网络访问控制信息配置方法、装置及出口网关制造方法及图纸

本发明专利技术实施例提供的网络访问控制信息配置方法、装置及出口网关，属于数据通信领域。所述方法包括：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。本方法实现出口网关对通过该出口网关访问网络的用户终端进行细粒度网络访问控制，提升网络访问控制的灵活性、安全性。

【技术实现步骤摘要】

本专利技术涉及数据通信领域，具体而言，涉及一种网络访问控制信息配置方法、装置及出口网关。
技术介绍
传统的802.1x在无线接入认证场景非常常见，它能够提供基于用户名和密码的校验，并解决用户上网的安全问题。在无线接入认证的场景中，一般出口网关不提供802.1x服务器端的功能，因此802.1x服务器端使用AC(AccessController，访问控制器)做802.1x服务器，并由AC和AAA(Authentication,Authorization,Accounting，认证授权计费)服务器完成radius认证。而在无线接入认证的过程中，出口网关不参与到整个认证流程中，无法对用户终端的网络访问进行控制。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种网络访问控制信息配置方法、装置及出口网关，以实现在无线接入认证的场景中出口网关对用户终端的网络访问进行控制，提升网络访问控制的灵活性。第一方面，本专利技术实施例提供了一种网络访问控制信息配置方法，所述方法包括：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。第二方面，本专利技术实施例提供了一种网络访问控制信息配置方法，应用于出口网关中，所述方法包括：所述出口网关接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息；所述出口网关对应存储所述用户终端特征信息以及所述目标网络访问控制信息；所述出口网关基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。第三方面，本专利技术实施例提供了一种网络访问控制信息配置装置，应用于接入认证设备，所述装置包括：信息接收单元，用于接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；接入认证单元，用于基于所述用户账号信息进行接入认证；访问控制信息配置单元，用于如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。第四方面，本专利技术实施例提供了一种出口网关，所述出口网关包括：配置信息接收单元，用于接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息；配置信息存储单元，用于对应存储所述用户终端特征信息以及所述目标网络访问控制信息；访问控制单元，用于基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。本专利技术实施例提供的网络访问控制信息配置方法、装置及出口网关，通过接入认证设备在验证用户终端上传的用户账号信息后，查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，使得出口网关可以对应存储用户终端特征信息以及目标网络访问控制信息，以实现出口网关对通过该出口网关访问网络的用户终端进行网络访问控制，提升网络访问控制的灵活性。本专利技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术实施例了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本专利技术实施例提供的无线接入认证系统的结构框图；图2为本专利技术实施例提供的一种网络访问控制信息配置方法的流程图；图3为本专利技术实施例提供的另一种网络访问控制信息配置方法的时序图；图4为本专利技术实施例提供的再一种网络访问控制信息配置方法的流程图；图5为本专利技术实施例提供的一种网络访问控制信息配置装置的结构框图；图6为本专利技术实施例提供的另一种网络访问控制信息配置装置的结构框图；图7为本专利技术实施例提供的一种出口网关的结构框图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。如图1所示，在基于802.1x无线接入认证系统中，包括无线接入设备110、接入认证设备120以及出口网关130。其中，无线接入设备110用于广播无线信号以便用户终端通过无线接入设备广播的无线信号接入到系统中。其中，无线接入设备110可以为AP(WirelessAccessPoin，无线访问接入点)等设备。接入认证设备120用于对接入到系统中的用户终端进行802.1x认证以及radius认证，接入认证设备120认证成功的用户终端可以通过出口网关130访问互联网。请参阅图2，本专利技术实施例提供的一种网络访问控制信息配置方法，应用于无线接入认证系统中的接入认证设备，所述方法包括：步骤S210：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息。当用户终端与无线接入设备建立无线连接后，通过接入认证设备的认证后，才能通过出口网关访问互联网。则用户终端需要先向无线接入设备发送接入认证请求，当无线接入设备接收到用户终端发送的接入认证请求后，再将该接入认证请求发送给接入认证设备。为了进行接入认证，在接入认证请求中携带有用户终端获取的用户账号信息，该用户账号信息包括用户预先注册获得的帐号以及密钥，用户终端特征信息包括用户终端的MAC(Medium/MediaAccessControl)地址以及IP(InternetProtocol)地址中的至少一个。步骤S220：所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。在接入认证设备中预先存储有已经注册用本文档来自技高网...

【技术保护点】
一种网络访问控制信息配置方法，其特征在于，所述方法包括：接入认证设备接收无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给出口网关。

【技术特征摘要】
1.一种网络访问控制信息配置方法，其特征在于，所述方法包括：接入认证设备接收无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给出口网关。2.根据权利要求1所述的方法，其特征在于，所述接入认证设备预先存储有所述无线接入设备标识信息对应的出口网关IP地址；所述将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关，包括：所述接入认证设备获取所述无线接入设备的标识信息，并查找与所述无线接入设备的标识信息对应的出口网关IP地址，将所述用户终端特征信息以及所述目标网络访问控制信息，发送给与所述无线接入设备的标识信息对应的出口网关。3.根据权利要求1所述的方法，其特征在于，所述接入认证设备包括访问控制器以及AAA服务器；所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，包括：所述访问控制器接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关，包括：所述访问控制器向所述AAA服务器发送携带所述用户账号信息的radius认证请求报文，所述AAA服务器响应所述radius认证请求报文，基于所述用户账号信息进行接入认证，如果认证成功，向所述访问控制器返回认证成功信息；所述访问控制器响应所述认证成功信息，向所述AAA服务器发送携带所述用户终端特征信息的radius计费报文；所述AAA服务器查询所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。4.一种网络访问控制信息配置方法，其特征在于，应用于出口网关中，所述方法包括：出口网关接收接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息；所述出口网关对应存储所述用户终端特征信息以及所述目标网络访问控制信息；所述出口网关基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。5.根据权利要求4所述的方法，其特征在于，所述出口网关上预先设置有多组网络访问控制策略，所述目标网络访问控制信息包括所述网络访问控制策略的分组编号，所述网络访问控制策略包括网络带宽信息和/或访问控制列表；所述出口网关对应存储所述用户终端特征信息以及所述目标网络访问控制信息，并基于所述目标网络访问控制信息控制所述用户终端访问网络，包括：所述出口网关对应存储所述用户终端特征信息以及所述分组编号；查找与所述分组编号对应的目标网络访问控制策略；所...

【专利技术属性】
技术研发人员：陈龙，黄山，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川;51