一種安全策略的下發(fā)方法和設(shè)備的制造方法
【專利摘要】本發(fā)明公開了一種安全策略的下發(fā)方法和設(shè)備,該方法包括:漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息���,并在請求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息��;所述漫游地的認(rèn)證服務(wù)器將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器�,歸屬地的認(rèn)證服務(wù)器利用所述設(shè)備信息確定所述移動終端設(shè)備的安全策略�����;所述漫游地的認(rèn)證服務(wù)器接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文�����;其中,所述響應(yīng)報(bào)文中攜帶了所述移動終端設(shè)備的安全策略��;所述漫游地的認(rèn)證服務(wù)器將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備���,由所述接入設(shè)備利用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制��。本發(fā)明實(shí)施例中�,可以避免企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)的安全隱患���。
【專利說明】
一種安全策略的下發(fā)方法和設(shè)備
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域�����,尤其涉及一種安全策略的下發(fā)方法和設(shè)備���。
【背景技術(shù)】
[0002] 目前,移動終端設(shè)備(如智能手機(jī)����、平板電腦等)越來越多�,增加了業(yè)務(wù)溝通渠道, 員工可以將自己的移動終端設(shè)備帶入到工作中�����,BYOD (Bring Your Own Device,攜帶自己的 設(shè)備辦公)正在成為一種趨勢��。由于員工的移動終端設(shè)備通常無法按照企業(yè)安全規(guī)范進(jìn)行 嚴(yán)格管理���,因此��,在員工使用移動終端設(shè)備訪問企業(yè)網(wǎng)絡(luò)和企業(yè)應(yīng)用時(shí)���,企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù) 面臨著安全威脅。因此�,企業(yè)需要制定安全策略來控制這些移動終端設(shè)備,以確保企業(yè)網(wǎng)絡(luò) 和數(shù)據(jù)的安全�。為了對移動終端設(shè)備設(shè)置相應(yīng)的安全策略,需要獲得移動終端設(shè)備的設(shè)備 信息��,并利用移動終端設(shè)備的設(shè)備信息設(shè)置相應(yīng)的安全策略�����,并在移動終端設(shè)備接入時(shí)�����,利 用該安全策略控制移動終端設(shè)備的接入過程。
[0003] 由于移動終端設(shè)備具有移動性���,如果移動終端設(shè)備到漫游地進(jìn)行認(rèn)證時(shí)�����,則只有 漫游地的認(rèn)證服務(wù)器能夠獲得移動終端設(shè)備的設(shè)備信息����,而歸屬地的認(rèn)證服務(wù)器無法獲得 移動終端設(shè)備的設(shè)備信息�,因此,歸屬地的認(rèn)證服務(wù)器無法對移動終端設(shè)備設(shè)置相應(yīng)的安 全策略����,從而帶來一定的安全隱患。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明實(shí)施例提供一種安全策略的下發(fā)方法����,所述方法包括以下步驟:
[0005] 漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息,并在來自接入設(shè)備的請 求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息��;
[0006] 所述漫游地的認(rèn)證服務(wù)器將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器��,由歸屬地的認(rèn) 證服務(wù)器利用所述設(shè)備信息確定所述移動終端設(shè)備的安全策略����;
[0007] 所述漫游地的認(rèn)證服務(wù)器接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文;其中�����, 所述響應(yīng)報(bào)文中攜帶了所述移動終端設(shè)備的安全策略���;
[0008] 所述漫游地的認(rèn)證服務(wù)器將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備�����,由所 述接入設(shè)備利用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制�。
[0009] 所述漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息的過程���,具體包括: 所述漫游地的認(rèn)證服務(wù)器接收來自動態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器的指紋信息�,并從所述 指紋信息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息��;或者��,
[0010] 所述漫游地的認(rèn)證服務(wù)器接收來自超文本傳送協(xié)議HTTP服務(wù)器的指紋信息��,并 從所述指紋信息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息����。
[0011] 所述漫游地的認(rèn)證服務(wù)器在請求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息 的過程�����,具體包括:
[0012] 所述漫游地的認(rèn)證服務(wù)器在所述請求報(bào)文中添加代理Proxy-狀態(tài)State屬性����,并 在所述Proxy-State屬性中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息��。
[0013] 所述請求報(bào)文具體為認(rèn)證請求報(bào)文����,所述響應(yīng)報(bào)文具體為認(rèn)證響應(yīng)報(bào)文;或者�����,所 述請求報(bào)文具體為計(jì)費(fèi)開始請求報(bào)文�,所述響應(yīng)報(bào)文具體為計(jì)費(fèi)確認(rèn)響應(yīng)報(bào)文。
[0014] 所述移動終端設(shè)備對應(yīng)的設(shè)備信息具體包括以下之一或者任意組合:所述移動終 端設(shè)備對應(yīng)的廠商信息�����、類型信息�����、版本號信息�、操作系統(tǒng)信息。
[0015] 本發(fā)明實(shí)施例提供一種安全策略的下發(fā)設(shè)備��,所述下發(fā)設(shè)備作為漫游地的認(rèn)證服 務(wù)器�����,所述漫游地的認(rèn)證服務(wù)器具體包括:
[0016] 處理模塊�����,用于獲得移動終端設(shè)備對應(yīng)的設(shè)備信息�,并在來自接入設(shè)備的請求報(bào) 文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息;
[0017] 發(fā)送模塊����,用于將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器,由歸屬地的認(rèn)證服務(wù)器 利用所述設(shè)備信息確定所述移動終端設(shè)備的安全策略�����;
[0018] 接收模塊���,用于接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文�����;其中����,所述響應(yīng)報(bào) 文中攜帶了所述移動終端設(shè)備的安全策略;
[0019] 下發(fā)模塊����,用于將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備,由所述接入設(shè) 備利用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制�。
[0020] 所述處理模塊,具體用于在獲得移動終端設(shè)備對應(yīng)的設(shè)備信息的過程中����,接收來 自動態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器的指紋信息,并從所述指紋信息中獲得移動終端設(shè)備對 應(yīng)的設(shè)備信息���;或者�,接收來自超文本傳送協(xié)議HTTP服務(wù)器的指紋信息�����,并從所述指紋信 息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息。
[0021] 所述處理模塊����,具體用于在請求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息的 過程中,在所述請求報(bào)文中添加代理Proxy-狀態(tài)State屬性�����,并在所述Proxy-State屬性 中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息�����。
[0022] 所述請求報(bào)文為認(rèn)證請求報(bào)文�����,所述響應(yīng)報(bào)文為認(rèn)證響應(yīng)報(bào)文�����;或者���,所述請求報(bào) 文為計(jì)費(fèi)開始請求報(bào)文,所述響應(yīng)報(bào)文為計(jì)費(fèi)確認(rèn)響應(yīng)報(bào)文。
[0023] 所述移動終端設(shè)備對應(yīng)的設(shè)備信息具體包括以下之一或者任意組合:所述移動終 端設(shè)備對應(yīng)的廠商信息�����、類型信息��、版本號信息���、操作系統(tǒng)信息���。
[0024] 基于上述技術(shù)方案,本發(fā)明實(shí)施例中���,漫游地的認(rèn)證服務(wù)器可以將移動終端設(shè)備 對應(yīng)的設(shè)備信息通知給歸屬地的認(rèn)證服務(wù)器�����,由歸屬地的認(rèn)證服務(wù)器利用移動終端設(shè)備對 應(yīng)的設(shè)備信息確定移動終端設(shè)備的安全策略����,并最終將移動終端設(shè)備的安全策略下發(fā)給接 入設(shè)備�,從而使得接入設(shè)備可以利用該安全策略對移動終端設(shè)備進(jìn)行接入控制,避免企業(yè) 網(wǎng)絡(luò)和數(shù)據(jù)的安全隱患����。
【附圖說明】
[0025] 圖1是本發(fā)明實(shí)施例中提出的應(yīng)用場景示意圖�����;
[0026] 圖2是本發(fā)明實(shí)施例提供的一種安全策略的下發(fā)方法流程示意圖�����;
[0027] 圖3是本發(fā)明實(shí)施例提供的一種漫游地的認(rèn)證服務(wù)器的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0028] 針對現(xiàn)有技術(shù)中存在的問題����,本發(fā)明實(shí)施例提供一種安全策略的下發(fā)方法��,以圖1 為本發(fā)明實(shí)施例的應(yīng)用場景示意圖���,如果移動終端設(shè)備(如智能手機(jī)���、平板電腦等)需要在 漫游地接入網(wǎng)絡(luò)時(shí),該方法應(yīng)用于包括移動終端設(shè)備�����、漫游地的接入設(shè)備(如NAS (Network Access Server,網(wǎng)絡(luò)接入服務(wù)器)��,NAS 為支持 RADIUS (Remote Authentication Dial In User Service�,遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng))協(xié)議的交換機(jī)、路由器等)�、漫游地的認(rèn)證服務(wù)器 (如RADIUS服務(wù)器)、歸屬地的認(rèn)證服務(wù)器的網(wǎng)絡(luò)中�����。進(jìn)一步的��,漫游地的認(rèn)證服務(wù)器為 RADIUS協(xié)議中的代理服務(wù)器���,且歸屬地的認(rèn)證服務(wù)器為代理的目的服務(wù)器�����。
[0029] 在上述應(yīng)用場景下���,如圖2所示,該安全策略的下發(fā)方法包括以下步驟:
[0030] 步驟201�����,漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息,并在來自接入 設(shè)備的請求報(bào)文中添加該移動終端設(shè)備對應(yīng)的設(shè)備信息����。其中,該移動終端設(shè)備對應(yīng)的設(shè) 備信息具體包括但不限于以下之一或者任意組合:移動終端設(shè)備對應(yīng)的廠商信息����、類型信 息、版本號信息��、操作系統(tǒng)信息��。
[0031] 本發(fā)明實(shí)施例中���,漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息的 過程,具體包括但不限于如下方式:漫游地的認(rèn)證服務(wù)器接收來自DHCP(Dynamic Host Configuration Protocol���,動態(tài)主機(jī)配置協(xié)議)服務(wù)器的指紋信息�����,并從該指紋信息中獲 得移動終端設(shè)備對應(yīng)的設(shè)備信息��?���;蛘撸蔚氐恼J(rèn)證服務(wù)器接收來自HTTP(Hyp er Text Transfer Protocol����,超文本傳送協(xié)議)服務(wù)器的指紋信息,并從該指紋信息中獲得移動終 端設(shè)備對應(yīng)的設(shè)備信息�。
[0032] 在移動終端設(shè)備申請IP地址的過程中,移動終端設(shè)備會向DHCP服務(wù)器發(fā)送DHCP 請求報(bào)文�。接入設(shè)備在接收到來自移動終端設(shè)備的DHCP請求報(bào)文之后,將該DHCP請求報(bào) 文發(fā)送給DHCP服務(wù)器�。進(jìn)一步的,DHCP服務(wù)器可以從DHCP請求報(bào)文中獲得指紋信息�,并 將該指紋信息發(fā)送給漫游地的認(rèn)證服務(wù)器,由漫游地的認(rèn)證服務(wù)器從該指紋信息中獲得移 動終端設(shè)備對應(yīng)的設(shè)備信息��。其中��,DHCP請求報(bào)文中攜帶有DHCP選項(xiàng)��,該DHCP選項(xiàng)又稱 為指紋信息����,且該DHCP選項(xiàng)是一個(gè)包含配置參數(shù)和其它控制信息的集合,DHCP選項(xiàng)中的內(nèi) 容可以被用來標(biāo)識移動終端設(shè)備對應(yīng)的設(shè)備信息��。
[0033] 在移動終端設(shè)備訪問網(wǎng)絡(luò)的過程中,移動終端設(shè)備會向HTTP服務(wù)器發(fā)送HTTP請 求報(bào)文�����。接入設(shè)備在收到來自移動終端設(shè)備的HTTP請求報(bào)文后��,將該HTTP請求報(bào)文發(fā)送 給HTTP服務(wù)器�����。HTTP服務(wù)器可以從HTTP請求報(bào)文中獲得指紋信息����,并將指紋信息發(fā)送給 漫游地的認(rèn)證服務(wù)器,由漫游地的認(rèn)證服務(wù)器從該指紋信息中獲得移動終端設(shè)備對應(yīng)的設(shè) 備信息�。其中,HTTP請求報(bào)文中攜帶有User Agent (用戶代理)選項(xiàng)����,該User Agent選項(xiàng) 又稱為�,且該User Agent選項(xiàng)是一個(gè)包含配置參數(shù)和其它控制信息的集合,User Agent選 項(xiàng)中的內(nèi)容可以被用來標(biāo)識移動終端設(shè)備對應(yīng)的設(shè)備信息�����。
[0034] 本發(fā)明實(shí)施例中,在移動終端設(shè)備未通過認(rèn)證時(shí)��,接入設(shè)備會向漫游地的認(rèn)證服 務(wù)器發(fā)送針對該移動終端設(shè)備的認(rèn)證請求報(bào)文��,由漫游地的認(rèn)證服務(wù)器將該認(rèn)證請求報(bào)文 發(fā)送給歸屬地的認(rèn)證服務(wù)器�����。在移動終端設(shè)備通過認(rèn)證時(shí)�����,接入設(shè)備會向漫游地的認(rèn)證服 務(wù)器發(fā)送針對該移動終端設(shè)備的計(jì)費(fèi)開始請求報(bào)文��,由漫游地的認(rèn)證服務(wù)器將該計(jì)費(fèi)開始 請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器�����?���;诖耍鲜鰜碜越尤朐O(shè)備的請求報(bào)文具體可以為 認(rèn)證請求報(bào)文(Access-Request報(bào)文)或者計(jì)費(fèi)開始請求報(bào)文(Accounting-Request報(bào) 文)�。
[0035] 例如,當(dāng)采用Portal認(rèn)證方式對移動終端設(shè)備進(jìn)行認(rèn)證時(shí)��,由于移動終端設(shè)備在 通過認(rèn)證之前,接入設(shè)備可以將移動終端設(shè)備的DHCP請求報(bào)文發(fā)送給DHCP服務(wù)器或者將 移動終端設(shè)備的HTTP請求報(bào)文發(fā)送給HTTP服務(wù)器�����。因此�,漫游地的認(rèn)證服務(wù)器可以在移 動終端設(shè)備通過認(rèn)證之前獲得移動終端設(shè)備對應(yīng)的設(shè)備信息,并在針對該移動終端設(shè)備的 認(rèn)證請求報(bào)文中添加該移動終端設(shè)備對應(yīng)的設(shè)備信息���。當(dāng)采用802. IX認(rèn)證方式對移動終 端設(shè)備進(jìn)行認(rèn)證時(shí)����,由于移動終端設(shè)備在通過認(rèn)證之前�,接入設(shè)備不可以將移動終端設(shè)備 的DHCP請求報(bào)文發(fā)送給DHCP服務(wù)器或者將移動終端設(shè)備的HTTP請求報(bào)文發(fā)送給HTTP服 務(wù)器,而在移動終端設(shè)備通過認(rèn)證之后���,接入設(shè)備可以將移動終端設(shè)備的DHCP請求報(bào)文發(fā) 送給DHCP服務(wù)器或者將移動終端設(shè)備的HTTP請求報(bào)文發(fā)送給HTTP服務(wù)器�����。因此�����,漫游地 的認(rèn)證服務(wù)器可以在移動終端設(shè)備通過認(rèn)證之后獲得移動終端設(shè)備對應(yīng)的設(shè)備信息��,并在 針對該移動終端設(shè)備的計(jì)費(fèi)開始請求報(bào)文中添加該移動終端設(shè)備對應(yīng)的設(shè)備信息��。
[0036] 本發(fā)明實(shí)施例中�,漫游地的認(rèn)證服務(wù)器在請求報(bào)文(如認(rèn)證請求報(bào)文或者計(jì)費(fèi) 開始請求報(bào)文)中添加移動終端設(shè)備對應(yīng)的設(shè)備信息的過程���,具體包括但不限于如下 方式:漫游地的認(rèn)證服務(wù)器在請求報(bào)文中添加 Proxy-State (代理-狀態(tài))屬性�,并在 Proxy-State屬性中添加移動終端設(shè)備對應(yīng)的設(shè)備信息�。
[0037] 本發(fā)明實(shí)施例中,通過在請求報(bào)文的現(xiàn)有屬性之后添加 Proxy-State屬性�����,并在 Proxy-State屬性中添加移動終端設(shè)備對應(yīng)的設(shè)備信息����,由于Proxy-State屬性的內(nèi)容不 能被修改,因此漫游地的認(rèn)證服務(wù)器與歸屬地的認(rèn)證服務(wù)器之間的轉(zhuǎn)發(fā)服務(wù)器在收到請求 報(bào)文時(shí)�,不會對Proxy-State屬性中的內(nèi)容進(jìn)行修改,保證將移動終端設(shè)備對應(yīng)的設(shè)備信 息通知給歸屬地的認(rèn)證服務(wù)器����。
[0038] 步驟202,漫游地的認(rèn)證服務(wù)器將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器。其中,該 請求報(bào)文中至少攜帶了移動終端設(shè)備對應(yīng)的設(shè)備信息�。
[0039] 步驟203,歸屬地的認(rèn)證服務(wù)器利用移動終端設(shè)備對應(yīng)的設(shè)備信息確定該移 動終端設(shè)備的安全策略,并通過響應(yīng)報(bào)文將該移動終端設(shè)備的安全策略返回給漫游地 的認(rèn)證服務(wù)器��。其中���,當(dāng)請求報(bào)文為認(rèn)證請求報(bào)文時(shí)�����,響應(yīng)報(bào)文可以為認(rèn)證響應(yīng)報(bào)文 (Access-Response報(bào)文)���;或者,當(dāng)請求報(bào)文為計(jì)費(fèi)開始請求報(bào)文時(shí)�����,響應(yīng)報(bào)文可以為計(jì)費(fèi) 確認(rèn)響應(yīng)報(bào)文(Accounting-Response報(bào)文)����。
[0040] 本發(fā)明實(shí)施例中,歸屬地的認(rèn)證服務(wù)器上預(yù)先配置了設(shè)備信息與安全策略之間的 對應(yīng)關(guān)系���?;诖耍瑲w屬地的認(rèn)證服務(wù)器在接收到請求報(bào)文之后�����,從該請求報(bào)文中解析出 移動終端設(shè)備對應(yīng)的設(shè)備信息�。進(jìn)一步的�,歸屬地的認(rèn)證服務(wù)器通過該移動終端設(shè)備對應(yīng) 的設(shè)備信息查詢設(shè)備信息與安全策略之間的對應(yīng)關(guān)系,得到該移動終端設(shè)備對應(yīng)的安全策 略���。如表1所示�����,歸屬地的認(rèn)證服務(wù)器在接入場景下記錄了設(shè)備信息與安全策略之間的對 應(yīng)關(guān)系�����。其中�����,該接入場景只是一種索引信息�����,可以根據(jù)實(shí)際需要任意設(shè)置�����。
[0041 ]表 1
[0042]
[0043] 例如�,設(shè)備信息A可以為廠商信息A、類型信息A��、版本號信息A���、操作系統(tǒng)信息A�����, 安全策略A可以為在指定時(shí)間段內(nèi)�����,只允許對應(yīng)指定VLAN (Virtual Local Area Network��, 虛擬局域網(wǎng))的移動終端設(shè)備訪問指定資源���。
[0044] 步驟204,漫游地的認(rèn)證服務(wù)器接收來自歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文。其中����, 該響應(yīng)報(bào)文中至少攜帶了移動終端設(shè)備的安全策略��。
[0045] 步驟205,漫游地的認(rèn)證服務(wù)器將移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備��,由接 入設(shè)備利用移動終端設(shè)備的安全策略對移動終端設(shè)備進(jìn)行接入控制�。
[0046] 基于上述技術(shù)方案�����,本發(fā)明實(shí)施例中�����,漫游地的認(rèn)證服務(wù)器可以將移動終端設(shè)備 對應(yīng)的設(shè)備信息通知給歸屬地的認(rèn)證服務(wù)器�,由歸屬地的認(rèn)證服務(wù)器利用移動終端設(shè)備對 應(yīng)的設(shè)備信息確定移動終端設(shè)備的安全策略����,并最終將移動終端設(shè)備的安全策略下發(fā)給接 入設(shè)備,從而使得接入設(shè)備可以利用該安全策略對移動終端設(shè)備進(jìn)行接入控制�,避免企業(yè) 網(wǎng)絡(luò)和數(shù)據(jù)的安全隱患。
[0047] 基于與上述方法同樣的發(fā)明構(gòu)思�,本發(fā)明實(shí)施例中還提供了一種安全策略的下發(fā) 設(shè)備,所述下發(fā)設(shè)備作為漫游地的認(rèn)證服務(wù)器�����,如圖3所示,所述漫游地的認(rèn)證服務(wù)器具體 包括:
[0048] 處理模塊11�,用于獲得移動終端設(shè)備對應(yīng)的設(shè)備信息,并在來自接入設(shè)備的請求 報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息�����;
[0049] 發(fā)送模塊12,用于將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器�,由歸屬地的認(rèn)證服務(wù) 器利用所述設(shè)備信息確定所述移動終端設(shè)備的安全策略;
[0050] 接收模塊13,用于接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文����;其中,所述響 應(yīng)報(bào)文中攜帶了所述移動終端設(shè)備的安全策略��;
[0051] 下發(fā)模塊14,用于將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備��,由所述接入 設(shè)備利用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制���。
[0052] 所述處理模塊11�����,具體用于在獲得移動終端設(shè)備對應(yīng)的設(shè)備信息的過程中���,接收 來自動態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器的指紋信息����,從所述指紋信息中獲得移動終端設(shè)備對 應(yīng)的設(shè)備信息�;或者,接收來自超文本傳送協(xié)議HTTP服務(wù)器的指紋信息��,并從所述指紋信 息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息��。
[0053] 所述處理模塊11�,具體用于在請求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息 的過程中�,在所述請求報(bào)文中添加代理Proxy-狀態(tài)State屬性,并在所述Proxy-State屬 性中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息��。
[0054] 本發(fā)明實(shí)施例中���,所述請求報(bào)文具體為認(rèn)證請求報(bào)文����,所述響應(yīng)報(bào)文具體為認(rèn)證 響應(yīng)報(bào)文�����;或者,所述請求報(bào)文具體為計(jì)費(fèi)開始請求報(bào)文�����,所述響應(yīng)報(bào)文具體為計(jì)費(fèi)確認(rèn)響 應(yīng)報(bào)文��。
[0055] 所述移動終端設(shè)備對應(yīng)的設(shè)備信息具體包括以下之一或者任意組合:所述移動終 端設(shè)備對應(yīng)的廠商信息��、類型信息��、版本號信息����、操作系統(tǒng)信息。
[0056] 其中�����,本發(fā)明裝置的各個(gè)模塊可以集成于一體����,也可以分離部署。上述模塊可以合 并為一個(gè)模塊���,也可以進(jìn)一步拆分成多個(gè)子模塊�。
[0057] 通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)����,當(dāng)然也可以通過硬件,但很多情況下前者是更 佳的實(shí)施方式�。基于這樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲在一個(gè)存儲介質(zhì)中���,包括若 干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�����,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā) 明各個(gè)實(shí)施例所述的方法���。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖, 附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的���。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中 的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中�,也可以進(jìn)行相應(yīng)變化位 于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊���,也可以 進(jìn)一步拆分成多個(gè)子模塊�。上述本發(fā)明實(shí)施例序號僅僅為了描述�,不代表實(shí)施例的優(yōu)劣。以 上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例�����,但是�����,本發(fā)明并非局限于此��,任何本領(lǐng)域的技術(shù)人 員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�。
【主權(quán)項(xiàng)】
1. 一種安全策略的下發(fā)方法,其特征在于���,所述方法包括以下步驟: 漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè)備對應(yīng)的設(shè)備信息�����,并在來自接入設(shè)備的請求報(bào) 文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息���; 所述漫游地的認(rèn)證服務(wù)器將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器����,由歸屬地的認(rèn)證服 務(wù)器利用所述設(shè)備信息確定所述移動終端設(shè)備的安全策略��; 所述漫游地的認(rèn)證服務(wù)器接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文�;其中,所述 響應(yīng)報(bào)文中攜帶了所述移動終端設(shè)備的安全策略�; 所述漫游地的認(rèn)證服務(wù)器將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備,由所述接 入設(shè)備利用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制�。2. 如權(quán)利要求1所述的方法,其特征在于�,所述漫游地的認(rèn)證服務(wù)器獲得移動終端設(shè) 備對應(yīng)的設(shè)備信息的過程,具體包括: 所述漫游地的認(rèn)證服務(wù)器接收來自動態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器的指紋信息��,并從 所述指紋信息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息��;或者�����, 所述漫游地的認(rèn)證服務(wù)器接收來自超文本傳送協(xié)議HTTP服務(wù)器的指紋信息�����,并從所 述指紋信息中獲得移動終端設(shè)備對應(yīng)的設(shè)備信息���。3. 如權(quán)利要求1所述的方法�,其特征在于��,所述漫游地的認(rèn)證服務(wù)器在請求報(bào)文中添 加所述移動終端設(shè)備對應(yīng)的設(shè)備信息的過程����,具體包括: 所述漫游地的認(rèn)證服務(wù)器在所述請求報(bào)文中添加代理Proxy-狀態(tài)State屬性,并在所 述Proxy-State屬性中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息����。4. 如權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于�����,所述請求報(bào)文具體為認(rèn)證請求報(bào) 文����,所述響應(yīng)報(bào)文具體為認(rèn)證響應(yīng)報(bào)文;或者����,所述請求報(bào)文具體為計(jì)費(fèi)開始請求報(bào)文���,所 述響應(yīng)報(bào)文具體為計(jì)費(fèi)確認(rèn)響應(yīng)報(bào)文。5. 如權(quán)利要求1-3任一項(xiàng)所述的方法���,其特征在于�����,所述移動終端設(shè)備對應(yīng)的設(shè)備信 息具體包括以下之一或者任意組合:所述移動終端設(shè)備對應(yīng)的廠商信息�、類型信息��、版本號 信息����、操作系統(tǒng)信息。6. -種安全策略的下發(fā)設(shè)備�����,所述下發(fā)設(shè)備作為漫游地的認(rèn)證服務(wù)器�,其特征在于,所 述漫游地的認(rèn)證服務(wù)器具體包括: 處理模塊�����,用于獲得移動終端設(shè)備對應(yīng)的設(shè)備信息��,并在來自接入設(shè)備的請求報(bào)文中 添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息����; 發(fā)送模塊,用于將請求報(bào)文發(fā)送給歸屬地的認(rèn)證服務(wù)器�,由歸屬地的認(rèn)證服務(wù)器利用 所述設(shè)備信息確定所述移動終端設(shè)備的安全策略; 接收模塊�,用于接收來自所述歸屬地的認(rèn)證服務(wù)器的響應(yīng)報(bào)文;其中�,所述響應(yīng)報(bào)文中 攜帶了所述移動終端設(shè)備的安全策略; 下發(fā)模塊�,用于將所述移動終端設(shè)備的安全策略下發(fā)給接入設(shè)備,由所述接入設(shè)備利 用所述安全策略對所述移動終端設(shè)備進(jìn)行接入控制���。7. 如權(quán)利要求6所述的設(shè)備����,其特征在于���, 所述處理模塊���,具體用于在獲得移動終端設(shè)備對應(yīng)的設(shè)備信息的過程中��,接收來自動 態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器的指紋信息�,并從所述指紋信息中獲得移動終端設(shè)備對應(yīng)的 設(shè)備信息�;或者,接收來自超文本傳送協(xié)議HTTP服務(wù)器的指紋信息����,并從所述指紋信息中 獲得移動終端設(shè)備對應(yīng)的設(shè)備信息。8. 如權(quán)利要求6所述的設(shè)備����,其特征在于, 所述處理模塊�,具體用于在請求報(bào)文中添加所述移動終端設(shè)備對應(yīng)的設(shè)備信息的過程 中,在所述請求報(bào)文中添加代理Proxy-狀態(tài)State屬性��,并在所述Proxy-State屬性中添 加所述移動終端設(shè)備對應(yīng)的設(shè)備信息����。9. 如權(quán)利要求6-8任一項(xiàng)所述的設(shè)備,其特征在于�����,所述請求報(bào)文具體為認(rèn)證請求報(bào) 文,所述響應(yīng)報(bào)文具體為認(rèn)證響應(yīng)報(bào)文��;或者�����,所述請求報(bào)文為計(jì)費(fèi)開始請求報(bào)文���,所述響 應(yīng)報(bào)文為計(jì)費(fèi)確認(rèn)響應(yīng)報(bào)文。10. 如權(quán)利要求6-8任一項(xiàng)所述的設(shè)備�����,其特征在于���,所述移動終端設(shè)備對應(yīng)的設(shè)備信 息具體包括以下之一或者任意組合:所述移動終端設(shè)備對應(yīng)的廠商信息�����、類型信息�����、版本號 信息�����、操作系統(tǒng)信息�����。
【文檔編號】H04L29/06GK105991576SQ201510070410
【公開日】2016年10月5日
【申請日】2015年2月10日
【發(fā)明人】高坤, 黃學(xué)軍
【申請人】杭州華三通信技術(shù)有限公司