CN112672348A - 安全控制方法、装置、设备、系统及存储介质 - Google Patents
安全控制方法、装置、设备、系统及存储介质 Download PDFInfo
- Publication number
- CN112672348A CN112672348A CN201910927852.8A CN201910927852A CN112672348A CN 112672348 A CN112672348 A CN 112672348A CN 201910927852 A CN201910927852 A CN 201910927852A CN 112672348 A CN112672348 A CN 112672348A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- information
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种安全控制方法、装置、设备、系统及存储介质,属于信息安全技术领域。所述方法包括:获取认证服务器反馈的终端的授权信息,所述授权信息为所述认证服务器基于所述终端的安全加固情况确定,所述授权信息包括与所述终端的安全加固情况匹配的安全组;基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制。通过结合终端的安全加固情况对终端进行认证授权,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种安全控制方法、装置、设备、系统及存储介质。
背景技术
随着企业园区移动办公的逐渐普及,提高办公效率的诉求越来越强烈,而信息安全也是不容忽视的,因此,在用户移动办公时,如何对网络资源的访问权限进行合理的授权,有效增强网络信息安全的控制能力,是目前亟待解决的问题。
发明内容
本申请实施例提供了一种安全控制方法、装置、设备、系统及存储介质,以解决相关技术提供的问题,技术方案如下:
第一方面,提供了一种安全控制方法,所述方法包括:获取认证服务器反馈的终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制。
通过获取基于终端的安全加固情况确定的授权信息,基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
在示例性实施例中,所述获取认证服务器反馈的终端的授权信息之前,还包括:接收所述终端发送的访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息;获取所述802.1X报文中的可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;将所述Radius报文发送至所述认证服务器。
在示例性实施例中,所述获取认证服务器反馈的终端的授权信息之前,还包括:
获取所述终端的超文本传输协议HTTP报文,所述HTTP报文头选项中携带终端安全加固情况信息;将所述HTTP报文重定向到认证服务器。
在示例性实施例中,所述获取认证服务器反馈的终端的授权信息之后,还包括:获取终端准入的参数、安全组以及所述安全组对应的安全组策略;所述基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制,包括:接收到所述终端的报文后,确定与所述终端的安全加固情况匹配的安全组,采用与所述安全组所对应的安全组策略对所述报文进行处理。
第二方面,提供了一种安全控制方法,所述方法包括:获取终端的安全加固情况信息;基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;将所述终端的授权信息发送至认证点设备。
通过获取终端的安全加固情况信息,基于终端的安全加固情况信息对终端进行认证和授权,确定授权信息,从而使得认证点设备能够基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
在示例性实施例中,所述获取终端的安全加固情况信息,包括:接收所述认证点设备发送的远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;解析所述Radius报文,得到所述终端的标识及安全加固情况信息。
在示例性实施例中,所述获取终端的安全加固情况信息,包括:接收所述终端发送的超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;解析所述HTTP报文,得到所述终端的安全加固情况信息。
在示例性实施例中,所述将所述终端的授权信息发送至认证点设备,包括:通过授权变更COA将所述终端的授权信息发送至所述认证点设备。
在示例性实施例中,所述基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,包括:基于所述终端的安全加固情况信息综合本地配置生成所述终端的授权信息;或者,基于所述终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到所述终端的授权信息。
在示例性实施例中,所述基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,包括:通过Portal协议将所述终端的认证信息发送至认证点设备,所述认证信息包括所述终端的安全加固情况信息;获取所述Radius服务器返回的所述终端的授权信息。
第三方面,提供了一种安全控制方法,所述方法包括:检查终端的安全加固情况,得到所述终端的安全加固情况信息;将所述终端的安全加固情况信息发送至认证服务器。
通过获取终端的安全加固情况信息,将安全加固情况信息发送至认证服务器,以由认证服务器基于终端的安全加固情况信息对终端进行认证和授权,使得认证点设备基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
在示例性实施例中,所述将所述终端的安全属性信息发送至认证服务器,包括:向所述认证点设备发送访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息。所述802.1X报文用于所述认证点设备获取可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,将所述Radius报文发送至所述认证服务器,所述Radius报文中携带所述终端的标识及安全加固情况信息。
在示例性实施例中,所述将所述终端的安全加固情况信息发送至认证服务器,包括:向所述认证点设备发送超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;接收所述认证点设备基于所述HTTP报文返回的重定向信息,所述重定向信息包括所述认证服务器的信息;基于所述认证服务器的信息向所述认证服务器发送HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息。
第四方面,提供了一种安全控制装置,所述装置包括:
获取模块,用于获取认证服务器反馈的终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
控制模块,用于基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制。
在示例性实施例中,所述装置还包括:
接收模块,用于接收所述终端发送的访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息;
所述获取模块,还用于获取所述802.1X报文中的可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;
发送模块,用于将所述Radius报文发送至所述认证服务器。
在示例性实施例中,所述获取模块,还用于获取所述终端的超文本传输协议HTTP报文,所述HTTP报文头选项中携带终端安全加固情况信息;
所述装置还包括:
重定向模块,用于将所述HTTP报文重定向到认证服务器。
在示例性实施例中,所述获取模块,还用于获取终端准入的参数、安全组以及所述安全组对应的安全组策略;
所述控制模块,用于接收到所述终端的报文后,确定与所述终端的安全加固情况匹配的安全组,采用与所述安全组所对应的安全组策略对所述报文进行处理。
第五方面,提供了一种用于安全控制的装置,所述装置包括:
获取模块,用于获取终端的安全加固情况信息;
授权模块,用于基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
发送模块,用于将所述终端的授权信息发送至认证点设备。
在示例性实施例中,所述获取模块,用于接收所述认证点设备发送的远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;解析所述Radius报文,得到所述终端的标识及安全加固情况信息。
在示例性实施例中,所述获取模块,用于接收所述终端发送的超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;解析所述HTTP报文,得到所述终端的安全加固情况信息。
在示例性实施例中,所述发送模块,用于通过授权变更COA将所述终端的授权信息发送至所述认证点设备。
在示例性实施例中,所述授权模块,用于基于所述终端的安全加固情况信息综合本地配置生成所述终端的授权信息;或者,基于所述终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到所述终端的授权信息。
在示例性实施例中,所述授权模块,用于通过Portal协议将所述终端的认证信息发送至认证点设备,所述认证信息包括所述终端的安全加固情况信息,所述认证信息用于所述认证点设备通过Radius协议封装所述认证信息之后发送到Radius服务器完成认证;获取所述Radius服务器返回的所述终端的授权信息。
第六方面,提供了一种用于安全控制的装置,所述装置包括:
检查模块,用于检查终端的安全加固情况,得到所述终端的安全加固情况信息;
发送模块,用于将所述终端的安全加固情况信息发送至认证服务器,所述安全加固情况信息。
安全加固情况信息用于所述认证服务器基于所述终端的安全加固情况信息对所述终端进行授权,将得到的授权信息发送至认证点设备,所述授权信息用于所述认证点设备对所述终端进行安全控制。
在示例性实施例中,所述发送模块,用于向所述认证点设备发送访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息。
所述802.1X报文用于所述认证点设备获取可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,将所述Radius报文发送至所述认证服务器,所述Radius报文中携带所述终端的标识及安全加固情况信息。
在示例性实施例中,所述发送模块,用于向所述认证点设备发送超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;接收所述认证点设备基于所述HTTP报文返回的重定向信息,所述重定向信息包括所述认证服务器的信息;基于所述认证服务器的信息向所述认证服务器发送HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息。
在示例性实施例中,所述发送模块,还用于向所述认证点设备发送报文。所述认证点设备用于基于所述终端与安全组的关联关系确定符合所述终端的安全加固情况的安全组,采用符合所述终端的安全加固情况的安全组所对应的安全组策略对所述转发报文进行处理。
第七方面,提供了一种网络设备,所述设备包括:存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现上述第一方面至第三方面任一所述的方法。
第八方面,提供了一种安全控制系统,所述系统包括:认证点设备、认证服务器及终端;所述认证点设备用于执行如上第一方面任一所述的方法,所述认证服务器用于执行如上第二方面任一所述的方法,所述终端用于执行如上第三方面任一所述的方法。
第九方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现上述第一方面至第三方面任一所述的方法。
第十方面,提供了另一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行上述任一种可能的实施方式中的方法。
作为一种示例性实施例,所述处理器为一个或多个,所述存储器为一个或多个。
作为一种示例性实施例,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第十一方面,提供了一种计算机程序(产品),所述计算机程序(产品)包括:计算机程序代码,当所述计算机程序代码被计算机运行时,使得所述计算机执行上述各方面中的方法。
第十二方面,提供了一种芯片,包括处理器,用于从存储器中调用并运行所述存储器中存储的指令,使得安装有所述芯片的通信设备执行上述各方面中的方法。
第十三方面,提供了另一种芯片,包括:输入接口、输出接口、处理器和存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过内部连接通路相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述各方面中的方法。
附图说明
图1为本申请实施例提供的安全控制方法的实施环境示意图;
图2为本申请实施例提供的安全控制方法的过程示意图;
图3为本申请实施例提供的安全控制方法的过程示意图;
图4为本申请实施例提供的安全控制方法流程图;
图5为本申请实施例提供的安全控制方法流程图;
图6为本申请实施例提供的安全控制方法流程图;
图7为本申请实施例提供的安全控制装置的结构示意图;
图8为本申请实施例提供的用于安全控制的装置的结构示意图;
图9为本申请实施例提供的用于安全控制的装置的结构示意图;
图10为本申请实施例提供的网络设备的结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
随着企业园区移动办公的逐渐普及,提高办公效率的诉求越来越强烈,而信息安全也是不容忽视的,因此,在用户移动办公时,如何对网络资源的访问权限进行合理的授权,有效增强网络信息安全的控制能力,是目前亟待解决的问题。
相关技术中,将园区网络划分成不同安全等级区域,例如红区代表机密区域、黄区代表安全区域、绿区代表访客区域,不同网络区域接入的终端有不同网络访问的安全权限。例如绿区终端只能访问绿区开放资源。然而,该种安全控制方法对终端安全等级没有要求,但是为了保障信息安全,也限制了用户终端不能在不同的安全区域移动办公。
另一种相关技术中,根据用户账号或身份标识(例如指纹)进行接入认证和网络访问权限的授权。该种安全控制方式在移动办公时,例如远程虚拟专用网络(virtualprivate network,VPN)访问等,需要临时申请,且移动办公具体诉求相关的网络访问权限需要人工审批,申请周期长,操作效率比较低。
对此,本申请实施例提供了一种安全控制方法,该方法在用户移动办公时,识别终端的安全加固情况,基于安全加固情况进行合理的网络资源的访问权限授权,从而能优先增强网络信息安全的控制能力。以图1所示的安全控制系统的实施场景为例,该实施场景包括终端11、认证点设备12及认证服务器13。
其中,在本申请实施例提供的方法中,终端11进行了安全加固,例如包括但不限于安装射频(radio frequency,RF)标识(Identity,ID),用于网络监控该终端11的网络接入位置和做资产管理;安装硬盘加密;安装终端端口,如网口、通用串行总线(universalserial bus,USB)口等控制软件。此外,该终端11安装有认证客户端,认证客户端认证或认证客户端开启时,检查终端11的安全加固情况,评判终端11的安全属性。例如,终端11的安全加密完备,则该终端11为安全终端,否则该终端11为非安全终端。此外,认证客户端支持802.1x(访问控制和认证协议)认证或Portal认证,不同安全加固情况的终端,在进行用户账号或身份标识认证时,认证报文中携带终端安全加固情况信息给认证点设备12和认证服务器13,以便认证服务器13根据终端11的安全加固情况和账号信息综合授权。
认证点设备12,用于对终端11进行接入管控,在进行Portal(统一门户)认证时重定向终端11的超文本传输协议(hypertext transfer protocol,HTTP)报文访问远程用户拨号认证(Remote Authentication Dial In User Service Radius)服务器。在进行802.1X认证时,终结802.1X报文,获取其中使用可扩展的身份验证协议(extensibleauthentication protocol,EAP)报文,将EAP报文封装到Radius协议认证报文中。之后,与Radius服务器进行认证交互,获取Radius服务器下发的授权信息,授权与终端的安全加固情况匹配的安全组。认证点设备12针对该终端11执行对应的安全组策略。
认证服务器13包括Portal服务器(集成或对接Radius服务器)或Radius服务器。
如图2所示,Portal服务器,支持终端的portal认证,可以解析终端发送的HTTP报文获取终端安全加固情况信息和接入认证点设备信息。此外,还结合Radius服务器针对终端的预配置授权信息下发动态授权信息给终端接入的认证点。例如,Portal认证成功后,基于COA授权符合安全属性的安全组给认证点设备,以便认证点设备针对该终端流量执行授权安全组对应的安全策略。此外,Portal服务器还可以向终端发送认证结果,以通知认证结果,例如认证结果为认证成功。
如图3所示,Radius服务器,支持终端的802.1X认证,解析EAP报文获取终端安全加固情况信息,下发认证结果和授权信息,授权信息中携带与终端的安全加固情况匹配的安全组授权信息,以便认证点设备针对该终端流量执行授权安全组对应的安全策略。此外,Portal服务器还可以向认证点设备发送认证结果,认证点设备向终端发送认证结果,例如认证结果为认证成功。
接下来,基于上述图1-图3所示的实施环境,对本申请实施例提供的安全控制方法进行说明。如图4所示,本申请实施例提供的安全控制方法包括如下几个过程:
401,终端检查终端的安全加固情况,得到终端的安全加固情况信息。
示例性地,终端上安装有认证客户端,还可提前进行了安全加固,例如安装RFID、硬盘加密、终端端口等控制软件。因此,在认证客户端进行认证或启动时,可对终端的安全加固情况进行检查,得到终端的安全加固情况信息。例如,如果终端进行了所有的加固,则终端是安全的,安全属性可以为高。如果终端进行了部分加固,则终端是安全的,安全属性可以为中。但如果终端进行了某些加固,但关键的加固没有安装,或者没有进行任何的加固,则安全属性为低。关于对终端的安全加固情况进行检查,得到终端的安全加固情况信息的方式,本申请实施例不进行限定,例如,可基于安全控制场景设定终端的安全属性,将安全属性信息作为安全加固情况信息,不同的安全属性信息用于指示不同的安全加固情况。此外,在示例性实施例中,安全加固情况信息也可以采用标签的形式实现,例如,不同安全加固情况对应不同的安全属性标签,以安全属性标签作为安全属性信息。
402,终端将终端的安全加固情况信息发送至认证服务器。
由于认证服务器不同,认证方式不同,因此,该步骤中,将终端的安全加固情况信息发送至认证服务器,包括但不限于如下两种方式:
方式一:针对认证服务器为Radius服务器,或集成有Radius的Portal服务器的情况,将终端的安全加固情况信息发送至认证服务器,包括:向认证点设备发送访问控制和认证协议802.1X报文,802.1X报文中携带有终端的安全加固情况信息。
该种方式下,认证点设备获取802.1X报文中的可扩展的身份验证协议EAP报文,对EAP报文重新封装,得到远程用户拨号认证Radius报文,将Radius报文发送至认证服务器,Radius报文中携带终端的标识及安全加固情况信息。
示例性地,采用802.1x认证时,扩展EAP的扩展选项或实验选项携带安全加固情况信息。
方式二:针对认证服务器为Portal服务器的情况,将终端的安全加固情况信息发送至认证服务器,包括:向认证点设备发送超文本传输协议HTTP报文,HTTP报文头选项中携带终端安全加固情况信息;接收认证点设备基于HTTP报文返回的重定向信息,重定向信息包括统一门户Portal服务器的信息;基于Portal服务器的信息向Portal服务器发送HTTP报文,其中,HTTP报文头选项中携带终端的安全加固情况信息。
示例性地,安全加固情况信息可以是安全属性标签,例如安全属性标签标记黄区终端(Y-Terminal)或绿区终端(G-Terminal)或红区终端(R-Terminal)。黄区代表安全区域,绿区代表访客区域,红区代表机密区域。不同网络区域接入的终端有不同网络访问的安全权限。采用Portal认证时,Http报文头选项中携带扩展的安全属性字段。例如在Set-Cookie或Set-Cookie2中携带安全属性信息SecureAttribute=Y-Terminal或G-Terminal的NAME=VALUE pair。
403,认证服务器获取终端的安全加固情况信息。
针对不同认证服务器,获取终端的安全加固情况信息的方式,包括但不限于如下两种:
方式一:针对认证服务器为Radius服务器,或集成有Radius的Portal服务器的情况,获取终端的安全加固情况信息的方式,包括:接收认证点设备发送的Radius报文,Radius报文中携带终端的标识及安全加固情况信息;解析Radius报文,得到终端的标识及安全加固情况信息。
方式二:针对认证服务器为Portal服务器的情况,获取终端的安全加固情况信息的方式,包括:接收终端发送的HTTP报文,HTTP报文头选项中携带终端的安全加固情况信息;解析HTTP报文,得到终端的安全加固情况信息。
404,认证服务器基于终端的安全加固情况信息对终端进行授权,得到终端的授权信息,授权信息包括与终端的安全加固情况匹配的安全组。
认证服务器获取到终端的安全加固情况信息后,可基于终端的安全加固情况信息对终端进行认证,如果认证通过,对终端进行授权。在示例性实施例中,基于终端的安全加固情况信息对终端进行授权,得到终端的授权信息,包括:基于终端的安全加固情况信息综合本地配置生成终端的授权信息;或者,基于终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到终端的授权信息。
示例性地,本地配置可以是根据认证服务器的情况提前进行的配置,认证服务器基于终端的安全加固情况信息再综合认证服务器的本地配置生成与该终端匹配的授权信息。此外,终端也可以对应有账号,该终端不仅在该认证服务器上进行认证授权,在其他账号管理服务器上也有可能进行过认证和授权,且由其他账号管理服务器记录了该账号的授权信息,因此,认证服务器也可以与其他账号管理服务器进行通信,以基于终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到终端的授权信息。采用哪种方式获取授权信息,本申请实施例不进行限定。
需要说明的是,Portal认证场景下,认证服务器可以是Portal服务器和Radius服务器的组合,即集成有Radius的Portal服务器。在示例性实施例中,Portal服务器和Radius服务器可以合一部署也能分离部署,如果分离部署时,Portal服务器可以通过Portal协议同步终端认证信息(包括用户账号信息和安全加固情况信息)给认证点设备,认证点设备通过Radius协议封装这些属性到Radius服务器完成认证,获取所属安全组的授权结果。因此,在示例性实施例中,基于终端的安全加固情况信息对终端进行授权,得到终端的授权信息,包括:通过Portal协议将终端的认证信息发送至认证点设备,认证信息包括终端的安全加固情况信息;认证信息用于认证点设备通过Radius协议封装认证信息之后发送到Radius服务器完成认证和授权;获取Radius服务器返回的终端的授权信息。
405,认证服务器将终端的授权信息发送至认证点设备。
在示例性实施例中,认证服务器将终端的授权信息发送至认证点设备,包括:通过COA将终端的授权信息发送至认证点设备。例如,认证服务器基于华为敏捷控制器(huaweiagile controller authentication,HACA)协议或联动Radius服务器通过COA将终端的授权信息发送至认证点设备。
此外,示例性地,认证服务器除了将终端的授权信息发送至认证点设备,也可以将终端的认证结果一并发给认证点设备。或者,认证服务器可以直接将认证结果发给终端。
406,认证点设备获取认证服务器反馈的终端的授权信息。
在示例性实施例中,认证点设备接收认证服务器通过COA下发的终端的授权信息。此外,认证服务器还可以向认证点设备下发终端的认证结果,则认证点设备接收终端的认证结果,将该认证结果发给终端。
针对认证服务器的不同,获取认证服务器反馈的终端的授权信息之前,还包括:认证点设备接收终端发送的访问控制和认证协议802.1X报文,802.1X报文中携带有终端的安全加固情况信息;获取802.1X报文中的可扩展的身份验证协议EAP报文,对EAP报文重新封装,得到远程用户拨号认证Radius报文,Radius报文中携带终端的标识及安全加固情况信息;将Radius报文发送至认证服务器,由认证服务器基于Radius报文对终端进行授权。
在示例性实施例中,获取认证服务器反馈的终端的授权信息之前,还包括:认证点设备获取终端的超文本传输协议HTTP报文,其中,HTTP报文头选项中携带所述终端的安全加固情况信息。将HTTP报文重定向到统一门户Portal服务器,由Portal服务器对终端进行授权。
针对认证服务器为Portal服务器的情况,在示例性实施例中,将HTTP报文重定向到Portal服务器之前,还包括:对终端进行认证前域的默认授权,由终端基于认证前域的默认授权发送HTTP报文。其中,对终端Portal认证前域的默认授权是预授权,即非安全终端的权限授权,终端据此能访问Portal服务器,不能访问网络中的其他安全网络资源。
407,认证点设备基于与终端的安全加固情况匹配的安全组对终端进行安全控制。
在示例性的实施例中,认证点设备可根据终端的授权信息确定终端与安全组的关联关系。
示例性地,认证点设备接收到终端的授权信息后,可生成终端的标识与安全组的关联关系表,以通过该关联关系表记录终端与安全组的关联关系。其中,终端的标识可以是授权信息中携带的,也可以是认证点设备在向认证服务器发送Radius报文时,从该Radius报文中获取之后存储的。或者,还可以是在接收到终端发送的HTTP报文时,从该HTTP报文中获取之后存储的。
在示例性实施例中,认证点设备获取认证服务器反馈的终端的授权信息之后,还包括:获取终端准入的参数、安全组以及安全组对应的安全组策略。
在示例性实施例中,认证点设备将终端的安全加固情况信息发送至认证服务器之后,还包括:向认证点设备发送报文,认证点设备确定与终端的安全加固情况匹配的安全组,采用该安全组所对应的安全组策略对报文进行处理。
本申请实施例提供的方法,通过识别终端的安全加固情况信息,结合终端的安全加固情况信息进行认证授权,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
需要说明的是,以上仅以认证服务器为Radius服务器和Portal服务器为例进行的说明,除此之外,认证服务器还可以扩展引申到Diameter服务器等,本申请实施例不对认证服务器的类型进行限定。
参见图5,以认证服务器为Radius服务器,安全加固情况信息以安全属性标签来表示为例,对本申请实施例提供的安全控制方法进行说明。首先,终端进行安全加固,通过软件定义网络(software defined network,SDN)控制器或网管或直接通过设备Web(网络)网管或命令行界面(command-line interface,CLI)在认证点设备上配置终端准入的参数,例如认证模板、验证授权计费(authenticationauthorizationaccounting,AAA)服务器对接参数等,安全组和基于安全组的安全策略,也可以配置用户组,用户组下绑定安全策略。之后,通过终端、认证点设备和认证服务器之间的交互,实现安全控制。如图5所示,该安全控制方法包括如下过程:
501,终端检查终端的安全加固情况,评估安全属性。
示例性地,终端上安装有认证客户端,终端上的认证客户端启动或进行用户账号或身份标识认证时,检查终端的安全加固情况,例如该实施例中评估终端为安全终端,得到终端的安全属性标签为Y-Terminal。
502,终端向认证点设备发送802.1X报文,802.1X报文中扩展携带了安全属性标签Y-Terminal。
示例性地,终端通过认证客户端进行802.1X认证,认证报文中扩展携带了安全属性标签Y-Terminal。
503,认证点设备获取802.1X报文中的EAP报文,重新封装得到Radius报文。
504,认证点设备将Radius报文发送至Radius服务器。
其中,Radius报文中包括但不限于携带终端的标识、用户账号信息、接入设备信息和EAP报文信息。
505,Radius服务器解析Radius报文中的EAP报文获取终端的标识、用户账号信息和安全属性标签。
506,Radius服务器综合本地配置或从其他账号管理服务器同步的用户账号授权信息,生成认证结果。
例如,如果认证成功,同时携带授权信息,授权信息中包含与终端的安全加固情况匹配的安全组或用户组授权信息。
507,Radius服务器向认证点设备返回认证结果和授权信息。
508,认证点设备根据终端的授权信息,确定终端和安全组的关联关系。
例如,认证点设备根据终端的授权信息生成终端的标识和安全组的管理关系表,以便认证点设备转发平面能够识别该终端转发流量,标识该流量报文归属的安全组。
509,终端通过动态主机设置协议(dynamic host configuration protocol,DHCP)协议从认证点设备获取IP地址和网关信息。
510,终端向认证点设备发送报文。
511,认证点设备转发平面收到终端的报文后,根据终端归属的安全组对应的安全策略处理报文。
例如,默认丢弃访问绿区资源的报文。
本申请实施例提供的方法,通过识别终端的安全属性标签,结合终端的安全加固情况进行认证授权,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
参见图6,以认证服务器为Portal服务器,安全加固情况信息以安全属性标签来表示为例,对本申请实施例提供的安全控制方法进行说明。首先,终端进行安全加固,通过SDN控制器或网管或直接通过设备Web网管或CLI在认证点设备上配置终端准入的参数(例如认证模板、AAA服务器对接参数等),认证前域的安全策略,安全组和基于安全组的安全组策略,也可以配置用户组,用户组下绑定安全策略。如图6所示,该安全控制方法包括如下过程:
601,终端检查终端的安全加固情况,评估安全属性。
例如,终端上的认证客户端检查终端的安全加固情况,该实施例中评估终端为安全终端。
602,终端通过DHCP协议从认证点设备获取网际协议(internet protocol,IP)地址和网关信息。
603,认证点设备感知到未认证的终端,对终端进行认证前域的默认授权,允许终端访问Portal服务器。
604,认证点设备截获未认证的终端的HTTP报文,HTTP报文头选项中携带终端的安全属性标签;向终端发送重定向信息,以将该HTTP报文重定向到对应的Portal服务器,重定向信息中包括Portal服务器统一资源定位符(uniform resource locator,URL)、接入设备IP信息。
605,终端根据重定向信息向Portal服务器发送HTTP报文,以进行认证,用于Portal认证的HTTP报文头选项中携带用户标识(例如账号和密码)、接入设备信息和安全属性标签Y-Terminal。
606,Portal服务器解析HTTP报文获取用户账号和安全属性标签,综合本地配置或从其他账号管理服务器同步用户账号授权信息。
需要说明的是,如果Portal服务器集成有Radius,则该Portal服务器可对终端进行认证和授权,获取认证结果,综合本地配置或从其他账号管理服务器同步用户账号授权信息。在示例性实施例中,如果Portal服务器未集成有Radius,而是独立的Portal服务器,则Portal服务器基于终端的安全加固情况信息对终端进行授权,得到终端的授权信息,包括:通过Portal协议将终端的认证信息发送至认证点设备,认证信息包括终端的安全属性标签,认证点设备通过Radius协议封装认证信息之后发送到Radius服务器完成认证和授权;Portal服务器获取Radius服务器返回的终端的授权信息。
其中,Radius服务器可以综合本地配置或从其他账号管理服务器同步用户账号授权信息。
607,Portal服务器向终端的认证客户端返回认证结果。
608,如果认证成功,Portal服务器向认证点设备下发该终端的授权信息,授权信息中包含与终端的安全加固情况匹配的安全组。
示例性地,Portal服务器基于华为敏捷控制器(huawei agile controllerauthentication,HACA)协议或联动Radius Server通过授权变更(change-of-authorization,COA)向认证点设备下发该终端的授权信息。
609,认证点设备根据终端的授权信息,确定终端和安全组的关联关系,以便认证点设备转发平面识别该终端转发流量,标识该流量报文归属的安全组。
610,终端向认证点设备发送报文。
611,认证点设备转发平面收到终端的报文后,根据终端归属的安全组应用对应的安全策略处理报文,例如默认丢弃访问绿区资源的报文。
本申请实施例提供的方法,通过识别终端的安全属性标签,结合终端的安全加固情况进行认证授权,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
参见图7,提供了一种安全控制装置,该装置包括:
获取模块701,用于获取认证服务器反馈的终端的授权信息,授权信息包括与终端的安全加固情况匹配的安全组;
控制模块702,用于基于与终端的安全加固情况匹配的安全组对终端进行安全控制。
在示例性实施例中,装置还包括:
接收模块,用于接收终端发送的访问控制和认证协议802.1X报文,802.1X报文中携带有终端的安全加固情况信息;
获取模块701,还用于获取802.1X报文中的可扩展的身份验证协议EAP报文,对EAP报文重新封装,得到远程用户拨号认证Radius报文,Radius报文中携带终端的标识及安全加固情况信息;
发送模块,用于将Radius报文发送至认证服务器。
在示例性实施例中,获取模块701,还用于获取终端的超文本传输协议HTTP报文,HTTP报文头选项中携带终端安全加固情况信息;
装置还包括:
重定向模块,用于将HTTP报文重定向到认证服务器。
在示例性实施例中,获取模块701,还用于获取终端准入的参数、安全组以及安全组对应的安全组策略;
控制模块702,用于接收到终端的报文后,确定与终端的安全加固情况匹配的安全组,采用与安全组所对应的安全组策略对报文进行处理。
本申请实施例提供的装置,通过获取基于终端的安全加固情况确定的授权信息,基于授权信息包括的与终端的安全加固情况匹配的安全组来对终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
参见图8,提供了一种用于安全控制的装置,该装置包括:
获取模块801,用于获取终端的安全加固情况信息;
授权模块802,用于基于终端的安全加固情况信息对终端进行授权,得到终端的授权信息,授权信息包括与终端的安全加固情况匹配的安全组;
发送模块803,用于将终端的授权信息发送至认证点设备。
在示例性实施例中,获取模块801,用于接收认证点设备发送的远程用户拨号认证Radius报文,Radius报文中携带终端的标识及安全加固情况信息;解析Radius报文,得到终端的标识及安全加固情况信息。
在示例性实施例中,获取模块801,用于接收终端发送的超文本传输协议HTTP报文,HTTP报文头选项中携带终端的安全加固情况信息;解析HTTP报文,得到终端的安全加固情况信息。
在示例性实施例中,发送模块803,用于通过授权变更COA将终端的授权信息发送至认证点设备。
在示例性实施例中,授权模块802,用于基于终端的安全加固情况信息综合本地配置生成终端的授权信息;或者,基于终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到终端的授权信息。
在示例性实施例中,授权模块802,用于通过Portal协议将终端的认证信息发送至认证点设备,认证信息包括终端的安全加固情况信息,认证信息用于认证点设备通过Radius协议封装认证信息之后发送到Radius服务器完成认证;获取Radius服务器返回的终端的授权信息。
本申请实施例提供的装置,通过获取终端的安全加固情况信息,基于终端的安全加固情况对终端进行认证和授权,确定授权信息,从而使得认证点设备能够基于与终端的安全加固情况匹配的安全组来对终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
参见图9,提供了一种用于安全控制的装置,该装置包括:
检查模块901,用于检查终端的安全加固情况,得到终端的安全加固情况信息;
发送模块902,用于将终端的安全加固情况信息发送至认证服务器,安全加固情况信息。
安全加固情况信息用于认证服务器基于终端的安全加固情况信息对终端进行授权,将得到的授权信息发送至认证点设备,授权信息用于认证点设备对终端进行安全控制。
在示例性实施例中,发送模块902,用于向认证点设备发送访问控制和认证协议802.1X报文,802.1X报文中携带有终端的安全加固情况信息。
802.1X报文用于认证点设备获取可扩展的身份验证协议EAP报文,对EAP报文重新封装,得到远程用户拨号认证Radius报文,将Radius报文发送至认证服务器,Radius报文中携带终端的标识及安全加固情况信息。
在示例性实施例中,发送模块902,用于向认证点设备发送超文本传输协议HTTP报文,HTTP报文头选项中携带终端的安全加固情况信息;接收认证点设备基于HTTP报文返回的重定向信息,重定向信息包括认证服务器的信息;基于认证服务器的信息向认证服务器发送HTTP报文,HTTP报文头选项中携带终端的安全加固情况信息。
在示例性实施例中,发送模块902,还用于向认证点设备发送报文。认证点设备用于基于终端与安全组的关联关系确定符合终端的安全加固情况的安全组,采用符合终端的安全加固情况的安全组所对应的安全组策略对转发报文进行处理。
本申请实施例提供的装置,通过获取终端的安全加固情况信息,将安全加固情况信息发送至认证服务器,以由认证服务器基于终端的安全加固情况对终端进行认证和授权,使得认证点设备基于与终端的安全加固情况匹配的安全组来对终端进行安全控制,保障终端可以在园区网络不同的安全区域接入,在保障网络接入安全的同时实现移动办公。
应理解的是,上述图7-图9提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
参见图10,本申请实施例还提供一种网络设备1000,图10所示的网络设备1000用于执行上述安全控制方法所涉及的操作。该网络设备1000包括:存储器1001、处理器1002及接口1003,存储器1001、处理器1002及接口1003之间通过总线1004连接。
其中,存储器1001中存储有至少一条指令,至少一条指令由处理器1002加载并执行,以实现上述任一所述的安全控制方法。
接口1003用于与网络中的其他设备进行通信,该接口1003可以通过无线或有线的方式实现,示例性地,该接口1003可以是网卡。例如,网络设备1000可通过该接口1003与其他网络设备进行通信。
应理解的是,图10仅仅示出了网络设备1000的简化设计。在实际应用中,网络设备可以包含任意数量的接口,处理器或者存储器。此外,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digitalsignal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advancedRISC machines,ARM)架构的处理器。
进一步地,在一种可选的实施例中,上述存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者,其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。
还提供了一种计算机可读存储介质,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现如上任一所述安全控制方法。
本申请提供了一种计算机程序,当计算机程序被计算机执行时,可以使得处理器或计算机执行上述方法实施例中对应的各个操作和/或流程。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk)等。
以上所述仅为本申请的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (29)
1.一种安全控制方法,其特征在于,所述方法包括:
获取认证服务器反馈的终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制。
2.根据权利要求1所述的方法,其特征在于,所述获取认证服务器反馈的终端的授权信息之前,还包括:
接收所述终端发送的访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息;
获取所述802.1X报文中的可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;
将所述Radius报文发送至所述认证服务器。
3.根据权利要求1所述的方法,其特征在于,所述获取认证服务器反馈的终端的授权信息之前,还包括:
获取所述终端的超文本传输协议HTTP报文,所述HTTP报文头选项中携带终端安全加固情况信息;
将所述HTTP报文重定向到认证服务器。
4.根据权利要求1-3任一所述的方法,其特征在于,所述获取认证服务器反馈的终端的授权信息之后,还包括:
获取终端准入的参数、安全组以及所述安全组对应的安全组策略;
所述基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制,包括:
接收到所述终端的报文后,确定与所述终端的安全加固情况匹配的安全组,采用与所述安全组所对应的安全组策略对所述报文进行处理。
5.一种安全控制方法,其特征在于,所述方法包括:
获取终端的安全加固情况信息;
基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
将所述终端的授权信息发送至认证点设备。
6.根据权利要求5所述的方法,其特征在于,所述获取终端的安全加固情况信息,包括:
接收所述认证点设备发送的远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;
解析所述Radius报文,得到所述终端的标识及安全加固情况信息。
7.根据权利要求5所述的方法,其特征在于,所述获取终端的安全加固情况信息,包括:
接收所述终端发送的超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;
解析所述HTTP报文,得到所述终端的安全加固情况信息。
8.根据权利要求5-7任一所述的方法,其特征在于,所述将所述终端的授权信息发送至认证点设备,包括:
通过授权变更COA将所述终端的授权信息发送至所述认证点设备。
9.根据权利要求5-8任一所述的方法,其特征在于,所述基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,包括:
基于所述终端的安全加固情况信息综合本地配置生成所述终端的授权信息;
或者,基于所述终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到所述终端的授权信息。
10.根据权利要求5、7或8所述的方法,其特征在于,所述基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,包括:
通过Portal协议将所述终端的认证信息发送至认证点设备,所述认证信息包括所述终端的安全加固情况信息;
获取所述Radius服务器返回的所述终端的授权信息。
11.一种安全控制方法,其特征在于,所述方法包括:
检查终端的安全加固情况,得到所述终端的安全加固情况信息;
将所述终端的安全加固情况信息发送至认证服务器。
12.根据权利要求11所述的方法,其特征在于,所述将所述终端的安全加固情况信息发送至认证服务器,包括:
向所述认证点设备发送访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息。
13.根据权利要求11所述的方法,其特征在于,所述将所述终端的安全加固情况信息发送至认证服务器,包括:
向所述认证点设备发送超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;
接收所述认证点设备基于所述HTTP报文返回的重定向信息,所述重定向信息包括所述认证服务器的信息;
基于所述认证服务器的信息向所述认证服务器发送HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息。
14.一种安全控制装置,其特征在于,所述装置包括:
获取模块,用于获取认证服务器反馈的终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
控制模块,用于基于与所述终端的安全加固情况匹配的安全组对所述终端进行安全控制。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述终端发送的访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息;
所述获取模块,还用于获取所述802.1X报文中的可扩展的身份验证协议EAP报文,对所述EAP报文重新封装,得到远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;
发送模块,用于将所述Radius报文发送至所述认证服务器。
16.根据权利要求14所述的装置,其特征在于,所述获取模块,还用于获取所述终端的超文本传输协议HTTP报文,所述HTTP报文头选项中携带终端安全加固情况信息;
所述装置还包括:
重定向模块,用于将所述HTTP报文重定向到认证服务器。
17.根据权利要求14-16任一所述的装置,其特征在于,所述获取模块,还用于获取终端准入的参数、安全组以及所述安全组对应的安全组策略;
所述控制模块,用于接收到所述终端的报文后,确定与所述终端的安全加固情况匹配的安全组,采用与所述安全组所对应的安全组策略对所述报文进行处理。
18.一种用于安全控制的装置,其特征在于,所述装置包括:
获取模块,用于获取终端的安全加固情况信息;
授权模块,用于基于所述终端的安全加固情况信息对所述终端进行授权,得到所述终端的授权信息,所述授权信息包括与所述终端的安全加固情况匹配的安全组;
发送模块,用于将所述终端的授权信息发送至认证点设备。
19.根据权利要求18所述的装置,其特征在于,所述获取模块,用于接收所述认证点设备发送的远程用户拨号认证Radius报文,所述Radius报文中携带所述终端的标识及安全加固情况信息;解析所述Radius报文,得到所述终端的标识及安全加固情况信息。
20.根据权利要求18所述的装置,其特征在于,所述获取模块,用于接收所述终端发送的超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;解析所述HTTP报文,得到所述终端的安全加固情况信息。
21.根据权利要求18-20任一所述的装置,其特征在于,所述发送模块,用于通过授权变更COA将所述终端的授权信息发送至所述认证点设备。
22.根据权利要求18-21任一所述的装置,其特征在于,所述授权模块,用于基于所述终端的安全加固情况信息综合本地配置生成所述终端的授权信息;或者,基于所述终端的安全加固情况信息从其他账号管理服务器同步用户账号授权信息,得到所述终端的授权信息。
23.根据权利要求18、20或21所述的装置,其特征在于,所述授权模块,用于通过Portal协议将所述终端的认证信息发送至认证点设备,所述认证信息包括所述终端的安全加固情况信息;获取Radius服务器返回的所述终端的授权信息。
24.一种用于安全控制的装置,其特征在于,所述装置包括:
检查模块,用于检查终端的安全加固情况,得到所述终端的安全加固情况信息;
发送模块,用于将所述终端的安全加固情况信息发送至认证服务器。
25.根据权利要求24所述的装置,其特征在于,所述发送模块,用于向所述认证点设备发送访问控制和认证协议802.1X报文,所述802.1X报文中携带有所述终端的安全加固情况信息。
26.根据权利要求24所述的装置,其特征在于,所述发送模块,用于向所述认证点设备发送超文本传输协议HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息;接收所述认证点设备基于所述HTTP报文返回的重定向信息,所述重定向信息包括所述认证服务器的信息;基于所述认证服务器的信息向所述认证服务器发送HTTP报文,所述HTTP报文头选项中携带所述终端的安全加固情况信息。
27.一种网络设备,其特征在于,所述设备包括:
存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现权利要求1-13中任一所述的安全控制方法。
28.一种安全控制系统,其特征在于,所述系统包括:认证点设备、认证服务器及终端;
所述认证点设备用于执行所述权利要求1-4任一所述的方法,所述认证服务器用于执行如所示权利要求5-10任一所述的方法,所述终端用于执行如所述权利要求11-13任一所述的方法。
29.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1-13中任一所述的安全控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910927852.8A CN112672348A (zh) | 2019-09-27 | 2019-09-27 | 安全控制方法、装置、设备、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910927852.8A CN112672348A (zh) | 2019-09-27 | 2019-09-27 | 安全控制方法、装置、设备、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112672348A true CN112672348A (zh) | 2021-04-16 |
Family
ID=75399666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910927852.8A Pending CN112672348A (zh) | 2019-09-27 | 2019-09-27 | 安全控制方法、装置、设备、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112672348A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113285949A (zh) * | 2021-05-21 | 2021-08-20 | 新华三大数据技术有限公司 | 一种外网访问控制方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744494A (zh) * | 2005-09-30 | 2006-03-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101521885A (zh) * | 2008-02-26 | 2009-09-02 | 华为技术有限公司 | 一种权限控制方法、系统及设备 |
| CN101621523A (zh) * | 2009-07-22 | 2010-01-06 | 中兴通讯股份有限公司 | 一种用户安全接入控制方法及其装置和系统 |
| CN101764788A (zh) * | 2008-12-23 | 2010-06-30 | 迈普通信技术股份有限公司 | 基于扩展802.1x认证系统的安全接入方法 |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| CN106549793A (zh) * | 2015-09-23 | 2017-03-29 | 华为技术有限公司 | 流量控制方法及设备 |
-
2019
- 2019-09-27 CN CN201910927852.8A patent/CN112672348A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744494A (zh) * | 2005-09-30 | 2006-03-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101521885A (zh) * | 2008-02-26 | 2009-09-02 | 华为技术有限公司 | 一种权限控制方法、系统及设备 |
| CN101764788A (zh) * | 2008-12-23 | 2010-06-30 | 迈普通信技术股份有限公司 | 基于扩展802.1x认证系统的安全接入方法 |
| CN101621523A (zh) * | 2009-07-22 | 2010-01-06 | 中兴通讯股份有限公司 | 一种用户安全接入控制方法及其装置和系统 |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| CN106549793A (zh) * | 2015-09-23 | 2017-03-29 | 华为技术有限公司 | 流量控制方法及设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113285949A (zh) * | 2021-05-21 | 2021-08-20 | 新华三大数据技术有限公司 | 一种外网访问控制方法、装置、设备及存储介质 |
| CN113285949B (zh) * | 2021-05-21 | 2022-03-25 | 新华三大数据技术有限公司 | 一种外网访问控制方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109286932B (zh) | 入网认证方法、装置及系统 | |
| US8064598B2 (en) | Apparatus, method and computer program product providing enforcement of operator lock | |
| EP2937805B1 (en) | Proximity authentication system | |
| US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
| US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
| US8973118B2 (en) | Token based security protocol for managing access to web services | |
| US20100005290A1 (en) | Method of identity protection, corresponding devices and computer softwares | |
| EP3099090B1 (en) | Network locking or card locking method and device for a mobile terminal, terminal, sim card, storage media | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| JP6337642B2 (ja) | パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント | |
| EP2448305A1 (en) | Data processing for securing local resources in a mobile device | |
| WO2019062666A1 (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
| EP2924944B1 (en) | Network authentication | |
| CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
| EP3143780B1 (en) | Device authentication to capillary gateway | |
| CN109495503B (zh) | 一种ssl vpn认证方法、客户端、服务器及网关 | |
| CN110401951B (zh) | 认证无线局域网中终端的方法、装置和系统 | |
| US11362827B2 (en) | IOT security mechanisms for industrial applications | |
| US11245523B2 (en) | Method for implementing client side credential control to authorize access to a protected device | |
| KR102236656B1 (ko) | 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법 | |
| EP2706717A1 (en) | Method and devices for registering a client to a server | |
| WO2016070611A1 (zh) | 一种数据处理方法、服务器及终端 | |
| EP3163836B1 (en) | Method and apparatus for secure access of a service via customer premise equipment | |
| CN112672348A (zh) | 安全控制方法、装置、设备、系统及存储介质 | |
| US9667652B2 (en) | Mobile remote access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210416 |
|
| RJ01 | Rejection of invention patent application after publication |