專利名稱：：一種廣域網(wǎng)終端接入控制認(rèn)證方法、系統(tǒng)和終端的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及網(wǎng)絡(luò)認(rèn)證」汰術(shù)領(lǐng)域，尤指一種廣域網(wǎng)終端4妻入控制認(rèn)i正方法、系統(tǒng)和終端。
背景技術(shù)：
：終端接入控制(EAD，EndpointAccessDomination)技術(shù)是一種用于抬r測接入網(wǎng)絡(luò)的終端是否安全的網(wǎng)絡(luò)準(zhǔn)入方案，主要解決終端接入網(wǎng)絡(luò)時的"身份認(rèn)證，，和"安全檢查，，問題。EAD方案使用網(wǎng)絡(luò)設(shè)備作為終端準(zhǔn)入的EAD控制網(wǎng)關(guān)，使用擴(kuò)展的Portal協(xié)議進(jìn)行EAD認(rèn)證和安全4企查。其中，安全才企查包括但不限于4全查終端的防病毒軟件的狀態(tài)、版本，檢查終端運行的軟件，以及檢查終端的操作系統(tǒng)補丁是否符合要求。在安全檢查階段對不符合企業(yè)安全策略的終端進(jìn)行強制修復(fù)，例如，強制升級病毒庫、系統(tǒng)補丁等等。EAD方案可以部署為隔離模式、提醒模式或者下線模式，一般部署為"提醒+下線時間閥值"的模式，即身份認(rèn)證通過后智能管理中心(iMC,intelligentManagementCenter)服務(wù)器發(fā)現(xiàn)終端不符合安全策略要求，則給予終端一定時間進(jìn)行自我修復(fù)，超過這段時間終端仍然沒有自我修復(fù)就強制下線。iMC服務(wù)器是可以管理網(wǎng)絡(luò)拓樸、實現(xiàn)告警，同時以組件化的方式實現(xiàn)身份認(rèn)證和EAD安全認(rèn)證等功能的網(wǎng)絡(luò)設(shè)備。根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模和組網(wǎng)的不同，EAD控制網(wǎng)關(guān)可以部署在企業(yè)網(wǎng)絡(luò)的因特網(wǎng)(Internet)出口或者分支機(jī)構(gòu)網(wǎng)絡(luò)對應(yīng)總部的入口處，分別實現(xiàn)局域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制和廣域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制。圖1是現(xiàn)有技術(shù)中的局域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制組網(wǎng)示意圖。如圖l所示，EAD控制網(wǎng)關(guān)部署在企業(yè)局域網(wǎng)的因特網(wǎng)出口處，對于要訪問因特網(wǎng)的終端進(jìn)行安全檢查，不符合安全策略的終端會被重定向到本地的修復(fù)文件服務(wù)器。修復(fù)文件服務(wù)器上的修復(fù)文件包括但不限于系統(tǒng)補丁和病毒庫文件等。終端從安全策略服務(wù)器上下載相應(yīng)的系統(tǒng)補丁和病毒庫文件等進(jìn)行自我修復(fù)，修復(fù)完成后再進(jìn)行認(rèn)證，符合要求可以正常使用網(wǎng)絡(luò)。在上述的自我修復(fù)過程中，所有的流量，如補丁、病毒庫文件下載等，都發(fā)生在局域網(wǎng)范圍內(nèi)。局域網(wǎng)帶寬往往較高，因此沒有帶寬瓶頸的問題。集團(tuán)或大企業(yè)的網(wǎng)絡(luò)規(guī)模巨大，往往跨地域部署，網(wǎng)絡(luò)分為總部網(wǎng)絡(luò)和凄t量眾多的分支機(jī)構(gòu)網(wǎng)絡(luò)，總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)通過租用運營商的廣域網(wǎng)線3各實現(xiàn)互耳關(guān)。圖2是現(xiàn)有技術(shù)中的廣域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制組網(wǎng)示意圖。如圖2所示，iMC安全認(rèn)證服務(wù)器和修復(fù)文件服務(wù)器部署在總部網(wǎng)絡(luò)中以便于管理，EAD控制網(wǎng)關(guān)部署在分支機(jī)構(gòu)網(wǎng)絡(luò)的出口處，這樣分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端欲訪問總部網(wǎng)絡(luò)的資源時，首先經(jīng)過本地分支機(jī)構(gòu)網(wǎng)絡(luò)中的EAD控制網(wǎng)關(guān)，由該EAD控制網(wǎng)關(guān)將該終端的身份信息和終端的合規(guī)性信息上傳到總部，由總部的iMC安全認(rèn)證服務(wù)器對用戶的信息進(jìn)行檢查，如果發(fā)現(xiàn)病毒庫或補丁等不符合安全策略，則要求該終端用戶先連接到總部的修復(fù)文件服務(wù)器下載軟件，修復(fù)自己，具體流程如圖3所示。圖3是現(xiàn)有技術(shù)中的廣域網(wǎng)EAD認(rèn)證流程示意圖。如圖3所示，包括以下步驟步驟301，分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端，在進(jìn)行認(rèn)證之前即可訪問總部網(wǎng)絡(luò)中預(yù)定義的隔離區(qū)。隔離區(qū)是指總部網(wǎng)絡(luò)中的訪問不受限的邏輯資源，圖2中沒有示意出來。步驟302，當(dāng)終端訪問總部的受限資源時，預(yù)先安裝在終端上的智能客戶端(iNode)發(fā)起認(rèn)證請求。步驟303,終端在iMC安全認(rèn)證服務(wù)器上認(rèn)證成功后，通知終端所在分支機(jī)構(gòu)網(wǎng)絡(luò)中的EAD控制網(wǎng)關(guān)，所述終端上線，并下發(fā)代理IP和端口，通知終端進(jìn)行安全檢查。步驟304，終端通過iNode客戶端上傳登錄信息，請求安全檢查。步驟305，iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件下發(fā)終端的安全策略及其他控制信息。步驟306,終端的iNode客戶端軟件與第三方軟件或定制插件進(jìn)行聯(lián)動，執(zhí)行安全策略檢查及其他功能。步驟307，終端的iNode客戶端軟件對該終端進(jìn)行安全檢查，并將安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器。步驟308，，iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件將終端上報的安全檢查結(jié)果與預(yù)先設(shè)置好的安全策略進(jìn)行對比，如果終端上報的安全檢查結(jié)果符合安全策略的要求，則向終端所在分支機(jī)構(gòu)網(wǎng)絡(luò)中的EAD控制網(wǎng)關(guān)下發(fā)ACL和VLAN信息，使得終端能夠正常訪問網(wǎng)絡(luò)，本流程結(jié)束。步驟308，iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件將終端上報的安全檢查結(jié)果與預(yù)先設(shè)置好的安全策略進(jìn)行對比，如果終端上報的安全檢查結(jié)果不符合安全策略的要求，則向終端的下發(fā)對比結(jié)果。對比結(jié)果中包含終端進(jìn)行修復(fù)所需的修復(fù)文件信息，以及這些修復(fù)文件信息所在服務(wù)器的鏈接地址。步驟309,終端根據(jù)對比結(jié)果實施安全策略的處理策略，從修復(fù)文件服務(wù)器下載相應(yīng)的修復(fù)文件，進(jìn)行自我修復(fù)。其中，總部網(wǎng)絡(luò)中將修復(fù)文件服務(wù)器至于隔離區(qū)中，以便分支網(wǎng)絡(luò)中的各個終端可以直接鏈接修復(fù)文件服務(wù)器進(jìn)行自我修復(fù)。在步驟309中完成自我修復(fù)后，重新執(zhí)行步驟302以及后續(xù)步驟，iMC安全認(rèn)證服務(wù)器經(jīng)過分析，如果認(rèn)為終端不滿足安全要求，且認(rèn)證過程超過了預(yù)定時限。則通知終端上的iNode客戶端，iNode客戶端主動下線。通過上述流程可以看出，分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端需要連接總部網(wǎng)絡(luò)中隔離區(qū)中的修復(fù)文件服務(wù)器進(jìn)行自我修復(fù)，并在符合預(yù)設(shè)的安全策略后才能正常上網(wǎng)或訪問受限資源。由于操作系統(tǒng)和反病毒廠商需要經(jīng)常發(fā)布系統(tǒng)補丁和病毒特征庫，因此分支網(wǎng)絡(luò)中的終端需要經(jīng)常訪問總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器下載相關(guān)的系統(tǒng)補丁和病毒特征庫等，以修復(fù)自己。該過程會對寶貴且有限的廣域網(wǎng)帶寬造成了極大的負(fù)擔(dān)，甚至正常的業(yè)務(wù)帶寬會被占用，影響企業(yè)的正常業(yè)務(wù)通信。為了解決上述問題，現(xiàn)有技術(shù)中采用了點對點(P2P，PeertoPeer)方式進(jìn)行修復(fù)文件的下載，具體為在iMC安全認(rèn)證服務(wù)器上保存一個P2P用戶信息表，該表中記錄了哪些終端下載了哪些修復(fù)文件；當(dāng)分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端需要下載某個修復(fù)文件進(jìn)行自我修復(fù)時，iMC安全認(rèn)證服務(wù)器根據(jù)P2P用戶信息表將已經(jīng)下載了該修復(fù)文件的終端IP列表發(fā)送給需要修復(fù)的終端；需要修復(fù)的終端根據(jù)終端IP列表選擇一個對等點(peer)終端下載該修復(fù)文件，如果從終端IP列表中的各對等點均下載失敗，則通知iMC安全認(rèn)證服務(wù)器從總部的修復(fù)文件服務(wù)器進(jìn)行下載。但是，上述以P2P方式進(jìn)行修復(fù)文件下載的方案，仍存在如下缺點一、P2P是應(yīng)用層協(xié)議，其選擇對等點的標(biāo)準(zhǔn)是對等點的上行帶寬、往返延時等。事實上一個需要進(jìn)行修復(fù)的終端無法判斷終端IP列表中的各對等點是否在本分支機(jī)構(gòu)網(wǎng)絡(luò)中，其根據(jù)上行帶寬、往返延時等選擇對等點的標(biāo)準(zhǔn)可能導(dǎo)致所選擇的對等點在較遠(yuǎn)的網(wǎng)絡(luò)位置，而忽略了本地的對等點，因此仍然會對廣域網(wǎng)帶寬造成沖擊。例如，在圖2中，終端A-l需要下載系統(tǒng)補丁，iMC認(rèn)證服務(wù)器通知終端A-l在終端A-2、B-l和B-2上有該補丁，由于A-l無法才艮據(jù)IP地址判斷位置，因此可以會選擇B-1或B-2發(fā)起連接，而A-2可能因為上行帶寬或往返延時等問題被忽略。此時的文件加載會占用廣域網(wǎng)帶寬。二、需要進(jìn)行修復(fù)的終端跨廣域網(wǎng)下載修復(fù)文件，由于廣域網(wǎng)鏈路帶寬較小(2M~10M)且不穩(wěn)定，因此在下載大文件時需要較長的時間，這會造成安全iU正超時失敗。
發(fā)明內(nèi)容本發(fā)明提供了一種廣域網(wǎng)EAD認(rèn)證方法，該方法能夠節(jié)省廣域網(wǎng)帶寬，并提高下載修復(fù)文件的速度。本發(fā)明還提供了一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)，該系統(tǒng)能夠節(jié)省廣域網(wǎng)帶寬，并提高下載修復(fù)文件的速度。本發(fā)明還提供了一種終端，該終端能夠節(jié)省廣域網(wǎng)帶寬，并提高下載修復(fù)文件的速度。為達(dá)到上述目的，本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的本發(fā)明公開了一種廣域網(wǎng)EAD認(rèn)證方法，總部網(wǎng)絡(luò)中的iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名，該方法包^^舌所述iMC安全認(rèn)證服務(wù)器接收分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端上報的安全4企查結(jié)果，并在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件時，向所述終端下發(fā)點對點P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名；所述終端向本分支^U勾網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址；所述終端接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證。本發(fā)明公開了一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)，該系統(tǒng)包括屬于總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器，屬于同一分支機(jī)構(gòu)網(wǎng)絡(luò)的終端和EAD控制網(wǎng)關(guān)，所述終端通過EAD控制網(wǎng)關(guān)與iMC安全認(rèn)證服務(wù)器通信，iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名；其中，所述終端，用于將自身的安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器，接收iMC安全認(rèn)證服務(wù)器下發(fā)的點對點P2P用戶信息表；所述iMC安全認(rèn)證服務(wù)器，用于在確定終端上報的安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，終端需要下載指定修復(fù)文件后，向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端所對應(yīng)的用戶名；所述終端，用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址；用于接收EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證；所述EAD控制網(wǎng)關(guān)，用于根據(jù)終端的查詢，向終端發(fā)送本地IP地址表；所述本地IP地址表包含所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址。本發(fā)明還公開了種終端，該終端屬于分支機(jī)構(gòu)網(wǎng)絡(luò)，該終端包括EAD認(rèn)證模塊、查詢模塊和下載模塊，其中，EAD認(rèn)證模塊，用于將所述終端的安全檢查結(jié)果上報給總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器；用于接收iMC安全認(rèn)證服務(wù)器下發(fā)的點對點P2P用戶信息表，并將所述P2P用戶信息表發(fā)送給查詢模塊；其中，所述P2P用戶信息表是iMC安全認(rèn)證服務(wù)器在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件后下發(fā)的，且所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端所對應(yīng)的用戶名；所述查詢模塊，用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并將本地IP地址列表發(fā)送給下載模塊；所述下載模塊，用于根據(jù)本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，對所述終端進(jìn)行修復(fù)后，通知所述EAD認(rèn)證模塊重新進(jìn)行EAD認(rèn)證。由上述技術(shù)方案可見，本發(fā)明這種通過EAD安全檢查確定終端需要下載指定修復(fù)文件后，iMC安全認(rèn)證服務(wù)器向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名；然后終端向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，并接收EAD控制網(wǎng)關(guān)返回的本地IP地址表，才艮據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證的技術(shù)方案，使得任何一個修復(fù)文件在分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)之間的鏈路上只傳輸一次，因此大大節(jié)省的廣域網(wǎng)帶寬，并且修復(fù)文件的下載在本分支網(wǎng)絡(luò)中進(jìn)行，大大提高了下載速度。圖1是現(xiàn)有技術(shù)中的局域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制組網(wǎng)示意圖2是現(xiàn)有技術(shù)中的廣域網(wǎng)范圍的網(wǎng)絡(luò)準(zhǔn)入控制組網(wǎng)示意圖3是現(xiàn)有技術(shù)中的廣域網(wǎng)EAD認(rèn)證流程示意圖4是本發(fā)明實施例一種廣域網(wǎng)EAD認(rèn)證方法的流程圖5是本發(fā)明實施例中的廣域網(wǎng)EAD認(rèn)證的流程圖6是本發(fā)明實施例一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)的組成結(jié)構(gòu)框圖7是本發(fā)明實施例一種終端的組成結(jié)構(gòu)框圖。具體實施例方式圖4是本發(fā)明實施例一種廣域網(wǎng)EAD認(rèn)證方法的流程圖。該方法應(yīng)用于總部網(wǎng)絡(luò)中的iMC安全認(rèn)證服務(wù)器對分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端進(jìn)行EAD安全檢查的過程中，并且iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名，如圖4所示，該方法包括步驟401,iMC安全認(rèn)證服務(wù)器接收分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端上報的安全檢查結(jié)果，并在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件時，向所述終端下發(fā)點對點P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名。步驟402，所述終端向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址。本步驟中，由于EAD控制網(wǎng)關(guān)負(fù)責(zé)記錄本分支^L構(gòu)網(wǎng)絡(luò)中的每一個認(rèn)i正用戶的詳細(xì)信息，包括用戶名和IP地址，因此EAD控制網(wǎng)關(guān)能夠識別P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名，以及這些用戶名所對應(yīng)的終端IP地址，并返回相應(yīng)的本地IP地址表。步驟403，所述終端接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我》務(wù)復(fù)并重新進(jìn)行EAD認(rèn)證。本步驟中，如果本地IP地址表中包含多個本地終端的IP地址，則所述終端可以根據(jù)現(xiàn)有的P2P技術(shù)中的Peer選擇原則，從中選4奪一個或多個終端建立連接，下載指定修復(fù)文件。在圖4所示的方案中，由于將下載修復(fù)文件的P2P流量限制在分支機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部，從而極大降低了廣域網(wǎng)鏈路上的帶寬占用，并且增大了修復(fù)文件的下載速度。從圖4所述的流程可以看出，iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)l多復(fù)文件的終端所對應(yīng)的用戶名，即iMC安全認(rèn)i正服務(wù)器上需要維護(hù)對應(yīng)于各個修復(fù)文件的P2P用戶信息表。這部分內(nèi)容雖然與現(xiàn)有技術(shù)相同，但為了使本發(fā)明的技術(shù)方案更加清楚明白，這里參照圖2進(jìn)行簡要說明，分為兩個階段情況第一種階段參見圖2，企業(yè)部署了新的修復(fù)文件A,即修復(fù)文件服務(wù)器上部署了新的修復(fù)文件A，此時還沒有任何終端下載并安裝該修復(fù)文件A。終端A-2是一個沒有按照企業(yè)要求安裝修復(fù)文件A的終端。當(dāng)終端A-2欲接入網(wǎng)絡(luò)時，向iMC安全認(rèn)證服務(wù)器發(fā)起EAD身份認(rèn)證和EAD安全檢查。在EAD身份認(rèn)證通過后，進(jìn)行EAD安全檢查，終端A-2對自身進(jìn)行安全檢查，并將安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器；iMC安全認(rèn)證服務(wù)器將上報的安全檢查結(jié)果與配置的安全策略相比較，發(fā)現(xiàn)終端A-2沒有安裝修復(fù)文件A;iMC安全認(rèn)證服務(wù)器檢查與修復(fù)文件A對應(yīng)的P2P用戶信息表項哪些用戶下載了該文件，由于終端A-2是第一個申請下載修復(fù)文件A的終端，因此與全策略文件A對應(yīng)的P2P用戶信息表項中還沒有記錄相應(yīng)的用戶名，則iMC安全策略服務(wù)器將終端A-2重定向到總部的修復(fù)文件服務(wù)器，以便終端A-2下載并修復(fù)自己，同時將終端A-2的用戶名記錄到修復(fù)文件A對應(yīng)的P2P用戶信息表項中，以指明終端A-2已經(jīng)下載了修復(fù)文件A。P2P用戶信息表的一個示例如表1所示:<table>tableseeoriginaldocumentpage14</column></row><table>表1如表l所示，P2P用戶信息表中還可以包含用戶在線狀態(tài)一項，以表示下載了指定文件的終端當(dāng)前是否在線。iMC安全認(rèn)證服務(wù)器可以根據(jù)現(xiàn)有方案確定一個終端是否在線，例如可以根據(jù)認(rèn)證過程確認(rèn)一個終端是否在線。第二階段參見圖2，終端A-l未安裝修復(fù)文件A，但此時，終端A-2、B-l和B-2已安裝了修復(fù)文件A。當(dāng)終端A-l欲接入網(wǎng)絡(luò)時，向iMC安全認(rèn)證服務(wù)器發(fā)起EAD身份認(rèn)證和EAD安全檢查。在EAD身份認(rèn)證通過后，進(jìn)行EAD安全檢查，終端A-l對自身進(jìn)行安全檢查，并將安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器；iMC安全認(rèn)證服務(wù)器將上報的安全檢查結(jié)果與配置的安全策略相比較，發(fā)現(xiàn)終端A-l沒有安裝安全策略中要求的修復(fù)文件A;iMC安全認(rèn)證服務(wù)器檢查與修復(fù)文件A對應(yīng)的P2P用戶信息表項哪些用戶下載了該文件，發(fā)現(xiàn)終端A-2、B-l和B-2已安裝了修復(fù)文件A且當(dāng)前在線，但iMC安全認(rèn)證服務(wù)器不知道這些終端的物理位置，因此將包含這些終端所對應(yīng)的用戶名的P2P用戶信息表項打包發(fā)送給終端A-l。如果終端A-l下載修復(fù)文件成功，則向iMC安全認(rèn)證服務(wù)器發(fā)送一個確認(rèn)消息，iMC安全認(rèn)證服務(wù)器就會將終端A-l的IP地址也記錄到與^奮復(fù)文件A對用的P2P用戶信息表項中。即終端在成功下載修復(fù)文件后，向iMC安全認(rèn)證服務(wù)器發(fā)送確認(rèn)消息，則iMC安全認(rèn)證服務(wù)器對應(yīng)記錄發(fā)送所述確認(rèn)消息的終端的用戶名以及該終端所下載的修復(fù)文件標(biāo)識?；蛘?，在本發(fā)明的其他實施例中，iMC安全認(rèn)證"良務(wù)器在終端通過EAD認(rèn)證時，——對應(yīng)記錄安全策略要求終端安裝的所有修復(fù)文件的標(biāo)識以及該通過EADi人i正的終端的用戶名。這是因此，如果一個終端通過的EADiU正，那么該終端一定是完全下載并安裝了EAD安全策略所要求的所有修復(fù)文件，不然是不能通過EAD認(rèn)證的。通過上述兩個階段說明了iMC安全認(rèn)證服務(wù)器維護(hù)P2P用戶信息表的過程。根據(jù)本發(fā)明的方案，在上述第二階段，終端A-l接收到iMC安全認(rèn)證服務(wù)器打包發(fā)送的P2P用戶信息表后，向自身所在分支機(jī)構(gòu)網(wǎng)絡(luò)A的EAD控制構(gòu)網(wǎng)絡(luò)中。由于EAD控制網(wǎng)關(guān)A負(fù)責(zé)記錄分支機(jī)構(gòu)網(wǎng)絡(luò)A中的每一個認(rèn)證用戶的詳細(xì)信息，包括用戶名和IP地址，因此EAD控制網(wǎng)關(guān)A能夠根據(jù)IP地址區(qū)分哪些終端屬于分支機(jī)構(gòu)網(wǎng)絡(luò)A,將P2P用戶信息表中的屬于分支機(jī)構(gòu)網(wǎng)絡(luò)A的終端A-2的IP地址以本地IP地址表的形式發(fā)送給終端A-1。于是終端A-1可以根據(jù)該本地IP地址表與相應(yīng)的終端A-2建立連接，下載指定修復(fù)文件。這樣可以避免終端A-l從遠(yuǎn)處的終端B-l和B-2下載文件，增加廣域網(wǎng)帶寬的負(fù)擔(dān)。如果P2P用戶信息表中用戶名所對應(yīng)的終端均不在本地，則EAD控制網(wǎng)關(guān)將預(yù)先配置好的總部修復(fù)文件服務(wù)器的IP地址發(fā)送給終端A-1，終端A-1直接從修復(fù)文件服務(wù)器下載修復(fù)文件A。這樣可以保證分支機(jī)構(gòu)網(wǎng)絡(luò)A與總部網(wǎng)絡(luò)之間的鏈路上只有一份修復(fù)文件A傳送。為使本發(fā)明的技術(shù)方案更加清楚、明白，以下以圖2中的終端A-3為例給出按照本發(fā)明的方案時實現(xiàn)的完整的EAD認(rèn)證流程。圖5是本發(fā)明實施例中的廣域網(wǎng)EAD認(rèn)證的流程圖。如圖5所示，包括以下步驟步驟501,分支機(jī)構(gòu)網(wǎng)絡(luò)A中的終端A-3,在進(jìn)行認(rèn)證之前即可訪問總部網(wǎng)絡(luò)中預(yù)定義的隔離區(qū)。步驟502,當(dāng)終端A-3訪問總部的受限資源時，預(yù)先安裝在終端A-3上的智能客戶端(iNode)發(fā)起認(rèn)證請求。步驟503，終端A-3在iMC安全認(rèn)證服務(wù)器上認(rèn)證成功后，iMC安全認(rèn)證服務(wù)器通知終端A-3所在分支機(jī)構(gòu)網(wǎng)絡(luò)A中的EAD控制網(wǎng)關(guān)A,終端A-3上線，并下發(fā)代理IP和端口，通知終端A-3進(jìn)行安全4全查。步驟504,終端A-3通過自身的iNode客戶端上傳登錄信息，請求安全檢查。步驟505，iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件下發(fā)終端A-3的安全策略及其他控制信息。步驟506，終端A-3的iNode客戶端軟件與第三方軟件或定制插件進(jìn)行聯(lián)動，執(zhí)行安全策略檢查及其他功能。步驟507，終端A-3的iNode客戶端軟件對終端A-3進(jìn)行安全檢查，并將安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器。步驟508，，iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件將終端A-3上報的安全檢查結(jié)果與預(yù)先設(shè)置好的安全策略進(jìn)行對比，如果終端A-3上報的安全檢查結(jié)果符合安全策略的要求，則向終端A-3所在分支機(jī)構(gòu)網(wǎng)絡(luò)A中的EAD控制網(wǎng)關(guān)A下發(fā)ACL和VLAN信息，使得終端A-3能夠正常訪問網(wǎng)絡(luò)，本流程結(jié)束。上述步驟501~507、508，與圖3中的步驟301~307、308，相同。步驟508,iMC安全認(rèn)證服務(wù)器上的EAD安全策略組件將終端A-3上報的安全檢查結(jié)果與預(yù)先設(shè)置好的安全策略進(jìn)行對比，如果終端A-3上報的安全檢查結(jié)果不符合安全策略的要求，需要下載并安裝指定的修復(fù)文件，則EAD安全策略組件查詢與指定修復(fù)文件對應(yīng)的P2P用戶信息表，將已經(jīng)下載了所述指定修復(fù)文件且當(dāng)前在線的終端所對應(yīng)的用戶名列表發(fā)送給終端A-3。步驟509，終端A-3根據(jù)iMC安全認(rèn)證服務(wù)器下發(fā)的用戶名列表向EAD控制網(wǎng)關(guān)A查詢其中的哪些用戶名所對應(yīng)的終端屬于分支機(jī)構(gòu)網(wǎng)絡(luò)A。步驟510,EAD控制網(wǎng)關(guān)A將用戶名列表中的屬于分支機(jī)構(gòu)網(wǎng)絡(luò)A的各用戶名所對應(yīng)的終端IP地址發(fā)送給終端A-3。步驟511,終端A-3與EAD控制網(wǎng)關(guān)返回的IP地址對應(yīng)的終端建立連接，下載所述指定的修復(fù)文件。步驟510，，如果EAD控制網(wǎng)關(guān)A發(fā)現(xiàn)用戶名列表中的用戶名所對應(yīng)的終端均不屬于分支機(jī)構(gòu)網(wǎng)絡(luò)A,則將預(yù)先配置的總部的修復(fù)文件服務(wù)器的IP地址發(fā)送給終端A-3。步驟511'終端A-3與總部的修復(fù)文件服務(wù)器建立連接，下載所述指定的修復(fù)文件。終端A-3在步驟511或511'中下載指定修復(fù)文件，然后進(jìn)行安裝完成自我修復(fù)后，重新執(zhí)行步驟502以及后續(xù)步驟，直至修復(fù)成功。通過上述實施例可以看出，本發(fā)明的技術(shù)方案保證了任何一個修復(fù)文件在一個分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)之間的鏈路上只傳輸一次，減少了廣域網(wǎng)鏈路由于下載修復(fù)文件所占用的帶寬，保證了企業(yè)正常業(yè)務(wù)的帶寬，并且盡可能的在本分支機(jī)構(gòu)網(wǎng)絡(luò)中實現(xiàn)文件加載，較大程度上避免了文件下載超時而導(dǎo)致的EAD認(rèn)證失敗的問題?；谏鲜鰧嵤├?，下面給主本發(fā)明中的一種廣域網(wǎng)EAD認(rèn)i正系統(tǒng)和一種終端的組成結(jié)構(gòu)框圖。圖6是本發(fā)明實施例一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)的組成結(jié)構(gòu)框圖。如圖6所示，該系統(tǒng)包括'.屬于總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器，屬于同一分支機(jī)構(gòu)網(wǎng)絡(luò)的終端和EAD控制網(wǎng)關(guān)，所述終端通過EAD控制網(wǎng)關(guān)與iMC安全認(rèn)證服務(wù)器通信，iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名。在圖6中，終端用于在EAD認(rèn)證的EAD安全檢查過程中對自身進(jìn)行安全檢查，并將自身的安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器；用于接收iMC安全認(rèn)證服務(wù)器下發(fā)的點對點P2P用戶信息表；iMC安全認(rèn)證服務(wù)器，用于對比預(yù)設(shè)的安全策略和終端上報的安全檢查結(jié)果，并在確定終端的安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，終端需要下載指定修復(fù)文件后，向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端所對應(yīng)的用戶名；所述終端，用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址；用于接收EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證；EAD控制網(wǎng)關(guān)，用于根據(jù)終端的查詢，向終端發(fā)送本地IP地址表；所述本地IP地址表包含所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的纟冬端IP;也址。在圖6中，當(dāng)EAD控制網(wǎng)關(guān)發(fā)現(xiàn)所述P2P用戶信息表中不存在屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名時，EAD控制網(wǎng)關(guān)，用于向終端返回總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器的IP地址；所述修復(fù)文件服務(wù)器的IP地址預(yù)先設(shè)置于所述EAD控制網(wǎng)關(guān)中；終端用于與所述修復(fù)文件服務(wù)器建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)i正。在圖6中，iMC安全認(rèn)證服務(wù)器向終端下發(fā)的P2P用戶信息表中包含的是已經(jīng)下載了所述指定修復(fù)文件且當(dāng)前在線的各個終端所對應(yīng)的用戶名。在如圖6中，所述終端用于在成功下載修復(fù)文件后，向iMC安全認(rèn)證服務(wù)器發(fā)送確認(rèn)消息；iMC安全認(rèn)證服務(wù)器，用于對應(yīng)記錄發(fā)送所述確認(rèn)消息的終端的用戶名以及該終端所下載的'修復(fù)文件標(biāo)識?；蛘?，iMC安全認(rèn)證服務(wù)器，用于在終端通過EAD認(rèn)證時，一^"對應(yīng)記錄安全策略要求終端安裝的所有〗務(wù)復(fù)文件的標(biāo)識以及該通過EAD認(rèn)證的終端的用戶名。圖7是本發(fā)明實施例一種終端的組成結(jié)構(gòu)框圖。該終端屬于分支機(jī)構(gòu)網(wǎng)絡(luò)，如圖7所示，該終端包括EAD認(rèn)證模塊701、查詢模塊702和下載模塊703。在圖7中，EAD認(rèn)證模塊701,用于將所述終端的安全檢查結(jié)果上報給總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器；用于接收iMC安全認(rèn)證服務(wù)器下發(fā)的點對點P2P用戶信息表，并將所述P2P用戶信息表發(fā)送給查詢模塊702;其中，所述P2P用戶信息表是iMC安全認(rèn)證服務(wù)器在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件后下發(fā)的，且所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端的所對應(yīng)的用戶名；查詢模塊702,用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并將本地IP地址列表發(fā)送給下載模塊703;下載模塊703，用于根據(jù)本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，對所述終端進(jìn)行修復(fù)后，通知所述EAD認(rèn)證模塊701重新進(jìn)行EAD認(rèn)證。在圖7中，查詢模塊702，進(jìn)一步用于接收所述EAD控制網(wǎng)關(guān)返回的總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器的IP地址，并將該IP地址發(fā)送給下載模塊702;所述修復(fù)文件服務(wù)器的IP地址是EAD控制網(wǎng)關(guān)發(fā)現(xiàn)所述P2P用戶信息表中不存在屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名時返回的；下載模塊702，用于與所述修復(fù)文件服務(wù)器建立連接，下載指定修復(fù)文件，對所述終端進(jìn)行修復(fù)后，通知所述EAD認(rèn)證模塊701重新進(jìn)行EAD認(rèn)證。綜上所述，本發(fā)明這種通過EAD安全檢查確定終端需要下載指定修復(fù)文件后，iMC安全認(rèn)證服務(wù)器向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名；然后終端向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，并接收EAD控制網(wǎng)關(guān)返回的本地IP地址表，根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證的技術(shù)方案，使得任何一個修復(fù)文件在分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)之間的鏈路上只傳輸一次，因此大大節(jié)省的廣域網(wǎng)帶寬，并且修復(fù)文件的下載在本分支網(wǎng)絡(luò)中進(jìn)行，大大提高了下載速度。以上所述，僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種廣域網(wǎng)終端接入控制EAD認(rèn)證方法，其特征在于，總部網(wǎng)絡(luò)中的智能管理中心iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名，該方法包括所述iMC安全認(rèn)證服務(wù)器接收分支機(jī)構(gòu)網(wǎng)絡(luò)中的終端上報的安全檢查結(jié)果，并在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件時，向所述終端下發(fā)點對點P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名；所述終端向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址；所述終端接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證。2、如權(quán)利要求l所述的方法，其特征在于，如果所述EAD控制網(wǎng)關(guān)發(fā)現(xiàn)所迷P2P用戶信息表中不存在屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名時，該方法進(jìn)一步包括所述終端接收所述EAD控制網(wǎng)關(guān)返回的總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器的IP地址；所述修復(fù)文件服務(wù)器的IP地址預(yù)先設(shè)置于所述EAD控制網(wǎng)關(guān)中；所述終端與所述修復(fù)文件服務(wù)器建立連接，下載指定修復(fù)文件。3、如權(quán)利要求l所述的方法，其特征在于，所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各在線終端對應(yīng)的用戶名。4、如權(quán)利要求1至3中任一項所述的方法，其特征在于，所述終端在成功下載修復(fù)文件后，向iMC安全認(rèn)證服務(wù)器發(fā)送確認(rèn)消息；iMC安全認(rèn)證服務(wù)器對應(yīng)記錄發(fā)送所述確認(rèn)消息的終端的用戶名以及該終端所下載的纟務(wù)復(fù)文件標(biāo)識；或者，iMC安全認(rèn)證服務(wù)器在終端通過EAD認(rèn)證時，——對應(yīng)記錄安全策略要求終端安裝的所有修復(fù)文件的標(biāo)識以及該通過EAD認(rèn)證的終端的用戶名。5、一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)，其特征在于，該系統(tǒng)包括屬于總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器，屬于同一分支機(jī)構(gòu)網(wǎng)絡(luò)的終端和EAD控制網(wǎng)關(guān)，所述終端通過EAD控制網(wǎng)關(guān)與iMC安全認(rèn)證服務(wù)器通信，iMC安全認(rèn)證服務(wù)器上對應(yīng)記錄了各修復(fù)文件標(biāo)識以及下載了相應(yīng)修復(fù)文件的終端所對應(yīng)的用戶名；其中，所述終端，用于將自身的安全檢查結(jié)果上報給iMC安全認(rèn)證服務(wù)器，4妻收iMC安全認(rèn)證月良務(wù)器下發(fā)的點對點P2P用戶信息表；所述iMC安全認(rèn)證服務(wù)器，用于在確定終端上報的安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，終端需要下載指定修復(fù)文件后，向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端所對應(yīng)的用戶名；所述終端，用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址；用于接收EAD控制網(wǎng)關(guān)返回的本地IP地址表，并根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定〗f復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證；所述EAD控制網(wǎng)關(guān)，用于根據(jù)終端的查詢，向終端發(fā)送本地IP地址表；所述本地IP地址表包含所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址。6、如權(quán)利要求5所述的系統(tǒng)，其特征在于，當(dāng)所述EAD控制網(wǎng)關(guān)發(fā)現(xiàn)所述P2P用戶信息表中不存在屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名時，所述EAD控制網(wǎng)關(guān)，用于向終端返回總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器的IP地址；所述修復(fù)文件服務(wù)器的IP地址預(yù)先設(shè)置于所述EAD控制網(wǎng)關(guān)中；所述終端，用于與所述修復(fù)文件服務(wù)器建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證。7、如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述iMC安全認(rèn)證服務(wù)器，用于向終端下發(fā)包含已經(jīng)下載了所述指定修復(fù)文件的各在線終端對應(yīng)的用戶名的P2P用戶信息表。8、如權(quán)利要求5至7中任一項所述的系統(tǒng)，其特征在于，所述終端用于在成功下載修復(fù)文件后，向iMC安全認(rèn)證服務(wù)器發(fā)送確認(rèn)消息；iMC安全認(rèn)證服務(wù)器，用于對應(yīng)記錄發(fā)送所述確認(rèn)消息的終端的用戶名以及該終端所下載的修復(fù)文件標(biāo)識；或者，iMC安全認(rèn)證服務(wù)器，用于在終端通過EAD認(rèn)證時，——對應(yīng)記錄安全策略要求終端安裝的所有修復(fù)文件的標(biāo)識以及該通過EAD認(rèn)證的終端的用戶名。9、一種終端，該終端屬于分支機(jī)構(gòu)網(wǎng)絡(luò)，其特征在于，該終端包括EAD認(rèn)證模塊、查詢模塊和下載模塊，其中，EAD認(rèn)證模塊，用于將所述終端的安全檢查結(jié)果上報給總部網(wǎng)絡(luò)的iMC安全認(rèn)證服務(wù)器；用于接收iMC安全認(rèn)證服務(wù)器下發(fā)的點對點P2P用戶信息表，并將所述P2P用戶信息表發(fā)送給查詢模塊；其中，所述P2P用戶信息表是iMC安全認(rèn)證服務(wù)器在確定所述安全檢查結(jié)果與預(yù)設(shè)的安全策略不符，所述終端需要下載指定修復(fù)文件后下發(fā)的，且所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的各終端所對應(yīng)的用戶名；所述查詢模塊，用于向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，接收所述EAD控制網(wǎng)關(guān)返回的本地IP地址表，并將本地IP地址列表發(fā)送給下載模塊；所述下載模塊，用于根據(jù)本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，對所述終端進(jìn)行修復(fù)后，通知所述EAD認(rèn)證模塊重新進(jìn)行EAD認(rèn)證。10、如權(quán)利要求9所述的終端，其特征在于，所述查詢模塊，進(jìn)一步用于接收所述EAD控制網(wǎng)關(guān)返回的總部網(wǎng)絡(luò)中的修復(fù)文件服務(wù)器的IP地址，并將該IP地址發(fā)送給下載模塊；所述修復(fù)文件服務(wù)器的IP地址是EAD控制網(wǎng)關(guān)發(fā)現(xiàn)所述P2P用戶信息表中不存在屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名時返回的；所述下載模塊，用于與所述修復(fù)文件服務(wù)器建立連接，下載指定修復(fù)文件，對所述終端進(jìn)行修復(fù)后，通知所述EAD認(rèn)證一莫塊重新進(jìn)行EAD認(rèn)證。全文摘要本發(fā)明公開了一種廣域網(wǎng)終端接入控制EAD認(rèn)證方法，包括通過EAD安全檢查確定終端需要下載指定修復(fù)文件后，iMC安全認(rèn)證服務(wù)器向終端下發(fā)P2P用戶信息表；所述P2P用戶信息表包含已經(jīng)下載了所述指定修復(fù)文件的終端所對應(yīng)的用戶名；然后終端向本分支機(jī)構(gòu)網(wǎng)絡(luò)的EAD控制網(wǎng)關(guān)查詢所述P2P用戶信息表中的屬于本分支機(jī)構(gòu)網(wǎng)絡(luò)的用戶名所對應(yīng)的終端IP地址，并接收EAD控制網(wǎng)關(guān)返回的本地IP地址表；終端根據(jù)該本地IP地址表與相應(yīng)的終端建立連接，下載指定修復(fù)文件，進(jìn)行自我修復(fù)并重新進(jìn)行EAD認(rèn)證。本發(fā)明還公開了一種廣域網(wǎng)EAD認(rèn)證系統(tǒng)和終端。本發(fā)明的技術(shù)方案能夠節(jié)省廣域網(wǎng)帶寬，并提高下載速度。文檔編號H04L29/08GK101582891SQ20091008737公開日2009年11月18日申請日期2009年6月19日優(yōu)先權(quán)日2009年6月19日發(fā)明者浩劉申請人:杭州華三通信技術(shù)有限公司