支持隔离模式的网络接入控制方法、系统及设备的制作方法

文档序号:7944917阅读:85来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:支持隔离模式的网络接入控制方法、系统及设备的制作方法
技术领域
本发明涉及网络接入技术,尤指 一种支持隔离模式的网络接入控制方
法、系统、安全策略服务器、接入终端及认证、授权与计费(AAA, Authentication Authorization Accounting )月良务器。
背景技术
随着网络应用的不断普及与深入,网络安全成为各企业极为重视的问 题。网络接入控制(NAC, Network Access Control)技术方案的应用为企业、 事业单位提供了 一个相对完整的网络安全解决方案。网络接入控制方案由安 全策略服务器、AAA服务器、接入设备和接入终端组成的网络系统来实现。 在该网络接入控制方案中,接入终端在身份认证通过后,由接入设备控制其 只能访问受限的网络区域,称作隔离区,在隔离区进行安全升级。由安全策 略服务器对接入终端进行安全检测,在接入终端符合安全要求解除其隔离的 限制,使接入终端能够访问其他网络资源,从而保证该接入终端在访问其他 网络资源免遭攻击的威胁。
参见图1,图1为其具体的实现流程图。 在步骤101中,接入终端向接入设备发送身份认证请求。 在步骤102中,接入设备向AAA服务器发送当前接入终端的身份认证 请求。
在步骤103中,AAA服务器对当前接入终端进行身份认证,在认证通 过后,下发隔离访问控制列表(ACL, Access Control List)标识至接入设备。
在步骤104中,接入设备根据收到的ACL标识得到对应的隔离ACL, 并应用得到的隔离ACL。认证通过的指示。 此时,接入设备就可以根据应用的隔离ACL,控制当前接入终端访问 隔离区。隔离区网络通常包括第三方杀病毒服务器、以及补丁升级服务器。 接入终端可以根据自身的软件情况,选择访问隔离区,对自身的软件进行升 级以及病毒的查杀,为安全策略服务器对自身的安全检查做准备。当然,接 入终端也可以不访问隔离区中的服务器。
在步骤106中,接入终端在收到认证通过的指示后,向安全策略服务器 发送安全检查请求。
在步骤107中,安全策略服务器收到接入终端发送的安全检查请求后, 向该接入终端下发病毒、补丁等安全检查项目。
在步骤108中,接入终端收到安全检查项目,对各项目进行检查,并向 安全策略服务器上报检查结果。
在步骤109中,安全策略服务器检测收到的检查结果是否符合要求,在 安全的情况下,向接入设备下发安全ACL标识、并向接入终端发送安全检 查通过报文;在不安全的情况下,如图1中的虚线所示向接入终端发送安全 检查未通过的指示。
在步骤110中,接入设备根据收到的安全ACL标识得到安全ACL,并 应用得到的安全ACL。
接入终端在收到安全策略服务器发送的安全检查通过的报文后,就可以 在安全ACL控制的范围内访问其他网络资源。
目前大部分的企、事业单位在引入网络接入控制方案之前均已经存在了 固有的办公网络,网络中的设备大多都存在各种各样的品牌。在目前的网络 接入控制方案中,接入终端与接入设备、以及接入设备与AAA服务器之间 的交互,由于其涉及身份认证过程, 一般均采用接入用户远程身份鉴明业务 (RADIUS, Remote Authentication Dial In User Service )协议来完成,大部 分的设备都是能够支持的。但是,对于接入设备与安全策略服务器、以及接 入终端与安全策略服务器之间的交互,由于没有标准协议来约束,各设备制造商均通过自定义的私有协议来实现的。在具体实现网络接入控制方案时, 由于接入终端的开放性较强,对接入终端通过进行适当改造就能够实现接入 终端与安全策略服务器之间交互;但对于接入设备而言,在制造商不同的情
况,由于其所采用的技术均是保密的,因此很难实现对接入设备的改造,实 现接入设备与安全策略服务器之间的交互。
进而,在实现网络接入控制时,由于不同设备制造商的接入设备与安全 策略服务器之间不能实现协同工作,不能在保护企业现有投资的情况下实现 网络接入控制的技术方案。

发明内容
有鉴于此,本发明提供了一种支持隔离模式的网络接入控制方法、系统、 安全策略服务器、接入终端和AAA服务器,应用本发明所提供的技术方案 能够在接入设备与安全策略服务器设备制造商不同时,实现接入设备与安全 策略服务器的协同工作,实现隔离模式下的网络接入控制。
为达到上述目的,本发明的技术方案是这样实现的
一种支持隔离模式的网络接入控制方法,其中应用该方法的网络至少包
括安全策略服务器,接入终端以及认证、授权与计费AAA服务器,其中所 述安全策略服务器用于对接入终端进行安全检查,AAA服务器用于对接入 终端进行身份认证,该方法包括
当安全策略服务器需要为接入终端配置与安全检查结果相应的访问控 制策略时,向所述接入终端发送所述访问控制策略的指示倌息;
接入终端收到所述指示信息后向AAA服务器发送身份认证请求,并在 该认证请求中携带所述指示信息;
AAA服务器处理收到的身份认证请求,根据其中携带的指示信息指示 接入设备应用所述访问控制策略。
一种支持隔离模式的网络接入控制系统,该系统至少包括安全策略服务 器、接入终端和AAA服务器,其中所述安全策略服务器用于对接入终端进行安全检查,AAA服务器用以对接入终端进行身份认证,
所述安全策略服务器,用于需要为接入终端配置与安全检查结果相应的
访问控制策略时,向所述接入终端发送所述访问控制策略的指示信息;
所述接入终端,用于在收到安全策略服务器发送的指示信息后向AAA 服务器发送身份认证请求,并在该认证请求中携带所述指示信息;
所述AAA服务器,用于接收接入终端发送的携带访问控制策略指示信 息的身份认证请求,处理收到的身份认证请求,根据其中携带的指示信息指 示接入i殳备应用所述访问控制策略。
一种支持隔离模式的安全策略服务器,应用于支持接入控制的网络中, 所述网络至少还包括接入终端以及AAA服务器,其中所述安全策略服务器 用于对接入终端进行安全检查,所述AAA服务器用以对接入终端进行身份 认证,所述安全策略服务器包括执行单元和收发单元;
所述执行单元,用于需要为接入终端配置与安全检查结果相应的访问控 制策略时,通过收发单元向所述接入终端发送所述访问控制策略的指示信 息,以驱动所述接入终端向AAA服务器发起身份认证请求,其中该身份认 证请求用以驱动AAA服务器下发该访问控制策略到所述接入设备;
所述收发单元,用于处理所述执行单元的收发数据。
一种支持隔离模式的接入终端,应用于支持接入控制的网络中,所述网络 至少还包括安全策略服务器以及AAA服务器,其中所述安全策略服务器用于 对接入终端进行安全检查,所述AAA服务器用以对接入终端进行身伤4人证, 所述接入终端包括处理单元和收发单元;
所述处理单元,用于通过所述收发单元接收安全策略服务器发送的访问控 制策略的指示信息;并在收到该指示信息后,通过所述收发单元向AAA服务 器发送身份认证请求,在该认证请求中携带所述指示信息,以驱动AAA服务 器下发该访问控制策略到自身连接的接入设备上;
所述收发单元,用于处理所述执行单元的收发数据。
一种支持隔离模式的AAA服务器,应用于支持接入控制的网络中,所述网络至少还包括安全策略服务器以及接入终端,其中所述安全策略服务器用于 对接入终端进行安全检查,所述AAA服务器用于对接入终端进行身份认证,
其特征在于,所述AAA服务器包括控制单元和收发单元;
所述控制单元,用于通过所述收发单元收到接入终端发送的携带访问控制 策略指示信息的身份认证请求,根据其中携带的指示信息通过所述收发单元指 示接入设备应用所述访问控制策略;
所述收发单元,用于处理所述控制单元的收发数据。
本发明所提供的支持隔离模式的网络接入控制技术方案,在安全策略服 务器需要为接入终端配置访问控制策略时,由于接入设备均能识别AAA服 务器在身份认证过程中返回的访问控制策略的标识,因此由接入终端向 AAA服务器发起身份认证过程,AAA服务器向接入设备返回所需访问控制 策略的标识,使接入设备能够根据该访问控制策略标识获得对应的访问控制 策略、并应用该访问控制策略,进而实现了不同设备制造商的接入设备和安 全策略服务器在隔离模式下的网络接入控制的协同工作,实现了隔离模式下 的网络接入控制。


图1为现有技术网络接入控制流程图2为本发明实施例方法的示例性流程图3为本发明实施例系统的示例性结构图4为本发明实施例一方法的流程图5为本发明实施例一系统的结构图6为本发明实施例一中安全策略服务器的结构图7为本发明实施例一中接入终端的结构图8为本发明实施例一中AAA服务器的结构图9为本发明实施例二方法的流程图。
具体实施例方式
通过对现有网络接入控制方案的分析可知,现有技术方案无法实现网络 接入控制方案的关键在于,由于制造商的不同,接入设备无法识别安全策略
服务器下发的ACL标识,进而由于不能应用ACL而导致无法实现网络接入 控制技术方案。
考虑到接入设备均能识別AAA服务器在身份认证过程中返回的ACL 标识,因此本发明在安全策略服务器需要在接入设备上为接入终端配置ACL 时,通过AAA服务器向接入设备返回ACL标识,使接入设备能够识别并进 而应用当前需要配置的ACL,实现不同i殳备制造商的接入i殳备和安全策略 服务器在隔离模式下的网络接入控制的协同工作。
本发明的技术方案不但可以很好的应用于访问控制策略为ACL的场 景,也能够很好的应用于访问控制策略为为接入终端配置虚拟局域网 (VLAN)的场景。在为接入终端配置VLAN的情况下,为接入终端配置的 VLAN可以分为安全VLAN和隔离VALN,通过对VLAN访问属性的配置, 对VLAN中接入终端进行访问限制。
参见图2,图2为本发明实施例方法的示例性流程图,其中应用该方法 的网络至少包括安全策略服务器,接入终端以及认证、授权与计费AAA服 务器,其中安全策略服务器用于对接入终端进行安全检查,AAA服务器用 于对接入终端进行身份认证,并包括以下步骤在步骤201中,当安全策略 服务器需要为接入终端配置与安全检查结果相应的访问控制策略时,向接入 终端发送所述访问控制策略的指示信息;在步骤202中,接入终端收到指示 信息后向AAA服务器发送身份认证请求,并在该认证请求中携带指示信息; 在步骤203中,AAA服务器处理收到的身份认证请求,根据其中携带的指 示信息指示接入设备应用所述访问控制策略。其中步骤203中,AAA服务 器处理收到的身份认证请求,在接入终端身份认证通过后,根据所述指示信 息获得对应访问控制策略的标识,将获得的标识携带在身份认证响应消息中发送给接入设备,供所述接入设备应用该访问控制策略。
这其中,所述为接入终端配置与安全检查结果相应的访问控制策略可以
为为接入终端配置与安全^r查结果相应的VLAN;也可以为为接入终端 向接入设备下发与安全检查结果相应的ACL。
参见图3,图3为本发明实施例的系统结构图,该系统至少包括安全策 略服务器、接入终端和AAA服务器,其中安全策略服务器用于对接入终端 进行安全检查,AAA服务器用以对接入终端进行身份认证。
其中,安全策略服务器,用于需要为接入终端配置与安全检查结果相应 的访问控制策略时,向接入终端发送所述访问控制策略的指示信息。接入终 端,用于在收到安全策略服务器发送的指示信息后向AAA服务器发送身份 认证请求,并在该认证请求中携带指示信息。AAA服务器,用于接收接入 终端发送的携带访问控制策略指示信息的身份认证请求,处理收到的身份认 证请求,根据其中携带的指示信息指示接入设备应用所述访问控制策略。其 中,AAA服务器处理收到的身份认证请求,在所述接入终端身份认证通过 后,根据其中携带的指示信息获得对应访问控制策略的标识,将获得的标识 携带在身份认证响应消息中发送给所迷接入设备,供所述接入设备应用该访 问控制策略。
这其中,所述安全策略服务器为接入终端配置与安全检查结果相应的访问 控制策略可以为为接入终端配置与安全检、查结果相应的VLAN;也可以为 为接入终端向接入设备下发与安全检查结果相应的ACL。
在安全策略服务器为接入终端向接入设备下发ACL的情况下,指示信 息可以是用于向AAA服务器指示下发ACL的类型,也可以是ACL标识。 当指示信息为下发ACL的类型时,AAA服务器在处理从接入终端收到的身 份认证请求时,可以根据作为指示信息的ACL类型,从接入终端的安全策 略中获得对应的ACL标识。其中,安全策略是在接入终端入网注册时,网 络管理员为其配置的。安全策略中设置有应用于该接入终端的安全ACL标 识和隔离ACL标识。当AAA服务器收到了应用于该接入终端的ACL类型时,就可以查找该接入终端的安全策略获得对应的ACL标识。
当指示信息为ACL标识时,则在安全策略服务器需要为接入终端向接 入设备下发与安全检查结果相应的访问控制列表ACL的情况下,根据接入 终端的安全策略获得对应的ACL标识,向所述接入终端发送获得的ACL标 识。即当安全策略服务器需要为接入终端向接入设备下发安全ACL标识时, 则从接入终端的安全策略中获得对应的安全ACL标识;当安全策略服务器 需要为接入终端向接入设备下发隔离ACL标识时,则从接入终端的安全策 略中获得对应的隔离ACL标识。
当接入设备上已经为接入终端配置了第一 ACL,安全策略服务器需要 在接入设备上为接入终端配置第二 ACL时,在接入终端收到第二 ACL的指 示信息后,可以由接入终端向AAA服务器发送下线请求;AAA服务器处理 收到的下线请求,并通过接入设备向接入终端返回下线成功指示;接入设备 收到下线成功指示后,取消当前自身为接入终端配置的第一 ACL;同时, 在接入终端收到下线成功指示后,通过AAA服务器发起身份认证。进而, 通过AAA服务器在返回的身份认证响应消息中携带第二 ACL标识,在接入 设备上配置第二 ACL。
上面所描述的第一 ACL可以是隔离ACL,相应的第二 ACL为安全 ACL,具体情况为当接入设备上已经为接入终端配置了隔离ACL,安全 策略服务器在接入终端的安全检查通过后,在接入设备上为接入终端配置安 全ACL的情况。另外,第一 ACL也可以是安全ACL,相应的第二ACL为 隔离ACL,具体情况为,当接入终端接入网络时,首先在接入设备为接入 终端配置安全ACL,使接入终端接入网络,然后再对接入终端进行安全检 查,如果安全检查通过,则不需要在接入设备上为接入终端配置隔离ACL, 节省了配置隔离ACL的操作,加快了接入终端接入网络的效率;在安全检 查不通过时,则安全策略服务器需要在接入设备上配置隔离ACL,使接入 终端能够访问隔离区域中的第三方杀病毒服务器以及补丁升级服务器等安 全设备,进行安全升级,通过安全策略服务器的安全检查,并最终访问网络。为使本发明的目的、技术方案及优点更加清楚明白,现结合上述提及访 问控制策略为ACL的两种情况列举实施例,对本发明做进一步的详细说明。
在本发明的实施例中,主要以RADIUS协议进行介绍。 实施例一
本实施例主要描述,当接入设备为接入终端配置了隔离ACL,安全策 略服务器对接入终端的安全检查通过后,安全策略服务器为该接入终端配置 安全ACL的情况。参见图4,图4为本实施例的方法流程图,现具体介绍 如下
步骤401 - 408的具体实现方式,与图1中的步骤101 ~ 108相同,在此
不再详述。
在步骤409中,安全策略服务器检测收到的检查结果是否符合要求,在 符合要求的情况下,向接入终端发送认证通过报文,其中携带安全ACL的 指示信息。
另外,当安全策略服务器检测到检查结果不符合要求时,向接入终端发 送认证不通过报文。由于检查结果不符合要求,不需要为接入终端在接入设 备上应用安全ACL,相应的也就不需要在认证不通过报文中携带安全ACL 的指示信息。
安全策略服务器可以在原有的认证通过报文中增加ACL属性来携带 ACL的指示信息。当ACL的指示信息用来指示向接入设备下发的ACL的类 型时,可以用security来表示安全ACL,用quarantine来表示隔离ACL;或 者用代码来表示类型,例如用0x0609表示安全ACL, 0x060A表示隔离ACL。 如前所述,ACL的指示信息也可以ACL标识本身,此时则可以直接将ACL 标识作为指示信息携带在认证通过报文中。
在步骤410中,接入终端记录安全策略服务器下发的安全ACL的指示 信息,并向安全策略服务器发送下线通知,告知安全策略服务器自身下线。
其中,安全策略服务器收到接入终端发送的下线通知后,删除与当前接 入终端相关的记录。由于安全策略服务器对于下线通知的处理与ACL的配置没有关系,因此接入终端可以不向安全策略服务器发送下线通知,该操作 为可选操作。
在步骤411中,接入终端向接入设备发送下线请求。
在步骤412中,接入设备向AAA服务器发送当前接入终端的下线请求。
在步骤413中,AAA服务器处理接入终端的下线请求,通过接入设备 向接入终端返回下线成功指示。
其中,接入设备收到AAA服务器返回的下线成功指示后,取消为当前 接入终端配置的隔离ACL,并关闭对应端口 。
在步骤414中,接入终端向接入设备发送身份认证请求,其中携带安全 策略服务器下发的安全ACL的指示信息。
这里,可以对接入终端发送的身份认证请求中的用户名(USER-NAME ) 属性进行扩展,用来携带安全ACL的指示信息。
在步骤415中,接入设备向AAA服务器发送接入终端的身份认证请求。
在步骤416中,AAA服务器处理收到的身份认证请求,在身份认证通 过后,根据身份认证请求中携带的安全ACL的指示信息获得对应的安全 ACL的标识,将获得的安全ACL标识携带在身份认证响应消息中发送给接 入设备。
其中,AAA服务器根据ACL的指示信息获得对应ACL标识的具体实 现方法可以是,在所述指示信息用于向AAA服务器指示下发ACL的类型时, AAA服务器根据收到的ACL的类型,从所述接入终端的安全策略中获得对 应的ACL标识。当指示信息为ACL标识时,AAA服务器则直接将作为指 示信息的ACL标识发送给接入设备,供接入i殳备应用对应的ACL。
这里,保存接入终端安全策略的数据库可以为AAA服务器的数据库、 安全策略服务器的数据库或AAA服务器和安全策略服务器共享的数据库。
在步骤417中,接入设备根据收到的安全ACL标识得到对应的安全 ACL,并应用得到的安全ACL。
在步骤418中,接入设备向接入终端指示身份认证通过。在步骤419中,接入终端向安全策略服务器发送安全检查请求,其中携 带安全4全查成功标识。
这里,携带的安全检查成功标识可以用来指示安全策略服务器当前接入 终端已经通过安全检查,此次可以不用再对其进行安全检查,直接返回成功 即可。其中的安全检查成功标识,可以通过在安全检查请求报文中增加值为
true的属性来实现。
在步骤420中,安全策略服务器收到安全检查请求后,确定其中携带了 安全检查成功标识,则向接入终端发送安全检查通过报文。
本流程步骤401中,接入终端将身份认证请求发送给接入设备,由接入 设备构造基于RADIUS协议的身份认证请求,将基于RADIUS协议的身份 认证请求发送给AAA服务器。之后,AAA服务器与接入设备通过RADIUS 协议处理该接入终端的身份认证,主要涉及步骤402、 403、 415和416。在 对接入终端的身份认证中,接入终端与接入设备之间可以基于802. IX协议 进行交互。
此后,接入终端就可以在安全ACL所规定的范围内访问网络资源。
这里,再介绍本发明实施例的另一方面,本实施例的系统结构。本实施 例系统的结构与图5所示包括安全策略服务器、接入终端、AAA服务器、 数据库和接入设备。
具体的,安全策略服务器,用于接入终端已经配置了隔离ACL,在对 接入终端的安全检查通过后,需要为接入终端向接入设备下发安全ACL时, 向接入终端发送安全ACL的指示信息。并还可以进一步用于在收到接入终 端发送的携带安全检查成功标识的安全检查请求后,直接通过收发单元向接 入终端发送安全检查通过报文。
具体的,安全策略服务器可以包括执行单元和收发单元,具体如图6所 示。其中,执行单元,用于在接入终端已经配置了隔离ACL,在对接入终 端的安全检查通过后,需要为接入终端向接入设备下发安全ACL时,通过 收发单元向接入终端发送安全ACL的指示信息。收发单元,用于处理执行执行单元,用于在指示信息为ACL标\识的情况下,向接入设备下发与
安全检查结果相应的ACL时,根据所述接入终端查找数据库中保存的安全 策略获得与接入终端对应的ACL标识,将所述ACL标识作为ACL指示信 息发送至所述接入终端;其中,所述数据库,用于保存接入终端的安全策略, 所述安全策略中设置有应用于所述接入终端的安全ACL标识和隔离ACL标 识;或者,用于在指示信息为向接入设备指示下发ACL的类型的情况下, 向接入设备下发与安全检查结果相应的ACL时,通过所述收发单元向所述 接入终端发送下发ACL的类型。另外,执行单元,进一步用于通过收发单 元在收到接入终端发送的携带安全检查成功标识的安全检查请求后,直接通 过收发单元向接入终端发送安全检查通过报文。其中的数据库可以位于安全 策略服务器内,或者为AAA服务器和安全策略服务器共享的数据库。
接入终端,用于收到安全ACL的指示信息后,向AAA服务器发送下线 请求;在收到AAA服务器返回的下线成功指示后,向AAA服务器发送身 份认证请求,其中携带安全ACL的指示信息。
具体的,接入终端可以包括处理单元和收发单元,具体如图7所示。其 中,处理单元,用于通过收发单元接收安全策略服务器发送的安全ACL指 示信息;并在收到该安全ACL指示信息后,通过收发单元向AAA服务器发 送身份认证请求,在该认证请求中携带指示信息,以驱动AAA服务器下发 该安全ACL到自身连接的接入设备上。收发单元,用于处理处理单元的收 发数据。
处理单元,进一步用于在收到安全策略服务器下发的安全ACL指示信 息后,通过收发单元向AAA服务器发送下钱请求;并在通过收发单元收到 AAA服务器返回的下线成功指示后,向AAA服务器发送身份认证请求;并 进一步用于收到携带在安全策略服务器发送的安全检查通过报文中的安全 ACL指示信息时,收到身份认证通过的指示后,通过收发单元向安全策略 服务器发送安全检查请求,该检查请求中携带安全检查成功标识。另外,处理单元,还用于通过收发单元借由接入设备向AAA服务器发
送基于RADIUS协议的身份认证请求,将安全ACL指示信息携带在身份认 证请求内的用户名USER-NAME属性中,发送携带安全ACL指示信息的身 份认证请求。
AAA服务器,用于处理收到的下线请求,并通过接入设备向接入终端 返回下线成功指示;接收并处理接入终端发送的携带安全ACL指示信息的 身份认证请求,在接入终端身份认证通过后,根据其中携带的安全ACL的 指示信息查找数据库,获得指示信息对应安全ACL的标识,将获得的安全 ACL标识携带在身份认证响应消息中发送给接入设备。
具体的,AAA服务器可以包括处理单元和收发单元,具体如图8所示。
控制单元,用于通过收发单元接收下线请求,并通过收发单元经由接入 设备向接入终端返回下线成功指示;用于通过收发单元收到接入终端发送的 携带安全ACL指示信息的身份认证请求,在接入终端身份认证通过后,根 据其中携带的安全ACL的指示信息获得对应的安全ACL的标识,将获得的 安全ACL标识携带在身份认证响应消息中通过收发单元下发给接入设备。 相应的,收发单元,用于处理控制单元的收发数据。
另外,所述控制单元,用于在收到ACL类型的指示信息时,查找所述 数据库中保存的安全策略,根据收到的ACL类型获得与所述接入终端对应 的ACL标识;将获得的ACL标识携带在身份认证响应消息中,通过所迷收 发单元下发给所述接入设备;其中,所述数据库,用于保存接入终端的安全 策略,所述安全策略中设置有应用于所述接入终端的安全ACL标识和隔离 ACL标识;或者,用于在收到作为指示信息的ACL标识时,直接将收到的 ACL标识携带在身份认证响应消息中通过所述收发单元下发给所述接入设 备。另外,控制单元,用于通过收发单元向接入设备下发基于RADIUS协议 的身份认证响应消息。其中的教据库可以位于AAA服务器内、或者为AAA 服务器和安全策略服务器共享的数据库。
接入设备,用于在收到AAA服务器返回给接入终端的下线成功指示时,取消当前为接入终端配置的隔离ACL;在从AAA服务器收到携带安全ACL 标识的身份认证响应消息时,应用该安全ACL标识对应的安全ACL。 实施例二
本实施例主要描述,当接入设备为接入终端配置了安全ACL,该接入 终端的安全检查不通过时,安全策略服务器为该接入终端配置隔离ACL的 情况。参见图9,图9为本实施例的方法流程图,现具体介绍如下 在步骤901中,接入终端向接入设备发送身份认证请求。 在步骤902中,接入设备向AAA服务器发送当前接入终端的身份认证 请求。
在步骤903中,AAA服务器对当前接入设备进行身份认证,在认证通 过后,下发安全ACL标识至接入设备。
在步骤904中,接入设备根据安全ACL标识得到对应的安全ACL,并 应用收到的安全ACL。
在步骤905中,接入设备向当前接入终端返回认证通过的指示。
步骤906-908的具体实现方式,与图1中的步骤106 ~ 108相同,在此 不再详述。
在步骤909中,安全策略服务器检测收到的检查结果是否符合要求,在 不符合安全要求的情况下,向接入终端发送认证不通过报文,其中携带隔离 ACL的指示信息。
另外,在检查结果符合安全要求的情况下,向接入终端发送认证通过报 文。由于接入终端当前是安全的,因此在收到认证通过报文后,就不需要向 AAA服务器发送身份认证请求,以求应用隔离ACL。相应的,安全策略服 务器在向接入终端返回的认证通过报文中也就不需要携带隔离ACL的指示信息。
安全策略服务器可以在原有的认证不通过报文中增加ACL属性,用来 携带ACL的指示信息。指示信息的具体实现可以采用实施例一提供的技术 方案。在步骤910中,接入终端记录安全策略服务器下发的隔离ACL的指示
信息,并向安全策略服务器发送下线通知,告知安全策略服务器自身下线。
在步骤911中,接入终端向接入设备发送下线请求。
在步骤912中,接入设备向AAA服务器发送当前接入终端的下线请求。
在步骤913中,AAA服务器处理接入终端的下线请求,通过接入设备
向接入终端返回下线成功指示。
其中,接入设备收到AAA服务器发送的下线成功指示后,取消为当前
接入终端配置的安全ACL、并关闭对应端口。当接入设备取消安全ACL之
后,接入终端将不能再访问网络资源。
在步骤914中,接入终端向接入设备发送身份认证请求,其中携带隔离
ACL的指示信息。
这里,同样可以对接入终端发送的身份认证请求中的USER-NAME属 性进行扩展,用来携带隔离ACL的指示信息。同样的,指示信息的具体实 现可以采用实施例一中使用的技术方案。
在步骤915中,接入设备向AAA服务器发送接入终端的身份认证请求。 在步骤916中,AAA服务器处理收到的身份认证请求,在身份认证通 过后,根据身份认证请求中携带的隔离ACL的指示信息获得对应隔离ACL 的标识,将获得的隔离ACL标识携带在身份认证响应消息中发送给接入设 备。
其中,获得隔离ACL的具体方法可以参考实施例一中步骤416的相关 介绍,在此不再详迷。
在步骤917中,接入设备根据收到的隔离ACL标识得到对应隔离ACL, 并应用得到的隔离ACL。
在步骤918中,接入设备向接入终端指示身卞分iU正通过。
在步骤919中,接入终端向安全策略服务器发送安全检查请求,其中携 带安全检查失败标识。
这里,携带的安全检查失败标识可以用来指示安全策略服务器当前接入终端的安全检查不能成功,安全策略服务器可以不用再对其进行安全检查, 直接返回失败即可。其中的安全检查失败标识,可以通过在安全检查请求报
文中增加值为false的属性来实现。
在步骤920中,安全策略服务器收到安全检查请求后,确定其中携带了 安全检查失败标识,则向接入终端指示安全检查未通过。
当在接入设备上应用了隔离ACL,接入终端就可以访问隔离区,以对 自身的软件进行安全升级,用来通过安全策略服务器的安全检查。在接入终 端升级完整之后,接入终端再向安全策略服务器发送安全检查请求,具体后 续的过程可以参见图4中,从步骤406开始的流程。
本流程步骤901中,接入终端将身份认证请求发送给接入设备,由接入 设备构造基于RADIUS协议的身份认证请求,将基于RADIUS协议的身份 认证请求发送给AAA服务器。之后,AAA服务器与接入设备通过RADIUS 协议处理该接入终端的身份认证,主要涉及步骤902、 903、 915和916。在 对接入终端的身份认证中,接入终端与接入设备之间可以基于802. IX协议 进行交互。
这里,再介绍本发明实施例的另一方面,本实施例的系统结构。本实施 例系统的结构可以与图5所示的系统示例性结构图相同。
具体的,安全策略服务器,用于当接入设备为接入终端配置了安全ACL, 在安全策略服务器对接入终端的安全检查不通过,向接入终端发送隔离ACL 的指示信息。
具体,安全策略服务器可以包括执行单元和收发单元。本实施例接入终 端的结构与实施例一中的图6相同,其中执行单元,用于接入终端已经配置 了安全ACL,在对接入终端的安全检查不通过,需要为接入终端向接入设 备下发隔离ACL时,通过收发单元向接入终端发送隔离ACL的指示信息; 收发单元,用于处理执行单元的收发数据。执行单元,进一步用于通过收发 单元在收到接入终端发送的携带安全检查失败标识的安全检查请求后,直接 通过收发单元向接入终端发送安全检查未通过报文。另外,对指示信息具体情况的处理与实施例一相同,在此不再详述。
接入终端,用于收到隔离ACL的指示信息后,向AAA服务器发送下线请 求;在收到AAA服务器返回的下线成功指示后,通过接入设备向AAA服务器 发送身份认证请求,其中携带隔离ACL的指示信息。
具体的,接入终端可以包括处理单元和收发单元。本实施例接入终端的结 构与实施例一中的图7相同,其中处理单元,用于通过收发单元接收安全策略 服务器发送的隔离ACL指示信息;并在收到该隔离ACL指示信息后,通过收 发单元向AAA服务器发送身份认证请求,在该认证请求中携带指示信息,以 驱动AAA服务器下发该ACL到自身连接的接入设备上;收发单元,用于处理 执行单元的收发数据。
处理单元,还可以进一步用于在收到安全策略服务器下发的隔离ACL指示 信息后,通过收发单元向AAA服务器发送下线请求;并在通过收发单元收到 AAA服务器返回的下线成功指示后,向AAA服务器发送身份认证请求;并进 一步用于收到携带在安全策略服务器发送的安全检查未通过报文中时的隔离 ACL指示信息时,收到身份认证通过的指示后,通过收发单元向安全策略服务 器发送安全检查请求,该检查请求中携带安全检查失败标识。
另外,处理单元,用于通过收发单元借由接入设备向AAA服务器发送基 于RADIUS协议的身份认证请求;并将ACL指示信息携带在身份认证请求内 的用户名USER-NAME属性中。
AAA服务器,用于处理收到的下线请求,并通过接入设备向接入终端 返回下线成功指示;接收并处理在收到接入终端发送的携带隔离ACL指示 信息的身份认证请求,在接入终端身份认证通过后,根据其中携带的隔离 ACL的指示信息查找数据库,获得指示信息对应隔离ACL的标识,将获得 的隔离ACL标识携带在身份认证响应消息中发送给接入设备。
具体的,AAA服务器可以包括处理单元和收发单元。本实施例AAA服 务器的结构与实施例一中的图8相同,其中控制单元,用于通过收发单元接 收下线请求,并通过收发单元经由接入设备向接入终端返回下线成功措示;用于通过收发单元收到接入终端发送的携带隔离ACL指示信息的身份认证
请求,在接入终端身份认证通过后,根据其中携带的隔离ACL的指示信息 获得对应的隔离ACL标识,将获得的隔离ACL标识携带在身份认证响应消 息中通过收发单元下发给接入设备。相应的,收发单元,用于处理控制单元 的收发数据。其中,对指示信息不同情况的处理与实施例一相同,在此不再 详述。
另外,控制单元,用于用于通过收发单元向接入设备下发基于RADIUS 协议的身份认证响应消息。
接入设备,用于在收到AAA服务器返回给接入终端的下线成功指示时, 取消当前为接入终端配置的安全ACL;在从AAA服务器收到携带隔离ACL 标识的身份认证响应消息时,应用该隔离ACL标识对应的隔离ACL 。
本发明实施例的技术方案,在安全策略服务器需要在接入设备上为接入 终端配置ACL时,由于接入设备均能识别AAA服务器在身份认证过程中返 回的身份认证响应报文中携带的ACL标识,因此由接入终端向AAA服务器 发起身份认证过程,在AAA服务器向接入设备返回的身份认证响应报文中 携带所需的ACL标识,使接入设备能够识别并应用当前ACL,进而实现了 不同设备制造商的接入设备和安全策略服务器在隔离模式下的网络接入控 制的协同工作,实现了隔离模式下的网络接入控制。
另外,访问控制策略为为接入终端配置VLAN的技术方案与上述介绍 的访问控制策略为ACL的技术方案相似,所不同的是,指示信息为VLAN 对应的指示信息,标识为VLAN对应的标识。
相应的,如图6所示,在安全策略服务器包括执行单元和收发单元时, 所述执行单元,用于需要为接入终端配置与安全检查结果相应的访问控制策 略时,通过收发单元向所述接入终端发送所述访问控制策略的指示信息,以 驱动所述接入终端向AAA服务器发起身份认证请求,其中该身份认证请求 用以驱动AAA服务器下发该访问控制策略到所述接入设备;所述收发单元, 用于处理所述执行单元的收发数据。其中,所述执行单元为接入终端配置与安全检查结果相应的访问控制策略为为接入终端配置与安全检查结果相应
的虚拟局域网VLAN;也可以为为接入终端向接入设备下发与安全检查结 果相应的访问控制列表ACL 。
如图7所示在接入终端包括处理单元和收发单元时,所述处理单元,用
并在收到该指示信息后,通过所述收发单元向AAA服务器发送身份认证请 求,在该认证请求中携带所述指示信息,以驱动AAA服务器下发该访问控 制策略到自身连接的接入设备上;所述收发单元,用于处理所述执行单元的 收发数据。其中,所述处理单元接收的访问控制策略的指示信息为安全策 略服务器为接入终端配置与安全检查结果相应的虚拟局域网VLAN的指示 信息;也可以为安全策略服务器为接入终端配置与安全检查结果相应的访 问控制列表ACL的指示信息。
如图8所示,在AAA服务器包括控制单元和收发单元时,所述控制单 元,用于通过所述收发单元收到接入终端发送的携带访问控制策略指示信息 的身份认证请求,在所述接入终端身份认证通过后,根据其中携带的指示信 息获得对应访问控制策略的标识,将获得的访问控制策略标识携带在身份认 证响应消息中通过所述收发单元下发给所述接入设备;所述收发单元,用于 处理所述控制单元的收发数据。其中,所述控制单元收到接入终端发送的携 带访问控制策略指示信息的身份认证请求为接入终端发送的携带虛拟局域 网VLAN指示信息的身份iU正请求;也可以为接入终端发送的携带访问 控制列表ACL指示信息的身份认证请求。
本发明的技术方案,对于已经存在固有的办公网络,不需要进行大规模 的网络改造,就可以非常方便的部署本网络接入控制方案,最大限度地保护 用户的现有投资、方便管理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在 本发明的保护范围之内。
权利要求
1、一种支持隔离模式的网络接入控制方法,其中应用该方法的网络至少包括安全策略服务器,接入终端以及认证、授权与计费AAA服务器,其中所述安全策略服务器用于对接入终端进行安全检查,AAA服务器用于对接入终端进行身份认证,其特征在于,该方法包括当安全策略服务器需要为接入终端配置与安全检查结果相应的访问控制策略时,向所述接入终端发送所述访问控制策略的指示信息;接入终端收到所述指示信息后向AAA服务器发送身份认证请求,并在该认证请求中携带所述指示信息;AAA服务器处理收到的身份认证请求,根据其中携带的指示信息指示接入设备应用所述访问控制策略。
2、 根据权利要求1所述的方法,其特征在于,所述AAA服务器处理收到的身份认证请求,根据指示信息指示所述接入 设备应用所述访问控制策略为所述AAA服务器处理收到的身份认证请求, 在所述接入终端身份认证通过后,根据所述指示信息获得对应访问控制策略的 标识,将获得的标识携带在身份认证响应消息中发送给接入设备,供所述接入 设备应用该访问控制策略。
3、 根据权利要求2所述的方法,其特征在于,所述为接入终端配置与安全检查结果相应的访问控制策略为为接入终端 配置与安全检查结果相应的虚拟局域网VLAN。
4、 根据权利要求2所述的方法,其特征在于,所述为接入终端配置与安全检查结果相应的访问控制策略为为接入终端 向接入设备下发与安全检查结果相应的访问控制列表ACL。
5、 冲艮据权利要求4所述的方法,其特征在于, 所述指示信息用于向接入设备指示下发ACL的类型;所述AAA服务器处理收到的身份认证请求,根据其中携带的指示信息获得对应ACL的标识为所述AAA服务器根据收到的ACL的类型,从所述接 入终端的安全策略中获得对应的ACL标识;其中,所述安全策略中设置有应用 于该4妻入终端的安全ACL标识和隔离ACL标识。
6、 根据权利要求4所述的方法,其特征在于, 所述指示信息为ACL标识;所述当安全策略服务器需要为接入终端向接入设备下发与安全检查结果相 应的访问控制列表ACL时,向所述"l妄入终端发送所述ACL的指示信息为安 全策略服务器需要向所述接入设备下发ACL时,根据所述接入终端的安全策略 获得对应的ACL标识,向所述接入终端发送获得的ACL标识;其中,所述安 全策略中设置有应用于该接入终端的安全ACL标识和隔离ACL标识。
7、 根据权利要求5或6所述的方法,其特征在于,所述接入终端的安全策略保存于数据库中;所述数据库为AAA服务器的 数据库、安全策略服务器的数据库或AAA服务器和安全策略服务器共享的数据库。
8、 根据权利要求4至6中任一权利要求所述的方法,其特征在于,当接入 设备上已经为所述接入终端配置了第一 ACL,安全策略服务器需要为所述接入 终端向所述接入设备下发第二 ACL时,该方法在接入终端收到所述第二 ACL 的指示信息后、向AAA服务器发送身份认证请求之前进一步包括所述接入终端向AAA服务器发送下线请求;所述AAA服务器处理收到的下线请求,并通过所述接入设备向接入终端 返回下线成功指示;所述接入设备收到下线成功指示后,取消当前自身为所述接入终端配置的 ACL
9、 根据权利要求8所述的方法,其特征在于,当接入设备上已经为所述接入终端配置了隔离ACL,所述安全策略服务器 对所述接入终端的安全检查通过后,需要为所述接入终端向所述接入设备下发 安全ACL,向所迷接入终端发送所述安全ACL的指示信息。
10、 根据权利要求9所述的方法,其特征在于,该方法进一步包括所述接入终端收到所述接入设备应用安全ACL发送的认证通过指示后,向 安全策略服务器发送安全检查请求,该检查请求中携带安全检查成功标识;所述安全策略服务器确定收到的安全检查请求中携带安全检查成功标识, 直接向所述接入终端发送安全一佥查通过报文。
11、 根据权利要求8所述的方法,其特征在于,当接入设备上已经为所述接入终端配置了安全ACL,所述安全策略服务器 对所述接入终端的安全检查不通过时,需要为所述接入终端向所述接入设备下 发隔离ACL,向所述接入终端发送所述隔离ACL的指示信息。
12、 根据权利要求11所述的方法,其特征在于,该方法进一步包括 所述接入终端收到所述接入设备应用隔离ACL发送的认证通过指示后,向安全策略服务器发送安全检查请求,该检查请求中携带安全检查失败标识;所述安全策略服务器确定收到的安全检查请求中携带安全检查失败标识, 直接向所述接入终端发送安全^r查未通过4艮文。
13、 根据权利要求2至6中任一权利要求所述的方法,其特征在于, 所述接入终端收到所述指示信息后向AAA服务器发送身份认证请求为所述接入终端通过接入设备向AAA服务器发送基于接入用户远程身份鉴明业 务RADIUS协议的身份认证请求;所述AAA服务器与所述接入设备通过RADIUS协议处理所述接入终端的 身份认证。
14、 根据权利要求13所述的方法,其特征在于,所述接入终端在身份认证请求中携带所述指示信息为在所述身份认证请 求内的用户名USER-NAME属性中携带所述指示信息。
15、 一种支持隔离模式的网络接入控制系统,该系统至少包括安全策略服 务器、接入终端和AAA服务器,其中所述安全策略服务器用于对接入终端进 行安全检查,AAA服务器用以对接入终端进行身份认证,其特征在于,所述安全策略服务器,用于需要为接入终端配置与安全检查结果相应的访问控制策略时,向所述接入终端发送所述访问控制策略的指示信息;所述接入终端,用于在收到安全策略服务器发送的指示信息后向AAA月良务器发送身份认证请求,并在该认证请求中携带所述指示信息;所述AAA服务器,用于接收接入终端发送的携带访问控制策略指示信息的身份认证请求,处理收到的身份认证请求,根据其中携带的指示信息指示接入设备应用所述访问控制策略。
16、 根据权利要求15所述的系统,其特征在于,所述AAA服务器,处理收到的身份认证请求,在所述接入终端身份认证 通过后,根据其中携带的指示信息获得对应访问控制策略的标识,将获得的标 识携带在身份认证响应消息中发送给所述接入设备,供所述接入设备应用该访 问控制策略。
17、 根据权利要求16所述的系统,其特征在于,所述安全策略服务器为接入终端配置与安全检查结果相应的访问控制策略 为为接入终端配置与安全检查结果相应的虛拟局域网VLAN。
18、 根据权利要求16所述的系统,其特征在于,所述安全策略服务器为接入终端配置与安全^r查结果相应的访问控制策略 为为接入终端向接入设备下发与安全检查结果相应的访问控制列表ACL。
19、 根据权利要求18所述的系统,其特征在于,该系统进一步包括数据库; 所述数据库,用于保存接入终端的安全策略;其中,所述安全策略中设置有应用于所述接入终端的安全ACL标识和隔离ACL标识;所述安全策略服务器,用于将下发ACL的类型作为指示信息下发给接入终端;所述AAA服务器,用于接收接入终端发送的ACL类型的指示信息;查找 所述数据库保存的安全策略,根据收到的ACL类型获得与所述接入终端对应的 ACL标识。
20、 根据权利要求18所述的系统,其特征在于,该系统进一步包括数据库; 所述数据库,用于保存接入终端的安全策略;其中,所述安全策略中设置有应用于所述接入终端的安全ACL标识和隔离ACL标识;所述安全策略服务器,用于向接入设备下发与安全检查结果相应的ACL 时,才艮据所述接入终端查找所述数据库中保存的安全策略,获得对应的ACL标 识,将所述ACL标识作为ACL指示信息发送至所述接入终端;所述AAA服务器,用于将从接入终端收到的ACL标识发送给接入设备。
21、 根据权利要求19或20所述的系统,其特征在于, 所述数据库位于AAA服务器内、安全策略服务器内或者为AAA服务器和安全策略服务器共享的数据库。
22、 根据权利要求18所述的系统,其特征在于,所述接入终端,进一步用于在自身已经配置了第一 ACL,在收到需要配置 的第二 ACL指示信息之后,向AAA服务器发送下线请求;在收到所述AAA 服务器返回的下线成功指示后,向AAA服务器发送身份认证请求;所述AAA服务器,用于处理收到的下线请求,并通过所述接入设备向接 入终端返回下线成功指示;所述接入设备收到下线成功指示后,取消当前为所述接入终端配置的 ACL。
23、 一种支持隔离模式的安全策略服务器,应用于支持接入控制的网络中, 所述网络至少还包括接入终端以及AAA服务器,其中所述安全策略服务器用 于对接入终端进行安全检查,所述AAA服务器用以对接入终端进行身份认证, 其特征在于,所述安全策略服务器包括执行单元和收发单元;所述执行单元,用于需要为接入终端配置与安全检查结果相应的访问控制 策略时,通过收发单元向所述接入终端发送所述访问控制策略的指示信息,以 驱动所述接入终端向AAA服务器发起身份认证请求,其中该身份认证请求用 以驱动AAA服务器下发该访问控制策略到所述接入设备;所述收发单元,用于处理所述执行单元的收发数据。
24、 根据权利要求23所述的安全策略服务器,其特征在于, 所述执行单元为接入终端配置与安全检查结果相应的访问控制策略为为接入终端配置与安全检查结果相应的虚拟局域网VLAN。
25、 根据权利要求23所述的安全策略服务器,其特征在于, 所述执行单元为接入终端配置与安全检查结果相应的访问控制策略为为接入终端向接入设备下发与安全检查结果相应的访问控制列表ACL。
26、 根据权利要求25所述的安全策略服务器,其特征在于, 所述执行单元,用于在指示信息为ACL标识的情况下,向接入设备下发与安全检查结果相应的ACL时,查找数据库中保存的安全策略,获得与所述接入 终端对应的ACL标识,将所述ACL标识作为ACL指示信息发送至所述接入终 端;其中,所述数据库,用于保存接入终端的安全策略,所述安全策略中设置 有应用于所述接入终端的安全ACL标识和隔离ACL标识;或者,用于在指示信息为指示下发ACL的类型的情况下,向接入设备下发 与安全检查结果相应的ACL时,通过所述收发单元向所述接入终端发送下发 ACL的类型。
27、 根据权利要求25所述的安全策略服务器,其特征在于, 所迷执行单元,用于所述接入终端已经配置了隔离ACL,在对所述接入终 端的安全检查通过后,需要为所述接入终端向接入设备下发安全ACL时,通过 所述收发单元向所述接入终端发送所述安全ACL的指示信息;其中所述ACL 的指示信息用以驱动所述接入终端向AAA服务器发起身份认证请求。
28、 根据权利要求27所述的安全策略服务器,其特征在于, 所述执行单元,进一步用于通过收发单元在收到所述接入终端发送的携带安全;f全查成功标识的安全^f全查请求后,直接通过收发单元向所述接入终端发送 安全检查通过报文。
29、 根据权利要求25所述的安全策略服务器,其特征在于, 所述执行单元,用于所述接入终端已经配置了安全ACL,在对所述接入终端的安全检查不通过,需要为所述接入终端向所述接入设备下发隔离ACL时, 通过所述收发单元向所述接入终端发送所述隔离ACL的指示信息,其中所述 ACL的指示信息用以驱动所述接入终端向AAA服务器发起身份认证请求。
30、 根据权利要求29所述的安全策略服务器,其特征在于, 所述执行单元,进一步用于通过收发单元在收到所述接入终端发送的携带安全检查失败标识的安全检查请求后,直接通过收发单元向所述接入终端发送 安全检查未通过报文。
31、 一种支持隔离模式的接入终端,应用于支持接入控制的网络中,所述 网络至少还包括安全策略服务器以及AAA服务器,其中所述安全策略服务器 用于对接入终端进行安全^f企查,所述AAA服务器用以对接入终端进行身份认 证,其特征在于,所述接入终端包括处理单元和收发单元;所述处理单元,用于通过所述收发单元接收安全策略服务器发送的访问控 制策略的指示信息;并在收到该指示信息后,通过所述收发单元向AAA服务 器发送身份认证请求,在该认证请求中携带所述指示信息,以驱动AAA服务 器下发该访问控制策略到自身连接的接入设备上;所述收发单元,用于处理所述执行单元的收发数据。
32、 根据权利要求31所述的接入终端,其特征在于, 所述处理单元接收的访问控制策略的指示信息为安全策略服务器为接入终端配置与安全^f企查结果相应的虚拟局域网VLAN的指示信息。
33、 根据权利要求31所述的接入终端,其特征在于, 所述处理单元接收的访问控制策略的指示信息为安全策略服务器为接入终端配置与安全检查结果相应的访问控制列表ACL的指示信息。
34、 根据权利要求33所述的接入终端,其特征在于, 所述处理单元,进一步用于在收到所述安全策略服务器下发的ACL指示信息后,通过所述收发单元向AAA服务器发送下线请求;并在通过所述收发单 元收到所述AAA服务器返回的下线成功指示后,向所述AAA服务器发送身份 认证请求o
35、 根据权利要求34所述的接入终端,其特征在于,所述处理单元,进一步用于在收到的ACL指示信息携带在所述安全策略服 务器发送的安全检查通过报文中时,收到身份认证通过的指示后,通过所述收发单元向安全策略服务器发送安全检查请求,该检查请求中携带安全检查成功 标识5 或者,在收到的ACL指示信息携带在所述安全策略服务器发送的安全检查未通 过报文中时,收到身份认证通过的指示后,通过所述收发单元向安全策略服务 器发送安全检查请求,该检查请求中携带安全检查失败标识。
36、 根据权利要求33、 34或35所述的接入终端,其特征在于, 所述处理单元,用于通过所述收发单元借由所述接入设备向AAA服务器发送基于RADIUS协议的身份认证请求。
37、 根据权利要求36所述的接入终端,其特征在于, 所述处理单元,用于将ACL指示信息携带在所述身份认证请求内的用户名USER-NAME属性中,发送携带ACL指示信息的身份认证请求。
38、 一种支持隔离模式的AAA服务器,应用于支持接入控制的网络中, 所述网络至少还包括安全策略服务器以及接入终端,其中所述安全策略服务器 用于对接入终端进行安全检查,所述AAA服务器用于对接入终端进行身份认 证,其特征在于,所述AAA服务器包括控制单元和收发单元;所述控制单元,用于通过所述收发单元收到接入终端发送的携带访问控制 策略指示信息的身份认证请求,根据其中携带的指示信息通过所述收发单元指 示接入设备应用所述访问控制策略;所述收发单元,用于处理所述控制单元的收发数据。
39、 根据权利要求38所述的AAA服务器,其特征在于, 所述控制单元,用于处理收到的身份认证请求,在所述接入终端身份认证通过后,根据身份认证请求中携带的指示信息获得对应访问控制策略的标识, 将获得的访问控制策略标识携带在身份认证响应消息中通过所述收发单元下发 给所述接入设备。
40、 根据权利要求39所述的AAA服务器,其特征在于, 所述控制单元收到接入终端发送的携带访问控制策略指示信息的身份认证请求为接入终端发送的携带虛拟局域网VLAN指示信息的身伤4人证请求。
41、 根据权利要求39所述的AAA服务器,其特征在于, 所述控制单元收到接入终端发送的携带访问控制策略指示信息的身份认证请求为接入终端发送的携带访问控制列表ACL指示信息的身份认证请求。
42、 根据权利要求41所述的AAA服务器,其特征在于, 所述控制单元,用于在收到ACL类型的指示信息时,查找所述数据库中保存的安全策略,根据收到的ACL类型获得与所述接入终端对应的ACL标识; 将获得的ACL标识携带在身份认证响应消息中,通过所述收发单元下发给所述 接入设备;其中,所述数据库,用于保存接入终端的安全策略,所述安全策略 中设置有应用于所述接入终端的安全ACL标识和隔离ACL标识;或者,用于在收到作为指示信息的ACL标识时,直接将收到的ACL标识 携带在身份认证响应消息中通过所述收发单元下发给所述接入设备。
43、 根据权利要求39至42中任一权利要求所述的AAA服务器,其特征 在于,所述控制单元,用于通过所述收发单元向接入设备下发基于RADIUS协议 的身份认证响应消息。
全文摘要
本发明公开了一种支持隔离模式的网络接入控制方法,在安全策略服务器需要在接入设备上为接入终端配置访问控制策略时,通过认证、授权与计费(AAA)服务器向接入设备返回该访问控制策略的标识,使接入设备能够识别并进而应用当前需要配置的访问控制策略,实现了不同设备制造商的接入设备和安全策略服务器在隔离模式下网络接入控制的协同工作。另外,本发明还公开了支持隔离模式的网络接入控制系统、安全策略服务器、接入终端及AAA服务器。
文档编号H04L9/32GK101515927SQ20091000764
公开日2009年8月26日 申请日期2009年2月16日 优先权日2008年2月26日
发明者郑雄开 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:郑雄开
  • 技术所有人:杭州华三通信技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2