一种安全策略的下发方法和设备的制造方法

一种安全策略的下发方法和设备的制造方法
【专利摘要】本发明公开了一种安全策略的下发方法和设备，该方法包括：漫游地的认证服务器获得移动终端设备对应的设备信息，并在请求报文中添加所述移动终端设备对应的设备信息；所述漫游地的认证服务器将请求报文发送给归属地的认证服务器，归属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略；所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文；其中，所述响应报文中携带了所述移动终端设备的安全策略；所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备，由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。本发明实施例中，可以避免企业网络和数据的安全隐患。
【专利说明】
一种安全策略的下发方法和设备
技术领域
[0001] 本发明涉及通信技术领域，尤其涉及一种安全策略的下发方法和设备。
【背景技术】
[0002] 目前，移动终端设备（如智能手机、平板电脑等）越来越多，增加了业务沟通渠道， 员工可以将自己的移动终端设备带入到工作中，BYOD (Bring Your Own Device，携带自己的 设备办公）正在成为一种趋势。由于员工的移动终端设备通常无法按照企业安全规范进行 严格管理，因此，在员工使用移动终端设备访问企业网络和企业应用时，企业的网络和数据 面临着安全威胁。因此，企业需要制定安全策略来控制这些移动终端设备，以确保企业网络 和数据的安全。为了对移动终端设备设置相应的安全策略，需要获得移动终端设备的设备 信息，并利用移动终端设备的设备信息设置相应的安全策略，并在移动终端设备接入时，利 用该安全策略控制移动终端设备的接入过程。
[0003] 由于移动终端设备具有移动性，如果移动终端设备到漫游地进行认证时，则只有 漫游地的认证服务器能够获得移动终端设备的设备信息，而归属地的认证服务器无法获得 移动终端设备的设备信息，因此，归属地的认证服务器无法对移动终端设备设置相应的安 全策略，从而带来一定的安全隐患。

【发明内容】

[0004] 本发明实施例提供一种安全策略的下发方法，所述方法包括以下步骤：
[0005] 漫游地的认证服务器获得移动终端设备对应的设备信息，并在来自接入设备的请 求报文中添加所述移动终端设备对应的设备信息；
[0006] 所述漫游地的认证服务器将请求报文发送给归属地的认证服务器，由归属地的认 证服务器利用所述设备信息确定所述移动终端设备的安全策略；
[0007] 所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文；其中， 所述响应报文中携带了所述移动终端设备的安全策略；
[0008] 所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备，由所 述接入设备利用所述安全策略对所述移动终端设备进行接入控制。
[0009] 所述漫游地的认证服务器获得移动终端设备对应的设备信息的过程，具体包括： 所述漫游地的认证服务器接收来自动态主机配置协议DHCP服务器的指纹信息，并从所述 指纹信息中获得移动终端设备对应的设备信息；或者，
[0010] 所述漫游地的认证服务器接收来自超文本传送协议HTTP服务器的指纹信息，并 从所述指纹信息中获得移动终端设备对应的设备信息。
[0011] 所述漫游地的认证服务器在请求报文中添加所述移动终端设备对应的设备信息 的过程，具体包括：
[0012] 所述漫游地的认证服务器在所述请求报文中添加代理Proxy-状态State属性，并 在所述Proxy-State属性中添加所述移动终端设备对应的设备信息。
[0013] 所述请求报文具体为认证请求报文，所述响应报文具体为认证响应报文；或者，所 述请求报文具体为计费开始请求报文，所述响应报文具体为计费确认响应报文。
[0014] 所述移动终端设备对应的设备信息具体包括以下之一或者任意组合：所述移动终 端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。
[0015] 本发明实施例提供一种安全策略的下发设备，所述下发设备作为漫游地的认证服 务器，所述漫游地的认证服务器具体包括：
[0016] 处理模块，用于获得移动终端设备对应的设备信息，并在来自接入设备的请求报 文中添加所述移动终端设备对应的设备信息；
[0017] 发送模块，用于将请求报文发送给归属地的认证服务器，由归属地的认证服务器 利用所述设备信息确定所述移动终端设备的安全策略；
[0018] 接收模块，用于接收来自所述归属地的认证服务器的响应报文；其中，所述响应报 文中携带了所述移动终端设备的安全策略；
[0019] 下发模块，用于将所述移动终端设备的安全策略下发给接入设备，由所述接入设 备利用所述安全策略对所述移动终端设备进行接入控制。
[0020] 所述处理模块，具体用于在获得移动终端设备对应的设备信息的过程中，接收来 自动态主机配置协议DHCP服务器的指纹信息，并从所述指纹信息中获得移动终端设备对 应的设备信息；或者，接收来自超文本传送协议HTTP服务器的指纹信息，并从所述指纹信 息中获得移动终端设备对应的设备信息。
[0021] 所述处理模块，具体用于在请求报文中添加所述移动终端设备对应的设备信息的 过程中，在所述请求报文中添加代理Proxy-状态State属性，并在所述Proxy-State属性 中添加所述移动终端设备对应的设备信息。
[0022] 所述请求报文为认证请求报文，所述响应报文为认证响应报文；或者，所述请求报 文为计费开始请求报文，所述响应报文为计费确认响应报文。
[0023] 所述移动终端设备对应的设备信息具体包括以下之一或者任意组合：所述移动终 端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。
[0024] 基于上述技术方案，本发明实施例中，漫游地的认证服务器可以将移动终端设备 对应的设备信息通知给归属地的认证服务器，由归属地的认证服务器利用移动终端设备对 应的设备信息确定移动终端设备的安全策略，并最终将移动终端设备的安全策略下发给接 入设备，从而使得接入设备可以利用该安全策略对移动终端设备进行接入控制，避免企业 网络和数据的安全隐患。
【附图说明】
[0025] 图1是本发明实施例中提出的应用场景示意图；
[0026] 图2是本发明实施例提供的一种安全策略的下发方法流程示意图；
[0027] 图3是本发明实施例提供的一种漫游地的认证服务器的结构示意图。
【具体实施方式】
[0028] 针对现有技术中存在的问题，本发明实施例提供一种安全策略的下发方法，以图1 为本发明实施例的应用场景示意图，如果移动终端设备（如智能手机、平板电脑等）需要在 漫游地接入网络时，该方法应用于包括移动终端设备、漫游地的接入设备（如NAS (Network Access Server，网络接入服务器），NAS 为支持 RADIUS (Remote Authentication Dial In User Service，远程用户拨号认证系统）协议的交换机、路由器等）、漫游地的认证服务器 (如RADIUS服务器）、归属地的认证服务器的网络中。进一步的，漫游地的认证服务器为 RADIUS协议中的代理服务器，且归属地的认证服务器为代理的目的服务器。
[0029] 在上述应用场景下，如图2所示，该安全策略的下发方法包括以下步骤：
[0030] 步骤201，漫游地的认证服务器获得移动终端设备对应的设备信息，并在来自接入 设备的请求报文中添加该移动终端设备对应的设备信息。其中，该移动终端设备对应的设 备信息具体包括但不限于以下之一或者任意组合：移动终端设备对应的厂商信息、类型信 息、版本号信息、操作系统信息。
[0031] 本发明实施例中，漫游地的认证服务器获得移动终端设备对应的设备信息的 过程，具体包括但不限于如下方式：漫游地的认证服务器接收来自DHCP(Dynamic Host Configuration Protocol，动态主机配置协议）服务器的指纹信息，并从该指纹信息中获 得移动终端设备对应的设备信息。或者，漫游地的认证服务器接收来自HTTP(Hyp er Text Transfer Protocol，超文本传送协议）服务器的指纹信息，并从该指纹信息中获得移动终 端设备对应的设备信息。
[0032] 在移动终端设备申请IP地址的过程中，移动终端设备会向DHCP服务器发送DHCP 请求报文。接入设备在接收到来自移动终端设备的DHCP请求报文之后，将该DHCP请求报 文发送给DHCP服务器。进一步的，DHCP服务器可以从DHCP请求报文中获得指纹信息，并 将该指纹信息发送给漫游地的认证服务器，由漫游地的认证服务器从该指纹信息中获得移 动终端设备对应的设备信息。其中，DHCP请求报文中携带有DHCP选项，该DHCP选项又称 为指纹信息，且该DHCP选项是一个包含配置参数和其它控制信息的集合，DHCP选项中的内 容可以被用来标识移动终端设备对应的设备信息。
[0033] 在移动终端设备访问网络的过程中，移动终端设备会向HTTP服务器发送HTTP请 求报文。接入设备在收到来自移动终端设备的HTTP请求报文后，将该HTTP请求报文发送 给HTTP服务器。HTTP服务器可以从HTTP请求报文中获得指纹信息，并将指纹信息发送给 漫游地的认证服务器，由漫游地的认证服务器从该指纹信息中获得移动终端设备对应的设 备信息。其中，HTTP请求报文中携带有User Agent (用户代理）选项，该User Agent选项 又称为，且该User Agent选项是一个包含配置参数和其它控制信息的集合，User Agent选 项中的内容可以被用来标识移动终端设备对应的设备信息。
[0034] 本发明实施例中，在移动终端设备未通过认证时，接入设备会向漫游地的认证服 务器发送针对该移动终端设备的认证请求报文，由漫游地的认证服务器将该认证请求报文 发送给归属地的认证服务器。在移动终端设备通过认证时，接入设备会向漫游地的认证服 务器发送针对该移动终端设备的计费开始请求报文，由漫游地的认证服务器将该计费开始 请求报文发送给归属地的认证服务器。基于此，上述来自接入设备的请求报文具体可以为 认证请求报文（Access-Request报文）或者计费开始请求报文（Accounting-Request报 文）。
[0035] 例如，当采用Portal认证方式对移动终端设备进行认证时，由于移动终端设备在 通过认证之前，接入设备可以将移动终端设备的DHCP请求报文发送给DHCP服务器或者将 移动终端设备的HTTP请求报文发送给HTTP服务器。因此，漫游地的认证服务器可以在移 动终端设备通过认证之前获得移动终端设备对应的设备信息，并在针对该移动终端设备的 认证请求报文中添加该移动终端设备对应的设备信息。当采用802. IX认证方式对移动终 端设备进行认证时，由于移动终端设备在通过认证之前，接入设备不可以将移动终端设备 的DHCP请求报文发送给DHCP服务器或者将移动终端设备的HTTP请求报文发送给HTTP服 务器，而在移动终端设备通过认证之后，接入设备可以将移动终端设备的DHCP请求报文发 送给DHCP服务器或者将移动终端设备的HTTP请求报文发送给HTTP服务器。因此，漫游地 的认证服务器可以在移动终端设备通过认证之后获得移动终端设备对应的设备信息，并在 针对该移动终端设备的计费开始请求报文中添加该移动终端设备对应的设备信息。
[0036] 本发明实施例中，漫游地的认证服务器在请求报文（如认证请求报文或者计费 开始请求报文）中添加移动终端设备对应的设备信息的过程，具体包括但不限于如下 方式：漫游地的认证服务器在请求报文中添加 Proxy-State (代理-状态）属性，并在 Proxy-State属性中添加移动终端设备对应的设备信息。
[0037] 本发明实施例中，通过在请求报文的现有属性之后添加 Proxy-State属性，并在 Proxy-State属性中添加移动终端设备对应的设备信息，由于Proxy-State属性的内容不 能被修改，因此漫游地的认证服务器与归属地的认证服务器之间的转发服务器在收到请求 报文时，不会对Proxy-State属性中的内容进行修改，保证将移动终端设备对应的设备信 息通知给归属地的认证服务器。
[0038] 步骤202,漫游地的认证服务器将请求报文发送给归属地的认证服务器。其中，该 请求报文中至少携带了移动终端设备对应的设备信息。
[0039] 步骤203,归属地的认证服务器利用移动终端设备对应的设备信息确定该移 动终端设备的安全策略，并通过响应报文将该移动终端设备的安全策略返回给漫游地 的认证服务器。其中，当请求报文为认证请求报文时，响应报文可以为认证响应报文 (Access-Response报文）；或者，当请求报文为计费开始请求报文时，响应报文可以为计费 确认响应报文（Accounting-Response报文）。
[0040] 本发明实施例中，归属地的认证服务器上预先配置了设备信息与安全策略之间的 对应关系。基于此，归属地的认证服务器在接收到请求报文之后，从该请求报文中解析出 移动终端设备对应的设备信息。进一步的，归属地的认证服务器通过该移动终端设备对应 的设备信息查询设备信息与安全策略之间的对应关系，得到该移动终端设备对应的安全策 略。如表1所示，归属地的认证服务器在接入场景下记录了设备信息与安全策略之间的对 应关系。其中，该接入场景只是一种索引信息，可以根据实际需要任意设置。
[0041 ]表 1
[0042]
[0043] 例如，设备信息A可以为厂商信息A、类型信息A、版本号信息A、操作系统信息A， 安全策略A可以为在指定时间段内，只允许对应指定VLAN (Virtual Local Area Network， 虚拟局域网）的移动终端设备访问指定资源。
[0044] 步骤204,漫游地的认证服务器接收来自归属地的认证服务器的响应报文。其中， 该响应报文中至少携带了移动终端设备的安全策略。
[0045] 步骤205,漫游地的认证服务器将移动终端设备的安全策略下发给接入设备，由接 入设备利用移动终端设备的安全策略对移动终端设备进行接入控制。
[0046] 基于上述技术方案，本发明实施例中，漫游地的认证服务器可以将移动终端设备 对应的设备信息通知给归属地的认证服务器，由归属地的认证服务器利用移动终端设备对 应的设备信息确定移动终端设备的安全策略，并最终将移动终端设备的安全策略下发给接 入设备，从而使得接入设备可以利用该安全策略对移动终端设备进行接入控制，避免企业 网络和数据的安全隐患。
[0047] 基于与上述方法同样的发明构思，本发明实施例中还提供了一种安全策略的下发 设备，所述下发设备作为漫游地的认证服务器，如图3所示，所述漫游地的认证服务器具体 包括：
[0048] 处理模块11，用于获得移动终端设备对应的设备信息，并在来自接入设备的请求 报文中添加所述移动终端设备对应的设备信息；
[0049] 发送模块12,用于将请求报文发送给归属地的认证服务器，由归属地的认证服务 器利用所述设备信息确定所述移动终端设备的安全策略；
[0050] 接收模块13,用于接收来自所述归属地的认证服务器的响应报文；其中，所述响 应报文中携带了所述移动终端设备的安全策略；
[0051] 下发模块14,用于将所述移动终端设备的安全策略下发给接入设备，由所述接入 设备利用所述安全策略对所述移动终端设备进行接入控制。
[0052] 所述处理模块11，具体用于在获得移动终端设备对应的设备信息的过程中，接收 来自动态主机配置协议DHCP服务器的指纹信息，从所述指纹信息中获得移动终端设备对 应的设备信息；或者，接收来自超文本传送协议HTTP服务器的指纹信息，并从所述指纹信 息中获得移动终端设备对应的设备信息。
[0053] 所述处理模块11，具体用于在请求报文中添加所述移动终端设备对应的设备信息 的过程中，在所述请求报文中添加代理Proxy-状态State属性，并在所述Proxy-State属 性中添加所述移动终端设备对应的设备信息。
[0054] 本发明实施例中，所述请求报文具体为认证请求报文，所述响应报文具体为认证 响应报文；或者，所述请求报文具体为计费开始请求报文，所述响应报文具体为计费确认响 应报文。
[0055] 所述移动终端设备对应的设备信息具体包括以下之一或者任意组合：所述移动终 端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。
[0056] 其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合 并为一个模块，也可以进一步拆分成多个子模块。
[0057] 通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更 佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的 部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若 干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发 明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图， 附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中 的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位 于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以 进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以 上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人 员能思之的变化都应落入本发明的保护范围。
【主权项】
1. 一种安全策略的下发方法，其特征在于，所述方法包括以下步骤： 漫游地的认证服务器获得移动终端设备对应的设备信息，并在来自接入设备的请求报 文中添加所述移动终端设备对应的设备信息； 所述漫游地的认证服务器将请求报文发送给归属地的认证服务器，由归属地的认证服 务器利用所述设备信息确定所述移动终端设备的安全策略； 所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文；其中，所述 响应报文中携带了所述移动终端设备的安全策略； 所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备，由所述接 入设备利用所述安全策略对所述移动终端设备进行接入控制。2. 如权利要求1所述的方法，其特征在于，所述漫游地的认证服务器获得移动终端设 备对应的设备信息的过程，具体包括： 所述漫游地的认证服务器接收来自动态主机配置协议DHCP服务器的指纹信息，并从 所述指纹信息中获得移动终端设备对应的设备信息；或者， 所述漫游地的认证服务器接收来自超文本传送协议HTTP服务器的指纹信息，并从所 述指纹信息中获得移动终端设备对应的设备信息。3. 如权利要求1所述的方法，其特征在于，所述漫游地的认证服务器在请求报文中添 加所述移动终端设备对应的设备信息的过程，具体包括： 所述漫游地的认证服务器在所述请求报文中添加代理Proxy-状态State属性，并在所 述Proxy-State属性中添加所述移动终端设备对应的设备信息。4. 如权利要求1-3任一项所述的方法，其特征在于，所述请求报文具体为认证请求报 文，所述响应报文具体为认证响应报文；或者，所述请求报文具体为计费开始请求报文，所 述响应报文具体为计费确认响应报文。5. 如权利要求1-3任一项所述的方法，其特征在于，所述移动终端设备对应的设备信 息具体包括以下之一或者任意组合：所述移动终端设备对应的厂商信息、类型信息、版本号 信息、操作系统信息。6. -种安全策略的下发设备，所述下发设备作为漫游地的认证服务器，其特征在于，所 述漫游地的认证服务器具体包括： 处理模块，用于获得移动终端设备对应的设备信息，并在来自接入设备的请求报文中 添加所述移动终端设备对应的设备信息； 发送模块，用于将请求报文发送给归属地的认证服务器，由归属地的认证服务器利用 所述设备信息确定所述移动终端设备的安全策略； 接收模块，用于接收来自所述归属地的认证服务器的响应报文；其中，所述响应报文中 携带了所述移动终端设备的安全策略； 下发模块，用于将所述移动终端设备的安全策略下发给接入设备，由所述接入设备利 用所述安全策略对所述移动终端设备进行接入控制。7. 如权利要求6所述的设备，其特征在于， 所述处理模块，具体用于在获得移动终端设备对应的设备信息的过程中，接收来自动 态主机配置协议DHCP服务器的指纹信息，并从所述指纹信息中获得移动终端设备对应的 设备信息；或者，接收来自超文本传送协议HTTP服务器的指纹信息，并从所述指纹信息中 获得移动终端设备对应的设备信息。8. 如权利要求6所述的设备，其特征在于， 所述处理模块，具体用于在请求报文中添加所述移动终端设备对应的设备信息的过程 中，在所述请求报文中添加代理Proxy-状态State属性，并在所述Proxy-State属性中添 加所述移动终端设备对应的设备信息。9. 如权利要求6-8任一项所述的设备，其特征在于，所述请求报文具体为认证请求报 文，所述响应报文具体为认证响应报文；或者，所述请求报文为计费开始请求报文，所述响 应报文为计费确认响应报文。10. 如权利要求6-8任一项所述的设备，其特征在于，所述移动终端设备对应的设备信 息具体包括以下之一或者任意组合：所述移动终端设备对应的厂商信息、类型信息、版本号 信息、操作系统信息。
【文档编号】H04L29/06GK105991576SQ201510070410
【公开日】2016年10月5日
【申请日】2015年2月10日
【发明人】高坤, 黄学军
【申请人】杭州华三通信技术有限公司