[发明专利]一种层次化的系统防火墙及配置方法

说明书

一种层次化的系统防火墙，包括，根安全管理器、二级安全管理器、防火墙控制器，以及防火墙，其中，所述根安全管理器，为每个域簇指定二级安全管理器、分配系统资源；为域簇之间提供防火墙配置方案；所述二级安全管理器，为域簇的主机以及设备添加域标识符，并为每个域提供防火墙配置方案；所述防火墙控制器，为系统中的主机以及设备添加域簇标识号、为所述二级安全管理器添加标识；为当前域簇中的主机以及设备分配域标识；为当前域簇中每一个设备端的防火墙进行访问权限的配置；所述防火墙，为来自不同域或不同域簇的主机对当前设备的访问进行权限控制。本发明还提供一种层次化的系统防火墙的配置方法，简化了系统的设计，提高了系统的安全性。

技术领域

本发明实施例涉及片上系统(SoC)技术领域，尤其涉及片上系统的防火墙。

背景技术

片上系统中的硬件防火墙(Firewall)，其作用主要包括：

为各个子系统提供可靠的数据隔离；

为各个子系统之间，以及子系统内部主机与设备间提供可靠的数据交互通道

保护安全世界敏感信息；

为全以及非安全世界提供安全的数据交互通道。

现有硬件防火墙设计，多采用单一层次的管理结构，即由单一的管理器对整个系统的安全策略进行管理。而随着系统中子系统数目的不断增加，为了满足各个子系统不同的安全需求，单一的管理器结构安全策略设计的复杂度急剧增加。

发明内容

为了解决现有技术存在的不足，本发明提供一种层次化的系统防火墙及配置方法，简化了系统安全应用的功能设计，提高系统整体以及子系统的安全性。

为实现上述目的，本发明至少一个实施例提供一种层次化的系统防火墙，包括，根安全管理器、二级安全管理器、防火墙控制器，以及防火墙，其中，

所述根安全管理器，其为每个域簇指定二级安全管理器、分配系统资源；为域簇之间提供防火墙配置方案；

所述二级安全管理器，为域簇的主机以及设备添加域标识，并为域簇中每个域提供防火墙配置方案；

所述防火墙控制器，其为系统中的主机以及设备添加域簇标识、为所述二级安全管理器添加标识；为当前域簇中的主机以及设备分配域标识；为当前域簇中每一个设备端的防火墙进行访问权限的配置；

所述防火墙，其为来自不同域或不同域簇的主机对当前设备的访问进行权限控制。

进一步地，所述系统资源，包括，主机、设备和域资源。

进一步地，还包括域标识生成器，所述域标识生成器，根据所述根安全管理器的配置为系统中的每一个主机生成域簇标识；根据所述根安全管理器和所述二级安全管理器的配置为系统中的每一个主机生成域标识。

进一步地，所述防火墙控制器，其依据所述根安全管理器的配置为系统中的主机以及设备添加域簇标识、为所述二级安全管理器添加标识；接受所述根安全管理器或所述二级安全管理器的配置，为当前域簇中的主机以及设备分配域标识；接受所述根安全管理器或所述二级安全管理器的配置，为当前域簇中每一个设备端的防火墙进行访问权限的配置。

更进一步地，所述防火墙，其根据所述根安全管理器或本域簇的所述二级安全管理器的配置，为来自不同域或不同域簇的主机对当前设备的访问进行权限控制。

为实现上述目的，本发明至少一个实施例还提供了一种层次化的系统防火墙的配置方法，包括以下步骤：

1)为每一个域簇分配系统资源，并指定二级安全管理器；

2)为系统中的主机和设备添加域簇标识、为二级安全管理器添加标识，并为域簇之间提供防火墙配置方案；