專利名稱:接入用戶的訪問控制方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域中的訪問控制技術�����,具體涉及一種接入用戶的訪問 控制方法和一種接入用戶的訪問控制系統(tǒng)�����。
背景技術:
虛擬私有撥號網(wǎng)(VPDN���, Virtual Private Dial-up Network)技術是利用 諸如綜合業(yè)務數(shù)字網(wǎng)(ISDN, Integrated Services Digital Network )或公用電 話交換網(wǎng)(PSTN, Public Switched Telephone Network)的撥號功能接入公 共網(wǎng)絡��,實現(xiàn)虛擬專用網(wǎng)的技術����。VPDN網(wǎng)絡可以為企業(yè)����、小型因特網(wǎng)服務 提供者(ISP�����, Internet Service Provider)�����、移動辦公人員等提供接入服務。 VPDN網(wǎng)絡采用專用的網(wǎng)絡加密通信協(xié)議�,在公共網(wǎng)絡上為企業(yè)建立安全的 虛擬專網(wǎng)。企業(yè)駐外才幾構和出差人員可以從遠程經(jīng)由公共網(wǎng)絡�����,通過虛擬加 密隧道實現(xiàn)與企業(yè)內(nèi)部之間的網(wǎng)絡鏈接��,而公共網(wǎng)絡上的其它用戶無法穿過 虛擬隧道訪問企業(yè)內(nèi)部資源��。
目前��,構建VPDN網(wǎng)絡目前使用最為廣泛的協(xié)議是第二層隧道協(xié)議
(L2TP, Layer 2 Tunneling Protocol)�。圖1為使用L2TP協(xié)議構建VPDN 的典型組網(wǎng)示意圖。如圖l所示����,在L2TP構建的VPDN中,網(wǎng)絡組件包括 以下三個部分遠端系統(tǒng)�、L2TP訪問集中器(LAC , L2TP Access Concentrator)和L2TP網(wǎng)絡服務器(LNS, L2TP Network Server)�。其中, 遠端系統(tǒng)是要接入VPDN網(wǎng)絡的遠地用戶(Remote User)和遠地分支機構
(Remote Branch)�����。遠端系統(tǒng)通常是一個撥號用戶的主機或私有網(wǎng)絡的一 臺路由設備。LAC位于LNS和遠端系統(tǒng)之間����,用于在LNS和遠端系統(tǒng)之間 傳遞數(shù)據(jù)包。LAC將從遠端系統(tǒng)收到的數(shù)據(jù)包按照L2TP協(xié)議進行封裝����,將封裝后的數(shù)據(jù)包通過LAC與LNS之間建立L2TP隧道傳遞給LNS,同時將 從LNS收到的數(shù)據(jù)包解封裝并發(fā)往遠端系統(tǒng)�����。LNS通常是一個內(nèi)部網(wǎng)的邊 緣設備����,例如企業(yè)內(nèi)部網(wǎng)的接入路由器。當用戶訪問企業(yè)內(nèi)部網(wǎng)資源時����,用 戶需要通過遠端設備接入企業(yè)內(nèi)部網(wǎng)中的內(nèi)部服務器,此時��,用戶發(fā)送的數(shù) 據(jù)包依次通過遠端設備�����、LAC���、 LNS到達內(nèi)部服務器�,從而實現(xiàn)用戶對企業(yè) 內(nèi)4卩網(wǎng)的ijr問�。
為了保證企業(yè)內(nèi)部網(wǎng)的安全性,通常需要對接入用戶進行身份認證����,目 前的認證4喿作只對用戶是否具有訪問企業(yè)內(nèi)部網(wǎng)的權限進行認證,在認證通 過后��,即允許用戶接入�����。然而����,企業(yè)內(nèi)部網(wǎng)又分為多個業(yè)務區(qū)域,不同用戶 應該能夠訪問相關業(yè)務區(qū)域���,而不是所有用戶都可以訪問所有業(yè)務區(qū)域��,因 此應該對接入用戶的訪問權限有所區(qū)分����。例如,要求物流用戶只能訪問物流 服務器系統(tǒng)����,但不能訪問企業(yè)決策系統(tǒng);要求企業(yè)決策用戶能夠同時訪問物 流系統(tǒng)和企業(yè)決策系統(tǒng)��。
但是���,由于目前對接入用戶不進行權限區(qū)分�����,因此所有接入用戶具有相 同的訪問權限�����,不能控制用戶所允許訪問的業(yè)務區(qū)域���,從而無法滿足網(wǎng)絡的 安全性要求。
發(fā)明內(nèi)容
陷���,本發(fā)明提供了接入用戶的訪問控制方法和系統(tǒng)�,能夠對接入用戶的訪問
權限進行區(qū)分����,以滿足網(wǎng)絡的安全性要求。 所述接入用戶的訪問控制方法����,包括 設置域名的安全等級,為各安全等級設置對應的業(yè)務區(qū)域��; 當檢測到用戶接入時��,確定接入用戶的域名所屬安全等級�,獲取所確定
安全等級對應的業(yè)務區(qū)域;
將獲取的業(yè)務區(qū)域作為所述接入用戶允許訪問的業(yè)務區(qū)域��,對接入用戶 進4亍i方問4空制�。其中,不同安全等級對應的業(yè)務區(qū)域不重疊�。
其中,所述為各安全等級設置對應的業(yè)務區(qū)域為為各安全等級設置對 應的安全策略��,所述安全策略記錄對應安全等級允許訪問的業(yè)務區(qū)域地址���。
其中�����,在虛擬私有撥號網(wǎng)中���,域名的安全等級以及安全等級與業(yè)務區(qū)域 的對應關系����,均設置在認證服務器上�����;
所述當檢測到用戶接入時�,確定接入用戶的域名所屬安全等級,獲取所 確定安全等級對應的業(yè)務區(qū)域�����,包括
虛擬私有撥號網(wǎng)中的第二層隧道協(xié)議網(wǎng)絡服務器LNS檢測到用戶接入 時��,向認證服務器發(fā)送接入用戶的域名�����;
所述認證服務器確定接入用戶的域名所屬安全等級,獲取所確定安全等 級對應的業(yè)務區(qū)域���,將獲取的業(yè)務區(qū)域信息發(fā)送給所述LNS的接入口�����;
所述對接入用戶進行訪問控制為所述LNS根據(jù)接收的業(yè)務區(qū)域信息, 控制所述接入用戶訪問所述業(yè)務區(qū)域信息指示的業(yè)務區(qū)域����。
較佳地,所述獲取所確定安全等級對應的業(yè)務區(qū)域時�����,進一步包括同 時獲耳又所確定安全等級的下級安全等級對應的業(yè)務區(qū)域�����。
其中����,所述所確定安全等級的下級安全等級為所述所確定安全等級的所 有下級安全等級,或者為預先針對所述所確定安全等級配置的下級安全等 級��。
所述所述接入用戶的訪問控制系統(tǒng),包括設置單元�、接入檢測單元、業(yè) 務區(qū)域確定單元和訪問控制單元����;
所述設置單元,用于設置域名的安全等級�����,為各安全等級設置對應的業(yè) 務區(qū)域�;
所述接入檢測單元,用于在才企測到用戶接入時���,通知業(yè)務區(qū)域確定單元�; 所述業(yè)務區(qū)域確定單元���,用于在接收到所述接入檢測單元的通知時�,根 據(jù)所述設置單元設置的信息��,確定所述接入用戶的域名所屬安全等級�,獲取 所確定安全等級對應的業(yè)務區(qū)域;將獲取的業(yè)務區(qū)域信息發(fā)送給所述訪問控 制單元;所述訪問控制單元����,用于根據(jù)接收的業(yè)務區(qū)域信息,控制所述接入用戶 訪問所述業(yè)務區(qū)域信息指示的業(yè)務區(qū)域��。
較佳地����,所述業(yè)務區(qū)域確定單元進一步用于,在獲取所確定安全等級對 應的業(yè)務區(qū)域的同時���,獲取所確定安全等級的所有下級安全等級對應的業(yè)務 區(qū)域,或者根據(jù)預先針對所述所確定安全等級配置的下級安全等級���,獲取對 應的業(yè)務區(qū)域����。
其中��,所述設置單元為不同安全等級對應設置互不重疊的業(yè)務區(qū)域�。
其中,所述設置單元為各安全等級設置對應的業(yè)務區(qū)域為為各安全等 級設置對應的安全策略���;所述安全策略記錄對應安全等級允許訪問的業(yè)務區(qū) 域地址����。
其中,在虛擬私有"i發(fā)號網(wǎng)中��,所述設置單元和所述業(yè)務區(qū)域確定單元i殳 置在認證服務器中���;所述接入檢測單元和所述訪問控制單元設置在LNS中���。
根據(jù)以上技術方案可見,應用本發(fā)明能夠對接入用戶的訪問權限進行區(qū) 分����。具體來說,具有如下有益效果
1�、 本發(fā)明設置域名的安全等級,為各安全等級設置對應的業(yè)務區(qū)域��, 使得用戶接入時�����,可以根據(jù)用戶域名所屬安全等級獲取允許用戶訪問的業(yè)務 區(qū)域�,采用安全等級的方式賦予不同用戶不同的訪問權限,有效地保證了企 業(yè)內(nèi)部網(wǎng)的安全。
2��、 較佳地���,在獲取所確定安全等級對應的業(yè)務區(qū)域時���,同時獲取所確 定安全等級的下級安全等級對應的業(yè)務區(qū)域。這樣��,采用本發(fā)明獲取的允許
還包括下級安全等級對應的業(yè)務區(qū)域��,使得一個用戶可以同時訪問多個業(yè)務 區(qū)域����。
3����、在獲取下級安全等級時,可以根據(jù)預先配置����,獲取相應的下級安全 等級,該相應的下級安全等級可以是所有下級安全等級中的全部或一部分��, 完全取決于配置情況,這樣通過配置安全等級與下級安全等級的對應關系�, 可以實現(xiàn)用戶權限的靈活控制。當某個安全等級的用戶允許訪問的業(yè)務區(qū)域變更時��,只需修改該安全等 級與其下級安全等級之間的對應關系�,即可方^_、快速地實現(xiàn)變更����。再者,
當某個業(yè)務區(qū)域的信息��,例如業(yè)務服務器地址發(fā)生改變時����,只需修改變化的 業(yè)務區(qū)域的信息,由于上�、下級安全等級具有對應關系,該修改會自動適應 所有安全等級中�。
圖l為現(xiàn)有技術中使用L2TP協(xié)議構建VPDN的典型組網(wǎng)示意圖。
圖2為本發(fā)明中接入用戶的訪問控制方法流程圖�。
圖3為具有認證服務器的VPDN組網(wǎng)示意圖。
圖4為本發(fā)明 一 實施例中接入用戶的訪問控制方法流程圖�。
圖5為本發(fā)明一個實例的示意圖。
圖6為本發(fā)明另一個實例的示意圖����。
圖7為本發(fā)明實施例中接入用戶的訪問控制系統(tǒng)結構示意圖�。
具體實施例方式
下面結合附圖并舉實施例���,對本發(fā)明進行詳細描述�。
本發(fā)明為一種接入用戶的訪問控制方案����,其基本思想為設置域名的安 全等級,為各安全等級設置對應的業(yè)務區(qū)域���;當檢測到用戶接入時���,確定接 入用戶的域名所屬安全等級,獲取所確定安全等級對應的業(yè)務區(qū)域�����;將獲取 的所有業(yè)務區(qū)域作為接入用戶允許訪問的業(yè)務區(qū)域��,對接入用戶進行訪問控 制�。該方案采用安全等級為不同用戶賦予不同的訪問權限��,實現(xiàn)了對接入用 戶的訪問一又限區(qū)分,有效保證企業(yè)內(nèi)部網(wǎng)的安全���。
較佳地����,在獲取所確定安全等級對應的業(yè)務區(qū)域時����,同時獲取所確定安 全等級的下級安全等級對應的業(yè)務區(qū)域。這樣�,采用本發(fā)明獲取的允許用戶 訪問的業(yè)務區(qū)域不僅包括用戶域名所述安全等級直接對應的業(yè)務區(qū)域,還包 括下級安全等級對應的業(yè)務區(qū)域����,使得一個用戶可以同時訪問多個業(yè)務區(qū)域。當為同一用戶設置的安全等級不同時��,該用戶訪問的業(yè)務區(qū)域可能發(fā)生 變化���,從而可以通過安全等級的設置方便的實現(xiàn)用戶權限修改��。而且���,采用 本發(fā)明能夠實現(xiàn)高等級用戶可以訪問低等級用戶的業(yè)務區(qū)域�����,反之則禁止的 訪問控制�。
圖2示出了基于上述基本思想的接入用戶的訪問控制方法流程圖�����。如圖 2所示�����,該流程包括以下步驟
步驟201:預先設置域名的安全等級�����,為每個安全等級設置對應的安全 策略���。安全策略控制用戶訪問的業(yè)務區(qū)域�����,不同安全策略控制的業(yè)務區(qū)域互 不重疊。
其中�,安全策略為接入控制列表(ACL) �����。 ACL記錄對應安全等級允 許訪問的業(yè)務區(qū)域的IP地址�����。當接入用戶所訪問i殳備的地址屬于ACL中的 業(yè)務區(qū)域IP地址時��,該接入用戶的訪問允許通過����,否則����,會被ACL過濾掉。
步驟202:當4全測到用戶接入時��,根據(jù)接入用戶的域名查找對應的安全等級�。
步驟203:獲取查找到的安全等級對應的安全策略,并獲取查找到的安 全等級的下級安全等級對應的安全策略���。
步驟204:根據(jù)步驟203獲取的所有安全策略����,對接入用戶進行訪問控 制,從而允許符合安全策略的流量通過���,過濾掉不符合安全策略的流量���。
至此,本流程結束��。
本發(fā)明的技術方案可以應用于各種需要對用戶訪問進行差異控制的場 景��。下面對將該方案應用于圖1示出的組網(wǎng)環(huán)境為例進行詳細說明�。在實現(xiàn) 時,可以在LNS中設置域名的安全等級���,以及安全等級與安全策略的對應 關系���,在VPDN網(wǎng)絡中LNS可以為企業(yè)內(nèi)部網(wǎng)的接入路由器或防火墻設備。 在LNS檢測到用戶接入時���,獲取相應安全策略并進行訪問控制���。在實現(xiàn)時, 還可以利用企業(yè)內(nèi)部網(wǎng)中的認證服務器,在認證服務器上設置域名的安全等 級����,以及安全等級與安全策略的對應關系�����,在LNS 4全測到用戶接入時�,將 接入用戶的域名等信息發(fā)往認證服務器,由認證服務器獲取相應安全策略并返回給LNS,此時LNS根據(jù)認證服務器提供的安全策略并進行訪問控制�����。 圖3示出了具有認證服務器的VPDN組網(wǎng)示意圖����。其中,認證服務器為Radius 服務器����,LNS為企業(yè)內(nèi)部網(wǎng)的接入路由器。
圖4為在圖3示出的組網(wǎng)結構中使用本發(fā)明訪問控制方法的流程圖��。如 圖4所示�,該流程包括以下步驟
步驟401:在接入路由器上配置n個域名,n為大于或等于2的整數(shù)。 本步驟還在接入路由器上配置n個虛擬模板(VT )�����,不同VT配置不同的地 址池�。該步驟的設置域名和對應配置VT為常規(guī)操作。
步驟402:在Radius服務器上設置各域名的安全等級�,為每個安全等級 配置對應的安全策略和對應的下級安全等級。
本步驟中����,為每個安全等級配置的下級安全等級為所有下級安全等級的 全部或一部分。假設�,安全等級共分為5等,從高到底分別為安全等級1�、
2、 3���、 4���、 5。其中���,為安全等級1配置對應的下級安全等級為安全等級2���、
3���、 4和5,或者為安全等級1配置對應的下級安全等級為安全等級2和5��。 如果沒有配置下級安全等級�,可以認為是缺省配置����,即認為為安全等級l配 置的下級安全等級為安全等級2、 3����、 4和5。
步驟403:接入路由器斗企測到用戶接入時�,獲取4妻入用戶的用戶名、密 碼和域名���。本步驟中還進行常規(guī)的獲取接入用戶域名對應的VT的4喿作��。
步驟404:接入路由器將接入用戶的用戶名�、密碼和域名上送到Radius 服務器進行身份認證�����。
步驟405: Radius服務器對接收的用戶名、密碼和域名進行認證��。若認 證失敗�����,則在步驟409中通知接入路由器不允許用戶接入����,結束本流程;如 果認證成功�����,則執(zhí)行步驟406�。
步驟406: Radius服務器根據(jù)接收的域名查找對應的安全等級,根據(jù)步 驟402的配置�,獲取查找到的安全等級對應的安全策略和對應的下級安全等 級,獲耳又所述各對應的下級安全等級對應的安全策略��。
步驟407: Radius服務器通知接入路由器允許用戶接入�����,并下發(fā)在步驟
10406中獲取的所有安全策略給接入路由器的接入口 。
步驟408:接入路由器根據(jù)Radius服務器下發(fā)的安全策略對接入用戶進 行訪問控制���。這些下發(fā)的安全策略在接入用戶斷開時刪除�。
本步驟中���,接入路由器收到Radms服務器下發(fā)的安全策略后����,首先為 通過radius服務器認證的接入用戶創(chuàng)建會話�����,將Radius服務器下發(fā)的安全 策略與創(chuàng)建的會話綁定�����。如前所述���,安全策略記錄對應安全等級允許訪問的 業(yè)務區(qū)域的TP地址,那么�,當接入用戶通過為其建立的會話訪問業(yè)務區(qū)域 時,如果接入用戶所訪問的目的地址在綁定的安全策略中���,則允許訪問�,否 則接入用戶的訪問將被安全策略過濾掉,從而保證業(yè)務區(qū)域的安全性��。
本流程結束�����。
根據(jù)圖4示出的流程�����,本實施例在步驟402中為每個安全等級配置對應 的下級安全等級��,在獲取下級安全等級時�����,可以根據(jù)該配置獲取相應的下級 安全等級����,該相應的下級安全等級可以是所有下級安全等級中的全部或一部 分,完全取決于配置情況��。當某個安全等級的用戶允許訪問的業(yè)務區(qū)域變更 時����,只需修改該安全等級與下級安全等級的對應關系���,即可方便、快速地實 現(xiàn)業(yè)務區(qū)域變更����。同理,當某個業(yè)務區(qū)域的地址變化時�,只需修改該業(yè)務區(qū) 域對應的安全策略,該修改自動適應到所有的安全等級中��。
下面針對圖4示出的流程舉兩個實例��。首先����,假設用戶A使用域名A, 域名A對應的安全等級A沒有下級安全等級��,安全等級A直接對應安全策 略A,安全策略A控制用于允許訪問業(yè)務區(qū)域A;用戶B使用域名B,域 名B對應的安全等級B高于安全等級A,安全等級B直接對應安全策略B�����, 安全策略B控制用戶允許訪問業(yè)務區(qū)域B���。
參見圖5���,先針對用戶A接入時的處理進行描述�。用戶A采用域名A 接入到接入路由器上(見①號路徑)���,接入路由器確定域名A的對應VT為 VT ( A)��,并且將用戶A的用戶名���、密碼和域名上送到Radius服務器進行 身份認證(見②號路徑);Radius服務器對用戶名���、密碼和域名進行認證����, 若認證失敗則通知接入路由器不允許用戶A接入����,若認證成功則Radius月l務器根據(jù)域名獲取用戶A的安全等級A,并取得相應的安全策略��。由于安全 等級A沒有下級安全等級,因此獲取的安全策略為直接對應安全等級A的 安全策略A�。 Radius服務器通知接入路由器允許用戶接入,并下發(fā)獲取的安 全策略A給接入路由器的接入口 (見②號路徑)�����。下發(fā)的安全策略A允許 用戶A訪問業(yè)務區(qū)域A����。除此之外,不能訪問其他的業(yè)務區(qū)域���。當用戶A 訪問業(yè)務區(qū)域A(見③號路徑)時�����,流量經(jīng)過接入路由器時受到安全策略的 過濾�����,允許通過�。當用戶A訪問業(yè)務區(qū)域B (見④號路徑)時��,流量經(jīng)過接 入路由器時受到安全策略的過濾��,不允許通過�����。
下面參見圖6��,再針對用戶B接入時的處理進行描述�����。用戶B采用域名 B接入到接入路由器上(見①號路徑)�,接入路由器確定域名B的對應VT 為VT ( B ),并且將用戶B的用戶名、密碼和域名上送到Radius服務器進 行身份認證(見②號路徑)��;Radius服務器對用戶名�����、密碼和域名進行認證���, 若認證失敗則通知接入路由器不允許用戶接入�,若認證成功則Radius服務 器根據(jù)域名獲取用戶的安全等級B�����,并取得相應的安全策略。由于安全等級 B的下級安全等級包括安全等級A,因此����,獲取的安全策略不僅包括直接對 應于安全等級B的安全策略B,還包括直接對應于安全等級A的安全策略A。 Radius服務器通知接入路由器允許用戶接入�,并下發(fā)獲取的所有安全策略A 和B給接入路由器的接入口 (見②號路徑)。下發(fā)的安全策略B允許用戶B 訪問業(yè)務區(qū)域B�����,安全策略A允許用戶B訪問業(yè)務區(qū)域A�。當用戶B訪問 業(yè)務區(qū)域A (見③號路徑)時,流量經(jīng)過接入路由器時受到安全策略的過濾���, 允許通過�。當用戶B訪問業(yè)務區(qū)域B(見④號路徑)時�����,流量經(jīng)過接入路由 器時受到安全策略的過濾����,允許通過。
本發(fā)明的重點在于如何控制當前接入用戶所訪問的業(yè)務區(qū)域����,上述實施 例在確定允許訪問的業(yè)務區(qū)域后,采用下發(fā)所獲取安全策略的形式控制用戶 訪問權限�,使其只能訪問所確定的業(yè)務區(qū)域。在實際中��,并不限定具體實現(xiàn) 方式�,只要將當前接入用戶的訪問權限限制在所確定的業(yè)務區(qū)域范圍即可。
為了實現(xiàn)上述訪問控制方法��,本發(fā)明還提供了一種接入用戶的訪問控制
12系統(tǒng)����。圖7為本發(fā)明實施例中接入用戶的訪問控制系統(tǒng)的結構示意圖。如圖
7所示���,該系統(tǒng)包括設置單元71�、接入檢測單元72����、業(yè)務區(qū)域確定單元73 和訪問控制單元74。其中���,
設置單元71���,用于設置域名的安全等級���,為各安全等級設置對應的業(yè) 務區(qū)域。其中����,較佳地,為不同安全等級對應設置互不重疊的業(yè)務區(qū)域��。在 一個實施例中�,為各安全等級設置對應的業(yè)務區(qū)域為為各安全等級設置對 應的安全策略;安全策略記錄對應安全等級允許訪問的業(yè)務區(qū)域IP地址�。
接入檢測單元72,用于在檢測到用戶接入時�����,通知業(yè)務區(qū)域確定單元73����。
業(yè)務區(qū)域確定單元73,用于在接收到接入檢測單元72的通知時,根據(jù) 設置單元71設置的信息���,確定接入用戶的域名所屬安全等級����,獲取所確定 安全等級對應的業(yè)務區(qū)域,較佳地����,同時獲取所確定安全等級的下級安全等 級對應的業(yè)務區(qū)域����;將獲取的所有業(yè)務區(qū)域信息發(fā)送給訪問控制單元74。
該業(yè)務區(qū)域確定單元73在獲取所確定安全等級的下級安全等級對應的 業(yè)務區(qū)域時���,獲取所確定安全等級的所有下級安全等級對應的業(yè)務區(qū)域�;或 者���,根據(jù)預先針對各安全等級配置的下級安全等級����,獲取所確定安全等級的 預設下級安全等級��,再根據(jù)獲取的下級安全等級獲取對應的業(yè)務區(qū)域�。其中, 安全等級與下級安全等級的對應關系可以配置在設置單元71中����,也可以保 存在業(yè)務區(qū)域確定單元73中�。
訪問控制單元74�����,用于根據(jù)接收的業(yè)務區(qū)域信息����,控制接入用戶訪問 業(yè)務區(qū)域信息指示的業(yè)務區(qū)域。
在VPDN中����,上述設置單元71、接入;f全測單元72����、業(yè)務區(qū)域確定單元 73和訪問控制單元74可以均設置在圖3示出的LNS中。在另一個實施例中���, 參見圖7的虛線框���,上述設置單元71和業(yè)務區(qū)域確定單元73設置在圖3示 出的Radius服務器中,或者設置在獨立存在的認證服務器中�;上述接入檢 測單元72和訪問控制單元74設置在圖3示出的LNS中����。
綜上所述����,以上僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍�。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換����、改 進等,均應包含在本發(fā)明的保護范圍之內(nèi)�。
權利要求
1���、一種接入用戶的訪問控制方法����,其特征在于���,該方法包括設置域名的安全等級�����,為各安全等級設置對應的業(yè)務區(qū)域�;當檢測到用戶接入時�,確定接入用戶的域名所屬安全等級,獲取所確定安全等級對應的業(yè)務區(qū)域����;將獲取的業(yè)務區(qū)域作為所述接入用戶允許訪問的業(yè)務區(qū)域,對接入用戶進行訪問控制��。
2�����、 如權利要求l所述的方法����,其特征在于,不同安全等級對應的業(yè)務區(qū)域不重疊���。
3����、 如權利要求l所述的方法,其特征在于�,所述為各安全等級設置對應的 業(yè)務區(qū)域為為各安全等級設置對應的安全策略,所述安全策略記錄對應安全 等級允許訪問的業(yè)務區(qū)域地址�����。
4���、 如權利要求l所述的方法�����,其特征在于,在虛擬私有撥號網(wǎng)中�,域名的 安全等級以及安全等級與業(yè)務區(qū)域的對應關系,均設置在認證服務器上���;所述當檢測到用戶接入時��,確定接入用戶的域名所屬安全等級�����,獲取所確 定安全等級對應的業(yè)務區(qū)域����,包括虛擬私有撥號網(wǎng)中的第二層隧道協(xié)議網(wǎng)絡服務器LNS檢測到用戶接入時, 向認證服務器發(fā)送接入用戶的域名����;所述認證服務器確定接入用戶的域名所屬安全等級,獲取所確定安全等級 對應的業(yè)務區(qū)域�,將獲取的業(yè)務區(qū)域信息發(fā)送給所述LNS的接入口;所述對接入用戶進行訪問控制為所述LNS根據(jù)接收的業(yè)務區(qū)域信息��,控 制所述接入用戶訪問所述業(yè)務區(qū)域信息指示的業(yè)務區(qū)域�。
5、 如權利要求1或2或3或4所述的方法�����,其特征在于��,所述獲取所確定 安全等級對應的業(yè)務區(qū)域時����,進一步包括同時獲取所確定安全等級的下級安 全等級對應的業(yè)務區(qū)域。
6�、 如權利要求5所述的方法,其特征在于,所述所確定安全等級的下級安全等級為所述所確定安全等級的所有下級安全等級���,或者為預先針對所述所確 定安全等級配置的下級安全等級���。
7、 一種接入用戶的訪問控制系統(tǒng)��,其特征在于�����,該系統(tǒng)包括設置單元����、接 入沖全測單元、業(yè)務區(qū)域確定單元和訪問控制單元�����;所述設置單元��,用于設置域名的安全等級���,為各安全等級設置對應的業(yè)務 區(qū)域;所述接入4企測單元,用于在檢測到用戶接入時�����,通知業(yè)務區(qū)域確定單元�; 所述業(yè)務區(qū)域確定單元,用于在接收到所述接入檢測單元的通知時�����,根據(jù) 所述設置單元設置的信息��,確定所述接入用戶的域名所屬安全等級��,獲取所確 定安全等級對應的業(yè)務區(qū)域����;將獲取的業(yè)務區(qū)域信息發(fā)送給所述訪問控制單元; 所述訪問控制單元��,用于根據(jù)接收的業(yè)務區(qū)域信息��,控制所述接入用戶訪 問所述業(yè)務區(qū)域信息指示的業(yè)務區(qū)域�����。
8、 如權利要求7所述系統(tǒng)�����,其特征在于��,所述業(yè)務區(qū)域確定單元進一步用 于���,在獲取所確定安全等級對應的業(yè)務區(qū)域的同時����,獲取所確定安全等級的所 有下級安全等級對應的業(yè)務區(qū)域���,或者根據(jù)預先針對所述所確定安全等級配置 的下級安全等級�,獲取對應的業(yè)務區(qū)域��。
9���、 如權利要求7所述系統(tǒng)�,其特征在于�����,所述設置單元為不同安全等級對 應設置互不重疊的業(yè)務區(qū)域�����。
10�����、 如權利要求7所述系統(tǒng)���,其特征在于�,所述設置單元為各安全等級設 置對應的業(yè)務區(qū)域為為各安全等級設置對應的安全策略�;所述安全策略記錄 對應安全等級允許訪問的業(yè)務區(qū)域地址。
11����、 如權利要求7或8或9或IO所述系統(tǒng),其特征在于�,在虛擬私有撥號 網(wǎng)中,所述設置單元和所述業(yè)務區(qū)域確定單元設置在認證服務器中�;所述接入 檢測單元和所述訪問控制單元設置在LNS中。
全文摘要
本發(fā)明公開了一種接入用戶的訪問控制方法���,該方法包括設置域名的安全等級�,為各安全等級設置對應的業(yè)務區(qū)域;當檢測到用戶接入時��,確定接入用戶的域名所屬安全等級��,獲取所確定安全等級對應的業(yè)務區(qū)域�;將獲取的業(yè)務區(qū)域作為所述接入用戶允許訪問的業(yè)務區(qū)域,對接入用戶進行訪問控制���。本發(fā)明還公開了一種接入用戶的訪問控制系統(tǒng)����。使用本發(fā)明能夠對接入用戶的訪問權限進行區(qū)分���,以滿足網(wǎng)絡的安全性要求���。
文檔編號H04W12/00GK101448264SQ20081024049
公開日2009年6月3日 申請日期2008年12月22日 優(yōu)先權日2008年12月22日
發(fā)明者蔚 李 申請人:杭州華三通信技術有限公司