一种认证方法及接入设备的制造方法
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种认证方法及接入设备。
【背景技术】
[0002]互联网协议版本6 (英文:Internet Protocol vers1n 6,缩写:IPv6)网络的建设方式一般是在互联网协议版本4(英文:Internet Protocol vers1n 4,缩写:IPv4)的网络中,进行IPv6网络的升级。在这种建设模式下,原有的IPv4用户也会进行IPv6升级为,用户终端同时支持IPv4协议、IPv6协议。
[0003]在同时采用IPv4协议、IPv6协议的网络中,用户需要分别进行两次基于网页的身份认证(web-based authenticat1n, web认证)来完成用户IPv4地址以及IPv6地址的授权。用户需要输入两次用户名和密码。
【发明内容】
[0004]本发明实施例提供的认证方法及接入设备,能够通过单次web认证完成IPv4地址以及IPv6地址的授权。
[0005]为达到上述目的,本发明实施例采用的技术方案是,
[0006]第一方面,公开了一种认证方法,应用于接入设备,所述方法包括:
[0007]对用户终端进行web认证,认证通过后,放开所述用户终端使用第一协议类型的互联网协议(英文:Internet Protocol,缩写:IP)地址访问网络的权限;
[0008]根据所述用户终端的第一协议类型的IP地址向默认网关查询所述用户终端的第二协议类型的IP地址;
[0009]放开所述用户终端使用所述第二协议类型的IP地址访问网络的权限。
[0010]结合第一方面,在第一方面的第一种可能的实现方式中,所述接入设备根据所述用户终端的第一协议类型的IP地址向默认网关查询所述用户终端的第二协议类型的IP地址,具体包括:
[0011]所述接入设备向所述默认网关发送第一简单网络管理协议(英文:SimpleNetwork Management Protocol,缩写:SNMP) SNMP请求报文,所述第一 SNMP请求报文携带所述用户的第一协议类型的IP地址;
[0012]所述接入设备接收所述默认网关发送的第一 SNMP响应报文,所述第一 SNMP响应报文携带所述用户终端的介质访问控制(英文:media access control,缩写:MAC)地址,所述用户终端的MAC地址是所述默认网关以所述用户终端的第一协议类型的IP地址为索引查找到的;
[0013]所述接入设备向所述默认网关发送第二 SNMP请求报文,所述第二 SNMP请求报文携带所述用户终端的MAC地址;
[0014]所述接入设备接收所述默认网关发送的第二 SNMP响应报文,所述第二 SNMP响应报文携带所述用户终端的第二协议类型的IP地址,所述用户终端的第二协议的IP地址是所述默认网关以所述用户终端的MAC地址为索引查找到的。
[0015]结合第一方面,在第一方面的第二种可能的实现方式中,所述接入设备根据所述用户终端的第一协议类型的IP地址向默认网关查询所述用户终端的第二协议类型的IP地址,具体包括:
[0016]所述接入设备向所述默认网关发送第三SNMP请求报文,所述第三SNMP请求报文携带所述用户终端的第一协议类型的IP地址;
[0017]所述接入设备接收所述默认网关发送的第三SNMP响应报文,所述第三SNMP响应报文携带所述用户终端的第二协议类型的IP地址,所述用户终端的第二协议类型的IP地址是所述默认网关以所述用户终端的第一协议类型的IP地址为索引查找到的。
[0018]第二方面,公开了一种接入设备,包括:
[0019]认证单元,用于对用户终端进行web认证;
[0020]授权单元,用于在认证通过后,放开所述用户终端使用第一协议的IP地址访问网络的权限;
[0021]查询单元,用于根据所述用户终端的第一协议的IP地址向默认网关查询所述用户终端的第二协议类型的IP地址;
[0022]所述授权单元,还用于放开所述用户终端第二协议类型的IP地址访问网络的权限。
[0023]结合第二方面,在第二方面的第一种可能的实现方式中,所述查询单元具体用于,
[0024]向所述默认网关发送第一 SNMP请求报文,所述第一 SNMP请求报文携带所述用户终端的第一协议类型的IP地址;
[0025]接收所述默认网关发送的第一 SNMP响应报文,所述第一 SNMP响应报文携带所述用户终端的MAC地址,所述用户终端的MAC地址是所述默认网关以所述用户终端的第一协议类型的IP地址为索引查找到的;
[0026]向所述默认网关发送第二 SNMP请求报文,所述第二 SNMP请求报文携带所述用户终端的MAC地址;
[0027]接收所述默认网关发送的第二 SNMP响应报文,所述第二 SNMP响应报文携带所述用户终端的第二协议类型的IP地址,所述用户终端的第二协议的IP地址是所述默认网关以所述用户终端的MAC地址为索引查找到的。
[0028]结合第二方面,在第二方面的第一种可能的实现方式中,所述查询单元具体用于,
[0029]向所述默认网关发送第三SNMP请求报文,所述第三SNMP请求报文携带所述用户终端的第一协议类型的IP地址;
[0030]接收所述默认网关发送的第三SNMP响应报文,所述第三SNMP响应报文携带所述用户终端的第二协议类型的IP地址,所述用户终端的第二协议类型的IP地址是所述默认网关以所述用户终端的第一协议类型的IP地址为索引查找到的。
[0031]本发明提供的认证方法及接入设备,进行web认证之后放开用户终端使用第一协议类型的IP地址访问网络的权限,根据用户终端的第一协议类型的IP地址获取所述用户终端的第二协议类型的IP地址,放开所述用户终端使用第二协议类型的IP地址访问网络的权限。就可以在对用户的IPv4地址(或IPv6地址)进行授权之后,根据用户的IPv4地址(或IPv6地址)获取用户的IPv6地址(或IPv4地址),对用户的IPv6地址(或IPv4地址)进行授权。相比现有技术需要通过两次web认证分别对用户终端的IPv4地址、IPv6地址进行授权,本发明提供的方法及设备,仅通过一次web认证就可以实现对用户终端的IPv4地址、IPv6地址的授权,节省了网络开销。
【附图说明】
[0032]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0033]图1为web认证系统的组成示意图;
[0034]图2为本发明实施例1提供的认证方法的流程示意图;
[0035]图3为本发明实施例2提供的接入设备的结构框图;
[0036]图4为本发明实施例3提供的接入设备的结构框图。
【具体实施方式】
[0037]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。
[0038]如图1所示,为使用web服务器的web认证系统的组成示意图。其中,认证客户端(例如:web认证客户端)是安装在用户终端上的客户端软件,可以是运行超文本传输协议(英文:Hypertext Transfer Protocol,缩写:HTTP)的浏览器或用户终端上安装的认证软件。
[0039]web服务器:是接收认证客户端发送的认证请求的服务器,用于向用户提供门户网页服务和web认证页面。接收用户在web认证页面输入的认证信息(例如:用户名和密码),向接入设备发送用户输入的认证信息。
[0040]接入设备:是负责接入网络的设备,可以是交换机、路由器等。举例来说,接入设备主要有三方面的作用:在认证之前,将用户终端的所有HTTP请求都重定向到web服务器。在认证过程中,与web服务器进行执行CHAP (Challenge-Handshake Authenticat1nProtocol,质询握手验证协议)报文验证;与认证计费服务器通信,以进行RADIUS(RemoteAuthenticat1n Dial In User Service,远程用户拨号认证服务)报文交互流程。接收web服务器发送的认证信息,完成用户认证。在认证通过后,允许用户访问互联网。
[0041 ] web服务器和接入设备可以由同一台物理设备实现。这种情况下,无需CHAP流程。
[0042]在二层架构中,接入设备与用户的终端物理连接,可以学习到用户终端的MAC地址,因此可以根据用户的MAC地址对用户进行认证授权。在三层架构中,接入设备与用户的终端间存在三层转发设备,接入设备不能学习到用户的MAC地址,因此需要根据用户的IP地址对用户进行认证授权。对于支持IPv4、IPV6的终端,需要进行两次web认证放开用户IPv4地址、IPV6地址访问网络的权限。
[0043]本发明主要针对三层架构提出一种认证方法,能够通过单次web认证完成IPv4地址以及IPv6地址的授权。
[0044]另外,对本发明涉及的几个基本概念做以说明。Web认证:未认证用户上网时,可以登录到特定站点,访问其中的内容。当用户需要访问互联网时,必须在web服务器提供的web认证页面提交认证信息进行认证,只有认证通过后才可以访问互联网。用户可以主动访问已知的web认证网站,输入用户名和密码以进行认证。如果用户试图通过H