[发明专利]一种控制用户网络访问权限的方法和系统

说明书

技术领域

本发明涉及RADIUS(远程验证用户拨入服务)认证结合DHCP(动态主机配置协议)地址管理控制用户认证后网络访问权限的方法。

背景技术

随着互联网应用高速发展，运营商管理的网络中存在各种用户，而对于不同类型用户认证后网络访问权限的控制存在着管理复杂、网络访问权限过分依赖硬件设备、无法针对具体用户进行访问控制等问题。目前的客户端认证后，如根据NAT转换对端口进行地址转换控制，无法具体到某一个用户；也有的是根据防火墙进行具体的地址访问控制，这种方式增加了防火墙的压力，同时防火墙的成本也相对较高。

发明内容

本发明所要解决的技术问题是：提供一种控制用户网络访问权限的方法和系统，实现对不同类型用户认证后网络访问权限的控制。

本发明提供了一种控制用户网络访问权限的方法，包括网络访问权限的预先配置、用户认证后动态地址请求及网络访问权限选择、控制用户网络访问权限的IP地址分配；

其中预先配置阶段包括：

(a)网络设备配置地址段与网络访问权限的对应关系；

(b)远程验证用户拨入服务服务器和动态主机配置协议服务器配合配置用户设备唯一标识与地址池信息的对应关系，具体为：远程验证用户拨入服务服务器配置用户设备唯一标识与网络访问权限级别的对应关系，动态主机配置协议服务器配置网络访问权限级别与动态主机配置协议地址池的对应关系；步骤(a)、(b)不分先后；

用户认证后动态地址请求及网络访问权限选择、控制用户网络访问权限的IP地址分配阶段：

(c)动态主机配置协议服务器及远程验证用户拨入服务服务器根据用户设备的唯一标识获取地址池信息并返回给用户设备，具体为：

(c1)动态主机配置协议服务器根据用户动态请求获取该用户设备唯一标识，并将其发送给远程验证用户拨入服务服务器的固定接收端口；

(c2)远程验证用户拨入服务服务器根据动态主机配置协议服务器发来的唯一标识从用户设备唯一标识与网络访问权限级别的对应关系中查询与该唯一标识对应的网络访问权限级别并将其发送到动态主机配置协议服务器的固定接收端口；

(c3)动态主机配置协议服务器获得远程验证用户拨入服务服务器发来的网络访问权限级别后，从网络访问权限级别与动态主机配置协议地址池的对应关系中找到对应的地址池，并将地址池信息作为请求响应消息分配给用户；

用户设备根据该地址池信息得到相应的网络设备配置的网络访问权限。

进一步地，所述步骤(a)中的网络访问权限包括内部网络访问权限和外部Internet访问权限。

进一步地，步骤(b)中所述的方法具体包括：

进一步地，所述的用户设备唯一标识包括物理地址、用户设备接入电路标识。

进一步地，所述的地址池信息包含控制用户网络访问权限的IP地址和选项参数信息。

进一步地，所述的选项参数包括掩码、网关、路由、域名解析服务器等。

进一步地，步骤(c1)中动态主机配置协议服务器是以用户数据报协议消息将用户设备的唯一标识发送给远程验证用户拨入服务服务器的固定接收端口；步骤(c2)中远程验证用户拨入服务服务器也是以用户数据报协议消息将网络访问权限级别发送到动态主机配置协议服务器的固定接收端口。

本发明还提供了一种控制用户网络访问权限的系统，包括网络设备、远程验证用户拨入服务服务器及动态主机配置协议服务器，其特征在于：

网络设备用于配置地址段与网络访问权限的对应关系；

动态主机配置协议服务器与远程验证用户拨入服务服务器相配合配置用户设备唯一标识与地址池信息的对应关系，具体为：动态主机配置协议服务器配置网络访问权限级别与动态主机配置协议地址池的对应关系；远程验证用户拨入服务服务器配置用户设备唯一标识与网络访问权限级别的对应关系；

动态主机配置协议服务器与远程验证用户拨入服务服务器还用于根据用户设备的唯一标识获取地址池信息并返回给用户设备，具体为：动态主机配置协议服务器根据用户动态地址请求获取该用户设备唯一标识，并将其发送给远程验证用户拨入服务服务器的固定接收端口；并于获得远程验证用户拨入服务服务器发来的网络访问权限级别后，从网络访问权限级别与动态主机配置协议地址池的对应关系中找到对应的地址池，并将地址池信息作为请求响应消息分配给用户；远程验证用户拨入服务服务器根据动态主机配置协议服务器发来的用户设备唯一标识从用户设备唯一标识与网络访问权限级别的对应关系中获取与该唯一标识对应的网络访问权限级别并将其发送到动态主机配置协议服务器的固定接收端口；