[发明专利]一种基于漫游的认证方法及装置

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种基于漫游的认证方法及装置。 

背景技术

随着社会信息化步伐的不断提速，网络应用不断普及与深入，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全设施也日渐成为企业网建设的重中之重。在企业中，新的安全成胁不断涌现(例如，病毒和蠕虫日益肆虐)，对企业网的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪等问题，使企业蒙受了严重损失。为了保证企业网中终端的安全状态符合企业的安全策略，NAC(NetworkAccess control，网络接入控制)技术为企业提供了一个相对完整的网络安全解决方法，例如，H3C公司的EAD(End user Admission Domination，终端准入控制)解决方案，该方案从企业网的终端入手，强制终端实施企业的安全策略，从而加强企业网终端的主动防御能力，大幅度提高了企业网的整体安全。其中，EAD方案主要解决了终端接入网络时的身份认证和安全检查问题，通过使用扩展的Portal协议或802.1X协议进行身份认证和安全检查，在安全检查阶段对不符合企业安全策略的终端进行强制修复，例如强制升级病毒库、系统补丁等。 

具体的，集团或大企业的网络规模巨大，往往需要跨地域部署，网络分为集团总部和数量众多的分支机构，总部和分支机构的网络通过租用运营商的广域网线路来实现互联，如图1所示的网络示意图。其中，根据网络部署模式、企业网络规模和组网的不同，网关部署在网络Internet出口(或分支机构对于总部的入口)处，分别实现局域网范围的网络准入控制和广域网范围的网络准入控制；进一步的，路由器部署在企业网络Internet出口时，对于要访问Internet的终端用户进行安全检查，并将不符合安全策略的终端重定向到 本地的病毒服务器、补丁服务器或者文件服务器进行修复，在修复后再重新进行认证，认证通过后可以正常使用网络。 

现有技术中，为了方便集团或大企业的统一管理，认证服务器、补丁服务器、病毒服务器等通常放在企业的总部中，而将EAD控制点部署于分支机构的出口处。当终端用户在企业网内部发生漫游时，现有的组网方式对终端用户进行安全检查时，不能满足终端用户的接入需求。例如，北京的终端用户到上海出差时，需要遵守上海的安全策略，而在上海的接入设备上，不会针对该北京的终端用户进行特殊处理，当终端用户通过接入设备接入网络时，认证服务器将会采用北京的安全策略对该终端用户进行安全检查，不会采用海的安全策略进行安全检查。 

为了解决上述问题，终端用户(例如，北京的终端用户)在漫游时(例如，漫游到上海)，需要重新申请上海的账户，或在总部的认证服务器上为该终端用户配置上海的安全策略，当终端用户离开时在取消在上海的安全策略。显然的，上述两种解决方法对经常存在终端用户漫游的大型企业网络不具有可部署的特性。 

进一步的，通过在漫游城市(例如，上海)的接入设备上配置终端用户(例如，北京的终端用户)的归属域，当该终端用户通过该接入设备接入网络时，在总部的认证服务器可以为该终端用户配置上海的安全策略；但是由于漫游到上海接入设备的终端用户会很多，而且是随时发生变化的，使得在接入设备上的配置工作量会很大，而且会出现错误。 

发明内容

本发明提供一种基于漫游的认证方法及装置，以在终端漫游时进行身份认证和安全认证。 

为了达到上述目的，本发明提出了一种基于漫游的认证方法，应用于包括认证服务器、安全策略服务器、接入设备和漫游终端的系统中，所述认证服务器用于对所述漫游终端进行身份认证，所述安全策略服务器用于对所述漫游终端进行安全认证，所述接入设备为所述漫游终端漫游地的接入设备， 所述方法包括以下步骤： 

所述接入设备接收来自所述漫游终端的认证请求，所述认证请求中携带了所述漫游终端的归属域标识； 

所述接入设备在所述认证请求中添加所述漫游终端的漫游域标识，并将修改后的认证请求发送给所述认证服务器；由所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证； 

所述接入设备接收来自所述认证服务器的认证结果，并将所述认证结果发送给所述漫游终端。 

优选的，所述认证服务器根据所述修改后的认证请求对所述漫游终端进行身份认证具体包括： 

所述认证服务器根据所述认证请求获取所述漫游终端的归属域标识和漫游域标识； 

所述认证服务器根据所述归属域标识对应的归属域信息对所述漫游终端进行身份认证。