息添加到LLDP报 文,并将所述LLDP报文封装到802. 11报文中,并以关联AP的基本服务集标识BSSID为目 的地址向所述AP发送所述802. 11报文。
3. 如权利要求1所述的方法,其特征在于,所述方法还包括: 所述AP将本AP的介质访问控制MAC地址和所述用户设备申请连接的时间点发送给管 理服务器;由所述管理服务器利用所述AP的MAC地址确定所述AP的位置,并利用用户设备 的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的 时间点确定所述用户设备是否进行用户角色认证;以及,由所述管理服务器利用用户设备 的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的 时间点、用户角色认证信息确定所述用户设备的安全策略。
4. 如权利要求1所述的方法,其特征在于,所述方法还包括: 所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知之前,所述 AP禁止处理来自所述用户设备的LLDP报文之外的其它报文。
5. 如权利要求1所述的方法,其特征在于,所述方法还包括: 当用户设备从其它AP漫游到本AP时,所述AP将所述用户设备的MAC地址和本AP的 MAC地址发送给管理服务器;由管理服务器利用所述用户设备的MAC地址查找当前是否存 在已经向所述用户设备下发的安全策略;如果是,则由所述管理服务器查找该安全策略中 是否包括所述AP的MAC地址; 如果包括所述AP的MAC地址,则所述AP接收来自所述管理服务器的该安全策略,并利 用该安全策略对所述用户设备进行安全管理;如果不包括所述AP的MAC地址,则所述AP接 收来自所述管理服务器的对所述用户设备进行强制下线的通知,并对所述用户设备进行强 制下线处理。
6. 如权利要求1所述的方法,其特征在于,所述方法还包括: 所述管理服务器在获知向所述用户设备下发的安全策略的生效时间段已过时,通知所 述用户设备对应的AP对所述用户设备进行强制下线,并由所述用户设备对应的AP对所述 用户设备进行强制下线处理。
7. -种接入点AP,应用于包括所述AP、用户设备和管理服务器的网络中,其特征在于, 所述AP具体包括: 接收模块,用于接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP报文中 携带所述用户设备的设备信息;所述用户设备的设备信息包括:用户设备的软件版本、用 户设备的硬件版本、用户设备的厂商信息; 发送模块,用于将所述用户设备的设备信息发送给管理服务器,由所述管理服务器利 用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;在收到来自管理 服务器的用户设备需要进行用户角色认证的通知时,将用户角色认证信息发送给管理服务 器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设 备的安全策略; 处理模块,用于在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所 述用户设备的安全策略对所述用户设备进行安全管理。
8. 如权利要求7所述的AP,其特征在于, 所述发送模块,还用于将本AP的介质访问控制MC地址和所述用户设备申请连接的时 间点发送给管理服务器;由所述管理服务器利用所述AP的MAC地址确定所述AP的位置,并 利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设 备申请连接的时间点确定所述用户设备是否进行用户角色认证;以及,由所述管理服务器 利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设 备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。
9. 如权利要求7所述的AP,其特征在于, 所述处理模块,还用于在收到来自管理服务器的用户设备需要进行用户角色认证的通 知之前,禁止处理来自用户设备的LLDP报文之外的其它报文。
10. 如权利要求7所述的AP,其特征在于, 所述发送模块,还用于当用户设备从其它AP漫游到本AP时,将用户设备的MAC地址和 本AP的MAC地址发送给管理服务器;由管理服务器利用用户设备的MAC地址查找当前是否 存在已经向用户设备下发的安全策略;如果是,则由管理服务器查找该安全策略中是否包 括所述AP的MAC地址; 所述处理模块,还用于当包括所述AP的MAC地址时,在接收到来自所述管理服务器的 该安全策略之后,利用该安全策略对所述用户设备进行安全管理;当不包括所述AP的MC 地址时,在接收来自所述管理服务器的对所述用户设备进行强制下线的通知时,对所述用 户设备进行强制下线处理。
11. 一种用户设备,应用于包括接入点AP、所述用户设备和管理服务器的网络中,其特 征在于,所述用户设备具体包括: 获取模块,用于获得本用户设备的设备信息,所述用户设备的设备信息包括:用户设备 的软件版本、用户设备的硬件版本、用户设备的厂商信息; 处理模块,用于将本用户设备的设备信息添加到链路层发现协议LLDP报文,并将所述 LLDP报文封装到802. 11报文中; 发送模块,用于以关联AP的基本服务集标识BSSID为目的地址向所述AP发送所述 802. 11报文;由所述AP将所述用户设备的设备信息发送给管理服务器,并在用户设备需要 进行用户角色认证时,由所述AP将用户角色认证信息发送给管理服务器,由所述管理服务 器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略。
12. -种管理服务器,应用于包括接入点AP、用户设备和所述管理服务器的网络中,其 特征在于,所述管理服务器具体包括: 接收模块,用于接收所述AP在收到来自所述用户设备的链路层发现协议LLDP报文后, 发送给管理服务器的用户设备的设备信息,所述LLDP报文中携带所述用户设备的设备信 息,所述用户设备的设备信息包括:用户设备的软件版本、用户设备的硬件版本、用户设备 的厂商信息;以及,在用户设备需要进行用户角色认证时,接收来自所述AP的用户角色认 证信息; 确定模块,用于在收到用户设备的设备信息后,利用用户设备的设备信息确定用户设 备是否进行用户角色认证;在收到用户角色认证信息后,利用用户设备的设备信息和用户 角色认证信息确定所述用户设备的安全策略; 发送模块,用于在用户设备需要进行用户角色认证时,向所述AP发送用户设备需要进 行用户角色认证的信息;以及,在确定所述用户设备的安全策略之后,将所述用户设备的安 全策略发送给所述AP,由所述AP利用所述用户设备的安全策略对所述用户设备进行安全 管理。
13. 如权利要求12所述的管理服务器,其特征在于, 所述接收模块,还用于接收来自所述AP的所述AP的介质访问控制MAC地址以及所述 用户设备申请连接的时间点; 所述确定模块,具体用于利用AP的MAC地址确定AP的位置,利用用户设备的软件版 本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点确 定用户设备是否进行用户角色认证;利用用户设备的软件版本、用户设备的硬件版本、用户 设备的厂商信息、AP的位置、用户设备申请连接的时间点、用户角色认证信息确定用户设备 的安全策略。
14. 如权利要求12所述的管理服务器,其特征在于, 所述接收模块,还用于当用户设备从其它AP漫游到所述AP时,接收来自所述AP的所 述用户设备的MAC地址和所述AP的MAC地址; 所述发送模块,还用于利用所述用户设备的MAC地址查找当前是否存在已经向所述用 户设备下发的安全策略;如果是,则查找该安全策略中是否包括所述AP的MAC地址;如果 包括所述AP的MAC地址,则向所述AP发送该安全策略,由所述AP利用该安全策略对所述 用户设备进行安全管理;如果不包括所述AP的MAC地址,则向所述AP发送对所述用户设备 进行强制下线的信息,由所述AP对所述用户设备进行强制下线处理。
15. 如权利要求12所述的管理服务器,其特征在于, 所述发送模块,还用于在获知向所述用户设备下发的安全策略的生效时间段已过时, 通知所述用户设备对应的AP对所述用户设备进行强制下线,并由所述用户设备对应的AP 对所述用户设备进行强制下线处理。
【专利摘要】本发明公开了一种安全策略的管理方法和设备,该方法包括:AP接收来自用户设备的LLDP报文,所述LLDP报文中携带用户设备的设备信息;AP将用户设备的设备信息发送给管理服务器,由管理服务器利用用户设备的设备信息确定用户设备是否进行用户角色认证;在用户设备需要进行用户角色认证的通知时,所述AP将用户角色认证信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略;所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所述用户设备的安全策略对所述用户设备进行安全管理。本发明实施例中,能够使用户设备尽快获取合法资源,并提高用户体验。
【IPC分类】H04L29-12, H04L29-06, H04L12-24
【公开号】CN104580116
【申请号】CN201310514171
【发明人】刘佳
【申请人】杭州华三通信技术有限公司
【公开日】2015年4月29日
【申请日】2013年10月25日
【公告号】WO2015058680A1