專利名稱：一種提高局端－終端架構(gòu)安全和性能的系統(tǒng)及其方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域，具體來說，涉及到一種提高局端-終端架構(gòu)安全和性能的系統(tǒng)及其方法。
背景技術(shù)：
隨著寬帶網(wǎng)絡(luò)的飛速發(fā)展以及各種高帶寬業(yè)務(wù)和應(yīng)用的不斷出現(xiàn)，使接入網(wǎng)技術(shù)越來越受到大家的關(guān)注，在接入網(wǎng)系統(tǒng)中典型的有無源光網(wǎng)絡(luò)(PON)系統(tǒng)、非對稱數(shù)字用戶環(huán)路(ADSL/ADSL2+)系統(tǒng)等。這類系統(tǒng)有一個共同的特征，即它們由局端設(shè)備和終端設(shè)備組成，是一種典型的局端-終端架構(gòu)模型的系統(tǒng)。
網(wǎng)絡(luò)的安全一直是運營商和企業(yè)在部署、運營網(wǎng)絡(luò)時候重點考慮的內(nèi)容之一，目前局端-終端架構(gòu)類型系統(tǒng)的安全方案通常采用的方法之一是在局端設(shè)備引入安全策略并進行安全策略檢查的方案，該方法如下(1)在局端設(shè)備上配置安全策略或者通過策略服務(wù)器將安全策略下發(fā)給局端設(shè)備；(2)用戶接入網(wǎng)絡(luò)的數(shù)據(jù)經(jīng)過終端設(shè)備接入網(wǎng)絡(luò)，傳送到局端設(shè)備再進行安全策略檢查，并進行相應(yīng)的安全處理。
但是，該現(xiàn)有技術(shù)中存在以下問題首先，現(xiàn)有技術(shù)僅能將網(wǎng)絡(luò)安全控制在局端級或以上，用戶產(chǎn)生的攻擊行為直接作用到局端系統(tǒng)，因局端設(shè)備通常有很多用戶接入，攻擊對其他用戶可能存在較大影響；其次，現(xiàn)有技術(shù)方案不能保護局端到用戶端之間的接入網(wǎng)絡(luò)，如在無源光網(wǎng)絡(luò)系統(tǒng)中，用戶的攻擊直接消耗無源光網(wǎng)絡(luò)系統(tǒng)上行共享部分的帶寬，降低網(wǎng)絡(luò)性能。
目前還有另外一種局端-終端架構(gòu)類型系統(tǒng)的安全方案，即是在終端設(shè)備上引入安全策略并進行安全策略檢查，這樣可以有效地防止用戶產(chǎn)生的攻擊數(shù)據(jù)占用終端到局端之間的資源，但是采用這種方案，需采用人工方式逐個到終端設(shè)備上進行安全配置，如此，工作量巨大且不易維護和管理。
因此，有必要對現(xiàn)有技術(shù)進行改進以適應(yīng)實際應(yīng)用的需要。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種提高局端-終端架構(gòu)安全和性能的系統(tǒng)及其方法，通過在終端設(shè)備上部署安全策略，即通過預(yù)先的、分布式的安全檢查來防止系統(tǒng)網(wǎng)絡(luò)受到攻擊，以解決現(xiàn)有技術(shù)中的問題。
為實現(xiàn)上述目的，本發(fā)明采用如下的技術(shù)方案一種提高局端-終端架構(gòu)安全和性能的方法，它包括以下步驟A、在局端設(shè)備上配置安全策略或通過策略服務(wù)器下發(fā)相關(guān)安全策略；B、由局端設(shè)備集中向各終端設(shè)備下發(fā)該安全策略；C、終端設(shè)備根據(jù)下發(fā)的安全策略來設(shè)置自己的本地安全策略，用戶產(chǎn)生數(shù)據(jù)訪問網(wǎng)絡(luò)，終端設(shè)備接收用戶數(shù)據(jù)并根據(jù)本地安全策略對用戶數(shù)據(jù)進行安全性檢查，符合安全策略的用戶數(shù)據(jù)為合法數(shù)據(jù)，不符合安全策略的用戶數(shù)據(jù)為非法數(shù)據(jù)；D、合法數(shù)據(jù)向局端設(shè)備發(fā)送，非法數(shù)據(jù)被丟棄或者根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送告警信息；以及E、局端設(shè)備對接收到的合法數(shù)據(jù)進行業(yè)務(wù)處理，并將業(yè)務(wù)處理后的數(shù)據(jù)發(fā)送給互聯(lián)網(wǎng)其他設(shè)備。
一種提高局端-終端架構(gòu)安全和性能的方法，其特征在于，它包括策略下發(fā)階段和策略應(yīng)用階段，所述策略下發(fā)階段，安全策略在局端設(shè)備引入，通過局端設(shè)備與終端設(shè)備的交互將安全策略從局端設(shè)備集中下發(fā)到終端設(shè)備，安全策略在終端設(shè)備生效，所述策略應(yīng)用階段，通過終端設(shè)備上的安全策略對用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)進行安全檢查，符合安全策略的合法數(shù)據(jù)向局端設(shè)備發(fā)送，不符合安全策略的非法數(shù)據(jù)被安全處理。
一種提高局端-終端架構(gòu)安全和性能的系統(tǒng)，包括局端設(shè)備和終端設(shè)備，所述局端設(shè)備集中向終端設(shè)備下發(fā)安全策略，所述終端設(shè)備根據(jù)下發(fā)的安全策略設(shè)置本地的安全策略，該終端設(shè)備根據(jù)安全策略對用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)進行安全檢查，符合安全策略的合法數(shù)據(jù)則允許進入網(wǎng)絡(luò)并發(fā)送至局端設(shè)備，不符合安全策略的非法數(shù)據(jù)被丟棄或者根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送告警信息。
本發(fā)明的有益效果如下通過在終端設(shè)備上部署安全策略，使用戶攻擊網(wǎng)絡(luò)的數(shù)據(jù)在進入網(wǎng)絡(luò)前即被安全策略過濾，防止系統(tǒng)網(wǎng)絡(luò)帶寬、局端設(shè)備甚至整個系統(tǒng)受到攻擊，保護系統(tǒng)資源，提高接入網(wǎng)，特別是局端-終端架構(gòu)系統(tǒng)的安全性和綜合性能；而且，在局端設(shè)備上引入安全策略，通過局端設(shè)備與終端設(shè)備交互將安全策略集中下發(fā)到終端設(shè)備，使安全策略在終端設(shè)備上生效，避免了采用人工方式逐個到終端設(shè)備上進行安全策略的配置，大大節(jié)省了人力成本，提高了整個系統(tǒng)的工作效率，更便于系統(tǒng)運行過程中的維護和管理。


圖1是本發(fā)明局端終端架構(gòu)系統(tǒng)的示意圖。
圖2是本發(fā)明在PON系統(tǒng)上實現(xiàn)的示意圖。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
圖1所示為本發(fā)明局端-終端的架構(gòu)系統(tǒng)，本發(fā)明局端-終端架構(gòu)的通信設(shè)備系統(tǒng)中，包括局端設(shè)備和終端設(shè)備，安全策略在局端設(shè)備上引入，通過局端設(shè)備與終端設(shè)備交互將安全策略集中下發(fā)到終端設(shè)備，使安全策略在終端設(shè)備上生效，終端設(shè)備依據(jù)安全策略對接入的數(shù)據(jù)進行安全性檢查，不符合安全策略的非法數(shù)據(jù)被丟棄，或者根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送trap或告警信息，符合安全策略的合法數(shù)據(jù)則允許進入網(wǎng)絡(luò)并發(fā)送至局端設(shè)備，局端設(shè)備收到所述合法數(shù)據(jù)后進行相應(yīng)業(yè)務(wù)處理，經(jīng)過局端設(shè)備業(yè)務(wù)處理后的數(shù)據(jù)被發(fā)送給互連網(wǎng)絡(luò)設(shè)備，所述的業(yè)務(wù)處理是指業(yè)務(wù)應(yīng)用的處理，它不需根據(jù)安全策略來判定數(shù)據(jù)是否需要拒絕或者允許。
上述提及的安全策略是指為保證提供一定級別的安全，在一定級別上授予某些權(quán)限時所必需遵循的規(guī)則，是安全設(shè)置的組合。
再參圖1所示，本發(fā)明提高局端-終端架構(gòu)系統(tǒng)安全和性能的方法包括策略下發(fā)和策略應(yīng)用兩個階段策略下發(fā)(1)在局端設(shè)備上配置安全策略或通過策略服務(wù)器下發(fā)相關(guān)安全策略；(2)由局端設(shè)備集中向各終端設(shè)備下發(fā)該安全策略，即在某一個時間段統(tǒng)一向下發(fā)送安全策略；(3)終端設(shè)備根據(jù)下發(fā)的安全策略來設(shè)置本地安全策略，使安全策略在終端設(shè)備上生效，以用于對接收到的用戶數(shù)據(jù)進行安全性檢；策略應(yīng)用當(dāng)(4)用戶產(chǎn)生數(shù)據(jù)訪問網(wǎng)絡(luò)或者攻擊網(wǎng)絡(luò)時；(5)終端設(shè)備在收到數(shù)據(jù)后根據(jù)各終端的本地安全策略對用戶數(shù)據(jù)進行安全檢查處理，即檢查用戶數(shù)據(jù)的可識別特征，判斷用戶數(shù)據(jù)是否符合在終端設(shè)備上部署的安全策略，是否具有訪問網(wǎng)絡(luò)資源的權(quán)限；(6)經(jīng)過檢查后符合安全策略的合法數(shù)據(jù)向局端設(shè)備發(fā)送，不符合安全策略的非法數(shù)據(jù)被丟棄，或者根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送trap或告警信息；(7)局端設(shè)備收到上述合法數(shù)據(jù)后進行業(yè)務(wù)應(yīng)用的處理；(8)經(jīng)過局端設(shè)備業(yè)務(wù)處理后的數(shù)據(jù)被發(fā)送給互連網(wǎng)絡(luò)設(shè)備。
圖2所示為本發(fā)明在PON(Passive Optical Network，無源光網(wǎng)絡(luò))系統(tǒng)上的實現(xiàn)。在策略下發(fā)階段，首先通過本地或者策略服務(wù)器將安全策略下發(fā)給PON系統(tǒng)的OLT(Optical Line Terminal，局端設(shè)備)，然后OLT通過OAM(Operations Administration & Maintenance)通道將安全策略下發(fā)給PON系統(tǒng)的ONU(Optical Network Unit，終端設(shè)備)，ONU根據(jù)下發(fā)的安全策略設(shè)置本地安全策略；在策略應(yīng)用階段，當(dāng)用戶上網(wǎng)或惡意攻擊網(wǎng)絡(luò)時，ONU根據(jù)安全策略對用戶的數(shù)據(jù)進行安全檢查處理，不符合安全檢查的非法數(shù)據(jù)被ONU過濾并統(tǒng)計丟棄，符合安全檢查的合法數(shù)據(jù)被ONU允許進入PON網(wǎng)絡(luò)并傳送給OLT，合法數(shù)據(jù)在OLT進行相關(guān)業(yè)務(wù)處理后轉(zhuǎn)發(fā)給互連網(wǎng)絡(luò)設(shè)備。
綜上，本發(fā)明通過在終端設(shè)備上部署安全策略，即在局端設(shè)備上引入安全策略，通過局端設(shè)備與終端設(shè)備交互將安全策略集中下發(fā)到終端設(shè)備，使安全策略在終端設(shè)備上生效，防止了系統(tǒng)網(wǎng)絡(luò)帶寬、局端設(shè)備甚至整個系統(tǒng)受到攻擊。
以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種提高局端-終端架構(gòu)安全和性能的方法，其特征在于，它包括以下步驟A、在局端設(shè)備上配置安全策略或通過策略服務(wù)器向局端設(shè)備下發(fā)相關(guān)安全策略；B、由局端設(shè)備集中向各終端設(shè)備下發(fā)該安全策略；以及C、終端設(shè)備根據(jù)下發(fā)的安全策略設(shè)置本地安全策略，以用于對接收到的用戶數(shù)據(jù)進行安全性檢查。
2.根據(jù)權(quán)利要求1所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述步驟C中，用戶產(chǎn)生數(shù)據(jù)訪問網(wǎng)絡(luò)，終端設(shè)備接收用戶數(shù)據(jù)并根據(jù)本地安全策略對用戶數(shù)據(jù)進行安全性檢查，符合安全策略的用戶數(shù)據(jù)為合法數(shù)據(jù)，不符合安全策略的用戶數(shù)據(jù)為非法數(shù)據(jù)。
3.根據(jù)權(quán)利要求3所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述方法還包括D、合法數(shù)據(jù)向局端設(shè)備發(fā)送，非法數(shù)據(jù)被安全處理。
4.根據(jù)權(quán)利要求4所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述步驟D中，非法數(shù)據(jù)被安全處理包括非法數(shù)據(jù)被丟棄、根據(jù)需要由終端設(shè)備向局端設(shè)備發(fā)送trap或者發(fā)送告警信息。
5.根據(jù)權(quán)利要求4所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述方法還包括E、局端設(shè)備對接收到的合法數(shù)據(jù)進行業(yè)務(wù)處理，并將業(yè)務(wù)處理后的數(shù)據(jù)發(fā)送給互聯(lián)網(wǎng)其他設(shè)備。
6.一種提高局端-終端架構(gòu)安全和性能的方法，其特征在于，它包括策略下發(fā)階段和策略應(yīng)用階段，所述策略下發(fā)階段，將安全策略在局端設(shè)備引入，通過局端設(shè)備與終端設(shè)備的交互將安全策略從局端設(shè)備集中下發(fā)到終端設(shè)備，安全策略在終端設(shè)備生效，所述策略應(yīng)用階段，通過終端設(shè)備上的安全策略對用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)進行安全檢查，符合安全策略的合法數(shù)據(jù)向局端設(shè)備發(fā)送，不符合安全策略的非法數(shù)據(jù)被安全處理。
7.根據(jù)權(quán)利要求6所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述策略下發(fā)階段，具體包括在局端設(shè)備上配置安全策略或通過策略服務(wù)器向局端設(shè)備下發(fā)相關(guān)安全策略，由局端設(shè)備集中向各終端設(shè)備下發(fā)該安全策略，終端設(shè)備根據(jù)下發(fā)的安全策略來設(shè)置自己的本地安全策略。
8.根據(jù)權(quán)利要求6所述的提高局端-終端架構(gòu)安全和性能的方法，其特征在于所述合法數(shù)據(jù)向局端設(shè)備發(fā)送，局端設(shè)備對接收到的合法數(shù)據(jù)進行業(yè)務(wù)處理，并將業(yè)務(wù)處理后的數(shù)據(jù)發(fā)送給互聯(lián)網(wǎng)其他設(shè)備，所述非法數(shù)據(jù)被安全處理包括非法數(shù)據(jù)被丟棄、根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送trap或者發(fā)送告警信息。
9.一種提高局端-終端架構(gòu)安全和性能的系統(tǒng)，包括局端設(shè)備和終端設(shè)備，其特征在于所述終端設(shè)備上設(shè)置安全策略，所述局端設(shè)備引入安全策略并集中向終端設(shè)備下發(fā)安全策略，所述終端設(shè)備根據(jù)下發(fā)的安全策略來設(shè)置本地安全策略，以用于對接收到的用戶數(shù)據(jù)進行安全性檢查。
10.根據(jù)權(quán)利要求9所述的提高局端-終端架構(gòu)安全和性能的系統(tǒng)，其特征在于所述終端設(shè)備根據(jù)本地安全策略對用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)進行安全檢查，符合安全策略的合法數(shù)據(jù)則允許進入網(wǎng)絡(luò)并發(fā)送至局端設(shè)備，不符合安全策略的非法數(shù)據(jù)被丟棄，或者根據(jù)用戶需要由終端設(shè)備向局端設(shè)備發(fā)送trap或告警信息。
全文摘要
本發(fā)明公開了一種提高局端－終端架構(gòu)安全和性能的系統(tǒng)及其方法，該系統(tǒng)包括局端設(shè)備和終端設(shè)備，所述局端設(shè)備集中向終端設(shè)備下發(fā)安全策略，所述終端設(shè)備根據(jù)下發(fā)的安全策略設(shè)置本地的安全策略，在終端設(shè)備上根據(jù)安全策略對用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)進行安全檢查，符合安全策略的合法數(shù)據(jù)允許進入網(wǎng)絡(luò)并發(fā)送至局端設(shè)備，不符合安全策略的非法數(shù)據(jù)被安全處理。在本發(fā)明中，通過局端設(shè)備引入安全策略并集中向終端設(shè)備下發(fā)安全策略，使安全策略在終端設(shè)備上生效，從而使用戶攻擊網(wǎng)絡(luò)的數(shù)據(jù)在進入網(wǎng)絡(luò)前即被安全策略過濾，防止系統(tǒng)網(wǎng)絡(luò)帶寬、局端設(shè)備甚至整個系統(tǒng)受到攻擊，保護系統(tǒng)資源，提高接入網(wǎng)，特別是局端終端架構(gòu)系統(tǒng)的安全性和綜合性能。
文檔編號H04L29/06GK1933392SQ20061006215
公開日2007年3月21日 申請日期2006年8月16日 優(yōu)先權(quán)日2006年8月16日
發(fā)明者侯平 申請人:華為技術(shù)有限公司