CN119603052A - 实现用户访问控制的权限管理方法、装置、设备及介质 - Google Patents

Abstract

本公开提供了一种实现用户访问控制的权限管理方法、装置、设备和介质，包括：响应于用户访问已开启权限管理的第一网络的请求，获取用户的认证请求信息；基于认证请求信息，得到用户的用户权限属性，其中，用户权限属性用于表征用户的身份；基于用户权限属性和认证请求信息，生成用户的访问控制列表；将访问控制列表自动配置至用户所在网段的管控设备，通过管控设备控制用户访问第一网络的权限。

Description

实现用户访问控制的权限管理方法、装置、设备及介质

技术领域

本公开涉及网络安全领域，具体涉及一种实现用户访问控制的权限管理方法、装置、设备及存储介质。

背景技术

在当前的数字化工作环境中，网络的移动性和动态性需求显著增加。传统网络架构，主要依赖于地理位置进行网络划分与管理，其网络连接的稳定性和安全性保障成为了一大难题。具体而言，传统网络环境下，用户的IP地址与其物理位置紧密绑定，一旦用户位置发生变动，其IP地址往往会随之改变，从而直接影响了网络访问的连续性和安全性：一方面，用户需要重新获取IP地址并可能遭遇网络中断，影响了工作效率和用户体验；另一方面，基于IP地址的安全策略需手动调整以适应新的IP分配，不仅操作繁琐，且容易引入安全风险。此外，不同品牌、不同型号的网络设备和安全产品在联动上也存在兼容性问题，进一步加剧了网络管理的复杂性和挑战。特别是在高度移动化的场景中，如何确保用户在任何位置都能无缝、安全地访问所需资源，同时保持其原有的安全防护权限，成为了传统网络架构和安全体系亟待解决的关键问题。

发明内容

（一）要解决的技术问题

鉴于上述问题，本公开提供了一种实现用户访问控制的权限管理方法、装置、设备及存储介质，以至少部分解决传统网络架构下网络访问的连续性和安全性差，以及兼容性不足等技术问题。

（二）技术方案

本公开提供了一种实现用户访问控制的权限管理方法，包括：响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息；基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份；基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表；将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

根据本公开的实施例，所述基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表包括：基于所述认证请求信息中的网络地址，识别所述用户所在的第二网络的拓扑信息；基于所述拓扑信息，查询所述用户所在网段的网段配置信息；根据所述用户权限属性、所述拓扑信息及所述网段配置信息，与预先配置的第一权限规则进行匹配，并根据匹配结果，生成所述用户的访问控制列表。

根据本公开的实施例，所述方法还包括：响应于所述用户终止访问所述第一网络，将所述认证请求信息与预先配置的第二权限规则进行匹配，生成所述用户的访问控制列表的撤销指令；将所述撤销指令下发至所述用户所在网段的管控设备，撤销所述用户的访问控制列表。

根据本公开的实施例，将所述访问控制列表自动配置至所述用户所在网段的管控设备包括：在所述用户所在网段的管控设备支持第一协议的扩展属性的情况下，通过所述扩展属性自动接收所述访问控制列表；或在所述用户所在网段的管控设备支持第二协议的情况下，利用所述第二协议对所述管控设备进行所述访问控制列表的配置；或在所述用户所在网段的管控设备不支持所述第一协议和第二协议的情况下，远程连接所述管控设备并配置所述访问控制列表。

根据本公开的实施例，所述方法还包括：响应于所述用户接入所述第一网络，记录并计算所述用户访问所述第一网络的资源的费用；当所述用户终止访问所述第一网络或所述用户闲置超过预设时间段时，停止计算所述用户访问所述第一网络的资源的费用。

根据本公开的实施例，所述管控设备与生成所述访问控制列表的权限设备之间的网络互通。

根据本公开的实施例，所述基于所述认证请求信息，得到所述用户的用户权限属性包括：基于所述认证请求信息，判断所述用户是否为合法的网络用户；当所述用户为非合法用户时，拦截所述用户的访问请求；当所述用户为合法用户时，获取所述用户的用户权限属性。

本公开的第二方面提供了一种实现用户访问控制的权限管理装置，包括：获取模块，用于响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息；认证模块，用于基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份；生成模块，用于基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表；控制模块，用于将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个计算机程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行所述的实现用户访问控制的权限管理方法。

本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行所述的实现用户访问控制的权限管理方法。

（三）有益效果

本公开提供的实现用户访问控制的权限管理方法、装置、设备及存储介质，通过将用户的权限管控只与用户权限属性关联，不需要预先配置在网络管控设备上，而是限制在用户所在网段，根据用户在线位置情况设置或撤销。因此，大大简化了配置流程，降低了管理成本，并且实现了权限的动态分配与撤销，确保了访问控制策略的有效性、连续性和安全性。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了本公开实施例提供的实现用户访问控制的权限管理方法的流程示意图；

图2示意性示出了本公开实施例提供的实现用户访问控制的权限管理方法的另一流程示意图；

图3示意性示出了根据本公开实施例提供的实现用户访问控制的权限管理装置的结构框图；

图4示意性示出了一种电子设备的硬件结构图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语（包括技术和科学术语）具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。

因此，本公开的技术可以硬件和/或软件（包括固件、微代码等）的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中，计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括：磁存储装置，如磁带或硬盘（HDD）；光存储装置，如光盘（CD-ROM）；存储器，如随机存取存储器（RAM）或闪存；和/或有线/无线通信链路。

发明人经研究发现，在相关技术中，基于地理位置的网络划分策略面临着显著的挑战，特别是在用户高度移动性的场景下。例如，当员工跨越物理区域（如从A栋移动到B栋），其网络连接往往会中断并需要重新获取IP地址，导致直接触发了安全策略的重新部署需求。类似地，员工在办公区域内移动（如从办公位到会议室），或跨部门协作（如从市场部门到研发部门），甚至远程出差至分支机构时，其对共享资源的访问需求与权限保持问题变得尤为复杂。传统上，用户获取的IP地址紧密关联于其上网的物理位置，而网络安全设备（如防火墙）则通过基于IP地址的安全策略来控制访问权限。这种架构在静态或低移动性环境中尚能维持稳定，但在当前动态、高移动性的工作环境中，存在较大的局限性。IP地址的频繁变动要求安全策略必须相应调整，这不仅增加了管理负担，还可能引入安全风险，特别是在不同品牌、不同标准的网络与安全产品联动时，兼容性和操作复杂性更是成为一大难题。因此，针对上述问题，本公开实施例提供了一种实现用户访问控制的权限管理方法、装置、设备及存储介质。

如图1所示，实现用户访问控制的权限管理方法的流程示意图包括S1~S4。

在操作S1中，响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息。

在操作S2中，基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份。

在操作S3中，基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表。

在操作S4中，将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

图2示意性示出了本公开实施例提供的实现用户访问控制的权限管理方法的另一流程示意图。

在一些示例性实施例中，如图2所示，首先，在网络接入服务器（NAS）上配置必要的认证、授权、计费（AAA）相关参数，包括IP地址、共享密钥等。当用户尝试访问已开启权限管理的第一网络时，NAS会拦截其访问请求，获取用户的认证请求信息，该认证请求信息通常包括用户名、密码、NAS的IP地址以及用户尝试接入时所使用的IP地址（如果可用）。然后，NAS通过第一协议（如远程用户拨号认证服务协议，英文表述为RADIUS协议）将用户的认证请求信息发送给认证设备，通过认证设备验证用户的身份。再由认证设备将认证结果发送至权限设备，利用权限设备进一步查询用户的权限属性，例如用户组（或者用户所在的部门），以及用户所在的角色（如果存在）等信息，用户权限属性用于表征用户的身份和在网络中的权限级别。根据用户权限属性，权限设备会动态生成一个针对该用户的访问控制列表（ACL）。ACL详细列出了用户在网络中可以访问的资源、服务以及相应的访问权限。最后，权限设备将生成的访问控制列表自动配置到用户所在网段的管控设备上，根据ACL中的规则来控制用户的网络访问权限。

需要说明的是，本公开实施例提供的实现用户访问控制的权限管理方法，在落地实施时，能够广泛支持现有的网络设备，包括但不限于普通接入交换机、汇聚交换机以及核心交换机，而无需这些交换机具备额外的特殊功能或复杂的配置，从而能够以最小的硬件依赖实现高效、灵活的网络访问权限管理。

可以理解的是，通过将安全策略（权限管控）只跟其所在用户的用户权限属性（如用户组和用户角色）关联，从而消除了因用户物理位置变化而导致的权限混乱或安全漏洞，确保了用户访问的安全性，同时提高了用户的工作效率，并减少了因权限问题而导致的中断和延误。

进一步地，所述基于所述认证请求信息，得到所述用户的用户权限属性包括：基于所述认证请求信息，判断所述用户是否为合法的网络用户；当所述用户为非合法用户时，拦截所述用户的访问请求；当所述用户为合法用户时，获取所述用户的用户权限属性。

示例性地，认证设备通过验证认证请求信息中的用户名和密码，将用户名和密码与存储在安全数据库中的用户信息进行比对，确认访问第一网络的用户的身份。如果用户名和密码匹配成功，认证设备将确认用户为合法的网络用户，并继续后续的权限分配流程，获取用户的用户权限属性；如果匹配失败，认证设备将立即拒绝用户的访问请求，并向网络接入服务器（NAS）或用户终端发送拒绝信息，提示用户认证失败。

需要说明的是，用户权限属性包括用户组和用户角色，认证设备通过查询用户数据库或与之集成的目录服务，获取通常定义用户在网络中的基本权限范围和归属关系的用户组（或者用户所在的部门），在某些情况下，除了用户组或部门外，系统还可能为用户分配定义了用户在网络中可以执行一系列操作和任务的用户角色。

可以理解的是，通过确保只有合法的用户才能访问网路，减少了未经授权访问的风险，有效防止了潜在的安全威胁。

进一步地，所述基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表包括：基于所述认证请求信息中的网络地址，识别所述用户所在的第二网络的拓扑信息；基于所述拓扑信息，查询所述用户所在网段的网段配置信息；根据所述用户权限属性、所述拓扑信息及所述网段配置信息，与预先配置的第一权限规则进行匹配，并根据匹配结果，生成所述用户的访问控制列表。

具体地，认证设备将用户权限属性和认证请求信息，例如用户名、用户组、用户角色 、用户IP地址及NAS的IP地址发送给权限设备，权限设备会根据NAS的IP地址确定用户所在的网络的物理位置，即用户所在的第二网络的拓扑信息。然后，基于识别出的网络拓扑信息，从预先配置的信息中查询用户所在网段的IP配置信息，即网段配置信息（网关IP、交换机IP等），最后，权限设备将这些信息与预先配置的第一权限规则进行匹配，并根据匹配结果，生成一个针对该用户的ACL，明确列出其可以访问和禁止访问的资源列表。

可以理解的是，通过精确识别用户所在的网络环境（包括网络拓扑和网段配置信息），并结合用户的权限属性进行权限匹配，能够生成高度个性化的ACL，确保了只有具备相应权限的用户才能访问特定的网络资源，从而有效防止了未授权访问和潜在的安全威胁。

进一步地，将所述访问控制列表自动配置至所述用户所在网段的管控设备包括：在所述用户所在网段的管控设备支持第一协议的扩展属性的情况下，通过所述扩展属性自动接收所述访问控制列表；或在所述用户所在网段的管控设备支持第二协议的情况下，利用所述第二协议对所述管控设备进行所述访问控制列表的配置；或在所述用户所在网段的管控设备不支持所述第一协议和第二协议的情况下，远程连接所述管控设备并配置所述访问控制列表。

示例性的，权限设备将用户的ACL下发到该用户所在网段的管控设备（例如网关、或接入交换机、汇聚交换机等）的过程中，具体的下发方式可以是：在用户所在网段的管控设备支持第一协议（如RADIUS协议）的扩展属性的情况下，权限设备会将ACL编码为RADIUS响应消息中的扩展属性，然后发送给发送给认证设备，认证设备在成功认证用户后，会解析RADIUS响应中的ACL信息，并通过其管理接口（如RADIUS代理功能）将ACL转发给对应的管控设备。然后，管控设备解析这些扩展属性，并将ACL信息应用到其配置中，以实现对用户访问权限的控制。或者，在用户所在网段的管控设备支持第二协议（如简单网络管理协议，英文表述为SNMP协议）配置ACL，则可以通过SNMP配置该用户的ACL，即通过SNMP协议与管控设备建立连接，并发送SET请求来配置ACL。如果用户所在网段的管控设备上述两种方式都不支持时，还可以使用安全外壳协议（SSH）或远程登录协议（Telnet）等远程连接协议来建立权限设备与管控设备之间的会话，通过编写自动化脚本，在管控设备上执行命令行操作来远程配置ACL。

进一步地，在用户认证通过后，ACL即下发到其所在网段的管控设备。当用户使用网络时，ACL就即时生效，控制该用户的网络访问权限。

可以理解的是，自动化配置减少了人为错误的可能性，提升了网络的安全性，并且减少了手动配置ACL所需的时间和资源，提高了整体的工作效率。此外，支持多种协议和配置方式，使得本公开实施例提供的方法能够适应不同品牌和型号的网络设备，增强了系统的灵活性和可扩展性。

在本公开的实施例中，所述方法还包括：响应于所述用户接入所述第一网络，记录并计算所述用户访问所述第一网络的资源的费用；当所述用户终止访问所述第一网络或所述用户闲置超过预设时间段时，停止计算所述用户访问所述第一网络的资源的费用。

具体地，当用户首次接入第一网络时，需通过认证流程以验证其身份和访问权限。若用户以前已认证通过并存储在系统中，则再次联网时可能无需重复完整的认证流程，而是通过缓存信息或令牌验证快速接入。然而，无论是否重复认证，网络接入服务器（NAS）都会记录用户的接入信息，包括用户名、NAS的IP地址、用户分配的IP地址等，作为计费依据的起始点。一旦用户成功接入并开始访问第一网络的资源，NAS将启动费用计算机制，根据事先设定的计费规则实时或定期（如每分钟、每小时）计算并更新用户的费用信息。当用户主动断网下线或未主动断网但处于闲置状态超过预设时间段（如30分钟、1小时等），NAS会检测到这一行为并立即停止对用户费用的计算。同时，NAS会向认证设备发送计费停止信息。

可以理解的是，通过实时监控用户的网络活动，系统能够准确计算用户访问网络资源的费用，避免了传统计费方式中可能出现的误差和争议，提高了计费的透明度和公正性。

在本公开的实施例中，所述方法还包括：响应于所述用户终止访问所述第一网络，将所述认证请求信息与预先配置的第二权限规则进行匹配，生成所述用户的访问控制列表的撤销指令；将所述撤销指令下发至所述用户所在网段的管控设备，撤销所述用户的访问控制列表。

具体地，当网络接入服务器（NAS）或相关网络设备检测到用户终止访问第一网络时，认证设备将用户的认证请求信息（包括用户名、用户IP地址、NAS的IP地址等）发送给权限设备，权限设备根据这些信息和预先配置好的第二权限规则，生成该用户的撤销访问控制列表指令（unACL），该unACL指令包含了足够的信息（例如用户的唯一标识符、需要撤销的ACL的ID或名称等），使得管控设备能够识别并撤销对应的ACL。然后，权限设备将该用户的unACL指令下发到该用户所在网段的管控设备。具体的下发方式可以是：如果该管控设备支持SNMP配置ACL，则可以通过SNMP直接撤销该用户的ACL。如果管控设备不支持上述方式，还可以通过远程SSH或者TELNET连接该设备，进行自动化撤销ACL。

可以理解的是，在用户终止访问后，立即撤销其ACL，可以有效防止用户在非授权状态下继续访问网络资源，降低安全风险，并避免用户滥用网络资源。

在本公开的实施例中，所述管控设备与生成所述访问控制列表的权限设备之间的网络互通。

具体地，权限设备和用户所在网段的管控设备必须处于网络互通的状态，即它们之间能够相互通信。例如，权限设备与管控设备之间必须建立稳定的物理连接，如通过光纤、双绞线等介质相连。同时，双方的网络配置需相互兼容，包括IP地址、子网掩码及网关等网络参数的设置，以确保数据包能够在两者之间正确传输。

可以理解的是，在网络互通的情况下，管控设备才能够实时获取权限设备生成的访问控制列表，从而快速对用户的访问权限进行控制。

本公开实施例提供的实现用户访问控制的权限管理方法，实现了与上网IP地址无关的灵活权限管理，通过动态地生成并管理访问控制列表，确保用户即使物理地址发生改变，其权限限制都能在其所在的网段实时且准确地应用，无需手动调整网络配置。

基于上述实现用户访问控制的权限管理方法，本公开还提供了一种实现用户访问控制的权限管理装置。以下将结合图3对该装置进行详细描述。

如图3所示，该实施例的实现用户访问控制的权限管理装置300包括获取模块301、认证模块302、生成模块303及控制模块304。

获取模块301用于响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息。

认证模块302用于基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份。

生成模块303用于基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表。

控制模块304用于将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

可以理解的是，获取模块301、认证模块302、生成模块303及控制模块304可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本发明的实施例，获取模块301、认证模块302、生成模块303及控制模块304中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列（FPGA）、可编程逻辑阵列（PLA）、片上系统、基板上的系统、封装上的系统、专用集成电路（ASIC），或可以以对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式的适当组合来实现。或者，获取模块301、认证模块302、生成模块303及控制模块304中的至少一个可以至少被部分地实现为计算机程序模块，当该程序被计算机运行时，可以执行相应模块的功能。

图4示意性示出了本公开实施例提供的一种电子设备的结构框图。

如图4所示，本实施例中所描述的电子设备，包括：电子设备400包括处理器410、计算机可读存储介质420。该电子设备400可以执行上面参考图1描述的方法，以实现对特定操作的检测。

具体地，处理器410例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器（例如，专用集成电路（ASIC）），等等。处理器410还可以包括用于缓存用途的板载存储器。处理器410可以是用于执行参考图1描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质420，例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括：磁存储装置，如磁带或硬盘（HDD）；光存储装置，如光盘（CD-ROM）；存储器，如随机存取存储器（RAM）或闪存；和/或有线/无线通信链路。

计算机可读存储介质420可以包括计算机程序421，该计算机程序421可以包括代码/计算机可执行指令，其在由处理器410执行时使得处理器410执行例如上面结合图1所描述的方法流程及其任何变形。

计算机程序421可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序421中的代码可以包括一个或多个程序模块，例如包括421A、模块421B、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器410执行时，使得处理器410可以执行例如上面结合图1~图2所描述的方法流程及其任何变形。

根据本发明的实施例，获取模块301、认证模块302、生成模块303及控制模块304中的至少一个可以实现为参考图4描述的计算机程序模块，其在被处理器410执行时，可以实现上面描述的相应操作。

本公开还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

Claims (10)

1.一种实现用户访问控制的权限管理方法，其特征在于，所述方法包括：

响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息；

基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份；

基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表；

将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

2.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，所述基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表包括：

基于所述认证请求信息中的网络地址，识别所述用户所在的第二网络的拓扑信息；

基于所述拓扑信息，查询所述用户所在网段的网段配置信息；

根据所述用户权限属性、所述拓扑信息及所述网段配置信息，与预先配置的第一权限规则进行匹配，并根据匹配结果，生成所述用户的访问控制列表。

3.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，所述方法还包括：

响应于所述用户终止访问所述第一网络，将所述认证请求信息与预先配置的第二权限规则进行匹配，生成所述用户的访问控制列表的撤销指令；

将所述撤销指令下发至所述用户所在网段的管控设备，撤销所述用户的访问控制列表。

4.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，将所述访问控制列表自动配置至所述用户所在网段的管控设备包括：

在所述用户所在网段的管控设备支持第一协议的扩展属性的情况下，通过所述扩展属性自动接收所述访问控制列表；或

在所述用户所在网段的管控设备支持第二协议的情况下，利用所述第二协议对所述管控设备进行所述访问控制列表的配置；或

在所述用户所在网段的管控设备不支持所述第一协议和第二协议的情况下，远程连接所述管控设备并配置所述访问控制列表。

5.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，所述方法还包括：

响应于所述用户接入所述第一网络，记录并计算所述用户访问所述第一网络的资源的费用；

当所述用户终止访问所述第一网络或所述用户闲置超过预设时间段时，停止计算所述用户访问所述第一网络的资源的费用。

6.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，所述管控设备与生成所述访问控制列表的权限设备之间的网络互通。

7.根据权利要求1所述的实现用户访问控制的权限管理方法，其特征在于，所述基于所述认证请求信息，得到所述用户的用户权限属性包括：

基于所述认证请求信息，判断所述用户是否为合法的网络用户；

当所述用户为非合法用户时，拦截所述用户的访问请求；

当所述用户为合法用户时，获取所述用户的用户权限属性。

8.一种实现用户访问控制的权限管理装置，其特征在于，所述装置包括：

获取模块，用于响应于用户访问已开启权限管理的第一网络的请求，获取所述用户的认证请求信息；

认证模块，用于基于所述认证请求信息，得到所述用户的用户权限属性，其中，所述用户权限属性用于表征所述用户的身份；

生成模块，用于基于所述用户权限属性和所述认证请求信息，生成所述用户的访问控制列表；

控制模块，用于将所述访问控制列表自动配置至所述用户所在网段的管控设备，通过所述管控设备控制所述用户访问所述第一网络的权限。

9.一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个计算机程序，

其特征在于，所述一个或多个处理器执行所述一个或多个计算机程序以实现根据权利要求1~7中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现根据权利要求1~7中任一项所述方法的步骤。