CN101600188A - 一种基于漫游的认证方法及装置 - Google Patents
一种基于漫游的认证方法及装置 Download PDFInfo
- Publication number
- CN101600188A CN101600188A CNA2009101574500A CN200910157450A CN101600188A CN 101600188 A CN101600188 A CN 101600188A CN A2009101574500 A CNA2009101574500 A CN A2009101574500A CN 200910157450 A CN200910157450 A CN 200910157450A CN 101600188 A CN101600188 A CN 101600188A
- Authority
- CN
- China
- Prior art keywords
- roaming
- roaming terminal
- terminal
- authentication
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种基于漫游的认证方法及装置,所述方法包括:所述接入设备接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识;所述接入设备在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证;所述接入设备接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。本发明中,通过在认证请求中添加漫游域的标识,使得认证服务器根据认证请求中归属域的标识进行身份认证,并通过漫游域的标识进行安全认证,从而实现了对漫游终端进行身份认证和安全认证的过程。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种基于漫游的认证方法及装置。
背景技术
随着社会信息化步伐的不断提速,网络应用不断普及与深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全设施也日渐成为企业网建设的重中之重。在企业中,新的安全威胁不断涌现(例如,病毒和蠕虫日益肆虐),对企业网的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪等问题,使企业蒙受了严重损失。为了保证企业网中终端的安全状态符合企业的安全策略,NAC(NetworkAccess control,网络接入控制)技术为企业提供了一个相对完整的网络安全解决方法,例如,H3C公司的EAD(End user Admission Domination,终端准入控制)解决方案,该方案从企业网的终端入手,强制终端实施企业的安全策略,从而加强企业网终端的主动防御能力,大幅度提高了企业网的整体安全。其中,EAD方案主要解决了终端接入网络时的身份认证和安全检查问题,通过使用扩展的Portal协议或802.1X协议进行身份认证和安全检查,在安全检查阶段对不符合企业安全策略的终端进行强制修复,例如强制升级病毒库、系统补丁等。
具体的,集团或大企业的网络规模巨大,往往需要跨地域部署,网络分为集团总部和数量众多的分支机构,总部和分支机构的网络通过租用运营商的广域网线路来实现互联,如图1所示的网络示意图。其中,根据网络部署模式、企业网络规模和组网的不同,网关部署在网络Internet出口(或分支机构对于总部的入口)处,分别实现局域网范围的网络准入控制和广域网范围的网络准入控制;进一步的,路由器部署在企业网络Internet出口时,对于要访问Internet的终端用户进行安全检查,并将不符合安全策略的终端重定向到本地的病毒服务器、补丁服务器或者文件服务器进行修复,在修复后再重新进行认证,认证通过后可以正常使用网络。
现有技术中,为了方便集团或大企业的统一管理,认证服务器、补丁服务器、病毒服务器等通常放在企业的总部中,而将EAD控制点部署于分支机构的出口处。当终端用户在企业网内部发生漫游时,现有的组网方式对终端用户进行安全检查时,不能满足终端用户的接入需求。例如,北京的终端用户到上海出差时,需要遵守上海的安全策略,而在上海的接入设备上,不会针对该北京的终端用户进行特殊处理,当终端用户通过接入设备接入网络时,认证服务器将会采用北京的安全策略对该终端用户进行安全检查,不会采用海的安全策略进行安全检查。
为了解决上述问题,终端用户(例如,北京的终端用户)在漫游时(例如,漫游到上海),需要重新申请上海的账户,或在总部的认证服务器上为该终端用户配置上海的安全策略,当终端用户离开时在取消在上海的安全策略。显然的,上述两种解决方法对经常存在终端用户漫游的大型企业网络不具有可部署的特性。
进一步的,通过在漫游城市(例如,上海)的接入设备上配置终端用户(例如,北京的终端用户)的归属域,当该终端用户通过该接入设备接入网络时,在总部的认证服务器可以为该终端用户配置上海的安全策略;但是由于漫游到上海接入设备的终端用户会很多,而且是随时发生变化的,使得在接入设备上的配置工作量会很大,而且会出现错误。
发明内容
本发明提供一种基于漫游的认证方法及装置,以在终端漫游时进行身份认证和安全认证。
为了达到上述目的,本发明提出了一种基于漫游的认证方法,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,所述方法包括以下步骤:
所述接入设备接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
所述接入设备在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证;
所述接入设备接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
优选的,所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证具体包括:
所述认证服务器根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识;
所述认证服务器根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证。
优选的,所述漫游终端通过身份认证时,所述认证结果中携带所述安全策略服务器的地址信息;所述将认证结果发送给所述漫游终端之后,还包括:
所述漫游终端根据所述安全策略服务器的地址信息向所述安全策略服务器发送安全认证请求,由所述安全策略服务器对所述漫游终端进行安全认证。
优选的,所述安全策略服务器对所述漫游终端进行安全认证具体包括:
所述安全策略服务器获取所述漫游终端的归属域标识和漫游域标识;
所述安全策略服务器根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
优选的,所述安全策略服务器获取所述漫游终端的归属域标识和漫游域标识具体包括:
所述安全策略服务器接收来自所述认证服务器主动发送的漫游域标识;或
所述安全策略服务器向所述认证服务器发送请求消息,由所述认证服务器根据所述请求消息向所述安全策略服务器发送所述漫游域标识。
优选的,所述安全策略服务器根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证之后,还包括:
当安全认证没有通过时,所述安全策略服务器向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;
所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
本发明还提出了一种基于漫游的认证系统,包括认证服务器、接入设备和漫游终端,所述接入设备为所述漫游终端漫游地的接入设备,其中:
所述漫游终端,用于向接入设备发送认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
所述接入设备,用于在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;
所述认证服务器,用于根据所述修改后的认证请求对所述漫游终端进行身份认证;并将认证结果通过所述接入设备发送给所述漫游终端。
优选的,所述认证服务器还用于:
根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识;并根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证;
所述系统还包括安全策略服务器,用于通过与所述认证服务器交互,获取所述漫游终端的归属域标识和漫游域标识,并根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
优选的,所述安全策略服务器还用于:
在安全认证没有通过时,向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
本发明还提出了一种接入设备,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,其特征在于,所述接入设备包括:
接收模块,用于接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
处理模块,与所述接收模块电性连接,用于在所述接收模块接收的认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证;
发送模块,与所述处理模块电性连接,用于接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
本发明还提出了一种认证服务器,应用于包括认证服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述接入设备为所述漫游终端漫游地的接入设备,所述认证服务器包括:
接收模块,用于接收来自所述接入设备的认证请求,所述认证请求中携带了所述漫游终端的漫游域标识和归属域标识;
认证模块,与所述接收模块电性连接,用于根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证;
发送模块,与所述认证模块电性连接,用于将所述认证模块的认证结果通过接入设备发送给所述漫游终端。
本发明还提出了一种安全策略服务器,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,所述安全策略服务器包括:
收发模块,用于接收来自漫游终端的安全认证请求,所述安全认证请求中携带了所述漫游终端的归属域标识;
获取模块,用于获取所述漫游终端的漫游域标识;
认证模块,与所述收发模块和获取模块分别电性连接,用于根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
优选的,所述获取模块具体用于:
接收来自所述认证服务器主动发送的漫游域标识;或
向所述认证服务器发送请求消息,并接收所述认证服务器根据所述请求消息发送的漫游域标识。
优选的,所述收发模块还用于:
当安全认证没有通过时,向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
与现有技术相比,本发明具有以下优点:通过在认证请求中添加漫游域的标识,使得认证服务器根据认证请求中归属域的标识进行身份认证,并通过漫游域的标识进行安全认证,从而实现了对漫游终端进行身份认证和安全认证的过程,对漫游终端进行认证的过程简单、实用;而且漫游终端不需要增加任何配置,就能够完成各个地点的漫游活动,不需要申请新的用户名,也不需要改动漫游终端的任何配置。
附图说明
图1为现有技术中提出的一种总部和分支机构实现互联的网络示意图;
图2为本发明提出的一种基于漫游的认证方法流程图;
图3为本发明一种应用场景下提出的基于漫游的认证方法所使用的组网图;
图4为本发明一种应用场景下提出的一种基于漫游的认证方法流程图;
图5为本发明提出的一种接入设备结构图;
图6为本发明提出的一种认证服务器结构图;
图7为本发明提出的一种安全策略服务器结构图。
具体实施方式
本发明的核心思想是接入设备接收来自漫游终端的携带了归属域标识的认证请求时,在该认证请求中添加漫游域的标识,认证服务器在接收到该认证请求时,根据上述的归属域标识和漫游域标识获知是漫游终端,根据该归属域标识进行身份认证,在身份认证通过后,由安全策略服务器根据漫游域标识进行安全认证,从而实现了对漫游终端进行身份认证和安全认证的过程,漫游终端不需要增加任何配置,就能够完成各个地点的漫游活动,不需要申请新的用户名,也不需要改动漫游终端的任何配置。
本发明提出的一种基于漫游的认证方法,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,如图2所示,所述方法包括以下步骤:
步骤S201,所述接入设备接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识。
步骤S202,所述接入设备在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证。
步骤S203,所述接入设备接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
本发明一种应用场景下提出的基于漫游的认证方法,该方法适用于漫游终端在企业网内部发生漫游时的身份认证和安全认证过程,如图3所示的漫游终端从A地(例如,北京)漫游到B地(例如,上海)时的认证组网模式图,认证服务器和安全策略服务器均位于总部网络中,例如,该认证服务器可以为iMC(Intelligent Management Center,智能管理中心),用于进行漫游终端的身份认证,该安全策略服务器用于进行漫游终端的安全认证;其中,在A地和B地分别有接入设备和隔离区(在该隔离区中包括补丁升级服务器和防病毒软件服务器等)。如图4所示,为图3所示的应用场景下提出的基于漫游的认证方法,该方法包括以下步骤:
步骤S401,当漫游终端需要访问网络时,该漫游终端向接入设备发送认证请求。其中,该认证请求为身份认证请求,当漫游终端从A地漫游到了B地,该漫游终端需要向该B地的接入设备发送身份认证请求。
具体的,该漫游终端向接入设备发送的身份认证请求的格式具体为username@本地域,该username为该漫游终端的用户名信息,可以为名称信息(例如,zhangsan)、标识信息(例如,用标识5表示用户为zhangsan)等;该本地域为漫游终端的归属地,例如,漫游终端从北京漫游到上海时,该本地域为北京;上述的身份认证请求可以为zhangsan@bj。当然,该身份认证请求的格式并不局限于此,所有能够表示终端本地域信息的格式均在本发明保护范围之内,例如,该格式还可以为本地域@username,在此不再赘述。
步骤S402,接入设备向认证服务器发送该漫游终端的认证请求,其中,该接入设备为漫游终端漫游地的接入设备(即B地的接入设备)。本发明中,该认证服务器以RADIUS服务器为例进行说明。
本发明中,由于该接入设备上没有漫游终端本地域的配置信息(例如,该接入设备上没有配置归属域为北京的终端的信息),该接入设备将采用漫游域配置,将该认证请求发送给RADIUS服务器,即接入设备在该认证请求中添加漫游域的信息。
具体的,该接入设备采用漫游域配置向RADIUS服务器发送的认证请求的格式具体为username@本地域@漫游域,该username和本地域已经在步骤S401中描述,在此不再赘述;该漫游域为该漫游终端的漫游地,例如,漫游终端从北京漫游到上海时,该本漫游地为上海;上述的认证请求可以为zhangsan@bj@sh。当然,上述认证请求的格式并不局限于此,在此不再赘述。
需要说明的是,可以将认证请求的格式设置为username@本地域@漫游域的原因是由于接入设备支持对漫游终端进行用户域的嵌套,即在漫游终端进行认证时,若认证设备发现漫游终端所属域在本地没有配置时,则认为该漫游终端是一个漫游用户,可以将该漫游终端认证请求的格式由用户名@本地域格式变更为用户名@本地域@漫游域格式,并上传到该RADIUS服务器上。
步骤S403,RADIUS服务器对该漫游终端进行身份认证。其中,该RADIUS服务器在接收到认证请求时,获得该漫游终端的信息为用户名@本地域@漫游域,此时,该RADIUS可以获知该漫游终端的认证位置(漫游域信息)和该漫游终端所属的域(本地域信息),该RADIUS服务器在对漫游终端进行身份认证时,能够参考本地域的服务,根据本地域的信息对该漫游终端进行身份认证,即该RADIUS服务器通过分析该用户名,在身份认证时采用username@本地域的格式对用户进行身份认证。
具体的,由于该漫游终端是A地的终端,而该RADIUS服务器中存储了A地终端的身份信息,即该漫游终端可以通过身份认证(终端为合法用户),RADIUS服务器会向该接入设备返回认证通过的响应消息。进一步的,当没有认证通过时(终端为非法用户),认证服务器会向接入设备返回拒绝接入网络的响应消息。
步骤S404,RADIUS服务器向接入设备发送该漫游终端的认证结果。其中,当身份认证通过时,RADIUS服务器向接入设备发送认证成功的消息,该认证成功的消息中携带了安全策略服务器的地址信息;当身份认证没有通过时,RADIUS服务器向接入设备发送认证失败的消息。本发明中以身份认证通过为例进行说明。
步骤S405,接入设备向漫游终端转发该认证结果。
步骤S406,漫游终端在通过身份认证后,向安全策略服务器发起安全认证。其中,该漫游终端需要根据认证成功消息中携带的安全策略服务器的地址向安全策略服务器发送安全认证请求消息。
步骤S407,安全策略服务器根据漫游域的安全策略对漫游终端进行安全认证。当然,根据实际的需要,该安全策略服务器也可以根据本地域的安全策略对漫游终端进行安全认证,本发明中不再描述这种情况,以根据漫游域的安全策略对漫游终端进行安全认证为例进行说明。
本发明中,安全策略服务器根据漫游域的安全策略对漫游终端进行安全认证具体包括:安全策略服务器根据漫游域的安全策略验证漫游终端是否安全,例如,当漫游域的安全策略为补丁版本需要达到4.0、病毒库版本需要达到6.0时,当漫游终端的补丁版本为5.0,病毒库版本为5.0时,则该漫游终端不符合漫游域的安全策略,安全策略服务获知该漫游终端是不安全的。进一步的,若该漫游终端的病毒库版本变为7.0时,则该漫游终端是安全的,在此不再赘述。
需要说明的是,安全策略服务器需要从RADIUS服务器获取该漫游终端的归属域信息和漫游域信息;其中,在RADIUS服务器获取到漫游终端的归属域信息和漫游域信息之后,可以主动将归属域信息和漫游域信息发送给该安全策略服务器;当然,该安全策略服务器也可以向RADIUS服务器发送请求消息,由RADIUS服务器根据该请求消息向安全策略服务器返回归属域信息和漫游域信息,在此不再赘述。
步骤S408,安全策略服务器向接入设备发送该漫游终端的安全认证结果。其中,当该漫游终端安全时(满足漫游域的安全策略),向接入设备发送安全认证通过的消息,该漫游终端可以接入到网络中;当该漫游终端不安全时(不满足漫游域的安全策略),向接入设备发送安全认证失败的消息,该漫游终端不可以接入到网络中,需要到隔离区进行升级。
进一步的,当漫游终端通过了安全认证时,该安全策略服务器需要根据漫游域中配置的安全策略,向该接入设备发送安全ACL(Access Control List,访问控制列表)信息或安全VLAN(Virtual Local Area Network,虚拟局域网)信息,由该接入设备存储该安全ACL信息或安全VLAN信息,当漫游终端需要接入到网络时,可以使用该安全ACL信息或安全VLAN信息。
当漫游终端未通过安全认证时,安全策略服务器还需要向接入设备发送漫游域中配置的隔离ACL,将该漫游终端进行隔离,并对该漫游终端发送漫游域的安全策略内容,使该漫游终端在漫游域的网络中进行安全修复,而无需到该漫游终端的归属域中进行安全修复,从而在采用分布式安全修复服务器的网络中,较好的节约了广域网带宽;其中,该漫游域的安全策略内容具体为该漫游域隔离区的信息,例如,该漫游域的补丁升级服务器的地址信息和防病毒软件服务器的地址信息等。
步骤S409,安全策略服务器向漫游终端发送该漫游终端的安全认证结果。其中,该发送过程与上述向接入设备发送安全认证结果的过程类似,在此不再赘述。
步骤S410,漫游终端根据该安全认证结果进行相应的处理。其中,当该安全认证结果为通过安全认证时,该漫游终端可以接入到网络中;当该安全认证结果为没有通过安全认证时,该漫游终端根据漫游域隔离区的信息对自身进行升级,并继续向安全策略服务器发起安全认证过程,一直到该漫游终端通过安全认证为止,在此不再赘述。
需要说明的是,本发明中认证服务器和安全策略服务器的显示界面需要修改为适应漫游终端的格式,即可以显示出漫游终端的本地域名与漫游域名。漫游终端需要能够接收认证服务器侧下发的相应域名信息,以获知自身的漫游认证情况。本发明中,还可以在认证服务器侧进行漫游策略的配置,从而禁止掉部分的漫游活动,在此不再赘述。
可见,通过使用本发明提供的方法,实现了对漫游终端进行身份认证和安全认证的过程,在认证服务器侧能够准确获知漫游终端的漫游域和归属域,从而根据归属域对漫游终端进行身份认证,并根据漫游域对漫游终端进行安全认证;进一步的,在接入设备侧和认证服务器侧均不需要进行过多的设置,只需要在接入设备侧能够完成漫游域后缀的添加即可;同样的,对于漫游终端也无需增加任何配置,就能够完成各个地点的漫游活动,不需要申请新的用户名,也不需要改动漫游终端的任何配置。
本发明方法可以根据实际需要对各个步骤顺序进行调整。
本发明还提出了一种基于漫游的认证系统,包括认证服务器、安全策略服务器、接入设备和漫游终端,所述接入设备为所述漫游终端漫游地的接入设备,其中:
所述漫游终端,用于向接入设备发送认证请求,所述认证请求中携带了所述漫游终端的归属域标识。
所述接入设备,用于在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器。
所述认证服务器,用于根据所述修改后的认证请求对所述漫游终端进行身份认证;并将认证结果通过所述接入设备发送给所述漫游终端。
进一步的,所述认证服务器还用于:根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识;并根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证;
所述安全策略服务器,用于通过与所述认证服务器交互,获取所述漫游终端的归属域标识和漫游域标识,并根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
进一步的,所述安全策略服务器还用于:在安全认证没有通过时,向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
本发明还提出了一种接入设备,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,如图5所示,所述接入设备包括:
接收模块51,用于接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识。
处理模块52,与所述接收模块51电性连接,用于在所述接收模块51接收的认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证。
发送模块53,与所述处理模块52电性连接,用于接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本发明还提出了一种认证服务器,应用于包括认证服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述接入设备为所述漫游终端漫游地的接入设备,如图6所示,所述认证服务器包括:
接收模块61,用于接收来自所述接入设备的认证请求,所述认证请求中携带了所述漫游终端的漫游域标识和归属域标识。其中,该认证请求为漫游终端通过接入设备发送给该认证服务器的,在漫游终端发送的认证请求中携带了该漫游终端的归属域标识,而认证请求到达接入设备后,该接入设备又在该认证请求中添加了该漫游终端的漫游域标识,即发送至认证服务器的认证请求中携带了所述漫游终端的漫游域标识和归属域标识。
认证模块62,与所述接收模块61电性连接,用于根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证。其中,在获知该认证请求中携带了漫游域标识和归属域标识时,确定该漫游终端是处于漫游状态下的终端,认证模块62可以根据该漫游终端的归属域信息进行身份认证。
发送模块63,与所述认证模块62电性连接,用于将所述认证模块62的认证结果通过接入设备发送给所述漫游终端。进一步的,当漫游终端的身份认证通过时,需要在该认证结果中添加安全策略服务器的地址信息,以使漫游终端可以根据该地址信息向安全策略服务器发起安全认证过程,在此不再赘述。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本发明还提出了一种安全策略服务器,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,如图7所示,所述安全策略服务器包括:
收发模块71,用于接收来自漫游终端的安全认证请求,所述安全认证请求中携带了所述漫游终端的归属域标识。其中,漫游终端在身份认证通过后,将根据身份认证的认证结果中携带的地址信息向该安全策略服务器发送安全认证请求。
获取模块72,用于获取所述漫游终端的漫游域标识。其中,当需要对漫游终端进行安全认证时,需要获取该漫游终端的漫游域标识,即所述获取模块72将接收来自所述认证服务器主动发送的漫游域标识;或主动向所述认证服务器发送请求消息,并接收所述认证服务器根据所述请求消息发送的漫游域标识。
认证模块73,与所述收发模块71和获取模块72分别电性连接,用于根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。其中,在获知漫游终端具有漫游域标识和归属域标识时,即确定了该漫游终端是处于漫游状态下的终端,认证模块73可以根据该漫游终端的漫游域信息进行安全认证。
进一步的,当认证模块73的安全认证结果为漫游终端没有通过安全时,所述收发模块71向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (14)
1、一种基于漫游的认证方法,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,其特征在于,所述方法包括以下步骤:
所述接入设备接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
所述接入设备在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证;
所述接入设备接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
2、如权利要求1所述的方法,其特征在于,所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证具体包括:
所述认证服务器根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识;
所述认证服务器根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证。
3、如权利要求1或2所述的方法,其特征在于,所述漫游终端通过身份认证时,所述认证结果中携带所述安全策略服务器的地址信息;所述将认证结果发送给所述漫游终端之后,还包括:
所述漫游终端根据所述安全策略服务器的地址信息向所述安全策略服务器发送安全认证请求,由所述安全策略服务器对所述漫游终端进行安全认证。
4、如权利要求3所述的方法,其特征在于,所述安全策略服务器对所述漫游终端进行安全认证具体包括:
所述安全策略服务器获取所述漫游终端的归属域标识和漫游域标识;
所述安全策略服务器根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
5、如权利要求4所述的方法,其特征在于,所述安全策略服务器获取所述漫游终端的归属域标识和漫游域标识具体包括:
所述安全策略服务器接收来自所述认证服务器主动发送的漫游域标识;或
所述安全策略服务器向所述认证服务器发送请求消息,由所述认证服务器根据所述请求消息向所述安全策略服务器发送所述漫游域标识。
6、如权利要求4所述的方法,其特征在于,所述安全策略服务器根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证之后,还包括:
当安全认证没有通过时,所述安全策略服务器向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;
所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
7、一种基于漫游的认证系统,其特征在于,包括认证服务器、接入设备和漫游终端,所述接入设备为所述漫游终端漫游地的接入设备,其中:
所述漫游终端,用于向接入设备发送认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
所述接入设备,用于在所述认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;
所述认证服务器,用于根据所述修改后的认证请求对所述漫游终端进行身份认证;并将认证结果通过所述接入设备发送给所述漫游终端。
8、如权利要求7所述的系统,其特征在于,所述认证服务器还用于:
根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识;并根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证;
所述系统还包括安全策略服务器,用于通过与所述认证服务器交互,获取所述漫游终端的归属域标识和漫游域标识,并根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
9、如权利要求8所述的系统,其特征在于,所述安全策略服务器还用于:
在安全认证没有通过时,向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
10、一种接入设备,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,其特征在于,所述接入设备包括:
接收模块,用于接收来自所述漫游终端的认证请求,所述认证请求中携带了所述漫游终端的归属域标识;
处理模块,与所述接收模块电性连接,用于在所述接收模块接收的认证请求中添加所述漫游终端的漫游域标识,并将修改后的认证请求发送给所述认证服务器;由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证;
发送模块,与所述处理模块电性连接,用于接收来自所述认证服务器的认证结果,并将所述认证结果发送给所述漫游终端。
11、一种认证服务器,应用于包括认证服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述接入设备为所述漫游终端漫游地的接入设备,其特征在于,所述认证服务器包括:
接收模块,用于接收来自所述接入设备的认证请求,所述认证请求中携带了所述漫游终端的漫游域标识和归属域标识;
认证模块,与所述接收模块电性连接,用于根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证;
发送模块,与所述认证模块电性连接,用于将所述认证模块的认证结果通过接入设备发送给所述漫游终端。
12、一种安全策略服务器,应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中,所述认证服务器用于对所述漫游终端进行身份认证,所述安全策略服务器用于对所述漫游终端进行安全认证,所述接入设备为所述漫游终端漫游地的接入设备,其特征在于,所述安全策略服务器包括:
收发模块,用于接收来自漫游终端的安全认证请求,所述安全认证请求中携带了所述漫游终端的归属域标识;
获取模块,用于获取所述漫游终端的漫游域标识;
认证模块,与所述收发模块和获取模块分别电性连接,用于根据所述漫游终端的漫游域标识对应的漫游域信息对所述漫游终端进行安全认证。
13、如权利要求12所述的安全策略服务器,其特征在于,所述获取模块具体用于:
接收来自所述认证服务器主动发送的漫游域标识;或
向所述认证服务器发送请求消息,并接收所述认证服务器根据所述请求消息发送的漫游域标识。
14、如权利要求12所述的安全策略服务器,其特征在于,所述收发模块还用于:
当安全认证没有通过时,向所述漫游终端发送安全认证失败的消息,所述安全认证失败的消息中携带了所述漫游域的安全策略内容;由所述漫游终端根据所述漫游域的安全策略内容在漫游域网络中进行安全修复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157450A CN101600188B (zh) | 2009-07-30 | 2009-07-30 | 一种基于漫游的认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157450A CN101600188B (zh) | 2009-07-30 | 2009-07-30 | 一种基于漫游的认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101600188A true CN101600188A (zh) | 2009-12-09 |
| CN101600188B CN101600188B (zh) | 2012-10-17 |
Family
ID=41421381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910157450A Expired - Fee Related CN101600188B (zh) | 2009-07-30 | 2009-07-30 | 一种基于漫游的认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101600188B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101765082A (zh) * | 2009-12-28 | 2010-06-30 | 中兴通讯股份有限公司 | 根据地域区分认证计费点的方法及系统 |
| CN102204296A (zh) * | 2008-10-28 | 2011-09-28 | 高通股份有限公司 | 用于标准间网络漫游的实时网络选择和移动订户身份更新 |
| CN103108316A (zh) * | 2011-11-15 | 2013-05-15 | 中国移动通信集团四川有限公司 | 空中写卡认证方法、装置和系统 |
| CN106790251A (zh) * | 2017-01-24 | 2017-05-31 | 中国联合网络通信集团有限公司 | 用户接入方法和用户接入系统 |
| CN107181759A (zh) * | 2017-07-05 | 2017-09-19 | 杭州迪普科技股份有限公司 | 一种用户设备的认证方法及装置 |
| CN110062381A (zh) * | 2018-01-18 | 2019-07-26 | 华为技术有限公司 | 一种获得用户标识的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100525499C (zh) * | 2005-12-07 | 2009-08-05 | 华为技术有限公司 | 一种向漫游用户提供数字广播的鉴权方法和系统 |
-
2009
- 2009-07-30 CN CN200910157450A patent/CN101600188B/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102204296A (zh) * | 2008-10-28 | 2011-09-28 | 高通股份有限公司 | 用于标准间网络漫游的实时网络选择和移动订户身份更新 |
| CN101765082A (zh) * | 2009-12-28 | 2010-06-30 | 中兴通讯股份有限公司 | 根据地域区分认证计费点的方法及系统 |
| CN103108316A (zh) * | 2011-11-15 | 2013-05-15 | 中国移动通信集团四川有限公司 | 空中写卡认证方法、装置和系统 |
| CN103108316B (zh) * | 2011-11-15 | 2016-05-25 | 中国移动通信集团四川有限公司 | 空中写卡认证方法、装置和系统 |
| CN106790251A (zh) * | 2017-01-24 | 2017-05-31 | 中国联合网络通信集团有限公司 | 用户接入方法和用户接入系统 |
| CN106790251B (zh) * | 2017-01-24 | 2020-05-05 | 中国联合网络通信集团有限公司 | 用户接入方法和用户接入系统 |
| CN107181759A (zh) * | 2017-07-05 | 2017-09-19 | 杭州迪普科技股份有限公司 | 一种用户设备的认证方法及装置 |
| CN110062381A (zh) * | 2018-01-18 | 2019-07-26 | 华为技术有限公司 | 一种获得用户标识的方法及装置 |
| CN110062381B (zh) * | 2018-01-18 | 2020-11-17 | 华为技术有限公司 | 一种获得用户标识的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101600188B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| CN103746812B (zh) | 一种接入认证方法及系统 | |
| JP5813790B2 (ja) | 分散型無線ネットワークサービスを提供するための方法およびシステム | |
| US10834238B2 (en) | Blockchain management using a device in a wireless telecommunication system | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN101600188B (zh) | 一种基于漫游的认证方法及装置 | |
| EP3485663B1 (en) | Remote provision of a subscriber entity | |
| CN104519020A (zh) | 管理无线网络登录密码分享功能的方法、服务器及系统 | |
| CN113545018A (zh) | 使用网络组件作为区块链节点来保护电信网络 | |
| CN104221414A (zh) | 与无线网络的安全和自动连接 | |
| CN102823195A (zh) | 利用由虚拟机进行的软件测试远程维护电子网络中的客户端系统的系统和方法 | |
| CN105450617A (zh) | 一种支付验证方法、装置及系统 | |
| CN105516163A (zh) | 一种登录方法及终端设备及通信系统 | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
| CN108243413B (zh) | 一种无线接入铁路信息网络的方法及系统 | |
| CN112492602B (zh) | 5g终端安全接入装置、系统及设备 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN103188677A (zh) | 一种客户端软件的认证方法、装置及系统 | |
| CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
| EP3443729A1 (en) | Registration of data packet traffic for a wireless device | |
| CN104348616A (zh) | 一种访问终端安全组件的方法、装置及系统 | |
| WO2010078921A1 (en) | Method and system for authentication of network nodes of a peer-to-peer network | |
| CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 | |
| JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
| CN101582882B (zh) | 一种接入方法、网络系统和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121017 Termination date: 20200730 |