专利名称:一种对访问邮件服务器设备的认证方法及装置的制作方法
技术领域:
本发明涉及一种对访问邮件服务器设备的认证方法及装置,属于网络通讯技术领域。
背景技术:
由于企业邮件的高度敏感性以及互联网的高度开放性,在使用移动设备访问企业邮 箱时,如何保证安全是个非常重要的问题。微软邮件服务器Microsoft Exchange Server是 目前市场上占有率最高的企业邮件服务器,支持移动设备通过微软用于移动设备信息同 步的协议Microsoft Activesync来同步邮件、日历、联系人等信息。在Exchange Server 2007 以前的版本中,用户只需要提供账号和密码就可以作为凭据获取到邮件服务器Exchange Server上的邮件等信息,具有很高的信息泄漏风险。
参见图l,用户设备通过Microsoft Activesync同步邮件的过程分为三个部分用户设 备,Exchange Server 2007前端服务器,Exchange Server 2007邮件服务器。用户设备保存 用户的帐号和密码,在发起同步请求后,通过用户名、密码和设备ID信息和Exchange Server 2007前端服务器进行交互。Exchange Server 2007前端服务器运行在微软web服务 器Microsoft IIS上,负责接收请求,进行用户名密码验证,并进行用户名和用户设备ID 匹配。当验证通过后,Exchange Server 2007前端服务器寻找该用户数据所在的Exchange Server 2007邮箱服务器,并转发同步请求。Exchange Server 2007邮箱服务器负责读取存 储中的邮件数据,将数据返回给Exchange 2007前端服务器。
基于安全策略的考虑,对于不同的用户设备应通过不同的前端服务器访问邮件服务 器,对于敏感度较高的用户设备必须通过比传统的微软邮件服务器提供的访问策略更安 全的策略来访问。例如连接某个前端服务器的用户设备必须是处于某个安全区域内的, 只有满足这一要求该前端服务器才能放行处在安全区域内的用户设备与邮件服务器进行 通讯,其它不在安全区域内的用户设备则不能被前端邮箱服务器允许与邮件服务器进行 通讯,而在Exchange Server 2007的环境下,对于所有访问Microsoft Exchange Server的设备都采用相同的安全认证策略。
因此,在Microsoft Exchange Server的环境下,现有技术存在无法分别为不同的邮件 前端服务器设置不同的安全认证策略的问题。
发明内容
本发明提供了一种对访问邮件服务器设备的认证方法及装置,以解决现有技术中存 在的无法分别为不同的邮件前端服务器设置不同的安全认证策略的问题,为此本发明提
供如下的技术方案
一种对访问邮件服务器设备的认证方法,包括 从接收到的请求访问邮件服务器的信息中获得用户设备信息;
根据所述用户设备对应的安全策略对该用户设备信息进行认证,所述安全策略针对 不同的用户设备分别独立设置;
经过认证后的用户设备允许访问邮件服务器信息。 一种对访问邮件服务器设备的认证装置,包括
信息获取单元,用于从接收到的请求访问邮件服务器的信息中获得用户设备信息; 信息认证单元,用于根据所述用户设备对应的安全策略对该用户设备信息进行认
证,所述安全策略针对不同的用户设备分别独立设置;
发送确认单元,用于经过认证后的用户设备允许访问邮件服务器信息。 本发明的具体实施方式
通过对不同的安全策略对相应的所述用户设备信息进行认
证,达到为不同的为不同的邮件前端服务器设置不同的安全认证策略的目的。
图l是现有技术中移动设备通过Microsoft Activesync同步邮件的流程示意图; 图2是本发明的具体实施方式
提供的一种对访问邮件服务器设备的认证方法的流程示 意图3是本发明的具体实施方式
提供的一种对访问邮件服务器设备的认证装置的结构示 意图。
具体实施例方式
下面结合说明书附图来说明本发明的具体实施方式
。本说明书主要以本发明在即时通信服务中的应用作为最佳实施例,当然,实际应用中也可以用于网络邮件服务系统、 网络协同工作服务系统等其它互联网服务系统。
在本发明的具体实施方式
提供的一种对访问邮件服务器设备的认证方法的技术方案 中,首先从接收到的基于微软用于移动设备信息同步协议的请求访问微软邮件服务器的 信息中获得用户设备的信息,然后根据该用户设备对应的安全策略对所述用户设备信息 进行认证,且所述安全策略为针对不同用户设备分别独立设置,允许发送通过认证的用 户设备信息对应的请求访问微软邮件服务器的信息。
进一步地,相应的用户设备信息包括用户名和用户名对应的设备标识中的至少一 项。根据不同的安全策略对相应的用户设备信息进行认证,并允许发送通过认证的用户 设备信息对应的请求访问微软邮件服务器的信息包括判断用户设备信息是否与预存储的 设备标识信息相对应,如果是,则认为用户设备信息合法,并允许发送相应的请求访问 微软邮件服务器的信息,否则,认为用户设备无效,不允许发送相应的请求访问微软邮 件服务器的信息。在允许发送通过认证的用户设备的请求访问微软邮件服务器的信息后 还包括将请求访问微软邮件服务器的信息发送给微软前端邮件服务器。
本发明的具体实施方式
提供的一种对访问邮件服务器设备的认证方法,如图2所示, 具体可以包括
步骤21,从接收到的请求访问邮件服务器的信息中获得用户设备信息。 在本实施例中,通过运行在微软web服务器Microsoft IIS上并具有修改和加强IIS功能 的组件ISPAI filter,在IIS上监测基于Microsoft Activesync的访问微软邮件服务器的请求, 当ISPAI filter监测到IIS收到访问微软邮件服务器的请求时,从相应的请求中解析出发送该 请求的用户设备的用户设备信息,该用户设备信息可以包括用户名和设备标识中的至少 一项内容,相应的用户信息可以为以下的内容
POST/Microsoft-Server-ActiveSync User=hankshuang&DeviceID178326F26F4ElEFDE5 02D0A06BBB68&DeviceType=PocketPC&Cmd=FolderSync HTTP/1.1
步骤22,根据所述用户设备对应的安全策略对该用户设备信息进行认证,所述安全 策略针对不同的用户设备分别独立设置。
ISPAI filter可以针对不同的用户设备配置不同的安全策略,例如对于某企业邮箱,可 以只允许预先设定的用户设备登录到邮件服务器,或者只允许属于该企业固定IP段的用户 设备登陆到邮件服务器,其它用户设备的请求登陆邮件服务器的申请都不会被允许放 行,这样ISPAI filter可以根据企业的不同要求为企业邮箱设置相应的安全策略。
6在认证过程中,ISPAI filter从设备标识数据文件中提取出用户设备信息,并与监测到 得用户设备信息进行比较,如果在设备标识数据文件中找到该用户设备的用户名对应的 用户设备标识,则认为该用户设备符合安全策略的要求,并允许发送相应的请求访问微 软邮件服务器的信息,否则,不允许发送相应的请求访问微软邮件服务器的信息。
步骤23,经过认证后的用户设备允许访问邮件服务器信息。
在允许发送通过认证的用户设备的请求访问微软邮件服务器的信息后,ISPAI filter将 请求访问邮件服务器的信息发送给微软前端邮件服务器,微软前端邮件服务器在验证用 户名和密码正确后,连接该用户设备的数据所在的微软邮件服务器。
另外,在Exchange Server 2007的体系中,如果后端邮箱也是Exchange Server 2007, 那么就可以通过配置该邮件服务器上的用户邮箱属性,实现只允许指定设备ID的用户来 进行访问。由于Exchange Server 2007不兼容低版本,例如Exchange Server 2003,所以当 某企业需要将Microsoft Exchange Server升级到Exchange Server 2007版本时,同时也需要 将所有的用户邮箱同时升级到Exchange Server 2007版本。而本发明的具体实施方式
采用 ISPAI filter接收请求访问微软邮件服务器的信息,而ISPAI filter还能够连接多种版本的 Microsoft Exchange Server,包括Exchange Server 2007和Exchange Server 2003,所以采用 本发明的具体实施方式
提供的一种对访问邮件服务器设备的认证方法后,对于将Microsoft Exchange Server从Exchange Server 2003版本升级到Exchange Server 2007版本时,就无需将 所有的用户邮箱进行升级了,具有升级过程简单、升级成本较低的特点。
本发明的具体实施方式
还提供了一种对访问邮件服务器设备的认证装置,如图3所 示,具体可以包括
信息获取单元31,用于从接收到的请求访问邮件服务器的信息中获得用户设备信
息;
信息认证单元32,用于根据所述用户设备对应的安全策略对该用户设备信息进行认
证,所述安全策略针对不同的用户设备分别独立设置;
发送确认单元33,用于经过认证后的用户设备允许访问邮件服务器信息; 信息发送单元34,用于将请求访问微软邮件服务器的信息发送给微软前端邮件服务
器35。
进一步地,信息认证单元32包括信息判断单元321,信息判断单元321用于判断用户 设备信息是否与预存储的设备标识信息相对应,如果是,则认为用户设备合法否则,认 为用户设备无效。用户设备信息包括用户名和用户名对应的设备标识中的至少一项。通过信息获取单元31于从接收到的请求访问邮件服务器的信息中获得用户设备信 息,并将用户设备信息发送给信息认证单元32,信息认证单元32根据所述用户设备对应 的安全策略对该用户设备信息进行认证,所述安全策略针对不同的用户设备分别独立设 置,发送确认单元33允许信息发送单元34将请求访问微软邮件服务器的信息发送给微软 前端邮件服务器35。
上述装置中包含的各单元的处理功能的具体实现方式在之前的方法实施例中已经描 述,在此不再重复描述。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替 换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的 保护范围为准。
权利要求
1、一种对访问邮件服务器设备的认证方法,其特征在于,包括从接收到的请求访问邮件服务器的信息中获得用户设备信息;根据所述用户设备对应的安全策略对该用户设备信息进行认证,所述安全策略针对不同的用户设备分别独立设置;经过认证后的用户设备允许访问邮件服务器信息。
2、 根据权利要求l所述的方法,其特征在于,所述邮件服务器信息是基于移动设备 信息同步协议的微软邮件服务器信息。
3、 根据权利要求l所述的方法,其特征在于,所述用户设备信息包括用户名和所述 用户名对应的设备标识中的至少一项。
4、 根据权利要求1或2任意一项所述的方法,其特征在于,所述根据该用户设备对应 的安全策略对所述用户设备信息进行认证包括-判断所述用户设备信息是否与预存储的设备标识信息相对应,如果是,则认为用户 设备信息合法,否则,认为用户设备无效。
5、 根据权利要求1或2任意一项所述的方法,其特征在于在允许发送通过认证的用户 设备的请求访问微软邮件服务器的信息后还包括将所述请求访问微软邮件服务器的信息发送给微软前端邮件服务器。
6、 一种对访问邮件服务器设备的认证装置,其特征在于,包括 信息获取单元,用于从接收到的请求访问邮件服务器的信息中获得用户设备信息; 信息认证单元,用于根据所述用户设备对应的安全策略对该用户设备信息进行认证,所述安全策略针对不同的用户设备分别独立设置;发送确认单元,用于经过认证后的用户设备允许访问邮件服务器信息。
7、 根据权利要求5所述的装置,其特征在于,所述邮件服务器信息是基于移动设备 信息同步协议的微软邮件服务器信息。
8、 根据权利要求5所述的装置,其特征在于,所述用户设备信息包括用户名和所述 用户名对应的设备标识中的至少一项。
9、 根据权利要求5或6任意一项所述的装置,其特征在于,所述信息认证单元包括-信息判断单元,用于判断所述用户设备信息是否与预存储的设备标识信息相对应,如果是,则认为用户设备信息合法,否则,认为用户设备无效。
10、根据权利要求5或6任意一项所述的装置,其特征在于,所述信息认证单元还包括信息发送单元,用于将所述请求访问微软邮件服务器的信息发送给微软前端邮件服 务器。
全文摘要
一种对访问邮件服务器设备的认证方法及装置。从接收到的请求访问邮件服务器的信息中获得用户设备信息;根据所述用户设备对应的安全策略对该用户设备信息进行认证,所述安全策略针对不同的用户设备分别独立设置;经过认证后的用户设备允许访问邮件服务器信息。本发明通过对不同的安全策略对相应的所述用户设备信息进行认证,具有为不同的邮件前端服务器设置不同的安全认证策略的功能。
文档编号H04L9/32GK101600169SQ20091008500
公开日2009年12月9日 申请日期2009年5月20日 优先权日2009年5月20日
发明者何水华, 张丙林, 陈益民, 识 黄 申请人:深圳市腾讯计算机系统有限公司