[发明专利]一种对双栈用户进行访问控制的方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种对双栈用户进行访问控制的方法和设备。

背景技术

Portal网络系统包括：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。基于Portal网络系统，对用户进行访问控制的流程主要包括：(1)未认证用户访问网络时，通过在IE地址栏中输入一个互联网的地址，认证客户端发起HTTP请求，该HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；(2)用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器将用户的认证信息传递给接入设备；(3)接入设备与认证/计费服务器通信进行认证和计费；(4)认证通过后，如果未对用户采用安全策略，则接入设备会打开认证客户端与互联网的通路，允许认证客户端访问互联网；如果对用户采用了安全策略，则认证客户端、接入设备与安全策略服务器交互，对认证客户端的安全检测通过之后，安全策略服务器根据认证客户端的安全性授权用户访问非受限资源。

现有Portal网络系统中，如果希望同时对IPv4(Internet Protocol Version 4，因特网协议版本4)和IPv6(表示为IPv4/IPv6)用户进行上网控制，则需要Portal认证网关能够区分同一用户的IPv4上网流程和IPv6上网流程，即能够从其地址分配过程中，找出同一用户的IPv4地址和IPv6地址。这一过程可以基于MAC(Media Access Control，媒体访问控制)地址进行区分，生成MAC地址+IPv4地址+IPv6地址的用户信息表，进而控制其IPv4/IPv6上网权限。

但是，(1)在Portal认证网关部署在汇聚层之上(即跨越了三层设备之后)时，用户的MAC地址可能被中间路由设备丢失，从而无法建立起同一用户的IPv4/IPv6地址之间的关联关系。(2)在DHCPv6(Dynamic Host Configuration Protocol for IPv6，支持IPv6的动态主机配置协议)地址分配流程中，经过DHCPv6 Relay(中继)后MAC地址信息将不存在，从而无法建立起同一用户的IPv4/IPv6地址之间的关联关系。(3)如果地址分配流程中的报文不经过Portal认证网关，则Portal认证网关无法得知用户的IPv4/IPv6地址关联关系，从而无法建立起同一用户的IPv4/IPv6地址之间的关联关系。

因此，上述几种情况下都会导致Portal认证网关无法获知同一用户的IPv4/IPv6地址之间的关联，进而无法对同一用户进行双栈上网的访问控制。

发明内容

本发明提供一种对双栈用户进行访问控制的方法和设备，以实现对双栈用户进行网络访问控制。

为了达到上述目的，本发明提供一种对双栈用户进行访问控制的方法，应用于包括客户端、DHCP中继设备和访问控制设备的Portal网络系统，所述访问控制设备上部署有DHCPv4服务器、DHCPv6服务器和Portal认证网关，且维护有用于记录IPv4地址和IPv6地址对应关系的用户地址表；在所述客户端通过DHCP中继设备向所述访问控制设备发送地址分配请求消息后，该方法包括以下步骤：所述访问控制设备接收来自所述DHCP中继设备的地址分配请求消息，所述地址分配请求消息中携带所述客户端的用户标识信息；所述访问控制设备利用所述用户标识信息在所述用户地址表中记录所述客户端的IPv4地址和IPv6地址的对应关系；在所述访问控制设备接收到所述客户端基于IPv4地址的网络访问请求，并对所述客户端认证通过后，所述访问控制设备从所述用户地址表中查询所述IPv4地址对应的IPv6地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限；在所述访问控制设备接收到所述客户端基于IPv6地址的网络访问请求，并对所述客户端认证通过后，所述访问控制设备从所述用户地址表中查询所述IPv6地址对应的IPv4地址，并打开所述IPv4地址以及所述IPv6地址的网络访问权限。