專利名稱:一種基于漫游的認證方法及裝置的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別是涉及一種基于漫游的認證方法及裝置。
背景技術:
隨著社會信息化步伐的不斷提速,網(wǎng)絡應用不斷普及與深入,網(wǎng)絡安全 已經(jīng)超過對網(wǎng)絡可靠性、交換能力和服務質(zhì)量的需求,成為企業(yè)用戶最關心 的問題,網(wǎng)絡安全設施也日漸成為企業(yè)網(wǎng)建設的重中之重。在企業(yè)中,新的 安全威脅不斷涌現(xiàn)(例如,病毒和蠕蟲日益肆虐),對企業(yè)網(wǎng)的破壞程度和范 圍持續(xù)擴大,經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡癱瘓等問題,使企業(yè)蒙受了嚴重損失。
為了保證企業(yè)網(wǎng)中終端的安全狀態(tài)符合企業(yè)的安全策略,NAC (Network Access control,網(wǎng)絡接入控制)技術為企業(yè)提供了一個相對完整的網(wǎng)絡安全 解決方法,例如,H3C 7〉司的EAD (End user Admission Domination,終端準 入控制)解決方案,該方案從企業(yè)網(wǎng)的終端入手,強制終端實施企業(yè)的安全 策略,從而加強企業(yè)網(wǎng)終端的主動防御能力,大幅度提高了企業(yè)網(wǎng)的整體安 全。其中,EAD方案主要解決了終端接入網(wǎng)絡時的身份認證和安全檢查問題, 通過使用擴展的Portal協(xié)議或802.1X協(xié)議進行身份認證和安全檢查,在安全 檢查階段對不符合企業(yè)安全策略的終端進行強制修復,例如強制升級病毒庫、 系統(tǒng)補丁等。
具體的,集團或大企業(yè)的網(wǎng)絡規(guī)模巨大,往往需要跨地域部署,網(wǎng)絡分 為集團總部和數(shù)量眾多的分支機構,總部和分支機構的網(wǎng)絡通過租用運營商 的廣域網(wǎng)線路來實現(xiàn)互聯(lián),如圖1所示的網(wǎng)絡示意圖。其中,根據(jù)網(wǎng)絡部署 模式、企業(yè)網(wǎng)絡M^莫和組網(wǎng)的不同,網(wǎng)關部署在網(wǎng)絡Internet出口 (或分支機 構對于總部的入口 )處,分別實現(xiàn)局域網(wǎng)范圍的網(wǎng)絡準入控制和廣域網(wǎng)范圍 的網(wǎng)絡準入控制;進一步的,路由器部署在企業(yè)網(wǎng)絡Internet出口時,對于要 訪問Internet的終端用戶進行安全檢查,并將不符合安全策略的終端重定向到本地的病毒服務器、補丁服務器或者文件服務器進行修復,在修復后再重新 進行認證,認證通過后可以正常使用網(wǎng)絡。
現(xiàn)有技術中,為了方便集團或大企業(yè)的統(tǒng)一管理,認證服務器、補丁服
務器、病毒服務器等通常放在企業(yè)的總部中,而將EAD控制點部署于分支機 構的出口處。當終端用戶在企業(yè)網(wǎng)內(nèi)部發(fā)生漫游時,現(xiàn)有的組網(wǎng)方式對終端 用戶進行安全檢查時,不能滿足終端用戶的接入需求。例如,北京的終端用 戶到上海出差時,需要遵守上海的安全策略,而在上海的接入設備上,不會 針對該北京的終端用戶進行特殊處理,當終端用戶通過接入設備接入網(wǎng)絡時,
海的安全策略進行安全4企查。
為了解決上述問題,終端用戶(例如,北京的終端用戶)在漫游時(例 如,漫游到上海),需要重新申請上海的賬戶,或在總部的認證服務器上為該 終端用戶配置上海的安全策略,當終端用戶離開時在取消在上海的安全策略。 顯然的,上述兩種解決方法對經(jīng)常存在終端用戶漫游的大型企業(yè)網(wǎng)絡不具有 可部署的特性。
進一步的,通過在漫游城市(例如,上海)的接入設備上配置終端用戶 (例如,北京的終端用戶)的歸屬域,當該終端用戶通過該接入設備接入網(wǎng) 絡時,在總部的認證服務器可以為該終端用戶配置上海的安全策略;但是由 于漫游到上海接入設備的終端用戶會很多,而且是隨時發(fā)生變化的,使得在 接入設備上的配置工作量會很大,而且會出現(xiàn)錯誤。
發(fā)明內(nèi)容
本發(fā)明提供一種基于漫游的認證方法及裝置,以在終端漫游時進行身份 認證和安全認證。
為了達到上述目的,本發(fā)明提出了一種基于漫游的認證方法,應用于包 括認證服務器、安全策略服務器、接入設備和漫游終端的系統(tǒng)中,所述認證 服務器用于對所述漫游終端進行身份認證,所述安全策略服務器用于對所述 漫游終端進行安全認證,所述接入設備為所述漫游終端漫游地的接入設備,
7200910157450.0
所述接入設備接收來自所述漫游終端的認證請求,所述認證請求中攜帶 了所述漫游終端的歸屬域標識;
所述接入設備在所述認證請求中添加所述漫游終端的漫游域標識,并將 修改后的認證請求發(fā)送給所述認證服務器;由所述認證服務器根據(jù)所述修改 后的認證請求對所述漫游終端進行身份認證;
所述接入設備接收來自所述認證服務器的認證結果,并將所述認證結果 發(fā)送給所述漫游終端。
優(yōu)選的,所述認證服務器根據(jù)所述修改后的認證請求對所述漫游終端進 行身份認證具體包括
所述認證服務器根據(jù)所述認證請求獲取所述漫游終端的歸屬域標識和漫 游域標識;
所述認證服務器根據(jù)所述歸屬域標識對應的歸屬域信息對所述漫游終端 進行身份認證。
優(yōu)選的,所述漫游終端通過身份認證時,所述認證結果中攜帶所述安全
策略服務器的地址信息;所述將認證結果發(fā)送給所述漫游終端之后,還包括 所述漫游終端^f艮據(jù)所述安全策略服務器的地址信息向所述安全策略服務
器發(fā)送安全認證請求,由所述安全策略服務器對所述漫游終端進行安全認證。 優(yōu)選的,所述安全策略服務器對所述漫游終端進行安全認證具體包括 所述安全策略服務器獲取所述漫游終端的歸屬域標識和漫游域標識; 所述安全策略服務器根據(jù)所述漫游終端的漫游域標識對應的漫游域信息
對所述漫游終端進行安全認證。
優(yōu)選的,所述安全策略服務器獲取所述漫游終端的歸屬域標識和漫游域
標識具體包^":
所述安全策略服務器接收來自所述認證服務器主動發(fā)送的漫游域標識;
或
所述安全策略服務器向所述認證服務器發(fā)送請求消息,由所述認證服務 器根據(jù)所述請求消息向所述安全策略服務器發(fā)送所述漫游域標識。優(yōu)選的,所述安全策略服務器根據(jù)所述漫游終端的漫游域標識對應的漫
游域信息對所述漫游終端進行安全認證之后,還包括
當安全認證沒有通過時,所述安全策略服務器向所述漫游終端發(fā)送安全 認證失敗的消息,所述安全認證失敗的消息中攜帶了所述漫游域的安全策略 內(nèi)容;
所述漫游終端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全 修復。
本發(fā)明還提出了一種基于漫游的認證系統(tǒng),包括認證服務器、接入設備
和漫游終端,所述接入設備為所述漫游終端漫游地的接入設備,其中
所述漫游終端,用于向接入設備發(fā)送認證請求,所述認證請求中攜帶了 所述漫游終端的歸屬域標識;
所述接入設備,用于在所述認證請求中添加所述漫游終端的漫游域標識, 并將修改后的認證請求發(fā)送給所述認證服務器;
所述認證服務器,用于根據(jù)所述修改后的認證請求對所述漫游終端進行 身份認證;并將認證結果通過所述接入設備發(fā)送給所述漫游終端。
優(yōu)選的,所述認證服務器還用于
根據(jù)所述認證請求獲取所述漫游終端的歸屬域標識和漫游域標識;并根 據(jù)所述歸屬域標識對應的歸屬域信息對所述漫游終端進行身份認證;
所述系統(tǒng)還包括安全策略服務器,用于通過與所述認證服務器交互,獲 取所述漫游終端的歸屬域標識和漫游域標識,并根據(jù)所述漫游終端的漫游域 標識對應的漫游域信息對所述漫游終端進行安全認證。
優(yōu)選的,所述安全策略服務器還用于
在安全認證沒有通過時,向所述漫游終端發(fā)送安全認證失敗的消息,所 述安全認證失敗的消息中攜帶了所述漫游域的安全策略內(nèi)容;由所述漫游終 端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全修復。
本發(fā)明還提出了一種接入設備,應用于包括認證服務器、安全策略服務 器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進 行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證,所述接入設備為所述漫游終端漫游地的接入設備,其特征在于,所述接入設備包
括
接收模塊,用于接收來自所述漫游終端的認證請求,所述認證請求中攜 帶了所述漫游終端的歸屬域標識;
處理模塊,與所述接收模塊電性連接,用于在所述接收模塊接收的認證 請求中添加所述漫游終端的漫游域標識,并將修改后的認證請求發(fā)送給所述 認證服務器;由所述認證服務器根據(jù)所述修改后的認證請求對所述漫游終端 進行身份認證;
發(fā)送模塊,與所述處理模塊電性連接,用于接收來自所述認證服務器的 認證結果,并將所述認證結果發(fā)送給所述漫游終端。
本發(fā)明還提出了一種認證服務器,應用于包括認證服務器、接入設備和 漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證,所 述接入設備為所述漫游終端漫游地的接入設備,所述認證服務器包括
接收模塊,用于接收來自所述接入設備的認證請求,所述認證請求中攜 帶了所述漫游終端的漫游域標識和歸屬域標識;
認證模塊,與所述接收模塊電性連接,用于根據(jù)所述歸屬域標識對應的 歸屬域信息對所述漫游終端進行身份認證;
發(fā)送模塊,與所述認證模塊電性連接,用于將所述認證模塊的認證結果 通過接入設備發(fā)送給所述漫游終端。
本發(fā)明還提出了一種安全策略服務器,應用于包括認證服務器、安全策 略服務器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游 終端進行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證, 所述接入設備為所述漫游終端漫游地的接入設備,所述安全策略服務器包括
收發(fā)模塊,用于接收來自漫游終端的安全認證請求,所述安全認證請求 中攜帶了所述漫游終端的歸屬域標識;
獲^^莫塊,用于獲取所述漫游終端的漫游域標識;
認證模塊,與所述收發(fā)模塊和獲取模塊分別電性連接,用于根據(jù)所述漫 游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認證。優(yōu)選的,所述獲取4莫塊具體用于 接收來自所述認證服務器主動發(fā)送的漫游域標識;或 向所述認證服務器發(fā)送請求消息,并接收所述認證服務器根據(jù)所述請求 消息發(fā)送的漫游域標識。
優(yōu)選的,所述收發(fā)模塊還用于
當安全認證沒有通過時,向所述漫游終端發(fā)送安全認證失敗的消息,所 述安全認證失敗的消息中攜帶了所述漫游域的安全策略內(nèi)容;由所述漫游終 端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全修復。
與現(xiàn)有技術相比,本發(fā)明具有以下優(yōu)點通過在認證請求中添加漫游域 的標識,使得認證服務器根據(jù)認證請求中歸屬域的標識進行身份認證,并通 過漫游域的標識進行安全認證,從而實現(xiàn)了對漫游終端進行身份認證和安全 認證的過程,對漫游終端進行認證的過程簡單、實用;而且漫游終端不需要 增加任何配置,就能夠完成各個地點的漫游活動,不需要申請新的用戶名, 也不需要改動漫游終端的任何配置。
圖1為現(xiàn)有技術中提出的一種總部和分支機構實現(xiàn)互聯(lián)的網(wǎng)絡示意圖; 圖2為本發(fā)明提出的一種基于漫游的認證方法流程圖; 圖3為本發(fā)明一種應用場景下提出的基于漫游的認證方法所使用的組網(wǎng)
圖4為本發(fā)明 一種應用場景下提出的 一種基于漫游的認證方法流程圖5為本發(fā)明提出的 一種接入設備結構圖6為本發(fā)明提出的一種認證服務器結構圖7為本發(fā)明提出的一種安全策略服務器結構圖。
具體實施例方式
本發(fā)明的核心思想是接入設備接收來自漫游終端的攜帶了歸屬域標識的認證請求時,在該認證請求中添加漫游域的標識,認證服務器在接收到該認 證請求時,根據(jù)上述的歸屬域標識和漫游域標識獲知是漫游終端,根據(jù)該歸 屬域標識進行身份認證,在身份認證通過后,由安全策略服務器根據(jù)漫游域 標識進行安全認證,從而實現(xiàn)了對漫游終端進行身份認證和安全認證的過程, 漫游終端不需要增加任何配置,就能夠完成各個地點的漫游活動,不需要申 請新的用戶名,也不需要改動漫游終端的任何配置。
本發(fā)明提出的一種基于漫游的認證方法,應用于包括認證服務器、安全 策略服務器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫 游終端進行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認
證,所述接入設備為所述漫游終端漫游地的接入設備,如圖2所示,所述方 法包括以下步驟
步驟S201,所述接入設備接收來自所述漫游終端的認證請求,所述認證 請求中攜帶了所述漫游終端的歸屬域標識。
步驟S202,所述接入設備在所述認證請求中添加所述漫游終端的漫游域 標識,并將修改后的認證請求發(fā)送給所述認證服務器;由所述認證服務器根 據(jù)所述修改后的認證請求對所述漫游終端進行身份認證。
步驟S203,所述接入設備接收來自所述認證服務器的認證結果,并將所 述認證結果發(fā)送給所述漫游終端。
本發(fā)明一種應用場景下提出的基于漫游的認證方法,該方法適用于漫游 終端在企業(yè)網(wǎng)內(nèi)部發(fā)生漫游時的身份認證和安全認證過程,如圖3所示的漫 游終端從A地(例如,北京)漫游到B地(例如,上海)時的認證組網(wǎng)模式 圖,認證服務器和安全策略服務器均位于總部網(wǎng)絡中,例如,該認證服務器 可以為iMC (Intelligent Management Center,智能管理中心),用于進行漫游 終端的身份認證,該安全策略服務器用于進行漫游終端的安全認證;其中, 在A地和B地分別有接入設備和隔離區(qū)(在該隔離區(qū)中包括補丁升級服務器 和防病毒軟件服務器等)。如圖4所示,為圖3所示的應用場景下提出的基于 漫游的認證方法,該方法包括以下步驟
步驟S401,當漫游終端需要訪問網(wǎng)絡時,該漫游終端向接入設備發(fā)送認證請求。其中,該認證請求為身份認證請求,當漫游終端從A地漫游到了 B 地,該漫游終端需要向該B地的接入設備發(fā)送身份認證請求。
具體的,該漫游終端向接入設備發(fā)送的身份認證請求的格式具體為 username(^本地域,該username為該漫游終端的用戶名信息,可以為名稱 信息(例如,zhangsan )、標識信息(例如,用標識5表示用戶為zhangsan ) 等;該本地域為漫游終端的歸屬地,例如,漫游終端從北京漫游到上海時, 該本地域為北京;上述的身份認i正請求可以為zhangsan@bj。當然,該身 份認證請求的格式并不局限于此,所有能夠表示終端本地域信息的格式均 在本發(fā)明保護范圍之內(nèi),例如,該格式還可以為本地域(gusername,在此 不再贅述。
步驟S402,接入設備向認證服務器發(fā)送該漫游終端的認證請求,其中, 該接入設備為漫游終端漫游地的接入設備(即B地的接入設備)。本發(fā)明中, 該認證服務器以RADIUS服務器為例進行說明。
本發(fā)明中,由于該接入設備上沒有漫游終端本地域的配置信息(例如, 該接入設備上沒有配置歸屬域為北京的終端的信息),該接入設備將采用漫 游域配置,將該認證請求發(fā)送給RADIUS服務器,即接入設備在該認證請求 中添加漫游域的信息。
具體的,該接入設備采用漫游域配置向RADIUS服務器發(fā)送的認證請求 的格式具體為username⑥本地域⑥漫游域,該username和本地域已經(jīng)在步 驟S401中描述,在此不再贅述;該漫游域為該漫游終端的漫游地,例如, 漫游終端從北京漫游到上海時,該本漫游地為上海;上述的認證請求可以為 zhangsan@bj@sh。當然,上述認證請求的4各式并不局限于此,在此不再贅 述。
需要說明的是,可以將認證請求的格式設置為username⑨本地域(^漫 游域的原因是由于接入設備支持對漫游終端進行用戶域的嵌套,即在漫游終 端進行認證時,若認證設備發(fā)現(xiàn)漫游終端所屬域在本地沒有配置時,則認為 該漫游終端是一個漫游用戶,可以將該漫游終端認證請求的格式由用戶名@ 本地域格式變更為用戶名@本地域@漫游域格式,并上傳到該RADIUS服務器上。
步驟S403, RADIUS服務器對該漫游終端進行身份認證。其中,該 RADIUS服務器在接收到認證請求時,獲得該漫游終端的信息為用戶名@ 本地域@漫游域,此時,該RADIUS可以獲知該漫游終端的認證位置(漫游 域信息)和該漫游終端所屬的域(本地域信息),該RADIUS服務器在對漫 游終端進行身份認證時,能夠參考本地域的服務,根據(jù)本地域的信息對該漫 游終端進行身份認證,即該RADIUS服務器通過分析該用戶名,在身份認 證時采用username⑥本地域的格式對用戶進行身份認證。
具體的,由于該漫游終端是A地的終端,而該RADIUS服務器中存儲了 A地終端的身份信息,即該漫游終端可以通過身份認證(終端為合法用戶), RADIUS服務器會向該接入設備返回認證通過的響應消息。進一步的,當沒 有認證通過時(終端為非法用戶),認證服務器會向接入設備返回拒絕接入網(wǎng) 絡的響應消息。
步驟S404, RADIUS服務器向接入設備發(fā)送該漫游終端的認證結果。 其中,當身份認證通過時,RADIUS服務器向接入設備發(fā)送認證成功的消息, 該認證成功的消息中攜帶了安全策略服務器的地址信息;當身份認證沒有通 過時,RADIUS服務器向接入設備發(fā)送認證失敗的消息。本發(fā)明中以身份認 證通過為例進行_沈明。
步驟S405,接入設備向漫游終端轉(zhuǎn)發(fā)該認證結果。
步驟S406,漫游終端在通過身份認證后,向安全策略服務器發(fā)起安全 認證。其中,該漫游終端需要根據(jù)認證成功消息中攜帶的安全策略服務器的 地址向安全策略服務器發(fā)送安全認證請求消息。
步驟S407,安全策略服務器根據(jù)漫游域的安全策略對漫游終端進行安 全認證。當然,根據(jù)實際的需要,該安全策略服務器也可以根據(jù)本地域的 安全策略對漫游終端進行安全認證,本發(fā)明中不再描述這種情況,以根據(jù) 漫游域的安全策略對漫游終端進行安全認證為例進行說明。
本發(fā)明中,安全策略服務器根據(jù)漫游域的安全策略對漫游終端進行安 全認證具體包括安全策略服務器根據(jù)漫游域的安全策略驗證漫游終端是否安全,例如,當漫游域的安全策略為補丁版本需要達到4.0、病毒庫版本需要 達到6.0時,當漫游終端的補丁版本為5.0,病毒庫版本為5.0時,則該漫游 終端不符合漫游域的安全策略,安全策略服務獲知該漫游終端是不安全的。 進一步的,若該漫游終端的病毒庫版本變?yōu)?.0時,則該漫游終端是安全的, 在此不再贅述。
需要說明的是,安全策略服務器需要從RADIUS服務器獲取該漫游終 端的歸屬域信息和漫游域信息;其中,在RADIUS服務器獲取到漫游終端的 歸屬域信息和漫游域信息之后,可以主動將歸屬域信息和漫游域信息發(fā)送給 該安全策略服務器;當然,該安全策略服務器也可以向RADIUS服務器發(fā) 送請求消息,由RADIUS服務器才艮據(jù)該請求消息向安全策略服務器返回歸屬 域信息和漫游域信息,在此不再贅述。
步驟S408,安全策略服務器向接入設備發(fā)送該漫游終端的安全認證結 果。其中,當該漫游終端安全時(滿足漫游域的安全策略),向接入設備發(fā) 送安全認證通過的消息,該漫游終端可以接入到網(wǎng)絡中;當該漫游終端不 安全時(不滿足漫游域的安全策略),向接入設備發(fā)送安全認證失敗的消息, 該漫游終端不可以接入到網(wǎng)絡中,需要到隔離區(qū)進行升級。
進一步的,當漫游終端通過了安全認證時,該安全策略服務器需要根據(jù) 漫游域中配置的安全策略,向該接入設備發(fā)送安全ACL ( Access Control List, 訪問控制列表)信息或安全VLAN (Virtual Local Area Network,虛擬局域網(wǎng)) 信息,由該接入設備存儲該安全ACL信息或安全VLAN信息,當漫游終端 需要接入到網(wǎng)絡時,可以使用該安全ACL信息或安全VLAN信息。
當漫游終端未通過安全認證時,安全策略服務器還需要向接入設備發(fā)送 漫游域中配置的隔離ACL,將該漫游終端進行隔離,并對該漫游終端發(fā)送漫 游域的安全策略內(nèi)容,使該漫游終端在漫游域的網(wǎng)絡中進行安全修復,而無 需到該漫游終端的歸屬域中進行安全修復,從而在采用分布式安全修復服務 器的網(wǎng)絡中,較好的節(jié)約了廣域網(wǎng)帶寬;其中,該漫游域的安全策略內(nèi)容具 體為該漫游域隔離區(qū)的信息,例如,該漫游域的補丁升級服務器的地址信息 和防病毒軟件服務器的地址信息等。步驟S409,安全策略服務器向漫游終端發(fā)送該漫游終端的安全認證結 在此不再贅述。
步驟S410,漫游終端根據(jù)該安全認證結果進行相應的處理。其中,當 該安全認證結果為通過安全認證時,該漫游終端可以接入到網(wǎng)絡中;當該 安全認證結果為沒有通過安全認證時,該漫游終端根據(jù)漫游域隔離區(qū)的信 息對自身進行升級,并繼續(xù)向安全策略服務器發(fā)起安全認證過程, 一直到該 漫游終端通過安全認證為止,在此不再贅述。
需要說明的是,本發(fā)明中認證服務器和安全策略服務器的顯示界面需 要修改為適應漫游終端的格式,即可以顯示出漫游終端的本地域名與漫游 域名。漫游終端需要能夠接收認證服務器側下發(fā)的相應域名信息,以獲知 自身的漫游認證情況。本發(fā)明中,還可以在認證服務器側進行漫游策略的配 置,從而禁止掉部分的漫游活動,在此不再贅述。
可見,通過使用本發(fā)明提供的方法,實現(xiàn)了對漫游終端進行身份認證和 安全認證的過程,在認證服務器側能夠準確獲知漫游終端的漫游域和歸屬域, 從而根據(jù)歸屬域?qū)β谓K端進行身份認證,并;f艮據(jù)漫游域?qū)β谓K端進行安 全認證;進一步的,在接入設備側和認證服務器側均不需要進行過多的設置, 只需要在接入設備側能夠完成漫游域后綴的添加即可;同樣的,對于漫游終 端也無需增加任何配置,就能夠完成各個地點的漫游活動,不需要申請新的 用戶名,也不需要改動漫游終端的任何配置。
本發(fā)明方法可以根據(jù)實際需要對各個步驟順序進行調(diào)整。
本發(fā)明還提出了一種基于漫游的認證系統(tǒng),包括認證服務器、安全策略 服務器、接入設備和漫游終端,所述接入設備為所述漫游終端漫游地的接入 設備,其中
所述漫游終端,用于向接入設備發(fā)送認證請求,所述認證請求中攜帶了 所述漫游終端的歸屬域標識。
所述接入設備,用于在所述認證請求中添加所述漫游終端的漫游域標識, 并將修改后的認證請求發(fā)送給所述認證服務器。所述認證服務器,用于根據(jù)所述修改后的認證請求對所述漫游終端進行
身份認證;并將認證結果通過所述接入設備發(fā)送給所述漫游終端。
進一步的,所述認證服務器還用于#>據(jù)所述認證請求獲取所述漫游終 端的歸屬域標識和漫游域標識;并根據(jù)所述歸屬域標識對應的歸屬域信息對 所述漫游終端進行身份認證;
所述安全策略服務器,用于通過與所述認證服務器交互,獲取所述漫游 終端的歸屬域標識和漫游域標識,并4艮據(jù)所述漫游終端的漫游域標識對應的 漫游域信息對所述漫游終端進行安全認證。
進一步的,所述安全策略服務器還用于在安全認證沒有通過時,向所 述漫游終端發(fā)送安全認證失敗的消息,所述安全認證失敗的消息中攜帶了所 述漫游域的安全策略內(nèi)容;由所述漫游終端根據(jù)所述漫游域的安全策略內(nèi)容 在漫游域網(wǎng)絡中進行安全修復。
本發(fā)明還提出了一種接入設備,應用于包括認證服務器、安全策略服務 器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進 行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證,所述 接入設備為所述漫游終端漫游地的接入設備,如圖5所示,所述接入設備包 括
接收模塊51,用于接收來自所述漫游終端的認證請求,所述認證請求中 攜帶了所述漫游終端的歸屬域標識。
處理模塊52,與所述接收模塊51電性連接,用于在所述接收模塊51 接收的認證請求中添加所述漫游終端的漫游域標識,并將修改后的認證請求 發(fā)送給所述認證服務器;由所述認證服務器根據(jù)所述修改后的認證請求對所 述漫游終端進行身份認證。
發(fā)送模塊53,與所述處理模塊52電性連接,用于接收來自所述認證服 務器的認證結果,并將所述認證結果發(fā)送給所述漫游終端。
其中,本發(fā)明裝置的各個;^莫塊可以集成于一體,也可以分離部署。上述 沖莫塊可以合并為一個^t塊,也可以進一步拆分成多個子模塊。
本發(fā)明還提出了 一種認證服務器,應用于包括認證服務器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證,所
述接入設備為所述漫游終端漫游地的接入設備,如圖6所示,所述認證服務 器包括
接收模塊61,用于接收來自所述接入設備的認證請求,所述認證請求中 攜帶了所述漫游終端的漫游域標識和歸屬域標識。其中,該認證請求為漫游 終端通過接入設備發(fā)送給該認證服務器的,在漫游終端發(fā)送的認證請求中攜 帶了該漫游終端的歸屬域標識,而認證請求到達接入設備后,該接入設備又 在該認證請求中添加了該漫游終端的漫游域標識,即發(fā)送至認證服務器的認 證請求中攜帶了所述漫游終端的漫游域標識和歸屬域標識。
認證模塊62,與所述接收模塊61電性連接,用于根據(jù)所述歸屬域標識對 應的歸屬域信息對所述漫游終端進行身份認證。其中,在獲知該認證請求中 攜帶了漫游域標識和歸屬域標識時,確定該漫游終端是處于漫游狀態(tài)下的終 端,認證模塊62可以根據(jù)該漫游終端的歸屬域信息進行身份認證。
發(fā)送模塊63,與所述認證模塊62電性連接,用于將所述認證模塊62的 認證結果通過接入設備發(fā)送給所述漫游終端。進一步的,當漫游終端的身份 認證通過時,需要在該認證結果中添加安全策略服務器的地址信息,以使漫 游終端可以根據(jù)該地址信息向安全策略服務器發(fā)起安全認證過程,在此不再 贅述。
其中,本發(fā)明裝置的各個模塊可以集成于一體,也可以分離部署。上述 模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。
本發(fā)明還提出了一種安全策略服務器,應用于包括認證服務器、安全策 略服務器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游 終端進行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證, 所述接入設備為所述漫游終端漫游地的接入設備,如圖7所示,所述安全策 略服務器包括
收發(fā)模塊71,用于接收來自漫游終端的安全認證請求,所述安全認手請 求中攜帶了所述漫游終端的歸屬域標識。其中,漫游終端在身份認證通過后, 將根據(jù)身份認證的認證結果中攜帶的地址信息向該安全策略服務器發(fā)送安全認證請求。
獲取模塊72,用于獲取所述漫游終端的漫游域標識。其中,當需要對漫 游終端進行安全認證時,需要獲取該漫游終端的漫游域標識,即所述獲取模 塊72將接收來自所述認證服務器主動發(fā)送的漫游域標識;或主動向所述認證 服務器發(fā)送請求消息,并接收所述認證服務器根據(jù)所述請求消息發(fā)送的漫游 域標識。
認證模塊73,與所述收發(fā)模塊71和獲取模塊72分別電性連接,用于根 據(jù)所述漫游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認 證。其中,在獲知漫游終端具有漫游域標識和歸屬域標識時,即確定了該漫 游終端是處于漫游狀態(tài)下的終端,認證才莫塊73可以根據(jù)該漫游終端的漫游域 信息進行安全認證。
進一步的,當認證模塊73的安全認證結果為漫游終端沒有通過安全時, 所述收發(fā)模塊71向所述漫游終端發(fā)送安全i人證失敗的消息,所述安全認證失 敗的消息中攜帶了所述漫游域的安全策略內(nèi)容;由所述漫游終端才艮據(jù)所述漫 游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全修復。
其中,本發(fā)明裝置的各個模塊可以集成于一體,也可以分離部署。上述 模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發(fā) 明可以通過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)。 基于這樣的理解,本發(fā)明的技術方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟 件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM, U盤,移動硬 盤等)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服 務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。
本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的 模塊或流程并不一定是實施本發(fā)明所必須的。
本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述 進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一 個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。
上述本發(fā)明序號僅僅為了描述,不代表實施例的優(yōu)劣。
以上公開的僅為本發(fā)明的幾個具體實施例,但是,本發(fā)明并非局限于此, 任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍。
權利要求
1、一種基于漫游的認證方法,應用于包括認證服務器、安全策略服務器、接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證,所述接入設備為所述漫游終端漫游地的接入設備,其特征在于,所述方法包括以下步驟所述接入設備接收來自所述漫游終端的認證請求,所述認證請求中攜帶了所述漫游終端的歸屬域標識;所述接入設備在所述認證請求中添加所述漫游終端的漫游域標識,并將修改后的認證請求發(fā)送給所述認證服務器;由所述認證服務器根據(jù)所述修改后的認證請求對所述漫游終端進行身份認證;所述接入設備接收來自所述認證服務器的認證結果,并將所述認證結果發(fā)送給所述漫游終端。
2、 如權利要求l所述的方法,其特征在于,所述認證服務器根據(jù)所述修 改后的認證請求對所述漫游終端進行身份認證具體包括所述認證服務器根據(jù)所述認證請求獲取所述漫游終端的歸屬域標識和漫 游^或標識;所述認證服務器根據(jù)所述歸屬域標識對應的歸屬域信息對所述漫游終端 進行身份認證。
3、 如權利要求1或2所述的方法,其特征在于,所述漫游終端通過身份 認證時,所述認證結果中攜帶所述安全策略服務器的地址信息;所述將認證 結果發(fā)送給所述漫游終端之后,還包括所述漫游終端根據(jù)所述安全策略服務器的地址信息向所述安全策略服務 器發(fā)送安全認證請求,由所述安全策略服務器對所述漫游終端進行安全認證。
4、 如權利要求3所述的方法,其特征在于,所述安全策略服務器對所述 漫游終端進行安全認證具體包括所述安全策略服務器獲取所述漫游終端的歸屬域標識和漫游域標識; 所述安全策略^I良務器^^據(jù)所述漫游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認證。
5、 如權利要求4所述的方法,其特征在于,所述安全策略服務器獲取所 述漫游終端的歸屬域標識和漫游域標識具體包括所述安全策略服務器接收來自所述認i正服務器主動發(fā)送的漫游域標識;或所述安全策略服務器向所述認證服務器發(fā)送請求消息,由所述認證服務 器根據(jù)所述請求消息向所述安全策略服務器發(fā)送所述漫游域標識。
6、 如權利要求4所述的方法,其特征在于,所述安全策略服務器根據(jù)所 述漫游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認證之 后,還包括當安全認證沒有通過時,所述安全策略服務器向所述漫游終端發(fā)送安全 認證失敗的消息,所述安全認證失敗的消息中攜帶了所述漫游域的安全策略 內(nèi)容;所述漫游終端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全 修復。
7、 一種基于漫游的認證系統(tǒng),其特征在于,包括認證服務器、接入設備 和漫游終端,所述接入設備為所述漫游終端漫游地的接入設備,其中所述漫游終端,用于向接入設備發(fā)送認證請求,所述認證請求中攜帶了 所述漫游終端的歸屬域標識;所述接入設備,用于在所述認證請求中添加所述漫游終端的漫游域標識, 并將修改后的認證請求發(fā)送給所述認證服務器;所述認證服務器,用于根據(jù)所述修改后的認證請求對所述漫游終端進行 身份認證;并將認證結果通過所述接入設備發(fā)送給所述漫游終端。
8、 如權利要求7所述的系統(tǒng),其特征在于,所述認證服務器還用于 根據(jù)所述認證請求獲取所述漫游終端的歸屬域標識和漫游域標識;并根據(jù)所述歸屬域標識對應的歸屬域信息對所述漫游終端進行身份認證;所述系統(tǒng)還包括安全策略服務器,用于通過與所述認證服務器交互,獲 取所述漫游終端的歸屬域標識和漫游域標識,并根據(jù)所述漫游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認i正。
9、 如權利要求8所述的系統(tǒng),其特征在于,所述安全策略服務器還用于 在安全認證沒有通過時,向所述漫游終端發(fā)送安全認i正失敗的消息,所述安全認證失敗的消息中攜帶了所述漫游域的安全策略內(nèi)容;由所述漫游終 端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全修復。
10、 一種接入設備,應用于包括認證服務器、安全策略服務器、接入設 備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證, 所述安全策略服務器用于對所述漫游終端進行安全認證,所述接入設備為所 述漫游終端漫游地的接入設備,其特征在于,所述接入設備包括接收模塊,用于接收來自所述漫游終端的認證請求,所述認證請求中攜 帶了所述漫游終端的歸屬域標識;處理模塊,與所述接收模塊電性連接,用于在所述接收模塊接收的認證請求中添加所述漫游終端的漫游域標識,并將修改后的認證請求發(fā)送給所述 認證服務器;由所述認證服務器根據(jù)所述修改后的認證請求對所述漫游終端 進行身份認證;發(fā)送模塊,與所述處理模塊電性連接,用于接收來自所述認證服務器的 認證結果,并將所述認證結果發(fā)送給所述漫游終端。
11、 一種認證服務器,應用于包括認證服務器、接入設備和漫游終端的 系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證,所述接入設備 為所述漫游終端漫游地的接入設備,其特征在于,所述認證服務器包括接收模塊,用于接收來自所述接入設備的認證請求,所述認證請求中攜 帶了所述漫游終端的漫游域標識和歸屬域標識;認證模塊,與所述接收模塊電性連接,用于根據(jù)所述歸屬域標識對應的 歸屬域信息對所述漫游終端進行身份認證;發(fā)送模塊,與所述認證模塊電性連接,用于將所述認證模塊的認證結果 通過接入設備發(fā)送給所述漫游終端。
12、 一種安全策略服務器,應用于包括認證服務器、安全策略服務器、 接入設備和漫游終端的系統(tǒng)中,所述認證服務器用于對所述漫游終端進行身份認證,所述安全策略服務器用于對所述漫游終端進行安全認證,所述接入 設備為所述漫游終端漫游地的接入設備,其特征在于,所述安全策略服務器包括收發(fā)才莫塊,用于接收來自漫游終端的安全認-〖正請求,所述安全認證請求 中攜帶了所述漫游終端的歸屬域標識;獲取模塊,用于獲取所述漫游終端的漫游域標識;認證模塊,與所述收發(fā)模塊和獲取模塊分別電性連接,用于根據(jù)所述漫 游終端的漫游域標識對應的漫游域信息對所述漫游終端進行安全認證。
13、 如權利要求12所述的安全策略服務器,其特征在于,所述獲取模塊 具體用于接收來自所述認證服務器主動發(fā)送的漫游域標識;或 向所述認證服務器發(fā)送請求消息,并接收所述認證服務器根據(jù)所述請求 消息發(fā)送的漫游域標識。
14、 如權利要求12所述的安全策略服務器,其特征在于,所述收發(fā)模塊 還用于當安全認證沒有通過時,向所述漫游終端發(fā)送安全認證失敗的消息,所 述安全認證失敗的消息中攜帶了所述漫游域的安全策略內(nèi)容;由所述漫游終 端根據(jù)所述漫游域的安全策略內(nèi)容在漫游域網(wǎng)絡中進行安全修復。
全文摘要
本發(fā)明公開了一種基于漫游的認證方法及裝置,所述方法包括所述接入設備接收來自所述漫游終端的認證請求,所述認證請求中攜帶了所述漫游終端的歸屬域標識;所述接入設備在所述認證請求中添加所述漫游終端的漫游域標識,并將修改后的認證請求發(fā)送給所述認證服務器;由所述認證服務器根據(jù)所述修改后的認證請求對所述漫游終端進行身份認證;所述接入設備接收來自所述認證服務器的認證結果,并將所述認證結果發(fā)送給所述漫游終端。本發(fā)明中,通過在認證請求中添加漫游域的標識,使得認證服務器根據(jù)認證請求中歸屬域的標識進行身份認證,并通過漫游域的標識進行安全認證,從而實現(xiàn)了對漫游終端進行身份認證和安全認證的過程。
文檔編號H04W12/00GK101600188SQ200910157450
公開日2009年12月9日 申請日期2009年7月30日 優(yōu)先權日2009年7月30日
發(fā)明者喬肖桉 申請人:杭州華三通信技術有限公司