CN101582769B - 用户接入网络的权限设置方法和设备 - Google Patents
用户接入网络的权限设置方法和设备 Download PDFInfo
- Publication number
- CN101582769B CN101582769B CN2009101487926A CN200910148792A CN101582769B CN 101582769 B CN101582769 B CN 101582769B CN 2009101487926 A CN2009101487926 A CN 2009101487926A CN 200910148792 A CN200910148792 A CN 200910148792A CN 101582769 B CN101582769 B CN 101582769B
- Authority
- CN
- China
- Prior art keywords
- network
- user
- network insertion
- user account
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用户接入网络的权限设置方法和设备,应用于包括网络认证服务器和多个网络接入区域的网络***中,所述网络认证服务器中保存至少一个用户名分别在所述多个网络接入区域中的访问权限信息,用户请求接入时提供用户名和当前所处网络接入区域的位置识别信息,获取相应的资源访问权限,进行网络接入。通过本发明,实现了基于用户的实际接入位置进行访问权限分配,可以避免由于接入区域变更而访问权限不可控,并可以对于各接入区域的非固定工作人员采用统一的访问权限控制,而单一账号进行访问的方式也为用户的使用提供了便利,在提高网络安全性的同时,改善了用户体验。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种用户接入网络的权限设置方法和设备。
背景技术
随着网络应用的不断普及与发展,网络安全逐渐成为各企业极为重视的问题。其中,如何对用户进行接入控制是至关重要的问题,允许合法的用户使用网络并对其进行正确的认证、授权是对用户进行网络接入控制的最基本要求。远端拨入验证服务(Remote Access Dial In user Services,RADIUS)协议是控制网络用户接入的标准协议,基于客户端/服务器(Client/Server,C/S)模式。用户在接入网络之前必须先经过认证、授权与计费(AuthenticationAuthorization Accounting,AAA)服务器的认证,保证只有通过认证的合法用户才能访问网络。
在网络身份认证的基础之上,网络准入控制(Network Admission Control,NAC)技术方案的提出,对接入网络的用户终端提出了更为严格的安全要求。网络准入控制方案是一个整合方案,其基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。方案中的各部件各司其职,由安全策略中心协调与整合各功能部件,共同完成对网络接入终端的安全状态评估、隔离与修复,提升网络的整体防御能力。
个人计算机(Personal Computer,PC)的台式机和便携计算机以及其他可以进行网络接入的设备统称为终端,网络接入控制应用***的客户端软件都运行在各个终端上,网络准入控制方案要求对通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行安全检查,例如:病毒库更新情况、***补丁安装情况、软件的黑白名单、U盘外设使用情况等等。根据检查的结果,网络准入控制方案对用户网络准入进行授权和控制。通过 安全认证后,用户可以正常使用网络,与此同时,网络准入控制方案可以对用户终端运行情况和网络使用情况进行审计和监控。
如图1所示,是一个用户接入网络的技术方案的典型组网图。
企业在引入网络接入控制技术方案时,往往在各个机构、部门按照相关的信息安全政策制定不同的安全控制策略等。但是随着跨部门运作与办公协同的发展,往往存在着对“漫游用户”(网络接入用户从一个位置移动到另一个位置,仍能正常使用网络即漫游)的网络接入认证和权限控制问题。
如图2所示,企业由于职能而划分为不同的行政区域,而每个行政区域因为信息安全的需要而配置不同的网络安全控制策略。在实际工作中,往往存在跨部门工作交流问题,例如图2中,某市场部员工携带笔记本电脑到研发部进行工作交流,则可能存在如下问题:
1、如果该员工使用其接入用户名无法接入研发部网络(接入***未授权接入研发区域),则该员工无法使用当前的网络资源;
2、如果该员工可接入研发区域,且使用研发区既定的网络安全控制策略,可访问研发区域的资源,则可能造成研发信息泄漏。
为解决漫游用户的接入问题,企业往往采用“多用户名、多域名”的方式来区别用户漫游到不同接入区域。用户在不同的接入区域使用不同的用户名或者域名进行网络接入认证,认证接入服务器根据用户名、域名来识别不同的安全控制策略并授予用户不同的访问权限。例如“ABC”是接入市场部网络的用户名,“ABCresearch”(用户名+域名方式)是接入研发区网络的用户名,“ABC.bj”是接入北京办事处的用户名。这样该用户每次漫游到不同的区域均使用不同的用户接入帐号进行网络接入认证。
在实现本发明的过程中,申请人发现现有技术至少存在以下问题:
1、漫游用户需要记忆各种不同的接入帐号,每次接入到不同的区域均要进行接入帐号的切换工作;
2、若漫游用户在某接入区域未配置接入帐号和权限,需要请求网管人员为其分配接入帐号和访问权限;
3、大量的帐号管理配置和访问权限分配给网管人员带来大量重复工作;
4、无法对帐号的生命周期进行有效控制,例如某员工离职,其所在部门的帐号虽然也同时注销,但是***中其漫游帐号仍然存在,给企业网络带来后门隐患;
5、各行政区域缺乏对漫游用户的安全访问权限进行统一管理,难免因为安全访问权限配置的不同,而造成某些漫游用户可访问未授权的网络资源。
发明内容
本发明提供一种用户接入网络的权限设置方法和设备,使用户通过单一帐号进行网络认证接入,并可以根据该用户的接入位置分配相应的网络访问权限。
为达到上述目的,本发明一方面提供了一种用户接入网络的权限设置方法,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个所述网络接入区域分别包括一个接入设备和至少一个用户终端,所述网络***中建立至少一个用户账户,所述用户账户对应一个用户名,所述方法包括:
所述网络认证服务器分别为每个所述网络接入区域建立至少一种资源访问权限;
所述网络认证服务器分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权限;
所述网络认证服务器保存所述用户账户的用户名在每个网络接入区域中的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息;
当有用户账户请求访问资源时,所述网络认证服务器接收接入设备转发的用户账户信息和所述接入设备自身的位置识别信息,并确定所述用户账户在所述位置识别信息所对应的网络接入区域中所对应的资源访问权限;
其中,所述网络接入区域具体为所述用户账户请求访问的网络区域。
优选的,所述网络接入区域的位置识别信息,具体为:
所述网络接入区域的接入设备的IP地址;或,
所述网络接入区域中的用户终端的IP地址。
优选的,如果所述网络接入区域的位置识别信息具体为所述网络接入区域中的用户终端的IP地址,所述方法还包括:
所述多个网络接入区域分别对应多个IP地址区间;
所述网络接入区域中所包括的用户终端的IP地址处于所述网络接入区域所对应的IP地址区间中。
优选的,当有用户账户请求访问资源时,所述网络认证服务器接收接入设备转发的用户账户信息和所述接入设备自身的位置识别信息,并确定所述用户账户在所述位置识别信息所对应的网络接入区域中所对应的资源访问权限,具体包括:
所述网络认证服务器接收所述接入设备发送的包含所述用户账户的用户名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请求消息;
所述网络认证服务器对所述用户账户的用户名和密码的匹配关系进行认证,并获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限。
优选的,所述方法还包括:
如果对所述用户账户的用户名和密码的匹配关系进行认证成功,所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息,为所述用户账户分配资源访问权限;
如果对所述用户账户的用户名和密码的匹配关系进行认证失败,或所述网络认证服务器获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败,所述网络认证服务器向所述接入设备发送认证失败消息,拒绝所述用户账户进行资源访问。
另一方面,本发明还提供了一种网络认证服务器,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个所述网络接入区域分别包括一个接入设备和至少一个用户终端,所述网络***中建立至少一个用户账户,所述用户账户对应一个用户名,包括:
设置模块,用于为每个所述网络接入区域建立至少一种资源访问权限,并分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权限;
存储模块,与所述设置模块电性连接,用于存储所述用户账户的用户名在每个网络接入区域中的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息;
通信模块,与所述存储模块电性连接,用于接收所述接入设备发送的包含所述用户账户的用户名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请求消息,并根据认证结果向所述接入设备发送所述用户名的认证确认信息或认证失败消息,以及在用户名认证成功的情况下,向接入设备发送所述用户的资源访问权限;
认证模块,与所述存储模块和所述通信模块电性连接,用于当有用户账户请求访问资源时,根据所述通信模块所接收到的接入设备转发的所述用户账户的用户名、密码和所述接入设备自身的位置识别信息,以及所述存储模块所存储的访问权限信息与所述用户名在网络接入区域的对应关系,对所述用户名在所述网络接入区域进行认证;
其中,所述网络接入区域具体为所述用户账户请求访问的网络区域。
优选的,所述用户名所对应的用户账户当前所处的网络接入区域的位置识别信息,具体为:
所述网络接入区域的接入设备的IP地址;或,
所述网络接入区域中的用户终端的IP地址。
优选的,如果所述网络接入区域的位置识别信息具体为所述网络接入区域中的用户终端的IP地址,具体还包括:
所述多个网络接入区域分别对应多个IP地址区间;
所述网络接入区域中所包括的至少一个用户终端的IP地址处于所述网络接入区域所对应的IP地址区间中。
优选的,所述认证模块对用户账户在网络接入区域的认证,具体为:
如果所述认证模块对用户账户的用户名和密码的匹配关系进行认证成功,所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息,并根据访问权限信息与所述用户名在网络接入区域的对应关系,为所述用户账户分配资源访问权限;
如果所述认证模块对所述用户账户的用户名和密码的匹配关系进行认证失败,或所述网络认证服务器获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败,所述网络认证服务器向所述接入设备发送认证失败消息,拒绝所述用户账户进行资源访问。
与现有技术相比,本发明具有以下优点:
通过本发明,实现了基于用户的实际接入位置进行访问权限分配,可以 避免由于接入区域变更而访问权限不可控,并可以对于各接入区域的非固定工作人员采用统一的访问权限控制,而单一账号进行访问的方式也为用户的使用提供了便利,在提高网络安全性的同时,改善了用户体验。
附图说明
图1为现有技术中的网络接入控制技术方案的组网结构示意图;
图2为现有技术中的企业分区域组网结构示意图;
图3为本发明提供的一种用户接入网络的权限设置方法的流程示意图;
图4为本发明提供的一种根据用户接入网络的权限设置进行权限认证的流程示意图;
图5为本发明提供的一种802.1x认证的典型组网结构示意图;
图6为本发明提供的一种应用于802.1x认证的典型组网结构中的RADIUS认证过程的流程示意图;
图7为本发明提供的一种网络认证服务器的结构示意图。
具体实施方式
如背景技术所述,现有的网络接入控制机制一方面无法对于在不同区域之间进行漫游的用户的访问权限进行有效控制,增加了网络资源安全隐患,另一方面,也不能对用户的访问权限信息进行有效的统一管理,增加了网络管理的工作量,同时,也给用户在不同区域之间的网络资源访问带来了不便,影响了用户体验。
所以,本发明希望通过用户实际接入网络的区域范围对用户的访问权限进行区别设定。
为达到上述目的,本发明提供了一种用户接入网络的权限设置方法,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个网络接入区域分别包括一个接入设备和至少一个用户终端,该网络***中建立至少一个用户账户,该用户账户对应一个用户名。
如图3所示,该方法具体包括以下步骤:
步骤S301、网络认证服务器分别为每个网络接入区域建立至少一种资源访问权限。
通过本步骤,可以根据需要,为网络接入区域设置多层次的访问权限规则,对不同的用户账户进行资源访问时的资源访问范围进行控制。
步骤S302、网络认证服务器分别设置用户账户在每个网络接入区域中所对应的资源访问权限。
设置同一个用户名在不同的网络接入区域中对应的资源访问权限,实现同一个用户账户在不同的网络接入区域中可以通过同一个用户名进行资源访问。
这些信息可以根据用户账户的具体属性或者访问规则具体设定。
步骤S303、网络认证服务器保存用户账户的用户名在每个网络接入区域中的资源访问权限与网络接入区域的位置识别信息的对应关系信息。
其中,网络接入区域的位置识别信息具体包括两种情况:
情况一、网络接入区域的接入设备的IP地址。
这种情况下,网络接入区域的接入设备直接被作为该网络区域中唯一的认证点。
网络认证服务器并不在意用户账户是在该网络接入区域中的哪一台接入终端中进行资源访问,因此,用户账户进行资源访问时,只需要告知网络认证服务器当前所处的是哪一个网络接入区域即可,而该网络接入区域的接入设备的IP地址可以实现这样的效果。
在实际的应用场景中,上述的接入设备通常是指接入层交换机,而相应的网络接入区域的位置识别信息除了接入层交换机的IP地址信息之外,还可以包括用户请求接入的端口信息,这样的变化并不影响本发明的保护范围。
这种情况多出现在802.1x认证的组网结构中。
情况二、网络接入区域中的用户终端的IP地址。
这种情况下是将接入终端的位置信息作为网络接入区域的标识,这样设置的前提是网络认证服务器存储有全部接入终端的位置信息和该接入终端所处的网络接入区域的对应关系,或者,接入终端的位置信息(IP地址)设置 具有一定的规律性,比如,每个网络接入区域对应一定的IP地址范围,该网络接入区域中的所有接入终端的IP地址,都出与上述的IP地址范围之内。
在此种情况下,虽然是将接入终端的IP地址作为位置识别信息,但是,网络认证服务器只是通过接入终端的IP地址找到对应的IP地址范围,从而确定相对应的网络接入区域,因此,与情况一相类似的,网络认证服务器并不在意用户账户是在该网络接入区域中的哪一台接入终端中进行资源访问,而只是需要定位用户账户所处的网络接入区域。
这种情况多出现在Portal认证的组网结构中。
上述两种情况的具体信息内容虽然不同,但通过上述信息所最终获取的目的信息是一致的,因此,在具体应用场景中,只要能够实现网络接入区域的定位,具体应用上述那种信息,并不影响本发明的保护范围。
同时,上述的接入设备和接入终端的IP地址只是本发明的优选实施例,其他能够达到相同技术效果的信息内容,也应属于本发明的保护范围。
在上述的权限设置过程完成后,如果出现用户账户请求进行资源访问的情况,则首先根据上述的权限设置对该用户账户进行权限认证,该认证过程如图4所示,具体包括以下步骤:
步骤S401、网络认证服务器接收接入设备发送的包含用户账户的用户名、密码和用户账户当前所处的网络接入区域的位置识别信息的认证请求消息。
其中,根据网络接入区域的位置识别信息的具体内容,对应上述的两种情况进行详细说明:
情况一、用户账户当前所处的网络接入区域的接入设备的IP地址。
在这种情况中,用户通过一个用户账户的用户名在某个网络接入区域中的任意一台用户终端中请求认证,该请求所对应的认证请求消息都会以接入设备的IP地址为当前网络接入区域的唯一标识,向网络认证服务器请求用户在当前网络接入区域中相应的权限认证。
情况二、用户名所对应的用户进行认证的用户终端的IP地址。
在这种情况下,如果用户通过某个网络接入区域中的任意一台用户终端 请求认证时,在相应的认证请求消息中携带该用户终端的IP地址,由于先前设定的IP地址处于当前网路接入区域所对应的IP地址区间中,所以,当携带有该用户终端的IP地址的认证请求消息发送给网络认证服务器时,网络认证服务器可以直接根据用户终端的IP地址确定其所处的IP地址区间,从而确定对应的网络接入区域,从而完成对用户所处区域位置的确定,并进而确定相应的访问权限。
步骤S402、网络认证服务器对用户账户的用户名和密码的匹配关系进行认证,并获取用户账户的用户名在网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限。
在本步骤中,网络认证服务器首先对用户名和密码的匹配关系进行确认,判断该用户名是否合法,如果该用户名和密码不对应,即判断该用户名不合法,从而,无需进一步判断用户当前所处的网络接入区域,而直接拒绝该用户名的访问请求。当然,在具体的应用场景中,也可以将用户名合法性认证和权限认证同时进行,只是,如果用户名合法性认证失败,即使权限认证已经完成,也不再返回权限认证的结果。
相反,如果该用户名和密码对应,即判断该用户名合法,继续进行后续步骤,由于用户名和密码的匹配关系的判断并不是本发明所关注的重点,因此,不再另行说明。
在本步骤中,网络认证服务器明确了两点信息:
1、用户名是否合法。
如果不合法,则直接拒绝用户的认证请求,如果合法,则开始进行用户所处的网络接入区域的识别或者确认用户所处的网络接入区域的识别有效。
2、用户所处的网络接入区域的识别。
通过上述的接入设备的IP地址或用户终端的IP地址所处的IP地址区间确定用户所出的网络接入区域。
在上述两点信息明确后,网络认证服务器根据用户名和网络接入区域信息直接确定该用户名在此网络接入区域中的访问权限信息。
具体的访问权限信息是在前述的权限设置流程中,由管理员在网络认证 服务器中提前统一设定的,对于具体的用户名,在多个网络接入区域中可以分别具有不同的访问权限,例如:用户在本身部门所属的网络接入区域中具有不受限的访问权限,可以不受限的访问所有的网络资源,而在其他部门所属的网络接入区域中具有受限的访问权限,用户只能访问部分网络资源,或者完全不能访问当前的网络资源。
在具体的应用场景中,还可以设置缺省权限定义,当用户账户的用户名在某个网络接入区域中没有设定相应的访问权限,即该用户名在某个网络接入区域中的访问权限缺省时,网络认证服务器可以根据缺省权限定义,判定该用户名在此网络接入区域中不具有资源访问权限,因此,不能访问当前网络接入区域中的网络资源。
这样的缺省权限定义是出于网络资源安全的考虑,当然,在实际应用中,也可以设定缺省权限定义为受限的资源访问权限,即只能访问部分网络资源,这些资源是公开资源,不会危害企业信息安全,这样的变化同样属于本发明的保护范围。
相应的,根据上述的网络认证服务器对用户账户的用户名和密码的匹配关系进行认证的结果,后续步骤也存在相应的区别,具体如下:
如果对用户账户的用户名和密码的匹配关系进行认证成功,则执行步骤S403;
如果对用户账户的用户名和密码的匹配关系进行认证失败,则执行步骤S404。
步骤S403、网络认证服务器向接入设备发送用户账户的认证确认信息,为用户账户分配资源访问权限。
步骤S404、网络认证服务器向接入设备发送认证失败消息,拒绝用户账户进行资源访问。
本步骤对应的是用户账户的用户名和密码的匹配关系进行认证失败的情况,在实际的应用场景中,网络认证服务器获取用户账户的用户名在网络接入区域的位置识别信息所对应的网络接入区域中所对应的的资源访问权限失败也可以导致本步骤的发生,即查不到资源访问权限信息或不能查资源访问 权限信息则认为权限认证失败,当然,也可以根据上述的缺省权限定义进行处理,这样的变化并不影响本发明的保护范围。
通过本发明,实现了基于用户的实际接入位置进行访问权限分配,可以避免由于接入区域变更而访问权限不可控,并可以对于各接入区域的非固定工作人员采用统一的访问权限控制,而单一账号进行访问的方式也为用户的使用提供了便利,在提高网络安全性的同时,改善了用户体验。
通过上述说明可以看出,本发明所提出的技术方案的基本思路如下:
根据接入用户的用户属性在各个网络接入区域中分配相应的访问权限;
网络认证服务器根据用户当前所处的网络接入区域识别该用户相应的访问权限,并为其分配相应的网络资源。
在具体的实施场景中,上述的用户属性可以是该用户的工作职能,各个网络接入区域可以是企业内具体的行政区域,网络接入区域的具体识别依据可以是接入设备IP或者接入终端IP地址,当然,根据实际的需要,上述各项内容也可以发生相应的变化,这样的变化同样属于本发明的保护范围。
下面结合具体的实施场景阐述本发明所提出的技术方案的实现思路。
企业网实现认证接入主要有802.1x和Portal两种方式。这两种组网方式在本方案的实现方式上略有不同,但实现思路上基本相同。两者之间具体的差别在于:
在802.1x***中,网络接入区域的具体识别依据是接入设备的IP地址,例如接入层交换机的IP地址。
而在Portal***中,网络接入区域的具体识别依据是接入终端的IP地址,例如用户用来进行网络访问的用户终端的IP地址。
为了避免具体叙述文字的重复,本发明的后续说明中将以802.1x认证组网方式描述本发明的技术实现过程。
为了方便说明,本发明还给出了具体的组网模型,如图5所示,是一种802.1x认证的典型组网图,每个接入终端将接入交换机作为认证点。
由于接入层交换机的网络特性,因此每个行政区域均拥有独立的一台及 多台接入设备。根据企业实际的情况,可将各行政区域内的接入设备的IP地址作为识别接入区域的信息,RADIUS服务器可根据认证报文的接入设备的IP地址识别接入用户是从什么区域接入网络。
基于上述的组网结构,本发明所提出的技术方案具体如图6所示,包括以下步骤:
步骤S601、根据行政划分网络接入区域,并在RADIUS服务器中设置各种访问权限。
在RADIUS服务器(也可以是基于RADIUS服务器的网络接入控制***)上为各接入区域配置各类访问权限。例如:为本区域内的固定工作人员配置级别较高的访问权限,包括可访问本行政区域网络的服务器、业务***、存储设备等资源的权限。而针对本区域内的非固定工作人员,例如:漫游工作人员、访客、合作供应商,可以根据需要提供最基本的网络访问权限,包括可访问互联网,但不可访问本行政区域网络内的关键资源的权限。
步骤S602、RADIUS服务器设置接入用户在各行政区域的访问权限。
根据接入用户的实际职能及工作需要,在RADIUS服务器(也可以是基于RADIUS服务器的网络接入控制***)上为其分配访问权限。根据接入用户的所属行政部门,为其设置适当的网络访问权限,以利于其在所属行政区域正常访问工作需要的资源。若该用户有漫游到其他行政部门工作的需求,则需要为其申请其他接入区域的访问权限。这种访问权限是经过统一定义的,具体的权限内容可以根据需要进行设定,避免因工作场所漫游而导致的安全隐患。
步骤S603、接入主机向接入设备发送用户名和密码,请求进行认证。
接入用户无论在何行政区域接入上网,均采用固定用户名通过802.1x协议认证接入上网。
步骤S604、接入设备向RADIUS服务器发送包含用户名、密码和接入设备IP地址信息的认证请求消息。
在收到用户进行认证的请求后,接入设备发送一个访问-请求(Access-Request)消息到RADIUS服务器,此消息一般包含以下信息:
(1)用户名;
(2)加密格式的用户口令;
(3)接入设备IP和端口。
步骤S605、RADIUS服务器向接入设备返回认证成功或失败的消息。
如果RADIUS服务器对用户进行了成功的认证,就会发送一个访问-接受(Access-Accept)消息。该消息包含了应用到用户的授权属性值(AVP)对;
如果RADIUS服务器不接受接入设备提供给RADIUS服务器的任何一个值时,会发送一个访问-拒绝(Access-Reject)消息。
后续的步骤S606至步骤S611具体为认证成功后的资源访问流程,这并分本发明关注的重点,因此,不再详细叙述。
需要指出的是,其中的计费过程,对于企业内部来讲,计费过程中的具体计费数值一直为0。
由上述说明可以确认,在RADIUS认证过程中认证请求报文包含接入设备IP和端口。由于在步骤S601中,通过将接入设备的IP组根据行政区域划分设置成接入区域信息,并保存到RADIUS服务器中。因此,在认证时,RADIUS服务器可以判断接入用户是从何区域接入的。根据步骤S502中为用户设置的在各个接入区域的访问权限信息,在接入用户认证成功后,RADIUS服务器将符合既定安全策略的网络访问授权信息下发给接入设备,从而保证了接入用户对网络的安全使用。
为了实现上述的技术方案,本发明还提供了一种网络认证服务器,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个网络接入区域分别包括一个接入设备和至少一个用户终端,网络***中建立至少一个用户账户,用户账户对应一个用户名。
如图7所示,网络认证服务器具体包括:
设置模块71,用于为每个网络接入区域建立至少一种资源访问权限,并分别设置用户账户在每个网络接入区域中所对应的资源访问权限。
存储模块72,与设置模块71电性连接,用于存储用户账户的用户名在每 个网络接入区域中的资源访问权限与网络接入区域的位置识别信息的对应关系信息。
通信模块73,与存储模块72电性连接,用于接收接入设备发送的包含用户账户的用户名、密码和用户账户当前所处的网络接入区域的位置识别信息的认证请求消息,并根据认证结果向接入设备发送用户名的认证确认信息或认证失败消息,以及在用户名认证成功的情况下,向接入设备发送该用户账户的资源访问权限。
其中,在具体的应用场景中,用户名所对应的用户当前所处的网络接入区域的位置识别信息具体为:
用户名所对应的用户当前所处的网络接入区域的接入设备的IP地址;或,
用户名所对应的用户当前所处的网络接入区域中的用户终端的IP地址。
在具体的应用场景中,如果用户名所对应的用户当前所处的网络接入区域的位置识别信息具体为用户名所对应的用户进行认证的用户终端的IP地址,网络认证服务器中还需要进行以下设定:
多个网络接入区域分别对应多个IP地址区间;
网络接入区域中所包括的至少一个用户终端的IP地址处于网络接入区域所对应的IP地址区间中。
认证模块74,与存储模块72和通信模块73电性连接,用于根据存储模块72所存储的访问权限信息,获取通信模块73所接收的用户名在网络接入区域的位置识别信息所对应的网络接入区域中的访问权限信息。
在具体的应用场景中,认证模块74对用户账户在网络接入区域的认证具体通过以下方式实现。
如果认证模块74对用户账户的用户名和密码的匹配关系进行认证成功,则通信模块73向接入设备发送用户账户的认证确认信息,并根据访问权限信息与用户名在网络接入区域的对应关系,为该用户账户分配资源访问权限;
如果认证模块74对所述用户账户的用户名和密码的匹配关系进行认证失败,或认证模块74向存储模块72获取用户账户的用户名在网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败,t通信模块 73向接入设备发送认证失败消息,拒绝该用户账户进行资源访问。
通过本发明,实现了基于用户的实际接入位置进行访问权限分配,可以避免由于接入区域变更而访问权限不可控,并可以对于各接入区域的非固定工作人员采用统一的访问权限控制,而单一账号进行访问的方式也为用户的使用提供了便利,在提高网络安全性的同时,改善了用户体验。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (9)
1.一种用户接入网络的权限设置方法,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个所述网络接入区域分别包括一个接入设备和至少一个用户终端,所述网络***中建立至少一个用户账户,所述用户账户对应一个用户名,其特征在于,所述方法包括:
所述网络认证服务器分别为每个所述网络接入区域建立至少一种资源访问权限;
所述网络认证服务器分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权限;
所述网络认证服务器保存所述用户账户的用户名在每个网络接入区域中的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息;
当有用户账户请求访问资源时,所述网络认证服务器接收接入设备转发的用户账户信息和所述接入设备自身的位置识别信息,并确定所述用户账户在所述位置识别信息所对应的网络接入区域中所对应的资源访问权限;
其中,所述网络接入区域具体为所述用户账户请求访问的网络区域。
2.如权利要求1所述的方法,其特征在于,所述网络接入区域的位置识别信息,具体为:
所述网络接入区域的接入设备的IP地址;或,
所述网络接入区域中的用户终端的IP地址。
3.如权利要求2所述的方法,其特征在于,如果所述网络接入区域的位置识别信息具体为所述网络接入区域中的用户终端的IP地址,所述方法还包括:
所述多个网络接入区域分别对应多个IP地址区间;
所述网络接入区域中所包括的用户终端的IP地址处于所述网络接入区域所对应的IP地址区间中。
4.如权利要求1所述的方法,其特征在于,当有用户账户请求访问资源时,所述网络认证服务器接收接入设备转发的用户账户信息和所述接入设备自身的位置识别信息,并确定所述用户账户在所述位置识别信息所对应的网络接入区域中所对应的资源访问权限,具体包括:
所述网络认证服务器接收所述接入设备发送的包含所述用户账户的用户 名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请求消息;
所述网络认证服务器对所述用户账户的用户名和密码的匹配关系进行认证,并获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限。
5.如权利要求4所述的方法,其特征在于,还包括:
如果对所述用户账户的用户名和密码的匹配关系进行认证成功,所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息,为所述用户账户分配资源访问权限;
如果对所述用户账户的用户名和密码的匹配关系进行认证失败,或所述网络认证服务器获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败,所述网络认证服务器向所述接入设备发送认证失败消息,拒绝所述用户账户进行资源访问。
6.一种网络认证服务器,应用于包括网络认证服务器和多个网络接入区域的网络***中,其中,每个所述网络接入区域分别包括一个接入设备和至少一个用户终端,所述网络***中建立至少一个用户账户,所述用户账户对应一个用户名,其特征在于,包括:
设置模块,用于为每个所述网络接入区域建立至少一种资源访问权限,并分别设置所述用户账户在每个所述网络接入区域中所对应的资源访问权限;
存储模块,与所述设置模块电性连接,用于存储所述用户账户的用户名在每个网络接入区域中的资源访问权限与所述网络接入区域的位置识别信息的对应关系信息;
通信模块,与所述存储模块电性连接,用于接收所述接入设备发送的包含所述用户账户的用户名、密码和所述用户账户当前所处的网络接入区域的位置识别信息的认证请求消息,并根据认证结果向所述接入设备发送所述用户名的认证确认信息或认证失败消息,以及在用户名认证成功的情况下,向 接入设备发送所述用户的资源访问权限;
认证模块,与所述存储模块和所述通信模块电性连接,用于当有用户账户请求访问资源时,根据所述通信模块所接收到的接入设备转发的所述用户账户的用户名、密码和所述接入设备自身的位置识别信息,以及所述存储模块所存储的访问权限信息与所述用户名在网络接入区域的对应关系,对所述用户名在所述网络接入区域进行认证;
其中,所述网络接入区域具体为所述用户账户请求访问的网络区域。
7.如权利要求6所述的网络认证服务器,其特征在于,所述用户名所对应的用户账户当前所处的网络接入区域的位置识别信息,具体为:
所述网络接入区域的接入设备的IP地址;或,
所述网络接入区域中的用户终端的IP地址。
8.如权利要求7所述的网络认证服务器,其特征在于,如果所述网络接入区域的位置识别信息具体为所述网络接入区域中的用户终端的IP地址,具体还包括:
所述多个网络接入区域分别对应多个IP地址区间;
所述网络接入区域中所包括的至少一个用户终端的IP地址处于所述网络接入区域所对应的IP地址区间中。
9.如权利要求7所述的网络认证服务器,其特征在于,所述认证模块对用户账户的用户名在网络接入区域的认证,具体为:
如果所述认证模块对用户账户的用户名和密码的匹配关系进行认证成功,所述网络认证服务器向所述接入设备发送所述用户账户的认证确认信息,并根据访问权限信息与所述用户名在网络接入区域的对应关系,为所述用户账户分配资源访问权限;
如果所述认证模块对所述用户账户的用户名和密码的匹配关系进行认证失败,或所述网络认证服务器获取所述用户账户的用户名在所述网络接入区域的位置识别信息所对应的网络接入区域中所对应的资源访问权限失败,所述网络认证服务器向所述接入设备发送认证失败消息,拒绝所述用户账户进行资源访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101487926A CN101582769B (zh) | 2009-07-03 | 2009-07-03 | 用户接入网络的权限设置方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101487926A CN101582769B (zh) | 2009-07-03 | 2009-07-03 | 用户接入网络的权限设置方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582769A CN101582769A (zh) | 2009-11-18 |
| CN101582769B true CN101582769B (zh) | 2012-07-04 |
Family
ID=41364751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101487926A Active CN101582769B (zh) | 2009-07-03 | 2009-07-03 | 用户接入网络的权限设置方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582769B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973711A (zh) * | 2014-05-28 | 2014-08-06 | 中国农业银行股份有限公司 | 一种验证方法及装置 |
| CN113468511A (zh) * | 2021-07-21 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机可读介质及电子设备 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958846B (zh) * | 2010-11-03 | 2015-04-15 | 北京北信源软件股份有限公司 | 一种客户端跨服务器漫游的方法 |
| CN102487383B (zh) * | 2010-12-02 | 2015-01-28 | 上海可鲁***软件有限公司 | 一种工业互联网分布式***安全接入控制装置 |
| US8671206B2 (en) * | 2011-02-28 | 2014-03-11 | Siemens Enterprise Communications Gmbh & Co. Kg | Apparatus and mechanism for dynamic assignment of survivability services to mobile devices |
| CN102413137B (zh) * | 2011-11-21 | 2014-10-08 | 北京地拓科技发展有限公司 | 数据访问方法及装置 |
| CN102404110A (zh) * | 2011-12-08 | 2012-04-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种获取密钥的方法和装置 |
| DE102014207704B4 (de) * | 2013-04-26 | 2019-11-28 | Avago Technologies International Sales Pte. Ltd. | Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk |
| US9282086B2 (en) | 2013-04-26 | 2016-03-08 | Broadcom Corporation | Methods and systems for secured authentication of applications on a network |
| CN103383724A (zh) * | 2013-06-28 | 2013-11-06 | 记忆科技(深圳)有限公司 | 存储装置及其数据访问的权限管理方法 |
| CN109831492B (zh) * | 2013-08-14 | 2021-06-22 | 华为技术有限公司 | 访问ott应用、服务器推送消息的方法及装置 |
| CN103607372B (zh) * | 2013-08-19 | 2016-12-28 | 深信服网络科技(深圳)有限公司 | 网络接入的认证方法及装置 |
| CN104717062B (zh) * | 2013-12-11 | 2018-03-16 | 新华三技术有限公司 | 一种基于byod管理***的访客快速接入的方法及装置 |
| CN104767715B (zh) * | 2014-01-03 | 2018-06-26 | 华为技术有限公司 | 网络接入控制方法和设备 |
| CN103905431B (zh) * | 2014-03-07 | 2017-08-08 | 汉柏科技有限公司 | 一种用户认证方法及用户认证服务器 |
| CN104052756B (zh) * | 2014-06-27 | 2017-08-01 | 北京思特奇信息技术股份有限公司 | 一种业务网元安全接入业务控制器的方法及*** |
| CN105516378B (zh) * | 2014-09-25 | 2019-02-12 | 华为技术有限公司 | 提供接入位置的方法及设备 |
| CN104394219A (zh) * | 2014-11-27 | 2015-03-04 | 英业达科技有限公司 | 云端管理方法 |
| CN104468553B (zh) * | 2014-11-28 | 2019-01-15 | 北京奇安信科技有限公司 | 一种公共账号登录的方法、装置及*** |
| US20160173465A1 (en) * | 2014-12-12 | 2016-06-16 | Rajesh Poornachandran | Technologies for verifying authorized operation of servers |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN106034104B (zh) | 2015-03-07 | 2021-02-12 | 华为技术有限公司 | 用于网络应用访问的验证方法、装置和*** |
| CN104916101B (zh) * | 2015-04-14 | 2018-07-06 | 北京网河时代科技有限公司 | 蓝牙4.0墙壁开关控制*** |
| CN104951692A (zh) * | 2015-05-04 | 2015-09-30 | 联想(北京)有限公司 | 一种信息处理方法及第一电子设备 |
| CN106162549A (zh) * | 2015-05-19 | 2016-11-23 | 中兴通讯股份有限公司 | 接入网络的处理方法及装置 |
| CN109150787A (zh) * | 2017-06-13 | 2019-01-04 | 西安中兴新软件有限责任公司 | 一种权限获取方法、装置、设备和存储介质 |
| CN108429732B (zh) * | 2018-01-23 | 2021-01-08 | 平安普惠企业管理有限公司 | 一种获取资源的方法及*** |
| CN110167102B (zh) | 2018-02-14 | 2021-01-15 | 华为技术有限公司 | 一种网络接入的方法及相关装置 |
| CN109145560B (zh) * | 2018-08-08 | 2022-03-25 | 北京小米移动软件有限公司 | 访问监控设备的方法及装置 |
| CN109660593B (zh) * | 2018-11-05 | 2021-12-07 | 深圳绿米联创科技有限公司 | 物联网平台接入管理方法、装置及*** |
| CN110519404B (zh) * | 2019-08-02 | 2022-04-26 | 锐捷网络股份有限公司 | 一种基于sdn的策略管理方法、装置及电子设备 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN112822160B (zh) * | 2020-12-29 | 2022-10-21 | 新华三技术有限公司 | 一种设备识别方法、装置、设备及机器可读存储介质 |
| CN113612740B (zh) * | 2021-07-21 | 2022-08-26 | 腾讯科技(深圳)有限公司 | 权限管理方法、装置、计算机可读介质及电子设备 |
| CN113596044B (zh) * | 2021-08-03 | 2023-04-25 | 北京恒安嘉新安全技术有限公司 | 一种网络防护方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1440607A (zh) * | 2000-06-30 | 2003-09-03 | 诺基亚公司 | 控制设备的网络和方法 |
| CN1523815A (zh) * | 2003-02-21 | 2004-08-25 | 北京润汇科技有限公司 | 宽带网用户接入管理*** |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制*** |
-
2009
- 2009-07-03 CN CN2009101487926A patent/CN101582769B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1440607A (zh) * | 2000-06-30 | 2003-09-03 | 诺基亚公司 | 控制设备的网络和方法 |
| CN1523815A (zh) * | 2003-02-21 | 2004-08-25 | 北京润汇科技有限公司 | 宽带网用户接入管理*** |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制*** |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973711A (zh) * | 2014-05-28 | 2014-08-06 | 中国农业银行股份有限公司 | 一种验证方法及装置 |
| CN113468511A (zh) * | 2021-07-21 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机可读介质及电子设备 |
| CN113468511B (zh) * | 2021-07-21 | 2022-04-15 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机可读介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582769A (zh) | 2009-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| CN1685694B (zh) | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 | |
| EP2014067B1 (en) | Provisioned configuration for automatic wireless connection | |
| US9178915B1 (en) | Cookie preservation when switching devices | |
| Patel et al. | Ticket based service access for the mobile user | |
| CN101919221B (zh) | 用于属于不同机构的用户的无需证书复制的认证方法 | |
| CN109918878A (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN104158824B (zh) | 网络实名认证方法及*** | |
| CN102916946B (zh) | 接入控制方法及*** | |
| CN101764742A (zh) | 一种网络资源访问控制***及方法 | |
| CN101001144B (zh) | 一种实体认证中心实现认证的方法 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息***的访问控制方法及装置 | |
| CN104159225A (zh) | 一种基于无线网络的实名制管理方法及*** | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN109413080B (zh) | 一种跨域动态权限控制方法及*** | |
| US20120266239A1 (en) | Authorized data access based on the rights of a user and a location | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN106127888A (zh) | 智能锁操作方法和智能锁操作*** | |
| CN105827663A (zh) | 访问控制方法和*** | |
| CN109088890A (zh) | 一种身份认证方法、相关装置及*** | |
| CN101291220B (zh) | 一种身份安全认证的***、装置及方法 | |
| CN108377244A (zh) | 一种内网统一认证方法 | |
| CN108809930B (zh) | 用户权限管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | "change of name, title or address" | ||
| CP03 | "change of name, title or address" |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |