一种用户网络访问权限切换方法及其装置的制作方法

文档序号:7751007阅读:138来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种用户网络访问权限切换方法及其装置的制作方法
技术领域
本发明涉及通信技术领域的用户认证技术,特别是涉及一种用户网络访问权限切 换方法及其装置。
背景技术
一台PC在同一个时刻只能访问一个权限的网络,这样做是为了防止PC成为内外 网联通的节点,造成安全的隐患。但目前在用户认证领域,存在以下需求当用户使用安全 认证获取其安全权限后,能够实时的切换其访问网络的权限。针对该需求,目前的一种解决方式是使用户再次进行认证,并在认证通过后,通 过修改其登录的用户名称来获取不同的用户权限,从而实现用户访问网络权限的切换。相应的,有部分厂商实现了一种认证网关,该网关可根据用户访问数据的目的IP 地址进行识别,当用户访问某一权限的网络时,根据用户访问的目的地址,弹出相应的WEB 页面对用户进行认证。当用户访问了其他权限的网络时,重新弹出相应的认证页面,对用户 进行认证。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷上述认证网关需要部署在网络的交界处,或者部署在网络的接入层,需要对 网络进行改动,部署成本较高,并且使用WEB认证只能使用HTTP (HyperText Transfer Protocol,超文本传输协议)进行触发,使用起来存在部分限制。

发明内容
本发明提供了一种用户网络访问权限切换方法及其装置,用以实现用户网络访问 权限的切换。本发明提供的用户网络访问权限切换方法,应用于包含有Portal服务器、认证服 务器、安全策略服务器和认证客户端的Portal系统,该方法包括安全策略服务器为认证通过的认证客户端分配访问权限后,将所述访问权限的权 限控制信息发送给Portal服务器,并将所述认证客户端所能够使用的所有访问权限标识 信息发送给所述认证客户端;当安全策略服务器接收到所述认证客户端发送的请求更换访问权限的报文后,获 取其中携带的访问权限标识信息,并将与所述访问权限标识信息对应的权限控制信息发送 给Portal服务器,其中,所述访问权限标识信息是所述认证客户端从其接收到所能够使用 的所有访问权限标识信息中选择出的。上述方法中,所述安全策略服务器分配的访问权限是所述安全策略服务器为所述 认证客户端分配的默认访问权限;或者,是所述安全策略服务器根据从所述认证客户端获 取的安全状态信息,为所述认证客户端所分配的相适应的访问权限。上述方法中,安全策略服务器将与所述请求更换访问权限的报文中携带到的访问 权限标识信息所对应的权限控制信息发送给Portal服务器之后,还包括将所述请求更换访问权限的报文中携带的访问权限标识信息所对应的权限描述信息发送给所述认证客户 端;和/或,通知所述认证客户端更换了访问权限。上述方法中,安全策略服务器将与所述请求更换访问权限的报文中携带的访问权 限标识信息所对应的权限控制信息发送给Portal服务器,具体为安全策略服务器判断其所记录的所述认证客户端当前使用的访问权限,与所述请 求更换访问权限的报文中携带的访问权限标识信息所标识的访问权限是否相同,在两者不 相同时,将与所述报文中携带的访问权限标识信息所对应的权限控制信息发送给Portal 服务器。上述方法中,所述权限控制信息为访问控制列表ACL。本发明提供的安全策略服务器,应用于Portal系统,包括权限分配单元、获取单 元、确定单元和收发单元,其中权限分配单元,用于为认证通过的认证客户端分配访问权限;获取单元,与所述权限分配单元和所述收发单元连接,用于根据所述权限分配单 元分配的访问权限获取对应的权限控制信息;以及,根据所述收发单元接收到的来自于所 述认证客户端的请求更换访问权限的报文中携带的访问权限标识信息,获取对应的权限控 制信息;确定单元,用于在所述认证客户端认证通过后,确定所述认证客户端所能够使用 的所有访问权限标识信息;收发单元,用于将所述获取单元获取到的权限控制信息发送给Portal服务器,并 将所述确定单元确定出的访问权限标识信息发送给所述认证客户端;以及,接收所述认证 客户端发送的请求更换访问权限的报文,其中携带有所述认证客户端从其所接收到的访问 权限标识信息中选择出的访问权限标识信息。上述服务器中,所述权限分配单元具体用于,为所述认证通过的认证客户端分配 默认设置的访问权限;或者,根据从所述认证客户端获取到的安全状态信息,为所述认证客 户端分配的相适应的访问权限。上述服务器中,所述收发单元还用于,将与所述报文中携带的访问权限标识信息 所对应的权限控制信息发送给Portal服务器之后,将与所述报文中携带的访问权限标识 信息对应的权限描述信息发送给所述认证客户端;和/或,通知所述认证客户端更换了访 问权限。上述服务器中,所述获取单元具体用于,判断其所记录的所述认证客户端当前使 用的访问权限,与所述请求更换访问权限的报文中携带的访问权限标识信息所标识的访问 权限是否相同,并在两者不相同时,将与所述报文中携带的访问权限标识信息所对应的权 限控制信息发送给Portal服务器。上述服务器中,所述获取单元获取到的访问权限信息为ACL。本发明提供的客户端设备,应用于Portal系统,该设备包括收发单元和选择单 元,其中收发单元,用于接收所述认证客户端设备所能够使用的所有访问权限标识信息; 以及,将所述选择单元选择出的权限标识信息携带于请求更换访问权限的报文,并将该报 文发送给安全策略服务器;
选择单元,与所述收发单元连接,用于从所述收发单元接收到的所述访问权限标 识信息中选择权限标识信息。上述客户端设备中,所述收发单元还用于,在所述安全策略服务器根据所述请求 更换访问权限的报文为所述客户端设备更换访问权限后,接收所述安全策略服务器发送的 更换后的访问权限标识信息所对应的权限描述信息,和/或,更换了访问权限的通知信息。本发明的有益技术效果包括本发明通过在认证客户端认证通过后,由安全策略服务器将该认证客户端所能够 使用的所有访问权限的标识信息发送给该认证客户端,使该认证客户端可以在需要切换访 问权限时,从其中选择访问权限提交给安全策略服务器,由安全策略服务器进行相应的安 全策略部署后,使用相应的访问权限对该认证客户端的网络访问行为进行控制。与现有技 术相比,无需要求客户端重新登录或认证,从而节省了网络交互过程,进而节省了网络资源 开销。


图1为本发明实施例提供的用户网络访问权限切换流程示意图;图2为本发明实施例提供的认证服务器的结构示意图;图3为本发明实施例提供的客户端设备的结构示意图。
具体实施例方式为了解决现有技术存在的上述问题,本发明实施例提出了一种用户网络访问权限 切换的技术方案。该技术方案,通过在认证客户端认证通过后,由安全策略服务器将该认证 客户端所能够使用的访问权限列表发送给该客户端,从而使该客户端能够根据在其中选择 访问权限进行权限切换。下面结合附图对本发明实施例进行详细描述。本发明实施例所涉及的网络架构为Portal网络架构,其中可包括如下网络实体 认证客户端、Portal服务器、认证服务器和安全策略服务器,其中Portal服务器,主要负责对认证客户端的网络访问行为进行控制;认证月艮务器可以是Radius (Remote Authentication Dial In User Service,远程 用户拨号认证服务)服务器,主要负责对认证客户端进行身份认证;安全策略服务器,主要负责进行安全策略部署。基于上述网络架构,以认证服务器为Radius服务器为例,图1示出了本发明实施 例提供的用户网络访问权限切换流程示意图。如图1所示,该流程可包括步骤101、认证客户端开始进行认证。具体的,认证客户端向Portal服务器发送认证请求,以触发用户认证流程。步骤102、Portal服务器和Radius服务器之间进行认证协议交互,以对该认证客 户端进行认证。具体的,Portal服务器将认证请求转发给Radius服务器,Radius服务器对该认证 客户端进行认证。步骤103、Radius服务器在对该认证客户端认证通过后,将安全策略服务器信息(如IP地址)发送给该认证客户端。步骤104、认证客户端根据获得到的安全策略服务器的地址,与安全策略服务器交 互安全认证报文,以使安全策略服务器能够获取或确定认证客户端的安全状态。具体的,安全策略服务器与认证客户端之间通过安全认证报文交换安全状态信 息,以使安全策略服务器可以获取或进一步确定认证客户端的安全状态。安全状态可包括 认证客户端上一次使用的访问权限、认证客户端上的系统配置信息,如认证客户端的操作 系统类型、认证客户端上的防病毒系统版本等。步骤105、当安全策略服务器获取到认证客户端的安全状态后,根据安全策略为该 认证客户端分配与其当前安全状态对应的访问权限,并将该访问权限的权限控制信息发送 给Portal服务器。具体的,安全策略服务器获取认证客户端的安全状态并确定对应的访问权限后, 将该访问权限的ACUAccess Control List,访问控制权限列表)发送给Portal服务器,以 便Portal服务器根据该ACL控制该认证客户端对网络的访问行为。通常,网络设备为了处理特定的数据包,需要配置一系列的匹配规则,以识别需要 处理的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据 包通过。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、 目的地址、端口号等。对于这些特定的数据包,ACL可以根据用户需要进行不同的处理策略, 例如Trap (标记)、Mirror (镜像)、DSCP设置(优先级置换)、Drop (丢弃)、流量统计,流 量限制等等。例如本实施例中采用的ACL规则可以是对于源地址为该认证客户端的网络地址、目 标地址为指定网站的网络地址的报文,设置Deny或Permit权限,即表示拒绝或允许该报文 通过,即拒绝或允许该认证客户端访问该目的地址对应的网站,从而实现对该认证客户端 的访问权限控制。步骤106、安全策略服务器通知认证客户端安全认证成功,并将该认证客户端的访 问权限列表发送给该认证客户端。该访问权限列表中包括该认证客户端可使用的一个或多 个访问权限,访问列表中的访问权限可由对应的权限标识或权限说明来表示。在安全策略 服务器端,对应每个访问权限设置有对应的ACL。具体的,安全策略服务器可以以字符串的方式,将认证客户端的访问权限列表或 权限说明下发给认证客户端,认证客户端在接收到该访问权限列表后,可以提示用户其所 拥有的网络使用权限。在认证客户端初始认证通过后,认证客户端根据默认设置的访问权限接入默认网 络进行网络访问,其间,Portal服务器根据该认证客户端的访问权限对应的ACL控制该认 证客户端的网络访问行为。当认证客户端需要切换到其他访问权限的网络或使用其他访问 权限时,可执行以下操作步骤107、认证客户端选择访问权限列表中的访问权限,并上报给安全策略服务
o具体的,用户可通过认证客户端所在终端的屏幕操作,从屏幕上显示的访问权限 列表中选择不同于当前访问权限的权限,然后通过提交命令,将选择的访问权限标识信息(如权限标识或权限说明)通过请求变更访问权限的报文发送给安全策略服务器。步骤108、安全策略服务器接收到该认证客户端上报的访问权限标识信息后,将该 访问权限标识信息所对应的权限控制信息(如该访问权限对应的ACL)发送给Portal服务 器,并可进一步记录该认证客户端当前的访问权限。后续,Portal服务器可根据接收到的 该认证客户端的访问权限对应的ACL对该认证客户端的网络访问行为进行控制。步骤109、安全策略服务器通知认证客户端其新的网络使用权限,如通知其访问权 限描述信息,或者通知客户端其访问权限发生了变化(该步骤可选),使认证客户端能够知 道当前使用的网络访问权限。上述流程中,如果认证客户端所选择的访问权限与当前使用的访问权限相同,也 可以按照上述流程执行。较佳地,如果认证客户端所选择的访问权限与当前使用的访问权 限相同,安全策略服务器可根据其记录的该认证客户端当前所使用的访问权限判断出认证 客户端所重新选择的访问权限就是其当前使用的权限,此种情况下,安全策略服务器可以 不向Portal服务器发送相应的ACL,并可进一步通知认证客户端其所选择的访问权限与当 前使用的访问权限相同,以节省消息开销,进而节省网络资源。上述流程中,在安全策略服务器上为认证客户端配置访问权限时,可针对每一个 用户名,配置一个默认或初始权限,作为优先的权限下发给Radius服务器,并可进一步下 发给认证客户端,以使认证客户端根据该权限进行网络访问。上述流程中,当认证客户端使用初始访问权限时,在认证客户端上能够根据情况 由用户实时的对其所使用的权限进行动态切换,在切换后,从认证客户端侧、Portal服务器 侧到Radius服务器侧,所有涉及到该认证客户端当前信息的内容都将被修改,从而实现使 用新的访问权限对该认证客户端的网络访问行为进行控制。上述流程可采用安全认证报文与RADIUS报文进行交互,为避免Portal与802. IX 的兼容性问题,还可支持Portal与802. IX报文交互。根据以上描述可以看出,本发明的上述实施例中,在认证客户端认证通过后,由安 全策略服务器将该认证客户端的访问权限列表(其中包括有该认证客户端所能够使用的 所有访问权限标识信息)发送给该认证客户端,使该认证客户端可以在需要切换访问权限 时,从该访问权限列表中选择新的访问权限提交给安全策略服务器,由安全策略服务器进 行相应的安全策略部署后,使用新的访问权限对该认证客户端的网络访问行为进行控制。 与现有技术相比,无需要求客户端重新登录或认证,从而节省了网络交互过程,进而节省了 网络资源开销。基于相同的技术构思,本发明实施例还提供了一种安全策略服务器,可应用于如 图1所示的流程。如图2所示,该安全策略服务器可包括权限分配单元201、获取单元202、确定单 元203和收发单元204,其中权限分配单元201,用于为认证通过的认证客户端分配访问权限;获取单元202,与权限分配单元201和收发单元204连接,用于根据权限分配单元 201分配的访问权限获取对应的权限控制信息;以及,根据收发单元204接收到的来自于所 述认证客户端的请求更换访问权限的报文中携带的访问权限标识信息,获取对应的权限控 制信息;
确定单元203,用于在所述认证客户端认证通过后,确定所述认证客户端所能够使 用的所有访问权限标识信息;收发单元204,与确定单元203连接,用于将获取单元202获取到的权限控制信息 发送给Portal服务器,并将确定单元203确定出的访问权限标识信息发送给所述认证客户 端;以及,接收所述认证客户端发送的请求更换访问权限的报文,其中携带有所述认证客户 端从其所接收到的访问权限标识信息中选择出的访问权限标识信息。上述安全策略服务器中,权限分配单元201可为所述认证通过的认证客户端分配 默认设置的访问权限;或者,根据从所述认证客户端获取到的安全状态信息,为所述认证客 户端分配的相适应的访问权限。上述安全策略服务器中,收发单元204还可将与所述报文中携带的访问权限标识 信息所对应的权限控制信息发送给Portal服务器之后,将与所述报文中携带的访问权限 标识信息对应的权限描述信息发送给所述认证客户端;或者,通知所述认证客户端更换了 访问权限。上述安全策略服务器中,获取单元202可先判断其所记录的所述认证客户端当前 使用的访问权限,与所述请求更换访问权限的报文中携带的访问权限标识信息所标识的访 问权限是否相同,并在两者不相同时,再将与所述报文中携带的访问权限标识信息所对应 的权限控制信息发送给Portal服务器。上述安全策略服务器中,获取单元202所获取到的访问权限信息为ACL。本发明实施例还提供了一种客户端设备,该客户端设备可应用于上述的Portal 系统以及处理流程。如图3所示,该客户端设备可包括收发单元31和选择单元32,其中收发单元31,用于接收所述认证客户端设备所能够使用的所有访问权限标识信 息;以及,将选择单元32选择出的权限标识信息携带于请求更换访问权限的报文,并将该 报文发送给安全策略服务器;选择单元32,与收发单元31连接,用于从收发单元31接收到的所述访问权限标识 信息中选择权限标识信息。上述客户端设备中,收发单元31还可用于,在所述安全策略服务器根据所述请求 更换访问权限的报文为所述客户端设备更换访问权限后,接收所述安全策略服务器发送的 更换后的访问权限标识信息所对应的权限描述信息,和/或,更换了访问权限的通知信息, 并可进一步将接收到的信息通过显式单元进行显示。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视本发明的保护范围。
权利要求
一种用户网络访问权限切换方法,应用于包含有Portal服务器、认证服务器、安全策略服务器和认证客户端的Portal系统,其特征在于,该方法包括安全策略服务器为认证通过的认证客户端分配访问权限后,将所述访问权限的权限控制信息发送给Portal服务器,并将所述认证客户端所能够使用的所有访问权限标识信息发送给所述认证客户端;当安全策略服务器接收到所述认证客户端发送的请求更换访问权限的报文后,获取其中携带的访问权限标识信息,并将与所述访问权限标识信息对应的权限控制信息发送给Portal服务器,其中,所述访问权限标识信息是所述认证客户端从其接收到所能够使用的所有访问权限标识信息中选择出的。
2.如权利要求1所述的方法,其特征在于,所述安全策略服务器分配的访问权限是所 述安全策略服务器为所述认证客户端分配的默认访问权限;或者,是所述安全策略服务器 根据从所述认证客户端获取的安全状态信息,为所述认证客户端所分配的相适应的访问权 限。
3.如权利要求1所述的方法,其特征在于,安全策略服务器将与所述请求更换访问权 限的报文中携带到的访问权限标识信息所对应的权限控制信息发送给Portal服务器之 后,还包括将所述请求更换访问权限的报文中携带的访问权限标识信息所对应的权限描述信息 发送给所述认证客户端;和/或,通知所述认证客户端更换了访问权限。
4.如权利要求1所述的方法,其特征在于,安全策略服务器将与所述请求更换访问权 限的报文中携带的访问权限标识信息所对应的权限控制信息发送给Portal服务器,具体 为安全策略服务器判断其所记录的所述认证客户端当前使用的访问权限,与所述请求更 换访问权限的报文中携带的访问权限标识信息所标识的访问权限是否相同,在两者不相同 时,将与所述报文中携带的访问权限标识信息所对应的权限控制信息发送给Portal服务o
5.如权利要求1至4任一项所述的方法,其特征在于,所述权限控制信息为访问控制列 表 ACL。
6.一种安全策略服务器,应用于Portal系统,其特征在于,包括权限分配单元、获取单 元、确定单元和收发单元,其中权限分配单元,用于为认证通过的认证客户端分配访问权限;获取单元,与所述权限分配单元和所述收发单元连接,用于根据所述权限分配单元分 配的访问权限获取对应的权限控制信息;以及,根据所述收发单元接收到的来自于所述认 证客户端的请求更换访问权限的报文中携带的访问权限标识信息,获取对应的权限控制信 息;确定单元,用于在所述认证客户端认证通过后,确定所述认证客户端所能够使用的所 有访问权限标识信息;收发单元,用于将所述获取单元获取到的权限控制信息发送给Portal服务器,并将所 述确定单元确定出的访问权限标识信息发送给所述认证客户端;以及,接收所述认证客户 端发送的请求更换访问权限的报文,其中携带有所述认证客户端从其所接收到的访问权限标识信息中选择出的访问权限标识信息。
7.如权利要求6所述的服务器,其特征在于,所述权限分配单元具体用于,为所述认证 通过的认证客户端分配默认设置的访问权限;或者,根据从所述认证客户端获取到的安全 状态信息,为所述认证客户端分配的相适应的访问权限。
8.如权利要求6所述的服务器,其特征在于,所述收发单元还用于,将与所述报文中携 带的访问权限标识信息所对应的权限控制信息发送给Portal服务器之后,将与所述报文 中携带的访问权限标识信息对应的权限描述信息发送给所述认证客户端;和/或,通知所 述认证客户端更换了访问权限。
9.如权利要求6所述的服务器,其特征在于,所述获取单元具体用于,判断其所记录的 所述认证客户端当前使用的访问权限,与所述请求更换访问权限的报文中携带的访问权限 标识信息所标识的访问权限是否相同,并在两者不相同时,将与所述报文中携带的访问权 限标识信息所对应的权限控制信息发送给Portal服务器。
10.如权利要求6至9任一项所述的服务器,其特征在于,所述获取单元获取到的访问 权限信息为ACL。
11.一种客户端设备,应用于Portal系统,其特征在于,包括收发单元和选择单元,其中收发单元,用于接收所述认证客户端设备所能够使用的所有访问权限标识信息;以及, 将所述选择单元选择出的权限标识信息携带于请求更换访问权限的报文,并将该报文发送 给安全策略服务器;选择单元,与所述收发单元连接,用于从所述收发单元接收到的所述访问权限标识信 息中选择权限标识信息。
12.如权利要求11所述的客户端设备,其特征在于,所述收发单元还用于,在所述安全 策略服务器根据所述请求更换访问权限的报文为所述客户端设备更换访问权限后,接收所 述安全策略服务器发送的更换后的访问权限标识信息所对应的权限描述信息,和/或,更 换了访问权限的通知信息。
全文摘要
本发明公开了一种用户网络访问权限切换方法及其装置,应用于包含有Portal服务器、认证服务器、安全策略服务器和认证客户端的Portal系统,该方法包括安全策略服务器为认证通过的客户端分配访问权限后,将该访问权限的权限控制信息发送给Portal服务器,并将该客户端所能够使用的所有访问权限标识发送给该客户端;当安全策略服务器接收到该客户端发送的请求更换访问权限的报文后,获取其中的访问权限标识,并将与该标识对应的权限控制信息发送给Portal服务器,其中,访问权限标识是该客户端从其接收到所能够使用的所有访问权限标识中选择出的。采用本发明可实现在不重新认证的情况下进行用户网络访问权限的切换。
文档编号H04L29/06GK101867579SQ20101019579
公开日2010年10月20日 申请日期2010年6月9日 优先权日2010年6月9日
发明者乔肖桉 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:乔肖桉
  • 技术所有人:杭州华三通信技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2