[发明专利]网络访问权限控制方法、装置及相关设备

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络访问权限控制方法、装置及相关设备。

背景技术

当前，互联网为用户提供了大量的网络资源，其中，某些网络资源只有具有相应网络访问权限的用户才可以访问，而不同的用户通常具有不同的网络访问权限，例如有些用户只能访问其所在局域网内的某个特定网络，有些用户能访问其所在局域网内的所有网络。

为了对用户的网络访问权限进行控制，现有技术通常预先设置多个虚拟局域网(VLAN，Virtual Local Area Network)，每个VLAN对应一种网络访问权限，且网络转发设备(例如交换机)中的每个转发端口(例如交换机中的交换机端口)对应一种网络访问权限，网络管理员预先将对应相同网络访问权限的交换机端口分配给同一个VLAN，即预先设置交换机端口和VLAN之间的对应关系。具有某网络访问权限的用户想要接入网络时，先使用终端设备与该网络访问权限对应的交换机端口连接，那么该用户的数据流就会在该网络访问权限对应的VLAN内传输。

由上可见，现有技术在控制用户的网络访问权限时，是通过设置交换机端口和VLAN之间的对应关系来实现的，连接到同一交换机端口的各用户必须对应相同的网络访问权限，那么交换机才能根据交换机端口与VLAN之间的对应关系，将连接到同一交换机端口的用户分配给同一VLAN，从而对用户的网络访问权限进行控制。

但是在实际应用中，连接到同一交换机端口的多个用户很有可能具有不同的网络访问权限，例如，终端设备1与交换机端口a连接，用户A使用终端设备1访问网络时，交换机根据用户A连接的交换机端口a，确定出对应的VLAN，那么该用户A访问网络时发送的数据报文均在该VLAN中传输，后续用户B使用终端设备1访问网络时，交换机根据用户B连接的交换机端口a，确定出同一VLAN，那么该用户B访问网络时发送的数据报文也会在该VLAN中传输，但是用户A和用户B可能具有不同的网络访问权限，也就是说应该将用户A和用户B分配给不同的VLAN。或者，用户C使用的终端设备2、用户D使用的终端设备3和用户E使用的终端设备4均连接到交换机端口b中，那么交换机就会根据交换机端口b确定出对应的VLAN，用户C、用户D和用户E访问网络时发送的数据报文均在该VLAN中传输，但是用户C、用户D和用户E可能具有不同的网络访问权限，也就是说应该将用户C、用户D和用户E分配给不同的VLAN。

由上可见，即使连接到同一交换机端口的多个用户具有不同的网络访问权限，此时交换机依然会根据交换机端口与VLAN之间的对应关系，将这些用户分配给同一VLAN，从而无法实现对用户的网络访问权限进行控制。

发明内容

本发明实施例提供一种网络访问权限控制方法、装置及相关设备，用以解决现有技术中连接到同一转发端口的多个用户具有不同的网络访问权限时，无法实现对用户的网络访问权限进行控制的问题。

本发明实施例技术方案如下：

一种网络访问权限控制方法，该方法包括步骤：用户请求接入网络时，认证服务器对用户进行合法性认证，并在认证通过后，确定所述用户的网络访问权限；所述认证服务器将确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备；所述网络转发设备在权限标识和VLAN的局域网标识之间的对应关系中，查找接收到的授权报文中携带的权限标识对应的局域网标识；并将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储；后续在所述用户发送数据报文时，所述网络转发设备在用户标识与局域网标识之间的对应关系中，查找所述用户标识对应的局域网标识；并将所述用户的数据报文在查找到的局域网标识对应的VLAN中传输。

一种网络访问权限控制装置，包括：合法性认证单元，用于在用户请求接入网络时，对所述用户进行合法性认证；网络访问权限确定单元，用于在所述合法性认证单元认证通过后，确定所述用户的网络访问权限；授权报文发送单元，用于将网络访问权限确定单元确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备。

一种认证服务器，包括上述网络访问权限控制装置。