策略一致性审计方法、装置及设备的制作方法

专利名称：策略一致性审计方法、装置及设备的制作方法
技术领域：
本发明涉及终端设备领域，特别涉及一种策略一致性审计方法、装置及设备。
背景技术：
当前互联网应用日益增多，病毒、木马等危害企业及个人用户信息安全的问题也越来越突出，网络安全受到了极大的关注。由于外网的安全防护和内网的访问控制策略越来越多，所以安全策略的配置和运行维护需求也日趋强烈，策略的管理变得越来越复杂。策略是指防火墙网络的策略配置，可以根据五元组(源地址、源端口、目的地址、目的端口、协议)对经过防火墙的数据包进行过滤和内容安全检测。设备的配置是否和网管服务器配置的策略一致，影响着互联网的正常防护，因此，策略的一致性审计尤为重要。在现有技术中，一致性审计严格通过按照策略序号比较网管服务器和设备的配置差异，策略序号不同，则认为策略不同，而对于序号相同的策略需要进一步地比较策略所引用的对象名称的字符串，如果字符串相同则认为网管服务器和设备的策略一致，如果字符串不同则认为网管服务器和设备的策略不一致。在实现本发明的过程中，发明人发现现有技术至少存在以下问题现有技术的审计方法，按照策略序号比较时，对于序号相同的策略，由于可能发生策略反复添加和删除的场景，而一旦修改的策略复用了以前的策略序号，会导致将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，且在使用字符串进行进一步比较时，在公共对象数量大的情况下，效率较低，同时会出现重复比较的问题，而由于仅对所引用的对象名称进行比较，没有关心里面的内容，对于名字没有变化但是内容发生变化的情况比较不出来，导致审计结果不准确
发明内容
为了解决一致性审计效率低、审计结果不准确的问题，本发明实施例提供了一种策略一致性审计方法、装置及设备。所述技术方案如下一方面，提供了一种策略一致性审计方法，所述方法包括分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。对网管服务器和设备的策略数据的特征值进行比较，获取审计结果，包括对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据；当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据，包括分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列；比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。分别计算网管服务器和设备的策略数据的特征值，包括分别获取网管服务器和设备的策略数据；根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值，包括当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的 策略数据的特征值，包括按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。另一方面，提供了一种策略一致性审计装置，所述装置包括计算模块，用于分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；比较模块，用于对网管服务器和设备的策略数据的特征值进行比较，获取审计结
果O所述比较模块包括第一比较单元，用于对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据；第二比较单元，当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。所述第一比较单元包括排序单元，用于分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；序列确定单元，用于确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列；第一策略确定单元，用于比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。所述计算模块包括获取单元，用于分别获取网管服务器和设备的策略数据；计算单元，用于根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。所述计算单元用于当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。所述计算单元用于按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。又一方面，提供了一种策略一致性审计设备，所述设备包括处理器，所述处理器，用于分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；所述处理器，还用于对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。所述处理器，用于对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据；当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差
巳所述处理器，用于分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；所述处理器，用于确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列；所述处理器，用于比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。所述处理器，还用于分别获取网管服务器和设备的策略数据；所述处理器，还用于根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。

所述处理器，用于当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。所述处理器，用于按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。本发明实施例提供的一种策略一致性审计方法、装置及设备，通过分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。采用本发明实施例提供的技术方案，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，同时通过对特征值的比较，加快了比较的速度，提高了审计效率。


为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1a是本发明实施例中提供的一种策略一致性审计方法流程图；图1b是本发明实施例中提供的一种策略一致性审计架构示意图；图2a是本发明实施例中提供的一种策略一致性审计方法流程图；图2b是本发明实施例中提供的一种策略一致性审计示意图；图3是本发明实施例中提供的一种策略一致性审计装置结构示意图；图4是本发明实施例中提供的一种策略一致性审计设备结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。图1a是本发明实施例提供的一种策略一致性审计方法流程图，本实施例中的执行主体是网管服务器，参见图la，该方法流程包括101 :分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；其中，各个循环冗余码校验值是根据数据本身和循环冗余算法计算得到。102 :对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。本发明实施例提供的方法，通过分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。采用本发明实施例提供的技术方案，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，同时通过对特征值的比较，加快了比较的速度，提高了审计效率。可选的，在图1a所示实施例的技术方案的基础上，该步骤102“对网管服务器和设备的策略数据的特征值进行比较，获取审计结果”，包括以下步骤102A:对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定
第一策略数据；其中，第一循环冗余码校验值是根据网管服务器的策略数据的业务内容计算得到的，因此第一循环冗余码校验值与策略的实际含义一一对应，而由于该业务内容包括了策略所引用的对象和公共对象的内容，因此，通过比较网管服务器和设备的策略数据的第一循环冗余码校验值，就可以确定网管服务器和设备的策略数据的业务内容是否一致，当网管服务器和设备的策略数据的第一循环冗余码校验值相同时，则认为网管服务器和设备的策略数据一致，第一策略数据则为网管服务器和设备的策略数据之间第一循环冗余码校验值相同的策略数据。102B:当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。当第一策略数据包括网管服务器和设备中的所有策略数据时，不需要比较第二策略数据，此时，不存在第二策略数据，也就是网管服务器和设备中的策略数据是一致的，不需要进一步地进行比较；当第一策略数据没有包括网管服务器和设备中的所有策略数据时，网管服务器和设备中的策略数据是不一致的，将网管服务器和设备中的所有策略数据中除第一策略数据以外的数据作为第二策略数据，需要进一步地比较第二策略数据中的网管服务器和设备中的策略数据中的第二循环冗余码校验值。第二循环冗余码校验值包含了多个引用的公共对象的内容的循环冗余码校验值，通过比较第二循环冗余码校验值，可以找出网管服务器和设备的策略数据所引用的公共对象之间的具体不同，也就找出了网管服务器和设备的策略数据的具体的差异。本发明实施例提供的方法，通过分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。采用本发明实施例提供的技术方案，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，同时通过对特征值的比较，加快了比较的速度，提高了审计效率。进一步地，通过分别对第一循环校验码和第二循环校验码的比较，可以快速获取网管服务器和设备的一致性审计结果。进一步可选的，在图1a所示实施例的技术方案的基础上，该步骤102A “对网管服务器和设备的策略数据的特征值进行比较，获取审计结果”，包括步骤(—)分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；按照网管服务器和设 备的策略数据配置好的顺序，分别将网管服务器和设备的策略数据的特征值进行排序，使得网管服务器和设备的策略数据比较过程可以有序进行。(二)确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列。当以网管服务器的策略数据为基准时，按照网管服务器的策略数据的顺序，将网管服务器的策略数据中的第一循环冗余码校验值逐个和设备的策略数据的第一循环冗余码校验值进行比较，具体地，先在设备中找出和网管服务器的策略数据中的第一个策略数据的第一循环冗余码校验值相同的策略数据，如果在设备中找出了具有相同的第一循环冗余码校验值的策略数据，记录该策略数据在网管服务器的策略数据和设备的策略数据中的顺序和位置，然后，在设备中的记录的策略数据的位置之下查找和网管服务器的策略数据中的第二个策略数据的第一循环冗余码校验值相同的策略数据；如果在设备中没有找到具有相同的第一循环冗余码校验值相同的策略数据，在设备的策略数据查找和网管服务器的策略数据中的第二个策略数据的第一循环冗余码校验值相同的策略数据。按照第一个策略数据的查找方式在设备的策略数据中查找具有相同的第一循环冗余码校验值的策略数据，直到网管服务器中的所有的 策略数据遍历查找完成，所有的具有相同的第一循环冗余码校验值的策略数据一一对应。当以设备的策略数据为基准时，按照设备的策略数据的顺序，将设备的策略数据中的第一循环冗余码校验值逐个和网管服务器的策略数据的第一循环冗余码校验值进行比较，具体地，先在网管服务器中找出和设备的策略数据中的第一个策略数据的第一循环冗余码校验值相同的策略数据，如果在网管服务器中找出了具有相同的第一循环冗余码校验值的策略数据，记录该策略数据在设备的策略数据和网管服务器的策略数据中的顺序和位置，然后，在网管服务器中的记录的策略数据的位置之下查找和设备的策略数据中的第二个策略数据的第一循环冗余码校验值相同的策略数据；如果在网管服务器中没有找到具有相同的第一循环冗余码校验值相同的策略数据，在网管服务器的策略数据查找和设备的策略数据中的第二个策略数据的第一循环冗余码校验值相同的策略数据。按照第一个策略数据的查找方式在网管服务器的策略数据中查找具有相同的第一循环冗余码校验值的策略数据，直到设备中的所有的策略数据遍历查找完成，所有的具有相同的第一循环冗余码校验值的策略数据一一对应。(三)比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。由于在获取第一序列和第二序列的过程中，分别采用了网管服务器和设备作为基准，所以得到的第一序列和第二序列中的具有相同的第一循环冗余码校验值的策略数据的数量有可能不同，将具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。当第一策略数据没有包含网管服务器和设备中的所有策略数据时，将第一策略数据以外的策略数据作为第二策略数据。本发明实施例提供的方法，通过分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。采用本发明实施例提供的技术方案，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，同时通过对特征值的比较，加快了比较的速度，提高了审计效率。进一步地，通过分别对第一循环校验码和第二循环校验码的比较，可以快速获取网管服务器和设备的一致性审计结果。更进一步地，通过获取第一策略数据，可以获知网管服务器和设备中的具有一致性的策略数据。可选地，在图1a所示实施例的技术方案的基础上，步骤101“分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值”，包括IOlA :分别获取网管服务器和设备的策略数据；其中，策略数据包括策略和策略所引用的公共对象。其中，公共对象包括但不限于地址集、时间段、服务集等。当网管服务器接收到设备发送的审计请求后，根据审计请求中的设备ID号向网管服务器发送请求消息，网管服务器根据请求消息中的ID返回该设备在网管服务器上配置的策略数据；同时，网管服务器向该设备发送请求消息，使得该设备在接收到请求消息后，将策略配置的命令行回显数据返回给网管服务器，其中，该策略配置的命令行回显数据包括设备的策略数据。IOlB :根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。策略数据既可以包含各种引用对象，也可以包含引用的公共对象，对于引用的对象，如地址IP、服务http等都可以直接计算其循环冗余码校验值，对于引用的公共对象，则需要计算公共对象名字的循环冗余码校验值和公共对象内容的循环冗余码校验值。对于一个策略，最上层为该策略，下层可以为该策略的子策略，再下层可以为该子策略引用的公共对象，如果该公共对象引用了其他的`对象，那么还可以有下层数据，每个策略根据自身的引用关系可以分为不同的层次。在计算网管服务器和设备的策略数据的特征值时，需要计算两类特征值，第一类是第一循环冗余码校验值，第二类是第二循环冗余码校验值。其中，一个策略数据的特征值包含一个具有多个循环冗余码校验值的第一循环冗余码校验值，且该特征值还可以包括至少一个第二循环冗余码校验值，策略数据的特征值所包含的第二循环冗余码校验值的个数由各个策略数据所引用的公共对象的个数决定，一个特征值中可能有至少一个第二循环冗余码校验值，也可能没有第二循环冗余码校验值，但是，策略数据的特征值中仅包含一个第一循环冗余码校验值，第一循环校验码即为该策略数据最上层的策略的循环冗余码校验值。本发明实施例提供的方法，通过分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。采用本发明实施例提供的技术方案，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，同时通过对特征值的比较，加快了比较的速度，提高了审计效率。进一步地，通过分别对第一循环校验码和第二循环校验码的比较，可以快速获取网管服务器和设备的一致性审计结果。通过对第一循环校验码和第二循环校验码的计算，可以缩短一致性比较所用的时间。进一步可选的，在图1a所示实施例的技术方案的基础上，该步骤IOlB中的“根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值”，包括当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。
网管服务器在一致性审计过程中，从设备上获取到的是策略配置的命令行回显数据，其中，该策略配置的命令行回显数据包括设备的策略数据。当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。具体地，当网管服务器接收到设备发送的策略数据后，判断网管服务器和设备的策略数据的形式是否相同，如果是，直接计算网管服务器和设备的策略数据的特征值；如果否，根据设备发送的策略数据配置的命令行回显数据，对策略数据进行命令行的解析，转化成网管服务器的策略数据的形式，然后计算网管服务器和设备的策略数据的特征值。进一步可选的，在图1a所示实施例的技术方案的基础上，该步骤IOlB中的“根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值”，包括按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。具体地，按照所述各个策略数据及公共对象的引用关系层次，先计算处于下层的各个策略数据所引用的公共对象的循环冗余码校验值作为第二循环冗余码校验值，再根据层次逻辑关系，对上层所引用的对象和业务数据进行计算，将第二循环冗余码校验值和计算得到的上层策略数据的循环冗余码校验值作为第一循环冗余码校验值，第一循环冗余码校验值中包括至少一个第二循环冗余码校验值，获取到的第一循环冗余码校验值和策略数据实际代表的业务含义是一一对应的。在计算第一循环冗余码校验值时，只要按照配置顺序计算即可，对于直接引用的对象，计算其对应的循环冗余码校验值，对于引用的公共对象，则需要计算公共对象名字的循环冗余码校验值和公共对象内容的循环冗余码校验值。例如，策略只引用了公共对象，则策略的第一循环冗余码校验值的格式为策略数据引用的公共对象1a的名字的循环冗余码校验值+策略数据引用的公共对
象I的内容的循环冗余码校验值+......+策略数据引用的公共对象N的名字的循环冗余码
校验值+策略数据引用的公共对象N的内容的循环冗余码校验值。
其中，策略的第一循环冗余码校验值中的各个公共对象的名字的循环冗余码校验值和公共对象的循环冗余码校验值相邻，各个公共对象的名字的循环冗余码校验值和公共对象的循环冗余码校验值按它们在策略中的配置的先后顺序计算。例如，策略既引用了公共对象，又直接引用了对象如IP和服务，则策略的第一循环冗余码校验值的格式为策略数据引用的公共对象I的名字的循环冗余码校验值+策略数据引用的公共对象I的内容的循环冗余码校验值+......+策略数据引用的公共对象N的名字的循环冗余码
校验值+策略数据引用的公共对象N的内容的循环冗余码校验值+IP的循环冗余码校验值+服务的循环冗余码校验值。策略的第二循环冗余码校验值中的各个公共对象的名字的循环冗余码校验值和公共对象的循环冗余码校验值相邻，各个公共对象的名字的循环冗余码校验值和公共对象的循环冗余码校验值、IP的循环冗余码校验值、服务的循环冗余码校验值按它们在策略中的配置的先后顺序进行计算。图1b是本发明实施例中提供的一种策略一致性审计架构示意图，参见图lb，图1b中，在审计准备阶段，获取到网管服务器和设备的策略数据后，对设备的策略数据进行解析，转换成和网管服务器的策略数据的形式一致的数据，然后计算公共对象的循环冗余码校验值，即第二循环冗余码校验值，如图中所示的服务集、地址集和其他集，然后根据引用关系，计算上层的策略的循环冗余码校验值，即第一循环冗余码校验值。在审计过程中，先进行第一循环冗余码校验值的比较，获取第一策略数据，当第一循环冗余码校验值，比较公共对象的第二循环冗余码校验值，先比较服务集、地址集和其他集的名字的第二循环冗余码校验值，找出第二循环冗余码校验值不同的集合，然后再该集合的内容的第二循环冗余码校验值，获取具体的不一致数据。图2a是本发明实施例提供的一种策略一致性审计方法流程图，本实施例中的执行主体是网管服务器，参见图2a，方法流程包括201 :网管服务器分别获取网管服务器和设备的策略数据；202 :将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式；本发明实施例仅以网管服务器的策略数据与设备的策略数据的形式不同为例进行说明。

203:根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值；按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值。为了使本领域技术人员更好地理解策略数据的特征值计算过程，下面举例说明。如，一个策略数据的形式为Policy 100 source address-set addrset002 destination addrset_serverservice http ftpaddrset002item I 2. 2. 2. 0/24item 2 3. 3. 3. 0/24addrset—serveritem I 5.5.5.0/24item 2 5.5.6.0/24
其中，100是该策略的序号，addrset002是该策略引用的源地址服务集，addrset_server是该策略引用的目的地址服务集，http ftp是该协议使用的服务，2. 2. 2. 0/24和
3.3. 3. 0/24是该策略引用的源地址服务集中的地址内容，5. 5. 5. 0/24和5. 5. 6. 0/24是该策略引用的目的地址服务集中的地址内容。由于该策略引用了两个公共对象，即addrset002和addrset_server,所以会得到两个第二循环冗余码校验值。在计算该策略的第二循环冗余码校验值时，需要先分别计算
2.2. 2. 0/24和3. 3. 3. 0/24的循环冗余码校验值，然后将二者的值相加，作为addrset002的内容的第二循环冗余码校验值，同理，需要先分别计算5. 5. 5. 0/24和5. 5. 6. 0/24的循环冗余码校验值，然后将二者的值相加，作为addrselserver的内容的第二循环冗余码校验值。在计算完第二循环冗余码校验值后，再计算该策略的第一循环冗余码校验值，该策略的第一循环冗余码校验值的组成为addrset002的名字的循环冗余码校验值+addrset002的内容的循环冗余码校验值+addrset_server的名字的循环冗余码校验值+addrset_server的内容的循环冗余码校验值+http ftp的循环冗余码校验值。204 :分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；按照网管服务器和设备的策略数据配置好的顺序，分别将网管服务器和设备的策略数据的特征值进行排序，使得网管服务器和设备的策略数据比较过程可以有序进行。205:确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列；在确定第一序列和第二序列的过程中，需要分别以网管服务器和设备的策略数据为基准，通过对网管服务器和设备的策略数据逐个进行比较，直到所有的具有相同的第一循环冗余码校验值的策略数据一一对应，获取第一循环冗余码校验值相同的策略数据序列。例如，网管服务器中的策略数据为EABC，设备中的策略数据为CABD，则以网管服务器的策略数据为基准，从网管服务器中的策略数据中取出策略E，获取E的第一循环冗余码校验值，和设备中的策略数据中的第一循环冗余码校验值进行比较，通过比较可知，网络的策略数据中的E在设备的策略数据中没有对应的策略。在比较完网管服务器的E后，获取网管服务器的下一个策略A的第一循环冗余码校验值，和设备中的各个策略数据中的第一循环冗余码校验值进行比较，当比较到设备中的A时，找到了具有相同第一循环冗余码校验值的策略，记录具有相同第一循环冗余码校验值的策略A在网管服务器和设备中的顺序和位置。获取网管服务器中的B的第一循环冗余码校验值，和设备中的A以下的策略数据进行比较，可以获取设备中的具有相同第一循环冗余码校验值的策略B，记录具有相同第一循环冗余码校验值的策略B在网管服务器和设备中的顺序和位置。最后，获取网管服务器中的C的第一循环冗余码校验值，和设备中的B以下的策略数据进行比较，通过比较可知，网络的策略数据中的C在设备的策略数据中没有对应的策略。比较后，将具有相同的第一循环冗余码校验值的策略一一对应，得到的数据如表I所示表I
权利要求
1.一种策略一致性审计方法，其特征在于，所述方法包括 分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值； 对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。
2.根据权利要求1所述的方法，其特征在于，对网管服务器和设备的策略数据的特征值进行比较，获取审计结果，包括 对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据； 当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。
3.根据权利要求2所述的方法，其特征在于，对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据，包括 分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序； 确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列； 比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。
4.根据权利要求1所述的方法，其特征在于，分别计算网管服务器和设备的策略数据的特征值，包括 分别获取网管服务器和设备的策略数据； 根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。
5.根据权利要求4所述的方法，其特征在于，根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值，包括 当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。
6.根据权利要求4所述的方法，其特征在于，根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值，包括 按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。
7.一种策略一致性审计装置，其特征在于，所述装置包括 计算模块，用于分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值； 比较模块，用于对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。
8.根据权利要求7所述的装置，其特征在于，所述比较模块包括 第一比较单元，用于对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据； 第二比较单元，当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。
9.根据权利要求8所述的装置，其特征在于，所述第一比较单元包括 排序单元，用于分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序; 序列确定单元，用于确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列； 第一策略确定单元，用于比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。
10.根据权利要求7所述的装置，其特征在于，所述计算模块包括 获取单元，用于分别获取网管服务器和设备的策略数据； 计算单元，用于根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。
11.根据权利要求10所述的装置，其特征在于，所述计算单元用于当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。
12.根据权利要求10所述的装置，其特征在于，所述计算单元用于按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。
13.一种策略一致性审计设备，其特征在于，所述设备包括处理器， 所述处理器，用于分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值； 所述处理器，还用于对网管服务器和设备的策略数据的特征值进行比较，获取审计结果O
14.根据权利要求13所述的设备，其特征在于，所述处理器，用于对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据；当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。
15.根据权利要求14所述的设备，其特征在于，所述处理器，用于分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序； 所述处理器，用于确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列； 所述处理器，用于比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。
16.根据权利要求13所述的设备，其特征在于，所述处理器，还用于分别获取网管服务器和设备的策略数据； 所述处理器，还用于根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。
17.根据权利要求16所述的设备，其特征在于，所述处理器，用于当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。
18.根据权利要求16所述的设备，其特征在于，所述处理器，用于按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。
全文摘要
本发明公开了一种策略一致性审计方法、装置及设备，属于终端设备领域。所述方法包括分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。本发明通过对网管服务器和设备的策略数据的特征值进行比较，可以避免将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，提高了一致性审计结果的准确度，加快了比较的速度，提高了审计效率。
文档编号H04L12/24GK103067203SQ201210572440
公开日2013年4月24日 申请日期2012年12月25日 优先权日2012年12月25日
发明者顾传彪 申请人:华为技术有限公司