WO2009074073A1

WO2009074073A1 - Procédé d'accès et de commande, dispositif et système de communication

Info

Publication number: WO2009074073A1
Application number: PCT/CN2008/073235
Authority: WO
Inventors: Yuzhi Ma; Chunxiu Li
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-12-07
Filing date: 2008-11-28
Publication date: 2009-06-18
Also published as: CN101453460A

Description

一种访问控制方法、设备及通讯系统

本申请要求于 2007 年 12 月 7 日提交中国专利局、申请号为 200710195954.2、发明名称为 "一种访问控制方法及通讯系统以及相关设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通讯领域，尤其涉及一种访问控制方法、设备及通讯系统。

背景技术

互联网工程任务组（ IETF, Internet Engineering Task Force )标准中规定的简单网络管理协议综合安全模型 ( ISMS, Integrated Security Model for Simple network management protocol )工作组采用远程用户拨入认证（ RADIUS , Remote Authentication Dial In User Service Protocol )十办议进行认证和授权。

RADIUS服务是用于网络访问服务器（NAS， Network Access Server )和认证授权计费 ( AAA, Authentication Authorization Accounting )服务器间通信的一种协议。 RADIUS采用典型的客户 /服务器（Client/Server )结构， NAS是作为 RADIUS体系中的客户端运作的。

RADIUS采用用户数据协议 ( UDP, User Datagram Protocol )传输消息，通过定时器管理机制、重传机制、备用服务器机制，确保 RADIUS服务器和客户端之间交互消息的正确收发。标准 Radius数据包结构如表 1所示：

表 1

Code Identifier Length

Authenticator

Attributes

其中， Code表示 RADIUS包的类型，主要包括如下类型： Access-Request: 访问请求包； Access- Accept：访问接受包； Access-Rej ect：访问拒绝包； Accounting-Request: 计费请求包； Accounting-Response：计费响应包。

属性域 Attributes用来在请求和响应报文中携带详细的认证、授权信息和配置细节，来实现认证、授权、计费等功能，其具体属性个数任意，具体可以采用类型-长度-值 ( TLV, Type, Length, Value )三元组的形式实现。

上述技术方案中只是提出了 RADIUS体系的结构以及 RADIUS数据包的格式，而并没有揭示在 RADIUS体系下实现访问控制的方法，现有技术中也未提供类似的实现访问控制的方法。

发明内容

本发明实施例提供了一种访问控制方法、设备及通讯系统，能够在 RADIUS体系下实现访问控制。

本发明实施例提供的访问控制方法，包括：远程用户拨入认证 RADIUS 客户端接收 RADIUS服务器发送的消息，所述消息中包含管理策略以及操作对象；从所述消息中获取所述管理策略以及操作对象；按照所述管理策略对所述操作对象进行访问。

本发明实施例提供的访问控制方法，包括： RADIUS服务器接收 RADIUS 客户端发送的包含访问需求参数的访问请求；在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象；将所述管理策略以及操作对象携带于访问接受响应中；向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应，所述访问接受响应用于指示所述 RADIUS客户端按照所述管理策略对所述操作对象进行访问。

本发明实施例提供的访问控制方法，包括： RADIUS客户端向 RADIUS 服务器发送包含访问需求参数的访问请求； RADIUS服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象； RADIUS服务器向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应； RADIUS 客户端从所述访问接受响应中获取管理策略以及操作对象； RADIUS客户端按照所述管理策略对所述操作对象进行访问。

本发明实施例提供的通讯系统，包括： RADIUS服务器，用于接收 RADIUS 客户端发送的包含访问需求参数的访问请求，在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象，向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应； RADIUS客户端，用于向 RADIUS服务器发送包含访问需求参数的访问请求，从接收到的访问接受响应中获取管理策略以及操作对象，按照所述管理策略对所述操作对象进行访问。

本发明实施例提供的 RADIUS服务器，包括：访问请求接收单元，用于接收 RADIUS客户端发送的包含访问需求参数的访问请求；访问控制参数查询单元，用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象；封装单元，用于将所述管理策略以及操作对象携带于访问接受响应中；访问接受响应发送单元，用于向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应，所述访问接受响应用于指示所述 RADIUS客户端按照所述管理策略对所述操作对象进行访问。

本发明实施例提供的 RADIUS客户端，包括：访问接受响应接收单元，用于接收 RADIUS服务器发送的访问接受响应，所述访问接受响应中包含管理策略以及操作对象；访问控制参数获取单元，用于从所述访问接受响应中获取管理策略以及操作对象；访问执行单元，用于按照所述管理策略对所述操作对象进行访问。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，由于 RADIUS客户端可以从 RADIUS服务器发送的访问接受响应中获取到访问控制参数（至少包括管理策略以及操作对象），所以 RADIUS服务器可以按照该管理策略对该操作对象进行访问，从而能够实现在 RADIUS体系下的访问控制。

附图说明

图 1为本发明实施例中访问控制方法第一实施例示意图；

图 2为本发明实施例中访问控制方法第二实施例示意图；

图 3为本发明实施例中访问控制方法第三实施例示意图；

图 4为本发明实施例中通讯系统实施例示意图；

图 5为本发明实施例中 RADIUS服务器实施例示意图；

图 6为本发明实施例中 RADIUS客户端实施例示意图。

具体实施方式

本发明实施例提供了一种访问控制方法、设备及通讯系统，用于在 RADIUS体系下实现访问控制。

本发明实施例中，由于 RADIUS客户端可以从 RADIUS服务器发送的访问接受响应中获取到访问控制参数（至少包括管理策略以及操作对象），所以 RADIUS服务器可以按照该管理策略对该操作对象进行访问，从而能够实现在 RADIUS体系下的访问控制。本发明实施例中的访问控制过程包括 RADIUS 客户端的执行过程以及 RADIUS服务器的执行过程，下面分别从这两个网元的角度进行描述：

首先从 RADIUS客户端的角度进行描述，请参阅图 1 , 本发明实施例中访问控制方法第一实施例包括：

101、 RADIUS客户端向 RADIUS服务器发送访问请求；

本实施例中，当 RADIUS客户端需要进行资源访问时，首先需要通过认证，具体可以是身份认证，访问认证等，本实施例中对此不作限定。

为进行认证， RADIUS客户端向 RADIUS服务器发送访问请求，该访问请求采用的是如表 1所示的 RADIUS数据包格式，在该访问请求中包含有访问需求参数，具体可以包括 RADIUS客户端请求进行访问的资源的类型或资源标识或 RADIUS客户端对应的用户标识等，可以理解的是，具体的访问需求参数 ^居实际应用的不同还可以进行变化，此处不作限定。

102、 RADIUS客户端接收 RADIUS服务器发送的访问接受响应；本实施例中， RADIUS客户端在通过 RADIUS服务器的认证之后，会接收到 RADIUS服务器发送的访问接受响应，需要说明的是，若 RADIUS客户端未能通过认证，则可能会接收到访问拒绝响应，这种情况下可以按照预置的机制进行处理，例如请求 RADIUS客户端重新进行认证或直接结束流程。

本实施例中由于是从 RADIUS客户端角度进行描述，所以具体 RADIUS 服务器的操作不作详细描述。

103、 RADIUS客户端从访问接受响应中获取管理策略以及操作对象；

RADIUS客户端获取到访问接受响应之后 ,从该访问接受响应中提取出管理策略以及操作对象，本实施例中，该访问接受响应采用如表 1所示的 RADIUS 数据包格式，该访问接受响应中至少会包含管理策略以及操作对象，可以理解的是，该访问接受响应中还可以包括访问角色和 /或访问权限等访问控制参数。

具体的获取手段可以为：

1、从访问接受响应的属性域 Attributes中的不同属性字段中获取访问控制参数：

具体的管理策略以及操作对象在 Attributes中的数据格式包含三个字段，分别为 "类型（Type )" , "长度（Length )" 以及 "文本（Text )" , 其中 Type 用于表示当前是何种访问控制参数，例如管理策略的 Type 字段为： "Management-Policy-Id" , Length字段为 ">=3，，， Text字段为具体的管理策略内容，操作对象的 Type字段为： "Management-Object-Id" , Length字段为 ">=3" , Text字段为具体的操作对象内容，上述数据格式中，具体的字段名称（例如 "Management-Object-Id" )在实际应用中可以改变，具体改变的方式此处不再赘述。

上述描述了从访问接受响应中获取管理策略以及操作对象的方法，可以理解的是，若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数，则同样可以采用上述的获取方式进行获取。

2、从访问接受响应的属性域 Attributes中的属性字段中获取管理策略，再从管理策略中获取其他的访问控制参数：

本方式中，管理策略在访问接受响应中存在的方式以及数据格式都与上述方式中相同，所不同的是对操作对象的获取方式不同，本方式中，操作对象存在于管理策略的 Text字段中，具体的操作对象的数据格式可以与上一方式中相同，也可以采取其他的数据格式，只要能够表明该操作对象的相关信息（包括 ID和长度）即可。

需要说明的是，在本方式中，若访问接受响应中除管理策略外还包含有多个访问控制参数，例如操作对象，访问角色，访问权限等，则具体获取的方式可以再细分为两类：

A、通过多个管理策略来获取不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中只携带一个访问控制参数，则需要获取多个管理策略才能够将所有的访问控制参数全部获取完，在这种情况下，由于 RADIUS协议中规定若出现具有同样类型的多个属性，则在传输过程中要保持同样类型属性的顺序，即管理策略需要按顺序传输不同的访问控制参数，例如第一个管理策略传输的是访问角色，第二个管理策略传输的是操作对象，第三个管理策略传输的是访问权限，这种传输顺序需要 RADIUS客户端和 RADIUS服务器之间预先进行协商。

B、通过一个管理策略来获取不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中可以携带有多个访问控制参数，每个访问控制参数之间采用分隔符隔开，这种情况下只需要获取一个管理策略即可获取到所有的访问控制参数，需要说明的是，这种情况下，管理策略中的 Text字段中的访问控制参数的顺序也需要 RADIUS客户端和 RADIUS服务器预先进行协商。

104、 RADIUS客户端按照该管理策略对该操作对象进行访问。

RADIUS客户端在获取到管理策略以及操作对象之后，可以按照该管理策略对该操作对象进行访问，例如假设操作对象为资源 X，即被访问对象为资源 X, 管理策略为通过代理服务器 Y进行访问，则 RADIUS客户端在获取到该管理策略和操作对象 X之后，向代理服务器 Y发起连接请求，与代理服务器 Y建立连接，由代理服务器 Y与资源服务器建立连接，建立完成后代理服务器 Y可访问资源 X, 并将该资源 X展示给用户，则用户即可通过代理服务器 Y实现对资源 X的访问。可以理解的是，若还包括其他的访问控制参数，例如访问角色或访问权限，则还需要在访问过程中进行相应的处理。

本实施例中，由于 RADIUS客户端可以从 RADIUS服务器发送的访问接受响应中获取到访问控制参数（至少包括管理策略以及操作对象），所以 RADIUS服务器可以按照该管理策略对该操作对象进行访问，从而能够实现在 RADIUS体系下的访问控制。

上述方案从 RADIUS客户端的角度对本发明实施例中的访问控制方法进行了描述，下面从 RADIUS服务器的角度对本发明实施例中的访问控制方法进行描述，请参阅图 2, 本发明实施例中访问控制方法第二实施例包括：

201、 RADIUS服务器接收 RADIUS客户端发送的包含访问需求参数的访问请求；

为进行认证， RADIUS客户端向 RADIUS服务器发送访问请求，该访问请求采用的是 RADIUS数据包格式，在该访问请求中包含有访问需求参数，具体可以包括 RADIUS 客户端请求进行访问的资源的类型或资源标识或 RADIUS客户端对应的用户标识等，可以理解的是，具体的访问需求参数根据实际应用的不同还可以进行变化，此处不作限定。 202、 RADIUS服务器查询与该访问需求参数对应的管理策略以及操作对象；

RADIUS服务器获取到访问请求中的访问需求参数之后，根据该参数在本地的数据库中查询与该参数对应的访问控制参数 (例如管理策略，操作对象）。需要说明的是，在 RADIUS 系统构建的时候可以预置访问需求参数与访问控制参数之间的对应关系，也可以在系统运行过程中对该对应关系进行修改更新，因此 RADIUS服务器能够从数据库中查询到与访问需求参数对应的访问控制参数，可以理解的是，该数据库可以在 RADIUS服务器本地，也可以在其他网元中，或者该数据库独立存在。

203、 RADIUS服务器将管理策略以及操作对象携带于访问接受响应中；

RADIUS服务器获取到访问控制参数后，需要将访问控制参数携带于访问接受响应中，本实施例中的访问控制参数至少包括管理策略以及操作对象，同样还可以包括访问角色和访问权限。

具体的携带方式可以分为以下两种：

1、将访问控制参数携带于访问接受响应的属性域 Attributes的不同属性字段中：

具体的管理策略以及操作对象在 Attributes 中的数据格式为包含三个字段，分别为 "类型（Type )" , "长度（Length )" 以及 "文本（Text )" , 其中 Type 用于表示当前是何种访问控制参数，例如管理策略的 Type 字段为： "Management-Policy-Id" , Length字段为 ">=3，，， Text字段为具体的管理策略内容，操作对象的 Type字段为： "Management-Object-Id" , Length字段为 ">=3" , Text字段为具体的操作对象内容，上述数据格式中，具体的字段名称（例如 "Management-Object-Id" )在实际应用中可以改变，具体改变的方式此处不再赘述。

上述描述了将管理策略以及操作对象携带于从访问接受响应属性域

Attributes 中的方式，可以理解的是，若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数，则同样可以采用上述的获取方式进行携带。

2、将管理策略携带于访问接受响应的属性域 Attributes的属性字段中，再将其他的访问控制参数携带于管理策略中：

本方式中，管理策略在访问接受响应中存在的方式以及数据格式都与上一方式中相同，所不同的是操作对象的携带方式不同，本方式中，操作对象存在于管理策略的 Text字段中，具体的操作对象的数据格式可以与上一方式中相同，也可以采取其他的数据格式，只要能够表明该操作对象的相关信息（包括 ID和长度）即可。

需要说明的是，在本方式中，若访问接受响应中除管理策略外还包含有多个访问控制参数，例如操作对象，访问角色，访问权限等，则具体携带的方式可以再细分为两类：

A、通过多个管理策略携带不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中只携带一个访问控制参数，则需要多个管理策略才能够携带所有的访问控制参数，在这种情况下，由于 RADIUS中规定若出现具有同样类型的多个属性，则在传输过程中要保持同样类型属性的顺序，即管理策略需要按顺序传输不同的访问控制参数，例如第一个管理策略传输的是访问角色，第二个管理策略传输的是操作对象，第三个管理策略传输的是访问权限，这种传输顺序需要 RADIUS客户端和 RADIUS服务器之间预先进行协商。

B、通过一个管理策略携带不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中可以携带有多个访问控制参数，每个访问控制参数之间采用分隔符隔开，这种情况下只需要一个管理策略即可携带所有的访问控制参数，需要说明的是，这种情况下，管理策略中的 Text字段中的访问控制参数的顺序也需要 RADIUS客户端和 RADIUS服务器预先进行协商。

204、 RADIUS服务器向 RADIUS客户端发送该访问接受响应。

RADIUS 服务器将携带有访问控制参数 (至少包含管理策略以及操作对象）的访问接受响应发送至 RADIUS 客户端，该访问接受响应用于指示 RADIUS客户端按照该管理策略对该操作对象进行访问。

上述方案从 RADIUS服务器的角度对本发明实施例中的访问控制方法实施例进行了描述，下面结合上述两种方式对本发明实施例中的访问控制方法进行描述：

请参阅图 3，本发明实施例中访问控制方法第三实施例包括：

301、 RADIUS客户端向 RADIUS服务器发送访问请求；

为进行认证， RADIUS客户端向 RADIUS服务器发送访问请求，该访问请求采用的是 RADIUS数据包格式，在该访问请求中包含有访问需求参数，具体可以包括 RADIUS 客户端请求进行访问的资源的类型或资源标识或 RADIUS客户端对应的用户标识等，可以理解的是，具体的访问需求参数根据实际应用的不同还可以进行变化，此处不作限定。

302、 RADIUS服务器查询与该访问需求参数对应的管理策略以及操作对象；

303、 RADIUS服务器将管理策略以及操作对象携带于访问接受响应中，并将访问接受响应发送至 RADIUS客户端；

具体的携带方式可以分为以下两种：

1、将访问控制参数携带于访问接受响应的属性域 Attributes中的不同属性字段中：

上述描述了将管理策略以及操作对象携带于从访问接受响应属性域 Attributes 中的方式，可以理解的是，若访问接受响应中还包括访问角色或访问权限等其他类型的访问控制参数，则同样可以采用上述的获取方式进行携带。

A、通过多个管理策略携带不同的访问控制参数：

B、通过一个管理策略携带不同的访问控制参数：本方式中，每一个管理策略中的 Text字段中可以携带有多个访问控制参数，每个访问控制参数之间采用分隔符隔开，这种情况下只需要一个管理策略即可携带所有的访问控制参数，需要说明的是，这种情况下，管理策略中的 Text字段中的访问控制参数的顺序也需要 RADIUS客户端和 RADIUS服务器预先进行协商。

RADIUS 服务器将携带有访问控制参数（至少包含管理策略以及操作对象）的访问接受响应发送至 RADIUS 客户端，该访问接受响应用于指示 RADIUS客户端按照该管理策略对该操作对象进行访问。

304、 RADIUS客户端接收 RADIUS服务器发送的访问接受响应；本实施例中， RADIUS客户端在通过 RADIUS服务器的认证之后，会接收到 RADIUS服务器发送的访问接受响应，需要说明的是，若 RADIUS客户端未能通过认证，则可能会接收到访问拒绝响应，这种情况下可以按照预置的机制进行处理，例如请求 RADIUS客户端重新进行认证或直接结束流程。

305、 RADIUS客户端从访问接受响应中获取管理策略以及操作对象； RADIUS客户端获取到访问接受响应之后 ,从该访问接受响应中提取出管理策略以及操作对象，本实施例中，该访问接受响应中至少会包含管理策略以及操作对象，可以理解的是，该访问接受响应中还可以包括访问角色和 /或访问权限等访问控制参数。

具体的获取手段可以为：

具体的管理策略以及操作对象在 Attributes 中的数据格式为包含三个字段，分别为 "类型（Type )" , "长度（ Length )" 以及 "文本（Text )" , 其中 Type 用于表示当前是何种访问控制参数，例如管理策略的 Type 字段为： "Management-Policy-Id" , Length字段为 ">=3，，， Text字段为具体的管理策略内容，操作对象的 Type字段为： "Management-Object-Id" , Length字段为 ">=3" , Text字段为具体的操作对象内容，上述数据格式中，具体的字段名称（例如 "Management-Object-Id" )在实际应用中可以改变，具体改变的方式此处不再赘述。

本方式中，管理策略在访问接受响应中存在的方式以及数据格式都与上一方式中相同，所不同的是操作对象的获取方式不同，本方式中，操作对象存在于管理策略的 Text字段中，具体的操作对象的数据格式可以与上一方式中相同，也可以采取其他的数据格式，只要能够表明该操作对象的相关信息（包括 ID和长度）即可。

A、通过多个管理策略来获取不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中只携带一个访问控制参数，则需要获取多个管理策略才能够将所有的访问控制参数全部获取完，在这种情况下，由于 RADIUS 中规定若出现具有同样类型的多个属性，则在传输过程中要保持同样类型属性的顺序，即管理策略需要按顺序传输不同的访问控制参数，例如第一个管理策略传输的是访问角色，第二个管理策略传输的是操作对象，第三个管理策略传输的是访问权限，这种传输顺序需要 RADIUS客户端和 RADIUS服务器之间预先进行协商。

B、通过一个管理策略来获取不同的访问控制参数：

本方式中，每一个管理策略中的 Text字段中可以携带有多个访问控制参数，每个访问控制参数之间采用分隔符隔开，这种情况下只需要获取一个管理策略即可获取到所有的访问控制参数，需要说明的是，这种情况下，管理策略中的 Text字段中的访问控制参数的顺序也需要 RADIUS客户端和 RADIUS服务器预先进行协商。 306、 RADIUS客户端按照该管理策略对该操作对象进行访问。

RADIUS客户端在获取到管理策略以及操作对象之后，可以按照该管理策略对该操作对象进行访问，例如假设操作对象为资源 X，即被访问对象为资源 X, 管理策略为通过代理服务器 Y进行访问，则 RADIUS客户端在获取到该管理策略和操作对象之后，向代理服务器 Y发起连接请求，与代理服务器 Y 建立连接，由代理服务器 Y与资源服务器建立连接，建立完成后代理服务器 Y 可访问资源 X, 并将该资源 X展示给用户，则用户即可通过代理服务器 Y实现对资源 X的访问。可以理解的是，若还包括其他的访问控制参数，例如访问角色或访问权限，则还需要在访问过程中进行相应的处理。

下面对本发明实施例中的通讯系统实施例进行描述，请参阅图 4, 本发明实施例中通讯系统实施例包括：

RADIUS服务器 402 ,用于接收 RADIUS客户端发送的包含访问需求参数的访问请求 ,在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象，向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应；

RADIUS客户端 401，用于向 RADIUS服务器发送包含访问需求参数的访问请求，从接收到的访问接受响应中获取管理策略以及操作对象，按照所述管理策略对所述操作对象进行访问。

请参阅图 5 , 本发明实施例中 RADIUS服务器实施例包括：

访问请求接收单元 501，用于接收 RADIUS客户端发送的包含访问需求参数的访问请求，并将该访问请求转发至访问控制参数查询单元 502;

访问控制参数查询单元 502，用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象 ,并将查询到的管理策略以及操作对象转发至封装单元 503;

封装单元 503 , 用于将访问控制参数查询单元 502查询到的管理策略以及操作对象携带于访问接受响应中，并将封装后的访问接受响应发送至访问接受响应发送单元 504;

访问接受响应发送单元 504，用于向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应，所述访问接受响应用于指示所述 RADIUS客户端按照所述管理策略对所述操作对象进行访问。

本实施例中的访问接受响应为 RADIUS数据包，且封装单元 503可以进一步包括：

第一封装执行单元 5031 , 用于将所述管理策略以及操作对象存储于所述 RADIUS数据包的属性域的不同属性字段中；或

第二封装执行单元 5032, 用于将所述管理策略存储于所述 RADIUS数据包的属性域的属性字段中 , 将所述操作对象存储于所述管理策略的文本字段。

可以理解的是，在实际应用中，第一封装执行单元 5031和第二封装执行单元 5032可以选择一个存在于 RADIUS服务器中，也可以都存在于 RADIUS 服务器中，在应用过程中选择一个使用。

请参阅图 6, 本发明实施例中的 RADIUS客户端实施例包括：

访问接受响应接收单元 601 ,用于接收 RADIUS服务器发送的访问接受响应，并将该访问接受响应发送至访问控制参数获取单元 602，所述访问接受响应中包含管理策略以及操作对象；

访问控制参数获取单元 602，用于 ^居从访问接受响应接收单元 601接收到的访问接受响应中获取管理策略以及操作对象 ,并将该管理策略以及操作对象发送至访问执行单元 603;

访问执行单元 603，用于按照所述管理策略对所述操作对象进行访问。本实施例中的访问接受响应为 RADIUS数据包，且访问控制参数获取单元 602包括：

第一获取执行单元 6021 , 用于从所述 RADIUS数据包的属性域的不同属性字段中获取管理策略以及操作对象；或

第二获取执行单元 6022, 用于从所述 RADIUS数据包的属性域的属性字段中获取管理策略 , 从所述管理策略的文本字段获取操作对象。

可以理解的是，在实际应用中，第一封装执行单元 6021和第二封装执行单元 6022可以选择一个存在于 RADIUS客户端中 , 也可以都存在于 RADIUS 客户端中，在应用过程中选择一个使用。

本实施例中的 RADIUS客户端还可以进一步包括：

访问请求发送单元，用于向 RADIUS服务器发送包含访问需求参数的访问请求。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括如下步骤：

RADIUS客户端向 RADIUS服务器发送包含访问需求参数的访问请求； RADIUS 服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象； RADIUS服务器向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应； RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象； RADIUS客户端按照所述管理策略对所述操作对象进行访问。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明所提供的一种访问控制方法、设备及通讯系统进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

OP080536 WO 2009/074073 PCT/CN2008/073235 - 16- 权利要求

1、一种访问控制方法，其特征在于，包括：述消息中包含管理策略以及操作对象；

从所述消息中获取所述管理策略以及操作对象；

按照所述管理策略对所述操作对象进行访问。

2、根据权利要求 1所述的方法，其特征在于，所述 RADIUS客户端接收 RADIUS服务器发送的消息的步骤之前包括：

RADIUS客户端向 RADIUS服务器发送包含访问需求参数的访问请求；所述 RADIUS服务器发送的消息中的管理策略以及操作对象为 RADIUS 服务器根据所述访问需求参数在本地查询获得。

3、根据权利要求 1或 2所述的方法，其特征在于，所述消息为访问接受响应；所述访问接受响应为 RADIUS数据包；

所述从消息中获取管理策略以及操作对象的步骤包括：

从所述 RADIUS数据包的属性域中的不同属性字段分别获取管理策略以及操作对象；

或

从所述 RADIUS数据包的属性域中的属性字段获取管理策略；

从所述管理策略的文本字段获取操作对象。

4、根据权利要求 3所述的方法，其特征在于，所述从管理策略的文本字段获取操作对象的步骤包括：

从所述管理策略的文本字段读取出访问控制参数 , 所述访问控制参数包括：操作对象或访问角色或访问权限，所有访问控制参数被置于同一个管理策略的文本字段中，所述访问控制参数的排列顺序由 RADIUS客户端与 RADIUS 服务器预置。

5、根据权利要求 3所述的方法，其特征在于，所述从 RADIUS数据包的属性域中的属性字段获取管理策略的步骤包括：

从所述 RADIUS数据包的属性域中的属性字段获取至少两个管理策略；所述从所述管理策略的文本字段获取操作对象的步骤包括： OP080536

WO 2009/074073 PCT/CN2008/073235

- 17- 从所述至少两个管理策略的文本字段分别读取出访问控制参数 ,所述访问控制参数包括：操作对象或访问角色或访问权限，所述每个访问控制参数分别被置于一个管理策略的文本字段中。

6、根据权利要求 1或 2所述的方法，其特征在于，所述按照所述管理策略对所述操作对象进行访问包括：

RADIUS客户端按照所述管理策略确定数据中转网元；

与所述数据中转网元建立数据连接；

接受所述数据中转网元展示的所述操作对象，所述操作对象由所述数据中转网元从资源服务器中获得。

7、根据权利要求 2所述的方法，其特征在于，所述 RADIUS客户端向

RADIUS 服务器发送的访问请求中还包含认证信息，所述认证信息用于指示 RADIUS服务器对所述 RADIUS客户端进行认证。

8、一种访问控制方法，其特征在于，包括：

RADIUS服务器接收 RADIUS客户端发送的包含访问需求参数的访问请求；

在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象；

将所述管理策略以及操作对象携带于访问接受响应中；

向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应，所述访问接受响应用于指示所述 RADIUS客户端按照所述管理策略对所述操作对象进行访问。

9、根据权利要求 8所述的方法，其特征在于，所述访问接受响应为 RADIUS 数据包；

所述将管理策略以及操作对象携带于访问接受响应中的步骤包括：将所述管理策略以及操作对象存储于所述 RADIUS数据包的属性域；或

将所述管理策略存储于所述 RADIUS数据包的属性域；

将所述操作对象存储于所述管理策略的文本字段。

10、根据权利要求 9所述的方法，其特征在于，所述将操作对象存储于所 OP080536

WO 2009/074073 PCT/CN2008/073235

- 18- 述管理策略的文本字段的步骤包括：

将操作对象，访问角色，访问权限等访问控制参数置于同一个管理策略的文本字段，所述访问控制参数的排列顺序由 RADIUS客户端与 RADIUS服务器预置。

11、根据权利要求 9所述的方法，其特征在于，所述将管理策略存储于所述 RADIUS数据包的属性域的步骤包括：

将至少两个管理策略存储于所述 RADIUS数据包的属性域中的属性字段；所述将所述操作对象存储于所述管理策略的文本字段的步骤包括：将操作对象，访问角色，访问权限等访问控制参数分别置于不同的管理策略的文本字段。

12、根据权利要求 8所述的方法，其特征在于，所述 RADIUS服务器接收到的访问请求中还包含认证信息；

所述在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象的步骤之前还包括：

根据所述认证信息对所述 RADIUS客户端进行认证，若认证通过，则触发所述在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象的步骤。

13、一种访问控制方法，其特征在于，包括：

RADIUS客户端向 RADIUS服务器发送包含访问需求参数的访问请求； RADIUS 服务器在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象；

RADIUS服务器向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应；

RADIUS客户端从所述访问接受响应中获取管理策略以及操作对象； RADIUS客户端按照所述管理策略对所述操作对象进行访问。

14、一种通讯系统，其特征在于，包括：

RADIUS服务器，用于接收 RADIUS客户端发送的包含访问需求参数的访问请求，在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象，向所述 RADIUS客户端发送包含所述管理策略以及操作对象 OP080536

WO 2009/074073 PCT/CN2008/073235

- 19- 的访问接受响应；

RADIUS客户端，用于向 RADIUS服务器发送包含访问需求参数的访问请求，从接收到的访问接受响应中获取管理策略以及操作对象，按照所述管理策略对所述操作对象进行访问。

15、一种 RADIUS服务器，其特征在于，包括：

访问请求接收单元，用于接收 RADIUS客户端发送的包含访问需求参数的访问请求；

访问控制参数查询单元，用于在数据库中查询与所述访问请求中的访问需求参数对应的管理策略以及操作对象；

封装单元，用于将所述管理策略以及操作对象携带于访问接受响应中；访问接受响应发送单元，用于向所述 RADIUS客户端发送包含所述管理策略以及操作对象的访问接受响应，所述访问接受响应用于指示所述 RADIUS 客户端按照所述管理策略对所述操作对象进行访问。

16、根据权利要求 15所述的 RADIUS服务器，其特征在于，所述访问接受响应为 RADIUS数据包；

所述封装单元包括：

第一封装执行单元，用于将所述管理策略以及操作对象存储于所述 RADIUS数据包的属性域的不同属性字段中；

或

第二封装执行单元，用于将所述管理策略存储于所述 RADIUS数据包的属性域的属性字段中 , 将所述操作对象存储于所述管理策略的文本字段。

17、一种 RADIUS客户端，其特征在于，包括：

访问接受响应接收单元，用于接收 RADIUS服务器发送的访问接受响应，所述访问接受响应中包含管理策略以及操作对象；

访问控制参数获取单元，用于从所述访问接受响应中获取管理策略以及操作对象；

访问执行单元，用于按照所述管理策略对所述操作对象进行访问。

18、根据权利要求 17所述的 RADIUS客户端，其特征在于，所述 RADIUS 客户端还包括： OP080536

WO 2009/074073 PCT/CN2008/073235

-20- 访问请求发送单元，用于向 RADIUS服务器发送包含访问需求参数的访问请求。

19、根据权利要求 17或 18所述的 RADIUS客户端，其特征在于，所述访问接受响应为 RADIUS数据包；

所述访问控制参数获取单元包括：

第一获取执行单元，用于从所述 RADIUS数据包的属性域的不同属性字段中获取管理策略以及操作对象；

或

第二获取执行单元，用于从所述 RADIUS数据包的属性域的属性字段中获取管理策略，从所述管理策略的文本字段获取操作对象。