技術領域

本發(fā)明涉及數(shù)據(jù)通信領域，尤其涉及一種在802.1X接入認證管理過程中基于終端信息進行接入訪問權限控制的方法及裝置。

背景技術

隨著通信技術的發(fā)展，接入網(wǎng)絡中的終端設備也越來越多樣化。即包括固定在辦公場所內(nèi)的終端設備（例如：PC機），也包括可以自由移動的終端設備（例如：員工隨身攜帶的手機、平板電腦等）。出于安全考慮，企業(yè)通常需要對這些不同類型的終端設備在接入網(wǎng)絡時授予不同的訪問權限。比如：只授予辦公場所內(nèi)固定的終端設備能夠訪問公司網(wǎng)絡，而禁止移動通信終端設備訪問公司網(wǎng)絡（之所以有這樣的需求是因為固定在辦公場所內(nèi)的PC機可以通過安裝檢測軟件等手段達到安全控制的目的，但對于移動終端來說這樣的控制很難）。

為了滿足企業(yè)的上述需求，現(xiàn)有的解決方案是：事先在radius服務器上手工設置對應的終端信息，然后根據(jù)終端的用戶名、IP地址、MAC地址等信息進行相應的接入控制。但這對于海量的終端設備來說，這種預防式接入控制顯得捉襟見肘，且維護量很大。另外，接入控制的終端信息類型僅限于用戶名、IP地址、MAC地址，控制的方式比較單一，無法區(qū)分是移動終端還是固定接入終端（例如PC機），這給企業(yè)的內(nèi)部網(wǎng)絡安全帶來隱患。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供一種基于終端信息進行權限控制的方法及裝置，可以解決現(xiàn)有技術方案中存在的問題與不足。

本發(fā)明是通過如下技術方案實現(xiàn)的：

一種基于終端信息進行權限控制的裝置，應用于802.1X認證網(wǎng)絡環(huán)境中，所述網(wǎng)絡環(huán)境中還包括有待認證的用戶終端、接入設備、Radius服務器等，所述裝置包括有：配置單元、查詢單元、解析單元以及權限控制單元，其中，

配置單元，用于根據(jù)事先設定的策略，基于終端信息配置用戶終端設備相應的接入訪問權限；

查詢單元，用于在接收到接入設備發(fā)送的Radius認證請求信息時，查找Radius服務器上本地數(shù)據(jù)庫中是否保存用戶終端的終端信息，以便確定該用戶終端是否為首次發(fā)送認證請求；

解析單元，用于在用戶終端首次發(fā)起802.1X認證時，解析獲取該用戶終端的終端信息，并將之保存在所述Radius服務器本地數(shù)據(jù)庫中；

權限控制單元，用于當查詢單元在所述Radius服務器本地數(shù)據(jù)庫中查找到用戶終端的終端信息后，根據(jù)事先配置的基于終端信息對應的訪問策略，對該用戶終端開放相應的訪問權限。

本發(fā)明同時提供一種基于終端信息進行權限控制的方法，應用于802.1X認證網(wǎng)絡環(huán)境中，所述網(wǎng)絡環(huán)境中包括有待認證的用戶終端、接入設備、Radius服務器，其中，所述方法包括：

步驟1，用戶終端發(fā)起802.1x認證，接入設備接收到該認證請求后，向Radius服務器發(fā)起Radius認證請求；

步驟2、Radius服務器接收到接入設備的Radius認證請求后，查找本地數(shù)據(jù)庫是否保存有該用戶終端的終端信息，進而判斷該用戶終端是否為首次發(fā)送認證請求，如果是，則進入步驟3，否則進入步驟4；

步驟3、解析獲取該用戶終端的終端信息，并將之保存在所述Radius服務器本地數(shù)據(jù)庫中；

步驟4，根據(jù)事先配置的基于終端信息對應的訪問策略，對該用戶終端開放相應的訪問權限。

與現(xiàn)有的技術相比，本發(fā)明在基于用戶名、IP地址、MAC地址等信息接入控制的基礎上，增加生產(chǎn)廠商、終端類型（例如PC或者移動終端）、操作系統(tǒng)類型等終端信息的接入控制，大大地提高了企業(yè)內(nèi)部網(wǎng)絡訪問的安全性。

附圖說明

圖1是本發(fā)明基于終端信息進行權限控制的裝置示例性結(jié)構(gòu)示示意圖；

圖2是本發(fā)明基于終端信息進行權限控制的示例性方法流程示意圖。

具體實施方式

為了實現(xiàn)本發(fā)明的目的，本發(fā)明通過對現(xiàn)有802.1x認證方式進行擴展，在遵循原有802.1x協(xié)議基礎上，增加終端的生產(chǎn)廠商、設備類型、操作系統(tǒng)類型信息獲取環(huán)節(jié)，進而根據(jù)所獲取的該終端的生產(chǎn)廠商、設備類型和/或操作系統(tǒng)類型信息進行終端設備的訪問權限控制。