用戶接入網絡的權限設置方法和設備的製作方法

2023-04-24 19:28:01 2

專利名稱：用戶接入網絡的權限設置方法和設備的製作方法
技術領域：
本發明涉及通信技術領域，特別涉及一種用戶接入網絡的權限設置方法 和設備。
背景技術：
隨著網絡應用的不斷普及與發展，網絡安全逐漸成為各企業極為重視的 問題。其中，如何對用戶進行接入控制是至關重要的問題，允許合法的用戶 使用網絡並對其進行正確的認證、授權是對用戶進行網絡接入控制的最基本
要求。遠端撥入-^i正服務(Remote Access Dial In user Services, RADIUS )協 議是控制網絡用戶接入的標準協議，基於客戶端/伺服器(Client/Server, C/S) 模式。用戶在接入網絡之前必須先經過認證、授權與計費(Authentication Authorization Accounting, AAA)伺服器的認證，保證只有通過認證的合法用 戶才能訪問網絡。
在網絡身份認證的基礎之上，網絡準入控制(Network Admission Control， NAC)技術方案的提出，對接入網絡的用戶終端提出了更為嚴格的安全要求。 網絡準入控制方案是一個整合方案，其基本部件包括安全客戶端、安全聯動 設備、安全策略伺服器以及防病毒伺服器、補丁伺服器等第三方伺服器。方 案中的各部件各司其職，由安全策略中心協調與整合各功能部件，共同完成 對網絡接入終端的安全狀態評估、隔離與修復，提升網絡的整體防禦能力。
個人計算機(PersonalComputer, PC)的臺式機和便攜計算機以及其他 可以進行網^4妄入的設備統稱為終端，網絡接入控制應用系統的客戶端軟體 都運行在各個終端上，網絡準入控制方案要求對通過身份認證的用戶進行終 端的安全認證，根據網絡管理員定製的安全策略進行安全檢查，例如病毒 庫更新情況、系統補丁安裝情況、軟體的黑白名單、U盤外設使用情況等等。 根據檢查的結果，網絡準入控制方案對用戶網絡準入進行授權和控制。通過安全認證後，用戶可以正常《吏用網絡，與此同時，網絡準入控制方案可以對 用戶終端運行情況和網絡使用情況進行審計和監控。
如圖1所示，是一個用戶接入網絡的技術方案的典型組網圖。 企業在引入網^#入控制技術方案時，往往在各個機構、部門按照相關 的信息安全政策制定不同的安全控制策略等。但是隨著跨部門運作與辦公協 同的發展，往往存在著對"漫遊用戶，，(網絡接入用戶從一個位置移動到另 一個位置，仍能正常使用網絡即漫遊)的網絡接入認證和權限控制問題。
如圖2所示，企業由於職能而劃分為不同的行政區域，而每個行政區域因 為信息安全的需要而配置不同的網絡安全控制策略。在實際工作中，往往存 在跨部門工作交流問題，例如圖2中，某市場部員工攜帶筆記本電腦到^9f發部 進行工作交流，則可能存在如下問題
1 、如果該員工使用其接入用戶名無法接入研發部網絡(接入系統未授權 接入研發區域)，則該員工無法使用當前的網絡資源；
2、如果該員工可接入研發區域，且使用研發區既定的網絡安全控制策略, 可訪問研:發區域的資源，則可能造成研發信息洩漏。
為解決漫遊用戶的接入問題，企業往往採用"多用戶名、多域名，，的方 式來區別用戶漫遊到不同接入區域。用戶在不同的接入區域使用不同的用戶 名或者域名進行網絡接入認證，認證接入伺服器根據用戶名、域名來識別不 同的安全控制策略並授予用戶不同的訪問權限。例如 "ABC"是接入市場部 網絡的用戶名，"ABC@research"(用戶名+域名方式)是接入研發區網絡的用 戶名，"ABC.bj，，是接入北京辦事處的用戶名。這樣該用戶每次漫遊到不同 的區域均使用不同的用戶接入帳號進行網洛接入認證。
在實現本發明的過程中，申請人發現現有技術至少存在以下問題
1、 漫遊用戶需要記憶各種不同的接入帳號，每次接入到不同的區域均要 進行接入帳號的切換工作；
2、 若漫遊用戶在某接入區域未配置接入帳號和權限，需要請求網管人員 為其分配接入帳號和訪問7f又限；
3、 大量的帳號管理配置和訪問權限分配給網管人員帶來大量重複工作；4、 無法對帳號的生命周期進行有效控制，例如某員工離職，其所在部門 的帳號雖然也同時註銷，但是系統中其漫遊帳號仍然存在，給企業網絡帶來 後門隱患；
5、 各行政區域缺乏對漫遊用戶的安全訪問權限進行統一管理，難免因為 安全訪問權限配置的不同，而造成某些漫遊用戶可訪問未^:權的網絡資源。

發明內容
本發明提供一種用戶接入網絡的權限設置方法和設備，使用戶通過單一 帳號進行網絡認證接入，並可以根據該用戶的接入位置分配相應的網絡訪問 權限。
為達到上述目的，本發明一方面提供了一種用戶接入網絡的權限設置方 法，應用於包括網絡認證伺服器和多個網絡接入區域的網絡系統中，其中， 每個所述網絡接入區域分別包括一個接入設備和至少 一個用戶終端，所述網 絡系統中建立至少一個用戶帳戶，所述用戶帳戶對應一個用戶名，所述方法 包括
所述網絡認證伺服器分別為每個所述網絡接入區域建立至少一種資源訪 問權限；
所述網絡認證伺服器分別設置所述用戶帳戶在每個所述網絡接入區域中 所對應的資源訪問;f又限；
的資源訪問權限與所述網絡接入區域的位置識別信息的對應關係信息。 優選的，所述網絡接入區域的位置識別信息，具體為 所述網絡接入區域的接入設備的IP位址；或， 所述網症條入區域中的用戶終端的IP位址。
優選的，如果所述網絡接入區域的位置識別信息具體為所述網絡接入區 域中的用戶終端的IP位址，所述方法還包括
所述多個網絡4妄入區域分別對應多個IP位址區間；
所述網絡接入區域中所包括的用戶終端的IP位址處於所述網絡接入區域所對應的IP位址區間中。
優選的，當有用戶帳戶請求訪問資源時，所述方法還包括
名、密碼和所述用戶帳戶當前所處的網絡接入區域的位置識別信息的認證請
求消息；
所述網絡認證^^務器對所述用戶帳戶的用戶名和密碼的匹配關係進行認 證，並獲取所述用戶帳戶的用戶名在所述網絡接入區域的位置識別信息所對 應的網絡接入區域中所對應的資源訪問權限。
優選的，所述方法還包括
如果對所述用戶帳戶的用戶名和密碼的匹配關係進行認證成功，所述網 絡認證伺服器向所述接入設備發送所述用戶帳戶的認證確認信息，為所述用 戶帳戶分配資源訪問斥又限；
如果對所述用戶帳戶的用戶名和密碼的匹配關係進行i人ii失敗，或所述
信息所對應的網落接入區域中所對應的資源訪問4又限失敗，所述網絡認證服 務器向所述接入設備發送認證失敗消息，拒絕所述用戶帳戶進行資源訪問。
另一方面，本發明還提供了一種網絡認證伺服器，應用於包括網絡認證 伺服器和多個網^4妄入區域的網絡系統中，其中，每個所述網^4妄入區域分 別包括一個接入設備和至少一個用戶終端，所述網絡系統中建立至少一個用 戶帳戶，所述用戶帳戶對應一個用戶名，包括
設置模塊，用於為每個所述網絡接入區域建立至少一種資源訪問權限， 並分別設置所述用戶帳戶在每個所述網絡接入區域中所對應的資源訪問權 限；
存儲模塊，與所述設置模塊電性連接，用於存儲所述用戶帳戶的用戶名 的對應關係信息；
通信模塊，與所述存儲才莫塊電性連接，用於接收所述接入設備發送的包含所述用戶帳戶的用戶名、密碼和所述用戶帳戶當前所處的網絡接入區域的 位置識別信息的認證請求消息，並根據認證結果向所述接入設備發送所述用 戶名的認證確認信息或認證失敗消息，以及在用戶名認證成功的情況下，向
接入設備發送所述用戶的資源訪問權限；
認證模塊，與所述存儲模塊和所述通信模塊電性連接，用於根據所述存 儲模塊所存儲的訪問權限信息與所述用戶名在網絡接入區域的對應關係，對
所述用戶名在所述網絡接入區域進行認證。
優選的，所述用戶名所對應的用戶帳戶當前所處的網絡接入區域的位置 識別信息，具體為
所述網絡接入區域的接入設備的IP位址；或，
所述網紹、接入區域中的用戶終端的IP位址。
優選的，如果所述網絡接入區域的位置識別信息具體為所述網絡接入區 域中的用戶終端的IP位址，具體還包括
所述多個網絡接入區域分別對應多個IP位址區間；
所述網絡接入區域中所包括的至少 一個用戶終端的IP位址處於所述網絡 接入區域所對應的IP位址區間中。
優選的，所述認證模塊對用戶帳戶在網絡接入區域的認證，具體為
如果所述認證模塊對用戶帳戶的用戶名和密碼的匹配關係進行認證成
並根據訪問權限信息與所述用戶名在網絡接入區域的對應關係，為所述用戶 帳戶分配資源訪問權限；
如果所述認證;漠塊對所述用戶帳戶的用戶名和密碼的匹配關係進行認證
域的位置識別信息所對應的網絡接入區域中所對應的資源訪問權限失敗，所 述網絡認證伺服器向所述接入設備發送認證失敗消息，拒絕所述用戶帳戶進 行資源訪問。
與現有技術相比，本發明具有以下優點
通過本發明，實現了基於用戶的實際接入位置進行訪問權限分配，可以避免由於接入區域變更而訪問權限不可控，並可以對於各接入區域的非固定 工作人員採用統一的訪問權限控制，而單一帳號進行訪問的方式也為用戶的 使用提供了便利，在提高網絡安全性的同時，改善了用戶體驗。


圖1為現有技術中的網絡接入控制技術方案的組網結構示意圖； 圖2為現有技術中的企業分區域組網結構示意圖； 圖3為本發明提供的一種用戶接入網絡的權限設置方法的流程示意圖； 圖4為本發明提供的一種根據用戶接入網絡的權限設置進行權限認證的 流程示意圖5為本發明提供的一種802.1x認證的典型組網結構示意圖； 圖6為本發明提供的一種應用於802.1x認證的典型組網結構中的 RADIUS認證過程的流程示意圖7為本發明提供的一種網絡認證伺服器的結構示意圖。
具體實施例方式
如背景技術所述，現有的網絡接入控制機制一方面無法對於在不同區域 之間進行漫遊的用戶的訪問權限進行有效控制，增加了網絡資源安全隱患， 另一方面，也不能對用戶的訪問權P艮信息進行有效的統一管理，增加了網絡 管理的工作量，同時，也給用戶在不同區域之間的網絡資源訪問帶來了不便， 影響了用戶體驗。
所以，本發明希望通過用戶實際接入網絡的區域範圍對用戶的訪問權限 進行區別設定。
為達到上述目的，本發明提供了一種用戶接入網絡的權限設置方法，應 用於包括網絡認證伺服器和多個網絡接入區域的網絡系統中，其中，每個網 絡接入區域分別包括一個接入設備和至少 一個用戶終端，該網絡系統中建立 至少一個用戶帳戶，該用戶帳戶對應一個用戶名。
如圖3所示，該方法具體包括以下步驟步驟S301、網絡認證伺服器分別為每個網絡接入區域建立至少一種資源 訪問權限。
通過本步驟，可以根據需要，為網絡接入區域設置多層次的訪問權限規 則，對不同的用戶帳戶進行資源訪問時的資源訪問範圍進行控制。
步驟S302、網絡認證伺服器分別設置用戶帳戶在每個網絡接入區域中所 對應的資源訪問權限。
設置同一個用戶名在不同的網絡接入區域中對應的資源訪問權限，實現 同一個用戶帳戶在不同的網絡接入區域中可以通過同一個用戶名進行資源訪 問。
這些信息可以根據用戶帳戶的具體屬性或者訪問規則具體設定。 步驟S303、網絡認證伺服器保存用戶帳戶的用戶名在每個網絡接入區域 中的資源訪問權限與網絡接入區域的位置識別信息的對應關係信息。 其中，網絡接入區域的位置識別信息具體包括兩種情況 情況一、網絡接入區域的接入設備的IP位址。
這種情況下，網絡接入區域的接入設備直接被作為該網絡區域中唯一的 認證點。
網絡認證伺服器並不在意用戶帳戶是在該網絡接入區域中的哪一臺接入 終端中進行資源訪問，因此，用戶帳戶進行資源訪問時，只需要告知網絡認 證伺服器當前所處的是哪一個網絡接入區域即可，而該網絡接入區域的接入 設備的IP位址可以實現這樣的效果。
在實際的應用場景中，上述的接入設備通常是指接入層交換機，而相應 的網絡接入區域的位置識別信息除了接入層交換機的IP位址信息之外，還可 以包括用戶請求接入的埠信息，這樣的變化並不影響本發明的保護範圍。
這種情況多出現在802.1x認證的組網結構中。
情況二、網絡接入區域中的用戶終端的IP位址。
這種情況下是將接入終端的位置信息作為網絡接入區域的標識，這樣設 置的前提是網絡認證伺服器存儲有全部接入終端的位置信息和該接入終端所 處的網絡接入區域的對應關係，或者，接入終端的位置信息(IP位址)設置具有一定的規律性，比如，每個網絡接入區域對應一定的IP位址範圍，該網 ^4婁入區域中的所有接入終端的IP位址，都出與上述的IP位址範圍之內。
在此種情況下，雖然是將接入終端的IP位址作為位置識別信息，但是， 網絡認證伺服器只是通過接入終端的IP位址找到對應的IP位址範圍，從而確 定相對應的網絡接入區域，因此，與情況一相類似的，網絡認證伺服器並不 在意用戶帳戶是在該網絡接入區域中的哪一臺接入終端中進行資源訪問，而 只是需要定位用戶帳戶所處的網絡接入區域。
這種情況多出現在Portal認證的組網結構中。
上述兩種情況的具體信息內容雖然不同，但通過上述信息所最終獲取的 目的信息是一致的，因此，在具體應用場景中，只要能夠實現網絡接入區域 的定位，具體應用上述那種信息，並不影響本發明的保護範圍。
同時，上述的接入設備和接入終端的IP位址只是本發明的優選實施例， 其他能夠達到相同技術效果的信息內容，也應屬於本發明的保護範圍。
在上述的權限設置過程完成後，如果出現用戶帳戶請求進行資源訪問的 情況，則首先根據上述的權限設置對該用戶帳戶進行權限認證，該認證過程 如圖4所示，具體包括以下步驟
步驟S401 、網絡認證伺服器接收接入設備發送的包含用戶帳戶的用戶名、 密碼和用戶帳戶當前所處的網絡接入區域的位置識別信息的認證請求消息。
其中，根據網絡接入區域的位置識別信息的具體內容，對應上述的兩種
情況進行詳細說明
情況一、用戶帳戶當前所處的網^4妄入區域的接入設備的IP位址。 在這種情況中，用戶通過一個用戶帳戶的用戶名在某個網紹甚入區域中
的任意一臺用戶終端中請求認證，該請求所對應的認證請求消息都會以接入
設備的IP位址為當前網絡接入區域的唯一標識，向網絡認證伺服器請求用戶
在當前網絡接入區域中相應的權限認證。
情況二 、用戶名所對應的用戶進行認證的用戶終端的IP位址。 在這種情況下，如果用戶通過某個網絡接入區域中的任意一臺用戶終端請求認i正時，在相應的i人i正請求消息中攜帶該用戶終端的IP位址，由於先前 設定的IP位址處於當前網^4妄入區域所對應的IP位址區間中，所以，當攜帶 有該用戶終端的IP位址的認證請求消息發送給網絡認證伺服器時，網絡認證 伺服器可以直接根據用戶終端的IP位址確定其所處的IP位址區間，從而確定 對應的網洛接入區域，從而完成對用戶所處區域位置的確定，並進而確定相 應的訪問斥又限。
步驟S402、網絡認證伺服器對用戶帳戶的用戶名和密碼的匹配關係進行 認證，並獲取用戶帳戶的用戶名在網絡"l妄入區域的位置識別信息所對應的網 絡接入區域中所對應的資源訪問權限。
在本步驟中，網絡認證伺服器首先對用戶名和密碼的匹配關係進行確認， 判斷該用戶名是否合法，如果該用戶名和密碼不對應，即判斷該用戶名不合 法，從而，無需進一步判斷用戶當前所處的網紹 接入區域，而直接拒絕該用 戶名的訪問請求。當然，在具體的應用場景中，也可以將用戶名合法性認證 和權限認證同時進行，只是，如果用戶名合法性認證失敗，即使權限認證已 經完成，也不再返回權限認證的結果。
相反，如果該用戶名和密碼對應，即判斷該用戶名合法，繼續進行後續 步驟，由於用戶名和密碼的匹配關係的判斷並不是本發明所關注的重點，因
此，不再另行說明。
在本步驟中，網絡認i正伺服器明確了兩點信息
1、用戶名是否合法。
如果不合法，則直接拒絕用戶的認證請求，如果合法，則開始進行用戶 所處的網絡接入區域的識別或者確認用戶所處的網洛接入區域的識別有效。 2 、用戶所處的網紿4妻入區域的識別。
確定用戶所出的網絡4妻入區域。
在上述兩點信息明確後，網絡認證伺服器根據用戶名和網絡接入區域信 息直接確定該用戶名在此網洛接入區域中的訪問權限信息。
具體的訪問權限信息是在前述的權限設置流程中，由管理員在網絡認證伺服器中提前統一設定的，對於具體的用戶名，在多個網絡接入區域中可以
分別具有不同的訪問權限，例如用戶在本身部門所屬的網絡接入區域中具 有不受限的訪問權限，可以不受限的訪問所有的網絡資源，而在其他部門所 屬的網絡接入區域中具有受限的訪問權限，用戶只能訪問部分網絡資源，或 者完全不能訪問當前的網絡資源。
在具體的應用場景中，還可以設置預設權限定義，當用戶帳戶的用戶名 在某個網^!妄入區域中沒有設定相應的訪問權限，即該用戶名在某個網絡接 入區域中的訪問權限預設時，網絡認證伺服器可以根據預設權限定義，判定 該用戶名在此網絡接入區域中不具有資源訪問權限，因此，不能訪問當前網 ,入區域中的網絡資源。
這樣的預設權限定義是出於網絡資源安全的考慮，當然，在實際應用中， 也可以設定預設權限定義為受限的資源訪問^L限，即只能訪問部分網絡資源， 這些資源是公開資源，不會危害企業信息安全，這樣的變化同樣屬於本發明 的保護範圍。
相應的，根據上述的網絡認證伺服器對用戶帳戶的用戶名和密碼的匹配 關係進行認證的結果，後續步驟也存在相應的區別，具體如下
如果對用戶帳戶的用戶名和密碼的匹配關係進行認證成功，則執行步驟 S403;
如果對用戶帳戶的用戶名和密碼的匹配關係進行認證失敗，則執行步驟 S404。
步驟S403、網絡認證伺服器向接入設備發送用戶帳戶的認證確認信息， 為用戶帳戶分配資源訪問權限。
步驟S404、網絡認證伺服器向接入設備發送認證失敗消息，拒絕用戶帳 戶進行資源訪問。
本步驟對應的是用戶帳戶的用戶名和密碼的匹配關係進行認證失敗的情 況，在實際的應用場景中，網絡認證伺服器獲取用戶帳戶的用戶名在網絡接 入區域的位置識別信息所對應的網絡接入區域中所對應的的資源訪問權限失 敗也可以導致本步驟的發生，即查不到資源訪問權限信息或不能查資源訪問權限信息則認為權限認證失敗，當然，也可以根據上述的預設權限定義進行 處理，這樣的變化並不影響本發明的保護範圍。
通過本發明，實現了基於用戶的實際接入位置進行訪問權限分配，可以 避免由於接入區域變更而訪問權限不可控，並可以對於各接入區域的非固定 工作人員採用統一的訪問權限控制，而單一帳號進行訪問的方式也為用戶的 使用提供了便利，在提高網絡安全性的同時，改善了用戶體驗。
通過上述說明可以看出，本發明所提出的技術方案的基本思路如下 根據接入用戶的用戶屬性在各個網絡接入區域中分配相應的訪問權限； 網絡認證伺服器根據用戶當前所處的網絡接入區域識別該用戶相應的訪 問權限，並為其分配相應的網絡資源。
在具體的實施場景中，上述的用戶屬性可以是該用戶的工作職能，各個 網絡接入區域可以是企業內具體的行政區域，網絡接入區域的具體識別依據 可以是接入設備IP或者接入終端IP位址，當然，根據實際的需要，上述各項 內容也可以發生相應的變化，這樣的變化同樣屬於本發明的保護範圍。 下面結合具體的實施場景闡述本發明所提出的技術方案的實現思路。 企業網實現認證接入主要有802.1x和Portal兩種方式。這兩種組網方式 在本方案的實現方式上略有不同，但實現思路上基本相同。兩者之間具體的 差別在於
在802.1x系統中，網絡接入區域的具體識別依據是接入設備的IP位址， 例如接入層交換機的IP位址。
而在Portal系統中，網絡接入區域的具體識別依據是接入終端的IP位址， 例如用戶用來進^f亍網絡訪問的用戶終端的IP位址。
為了避免具體敘述文字的重複，本發明的後續說明中將以802.1x認證組 網方式描述本發明的技術實現過程。
為了方便說明，本發明還給出了具體的組網模型，如圖5所示，是一種 802.1x認證的典型組網圖，每個接入終端將接入交換機作為認證點。
由於接入層交換機的網絡特性，因此每個行政區域均擁有獨立的一 臺及多臺接入設備。根據企業實際的情況，可將各行政區域內的接入設備的IP地
址作為識別接入區域的信息，RADIUS伺服器可根據認證報文的接入設備的 IP位址識別接入用戶是從什麼區域接入網絡。
基於上述的組網結構，本發明所提出的技術方案具體如圖6所示，包括 以下步驟
步驟S601、根據行政劃分網絡接入區域，並在RADIUS伺服器中設置各 種訪問權限。
在RADIUS伺服器(也可以是基於RADIUS伺服器的網,入控制系統) 上為各接入區域配置各類訪問權限。例如為本區域內的固定工作人員配置 級別較高的訪問權限，包括可訪問本行政區域網絡的伺服器、業務系統、存 儲設備等資源的權限。而針對本區域內的非固定工作人員，例如漫遊工作 人員、訪客、合作供應商，可以根據需要提供最基本的網絡訪問權限，包括 可訪問網際網路，但不可訪問本行政區域網絡內的關鍵資源的權限。
步驟S602、 RADIUS伺服器設置接入用戶在各行政區域的訪問權限。 根據接入用戶的實際職能及工作需要，在RADIUS伺服器(也可以M 於RADIUS伺服器的網絡接入控制系統)上為其分配訪問權限。根據接入用 戶的所屬行政部門，為其設置適當的網絡訪問權限，以利於其在所屬行政區 域正常訪問工作需要的資源。若該用戶有漫遊到其他行政部門工作的需求， 則需要為其申請其他接入區域的訪問權限。這種訪問權限是經過統一定義的， 具體的權限內容可以根據需要進行設定，避免因工作場所漫遊而導致的安全隱患。
步驟S603、接入主機向接入設備發送用戶名和密碼，請求進行認證。 接入用戶無論在何行政區域接入上網，均採用固定用戶名通過802.1x協 議認i正才妻入上網。
步驟S604、接入設備向RADIUS伺服器發送包含用戶名、密碼和接入設 備IP位址信息的認證請求消息。
在收到用戶進行認證的請求後，接入設備發送一個訪問-請求 (Access-Request)消息到RADIUS伺服器，此消息一般包含以下信息(1) 用戶名；
(2) 加密格式的用戶口令； (3 )接入"i殳備IP和埠 。
步驟S605、 RADIUS伺服器向接入設備返回i人證成功或失敗的消息。
如果RADIUS伺服器對用戶進行了成功的認證，就會發送一個訪問-接受 (Access-Accept)消息？該消息包含了應用到用戶的授權屬性值(AVP)對；
如果RADIUS伺服器不接受接入設備提供給RADIUS伺服器的任何一個 值時，會發送一個訪問-拒絕(Access-Reject)消息。
後續的步驟S606至步驟S611具體為認證成功後的資源訪問流程，這並 分本發明關注的重點，因此，不再詳細敘述。
需要指出的是，其中的計費過程，對於企業內部來講，計費過程中的具 體計費數值一直為0。
由上述說明可以確認，在RADIUS認證過程中認證請求報文包含接入設 備IP和埠。由於在步驟S601中，通過將接入設備的IP組4艮據行政區域劃 分設置成接入區域信息，並保存到RADIUS伺服器中。因此，在認證時， RADIUS伺服器可以判斷接入用戶是從何區域接入的。根據步驟S502中為用 戶設置的在各個接入區域的訪問權P艮信息，在接入用戶認證成功後，RADIUS 伺服器將符合既定安全策略的網絡訪問授權信息下發給接入設備，從而保證 了接入用戶對網絡的安全使用。
為了實現上述的技術方案，本發明還提供了一種網絡認證伺服器，應用 於包括網絡認證伺服器和多個網^4妻入區域的網絡系統中，其中，每個網絡 接入區域分別包括一個接入設備和至少 一個用戶終端，網絡系統中建立至少 一個用戶帳戶，用戶帳戶對應一個用戶名。
如圖7所示，網絡認證伺服器具體包括
設置衝莫塊71，用於為每個網絡接入區域建立至少一種資源訪問權限，並 分別設置用戶帳戶在每個網*錄入區域中所對應的資源訪問權限。
存儲模塊72，與設置模塊71電性連接，用於存儲用戶帳戶的用戶名在每個網絡接入區域中的資源訪問權限與網絡接入區域的位置識別信息的對應關 系信息。
通信模塊73，與存儲模塊72電性連接，用於接收接入設備發送的包含用 戶帳戶的用戶名、密碼和用戶帳戶當前所處的網落接入區域的位置識別信息 的認證請求消息，並根據認證結果向接入設備發送用戶名的認證確認信息或 認證失敗消息，以及在用戶名認證成功的情況下，向接入設^^發送該用戶帳 戶的資源訪問權限。
其中，在具體的應用場景中，用戶名所對應的用戶當前所處的網,入 區域的位置識別信息具體為
用戶名所對應的用戶當前所處的網絡接入區域的接入設備的IP位址；或, 用戶名所對應的用戶當前所處的網紹4妻入區域中的用戶終端的IP位址。 在具體的應用場景中，如果用戶名所對應的用戶當前所處的網紹4妄入區 域的位置識別信息具體為用戶名所對應的用戶進行認證的用戶終端的IP位址， 網絡認證伺服器中還需要進行以下設定
多個網絡接入區域分別對應多個IP位址區間；
網絡接入區域中所包括的至少 一個用戶終端的IP位址處於網絡接入區域 所對應的IP位址區間中。
認證模塊74,與存儲模塊72和通信模塊73電性連接，用於根據存儲模塊 72所存儲的訪問權限信息，獲取通信模塊73所接收的用戶名在網絡接入區域 的位置識別信息所對應的網絡接入區域中的訪問權限信息。
在具體的應用場景中，認ii4莫塊74對用戶帳戶在網絡接入區域的認證具 體通過以下方式實現。
如果認證模塊74對用戶帳戶的用戶名和密碼的匹配關係進行認證成功， 則通信模塊73向接入設備發送用戶帳戶的認證確認信息，並根據訪問權限信 息與用戶名在網全錄入區域的對應關係，為該用戶帳戶分配資源訪問權限；
如果認"iiD漠塊74對所述用戶帳戶的用戶名和密碼的匹配關係進行認證失 敗，或認ii^莫塊74向存儲才莫塊72獲取用戶帳戶的用戶名在網絡接入區域的位 置識別信息所對應的網絡接入區域中所對應的資源訪問權限失敗，t通信模塊73向接入設備發送認證失敗消息，拒絕該用戶帳戶進行資源訪問。
通過本發明，實現了基於用戶的實際接入位置進行訪問權限分配，可以 避免由於接入區域變更而訪問權限不可控，並可以對於各接入區域的非固定 工作人員採用統一的訪問權限控制，而單一帳號進行訪問的方式也為用戶的 使用提供了便利，在提高網絡安全性的同時，改善了用戶體驗。
通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發 明可以通過硬體實現，也可以藉助軟體加必要的通用硬體平臺的方式來實現。 基於這樣的理解，本發明的技術方案可以以軟體產品的形式體現出來，該軟 件產品可以存儲在一個非易失性存儲介質(可以是CD-ROM, U盤，移動硬 盤等)中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服 務器，或者網絡設備等)執行本發明各個實施場景所述的方法。
本領域技術人員可以理解附圖只是一個優選實施場景的示意圖，附圖中 的模塊或流程並不一定是實施本發明所必須的。
本領域技術人員可以理解實施場景中的裝置中的模塊可以按照實施場景 描述進行分布於實施場景的裝置中，也可以進行相應變化位於不同於本實施 場景的一個或多個裝置中。上述實施場景的模塊可以合併為一個模塊，也可 以進一步拆分成多個子模塊。
上述本發明序號僅僅為了描述，不代表實施場景的優劣。
以上公開的僅為本發明的幾個具體實施場景，但是，本發明並非局限於 此，任何本領域的技術人員能思之的變化都應落入本發明的保護範圍。
權利要求
1、一種用戶接入網絡的權限設置方法，應用於包括網絡認證伺服器和多個網絡接入區域的網絡系統中，其中，每個所述網絡接入區域分別包括一個接入設備和至少一個用戶終端，所述網絡系統中建立至少一個用戶帳戶，所述用戶帳戶對應一個用戶名，其特徵在於，所述方法包括所述網絡認證伺服器分別為每個所述網絡接入區域建立至少一種資源訪問權限；所述網絡認證伺服器分別設置所述用戶帳戶在每個所述網絡接入區域中所對應的資源訪問權限；所述網絡認證伺服器保存所述用戶帳戶的用戶名在每個網絡接入區域中的資源訪問權限與所述網絡接入區域的位置識別信息的對應關係信息。
2、 如權利要求1所述的方法，其特徵在於，所述網絡接入區域的位置識 別信息，具體為所述網^4妄入區域的接入設備的IP位址；或， 所述網絡接入區域中的用戶終端的IP位址。
3、 如權利要求2所述的方法，其特徵在於，如果所述網絡接入區域的位 置識別信息具體為所述網絡接入區域中的用戶終端的IP位址，所述方法還包 括..所述多個網絡接入區域分別對應多個IP位址區間； 所述網絡接入區域中所包括的用戶終端的IP位址處於所述網絡接入區域 所對應的IP位址區間中。
4、 如權利要求l所述的方法，其特徵在於，當有用戶帳戶請求訪問資源 時，所述方法還包括所述網絡認證伺服器接收所述接入設備發送的包含所述用戶帳戶的用戶 名、密碼和所述用戶帳戶當前所處的網絡接入區域的位置識別信息的認證請 求消息；所述網絡認證伺服器對所述用戶帳戶的用戶名和密碼的匹配關係進行認 證，並獲取所述用戶帳戶的用戶名在所述網絡接入區域的位置識別信息所對 應的網絡接入區域中所對應的資源訪問權限。
5、 如權利要求4所述的方法，其特徵在於，還包括 如果對所述用戶帳戶的用戶名和密碼的匹配關係進4亍認證成功，所述網絡認證伺服器向所述接入設備發送所述用戶帳戶的認證確認信息，為所述用 戶帳戶分配資源訪問權限；如果對所述用戶帳戶的用戶名和密碼的匹配關係進行認證失敗，或所述 網絡認證伺服器獲取所述用戶帳戶的用戶名在所述網絡接入區域的位置識別 信息所對應的網絡接入區域中所對應的資源訪問;&限失敗，所述網絡認證月艮 務器向所述接入設備發送認證失敗消息，拒絕所述用戶帳戶進行資源訪問。
6、 一種網絡認證伺服器，應用於包括網絡認證伺服器和多個網絡接入區 域的網絡系統中，其中，每個所述網絡接入區域分別包括一個接入設備和至 少一個用戶終端，所述網絡系統中建立至少一個用戶帳戶，所述用戶帳戶對 應一個用戶名，其特徵在於，包括設置模塊，用於為每個所述網絡接入區域建立至少 一種資源訪問權限， 並分別設置所述用戶帳戶在每個所述網絡接入區域中所對應的資源訪問權 限；存儲模塊，與所述設置模塊電性連接，用於存儲所述用戶帳戶的用戶名 在每個網^#入區域中的資源訪問權限與所述網絡接入區域的位置識別信息 的對應關係信息；通信模塊，與所述存儲模塊電性連接，用於接收所述接入設備發送的包 含所述用戶帳戶的用戶名、密碼和所述用戶帳戶當前所處的網絡接入區域的 位置識別信息的認證請求消息，並根據認證結果向所述接入設備發送所述用 戶名的認證確認信息或認證失敗消息，以及在用戶名認證成功的情況下，向 接入設備發送所述用戶的資源訪問權限；認證模塊，與所述存儲模塊和所述通信模塊電性連接，用於根據所述存 儲模塊所存儲的訪問權限信息與所述用戶名在網絡接入區域的對應關係，對 所述用戶名在所述網絡接入區域進行認證。
7、 如權利要求6所述的網絡認證伺服器，其特徵在於，所述用戶名所對應的用戶帳戶當前所處的網絡4妻入區域的位置識別信息，具體為 所述網絡接入區域的接入設備的IP位址；或， 所述網M入區域中的用戶終端的IP位址。
8、 如權利要求7所述的網絡認證伺服器，其特徵在於，如果所述網, 入區域的位置識別信息具體為所述網絡接入區域中的用戶終端的IP位址，具 體還包括所述多個網絡4秦入區域分別對應多個IP位址區間； 所述網絡接入區域中所包括的至少一個用戶終端的IP位址處於所述網絡 接入區域所對應的IP位址區間中。
9、 如權利要求7所述的網絡認證伺服器，其特徵在於，所述認證模塊對 用戶帳戶在網,入區域的認證，具體為如果所述認證才莫塊對用戶帳戶的用戶名和密碼的匹配關係進行認i正成 功，所述網絡認證伺服器向所述接入設備發送所述用戶帳戶的認證確認信息， 並根據訪問權限信息與所述用戶名在網絡接入區域的對應關係，為所述用戶 帳戶分配資源訪問權限；如果所述認證4莫塊對所述用戶帳戶的用戶名和密碼的匹配關係進行認證域的位置識別信息所對應的網絡接入區域中所對應的資源訪問權限失敗，所 述網絡認證伺服器向所述接入設備發送認證失敗消息，拒絕所述用戶帳戶進 4亍資源i方問。
全文摘要
本發明公開了一種用戶接入網絡的權限設置方法和設備，應用於包括網絡認證伺服器和多個網絡接入區域的網絡系統中，所述網絡認證伺服器中保存至少一個用戶名分別在所述多個網絡接入區域中的訪問權限信息，用戶請求接入時提供用戶名和當前所處網絡接入區域的位置識別信息，獲取相應的資源訪問權限，進行網絡接入。通過本發明，實現了基於用戶的實際接入位置進行訪問權限分配，可以避免由於接入區域變更而訪問權限不可控，並可以對於各接入區域的非固定工作人員採用統一的訪問權限控制，而單一帳號進行訪問的方式也為用戶的使用提供了便利，在提高網絡安全性的同時，改善了用戶體驗。
文檔編號H04L29/06GK101582769SQ20091014879
公開日2009年11月18日 申請日期2009年7月3日 優先權日2009年7月3日
發明者賈曉巍 申請人:杭州華三通信技術有限公司