專利名稱:一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法和系統(tǒng)����,屬于數(shù)據(jù)通信技術(shù)領(lǐng)域。
背景技術(shù):
802. lx稱為基于端口的訪問控制協(xié)議(Port Based Network AccessControl Protocol)����?���;诙丝诘脑L問控制能夠提供一種對連接到局域網(wǎng)(Local Area Network, 簡稱LAN)的設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手段�。通過這種方式的認(rèn)證,能夠在LAN這種 多點(diǎn)訪問環(huán)境中提供一種點(diǎn)對點(diǎn)的識(shí)別用戶的方式�。這里端口是指連接到LAN的一個(gè)單 點(diǎn)結(jié)構(gòu),可以是被認(rèn)證系統(tǒng)的媒體訪問控制(Media Access Control,簡稱MAC)地址���,也 可以是服務(wù)器或網(wǎng)絡(luò)設(shè)備連接LAN的物理端口�,或者是在IEEE 802. ll(TheInstitute of Electrical and Electronics Engineers,美國電氣禾口電子工程師協(xié)會(huì))無線LAN環(huán)境中 定義的工作站和訪問點(diǎn)����。
802. lx認(rèn)證體系中有三種角色
1. Supp 1 i cant客戶端 客戶端指LAN所連接的一端的實(shí)體(entity)����,通常是運(yùn)行在用戶計(jì)算機(jī)上的客戶 端軟件。它向認(rèn)證系統(tǒng)(Authenticates)發(fā)起請求����,對用戶身份的合法性進(jìn)行檢驗(yàn)。
2. Authenticator認(rèn)證系統(tǒng) 認(rèn)證系統(tǒng)指在LAN連接的一端用于認(rèn)證另一端設(shè)備的實(shí)體(entity)��,通常是交換 機(jī)�����。 3. Authentication Server認(rèn)i正月艮務(wù)器 認(rèn)證服務(wù)器指為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體。這里認(rèn)證服務(wù)器所提供的服務(wù) 是指通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)��,來判斷該請求者是否有權(quán)使用認(rèn)證系統(tǒng)所提供 的網(wǎng)絡(luò)服務(wù)���。通常使用遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(Remote Authentication Dial In User Service,簡稱RADIUS)服務(wù)器作為認(rèn)證服務(wù)器���。 RADIUS是當(dāng)前流行的AAA協(xié)議,AAA是授權(quán)(Authorization)�、認(rèn)證 (Authentication)禾口計(jì)費(fèi)(Accounting)的簡稱。 RADIUS協(xié)議采用客戶/服務(wù)器(Client/Server)結(jié)構(gòu)�����,采用UDP作為傳輸協(xié)議����。 RADIUS的客戶端通常運(yùn)行于網(wǎng)絡(luò)接入服務(wù)器(Network AccessServer,簡稱NAS)上,客 戶端的任務(wù)是將用戶的信息發(fā)送到指定的服務(wù)器���,然后根據(jù)服務(wù)器的不同響應(yīng)進(jìn)行處理��。 RADIUS服務(wù)器通常運(yùn)行于一臺(tái)工作站上�,其任務(wù)是接收客戶發(fā)來的請求,認(rèn)證用戶的權(quán)限�, 并返回客戶向用戶提供服務(wù)時(shí)所需的配置信息。RADIUS的服務(wù)器端的數(shù)據(jù)庫中存放著所有 的安全信息����。 網(wǎng)絡(luò)接入服務(wù)器在前述802. lx認(rèn)證體系中即Authenticator,通常由交換機(jī)承擔(dān) 此角色。 由于因特網(wǎng)(Internet)的規(guī)模以及目前網(wǎng)絡(luò)中數(shù)量龐大的IPv4用戶和設(shè)備�����, IPv4到IPv6的過渡不可能一次性實(shí)現(xiàn)����。在IPv4到IPv6的過渡期間,需要解決IPv6結(jié)點(diǎn)
4CN 101697550 A
說明書
2/6頁
與IPv4結(jié)點(diǎn)互通的問題���。 實(shí)現(xiàn)IPv6結(jié)點(diǎn)與IPv4結(jié)點(diǎn)互通的最直接的方式是在IPv6結(jié)點(diǎn)中加入IPv4協(xié)議 棧。具有雙協(xié)議棧的結(jié)點(diǎn)稱作"IPv6/v4結(jié)點(diǎn)"����,這些結(jié)點(diǎn)既可以收發(fā)IPv4分組,也可以收發(fā) IPv6分組���。它們可以使用IPv4協(xié)議與IPv4結(jié)點(diǎn)互通��,也可以直接使用IPv6協(xié)議與IPv6
結(jié)點(diǎn)互通�。 IPv6與IPv4網(wǎng)絡(luò)將會(huì)長期共存,實(shí)際應(yīng)用中普遍使用雙協(xié)議棧����。在這種應(yīng)用場景 下,存在一些安全問題��,如惡意用戶可以使用IPv6非法訪問采用了 IPv4和IPv6兩種協(xié)議 的LAN的網(wǎng)絡(luò)資源���,攻擊者可以通過安裝了雙棧IPv6主機(jī)���,建立由IPv6到IPv4的隧道,繞 過防火墻對IPv4網(wǎng)絡(luò)進(jìn)行攻擊���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法和系統(tǒng)��,使得用戶只有在經(jīng) 過許可的情況下才能訪問網(wǎng)絡(luò)中的IPv4或IPv6資源��。 為實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法��,所述方法包 括 步驟Sl,客戶端發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求����; 步驟S2,認(rèn)證交換機(jī)接收到認(rèn)證請求后����,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給遠(yuǎn) 程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS服務(wù)器; 步驟S3�����, RADIUS服務(wù)器根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證����,如果認(rèn)證成功則在用 戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息,并將所述配置信息附加在認(rèn)證成功消息 中發(fā)送給客戶端�,否則向客戶端發(fā)送認(rèn)證失敗消息; 步驟S4��,客戶端收到認(rèn)證成功消息時(shí)��,根據(jù)消息中的所述配置信息配置用戶的訪 問權(quán)限����。 為了實(shí)現(xiàn)上述目的����,本發(fā)明還提供了一種RADIUS服務(wù)器��,用于根據(jù)用戶認(rèn)證信息 對用戶進(jìn)行認(rèn)證�����,如果認(rèn)證成功則在用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息��, 并將所述配置信息附加在認(rèn)證成功消息中發(fā)送給客戶端����,否則向客戶端發(fā)送認(rèn)證失敗消 息���。 為了實(shí)現(xiàn)上述目的�����,本發(fā)明又提供了一種客戶端����,用于發(fā)送包括用戶認(rèn)證信息的 認(rèn)證請求����;以及在收到認(rèn)證成功消息時(shí)���,根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限。
為了實(shí)現(xiàn)上述目的����,本發(fā)明再提供了一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng),所述系統(tǒng) 包括客戶端��、認(rèn)證交換機(jī)和RADIUS服務(wù)器���; 所述客戶端用于發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求�;以及在收到認(rèn)證成功消息 時(shí)��,根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限�; 所述認(rèn)證交換機(jī)與客戶端和RADIUS服務(wù)器連接,用于接收到客戶端發(fā)來的認(rèn)證 請求后�����,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給RADIUS服務(wù)器�; 所述RADIUS服務(wù)器用于根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證,如果認(rèn)證成功則在 用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息�����,并將所述配置信息附加在認(rèn)證成功消 息中發(fā)送給客戶端����,否則向客戶端發(fā)送認(rèn)證失敗消息。 本發(fā)明通過在RADIUS服務(wù)器上確定用戶的訪問權(quán)限的配置信息���,并將配置信息發(fā)送給客戶端��,由客戶端配置用戶的訪問權(quán)限����,可以限制用戶對IPv4或IPv6網(wǎng)絡(luò)資源的訪 問����,從而杜絕可能的非法操作,達(dá)到保護(hù)這些資源的目的��。
圖1為本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法實(shí)施例一示意圖
圖2為本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法實(shí)施例二示意圖
圖3為本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例一示意圖
圖4為本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例二示意圖
圖5為本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例三示意圖
具體實(shí)施例方式
本發(fā)明的目的是提供一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法和系統(tǒng)�,使得用戶只有在經(jīng) 過許可的情況下才能訪問網(wǎng)絡(luò)中的IPv4或IPv6資源。 下面結(jié)合附圖對本發(fā)明進(jìn)行說明���,本發(fā)明提供了一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方 法��,圖1給出了本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法實(shí)施例一示意圖�,所述方法包括
步驟Sl,客戶端發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求���;
例如所述客戶端可以為802. lx認(rèn)證客戶端���。 步驟S2,認(rèn)證交換機(jī)接收到認(rèn)證請求后���,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給 RADIUS服務(wù)器�; 所述認(rèn)證交換機(jī)可以為網(wǎng)絡(luò)接入交換機(jī)�����。 步驟S3�, RADIUS服務(wù)器根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證,如果認(rèn)證成功則在用
戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息�����,并將所述配置信息附加在認(rèn)證成功消息
中發(fā)送給客戶端����,否則向客戶端發(fā)送認(rèn)證失敗消息�; 所述用戶的訪問權(quán)限的配置信息可以為配置值�����,例如 配置值為0表示禁止訪問IPv4和IPv6網(wǎng)絡(luò)����; 配置值為1表示允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)���; 配置值為2表示禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)�; 配置值為3表示允許訪問IPv4和IPv6網(wǎng)絡(luò)���。 步驟S4�����,客戶端收到認(rèn)證成功消息時(shí)�,根據(jù)消息中的所述配置信息配置用戶的訪 問權(quán)限�。 所述根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限具體可以為 當(dāng)所述配置信息為禁止訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí),禁用用戶主機(jī)上的IPv4
和IPv6協(xié)議; 當(dāng)所述配置信息為允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)的配置時(shí)����,啟用用戶 主機(jī)上的IPv4協(xié)議�,并禁用用戶主機(jī)上的IPv6協(xié)議�; 當(dāng)所述配置信息為禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)的配置時(shí),禁用用戶 主機(jī)上的IPv4協(xié)議��,并啟用用戶主機(jī)上的IPv6協(xié)議���; 當(dāng)所述配置信息為允許訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí)�����,啟用用戶主機(jī)上的IPv4 和IPv6協(xié)議����。
6
本發(fā)明通過在RADIUS服務(wù)器上確定用戶的訪問權(quán)限的配置信息���,并將配置信息 發(fā)送給客戶端����,由客戶端配置用戶的訪問權(quán)限�����,可以限制用戶對IPv4或IPv6網(wǎng)絡(luò)資源的訪 問����,從而杜絕可能的非法操作��,達(dá)到保護(hù)這些資源的目的��。 圖2給出了本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法實(shí)施例二示意圖����,本實(shí)施例除 了包括方法實(shí)施例一的步驟外��,所述步驟SI之前還包括步驟S5 :在RADIUS服務(wù)器的用戶 數(shù)據(jù)庫中添加用戶和訪問權(quán)限的配置信息��。 通過添加配置信息��,可以集中的�����、系統(tǒng)的在RADIUS服務(wù)器上管理用戶的IPv4/ IPv6訪問權(quán)限����。 本發(fā)明還提供了一種RADIUS服務(wù)器�����,用于根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證,如
果認(rèn)證成功則在用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息�,并將所述配置信息附
加在認(rèn)證成功消息中發(fā)送給客戶端,否則向客戶端發(fā)送認(rèn)證失敗消息���。 所述RADIUS服務(wù)器還可以用于在用戶數(shù)據(jù)庫中添加用戶和訪問權(quán)限的配置信息����。 —般RADIUS服務(wù)器至少有兩個(gè)功能用戶認(rèn)證功能���、用戶數(shù)據(jù)庫����,本發(fā)明可以對 這兩個(gè)功能進(jìn)行改造 1)改造用戶數(shù)據(jù)庫�����,為每個(gè)用戶添加IPv4/IPv6訪問權(quán)限的配置值���,這個(gè)配置值 可以有4個(gè)����,具體如下 配置值為0表示禁止訪問IPv4和IPv6網(wǎng)絡(luò);
配置值為1表示允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)���;
配置值為2表示禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)��;
配置值為3表示允許訪問IPv4和IPv6網(wǎng)絡(luò)����。 2)改造用戶認(rèn)證功能���,在用戶認(rèn)證成功后���,從用戶數(shù)據(jù)庫中取出IPv4/IPv6訪問 權(quán)限的配置值�,下發(fā)給802. lx認(rèn)證客戶端。 本發(fā)明又提供了一種客戶端�,用于發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求;以及在收
到認(rèn)證成功消息時(shí)�����,根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限��。 所述根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限具體可以為 當(dāng)所述配置信息為禁止訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí)����,禁用用戶主機(jī)上的IPv4
和IPv6協(xié)議; 當(dāng)所述配置信息為允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)的配置時(shí)�,啟用用戶 主機(jī)上的IPv4協(xié)議���,并禁用用戶主機(jī)上的IPv6協(xié)議�; 當(dāng)所述配置信息為禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)的配置時(shí)���,禁用用戶 主機(jī)上的IPv4協(xié)議�����,并啟用用戶主機(jī)上的IPv6協(xié)議��; 當(dāng)所述配置信息為允許訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí)�����,啟用用戶主機(jī)上的IPv4 和IPv6協(xié)議����。 本發(fā)明可以改造802. lx認(rèn)證客戶端���,在認(rèn)證成功后接收RADIUS服務(wù)器下發(fā)的用 戶的訪問權(quán)限的配置信息����,例如IPv4/IPv6訪問權(quán)限的配置值,根據(jù)接收到的配置值�����,對用 戶可訪問的網(wǎng)絡(luò)進(jìn)行限制 若收到的配置值為O�����,則禁用用戶主機(jī)上的IPv4協(xié)議和IPv6協(xié)議�����,用戶對IPv4資 源和IPv6資源均不能訪問���。
若收到的配置值為l���,則啟用用戶主機(jī)上的IPv4協(xié)議��,禁用用戶主機(jī)上的IPv6協(xié) 議�����,用戶可以訪問IPv4資源,但不能訪問IPv6資源���。 若收到的配置值為2����,則禁用用戶主機(jī)上的IPv4協(xié)議����,啟用用戶主機(jī)上的IPv6協(xié) 議,用戶不能訪問IPv4資源����,但可以訪問IPv6資源。 若收到的配置值為3����,則啟用用戶主機(jī)上的IPv4協(xié)議和IPv6協(xié)議,用戶既可以訪 問IPv4資源�,也可以訪問IPv6資源。 經(jīng)上述改造��,即可實(shí)現(xiàn)對用戶訪問IPv4/IPv6資源時(shí)進(jìn)行訪問權(quán)限的控制�,以只 允許訪問IPv4資源為例,具體控制過程如下 1)用戶運(yùn)行802. lx認(rèn)證客戶端��,輸入用戶名和密碼發(fā)起認(rèn)證,將認(rèn)證信息傳遞給 認(rèn)證交換機(jī)�����; 2)認(rèn)證交換機(jī)將用戶認(rèn)證信息傳遞給RADIUS服務(wù)器���; 3)RADIUS服務(wù)器將收到的用戶認(rèn)證信息與用戶數(shù)據(jù)庫中的用戶認(rèn)證信息進(jìn)行對 比����,如果信息一致則認(rèn)證成功��; 4)RADIUS服務(wù)器在認(rèn)證成功的情況下����,從用戶數(shù)據(jù)庫取出為該用戶配置的IPv4/ v6訪問權(quán)限的配置值,例如配置值為1���, RADIUS服務(wù)器將這個(gè)配置值附加在認(rèn)證成功消息 中下發(fā)給802. lx客戶端���; 5)802. lx客戶端收到用戶的IPv4/v6訪問權(quán)限的配置值為1,因此啟用用戶主機(jī)
上的IPv4協(xié)議��,禁用用戶主機(jī)上的IPv6協(xié)議�; 6)用戶可以訪問IPv4資源,但不能訪問IPv6資源�。 本發(fā)明再提供了一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng),圖3給出了本發(fā)明一種雙棧網(wǎng) 絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例一示意圖��,所述系統(tǒng)包括客戶端�、認(rèn)證交換機(jī)和RADIUS服務(wù) 器; 所述客戶端用于發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求����;以及在收到認(rèn)證成功消息 時(shí),根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限�。 所述認(rèn)證交換機(jī)與客戶端和RADIUS服務(wù)器連接,用于接收到客戶端發(fā)來的認(rèn)證 請求后����,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給RADIUS服務(wù)器;
所述認(rèn)證交換機(jī)可以為網(wǎng)絡(luò)接入交換機(jī)�。 所述RADIUS服務(wù)器用于根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證,如果認(rèn)證成功則在 用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息����,并將所述配置信息附加在認(rèn)證成功消 息中發(fā)送給客戶端,否則向客戶端發(fā)送認(rèn)證失敗消息�����。 所述RADIUS服務(wù)器還可以用于在用戶數(shù)據(jù)庫中添加用戶和訪問權(quán)限的配置信 息。 圖4給出了本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例二示意圖���,本實(shí)施例中 包括一臺(tái)RADIUS服務(wù)器���, 一臺(tái)IPv4資源服務(wù)器, 一臺(tái)IPv6資源服務(wù)器�, 一臺(tái)認(rèn)證交換機(jī)和 一臺(tái)用戶主機(jī)。 本實(shí)施例的部署方案如下 1. IPv4資源服務(wù)器僅安裝IPv4協(xié)議�,IPv6資源服務(wù)器僅安裝IPv6協(xié)議。 2.認(rèn)證交換機(jī)����、用戶主機(jī)都安裝雙協(xié)議棧。 3. RADIUS服務(wù)器不限制��,可以安裝IPv4�、 IPv6或雙協(xié)議棧。
4.認(rèn)證交換機(jī)支持IPv4���、 IPv6或雙協(xié)議棧的RADIUS服務(wù)器�����。
5.用戶主機(jī)安裝802. lx認(rèn)證客戶端��。 圖5給出了本發(fā)明一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)實(shí)施例三示意圖���,本實(shí)施例中 包括一臺(tái)RADIUS服務(wù)器、多臺(tái)認(rèn)證交換機(jī)和多臺(tái)用戶主機(jī)��,以及IPv4網(wǎng)絡(luò)資源和IPv6網(wǎng) 絡(luò)資源�����。 本實(shí)施例的部署方案如下
1. RADIUS服務(wù)器必須存在����。 2.所有用戶都通過認(rèn)證交換機(jī)連接到雙棧網(wǎng)絡(luò)。
3. IPv4網(wǎng)絡(luò)資源和IPv6網(wǎng)絡(luò)資源連接到雙棧網(wǎng)絡(luò)����。 4.運(yùn)行于用戶主機(jī)上的認(rèn)證客戶端控制用戶是否可以訪問IPv4/IPv6網(wǎng)絡(luò)資源。
本發(fā)明在IPv4/IPv6雙協(xié)議棧環(huán)境中�,可以限制用戶對IPv4或IPv6網(wǎng)絡(luò)資源的 訪問,從而杜絕可能的非法操作���,達(dá)到保護(hù)這些資源的目的��。 本發(fā)明對用戶的網(wǎng)絡(luò)訪問權(quán)限的控制不依賴于網(wǎng)絡(luò)中除接入設(shè)備外的其他設(shè)備�����, 如防火墻����,入侵檢測系統(tǒng)(Intrusion Detection Systems,簡稱IDS)設(shè)備等,可以在不具備 這些設(shè)備或者這些設(shè)備不支持IPv6及雙協(xié)議棧的環(huán)境中發(fā)揮作用���。 本方案可以在單個(gè)用戶粒度上進(jìn)行安全控制�����,并且集中在RADIUS服務(wù)器上管理�, 使用起來非常方便��。 最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案��,而非對其限制���;盡 管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然
可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或者對其中部分技術(shù)特征進(jìn)行等同替
換;而這些修改或者替換�,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍��。
9
權(quán)利要求
一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法�,其特征在于,所述方法包括步驟S1��,客戶端發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求���;步驟S2���,認(rèn)證交換機(jī)接收到認(rèn)證請求后,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS服務(wù)器�����;步驟S3�,RADIUS服務(wù)器根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證,如果認(rèn)證成功則在用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息���,并將所述配置信息附加在認(rèn)證成功消息中發(fā)送給客戶端�,否則向客戶端發(fā)送認(rèn)證失敗消息;步驟S4��,客戶端收到認(rèn)證成功消息時(shí)����,根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限。
2. 根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述步驟SI之前還包括步驟S5 :在 RADIUS服務(wù)器的用戶數(shù)據(jù)庫中添加用戶和訪問權(quán)限的配置信息。
3. 根據(jù)權(quán)利要求1或2所述的方法��,其特征在于���,所述根據(jù)消息中的所述配置信息配置 用戶的訪問權(quán)限具體為當(dāng)所述配置信息為禁止訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí)���,禁用用戶主機(jī)上的IPv4和 IPv6協(xié)議;當(dāng)所述配置信息為允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)的配置時(shí)����,啟用用戶主機(jī) 上的IPv4協(xié)議�,并禁用用戶主機(jī)上的IPv6協(xié)議����;當(dāng)所述配置信息為禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)的配置時(shí),禁用用戶主機(jī) 上的IPv4協(xié)議��,并啟用用戶主機(jī)上的IPv6協(xié)議��;當(dāng)所述配置信息為允許訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí)�,啟用用戶主機(jī)上的IPv4和 IPv6協(xié)議。
4. 一種RADIUS服務(wù)器�����,其特征在于����,用于根據(jù)用戶認(rèn)證信息對用戶進(jìn)行認(rèn)證���,如果認(rèn) 證成功則在用戶數(shù)據(jù)庫中查找所述用戶的訪問權(quán)限的配置信息�����,并將所述配置信息附加在 認(rèn)證成功消息中發(fā)送給客戶端�,否則向客戶端發(fā)送認(rèn)證失敗消息。
5. 根據(jù)權(quán)利要求4所述的RADIUS服務(wù)器�,其特征在于,還用于在用戶數(shù)據(jù)庫中添加用 戶和訪問權(quán)限的配置信息���。
6. —種客戶端�,其特征在于�����,用于發(fā)送包括用戶認(rèn)證信息的認(rèn)證請求����;以及在收到認(rèn) 證成功消息時(shí),根據(jù)消息中的所述配置信息配置用戶的訪問權(quán)限�。
7. 根據(jù)權(quán)利要求6所述的客戶端,其特征在于�,所述根據(jù)消息中的所述配置信息配置 用戶的訪問權(quán)限具體為當(dāng)所述配置信息為禁止訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí),禁用用戶主機(jī)上的IPv4和 IPv6協(xié)議����;當(dāng)所述配置信息為允許訪問IPv4網(wǎng)絡(luò)且禁止訪問IPv6網(wǎng)絡(luò)的配置時(shí),啟用用戶主機(jī) 上的IPv4協(xié)議���,并禁用用戶主機(jī)上的IPv6協(xié)議�����;當(dāng)所述配置信息為禁止訪問IPv4網(wǎng)絡(luò)且允許訪問IPv6網(wǎng)絡(luò)的配置時(shí)�����,禁用用戶主機(jī) 上的IPv4協(xié)議��,并啟用用戶主機(jī)上的IPv6協(xié)議����;當(dāng)所述配置信息為允許訪問IPv4和IPv6網(wǎng)絡(luò)的配置時(shí),啟用用戶主機(jī)上的IPv4和 IPv6協(xié)議��。
8. —種雙棧網(wǎng)絡(luò)訪問權(quán)限控制系統(tǒng)����,其特征在于�,包括客戶端、認(rèn)證交換機(jī)和RADIUS服務(wù)器����;所述客戶端為權(quán)利要求6或7所述的任一客戶端;所述認(rèn)證交換機(jī)與客戶端和RADIUS服務(wù)器連接���,用于接收到客戶端發(fā)來的認(rèn)證請求 后����,將認(rèn)證請求中的用戶認(rèn)證信息傳遞給RADIUS服務(wù)器;所述RADIUS服務(wù)器為權(quán)利要求4或5所述的任一 RADIUS服務(wù)器�����。
全文摘要
本發(fā)明提供了一種雙棧網(wǎng)絡(luò)訪問權(quán)限控制方法和系統(tǒng)���。本發(fā)明通過在RADIUS服務(wù)器上確定用戶的訪問權(quán)限的配置信息��,并將配置信息發(fā)送給客戶端��,由客戶端配置用戶的訪問權(quán)限���,可以限制用戶對IPv4或IPv6網(wǎng)絡(luò)資源的訪問,從而杜絕可能的非法操作�,達(dá)到保護(hù)這些資源的目的。
文檔編號(hào)H04L9/32GK101697550SQ20091023650
公開日2010年4月21日 申請日期2009年10月30日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者楊科, 楊鑫偉 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司;