用户接入网络的权限设置方法和设备的制作方法

专利名称：用户接入网络的权限设置方法和设备的制作方法
技术领域：
本发明涉及通信技术领域，特别涉及一种用户接入网络的权限设置方法 和设备。
背景技术：
随着网络应用的不断普及与发展，网络安全逐渐成为各企业极为重视的 问题。其中，如何对用户进行接入控制是至关重要的问题，允许合法的用户 使用网络并对其进行正确的认证、授权是对用户进行网络接入控制的最基本
要求。远端拨入-^i正服务(Remote Access Dial In user Services, RADIUS )协 议是控制网络用户接入的标准协议，基于客户端/服务器(Client/Server, C/S) 模式。用户在接入网络之前必须先经过认证、授权与计费(Authentication Authorization Accounting, AAA)服务器的认证，保证只有通过认证的合法用 户才能访问网络。
在网络身份认证的基础之上，网络准入控制(Network Admission Control， NAC)技术方案的提出，对接入网络的用户终端提出了更为严格的安全要求。 网络准入控制方案是一个整合方案，其基本部件包括安全客户端、安全联动 设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。方 案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成 对网络接入终端的安全状态评估、隔离与修复，提升网络的整体防御能力。
个人计算机(PersonalComputer, PC)的台式机和便携计算机以及其他 可以进行网^4妄入的设备统称为终端，网络接入控制应用系统的客户端软件 都运行在各个终端上，网络准入控制方案要求对通过身份认证的用户进行终 端的安全认证，根据网络管理员定制的安全策略进行安全检查，例如病毒 库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等等。 根据检查的结果，网络准入控制方案对用户网络准入进行授权和控制。通过安全认证后，用户可以正常《吏用网络，与此同时，网络准入控制方案可以对 用户终端运行情况和网络使用情况进行审计和监控。
如图1所示，是一个用户接入网络的技术方案的典型组网图。 企业在引入网^#入控制技术方案时，往往在各个机构、部门按照相关 的信息安全政策制定不同的安全控制策略等。但是随着跨部门运作与办公协 同的发展，往往存在着对"漫游用户，，(网络接入用户从一个位置移动到另 一个位置，仍能正常使用网络即漫游)的网络接入认证和权限控制问题。
如图2所示，企业由于职能而划分为不同的行政区域，而每个行政区域因 为信息安全的需要而配置不同的网络安全控制策略。在实际工作中，往往存 在跨部门工作交流问题，例如图2中，某市场部员工携带笔记本电脑到^9f发部 进行工作交流，则可能存在如下问题
1 、如果该员工使用其接入用户名无法接入研发部网络(接入系统未授权 接入研发区域)，则该员工无法使用当前的网络资源；
2、如果该员工可接入研发区域，且使用研发区既定的网络安全控制策略, 可访问研:发区域的资源，则可能造成研发信息泄漏。
为解决漫游用户的接入问题，企业往往采用"多用户名、多域名，，的方 式来区别用户漫游到不同接入区域。用户在不同的接入区域使用不同的用户 名或者域名进行网络接入认证，认证接入服务器根据用户名、域名来识别不 同的安全控制策略并授予用户不同的访问权限。例如 "ABC"是接入市场部 网络的用户名，"ABC@research"(用户名+域名方式)是接入研发区网络的用 户名，"ABC.bj，，是接入北京办事处的用户名。这样该用户每次漫游到不同 的区域均使用不同的用户接入帐号进行网洛接入认证。
在实现本发明的过程中，申请人发现现有技术至少存在以下问题
1、 漫游用户需要记忆各种不同的接入帐号，每次接入到不同的区域均要 进行接入帐号的切换工作；
2、 若漫游用户在某接入区域未配置接入帐号和权限，需要请求网管人员 为其分配接入帐号和访问7f又限；
3、 大量的帐号管理配置和访问权限分配给网管人员带来大量重复工作；4、 无法对帐号的生命周期进行有效控制，例如某员工离职，其所在部门 的帐号虽然也同时注销，但是系统中其漫游帐号仍然存在，给企业网络带来 后门隐患；
5、 各行政区域缺乏对漫游用户的安全访问权限进行统一管理，难免因为 安全访问权限配置的不同，而造成某些漫游用户可访问未^:权的网络资源。

发明内容
本发明提供一种用户接入网络的权限设置方法和设备，使用户通过单一 帐号进行网络认证接入，并可以根据该用户的接入位置分配相应的网络访问 权限。
为达到上述目的，本发明一方面提供了一种用户接入网络的权限设置方 法，应用于包括网络认证服务器和多个网络接入区域的网络系统中，其中， 每个所述网络接入区域分别包括一个接入设备和至少 一个用户终端，所述网 络系统中建立至少一个用户账户，所述用户账户对应一个用户名，所述方法 包括
所述网络认证服务器分别为每个所述网络接入区域建立至少一种资源访 问权限；
所述网络认证服务器分别设置所述用户账户在每个所述网络接入区域中 所对应的资源访问;f又限；
的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息。 优选的，所述网络接入区域的位置识别信息，具体为 所述网络接入区域的接入设备的IP地址；或， 所述网症條入区域中的用户终端的IP地址。
优选的，如果所述网络接入区域的位置识别信息具体为所述网络接入区 域中的用户终端的IP地址，所述方法还包括
所述多个网络4妄入区域分别对应多个IP地址区间；
所述网络接入区域中所包括的用户终端的IP地址处于所述网络接入区域所对应的IP地址区间中。
优选的，当有用户账户请求访问资源时，所述方法还包括
名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请
求消息；
所述网络认证^^务器对所述用户账户的用户名和密码的匹配关系进行认 证，并获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对 应的网络接入区域中所对应的资源访问权限。
优选的，所述方法还包括
如果对所述用户账户的用户名和密码的匹配关系进行认证成功，所述网 络认证服务器向所述接入设备发送所述用户账户的认证确认信息，为所述用 户账户分配资源访问斥又限；
如果对所述用户账户的用户名和密码的匹配关系进行i人ii失败，或所述
信息所对应的网落接入区域中所对应的资源访问4又限失败，所述网络认证服 务器向所述接入设备发送认证失败消息，拒绝所述用户账户进行资源访问。
另一方面，本发明还提供了一种网络认证服务器，应用于包括网络认证 服务器和多个网^4妄入区域的网络系统中，其中，每个所述网^4妄入区域分 别包括一个接入设备和至少一个用户终端，所述网络系统中建立至少一个用 户账户，所述用户账户对应一个用户名，包括
设置模块，用于为每个所述网络接入区域建立至少一种资源访问权限， 并分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权 限；
存储模块，与所述设置模块电性连接，用于存储所述用户账户的用户名 的对应关系信息；
通信模块，与所述存储才莫块电性连接，用于接收所述接入设备发送的包含所述用户账户的用户名、密码和所述用户账户当前所处的网络接入区域的 位置识别信息的认证请求消息，并根据认证结果向所述接入设备发送所述用 户名的认证确认信息或认证失败消息，以及在用户名认证成功的情况下，向
接入设备发送所述用户的资源访问权限；
认证模块，与所述存储模块和所述通信模块电性连接，用于根据所述存 储模块所存储的访问权限信息与所述用户名在网络接入区域的对应关系，对
所述用户名在所述网络接入区域进行认证。
优选的，所述用户名所对应的用户账户当前所处的网络接入区域的位置 识别信息，具体为
所述网络接入区域的接入设备的IP地址；或，
所述网绍、接入区域中的用户终端的IP地址。
优选的，如果所述网络接入区域的位置识别信息具体为所述网络接入区 域中的用户终端的IP地址，具体还包括
所述多个网络接入区域分别对应多个IP地址区间；
所述网络接入区域中所包括的至少 一个用户终端的IP地址处于所述网络 接入区域所对应的IP地址区间中。
优选的，所述认证模块对用户账户在网络接入区域的认证，具体为
如果所述认证模块对用户账户的用户名和密码的匹配关系进行认证成
并根据访问权限信息与所述用户名在网络接入区域的对应关系，为所述用户 账户分配资源访问权限；
如果所述认证;漠块对所述用户账户的用户名和密码的匹配关系进行认证
域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败，所 述网络认证服务器向所述接入设备发送认证失败消息，拒绝所述用户账户进 行资源访问。
与现有技术相比，本发明具有以下优点
通过本发明，实现了基于用户的实际接入位置进行访问权限分配，可以避免由于接入区域变更而访问权限不可控，并可以对于各接入区域的非固定 工作人员采用统一的访问权限控制，而单一账号进行访问的方式也为用户的 使用提供了便利，在提高网络安全性的同时，改善了用户体验。


图1为现有技术中的网络接入控制技术方案的组网结构示意图； 图2为现有技术中的企业分区域组网结构示意图； 图3为本发明提供的一种用户接入网络的权限设置方法的流程示意图； 图4为本发明提供的一种根据用户接入网络的权限设置进行权限认证的 流程示意图5为本发明提供的一种802.1x认证的典型组网结构示意图； 图6为本发明提供的一种应用于802.1x认证的典型组网结构中的 RADIUS认证过程的流程示意图7为本发明提供的一种网络认证服务器的结构示意图。
具体实施例方式
如背景技术所述，现有的网络接入控制机制一方面无法对于在不同区域 之间进行漫游的用户的访问权限进行有效控制，增加了网络资源安全隐患， 另一方面，也不能对用户的访问权P艮信息进行有效的统一管理，增加了网络 管理的工作量，同时，也给用户在不同区域之间的网络资源访问带来了不便， 影响了用户体验。
所以，本发明希望通过用户实际接入网络的区域范围对用户的访问权限 进行区别设定。
为达到上述目的，本发明提供了一种用户接入网络的权限设置方法，应 用于包括网络认证服务器和多个网络接入区域的网络系统中，其中，每个网 络接入区域分别包括一个接入设备和至少 一个用户终端，该网络系统中建立 至少一个用户账户，该用户账户对应一个用户名。
如图3所示，该方法具体包括以下步骤步骤S301、网络认证服务器分别为每个网络接入区域建立至少一种资源 访问权限。
通过本步骤，可以根据需要，为网络接入区域设置多层次的访问权限规 则，对不同的用户账户进行资源访问时的资源访问范围进行控制。
步骤S302、网络认证服务器分别设置用户账户在每个网络接入区域中所 对应的资源访问权限。
设置同一个用户名在不同的网络接入区域中对应的资源访问权限，实现 同一个用户账户在不同的网络接入区域中可以通过同一个用户名进行资源访 问。
这些信息可以根据用户账户的具体属性或者访问规则具体设定。 步骤S303、网络认证服务器保存用户账户的用户名在每个网络接入区域 中的资源访问权限与网络接入区域的位置识别信息的对应关系信息。 其中，网络接入区域的位置识别信息具体包括两种情况 情况一、网络接入区域的接入设备的IP地址。
这种情况下，网络接入区域的接入设备直接被作为该网络区域中唯一的 认证点。
网络认证服务器并不在意用户账户是在该网络接入区域中的哪一台接入 终端中进行资源访问，因此，用户账户进行资源访问时，只需要告知网络认 证服务器当前所处的是哪一个网络接入区域即可，而该网络接入区域的接入 设备的IP地址可以实现这样的效果。
在实际的应用场景中，上述的接入设备通常是指接入层交换机，而相应 的网络接入区域的位置识别信息除了接入层交换机的IP地址信息之外，还可 以包括用户请求接入的端口信息，这样的变化并不影响本发明的保护范围。
这种情况多出现在802.1x认证的组网结构中。
情况二、网络接入区域中的用户终端的IP地址。
这种情况下是将接入终端的位置信息作为网络接入区域的标识，这样设 置的前提是网络认证服务器存储有全部接入终端的位置信息和该接入终端所 处的网络接入区域的对应关系，或者，接入终端的位置信息(IP地址)设置具有一定的规律性，比如，每个网络接入区域对应一定的IP地址范围，该网 ^4娄入区域中的所有接入终端的IP地址，都出与上述的IP地址范围之内。
在此种情况下，虽然是将接入终端的IP地址作为位置识别信息，但是， 网络认证服务器只是通过接入终端的IP地址找到对应的IP地址范围，从而确 定相对应的网络接入区域，因此，与情况一相类似的，网络认证服务器并不 在意用户账户是在该网络接入区域中的哪一台接入终端中进行资源访问，而 只是需要定位用户账户所处的网络接入区域。
这种情况多出现在Portal认证的组网结构中。
上述两种情况的具体信息内容虽然不同，但通过上述信息所最终获取的 目的信息是一致的，因此，在具体应用场景中，只要能够实现网络接入区域 的定位，具体应用上述那种信息，并不影响本发明的保护范围。
同时，上述的接入设备和接入终端的IP地址只是本发明的优选实施例， 其他能够达到相同技术效果的信息内容，也应属于本发明的保护范围。
在上述的权限设置过程完成后，如果出现用户账户请求进行资源访问的 情况，则首先根据上述的权限设置对该用户账户进行权限认证，该认证过程 如图4所示，具体包括以下步骤
步骤S401 、网络认证服务器接收接入设备发送的包含用户账户的用户名、 密码和用户账户当前所处的网络接入区域的位置识别信息的认证请求消息。
其中，根据网络接入区域的位置识别信息的具体内容，对应上述的两种
情况进行详细说明
情况一、用户账户当前所处的网^4妄入区域的接入设备的IP地址。 在这种情况中，用户通过一个用户账户的用户名在某个网绍甚入区域中
的任意一台用户终端中请求认证，该请求所对应的认证请求消息都会以接入
设备的IP地址为当前网络接入区域的唯一标识，向网络认证服务器请求用户
在当前网络接入区域中相应的权限认证。
情况二 、用户名所对应的用户进行认证的用户终端的IP地址。 在这种情况下，如果用户通过某个网络接入区域中的任意一台用户终端请求认i正时，在相应的i人i正请求消息中携带该用户终端的IP地址，由于先前 设定的IP地址处于当前网^4妄入区域所对应的IP地址区间中，所以，当携带 有该用户终端的IP地址的认证请求消息发送给网络认证服务器时，网络认证 服务器可以直接根据用户终端的IP地址确定其所处的IP地址区间，从而确定 对应的网洛接入区域，从而完成对用户所处区域位置的确定，并进而确定相 应的访问斥又限。
步骤S402、网络认证服务器对用户账户的用户名和密码的匹配关系进行 认证，并获取用户账户的用户名在网络"l妄入区域的位置识别信息所对应的网 络接入区域中所对应的资源访问权限。
在本步骤中，网络认证服务器首先对用户名和密码的匹配关系进行确认， 判断该用户名是否合法，如果该用户名和密码不对应，即判断该用户名不合 法，从而，无需进一步判断用户当前所处的网绍 接入区域，而直接拒绝该用 户名的访问请求。当然，在具体的应用场景中，也可以将用户名合法性认证 和权限认证同时进行，只是，如果用户名合法性认证失败，即使权限认证已 经完成，也不再返回权限认证的结果。
相反，如果该用户名和密码对应，即判断该用户名合法，继续进行后续 步骤，由于用户名和密码的匹配关系的判断并不是本发明所关注的重点，因
此，不再另行说明。
在本步骤中，网络认i正服务器明确了两点信息
1、用户名是否合法。
如果不合法，则直接拒绝用户的认证请求，如果合法，则开始进行用户 所处的网络接入区域的识别或者确认用户所处的网洛接入区域的识别有效。 2 、用户所处的网绐4妻入区域的识别。
确定用户所出的网络4妻入区域。
在上述两点信息明确后，网络认证服务器根据用户名和网络接入区域信 息直接确定该用户名在此网洛接入区域中的访问权限信息。
具体的访问权限信息是在前述的权限设置流程中，由管理员在网络认证服务器中提前统一设定的，对于具体的用户名，在多个网络接入区域中可以
分别具有不同的访问权限，例如用户在本身部门所属的网络接入区域中具 有不受限的访问权限，可以不受限的访问所有的网络资源，而在其他部门所 属的网络接入区域中具有受限的访问权限，用户只能访问部分网络资源，或 者完全不能访问当前的网络资源。
在具体的应用场景中，还可以设置缺省权限定义，当用户账户的用户名 在某个网^!妄入区域中没有设定相应的访问权限，即该用户名在某个网络接 入区域中的访问权限缺省时，网络认证服务器可以根据缺省权限定义，判定 该用户名在此网络接入区域中不具有资源访问权限，因此，不能访问当前网 ,入区域中的网络资源。
这样的缺省权限定义是出于网络资源安全的考虑，当然，在实际应用中， 也可以设定缺省权限定义为受限的资源访问^L限，即只能访问部分网络资源， 这些资源是公开资源，不会危害企业信息安全，这样的变化同样属于本发明 的保护范围。
相应的，根据上述的网络认证服务器对用户账户的用户名和密码的匹配 关系进行认证的结果，后续步骤也存在相应的区别，具体如下
如果对用户账户的用户名和密码的匹配关系进行认证成功，则执行步骤 S403;
如果对用户账户的用户名和密码的匹配关系进行认证失败，则执行步骤 S404。
步骤S403、网络认证服务器向接入设备发送用户账户的认证确认信息， 为用户账户分配资源访问权限。
步骤S404、网络认证服务器向接入设备发送认证失败消息，拒绝用户账 户进行资源访问。
本步骤对应的是用户账户的用户名和密码的匹配关系进行认证失败的情 况，在实际的应用场景中，网络认证服务器获取用户账户的用户名在网络接 入区域的位置识别信息所对应的网络接入区域中所对应的的资源访问权限失 败也可以导致本步骤的发生，即查不到资源访问权限信息或不能查资源访问权限信息则认为权限认证失败，当然，也可以根据上述的缺省权限定义进行 处理，这样的变化并不影响本发明的保护范围。
通过本发明，实现了基于用户的实际接入位置进行访问权限分配，可以 避免由于接入区域变更而访问权限不可控，并可以对于各接入区域的非固定 工作人员采用统一的访问权限控制，而单一账号进行访问的方式也为用户的 使用提供了便利，在提高网络安全性的同时，改善了用户体验。
通过上述说明可以看出，本发明所提出的技术方案的基本思路如下 根据接入用户的用户属性在各个网络接入区域中分配相应的访问权限； 网络认证服务器根据用户当前所处的网络接入区域识别该用户相应的访 问权限，并为其分配相应的网络资源。
在具体的实施场景中，上述的用户属性可以是该用户的工作职能，各个 网络接入区域可以是企业内具体的行政区域，网络接入区域的具体识别依据 可以是接入设备IP或者接入终端IP地址，当然，根据实际的需要，上述各项 内容也可以发生相应的变化，这样的变化同样属于本发明的保护范围。 下面结合具体的实施场景阐述本发明所提出的技术方案的实现思路。 企业网实现认证接入主要有802.1x和Portal两种方式。这两种组网方式 在本方案的实现方式上略有不同，但实现思路上基本相同。两者之间具体的 差别在于
在802.1x系统中，网络接入区域的具体识别依据是接入设备的IP地址， 例如接入层交换机的IP地址。
而在Portal系统中，网络接入区域的具体识别依据是接入终端的IP地址， 例如用户用来进^f亍网络访问的用户终端的IP地址。
为了避免具体叙述文字的重复，本发明的后续说明中将以802.1x认证组 网方式描述本发明的技术实现过程。
为了方便说明，本发明还给出了具体的组网模型，如图5所示，是一种 802.1x认证的典型组网图，每个接入终端将接入交换机作为认证点。
由于接入层交换机的网络特性，因此每个行政区域均拥有独立的一 台及多台接入设备。根据企业实际的情况，可将各行政区域内的接入设备的IP地
址作为识别接入区域的信息，RADIUS服务器可根据认证报文的接入设备的 IP地址识别接入用户是从什么区域接入网络。
基于上述的组网结构，本发明所提出的技术方案具体如图6所示，包括 以下步骤
步骤S601、根据行政划分网络接入区域，并在RADIUS服务器中设置各 种访问权限。
在RADIUS服务器(也可以是基于RADIUS服务器的网,入控制系统) 上为各接入区域配置各类访问权限。例如为本区域内的固定工作人员配置 级别较高的访问权限，包括可访问本行政区域网络的服务器、业务系统、存 储设备等资源的权限。而针对本区域内的非固定工作人员，例如漫游工作 人员、访客、合作供应商，可以根据需要提供最基本的网络访问权限，包括 可访问互联网，但不可访问本行政区域网络内的关键资源的权限。
步骤S602、 RADIUS服务器设置接入用户在各行政区域的访问权限。 根据接入用户的实际职能及工作需要，在RADIUS服务器(也可以M 于RADIUS服务器的网络接入控制系统)上为其分配访问权限。根据接入用 户的所属行政部门，为其设置适当的网络访问权限，以利于其在所属行政区 域正常访问工作需要的资源。若该用户有漫游到其他行政部门工作的需求， 则需要为其申请其他接入区域的访问权限。这种访问权限是经过统一定义的， 具体的权限内容可以根据需要进行设定，避免因工作场所漫游而导致的安全隐患。
步骤S603、接入主机向接入设备发送用户名和密码，请求进行认证。 接入用户无论在何行政区域接入上网，均采用固定用户名通过802.1x协 议认i正才妻入上网。
步骤S604、接入设备向RADIUS服务器发送包含用户名、密码和接入设 备IP地址信息的认证请求消息。
在收到用户进行认证的请求后，接入设备发送一个访问-请求 (Access-Request)消息到RADIUS服务器，此消息一般包含以下信息(1) 用户名；
(2) 加密格式的用户口令； (3 )接入"i殳备IP和端口 。
步骤S605、 RADIUS服务器向接入设备返回i人证成功或失败的消息。
如果RADIUS服务器对用户进行了成功的认证，就会发送一个访问-接受 (Access-Accept)消息？该消息包含了应用到用户的授权属性值(AVP)对；
如果RADIUS服务器不接受接入设备提供给RADIUS服务器的任何一个 值时，会发送一个访问-拒绝(Access-Reject)消息。
后续的步骤S606至步骤S611具体为认证成功后的资源访问流程，这并 分本发明关注的重点，因此，不再详细叙述。
需要指出的是，其中的计费过程，对于企业内部来讲，计费过程中的具 体计费数值一直为0。
由上述说明可以确认，在RADIUS认证过程中认证请求报文包含接入设 备IP和端口。由于在步骤S601中，通过将接入设备的IP组4艮据行政区域划 分设置成接入区域信息，并保存到RADIUS服务器中。因此，在认证时， RADIUS服务器可以判断接入用户是从何区域接入的。根据步骤S502中为用 户设置的在各个接入区域的访问权P艮信息，在接入用户认证成功后，RADIUS 服务器将符合既定安全策略的网络访问授权信息下发给接入设备，从而保证 了接入用户对网络的安全使用。
为了实现上述的技术方案，本发明还提供了一种网络认证服务器，应用 于包括网络认证服务器和多个网^4妻入区域的网络系统中，其中，每个网络 接入区域分别包括一个接入设备和至少 一个用户终端，网络系统中建立至少 一个用户账户，用户账户对应一个用户名。
如图7所示，网络认证服务器具体包括
设置冲莫块71，用于为每个网络接入区域建立至少一种资源访问权限，并 分别设置用户账户在每个网*錄入区域中所对应的资源访问权限。
存储模块72，与设置模块71电性连接，用于存储用户账户的用户名在每个网络接入区域中的资源访问权限与网络接入区域的位置识别信息的对应关 系信息。
通信模块73，与存储模块72电性连接，用于接收接入设备发送的包含用 户账户的用户名、密码和用户账户当前所处的网落接入区域的位置识别信息 的认证请求消息，并根据认证结果向接入设备发送用户名的认证确认信息或 认证失败消息，以及在用户名认证成功的情况下，向接入设^^发送该用户账 户的资源访问权限。
其中，在具体的应用场景中，用户名所对应的用户当前所处的网,入 区域的位置识别信息具体为
用户名所对应的用户当前所处的网络接入区域的接入设备的IP地址；或, 用户名所对应的用户当前所处的网绍4妻入区域中的用户终端的IP地址。 在具体的应用场景中，如果用户名所对应的用户当前所处的网绍4妄入区 域的位置识别信息具体为用户名所对应的用户进行认证的用户终端的IP地址， 网络认证服务器中还需要进行以下设定
多个网络接入区域分别对应多个IP地址区间；
网络接入区域中所包括的至少 一个用户终端的IP地址处于网络接入区域 所对应的IP地址区间中。
认证模块74,与存储模块72和通信模块73电性连接，用于根据存储模块 72所存储的访问权限信息，获取通信模块73所接收的用户名在网络接入区域 的位置识别信息所对应的网络接入区域中的访问权限信息。
在具体的应用场景中，认ii4莫块74对用户账户在网络接入区域的认证具 体通过以下方式实现。
如果认证模块74对用户账户的用户名和密码的匹配关系进行认证成功， 则通信模块73向接入设备发送用户账户的认证确认信息，并根据访问权限信 息与用户名在网全錄入区域的对应关系，为该用户账户分配资源访问权限；
如果认"iiD漠块74对所述用户账户的用户名和密码的匹配关系进行认证失 败，或认ii^莫块74向存储才莫块72获取用户账户的用户名在网络接入区域的位 置识别信息所对应的网络接入区域中所对应的资源访问权限失败，t通信模块73向接入设备发送认证失败消息，拒绝该用户账户进行资源访问。
通过本发明，实现了基于用户的实际接入位置进行访问权限分配，可以 避免由于接入区域变更而访问权限不可控，并可以对于各接入区域的非固定 工作人员采用统一的访问权限控制，而单一账号进行访问的方式也为用户的 使用提供了便利，在提高网络安全性的同时，改善了用户体验。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。 基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软 件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘，移动硬 盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服 务器，或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中 的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景 描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施 场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可 以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述，不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景，但是，本发明并非局限于 此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种用户接入网络的权限设置方法，应用于包括网络认证服务器和多个网络接入区域的网络系统中，其中，每个所述网络接入区域分别包括一个接入设备和至少一个用户终端，所述网络系统中建立至少一个用户账户，所述用户账户对应一个用户名，其特征在于，所述方法包括所述网络认证服务器分别为每个所述网络接入区域建立至少一种资源访问权限；所述网络认证服务器分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权限；所述网络认证服务器保存所述用户账户的用户名在每个网络接入区域中的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息。
2、 如权利要求1所述的方法，其特征在于，所述网络接入区域的位置识 别信息，具体为所述网^4妄入区域的接入设备的IP地址；或， 所述网络接入区域中的用户终端的IP地址。
3、 如权利要求2所述的方法，其特征在于，如果所述网络接入区域的位 置识别信息具体为所述网络接入区域中的用户终端的IP地址，所述方法还包 括..所述多个网络接入区域分別对应多个IP地址区间； 所述网络接入区域中所包括的用户终端的IP地址处于所述网络接入区域 所对应的IP地址区间中。
4、 如权利要求l所述的方法，其特征在于，当有用户账户请求访问资源 时，所述方法还包括所述网络认证服务器接收所述接入设备发送的包含所述用户账户的用户 名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请 求消息；所述网络认证服务器对所述用户账户的用户名和密码的匹配关系进行认 证，并获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对 应的网络接入区域中所对应的资源访问权限。
5、 如权利要求4所述的方法，其特征在于，还包括 如果对所述用户账户的用户名和密码的匹配关系进4亍认证成功，所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息，为所述用 户账户分配资源访问权限；如果对所述用户账户的用户名和密码的匹配关系进行认证失败，或所述 网络认证服务器获取所述用户账户的用户名在所述网络接入区域的位置识别 信息所对应的网络接入区域中所对应的资源访问;&限失败，所述网络认证月艮 务器向所述接入设备发送认证失败消息，拒绝所述用户账户进行资源访问。
6、 一种网络认证服务器，应用于包括网络认证服务器和多个网络接入区 域的网络系统中，其中，每个所述网络接入区域分别包括一个接入设备和至 少一个用户终端，所述网络系统中建立至少一个用户账户，所述用户账户对 应一个用户名，其特征在于，包括设置模块，用于为每个所述网络接入区域建立至少 一种资源访问权限， 并分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权 限；存储模块，与所述设置模块电性连接，用于存储所述用户账户的用户名 在每个网^#入区域中的资源访问权限与所述网络接入区域的位置识别信息 的对应关系信息；通信模块，与所述存储模块电性连接，用于接收所述接入设备发送的包 含所述用户账户的用户名、密码和所述用户账户当前所处的网络接入区域的 位置识别信息的认证请求消息，并根据认证结果向所述接入设备发送所述用 户名的认证确认信息或认证失败消息，以及在用户名认证成功的情况下，向 接入设备发送所述用户的资源访问权限；认证模块，与所述存储模块和所述通信模块电性连接，用于根据所述存 储模块所存储的访问权限信息与所述用户名在网络接入区域的对应关系，对 所述用户名在所述网络接入区域进行认证。
7、 如权利要求6所述的网络认证服务器，其特征在于，所述用户名所对应的用户账户当前所处的网络4妻入区域的位置识别信息，具体为 所述网络接入区域的接入设备的IP地址；或， 所述网M入区域中的用户终端的IP地址。
8、 如权利要求7所述的网络认证服务器，其特征在于，如果所述网, 入区域的位置识别信息具体为所述网络接入区域中的用户终端的IP地址，具 体还包括所述多个网络4秦入区域分别对应多个IP地址区间； 所述网络接入区域中所包括的至少一个用户终端的IP地址处于所述网络 接入区域所对应的IP地址区间中。
9、 如权利要求7所述的网络认证服务器，其特征在于，所述认证模块对 用户账户在网,入区域的认证，具体为如果所述认证才莫块对用户账户的用户名和密码的匹配关系进行认i正成 功，所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息， 并根据访问权限信息与所述用户名在网络接入区域的对应关系，为所述用户 账户分配资源访问权限；如果所述认证4莫块对所述用户账户的用户名和密码的匹配关系进行认证域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败，所 述网络认证服务器向所述接入设备发送认证失败消息，拒绝所述用户账户进 4亍资源i方问。
全文摘要
本发明公开了一种用户接入网络的权限设置方法和设备，应用于包括网络认证服务器和多个网络接入区域的网络系统中，所述网络认证服务器中保存至少一个用户名分别在所述多个网络接入区域中的访问权限信息，用户请求接入时提供用户名和当前所处网络接入区域的位置识别信息，获取相应的资源访问权限，进行网络接入。通过本发明，实现了基于用户的实际接入位置进行访问权限分配，可以避免由于接入区域变更而访问权限不可控，并可以对于各接入区域的非固定工作人员采用统一的访问权限控制，而单一账号进行访问的方式也为用户的使用提供了便利，在提高网络安全性的同时，改善了用户体验。
文档编号H04L29/06GK101582769SQ20091014879
公开日2009年11月18日 申请日期2009年7月3日 优先权日2009年7月3日
发明者贾晓巍 申请人:杭州华三通信技术有限公司