CN101448264A - 接入用户的访问控制方法和系统 - Google Patents
接入用户的访问控制方法和系统 Download PDFInfo
- Publication number
- CN101448264A CN101448264A CNA200810240495XA CN200810240495A CN101448264A CN 101448264 A CN101448264 A CN 101448264A CN A200810240495X A CNA200810240495X A CN A200810240495XA CN 200810240495 A CN200810240495 A CN 200810240495A CN 101448264 A CN101448264 A CN 101448264A
- Authority
- CN
- China
- Prior art keywords
- safe class
- user
- access
- service area
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种接入用户的访问控制方法,该方法包括:设置域名的安全等级,为各安全等级设置对应的业务区域;当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;将获取的业务区域作为所述接入用户允许访问的业务区域,对接入用户进行访问控制。本发明还公开了一种接入用户的访问控制系统。使用本发明能够对接入用户的访问权限进行区分,以满足网络的安全性要求。
Description
技术领域
本发明涉及通信领域中的访问控制技术,具体涉及一种接入用户的访问控制方法和一种接入用户的访问控制系统。
背景技术
虚拟私有拨号网(VPDN,Virtual Private Dial-up Network)技术是利用诸如综合业务数字网(ISDN,Integrated Services Digital Network)或公用电话交换网(PSTN,Public Switched Telephone Network)的拨号功能接入公共网络,实现虚拟专用网的技术。VPDN网络可以为企业、小型因特网服务提供者(ISP,Internet Service Provider)、移动办公人员等提供接入服务。VPDN网络采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可以从远程经由公共网络,通过虚拟加密隧道实现与企业内部之间的网络链接,而公共网络上的其它用户无法穿过虚拟隧道访问企业内部资源。
目前,构建VPDN网络目前使用最为广泛的协议是第二层隧道协议(L2TP,Layer 2 Tunneling Protocol)。图1为使用L2TP协议构建VPDN的典型组网示意图。如图1所示,在L2TP构建的VPDN中,网络组件包括以下三个部分:远端系统、L2TP访问集中器(LAC,L2TP AccessConcentrator)和L2TP网络服务器(LNS,L2TP Network Server)。其中,远端系统是要接入VPDN网络的远地用户(Remote User)和远地分支机构(Remote Branch)。远端系统通常是一个拨号用户的主机或私有网络的一台路由设备。LAC位于LNS和远端系统之间,用于在LNS和远端系统之间传递数据包。LAC将从远端系统收到的数据包按照L2TP协议进行封装,将封装后的数据包通过LAC与LNS之间建立L2TP隧道传递给LNS,同时将从LNS收到的数据包解封装并发往远端系统。LNS通常是一个内部网的边缘设备,例如企业内部网的接入路由器。当用户访问企业内部网资源时,用户需要通过远端设备接入企业内部网中的内部服务器,此时,用户发送的数据包依次通过远端设备、LAC、LNS到达内部服务器,从而实现用户对企业内部网的访问。
为了保证企业内部网的安全性,通常需要对接入用户进行身份认证,目前的认证操作只对用户是否具有访问企业内部网的权限进行认证,在认证通过后,即允许用户接入。然而,企业内部网又分为多个业务区域,不同用户应该能够访问相关业务区域,而不是所有用户都可以访问所有业务区域,因此应该对接入用户的访问权限有所区分。例如,要求物流用户只能访问物流服务器系统,但不能访问企业决策系统;要求企业决策用户能够同时访问物流系统和企业决策系统。
但是,由于目前对接入用户不进行权限区分,因此所有接入用户具有相同的访问权限,不能控制用户所允许访问的业务区域,从而无法满足网络的安全性要求。
发明内容
有鉴于此,为了克服现有技术对接入用户不进行权限区分所带来的缺陷,本发明提供了接入用户的访问控制方法和系统,能够对接入用户的访问权限进行区分,以满足网络的安全性要求。
所述接入用户的访问控制方法,包括:
设置域名的安全等级,为各安全等级设置对应的业务区域;
当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;
将获取的业务区域作为所述接入用户允许访问的业务区域,对接入用户进行访问控制。
其中,不同安全等级对应的业务区域不重叠。
其中,所述为各安全等级设置对应的业务区域为:为各安全等级设置对应的安全策略,所述安全策略记录对应安全等级允许访问的业务区域地址。
其中,在虚拟私有拨号网中,域名的安全等级以及安全等级与业务区域的对应关系,均设置在认证服务器上;
所述当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域,包括:
虚拟私有拨号网中的第二层隧道协议网络服务器LNS检测到用户接入时,向认证服务器发送接入用户的域名;
所述认证服务器确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域,将获取的业务区域信息发送给所述LNS的接入口;
所述对接入用户进行访问控制为:所述LNS根据接收的业务区域信息,控制所述接入用户访问所述业务区域信息指示的业务区域。
较佳地,所述获取所确定安全等级对应的业务区域时,进一步包括:同时获取所确定安全等级的下级安全等级对应的业务区域。
其中,所述所确定安全等级的下级安全等级为所述所确定安全等级的所有下级安全等级,或者为预先针对所述所确定安全等级配置的下级安全等级。
所述所述接入用户的访问控制系统,包括设置单元、接入检测单元、业务区域确定单元和访问控制单元;
所述设置单元,用于设置域名的安全等级,为各安全等级设置对应的业务区域;
所述接入检测单元,用于在检测到用户接入时,通知业务区域确定单元;
所述业务区域确定单元,用于在接收到所述接入检测单元的通知时,根据所述设置单元设置的信息,确定所述接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;将获取的业务区域信息发送给所述访问控制单元;
所述访问控制单元,用于根据接收的业务区域信息,控制所述接入用户访问所述业务区域信息指示的业务区域。
较佳地,所述业务区域确定单元进一步用于,在获取所确定安全等级对应的业务区域的同时,获取所确定安全等级的所有下级安全等级对应的业务区域,或者根据预先针对所述所确定安全等级配置的下级安全等级,获取对应的业务区域。
其中,所述设置单元为不同安全等级对应设置互不重叠的业务区域。
其中,所述设置单元为各安全等级设置对应的业务区域为:为各安全等级设置对应的安全策略;所述安全策略记录对应安全等级允许访问的业务区域地址。
其中,在虚拟私有拨号网中,所述设置单元和所述业务区域确定单元设置在认证服务器中;所述接入检测单元和所述访问控制单元设置在LNS中。
根据以上技术方案可见,应用本发明能够对接入用户的访问权限进行区分。具体来说,具有如下有益效果:
1、本发明设置域名的安全等级,为各安全等级设置对应的业务区域,使得用户接入时,可以根据用户域名所属安全等级获取允许用户访问的业务区域,采用安全等级的方式赋予不同用户不同的访问权限,有效地保证了企业内部网的安全。
2、较佳地,在获取所确定安全等级对应的业务区域时,同时获取所确定安全等级的下级安全等级对应的业务区域。这样,采用本发明获取的允许用户访问的业务区域不仅包括用户域名所述安全等级直接对应的业务区域,还包括下级安全等级对应的业务区域,使得一个用户可以同时访问多个业务区域。
3、在获取下级安全等级时,可以根据预先配置,获取相应的下级安全等级,该相应的下级安全等级可以是所有下级安全等级中的全部或一部分,完全取决于配置情况,这样通过配置安全等级与下级安全等级的对应关系,可以实现用户权限的灵活控制。
当某个安全等级的用户允许访问的业务区域变更时,只需修改该安全等级与其下级安全等级之间的对应关系,即可方便、快速地实现变更。再者,当某个业务区域的信息,例如业务服务器地址发生改变时,只需修改变化的业务区域的信息,由于上、下级安全等级具有对应关系,该修改会自动适应所有安全等级中。
附图说明
图1为现有技术中使用L2TP协议构建VPDN的典型组网示意图。
图2为本发明中接入用户的访问控制方法流程图。
图3为具有认证服务器的VPDN组网示意图。
图4为本发明一实施例中接入用户的访问控制方法流程图。
图5为本发明一个实例的示意图。
图6为本发明另一个实例的示意图。
图7为本发明实施例中接入用户的访问控制系统结构示意图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明为一种接入用户的访问控制方案,其基本思想为:设置域名的安全等级,为各安全等级设置对应的业务区域;当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;将获取的所有业务区域作为接入用户允许访问的业务区域,对接入用户进行访问控制。该方案采用安全等级为不同用户赋予不同的访问权限,实现了对接入用户的访问权限区分,有效保证企业内部网的安全。
较佳地,在获取所确定安全等级对应的业务区域时,同时获取所确定安全等级的下级安全等级对应的业务区域。这样,采用本发明获取的允许用户访问的业务区域不仅包括用户域名所述安全等级直接对应的业务区域,还包括下级安全等级对应的业务区域,使得一个用户可以同时访问多个业务区域。当为同一用户设置的安全等级不同时,该用户访问的业务区域可能发生变化,从而可以通过安全等级的设置方便的实现用户权限修改。而且,采用本发明能够实现高等级用户可以访问低等级用户的业务区域,反之则禁止的访问控制。
图2示出了基于上述基本思想的接入用户的访问控制方法流程图。如图2所示,该流程包括以下步骤:
步骤201:预先设置域名的安全等级,为每个安全等级设置对应的安全策略。安全策略控制用户访问的业务区域,不同安全策略控制的业务区域互不重叠。
其中,安全策略为接入控制列表(ACL)。ACL记录对应安全等级允许访问的业务区域的IP地址。当接入用户所访问设备的地址属于ACL中的业务区域IP地址时,该接入用户的访问允许通过,否则,会被ACL过滤掉。
步骤202:当检测到用户接入时,根据接入用户的域名查找对应的安全等级。
步骤203:获取查找到的安全等级对应的安全策略,并获取查找到的安全等级的下级安全等级对应的安全策略。
步骤204:根据步骤203获取的所有安全策略,对接入用户进行访问控制,从而允许符合安全策略的流量通过,过滤掉不符合安全策略的流量。
至此,本流程结束。
本发明的技术方案可以应用于各种需要对用户访问进行差异控制的场景。下面对将该方案应用于图1示出的组网环境为例进行详细说明。在实现时,可以在LNS中设置域名的安全等级,以及安全等级与安全策略的对应关系,在VPDN网络中LNS可以为企业内部网的接入路由器或防火墙设备。在LNS检测到用户接入时,获取相应安全策略并进行访问控制。在实现时,还可以利用企业内部网中的认证服务器,在认证服务器上设置域名的安全等级,以及安全等级与安全策略的对应关系,在LNS检测到用户接入时,将接入用户的域名等信息发往认证服务器,由认证服务器获取相应安全策略并返回给LNS,此时LNS根据认证服务器提供的安全策略并进行访问控制。图3示出了具有认证服务器的VPDN组网示意图。其中,认证服务器为Radius服务器,LNS为企业内部网的接入路由器。
图4为在图3示出的组网结构中使用本发明访问控制方法的流程图。如图4所示,该流程包括以下步骤:
步骤401:在接入路由器上配置n个域名,n为大于或等于2的整数。本步骤还在接入路由器上配置n个虚拟模板(VT),不同VT配置不同的地址池。该步骤的设置域名和对应配置VT为常规操作。
步骤402:在Radius服务器上设置各域名的安全等级,为每个安全等级配置对应的安全策略和对应的下级安全等级。
本步骤中,为每个安全等级配置的下级安全等级为所有下级安全等级的全部或一部分。假设,安全等级共分为5等,从高到底分别为安全等级1、2、3、4、5。其中,为安全等级1配置对应的下级安全等级为安全等级2、3、4和5,或者为安全等级1配置对应的下级安全等级为安全等级2和5。如果没有配置下级安全等级,可以认为是缺省配置,即认为为安全等级1配置的下级安全等级为安全等级2、3、4和5。
步骤403:接入路由器检测到用户接入时,获取接入用户的用户名、密码和域名。本步骤中还进行常规的获取接入用户域名对应的VT的操作。
步骤404:接入路由器将接入用户的用户名、密码和域名上送到Radius服务器进行身份认证。
步骤405:Radius服务器对接收的用户名、密码和域名进行认证。若认证失败,则在步骤409中通知接入路由器不允许用户接入,结束本流程;如果认证成功,则执行步骤406。
步骤406:Radius服务器根据接收的域名查找对应的安全等级,根据步骤402的配置,获取查找到的安全等级对应的安全策略和对应的下级安全等级,获取所述各对应的下级安全等级对应的安全策略。
步骤407:Radius服务器通知接入路由器允许用户接入,并下发在步骤406中获取的所有安全策略给接入路由器的接入口。
步骤408:接入路由器根据Radius服务器下发的安全策略对接入用户进行访问控制。这些下发的安全策略在接入用户断开时删除。
本步骤中,接入路由器收到Radius服务器下发的安全策略后,首先为通过radius服务器认证的接入用户创建会话,将Radius服务器下发的安全策略与创建的会话绑定。如前所述,安全策略记录对应安全等级允许访问的业务区域的IP地址,那么,当接入用户通过为其建立的会话访问业务区域时,如果接入用户所访问的目的地址在绑定的安全策略中,则允许访问,否则接入用户的访问将被安全策略过滤掉,从而保证业务区域的安全性。
本流程结束。
根据图4示出的流程,本实施例在步骤402中为每个安全等级配置对应的下级安全等级,在获取下级安全等级时,可以根据该配置获取相应的下级安全等级,该相应的下级安全等级可以是所有下级安全等级中的全部或一部分,完全取决于配置情况。当某个安全等级的用户允许访问的业务区域变更时,只需修改该安全等级与下级安全等级的对应关系,即可方便、快速地实现业务区域变更。同理,当某个业务区域的地址变化时,只需修改该业务区域对应的安全策略,该修改自动适应到所有的安全等级中。
下面针对图4示出的流程举两个实例。首先,假设用户A使用域名A,域名A对应的安全等级A没有下级安全等级,安全等级A直接对应安全策略A,安全策略A控制用于允许访问业务区域A;用户B使用域名B,域名B对应的安全等级B高于安全等级A,安全等级B直接对应安全策略B,安全策略B控制用户允许访问业务区域B。
参见图5,先针对用户A接入时的处理进行描述。用户A采用域名A接入到接入路由器上(见①号路径),接入路由器确定域名A的对应VT为VT(A),并且将用户A的用户名、密码和域名上送到Radius服务器进行身份认证(见②号路径);Radius服务器对用户名、密码和域名进行认证,若认证失败则通知接入路由器不允许用户A接入,若认证成功则Radius服务器根据域名获取用户A的安全等级A,并取得相应的安全策略。由于安全等级A没有下级安全等级,因此获取的安全策略为直接对应安全等级A的安全策略A。Radius服务器通知接入路由器允许用户接入,并下发获取的安全策略A给接入路由器的接入口(见②号路径)。下发的安全策略A允许用户A访问业务区域A。除此之外,不能访问其他的业务区域。当用户A访问业务区域A(见③号路径)时,流量经过接入路由器时受到安全策略的过滤,允许通过。当用户A访问业务区域B(见④号路径)时,流量经过接入路由器时受到安全策略的过滤,不允许通过。
下面参见图6,再针对用户B接入时的处理进行描述。用户B采用域名B接入到接入路由器上(见①号路径),接入路由器确定域名B的对应VT为VT(B),并且将用户B的用户名、密码和域名上送到Radius服务器进行身份认证(见②号路径);Radius服务器对用户名、密码和域名进行认证,若认证失败则通知接入路由器不允许用户接入,若认证成功则Radius服务器根据域名获取用户的安全等级B,并取得相应的安全策略。由于安全等级B的下级安全等级包括安全等级A,因此,获取的安全策略不仅包括直接对应于安全等级B的安全策略B,还包括直接对应于安全等级A的安全策略A。Radius服务器通知接入路由器允许用户接入,并下发获取的所有安全策略A和B给接入路由器的接入口(见②号路径)。下发的安全策略B允许用户B访问业务区域B,安全策略A允许用户B访问业务区域A。当用户B访问业务区域A(见③号路径)时,流量经过接入路由器时受到安全策略的过滤,允许通过。当用户B访问业务区域B(见④号路径)时,流量经过接入路由器时受到安全策略的过滤,允许通过。
本发明的重点在于如何控制当前接入用户所访问的业务区域,上述实施例在确定允许访问的业务区域后,采用下发所获取安全策略的形式控制用户访问权限,使其只能访问所确定的业务区域。在实际中,并不限定具体实现方式,只要将当前接入用户的访问权限限制在所确定的业务区域范围即可。
为了实现上述访问控制方法,本发明还提供了一种接入用户的访问控制系统。图7为本发明实施例中接入用户的访问控制系统的结构示意图。如图7所示,该系统包括设置单元71、接入检测单元72、业务区域确定单元73和访问控制单元74。其中,
设置单元71,用于设置域名的安全等级,为各安全等级设置对应的业务区域。其中,较佳地,为不同安全等级对应设置互不重叠的业务区域。在一个实施例中,为各安全等级设置对应的业务区域为:为各安全等级设置对应的安全策略;安全策略记录对应安全等级允许访问的业务区域IP地址。
接入检测单元72,用于在检测到用户接入时,通知业务区域确定单元73。
业务区域确定单元73,用于在接收到接入检测单元72的通知时,根据设置单元71设置的信息,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域,较佳地,同时获取所确定安全等级的下级安全等级对应的业务区域;将获取的所有业务区域信息发送给访问控制单元74。
该业务区域确定单元73在获取所确定安全等级的下级安全等级对应的业务区域时,获取所确定安全等级的所有下级安全等级对应的业务区域;或者,根据预先针对各安全等级配置的下级安全等级,获取所确定安全等级的预设下级安全等级,再根据获取的下级安全等级获取对应的业务区域。其中,安全等级与下级安全等级的对应关系可以配置在设置单元71中,也可以保存在业务区域确定单元73中。
访问控制单元74,用于根据接收的业务区域信息,控制接入用户访问业务区域信息指示的业务区域。
在VPDN中,上述设置单元71、接入检测单元72、业务区域确定单元73和访问控制单元74可以均设置在图3示出的LNS中。在另一个实施例中,参见图7的虚线框,上述设置单元71和业务区域确定单元73设置在图3示出的Radius服务器中,或者设置在独立存在的认证服务器中;上述接入检测单元72和访问控制单元74设置在图3示出的LNS中。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1、一种接入用户的访问控制方法,其特征在于,该方法包括:
设置域名的安全等级,为各安全等级设置对应的业务区域;
当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;
将获取的业务区域作为所述接入用户允许访问的业务区域,对接入用户进行访问控制。
2、如权利要求1所述的方法,其特征在于,不同安全等级对应的业务区域不重叠。
3、如权利要求1所述的方法,其特征在于,所述为各安全等级设置对应的业务区域为:为各安全等级设置对应的安全策略,所述安全策略记录对应安全等级允许访问的业务区域地址。
4、如权利要求1所述的方法,其特征在于,在虚拟私有拨号网中,域名的安全等级以及安全等级与业务区域的对应关系,均设置在认证服务器上;
所述当检测到用户接入时,确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域,包括:
虚拟私有拨号网中的第二层隧道协议网络服务器LNS检测到用户接入时,向认证服务器发送接入用户的域名;
所述认证服务器确定接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域,将获取的业务区域信息发送给所述LNS的接入口;
所述对接入用户进行访问控制为:所述LNS根据接收的业务区域信息,控制所述接入用户访问所述业务区域信息指示的业务区域。
5、如权利要求1或2或3或4所述的方法,其特征在于,所述获取所确定安全等级对应的业务区域时,进一步包括:同时获取所确定安全等级的下级安全等级对应的业务区域。
6、如权利要求5所述的方法,其特征在于,所述所确定安全等级的下级安全等级为所述所确定安全等级的所有下级安全等级,或者为预先针对所述所确定安全等级配置的下级安全等级。
7、一种接入用户的访问控制系统,其特征在于,该系统包括设置单元、接入检测单元、业务区域确定单元和访问控制单元;
所述设置单元,用于设置域名的安全等级,为各安全等级设置对应的业务区域;
所述接入检测单元,用于在检测到用户接入时,通知业务区域确定单元;
所述业务区域确定单元,用于在接收到所述接入检测单元的通知时,根据所述设置单元设置的信息,确定所述接入用户的域名所属安全等级,获取所确定安全等级对应的业务区域;将获取的业务区域信息发送给所述访问控制单元;
所述访问控制单元,用于根据接收的业务区域信息,控制所述接入用户访问所述业务区域信息指示的业务区域。
8、如权利要求7所述系统,其特征在于,所述业务区域确定单元进一步用于,在获取所确定安全等级对应的业务区域的同时,获取所确定安全等级的所有下级安全等级对应的业务区域,或者根据预先针对所述所确定安全等级配置的下级安全等级,获取对应的业务区域。
9、如权利要求7所述系统,其特征在于,所述设置单元为不同安全等级对应设置互不重叠的业务区域。
10、如权利要求7所述系统,其特征在于,所述设置单元为各安全等级设置对应的业务区域为:为各安全等级设置对应的安全策略;所述安全策略记录对应安全等级允许访问的业务区域地址。
11、如权利要求7或8或9或10所述系统,其特征在于,在虚拟私有拨号网中,所述设置单元和所述业务区域确定单元设置在认证服务器中;所述接入检测单元和所述访问控制单元设置在LNS中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810240495XA CN101448264A (zh) | 2008-12-22 | 2008-12-22 | 接入用户的访问控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810240495XA CN101448264A (zh) | 2008-12-22 | 2008-12-22 | 接入用户的访问控制方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101448264A true CN101448264A (zh) | 2009-06-03 |
Family
ID=40743591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200810240495XA Pending CN101448264A (zh) | 2008-12-22 | 2008-12-22 | 接入用户的访问控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101448264A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867476A (zh) * | 2010-06-22 | 2010-10-20 | 杭州华三通信技术有限公司 | 一种3g虚拟私有拨号网用户安全认证方法及其装置 |
CN101990206A (zh) * | 2009-08-03 | 2011-03-23 | 秦志强 | 可实现无线局域网空中接口差异化接入控制的方法和系统 |
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN102264070A (zh) * | 2010-05-25 | 2011-11-30 | 中国移动通信集团设计院有限公司 | 一种提供业务数据及执行访问业务的方法及设备 |
CN101599977B (zh) * | 2009-07-17 | 2012-04-18 | 杭州华三通信技术有限公司 | 网络业务的管理方法和系统 |
CN103763162A (zh) * | 2013-12-09 | 2014-04-30 | 张晓钟 | 系统微分网络架构设计 |
CN104506524A (zh) * | 2014-12-22 | 2015-04-08 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
WO2016078375A1 (zh) * | 2014-11-21 | 2016-05-26 | 中兴通讯股份有限公司 | 数据传送方法及装置 |
CN107566476A (zh) * | 2017-08-25 | 2018-01-09 | 中国联合网络通信集团有限公司 | 一种接入方法、sdn控制器、转发设备及用户接入系统 |
CN110061987A (zh) * | 2019-04-19 | 2019-07-26 | 武汉大学 | 一种基于角色和终端可信性的接入访问控制方法及装置 |
CN110166473A (zh) * | 2019-05-29 | 2019-08-23 | 中国移动通信集团江苏有限公司 | 网络数据传输检测方法、装置、设备和介质 |
-
2008
- 2008-12-22 CN CNA200810240495XA patent/CN101448264A/zh active Pending
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599977B (zh) * | 2009-07-17 | 2012-04-18 | 杭州华三通信技术有限公司 | 网络业务的管理方法和系统 |
CN101990206A (zh) * | 2009-08-03 | 2011-03-23 | 秦志强 | 可实现无线局域网空中接口差异化接入控制的方法和系统 |
CN102264070A (zh) * | 2010-05-25 | 2011-11-30 | 中国移动通信集团设计院有限公司 | 一种提供业务数据及执行访问业务的方法及设备 |
CN101867476B (zh) * | 2010-06-22 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种3g虚拟私有拨号网用户安全认证方法及其装置 |
CN101867476A (zh) * | 2010-06-22 | 2010-10-20 | 杭州华三通信技术有限公司 | 一种3g虚拟私有拨号网用户安全认证方法及其装置 |
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN103763162B (zh) * | 2013-12-09 | 2017-10-10 | 张晓钟 | 系统微分网络架构设计 |
CN103763162A (zh) * | 2013-12-09 | 2014-04-30 | 张晓钟 | 系统微分网络架构设计 |
WO2016078375A1 (zh) * | 2014-11-21 | 2016-05-26 | 中兴通讯股份有限公司 | 数据传送方法及装置 |
CN104506524A (zh) * | 2014-12-22 | 2015-04-08 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
CN104506524B (zh) * | 2014-12-22 | 2018-01-26 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
CN104618396B (zh) * | 2015-03-04 | 2018-01-02 | 浪潮集团有限公司 | 一种可信网络接入与访问控制方法 |
CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
CN107566476A (zh) * | 2017-08-25 | 2018-01-09 | 中国联合网络通信集团有限公司 | 一种接入方法、sdn控制器、转发设备及用户接入系统 |
CN110061987A (zh) * | 2019-04-19 | 2019-07-26 | 武汉大学 | 一种基于角色和终端可信性的接入访问控制方法及装置 |
CN110166473A (zh) * | 2019-05-29 | 2019-08-23 | 中国移动通信集团江苏有限公司 | 网络数据传输检测方法、装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101448264A (zh) | 接入用户的访问控制方法和系统 | |
EP1624644B1 (en) | Privileged network routing | |
US8204991B2 (en) | Domain isolation through virtual network machines | |
CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
CN101411156B (zh) | 对网络入侵者的自动阻止 | |
US7765309B2 (en) | Wireless provisioning device | |
EP1381199B1 (en) | Firewall for dynamically granting and denying network resources | |
EP1949644B1 (en) | Remote access to resources | |
EP1619858A1 (en) | Method and apparatuses for implementing security policies in a secured data network | |
US7325058B1 (en) | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites | |
KR20070064427A (ko) | 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 | |
CN101197795A (zh) | 网络业务保护方法和业务网关 | |
CN107370715A (zh) | 网络安全防护方法及装置 | |
CN101433051A (zh) | 将主机与基于用户和服务的需求相关联 | |
US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
CN101212375A (zh) | 控制用户使用代理上网的方法及系统 | |
WO2004114627A1 (en) | Apparatus and method for security management in wireless ip networks | |
KR200201184Y1 (ko) | 네트워크 모니터링을 위한 네트워크 시스템 | |
CN101115018A (zh) | 控制设备访问的方法 | |
CN101155055A (zh) | 一种下一代网络的用户管理方法和系统 | |
WO2007033541A1 (fr) | Procede de realisation de securisation du reseau par segmentation le ttl | |
CN100477609C (zh) | 实现网络专线接入的方法 | |
JP3887325B2 (ja) | データ通信網システムおよびデータ通信網接続制御方法 | |
Cisco | Working with Security Policies | |
Cisco | Dialer Map VRF-Aware for an MPLS VPN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090603 |