本发明专利技术实施例公开了一种数据流保护方法及装置,管理设备接收成员设备发送的安全策略获取消息,其中携带所述成员设备所在组的组标识;向成员设备发送组标识对应的安全策略,其中包括多条规则;在接收到成员设备在验证安全策略通过时发送的确认消息后,向成员设备发送密钥消息,密钥消息携带多个密钥及每个密钥对应的规则。由此可见,管理设备为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。
【技术实现步骤摘要】
本专利技术涉及通信
,特别涉及一种数据流保护方法及装置。
技术介绍
GDVPN(GroupDomainVirtualPrivateNetwork,组域虚拟私有网络)是一种能够实现安全策略和密钥集中管理的网络。GDVPN提供了一种新的基于组的Ipsec(IPsecurity)安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的密钥和安全策略。如图1所示,GDVPN系统中包括KS(KeyServer,密钥服务器)和GM(GroupMember,组成员)。KS分别生成每个组对应的安全策略(包括允许转发的每条数据流的信息、加密算法、认证算法、封装模式等)及密钥。在上述方案中,同一个组对应的密钥相同,该组保护的全部数据流都应用同样的密钥进行保护。也就是说,一旦非法用户获取了该组保护的任一数据流的密钥,则该组保护的其他数据流都能够被获取,安全性较低。
技术实现思路
本专利技术实施例的目的在于提供一种数据流保护方法及装置,提高系统的安全性。为达到上述目的,本专利技术实施例公开了一种数据流保护方法,应用于组域虚拟私有网络GDVPN系统中的管理设备,所述方法包括:接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。为达到上述目的,本专利技术实施例还公开了一种数据流保护装置,应用于组域虚拟私有网络GDVPN系统中的管理设备,所述装置包括:接收模块,用于接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;第一发送模块,用于向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;第二发送模块,用于在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。应用本专利技术实施例,管理设备(即KS)为同一个组生成多个不同的密钥。即使非法用户获取了该组保护的一条数据流对应的密钥,该组保护的其他数据流对应的密钥与该被获取的密钥不同,则非法用户不能获取该组保护的其他数据流,提高了系统的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的GDVPN系统的结构示意图图2为本专利技术实施例提供的一种数据流保护方法的流程示意图;图3为本专利技术实施例提供的一种数据流保护装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了解决上述技术问题,本专利技术实施例提供了一种数据流保护方法及装置。该方法和装置应用于GDVPN系统中的管理设备,该系统可以如图1所示,包括管理设备(即KS)和成员设备(即GM)。下面首先对本专利技术实施例提供的数据流保护方法进行详细说明。图2为本专利技术实施例提供的一种数据流保护方法的流程示意图,包括:S201:接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识。在GDVPN系统中,各成员设备进行数据流的转发之前,成员设备与管理设备可以先进行身份验证;身份验证通过后,成员设备向管理设备发送安全策略获取消息,该安全策略获取消息中携带该成员设备所在组的组标识。S202:向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则。在本实施例中,管理设备可以针对每个组各生成一个安全策略,该安全策略可以包括ACL(AccessControlList,访问控制列表)、认证算法、封装模式等。该安全策略中的ACL中可以配置多条规则,每条规则对应至少一条数据流。举例来说,假设成员设备所在的组为A组。管理设备针对A组生成的ACL中可以配置5条规则,其中,规则1对应数据流1,规则2对应数据流2,规则3对应数据流3,规则4对应数据流4,规则5对应数据流5。管理设备针对每个组的处理方案均相同,因此,本实施例中,仅针对一个组进行说明。S203:在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。成员设备接收管理设备发送的安全策略,并对接收到的安全策略进行验证(比如,自身是否能够支持安全策略中的加密算法等),如果验证通过,向KS发送确认消息。管理设备在接收到该确认消息后,向成员设备密钥消息。在此之前,管理设备预先生成安全策略中的规则对应的密钥。具体的,作为本专利技术的一种实施方式,管理设备可以在所述安全策略中,对所述多条规则中的至少一条规则进行标记;遍历所述安全策略,查找到具有标记的规则;分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。在本实施方式中,可以对安全级别较高、需要特殊保护的数据流对应的规则进行标记,并分别为每条具有标记的规则生成一个对应的专用密钥,每个专用密钥各不相同,只对自身对应的数据流进行保护。假设上述数据流3、数据流4和数据流5为安全级别较高、需要特殊保护的数据流,则在A组对应的ACL中,对规则3、4、5进行标记。具体的,该标记可以为GDOI(GroupDomainofInterpretation)标记,当然,也可以为其他标记,在此不做限定。管理设备遍历A组对应的安全策略中的ACL,查找到具有标记的规则3、4、5。管理设备针对规则3,生成对应的TEK(TrafficEncryptionKey,加密流量的密钥)1,针对规则4,生成对应的TEK2,针对规则5,生成对应的TEK3。另外,还可以生成一个通用密钥,安全策略中未进行标记的规则对应该通用密钥。假设管理设备为A组对应的安全策略生成一个通用密钥TEK0,该TEK0对应该安全策略的ACL中未被标记的规则1和规则2。上述密钥消息包括生成的多个密钥以及每个密钥对应的规则。也就是说,管理设备在接收到成员本文档来自技高网...
【技术保护点】
一种数据流保护方法,其特征在于,应用于组域虚拟私有网络GD VPN系统中的管理设备,所述方法包括:接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。
【技术特征摘要】
1.一种数据流保护方法,其特征在于,应用于组域虚拟私有网络GDVPN系统中的管理设备,所述方法包括:接收成员设备发送的安全策略获取消息,所述安全策略获取消息携带所述成员设备所在组的组标识;向所述成员设备发送所述组标识对应的安全策略,所述安全策略包括多条规则;在接收到所述成员设备在验证所述安全策略通过时发送的确认消息后,向所述成员设备发送密钥消息,所述密钥消息携带多个密钥及所述多个密钥中每个密钥对应的规则,所述每个密钥对应的规则为所述安全策略中的一条规则或多条规则,且每条规则对应一个密钥,以使所述成员设备利用所述多个密钥对匹配所述安全策略中的规则的数据流进行保护。2.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:在所述安全策略中,对所述多条规则中的至少一条规则进行标记;遍历所述安全策略,查找到具有标记的规则;分别为每条具有标记的规则生成一个对应的专用密钥,其中,每条具有标记的规则对应的专用密钥各不相同;生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。3.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:在所述安全策略中,对所述多条规则中的至少一条规则进行标记;遍历所述安全策略,查找到具有标记的规则;为具有相同标记的规则生成一个对应的专用密钥,其中,具有不同标记的规则对应的专用密钥各不相同;生成所述安全策略对应的通用密钥,所述通用密钥为所述多条规则中未进行标记的规则的密钥。4.根据权利要求1所述的方法,其特征在于,在所述向所述成员设备发送密钥消息之前,所述方法还包括:分别为所述安全策略中的每条规则生成一个对应的专用密钥,其中,每条规则对应的专用密钥各不相同。5.一种数据流保护装置,其特征在于,应用于组域虚拟私有网络GDVPN系统中的管理设备,所述装置包括:接收模块,用于接收成员设备发送的安全策略获取消息,所述...
【专利技术属性】
技术研发人员:郑黎明,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。