国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種用戶訪問權(quán)限控制方法及系統(tǒng)的制作方法

      文檔序號(hào):7887562閱讀:177來源:國知局
      專利名稱:一種用戶訪問權(quán)限控制方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域,具體涉及一種用戶訪問權(quán)限控制方法及系統(tǒng)。
      背景技術(shù)
      在計(jì)算機(jī)網(wǎng)絡(luò)中,如果用戶終端發(fā)出網(wǎng)絡(luò)接入請(qǐng)求,網(wǎng)絡(luò)中負(fù)責(zé)IP地址分配的服務(wù)器會(huì)為發(fā)出網(wǎng)絡(luò)接入請(qǐng)求的用戶終端分配一個(gè)網(wǎng)絡(luò)(IP)地址,以便用戶終端可以接入網(wǎng)絡(luò)。當(dāng)前,網(wǎng)絡(luò) 中的參與用戶終端網(wǎng)絡(luò)接入的服務(wù)器通常是采用支持IPv6的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(Dynamic Host Configuration Protocol, DHCP)的 DHCPv6 服務(wù)器和 DHCPv6 中繼月艮務(wù)器。動(dòng)態(tài)主機(jī)分配協(xié)議版本 6 (Dynamic Host Configuration Protocol Version 6, DHCPv6)是一種動(dòng)態(tài)分配IPv6地址的協(xié)議,廣泛應(yīng)用于各種IPv6網(wǎng)絡(luò)中。在現(xiàn)有技術(shù)中,在用戶終端進(jìn)行網(wǎng)絡(luò)接入時(shí),首先由用戶終端向DHCPv6中繼服務(wù)器發(fā)出DHCP請(qǐng)求報(bào)文申請(qǐng)接入網(wǎng)絡(luò),DHCPv6中繼服務(wù)器接收到該請(qǐng)求報(bào)文后,將該報(bào)文轉(zhuǎn)給DHCPv6服務(wù)器,DHCPv6服務(wù)器收到用戶終端的DHCP請(qǐng)求報(bào)文后,把分配給用戶終端的 IP地址等網(wǎng)絡(luò)初始化信息及自己的IP地址記載在DHCP響應(yīng)報(bào)文中,發(fā)給DHCPv6中繼服務(wù)器,再由DHCPv6中繼服務(wù)器將收到的由DHCPv6服務(wù)器發(fā)送的DHCP響應(yīng)報(bào)文中轉(zhuǎn)給用戶終端,用戶終端獲得IP地址,從而該用戶終端可以接入網(wǎng)絡(luò)。DHCPv6協(xié)議向IPv6客戶端提供IP地址和配置信息,其包括中繼代理能力,中繼代理可以在要轉(zhuǎn)發(fā)的DHCPv6報(bào)文中添加必要的信息。DHCPv6報(bào)文可以由多個(gè)選項(xiàng)(option) 字段組成,其中,RFC4649規(guī)定了中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段(Relay Agent Remote-ID option),也被稱為選項(xiàng)37字段(option 37),該字段由中繼代理添加到DHCPv6報(bào)文,其格式如圖1所示。其中,“選項(xiàng)代碼”表示中繼代理選項(xiàng)字段的序號(hào),定義為0PTI0N_REM0TE_ ID(37),表示該選項(xiàng)字段為中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段?!斑x項(xiàng)長(zhǎng)度”為“廠商代碼”和 “遠(yuǎn)程標(biāo)識(shí)”區(qū)域的字節(jié)數(shù),不包括“選項(xiàng)代碼”和“選項(xiàng)長(zhǎng)度”部分的字節(jié)數(shù)?!皬S商代碼”(enterprise-number)為生產(chǎn)廠商注冊(cè)的企業(yè)號(hào),其唯一標(biāo)識(shí)設(shè)備的制造商。“遠(yuǎn)程標(biāo)識(shí)”(remote-id)為設(shè)備制造商自定義字段,用于唯一標(biāo)識(shí)制造商制造的設(shè)備,即“廠商代碼”和“遠(yuǎn)程標(biāo)識(shí)”構(gòu)成的序列可以唯一標(biāo)識(shí)一臺(tái)遠(yuǎn)程設(shè)備。一般管理員在DHCPv6服務(wù)器上配置基于中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的地址分配策略。DHCPv6服務(wù)器根據(jù)DHCPv6請(qǐng)求中的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息來判斷當(dāng)前請(qǐng)求是否匹配相應(yīng)策略而分配不同的地址,然后將從用戶的DHCPv6報(bào)文中獲取的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段與預(yù)設(shè)的數(shù)據(jù)庫中內(nèi)容進(jìn)行比對(duì),若有匹配的字符串則認(rèn)為用戶接入合法并分配IPv6地址。但是,由于DHCPv6本身沒有嚴(yán)格的安全認(rèn)證機(jī)制,在不安全的網(wǎng)絡(luò)環(huán)境下會(huì)出現(xiàn)因IPv6地址欺騙、MAC地址欺騙、惡意分配IPv6地址以致IPv6資源匱乏等問題。為了防止用戶非法接入網(wǎng)絡(luò),一般在接入網(wǎng)絡(luò)中采用802. Ix認(rèn)證。802. Ix是IEEE LAN/WAN委員會(huì)為了解決基于端口的網(wǎng)絡(luò)接入控制(Port-Based Network Access Control)而定義的標(biāo)準(zhǔn),該標(biāo)準(zhǔn)目前已經(jīng)在無線局域網(wǎng)和以太網(wǎng)中被廣泛應(yīng)用。用戶終端安裝802. Ix認(rèn)證客戶端,用戶終端通過認(rèn)證后即可以合法的接入網(wǎng)絡(luò),訪問各種資源。但是,在目前的802. Ix認(rèn)證過程中,用戶終端在認(rèn)證前無法訪問任何資源,通過認(rèn)證后又可以訪問所有資源,這造成對(duì)用戶訪問權(quán)限的控制只有完全不能訪問和全部可以訪問這兩種狀態(tài),這樣的管理方式難以滿足對(duì)用戶訪問權(quán)限進(jìn)行精細(xì)化管理的需要。

      發(fā)明內(nèi)容
      本發(fā)明的目的在于提供對(duì)于用戶訪問權(quán)限的精細(xì)化管理。 本發(fā)明公開了一種用戶訪問權(quán)限控制方法,包括A、未認(rèn)證用戶終端發(fā)送第一地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;B、用于中繼報(bào)文的中繼單元對(duì)所述第一地址分配請(qǐng)求附加表示未認(rèn)證狀態(tài)的認(rèn)證狀態(tài)標(biāo)識(shí)后,將帶有狀態(tài)標(biāo)識(shí)的第一地址分配請(qǐng)求轉(zhuǎn)發(fā)至地址分配單元;C、地址分配單元根據(jù)所述認(rèn)證狀態(tài)標(biāo)識(shí)對(duì)所述用戶終端分配第一地址,所述第一地址具有較低的訪問權(quán)限;D、用戶終端發(fā)起認(rèn)證,在認(rèn)證通過后發(fā)送第二地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;E、所述中繼單元對(duì)所述第二地址分配請(qǐng)求附加表示通過認(rèn)證狀態(tài)的認(rèn)證狀態(tài)標(biāo)識(shí),將帶有認(rèn)證狀態(tài)標(biāo)識(shí)的第二地址分配請(qǐng)求轉(zhuǎn)發(fā)至所述地址分配單元;F、所述地址分配單元根據(jù)所述認(rèn)證狀態(tài)標(biāo)識(shí)對(duì)所述用戶終端分配第二地址,所述第二地址具有較高的訪問權(quán)限。優(yōu)選地,所述步驟D中所述用戶端發(fā)起認(rèn)證包括D01、用戶終端向認(rèn)證單元請(qǐng)求認(rèn)證;D02、認(rèn)證通過后,認(rèn)證單元將用戶的認(rèn)證狀態(tài)下發(fā)給中繼單元保存并告知用戶終端通過認(rèn)證。優(yōu)選地,所述地址分配請(qǐng)求為DHCPve請(qǐng)求報(bào)文,所述認(rèn)證狀態(tài)標(biāo)識(shí)為中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,在所述中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的遠(yuǎn)程標(biāo)識(shí)部分設(shè)置認(rèn)證狀態(tài)和中繼單元地址。優(yōu)選地,所述中繼單元包括接入交換機(jī)和匯聚交換機(jī),所述接入交換機(jī)向匯聚交換機(jī)轉(zhuǎn)發(fā)報(bào)文,所述接入交換機(jī)用于對(duì)所述地址分配請(qǐng)求附加認(rèn)證狀態(tài)標(biāo)識(shí),所述匯聚交換機(jī)通過設(shè)置硬件訪問控制列表限制所述第一地址和第二地址能夠訪問的資源。優(yōu)選地,所述地址分配單元針對(duì)不同的認(rèn)證狀態(tài)設(shè)置不同的地址池,根據(jù)認(rèn)證狀態(tài)標(biāo)識(shí)從不同的地址池分配地址。本發(fā)明還公開了一種用戶訪問權(quán)限控制系統(tǒng),包括用戶終端、中繼單元、認(rèn)證單元和地址分配單元,其中所述用戶終端用于在系統(tǒng)初始化時(shí)以及認(rèn)證通過后兩次發(fā)送地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;所述認(rèn)證單元用于對(duì)用戶終端進(jìn)行認(rèn)證,將認(rèn)證結(jié)果下發(fā)給中繼單元保存;所述中繼單元用于偵聽所述地址分配請(qǐng)求并根據(jù)用戶認(rèn)證狀態(tài)在所述地址分配請(qǐng)求中附加認(rèn)證狀態(tài)標(biāo)識(shí),所述認(rèn)證狀態(tài)標(biāo)識(shí)表示用戶是否通過認(rèn)證;所述中繼單元還用于轉(zhuǎn)發(fā)所述帶有標(biāo)識(shí)的地址分配請(qǐng)求到地址分配單元;
      所述地址分配單元用于對(duì)認(rèn)證狀態(tài)標(biāo)識(shí)為未認(rèn)證的地址分配請(qǐng)求分配第一地址, 對(duì)認(rèn)證狀態(tài)標(biāo)識(shí)為通過認(rèn)證的地址分配請(qǐng)求分配第二地址,所述第二地址比所述第一地址具有更高的網(wǎng)絡(luò)訪問權(quán)限。優(yōu)選地,所述地址分配請(qǐng)求為DHCPv6請(qǐng)求報(bào)文,所述標(biāo)識(shí)為中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,在所述中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的遠(yuǎn)程標(biāo)識(shí)部分設(shè)置認(rèn)證狀態(tài)和中繼單元地址。優(yōu)選地,所述中繼單元包括接入交換機(jī)和匯聚交 換機(jī),所述接入交換機(jī)向匯聚交換機(jī)轉(zhuǎn)發(fā)報(bào)文,所述接入交換機(jī)用于對(duì)地址分配請(qǐng)求附加認(rèn)證狀態(tài)標(biāo)識(shí),所述匯聚交換機(jī)通過設(shè)置硬件訪問控制列表表項(xiàng)限制所述第一地址和第二地址能夠訪問的資源。優(yōu)選地,所述地址分配單元為DHCPv6服務(wù)器,所述認(rèn)證單元為Radius服務(wù)器,所述認(rèn)證單元通過Radius Access-Accept報(bào)文的廠商屬性下發(fā)給中繼單元。優(yōu)選地,所述地址分配單元針對(duì)不同的認(rèn)證狀態(tài)設(shè)置不同的地址池,根據(jù)認(rèn)證狀態(tài)標(biāo)識(shí)從不同的地址池分配地址。本發(fā)明既利用了 DHCPv6的方便,又利用了 802. Ix的安全認(rèn)證機(jī)制,提供了一種安全方便的接入方法,同時(shí)實(shí)現(xiàn)用戶終端訪問權(quán)限的精細(xì)化控制。。


      圖1為現(xiàn)有的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的格式示意圖;圖2為本發(fā)明第一實(shí)施例的用戶訪問權(quán)限控制系統(tǒng)的框圖;圖3為本發(fā)明第一實(shí)施例的用戶訪問權(quán)限控制方法流程圖;圖4為本發(fā)明第一實(shí)施例的用戶訪問權(quán)限控制信令流程圖;圖5為本發(fā)明第二實(shí)施例的用戶訪問權(quán)限控制系統(tǒng)的框圖;圖6為本發(fā)明第二實(shí)施例的用戶訪問權(quán)限控制方法的流程圖。
      具體實(shí)施例方式為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容、所實(shí)現(xiàn)目的及效果,下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明。本發(fā)明通常應(yīng)用于用戶使用DHCPv6方式獲取地址的環(huán)境中,需要支持基于中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段進(jìn)行地址分配策略的DHCPv6服務(wù)器?,F(xiàn)有技術(shù)中DHCPv6請(qǐng)求中的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng)一般由DHCPv6中繼代理在中繼DHCPv6請(qǐng)求時(shí)附加。本發(fā)明擴(kuò)展了這一功能,允許接入交換機(jī)的DHCPv6偵聽模塊在監(jiān)聽DHCPv6請(qǐng)求時(shí)附加中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息,用戶在獲取IPv6地址之前處于受控狀態(tài),只能訪問DHCPv6服務(wù)器,用戶在獲取IPv6地址之后處于安全狀態(tài),此時(shí)接入交換機(jī)轉(zhuǎn)發(fā)該用戶的IPv6和ND報(bào)文,由于用戶在認(rèn)證前后能夠獲得不同地址,在匯聚交換機(jī)上配置硬件ACL表項(xiàng)限制不同源IPV6地址用戶能夠訪問的資源,從而實(shí)現(xiàn)認(rèn)證前后用戶終端的訪問權(quán)限控制。參見圖2,本發(fā)明用戶訪問權(quán)限控制系統(tǒng)包括多個(gè)用戶終端100、多個(gè)接入層交換機(jī)200、匯聚層交換機(jī)300、DHCPv6服務(wù)器400和認(rèn)證服務(wù)器500,在本實(shí)施例中,所述認(rèn)證服務(wù)器優(yōu)選為用戶業(yè)務(wù)遠(yuǎn)程撥號(hào)認(rèn)證(Remote Authentication Dial In User Service, Radius)服務(wù)器服務(wù)器。其中,用戶終端100通過接入交換機(jī)200連入網(wǎng)絡(luò),匯聚交換機(jī)300收集接入交換機(jī)200中繼的DHCPv6信息向DHCPv6服務(wù)器400轉(zhuǎn)發(fā),而Radius服務(wù)器 500對(duì)用戶終端通過匯聚交換機(jī)傳來的DHCPv6請(qǐng)求進(jìn)行驗(yàn)證。其中所述匯聚交換機(jī)300 支持DHCPv6中繼代理功能并負(fù)責(zé)配置訪問控制列表(Access Control List, ACL)表項(xiàng)以控制不同IP網(wǎng)段的用戶的接入權(quán)限范圍。接入交換機(jī)負(fù)責(zé)啟動(dòng)802. Ix認(rèn)證流程,進(jìn)行 DHCPv6偵聽、綁定以及對(duì)DHCPv6附加中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息的作用。所述用戶終端100(DHCPv6 Client)安裝有DCN802. Ix用戶終端,具備802. Ix接入認(rèn)證功能。RADIUS是一種用于在需要認(rèn)證其鏈接的網(wǎng)絡(luò)訪問服務(wù)器(NAS)和共享認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)信息的文檔協(xié)議,RADIUS使用UDP作為傳輸協(xié)議,具有良好的實(shí)時(shí)性;同時(shí)也支持重傳機(jī)制和備用服務(wù)器機(jī)制,有較好的可靠性。ACL根據(jù)數(shù)據(jù)包的包頭信息(源地址、目 的地址、源端口、目的端口、協(xié)議等)來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包的通過,從而實(shí)現(xiàn)訪問控制的目的。圖3示出了本發(fā)明所述的用戶訪問權(quán)限控制方法的具體方法流程步驟101 未認(rèn)證的用戶終端100的DHCPv6用戶端模塊向接入交換機(jī)200發(fā)送 DHCPv6請(qǐng)求報(bào)文,接入交換機(jī)200的DHCPv6偵聽模塊在DHCP請(qǐng)求中附加帶有未認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息,然后通過匯聚交換機(jī)300向DHCPv6服務(wù)器400轉(zhuǎn)送所述DHCPv6請(qǐng)求報(bào)文。全局啟動(dòng)802. Ix后,接入交換機(jī)200的端口被使能,接入交換機(jī)200根據(jù)DHCPv6 中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的接入控制方式設(shè)置硬件ACL表項(xiàng),在啟動(dòng)接入交換機(jī)200的 DHCPv6偵聽模塊后,用戶終端100的DHCPv6報(bào)文重定向到接入交換機(jī)200的CPU,此時(shí)經(jīng)過接入交換機(jī)200的所有報(bào)文都不能轉(zhuǎn)發(fā),僅能向匯聚交換機(jī)300轉(zhuǎn)送DHCPv6請(qǐng)求報(bào)文。由此用戶終端100在獲取IPv6地址之前,除了能向DHCPv6服務(wù)器400發(fā)送DHCPv6請(qǐng)求外, 不能訪問其他資源。接入交換機(jī)200的DHCPv6偵聽模塊通過對(duì)用戶終端和服務(wù)器之間的 DHCP交互報(bào)文進(jìn)行窺探,實(shí)現(xiàn)對(duì)用戶的監(jiān)控,同時(shí)DHCPv6偵聽模塊還起到一個(gè)對(duì)DHCP報(bào)文過濾的作用,通過合理的配置實(shí)現(xiàn)對(duì)非法服務(wù)器的過濾。偵聽模塊對(duì)設(shè)備進(jìn)行DHCP窺探的同時(shí)把用戶終端的相關(guān)信息以DHCP選項(xiàng)字段的方式加入到DHCP請(qǐng)求報(bào)文中。更具體地,接入交換機(jī)200的DHCPv6偵聽模塊接收到用戶終端100的DHCPv6請(qǐng)求后,在802. Ix認(rèn)證表項(xiàng)里查詢?cè)撚脩舻腄HCPv6請(qǐng)求的源MAC地址是否通過接入認(rèn)證,如果用戶未通過接入認(rèn)證,接入交換機(jī)附加未通過認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段到 DHCPv6請(qǐng)求尾部,對(duì)DHCPv6請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)300。如果用戶終端100已經(jīng)通過認(rèn)證,則取出已認(rèn)證中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段放到DHCPv6請(qǐng)求尾部交給匯聚交換機(jī)。其中,接入交換機(jī)200的DHCPv6偵聽模塊對(duì)DHCPv6請(qǐng)求報(bào)文附加的帶有未認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段中將“廠商代碼”設(shè)置為廠商的注冊(cè)號(hào),“遠(yuǎn)程標(biāo)識(shí)”設(shè)置為用戶的未認(rèn)證標(biāo)識(shí)加上接入層交換機(jī)的CPU MAC地址。例如DHCPv6偵聽模塊在中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段填入字符串”imauth”和接入交換機(jī)的CPU MAC。在匯聚交換機(jī)300處,匯聚交換機(jī)300的DHCPv6中繼模塊收到來自接入交換機(jī) 200的DHCPv6請(qǐng)求后,只負(fù)責(zé)把DHCP數(shù)據(jù)包中繼給DHCPv6服務(wù)器400,匯聚交換機(jī)不能啟用DHCPv6中繼的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段功能。步驟102 :DHCPv6服務(wù)器400將接收到的DHCPv6請(qǐng)求報(bào)文的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息及報(bào)文信息與DHCPv6服務(wù)器400中預(yù)存的信息進(jìn)行匹配,如果匹配成功,則 DHCPv6服務(wù)器400為該用戶終端100分配第一次IPv6地址,并將第一次IPv6地址加入到 DHCPv6響應(yīng)通過匯聚交換機(jī)下發(fā)給接入交換機(jī),否則駁回該DHCPv6請(qǐng)求。所述接入交換機(jī)接收到返回的DHCPv6響應(yīng)后,剝離并保存其中的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息然后轉(zhuǎn)發(fā)給用戶終端,用戶終端獲得第一次IPv6地址。其中,在DHCPv6 服務(wù)器中進(jìn)行匹配的步驟為在DHCPv6服務(wù)中配置有多個(gè)中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,每個(gè)不同的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段內(nèi)容下配置相應(yīng)的地址池, 如果用戶終端的DHCPv6請(qǐng)求中中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段內(nèi)容匹配DHCPv6服務(wù)器上其中一個(gè)中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,則從相應(yīng)的地址池中分配IP給DHCPv6請(qǐng)求,如果沒有匹配任一個(gè)地址池,則會(huì)駁回請(qǐng)求。步驟103 用戶終端100獲得第一次IPv6地址后,通過網(wǎng)絡(luò)向用作認(rèn)證服務(wù)器的 Radius服務(wù)器500進(jìn)行802. Ix認(rèn)證,如果通過認(rèn)證,Radius服務(wù)器500將認(rèn)證標(biāo)識(shí)下發(fā)給接入交換機(jī)200的DHCP偵聽模塊,同時(shí)告知用戶終端100通過認(rèn)證。該認(rèn)證標(biāo)識(shí)內(nèi)容由Radius服務(wù)器利用Radius Access-Accept報(bào)文的第26屬性 (廠商屬性)下發(fā)給接入交換機(jī),接入交換機(jī)200會(huì)保存該認(rèn)證用戶的認(rèn)證標(biāo)識(shí),并將其加入中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段。Access-Accept認(rèn)證接受包,由Radius服務(wù)器下發(fā)給用戶終端,如果Access-Accept中所有屬性域值都是可以接受(即認(rèn)證通過),則傳輸該類型報(bào)文。步驟104、用戶終端100的802. Ix模塊向DHCPv6服務(wù)器400再次發(fā)送DHCPv6請(qǐng)求,請(qǐng)求分配權(quán)限更大的IPv6地址,接入交換機(jī)200的DHCP偵聽模塊會(huì)將保存的帶有認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息添加到第二次的DHCPv6請(qǐng)求中。接入交換機(jī)200端口配置基于DHCPv6中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的接入控制模式后,DHCPv6請(qǐng)求一旦成功,用戶終端100不需要認(rèn)證(包括認(rèn)證后)就能夠訪問全網(wǎng)資源,此時(shí)將第一次分配的IPv6地址和MAC地址綁定在接入交換機(jī)端口上,以防止鄰居發(fā)現(xiàn) (Neighbor Discovery, ND)欺騙。DHCPv6偵聽模塊在獲得DHCPv6請(qǐng)求后更新用戶訪問所有資源的IPv6地址和ND的硬件訪問控制列表(Access Control List, ACL)表項(xiàng)。ND協(xié)議是IPv6的一種基礎(chǔ)協(xié)議,利用NA、NS、RA、RS和重定向五種類型的CMPv6 消息,實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)路由器發(fā)現(xiàn)與自動(dòng)配置、重復(fù)地址探測(cè)、鏈路層地址解析、鄰居可達(dá)性探測(cè)、鏈路層地址改變通告和路由重定向操作。步驟105 對(duì)于認(rèn)證成功的用戶終端100的第二次DHCPv6請(qǐng)求,DHCPv6服務(wù)器400 將接收到的DHCPv6請(qǐng)求中帶有認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息與DHCPv6服務(wù)器400中預(yù)存的信息進(jìn)行匹配,如果匹配成功,則DHCPv6服務(wù)器400為該用戶終端100分配一個(gè)第二次IPv6地址,在DHCPv6響應(yīng)附加第二次IPv6地址返回給中繼單元;否則駁回此次DHCPv6請(qǐng)求,用戶終端僅能使用一次IPv6地址訪問網(wǎng)絡(luò)。在另一個(gè)實(shí)施例中,如果沒有匹配預(yù)設(shè)的認(rèn)證用戶的地址池,根據(jù)DHCPv6服務(wù)器 400的配置(DHCP服務(wù)器可設(shè)置一個(gè)缺省的地址池)可能會(huì)分配一個(gè)缺省配置的IPv6地址,但這個(gè)IPv6地址并不具備用戶終端100所請(qǐng)求的訪問權(quán)限。由此,當(dāng)用戶未通過802. Ix認(rèn)證時(shí)只能采用第一次IPv6地址或缺省分配的第二次IPv6地址進(jìn)行網(wǎng)絡(luò)訪問,而此訪問則是受匯聚交換機(jī)設(shè)定的訪問權(quán)限的限制。
      步驟106 用戶終端100利用兩次分配獲得的IPv6地址通過匯聚交換機(jī)300配置的訪問權(quán)限訪問網(wǎng)絡(luò)。在匯聚交換機(jī)300中利用硬件ACL表項(xiàng)配置了兩個(gè)IPv6地址網(wǎng)段的訪問權(quán)限,在用戶終端利用兩次IPv6地址訪問時(shí),匯聚交換機(jī)300根據(jù)兩次IPv6地址對(duì)應(yīng)的硬件ACL 表項(xiàng)中此兩次IPv6地址所限制的網(wǎng)段控制用戶終端的訪問權(quán)限。由網(wǎng)管人員配置匯聚交換機(jī)中每個(gè)IPv6地址段的硬件ACL表項(xiàng),以限制不同網(wǎng)段的IPv6地址的訪問權(quán)限,進(jìn)而實(shí)現(xiàn)用戶終端在通過認(rèn)證前后獲取不同的訪問權(quán)限。 圖4示出了本發(fā)明的用戶訪問權(quán)限控制方法的信令流程圖,以顯示系統(tǒng)內(nèi)部信息的交互狀況。參見圖4,用戶終端100首先向DHCPv6服務(wù)器400發(fā)送第一 DHCP請(qǐng)求,接入交換機(jī)200的DHCPv6偵聽模塊截獲用戶的第一 DHCP請(qǐng)求后,查詢DHCPv6請(qǐng)求報(bào)文的源MAC是否通過認(rèn)證,如果用戶終端100未通過認(rèn)證,交換機(jī)附加帶有未認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng)(指示未認(rèn)證狀態(tài)加上接入交換機(jī)的MAC地址)到DHCPv6請(qǐng)求報(bào)文尾部,對(duì)DHCPv6請(qǐng)求報(bào)文其它部分不作修改交給匯聚交換機(jī)DHCPv6中繼代理。如果用戶已經(jīng)通過802. Ix認(rèn)證,則取出Radius服務(wù)器通過Radius Access-Accept報(bào)文的 26屬性下發(fā)的已認(rèn)證中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng)放到DHCPv6請(qǐng)求報(bào)文尾部交給匯聚交換機(jī)300DHCPv6中繼代理,DHCPv6服務(wù)器400收到DHCPv6請(qǐng)求后,根據(jù)預(yù)先配置的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段內(nèi)容從對(duì)應(yīng)的地址池中分配IP,例如中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段為”imauth”,預(yù)設(shè)的地址池是IP1/MASK1,從該預(yù)設(shè)的地址池中進(jìn)行分配。接入交換機(jī)的 DHCPv6偵聽接到回復(fù)的第一 DHCPv6響應(yīng)后,提取其中的IP、MAC和端口信息發(fā)送給802. Ix 模塊,DHCPv6偵聽模塊轉(zhuǎn)發(fā)第一 DHCPv6回應(yīng)到用戶終端,第一次獲取IP的用戶終端100 即可通過匯聚交換機(jī)300的硬件ACL表項(xiàng)進(jìn)行過濾轉(zhuǎn)發(fā),此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶的流量通過匯聚交換機(jī),但流量經(jīng)過匯聚交換機(jī)時(shí)其IPv6地址要受硬件ACL表項(xiàng)的限制,即只能訪問IP1/MASK1能訪問的網(wǎng)段。如果想訪問全網(wǎng)段,只有通過認(rèn)證后再次獲取IP 才能獲得全網(wǎng)段通行的權(quán)限。用戶終端100獲取到第一 IP地址后,向用作認(rèn)證服務(wù)器的Radius服務(wù)器500 發(fā)起認(rèn)證請(qǐng)求,用戶認(rèn)證成功后,接入交換機(jī)會(huì)保存通過Radius服務(wù)器500的Radius Access-Accept報(bào)文的26屬性(即vendor-type為2的vendor屬性攜帶中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng))下發(fā)中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng),用戶終端100的802. Ix模塊會(huì)再次主動(dòng)發(fā)起DHCPv6請(qǐng)求,接入交換機(jī)200的DHCPv6偵聽模塊收到該DHCPv6請(qǐng)求并查詢到該用戶已經(jīng)認(rèn)證后,會(huì)附加已經(jīng)通過認(rèn)證的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng)到DHCPv6請(qǐng)求尾部,然后傳給匯聚交換機(jī)中繼給DHCPv6服務(wù)器,DHCPv6服務(wù)器400對(duì)DHCPv6請(qǐng)求中的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段匹配預(yù)設(shè)的地址池,如果未匹配,DHCPv6服務(wù)器400駁回此次DHCPv6請(qǐng)求;如果匹配則由DHCPv6服務(wù)器400根據(jù)新的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段選項(xiàng)為DHCPv6請(qǐng)求分配另一個(gè)IP2/MASK2網(wǎng)段中的IPv6地址,然后將DHCPv6請(qǐng)求通過匯聚交換機(jī)傳送給接入交換機(jī),接入交換機(jī)的DHCP偵聽模塊截獲到DHCPv6請(qǐng)求后,提取里面的 IP、MAC和端口信息發(fā)送給802. Ix模塊(802. Ix控制著每個(gè)IP所對(duì)應(yīng)的權(quán)限表),802. Ix 模塊下發(fā)用戶可訪問所有資源的硬件ACL表項(xiàng),此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶的流量通過匯聚交換機(jī),但流量經(jīng)過匯聚交換機(jī)時(shí)其IPv6地址要受硬件ACL表項(xiàng)的限制,比如匯聚交換機(jī)ACL這時(shí)允許屬于網(wǎng)段IP2/MASK2的IP地址可訪問外網(wǎng),也可訪問內(nèi)網(wǎng)。
      圖5示出了本發(fā)明第二實(shí)施例的用戶訪問權(quán)限控制系統(tǒng)的框圖。所述系統(tǒng)包括用戶終端、中繼單元、地址分配單元和認(rèn)證單元,其中,用戶終端用于向地址分配單元發(fā)送地址分配請(qǐng)求,并接收地址分配單元返回的地址分配響應(yīng);中繼單元用于對(duì)地址分配請(qǐng)求附加帶未認(rèn)證標(biāo)識(shí)的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息,并轉(zhuǎn)發(fā)至地址分配單元,同時(shí)還用于將地址分配單元返回的地址分配響應(yīng)中轉(zhuǎn)給用戶終端;地址分配單元用于接收到的地址分配請(qǐng)求的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息與預(yù)存的信息進(jìn)行匹配,對(duì)匹配成功地址分配請(qǐng)求分配IP地址,并將IP地址加入到地址分配響應(yīng)返回給中繼單元;認(rèn)證單元對(duì)用戶終端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,用戶終端根據(jù)認(rèn)證后的IPv6地址通過中繼單元配置的訪問權(quán)限訪問網(wǎng)絡(luò)。圖6示出了本發(fā)明第二實(shí)施例的用戶訪問權(quán)限控制方法的流程圖。包括如下步驟601、未認(rèn)證的用戶終端向中繼單元發(fā)送第一地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址。602、中繼單元在第一地址分配請(qǐng)求中附加未認(rèn)證標(biāo)識(shí),將帶有未認(rèn)證標(biāo)識(shí)的第一地址分配請(qǐng)求轉(zhuǎn)發(fā)到地址分配單元。

      603、地址分配單元根據(jù)第一地址分配請(qǐng)求分配第一地址給用戶終端,將該第一地址置于第一地址分配響應(yīng)中告知用戶終端,該第一地址具有較低訪問權(quán)限。604、用戶終端獲得第一地址后向認(rèn)證單元發(fā)起認(rèn)證請(qǐng)求,認(rèn)證單元通過認(rèn)證后將認(rèn)證標(biāo)識(shí)下發(fā)給中繼單元并告知用戶終端認(rèn)證通過;605、通過認(rèn)證的用戶終端向中繼單元發(fā)送第二地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址。606、中繼單元在第二地址分配請(qǐng)求中附加認(rèn)證標(biāo)識(shí),將帶有認(rèn)證標(biāo)識(shí)的第二地址分配請(qǐng)求轉(zhuǎn)發(fā)到地址分配單元。607、地址分配單元根據(jù)第二地址分配請(qǐng)求分配第二地址給用戶終端,將該第二地址置于第二地址分配響應(yīng)中告知用戶終端,該第二地址具有較高訪問權(quán)限。608、用戶終端利用獲得的第一、第二地址訪問網(wǎng)絡(luò)。本發(fā)明通過用戶終端向DHCPv6申請(qǐng)IP時(shí),在DHCPv6請(qǐng)求中附加不同的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息,DHCPV6服務(wù)器返回一次IPv6地址,該地址由認(rèn)證單元認(rèn)證,用戶終端認(rèn)證后,中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的內(nèi)容由Radius服務(wù)器下發(fā),該技術(shù)方案完全可以在后臺(tái)為不同用戶分配不同的中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段信息。同時(shí),管理員在DHCPv6 服務(wù)器端配置基于中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的地址分配策略,用戶終端在認(rèn)證前后將獲得不同的IPv6地址,這個(gè)IPv6地址是經(jīng)過802. Ix認(rèn)證和DHCPv6服務(wù)器共同確認(rèn)的,客戶端根據(jù)IPv6地址通過匯聚層交換機(jī)配置的訪問權(quán)限訪問網(wǎng)絡(luò)。本發(fā)明既利用了 DHCPv6的方便,又利用了 802. Ix的安全認(rèn)證機(jī)制,提供了一種安全方便的接入方法,同時(shí)實(shí)現(xiàn)用戶終端訪問權(quán)限的精細(xì)化控制。上述僅為本發(fā)明的較佳實(shí)施例及所運(yùn)用技術(shù)原理,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍內(nèi)。
      權(quán)利要求
      1.一種用戶訪問權(quán)限控制方法,包括A、未認(rèn)證用戶終端發(fā)送第一地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;B、用于中繼報(bào)文的中繼單元對(duì)所述第一地址分配請(qǐng)求附加表示未認(rèn)證狀態(tài)的認(rèn)證狀態(tài)標(biāo)識(shí)后,將帶有狀態(tài)標(biāo)識(shí)的第一地址分配請(qǐng)求轉(zhuǎn)發(fā)至地址分配單元;C、地址分配單元根據(jù)所述認(rèn)證狀態(tài)標(biāo)識(shí)對(duì)所述用戶終端分配第一地址,所述第一地址具有較低的訪問權(quán)限;D、用戶終端發(fā)起認(rèn)證,在認(rèn)證通過后發(fā)送第二地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;E、所述中繼單元對(duì)所述第二地址分配請(qǐng)求附加表示通過認(rèn)證狀態(tài)的認(rèn)證狀態(tài)標(biāo)識(shí),將帶有認(rèn)證狀態(tài)標(biāo)識(shí)的第二地址分配請(qǐng)求轉(zhuǎn)發(fā)至所述地址分配單元;F、所述地址分配單元根據(jù)所述認(rèn)證狀態(tài)標(biāo)識(shí)對(duì)所述用戶終端分配第二地址,所述第二地址具有較高的訪問權(quán)限。
      2.如權(quán)利要求1所述的用戶訪問權(quán)限控制方法,其特征在于所述步驟D中所述用戶端發(fā)起認(rèn)證包括D01、用戶終端向認(rèn)證單元請(qǐng)求認(rèn)證;D02、認(rèn)證通過后,認(rèn)證單元將用戶的認(rèn)證狀態(tài)下發(fā)給中繼單元保存并告知用戶終端通過認(rèn)證。
      3.如權(quán)利要求1所述的用戶訪問權(quán)限控制方法,其特征在于所述地址分配請(qǐng)求為 DHCPv6請(qǐng)求報(bào)文,所述認(rèn)證狀態(tài)標(biāo)識(shí)為中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,在所述中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的遠(yuǎn)程標(biāo)識(shí)部分設(shè)置認(rèn)證狀態(tài)和中繼單元地址。
      4.如權(quán)利要求1所述的用戶訪問權(quán)限控制方法,其特征在于所述中繼單元包括接入交換機(jī)和匯聚交換機(jī),所述接入交換機(jī)向匯聚交換機(jī)轉(zhuǎn)發(fā)報(bào)文,所述接入交換機(jī)用于對(duì)所述地址分配請(qǐng)求附加認(rèn)證狀態(tài)標(biāo)識(shí),所述匯聚交換機(jī)通過設(shè)置硬件訪問控制列表限制所述第一地址和第二地址能夠訪問的資源。
      5.如權(quán)利要求1所述的用戶訪問權(quán)限控制方法,其特征在于所述地址分配單元針對(duì)不同的認(rèn)證狀態(tài)設(shè)置不同的地址池,根據(jù)認(rèn)證狀態(tài)標(biāo)識(shí)從不同的地址池分配地址。
      6.一種用戶訪問權(quán)限控制系統(tǒng),包括用戶終端、中繼單元、認(rèn)證單元和地址分配單元, 其中所述用戶終端用于在系統(tǒng)初始化時(shí)以及認(rèn)證通過后兩次發(fā)送地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;所述認(rèn)證單元用于對(duì)用戶終端進(jìn)行認(rèn)證,將認(rèn)證結(jié)果下發(fā)給中繼單元保存;所述中繼單元用于偵聽所述地址分配請(qǐng)求并根據(jù)用戶認(rèn)證狀態(tài)在所述地址分配請(qǐng)求中附加認(rèn)證狀態(tài)標(biāo)識(shí),所述認(rèn)證狀態(tài)標(biāo)識(shí)表示用戶是否通過認(rèn)證;所述中繼單元還用于轉(zhuǎn)發(fā)所述帶有標(biāo)識(shí)的地址分配請(qǐng)求到地址分配單元;所述地址分配單元用于對(duì)認(rèn)證狀態(tài)標(biāo)識(shí)為未認(rèn)證的地址分配請(qǐng)求分配第一地址,對(duì)認(rèn)證狀態(tài)標(biāo)識(shí)為通過認(rèn)證的地址分配請(qǐng)求分配第二地址,所述第二地址比所述第一地址具有更高的網(wǎng)絡(luò)訪問權(quán)限。
      7.如權(quán)利要求6所述的用戶訪問權(quán)限控制系統(tǒng),其特征在于所述地址分配請(qǐng)求為 DHCPv6請(qǐng)求報(bào)文,所述標(biāo)識(shí)為中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段,在所述中繼代理遠(yuǎn)程標(biāo)識(shí)選項(xiàng)字段的遠(yuǎn)程標(biāo)識(shí)部分設(shè)置認(rèn)證狀態(tài)和中繼單元地址。
      8.如權(quán)利要求6所述的用戶訪問權(quán)限控制系統(tǒng),其特征在于所述中繼單元包括接入交換機(jī)和匯聚交換機(jī),所述接入交換機(jī)向匯聚交換機(jī)轉(zhuǎn)發(fā)報(bào)文,所述接入交換機(jī)用于對(duì)地址分配請(qǐng)求附加認(rèn)證狀態(tài)標(biāo)識(shí),所述匯聚交換機(jī)通過設(shè)置硬件訪問控制列表限制所述第一地址和第二地址能夠訪問的資源。
      9.如權(quán)利要求6所述的用戶訪問權(quán)限控制系統(tǒng),其特征在于所述地址分配單元為 DHCPv6服務(wù)器,所述認(rèn)證單元為Radius服務(wù)器,所述認(rèn)證單元通過Radius Access-Accept 報(bào)文的廠商屬性下發(fā)給中繼單元。
      10.如權(quán)利要求6所述的用戶訪問權(quán)限控制系統(tǒng),其特征在于所述地址分配單元針對(duì)不同的認(rèn)證狀態(tài)設(shè)置不同的地址池,根據(jù)認(rèn)證狀態(tài)標(biāo)識(shí)從不同的地址池分配地址。
      全文摘要
      本發(fā)明公開一種用戶訪問權(quán)限控制方法和系統(tǒng),所述系統(tǒng)包括用戶終端、中繼單元、認(rèn)證單元和地址分配單元,其中所述用戶終端用于在系統(tǒng)初始化時(shí)以及認(rèn)證通過后兩次發(fā)送地址分配請(qǐng)求,請(qǐng)求地址分配單元分配地址;所述中繼單元用于偵聽所述地址分配請(qǐng)求并根據(jù)用戶認(rèn)證狀態(tài)在所述地址分配請(qǐng)求中附加認(rèn)證標(biāo)識(shí);所述地址分配單元用于對(duì)帶有未認(rèn)證標(biāo)識(shí)的地址分配請(qǐng)求分配第一地址,對(duì)帶有認(rèn)證標(biāo)識(shí)的地址分配請(qǐng)求分配第二地址,所述第二地址比所述第一地址具有更高的網(wǎng)絡(luò)訪問權(quán)限。本發(fā)明通過利用認(rèn)證標(biāo)識(shí),實(shí)現(xiàn)了對(duì)于用戶訪問權(quán)限的細(xì)化控制。
      文檔編號(hào)H04L29/06GK102447710SQ201210015338
      公開日2012年5月9日 申請(qǐng)日期2012年1月17日 優(yōu)先權(quán)日2012年1月17日
      發(fā)明者梁小冰 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1