專利名稱:一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法及裝置���,屬于網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域�����。
背景技術(shù):
由于企業(yè)郵件的高度敏感性以及互聯(lián)網(wǎng)的高度開放性��,在使用移動(dòng)設(shè)備訪問企業(yè)郵 箱時(shí)��,如何保證安全是個(gè)非常重要的問題�����。微軟郵件服務(wù)器Microsoft Exchange Server是 目前市場(chǎng)上占有率最高的企業(yè)郵件服務(wù)器���,支持移動(dòng)設(shè)備通過微軟用于移動(dòng)設(shè)備信息同 步的協(xié)議Microsoft Activesync來同步郵件��、日歷����、聯(lián)系人等信息�����。在Exchange Server 2007 以前的版本中��,用戶只需要提供賬號(hào)和密碼就可以作為憑據(jù)獲取到郵件服務(wù)器Exchange Server上的郵件等信息�����,具有很高的信息泄漏風(fēng)險(xiǎn)����。
參見圖l,用戶設(shè)備通過Microsoft Activesync同步郵件的過程分為三個(gè)部分用戶設(shè) 備����,Exchange Server 2007前端服務(wù)器,Exchange Server 2007郵件服務(wù)器�����。用戶設(shè)備保存 用戶的帳號(hào)和密碼���,在發(fā)起同步請(qǐng)求后�,通過用戶名�、密碼和設(shè)備ID信息和Exchange Server 2007前端服務(wù)器進(jìn)行交互。Exchange Server 2007前端服務(wù)器運(yùn)行在微軟web服務(wù) 器Microsoft IIS上�,負(fù)責(zé)接收請(qǐng)求,進(jìn)行用戶名密碼驗(yàn)證����,并進(jìn)行用戶名和用戶設(shè)備ID 匹配。當(dāng)驗(yàn)證通過后�����,Exchange Server 2007前端服務(wù)器尋找該用戶數(shù)據(jù)所在的Exchange Server 2007郵箱服務(wù)器�,并轉(zhuǎn)發(fā)同步請(qǐng)求。Exchange Server 2007郵箱服務(wù)器負(fù)責(zé)讀取存 儲(chǔ)中的郵件數(shù)據(jù)�����,將數(shù)據(jù)返回給Exchange 2007前端服務(wù)器。
基于安全策略的考慮���,對(duì)于不同的用戶設(shè)備應(yīng)通過不同的前端服務(wù)器訪問郵件服務(wù) 器����,對(duì)于敏感度較高的用戶設(shè)備必須通過比傳統(tǒng)的微軟郵件服務(wù)器提供的訪問策略更安 全的策略來訪問�。例如連接某個(gè)前端服務(wù)器的用戶設(shè)備必須是處于某個(gè)安全區(qū)域內(nèi)的, 只有滿足這一要求該前端服務(wù)器才能放行處在安全區(qū)域內(nèi)的用戶設(shè)備與郵件服務(wù)器進(jìn)行 通訊��,其它不在安全區(qū)域內(nèi)的用戶設(shè)備則不能被前端郵箱服務(wù)器允許與郵件服務(wù)器進(jìn)行 通訊�����,而在Exchange Server 2007的環(huán)境下�����,對(duì)于所有訪問Microsoft Exchange Server的設(shè)備都采用相同的安全認(rèn)證策略�。
因此,在Microsoft Exchange Server的環(huán)境下����,現(xiàn)有技術(shù)存在無法分別為不同的郵件 前端服務(wù)器設(shè)置不同的安全認(rèn)證策略的問題�����。
發(fā)明內(nèi)容
本發(fā)明提供了一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法及裝置��,以解決現(xiàn)有技術(shù)中存 在的無法分別為不同的郵件前端服務(wù)器設(shè)置不同的安全認(rèn)證策略的問題,為此本發(fā)明提
供如下的技術(shù)方案
一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法��,包括 從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息����;
根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證,所述安全策略針對(duì) 不同的用戶設(shè)備分別獨(dú)立設(shè)置���;
經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息�����。 一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證裝置�,包括
信息獲取單元���,用于從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息��; 信息認(rèn)證單元��,用于根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)
證�����,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置���;
發(fā)送確認(rèn)單元��,用于經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息���。 本發(fā)明的具體實(shí)施方式
通過對(duì)不同的安全策略對(duì)相應(yīng)的所述用戶設(shè)備信息進(jìn)行認(rèn)
證,達(dá)到為不同的為不同的郵件前端服務(wù)器設(shè)置不同的安全認(rèn)證策略的目的����。
圖l是現(xiàn)有技術(shù)中移動(dòng)設(shè)備通過Microsoft Activesync同步郵件的流程示意圖; 圖2是本發(fā)明的具體實(shí)施方式
提供的一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法的流程示 意圖3是本發(fā)明的具體實(shí)施方式
提供的一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證裝置的結(jié)構(gòu)示 意圖�。
具體實(shí)施例方式
下面結(jié)合說明書附圖來說明本發(fā)明的具體實(shí)施方式
。本說明書主要以本發(fā)明在即時(shí)通信服務(wù)中的應(yīng)用作為最佳實(shí)施例���,當(dāng)然�,實(shí)際應(yīng)用中也可以用于網(wǎng)絡(luò)郵件服務(wù)系統(tǒng)��、 網(wǎng)絡(luò)協(xié)同工作服務(wù)系統(tǒng)等其它互聯(lián)網(wǎng)服務(wù)系統(tǒng)。
在本發(fā)明的具體實(shí)施方式
提供的一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法的技術(shù)方案 中���,首先從接收到的基于微軟用于移動(dòng)設(shè)備信息同步協(xié)議的請(qǐng)求訪問微軟郵件服務(wù)器的 信息中獲得用戶設(shè)備的信息����,然后根據(jù)該用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)所述用戶設(shè)備信息 進(jìn)行認(rèn)證��,且所述安全策略為針對(duì)不同用戶設(shè)備分別獨(dú)立設(shè)置�,允許發(fā)送通過認(rèn)證的用 戶設(shè)備信息對(duì)應(yīng)的請(qǐng)求訪問微軟郵件服務(wù)器的信息。
進(jìn)一步地�,相應(yīng)的用戶設(shè)備信息包括用戶名和用戶名對(duì)應(yīng)的設(shè)備標(biāo)識(shí)中的至少一 項(xiàng)�����。根據(jù)不同的安全策略對(duì)相應(yīng)的用戶設(shè)備信息進(jìn)行認(rèn)證���,并允許發(fā)送通過認(rèn)證的用戶 設(shè)備信息對(duì)應(yīng)的請(qǐng)求訪問微軟郵件服務(wù)器的信息包括判斷用戶設(shè)備信息是否與預(yù)存儲(chǔ)的 設(shè)備標(biāo)識(shí)信息相對(duì)應(yīng)��,如果是�����,則認(rèn)為用戶設(shè)備信息合法��,并允許發(fā)送相應(yīng)的請(qǐng)求訪問 微軟郵件服務(wù)器的信息����,否則,認(rèn)為用戶設(shè)備無效���,不允許發(fā)送相應(yīng)的請(qǐng)求訪問微軟郵 件服務(wù)器的信息���。在允許發(fā)送通過認(rèn)證的用戶設(shè)備的請(qǐng)求訪問微軟郵件服務(wù)器的信息后 還包括將請(qǐng)求訪問微軟郵件服務(wù)器的信息發(fā)送給微軟前端郵件服務(wù)器。
本發(fā)明的具體實(shí)施方式
提供的一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法�����,如圖2所示�����, 具體可以包括
步驟21��,從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息�。 在本實(shí)施例中,通過運(yùn)行在微軟web服務(wù)器Microsoft IIS上并具有修改和加強(qiáng)IIS功能 的組件ISPAI filter,在IIS上監(jiān)測(cè)基于Microsoft Activesync的訪問微軟郵件服務(wù)器的請(qǐng)求����, 當(dāng)ISPAI filter監(jiān)測(cè)到IIS收到訪問微軟郵件服務(wù)器的請(qǐng)求時(shí)��,從相應(yīng)的請(qǐng)求中解析出發(fā)送該 請(qǐng)求的用戶設(shè)備的用戶設(shè)備信息��,該用戶設(shè)備信息可以包括用戶名和設(shè)備標(biāo)識(shí)中的至少 一項(xiàng)內(nèi)容���,相應(yīng)的用戶信息可以為以下的內(nèi)容
POST/Microsoft-Server-ActiveSync User=hankshuang&DeviceID178326F26F4ElEFDE5 02D0A06BBB68&DeviceType=PocketPC&Cmd=FolderSync HTTP/1.1
步驟22,根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證�����,所述安全 策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置����。
ISPAI filter可以針對(duì)不同的用戶設(shè)備配置不同的安全策略,例如對(duì)于某企業(yè)郵箱���,可 以只允許預(yù)先設(shè)定的用戶設(shè)備登錄到郵件服務(wù)器,或者只允許屬于該企業(yè)固定IP段的用戶 設(shè)備登陸到郵件服務(wù)器��,其它用戶設(shè)備的請(qǐng)求登陸郵件服務(wù)器的申請(qǐng)都不會(huì)被允許放 行����,這樣ISPAI filter可以根據(jù)企業(yè)的不同要求為企業(yè)郵箱設(shè)置相應(yīng)的安全策略。
6在認(rèn)證過程中��,ISPAI filter從設(shè)備標(biāo)識(shí)數(shù)據(jù)文件中提取出用戶設(shè)備信息,并與監(jiān)測(cè)到 得用戶設(shè)備信息進(jìn)行比較�����,如果在設(shè)備標(biāo)識(shí)數(shù)據(jù)文件中找到該用戶設(shè)備的用戶名對(duì)應(yīng)的 用戶設(shè)備標(biāo)識(shí)�����,則認(rèn)為該用戶設(shè)備符合安全策略的要求�����,并允許發(fā)送相應(yīng)的請(qǐng)求訪問微 軟郵件服務(wù)器的信息���,否則��,不允許發(fā)送相應(yīng)的請(qǐng)求訪問微軟郵件服務(wù)器的信息����。
步驟23�����,經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息���。
在允許發(fā)送通過認(rèn)證的用戶設(shè)備的請(qǐng)求訪問微軟郵件服務(wù)器的信息后�,ISPAI filter將 請(qǐng)求訪問郵件服務(wù)器的信息發(fā)送給微軟前端郵件服務(wù)器,微軟前端郵件服務(wù)器在驗(yàn)證用 戶名和密碼正確后�����,連接該用戶設(shè)備的數(shù)據(jù)所在的微軟郵件服務(wù)器�。
另外,在Exchange Server 2007的體系中���,如果后端郵箱也是Exchange Server 2007��, 那么就可以通過配置該郵件服務(wù)器上的用戶郵箱屬性�����,實(shí)現(xiàn)只允許指定設(shè)備ID的用戶來 進(jìn)行訪問��。由于Exchange Server 2007不兼容低版本,例如Exchange Server 2003��,所以當(dāng) 某企業(yè)需要將Microsoft Exchange Server升級(jí)到Exchange Server 2007版本時(shí)�����,同時(shí)也需要 將所有的用戶郵箱同時(shí)升級(jí)到Exchange Server 2007版本。而本發(fā)明的具體實(shí)施方式
采用 ISPAI filter接收請(qǐng)求訪問微軟郵件服務(wù)器的信息����,而ISPAI filter還能夠連接多種版本的 Microsoft Exchange Server,包括Exchange Server 2007和Exchange Server 2003,所以采用 本發(fā)明的具體實(shí)施方式
提供的一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法后�,對(duì)于將Microsoft Exchange Server從Exchange Server 2003版本升級(jí)到Exchange Server 2007版本時(shí),就無需將 所有的用戶郵箱進(jìn)行升級(jí)了�����,具有升級(jí)過程簡(jiǎn)單����、升級(jí)成本較低的特點(diǎn)。
本發(fā)明的具體實(shí)施方式
還提供了一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證裝置��,如圖3所 示���,具體可以包括
信息獲取單元31,用于從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信
息���;
信息認(rèn)證單元32,用于根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)
證���,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置����;
發(fā)送確認(rèn)單元33,用于經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息���; 信息發(fā)送單元34��,用于將請(qǐng)求訪問微軟郵件服務(wù)器的信息發(fā)送給微軟前端郵件服務(wù)
器35���。
進(jìn)一步地,信息認(rèn)證單元32包括信息判斷單元321��,信息判斷單元321用于判斷用戶 設(shè)備信息是否與預(yù)存儲(chǔ)的設(shè)備標(biāo)識(shí)信息相對(duì)應(yīng)���,如果是���,則認(rèn)為用戶設(shè)備合法否則,認(rèn) 為用戶設(shè)備無效��。用戶設(shè)備信息包括用戶名和用戶名對(duì)應(yīng)的設(shè)備標(biāo)識(shí)中的至少一項(xiàng)�����。通過信息獲取單元31于從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信 息�����,并將用戶設(shè)備信息發(fā)送給信息認(rèn)證單元32��,信息認(rèn)證單元32根據(jù)所述用戶設(shè)備對(duì)應(yīng) 的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證�����,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè) 置��,發(fā)送確認(rèn)單元33允許信息發(fā)送單元34將請(qǐng)求訪問微軟郵件服務(wù)器的信息發(fā)送給微軟 前端郵件服務(wù)器35��。
上述裝置中包含的各單元的處理功能的具體實(shí)現(xiàn)方式在之前的方法實(shí)施例中已經(jīng)描 述�����,在此不再重復(fù)描述�����。
以上所述�,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此��, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替 換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的 保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1���、一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法,其特征在于�����,包括從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息�;根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置��;經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息����。
2、 根據(jù)權(quán)利要求l所述的方法����,其特征在于��,所述郵件服務(wù)器信息是基于移動(dòng)設(shè)備 信息同步協(xié)議的微軟郵件服務(wù)器信息��。
3、 根據(jù)權(quán)利要求l所述的方法�,其特征在于,所述用戶設(shè)備信息包括用戶名和所述 用戶名對(duì)應(yīng)的設(shè)備標(biāo)識(shí)中的至少一項(xiàng)�����。
4���、 根據(jù)權(quán)利要求1或2任意一項(xiàng)所述的方法����,其特征在于����,所述根據(jù)該用戶設(shè)備對(duì)應(yīng) 的安全策略對(duì)所述用戶設(shè)備信息進(jìn)行認(rèn)證包括-判斷所述用戶設(shè)備信息是否與預(yù)存儲(chǔ)的設(shè)備標(biāo)識(shí)信息相對(duì)應(yīng),如果是����,則認(rèn)為用戶 設(shè)備信息合法,否則���,認(rèn)為用戶設(shè)備無效���。
5��、 根據(jù)權(quán)利要求1或2任意一項(xiàng)所述的方法�,其特征在于在允許發(fā)送通過認(rèn)證的用戶 設(shè)備的請(qǐng)求訪問微軟郵件服務(wù)器的信息后還包括將所述請(qǐng)求訪問微軟郵件服務(wù)器的信息發(fā)送給微軟前端郵件服務(wù)器��。
6����、 一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證裝置,其特征在于��,包括 信息獲取單元���,用于從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息�����; 信息認(rèn)證單元���,用于根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置����;發(fā)送確認(rèn)單元����,用于經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息����。
7�����、 根據(jù)權(quán)利要求5所述的裝置��,其特征在于���,所述郵件服務(wù)器信息是基于移動(dòng)設(shè)備 信息同步協(xié)議的微軟郵件服務(wù)器信息��。
8�����、 根據(jù)權(quán)利要求5所述的裝置�����,其特征在于����,所述用戶設(shè)備信息包括用戶名和所述 用戶名對(duì)應(yīng)的設(shè)備標(biāo)識(shí)中的至少一項(xiàng)。
9�、 根據(jù)權(quán)利要求5或6任意一項(xiàng)所述的裝置,其特征在于��,所述信息認(rèn)證單元包括-信息判斷單元��,用于判斷所述用戶設(shè)備信息是否與預(yù)存儲(chǔ)的設(shè)備標(biāo)識(shí)信息相對(duì)應(yīng)�,如果是,則認(rèn)為用戶設(shè)備信息合法�����,否則���,認(rèn)為用戶設(shè)備無效�����。
10�、根據(jù)權(quán)利要求5或6任意一項(xiàng)所述的裝置���,其特征在于�,所述信息認(rèn)證單元還包括信息發(fā)送單元,用于將所述請(qǐng)求訪問微軟郵件服務(wù)器的信息發(fā)送給微軟前端郵件服 務(wù)器�����。
全文摘要
一種對(duì)訪問郵件服務(wù)器設(shè)備的認(rèn)證方法及裝置��。從接收到的請(qǐng)求訪問郵件服務(wù)器的信息中獲得用戶設(shè)備信息��;根據(jù)所述用戶設(shè)備對(duì)應(yīng)的安全策略對(duì)該用戶設(shè)備信息進(jìn)行認(rèn)證���,所述安全策略針對(duì)不同的用戶設(shè)備分別獨(dú)立設(shè)置;經(jīng)過認(rèn)證后的用戶設(shè)備允許訪問郵件服務(wù)器信息����。本發(fā)明通過對(duì)不同的安全策略對(duì)相應(yīng)的所述用戶設(shè)備信息進(jìn)行認(rèn)證,具有為不同的郵件前端服務(wù)器設(shè)置不同的安全認(rèn)證策略的功能�����。
文檔編號(hào)H04L9/32GK101600169SQ20091008500
公開日2009年12月9日 申請(qǐng)日期2009年5月20日 優(yōu)先權(quán)日2009年5月20日
發(fā)明者何水華, 張丙林, 陳益民, 識(shí) 黃 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司