CN101521885B - 一种权限控制方法、***及设备 - Google Patents
一种权限控制方法、***及设备 Download PDFInfo
- Publication number
- CN101521885B CN101521885B CN2008100078693A CN200810007869A CN101521885B CN 101521885 B CN101521885 B CN 101521885B CN 2008100078693 A CN2008100078693 A CN 2008100078693A CN 200810007869 A CN200810007869 A CN 200810007869A CN 101521885 B CN101521885 B CN 101521885B
- Authority
- CN
- China
- Prior art keywords
- network
- roaming terminal
- safe condition
- terminal
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种权限控制方法,包括以下步骤:第一网络接收漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果;所述第一网络根据所述安全状态评估结果,将所述漫游终端进行角色映射。本发明实施例公开了一种权限控制***及设备。本发明基于终端安全状态评估结果进行角色映射,从而实现权限控制,能够将漫游终端的角色映射为拜访网络中的角色,从而使网络间能进行安全互操作;保证多个网络间进行资源共享时,资源不受到非法的访问。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种权限控制方法、***及设备。
背景技术
随着Internet的飞速发展和普遍应用,病毒技术也迅速发展。当病毒大规模爆发时,网络中传输的大量数据流量是由病毒产生的垃圾数据和探测、攻击流量,造成资源浪费,严重影响了运营商的网络效率和安全,也对用户终端和业务产生不利的影响和安全威胁。
应用业务极大丰富,第三方ASP(Application Service Provider,应用服务提供商)逐渐增加,业务趋向增值服务和精细化经营。用户在获得更多样化的服务的同时,对自身和网络带来的安全风险也大大增加。例如:由于用户身份失窃,企业的内部资源可能暴露给非授权用户,导致应用***遭到非授权用户的破坏或滥用,使应用服务质量下降甚至不可用。
虽然来自运营商网络的内部的安全威胁容易控制,但对于用户终端等分布范围广泛的小型终端,由于资源有限导致防护能力较低下,且无法保证这些终端都装有杀毒软件或防火墙,使得病毒容易侵入。即使这些终端都安装安全应用软件客户端,由于没有统一控制,用户终端不能及时进行安全更新,造成***漏洞或病毒库过期等安全隐患。而且,随着网络融合的发展,将会存在大量跨域的资源共享和信息交换,网络资源不仅可由本域内的用户终端访问,还可由其他域内的漫游终端访问,不安全用户终端(包括本域终端或漫游终端)带来的安全风险也大幅提高。因此,对用户终端进行访问控制是保证网络安全一个重要手段。
对用户权限的控制技术可以使用基于用户角色的权限控制,即根据用户的身份信息,将用户划分为不同的群组或角色,每个群组或角色可以访问不同的资源,然后根据用户所属的群组对用户授权,也称为静态授权。然而,拜访网络一般根据身份认证结果以及相关属性对漫游终端进行权限控制,并不是根据终端的安全状态信息进行权限控制,这就会导致不安全终端接入网络并非法访问网络资源。
为了克服静态授权的缺陷,对用户权限的控制技术也可以使用基于终端安全性的授权,即根据用户使用设备的安全状况给用户授权,也称为动态授权。具体过程为:当终端要访问权限控制***时,权限控制***先按照预先设定的登录检测序列检测终端的安全性,若检测通过,则允许终端登录,否则,拒绝终端登录;当终端登录权限控制***后,要访问某一项具体的资源时,权限控制***还需检测终端当前是否满足预先设定的访问该资源的安全检测条件。
在实现本发明的过程中,发明人发现现有技术存在以下缺点:
现有技术的动态授权中,只有在满足所有登录检测条件时,终端才可以登录权限控制***,降低了终端登录权限控制***的成功率。例如:若终端在某次登录时要访问的是安全级别较低的资源,只需满足部分登录检测条件即可,而现有技术则不考虑终端访问的个性化安全需求。
发明内容
本发明实施例提供了一种权限控制方法、***及设备,实现终端在跨域访问时的权限控制,从而保证网络资源共享时,网络的安全。
本发明实施例提供了一种权限控制方法,包括以下步骤:
第一网络接收漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果;
所述第一网络根据所述安全状态评估结果,将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果具体包括:
所述第一网络向所述第二网络请求所述漫游终端对应的所有安全状态策略配置信息;
所述第一网络接收所述第二网络返回的所述漫游终端对应的所有安全状 态策略配置信息,并根据所述安全状态策略配置信息对所述漫游终端进行安全状态评估,获得评估结果。
本发明实施例提供了一种权限控制***,包括:
漫游终端,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;
第一网络,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求所述漫游终端对应的安全状态策略配置信息,并根据所述安全状态策略配置信息对所述漫游终端进行安全状态信息的收集以及安全状态的评估,根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
第二网络,用于接收所述第一网络发送的获取安全状态策略配置的请求,将所述安全状态策略配置返回给所述第一网络。
本发明实施例提供了一种拜访网络,包括:
接入请求接收单元,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态策略配置信息获取单元,用于根据所述身份信息向归属网络请求所述漫游终端对应的安全状态策略配置信息,并接收所述归属网络返回的安全状态策略配置信息;
评估单元,用于根据所述安全状态策略配置信息对所述漫游终端进行安全状态评估;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
本发明实施例提供了一种归属网络,包括:
请求接收单元,用于接收所述拜访网络发送的获取安全状态策略配置的请求;
安全状态策略配置发送单元,用于将所述安全状态策略配置返回给所述拜访网络。
本发明实施例提供了一种权限控制***,包括:
漫游终端,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;
第一网络,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络发送安全状态评估请求,接收由所述第二网络对所述漫游终端安全状态评估的结果,根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
第二网络,用于接收所述第一网络发送的安全状态评估请求,对所述漫游终端进行安全状态评估并将评估的结果返回给所述第一网络。
本发明实施例提供了一种拜访网络,包括:
接入请求接收单元,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态评估结果获取单元,用于根据所述身份信息向归属网络发送安全状态评估请求,并接收由所述归属网络对所述漫游终端安全状态评估结果;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
本发明实施例提供了一种归属网络,包括:
接收单元,用于接收所述拜访网络发送的安全状态评估请求;
评估单元,用于对所述漫游终端进行安全状态评估;
反馈单元,用于将评估的结果返回给所述拜访网络。
本发明的实施例中,针对网络资源的不同安全需求,能够使不同安全级别的终端有权访问不同安全等级的网络资源,终端在跨不同网络之间漫游时,可以访问与该终端的安全级别相对应的网络资源。
附图说明
图1是本发明实施例一中权限控制方法流程图;
图2是本发明实施例二中权限控制方法流程图;
图3是本发明实施例三中权限控制方法流程图;
图4是本发明实施例中一种权限控制***结构图;
图5是本发明实施例中一种拜访网络结构图;
图6是本发明实施例中一种归属网络结构图;
图7是本发明实施例中另一种权限控制***结构图;
图8是本发明实施例中另一种拜访网络结构图;
图9是本发明实施例中另一种归属网络结构图。
具体实施方式
本发明实施例提供了一种权限控制方法,包括以下步骤:
1,第一网络接收漫游终端发送的接入请求,该请求中包括所述漫游终端的身份信息,第一网络根据该漫游终端的身份信息获取对该漫游终端的安全状态评估结果。其中获取安全状态评估结果的方式包括两种,一种是第一网络本地评估:第一网络向第二网络请求该漫游终端对应的所有安全状态策略配置信息,并接收第二网络返回的该漫游终端对应的所有安全状态策略配置信息,并根据所述安全状态策略配置信息对该漫游终端进行安全状态评估,获得评估结果;另一种是由第二网络进行评估,并将评估结果发给第一网络:第一网络向第二网络发送安全状态评估请求,并接收由第二网络对该漫游终端安全状态的评估结果。
另外,第一网络从漫游终端接收的接入请求中还可以包括所述漫游终端请求的业务,使第一网络可以向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求该漫游终端的该业务对应的安全状态策略配置,并对该业务的安全状态进行评估。
2,第一网络根据所述安全状态评估结果,将该漫游终端进行角色映射。
其中,所述角色映射包括:漫游终端的安全状态评估结果、对应角色和可访问的网络资源之间的对应关系。所述第一网络为拜访网络或业务服务器,所述第二网络为归属网络或业务服务器。
本发明实施例一中,当漫游终端请求接入拜访网络时,拜访网络向归属网络请求该漫游终端对应的所有安全状态策略配置信息,然后对终端进行安全状态评估;根据安全状态评估结果,将请求接入漫游终端进行角色映射,从而允许该漫游终端访问该拜访网络内该角色对应的所有网络资源。该权限 控制方法如图1所示,包括以下步骤:
步骤101,当终端漫游到拜访网络时,向当前所在的拜访网络发起接入请求,在该接入请求中包括漫游终端的身份信息。当然,本实施例中的拜访网络也可以用第三方业务提供方(例如,电信服务商等)的业务服务器替换。
步骤102,拜访网络接收到漫游终端发来的接入请求后,向该漫游终端所在的归属网络发起请求,要求该归属网络对该漫游终端进行身份认证,在身份认证完成后,归属网络将认证结果发给拜访网络。
步骤103,拜访网络对该漫游终端的归属网络请求对应的安全状态策略配置;为了保证拜访网络的安全,需要对请求接入的漫游终端进行身份认证。其中,身份认证结果是评估的先决条件,如果身份认证没有通过,则不需进行评估。
步骤104,归属网络将该终端的所有安全状态策略配置信息通过安全状态策略配置响应消息发给终端当前所在的拜访网络。其中,安全状态策略配置信息是对漫游终端进行评估的依据。
步骤105,拜访网络向漫游终端发送终端安全状态信息请求。
步骤106,漫游终端向拜访网络发送终端安全状态信息响应,指示具体评估漫游终端的哪些属性,例如版本号等。
步骤107,拜访网络接收归属网络发来的安全状态策略配置信息,以该安全状态策略配置为依据对具体评估漫游终端的属性的安全状态进行评估。本实施例中,需要对该漫游终端的所有业务对应的安全状态策略配置信息进行安全状态评估,只有全部评估结果满足要求,才能进行漫游终端接入。
步骤108,拜访网络根据对漫游终端安全状态信息评估的结果,对该漫游终端进行角色映射,将该漫游终端映射为拜访网络本域内的对应的某一终端,使该漫游终端可以直接享有该角色对应的拜访网络域内的所有网络资源。其中根据终端安全状态的角色映射,具体如表1所示:
表1:
终端的安全状态信息 | 对应的角色 | 可访问的网络资源 |
操作***补丁为最新、 | A | 安全级别为A以及A以下的 |
防病毒软件最新版、防火墙版本最新 | 所有网络资源 | |
操作***补丁为最新、防病毒软件最新版、防火墙版本较低 | B | 安全级别为B以及B以下的所有网络资源,但不能访问级别为A的资源 |
操作***补丁为最新、防病毒软件低版本、防火墙版本较低 | C | 安全级别为C以及C以下的所有网络资源,但不能访问级别为A或者B的资源 |
操作***补丁为低、防病毒软件低版本、防火墙版本较低 | D | 只能访问安全级别为D的资源 |
步骤109,拜访网络向漫游终端发送接入响应,对漫游终端进行接入控制时实现权限控制,防止漫游终端非法访问网络资源。
本发明实施例二中,拜访网络只请求漫游终端业务对应的安全状态策略配置,当漫游终端向拜访网络发出接入请求时,包含该漫游终端请求的业务;拜访网络只需向该漫游终端对应的归属网络请求该漫游终端的该业务对应的安全状态策略配置;然后根据该策略对漫游终端进行安全状态评估;根据安全状态信息评估的结果,将请求接入的漫游终端进行角色映射,允许该漫游终端访问拜访网络内该角色对应的所有网络资源,实现了对漫游终端的接入控制和权限控制。该权限控制方法如图2所示,包括以下步骤:
步骤201,当终端漫游到拜访网络时,向当前所在的拜访网络发起接入请求,在该接入请求中包括漫游终端的身份信息及该漫游终端请求的业务标识。
步骤202,拜访网络接收到漫游终端发来的接入请求后,向该漫游终端所在的归属网络发起请求,要求该归属网络对该漫游终端进行身份认证,在身份认证完成后,归属网络将认证结果发给拜访网络。
步骤203,为了保证拜访网络的安全,不能只对请求接入的终端进行身份认证,拜访网络还要对该漫游终端的归属网络请求该业务对应的安全状态策 略配置。
步骤204,归属网络将接入请求中携带的该漫游终端的业务标识对应的安全状态策略配置信息通过安全状态策略配置响应消息发给终端当前所在的拜访网络。
步骤205,拜访网络向漫游终端发送终端安全状态信息请求。
步骤206,漫游终端向拜访网络发送终端安全状态信息响应,指示具体评估漫游终端的哪些属性,例如版本号等。
步骤207,拜访网络接收归属网络发来的安全状态策略配置信息,以该安全状态策略配置为依据对具体评估漫游终端的属性对漫游终端的安全状态进行评估。
步骤208,拜访网络根据对漫游终端安全状态评估的结果,对该漫游终端进行角色映射,将该漫游终端映射为拜访网络本域内的对应的某一终端,使该漫游终端可以直接享有该角色对应的拜访网络域内的所有网络资源。其中根据终端安全状态的角色映射,具体如表1所示。本实施例中,需要根据该漫游终端的部分业务对应的安全状态策略配置信息进行安全状态评估,只要这些业务对应的评估结果满足,就能进行漫游终端接入,具有接入配置灵活的特点。
步骤209,拜访网络向漫游终端发送接入响应,对漫游终端进行接入控制时实现权限控制,防止漫游终端非法访问网络资源。
本发明实施例三中,当拜访网络不具备对自身直接对终端进行安全状态评估功能时,需要由归属网络对该漫游终端安全状态信息进行评估;归属网络将该评估结果发给当前的拜访网络;拜访网络将根据该结果进行漫游终端的角色映射,从而实现对该漫游终端的权限控制。该权限控制方法如图3所示,包括以下步骤:
步骤301,当终端漫游到拜访网络时,向当前所在的拜访网络发起接入请求,在该接入请求中包括漫游终端的身份信息。
步骤302,拜访网络接收到漫游终端发来的接入请求后,向该漫游终端所 在的归属网络发起请求,要求该归属网络对该漫游终端进行身份认证,在身份认证完成后,归属网络将认证结果发给拜访网络。
步骤303,拜访网络请求归属网络对该漫游终端进行安全状态评估。
步骤304,归属网络对该漫游终端安全状态信息进行评估,将该评估结果发给当前的拜访网络。其中评估结果中可以包含收集到的终端的安全状态信息。
步骤305,拜访网络根据接收的评估结果,对该漫游终端进行角色映射,将该漫游终端映射为拜访网络本域内的对应的某一终端,使该漫游终端可以直接享有该角色对应的拜访网络域内的所有网络资源。其中根据终端安全状态的角色映射,具体如表1所示。
步骤306,拜访网络向漫游终端发送接入响应,对漫游终端进行接入控制时实现权限控制,防止漫游终端非法访问网络资源。
本发明实施例提供了一种权限控制***,如图4所示,包括:漫游终端100,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;第一网络200,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求所述漫游终端对应的安全状态策略配置信息,并根据所述安全状态策略配置信息对所述漫游终端进行安全状态信息的收集以及安全状态的评估,根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;第二网络300,用于接收所述第一网络发送的获取安全状态策略配置的请求,将所述安全状态策略配置返回给所述第一网络。
第一网络200具体包括,接入请求接收单元210,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;安全状态策略配置信息获取单元220,用于根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求所述漫游终端对应的安全状态策略配置信息,并接收所述第二网络返回的安全状态策略配置信息;评估单元230,用于根据所述安全状态策略配置对所述漫游终端进行安全状态的评估;映射单元240,用于根据评估的结果将所述漫游终端进行角色映射,允许 所述漫游终端访问所述第一网络内所述角色对应的网络资源。
第二网络300具体包括:请求接收单元310,用于接收所述第一网络发送的获取安全状态策略配置的请求;安全状态策略配置发送单元320,用于将所述安全状态策略配置返回给所述第一网络。
所述接入请求中还包括所述漫游终端请求的业务,
安全状态策略配置信息获取单元220还用于,只向所述第二网络请求所述漫游终端的所述业务对应的安全状态策略配置。
本发明实施例提供了一种权限控制的拜访网络设备,如图5所示,包括:接入请求接收单元10,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;安全状态策略配置信息获取单元20,用于根据所述身份信息向归属网络请求所述漫游终端对应的安全状态策略配置信息,并接收所述归属网络返回的安全状态策略配置信息;评估单元30,用于根据所述安全状态策略配置信息对所述漫游终端进行安全状态评估;映射单元40,用于根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
本发明实施例提供了一种权限控制的归属网络设备,如图6所示,包括:请求接收单元50,用于接收所述拜访网络发送的获取安全状态策略配置的请求;安全状态策略配置发送单元60,用于将所述安全状态策略配置返回给所述拜访网络。
本发明实施例提供了一种权限控制***,如图7所示,包括:漫游终端400,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;第一网络500,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络发送安全状态评估请求,接收由所述第二网络对所述漫游终端安全状态评估的结果,根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;第二网络600,用于接收所述第一网络发送的安全状态评估请求,对所述漫游终端进行安全状态信息评估并将评估的结果返回给所述第一网络。
所述第一网络500具体包括:接入请求接收单元510,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;安全状态策略配置信息获取单元520,用于根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络发送安全状态评估请求,接收由所述第二网络对所述漫游终端安全状态评估的结果;映射单元530,用于根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源。
所述第二网络600具体包括:接收单元610,用于接收所述第一网络发送的安全状态评估请求;评估单元620,用于对所述漫游终端进行安全状态评估;反馈单元630,用于将评估的结果返回给所述第一网络。
本发明实施例提供了一种权限控制的拜访网络设备,如图8所示,包括:接入请求接收单元51,用于接收所述漫游终端发送的接入请求;安全状态评估结果获取单元52,用于向所述发送安全状态评估请求,接收由所述归属网络对所述漫游终端安全状态评估结果;映射单元53,用于根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
本发明实施例提供了一种权限控制的归属网络设备,如图9所示,包括:接收单元61,用于接收所述拜访网络发送的安全状态评估请求;评估单元62,用于对所述漫游终端进行安全状态评估;反馈单元63,用于将评估的结果返回给所述拜访网络。
本发明的实施例中,基于终端安全状态信息进行角色映射,从而实现权限控制,能够将漫游终端的角色映射为拜访网络中的角色,从而使网络间能进行安全互操作;保证多个网络间进行资源共享时,资源不受到非法的访问。即,针对网络资源的不同安全需求,能够使不同安全级别的终端有权访问不同安全等级的网络资源;终端在跨不同网络之间漫游时,可以访问与该终端的安全级别相对应的网络资源。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种权限控制方法,其特征在于,包括以下步骤:
第一网络接收漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果;
所述第一网络根据所述安全状态评估结果,将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果具体包括:
所述第一网络向第二网络请求所述漫游终端对应的所有安全状态策略配置信息;
所述第一网络接收所述第二网络返回的所述漫游终端对应的所有安全状态策略配置信息,并根据所述安全状态策略配置信息对所述漫游终端进行安全状态评估,获得评估结果;或
所述第一网络根据所述身份信息获取对所述漫游终端的安全状态评估结果具体包括:
所述第一网络向所述第二网络发送安全状态评估请求;
所述第一网络接收由所述第二网络对所述漫游终端安全状态的评估结果。
2.如权利要求1所述权限控制方法,其特征在于,所述接入请求中还包括所述漫游终端请求的业务,
所述第一网络向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求所述漫游终端的所述业务对应的安全状态策略配置。
3.如权利要求1或2所述权限控制方法,其特征在于,所述角色映射包括:漫游终端的安全状态评估结果、对应角色和可访问的网络资源之间的对应关系。
4.如权利要求1或2所述权限控制方法,其特征在于,
所述第一网络为拜访网络或业务服务器,所述第二网络为归属网络或业务服务器。
5.一种权限控制***,其特征在于,包括:
漫游终端,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;
第一网络,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的业务对应的安全状态策略配置的第二网络请求所述漫游终端对应的安全状态策略配置信息,并根据所述安全状态策略配置信息对所述漫游终端进行安全状态信息的收集以及安全状态的评估,根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
第二网络,用于接收所述第一网络发送的获取安全状态策略配置的请求,将所述安全状态策略配置返回给所述第一网络。
6.如权利要求5所述权限控制***,其特征在于,所述第一网络具体包括:
接入请求接收单元,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态策略配置信息获取单元,用于根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络请求所述漫游终端对应的安全状态策略配置信息,并接收所述第二网络返回的安全状态策略配置信息;
评估单元,用于根据所述安全状态策略配置对所述漫游终端进行安全状态评估;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源。
7.如权利要求5所述权限控制***,其特征在于,所述第二网络具体包 括:
请求接收单元,用于接收所述第一网络发送的获取安全状态策略配置的请求;
安全状态策略配置发送单元,用于将所述安全状态策略配置返回给所述第一网络。
8.一种拜访网络,其特征在于,包括:
接入请求接收单元,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态策略配置信息获取单元,用于根据所述身份信息向归属网络请求所述漫游终端对应的安全状态策略配置信息,并接收所述归属网络返回的安全状态策略配置信息;
评估单元,用于根据所述安全状态策略配置信息对所述漫游终端进行安全状态评估;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
9.一种权限控制***,其特征在于,包括:
漫游终端,用于向第一网络发送接入请求,所述请求中包括所述漫游终端的身份信息;
第一网络,用于接收所述漫游终端发送的接入请求,根据所述身份信息向保存有所述漫游终端的业务对应的安全状态策略配置的第二网络发送安全状态评估请求,接收由所述第二网络对所述漫游终端安全状态评估的结果,根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源;
第二网络,用于接收所述第一网络发送的安全状态评估请求,对所述漫游终端进行安全状态评估并将评估的结果返回给所述第一网络。
10.如权利要求9所述权限控制***,其特征在于,所述第一网络具体包 括:
接入请求接收单元,用于接收所述漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态策略配置信息获取单元,用于根据所述身份信息向保存有所述漫游终端的所述业务对应的安全状态策略配置的第二网络发送安全状态评估请求,接收由所述第二网络对所述漫游终端安全状态评估的结果;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述第一网络内所述角色对应的网络资源。
11.如权利要求9所述权限控制***,其特征在于,所述第二网络具体包括:
接收单元,用于接收所述第一网络发送的安全状态评估请求;
评估单元,用于对所述漫游终端进行安全状态评估;
反馈单元,用于将评估的结果返回给所述第一网络。
12.一种拜访网络,其特征在于,包括:
接入请求接收单元,用于接收漫游终端发送的接入请求,所述请求中包括所述漫游终端的身份信息;
安全状态评估结果获取单元,用于根据所述身份信息向归属网络发送安全状态评估请求,并接收由所述归属网络对所述漫游终端安全状态评估结果;
映射单元,用于根据评估的结果将所述漫游终端进行角色映射,将所述漫游终端映射为拜访所述第一网络内的对应的某一终端,允许所述漫游终端访问所述拜访网络内所述角色对应的网络资源。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100078693A CN101521885B (zh) | 2008-02-26 | 2008-02-26 | 一种权限控制方法、***及设备 |
PCT/CN2009/070395 WO2009105976A1 (zh) | 2008-02-26 | 2009-02-11 | 一种权限控制方法、***及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100078693A CN101521885B (zh) | 2008-02-26 | 2008-02-26 | 一种权限控制方法、***及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101521885A CN101521885A (zh) | 2009-09-02 |
CN101521885B true CN101521885B (zh) | 2012-01-11 |
Family
ID=41015523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100078693A Expired - Fee Related CN101521885B (zh) | 2008-02-26 | 2008-02-26 | 一种权限控制方法、***及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101521885B (zh) |
WO (1) | WO2009105976A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621380B (zh) * | 2008-02-29 | 2015-04-08 | 华为技术有限公司 | 一种终端安全状态评估方法、网络设备及*** |
US8412769B2 (en) * | 2010-09-13 | 2013-04-02 | Microsoft Corporation | Scalably imaging clients over a network |
CN105991576B (zh) * | 2015-02-10 | 2019-07-09 | 新华三技术有限公司 | 一种安全策略的下发方法和设备 |
CN108874078A (zh) * | 2018-09-04 | 2018-11-23 | 江苏警官学院 | 一种智能化应急预案管理*** |
CN109543412A (zh) * | 2019-01-07 | 2019-03-29 | 何小钟 | 一种基于大数据分析的互联网信息安全用杀毒*** |
JP2020140431A (ja) * | 2019-02-28 | 2020-09-03 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム、及び情報処理プログラム |
CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、***及存储介质 |
CN112351005B (zh) * | 2020-10-23 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913701A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 移动通信***中为不同用户提供不同安全等级业务的方法 |
CN101039322A (zh) * | 2007-04-20 | 2007-09-19 | 华中师范大学 | 一种普适计算的动态访问控制方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8230480B2 (en) * | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
-
2008
- 2008-02-26 CN CN2008100078693A patent/CN101521885B/zh not_active Expired - Fee Related
-
2009
- 2009-02-11 WO PCT/CN2009/070395 patent/WO2009105976A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913701A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 移动通信***中为不同用户提供不同安全等级业务的方法 |
CN101039322A (zh) * | 2007-04-20 | 2007-09-19 | 华中师范大学 | 一种普适计算的动态访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2009105976A1 (zh) | 2009-09-03 |
CN101521885A (zh) | 2009-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101521885B (zh) | 一种权限控制方法、***及设备 | |
US8280373B2 (en) | Terminal device control server and method for controlling access to a mobile communication network | |
JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
CN102415119B (zh) | 管理网络中不期望的服务请求 | |
US20120166803A1 (en) | Verification method, apparatus, and system for resource access control | |
EP2316093B1 (en) | System, method and apparatus for security management of an electronic device | |
CN101621380B (zh) | 一种终端安全状态评估方法、网络设备及*** | |
CN104519020A (zh) | 管理无线网络登录密码分享功能的方法、服务器及*** | |
CN103491056A (zh) | 应用权限的控制方法及装置 | |
CN101156411A (zh) | 用于gaa的通用密钥决定机制 | |
CN112469044B (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
CN111865993B (zh) | 身份认证管理方法、分布式***及可读存储介质 | |
EP4335080A1 (en) | Methods, systems, and computer readable media for hiding network function instance identifiers | |
CN102263793A (zh) | 一种mtc服务器权限验证控制方法、***及装置 | |
CN103069767B (zh) | 交付认证方法 | |
CN113872933A (zh) | 隐藏源站的方法、***、装置、设备及存储介质 | |
KR100478535B1 (ko) | Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법 | |
CN104935557A (zh) | 本地网络访问的控制方法及装置 | |
CN114697945B (zh) | 发现响应消息的生成方法及装置、发现消息的处理方法 | |
WO2017192131A1 (en) | Simulating unauthorized use of a cellular communication network | |
EP2721859B1 (en) | Handling of operator connection offers in a communication network | |
CN102264070B (zh) | 一种提供业务数据及执行访问业务的方法及设备 | |
CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 | |
CN114710302A (zh) | 互联网访问的控制方法及其控制装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120111 |
|
CF01 | Termination of patent right due to non-payment of annual fee |