本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別涉及一種一體化網(wǎng)絡(luò)安全管理方法和裝置。

背景技術(shù)：
隨著互聯(lián)網(wǎng)技術(shù)及其應(yīng)用服務(wù)的飛速發(fā)展，人們對(duì)通信的需求日益增長，現(xiàn)有網(wǎng)絡(luò)存在的問題也日益突出，當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)不能滿足人們的需求。由于現(xiàn)有的網(wǎng)絡(luò)在設(shè)計(jì)之初就存在一些本質(zhì)的問題，例如，IP地址承擔(dān)身份和位置雙重角色，網(wǎng)絡(luò)中服務(wù)資源存在冗余等。雖然人們一直在對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行優(yōu)化和改進(jìn)，但基本都是以一種打補(bǔ)丁的方式來完成，最后將導(dǎo)致網(wǎng)絡(luò)架構(gòu)越來越復(fù)雜。為了能夠從根本上解決現(xiàn)有網(wǎng)絡(luò)中的問題，新的網(wǎng)絡(luò)體系架構(gòu)的提出正逐步成為國內(nèi)外信息網(wǎng)絡(luò)研究的重要內(nèi)容。國家973項(xiàng)目“一體化可信網(wǎng)絡(luò)與普適服務(wù)體系基礎(chǔ)研究”提出了一種新的網(wǎng)絡(luò)體系架構(gòu)，以下簡稱一體化網(wǎng)絡(luò)。一體化網(wǎng)絡(luò)架構(gòu)由兩層組成：服務(wù)層和網(wǎng)通層。服務(wù)層可分為虛擬服務(wù)模塊和虛擬連接模塊；網(wǎng)通層可分為虛擬接入模塊和虛擬骨干模塊。服務(wù)層定義了服務(wù)標(biāo)識(shí)和連接標(biāo)識(shí)，并引入從服務(wù)到連接的服務(wù)標(biāo)識(shí)解析映射，完成了各種服務(wù)的統(tǒng)一描述和管理，從而實(shí)現(xiàn)服務(wù)的普適化。網(wǎng)通層定義了接入標(biāo)識(shí)和路由標(biāo)識(shí)，并引入從連接到路由的接入標(biāo)識(shí)解析映射，支持現(xiàn)有各種子網(wǎng)和終端的接入，為多元化的網(wǎng)絡(luò)接入提供了平臺(tái)，為數(shù)據(jù)、語音、視頻服務(wù)提供了一體化網(wǎng)絡(luò)的網(wǎng)絡(luò)通信平臺(tái)，從而有效地支持普適服務(wù)。其中，服務(wù)標(biāo)識(shí)是一種統(tǒng)一的服務(wù)描述形式，每一個(gè)服務(wù)有唯一的服務(wù)標(biāo)識(shí)；連接標(biāo)識(shí)用于為服務(wù)建立連接與傳輸數(shù)據(jù)；路由標(biāo)識(shí)用在網(wǎng)通層進(jìn)行選路和路由；接入標(biāo)識(shí)是用于客戶端接入的身份標(biāo)識(shí)。一體化網(wǎng)絡(luò)通過解析映射來完成四個(gè)標(biāo)簽的轉(zhuǎn)化過程。基于此，現(xiàn)有技術(shù)提出了一種用戶身份認(rèn)證和消息認(rèn)證的方案，從而實(shí)現(xiàn)一體網(wǎng)絡(luò)中移動(dòng)與固定節(jié)點(diǎn)的安全接入。該方案主要是設(shè)計(jì)接入交換路由器、認(rèn)證中心以及終端這三個(gè)功能實(shí)體之間的通信協(xié)議，通過認(rèn)證消息的查詢和處理等過程，來實(shí)現(xiàn)一體化網(wǎng)絡(luò)基于標(biāo)識(shí)的終端接入方法，提高網(wǎng)絡(luò)的安全性。現(xiàn)有的一體化網(wǎng)絡(luò)體系包括了對(duì)用戶的注冊和認(rèn)證過程以及服務(wù)的注冊過程，但并沒有一種方法來安全管理控制用戶對(duì)資源的訪問。隨著網(wǎng)絡(luò)服務(wù)的不斷發(fā)展，對(duì)網(wǎng)絡(luò)資源訪問的 安全管理需求日益增加。例如，如何管控不同用戶訪問不同資源，如何提供用戶的個(gè)性化服務(wù)等問題日益突出。在一體化網(wǎng)絡(luò)中，接入標(biāo)識(shí)和服務(wù)標(biāo)識(shí)分別代表用戶身份和服務(wù)身份，如何利用用戶身份和服務(wù)身份進(jìn)行網(wǎng)絡(luò)安全管理成為了一個(gè)重要的研究內(nèi)容，也對(duì)當(dāng)前的網(wǎng)絡(luò)安全管理具有重要的意義?，F(xiàn)有技術(shù)提出了一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法，采用網(wǎng)絡(luò)承載信息的分類隔離安全防護(hù)技術(shù)，將業(yè)務(wù)、控制和管理等信息相互隔離；采用用戶的安全接入防護(hù)技術(shù)，對(duì)終端設(shè)備進(jìn)行接入認(rèn)證；采用節(jié)點(diǎn)的安全互連防護(hù)技術(shù)，對(duì)互連節(jié)點(diǎn)的合法性進(jìn)行認(rèn)證；采用業(yè)務(wù)的準(zhǔn)入控制技術(shù)，對(duì)用戶身份和業(yè)務(wù)權(quán)限進(jìn)行認(rèn)證。該發(fā)明的積極效果是：將網(wǎng)絡(luò)通信與安全保密有機(jī)融合，構(gòu)建多層次、全方位的綜合安全保密體系，解決了通用IP網(wǎng)絡(luò)中存在的信令、管理、業(yè)務(wù)平面不分，網(wǎng)絡(luò)地址與用戶地址不分，網(wǎng)絡(luò)資源使用范圍和時(shí)間不受控等問題，有效地避免了疊加式安全保密機(jī)制的效率低、防護(hù)不全，不能提供面向流的快速安全傳輸?shù)热毕?。該技術(shù)采用業(yè)務(wù)的準(zhǔn)入控制技術(shù)，對(duì)用戶身份和業(yè)務(wù)權(quán)限進(jìn)行認(rèn)證。隨著網(wǎng)絡(luò)安全要求的提高，對(duì)信息內(nèi)容安全管理力度逐步加大?，F(xiàn)有的技術(shù)只側(cè)重于用戶的安全接入和認(rèn)證，以及業(yè)務(wù)的認(rèn)證，并沒有提出一種針對(duì)用戶和服務(wù)交互的安全管理方法。另一現(xiàn)有技術(shù)公開了一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的信息分類隔離方法，將網(wǎng)絡(luò)中的業(yè)務(wù)、控制和管理信息分類隔離，各類數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行獨(dú)立的路由交換和傳輸，具有獨(dú)立的帶寬資源和相應(yīng)的QoS保證措施，各類數(shù)據(jù)各行其道，互不干擾。該發(fā)明的積極效果是：由于信令系統(tǒng)和網(wǎng)管系統(tǒng)在網(wǎng)絡(luò)中相對(duì)獨(dú)立的運(yùn)行，不受業(yè)務(wù)流量和異常報(bào)文的影響，即使在網(wǎng)絡(luò)業(yè)務(wù)嚴(yán)重?fù)砣麜r(shí)也能對(duì)系統(tǒng)實(shí)施有效控制。同時(shí)，也避免了系統(tǒng)消息搶占業(yè)務(wù)帶寬，影響業(yè)務(wù)的服務(wù)質(zhì)量。該技術(shù)方法具體提出了一種將信息分類隔離的方法，各類數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行獨(dú)立的路由交換和傳輸，減少各類數(shù)據(jù)之間的干擾。其側(cè)重點(diǎn)在網(wǎng)絡(luò)傳輸層的安全，并沒有提出一種針對(duì)用戶和服務(wù)的分類隔離方法。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)業(yè)務(wù)的安全性至關(guān)重要，該技術(shù)只是在傳輸層對(duì)各類數(shù)據(jù)進(jìn)行分離，無法對(duì)用戶和服務(wù)進(jìn)行分類隔離，從而無法對(duì)用戶和服務(wù)進(jìn)行分類的操作管理?，F(xiàn)有技術(shù)中提出了一種廣告策略的驗(yàn)證方案，該方案包括：測試終端接收輸入的與廣告策略相匹配的用戶屬性和行為；向服務(wù)器發(fā)送攜帶有所述用戶屬性和行為的廣告模擬請求；接收并顯示所述服務(wù)器發(fā)送的廣告列表，廣告列表為服務(wù)器將用戶屬性和行為與廣告策略進(jìn)行匹配得出。服務(wù)器從數(shù)據(jù)庫中提取用戶配置的廣告策略；將用戶屬性和行為與用戶配置的 廣告策略進(jìn)行匹配；如果匹配，則將與用戶屬性和行為匹配的廣告策略對(duì)應(yīng)的廣告列表發(fā)送給所述第一測試終端，如果不匹配，則不返回廣告列表。該方案中，利用用戶屬性和行為跟廣告策略進(jìn)行匹配，可以降低廣告策略驗(yàn)證的復(fù)雜度，提高廣告策略驗(yàn)證的效率。但是，其對(duì)象主要是針對(duì)廣告推送業(yè)務(wù)，并沒有針對(duì)網(wǎng)絡(luò)服務(wù)資源進(jìn)行屬性描述，也就沒有形成網(wǎng)絡(luò)安全管理體系。在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)尚沒有一種能夠有效地實(shí)現(xiàn)一體化網(wǎng)絡(luò)整體安全控制方案，無法支持多樣性的安全管理策略。

技術(shù)實(shí)現(xiàn)要素：
為了解決現(xiàn)有技術(shù)中一體化網(wǎng)絡(luò)無法支持多樣性安全管理策略的問題，本發(fā)明實(shí)施例提供了一種一體化網(wǎng)絡(luò)安全管理方法和裝置。所述技術(shù)方案如下：一種一體化網(wǎng)絡(luò)安全管理方法，所述方法包括：對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽；對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽；基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則；根據(jù)策略管理規(guī)則匹配生成策略結(jié)果對(duì)一體化網(wǎng)絡(luò)進(jìn)行安全管理。所述對(duì)用戶屬性進(jìn)行描述包括對(duì)用戶的基本信息和行為信息進(jìn)行多維描述，包括但不限于用戶的身份、地域、年齡、工作性質(zhì)、上網(wǎng)時(shí)間和用戶可信度。所述對(duì)服務(wù)屬性進(jìn)行描述包括對(duì)服務(wù)的基本信息和行為信息進(jìn)行多維描述，包括但不限于服務(wù)類別、服務(wù)提供商、服務(wù)QoS、服務(wù)可信度和服務(wù)受歡迎度。所述用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽為字符串形式，利用設(shè)定的標(biāo)簽計(jì)算方法生成。所述策略結(jié)果為一個(gè)或多個(gè)元素的集合，包括但不限于拒絕訪問、允許訪問、提示警告、業(yè)務(wù)引導(dǎo)、多路訪問、單路訪問和內(nèi)容推送。一種一體化網(wǎng)絡(luò)安全管理裝置，所述裝置包括用戶管理單元、服務(wù)管理單元、策略管理單元和策略匹配單元，其中，所述用戶管理單元，用于對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽；所述服務(wù)管理單元，用于對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽；所述策略管理單元，用于基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則；所述策略匹配單元，用于根據(jù)策略管理規(guī)則匹配生成策略結(jié)果對(duì)一體化網(wǎng)絡(luò)進(jìn)行安全管理。所述用戶管理單元進(jìn)一步用于對(duì)用戶進(jìn)行注冊、認(rèn)證和管理，生成用戶屬性信息。所述資源管理單元進(jìn)一步用于對(duì)服務(wù)資源進(jìn)行注冊和管理，生成服務(wù)屬性信息。所述策略管理單元進(jìn)一步用于對(duì)策略條目進(jìn)行動(dòng)態(tài)調(diào)整和聚合。所述策略匹配單元進(jìn)一步用于對(duì)用戶屬性標(biāo)簽、服務(wù)屬性標(biāo)簽以及策略結(jié)果生成多元組，并對(duì)所述多元組進(jìn)行匹配來執(zhí)行策略匹配操作。本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是：通過對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽，對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽，并且基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則，通過策略匹配生成策略結(jié)果來進(jìn)行安全管理。本發(fā)明實(shí)施例提供的方案，在一體化網(wǎng)絡(luò)的用戶身份標(biāo)識(shí)之上引入了用戶屬性標(biāo)簽，可以多維地從各個(gè)角度對(duì)用戶進(jìn)行描述；在一體化網(wǎng)絡(luò)的服務(wù)標(biāo)識(shí)之上引入了服務(wù)屬性標(biāo)簽，可以多維地從各個(gè)角度對(duì)服務(wù)資源進(jìn)行描述；為多樣化的安全管理策略提供支持。同時(shí)，本發(fā)明實(shí)施例提出了基于用戶屬性標(biāo)識(shí)和服務(wù)屬性標(biāo)識(shí)的安全管理策略，比現(xiàn)有技術(shù)中的路由安全管理策略更為高級(jí)，引申到了應(yīng)用層。安全管理策略支持多維的，具有很好的可擴(kuò)展性，擴(kuò)展不受限于結(jié)構(gòu)，用戶可以根據(jù)需求隨時(shí)的更改管理策略。安全管理策略是可聚合的，可以基于多維屬性的描述，對(duì)部分具有很高耦合性的策略條目進(jìn)行聚合，從而減少安全策略的數(shù)量。安全管理方法具有很好的靈活性，可以根據(jù)需求設(shè)定不同的管理機(jī)制，最大限度滿足不同情況的安全管理需求。附圖說明為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實(shí)施例提供的安全管理方案示意圖；圖2是本發(fā)明實(shí)施例1提供的一體化網(wǎng)絡(luò)安全管理方法原理流程圖；圖3是本發(fā)明實(shí)施例1提供的一種用戶屬性標(biāo)簽的生成過程示意圖；圖4是本發(fā)明實(shí)施例1提供的一種用戶屬性標(biāo)簽的格式示例圖；圖5是本發(fā)明實(shí)施例1提供的一種服務(wù)屬性標(biāo)簽的生成過程示意圖；圖6是本發(fā)明實(shí)施例1提供的一種服務(wù)屬性標(biāo)簽的格式示例圖；圖7是本發(fā)明實(shí)施例1提供的一體化網(wǎng)絡(luò)安全管理方法實(shí)現(xiàn)過程示意圖；圖8是本發(fā)明實(shí)施例2提供的一體化網(wǎng)絡(luò)安全管理裝置結(jié)構(gòu)示意圖。具體實(shí)施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。本發(fā)明實(shí)施例針對(duì)一體化網(wǎng)絡(luò)引入用戶屬性標(biāo)簽、服務(wù)屬性標(biāo)簽，通過一系列基于屬性標(biāo)簽的策略規(guī)則，生成策略結(jié)果來進(jìn)行網(wǎng)絡(luò)的安全管理，提出一種一體化網(wǎng)絡(luò)安全管理方法。并提出一種一體化網(wǎng)絡(luò)安全管理裝置?，F(xiàn)有網(wǎng)絡(luò)安全管理策略是基于IP地址或URL的，根據(jù)源地址和目的地址或訪問URL進(jìn)行路由策略管理。在一體化網(wǎng)絡(luò)中用戶注冊生成唯一的UID（UserIdentification，用戶標(biāo)識(shí)），同時(shí)服務(wù)在網(wǎng)絡(luò)中注冊生成唯一的SID（ServiceIdentification，服務(wù)標(biāo)識(shí)）。用戶每一次操作都是用戶向服務(wù)的一次請求，也就是UID和SID的一個(gè)配對(duì)操作。UID和SID可以唯一地確定用戶和服務(wù)，但是由于UID和SID含有的信息量極少，單純地依靠UID和SID來進(jìn)行策略管理，往往只是一些沒有含義的數(shù)字組合，無法支持一些高級(jí)別的策略管理和安全管理。例如，如何為擁有不同愛好的用戶提供不同類別的服務(wù)，如何管理不同服務(wù)級(jí)別的資源，如何管理不同年齡段的用戶上網(wǎng)行為等等。為此，本發(fā)明提出兩個(gè)屬性標(biāo)簽來分別體現(xiàn)用戶和服務(wù)的一些屬性特性。通過對(duì)UID屬性進(jìn)行描述生成一個(gè)UTAG（UserTag，用戶屬性標(biāo)簽）,兩者之間綁定生成一個(gè)二元組（UID，UTAG）；對(duì)SID屬性進(jìn)行描述生成一個(gè)STAG（ServiceTag，服務(wù)屬性標(biāo)簽），兩者之間綁定生成一個(gè)二元組（SID，STAG）。UTAG和STAG是對(duì)所選屬性的描述，具有豐富的含義。基于UTAG和STAG設(shè)定RULES（策略規(guī)則）。用戶每次訪問資源會(huì)分別查詢獲取請求服務(wù)中UID和SID對(duì)應(yīng)的UTAG和STAG，再通過查詢相關(guān)的RULES得到策略結(jié)果，從而實(shí)現(xiàn)安全管理。如圖1所示，為本發(fā)明實(shí)施例提供的安全管理方案示意圖。實(shí)施例1如圖2所示，為本發(fā)明提供的一體化網(wǎng)絡(luò)安全管理方法原理流程圖，其中，步驟10，對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽。這里的用戶屬性標(biāo)簽用于描述用戶的基本信息和行為信息，支持從多個(gè)角度多維度去描述用戶（具體可以從身份，地域，年齡，工作性質(zhì)，上網(wǎng)時(shí)間，用戶可信度等角度進(jìn)行描述，但不局限于此）。標(biāo)簽的具體表現(xiàn)形式為字符串格式，利用統(tǒng)一設(shè)定的標(biāo)簽計(jì)算方法來生成標(biāo)簽。該計(jì)算方法支持多種多樣。例如，可以對(duì)用戶屬性進(jìn)行標(biāo)準(zhǔn)化編碼，由每個(gè)屬性編碼組合成用戶屬性便簽。如圖3所示，為用戶屬性標(biāo)簽的生成過程示意圖。如圖4所示，為本發(fā)明實(shí)施例提供的一種用戶屬性標(biāo)簽的格式示例圖。本示例中用戶屬性標(biāo)簽可以利用多個(gè)維度來標(biāo)記，如地域、語言習(xí)慣等。步驟20，對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽。服務(wù)屬性標(biāo)簽用于描述服務(wù)資源的基本信息和行為信息，支持從多個(gè)角度和多維去描述服務(wù)資源（具體可以從服務(wù)類別，服務(wù)提供商，服務(wù)QoS，服務(wù)可信度，服務(wù)受歡迎度等角度進(jìn)行描述，但不局限于此）。標(biāo)簽的具體表現(xiàn)形式為字符串格式，利用統(tǒng)一設(shè)定的標(biāo)簽計(jì)算方法來生成標(biāo)簽。該計(jì)算方法支持多種多樣。例如，可以對(duì)選定的服務(wù)屬性進(jìn)行標(biāo)準(zhǔn)化編碼，由每個(gè)屬性編碼項(xiàng)組合成服務(wù)屬性標(biāo)簽。圖5為服務(wù)屬性標(biāo)簽的生成過程示意圖。圖6為一種服務(wù)屬性標(biāo)簽的格式的示例圖，其屬性包括資源性質(zhì)、服務(wù)類別等。為了進(jìn)一步說明用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽的生成，如圖7所示，為本實(shí)施例提供的一體化網(wǎng)絡(luò)安全管理方法實(shí)現(xiàn)過程示意圖，其中，用戶通過注冊，將用戶的基本信息（其主要包括：用戶ID，用戶年齡，性別，用戶身份，用戶工作領(lǐng)域等）注冊到用戶認(rèn)證中心數(shù)據(jù)庫。服務(wù)通過注冊，將服務(wù)的基本描述信息（其主要包括：服務(wù)ID，服務(wù)資源大小，服務(wù)類別，服務(wù)QoS）記錄到服務(wù)管理中心數(shù)據(jù)庫。行為分析服務(wù)器對(duì)用戶和服務(wù)的行為信息（其主要包括：用戶可信度，用戶流量消耗，用戶活躍度等，服務(wù)優(yōu)良度，服務(wù)受歡迎度等）進(jìn)行分析、匯總、反饋。分別記錄到用戶認(rèn)證中心和服務(wù)管理中心。行為分析服務(wù)器保持動(dòng)態(tài)的對(duì)用戶和服務(wù)的行為信息進(jìn)行更改。這里，通過用戶基本信息和用戶行為信息，進(jìn)行標(biāo)準(zhǔn)化之后，生成用戶屬性標(biāo)簽。用戶屬性標(biāo)簽在用戶請求服務(wù)之后，進(jìn)一步的用戶行為信息會(huì)反饋給用戶信息數(shù)據(jù)庫，生成新的用戶行為信息。同樣，服務(wù)提供后，通過采集服務(wù)基本信息，將服務(wù)分類，并通過獲取服務(wù)行為信息，經(jīng)過標(biāo)準(zhǔn)化之后，生成服務(wù)屬性信息。服務(wù)屬性信息在提供服務(wù)的過程中，經(jīng)過行為分析，進(jìn)一步將服務(wù)行為信息反饋給服務(wù)信息數(shù)據(jù)庫，從而生成新的服務(wù)行為信息。步驟30，基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則。這里的策略管理規(guī)則是基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定的，支持用戶屬性和服務(wù) 屬性多維的匹配規(guī)則，支持可擴(kuò)展。具有可聚合性，針對(duì)某些共有特性可以進(jìn)行提取，聚合策略條目，大大減少條目的數(shù)量，從而減少查詢、匹配時(shí)間。同時(shí)又不損失匹配策略完備性，可以盡最大努力滿足策略匹配需求和原則。舉例來說，根據(jù)用戶屬性標(biāo)簽可以設(shè)定用戶可以訪問哪些服務(wù)，基于該服務(wù)的服務(wù)屬性標(biāo)簽，可以設(shè)定用戶訪問服務(wù)的方式和規(guī)定的路由，這些設(shè)定的方式和規(guī)定的路由就是策略管理規(guī)則。這樣的策略管理規(guī)則是基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定的，可以是人工制定，也可以通過模型訓(xùn)練等方式設(shè)定。如圖7中所示，可以設(shè)定策略管理庫的RULES，其格式為三元組，形如：（UTAGSTAGOperator），其中UTAG為用戶屬性標(biāo)簽，UTAG形如(utag1,utag2,utag3,utag4,utag5,…)，由多維屬性組合而成，utagi（i>=1）表示用戶在每一維上的屬性。STAG為服務(wù)屬性標(biāo)簽，STAG形如(stag1,stag2,stag3,stag4,stag5,…)，同樣由多維屬性組合而成，stagj（j＞=1）表示服務(wù)資源在每一維上的屬性，Operator表示策略匹配對(duì)應(yīng)的操作。管理策略規(guī)則還可以設(shè)定模糊管理策略，形如（Sub-UTAGSub-STAGOperator），其中Sub-UTAG為子用戶屬性標(biāo)簽，由UTAG的子集組成，Sub-STAG為子服務(wù)屬性標(biāo)簽，由STAG的子集組成。這里的策略管理庫可以通過多種方式設(shè)定，例如，可以通過WEB接口來設(shè)定策略管理庫。策略管理庫用于基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定和管理策略管理規(guī)則，這些策略管理規(guī)則就保存在策略管理庫中。進(jìn)一步的，這些策略管理規(guī)則可以通過人工設(shè)定、需求場景和模型訓(xùn)練得到。這些策略管理規(guī)則可以互相匹配得到策略結(jié)果，這些策略結(jié)果直接對(duì)一體化網(wǎng)絡(luò)進(jìn)行安全管理。步驟40，根據(jù)策略管理規(guī)則匹配生成策略結(jié)果對(duì)一體化網(wǎng)絡(luò)進(jìn)行安全管理。為了達(dá)到網(wǎng)絡(luò)安全管理，本發(fā)明對(duì)策略結(jié)果進(jìn)行描述，來實(shí)現(xiàn)用戶訪問服務(wù)資源的管理。當(dāng)用戶訪問服務(wù)的時(shí)候，根據(jù)設(shè)定的策略管理規(guī)則進(jìn)行匹配，確定用戶訪問服務(wù)的結(jié)果，就是策略結(jié)果。策略結(jié)果針對(duì)策略匹配規(guī)則得出的具體網(wǎng)絡(luò)操作結(jié)果，可以是一個(gè)或多個(gè)元素的集合。具體可以是：拒絕訪問，允許訪問，提示警告，業(yè)務(wù)引導(dǎo)，多路訪問，單路訪問，內(nèi)容推送等。如圖7所示，當(dāng)用戶A請求服務(wù)B時(shí)，通過用戶認(rèn)證中心查詢，可以利用標(biāo)準(zhǔn)化編碼表生成用戶A的用戶屬性標(biāo)簽UTAG_A，通過服務(wù)管理中心查詢生成服務(wù)B的服務(wù)屬性標(biāo)簽STAG_B，網(wǎng)絡(luò)管理單元分別對(duì)用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽進(jìn)行匹配，找到合適的Operator。Operator可以支持多種，特別的，可以表示為：0-拒絕訪問；1-允許訪問；2-警告提示；3-業(yè)務(wù)引導(dǎo)。根據(jù)Operator指示的操作進(jìn)行連接標(biāo)識(shí)的映射，若為0則直接返回不可達(dá)的CID （ConnectionIdentification，連接標(biāo)識(shí)）；若為1則尋找正確的CID返回至用戶；若為2則直接返回對(duì)應(yīng)警告提示的CID地址；若為3則返回對(duì)應(yīng)資源類似的引導(dǎo)資源的CID地址。完成用戶訪問資源的一次過程。行為分析服務(wù)器記錄用戶的行為信息以及服務(wù)資源的行為信息，作為數(shù)據(jù)資源為分析用戶和服務(wù)的行為屬性提供素材。實(shí)施例2如圖8所示，為本發(fā)明實(shí)施例2提供的一體化網(wǎng)絡(luò)安全管理裝置結(jié)構(gòu)示意圖，該裝置包括用戶管理單元100、服務(wù)管理單元200、策略管理單元300和策略匹配單元400，其中，用戶管理單元100，用于對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽。進(jìn)一步地，用戶管理單元100還用于對(duì)用戶進(jìn)行注冊、認(rèn)證和管理，生成用戶屬性信息。用戶屬性通過用戶的注冊信息和網(wǎng)絡(luò)行為信息進(jìn)行多維的評(píng)估描述。對(duì)用戶在網(wǎng)絡(luò)上操作產(chǎn)生的一些動(dòng)態(tài)信息描述，可以包括用戶上網(wǎng)時(shí)間，用戶可信度，操作合法性等。服務(wù)管理單元200，用于對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽。進(jìn)一步地，服務(wù)管理單元200還用于對(duì)服務(wù)資源進(jìn)行注冊和管理，生成服務(wù)屬性信息。服務(wù)屬性通過服務(wù)資源的基本屬性和服務(wù)行為屬性進(jìn)行多維的評(píng)估描述。對(duì)服務(wù)通過用戶操作產(chǎn)生的一些動(dòng)態(tài)變化的信息描述?？梢园ǚ?wù)可信度，服務(wù)訪問量，服務(wù)合法性等。策略管理單元300，用于基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則。策略管理單元300進(jìn)一步用于對(duì)策略條目進(jìn)行動(dòng)態(tài)調(diào)整和聚合，針對(duì)不同的用戶組和服務(wù)組設(shè)定不同策略結(jié)果。策略規(guī)則可以是用戶屬性標(biāo)簽、服務(wù)屬性標(biāo)簽以及策略結(jié)果組成的三元組。策略匹配單元400，用于根據(jù)策略管理規(guī)則匹配生成策略結(jié)果對(duì)一體化網(wǎng)絡(luò)進(jìn)行安全管理。還用于對(duì)用戶屬性標(biāo)簽、服務(wù)屬性標(biāo)簽以及策略結(jié)果生成二元組，并將二元組與策略規(guī)則中的前兩元進(jìn)行匹配。通過對(duì)用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽二元組進(jìn)行匹配，獲得對(duì)應(yīng)的策略結(jié)果來執(zhí)行操作，完成策略管控。當(dāng)然，這里對(duì)用戶屬性標(biāo)簽、服務(wù)屬性標(biāo)簽以及策略結(jié)果生成的可以不僅僅是二元組，而是三元組或者多元組。策略結(jié)果是支持一個(gè)或多個(gè)?？梢允蔷芙^訪問，允許訪問，警告處理，正向引導(dǎo)，反向引導(dǎo)等。綜上所述，本發(fā)明各個(gè)實(shí)施例通過對(duì)用戶屬性進(jìn)行描述生成用戶屬性標(biāo)簽，對(duì)服務(wù)屬性進(jìn)行描述生成服務(wù)屬性標(biāo)簽，并且基于用戶屬性標(biāo)簽和服務(wù)屬性標(biāo)簽制定策略管理規(guī)則，通過策略匹配生成策略結(jié)果來進(jìn)行安全管理。本發(fā)明實(shí)施例提供的方案，在原有的用戶身份標(biāo)識(shí)之前引入了用戶屬性標(biāo)簽，可以多維地從各個(gè)角度對(duì)用戶進(jìn)行描述；在原有的服務(wù)標(biāo)識(shí)之 前引入了服務(wù)屬性標(biāo)簽，可以多維地從各個(gè)角度對(duì)服務(wù)資源進(jìn)行描述；為多樣化的安全管理策略提供支持。同時(shí)，本發(fā)明實(shí)施例提出了基于用戶屬性標(biāo)識(shí)和服務(wù)屬性標(biāo)識(shí)的安全管理策略，比現(xiàn)有技術(shù)中的路由安全管理策略更為高級(jí)，引申到了應(yīng)用層。安全管理策略支持多維的，具有很好的可擴(kuò)展性，擴(kuò)展不受限于結(jié)構(gòu)，用戶可以根據(jù)需求隨時(shí)的更改管理策略。安全管理策略是可聚合的，可以基于多維屬性的描述，對(duì)部分具有很高耦合性的策略條目進(jìn)行聚合，從而減少安全策略的數(shù)量。安全管理方法具有很好的靈活性，可以根據(jù)需求設(shè)定不同的管理機(jī)制，最大限度滿足不同情況的安全管理需求。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟，可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。