[发明专利]一种接入方法、网络系统和装置

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种接入方法、网络系统和装置。 

背景技术

TNC(Trusted Network Connect，可信网络连接)标准定义了一个开放的架构，使网络运营者能够实施与端点安全状态相关的策略，以决定是否允许该端点接入网络。TNC架构中的实体有AR(Access Requestor，接入请求者)、PEP(Policy Enforcement Point，策略执行点)、流量控制器和传感器、MAP(Metadata Access Point，元数据访问点)和PDP(Policy DecisionPoint，策略决策点)。当AR请求接入一个受保护的网络，PDP把AR的信任状(如用户证书，密码等)和关于自身安全状态的信息与特定的网络接入策略相对比，然后决定是否网络接入应该授权给AR。如果一个PEP是存在的，那么PDP将该PCP的决策传给PEP，PEP负责同意或拒绝接入。 

FTNC(Federated Trusted Network Connect，联合可信网络连接)定义了ASD(Asserting Security Domain，断言安全域)与RSD(Relying SecurityDomain，依赖安全域)之间交互的消息，当端点要访问的网络域RSD无法或无权评估端点的状态时，需要通过拥有评估端点权限的网络域ASD(AssertingSecurity Domain，断言安全域)来间接评估端点。 

现有技术中，FTNC分为“Network Assessment Profile”和“Web AssessmentProfile”两种模式，Network Assessment Profile模式允许网络运营者根据端点的安全状态信息对端点接入网络出接入控制。 

认证期间，SP(Service Provider，服务提供者)必须给ASD的Radius服务器发送RADIUS Access-Request消息，并且消息里面可以包含属性请求者和IF-FTNC协议版本等属性信息。

ASD的Radius服务器成功认证端点身份后，必须向SP返回RadiusAccess-Accept消息，该消息里包含端点的Name ID、端点的属性权威和IF-FTNC协议版本等属性信息。SP向端点的SAML(Security Assertion MarkupLanguage，安全断言标记语言)属性权威请求断言。在获得断言之后，SP依据获取的断言，对端点访问网络做出合适的授权。 

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：现有技术在端点向网络发送接入请求时，被请求接入的网络并不能判断端点属于哪个ASD，缺乏一个统一的用来识别端点ASD的机制，在当今各类网络互通、融合的趋势下，会对该技术的可行性造成一定影响。 

发明内容

本发明实施例提供一种接入方法、网络系统和装置，以实现根据端点的身份标识，确定端点的安全域，进行接入。 

为达到上述目的，本发明实施例一方面提供一种接入方法，包括： 

接收来自端点的身份标识，所述身份标识中包括所述端点的安全域信息； 

根据所述端点的安全域信息，获取所述端点的安全状态； 

根据所述端点的安全状态，对所述端点做出合适的访问控制决策。 

另一方面，本发明实施例还提供一种接入方法，包括： 

向服务提供者发送端点的身份标识，所述身份标识中包括所述端点的安全域信息，以使所述服务提供者根据所述端点的安全域信息，获取所述端点的安全状态，根据所述端点的安全状态，对所述端点做出访问控制决策。 

另一方面，本发明实施例还提供一种网络系统，包括： 

端点，用于向服务提供者发送身份标识，所述身份标识中包括所述端点的安全域信息； 

服务提供者，用于接收来自所述端点的身份标识，根据所述端点的安全域信息，获得所述端点的安全状态，根据所述端点的安全状态，对所述端点做出合适的访问控制决策。 

再一方面，本发明实施例还提供一种服务提供者，包括： 

接收模块，用于接收来自端点的身份标识，所述身份标识中包括所述端点的安全域信息； 

获取模块，用于根据所述端点的安全域信息，获取所述端点的安全状态； 

决策模块，用于根据所述获取模块获取的安全状态，对所述端点做出合适的访问控制决策。