[发明专利]一种对双栈用户进行访问控制的方法和设备

权利要求书

1.一种对双栈用户进行访问控制的方法，应用于包括客户端、DHCP中继设备和访问控制设备的Portal网络系统，其特征在于，所述访问控制设备上部署有DHCPv4服务器、DHCPv6服务器和Portal认证网关，且维护有用于记录IPv4地址和IPv6地址对应关系的用户地址表；在所述客户端通过DHCP中继设备向所述访问控制设备发送地址分配请求消息后，该方法包括以下步骤：

所述访问控制设备接收来自所述DHCP中继设备的地址分配请求消息，所述地址分配请求消息中携带所述客户端的用户标识信息；

所述访问控制设备利用所述用户标识信息在所述用户地址表中记录所述客户端的IPv4地址和IPv6地址的对应关系；

在所述访问控制设备接收到所述客户端基于IPv4地址的网络访问请求，并对所述客户端认证通过后，所述访问控制设备从所述用户地址表中查询所述IPv4地址对应的IPv6地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限；

在所述访问控制设备接收到所述客户端基于IPv6地址的网络访问请求，并对所述客户端认证通过后，所述访问控制设备从所述用户地址表中查询所述IPv6地址对应的IPv4地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限。

2.如权利要求1所述的方法，其特征在于，所述访问控制设备利用所述用户标识信息在所述用户地址表中记录所述客户端的IPv4地址和IPv6地址的对应关系，具体包括：

在所述访问控制设备利用所述地址分配请求消息为所述客户端分配IPv4地址后，所述访问控制设备查询所述用户地址表中是否记录有所述用户标识信息与IPv6地址的对应关系；如果有，则将分配的IPv4地址添加到该对应关系中；如果没有，则在所述用户地址表中记录所述用户标识信息与分配的IPv4地址的对应关系；或者，

在所述访问控制设备利用所述地址分配请求消息为所述客户端分配IPv6地址后，所述访问控制设备查询所述用户地址表中是否记录有所述用户标识信息与IPv4地址的对应关系；如果有，则将分配的IPv6地址添加到该对应关系中；如果没有，则在所述用户地址表中记录所述用户标识信息与分配的IPv6地址的对应关系。

3.如权利要求1或2所述的方法，其特征在于，

所述用户标识信息为所述DHCP中继设备获取并添加到所述地址分配请求消息中的。

4.如权利要求1或2所述的方法，其特征在于，

当所述地址分配请求消息用于请求分配IPv4地址时，所述用户标识信息携带在所述地址分配请求消息的option 82中；

当所述地址分配请求消息用于请求分配IPv6地址时，所述用户标识信息携带在所述地址分配请求消息的option 18或37中。

5.如权利要求1或2所述的方法，其特征在于，

所述用户标识信息为：所述客户端接入的DHCP中继设备的标识、所述客户端接入的端口信息、以及所述客户端的VLAN信息；或者，所述客户端的MAC地址信息。

6.一种访问控制设备，应用于包括客户端、DHCP中继设备和所述访问控制设备的Portal网络系统，其特征在于，所述访问控制设备上部署有DHCPv4服务器、DHCPv6服务器和Portal认证网关，且所述访问控制设备包括：

维护模块，用于维护用户地址表，所述用户地址表用于记录IPv4地址和IPv6地址对应关系；

接收模块，用于接收来自所述DHCP中继设备的地址分配请求消息，所述地址分配请求消息中携带所述客户端的用户标识信息；

处理模块，用于利用所述用户标识信息在所述用户地址表中记录所述客户端的IPv4地址和IPv6地址的对应关系；

控制模块，用于在接收到所述客户端基于IPv4地址的网络访问请求，并对所述客户端认证通过后，从所述用户地址表中查询所述IPv4地址对应的IPv6地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限；

在接收到所述客户端基于IPv6地址的网络访问请求，并对所述客户端认证通过后，从所述用户地址表中查询所述IPv6地址对应的IPv4地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限。