專利名稱:終端訪問的控制方法、系統(tǒng)和設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域��,尤其涉及一種終端訪問的控制方法����、系統(tǒng)和 設備。
背景技術:
在終端接入控制領域,通常采用網(wǎng)關來實現(xiàn)認證前域和認證后域的分隔 以保護系統(tǒng)資源�。其中,認證前域是指終端認證通過前能夠訪問的區(qū)域����;該 區(qū)域通常放置認證服務器、補丁服務器�、防病毒服務器等系統(tǒng)資源,使終端 能夠訪問并通過這些服務器實現(xiàn)安全修復�����,以便能夠通過認證并訪問認證后 域中需要訪問的資源�����。認證后域是指終端認證通過后能夠訪問的區(qū)域�;該區(qū) 域通常》文置需要被保護的系統(tǒng)資源��。終端只有在被授權后���,才能訪問認證后 域的資源�。因此需要在低成本的情況下�����,實現(xiàn)認證前域和認證后域的分隔。
現(xiàn)有技術中提供了通過軟件方式實現(xiàn)接入控制的方法��,例如采用ARP (Address Resolution Protocol��,地址解析協(xié)議)#太騙的方式當用戶認i正通過 后����,則可以訪問網(wǎng)絡����;對于沒有認證通過的終端,則無法正常訪問網(wǎng)絡����。
發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術中存在以下問題
該方法只能實現(xiàn)接入控制的開關功能����,即沒有通過i人證前不能訪問網(wǎng)絡; 通過認證之后���,就能訪問網(wǎng)絡的所有資源�����。但是對于網(wǎng)絡中有多種不同的網(wǎng) 絡資源����,對于不同的網(wǎng)絡資源需要根據(jù)不同用戶的授權權限來區(qū)別是否可以 訪問時,現(xiàn)有技術中的方法無法滿足用戶的需要����。
發(fā)明內容
本發(fā)明的實施例提供一種終端訪問的控制方法、系統(tǒng)和設備�,用于對不 同終端4妄入后的訪問權限進行控制。
本發(fā)明的實施例提供一種終端訪問的控制方法����,包括接收網(wǎng)絡側服務器發(fā)送的策略配置,所述策略配置由所述網(wǎng)絡側服務器
在終端接入網(wǎng)絡時進行認證后����,根據(jù)終端身份的授權范圍生成; 根據(jù)所述策略配置修改本地設置��; 才艮據(jù)修改的本地設置對終端的訪問權限進行控制�����。 本發(fā)明的實施例還提供一種終端訪問的控制系統(tǒng),包括 至少一個終端����,所述終端上包括代理,所述代理用于接收網(wǎng)絡側服務器
發(fā)送的策略配置�,并根據(jù)接收的策略配置修改本地設置以對所述終端的訪問
權限進行控制;
服務器���,用于在所述終端接入網(wǎng)絡時進行認證,根據(jù)終端身份的授權范 圍生成策略配置�����,并向所述終端上的所述代理發(fā)送所述策略配置�����。 本發(fā)明的實施例還提供一種代理設備�,包括
接收單元,用于接收服務器發(fā)送的策略配置���,所述策略配置由網(wǎng)絡側服 務器在終端接入網(wǎng)絡時進行認證后�����,根據(jù)終端身份的授權范圍生成���; 配置單元����,用于根據(jù)所述接收單元接收的策略配置修改本地設置�; 控制單元,用于根據(jù)所述配置單元修改的本地設置��,對終端的訪問權限 進行控制��。
與現(xiàn)有技術相比����,本發(fā)明的實施例具有以下優(yōu)點
在需要對終端接入網(wǎng)絡后的訪問進行控制時,可以通過向終端上的代理 下發(fā)策略配置的方法�,使得代理根據(jù)該策略配置對終端的訪問權限進行控制。
端接入控制的要求�����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案�,下面將對實 施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地��,下 面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講, 在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖��。
圖l是本發(fā)明的實施例中終端訪問控制方法的流程圖���;圖2是本發(fā)明的實施例中通過IPSec策略進行終端訪問控制的流程圖; 圖3是本發(fā)明的實施例中終端訪問的控制系統(tǒng)的結構示意圖�; 圖4是本發(fā)明的實施例中代理的結構示意圖; 圖5是本發(fā)明的實施例中服務器的結構示意圖����。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術方案進行 清楚���、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例��,而 不是全部的實施例����?��;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍�。
本發(fā)明的實施例中提供一種終端訪問的控制方法,如圖l所示�,包括以下 步驟
步驟s101����、接收網(wǎng)絡側服務器發(fā)送的策略配置,所述策略配置由所述網(wǎng) 絡側服務器在終端接入網(wǎng)絡時進行認證后�����,根據(jù)終端身份的授權范圍生成�。 步驟sl02、根據(jù)接收的策略配置修改本地設置��。 步驟s103、 4艮據(jù)修改的本地設置對終端的訪問權限進行控制��。 具體的����,本發(fā)明實施例中對終端訪問的控制由位于終端上的代理功能實 現(xiàn)。代理根據(jù)網(wǎng)絡側服務器下發(fā)的控制規(guī)則對終端能夠訪問的區(qū)域進行控制�。 在終端與接入認證服務器的認證通過前,根據(jù)代理本地預設的缺省控制規(guī)則�����,
終端只能訪問網(wǎng)絡側服務器所在的區(qū)域�����,即認證前域���。終端與網(wǎng)絡側服務器 的認證通過后,網(wǎng)絡側服務器根據(jù)終端身份的授權范圍�����,下發(fā)相應的策略配 置給終端的代理��,在代理的控制下,終端就能夠訪問被授權的業(yè)務資源�����,即 凈皮授4又的iU正后i或����。
通過使用本發(fā)明實施例提供的終端訪問的控制方法,在需要對終端接入 網(wǎng)絡后的訪問進行控制時���,可以通過向終端上的代理下發(fā)策略配置的方法�, 使得代理根據(jù)該策略配置對終端的訪問權限進行控制����。從而實現(xiàn)了對不用終 端的認證前域和認證后域筒便靈活的劃分,滿足了多終端接入控制的要求����。
以下結合具體的應用場景,對本發(fā)明的實施方式作進一步說明�����。在對不同的終端授權不同的被訪問資源的實現(xiàn)方式上,以網(wǎng)絡側的服務 器為接入認證服務器為例�,對終端權限的控制可以采用接入認證服務器下發(fā)
IPSec (IP Security, IP安全)策略的方式實現(xiàn)。接入認證服務器通過對不同的 終端下發(fā)不同的IPSec策略����,實現(xiàn)對不同的訪問權限的控制。具體的���,當終端 通過認證后��,接入認證服務器查詢到終端的授權范圍����,獲取與該授權范圍對 應的已經(jīng)預定義的IPSec策略���,然后將該獲取到的IPSec策略下發(fā)到終端��;則終 端根據(jù)該IPSec策略�,在IP層只能訪問被授權的資源��。該實現(xiàn)的流程如圖2所示�����, 包括
步驟s201�����、終端上的代理啟動��,并使用本地的缺省IPSec策略設置��,該 設置使得終端只能訪問接入認證服務器所在的認證前域�����。
步驟s202�、用戶在終端上輸入認證信息,并提交給接入認證服務器�����。
步驟s203�、接入iU正服務器對用戶的認i正信息進行iU正,如果^人證不通 過�,則返回步驟s202,提醒用戶重新認證;如果認證通過��,則進行步驟s204�����。
步驟s204、接入認證服務器才艮據(jù)該用戶的授權狀況��,把對應的IPSec策 略配置下發(fā)給終端的代理�����。
例如����,接入認證服務器要阻止從基于Windows Server 2003或Windows XP的終端發(fā)往任何其他終端上的UDP 1434端口的任何網(wǎng)絡通信,則接入認 證服務器下發(fā)相應IPSec策略并在終端組裝成如下腳本運行即可��。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule"國f 0=*:1434:UDP -n BLOCK
步驟s205�、終端的代理根據(jù)收到的IPSec策略配置修改本地設置。
以上述步驟s204中接入認證服務器下發(fā)的IPSec策略為例����,則代理會在 終端的"本地安全設置-->IP安全策略"中將生成"Block UDP 1434 Filter" 的策略。通過該策略���,可以有效地阻止運行SQL Server 2000的計算才幾傳^番 "Slammer"蠕蟲病毒��。
步驟s206����、終端根據(jù)本地設置��,訪問被授權的資源���。
通過使用本發(fā)明實施例提供的終端訪問的控制方法�����,在需要對終端接入 網(wǎng)絡后的訪問進行控制時���,可以通過向終端上的代理下發(fā)策略配置(如IPSec策略配置)的方法,使得代理根據(jù)該策略配置對終端的訪問權限進行控制�����。 從而實現(xiàn)了對不用終端的認證前域和認證后域筒便靈活的劃分����,滿足了多終 端接入控制的要求。
本發(fā)明的實施例還提供一種終端訪問的控制系統(tǒng)����,如圖3所示����,包括
至少一個終端10�����,其中每個終端上包括代理20���。其中代理20用于接收 網(wǎng)絡側服務器發(fā)送的策略配置�,并根據(jù)接收的策略配置修改本地設置�,以對 終端10的訪問權限進行控制。終端10可以在代理20的控制下��,在其訪問權 限范圍內訪問#1保護的系統(tǒng)資源40����。
月l務器30,用于在終端IO接入網(wǎng)絡時對終端IO進行認證,根據(jù)終端10 身^f分的授權范圍生成策略配置�,并向終端10上的代理20發(fā)送所述策略配置, 用于對終端10的訪問權限進行控制����,使終端10在其訪問權限范圍內訪問被 保護的系統(tǒng)資源40。
被保護的系統(tǒng)資源40,用于將資源提供給具有訪問權限的終端IO進行訪問���。
具體的�����,上述代理20的結構如圖4所示�,進一步包括
接收單元21,用于接收服務器30發(fā)送的策略配置�,該策略配置可以為
IPSec策略配置。所述策略配置由所述服務器30在終端IO接入網(wǎng)絡時進行認
證后����,根據(jù)終端IO身份的授權范圍生成。
配置單元22,用于根據(jù)接收單元21接收的策略配置修改本地設置��。 控制單元23,用于根據(jù)配置單元22修改的本地設置��,對終端的訪問權限
進行控制����。
另外,還包括
發(fā)送單元24,用于向服務器30發(fā)送終端的認證請求���。
缺省配置單元25,用于在發(fā)送單元24向H務器30發(fā)送終端的認i正請求
前���,將本地預設的缺省控制規(guī)則提供給控制單元23�,用于對終端的訪問權限
進行控制��。
具體的�����,上述服務器30的結構如圖5所示���,進一步包括服務器接收單元31,用于接收來自終端10上代理20發(fā)送的認證請求����。 服務器策略配置生成單元32,用于在服務器接收單元31接收到認證請求
時�����,^^據(jù)終端身^f分的^受^l范圍�,生成相應的策略配置。該策略配置可以為IPSec
策略配置����。
服務器發(fā)送單元33,用于將服務器策略配置生成單元32生成的策略配置 向終端10上的代理20發(fā)送。
通過使用本發(fā)明實施例提供的終端訪問的控制系統(tǒng)和設備����,在需要對終 端接入網(wǎng)絡后的訪問進行控制時�����,可以通過向終端上的代理下發(fā)策略配置(如 IPSec策略配置)的方法�,使得代理根據(jù)該策略配置對終端的訪問權限進行控 制�。從而實現(xiàn)了對不用終端的認證前域和認證后域簡便靈活的劃分,滿足了 多終端接入控制的要求����。
程����,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于 一計算機可讀取存儲介質中��,該程序在執(zhí)行時�����,可包括如上述各方法的實施 例的流程�����。其中���,所述的存儲介質可為磁碟�、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等�。。 以上公開的僅為本發(fā)明的幾個具體實施例�����,但是����,本發(fā)明并非局限于此, 任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍�。
權利要求
1、一種終端訪問的控制方法����,其特征在于,包括接收網(wǎng)絡側服務器發(fā)送的策略配置�,所述策略配置由所述網(wǎng)絡側服務器在終端接入網(wǎng)絡時進行認證后,根據(jù)終端身份的授權范圍生成���;根據(jù)所述策略配置修改本地設置���;根據(jù)修改的本地設置對終端的訪問權限進行控制�����。
2���、 如權利要求l所述的方法,其特征在于����,所述接收網(wǎng)絡側服務器發(fā)送 的策略配置前,還包括向所述網(wǎng)絡側服務器發(fā)送認證請求���。
3、 如權利要求l所述的方法����,其特征在于,所述接收網(wǎng)絡側服務器發(fā)送 的策略配置包括接收所述網(wǎng)絡側服務器根據(jù)終端身份的授權范圍生成并發(fā)送的策略配置���。
4�、 如權利要求1或3所述的方法�,其特征在于,所述策略配置為因特網(wǎng) 安全IPSec配置。
5�����、 一種終端訪問的控制系統(tǒng)����,其特征在于,包括至少一個終端���,所述終端上包括代理�,所述代理用于接收網(wǎng)絡側服務器 發(fā)送的策略配置�����,并根據(jù)接收的策略配置修改本地設置以對所述終端的訪問 權限進行控制�;服務器,用于在所述終端接入網(wǎng)絡時進行認證���,根據(jù)終端身份的授權范 圍生成策略配置���,并向所述終端上的所述代理發(fā)送所述策略配置。
6��、 如權利要求5所述的系統(tǒng),其特征在于����,所述代理包括 接收單元,用于接收所述服務器發(fā)送的策略配置����;配置單元,用于根據(jù)所述接收單元接收的策略配置修改本地設置����; 控制單元,用于根據(jù)所述配置單元設定的本地設置�����,對終端的訪問權限 進行控制��。
7�����、 如權利要求6所述的系統(tǒng)�����,其特征在于�����,所述代理還包括 發(fā)送單元��,用于向所述服務器發(fā)送終端的認證請求�。 缺省配置單元,用于在所述發(fā)送單元向所述服務器發(fā)送終端的認證請求前���,將本地預設的缺省控制規(guī)則提供給所述控制單元�����,用于對終端的訪問權 限進行控制�。
8�����、 如權利要求5所述的系統(tǒng)��,其特征在于�����,所述服務器包括 服務器接收單元,用于接收來自所述終端上所述代理發(fā)送的認證請求�����; 服務器策略配置生成單元���,用于在所述服務器接收單元接收到認證請求時�����,根據(jù)終端身份的授權范圍��,生成相應的策略配置����;服務器發(fā)送單元��,用于將所述服務器策略配置生成單元生成的策略配置 向所述終端上的所述代理發(fā)送�����。
9�、 一種代理設備����,其特征在于��,包括接收單元�����,用于接收服務器發(fā)送的策略配置�����,所述策略配置由網(wǎng)絡側服 務器在終端接入網(wǎng)絡時進行認證后���,根據(jù)終端身份的授權范圍生成; 配置單元����,用于根據(jù)所述接收單元接收的策略配置修改本地設置; 控制單元�,用于根據(jù)所述配置單元修改的本地設置,對終端的訪問權限 進行控制����。
10、 如權利要求9所述的代理設備�,其特征在于�,還包括 發(fā)送單元��,用于向所述服務器發(fā)送終端的認證請求�����。 缺省配置單元��,用于在所述發(fā)送單元向所述服務器發(fā)送終端的認證請求前���,將本地預設的缺省控制規(guī)則提供給所述控制單元��,用于對終端的訪問權 限進行控制��。
全文摘要
本發(fā)明的實施例公開了一種終端訪問的控制方法��,系統(tǒng)和設備�。該方法包括接收網(wǎng)絡側服務器發(fā)送的策略配置�����,所述策略配置由所述網(wǎng)絡側服務器在終端接入網(wǎng)絡時進行認證后��,根據(jù)終端身份的授權范圍生成,根據(jù)所述策略配置修改本地設置����;根據(jù)修改的所述本地設置對終端的訪問權限進行控制�。通過使用本發(fā)明的實施例,在需要對終端接入網(wǎng)絡后的訪問進行控制時�,可以通過向終端上的代理下發(fā)策略配置的方法,使得代理根據(jù)該策略配置對終端的訪問權限進行控制�。從而實現(xiàn)了對不用終端的認證前域和認證后域簡便靈活的劃分,滿足了多終端接入控制的要求�。
文檔編號H04L9/32GK101309279SQ200810127680
公開日2008年11月19日 申請日期2008年7月7日 優(yōu)先權日2008年7月7日
發(fā)明者屹 張 申請人:華為技術有限公司