CN104767715B - 网络接入控制方法和设备 - Google Patents
网络接入控制方法和设备 Download PDFInfo
- Publication number
- CN104767715B CN104767715B CN201410003686.XA CN201410003686A CN104767715B CN 104767715 B CN104767715 B CN 104767715B CN 201410003686 A CN201410003686 A CN 201410003686A CN 104767715 B CN104767715 B CN 104767715B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- access
- network
- enterprise
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000007726 management method Methods 0.000 claims description 87
- 238000013475 authorization Methods 0.000 claims description 74
- 230000004044 response Effects 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 30
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 11
- 238000013468 resource allocation Methods 0.000 claims description 7
- 238000004064 recycling Methods 0.000 claims description 3
- 206010048669 Terminal state Diseases 0.000 claims description 2
- 241000208340 Araliaceae Species 0.000 claims 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims 1
- 235000003140 Panax quinquefolius Nutrition 0.000 claims 1
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 235000008434 ginseng Nutrition 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 13
- 239000000523 sample Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 241001296096 Probles Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种网络接入控制方法和设备,用以降低现有移动终端安全接入网络时的接入控制难度。该方法包括:网络接入设备接收移动终端发送的携带所述移动终端的标识的接入请求消息;判断所述移动终端的标识对应的注册状态;若未注册,为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置允许所述IP地址访问认证网页;所述网络接入设备接收移动终端使用所述IP地址发送的网页访问请求消息,根据访问控制策略将网页访问请求消息重定向到所述认证网页,如果确定所述移动终端认证成功,重定向到注册网页;如果所述网络接入设备确定所述移动终端完成注册,向所述移动终端发送用于通过EAP‑TLS接入所述企业的无线网络的配置文件和数字证书。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络接入控制方法及一种无线访问接入点和无线接入控制器。
背景技术
随着移动终端技术的发展、制造工艺的提高以及销售价格的下降,最近几年移动终端获得了快速普及。目前,移动终端在销量上已经超过了个人计算机。携带自带设备办公(Bring your own device,简称BYOD)已经随之成为了一种被普遍接受的工作方式。出于降低固定资产投入和提高办公效率方面的考虑,越来越多的企业鼓励员工携带私人的移动终端接入企业网络进行日常办公。
然而,由于接入企业无线网络的移动终端的类型、归属和接入位置的不确定性,也给企业信息安全管理提出了挑战:如何在移动终端接入企业无线网络时进行有效的接入控制,从而确保企业网络中的资源不被非法用户使用。
处于安全性方面的考虑,通常推荐采用较高安全等级的接入认证方式,例如电气和电子工程师协会(Institute of Electrical and Electronics Engineers,简称IEEE)802.1X可扩展认证协议-传输层安全(Extensible Authentication Protocol-TransportLayer Security,简称EAP-TLS)证书认证,对接入企业无线网络的移动终端进行接入控制。然而这种方式在实际应用中有一些不便之处:用户的移动终端需要预先获取数字证书,而且对于不同品牌型号的移动终端,在配置802.1X认证接入参数时有所不同,有的会较为复杂。如何实现自动化地将数字证书分发给移动终端,以及帮助移动终端的用户配置认证接入参数,成为一个需要解决的问题。
发明内容
本发明实施例提供一种网络接入控制方法,用以降低现有移动终端安全接入网络时的接入控制难度。
对应地,本发明实施例还提供了一种无线接入点和无线控制器。
本发明实施例提供的技术方案如下:
第一方面,提供了网络接入控制方法,其特征在于,包括:
网络接入设备接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述网络接入设备判断所述移动终端的标识对应的注册状态,所述注册状态用于标识所述移动终端是否已在企业的无线网络中注册;
若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述网络接入设备接收所述移动终端使用所述IP地址发送的网页访问请求消息,所述网络接入设备根据所述IP地址对应的所述第一权限策略将所述网页访问请求消息重定向到所述认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页;
如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,所述配置文件和数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。
在第一方面的第一种可能的实现方式中,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到拨号用户远程认证服务RADIUS服务器中进行网页认证;
所述如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页,包括:
所述网络接入设备接收到所述RADIUS服务器返回的网页认证结果;
如果所述网页认证结果指示所述移动终端通过网页认证,则所述网络接入设备将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;
所述网络接入设备根据所述IP地址对应的所述第二权限策略,将所述网页访问请求消息重定向到所述注册网页。
在第一方面、或第一方面的第一种可能的实现方式中,还提供了第一方面的第二种可能的实现方式,还包括:若所述网络接入设备判断所述移动终端的标识对应的注册状态为已注册,所述网络接入设备向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
在第一方面的第一种、或第二种可能的实现方式中,还提供了第一方面的第三种可能的实现方式,所述网络接入设备判断所述移动终端的标识对应的注册状态,包括:
所述网络接入设备从所述接入请求消息中获取所述移动终端的标识;
根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
在第一方面的第三种可能的实现方式中,还提供了第一方面的第四种可能的实现方式,所述注册网页是所述管理服务器提供的,
所述如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,包括:
所述网络接入设备接收所述管理服务器发送的所述配置文件和所述数字证书,所述配置文件和所述数字证书是所述管理服务器在所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册之后发送的;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
所述网络接入设备将所述配置文件和所述数字证书发送给所述移动终端。
在第一方面的第四种可能的实现方式中,还提供了第一方面的第五种可能的实现方式,所述网络接入设备向所述移动终端发送配置文件和数字证书之后,还包括:
所述网络接入设备接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
在第一方面的第五种可能的实现方式中,还提供了第一方面的第六种可能的实现方式,所述网络接入设备接收到所述CoA消息后,所述方法还包括:所述网络接入设备回收所述IP地址。
第二方面,还提供了一种无线访问接入点AP,其特征在于,包括:
接收单元,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元,用于判断所述接收单元接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配请求单元,用于若所述判断单元判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;
策略设置单元,用于将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述接收单元,还用于接收所述移动终端使用所述IP地址发送的网页访问请求消息;
重定向请求单元,用于根据策略设置单元设置的所述第一权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页;
所述接收单元,还用于接收来自所述无线AC的配置文件和数字证书;
所述发送单元,还用于向所述移动终端转发所述配置文件和所述数字证书,所述配置文件和所述数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。
在第二方面的第一种可能的实现方式中,所述接收单元,还用于接收来自拨号用户远程认证服务RADIUS服务器的网页认证结果,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到所述RADIUS服务器中进行网页认证;
所述策略设置单元,还用于如果所述网页认证结果指示所述移动终端通过网页认证,则将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;
所述重定向请求单元,具体用于根据所述IP地址对应的所述第二权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到所述注册网页。
在第二方面、或第二方面的第一种可能的实现方式中,还提供了第二方面的第二种可能的实现方式,所述发送单元,还用于若所述判断单元判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
所述无线AP还包括:
端口开放单元,用于当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
在第二方面、或上述第二方面的任意一种可能的实现方式中,所述判断单元包括:
获取子单元,用于从所述接入请求消息中获取所述移动终端的标识;
查询子单元,用于根据所述获取子单元获取的所述移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元,用于接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
第三方面,提供了一种无线访问接入点AP,包括存储器、处理器、接收器和发送器;
所述接收器,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述处理器,用于读取所述存储器中存储的程序代码,执行:判断所述移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;若判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述接收器,还用于接收所述移动终端使用所述IP地址发送的网页访问请求消息;
所述发送器,用于根据所述IP地址对应的所述第一权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页;
所述接收器,还用于接收来自所述无线AC的配置文件和数字证书;
所述发送器,还用于向所述移动终端转发所述配置文件和所述数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络。
在第三方面的第一种可能的实现方式中,所述接收器,还用于接收来自拨号用户远程认证服务RADIUS服务器的网页认证结果,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到所述RADIUS服务器中进行网页认证;
所述处理器,具体用于如果所述网页认证结果指示所述移动终端通过网页认证,则将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;根据所述IP地址对应的所述第二权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到所述注册网页。
在第三方面、或第三方面的第一种可能的实现方式中,还提供了第三方面的第二种可能的实现方式,所述发送器,还用于若所述处理器判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
所述处理器,还用于当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
在第三方面、或上述第三方面的任意一种可能的实现方式中,还提供了第三方面的第三种可能的实现方式,所述处理器,用于从所述接入请求消息中获取所述移动终端的标识;根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
第四方面,还提供了一种AC,包括:
接收单元,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元,用于判断接收单元接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配单元,用于若所述判断单元判断所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;
所述接收单元,还用于接收所述AC控制的无线访问接入点AP发送的第一转发请求;
重定向单元,用于根据所述第一转发请求将所述移动终端使用所述IP地址发送的网页访问请求消息重定向到认证网页;
所述接收单元,还用于接收所述AP发送的第二转发请求;
所述重定向单元,还用于根据所述第二转发请求将所述网页访问请求消息重定向到注册网页;
所述接收单元,还用于接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,所述配置文件和所述数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
发送单元,还用于将所述配置文件和所述数字证书发送给所述AP。
在第四方面的第一种可能的实现方式中,所述判断单元包括:
获取子单元,用于从所述接入请求消息中获取所述移动终端的标识;
查询子单元,用于根据获取子单元获取的移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元,用于接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
在第四方面的第二种可能的实现方式中,所述接收单元,还用于接收拨号用户远程认证服务RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
在第四方面的第二种可能的实现方式中,还提供了第四方面的第三种可能的实现方式,还包括:资源回收单元,用于在所述接收单元接收到所述CoA消息后,回收所述IP地址。
第五方面,还提供了一种无线AC,AC包括存储器、处理器、接收器和发送器;
所述接收器,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述处理器,用于读取所述存储器中存储的程序代码,执行:
判断接收器接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;若所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;
所述接收器,还用于接收所述AC控制的AP发送的第一转发请求;
所述处理器,还用于根据所述接收器接收的所述第一转发请求将所述移动终端使用所述IP地址发送的网页访问请求消息重定向到认证网页;
所述接收器,还用于接收所述AP发送的第二转发请求;
所述处理器,还用于根据所述接收器接收的所述第二转发请求将所述网页访问请求消息重定向到注册网页;
所述接收器,还用于接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
发送器,用于将所述配置文件和所述数字证书发送给所述AP。
在第五方面的第一种可能的实现方式中,所述处理器902判断接收器903接收的接入请求消息中移动终端的标识对应的注册状态时,具体用于:
从所述接入请求消息中获取所述移动终端的标识;根据获取的移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
在第五方面、或第五方面的第一种可能的实现方式中,还提供了第五方面的第二种可能的实现方式,所述接收器还用于接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
在第五方面的第二种可能的实现方式中,还提供了第五方面的第三种可能的实现方式,
所述处理器还用于在所述接收器接收到所述CoA消息后,回收所述IP地址。
本发明实施例网络接入设备通过在移动终端请求接入网络时,判断所述移动终端的标识对应的注册状态,若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略;并根据所述IP地址对应的访问控制策略将移动终端通过所述IP地址发送的网页访问请求消息重定向到认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页;如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书。无需像现有技术一样在移动终端接入企业无线网络之前,需要人工为每个移动终端分配和分发数字证书,以及进行接入参数配置,降低了接入控制的实现难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的移动终端的网络接入控制***的一种部署场景示意图;
图2为本发明实施例的主要实现原理流程图;
图3为本发明实施例提供的移动终端的网络接入控制方法的时序图;
图4为本发明提供的一种无线AP的结构示意图;
图5为本发明提供的一种无线AP中判断单元的结构示意图;
图6为本发明提供的另一种无线AP的结构示意图;
图7为本发明提供的一种无线AC的结构示意图;
图8为本发明提供的一种无线AC中判断单元的结构示意图;
图9为本发明提供的另一种无线AC的结构示意图。
具体实施方式
本发明实施例提出了一种移动终端的网络接入控制方法,下面将结合多个实施例对该方案进行描述。
实施例一
附图1是本发明实施例提供的移动终端的网络接入控制***的一种部署场景示意图。该***包括移动终端,网络接入设备。本申请中的移动终端是指具备无线网络接口支持无线上网、且具有操作***的便于携带的设备,包括但不限于笔记本电脑(Laptop)、个人数字助理(Personal Digital Assistant,简称PDA)、移动电话等等。网络接入设备包括无线访问接入点(Access Point,简称AP)和无线接入控制器(Access Controller,简称AC),当然也可以是具备有类似功能的其他设备。进一步地,该***中还包括门户Portal服务器、拨号用户远程认证服务(Remote Authentication Dial In User Service,简称RADIUS)服务器和管理服务器。无线AP(在本申请中后续简称AP)、无线AC(在本申请中后续简称AC)、Portal服务器、RADIUS服务器和管理服务器之间可以通过交换机连接。可选地,还可以包括用于分配数字证书的证书服务器(图中未示出),证书服务器的功能也可以集成于RADIUS服务器或者管理服务器中。
下面结合附图1,对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
如图2所示,本发明实施例的主要实现原理流程如下:
步骤10,网络接入设备接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端。
其中所述移动终端的标识包括但不限于移动终端的介质访问控制(Medium/MediaAccess Control,简称MAC)地址。
步骤20,所述网络接入设备判断所述移动终端的标识对应的注册状态,所述注册状态用于标识所述移动终端是否已在企业的无线网络中注册。
可选地,在附图1中的管理服务器用于管理维护企业的无线网络中各移动终端的注册状态的情况下,网络接入设备判断所述移动终端的标识对应的注册状态具体包括:
所述网络接入设备从所述接入请求消息中获取所述移动终端的标识;
根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
上述步骤20的执行主体可以是AP,也可以是AC,具体可以根据实际情况灵活设置,例如,如果AP所支持的功能和硬件条件有限(瘦无线AP),则可以由AC来执行。
如果是瘦无线AP,上述步骤10~20具体为:
AP接收移动终端发送的接入请求消息,将所述接入请求消息发送给AC,AC从所述管理服务器中查询所述移动终端的注册状态。
如果是由AP执行,则上述步骤10~20具体为:
AP接收移动终端发送的接入请求消息,从所述管理服务器中查询所述移动终端的注册状态。
步骤30,若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略。
可选地,如果是瘦无线AP,则AC从所述管理服务器中查询所述移动终端的注册状态后,确认所述移动终端的标识对应的注册状态为未注册后为所述移动终端分配IP地址;分配IP地址后,瘦无线AP将该IP地址对应的访问控制策略设置为第一权限策略。其中第一权限策略允许所述IP地址访问认证网页,是本申请涉及的三种权限策略中权限最低的权限策略,仅能访问认证网页或者其他很少量的资源,通过这种方式防止未认证的移动终端非法访问受保护的资源,提高了企业的无线网络中数据资源的安全性。
可选地,如果由AP执行查询移动终端的注册状态的步骤,AP从所述管理服务器中查询所述移动终端的注册状态,确认所述移动终端的标识对应的注册状态为未注册后,请求AC为所述移动终端分配IP地址;在AC分配IP地址后,AP将该IP地址对应的访问控制策略设置为第一权限策略。
步骤40,所述网络接入设备接收所述移动终端使用所述IP地址发送的网页访问请求消息,所述网络接入设备根据所述IP地址对应的第一权限策略将所述网页访问请求消息重定向到认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,则再将所述网页访问请求消息重定向到注册网页。
具体地,移动终端获得AC分配IP地址后,当用户通过该移动终端上的网络浏览器尝试访问任意网页时,该移动终端都会发送网页访问请求消息。AP接收到网页访问请求消息后,会根据该网页访问请求消息的源IP地址查找对应的访问控制策略,并根据查找到的访问控制策略执行对应的处理。如果网页访问请求消息的源IP地址对应的访问控制策略是上述第一权限策略,则向AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页。
可选地,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到RADIUS服务器中进行网页认证。网页认证结果通过AC、AP被转发给移动终端。网页认证结果包括网页认证成功和网页认证失败。RADIUS服务器如何通过Portal服务器提供的网页对移动终端进行认证的过程属于现有技术,在这里不再详述。
AP在所述网页认证结果指示所述移动终端网页认证成功的情况下,则将所述IP地址对应的访问控制策略设置为第二权限策略。其中第二权限策略允许所述IP地址访问所述注册网页,在本申请中是高于第一权限策略的权限策略,允许该策略对应的IP不仅能访问认证网页,还能访问注册网页,通过这种方式防止未认证的移动终端访问受保护的资源,提高了企业的无线网络中数据资源的安全性。
如果所述网页认证结果指示所述移动终端网页认证失败,则退出接入控制流程。
AP在所述移动终端对应的访问控制策略被更新为第二权限策略后,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息再次重定向到注册网页。
其中注册网页可以是管理服务器提供的,移动终端的用户可以根据注册网页上的介绍和指引信息,输入个人信息,以及所述移动终端的一些设备参数,个人信息例如域账号、部门、职位等,设备参数例如设备制造商、型号等。
所述管理服务器根据移动终端的用户通过注册网页输入的上述信息,为所述移动终端生成配置文件、以及分配数字证书。配置文件中包括了接入所述企业的无线网络的一些配置参数,例如包括网络标识符的各种网络接入参数等等,所述移动终端接收到该配置文件后,通过替换原有的配置文件,可以方便的完成接入所述企业的无线网络所需的各种配置操作。
上述分配数字证书的功能可以由RADIUS服务器执行,即移动终端的用户通过注册网页输入的上述信息后,管理服务器通知RADIUS服务器为所述移动终端分配数字证书。所述移动终端获得该数字证书后,可以根据该数字证书在RADIUS服务器上完成802.1X认证,如EAP-TLS认证,进而在认证成功之后安全地接入所述企业的无线网络。
步骤50,如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,所述配置文件和数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络。
具体的,所述管理服务器在生成上述配置文件、以及通知RADIUS服务器分配数字证书后,将所述移动终端在所述管理服务器中的注册状态更新为已注册。此后管理服务器将所述配置文件通过所述AP发送给所述移动终端,RADIUS服务器将所述数字证书通过所述AP发送给所述移动终端。
所述AP接收到所述管理服务器发送的配置文件和RADIUS服务器发送的数字证书后,将接收到的配置文件和数字证书发送给所述移动终端。
当然,在上述方案中,管理服务器也可以是将所述配置文件通过所述AP发送给所述移动终端之后,再将所述移动终端在所述管理服务器中的注册状态更新为已注册。
在步骤50之后,所述移动终端根据所述配置文件和数字证书通过EAP-TLS认证方式接入所述企业的无线网络,本实施例给出的一种触发移动终端以EAP-TLS认证方式接入所述企业的无线网络的机制包括:
所述RADIUS服务器所述移动终端在所述管理服务器中的注册状态被更新为已注册后,向所述AC发送CoA消息,所述AC将接收到CoA消息转发给所述AP;所述AP接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息(例如,网络接入设备接收到所述CoA消息后,断开所述AP和所述移动终端已建立的网络连接,使得所述移动终端重新尝试接入网络,继而发送接入请求消息)。具体地,所述RADIUS服务器可以在分配数字证书并向所述移动终端发送该数字证书之后,向所述AC发送所述CoA消息,在这种情况下推荐发送数字证书和CoA消息之间可以间隔预定时间段,例如1秒,以保证AP和所述移动终端断开已建立的网络连接时,所述移动终端已接收到数字证书和配置文件,提高安全接入的成功率;另一种更稳妥的方式是所述管理服务器在将移动终端的注册状态更新为已注册后RADIUS服务器发送一个通知消息,所述RADIUS服务器接收到通知消息后,再所述AC发送所述CoA消息。
可选地,为了提高网络地址资源的利用率,所述AC在接收到所述CoA消息后,还包括:回收所述IP地址。
所述移动终端根据所述配置文件和数字证书通过EAP-TLS认证方式接入所述企业的无线网络时的具体接入方式为现有技术,在这里不再详述。在移动终端在RADIUS服务器上EAP-TLS认证成功时,AC重新为所述移动终端分配IP地址,该IP地址对应的访问控制策略为第三权限策略,AP为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。其中,第三权限策略是较高的权限策略,可以访问企业的无线网络中的受保护资源。
本发明实施例提供的移动终端的网络接入控制方法,在移动终端请求接入企业的无线网络时,根据所述移动终端在所述无线网络中的注册状态执行区别的处理,具体地:对于未注册的移动终端,网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略,所述移动终端在根据该IP地址尝试浏览网页时,被重定位到认证网页进行认证,在认证成功后被再次重定向到注册网页进行注册,从而获得后续以EAP-TLS认证方式接入网络所需的配置文件和数字证书。通过该方法,大大简化了现有接入控制所需的配置和准备程序,提高了处理效率。
此外,上述方案不限定移动终端的操作***的种类,无论何种操作***的移动终端,无论是Windows操作***还是Android操作***,只要支持EAP-TLS认证方式的,均可以适用,具备良好的通用性。
实施例二
本实施例以交互时序图的视角,对实施例一提供的移动终端的网络接入控制方法进行进一步的说明。
附图3为本发明实施例提供的移动终端的网络接入控制方法的时序图,该方法包括:
步骤301,移动终端向AP发送接入请求消息,即探测请求Probe request。
步骤302,AP接收到接入请求消息后,从所述管理服务器中查询所述移动终端的注册状态,如果所述移动终端的标识对应的注册状态为未注册,则执行步骤303,如果注册状态为已注册,执行步骤323。
具体查询注册状态的过程请参照实施例一中的描述,在这里不再重复。
步骤303,AP向所述移动终端发送探测响应Probe response,探测响应携带的认证算法字段设置为无认证指示符。
步骤304,移动终端向AP发送认证请求Authentication request。
步骤305,AP向移动终端反馈认证响应Authentication response。
步骤306,移动终端向AP发送关联请求Association request。
步骤307,AP向移动终端反馈关联响应Association response。
步骤308,AC通过动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)为所述移动终端分配第一IP地址。在此过程中,AP将该第一IP地址对应的访问控制策略设置为第一权限策略。本实施例中第一权限策略、第二权限策略和第三权限策略的定义与实施例一相同,在这里不再重复。
步骤309,移动终端根据步骤308中所述AC分配的第一IP地址,使用web浏览器访问任意网页时,发送网页访问请求消息。
步骤310,AP接收到网页访问请求消息后,查询该网页访问请求消息的源IP地址对应的访问控制策略,在本实施例中查询得到的是第一权限策略。
步骤311,若查询到对应的访问控制策略是第一权限策略,则AP向AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页。
步骤312,AC将所述网页访问请求消息重定向到Portal服务器提供的认证网页,所述Portal服务器将所述移动终端在所述认证网页中输入的LDAP域账号认证信息发送到RADIUS服务器中进行网页认证。
步骤313,AP在所述网页认证结果指示所述移动终端网页认证成功的情况下,则将所述IP地址对应的访问控制策略设置为第二权限策略。
步骤314,AP在所述移动终端对应的访问控制策略被更新为第二权限策略后,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息再次重定向到注册网页。
步骤315,AC将所述网页访问请求消息再次重定向到注册网页。
步骤316,如果所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,管理服务器为所述移动终端生成配置文件,并将该配置文件通过AP发送给移动终端。RADIUS服务器为所述移动终端分配数字证书,并将该数字证书通过AP发送给移动终端。
步骤317,RADIUS服务器所述移动终端在所述管理服务器中的注册状态被更新为已注册后,向所述AC发送CoA消息。
步骤318,AC接收到CoA消息后,指示AP断开和所述移动终端已建立的网络连接,使得所述移动终端重新尝试接入网络。此时,执行步骤320。
可选地,AC可以回收上述第一IP地址。
步骤320,移动终端重新发送探测请求Probe request。
步骤321,AP接收到接入请求消息后,从所述管理服务器中查询所述移动终端的注册状态,此时的注册状态为已注册,执行步骤323。
步骤323,AP向所述移动终端发送探测响应Proble response,探测响应携带的认证算法字段设置为安全等级较高的802.1X认证指示符,具体地,可以为EAP-TLS认证指示符。该认证算法字段用以指示所述移动终端按照EAP-TLS认证方式来接入所述企业的无线网络。
步骤324,移动终端向AP发送认证请求Authentication request。
步骤325,AP向移动终端反馈认证响应Authentication response。
步骤326,移动终端向AP发送关联请求Association request。
步骤327,AP向移动终端反馈关联响应Association response。
步骤328,所述移动终端与RADIUS服务器进行802.1X认证。在认证的过程中使用之前获得的数字证书。
步骤329,如果802.1X认证成功,则所述移动终端根据所述配置文件中的参数接入企业的无线网络。RADIUS服务器在802.1X认证成功后,向AC发送授权报文,AC重新为所述移动终端分配第二IP地址,AP中第二IP地址对应的访问控制策略为第三权限策略。AP为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
本发明实施例提供的移动终端的网络接入控制方法,通过AP、AC、Portal服务器、RADIUS服务器以及管理服务器的配合,在移动终端接入网络时,可以方便、高效地进行接入控制。简化了现有技术中管理员和用户所需执行的繁琐工作。
实施例三
本发明实施例提供了一种无线AP,如图4所示,该设备包括接收单元401、判断单元402、资源分配请求单元403、策略设置单元404、重定向请求单元405和发送单元406,具体如下:
接收单元401,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元402,用于判断接收单元401接收的接入请求消息中所述移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配请求单元403,用于若所述判断单元402判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;
策略设置单元404,用于将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述接收单元401,还用于接收所述移动终端使用所述IP地址发送的网页访问请求消息;
重定向请求单元405,用于根据策略设置单元404设置的所述IP地址对应的第一权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页;
所述接收单元401,还用于接收来自所述无线AC的配置文件和数字证书;
所述发送单元406,还用于向所述移动终端转发所述配置文件和所述数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络。
可选地,所述接收单元401还用于接收来自RADIUS服务器的网页认证结果,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的LDAP域账号认证信息发送到所述RADIUS服务器中进行网页认证;
所述策略设置单元404,还用于如果所述网页认证结果指示所述移动终端通过网页认证,则将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;
所述重定向请求单元405,具体用于根据所述IP地址对应的第二权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到所述注册网页。
为了使所述移动终端的用户能够获知网页认证结果,所述发送单元406还用于将所述网页认证结果转发给所述移动终端。
可选地,所述发送单元406还用于若所述判断单元402判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
这种情况下,附图4所示的装置还包括:端口开放单元407,用于当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
可选地,请参照附图5,附图4所示的装置中判断单元402具体包括:
获取子单元501,用于从接收单元401接收的所述接入请求消息中获取所述移动终端的标识;
查询子单元502,用于根据获取子单元501获取的所述移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元503,用于接收所述管理服务器为响应查询子单元502返回的所述移动终端在所述网络中的注册状态。
附图5所示的无线AP中各单元的工作流程,以及所述无线AP与附图1所示的***中其他网络设备的交互过程请参照前面方法实施例中的描述,在这里不再一一详述。
附图6是本发明实施例提供的无线AP的结构示意图,所述AP包括存储器601、处理器602、接收器603和发送器604;所述接收器603和发送器604可以基于同一个通信芯片来实现。上述存储器601、处理器602、接收器603和发送器604可以通过总线相互连接。
所述接收器603,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述处理器602,用于读取所述存储器601中存储的程序代码,执行:判断所述移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;若判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述接收器603,还用于接收所述移动终端使用所述IP地址发送的网页访问请求消息;
所述发送器604,用于根据所述IP地址对应的所述第一权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页;
所述接收器603,还用于接收来自所述无线AC的配置文件和数字证书;
所述发送器604,还用于向所述移动终端转发所述配置文件和所述数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络。
可选地,所述接收器603,还用于接收来自拨号用户远程认证服务RADIUS服务器的网页认证结果,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到所述RADIUS服务器中进行网页认证;
所述处理器602,具体用于如果所述接收器603接收到的所述网页认证结果指示所述移动终端通过网页认证,则将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;根据所述IP地址对应的所述第二权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到所述注册网页。
可选地,所述发送器604,还用于若所述处理器602判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端的按照EAP-TLS认证方式接入所述企业的无线网络;
所述处理器602,还用于当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
可选地,所述处理器602判断所述移动终端的标识对应的注册状态,具体包括:所述处理器602从所述接入请求消息中获取所述移动终端的标识;根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
附图6所示的无线AP中器件的工作流程,以及所述无线AP与附图1所示的***中其他网络设备的交互过程请参照前面方法实施例中的描述,在这里不再一一详述。
本发明实施例提供了一种无线AP,该无线AP接收移动终端发送的接入请求消息,判断该接入请求消息中移动终端的标识对应的注册状态,若所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线AC为所述移动终端分配IP地址;将所述IP地址对应的访问控制策略设置为第一权限策略;接收所述移动终端通过所述IP地址发送的网页访问请求消息;根据设置的所述IP地址对应的访问控制策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页;接收来自管理服务器和证书服务器的配置文件和数字证书;向所述移动终端转发所述配置文件和数字证书,所述配置文件和数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。该无线AP与其他网络设备相互配合,在移动终端接入网络时,可以方便、高效地进行接入控制。简化了现有技术中管理员和用户所需执行的繁琐工作。
实施例四
本实施例提供了一种无线AC,如图7所示,包括接收单元701、判断单元702、资源分配单元703、重定向单元704和发送单元705,其中:
接收单元701,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元702,用于判断接收单元701接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配单元703,用于若所述判断单元702判断所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;
所述接收单元701,还用于接收所述AC控制的AP发送的第一转发请求;
重定向单元704,用于根据所述第一转发请求将所述移动终端使用所述IP地址发送的网页访问请求消息重定向到认证网页;
所述接收单元701,还用于接收所述AP发送的第二转发请求;
所述重定向单元704,还用于根据所述第二转发请求将所述网页访问请求消息重定向到注册网页;
所述接收单元701,还用于接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
发送单元705,还用于将所述配置文件和所述数字证书发送给所述AP。
可选地,请参照附图8,上述判断单元702具体包括:
获取子单元801,用于从所述接入请求消息中获取所述移动终端的标识;
查询子单元802,用于根据获取子单元801获取的移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元803,用于接收所述管理服务器响应所述查询子单元802返回的所述移动终端在所述网络中的注册状态。
可选地,附图7中的接收单元701,还用于接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
在这种情况下,附图7中的装置还包括资源回收单元706,用于在所述接收单元701接收到所述CoA消息后,回收所述IP地址。
附图7所示的无线AC中各单元的工作流程,以及所述无线AC与附图1所示的***中其他网络设备的交互过程请参照前面方法实施例中的描述,在这里不再一一详述。
附图9是本发明实施例提供的无线AC的结构示意图,该AC包括存储器901、处理器902、接收器903和发送器904;所述接收器903和发送器904可以基于同一个通信芯片来实现。上述存储器901、处理器902、接收器903和发送器904可以通过总线相互连接。
所述接收器903,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述处理器902,用于读取所述存储器901中存储的程序代码,执行:
判断接收器903接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;若所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;
所述接收器903,还用于接收所述AC控制的AP发送的第一转发请求;
所述处理器902,还用于根据所述接收器903接收的所述第一转发请求将所述移动终端使用所述IP地址发送的网页访问请求消息重定向到认证网页;
所述接收器903,还用于接收所述AP发送的第二转发请求;
所述处理器902,还用于根据所述接收器903接收的所述第二转发请求将所述网页访问请求消息重定向到注册网页;
所述接收器903,还用于接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,所述配置文件和所述数字证书用于所述移动终端通过EAP-TLS认证方式接入所述企业的无线网络;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
发送器904,用于将所述配置文件和所述数字证书发送给所述AP。
可选地,所述处理器902判断接收器903接收的接入请求消息中移动终端的标识对应的注册状态时,具体用于:
从所述接入请求消息中获取所述移动终端的标识;根据获取的移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
可选地,所述接收器903还用于接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
所述处理器902还用于在所述接收器903接收到所述CoA消息后,回收所述IP地址。
附图9所示的无线AC中器件的工作流程,以及所述无线AC与附图1所示的***中其他网络设备的交互过程请参照前面方法实施例中的描述,在这里不再一一详述。
本发明实施例提供了一种无线AC,该无线AC接收移动终端发送的接入请求消息,判断所述接入请求消息中移动终端的标识对应的注册状态;若判断所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;接收所述AC控制的AP发送的第一转发请求;根据所述第一转发请求将所述移动终端通过所述IP地址发送的网页访问请求消息重定向到认证网页;接收所述AP发送的第二转发请求;根据所述第二转发请求将所述网页访问请求消息重定向到注册网页;接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,将所述配置文件和数字证书发送给所述AP。该无线AC与其他网络设备相互配合,在移动终端接入网络时,可以方便、高效地进行接入控制。简化了现有技术中管理员和用户所需执行的繁琐工作。
本申请中涉及到单数和/或复数术语的使用时,本领域的技术人员能够将复数转换为单数和/或将单数转换为复数,只要根据上下文和/或实际应用是合理的即可。为了清楚起见,本申请中没有逐一描述各种单数和/或复数的排列组合的情况。
本领域普通技术人员将会理解,本发明的各个方面、或各个方面的可能实现方式可以被具体实施为***、方法或者计算机程序产品。因此,本发明的各方面、或各个方面的可能实现方式可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件等等),或者组合软件和硬件方面的实施例的形式,在这里都统称为“电路”、“模块”或者“***”。此外,本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式,计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体***、设备或者装置,或者前述的任意适当组合,如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、光纤、便携式只读存储器(CD-ROM)。
计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码,使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作;生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。
计算机可读程序代码可以完全在用户的本地计算机上执行、部分在用户的本地计算机上执行、作为单独的软件包、部分在用户的本地计算机上并且部分在远程计算机上,或者完全在远程计算机或者服务器上执行。也应该注意,在某些替代实施方案中,在流程图中各步骤、或框图中各块所注明的功能可能不按图中注明的顺序发生。例如,依赖于所涉及的功能,接连示出的两个步骤、或两个块实际上可能被大致同时执行,或者这些块有时候可能被以相反顺序执行。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种网络接入控制方法,其特征在于,包括:
网络接入设备接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
所述网络接入设备判断所述移动终端的标识对应的注册状态,所述注册状态用于标识所述移动终端是否已在企业的无线网络中注册;
若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述网络接入设备接收所述移动终端使用所述IP地址发送的网页访问请求消息,所述网络接入设备根据所述IP地址对应的所述第一权限策略将所述网页访问请求消息重定向到所述认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,将所述网页访问请求消息重定向到注册网页,所述注册网页用于所述移动终端的用户输入个人信息和所述移动终端的设备参数;
如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,所述配置文件是根据所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数生成的,所述数字证书是所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数之后为所述用户终端分配的,所述配置文件和所述数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。
2.如权利要求1所述的方法,其特征在于,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到拨号用户远程认证服务RADIUS服务器中进行网页认证;
所述如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,将所述网页访问请求消息重定向到注册网页,包括:
所述网络接入设备接收到所述RADIUS服务器返回的网页认证结果;
如果所述网页认证结果指示所述移动终端通过网页认证,则所述网络接入设备将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;
所述网络接入设备根据所述IP地址对应的所述第二权限策略,将所述网页访问请求消息重定向到所述注册网页。
3.如权利要求2所述的方法,其特征在于,还包括:
若所述网络接入设备判断所述移动终端的标识对应的注册状态为已注册,所述网络接入设备向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
4.如权利要求1所述的方法,其特征在于,还包括:
若所述网络接入设备判断所述移动终端的标识对应的注册状态为已注册,所述网络接入设备向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
当所述网络接入设备确定所述移动终端与拨号用户远程认证服务RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
5.如权利要求2至4中任一所述的方法,其特征在于,所述网络接入设备判断所述移动终端的标识对应的注册状态,包括:
所述网络接入设备从所述接入请求消息中获取所述移动终端的标识;
根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
6.如权利要求5所述的方法,其特征在于,所述注册网页是所述管理服务器提供的,
所述如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,包括:
所述网络接入设备接收所述管理服务器发送的所述配置文件和所述数字证书,所述配置文件和所述数字证书是所述管理服务器在所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册之后发送的;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
所述网络接入设备将所述配置文件和所述数字证书发送给所述移动终端。
7.如权利要求6所述的方法,其特征在于,所述网络接入设备向所述移动终端发送配置文件和数字证书之后,还包括:
所述网络接入设备接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
8.如权利要求7所述的方法,其特征在于,所述网络接入设备接收到所述CoA消息后,所述方法还包括:
所述网络接入设备回收所述IP地址。
9.一种无线访问接入点AP,其特征在于,包括:
接收单元,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元,用于判断所述接收单元接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配请求单元,用于若所述判断单元判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;
策略设置单元,用于将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;
所述接收单元,还用于接收所述移动终端使用所述IP地址发送的网页访问请求消息;
重定向请求单元,用于根据策略设置单元设置的所述第一权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到认证网页;以及如果确定所述移动终端通过所述认证网页认证成功,向所述AC发送第二转发请求,用于请求将所述网页访问请求消息重定向到注册网页,所述注册网页用于所述移动终端的用户输入个人信息和所述移动终端的设备参数;
所述接收单元,还用于接收来自所述无线AC的配置文件和数字证书;
所述发送单元,还用于向所述移动终端转发所述配置文件和所述数字证书,所述配置文件是根据所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数生成的,所述数字证书是所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数之后为所述用户终端分配的,所述配置文件和所述数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。
10.如权利要求9所述的无线AP,其特征在于,
所述接收单元,还用于接收来自拨号用户远程认证服务RADIUS服务器的网页认证结果,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到所述RADIUS服务器中进行网页认证;
所述策略设置单元,还用于如果所述网页认证结果指示所述移动终端通过网页认证,则将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;
所述重定向请求单元,具体用于根据所述IP地址对应的所述第二权限策略,向所述AC发送第一转发请求,用于请求将所述网页访问请求消息重定向到所述注册网页。
11.如权利要求10所述的无线AP,其特征在于,
所述发送单元,还用于若所述判断单元判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
所述无线AP还包括:
端口开放单元,用于当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
12.如权利要求9所述的无线AP,其特征在于,
所述发送单元,还用于若所述判断单元判断出所述注册状态为已注册,向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;
所述无线AP还包括:
端口开放单元,用于当所述网络接入设备确定所述移动终端与拨号用户远程认证服务RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。
13.如权利要求9至12任一所述的无线AP,其特征在于,所述判断单元包括:
获取子单元,用于从所述接入请求消息中获取所述移动终端的标识;
查询子单元,用于根据所述获取子单元获取的所述移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元,用于接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
14.一种无线控制器AC,其特征在于,包括:
接收单元,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;
判断单元,用于判断接收单元接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;
资源分配单元,用于若所述判断单元判断所述移动终端的标识对应的注册状态为未注册,为所述移动终端分配IP地址;
所述接收单元,还用于接收所述AC控制的无线访问接入点AP发送的第一转发请求;
重定向单元,用于根据所述第一转发请求将所述移动终端使用所述IP地址发送的网页访问请求消息重定向到认证网页;
所述接收单元,还用于接收所述AP发送的第二转发请求;
所述重定向单元,还用于根据所述第二转发请求将所述网页访问请求消息重定向到注册网页,所述注册网页用于所述移动终端的用户输入个人信息和所述移动终端的设备参数;
所述接收单元,还用于接收所述企业的无线网络中的管理服务器发送的配置文件和数字证书,所述配置文件是根据所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数生成的,所述数字证书是所述用户终端的用户在所述注册网页中输入的个人信息和所述移动终端的设备参数之后为所述用户终端分配的,所述配置文件和所述数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;
发送单元,还用于将所述配置文件和所述数字证书发送给所述AP。
15.如权利要求14所述的无线AC,其特征在于,所述判断单元包括:
获取子单元,用于从所述接入请求消息中获取所述移动终端的标识;
查询子单元,用于根据获取子单元获取的移动终端的标识,向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;
接收子单元,用于接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。
16.如权利要求14所述的无线AC,其特征在于,
所述接收单元,还用于接收拨号用户远程认证服务RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。
17.如权利要求16所述的无线AC,其特征在于,还包括:
资源回收单元,用于在所述接收单元接收到所述CoA消息后,回收所述IP地址。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410003686.XA CN104767715B (zh) | 2014-01-03 | 2014-01-03 | 网络接入控制方法和设备 |
| PCT/CN2014/092788 WO2015101125A1 (zh) | 2014-01-03 | 2014-12-02 | 网络接入控制方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410003686.XA CN104767715B (zh) | 2014-01-03 | 2014-01-03 | 网络接入控制方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767715A CN104767715A (zh) | 2015-07-08 |
| CN104767715B true CN104767715B (zh) | 2018-06-26 |
Family
ID=53493160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410003686.XA Active CN104767715B (zh) | 2014-01-03 | 2014-01-03 | 网络接入控制方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104767715B (zh) |
| WO (1) | WO2015101125A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106535176B (zh) * | 2015-09-14 | 2020-09-04 | 华为技术有限公司 | 一种网络接入方法及装置 |
| CN106713388B (zh) * | 2015-11-13 | 2021-03-30 | 创新先进技术有限公司 | 一种突发业务处理方法及装置 |
| CN107026918B (zh) * | 2016-01-29 | 2020-06-09 | ***通信集团广东有限公司 | 基于动态主机配置协议的web认证计费方法及*** |
| CN105848279B (zh) * | 2016-03-18 | 2019-08-06 | 深圳市万普拉斯科技有限公司 | 数据传输方法及相关装置 |
| CN105978933B (zh) * | 2016-04-25 | 2019-09-17 | 青岛海信电器股份有限公司 | 一种网页请求及响应方法、终端、服务器和*** |
| CN111262865B (zh) * | 2016-09-23 | 2021-03-30 | 华为技术有限公司 | 访问控制策略的制定方法、装置及*** |
| CN108009165A (zh) * | 2016-10-31 | 2018-05-08 | 北京乐知行软件有限公司 | 一种网页访问控制方法及装置 |
| CN108881103B (zh) * | 2017-05-08 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
| GB2565864B (en) * | 2017-05-11 | 2022-02-02 | Pismo Labs Technology Ltd | Methods and apparatus for processing data packets originated from a mobile computing device to destinations at a wireless network node |
| CN114978583A (zh) * | 2018-03-05 | 2022-08-30 | 上海可鲁***软件有限公司 | 一种工业物联智能虚拟专网*** |
| CN108933794B (zh) * | 2018-08-22 | 2021-08-10 | 广州视源电子科技股份有限公司 | 一种加入企业策略的方法、装置、设备及服务器 |
| CN110971714B (zh) * | 2018-09-28 | 2023-10-27 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及*** |
| CN110087238B (zh) * | 2019-05-13 | 2022-09-23 | 商洛学院 | 一种移动电子设备信息安全保护*** |
| CN112449440B (zh) * | 2019-08-29 | 2023-05-23 | 深圳市优克联新技术有限公司 | 无线资源的控制方法、装置、电子设备及存储介质 |
| CN110505357B (zh) * | 2019-09-06 | 2021-04-02 | 上海航天测控通信研究所 | 一种宇航voip语音终端的管理方法 |
| CN113972988A (zh) * | 2020-07-06 | 2022-01-25 | 西安西电捷通无线网络通信股份有限公司 | 数字证书获取方法及装置 |
| CN112118575B (zh) * | 2020-09-25 | 2022-06-28 | 国网江苏省电力有限公司 | 一种无线设备认证方法及其*** |
| CN114338177B (zh) * | 2021-12-30 | 2023-07-21 | 天翼物联科技有限公司 | 物联网定向访问管控方法与*** |
| CN114915612B (zh) * | 2022-04-22 | 2024-03-15 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
| CN115022980B (zh) * | 2022-06-07 | 2022-12-23 | 夏文祥 | 一种终端随遇接入网络的方法及装置 |
| CN117097573B (zh) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094061A (zh) * | 2006-06-24 | 2007-12-26 | 华为技术有限公司 | 数字网关***、设备和网络终端设备的接入签权认证方法 |
| CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
| CN103079201A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 无线局域网的快速认证方法、ac及*** |
| WO2013151639A1 (en) * | 2012-04-04 | 2013-10-10 | Aruba Networks, Inc. | System and method for provisioning a unique device credential |
| US8578443B2 (en) * | 2011-06-01 | 2013-11-05 | Mobileasap, Inc. | Real-time mobile application management |
| CN103475751A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种ip地址切换的方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100571216C (zh) * | 2007-03-06 | 2009-12-16 | 中兴通讯股份有限公司 | 网络访问控制方法及*** |
| CN101631331B (zh) * | 2009-08-10 | 2012-11-21 | 华为技术有限公司 | 一种终端管理方法和设备 |
| US8713589B2 (en) * | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
| US9571482B2 (en) * | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
| US8515488B2 (en) * | 2011-07-29 | 2013-08-20 | Mitel Networks Corporation | System for dynamic assignment of mobile subscriber identities and methods thereof |
| US9143530B2 (en) * | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
| CN102647432B (zh) * | 2012-05-17 | 2016-04-20 | 湖南神州祥网科技有限公司 | 一种认证信息传输方法、装置及认证中间件 |
-
2014
- 2014-01-03 CN CN201410003686.XA patent/CN104767715B/zh active Active
- 2014-12-02 WO PCT/CN2014/092788 patent/WO2015101125A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094061A (zh) * | 2006-06-24 | 2007-12-26 | 华为技术有限公司 | 数字网关***、设备和网络终端设备的接入签权认证方法 |
| CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
| US8578443B2 (en) * | 2011-06-01 | 2013-11-05 | Mobileasap, Inc. | Real-time mobile application management |
| CN103079201A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 无线局域网的快速认证方法、ac及*** |
| WO2013151639A1 (en) * | 2012-04-04 | 2013-10-10 | Aruba Networks, Inc. | System and method for provisioning a unique device credential |
| CN103475751A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种ip地址切换的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015101125A1 (zh) | 2015-07-09 |
| CN104767715A (zh) | 2015-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| CN104936178B (zh) | 无线电力发送设备、用于发信号通知针对无线通信网络的接入信息的方法及用于授权无线电力接收设备的方法 | |
| CN1685694B (zh) | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| CN108496380B (zh) | 服务器和存储介质 | |
| CN104917727B (zh) | 一种帐户鉴权的方法、***及装置 | |
| CN103329091B (zh) | 交叉接入登录控制器 | |
| CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN104994504A (zh) | 与无线网络的安全和自动连接 | |
| DK2924944T3 (en) | Presence authentication | |
| CA2853411C (en) | A method for securely sharing a url | |
| CN105450616B (zh) | 一种终端的认证方法、受信判定网关、认证服务器和*** | |
| CN105306485B (zh) | 上网认证方法、认证服务器及其所在认证*** | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| US10951616B2 (en) | Proximity-based device authentication | |
| CN109561429A (zh) | 一种鉴权方法及设备 | |
| CN101621527A (zh) | VPN中基于Portal的安全认证的实现方法、***和设备 | |
| CN106572465A (zh) | 一种无线连接方法及*** | |
| US8751673B2 (en) | Authentication apparatus, authentication method, and data using method | |
| CN107819728A (zh) | 网络认证方法、相关装置 | |
| CN106102064B (zh) | 无线网络的认证方法和路由器 | |
| JP6155237B2 (ja) | ネットワークシステムとその端末登録方法 | |
| CN105409259B (zh) | 通过wifi为非蜂窝设备提供电话服务 | |
| JP2009118267A (ja) | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム | |
| JP2009087044A (ja) | 通信端末装置、コミュニティ管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211223 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: xFusion Digital Technologies Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |