CN117792784A - 基于访问控制列表的通信连接方法、装置、设备及介质 - Google Patents

基于访问控制列表的通信连接方法、装置、设备及介质 Download PDF

Info

Publication number
CN117792784A
CN117792784A CN202410011972.4A CN202410011972A CN117792784A CN 117792784 A CN117792784 A CN 117792784A CN 202410011972 A CN202410011972 A CN 202410011972A CN 117792784 A CN117792784 A CN 117792784A
Authority
CN
China
Prior art keywords
port
encryption
proxy
access control
control list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410011972.4A
Other languages
English (en)
Inventor
丘护君
周燕
张健
黄子乐
李东照
何华
袁淑英
于成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202410011972.4A priority Critical patent/CN117792784A/zh
Publication of CN117792784A publication Critical patent/CN117792784A/zh
Pending legal-status Critical Current

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种基于访问控制列表的通信连接方法、装置、设备及介质,具体涉及数据通信技术领域。该方法通过配置代理端口和被代理端口参数,启用访问控制列表代理功能与被代理功能。被代理端口向代理端口发送连接请求,代理端口确定第一加密种子并进行加密处理,发送给被代理端口。被代理端口解密第一加密种子得到第二加密种子,加密处理得到加密校验请求,发送给代理端口。代理端口对加密校验请求进行解密处理,得到第二加密种子,再对第二加密种子进行校验处理,得到校验结果。将校验结果发送给被代理端口。被代理端口根据校验结果,确定与代理端口的通信连接状态。该方法直接连接代理端口与被代理端口,提高拦截需求实施效率,减少工作量。

Description

基于访问控制列表的通信连接方法、装置、设备及介质
技术领域
本申请涉及数据通信技术领域,尤其涉及一种基于访问控制列表的通信连接方法、装置、设备及介质。
背景技术
访问控制列表(全称Access Control List,简称ACL)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。
在计算机网络中,我们通常使用网关(可以是防火墙或路由器等)分隔内网、外网,同时会使用NAT技术把外网流量的源IP、端口转换为内网IP、端口;此场景下,服务器无法判断来自外网流量的来源客户端,如果服务器要拦截某个客户端的流量,则必须在网关的端口做ACL,即针对源IP、端口的IP、端口且目的IP、在外网的映射IP以及端口做ACL策略,此方法也是目前数据通信时的普遍解决方案。
目前的解决方案是服务器侧的对外拦截需求完全由网关侧配合实施,两类设备很可能由不同的人员维护,此项流量拦截需求的实施在工作量、效率、易管理性、安全性等都存在不足之处。
发明内容
本申请提供一种基于访问控制列表的通信连接方法、装置、设备及介质,用以解决内外网数据通信过程中,实施流量拦截需求效率低,工作量大、安全性低的问题。
第一方面,本申请提供一种基于访问控制列表的通信连接方法,应用于被代理端口,所述方法包括:
获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法;
向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
获取所述代理端口反馈的连接信息,并根据解密密钥与解密算法对所述连接信息进行解密处理,得到第二加密种子;
采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求,并将所述加密校验请求发送至所述代理端口,以使所述代理端口对所述第二加密种子进行校验处理,所述加密校验请求包括所述第二加密种子;
获取所述代理端口反馈的校验结果,并根据所述校验结果,确定与所述代理端口的通信连接状态。
可选的,所述校验结果包括:第一校验结果和第二校验结果,所述根据所述校验结果,确定与所述代理端口的通信连接状态,包括:
若所述校验结果为第一校验结果,则确定与所述代理端口的通信连接状态为连接成功,所述第一校验结果用于指示校验成功;
若所述校验结果为第二校验结果,则确定与所述代理端口的通信连接状态为连接失败,并根据所述第二校验结果,确定失败信息,所述第二校验结果用于指示校验失败,所述失败信息包括:连接失败原因。
可选的,所述确定与所述代理端口的通信连接状态为连接成功之后,所述方法还包括:
获取所述代理端口发送的访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
根据所述压缩算法和所述压缩参数,对访问控制列表规则数据集进行压缩处理,得到规则信息,所述访问控制列表规则数据集是所述被代理端口启动访问控制列表代理功能之前获取到的;
将所述规则信息发送至所述代理端口,以使所述代理端口根据所述访问控制列表规则数据集与所述被代理端口进行数据交互。
第二方面,本申请提供一种基于访问控制列表的通信连接方法,应用于代理端口,所述方法包括:
获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法;
获取被代理端口发送的建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息,并向所述被代理端口反馈所述连接信息;
获取所述被代理端口发送的加密校验请求,并根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子;
对所述第二加密种子进行校验处理,得到校验结果,并将所述校验结果反馈给所述被代理端口,所述校验结果用于指示与所述被代理端口的通信连接状态。
可选的,所述对所述第二加密种子进行校验处理,得到校验结果,包括:
判断所述第二加密种子和所述第一加密种子是否一致;
在所述第二加密种子和所述第一加密种子一致时,确定所述校验结果为第一校验结果,所述第一校验结果用于指示校验成功;
在所述第二加密种子和所述第一加密种子不一致时,确定所述校验结果为第二校验结果,所述第二校验结果用于指示校验失败。
可选的,将所述第一校验结果反馈给所述被代理端口之后,所述方法还包括:
向所述被代理端口发送访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
获取所述被代理端口反馈的规则信息,并对所述规则信息进行解压处理,得到访问控制列表规则数据集;
按照所述访问控制列表规则数据集与所述被代理端口进行数据交互。
第三方面,本申请提供一种基于访问控制列表的通信连接装置,应用于被代理端口,所述装置包括:
获取模块,用于获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法;
发送模块,用于向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
所述获取模块,还用于获取所述代理端口反馈的连接信息,并根据解密密钥与解密算法对所述连接信息进行解密处理,得到第二加密种子;
处理模块,用于采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求,并将所述加密校验请求发送至所述代理端口,以使所述代理端口对所述第二加密种子进行校验处理,所述加密校验请求包括所述第二加密种子;
所述获取模块,还用于获取所述代理端口反馈的校验结果,并根据所述校验结果,确定与所述代理端口的通信连接状态。
可选的,所述装置还包括:确定模块;
所述确定模块,用于若所述校验结果为第一校验结果,则确定与所述代理端口的通信连接状态为连接成功,所述第一校验结果用于指示校验成功;
所述确定模块,还用于若所述校验结果为第二校验结果,则确定与所述代理端口的通信连接状态为连接失败,并根据所述第二校验结果,确定失败信息,所述第二校验结果用于指示校验失败,所述失败信息包括:连接流程失败的具体原因。
可选的,所述获取模块,还用于获取所述代理端口发送的访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
所述处理模块,还用于根据所述压缩算法和所述压缩参数,对访问控制列表规则数据集进行压缩处理,得到规则信息,所述访问控制列表规则数据集是所述被代理端口启动访问控制列表代理功能之前获取到的;
所述发送模块,还用于将所述规则信息发送至所述代理端口,以使所述代理端口根据所述访问控制列表规则数据集与所述被代理端口进行数据交互。
第四方面,本申请提供一种基于访问控制列表的通信连接装置,应用于代理端口,所述装置包括:
获取模块,用于获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法;
所述获取模块,还用于获取被代理端口发送的建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
确定模块,用于根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息,并向所述被代理端口反馈所述连接信息;
所述获取模块,还用于获取所述被代理端口发送的加密校验请求,并根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子;
处理模块,用于对所述第二加密种子进行校验处理,得到校验结果,并将所述校验结果反馈给所述被代理端口,所述校验结果用于指示与所述被代理端口的通信连接状态。
可选的,所述装置还包括:判断模块;
所述判断模块,用于判断所述第二加密种子和所述第一加密种子是否一致;
所述确定模块,还用于在所述第二加密种子和所述第一加密种子一致时,确定所述校验结果为第一校验结果,所述第一校验结果用于指示校验成功;
所述确定模块,还用于在所述第二加密种子和所述第一加密种子不一致时,确定所述校验结果为第二校验结果,所述第二校验结果用于指示校验失败。
可选的,所述装置还包括:发送模块、交互模块;
所述发送模块,用于向所述被代理端口发送访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
所述获取模块,还用于获取所述被代理端口反馈的规则信息,并对所述规则信息进行解压处理,得到访问控制列表规则数据集;
所述交互模块,用于按照所述访问控制列表规则数据集与所述被代理端口进行数据交互。
第五方面,本申请提供一种基于访问控制列表的通信连接设备,该设备包括:
存储器;
处理器;
其中,所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如上述第一方面和第二方面及第一方面和第二方面各种可能的实现方式所述的基于访问控制列表的通信连接方法。
第六方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现如上述第一方面和第二方面及第一方面和第二方面各种可能的实现方式所述的基于访问控制列表的通信连接方法。
本申请提供的基于访问控制列表的通信连接方法、装置、设备及介质,通过配置代理端口和被代理端口参数,启用访问控制列表代理功能与被代理功能。被代理端口向代理端口发送连接请求,代理端口确定第一加密种子并进行加密处理,发送给被代理端口。被代理端口解密第一加密种子得到第二加密种子,加密处理得到加密校验请求,发送给代理端口。代理端口对加密校验请求进行解密处理,得到第二加密种子,再对第二加密种子进行校验处理,得到校验结果。将校验结果发送给被代理端口。被代理端口根据校验结果,确定与代理端口的通信连接状态。该方法直接连接代理端口与被代理端口,提高拦截需求实施效率,减少工作量。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的基于访问控制列表的通信连接方法的场景示意图;
图2为本申请提供的基于访问控制列表的通信连接方法的交互示意图一;
图3为本申请提供的基于访问控制列表的通信连接方法的交互示意图二;
图4为本申请提供的基于访问控制列表的通信连接方法的交互示意图三;
图5为本申请提供的基于访问控制列表的通信连接方法的交互示意图四;
图6为本申请提供的基于访问控制列表的通信连接方法的交互示意图五;
图7为本申请提供的基于访问控制列表的通信连接装置的结构示意图一;
图8为本申请提供的基于访问控制列表的通信连接装置的结构示意图二;
图9为本申请提供的基于访问控制列表的通信连接设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、产品或设备固有的其它步骤或单元。
本申请实施例中,“示例性的”或者“例如”等词用于表示例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
访问控制列表是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。
在计算机网络中,我们通常使用网关(可以是防火墙或路由器等)分隔内网、外网,同时会使用NAT技术把外网流量的源IP、端口转换为内网IP、端口;此场景下,服务器无法判断来自外网流量的来源客户端,如果服务器要拦截某个客户端的流量,则必须在网关的端口做ACL,即针对源IP、端口的IP、端口且目的IP、在外网的映射IP以及端口做ACL策略,此方法也是目前数据通信的普遍解决方案。
目前的解决方案是服务器侧的对外拦截需求完全由网关侧配合实施,两类设备很可能由不同的人员维护,此项流量拦截需求的实施在工作量、效率、易管理性、安全性等都存在不足之处。
针对上述问题,本申请提出一种基于访问控制列表的通信连接方法,该方法使启用ACL功能的端口开启ACL代理功能,以接收ACL被代理端口配置的ACL规则以实现被代理端口的拦截需求,即将启用ACL功能端口的ACL规则配置的权限分发到一个或多个被代理端口上,使得被代理端口可根据ACL规则快速处理不同的拦截需求,提高拦截需求的实施效率,减少拦截需求实施的工作量。
图1为本申请提供的基于访问控制列表的通信连接方法的场景示意图。如图1所示,1表示客户端设备,2表示网关设备,3表示服务器设备,硬件端口A为客户端设备的硬件端口,使用固定IP,硬件端口B为网关设备连接外网的硬件端口,是外网设备提供访问内网设备的入口,硬件端口C为网关设备连接内网的硬件端口,硬件端口D为服务器设备的硬件端口,使用固定IP。硬件端口A与硬件端口B之间表示外网网段,硬件端口C与硬件端口D之间表示外网网段.
现有技术中通常采用NAT技术把外网流量的源IP、端口转换为内网IP、端口。硬件端口A流量由外网进入内网时,网关会其流量的源IP、源TCP/UDP端口做NAT转换为内网IP、TCP/UDP端口。如果存在拦截需求,就必须在网关的端口B配置ACL规则,再针对内外网网段的各个端口的IP做ACL策略,网关根据ACL规则来实现内外网网段的流量拦截。其不足之处是服务器侧的对外拦截需求完全由网关设备配合实施,服务器设备与网关设备由不同的人员维护,从而将导致拦截需求的实施效率与安全性降低,也不易于管理。
本申请的实施场景不需要网关设备的操作,也即设定代理端口和被代理端口,跳过网关直接将内网网段与外网网段连接。如图1所示,网关的硬件端口B启用ACL代理功能,配置服务器硬件端口D为被代理端口;服务器的硬件端口D启用ACL被代理功能,配置网关硬件端口B为代理端口,将硬件端口B与硬件端口D连接,实现各种拦截需求。网络的ACL规则管理更加扁平化,将ACL拦截规则权限下放,拦截需求设备维护人员可以更高效地应对业务需求变化,提升故障处理能力和业务处理效率。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的基于访问控制列表的通信连接方法的交互示意图一。
如图2所示,该方法包括:
S101:被代理端口获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法。
其中,配置参数至少应包括代理端口、代理端口IP、被代理端口、是否启用数据加密、加解密算法(可以是DES、3DES、AES等对称加解密算法)、通信密钥等。
可以理解的,在启用被代理功能之前,首先确定一个具体的被代理端口,再为被代理端口配置参数,所配置的参数应该与代理端口相互对应,以确保在后续连接过程中,可使用这些参数进行身份验证。完成参数配置后,启用访问控制列表被代理功能,开始建立连接的具体过程。
S102:代理端口获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法。
其中,配置参数至少应包括被代理端口、被代理端口IP、代理端口、是否启用数据加密、加解密算法(可以是DES、3DES、AES等对称加解密算法)、通信密钥等。
可以理解的,在启用代理功能之前,首先确定一个具体的代理端口,再为代理端口配置参数,所配置的参数应该与被代理端口相呼应,以确保在后续连接过程中,可使用这些参数进行身份验证。完成参数配置后,启用访问控制列表代理功能,开始建立连接的具体过程。
S103:被代理端口向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接。
可以理解的,在选定代理端口与被代理端口并为其配置好参数之后,开始执行连接流程,被代理端口向代理端口发送建立连接请求,表示被代理端口想要执行代理通信功能。
S103:代理端口根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息。
S103:代理端口向被代理端口发送所述连接信息。
其中,加密种子是指通信两端对负载数据进行加解密的密钥,会随机更新。加密密钥和加密算法在建立连接流程之前就已经配置在代理端口中,可直接使用。加密密钥也叫通信密钥,加密函数公式为加密后的数据=encode(加解密算法,加密密钥,待加密数据)。
可以理解的,代理端口获取被代理端口发送的建立连接请求,开始实行建立连接的步骤。采用提前配置的通信密钥与加密算法对第一加密种子进行加密,其中,第一加密种子是代理端口根据建立连接请求确定的。对第一加密种子进行加密后获得连接信息,连接信息的计算公式为encode(加密算法,通信密钥,加密种子)。在计算完成之后,将连接信息发送给被代理端口,使被代理端口可以利用它的配置参数进行解密。
其中,若代理端口与被代理端口没有配置加解密算法与加解密密钥,即encode、decode公式的加解密算法、加解密密钥参数为空时,加解密后的数据与待加解密数据相同。
S106:被代理端口根据解密密钥与解密算法对所述第一加密种子进行解密处理,得到第二加密种子。
可以理解的,被代理端口接收到代理端口发送的连接信息,利用配置信息的解密算法对连接信息进行解密,解密公式为=decode(加解密算法,解密密钥,待解密数据),得到第二加密种子,第二加密种子可用于代理端口检验是否与被代理端口连接成功。
S107:被代理端口采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求。
S108:被代理端口向代理端口发送所述加密校验请求。
可以理解的,为保证通信安全代理端口与被代理端口之间的通信都需要进行加密,所以被代理端口在发送第二加密种子时,会对其进行再次加密,以确保只有代理端口可获取第二加密种子的具体内容,第二加密种子解密后变成加密校验请求,并将加密校验请求发送给代理端口,使得其可以进行连接结果的检验。
S109:代理端口根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子。
可以理解的,代理端口接收到加密校验请求,采用提前配置好的解密密钥与解密算法对加密校验请求解密处理,得到被代理端口发送的第二加密种子,再根据第二加密种子进行连接结果校验。
S110:代理端口对所述第二加密种子进行校验处理,得到校验结果。
S111:代理端口向被代理端口发送所述校验结果。
其中,对第二加密种子进行校验处理的具体过程请详见下文,此处不再赘述。在得到检验结果后将结果发送给代理端口,使得代理端口知晓通信连接状态,根据结果进行进一步操作。
S112:被代理端口根据所述校验结果,确定与所述代理端口的通信连接状态。
可以理解的,被代理端口接收校验结果,确定发起的连接请求是否成功完成,若连接失败,则再次发起建立连接请求,直到通信连接建立成功。
本实施例提供的基于访问控制列表的通信连接方法,通过配置代理端口和被代理端口参数,启用访问控制列表代理功能与被代理功能。被代理端口向代理端口发送连接请求,代理端口确定第一加密种子并进行加密处理,发送给被代理端口。被代理端口解密第一加密种子得到第二加密种子,加密处理得到加密校验请求,发送给代理端口。代理端口对加密校验请求进行解密处理,得到第二加密种子,再对第二加密种子进行校验处理,得到校验结果。将校验结果发送给被代理端口。被代理端口根据校验结果,确定与代理端口的通信连接状态。该方法直接连接代理端口与被代理端口,提高拦截需求实施效率,减少工作量。
图3为本申请实施例提供的基于访问控制列表的通信连接方法的交互示意图二。本实施例是在图2实施例的基础上,根据校验结果,确定被代理端口与代理端口的通信连接状态的详细描述。如图3所示,该方法包括:
S201:判断第二加密种子和第一加密种子是否一致。
可以理解的,代理端口在接收到加密校验请求后,首先对其进行解密,得到第二加密种子,因为第一加密种子是由代理端口发出的,所以代理端口本身就具有第一加密种子,代理端口将第一加密种子与第二加密种子进行对比,获取对比结果。
S202:在所述第二加密种子和所述第一加密种子一致时,确定校验结果为第一校验结果。
S203:代理端口向被代理端口发送所述第一校验结果。
其中,第一校验结果是指代理端口和被代理端口连接成功。
可以理解的,若第一加密种子与第二加密种子一致时,也即代理端口与被代理端口的加解密算法是相对应的,可利用该算法对数据加解密之后再进行通信。在得到该结果后,代理端口向被代理端口发送第一校验结果,告知被代理端口连接成功。
S204:被代理端口确定与所述代理端口的通信连接状态为连接成功。
可以理解的,被代理端口接收到第一校验结果,确定与代理端口连接成功,使得被代理端口确定可将ACL规则发送给代理端口,以使代理端口可以按照ACL规则转换方法进行IP的转换。
其中,ACL规则转换方法为:因被代理端口的IP属于内网网段,而实施代理功能的端口在外网网段,实施针对流量的源网段也是外网网段,所以被代理端口设置的ACL规则送到代理端口后,代理端口会根据NAT规则将其ACL规则的目的IP、端口转换为被代理端口在外网网段映射的IP、端口。
示例的,被代理端口的内网IP、端口分别是ip1、port1,其被网关NAT功能映射到外网网段对应的IP、端口分别是ip2、port2,外网主机访问内网的被代理端口时的目的IP、端口分别是ip2、port2。
S205:在所述第二加密种子和所述第一加密种子不一致时,确定所述校验结果为第二校验结果。
S206:代理端口向被代理端口发送所述第二校验结果。
其中,第二校验结果是指代理端口和被代理端口连接失败。
可以理解的,若第一加密种子与第二加密种子不一致时,也即代理端口与被代理端口的加解密算法可能存在差异,或者某端口对其进行加解密时出现了错误。在得到该结果后,代理端口向被代理端口发送第二校验结果,告知被代理端口连接失败,同时,将失败的原因发送给被代理端口。
S207:被代理端口确定与所述代理端口的通信连接状态为连接失败,并根据所述第二校验结果,确定失败信息。
可以理解的,被代理端口收到第二校验结果,确定连接失败,在连接过程中出现了错误,并接收代理端口发送的失败信息,确定失败的具体原因。在改正失败原因后,重新发起建立连接请求。
本实施例提供的基于访问控制列表的通信连接方法,通过判断第二加密种子和第一加密种子是否一致。在第二加密种子和第一加密种子一致时,确定校验结果为第一校验结果。代理端口向被代理端口发送第一校验结果。被代理端口确定与代理端口的通信连接状态为连接成功。在第二加密种子和第一加密种子不一致时,确定校验结果为第二校验结果。代理端口向被代理端口发送第二校验结果。被代理端口确定与代理端口的通信连接状态为连接失败,并根据第二校验结果,确定失败信息。该方法通过确定检验结果的类型,明确代理端口和被代理端口的连接状态,使得后续可在连接状态为成功时,越过网关设备直接进行流量拦截,提高拦截需求的处理效率。
图4为本申请实施例提供的基于访问控制列表的通信连接方法的交互示意图三。本实施例是在图2实施例和图3实施例的基础上,建立连接流程成功后,对被代理端口配置的ACL规则进行完整性校验、同步ACL规则配置的具体过程。如图4所示,该方法包括:
S301:代理端口向被代理端口发送访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数。
其中,访问控制列表规则是提前配置在被代理端口的。在建立连接过程之前,需要给被代理端口配置ACL规则,ACL规则包括:默认ACL规则与自定义ACL规则。自定义ACL规则的配置参数至少应包括通信协议、目的端口、源网段、源网段掩码、源端口等(仅能针对访问本IP做ACL策略,所以无需配置ACL策略的目的IP,其目的IP就是被代理端口的端口IP)。重要的是,被代理端口对其所配置的ACL规则会自动分配唯一的ID,以作规则的唯一识别码。
可以理解的,建立连接流程成功后,代理端口开始进行ACL规则的校验与配置,请求获取被代理端口配置的完整ACL规则,使得在后续数据通信过程中可以按照ACL规则的具体内容,对流量等信息进行拦截。
S302:被代理端口根据所述压缩算法和所述压缩参数,对访问控制列表规则数据集进行压缩处理,得到规则信息。
S303:被代理端口向代理端口发送所述规则信息。
可以理解的,代理端口向被代理端口发送ACL规则请求,ACL规则请求中包括:压缩算法以及压缩参数,被代理端口按照代理端口指定的压缩算法以及压缩参数对ACL规则数据集进行压缩。
可以理解的,被代理端口将ACL规则数据集压缩之后,再按照测试过的加密算法对压缩结束的ACL规则数据集加密,得到规则信息,再将规则信息发送给代理端口,确保通信的安全。
S304:代理端口对所述规则信息进行解压处理,得到访问控制列表规则数据集。
可以理解的,代理端口接收规则信息,并对其进行解密、解压处理获取ACL规则数据集,若获取ACL规则数据集失败,则将失败的结果以及失败具体原因告知被代理端口,并请求再次获取ACL规则数据集。若获取ACL规则数据集成功,则将ACL规则数据集与现有ACL规则数据集进行校验与同步。
其中,因为每个ACL规则都具有唯一ID,校验与同步是指获取到的ACL规则数据集会直接覆盖现有ACL规则数据集,从而保证ACL规则为最新的ACL规则。
S305:若被代理端口对访问控制列表规则采取更新操作,则获取新的访问控制列表规则数据集。根据所述压缩算法和所述压缩参数,对所述新的访问控制列表规则数据集进行压缩处理,得到更新访问控制列表规则请求。
S306:被代理端口向代理端口发送所述更新访问控制列表规则请求。
可以理解的,在被代理端口对ACL规则采取增删改等操作后,被代理端口根据新的ACL规则的ID得到新的ACL规则数据集。再对新的ACL规则数据集进行压缩处理,得到更新访问控制列表规则请求。向代理端口发送更新访问控制列表规则请求,告知代理端口ACL规则存在变化,请求代理端口更新ACL规则。
S307:代理端口对所述更新访问控制列表规则请求进行解压处理,得到新的访问控制列表规则数据集。
可以理解的,代理端口接收更新访问控制列表规则请求,并将更新访问控制列表规则请求解压,提取更新后的ACL规则数据集,提取ACL规则数据集成功后将ACL规则数据与原先存储的ACL规则数据集进行数据校验与更新。
本实施例提供的基于访问控制列表的通信连接方法,通过代理端口向被代理端口发送访问控制列表规则请求,包括压缩算法和参数。被代理端口压缩处理规则数据集后发送给代理端口。代理端口解压得到规则数据集。如果被代理端口更新规则数据集,对新数据集进行压缩处理,发送更新请求给代理端口。代理端口解压得到新的规则数据集。该方法在建立连接流程成功后周期性完成访问控制列表规则的校验与配置,使得代理端口和被代理端口可以及时更新并按照新的访问控制列表规则进行流量拦截。
图5为本申请实施例提供的基于访问控制列表的通信连接方法的交互示意图四。本实施例是在图2实施例的基础上,代理端口长时间无法接收到被代理端口的消息时的处理方法。如图5所示,该方法包括:
S401:若代理端口在预设时长内未收到被代理端口的消息,则向被代理端口发送存活检测响应请求。
可以理解的,代理端口在配置参数时会设置存活检测时长,存活检测时长默认为5分钟,代理端口在3倍存活检测时长内(也即15分钟)仍未收到被代理端口的消息,则向被代理端口发送存活检测响应请求,询问被代理端口ACL规则是否需要改变。
S402:被代理端口根据所述存活检测响应请求确定响应结果。
可以理解的,被代理端口接收存活检测响应请求,确定自身是否失活,并将响应结果发送给代理端口,使得代理端口可以根据响应结果指示的内容继续进行流量拦截操作。若被代理端口存在失活现象,则确定发送第一响应。若被代理端口可以继续运行,不存在失活现象,则确定发送第二响应。
S403:被代理端口向代理端口发送第一响应,所述第一响应包括默认访问控制列表规则。
S404:代理端口按照所述第一响应执行流量过滤功能。
其中,第一响应是指被代理端口存在失活现象,不能及时更新ACL规则。
可以理解的,代理端口接收到第一响应,确定被代理端口失活,按照第一响应提供的默认访问控制列表规则执行流量过滤功能,防止流量拦截出现错误。
S405:被代理端口向代理端口发送第二响应,所述第二响应包括所有访问控制列表规则。
S406:代理端口按照所述第二响应执行流量过滤功能。
其中,第二响应是指被代理端口可继续更新ACL规则,数据通信可正常进行。
可以理解的,代理端口接收到第二响应,确定被代理端口正常,按照第二响应提供的自定义访问控制列表规则执行流量过滤功能,防止流量拦截出现错,其中,自定义访问控制列表规则是被代理端口提前配置的,也是正常情况下的访问控制列表规则。
本实施例提供的基于访问控制列表的通信连接方法,通过若代理端口在预设时长内未收到被代理端口的消息,则向被代理端口发送存活检测响应请求被代理端口根据存活检测响应请求确定响应结果。被代理端口向代理端口发送第一响应,第一响应包括默认访问控制列表规则。代理端口按照第一响应执行流量过滤功能。被代理端口向代理端口发送第二响应,第二响应包括所有访问控制列表规则。代理端口按照第二响应执行流量过滤功能。通过该方法代理端口可以确定按照哪种规则执行流量过滤功能,防止出现过滤错误的情况。
图6为本申请实施例提供的基于访问控制列表的通信连接方法的交互示意图五。本实施例是在图2实施例的基础上,为保证通信安全,定时更新加密种子的具体过程。
如图6所示,该方法包括:
S501:代理端口按照预设周期对加密种子进行更新,确定第三加密种子。采用加密密钥和加密算法,对所述第三加密种子进行加密处理,得到更新加密种子请求。
S502:代理端口向被代理端口发送所述更新加密种子请求。
其中,第三加密种子是按照预设周期更新的多个加密种子。预设周期是代理端口配置参数时设置的,默认周期为30秒到1分钟,在此周期内随时执行。
可以理解的,在通信过程中,无论是数据的通信还是ACL规则的更新与发送都需要对信息进行加密,所以为了保证通信的安全,需要按照预设周期更新加密种子。代理端口按照预设周期确定第三加密种子,对其进行加密处理后发送给被代理端口,使代理端口可以根据更新加密种子请求获取最新的加密种子。
S503:被代理端口根据解密密钥与解密算法对所述更新加密种子请求进行解密,得到更新结果。
可以理解的,解密更新加密种子请求与解密第一加密种子过程相同,此处不再赘述。被代理端口对更新加密种子请求解密后,得到更新结果。其中,更新结果是指被代理端口是否成功获取最新的加密种子。
S504:被代理端口向代理端口发送第一更新结果。
S505:代理端口根据所述第一更新结果确定所述第三加密种子更新完成。
可以理解的,被代理端口解密更新加密种子请求会出现两种结果,第一更新结果是指被代理端口成功解密更新加密种子请求,从中获取到第三加密种子并完成更新。被代理端口在更新完成之后向代理端口发送第一更新结果,告知代理端口第三加密种子已经更新成功,后续可按照新的加密种子对信息进行加密。发送成功后新的加密种子立即生效,旧的加密种子立即失效。
S505:被代理端口向代理端口发送第二更新结果与建立连接请求。
S506:代理端口根据所述第二更新结果确定所述第三加密种子更新失败,需要重新建立连接关系。
可以理解的,第二更新结果是指被代理端口解密更新加密种子请求失败,未获取到第三加密种子。被代理端口向代理端口发送第二更新结果,告知代理端口第三加密种子未更新成功,并说明失败的具体原因,且需要重新进行建立连接流程。
本实施例提供的基于访问控制列表的通信连接方法,通过代理端口按照预设周期对加密种子进行更新,确定第三加密种子。采用加密密钥和加密算法,对第三加密种子进行加密处理,得到更新加密种子请求。代理端口向被代理端口发送更新加密种子请求。被代理端口根据解密密钥与解密算法对更新加密种子请求进行解密,得到更新结果。被代理端口向代理端口发送第一更新结果。代理端口根据第一更新结果确定第三加密种子更新完成。被代理端口向代理端口发送第二更新结果与建立连接请求。代理端口根据第二更新结果确定第三加密种子更新失败,需要重新建立连接关系。该方法定时对加密种子进行更新,成功执行后,旧的加密种子立即失效,以保证代理端口与被代理端口之间通信的安全。
图7为本申请提供的基于访问控制列表的通信连接装置的结构示意图一,应用于被代理端口,如图7所示,本申请提供的基于访问控制列表的通信连接装置600,包括:
获取模块601,用于获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法;
发送模块602,用于向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
所述获取模块601,还用于获取所述代理端口反馈的连接信息,并根据解密密钥与解密算法对所述连接信息进行解密处理,得到第二加密种子;
处理模块603,用于采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求,并将所述加密校验请求发送至所述代理端口,以使所述代理端口对所述第二加密种子进行校验处理,所述加密校验请求包括所述第二加密种子;
所述获取模块601,还用于获取所述代理端口反馈的校验结果,并根据所述校验结果,确定与所述代理端口的通信连接状态。
可选的,所述装置还包括:确定模块604;
所述确定模块604,用于若所述校验结果为第一校验结果,则确定与所述代理端口的通信连接状态为连接成功,所述第一校验结果用于指示校验成功;
所述确定模块604,还用于若所述校验结果为第二校验结果,则确定与所述代理端口的通信连接状态为连接失败,并根据所述第二校验结果,确定失败信息,所述第二校验结果用于指示校验失败,所述失败信息包括:连接失败原因。
可选的,所述获取模块601,还用于获取所述代理端口发送的访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
所述处理模块603,还用于根据所述压缩算法和所述压缩参数,对访问控制列表规则数据集进行压缩处理,得到规则信息,所述访问控制列表规则数据集是所述被代理端口启动访问控制列表代理功能之前获取到的;
所述发送模块602,还用于将所述规则信息发送至所述代理端口,以使所述代理端口根据所述访问控制列表规则数据集与所述被代理端口进行数据交互。
图8为本申请提供的基于访问控制列表的通信连接装置的结构示意图二,应用于代理端口,如图8所示,本申请提供的基于访问控制列表的通信连接装置700,包括:
获取模块701,用于获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法;
所述获取模块701,还用于获取被代理端口发送的建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
确定模块702,用于根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息,并向所述被代理端口反馈所述连接信息;
所述获取模块701,还用于获取所述被代理端口发送的加密校验请求,并根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子;
处理模块703,用于对所述第二加密种子进行校验处理,得到校验结果,并将所述校验结果反馈给所述被代理端口,所述校验结果用于指示与所述被代理端口的通信连接状态。
可选的,所述装置还包括:判断模块704;
所述判断模块704,用于判断所述第二加密种子和所述第一加密种子是否一致;
所述确定模块702,还用于在所述第二加密种子和所述第一加密种子一致时,确定所述校验结果为第一校验结果,所述第一校验结果用于指示校验成功;
所述确定模块702,还用于在所述第二加密种子和所述第一加密种子不一致时,确定所述校验结果为第二校验结果,所述第二校验结果用于指示校验失败。
可选的,所述装置还包括:发送模块705、交互模块706;
所述发送模块705,用于向所述被代理端口发送访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
所述获取模块701,还用于获取所述被代理端口反馈的规则信息,并对所述规则信息进行解压处理,得到访问控制列表规则数据集;
所述交互模块706,用于按照所述访问控制列表规则数据集与所述被代理端口进行数据交互。
图9为本申请提供的基于访问控制列表的通信连接设备的结构示意图。如图9所示,本申请提供一种基于访问控制列表的通信连接设备,该基于访问控制列表的通信连接设备800包括:接收器801、发送器802、处理器803以及存储器804。
接收器801,用于接收指令和数据;
发送器802,用于发送指令和数据;
存储器804,用于存储计算机执行指令;
处理器803,用于执行存储器804存储的计算机执行指令,以实现上述实施例中基于访问控制列表的通信连接方法所执行的各个步骤。具体可以参见前述基于访问控制列表的通信连接方法实施例中的相关描述。
可选地,上述存储器804既可以是独立的,也可以跟处理器803集成在一起。
当存储器804独立设置时,该电子设备还包括总线,用于连接存储器804和处理器803。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现如上述基于访问控制列表的通信连接设备所执行的基于访问控制列表的通信连接方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种基于访问控制列表的通信连接方法,其特征在于,应用于被代理端口,所述方法包括:
获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法;
向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
获取所述代理端口反馈的连接信息,并根据解密密钥与解密算法对所述连接信息进行解密处理,得到第二加密种子;
采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求,并将所述加密校验请求发送至所述代理端口,以使所述代理端口对所述第二加密种子进行校验处理,所述加密校验请求包括所述第二加密种子;
获取所述代理端口反馈的校验结果,并根据所述校验结果,确定与所述代理端口的通信连接状态。
2.根据权利要求1所述的方法,其特征在于,所述校验结果包括:第一校验结果和第二校验结果,所述根据所述校验结果,确定与所述代理端口的通信连接状态,包括:
若所述校验结果为第一校验结果,则确定与所述代理端口的通信连接状态为连接成功,所述第一校验结果用于指示校验成功;
若所述校验结果为第二校验结果,则确定与所述代理端口的通信连接状态为连接失败,并根据所述第二校验结果,确定失败信息,所述第二校验结果用于指示校验失败,所述失败信息包括:连接失败原因。
3.根据权利要求2所述的方法,其特征在于,所述确定与所述代理端口的通信连接状态为连接成功之后,所述方法还包括:
获取所述代理端口发送的访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
根据所述压缩算法和所述压缩参数,对访问控制列表规则数据集进行压缩处理,得到规则信息,所述访问控制列表规则数据集是所述被代理端口启动访问控制列表代理功能之前获取到的;
将所述规则信息发送至所述代理端口,以使所述代理端口根据所述访问控制列表规则数据集与所述被代理端口进行数据交互。
4.一种基于访问控制列表的通信连接方法,其特征在于,应用于代理端口,所述方法包括:
获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法;
获取被代理端口发送的建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息,并向所述被代理端口反馈所述连接信息;
获取所述被代理端口发送的加密校验请求,并根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子;
对所述第二加密种子进行校验处理,得到校验结果,并将所述校验结果反馈给所述被代理端口,所述校验结果用于指示与所述被代理端口的通信连接状态。
5.根据权利要求4所述的方法,其特征在于,所述对所述第二加密种子进行校验处理,得到校验结果,包括:
判断所述第二加密种子和所述第一加密种子是否一致;
在所述第二加密种子和所述第一加密种子一致时,确定所述校验结果为第一校验结果,所述第一校验结果用于指示校验成功;
在所述第二加密种子和所述第一加密种子不一致时,确定所述校验结果为第二校验结果,所述第二校验结果用于指示校验失败。
6.根据权利要求5所述的方法,其特征在于,将所述第一校验结果反馈给所述被代理端口之后,所述方法还包括:
向所述被代理端口发送访问控制列表规则请求,所述访问控制列表规则请求包括:压缩算法以及压缩参数;
获取所述被代理端口反馈的规则信息,并对所述规则信息进行解压处理,得到访问控制列表规则数据集;
按照所述访问控制列表规则数据集与所述被代理端口进行数据交互。
7.一种基于访问控制列表的通信连接装置,其特征在于,应用于被代理端口,所述装置包括:
获取模块,用于获取配置参数,并启用访问控制列表被代理功能,所述配置参数包括:加解密密钥和加解密算法;
发送模块,用于向代理端口发送建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
所述获取模块,还用于获取所述代理端口反馈的连接信息,并根据解密密钥与解密算法对所述连接信息进行解密处理,得到第二加密种子;
处理模块,用于采用加密密钥和加密算法,对所述第二加密种子进行加密处理,得到加密校验请求,并将所述加密校验请求发送至所述代理端口,以使所述代理端口对所述第二加密种子进行校验处理,所述加密校验请求包括所述第二加密种子;
所述获取模块,还用于获取所述代理端口反馈的校验结果,并根据所述校验结果,确定与所述代理端口的通信连接状态。
8.一种基于访问控制列表的通信连接装置,其特征在于,应用于代理端口,所述装置包括:
获取模块,用于获取配置参数,并启用访问控制列表代理功能,所述配置参数包括:加解密密钥和加解密算法;
所述获取模块,还用于获取被代理端口发送的建立连接请求,所述建立连接请求用于与所述代理端口建立访问控制列表代理连接;
确定模块,用于根据所述建立连接请求,确定与所述被代理端口对应的第一加密种子,采用加密密钥和加密算法,对所述第一加密种子进行加密处理,得到连接信息,并向所述被代理端口反馈所述连接信息;
所述获取模块,还用于获取所述被代理端口发送的加密校验请求,并根据解密密钥与解密算法对所述加密校验请求进行解密处理,得到第二加密种子;
处理模块,用于对所述第二加密种子进行校验处理,得到校验结果,并将所述校验结果反馈给所述被代理端口,所述校验结果用于指示与所述被代理端口的通信连接状态。
9.一种基于访问控制列表的通信连接设备,其特征在于,包括:
存储器;
处理器;
其中,所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-3或4-6中任一项所述的基于访问控制列表的通信连接方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-3或4-6中任一项所述的基于访问控制列表的通信连接方法。
CN202410011972.4A 2024-01-03 2024-01-03 基于访问控制列表的通信连接方法、装置、设备及介质 Pending CN117792784A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410011972.4A CN117792784A (zh) 2024-01-03 2024-01-03 基于访问控制列表的通信连接方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410011972.4A CN117792784A (zh) 2024-01-03 2024-01-03 基于访问控制列表的通信连接方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN117792784A true CN117792784A (zh) 2024-03-29

Family

ID=90390766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410011972.4A Pending CN117792784A (zh) 2024-01-03 2024-01-03 基于访问控制列表的通信连接方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN117792784A (zh)

Similar Documents

Publication Publication Date Title
US10243928B2 (en) Detection of stale encryption policy by group members
EP3142327B1 (en) Intermediate network entity
US6832313B1 (en) Migration from in-clear to encrypted working over a communications link
US8370920B2 (en) System and method for providing unified transport and security protocols
EP2060055B1 (en) Destroying a Secure Session maintained by a Server on behalf of a Connection Owner
US11924491B2 (en) Securing an overlay network against attack
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
EP3633949A1 (en) Method and system for performing ssl handshake
WO2005020041A1 (en) System and method for secure remote access
US9516065B2 (en) Secure communication device and method
KR101896453B1 (ko) 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템
CN113852483B (zh) 网络切片连接管理方法、终端及计算机可读存储介质
CN114826754A (zh) 一种不同网络间的通信方法及系统、存储介质、电子装置
WO2023174143A1 (zh) 数据传输方法、设备、介质及产品
US20150281963A1 (en) Remote wireless adapter
CN103731410A (zh) 虚拟网络构建系统、方法、小型终端及认证服务器
US20210176051A1 (en) Method, devices and computer program product for examining connection parameters of a cryptographically protected communication connection during establishing of the connection
CN110943996B (zh) 一种业务加解密的管理方法、装置及系统
US20160294558A1 (en) Information collection system and a connection control method in the information collection system
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
CN117792784A (zh) 基于访问控制列表的通信连接方法、装置、设备及介质
KR101881278B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법
CN114070636B (zh) 安全控制方法、装置,交换机,服务器及网络系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination