處理本地安全策略配置的方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)峁┨幚肀镜匕踩呗耘渲玫姆椒把b置,所述方法包括:獲取唯一的安全密鑰����,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同;根據(jù)所述安全密鑰加密安全策略配置���,生成本地安全策略配置文件并保存���;當(dāng)訪問內(nèi)網(wǎng)時(shí)���,根據(jù)所述安全密鑰解析所述本地安全策略配置文件,以獲取所述安全策略配置��,并根據(jù)所述安全策略配置進(jìn)行安全性檢查���。應(yīng)用本申請(qǐng)實(shí)施例���,有效地避免了終端上的本地安全策略配置泄密,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)��,對(duì)內(nèi)網(wǎng)的安全造成威脅����。
【專利說明】
處理本地安全策略配置的方法及裝置
技術(shù)領(lǐng)域
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及處理本地安全策略配置的方法及裝置��。
【背景技術(shù)】
[0002]TAC(Terminal Access Control��,終端接入控制)解決方案通過對(duì)接入內(nèi)網(wǎng)(例如�����,企業(yè)網(wǎng))的終端強(qiáng)制實(shí)施終端安全策略配置�����,有效地加強(qiáng)了終端的自動(dòng)防御能力,避免接入內(nèi)網(wǎng)的終端不安全�����,對(duì)內(nèi)網(wǎng)的安全造成威脅?����,F(xiàn)有技術(shù)中��,終端接入內(nèi)網(wǎng)���,在通過身份認(rèn)證后,可以向TAC服務(wù)器請(qǐng)求獲取安全策略配置����,并通過關(guān)鍵字密鑰加密TAC服務(wù)器提供的安全策略配置,生成本地安全策略配置文件并保存����。終端在對(duì)內(nèi)網(wǎng)進(jìn)行訪問時(shí),解析該本地安全策略配置文件����,獲取安全策略配置��,根據(jù)該安全策略配置對(duì)自身安全狀態(tài)進(jìn)行檢查����,例如�����,自身的系統(tǒng)補(bǔ)丁是否已升級(jí)���,病毒庫是否更新為最新版本等等��。檢查結(jié)果為安全的終端可以對(duì)內(nèi)網(wǎng)進(jìn)行訪問���。
[0003]然而,若終端上的本地安全策略配置文件被復(fù)制到其它終端上時(shí)���,由于每個(gè)終端上預(yù)先設(shè)置有關(guān)鍵字密鑰�����,且不同終端上的關(guān)鍵字密鑰都相同����,因此其他終端也可以通過自身的關(guān)鍵字密鑰解析該終端上的本地安全策略配置文件,導(dǎo)致終端上的本地安全策略配置泄密����,例如,攻擊者篡改終端上的本地安全策略配置��,使得終端無法根據(jù)本地安全策略配置準(zhǔn)確檢測(cè)自身的安全性�,很有可能導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)�,對(duì)內(nèi)網(wǎng)的安全造成威脅。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本申請(qǐng)?zhí)峁┮环N處理本地安全策略配置的方法及裝置��,以實(shí)現(xiàn)有效地避免終端上的本地安全策略配置泄密�,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)�����,對(duì)內(nèi)網(wǎng)的安全造成威脅�����。
[0005]具體地,本申請(qǐng)是通過如下技術(shù)方案實(shí)現(xiàn)的:
[0006]根據(jù)本申請(qǐng)實(shí)施例的第一方面���,提供處理本地安全策略配置的方法�,該方法應(yīng)用在終端上��,包括:
[0007]獲取唯一的安全密鑰�,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同;
[0008]根據(jù)所述安全密鑰加密安全策略配置���,生成本地安全策略配置文件并保存�����;
[0009]當(dāng)訪問內(nèi)網(wǎng)時(shí)�����,根據(jù)所述安全密鑰解析所述本地安全策略配置文件��,以獲取所述安全策略配置�,并根據(jù)所述安全策略配置進(jìn)行安全性檢查�����。
[0010]在一個(gè)實(shí)施例中,所述獲取唯一的安全密鑰包括:
[0011 ]向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰�,以使服務(wù)器生成服務(wù)器安全密鑰,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同��;
[0012]接收所述服務(wù)器返回的服務(wù)器安全密鑰��,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰����。
[0013]在另一個(gè)實(shí)施例中,所述獲取唯一的安全密鑰包括:
[0014]向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰�����,以使服務(wù)器生成服務(wù)器安全密鑰�;
[0015]接收所述服務(wù)器返回的服務(wù)器安全密鑰���;
[0016]根據(jù)所述終端的硬件屬性標(biāo)識(shí)�,生成終端安全密鑰�;
[0017]按照預(yù)設(shè)的組合規(guī)則,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰��,將所述新的安全密鑰作為所述唯一的安全密鑰。
[0018]在另一個(gè)實(shí)施例中���,所述根據(jù)所述安全密鑰解析所述本地安全策略配置文件�����,包括:
[0019]獲取所述服務(wù)器安全密鑰�;
[0020]根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件�。
[0021]在另一個(gè)實(shí)施例中,所述根據(jù)所述安全密鑰解析所述本地安全策略配置文件���,包括:
[0022]獲取所述服務(wù)器安全密鑰����;
[0023]根據(jù)所述終端的硬件屬性標(biāo)識(shí)���,生成終端安全密鑰�;
[0024]按照預(yù)設(shè)的組合規(guī)則��,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰�;
[0025]根據(jù)所述新的安全密鑰,解析所述本地安全策略配置文件�。
[0026]根據(jù)本申請(qǐng)實(shí)施例的第二方面��,提供處理本地安全策略配置的裝置�,該裝置應(yīng)用在終端上�����,包括:
[0027]獲取單元�,用于獲取唯一的安全密鑰,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同����;
[0028]加密單元,用于根據(jù)所述安全密鑰加密安全策略配置���,生成本地安全策略配置文件并保存�;
[0029]解析單元����,用于當(dāng)訪問內(nèi)網(wǎng)時(shí)��,根據(jù)所述安全密鑰解析所述本地安全策略配置文件���,以獲取所述安全策略配置��,并根據(jù)所述安全策略配置進(jìn)行安全性檢查����。
[0030]在一個(gè)實(shí)施例中,所述獲取單元包括:
[0031 ]第一請(qǐng)求子單元�����,用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰���,以使服務(wù)器生成服務(wù)器安全密鑰����,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同��;
[0032]第一接收子單元��,用于接收所述服務(wù)器返回的服務(wù)器安全密鑰���,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰��。
[0033]在另一個(gè)實(shí)施例中���,所述獲取單元包括:
[0034]第二請(qǐng)求子單元��,用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰��,以使服務(wù)器生成服務(wù)器安全密鑰�;
[0035]第二接收子單元���,用于接收所述服務(wù)器返回的服務(wù)器安全密鑰�����;
[0036]第一生成子單元�����,用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)���,生成終端安全密鑰;
[0037]第一組合子單元�����,用于按照預(yù)設(shè)的組合規(guī)則���,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰���,將所述新的安全密鑰作為所述唯一的安全密鑰。
[0038]在另一個(gè)實(shí)施例中����,所述解析單元包括:
[0039]第一獲取子單元,用于獲取所述服務(wù)器安全密鑰����;
[0040]第一解析子單元,用于根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件��。
[0041 ]在另一個(gè)實(shí)施例中��,所述解析單元包括:
[0042]第二獲取子單元���,用于獲取所述服務(wù)器安全密鑰�;
[0043]第二生成子單元��,用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)�,生成終端安全密鑰;
[0044]第二組合子單元����,用于按照預(yù)設(shè)的規(guī)則����,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰���;
[0045]第二解析子單元����,用于根據(jù)所述新的安全密鑰����,解析所述本地安全策略配置文件。
[0046]本實(shí)施例處理本地安全策略配置的方法����,通過獲取一個(gè)唯一的安全密鑰,該唯一的安全密鑰表示不同終端獲取到的安全密鑰各不相同����,使用該唯一的安全密鑰加密安全策略配置,生成本地安全策略配置文件并保存�����。由于不同終端的安全密鑰各不相同,即使該終端上的本地安全策略配置文件被復(fù)制到了其它終端上��,其它終端也無法使用自身的安全密鑰解析該本地安全策略配置文件�,從而避免了安全策略配置泄密����,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng),有效地保證了內(nèi)網(wǎng)的安全���。
【附圖說明】
[0047]圖1示例了本申請(qǐng)實(shí)施例實(shí)現(xiàn)處理本地安全策略配置的方法的應(yīng)用場(chǎng)景示意圖�����。
[0048]圖2示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖��。
[0049]圖3示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥斜4姹镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖�����。
[0050]圖4示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥薪馕霰镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖���。
[0051]圖5示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥斜4姹镜匕踩呗耘渲玫姆椒ǖ牧硪粋€(gè)實(shí)施例流程圖。
[0052]圖6示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥薪馕霰镜匕踩呗耘渲玫姆椒ǖ牧硪粋€(gè)實(shí)施例流程圖��。
[0053]圖7為本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置所在終端的一種硬件結(jié)構(gòu)圖。
[0054]圖8示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的一個(gè)實(shí)施例框圖�����。
[0055]圖9示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的另一個(gè)實(shí)施例框圖���。
[0056]圖10示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的另一個(gè)實(shí)施例框圖��。
【具體實(shí)施方式】
[0057]這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明��,其示例表示在附圖中��。下面的描述涉及附圖時(shí)����,除非另有表示�,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式�����。相反����,它們僅是與如所附權(quán)利要求書中所詳述的���、本申請(qǐng)的一些方面相一致的裝置和方法的例子。
[0058]在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的��,而非旨在限制本申請(qǐng)�。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式����,除非上下文清楚地表示其他含義�。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合����。
[0059]應(yīng)當(dāng)理解,盡管在本申請(qǐng)可能采用術(shù)語第一��、第二���、第三等來描述各種信息����,但這些信息不應(yīng)限于這些術(shù)語�����。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如���,在不脫離本申請(qǐng)范圍的情況下���,第一信息也可以被稱為第二信息,類似地����,第二信息也可以被稱為第一信息。取決于語境����,如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。
[0060]隨著企業(yè)信息化辦公越來越普及��,接入內(nèi)網(wǎng)(例如�,企業(yè)網(wǎng))的終端數(shù)量在不斷增加,并且終端應(yīng)用日益復(fù)雜化�����。為了保障內(nèi)網(wǎng)安全���,需對(duì)終端進(jìn)行接入控制和訪問管理�。TAC解決方案通過對(duì)接入內(nèi)網(wǎng)(例如,企業(yè)網(wǎng))的終端強(qiáng)制實(shí)施終端安全策略配置����,有效地加強(qiáng)了終端的自動(dòng)防御能力,避免接入內(nèi)網(wǎng)的終端不安全����,對(duì)內(nèi)網(wǎng)的安全造成威脅。
[0061]為了更好的實(shí)現(xiàn)上述功能�,本申請(qǐng)?zhí)峁┝颂幚肀镜匕踩呗耘渲玫姆椒?��。如圖1所示��,示例了本申請(qǐng)實(shí)施例實(shí)現(xiàn)處理本地安全策略配置的方法的應(yīng)用場(chǎng)景示意圖�。
[0062]圖1中��,包括TAC服務(wù)器11����、多個(gè)終端(如圖1中所示的終端12至終端In),其中�����,每個(gè)終端在接入內(nèi)網(wǎng),通過身份認(rèn)證后�����,均可以向TAC服務(wù)器請(qǐng)求獲取安全策略配置����。當(dāng)終端接收到TAC服務(wù)器返回的安全策略配置后,為了避免安全策略配置泄密�,例如,安全策略配置被惡意篡改��,終端可以獲取一個(gè)唯一的安全密鑰�,即不同終端獲取到的安全密鑰各不相同,使用該安全密鑰對(duì)獲取到的安全策略配置進(jìn)行加密���,生成本地安全策略配置文件并保存�����。當(dāng)終端對(duì)內(nèi)網(wǎng)進(jìn)行訪問時(shí)�,可以通過該唯一的安全密鑰解析所述保存的本地安全策略配置文件����,獲得安全策略配置���,并根據(jù)該安全策略配置對(duì)自身的安全狀態(tài)進(jìn)行檢查,例如�����,檢查自身的系統(tǒng)補(bǔ)丁是否已升級(jí)���、病毒庫是否已更新為最新版本等等�。當(dāng)檢查結(jié)果為安全時(shí)���,該終端才可以訪問內(nèi)網(wǎng)����,從而有效地保障了內(nèi)網(wǎng)的安全�����。
[0063]由于終端獲取到安全策略配置后�����,通過唯一的安全密鑰將安全策略配置加密���,解析本地安全策略配置文件時(shí)����,也需要使用該唯一的安全密鑰解析����,從而有效地避免了終端的安全策略配置泄密,避免了終端的安全策略配置被惡意篡改�,使得終端無法根據(jù)安全策略配置準(zhǔn)確檢查自身安全性,導(dǎo)致不安全的終端可以訪問內(nèi)網(wǎng)���,對(duì)內(nèi)網(wǎng)的安全造成威脅�。
[0064]為了詳細(xì)的說明終端是如何處理獲取到的安全策略配置的���,結(jié)合圖1所示的應(yīng)用場(chǎng)景示意圖�����,如下圖2�����,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖�,以其中的一臺(tái)終端,例如���,終端12��,執(zhí)行該方法為例�,包括以下步驟:
[0065]步驟S201:獲取唯一的安全密鑰�����,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同����。
[0066]通過上述描述可知,為了避免終端上的本地安全策略配置泄密���,終端12可以對(duì)本地安全策略配置加密�����。為了實(shí)現(xiàn)加密,終端可以獲取一個(gè)安全密鑰,且該安全密鑰為唯一的安全密鑰�,即不同終端獲取到的安全密鑰各不相同。
[0067]步驟S202:根據(jù)所述安全密鑰加密安全策略配置��,生成本地安全策略配置文件并保存�。
[0068]終端12根據(jù)所述安全密鑰加密接收到的安全策略配置,生成本地安全策略配置文件并保存的過程可以參見現(xiàn)有技術(shù)�,本申請(qǐng)對(duì)此不再詳細(xì)贅述。
[0069]步驟S203:當(dāng)訪問內(nèi)網(wǎng)時(shí)���,根據(jù)所述安全密鑰解析所述本地安全策略配置文件���,以獲取所述安全策略配置,并根據(jù)所述安全策略配置進(jìn)行安全性檢查���。
[0070]由于終端已通過安全密鑰將本地安全策略配置加密����,當(dāng)終端需要獲取本地安全策略配置時(shí)�,可以使用該安全密鑰解析所述本地安全策略配置文件,從而獲取本地安全策略配置���,根據(jù)該本地安全策略配置對(duì)自身進(jìn)行安全性檢查���,例如�,檢查自身的系統(tǒng)補(bǔ)丁是否已升級(jí)�����、病毒庫是否已更新為最新版本等等�����。當(dāng)檢查結(jié)果為安全時(shí)����,該終端才可以訪問內(nèi)網(wǎng),從而有效地保障了內(nèi)網(wǎng)的安全���。
[0071]本實(shí)施例處理本地安全策略配置的方法�����,通過獲取一個(gè)唯一的安全密鑰����,該唯一的安全密鑰表示不同終端獲取到的安全密鑰各不相同����,使用該唯一的安全密鑰加密安全策略配置,生成本地安全策略配置文件并保存����。由于不同終端的安全密鑰各不相同,即使該終端上的本地安全策略配置文件被復(fù)制到了其它終端上����,其它終端也無法使用自身的安全密鑰解析該本地安全策略配置文件,從而避免了安全策略配置泄密��,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)�����,有效地保證了內(nèi)網(wǎng)的安全��。
[0072]通過圖2所描述的實(shí)施例�,可以得出,處理本地安全策略配置可以分為兩個(gè)過程:保存本地安全策略配置和解析本地安全策略配置����。為了更詳細(xì)地說明本申請(qǐng)是如何處理本地安全策略配置的,下面分別就保存本地安全策略配置和解析本地安全策略配置的過程分別進(jìn)行詳細(xì)描述����。
[0073]如下的圖3��,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥斜4姹镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖�,如下的圖4�,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥薪馕霰镜匕踩呗耘渲玫姆椒ǖ囊粋€(gè)實(shí)施例流程圖。該圖3和圖4均以圖2所示實(shí)施例為基礎(chǔ)���。其中�����,圖3包括:
[0074]步驟S301:向生成安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰��,以使服務(wù)器生成服務(wù)器安全密鑰��,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同�。
[0075]本實(shí)施例中��,終端可以向生成安全策略配置的服務(wù)器(例如����,TAC服務(wù)器)請(qǐng)求獲取安全密鑰,當(dāng)該服務(wù)器接收到請(qǐng)求后�����,可以生成一個(gè)服務(wù)器安全密鑰,且該服務(wù)器針對(duì)不同終端的請(qǐng)求所生成的服務(wù)器安全密鑰各不相同�。
[0076]例如�����,該服務(wù)器接收到終端的請(qǐng)求后��,可以按照預(yù)先定義的規(guī)格�����,例如��,預(yù)先定義所述服務(wù)器安全密鑰為8位�,其中需同時(shí)包含字母和數(shù)字,并且字母區(qū)分大小寫�����,不得出現(xiàn)其他符號(hào)��,則服務(wù)器可以按照該規(guī)格隨機(jī)生成服務(wù)器安全密鑰�,例如�,生成的服務(wù)器安全密鑰為la2B3c4D���。由于服務(wù)器安全密鑰是由服務(wù)器隨機(jī)生成的�����,因此����,服務(wù)器為不同終端生成的服務(wù)器安全密鑰各不相同����。
[0077]步驟S302:接收所述服務(wù)器返回的服務(wù)器安全密鑰,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰���。
[0078]終端接收到服務(wù)器返回的服務(wù)器安全密鑰后����,可以保存該服務(wù)器安全密鑰�����,例如�,保存在本地配置中�����。由于服務(wù)器為不同終端生成的服務(wù)器安全密鑰并不相同�����,因此�����,終端可以將接收到的服務(wù)器安全密鑰作為唯一的安全密鑰。
[0079]步驟S303:根據(jù)所述安全密鑰加密安全策略配置��,生成本地安全策略配置文件并保存���。
[0080]終端根據(jù)所述安全密鑰加密接收到的安全策略配置����,生成本地安全策略配置文件并保存的過程可以參見現(xiàn)有技術(shù)����,本申請(qǐng)對(duì)此不再詳細(xì)贅述。
[0081 ] 圖4包括:
[0082]步驟S401:當(dāng)訪問內(nèi)網(wǎng)時(shí)�,獲取所述保存的服務(wù)器安全密鑰����。
[0083]由步驟S302可知����,終端將服務(wù)器安全密鑰進(jìn)行了保存,則終端可以獲取該服務(wù)器安全密鑰����。
[0084]步驟S402:根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件,以獲取所述安全策略配置�,并根據(jù)所述安全策略配置進(jìn)行安全性檢查。
[0085]終端根據(jù)所述安全密鑰解析本地安全策略配置文件��,并根據(jù)解析得到的安全策略配置對(duì)自身進(jìn)行安全性檢查的過程可以參見現(xiàn)有技術(shù)��,本申請(qǐng)對(duì)此不再詳細(xì)贅述��。
[0086]本實(shí)施例處理本地安全策略配置的方法��,通過向生成安全策略配置的服務(wù)器獲取安全密鑰���,該服務(wù)器可以為不同終端生成不同的服務(wù)器安全密鑰����,使得終端獲取一個(gè)唯一的安全密鑰,并使用該唯一的安全密鑰加密安全策略配置�����,生成本地安全策略配置文件并保存��。由于不同終端的安全密鑰各不相同��,即使該終端上的本地安全策略配置文件被復(fù)制到了其它終端上����,其它終端也無法使用自身的安全密鑰解析該本地安全策略配置文件,從而避免了安全策略配置泄密��,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)���,有效地保證了內(nèi)網(wǎng)的安全。
[0087]在圖3所描述的實(shí)施例中�,當(dāng)終端獲取到服務(wù)器安全密鑰后,可以將其保存����。由于該服務(wù)器安全密鑰保存在終端上,則有可能會(huì)被惡意獲取到并篡改,仍存在本地安全策略泄密的風(fēng)險(xiǎn)���。為了更有效地避免本地安全策略泄密���,本申請(qǐng)中可以獲取更為安全的唯一的安全密鑰,如下的圖5���,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥斜4姹镜匕踩呗耘渲玫姆椒ǖ牧硪粋€(gè)實(shí)施例流程圖���,如下的圖6,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲弥薪馕霰镜匕踩呗耘渲玫姆椒ǖ牧硪粋€(gè)實(shí)施例流程圖��。其中���,圖5包括:
[0088]步驟S501:向生成安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰���,以使服務(wù)器生成服務(wù)器安全密鑰。
[0089]本步驟的詳細(xì)描述可以參見步驟S301中的描述��,在此不再詳細(xì)贅述����。
[0090]步驟S502:接收所述服務(wù)器返回的服務(wù)器安全密鑰��,并保存所述服務(wù)器安全密鑰��。[0091 ]步驟S503:根據(jù)所述終端的硬件屬性標(biāo)識(shí)�,生成終端安全密鑰�����。
[0092]本實(shí)施例中�,終端根據(jù)自身的硬件屬性標(biāo)識(shí),例如處理器標(biāo)識(shí)�,即CPU序列號(hào),按照預(yù)設(shè)的生成終端安全密鑰規(guī)則�,例如,取硬件屬性標(biāo)識(shí)的前八位����,生成終端安全密鑰。舉例來說��,假設(shè)終端11的CPU序列號(hào)為BFEBFBFF000306C3��,取該CPU序列號(hào)的前八位la2B3c4D作為終端安全密鑰����。
[0093]可以理解的是,上述僅僅為終端生成終端安全密鑰的示例�,在實(shí)際實(shí)施中,終端可以根據(jù)其它硬件屬性標(biāo)識(shí)�,按照預(yù)先設(shè)置的規(guī)則,生成終端安全密鑰��。
[0094]由于不同的終端具有不同的硬件屬性標(biāo)識(shí)�����,因此不同的終端所生成的終端安全密鑰也各不相同����。
[0095]步驟S504:按照預(yù)設(shè)的組合規(guī)則,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰�����,將所述新的安全秘鑰作為唯一的安全密鑰����。
[0096]當(dāng)執(zhí)行完步驟S501和步驟S502,終端可以按照預(yù)設(shè)的組合規(guī)則�����,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成一個(gè)新的安全密鑰。例如����,假設(shè)服務(wù)器安全密鑰為la2B3c4D,終端安全密鑰為la2B3c4D����,預(yù)設(shè)的組合規(guī)則為,取終端安全密鑰的前四位與服務(wù)器安全密鑰的后四位進(jìn)行組合���,則生成的新的安全密鑰為BFEB3c4D�。
[0097]可以理解的是��,上述僅僅為終端生成新的安全密鑰的示例�,在實(shí)際實(shí)施中,終端生成新的安全密鑰的組合規(guī)則可以更復(fù)雜����,本申請(qǐng)對(duì)此不做限制。
[0098]通過上述描述可知���,不同終端獲取到的服務(wù)器安全密鑰各不相同,而且不同終端生成的終端安全密鑰也各不相同�����,則不同終端按照上述描述的過程所生成的新的安全密鑰也各不相同,則終端可以將該新的安全密鑰作為唯一的安全密鑰���。
[0099]步驟S505:根據(jù)所述安全密鑰加密安全策略配置�,生成本地安全策略配置文件并保存����。
[0100]終端根據(jù)所述安全密鑰加密接收到的安全策略配置,生成本地安全策略配置文件并保存的過程可以參見現(xiàn)有技術(shù)��,本申請(qǐng)對(duì)此不再詳細(xì)贅述��。
[0101]圖6包括:
[0102]步驟S601:當(dāng)訪問內(nèi)網(wǎng)時(shí)�,獲取所述保存的服務(wù)器安全密鑰。
[0103]本步驟的詳細(xì)描述可以參見上述步驟S401中的相關(guān)描述�����,在此不再詳細(xì)贅述���。
[0104]步驟S602:根據(jù)所述終端的硬件屬性標(biāo)識(shí)��,生成終端安全密鑰�。
[0105]本步驟中,終端可以按照步驟S502中的描述����,采取與步驟S502中相同的規(guī)則,按照相同的硬件屬性標(biāo)識(shí)��,生成終端安全密鑰��。
[0106]步驟S603:按照預(yù)設(shè)的組合規(guī)則��,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰����。
[0107]本步驟中,終端可以按照步驟S503中的描述��,采取與步驟S503中相同的組合規(guī)則��,將服務(wù)器安全密鑰與終端安全密鑰進(jìn)行組合��,生成新的安全密鑰����。
[0108]由于該新的安全密鑰是由終端安全密鑰與服務(wù)器安全密鑰組合生成,即使服務(wù)器安全密鑰有可能會(huì)被惡意獲取并篡改,但終端安全密鑰是根據(jù)終端自身的硬件屬性標(biāo)識(shí)生成����,攻擊者很難確定終端安全密鑰是根據(jù)哪個(gè)硬件屬性標(biāo)識(shí)生成�,從而攻擊者很難獲取到終端安全密鑰,從而很難獲取到最終生成的唯一的安全密鑰��。
[0109]步驟S604:根據(jù)所述新的安全密鑰解析所述本地安全策略配置文件����,以獲取所述安全策略配置,并根據(jù)所述安全策略配置進(jìn)行安全性檢查���。
[0110]終端根據(jù)所述安全密鑰解析本地安全策略配置文件����,并根據(jù)解析得到的安全策略配置對(duì)自身進(jìn)行安全性檢查的過程可以參見現(xiàn)有技術(shù)����,本申請(qǐng)對(duì)此不再詳細(xì)贅述。
[0111]本實(shí)施例處理本地安全策略配置的方法�����,通過使用獲取到的服務(wù)器安全密鑰與自身的終端安全密鑰生成最終唯一的安全密鑰��,并使用該唯一的安全密鑰加密安全策略配置,生成本地安全策略配置文件并保存����。當(dāng)解析該本地安全策略配置時(shí),仍需獲取保存的服務(wù)器安全密鑰�����,并生成終端安全密鑰����,根據(jù)該兩者最終生成新的安全密鑰,使用該新的安全密鑰才可以解析本地安全策略配置文件����,獲取到安全策略配置。即使服務(wù)器安全密鑰可能被攻擊者惡意獲取到��,攻擊者也很難獲取到終端安全密鑰���,從而很難獲取到最終的唯一的安全密鑰����,從而有效地避免了安全策略配置泄密,導(dǎo)致不安全的終端訪問內(nèi)網(wǎng)�,有效地保證了內(nèi)網(wǎng)的安全。
[0112]此外���,本實(shí)施例中��,服務(wù)器向不同終端返回的服務(wù)器安全密鑰也可以相同,由于不同終端自身生成的終端安全密鑰并不相同�,即使服務(wù)器安全密鑰相同,將服務(wù)器安全密鑰與終端安全密鑰進(jìn)行組合后���,所生成的新的安全密鑰也會(huì)各不相同�。
[0113]與前述處理本地安全策略配置的方法的實(shí)施例相對(duì)應(yīng)�,本申請(qǐng)還提供了處理本地安全策略配置的裝置的實(shí)施例。
[0114]本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的實(shí)施例可以應(yīng)用在終端上��。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)��,也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)���。以軟件實(shí)現(xiàn)為例�����,作為一個(gè)邏輯意義上的裝置����,是通過其所在終端的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言���,如圖7所示�����,為本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置所在終端的一種硬件結(jié)構(gòu)圖���,除了圖7所示的處理器71、內(nèi)存72����、網(wǎng)絡(luò)接口73、以及非易失性存儲(chǔ)器74之外��,實(shí)施例中裝置所在的終端通常根據(jù)該終端的實(shí)際功能����,還可以包括其他硬件,對(duì)此不再贅述����。
[0115]請(qǐng)參考圖8����,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的一個(gè)實(shí)施例框圖��,所述裝置可以包括:獲取單元81����、加密單元82、解析單元83��。
[0116]其中����,所述獲取單元81���,可以用于獲取唯一的安全密鑰�,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同��;
[0117]所述加密單元82��,可以用于根據(jù)所述安全密鑰加密安全策略配置���,生成本地安全策略配置文件并保存�����;
[0118]所述解析單元83�����,可以用于當(dāng)訪問內(nèi)網(wǎng)時(shí)���,根據(jù)所述安全密鑰解析所述本地安全策略配置文件��,以獲取所述安全策略配置�����,并根據(jù)所述安全策略配置進(jìn)行安全性檢查�����。
[0119]請(qǐng)參考圖9��,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的另一個(gè)實(shí)施例框圖��,該圖9所示的裝置在上述圖8所示裝置的基礎(chǔ)上����,所述獲取單元81,可以包括:第一請(qǐng)求子單元811�、第一接收子單元812。
[0120]所述第一請(qǐng)求子單元811����,可以用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰,以使服務(wù)器生成服務(wù)器安全密鑰�,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同;
[0121 ]所述第一接收子單元812����,可以用于接收所述服務(wù)器返回的服務(wù)器安全密鑰,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰����。
[0122]所述解析單元83�����,可以包括:第一獲取子單元831�、第一解析子單元832。
[0123]其中��,所述第一獲取子單元831,可以用于獲取所述服務(wù)器安全密鑰�����;
[0124]所述第一解析子單元832��,可以用于根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件�。
[0125]請(qǐng)參考圖10,示例了本申請(qǐng)?zhí)幚肀镜匕踩呗耘渲玫难b置的另一個(gè)實(shí)施例框圖����,該圖9所示的裝置在上述圖7所示裝置的基礎(chǔ)上,所述獲取單元81����,可以包括:第二請(qǐng)求子單元813�����、第二接收子單元814���、第一生成子單元815�����、第一組合子單元816���。
[0126]其中,所述第二請(qǐng)求子單元813�����,可以用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰,以使服務(wù)器生成服務(wù)器安全密鑰;
[0127]所述第二接收子單元814����,可以用于接收所述服務(wù)器返回的服務(wù)器安全密鑰;
[0128]所述第一生成子單元815����,可以用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)���,生成終端安全密鑰�;
[0129]所述第一組合子單元816,可以用于按照預(yù)設(shè)的組合規(guī)則���,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰����,將所述新的安全秘鑰作為所述唯一的安全秘鑰���。
[0130]所述解析單元83����,可以包括:第二獲取子單元833�、第二生成子單元834���、第二組合子單元835�����、第二解析子單元836����。
[0131]其中��,所述第二獲取子單元833�,可以用于獲取所述服務(wù)器安全密鑰;
[0132]所述第二生成子單元834����,可以用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)���,生成終端安全密鑰���;
[0133]所述第二組合子單元835����,可以用于按照預(yù)設(shè)的規(guī)則�����,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰��;
[0134]所述第二解析子單元836����,可以用于根據(jù)所述新的安全密鑰,解析所述本地安全策略配置文件����。
[0135]上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程,在此不再贅述����。
[0136]對(duì)于裝置實(shí)施例而言�,由于其基本對(duì)應(yīng)于方法實(shí)施例�����,所以相關(guān)之處參見方法實(shí)施例的部分說明即可�。以上所描述的裝置實(shí)施例僅僅是示意性的����,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理單元��,即可以位于一個(gè)地方��,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上��。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的���。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下�,即可以理解并實(shí)施��。
[0137]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已�,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精神和原則之內(nèi)��,所做的任何修改�����、等同替換���、改進(jìn)等�����,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)�。
【主權(quán)項(xiàng)】
1.一種處理本地安全策略配置的方法,其特征在于�,所述方法應(yīng)用在終端上,所述方法包括: 獲取唯一的安全密鑰�����,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同�; 根據(jù)所述安全密鑰加密安全策略配置,生成本地安全策略配置文件并保存����; 當(dāng)訪問內(nèi)網(wǎng)時(shí),根據(jù)所述安全密鑰解析所述本地安全策略配置文件��,以獲取所述安全策略配置��,并根據(jù)所述安全策略配置進(jìn)行安全性檢查�。2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述獲取唯一的安全密鑰包括: 向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰��,以使服務(wù)器生成服務(wù)器安全密鑰,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同����; 接收所述服務(wù)器返回的服務(wù)器安全密鑰,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰���。3.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,所述獲取唯一的安全密鑰包括: 向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰���,以使服務(wù)器生成服務(wù)器安全密鑰�; 接收所述服務(wù)器返回的服務(wù)器安全密鑰��; 根據(jù)所述終端的硬件屬性標(biāo)識(shí)�,生成終端安全密鑰; 按照預(yù)設(shè)的組合規(guī)則�,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰,將所述新的安全密鑰作為所述唯一的安全密鑰����。4.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,所述根據(jù)所述安全密鑰解析所述本地安全策略配置文件����,包括: 獲取所述服務(wù)器安全密鑰�����; 根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件���。5.根據(jù)權(quán)利要求3所述的方法�,其特征在于����,所述根據(jù)所述安全密鑰解析所述本地安全策略配置文件,包括: 獲取所述服務(wù)器安全密鑰���; 根據(jù)所述終端的硬件屬性標(biāo)識(shí)����,生成終端安全密鑰; 按照預(yù)設(shè)的組合規(guī)則����,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰; 根據(jù)所述新的安全密鑰���,解析所述本地安全策略配置文件����。6.一種處理本地安全策略配置的裝置����,其特征在于���,所述裝置應(yīng)用在終端上�,所述裝置包括: 獲取單元���,用于獲取唯一的安全密鑰�����,所述唯一的安全密鑰表示不同的終端對(duì)應(yīng)的安全密鑰各不相同����; 加密單元,用于根據(jù)所述安全密鑰加密安全策略配置���,生成本地安全策略配置文件并保存���; 解析單元,用于當(dāng)訪問內(nèi)網(wǎng)時(shí)���,根據(jù)所述安全密鑰解析所述本地安全策略配置文件��,以獲取所述安全策略配置���,并根據(jù)所述安全策略配置進(jìn)行安全性檢查。7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于�����,所述獲取單元包括: 第一請(qǐng)求子單元,用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰��,以使服務(wù)器生成服務(wù)器安全密鑰�,且服務(wù)器根據(jù)不同終端生成的服務(wù)器安全密鑰各不相同; 第一接收子單元�����,用于接收所述服務(wù)器返回的服務(wù)器安全密鑰��,并保存所述服務(wù)器安全密鑰作為所述唯一的安全密鑰��。8.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述獲取單元包括: 第二請(qǐng)求子單元�����,用于向生成所述安全策略配置的服務(wù)器請(qǐng)求獲取安全密鑰�,以使服務(wù)器生成服務(wù)器安全密鑰�; 第二接收子單元,用于接收所述服務(wù)器返回的服務(wù)器安全密鑰�����; 第一生成子單元,用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)����,生成終端安全密鑰; 第一組合子單元���,用于按照預(yù)設(shè)的組合規(guī)則���,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰,將所述新的安全密鑰作為所述唯一的安全密鑰��。9.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述解析單元包括: 第一獲取子單元�����,用于獲取所述服務(wù)器安全密鑰�; 第一解析子單元,用于根據(jù)所述服務(wù)器安全密鑰解析所述本地安全策略配置文件���。10.根據(jù)權(quán)利要求8所述的裝置�����,其特征在于�,所述解析單元包括: 第二獲取子單元,用于獲取所述服務(wù)器安全密鑰�; 第二生成子單元,用于根據(jù)所述終端的硬件屬性標(biāo)識(shí)�,生成終端安全密鑰; 第二組合子單元����,用于按照預(yù)設(shè)的規(guī)則,根據(jù)所述終端安全密鑰與所述服務(wù)器安全密鑰生成新的安全密鑰�; 第二解析子單元,用于根據(jù)所述新的安全密鑰����,解析所述本地安全策略配置文件。
【文檔編號(hào)】H04L29/06GK105939330SQ201610079813
【公開日】2016年9月14日
【申請(qǐng)日】2016年2月4日
【發(fā)明人】周守亞
【申請(qǐng)人】杭州迪普科技有限公司