技術領域

本發明涉及通信技術領域的用戶認證技術，特別是涉及一種用戶網絡訪問權限切換方法及其裝置。

背景技術

一臺PC在同一個時刻只能訪問一個權限的網絡，這樣做是為了防止PC成為內外網聯通的節點，造成安全的隱患。但目前在用戶認證領域，存在以下需求：當用戶使用安全認證獲取其安全權限后，能夠實時的切換其訪問網絡的權限。

針對該需求，目前的一種解決方式是：使用戶再次進行認證，并在認證通過后，通過修改其登錄的用戶名稱來獲取不同的用戶權限，從而實現用戶訪問網絡權限的切換。

相應的，有部分廠商實現了一種認證網關，該網關可根據用戶訪問數據的目的IP地址進行識別，當用戶訪問某一權限的網絡時，根據用戶訪問的目的地址，彈出相應的WEB頁面對用戶進行認證。當用戶訪問了其他權限的網絡時，重新彈出相應的認證頁面，對用戶進行認證。

發明人在實現本發明的過程中，發現現有技術至少存在以下缺陷：

上述認證網關需要部署在網絡的交界處，或者部署在網絡的接入層，需要對網絡進行改動，部署成本較高，并且使用WEB認證只能使用HTTP(HyperText?Transfer?Protocol，超文本傳輸協議)進行觸發，使用起來存在部分限制。

發明內容

本發明提供了一種用戶網絡訪問權限切換方法及其裝置，用以實現用戶網絡訪問權限的切換。

本發明提供的用戶網絡訪問權限切換方法，應用于包含有Portal服務器、認證服務器、安全策略服務器和認證客戶端的Portal系統，該方法包括：

安全策略服務器為認證通過的認證客戶端分配訪問權限后，將所述訪問權限的權限控制信息發送給Portal服務器，并將所述認證客戶端所能夠使用的所有訪問權限標識信息發送給所述認證客戶端；

當安全策略服務器接收到所述認證客戶端發送的請求更換訪問權限的報文后，獲取其中攜帶的訪問權限標識信息，并將與所述訪問權限標識信息對應的權限控制信息發送給Portal服務器，其中，所述訪問權限標識信息是所述認證客戶端從其接收到所能夠使用的所有訪問權限標識信息中選擇出的。

上述方法中，所述安全策略服務器分配的訪問權限是所述安全策略服務器為所述認證客戶端分配的默認訪問權限；或者，是所述安全策略服務器根據從所述認證客戶端獲取的安全狀態信息，為所述認證客戶端所分配的相適應的訪問權限。

上述方法中，安全策略服務器將與所述請求更換訪問權限的報文中攜帶到的訪問權限標識信息所對應的權限控制信息發送給Portal服務器之后，還包括：將所述請求更換訪問權限的報文中攜帶的訪問權限標識信息所對應的權限描述信息發送給所述認證客戶端；和/或，通知所述認證客戶端更換了訪問權限。

上述方法中，安全策略服務器將與所述請求更換訪問權限的報文中攜帶的訪問權限標識信息所對應的權限控制信息發送給Portal服務器，具體為：

安全策略服務器判斷其所記錄的所述認證客戶端當前使用的訪問權限，與所述請求更換訪問權限的報文中攜帶的訪問權限標識信息所標識的訪問權限是否相同，在兩者不相同時，將與所述報文中攜帶的訪問權限標識信息所對應的權限控制信息發送給Portal服務器。

上述方法中，所述權限控制信息為訪問控制列表ACL。

本發明提供的安全策略服務器，應用于Portal系統，包括權限分配單元、獲取單元、確定單元和收發單元，其中：

權限分配單元，用于為認證通過的認證客戶端分配訪問權限；

獲取單元，與所述權限分配單元和所述收發單元連接，用于根據所述權限分配單元分配的訪問權限獲取對應的權限控制信息；以及，根據所述收發單元接收到的來自于所述認證客戶端的請求更換訪問權限的報文中攜帶的訪問權限標識信息，獲取對應的權限控制信息；

確定單元，用于在所述認證客戶端認證通過后，確定所述認證客戶端所能夠使用的所有訪問權限標識信息；

收發單元，用于將所述獲取單元獲取到的權限控制信息發送給Portal服務器，并將所述確定單元確定出的訪問權限標識信息發送給所述認證客戶端；以及，接收所述認證客戶端發送的請求更換訪問權限的報文，其中攜帶有所述認證客戶端從其所接收到的訪問權限標識信息中選擇出的訪問權限標識信息。

上述服務器中，所述權限分配單元具體用于，為所述認證通過的認證客戶端分配默認設置的訪問權限；或者，根據從所述認證客戶端獲取到的安全狀態信息，為所述認證客戶端分配的相適應的訪問權限。