[发明专利]一种安全策略服务器的地址获取方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种安全策略服务器的地址获取方法和设备。

背景技术

802.1X协议是一种基于端口的网络接入控制协议，广泛用于解决以太网内客户端的安全认证和安全接入问题。所谓“基于端口的网络接入控制”是指在局域网接入设备的端口这一级别对接入的客户端进行认证和控制，连接到接入设备的端口上的客户端只有通过802.1X认证，才能访问局域网中的资源。

常规的802.1X认证包括以下主要过程：(1)客户端或接入设备发起802.1X认证请求；(2)远端用户拨号认证服务(Remote Authentication Dial in User Service，简称：RADIUS)服务器接收认证请求，并返回认证结果；(3)接入设备通过认证，打开受控端口；(4)认证包丢失重传；(5)重新认证；(6)退出已认证态，即客户端“下线”。

而在企业网络中，为了增强网络安全性，除了通过802.1X认证服务器对客户端的用户身份进行认证外，还可以通过安装在客户端上的802.1X安全接入软件对客户端执行安全策略，如是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等，来检查客户端的系统环境是否满足安全条件，只有满足安全条件的客户端才被允许访问局域网中的资源，不满足安全条件的客户端将被隔离或被阻止接入局域网。由于企业实施的安全策略会发生变化，因此客户端上的802.1X安全接入软件需要连接到存放安全策略的安全策略服务器获取和升级安全策略。

通常是将安全策略服务器的IP地址定制到802.1X安全接入软件的安装包 中；客户端在认证通过后，通过802.1X安全接入软件中内置的安全策略服务器的IP地址，连接安全策略服务器。但是，不同的网络区域，客户端需要连接到不同的安全策略服务器，这样就需要为每个网络区域分别定制不同的802.1X安全接入软件的安装包，并且针对不同的网络区域分发安装包，实施上比较复杂，也容易出错。

发明内容

本申请提供一种安全策略服务器的地址获取方法和设备，使得客户端可以更简便、灵活地获取安全策略服务器的地址。

第一方面，提供了一种安全策略服务器的地址获取方法，RADIUS服务器接收接入设备转发的客户端的认证请求；在对所述客户端认证通过之后，所述RADIUS服务器获取所述接入设备的地址；所述RAIDUS服务器向管理服务器发送地址查询请求，所述地址查询请求中包括所述接入设备的地址；所述RADIUS服务器接收所述管理服务器响应所述地址查询请求返回的地址查询响应，所述地址查询响应中包括与所述接入设备的地址对应的安全策略服务器的地址；所述RADIUS服务器向所述客户端发送认证交互报文，所述认证交互报文中包括所述安全策略服务器的地址，以使所述客户端从所述认证交互报文中获取所述安全策略服务器的地址。

这样，通过将安全策略服务器的地址存放在RADIUS服务器发往客户端的认证交互报文中，使得客户端能够简便地从接收的认证交互报文中获取到安全策略服务器的地址。

结合第一方面，在第一方面的第一种可能的实现方式中，所述认证交互报文为EAP-TLV Request报文。

第二方面，提供了一种安全策略服务器地址的获取方法，客户端通过接入设备向RADIUS服务器发起认证过程；所述客户端接收所述所述RADIUS服务器返回的认证交互报文，所述认证交互报文中包括所述RADIUS服务器根据 所述接入设备的地址从管理服务器查询获得的安全策略服务器的地址；所述客户端从所述认证交互报文中获取所述安全策略服务器的地址。

结合第二方面，在第二方面的第一种可能的实现方式中，在所述客户端从接收的所述认证交互报文中获取安全策略服务器的地址之后，所述方法还包括：

所述客户端通过获取的所述安全策略服务器的地址，与所述安全策略服务器建立TCP长连接；所述TCP长连接可用于指示所述安全策略服务器的地址是否发生变化；

如果所述TCP长连接断开，则所述客户端退出已认证态，并通过所述接入设备重新向所述RADIUS服务器发起认证过程，以重新获取安全策略服务器的地址。

结合第二方面，在第二方面的第二种可能的实现方式中，在所述客户端从接收的所述认证交互报文中获取安全策略服务器的地址之后，所述方法还包括：

如果所述客户端无法通过获取的所述安全策略服务器的地址与所述安全策略服务器建立连接，则所述客户端退出已认证态，并通过所述接入设备重新向所述RADIUS服务器发起认证过程，以重新获取安全策略服务器的地址。