[发明专利]一种实现双栈web认证的方法和认证网关

说明书

本发明公开了一种实现双栈web认证的方法和认证网关。该方法包括：基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址；当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态；当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。应用本发明实施例能够避免重复认证。

技术领域

本发明涉及通信技术领域，特别是涉及一种实现双栈web认证的方法和认证网关。

背景技术

网络接入认证是保证网络安全性重要的手段。通过网络接入认证，可以有效的阻断非法用户接入网络。

通过web页面进行的无客户端软件认证方式，在园区网有着广泛的应用。与采用客户端软件方式的认证相比，有着以下优势：

用户使用方便，不必安装维护客户端软件。当用户在多个网络内使用时，不必针对每个网络安装相应的客户端软件；而且，方案部署简单，由于没有客户端软件，因此不会出现客户端软件程序与操作系统不兼容的问题。

目前，通过web页面进行的无客户端软件认证的方法包括如下步骤：

步骤1，用户通过web页面第一次访问网络时，认证网关会仿冒用户访问的web服务器，将用户的web访问重定向到Portal服务器。

步骤2，Portal服务器返回用户登录页面。用户在登录页面上输入用户名和密码。

步骤3，Portal服务器使用用户名、密码，并携带用户的IP地址、MAC地址等信息，到AAA系统对用户进行认证。其中，所述IP地址和MAC地址一般从用户的报文中获得。

步骤4，如果用户认证通过，则AAA系统向认证网关下发策略，允许这个IP地址的用户访问网络。

可见，采用现有的web认证方法时，如果用户设备同时配置了两类IP地址，比如同时配置了IPv4地址和IPv6地址，当同一用户分别使用这两类IP地址接入网络时，认证网关会针对这两类IP地址分别进行认证，导致重复认证，浪费网络认证资源。

发明内容

有鉴于此，本发明提出了一种实现双栈web认证的方法和认证网关，能够在同一用户分别使用两类IP地址接入网络时，比如分别使用IPv4地址和IPv6地址接入网络时，避免重复认证。

本发明提出的技术方案是：

一种实现双栈web认证的方法，该方法包括：

基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；

接收用户的网络访问请求报文，获取该网络访问请求报文中的用户信息，所述用户信息包括第一类IP地址；

当该第一类IP地址未通过认证时，根据所述第一对应关系表和所述第二对应关系表获取第二类IP地址的认证状态；

当所述第二类IP地址通过认证时，标识所述第一类IP地址通过认证。

一种认证网关，该认证网关包括实现双栈web认证的认证装置，所述认证装置包括表项建立模块和关联认证模块；

所述表项建立模块，用于基于为用户分配IP地址的交互报文，建立用户的第一类IP地址与所述用户的MAC地址的第一对应关系表、以及所述用户的第二类IP地址与所述用户的MAC地址的第二对应关系表；