本公开提供一种访问控制规则的加密方法、装置和存储介质,其中,所述方法包括:接收终端设备发送的第一哈希值、第一密文、加密算法和密钥信息,其中,所述第一哈希值是终端设备依据访问控制规则中的五元组信息计算得到的,所述第一密文是终端设备依据所述加密算法和所述密钥信息对访问控制规则中的五元组信息加密得到的;将所述第一密文存储至所述第一哈希值对应的存储位置,以及将所述加密算法和所述密钥信息存储至加密模块。通过密文匹配的方式确定目标流量是否符合访问控制规则的规定,避免了将访问控制规则明文存储至网络设备中,降低了访问控制规则泄露的风险,提高了网络设备和访问控制规则的安全性。
【技术实现步骤摘要】
本公开涉及计算机网络,尤其涉及一种访问控制规则的加密方法、装置和存储介质。
技术介绍
1、在计算机网络中,需要通过交换机等网络设备将流量数据传输至符合要求的路由上,以实现对计算机网络中的流量数据进行控制的目的。在网络设备对流量数据进行控制时,需要在网络设备上配置对应的访问控制规则,以使网络设备根据访问控制规则自动处理流量数据。通过设置访问控制规则可以根据设定的条件对接口上的流量数据包进行过滤,允许通过或者丢弃等处理,提高网络性能和网络安全性。
2、现有技术中,访问控制规则通常采用明文的方式存储在网络设备中,用户登录网络设备即可查看所有访问控制规则,存在访问控制规则泄露的风险,从而对网络设备的运行造成安全隐患。
3、针对上述的访问控制规则安全性较低的问题,目前尚未存在良好的解决方案。
技术实现思路
1、有鉴于此,本说明书提供一种访问控制规则的加密方法、装置和存储介质,可以将访问控制规则以密文的方式存储至交换机等网络设备中,降低了访问控制规则泄露的风险,提高了网络设备和访问控制规则的安全性。
2、本说明书实施例提供了一种访问控制规则的加密方法,应用于网络设备,所述网络设备可以为交换机等设备,所述方法包括:
3、接收终端设备发送的第一哈希值、第一密文、加密算法和密钥信息,其中,所述第一哈希值是终端设备依据访问控制规则中的五元组信息计算得到的,所述第一密文是终端设备依据所述加密算法和所述密钥信息对访问控制规则中的五元组信息加密得到的;
4、将所述第一密文存储至所述第一哈希值对应的存储位置,以及将所述加密算法和所述密钥信息存储至加密模块。
5、可选的,在接收终端设备发送的第一哈希值和第一密文之后,所述方法还包括:
6、接收目标流量的目标报文信息,并生成所述目标报文信息的第二哈希值和第二密文;
7、响应于确定所述第二哈希值中存在所述网络设备中的第一哈希值,则依据所述第一哈希值确定所述目标报文信息对应的访问控制规则的目标存储位置;
8、对所述目标存储位置中的第一密文和所述第二密文进行匹配,并依据匹配结果控制所述目标流量。
9、可选的,所述生成所述目标报文信息的第二哈希值和第二密文,包括:
10、依据所述目标报文信息中的五元组信息和规则模板组,计算所述第二哈希值,其中,所述规则模板组中存在至少一个规则模板,所述规则模板用于筛选所述五元组信息;
11、依据所述加密模块中的所述加密算法和所述密钥信息,对所述目标报文信息中的五元组信息进行加密,得到所述第二密文。
12、可选的,所述依据匹配结果控制所述目标流量,包括:
13、响应于确定所述匹配结果表征所述第一密文与所述第二密文相同,则依据预设处理动作对所述目标流量进行控制。
14、本公开实施例提供了一种访问控制规则的加密方法,应用于终端设备,所述方法包括:
15、依据访问控制规则中的五元组信息和目标规则模板,计算第一哈希值,其中,所述目标规则模板用于筛选所述五元组信息;
16、依据加密算法和密钥信息对所述访问控制规则中的五元组信息进行加密,得到第一密文;
17、将所述第一哈希值、所述第一密文、所述加密算法和所述密钥信息发送至网络设备,以使所述网络设备将所述第一密文存储至所述第一哈希值对应的位置以及将所述加密算法和所述密钥信息存储至加密模块。
18、可选的,在所述终端设备配置多个网络设备的访问控制规则时,所述方法还包括:
19、获取每个网络设备的加密算法和密钥信息,并依据每个网络设备的加密算法和密钥信息对目标规则模板对所述访问控制规则中的五元组信息进行加密,得到每个网络设备的第一密文;
20、将每个网络设备的第一密文、加密算法和密钥信息发送至对应的网络设备。
21、可选的,所述依据访问控制规则中的五元组信息和目标规则模板,计算第一哈希值,包括:
22、依据访问控制规则在规则模板组中确定所述目标规则模板,其中,所述规则模板组中存在至少一个规则模板;
23、依据所述目标规则模板,对所述访问控制规则的五元组信息进行筛选,得到筛选后的五元组信息;
24、依据所述筛选后的五元组信息,计算所述第一哈希值。
25、本公开实施例提供了一种访问控制规则的加密装置,应用于网络设备,所述装置包括:
26、接收单元,用于接收终端设备发送的第一哈希值、第一密文、加密算法和密钥信息,其中,所述第一哈希值是终端设备依据访问控制规则中的五元组信息计算得到的,所述第一密文是终端设备依据所述加密算法和所述密钥信息对访问控制规则中的五元组信息加密得到的;
27、存储单元,用于将所述第一密文存储至所述第一哈希值对应的存储位置,以及将所述加密算法和所述密钥信息存储至加密模块。
28、可选的,所述装置还包括:
29、生成单元,用于接收目标流量的目标报文信息,并生成所述目标报文信息的第二哈希值和第二密文;
30、确定单元,用于响应于确定所述第二哈希值中存在所述网络设备中的第一哈希值,则依据所述第一哈希值确定所述目标报文信息对应的访问控制规则的目标存储位置;
31、控制单元,用于对所述目标存储位置中的第一密文和所述第二密文进行匹配,并依据匹配结果控制所述目标流量。
32、可选的,所述生成单元,具体用于:
33、依据所述目标报文信息中的五元组信息和规则模板组,计算所述第二哈希值,其中,所述规则模板组中存在至少一个规则模板,所述规则模板用于筛选所述五元组信息;
34、依据所述加密模块中的所述加密算法和所述密钥信息,对所述目标报文信息中的五元组信息进行加密,得到所述第二密文。
35、可选的,控制单元,具体用于:
36、响应于确定所述匹配结果表征所述第一密文与所述第二密文相同,则依据预设处理动作对所述目标流量进行控制。
37、本公开实施例提供了一种访问控制规则的加密装置,应用于终端设备,所述装置包括:
38、计算单元,用于依据访问控制规则中的五元组信息和目标规则模板,计算第一哈希值,其中,所述目标规则模板用于筛选所述五元组信息;
39、加密单元,用于依据加密算法和密钥信息对所述访问控制规则中的五元组信息进行加密,得到第一密文;
40、第一发送单元,用于将所述第一哈希值、所述第一密文、所述加密算法和所述密钥信息发送至网络设备,以使所述网络设备将所述第一密文存储至所述第一哈希值对应的位置以及将所述加密算法和所述密钥信息存储至加密模块。
41、可选的,所述装置还包括:
42、获取单元,用于获取每个网络设备的加密算法和密钥信息,并依据每个网络设备的加密算法和密钥信息对目标规则模板对所述访问控制规则中的五元组信息进行加密,得到每个网络设备的第本文档来自技高网
...
【技术保护点】
1.一种访问控制规则的加密方法,其特征在于,应用于网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在接收终端设备发送的第一哈希值和第一密文之后,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述生成所述目标报文信息的第二哈希值和第二密文,包括:
4.根据权利要求2所述的方法,其特征在于,所述依据匹配结果控制所述目标流量,包括:
5.一种访问控制规则的加密方法,其特征在于,应用于终端设备,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,在所述终端设备配置多个网络设备的访问控制规则时,所述方法还包括:
7.根据权利要求5所述的方法,其特征在于,所述依据访问控制规则中的五元组信息和目标规则模板,计算第一哈希值,包括:
8.一种访问控制规则的加密装置,其特征在于,应用于网络设备,所述装置包括:
9.一种访问控制规则的加密装置,其特征在于,应用于终端设备,所述装置包括:
10.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一所述的方法。
...
【技术特征摘要】
1.一种访问控制规则的加密方法,其特征在于,应用于网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在接收终端设备发送的第一哈希值和第一密文之后,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述生成所述目标报文信息的第二哈希值和第二密文,包括:
4.根据权利要求2所述的方法,其特征在于,所述依据匹配结果控制所述目标流量,包括:
5.一种访问控制规则的加密方法,其特征在于,应用于终端设备,所述方法包括:
6.根据权利要求5所述的方...
【专利技术属性】
技术研发人员:周江恒,张宁,房谦,张乾,符志清,王涛,
申请(专利权)人:杭州迪普信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。