的攻击行为直接作用到局端***,因局端设备通常有很多用户接入,攻击对其他用户可能存在较大影响;其次,现有技术方案不能保护局端到用户端之间的接入网络,如在无源光网络***中,用户的攻击直接消耗无源光网络***上行共享部分的带宽,降低网络性能。
目前还有另外一种局端-终端架构类型***的安全方案,即是在终端设备上引入安全策略并进行安全策略检查,这样可以有效地防止用户产生的攻击数据占用终端到局端之间的资源,但是采用这种方案,需采用人工方式逐个到终端设备上进行安全配置,如此,工作量巨大且不易维护和管理。
因此,有必要对现有技术进行改进以适应实际应用的需要。
发明内容
本发明的目的在于提供一种提高局端-终端架构安全和性能的***及其方法,通过在终端设备上部署安全策略,即通过预先的、分布式的安全检查来防止***网络受到攻击,以解决现有技术中的问题。
为实现上述目的,本发明采用如下的技术方案:一种提高局端-终端架构安全和性能的方法,它包括以下步骤:
A、在局端设备上配置安全策略或通过策略服务器下发相关安全策略;
B、由局端设备集中向各终端设备下发该安全策略;
C、终端设备根据下发的安全策略来设置自己的本地安全策略,用户产生数据访问网络,终端设备接收用户数据并根据本地安全策略对用户数据进行安全性检查,符合安全策略的用户数据为合法数据,不符合安全策略的用户数据为非法数据;
D、合法数据向局端设备发送,非法数据被丢弃或者根据用户需要由终端设备向局端设备发送告警信息;以及
E、局端设备对接收到的合法数据进行业务处理,并将业务处理后的数据发送给互联网其他设备。
一种提高局端-终端架构安全和性能的方法,其特征在于,它包括策略下发阶段和策略应用阶段,所述策略下发阶段,安全策略在局端设备引入,通过局端设备与终端设备的交互将安全策略从局端设备集中下发到终端设备,安全策略在终端设备生效,所述策略应用阶段,通过终端设备上的安全策略对用户访问网络的数据进行安全检查,符合安全策略的合法数据向局端设备发送,不符合安全策略的非法数据被安全处理。
一种提高局端-终端架构安全和性能的***,包括局端设备和终端设备,所述局端设备集中向终端设备下发安全策略,所述终端设备根据下发的安全策略设置本地的安全策略,该终端设备根据安全策略对用户访问网络的数据进行安全检查,符合安全策略的合法数据则允许进入网络并发送至局端设备,不符合安全策略的非法数据被丢弃或者根据用户需要由终端设备向局端设备发送告警信息。
本发明的有益效果如下:通过在终端设备上部署安全策略,使用户攻击网络的数据在进入网络前即被安全策略过滤,防止***网络带宽、局端设备甚至整个***受到攻击,保护***资源,提高接入网,特别是局端-终端架构***的安全性和综合性能;而且,在局端设备上引入安全策略,通过局端设备与终端设备交互将安全策略集中下发到终端设备,使安全策略在终端设备上生效,避免了采用人工方式逐个到终端设备上进行安全策略的配置,大大节省了人力成本,提高了整个***的工作效率,更便于***运行过程中的维护和管理。
附图说明
图1是本发明局端终端架构***的示意图。
图2是本发明在PON***上实现的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1所示为本发明局端-终端的架构***,本发明局端-终端架构的通信设备***中,包括局端设备和终端设备,安全策略在局端设备上引入,通过局端设备与终端设备交互将安全策略集中下发到终端设备,使安全策略在终端设备上生效,终端设备依据安全策略对接入的数据进行安全性检查,不符合安全策略的非法数据被丢弃,或者根据用户需要由终端设备向局端设备发送trap或告警信息,符合安全策略的合法数据则允许进入网络并发送至局端设备,局端设备收到所述合法数据后进行相应业务处理,经过局端设备业务处理后的数据被发送给互连网络设备,所述的业务处理是指业务应用的处理,它不需根据安全策略来判定数据是否需要拒绝或者允许。
上述提及的安全策略是指为保证提供一定级别的安全,在一定级别上授予某些权限时所必需遵循的规则,是安全设置的组合。
再参图1所示,本发明提高局端-终端架构***安全和性能的方法包括策略下发和策略应用两个阶段:
策略下发:(1)在局端设备上配置安全策略或通过策略服务器下发相关安全策略;(2)由局端设备集中向各终端设备下发该安全策略,即在某一个时间段统一向下发送安全策略;(3)终端设备根据下发的安全策略来设置本地安全策略,使安全策略在终端设备上生效,以用于对接收到的用户数据进行安全性检;
策略应用:当(4)用户产生数据访问网络或者攻击网络时;(5)终端设备在收到数据后根据各终端的本地安全策略对用户数据进行安全检查处理,即检查用户数据的可识别特征,判断用户数据是否符合在终端设备上部署的安全策略,是否具有访问网络资源的权限;(6)经过检查后符合安全策略的合法数据向局端设备发送,不符合安全策略的非法数据被丢弃,或者根据用户需要由终端设备向局端设备发送trap或告警信息;(7)局端设备收到上述合法数据后进行业务应用的处理;(8)经过局端设备业务处理后的数据被发送给互连网络设备。
图2所示为本发明在PON(Passive Optical Network,无源光网络)***上的实现。在策略下发阶段,首先通过本地或者策略服务器将安全策略下发给PON***的OLT(Optical Line Terminal,局端设备),然后OLT通过OAM(Operations Administration & Maintenance)通道将安全策略下发给PON***的ONU(Optical Network Unit,终端设备),ONU根据下发的安全策略设置本地安全策略;在策略应用阶段,当用户上网或恶意攻击网络时,ONU根据安全策略对用户的数据进行安全检查处理,不符合安全检查的非法数据被ONU过滤并统计丢弃,符合安全检查的合法数据被ONU允许进入PON网络并传送给OLT,合法数据在OLT进行相关业务处理后转发给互连网络设备。
综上,本发明通过在终端设备上部署安全策略,即在局端设备上引入安全策略,通过局端设备与终端设备交互将安全策略集中下发到终端设备,使安全策略在终端设备上生效,防止了***网络带宽、局端设备甚至整个***受到攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种提高局端-终端架构安全和性能的方法,其特征在于,它包括以下步骤:
A、在局端设备上配置安全策略或通过策略服务器向局端设备下发相关安全策略;
B、由局端设备集中向各终端设备下发该安全策略;以及
C、终端设备根据下发的安全策略设置本地安全策略,以用于对接收到的用户数据进行安全性检查。
2、根据权利要求1所述的提高局端-终端架构安全和性能的方法,其特征在于:所述步骤C中,用户产生数据访问网络,终端设备接收用户数据并根据本地安全策略对用户数据进行安全性检查,符合安全策略的用户数据为合法数据,不符合安全策略的用户数据为非法数据。
3、根据权利要求3所述的提高局端-终端架构安全和性能的方法,其特征在于:所述方法还包括:
D、合法数据向局端设备发送,非法数据被安全处理。
4、根据权利要求4所述的提高局端-终端架构安全和性能的方法,其特征在于:所述步骤D中,非法数据被安全处理包括非法数据被丢弃、根据需要由终端设备向局端设备发送trap或者发送告警信息。
5、根据权利要求4所述的提高局端-终端架构安全和性能的方法,其特征在于:所述方法还包括:
E、局端设备对接收到的合法数据进行业务处理,并将业务处理后的数据发送给互联网其他设备。
6、一种提高局端-终端架构安全和性能的方法,其特征在于,它包括策略下发阶段和策略应用阶段,所述策略下发阶段,将安全策略在局端设备引入,通过局端设备与终端设备的交互将安全策略从局端设备集中下发到终端设备,安全策略在终端设备生效,所述策略应用阶段,通过终端设备上的安全策略对用户访问网络的数据进行安全检查,符合安全策略的合法数据向局端设备发送,不符合安全策略的非法数据被安全处理。
7、根据权利要求6所述的提高局端-终端架构安全和性能的方法,其特征在于:所述策略下发阶段,具体包括在局端设备上配置安全策略或通过策略服务器向局端设备下发相关安全策略,由局端设备集中向各终端设备下发该安全策略,终端设备根据下发的安全策略来设置自己的本地安全策略。
8、根据权利要求6所述的提高局端-终端架构安全和性能的方法,其特征在于:所述合法数据向局端设备发送,局端设备对接收到的合法数据进行业务处理,并将业务处理后的数据发送给互联网其他设备,所述非法数据被安全处理包括非法数据被丢弃、根据用户需要由终端设备向局端设备发送trap或者发送告警信息。
9、一种提高局端-终端架构安全和性能的***,包括局端设备和终端设备,其特征在于:所述终端设备上设置安全策略,所述局端设备引入安全策略并集中向终端设备下发安全策略,所述终端设备根据下发的安全策略来设置本地安全策略,以用于对接收到的用户数据进行安全性检查。
10、根据权利要求9所述的提高局端-终端架构安全和性能的***,其特征在于:所述终端设备根据本地安全策略对用户访问网络的数据进行安全检查,符合安全策略的合法数据则允许进入网络并发送至局端设备,不符合安全策略的非法数据被丢弃,或者根据用户需要由终端设备向局端设备发送trap或告警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610062157 CN1933392A (zh) | 2006-08-16 | 2006-08-16 | 一种提高局端-终端架构安全和性能的***及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610062157 CN1933392A (zh) | 2006-08-16 | 2006-08-16 | 一种提高局端-终端架构安全和性能的***及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1933392A true CN1933392A (zh) | 2007-03-21 |
Family
ID=37879032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610062157 Pending CN1933392A (zh) | 2006-08-16 | 2006-08-16 | 一种提高局端-终端架构安全和性能的***及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1933392A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101859373A (zh) * | 2010-04-28 | 2010-10-13 | 国网电力科学研究院 | 一种移动可信终端安全接入方法 |
| CN101123493B (zh) * | 2007-09-20 | 2011-11-09 | 杭州华三通信技术有限公司 | 网络接入控制应用***的安全检查方法及安全策略服务器 |
| CN101562541B (zh) * | 2009-05-19 | 2012-05-23 | 杭州华三通信技术有限公司 | 一种统一管理方法和装置 |
| CN101729531B (zh) * | 2009-03-16 | 2016-04-13 | 中兴通讯股份有限公司 | 网络安全策略分发方法、装置及*** |
| CN108667857A (zh) * | 2018-08-28 | 2018-10-16 | 深信服科技股份有限公司 | 一种安全策略维护方法及***、服务端、客户端 |
| CN110099314A (zh) * | 2019-04-30 | 2019-08-06 | 广东省广播电视网络股份有限公司中山分公司 | 基于光纤和同轴电缆的网络***及其控制方法 |
-
2006
- 2006-08-16 CN CN 200610062157 patent/CN1933392A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123493B (zh) * | 2007-09-20 | 2011-11-09 | 杭州华三通信技术有限公司 | 网络接入控制应用***的安全检查方法及安全策略服务器 |
| CN101729531B (zh) * | 2009-03-16 | 2016-04-13 | 中兴通讯股份有限公司 | 网络安全策略分发方法、装置及*** |
| CN101562541B (zh) * | 2009-05-19 | 2012-05-23 | 杭州华三通信技术有限公司 | 一种统一管理方法和装置 |
| CN101859373A (zh) * | 2010-04-28 | 2010-10-13 | 国网电力科学研究院 | 一种移动可信终端安全接入方法 |
| CN108667857A (zh) * | 2018-08-28 | 2018-10-16 | 深信服科技股份有限公司 | 一种安全策略维护方法及***、服务端、客户端 |
| CN110099314A (zh) * | 2019-04-30 | 2019-08-06 | 广东省广播电视网络股份有限公司中山分公司 | 基于光纤和同轴电缆的网络***及其控制方法 |
| CN110099314B (zh) * | 2019-04-30 | 2021-08-10 | 广东省广播电视网络股份有限公司中山分公司 | 基于光纤和同轴电缆的网络***及其控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104063473B (zh) | 一种数据库审计监测***及其方法 | |
| CN107395570B (zh) | 基于大数据管理分析的云平台审计*** | |
| US20050207413A1 (en) | Method and apparatus for rapid location of anomalies in IP traffic logs | |
| CN1933392A (zh) | 一种提高局端-终端架构安全和性能的***及其方法 | |
| CN105656903A (zh) | 一种Hive平台的用户安全管理***及应用 | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| CN102123396A (zh) | 基于通信网的手机病毒和恶意软件的云检测方法 | |
| Iyengar et al. | A multilevel thrust filtration defending mechanism against DDoS attacks in cloud computing environment | |
| CN110362992A (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| CN109165508A (zh) | 一种外部设备访问安全控制***及其控制方法 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施***及方法 | |
| CN114268457A (zh) | 一种多规约多业务公网安全接入方法 | |
| CN109600395A (zh) | 一种终端网络接入控制***的装置及实现方法 | |
| Agubor et al. | Security challenges to telecommunication networks: An overview of threats and preventive strategies | |
| KR100722720B1 (ko) | 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법 | |
| CN1627708A (zh) | 具有远程入侵检测能力的接入复用器 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| RU2675900C1 (ru) | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам | |
| CN111262815A (zh) | 一种虚拟主机管理*** | |
| CN112445758A (zh) | 一种智慧企业档案信息管理*** | |
| Lin et al. | Research on the vulnerability of software defined network | |
| CN111314307A (zh) | 物联网***的安全防御方法、物联网***及存储介质 | |
| CN114143077B (zh) | 一种终端安全防护方法及装置 | |
| CN115174219B (zh) | 一种可适配多种工业防火墙的管理*** | |
| Stanton | Secure VoIP–an achievable goal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070321 |