[发明专利]一种基于终端信息进行权限控制的方法及装置

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种在802.1X接入认证管理过程中基于终端信息进行接入访问权限控制的方法及装置。

背景技术

随着通信技术的发展，接入网络中的终端设备也越来越多样化。即包括固定在办公场所内的终端设备（例如：PC机），也包括可以自由移动的终端设备（例如：员工随身携带的手机、平板电脑等）。出于安全考虑，企业通常需要对这些不同类型的终端设备在接入网络时授予不同的访问权限。比如：只授予办公场所内固定的终端设备能够访问公司网络，而禁止移动通信终端设备访问公司网络（之所以有这样的需求是因为固定在办公场所内的PC机可以通过安装检测软件等手段达到安全控制的目的，但对于移动终端来说这样的控制很难）。

为了满足企业的上述需求，现有的解决方案是：事先在radius服务器上手工设置对应的终端信息，然后根据终端的用户名、IP地址、MAC地址等信息进行相应的接入控制。但这对于海量的终端设备来说，这种预防式接入控制显得捉襟见肘，且维护量很大。另外，接入控制的终端信息类型仅限于用户名、IP地址、MAC地址，控制的方式比较单一，无法区分是移动终端还是固定接入终端（例如PC机），这给企业的内部网络安全带来隐患。

发明内容

有鉴于此，本发明提供一种基于终端信息进行权限控制的方法及装置，可以解决现有技术方案中存在的问题与不足。

本发明是通过如下技术方案实现的：

一种基于终端信息进行权限控制的装置，应用于802.1X认证网络环境中，所述网络环境中还包括有待认证的用户终端、接入设备、Radius服务器等，所述装置包括有：配置单元、查询单元、解析单元以及权限控制单元，其中，

配置单元，用于根据事先设定的策略，基于终端信息配置用户终端设备相应的接入访问权限；

查询单元，用于在接收到接入设备发送的Radius认证请求信息时，查找Radius服务器上本地数据库中是否保存用户终端的终端信息，以便确定该用户终端是否为首次发送认证请求；

解析单元，用于在用户终端首次发起802.1X认证时，解析获取该用户终端的终端信息，并将之保存在所述Radius服务器本地数据库中；

权限控制单元，用于当查询单元在所述Radius服务器本地数据库中查找到用户终端的终端信息后，根据事先配置的基于终端信息对应的访问策略，对该用户终端开放相应的访问权限。

本发明同时提供一种基于终端信息进行权限控制的方法，应用于802.1X认证网络环境中，所述网络环境中包括有待认证的用户终端、接入设备、Radius服务器，其中，所述方法包括：

步骤1，用户终端发起802.1x认证，接入设备接收到该认证请求后，向Radius服务器发起Radius认证请求；

步骤2、Radius服务器接收到接入设备的Radius认证请求后，查找本地数据库是否保存有该用户终端的终端信息，进而判断该用户终端是否为首次发送认证请求，如果是，则进入步骤3，否则进入步骤4；

步骤3、解析获取该用户终端的终端信息，并将之保存在所述Radius服务器本地数据库中；

步骤4，根据事先配置的基于终端信息对应的访问策略，对该用户终端开放相应的访问权限。

与现有的技术相比，本发明在基于用户名、IP地址、MAC地址等信息接入控制的基础上，增加生产厂商、终端类型（例如PC或者移动终端）、操作系统类型等终端信息的接入控制，大大地提高了企业内部网络访问的安全性。

附图说明

图1是本发明基于终端信息进行权限控制的装置示例性结构示示意图；

图2是本发明基于终端信息进行权限控制的示例性方法流程示意图。

具体实施方式

为了实现本发明的目的，本发明通过对现有802.1x认证方式进行扩展，在遵循原有802.1x协议基础上，增加终端的生产厂商、设备类型、操作系统类型信息获取环节，进而根据所获取的该终端的生产厂商、设备类型和/或操作系统类型信息进行终端设备的访问权限控制。