[发明专利]IPv6/IPv4地址分级访问权限控制方法和访问控制网关

说明书

技术领域

本发明涉及网络通信领域，更具体地，涉及一种对因特网协议版本6/因特网协议版本4(IPv6/IPv4)双栈地址相互间的访问权限控制方法和访问控制网关(NAS)。

背景技术

近年来，随着互联网的发展，各种新型宽带接入技术层出不穷，在全球范围内得到了广泛应用。但无论使用何种宽带接入技术访问互联网络，认证计费问题都是网络接入商和最终用户共同关注的一个问题。

对于网络运营商而言，认证计费是不可缺少的功能需求。然而，绝大多数网络运营商的认证计费系统都是基于传统的IPv4网络设计的，仅有允许和禁止两种访问控制权限，远远不能满足访问控制多样化的需求。首先，单一的准入控制模式无法区分网内和网外、国内和国外流量，导致稀缺带宽资源和富裕带宽资源被同等对待，不仅使运营商流失了大量的利润来源，同时也使用户对所收的费用、所获得的服务产生不满；其次，传统的认证计费系统对通过认证之后的用户访问完全不做控制，运营商对网络的监控能力减弱，由此造成了一些网络安全方面的隐患。随着IPv6的应用以及人们对网络安全、网络分级的重视，基于IPv6的分级身份认证与访问控制系统正成为未来网络接入的发展趋势。

发明内容

本发明的目的在于提供一种兼容IPv6的IPv6/IPv4地址分级访问控制授权方法，使用该方法可以高效灵活地对接入终端用户实现认证计费功能。根据本发明，对所有待访问IPv6/IPv4地址进行区分，依据资源、带宽、距离等分成不同的域组，然后再给网内认证过后的IPv6/IPv4地址赋予对应的访问控制权限，使得网内IPv6/IPv4地址能够访问一个或多个特定的IPv6/IPv4地址域，为网络运营商提供多级、灵活的访问权限控制功能，利于网络运营商实现业务多样化，增加其对网络的监控管理能力。

根据本发明的第一方案，提出了一种分级访问权限控制方法，包括以下步骤：从来自客户端的数据包中提取出源地址和目的地址的访问权限属性；根据源地址和目的地址的访问权限属性，确定是否允许客户端对目的地址进行访问；在确定允许客户端对目的地址进行访问的情况下，复制数据包的包头，进行流量统计，并向目的地址转发数据包；以及在确定不允许客户端对目的地址进行访问的情况下，直接丢弃数据包。

优选地，所述分级访问权限控制方法还包括以下步骤：在确定不允许客户端对目的地址进行访问的情况下，根据访问端口参数，确定是否对数据包进行重定向；在确定需要对数据包进行重定向的情况下，修改数据包的包头中的目的地址和/或目的端口，并向修改后的目的地址转发数据包；以及在确定不需要对数据包进行重定向的情况下，直接丢弃数据包。

优选地，目的地址被划分为多个地址域，以及源地址的访问权限属性包括针对每一地址域的访问权限。

更优选地，所述多个地址域包括以下主地址域：本地接入网、城域网、国内互联网、国际互联网、禁止访问，每个目的地址属于且仅属于上述主地址域之一。或者，可选地，所述多个地址域是由网络运营商定义的自定义域，每个目的地址属于一个或多个自定义域。

更优选地，所述多个地址域还包括：由网络运营商定义的自定义域，每个目的地址属于一个或多个自定义域。

进一步优选地，源地址和目的地址中的每一个都具有与之对应的访问权限字段，所述访问权限字段中的第一部分用于标识自定义域，以及所述访问权限字段中的第二部分用于标识访问权限控制信息。

优选地，通过对源地址和目的地址的访问权限属性进行逻辑与操作，确定是否允许客户端对目的地址进行访问，当逻辑与操作所得到的结果为真时，确定允许客户端对目的地址进行访问；而当逻辑与操作所得到的结果为假时，确定不允许客户端对目的地址进行访问。

根据本发明的第二方案，提出了一种访问控制网关，包括：访问权限提取装置，用于从来自客户端的数据包中提取出源地址和目的地址的访问权限属性；以及访问控制装置，用于根据源地址和目的地址的访问权限属性，确定是否允许客户端对目的地址进行访问；数据包转发装置，用于在所述访问控制装置确定允许客户端对目的地址进行访问的情况下，复制数据包的包头，进行流量统计，并向目的地址转发数据包，以及在所述访问控制装置确定不允许客户端对目的地址进行访问的情况下，直接丢弃数据包。