实现漫游的网络接入控制方法及设备的制作方法

专利名称：：实现漫游的网络接入控制方法及设备的制作方法
技术领域：
：本发明涉及网络安全技术，尤指一种实现漫游的网络接入控制(NAC,NetworkAccessControl)方法，以及一种实现漫游的认证服务器和安全策略服务器。
背景技术：
：随着网络应用的不断普及与深入，网络安全成为各企业极为重视的问题。网络接入控制技术主要由接入设备、认证服务器以及安全策略服务器实现。4妻入终端接入网络时，首先通过接入设备访问"i人i正月l务器，由"i人证月良务器对其进行身份认证，在身份认证通过后认证服务器下发隔离访问策略并由接入设备应用该策略，控制接入终端只能访问称为隔离区的受限网络区域；接着，接入终端向安全策略服务器发起安全检查，当安全策略服务器检测到该4妄入终端符合安全要求时，下发安全访问策略并由接入设备应用该策略，解除该接入终端的隔离限制，允许该终端访问其他网络资源。在引入网络接入控制方案时，对于拥有大量分支机构的大型企、事业单位、跨国企业，通常采用分布式结构进行网络部署，每个分支机构都设置有自己的接入设备、认证服务器以及安全策略服务器。认证服务器和安全策略服务器保存有所在网络的用户信息，包括用户的认证信息及安全策略，用来对网络中的用户进行身份认证以及安全检查，控制其接入网络。其中，安全策略中包含有为用户设置的隔离访问策略、安全访问策略以及检查项目等信息。由于工作的需要，例如出差、临时调动，企、事业单位不可避免的会出现人员流动的情况。由于认证服务器和安全策略服务器未保存其他分支网络用户的认证信息以及安全策略，因此目前在实现漫游接入终端的网络接入控制方案时，通常需要漫游接入终端的宿主网络认证服务器和宿主网络安全策略服务器协助完成。本文中所描述的宿主网络认证服务器和宿主网络安全策略服务器是用户注册网络中的认证服务器和安全策略服务器。宿主网络中保存了用户的认证信息以及用户的安全策略。认证服务器在收到漫游接入终端的身份认证请求时，将该身份认证请求转发给该漫游接入终端的宿主网络认证服务器，将宿主网络认证服务器返回隔离访问策略配置在接入设备上；同样，安全策略服务器在收到漫游接入终端的安全检查请求时，将请求转发给该漫游接入终端的宿主网络安全策略服务器进行处理，由宿主网络安全策略服务器完成对当前接入终端的安全检查，并将宿主网络安全策略服务器返回的安全访问策略配置在接入设备上，进而实现漫游接入终端的网络接入控制。本文中所指的漫游接入终端，可以是指外网用户使用本地终端，也可以是指外网用户使用外网终端的情况。其中的终端可以是便携式设备或PC等设备。虽然，上述技术方案能够实现接入终端在漫游地网络接入控制方案，但是在具体的实施过程中存在一定的局限性。在配置访问策略时，通常是在接入设备上预先配置需要使用的具体的访问策略，而在认证服务器或安全策略服务器配置的仅是访问策略的标识信息，接入设备根据从认证服务器或者安全策略服务器收到的标识信息获得具体应用的访问策略，然后应用该获得的访问策略。这样，在使用上述漫游技术方案时，就需要全网使用统一的访问策略以及对应的标识信息，以便漫游地接入设备能够识别宿主网络设备发送的访问策略的标识，获得对应的访问策略；否则，漫游地的接入设^^将无法识别宿主网络认证服务器或者宿主网络安全策略服务器发送的访问策略，也就无法实现对漫游接入终端的网络接入控制方案。然而，要对全网的认证服务器、安全策略服务器以及接入设备配置统一的访问策略，不但实现起来复杂繁瑣，同时也极大的限制访问策略配置的灵活性，从而限制网络接入控制的使用范围。因此，目前急需一种应用广泛、实施方便的网络接入控制漫游方案。
发明内容有筌于此，本发明提供了一种实现漫游的网络接入控制方法，应用本发明所提供的方法能够增强网络接入控制技术的可部署性，对漫游接入终端实施更为可行的网络接入控制。一种实现漫游的网络接入控制方法，应用该方法的本地网络至少包括认证服务器、安全策略服务器及接入设备，其中所述认证服务器用于对接入终端进行身份认证，所述安全策略服务器用于对接入终端进行安全检查，所述接入设备用于应用访问策略控制接入终端访问网络，该方法包括本地网络认证服务器对漫游接入终端身份认证通过后，指示本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离访问策略；所述本地网络接入设备根据指示应用设置的漫游隔离访问策略；本地网络安全策略服务器对漫游接入终端安全检查通过后，指示本地网络接入设备对所逸漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全访问策略；所述本地网络接入设备根据指示应用设置的漫游安全访问策略。另外，本发明还提供了实现漫游的认证服务器和安全策略服务器，应用本发明所提供的设备能够增强网络接入控制技术的可部署性，对漫游接入终端实施更为可行的网络接入控制。一种实现漫游的认证服务器，应用于实现网络接入控制的网络系统，该认证服务器包括处理单元和执行单元；所述处理单元，用于在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离访问策略；所述执行单元，用于接收所述处理单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游隔离访问策略。一种实现漫游的安全策略服务器，应用于实现网络接入控制的网络系统，该安全策略服务器包括控制单元和操作单元；所述控制单元，用于在漫游接入终端安全检查通过后，通知所述操作单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全访问策略；所述操作单元，用于接收所述控制单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全访问策略。本发明所提供的实现漫游的网络接入控制的技术方案，在接入设备上为漫游接入终端配置漫游隔离访问策略和漫游安全访问策略，使全网的接入设备不必配置统一的访问策略，就能够对漫游接入终端实现网络接入控制。本发明的技术方案能够使各分支网络根据用户的具体需求设置、更新访问策略，而不再受到其他网络不能识别、不能适配的限制，打破了分布式网络接入控制方案实现上的困难，使网络接入控制方法具有更大的发展前景，是一种应用广泛、实施方便的网络接入控制漫游方案，实现起来简单、容易部署、管理方便。图1为本发明方法的示例性流程图；图2为本发明一分布式系统的结构图；图3为本发明实施例一方法的流程图；图4为本发明实施例一系统的结构图；图5为本发明实施例一AAA服务器的结构图；图6为本发明实施例一安全策略服务器的结构图；图7为本发明实施例二方法的流程图；图8为本发明实施例二系统的结构图；图9为本发明实施例二安全策略服务器的结构图。具体实施方式为实现一种应用广泛、实施方便的网络接入控制漫游方案，在本发明的技术方案中，可以在各分支网络中的接入设备上为漫游至本地网络的接入终端配置漫游访问策略，包括漫游隔离访问策略和漫游安全访问策略，应用于漫游至本地网络的接入终端。对于漫游接入终端来说，本地网络即为该接入终端的漫游地。这样，由于本地网络接入设备不需要识别漫游接入终端宿主网络设备发送来的访问策略的标识信息，不涉及本地网症各和宿主网络之间访问策略匹配的问题，因此能够实现一种应用广泛、实施方便的网络接入控制漫游方案。参见图1，图1为本发明方法的示例性流程图。应用该方法的本地网络至少包括认证服务器、安全策略服务器及接入设备。该方法包括在步骤101中，本地网络认证服务器对漫游接入终端身份认证通过后，指示本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离访问策略；所述本地网络接入设备根据指示应用设置的漫游隔离访问策略。在步骤102中，本地网络安全策略服务器对漫游接入终端安全检查通过后，指示本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全访问策略；所述本地网络接入设备根据指示应用设置的漫游安全访问策略。通过上述介绍，可知网络接入控制方案主要包括两个部分，对接入终端的身份认证以及对接入终端的安全检查。对于身份认证，由于接入终端的用户信息保存在宿主网络中，因此在进行身份认证时，可以由本地网络认证服务器从漫游接入终端的宿主网络认证服务器中获取该接入终端的认证信息，用来进行身份认证。当然，也可以将漫游接入终端发送的身份认证请求转发给宿主网络认证服务器进行处理，即本地网络认证服务器接收接入终端发送的身份认证请求，确定当前接入终端为漫游至本地的接入终端时，将所述身份认证请求转发至该接入终端的宿主网络认证服务器处理；并接收宿主网络认证服务器返回的身份认证的结果。另外，对于安全检查，同样也存在两种方式。其中一种是，由漫游接入终端的宿主网络安全策略服务器对该漫游接入终端进行安全检查。具体为本地网络安全策略服务器接收接入终端发送的安全检查请求，在确定当前接入终端为漫游至本地的接入终端时，将所迷安全检查请求转发至该漫游接入终端的宿主网络安全策略服务器处理，并接收宿主网络安全策略服务器返回的安全检查的结果。另外一种是，本地网络安全策略服务器为漫游接入终端配置漫游检查策略，由本地网络安全策略服务器执行对漫游接入终端的安全检查。具体为接收接入终端发送的安全检查请求，确定当前接入终端为漫游至本地的接入终端时，根据预先为漫游接入终端配置的漫游4企查策略对该漫游接入终端进行安全检查。这里，值得说明的是，上述提及的本地网络是相对于漫游接入终端的宿主网络而言的，是指漫游接入终端漫游至的当前分支网络。对于其中认证服务器以及安全策略服务器确定当前接入终端为漫游接入终端的方式，可以是根据身份认证请求以及安全检查请求中携带的域名来确定。在网络接入控制系统中，每个分支网络均会配置相应的域名，接入终端在发送的身份认证请求以及安全检查请求也会携带自身宿主网络的域名信息，这样可以根据请求中携带的域名来确定当前接入终端是否为漫游接入终端。这里，以认证服务器为例进行介绍。例如，本地网络认证服务器收到接入终端发送的身份认证请求后，解析得到其中携带的域名，在该域名不为本地使用的域名时，则确定当前接入终端为漫游接入终端。安全策略服务器也可以采用与认证服务器相同的方式根据安全检查请求中携带的域名确定当前接入终端是否为漫游接入终端。当然，安全策略服务器除了可以采用与认证服务器相同的方式确定当前接入终端是否为漫游接入终端，也可以采用其他的方式。例如，在本地网络认证服务器确定当前接入终端为漫游4姿入终端时，则可以通知安全策略服务器当前接入终端为漫游接入终端，而不需要安全策略服务器再进行重复的判断。相应的，在各分支网络中可以保存每个分支网络域名与网络中认证服务器以及安全策略服务器地址的对应关系，在确定当前接入终端为漫游接入终端后，本地网络认证服务器或者安全策略服务器需要将身份认证请求以及安全检查请求转发至宿主网络处理时，则可以根据保存的对应关系查找到对应的地址，进行转发处理。上述提到的使用域名来确定接入终端是否为漫游接入终端的方式，由于每个接入设备能够配置的域名个数的有限性，因此仅能够较好的应用在分支网络数目较少的分布式网络中，而对于拥有大量分支网络的分布式网络却不好部署。为此，本发明的技术方案还提供了另外一种确定接入终端是否为漫游接入终端的实现方式。在这种实现方式中，为各分支网络设置网络标识，用来区分各分支网络。接入终端在身份认证请求中携带自身所在宿主网络的网络标识。本地网络认证服务器收到接入终端发送的身份认证请求时，解析得到其中携带的宿主网络标识，才艮据宿主网络标识确定本地网络是否为当前接入终端的宿主网络时，如果宿主网络标识就是本地网络的宿主网络标识，则当前4妄入终端为本地接入终端；如果宿主网络标识不是本地网络的宿主网络标识，则表示当前接入终端为漫游接入终端。同样，安全策略服务器也可以采用与认证服务器相同的方式，利用宿主网络标识确定当前接入终端是否为漫游至本地的接入终端。同样，也可以在认证服务器获知当前4妻入终端为漫游接入终端，由{人证服务器通知安全策略服务器。相应的，可以在各分支网络中保存各分支网络的网络标识与网络中认证服务器以及安全策略服务器地址的对应关系，确定当前接入终端为漫游接入终端时，认证服务器或者安全策略服务器则可以根据保存的对应关系查找到宿主网络认证服务器以及安全策略服务器的地址，将身份认证请求以及安全检查请求转发宿主网络进行处理。本发明技术方案中所指的访问策略，可以是访问控制列表(ACL)的形式，也可以是配置虛拟局域网(VLAN)的形式。如果利用ACL实现，则在接入终端上会配置可能被使用的漫游隔离ACL和漫游安全ACL，在认证服务器和安全策略器上配置对应的标识信息。为当前漫游接入终端应用ACL时，本地网络认证服务器或者安全策略服务器将漫游隔离ACL或者漫游安全ACL的标识信息下发给接入设备，接入设备根据该标识信息找到对应的ACL,针对当前漫游4妄入终端应用该ACL。另外，如果访问策略依靠VLAN来实现的。那么在接入设备上将会设置漫游隔离VLAN和漫游安全VLAN，相应的在本地网络认证服务器以及安全策略服务器上保存对应的标识信息。为当前漫游接入终端应用访问策略时，本地网络认证服务器或者安全策略服务器将对应的标识信息下发给接入设备，接入设备根据标识信息找到对应的VLAN，将当前漫游接入终端加入找到的VLAN,通过对VLAN设置的属性，控制漫游接入终端访问网络。这里，漫游访问策略的具体内容，可以根据现有技术访问策略配置的方法确定，只是漫游访问策略是应用漫游接入终端。为使本发明实施例的目的、技术方案及优点更加清楚明白，以下以宿主网络认证服务器对漫游接入终端进行身份认证，本地安全策略服务器和宿主网络安全策略服务器对漫游接入终端进行安全检查分别列举实施例，对本发明的技术方案做进一步的详细说明。在这两个实施例中，由认证、授权与计费(AAA,AuthenticationAuthorizationAccounting)月良务器来充当本发明实施例认证月良务器的角色，通过远程用户拨号iU正系统(RemoteAuthenticationDialInUserService,RADIUS)协议实现对接入终端的身份认证；并以ACL实现访问策略，并通过宿主网络标识确定当前接入终端是否为漫游接入终端为例进行介绍。对于VLAN实现访问策略在本发明中的使用与ACL相同，在此不再——进行描述。实施例一在本实施例中，主要介绍的是由宿主网络AAA服务器对漫游接入终端进行身份认证，由宿主网络安全策略服务器对漫游接入终端进行安全检查的技术方案。在采用网络标识来确定当前接入终端是否为漫游接入终端时，可以由该分布式网络中的主控分支网络来配置其他下级分支网络的网络标识。具体可以采用如下的方式主控网络通过Web服务(Services)技术收集下级各分支网络的系统信息，即下级网络中AAA服务器和安全策略服务器的IP地址及端口；收集成功后由主控分支网络分配各级分支网络使用的网络标识，建立各网络标识与对应的AAA服务器以及安全策略服务器地址之间的对应关系，然后下发各分支网络。当然，在本发明实施例的技术方案中，除了可以通过WebServices技术来收集各分支网络的信息外，还可以通过其他的技术手段，例如在构建网络时，主动上报自身网络中AAA服务器以及安全策略服务器的信息。现以图2所示的分布式网络的组织结构图，对配置网络标识的过程进4亍详细介绍。在图2中，主控分支网络位于北京的集团公司，上海分公司以及江苏分公司为二级分支网络，无锡办事处以及南通办事处为三级分支网络。主控分支网络通过WebServices技术收集各分公司以及办事处AAA服务器和安全策略服务器的地址，根据收到的地址为各分支网络分配网络标识。例如，北京的网络标识为bj、上海的网《各标识为sh、江苏的网《各标识为js，无锡办事处的网络标识为wx,南通办事处的网络标识为nt。然后，建立网络标识与对应AAA服务器和安全策略服务器的对应关系表，如表1所示。<table>tableseeoriginaldocumentpage16</column></row><table>表一主控网络将建立的对应关系表下发给各分支网络保存，供各分支网络在需要时进行查找。在为各分支网络配置完网络标识之后，由于本地接入设备不能识别其他分支网络发送的隔离ACL和安全ACL，还需要在各分支网络中为漫游至本地的接入终端，即漫游接入终端配置供其使用的隔离ACL以及安全ACL，供漫游接入终端漫游至本地时使用。各分支网络使用的隔离ACL和安全ACL的具体内容可以由各分支网络来决定。在本文中，为了方便描述，将为漫游接入终端配置的隔离ACL和安全ACL简称为漫游隔离ACL和漫游安全ACL。各分支网络对于主控网络下发的对应关系表，以及为漫游接入终端设置的隔离ACL和安全ACL,可以设置专用的数据库用来存储，供该分支网络的设备在需要时访问；也可以将其保存至AAA服务器和安全策略服务器中，以供需要时自行查找。以下参见图3,图3为本实施例方法的流禾呈图，现具体介绍如下在步骤301中，接入终端向漫游地接入设备发送身份认证请求。接入终端在发送的身份认证请求中携带宿主网络标识，用来表明自身所在的宿主网络。接入终端在使用宿主网络标识时，可以将该宿主网络标识诏:置为自身用户名的前缀或者后缀，携带在发送身份认证请求中。在当前接入终端的宿主网络为北京、用户名为Jiessie时，则将网络标识作为前缀的用户名为bj一Jiessie,将网络标识作为后缀的用户名为Jiessie—bj。在步骤302中，该接入设备将该身份认证请求转发给AAA服务器。在步骤303中，AAA服务器接收接入设备转发的身份认证请求，在确定当前接入终端为漫游接入终端时，将收到的身份认证请求转发给该漫游接入终端的宿主网络AAA服务器处理。此处的AAA服务器对当前接入终端而言，为漫游地AAA服务器。在确定当前接入终端不为漫游接入终端时，按照现有技术流程处理当前接入终端的身份认证请求。AAA服务器确定当前接入终端为漫游接入终端可以是，AAA服务器解析得到身份认证请求中携带的宿主网络标识，在宿主网络标识不为本地网络的网络标识时，确定当前接入终端为漫游至本地网络的4妄入终端。在宿主网络标识为本地网络的网络标识时，则当前4矣入i冬端为本地4妄入终端、不是漫游至本地网络的接入终端。当然，也可以根据身份认证请求中携带的域名来确定当前接入终端是否为漫游接入终端。在步骤304中，宿主网络AAA服务器接收接入终端当前所在漫游地AAA服务器发送的身份认证请求，根据其中的身份信息对当前用户进行身份认证，在身份认证通过后，向漫游地AAA服务器返回认证通过消息。在步骤305中，漫游地AAA服务器收到宿主网络AAA服务器返回的认证通过消息后，获得为漫游接入终端配置的漫游隔离ACL，向接入设备发送认证通过消息，其中携带获得的漫游隔离ACL,指示接入设备为当前漫游接入终端应用漫游隔离ACL。这里，由于现有技术方案的实现，AAA月l务器在返回的认证通过消息中，将会携带宿主网络为接入终端配置的隔离ACL以及宿主网络安全策略服务器的IP地址和安全检查端口。由于在漫游地网络中不应用宿主网络AAA服务器返回的隔离ACL,并且漫游接入终端不会直接与自身的宿主网络安全策略服务器直接进行通信。因此本地网络AAA服务器可以丢弃宿主网络AAA服务器在认证通过消息中携带的隔离ACL以及宿主网络安全策略服务器的IP地址和安全检查端口；而将当前获得的漫游隔离ACL的标识信息以及本地网络安全策略服务器的访问地址配置在返回的认证通过消息中发送给接入设备。具体的方法可以是将收到的认证通过消息中携带的宿主网络AAA服务器指示的隔离ACL，修改为设置的漫游隔离ACL的标识，即重新设置认证通过消息中ACL过滤标识(FilterID)的属性，将其设置为漫游隔离ACL的标识(也就是本地的ACL标识)，这是因为表达同样的访问隔离策略，宿主AAA服务器所使用ACL过滤标识与漫游地所使用ACL过滤标识可能有差异，如果是统一的，则不需要修改；然后还需要将其中携带的宿主网络安全策略服务器的访问地址，修改为本地网络安全策略服务器的访问地址，用于驱动所述漫游接入终端向本地网络安全策略服务器发起安全检查。另外，在现有技术中接入设备接收漫游接入终端发送的身份认证请求以及安全检查请求，能够根据请求消息中携带的信息，将身份认证请求以及安全检查请求转发至本地网络的AAA服务器以及安全策略服务器进行处理。因此，本发明实施例的技术方案即使不将宿主网络安全策略服务器的访问地址修改为本地网络安全策略服务器的访问地址，漫游接入终端发送能够的安全检查请求通过能发送至本地网络安全策略服务器处理。然而，AAA服务器向漫游接入终端返回本地网络安全策略服务器访问地址的有益之处在于，能够使接入终端直接将漫游接入终端发送的安全检查请求发送至安全策略服务器，而不需要进行过多的解析、查找操作，提高了处理效率。在步骤306中，接入设备接收漫游地AAA服务器发送的认证通过消息，应用其中所指示的漫游隔离ACL，并将认证通过消息发送给接入终端。接入设备根据认证通过消息中携带的ACL的标识，找到预先配置的漫游隔离ACL,为当前接入终端应用所指示的漫游隔离ACL。在接入设备为当前漫游接入终端应用了漫游隔离ACL，则该漫游接入终端可以访问受限的区域。在步骤307中，接入终端向漫游地安全策略服务器发送安全检查请求。当漫游接入终端通过身份认证，获得访问漫游地隔离区的权限后，就可以直接与漫游地安全策略服务器交互。在步骤308中，漫游地安全策略服务器接收当前接入终端发送的安全检查请求，确定当前用户为漫游接入终端时，将收到的安全检查请求转发给宿主网络安全策略服务器。其中，确定当前用户为漫游接入终端的方法以及获得宿主网络安全策略服务器地址的方法，与漫游地AAA服务器所使用的方法相同，具体详见步骤303的相关介绍，在此不再详述。在步骤309中，宿主网络安全策略服务器接收接入终端发送的安全检查请求，向漫游地安全策略服务器下发病毒、补丁等安全检查项目。在步骤310中，漫游地安全策略服务器将收到的病毒、补丁等安全检查项目下发至当前接入终端。在步骤311中，接入终端收到安全检查项目，对各项目进行检查，并向漫游地安全策略服务器上报检查结果。在步骤312中，漫游地安全策略服务器向宿主网络安全策略服务器转发检查结果。在步骤313中，宿主网络安全策略服务器检测收到的检查结果是否符合要求，在符合安全要求的情况下，向漫游地安全策略服务器返回检查通过消息。在不符合安全要求的情况下，漫游地安全策略服务器返回安全检查不通过的消息，此后，接入终端则可以访问受限区域内的第三方杀毒服务器以及补丁升级服务器，然后再请求进行安全检查，具体过程可参见现有技术中的相关流程。在步骤314中，漫游地安全策略服务器获得为漫游接入终端配置的漫游安全ACL,向接入设备发送检查通过消息，其中携带获得的漫游安全ACL。与宿主网络AAA服务器返回的认证通过消息相同，在当前收到检查通过消息中也可能会携带宿主网络为当前接入终端配置的安全ACL的标识信息。漫游地安全策略服务器可以丢弃检查通过消息中携带的安全ACL的标识信息，而将当前获得漫游安全ACL的标识携带在检查通过消息中发送至接入设备。具体可以是，本地网络安全策略服务器将收到的检查通过消息中携带的宿主网络安全策略服务器指示的安全访问策略标识，修改为所述设置的漫游安全访问策略的标识，将携带漫游安全访问策略标识的检查通过消息发送给所述本地网络接入设备。在步骤315中，接入设备接收检查通过消息，根据其中指示的漫游安全ACL为当前接入终端应用安全ACL，并向接入终端返回检查通过消息。接入设备根据检查通过消息中携带的ACL的标识，找到预先配置的漫游安全ACL,为当前接入终端应用所指示的漫游安全ACL。在接入设备为当前漫游接入终端应用了漫游安全ACL，则该漫游接入终端获得了访问网络的权限。通过上述流程，本实施例提供的技术方案成功实现了在分布式网络中的网络接入控制方案，使漫游接入终端就可以在实现身份认证以及安全检查的情况下接入网络。另外，参见图4,图4为本实施例网络系统的结构图，其中以两个分支网络为例对本实施例的技术方案进行介绍。每个分支网络至少包括AAA服务器、安全策略服务器及接入设备。其中，所述AAA服务器，用于在漫游接入终端身份认证通过后，指示所述本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离ACL。所述安全策略服务器，用于在漫游接入终端安全检查通过后，指示所述本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的安全ACL。所述接入设备，用于为漫游至本地网络的接入终端设置隔离ACL以及安全ACL，根据所述AAA服务器和所述安全策略服务器的指示，应用所指示的隔离ACL或安全ACL。另外，参见图5，图5为本实施例提供的实现漫游的AAA服务器。该AAA服务器包括处理单元和执行单元。所述处理单元，用于在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离ACL;所述执行单元，用于接收所述处理单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游隔离ACL。所述处理单元，用于接收接入终端发送的身份认证请求，确定当前接入终端为漫游接入终端时，将所述身份认证请求发送至该漫游接入终端的宿主网络AAA服务器处理；并在收到所述宿主网络AAA服务器返回的认证通过消息后，将所述认证通过消息作为通知消息发送至所述执行单元。相应的，所述执行单元，将收到的认证通过消息中携带的宿主网络AAA服务器指示的隔离ACL标识，修改为所述设置的漫游隔离ACL的标识，将携带漫游隔离ACL标识的认证通过消息发送给所述本地网络接入设备，用来指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游隔离ACL。执行单元，还可以进一步将收到的认证通过消息中携带的宿主网络安全策略服务器的访问地址，修改为本地网络安全策略服务器的访问地址，用于所述漫游接入终端向本地网络安全策略服务器发起安全检查。具体的，所述处理单元可以包括确定单元和获取单元。当采用域名确定当前接入终端是否为漫游接入终端时，所述确定单元，用于从收到的身份认证请求中解析得到携带的域名，在所述域名不为本地网络使用的域名时，确定当前接入终端为漫游接入终端并通知所述获取单元；所述获取单元，用于接收所述确定单元的通知消息，根据保存的域名与AAA服务器地址之间的映射关系得到所述漫游接入终端宿主网络AAA服务器的地址，将收到的身份认证请求发送至所述宿主网络AAA服务器处理；在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用所述设置的漫游隔离ACL。当采用宿主标识确定当前接入终端是否为漫游接入终端时，所述确定单元，用于从收到的身份认证请求中解析得到携带的宿主网络标识，当宿主网络标识表示的宿主网络不为本地网络时，确定当前接入终端为漫游接入终端并通知所述获取单元；所述获取单元，用于接收所述确定单元的通知消息，根据保存的宿主网络标识与AAA服务器地址之间的映射关系得到所述漫游接入终端宿主网络AAA服务器的地址，将所述身份认证请求发送至所述宿主网络AAA服务器处理；在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用所述设置的漫游隔离ACL。其中，所述确定单元，从解析身份认证请求中用户名的前缀或后缀，获得其携带的宿主网络标识。另外，所述AAA服务器进一步包括远程认证单元；所述远程认证单元，用于接收其他AAA服务器发送的身份认证请求，根据收到的身份认证请求进行身份认证，并向发送所述身份认证请求的AAA服务器返回身份认证结果。再参见图6,图6为本实施例提供的一种实现漫游的安全策略服务器。该安全策略服务器包括控制单元和操作单元。其中，所述控制单元，用于在漫游接入终端安全检查通过后，通知所述操作单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全ACL;所述操作单元，用于接收所述控制单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全ACL。所述控制单元，用于接收接入终端发送的安全检查请求，确定当前接入终端为漫游接入终端时，将所述安全检查请求发送至该漫游接入终端的宿主网络安全策略服务器处理；并在收到所述宿主网络安全策略服务器返回的检查通过消息后，将所述检查通过消息作为通知消息发送至所述操作单元。其中，安全策略服务器可以采用与AAA服务器中处理单元相似的功能结构，即确定当前接入终端为漫游接入终端并指示发送至宿主网络安全策略服务器处理的单元；将所述安全检查请求发送至该漫游接入终端的宿主网络安全策略服务器处理，并在收到所述宿主网络安全策略服务器返回的检查通过消息后，将所迷检查通过消息作为通知消息发送至所述操作单元的单元。在此不再详述。所述操作单元，将收到的检查通过消息中携带的宿主网络安全策略服务器指示的安全ACL标识，修改为所述设置的漫游安全ACL的标识，将携带漫游安全ACL标识的检查通过消息发送给所述本地网络接入设备，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全ACL。所述安全策略服务器进一步包括远程检查单元；所述远程检查单元，用于接收其他安全策略服务器发送的安全检查请求，根据收到的安全检查请求进行安全检查，并向发送所述安全检查请求的安全策略服务器返回安全^r查结果。实施例二在本实施例中，主要介绍由宿主网络AAA服务器对漫游接入终端进行身份认证，由漫游地安全策略服务器对漫游接入终端进行安全检查的技术方案。这里，为分布式网络的各分支网络配置宿主网络标识的方法可参见实施例一中的相关介绍，在此不再详述。其中，由于本实施例是由漫游地安全策略服务器进行安全检查，因此主控网络在建立对应关系表时，可以仅建立AAA服务地址与宿主网络标识之间的对应关系，对应关系表不必包含安全策略服务器地址信息。与实施例一相同，为了使漫游接入终端有可以使用的隔离ACL和安全ACL,需要在各分支网络中为漫游接入终端配置漫游隔离ACL和漫游安全ACL。本实施例与实施例一不同的是，在本实施例中，由于由漫游地安全策略服务器负责对漫游接入终端进行安全检查，因此，除了需要配置漫游隔离ACL和漫游安全ACL之外，还需要配置安全检查策略，用来对漫游接入终端进行安全检查。参见图7,图7为实施例方法的流程图，现详细介绍如下步骤701~707与实施例一中的步骤301~307相同，在此不再详述。在步骤708中，漫游地安全策略服务器接收当前接入终端发送的安全检查请求，确定当前接入终端为漫游接入终端时，根据为漫游接入终端配置的安全检查策略，对当前接入终端进行安全检查，向接入终端下发病毒、补丁等安全检查项目。其中，确定当前用户为漫游接入终端的方法以及获得宿主网络安全策略服务器地址的方法，可参见实施例一中步骤303中的相关介绍，在此不再详述。在步骤709中，接入终端收到安全检查项目，对各项目进行检查，并向漫游地安全策略服务器上报检查结果。在步骤710中，漫游地安全策略服务器检测收到的检查结果是否符合要求，在符合安全要求的情况下，向接入设备发送检查通过消息，其中携带为漫游接入终端配置的漫游安全ACL的标识信息。在不符合安全要求的情况下，返回安全检查不通过的消息，此后，接入终端则可以访问受限区域内的第三方杀毒服务器、安全策略代理以及补丁升级服务器，然后再请求进行安全检查，具体过程可参见现有技术中的相关流程。在步骤711中，接入设备接收检查通过消息，根据其中指示的漫游安全ACL为当前4妄入终端应用安全ACL,并向4妾入终端返回才全查通过消息。接入设备根据检查通过消息中携带的ACL的标识，找到预先配置的漫游安全ACL,为当前接入终端应用所指示的漫游安全ACL。在接入设备为当前漫游接入终端应用了漫游安全ACL，则该漫游接入终端获得了访问网络的权限。另外，参见图8，图8为实施例二网络系统的结构图，其中以两个分支网络为例对本实施例的技术方案进行介绍。每个分支网络至少包括AAA服务器、安全策略服务器、接入设备及接入终端。其中，AAA服务器、安全策略服务器、接入设备及接入终端之间的连接关系，各设备的组成结构大部分与实施例一中的相同，所不同的是安全策略服务器，接收接入终端在身份认证通过后发送的安全检查请求，确定当前接入终端为漫游接入终端时，根据预先为漫游至本地的接入终端配置的漫游-险查策略对所述漫游接入终端进行安全^^查；在所述接入终端安全^r查通过后，指示所述接入设备对所述漫游接入终端应用所述漫游安全ACL。参见图9，图9为本实施例中安全策略服务器的结构图示意图。由于漫游接入终端的安全检查不再由宿主网络安全策略服务器来处理，因此本实施例中的安全策略服务器不包括远程检查单元。本实施例提供的安全策略服务器包括控制单元和操作单元。其中，所述控制单元，接收接入终端发送的安全4全查请求，确定当前接入终端为漫游接入终端时，根据预先为漫游至本地网络的接入终端配置的漫游检查策略对所述漫游接入终端进行安全检查；并在所述漫游接入终端安全检查通过后，通知所述操作单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全ACL;操作单元，用于接收所述控制单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全ACL。另外，本实施例中AAA服务器的结构图可以与实施例一中的相同，在以上介绍的是本发明提供的两个较佳实施例，不能以此来限定本发明所要求的保护范围。同时，上述所列举的应用于ACL的实施例同样适用于用VLAN来配置访问策略的场景。本发明的技术方案在接入设备上为漫游接入终端配置在漫游过程中使用的隔离访问策略和安全访问策略，以及安全检查策略，使全网的接入设备不必配置统一的访问策略，实现起来简单、容易部署。这样，各分支网络就能更加灵活的配置访问策略，根据具体用户的需求设置、更新访问策略，不再受到其他网络不能识别、以及不能适配其他网络的限制，打破了分布式网络接入控制方案实现上的困难，使网络接入控制方法具有很大的发展前景，是一种应用广泛、实施方便的网络接入控制漫游方案。另外，由于接入终端与安全策略服务器进行安全检查的报文是基于UDP协议，没有连接保障，因此在通过网络防火墙或者网络地址转换设备，穿越网络时可能被丢弃。而本发明实施例二所提供的技术方案，即由漫游地安全策略服务器对漫游接入终端进行安全检查，使用来进行安全检查的报文不用再穿越网络，因此很好的解决了这一问题，为在存在防火墙以及网络地址转换设备的网络环境中部署分布式的网络接入控制方案提供了一种简单、易于实现的解决方案。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。权利要求1.一种实现漫游的网络接入控制方法，应用该方法的本地网络至少包括认证服务器、安全策略服务器及接入设备，其中所述认证服务器用于对接入终端进行身份认证，所述安全策略服务器用于对接入终端进行安全检查，所述接入设备用于应用访问策略控制接入终端访问网络，其特征在于，该方法包括本地网络认证服务器对漫游接入终端身份认证通过后，指示本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离访问策略；所述本地网络接入设备根据指示应用设置的漫游隔离访问策略；本地网络安全策略服务器对漫游接入终端安全检查通过后，指示本地网络接入设备对所述漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全访问策略；所述本地网络接入设备根据指示应用设置的漫游安全访问策略。2、根据权利要求1所述的方法，其特征在于，所述本地网络认证服务器对漫游接入终端身份认证包括所述本地网络认证服务器接收接入终端发送的身份认证请求，确定当前接入终端为漫游接入终端时，将所述身份认证请求转发至所述漫游接入终端的宿主网络认证服务器处理；并在收到所述宿主网络认证服务器返回的认证通过消息后，指示所述本地网络接入设备对所述漫游接入终端应用所述漫游隔离访问策略。3、根据权利要求2所述的方法，其特征在于，所述指示本地网络接入设备应用漫游隔离访问策略包括所述本地网络认证服务器将收到的认证通过消息中携带的宿主网络认证服务器指示的隔离访问策略标识，修改为所述设置的漫游隔离访问策略的标识，将携带漫游隔离访问策略标识的认证通过消息发送给所述本地网络接入设备。4、根据权利要求3所述的方法，其特征在于，该方法进一步包括所述本地网络认证服务器将收到的认证通过消息中携带的宿主网络安全策略服务器的访问地址，修改为本地网络安全策略服务器的访问地址，用于所述漫游接入终端向本地网络安全策略服务器发起安全检查。5、根据权利要求2、3或4所述的方法，其特征在于，所述确定当前4妄入终端为漫游接入终端时，将所述身份认证请求转发至所述漫游接入终端的宿主网络认证服务器处理包括所述本地网络认证服务器从收到的身份认证请求中解析得到携带的域名，在所述域名不为本地网绍"使用的域名时，确定当前接入终端为漫游接入终端；并根据保存的域名与认证服务器地址之间的映射关系得到所述漫游接入终端宿主网络认证服务器的地址，将所述身份认证请求发送至所述宿主网络认证服务器处理。6、根据权利要求2、3或4所述的方法，其特征在于，所述接入终端发送的身份认证请求中携带有自身所在宿主网络的宿主网络标识；所述确定当前接入终端为漫游接入终端时，将所述身份认证请求转发至所述漫游接入终端的宿主网络认证服务器处理包括所述本地网络认证月良务器从收到的身份认证请求中解析得到携带的宿主网络标识，当宿主网络标识表示的宿主网络不为本地网络时，确定当前接入终端为漫游接入终端；并才艮据^f朱存的宿主网络标识与认证服务器地址之间的映射关系得到所迷漫游接入终端宿主网络认证服务器的地址，将所述身份认证请求发送至所述宿主网络认证服务器处理。7、根据权利要求6所述的方法，其特征在于，所述宿主网络标识是身份认证请求中用户名的前缀或后缀。8、根据权利要求1所述的方法，其特征在于，所述本地网络安全策略服务器对漫游接入终端安全^r查包括所述本地网络安全策略服务器接收接入终端在身份认证通过后发送的安全检查请求，确定当前接入终端为漫游接入终端时，将所述安全检查请求转发至所述漫游接入终端的宿主网络安全策略服务器处理；并在收到所述宿主网络安全策略服务器返回的检查通过消息后，指示所述接入设备对所述漫游接入终端应用所述漫游安全访问策略。9、根据权利要求8所述的方法，其特征在于，所述指示本地网络接入设备应用漫游安全访问策略包括所述本地网络安全策略服务器将收到的检查通过消息中携带的宿主网络安全策略服务器指示的安全访问策略标识，修改为所述设置的漫游安全访问策略的标识，将携带漫游安全访问策略标识的检查通过消息发送给所述本地网络接入设备。10、根据权利要求1所述的方法，其特征在于，所述安全策略服务器对漫游接入终端安全^r查包括所述本地网络安全策略服务器接收接入终端在身份认证通过后发送的安全检查请求，确定当前接入终端为漫游接入终端时，根据预先为漫游接入终端配置的漫游检查策略对该接入终端进行安全检查；并在所述漫游接入终端安全检查通过后，指示所述接入设备对所述漫游接入终端应用所述漫游安全访问策略。11、根据权利要求l、2、3、4、8、9或10所述的方法，其特征在于，当所述访问策略为访问控制列表ACL时，所述应用漫游隔离访问策略为应用漫游隔离ACL;所述应用漫游安全访问策略为应用漫游安全ACL;当所述访问策略为配置虚拟局域网VLAN时，所述应用漫游隔离访问策略为将所述漫游接入终端加入漫游隔离VLAN;所述应用漫游安全访问策略为将所述漫游接入终端加入漫游安全VLAN。12、根据权利要求l、2、3、4、8、9或10所述的方法，其特征在于，所述认证服务器为认证、授权与计费AAA服务器；所述对漫游接入终端身份认证为通过远程用户拨号认证系统RADIUS协议对漫游接入终端执行身份认证。13、一种实现漫游的认证服务器，应用于实现网络接入控制的网络系统，其特征在于，该认证服务器包括处理单元和执行单元；所述处理单元，用于在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游隔离访问策略；所述执行单元，用于接收所述处理单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游隔离访问策略。14、根据权利要求13所述的认证服务器，其特征在于，所述处理单元，用于接收接入终端发送的身份认证请求，确定当前接入终端为漫游接入终端时，将所述身份认证请求发送至该漫游接入终端的宿主网络认证服务器处理；并在收到所述宿主网络认证服务器返回的认证通过消息后，将所述认证通过消息作为通知消息发送至所述执行单元。15、根据权利要求14所述的认证服务器，其特征在于，所述执行单元，将收到的认证通过消息中携带的宿主网络认证服务器指示的隔离访问策略标识，修改为所述设置的漫游隔离访问策略的标识，将携带漫游隔离访问策略标识的认证通过消息发送给所述本地网络接入设备，用来指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游隔离访问策略。16、根据权利要求15所述的认证服务器，其特征在于，所述执行单元，进一步将收到的认证通过消息中携带的宿主网络安全策略服务器的访问地址，修改为本地网络安全策略服务器的访问地址，用于所述漫游接入终端向本地网络安全策略服务器发起安全检查。17、根据权利要求14、15或16所述的认证服务器，其特征在于，所述处理单元包括确定单元和获取单元；所述确定单元，用于从收到的身份认证请求中解析得到携带的域名，在所述域名不为本地网络使用的域名时，确定当前接入终端为漫游接入终端并通知所述获取单元；所述获取单元，用于接收所述确定单元的通知消息，根据保存的域名与认证服务器地址之间的映射关系得到所述漫游接入终端宿主网络认证服务器的地址，将收到的身份认证请求发送至所述宿主网络认证服务器处理；在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用所述设置的漫游隔离访问策略。18、根据权利要求14、15或16所述的认证服务器，其特征在于，所述处理单元包括确定单元和获取单元；所述确定单元，用于从收到的身份认证请求中解析得到携带的宿主网络标识，当宿主网络标识表示的宿主网络不为本地网络时，确定当前接入终端为漫游接入终端并通知所述获取单元；所述获取单元，用于接收所述确定单元的通知消息，根据保存的宿主网络标识与认证服务器地址之间的映射关系得到所述漫游接入终端宿主网络认证月良务器的地址，将所述身份认证请求发送至所述宿主网络认证服务器处理；在漫游接入终端身份认证通过后，通知所述执行单元为当前漫游接入终端应用所述设置的漫游隔离访问策略。19、根据权利要求18所述的认证服务器，其特征在于，所述确定单元，解析身份认证请求中用户名的前缀或后缀从而获得其携带的宿主网络标识。20、根据权利要求13、14、15或16所述的认证服务器，其特征在于，所述认证服务器进一步包括远程认证单元；所述远程认证单元，用于接收其他认证服务器发送的身份认证请求，根据收到的身份认证请求进行身份认证，并向发送所述身份认证请求的认证服务器返回身份认证结果。21、根据权利要求13、14、15或16所述的认证服务器，其特征在于，所述认证服务器为认证、授权与计费AAA服务器，并通过远程用户拨号认证系统RADIUS协议对漫游接入终端执行身份认证。22、一种实现漫游的安全策略服务器，应用于实现网络接入控制的网络系统，其特征在于，该安全策略服务器包括控制单元和操作单元；所述控制单元，用于在漫游接入终端安全^r查通过后，通知所述操作单元为当前漫游接入终端应用为漫游至本地网络的接入终端设置的漫游安全访问策略；所述操作单元，用于接收所述控制单元的通知消息，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全访问策略。23、根据权利要求22所述的安全策略服务器，其特征在于，所述控制单元，用于接收接入终端发送的安全检查请求，确定当前接入终端为漫游接入终端时，将所述安全检查请求发送至该漫游接入终端的宿主网络安全策略服务器处理；并在收到所述宿主网络安全策略服务器返回的检查通过消息后，将所述#全查通过消息作为通知消息发送至所述4喿作单元。24、根据权利要求23所述的安全策略服务器，其特征在于，所述操作单元，将收到的检查通过消息中携带的宿主网络安全策略服务器指示的安全访问策略标识，修改为所述设置的漫游安全访问策略的标识，将携带漫游安全访问策略标识的检查通过消息发送给所述本地网络接入设备，指示本地网络接入设备对所述漫游接入终端应用所述设置的漫游安全访问策略。25、根据权利要求22、23或24所述的安全策略服务器，其特征在于，所述安全策略服务器进一步包括远程检查单元；所述远程检查单元，用于接收其他安全策略服务器发送的安全检查请求，根据收到的安全检查请求进行安全检查，并向发送所述安全检查请求的安全策略服务器返回安全^:查结果。26、根据权利要求22所述的安全策略服务器，其特征在于，所述控制单元，用于接收接入终端发送的安全检查请求，确定当前接入终端为漫游接入终端时，根据预先为漫游至本地网络的接入终端配置的漫游检查策略对所述漫游接入终端进^^安全^r查；并在所述漫游接入终端安全4全查通过后，通知所述操作单元对所述漫游接入终端应用所述漫游安全访问策略。全文摘要本发明公开了实现漫游的网络接入控制方法及设备。在本发明的技术方案中，在接入设备上为漫游接入终端配置漫游隔离访问策略和漫游安全访问策略，使全网的接入设备不必配置统一的访问策略，就能够对漫游接入终端实现网络接入控制。本发明的技术方案能够使各分支网络根据用户的具体需求设置、更新访问策略，而不再受到其他网络不能识别、不能适配的限制，打破了分布式网络接入控制方案实现上的困难，使网络接入控制方法具有更大的发展前景，是一种应用广泛、实施方便的网络接入控制漫游方案。文档编号H04B7/26GK101272627SQ20081010568公开日2008年9月24日申请日期2008年4月30日优先权日2008年4月30日发明者郑雄开申请人:杭州华三通信技术有限公司