致客戶端在沒有安全策略下運(yùn)行的情況發(fā)生����,通過客戶端執(zhí)行安全策略對(duì)服務(wù)器進(jìn)行防護(hù),提高了服務(wù)器的安全性����。
[0092]2、本發(fā)明實(shí)施例中�����,在服務(wù)器通過安全套接層SSL加密協(xié)議下發(fā)安全策略�,在安全策略下發(fā)過程中�,安全策略一直處于加密狀態(tài),防止安全策略在傳輸過程中被截取或竊聽��,提高了服務(wù)器的安全性,采用安全套接層SSL加密協(xié)議傳輸安全策略�,無需另外添加加密程序?qū)Π踩呗赃M(jìn)行加密,降低了該安全策略下發(fā)方法實(shí)現(xiàn)的技術(shù)難度���,一般技術(shù)人員也能夠?qū)崿F(xiàn),提高了該方法的適用性�����。
[0093]3�、本發(fā)明實(shí)施例中��,客戶端運(yùn)行過程中采集安全日志��,通過消息隊(duì)列中間件將安全日志發(fā)送給服務(wù)器�,服務(wù)器根據(jù)安全日志分析存在的潛在隱患�,針對(duì)存在的潛在威脅制定對(duì)應(yīng)的安全策略進(jìn)行防護(hù)���,從而保證服務(wù)器的安全性��。
[0094]4、本發(fā)明實(shí)施例中,消息隊(duì)列中間件可以設(shè)置在服務(wù)器上��,也可以另外配備一臺(tái)計(jì)算設(shè)備作為消息隊(duì)列中間件�,可以根據(jù)實(shí)際需求靈活選擇,提高了該方法的易用性及適用性�。
[0095]5、本發(fā)明實(shí)施例中��,服務(wù)器在下發(fā)安全策略之前����,根據(jù)安全策略的優(yōu)先級(jí)對(duì)同類安全策略進(jìn)行判決�����,最終將優(yōu)先級(jí)較高的安全策略下發(fā)至客戶端�,通過設(shè)置安全策略的優(yōu)先級(jí)���,實(shí)現(xiàn)對(duì)服務(wù)器不同級(jí)別的防護(hù)��,提高了服務(wù)器的安全性��。
[0096]需要說明的是�,在本文中,諸如第一和第二之類的關(guān)系術(shù)語(yǔ)僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來��,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序���。而且�,術(shù)語(yǔ)“包括”�、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程����、方法、物品或者設(shè)備不僅包括那些要素��,而且還包括沒有明確列出的其他要素�����,或者是還包括為這種過程����、方法、物品或者設(shè)備所固有的要素��。在沒有更多限制的情況下�����,由語(yǔ)句“包括一個(gè)......”限定的要素,并不排除在包括所述要素的過程�、方法、物品或者設(shè)備中還存在另外的相同因素�����。
[0097]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�����,前述的程序可以存儲(chǔ)在計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí)��,執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:ROM�����、RAM�、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)中。
[0098]最后需要說明的是:以上所述僅為本發(fā)明的較佳實(shí)施例��,僅用于說明本發(fā)明的技術(shù)方案���,并非用于限定本發(fā)明的保護(hù)范圍���。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改���、等同替換、改進(jìn)等�����,均包含在本發(fā)明的保護(hù)范圍內(nèi)���。
【主權(quán)項(xiàng)】
1.一種服務(wù)器下發(fā)安全策略的方法����,其特征在于��,應(yīng)用于與所述服務(wù)器相連的消息隊(duì)列中間件�����,包括: 接收所述服務(wù)器下發(fā)的安全策略�; 根據(jù)所述安全策略,判斷接收該安全策略的客戶端是否在線��; 如果是,將所述安全策略發(fā)送至所述客戶端�; 如果否,將所述安全策略存儲(chǔ)到預(yù)設(shè)的存儲(chǔ)空間內(nèi)����,并實(shí)時(shí)監(jiān)測(cè)所述客戶端的狀態(tài),進(jìn)一步判斷所述客戶端是否上線��,如果是�,執(zhí)行所述將所述安全策略發(fā)送至所述客戶端。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于����, 所述接收所述服務(wù)器下發(fā)的安全策略包括:根據(jù)安全套接層SSL加密協(xié)議�,接收所述服務(wù)器根據(jù)SSL加密協(xié)議生成的已經(jīng)加密的安全策略���; 所述將所述安全策略發(fā)送至所述客戶端包括:根據(jù)安全套接層SSL加密協(xié)議��,將所述安全策略發(fā)送至所述客戶端��; 和/或�����, 所述安全策略包括:安全標(biāo)記規(guī)則����、文件保護(hù)規(guī)則、進(jìn)程保護(hù)規(guī)則��、注冊(cè)表規(guī)則及信任列表規(guī)則中的任意一個(gè)或多個(gè)�����。3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,進(jìn)一步包括: 接收所述客戶端發(fā)送的安全日志��,并將所述安全日志發(fā)送至所述服務(wù)器���。4.一種消息隊(duì)列中間件�����,其特征在于�,與下發(fā)安全策略的服務(wù)器相連����,包括:接收單元���、判斷單元、存儲(chǔ)單元及發(fā)送單元�����; 所述接收單元����,用于接收所述服務(wù)器下發(fā)的安全策略; 所述判斷單元����,用于根據(jù)所述接收單元接收到的安全策略,判斷接收該安全策略的客戶端是否在線�����; 所述發(fā)送單元�����,用于根據(jù)所述判斷單元的判斷結(jié)果��,如果是����,將所述安全策略發(fā)送至所述客戶端; 所述存儲(chǔ)單元����,用于根據(jù)所述判斷單元的判斷結(jié)果,如果否���,將所述安全策略存儲(chǔ)到預(yù)設(shè)的存儲(chǔ)空間內(nèi)�,并實(shí)時(shí)檢測(cè)所述客戶端的狀態(tài)���,進(jìn)一步判斷所述客戶端是否上線�����,如果是�����,通知所述發(fā)送單元將所述安全策略發(fā)送至所述客戶端����。5.根據(jù)權(quán)利要求4所述的消息隊(duì)列中間件,其特征在于����, 所述接收單元,用于根據(jù)安全套接層SSL加密協(xié)議����,接收所述服務(wù)器根據(jù)SSL加密協(xié)議生成的已經(jīng)加密的安全策略; 所述發(fā)送單元���,用于根據(jù)安全套接層SSL加密協(xié)議����,將所述安全策略發(fā)送至所述客戶端�。6.根據(jù)權(quán)利要求4或5所述的消息隊(duì)列中間件,其特征在于��, 所述接收單元����,進(jìn)一步用于接收所述客戶端發(fā)送的安全日志; 所述發(fā)送單元�����,進(jìn)一步用于將所述接收單元接收到的安全日志發(fā)送至所述服務(wù)器���。7.—種服務(wù)器下發(fā)安全策略的系統(tǒng)�����,其特征在于���,包括:服務(wù)器、至少一個(gè)客戶端及權(quán)利要求4至6中任一所述的消息隊(duì)列中間件����; 所述服務(wù)器與所述消息隊(duì)列中間件相連,所述消息隊(duì)列中間件與各個(gè)所述客戶端相連�; 所述服務(wù)器,用于向所述消息隊(duì)列中間件發(fā)送安全策略��; 所述客戶端����,用于接收所述消息隊(duì)列中間件發(fā)送的安全策略。8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于��, 所述服務(wù)器�����,用于在向所述消息隊(duì)列中間件發(fā)送安全策略之前����,根據(jù)安全策略的優(yōu)先級(jí)對(duì)同類安全策略進(jìn)行判決,將優(yōu)先級(jí)較高的安全策略作為最終發(fā)送至消息隊(duì)列中間件的安全策略����,其中,主機(jī)策略的優(yōu)先級(jí)高于分組策略的優(yōu)先級(jí)���,所述主機(jī)策略為通過批量分發(fā)多臺(tái)客戶端的方式分發(fā)的策略��,所述分組策略為通過添加分組屬性策略來進(jìn)行策略分發(fā)的策略�。9.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于, 所述消息隊(duì)列中間件設(shè)置于所述服務(wù)器上或其他計(jì)算設(shè)備上��; 和/或���, 所述服務(wù)器���,用于接收外部觸發(fā)���,根據(jù)安全套接層SSL加密協(xié)議生成加密的安全策略�����,并根據(jù)SSL加密協(xié)議向所述消息隊(duì)列中間件發(fā)送該安全策略����; 所述客戶端,用于根據(jù)SSL加密協(xié)議接收所述消息隊(duì)列中間件發(fā)送的安全策略����。10.根據(jù)權(quán)利要求7至9中任一所述的系統(tǒng),其特征在于����, 所述客戶端,用于采集安全日志�����,并將所述安全日志發(fā)送至所述消息隊(duì)列中間件; 所述服務(wù)器����,用于接收所述消息隊(duì)列中間件發(fā)送的安全日志。
【專利摘要】本發(fā)明提供一種服務(wù)器下發(fā)安全策略的方法�����、系統(tǒng)及消息隊(duì)列中間件�����,該方法應(yīng)用于與所述服務(wù)器相連的消息隊(duì)列中間件�,包括:接收所述服務(wù)器下發(fā)的安全策略;根據(jù)所述安全策略��,判斷接收該安全策略的客戶端是否在線���;如果是���,將所述安全策略發(fā)送至所述客戶端;如果否��,將所述安全策略存儲(chǔ)到預(yù)設(shè)的存儲(chǔ)空間內(nèi)�����,并實(shí)時(shí)監(jiān)測(cè)所述客戶端的狀態(tài),進(jìn)一步判斷所述客戶端是否上線��,如果是�����,執(zhí)行所述將所述安全策略發(fā)送至所述客戶端�。該消息隊(duì)列中間件包括:接收單元����、判斷單元、存儲(chǔ)單元及發(fā)送單元�����。該系統(tǒng)包括:服務(wù)器����、至少一個(gè)客戶端及上述消息隊(duì)列中間件。本方案能夠提高服務(wù)器的安全性�。
【IPC分類】H04L29/06
【公開號(hào)】CN105516081
【申請(qǐng)?zhí)枴緾N201510830013
【發(fā)明人】李紅雷
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2016年4月20日
【申請(qǐng)日】2015年11月25日