一种实现双栈web认证的方法和认证网关的制作方法

一种实现双栈web认证的方法和认证网关的制作方法
【专利摘要】本发明公开了一种实现双栈web认证的方法和认证网关。该方法包括：基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址；当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态；当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。应用本发明实施例能够避免重复认证。
【专利说明】—种实现双栈web认证的方法和认证网关

【技术领域】
[0001]本发明涉及通信【技术领域】，特别是涉及一种实现双栈web认证的方法和认证网关。

【背景技术】
[0002]网络接入认证是保证网络安全性重要的手段。通过网络接入认证，可以有效的阻断非法用户接入网络。
[0003]通过web页面进行的无客户端软件认证方式，在园区网有着广泛的应用。与采用客户端软件方式的认证相比，有着以下优势:
[0004]用户使用方便，不必安装维护客户端软件。当用户在多个网络内使用时，不必针对每个网络安装相应的客户端软件；而且，方案部署简单，由于没有客户端软件，因此不会出现客户端软件程序与操作系统不兼容的问题。
[0005]目前，通过web页面进行的无客户端软件认证的方法包括如下步骤:
[0006]步骤1,用户通过web页面第一次访问网络时,认证网关会仿冒用户访问的web服务器，将用户的web访问重定向到Portal服务器。
[0007]步骤2，Portal服务器返回用户登录页面。用户在登录页面上输入用户名和密码。
[0008]步骤3，Portal服务器使用用户名、密码，并携带用户的IP地址、MAC地址等信息，到AAA系统对用户进行认证。其中，所述IP地址和MAC地址一般从用户的报文中获得。
[0009]步骤4，如果用户认证通过，则AAA系统向认证网关下发策略，允许这个IP地址的用户访问网络。
[0010]可见，采用现有的web认证方法时，如果用户设备同时配置了两类IP地址，比如同时配置了 IPv4地址和IPv6地址，当同一用户分别使用这两类IP地址接入网络时，认证网关会针对这两类IP地址分别进行认证，导致重复认证，浪费网络认证资源。


【发明内容】

[0011]有鉴于此，本发明提出了一种实现双栈web认证的方法和认证网关，能够在同一用户分别使用两类IP地址接入网络时，比如分别使用IPv4地址和IPv6地址接入网络时，避免重复认证。
[0012]本发明提出的技术方案是:
[0013]一种实现双栈web认证的方法，该方法包括:
[0014]基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；
[0015]接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址；
[0016]当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态；
[0017]当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
[0018]一种认证网关，该认证网关包括实现双栈web认证的认证装置，所述认证装置包括表项建立模块和关联认证模块；
[0019]所述表项建立模块，用于基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；
[0020]所述关联认证模块，用于接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址，当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态，当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
[0021]由上述技术方案可见，本发明实施例中，认证网关首先在IP地址分配阶段，为双栈IP地址的用户分别建立第一对应关系表和第二对应关系表，其中，在第一对应关系表中记录用户的第一类IP地址与该用户的MAC地址的对应关系，在第二对应关系表中记录用户的第二类IP地址与该用户的MAC地址的对应关系，并且，在认证阶段，认证网关通过MAC地址将所述第一对应关系表和所述第二对应关系表进行关联，实现只要第一类IP地址和第二类IP地址中任意一个通过了认证，就无需再对另一 IP地址进行认证，从而避免了重复认证，具体地:
[0022]认证网关接收用户的网络访问请求报文，获取该请求报文中的第一类IP地址，当该第一类IP地址未通过认证时，查找所述第一对应关系表中与该请求报文中的第一类IP地址对应的MAC地址，根据该MAC地址查找所述第二对应关系表中该MAC地址对应的第二类IP地址，基于对所述第二类IP地址的认证信息对所述第一类IP地址进行认证，具体地，当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
[0023]其中，所述第一类IP地址可以是IPv4地址，相应地，所述第二类IP地址是IPv6地址，也可以所述第一类IP地址是IPv6地址，相应地，所述第二类IP地址是IPv4地址。
[0024]由上述分析可见，本发明实施例能够在同一用户分别使用两类IP地址，例如分别使用IPv4地址和IPv6地址接入网络时，避免重复认证。

【专利附图】

【附图说明】
[0025]图1是本发明实施例提供的实现双栈web认证的方法流程图。
[0026]图2是本发明实施例提供的认证网关处理用户报文的流程图。
[0027]图3是本发明实施例提供的认证网关的硬件结构连接图。
[0028]图4是本发明实施例提供的实现双栈web认证的认证装置结构示意图。

【具体实施方式】
[0029]针对同一用户分别使用两类IP地址，例如分别使用IPv4地址和IPv6地址接入网络时存在的重复认证问题，一种改进方案是:认证网关使用用户名、密码，并携带用户的IP地址、MAC地址等信息，到AAA系统对用户进行认证时，如果用户认证通过，则AAA系统向认证网关下发针对所述MAC地址进行控制的策略，认证网关根据MAC地址标示并控制用户接入网络。由于用户网络接口的MAC地址与使用的IP协议类型无关，同一个用户通过同一个网络接口使用不同协议地址访问网络时的MAC地址是一样的，因此能够避免重复认证。
[0030]然而，由于上述方案是根据MAC地址控制用户接入网络，因此，需要从用户发来的报文中提取出MAC地址，这就要求用户和认证网关之间必须是一个二层网络，因为用户报文一旦经过三层转发，报文头中的MAC地址信息就会丢失，因此，限制了用户与认证网关之间的网络结构。
[0031]基于上述分析，本发明实施例提供了一种实现双栈web认证的方法和认证网关，能够在同一用户分别使用两类IP地址，例如分别使用IPv4地址和IPv6地址接入网络时，避免重复认证，并且，对用户与认证网关之间的网络结构没有限制。其中，第一类IP地址可以是IPv4地址，相应地，第二类IP地址是IPv6地址，也可以所述第一类IP地址是IPv6地址，相应地，所述第二类IP地址是IPv4地址。
[0032]图1是本发明实施例提供的实现双栈web认证的方法流程图。
[0033]如图1所示，该流程包括:
[0034]步骤101，认证网关基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表。
[0035]其中，所述交互报文的具体内容主要依赖于为用户分配IP地址的所采用的协议，一般地，当为用户分配IP地址所采用的协议不同时，建立所述对应关系表所依据的交互报文也不同，本发明实施例对所述交互报文的具体类型或内容不做限制，只要所述交互报文中携带有为用户分配的IP地址以及用户的MAC地址，即可用于建立所述对应关系表。
[0036]本发明实施例中，对为用户分配IP地址所采用的协议不作具体限制，例如，所述协议可以是动态主机设置协定(Dynamic Host Configurat1n Protocol, DHCP)协议、或地址解析协议(Address Resolut1n Protocol, ARP) Snooping 协议、或邻居发现(NeighborDiscovery, ND)协议等。
[0037]步骤102，认证网关接收用户的网络访问请求报文，获取该请求报文中的第一类IP地址，当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态，当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
[0038]可见，图1所示的方法中，认证网关通过将所述第一对应关系表和所述第二对应关系表进行关联，基于对其中一种IP地址的认证信息对另一种IP地址进行认证，可以实现两种IP地址的认证结果复用，避免重复认证。并且，由于本发明实施例中的认证网关仍然是基于报文中的IP地址进行认证的，因此，用户与认证网关之间可以是二层网络，也可以是三层网络，对用户与认证网关之间的网络结构没有限制。
[0039]在认证网关中，会存储IP地址的认证信息，例如，IP地址当前是否正在认证过程中，IP地址认证的结果是认证通过还是认证不通过。本发明实施例中，在基于所述第二类IP地址的认证信息对所述第一类IP地址进行认证时，如果认证网关查询第二类IP地址的认证信息，确定出第二类IP地址已经通过认证，则认证网关可以直接确认所述第一类IP地址也认证通过，而无需再基于用户信息到认证服务器对所述第一类IP地址进行认证。如果认证网关没有在第二对应关系表中查找到所述第二类IP地址，则基于用户信息通过认证服务器对所述第一类IP地址进行认证。
[0040]在本申请的一实施例中，除了可以基于对其中一类IP地址的认证信息对另一类IP地址进行认证，从而实现两类IP地址的认证结果复用以外，还可以实现两类IP地址的访问控制策略复用，具体地:
[0041]查找所述第二类IP地址对应的访问控制策略，标记所述第一类IP地址与所述访问控制策略的对应关系，以通过所述第二类IP地址的访问控制策略对第一类IP地址进行访问控制。
[0042]在本申请的另一实施例中，同一用户的两类IP地址的认证结果可以复用，但是，两类IP地址的访问控制策略可以不同，具体地:
[0043]认证网关在查找出第二类IP地址认证通过，进而确认所述第一类IP地址认证通过之后，认证网关进一步查找所述第二类IP地址对应的访问控制策略所关联的关联控制策略，标记所述第一类IP地址与所述关联控制策略的对应关系，以通过所述关联控制策略对第一类IP地址进行访问控制。
[0044]其中，所述第一类IP地址的访问控制策略和所述第二类IP地址的访问控制策略互为关联控制策略。
[0045]其中，认证网关可以在第一类IP地址和第二类IP地址中的任一认证通过时，接收互为关联控制策略的第一类IP地址访问控制策略和第二类IP地址访问控制策略，具体地，可以在一条策略中包括两个规则，两个规则分别对应第一类IP地址的访问控制策略和第二类IP地址的访问控制策略。
[0046]换言之，策略服务器在用户的第一类IP地址和第二类IP地址中有任一 IP地址通过认证时，将该用户的两种IP地址各自的访问控制策略，作为彼此的关联控制策略，一起下发给认证网关，然后由认证网关维护该用户另一尚未认证的IP地址与其访问控制策略的对应关系，比如:
[0047]用户1先通过第二类IP地址访问网络，并认证通过，策略服务器向认证网关下发用户1的控制策略规则，该控制策略规则包括第二类IP地址的访问控制策略及其关联控制策略，其中，所述关联控制策略不包含具体IP地址，仅指明用户1使用第一类IP地址访问网络时使用的访问控制策略，认证网关在用户1实际通过第一类IP地址访问网络并认证通过后，建立所述第一类IP地址的具体取值与所述关联控制策略的对应关系，所述关联控制策略在所述对应关系建立后生效，当用户1的第一类IP地址取值发生变化时，认证网关更新生效的所述关联控制策略对应的IP地址，当用户1的第一类IP地址释放时，认证网关使释放的IP地址对应的访问控制策略失效。
[0048]认证网关也可以在一类IP地址认证通过时，仅接收该类IP地址的访问控制策略，然后在确定出另一类IP地址也认证通过时，再接收该另一类IP地址的访问控制策略。
[0049]进一步地， 申请人:分析发现，可能存在同一个用户的两种协议类型报文同时访问网络而分别要求认证的情况，针对这种情况，本申请实施例给出了相应的解决方案，以避免对同时访问网络的两种协议类型的报文都进行认证，导致对同一个用户重复认证，具体地:
[0050]在基于所述第二类IP地址的认证信息对所述第一类IP地址进行认证时，如果第二类IP地址未通过认证，即未进行过认证或以前的认证结果为认证失败，则进一步判断所述第二类IP地址目前是否正在认证过程中，如果是，丢弃所述第一类IP地址的网络访问请求报文。
[0051]下面参照附图，对认证网关通过关联第一对应关系表和第二对应关系表实现用户的两种IP地址认证结果复用进行进一步地详细说明，具体请参见图2。
[0052]图2是本发明实施例提供的认证网关处理用户报文的流程图。
[0053]如图2所示，该流程包括:
[0054]步骤201，认证网关接收用户报文，从用户报文中提取源IP地址，为便于描述，将所述源IP地址称为第一类IP地址。
[0055]步骤202,认证网关查询认证信息记录，确定所述第一类IP地址是否认证通过，如果第一类IP地址认证通过，执行步骤211，如果第一类IP地址未进行过认证或者认证失败，执行步骤203。
[0056]步骤203，认证网关根据所述第一类IP地址查询第一对应关系表，得到该第一类IP地址对应的MAC地址。
[0057]步骤204，认证网关根据所述MAC地址查找另一协议的对应关系表，即查找第二对应关系表中与所述MAC地址对应的第二类IP地址。
[0058]步骤205，判断是否查找到所述第二类IP地址，如果查找到所述第二类IP地址，执行步骤206，否则，执行步骤209。
[0059]步骤206，认证网关查询认证信息记录，判断所述第二类IP地址是否认证通过，如果所述第二类IP地址已经认证通过，执行步骤207，如果第二类IP地址未经过认证、或认证失败，执行步骤208。
[0060]步骤207，确认所述第一类IP地址认证通过，并确定第一类IP地址的访问控制策略，执行步骤211。
[0061]本步骤中，在一实施例中，第一类IP地址的访问控制策略可以与第二类IP地址的访问控制策略相同，因此，可以查找所述第二类IP地址对应的访问控制策略，标记所述第一类IP地址与所述访问控制策略的对应关系，以通过所述第二类IP地址的访问控制策略对第一类IP地址进行访问控制。
[0062]在另一实施例中，第一类IP地址的访问控制策略可以与第二类IP地址的访问控制策略不同，具体地，查找所述第二类IP地址对应的访问控制策略的关联控制策略,标记所述第一类IP地址与所述关联控制策略的对应关系，以按照所述关联控制策略对第一类IP地址进行访问控制。
[0063]其中，第一类IP地址访问控制策略和第二类IP地址访问控制策略互为关联控制策略。
[0064]认证网关可以在第一类IP地址和第二类IP地址中的任一认证通过时，接收互为关联控制策略的第一类IP地址访问控制策略和第二类IP地址访问控制策略。
[0065]认证网关也可以在一类IP地址认证通过时，仅接收该类IP地址的访问控制策略，然后在确定出另一类IP地址也认证通过时，再接收该另一类IP地址的访问控制策略。
[0066]步骤208，判断第二类IP地址是否正在认证过程中，如果是，执行步骤210，否则，执行步骤209。
[0067]步骤209，通过认证服务器对所述第一类IP地址进行认证，结束本流程。
[0068]本步骤中，认证网关可以先模拟用户访问的网络服务器将所述用户报文重定向到Protal服务器，Portal服务器返回用户登录页面。用户在登录页面上输入用户名和密码，Portal服务器使用用户名、密码，并携带用户的IP地址、MAC地址等信息，到AAA系统等认证服务器对用户进行认证，将认证结果通知给认证网关，其中，如果认证通过，认证服务器通知策略服务器向所述认证网关下发关于所述第一类IP地址的访问控制策略。
[0069]步骤210，将所述用户报文丢弃，结束本流程。
[0070]通过步骤210，可以针对两种协议类型报文同时访问网络，分别要进行认证的情况，避免对两种协议类型的报文都进行认证，即能够避免重复认证。
[0071]步骤211，根据第一类IP地址的访问控制策略对所述用户报文进行处理，结束本流程。
[0072]另外，本发明实施例提到的认证网关、认证服务器和策略服务器，可以是物理上相互独立的设备，也可以集成在一台物理设备上，本发明实施例对此不做限制。
[0073]针对上述方法，本发明实施例还公开了一种证网关。
[0074]图3是本发明实施例提供的认证网关的硬件结构连接图。
[0075]如图3所示，该认证网关包括处理器、网络接口、内存和非易失性存储器，且上述各硬件通过总线连接，其中:
[0076]非易失性存储器，用于存储指令代码；所述指令代码被处理器执行时完成的操作主要为内存中的认证装置完成的功能。
[0077]处理器，用于与非易失性存储器通信，读取和执行非易失性存储器中存储的所述指令代码，完成上述认证装置完成的功能。
[0078]内存，当非易失性存储器中的所述指令代码被执行时完成的操作主要为内存中的认证装置完成的功能。
[0079]从软件层面而言，应用于认证网关中的认证装置如图4所示。
[0080]图4是本发明实施例提供的实现双栈web认证的认证装置结构示意图。
[0081]参见图4，该认证装置包括表项建立模块401和关联认证模块402。
[0082]表项建立模块401，用于基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表。
[0083]关联认证模块402，用于接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址，当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态，当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
[0084]关联认证模块402，还用于确认所述第一类IP地址通过认证之后，查找所述第二类IP地址对应的访问控制策略，标记所述第一类IP地址与所述访问控制策略的对应关系，以通过所述第二类IP地址的访问控制策略对第一类IP地址进行访问控制。
[0085]所述关联认证模块402，还用于查找所述第二类IP地址对应的访问控制策略所关联的关联控制策略，标记所述第一类IP地址与所述关联控制策略的对应关系，以通过所述关联控制策略对第一类IP地址进行访问控制。
[0086]其中，所述第一类IP地址的访问控制策略和所述第二类IP地址的访问控制策略互为关联控制策略。
[0087]关联认证模块402，还用于在所述第二类IP地址未通过认证时，判断所述第二类IP地址的认证状态，当所述第二类IP地址处于认证过程中时，丢弃所述第一类IP地址的网络访问请求报文。
[0088]关联认证模块402，还用于在没有查找到所述第二类IP地址时，基于用户信息对所述第一类IP地址进行认证。
[0089]上述的认证装置作为一个逻辑意义上的装置，其是通过处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。当对应的计算机程序指令被执行时，形成的认证装置用于按照上述实施例中的认证方法执行相应操作。
[0090]本发明实施例具有以下的有益效果:
[0091]本发明实施例中，认证网关在IP地址分配阶段，为双栈IP地址用户的每种IP协议地址分别建立对应关系表，在认证阶段，将两种IP协议地址的对应关系表进行关联，实现两种协议IP地址的认证结果复用，能够通过无客户端的Web认证方式，一次认证即实现对IPv4、IPv6双栈地址的控制，避免重复认证，简化用户上网操作，提升用户体验。
[0092]特别地，通过检测两种类型的协议报文同时访问网络的情况,并针对这种情况，丢弃其中一种协议报文，能够进一步避免重复认证，提升用户体验。
[0093]特别地，当针对两种IP协议地址分别采用不同的控制策略时，还可以实现对用户报文的进一步精细化控制。
[0094]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种实现双栈web认证的方法，其特征在于，该方法包括: 基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表; 接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址； 当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态； 当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
2.根据权利要求1所述的方法，其特征在于，标识所述第一类IP地址通过认证之后，该方法还包括: 查找所述第二类IP地址对应的访问控制策略，标记所述第一类IP地址与所述访问控制策略的对应关系，以通过所述第二类IP地址所对应的访问控制策略对所述第一类IP地址进行访问控制。
3.根据权利要求2所述的方法，其特征在于，确认所述第一类IP地址通过认证之后，该方法还包括: 查找所述第二类IP地址对应的访问控制策略所关联的关联控制策略，标记所述第一类IP地址与所述关联控制策略的对应关系，以通过所述关联控制策略对所述第一类IP地址进行访问控制； 其中，所述第一类IP地址的访问控制策略和所述第二类IP地址的访问控制策略互为关联控制策略。
4.根据权利要求1所述的方法，其特征在于，该方法还包括: 在没有查找到所述第二类IP地址时，基于用户信息对所述第一类IP地址进行认证。
5.根据权利要求1所述的方法，其特征在于，所述根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态之后，还包括: 当所述第二类IP地址未通过认证时，基于用户信息对所述第一类IP地址进行认证； 和/或，当所述第二类IP地址处于认证过程中时，丢弃所述第一类IP地址的网络访问请求报文。
6.一种认证网关，其特征在于，该认证网关包括实现双栈web认证的认证装置，所述认证装置包括表项建立模块和关联认证模块； 所述表项建立模块，用于基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表； 所述关联认证模块，用于接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址，当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表确定第二类IP地址的认证状态，当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。
7.根据权利要求6所述的认证网关，其特征在于， 所述关联认证模块，还用于确认所述第一类IP地址通过认证之后，查找所述第二类IP地址对应的访问控制策略，标记所述第一类IP地址与所述访问控制策略的对应关系，以通过所述第二类IP地址的访问控制策略对第一类IP地址进行访问控制。
8.根据权利要求6所述的认证网关，其特征在于， 所述关联认证模块，还用于查找所述第二类IP地址对应的访问控制策略的关联控制策略，标记所述第一类IP地址与所述关联控制策略的对应关系，以通过所述关联控制策略对第一类IP地址进行访问控制； 其中，第一类IP地址访问控制策略和第二类IP地址访问控制策略互为关联控制策略。
9.根据权利要求6所述的认证网关，其特征在于， 所述关联认证模块，还用于在没有查找到所述第二类IP地址时，基于用户信息对所述第一类IP地址进行认证。
10.根据权利要求6所述的认证网关，其特征在于， 所述关联认证模块，还用于在所述第二类IP地址未通过认证时，判断所述第二类IP地址的认证状态，当所述第二类IP地址处于认证过程中时，丢弃所述第一类IP地址的网络访问请求报文。
【文档编号】H04L9/32GK104468619SQ201410827494
【公开日】2015年3月25日 申请日期:2014年12月26日 优先权日:2014年12月26日
【发明者】郑上闽 申请人:杭州华三通信技术有限公司