專(zhuān)利名稱(chēng):一種用戶安全接入控制方法及其裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域的網(wǎng)絡(luò)接入技術(shù),尤其涉及一種用戶安全接入控制方 法及其裝置和系統(tǒng)。
背景技術(shù):
隨著寬帶網(wǎng)絡(luò)的迅速發(fā)展,用戶數(shù)量不斷的增長(zhǎng),網(wǎng)絡(luò)安全隱患成為越來(lái) 越突出的一個(gè)問(wèn)題。網(wǎng)絡(luò)在傳播信息的同時(shí),也可能傳播病毒,這一點(diǎn)在企業(yè) 網(wǎng)或校園網(wǎng)中表現(xiàn)的特別明顯。如果網(wǎng)絡(luò)中存在一臺(tái)有問(wèn)題的終端,再如果網(wǎng) 絡(luò)中沒(méi)有必要的防護(hù)措施,其導(dǎo)致的后果將不可預(yù)計(jì)。
如何有效的控制網(wǎng)絡(luò)病毒的傳播,是業(yè)界目前普遍關(guān)注的問(wèn)題,每個(gè)網(wǎng)絡(luò) 管理員都希望能有 一種限制存在安全隱患的終端(如感染有病毒或易受病毒感 染的終端)接入網(wǎng)絡(luò)的方法,來(lái)保證安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。業(yè)界普遍認(rèn)為, 在離用戶越近的位置進(jìn)行控制越有效,如通過(guò)在客戶端安裝防病毒軟件,或者 在客戶端一側(cè)設(shè)置防火墻,以對(duì)有安全隱患的終端的網(wǎng)絡(luò)接入過(guò)程進(jìn)行控制。 這種依賴客戶端進(jìn)行網(wǎng)絡(luò)接入的安全控制,會(huì)由于客戶端未采取安全措施而給 網(wǎng)絡(luò)中的其他客戶端帶來(lái)安全隱患。
現(xiàn)有技術(shù)還提出了由客戶端對(duì)其所在終端進(jìn)行安全檢查,以實(shí)現(xiàn)網(wǎng)絡(luò)接入 安全控制,但將安全檢查放在客戶端終端上進(jìn)行,其安全檢查結(jié)果比較容易被 篡改,達(dá)不到安全控制用戶接入的目的。
現(xiàn)有技術(shù)還提出了使用VLAN (Virtual LAN,虛擬局域網(wǎng))跳轉(zhuǎn)的方式, 才艮據(jù)用戶的安全檢查結(jié)果接入不同的網(wǎng)絡(luò)的技術(shù)。VLAN跳轉(zhuǎn)方式需要在接入 設(shè)備上配置不同的VLAN,且要根據(jù)不同的VLAN劃分不同的IP地址段,然 后將客戶端置于不同的VLAN中。但這種方式對(duì)接入設(shè)備的依賴性較大,且操作起來(lái)比較煩瑣。
綜上所述,現(xiàn)有技術(shù)未能提供一種操作流程簡(jiǎn)單以及不依賴客戶端的用戶
安全接入控制技術(shù)。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了 一種用戶安全接入控制方法及其系統(tǒng),以簡(jiǎn)化對(duì)用戶 接入網(wǎng)絡(luò)的安全控制過(guò)程,以及減少對(duì)于客戶端的依賴。
本發(fā)明實(shí)施例提供的用戶安全接入控制方法,應(yīng)用于用戶網(wǎng)絡(luò)接入過(guò)程,
當(dāng)用戶所在客戶端通過(guò)認(rèn)證服務(wù)器的認(rèn)證并向DHCP服務(wù)器請(qǐng)求獲取IP地址 后
DHCP服務(wù)器接收所述客戶端發(fā)送的獲取IP地址的請(qǐng)求;
DHCP服務(wù)器根據(jù)所述請(qǐng)求,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址 級(jí)別,其中,所述客戶端對(duì)應(yīng)的IP地址級(jí)別是所述認(rèn)證服務(wù)器根據(jù)所述客戶 端的安全級(jí)別確定出來(lái)的;
DHCP服務(wù)器根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的 IP地址,并將分配的IP地址發(fā)送給所述客戶端。
本發(fā)明實(shí)施例提供的用戶安全接入控制系統(tǒng),包括
DHCP服務(wù)器,用于接收所述客戶端發(fā)送的獲取IP地址的請(qǐng)求;根據(jù)所述 請(qǐng)求,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址級(jí)別;以及,根據(jù)獲取到 的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP地址,并將分配的IP地址發(fā) 送給所述客戶端;
認(rèn)證服務(wù)器,用于根據(jù)所述客戶端的安全級(jí)別確定所述客戶端對(duì)應(yīng)的IP 地址級(jí)別并發(fā)送給所述DHCP服務(wù)器;以及,接收所述安全策略服務(wù)器發(fā)送的 所述客戶端的安全級(jí)別;
安全策略服務(wù)器,用于在對(duì)所述客戶端進(jìn)行安全檢查后根據(jù)檢查結(jié)果確定 所述客戶端的安全級(jí)別,或者,在所述客戶端進(jìn)行安全修復(fù)操作后根據(jù)操作結(jié)果確定所述客戶端的安全級(jí)別,并將確定出的安全級(jí)別發(fā)送給認(rèn)證服務(wù)器。
本發(fā)明的上述實(shí)施例,提供了一種DHCP服務(wù)器和認(rèn)證服務(wù)器的聯(lián)動(dòng)機(jī) 制,在DHCP服務(wù)器為客戶端分配網(wǎng)絡(luò)IP地址時(shí),與認(rèn)證服務(wù)器一起配合, 從而實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的安全控制,即,在DHCP服務(wù)器在接收到客戶端獲 取IP地址的請(qǐng)求后,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址級(jí)別,并根 據(jù)獲取到的IP地址級(jí)別,為客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP地址,以使客戶端接入 到相應(yīng)的網(wǎng)絡(luò),其中,認(rèn)證服務(wù)器提供給DHCP服務(wù)器的IP地址級(jí)別是根據(jù) 該客戶端的安全級(jí)別確定的。本發(fā)明實(shí)施例通過(guò)DHCP服務(wù)器和認(rèn)證服務(wù)器的 配合來(lái)實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)進(jìn)行安全控制,以及根據(jù)客戶端的安全級(jí)別來(lái)進(jìn)行
安全接入控制,與由客戶端進(jìn)行安全接入控制技術(shù)相比,可避免用戶通過(guò)客戶 端修改安全信息所導(dǎo)致的不安全因素,從而提高控制過(guò)程的安全性和控制結(jié)果 的可靠性;另外,DHCP服務(wù)器和認(rèn)證服務(wù)器的聯(lián)動(dòng)機(jī)制實(shí)現(xiàn)起來(lái)簡(jiǎn)單易行。 本發(fā)明實(shí)施例還提供一種DHCP服務(wù)器、認(rèn)證服務(wù)器和安全策略服務(wù)器, 為實(shí)現(xiàn)本發(fā)明對(duì)用戶接入進(jìn)行安全控制的技術(shù)方案提供了可能。 本發(fā)明實(shí)施例提供的DHCP服務(wù)器,包括 接收模塊,用于接收客戶端發(fā)送的獲取IP地址的請(qǐng)求; 獲取模塊,用于根據(jù)接收到的所述獲取IP地址的請(qǐng)求,從認(rèn)證服務(wù)器獲 取所述客戶端對(duì)應(yīng)的IP地址級(jí)別;
分配模塊,用于根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò) 的IP i也址;
發(fā)送模塊,用于將分配的IP地址發(fā)送給所述客戶端。 本發(fā)明實(shí)施例提供的認(rèn)證服務(wù)器,包括
第 一接收模塊,用于接收DHCP服務(wù)器發(fā)送的獲取客戶端所對(duì)應(yīng)的IP地 址級(jí)別的請(qǐng)求;
確定模塊,用于根據(jù)所述客戶端所對(duì)應(yīng)的信息,確定出所述客戶端的IP 地址級(jí)別;發(fā)送模塊,用于將確定出的IP地址級(jí)別發(fā)送給DHCP服務(wù)器。 本發(fā)明實(shí)施例提供的安全策略服務(wù)器,包括 第一接收模塊,用于接收客戶端發(fā)送的安全檢查請(qǐng)求; 獲取模塊,用于根據(jù)接收到的安全檢查請(qǐng)求,獲取所述客戶端對(duì)應(yīng)的安全 檢查項(xiàng);
第一發(fā)送模塊,用于將所述客戶端對(duì)應(yīng)的安全4企查項(xiàng)發(fā)送給所述客戶端;
第二接收模塊,用于接收所述客戶端根據(jù)所述安全^^查項(xiàng)收集并發(fā)送的其 收集的客戶端信息;
確定模塊,用于根據(jù)所述客戶端信息和所述客戶端對(duì)應(yīng)的安全檢查策略, 確定所述客戶端的安全級(jí)別;
第二發(fā)送模塊,用于將包含有所述客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 所述客戶端;
第三發(fā)送模塊,用于將包含有所述客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 給認(rèn)證服務(wù)器。
本發(fā)明上述實(shí)施例提供的DHCP服務(wù)器、認(rèn)證服務(wù)器和安全策略服務(wù)器, 為實(shí)現(xiàn)DHCP服務(wù)器和認(rèn)證服務(wù)器的聯(lián)動(dòng)機(jī)制提供了設(shè)備層面的支持,從而使 DHCP服務(wù)器在接收到客戶端獲取IP地址的請(qǐng)求后,從認(rèn)證服務(wù)器獲取所述客 戶端對(duì)應(yīng)的IP地址級(jí)別,并根據(jù)獲取到的IP地址級(jí)別,為客戶端分配對(duì)應(yīng)網(wǎng) 絡(luò)的IP地址,以使客戶端接入到相應(yīng)的網(wǎng)絡(luò);其中,認(rèn)證服務(wù)器提供給DHCP 服務(wù)器的IP地址級(jí)別是根據(jù)該客戶端的安全級(jí)別確定的,而客戶端的安全級(jí) 別是安全策略服務(wù)器通過(guò)客戶端發(fā)起的安全檢查流程得到的。本發(fā)明上述實(shí)施 例提供的DHCP服務(wù)器和認(rèn)證服務(wù)器結(jié)構(gòu)簡(jiǎn)單易行,彼此之間的信息交互信息 量不大,不會(huì)對(duì)網(wǎng)絡(luò)造成太大影響。
圖1為本發(fā)明實(shí)施例適用的符合802.1X標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)架構(gòu)的示意圖;圖2為本發(fā)明實(shí)施例提供的用戶安全接入控制的流程示意圖; 圖3為本發(fā)明實(shí)施例提供的用戶安全接入控制的信令流程示意圖; 圖4為本發(fā)明實(shí)施例提供的DHCP服務(wù)器的結(jié)構(gòu)示意圖; 圖5為本發(fā)明實(shí)施例提供的Radius服務(wù)器的結(jié)構(gòu)示意圖; 圖6為本發(fā)明實(shí)施例提供的安全策略服務(wù)器的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了一種802.1X環(huán)境下的用戶安全接入控制方法及其系 統(tǒng)和裝置,通過(guò)Radius (Remote Authentication Dial in User Service, 遠(yuǎn)端用戶 撥入鑒權(quán)服務(wù))服務(wù)器和DHCP ( Dynamic Host Configuration Protocol,動(dòng)態(tài)主 機(jī)配置協(xié)議)服務(wù)器的聯(lián)動(dòng),使DHCP服務(wù)器能夠根據(jù)用戶的IP地址級(jí)別為 用戶分配相應(yīng)的網(wǎng)絡(luò)IP地址(非受限網(wǎng)絡(luò)IP地址或受限網(wǎng)絡(luò)IP地址),從而 對(duì)用戶的網(wǎng)絡(luò)接入過(guò)程進(jìn)行安全控制。下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì) 描述。
參見(jiàn)圖1,為本發(fā)明實(shí)施例適用的符合802.1X標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)架構(gòu)的示意 圖,該網(wǎng)絡(luò)系統(tǒng)架構(gòu)中與本發(fā)明實(shí)施例所提供的用戶接入控制流程相關(guān)的實(shí)體 主要包括客戶端、NAS (Net Access Server,網(wǎng)絡(luò)接入服務(wù)器)、Radius服務(wù) 器、DHCP服務(wù)器、安全策略服務(wù)器。各網(wǎng)絡(luò)實(shí)體的功能主要包括
客戶端,用于發(fā)起網(wǎng)絡(luò)接入的相關(guān)請(qǐng)求,如認(rèn)證請(qǐng)求、獲取IP的地址請(qǐng) 求、安全檢查請(qǐng)求,還負(fù)責(zé)收集客戶端及其所在終端的信息??蛻舳丝勺詣?dòng)收 集所在終端的補(bǔ)丁、軟件、進(jìn)程、服務(wù)、遠(yuǎn)程桌面、共享資源、注冊(cè)表、賬號(hào) 安全、瀏覽器防代理、防病毒軟件、防火墻等信息中的一項(xiàng)或多項(xiàng)。這些信息 可包括終端上安裝的各種程序(如系統(tǒng)補(bǔ)丁程序、應(yīng)用程序、瀏覽器防代理 軟件、防病毒軟件、防火墻)的版本號(hào),終端上運(yùn)行的進(jìn)程的相關(guān)信息,終端 提供的服務(wù)類(lèi)型,終端的注冊(cè)表,終端的賬號(hào)安全信息(如安全級(jí)別);
Radius服務(wù)器,主要負(fù)責(zé)綜合管理用戶的安全接入認(rèn)證,包括接受客戶端的認(rèn)證請(qǐng)求、進(jìn)行認(rèn)證處理,以及將認(rèn)證結(jié)果下發(fā)給請(qǐng)求認(rèn)證的客戶端;
DHCP服務(wù)器,主要負(fù)責(zé)根據(jù)客戶端獲取IP地址的請(qǐng)求,為客戶端分配網(wǎng) 絡(luò)IP地址,以便客戶端4艮據(jù)該IP地址接入相應(yīng)的網(wǎng)絡(luò);
安全策略服務(wù)器,主要負(fù)責(zé)對(duì)客戶端進(jìn)行安全檢查。安全檢查包括根據(jù) 配置的安全策略下發(fā)安全#企查項(xiàng)(即需要客戶端收集的信息類(lèi)型,包括如前所 述的補(bǔ)丁、軟件、進(jìn)程、服務(wù)、遠(yuǎn)程桌面、共享資源、注冊(cè)表、賬號(hào)安全、瀏 覽器防代理、防病毒軟件、防火墻等信息中的一項(xiàng)或多項(xiàng)),根據(jù)客戶端收集 并上傳的安全檢查項(xiàng)內(nèi)容和數(shù)據(jù)庫(kù)中的配置信息確定客戶端的安全級(jí)別,以及 將安全檢查結(jié)果返回給客戶端、發(fā)送給Radius服務(wù)器、存儲(chǔ)到數(shù)據(jù)庫(kù)中相關(guān)表 中;
NAS,主要負(fù)責(zé)將客戶端的認(rèn)證請(qǐng)求發(fā)送給Radius服務(wù)器,以及將Radius 服務(wù)器的認(rèn)證結(jié)果返回給客戶端。
上述系統(tǒng)架構(gòu)中,Radius服務(wù)器和DHCP服務(wù)器采用聯(lián)動(dòng)機(jī)制。DHCP月艮 務(wù)器接收到用戶所在客戶端發(fā)起的獲取IP地址的請(qǐng)求后,自動(dòng)向Radius服務(wù) 器發(fā)起請(qǐng)求,以申請(qǐng)獲取該用戶的IP地址級(jí)別,Radius服務(wù)器根據(jù)客戶端的 安全級(jí)別返回對(duì)應(yīng)的IP地址級(jí)別給DHCP服務(wù)器,以便DHCP服務(wù)器根據(jù)IP 地址級(jí)別為客戶端分配相應(yīng)接入網(wǎng)絡(luò)(受限網(wǎng)絡(luò)或非受限網(wǎng)絡(luò))的IP地址, 從而控制該用戶接入到相應(yīng)網(wǎng)絡(luò)。
在應(yīng)用圖1所示的網(wǎng)絡(luò)系統(tǒng)架構(gòu)對(duì)用戶的網(wǎng)絡(luò)接入進(jìn)行安全控制之前,首 先需要進(jìn)行參數(shù)配置,參數(shù)配置操作可包括
配置相關(guān)安全策略并綁定到用戶;具體為DHCP服務(wù)器上配置2個(gè)客戶 組權(quán)P艮,其中一個(gè)客戶組權(quán)限對(duì)應(yīng)受限網(wǎng)絡(luò),另一個(gè)對(duì)應(yīng)非受限網(wǎng)絡(luò);在Radius 服務(wù)器上配置2個(gè)相應(yīng)的IP地址級(jí)別,分別將IP地址級(jí)別綁定到對(duì)應(yīng)的客戶 組權(quán)限上;在DHCP服務(wù)器上配置2個(gè)處于不同網(wǎng)段的IP地址池,其中一個(gè) 是受限網(wǎng)絡(luò)的IP地址池,另一個(gè)是非受限網(wǎng)絡(luò)的IP地址池,將與非受限網(wǎng)絡(luò) 對(duì)應(yīng)的客戶組權(quán)限綁定到非受限網(wǎng)絡(luò)的IP地址池,將與受限網(wǎng)絡(luò)對(duì)應(yīng)的客戶組權(quán)限綁定到受限網(wǎng)絡(luò)的IP地址池;
進(jìn)行Radius相關(guān)參數(shù)的配置,包括配置是否需要進(jìn)行安全檢查,配置安 全策略服務(wù)器的IP地址,以便使客戶端獲取安全策略服務(wù)器的地址從而發(fā)起
進(jìn)行安全策略服務(wù)器相關(guān)參數(shù)配置,包括配置Radius服務(wù)器的IP地址, 以便Radius服務(wù)器與安全策略服務(wù)器之間進(jìn)行信息交互;
進(jìn)行DHCP服務(wù)器相關(guān)參數(shù)配置,包括啟動(dòng)聯(lián)動(dòng)機(jī)制,配置Radius服 務(wù)器的IP地址,以便DHCP服務(wù)器與Radius服務(wù)器之間進(jìn)行信息交互。
在安全策略服務(wù)器上配置安全策略,包括配置安全檢查項(xiàng),以實(shí)現(xiàn)補(bǔ)丁、 軟件、進(jìn)程、服務(wù)、遠(yuǎn)程桌面、共享資源、注冊(cè)表、賬號(hào)安全、瀏覽器防代理、 防病毒軟件、防火墻等^r查策略的配置;建立安全策略時(shí)選^Oi述^r查策略中 的 一項(xiàng)或多項(xiàng);建立安全策略組時(shí)的不同操作系統(tǒng)類(lèi)型可以選擇不同的安全檢 查策略、以及用戶不安全時(shí)的IP地址級(jí)別等。
上述參數(shù)配置可通過(guò)信息配置管理系統(tǒng)(或稱(chēng)信息配置管理服務(wù)器)完成, 該信息配置系統(tǒng)優(yōu)選用WEB技術(shù)實(shí)現(xiàn)。網(wǎng)絡(luò)管理員可通過(guò)信息配置管理系統(tǒng) 方便快捷地配置、修改安全策略相關(guān)參數(shù),以及DHCP服務(wù)器的IP地址池和 客戶組權(quán)限,從而可以更好地對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。
參數(shù)配置完成后,上述網(wǎng)絡(luò)系統(tǒng)架構(gòu)中的相關(guān)實(shí)體可對(duì)請(qǐng)求網(wǎng)絡(luò)接入的用 戶進(jìn)行安全接入控制。
參見(jiàn)圖2,為本發(fā)明實(shí)施例提供的用戶安全接入控制的流程示意圖,該流 程主要包括以下步-驟
步驟201 、用戶通過(guò)所在客戶端向Radius服務(wù)器請(qǐng)求認(rèn)證,并接收Radius 服務(wù)器返回的認(rèn)證結(jié)果;
步驟202、客戶端在獲知認(rèn)證通過(guò)后,向DHCP服務(wù)器請(qǐng)求獲取網(wǎng)絡(luò)IP 地址;
步驟203、 DHCP服務(wù)器從Radius服務(wù)器獲取該用戶的IP地址級(jí)別,并為該用戶分配與該IP地址級(jí)別相對(duì)應(yīng)的網(wǎng)絡(luò)IP地址,然后將分配的網(wǎng)絡(luò)IP地
址返回給該客戶端;
步驟204、客戶端根據(jù)為其分配的IP地址接入相應(yīng)的網(wǎng)絡(luò),以進(jìn)行數(shù)據(jù)訪
問(wèn);
步驟205 、客戶端根據(jù)Radius服務(wù)器返回的認(rèn)證結(jié)果確定是否需要進(jìn)行安 全檢查,如果是,則執(zhí)行步驟206;否則,按照常規(guī)流程處理,如繼續(xù)通過(guò)當(dāng) 前連接的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)訪問(wèn);
步驟206、客戶端進(jìn)入安全檢查等待周期,當(dāng)周期到達(dá)時(shí)向安全策略服務(wù) 器發(fā)起安全檢查流程,由安全策略服務(wù)器確定該用戶的安全級(jí)別,并可進(jìn)一步 發(fā)送給Radius服務(wù)器,并通知該客戶端;
步驟207、客戶端根據(jù)安全策略服務(wù)器返回的安全級(jí)別,確定安全檢查是 否通過(guò),如果未通過(guò),則執(zhí)行步驟208;如果通過(guò),返回步驟206;
步驟208、客戶端斷開(kāi)當(dāng)前網(wǎng)絡(luò)連接。
由于安全檢查流程可周期執(zhí)行,因此可以在用戶接入網(wǎng)絡(luò)后,監(jiān)控該用戶 的安全設(shè)置或狀態(tài)的變化情況,并根據(jù)變化情況,在認(rèn)為用戶存在安全隱患時(shí) 及時(shí)采取相應(yīng)措施,以保證用戶網(wǎng)絡(luò)接入的安全。如果安全策略服務(wù)器認(rèn)為該 用戶存在安全隱患,則可提示該用戶所在客戶端采取相應(yīng)措施,如下載補(bǔ)丁程 序等。用戶可根據(jù)提示信息,通過(guò)該客戶端進(jìn)行相應(yīng)修復(fù)操作,如下載補(bǔ)丁程 序并安裝,然后通過(guò)該客戶端重新發(fā)起網(wǎng)絡(luò)接入過(guò)程,以加強(qiáng)網(wǎng)絡(luò)接入的安全 性。如果客戶端接入到了受限網(wǎng)絡(luò),可以顯示相應(yīng)的警告提示,用戶可根據(jù)該 提示進(jìn)行相應(yīng)修復(fù)操作后重新發(fā)起網(wǎng)絡(luò)接入過(guò)程,以接入非受限網(wǎng)絡(luò)。用戶修 復(fù)過(guò)程可進(jìn)行多次,從而使客戶端由不安全逐漸轉(zhuǎn)變?yōu)榘踩?,最終安全級(jí)別為 安全時(shí)才被允許接入非受限網(wǎng)絡(luò)。
下面結(jié)合圖3,對(duì)用戶接入控制過(guò)程的信令交互流程進(jìn)行詳細(xì)描述。 參見(jiàn)圖3,為本發(fā)明實(shí)施例提供的用戶安全接入控制的信令流程示意圖, 該流程主要包括步驟步驟301-302、客戶端使用用戶賬號(hào)向NAS發(fā)起認(rèn)證請(qǐng)求,NAS將該認(rèn) 證請(qǐng)求發(fā)送到Radius服務(wù)器進(jìn)行認(rèn)證處理;
步驟303-304、 Radius服務(wù)器認(rèn)證成功后,向客戶端返回認(rèn)證響應(yīng),其中 攜帶認(rèn)證結(jié)果,認(rèn)證結(jié)果可包括啟動(dòng)標(biāo)志、該賬號(hào)用戶的安全狀態(tài)、開(kāi)始事 件和頻率、安全策略服務(wù)器地址,還可以進(jìn)一步包括是否啟動(dòng)安全檢查的指示;
步驟305、客戶端向DHCP服務(wù)器發(fā)起請(qǐng)求以獲取IP地址;
步驟306-307、 DHCP服務(wù)器通過(guò)與Radius服務(wù)器的聯(lián)動(dòng)機(jī)制,從Radius 服務(wù)器獲取該賬號(hào)用戶的IP地址級(jí)別;
該聯(lián)動(dòng)過(guò)程中,DHCP服務(wù)器接收到該賬號(hào)用戶獲取IP地址的請(qǐng)求后,向 Radius服務(wù)器發(fā)送查詢?cè)撡~號(hào)用戶IP地址級(jí)別的請(qǐng)求,其中攜帶該賬號(hào)用戶 的賬號(hào)或標(biāo)識(shí)等信息;Radius服務(wù)器根據(jù)賬號(hào)或標(biāo)識(shí)等信息查找到該賬號(hào)用戶 的信息,并根據(jù)查找到的信息確定出該用戶的安全級(jí)別,然后根據(jù)該用戶的安 全級(jí)別確定出對(duì)應(yīng)的IP地址級(jí)別,并將確定出的IP地址級(jí)別通過(guò)響應(yīng)消息返 回給DHCP服務(wù)器。其中,確定安全級(jí)別所依據(jù)的信息可以是該賬號(hào)用戶上一 次安全檢查結(jié)果,如果該賬號(hào)用戶上一次安全4企查結(jié)果為安全,則返回非受限 網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;如果該賬號(hào)用戶上一次安全檢查結(jié)果為不安全,則 返回受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別。確定安全級(jí)別所依據(jù)的信息并不局限與此, 還可以根據(jù)該用戶的其他信息確定,如用戶等級(jí)等確定。
步驟308、 DHCP服務(wù)器根據(jù)Radius服務(wù)器返回的該賬號(hào)用戶的IP地址 級(jí)別,為該賬號(hào)用戶分配對(duì)應(yīng)的網(wǎng)絡(luò)IP地址,并通過(guò)相應(yīng)的響應(yīng)消息發(fā)送給 客戶端;
該地址分配過(guò)程中,如果返回的IP地址級(jí)別與非受限網(wǎng)絡(luò)IP地址池綁定, 則從非受限網(wǎng)絡(luò)IP地址池中選擇IP地址進(jìn)行分配;如果返回的IP地址級(jí)別與 受限網(wǎng)絡(luò)IP地址池綁定,則從受限網(wǎng)絡(luò)IP地址池中現(xiàn)在IP地址進(jìn)行分配。
步驟309、客戶端根據(jù)接收到的IP地址接入到相應(yīng)的網(wǎng)絡(luò)。如果該IP地 址是非受限網(wǎng)絡(luò)地址,則接入非受限網(wǎng)絡(luò);如果該IP地址是受限網(wǎng)絡(luò)地址,則接入受限網(wǎng)絡(luò)。
該步驟中,如果客戶端接入的是受限網(wǎng)絡(luò),則客戶端可通過(guò)所在終端給出 相應(yīng)提示,以提示用戶進(jìn)行安全修復(fù),如,使客戶端所在終端彈出對(duì)話框提示 用戶當(dāng)前處于受限網(wǎng)絡(luò)。用戶可以根據(jù)提示進(jìn)行操作,如下載補(bǔ)丁程序或防毒 軟件等。當(dāng)用戶根據(jù)提示信息進(jìn)行下載、安裝補(bǔ)丁程序或其他有關(guān)安全的修復(fù) 更新操作后,可重新按照上述流程進(jìn)行網(wǎng)絡(luò)接入,以接入非受限網(wǎng)絡(luò)。
客戶端接入網(wǎng)絡(luò)后,如果需要進(jìn)行安全檢查(在Radius服務(wù)器返回的認(rèn)證 結(jié)果中攜帶有啟動(dòng)安全檢查的指示的情況下),則還要向安全策略服務(wù)器發(fā)起
安全^^查流程。
圖3所示流程中的步驟310-317描述了安全4企查的信令交互流程,該流程 主要包括以下步驟
步驟310、客戶端向安全策略服務(wù)器發(fā)起安全^r查請(qǐng)求;
步驟311、安全策略服務(wù)器將AAA (Authentication, Authorization and Accounting,驗(yàn)證、授權(quán)和賬戶)數(shù)據(jù)庫(kù)中保存的該賬號(hào)用戶所對(duì)應(yīng)的安全檢 查項(xiàng)通過(guò)響應(yīng)消息返回給客戶端;
步驟312、客戶端根據(jù)返回的檢查項(xiàng),收集對(duì)應(yīng)的信息(如前所述的終端 的補(bǔ)丁、軟件、進(jìn)程、服務(wù)、遠(yuǎn)程桌面、共享資源、注冊(cè)表、賬號(hào)安全、瀏覽 器防代理、防病毒軟件、防火墻等信息中的一項(xiàng)或多項(xiàng)),并將收集到的信息 發(fā)送給安全策略服務(wù)器;
步驟313、安全策略服務(wù)器將收到的客戶端信息與AAA數(shù)據(jù)庫(kù)中保存的 該賬號(hào)用戶所對(duì)應(yīng)安全策略信息進(jìn)行安全檢查,以確定客戶端是否安全。確定 客戶端是否安全的依據(jù)可包括該賬號(hào)用戶的安全狀態(tài)是否改變,該賬號(hào)用戶 對(duì)應(yīng)的客戶端所收集的信息中是否存在不安全信息等,相應(yīng)的,安全策略給出 了根據(jù)這些情況確定客戶端是否安全的判決方法,從而可根據(jù)這些依據(jù)和安全 策略確定客戶端是否安全,并以此確定出安全級(jí)別(如,收集的信息中包含有 不安全信息時(shí)確定客戶端不安全)。安全策略服務(wù)器可進(jìn)一步將該賬號(hào)用戶的用戶名、MAC (MediaAccess Control, i某體接入控制)地址、檢查時(shí)間、檢查 結(jié)果等相關(guān)信息保存到數(shù)據(jù)庫(kù)相關(guān)表中,以作為下次進(jìn)行安全檢查、確定客戶 端是否安全的參考數(shù)據(jù);
步驟314、安全策略服務(wù)器將該賬號(hào)用戶的安全級(jí)別發(fā)送給Radius服務(wù)器;
步驟315、 Radius服務(wù)器確認(rèn)接收到用戶的安全級(jí)別;
步驟316、安全策略服務(wù)器將安全檢查結(jié)果發(fā)送給客戶端,安全檢查結(jié)果 可包括該賬號(hào)用戶的安全級(jí)別,還可包括該賬號(hào)用戶的安全狀態(tài)是否改變、各 個(gè)檢查項(xiàng)中存在的不安全信息等;
步驟317、客戶端根據(jù)安全策略服務(wù)器發(fā)送的信息進(jìn)行對(duì)應(yīng)操作,包括 如果安全級(jí)別表明客戶端安全(如安全狀態(tài)沒(méi)有發(fā)生改變),則保持網(wǎng)絡(luò)連接; 如果安全級(jí)別表明客戶端不安全(如該賬號(hào)用戶的安全狀態(tài)發(fā)生改變),則客 戶端提示警告信息(如"安全檢查失敗")或/和自動(dòng)斷開(kāi)當(dāng)前網(wǎng)絡(luò)連接。
如果客戶端的安全檢查結(jié)果表明客戶端不安全,網(wǎng)絡(luò)連接斷開(kāi)后用戶再次 通過(guò)客戶端進(jìn)行認(rèn)證后獲取受限網(wǎng)絡(luò)IP地址并接入受限網(wǎng)絡(luò),在受限網(wǎng)絡(luò)允 許該客戶端進(jìn)行安全修復(fù)操作以及重新發(fā)起安全檢查請(qǐng)求,通過(guò)該客戶端發(fā)起 的安全檢查流程將安全修復(fù)操作后的安全信息發(fā)送給安全策略服務(wù)器,安全策 略服務(wù)器根據(jù)安全修復(fù)結(jié)果更新安全策略服務(wù)器數(shù)據(jù)庫(kù)中該客戶端的安全信 息(如安全級(jí)別),并由安全策略服務(wù)器將更新后的安全信息發(fā)送給Radius服 務(wù)器。當(dāng)然不排除客戶端在執(zhí)行安全修復(fù)操作后,直接將該安全修復(fù)操作后的 客戶端信息發(fā)送給安全策略服務(wù)器,而不是通過(guò)發(fā)起安全檢查流程來(lái)上報(bào)安全 修復(fù)操作后的客戶端信息。該客戶端進(jìn)行安全修復(fù)操作后再次使用該用戶賬號(hào) 進(jìn)行認(rèn)證、獲取網(wǎng)絡(luò)IP地址等一系列操作以接入網(wǎng)絡(luò)(網(wǎng)絡(luò)接入流程如上所 述)。在網(wǎng)絡(luò)接入過(guò)程中,如果該賬號(hào)用戶前一次的安全檢查(或安全修復(fù)操 作結(jié)果)得出的安全級(jí)別為安全,則將該客戶端連接到非受限網(wǎng)絡(luò);如果該賬 號(hào)用戶前一次安全4全查(或安全修復(fù)操作結(jié)果)得出的安全級(jí)別為警告,則將 該客戶端連接到非受限網(wǎng)絡(luò),但客戶端所在終端界面上會(huì)出現(xiàn)安全警告提示(如在終端的系統(tǒng)桌面右下腳會(huì)彈出氣泡提示用戶終端存在一些處于警告狀
態(tài)的不安全信息項(xiàng),可能會(huì)對(duì)終端產(chǎn)生一定的影響);如果該賬號(hào)用戶前一次 的安全^^查(或安全^^復(fù)l喿作結(jié)果)得出的安全級(jí)別為隔離,則將該客戶端連 接到受限網(wǎng)絡(luò),還可進(jìn)一步4吏客戶端所在終端彈出對(duì)話框^^是示用戶存在一些處 于隔離狀態(tài)的不安全信息項(xiàng),用戶可以根據(jù)提示進(jìn)行操作,如下載補(bǔ)丁程序或 防毒軟件等。當(dāng)用戶根據(jù)提示信息進(jìn)行下載、安裝補(bǔ)丁程序或其他有關(guān)安全的 修復(fù)更新操作后,可通過(guò)所在客戶端重新發(fā)起網(wǎng)絡(luò)接入流程,以接入非受限網(wǎng) 絡(luò)。
基于相同的技術(shù)構(gòu)思,本發(fā)明實(shí)施例還提供了一種DHCP服務(wù)器、Radius 認(rèn)證服務(wù)器和安全策略服務(wù)器。
參見(jiàn)圖4,為本發(fā)明實(shí)施例提供的DHCP服務(wù)器的結(jié)構(gòu)示意圖。該DHCP 服務(wù)器的主要功能如前所述,下面對(duì)其功能結(jié)構(gòu)進(jìn)行簡(jiǎn)要說(shuō)明。該DHCP服務(wù) 器包括接收模塊41、獲取模塊42、分配模塊43和發(fā)送模塊44,其中
接收模塊41,用于接收客戶端發(fā)送的獲取IP地址的請(qǐng)求;
獲取模塊42,用于根據(jù)接收到的獲取IP地址的請(qǐng)求,從Radius服務(wù)器獲 取該客戶端對(duì)應(yīng)的IP地址級(jí)別;
分配模塊43 ,用于根據(jù)獲取到的IP地址級(jí)別,為該客戶端分配對(duì)應(yīng)網(wǎng)絡(luò) 的IP地址;其中,IP地址級(jí)別包括與受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別和與非受限 網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別,如果獲取模塊42獲取到的IP地址級(jí)別與非受限網(wǎng)絡(luò) 對(duì)應(yīng),則為該客戶端分配非受限網(wǎng)絡(luò)的IP地址;如果獲取模塊42獲取到的IP 地址級(jí)別與受限網(wǎng)絡(luò)對(duì)應(yīng),則為該客戶端分配受限網(wǎng)絡(luò)的IP地址;
發(fā)送模塊44,用于將分配的IP地址發(fā)送給該客戶端,以便該客戶端接入 到與該IP地址對(duì)應(yīng)的網(wǎng)絡(luò)。
參見(jiàn)圖5,為本發(fā)明實(shí)施例提供的Radius服務(wù)器的結(jié)構(gòu)示意圖。該Radius 服務(wù)器的主要功能如前所述,下面對(duì)其功能結(jié)構(gòu)進(jìn)行簡(jiǎn)要說(shuō)明。該Radius服務(wù) 器包括第一接收模塊51、確定模塊52、發(fā)送模塊53,其中第一接收模塊51,用于接收DHCP服務(wù)器發(fā)送的獲取客戶端所對(duì)應(yīng)的IP 地址級(jí)別的請(qǐng)求;
確定模塊52,用于根據(jù)該客戶端所對(duì)應(yīng)的信息,確定出該客戶端的IP地 址級(jí)別;其中,若最近一次記錄的該客戶端的安全級(jí)別表示該客戶端安全,則 確定模塊52確定出與非受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;若最近一次記錄的該客 戶端的安全級(jí)別表示該客戶端不安全,則確定沖莫塊52確定出與受限網(wǎng)絡(luò)對(duì)應(yīng) 的IP地址級(jí)別;
發(fā)送模塊53,用于將確定出的IP地址級(jí)別發(fā)送給DHCP服務(wù)器。 該Radius服務(wù)器還可包括第二接收模塊54。該模塊用于接收并記錄安 全策略服務(wù)器對(duì)客戶端進(jìn)行安全檢查后根據(jù)檢查結(jié)果發(fā)送的該客戶端的安全 級(jí)別,或者接收并記錄安全策略服務(wù)器根據(jù)客戶端的安全修復(fù)操作結(jié)果發(fā)送的 該客戶端的安全級(jí)別,以便作為確定模塊52確定客戶端IP地址級(jí)別的依據(jù)。
參見(jiàn)圖6,為本發(fā)明實(shí)施例提供的安全策略服務(wù)器的結(jié)構(gòu)示意圖。該安全 策略服務(wù)器的主要功能如前所述,下面對(duì)其功能結(jié)構(gòu)進(jìn)行簡(jiǎn)要說(shuō)明。該安全策 略服務(wù)器包括第一接收模塊61、獲取模塊62、第一發(fā)送模塊63、第二接收模 塊64、確定模塊65、第二發(fā)送模塊66、第三發(fā)送模塊67,其中 第一接收模塊61 ,用于接收客戶端發(fā)送的安全檢查請(qǐng)求; 獲取模塊62,用于根據(jù)接收到的安全檢查請(qǐng)求,獲取該客戶端對(duì)應(yīng)的安全 檢查項(xiàng);
第 一發(fā)送模塊63 ,用于將該客戶端對(duì)應(yīng)的安全檢查項(xiàng)發(fā)送給該客戶端; 第二接收模塊64,用于接收該客戶端根據(jù)安全檢查項(xiàng)收集并發(fā)送的客戶端 信息;
確定模塊65,用于根據(jù)接收到的客戶端信息和數(shù)據(jù)庫(kù)中保存的該客戶端對(duì) 應(yīng)的安全檢查策略,確定該客戶端的安全級(jí)別;
第二發(fā)送模塊66,用于將包含有該客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 該客戶端;第三發(fā)送模塊67,用于將包含有該客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 給認(rèn)證服務(wù)器。
綜上所述,本發(fā)明的上述實(shí)施例,通過(guò)綜合利用AAA系統(tǒng)數(shù)據(jù)庫(kù)、Radius 服務(wù)器和DHCP服務(wù)器的聯(lián)動(dòng)功能、安全策略服務(wù)器安全策略檢查功能、WEB 管理系統(tǒng)的安全策略配置以及綁定到用戶功能和客戶端的信息收集功能,從而 判斷終端的安全性,將安全的用戶接入非受限網(wǎng)絡(luò)正常享受暢游網(wǎng)絡(luò)的樂(lè)趣, 將不安全的用戶接入受限網(wǎng)絡(luò)進(jìn)行相關(guān)修復(fù),從而保證了整個(gè)網(wǎng)絡(luò)的安全、穩(wěn) 定。通過(guò)上述一系列操作后,可以有效的保證接入網(wǎng)絡(luò)的客戶端都是較為安全 的、不存在安全隱患的客戶端,從而最大程度的保證了網(wǎng)絡(luò)的健康性,對(duì)每位 接入網(wǎng)絡(luò)的客戶端的安全負(fù)責(zé)。并且,本發(fā)明實(shí)施例采用專(zhuān)門(mén)的安全策略服務(wù) 器進(jìn)行安全檢查,檢查結(jié)果更真實(shí),且對(duì)硬件設(shè)備無(wú)特殊要求。
明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1、一種用戶安全接入控制方法,其特征在于,應(yīng)用于用戶網(wǎng)絡(luò)接入過(guò)程,當(dāng)用戶所在客戶端通過(guò)認(rèn)證服務(wù)器的認(rèn)證并向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器請(qǐng)求獲取IP地址后DHCP服務(wù)器接收所述客戶端發(fā)送的獲取IP地址的請(qǐng)求;DHCP服務(wù)器根據(jù)所述請(qǐng)求,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址級(jí)別,其中,所述客戶端對(duì)應(yīng)的IP地址級(jí)別是所述認(rèn)證服務(wù)器根據(jù)所述客戶端的安全級(jí)別確定出來(lái)的;DHCP服務(wù)器根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP地址,并將分配的IP地址發(fā)送給所述客戶端。
2、 如權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證服務(wù)器根據(jù)其最近 一次記錄的所述客戶端的安全級(jí)別,確定所述客戶端對(duì)應(yīng)的IP地址級(jí)別。
3、 如權(quán)利要求1或2所述的方法,其特征在于,所述IP地址級(jí)別,包括 與非受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別、與受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;認(rèn)證服務(wù)器根據(jù)所述客戶端的安全級(jí)別,確定所述客戶端對(duì)應(yīng)的IP地址 級(jí)別,包括若所述客戶端的安全級(jí)別表示所述客戶端安全,則認(rèn)證服務(wù)器為 所述客戶端確定出與非受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;若所述客戶端的安全級(jí) 別表示所述客戶端不安全,則認(rèn)證服務(wù)器為所述客戶端確定出與受限網(wǎng)絡(luò)對(duì)應(yīng) 的IP地址級(jí)別。
4、 如權(quán)利要求1或2所述的方法,其特征在于,所述客戶端的安全級(jí)別 是從安全策略服務(wù)器接收到并記錄的;其中,所述安全策略服務(wù)器根據(jù)所述客戶端發(fā)起的安全檢查流程所得到的安全檢查結(jié)果或根據(jù)所述客戶端進(jìn)行安全
5、 如權(quán)利要求4所述的方法,其特征在于,所述安全檢查流程,包括 所述客戶端向安全策略服務(wù)器發(fā)送安全檢查請(qǐng)求;安全策略服務(wù)器根據(jù)所述安全檢查請(qǐng)求返回安全^r查項(xiàng);所述客戶端根據(jù)所述安全檢查項(xiàng)收集相應(yīng)的信息,并將收集到的信息發(fā)送給安全策略服務(wù)器;安全策略服務(wù)器根據(jù)所述客戶端收集的信息和所述客戶端對(duì)應(yīng)的安全策略信息,確定出對(duì)應(yīng)的安全級(jí)別,并將包含有該安全級(jí)別的安全檢查結(jié)果分別發(fā)送給所述客戶端和所述認(rèn)證服務(wù)器。
6、 如權(quán)利要求5所述的方法,其特征在于,認(rèn)證服務(wù)器對(duì)所述客戶端認(rèn) 證通過(guò)后,還包括向所述客戶端發(fā)送啟動(dòng)安全檢查的指示;所述客戶端向安全策略服務(wù)器發(fā)送安全^r查請(qǐng)求,具體為 所述客戶端根據(jù)接收到的IP地址接入相應(yīng)的網(wǎng)絡(luò)后,根據(jù)所述啟動(dòng)安全 檢查的指示,定期向安全策略服務(wù)器發(fā)送安全檢查請(qǐng)求。
7、 如權(quán)利要求5所述的方法,其特征在于,所述客戶端接收到的安全級(jí) 別表示所述客戶端不安全時(shí),還包括所述客戶端通過(guò)安全修復(fù)操作更新該客戶端的安全信息,或斷開(kāi)當(dāng)前連接 的網(wǎng)絡(luò)。
8、 如權(quán)利要求l所述的方法,其特征在于,所述IP地址級(jí)別,包括與 非受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別、與受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;DHCP服務(wù)器根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的 IP地址,具體為若DHCP服務(wù)器獲取到的IP地址級(jí)別與非受限網(wǎng)絡(luò)對(duì)應(yīng), 則為所述客戶端分配非受限網(wǎng)絡(luò)的IP地址;若DHCP服務(wù)器獲取到的IP地址 級(jí)別與受限網(wǎng)絡(luò)對(duì)應(yīng),則為所述客戶端分配受限網(wǎng)絡(luò)的IP地址。
9、 一種DHCP服務(wù)器,其特征在于,包括 接收模塊,用于接收客戶端發(fā)送的獲取IP地址的請(qǐng)求;獲取模塊,用于根據(jù)接收到的獲取IP地址的請(qǐng)求,從認(rèn)證服務(wù)器獲取所 述客戶端對(duì)應(yīng)的IP地址級(jí)別;分配模塊,用于根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP;也址;發(fā)送模塊,用于將分配的IP地址發(fā)送給所述客戶端。
10、 如權(quán)利要求9所述的服務(wù)器,其特征在于,所述分配模塊分配IP地 址時(shí),若所述獲取模塊獲取到的IP地址級(jí)別與非受限網(wǎng)絡(luò)對(duì)應(yīng),則為所述客 戶端分配非受限網(wǎng)絡(luò)的IP地址;若所述獲取模塊獲取到的IP地址級(jí)別與受限 網(wǎng)絡(luò)對(duì)應(yīng),則為所述客戶端分配受限網(wǎng)絡(luò)的IP地址。
11、 一種認(rèn)證服務(wù)器,其特征在于,包括第一接收模塊,用于接收DHCP服務(wù)器發(fā)送的獲取客戶端所對(duì)應(yīng)的IP地 址級(jí)別的請(qǐng)求;確定模塊,用于根據(jù)所述客戶端的安全級(jí)別,確定出所述客戶端對(duì)應(yīng)的IP J也址級(jí)別;發(fā)送模塊,用于將確定出的IP地址級(jí)別發(fā)送給DHCP服務(wù)器。
12、 如權(quán)利要求11所述的服務(wù)器,其特征在于,所述確定模塊在確定IP 地址級(jí)別時(shí),根據(jù)其最近一次記錄的所述客戶端的安全級(jí)別,確定所述客戶端 對(duì)應(yīng)的IP地址級(jí)別。
13、 如權(quán)利要求12所述的服務(wù)器,其特征在于,所述確定模塊確定IP地 址級(jí)別時(shí),若最近一次記錄的所述客戶端的安全級(jí)別表示所述客戶端安全,則 確定出與非受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別;若認(rèn)最近一次記錄的所述客戶端的 安全級(jí)別表示所述客戶端不安全,則確定出與受限網(wǎng)絡(luò)對(duì)應(yīng)的IP地址級(jí)別。
14、 如權(quán)利要求12所述的服務(wù)器,其特征在于,還包括 第二接收模塊,用于接收安全策略服務(wù)器對(duì)所述客戶端進(jìn)行安全檢查后根據(jù)檢查結(jié)果發(fā)送的所述客戶端的安全級(jí)別,或者接收安全策略服務(wù)器根據(jù)所述 客戶端的安全修復(fù)操作結(jié)果發(fā)送的所述客戶端的安全級(jí)別。
15、 一種安全策略服務(wù)器,其特征在于,包括第一接收模塊,用于接收客戶端發(fā)送的安全檢查請(qǐng)求;獲取模塊,用于根據(jù)接收到的安全檢查請(qǐng)求,獲取所述客戶端對(duì)應(yīng)的安全檢查項(xiàng);第一發(fā)送模塊,用于將所述客戶端對(duì)應(yīng)的安全檢查項(xiàng)發(fā)送給所述客戶端;第二接收模塊,用于接收所述客戶端根據(jù)所述安全;f全查項(xiàng)收集并發(fā)送的其 收集的客戶端信息;確定模塊,用于根據(jù)所述客戶端信息和所述客戶端對(duì)應(yīng)的安全檢查策略, 確定所述客戶端的安全級(jí)別;第二發(fā)送模塊,用于將包含有所述客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 所述客戶端;第三發(fā)送模塊,用于將包含有所述客戶端的安全級(jí)別的安全檢查結(jié)果發(fā)送 給認(rèn)證服務(wù)器。
16、 一種用戶安全接入控制系統(tǒng),其特征在于,包括如權(quán)利要求9-10所 述的DHCP服務(wù)器、如權(quán)利要求11-14所述的認(rèn)證服務(wù)器和如權(quán)利要求15所 述的安全策略服務(wù)器;DHCP服務(wù)器,用于接收所述客戶端發(fā)送的獲取IP地址的請(qǐng)求;根據(jù)所述 請(qǐng)求,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址級(jí)別;以及,根據(jù)獲取到 的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP地址,并將分配的IP地址發(fā) 送給所述客戶端;認(rèn)證服務(wù)器,用于根據(jù)所述客戶端的安全級(jí)別確定所述客戶端對(duì)應(yīng)的IP 地址級(jí)別并發(fā)送給所述DHCP服務(wù)器;以及,接收所述安全策略服務(wù)器發(fā)送的 所述客戶端的安全級(jí)別;安全策略服務(wù)器,用于在對(duì)所述客戶端進(jìn)行安全纟企查后根據(jù);險(xiǎn)查結(jié)果確定 所述客戶端的安全級(jí)別,或者,在所述客戶端進(jìn)行安全修復(fù)搡作后根據(jù)操作結(jié) 果確定所述客戶端的安全級(jí)別,并將確定出的安全級(jí)別發(fā)送給認(rèn)證服務(wù)器。
17、 如權(quán)利要求16所述的用戶安全接入控制系統(tǒng),其特征在于,還包括 信息配置管理力l務(wù)器;所述安全策略服務(wù)器進(jìn)一步用于,根據(jù)所述客戶端發(fā)送的安全檢查請(qǐng)求和數(shù)據(jù)庫(kù)中保存的所述客戶端的安全檢查策略信息,獲取對(duì)應(yīng)的安全檢查項(xiàng)并發(fā)送給所述客戶端;接收所述客戶端根據(jù)所述安全檢查項(xiàng)收集并發(fā)送的客戶端信 息;以及,根據(jù)接收到的客戶端信息確定所述客戶端的安全級(jí)別;所述信息配置管理服務(wù)器,用于對(duì)所述客戶端安全檢查策略進(jìn)行配置,并 將配置的安全4企查策略信息保存到數(shù)據(jù)庫(kù)中。
全文摘要
本發(fā)明公開(kāi)了一種用戶安全接入控制方法及其裝置和系統(tǒng),應(yīng)用于用戶網(wǎng)絡(luò)接入過(guò)程,當(dāng)用戶所在客戶端通過(guò)認(rèn)證服務(wù)器的認(rèn)證并向DHCP服務(wù)器請(qǐng)求獲取IP地址后DHCP服務(wù)器接收所述客戶端發(fā)送的獲取IP地址的請(qǐng)求;DHCP服務(wù)器根據(jù)所述請(qǐng)求,從認(rèn)證服務(wù)器獲取所述客戶端對(duì)應(yīng)的IP地址級(jí)別;DHCP服務(wù)器根據(jù)獲取到的IP地址級(jí)別,為所述客戶端分配對(duì)應(yīng)網(wǎng)絡(luò)的IP地址,并將分配的IP地址發(fā)送給所述客戶端??蛻舳说腎P地址級(jí)別由客戶端進(jìn)行安全檢查后得到的安全級(jí)別決定。采用本發(fā)明,可在提高用戶接入網(wǎng)絡(luò)的安全性的同時(shí),簡(jiǎn)化用戶接入網(wǎng)絡(luò)的控制流程和提高接入控制過(guò)程的可靠性。
文檔編號(hào)H04L29/06GK101621523SQ200910159188
公開(kāi)日2010年1月6日 申請(qǐng)日期2009年7月22日 優(yōu)先權(quán)日2009年7月22日
發(fā)明者曹彬輝, 朱建勛 申請(qǐng)人:中興通訊股份有限公司