本发明专利技术公开了一种安全策略的下发方法和设备,该方法包括:漫游地的认证服务器获得移动终端设备对应的设备信息,并在请求报文中添加所述移动终端设备对应的设备信息;所述漫游地的认证服务器将请求报文发送给归属地的认证服务器,归属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略;所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文;其中,所述响应报文中携带了所述移动终端设备的安全策略;所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备,由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。本发明专利技术实施例中,可以避免企业网络和数据的安全隐患。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种安全策略的下发方法和设备。
技术介绍
目前,移动终端设备(如智能手机、平板电脑等)越来越多,增加了业务沟通渠道,员工可以将自己的移动终端设备带入到工作中,BYOD(Bring Your Own Device,携带自己的设备办公)正在成为一种趋势。由于员工的移动终端设备通常无法按照企业安全规范进行严格管理,因此,在员工使用移动终端设备访问企业网络和企业应用时,企业的网络和数据面临着安全威胁。因此,企业需要制定安全策略来控制这些移动终端设备,以确保企业网络和数据的安全。为了对移动终端设备设置相应的安全策略,需要获得移动终端设备的设备信息,并利用移动终端设备的设备信息设置相应的安全策略,并在移动终端设备接入时,利用该安全策略控制移动终端设备的接入过程。由于移动终端设备具有移动性,如果移动终端设备到漫游地进行认证时,则只有漫游地的认证服务器能够获得移动终端设备的设备信息,而归属地的认证服务器无法获得移动终端设备的设备信息,因此,归属地的认证服务器无法对移动终端设备设置相应的安全策略,从而带来一定的安全隐患。
技术实现思路
本专利技术实施例提供一种安全策略的下发方法,所述方法包括以下步骤:漫游地的认证服务器获得移动终端设备对应的设备信息,并在来自接入设备的请求报文中添加所述移动终端设备对应的设备信息;所述漫游地的认证服务器将请求报文发送给归属地的认证服务器,由归
属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略;所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文;其中,所述响应报文中携带了所述移动终端设备的安全策略;所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备,由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。所述漫游地的认证服务器获得移动终端设备对应的设备信息的过程,具体包括:所述漫游地的认证服务器接收来自动态主机配置协议DHCP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息;或者,所述漫游地的认证服务器接收来自超文本传送协议HTTP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息。所述漫游地的认证服务器在请求报文中添加所述移动终端设备对应的设备信息的过程,具体包括:所述漫游地的认证服务器在所述请求报文中添加代理Proxy-状态State属性,并在所述Proxy-State属性中添加所述移动终端设备对应的设备信息。所述请求报文具体为认证请求报文,所述响应报文具体为认证响应报文;或者,所述请求报文具体为计费开始请求报文,所述响应报文具体为计费确认响应报文。所述移动终端设备对应的设备信息具体包括以下之一或者任意组合:所述移动终端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。本专利技术实施例提供一种安全策略的下发设备,所述下发设备作为漫游地的认证服务器,所述漫游地的认证服务器具体包括:处理模块,用于获得移动终端设备对应的设备信息,并在来自接入设备的请求报文中添加所述移动终端设备对应的设备信息;发送模块,用于将请求报文发送给归属地的认证服务器,由归属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略;接收模块,用于接收来自所述归属地的认证服务器的响应报文;其中,所述响应报文中携带了所述移动终端设备的安全策略;下发模块,用于将所述移动终端设备的安全策略下发给接入设备,由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。所述处理模块,具体用于在获得移动终端设备对应的设备信息的过程中,接收来自动态主机配置协议DHCP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息;或者,接收来自超文本传送协议HTTP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息。所述处理模块,具体用于在请求报文中添加所述移动终端设备对应的设备信息的过程中,在所述请求报文中添加代理Proxy-状态State属性,并在所述Proxy-State属性中添加所述移动终端设备对应的设备信息。所述请求报文为认证请求报文,所述响应报文为认证响应报文;或者,所述请求报文为计费开始请求报文,所述响应报文为计费确认响应报文。所述移动终端设备对应的设备信息具体包括以下之一或者任意组合:所述移动终端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。基于上述技术方案,本专利技术实施例中,漫游地的认证服务器可以将移动终端设备对应的设备信息通知给归属地的认证服务器,由归属地的认证服务器利用移动终端设备对应的设备信息确定移动终端设备的安全策略,并最终将移动终端设备的安全策略下发给接入设备,从而使得接入设备可以利用该安全策略对移动终端设备进行接入控制,避免企业网络和数据的安全隐患。附图说明图1是本专利技术实施例中提出的应用场景示意图;图2是本专利技术实施例提供的一种安全策略的下发方法流程示意图;图3是本专利技术实施例提供的一种漫游地的认证服务器的结构示意图。具体实施方式针对现有技术中存在的问题,本专利技术实施例提供一种安全策略的下发方法,以图1为本专利技术实施例的应用场景示意图,如果移动终端设备(如智能手机、平板电脑等)需要在漫游地接入网络时,该方法应用于包括移动终端设备、漫游地的接入设备(如NAS(Network Access Server,网络接入服务器),NAS为支持RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)协议的交换机、路由器等)、漫游地的认证服务器(如RADIUS服务器)、归属地的认证服务器的网络中。进一步的,漫游地的认证服务器为RADIUS协议中的代理服务器,且归属地的认证服务器为代理的目的服务器。在上述应用场景下,如图2所示,该安全策略的下发方法包括以下步骤:步骤201,漫游地的认证服务器获得移动终端设备对应的设备信息,并在来自接入设备的请求报文中添加该移动终端设备对应的设备信息。其中,该移动终端设备对应的设备信息具体包括但不限于以下之一或者任意组合:移动终端设备对应的厂商信息、类型信息、版本号信息、操作系统信息。本专利技术实施例中,漫游地的认证服务器获得移动终端设备对应的设备信息的过程,具体包括但不限于如下方式:漫游地的认证服务器接收来自DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器的指纹信息,并从该指纹信息中获得移动终端设备对应的设备信息。或者,漫游地的认证服务器接收来自HTTP(Hyper Text Transfer Protocol,超文本传送协议)服务器的指纹信息,并从该指纹信息中获得移动终端设备对应的设备信息。在移动终端设备申请IP地址的过程中,移动终端设备会向DHCP服务器发送DHCP请求报文。接入设备在接收到来自移动终端设备的DHCP请求报文之后,将该DHCP请求报文发送给DHCP服务器。进一步的,DHCP服务器可以从DHCP请求报文中获得指纹信息,并将该指纹信息发送给漫游地的认证服务器,由漫游地的认证服务器从该指纹信息中获得移动终端设备对应
的设备信息。其中,DHCP请求报文中携带有DHCP选项,该DHCP选项又称为指纹本文档来自技高网...
【技术保护点】
一种安全策略的下发方法,其特征在于,所述方法包括以下步骤:漫游地的认证服务器获得移动终端设备对应的设备信息,并在来自接入设备的请求报文中添加所述移动终端设备对应的设备信息;所述漫游地的认证服务器将请求报文发送给归属地的认证服务器,由归属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略;所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文;其中,所述响应报文中携带了所述移动终端设备的安全策略;所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备,由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。
【技术特征摘要】
1.一种安全策略的下发方法,其特征在于,所述方法包括以下步骤:漫游地的认证服务器获得移动终端设备对应的设备信息,并在来自接入设备的请求报文中添加所述移动终端设备对应的设备信息;所述漫游地的认证服务器将请求报文发送给归属地的认证服务器,由归属地的认证服务器利用所述设备信息确定所述移动终端设备的安全策略;所述漫游地的认证服务器接收来自所述归属地的认证服务器的响应报文;其中,所述响应报文中携带了所述移动终端设备的安全策略;所述漫游地的认证服务器将所述移动终端设备的安全策略下发给接入设备,由所述接入设备利用所述安全策略对所述移动终端设备进行接入控制。2.如权利要求1所述的方法,其特征在于,所述漫游地的认证服务器获得移动终端设备对应的设备信息的过程,具体包括:所述漫游地的认证服务器接收来自动态主机配置协议DHCP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息;或者,所述漫游地的认证服务器接收来自超文本传送协议HTTP服务器的指纹信息,并从所述指纹信息中获得移动终端设备对应的设备信息。3.如权利要求1所述的方法,其特征在于,所述漫游地的认证服务器在请求报文中添加所述移动终端设备对应的设备信息的过程,具体包括:所述漫游地的认证服务器在所述请求报文中添加代理Proxy-状态State属性,并在所述Proxy-State属性中添加所述移动终端设备对应的设备信息。4.如权利要求1-3任一项所述的方法,其特征在于,所述请求报文具体为认证请求报文,所述响应报文具体为认证响应报文;或者,所述请求报文具体为计费开始请求报文,所述响应报文具体为计费确认响应报文。5.如权利要求1-3任一项所述的方法,其特征在于,所述移动终端设备对应的设备信息具体包括以下之一或者任意组合:所述移动终端设备对应的厂商信息、类...
【专利技术属性】
技术研发人员:高坤,黄学军,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。