[发明专利]一种用户访问权限控制方法及系统

说明书

技术领域

本发明涉及计算机数据通信领域，具体涉及一种用户访问权限控制方法及系统。

背景技术

在计算机网络中，如果用户终端发出网络接入请求，网络中负责IP地址分配的服务器会为发出网络接入请求的用户终端分配一个网络(IP)地址，以便用户终端可以接入网络。当前，网络中的参与用户终端网络接入的服务器通常是采用支持IPv6的动态主机设置协议(Dynamic Host Configuration Protocol，DHCP)的DHCPv6服务器和DHCPv6中继服务器。动态主机分配协议版本6(Dynamic Host Configuration Protocol Version 6，DHCPv6)是一种动态分配IPv6地址的协议，广泛应用于各种IPv6网络中。

在现有技术中，在用户终端进行网络接入时，首先由用户终端向DHCPv6中继服务器发出DHCP请求报文申请接入网络，DHCPv6中继服务器接收到该请求报文后，将该报文转给DHCPv6服务器，DHCPv6服务器收到用户终端的DHCP请求报文后，把分配给用户终端的IP地址等网络初始化信息及自己的IP地址记载在DHCP响应报文中，发给DHCPv6中继服务器，再由DHCPv6中继服务器将收到的由DHCPv6服务器发送的DHCP响应报文中转给用户终端，用户终端获得IP地址，从而该用户终端可以接入网络。

DHCPv6协议向IPv6客户端提供IP地址和配置信息，其包括中继代理能力，中继代理可以在要转发的DHCPv6报文中添加必要的信息。DHCPv6报文可以由多个选项(option)字段组成，其中，RFC4649规定了中继代理远程标识选项字段(Relay Agent Remote-ID option)，也被称为选项37字段(option 37)，该字段由中继代理添加到DHCPv6报文，其格式如图1所示。其中，“选项代码”表示中继代理选项字段的序号，定义为OPTION_REMOTE_ID(37)，表示该选项字段为中继代理远程标识选项字段。“选项长度”为“厂商代码”和“远程标识”区域的字节数，不包括“选项代码”和“选项长度”部分的字节数。“厂商代码”(enterprise-number)为生产厂商注册的企业号，其唯一标识设备的制造商。“远程标识”(remote-id)为设备制造商自定义字段，用于唯一标识制造商制造的设备，即“厂商代码”和“远程标识”构成的序列可以唯一标识一台远程设备。

一般管理员在DHCPv6服务器上配置基于中继代理远程标识选项字段的地址分配策略。DHCPv6服务器根据DHCPv6请求中的中继代理远程标识选项字段信息来判断当前请求是否匹配相应策略而分配不同的地址，然后将从用户的DHCPv6报文中获取的中继代理远程标识选项字段与预设的数据库中内容进行比对，若有匹配的字符串则认为用户接入合法并分配IPv6地址。

但是，由于DHCPv6本身没有严格的安全认证机制，在不安全的网络环境下会出现因IPv6地址欺骗、MAC地址欺骗、恶意分配IPv6地址以致IPv6资源匮乏等问题。为了防止用户非法接入网络，一般在接入网络中采用802.1x认证。802.1x是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-Based Network Access Control)而定义的标准，该标准目前已经在无线局域网和以太网中被广泛应用。用户终端安装802.1x认证客户端，用户终端通过认证后即可以合法的接入网络，访问各种资源。

但是，在目前的802.1x认证过程中，用户终端在认证前无法访问任何资源，通过认证后又可以访问所有资源，这造成对用户访问权限的控制只有完全不能访问和全部可以访问这两种状态，这样的管理方式难以满足对用户访问权限进行精细化管理的需要。

发明内容

本发明的目的在于提供对于用户访问权限的精细化管理。

本发明公开了一种用户访问权限控制方法，包括：

A、未认证用户终端发送第一地址分配请求，请求地址分配单元分配地址；

B、用于中继报文的中继单元对所述第一地址分配请求附加表示未认证状态的认证状态标识后，将带有状态标识的第一地址分配请求转发至地址分配单元；

C、地址分配单元根据所述认证状态标识对所述用户终端分配第一地址，所述第一地址具有较低的访问权限；

D、用户终端发起认证，在认证通过后发送第二地址分配请求，请求地址分配单元分配地址；