一种互联网用户访问权限的控制方法及系统的制作方法

专利名称：一种互联网用户访问权限的控制方法及系统的制作方法
技术领域：
本发明涉及计算机数据通信领域，尤其涉及一种互联网用户访问权限的控制方法及系统。
背景技术：
在宽带网络中，如果用户终端发出网络接入请求，网络中负责IP地址分配的服务器会为该发出网络接入请求的用户终端分配一个互联网(IP)地址，以便用户终端可以接入网络。目前宽带网络中的参与用户终端网络接入的服务器都是采用标准的DHCP协议的 DHCPv6 服务器和 DHCPv6 中继服务器。DHCPv6 (Dynamic Host Configuration Protocol Version 6，动态主机分配协议版本6)是一种动态分配IPv6地址的协议，广泛应用于各种 IPv6网络中。在用户终端进行网络接入时，首先由用户终端向DHCPv6中继服务器发出DHCP 请求报文申请接入网络，DHCPvB中继服务器接到该请求报文后，将其中转给DHCPv6服务器，DHCPv6服务器收到用户终端的DHCP请求报文后，把分配给用户终端的IP地址等网络初始化信息及自己的IP地址记载在DHCP响应报文中，发给DHCPv6中继服务器，再由DHCPv6 中继服务器将收到的DHCPv6服务器的DHCP响应报文中转给用户终端，用户终端获得IP地址，从而该用户终端接入网络。由于DHCPv6本身没有严格的安全认证机制，在不安全的网络环境下会出现因IPv6地址欺骗、MAC地址欺骗、恶意分配IPv6地址以致IPv6资源匮乏等问题，为了解决上述问题，现有技术中规定了中继代理信息选项，即Option 38，Option 38并没有一个确定的内容和格式，常规写法是“接入VLAN ID+接入端口 ID+交换机标识”， 通过这几个信息组成的字符串可以唯一确定用户接入的物理位置。用户终端发出的DHCPv6 地址请求报文在通过接入交换机时，接入交换机会在DHCP选项中添加VLAN(Virtual Local Area Network,虚拟局域网标识)ID、交换机端口号等信息，并发给DHCPv6服务器，这样 DHCP服务器就可以通过VLANID、交换机端口号等信息和用户信息关联。一般管理员在DHCPv6 Server上配置基于Option 38的地址分配策略。DHCPv6 Server根据DHCPv6请求中的Option 38信息来判断当前请求是否匹配相应策略而分配不同的地址，然后将从用户的DHCPv6报文中获取的Option 38与预设的数据库中内容进行比对，若有匹配的字符串则认为用户接入合法并分配IPv6地址。同时，为了防止用户非法接入网络，一般在接入网络中采用802. Ix认证。802. Ix是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-Based Network Access Control)而定义的一个标准，该标准目前已经在无线局域网和以太网中被广泛应用。PC用户终端安装802. Ix认证客户端，用户终端通过认证后即可以合法的接入网络，访问各种资源。目前的802. Ix认证存在这样的缺陷，用户终端在认证前无法访问任何资源，通过认证后又可以访问所有资源，这就造成对互联网用户访问权限的控制只有完全不能访问和全部可以访问这两种状态，而这种访问权限力度太粗，无法实现用户权限的精细化控制。因此，本发明提出一种互联网用户访问权限的控制方法及系统。

发明内容
为克服现有技术中存在的缺陷和不足，本发明提出一种互联网用户访问权限的控制方法及系统，基于DHCPv6 Option 38利用两次IP获取来调整互联网用户的访问权限，避免了非法用户终端接入网络，同时实现了对合法终端用户通过认证后权限的精细化控制。本发明公开了一种互联网用户访问权限的控制方法，所述方法包括如下步骤Si.用户终端发送DHCPv6请求，中继单元在DHCPv6请求中附加Option 38后中转到DHCPv6服务器；S2. DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 服务器分配一次IPv6地址，用户终端获得第一次IPv6地址；S3.认证单元对用户终端的认证请求进行认证，如通过认证，用户终端再次发送 DHCPv6请求，中继单元对DHCPv6请求附加认证后的Option 38信息中转给DHCPv6服务器；S4. DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 服务器分配二次IPv6地址，用户终端获得第二次IPv6地址；S5.用户终端根据两次IPv6地址访问网络。进一步地，所述步骤Sl中Option 38为缺省设置，包括用户的未认证状态加上接入层交换机的CPU MAC地址。进一步地，所述步骤Sl中通过中继单元的Snooping模块在DHCPv6请求中附加缺省设置的Option 38。进一步地，所述步骤Sl中中继单元接到用户的DHCPv6请求后，在802. Ix认证表项里查询DHCPv6请求的源MAC是否通过认证，如果用户未通过认证，中继单元附加未通过认证标识的0ption38到DHCPv6请求尾部；如果用户已经通过认证，则附加已认证Option 38到DHCPv6请求尾部。进一步地，所述步骤S2中与DHCPv6服务器中预存的信息匹配过程具体为在 DHCPv6服务中配置有多个Option 38，每个不同的Option 38内容下配置相应的地址池，如果用户终端的DHCPv6请求中Option 38内容与DHCP服务器上其中一个Option 38匹配， 则从相应的地址池中分配IP给DHCPv6请求。进一步地，所述步骤S2中第一次IPv6地址由中继单元对返回的DHCPv6响应剥离并保存其中的Option 38信息然后转发给用户终端。进一步地，步骤S3中认证单元对用户终端的802. Ix认证请求进行认证，如通过认证，认证后的Option 38内容由认证服务器通过报文下发给中继单元；用户终端再次发送 DHCPv6请求，中继单元的DHCPv6 Snooping模块将保存的认证后的Option 38信息添加到 DHCPv6 请求的 Option 38 中。进一步地，步骤S3中用户终端通过认证后，中继单元将第一次IPv6地址和MAC地址绑定在接入交换机端口上，DHCPv6 Snooping模块在获得DHCPv6 REPLY包后更新用户访问所有资源的IPv6地址和ND的ACL表项。进一步地，所述步骤S5中用户终端根据两次IPv6地址，通过汇聚层交换机配置的访问权限访问网络，其中，汇聚交换机中利用硬件ACL表项配置两次IPv6地址网段的访问权限。
本发明还公开一种互联网用户访问权限的控制系统，所述系统包括收发单元、中继单元、匹配单元和认证单元，其中，用户终端通过收发单元向DHCPv6服务器发送DHCPv6 请求，并接收DHCPv6服务器返回的DHCPv6响应；中继单元对DHCPv6请求附加Option 38信息后中转到DHCPv6服务器，并将DHCP服务器返回的DHCPv6响应中转给用户终端；匹配单元对DHCPv6服务器接收到的Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 服务器分配IPv6地址给用户终端；认证单元对用户终端的认证请求进行认证，用户终端根据认证后的IPv6地址通过汇聚层交换机配置的访问权限访问网络。进一步地，所述中继单元包括Snooping模块，用于在DHCPv6请求中附加Option 38 fp 息 ο进一步地，所述Option 38在用户终端通过认证前的内容为用户的未认证状态加上交换机的CPU MAC，用户终端通过认证后，Option 38的内容为由Radius服务器通过报文下发的Option 38信息。本发明通过在用户终端的DHCPv6请求中附加不同的Option 38信息，由DHCPv6 服务器对DHCPv6请求进行响应并认证，用户终端在认证前后获得不同的IPv6地址，根据汇聚层交换机配置的访问权限访问网络。本发明利用DHCPv6的方便，加上802. Ix的安全认证机制，提供了一种安全方便的接入方法，同时实现互联网用户访问权限的精细化控制。


图1为本发明互联网用户访问权限的控制方法流程图；图2为本发明互联网用户访问权限的控制系统原理框图；图3(a)为本发明互联网用户访问权限的控制系统的一具体实施例的系统结构框图；图3(b)为本发明互联网用户访问权限的控制方法的一具体实施例的方法流程图。
具体实施例方式为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以详细说明。本发明的技术原理本发明利用DHCPv6 Snooping模块在监听用户终端DHCP v6 请求时附加Option 38信息，当用户终端在获取地址成功并且认证通过后，由Radius服务器通过报文下发该用户的Option 38认证信息，用户终端认证成功后，802. Ix模块重新申请一次地址，DHCPv6 Snooping模块在DHCPv6请求中附加认证后的Option 38信息，DHCPv6 服务器根据认证后的Option 38信息给用户分配另一个地址，通过汇聚层交换机上配置有硬件ACL表项，限制了不同源IPv6地址用户能够访问的资源，从而实现认证前后用户终端的访问权限控制。参见图1，为本发明互联网用户访问权限的控制方法，该方法具体步骤为Si.用户终端发送DHCPv6请求，中继单元在DHCPv6请求中附加Option 38后中转到DHCPv6服务器。用户终端经收发单元向DHCPv6服务器发送DHCPv6请求，中继单元的接入层交换机的Snooping模块对DHCPv6请求附加缺省设置的Option 38，然后由汇聚层交换机将 DHCPv6请求中转到DHCPv6服务器。其中，接入层交换机的DHCPv6 Snooping模块对DHCP请求附加的缺省设置的 Option 38是用户的未认证状态加上接入层交换机的CPU MAC地址。MAC (Medium/Media Access Control)地址，或称为MAC位址、硬件地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC位址。一个网卡会有一个全球唯一固定的MAC地址，但可对应多个IP地址。接入层交换机的DHCPv6 Snooping模块接到用户的DHCPv6请求后，在802. Ix认证表项里查询DHCPv6请求的源MAC是否通过认证，如果用户未通过认证，接入交换机附加未通过认证标识的Option 38到DHCPv6请求尾部，对DHCPv6请求其它部分不作修改而传送到汇聚交换机。如果用户已经通过认证，则取出已认证Option 38放到DHCPv6请求尾部
交给汇聚交换机。DHCPv6 Snooping模块通过对用户终端和服务器之间的DHCP交互报文进行窥探， 实现对用户的监控，同时DHCPv6 Snooping模块还起到一个对DHCP报文过滤的作用，通过合理的配置实现对非法服务器的过滤。Snooping模块对设备进行DHCP窥探的同时把用户终端的相关信息已DHCP option的方式加入到DHCP请求报文中，本技术方案中所使用的 option选项功能号为38，通过0pti0n38上传的内容，服务器可以获得更多的用户信息，从而更准确的给用户分配IP。S2. DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 服务器分配一次IPv6地址，用户终端获得第一次IPv6地址。DHCPv6服务器将接收到的DHCPv6请求的Option 38信息与DHCPv6服务器中预存的信息进行匹配，对匹配成功的DHCPv6请求，DHCPv6服务器分配一次IPv6地址，并将第一次IPv6地址加入到DHCPv6响应返回给中继单元，中继单元接到返回的DHCPv6响应后，剥离并保存其中的Option 38信息然后转发给用户终端，用户终端获得第一次IPv6地址。与DHCPv6服务器中预存的信息匹配过程为在DHCPv6服务中配置有多个Option 38，每个不同的Option 38内容下配置相应的地址池，如果用户终端的DHCPv6请求中 Option 38内容匹配DHCPv6服务器上其中一个Option 38，则从相应的地址池中分配IP给 DHCPv6请求，该地址被加入到DHCPv6回应中并通过汇聚层交换机下发给接入层交换机，接入层交换机接到返回的DHCPv6请求后，剥离并保存其中的Option 38信息然后转发给用户终端，否则驳回该DHCPv6请求。S3.认证单元对用户终端的认证请求进行认证，如通过认证，用户终端再次发送 DHCPv6请求，中继单元对DHCPv6请求附加认证后的Option 38信息中转给DHCPv6服务器。认证单元对用户终端的802. Ix认证请求进行认证，如通过802. Ix认证，认证后的 Option 38内容由认证服务器(Radius服务器)利用Access-Accept报文的沈属性下发给中继单元。Access-Accept认证接受包，由Radius服务器下发给用户终端，如果 Access-Accept中所有Attribute (属性域)值都是可以接受(即认证通过)，则传输该类型报文。RADIUS是一种用于在需要认证其链接的网络访问服务器(NAQ和共享认证服务器之间进行认证、授权和记帐信息的文档协议，RADIUS使用UDP作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，有较好的可靠性。用户终端通过802. Ix认证，用户终端的802. Ix模块向DHCPv6服务器再发送一次 DHCPv6请求，接入交换机的DHCPv6 Snooping模块会将保存的认证后的Option 38信息添加到此次的DHCPv6请求的Option 38中。接入交换机将一次IP请求成功后的DHCPv6回应中的IPv6地址和MAC地址绑定在接入交换机端口上，以防止ND欺骗，DHCPv6 Snooping模块在获得DHCPv6REPLY包后更新用户访问所有资源的IPv6地址和ND的ACL表项。ND (Neighbor Discovery,邻居发现)协议是IPv6的一种基础协议，利用NA、NS、 RA、RS和重定向五种类型的CMPv6消息，实现网络节点路由器发现与自动配置、重复地址探测、链路层地址解析、邻居可达性探测、链路层地址改变通告和路由重定向操作。ACL(Access Control List，访问控制列表)根据数据包的包头信息(源地址、目的地址、源端口、目的端口、协议等)来控制路由器应该允许还是拒绝数据包的通过，从而实现访问控制的目的。S4. DHCPv6服务器对OPTION 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 响应附加第二次IPv6地址返回给中继单元，用户终端获得第二次IPv6地址。用户终端的802. Ix认证成功后，DHCPv6服务器将接收到的DHCPv6请求中的 Option 38信息与DHCPv6服务器中预存的信息进行对比，如果找到相应的信息，则DHCPv6 服务器分配一个二次IPv6地址给用户终端；否则驳回此次DHCPv6请求，用户终端仅能使用一次IPv6地址访问网络。DHCP服务器分配的二次IPv6地址所依据的DHCPv6请求中的 Option 38内容由Radius服务器利用Access-Accept报文的沈属性下发给用户终端。如果没有匹配预设的认证用户的地址池，根据DHCPv6服务器的配置(DHCP服务器可设置一个缺省的地址池)可能会分配一个缺省配置的IPv6，但这个IP就不是用户终端需要的IP 了。当用户未通过二次认证时只能采用一次IPv6地址进行网络访问，而此访问则是受汇聚交换机设定的访问权限的限制。S5.用户终端根据两次IPv6地址访问网络。用户终端根据认证前后不同的IPv6地址通过汇聚层交换机配置的访问权限访问网络。汇聚交换机中利用硬件ACL表项配置了两次IPv6地址网段的访问权限，在用户终端利用两次IPv6地址访问时，汇聚交换机根据两次IPv6地址对应的硬件ACL表项中此两次 IPv6地址所限制的网段控制用户终端的访问权限。本发明通常应用于用户使用DHCPv6方式获取地址的环境中，需要支持基于 Option 38进行地址分配策略的DHCPv6服务器。现有技术中DHCPv6请求中的Option 38 选项一般由DHCPv6中继代理在中继DHCPv6请求时附加。本发明扩展了这一功能，允许接入交换机的DHCPv6 Snooping模块在监听DHCPv6请求时附加Option 38信息，用户在获取 IPv6地址之前处于受控状态，只能访问DHCPv6服务器，用户在获取IPv6地址之后处于安全状态，此时接入交换机转发该用户的IPv6和ND报文，由于用户在认证前后能够获得不同地址，在汇聚交换机上配置硬件ACL表项限制不同源IPV6地址用户能够访问的资源，从而实现认证前后用户终端的访问权限控制。参见图2，为本发明互联网用户访问权限的控制系统结构框图。所述系统包括收发单元、中继单元、匹配单元和认证单元，其中，收发单元用于用户终端向DHCPv6服务器发送DHCPv6请求，并接收DHCPv6服务器返回的DHCPv6响应；中继单元用于接入层交换机对DHCPv6请求附加缺省设置的Option 38信息，然后由汇聚层交换机将DHCPv6请求中转到DHCPv6服务器，并将DHCPv6服务器返回的DHCPv6响应中转给用户终端；匹配单元用于 DHCPv6服务器将接收到的DHCPv6请求的Option 38信息与DHCPv6服务器中预存的信息进行匹配，对匹配成功的DHCPv6请求分配IPv6地址，并将IPv6地址加入到DHCPv6响应返回给中继单元；认证单元对用户终端的802. Ix认证请求进行认证，用户终端根据认证后的 IPv6地址通过汇聚层交换机配置的访问权限访问网络。其中，接入层交换机包括Snooping模块，用于在DHCPv6请求中附加缺省设置的 Option 38信息。所述Option 38包括用户的未认证状态加上接入层交换机的CPU MAC地址。所述认证单元包括802. Ix模块，用于对用户的802. 1认证请求进行认证，如802. Ix认证通过后，DHCPv6请求中的Option 38内容由Radius服务器利用Access-Accept报文的 26属性下发给用户终端。结合图3(a)、图3(b)以具体的实施例进行说明。图3 (a)中所述互联网用户访问权限的控制系统包括DHCPv6服务器、汇聚层交换机、接入层交换机、认证服务器和用户终端，其中，用户终端通过接入交换机连入网络，汇聚交换机收集接入交换机的信息向DHCPv6服务器转发，而Radius服务器对用户终端通过汇聚交换机传来的DHCPv6请求进行验证。其中一、汇聚交换机1、支持DHCPv6中继代理；2、配置 ACL:ACLl :permit ipl/maksl dstl/maskl ；ACL2 :permit ip2/mask2 dst2/m￡isk2。二、接入交换机1、全局启动 802. Ix ；2、端口使能dotlx，使用基于DHCPv6 0ption38的接入控制方式；3、启动 DHCPv6 Snooping ；4、启动 DHCPv6 Snooping 绑定功能；5、启用 DHCPv6 Snooping 添加 0ption38 功能。三、用户终端(DHCPv6Client)1、安装DCN802. Ix用户终端。具体的方法步骤如图3(b)步骤101 用户终端的系统自带的DHCPv6 Client模块向接入交换机发送DHCPv6 请求，接入交换机的DHCPv6 Snooping模块在DHCP请求中附加缺省设置的Option 38信息， 然后通过汇聚交换机向DHCPv6服务器转送DHCPv6请求。全局启动802. lx，接入交换机的端口使能，接入交换机基于DHCPv6 0ption38的接入控制方式设置硬件ACL表项，此时经过接入交换机的所有报文都不能转发，仅能向汇聚交换机转送DHCPv6请求；在启动接入交换机的DHCPveSnooping模块后，用户终端的 DHCPv6报文重定向到接入交换机的CPU，这样用户终端在获取认证IPv6地址之前，除了能向DHCPv6服务器发送DHCPv6请求外，不能访问其他资源。
汇聚交换机的DHCPv6中继模块收到来自接入交换机的DHCPv6请求后，只负责把 DHCP数据包中继给DHCPv6服务器，汇聚交换机不能启用DHCPv6 Relay Option 38功能。 DHCPv6 Relay是一种网络设备，用于在DHCP用户终端和DHCP服务器之间跨网段转发DHCP 消息，此时，DHCPv6 Relay不可用。设定Option 38选项为用户的未认证状态加上接入交换机的CPU MAC地址，默认值由网管人员设定，例如DHCPv6 Snooping模块在Option 38填入字符串”unauth”和交换机的CPU MAC。步骤102 :DHCPv6服务器将接收到的DHCPv6请求的Option 38信息与DHCPv6服务器中预存的信息进行匹配，如果找到相应的信息，则DHCPv6服务器将其中的地址作为一次 IPv6地址加入到DHCPv6回应中并通过汇聚交换机下发给接入交换机，否则驳回该DHCPv6请求。其中，在DHCPv6服务器中查找相应信息的步骤为在DHCPv6服务中配置有多个 Option 38，每个不同的Option 38内容下配置相应的地址池，如果用户终端的DHCPv6请求中Option 38内容匹配DHCPv6服务器上其中一个0ption38，则从相应的地址池中分配IP 给DHCPv6请求，如果没有匹配任一个地址池，则会驳回请求。步骤103 接入交换机接到返回的DHCPv6响应后转发给用户终端，用户终端获得第一次IPv6地址，用户终端进行802. Ix认证，如果通过认证，用户终端的802. Ix模块向 DHCPv6服务器再发送一次DHCPv6请求，此次的DHCPv6请求附加有认证后的Option 38信
肩、ο接入交换机接到返回的DHCPv6响应后，剥离并保存其中的Option 38信息然后转发给用户终端，用户终端进行802. Ix认证，如果通过认证，用户终端的802. Ix模块再次发送DHCPv6请求时，接入交换机的DHCP Snooping模块会将保存的认证后的Option 38信息添加到此次的DHCPv6请求的Option 38中。该认证后的Option 38内容由!Radius服务器利用!Radius Access-Accept报文的 26属性(厂商属性)下发给接入交换机，接入交换机会保存该认证用户的Option 38选项。接入交换机端口配置基于DHCPv6 Option 38的接入控制模式后，DHCPv6请求一旦成功，用户终端不需要认证(包括认证后)就能够访问全网资源，此时将认证后的IPv6 地址和MAC地址绑定在接入交换机端口上，以防止ND欺骗。DHCPv6 Snooping模块在获得 DHCPv6请求后更新用户访问所有资源的IPv6地址和ND的硬件ACL表项。步骤104 用户终端的802. Ix认证成功后，DHCPv6服务器将接收到的DHCPv6请求中的Option 38信息与DHCPv6服务器中预存的信息进行对比，如果找到相应的信息，则 DHCPv6服务器分配一个二次IPv6地址给用户终端；否则驳回此次DHCPv6请求，用户终端仅能使用一次IPv6地址访问网络。如果没有匹配预设的认证用户的地址池，根据DHCPv6服务器的配置(DHCP服务器可设置一个缺省的地址池)可能会分配一个缺省配置的IPv6，但这个IP就不是用户终端需要的IP 了。当用户未通过二次认证时只能采用一次IPv6地址进行网络访问，而此访问则是受汇聚交换机设定的访问权限的限制。步骤105 用户终端利用两次IPv6地址通过汇聚交换机配置的访问权限访问网
此时在汇聚交换机中利用硬件ACL表项配置了两次IPv6地址网段的访问权限，在用户终端利用两次IPv6地址访问时，汇聚交换机根据两次IPv6地址对应的硬件ACL表项中此两次IPv6地址所限制的网段控制用户终端的访问权限。接入交换机的DHCPv6 Snooping模块接到用户的DHCPv6请求后，在802. Ix认证用户表项里查询DHCPv6请求的源MAC是否通过认证，如果用户未通过认证，接入交换机附加未通过认证标识的Option 38到DHCPv6请求尾部，对DHCPv6请求其它部分不作修改而传送到汇聚交换机的DHCPv6中继代理；如果用户已经通过认证，则取出已认证Option 38放到DHCPv6请求尾部交给汇聚交换机DHCPv6中继代理。由网管人员配置汇聚交换机中每个IPv6地址段的硬件ACL表项，以限制不同网段的IPv6地址的访问权限，进而实现用户终端在通过认证前后获取不同的访问权限。本方法的工作流程如下用户终端向DHCPv6服务器发送DHCP请求，接入交换机的 DHCPv6 Snooping模块截获用户的DHCP请求后，查询DHCPv6请求报文的源MAC是否通过认证，如果用户未通过认证，交换机附加标识未通过认证的Option 38选项(指示未认证状态加上接入交换机的MAC地址)到DHCPv6请求报文尾部，对DHCPv6请求报文其它部分不作修改交给汇聚交换机DHCPv6中继代理。如果用户已经通过802. Ix认证，则取出Radius服务器通过RadiusAccess-Acc印t报文的沈属性下发的已认证Option 38选项放到DHCPv6 请求报文尾部交给汇聚交换机DHCPv6中继代理，DHCPv6服务器收到DHCPv6请求后，根据预先配置的Option 38内容从对应的地址池中分配IP，例如Option 38为” unauth”，预设的地址池是IP1/MASK1，接入交换机的DHCPv6 Snooping接到回复的DHCPv6回应后，提取其中的IP、MAC和端口信息发送给802. Ix模块，DHCPv6 Snooping模块转发该DHCPv6回应到用户终端，第一次获取IP的用户即可通过汇聚交换机的硬件ACL表项进行过滤转发，此时接入交换机虽然已经允许该用户的流量通过汇聚交换机，但流量经过汇聚交换机时其IPv6 地址要受硬件ACL表项的限制，即只能访问IP1/MASK1能访问的网段。如果想访问全网段， 只有通过再次IP获取才能获得全网段通行的权限。第一次用户认证成功后，接入交换机会保存通过Radius服务器的Radius Access-Accept 报文的 26 属性(即 vendor-type 为 2 的 vendor 属性携带 0ption38 选项) 下发Option 38选项，用户终端的802. Ix模块会再次主动发起DHCPv6请求，接入交换机的DHCPv6 Snooping模块收到该DHCPv6请求并查询到该用户已经认证后，会附加已经通过认证的Option 38选项到DHCPv6请求尾部，然后传给汇聚交换机中继给DHCPv6服务器， DHCPv6服务器对DHCPv6请求中的Option 38匹配预设的地址池，如果未匹配，DHCPv6服务器驳回此次DHCPv6请求；如果匹配则由DHCPv6服务器根据新的Option 38选项为DHCPv6 请求分配另一个IP2/MASK2网段中的IPv6地址，然后将DHCPv6请求通过汇聚交换机传送给接入交换机，接入交换机的DHCP Snooping模块截获到DHCPv6请求后，提取里面的IP、 MAC和端口信息发送给802. Ix模块(802. Ix控制着每个IP所对应的权限表)，802. Ix模块下发用户可访问所有资源的硬件ACL表项，此时接入交换机虽然已经允许该用户的流量通过汇聚交换机，但流量经过汇聚交换机时其IPv6地址要受硬件ACL表项的限制，比如汇聚交换机ACL这时允许属于网段IP2/MASK2的IP地址可访问外网，也可访问内网。本发明通过用户终端向DHCPv6申请IP时，在DHCPv6请求中附加不同的Option38信息，DHCPv6服务器返回一次IPv6地址，该地址由认证单元认证，用户终端认证后， Option 38的内容由Radius服务器下发，该技术方案完全可以在后台为不同用户分配不同的Option 38信息。同时，管理员在DHCPv6服务器端配置基于Option 38的地址分配策略， 用户终端在认证前后将获得不同的IPv6地址，这个IPv6地址是经过802. Ix认证和DHCPv6 服务器共同确认的，客户端根据IPv6地址通过汇聚层交换机配置的访问权限访问网络。
有益效果，实施本发明的一种互联网用户权限访问的控制方法及系统，既利用了 DHCPv6的方便，又利用了 802. Ix的安全认证机制，提供了一种安全方便的接入方法，同时实现用户终端访问权限的精细化控制。
权利要求
1.一种互联网用户访问权限的控制方法，所述方法基于DHCPv6 Option 38来调整互联网用户的访问权限，其特征在于，所述方法包括如下步骤51.用户终端发送DHCPV6请求，中继单元在DHCPV6请求中附加Option38后中转到 DHCPv6服务器；52.DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6服务器分配一次IPv6地址，用户终端获得第一次IPv6地址；53.认证单元对用户终端的认证请求进行认证，如通过认证，用户终端再次发送 DHCPv6请求，中继单元对DHCPv6请求附加认证后的Option 38信息中转给DHCPv6服务器；54.DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6服务器分配二次IPv6地址，用户终端获得第二次IPv6地址；55.用户终端根据两次IPv6地址访问网络。
2.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，所述步骤Sl 中Option 38为缺省设置，包括用户的未认证状态加上接入层交换机的CPU MAC地址。
3.根据权利要求2所述的互联网用户访问权限的控制方法，其特征在于，所述步骤Sl 中通过中继单元的Snooping模块在DHCPv6请求中附加缺省设置的Option 38。
4.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，所述步骤Sl 中中继单元接到用户的DHCPv6请求后，在802. Ix认证表项里查询DHCPv6请求的源MAC是否通过认证，如果用户未通过认证，中继单元附加未通过认证标识的0ption38到DHCPv6请求尾部；如果用户已经通过认证，则附加已认证0ption38到DHCPv6请求尾部。
5.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，所述步骤S2 中与DHCPv6服务器中预存的信息匹配过程具体为在DHCPv6服务中配置有多个Option 38， 每个不同的Option 38内容下配置相应的地址池，如果用户终端的DHCPv6请求中Option 38内容与DHCP服务器上其中一个Option 38匹配，则从相应的地址池中分配IP给DHCPv6 请求。
6.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，所述步骤S2 中第一次IPv6地址由中继单元对返回的DHCPv6响应剥离并保存其中的Option 38信息然后转发给用户终端。
7.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，步骤S3中认证单元对用户终端的802. Ix认证请求进行认证，如通过认证，认证后的Option 38内容由认证服务器通过报文下发给中继单元；用户终端再次发送DHCPv6请求，中继单元的DHCPv6 Snooping模块将保存的认证后的Option 38信息添加到DHCPv6请求的Option 38中。
8.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，步骤S3中用户终端通过认证后，中继单元将第一次IPv6地址和MAC地址绑定在接入交换机端口上， DHCPv6 Snooping模块在获得DHCPv6 REPLY包后更新用户访问所有资源的IPv6地址和ND 的ACL表项。
9.根据权利要求1所述的互联网用户访问权限的控制方法，其特征在于，所述步骤S5 中用户终端根据两次IPv6地址，通过汇聚层交换机配置的访问权限访问网络，其中，汇聚交换机中利用硬件ACL表项配置两次IPv6地址网段的访问权限。
10.一种互联网用户访问权限的控制系统，其特征在于，所述系统包括收发单元、中继单元、匹配单元和认证单元，其中，用户终端通过收发单元向DHCPv6服务器发送DHCPv6请求，并接收DHCPv6服务器返回的DHCPv6响应；中继单元对DHCPv6请求附加Option 38信息后中转到DHCPv6服务器，并将DHCP服务器返回的DHCPv6响应中转给用户终端；匹配单元对DHCPv6服务器接收到的Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6 服务器分配IPv6地址给用户终端；认证单元对用户终端的认证请求进行认证，用户终端根据认证后的IPv6地址通过汇聚层交换机配置的访问权限访问网络。
11.根据权利要求9所述的互联网用户访问权限的控制系统，其特征在于，所述中继单元包括Snooping模块，用于在DHCPv6请求中附加Option 38信息。
12.根据权利要求9所述的互联网用户访问权限的控制系统，其特征在于，所述Option 38在用户终端通过认证前的内容为用户的未认证状态加上交换机的CPU MAC，用户终端通过认证后，Option 38的内容为由Radius服务器通过报文下发的Option 38信息。
全文摘要
本发明公开了一种互联网用户访问权限的控制方法及系统，通过用户终端向DHCPv6服务器申请IP时，根据用户的802.1x认证状态在DHCPv6请求中附加不同的Option 38信息，DHCPv6服务器对Option 38信息进行匹配后分配IPv6地址，用户终端根据认证前后获得的不同IPv6地址通过汇聚层交换机配置的访问权限访问网络。本发明利用了DHCPv6的方便，又利用了802.1x的安全认证机制，避免了非法用户终端接入网络，同时实现了对合法终端用户通过认证后权限的精细化控制。
文档编号H04L29/06GK102404346SQ201110444768
公开日2012年4月4日 申请日期2011年12月27日 优先权日2011年12月27日
发明者梁小冰 申请人:神州数码网络(北京)有限公司