访问控制方法及装置与流程
本申请涉及网络通信技术领域,特别涉及一种访问控制方法及装置。
背景技术:
portal(门户)认证是一种灵活的网络访问控制技术,通过web(网页)页面获取用户的用户名和密码,对用户进行身份认证,以达到访问控制的目的。二次地址分配认证指的是在用户通过认证前,先为用户主机分配一个私网ip(internetprotocol,因特网协议)地址,此时,用户主机只能访问portal服务器以及设定的免认证地址;后续在用户认证通过后,再为用户主机分配一个公网ip地址,此时用户主机即可访问互联网资源,该认证方式解决了ip地址规划和分配问题。
目前,在采用portal二次地址分配认证方式时,需要在bras(broadbandremoteaccessserver,宽带远程接入服务器)设备的用户端口上配置一个主ip地址和一个从ip地址,其中,主ip地址作为公网网关ip地址,从ip地址作为私网网关ip地址。具体的,首先,bras设备将私网网关ip地址(即从ip地址)作为用户主机的网关ip地址,从而为用户主机分配一个私网ip地址,然后,在用户认证通过后,再将用户主机的网关ip地址切换为公网网关ip地址(即主ip地址),从而为用户主机分配一个公网ip地址,后续,用户主机即可通过bras设备访问互联网资源。
但是,在上述的方法中,要求在bras设备的用户端口上配置主ip地址和从ip地址,而且规定主ip地址只能作为公网网关ip地址,从ip地址只能作为私网网关ip地址,配置限制比较大。
技术实现要素:
有鉴于此,本申请提供一种访问控制方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种访问控制方法,该方法包括:
接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网ip地址分配给用户主机,以使用户主机使用该私网ip地址访问网络;
接收portal服务器发来的portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向portal服务器回应portal认证应答报文,以使portal服务器通知用户主机更新ip地址;
接收用户主机更新ip地址时发来的第二地址申请报文,从公网地址池中选择一个公网ip地址分配给用户主机,以使用户主机使用该公网ip地址访问网络。
另一方面,还提供了一种访问控制装置,该装置包括:
认证授权单元,用于接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机;还用于接收portal服务器发来的portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向portal服务器回应portal认证应答报文,以使portal服务器通知用户主机更新ip地址;
地址分配单元,用于从私网地址池中选择一个私网ip地址分配给用户主机,以使用户主机使用该私网ip地址访问网络;还用于接收用户主机更新ip地址时发来的第二地址申请报文,从公网地址池中选择一个公网ip地址分配给用户主机,以使用户主机使用该公网ip地址访问网络。
通过本申请的以上技术方案,首先接收用户主机发来的第一地址申请报文,对用户进行认证,并在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网ip地址分配给用户主机;然后,再对用户进行portal认证,并在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,后续,从该公网地址池中选择一个公网ip地址分配给用户主机,从而实现了portal二次地址分配认证。通过对用户进行两次认证授权,来控制对应的地址池,即,第一次认证授权时授权私网地址池,第二次认证授权时授权公网地址池,实现了用户主机的私网ip地址和公网ip地址的转换,由于无需在bras设备的用户端口上配置主ip地址和从ip地址,也不限定主ip地址只能作为公网网关ip地址、从ip地址只能作为私网网关ip地址,因此,解决了现有技术中存在的配置限制比较大的问题。
附图说明
图1是本申请一示例性实施例示出的采用portal二次地址分配认证方式的网络架构示意图;
图2是基于图1的网络结构的访问控制方法的交互流程图;
图3是本申请另一示例性实施例示出的采用portal二次地址分配认证方式的网络架构示意图;
图4是基于图3的网络结构的访问控制方法的交互流程图;
图5是本申请一示例性实施例示出的访问控制装置所在bras设备的硬件结构示意图;
图6是本申请一示例性实施例示出的访问控制装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决现有技术中存在的配置限制比较大的问题,本申请以下实施例中提供了一种访问控制方法,以及一种可以应用该方法的访问控制装置。
如图1所示,本申请实施例的采用portal二次地址分配认证方式的网络中主要包括:用户主机(或称为portal客户端)、接入层设备、bras设备、以及portal服务器,其中,bras设备中集成有aaa服务器和dhcp服务器的功能。此时的访问控制方法的交互流程如图2所示,包括以下步骤:
步骤s101,用户主机发出用于申请ip地址的第一地址申请报文;
其中,上述第一地址申请报文可以是dhcp(dynamichostconfigurationprotocol,动态主机配置协议)discover(发现)报文或者dhcprequest(请求)报文。第一地址申请报文中携带有用户主机的特征信息,用户主机的特征信息中包括:mac(媒体访问控制)地址、dhcp选项信息、以及接入位置信息。
步骤s102,bras设备接收该第一地址申请报文,对用户进行认证;
在为用户开通上网服务时,在bras设备上记录第一用户身份信息和第一用户密码,其中,第一用户身份信息由用户主机的特征信息中包括的mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成,第一用户密码由用户主机的特征信息中包括的mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成。
这样,在步骤s102中,bras设备在接收到第一地址申请报文之后,会从该第一地址申请报文中获取用户主机的特征信息。其中:
该第一地址申请报文的源mac地址即为用户主机的mac地址。
该第一地址申请报文的options(选项)字段中携带的信息即为dhcp选项信息,其中主要包括以下内容:用户主机在该第一地址申请报文的options字段中添加的dhcp选项信息,例如option61,option61中可以携带用户主机的id(标识)等;该第一地址申请报文途径的每一个接入层设备在该第一地址申请报文的options字段中添加的dhcp选项信息,例如option82,option82中可以携带该接入层设备的id、该接入层设备接收到该报文的端口id、用户主机的vlanid、该接入层设备的mac地址等。
接入位置信息具体可以包括bras设备的id、bras设备接收到该第一地址申请报文的端口id等。
然后,bras设备将获取到的上述mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成第一用户身份信息,将上述mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成第一用户密码,将该第一用户身份信息和第一用户密码与本地保存的第一用户身份信息和第一用户密码进行匹配,若均匹配,则认证通过。
在实际实施过程中,第一用户身份信息可以由用户主机的mac地址组成,第一用户密码可以由vlanid组成;或者,第一用户身份信息可以由接入层设备的id和端口、以及bras设备的id和端口组成,第一用户密码可以由用户主机的mac地址组成;本申请对此不做限定。
另外,bras设备在接收到该第一地址申请报文后,还会创建对应的用户表项,在该用户表项中记录该第一地址申请报文中携带的用户主机的特征信息。
步骤s103,在用户认证通过后,bras设备将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网ip地址分配给用户主机;
在为用户开通上网服务时,在bras设备上保存第一用户身份信息与私网地址池的对应关系,这样,在步骤s103中,在用户认证通过后,bras设备就可以查找与第一用户身份信息对应的私网地址池,从查找到的私网地址池中选择一个未被占用的私网ip地址分配给用户主机。
另外,在将私网地址池授权给用户主机,从该私网地址池中选择一个私网ip地址分配给用户主机之后,还会在用户表项中记录该私网地址池的id和选中的私网ip地址。
步骤s104,bras设备将选中的私网ip地址携带在第一地址应答报文中发送给用户主机;
其中,当第一地址申请报文是dhcpdiscover报文时,第一地址应答报文是dhcpoffer(提供)报文,当第一地址申请报文是dhcprequest报文时,第一地址应答报文是dhcpack(确认)报文。
用户主机在接收到该第一地址应答报文后,会将本机的ip地址配置为该私网ip地址,后续,用户主机使用该私网ip地址访问网页,由于用户尚未进行portal认证,因此用户主机发出的http(hypertexttransferprotocol,超文本传输协议)报文会发给portal服务器,然后,portal服务器会向用户主机推送用于进行portal认证的网页,以便用户在该网页上输入用户名和密码,后续,用户主机会将用户输入的用户名和密码携带在http报文中发送给portal服务器。
步骤s105,portal服务器在接收到携带有用户名和密码的http报文后,将该用户名和密码携带在portal认证请求报文中发送给bras设备;
步骤s106,bras设备接收该portal认证请求报文,对用户进行portal认证;
在步骤s106中,bras设备在接收到该portal认证请求报文之后,从该报文中获取用户名和密码,将获取到的用户名和密码与本地保存的用户名和密码进行匹配,若均匹配,则portal认证通过。
步骤s107,在用户认证通过后,bras设备向portal服务器回应用于指示用户portal认证通过的portal认证应答报文;portal服务器接收到该portal认证应答报文后,就会通知用户主机portal认证通过,需要更新ip地址,即,释放当前使用的私网ip地址,重新申请公网ip地址;
步骤s108,bras设备将第二用户身份信息对应的公网地址池授权给用户主机;
在为用户开通上网服务时,在bras设备上保存第二用户身份信息与公网地址池的对应关系,这样,在步骤s108中,在用户进行portal认证通过后,bras设备就可以查找与第二用户身份信息对应的公网地址池,将该公网地址池授权给用户主机。其中,为了便于实现,第二用户身份信息可以为用户名。
另外,在将公网地址池授权给用户主机之后,bras设备还会将用户表项中记录的私网地址池的id更新为公网地址池的id。
步骤s109,在更新ip地址时,用户主机发出用于申请ip地址的第二地址申请报文;
其中,上述第二地址申请报文可以是dhcpdiscover报文或者dhcprequest报文。
步骤s110,在接收到该第二地址申请报文之后,bras设备从授权给用户主机的公网地址池中,选择一个公网ip地址分配给用户主机;
在步骤s110中,在接收到第二地址申请报文之后,bras设备从用户表项中查找公网地址池的id,从该id所指示的公网地址池中选择一个未被占用的公网ip地址分配给用户主机,之后,将用户表项中记录的私网ip地址更新为选中的公网ip地址。
另外,bras设备在发现用户表项中记录的ip地址为公网ip地址时,会将该用户表项下发给硬件转发芯片,以便在用户主机的ip地址更新为该公网ip地址后,bras设备能够转发用户主机发来的数据流以及发往用户主机的数据流。
步骤s111,bras设备将选中的公网ip地址携带在第二地址应答报文中发送给用户主机。
其中,当第二地址申请报文是dhcpdiscover报文时,第二地址应答报文是dhcpoffer报文,当第二地址申请报文是dhcprequest报文时,第二地址应答报文是dhcpack报文。
用户主机在接收到该第二地址应答报文后,会将本机的ip地址配置为该第二地址应答报文中携带的公网ip地址,使用该公网ip地址访问网络。
在如图2所示的方法中,bras设备上集成有aaa服务器和dhcp服务器的功能,bras设备首先接收用户主机发来的第一地址申请报文,对用户进行认证,并在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网ip地址分配给用户主机;然后,再对用户进行portal认证,并在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,后续,从该公网地址池中选择一个公网ip地址分配给用户主机,从而实现了portal二次地址分配认证。通过对用户进行两次认证授权,来控制对应的地址池,即,第一次认证授权时授权私网地址池,第二次认证授权时授权公网地址池,实现了用户主机的私网ip地址和公网ip地址的转换,由于无需在bras设备的用户端口上配置主ip地址和从ip地址,也不限定主ip地址只能作为公网网关ip地址、从ip地址只能作为私网网关ip地址,因此,解决了现有技术中存在的配置限制比较大的问题。
另外,aaa服务器和dhcp服务器也可以部署在bras设备外部,此时,如图3所示,采用portal二次地址分配认证方式的网络中主要包括:用户主机、接入层设备、bras设备、portal服务器、aaa服务器、以及dhcp服务器。基于图3所示的网络架构,本申请实施例的访问控制方法的交互流程如图4所示,包括以下步骤:
步骤s201,用户主机发出用于申请ip地址的第一地址申请报文;
其中,上述第一地址申请报文可以是dhcpdiscover报文或者dhcprequest报文。第一地址申请报文中携带有用户主机的特征信息,用户主机的特征信息中包括:mac地址、dhcp选项信息、以及接入位置信息。
步骤s202,bras设备接收第一地址申请报文,从该报文中获取用户主机的特征信息,将用户主机的特征信息携带在aaa认证请求报文中发送给aaa服务器;
在步骤s202中,bras设备在接收到第一地址申请报文之后,会从该第一地址申请报文中获取用户主机的特征信息。其中:
该第一地址申请报文的源mac地址即为用户主机的mac地址。
该第一地址申请报文的options字段中携带的信息即为dhcp选项信息,其中主要包括以下内容:用户主机在该第一地址申请报文的options字段中添加的dhcp选项信息,例如option61,option61中可以携带用户主机的id等;该第一地址申请报文途径的每一个接入层设备在该第一地址申请报文的options字段中添加的dhcp选项信息,例如option82,option82中可以携带该接入层设备的id、该接入层设备接收到该报文的端口id、用户主机的vlanid、该接入层设备的mac地址等。
接入位置信息具体可以包括bras设备的id、bras设备接收到该第一地址申请报文的端口id等。
然后,bras设备会将获取到的特征信息中的上述mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成第一用户身份信息,将上述mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成第一用户密码,将第一用户身份信息和第一用户密码携带在aaa认证请求报文中发送给aaa服务器。
在实际实施过程中,第一用户身份信息可以由用户主机的mac地址组成,第一用户密码可以由vlanid组成;或者,第一用户身份信息可以由接入层设备的id和端口、以及bras设备的id和端口组成,第一用户密码可以由用户主机的mac地址组成;本申请对此不做限定。
另外,bras设备在接收到该第一地址申请报文后,还会创建对应的用户表项,在该用户表项中记录该第一地址申请报文中携带的用户主机的特征信息。
步骤s203,aaa服务器在接收到该aaa认证请求报文之后,使用该报文中携带的第一用户身份信息和第一用户密码,对用户进行认证,在用户认证通过后,向bras设备回应用于指示用户认证通过的aaa认证应答报文;
在为用户开通上网服务时,在aaa服务器上记录第一用户身份信息和第一用户密码。这样,在步骤s203中,aaa服务器在接收到该aaa认证请求报文之后,就可以从该报文中获取到第一用户身份信息和第一用户密码,将获取到的第一用户身份信息和第一用户密码与本地保存的第一用户身份信息和第一用户密码进行匹配,若均匹配,则认证通过。
步骤s204,bras设备在接收到该aaa认证应答报文之后,向aaa服务器发送aaa授权请求报文;
步骤s205,aaa服务器在接收到该aaa授权请求报文之后,将第一用户身份信息对应的私网地址池授权给用户主机;
在为用户开通上网服务时,在aaa服务器上保存第一用户身份信息与私网地址池的对应关系,这样,在步骤s205中,aaa服务器就可以查找与第一用户身份信息对应的私网地址池,将该私网地址池授权给用户主机。
步骤s206,aaa服务器向bras设备回应携带有该私网地址池的id的aaa授权应答报文;
步骤s207,bras设备接收到该aaa授权应答报文之后,从该报文中获取私网地址池的id,将该私网地址池的id携带在第一地址申请报文中发送给dhcp服务器;
另外,bras设备在获取到私网地址池的id之后,还会在用户表项中记录该私网地址池的id。
步骤s208,dhcp服务器接收到该第一地址申请报文之后,从该报文中获取私网地址池的id,从该id所指示的私网地址池中选择一个私网ip地址分配给用户主机,将选中的私网ip地址携带在第一地址应答报文中发送给用户主机;
由于该第一地址应答报文会经由bras设备转发给用户主机,因此,bras设备可以从该报文中获取私网ip地址,在用户表项中记录该私网ip地址。其中,当第一地址申请报文是dhcpdiscover报文时,第一地址应答报文是dhcpoffer报文,当第一地址申请报文是dhcprequest报文时,第一地址应答报文是dhcpack报文。
用户主机在接收到该第一地址应答报文后,会将本机的ip地址配置为该报文中携带的私网ip地址,后续,用户主机使用该私网ip地址访问网页,由于用户尚未进行portal认证,因此用户主机发出的http报文会发给portal服务器,然后,portal服务器会向用户主机推送用于进行portal认证的网页,以便用户在该网页上输入用户名和密码,后续,用户主机会将用户输入的用户名和密码携带在http报文中发送给portal服务器。
步骤s209,portal服务器在接收到携带有用户名和密码的http报文后,将该用户名和密码携带在portal认证请求报文中发送给bras设备;
步骤s210,bras设备在接收到该portal认证请求报文之后,从该报文中获取用户名和密码,将获取到的用户名和密码携带在aaa认证请求报文中发送给aaa服务器;
步骤s211,aaa服务器接收到该aaa认证请求报文之后,对用户进行portal认证,在用户认证通过后,向bras设备回应用于指示用户portal认证通过的aaa认证应答报文;
在步骤s211中,aaa服务器从该aaa认证请求报文中获取用户名和密码,将获取到的用户名和密码与本地保存的用户名和密码进行匹配,若均匹配,则portal认证通过。
步骤s212,bras设备在接收到该aaa认证应答报文之后,向aaa服务器发送aaa授权请求报文,并向portal服务器发送用于指示用户portal认证通过的portal认证应答报文;
portal服务器接收到该portal认证应答报文后,通知用户主机portal认证通过,需要更新ip地址,即,释放当前使用的私网ip地址,重新申请公网ip地址。
步骤s213,aaa服务器接收到该aaa授权请求报文之后,将第二用户身份信息对应的公网地址池授权给用户主机;
在为用户开通上网服务时,在aaa服务器上保存第二用户身份信息与公网地址池的对应关系,这样,在步骤s213中,aaa服务器就可以查找与第二用户身份信息对应的公网地址池。其中,为了便于实现,第二用户身份信息可以为用户名。
步骤s214,aaa服务器将该公网地址池的id携带在aaa授权应答报文中发送给bras设备;
步骤s215,bras设备在接收到该aaa授权应答报文之后,将用户表项中记录的私网地址池的id更新为该报文中携带的公网地址池的id;
步骤s216,在更新ip地址时,用户主机发出用于申请ip地址的第二地址申请报文;
其中,上述第二地址申请报文可以是dhcpdiscover报文或者dhcprequest报文。
步骤s217,bras设备接收到该第二地址申请报文之后,从用户表项中查找到对应的公网地址池的id,将该公网地址池的id携带在第二地址申请报文中发送给dhcp服务器;
步骤s218,dhcp服务器接收到该第二地址申请报文之后,从该报文中获取公网地址池的id,从该id所指示的公网地址池中选择一个公网ip地址分配给用户主机,将选中的公网ip地址携带在第二地址应答报文中发送给用户主机;
其中,当第二地址申请报文是dhcpdiscover报文时,第二地址应答报文是dhcpoffer报文,当第二地址申请报文是dhcprequest报文时,第二地址应答报文是dhcpack报文。
由于该第二地址应答报文会经由bras设备转发给用户主机,因此,bras设备可以从该报文中获取公网ip地址,将用户表项中记录的私网ip地址更新为该公网ip地址。
另外,bras设备在发现用户表项中记录的ip地址为公网ip地址时,会将该用户表项下发给硬件转发芯片,以便在用户主机的ip地址更新为该公网ip地址后,bras设备能够转发用户主机发来的数据流以及发往用户主机的数据流。
用户主机在接收到该第二地址应答报文后,会将本机的ip地址配置为该报文中携带的公网ip地址,使用该公网ip地址访问网络。
在如图4所示的方法中,bras设备通过与aaa服务器、dhcp服务器进行交互,首先bras设备将用户主机发来的第一地址申请报文中携带的用户主机的特征信息发送给aaa服务器,aaa服务器可以使用该特征信息对用户进行认证,并在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,并将该私网地址池的id发送给bras设备,随后bras设备将该私网地址池的id发送给dhcp服务器,dhcp服务器就可以从该id所指示的私网地址池中选择一个私网ip地址分配给用户主机;然后,再由aaa服务器对用户进行portal认证,并在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,并将该公网地址池的id发送给bras设备,bras设备接收到用户主机发来的第二地址申请报文后,就会将该公网地址池的id发送给dhcp服务器,这样,dhcp服务器就可以从该id所指示的公网地址池中选择一个公网ip地址分配给用户主机,从而实现了portal二次地址分配认证。通过对用户进行两次认证授权,来控制对应的地址池,即,第一次认证授权时授权私网地址池,第二次认证授权时授权公网地址池,实现了用户主机的私网ip地址和公网ip地址的转换,由于无需在bras设备的用户端口上配置主ip地址和从ip地址,也不限定主ip地址只能作为公网网关ip地址、从ip地址只能作为私网网关ip地址,因此,解决了现有技术中存在的配置限制比较大的问题。
显然,根据实际实施的需要,还可以将aaa服务器集成在bras设备上实现,将dhcp服务器部署在bras设备外部;或者,也可以将dhcp服务器集成在bras设备上实现,将aaa服务器部署在bras设备外部;本申请实施例对此不做限定。上述两种情况下的访问控制方法的交互流程可以参考图2和图4,这里不再赘述。
与前述访问控制方法的实施例相对应,本申请还提供了访问控制装置的实施例。
本申请访问控制装置60的实施例可以应用在bras设备上。该bras设备的硬件结构如图5所示,包括:处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50,此外,该bras设备通常根据该bras设备的实际功能,还可以包括其他硬件,对此不再赘述。
本申请实施例的访问控制装置60可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,上述bras设备的内存40中保存有于实现上述访问控制方法的指令,处理器10读取并运行内存40中保存的该指令,从而形成了如图6所示的访问控制装置60。
如图6所示,本申请实施例的访问控制装置60中包括:
认证授权单元601,用于接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机;还用于接收portal服务器发来的portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向portal服务器回应portal认证应答报文,以使portal服务器通知用户主机更新ip地址;
地址分配单元602,用于从私网地址池中选择一个私网ip地址分配给用户主机,以使用户主机使用该私网ip地址访问网络;还用于接收用户主机更新ip地址时发来的第二地址申请报文,从公网地址池中选择一个公网ip地址分配给用户主机,以使用户主机使用该公网ip地址访问网络。
其中,认证授权单元601具体用于通过以下方式接收用户主机发来的第一地址申请报文,对用户进行认证:
将第一地址申请报文携带的第一用户身份信息和第一用户密码与本地保存的第一用户身份信息和第一用户密码进行匹配,若均匹配,则认证通过。
其中,第一地址申请报文携带用户主机的特征信息,包括:mac地址、dhcp选项信息、以及接入位置信息;
第一用户身份信息由mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成;
第一用户密码由mac地址、dhcp选项信息、以及接入位置信息中的一项或多项组成。
其中,portal认证请求报文中携带用户名和密码;第二用户身份信息为用户名。
其中,上述访问控制装置60中还包括:表项处理单元603,其中:
表项处理单603,用于在地址分配单元602从私网地址池中选择一个私网ip地址分配给用户主机之后,在用户表项中记录该私网地址池的id和选中的私网ip地址;还用于在认证授权单元601将第二用户身份信息对应的公网地址池授权给用户主机之后,将用户表项中记录的私网地址池的id更新为该公网地址池的id;还用于在地址分配单元602从公网地址池中选择一个公网ip地址分配给用户主机之后,将用户表项中记录的私网ip地址更新为选中的公网ip地址。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!