[发明专利]一种安全访问控制策略的配置方法和装置

权利要求书

1.一种安全访问控制策略的配置方法，其特征在于，包括：

S1、下发包含安全访问控制策略配置指令和签名信息在内的网络数据包，安全网关根据从Ukey获取到的密钥信息对收到的网络数据包进行解析；

S2、将解析出的配置指令进行哈希运算得到哈希值H1’，并与从网络数据包中解析出的哈希值H进行比对，若H与H’相同则执行后续步骤，若不同则中断该配置并告警；

S3、将解析出的配置指令写入安全网关的访问控制策略控制模块；

S4、访问控制策略控制模块定时反馈当前的配置和状态信息。

2.根据权利要求1所述的安全访问控制策略的配置方法，其特征在于，所述签名信息是指对所述网络数据包中的安全访问控制策略配置指令进行哈希运算得到哈希值H，并用管理员私钥对上述哈希值H进行签名加密。

3.根据权利要求1所述的安全访问控制策略的配置方法，其特征在于，在所述安全网关从Ukey获取密钥信息之前还包括：从Ukey中获取与该安全网关匹配的身份ID并比对，并在匹配的前提下执行密钥的获取操作。

4.根据权利要求1所述的安全访问控制策略的配置方法，其特征在于，所述下发网络数据包和接收反馈信息的平台为WEB管理平台。

5.根据权利要求1所述的安全访问控制策略的配置方法，其特征在于，所述将解析出的配置指令写入安全网关的访问控制策略控制模块包括对寄存器的修改和可编程逻辑器件的在线烧写。

6.根据权利要求1所述的安全访问控制策略的配置方法，其特征在于：所述安全访问控制策略是IP访问策略、MAC访问策略、端口访问策略、VLAN访问策略、ICMP访问策略、IGMP访问策略、IP置换策略中的一种或是多种的组合策略。

7.权利要求1-6任一所述方法的安全访问控制策略的配置装置，其特征在于，包括：

管理模块，用于下发包含安全访问控制策略配置指令和签名信息在内的网络数据包，安全网关根据从Ukey获取到的密钥信息对收到的网络数据包进行解析；

解析计算模块，用于将解析出的配置指令进行哈希运算得到哈希值H1’，并与从网络数据包中解析出的哈希值H进行比对，若H与H’相同则执行后续步骤，若不同则中断该配置并告警；

硬件配置模块，用于将解析出的配置指令写入安全网关的访问控制策略控制模块；

状态反馈模块，用于访问控制策略控制模块定时反馈当前的配置和状态信息。

8.根据权利要求7所述的安全访问控制策略的配置装置，其特征在于，还包括ID获取模块，用于从Ukey中获取与该安全网关匹配的身份ID并比对，并在匹配的前提下执行密钥的获取操作。

9.根据权利要求7所述的安全访问控制策略的配置装置，其特征在于，还包括安全访问控制策略配置模块，用于将IP访问策略、MAC访问策略、端口访问策略、VLAN访问策略、ICMP访问策略、IGMP访问策略、IP置换策略中的一种或是多种的组合策略的配置指令写入寄存器或是烧入可编程逻辑器件。

10.根据权利要求7所述的安全访问控制策略的配置装置，其特征在于，包括用于下发网络数据包和接收反馈信息的WEB管理平台。