[发明专利]一种在网络接入控制系统中透传IPv6地址的方法

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种在网络接入控制系统中透传IPV6地址的方法。

背景技术

随着网络应用的日益普及与深入，网络安全日益成为非常重要的问题。网络接入控制（Network Access Control，NAC）技术方案的应用提供了一个相对完整的网络安全解决方案。例如：H3C的Endpoint Admission Domination（EAD），Cisco的Network Admission Control（CNAC）等都是网络接入控制应用系统。一般来说，网络接入控制应用系统由身份认证服务器、安全策略服务器、接入设备和客户端软件组成。

在客户端通过身份认证后，需要与安全策略服务器通信完成用户终端的安全检查，以确保其无危险地接入网络系统。其中客户端与安全策略服务器间的通信一般使用应用层协议，通常是由客户端主动发起的，因而在它们通信前，客户端必须获取到安全策略服务器的IP地址和监听端口。

在802.1x和RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证系统）服务器配合进行身份认证的系统中，客户端获取安全策略服务器地址的方法有两种：一种是通过RADIUS协议的Vendor-Specific属性扩展的方式，另一种则是通过RADIUS报文透传md5-challenge的方式。其中：

Vendor-Specific属性扩展的方式，具体是指生产厂商在RAIUDS的Vendor-Specific属性中自定义两个属性分别为安全策略服务器的IP地址和监听端口，所述RADIUS认证服务器通过RAIUDS报文发送给NAS（Network Access Server，网络接入服务器）接入设备，NAS接入设备首先解析出这两个属性，然后通过EAP（Extensible Authentication Protocol，可扩展认证协议）报文发给客户端。但是，某一厂商的NAS接入设备通常无法解析其他厂商自定义的私有属性，因此本方案不适用于多厂商网络设备共同组成的接入网络。

透传MD5-Challenge的方式，则是利用MD5-Challenge属性中未被使用的字节来携带安全策略服务器的IP地址和监听端口。具体地，RADIUS认证服务器在RADIUS协议的Access-challenge报文的EAP-Message属性中透传该MD5-Challenge属性，即该属性的前8个字节被MD5-Challenge的随机数占用，后8个字节用来设置为安全策略服务器的IP地址和监听端口。NAS接入设备会将该属性毫无改变地通过EAP报文发送给客户端，这样安全策略服务器的IP地址和监听端口就送达客户端了。然而，这种方式只适用于IPv4的网络环境，不适用于IPv6的网络环境。因为IPv6地址需要占用16个字节，而MD5-Challenge属性只有16个字节，除了携带MD5-challenge值内容外，没有足够的空间再携带IPv6地址。因此，该方案并不适用与IPv6网络环境。

发明内容

有鉴于此，本发明提供一种在网络接入控制系统中透传IPV6地址的方法，可以解决在网络接入控制系统中，将指定的IPv6地址从策略服务器透传到客户端的问题。

为实现本发明目的，本发明实现方案具体如下：

一种网络接入控制系统中透传IPV6的方法，应用于包括客户端、接入设备、策略服务器和RADIUS服务器的网络接入控制系统中，其中，所述RADIUS服务器在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Accept报文前，向用户终端发送一个Access-Challenge报文，其中携带一个EAP-Message属性，在该EAP-Message中的EAP Request报文的Expanded Types扩展类型中携带策略服务器的IPv6地址与监听端口。

与现有的技术方案相比，本发明通过在该EAP-Message属性中的EAP Request报文的Expanded Types携带策略服务器的IPv6地址与监听端口，所述EAP Request报文发送给客户端后，客户端解析出策略服务器的IPv6地址和监听端口Port这个两个扩展属性，并回应一个EAP Response报文，其携带确认收到IPv6地址和监听端口的属性。通过本发明，可以解决在网络接入控制系统中，将指定的IPv6地址从策略服务器透传到客户端的问题。

附图说明

图1是本发明网络接入控制系统的结构示意图。