专利名称::一种网络访问权限的管理方法和设备的制作方法
技术领域:
:本发明涉及通信
技术领域:
,特别涉及一种网络访问权限的管理方法和设备。
背景技术:
:目前局域网中广泛使用的IEEE802.1x协议是基于端口的网络访问控制协议,用于网络交换机的物理接入级对接入客户端进行认证和控制。802.1x协议的应用体系结构如图l所示,包括用户设备,交换机,AAA(Authentication,AuthorizationandAccounting,i人"i正、4受才又和"^十费)月良务器。在用户接入层以太网交换机作为802.1x的交换机,位于局域网或无线局域网点对点链路一端的一个实体;802.lx的用户设备作为认证请求者是位于局域网或无线局域网上点对点链路另一端的一个实体,通常安装在个人计算机中;802.1x的AAA服务器通常位于运营商的认证、授权和计费中心。802.1x的用户设备与交换机之间运行IEEE802.1x定义的基于局域网的可与AAA服务器之间同样运行扩展认证协议EAP(ExtensibleAuthenticationProtocol)。以太网交换机内部有受控端口和非受控端口,其中,非受控端口始终处于双向连通状态,受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。在上述的体系结构下,连接在以太网交换机端口上的用户设备如果能通过认证,就可以访问网络资源;如果不能通过认证,则无法访问网络资源。用户设备认证上网的一般流程如图2所示,包括以下步骤步骤S201、用户上线,输入用户名和密码;步骤S202、交换机根据获取的用户名和密码等信息,向AAA服务器发送认证请求报文;步骤S203、AAA服务器将该用户信息与用户数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应报文发送给交换机;如果认证失败,则返回认证失败的响应才艮文;步骤S204、交换机根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则交换机向AAA服务器发送计费开始请求报文;步骤S205、AAA力1务器返回计费开始响应才艮文;步骤S206、用户下线,交换机向AAA服务器发送计费停止请求报文;步骤S207、AAA服务器返回计费结束响应报文。现有技术中,用户设备通过交换机向AAA服务器发起认证请求,首先用户设备要与交换机交互用户名和密码等信息,然后交换机将这些信息发给AAA服务器,最后由AAA服务器来判断用户设备的用户是否合法,如果用户设备的用户合法,则通过用户设备的认证请求,并进行后续授权、计费等流程,如果用户设备的用户不合法,则认证失败,用户无法上线。进一步的扩展上述的认证方法,将该认证策略应用于如图3所示的网络系统中,针对交换机,如果收到不可信任的主机(UntmstedHost)访问互联网(Internet)或局域网(LocalAreaNetwork,LAN)的请求,则不能让这类访问通过,这类主机应首先到认证服务器上认证,认证通过后变为可信任的主才几(TrustedHost)才能i方问Internet或LAN;在实现本发明的过程中,发明人发现现有技术至少存在以下问题整个网络中,有时需要优先保证某些关键主机间的通信访问,而对另外一些非关4建主机间的流量加以限制,而这样的策略在现有技术中没有明确的实现方案,所以,上述的接入控制和优先级控制无法通过现有的技术进行实现。
发明内容本发明提供一种网络访问权限的管理方法和设备,通过路由矩阵的形式进行接入控制和优先级控制。为达到上述目的,本发明一方面提供了一种网络访问权限的管理方法,务器的系统中,所述交换机与所述至少一个用户终端和所述认证服务器分别连接,并与外部网络相连接,其特征在于,所述交换机中通过路由矩阵的形式保存所述系统中各设备和/或外部网络之间的访问权限,所述方法包括当所述交换机接收到一个访问请求时,所述交换机在所述路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限;当所述查询结果为是时,所述交换机允许所述发送设备访问所述目的设备,当所述查询结果为否时,所述交换机拒绝所述发送设备访问所述目的设备。优选的,当所述系统中加入新的用户终端时,所述方法还包括所述交换机在所述路由矩阵中标识所述用户终端具有所述认证服务器的访问权限,但不具有与所述系统中其他设备或外部网络的访问权限;当所述用户终端通过所述认证服务器的认证时,所述交换机根据预设的设备访问权限设置策略在所述路由矩阵中标识所述用户终端与所述系统中其他设备和/或外部网络之间的访问权限。优选的,当所述系统中加入新的用户终端时,所述方法还包括当所述交换机接收到指定所述用户终端与所述系统中的其它设备和/或外部网络之间的访问权限的信息时,直接根据所述信息在所述路由矩阵中标识所述用户终端与所述系统中其他设备和/或外部网络之间的访问权限。优选的,所述用户终端与所述系统中其他设备或外部网络的访问权限,具体为允许或拒绝所述用户终端访问所述系统中其他设备或外部网络的标识;或,所述用户终端访问所述系统中其他设备或外部网络的优先级标识,其中,最低级别的优先级标识表示拒绝所述用户终端访问所述系统中其他设备或外部网络。优选的,当所述用户终端与所述系统中其他设备或外部网络的访问权限访问所述系统中其他i殳备或外部网络的优先级标识时,所述交换机在所述路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限之后,具体包括所述交换机根据发送所述访问请求的用户终端所具有的与所述访问请求的目的终端的优先级标识的级别,对所述用户终端的访问流量进行控制。优选的,当所述用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述方法还包括当所述交换机判断用户终端存在安全隐患时,所述交换机降低所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别;当所述交换机判断用户终端的安全隐患消除时,所述交换机提高所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别。另一方面,本发明还提供了一种交换机,应用于包括一个交换机、至少一个用户终端和一个认证服务器的系统中,其中,所述交换^L与所述至少一个用户终端和所述认证服务器分别连接,并与外部网络相连接,包括存储模块,用于存储保存有所述系统中各设备和/或外部网络之间的访问权限信息的路由矩阵;通信模块,用于接收所述系统中的各设备所发送的通信信息;查询模块,与所述通信模块和所述存储模块相连接,用于当所述通信模块接收到一个访问请求时,在所述存储模块所存储的路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限;控制模块,与所述查询模块相连接,当所述查询it块的查询结果为是时,允许所述发送设备访问所述目的设备,当所述查询模块的查询结果为否时,拒绝所述发送设备访问所述目的设备。优选的,所述存储模块所存储的路由矩阵中所包含的用户终端与所述系统中其他设备或外部网络的访问权限,具体为允许或拒绝所述用户终端访问所述系统中其他设备或外部网络的标识;8或,所述用户终端访问所述系统中其他设备或外部网络的优先级标识,其中,最低级别的优先级标识表示拒绝所述用户终端访问所述系统中其他设备或外部网络。优选的,当所述存储模块所存储的路由矩阵中所包含的用户终端与所述其他设备或外部网络的优先级标识时,所述控制模块,还用于根据所述查询模块所查询到的发送所述访问请求的用户终端所具有的与所述访问请求的目的终端的优先级标识的级别,对所述用户终端的访问流量进行控制。优选的,当所述存储模块所存储的路由矩阵中所包含的用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述交换机还包括判断模块,用于判断所述系统中的各用户终端是否存在安全隐患;调整模块,与所述判断模块和所述存储模块相连接,用于当所述判断模块判断用户终端存在安全隐患时,降低所述存储模块所存储的路由矩阵中所述用户终端所对应的访问所述系统中其他i殳备或外部网络的优先级标识的级别,或当所述判断模块判断用户终端的安全隐患消除时,提高所述存储模块所存储的路由矩阵中所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别。与现有技术相比,本发明具有以下优点通过应用本发明的技术方案,可以通过路由矩阵实现不同主机间的访问控制和路由矩阵优先级的设置,从而对整个网络的流量进行监管,由于路由矩阵可以非常简单的通过软件实现,可以和多种应用系统相结合,筒化网络的监控,并提高了网络监控的灵活性。图1为现有技术中802.1x协议的应用体系结构示意图;9图2为现有技术中客户端认证上网的流程示意图;图3为现有技术中的一种典型应用组网的结构示意图;图4为本发明提供的一种网络访问权限的管理方法的流程示意图;图5为本发明提供的一种路由矩阵中访问权限的初始化过程的流程示意图;图6为本发明提供的一种优先级调整流程的流程示意图;图7为本发明提出的一种交换机的结构示意图。具体实施方式如
背景技术:
所述,对于某些关键主机间的通信访问的优先处理,以及对另外一些非关4建主4几间的流量限制在现有:R术中没有明确的实现方案,因此,无法通过现有的技术进行实现上述的接入控制和优先级控制。为了解决上述问题,本发明一方面提供了一种网络访问权限的管理方法,应用于包括一个交换机、至少一个用户终端和一个认证服务器的系统中,交换机与至少一个用户终端和认证服务器分别连接,并与外部网络相连接,交换机中通过路由矩阵的形式保存系统中各设备和/或外部网络之间的访问权限。如图4所示,为本发明所提出的一种网络访问权限的管理方法的流程示意图,具体包括以下步骤步骤S401、交换机接收到一个访问请求。需要指出的是,在本步骤之前,本技术方案中还包括路由矩阵中的访问权限初始化过程,具体说明如下当系统中加入新的用户终端时,交换机在路由矩阵中标识用户终端具有认证服务器的访问权限,但不具有与系统中其他设备或外部网络的访问权限。这样的处理可以保证该用户终端具有访问认证服务器进行访问权限认证的权利,但是,在没有验证该用户终端的安全行之前,该用户终端不能访问该系统中的其它设备或外部网络。而当用户终端通过认证服务器的认证时,交换机根据预设的设备访问权限设置策略在路由矩阵中标识用户终端与系统中其他设备和/或外部网络之间的访问一又限。需要指出的是,如果新接入的用户终端被直接指定了访问权限,即当交换机接收到指定用户终端与系统中的其它设备和/或外部网络之间的访问权限的信息时,交换机可以直接根据信息在路由矩阵中标识用户终端与系统中其他设备和/或外部网络之间的访问权限,而不再需要进行认证服务器的访问权限认证过程。步骤S402、交换机在路由矩阵中查询访问请求的发送设备是否具有与访问请求的目的设备的访问权限。当查询结果为是时,执行步骤S403;当查询结果为否时,^l行步骤S404。需要具体指出的是,用户终端与系统中其他设备或外部网络的访问权限,具体包括以下两种情况情况一、允许或拒绝用户终端访问系统中其他设备或外部网络的标识。仅标识了用户终端是否被允许访问系统中其他设备或外部网络,即仅存在"允许,,和"拒绝,,两种情况。情况二、用户终端访问系统中其他设备或外部网络的优先级标识,其中,最低级别的优先级标识表示拒绝用户终端访问系统中其他设备或外部网络。在这种情况下,不再筒单的分为两种情况,而是根据设备间访问的重要程度和/或安全级别分为了多个访问级别,最低优先级级别表示拒绝访问,而优先级级别越高,则该优先级所对应的设备间的访问进程越会被优先处理,或被分配更多的系统资源用于高优先级的访问进程。基于上述的情况二,步骤S402的判断结果也相应的具有了具体的调整,具体如下当查询结果为该访问请求所对应的优先级标识的级别不是最低优先级时,执行步骤S403;当查询结果为该访问请求所对应的优先级标识的级别是最低优先级时,执行步骤S404。步骤S403、交换机允许发送设备访问目的设备。在本步骤中,如果依据上述的情况二而具有访问进程的优先级划分时,本步骤中需要根据相应的优先级级别进行访问进程的优先处理和/或用于方位进行的系统资源调度,从而实现相应的流量控制。步骤S404、交换机拒绝发送设备访问目的设备。在具体的应用场景中,当用户终端与系统中其他设备或外部网络的访问权限具体为用户终端访问系统中其他设备或外部网络的优先级标识时,本发明的技术方案还包括优先级级别的调整过程,具体说明如下当交换机判断用户终端存在安全隐患时,交换机降低用户终端所对应的访问系统中其他设备或外部网络的优先级标识的级别;当交换机判断用户终端的安全隐患消除时,交换机提高用户终端所对应的访问系统中其他设备或外部网络的优先级标识的级别。与现有技术相比,本发明具有以下优点通过应用本发明的技术方案,可以通过路由矩阵实现不同主机间的访问控制和路由矩阵优先级的设置,从而对整个网络的流量进行监管,由于路由矩阵可以非常简单的通过软件实现,可以和多种应用系统相结合,简化网络的监控,并提高了网络监控的灵活性。下面,结合具体的应用场景,对本发明所提出的技术方案进行说明。本发明提出了一种通过"路由矩阵"实现网络访问权限的管理的方法,可以简单灵活地进行三层转发和访问控制以及流量监管。如表1所示,为一种简单路由矩阵的示意图。表l简单路由矩阵示意图<table>tableseeoriginaldocumentpage12</column></row><table>其中,表1中Y表示可访问,N表示不可访问。通过该路由矩阵,可以表示在当前系统中的各设备之间的访问权限具体(1)设备A不可以访问设备B;(2)设名3可以访问设备A。针对当前系统中对于各设备的访问控制需求,将路由矩阵的概念引入到三层路由控制管理中。具体如表2中所示,与表l中相同,'Y,表示可以访问,'N,表示不可访问。表2路由矩阵示意图目的IP访问级别不信^壬主才几信任主机认证服务器夕卜部网络源IP访问级别不信任主机NNYN信任主机NYYY认证服务器YYYY外部网络NYYY此路由矩阵包含以下信息(1)所有主机和认证服务器间可以互访;(2)不可信任的主机不允许访问除认证服务器外的其它主机;(3)可信任主机可访问除不可信任的主机外其它所有主才几;(4)不可信任主机在通过认证服务器后,可修改矩阵中对应节点为"Y"切换成为可信任主片几。通过上述说明,可以得出在此种应用场景下,对路由矩阵中个参数的定义^口下行(也就是源IP)代表了要发起访问的主机的可靠性,而列(目的IP)表示了被访问主机的机密性及对安全的重视度。某行中'N,越多表示该主机越不可靠,某列中'N,越多表示该主机越机密对安全性要求越高。基于此规则,可以通过"路由矩阵"对网络进行安全访问控制部署。13需要进一步指出的是,上述的路由矩阵格式限制仅是本发明的一种优选实施例,格式的调整并不影响本发明的保护范围。如图5所示,为路由矩阵中访问权限的初始化过程的流程示意图,具体包括以下步骤步骤S501、3各由矩阵初始化。可由用户直接配置哪些目的主机是默认均可访问的。例如用户配置了某认证服务器为所有主机均可访问的主机,那么,首先将认证服务器对应行和列设为全Y,而LAN或Intemet(外部网络)列中除认证服务器和和自身外其余设置'N,,具体如表3所示表3初始i各由矩阵目的IPi方问纟及别—一认证服务器LAN/Internet源IP访问级别———YN—一YN认证服务器YYYYLAN/InternetNNYY步骤S502、系统中加入新的主机,设置其初始状态只能访问认证服务器。即默认对新加入的主机确定为不信任主机,只允许其访问认证服务器,具体如表4所示14表4加入不信任主机后的路由矩阵<table>tableseeoriginaldocumentpage15</column></row><table>步骤S503、对新加入的主机进行安全认证,并根据相应的认证结果调整路由矩阵。例如,不信任主机l没有认证通过,不信任主机2认证通过,变为"可信任主机,,,因此,将不信任主机2的访问级别提高,设置该主机可以访问外部网络(LAN/Internet)。此过程也可以通过用户指定来实现,即用户认为某新加入的主机可信任,不需到认证服务器认证可直接将其配置"可信任主机"。经过认证调整后的的路由矩阵具体如表5所示表5认证后的路由矩阵<table>tableseeoriginaldocumentpage15</column></row><table>至此便通过"路由矩阵"完成了网络中的安全部署,并可以根据相应的访问权限对系统中的各设备之间的访问进行控制。在另一方面,在上述的路由矩阵设置策略的基础上,路由矩阵中可以增加节点的权重值,从而将其应用于流量限速监管。假定认为从0~3分别代表访问优先级由低到高,认为不允许访问的为最低优先级(0级),信任主机间的互访为最高优先级(3级),访问认证服务器的优先极为l级,访问LAN/Internet优先级为2级,相应的优先级i殳置具体如表6所示表6带权重的路由矩阵<table>tableseeoriginaldocumentpage16</column></row><table>在此基础上,可以按照优先级级别的高低对各设备之间的访问进行流量控制,例如,信任主机之间的互访可以获得最大的流量分配,而优先级为o的访问进程则实际为拒绝访问,不会获得任何的流量分配,通过这样的设置,可以实现不同等级的访问进行之间的流量调整,实现系统中的资源分配。在此种具有优先级划分的应用场景中,还可以进一步包括优先级的调整流程。提高优先级的动作可以通过ACL规则等方式来实现。通过此模型可以实现对不同源地址和目的地址的流量进行限速和限流,从而保证最高优先级的访问最先得到响应。具体如图6所示,在本发明所提出的技术方案中,路由矩阵中的优先级可以通过网络入侵检测系统(NetworkIntrusionDetectionSystem,NIDS)等网络监控"i殳备的输出结果来获取。如果网络监控设备认为来自此主机的流量存在攻击,将通知交换机将路由矩阵中的对应节点的优先级降低,待消除攻击后再提高其优先级。1通过这种方式可以非常灵活的提高网络安全性,具体步骤不再详述。与现有技术相比,本发明具有以下优点通过应用本发明的技术方案,可以通过路由矩阵实现不同主机间的访问控制和路由矩阵优先级的设置,从而对整个网络的流量进行监管,由于路由矩阵可以非常简单的通过软件实现,可以和多种应用系统相结合,简化网络的监控,并提高了网络监控的灵活性。为了实现上述的本发明所提出的技术方案,本发明还提出了一种交换机,应用于包括一个交换机、至少一个用户终端和一个认证服务器的系统中,其中,交换机与至少一个用户终端和认证服务器分别连接,并与外部网络相连接。具体如图7所示,为本发明提出的一种交换机的结构示意图,包括存储模块71,用于存储保存有系统中各设备和/或外部网络之间的访问权限信息的路由矩阵;在具体的应用场景中,存储模块71所存储的路由矩阵中所包含的用户终端与系统中其他设备或外部网络的访问权限具体包括以下两种情况情况一、允许或拒绝用户终端访问系统中其他设备或外部网络的标识。仅标识了用户终端是否被允许访问系统中其他设备或外部网络,即仅存在"允许"和"拒绝"两种情况。情况二、用户终端访问系统中其他设备或外部网络的优先级标识,其中,最低级别的优先级标识表示拒绝用户终端访问系统中其他设备或外部网络。在这种情况下,不再简单的分为两种情况,而是根据设备间访问的重要程度和/或安全级别分为了多个访问级别,最低优先级级别表示拒绝访问,而优先级级别越高,则该优先级所对应的设备间的访问进程越会被优先处理,或被分配更多的系统资源用于高优先级的访问进程。通信模块72,用于接收系统中的各设备所发送的通信信息;查询模块73,与通信模块72和存储模块71相连接,用于当通信模块72接收到一个访问请求时,在存储模块71所存储的路由矩阵中查询访问请求的发送设备是否具有与访问请求的目的设备的访问权限;控制模块74,与查询模块73相连接,当查询模块73的查询结果为是时,允许发送设备访问目的设备,当查询模块73的查询结果为否时,拒绝发送设备访问目的设备。需要进一步指出的是,当存储模块71所存储的路由矩阵中所包含的用户他设备或外部网络的优先级标识时,控制模块74还用于根据查询模块73所查询到的发送访问请求的用户终端所具有的与访问请求的目的终端的优先级标识的级别,对用户终端的访问流量进行控制。在具体的应用场景中,当存储模块71所存储的路由矩阵中所包含的用户终端与系统中其他设备或外部网络的访问斥又限具体为用户终端访问系统中其他设备或外部网络的优先级标识时,交换机还包括判断模块75,用于判断系统中的各用户终端是否存在安全隐患;调整模块76,与判断模块75和存储模块71相连接,用于当判断模块75判断用户终端存在安全隐患时,降低存储模块71所存储的路由矩阵中用户终端所对应的访问系统中其他设备或外部网络的优先级标识的级别,或当判断模块75判断用户终端的安全隐患消除时,提高存储模块71所存储的路由矩阵中用户终端所对应的访问系统中其他设备或外部网络的优先级标识的级别。与现有技术相比,本发明具有以下优点通过应用本发明的技术方案,可以通过路由矩阵实现不同主机间的访问控制和路由矩阵优先级的设置,从而对整个网络的流量进行监管,由于路由矩阵可以非常简单的通过软件实现,可以和多种应用系统相结合,简化网络的监控,并提高了网络监控的灵活性。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求1、一种网络访问权限的管理方法,应用于包括一个交换机、至少一个用户终端和一个认证服务器的系统中,其中,所述交换机与所述至少一个用户终端和所述认证服务器分别连接,并与外部网络相连接,其特征在于,所述交换机中通过路由矩阵的形式保存所述系统中各设备和/或外部网络之间的访问权限,所述方法包括当所述交换机接收到一个访问请求时,所述交换机在所述路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限;当所述查询结果为是时,所述交换机允许所述发送设备访问所述目的设备,当所述查询结果为否时,所述交换机拒绝所述发送设备访问所述目的设备。2、如权利要求l所述的方法,其特征在于,当所述系统中加入新的用户终端时,所述方法还包括所述交换机在所述路由矩阵中标识所述用户终端具有所述认证服务器的访问权限,但不具有与所述系统中其他设备或外部网络的访问权限;当所述用户终端通过所述认证服务器的认证时,所述交换机根据预设的设备访问权限设置策略在所述路由矩阵中标识所述用户终端与所述系统中其他设备和/或外部网络之间的访问权限。3、如权利要求2所述的方法,其特征在于,当所述系统中加入新的用户终端时,所述方法还包括当所述交换机接收到指定所述用户终端与所述系统中的其它设备和/或外部网络之间的访问权限的信息时,直接根据所述信息在所述路由矩阵中标识所述用户终端与所述系统中其他设备和/或外部网络之间的访问权限。4、如权利要求1至3的任意一项所述的方法,其特征在于,所述用户终端与所述系统中其他设备或外部网络的访问权限,具体为允许或拒绝所述用户终端访问所述系统中其他设备或外部网络的标识;或,所述用户终端访问所述系统中其他设备或外部网络的优先级标识,其中,最低级别的优先级标识表示拒绝所述用户终端访问所述系统中其他设备或外部网络。5、如权利要求4所述的方法,其特征在于,当所述用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述交换机在所述路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限之后,具体包括所述交换机根据发送所述访问请求的用户终端所具有的与所述访问请求的目的终端的优先级标识的级别,对所述用户终端的访问流量进行控制。6、如权利要求4所述的方法,其特征在于,当所述用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述方法还包括当所述交换机判断用户终端存在安全隐患时,所述交换机降低所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别;当所述交换机判断用户终端的安全隐患消除时,所述交换积4是高所述用户终端所对应的访问所述系统中其他i殳备或外部网络的优先级标识的级别。7、一种交换机,应用于包括一个交换机、至少一个用户终端和一个认证服务器的系统中,其中,所述交换机与所述至少一个用户终端和所述认证服务器分别连接,并与外部网络相连接,其特征在于,包括存储模块,用于存储保存有所述系统中各设备和/或外部网络之间的访问权限信息的路由矩阵;通信模块,用于接收所述系统中的各设备所发送的通信信息;查询模块,与所述通信模块和所述存储模块相连接,用于当所述通信模块接收到一个访问请求时,在所述存储模块所存储的路由矩阵中查询所述访问请求的发送设备是否具有与所述访问请求的目的设备的访问权限;控制模块,与所述查询模块相连接,当所述查询模块的查询结果为是时,允许所述发送设备访问所述目的设备,当所述查询模块的查询结果为否时,拒绝所述发送设备访问所述目的设备。8、如权利要求7所述的交换机,其特征在于,所述存储^t块所存储的路由矩阵中所包含的用户终端与所述系统中其他设备或外部网络的访问权限,具体为允许或拒绝所述用户终端访问所述系统中其他设备或外部网络的标识;或,所述用户终端访问所述系统中其他设备或外部网络的优先级标识,其中,部网络》9、如权利要求8所述的交换机,其特征在于,当所述存储^t块所存储的路由矩阵中所包含的用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述控制模块,还用于根据所述查询模块所查询到的发送所述访问请求的用户终端所具有的与所述访问请求的目的终端的优先级标识的级别,对所述用户终端的访问流量进行控制。10、如权利要求8所述的交换机,其特征在于,当所述存储模块所存储的路由矩阵中所包含的用户终端与所述系统中其他设备或外部网络的访问权限具体为所述用户终端访问所述系统中其他设备或外部网络的优先级标识时,所述交换机还包括判断模块,用于判断所述系统中的各用户终端是否存在安全隐患;调整模块,与所述判断模块和所述存储模块相连接,用于当所述判断模块判断用户终端存在安全隐患时,降低所述存储模块所存储的路由矩阵中所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别,或当所述判断模块判断用户终端的安全隐患消除时,提高所述存储模块所存储的路由矩阵中所述用户终端所对应的访问所述系统中其他设备或外部网络的优先级标识的级别。全文摘要本发明公开了一种网络访问权限的管理方法和设备,通过路由矩阵实现不同主机间的访问控制和路由矩阵优先级的设置,从而对整个网络的流量进行监管,由于路由矩阵可以非常简单的通过软件实现,可以和多种应用系统相结合,简化网络的监控,并提高了网络监控的灵活性。文档编号H04L29/06GK101651697SQ20091017676公开日2010年2月17日申请日期2009年9月21日优先权日2009年9月21日发明者刘如冰,柳杨申请人:杭州华三通信技术有限公司