[发明专利]一种用户网络访问权限切换方法及其装置

说明书

技术领域

本发明涉及通信技术领域的用户认证技术，特别是涉及一种用户网络访问权限切换方法及其装置。

背景技术

一台PC在同一个时刻只能访问一个权限的网络，这样做是为了防止PC成为内外网联通的节点，造成安全的隐患。但目前在用户认证领域，存在以下需求：当用户使用安全认证获取其安全权限后，能够实时的切换其访问网络的权限。

针对该需求，目前的一种解决方式是：使用户再次进行认证，并在认证通过后，通过修改其登录的用户名称来获取不同的用户权限，从而实现用户访问网络权限的切换。

相应的，有部分厂商实现了一种认证网关，该网关可根据用户访问数据的目的IP地址进行识别，当用户访问某一权限的网络时，根据用户访问的目的地址，弹出相应的WEB页面对用户进行认证。当用户访问了其他权限的网络时，重新弹出相应的认证页面，对用户进行认证。

发明人在实现本发明的过程中，发现现有技术至少存在以下缺陷：

上述认证网关需要部署在网络的交界处，或者部署在网络的接入层，需要对网络进行改动，部署成本较高，并且使用WEB认证只能使用HTTP(HyperText Transfer Protocol，超文本传输协议)进行触发，使用起来存在部分限制。

发明内容

本发明提供了一种用户网络访问权限切换方法及其装置，用以实现用户网络访问权限的切换。

本发明提供的用户网络访问权限切换方法，应用于包含有Portal服务器、认证服务器、安全策略服务器和认证客户端的Portal系统，该方法包括：

安全策略服务器为认证通过的认证客户端分配访问权限后，将所述访问权限的权限控制信息发送给Portal服务器，并将所述认证客户端所能够使用的所有访问权限标识信息发送给所述认证客户端；

当安全策略服务器接收到所述认证客户端发送的请求更换访问权限的报文后，获取其中携带的访问权限标识信息，并将与所述访问权限标识信息对应的权限控制信息发送给Portal服务器，其中，所述访问权限标识信息是所述认证客户端从其接收到所能够使用的所有访问权限标识信息中选择出的。

上述方法中，所述安全策略服务器分配的访问权限是所述安全策略服务器为所述认证客户端分配的默认访问权限；或者，是所述安全策略服务器根据从所述认证客户端获取的安全状态信息，为所述认证客户端所分配的相适应的访问权限。

上述方法中，安全策略服务器将与所述请求更换访问权限的报文中携带到的访问权限标识信息所对应的权限控制信息发送给Portal服务器之后，还包括：将所述请求更换访问权限的报文中携带的访问权限标识信息所对应的权限描述信息发送给所述认证客户端；和/或，通知所述认证客户端更换了访问权限。

上述方法中，安全策略服务器将与所述请求更换访问权限的报文中携带的访问权限标识信息所对应的权限控制信息发送给Portal服务器，具体为：

安全策略服务器判断其所记录的所述认证客户端当前使用的访问权限，与所述请求更换访问权限的报文中携带的访问权限标识信息所标识的访问权限是否相同，在两者不相同时，将与所述报文中携带的访问权限标识信息所对应的权限控制信息发送给Portal服务器。

上述方法中，所述权限控制信息为访问控制列表ACL。

本发明提供的安全策略服务器，应用于Portal系统，包括权限分配单元、获取单元、确定单元和收发单元，其中：

权限分配单元，用于为认证通过的认证客户端分配访问权限；

获取单元，与所述权限分配单元和所述收发单元连接，用于根据所述权限分配单元分配的访问权限获取对应的权限控制信息；以及，根据所述收发单元接收到的来自于所述认证客户端的请求更换访问权限的报文中携带的访问权限标识信息，获取对应的权限控制信息；

确定单元，用于在所述认证客户端认证通过后，确定所述认证客户端所能够使用的所有访问权限标识信息；

收发单元，用于将所述获取单元获取到的权限控制信息发送给Portal服务器，并将所述确定单元确定出的访问权限标识信息发送给所述认证客户端；以及，接收所述认证客户端发送的请求更换访问权限的报文，其中携带有所述认证客户端从其所接收到的访问权限标识信息中选择出的访问权限标识信息。

上述服务器中，所述权限分配单元具体用于，为所述认证通过的认证客户端分配默认设置的访问权限；或者，根据从所述认证客户端获取到的安全状态信息，为所述认证客户端分配的相适应的访问权限。