[发明专利]一种互联网用户访问权限的控制方法及系统

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种互联网用户访问权限的控制方法及系统。

背景技术

在宽带网络中，如果用户终端发出网络接入请求，网络中负责IP地址分配的服务器会为该发出网络接入请求的用户终端分配一个互联网(IP)地址，以便用户终端可以接入网络。目前宽带网络中的参与用户终端网络接入的服务器都是采用标准的DHCP协议的DHCPv6服务器和DHCPv6中继服务器。DHCPv6(Dynamic Host Configuration Protocol Version 6，动态主机分配协议版本6)是一种动态分配IPv6地址的协议，广泛应用于各种IPv6网络中。在用户终端进行网络接入时，首先由用户终端向DHCPv6中继服务器发出DHCP请求报文申请接入网络，DHCPv6中继服务器接到该请求报文后，将其中转给DHCPv6服务器，DHCPv6服务器收到用户终端的DHCP请求报文后，把分配给用户终端的IP地址等网络初始化信息及自己的IP地址记载在DHCP响应报文中，发给DHCPv6中继服务器，再由DHCPv6中继服务器将收到的DHCPv6服务器的DHCP响应报文中转给用户终端，用户终端获得IP地址，从而该用户终端接入网络。由于DHCPv6本身没有严格的安全认证机制，在不安全的网络环境下会出现因IPv6地址欺骗、MAC地址欺骗、恶意分配IPv6地址以致IPv6资源匮乏等问题，

为了解决上述问题，现有技术中规定了中继代理信息选项，即Option 38，Option 38并没有一个确定的内容和格式，常规写法是“接入VLAN ID+接入端口ID+交换机标识”，通过这几个信息组成的字符串可以唯一确定用户接入的物理位置。用户终端发出的DHCPv6地址请求报文在通过接入交换机时，接入交换机会在DHCP选项中添加VLAN(Virtual Local Area Network，虚拟局域网标识)ID、交换机端口号等信息，并发给DHCPv6服务器，这样DHCP服务器就可以通过VLANID、交换机端口号等信息和用户信息关联。

一般管理员在DHCPv6 Server上配置基于Option 38的地址分配策略。DHCPv6 Server根据DHCPv6请求中的Option 38信息来判断当前请求是否匹配相应策略而分配不同的地址，然后将从用户的DHCPv6报文中获取的Option 38与预设的数据库中内容进行比对，若有匹配的字符串则认为用户接入合法并分配IPv6地址。同时，为了防止用户非法接入网络，一般在接入网络中采用802.1x认证。802.1x是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-Based Network Access Control)而定义的一个标准，该标准目前已经在无线局域网和以太网中被广泛应用。PC用户终端安装802.1x认证客户端，用户终端通过认证后即可以合法的接入网络，访问各种资源。

目前的802.1x认证存在这样的缺陷，用户终端在认证前无法访问任何资源，通过认证后又可以访问所有资源，这就造成对互联网用户访问权限的控制只有完全不能访问和全部可以访问这两种状态，而这种访问权限力度太粗，无法实现用户权限的精细化控制。因此，本发明提出一种互联网用户访问权限的控制方法及系统。

发明内容

为克服现有技术中存在的缺陷和不足，本发明提出一种互联网用户访问权限的控制方法及系统，基于DHCPv6 Option 38利用两次IP获取来调整互联网用户的访问权限，避免了非法用户终端接入网络，同时实现了对合法终端用户通过认证后权限的精细化控制。

本发明公开了一种互联网用户访问权限的控制方法，所述方法包括如下步骤：

S1.用户终端发送DHCPv6请求，中继单元在DHCPv6请求中附加Option 38后中转到DHCPv6服务器；

S2.DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6服务器分配一次IPv6地址，用户终端获得第一次IPv6地址；

S3.认证单元对用户终端的认证请求进行认证，如通过认证，用户终端再次发送DHCPv6请求，中继单元对DHCPv6请求附加认证后的Option 38信息中转给DHCPv6服务器；

S4.DHCPv6服务器对Option 38信息与预存的信息进行匹配，如匹配成功，DHCPv6服务器分配二次IPv6地址，用户终端获得第二次IPv6地址；

S5.用户终端根据两次IPv6地址访问网络。