安全策略的更改方法及系統(tǒng)的制作方法
【技術(shù)領域】
[0001]本發(fā)明涉及有關(guān)數(shù)字信息傳輸?shù)耐ㄐ偶夹g(shù)���,特別是涉及一種安全策略的更改方法,還涉及一種安全策略的更改系統(tǒng)�。
【背景技術(shù)】
[0002]目前,龍芯(10ngson)作為國產(chǎn)處理器在工業(yè)控制領域得到廣泛的使用�,國產(chǎn)自主、不易受病毒感染���、高度定制的操作系統(tǒng)等特點成為龍芯安全可靠的技術(shù)保障����,其突出的安全優(yōu)勢備受各行各業(yè)的信賴���。
[0003]但是在工業(yè)控制領域����,特別是對安全性關(guān)注比較高的工業(yè)現(xiàn)場�����,基于龍芯的安全策略往往是針對龍芯本身的硬件平臺有效�����,不利于大規(guī)模部署。也就是說��,在工業(yè)控制領域��,依據(jù)應用的需要�����,有必要在不同的地點部署多臺龍芯的硬件平臺��,這些部署的地點往往具有離散性�,有的甚至相隔甚遠,這種情況下龍芯的安全策略雖然對每個部署的硬件平臺而言是有效的��,然而一旦安全策略需要增加���、刪減或升級時���,傳統(tǒng)的做法是派工程師奔赴各個部署了龍芯的地點逐個設備的升級安全策略,這種傳統(tǒng)的做法耗時耗力�,效率低下,每次對安全策略進行升級的過程中都無形中增加公司的運營成本��。在通過人工對安全策略進行升級和更新后需要重新啟動計算機才能使用新的安全策略,造成使用上的不方便�。
【發(fā)明內(nèi)容】
[0004]基于此,有必要提供一種安全策略的更改方法��,實現(xiàn)對離散分布的客戶端進行安全策略的自動更新���。
[0005]一種安全策略的更改方法,包括下列步驟:監(jiān)聽安全策略服務端的安全策略模塊集之中安全策略模塊的更改�����;在捕獲到安全策略模塊被更改時生成更改標志信息��,所述更改標志信息包括被更改的安全策略模塊的ID號和更改類型���;將所述更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端�����;安全策略客戶端查詢是否接收到所述更改標志信息��;所述安全策略客戶端在確認到接收到所述更改標志信息后���,根據(jù)所述ID號通過網(wǎng)絡從所述安全策略服務端導入被更改后的安全策略模塊�����;根據(jù)所述更改類型使能導入的安全策略模塊����。
[0006]在其中一個實施例中�,所述更改類型包括安全策略模塊的新增、刪除�、升級;所述根據(jù)更改類型使能導入的安全策略模塊的步驟���,是對于新增的安全策略模塊進行加載運行����,對于刪除的安全策略模塊進行卸載����,對于升級的安全策略模塊先卸載舊的安全策略模塊然后再加載運行升級后的安全策略模塊。
[0007]在其中一個實施例中��,所述將更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端的步驟之后�,還包括判斷所述更改標志信息是否全部發(fā)送成功,若是則清除所述安全策略服務端上的更改標志信息����,并繼續(xù)監(jiān)聽安全策略服務端的安全策略模塊的更改的步驟��。
[0008]在其中一個實施例中���,所述將更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端的步驟之前,還包括對所述更改標志信息進行加密和策略認證處理的步驟����,所述安全策略客戶端在確認到接收到所述更改標志信息后,還包括對所述更改標志信息進行解密和策略認證校驗的步驟���。
[0009]在其中一個實施例中,所述對所述更改標志信息進行加密和策略認證處理�����,和所述對所述更改標志信息進行解密和策略認證校驗���,是通過具有相應功能的硬件來進行�,無需軟件參與��。
[0010]還有必要提供一種安全策略的更改系統(tǒng)��。
[0011]一種安全策略的更改系統(tǒng),包括安全策略服務端和安全策略客戶端����,所述安全策略服務端包括:安全策略模塊集,包括所述安全策略客戶端需要加載和運行的所有安全策略模塊�;監(jiān)聽模塊,用于監(jiān)聽所述安全策略模塊集之中安全策略模塊的更改��;更改標志信息生成模塊����,用于在監(jiān)聽模塊捕獲到安全策略模塊被更改時生成更改標志信息,所述更改標志信息包括被更改的安全策略模塊的ID號和更改類型���;發(fā)送模塊�����,用于將所述更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端��;所述安全策略客戶端包括:查詢模塊����,用于查詢是否接收到所述更改標志信息;安全策略導入模塊�,用于在確認到接收到所述更改標志信息后,根據(jù)所述ID號通過網(wǎng)絡從所述安全策略服務端導入被更改的安全策略模塊�;安全策略使能模塊,用于根據(jù)所述更改類型使能導入的安全策略模塊����。
[0012]在其中一個實施例中,所述更改類型包括安全策略模塊的新增���、刪除���、升級;所述安全策略導入模塊用于對于新增的安全策略模塊進行加載運行�����,對于刪除的安全策略模塊進行卸載�����,對于升級的安全策略模塊先卸載舊的安全策略模塊然后再加載運行升級后的安全策略模塊�����。
[0013]在其中一個實施例中����,所述安全策略服務端包括加密和策略認證處理器,用于在發(fā)送模塊發(fā)送所述更改標志信息之前��,對所述更改標志信息進行加密和策略認證處理��;所述安全策略客戶端包括解密和策略認證校驗處理器�,用于對接收到的更改標志信息進行解密和策略認證校驗處理。
[0014]在其中一個實施例中��,所述安全策略客戶端包括定時器���,所述查詢模塊根據(jù)定時器的時鐘信號定時查詢是否接收到所述更改標志信息��。
[0015]在其中一個實施例中���,所述安全策略的更改系統(tǒng)是基于龍芯硬件平臺構(gòu)建。
[0016]上述安全策略的更改方法和系統(tǒng)���,安全策略客戶端根據(jù)更改標志信息對安全策略模塊進行相應的更改操作���,所導入的安全策略模塊均來自安全策略服務端,并與安全策略服務端的安全策略模塊具有一致性。安全策略客戶端程序自動完成上述操作并且不需人工干預�����,安全策略客戶端之間相互獨立����,互不影響,所有安全策略模塊均來自安全策略服務端���。從而以便捷的方式實現(xiàn)安全策略模塊的更改����。自動化程度提高����,避免了人工操作,提高了效率�,降低了成本,簡單實用�����。
【附圖說明】
[0017]圖1是安全策略的更改系統(tǒng)的系統(tǒng)框圖�;
[0018]圖2是一實施例中安全策略的更改方法的流程圖;
[0019]圖3是另一實施例中安全策略的更改方法的流程圖����;
[0020]圖4是一實施例中安全策略的更改系統(tǒng)的結(jié)構(gòu)示意圖;
[0021]圖5是另一實施例中安全策略的更改系統(tǒng)的結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0022]為使本發(fā)明的目的�、特征和優(yōu)點能夠更為明顯易懂,下面結(jié)合附圖對本發(fā)明的【具體實施方式】做詳細的說明����。
[0023]在工業(yè)控制領域,出于應用環(huán)境的需要�,需要在各個應用現(xiàn)場部署龍芯的硬件平臺。而基于安全性上的考慮����,需要在龍芯的平臺上安裝安全策略模塊來對操作系統(tǒng)和應用程序進行保護,提高系統(tǒng)的安全性和穩(wěn)定性���。
[0024]圖1是安全策略的更改系統(tǒng)的系統(tǒng)框圖�。安全策略的更改系統(tǒng)包括安全策略服務端10和安全策略客戶端20�����,兩者均由龍芯硬件平臺構(gòu)成,兩者之間通過網(wǎng)絡連接起來且通過網(wǎng)絡進行通信���。安全策略服務端10上運行服務端程序����,安全策略客戶端20上運行客戶端程序����。一個安全策略服務端10可以匹配多個安全策略客戶端20。
[0025]圖2是一實施例中安全策略的更改方法的流程圖�,包括下列步驟:
[0026]SI 10,監(jiān)聽安全策略服務端的安全策略模塊的更改��。
[0027]安全策略服務端10上建立有一個安全策略模塊集12�����,該模塊集中包含了所有安全策略客戶端20需要加載和運行的安全策略模塊��,安全策略服務端10上實現(xiàn)對所有安全策略模塊的集中管理和監(jiān)聽���。安全策略模塊集12需要由系統(tǒng)管理員進行維護����,系統(tǒng)管理員對某個具體安全策略模塊的新增�、刪除、升級操作均會被服務端程序捕獲�����。
[0028]S120�����,在捕獲到安全策略模塊被更改時生成更改標志信息�����。
[0029]系統(tǒng)管理員對安全策略模塊的修改被捕獲后��,系統(tǒng)生成安全策略模塊的更改標志信息�,更改標志信息包含如下兩個方面:
[0030](I)安全策略模塊的ID (identificat1n,標識符)號,用于標識是哪個安全策略模塊發(fā)生了更改�;
[0031](2)更改類型,用于標識對安全策略模塊進行的更改類別�,包括安全策略模塊的新增、刪除���、升級等��。
[0032]安全策略模塊集12中的每一個安全策略模塊做出更改后�����,都會生成與之對應的安全策略模塊更改標志信息�����。如果有多個安全策略模塊做出更改����,將會生成多條安全策略模塊更改標志信息。
[0033]S130���,將更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端���。
[0034]安全策略服務端10將更改標志信息通過網(wǎng)絡發(fā)送給安全策略客戶端20,以便安全策略客戶端20根據(jù)更改標志信息對本地正在使用中的安全策略模塊進行新增�����、刪除����、升級等操作�。
[0035]至此��,安全策略服務端10的一個處理循環(huán)已完成�,故返回步驟SllO繼續(xù)進行監(jiān)聽���。同時�,接收到更改標志信息的安全策略客戶端20也會根據(jù)更改標志信息執(zhí)行處理流程�。
[0036]S210,安全策略客戶端查詢是否接收到更改標志信息。
[0037]在本實施例中是采用定時查詢的方式�����,每隔一段時間就會定時查詢是否接收到更改標志信息����。
[0038]S220,確認到接收到更改標志信息后�,從安全策略服務端導入被更改后的安全策略模塊。
[0039]如果安全策略客戶端20沒有接收到更改標志信息��,那么客戶端程序?qū)⒉蛔魅魏翁幚?��,等待下一次定時查詢的時間間隔周期的到來���。如果客戶端程序確認到接收到更改標志信息���,那么客戶端程序?qū)⑼ㄟ^網(wǎng)絡從安全策略服務端10導入ID號指向的安全策略模塊。
[0040]S230�,根據(jù)更改類型使能導入的安全策略模塊。
[0041]當客戶端程序從安全策略服務端10導入了更改后的安全策略模塊后����,客戶端程序?qū)⑹褂盟鶎氲陌踩呗阅K并使之生效。若安全策略服務端10新增了安全策略模塊�����,則安全策略客戶端20立即加載運行新的安全策略模塊�;若安全策略服務端10刪除了安全策略模塊,則安全策略客戶端20隨即卸載該安全策略模塊并且刪除對應的安全策略模塊����;若安全策略服務端10升級了安全策略模塊,則安全策略客戶端20先卸載舊的安全策略模塊���,然后再加載運行升級后的安全策略模塊����。
[0042]上述安全策略的更改方法,安全策略客戶端20根據(jù)更改