专利名称:一种Portal认证方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种Portal认证方法和设备。
背景技术:
为了解决IPv4地址紧缺问题,各大运营商都在加快部署IPv4/IPv6双栈技术,基于此,终端设备已经支持IPv4/IPv6双栈技术,即终端设备可以使用IPv4地址访问IPv4网络,并使用IPv6地址访问IPv6网络。为保证网络访问安全性,在当前IP网络(IPv4/IPv6网络)中,终端设备普遍采用Portal认证方式;具体的,终端设备通过在IE地址栏中输入任意互联网的URL (UniformResource Locator,统一资源定位符),向接入设备发送 HTTP (Hyper Text TransferProtocol,超文本传输协议)访问请求;之后接入设备将该HTTP访问请求重定向到Portal服务器上进行IPv4地址的Portal认证;在Portal认证通过后,将允许终端设备使用IPv4地址访问IPv4网络。在上述Portal认证方式中,只会对终端设备进行IPv4地址的Portal认证,而无法对终端设备进行IPv6地址的Portal认证,存在网络访问安全隐患。
发明内容
本发明提供一种Portal认证方法和设备,以对终端设备进行IPv6地址的Portal认证,从而避免存在网络访问安全隐患。为了达到上述目的,本发明提供一种Portal认证方法,应用于包括接入设备、终端设备和Portal服务器的网 络中,该方法包括以下步骤:在所述终端设备Portal认证通过之前,所述接入设备在接收到来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,将所述Portal服务器的IPv6地址发送给所述终端设备,由所述终端设备利用自身的IPv6地址到所述Portal服务器进行IPv6地址的Portal认证;在所述终端设备通过Portal认证后,所述接入设备确定所述终端设备对应的IPv4地址和IPv6地址,并同时打开所述终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许所述终端设备以所述IPv4地址或者IPv6地址访问网络。所述接入设备将所述Portal服务器的IPv6地址发送给所述终端设备,具体包括:所述接入设备在本设备配置有强制终端设备进行IPv6地址的Portal认证的功能时,将所述Portal服务器的IPv6地址发送给所述终端设备。所述接入设备确定所述终端设备对应的IPv4地址和IPv6地址,具体包括: 在所述Portal服务器对所述终端设备进行IPv6地址的Portal认证过程中,所述接入设备获得所述终端设备对应的IPv6地址;所述接入设备利用所述终端设备对应的IPv6地址查询邻居发现ND表项,得到所述终端设备对应的介质访问控制MAC地址;
所述接入设备利用所述终端设备对应的MAC地址查询地址解析协议ARP表项,得到所述终端设备对应的IPv4地址。所述方法还包括:在所述终端设备访问网络的过程中,所述接入设备在获知所述终端设备对应的IPv4地址发生变化时,关闭所述终端设备对应的变化前的IPv4地址的网络访问权限,打开所述终端设备对应的变化后的IPv4地址的网络访问权限。所述方法还包括:在所述终端设备访问网络的过程中,所述接入设备在获知所述终端设备对应的IPv4地址发生变化时,在计费更新报文和计费结束报文中携带所述终端设备对应的IPv6地址以及变化后的IPv4地址。本发明提供一种接入设备,应用于包括所述接入设备、终端设备和Portal服务器的网络中,所述接入设备包括:
接收模块,用于接收来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求;发送模块,用于在所述终端设备Portal认证通过之前,当接收到来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,将所述Portal服务器的IPv6地址发送给所述终端设备,由所述终端设备利用自身的IPv6地址到所述Portal服务器进行IPv6地址的Portal认证;确定模块,用于在所述终端设备通过Portal认证后,确定所述终端设备对应的IPv4地址和IPv6地址;处理模块,用于同时打开所述终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许所述终端设备以所述IPv4地址或者IPv6地址访问网络。所述发送模块,具体用于在获知本设备配置有强制终端设备进行IPv6地址的Portal认证的功能时,将Portal服务器的IPv6地址发送给所述终端设备。所述确定模块,具体用于在所述Portal服务器对所述终端设备进行IPv6地址的Portal认证过程中,获得所述终端设备对应的IPv6地址;并利用所述终端设备对应的IPv6地址查询邻居发现ND表项,得到所述终端设备对应的介质访问控制MAC地址;并利用所述终端设备对应的MAC地址查询地址解析协议ARP表项,得到所述终端设备对应的IPv4地址。所述处理模块,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,关闭所述终端设备对应的变化前的IPv4地址的网络访问权限,并打开所述终端设备对应的变化后的IPv4地址的网络访问权限。所述发送模块,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,在计费更新报文和计费结束报文中携带所述终端设备对应的IPv6地址以及变化后的IPv4地址。与现有技术相比,本发明至少具有以下优点:本发明中,在终端设备Portal认证通过之前,针对终端设备的基于IPv4地址或者IPv6地址的网络访问请求,接入设备均会将该网络访问请求重定向到Portal服务器(用于进行IPv6地址的Portal认证)上,以对终端设备进行IPv6地址的Portal认证;进一步的,在Portal认证通过时,接入设备同时打开该终端设备对应的IPv4地址和IPv6地址的网络访问权限,从而避免存在网络访问安全隐患。
图1是本发明的应用场景示意图;图2是本发明提供的一种Portal认证方法流程示意图;图3是本发明提出的一种接入设备的结构示意图。
具体实施例方式下面结合附图对本发明实施例进行详细描述。针对现有技术中存在的问题,本发明提出一种Portal认证方法,以图1为本发明的应用场景示意图,该Portal认证方法应用于包括接入设备、终端设备、Portal服务器和AAA (Authenticaion、Authrization、Accounting,认证、授权、计费)服务器的网络中;在该网络中,该接入设备具体为AC (Access Controller,无线控制器)或者BAS (BroadbandAccess Server,宽带接入服务器),该Portal服务器具体用于对终端设备进行IPv6地址的Portal认证,该终端设备具体为支持IPv4/IPv6双栈技术的终端设备,即终端设备可以使用IPv4地址访问IPv4网络,并可以使用IPv6地址访问IPv6网络。在上述应用场景下,如图2所示,该Portal认证方法包括以下步骤:步骤201,在终端设备Portal认证通过之前,接入设备在接收到来自终端设备的基于IPv4地址的网络访问请求(如HTTP访问请求)或者基于IPv6地址的网络访问请求时,将Portal服务器的IPv6地址发送给终端设备。终端设备通过DHCPv4 (Dynamic Host Configuration Protocol for IPv4,支持IPv4的动态主机配 置协议)方式获取IPv4地址和DNS (Domain Name System,域名系统)服务器地址,并通过无状态方式或 DHCPV6 (Dynamic Host Configuration Protocol forIPv6,支持IPv6的动态主机配置协议)方式获取IPv6地址;在获得IPv4地址和IPv6地址后,终端设备在有网络访问需求时,向接入设备发送基于IPv4地址的网络访问请求(在IE地址栏中输入IPv4地址或在IE地址栏中输入IPv4地址对应的URL)或基于IPv6地址的网络访问请求(在IE地址栏中输入IPv6地址或在IE地址栏中输入IPv6地址对应的URL)。终端设备在Portal认证通过之前,当接入设备收到基于IPv4地址的网络访问请求或基于IPv6地址的网络访问请求时,如果接入设备确定本设备上配置有强制终端设备进行IPv6地址的Portal认证的功能时(即强制终端设备进行IPv6地址的Portal认证),则将网络访问请求重定向到Portal服务器上进行IPv6地址的Portal认证,即将Portal服务器的IPv6地址发送给终端设备(由于Portal服务器用于进行IPv6地址的Portal认证,因此将网络访问请求重定向到Portal服务器上的过程为将Portal服务器的IPv6地址发送给终端设备);如果接入设备确定本设备上没有配置强制终端设备进行IPv6地址的Portal认证的功能,则按照现有技术进行处理,该处理过程在此不再赘述。需要说明的是,在接入设备上需要启用Portal认证功能,且在终端设备Portal认证通过之前,接入设备不允许终端设备访问网络,即不允许终端设备使用IPv4地址访问IPv4网络,不允许终端设备使用IPv6地址访问IPv6网络。步骤202,终端设备利用自身的IPv6地址到Portal服务器上进行Portal认证,由Portal服务器对终端设备进行Portal认证。具体的,终端设备在Portal认证通过之前,当接入设备收到基于IPv4地址的网络访问请求或基于IPv6地址的网络访问请求时,接入设备会将网络访问请求重定向到Portal服务器上进行Portal认证,由于该Portal服务器用于对终端设备进行IPv6地址的Portal认证,因此接入设备在重定向过程中,向终端设备发送的是Portal服务器的IPv6地址;在终端设备的重定向过程中,将由用户在认证主页/认证对话框中输入身份信息(如用户名和密码等)后提交;此外,终端设备在收到Portal服务器的IPv6地址时,获知本设备需要利用本终端设备的IPv6地址向Portal服务器发送认证报文,该认证报文中携带用户输入的身份信息(如用户名和密码等,即用户输入的相关信息);之后,由Portal服务器利用终端设备的IPv6地址和身份信息等对终端设备进行IPv6地址的Portal认证,该认证过程在此不再赘述。在终%5设备通过Portal认证后,执彳了后续步骤203,在终纟而设备Portal认证未通过时,不允许终端设备访问网络,后续相应处理不再赘述。步骤203,在终端设备通过Portal认证后,接入设备确定终端设备对应的IPv4地址和IPv6地址,并同时打开终端设备对应的IPv4地址和IPv6地址的网络访问权限(即在ACL (Access Control List,访问控制列表)中下发该IPv4地址和IPv6地址对应的信息);以允许终端设备以IPv4地址或者IPv6地址访问网络;即在接收到来自终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,允许终端设备访问网络。具体的,在Portal服务器对终端设备进行IPv6地址的Portal认证过程中,接入设备获得该终端设备对应的IPv6地址,并利用终端设备对应的IPv6地址查询ND(NeighborDiscovery,邻居发现)表项(用于记录IPv6地址和MAC (Media Access Control,介质访问控制)地址的对应关系),得到终端设备对应的MAC地址;之后,接入设备利用终端设备对应的MAC地址查询ARP (Address Resolution Protocol,地址解析协议)表项(用于记录IPv4地址和MAC地址的对应关系),得到终端设备对应的IPv4地址。进一步的,接入设备在获得终端设备对应的IPv4地址和IPv6地址之后,需要同时打开终端设备对应的IP v4地址和IPv6地址的网络访问权限(即放行该终端设备的IPv4地址和IPv6地址),以在接收到来自终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,允许终端设备使用IPv4地址访问IPv4网络,并允许终端设备使用IPv6地址访问IPv6网络。综上所述,本发明中,在终端设备Portal认证通过之前,针对终端设备的基于IPv4地址或者IPv6地址的网络访问请求,接入设备均会将该网络访问请求重定向到Portal服务器上,以对终端设备进行IPv6地址的Portal认证;进一步的,在Portal认证通过时,接入设备同时打开该终端设备对应的IPv4地址和IPv6地址的网络访问权限,从而避免存在网络访问安全隐患。本发明中,在终端设备访问网络的过程中,接入设备如果获知终端设备对应的IPv4地址发生变化,则需要关闭终端设备对应的变化前的IPv4地址的网络访问权限,并打开终端设备对应的变化后的IPv4地址的网络访问权限。本发明中,接入设备在发送给AAA服务器的计费请求报文中,需要携带终端设备对应的IPv4地址和IPv6地址;在终端设备访问网络的过程中,如果获知终端设备对应的IPv4地址发生变化,则接入设备在发送给AAA服务器的计费更新报文和计费结束报文中,需要携带终端设备对应的IPv6地址以及变化后的IPv4地址,以获得终端设备真实的IPv4地址,继而确保准确回溯到终端设备。本发明中,对于终端设备对应的IPv4地址发生变化的应用场景具体包括但不限于:(1)终端设备开机时由于无线丢包,终端设备未获取到IPv4地址,过一段时间后终端设备获取到IPv4地址。(2)终端设备开机时由于IPv4地址资源不足,终端设备无法获取到IPv4地址,过一段时间后终端设备获取到IPv4地址。(3)当用户断开无线关联,过一段时间后又重新关联时,此时由于IPv4地址和IPv6地址的租约可能不同,因此终端设备获取到的IPv6地址相同,但IPv4地址可能不同;进一步的,由于IPv6地址未发生变化,因此不会重新进行IPv6地址的Portal认证,只是IPv4地址发生变化。基于与上述方法同样的发明构思,本发明还提出了一种接入设备,应用于包括所述接入设备、终端设备和Portal服务器的网络中,如图3所示,所述接入设备包括:接收模块11,用于接收来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求;发送模块12,用于在所述终端设备Portal认证通过之前,当接收到来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,将所述Portal服务器的IPv6地址发送给所述终端设备,由所述终端设备利用自身的IPv6地址到所述Portal服务器进行IPv6地址的Portal认证;确定模 块13,用于在所述终端设备通过Portal认证后,确定所述终端设备对应的IPv4地址和IPv6地址;处理模块14,用于同时打开所述终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许所述终端设备以所述IPv4地址或者IPv6地址访问网络。所述发送模块12,具体用于在获知本设备配置有强制终端设备进行IPv6地址的Portal认证的功能时,将Portal服务器的IPv6地址发送给终端设备。所述确定模块13,具体用于在所述Portal服务器对所述终端设备进行IPv6地址的Portal认证过程中,获得所述终端设备对应的IPv6地址;并利用所述终端设备对应的IPv6地址查询邻居发现ND表项,得到所述终端设备对应的介质访问控制MAC地址;并利用所述终端设备对应的MAC地址查询地址解析协议ARP表项,得到所述终端设备对应的IPv4地址。所述处理模块14,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,关闭所述终端设备对应的变化前的IPv4地址的网络访问权限,并打开所述终端设备对应的变化后的IPv4地址的网络访问权限。所述发送模块12,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,在计费更新报文和计费结束报文中携带所述终端设备对应的IPv6地址以及变化后的IPv4地址。其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是⑶-R0M,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实 施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种Portal认证方法,应用于包括接入设备、终端设备和Portal服务器的网络中,其特征在于,该方法包括以下步骤: 在所述终端设备Portal认证通过之前,所述接入设备在接收到来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,将所述Portal服务器的IPv6地址发送给所述终端设备,由所述终端设备利用自身的IPv6地址到所述Portal服务器进行IPv6地址的Portal认证; 在所述终端设备通过Portal认证后,所述接入设备确定所述终端设备对应的IPv4地址和IPv6地址,并同时打开所述终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许所述终端设备以所述IPv4地址或者IPv6地址访问网络。
2.如权利要求1所述的方法,其特征在于,所述接入设备将所述Portal服务器的IPv6地址发送给所述终端设备,具体包括: 所述接入设备在本设备配置有强制终端设备进行IPv6地址的Portal认证的功能时,将所述Portal服务器的IPv6地址发送给所述终端设备。
3.如权利要求1所述的方法,其特征在于,所述接入设备确定所述终端设备对应的IPv4地址和IPv6地址,具体包括: 在所述Portal服务器对所述终端设备进行IPv6地址的Portal认证过程中,所述接入设备获得所述终端设备对应的IPv6地址; 所述接入设备利用所述终端设备对应的IPv6地址查询邻居发现ND表项,得到所述终端设备对应的介质访问控制MAC地址; 所述接入设备利用 所述终端设备对应的MAC地址查询地址解析协议ARP表项,得到所述终端设备对应的IPv4地址。
4.如权利要求1所述的方法,其特征在于,所述方法还包括: 在所述终端设备访问网络的过程中,所述接入设备在获知所述终端设备对应的IPv4地址发生变化时,关闭所述终端设备对应的变化前的IPv4地址的网络访问权限,打开所述终端设备对应的变化后的IPv4地址的网络访问权限。
5.如权利要求1所述的方法,其特征在于,所述方法还包括: 在所述终端设备访问网络的过程中,所述接入设备在获知所述终端设备对应的IPv4地址发生变化时,在计费更新报文和计费结束报文中携带所述终端设备对应的IPv6地址以及变化后的IPv4地址。
6.一种接入设备,应用于包括所述接入设备、终端设备和Portal服务器的网络中,其特征在于,所述接入设备包括: 接收模块,用于接收来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求; 发送模块,用于在所述终端设备Portal认证通过之前,当接收到来自所述终端设备的基于IPv4地址的网络访问请求或者基于IPv6地址的网络访问请求时,将所述Portal服务器的IPv6地址发送给所述终端设备,由所述终端设备利用自身的IPv6地址到所述Portal服务器进行IPv6地址的Portal认证; 确定模块,用于在所述终端设备通过Portal认证后,确定所述终端设备对应的IPv4地址和IPv6地址;处理模块,用于同时打开所述终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许所述终端设备以所述IPv4地址或者IPv6地址访问网络。
7.如权利要求6所述的设备,其特征在于, 所述发送模块,具体用于在获知本设备配置有强制终端设备进行IPv6地址的Portal认证的功能时,将Portal服务器的IPv6地址发送给所述终端设备。
8.如权利要求6所述的设备,其特征在于, 所述确定模块,具体用于在所述Portal服务器对所述终端设备进行IPv6地址的Portal认证过程中,获得所述终端设备对应的IPv6地址;并利用所述终端设备对应的IPv6地址查询邻居发现ND表项,得到所述终端设备对应的介质访问控制MAC地址;并利用所述终端设备对应的MAC地址查询地址解析协议ARP表项,得到所述终端设备对应的IPv4地址。
9.如权利要求6所述的设备,其特征在于, 所述处理模块,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,关闭所述终端设备对应的变化前的IPv4地址的网络访问权限,并打开所述终端设备对应的变化后的IPv4地址的网络访问权限。
10.如权利要求6所述的设备,其特征在于, 所述发送模块,还用于在所述终端设备访问网络的过程中,在获知所述终端设备对应的IPv4地址发生变化时,在计费更新报文和计费结束报文中携带所述终端设备对应的IPv6地址以及变化后的IPv4地址。
全文摘要
本发明公开了一种Portal认证方法和设备,该方法包括在终端设备Portal认证通过之前,接入设备在接收到来自所述终端设备的基于IPv4地址或者IPv6地址的网络访问请求时,将Portal服务器的IPv6地址发送给所述终端设备;在终端设备通过Portal认证后,接入设备确定终端设备对应的IPv4地址和IPv6地址,并同时打开终端设备对应的IPv4地址和IPv6地址的网络访问权限,允许终端设备以所述IPv4地址或者IPv6地址访问网络。本发明中,能够对终端设备进行IPv6地址的Portal认证,并避免存在网络访问安全隐患。
文档编号H04L9/32GK103220149SQ20131011770
公开日2013年7月24日 申请日期2013年4月7日 优先权日2013年4月7日
发明者郑涛 申请人:杭州华三通信技术有限公司