CN101453460A - 一种访问控制方法及通讯系统以及相关设备 - Google Patents
一种访问控制方法及通讯系统以及相关设备 Download PDFInfo
- Publication number
- CN101453460A CN101453460A CNA2007101959542A CN200710195954A CN101453460A CN 101453460 A CN101453460 A CN 101453460A CN A2007101959542 A CNA2007101959542 A CN A2007101959542A CN 200710195954 A CN200710195954 A CN 200710195954A CN 101453460 A CN101453460 A CN 101453460A
- Authority
- CN
- China
- Prior art keywords
- management strategy
- operand
- radius
- access
- acceptance response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问控制方法及通讯系统以及相关设备,用于实现在RADIUS体系下的访问控制。本发明方法包括:RADIUS客户端向RADIUS服务器发送包含访问需求参数的访问请求;RADIUS服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象等访问控制参数;RADIUS服务器向所述RADIUS客户端发送包含所述管理策略以及操作对象等属性的访问接受响应;RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象访问控制参数;RADIUS客户端按照所述管理策略对所述操作对象进行访问。本发明还公开了一种通讯系统以及相关设备。本发明可以在RADIUS体系下实现访问控制。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种访问控制方法及通讯系统以及相关设备。
背景技术
互联网工程任务组(IETF,Internet Engineering Task Force)标准中规定的简单网络管理协议综合安全模型(ISMS,Integrated Security Model for Simplenetwork management protocol)工作组采用远程用户拨入认证(RADIUS,Remote Authentication Dial In User Service Protocol)协议进行认证和授权。
RADIUS服务是用于网络访问服务器(NAS,Network Access Server)和认证授权计费(AAA,Authentication Authorization Accounting)服务器间通信的一种协议。RADIUS对AAA的三个组件都提供支持:认证、授权和计费。RADIUS采用典型的客户/服务器(Client/Server)结构,NAS是作为RADIUS体系中的客户端运作的。
RADIUS采用用户数据报协议(UDP,User Datagram Protocol)传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。标准Radius数据包结构如表1所示:
表1
其中,Code表示RADIUS包的类型,主要包括如下类型:Access-Request:访问请求包;Access-Accept:访问接受包;Access-Reject:访问拒绝包;Accounting-Request:计费请求包;Accounting-Response:计费响应包。
属性域Attributes用来在请求和响应报文中携带详细的认证、授权、信息和配置细节,来实现认证、授权、计费等功能,其具体属性个数任意,具体可以采用类型-长度-值(TLV,Type、Length、Value)三元组的形式实现。
上述技术方案中只是提出了RADIUS体系的结构以及RADIUS数据包的格式,而并没有揭示在RADIUS体系下实现访问控制的方法,现有技术中也未提供类似的实现访问控制的方法。
发明内容
本发明实施例提供了一种访问控制方法及通讯系统以及相关设备,能够在RADIUS体系下实现访问控制。
本发明实施例提供的访问控制方法,包括:远程用户拨入认证RADIUS客户端接收RADIUS服务器发送的访问接受响应,所述访问接受响应中包含管理策略以及操作对象;从所述访问接受响应中获取管理策略以及操作对象;按照所述管理策略对所述操作对象进行访问。
本发明实施例提供的访问控制方法,包括:RADIUS服务器接收RADIUS客户端发送的包含访问需求参数的访问请求;在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;将所述管理策略以及操作对象携带于访问接受响应中;向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应,所述访问接受响应用于指示所述RADIUS客户端按照所述管理策略对所述操作对象进行访问。
本发明实施例提供的访问控制方法,包括:RADIUS客户端向RADIUS服务器发送包含访问需求参数的访问请求;RADIUS服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;RADIUS服务器向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象;RADIUS客户端按照所述管理策略对所述操作对象进行访问。
本发明实施例提供的通讯系统,包括:RADIUS服务器,用于接收RADIUS客户端发送的包含访问需求参数的访问请求,在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象,向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;RADIUS客户端,用于向RADIUS服务器发送包含访问需求参数的访问请求,从接收到的访问接受响应中获取管理策略以及操作对象,按照所述管理策略对所述操作对象进行访问。
本发明实施例提供的RADIUS服务器,包括:访问请求接收单元,用于接收RADIUS客户端发送的包含访问需求参数的访问请求;访问控制参数查询单元,用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;封装单元,用于将所述管理策略以及操作对象携带于访问接受响应中;访问接受响应发送单元,用于向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应,所述访问接受响应用于指示所述RADIUS客户端按照所述管理策略对所述操作对象进行访问。
本发明实施例提供的RADIUS客户端,包括:访问接受响应接收单元,用于接收RADIUS服务器发送的访问接受响应,所述访问接受响应中包含管理策略以及操作对象;访问控制参数获取单元,用于从所述访问接受响应中获取管理策略以及操作对象;访问执行单元,用于按照所述管理策略对所述操作对象进行访问。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,由于RADIUS客户端可以从RADIUS服务器发送的访问接受响应中获取到访问控制参数(至少包括管理策略以及操作对象),所以RADIUS服务器可以按照该管理策略对该操作对象进行访问,从而能够实现在RADIUS体系下的访问控制。
附图说明
图1为本发明实施例中访问控制方法第一实施例示意图;
图2为本发明实施例中访问控制方法第二实施例示意图;
图3为本发明实施例中访问控制方法第三实施例示意图;
图4为本发明实施例中通讯系统实施例示意图;
图5为本发明实施例中RADIUS服务器实施例示意图;
图6为本发明实施例中RADIUS客户端实施例示意图。
具体实施方式
本发明实施例提供了一种访问控制方法及通讯系统以及相关设备,用于在RADIUS体系下实现访问控制。
本发明实施例中,由于RADIUS客户端可以从RADIUS服务器发送的访问接受响应中获取到访问控制参数(至少包括管理策略以及操作对象),所以RADIUS服务器可以按照该管理策略对该操作对象进行访问,从而能够实现在RADIUS体系下的访问控制。
本发明实施例中的访问控制过程包括RADIUS客户端的执行过程以及RADIUS服务器的执行过程,下面分别从这两个网元的角度进行描述:
首先从RADIUS客户端的角度进行描述,请参阅图1,本发明实施例中访问控制方法第一实施例包括:
101、RADIUS客户端向RADIUS服务器发送访问请求;
本实施例中,当RADIUS客户端需要进行资源访问时,首先需要通过认证,具体可以是身份认证,访问认证等,本实施例中对此不作限定。
为进行认证,RADIUS客户端向RADIUS服务器发送访问请求,该访问请求采用的是如表1所示的RADIUS数据包格式,在该访问请求中包含有访问需求参数,具体可以包括RADIUS客户端请求进行访问的资源的类型或资源标识或RADIUS客户端对应的用户标识等,可以理解的是,具体的访问需求参数根据实际应用的不同还可以进行变化,此处不作限定。
102、RADIUS客户端接收RADIUS服务器发送的访问接受响应;
本实施例中,RADIUS客户端在通过RADIUS服务器的认证之后,会接收到RADIUS服务器发送的访问接受响应,需要说明的是,若RADIUS客户端未能通过认证,则可能会接收到访问拒绝响应,这种情况下可以按照预置的机制进行处理,例如请求RADIUS客户端重新进行认证或直接结束流程。
本实施例中由于是从RADIUS客户端角度进行描述,所以具体RADIUS服务器的操作不作详细描述。
103、RADIUS客户端从访问接受响应中获取管理策略以及操作对象;
RADIUS客户端获取到访问接受响应之后,从该访问接受响应中提取出管理策略以及操作对象,本实施例中,该访问接受响应采用如表1所示的RADIUS数据包格式,该访问接受响应中至少会包含管理策略以及操作对象,可以理解的是,该访问接受响应中还可以包括访问角色和/或访问权限等访问控制参数。
具体的获取手段可以为:
1、从访问接受响应的属性域Attributes中的不同属性字段中获取访问控制参数:
具体的管理策略以及操作对象在Attributes中的数据格式包含三个字段,分别为“类型(Type)”,“长度(Length)”以及“文本(Text)”,其中Type用于表示当前是何种访问控制参数,例如管理策略的Type字段为:“Management-Policy-Id”,Length字段为“>=3”,Text字段为具体的管理策略内容,操作对象的Type字段为:“Management-Object-Id”,Length字段为“>=3”,Text字段为具体的操作对象内容,上述数据格式中,具体的字段名称(例如“Management-Object-Id”)在实际应用中可以改变,具体改变的方式此处不再赘述。
上述描述了从访问接受响应中获取管理策略以及操作对象的方法,可以理解的是,若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数,则同样可以采用上述的获取方式进行获取。
2、从访问接受响应的属性域Attributes中的属性字段中获取管理策略,再从管理策略中获取其他的访问控制参数:
本方式中,管理策略在访问接受响应中存在的方式以及数据格式都与上述方式中相同,所不同的是对操作对象的获取方式不同,本方式中,操作对象存在于管理策略的Text字段中,具体的操作对象的数据格式可以与上一方式中相同,也可以采取其他的数据格式(例如只包括“类型”字段以及“长度”字段),只要能够表明该操作对象的相关信息(包括ID和长度)即可。
需要说明的是,在本方式中,若访问接受响应中除管理策略外还包含有多个访问控制参数,例如操作对象,访问角色,访问权限等,则具体获取的方式可以再细分为两类:
A、通过多个管理策略来获取不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中只携带一个访问控制参数,则需要获取多个管理策略才能够将所有的访问控制参数全部获取完,在这种情况下,由于RADIUS协议中规定若出现具有同样类型的多个属性,则在传输过程中要保持同样类型属性的顺序,即管理策略需要按顺序传输不同的访问控制参数,例如第一个管理策略传输的是访问角色,第二个管理策略传输的是操作对象,第三个管理策略传输的是访问权限,这种传输顺序需要RADIUS客户端和RADIUS服务器之间预先进行协商。
B、通过一个管理策略来获取不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中可以携带有多个访问控制参数,每个访问控制参数之间采用分隔符隔开,这种情况下只需要获取一个管理策略即可获取到所有的访问控制参数,需要说明的是,这种情况下,管理策略中的Text字段中的访问控制参数的顺序也需要RADIUS客户端和RADIUS服务器预先进行协商。
104、RADIUS客户端按照该管理策略对该操作对象进行访问。
RADIUS客户端在获取到管理策略以及操作对象之后,可以按照该管理策略对该操作对象进行访问,例如假设操作对象为资源X,即被访问对象为资源X,管理策略为通过代理服务器Y进行访问,则RADIUS客户端在获取到该管理策略和操作对象X之后,向代理服务器Y发起连接请求,与代理服务器Y建立连接,由代理服务器Y与资源服务器建立连接,建立完成后代理服务器Y可访问资源X,并将该资源X展示给用户,则用户即可通过代理服务器Y实现对资源X的访问。可以理解的是,若还包括其他的访问控制参数,例如访问角色或访问权限,则还需要在访问过程中进行相应的处理。
本实施例中,由于RADIUS客户端可以从RADIUS服务器发送的访问接受响应中获取到访问控制参数(至少包括管理策略以及操作对象),所以RADIUS服务器可以按照该管理策略对该操作对象进行访问,从而能够实现在RADIUS体系下的访问控制。
上述方案从RADIUS客户端的角度对本发明实施例中的访问控制方法进行了描述,下面从RADIUS服务器的角度对本发明实施例中的访问控制方法进行描述,请参阅图2,本发明实施例中访问控制方法第二实施例包括:
201、RADIUS服务器接收RADIUS客户端发送的包含访问需求参数的访问请求;
本实施例中,当RADIUS客户端需要进行资源访问时,首先需要通过认证,具体可以是身份认证,访问认证等,本实施例中对此不作限定。
为进行认证,RADIUS客户端向RADIUS服务器发送访问请求,该访问请求采用的是RADIUS数据包格式,在该访问请求中包含有访问需求参数,具体可以包括RADIUS客户端请求进行访问的资源的类型或资源标识或RADIUS客户端对应的用户标识等,可以理解的是,具体的访问需求参数根据实际应用的不同还可以进行变化,此处不作限定。
202、RADIUS服务器查询与该访问需求参数对应的管理策略以及操作对象;
RADIUS服务器获取到访问请求中的访问需求参数之后,根据该参数在本地的数据库中查询与该参数对应的访问控制参数(例如管理策略,操作对象)。需要说明的是,在RADIUS系统构建的时候可以预置访问需求参数与访问控制参数之间的对应关系,也可以在系统运行过程中对该对应关系进行修改更新,因此RADIUS服务器能够从数据库中查询到与访问需求参数对应的访问控制参数,可以理解的是,该数据库可以在RADIUS服务器本地,也可以在其他网元中,或者该数据库独立存在。
203、RADIUS服务器将管理策略以及操作对象携带于访问接受响应中;
RADIUS服务器获取到访问控制参数后,需要将访问控制参数携带于访问接受响应中,本实施例中的访问控制参数至少包括管理策略以及操作对象,同样还可以包括访问角色和访问权限。
具体的携带方式可以分为以下两种:
1、将访问控制参数携带于访问接受响应的属性域Attributes的不同属性字段中:
具体的管理策略以及操作对象在Attributes中的数据格式为包含三个字段,分别为“类型(Type)”,“长度(Length)”以及“文本(Text)”,其中Type用于表示当前是何种访问控制参数,例如管理策略的Type字段为:“Management-Policy-Id”,Length字段为“>=3”,Text字段为具体的管理策略内容,操作对象的Type字段为:“Management-Object-Id”,Length字段为“>=3”,Text字段为具体的操作对象内容,上述数据格式中,具体的字段名称(例如“Management-Object-Id”)在实际应用中可以改变,具体改变的方式此处不再赘述。
上述描述了将管理策略以及操作对象携带于从访问接受响应属性域Attributes中的方式,可以理解的是,若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数,则同样可以采用上述的获取方式进行携带。
2、将管理策略携带于访问接受响应的属性域Attributes的属性字段中,再将其他的访问控制参数携带于管理策略中:
本方式中,管理策略在访问接受响应中存在的方式以及数据格式都与上以方式中相同,所不同的是操作对象的携带方式不同,本方式中,操作对象存在于管理策略的Text字段中,具体的操作对象的数据格式可以与上一方式中相同,也可以采取其他的数据格式,只要能够表明该操作对象的相关信息(包括ID和长度)即可。
需要说明的是,在本方式中,若访问接受响应中除管理策略外还包含有多个访问控制参数,例如操作对象,访问角色,访问权限等,则具体携带的方式可以再细分为两类:
A、通过多个管理策略携带不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中只携带一个访问控制参数,则需要多个管理策略才能够携带所有的访问控制参数,在这种情况下,由于RADIUS中规定若出现具有同样类型的多个属性,则在传输过程中要保持同样类型属性的顺序,即管理策略需要按顺序传输不同的访问控制参数,例如第一个管理策略传输的是访问角色,第二个管理策略传输的是操作对象,第三个管理策略传输的是访问权限,这种传输顺序需要RADIUS客户端和RADIUS服务器之间预先进行协商。
B、通过一个管理策略携带不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中可以携带有多个访问控制参数,每个访问控制参数之间采用分隔符隔开,这种情况下只需要一个管理策略即可携带所有的访问控制参数,需要说明的是,这种情况下,管理策略中的Text字段中的访问控制参数的顺序也需要RADIUS客户端和RADIUS服务器预先进行协商。
204、RADIUS服务器向RADIUS客户端发送该访问接受响应。
RADIUS服务器将携带有访问控制参数(至少包含管理策略以及操作对象)的访问接受响应发送至RADIUS客户端,该访问接受响应用于指示RADIUS客户端按照该管理策略对该操作对象进行访问。
上述方案从RADIUS服务器的角度对本发明实施例中的访问控制方法实施例进行了描述,下面结合上述两种方式对本发明实施例中的访问控制方法进行描述:
请参阅图3,本发明实施例中访问控制方法第三实施例包括:
301、RADIUS客户端向RADIUS服务器发送访问请求;
本实施例中,当RADIUS客户端需要进行资源访问时,首先需要通过认证,具体可以是身份认证,访问认证等,本实施例中对此不作限定。
为进行认证,RADIUS客户端向RADIUS服务器发送访问请求,该访问请求采用的是RADIUS数据包格式,在该访问请求中包含有访问需求参数,具体可以包括RADIUS客户端请求进行访问的资源的类型或资源标识或RADIUS客户端对应的用户标识等,可以理解的是,具体的访问需求参数根据实际应用的不同还可以进行变化,此处不作限定。
302、RADIUS服务器查询与该访问需求参数对应的管理策略以及操作对象;
RADIUS服务器获取到访问请求中的访问需求参数之后,根据该参数在本地的数据库中查询与该参数对应的访问控制参数(例如管理策略,操作对象)。需要说明的是,在RADIUS系统构建的时候可以预置访问需求参数与访问控制参数之间的对应关系,也可以在系统运行过程中对该对应关系进行修改更新,因此RADIUS服务器能够从数据库中查询到与访问需求参数对应的访问控制参数,可以理解的是,该数据库可以在RADIUS服务器本地,也可以在其他网元中,或者该数据库独立存在。
303、RADIUS服务器将管理策略以及操作对象携带于访问接受响应中,并将访问接受响应发送至RADIUS客户端;
RADIUS服务器获取到访问控制参数后,需要将访问控制参数携带于访问接受响应中,本实施例中的访问控制参数至少包括管理策略以及操作对象,同样还可以包括访问角色和访问权限。
具体的携带方式可以分为以下两种:
1、将访问控制参数携带于访问接受响应的属性域Attributes中的不同属性字段中:
具体的管理策略以及操作对象在Attributes中的数据格式为包含三个字段,分别为“类型(Type)”,“长度(Length)”以及“文本(Text)”,其中Type用于表示当前是何种访问控制参数,例如管理策略的Type字段为:“Management-Policy-Id”,Length字段为“>=3”,Text字段为具体的管理策略内容,操作对象的Type字段为:“Management-Object-Id”,Length字段为“>=3”,Text字段为具体的操作对象内容,上述数据格式中,具体的字段名称(例如“Management-Object-Id”)在实际应用中可以改变,具体改变的方式此处不再赘述。
上述描述了将管理策略以及操作对象携带于从访问接受响应属性域Attributes中的方式,可以理解的是,若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数,则同样可以采用上述的获取方式进行携带。
2、将管理策略携带于访问接受响应的属性域Attributes的属性字段中,再将其他的访问控制参数携带于管理策略中:
本方式中,管理策略在访问接受响应中存在的方式以及数据格式都与上以方式中相同,所不同的是操作对象的携带方式不同,本方式中,操作对象存在于管理策略的Text字段中,具体的操作对象的数据格式可以与上一方式中相同,也可以采取其他的数据格式,只要能够表明该操作对象的相关信息(包括ID和长度)即可。
需要说明的是,在本方式中,若访问接受响应中除管理策略外还包含有多个访问控制参数,例如操作对象,访问角色,访问权限等,则具体携带的方式可以再细分为两类:
A、通过多个管理策略携带不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中只携带一个访问控制参数,则需要多个管理策略才能够携带所有的访问控制参数,在这种情况下,由于RADIUS中规定若出现具有同样类型的多个属性,则在传输过程中要保持同样类型属性的顺序,即管理策略需要按顺序传输不同的访问控制参数,例如第一个管理策略传输的是访问角色,第二个管理策略传输的是操作对象,第三个管理策略传输的是访问权限,这种传输顺序需要RADIUS客户端和RADIUS服务器之间预先进行协商。
B、通过一个管理策略携带不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中可以携带有多个访问控制参数,每个访问控制参数之间采用分隔符隔开,这种情况下只需要一个管理策略即可携带所有的访问控制参数,需要说明的是,这种情况下,管理策略中的Text字段中的访问控制参数的顺序也需要RADIUS客户端和RADIUS服务器预先进行协商。
RADIUS服务器将携带有访问控制参数(至少包含管理策略以及操作对象)的访问接受响应发送至RADIUS客户端,该访问接受响应用于指示RADIUS客户端按照该管理策略对该操作对象进行访问。
304、RADIUS客户端接收RADIUS服务器发送的访问接受响应;
本实施例中,RADIUS客户端在通过RADIUS服务器的认证之后,会接收到RADIUS服务器发送的访问接受响应,需要说明的是,若RADIUS客户端未能通过认证,则可能会接收到访问拒绝响应,这种情况下可以按照预置的机制进行处理,例如请求RADIUS客户端重新进行认证或直接结束流程。
本实施例中由于是从RADIUS客户端角度进行描述,所以具体RADIUS服务器的操作不作详细描述。
305、RADIUS客户端从访问接受响应中获取管理策略以及操作对象;
RADIUS客户端获取到访问接受响应之后,从该访问接受响应中提取出管理策略以及操作对象,本实施例中,该访问接受响应中至少会包含管理策略以及操作对象,可以理解的是,该访问接受响应中还可以包括访问角色和/或访问权限等访问控制参数。
具体的获取手段可以为:
1、从访问接受响应的属性域Attributes中的不同属性字段中获取访问控制参数:
具体的管理策略以及操作对象在Attributes中的数据格式为包含三个字段,分别为“类型(Type)”,“长度(Length)”以及“文本(Text)”,其中Type用于表示当前是何种访问控制参数,例如管理策略的Type字段为:“Management-Policy-Id”,Length字段为“>=3”,Text字段为具体的管理策略内容,操作对象的Type字段为:“Management-Object-Id”,Length字段为“>=3”,Text字段为具体的操作对象内容,上述数据格式中,具体的字段名称(例如“Management-Object-Id”)在实际应用中可以改变,具体改变的方式此处不再赘述。
上述描述了从访问接受响应中获取管理策略以及操作对象的方法,可以理解的是,若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数,则同样可以采用上述的获取方式进行获取。
2、从访问接受响应的属性域Attributes中的属性字段中获取管理策略,再从管理策略中获取其他的访问控制参数:
本方式中,管理策略在访问接受响应中存在的方式以及数据格式都与上以方式中相同,所不同的是操作对象的获取方式不同,本方式中,操作对象存在于管理策略的Text字段中,具体的操作对象的数据格式可以与上一方式中相同,也可以采取其他的数据格式,只要能够表明该操作对象的相关信息(包括ID和长度)即可。
需要说明的是,在本方式中,若访问接受响应中除管理策略外还包含有多个访问控制参数,例如操作对象,访问角色,访问权限等,则具体获取的方式可以再细分为两类:
A、通过多个管理策略来获取不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中只携带一个访问控制参数,则需要获取多个管理策略才能够将所有的访问控制参数全部获取完,在这种情况下,由于RADIUS中规定若出现具有同样类型的多个属性,则在传输过程中要保持同样类型属性的顺序,即管理策略需要按顺序传输不同的访问控制参数,例如第一个管理策略传输的是访问角色,第二个管理策略传输的是操作对象,第三个管理策略传输的是访问权限,这种传输顺序需要RADIUS客户端和RADIUS服务器之间预先进行协商。
B、通过一个管理策略来获取不同的访问控制参数:
本方式中,每一个管理策略中的Text字段中可以携带有多个访问控制参数,每个访问控制参数之间采用分隔符隔开,这种情况下只需要获取一个管理策略即可获取到所有的访问控制参数,需要说明的是,这种情况下,管理策略中的Text字段中的访问控制参数的顺序也需要RADIUS客户端和RADIUS服务器预先进行协商。
306、RADIUS客户端按照该管理策略对该操作对象进行访问。
RADIUS客户端在获取到管理策略以及操作对象之后,可以按照该管理策略对该操作对象进行访问,例如假设操作对象为资源X,即被访问对象为资源X,管理策略为通过代理服务器Y进行访问,则RADIUS客户端在获取到该管理策略和操作对象之后,向代理服务器Y发起连接请求,与代理服务器Y建立连接,由代理服务器Y与资源服务器建立连接,建立完成后代理服务器Y可访问资源X,并将该资源X展示给用户,则用户即可通过代理服务器Y实现对资源X的访问。可以理解的是,若还包括其他的访问控制参数,例如访问角色或访问权限,则还需要在访问过程中进行相应的处理。
本实施例中,由于RADIUS客户端可以从RADIUS服务器发送的访问接受响应中获取到访问控制参数(至少包括管理策略以及操作对象),所以RADIUS服务器可以按照该管理策略对该操作对象进行访问,从而能够实现在RADIUS体系下的访问控制。
下面对本发明实施例中的通讯系统实施例进行描述,请参阅图4,本发明实施例中通讯系统实施例包括:
RADIUS服务器402,用于接收RADIUS客户端发送的包含访问需求参数的访问请求,在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象,向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;
RADIUS客户端401,用于向RADIUS服务器发送包含访问需求参数的访问请求,从接收到的访问接受响应中获取管理策略以及操作对象,按照所述管理策略对所述操作对象进行访问。
请参阅图5,本发明实施例中RADIUS服务器实施例包括:
访问请求接收单元501,用于接收RADIUS客户端发送的包含访问需求参数的访问请求,并将该访问请求转发至访问控制参数查询单元502;
访问控制参数查询单元502,用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象,并将查询到的管理策略以及操作对象转发至封装单元503;
封装单元503,用于将访问控制参数查询单元502查询到的管理策略以及操作对象携带于访问接受响应中,并将封装后的访问接受响应发送至访问接受响应发送单元504;
访问接受响应发送单元504,用于向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应,所述访问接受响应用于指示所述RADIUS客户端按照所述管理策略对所述操作对象进行访问。
本实施例中的访问接受响应为RADIUS数据包,且封装单元503可以进一步包括:
第一封装执行单元5031,用于将所述管理策略以及操作对象存储于所述RADIUS数据包的属性域的不同属性字段中;或
第二封装执行单元5032,用于将所述管理策略存储于所述RADIUS数据包的属性域的属性字段中,将所述操作对象存储于所述管理策略的文本字段。
可以理解的是,在实际应用中,第一封装执行单元5031和第二封装执行单元5032可以选择一个存在于RADIUS服务器中,也可以都存在于RADIUS服务器中,在应用过程中选择一个使用。
请参阅图6,本发明实施例中的RADIUS客户端实施例包括:
访问接受响应接收单元601,用于接收RADIUS服务器发送的访问接受响应,并将该访问接受响应发送至访问控制参数获取单元602,所述访问接受响应中包含管理策略以及操作对象;
访问控制参数获取单元602,用于根据从访问接受响应接收单元601接收到的访问接受响应中获取管理策略以及操作对象,并将该管理策略以及操作对象发送至访问执行单元603;
访问执行单元603,用于按照所述管理策略对所述操作对象进行访问。
本实施例中的访问接受响应为RADIUS数据包,且访问控制参数获取单元602包括:
第一获取执行单元6021,用于从所述RADIUS数据包的属性域的不同属性字段中获取管理策略以及操作对象;或
第二获取执行单元6022,用于从所述RADIUS数据包的属性域的属性字段中获取管理策略,从所述管理策略的文本字段获取操作对象。
可以理解的是,在实际应用中,第一封装执行单元6021和第二封装执行单元6022可以选择一个存在于RADIUS客户端中,也可以都存在于RADIUS客户端中,在应用过程中选择一个使用。
本实施例中的RADIUS客户端还可以进一步包括:
访问请求发送单元,用于向RADIUS服务器发送包含访问需求参数的访问请求。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
RADIUS客户端向RADIUS服务器发送包含访问需求参数的访问请求;RADIUS服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;RADIUS服务器向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象;RADIUS客户端按照所述管理策略对所述操作对象进行访问。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种访问控制方法及通讯系统以及相关设备进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1、一种访问控制方法,其特征在于,包括:
远程用户拨入认证RADIUS客户端接收RADIUS服务器发送的访问接受响应,所述访问接受响应中包含管理策略以及操作对象;
从所述访问接受响应中获取管理策略以及操作对象;
按照所述管理策略对所述操作对象进行访问。
2、根据权利要求1所述的方法,其特征在于,所述RADIUS客户端接收RADIUS服务器发送的访问接受响应的步骤之前包括:
向RADIUS服务器发送包含访问需求参数的访问请求;
所述RADIUS服务器发送的访问接受响应中的管理策略以及操作对象为RADIUS服务器根据所述访问需求参数在本地查询获得。
3、根据权利要求1或2所述的方法,其特征在于,所述访问接受响应为RADIUS数据包;
所述从所述访问接受响应中获取管理策略以及操作对象的步骤包括:
从所述RADIUS数据包的属性域中的不同属性字段分别获取管理策略以及操作对象;
或
从所述RADIUS数据包的属性域中的属性字段获取管理策略;
从所述管理策略的文本字段获取操作对象。
4、根据权利要求3所述的方法,其特征在于,所述从所述RADIUS数据包的属性域中的属性字段获取管理策略的步骤包括:
从所述RADIUS数据包的属性域中的属性字段获取若干个管理策略;
所述从所述管理策略的文本字段获取操作对象的步骤包括:
从所述若干个管理策略的文本字段分别读取出访问控制参数,所述访问控制参数包括:操作对象或访问角色或访问权限,所述每个访问控制参数分别被置于一个管理策略的文本字段中。
5、根据权利要水3所述的方法,其特征在于,所述从所述管理策略的文本字段获取操作对象的步骤包括:
从所述管理策略的文本字段读取出访问控制参数,所述访问控制参数包括:操作对象或访问角色或访问权限,所述每个访问控制参数之间用分隔符分开,所有访问控制参数被置于同一个管理策略的文本字段中,所述访问控制参数的排列顺序由RADIUS客户端与RADIUS服务器预置。
6、一种访问控制方法,其特征在于,包括:
RADIUS服务器接收RADIUS客户端发送的包含访问需求参数的访问请求;
在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;
将所述管理策略以及操作对象携带于访问接受响应中;
向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应,所述访问接受响应用于指示所述RADIUS客户端按照所述管理策略对所述操作对象进行访问。
7、根据权利要求6所述的方法,其特征在于,所述访问接受响应为RADIUS数据包;
所述将所述管理策略以及操作对象携带于访问接受响应中的步骤包括:
将所述管理策略以及操作对象存储于所述RADIUS数据包的属性域;
或
将所述管理策略存储于所述RADIUS数据包的属性域;
将所述操作对象存储于所述管理策略的文本字段。
8、根据权利要求7所述的方法,其特征在于,所述将所述管理策略存储于所述RADIUS数据包的属性域的步骤包括:
将若干个管理策略存储于所述RADIUS数据包的属性域中的属性字段;
所述将所述操作对象存储于所述管理策略的文本字段的步骤包括:
将操作对象,访问角色,访问权限等访问控制参数分别置于不同的管理策略的文本字段。
9、根据权利要求7所述的方法,其特征在于,所述将所述操作对象存储于所述管理策略的文本字段的步骤包括:
将操作对象,访问角色,访问权限等访问控制参数置于同一个管理策略的文本字段,所述控制参数之间用分隔符分开,所述访问控制参数的排列顺序由RADIUS客户端与RADIUS服务器预置。
10、一种访问控制方法,其特征在于,包括:
RADIUS客户端向RADIUS服务器发送包含访问需求参数的访问请求;
RADIUS服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;
RADIUS服务器向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;
RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象;
RADIUS客户端按照所述管理策略对所述操作对象进行访问。
11、一种通讯系统,其特征在于,包括:
RADIUS服务器,用于接收RADIUS客户端发送的包含访问需求参数的访问请求,在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象,向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应;
RADIUS客户端,用于向RADIUS服务器发送包含访问需求参数的访问请求,从接收到的访问接受响应中获取管理策略以及操作对象,按照所述管理策略对所述操作对象进行访问。
12、一种RADIUS服务器,其特征在于,包括:
访问请求接收单元,用于接收RADIUS客户端发送的包含访问需求参数的访问请求;
访问控制参数查询单元,用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象;
封装单元,用于将所述管理策略以及操作对象携带于访问接受响应中;
访问接受响应发送单元,用于向所述RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应,所述访问接受响应用于指示所述RADIUS客户端按照所述管理策略对所述操作对象进行访问。
13、根据权利要求12所述的RADIUS服务器,其特征在于,所述访问接受响应为RADIUS数据包;
所述封装单元包括:
第一封装执行单元,用于将所述管理策略以及操作对象存储于所述RADIUS数据包的属性域的不同属性字段中;
或
第二封装执行单元,用于将所述管理策略存储于所述RADIUS数据包的属性域的属性字段中,将所述操作对象存储于所述管理策略的文本字段。
14、一种RADIUS客户端,其特征在于,包括:
访问接受响应接收单元,用于接收RADIUS服务器发送的访问接受响应,所述访问接受响应中包含管理策略以及操作对象;
访问控制参数获取单元,用于从所述访问接受响应中获取管理策略以及操作对象;
访问执行单元,用于按照所述管理策略对所述操作对象进行访问。
15、根据权利要求14所述的RADIUS客户端,其特征在于,所述RADIUS客户端还包括:
访问请求发送单元,用于向RADIUS服务器发送包含访问需求参数的访问请求。
16、根据权利要求14或15所述的RADIUS客户端,其特征在于,所述访问接受响应为RADIUS数据包;
所述访问控制参数获取单元包括:
第一获取执行单元,用于从所述RADIUS数据包的属性域的不同属性字段中获取管理策略以及操作对象;
或
第二获取执行单元,用于从所述RADIUS数据包的属性域的属性字段中获取管理策略,从所述管理策略的文本字段获取操作对象。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101959542A CN101453460A (zh) | 2007-12-07 | 2007-12-07 | 一种访问控制方法及通讯系统以及相关设备 |
| PCT/CN2008/073235 WO2009074073A1 (fr) | 2007-12-07 | 2008-11-28 | Procédé d'accès et de commande, dispositif et système de communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101959542A CN101453460A (zh) | 2007-12-07 | 2007-12-07 | 一种访问控制方法及通讯系统以及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101453460A true CN101453460A (zh) | 2009-06-10 |
Family
ID=40735484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101959542A Pending CN101453460A (zh) | 2007-12-07 | 2007-12-07 | 一种访问控制方法及通讯系统以及相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101453460A (zh) |
| WO (1) | WO2009074073A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| CN104618469A (zh) * | 2014-12-24 | 2015-05-13 | 西北农林科技大学 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
| CN106685955A (zh) * | 2016-12-28 | 2017-05-17 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN109088855A (zh) * | 2018-07-12 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种身份认证的方法及设备 |
| CN109150787A (zh) * | 2017-06-13 | 2019-01-04 | 西安中兴新软件有限责任公司 | 一种权限获取方法、装置、设备和存储介质 |
| WO2023078074A1 (zh) * | 2021-11-05 | 2023-05-11 | 北京字节跳动网络技术有限公司 | 数据访问控制的方法和装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878114A (zh) * | 2015-12-11 | 2017-06-20 | 北京数码视讯科技股份有限公司 | 一种数据传输的方法、服务器和终端 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1218542C (zh) * | 2001-07-10 | 2005-09-07 | 华为技术有限公司 | 使用远程拨号接入服务认证协议预付费的方法 |
| CN1228943C (zh) * | 2001-11-22 | 2005-11-23 | 中兴通讯股份有限公司 | 一种以太网宽带接入系统的用户认证管理方法 |
| US7222360B1 (en) * | 2002-11-27 | 2007-05-22 | Sprint Communications Company L.P. | Continuous biometric authentication using frame preamble for biometric data |
-
2007
- 2007-12-07 CN CNA2007101959542A patent/CN101453460A/zh active Pending
-
2008
- 2008-11-28 WO PCT/CN2008/073235 patent/WO2009074073A1/zh active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| CN103853986B (zh) * | 2014-01-03 | 2017-02-15 | 李凤华 | 一种访问控制方法和装置 |
| CN104618469A (zh) * | 2014-12-24 | 2015-05-13 | 西北农林科技大学 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
| CN104618469B (zh) * | 2014-12-24 | 2018-11-02 | 西北农林科技大学 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
| CN106685955A (zh) * | 2016-12-28 | 2017-05-17 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN106685955B (zh) * | 2016-12-28 | 2020-08-25 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN109150787A (zh) * | 2017-06-13 | 2019-01-04 | 西安中兴新软件有限责任公司 | 一种权限获取方法、装置、设备和存储介质 |
| CN109088855A (zh) * | 2018-07-12 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种身份认证的方法及设备 |
| WO2023078074A1 (zh) * | 2021-11-05 | 2023-05-11 | 北京字节跳动网络技术有限公司 | 数据访问控制的方法和装置 |
| US11669632B2 (en) | 2021-11-05 | 2023-06-06 | Beijing Bytedance Network Technology Co., Ltd. | Method and apparatus for control of data access |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009074073A1 (fr) | 2009-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1957566B (zh) | 为与客户机的连接选择路由的服务器 | |
| CN101453460A (zh) | 一种访问控制方法及通讯系统以及相关设备 | |
| CN103746812B (zh) | 一种接入认证方法及系统 | |
| CN102695167B (zh) | 移动用户身份标识管理方法和装置 | |
| JP6901624B2 (ja) | 信号通信システム | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| CN102427451A (zh) | 一种获取服务应用的方法与系统 | |
| CN104408777B (zh) | 一种基于nat穿越实现p2p通信的互联网考勤管理系统和方法 | |
| CN102368768A (zh) | 认证方法、设备、系统及认证服务器 | |
| WO2009028844A3 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
| CN105553999A (zh) | 应用程序用户行为分析和安全控制方法及其相应的装置 | |
| CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
| CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| CN101262353A (zh) | 过滤网址的通信方法、装置及系统 | |
| CN103780711A (zh) | 接入类型智能判定的地址分配方法、系统及aaa系统 | |
| CN102035703A (zh) | 一种家庭无线网络及其实现方法 | |
| CN103442328A (zh) | 一种物联网终端的服务质量控制方法和系统 | |
| CN106789905A (zh) | 一种网络接入设备及方法 | |
| CN106789965A (zh) | 一种物联网数据交换方法及系统 | |
| CN101567879A (zh) | 处理终端请求的方法、服务器、设备和系统 | |
| CN106021375A (zh) | 数据库访问方法及数据库代理节点 | |
| CN101616128A (zh) | 一种访问控制方法及系统以及相关设备 | |
| CN105162898B (zh) | Dns与dhcp、ipam实现智能解析的方法及装置 | |
| CN102148688B (zh) | 计费方法及网络接入服务器 | |
| CN102083066A (zh) | 统一安全认证的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090610 |