专利名称:一种双栈网络访问权限控制方法和系统的制作方法
技术领域:
本发明涉及一种双栈网络访问权限控制方法和系统,属于数据通信技术领域。
背景技术:
802. lx称为基于端口的访问控制协议(Port Based Network AccessControl Protocol)。基于端口的访问控制能够提供一种对连接到局域网(Local Area Network, 简称LAN)的设备或用户进行认证和授权的手段。通过这种方式的认证,能够在LAN这种 多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单 点结构,可以是被认证系统的媒体访问控制(Media Access Control,简称MAC)地址,也 可以是服务器或网络设备连接LAN的物理端口,或者是在IEEE 802. ll(TheInstitute of Electrical and Electronics Engineers,美国电气禾口电子工程师协会)无线LAN环境中 定义的工作站和访问点。
802. lx认证体系中有三种角色
1. Supp 1 i cant客户端 客户端指LAN所连接的一端的实体(entity),通常是运行在用户计算机上的客户 端软件。它向认证系统(Authenticates)发起请求,对用户身份的合法性进行检验。
2. Authenticator认证系统 认证系统指在LAN连接的一端用于认证另一端设备的实体(entity),通常是交换 机。 3. Authentication Server认i正月艮务器 认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务 是指通过检验客户端发送来的身份标识,来判断该请求者是否有权使用认证系统所提供 的网络服务。通常使用远程用户拨号认证系统(Remote Authentication Dial In User Service,简称RADIUS)服务器作为认证服务器。 RADIUS是当前流行的AAA协议,AAA是授权(Authorization)、认证 (Authentication)禾口计费(Accounting)的简称。 RADIUS协议采用客户/服务器(Client/Server)结构,采用UDP作为传输协议。 RADIUS的客户端通常运行于网络接入服务器(Network AccessServer,简称NAS)上,客 户端的任务是将用户的信息发送到指定的服务器,然后根据服务器的不同响应进行处理。 RADIUS服务器通常运行于一台工作站上,其任务是接收客户发来的请求,认证用户的权限, 并返回客户向用户提供服务时所需的配置信息。RADIUS的服务器端的数据库中存放着所有 的安全信息。 网络接入服务器在前述802. lx认证体系中即Authenticator,通常由交换机承担 此角色。 由于因特网(Internet)的规模以及目前网络中数量庞大的IPv4用户和设备, IPv4到IPv6的过渡不可能一次性实现。在IPv4到IPv6的过渡期间,需要解决IPv6结点
4CN 101697550 A
说明书
2/6页
与IPv4结点互通的问题。 实现IPv6结点与IPv4结点互通的最直接的方式是在IPv6结点中加入IPv4协议 栈。具有双协议栈的结点称作"IPv6/v4结点",这些结点既可以收发IPv4分组,也可以收发 IPv6分组。它们可以使用IPv4协议与IPv4结点互通,也可以直接使用IPv6协议与IPv6
结点互通。 IPv6与IPv4网络将会长期共存,实际应用中普遍使用双协议栈。在这种应用场景 下,存在一些安全问题,如恶意用户可以使用IPv6非法访问采用了 IPv4和IPv6两种协议 的LAN的网络资源,攻击者可以通过安装了双栈IPv6主机,建立由IPv6到IPv4的隧道,绕 过防火墙对IPv4网络进行攻击。
发明内容
本发明的目的是提供一种双栈网络访问权限控制方法和系统,使得用户只有在经 过许可的情况下才能访问网络中的IPv4或IPv6资源。 为实现上述目的,本发明提供了一种双栈网络访问权限控制方法,所述方法包 括 步骤Sl,客户端发送包括用户认证信息的认证请求; 步骤S2,认证交换机接收到认证请求后,将认证请求中的用户认证信息传递给远 程用户拨号认证系统RADIUS服务器; 步骤S3, RADIUS服务器根据用户认证信息对用户进行认证,如果认证成功则在用 户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在认证成功消息 中发送给客户端,否则向客户端发送认证失败消息; 步骤S4,客户端收到认证成功消息时,根据消息中的所述配置信息配置用户的访 问权限。 为了实现上述目的,本发明还提供了一种RADIUS服务器,用于根据用户认证信息 对用户进行认证,如果认证成功则在用户数据库中查找所述用户的访问权限的配置信息, 并将所述配置信息附加在认证成功消息中发送给客户端,否则向客户端发送认证失败消 息。 为了实现上述目的,本发明又提供了一种客户端,用于发送包括用户认证信息的 认证请求;以及在收到认证成功消息时,根据消息中的所述配置信息配置用户的访问权限。
为了实现上述目的,本发明再提供了一种双栈网络访问权限控制系统,所述系统 包括客户端、认证交换机和RADIUS服务器; 所述客户端用于发送包括用户认证信息的认证请求;以及在收到认证成功消息 时,根据消息中的所述配置信息配置用户的访问权限; 所述认证交换机与客户端和RADIUS服务器连接,用于接收到客户端发来的认证 请求后,将认证请求中的用户认证信息传递给RADIUS服务器; 所述RADIUS服务器用于根据用户认证信息对用户进行认证,如果认证成功则在 用户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在认证成功消 息中发送给客户端,否则向客户端发送认证失败消息。 本发明通过在RADIUS服务器上确定用户的访问权限的配置信息,并将配置信息发送给客户端,由客户端配置用户的访问权限,可以限制用户对IPv4或IPv6网络资源的访 问,从而杜绝可能的非法操作,达到保护这些资源的目的。
图1为本发明一种双栈网络访问权限控制方法实施例一示意图
图2为本发明一种双栈网络访问权限控制方法实施例二示意图
图3为本发明一种双栈网络访问权限控制系统实施例一示意图
图4为本发明一种双栈网络访问权限控制系统实施例二示意图
图5为本发明一种双栈网络访问权限控制系统实施例三示意图
具体实施例方式
本发明的目的是提供一种双栈网络访问权限控制方法和系统,使得用户只有在经 过许可的情况下才能访问网络中的IPv4或IPv6资源。 下面结合附图对本发明进行说明,本发明提供了一种双栈网络访问权限控制方 法,图1给出了本发明一种双栈网络访问权限控制方法实施例一示意图,所述方法包括
步骤Sl,客户端发送包括用户认证信息的认证请求;
例如所述客户端可以为802. lx认证客户端。 步骤S2,认证交换机接收到认证请求后,将认证请求中的用户认证信息传递给 RADIUS服务器; 所述认证交换机可以为网络接入交换机。 步骤S3, RADIUS服务器根据用户认证信息对用户进行认证,如果认证成功则在用
户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在认证成功消息
中发送给客户端,否则向客户端发送认证失败消息; 所述用户的访问权限的配置信息可以为配置值,例如 配置值为0表示禁止访问IPv4和IPv6网络; 配置值为1表示允许访问IPv4网络且禁止访问IPv6网络; 配置值为2表示禁止访问IPv4网络且允许访问IPv6网络; 配置值为3表示允许访问IPv4和IPv6网络。 步骤S4,客户端收到认证成功消息时,根据消息中的所述配置信息配置用户的访 问权限。 所述根据消息中的所述配置信息配置用户的访问权限具体可以为 当所述配置信息为禁止访问IPv4和IPv6网络的配置时,禁用用户主机上的IPv4
和IPv6协议; 当所述配置信息为允许访问IPv4网络且禁止访问IPv6网络的配置时,启用用户 主机上的IPv4协议,并禁用用户主机上的IPv6协议; 当所述配置信息为禁止访问IPv4网络且允许访问IPv6网络的配置时,禁用用户 主机上的IPv4协议,并启用用户主机上的IPv6协议; 当所述配置信息为允许访问IPv4和IPv6网络的配置时,启用用户主机上的IPv4 和IPv6协议。
6
本发明通过在RADIUS服务器上确定用户的访问权限的配置信息,并将配置信息 发送给客户端,由客户端配置用户的访问权限,可以限制用户对IPv4或IPv6网络资源的访 问,从而杜绝可能的非法操作,达到保护这些资源的目的。 图2给出了本发明一种双栈网络访问权限控制方法实施例二示意图,本实施例除 了包括方法实施例一的步骤外,所述步骤SI之前还包括步骤S5 :在RADIUS服务器的用户 数据库中添加用户和访问权限的配置信息。 通过添加配置信息,可以集中的、系统的在RADIUS服务器上管理用户的IPv4/ IPv6访问权限。 本发明还提供了一种RADIUS服务器,用于根据用户认证信息对用户进行认证,如
果认证成功则在用户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附
加在认证成功消息中发送给客户端,否则向客户端发送认证失败消息。 所述RADIUS服务器还可以用于在用户数据库中添加用户和访问权限的配置信息。 —般RADIUS服务器至少有两个功能用户认证功能、用户数据库,本发明可以对 这两个功能进行改造 1)改造用户数据库,为每个用户添加IPv4/IPv6访问权限的配置值,这个配置值 可以有4个,具体如下 配置值为0表示禁止访问IPv4和IPv6网络;
配置值为1表示允许访问IPv4网络且禁止访问IPv6网络;
配置值为2表示禁止访问IPv4网络且允许访问IPv6网络;
配置值为3表示允许访问IPv4和IPv6网络。 2)改造用户认证功能,在用户认证成功后,从用户数据库中取出IPv4/IPv6访问 权限的配置值,下发给802. lx认证客户端。 本发明又提供了一种客户端,用于发送包括用户认证信息的认证请求;以及在收
到认证成功消息时,根据消息中的所述配置信息配置用户的访问权限。 所述根据消息中的所述配置信息配置用户的访问权限具体可以为 当所述配置信息为禁止访问IPv4和IPv6网络的配置时,禁用用户主机上的IPv4
和IPv6协议; 当所述配置信息为允许访问IPv4网络且禁止访问IPv6网络的配置时,启用用户 主机上的IPv4协议,并禁用用户主机上的IPv6协议; 当所述配置信息为禁止访问IPv4网络且允许访问IPv6网络的配置时,禁用用户 主机上的IPv4协议,并启用用户主机上的IPv6协议; 当所述配置信息为允许访问IPv4和IPv6网络的配置时,启用用户主机上的IPv4 和IPv6协议。 本发明可以改造802. lx认证客户端,在认证成功后接收RADIUS服务器下发的用 户的访问权限的配置信息,例如IPv4/IPv6访问权限的配置值,根据接收到的配置值,对用 户可访问的网络进行限制 若收到的配置值为O,则禁用用户主机上的IPv4协议和IPv6协议,用户对IPv4资 源和IPv6资源均不能访问。
若收到的配置值为l,则启用用户主机上的IPv4协议,禁用用户主机上的IPv6协 议,用户可以访问IPv4资源,但不能访问IPv6资源。 若收到的配置值为2,则禁用用户主机上的IPv4协议,启用用户主机上的IPv6协 议,用户不能访问IPv4资源,但可以访问IPv6资源。 若收到的配置值为3,则启用用户主机上的IPv4协议和IPv6协议,用户既可以访 问IPv4资源,也可以访问IPv6资源。 经上述改造,即可实现对用户访问IPv4/IPv6资源时进行访问权限的控制,以只 允许访问IPv4资源为例,具体控制过程如下 1)用户运行802. lx认证客户端,输入用户名和密码发起认证,将认证信息传递给 认证交换机; 2)认证交换机将用户认证信息传递给RADIUS服务器; 3)RADIUS服务器将收到的用户认证信息与用户数据库中的用户认证信息进行对 比,如果信息一致则认证成功; 4)RADIUS服务器在认证成功的情况下,从用户数据库取出为该用户配置的IPv4/ v6访问权限的配置值,例如配置值为1, RADIUS服务器将这个配置值附加在认证成功消息 中下发给802. lx客户端; 5)802. lx客户端收到用户的IPv4/v6访问权限的配置值为1,因此启用用户主机
上的IPv4协议,禁用用户主机上的IPv6协议; 6)用户可以访问IPv4资源,但不能访问IPv6资源。 本发明再提供了一种双栈网络访问权限控制系统,图3给出了本发明一种双栈网 络访问权限控制系统实施例一示意图,所述系统包括客户端、认证交换机和RADIUS服务 器; 所述客户端用于发送包括用户认证信息的认证请求;以及在收到认证成功消息 时,根据消息中的所述配置信息配置用户的访问权限。 所述认证交换机与客户端和RADIUS服务器连接,用于接收到客户端发来的认证 请求后,将认证请求中的用户认证信息传递给RADIUS服务器;
所述认证交换机可以为网络接入交换机。 所述RADIUS服务器用于根据用户认证信息对用户进行认证,如果认证成功则在 用户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在认证成功消 息中发送给客户端,否则向客户端发送认证失败消息。 所述RADIUS服务器还可以用于在用户数据库中添加用户和访问权限的配置信 息。 图4给出了本发明一种双栈网络访问权限控制系统实施例二示意图,本实施例中 包括一台RADIUS服务器, 一台IPv4资源服务器, 一台IPv6资源服务器, 一台认证交换机和 一台用户主机。 本实施例的部署方案如下 1. IPv4资源服务器仅安装IPv4协议,IPv6资源服务器仅安装IPv6协议。 2.认证交换机、用户主机都安装双协议栈。 3. RADIUS服务器不限制,可以安装IPv4、 IPv6或双协议栈。
4.认证交换机支持IPv4、 IPv6或双协议栈的RADIUS服务器。
5.用户主机安装802. lx认证客户端。 图5给出了本发明一种双栈网络访问权限控制系统实施例三示意图,本实施例中 包括一台RADIUS服务器、多台认证交换机和多台用户主机,以及IPv4网络资源和IPv6网 络资源。 本实施例的部署方案如下
1. RADIUS服务器必须存在。 2.所有用户都通过认证交换机连接到双栈网络。
3. IPv4网络资源和IPv6网络资源连接到双栈网络。 4.运行于用户主机上的认证客户端控制用户是否可以访问IPv4/IPv6网络资源。
本发明在IPv4/IPv6双协议栈环境中,可以限制用户对IPv4或IPv6网络资源的 访问,从而杜绝可能的非法操作,达到保护这些资源的目的。 本发明对用户的网络访问权限的控制不依赖于网络中除接入设备外的其他设备, 如防火墙,入侵检测系统(Intrusion Detection Systems,简称IDS)设备等,可以在不具备 这些设备或者这些设备不支持IPv6及双协议栈的环境中发挥作用。 本方案可以在单个用户粒度上进行安全控制,并且集中在RADIUS服务器上管理, 使用起来非常方便。 最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然
可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替
换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
9
权利要求
一种双栈网络访问权限控制方法,其特征在于,所述方法包括步骤S1,客户端发送包括用户认证信息的认证请求;步骤S2,认证交换机接收到认证请求后,将认证请求中的用户认证信息传递给远程用户拨号认证系统RADIUS服务器;步骤S3,RADIUS服务器根据用户认证信息对用户进行认证,如果认证成功则在用户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在认证成功消息中发送给客户端,否则向客户端发送认证失败消息;步骤S4,客户端收到认证成功消息时,根据消息中的所述配置信息配置用户的访问权限。
2. 根据权利要求1所述的方法,其特征在于,所述步骤SI之前还包括步骤S5 :在 RADIUS服务器的用户数据库中添加用户和访问权限的配置信息。
3. 根据权利要求1或2所述的方法,其特征在于,所述根据消息中的所述配置信息配置 用户的访问权限具体为当所述配置信息为禁止访问IPv4和IPv6网络的配置时,禁用用户主机上的IPv4和 IPv6协议;当所述配置信息为允许访问IPv4网络且禁止访问IPv6网络的配置时,启用用户主机 上的IPv4协议,并禁用用户主机上的IPv6协议;当所述配置信息为禁止访问IPv4网络且允许访问IPv6网络的配置时,禁用用户主机 上的IPv4协议,并启用用户主机上的IPv6协议;当所述配置信息为允许访问IPv4和IPv6网络的配置时,启用用户主机上的IPv4和 IPv6协议。
4. 一种RADIUS服务器,其特征在于,用于根据用户认证信息对用户进行认证,如果认 证成功则在用户数据库中查找所述用户的访问权限的配置信息,并将所述配置信息附加在 认证成功消息中发送给客户端,否则向客户端发送认证失败消息。
5. 根据权利要求4所述的RADIUS服务器,其特征在于,还用于在用户数据库中添加用 户和访问权限的配置信息。
6. —种客户端,其特征在于,用于发送包括用户认证信息的认证请求;以及在收到认 证成功消息时,根据消息中的所述配置信息配置用户的访问权限。
7. 根据权利要求6所述的客户端,其特征在于,所述根据消息中的所述配置信息配置 用户的访问权限具体为当所述配置信息为禁止访问IPv4和IPv6网络的配置时,禁用用户主机上的IPv4和 IPv6协议;当所述配置信息为允许访问IPv4网络且禁止访问IPv6网络的配置时,启用用户主机 上的IPv4协议,并禁用用户主机上的IPv6协议;当所述配置信息为禁止访问IPv4网络且允许访问IPv6网络的配置时,禁用用户主机 上的IPv4协议,并启用用户主机上的IPv6协议;当所述配置信息为允许访问IPv4和IPv6网络的配置时,启用用户主机上的IPv4和 IPv6协议。
8. —种双栈网络访问权限控制系统,其特征在于,包括客户端、认证交换机和RADIUS服务器;所述客户端为权利要求6或7所述的任一客户端;所述认证交换机与客户端和RADIUS服务器连接,用于接收到客户端发来的认证请求 后,将认证请求中的用户认证信息传递给RADIUS服务器;所述RADIUS服务器为权利要求4或5所述的任一 RADIUS服务器。
全文摘要
本发明提供了一种双栈网络访问权限控制方法和系统。本发明通过在RADIUS服务器上确定用户的访问权限的配置信息,并将配置信息发送给客户端,由客户端配置用户的访问权限,可以限制用户对IPv4或IPv6网络资源的访问,从而杜绝可能的非法操作,达到保护这些资源的目的。
文档编号H04L9/32GK101697550SQ20091023650
公开日2010年4月21日 申请日期2009年10月30日 优先权日2009年10月30日
发明者杨科, 杨鑫伟 申请人:北京星网锐捷网络技术有限公司;