专利名称:一种双协议栈用户认证的方法、设备及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种双协议栈用户认证的方法、设备及 系统。
背景技术:
当前IPv6的网络建设已经迅速的开展起来,尤其是双栈部署方案作为一 种主流的IPv6升级方案被广泛应用。双栈部署方案为在三层网关设备上配置 双协议栈,对接入的IPv4和/或IPv6用户同时进行三层转发。
随着IPv6网络建设的迅速开展,校园网的IPv6网络建设中对用户的认证 和计费也提出了新的要求由于IPv6用户数量的增加,web认证系统需要既 能满足对IPv4用户进行认证的要求,又可以满足对IPv6用户的认证。
但是,目前校园网常用的web认证系统提供的Portal认证,只能提供对 IPv4用户的iU正,无法4是供对IPv6用户的iU正,所以当IPv6用户上线时, 无法对其进行控制。
发明内容
本发明提供了一种双协议栈用户认证的方法、设备及系统,以实现对双 协议栈用户的认证。
一种双协议栈用户认证的方法,应用于包括宽带接入月l务器BAS和Portal 服务器的用户认证系统,所述BAS和Portal月l务器支持IPv4协议栈和IPv6 协议栈,该方法包括以下步骤
所述BAS 4妄收用户终端发送的网络4妄入i青求,将所述4妻入请求重定向到 所述Portal服务器;所述接入请求为IPv4网络接入请求或者IPv6网络接入请 求;
所述Portal服务器根据所述接入请求获取所述用户终端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;
所述Portal服务器根据预先配置对所述用户终端的IPv4协议栈和/或IPv6 协议栈认证信息进行认证,并将认证结果向所述BAS发送。
所述重定向到所述Portal服务器包括
所述BAS向所述用户终端发送重定向消息;所述重定向消息中携带所述 Portal服务器的IP地址;
所述用户终端向所述Portal服务器的IP地址发送所述网络访问请求。 所述Portal服务器根据所述接入请求获取所述用户终端的认证信息具体
为
所述Portal服务器4艮据所述网络访问请求向所述用户终端发送JAVA插 件,通过所述JAVA插件控制所述用户终端上:fe所述用户终端的IPv4协iU戋 和IPv6协议栈认证信息;或者
所述Portal服务器根据所述网络访问请求向所述用户终端发送查询命令, 接收所述用户终端通过认证页面发送的IPv4协议栈和IPv6协议栈认证信息; 或者
所述Portal服务器根据所述网络访问请求向所述用户终端发送查询命令, 接收所述用户终端根据预先配置的JAVA插件上报的IPv4协议栈和IPv6协议 栈认证信息;或者
所述接入请求中携带所述用户终端根据预先配置的JAVA插件上报的 IPv4协议栈和IPv6协议栈认证信息,所述Portal服务器接收所述接入请求, 获取所述接入请求中携带的IPv4协议栈和IPv6协议栈认证信息。
所述用户终端上报所述用户终端的IPv4协议栈和IPv6协议栈认证信息包
括
所述用户终端根据所述JAVA插件查询路由表,获取默认路由的出口地 址,查询此接口上配置的IPv4协议栈和IPv6协议栈地址,并分别为所述IPv4 协议栈和IPv6协议栈地址配置协议栈类型的标识信息;
所述用户终端将用户名、密码以及所述IPv4协i义栈和IPv6协议栈地址封 装为Portal报文,将所述Portal报文向所述Portal服务器发送。所述Portal服务器根据预先配置对所述用户终端的IPv4协议栈和/或IPv6 协议栈认证信息进行认证具体为
所述Portal服务器配置用户信息认证策略;所述用户信息认证策略为对所 述用户终端的双协议栈i人证信息进行认证,或者对所述网络访问请求对应的 的协议栈认证信息进行认证;
所述Portal服务器根据所述配置的用户信息认证策略对所述用户终端的 IPv4协议栈和/或IPv6协议栈认证信息进行认证。
将认证结果向所述BAS发送之后,还包括
当所述认证结果为认证成功时,所述BAS根据所述网络访问请求将所述 用户终端4妾入网纟备;
当所述认证结果为认证失败时,所述BAS拒绝所述网络访问请求。 所述Portal服务器由Portal前端WEB力l务器和核心月l务器组成; 所述Portal服务器支持IPv4协议栈和IPv6协议栈具体为所述Portal前端 WEB服务器支持IPv4协议栈和IPv6协议栈,所述Portal前端WEB服务器还 与所述用户终端交互,并将所述认证信息向所述核心服务器发送;
所述Portal服务器配置用户信息认证策略具体为所述核心服务器配置用 户信息下发策略;所述核心服务器根据所述用户信息下发策略向所述BAS下 发所述用户终端的双协议栈认证信息、或者所述网络访问请求对应的协议栈 认证信息,并通过所述BAS将所述下发的认证信息向远程用户拨号认证系统 服务器发送,由所述远程用户拨号认证系统服务器对所述下发的认证信息进 行认证。
一种双协议栈用户认证的系统,包括用户终端、宽带接入服务器BAS和 Portal服务器;其中
所述BAS,用于接收用户终端发送的网络接入请求,将所述接入请求重 定向到所述Portal服务器;所述接入请求为IPv4网络接入请求或者IPv6网络 接入请求;
所述Portal服务器,用于根据所述接入请求获取所述用户终端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;根据预先配置 对所述用户终端的IPv4协议栈和/或IPv6协议栈认证信息进行认证,并将认 证结果向所述BAS发送。
所述Portal服务器具体用于
根据所述网络访问请求向所述用户终端发送JAVA插件,通过所述JAVA 插件控制所述用户终端上才艮所述用户终端的IPv4协议栈和IPv6协议栈认证信 息;或者根据所述网络访问请求向所述用户终端发送查询命令,接收所述用 户终端通过认证页面发送的IPv4协议栈和IPv6协议栈认i正信息;或者才艮据所 述网络访问请求向所述用户终端发送查询命令,接收所述用户终端根据预先 配置的JAVA插件上报的IPv4协议栈和IPv6协议栈认证信息;或者获取所述 接入请求中携带的IPv4协议栈和IPv6协议栈认证信息,所述IPv4协议栈和 IPv6协议栈认证信息由所述用户终端根据预先配置的JAVA插件获取;所述 IPv4协议栈和IPv6协议栈认证信息包括所述用户终端的用户名、密码、所述 IPv4协议栈和IPv6协议栈地址、以及所述IPv4协议栈和IPv6协议栈地址的 协议栈类型标识信息;
配置用户信息认证策略;所述用户信息i人证策略为对所述用户终端的双 协议栈认证信息进行认证,或者对所述网络访问请求对应的的协议栈认证信 息进行认证;
才艮据所述配置的用户信息认证策略对所述用户终端的IPv4协议栈和/或 IPv6协议栈认证信息进行认证。
所述Portal服务器由Portal前端WEB服务器和核心服务器组成; 所述Portal前端WEB服务器还与所述用户终端交互,并将所述认证信息 向所述核心服务器发送;所述核心服务器配置用户信息下发策略,根据所述 用户信息下发策略向所述BAS下发所述用户终端的双协议栈认证信息、或者 所述网络访问请求对应的协议栈认证信息,并通过所述BAS将所述下发的认 证信息向远程用户拨号认证系统服务器发送,由所述远程用户拨号认证系统 服务器对所述下发的认证信息进行认证。一种双协议栈用户认证的设备,包括
认证信息获取单元,用于根据用户终端的网络接入请求获取所述用户终 端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;
认证单元,用于根据预先配置的用户信息认证策略对所述用户终端的 IPv4协议栈和/或IPv6协议栈认证信息进行认证;所述用户信息认证策略为对 所述用户终端的双协议栈认证信息进行认证,或者对所述网络访问请求对应 的的协议栈认证信息进行认证。
所述认证信息获取单元具体用于
才艮据所述网络访问请求向所述用户终端发送JAVA插件,通过所述JAVA 插件控制所述用户终端上报所述用户终端的IPv4协议栈和IPv6协议栈认证信 息;或者
根据所述网络访问请求向所述用户终端发送查询命令,接收所述用户终 端通过认证页面发送的IPv4协议栈和IPv6协议栈认证信息;或者
根据所述网络访问请求向所述用户终端发送查询命令,接收所述用户终 端根据预先配置的JAVA插件上才艮的IPv4协议栈和IPv6协议栈认证信息;或 者
获取所述4妄入请求中携带的IPv4协议栈和IPv6协-汉栈^人证信息,所述 IPv4协议栈和IPv6协议栈i人证信息由所述用户终端才艮据预先配置的JAVA插 件获取。
与现有技术相比,本发明至少具有以下优点
Portal服务器根据BAS重定向的网络接入请求,获取用户终端的双协议 栈认证信息,对用户终端中IPv4协i义栈和/或IPv6协议栈进行认i正。
图1是现有技术中Portal认证的网络结构示意图2是本发明提供的双协议栈用户认证的方法的流程示意图3是本发明的应用场景提供的双协议栈用户认证的方法的流程示意图4是本发明的应用场景提供的双协议栈用户认证的方法的另一流程示意图5是本发明的应用场景提供的双协议栈用户认证的系统的结构示意图。
具体实施例方式
现有技术中,如图1所示, 一个部署了 Portal (门户)认证的网络中存在 三个必要的组件,即BAS ( Broadband Access Server,宽带接入服务器)、Portal 用户终端以及Portal服务器,如果要支持IPv6的用户认证,即Portal用户终 端为IPv6用户时,BAS、 Portal服务器都必须进行相应的修改,以支持对IPv6 用户的认证。本发明中,Portal用户终端为IPv4/IPv6双协议栈用户终端,BAS 和Portal服务器接收IPv4/IPv6协议配置,具备收发IPv4/IPv6消息的功能。 BAS接收到用户终端的IPv4或者IPv6网络接入请求后,将该请求重定向到 Portal服务器,Portal服务器与用户终端进行交互,获取用户终端的认证信息, 该认证信息为用户终端当前请求接入网络的协议栈认证信息,也可以还包括 用户终端另一协议栈的认证信息;然后,Portal服务器根据预先配置对用户终 端的当前请求接入网络的协议栈进行认证或者同时对用户终端的双协议栈进 行认证,实现对双协议栈用户终端IPv6网络接入的灵活认证。
具体的,本发明提供了一种双协议栈用户认证的方法,应用于包括宽带 接入服务器BAS和Portal服务器的用户认证系统,所述BAS和Portal服务器 支持IPv4协议栈和IPv6协议栈,如图2所示,该方法包括以下步骤
步骤s201,所述BAS接收用户终端发送的网络接入请求,将所述接入请 求重定向到所述Portal服务器;所述"l妄入请求为IPv4网络接入请求或者IPv6 网络接入请求;
步骤s202,所述Portal服务器根据所述接入请求获取所述用户终端的认 证信息,包括所述用户终端的IPv4协i义栈和IPv6协议栈认证信息;
步骤s203,所述Portal服务器才艮据预先配置对所述用户终端的IPv4协议 栈和/或IPv6协议栈认证信息进行认证,并将认i正结果向所述BAS发送。
下面结合具体应用场景对本发明提供的方法进行进一步介绍,如图3所示,包括以下步骤
步骤s301,宽带接入服务器BAS和Portal服务器接收IPv6协议配置。现 有技术中,BAS和Portal服务器只对IPv4网络接入请求进行处理,不具备处 理IPv6网络接入请求的功能,本发明中,首先对BAS和Portal服务器进行升 级,通过IPv6协议配置〗吏BAS和Portal力良务器具备处理IPv6网纟各4妻入i青求 的功能。
步骤s302, BAS接收用户终端发送的网络接入请求,将所述接入请求重 定向到Portal服务器。
具体的,用户终端为双协议栈用户终端,可以通过IPv4或者IPv6网络发 送接入请求。BAS接收到该接入请求后,向用户终端发送重定向报文,报文 中携带Portal服务器的地址。用户终端根据该Portal服务器的地址向Portal服 务器发送网络接入请求。
步骤s303, Portal服务器根据接入请求获取用户终端的认证信息。
具体的,Portal服务器接收用户终端的接入请求后,向用户终端下发一个 JAVA插件,用户终端执行该JAVA插件,查询自身的路由表,获得默认路由 的出口地址,查询此接口上配置的IPv6协议栈地址或IPv4协议栈地址,并将 IPv6协议栈地址、IPv4协议栈地址、用户终端的用户名、以及密码封装为Portal 报文,向Portal服务器发送。其中,IPv6协议栈地址和IPv4协议栈地址配置 协议栈类型标识,标识地址的IPv6或IPv4属性,并区分用户初始发送4妄入请 求时使用的协议栈地址以及JAVA插件获取的协议栈地址。
本应用场景中,Portal服务器获取用户终端的认证信息的方式还可以为 Portal服务器向用户终端发送查询命令,用户终端接收该查询命令后,在认证 页面上输入IPv4和IPv6协_汉栈地址以及其他认证信息,并配置IPv4和IPv6 协议栈地址的协议栈类型标识;或者,也可以在用户终端上预先配置JAVA插 件,用户终端向Portal服务器发送接入请求时执行该JAVA插件,并将获取的 IPv6协议栈地址或IPv4协议栈地址,与用户终端的用户名、密码封装为Portal 报文,与接入请求一起向Portal服务器发送;还可以设置为用户终端发送接入 请求之后,Portal服务器向用户终端发送查询命令,用户终端根据该命令执行预先配置的JAVA插件,向Portal服务器发送携带认证信息的Portal报文。本 应用场景中提供的几种利用JAVA插件获取用户终端的认证信息的方式为较 佳的实施方式,用户可以根据实际需要灵活设置。
本应用场景中用户终端利用JAVA插件获取用户终端的认证信息,仅仅是 一种较佳的实施方式,用户终端还可以根据实际需要利用其他类型的插件实 现同样的功能,本应用场景对此不做限制。
步骤s304, Portal服务器根据预先配置对用户终端的IPv4协议栈和/或 IPv6协议栈认证信息进行认证,并将认证结果向BAS和用户终端发送。
Portal服务器预先配置用户信息认证策略,包括对用户终端的双协议栈认 证信息进行认证,或者对发送网络接入请求的协议栈认证信息进行认证,根 据实际需要可以灵活设置。Portal服务器根据存储的用户终端注册信息完成对 用户终端的认证后,通知BAS和用户终端认证结果。用户终端具体可以通过 接收Portal服务器发送的提示框等方式获知认证成功或者失败。
步骤s305, BAS根据认证结果控制用户终端的网络接入。当认证结果为 认证成功时,BAS根据网络访问请求将用户终端接入网络,从Portal前端WEB 服务器的页面跳转到用户请求的网址;当认-汪结果为认证失败时,BAS拒绝 该网纟各i方问i青^^。
本发明的应用场景中,优选的,如图4所示,Portal服务器由Portal前端 WEB月良务器、核心月良务器和RADIUS (Remote Authentication Dial-In User Service,远程用户拨号认证系统)服务器组成,此时,本发明提供的双协议 栈用户认证的方法包括以下步骤
步骤s401 , BAS接收用户终端的网络接入请求,该请求为IPv4的网络接 入请求或者IPv6的网络接入请求。
具体的,由于用户终端为双协议栈用户,因此,该用户终端可以通过IPv4 网络或者IPv6网络向BAS请求接入网络。
步骤s402, BAS接收该网络接入请求,向用户终端发送重定向报文。BAS预先接收IPv6协议配置,升级为双协议栈BAS,接收到用户终端的 IPv4或者IPv6接入请求后,根据该请求向用户终端发送重定向报文,将该接 入请求向Portal前端WEB服务器重定向。其中,重定向报文中携带Portal前 端WEB服务器的地址。
步骤s403,用户终端才艮据BAS发送的重定向报文向Portal前端WEB服 务器发送网络接入请求。
步骤s404, Portal前端WEB服务器接收用户终端的网络接入请求,根据 该网络接入请求向用户终端下发JAVA插件,通过该JAVA插件获取用户终端 的认i正信息。
具体的,用户终端访问Portal前端WEB服务器时,从Portal前端WEB 服务器下载一个JAVA插件,执行该JAVA插件查询自身的路由表,获取双协 议栈地址中的另一协议栈地址,例如,如果本次用户终端通过IPv4发送网络 接入请求,则该请求中携带用户的IPv4协议栈地址,通过执行该JAVA插件, 用户终端在路由表中查找与IPv4协议栈地址相应的IPv6协议栈地址,并将用 户终端的用户名、密码以及IPv4协议栈和IPv6协议栈地址封装为Portal报文, 向Portal前端WEB服务器发送。其中,用户终端还4艮据JAVA插件将IPv4 协议栈和IPv6协i义栈地址进行区分,标识为与网络访问:清求对应的协i义栈地 址和另一协议栈地址。
步骤s405, Portal前端WEB服务器将接收到用户终端发送的网络接入请 求向核心服务器发送。
步骤s406,核心服务器根据预先配置的用户信息下发策略向BAS下发用 户终端的认证信息。
具体的,核心服务器中配置的用户信息下发策略为同时下发用户终端 的双协议栈认证信息或者只下发发送网络访问请求的协议栈认证信息。
根据第一种策略,核心服务器将接收到的用户终端双协议栈认证信息向 BAS发送;根据第二种策略,核心服务器将接收到的双协议栈认证信息中与 网络访问请求相应的协议栈认证信息向BAS发送。步骤s407, BAS将获取到的用户终端协议栈认证信息转换为RADIUS报 文,上报至RADIUS服务器。
步骤s408, RADIUS服务器根据存储的用户终端注册信息对用户终端进 行认证,并将认证结果发送到BAS。
步骤s409, BAS根据认证结果控制用户终端的网络接入。 步骤s410, RADIUS力良务器在将认证结果向BAS发送的同时,将该认证 结果同步发送到Portal前端WEB服务器。
步骤s411, Portal前端WEB服务器将认证结果通知给用户终端。具体的, Portal前端WEB服务器可以通过在页面上弹出提示框的方式通知用户终端认 证成功或者认证失败。
通过采用本发明提供的方法,Portal服务器根据BAS重定向的网络接入 请求,获耳又用户终端的双协议栈认i正信息,对用户终端中IPv4协议栈和/或 IPv6协议栈进行认证。
本发明提供一种双协议栈用户认证的系统,如图5所示,包括用户终端 11、宽带接入服务器BAS12和Portal服务器13;其中
所述BAS12,用于接收用户终端11发送的网络接入请求,将所述接入请 求重定向到所述Portal服务器13;所述接入请求为IPv4网络接入请求或者 IPv6网络接入请求。其中,用户终端11为IPv4/IPv6双协议栈用户终端,既 可以接入IPv4网络,也可以接入IPv6网络。
所述Portal服务器13,用于才艮据所述接入请求获取所述用户终端11的认 证信息,包括所述用户终端11的IPv4协议栈和IPv6协议栈认证信息;根据 预先配置对所述用户终端11的IPv4协议栈和/或IPv6协议栈i人证信息进行认 证,并将认证结果向所述BAS发送。
具体的,所述Portal服务器13才艮据所述网络访问请求向所述用户终端11 发送JAVA插件,通过所述JAVA插件控制所述用户终端11上^^所述用户终 端11的IPv4协议栈和IPv6协i义栈认证信息;或者4艮据所述网络访问请求向所述用户终端11发送查询命令,接收所述用户终端11通过iU正页面发送的 IPv4协议栈和IPv6协议栈认证信息;或者才艮据所述网络访问请求向所述用户 终端11发送查询命令,接收所述用户终端11根据预先配置的JAVA插件上报 的IPv4协议栈和IPv6协议栈认证信息;或者获取所述接入请求中携带的IPv4 协议栈和IPv6协议栈认证信息,所述IPv4协议栈和IPv6协议栈认证信息由 所述用户终端11根据预先配置的JAVA插件获取;所述IPv4协议栈和IPv6 协议栈认证信息包括所述用户终端的用户名、密码、所述IPv4协议栈和IPv6 协议栈地址、以及所述IPv4协议栈和IPv6协议栈地址的协议栈类型标识信息;
所述Portal服务器13还配置用户信息认证策略;所述用户信息认证策略 为对所述用户终端11的双协议栈认证信息进刊-认证,或者对所述网络访问请 求对应的的协议栈认证信息进行认证;进一步的,所述Portal服务器13根据 所述配置的用户信息认i正策略对所述用户终端11的IPv4协议栈和/或IPv6协 议栈认证信息进行认证。
优选的,所述Portal服务器13由Portal前端WEB服务器131和核心服 务器132组成
所述Portal前端WEB服务器131与所述用户终端11交互,并将所述认 证信息向所述核心服务器132发送;所述核心服务器132配置用户信息下发 策略,根据所述用户信息下发策略向所述BAS下发所述用户终端的双协议栈 认证信息、或者所述网络访问请求对应的协议栈认证信息,并通过所述BAS12 将所述下发的认证信息向远程用户拨号认证系统服务器发送,由远程用户拨 号认证系统服务器对所述下发的认证信息进行认证。 户终端的网络接入请求获取所述用户终 端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认i正信息。具 体的,所述认证信息获取单元根据所述网络访问请求向所述用户终端发送 JAVA插件,通过所述JAVA插件控制所述用户终端上"R所述用户终端的IPv4 协议栈和IPv6协议栈认证信息;或者根据所述网络访问请求向所述用户终端发送查询命令,接收所述用户终端通过认证页面发送的IPv4协议栈和IPv6协
议栈认证信息;或者根据所述网络访问请求向所述用户终端发送查询命令, 接收所述用户终端根据预先配置的JAVA插件上报的IPv4协议栈和IPv6协议 栈认证信息;或者获取所述接入请求中携带的IPv4协议栈和IPv6协议栈认证 信息,所述IPv4协议栈和IPv6协议栈认证信息由所述用户终端根据预先配置 的JAVA插件获取。用户终端执行JAVA插件查询自身的路由表,获得默认路 由的出口地址,查询此4矣口上配置的IPv6协i义栈地址或IPv4协i义对戋地址,并 配置协议栈类型标识,标识地址的IPv6或IPv4属性,区分用户初始发送4妄入 请求时使用的协议栈地址以及JAVA插件获取的协议栈地址。例如,如果本次 用户终端通过IPv4发送网络接入请求,则该请求中携带用户的IPv4协议栈地 址,通过执行该JAVA插件,用户终端在路由表中查找与IPv4协议栈地址相 应的IPv6协议栈地址,并将用户终端的用户名、密码以及IPv4协议栈和IPv6 协议栈地址封装为Portal报文,向认证信息接收单元发送。其中,用户终端还 根据JAVA插件将IPv4协议栈和IPv6协议栈地址进行区分,标识与网络访问 请求对应的协i义栈地址。
认证单元,用于根据预先配置的用户信息认证策略对所述用户终端的 IPv4协议栈和/或IPv6协议栈认证信息进行认证;所述用户信息认证策略为对 所述用户终端的双协议栈认证信息进行认证,或者对所述网络访问请求对应 的的协议栈认证信息进行认证。当预先配置的认证策略为只对所述网络访问 请求对应的的协议栈认证信息进行认证时,认证单元根据认证信息接收单元 接收的标识获取网络访问请求对应的协议栈地址,对相应的协议栈认证信息 进行认证。
通过采用本发明提供的系统和设备,Portal服务器根据BAS重定向的网 络接入请求,获取用户终端的双协议栈i人i正信息,对用户终端中IPv4协-汉栈 和/或IPv6协议栈进行认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本 发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使 得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中 的模块或流程并不 一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描 述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例 的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进 一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于 此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种双协议栈用户认证的方法,应用于包括宽带接入服务器BAS和Portal服务器的用户认证系统,其特征在于,所述BAS和Portal服务器支持IPv4协议栈和IPv6协议栈,该方法包括以下步骤所述BAS接收用户终端发送的网络接入请求,将所述接入请求重定向到所述Portal服务器;所述接入请求为IPv4网络接入请求或者IPv6网络接入请求;所述Portal服务器根据所述接入请求获取所述用户终端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;所述Portal服务器根据预先配置对所述用户终端的IPv4协议栈和/或IPv6协议栈认证信息进行认证,并将认证结果向所述BAS发送。
2、 如权利要求l所述的方法,其特征在于,所述重定向到所述Portal服 务器包括所述BAS向所述用户终端发送重定向消息;所述重定向消息中携带所述 Portal服务器的IP地址;所述用户终端向所述Portal服务器的IP地址发送所述网络访问请求。
3、 如权利要求l所述的方法,其特征在于,所述Portal服务器根据所述 接入请求获取所述用户终端的认证信息具体为所述Portal服务器根据所述网络访问请求向所述用户终端发送JAVA插 件,通过所述JAVA插件控制所述用户终端上报所述用户终端的IPv4协议栈 和IPv6协议栈认证信息;或者所述Portal服务器根据所述网络访问请求向所述用户终端发送查询命令, 接收所述用户终端通过认证页面发送的IPv4协议栈和IPv6协议栈认证信息;所述Portal服务器根据所述网络访问请求向所述用户终端发送查询命令, 接收所述用户终端根据预先配置的JAVA插件上报的IPv4协议栈和IPv6协议 栈认证信息;或者所述接入请求中携带所述用户终端根据预先配置的JAVA插件上报的IPv4协议栈和IPv6协i义栈认证信息,所述Portal服务器接收所述4妾入请求, 获取所述接入请求中携带的IPv4协议栈和IPv6协议栈认证信息。
4、 如权利要求3所述的方法,其特征在于,所述用户终端上报所述用户 终端的IPv4协议栈和IPv6协议栈认证信息包括所述用户终端才艮据所述JAVA插件查询路由表,获取默i人^各由的出口地 址,查询此接口上配置的IPv4协议栈和IPv6协议栈地址,并分别为所述IPv4 协议栈和IPv6协议栈地址配置协议栈类型的标识信息;所述用户终端将用户名、密码以及所述IPv4协议栈和IPv6协议栈地址封 装为Portal报文,将所述Portal报文向所述Portal服务器发送。
5、 如权利要求l所述的方法,其特征在于,所述Portal服务器根据预先 配置对所述用户终端的IPv4协议栈和/或IPv6协议栈认证信息进行认证具体 为所述Portal服务器配置用户信息认证策略;所述用户信息认证策略为对所 述用户终端的双协议栈认证信息进行认证,或者对所述网络访问请求对应的 的协议栈i人证信息进行iU正;所述Portal服务器根据所述配置的用户信息认证策略对所述用户终端的 IPv4协议栈和/或IPv6协议栈认证信息进行认证。
6、 如权利要求1所述的方法,其特征在于,将认证结果向所述BAS发 送之后,还包括当所述认证结果为认证成功时,所述BAS根据所述网络访问请求将所述 用户终端4姿入网络;当所述认证结果为认证失败时,所述BAS拒绝所述网络访问请求。
7、 如权利要求1-6中任一项所述的方法,其特征在于,所述Portal服务 器由Portal前端WEB月l务器和核心月良务器组成;所述Portal服务器支持IPv4协议栈和IPv6协议栈具体为所述Portal前端 WEB服务器支持IPv4协议栈和IPv6协议栈,所述Portal前端WEB服务器还 与所述用户终端交互,并将所述认证信息向所述核心服务器发送;所述Portal服务器配置用户信息认证策略具体为所述核心服务器配置用户信息下发策略;所述核心服务器根据所述用户信息下发策略向所述BAS下 发所述用户终端的双协议栈认证信息、或者所述网络访问请求对应的协议栈 认证信息,并通过所述BAS将所述下发的认证信息向远程用户拨号认证系统 服务器发送,由所述远程用户拨号认证系统服务器对所述下发的认证信息进 行认证。
8、 一种双协议栈用户认证的系统,其特征在于,包括用户终端、宽带接 入服务器BAS和Portal服务器;其中所述BAS,用于接收用户终端发送的网络接入请求,将所述接入请求重 定向到所述Portal服务器;所述接入请求为IPv4网络接入请求或者IPv6网络 接入请求;所述Portal服务器,用于根据所述接入请求获取所述用户终端的认证信 息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;根据预先配置 对所述用户终端的IPv4协议栈和/或IPv6协议栈认证信息进行认证,并将认 证结果向所述BAS发送。
9、 如权利要求8所述的系统,其特征在于,所述Portal服务器具体用于 根据所述网络访问请求向所述用户终端发送JAVA插件,通过所述JAVA插件控制所述用户终端上l艮所述用户终端的IPv4协议栈和IPv6协议栈认证信 息;或者根据所述网络访问请求向所述用户终端发送查询命令,接收所述用 户终端通过i人证页面发送的IPv4协i义栈和IPv6协i义栈i人证信息;或者才艮据所 述网络访问请求向所述用户终端发送查询命令,接收所述用户终端根据预先 配置的JAVA插件上报的IPv4协议栈和IPv6协i义栈认i正信息;或者获耳又所述 接入请求中携带的IPv4协议栈和IPv6协议栈认证信息,所述IPv4协议栈和 IPv6协议栈认证信息由所述用户终端根据预先配置的JAVA插件获耳又;所述 IPv4协议栈和IPv6协议栈认证信息包括所述用户终端的用户名、密码、所述 IPv4协议栈和IPv6协议栈地址、以及所述IPv4协议栈和IPv6协议栈地址的 协议栈类型标识信息;配置用户信息认证策略;所述用户信息认证策略为对所述用户终端的双协议栈认证信息进行认证,或者对所述网络访问请求对应的的协议栈认证信息进行认证;才艮据所述配置的用户信息认i正策略对所述用户终端的IPv4协议栈和/或 IPv6协i义栈认证信息进行认i正。
10、 如权利要求8所述的系统,其特征在于,所述Portal服务器由Portal 前端WEB服务器和核心服务器组成;所述Portal前端WEB服务器还与所述用户终端交互,并将所述认证信息 向所述核心服务器发送;所述核心服务器配置用户信息下发策略,根据所述 用户信息下发策略向所述BAS下发所述用户终端的双协议栈认证信息、或者 所述网络访问请求对应的协议栈认证信息,并通过所述BAS将所述下发的认 证信息向远程用户拨号认证系统服务器发送,由所述远程用户拨号认证系统 服务器对所述下发的认证信息进行认证。
11、 一种双协议栈用户认证的设备,其特征在于,包括 认证信息获取单元,用于根据用户终端的网络接入请求获取所述用户终端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;认证单元,用于根据预先配置的用户信息认证策略对所述用户终端的 IPv4协议栈和/或IPv6协议栈认证信息进行认证;所述用户信息认证策略为对 所述用户终端的双协议栈认证信息进行认证,或者对所述网络访问请求对应 的的协i义栈认证信息进行认证。
12、 如权利要求11所述的设备,其特征在于,所述认证信息获取单元具 体用于才艮据所述网络访问请求向所述用户终端发送JAVA插件,通过所述JAVA 插件控制所述用户终端上净艮所述用户终端的IPv4协i义栈和IPv6协议栈认i正信 息;^i^"根据所述网络访问请求向所述用户终端发送查询命令,接收所述用户终端通过认证页面发送的IPv4协议栈和IPv6协议栈认证信息;或者根据所述网络访问请求向所述用户终端发送查询命令,接收所述用户终 端根据预先配置的JAVA插件上l艮的IPv4协议栈和IPv6协议栈认证信息;或者获取所述接入请求中携带的IPv4协议栈和IPv6协议栈认证信息,所述 IPv4协议栈和IPv6协议栈认证信息由所述用户终端#4居预先配置的JAVA插 件获取。
全文摘要
本发明公开了一种双协议栈用户认证的方法和装置,该方法包括以下步骤BAS接收用户终端发送的网络接入请求,将所述接入请求重定向到Portal服务器;所述接入请求为IPv4网络接入请求或者IPv6网络接入请求;所述Portal服务器根据所述接入请求获取所述用户终端的认证信息,包括所述用户终端的IPv4协议栈和IPv6协议栈认证信息;所述Portal服务器根据预先配置对所述用户终端的IPv4协议栈和/或IPv6协议栈认证信息进行认证,并将认证结果向所述BAS发送。本发明中,Portal服务器根据BAS重定向的网络接入请求,获取用户终端的双协议栈认证信息,对用户终端中IPv4协议栈和/或IPv6协议栈进行认证。
文档编号H04L29/06GK101610156SQ20091016259
公开日2009年12月23日 申请日期2009年8月4日 优先权日2009年8月4日
发明者乔肖桉 申请人:杭州华三通信技术有限公司