專利名稱:一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域,尤其涉及一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法及系統(tǒng)。
背景技術(shù):
在寬帶網(wǎng)絡(luò)中,如果用戶終端發(fā)出網(wǎng)絡(luò)接入請(qǐng)求,網(wǎng)絡(luò)中負(fù)責(zé)IP地址分配的服務(wù)器會(huì)為該發(fā)出網(wǎng)絡(luò)接入請(qǐng)求的用戶終端分配一個(gè)互聯(lián)網(wǎng)(IP)地址,以便用戶終端可以接入網(wǎng)絡(luò)。目前寬帶網(wǎng)絡(luò)中的參與用戶終端網(wǎng)絡(luò)接入的服務(wù)器都是采用標(biāo)準(zhǔn)的DHCP協(xié)議的 DHCPv6 服務(wù)器和 DHCPv6 中繼服務(wù)器。DHCPv6 (Dynamic Host Configuration Protocol Version 6,動(dòng)態(tài)主機(jī)分配協(xié)議版本6)是一種動(dòng)態(tài)分配IPv6地址的協(xié)議,廣泛應(yīng)用于各種 IPv6網(wǎng)絡(luò)中。在用戶終端進(jìn)行網(wǎng)絡(luò)接入時(shí),首先由用戶終端向DHCPv6中繼服務(wù)器發(fā)出DHCP 請(qǐng)求報(bào)文申請(qǐng)接入網(wǎng)絡(luò),DHCPvB中繼服務(wù)器接到該請(qǐng)求報(bào)文后,將其中轉(zhuǎn)給DHCPv6服務(wù)器,DHCPv6服務(wù)器收到用戶終端的DHCP請(qǐng)求報(bào)文后,把分配給用戶終端的IP地址等網(wǎng)絡(luò)初始化信息及自己的IP地址記載在DHCP響應(yīng)報(bào)文中,發(fā)給DHCPv6中繼服務(wù)器,再由DHCPv6 中繼服務(wù)器將收到的DHCPv6服務(wù)器的DHCP響應(yīng)報(bào)文中轉(zhuǎn)給用戶終端,用戶終端獲得IP地址,從而該用戶終端接入網(wǎng)絡(luò)。由于DHCPv6本身沒有嚴(yán)格的安全認(rèn)證機(jī)制,在不安全的網(wǎng)絡(luò)環(huán)境下會(huì)出現(xiàn)因IPv6地址欺騙、MAC地址欺騙、惡意分配IPv6地址以致IPv6資源匱乏等問題,為了解決上述問題,現(xiàn)有技術(shù)中規(guī)定了中繼代理信息選項(xiàng),即Option 38,Option 38并沒有一個(gè)確定的內(nèi)容和格式,常規(guī)寫法是“接入VLAN ID+接入端口 ID+交換機(jī)標(biāo)識(shí)”, 通過這幾個(gè)信息組成的字符串可以唯一確定用戶接入的物理位置。用戶終端發(fā)出的DHCPv6 地址請(qǐng)求報(bào)文在通過接入交換機(jī)時(shí),接入交換機(jī)會(huì)在DHCP選項(xiàng)中添加VLAN(Virtual Local Area Network,虛擬局域網(wǎng)標(biāo)識(shí))ID、交換機(jī)端口號(hào)等信息,并發(fā)給DHCPv6服務(wù)器,這樣 DHCP服務(wù)器就可以通過VLANID、交換機(jī)端口號(hào)等信息和用戶信息關(guān)聯(lián)。一般管理員在DHCPv6 Server上配置基于Option 38的地址分配策略。DHCPv6 Server根據(jù)DHCPv6請(qǐng)求中的Option 38信息來判斷當(dāng)前請(qǐng)求是否匹配相應(yīng)策略而分配不同的地址,然后將從用戶的DHCPv6報(bào)文中獲取的Option 38與預(yù)設(shè)的數(shù)據(jù)庫中內(nèi)容進(jìn)行比對(duì),若有匹配的字符串則認(rèn)為用戶接入合法并分配IPv6地址。同時(shí),為了防止用戶非法接入網(wǎng)絡(luò),一般在接入網(wǎng)絡(luò)中采用802. Ix認(rèn)證。802. Ix是IEEE LAN/WAN委員會(huì)為了解決基于端口的網(wǎng)絡(luò)接入控制(Port-Based Network Access Control)而定義的一個(gè)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)目前已經(jīng)在無線局域網(wǎng)和以太網(wǎng)中被廣泛應(yīng)用。PC用戶終端安裝802. Ix認(rèn)證客戶端,用戶終端通過認(rèn)證后即可以合法的接入網(wǎng)絡(luò),訪問各種資源。目前的802. Ix認(rèn)證存在這樣的缺陷,用戶終端在認(rèn)證前無法訪問任何資源,通過認(rèn)證后又可以訪問所有資源,這就造成對(duì)互聯(lián)網(wǎng)用戶訪問權(quán)限的控制只有完全不能訪問和全部可以訪問這兩種狀態(tài),而這種訪問權(quán)限力度太粗,無法實(shí)現(xiàn)用戶權(quán)限的精細(xì)化控制。因此,本發(fā)明提出一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法及系統(tǒng)。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)中存在的缺陷和不足,本發(fā)明提出一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法及系統(tǒng),基于DHCPv6 Option 38利用兩次IP獲取來調(diào)整互聯(lián)網(wǎng)用戶的訪問權(quán)限,避免了非法用戶終端接入網(wǎng)絡(luò),同時(shí)實(shí)現(xiàn)了對(duì)合法終端用戶通過認(rèn)證后權(quán)限的精細(xì)化控制。本發(fā)明公開了一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,所述方法包括如下步驟Si.用戶終端發(fā)送DHCPv6請(qǐng)求,中繼單元在DHCPv6請(qǐng)求中附加Option 38后中轉(zhuǎn)到DHCPv6服務(wù)器;S2. DHCPv6服務(wù)器對(duì)Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 服務(wù)器分配一次IPv6地址,用戶終端獲得第一次IPv6地址;S3.認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過認(rèn)證,用戶終端再次發(fā)送 DHCPv6請(qǐng)求,中繼單元對(duì)DHCPv6請(qǐng)求附加認(rèn)證后的Option 38信息中轉(zhuǎn)給DHCPv6服務(wù)器;S4. DHCPv6服務(wù)器對(duì)Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 服務(wù)器分配二次IPv6地址,用戶終端獲得第二次IPv6地址;S5.用戶終端根據(jù)兩次IPv6地址訪問網(wǎng)絡(luò)。進(jìn)一步地,所述步驟Sl中Option 38為缺省設(shè)置,包括用戶的未認(rèn)證狀態(tài)加上接入層交換機(jī)的CPU MAC地址。進(jìn)一步地,所述步驟Sl中通過中繼單元的Snooping模塊在DHCPv6請(qǐng)求中附加缺省設(shè)置的Option 38。進(jìn)一步地,所述步驟Sl中中繼單元接到用戶的DHCPv6請(qǐng)求后,在802. Ix認(rèn)證表項(xiàng)里查詢DHCPv6請(qǐng)求的源MAC是否通過認(rèn)證,如果用戶未通過認(rèn)證,中繼單元附加未通過認(rèn)證標(biāo)識(shí)的0ption38到DHCPv6請(qǐng)求尾部;如果用戶已經(jīng)通過認(rèn)證,則附加已認(rèn)證Option 38到DHCPv6請(qǐng)求尾部。進(jìn)一步地,所述步驟S2中與DHCPv6服務(wù)器中預(yù)存的信息匹配過程具體為在 DHCPv6服務(wù)中配置有多個(gè)Option 38,每個(gè)不同的Option 38內(nèi)容下配置相應(yīng)的地址池,如果用戶終端的DHCPv6請(qǐng)求中Option 38內(nèi)容與DHCP服務(wù)器上其中一個(gè)Option 38匹配, 則從相應(yīng)的地址池中分配IP給DHCPv6請(qǐng)求。進(jìn)一步地,所述步驟S2中第一次IPv6地址由中繼單元對(duì)返回的DHCPv6響應(yīng)剝離并保存其中的Option 38信息然后轉(zhuǎn)發(fā)給用戶終端。進(jìn)一步地,步驟S3中認(rèn)證單元對(duì)用戶終端的802. Ix認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過認(rèn)證,認(rèn)證后的Option 38內(nèi)容由認(rèn)證服務(wù)器通過報(bào)文下發(fā)給中繼單元;用戶終端再次發(fā)送 DHCPv6請(qǐng)求,中繼單元的DHCPv6 Snooping模塊將保存的認(rèn)證后的Option 38信息添加到 DHCPv6 請(qǐng)求的 Option 38 中。進(jìn)一步地,步驟S3中用戶終端通過認(rèn)證后,中繼單元將第一次IPv6地址和MAC地址綁定在接入交換機(jī)端口上,DHCPv6 Snooping模塊在獲得DHCPv6 REPLY包后更新用戶訪問所有資源的IPv6地址和ND的ACL表項(xiàng)。進(jìn)一步地,所述步驟S5中用戶終端根據(jù)兩次IPv6地址,通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò),其中,匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置兩次IPv6地址網(wǎng)段的訪問權(quán)限。
本發(fā)明還公開一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng),所述系統(tǒng)包括收發(fā)單元、中繼單元、匹配單元和認(rèn)證單元,其中,用戶終端通過收發(fā)單元向DHCPv6服務(wù)器發(fā)送DHCPv6 請(qǐng)求,并接收DHCPv6服務(wù)器返回的DHCPv6響應(yīng);中繼單元對(duì)DHCPv6請(qǐng)求附加Option 38信息后中轉(zhuǎn)到DHCPv6服務(wù)器,并將DHCP服務(wù)器返回的DHCPv6響應(yīng)中轉(zhuǎn)給用戶終端;匹配單元對(duì)DHCPv6服務(wù)器接收到的Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 服務(wù)器分配IPv6地址給用戶終端;認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,用戶終端根據(jù)認(rèn)證后的IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。進(jìn)一步地,所述中繼單元包括Snooping模塊,用于在DHCPv6請(qǐng)求中附加Option 38 fp 息 ο進(jìn)一步地,所述Option 38在用戶終端通過認(rèn)證前的內(nèi)容為用戶的未認(rèn)證狀態(tài)加上交換機(jī)的CPU MAC,用戶終端通過認(rèn)證后,Option 38的內(nèi)容為由Radius服務(wù)器通過報(bào)文下發(fā)的Option 38信息。本發(fā)明通過在用戶終端的DHCPv6請(qǐng)求中附加不同的Option 38信息,由DHCPv6 服務(wù)器對(duì)DHCPv6請(qǐng)求進(jìn)行響應(yīng)并認(rèn)證,用戶終端在認(rèn)證前后獲得不同的IPv6地址,根據(jù)匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。本發(fā)明利用DHCPv6的方便,加上802. Ix的安全認(rèn)證機(jī)制,提供了一種安全方便的接入方法,同時(shí)實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問權(quán)限的精細(xì)化控制。
圖1為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法流程圖;圖2為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng)原理框圖;圖3(a)為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng)的一具體實(shí)施例的系統(tǒng)結(jié)構(gòu)框圖;圖3(b)為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法的一具體實(shí)施例的方法流程圖。
具體實(shí)施例方式為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容、所實(shí)現(xiàn)目的及效果,以下結(jié)合實(shí)施方式并配合附圖予以詳細(xì)說明。本發(fā)明的技術(shù)原理本發(fā)明利用DHCPv6 Snooping模塊在監(jiān)聽用戶終端DHCP v6 請(qǐng)求時(shí)附加Option 38信息,當(dāng)用戶終端在獲取地址成功并且認(rèn)證通過后,由Radius服務(wù)器通過報(bào)文下發(fā)該用戶的Option 38認(rèn)證信息,用戶終端認(rèn)證成功后,802. Ix模塊重新申請(qǐng)一次地址,DHCPv6 Snooping模塊在DHCPv6請(qǐng)求中附加認(rèn)證后的Option 38信息,DHCPv6 服務(wù)器根據(jù)認(rèn)證后的Option 38信息給用戶分配另一個(gè)地址,通過匯聚層交換機(jī)上配置有硬件ACL表項(xiàng),限制了不同源IPv6地址用戶能夠訪問的資源,從而實(shí)現(xiàn)認(rèn)證前后用戶終端的訪問權(quán)限控制。參見圖1,為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,該方法具體步驟為Si.用戶終端發(fā)送DHCPv6請(qǐng)求,中繼單元在DHCPv6請(qǐng)求中附加Option 38后中轉(zhuǎn)到DHCPv6服務(wù)器。用戶終端經(jīng)收發(fā)單元向DHCPv6服務(wù)器發(fā)送DHCPv6請(qǐng)求,中繼單元的接入層交換機(jī)的Snooping模塊對(duì)DHCPv6請(qǐng)求附加缺省設(shè)置的Option 38,然后由匯聚層交換機(jī)將 DHCPv6請(qǐng)求中轉(zhuǎn)到DHCPv6服務(wù)器。其中,接入層交換機(jī)的DHCPv6 Snooping模塊對(duì)DHCP請(qǐng)求附加的缺省設(shè)置的 Option 38是用戶的未認(rèn)證狀態(tài)加上接入層交換機(jī)的CPU MAC地址。MAC (Medium/Media Access Control)地址,或稱為MAC位址、硬件地址,用來定義網(wǎng)絡(luò)設(shè)備的位置。在OSI模型中,第三層網(wǎng)絡(luò)層負(fù)責(zé)IP地址,第二層數(shù)據(jù)鏈路層則負(fù)責(zé)MAC位址。一個(gè)網(wǎng)卡會(huì)有一個(gè)全球唯一固定的MAC地址,但可對(duì)應(yīng)多個(gè)IP地址。接入層交換機(jī)的DHCPv6 Snooping模塊接到用戶的DHCPv6請(qǐng)求后,在802. Ix認(rèn)證表項(xiàng)里查詢DHCPv6請(qǐng)求的源MAC是否通過認(rèn)證,如果用戶未通過認(rèn)證,接入交換機(jī)附加未通過認(rèn)證標(biāo)識(shí)的Option 38到DHCPv6請(qǐng)求尾部,對(duì)DHCPv6請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)。如果用戶已經(jīng)通過認(rèn)證,則取出已認(rèn)證Option 38放到DHCPv6請(qǐng)求尾部
交給匯聚交換機(jī)。DHCPv6 Snooping模塊通過對(duì)用戶終端和服務(wù)器之間的DHCP交互報(bào)文進(jìn)行窺探, 實(shí)現(xiàn)對(duì)用戶的監(jiān)控,同時(shí)DHCPv6 Snooping模塊還起到一個(gè)對(duì)DHCP報(bào)文過濾的作用,通過合理的配置實(shí)現(xiàn)對(duì)非法服務(wù)器的過濾。Snooping模塊對(duì)設(shè)備進(jìn)行DHCP窺探的同時(shí)把用戶終端的相關(guān)信息已DHCP option的方式加入到DHCP請(qǐng)求報(bào)文中,本技術(shù)方案中所使用的 option選項(xiàng)功能號(hào)為38,通過0pti0n38上傳的內(nèi)容,服務(wù)器可以獲得更多的用戶信息,從而更準(zhǔn)確的給用戶分配IP。S2. DHCPv6服務(wù)器對(duì)Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 服務(wù)器分配一次IPv6地址,用戶終端獲得第一次IPv6地址。DHCPv6服務(wù)器將接收到的DHCPv6請(qǐng)求的Option 38信息與DHCPv6服務(wù)器中預(yù)存的信息進(jìn)行匹配,對(duì)匹配成功的DHCPv6請(qǐng)求,DHCPv6服務(wù)器分配一次IPv6地址,并將第一次IPv6地址加入到DHCPv6響應(yīng)返回給中繼單元,中繼單元接到返回的DHCPv6響應(yīng)后,剝離并保存其中的Option 38信息然后轉(zhuǎn)發(fā)給用戶終端,用戶終端獲得第一次IPv6地址。與DHCPv6服務(wù)器中預(yù)存的信息匹配過程為在DHCPv6服務(wù)中配置有多個(gè)Option 38,每個(gè)不同的Option 38內(nèi)容下配置相應(yīng)的地址池,如果用戶終端的DHCPv6請(qǐng)求中 Option 38內(nèi)容匹配DHCPv6服務(wù)器上其中一個(gè)Option 38,則從相應(yīng)的地址池中分配IP給 DHCPv6請(qǐng)求,該地址被加入到DHCPv6回應(yīng)中并通過匯聚層交換機(jī)下發(fā)給接入層交換機(jī),接入層交換機(jī)接到返回的DHCPv6請(qǐng)求后,剝離并保存其中的Option 38信息然后轉(zhuǎn)發(fā)給用戶終端,否則駁回該DHCPv6請(qǐng)求。S3.認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過認(rèn)證,用戶終端再次發(fā)送 DHCPv6請(qǐng)求,中繼單元對(duì)DHCPv6請(qǐng)求附加認(rèn)證后的Option 38信息中轉(zhuǎn)給DHCPv6服務(wù)器。認(rèn)證單元對(duì)用戶終端的802. Ix認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過802. Ix認(rèn)證,認(rèn)證后的 Option 38內(nèi)容由認(rèn)證服務(wù)器(Radius服務(wù)器)利用Access-Accept報(bào)文的沈?qū)傩韵掳l(fā)給中繼單元。Access-Accept認(rèn)證接受包,由Radius服務(wù)器下發(fā)給用戶終端,如果 Access-Accept中所有Attribute (屬性域)值都是可以接受(即認(rèn)證通過),則傳輸該類型報(bào)文。RADIUS是一種用于在需要認(rèn)證其鏈接的網(wǎng)絡(luò)訪問服務(wù)器(NAQ和共享認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證、授權(quán)和記帳信息的文檔協(xié)議,RADIUS使用UDP作為傳輸協(xié)議,具有良好的實(shí)時(shí)性;同時(shí)也支持重傳機(jī)制和備用服務(wù)器機(jī)制,有較好的可靠性。用戶終端通過802. Ix認(rèn)證,用戶終端的802. Ix模塊向DHCPv6服務(wù)器再發(fā)送一次 DHCPv6請(qǐng)求,接入交換機(jī)的DHCPv6 Snooping模塊會(huì)將保存的認(rèn)證后的Option 38信息添加到此次的DHCPv6請(qǐng)求的Option 38中。接入交換機(jī)將一次IP請(qǐng)求成功后的DHCPv6回應(yīng)中的IPv6地址和MAC地址綁定在接入交換機(jī)端口上,以防止ND欺騙,DHCPv6 Snooping模塊在獲得DHCPv6REPLY包后更新用戶訪問所有資源的IPv6地址和ND的ACL表項(xiàng)。ND (Neighbor Discovery,鄰居發(fā)現(xiàn))協(xié)議是IPv6的一種基礎(chǔ)協(xié)議,利用NA、NS、 RA、RS和重定向五種類型的CMPv6消息,實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)路由器發(fā)現(xiàn)與自動(dòng)配置、重復(fù)地址探測(cè)、鏈路層地址解析、鄰居可達(dá)性探測(cè)、鏈路層地址改變通告和路由重定向操作。ACL(Access Control List,訪問控制列表)根據(jù)數(shù)據(jù)包的包頭信息(源地址、目的地址、源端口、目的端口、協(xié)議等)來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包的通過,從而實(shí)現(xiàn)訪問控制的目的。S4. DHCPv6服務(wù)器對(duì)OPTION 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 響應(yīng)附加第二次IPv6地址返回給中繼單元,用戶終端獲得第二次IPv6地址。用戶終端的802. Ix認(rèn)證成功后,DHCPv6服務(wù)器將接收到的DHCPv6請(qǐng)求中的 Option 38信息與DHCPv6服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比,如果找到相應(yīng)的信息,則DHCPv6 服務(wù)器分配一個(gè)二次IPv6地址給用戶終端;否則駁回此次DHCPv6請(qǐng)求,用戶終端僅能使用一次IPv6地址訪問網(wǎng)絡(luò)。DHCP服務(wù)器分配的二次IPv6地址所依據(jù)的DHCPv6請(qǐng)求中的 Option 38內(nèi)容由Radius服務(wù)器利用Access-Accept報(bào)文的沈?qū)傩韵掳l(fā)給用戶終端。如果沒有匹配預(yù)設(shè)的認(rèn)證用戶的地址池,根據(jù)DHCPv6服務(wù)器的配置(DHCP服務(wù)器可設(shè)置一個(gè)缺省的地址池)可能會(huì)分配一個(gè)缺省配置的IPv6,但這個(gè)IP就不是用戶終端需要的IP 了。當(dāng)用戶未通過二次認(rèn)證時(shí)只能采用一次IPv6地址進(jìn)行網(wǎng)絡(luò)訪問,而此訪問則是受匯聚交換機(jī)設(shè)定的訪問權(quán)限的限制。S5.用戶終端根據(jù)兩次IPv6地址訪問網(wǎng)絡(luò)。用戶終端根據(jù)認(rèn)證前后不同的IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置了兩次IPv6地址網(wǎng)段的訪問權(quán)限,在用戶終端利用兩次IPv6地址訪問時(shí),匯聚交換機(jī)根據(jù)兩次IPv6地址對(duì)應(yīng)的硬件ACL表項(xiàng)中此兩次 IPv6地址所限制的網(wǎng)段控制用戶終端的訪問權(quán)限。本發(fā)明通常應(yīng)用于用戶使用DHCPv6方式獲取地址的環(huán)境中,需要支持基于 Option 38進(jìn)行地址分配策略的DHCPv6服務(wù)器?,F(xiàn)有技術(shù)中DHCPv6請(qǐng)求中的Option 38 選項(xiàng)一般由DHCPv6中繼代理在中繼DHCPv6請(qǐng)求時(shí)附加。本發(fā)明擴(kuò)展了這一功能,允許接入交換機(jī)的DHCPv6 Snooping模塊在監(jiān)聽DHCPv6請(qǐng)求時(shí)附加Option 38信息,用戶在獲取 IPv6地址之前處于受控狀態(tài),只能訪問DHCPv6服務(wù)器,用戶在獲取IPv6地址之后處于安全狀態(tài),此時(shí)接入交換機(jī)轉(zhuǎn)發(fā)該用戶的IPv6和ND報(bào)文,由于用戶在認(rèn)證前后能夠獲得不同地址,在匯聚交換機(jī)上配置硬件ACL表項(xiàng)限制不同源IPV6地址用戶能夠訪問的資源,從而實(shí)現(xiàn)認(rèn)證前后用戶終端的訪問權(quán)限控制。參見圖2,為本發(fā)明互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng)結(jié)構(gòu)框圖。所述系統(tǒng)包括收發(fā)單元、中繼單元、匹配單元和認(rèn)證單元,其中,收發(fā)單元用于用戶終端向DHCPv6服務(wù)器發(fā)送DHCPv6請(qǐng)求,并接收DHCPv6服務(wù)器返回的DHCPv6響應(yīng);中繼單元用于接入層交換機(jī)對(duì)DHCPv6請(qǐng)求附加缺省設(shè)置的Option 38信息,然后由匯聚層交換機(jī)將DHCPv6請(qǐng)求中轉(zhuǎn)到DHCPv6服務(wù)器,并將DHCPv6服務(wù)器返回的DHCPv6響應(yīng)中轉(zhuǎn)給用戶終端;匹配單元用于 DHCPv6服務(wù)器將接收到的DHCPv6請(qǐng)求的Option 38信息與DHCPv6服務(wù)器中預(yù)存的信息進(jìn)行匹配,對(duì)匹配成功的DHCPv6請(qǐng)求分配IPv6地址,并將IPv6地址加入到DHCPv6響應(yīng)返回給中繼單元;認(rèn)證單元對(duì)用戶終端的802. Ix認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,用戶終端根據(jù)認(rèn)證后的 IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。其中,接入層交換機(jī)包括Snooping模塊,用于在DHCPv6請(qǐng)求中附加缺省設(shè)置的 Option 38信息。所述Option 38包括用戶的未認(rèn)證狀態(tài)加上接入層交換機(jī)的CPU MAC地址。所述認(rèn)證單元包括802. Ix模塊,用于對(duì)用戶的802. 1認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如802. Ix認(rèn)證通過后,DHCPv6請(qǐng)求中的Option 38內(nèi)容由Radius服務(wù)器利用Access-Accept報(bào)文的 26屬性下發(fā)給用戶終端。結(jié)合圖3(a)、圖3(b)以具體的實(shí)施例進(jìn)行說明。圖3 (a)中所述互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng)包括DHCPv6服務(wù)器、匯聚層交換機(jī)、接入層交換機(jī)、認(rèn)證服務(wù)器和用戶終端,其中,用戶終端通過接入交換機(jī)連入網(wǎng)絡(luò),匯聚交換機(jī)收集接入交換機(jī)的信息向DHCPv6服務(wù)器轉(zhuǎn)發(fā),而Radius服務(wù)器對(duì)用戶終端通過匯聚交換機(jī)傳來的DHCPv6請(qǐng)求進(jìn)行驗(yàn)證。其中一、匯聚交換機(jī)1、支持DHCPv6中繼代理;2、配置 ACL:ACLl :permit ipl/maksl dstl/maskl ;ACL2 :permit ip2/mask2 dst2/m£isk2。二、接入交換機(jī)1、全局啟動(dòng) 802. Ix ;2、端口使能dotlx,使用基于DHCPv6 0ption38的接入控制方式;3、啟動(dòng) DHCPv6 Snooping ;4、啟動(dòng) DHCPv6 Snooping 綁定功能;5、啟用 DHCPv6 Snooping 添加 0ption38 功能。三、用戶終端(DHCPv6Client)1、安裝DCN802. Ix用戶終端。具體的方法步驟如圖3(b)步驟101 用戶終端的系統(tǒng)自帶的DHCPv6 Client模塊向接入交換機(jī)發(fā)送DHCPv6 請(qǐng)求,接入交換機(jī)的DHCPv6 Snooping模塊在DHCP請(qǐng)求中附加缺省設(shè)置的Option 38信息, 然后通過匯聚交換機(jī)向DHCPv6服務(wù)器轉(zhuǎn)送DHCPv6請(qǐng)求。全局啟動(dòng)802. lx,接入交換機(jī)的端口使能,接入交換機(jī)基于DHCPv6 0ption38的接入控制方式設(shè)置硬件ACL表項(xiàng),此時(shí)經(jīng)過接入交換機(jī)的所有報(bào)文都不能轉(zhuǎn)發(fā),僅能向匯聚交換機(jī)轉(zhuǎn)送DHCPv6請(qǐng)求;在啟動(dòng)接入交換機(jī)的DHCPveSnooping模塊后,用戶終端的 DHCPv6報(bào)文重定向到接入交換機(jī)的CPU,這樣用戶終端在獲取認(rèn)證IPv6地址之前,除了能向DHCPv6服務(wù)器發(fā)送DHCPv6請(qǐng)求外,不能訪問其他資源。
匯聚交換機(jī)的DHCPv6中繼模塊收到來自接入交換機(jī)的DHCPv6請(qǐng)求后,只負(fù)責(zé)把 DHCP數(shù)據(jù)包中繼給DHCPv6服務(wù)器,匯聚交換機(jī)不能啟用DHCPv6 Relay Option 38功能。 DHCPv6 Relay是一種網(wǎng)絡(luò)設(shè)備,用于在DHCP用戶終端和DHCP服務(wù)器之間跨網(wǎng)段轉(zhuǎn)發(fā)DHCP 消息,此時(shí),DHCPv6 Relay不可用。設(shè)定Option 38選項(xiàng)為用戶的未認(rèn)證狀態(tài)加上接入交換機(jī)的CPU MAC地址,默認(rèn)值由網(wǎng)管人員設(shè)定,例如DHCPv6 Snooping模塊在Option 38填入字符串”unauth”和交換機(jī)的CPU MAC。步驟102 :DHCPv6服務(wù)器將接收到的DHCPv6請(qǐng)求的Option 38信息與DHCPv6服務(wù)器中預(yù)存的信息進(jìn)行匹配,如果找到相應(yīng)的信息,則DHCPv6服務(wù)器將其中的地址作為一次 IPv6地址加入到DHCPv6回應(yīng)中并通過匯聚交換機(jī)下發(fā)給接入交換機(jī),否則駁回該DHCPv6請(qǐng)求。其中,在DHCPv6服務(wù)器中查找相應(yīng)信息的步驟為在DHCPv6服務(wù)中配置有多個(gè) Option 38,每個(gè)不同的Option 38內(nèi)容下配置相應(yīng)的地址池,如果用戶終端的DHCPv6請(qǐng)求中Option 38內(nèi)容匹配DHCPv6服務(wù)器上其中一個(gè)0ption38,則從相應(yīng)的地址池中分配IP 給DHCPv6請(qǐng)求,如果沒有匹配任一個(gè)地址池,則會(huì)駁回請(qǐng)求。步驟103 接入交換機(jī)接到返回的DHCPv6響應(yīng)后轉(zhuǎn)發(fā)給用戶終端,用戶終端獲得第一次IPv6地址,用戶終端進(jìn)行802. Ix認(rèn)證,如果通過認(rèn)證,用戶終端的802. Ix模塊向 DHCPv6服務(wù)器再發(fā)送一次DHCPv6請(qǐng)求,此次的DHCPv6請(qǐng)求附加有認(rèn)證后的Option 38信
肩、ο接入交換機(jī)接到返回的DHCPv6響應(yīng)后,剝離并保存其中的Option 38信息然后轉(zhuǎn)發(fā)給用戶終端,用戶終端進(jìn)行802. Ix認(rèn)證,如果通過認(rèn)證,用戶終端的802. Ix模塊再次發(fā)送DHCPv6請(qǐng)求時(shí),接入交換機(jī)的DHCP Snooping模塊會(huì)將保存的認(rèn)證后的Option 38信息添加到此次的DHCPv6請(qǐng)求的Option 38中。該認(rèn)證后的Option 38內(nèi)容由!Radius服務(wù)器利用!Radius Access-Accept報(bào)文的 26屬性(廠商屬性)下發(fā)給接入交換機(jī),接入交換機(jī)會(huì)保存該認(rèn)證用戶的Option 38選項(xiàng)。接入交換機(jī)端口配置基于DHCPv6 Option 38的接入控制模式后,DHCPv6請(qǐng)求一旦成功,用戶終端不需要認(rèn)證(包括認(rèn)證后)就能夠訪問全網(wǎng)資源,此時(shí)將認(rèn)證后的IPv6 地址和MAC地址綁定在接入交換機(jī)端口上,以防止ND欺騙。DHCPv6 Snooping模塊在獲得 DHCPv6請(qǐng)求后更新用戶訪問所有資源的IPv6地址和ND的硬件ACL表項(xiàng)。步驟104 用戶終端的802. Ix認(rèn)證成功后,DHCPv6服務(wù)器將接收到的DHCPv6請(qǐng)求中的Option 38信息與DHCPv6服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比,如果找到相應(yīng)的信息,則 DHCPv6服務(wù)器分配一個(gè)二次IPv6地址給用戶終端;否則駁回此次DHCPv6請(qǐng)求,用戶終端僅能使用一次IPv6地址訪問網(wǎng)絡(luò)。如果沒有匹配預(yù)設(shè)的認(rèn)證用戶的地址池,根據(jù)DHCPv6服務(wù)器的配置(DHCP服務(wù)器可設(shè)置一個(gè)缺省的地址池)可能會(huì)分配一個(gè)缺省配置的IPv6,但這個(gè)IP就不是用戶終端需要的IP 了。當(dāng)用戶未通過二次認(rèn)證時(shí)只能采用一次IPv6地址進(jìn)行網(wǎng)絡(luò)訪問,而此訪問則是受匯聚交換機(jī)設(shè)定的訪問權(quán)限的限制。步驟105 用戶終端利用兩次IPv6地址通過匯聚交換機(jī)配置的訪問權(quán)限訪問網(wǎng)
此時(shí)在匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置了兩次IPv6地址網(wǎng)段的訪問權(quán)限,在用戶終端利用兩次IPv6地址訪問時(shí),匯聚交換機(jī)根據(jù)兩次IPv6地址對(duì)應(yīng)的硬件ACL表項(xiàng)中此兩次IPv6地址所限制的網(wǎng)段控制用戶終端的訪問權(quán)限。接入交換機(jī)的DHCPv6 Snooping模塊接到用戶的DHCPv6請(qǐng)求后,在802. Ix認(rèn)證用戶表項(xiàng)里查詢DHCPv6請(qǐng)求的源MAC是否通過認(rèn)證,如果用戶未通過認(rèn)證,接入交換機(jī)附加未通過認(rèn)證標(biāo)識(shí)的Option 38到DHCPv6請(qǐng)求尾部,對(duì)DHCPv6請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)的DHCPv6中繼代理;如果用戶已經(jīng)通過認(rèn)證,則取出已認(rèn)證Option 38放到DHCPv6請(qǐng)求尾部交給匯聚交換機(jī)DHCPv6中繼代理。由網(wǎng)管人員配置匯聚交換機(jī)中每個(gè)IPv6地址段的硬件ACL表項(xiàng),以限制不同網(wǎng)段的IPv6地址的訪問權(quán)限,進(jìn)而實(shí)現(xiàn)用戶終端在通過認(rèn)證前后獲取不同的訪問權(quán)限。本方法的工作流程如下用戶終端向DHCPv6服務(wù)器發(fā)送DHCP請(qǐng)求,接入交換機(jī)的 DHCPv6 Snooping模塊截獲用戶的DHCP請(qǐng)求后,查詢DHCPv6請(qǐng)求報(bào)文的源MAC是否通過認(rèn)證,如果用戶未通過認(rèn)證,交換機(jī)附加標(biāo)識(shí)未通過認(rèn)證的Option 38選項(xiàng)(指示未認(rèn)證狀態(tài)加上接入交換機(jī)的MAC地址)到DHCPv6請(qǐng)求報(bào)文尾部,對(duì)DHCPv6請(qǐng)求報(bào)文其它部分不作修改交給匯聚交換機(jī)DHCPv6中繼代理。如果用戶已經(jīng)通過802. Ix認(rèn)證,則取出Radius服務(wù)器通過RadiusAccess-Acc印t報(bào)文的沈?qū)傩韵掳l(fā)的已認(rèn)證Option 38選項(xiàng)放到DHCPv6 請(qǐng)求報(bào)文尾部交給匯聚交換機(jī)DHCPv6中繼代理,DHCPv6服務(wù)器收到DHCPv6請(qǐng)求后,根據(jù)預(yù)先配置的Option 38內(nèi)容從對(duì)應(yīng)的地址池中分配IP,例如Option 38為” unauth”,預(yù)設(shè)的地址池是IP1/MASK1,接入交換機(jī)的DHCPv6 Snooping接到回復(fù)的DHCPv6回應(yīng)后,提取其中的IP、MAC和端口信息發(fā)送給802. Ix模塊,DHCPv6 Snooping模塊轉(zhuǎn)發(fā)該DHCPv6回應(yīng)到用戶終端,第一次獲取IP的用戶即可通過匯聚交換機(jī)的硬件ACL表項(xiàng)進(jìn)行過濾轉(zhuǎn)發(fā),此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶的流量通過匯聚交換機(jī),但流量經(jīng)過匯聚交換機(jī)時(shí)其IPv6 地址要受硬件ACL表項(xiàng)的限制,即只能訪問IP1/MASK1能訪問的網(wǎng)段。如果想訪問全網(wǎng)段, 只有通過再次IP獲取才能獲得全網(wǎng)段通行的權(quán)限。第一次用戶認(rèn)證成功后,接入交換機(jī)會(huì)保存通過Radius服務(wù)器的Radius Access-Accept 報(bào)文的 26 屬性(即 vendor-type 為 2 的 vendor 屬性攜帶 0ption38 選項(xiàng)) 下發(fā)Option 38選項(xiàng),用戶終端的802. Ix模塊會(huì)再次主動(dòng)發(fā)起DHCPv6請(qǐng)求,接入交換機(jī)的DHCPv6 Snooping模塊收到該DHCPv6請(qǐng)求并查詢到該用戶已經(jīng)認(rèn)證后,會(huì)附加已經(jīng)通過認(rèn)證的Option 38選項(xiàng)到DHCPv6請(qǐng)求尾部,然后傳給匯聚交換機(jī)中繼給DHCPv6服務(wù)器, DHCPv6服務(wù)器對(duì)DHCPv6請(qǐng)求中的Option 38匹配預(yù)設(shè)的地址池,如果未匹配,DHCPv6服務(wù)器駁回此次DHCPv6請(qǐng)求;如果匹配則由DHCPv6服務(wù)器根據(jù)新的Option 38選項(xiàng)為DHCPv6 請(qǐng)求分配另一個(gè)IP2/MASK2網(wǎng)段中的IPv6地址,然后將DHCPv6請(qǐng)求通過匯聚交換機(jī)傳送給接入交換機(jī),接入交換機(jī)的DHCP Snooping模塊截獲到DHCPv6請(qǐng)求后,提取里面的IP、 MAC和端口信息發(fā)送給802. Ix模塊(802. Ix控制著每個(gè)IP所對(duì)應(yīng)的權(quán)限表),802. Ix模塊下發(fā)用戶可訪問所有資源的硬件ACL表項(xiàng),此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶的流量通過匯聚交換機(jī),但流量經(jīng)過匯聚交換機(jī)時(shí)其IPv6地址要受硬件ACL表項(xiàng)的限制,比如匯聚交換機(jī)ACL這時(shí)允許屬于網(wǎng)段IP2/MASK2的IP地址可訪問外網(wǎng),也可訪問內(nèi)網(wǎng)。本發(fā)明通過用戶終端向DHCPv6申請(qǐng)IP時(shí),在DHCPv6請(qǐng)求中附加不同的Option38信息,DHCPv6服務(wù)器返回一次IPv6地址,該地址由認(rèn)證單元認(rèn)證,用戶終端認(rèn)證后, Option 38的內(nèi)容由Radius服務(wù)器下發(fā),該技術(shù)方案完全可以在后臺(tái)為不同用戶分配不同的Option 38信息。同時(shí),管理員在DHCPv6服務(wù)器端配置基于Option 38的地址分配策略, 用戶終端在認(rèn)證前后將獲得不同的IPv6地址,這個(gè)IPv6地址是經(jīng)過802. Ix認(rèn)證和DHCPv6 服務(wù)器共同確認(rèn)的,客戶端根據(jù)IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。
有益效果,實(shí)施本發(fā)明的一種互聯(lián)網(wǎng)用戶權(quán)限訪問的控制方法及系統(tǒng),既利用了 DHCPv6的方便,又利用了 802. Ix的安全認(rèn)證機(jī)制,提供了一種安全方便的接入方法,同時(shí)實(shí)現(xiàn)用戶終端訪問權(quán)限的精細(xì)化控制。
權(quán)利要求
1.一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,所述方法基于DHCPv6 Option 38來調(diào)整互聯(lián)網(wǎng)用戶的訪問權(quán)限,其特征在于,所述方法包括如下步驟51.用戶終端發(fā)送DHCPV6請(qǐng)求,中繼單元在DHCPV6請(qǐng)求中附加Option38后中轉(zhuǎn)到 DHCPv6服務(wù)器;52.DHCPv6服務(wù)器對(duì)Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6服務(wù)器分配一次IPv6地址,用戶終端獲得第一次IPv6地址;53.認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過認(rèn)證,用戶終端再次發(fā)送 DHCPv6請(qǐng)求,中繼單元對(duì)DHCPv6請(qǐng)求附加認(rèn)證后的Option 38信息中轉(zhuǎn)給DHCPv6服務(wù)器;54.DHCPv6服務(wù)器對(duì)Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6服務(wù)器分配二次IPv6地址,用戶終端獲得第二次IPv6地址;55.用戶終端根據(jù)兩次IPv6地址訪問網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟Sl 中Option 38為缺省設(shè)置,包括用戶的未認(rèn)證狀態(tài)加上接入層交換機(jī)的CPU MAC地址。
3.根據(jù)權(quán)利要求2所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟Sl 中通過中繼單元的Snooping模塊在DHCPv6請(qǐng)求中附加缺省設(shè)置的Option 38。
4.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟Sl 中中繼單元接到用戶的DHCPv6請(qǐng)求后,在802. Ix認(rèn)證表項(xiàng)里查詢DHCPv6請(qǐng)求的源MAC是否通過認(rèn)證,如果用戶未通過認(rèn)證,中繼單元附加未通過認(rèn)證標(biāo)識(shí)的0ption38到DHCPv6請(qǐng)求尾部;如果用戶已經(jīng)通過認(rèn)證,則附加已認(rèn)證0ption38到DHCPv6請(qǐng)求尾部。
5.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟S2 中與DHCPv6服務(wù)器中預(yù)存的信息匹配過程具體為在DHCPv6服務(wù)中配置有多個(gè)Option 38, 每個(gè)不同的Option 38內(nèi)容下配置相應(yīng)的地址池,如果用戶終端的DHCPv6請(qǐng)求中Option 38內(nèi)容與DHCP服務(wù)器上其中一個(gè)Option 38匹配,則從相應(yīng)的地址池中分配IP給DHCPv6 請(qǐng)求。
6.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟S2 中第一次IPv6地址由中繼單元對(duì)返回的DHCPv6響應(yīng)剝離并保存其中的Option 38信息然后轉(zhuǎn)發(fā)給用戶終端。
7.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,步驟S3中認(rèn)證單元對(duì)用戶終端的802. Ix認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,如通過認(rèn)證,認(rèn)證后的Option 38內(nèi)容由認(rèn)證服務(wù)器通過報(bào)文下發(fā)給中繼單元;用戶終端再次發(fā)送DHCPv6請(qǐng)求,中繼單元的DHCPv6 Snooping模塊將保存的認(rèn)證后的Option 38信息添加到DHCPv6請(qǐng)求的Option 38中。
8.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,步驟S3中用戶終端通過認(rèn)證后,中繼單元將第一次IPv6地址和MAC地址綁定在接入交換機(jī)端口上, DHCPv6 Snooping模塊在獲得DHCPv6 REPLY包后更新用戶訪問所有資源的IPv6地址和ND 的ACL表項(xiàng)。
9.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法,其特征在于,所述步驟S5 中用戶終端根據(jù)兩次IPv6地址,通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò),其中,匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置兩次IPv6地址網(wǎng)段的訪問權(quán)限。
10.一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng),其特征在于,所述系統(tǒng)包括收發(fā)單元、中繼單元、匹配單元和認(rèn)證單元,其中,用戶終端通過收發(fā)單元向DHCPv6服務(wù)器發(fā)送DHCPv6請(qǐng)求,并接收DHCPv6服務(wù)器返回的DHCPv6響應(yīng);中繼單元對(duì)DHCPv6請(qǐng)求附加Option 38信息后中轉(zhuǎn)到DHCPv6服務(wù)器,并將DHCP服務(wù)器返回的DHCPv6響應(yīng)中轉(zhuǎn)給用戶終端;匹配單元對(duì)DHCPv6服務(wù)器接收到的Option 38信息與預(yù)存的信息進(jìn)行匹配,如匹配成功,DHCPv6 服務(wù)器分配IPv6地址給用戶終端;認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,用戶終端根據(jù)認(rèn)證后的IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。
11.根據(jù)權(quán)利要求9所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng),其特征在于,所述中繼單元包括Snooping模塊,用于在DHCPv6請(qǐng)求中附加Option 38信息。
12.根據(jù)權(quán)利要求9所述的互聯(lián)網(wǎng)用戶訪問權(quán)限的控制系統(tǒng),其特征在于,所述Option 38在用戶終端通過認(rèn)證前的內(nèi)容為用戶的未認(rèn)證狀態(tài)加上交換機(jī)的CPU MAC,用戶終端通過認(rèn)證后,Option 38的內(nèi)容為由Radius服務(wù)器通過報(bào)文下發(fā)的Option 38信息。
全文摘要
本發(fā)明公開了一種互聯(lián)網(wǎng)用戶訪問權(quán)限的控制方法及系統(tǒng),通過用戶終端向DHCPv6服務(wù)器申請(qǐng)IP時(shí),根據(jù)用戶的802.1x認(rèn)證狀態(tài)在DHCPv6請(qǐng)求中附加不同的Option 38信息,DHCPv6服務(wù)器對(duì)Option 38信息進(jìn)行匹配后分配IPv6地址,用戶終端根據(jù)認(rèn)證前后獲得的不同IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。本發(fā)明利用了DHCPv6的方便,又利用了802.1x的安全認(rèn)證機(jī)制,避免了非法用戶終端接入網(wǎng)絡(luò),同時(shí)實(shí)現(xiàn)了對(duì)合法終端用戶通過認(rèn)證后權(quán)限的精細(xì)化控制。
文檔編號(hào)H04L29/06GK102404346SQ201110444768
公開日2012年4月4日 申請(qǐng)日期2011年12月27日 優(yōu)先權(quán)日2011年12月27日
發(fā)明者梁小冰 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司