CN106302468B - 一种数据流保护方法及装置 - Google Patents
一种数据流保护方法及装置 Download PDFInfo
- Publication number
- CN106302468B CN106302468B CN201610682183.9A CN201610682183A CN106302468B CN 106302468 B CN106302468 B CN 106302468B CN 201610682183 A CN201610682183 A CN 201610682183A CN 106302468 B CN106302468 B CN 106302468B
- Authority
- CN
- China
- Prior art keywords
- rule
- key
- security policy
- rules
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
本发明实施例公开了一种数据流保护方法及装置,管理设备接收成员设备发送的安全策略获取消息,其中携带所述成员设备所在组的组标识;向成员设备发送组标识对应的安全策略,其中包括多条规则;在接收到成员设备在验证安全策略通过时发送的确认消息后,向成员设备发送密钥消息,密钥消息携带多个密钥及每个密钥对应的规则。由此可见,管理设备为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种数据流保护方法及装置。
背景技术
GD VPN(Group Domain Virtual Private Network,组域虚拟私有网络)是一种能够实现安全策略和密钥集中管理的网络。GD VPN提供了一种新的基于组的Ipsec(IPsecurity)安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的密钥和安全策略。
如图1所示,GD VPN系统中包括KS(Key Server,密钥服务器)和GM(Group Member,组成员)。KS分别生成每个组对应的安全策略(包括允许转发的每条数据流的信息、加密算法、认证算法、封装模式等)及密钥。
在上述方案中,同一个组对应的密钥相同,该组保护的全部数据流都应用同样的密钥进行保护。也就是说,一旦非法用户获取了该组保护的任一数据流的密钥,则该组保护的其他数据流都能够被获取,安全性较低。
发明内容
本发明实施例的目的在于提供一种数据流保护方法及装置,提高系统的安全性。
为达到上述目的,本发明实施例公开了一种数据流保护方法,应用于组域虚拟私有网络GD VPN系统中的管理设备,所述方法包括:
接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;
向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;
在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
为达到上述目的,本发明实施例还公开了一种数据流保护装置,应用于组域虚拟私有网络GD VPN系统中的管理设备,所述装置包括:
接收模块,用于接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;
第一发送模块,用于向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;
第二发送模块,用于在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
应用本发明实施例,管理设备(即KS)为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的GD VPN系统的结构示意图
图2为本发明实施例提供的一种数据流保护方法的流程示意图;
图3为本发明实施例提供的一种数据流保护装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决上述技术问题,本发明实施例提供了一种数据流保护方法及装置。该方法和装置应用于GD VPN系统中的管理设备,该系统可以如图1所示,包括管理设备(即KS)和成员设备(即GM)。下面首先对本发明实施例提供的数据流保护方法进行详细说明。
图2为本发明实施例提供的一种数据流保护方法的流程示意图,包括:
S201:接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识。
在GD VPN系统中,各成员设备进行数据流的转发之前,成员设备与管理设备可以先进行身份验证;身份验证通过后,成员设备向管理设备发送安全策略获取消息,该安全策略获取消息中携带该成员设备所在组的组标识。
S202:向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则。
在本实施例中,管理设备可以针对每个组各生成一个安全策略,该安全策略可以包括ACL(Access Control List,访问控制列表)、认证算法、封装模式等。该安全策略中的ACL中可以配置多条规则,每条规则对应至少一条数据流。
举例来说,假设成员设备所在的组为A组。管理设备针对A组生成的ACL中可以配置5条规则,其中,规则1对应数据流1,规则2对应数据流2,规则3对应数据流3,规则4对应数据流4,规则5对应数据流5。
管理设备针对每个组的处理方案均相同,因此,本实施例中,仅针对一个组进行说明。
S203:在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
成员设备接收管理设备发送的安全策略,并对接收到的安全策略进行验证(比如,自身是否能够支持安全策略中的加密算法等),如果验证通过,向KS发送确认消息。
管理设备在接收到该确认消息后,向成员设备密钥消息。在此之前,管理设备预先生成安全策略中的规则对应的密钥。
具体的,作为本发明的一种实施方式,管理设备可以在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历所述安全策略,查找到具有标记的规则;
分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;
生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
在本实施方式中,可以对安全级别较高、需要特殊保护的数据流对应的规则进行标记,并分别为每条具有标记的规则生成一个对应的专用密钥,每个专用密钥各不相同,只对自身对应的数据流进行保护。
假设上述数据流3、数据流4和数据流5为安全级别较高、需要特殊保护的数据流,则在A组对应的ACL中,对规则3、4、5进行标记。具体的,该标记可以为GDOI(Group Domainof Interpretation)标记,当然,也可以为其他标记,在此不做限定。管理设备遍历A组对应的安全策略中的ACL,查找到具有标记的规则3、4、5。管理设备针对规则3,生成对应的TEK(Traffic Encryption Key,加密流量的密钥)1,针对规则4,生成对应的TEK2,针对规则5,生成对应的TEK3。
另外,还可以生成一个通用密钥,安全策略中未进行标记的规则对应该通用密钥。
假设管理设备为A组对应的安全策略生成一个通用密钥TEK0,该TEK0对应该安全策略的ACL中未被标记的规则1和规则2。
上述密钥消息包括生成的多个密钥以及每个密钥对应的规则。也就是说,管理设备在接收到成员设备发送的确认消息后,将“TEK0及TEK0对应的规则1和规则2、TEK1及TEK1对应的规则3、TEK2及TEK2对应的规则4、TEK3及TEK3对应的规则5”携带在密钥消息中发送给该成员设备。
成员设备根据接收到密钥消息,确定出每条规则对应的密钥。当有数据流经过该成员设备时,成员设备在接收到的安全策略中确定该数据流匹配的规则,利用该规则对应的密钥对该数据流进行保护。
具体的,成员设备接收到上述密钥消息后,确定出规则1对应的密钥为TEK0,规则2对应的密钥为TEK0,规则3对应的密钥为TEK1,规则4对应的密钥为TEK2,规则5对应的密钥为TEK3。当数据流1经过该成员设备时,成员设备在接收到的安全策略中确定数据流1匹配的规则为规则1,然后利用规则1对应的密钥TEK0对数据流1进行保护。类似的,成员设备利用规则2对应的密钥TEK0对数据流2进行保护,利用规则3对应的TEK1对数据流3进行保护,利用规则4对应的TEK2对数据流4进行保护,利用规则5对应的TEK3对数据流5进行保护。
应用本实施方式,管理设备为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。另外,还可以对经过成员设备的数据流区别保护,安全级别较高的数据流可以使用专用密钥进行保护,安全级别较低的数据流可以使用通用密钥进行保护,提高了数据流转发的安全性;另外,相比于针对每条数据流都采用专用密钥进行保护的方案,避免了不必要的资源浪费。
作为本发明的另一种实施方式,管理设备可以在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历所述安全策略,查找到具有标记的规则;
为具有相同标记的规则生成一个对应的专用密钥,其中,具有不同标记的规则对应的专用密钥各不相同;
生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
在本实施方式中,可以对安全级别较高、需要特殊保护的数据流对应的规则进行标记,具有相同标记的规则对应相同的专用密钥。
沿用上面的例子,假设上述数据流3、数据流4和数据流5为安全级别较高、需要特殊保护的数据流,则在A组对应的ACL中,对规则3、4、5进行标记。另外,数据流3和数据流4具有关联性,可以利用相同的密钥对二者进行保护。这种情况下,可以对规则3和规则4进行相同的标记。
管理设备遍历A组对应的安全策略中的ACL,查找到具有标记的规则3、4、5,且查找到规则3和规则4对应的标记相同。管理设备针对规则3和规则4,生成对应的TEK10,针对规则5,生成对应的TEK20。
另外,还可以生成一个通用密钥,安全策略中未进行标记的规则对应该通用密钥。
假设管理设备为A组对应的安全策略生成一个通用密钥TEK00,该TEK00对应该安全策略的ACL中未被标记的规则1和规则2。
管理设备向成员设备发送的密钥消息包括生成的多个密钥以及每个密钥对应的规则。也就是说,管理设备在接收到成员设备发送的确认消息后,将“TEK00及TEK00对应的规则1和规则2、TEK10及TEK10对应的规则3和规则4、TEK20及TEK20对应的规则5”携带在密钥消息中发送给该成员设备。
成员设备根据接收到密钥消息,确定出每条规则对应的密钥。当有数据流经过该成员设备时,成员设备在接收到的安全策略中确定该数据流匹配的规则,利用该规则对应的密钥对该数据流进行保护。
具体的,成员设备接收到上述密钥消息后,确定出规则1对应的密钥为TEK00,规则2对应的密钥为TEK00,规则3对应的密钥为TEK10,规则4对应的密钥为TEK10,规则5对应的密钥为TEK20。当数据流1经过该成员设备时,成员设备在接收到的安全策略中确定数据流1匹配的规则为规则1,然后利用规则1对应的密钥TEK00对数据流1进行保护。类似的,成员设备利用规则2对应的TEK00对数据流2进行保护,利用规则3对应的TEK10对数据流3进行保护,利用规则4对应的TEK10对数据流4进行保护,利用规则5对应的TEK20对数据流5进行保护。
应用本实施方式,管理设备为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。另外,还可以对经过成员设备的数据流区别保护,安全级别较高的数据流可以使用专用密钥进行保护,安全级别较低的数据流可以使用通用密钥进行保护,提高了数据流转发的安全性;另外,相比于针对每条数据流都采用专用密钥进行保护的方案,避免了不必要的资源浪费。
作为本发明的另一种实施方式,管理设备可以分别为所述安全策略中的每条规则生成一个对应的专用密钥,其中,每条规则对应的专用密钥各不相同。
在本实施方式中,可以针对该组保护的每条数据流都生成一个对应的专用密钥。也就是说,每条数据流对应的密钥都不相同。
在上面的例子中,针对规则1生成对应的TEK100,针对规则2生成对应的TEK200,针对规则3生成对应的TEK300,针对规则4生成对应的TEK400,针对规则5生成对应的TEK500。
管理设备向成员设备发送的密钥消息包括生成的多个密钥以及每个密钥对应的规则。也就是说,管理设备在接收到成员设备发送的确认消息后,将“TEK100及TEK100对应的规则1、TEK200及TEK200对应的规则2、TEK300及TEK300对应的规则3、TEK400及TEK400对应的规则4、TEK500及TEK500对应的规则5”携带在密钥消息中发送给该成员设备。
成员设备根据接收到密钥消息,确定出每条规则对应的密钥。当有数据流经过该成员设备时,成员设备在接收到的安全策略中确定该数据流匹配的规则,利用该规则对应的密钥对该数据流进行保护。
具体的,成员设备接收到上述密钥消息后,确定出规则1对应的密钥为TEK100,规则2对应的密钥为TEK200,规则3对应的密钥为TEK300,规则4对应的密钥为TEK400,规则5对应的密钥为TEK500。当数据流1经过该成员设备时,成员设备在接收到的安全策略中确定数据流1匹配的规则为规则1,然后利用规则1对应的密钥TEK100对数据流1进行保护。类似的,成员设备利用规则2对应的TEK200对数据流2进行保护,利用规则3对应的TEK300对数据流3进行保护,利用规则4对应的TEK400对数据流4进行保护,利用规则5对应的TEK500对数据流5进行保护。
应用本实施方式,管理设备为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。
与上述方法实施例相对应,本发明实施例还提供一种数据流保护装置。
图3为本发明实施例提供的一种应用于管理设备的数据流保护装置的结构示意图,包括:
接收模块301,用于接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;
第一发送模块302,用于向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;
第二发送模块303,用于在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
作为一种实施方式,所述装置还可以包括:标记模块、遍历模块、第一生成模块和第二生成模块(图中未示出),其中,
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第一生成模块,用于分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
作为另一种实施方式,所述装置还可以包括:标记模块、遍历模块、第三生成模块和第二生成模块(图中未示出),其中,
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第三生成模块,用于为具有相同标记的规则生成一个对应的专用密钥,其中,具有不同标记的规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
作为另一种实施方式,所述装置还可以包括:标记模块、遍历模块、第四生成模块和第二生成模块(图中未示出),其中,
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第四生成模块,用于分别为所述安全策略中的每条规则生成一个对应的专用密钥,其中,每条规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
应用本发明图3所示实施例,管理设备(即KS)为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (8)
1.一种数据流保护方法,其特征在于,应用于组域虚拟私有网络GD VPN系统中的管理设备,所述方法包括:
接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;
向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;
在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
2.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:
在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历所述安全策略,查找到具有标记的规则;
分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;
生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
3.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:
在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历所述安全策略,查找到具有标记的规则;
为具有相同标记的规则生成一个对应的专用密钥,其中,具有不同标记的规则对应的专用密钥各不相同;
生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
4.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:
分别为所述安全策略中的每条规则生成一个对应的专用密钥,其中,每条规则对应的专用密钥各不相同。
5.一种数据流保护装置,其特征在于,应用于组域虚拟私有网络GD VPN系统中的管理设备,所述装置包括:
接收模块,用于接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;
第一发送模块,用于向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;
第二发送模块,用于在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第一生成模块,用于分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第三生成模块,用于为具有相同标记的规则生成一个对应的专用密钥,其中,具有不同标记的规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
标记模块,用于在所述安全策略中,对所述多条规则中的至少一条规则进行标记;
遍历模块,用于遍历所述安全策略,查找到具有标记的规则;
第四生成模块,用于分别为所述安全策略中的每条规则生成一个对应的专用密钥,其中,每条规则对应的专用密钥各不相同;
第二生成模块,用于生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610682183.9A CN106302468B (zh) | 2016-08-17 | 2016-08-17 | 一种数据流保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610682183.9A CN106302468B (zh) | 2016-08-17 | 2016-08-17 | 一种数据流保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302468A CN106302468A (zh) | 2017-01-04 |
| CN106302468B true CN106302468B (zh) | 2020-11-20 |
Family
ID=57679654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610682183.9A Active CN106302468B (zh) | 2016-08-17 | 2016-08-17 | 一种数据流保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302468B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1379938A (zh) * | 1999-10-18 | 2002-11-13 | 耶德托存取公司 | 用于在多个安全装置中分配密钥的方法、用于与多个安全装置通信的方法、安全系统和多组安全装置 |
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN103546420A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | Get vpn中gm向ks注册的方法及gm和ks |
| CN104038335A (zh) * | 2014-06-05 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种gd vpn升级方法和装置 |
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| CN105592076A (zh) * | 2015-12-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种gd vpn的注册方法和装置 |
-
2016
- 2016-08-17 CN CN201610682183.9A patent/CN106302468B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| CN1379938A (zh) * | 1999-10-18 | 2002-11-13 | 耶德托存取公司 | 用于在多个安全装置中分配密钥的方法、用于与多个安全装置通信的方法、安全系统和多组安全装置 |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN103546420A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | Get vpn中gm向ks注册的方法及gm和ks |
| CN104038335A (zh) * | 2014-06-05 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种gd vpn升级方法和装置 |
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| CN105592076A (zh) * | 2015-12-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种gd vpn的注册方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106302468A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104519020B (zh) | 管理无线网络登录密码分享功能的方法、服务器及系统 | |
| CN109729080B (zh) | 基于区块链域名系统的访问攻击防护方法和系统 | |
| JP2020516202A (ja) | コアネットワークアクセスプロバイダ | |
| CN106487763B (zh) | 一种基于云计算平台的数据访问方法及用户终端 | |
| KR20150141362A (ko) | 네트워크 노드 및 네트워크 노드의 동작 방법 | |
| US20100205452A1 (en) | System, method and program product for communicating a privacy policy associated with a biometric reference template | |
| CN103268456B (zh) | 一种文件安全控制方法及装置 | |
| RU2573212C2 (ru) | Способ доступа к службам, системам и устройствам на основе аутентификации доступа wlan | |
| WO2017097101A1 (zh) | 用于账号登录的方法和装置 | |
| CN110071813A (zh) | 一种账户权限更改方法系统、账户平台和用户终端 | |
| CN111193755B (zh) | 数据访问、数据加密方法及数据加密与访问系统 | |
| CN105049546B (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
| CN104486364A (zh) | 一种基于电子证书的访问控制方法 | |
| Hamdane et al. | A credential and encryption based access control solution for named data networking | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| CN108234126B (zh) | 用于远程开户的系统和方法 | |
| CN106302468B (zh) | 一种数据流保护方法及装置 | |
| US20180314807A1 (en) | File permission control method | |
| US10902139B2 (en) | Method to track the dissemination of a data set | |
| US11924229B2 (en) | Distributed security in a secure peer-to-peer data network based on real-time sentinel protection of network devices | |
| Al‐Zewairi et al. | Risk adaptive hybrid RFID access control system | |
| KR20150089116A (ko) | 개인정보 관리 센터 및 이를 포함하는 개인정보 관리 시스템 | |
| KR102055888B1 (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
| CN110582986A (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证方法 | |
| Álvarez-Díaz et al. | A luggage control system based on NFC and homomorphic cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230619 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: No. 466 Changhe Road, Binjiang District Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |