一种基于密钥的分布式访问控制方法、装置及存储设备制造方法及图纸

本发明专利技术实施例公开一种基于密钥的分布式访问控制方法、装置及存储设备，用以解决诸多防火墙的规则难以统一维护管理以及硬件防火墙在流量较大的情况下出现性能不足的问题。该方法包括：接收数据包，检测数据包是否为加密数据包；若不是，则将所述数据包丢弃；若是，查询本设备访问控制规则列表中与发送数据包的设备有关的规则，获取规则对应的密钥，使用密钥对数据包解密；若解密成功，则根据密钥对应规则执行对所述数据包的动作；若未解密成功，将所述数据包引流至蜜罐网络诱导环境中，或重定向到特定网关设备。

A key based distributed access control method, device and storage device

【技术实现步骤摘要】
一种基于密钥的分布式访问控制方法、装置及存储设备
本专利技术实施例涉及计算机网络安全领域，尤其涉及一种基于密钥的分布式访问控制方法、装置及存储设备。
技术介绍
目前，防火墙是实现访问控制的一种常用方式，根据其位于协议栈的位置可分为网络层防火墙和应用层防火墙，网络层防火墙利用封包的多种属性进行过滤(IP、端口、协议等)，应用层防火墙依据封包所属的应用程序进行过滤，理论上可以完全阻隔未知应用程序的数据流进到受保护的设备。防火墙可以部署在路由器上实现对内/外网的访问控制，也可以部署在单个PC上，实现对PC的访问控制。但诸多防火墙的规则难以统一维护和管理，规则是否活跃也难以进行判断；同时，对于硬件防火墙来说，在流量较大的情况下常出现防火墙性能不足的情况。
技术实现思路
基于上述存在的问题，本专利技术实施例提供一种基于密钥的分布式访问控制方法、装置及存储设备，用以解决诸多防火墙的规则难以统一维护管理以及硬件防火墙在流量较大的情况下出现性能不足的问题。本专利技术实施例公开一种基于密钥的分布式访问控制方法，包括：接收数据包本文档来自技高网...

【技术保护点】
1.一种基于密钥的分布式访问控制方法，其特征在于：/n接收数据包，检测数据包是否为加密数据包；/n若不是，则将所述数据包丢弃；/n若是，查询本设备访问控制规则列表中与发送数据包的设备有关的规则，获取规则对应的密钥，使用密钥对数据包解密；/n若解密成功，则根据密钥对应规则执行对所述数据包的动作；若未解密成功，将所述数据包引流至蜜罐网络诱导环境中，或重定向到特定网关设备。/n

【技术特征摘要】
1.一种基于密钥的分布式访问控制方法，其特征在于：
接收数据包，检测数据包是否为加密数据包；
若不是，则将所述数据包丢弃；
若是，查询本设备访问控制规则列表中与发送数据包的设备有关的规则，获取规则对应的密钥，使用密钥对数据包解密；
若解密成功，则根据密钥对应规则执行对所述数据包的动作；若未解密成功，将所述数据包引流至蜜罐网络诱导环境中，或重定向到特定网关设备。


2.如权利要求1所述的方法，其特征在于，还包括：若数据包被与发送数据包的设备无关的规则对应的密钥解密，则所述数据包将被丢弃。


3.如权利要求1所述的方法，其特征在于，所述访问控制规则列表中每条规则的格式为规则ID、密钥、优先级、匹配内容、动作内容；
规则ID：规则编号；
密钥：规则对应的密钥，每条规则对应不同的密钥，加密和解密使用同一密钥；
优先级：表示规则的优先级；
匹配内容包括：发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用；
动作内容包括：允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。


4.如权利要求1所述的方法，其特征在于，访问控制规则列表采用白名单机制，每台设备的访问控制规则列表均来源于访问控制规则库，所述规则库存放内网单台设备上或者分布式集群上。


5.如权利要求4所述的方法，其特征在于，所述访问控制规则库不断进行更新，具体包括：
通知内网所有设备同步更新访问控制规则列表；
或者识别所述访问控制规则列表更新所影响的内网设备，主动将更新后的访问控制规则列表推送给被影响的内网设备。


6.如权利要求1所述的方法，其特征在于，所述访问控制规则列表中还包含特定范围互访规则，所述特定范围互访规则在内网或者内外网的特定范围内进行互访时，自动批复所需规则在一段时间内生效。


7.如权利要求1所述的方法，其特征在于，将所述数据包引流至蜜罐网络诱导环境中，具体为：
内网设备对加密数据包外层Ethernetheader、IPv6Header、传输层报头进行更改，具体为：将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息，源IP、端口、Mac变更为内网设备的信息；
蜜罐网络诱导环境接收到更改后的数据包，对该数据包进行检测，根据检测结果选择对应密钥，构造加密的反馈数据包；
内网设备收到蜜罐发送的反馈数据包，根据成功解密的密钥对应规则ID决定对所述数据包采取的动作。


8.如权利要求1所述的方法，其特征在于，将所述数据包重定向到特定网关设备，具体为：
内网设备对加密数据包Ethernetheader、IPv6Header、传输层报头进行更改，具体为：将目的Mac、目的IP、端口变更为特定网关设备的信息，源IP、端口、Mac变更为内网设备的信息；
将所述数据包重定向到特定网关设备。


9.一种基于密钥的分布式访问控制装置，其特征在于，所述装置包括存储器和处理器，所述存储器用于存储多条指令，所述处理器用于加载所述存储器中存储的指令以执行：
接收数据包，检测数据包是否为加密数据包；
若不是，则将所述数据包丢弃；
若是，查询本设备访问控制规则列表中与发送数据包的设备有关的规则，获取规则对应的密钥，使用密钥对数据包解密；
若解密成功，则根据密钥对应规则执行对所述数据包的动作；若未解密成功，将所述数据包引流至蜜罐网络诱导环境中，或重定向到特定网关设备。


10.如权利要求9所述的装置，其特征在于，所述处理器还用于加载所述存储器中存储的指令以执行...

【专利技术属性】
技术研发人员：李林哲，向菁菁，关墨辰，肖新光，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：黑龙;23