[发明专利]终端访问的控制方法、系统和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种终端访问的控制方法、系统和设备。 

背景技术

在终端接入控制领域，通常采用网关来实现认证前域和认证后域的分隔以保护系统资源。其中，认证前域是指终端认证通过前能够访问的区域；该区域通常放置认证服务器、补丁服务器、防病毒服务器等系统资源，使终端能够访问并通过这些服务器实现安全修复，以便能够通过认证并访问认证后域中需要访问的资源。认证后域是指终端认证通过后能够访问的区域；该区域通常放置需要被保护的系统资源。终端只有在被授权后，才能访问认证后域的资源。因此需要在低成本的情况下，实现认证前域和认证后域的分隔。 

现有技术中提供了通过软件方式实现接入控制的方法，例如采用ARP(Address Resolution Protocol，地址解析协议)欺骗的方式：当用户认证通过后，则可以访问网络；对于没有认证通过的终端，则无法正常访问网络。 

发明人在实现本发明的过程中，发现现有技术中存在以下问题： 

该方法只能实现接入控制的开关功能，即没有通过认证前不能访问网络；通过认证之后，就能访问网络的所有资源。但是对于网络中有多种不同的网络资源，对于不同的网络资源需要根据不同用户的授权权限来区别是否可以访问时，现有技术中的方法无法满足用户的需要。 

发明内容

本发明的实施例提供一种终端访问的控制方法、系统和设备，用于对不同终端接入后的访问权限进行控制。 

本发明的实施例提供一种终端访问的控制方法，包括： 

接收网络侧服务器发送的策略配置，所述策略配置由所述网络侧服务器在终端接入网络时进行认证后，根据终端身份的授权范围生成； 

根据所述策略配置修改本地设置； 

根据修改的本地设置对终端的访问权限进行控制，具体包括：对终端访问的控制由位于终端上的代理功能实现，所述代理根据所述网络侧服务器下发的控制规则对终端能够访问的区域进行控制，在终端与接入认证服务器的认证通过前，根据代理本地预设的缺省控制规则，终端只能访问网络侧服务器所在的区域，即认证前域；终端与网络侧服务器的认证通过后，所述网络侧服务器根据终端身份的授权范围，下发相应的策略配置给终端的代理，在代理的控制下，终端就能够访问被授权的业务资源，即被授权的认证后域。 

本发明的实施例还提供一种终端访问的控制系统，包括： 

至少一个终端，所述终端上包括代理，所述代理用于接收网络侧服务器发送的策略配置，并根据接收的策略配置修改本地设置以对所述终端的访问权限进行控制，具体包括：对终端访问的控制由位于终端上的代理功能实现，所述代理根据所述网络侧服务器下发的控制规则对终端能够访问的区域进行控制，在终端与接入认证服务器的认证通过前，根据代理本地预设的缺省控制规则，终端只能访问网络侧服务器所在的区域，即认证前域；终端与网络侧服务器的认证通过后，所述网络侧服务器根据终端身份的授权范围，下发相应的策略配置给终端的代理，在代理的控制下，终端就能够访问被授权的业务资源，即被授权的认证后域； 

服务器，用于在所述终端接入网络时进行认证，根据终端身份的授权范围生成策略配置，并向所述终端上的所述代理发送所述策略配置。 

本发明的实施例还提供一种代理设备，包括： 

接收单元，用于接收服务器发送的策略配置，所述策略配置由网络侧服务器在终端接入网络时进行认证后，根据终端身份的授权范围生成； 

配置单元，用于根据所述接收单元接收的策略配置修改本地设置； 

控制单元，用于根据所述配置单元修改的本地设置，对终端的访问权限进行控制，具体包括：对终端访问的控制由位于终端上的代理功能实现，所 述代理根据所述网络侧服务器下发的控制规则对终端能够访问的区域进行控制，在终端与接入认证服务器的认证通过前，根据代理本地预设的缺省控制规则，终端只能访问网络侧服务器所在的区域，即认证前域；终端与网络侧服务器的认证通过后，所述网络侧服务器根据终端身份的授权范围，下发相应的策略配置给终端的代理，在代理的控制下，终端就能够访问被授权的业务资源，即被授权的认证后域。 

与现有技术相比，本发明的实施例具有以下优点： 

在需要对终端接入网络后的访问进行控制时，可以通过向终端上的代理下发策略配置的方法，使得代理根据该策略配置对终端的访问权限进行控制。从而实现了对不用终端的认证前域和认证后域简便灵活的划分，满足了多终端接入控制的要求。 

附图说明