专利名称:支持IPv6/IPv4双栈接入的访问控制方法和服务器的制作方法
技术领域:
本发明涉及网络通信领域,更具体地,涉及一种支持(互联网协议版本6/互联网 协议版本4) IPv6/IPv4双栈接入的访问控制方法和服务器。
背景技术:
当前,IPv6的校园网建设正在如火如荼的进行。通常,IPv6网络的建设方式是通 过升级现有网络中的汇聚层及核心层设备,将现有IPv4网络升级为IPv4/IPv6双栈网络。 采用这种建设模式,原有的IPv4客户端也必定要升级为IPv6/IPv4的双栈客户端。在这种 情况下,需要对新增用户开发新的认证系统,并对原有的用户认证系统进行升级,使得客户 端和认证服务器能够识别一个双栈用户,对其进行相应的认证并采取对应的安全措施。同 时,一些用户使用诸如站间自动隧道寻址协议(ISATAP)和6to4隧道等隧道技术进行接入, 对这些用户也需要能够进行身份认证。无论是使用IPv4客户端还是使用IPv6客户端,在用户上线前,都能够为客户端配 置静态的IP地址,当进行用户认证时,认证客户端在执行802. IX认证过程期间以及用户上 线后的握手过程期间都会对接入设备发送的PPP扩展认证协议(EAP)报文进行响应。只要 在进行802. IX的报文交互过程中,认证客户端检测到本地有合法的IPv4/IPv6地址,就会 在对接入设备的响应EAP报文中携带该IPv4/IPv6地址。而接入设备接收到用户的IP地 址后,会将用户的IP地址上传给认证服务器,使得能够在认证服务器上将用户的身份标识 与用户的IP地址进行绑定。IP地址的绑定使得用户只能在唯一的认证位置接入互联网,这 极大地限制了用户接入互联网的灵活性和便利性。为了提高用户接入互联网的灵活性和便利性,现有技术已提出一种访问控制方 法,该访问控制方法部分克服了 IP地址绑定的局限,使得用户身份标识表明其属于一个局 域网(如校园网)的用户能够以该局域网IP地址段内的任意IP地址接入互联网,而不必 局限于使用唯一的绑定IP地址接入互联网。即,实现了本地用户在本地联网。然而,这种改进的访问控制方法仍无法实现全网漫游。具有合法用户身份的用户 无法在其身份标识所指示的该用户的所属局域网以外的位置接入互联网,即无法实现非本 地用户联网。
发明内容
本发明的目的在于,提供一种访问控制方法和服务器,该访问控制方法和服务器 支持非本地用户联网,能够实现无障碍的全网漫游。根据本发明的第一方面,提供了一种支持IPv4/IPv6双栈接入的中央访问控制方 法,所述方法包括以下步骤接收来自中央登录服务器的、请求联网的漫游用户的全网唯一 身份标识和该漫游用户使用的客户端的IP地址;根据客户端的IP地址,利用地址匹配算 法,确定该IP地址的所属地区;根据IP地址所属地区,获得所属地区的可用本地自由账号, 并将所获得的可用本地自由账号分配给漫游用户,所述本地自由账号是IP地址所属地区中分配的可供漫游用户使用的、能够通过本地网关接入主干网的用户资源;以及向本地网 关转发联网请求,并附带发送所获得的可用本地自由账号信息。从而,非本地用户可以通过访问中央联网服务获得本地联网用户资源(即本地自 由账号)接入主干网,实现了非本地用户联网。根据本发明的第二方面,本发明第一方面的方法还可以包括当从中央登录服务 器接收到对漫游用户请求断网的指示时,执行漫游计费操作,并释放可用本地自由账号。从而,实现了对漫游服务的计费,以及对本地自由账号资源的重用。根据本发明的第三方面,所述中央登录服务器可以是中央认证服务器,并被配置 为在接收到用户的联网请求后,利用漫游用户输入的全网唯一身份标识和用户密码,对漫 游用户进行身份认证;以及对于未通过身份认证的漫游用户,直接发送不允许联网的结果 页面。根据本发明的第四方面,本发明第一至第三方面的中央访问控制方法还可以包 括根据漫游用户的全网唯一身份标识,确定用户所属地区;比较用户所属地区与客户端 IP地址的所属地区;如果用户所属地区与客户端IP地址的所属地区一致,通知所属地区 的本地认证服务器对用户进行身份认证,用户通过身份认证后直接通过本地网关接入主干 网。用户可能不知道自身所处的地区,并选择直接请求中央联网服务,以避免本地联 网不成功再进行中央联网。通过判断用户所属地区与客户端IP地址所属地区一致,可以识 别出本地用户中央联网的用户。对这样的用户提供本地联网服务,不为其分配本地自由账 号,节约漫游资源。根据本发明的第五方面,在本发明第一至第三方面的中央访问控制方法,允许多 个漫游用户同时使用同一本地自由账号连接本地网关。根据本发明的第六方面,可选地,当 一个本地自由账号正在被漫游用户使用时,该本地自由账号不能再被其他漫游用户使用。根据本发明的第七方面,提供了一种支持IPv4/IPv6双栈接入的中央访问控制服 务器,包括接收装置,用于接收来自中央登录服务器的、请求联网的漫游用户的全网唯一 身份标识和该漫游用户使用的客户端的IP地址;所属地区确定装置,用于根据客户端的IP 地址,利用地址匹配算法,确定该IP地址的所属地区;本地自由账号分配装置,用于根据IP 地址所属地区,获得所属地区的可用本地自由账号,并将所获得的可用本地自由账号分配 给漫游用户,所述本地自由账号是IP地址所属地区中分配的可供漫游用户使用的、能够通 过本地网关接入主干网的用户资源;以及联网请求转发装置,用于向本地网关转发联网请 求并附带发送所获得的可用本地自由账号信息。根据本发明的第八方面,本发明第七方面的中央访问控制服务器,还包括本地自 由账号释放装置,用于当从中央登录服务器接收到对漫游用户请求断网的指示时,执行漫 游计费操作,并释放可用本地自由账号。根据本发明的第九方面,本发明第八方面的中央访问控制服务器,还包括漫游用 户所属地区确定装置,用于根据漫游用户的全网唯一身份标识,确定漫游用户所属地区;比 较装置,用于比较用户所属地区与客户端IP地址的所属地区;通知装置,用于在用户所属 地区与客户端IP地址的所属地区一致时,通知所属地区的本地认证服务器对用户进行身 份认证,用户通过身份认证后直接通过本地网关接入主干网。
通过下面结合
本发明的优选实施例,将使本发明的上述以及其他目的、 特征和优点更加清楚,其中图1示出了根据本发明的访问控制方法和服务器所应用的网络环境;
图2示出了根据本发明的非本地用户联网流程图;以及图3是示出了根据本发明的访问控制方法的流程图。
具体实施例方式为了清除详细的阐述本发明的实施过程,下面给出一些本发明的具体实施例。在 具体实施例中,以CERNET2网络为例进行了描述。但所属领域技术人员将理解,本发明不限 于应用于CERNET2网络,还适用于各种采用类似网络结构的现有的、正处于开发和实验阶 段的以及未来的网络,如INTERNET网络、CERNET网络等等。参照附图对本发明的优选实施 例进行详细说明,在描述过程中省略了对本发明来说不必要的细节和功能,以防止对本发 明的理解造成混淆。为说明本发明的访问控制方法和服务器的工作原理,首先参照图1描述根据本发 明的访问控制方法和服务器所应用的网络环境。如图1所示,用户所使用的诸如台式机和 笔记本等接入终端701、702、703、704分别与校园网401和402直接相连,而校园网401和 402分别通过路由器801和802同CERNET2100主干网进行通信连接。本地认证服务器501 和502分别连接至校园网401和402,负责当本地用户在本地联网时对用户进行认证。校园 网401中存在本地网关600,与本地认证服务器501协作,对用户进行认证授权。校园网402 中存在本地网关601,与本地认证服务器502协作,对用户进行认证授权。通过认证的用户 即可接入CERNET2 100。中央认证服务器200与CERNET2 100连接,以直接处理来自校园 网的用户的联网请求,为其提供认证。中央访问控制服务器300与中央认证服务器200和 CERNET2 100相连,用于支持非本地用户接入CERNET2 100,从而实现无障碍的全网漫游。 校园网中也可以不存在本地网关。在这种情况下,当本地用户在本地联网时,可以采用基于 真实源地址的用户认证方式或基于用户身份标识CerID的Kerberos协议认证方式对用户 进行认证。下面结合图2总体说明非本地用户进行联网。假设归属于校园网401的用户希望 用连接至校园网402上的接入终端703接入CERNET2 100。该非本地用户首先使用接入终 端703登录中央认证服务器200,并通过中央认证服务器200提供的认证界面输入用户身份 信息CerID和密码(步骤S210)。中央认证服务器200接收到用户输入的身份信息,同时还 可获知用户所使用的接入终端703的IP地址。中央认证服务器200对非本地用户进行身 份验证(步骤S220),并在验证通过后形成包含用户身份标识CerID和用户所使用的接入 终端的IP地址等的用户信息,将此用户信息传送给中央访问控制服务器300(步骤S230)。 中央访问控制器300执行将于稍后参考图3详细描述的中央访问控制方法(步骤S240)。 接着,中央访问控制服务器300向本地网关转发联网请求(步骤S250),同时附带传入本地 自由账号信息。所述本地自由账号信息至少包括本地自由账号身份标识。在需要对本地 自由账号进行认证的情况下还可以包含认证所需的信息。所述请求包括的参数可以是中央访问控制服务器的认证信息、联网客户端的IP地址信息、联网客户端的MAC地址信息和 联网客户端类型信息。本地网关响应于接收到的联网请求,首先对服务器认证信息进行认 证,确保联网请求的是合法服务器,然后可选地再对本地自由账号信息进行认证,认证通过 后允许漫游用户以本地自由账号身份,利用为本地自由账号预留的端口等资源,接入网络 (步骤S260)。本地网关601向中央访问控制器300发送接入授权(步骤S270)。中央访 问控制器300接收到接入授权后,向中央认证服务器200发送“已联网”的联网状态(步骤 S280)。可选地,中央访问控制器300开始对漫游用户的漫游进行计费。在对漫游计费的情 况下,当用户断网时,对漫游费用进行记录。中央认证服务器200接收到联网状态后,向接 入终端703转发联网状态(步骤S290)。 下面参考图3,详细描述了根据本发明的访问控制方法的流程图。根据本发明的访 问控制方法起始于接收从而获取来自中央认证服务器用户CerID和客户端IP地址(步骤 S320)。接着,中央访问控制器300利用IP地址匹配算法(如对于IPv6地址,常用的最长 前缀匹配算法)进行地址匹配,以获得IP地址所属地区(步骤S330)。为了支持非本地用 户联网,每个校园网402分配一定数量的本地自由账号,非本地用户可以利用这些本地自 由账号连接本地网关,通过本地网关接入CERNET2100。在步骤S330中确定了 IP地址所属 地区后,可以利用本地自由账号分配优先算法获得可用本地自由账号(步骤S340)。最后, 将所获得的可用本地自由账号分配给漫游用户使用(步骤S350)。方法结束。根据本地网络的配置情况,本地自由账号分配优先算法分为允许重复登录和不允 许重复登录两种。对于允许重复登录算法,本地网络允许一个本地自由账号重复登录多 次,首先设定好允许重复登录的次数,漫游用户每使用某本地自由账号登录一次,该本地自 由账号的使用次数加1,用户断网,则该本地自由账号的使用次数减1(即释放本地自由账 号);当使用次数为该本地自由账号的最大次数时,算法自动寻找其他可用本地自由账号, 如果没有可用本地自由账号,则报系统忙。对于不允许重复登录算法,本地网络不允许一个 本地自由账号登录多次。漫游用户使用一个本地自由账号联网,则此本地自由账号的可用 标志变为0,即本地自由账号不可用,当用户断网时,将可用标识置为1,即本地自由账号可 用(即释放本地自由账号)。算法自动寻找可用本地自由账号,如果没有可用本地自由账 号,则报系统忙。优选地,上述中央访问控制方法还包括根据漫游用户的全网唯一身份标识,确定 用户所属地区;比较用户所属地区与客户端IP地址的所属地区;如果用户所属地区与客户 端IP地址的所属地区一致,通知所属地区的本地认证服务器对用户进行身份认证,用户通 过身份认证后直接通过本地网关接入主干网。从而,在用户可能不知道自身所处的地区,并 选择直接请求中央联网服务,以避免本地联网不成功再进行中央联网时,通过判断用户所 属地区与客户端IP地址所属地区一致,可以识别出本地用户中央联网的用户。对这样的用 户提供本地联网服务,不为其分配本地自由账号,节约漫游资源。可以采用面向服务的SOA架构设计,将本发明的中央访问控制方法实现为向外界 提供一个服务,该服务的应用功能通过标准化接口(WSDL —种基于XML的语言,称为TOB 服务描述语言,即WebServices Definition Language)提供,并可基于标准化传输方式 (HTTP和JMS)、采用标准化协议(SOAP)进行调用,这种以SOA结构提供的只是一个服务,因 此该服务可以接受多语言多系统的调用者。例如,使用SIP协议的用户可以登录到在SIP服务器上部署的登录系统,该登录系统继而可以调用本发明的方法,实现漫游。此时,中央认证服务器被SIP服务器取代。采用SOA这种方法构建的分布式应用可以将功能作为服务 组建交付给终端用户,也可以构建其他的服务。实施SOA带来的主要优势有5点(1)S0A 可通过互联网服务器发布,从而突破企业内网的限制;(2) SOA与平台无关,减少了业务应 用实现的限制;(3) SOA具有低耦合性特点,增加和减少业务伙伴对整个业务系统的影响较 低;(4) SOA具有可按模块分阶段进行实施的优势;(5) SOA的实施并不具有成本显著性。由 部署在中央认证服务器上的中央认证系统对该外部接口进行调用。采用本发明的方法和服务器,IPv4原系统的配置方法只需要配置原系统的联网网 关地址和所需参数(如标识联网操作的标志位),能够实现一次配置,无限使用,可以和原 有的认证系统无缝结合。并使用一次一密的方法实现原有系统的安全性要求;所谓一次一 密是指用户使用本地自由账号登录一次,即获得一次安全密码,且该密码只能使用一次,并 且用户只能进行联网操作,不能做其他操作。在本发明中,采用Oralce数据库存储本地自由账号和系统配置信息,本地自由账 号表存储本地可用的本地自由账号及优先级。本发明服务器基于Linux服务器,TOB服务器 采用Tomcat服务器。本发明需要部署在Tomcat服务器上,中央认证服务器上部署了中央 认证系统。其他服务器(如SIP服务器)上部署了调用本发明方法的其他中央登录系统。至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不 脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明 的范围不局限于上述特定实施例,而应由所附权利要求所限定。
权利要求
一种支持IPv4/IPv6双栈接入的中央访问控制方法,包括以下步骤接收来自中央登录服务器的、请求联网的漫游用户的全网唯一身份标识和该漫游用户使用的客户端的IP地址;根据客户端的IP地址,利用地址匹配算法,确定该IP地址的所属地区;根据IP地址所属地区,获得所属地区的可用本地自由账号,所述本地自由账号是IP地址所属地区中分配的可供漫游用户使用的、能够通过本地网关接入主干网的用户资源;以及向本地网关转发联网请求,并附带发送所获得的可用本地自由账号信息。
2.根据权利要求1所述的中央访问控制方法,还包括当从中央登录服务器接收到对漫游用户请求断网的指示时,执行漫游计费操作,并释 放可用本地自由账号。
3.根据权利要求1所述的中央访问控制方法,其中,所述中央登录服务器是中央认证 服务器,被配置为在接收到用户的联网请求后,利用漫游用户输入的全网唯一身份标识和用户密码,对 漫游用户进行身份认证;以及对于未通过身份认证的漫游用户,直接发送不允许联网的结果页面。
4.根据权利要求1至3中任一项所述的中央访问控制方法,还包括根据漫游用户的全网唯一身份标识,确定用户所属地区;比较用户所属地区与客户端IP地址的所属地区;如果用户所属地区与客户端IP地址的所属地区一致,通知所属地区的本地认证服务 器对用户进行身份认证,用户通过身份认证后直接通过本地网关接入主干网。
5.根据权利要求1至3中任一项所述的中央访问控制方法,其中,允许多个漫游用户同 时使用同一本地自由账号连接本地网关。
6.根据权利要求1至3中任一项所述的中央访问控制方法,其中,当一个本地自由账号 正在被漫游用户使用时,该本地自由账号不能再被其他漫游用户使用。
7.一种支持IPv4/IPv6双栈接入的中央访问控制服务器,包括接收装置,用于接收来自中央登录服务器的、请求联网的漫游用户的全网唯一身份标 识和该漫游用户使用的客户端的IP地址;所属地区确定装置,用于根据客户端的IP地址,利用地址匹配算法,确定该IP地址的 所属地区;本地自由账号分配装置,用于根据IP地址所属地区,获得所属地区的可用本地自由账 号,并将所获得的可用本地自由账号分配给漫游用户,所述本地自由账号是IP地址所属地 区中分配的可供漫游用户使用的、能够通过本地网关接入主干网的用户资源;以及联网请求转发装置,用于向本地网关转发联网请求,并附带发送所获得的可用本地自 由账号信息。
8.根据权利要求7所述的中央访问控制服务器,还包括本地自由账号释放装置,用于当从中央登录服务器接收到对漫游用户请求断网的指示 时,执行漫游计费操作,并释放可用本地自由账号。
9.根据权利要求8所述的中央访问控制服务器,还包括漫游用户所属地区确定装置,用于根据漫游用户的全网唯一身份标识,确定漫游用户 所属地区;比较装置,用于比较用户所属地区与客户端IP地址的所属地区; 通知装置,用于在用户所属地区与客户端IP地址的所属地区一致时,通知所属地区 的本地认证服务器对用户进行身份认证,用户通过身份认证后直接通过本地网关接入主干 网。
全文摘要
本发明涉及一种支持IPv4/IPv6双栈接入的中央访问控制方法和中央访问控制服务器,包括以下步骤接收来自中央登录服务器的、请求联网的漫游用户的全网唯一身份标识和该漫游用户使用的客户端的IP地址;根据客户端的IP地址,利用地址匹配算法,确定该IP地址的所属地区;根据IP地址所属地区,获得所属地区的可用本地自由账号,并将所获得的可用本地自由账号分配给漫游用户,所述本地自由账号是IP地址所属地区中分配的可供漫游用户使用的、能够通过本地网关接入主干网的用户资源。
文档编号H04L29/12GK101873330SQ20101021291
公开日2010年10月27日 申请日期2010年6月30日 优先权日2010年6月30日
发明者吴建平, 彭秀菊, 李威, 李星, 黄友俊 申请人:赛尔网络有限公司