网络访问控制信息配置方法、装置及出口网关

摘要

本发明实施例提供的网络访问控制信息配置方法、装置及出口网关，属于数据通信领域。所述方法包括：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。本方法实现出口网关对通过该出口网关访问网络的用户终端进行细粒度网络访问控制，提升网络访问控制的灵活性、安全性。

说明书

技术领域

本发明涉及数据通信领域，具体而言，涉及一种网络访问控制信息配置方法、装置及出口网关。

背景技术

传统的802.1x在无线接入认证场景非常常见，它能够提供基于用户名和密码的校验，并解决用户上网的安全问题。在无线接入认证的场景中，一般出口网关不提供802.1x服务器端的功能，因此802.1x服务器端使用AC(Access Controller，访问控制器)做802.1x服务器，并由AC和AAA(Authentication,Authorization,Accounting，认证授权计费)服务器完成radius认证。而在无线接入认证的过程中，出口网关不参与到整个认证流程中，无法对用户终端的网络访问进行控制。

发明内容

有鉴于此，本发明实施例的目的在于提供一种网络访问控制信息配置方法、装置及出口网关，以实现在无线接入认证的场景中出口网关对用户终端的网络访问进行控制，提升网络访问控制的灵活性。

第一方面，本发明实施例提供了一种网络访问控制信息配置方法，所述方法包括：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

第二方面，本发明实施例提供了一种网络访问控制信息配置方法，应用于出口网关中，所述方法包括：所述出口网关接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息；所述出口网关对应存储所述用户终端特征信息以及所述目标网络访问控制信息；所述出口网关基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

第三方面，本发明实施例提供了一种网络访问控制信息配置装置，应用于接入认证设备，所述装置包括：信息接收单元，用于接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息；接入认证单元，用于基于所述用户账号信息进行接入认证；访问控制信息配置单元，用于如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

第四方面，本发明实施例提供了一种出口网关，所述出口网关包括：配置信息接收单元，用于接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息；配置信息存储单元，用于对应存储所述用户终端特征信息以及所述目标网络访问控制信息；访问控制单元，用于基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

本发明实施例提供的网络访问控制信息配置方法、装置及出口网关，通过接入认证设备在验证用户终端上传的用户账号信息后，查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，使得出口网关可以对应存储用户终端特征信息以及目标网络访问控制信息，以实现出口网关对通过该出口网关访问网络的用户终端进行网络访问控制，提升网络访问控制的灵活性。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的无线接入认证系统的结构框图；

图2为本发明实施例提供的一种网络访问控制信息配置方法的流程图；

图3为本发明实施例提供的另一种网络访问控制信息配置方法的时序图；

图4为本发明实施例提供的再一种网络访问控制信息配置方法的流程图；

图5为本发明实施例提供的一种网络访问控制信息配置装置的结构框图；

图6为本发明实施例提供的另一种网络访问控制信息配置装置的结构框图；

图7为本发明实施例提供的一种出口网关的结构框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，在基于802.1x无线接入认证系统中，包括无线接入设备110、接入认证设备120以及出口网关130。其中，无线接入设备110用于广播无线信号以便用户终端通过无线接入设备广播的无线信号接入到系统中。其中，无线接入设备110可以为AP(WirelessAccessPoin，无线访问接入点)等设备。接入认证设备120用于对接入到系统中的用户终端进行802.1x认证以及radius认证，接入认证设备120认证成功的用户终端可以通过出口网关130访问互联网。

请参阅图2，本发明实施例提供的一种网络访问控制信息配置方法，应用于无线接入认证系统中的接入认证设备，所述方法包括：

步骤S210：所述接入认证设备接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息。

当用户终端与无线接入设备建立无线连接后，通过接入认证设备的认证后，才能通过出口网关访问互联网。则用户终端需要先向无线接入设备发送接入认证请求，当无线接入设备接收到用户终端发送的接入认证请求后，再将该接入认证请求发送给接入认证设备。为了进行接入认证，在接入认证请求中携带有用户终端获取的用户账号信息，该用户账号信息包括用户预先注册获得的帐号以及密钥，用户终端特征信息包括用户终端的MAC(Medium/Media Access Control)地址以及IP(Internet Protocol)地址中的至少一个。

步骤S220：所述接入认证设备基于所述用户账号信息进行接入认证，如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

在接入认证设备中预先存储有已经注册用户的用户账号信息以及对应的网络访问控制信息。用户终端通过了当接入认证设备的认证后，接入认证设备则查找与用户终端发送的接入认证请求中携带的用户账号信息对应的目标网络访问控制信息。为了实现出口网关对该用户终端进行网络访问控制，接入认证设备需要再将用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

在本实施例中，作为一种实施方式，为了提升网络访问的效率以及灵活性，可以设置多个无线接入设备以及多个出口网关，并且不同的无线接入设备对应不同的出口网关，即用户终端接入无线接入认证系统时的无线接入设备不同，则最终访问互联网时的出口网关不同。则接入认证设备可以预先存储每个所述无线接入设备各自与出口网关的对应关系，以便在获取用户终端所连接的无线接入设备的标识信息后，查找与该无线接入设备的标识信息对应的出口网关，将所述用户终端特征信息以及目标网络访问控制信息，发送给与无线接入设备的标识信息对应的出口网关。其中，作为一种方式，接入认证设备可以预先对应存储无线接入设备和出口网关的IP地址，以实现无线接入设备和出口网关的对应。

在本实施例中如果认证失败，则向无线接入设备返回认证失败信息，以便无线接入设备将该认证失败信息返回给用户终端。

本发明实施例提供的网络访问控制信息配置方法，通过接入认证设备在验证用户终端上传的用户账号信息后，查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，实现出口网关对通过该出口网关访问网络的用户终端进行网络访问控制。

请参阅图3，本发明实施例提供的一种网络访问控制信息配置方法，应用于无线接入认证系统中的接入认证设备，在本实施例中无线接入设备包括访问控制器以及用于鉴权、授权以及记账的AAA服务器，所述方法包括：

步骤S310：所述访问控制器接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息。

步骤S320：所述访问控制器向所述AAA服务器发送携带所述用户账号信息的radius认证请求报文。

步骤S330：所述AAA服务器响应所述radius认证请求报文，基于所述用户账号信息进行接入认证。

步骤S340：如果认证成功，向所述访问控制器返回认证成功信息。

步骤S350：所述访问控制器响应所述认证成功信息，向所述AAA服务器发送携带所述用户终端特征信息的radius计费报文。

步骤S360：所述AAA服务器查询所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

其中，AAA服务器与出口网关可以通过公有的通信协议进行通信，也可以为了提升通信的安全性而采用私有协议进行通信。

本发明实施例提供的网络访问控制信息配置方法，通过扩展radius协议的方式，在访问控制器与AAA服务器经过多次交互验证用户终端上传的用户账号信息后，使AAA服务器查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，实现出口网关虽然没有参与用户终端的接入认证，但是依然可以对通过该出口网关访问网络的用户终端进行网络访问控制。

请参阅图4，本发明实施例提供的一种网络访问控制信息配置方法，应用于无线接入认证系统中的出口网关，所述方法包括：

步骤S410：所述出口网关接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息。

步骤S420：所述出口网关对应存储所述用户终端特征信息以及所述目标网络访问控制信息。

步骤S430：所述出口网关基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

需要说明的是，接入认证设备存储的网络访问控制信息包括多组网络访问控制策略，每组网络访问控制策略均包括网络带宽信息和/或访问控制列表。其中，网络带宽信息用于限定用户终端进行网络访问时的网络带宽，访问控制列表用于限定用户终端被允许访问的站点。

作为一种实施方式，网络访问控制策略可以先存储在接入认证设备上，再由接入认证设备发送用户终端特征信息时，一同发送给出口网关。当然，也可以将网络访问控制策略直接存储在出口网关上，仅在接入认证设备上存储每组网络访问控制策略的分组编号，出口网关根据接收到的分组编号来查询对应的网络访问控制策略，以便基于网络带宽信息和/或访问控制列表对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

本发明实施例提供的网络访问控制信息配置方法，通过接入认证设备在验证用户终端上传的用户账号信息后，查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，实现出口网关对通过该出口网关访问网络的用户终端进行细粒度的网络访问控制。

请参阅图5，本发明实施例提供的一种网络访问控制信息配置装置500，设置于无线接入认证系统中的接入认证设备，所述装置500包括：信息接收模块510、接入认证模块520以及访问控制信息配置模块530。

其中，信息接收模块510，用于接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息。

接入认证模块520，用于基于所述用户账号信息进行接入认证。

访问控制信息配置模块530，用于如果认证成功，查找预先存储的与所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

作为一种方式，所述无线接入设备有多个，所述出口网关有多个，所述无线认证设备预先存储有多个所述无线接入设备各自对应的出口网关；所述访问控制信息配置模块530，包括：

出口网关查找单元531，用于获取所述无线接入设备的标识信息，并查找与所述无线接入设备的标识信息对应的出口网关。

配置信息发送单元532，用于将所述用户终端特征信息以及所述目标网络访问控制信息，发送给与所述无线接入设备的标识信息对应的出口网关。

请参阅图6，本发明实施例提供的一种网络访问控制信息配置装置600，应用于无线接入认证系统，本实施例中所述接入认证设备包括访问控制器以及AAA服务器，所述装置600包括：请求处理单元610、接入认证单元620、计费控制单元630以及访问控制信息配置单元640。所述请求处理单元610以及所述计费控制单元630设置于所述访问控制器，所述接入认证单元620以及所述访问控制信息配置单元640设置于AAA服务器。

其中，所述请求处理单元610，用于接收所述无线接入设备转发的用户终端发送的接入认证请求，所述接入认证请求包括用户账号信息以及所述用户终端特征信息，向所述AAA服务器发送携带所述用户账号信息的radius认证请求报文；

所述接入认证单元620，用于响应所述radius认证请求报文，基于所述用户账号信息进行接入认证，如果认证成功，向所述访问控制器的信息接收单元返回认证成功信息；

所述计费控制单元630，用于响应所述认证成功信息，向所述AAA服务器发送携带所述用户终端特征信息的radius计费报文；

所述访问控制信息配置单元640，具体用于查询所述用户账号信息对应的目标网络访问控制信息，将所述用户终端特征信息以及所述目标网络访问控制信息发送给所述出口网关。

请参阅图7，本发明实施例提供的一种出口网关700，应用于无线接入认证系统，所述系统还包括无线接入设备以及接入认证设备，所述出口网关700包括：配置信息接收单元710、配置信息存储单元720以及访问控制单元730。

其中，配置信息接收单元710，用于接收所述接入认证设备发送的用户终端特征信息以及目标网络访问控制信息，所述目标网络访问控制信息为所述接入认证设备查找的与所述用户终端发送给所述接入认证设备的用户账号信息对应的网络访问控制信息。

配置信息存储单元720，用于对应存储所述用户终端特征信息以及所述目标网络访问控制信息。

访问控制单元730，用于基于所述目标网络访问控制信息对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

作为一种方式，出口网关上预先设置有多组网络访问控制策略，所述目标网络访问控制信息包括所述网络访问控制策略的分组编号。则配置信息存储单元720，用于对应存储所述用户终端特征信息以及所述分组编号。相应的，所述访问控制单元730可以用于查找与所述分组编号对应的目标网络访问控制策略，基于所述目标网络访问控制策略对所述用户终端的网络访问行为进行控制。

其中，所述网络访问控制信息可以包括网络带宽信息和/或访问控制列表，所述访问控制单元730，可以用于基于所述网络带宽信息和/或访问控制列表对通过所述出口网关进行网络访问的所述用户终端进行网络访问控制。

本发明实施例提供的网络访问控制信息配置方法、装置及出口网关，通过接入认证设备在验证用户终端上传的用户账号信息后，查找与该用户账号信息对应的目标网络访问控制信息，并将该目标网络访问控制信息以及用户终端特征信息发送给出口网关的方式，使得出口网关可以对应存储用户终端特征信息以及目标网络访问控制信息，以实现出口网关对通过该出口网关访问网络的用户终端进行细粒度的网络访问控制，提升网络访问控制的灵活性，同时也提升了系统的安全性，避免一些恶意的网络攻击。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。