[发明专利]一种接入策略管理方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种接入策略管理方法和设备。

背景技术

网络接入控制技术方案由安全策略服务器、AAA服务器、接入设备和接入终端软件等组成。接入终端接入网络时首先进行身份认证，并根据配置的接入规则信息，对用户进行授权、绑定等功能。由接入设备控制其只能访问一个受限的网络区域(称作“隔离区”)，然后进行安全认证，当安全策略服务器检测到该接入终端符合安全要求才解除其隔离限制，允许终端访问其他网络资源。

如图1所示，为现有技术中的一个网络接入控制技术方案的典型组网示意图。

现有技术根据不同接入位置区域(不同的接入设备和不同的客户端IP地址)进行不同的接入网络权限(设备侧接入权限控制，如ACL、VLAN等)的设置。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

对于接入来说，现有技术只是针对接入位置区域角度进行接入条件的区分，而对于授权来说，现有技术只是限制了设备侧的接入网络权限。

发明内容

本发明提供一种接入策略管理方法和设备，解决如何对待接入设备进行接入策略的灵活管理的问题。

为达到上述目的，本发明一方面提供了一种接入策略管理方法，具体包括以下步骤：

接入管理设备接收待接入设备所发送的接入请求，所述接入请求中携带所述待接入设备所对应的信息；

所述接入管理设备根据所述待接入设备所对应的信息查询所述待接入设备所满足的接入条件；

当所述接入管理设备确定所述待接入设备满足至少一个接入条件，且所述至少一个接入条件对应了多个接入策略时，所述接入管理设备根据所述多个接入策略所对应的优先级信息，确定对所述待接入设备应用优先级最高的接入策略或接入策略组合。

优选的，所述接入条件，具体包括以下信息的一项或多项：

接入位置区域信息；

用户侧信息；

设备侧信息；

接入时间信息。

优选的，所述接入位置区域信息，具体包括所述待接入设备所属的接入位置区域所对应的接入设备的标识信息，和/或所述待接入设备所对应的IP地址信息；

所述用户侧信息，具体包括所述待接入设备的MAC地址信息，和/或所述待接入设备所对应的无线SSID信息；

所述设备侧信息，具体包括所述待接入设备所属的接入位置区域所对应的接入设备的类型信息；

所述接入时间信息，具体包括所述待接入设备发送所述接入请求的时间信息。

优选的，所述接入策略，至少包括以下信息的一项或多项：

设备侧的授权信息；

服务器侧的授权信息；

所述待接入设备的功能限制；

预设的安全策略功能限制。

优选的，所述设备侧的授权信息，具体包括VLAN的授权信息，和/或预设的ACL信息；

所述服务器侧的授权信息，具体包括所述接入管理设备所绑定的属性信息；

所述待接入设备的功能限制，具体包括对所述待接入设备所对应的类型的设备的网络访问限制策略。

优选的，所述接入控制设备，具体为：

AAA认证服务器，和/或安全策略服务器。

优选的，所述接入管理设备根据所述多个接入策略所对应的优先级信息，确定对所述待接入设备应用优先级最高的接入策略或接入策略组合，具体包括：

当存在至少两个接入策略所对应的优先级信息相同时，所述接入管理设备确定对所述待接入设备应用所述至少两个接入策略所组成的接入策略组合。

另一方面，本发明还提供了一种接入管理设备，具体包括：

接收模块，用于接收待接入设备所发送的接入请求，所述接入请求中携带所述待接入设备所对应的信息；

查询模块，用于根据所述接收模块所接收到的所述待接入设备所对应的信息查询所述待接入设备所满足的接入条件；

确定模块，用于当所述查询模块确定所述待接入设备满足至少一个接入条件，且所述至少一个接入条件对应了多个接入策略时，根据所述多个接入策略所对应的优先级信息，确定对所述待接入设备应用优先级最高的接入策略或接入策略组合。

优选的，所述接入管理设备，具体为：

AAA认证服务器，和/或安全策略服务器。

优选的，所述确定模块，具体用于：

当所述查询模块查询到存在至少两个接入策略所对应的优先级信息相同时，确定对所述待接入设备应用所述至少两个接入策略所组成的接入策略组合。

与现有技术相比，本发明具有以下优点：