[发明专利]一种安全访问控制策略的配置方法和装置

说明书

一种安全访问控制策略的配置方法，包括以下步骤：S1、下发包含安全访问控制策略配置指令和签名信息在内的网络数据包，安全网关根据从Ukey获取到的密钥信息对收到的网络数据包进行解析；S2、将解析出的配置指令进行哈希运算得到哈希值H1’，并与从网络数据包中解析出的哈希值H进行比对，若H与H’相同则执行后续步骤，若不同则中断该配置并告警；S3、将解析出的配置指令写入安全网关的访问控制策略控制模块；S4、访问控制策略控制模块定时反馈当前的配置和状态信息。本发明方法简单，实现了对安全策略进行实时、在线、灵活的安全配置，配置不同的安全访问控制策略可以提高安全网关的适用范围，并及时发出告警信息，有显著的社会和经济效益。

技术领域

本发明涉及网络安全网关配置，特别是一种安全访问控制策略的配置方法。

背景技术

随着互联网在各个领域的不断发展，众多行业的正常运转对互联网的依赖程度日益增加，随之而来的网络安全问题也日益突出。为解决网络安全带来的严峻挑战，多种形式的网络安全产品应运而生，其中，安全网关作为一种可以对网络数据进行筛选过滤、加密、协议转换处理功能的安全产品，得到了广泛应用。安全网关的配置方式或是出厂时固化到固件中，配置灵活性较差；或是接入局域网进行逐一配置，当大量部署时，配置效率低下；或是远程网络配置时，仅通过双向握手机制进行网络身份的认证，易被非法用户控制并进行非法配置操作，安全性较差，因此，解决对安全网关实现在线、灵活且安全的配置是必须解决的技术问题。

发明内容

针对上述情况，为克服现有技术之缺陷，本发明之目的就是提供一种安全访问控制策略的配置方法和装置，采用了“密码登录平台+Ukey插入安全网关+不对称秘钥加解密+定时反馈校验”等多重安全机制的在线配置方法，可有效解决既保证管理平台实现安全网关配置的实时性、灵活性，又保证配置过程的安全性的问题。

为实现上述目的，本申请提出一种安全访问控制策略的配置方法，包括以下步骤：

S1、下发包含安全访问控制策略配置指令和签名信息在内的网络数据包，安全网关根据从Ukey获取到的密钥信息对收到的网络数据包进行解析；

可选的，签名信息为对所述网络数据包中的安全访问控制策略配置指令进行哈希运算得到哈希值H，并用管理员私钥对上述哈希值H进行签名加密；

S2、将解析出的配置指令进行哈希运算得到哈希值H1’，并与从网络数据包中解析出的哈希值H进行比对，若H与H’相同则执行后续步骤，若不同则中断该配置并告警；

可选的，安全网关从Ukey获取密钥信息之前还包括：从Ukey中获取与该安全网关匹配的身份ID并比对，并在匹配的前提下执行密钥的获取操作；

S3、将解析出的配置指令写入安全网关的访问控制策略控制模块；

可选的，将解析出的配置指令写入安全网关的访问控制策略控制模块包括对寄存器的修改和可编程逻辑器件的在线烧写；

S4、访问控制策略控制模块定时反馈当前的配置和状态信息。

可选的，安全访问控制策略可以是IP访问策略、MAC访问策略、端口访问策略、VLAN访问策略、ICMP访问策略、IGMP访问策略、IP置换策略中的一种或是多种的组合策略。

本申请还提出一种安全访问控制策略的配置方法的装置，即一种安全访问控制策略的配置装置，包括：

管理模块，用于下发包含安全访问控制策略配置指令和签名信息在内的网络数据包，安全网关根据从Ukey获取到的密钥信息对收到的网络数据包进行解析；

解析计算模块，用于将解析出的配置指令进行哈希运算得到哈希值H1’，并与从网络数据包中解析出的哈希值H进行比对，若H与H’相同则执行后续步骤，若不同则中断该配置并告警；

硬件配置模块，用于将解析出的配置指令写入安全网关的访问控制策略控制模块；

状态反馈模块，用于访问控制策略控制模块定时反馈当前的配置和状态信息。