CN101616128A - 一种访问控制方法及系统以及相关设备 - Google Patents
一种访问控制方法及系统以及相关设备 Download PDFInfo
- Publication number
- CN101616128A CN101616128A CN200810068214A CN200810068214A CN101616128A CN 101616128 A CN101616128 A CN 101616128A CN 200810068214 A CN200810068214 A CN 200810068214A CN 200810068214 A CN200810068214 A CN 200810068214A CN 101616128 A CN101616128 A CN 101616128A
- Authority
- CN
- China
- Prior art keywords
- access
- radius
- response message
- applied business
- concrete
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种访问控制方法及系统以及相关设备,用于实现在RADIUS体系下的基于业务的访问控制。本发明实施例提供的方法包括:接收访问请求消息,所述访问请求消息携带RADIUS客户端请求进行访问的至少一个应用业务类型;查询与所述至少一个应用业务类型对应的具体访问策略;当查询到所述具体访问策略时,向RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。应用本发明实施例提供的技术方案,可以在RADIUS体系下基于业务实现访问控制。
Description
技术领域
本发明涉及通信领域,尤其涉及一种访问控制方法及系统以及相关设备。
背景技术
互联网工程任务组(IETF,Internet Engineering Task Force)标准中规定的简单网络管理协议综合安全模型(ISMS,Integrated Security Model for Simplenetwork management protocol)工作组采用远程用户拨入认证(RADIUS,Remote Authentication Dial In User Service Protocol)协议进行认证和授权。
RADIUS是目前应用最广泛的认证授权计费(AAA,AuthenticationAuthorization Accounting)协议。RADIUS对AAA的三个组件都提供支持:认证、授权和计费。RADIUS采用典型的客户/服务器(Client/Server)结构,任何运行RADIUS客户端软件的计算机,例如网络接入服务器(NAS,NetworkAccess Server),都可以成为RADIUS客户端。
RADIUS采用用户数据报协议(UDP,User Datagram Protocol)传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。
RADIUS服务器通过RADIUS协议对网络管理站(NMS,NetworkManagement Station)用户进行认证和授权,从而使用户获得被管理设备相应的访问策略。
上述技术方案中只是提出了RADIUS体系的结构以及RADIUS数据包的格式,而并没有揭示在RADIUS体系下基于业务实现访问控制的方法,现有技术中也未提供类似的实现访问控制的方法。
发明内容
本发明实施例提供了一种访问控制方法及系统以及相关设备,能够在RADIUS体系下基于业务实现访问控制。
本发明实施例提供的访问控制方法,包括:
接收访问请求消息,所述访问请求消息携带RADIUS客户端请求进行访问的至少一个应用业务类型;
查询与所述至少一个应用业务类型对应的具体访问策略;
当查询到所述具体访问策略时,向RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
本发明实施例提供的访问控制系统,包括:
RADIUS客户端,用于向RADIUS服务器发送包含至少一个应用业务类型的访问请求消息,从接收到的访问接受响应消息中获取具体访问策略,根据所述具体访问策略对所述至少一个应用业务进行访问;
RADIUS服务器,用于接收RADIUS客户端发送的所述访问请求消息,查询与所述至少一个应用业务类型对应的具体访问策略,向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
本发明实施例提供的RADIUS服务器,包括:
访问请求消息接收单元,用于接收RADIUS客户端发送的包含至少一个应用业务类型的访问请求消息;
查询单元,用于查询与所述至少一个应用业务类型对应的具体访问策略;
封装单元,用于当查询单元查询到与所述至少一个应用业务类型对应的具体访问策略时将所述具体访问策略携带于访问接受响应消息中;
访问接受响应消息发送单元,用于向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
本发明实施例提供的RADIUS客户端,包括:
访问接受响应消息接收单元,用于接收RADIUS服务器发送的访问接受响应消息,所述访问接受响应消息中包含至少一个应用业务类型对应的具体访问策略;
获取单元,用于根据从访问接受响应消息接收单元接收到的访问接受响应消息中获取所述具体访问策略;
访问执行单元,用于获得所述具体访问策略对应的访问对象和访问权限对所述至少一个应用业务进行访问。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,由于访问请求消息中携带有RADIUS客户端请求进行访问的应用业务类型,从而能够实现在RADIUS体系下的基于业务的访问控制,增强了RADIUS体系的可靠性。
附图说明
图1为本发明实施例中访问控制方法第一实施例流程图;
图2为本发明实施例中RADIUS数据包示意图;
图3为本发明实施例中访问控制方法第二实施例流程图;
图4为本发明实施例中访问控制系统实施例结构图;
图5为本发明实施例中RADIUS服务器实施例结构图;
图6为本发明实施例中RADIUS客户端实施例结构图。
具体实施方式
本发明实施例中的访问控制过程包括RADIUS客户端的执行过程以及RADIUS服务器的执行过程,下面分别从RADIUS服务器和RADIUS客户端的角度进行描述:
从RADIUS服务器的角度进行描述,请参阅图1,本发明实施例中访问控制方法第一实施例包括:
101、RADIUS服务器接收RADIUS客户端发送的访问请求消息;
RADIUS客户端向RADIUS服务器发送访问请求消息,该访问请求消息采用的是RADIUS数据包格式,在该访问请求消息中可以包括RADIUS客户端请求进行访问的至少一个应用业务类型,RADIUS客户端对应的用户标识等,用户标识可以为用户名和密码。
如图2所示,可以为RADIUS数据包扩展一个新属性,命名为Application-Service-Type-Id(应用业务类型标识),访问请求消息中可以有多个Application-Service-Type-Id属性,以满足用户需要运行多个应用业务的情况。Application-Service-Type-Id属性具体可以采用类型-长度-值(TLV,Type、Length、Value)三元组的形式实现。Type字段标识属性的类型,Length字段标识属性的长度,Value字段标识RADIUS客户端请求进行访问的应用业务类型,例如Value字段的值为1表示开放最短路径优先(OSPF,Open Shortest PathFirst)业务,Value字段的值为2表示边界网关协议(BGP,Border GatewayProtocol)业务,Value字段的值为3表示多协议标签交换(MPLS,MultiProtocolLabel Switching)业务,等等。如果访问请求消息的Application-Service-Type-Id属性中Value字段的值为1,则表示用户请求运行OSPF业务。
102、RADIUS服务器查询与至少一个应用业务类型对应的具体访问策略;
RADIUS服务器获取到访问请求消息中的至少一个应用业务类型之后,在本地的数据库中查询与该每个应用业务类型对应的具体访问策略。需要说明的是,在RADIUS系统构建的时候可以在数据库中预置应用业务类型与具体访问策略之间的对应关系,因此RADIUS服务器能够从数据库中查询与至少一个应用业务类型对应的具体访问策略,可以理解的是,该数据库可以在RADIUS服务器本地,也可以在其他网元中,或者独立存在。
103、如果查询到与至少一个应用业务类型对应的具体访问策略,转104,如果没有查询到与至少一个应用业务类型对应的具体访问策略,转105。
104、RADIUS服务器将访问接受响应消息发送至RADIUS客户端。
RADIUS服务器获取到具体访问策略后,将具体访问策略携带于访问接受响应消息中,例如通过“Management-Policy-Id”属性承载,向RADIUS客户端发送。
105、RADIUS服务器将访问拒绝响应消息发送至RADIUS客户端。
如果没有查询到与至少一个应用业务类型对应的具体访问策略,则RADIUS服务器将向RADIUS客户端发送访问拒绝响应消息。
上述方案从RADIUS服务器的角度对本发明实施例中的访问控制方法进行了描述,下面从RADIUS客户端的角度对本发明实施例中的访问控制方法进行描述,请参阅图3,本发明实施例中访问控制方法第二实施例包括:
301、RADIUS客户端向RADIUS服务器发送访问请求消息;
RADIUS客户端向RADIUS服务器发送访问请求消息,该访问请求消息采用RADIUS数据包格式,在该访问请求消息中可以包括RADIUS客户端请求进行访问的应用业务类型,RADIUS客户端对应的用户标识等,用户标识可以为用户名和密码,应用业务类型可以通过Application-Service-Type-Id属性承载,可以有多个,并可以根据实际应用的不同进行变化。
302、如果访问请求被接受,转303-305;如果访问请求未被接受,转306。
303、RADIUS客户端接收RADIUS服务器发送的访问接受响应消息;
如果RADIUS客户端的访问请求被RADIUS服务器接受,则RADIUS客户端会接收到RADIUS服务器发送的访问接受响应消息。
304、RADIUS客户端从访问接受响应消息中获取具体访问策略;
RADIUS客户端接收到访问接受响应消息之后,从该访问接受响应消息中获取具体访问策略,本实施例中,该访问接受响应消息采用RADIUS数据包格式,具体访问策略可以通过Management-Policy-Id属性承载。
305、RADIUS客户端根据具体访问策略进行访问。
例如,RADIUS客户端获取到的具体访问策略是应用业务A相关的策略,则RADIUS客户端在访问控制模型中获得应用业务A对应的访问对象和访问权限对应用业务A进行访问。在RADIUS系统构建的时候可以在访问控制模型中预置具体访问策略的内容。
306、RADIUS客户端接收RADIUS服务器发送的访问拒绝响应消息。
如果访问请求未被接受,则RADIUS客户端会接收到访问拒绝响应消息。
307、RADIUS客户端拒绝用户标识对应的用户对其请求的应用业务的访问。
RADIUS客户端接收到访问拒绝响应消息后,将拒绝用户对其请求的应用业务的访问。
下面对本发明实施例中的访问控制系统实施例进行描述,请参阅图4,本发明实施例中访问控制系统实施例包括:
RADIUS客户端41,用于向RADIUS服务器发送包含至少一个应用业务类型的访问请求消息,从接收到的访问接受响应消息中获取具体访问策略,根据所述具体访问策略对所述至少一个应用业务进行访问;
RADIUS服务器42,用于接收RADIUS客户端发送的所述访问请求消息,查询与所述至少一个应用业务类型对应的具体访问策略,向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
进一步地,
RADIUS服务器42还用于如果在数据库中没有查询到与所述访问请求消息中的至少一个应用业务类型对应的具体访问策略,,则向所述RADIUS客户端发送访问拒绝响应消息;
RADIUS客户端41还用于接收访问拒绝响应消息,并拒绝用户对应用业务的访问。
请参阅图5,本发明实施例中RADIUS服务器实施例包括:
访问请求消息接收单元421,用于接收RADIUS客户端发送的包含至少一个应用业务类型的访问请求消息;
查询单元422,用于查询与所述至少一个应用业务类型对应的具体访问策略;
封装单元423,用于当查询单元查询到与所述至少一个应用业务类型对应的具体访问策略时将所述具体访问策略携带于访问接受响应消息中;
访问接受响应消息发送单元424,用于向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
进一步地,
所述RADIUS服务器还可以包括:访问拒绝响应消息发送单元,用于当查询单元422未查询到与至少一个应用业务类型对应的具体访问策略时,,向所述RADIUS客户端发送访问拒绝响应消息。
请参阅图6,本发明实施例中的RADIUS客户端实施例包括:
访问接受响应消息接收单元411,用于接收RADIUS服务器发送的访问接受响应消息,所述访问接受响应消息中包含至少一个应用业务类型对应的具体访问策略;
获取单元412,用于根据从访问接受响应消息接收单元411接收到的访问接受响应消息中获取具体访问策略;
访问执行单元413,用于获得具体访问策略对应的访问对象和访问权限对所述至少一个应用业务进行访问。
进一步地,
所述RADIUS客户端还可以包括:
访问拒绝响应消息接收单元,用于接收RADIUS服务器发送的访问拒绝响应消息。
访问拒绝单元,用于拒绝用户对其请求的应用业务的访问。
本发明实施例提供的技术方案还可以包括根据访问请求消息中携带的用户名和密码判断该用户是否合法,如用户名和密码错误,即用户为非法用户,则RADIUS服务器直接向RADIUS客户端发送访问拒绝响应消息。
采用本发明实施例的技术方案,RADIUS服务器对用户的访问控制更加严格,即使某用户属于某一业务组,但该用户未请求运行该业务,即在访问请求消息中未携带相应的属性,则RADIUS服务器不会授权该用户对该业务进行访问,当用户属于某一业务组且请求运行该业务,RADIUS客户端可以从RADIUS服务器发送的访问接受响应消息中获取到具体访问策略,从而能够实现在RADIUS体系下的基于业务的访问控制,增强了RADIUS体系的可靠性。
本发明实施例或其一部分可以存储在计算机可读介质中,该计算机可读介质可以是包含、存储、传达、传播或者传输计算机程序的介质,所述计算机程序为使用指令以运行本发明实施例所提供的系统装置、系统或者设备的程序,或者是与该指令有关的程序。该计算机可读介质可以是电子、磁、电磁、光学、红外或者半导体的系统、装置、设备、传播介质或者计算机存储器。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1、一种访问控制方法,其特征在于,包括:
接收访问请求消息,所述访问请求消息携带RADIUS客户端请求进行访问的至少一个应用业务类型;
查询与所述至少一个应用业务类型对应的具体访问策略;
当查询到所述具体访问策略时,向RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
2、如权利要求1所述的访问控制方法,其特征在于,所述应用业务类型由所述访问请求消息中的应用业务类型属性承载。
3、如权利要求2所述的访问控制方法,其特征在于,还包括:
当未查询到与所述至少一个应用业务类型对应的具体访问策略时,向RADIUS客户端发送访问拒绝响应消息。
4、一种访问控制系统,其特征在于,包括:
RADIUS客户端,用于向RADIUS服务器发送包含至少一个应用业务类型的访问请求消息,从接收到的访问接受响应消息中获取具体访问策略,根据所述具体访问策略对所述至少一个应用业务进行访问;
RADIUS服务器,用于接收RADIUS客户端发送的所述访问请求消息,查询与所述至少一个应用业务类型对应的具体访问策略,向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
5、如权利要求4所述的访问控制系统,其特征在于,所述RADIUS服务器还用于当没有查询到与所述访问请求消息中的至少一个应用业务类型对应的具体访问策略时,则向所述RADIUS客户端发送访问拒绝响应消息。
6、一种RADIUS服务器,其特征在于,包括:
访问请求消息接收单元,用于接收RADIUS客户端发送的包含至少一个应用业务类型的访问请求消息;
查询单元,用于查询与所述至少一个应用业务类型对应的具体访问策略;
封装单元,用于当查询单元查询到与所述至少一个应用业务类型对应的具体访问策略时将所述具体访问策略携带于访问接受响应消息中;
访问接受响应消息发送单元,用于向所述RADIUS客户端发送包含所述具体访问策略的访问接受响应消息。
7、如权利要求6所述的RADIUS服务器,其特征在于,所述RADIUS服务器还包括:访问拒绝响应消息发送单元,用于当查询单元未查询到与所述至少一个应用业务类型对应的具体访问策略时向所述RADIUS客户端发送访问拒绝响应消息。
8、一种RADIUS客户端,其特征在于,包括:
访问接受响应消息接收单元,用于接收RADIUS服务器发送的访问接受响应消息,所述访问接受响应消息中包含至少一个应用业务类型对应的具体访问策略;
获取单元,用于根据从访问接受响应消息接收单元接收到的访问接受响应消息中获取所述具体访问策略;
访问执行单元,用于获得所述具体访问策略对应的访问对象和访问权限对所述至少一个应用业务进行访问。
9、如权利要求8所述的RADIUS客户端,其特征在于,所述RADIUS客户端还包括:
访问拒绝响应消息接收单元,用于接收RADIUS服务器发送的访问拒绝响应消息。
访问拒绝单元,用于拒绝用户对应用业务的访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810068214A CN101616128A (zh) | 2008-06-28 | 2008-06-28 | 一种访问控制方法及系统以及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810068214A CN101616128A (zh) | 2008-06-28 | 2008-06-28 | 一种访问控制方法及系统以及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101616128A true CN101616128A (zh) | 2009-12-30 |
Family
ID=41495540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810068214A Pending CN101616128A (zh) | 2008-06-28 | 2008-06-28 | 一种访问控制方法及系统以及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101616128A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102857508A (zh) * | 2012-09-11 | 2013-01-02 | 杭州华三通信技术有限公司 | 一种Radius认证的方法 |
WO2015096681A1 (zh) * | 2013-12-27 | 2015-07-02 | 乐视网信息技术(北京)股份有限公司 | 一种业务访问处理方法及装置 |
CN106535176A (zh) * | 2015-09-14 | 2017-03-22 | 华为技术有限公司 | 一种网络接入方法及装置 |
CN110830548A (zh) * | 2019-09-23 | 2020-02-21 | 深圳市中景元科技有限公司 | 物联网卡运营平台、数据更新方法、装置及存储介质 |
-
2008
- 2008-06-28 CN CN200810068214A patent/CN101616128A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102857508A (zh) * | 2012-09-11 | 2013-01-02 | 杭州华三通信技术有限公司 | 一种Radius认证的方法 |
CN102857508B (zh) * | 2012-09-11 | 2016-06-22 | 杭州华三通信技术有限公司 | 一种Radius认证的方法 |
WO2015096681A1 (zh) * | 2013-12-27 | 2015-07-02 | 乐视网信息技术(北京)股份有限公司 | 一种业务访问处理方法及装置 |
CN106535176A (zh) * | 2015-09-14 | 2017-03-22 | 华为技术有限公司 | 一种网络接入方法及装置 |
CN110830548A (zh) * | 2019-09-23 | 2020-02-21 | 深圳市中景元科技有限公司 | 物联网卡运营平台、数据更新方法、装置及存储介质 |
CN110830548B (zh) * | 2019-09-23 | 2023-12-26 | 深圳市果壳跳动科技有限公司 | 物联网卡运营平台、数据更新方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102368764B (zh) | 一种通过多点登录进行通信的方法、系统及客户端 | |
CN103621028B (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
EP1538779A1 (en) | Identification information protection method in wlan interconnection | |
EP2237473B1 (en) | Configuring a key for Media Independent Handover (MIH) | |
US20090064291A1 (en) | System and method for relaying authentication at network attachment | |
AU2014261983B2 (en) | Communication managing method and communication system | |
US9191378B2 (en) | Communication apparatus and communication method | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
CN104917605A (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
CN107078946A (zh) | 业务流处理策略的处理方法、装置和系统 | |
CN111431787B (zh) | 一种隧道建立方法、装置及计算机可读存储介质 | |
WO2011116598A1 (zh) | 一种对网关实现管理的方法及系统 | |
CN109698791A (zh) | 一种基于动态路径的匿名接入方法 | |
CN101453460A (zh) | 一种访问控制方法及通讯系统以及相关设备 | |
CN101616128A (zh) | 一种访问控制方法及系统以及相关设备 | |
CN102437966A (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
CN102075504B (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
CN102111289B (zh) | 一种认证部署方法和设备 | |
CN103199990B (zh) | 一种路由协议认证迁移的方法和装置 | |
CN106330386B (zh) | 一种传输层参数调整方法和装置 | |
CN111565165B (zh) | 一种云手机认证、维持和状态变更系统及方法 | |
CN102469063B (zh) | 路由协议安全联盟管理方法、装置及系统 | |
CN102148688B (zh) | 计费方法及网络接入服务器 | |
CN102209012A (zh) | 一种终端实现连接建立的方法及系统 | |
CN101895522A (zh) | 主机标识标签获取方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091230 |