專利名稱:在mpls/vpn網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)接入控制技術(shù),尤指 一種在多協(xié)議標(biāo)簽交換/虛擬專用 網(wǎng)(MPLS/VPN����, Multi-Protocol Label Switching/Virtual Private Network )網(wǎng)
絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法和系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)應(yīng)用的不斷普及與深入����,網(wǎng)絡(luò)安全成為各企業(yè)極為重視的問 題。網(wǎng)絡(luò)接入控制(NAC, Network Access Control )技術(shù)方案的應(yīng)用為企事 業(yè)單位提供了 一個(gè)相對(duì)完整的網(wǎng)絡(luò)安全解決方案�����。網(wǎng)絡(luò)接入控制方案由認(rèn)證 終端���、認(rèn)證設(shè)備�、認(rèn)證服務(wù)器以及安全策略服務(wù)器組成的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)����。在 該網(wǎng)絡(luò)接入控制方案中�����,認(rèn)證終端首先進(jìn)行身份認(rèn)證,在身份認(rèn)證通過后�, 由認(rèn)證設(shè)備控制其只能訪問受限的網(wǎng)絡(luò)區(qū)域,在隔離區(qū)進(jìn)行安全升級(jí)����。然后, 認(rèn)證終端再進(jìn)行安全認(rèn)證�,由安全策略服務(wù)器對(duì)認(rèn)證終端進(jìn)行安全檢查,在 認(rèn)證終端符合安全要求時(shí)���,解除其隔離的限制�,使認(rèn)證終端能夠訪問其他網(wǎng) 絡(luò)資源�����,從而保證該認(rèn)證終端在訪問其他網(wǎng)絡(luò)資源免遭攻擊的威脅���。 參見圖1,圖1為現(xiàn)有網(wǎng)絡(luò)接入控制的流程圖?��,F(xiàn)詳細(xì)介紹如下 在步驟101中�,認(rèn)證終端向認(rèn)證設(shè)備發(fā)送身份認(rèn)證請(qǐng)求�。 在步驟102中,通過認(rèn)證設(shè)備�,認(rèn)證終端和認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證消 息的交互,認(rèn)證服務(wù)器對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證�����。
認(rèn)證設(shè)備主要依據(jù)IEEE802.1X協(xié)議協(xié)助認(rèn)證終端和認(rèn)證服務(wù)器完成身 份認(rèn)證的消息交互過程?�,F(xiàn)有技術(shù)中常用的認(rèn)證服務(wù)器通常為接入用戶遠(yuǎn)程 身份鑒明業(yè)務(wù)(RADIUS, Remote Authentication Dial In User Service )月良務(wù) 器���。
在步驟103中��,在認(rèn)證終端身份認(rèn)證通過后��,認(rèn)證服務(wù)器向認(rèn)證設(shè)備下 發(fā)隔離訪問控制列表(ACL �, Access Control List)��。
在步驟104中���,認(rèn)證設(shè)備應(yīng)用隔離ACL���,并指示認(rèn)證終端身份認(rèn)證通過����。
在步驟105中�,認(rèn)證終端向安全策略服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求。
在步驟106中����,安全策略服務(wù)器與認(rèn)證終端進(jìn)行安全認(rèn)證的交互�,安全 策略服務(wù)器對(duì)認(rèn)證終端進(jìn)行安全認(rèn)證。
在步驟107中����,在認(rèn)證終端的安全認(rèn)證通過后,安全策略服務(wù)器通知認(rèn) 證服務(wù)器當(dāng)前認(rèn)證終端安全認(rèn)證通過��。
在步驟108中�����,認(rèn)證服務(wù)器收到安全策略服務(wù)器發(fā)送的通知后�,向認(rèn)證 設(shè)備下發(fā)安全ACL。
在步驟109中���,認(rèn)證設(shè)備應(yīng)用下發(fā)的安全ACL�,并指示認(rèn)證終端安全 認(rèn)證通過。
認(rèn)證終端在收到認(rèn)證設(shè)備發(fā)送的指示報(bào)文后�����,就可以在安全ACL控制 的范圍內(nèi)訪問網(wǎng)絡(luò)資源���,實(shí)現(xiàn)網(wǎng)絡(luò)接入控制方案����。
從上述流程不難看出�����,由于認(rèn)證服務(wù)器和安全策略服務(wù)器不屬于用戶側(cè) 的網(wǎng)絡(luò)設(shè)備�,因此為了實(shí)現(xiàn)網(wǎng)絡(luò)接入控制方案,必須滿足以下幾個(gè)條件1) 認(rèn)證終端能夠與認(rèn)證服務(wù)器通信�;2)認(rèn)證終端能夠與安全策略服務(wù)器通信; 3)認(rèn)證服務(wù)器能夠與安全策略服務(wù)器通信��。關(guān)于條件1�����,認(rèn)證終端與認(rèn)證 設(shè)備、認(rèn)證設(shè)備與認(rèn)證服務(wù)器之間的交互基于身份認(rèn)證協(xié)議�,因此認(rèn)證設(shè)備 基于協(xié)議就能夠協(xié)助認(rèn)證終端實(shí)現(xiàn)與認(rèn)證服務(wù)器的通信,完成身份認(rèn)證��。關(guān) 于條件2和條件3在通常情況下也是比較容易滿足��。
但是��,當(dāng)將網(wǎng)絡(luò)接入控制方案應(yīng)用于MPLS/VPN網(wǎng)絡(luò)中時(shí)�����,由于在 MPLS/VPN網(wǎng)絡(luò)架構(gòu)下����,只有屬于同一 VPN的設(shè)備才能通信����,因此為了滿 足上述的條件,通??紤]的做法是將認(rèn)證服務(wù)器、安全策略服務(wù)器以及所有 的認(rèn)證終端設(shè)置在一個(gè)公共VPN內(nèi)�����。這樣就能夠?qū)崿F(xiàn)認(rèn)證服務(wù)器與安全策 略服務(wù)器之間的通信,認(rèn)證終端與安全策略服務(wù)器之間的通信�����。
上述處理措施在理論上是可行的�,但實(shí)際上是不能夠?qū)崿F(xiàn)的。由于安全
性考慮�,在MPLS/VPN環(huán)境中根本不存在一個(gè)能夠與所有用戶互通的VPN。 因此��,目前急需一種在MPLS/VPN環(huán)境下部署網(wǎng)絡(luò)接入控制的方法����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種在MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制 的方法及系統(tǒng)�����,應(yīng)用本發(fā)明所提供的方法及系統(tǒng)能夠在MPLS/VPN網(wǎng)絡(luò)中 實(shí)現(xiàn)網(wǎng)絡(luò)接入控制方案�。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的
一種在MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法��,配置認(rèn)證服務(wù)器 和安全策略服務(wù)器在一 VPN中�����;
認(rèn)證服務(wù)器通過認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證;身份認(rèn)證通過后��, 認(rèn)證服務(wù)器下發(fā)隔離訪問控制列表ACL至認(rèn)證設(shè)備�,認(rèn)證設(shè)備應(yīng)用收到的 隔離ACL,并通知認(rèn)證終端身份認(rèn)證通過;
認(rèn)證終端收到通知后���,向自身VPN中設(shè)置的安全策略代理服務(wù)器發(fā)送 安全認(rèn)證請(qǐng)求�,安全策略代理服務(wù)器通過自身與安全策略服務(wù)器的二層連接 將收到的安全認(rèn)證請(qǐng)求發(fā)送給安全策略服務(wù)器�,并作為代理協(xié)助安全策略服 務(wù)器對(duì)認(rèn)證終端進(jìn)行安全認(rèn)證;
安全認(rèn)證通過后����,安全策略服務(wù)器向認(rèn)證服務(wù)器通知安全認(rèn)證通過;認(rèn) 證服務(wù)器收到通知后���,下發(fā)安全ACL至認(rèn)證設(shè)備,認(rèn)證設(shè)備應(yīng)用收到的安 全ACL�。
一種在MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的系統(tǒng),認(rèn)證終端���、認(rèn)證 設(shè)備�����、安全策略代理服務(wù)器��、認(rèn)證服務(wù)器和安全策略服務(wù)器�;所述認(rèn)證終端 和安全策略代理服務(wù)器在同一 VPN中,所述認(rèn)證服務(wù)器和安全策略服務(wù)器 在同一 VPN中��,所述安全策略代理服務(wù)器連接安全策略服務(wù)器����; 所述認(rèn)證設(shè)備協(xié)助認(rèn)證服務(wù)器對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證; 所述安全策略代理服務(wù)器接收認(rèn)證終端在身份認(rèn)證通過后發(fā)送的安全
認(rèn)證請(qǐng)求����,通過自身與安全策略服務(wù)器的二層連接將收到的安全認(rèn)證請(qǐng)求發(fā) 送給安全策略服務(wù)器,并作為代理協(xié)助安全策略服務(wù)器對(duì)認(rèn)證終端進(jìn)行安全
認(rèn)證�;
所述認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證通過后,下發(fā)隔離訪問控制 列表ACL至認(rèn)證設(shè)備�,認(rèn)證設(shè)備應(yīng)用收到的隔離ACL,并通知認(rèn)證終端身 份認(rèn)證通過��;并在收到安全策略服務(wù)器發(fā)送的所述認(rèn)證終端安全認(rèn)證通過的 通知消息后���,下發(fā)安全ACL至認(rèn)證設(shè)備����,認(rèn)證設(shè)備應(yīng)用收到的安全ACL。
本發(fā)明所提供的在MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的技術(shù)方案��, 通過將認(rèn)證服務(wù)器和安全策略服務(wù)器設(shè)置在同一 VPN中�����,實(shí)現(xiàn)認(rèn)證服務(wù)器 與安全策略服務(wù)器之間的通信����;通過在認(rèn)證終端所在的VPN中設(shè)置安全策 略代理服務(wù)器,代理該VPN中的認(rèn)證終端與安全策略服務(wù)器進(jìn)行安全認(rèn)證 的交互���,實(shí)現(xiàn)了認(rèn)證終端與安全策略服務(wù)器之間通信�。從而�,本發(fā)明的技術(shù) 方案在不配置公共VPN的情況下,也能夠在MPLS/VPN中實(shí)現(xiàn)網(wǎng)絡(luò)接入控 制�����。
圖1為現(xiàn)有技術(shù)網(wǎng)絡(luò)接入控制方案的流程圖2為本發(fā)明方法的示例性流程圖3為本發(fā)明系統(tǒng)的結(jié)構(gòu)圖4為本發(fā)明實(shí)施例應(yīng)用的系統(tǒng)結(jié)構(gòu)圖5為本發(fā)明實(shí)施例的流程圖�。
具體實(shí)施例方式
在本發(fā)明的技術(shù)方案中���,可以通過以下兩個(gè)技術(shù)手段實(shí)現(xiàn)認(rèn)證服務(wù)器和 安全策略服務(wù)器之間的通信�����,認(rèn)證終端與安全策略服務(wù)器之間的通信����,并且 避免設(shè)置公共的VPN。具體的是�,將認(rèn)證服務(wù)器和安全策略服務(wù)器設(shè)置在 同一VPN中,實(shí)現(xiàn)認(rèn)證服務(wù)器與安全策略服務(wù)器之間的通信�����;同時(shí)��,在認(rèn)證終端所在的VPN中設(shè)置安全策略代理服務(wù)器����,用來代理該VPN中的認(rèn)證 終端與安全策略服務(wù)器進(jìn)行安全認(rèn)證的交互,使認(rèn)證終端不用配置在與認(rèn)證 服務(wù)器和安全策略服務(wù)器相同的VPN中�����,也能與安全策略服務(wù)器進(jìn)行通信�����。 參見圖2,圖2為本發(fā)明方法的示例性流程圖。在該方法中配置認(rèn)證服 務(wù)器和安全策略服務(wù)器在一 VPN中���,并包括以下步驟在步驟201中���,認(rèn) 證服務(wù)器通過認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證;身份認(rèn)證通過后�����,認(rèn)證服 務(wù)器下發(fā)隔離ACL至認(rèn)證設(shè)備����,認(rèn)證設(shè)備應(yīng)用收到的隔離ACL,并通知認(rèn) 證終端身份認(rèn)證通過;在步驟202中��,認(rèn)證終端收到通知后���,向自身VPN 中設(shè)置的安全策略代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求����,安全策略代理服務(wù)器通過 自身與安全策略服務(wù)器的二層連接將收到的安全認(rèn)證請(qǐng)求發(fā)送給安全策略
203中��,安全認(rèn)證通過后���,安全策略服務(wù)器向認(rèn)證服務(wù)器通知安全認(rèn)證通過�����; 認(rèn)證服務(wù)器收到通知后,下發(fā)安全ACL至認(rèn)證設(shè)備��,認(rèn)證設(shè)備應(yīng)用收到的 安全ACL�。
括認(rèn)證終端向認(rèn)證設(shè)備發(fā)送身份認(rèn)證請(qǐng)求;認(rèn)證設(shè)備向認(rèn)證終端發(fā)送用戶 標(biāo)識(shí)請(qǐng)求�����;認(rèn)證終端應(yīng)請(qǐng)求向認(rèn)證設(shè)備發(fā)送自身的用戶標(biāo)識(shí);認(rèn)證設(shè)備將認(rèn) 證終端的用戶標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器�;認(rèn)證服務(wù)器根據(jù)收到的用戶標(biāo)識(shí)通過 認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證。
并且���,所述認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證過程中還可以進(jìn)一步 記錄認(rèn)證終端的在線信息;在線信息包括認(rèn)證終端的用戶標(biāo)識(shí)��。這樣����,安全 策略服務(wù)器收到安全策略代理服務(wù)器轉(zhuǎn)發(fā)的認(rèn)證終端的安全認(rèn)證請(qǐng)求時(shí)�����,可 以根據(jù)安全認(rèn)證請(qǐng)求中攜帶的用戶標(biāo)識(shí)訪問認(rèn)證服務(wù)器����,判斷認(rèn)證服務(wù)器是 否記錄有所述認(rèn)證終端的用戶標(biāo)識(shí),在認(rèn)證服務(wù)器記錄有所述認(rèn)證終端的用 戶標(biāo)識(shí)時(shí)確定所述認(rèn)證終端在線��,再執(zhí)行對(duì)認(rèn)證終端進(jìn)行安全認(rèn)證���。
由于同一個(gè)認(rèn)證終端可能屬于不同的VPN�,因此為了唯一標(biāo)識(shí)認(rèn)證終 端來自的VPN,在身份認(rèn)證過程和安全認(rèn)i正過程可以使用包含用戶名和認(rèn)
證終端所在VPN的標(biāo)識(shí)的用戶標(biāo)識(shí)���,來對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證和安全認(rèn) 證���。
這里�����,認(rèn)證服務(wù)器在下發(fā)隔離ACL時(shí)進(jìn)一步攜帶認(rèn)證終端所在VPN的安 全策略代理服務(wù)器的IP地址;所述認(rèn)證設(shè)備將該IP地址攜帶在身份認(rèn)證通過 通知消息中發(fā)送給所述認(rèn)證終端���;此時(shí)�����,認(rèn)證終端則可以根據(jù)消息中通知攜帶 的IP地址��,向自身VPN中的安全策略代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求。
另外���,安全策略代理服務(wù)器可以通過配置兩個(gè)網(wǎng)卡來實(shí)現(xiàn)與認(rèn)證終端和 安全策略服務(wù)器實(shí)現(xiàn)通信����。具體的,安全策略代理服務(wù)器通過配置的第一網(wǎng) 卡實(shí)現(xiàn)與認(rèn)證終端之間的VPN連接���;通過配置的第二網(wǎng)卡實(shí)現(xiàn)與安全策略 服務(wù)器的二層連接。
參見圖3����,圖3為本發(fā)明系統(tǒng)的結(jié)構(gòu)圖�����。該系統(tǒng)包括認(rèn)證終端��、認(rèn)證設(shè) 備��、安全策略代理服務(wù)器����、認(rèn)證服務(wù)器和安全策略服務(wù)器。所述認(rèn)證終端和 安全策略代理服務(wù)器在同一 VPN中,所述認(rèn)證服務(wù)器和安全策略服務(wù)器在 同一 VPN中��;所述安全策略代理服務(wù)器連接安全策略服務(wù)器�����。
其中���,所述認(rèn)證設(shè)備協(xié)助認(rèn)證服務(wù)器對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證���。所述安 全策略代理服務(wù)器接收認(rèn)證終端在身份認(rèn)證通過后發(fā)送的安全認(rèn)證請(qǐng)求����,通 過自身與安全策略服務(wù)器的二層連接將收到的安全認(rèn)證請(qǐng)求發(fā)送給安全策
認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證通過后����,下發(fā)隔離ACL至認(rèn)證設(shè)備, 認(rèn)證設(shè)備應(yīng)用收到的隔離ACL����,并通知認(rèn)證終端身份認(rèn)證通過;并在收到
ACL至認(rèn)證設(shè)備����,認(rèn)證設(shè)備應(yīng)用收到的安全ACL。
在身份認(rèn)證過程中��,所述認(rèn)證設(shè)備接收所述認(rèn)證終端發(fā)送的身份認(rèn)證請(qǐng) 求后��,向認(rèn)證終端返回用戶標(biāo)識(shí)請(qǐng)求���;并將所述認(rèn)證終端應(yīng)請(qǐng)求返回的用戶 標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器,供所述認(rèn)證服務(wù)器根據(jù)收到的用戶標(biāo)識(shí)對(duì)所述認(rèn)證 終端進(jìn)行身份認(rèn)證����。
所述認(rèn)證服務(wù)器還可以進(jìn)一步在所述認(rèn)證終端的身份認(rèn)證過程中記錄
fe口消息后�,下發(fā)安全
認(rèn)證終端的在線信息�;所述在線信息包括認(rèn)證終端發(fā)送的用戶標(biāo)識(shí)。所述安
訪問認(rèn)證服務(wù)器��,判斷認(rèn)證服務(wù)器是否記錄有所述認(rèn)證終端的用戶標(biāo)識(shí)���,在 認(rèn)證服務(wù)器記錄有所述認(rèn)證終端的用戶標(biāo)識(shí)時(shí)確定認(rèn)證終端在線��,在所述認(rèn) 證終端在線的情況下通過所述安全策略代理服務(wù)器對(duì)所述認(rèn)證終端進(jìn)行安 全認(rèn)證��。認(rèn)證終端發(fā)送的用戶標(biāo)識(shí)包括認(rèn)證終端的用戶名和所在VPN的標(biāo) 識(shí)����。認(rèn)證服務(wù)器和安全策略服務(wù)器可以根據(jù)包含用戶名和所在VPN的標(biāo)識(shí) 的用戶標(biāo)識(shí)對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證和安全認(rèn)證����。
另外,認(rèn)證服務(wù)器在下發(fā)隔離ACL時(shí)進(jìn)一步攜帶認(rèn)證終端所在VPN的 安全策略代理服務(wù)器的IP地址��;所述認(rèn)證設(shè)備將該IP地址攜帶在身份認(rèn)證 通過通知消息中發(fā)送給所述認(rèn)證終端��;所述認(rèn)證終端根據(jù)消息中通知攜帶的 IP地址,向自身VPN中的安全策略代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求���。
其中���,具體的所述安全策略代理服務(wù)器可以包括處理單元、第一網(wǎng)卡單 元和第二網(wǎng)卡單元�。所述第一網(wǎng)卡單元,用于實(shí)現(xiàn)與所述認(rèn)證終端之間VPN 的連接�;所述第二網(wǎng)卡單元,用于實(shí)現(xiàn)與安全策略服務(wù)器的二層連接��;所述 處理單元�����,用于從第一網(wǎng)卡單元接收認(rèn)證終端發(fā)送的安全認(rèn)證交互消息����,通 過第二網(wǎng)卡單元發(fā)送至所述安全策略服務(wù)器;并從第二網(wǎng)卡單元接收安全策 略服務(wù)器發(fā)送的安全認(rèn)證交互消息�,通過第一網(wǎng)卡單元發(fā)送至所述認(rèn)證終 端。
為了更加清楚的介紹本發(fā)明的具體實(shí)現(xiàn)方式�,現(xiàn)列舉實(shí)施例對(duì)本發(fā)明的 技術(shù)方案作更進(jìn)一步的描述。
參見圖4���,圖4為本發(fā)明實(shí)施例應(yīng)用的具體系統(tǒng)結(jié)構(gòu)��。在圖4中����,安全 策略服務(wù)器和認(rèn)證服務(wù)器位于同一 VPN中����。由于認(rèn)證服務(wù)器可能位于網(wǎng)管 VPN中,因此安全策略服務(wù)器也可以位于網(wǎng)管VPN���。安全策略代理服務(wù)器 和認(rèn)證終端位于VPN1�,屬于用戶所在的VPN��。在圖中僅詳細(xì)描述了 VPN1 中的具體結(jié)構(gòu)��,在其他的用戶VPN中也是采用相同的結(jié)構(gòu)���,即在VPN中設(shè)
備安全策略代理服務(wù)器�,用來協(xié)助認(rèn)證終端完成安全認(rèn)證���。在此結(jié)構(gòu)中由用
戶邊緣設(shè)備(CE����, Customer Edge)來充當(dāng)認(rèn)證設(shè)備,即在該設(shè)備上應(yīng)用下 發(fā)隔離ACL和安全ACL,控制認(rèn)證終端的訪問權(quán)限��。通常情況下����,認(rèn)證設(shè) 備既配置在認(rèn)證終端所屬的VPN,也配置在認(rèn)證服務(wù)器所屬的VPN�,用來 完成認(rèn)證服務(wù)器對(duì)認(rèn)證終端的身份認(rèn)證。
在本發(fā)明的技術(shù)方案中����,為了唯一區(qū)別認(rèn)證終端所在的VPN,可以采 用用戶名+VPN標(biāo)識(shí)的方式來表示認(rèn)證終端用戶標(biāo)識(shí)����。當(dāng)在認(rèn)證服務(wù)器上為 用戶開戶時(shí),可以采用user@vpnID的形式來表示用戶標(biāo)識(shí)�����。其中user是用 戶名�,vpnID是認(rèn)證終端所在VPN的標(biāo)識(shí)。
下面參見圖5�,圖5為本發(fā)明實(shí)施例的詳細(xì)流程圖?����,F(xiàn)具體介紹如下
在步驟501中���,認(rèn)證終端向認(rèn)證設(shè)備發(fā)送身份認(rèn)證請(qǐng)求�。
在步驟502中,認(rèn)證設(shè)備收到身份認(rèn)證請(qǐng)求后����,向認(rèn)證終端發(fā)送用戶標(biāo) 識(shí)請(qǐng)求,用來請(qǐng)求認(rèn)證終端的用戶標(biāo)識(shí)����。
在步驟503中,認(rèn)證終端向認(rèn)證設(shè)備返回自身的用戶標(biāo)識(shí)�。例如,當(dāng)前 認(rèn)證終端的用戶標(biāo)識(shí)可以是userl@vpnl �。
在步驟504中,認(rèn)證設(shè)備將認(rèn)證終端的用戶標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器�,用 于請(qǐng)求認(rèn)證服務(wù)器對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證。
在步驟505中����,認(rèn)證服務(wù)器通過認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行后續(xù)的身份認(rèn) 證交互����。認(rèn)證設(shè)備在其中主要起到消息透傳的作用��。此時(shí)�����,認(rèn)證服務(wù)器還可 以記錄認(rèn)證終端的在線信息����,用來供安全策略服務(wù)器在需要時(shí)進(jìn)行訪問。在 線信息的主要內(nèi)容是認(rèn)證終端的用戶標(biāo)識(shí)�����。
后續(xù)的交互過程根據(jù)不同的身份認(rèn)證協(xié)議�����、以及各個(gè)廠家的設(shè)置而有所 不同��。具體可以參見具體的身份認(rèn)證協(xié)議���。
在步驟506中�����,認(rèn)證服務(wù)器在對(duì)認(rèn)證終端的身份認(rèn)證通過后����,下發(fā)隔離 ACL至認(rèn)證i殳備。
在步驟507中��,認(rèn)證設(shè)備應(yīng)用收到的隔離ACL����,指示認(rèn)證終端身份認(rèn) 證通過��。
在步驟508中����,認(rèn)證終端在收到身份認(rèn)證通過的指示后,向安全策略代
理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求����。安全認(rèn)證請(qǐng)求中攜帶該認(rèn)證終端的用戶標(biāo)識(shí)。 以下兩種方式�����。除了前面介紹的在認(rèn)證服務(wù)器上配置各安全策略代理服務(wù)器
的IP地址;認(rèn)證服務(wù)器在認(rèn)證終端的身份認(rèn)證通過后��,根據(jù)認(rèn)證終端的用 戶標(biāo)識(shí)確定認(rèn)證終端所在的VPN;在下發(fā)隔離ACL時(shí)�,指示該VPN對(duì)應(yīng)的 安全策略代理服務(wù)器的IP地址;認(rèn)證設(shè)備將從認(rèn)證服務(wù)器收到的IP地址攜 帶在指示消息中發(fā)送給認(rèn)證終端���。還有一種方式可以是��,在認(rèn)證終端上配置 所在VPN中安全策略代理服務(wù)器的IP地址����,在身份認(rèn)證通過后����,直接根據(jù) 自身配置的安全策略代理服務(wù)器的IP地址,訪問對(duì)應(yīng)的安全策略代理服務(wù) 器���。
在步驟509中��,安全策略代理服務(wù)器將認(rèn)證終端發(fā)送的安全認(rèn)證請(qǐng)求�����, 發(fā)送給安全策略服務(wù)器�。
如果安全策略代理服務(wù)器使用兩個(gè)網(wǎng)卡分別與認(rèn)證終端和安全策略服 務(wù)器進(jìn)行通信,則可以在與安全策略服務(wù)器相連的網(wǎng)卡上配置安全策略服務(wù) 器的IP地址��,用來與安全策略服務(wù)器進(jìn)行交互�����。
在步驟510中��,安全策略服務(wù)器與認(rèn)證服務(wù)器進(jìn)行交互�����,根據(jù)安全認(rèn)證 請(qǐng)求中攜帶的用戶標(biāo)識(shí)����,確定認(rèn)證服務(wù)器上是否記錄了當(dāng)前認(rèn)證終端的在線 信息�����,如果記錄了當(dāng)前認(rèn)證終端的在線信息����,則執(zhí)行后續(xù)步驟,對(duì)認(rèn)證終端 執(zhí)行安全認(rèn)證;如果沒有記錄當(dāng)前認(rèn)證終端的在線信息���,則結(jié)束當(dāng)前處理流 程�����。當(dāng)然����,此步驟并不是必需的��。
在步驟511中�,在認(rèn)證服務(wù)器上記錄了認(rèn)證終端的在線信息時(shí),安全策
終端進(jìn)行安全認(rèn)證�����。
具體的安全認(rèn)證消息流程可以是安全策略服務(wù)器收到認(rèn)證終端發(fā)送的 安全認(rèn)證請(qǐng)求后����,向該認(rèn)證終端下發(fā)病毒、補(bǔ)丁等安全檢查項(xiàng)目���;認(rèn)證終端 收到安全檢查項(xiàng)目���,對(duì)各項(xiàng)目進(jìn)行檢查����,并向安全策略服務(wù)器上報(bào)檢查結(jié)果�����; 安全策略服務(wù)器檢測收到的檢查結(jié)果是否符合要求��,在安全的情況下��,則當(dāng) 前認(rèn)證終端的安全認(rèn)證通過�;否則,安全認(rèn)證不通過��。安全策略服務(wù)器對(duì)認(rèn) 證終端進(jìn)行安全認(rèn)證的流程并不僅限于此流程���,還可以是現(xiàn)有技術(shù)中的其他 形式。
在步驟512中���,在認(rèn)證終端的安全認(rèn)證通過后����,安全策略服務(wù)器通知安 全策略代理服務(wù)器當(dāng)前認(rèn)證終端的安全認(rèn)證通過。
在步驟513中�����,安全策略代理服務(wù)器通知認(rèn)證終端安全認(rèn)證通過�����。
在步驟514中��,安全策略服務(wù)器在認(rèn)證終端的安全認(rèn)證通過后���,通知認(rèn) 證服務(wù)器���。該步驟可以與步驟512同時(shí)、或在步驟512之前執(zhí)行�����。
在步驟515中�����,認(rèn)證服務(wù)器收到通知后����,向認(rèn)證設(shè)備下發(fā)安全ACL���。 認(rèn)證設(shè)備應(yīng)用收到的安全ACL。
至此�����,認(rèn)證終端完成了整個(gè)網(wǎng)絡(luò)接入控制過程�。
通過對(duì)本發(fā)明技術(shù)方案的詳細(xì)介紹可知,本發(fā)明通過將認(rèn)證服務(wù)器和安 全策略服務(wù)器設(shè)置在同一 VPN中���,實(shí)現(xiàn)認(rèn)證服務(wù)器與安全策略服務(wù)器之間 的通信�;通過在認(rèn)證終端所在的VPN中設(shè)置安全策略代理服務(wù)器���,用來代 理該VPN中的認(rèn)證終端與安全策略服務(wù)器進(jìn)行安全認(rèn)證的交互��,使認(rèn)證終 端不用配置在與認(rèn)證服務(wù)器和安全策略服務(wù)器相同的VPN中����,也能與安全 策略服務(wù)器進(jìn)行通信���,解決了現(xiàn)有技術(shù)在MPLS/VPN配置網(wǎng)絡(luò)接入控制方 案時(shí)所存在的問題����。
另外��,本發(fā)明采用用戶名+VPN標(biāo)識(shí)的用戶標(biāo)識(shí)方法��,能夠有效的唯一 確定認(rèn)證終端的身份以及所在的VPN����,而從能夠使認(rèn)證服務(wù)器以及安全策 略服務(wù)器有效的對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證以及安全認(rèn)證。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明�,凡在本 發(fā)明的精神和原則之內(nèi),所做的任何修改���、等同替換���、改進(jìn)等,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1���、一種在多協(xié)議標(biāo)簽交換/虛擬專用網(wǎng)MPLS/VPPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法��,其特征在于�����,配置認(rèn)證服務(wù)器和安全策略服務(wù)器在一VPN中�;認(rèn)證服務(wù)器通過認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證;身份認(rèn)證通過后�,認(rèn)證服務(wù)器下發(fā)隔離訪問控制列表ACL至認(rèn)證設(shè)備,認(rèn)證設(shè)備應(yīng)用收到的隔離ACL����,并通知認(rèn)證終端身份認(rèn)證通過;認(rèn)證終端收到通知后�����,向自身VPN中設(shè)置的安全策略代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求�����,安全策略代理服務(wù)器通過自身與安全策略服務(wù)器的二層連接將收到的安全認(rèn)證請(qǐng)求發(fā)送給安全策略服務(wù)器�����,并作為代理協(xié)助安全策略服務(wù)器對(duì)認(rèn)證終端進(jìn)行安全認(rèn)證;安全認(rèn)證通過后����,安全策略服務(wù)器向認(rèn)證服務(wù)器通知安全認(rèn)證通過�;認(rèn)證服務(wù)器收到通知后,下發(fā)安全ACL至認(rèn)證設(shè)備�,認(rèn)證設(shè)備應(yīng)用收到的安全ACL。
2����、 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述認(rèn)證服務(wù)器通過認(rèn)證設(shè) 備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證包括認(rèn)證終端向認(rèn)證設(shè)備發(fā)送身份認(rèn)證請(qǐng)求; 認(rèn)證設(shè)備向認(rèn)證終端發(fā)送用戶標(biāo)識(shí)請(qǐng)求�����; 認(rèn)證終端應(yīng)請(qǐng)求向認(rèn)證設(shè)備發(fā)送自身的用戶標(biāo)識(shí)�����; 認(rèn)證設(shè)備將認(rèn)證終端的用戶標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器���; 認(rèn)證服務(wù)器根據(jù)收到的用戶標(biāo)識(shí)���,通過認(rèn)證設(shè)備對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證��。
3��、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于�,該方法進(jìn)一步包括 所述認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證過程中記錄認(rèn)證終端的在線信息�;所述在線信息包括認(rèn)證終端的用戶標(biāo)識(shí);安全策略服務(wù)器收到安全策略代理服務(wù)器轉(zhuǎn)發(fā)的認(rèn)證終端的安全認(rèn)證請(qǐng)求 后訪問認(rèn)證服務(wù)器����,判斷認(rèn)證服務(wù)器是否記錄有所述認(rèn)證終端的用戶標(biāo)識(shí),在述認(rèn)證終端進(jìn)行安全認(rèn)證�。
4、 根據(jù)權(quán)利要求2或3所述的方法�����,其特征在于,所述認(rèn)證服務(wù)器在下發(fā)隔離ACL時(shí)進(jìn)一步攜帶認(rèn)證終端所在VPN的安全 策略代理服務(wù)器的IP地址����;所述認(rèn)證設(shè)備將該IP地址攜帶在身份認(rèn)證通過通 知消息中發(fā)送給所述認(rèn)證終端;所述認(rèn)證終端根據(jù)消息中通知攜帶的IP地址���,向自身VPN中的安全策略 代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求。
5��、 根據(jù)權(quán)利要求2或3所述的方法��,其特征在于�, 所述用戶標(biāo)識(shí)包括認(rèn)證終端的用戶名和所在VPN的標(biāo)識(shí)。
6�����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述安全策略代理服務(wù)器通過配置的第一網(wǎng)卡實(shí)現(xiàn)與認(rèn)證終端之間的 VPN連接�;通過配置的第二網(wǎng)卡實(shí)現(xiàn)與安全策略服務(wù)器的二層連接。
7��、 一種在多協(xié)議標(biāo)簽交換/虛擬專用網(wǎng)MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控 制的系統(tǒng)����,其特征在于,認(rèn)證終端��、認(rèn)證設(shè)備�、安全策略代理服務(wù)器、認(rèn)證服 務(wù)器和安全策略服務(wù)器�;所述認(rèn)證終端和安全策略代理服務(wù)器在同一 VPN中, 所述認(rèn)證服務(wù)器和安全策略服務(wù)器在同一 VPN中����,所述安全策略代理服務(wù)器連 接安全策略服務(wù)器����;所述認(rèn)證設(shè)備協(xié)助認(rèn)證服務(wù)器對(duì)認(rèn)證終端進(jìn)行身份認(rèn)證����; 所述安全策略代理服務(wù)器接收認(rèn)證終端在身份認(rèn)證通過后發(fā)送的安全認(rèn)證 請(qǐng)求��,通過自身與安全策略服務(wù)器的二層連接將收到的安全認(rèn)證請(qǐng)求發(fā)送給安 全策略服務(wù)器�,并作為代理協(xié)助安全策略服務(wù)器對(duì)認(rèn)證終端進(jìn)行安全認(rèn)證���;所述認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證通過后,下發(fā)隔離訪問控制列 表ACL至認(rèn)證設(shè)備����,認(rèn)證設(shè)備應(yīng)用收到的隔離ACL,并通知認(rèn)證終端身份認(rèn)息后,下發(fā)安全ACL至認(rèn)證設(shè)備�����,認(rèn)證設(shè)備應(yīng)用收到的安全ACL��。
8����、 根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于,所述認(rèn)證設(shè)備��,接收所述認(rèn)證終端發(fā)送的身份認(rèn)證請(qǐng)求后�����,向認(rèn)證終端返 回用戶標(biāo)識(shí)請(qǐng)求;并將所述認(rèn)證終端應(yīng)請(qǐng)求返回的用戶標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器����, 供所述認(rèn)證服務(wù)器根據(jù)收到的用戶標(biāo)識(shí)對(duì)所述認(rèn)證終端進(jìn)行身份認(rèn)證。
9���、 根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于��,所述認(rèn)證服務(wù)器在所述認(rèn)證終端的身份認(rèn)證過程中記錄認(rèn)證終端的在線信 息����;所述在線信息包括認(rèn)證終端發(fā)送的用戶標(biāo)識(shí)�����;所述安全策略服務(wù)器收到安全策略代理服務(wù)器轉(zhuǎn)發(fā)的認(rèn)證終端的安全認(rèn)證 請(qǐng)求后訪問認(rèn)證服務(wù)器�����,判斷認(rèn)證服務(wù)器是否記錄有所述認(rèn)證終端的用戶標(biāo)識(shí)���,通過所述安全策略代理服務(wù)器對(duì)所述認(rèn)證終端進(jìn)行安全認(rèn)證���。
10��、 根據(jù)權(quán)利要求8或9所述的系統(tǒng)�,其特征在于����,所述認(rèn)證服務(wù)器在下發(fā)隔離ACL時(shí)進(jìn)一步攜帶認(rèn)證終端所在VPN的安全 策略代理服務(wù)器的IP地址;所述認(rèn)證設(shè)備將該IP地址攜帶在身份認(rèn)證通過通 知消息中發(fā)送給所述認(rèn)證終端��;所述認(rèn)證終端根據(jù)消息中通知攜帶的IP地址���,向自身VPN中的安全策略 代理服務(wù)器發(fā)送安全認(rèn)證請(qǐng)求。
11���、 根據(jù)權(quán)利要求8或9所述的系統(tǒng)����,其特征在于����,
12���、 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于���,所述安全策略代理服務(wù)器 包括處理單元���、第一網(wǎng)卡單元和第二網(wǎng)卡單元;所述第一網(wǎng)卡單元��,用于實(shí)現(xiàn)與所述認(rèn)證終端之間VPN的連接�; 所述第二網(wǎng)卡單元,用于實(shí)現(xiàn)與安全策略服務(wù)器的二層連接�; 所述處理單元,用于從第一網(wǎng)卡單元接收認(rèn)證終端發(fā)送的安全認(rèn)證交互消 息���,通過第二網(wǎng)卡單元發(fā)送至所述安全策略服務(wù)器���;并從第二網(wǎng)卡單元接收安 全策略服務(wù)器發(fā)送的安全認(rèn)證交互消息,通過第一網(wǎng)卡單元發(fā)送至所述認(rèn)證終 端��。
全文摘要
本發(fā)明公開了在MPLS/VPN網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法及系統(tǒng)�����。本發(fā)明技術(shù)方案通過將認(rèn)證服務(wù)器和安全策略服務(wù)器設(shè)置在一VPN中,實(shí)現(xiàn)認(rèn)證服務(wù)器與安全策略服務(wù)器之間的通信���;通過在認(rèn)證終端所在的VPN中設(shè)置安全策略代理服務(wù)器���,代理該VPN中的認(rèn)證終端與安全策略服務(wù)器進(jìn)行安全認(rèn)證的交互,實(shí)現(xiàn)了認(rèn)證終端與安全策略服務(wù)器之間通信�����。從而����,本發(fā)明技術(shù)方案在不配置公共VPN的情況下,在MPLS/VPN中實(shí)現(xiàn)了網(wǎng)絡(luò)接入控制方案��。
文檔編號(hào)H04L12/46GK101355557SQ200810119718
公開日2009年1月28日 申請(qǐng)日期2008年9月5日 優(yōu)先權(quán)日2008年9月5日
發(fā)明者喬肖桉 申請(qǐng)人:杭州華三通信技術(shù)有限公司