CN103369531B - 一种基于终端信息进行权限控制的方法及装置 - Google Patents
一种基于终端信息进行权限控制的方法及装置 Download PDFInfo
- Publication number
- CN103369531B CN103369531B CN201310278207.0A CN201310278207A CN103369531B CN 103369531 B CN103369531 B CN 103369531B CN 201310278207 A CN201310278207 A CN 201310278207A CN 103369531 B CN103369531 B CN 103369531B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- end message
- radius
- authority
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于终端信息进行权限控制的方法及装置,应用在802.1X认证网络中。通过对现有802.1x认证方式进行扩展,在遵循原有802.1x协议基础上,增加终端的设备类型、操作系统类型等终端信息获取环节,进而根据所获取的该终端的设备类型、操作系统类型信息进行终端设备的访问权限控制。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种在802.1X接入认证管理过程中基于终端信息进行接入访问权限控制的方法及装置。
背景技术
随着通信技术的发展,接入网络中的终端设备也越来越多样化。即包括固定在办公场所内的终端设备(例如:PC机),也包括可以自由移动的终端设备(例如:员工随身携带的手机、平板电脑等)。出于安全考虑,企业通常需要对这些不同类型的终端设备在接入网络时授予不同的访问权限。比如:只授予办公场所内固定的终端设备能够访问公司网络,而禁止移动通信终端设备访问公司网络(之所以有这样的需求是因为固定在办公场所内的PC机可以通过安装检测软件等手段达到安全控制的目的,但对于移动终端来说这样的控制很难)。
为了满足企业的上述需求,现有的解决方案是:事先在radius服务器上手工设置对应的终端信息,然后根据终端的用户名、IP地址、MAC地址等信息进行相应的接入控制。但这对于海量的终端设备来说,这种预防式接入控制显得捉襟见肘,且维护量很大。另外,接入控制的终端信息类型仅限于用户名、IP地址、MAC地址,控制的方式比较单一,无法区分是移动终端还是固定接入终端(例如PC机),这给企业的内部网络安全带来隐患。
发明内容
有鉴于此,本发明提供一种基于终端信息进行权限控制的方法及装置,可以解决现有技术方案中存在的问题与不足。
本发明是通过如下技术方案实现的:
一种基于终端信息进行权限控制的装置,应用于802.1X认证网络环境中,所述网络环境中还包括有待认证的用户终端、接入设备、Radius服务器等,所述装置包括有:配置单元、查询单元、解析单元以及权限控制单元,其中,
配置单元,用于根据事先设定的策略,基于终端信息配置用户终端设备相应的接入访问权限;
查询单元,用于在接收到接入设备发送的Radius认证请求信息时,查找Radius服务器上本地数据库中是否保存用户终端的终端信息,以便确定该用户终端是否为首次发送认证请求;
解析单元,用于在用户终端首次发起802.1X认证时,解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中;
权限控制单元,用于当查询单元在所述Radius服务器本地数据库中查找到用户终端的终端信息后,根据事先配置的基于终端信息对应的访问策略,对该用户终端开放相应的访问权限。
本发明同时提供一种基于终端信息进行权限控制的方法,应用于802.1X认证网络环境中,所述网络环境中包括有待认证的用户终端、接入设备、Radius服务器,其中,所述方法包括:
步骤1,用户终端发起802.1x认证,接入设备接收到该认证请求后,向Radius服务器发起Radius认证请求;
步骤2、Radius服务器接收到接入设备的Radius认证请求后,查找本地数据库是否保存有该用户终端的终端信息,进而判断该用户终端是否为首次发送认证请求,如果是,则进入步骤3,否则进入步骤4;
步骤3、解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中;
步骤4,根据事先配置的基于终端信息对应的访问策略,对该用户终端开放相应的访问权限。
与现有的技术相比,本发明在基于用户名、IP地址、MAC地址等信息接入控制的基础上,增加生产厂商、终端类型(例如PC或者移动终端)、操作系统类型等终端信息的接入控制,大大地提高了企业内部网络访问的安全性。
附图说明
图1是本发明基于终端信息进行权限控制的装置示例性结构示示意图;
图2是本发明基于终端信息进行权限控制的示例性方法流程示意图。
具体实施方式
为了实现本发明的目的,本发明通过对现有802.1x认证方式进行扩展,在遵循原有802.1x协议基础上,增加终端的生产厂商、设备类型、操作系统类型信息获取环节,进而根据所获取的该终端的生产厂商、设备类型和/或操作系统类型信息进行终端设备的访问权限控制。
以软件实现为例,本发明提供的基于终端信息进行权限控制的装置,如图1所示,应用于802.1X认证网络环境中,该网络环境中还包括有待认证的用户终端、接入设备、Radius服务器等。所述装置包括有:配置单元、查询单元、解析单元以及权限控制单元。在优选的实施方案中,该装置应用在Radius服务器上,作为本发明装置运行的载体,所述Radius服务器通常还包括有中央处理单元CPU、内存以及非易失性存储器,以便支持本发明装置的运行。进一步地,所述Radius服务器可能还包括有其他的业务硬件,由于这些硬件并非为实现本发明目的的必需组件,在此不赘述。
在本发明装置中,各逻辑单元彼此间的逻辑关系及各自功能及如下:
配置单元,用于根据事先设定的策略,基于终端信息配置用户终端设备相应的接入访问权限。
具体地,所述终端信息包括但不限于用户终端的MAC地址、IP地址、生产厂商名称、设备类型以及该终端应用的操作系统类型等信息。而基于所述终端信息配置不同的接入访问权限,则由各企业根据自身的信息安全和管理需要,由管理员事先通过配置单元在本发明装置上事先配置好。
查询单元,用于在接收到接入设备发送的Radius认证请求信息时,查找Radius服务器上本地数据库中是否保存用户终端的终端信息,以便确定该用户终端是否为首次发送认证请求。
具体地,当本发明装置接收到接入设备发送的用户终端的认证请求时,首先通过查询单元查询Radius服务器上本地数据库中是否保存有该用户终端的终端信息,如果用户终端非首次发起802.1X认证,则所述Radius服务器本地数据库中会保存有该用户终端的终端信息,此时,查询单元根据该用户终端的IP地址、MAC地址命中该用户终端的终端信息后,通知权限控制单元为该用户终端开放相应的访问权限。反之,如果用户终端为首次发起802.1X认证,由于Radius服务器本地数据库中没有保存该用户终端的终端信息,所述查询单元根据用户终端的IP地址、MAC地址将查找不到该用户终端的终端信息记录。此时,查询单元将通知所述Radius服务器将返回携带有重定向到本发明装置解析单元的URL链接和用户终端剩余在线时长的响应报文。
解析单元,用于在用户终端首次发起802.1X认证时,解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中。
如前所述,当用户终端为首次发起802.1X认证时,所述Radius服务器将返回携带有重定向到本发明解析单元的URL链接和用户剩余在线时长的响应报文。所述接入设备接在收到该响应报文后透传给所述用户终端。所述用户终端根据解析的结果,获取到该重定向的URL链接后,自动打开浏览器向本发明解析单元发起http请求报文并同时启动计时器。所述解析单元接收到该http请求报文后,通过解析该http报文头中的User-Agent属性,将获取到该用户终端的MAC地址、IP地址、终端类型和操作系统类型等信息,然后将获取的所述这些终端信息插入到Radius服务器的本地数据库中,以便所述用户终端在重新认证时根据该终端信息开放相应的接入访问控制权限。
为了实现本发明目的,在本发明中,用户终端还需要根据解析Radius服务器响应报文获取的在线剩余时长,并当计时器上该在线剩余时长到来后,自动下线并重新发起802.1X认证。这样,在随后的认证过程中,本发明装置就可以通过查找单元查找到该用户终端对应的终端信息了,进而根据终端信息对该用户终端开放相应的访问权限了。
权限控制单元,用于当查询单元在所述Radius服务器本地数据库中查找到用户终端的终端信息后,根据事先配置的基于终端信息对应的访问策略,对该用户终端开放相应的访问权限。
为使本发明领域技术人员更加清楚和明白,下面进一步详细说明本发明基于终端信息进行权限的控制的实现过程。需要说明的是,在实际应用时,获取设备的终端信息的方式有多种,例如:通过解析用户终端的用户名、MAC地址等获取终端信息,因此,本处以从User-Agent属性中获取终端信息的示例性实现过程不应限制本发明的权利范围。
如图2所示,本发明装置实现基于终端信息进行权限的控制的过程,具体为:
步骤1、用户终端发起802.1x认证,接入设备接收到该认证请求后,向Radius服务器发起Radius认证请求。
步骤2、Radius服务器接收到接入设备的Radius认证请求后,查找本地数据库是否保存有该用户终端的终端信息,进而判断该用户终端是否为首次发送认证请求,如果是,则进入步骤3,否则进入步骤4。
步骤3、解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中。
当查找单元在Radius服务器本地数据库上查找不到用户终端对应的终端信息记录时,表明该用户终端是首次发起802.1X的认证,为了实现本发明目的,所述Radius服务器此时将授权该用户终端只能访问和认证业务相关的资源,不能访问外部网络资源,同时,在返回的认证结果中携带指向本发明装置解析单元的重定向URL和用户剩余在线时长。
所述接入设备在接收到来自Radius服务器的认证结果报文后,将该认证结果报文透传给待认证的用户终端,所述用户终端收到该认证结果报文后,根据解析获得的重定向URL自动使用浏览器打开指向本发明装置解析单元的访问页面,同时启用定时器计算在线时长。
当本发明装置的解析单元接收到用户终端发起的http请求报文后,由于每个http请求报文头中均包括携带有用户终端MAC地址、IP地址、厂商名称、终端类型和操作系统类型信息的User-Agent属性信息,因此,本发明装置解析单元就可以通过解析该User-Agent属性来获取该用户终端的MAC地址、IP地址、厂商名称、终端类型和操作系统类型等终端信息,并在获取到这些终端信息后将之插入保存到所述Radius服务器的本地数据库中。这样,所述Radius服务器的本地数据库中就有该用户终端的终端信息了,用户终端在随后的802.1X认证中就可以根据这些终端信息为用户终端开放相应的接入访问权限了。
为了实现本发明目的,在本步骤之后,用户终端还需要进一步计算在线时长,并在在线时长到达后自动下线,然后转入步骤1。
当用户终端的定时器计算在线时长到来后,将通知用户终端自动下线,随后所述用户终端转入步骤1重新发起802.1X认证。由于此时所述Radius服务器已经获取到该用户终端的终端信息了,因此,在随后的认证过程中,所述Radius服务器就可以根据该用户终端的终端信息,为该用户终端开放相应的接入访问权限。
步骤4、Radius服务器根据查找到的终端信息,对该用户终端开放相应的接入访问权限。
当查找单元在所述Radius服务器本地服务器上查找到用户终端对应的用户信息,表明该用户终端非首次发起802.1X认证,所述Radius服务器已经获取到该用户终端的终端信息,这样,在所述用户终端认证成功后,就可以通过本发明装置的权限控制单元为该用户终端开放相应的访问权限。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种基于终端信息进行权限控制的装置,应用于802.1X认证网络环境中,所述网络环境中还包括有待认证的用户终端、接入设备、Radius服务器,所述装置包括有:配置单元、查询单元、解析单元以及权限控制单元,其特征在于,
配置单元,用于根据事先设定的策略,基于终端信息配置用户终端设备相应的接入访问权限;
查询单元,用于在接收到接入设备发送的Radius认证请求信息时,查找Radius服务器上本地数据库中是否保存用户终端的终端信息,以便确定该用户终端是否为首次发送认证请求;
解析单元,用于在用户终端首次发起802.1X认证时,解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中;
权限控制单元,用于当查询单元在所述Radius服务器本地数据库中查找到用户终端的终端信息后,根据事先配置的基于终端信息对应的访问策略,对该用户终端开放相应的访问权限;
当用户终端为首次发起802.1X认证时,用户终端根据Radius服务器返回的响应报文中携带的URL链接向所述解析单元发送Http请求报文,所述解析单元通过解析该用户终端发送的Http请求报文头中的User-Agent属性获取到该用户终端的终端信息;
所述终端信息具体为用户终端的MAC地址、IP地址、厂商名称、设备类型以及用户终端采用的操作系统类型信息。
2.如权利要求1所述的装置,其特征在于,当查询单元在Radius服务器上本地数据库中查找不到用户终端的终端信息时,则确定用户终端为首次发起认证,此时,所述查询单元将通知所述Radius服务器将返回携带有重定向到解析单元的URL链接和用户终端剩余在线时长的响应报文。
3.如权利要求1所述的装置,其特征在于,当用户终端为首次发起802.1X认证时,用户终端还将在Radius服务器返回的响应报文中携带的剩余在线时长到来时自动下线,然后重新发起802.1X认证。
4.一种基于终端信息进行权限控制的方法,应用于802.1X认证网络环境中,所述网络环境中包括有待认证的用户终端、接入设备、Radius服务器,其特征在于,所述方法包括:
步骤1,用户终端发起802.1x认证,接入设备接收到该认证请求后,向Radius服务器发起Radius认证请求;
步骤2、Radius服务器接收到接入设备的Radius认证请求后,查找本地数据库是否保存有该用户终端的终端信息,进而判断该用户终端是否为首次发送认证请求,如果是,则进入步骤3,否则进入步骤4;
步骤3、解析获取该用户终端的终端信息,并将之保存在所述Radius服务器本地数据库中;
步骤4,根据事先配置的基于终端信息对应的访问策略,对该用户终端开放相应的访问权限;
当用户终端为首次发起802.1X认证时,用户终端根据Radius服务器返回的响应报文中携带的URL链接发送Http请求报文,所述Radius服务器通过解析该用户终端发送的Http请求报文头中的User-Agent属性获取到该用户终端的终端信息;
所述终端信息具体为用户终端的MAC地址、IP地址、厂商名称、设备类型以及用户终端采用的操作系统类型信息。
5.如权利要求4所述的方法,其特征在于,当所述Radius服务器在本地数据库中查找不到用户终端的终端信息时,则确定用户终端为首次发起认证,此时,所述Radius服务器将返回携带有重定向到解析步骤的URL链接和用户终端剩余在线时长的响应报文。
6.如权利要求4所述的方法,其特征在于,当用户终端为首次发起802.1X认证时,用户终端还将在Radius服务器返回的响应报文中携带的剩余在线时长到来时自动下线,然后重新发起802.1X认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310278207.0A CN103369531B (zh) | 2013-07-02 | 2013-07-02 | 一种基于终端信息进行权限控制的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310278207.0A CN103369531B (zh) | 2013-07-02 | 2013-07-02 | 一种基于终端信息进行权限控制的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103369531A CN103369531A (zh) | 2013-10-23 |
| CN103369531B true CN103369531B (zh) | 2017-07-04 |
Family
ID=49369851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310278207.0A Active CN103369531B (zh) | 2013-07-02 | 2013-07-02 | 一种基于终端信息进行权限控制的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103369531B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357168B (zh) * | 2014-08-19 | 2019-02-01 | 酷派软件技术(深圳)有限公司 | 一种设备访问权限分配方法及装置 |
| CN104468552B (zh) * | 2014-11-28 | 2018-10-19 | 迈普通信技术股份有限公司 | 一种接入控制方法和装置 |
| CN104580176B (zh) * | 2014-12-26 | 2018-09-21 | 深圳市海蕴新能源有限公司 | 设备共享方法及系统 |
| CN105991576B (zh) * | 2015-02-10 | 2019-07-09 | 新华三技术有限公司 | 一种安全策略的下发方法和设备 |
| CN105915495A (zh) * | 2015-12-08 | 2016-08-31 | 乐视网信息技术(北京)股份有限公司 | 一种对内容访问的限制身份进行验证的方法及其装置 |
| CN105897437A (zh) * | 2016-04-12 | 2016-08-24 | 上海斐讯数据通信技术有限公司 | 接入认证页面网络资费指标同步方法、设备及系统 |
| CN106407842B (zh) * | 2016-09-29 | 2019-06-14 | 恒大智慧科技有限公司 | 一种签核发起用户管理方法和设备 |
| CN107124422A (zh) * | 2017-05-12 | 2017-09-01 | 北京明朝万达科技股份有限公司 | 一种终端准入控制方法及系统 |
| CN107809427A (zh) * | 2017-10-26 | 2018-03-16 | 迈普通信技术股份有限公司 | 页面推送方法、装置、系统及信息获取方法、装置 |
| CN111314286B (zh) * | 2019-12-20 | 2022-11-01 | 杭州迪普科技股份有限公司 | 安全访问控制策略的配置方法及装置 |
| CN112417408B (zh) * | 2020-12-11 | 2024-07-23 | 北京北信源软件股份有限公司 | 权限控制方法、装置、电子设备及存储介质 |
| CN112804320B (zh) * | 2021-01-04 | 2023-02-28 | 德施曼机电(中国)有限公司 | 一种智能门锁的控锁app下载方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| EP2328319A1 (en) * | 2008-09-19 | 2011-06-01 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system and server for realizing the secure access control |
| CN102348209A (zh) * | 2011-09-23 | 2012-02-08 | 福建星网锐捷网络有限公司 | 接入无线网络及其认证的方法和设备 |
| CN102427583A (zh) * | 2011-12-06 | 2012-04-25 | 华为技术有限公司 | 无线局域网接入认证的方法及装置 |
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599967B (zh) * | 2009-06-29 | 2012-08-15 | 杭州华三通信技术有限公司 | 基于802.1x认证系统的权限控制方法及系统 |
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
-
2013
- 2013-07-02 CN CN201310278207.0A patent/CN103369531B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| EP2328319A1 (en) * | 2008-09-19 | 2011-06-01 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system and server for realizing the secure access control |
| CN102348209A (zh) * | 2011-09-23 | 2012-02-08 | 福建星网锐捷网络有限公司 | 接入无线网络及其认证的方法和设备 |
| CN102427583A (zh) * | 2011-12-06 | 2012-04-25 | 华为技术有限公司 | 无线局域网接入认证的方法及装置 |
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103369531A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103369531B (zh) | 一种基于终端信息进行权限控制的方法及装置 | |
| US9277405B2 (en) | Access control interfaces for enhanced wireless router | |
| EP3319293B1 (en) | Cross-terminal login-free method and device | |
| US8571222B1 (en) | System and method for wide area wireless connectivity to the internet | |
| CN104283848B (zh) | 终端接入方法和装置 | |
| US20130117451A1 (en) | Method, device and system for controlling web page access | |
| CN102055813A (zh) | 一种网络应用的访问控制方法及其装置 | |
| JP2015529905A (ja) | 認可方法、装置、及びシステム | |
| CN101076033B (zh) | 存储认证证书的方法和系统 | |
| CN101702717A (zh) | 一种Portal认证的方法、系统及设备 | |
| CN105516171B (zh) | 基于认证服务集群的Portal保活系统及方法、认证系统及方法 | |
| WO2015043455A1 (zh) | 数据传输方法、设备及系统 | |
| CN101420416A (zh) | 身份管理平台、业务服务器、登录系统及方法、联合方法 | |
| CN105871853A (zh) | 一种入口认证方法和系统 | |
| JP7135206B2 (ja) | アクセス認証 | |
| CN103200159A (zh) | 一种网络访问方法和设备 | |
| CN103139137A (zh) | 网络服务提供方法及装置 | |
| CN106603556B (zh) | 单点登录方法、装置及系统 | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
| CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
| JP5544016B2 (ja) | Id/ロケータ分離ネットワークにおけるユーザーのicpウェブサイトログイン方法、システム及びログイン装置 | |
| CN102075504A (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
| AU2017344389B2 (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
| CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
| CN106851641A (zh) | 一种实现与多个wifi网络认证的统一认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |