專利名稱：分布式安全策略的實現(xiàn)方法、客戶端及通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種分布式安全策略的實現(xiàn)方法、 客戶端及通信系統(tǒng)。
背景技術(shù)：
隨著因特網(wǎng)應(yīng)用的日益普及，黑客與病毒無孔不入，使網(wǎng)絡(luò)信息系統(tǒng)遭 受了前所未有的威脅。
在信息化的過程中，企業(yè)一方面需要擴(kuò)展其內(nèi)網(wǎng)應(yīng)用服務(wù)資源和數(shù)據(jù)資 源的訪問領(lǐng)域，以滿足越來越多的遠(yuǎn)程接入需求，另一方面，還需要保證內(nèi) 網(wǎng)的安全和接入的安全性，防止企業(yè)內(nèi)部網(wǎng)絡(luò)遭受黑客和病毒的攻擊，并確 保傳輸?shù)男畔⒉槐槐O(jiān)聽、竊取或篡改。如何保證用戶安全地遠(yuǎn)程接入重要的
信息資源是一個重要的課題。而承載于因特網(wǎng)之上的虛擬專用網(wǎng)(Virtual Private Network, VPN)隧道接入方式為這個問題提供了解決之道。
安全接入網(wǎng)關(guān)是一種具備遠(yuǎn)程安全接入能力的接入設(shè)備，它可以采用IP 安全機(jī)制(IPSecurity, IPSec)隧道方式或者安全套接字層(Security Socket Layer, SSL)/傳輸層安全(Transport Layer Security, TLS)加密方式，為通 過因特網(wǎng)接入企業(yè)網(wǎng)的用戶提供了安全加密的VPN通道。通過VPN安全接 入網(wǎng)關(guān)，用戶在任何地點都能夠經(jīng)過認(rèn)證授權(quán)，安全地接入內(nèi)網(wǎng)。
安全接入網(wǎng)關(guān)針對用戶實現(xiàn)不同的訪問控制，其訪問控制列表(Access Control List, ACL)豐富并且靈活。企業(yè)根據(jù)員工不同職級，對其訪問企業(yè) 資源進(jìn)行不同權(quán)限的控制，從而保證企業(yè)的信息安全。
目前VPN配置ACL的做法是在網(wǎng)關(guān)側(cè)統(tǒng)一配置ACL,當(dāng)用戶登錄后， 就將ACL授權(quán)給用戶，并下發(fā)到客戶端。
在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)上述技術(shù)方案至少存在如下缺陷
現(xiàn)有技術(shù)中由于下發(fā)到客戶端的ACL直接在內(nèi)存中，很容易被他人篡 改，導(dǎo)致訪問控制失效。

發(fā)明內(nèi)容
本發(fā)明實施例提供了 一種分布式安全策略的實現(xiàn)方法、客戶端及通信系
4統(tǒng)，使用本發(fā)明實施例提供的技術(shù)方案，能夠確保訪問控制的分布式處理的 安全性。
本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的
一種分布式安全策略的實現(xiàn)方法，包括
在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表；
將所述訪問控制列表通過帶密鑰的哈希算法進(jìn)行計算，存貯所述計算得 到的計算值；
在客戶端訪問資源時，計算實際哈希值；
比較所述實際哈希值與存的所述計算值是否 一致；
在所述實際哈希值與存貯的所述計算值一致時，允許用戶訪問與所述實 際哈希值對應(yīng)的資源。
一種客戶端，包括
獲取單元，用于在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表； 哈希單元，用于將所述獲取單元獲取的所述訪問控制列表通過帶密鑰的
哈希算法計算；
存貯單元，用于存貯所述哈希單元計算得到的計算值； 計算單元，用于在客戶端訪問資源時，計算實際哈希值； 比較單元，
元存貯的所述計算值是否 一致； 處理單元，
貝±的所述計算值一致時，允許用戶訪問與所述實際，合希值對應(yīng)的資源。 一種通信系統(tǒng)，包括
網(wǎng)關(guān)，用于在認(rèn)證通過后，向客戶端發(fā)送訪問控制列表； 客戶端，用于從所述網(wǎng)關(guān)獲取與用戶對應(yīng)的訪問控制列表；將所述訪問 控制列表通過帶密鑰的哈希算法計算，存貯所述計算得到的計算值；在客戶 端訪問資源時，計算實際哈希值；比較所述實際哈希值與存貯的所述計算值 是否一致；在所述實際哈希值與存貯的所述計算值一致時，允許用戶訪問與 所述實際卩合希值對應(yīng)的資源。
從本發(fā)明實施例提供的以上技術(shù)方案可以看出，由于將訪問控制列表通過帶密鑰的哈希算法計算，并存貯計算值，將實際哈希值和存貯的計算值進(jìn) 行比較，實現(xiàn)了對訪問控制的分布式處理，能夠減輕網(wǎng)關(guān)的負(fù)擔(dān)，使得訪問 控制更加靈活，由于對訪問控制列表進(jìn)行加密處理，從而保證了訪問控制的 安全性。


為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面 描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講， 在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實施例一闡述的一種分布式安全策略的實現(xiàn)方法的流程
圖2是本發(fā)明實施例二闡述的一種分布式安全策略的實現(xiàn)方法的信令
圖3是本發(fā)明實施例闡述的第一種客戶端的組成示意圖； 圖4是本發(fā)明實施例闡述的第二種客戶端的組成示意圖； 圖5是本發(fā)明實施例闡述的第三種客戶端的組成示意圖； 圖6是本發(fā)明實施例闡述的一種通信系統(tǒng)的組成框圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行
清楚、完整地描述，顯然，所描述的實施例僅^5l是本發(fā)明一部分實施例，而 不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明實施例提供了 一種分布式安全策略的實現(xiàn)方法、客戶端及通信系 統(tǒng)，使用本發(fā)明實施例提供的技術(shù)方案，能夠確保訪問控制的分布式處理的 安全性。
本發(fā)明實施例提出了一種對于訪問控制列表分布式處理時，對網(wǎng)關(guān)下發(fā) 到客戶端的訪問控制列表進(jìn)行加密保護(hù)的方法，防止被人篡改。 首先闡述一種分布式安全策略的實現(xiàn)方法。 實施例一本實施例闡迷一種分布式安全策略的實現(xiàn)方法，通過該方法，能夠在分 布式處理訪問控制時，確?？蛻舳藗?cè)的訪問控制列表的完整性、保密性和安 全性。下面結(jié)合附圖進(jìn)行詳細(xì)說明。
參見圖1,本實施例的方法可以包括以下步驟
步驟101:在通過認(rèn)證后，荻取與用戶對應(yīng)的訪問控制列表；
在步驟101之前還可以包括
向網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求；
在建立所述安全套4妄字層請求后，向所述網(wǎng)關(guān)發(fā)送認(rèn)證請求；
如果所述網(wǎng)關(guān)通過認(rèn)證，執(zhí)行步驟101。
步驟102:將所述訪問控制列表通過帶密鑰的哈希算法(HMAC)進(jìn)行計 算，存貯所述計算得到的計算值；
進(jìn)行HMAC計算可以采用與現(xiàn)有技術(shù)相同的方法，例如可以采用以下方 法定義HMAC需要一個加密用散列函數(shù)以及一個密鑰K,加密用散列函數(shù)可 以表示為H,加密用散列函數(shù)也可以是安全散列算法(Security Hash Algorithm, SHA-1 ),用B來表示數(shù)據(jù)塊的字節(jié)數(shù)。用L來表示散列函數(shù)的輸出數(shù)據(jù)字節(jié)數(shù)。 鑒別密鑰的長度可以是小于等于數(shù)據(jù)塊長度的任何正整數(shù)值。應(yīng)用程序中使 用的密鑰長度如果比B大，則首先使用散列函數(shù)H作用于它，然后H輸出的L 長度字符串作為在HMAC中實際使用的密鑰。 一般情況下，推薦的最小密鑰K 長度是L個字節(jié)。
定義兩個固定且不同的字符串ipad、 opad,其中'i'、 'o'表示內(nèi)部與外部 ipad =the byte 0x36重復(fù)B次； opad =the byte 0x5c重復(fù)B次； 計算'text，的HMAC值
HMAC = H (K XOR opad, H(KXORipad， text)) 上述進(jìn)行HMAC計算可以概括成以下步驟
(1) 在密鑰K后面添加O來創(chuàng)建一個字節(jié)長為B的字符串。例如如果K 的字長是20字節(jié)，B^64字節(jié)，則K后會加入44個零字節(jié)0x00;
(2) 將上一步生成的B字節(jié)的字符串與ipad做異或運(yùn)算；
(3) 將數(shù)據(jù)流text填充至第二步的結(jié)果字符串中；(4) 用H作用于第三步生成的數(shù)據(jù)流；
(5) 將第一步生成的B字長字符串與opad啦支異或運(yùn)算；
(6) 再將第四步的結(jié)果填充進(jìn)第五步的結(jié)果中；
(7) 用H作用于第六步生成的數(shù)據(jù)流，輸出最終結(jié)果。 步驟103:在客戶端訪問資源時，計算實際哈希值； 可以是在客戶端每次訪問資源時，計算實際哈希值，也可以是在客戶端
隔一段時間訪問資源時，計算實際哈希值，步驟103計算得到的實際哈希值每 次計算的結(jié)果不一定相同，它采用的計算方法可以是與步驟102中的方法相 同。
步驟104:比較所述實際哈希值與存貯的所述計算值是否一致；在所述實 際哈希值與存貯的所述計算值一致時，執(zhí)行步驟105;
步驟105:允許用戶訪問與所述實際，合希值對應(yīng)的資源。
如果步驟104中比較實際哈希值與存貯的計算值不一致時，客戶端將阻止 向網(wǎng)關(guān)發(fā)送與實際哈希值對應(yīng)的報文。
本實施例由于將訪問控制列表通過帶密鑰的哈希算法計算，并存貯計算 值，將實際哈希值和存貯的計算值進(jìn)行比較，實現(xiàn)了對訪問控制的分布式處 理，能夠減輕網(wǎng)關(guān)的負(fù)擔(dān)，Y吏得訪問控制更加靈活，由于對訪問控制列表進(jìn) 行加密處理，從而保證了訪問控制的安全性。
實施例一從客戶端側(cè)闡述了一種分布式安全策略的實現(xiàn)方法，實施例二 通過網(wǎng)關(guān)和客戶端之間的交互來說明一種分布式安全策略的實現(xiàn)方法。
實施例二
本實施例闡述一種分布式安全策略的實現(xiàn)方法，通過該方法，能夠在分 布式處理訪問控制時，確?？蛻舳藗?cè)的訪問控制列表的完整性、保密性和安 全性。下面結(jié)合附圖進(jìn)行詳細(xì)說明。
參見圖2,本實施例的方法可以包括以下步驟
步驟201:客戶端與網(wǎng)關(guān)建立SSL連接；
客戶端可以是通過向網(wǎng)關(guān)發(fā)送建立SSL連接請求消息來建立與網(wǎng)關(guān)的 SSL連接。
步驟202:客戶端向網(wǎng)關(guān)發(fā)起用戶認(rèn)證請求；客戶端如果要接入安全網(wǎng)關(guān)，首先需要進(jìn)行用戶認(rèn)證，客戶端可以是通 過向網(wǎng)關(guān)發(fā)送用戶認(rèn)證請求消息，以使網(wǎng)關(guān)根據(jù)該用戶認(rèn)證請求消息對用戶 進(jìn)行認(rèn)證。
步驟203:網(wǎng)關(guān)對用戶進(jìn)行認(rèn)證；如果i人證通過，執(zhí)行步驟204;
網(wǎng)關(guān)根據(jù)用戶認(rèn)證請求消息中攜帶的鑒權(quán)向量進(jìn)行認(rèn)證，如果認(rèn)證通過， 網(wǎng)關(guān)就進(jìn)行授權(quán)，將與通過認(rèn)證的用戶對應(yīng)的訪問控制列表下發(fā)到客戶端。
步驟204:網(wǎng)關(guān)向客戶端發(fā)送認(rèn)證授權(quán)信息，上述認(rèn)ii4吏權(quán)信息包含訪 問控制列表；
網(wǎng)關(guān)下發(fā)訪問控制列表可以通過認(rèn)ii4t權(quán)信息發(fā)送，但不限于通過該信 息發(fā)送訪問控制列表。
步驟205:客戶端將訪問控制列表通過HMAC計算，并存貝i計算值；
客戶端將訪問控制列表通過HMAC哈希，相當(dāng)于對訪問控制列表進(jìn)行了 加密處理，然后將進(jìn)行加密處理后的訪問控制列表保存，此時保存的值可以 是經(jīng)過哈希得到的值。
步驟206:客戶端計算實際哈希值，并與存貯的計算值進(jìn)行比較。
每次用戶訪問資源時，需要首先計算哈希值，計算的方法與現(xiàn)有技術(shù)相 同，可以釆用例如可以采用以下方法定義HMAC需要一個加密用散列函數(shù) 以及一個密鑰K,加密用散列函數(shù)可以表示為H,加密用散列函數(shù)也可以是安 全散列算法(Security Hash Algorithm, SHA-1 )，用B來表示數(shù)據(jù)塊的字節(jié)數(shù)。 用L來表示散列函數(shù)的輸出數(shù)據(jù)字節(jié)數(shù)。鑒別密鑰的長度可以是小于等于數(shù)據(jù) 塊長度的任何正整數(shù)值。應(yīng)用程序中使用的密鑰長度如果比B大，則首先使用 散列函數(shù)H作用于它，然后H輸出的L長度字符串作為在HMAC中實際使用的 密鑰。 一般情況下，推薦的最小密鑰K長度是L個字節(jié)。
定義兩個固定且不同的字符串ipad、 opad,其中'i'、 'o'表示內(nèi)部與外部
ipad =the byte 0x36重復(fù)B次；
opad =the byte 0x5c重復(fù)B次；
計算'text，的HMAC值
HMAC = H (K XOR opad, H(KXORipad, text)) 上述進(jìn)行HMAC計算可以概括成以下步驟(1) 在密鑰K后面添加O來創(chuàng)建一個字節(jié)長為B的字符串。例如如果K 的字長是20字節(jié)，8=64字節(jié)，則K后會加入44個零字節(jié)0x00;
(2) 將上一步生成的B字節(jié)的字符串與ipadf故異或運(yùn)算； (3 )將數(shù)據(jù)流text填充至第二步的結(jié)果字符串中；
(4) 用H作用于第三步生成的數(shù)據(jù)流；
(5) 將第一步生成的B字長字符串與opad做異或運(yùn)算；
(6) 再將第四步的結(jié)果填充進(jìn)第五步的結(jié)果中；
(7) 用H作用于第六步生成的數(shù)據(jù)流，輸出最終結(jié)果。 如果比較的結(jié)果一致，說明訪問控制列表生效，則客戶端允許用戶訪問
與實際哈希值對應(yīng)的資源，如果比較的結(jié)果不一致，客戶端則阻止向網(wǎng)關(guān)發(fā) 送與實際哈希值對應(yīng)的報文。
本實施例通過對訪問控制策略的分布式處理，并且在客戶端對訪問控制 列表進(jìn)行加密處理，能夠減輕網(wǎng)關(guān)側(cè)的負(fù)擔(dān)，使得訪問控制更加靈活，并且 保證了策略的安全性，同時也確保了客戶端側(cè)的訪問控制列表的完整性和保 密性。
需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表 述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描 述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者 同時進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例 均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。
在上述實施例中，對各個實施例的描述都各有側(cè)重，某個實施例中沒有 詳述的部分，可以參見其他實施例的相關(guān)描述。
以上提供了一種分布式安全策略的實現(xiàn)方法，本發(fā)明實施例還闡述了客 戶端和通信系統(tǒng)。
下面首先闡述一種客戶端。
參見圖3， 一種客戶端，可以包括以下單元
獲取單元301,用于在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表； 哈希單元302，用于將所述獲取單元301獲取的所述訪問控制列表通過帶 密鑰的哈希算法計算；存貝i單元303,用于存貯所述哈希單元302計算得到的計算值； 計算單元304,用于在客戶端訪問資源時，計算實際哈希值； 比較單元305,用于比較所述計算單元304得到的所述實際，哈希值與所述
存貝i單元303存貯的所述計算值是否一致；
處理單元306,用于在所述比較單元305比較所述實際哈希值與所述存貯
單元存貯的所述計算值一致時，允許用戶訪問與所述實際哈希值對應(yīng)的資源。 上述客戶端可以用于實現(xiàn)本發(fā)明實施例提及的一種分布式安全策略的實
現(xiàn)方法，但不限于實現(xiàn)該方法。
參見圖4， 一種客戶端，除了包括圖3所示的單元之外，還可以包括 連接請求發(fā)送單元401 ，用于向網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求； 認(rèn)證請求發(fā)送單元402,用于在建立所述連接請求發(fā)送單元發(fā)送的所述安
全套接字層連接請求后，向所述網(wǎng)關(guān)發(fā)送認(rèn)證請求。
在上述認(rèn)證請求發(fā)送單元402向網(wǎng)關(guān)發(fā)送認(rèn)證請求后，所述網(wǎng)關(guān)進(jìn)行認(rèn)
證，如果認(rèn)證通過，則獲取單元301獲取與用戶對應(yīng)的訪問控制列表。
參見圖5， 一種客戶端，除了包括圖3所示的單元之外，還可以包括 阻止單元501,用于在所述比較單元305比較所述計算單元得到的所述實
際哈希值與所述存貯單元存貯的所述計算值不一致時，阻止向網(wǎng)關(guān)發(fā)送與所
述實際哈希值對應(yīng)的報文。
上述客戶端可以用于實現(xiàn)本發(fā)明實施例提及的一種分布式安全策略的實
現(xiàn)方法，但不限于實現(xiàn)該方法。
上面闡述了客戶端，下面闡述一種通信系統(tǒng)。 參見圖6， 一種通信系統(tǒng)，可以包括
網(wǎng)關(guān)601,用于在認(rèn)證通過后，向客戶端602發(fā)送訪問控制列表； 客戶端602,用于從所述網(wǎng)關(guān)601獲取與用戶對應(yīng)的訪問控制列表；將所 述訪問控制列表通過帶密鑰的哈希算法計算，存貯所述計算得到的計算值； 在客戶端訪問資源時，計算實際哈希值；比較所述實際哈希值與存貯的所述 計算值是否一致；在所述實際哈希值與存貯的所述計算值一致時，允許用戶 訪問與所述實際哈希值對應(yīng)的資源。
其中，所述客戶端602還用于向網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求；在建立所述安全套接字層請求后，向所述網(wǎng)關(guān)發(fā)送認(rèn)i正請求；所述網(wǎng)關(guān)601還用 于接收所述客戶端發(fā)送的建立安全套接字層連接請求，接收所述客戶端發(fā)送 的認(rèn)證請求，才艮據(jù)所述認(rèn)i正請求對用戶進(jìn)行認(rèn)證，如果i人證通過，向所述客 戶端發(fā)送認(rèn)證授權(quán)信息，所述認(rèn)證授權(quán)信息包括與所述用戶對應(yīng)的所述訪問 控制列表。
其中，所述客戶端602在所述實際哈希值與存貯的所述計算值不一致時， 阻止向所述網(wǎng)關(guān)發(fā)送與所述實際哈希值對應(yīng)的報文。
本發(fā)明實施例由于將訪問控制列表通過帶密鑰的哈希算法計算，并存貯 計算值，將實際哈希值和存貯的計算值進(jìn)行比較，實現(xiàn)了對訪問控制的分布 式處理，能夠減輕網(wǎng)關(guān)的負(fù)擔(dān)，使得訪問控制更加靈活，由于對訪問控制列 表進(jìn)行加密處理，從而保證了訪問控制的安全性。
領(lǐng)
是可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計算機(jī)
可讀存儲介質(zhì)中，該程序在執(zhí)行時，包括如下步驟 在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表；
將所述訪問控制列表通過帶密鑰的哈希算法計算，存貯所述計算得到的 計算值；
在客戶端訪問資源時，計算實際哈希值；
比較所述實際哈希值與存貯的所述計算值是否一致；
在所述實際哈希值與存貯的所述計算值一致時，允許用戶訪問與所述實 際哈希值對應(yīng)的資源。
上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。
以上對本發(fā)明實施例所提供的一種分布式安全策略的實現(xiàn)方法、客戶端 及通信系統(tǒng)進(jìn)行了詳細(xì)介紹，以上實施例的說明只是用于幫助理解本發(fā)明的 方法及其思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式
及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng) 理解為對本發(fā)明的限制。
權(quán)利要求
1、一種分布式安全策略的實現(xiàn)方法，其特征在于，包括在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表；將所述訪問控制列表通過帶密鑰的哈希算法進(jìn)行計算，存貯所述計算得到的計算值；在客戶端訪問資源時，計算實際哈希值；比較所述實際哈希值與存貯的所述計算值是否一致；在所述實際哈希值與存貯的所述計算值一致時，允許用戶訪問與所述實際哈希值對應(yīng)的資源。
2、 根據(jù)權(quán)利要求l所述的分布式安全策略的實現(xiàn)方法，其特征在于，所 述獲取與用戶對應(yīng)的訪問控制列表之前還包括向網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求； 在建立所述安全套接字層請求后，向所述網(wǎng)關(guān)發(fā)送認(rèn)證請求； 如果所述網(wǎng)關(guān)通過認(rèn)證，執(zhí)行所述獲取與用戶對應(yīng)的訪問控制列表的步驟。
3、 根據(jù)權(quán)利要求1或2所述的分布式安全策略的實現(xiàn)方法，其特征在于， 在所述實際哈希值與存貯的所述計算值不一致時，阻止向網(wǎng)關(guān)發(fā)送與所述實 際哈希值對應(yīng)的報文。
4、 一種客戶端，其特征在于，包括獲取單元，用于在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表； 哈希單元，用于將所述獲取單元獲取的所述訪問控制列表通過帶密鑰的哈希算法計算；存貝i單元，用于存貯所述哈希單元計算得到的計算值；計算單元，用于在客戶端訪問資源時，計算實際哈希值；比較單元，用于比較所述計算單元得到的所述實際哈希值與所述存貯單元存貯的所述計算值是否一致；處理單元，用于在所述比較單元比較所述實際哈希值與所述存貯單元存貝±的所述計算值一致時，允許用戶訪問與所述實際，哈希值對應(yīng)的資源。
5、 根據(jù)權(quán)利要求4所述的客戶端，其特征在于，還包括 連接請求發(fā)送單元，用于向網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求；認(rèn)證請求發(fā)送單元，用于在建立所述連接請求發(fā)送單元發(fā)送的所述安全 套接字層連接請求后，向所述網(wǎng)關(guān)發(fā)送認(rèn)證請求。
6、 根據(jù)權(quán)利要求4或5所述的客戶端，其特征在于，還包括 阻止單元，用于在所述比較單元比較所述計算單元得到的所述實際哈希值與所述存貯單元存貯的所述計算值不一致時，阻止向網(wǎng)關(guān)發(fā)送與所述實際 哈希值對應(yīng)的報文。
7、 一種通信系統(tǒng)，其特征在于，包括網(wǎng)關(guān)，用于在認(rèn)證通過后，向客戶端發(fā)送訪問控制列表； 客戶端，用于從所述網(wǎng)關(guān)獲取與用戶對應(yīng)的訪問控制列表；將所述訪問 控制列表通過帶密鑰的哈希算法計算，存貯所述計算得到的計算值；在客戶 端訪問資源時，計算實際哈希值；比較所述實際哈希值與存貯的所述計算值 是否一致；在所述實際哈希值與存貯的所述計算值一致時，允許用戶訪問與 所述實際，合希值對應(yīng)的資源。
8、 根據(jù)權(quán)利要求7所述的通信系統(tǒng)，其特征在于，所述客戶端還用于向 網(wǎng)關(guān)發(fā)起建立安全套接字層連接請求；在建立所述安全套接字層請求后，向 所述網(wǎng)關(guān)發(fā)送認(rèn)證請求；所述網(wǎng)關(guān)還用于接收所述客戶端發(fā)送的建立安全套接字層連接請求，接 收所述客戶端發(fā)送的認(rèn)證請求，根據(jù)所述認(rèn)證請求對用戶進(jìn)行認(rèn)證，如果認(rèn) 證通過，向所述客戶端發(fā)送認(rèn)證授權(quán)信息，所述認(rèn)證授權(quán)信息包括與所述用 戶對應(yīng)的所述訪問控制列表。
9、 根據(jù)權(quán)利要求7或8所述的通信系統(tǒng)，其特征在于，所述客戶端在所述 實際哈希值與存]3i的所述計算值不一致時，阻止向所述網(wǎng)關(guān)發(fā)送與所述實際哈希值對應(yīng)的報文。
全文摘要
本發(fā)明實施例公開了一種分布式安全策略的實現(xiàn)方法、客戶端及通信系統(tǒng)，一種分布式安全策略的實現(xiàn)方法，包括在通過認(rèn)證后，獲取與用戶對應(yīng)的訪問控制列表；將訪問控制列表通過帶密鑰的哈希算法計算，存貯計算得到的計算值；在客戶端訪問資源時，計算實際哈希值；比較實際哈希值與存貯的計算值是否一致；在實際哈希值與存貯的計算值一致時，允許用戶訪問與實際哈希值對應(yīng)的資源。本發(fā)明實施例由于將訪問控制列表通過帶密鑰的哈希算法計算，并存貯計算值，將實際哈希值和存貯的計算值進(jìn)行比較，實現(xiàn)了對訪問控制的分布式處理，能夠減輕網(wǎng)關(guān)的負(fù)擔(dān)，使得訪問控制更加靈活，由于對訪問控制列表進(jìn)行加密處理，從而保證了訪問控制的安全性。
文檔編號H04L12/66GK101431516SQ20081018276
公開日2009年5月13日 申請日期2008年12月4日 優(yōu)先權(quán)日2008年12月4日
發(fā)明者宏 孫, 蒙 徐, 陳愛平, 顏慧斌 申請人:成都市華為賽門鐵克科技有限公司