WO2010003322A1

WO2010003322A1 - 终端访问的控制方法、***和设备

Info

Publication number: WO2010003322A1
Application number: PCT/CN2009/070427
Authority: WO
Inventors: 张屹
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2008-07-07
Filing date: 2009-02-13
Publication date: 2010-01-14
Also published as: CN101309279A; CN101309279B

Description

终端访问的控制方法、 ***和设备

本申请要求于 2008 年 07 月 07 日提交中国专利局、申请号为 200810127680. 8 , 发明名称为 "终端访问的控制方法、 ***和设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，尤其涉及一种终端访问的控制方法、 *** 和设备。背景技术

在终端接入控制领域，通常釆用网关来实现认证前域和认证后域的分隔以保护***资源。其中，认证前域是指终端认证通过前能够访问的区域；该区域通常放置认证服务器、补丁服务器、防病毒服务器等***资源，使终端能够访问并通过这些服务器实现安全修复，以便能够通过认证并访问认证后域中需要访问的资源。认证后域是指终端认证通过后能够访问的区域；该区域通常放置需要被保护的***资源。终端只有在被授权后，才能访问认证后域的资源。因此需要在低成本的情况下，实现认证前域和认证后域的分隔。

现有技术中提供了通过软件方式实现接入控制的方法，例如采用地址解析协议 ( Addres s Re so lut i on Pro toco l , ARP ) 欺骗的方式：当用户认证通过后，则可以访问网络；对于没有认证通过的终端，则无法正常访问网络。

发明人在实现本发明的过程中，发现现有技术中存在以下问题：该方法只能实现接入控制的开关功能，即没有通过认证前不能访问网络；通过认证之后，就能访问网络的所有资源。但是对于网络中有多种不同的网络资源，对于不同的网络资源需要根据不同用户的授权权限来区别是否可以访问时，现有技术中的方法无法满足用户的需要。发明内容

本发明的实施例提供一种终端访问的控制方法、 ***和设备，用于对不同终端接入后的访问权限进行控制。

本发明的实施例提供一种终端访问的控制方法，包括：

接收网络侧服务器发送的策略配置 , 所述策略配置由所述网络侧服务器在终端接入网络时进行认证后，根据终端身份的授权范围生成；

根据所述策略配置修改本地设置；

根据修改的本地设置对终端的访问权限进行控制。

本发明的实施例还提供一种终端访问的控制***，包括：

至少一个终端，所述终端上包括代理，所述代理用于接收网络侧服务器发送的策略配置，并根据接收的策略配置修改本地设置以对所述终端的访问权限进行控制；

服务器，用于在所述终端接入网络时进行认证，根据终端身份的授权范围生成策略配置，并向所述终端上的所述代理发送所述策略配置。

本发明的实施例还提供一种代理设备，包括：

接收单元，用于接收服务器发送的策略配置，所述策略配置由网络侧服务器在终端接入网络时进行认证后，根据终端身份的授权范围生成；配置单元，用于根据所述接收单元接收的策略配置修改本地设置；控制单元，用于根据所述配置单元修改的本地设置，对终端的访问权限进行控制。

与现有技术相比 , 本发明的实施例具有以下优点：

在需要对终端接入网络后的访问进行控制时，可以通过向终端上的代理下发策略配置的方法，使得代理根据该策略配置对终端的访问权限进行控制。从而实现了对不用终端的认证前域和认证后域筒便灵活的划分，满足了多终端接入控制的要求。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明的实施例中终端访问的控制方法的流程图；

图 2是本发明的实施例中通过 IPSec策略进行终端访问控制的流程图；

图 3是本发明的实施例中终端访问的控制***的结构示意图；图 4是本发明的实施例中代理的结构示意图；

图 5是本发明的实施例中服务器的结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的实施例中提供一种终端访问的控制方法，如图 1所示，包括以下步骤：

步骤 s l 01、接收网絡侧服务器发送的策略配置，所述策略配置由所述网络侧服务器在终端接入网络时进行认证后，根据终端身份的授权范围生成。

步骤 s i 02、根据接收的策略配置修改本地设置。

步骤 s 1 03、根据修改的本地设置对终端的访问权限进行控制。具体的，本发明实施例中对终端访问的控制由位于终端上的代理功能实现。代理根据网络侧服务器下发的控制规则对终端能够访问的区域进行控制。在终端与接入认证服务器的认证通过前，根据代理本地预设的缺省控制规则，终端只能访问网络侧服务器所在的区域，即认证前域。终端与网络侧服务器的认证通过后，网络侧服务器根据终端身份的授权范围，下发相应的策略配置给终端的代理，在代理的控制下，终端就能够访问被授权的业务资源，即被授权的认证后域。

通过使用本发明实施例提供的终端访问的控制方法，在需要对终端接入网络后的访问进行控制时 , 可以通过向终端上的代理下发策略配置的方法，使得代理根据该策略配置对终端的访问权限进行控制。从而实现了对不用终端的认证前域和认证后域简便灵活的划分，满足了多终端接入控制的要求。

以下结合具体的应用场景，对本发明的实施方式作进一步说明。

在对不同的终端授权不同的被访问资源的实现方式上，以网络侧的服务器为接入认证服务器为例，对终端权限的控制可以釆用接入认证服务器下发因特网协议安全（ Internet Protocol Secur i ty, IPSec ) 策略的方式实现。接入认证服务器通过对不同的终端下发不同的 IPSec策略，实现对不同的访问权限的控制。具体的，当终端通过认证后，接入认证服务器查询到终端的授权范围，获取与该授权范围对应的已经预定义的 IPSec策略，然后将该获取到的 IPSec策略下发到终端；则终端根据该 IPSec策略，在 IP层只能访问被授权的资源。该实现的流程如图 2所示，包括：

步骤 s 201、终端上的代理启动，并使用本地的缺省 IPSec策略设置，该设置使得终端只能访问接入认证服务器所在的认证前域。

步骤 s 202、用户在终端上输入认证信息，并提交给接入认证服务器。步骤 s 203、接入认证服务器对用户的认证信息进行认证，如果认证不通过，则返回步骤 s 202 , 提醒用户重新认证；如果认证通过，则进行步骤步骤 s204、接入认证服务器根据该用户的授权状况，把对应的 IPSec 策略配置下发给终端的代理。

例如，接入认证服务器要阻止从基于 Windows Server 2003 或 Windows XP的终端发往任何其他终端上的用户数据 4艮协议（ User Datagram Protocol, UDP) 1434端口的任何网络通信，则接入认证服务器下发相应 IPSec策略并在终端组装成如下脚本运行即可。

IPSeccmd.exe -w REG - p "Block UDP 1434 Filter" - r "Block Outbound UDP 1434 Rule" -f 0=*: 1434: UDP -n BLOCK

步骤 s205、终端的代理根据收到的 IPSec策略配置改本地设置。以上述步骤 s204中接入认证服务器下发的 IPSec策略为例，则代理会在终端的 "本地安全设置 - - >IP安全策略"中将生成 "Block UDP 1434 Filter" 的策略。通过该策略，可以有效地阻止运行 SQL Server 2000的计算机传播 "Slammer" 蠕虫病毒。

步骤 s 206、终端根据本地设置，访问被授权的资源。

通过使用本发明实施例提供的终端访问的控制方法，在需要对终端接入网络后的访问进行控制时，可以通过向终端上的代理下发策略配置（如 IPSec策略配置）的方法，使得代理根据该策略配置对终端的访问权限进行控制。从而实现了对不用终端的认证前域和认证后域简便灵活的划分，满足了多终端接入控制的要求。

本发明的实施例还提供一种终端访问的控制***，如图 3所示，包括：至少一个终端 10, 其中每个终端 10上包括代理 20。其中代理 20用于接收网络侧服务器 30发送的策略配置，并根据接收的策略配置修改本地设置，以对终端 10的访问权限进行控制。终端 10可以在代理 20的控制下，在其访问权限范围内访问被保护的***资源 40。

服务器 30, 用于在终端 10接入网络时对终端 10进行认证，根据终端

10身份的授权范围生成策略配置，并向终端 10上的代理 20发送所述策略配置，用于对终端 10的访问权限进行控制，使终端 10在其访问权限范围内访问被保护的***资源 40。

被保护的***资源 40, 用于将资源提供给具有访问权限的终端 10进行访问。

具体的，上述代理 20的结构如图 4所示，包括：

接收单元 21, 用于接收服务器 30发送的策略配置，该策略配置可以为 IPSec策略配置。所述策略配置由服务器 30在终端 10接入网絡时进行认证后，根据终端 10身份的授权范围生成。

配置单元 22, 用于根据接收单元 21接收的策略配置修改本地设置。控制单元 23, 用于根据配置单元 22修改的本地设置，对终端 10的访问权限进行控制。

另外，还包括：

发送单元 24, 用于向服务器 30发送终端 10的认证请求。

缺省配置单元 25，用于在发送单元 24向服务器 30发送终端 10的认证请求前，将本地预设的缺省控制规则提供给控制单元 23, 用于对终端 10的访问权限进行控制。

具体的，上述服务器 30的结构如图 5所示，包括：

服务器接收单元 31 ,用于接收来自终端 10上代理 20发送的认证请求。服务器策略配置生成单元 32, 用于在服务器接收单元 31接收到认证请求时，根据终端身份的授权范围，生成相应的策略配置。该策略配置可以为 IPSec策略配置。

服务器发送单元 33, 用于将服务器策略配置生成单元 32生成的策略配置向终端 10上的代理 20发送。

通过使用本发明实施例提供的终端访问的控制***和设备，在需要对终端接入网络后的访问进行控制时，可以通过向终端上的代理下发策略配置（如 IPSec策略配置）的方法，使得代理根据该策略配置对终端的访问权限进行控制。从而实现了对不用终端的认证前域和认证后域筒便灵活的划分，满足了多终端接入控制的要求。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体 ( Read- On ly Memory , ROM )或随机存储记忆体 ( Random Acce s s Memory , RAM ) 等。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 4青神和范围。

Claims

权利要求书

1、一种终端访问的控制方法，其特征在于，包括：

根据所述策略配置修改本地设置；

根据修改的本地设置对终端的访问权限进行控制。

2、如权利要求 1所述的方法，其特征在于，所述接收网络侧服务器发送的策略配置前，还包括：

向所述网络侧服务器发送认证请求。

3、如权利要求 1所述的方法，其特征在于，所述接收网絡侧服务器发送的策略配置包括：

接收所述网络侧服务器根据终端身份的授权范围生成并发送的策略配置。

4、如权利要求 1或 3所述的方法，其特征在于，所述策略配置为因特网协议安全 IPSec配置。

5、一种终端访问的控制***，其特征在于，包括：

6、如权利要求 5所述的***，其特征在于 , 所述代理包括：接收单元，用于接收所述服务器发送的策略配置；

配置单元，用于根据所述接收单元接收的策略配置修改本地设置；控制单元，用于根据所述配置单元设定的本地设置，对终端的访问权限进行控制。

7、如权利要求 6所述的***，其特征在于，所述代理还包括：发送单元，用于向所述服务器发送终端的认证请求。求前，将本地预设的缺省控制规则提供给所述控制单元，用于对终端的访问权限进行控制。

8、如权利要求 5所述的***，其特征在于，所述服务器包括：服务器接收单元，用于接收来自所述终端上所述代理发送的认证请求；

服务器策略配置生成单元，用于在所述服务器接收单元接收到认证请求时，根据终端身份的授权范围，生成相应的策略配置；

服务器发送单元，用于将所述服务器策略配置生成单元生成的策略配置向所述终端上的所述代理发送。

9、一种代理设备，其特征在于，包括：

接收单元，用于接收服务器发送的策略配置，所述策略配置由网络侧服务器在终端接入网絡时进行认证后，根据终端身份的授权范围生成；配置单元，用于根据所述接收单元接收的策略配置修改本地设置；控制单元，用于根据所述配置单元修改的本地设置，对终端的访问权限进行控制。

1 0、如权利要求 9所述的代理设备，其特征在于，还包括：发送单元，用于向所述服务器发送终端的认证请求；

缺省配置单元，用于在所述发送单元向所述服务器发送终端的认证请求前，将本地预设的缺省控制规则提供给所述控制单元，用于对终端的访问权限进行控制。