[发明专利]安全策略强制系统和安全策略强制方法

说明书

技术领域

本发明涉及一种安全策略强制系统和安全策略强制方法。

背景技术

近年来，称为云的服务提供已普及。云是如下模型，在该模型中，平台提供者向服务提供者提供用于构建服务的平台，并且服务提供者在平台上构建它自己的服务并且向用户提供服务。

在这样的环境中，各服务提供者用实施具有安全功能的服务以便保护服务免遭信息泄露和攻击。然而，由于服务提供者独立实施安全功能，所以存在成本高的问题。另外，由于服务的功能和安全功能密切相关，所以存在难以更新安全功能的问题。

为了解决这些问题，期望服务的平台具有安全功能而不是相应服务具有安全功能，并且如果服务提供者简单地设置安全策略，则由平台保护服务。出于该目的，已经提出了若干系统。

例如，在专利文献1中公开的系统中，在客户端与服务器之间布置的网络设备监视从客户端发送的网络分组并且执行访问控制，由此实施安全措施。

在专利文献2中公开的系统中，在客户端与服务器之间的路由器挂起通信并且向诸如防火墙或者防病毒的安全设备传送分组，由此实施安全措施。

另外，一般安全措施包括用于执行分组过滤的防火墙、用于检测入侵的IDS(入侵检测系统)以及用于防止入侵的IPS(入侵防止系统)。

专利文献1：专利公开JP-A-2008-141352

专利文献2：专利公开JP-A-2007-336220

然而，在上文说明的系统中，未假设大型环境并且在具体设备上施加负荷。因此，系统不能应用于大型系统。具体而言，在专利文献1中描述的系统中，一般防火墙和IDS或者IPS，网络流量集中于采取安全措施的设备上。在专利文献2中描述的系统中，虽然分散了采取安全措施的设备，但是网络的流量仍集中于调用(call)这些设备的设备(分配流量的设备)上，并且难以扩展安全措施处理的能力。

发明内容

已经鉴于这样的境况而设计本发明，并且本发明的目的是分散安全措施的处理负荷并且强制执行将适用于大型系统的安全策略。

根据本发明的一个方面的一种安全策略强制系统包括：多个策略强制部，被配置用于对从客户端向服务器发送的用户信息执行安全措施；策略存储部，被配置用于存储指示将对用户信息执行的安全措施的策略信息；措施布置存储部，被配置用于存储指示在策略强制部中的每个策略强制部中可执行的安全措施的措施布置信息；以及策略确定部，被配置用于基于策略信息和措施布置信息而在多个策略强制部之中选择对用户信息执行安全措施的一个或者多个策略强制部。一个或者多个策略强制部中的每个策略强制部对用户信息执行安全措施，并且基于策略确定部的选择结果向一个或者多个策略强制部之中的其它策略强制部或者向服务器输出用户信息。

在本发明中，“部”不是简单地意味着物理装置而是包括由软件实现的“部”的功能。一个“部”或者设备的功能可以由两个或者更多物理装置或者设备实现，或者两个或者更多“部”或者设备的功能可以由一个物理装置或者设备实现。

根据本发明，有可能分散安全措施的处理负荷并且强制执行将适用于大型系统的安全策略。

附图说明

图1是示出安全策略强制系统的配置示例的图。

图2是示出服务器的配置示例的图。

图3是示出策略强制部的配置示例的图。

图4是示出信息传送部之间的消息格式的示例的图。

图5是示出当信息传送部调用措施实施部时使用的消息格式的示例的图。

图6是示出在从措施实施部到信息传送部的响应中使用的消息格式的示例的图。

图7是示出策略DB的示例的图。

图8是示出措施布置DB的示例的图。

图9是示出负荷状态DB的示例的图。

图10是示出在从信息传送部到策略确定部的查询中使用的消息格式的示例的图。

图11是示出在从策略确定部到信息传送部的响应中使用的消息格式的示例的图。

图12是示出安全策略强制系统的操作的示例的序列图。

图13是用于说明策略确定操作的示例的流程图。

图14是用于说明策略确定操作的另一示例的流程图。

图15是示出顺序约束DB的示例的图。

图16是示出指示依赖关系的定向图的合并的示例的图。

图17是示出在向第一策略强制部集中地通知策略强制部的顺序和策略强制部将实施的措施时使用的消息格式的示例的图。

图18是示出安全策略强制系统的另一配置示例的图。