[发明专利]用户接入网络的权限设置方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种用户接入网络的权限设置方法和设备。 

背景技术

随着网络应用的不断普及与发展，网络安全逐渐成为各企业极为重视的问题。其中，如何对用户进行接入控制是至关重要的问题，允许合法的用户使用网络并对其进行正确的认证、授权是对用户进行网络接入控制的最基本要求。远端拨入验证服务(Remote Access Dial In user Services，RADIUS)协议是控制网络用户接入的标准协议，基于客户端/服务器(Client/Server，C/S)模式。用户在接入网络之前必须先经过认证、授权与计费(AuthenticationAuthorization Accounting，AAA)服务器的认证，保证只有通过认证的合法用户才能访问网络。 

在网络身份认证的基础之上，网络准入控制(Network Admission Control，NAC)技术方案的提出，对接入网络的用户终端提出了更为严格的安全要求。网络准入控制方案是一个整合方案，其基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状态评估、隔离与修复，提升网络的整体防御能力。 

个人计算机(Personal Computer，PC)的台式机和便携计算机以及其他可以进行网络接入的设备统称为终端，网络接入控制应用系统的客户端软件都运行在各个终端上，网络准入控制方案要求对通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行安全检查，例如：病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等等。根据检查的结果，网络准入控制方案对用户网络准入进行授权和控制。通过 安全认证后，用户可以正常使用网络，与此同时，网络准入控制方案可以对用户终端运行情况和网络使用情况进行审计和监控。 

如图1所示，是一个用户接入网络的技术方案的典型组网图。 

企业在引入网络接入控制技术方案时，往往在各个机构、部门按照相关的信息安全政策制定不同的安全控制策略等。但是随着跨部门运作与办公协同的发展，往往存在着对“漫游用户”(网络接入用户从一个位置移动到另一个位置，仍能正常使用网络即漫游)的网络接入认证和权限控制问题。 

如图2所示，企业由于职能而划分为不同的行政区域，而每个行政区域因为信息安全的需要而配置不同的网络安全控制策略。在实际工作中，往往存在跨部门工作交流问题，例如图2中，某市场部员工携带笔记本电脑到研发部进行工作交流，则可能存在如下问题： 

1、如果该员工使用其接入用户名无法接入研发部网络(接入系统未授权接入研发区域)，则该员工无法使用当前的网络资源； 

2、如果该员工可接入研发区域，且使用研发区既定的网络安全控制策略，可访问研发区域的资源，则可能造成研发信息泄漏。 

为解决漫游用户的接入问题，企业往往采用“多用户名、多域名”的方式来区别用户漫游到不同接入区域。用户在不同的接入区域使用不同的用户名或者域名进行网络接入认证，认证接入服务器根据用户名、域名来识别不同的安全控制策略并授予用户不同的访问权限。例如“ABC”是接入市场部网络的用户名，“ABCresearch”(用户名+域名方式)是接入研发区网络的用户名，“ABC.bj”是接入北京办事处的用户名。这样该用户每次漫游到不同的区域均使用不同的用户接入帐号进行网络接入认证。 

在实现本发明的过程中，申请人发现现有技术至少存在以下问题： 

1、漫游用户需要记忆各种不同的接入帐号，每次接入到不同的区域均要进行接入帐号的切换工作； 

2、若漫游用户在某接入区域未配置接入帐号和权限，需要请求网管人员为其分配接入帐号和访问权限； 

3、大量的帐号管理配置和访问权限分配给网管人员带来大量重复工作； 

4、无法对帐号的生命周期进行有效控制，例如某员工离职，其所在部门的帐号虽然也同时注销，但是系统中其漫游帐号仍然存在，给企业网络带来后门隐患； 

5、各行政区域缺乏对漫游用户的安全访问权限进行统一管理，难免因为安全访问权限配置的不同，而造成某些漫游用户可访问未授权的网络资源。 

发明内容

本发明提供一种用户接入网络的权限设置方法和设备，使用户通过单一帐号进行网络认证接入，并可以根据该用户的接入位置分配相应的网络访问权限。