CN102594818A - 网络访问权限控制方法、装置及相关设备 - Google Patents
网络访问权限控制方法、装置及相关设备 Download PDFInfo
- Publication number
- CN102594818A CN102594818A CN2012100344645A CN201210034464A CN102594818A CN 102594818 A CN102594818 A CN 102594818A CN 2012100344645 A CN2012100344645 A CN 2012100344645A CN 201210034464 A CN201210034464 A CN 201210034464A CN 102594818 A CN102594818 A CN 102594818A
- Authority
- CN
- China
- Prior art keywords
- user
- lan
- network
- vlan
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种网络访问权限控制方法、装置及相关设备,该方法包括步骤:认证服务器确定用户的网络访问权限;并将确定出的网络访问权限的权限标识和用户的用户标识携带在授权报文中发送给网络转发设备;网络转发设备在权限标识和局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识;并将用户标识和局域网标识对应存储;网络转发设备在用户标识与局域网标识之间的对应关系中,查找用户标识对应的局域网标识;并将用户的数据报文在查找到的局域网标识对应的VLAN中传输。采用本发明技术方案,解决了现有技术中无法实现对用户的网络访问权限进行控制的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络访问权限控制方法、装置及相关设备。
背景技术
当前,互联网为用户提供了大量的网络资源,其中,某些网络资源只有具有相应网络访问权限的用户才可以访问,而不同的用户通常具有不同的网络访问权限,例如有些用户只能访问其所在局域网内的某个特定网络,有些用户能访问其所在局域网内的所有网络。
为了对用户的网络访问权限进行控制,现有技术通常预先设置多个虚拟局域网(VLAN,Virtual Local Area Network),每个VLAN对应一种网络访问权限,且网络转发设备(例如交换机)中的每个转发端口(例如交换机中的交换机端口)对应一种网络访问权限,网络管理员预先将对应相同网络访问权限的交换机端口分配给同一个VLAN,即预先设置交换机端口和VLAN之间的对应关系。具有某网络访问权限的用户想要接入网络时,先使用终端设备与该网络访问权限对应的交换机端口连接,那么该用户的数据流就会在该网络访问权限对应的VLAN内传输。
由上可见,现有技术在控制用户的网络访问权限时,是通过设置交换机端口和VLAN之间的对应关系来实现的,连接到同一交换机端口的各用户必须对应相同的网络访问权限,那么交换机才能根据交换机端口与VLAN之间的对应关系,将连接到同一交换机端口的用户分配给同一VLAN,从而对用户的网络访问权限进行控制。
但是在实际应用中,连接到同一交换机端口的多个用户很有可能具有不同的网络访问权限,例如,终端设备1与交换机端口a连接,用户A使用终端设备1访问网络时,交换机根据用户A连接的交换机端口a,确定出对应的VLAN,那么该用户A访问网络时发送的数据报文均在该VLAN中传输,后续用户B使用终端设备1访问网络时,交换机根据用户B连接的交换机端口a,确定出同一VLAN,那么该用户B访问网络时发送的数据报文也会在该VLAN中传输,但是用户A和用户B可能具有不同的网络访问权限,也就是说应该将用户A和用户B分配给不同的VLAN。或者,用户C使用的终端设备2、用户D使用的终端设备3和用户E使用的终端设备4均连接到交换机端口b中,那么交换机就会根据交换机端口b确定出对应的VLAN,用户C、用户D和用户E访问网络时发送的数据报文均在该VLAN中传输,但是用户C、用户D和用户E可能具有不同的网络访问权限,也就是说应该将用户C、用户D和用户E分配给不同的VLAN。
由上可见,即使连接到同一交换机端口的多个用户具有不同的网络访问权限,此时交换机依然会根据交换机端口与VLAN之间的对应关系,将这些用户分配给同一VLAN,从而无法实现对用户的网络访问权限进行控制。
发明内容
本发明实施例提供一种网络访问权限控制方法、装置及相关设备,用以解决现有技术中连接到同一转发端口的多个用户具有不同的网络访问权限时,无法实现对用户的网络访问权限进行控制的问题。
本发明实施例技术方案如下:
一种网络访问权限控制方法,该方法包括步骤:用户请求接入网络时,认证服务器对用户进行合法性认证,并在认证通过后,确定所述用户的网络访问权限;所述认证服务器将确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备;所述网络转发设备在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识;并将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储;后续在所述用户发送数据报文时,所述网络转发设备在用户标识与局域网标识之间的对应关系中,查找所述用户标识对应的局域网标识;并将所述用户的数据报文在查找到的局域网标识对应的VLAN中传输。
一种网络访问权限控制装置,包括:合法性认证单元,用于在用户请求接入网络时,对所述用户进行合法性认证;网络访问权限确定单元,用于在所述合法性认证单元认证通过后,确定所述用户的网络访问权限;授权报文发送单元,用于将网络访问权限确定单元确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备。
一种认证服务器,包括上述网络访问权限控制装置。
一种网络访问权限控制装置,包括:授权报文接收单元,用于接收认证服务器发送的授权报文,所述授权报文中携带有请求接入网络的用户的用户标识和所述用户的网络访问权限的权限标识;第一局域网标识查找单元,用于在权限标识和VLAN的局域网标识之间的对应关系中,查找授权报文接收单元接收到的授权报文中携带的权限标识对应的局域网标识;存储单元,用于将授权报文接收单元接收到的授权报文中携带的用户标识和第一局域网标识查找单元查找到的局域网标识对应存储;第二局域网标识查找单元,用于后续在所述用户发送数据报文时,在存储单元存储的用户标识与局域网标识之间的对应关系中,查找所述用户的用户标识对应的局域网标识;第一传输单元,用于将所述用户的数据报文在第二局域网标识查找单元查找到的局域网标识对应的VLAN中传输。
一种网络转发设备,包括上述网络访问权限控制装置。
本发明实施例技术方案中,当用户请求接入网络时,首先由认证服务器对用户进行合法性认证,并在认证通过后确定该用户的网络访问权限,并将确定出的网络访问权限的权限标识和该用户的用户标识携带在授权报文中发送给网络转发设备,然后由网络转发设备在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识,并将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储,后续在该用户发送数据报文时,网络转发设备在用户标识与局域网标识之间的对应关系中,查找该用户的用户标识对应的局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输。由上可见,本发明实施例技术方案中,用户请求接入网络时,网络转发设备建立用户标识与局域网标识的对应关系,后续在用户发送数据报文时,可以直接根据建立的对应关系查找局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输,因此即使连接到同一转发端口的多个用户具有不同的网络访问权限,本发明实施例技术方案也能够实现对用户的网络访问权限进行控制。
附图说明
图1为本发明实施例一中,网络访问权限控制方法流程示意图;
图2为本发明实施例二中,网络访问权限控制方法网络架构示意图;
图3为本发明实施例三中,网络访问权限控制方法具体实现流程示意图;
图4为本发明实施例四中,认证服务器侧的网络访问权限控制装置结构示意图;
图5为本发明实施例四中,网络转发设备侧的网络访问权限控制装置结构示意图。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
实施例一
如图1所示,为本发明实施例一中的网络访问权限控制方法流程示意图,其具体处理流程如下:
步骤11,用户请求接入网络时,认证服务器对用户进行合法性认证,并在认证通过后,确定该用户的网络访问权限。
本发明实施例一中,用户在请求接入网络时,可以先使用终端设备向认证服务器发起认证,即向认证服务器发送认证请求,其中,用户在使用终端设备向认证服务器发送认证请求时,先要将该认证请求发送给网络转发设备,再由网络转发设备将接收到的认证请求发送给认证服务器。
用户发送的认证请求中携带有该用户的认证信息,其中,用户的认证信息可以但不限于为用户预先注册的用户名和密码等,认证服务器接收到用户的认证请求后,从接收到的认证请求中提取出用户的认证信息,并根据提取出的认证信息对用户接入网络的合法性进行认证,认证服务器中存储有各用户预先注册的用户名和密码,认证服务器在对用户接入网络的合法性进行认证时,查看是否存储有提取出的认证信息中携带的用户名和密码,若存储有,则确认认证通过,即该用户为接入网络的合法用户,否则,确认认证失败,即该用户为接入网络的非法用户。
认证服务器在确认认证通过时,在该用户的网络账户中查看该用户的网络访问权限设置,从而确定该用户的网络访问权限。
步骤12,认证服务器将确定出的网络访问权限的权限标识和用户的用户标识携带在授权报文中发送给网络转发设备。
认证服务器在确认对用户的合法性认证的认证结果为认证通过时,向网络转发设备和用户所使用的终端设备发送授权报文,认证服务器在确认对用户的合法性认证的认证结果为认证失败后,向网络转发设备和用户所使用的终端设备发送拒绝报文。其中,由于用户使用的终端设备不能直接和认证服务器通信,需要由网络转发设备进行转发,因此认证服务器可以直接将授权报文或拒绝报文发送给网络转发设备,网络转发设备可以将接收到的授权报文或拒绝报文转发给终端设备。
本发明实施例一中,认证服务器发送给网络转发设备的授权报文中不仅携带有该用户的用户标识,还携带有步骤11确定出的网络访问权限对应的权限标识,具体的:预先在授权报文中设置用于承载权限标识的权限标识字段和用于承载用户标识的用户标识字段,认证服务器在向网络转发设备发送授权报文时,将步骤21确定出的网络访问权限对应的权限标识和用户标识分别插入到预先设置的权限标识字段和用户标识字段中,然后再将授权报文发送给网络转发设备。其中,用户的用户标识可以为该用户所使用的终端设备的介质访问控制(MAC,Media Access Control)地址,还可以为该用户所使用的终端设备的唯一设备序列号。
步骤13,网络转发设备在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识。
本发明实施例一中,网络转发设备若接收到认证服务器发送的拒绝报文,则确认该用户无法访问任何网络,若接收到认证服务器发送的授权报文,则确认该用户可以访问网络。
预先创建多个VLAN,每个VLAN对应一种网络访问权限,网络转发设备预先设置每个VLAN对应的网络访问权限,将VLAN的局域网标识与网络访问权限的权限标识对应存储,形成如表一所示的局域网标识与权限标识之间的对应关系。
表一:
| VLAN的局域网标识 | 网络访问权限的权限标识 |
| VLAN1 | 局域网内的网络一 |
| VLAN2 | 局域网内的网络二 |
| VLAN3 | 局域网内的所有网络 |
若网络转发设备接收到的授权报文中携带的权限标识为“局域网内的所有网络”,则网络转发设备经过查找表一可知,该用户的网络访问权限对应的VLAN的局域网标识为VLAN3。
步骤14,网络转发设备将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储。
本发明实施例一中,若用户的用户标识为用户使用的终端设备的MAC地址,则MAC地址和VLAN的局域网标识之间的对应关系可以称为VLAN_MAC表项,网络转发设备将该VLAN_MAC表项存储在网络转发设备使用的专用集成电路(ASIC,Application Specific Intergrated Circuits)交换芯片中。
MAC地址和VLAN的局域网标识之间的对应关系可以但不限于如表二所示。
表二:
| MAC地址 | VLAN的局域网标识 |
| MAC地址1 | VLAN1 |
| MAC地址2 | VLAN2 |
| MAC地址3 | VLAN3 |
步骤15,后续在用户发送数据报文时,网络转发设备在用户标识与局域网标识之间的对应关系中,查找用户标识对应的局域网标识。
用户发送的数据报文中携带有该用户的用户标识,网络转发设备从接收到的数据报文中提取出用户标识,然后在存储的用户标识与局域网标识之间的对应关系中,查找该用户的用户标识对应的局域网标识。
若用户标识为用户所使用的终端设备的MAC地址,则网络转发设备接收到用户的数据报文之后,从接收到的数据报文的报文头的源MAC地址字段中提取出该用户所使用的终端设备的MAC地址,并在MAC地址和VLAN的局域网标识之间的对应关系中,查找与提取出的MAC地址对应的VLAN的局域网标识。
步骤16,网络转发设备将用户的数据报文在查找到的局域网标识对应的VLAN中传输。
用户的各种类型的数据报文(例如,单址帧数据报文、多址帧数据报文、以及广播帧数据报文),都将被限制在查找到的局域网标识对应的VLAN中传输。
其中,在步骤15中,若网络转发设备未查找到用户标识对应的局域网标识,则网络转发设备可以确定该用户连接的转发端口,并根据预先设定的转发端口和VLAN的局域网标识之间的对应关系,查找确定出的转发端口对应的局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输。本发明实施例一中,网络转发设备可以预先设置每个转发端口的默认VLAN的局域网标识,得到上述转发端口和VLAN的局域网标识之间的对应关系,其中,网络转发设备可以将各转发端口的默认VLAN的局域网标识统一设置为对应的网络访问权限最小的VLAN的局域网标识。
本发明实施例一中,网络转发设备可以但不限于为交换机,此时与用户连接的转发端口为交换机端口。
本发明实施例一中,若用户想要进行网络下线,则可以向认证服务器发送网络下线请求,其中,用户在使用终端设备向认证服务器发送网络下线请求时,先要将该网络下线请求发送给网络转发设备,再由网络转发设备将接收到的网络下线请求发送给认证服务器。认证服务器接收到用户的网络下线请求后,向网络转发设备发送该用户的网络下线报文,该用户的网络下线报文中携带有该用户的用户标识,网络转发设备接收到该用户的网络下线报文后,删除存储的该用户的用户标识与VLAN的局域网标识之间的对应关系。若用户的用户标识为用户使用的终端设备的MAC地址,则网络转发设备可以从接收到的网络下线报文中确定出该用户所使用的终端设备的MAC地址,然后删除存储的该用户所使用的终端设备的MAC地址与VLAN的局域网标识之间的对应关系。
网络转发设备将该用户的数据报文在查找到的局域网标识对应的VLAN中传输之前,可以在数据报文中插入该VLAN的局域网标识,后续该VLAN中的各网络设备可以根据数据报文中携带的局域网标识,将该数据报文在该VLAN中传输。
下面举例说明本发明实施例一提出的网络访问权限控制方法的具体实现流程。
终端设备1与交换机端口a连接,用户A使用终端设备1请求访问网络时,认证服务器先要对用户A进行合法性认证,并在认证通过后,确定用户A的网络访问权限,然后将确定出的网络访问权限的权限标识和用户A使用的终端设备1的MAC地址携带在授权报文中发送给交换机,交换机在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识,并将接收到的授权报文中携带的用户A使用的终端设备1的MAC地址和查找到的局域网标识对应存储,后续在用户A发送数据报文时,交换机在MAC地址与局域网标识之间的对应关系中,查找终端设备1的MAC地址对应的局域网标识,并将用户A的数据报文在查找到的局域网标识对应的VLAN中传输,当用户A进行网络下线时,向认证服务器发送网络下线请求,认证服务器向交换机发送用户A的网络下线报文,交换机接收到网络下线报文后,删除存储的用户A所使用的终端设备1的MAC地址与VLAN的局域网标识之间的对应关系。后续用户B使用终端设备1请求访问网络时,认证服务器先要对用户B进行合法性认证,并在认证通过后,确定用户B的网络访问权限,然后将确定出的网络访问权限的权限标识和用户B使用的终端设备1的MAC地址携带在授权报文中发送给交换机,交换机在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识,并将接收到的授权报文中携带的用户B使用的终端设备1的MAC地址和查找到的局域网标识对应存储,后续在用户B发送数据报文时,交换机在MAC地址与局域网标识之间的对应关系中,查找终端设备1的MAC地址对应的局域网标识,并将用户B的数据报文在查找到的局域网标识对应的VLAN中传输,当用户B进行网络下线时,向认证服务器发送网络下线请求,认证服务器向交换机发送用户B的网络下线报文,交换机接收到网络下线报文后,删除存储的用户B所使用的终端设备1的MAC地址与VLAN的局域网标识之间的对应关系。由上可见,即使使用同一终端设备1的用户A和用户B具有不同的网络访问权限,本发明实施例一的技术方案也能够实现对用户的网络访问权限进行控制。
或者,用户C使用的终端设备2、用户D使用的终端设备3和用户E使用的终端设备4均连接到交换机端口b中,那么在用户C、用户D和用户E请求访问网络时,认证服务器先要对用户C、用户D和用户E分别进行合法性认证,并在认证均通过后,分别确定用户C、用户D和用户E的网络访问权限,然后将确定出的用户C的网络访问权限的权限标识和用户C使用的终端设备2的MAC地址携带在授权报文中发送给交换机,将确定出的用户D的网络访问权限的权限标识和用户D使用的终端设备3的MAC地址携带在授权报文中发送给交换机,将确定出的用户E的网络访问权限的权限标识和用户E使用的终端设备4的MAC地址携带在授权报文中发送给交换机,交换机在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识,并将用户C使用的终端设备2的MAC地址和查找到的用户C的网络访问权限的权限标识对应的局域网标识对应存储,将用户D使用的终端设备3的MAC地址和查找到的用户D的网络访问权限的权限标识对应的局域网标识对应存储,将用户E使用的终端设备4的MAC地址和查找到的用户E的网络访问权限的权限标识对应的局域网标识对应存储,后续在用户C发送数据报文时,交换机在MAC地址与局域网标识之间的对应关系中,查找终端设备2的MAC地址对应的局域网标识,并将用户C的数据报文在查找到的局域网标识对应的VLAN中传输,在用户D发送数据报文时,交换机在MAC地址与局域网标识之间的对应关系中,查找终端设备3的MAC地址对应的局域网标识,并将用户D的数据报文在查找到的局域网标识对应的VLAN中传输,在用户E发送数据报文时,交换机在MAC地址与局域网标识之间的对应关系中,查找终端设备4的MAC地址对应的局域网标识,并将用户E的数据报文在查找到的局域网标识对应的VLAN中传输。由上可见,即便连接到同一交换机端口b的用户C、用户D和用户E具有不同的网络访问权限,本发明实施例一的技术方案也能够实现对用户的网络访问权限进行控制。
由上述处理过程可知,本发明实施例技术方案中,当用户请求接入网络时,首先由认证服务器对用户进行合法性认证,并在认证通过后确定该用户的网络访问权限,并将确定出的网络访问权限的权限标识和该用户的用户标识携带在授权报文中发送给网络转发设备,然后由网络转发设备在权限标识和VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识,并将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储,后续在该用户发送数据报文时,网络转发设备在用户标识与局域网标识之间的对应关系中,查找该用户的用户标识对应的局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输。由上可见,本发明实施例技术方案中,用户请求接入网络时,网络转发设备建立用户标识与局域网标识的对应关系,后续在用户发送数据报文时,可以直接根据建立的对应关系查找局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输,因此即使连接到同一转发端口的多个用户具有不同的网络访问权限,本发明实施例技术方案也能够实现对用户的网络访问权限进行控制。
实施例二
如图2所示,为本发明实施例二提出的网络访问权限控制方法的网络架构示意图,终端设备21和认证服务器22之间不能够直接进行通信,需要通过网络转发设备23进行报文转发。当用户请求接入网络时,可以先使用终端设备21,将认证请求发送给网络转发设备23,网络转发设备23将认证请求中转发给认证服务器22,认证请求中携带有该用户的认证信息和终端设备21的MAC地址,认证服务器22从接收到的认证请求中提取出用户的认证信息,并根据提取出的认证信息对用户接入网络的合法性进行认证,认证服务器22在确认认证通过时,根据该用户的网络账户确定用户的网络访问权限,并在授权报文中插入该用户的网络访问权限的权限标识和终端设备21的MAC地址,将授权报文发送给网络转发设备23。网络转发设备23若接收到认证服务器22发送的授权报文,则从授权报文中提取出权限标识以及终端设备21的MAC地址,在预先设定的网络访问权限的权限标识与VLAN的局域网标识之间的对应关系中查找该用户的网络访问权限对应的VLAN的局域网标识,网络转发设备23将终端设备21的MAC地址和查找到的VLAN的局域网标识对应存储,后续在该用户通过终端设备21发送数据报文时,网络转发设备23在MAC地址与VLAN的局域网标识之间的对应关系中,查找数据报文中携带的终端设备21的MAC地址对应的VLAN的局域网标识,并将该用户的数据报文在查找到的局域网标识对应的VLAN中传输。
下面给出更为具体的实施方式。
实施例三
如图3所示,为本发明实施例三中的网络访问权限控制方法具体实现流程示意图,其具体处理流程如下:
步骤31,用户使用终端设备向认证服务器发送认证请求,认证请求中除了携带终端设备的MAC地址之外,还携带有该用户的用户信息(例如用户名和密码),终端设备先将认证请求发送给交换机,交换机再将该认证请求转发给认证服务器。
步骤32,认证服务器根据接收到的认证请求中携带的用户信息(用户名和密码),对该用户进行合法性认证,即判断该用户是否为接入网络的合法用户。
步骤33,若步骤32的认证结果为认证通过,即该用户为接入网络的合法用户,则认证服务器确定该用户的网络访问权限。
步骤34,认证服务器将确定出的网络访问权限的权限标识插入到授权报文的用于承载权限标识的字段中,并将授权报文发送给交换机,授权报文中还携带有该用户所使用的终端设备的MAC地址;
若步骤32的判断结果为否,则认证服务器向交换机发送该用户的拒绝报文。
步骤35,交换机若接收到认证服务器发送的授权报文,则从接收到的授权报文中提取出权限标识以及该用户所使用的终端设备的MAC地址;
交换机若接收到认证服务器发送的拒绝报文,则不做任何处理。
步骤36,交换机根据提取出的权限标识,在预先设定的VLAN的局域网标识和网络访问权限的权限标识之间的对应关系中,查找该用户的网络访问权限对应的VLAN的局域网标识。
步骤37,交换机将提取出的该用户使用的终端设备的MAC地址和查找到的VLAN的局域网标识对应存储。
步骤38,后续在该用户使用该终端设备发送数据报文时,根据数据报文中携带的MAC地址,在存储的MAC地址和VLAN的局域网标识之间的对应关系中,查找对应的VLAN的局域网标识。
步骤39,交换机将该用户的数据报文在步骤38查找到的局域网标识对应的VLAN中传输。
此外,若步骤38中交换机未查找到MAC地址对应的局域网标识,则确定与该用户连接的交换机端口,并根据预先设定的交换机端口和VLAN的局域网标识之间的对应关系,查找确定出的转发端口对应的局域网标识,交换机将该用户的数据报文在查找到的局域网标识对应的VLAN中传输。
步骤310,用户想要进行网络下线时,通过使用的终端设备向认证服务器发送网络下线请求,网络下线请求中携带有该用户所使用的终端设备的MAC地址,终端设备先将网络下线请求发送给交换机,交换机将接收到的网络下线请求转发给认证服务器。
步骤311,认证服务器向交换机发送网络下线报文,网络下线报文中携带有该用户所使用的终端设备的MAC地址。
步骤312,交换机接收到网络下线报文后,从网络下线报文中提取出该用户所使用的终端设备的MAC地址。
步骤313,交换机将提取出的MAC地址与VLAN的局域网标识之间的对应关系进行删除。
实施例四
相应的,本发明实施例四提供了一种认证服务器侧的网络访问权限控制装置,其结构如图4所示,包括:
合法性认证单元41,用于在用户请求接入网络时,对所述用户进行合法性认证;
网络访问权限确定单元42,用于在所述合法性认证单元41认证通过后,确定所述用户的网络访问权限;
授权报文发送单元43,用于将网络访问权限确定单元42确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备。
较佳地,还包括:
拒绝报文发送单元,用于在合法性认证单元41对所述用户进行合法性认证的认证结果为认证不通过时,向网络转发设备发送拒绝报文。
相应的,本发明实施例四提供了一种认证服务器,至少包括上述网络访问权限控制装置。
相应的,本发明实施例四还提供了一种网络转发设备侧的网络访问权限控制装置,其结构如图5所示,包括:
授权报文接收单元51,用于接收认证服务器发送的授权报文,所述授权报文中携带有请求接入网络的用户的用户标识和所述用户的网络访问权限的权限标识;
第一局域网标识查找单元52,用于在权限标识和VLAN的局域网标识之间的对应关系中,查找授权报文接收单元51接收到的授权报文中携带的权限标识对应的局域网标识;
存储单元53,用于将授权报文接收单元51接收到的授权报文中携带的用户标识和第一局域网标识查找单元52查找到的局域网标识对应存储;
第二局域网标识查找单元54,用于后续在所述用户发送数据报文时,在存储单元53存储的用户标识与局域网标识之间的对应关系中,查找所述用户的用户标识对应的局域网标识;
第一传输单元55,用于将所述用户的数据报文在第二局域网标识查找单元54查找到的局域网标识对应的VLAN中传输。
较佳地,还包括:
拒绝报文接收单元,用于接收认证服务器发送的拒绝报文。
较佳地,还包括:
转发端口确定单元,用于在第二局域网标识查找单元54未查找到所述用户的用户标识对应的局域网标识时,确定与所述用户连接的转发端口;
第三局域网标识查找单元,用于根据预先设定的转发端口和VLAN的局域网标识之间的对应关系,查找转发端口确定单元确定出的转发端口对应的局域网标识;
第二传输单元,用于将所述用户的数据报文在第三局域网标识查找单元查找到的局域网标识对应的VLAN中传输。
较佳地,还包括:
网络下线报文接收单元,用于接收认证服务器发送的、所述用户的网络下线报文,所述网络下线报文中携带有所述用户的用户标识;
删除单元,用于在网络下线报文接收单元接收到所述用户的网络下线报文时,删除所述用户的用户标识与VLAN的局域网标识之间的对应关系。
相应的,本发明实施例四提供了一种网络转发设备,至少包括上述网络访问权限控制装置。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络访问权限控制方法,其特征在于,包括:
用户请求接入网络时,认证服务器对用户进行合法性认证,并在认证通过后,确定所述用户的网络访问权限;
所述认证服务器将确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备;
所述网络转发设备在权限标识和虚拟局域网VLAN的局域网标识之间的对应关系中,查找接收到的授权报文中携带的权限标识对应的局域网标识;并
将接收到的授权报文中携带的用户标识和查找到的局域网标识对应存储;
后续在所述用户发送数据报文时,所述网络转发设备在用户标识与局域网标识之间的对应关系中,查找所述用户标识对应的局域网标识;并
将所述用户的数据报文在查找到的局域网标识对应的VLAN中传输。
2.如权利要求1所述的方法,其特征在于,还包括:
若网络转发设备未查找到所述用户标识对应的局域网标识,则确定与所述用户连接的转发端口;并
根据预先设定的转发端口和VLAN的局域网标识之间的对应关系,查找确定出的转发端口对应的局域网标识;并
将所述用户的数据报文在查找到的局域网标识对应的VLAN中传输。
3.如权利要求1所述的方法,其特征在于,还包括:
网络转发设备接收认证服务器发送的、所述用户的网络下线报文;
所述网络转发设备删除所述用户的用户标识与VLAN的局域网标识之间的对应关系。
4.如权利要求1~3中任一权利要求所述的方法,其特征在于,用户的用户标识为用户所使用的终端设备的介质访问控制MAC地址。
5.一种网络访问权限控制装置,其特征在于,包括:
合法性认证单元,用于在用户请求接入网络时,对所述用户进行合法性认证;
网络访问权限确定单元,用于在所述合法性认证单元认证通过后,确定所述用户的网络访问权限;
授权报文发送单元,用于将网络访问权限确定单元确定出的网络访问权限的权限标识和所述用户的用户标识携带在授权报文中发送给网络转发设备。
6.一种认证服务器,其特征在于,包括权利要求5所述的网络访问权限控制装置。
7.一种网络访问权限控制装置,其特征在于,包括:
授权报文接收单元,用于接收认证服务器发送的授权报文,所述授权报文中携带有请求接入网络的用户的用户标识和所述用户的网络访问权限的权限标识;
第一局域网标识查找单元,用于在权限标识和虚拟局域网VLAN的局域网标识之间的对应关系中,查找授权报文接收单元接收到的授权报文中携带的权限标识对应的局域网标识;
存储单元,用于将授权报文接收单元接收到的授权报文中携带的用户标识和第一局域网标识查找单元查找到的局域网标识对应存储;
第二局域网标识查找单元,用于后续在所述用户发送数据报文时,在存储单元存储的用户标识与局域网标识之间的对应关系中,查找所述用户的用户标识对应的局域网标识;
第一传输单元,用于将所述用户的数据报文在第二局域网标识查找单元查找到的局域网标识对应的VLAN中传输。
8.如权利要求7所述的装置,其特征在于,还包括:
转发端口确定单元,用于在第二局域网标识查找单元未查找到所述用户的用户标识对应的局域网标识时,确定与所述用户连接的转发端口;
第三局域网标识查找单元,用于根据预先设定的转发端口和VLAN的局域网标识之间的对应关系,查找转发端口确定单元确定出的转发端口对应的局域网标识;
第二传输单元,用于将所述用户的数据报文在第三局域网标识查找单元查找到的局域网标识对应的VLAN中传输。
9.如权利要求7所述的装置,其特征在于,还包括:
网络下线报文接收单元,用于接收认证服务器发送的、所述用户的网络下线报文;
删除单元,用于在网络下线报文接收单元接收到所述用户的网络下线报文时,删除所述用户的用户标识与VLAN的局域网标识之间的对应关系。
10.一种网络转发设备,其特征在于,包括权利要求7~9中任一权利要求所述的网络访问权限控制装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100344645A CN102594818A (zh) | 2012-02-15 | 2012-02-15 | 网络访问权限控制方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100344645A CN102594818A (zh) | 2012-02-15 | 2012-02-15 | 网络访问权限控制方法、装置及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102594818A true CN102594818A (zh) | 2012-07-18 |
Family
ID=46483019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100344645A Pending CN102594818A (zh) | 2012-02-15 | 2012-02-15 | 网络访问权限控制方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102594818A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475751A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种ip地址切换的方法及装置 |
| CN104053154A (zh) * | 2014-06-16 | 2014-09-17 | 福建星网锐捷网络有限公司 | 一种无线网络接入控制方法、装置和接入点设备 |
| CN104717216A (zh) * | 2015-03-12 | 2015-06-17 | 福建星网锐捷网络有限公司 | 一种网络接入控制方法、装置及核心设备 |
| CN104735101A (zh) * | 2013-12-19 | 2015-06-24 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN105847287A (zh) * | 2016-05-17 | 2016-08-10 | 中山大学 | 一种基于社区局域网的资源访问控制方法及系统 |
| CN106790218A (zh) * | 2017-01-11 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种权限管理方法及装置 |
| CN107659932A (zh) * | 2016-07-25 | 2018-02-02 | 中兴通讯股份有限公司 | 一种设备访问的方法及装置 |
| CN107689881A (zh) * | 2016-08-04 | 2018-02-13 | 新华三技术有限公司 | 报文处理方法以及装置 |
| CN108632287A (zh) * | 2018-05-14 | 2018-10-09 | 四川斐讯信息技术有限公司 | 一种软件访问权限的控制方法及系统 |
| CN109428945A (zh) * | 2017-08-29 | 2019-03-05 | 华为技术有限公司 | 数据传输方法、设备及系统 |
| CN109728989A (zh) * | 2017-10-31 | 2019-05-07 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| CN112995179A (zh) * | 2021-02-25 | 2021-06-18 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN113094719A (zh) * | 2020-01-08 | 2021-07-09 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备 |
| CN113098834A (zh) * | 2020-01-08 | 2021-07-09 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备和系统 |
| CN116827586A (zh) * | 2023-03-07 | 2023-09-29 | 北京火山引擎科技有限公司 | 网络认证方法、装置、存储介质以及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414759A (zh) * | 2002-01-30 | 2003-04-30 | 华为技术有限公司 | 受控组播的系统及其实现方法 |
| CN1455551A (zh) * | 2003-05-28 | 2003-11-12 | 东华大学 | 宽带网络接入智能控制系统及控制方法 |
| US20070094401A1 (en) * | 2005-10-21 | 2007-04-26 | Francois Gagne | Support for WISPr attributes in a TAL/CAR PWLAN environment |
| CN101039227A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 共享接入网的通讯系统及其进行业务报文交互的方法 |
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
| CN101860551A (zh) * | 2010-06-25 | 2010-10-13 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
-
2012
- 2012-02-15 CN CN2012100344645A patent/CN102594818A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414759A (zh) * | 2002-01-30 | 2003-04-30 | 华为技术有限公司 | 受控组播的系统及其实现方法 |
| CN1455551A (zh) * | 2003-05-28 | 2003-11-12 | 东华大学 | 宽带网络接入智能控制系统及控制方法 |
| US20070094401A1 (en) * | 2005-10-21 | 2007-04-26 | Francois Gagne | Support for WISPr attributes in a TAL/CAR PWLAN environment |
| CN101039227A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 共享接入网的通讯系统及其进行业务报文交互的方法 |
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
| CN101860551A (zh) * | 2010-06-25 | 2010-10-13 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475751A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种ip地址切换的方法及装置 |
| CN103475751B (zh) * | 2013-09-18 | 2016-08-10 | 杭州华三通信技术有限公司 | 一种ip地址切换的方法及装置 |
| US9900804B2 (en) | 2013-12-19 | 2018-02-20 | Zte Corporation | Method and device for processing to share network resources, and method, device and system for sharing network resources |
| CN104735101A (zh) * | 2013-12-19 | 2015-06-24 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| WO2015090035A1 (zh) * | 2013-12-19 | 2015-06-25 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| CN104735101B (zh) * | 2013-12-19 | 2019-11-26 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| CN104053154A (zh) * | 2014-06-16 | 2014-09-17 | 福建星网锐捷网络有限公司 | 一种无线网络接入控制方法、装置和接入点设备 |
| CN104053154B (zh) * | 2014-06-16 | 2018-05-22 | 福建星网锐捷网络有限公司 | 一种无线网络接入控制方法、装置和接入点设备 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN104717216A (zh) * | 2015-03-12 | 2015-06-17 | 福建星网锐捷网络有限公司 | 一种网络接入控制方法、装置及核心设备 |
| CN104717216B (zh) * | 2015-03-12 | 2018-09-07 | 福建星网锐捷网络有限公司 | 一种网络接入控制方法、装置及核心设备 |
| CN105847287A (zh) * | 2016-05-17 | 2016-08-10 | 中山大学 | 一种基于社区局域网的资源访问控制方法及系统 |
| CN107659932B (zh) * | 2016-07-25 | 2022-05-20 | 中兴通讯股份有限公司 | 一种设备访问的方法及装置 |
| CN107659932A (zh) * | 2016-07-25 | 2018-02-02 | 中兴通讯股份有限公司 | 一种设备访问的方法及装置 |
| CN107689881A (zh) * | 2016-08-04 | 2018-02-13 | 新华三技术有限公司 | 报文处理方法以及装置 |
| CN106790218A (zh) * | 2017-01-11 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种权限管理方法及装置 |
| CN109428945A (zh) * | 2017-08-29 | 2019-03-05 | 华为技术有限公司 | 数据传输方法、设备及系统 |
| CN109428945B (zh) * | 2017-08-29 | 2020-09-25 | 华为技术有限公司 | 数据传输方法、设备及系统 |
| US11612013B2 (en) | 2017-08-29 | 2023-03-21 | Huawei Technologies Co., Ltd. | Data transmission method, device, and system |
| CN109728989A (zh) * | 2017-10-31 | 2019-05-07 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| CN109728989B (zh) * | 2017-10-31 | 2021-06-11 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| CN108632287A (zh) * | 2018-05-14 | 2018-10-09 | 四川斐讯信息技术有限公司 | 一种软件访问权限的控制方法及系统 |
| CN113098834A (zh) * | 2020-01-08 | 2021-07-09 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备和系统 |
| CN113094719A (zh) * | 2020-01-08 | 2021-07-09 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备 |
| CN113098834B (zh) * | 2020-01-08 | 2023-04-07 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备和系统 |
| CN113094719B (zh) * | 2020-01-08 | 2023-08-08 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备 |
| CN112995179B (zh) * | 2021-02-25 | 2022-08-26 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN112995179A (zh) * | 2021-02-25 | 2021-06-18 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN116827586A (zh) * | 2023-03-07 | 2023-09-29 | 北京火山引擎科技有限公司 | 网络认证方法、装置、存储介质以及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594818A (zh) | 网络访问权限控制方法、装置及相关设备 | |
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| CN105897444B (zh) | 一种组播组的管理方法和装置 | |
| CN101577675B (zh) | IPv6网络中邻居表保护方法及邻居表保护装置 | |
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
| CN103441932A (zh) | 一种主机路由表项生成方法及设备 | |
| EP3598705B1 (en) | Routing control | |
| CN109474507B (zh) | 一种报文转发方法及装置 | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| JP2006518967A (ja) | 仮想無線ローカルエリアネットワーク | |
| CN102340509A (zh) | 对双栈用户进行访问控制的方法和设备 | |
| CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
| US9166884B2 (en) | Network location service | |
| CN102916874B (zh) | 一种报文发送方法及设备 | |
| CN111131039B (zh) | 一种报文转发控制方法及装置 | |
| CN102333013B (zh) | 一种介质访问控制地址冲突检测方法、装置和系统 | |
| CN103188662B (zh) | 一种验证无线接入点的方法以及装置 | |
| CN102333134B (zh) | 一种介质访问控制地址冲突检测方法、装置和系统 | |
| CN114710388B (zh) | 一种校园网安全系统及网络监护系统 | |
| CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
| CN115714780A (zh) | 基于跨多联盟链多中继链的联盟链自发现方法 | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
| CN107689881A (zh) | 报文处理方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120718 |