[发明专利]一种用户访问权限控制方法及系统

权利要求书

1.一种用户访问权限控制方法，包括：

A、未认证用户终端发送第一地址分配请求，请求地址分配单元分配地址；

B、用于中继报文的中继单元对所述第一地址分配请求附加表示未认证状态的认证状态标识后，将带有状态标识的第一地址分配请求转发至地址分配单元；

C、地址分配单元根据所述认证状态标识对所述用户终端分配第一地址，所述第一地址具有较低的访问权限；

D、用户终端发起认证，在认证通过后发送第二地址分配请求，请求地址分配单元分配地址；

E、所述中继单元对所述第二地址分配请求附加表示通过认证状态的认证状态标识，将带有认证状态标识的第二地址分配请求转发至所述地址分配单元；

F、所述地址分配单元根据所述认证状态标识对所述用户终端分配第二地址，所述第二地址具有较高的访问权限。

2.如权利要求1所述的用户访问权限控制方法，其特征在于所述步骤D中所述用户端发起认证包括：

D01、用户终端向认证单元请求认证；

D02、认证通过后，认证单元将用户的认证状态下发给中继单元保存并告知用户终端通过认证。

3.如权利要求1所述的用户访问权限控制方法，其特征在于：所述地址分配请求为DHCPv6请求报文，所述认证状态标识为中继代理远程标识选项字段，在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。

4.如权利要求1所述的用户访问权限控制方法，其特征在于：所述中继单元包括接入交换机和汇聚交换机，所述接入交换机向汇聚交换机转发报文，所述接入交换机用于对所述地址分配请求附加认证状态标识，所述汇聚交换机通过设置硬件访问控制列表限制所述第一地址和第二地址能够访问的资源。

5.如权利要求1所述的用户访问权限控制方法，其特征在于：所述地址分配单元针对不同的认证状态设置不同的地址池，根据认证状态标识从不同的地址池分配地址。

6.一种用户访问权限控制系统，包括用户终端、中继单元、认证单元和地址分配单元，其中：

所述用户终端用于在系统初始化时以及认证通过后两次发送地址分配请求，请求地址分配单元分配地址；

所述认证单元用于对用户终端进行认证，将认证结果下发给中继单元保存；

所述中继单元用于侦听所述地址分配请求并根据用户认证状态在所述地址分配请求中附加认证状态标识，所述认证状态标识表示用户是否通过认证；

所述中继单元还用于转发所述带有标识的地址分配请求到地址分配单元；

所述地址分配单元用于对认证状态标识为未认证的地址分配请求分配第一地址，对认证状态标识为通过认证的地址分配请求分配第二地址，所述第二地址比所述第一地址具有更高的网络访问权限。

7.如权利要求6所述的用户访问权限控制系统，其特征在于：所述地址分配请求为DHCPv6请求报文，所述标识为中继代理远程标识选项字段，在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。

8.如权利要求6所述的用户访问权限控制系统，其特征在于：所述中继单元包括接入交换机和汇聚交换机，所述接入交换机向汇聚交换机转发报文，所述接入交换机用于对地址分配请求附加认证状态标识，所述汇聚交换机通过设置硬件访问控制列表限制所述第一地址和第二地址能够访问的资源。

9.如权利要求6所述的用户访问权限控制系统，其特征在于：所述地址分配单元为DHCPv6服务器，所述认证单元为Radius服务器，所述认证单元通过Radius Access-Accept报文的厂商属性下发给中继单元。

10.如权利要求6所述的用户访问权限控制系统，其特征在于：所述地址分配单元针对不同的认证状态设置不同的地址池，根据认证状态标识从不同的地址池分配地址。