一种规则流转方法、装置、设备以及存储介质与流程

1.本技术涉及规则引擎技术领域，尤其涉及一种规则流转方法、装置、设备及存储介质。


背景技术：

2.snort是一种开源入侵防御系统，它使用一种简单的、轻量级的规则描述语言定义一系列规则，以协助定义恶意网络活动，并利用这些规则来查找与之匹配的数据包。
3.随着snort技术的标准化与成熟化发展，实际应用中，会高频、自动地导入snort规则集，此时如果不对snort规则集的信息安全属性进行安全防护，snort规则集中的规则就会被轻易抄袭或者篡改，失去其机密性、真实性与有效性。同时，从管理的角度上来说，snort规则集需要具备不可抵赖性，其流转需要具备一定的权威性，即需要对出具该规则集的人或机构有一定的背书要求；并且，有些规则可能只限定在某些组织范围内有效，超出这个组织范围就无效；或者，规则制定者约束了规则集的有效期，超出有效期后不再有效。那么，需要一种规则流转方法，以能够在规则流转过程中，实时校验并保证传递的snort规则集的机密性、真实性和不可抵赖性等信息安全属性。


技术实现要素：

4.本技术实施例提供了一种规则流转方法、装置、设备及存储介质，可以保证规则流转过程中规则数据的真实性、完整性和不可抵赖性。
5.一方面，本技术实施例提供了一种规则流转方法，该方法包括：
6.获取规则信息和规则信息对应的属性信息；
7.基于属性信息获取规则信息对应的数字证书；
8.基于规则信息、属性信息和数字证书建立规则数据集；
9.发送规则数据集。
10.进一步的，基于属性信息获取规则信息对应的数字证书，包括：
11.生成规则信息对应的第一密钥和第二密钥；第一密钥和第二密钥互相匹配；
12.基于第二密钥、以及属性信息中的日期信息、地域信息和终端信息确定证书申请文件；日期信息为规则信息的有效日期；地域信息为规则信息的有效地域范围；终端信息为规则信息的有效终端设备范围；
13.基于证书申请文件，通过云平台向公钥基础设施系统申请并获取数字证书；数字证书包括证书数据和数字签名；证书数据包括第二密钥、日期信息、地域信息和终端信息；数字签名由公钥基础设施系统通过第三密钥对证书数据进行签名获得。
14.进一步的，基于属性信息获取规则信息对应的数字证书之后，基于规则信息、属性信息和数字证书建立规则数据集之前，还包括：
15.基于规则信息对应的第一密钥，对数字证书中的第二密钥进行验证；
16.若第二密钥验证通过，建立数字证书与属性信息中的编码信息之间的对应关系；
编码信息为规则信息对应的识别号。
17.进一步的，基于规则信息、属性信息和数字证书建立规则数据集，包括：
18.基于规则信息和属性信息中的编码信息确定规则数据集的规则数据信息；
19.基于规则信息对应的第一密钥，对规则数据信息进行签名，得到签名后的规则数据信息；
20.基于签名后的规则数据信息和数字证书建立规则数据集。
21.另一方面，本技术实施例提供了一种规则流转方法，该方法包括：
22.响应于规则导入请求，接收规则数据集；规则数据集由规则生成端基于规则信息、规则信息对应的属性信息和规则信息对应的数字证书构建；
23.基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证；
24.若数字证书验证通过，基于数字证书，对规则数据集中签名后的规则数据信息进行验证；
25.若签名后的规则数据信息验证通过，对数字证书中的属性信息进行验证；
26.若属性信息验证通过，导入规则数据集。
27.进一步的，基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证，包括：
28.基于根证书中的第四密钥，对数字证书进行可信赖性验证；第四密钥和第三密钥匹配；
29.基于在线证书状态协议，对数字证书进行有效性验证。
30.进一步的，属性信息包括日期信息、地域信息和终端信息；
31.若属性信息验证通过，导入规则数据集，包括：
32.若当前日期在日期信息之内，当前地域在地域信息对应的范围之内，且当前终端与终端信息匹配，导入规则数据集。
33.另一方面，本技术实施例提供了一种规则流转装置，该装置包括：
34.信息获取模块，用于获取规则信息和规则信息对应的属性信息；
35.数字证书获取模块，用于基于属性信息获取规则信息对应的数字证书；
36.规则数据集建立模块，用于基于规则信息、属性信息和数字证书建立规则数据集；
37.规则数据集发送模块，用于发送规则数据集。
38.进一步的，数字证书获取模块，包括：
39.生成规则信息对应的第一密钥和第二密钥；第一密钥和第二密钥互相匹配；
40.基于第二密钥、以及属性信息中的日期信息、地域信息和终端信息确定证书申请文件；日期信息为规则信息的有效日期；地域信息为规则信息的有效地域范围；终端信息为规则信息的有效终端设备范围；
41.基于证书申请文件，通过云平台向公钥基础设施系统申请并获取数字证书；数字证书包括证书数据和数字签名；证书数据包括第二密钥、日期信息、地域信息和终端信息；数字签名由公钥基础设施系统通过第三密钥对证书数据进行签名获得。
42.进一步的，该装置还包括：
43.密钥验证模块，用于基于规则信息对应的第一密钥，对数字证书中的第二密钥进行验证；若第二密钥验证通过，建立数字证书与属性信息中的编码信息之间的对应关系；编
码信息为规则信息对应的识别号。
44.进一步的，规则数据集建立模块，包括：
45.基于规则信息和属性信息中的编码信息确定规则数据集的规则数据信息；
46.基于规则信息对应的第一密钥，对规则数据信息进行签名，得到签名后的规则数据信息；
47.基于签名后的规则数据信息和数字证书建立规则数据集。
48.另一方面，本技术实施例提供了一种规则流转装置，该装置包括：
49.规则数据集接收模块，用于响应于规则导入请求，接收规则数据集；规则数据集由规则生成端基于规则信息、规则信息对应的属性信息和规则信息对应的数字证书构建；
50.数字证书验证模块，用于基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证；
51.规则数据信息验证模块，用于若数字证书验证通过，基于数字证书，对规则数据集中签名后的规则数据信息进行验证；
52.属性信息验证模块，用于若签名后的规则数据信息验证通过，对数字证书中的属性信息进行验证；
53.规则数据集导入模块，用于若属性信息验证通过，导入规则数据集。
54.进一步的，数字证书验证模块，包括：
55.基于根证书中的第四密钥，对数字证书进行可信赖性验证；第四密钥和第三密钥匹配；
56.基于在线证书状态协议，对数字证书进行有效性验证。
57.进一步的，属性信息包括日期信息、地域信息和终端信息；
58.规则数据集导入模块，包括：
59.若当前日期在日期信息之内，当前地域在地域信息对应的范围之内，且当前终端与终端信息匹配，导入规则数据集。
60.另一方面，本技术实施例提供了一种电子设备，电子设备包括处理器和存储器，存储器中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行如上所述的规则流转方法。
61.另一方面，本技术实施例提供了一种计算机存储介质，计算机存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现如上所述的规则流转方法。
62.本技术实施例提供的规则流转方法、装置、设备及存储介质，具有如下技术效果：
63.获取规则信息和规则信息对应的属性信息，基于属性信息获取规则信息对应的数字证书，基于规则信息、属性信息和数字证书建立规则数据集，发送规则数据集。如此，可以保证规则流转过程中规则数据的真实性、完整性和不可抵赖性。
附图说明
64.为了更清楚地说明本技术实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，
还可以根据这些附图获得其它附图。
65.图1是本技术实施例提供的一种应用环境的示意图；
66.图2是本技术实施例提供的一种规则流转方法的流程示意图；
67.图3是本技术实施例提供的一种规则流转方法的流程示意图；
68.图4是本技术实施例提供的一种规则流转方法的流程示意图；
69.图5是本技术实施例提供的一种规则流转方法的流程示意图；
70.图6是本技术实施例提供的一种规则流转装置的结构示意图；
71.图7是本技术实施例提供的一种规则流转装置的结构示意图；
72.图8是本技术实施例提供的一种规则流转方法的服务器的硬件结构框图。
具体实施方式
73.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
74.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
75.请参阅图1，图1是本技术实施例提供的一种应用环境的示意图，包括规则生成端101、规则导入端102和规则流转系统103。其中，规则生成端101用于生成规则导入端102所需的规则信息；规则导入端102用于导入规则信息，基于规则信息执行相应的操作，例如入侵检测、防御等。规则生成端101和规则导入端102内分别设置有规则流转系统103，或者规则生成端101和规则导入端102分别与规则流转系统103连接。规则生成端101通过规则流转系统103建立规则信息对应的规则数据集；规则导入端102通过规则流转系统对接收到规则数据集进行验证，若验证通过，导入该规则数据集中包含的规则信息。
76.具体的，规则生成端101获取规则信息和规则信息对应的属性信息，基于属性信息获取规则信息对应的数字证书，基于规则信息、属性信息和数字证书建立规则数据集，发送规则数据集。
77.具体的，规则导入端102响应于规则导入请求，接收规则数据集；规则数据集由规则生成端基于规则信息、规则信息对应的属性信息和规则信息对应的数字证书构建；基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证；若数字证书验证通过，基于数字证书，对规则数据集中签名后的规则数据信息进行验证；若签名后的规则数据信息验证通过，对数字证书中的属性信息进行验证；若属性信息验证通过，导入规则数据集。
78.本技术实施例中，可以存在多个规则生成端101和多个规则导入端102。一个规则
生成端101可以对应于多个规则导入端102，为多个规则导入端102制定规则、生成规则数据集；一个规则导入端102也可以对应于多个规则生成端101，接收、导入来自多个规则生成端101的规则数据集。相应的，也可以存在多个规则流转系统103，一个规则生成端101可以通过不同的规则流转系统103与不同的规则导入端102进行规则传输，一个规则导入端102可以通过不同的规则流转系统103接收来自不同的规则生成端101的规则数据集。由此，在规则生成端101与规则导入端102之间形成一个或多个规则流转链，从而能够形成一个庞大的规则流转系统。
79.本技术实施例中，规则流转系统103可以是内置在计算机或服务器中的一段应用程序或者一个软件，，也可以是云平台，也可以是一个用于执行规则流转方法的专用计算机或服务器。
80.以下介绍本技术一种规则流转方法的具体实施例，图2是本技术实施例提供的一种规则流转方法的流程示意图，本说明书提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示，该方法可以包括：
81.s201：获取规则信息和规则信息对应的属性信息。
82.本技术实施例中，规则生成端101基于录入的规则字段获取得到规则信息，以及规则信息对应的属性信息。
83.作为一种可选的实施方式，基于规则数据表单录入规则字段，该规则字段可以包括以下内容：规则名称、规则类型、规则头和规则体等。
84.作为一种可选的实施方式，规则头中可以包含源地址、源端口、目的地址、目的端口、规则动作和协议类型等内容。规则体中可以包含关键字和变量值等内容。其中，关键字中sid和mid字段为必填字段，并且具有唯一性。
85.作为一种可选的实施方式，在录入规则字段时，对上述除规则体变量值外的字段做非空校验和合法性校验，保证由此得到的规则信息的有效性和合法性。
86.作为一种可选的实施方式，在录入规则字段时，还会同时录入相关规则字段的有效日期、有效地域和有效终端设备范围等信息。由有效日期得到规则信息的日期信息，由有效地域得到规则信息的地域信息，由有效终端设备范围得到规则信息的终端信息，同时由于规则体关键字中的sid字段具有唯一性，可以将其作为规则信息的编码信息，唯一标识一个规则信息。由上述日期信息、地域信息、终端信息和编码信息得到属性信息。
87.s203：基于属性信息获取规则信息对应的数字证书。
88.本技术实施例中，基于属性信息中的日期信息、地域信息和终端信息获取规则信息对应的数字证书。其中，通过日期信息限定数字证书的有效期，通过地域信息限定数字证书的有效地域范围，通过终端信息限定数字证书的有效使用终端范围。由此，获得的数字证书能够反映出规则信息对应的日期信息、地域信息和终端信息，基于获得的数字证书的内容就能够确定该规则信息的有效期、有效地域范围和有效终端设备。
89.具体的，图3示出了本技术实施例提供的一种规则流转方法的流程示意图，如图3所示，步骤s203：基于属性信息获取规则信息对应的数字证书，可以包括：
90.s301：生成规则信息对应的第一密钥和第二密钥。
91.本技术实施例中，第一密钥和第二密钥互相匹配，其中第一密钥为存储在规则生成端101本地的私钥，第二密钥为写入数字证书的公钥。第一密钥和第二密钥构成一对密钥对。
92.作为一种可选的实施方式，最终生成的规则数据集中可以包含多条规则信息，该多条规则信息可以采用相同的密钥对，即第一密钥和第二密钥，使用同一个数字证书，即一个规则数据集对应一个数字证书。在此种情况下，规则数据集中的多条规则信息具有相同的属性信息。
93.作为一种可选的实施方式，规则数据集中的多条规则信息分别采用一对密钥对，使用不同的数字证书，那么一个规则数据集中可以包含个数字证书。
94.作为一种可选的实施方式，也可以将每条规则信息单独封装成规则数据集，规则数据集中的数字证书仅对该规则数据集中的规则信息有效。
95.作为一种可选的实施方式，可以预先设置密钥对库，密钥对库中存有预先写入的多对第一密钥和第二密钥，每获得一条规则信息，从该密钥对库中抽取一对第一密钥和第二密钥。抽取方式可以是按照一定的顺序或规律进行抽取，也可以是随机抽取。通过密钥对库限定第一密钥和第二密钥，在规则信息数量较多时，可以减少规则生成端101的数据存储量。
96.s303：基于第二密钥、以及属性信息中的日期信息、地域信息和终端信息确定证书申请文件。
97.本技术实施例中，将第二密钥作为数字证书的公钥，将日期信息作为数字证书的有效期，将地域信息作为数字证书的地域范围，将终端信息作为数字证书的终端设备范围，从而确定证书申请文件。
98.s305：基于证书申请文件，通过云平台向公钥基础设施系统申请并获取数字证书。
99.本技术实施例中，数字证书包括证书数据和数字签名。其中，证书数据包括第二密钥、日期信息、地域信息和终端信息，数字签名由公钥基础设施系统(pki)通过第三密钥对证书数据进行签名获得。第三密钥为公钥基础设施系统(pki)的私钥，相应的，存在与第三密钥匹配的第四密钥作为公钥基础设施系统(pki)的公钥。
100.本技术实施例中，由于公钥基础设施(pki)系统应用的行业惯例，数字证书申请方不能直接与公钥基础设施(pki)系统建立连接以申请数字证书，而需要通过一个云平台建立中间连接，通过云平台向公钥基础设施(pki)系统申请数字证书。
101.本技术实施例中，该云平台可以是规则生成端101专用的云平台，也可以是所有采用本技术的规则流转方法的规则生成端101以及规则导入端102共享的云平台。
102.本技术实施例中，在向公钥基础设施系统(pki)申请并获取数字证书前，规则生成端101需要预先与其他规则生成端101、规则导入端102和云平台建立证书链，该操作可以在最初构建规则流转系统时完成。该证书链能够在其中的各规则生成端101、规则导入端102和云平台之间建立安全可靠的数据传输链。证书链中的每一规则生成端101、规则导入端102和云平台可以预置通用证书和根证书。其中，通用证书用于建立证书链连接；根证书则用于对接收到的数据进行验证，根证书中包括公钥基础设施系统(pki)的公钥，即第四密钥。
103.本技术实施例中，规则生成端101将确定的证书申请文件发送给云平台，通过云平台获取数字证书。可选的，证书申请文件可以为p10请求。
104.作为一种可选的实施方式，公钥基础设施系统(pki)可以是能够直接识别p10请求的系统。云平台接收到证书申请文件后直接将证书申请文件转发给公钥基础设施系统(pki)。
105.作为一种可选的实施方式，公钥基础设施系统(pki)可以是不能直接识别p10请求的系统。云平台接收到证书申请文件后将证书申请文件转换为对应的公钥基础设施系统(pki)能够识别的格式，然后将转换后的证书申请文件发送给公钥基础设施系统(pki)。
106.本技术实施例中，公钥基础设施系统(pki)在接收到证书申请文件后，获取证书申请文件中包含的第二密钥、日期信息、地域信息和终端信息，即证书数据，然后对证书数据进行哈希运算，得到证书数据对应的哈希值，再通过第三密钥对哈希值进行加密，从而完成对证书数据的签名，获得数字签名。
107.作为一种可选的实施方式，公钥基础设施系统(pki)生成数字证书后，可以将数字证书发布到轻量级目录访问协议(ldap)或者在线证书状态协议(oscp)服务器中，以供后续规则导入端102在接收到规则数据集后验证其包含的数字证书是否被吊销，以保证规则导入端102导入的规则数据集的有效性。
108.作为一种可选的实施方式，若存在以下一种或多种情况，数字证书将会被吊销：
109.第一种情况，规则信息被证明为错误；
110.第二种情况，数字证书失效或遗失；
111.第三种情况，规则信息的密钥失效，即第一密钥或第二密钥失效；
112.第四种情况，规则生成端101对发出的规则数据集有驳回诉求。
113.作为一种可选的实施方式，本技术实施例提供的规则流转方法可以包括但不限于以上四种情况，在这些情况下判定校准信息的数字证书可以被吊销。
114.作为一种可选的实施方式，在获取数字证书之后，还可以对得到的数字证书进行验证。具体的，基于规则信息对应的第一密钥，对数字证书中的第二密钥进行验证，从而防止数字证书在发送至规则生成端101的过程中被篡改，同时，避免规则生成端101在同时获取多个数字证书时，在数字证书与规则信息之间建立错误的对应关系。
115.作为一种可选的实施方式，若第二密钥验证通过，建立数字证书与编码信息之间的对应关系。由于编码信息唯一标识一条规则信息，在编码信息和数字证书之间建立对应关系，就能够将数字证书和规则信息对应起来。
116.通过上述方法得到规则信息对应的数字证书，将数字证书的有效期、地域范围和终端设备范围等标准化信息与规则流转方法衔接，通过数字证书来保证规则流转过程中对日期信息、地域信息和终端信息的约束，防止规则导入端102导入不适用的规则数据集。
117.s205：基于规则信息、属性信息和数字证书建立规则数据集。
118.本技术实施例中，图4示出了本技术实施例提供的一种规则流转方法的流程示意图，如图4所示，步骤s205：基于规则信息、属性信息和数字证书建立规则数据集，可以包括：
119.s401：基于规则信息和属性信息中的编码信息确定规则数据集的规则数据信息。
120.本技术实施例中，规则数据信息包括规则信息和规则信息对应的编码信息。
121.作为一种可选的实施方式，规则数据信息还可以包含备注信息，备注信息为对规
则信息或者使用终端设备，即规则导入端102的其他附加说明。
122.作为一种可选的实施方式，规则数据信息还可以包含第五密钥的密钥id。相应的，在构建规则数据信息之前，先利用密钥管理系统(kms，key manage system)生成的第五密钥对规则信息进行加密，并获取该第五密钥对应的密钥id。具体的，规则生成端101调用密钥管理系统(kms)接口，传入规则信息对应的编码信息，即sid字段；密钥管理系统(kms)基于编码信息生成一个对称密钥，即第五密钥，同时将第五密钥的密钥id返回给规则生成端101；规则生成端调用安全中间件，通过第五密钥的密钥id，对规则信息进行加密，从而保证规则信息的机密性。
123.作为一种可选的实施方式，规则数据信息中还可以包含其他属性信息，也就是日期信息、地域信息和终端信息，以在规则数据信息中进行冗余，从而在后续规则导入端102对规则数据集进行验证时，进一步验证数字证书中的日期信息、地域信息和终端信息是否可靠，提高规则数据集的可靠性。
124.s403：基于规则信息对应的第一密钥，对规则数据信息进行签名，得到签名后的规则数据信息。
125.本技术实施例中，首先对规则数据信息进行哈希运算，得到规则数据信息的哈希值，然后使用规则信息对应的第一密钥，对规则数据信息的哈希值进行加密，从而完成对规则数据信息的签名，得到签名后的规则数据信息。
126.s405：基于签名后的规则数据信息和数字证书建立规则数据集。
127.作为一种可选的实施方式，规则数据集中还可以包含轻量级目录访问协议(ldap)和在线证书状态协议(oscp)中至少一个协议的服务地址，为规则导入端102在轻量级目录访问协议(ldap)和在线证书状态协议(oscp)中查询接收到的规则数据集的有效状态提供访问地址。
128.s207：发送规则数据集。
129.通过上述方法建立规则数据集，不仅使得规则信息通过数字证书签名，可以保证规则流转过程中校准结果的真实性、完整性和不可抵赖性，还在规则数据集中防止规则信息对应的数字签名，能够体现规则信息的有效日期、有效地域范围和有效终端设备范围。
130.图5示出了本技术实施例提供的一种规则流转方法，如图5所示，该方法包括：
131.s501：响应于规则导入请求，接收规则数据集。
132.本技术实施例中，规则导入端102接收的规则数据集由规则生成端101基于规则信息、规则信息对应的属性信息和规则信息对应的数字证书构建。
133.s503：基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证。
134.本技术实施例中，对规则数据集中的数字证书的验证分为可信赖性验证和有效性验证两步。具体的，基于预置的根证书对数字证书进行合法性验证，确认数字证书是否是由规则导入端102所在的证书链对应的公钥基础设施系统(pki)生成的；基于轻量级目录访问协议(ldap)或者在线证书状态协议(oscp)对数字证书进行有效性验证，确认数字证书是否被吊销，是否依然可用。
135.作为一种可选的实施方式，具体基于轻量级目录访问协议(ldap)还是在线证书状态协议(oscp)查询数字证书是否被吊销，取决于规则数据集中存储的是轻量级目录访问协
议(ldap)的服务地址还是在线证书状态协议(oscp)的服务地址。
136.作为一种可选的实施方式，基于预置的根证书对数字证书进行可信赖性验证，实际上是基于根证书中的第四密钥，对数字证书进行可信赖性验证。具体的，对数字证书中的证书数据进行哈希运算，通过根证书中的第四密钥对数字证书中的数字签名进行解密，若两者计算得到的运算值一致，则数字证书验证通过。
137.s505：若数字证书验证通过，基于数字证书，对规则数据集中签名后的规则数据信息进行验证。
138.本技术实施例中，对签名后的规则数据信息进行哈希运算，通过第二密钥对签名后的规则数据信息进行解密，若两者计算得到的运算值一致，则签名后的规则数据信息验证通过，从而可以签名后的规则数据信息在传输过程中是否被篡改，保证规则数据信息的可靠性。
139.s507：若签名后的规则数据信息验证通过，对数字证书中的属性信息进行验证。
140.本技术实施例中，数字证书中的属性信息包括日期信息、地域信息和终端信息。那么对数字证书中的属性信息进行验证，具体包括：验证当前日期是否在日期信息之内，验证规则导入端102所在的地理位置，即当前地域是否在地域信息对应的范围之内，以及验证规则导入端102对应的终端设备，即当前终端是否与终端信息匹配。
141.s509：若属性信息验证通过，导入规则数据集。
142.本技术实施例中，若当前日期在日期信息之内，当前地域在地域信息对应的范围之内，且当前终端与终端信息匹配，导入规则数据集。
143.作为一种可选的实施方式，在导入规则数据集时，规则数据集中的规则信息为事先利用密钥管理系统(kms)加密后的信息，则此时规则导入端102调用密钥管理系统(kms)接口，通过规则数据集中的密钥id，对加密后的规则信息进行解密，得到并导入规则信息。
144.通过上述规则流转方法，在导入规则数据集时，依次对数字证书、签名后的规则数据信息和属性信息进行验证，从而保证最终导入的规则信息的合法性、有效性和可靠性。
145.本技术实施例还提供了一种规则流转装置，图6是本技术实施例提供的一种规则流转装置的结构示意图，如图6所示，该装置包括：
146.信息获取模块601，用于获取规则信息和规则信息对应的属性信息；
147.数字证书获取模块602，用于基于属性信息获取规则信息对应的数字证书；
148.规则数据集建立模块603，用于基于规则信息、属性信息和数字证书建立规则数据集；
149.规则数据集发送模块604，用于发送规则数据集。
150.作为一种可选的实施方式，数字证书获取模块602，包括：
151.生成规则信息对应的第一密钥和第二密钥；第一密钥和第二密钥互相匹配；
152.基于第二密钥、以及属性信息中的日期信息、地域信息和终端信息确定证书申请文件；日期信息为规则信息的有效日期；地域信息为规则信息的有效地域范围；终端信息为规则信息的有效终端设备范围；
153.基于证书申请文件，通过云平台向公钥基础设施系统申请并获取数字证书；数字证书包括证书数据和数字签名；证书数据包括第二密钥、日期信息、地域信息和终端信息；数字签名由公钥基础设施系统通过第三密钥对证书数据进行签名获得。
154.作为一种可选的实施方式，该装置还包括：
155.密钥验证模块，用于基于规则信息对应的第一密钥，对数字证书中的第二密钥进行验证；若第二密钥验证通过，建立数字证书与属性信息中的编码信息之间的对应关系；编码信息为规则信息对应的识别号。
156.作为一种可选的实施方式，规则数据集建立模块603，包括：
157.基于规则信息和属性信息中的编码信息确定规则数据集的规则数据信息；
158.基于规则信息对应的第一密钥，对规则数据信息进行签名，得到签名后的规则数据信息；
159.基于签名后的规则数据信息和数字证书建立规则数据集。
160.作为一种可选的实施方式，本技术实施例还提供了一种规则流转装置，图7是本技术实施例提供的一种规则流转装置的结构示意图，如图7所示，该装置包括：
161.规则数据集接收模块701，用于响应于规则导入请求，接收规则数据集；规则数据集由规则生成端基于规则信息、规则信息对应的属性信息和规则信息对应的数字证书构建；
162.数字证书验证模块702，用于基于预置的根证书和在线证书状态协议，对规则数据集中的数字证书进行验证；
163.规则数据信息验证模块703，用于若数字证书验证通过，基于数字证书，对规则数据集中签名后的规则数据信息进行验证；
164.属性信息验证模块704，用于若签名后的规则数据信息验证通过，对数字证书中的属性信息进行验证；
165.规则数据集导入模块705，用于若属性信息验证通过，导入规则数据集。
166.作为一种可选的实施方式，数字证书验证模块702，包括：
167.基于根证书中的第四密钥，对数字证书进行可信赖性验证；第四密钥和第三密钥匹配；
168.基于在线证书状态协议，对数字证书进行有效性验证。
169.作为一种可选的实施方式，属性信息包括日期信息、地域信息和终端信息；
170.规则数据集导入模块705，包括：
171.若当前日期在日期信息之内，当前地域在地域信息对应的范围之内，且当前终端与终端信息匹配，导入规则数据集。
172.该装置实施例中的装置与方法实施例基于同样地申请构思。
173.本技术实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例，图8是本技术实施例提供的一种雨量确定方法的服务器的硬件结构框图。如图8所示，该服务器800可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，cpu)810(处理器810可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器830，一个或一个以上存储应用程序823或数据822的存储介质820(例如一个或一个以上海量存储设备)。其中，存储器830和存储介质820可以是短暂存储或持久存储。存储在存储介质820的程序可以包括一个或一个以上模块，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器810可以设置为与存储介质820通信，在服务器
800上执行存储介质820中的一系列指令操作。服务器800还可以包括一个或一个以上电源860，一个或一个以上有线或无线网络接口850，一个或一个以上输入输出接口840，和/或，一个或一个以上操作系统821，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等等。
174.输入输出接口840可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器800的通信供应商提供的无线网络。在一个实例中，输入输出接口840包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，输入输出接口840可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
175.本领域普通技术人员可以理解，图8所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，服务器800还可包括比图8中所示更多或者更少的组件，或者具有与图8所示不同的配置。
176.本技术的实施例还提供了一种规则流转设备，设备包括处理器和存储器，存储器中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现规则流转方法。
177.本技术的实施例还提供了一种存储介质，存储介质可设置于服务器之中以保存用于实现方法实施例中一种量值确定方法相关的至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的规则流转方法。
178.可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
179.由上述本技术提供的规则流转方法、装置、设备及存储介质的实施例可见，本技术中获取规则信息和规则信息对应的属性信息，基于属性信息获取规则信息对应的数字证书，基于规则信息、属性信息和数字证书建立规则数据集，发送规则数据集。如此，可以保证规则流转过程中规则数据的真实性、完整性和不可抵赖性。
180.需要说明的是：上述本技术实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
181.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
182.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储
介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
183.以上仅为本技术的较佳实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。