一種安全策略的下發方法和設備的制造方法
【專利摘要】本發明公開了一種安全策略的下發方法和設備,該方法包括:漫游地的認證服務器獲得移動終端設備對應的設備信息,并在請求報文中添加所述移動終端設備對應的設備信息;所述漫游地的認證服務器將請求報文發送給歸屬地的認證服務器,歸屬地的認證服務器利用所述設備信息確定所述移動終端設備的安全策略;所述漫游地的認證服務器接收來自所述歸屬地的認證服務器的響應報文;其中,所述響應報文中攜帶了所述移動終端設備的安全策略;所述漫游地的認證服務器將所述移動終端設備的安全策略下發給接入設備,由所述接入設備利用所述安全策略對所述移動終端設備進行接入控制。本發明實施例中,可以避免企業網絡和數據的安全隱患。
【專利說明】
一種安全策略的下發方法和設備
技術領域
[0001] 本發明涉及通信技術領域,尤其涉及一種安全策略的下發方法和設備。
【背景技術】
[0002] 目前,移動終端設備(如智能手機、平板電腦等)越來越多,增加了業務溝通渠道, 員工可以將自己的移動終端設備帶入到工作中,BYOD (Bring Your Own Device,攜帶自己的 設備辦公)正在成為一種趨勢。由于員工的移動終端設備通常無法按照企業安全規范進行 嚴格管理,因此,在員工使用移動終端設備訪問企業網絡和企業應用時,企業的網絡和數據 面臨著安全威脅。因此,企業需要制定安全策略來控制這些移動終端設備,以確保企業網絡 和數據的安全。為了對移動終端設備設置相應的安全策略,需要獲得移動終端設備的設備 信息,并利用移動終端設備的設備信息設置相應的安全策略,并在移動終端設備接入時,利 用該安全策略控制移動終端設備的接入過程。
[0003] 由于移動終端設備具有移動性,如果移動終端設備到漫游地進行認證時,則只有 漫游地的認證服務器能夠獲得移動終端設備的設備信息,而歸屬地的認證服務器無法獲得 移動終端設備的設備信息,因此,歸屬地的認證服務器無法對移動終端設備設置相應的安 全策略,從而帶來一定的安全隱患。
【發明內容】
[0004] 本發明實施例提供一種安全策略的下發方法,所述方法包括以下步驟:
[0005] 漫游地的認證服務器獲得移動終端設備對應的設備信息,并在來自接入設備的請 求報文中添加所述移動終端設備對應的設備信息;
[0006] 所述漫游地的認證服務器將請求報文發送給歸屬地的認證服務器,由歸屬地的認 證服務器利用所述設備信息確定所述移動終端設備的安全策略;
[0007] 所述漫游地的認證服務器接收來自所述歸屬地的認證服務器的響應報文;其中, 所述響應報文中攜帶了所述移動終端設備的安全策略;
[0008] 所述漫游地的認證服務器將所述移動終端設備的安全策略下發給接入設備,由所 述接入設備利用所述安全策略對所述移動終端設備進行接入控制。
[0009] 所述漫游地的認證服務器獲得移動終端設備對應的設備信息的過程,具體包括: 所述漫游地的認證服務器接收來自動態主機配置協議DHCP服務器的指紋信息,并從所述 指紋信息中獲得移動終端設備對應的設備信息;或者,
[0010] 所述漫游地的認證服務器接收來自超文本傳送協議HTTP服務器的指紋信息,并 從所述指紋信息中獲得移動終端設備對應的設備信息。
[0011] 所述漫游地的認證服務器在請求報文中添加所述移動終端設備對應的設備信息 的過程,具體包括:
[0012] 所述漫游地的認證服務器在所述請求報文中添加代理Proxy-狀態State屬性,并 在所述Proxy-State屬性中添加所述移動終端設備對應的設備信息。
[0013] 所述請求報文具體為認證請求報文,所述響應報文具體為認證響應報文;或者,所 述請求報文具體為計費開始請求報文,所述響應報文具體為計費確認響應報文。
[0014] 所述移動終端設備對應的設備信息具體包括以下之一或者任意組合:所述移動終 端設備對應的廠商信息、類型信息、版本號信息、操作系統信息。
[0015] 本發明實施例提供一種安全策略的下發設備,所述下發設備作為漫游地的認證服 務器,所述漫游地的認證服務器具體包括:
[0016] 處理模塊,用于獲得移動終端設備對應的設備信息,并在來自接入設備的請求報 文中添加所述移動終端設備對應的設備信息;
[0017] 發送模塊,用于將請求報文發送給歸屬地的認證服務器,由歸屬地的認證服務器 利用所述設備信息確定所述移動終端設備的安全策略;
[0018] 接收模塊,用于接收來自所述歸屬地的認證服務器的響應報文;其中,所述響應報 文中攜帶了所述移動終端設備的安全策略;
[0019] 下發模塊,用于將所述移動終端設備的安全策略下發給接入設備,由所述接入設 備利用所述安全策略對所述移動終端設備進行接入控制。
[0020] 所述處理模塊,具體用于在獲得移動終端設備對應的設備信息的過程中,接收來 自動態主機配置協議DHCP服務器的指紋信息,并從所述指紋信息中獲得移動終端設備對 應的設備信息;或者,接收來自超文本傳送協議HTTP服務器的指紋信息,并從所述指紋信 息中獲得移動終端設備對應的設備信息。
[0021] 所述處理模塊,具體用于在請求報文中添加所述移動終端設備對應的設備信息的 過程中,在所述請求報文中添加代理Proxy-狀態State屬性,并在所述Proxy-State屬性 中添加所述移動終端設備對應的設備信息。
[0022] 所述請求報文為認證請求報文,所述響應報文為認證響應報文;或者,所述請求報 文為計費開始請求報文,所述響應報文為計費確認響應報文。
[0023] 所述移動終端設備對應的設備信息具體包括以下之一或者任意組合:所述移動終 端設備對應的廠商信息、類型信息、版本號信息、操作系統信息。
[0024] 基于上述技術方案,本發明實施例中,漫游地的認證服務器可以將移動終端設備 對應的設備信息通知給歸屬地的認證服務器,由歸屬地的認證服務器利用移動終端設備對 應的設備信息確定移動終端設備的安全策略,并最終將移動終端設備的安全策略下發給接 入設備,從而使得接入設備可以利用該安全策略對移動終端設備進行接入控制,避免企業 網絡和數據的安全隱患。
【附圖說明】
[0025] 圖1是本發明實施例中提出的應用場景示意圖;
[0026] 圖2是本發明實施例提供的一種安全策略的下發方法流程示意圖;
[0027] 圖3是本發明實施例提供的一種漫游地的認證服務器的結構示意圖。
【具體實施方式】
[0028] 針對現有技術中存在的問題,本發明實施例提供一種安全策略的下發方法,以圖1 為本發明實施例的應用場景示意圖,如果移動終端設備(如智能手機、平板電腦等)需要在 漫游地接入網絡時,該方法應用于包括移動終端設備、漫游地的接入設備(如NAS (Network Access Server,網絡接入服務器),NAS 為支持 RADIUS (Remote Authentication Dial In User Service,遠程用戶撥號認證系統)協議的交換機、路由器等)、漫游地的認證服務器 (如RADIUS服務器)、歸屬地的認證服務器的網絡中。進一步的,漫游地的認證服務器為 RADIUS協議中的代理服務器,且歸屬地的認證服務器為代理的目的服務器。
[0029] 在上述應用場景下,如圖2所示,該安全策略的下發方法包括以下步驟:
[0030] 步驟201,漫游地的認證服務器獲得移動終端設備對應的設備信息,并在來自接入 設備的請求報文中添加該移動終端設備對應的設備信息。其中,該移動終端設備對應的設 備信息具體包括但不限于以下之一或者任意組合:移動終端設備對應的廠商信息、類型信 息、版本號信息、操作系統信息。
[0031] 本發明實施例中,漫游地的認證服務器獲得移動終端設備對應的設備信息的 過程,具體包括但不限于如下方式:漫游地的認證服務器接收來自DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)服務器的指紋信息,并從該指紋信息中獲 得移動終端設備對應的設備信息。或者,漫游地的認證服務器接收來自HTTP(Hyp er Text Transfer Protocol,超文本傳送協議)服務器的指紋信息,并從該指紋信息中獲得移動終 端設備對應的設備信息。
[0032] 在移動終端設備申請IP地址的過程中,移動終端設備會向DHCP服務器發送DHCP 請求報文。接入設備在接收到來自移動終端設備的DHCP請求報文之后,將該DHCP請求報 文發送給DHCP服務器。進一步的,DHCP服務器可以從DHCP請求報文中獲得指紋信息,并 將該指紋信息發送給漫游地的認證服務器,由漫游地的認證服務器從該指紋信息中獲得移 動終端設備對應的設備信息。其中,DHCP請求報文中攜帶有DHCP選項,該DHCP選項又稱 為指紋信息,且該DHCP選項是一個包含配置參數和其它控制信息的集合,DHCP選項中的內 容可以被用來標識移動終端設備對應的設備信息。
[0033] 在移動終端設備訪問網絡的過程中,移動終端設備會向HTTP服務器發送HTTP請 求報文。接入設備在收到來自移動終端設備的HTTP請求報文后,將該HTTP請求報文發送 給HTTP服務器。HTTP服務器可以從HTTP請求報文中獲得指紋信息,并將指紋信息發送給 漫游地的認證服務器,由漫游地的認證服務器從該指紋信息中獲得移動終端設備對應的設 備信息。其中,HTTP請求報文中攜帶有User Agent (用戶代理)選項,該User Agent選項 又稱為,且該User Agent選項是一個包含配置參數和其它控制信息的集合,User Agent選 項中的內容可以被用來標識移動終端設備對應的設備信息。
[0034] 本發明實施例中,在移動終端設備未通過認證時,接入設備會向漫游地的認證服 務器發送針對該移動終端設備的認證請求報文,由漫游地的認證服務器將該認證請求報文 發送給歸屬地的認證服務器。在移動終端設備通過認證時,接入設備會向漫游地的認證服 務器發送針對該移動終端設備的計費開始請求報文,由漫游地的認證服務器將該計費開始 請求報文發送給歸屬地的認證服務器。基于此,上述來自接入設備的請求報文具體可以為 認證請求報文(Access-Request報文)或者計費開始請求報文(Accounting-Request報 文)。
[0035] 例如,當采用Portal認證方式對移動終端設備進行認證時,由于移動終端設備在 通過認證之前,接入設備可以將移動終端設備的DHCP請求報文發送給DHCP服務器或者將 移動終端設備的HTTP請求報文發送給HTTP服務器。因此,漫游地的認證服務器可以在移 動終端設備通過認證之前獲得移動終端設備對應的設備信息,并在針對該移動終端設備的 認證請求報文中添加該移動終端設備對應的設備信息。當采用802. IX認證方式對移動終 端設備進行認證時,由于移動終端設備在通過認證之前,接入設備不可以將移動終端設備 的DHCP請求報文發送給DHCP服務器或者將移動終端設備的HTTP請求報文發送給HTTP服 務器,而在移動終端設備通過認證之后,接入設備可以將移動終端設備的DHCP請求報文發 送給DHCP服務器或者將移動終端設備的HTTP請求報文發送給HTTP服務器。因此,漫游地 的認證服務器可以在移動終端設備通過認證之后獲得移動終端設備對應的設備信息,并在 針對該移動終端設備的計費開始請求報文中添加該移動終端設備對應的設備信息。
[0036] 本發明實施例中,漫游地的認證服務器在請求報文(如認證請求報文或者計費 開始請求報文)中添加移動終端設備對應的設備信息的過程,具體包括但不限于如下 方式:漫游地的認證服務器在請求報文中添加 Proxy-State (代理-狀態)屬性,并在 Proxy-State屬性中添加移動終端設備對應的設備信息。
[0037] 本發明實施例中,通過在請求報文的現有屬性之后添加 Proxy-State屬性,并在 Proxy-State屬性中添加移動終端設備對應的設備信息,由于Proxy-State屬性的內容不 能被修改,因此漫游地的認證服務器與歸屬地的認證服務器之間的轉發服務器在收到請求 報文時,不會對Proxy-State屬性中的內容進行修改,保證將移動終端設備對應的設備信 息通知給歸屬地的認證服務器。
[0038] 步驟202,漫游地的認證服務器將請求報文發送給歸屬地的認證服務器。其中,該 請求報文中至少攜帶了移動終端設備對應的設備信息。
[0039] 步驟203,歸屬地的認證服務器利用移動終端設備對應的設備信息確定該移 動終端設備的安全策略,并通過響應報文將該移動終端設備的安全策略返回給漫游地 的認證服務器。其中,當請求報文為認證請求報文時,響應報文可以為認證響應報文 (Access-Response報文);或者,當請求報文為計費開始請求報文時,響應報文可以為計費 確認響應報文(Accounting-Response報文)。
[0040] 本發明實施例中,歸屬地的認證服務器上預先配置了設備信息與安全策略之間的 對應關系。基于此,歸屬地的認證服務器在接收到請求報文之后,從該請求報文中解析出 移動終端設備對應的設備信息。進一步的,歸屬地的認證服務器通過該移動終端設備對應 的設備信息查詢設備信息與安全策略之間的對應關系,得到該移動終端設備對應的安全策 略。如表1所示,歸屬地的認證服務器在接入場景下記錄了設備信息與安全策略之間的對 應關系。其中,該接入場景只是一種索引信息,可以根據實際需要任意設置。
[0041 ]表 1
[0042]
[0043] 例如,設備信息A可以為廠商信息A、類型信息A、版本號信息A、操作系統信息A, 安全策略A可以為在指定時間段內,只允許對應指定VLAN (Virtual Local Area Network, 虛擬局域網)的移動終端設備訪問指定資源。
[0044] 步驟204,漫游地的認證服務器接收來自歸屬地的認證服務器的響應報文。其中, 該響應報文中至少攜帶了移動終端設備的安全策略。
[0045] 步驟205,漫游地的認證服務器將移動終端設備的安全策略下發給接入設備,由接 入設備利用移動終端設備的安全策略對移動終端設備進行接入控制。
[0046] 基于上述技術方案,本發明實施例中,漫游地的認證服務器可以將移動終端設備 對應的設備信息通知給歸屬地的認證服務器,由歸屬地的認證服務器利用移動終端設備對 應的設備信息確定移動終端設備的安全策略,并最終將移動終端設備的安全策略下發給接 入設備,從而使得接入設備可以利用該安全策略對移動終端設備進行接入控制,避免企業 網絡和數據的安全隱患。
[0047] 基于與上述方法同樣的發明構思,本發明實施例中還提供了一種安全策略的下發 設備,所述下發設備作為漫游地的認證服務器,如圖3所示,所述漫游地的認證服務器具體 包括:
[0048] 處理模塊11,用于獲得移動終端設備對應的設備信息,并在來自接入設備的請求 報文中添加所述移動終端設備對應的設備信息;
[0049] 發送模塊12,用于將請求報文發送給歸屬地的認證服務器,由歸屬地的認證服務 器利用所述設備信息確定所述移動終端設備的安全策略;
[0050] 接收模塊13,用于接收來自所述歸屬地的認證服務器的響應報文;其中,所述響 應報文中攜帶了所述移動終端設備的安全策略;
[0051] 下發模塊14,用于將所述移動終端設備的安全策略下發給接入設備,由所述接入 設備利用所述安全策略對所述移動終端設備進行接入控制。
[0052] 所述處理模塊11,具體用于在獲得移動終端設備對應的設備信息的過程中,接收 來自動態主機配置協議DHCP服務器的指紋信息,從所述指紋信息中獲得移動終端設備對 應的設備信息;或者,接收來自超文本傳送協議HTTP服務器的指紋信息,并從所述指紋信 息中獲得移動終端設備對應的設備信息。
[0053] 所述處理模塊11,具體用于在請求報文中添加所述移動終端設備對應的設備信息 的過程中,在所述請求報文中添加代理Proxy-狀態State屬性,并在所述Proxy-State屬 性中添加所述移動終端設備對應的設備信息。
[0054] 本發明實施例中,所述請求報文具體為認證請求報文,所述響應報文具體為認證 響應報文;或者,所述請求報文具體為計費開始請求報文,所述響應報文具體為計費確認響 應報文。
[0055] 所述移動終端設備對應的設備信息具體包括以下之一或者任意組合:所述移動終 端設備對應的廠商信息、類型信息、版本號信息、操作系統信息。
[0056] 其中,本發明裝置的各個模塊可以集成于一體,也可以分離部署。上述模塊可以合 并為一個模塊,也可以進一步拆分成多個子模塊。
[0057] 通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發明可借助 軟件加必需的通用硬件平臺的方式來實現,當然也可以通過硬件,但很多情況下前者是更 佳的實施方式。基于這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的 部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若 干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執行本發 明各個實施例所述的方法。本領域技術人員可以理解附圖只是一個優選實施例的示意圖, 附圖中的模塊或流程并不一定是實施本發明所必須的。本領域技術人員可以理解實施例中 的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中,也可以進行相應變化位 于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以 進一步拆分成多個子模塊。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。以 上公開的僅為本發明的幾個具體實施例,但是,本發明并非局限于此,任何本領域的技術人 員能思之的變化都應落入本發明的保護范圍。
【主權項】
1. 一種安全策略的下發方法,其特征在于,所述方法包括以下步驟: 漫游地的認證服務器獲得移動終端設備對應的設備信息,并在來自接入設備的請求報 文中添加所述移動終端設備對應的設備信息; 所述漫游地的認證服務器將請求報文發送給歸屬地的認證服務器,由歸屬地的認證服 務器利用所述設備信息確定所述移動終端設備的安全策略; 所述漫游地的認證服務器接收來自所述歸屬地的認證服務器的響應報文;其中,所述 響應報文中攜帶了所述移動終端設備的安全策略; 所述漫游地的認證服務器將所述移動終端設備的安全策略下發給接入設備,由所述接 入設備利用所述安全策略對所述移動終端設備進行接入控制。2. 如權利要求1所述的方法,其特征在于,所述漫游地的認證服務器獲得移動終端設 備對應的設備信息的過程,具體包括: 所述漫游地的認證服務器接收來自動態主機配置協議DHCP服務器的指紋信息,并從 所述指紋信息中獲得移動終端設備對應的設備信息;或者, 所述漫游地的認證服務器接收來自超文本傳送協議HTTP服務器的指紋信息,并從所 述指紋信息中獲得移動終端設備對應的設備信息。3. 如權利要求1所述的方法,其特征在于,所述漫游地的認證服務器在請求報文中添 加所述移動終端設備對應的設備信息的過程,具體包括: 所述漫游地的認證服務器在所述請求報文中添加代理Proxy-狀態State屬性,并在所 述Proxy-State屬性中添加所述移動終端設備對應的設備信息。4. 如權利要求1-3任一項所述的方法,其特征在于,所述請求報文具體為認證請求報 文,所述響應報文具體為認證響應報文;或者,所述請求報文具體為計費開始請求報文,所 述響應報文具體為計費確認響應報文。5. 如權利要求1-3任一項所述的方法,其特征在于,所述移動終端設備對應的設備信 息具體包括以下之一或者任意組合:所述移動終端設備對應的廠商信息、類型信息、版本號 信息、操作系統信息。6. -種安全策略的下發設備,所述下發設備作為漫游地的認證服務器,其特征在于,所 述漫游地的認證服務器具體包括: 處理模塊,用于獲得移動終端設備對應的設備信息,并在來自接入設備的請求報文中 添加所述移動終端設備對應的設備信息; 發送模塊,用于將請求報文發送給歸屬地的認證服務器,由歸屬地的認證服務器利用 所述設備信息確定所述移動終端設備的安全策略; 接收模塊,用于接收來自所述歸屬地的認證服務器的響應報文;其中,所述響應報文中 攜帶了所述移動終端設備的安全策略; 下發模塊,用于將所述移動終端設備的安全策略下發給接入設備,由所述接入設備利 用所述安全策略對所述移動終端設備進行接入控制。7. 如權利要求6所述的設備,其特征在于, 所述處理模塊,具體用于在獲得移動終端設備對應的設備信息的過程中,接收來自動 態主機配置協議DHCP服務器的指紋信息,并從所述指紋信息中獲得移動終端設備對應的 設備信息;或者,接收來自超文本傳送協議HTTP服務器的指紋信息,并從所述指紋信息中 獲得移動終端設備對應的設備信息。8. 如權利要求6所述的設備,其特征在于, 所述處理模塊,具體用于在請求報文中添加所述移動終端設備對應的設備信息的過程 中,在所述請求報文中添加代理Proxy-狀態State屬性,并在所述Proxy-State屬性中添 加所述移動終端設備對應的設備信息。9. 如權利要求6-8任一項所述的設備,其特征在于,所述請求報文具體為認證請求報 文,所述響應報文具體為認證響應報文;或者,所述請求報文為計費開始請求報文,所述響 應報文為計費確認響應報文。10. 如權利要求6-8任一項所述的設備,其特征在于,所述移動終端設備對應的設備信 息具體包括以下之一或者任意組合:所述移動終端設備對應的廠商信息、類型信息、版本號 信息、操作系統信息。
【文檔編號】H04L29/06GK105991576SQ201510070410
【公開日】2016年10月5日
【申請日】2015年2月10日
【發明人】高坤, 黃學軍
【申請人】杭州華三通信技術有限公司