一种认证授权方法及装置制造方法及图纸

本申请涉及网络认证技术领域，特别涉及一种认证授权方法及装置

【技术实现步骤摘要】
一种认证授权方法及装置


[0001]本申请涉及网络认证
，特别涉及一种认证授权方法及装置
。

技术介绍

[0002]随着网络安全问题日益突出，国家
、
政府
、
企业也对网络安全问题日益重视，尤其是关系到国计民生的网络，如电子政务网络，网络安全问题更是不可忽视
。
[0003]Portal
认证标准流程，一旦认证通过完成
ACL
授权下发，后续网络访问完全按
ACL
规则进行限制
。
假定目标网络
A
为互联网，目标网络
B
为电子政务外网，
ACL
规则为限制电子政务外网访问，允许互联网访问
。
认证通过后的效果为：互联网可访问，电子政务外网不可访问
。
也即，在需要网络隔离的场景中，同一终端一次认证只能完成一次授权，无法实现不同网络间自由切换
。

技术实现思路

[0004]本申请提供了一种认证授权方法及装置
。
[0005]第一方面，本申请提供了一种认证授权方法，应用于认证服务器，所述方法包括：
[0006]接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文，并缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系；
[0007]接收所述目标终端发送的认证报文，所述认证报文携带所述目标用户账号信息和所述目标终端地址信息；
[0008]基于所述目标用户账号信息和所述目标终端地址信息，确定所述目标终端访问的目标网络地址，并基于所述目标网络地址，确定所述目标网络对应的目标访问策略；
[0009]将所述目标访问策略授权给所述目标终端对应的接入设备
。
[0010]可选地，所述接入设备在接收到所述目标终端发送的访问所述目标网络的请求后，若确定所述目标终端在线，且当前授权策略与所述目标网络不匹配，则指示所述目标终端发起认证请求，并指示
Portal
服务器在接收到所述目标终端发送的认证报文后，指示所述认证服务器向所述接入设备下发下线所述目标终端的指令
。
[0011]可选地，接收所述目标终端发送的认证报文之前，所述方法还包括：
[0012]接收所述
Portal
服务器发送的调用强制下线接口的指令；
[0013]向所述接入设备发送下线所述目标终端的报文
。
[0014]可选地，缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系的步骤包括：
[0015]将本地已缓存的其他用户账号信息，终端地址信息和访问的网络地址信息的绑定关系，替换为所述目标用户账号信息，所述目标终端地址信息和访问的目标网络地址信息的绑定关系
。
[0016]第二方面，本申请提供了一种认证授权装置，应用于认证服务器，所述装置包括：
[0017]接收单元，用于接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文；
[0018]缓存单元，用于缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系；
[0019]所述接收单元还用于，接收所述目标终端发送的认证报文，所述认证报文携带所述目标用户账号信息和所述目标终端地址信息；
[0020]确定单元，用于基于所述目标用户账号信息和所述目标终端地址信息，确定所述目标终端访问的目标网络地址，并基于所述目标网络地址，确定所述目标网络对应的目标访问策略；
[0021]授权单元，用于将所述目标访问策略授权给所述目标终端对应的接入设备
。
[0022]可选地，所述接入设备在接收到所述目标终端发送的访问所述目标网络的请求后，若确定所述目标终端在线，且当前授权策略与所述目标网络不匹配，则指示所述目标终端发起认证请求，并指示
Portal
服务器在接收到所述目标终端发送的认证报文后，指示所述认证服务器向所述接入设备下发下线所述目标终端的指令
。
[0023]可选地，所述装置还包括下发单元：
[0024]若所述接收单元接收到所述
Portal
服务器发送的调用强制下线接口的指令；
[0025]所述下发单元用于，向所述接入设备发送下线所述目标终端的报文
。
[0026]可选地，缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系时，所述缓存单元具体用于：
[0027]将本地已缓存的其他用户账号信息，终端地址信息和访问的网络地址信息的绑定关系，替换为所述目标用户账号信息，所述目标终端地址信息和访问的目标网络地址信息的绑定关系
。
[0028]第三方面，本申请实施例提供一种认证授权装置，该认证授权装置包括：
[0029]存储器，用于存储程序指令；
[0030]处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤
。
[0031]第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤
。
[0032]综上可知，本申请实施例提供的认证授权方法，应用于认证服务器，该方法包括：接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文，并缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系；接收所述目标终端发送的认证报文，所述认证报文携带所述目标用户账号信息和所述目标终端地址信息；基于所述目标用户账号信息和所述目标终端地址信息，确定所述目标终端访问的目标网络地址，并基于所述目标网络地址，确定所述目标网络对应的目标访问策略；将所述目标访问策略授权给所述目标终端对应的接入设备
。
[0033]采用本申请实施例提供的认证授权方法，认证服务器上预置有各网络对应的授权策略，接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文，并缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地
址信息的绑定关系，在接收到
RADIUS
认证时，通过
RADIUS
认证携带的目标用户账号信息，目标终端地址信息反查获得目标网络地址信息，然后基于目标终端地址信息，确定对应的授权策略
。
在终端有访问不同网络，且网络之间需要隔离时，就可以实现多个网络的授权控制
。
同一终端在访问网络时，准入系统能够基于不同的目标网络进行不同的认证与授权，实现了网络隔离与不同网络间的自由切换
。
附图说明
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种认证授权方法，其特征在于，应用于认证服务器，所述方法包括：接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文，并缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系；接收所述目标终端发送的认证报文，所述认证报文携带所述目标用户账号信息和所述目标终端地址信息；基于所述目标用户账号信息和所述目标终端地址信息，确定所述目标终端访问的目标网络地址，并基于所述目标网络地址，确定所述目标网络对应的目标访问策略；将所述目标访问策略授权给所述目标终端对应的接入设备
。2.
如权利要求1所述的方法，其特征在于，所述接入设备在接收到所述目标终端发送的访问所述目标网络的请求后，若确定所述目标终端在线，且当前授权策略与所述目标网络不匹配，则指示所述目标终端发起认证请求，并指示
Portal
服务器在接收到所述目标终端发送的认证报文后，指示所述认证服务器向所述接入设备下发下线所述目标终端的指令
。3.
如权利要求2所述的方法，其特征在于，接收所述目标终端发送的认证报文之前，所述方法还包括：接收所述
Portal
服务器发送的调用强制下线接口的指令；向所述接入设备发送下线所述目标终端的报文
。4.
如权利要求1所述的方法，其特征在于，缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定关系的步骤包括：将本地已缓存的其他用户账号信息，终端地址信息和访问的网络地址信息的绑定关系，替换为所述目标用户账号信息，所述目标终端地址信息和访问的目标网络地址信息的绑定关系
。5.
一种认证授权装置，其特征在于，应用于认证服务器，所述装置包括：接收单元，用于接收目标终端发送的包括目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的报文；缓存单元，用于缓存所述目标用户账号信息，目标终端地址信息和访问的目标网络地址信息的绑定...

【专利技术属性】
技术研发人员：许文雨，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：