本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種數(shù)據(jù)流保護(hù)方法及裝置。
背景技術(shù):
GD VPN(Group Domain Virtual Private Network,組域虛擬私有網(wǎng)絡(luò))是一種能夠?qū)崿F(xiàn)安全策略和密鑰集中管理的網(wǎng)絡(luò)。GD VPN提供了一種新的基于組的Ipsec(IP security)安全模型。組是一個(gè)安全策略的集合,屬于同一個(gè)組的所有成員共享相同的密鑰和安全策略。
如圖1所示,GD VPN系統(tǒng)中包括KS(Key Server,密鑰服務(wù)器)和GM(Group Member,組成員)。KS分別生成每個(gè)組對(duì)應(yīng)的安全策略(包括允許轉(zhuǎn)發(fā)的每條數(shù)據(jù)流的信息、加密算法、認(rèn)證算法、封裝模式等)及密鑰。
在上述方案中,同一個(gè)組對(duì)應(yīng)的密鑰相同,該組保護(hù)的全部數(shù)據(jù)流都應(yīng)用同樣的密鑰進(jìn)行保護(hù)。也就是說,一旦非法用戶獲取了該組保護(hù)的任一數(shù)據(jù)流的密鑰,則該組保護(hù)的其他數(shù)據(jù)流都能夠被獲取,安全性較低。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例的目的在于提供一種數(shù)據(jù)流保護(hù)方法及裝置,提高系統(tǒng)的安全性。
為達(dá)到上述目的,本發(fā)明實(shí)施例公開了一種數(shù)據(jù)流保護(hù)方法,應(yīng)用于組域虛擬私有網(wǎng)絡(luò)GD VPN系統(tǒng)中的管理設(shè)備,所述方法包括:
接收成員設(shè)備發(fā)送的安全策略獲取消息,所述安全策略獲取消息攜帶所述成員設(shè)備所在組的組標(biāo)識(shí);
向所述成員設(shè)備發(fā)送所述組標(biāo)識(shí)對(duì)應(yīng)的安全策略,所述安全策略包括多條規(guī)則;
在接收到所述成員設(shè)備在驗(yàn)證所述安全策略通過時(shí)發(fā)送的確認(rèn)消息后,向所述成員設(shè)備發(fā)送密鑰消息,所述密鑰消息攜帶多個(gè)密鑰及所述多個(gè)密鑰中每個(gè)密鑰對(duì)應(yīng)的規(guī)則,所述每個(gè)密鑰對(duì)應(yīng)的規(guī)則為所述安全策略中的一條規(guī)則或多條規(guī)則,且每條規(guī)則對(duì)應(yīng)一個(gè)密鑰,以使所述成員設(shè)備利用所述多個(gè)密鑰對(duì)匹配所述安全策略中的規(guī)則的數(shù)據(jù)流進(jìn)行保護(hù)。
為達(dá)到上述目的,本發(fā)明實(shí)施例還公開了一種數(shù)據(jù)流保護(hù)裝置,應(yīng)用于組域虛擬私有網(wǎng)絡(luò)GD VPN系統(tǒng)中的管理設(shè)備,所述裝置包括:
接收模塊,用于接收成員設(shè)備發(fā)送的安全策略獲取消息,所述安全策略獲取消息攜帶所述成員設(shè)備所在組的組標(biāo)識(shí);
第一發(fā)送模塊,用于向所述成員設(shè)備發(fā)送所述組標(biāo)識(shí)對(duì)應(yīng)的安全策略,所述安全策略包括多條規(guī)則;
第二發(fā)送模塊,用于在接收到所述成員設(shè)備在驗(yàn)證所述安全策略通過時(shí)發(fā)送的確認(rèn)消息后,向所述成員設(shè)備發(fā)送密鑰消息,所述密鑰消息攜帶多個(gè)密鑰及所述多個(gè)密鑰中每個(gè)密鑰對(duì)應(yīng)的規(guī)則,所述每個(gè)密鑰對(duì)應(yīng)的規(guī)則為所述安全策略中的一條規(guī)則或多條規(guī)則,且每條規(guī)則對(duì)應(yīng)一個(gè)密鑰,以使所述成員設(shè)備利用所述多個(gè)密鑰對(duì)匹配所述安全策略中的規(guī)則的數(shù)據(jù)流進(jìn)行保護(hù)。
應(yīng)用本發(fā)明實(shí)施例,管理設(shè)備(即KS)為同一個(gè)組生成多個(gè)不同的密鑰。即使非法用戶獲取了該組保護(hù)的一條數(shù)據(jù)流對(duì)應(yīng)的密鑰,該組保護(hù)的其他數(shù)據(jù)流對(duì)應(yīng)的密鑰與該被獲取的密鑰不同,則非法用戶不能獲取該組保護(hù)的其他數(shù)據(jù)流,提高了系統(tǒng)的安全性。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實(shí)施例提供的GD VPN系統(tǒng)的結(jié)構(gòu)示意圖
圖2為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)流保護(hù)方法的流程示意圖;
圖3為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)流保護(hù)裝置的結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
為了解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種數(shù)據(jù)流保護(hù)方法及裝置。該方法和裝置應(yīng)用于GD VPN系統(tǒng)中的管理設(shè)備,該系統(tǒng)可以如圖1所示,包括管理設(shè)備(即KS)和成員設(shè)備(即GM)。下面首先對(duì)本發(fā)明實(shí)施例提供的數(shù)據(jù)流保護(hù)方法進(jìn)行詳細(xì)說明。
圖2為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)流保護(hù)方法的流程示意圖,包括:
S201:接收成員設(shè)備發(fā)送的安全策略獲取消息,所述安全策略獲取消息攜帶所述成員設(shè)備所在組的組標(biāo)識(shí)。
在GD VPN系統(tǒng)中,各成員設(shè)備進(jìn)行數(shù)據(jù)流的轉(zhuǎn)發(fā)之前,成員設(shè)備與管理設(shè)備可以先進(jìn)行身份驗(yàn)證;身份驗(yàn)證通過后,成員設(shè)備向管理設(shè)備發(fā)送安全策略獲取消息,該安全策略獲取消息中攜帶該成員設(shè)備所在組的組標(biāo)識(shí)。
S202:向所述成員設(shè)備發(fā)送所述組標(biāo)識(shí)對(duì)應(yīng)的安全策略,所述安全策略包括多條規(guī)則。
在本實(shí)施例中,管理設(shè)備可以針對(duì)每個(gè)組各生成一個(gè)安全策略,該安全策略可以包括ACL(Access Control List,訪問控制列表)、認(rèn)證算法、封裝模式等。該安全策略中的ACL中可以配置多條規(guī)則,每條規(guī)則對(duì)應(yīng)至少一條數(shù)據(jù)流。
舉例來說,假設(shè)成員設(shè)備所在的組為A組。管理設(shè)備針對(duì)A組生成的ACL中可以配置5條規(guī)則,其中,規(guī)則1對(duì)應(yīng)數(shù)據(jù)流1,規(guī)則2對(duì)應(yīng)數(shù)據(jù)流2,規(guī)則3對(duì)應(yīng)數(shù)據(jù)流3,規(guī)則4對(duì)應(yīng)數(shù)據(jù)流4,規(guī)則5對(duì)應(yīng)數(shù)據(jù)流5。
管理設(shè)備針對(duì)每個(gè)組的處理方案均相同,因此,本實(shí)施例中,僅針對(duì)一個(gè)組進(jìn)行說明。
S203:在接收到所述成員設(shè)備在驗(yàn)證所述安全策略通過時(shí)發(fā)送的確認(rèn)消息后,向所述成員設(shè)備發(fā)送密鑰消息,所述密鑰消息攜帶多個(gè)密鑰及所述多個(gè)密鑰中每個(gè)密鑰對(duì)應(yīng)的規(guī)則,所述每個(gè)密鑰對(duì)應(yīng)的規(guī)則為所述安全策略中的一條規(guī)則或多條規(guī)則,且每條規(guī)則對(duì)應(yīng)一個(gè)密鑰,以使所述成員設(shè)備利用所述多個(gè)密鑰對(duì)匹配所述安全策略中的規(guī)則的數(shù)據(jù)流進(jìn)行保護(hù)。
成員設(shè)備接收管理設(shè)備發(fā)送的安全策略,并對(duì)接收到的安全策略進(jìn)行驗(yàn)證(比如,自身是否能夠支持安全策略中的加密算法等),如果驗(yàn)證通過,向KS發(fā)送確認(rèn)消息。
管理設(shè)備在接收到該確認(rèn)消息后,向成員設(shè)備密鑰消息。在此之前,管理設(shè)備預(yù)先生成安全策略中的規(guī)則對(duì)應(yīng)的密鑰。
具體的,作為本發(fā)明的一種實(shí)施方式,管理設(shè)備可以在所述安全策略中,對(duì)所述多條規(guī)則中的至少一條規(guī)則進(jìn)行標(biāo)記;
遍歷所述安全策略,查找到具有標(biāo)記的規(guī)則;
分別為每條具有標(biāo)記的規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,每條具有標(biāo)記的規(guī)則對(duì)應(yīng)的專用密鑰各不相同;
生成所述安全策略對(duì)應(yīng)的通用密鑰,所述通用密鑰為所述多條規(guī)則中未進(jìn)行標(biāo)記的規(guī)則的密鑰。
在本實(shí)施方式中,可以對(duì)安全級(jí)別較高、需要特殊保護(hù)的數(shù)據(jù)流對(duì)應(yīng)的規(guī)則進(jìn)行標(biāo)記,并分別為每條具有標(biāo)記的規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,每個(gè)專用密鑰各不相同,只對(duì)自身對(duì)應(yīng)的數(shù)據(jù)流進(jìn)行保護(hù)。
假設(shè)上述數(shù)據(jù)流3、數(shù)據(jù)流4和數(shù)據(jù)流5為安全級(jí)別較高、需要特殊保護(hù)的數(shù)據(jù)流,則在A組對(duì)應(yīng)的ACL中,對(duì)規(guī)則3、4、5進(jìn)行標(biāo)記。具體的,該標(biāo)記可以為GDOI(Group Domain of Interpretation)標(biāo)記,當(dāng)然,也可以為其他標(biāo)記,在此不做限定。管理設(shè)備遍歷A組對(duì)應(yīng)的安全策略中的ACL,查找到具有標(biāo)記的規(guī)則3、4、5。管理設(shè)備針對(duì)規(guī)則3,生成對(duì)應(yīng)的TEK(Traffic Encryption Key,加密流量的密鑰)1,針對(duì)規(guī)則4,生成對(duì)應(yīng)的TEK2,針對(duì)規(guī)則5,生成對(duì)應(yīng)的TEK3。
另外,還可以生成一個(gè)通用密鑰,安全策略中未進(jìn)行標(biāo)記的規(guī)則對(duì)應(yīng)該通用密鑰。
假設(shè)管理設(shè)備為A組對(duì)應(yīng)的安全策略生成一個(gè)通用密鑰TEK0,該TEK0對(duì)應(yīng)該安全策略的ACL中未被標(biāo)記的規(guī)則1和規(guī)則2。
上述密鑰消息包括生成的多個(gè)密鑰以及每個(gè)密鑰對(duì)應(yīng)的規(guī)則。也就是說,管理設(shè)備在接收到成員設(shè)備發(fā)送的確認(rèn)消息后,將“TEK0及TEK0對(duì)應(yīng)的規(guī)則1和規(guī)則2、TEK1及TEK1對(duì)應(yīng)的規(guī)則3、TEK2及TEK2對(duì)應(yīng)的規(guī)則4、TEK3及TEK3對(duì)應(yīng)的規(guī)則5”攜帶在密鑰消息中發(fā)送給該成員設(shè)備。
成員設(shè)備根據(jù)接收到密鑰消息,確定出每條規(guī)則對(duì)應(yīng)的密鑰。當(dāng)有數(shù)據(jù)流經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定該數(shù)據(jù)流匹配的規(guī)則,利用該規(guī)則對(duì)應(yīng)的密鑰對(duì)該數(shù)據(jù)流進(jìn)行保護(hù)。
具體的,成員設(shè)備接收到上述密鑰消息后,確定出規(guī)則1對(duì)應(yīng)的密鑰為TEK0,規(guī)則2對(duì)應(yīng)的密鑰為TEK0,規(guī)則3對(duì)應(yīng)的密鑰為TEK1,規(guī)則4對(duì)應(yīng)的密鑰為TEK2,規(guī)則5對(duì)應(yīng)的密鑰為TEK3。當(dāng)數(shù)據(jù)流1經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定數(shù)據(jù)流1匹配的規(guī)則為規(guī)則1,然后利用規(guī)則1對(duì)應(yīng)的密鑰TEK0對(duì)數(shù)據(jù)流1進(jìn)行保護(hù)。類似的,成員設(shè)備利用規(guī)則2對(duì)應(yīng)的密鑰TEK0對(duì)數(shù)據(jù)流2進(jìn)行保護(hù),利用規(guī)則3對(duì)應(yīng)的TEK1對(duì)數(shù)據(jù)流3進(jìn)行保護(hù),利用規(guī)則4對(duì)應(yīng)的TEK2對(duì)數(shù)據(jù)流4進(jìn)行保護(hù),利用規(guī)則5對(duì)應(yīng)的TEK3對(duì)數(shù)據(jù)流5進(jìn)行保護(hù)。
應(yīng)用本實(shí)施方式,管理設(shè)備為同一個(gè)組生成多個(gè)不同的密鑰。即使非法用戶獲取了該組保護(hù)的一條數(shù)據(jù)流對(duì)應(yīng)的密鑰,該組保護(hù)的其他數(shù)據(jù)流對(duì)應(yīng)的密鑰與該被獲取的密鑰不同,則非法用戶不能獲取該組保護(hù)的其他數(shù)據(jù)流,提高了系統(tǒng)的安全性。另外,還可以對(duì)經(jīng)過成員設(shè)備的數(shù)據(jù)流區(qū)別保護(hù),安全級(jí)別較高的數(shù)據(jù)流可以使用專用密鑰進(jìn)行保護(hù),安全級(jí)別較低的數(shù)據(jù)流可以使用通用密鑰進(jìn)行保護(hù),提高了數(shù)據(jù)流轉(zhuǎn)發(fā)的安全性;另外,相比于針對(duì)每條數(shù)據(jù)流都采用專用密鑰進(jìn)行保護(hù)的方案,避免了不必要的資源浪費(fèi)。
作為本發(fā)明的另一種實(shí)施方式,管理設(shè)備可以在所述安全策略中,對(duì)所述多條規(guī)則中的至少一條規(guī)則進(jìn)行標(biāo)記;
遍歷所述安全策略,查找到具有標(biāo)記的規(guī)則;
為具有相同標(biāo)記的規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,具有不同標(biāo)記的規(guī)則對(duì)應(yīng)的專用密鑰各不相同;
生成所述安全策略對(duì)應(yīng)的通用密鑰,所述通用密鑰為所述多條規(guī)則中未進(jìn)行標(biāo)記的規(guī)則的密鑰。
在本實(shí)施方式中,可以對(duì)安全級(jí)別較高、需要特殊保護(hù)的數(shù)據(jù)流對(duì)應(yīng)的規(guī)則進(jìn)行標(biāo)記,具有相同標(biāo)記的規(guī)則對(duì)應(yīng)相同的專用密鑰。
沿用上面的例子,假設(shè)上述數(shù)據(jù)流3、數(shù)據(jù)流4和數(shù)據(jù)流5為安全級(jí)別較高、需要特殊保護(hù)的數(shù)據(jù)流,則在A組對(duì)應(yīng)的ACL中,對(duì)規(guī)則3、4、5進(jìn)行標(biāo)記。另外,數(shù)據(jù)流3和數(shù)據(jù)流4具有關(guān)聯(lián)性,可以利用相同的密鑰對(duì)二者進(jìn)行保護(hù)。這種情況下,可以對(duì)規(guī)則3和規(guī)則4進(jìn)行相同的標(biāo)記。
管理設(shè)備遍歷A組對(duì)應(yīng)的安全策略中的ACL,查找到具有標(biāo)記的規(guī)則3、4、5,且查找到規(guī)則3和規(guī)則4對(duì)應(yīng)的標(biāo)記相同。管理設(shè)備針對(duì)規(guī)則3和規(guī)則4,生成對(duì)應(yīng)的TEK10,針對(duì)規(guī)則5,生成對(duì)應(yīng)的TEK20。
另外,還可以生成一個(gè)通用密鑰,安全策略中未進(jìn)行標(biāo)記的規(guī)則對(duì)應(yīng)該通用密鑰。
假設(shè)管理設(shè)備為A組對(duì)應(yīng)的安全策略生成一個(gè)通用密鑰TEK00,該TEK00對(duì)應(yīng)該安全策略的ACL中未被標(biāo)記的規(guī)則1和規(guī)則2。
管理設(shè)備向成員設(shè)備發(fā)送的密鑰消息包括生成的多個(gè)密鑰以及每個(gè)密鑰對(duì)應(yīng)的規(guī)則。也就是說,管理設(shè)備在接收到成員設(shè)備發(fā)送的確認(rèn)消息后,將“TEK00及TEK00對(duì)應(yīng)的規(guī)則1和規(guī)則2、TEK10及TEK10對(duì)應(yīng)的規(guī)則3和規(guī)則4、TEK20及TEK20對(duì)應(yīng)的規(guī)則5”攜帶在密鑰消息中發(fā)送給該成員設(shè)備。
成員設(shè)備根據(jù)接收到密鑰消息,確定出每條規(guī)則對(duì)應(yīng)的密鑰。當(dāng)有數(shù)據(jù)流經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定該數(shù)據(jù)流匹配的規(guī)則,利用該規(guī)則對(duì)應(yīng)的密鑰對(duì)該數(shù)據(jù)流進(jìn)行保護(hù)。
具體的,成員設(shè)備接收到上述密鑰消息后,確定出規(guī)則1對(duì)應(yīng)的密鑰為TEK00,規(guī)則2對(duì)應(yīng)的密鑰為TEK00,規(guī)則3對(duì)應(yīng)的密鑰為TEK10,規(guī)則4對(duì)應(yīng)的密鑰為TEK10,規(guī)則5對(duì)應(yīng)的密鑰為TEK20。當(dāng)數(shù)據(jù)流1經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定數(shù)據(jù)流1匹配的規(guī)則為規(guī)則1,然后利用規(guī)則1對(duì)應(yīng)的密鑰TEK00對(duì)數(shù)據(jù)流1進(jìn)行保護(hù)。類似的,成員設(shè)備利用規(guī)則2對(duì)應(yīng)的TEK00對(duì)數(shù)據(jù)流2進(jìn)行保護(hù),利用規(guī)則3對(duì)應(yīng)的TEK10對(duì)數(shù)據(jù)流3進(jìn)行保護(hù),利用規(guī)則4對(duì)應(yīng)的TEK10對(duì)數(shù)據(jù)流4進(jìn)行保護(hù),利用規(guī)則5對(duì)應(yīng)的TEK20對(duì)數(shù)據(jù)流5進(jìn)行保護(hù)。
應(yīng)用本實(shí)施方式,管理設(shè)備為同一個(gè)組生成多個(gè)不同的密鑰。即使非法用戶獲取了該組保護(hù)的一條數(shù)據(jù)流對(duì)應(yīng)的密鑰,該組保護(hù)的其他數(shù)據(jù)流對(duì)應(yīng)的密鑰與該被獲取的密鑰不同,則非法用戶不能獲取該組保護(hù)的其他數(shù)據(jù)流,提高了系統(tǒng)的安全性。另外,還可以對(duì)經(jīng)過成員設(shè)備的數(shù)據(jù)流區(qū)別保護(hù),安全級(jí)別較高的數(shù)據(jù)流可以使用專用密鑰進(jìn)行保護(hù),安全級(jí)別較低的數(shù)據(jù)流可以使用通用密鑰進(jìn)行保護(hù),提高了數(shù)據(jù)流轉(zhuǎn)發(fā)的安全性;另外,相比于針對(duì)每條數(shù)據(jù)流都采用專用密鑰進(jìn)行保護(hù)的方案,避免了不必要的資源浪費(fèi)。
作為本發(fā)明的另一種實(shí)施方式,管理設(shè)備可以分別為所述安全策略中的每條規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,每條規(guī)則對(duì)應(yīng)的專用密鑰各不相同。
在本實(shí)施方式中,可以針對(duì)該組保護(hù)的每條數(shù)據(jù)流都生成一個(gè)對(duì)應(yīng)的專用密鑰。也就是說,每條數(shù)據(jù)流對(duì)應(yīng)的密鑰都不相同。
在上面的例子中,針對(duì)規(guī)則1生成對(duì)應(yīng)的TEK100,針對(duì)規(guī)則2生成對(duì)應(yīng)的TEK200,針對(duì)規(guī)則3生成對(duì)應(yīng)的TEK300,針對(duì)規(guī)則4生成對(duì)應(yīng)的TEK400,針對(duì)規(guī)則5生成對(duì)應(yīng)的TEK500。
管理設(shè)備向成員設(shè)備發(fā)送的密鑰消息包括生成的多個(gè)密鑰以及每個(gè)密鑰對(duì)應(yīng)的規(guī)則。也就是說,管理設(shè)備在接收到成員設(shè)備發(fā)送的確認(rèn)消息后,將“TEK100及TEK100對(duì)應(yīng)的規(guī)則1、TEK200及TEK200對(duì)應(yīng)的規(guī)則2、TEK300及TEK300對(duì)應(yīng)的規(guī)則3、TEK400及TEK400對(duì)應(yīng)的規(guī)則4、TEK500及TEK500對(duì)應(yīng)的規(guī)則5”攜帶在密鑰消息中發(fā)送給該成員設(shè)備。
成員設(shè)備根據(jù)接收到密鑰消息,確定出每條規(guī)則對(duì)應(yīng)的密鑰。當(dāng)有數(shù)據(jù)流經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定該數(shù)據(jù)流匹配的規(guī)則,利用該規(guī)則對(duì)應(yīng)的密鑰對(duì)該數(shù)據(jù)流進(jìn)行保護(hù)。
具體的,成員設(shè)備接收到上述密鑰消息后,確定出規(guī)則1對(duì)應(yīng)的密鑰為TEK100,規(guī)則2對(duì)應(yīng)的密鑰為TEK200,規(guī)則3對(duì)應(yīng)的密鑰為TEK300,規(guī)則4對(duì)應(yīng)的密鑰為TEK400,規(guī)則5對(duì)應(yīng)的密鑰為TEK500。當(dāng)數(shù)據(jù)流1經(jīng)過該成員設(shè)備時(shí),成員設(shè)備在接收到的安全策略中確定數(shù)據(jù)流1匹配的規(guī)則為規(guī)則1,然后利用規(guī)則1對(duì)應(yīng)的密鑰TEK100對(duì)數(shù)據(jù)流1進(jìn)行保護(hù)。類似的,成員設(shè)備利用規(guī)則2對(duì)應(yīng)的TEK200對(duì)數(shù)據(jù)流2進(jìn)行保護(hù),利用規(guī)則3對(duì)應(yīng)的TEK300對(duì)數(shù)據(jù)流3進(jìn)行保護(hù),利用規(guī)則4對(duì)應(yīng)的TEK400對(duì)數(shù)據(jù)流4進(jìn)行保護(hù),利用規(guī)則5對(duì)應(yīng)的TEK500對(duì)數(shù)據(jù)流5進(jìn)行保護(hù)。
應(yīng)用本實(shí)施方式,管理設(shè)備為同一個(gè)組生成多個(gè)不同的密鑰。即使非法用戶獲取了該組保護(hù)的一條數(shù)據(jù)流對(duì)應(yīng)的密鑰,該組保護(hù)的其他數(shù)據(jù)流對(duì)應(yīng)的密鑰與該被獲取的密鑰不同,則非法用戶不能獲取該組保護(hù)的其他數(shù)據(jù)流,提高了系統(tǒng)的安全性。
與上述方法實(shí)施例相對(duì)應(yīng),本發(fā)明實(shí)施例還提供一種數(shù)據(jù)流保護(hù)裝置。
圖3為本發(fā)明實(shí)施例提供的一種應(yīng)用于管理設(shè)備的數(shù)據(jù)流保護(hù)裝置的結(jié)構(gòu)示意圖,包括:
接收模塊301,用于接收成員設(shè)備發(fā)送的安全策略獲取消息,所述安全策略獲取消息攜帶所述成員設(shè)備所在組的組標(biāo)識(shí);
第一發(fā)送模塊302,用于向所述成員設(shè)備發(fā)送所述組標(biāo)識(shí)對(duì)應(yīng)的安全策略,所述安全策略包括多條規(guī)則;
第二發(fā)送模塊303,用于在接收到所述成員設(shè)備在驗(yàn)證所述安全策略通過時(shí)發(fā)送的確認(rèn)消息后,向所述成員設(shè)備發(fā)送密鑰消息,所述密鑰消息攜帶多個(gè)密鑰及所述多個(gè)密鑰中每個(gè)密鑰對(duì)應(yīng)的規(guī)則,所述每個(gè)密鑰對(duì)應(yīng)的規(guī)則為所述安全策略中的一條規(guī)則或多條規(guī)則,且每條規(guī)則對(duì)應(yīng)一個(gè)密鑰,以使所述成員設(shè)備利用所述多個(gè)密鑰對(duì)匹配所述安全策略中的規(guī)則的數(shù)據(jù)流進(jìn)行保護(hù)。
作為一種實(shí)施方式,所述裝置還可以包括:標(biāo)記模塊、遍歷模塊、第一生成模塊和第二生成模塊(圖中未示出),其中,
標(biāo)記模塊,用于在所述安全策略中,對(duì)所述多條規(guī)則中的至少一條規(guī)則進(jìn)行標(biāo)記;
遍歷模塊,用于遍歷所述安全策略,查找到具有標(biāo)記的規(guī)則;
第一生成模塊,用于分別為每條具有標(biāo)記的規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,每條具有標(biāo)記的規(guī)則對(duì)應(yīng)的專用密鑰各不相同;
第二生成模塊,用于生成所述安全策略對(duì)應(yīng)的通用密鑰,所述通用密鑰為所述多條規(guī)則中未進(jìn)行標(biāo)記的規(guī)則的密鑰。
作為另一種實(shí)施方式,所述裝置還可以包括:標(biāo)記模塊、遍歷模塊、第三生成模塊和第二生成模塊(圖中未示出),其中,
標(biāo)記模塊,用于在所述安全策略中,對(duì)所述多條規(guī)則中的至少一條規(guī)則進(jìn)行標(biāo)記;
遍歷模塊,用于遍歷所述安全策略,查找到具有標(biāo)記的規(guī)則;
第三生成模塊,用于為具有相同標(biāo)記的規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,具有不同標(biāo)記的規(guī)則對(duì)應(yīng)的專用密鑰各不相同;
第二生成模塊,用于生成所述安全策略對(duì)應(yīng)的通用密鑰,所述通用密鑰為所述多條規(guī)則中未進(jìn)行標(biāo)記的規(guī)則的密鑰。
作為另一種實(shí)施方式,所述裝置還可以包括:標(biāo)記模塊、遍歷模塊、第四生成模塊和第二生成模塊(圖中未示出),其中,
標(biāo)記模塊,用于在所述安全策略中,對(duì)所述多條規(guī)則中的至少一條規(guī)則進(jìn)行標(biāo)記;
遍歷模塊,用于遍歷所述安全策略,查找到具有標(biāo)記的規(guī)則;
第四生成模塊,用于分別為所述安全策略中的每條規(guī)則生成一個(gè)對(duì)應(yīng)的專用密鑰,其中,每條規(guī)則對(duì)應(yīng)的專用密鑰各不相同;
第二生成模塊,用于生成所述安全策略對(duì)應(yīng)的通用密鑰,所述通用密鑰為所述多條規(guī)則中未進(jìn)行標(biāo)記的規(guī)則的密鑰。
應(yīng)用本發(fā)明圖3所示實(shí)施例,管理設(shè)備(即KS)為同一個(gè)組生成多個(gè)不同的密鑰。即使非法用戶獲取了該組保護(hù)的一條數(shù)據(jù)流對(duì)應(yīng)的密鑰,該組保護(hù)的其他數(shù)據(jù)流對(duì)應(yīng)的密鑰與該被獲取的密鑰不同,則非法用戶不能獲取該組保護(hù)的其他數(shù)據(jù)流,提高了系統(tǒng)的安全性。
需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個(gè)……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
本說明書中的各個(gè)實(shí)施例均采用相關(guān)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于裝置實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,這里所稱得的存儲(chǔ)介質(zhì),如:ROM/RAM、磁碟、光盤等。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)。