CN102447710A - 一种用户访问权限控制方法及系统 - Google Patents
一种用户访问权限控制方法及系统 Download PDFInfo
- Publication number
- CN102447710A CN102447710A CN2012100153385A CN201210015338A CN102447710A CN 102447710 A CN102447710 A CN 102447710A CN 2012100153385 A CN2012100153385 A CN 2012100153385A CN 201210015338 A CN201210015338 A CN 201210015338A CN 102447710 A CN102447710 A CN 102447710A
- Authority
- CN
- China
- Prior art keywords
- address
- authentication
- access
- unit
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开一种用户访问权限控制方法和系统,所述系统包括用户终端、中继单元、认证单元和地址分配单元,其中:所述用户终端用于在系统初始化时以及认证通过后两次发送地址分配请求,请求地址分配单元分配地址;所述中继单元用于侦听所述地址分配请求并根据用户认证状态在所述地址分配请求中附加认证标识;所述地址分配单元用于对带有未认证标识的地址分配请求分配第一地址,对带有认证标识的地址分配请求分配第二地址,所述第二地址比所述第一地址具有更高的网络访问权限。本发明通过利用认证标识,实现了对于用户访问权限的细化控制。
Description
技术领域
本发明涉及计算机数据通信领域,具体涉及一种用户访问权限控制方法及系统。
背景技术
在计算机网络中,如果用户终端发出网络接入请求,网络中负责IP地址分配的服务器会为发出网络接入请求的用户终端分配一个网络(IP)地址,以便用户终端可以接入网络。当前,网络中的参与用户终端网络接入的服务器通常是采用支持IPv6的动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)的DHCPv6服务器和DHCPv6中继服务器。动态主机分配协议版本6(DynamicHost Configuration Protocol Version 6,DHCPv6)是一种动态分配IPv6地址的协议,广泛应用于各种IPv6网络中。
在现有技术中,在用户终端进行网络接入时,首先由用户终端向DHCPv6中继服务器发出DHCP请求报文申请接入网络,DHCPv6中继服务器接收到该请求报文后,将该报文转给DHCPv6服务器,DHCPv6服务器收到用户终端的DHCP请求报文后,把分配给用户终端的IP地址等网络初始化信息及自己的IP地址记载在DHCP响应报文中,发给DHCPv6中继服务器,再由DHCPv6中继服务器将收到的由DHCPv6服务器发送的DHCP响应报文中转给用户终端,用户终端获得IP地址,从而该用户终端可以接入网络。
DHCPv6协议向IPv6客户端提供IP地址和配置信息,其包括中继代理能力,中继代理可以在要转发的DHCPv6报文中添加必要的信息。DHCPv6报文可以由多个选项(option)字段组成,其中,RFC4649规定了中继代理远程标识选项字段(Relay Agent Remote-ID option),也被称为选项37字段(option 37),该字段由中继代理添加到DHCPv6报文,其格式如图1所示。其中,“选项代码”表示中继代理选项字段的序号,定义为OPTION_REMOTE_ID(37),表示该选项字段为中继代理远程标识选项字段。“选项长度”为“厂商代码”和“远程标识”区域的字节数,不包括“选项代码”和“选项长度”部分的字节数。“厂商代码”(enterprise-number)为生产厂商注册的企业号,其唯一标识设备的制造商。“远程标识”(remote-id)为设备制造商自定义字段,用于唯一标识制造商制造的设备,即“厂商代码”和“远程标识”构成的序列可以唯一标识一台远程设备。
一般管理员在DHCPv6服务器上配置基于中继代理远程标识选项字段的地址分配策略。DHCPv6服务器根据DHCPv6请求中的中继代理远程标识选项字段信息来判断当前请求是否匹配相应策略而分配不同的地址,然后将从用户的DHCPv6报文中获取的中继代理远程标识选项字段与预设的数据库中内容进行比对,若有匹配的字符串则认为用户接入合法并分配IPv6地址。
但是,由于DHCPv6本身没有严格的安全认证机制,在不安全的网络环境下会出现因IPv6地址欺骗、MAC地址欺骗、恶意分配IPv6地址以致IPv6资源匮乏等问题。为了防止用户非法接入网络,一般在接入网络中采用802.1x认证。802.1x是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-BasedNetwork Access Control)而定义的标准,该标准目前已经在无线局域网和以太网中被广泛应用。用户终端安装802.1x认证客户端,用户终端通过认证后即可以合法的接入网络,访问各种资源。
但是,在目前的802.1x认证过程中,用户终端在认证前无法访问任何资源,通过认证后又可以访问所有资源,这造成对用户访问权限的控制只有完全不能访问和全部可以访问这两种状态,这样的管理方式难以满足对用户访问权限进行精细化管理的需要。
发明内容
本发明的目的在于提供对于用户访问权限的精细化管理。
本发明公开了一种用户访问权限控制方法,包括:
A、未认证用户终端发送第一地址分配请求,请求地址分配单元分配地址;
B、用于中继报文的中继单元对所述第一地址分配请求附加表示未认证状态的认证状态标识后,将带有状态标识的第一地址分配请求转发至地址分配单元;
C、地址分配单元根据所述认证状态标识对所述用户终端分配第一地址,所述第一地址具有较低的访问权限;
D、用户终端发起认证,在认证通过后发送第二地址分配请求,请求地址分配单元分配地址;
E、所述中继单元对所述第二地址分配请求附加表示通过认证状态的认证状态标识,将带有认证状态标识的第二地址分配请求转发至所述地址分配单元;
F、所述地址分配单元根据所述认证状态标识对所述用户终端分配第二地址,所述第二地址具有较高的访问权限。
优选地,所述步骤D中所述用户端发起认证包括:
D01、用户终端向认证单元请求认证;
D02、认证通过后,认证单元将用户的认证状态下发给中继单元保存并告知用户终端通过认证。
优选地,所述地址分配请求为DHCPv6请求报文,所述认证状态标识为中继代理远程标识选项字段,在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。
优选地,所述中继单元包括接入交换机和汇聚交换机,所述接入交换机向汇聚交换机转发报文,所述接入交换机用于对所述地址分配请求附加认证状态标识,所述汇聚交换机通过设置硬件访问控制列表限制所述第一地址和第二地址能够访问的资源。
优选地,所述地址分配单元针对不同的认证状态设置不同的地址池,根据认证状态标识从不同的地址池分配地址。
本发明还公开了一种用户访问权限控制系统,包括用户终端、中继单元、认证单元和地址分配单元,其中:
所述用户终端用于在系统初始化时以及认证通过后两次发送地址分配请求,请求地址分配单元分配地址;
所述认证单元用于对用户终端进行认证,将认证结果下发给中继单元保存;
所述中继单元用于侦听所述地址分配请求并根据用户认证状态在所述地址分配请求中附加认证状态标识,所述认证状态标识表示用户是否通过认证;
所述中继单元还用于转发所述带有标识的地址分配请求到地址分配单元;
所述地址分配单元用于对认证状态标识为未认证的地址分配请求分配第一地址,对认证状态标识为通过认证的地址分配请求分配第二地址,所述第二地址比所述第一地址具有更高的网络访问权限。
优选地,所述地址分配请求为DHCPv6请求报文,所述标识为中继代理远程标识选项字段,在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。
优选地,所述中继单元包括接入交换机和汇聚交换机,所述接入交换机向汇聚交换机转发报文,所述接入交换机用于对地址分配请求附加认证状态标识,所述汇聚交换机通过设置硬件访问控制列表表项限制所述第一地址和第二地址能够访问的资源。
优选地,所述地址分配单元为DHCPv6服务器,所述认证单元为Radius服务器,所述认证单元通过Radius Access-Accept报文的厂商属性下发给中继单元。
优选地,所述地址分配单元针对不同的认证状态设置不同的地址池,根据认证状态标识从不同的地址池分配地址。
本发明既利用了DHCPv6的方便,又利用了802.1x的安全认证机制,提供了一种安全方便的接入方法,同时实现用户终端访问权限的精细化控制。。
附图说明
图1为现有的中继代理远程标识选项字段的格式示意图;
图2为本发明第一实施例的用户访问权限控制系统的框图;
图3为本发明第一实施例的用户访问权限控制方法流程图;
图4为本发明第一实施例的用户访问权限控制信令流程图;
图5为本发明第二实施例的用户访问权限控制系统的框图;
图6为本发明第二实施例的用户访问权限控制方法的流程图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,下面结合附图和实施例对本发明作进一步说明。
本发明通常应用于用户使用DHCPv6方式获取地址的环境中,需要支持基于中继代理远程标识选项字段进行地址分配策略的DHCPv6服务器。现有技术中DHCPv6请求中的中继代理远程标识选项字段选项一般由DHCPv6中继代理在中继DHCPv6请求时附加。本发明扩展了这一功能,允许接入交换机的DHCPv6侦听模块在监听DHCPv6请求时附加中继代理远程标识选项字段信息,用户在获取IPv6地址之前处于受控状态,只能访问DHCPv6服务器,用户在获取IPv6地址之后处于安全状态,此时接入交换机转发该用户的IPv6和ND报文,由于用户在认证前后能够获得不同地址,在汇聚交换机上配置硬件ACL表项限制不同源IPV6地址用户能够访问的资源,从而实现认证前后用户终端的访问权限控制。
参见图2,本发明用户访问权限控制系统包括多个用户终端100、多个接入层交换机200、汇聚层交换机300、DHCPv6服务器400和认证服务器500,在本实施例中,所述认证服务器优选为用户业务远程拨号认证(RemoteAuthentication Dial In User Service,Radius)服务器服务器。其中,用户终端100通过接入交换机200连入网络,汇聚交换机300收集接入交换机200中继的DHCPv6信息向DHCPv6服务器400转发,而Radius服务器500对用户终端通过汇聚交换机传来的DHCPv6请求进行验证。其中:所述汇聚交换机300支持DHCPv6中继代理功能并负责配置访问控制列表(Access Control List,ACL)表项以控制不同IP网段的用户的接入权限范围。接入交换机负责启动802.1x认证流程,进行DHCPv6侦听、绑定以及对DHCPv6附加中继代理远程标识选项字段信息的作用。所述用户终端100(DHCPv6 Client)安装有DCN802.1x用户终端,具备802.1x接入认证功能。
RADIUS是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和计费信息的文档协议,RADIUS使用UDP作为传输协议,具有良好的实时性;同时也支持重传机制和备用服务器机制,有较好的可靠性。
ACL根据数据包的包头信息(源地址、目的地址、源端口、目的端口、协议等)来控制路由器应该允许还是拒绝数据包的通过,从而实现访问控制的目的。
图3示出了本发明所述的用户访问权限控制方法的具体方法流程:
步骤101:未认证的用户终端100的DHCPv6用户端模块向接入交换机200发送DHCPv6请求报文,接入交换机200的DHCPv6侦听模块在DHCP请求中附加带有未认证标识的中继代理远程标识选项字段信息,然后通过汇聚交换机300向DHCPv6服务器400转送所述DHCPv6请求报文。
全局启动802.1x后,接入交换机200的端口被使能,接入交换机200根据DHCPv6中继代理远程标识选项字段的接入控制方式设置硬件ACL表项,在启动接入交换机200的DHCPv6侦听模块后,用户终端100的DHCPv6报文重定向到接入交换机200的CPU,此时经过接入交换机200的所有报文都不能转发,仅能向汇聚交换机300转送DHCPv6请求报文。由此用户终端100在获取IPv6地址之前,除了能向DHCPv6服务器400发送DHCPv6请求外,不能访问其他资源。接入交换机200的DHCPv6侦听模块通过对用户终端和服务器之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCPv6侦听模块还起到一个对DHCP报文过滤的作用,通过合理的配置实现对非法服务器的过滤。侦听模块对设备进行DHCP窥探的同时把用户终端的相关信息以DHCP选项字段的方式加入到DHCP请求报文中。
更具体地,接入交换机200的DHCPv6侦听模块接收到用户终端100的DHCPv6请求后,在802.1x认证表项里查询该用户的DHCPv6请求的源MAC地址是否通过接入认证,如果用户未通过接入认证,接入交换机附加未通过认证标识的中继代理远程标识选项字段到DHCPv6请求尾部,对DHCPv6请求其它部分不作修改而传送到汇聚交换机300。如果用户终端100已经通过认证,则取出已认证中继代理远程标识选项字段放到DHCPv6请求尾部交给汇聚交换机。
其中,接入交换机200的DHCPv6侦听模块对DHCPv6请求报文附加的带有未认证标识的中继代理远程标识选项字段中将“厂商代码”设置为厂商的注册号,“远程标识”设置为用户的未认证标识加上接入层交换机的CPU MAC地址。例如:DHCPv6侦听模块在中继代理远程标识选项字段填入字符串”unauth”和接入交换机的CPU MAC。
在汇聚交换机300处,汇聚交换机300的DHCPv6中继模块收到来自接入交换机200的DHCPv6请求后,只负责把DHCP数据包中继给DHCPv6服务器400,汇聚交换机不能启用DHCPv6中继的中继代理远程标识选项字段功能。
步骤102:DHCPv6服务器400将接收到的DHCPv6请求报文的中继代理远程标识选项字段信息及报文信息与DHCPv6服务器400中预存的信息进行匹配,如果匹配成功,则DHCPv6服务器400为该用户终端100分配第一次IPv6地址,并将第一次IPv6地址加入到DHCPv6响应通过汇聚交换机下发给接入交换机,否则驳回该DHCPv6请求。所述接入交换机接收到返回的DHCPv6响应后,剥离并保存其中的中继代理远程标识选项字段信息然后转发给用户终端,用户终端获得第一次IPv6地址。
其中,在DHCPv6服务器中进行匹配的步骤为:在DHCPv6服务中配置有多个中继代理远程标识选项字段,每个不同的中继代理远程标识选项字段内容下配置相应的地址池,如果用户终端的DHCPv6请求中中继代理远程标识选项字段内容匹配DHCPv6服务器上其中一个中继代理远程标识选项字段,则从相应的地址池中分配IP给DHCPv6请求,如果没有匹配任一个地址池,则会驳回请求。
步骤103:用户终端100获得第一次IPv6地址后,通过网络向用作认证服务器的Radius服务器500进行802.1x认证,如果通过认证,Radius服务器500将认证标识下发给接入交换机200的DHCP侦听模块,同时告知用户终端100通过认证。
该认证标识内容由Radius服务器利用Radius Access-Accept报文的第26属性(厂商属性)下发给接入交换机,接入交换机200会保存该认证用户的认证标识,并将其加入中继代理远程标识选项字段。Access-Accept认证接受包,由Radius服务器下发给用户终端,如果Access-Accept中所有属性域值都是可以接受(即认证通过),则传输该类型报文。
步骤104、用户终端100的802.1x模块向DHCPv6服务器400再次发送DHCPv6请求,请求分配权限更大的IPv6地址,接入交换机200的DHCP侦听模块会将保存的带有认证标识的中继代理远程标识选项字段信息添加到第二次的DHCPv6请求中。
接入交换机200端口配置基于DHCPv6中继代理远程标识选项字段的接入控制模式后,DHCPv6请求一旦成功,用户终端100不需要认证(包括认证后)就能够访问全网资源,此时将第一次分配的IPv6地址和MAC地址绑定在接入交换机端口上,以防止邻居发现(Neighbor Discovery,ND)欺骗。DHCPv6侦听模块在获得DHCPv6请求后更新用户访问所有资源的IPv6地址和ND的硬件访问控制列表(Access Control List,ACL)表项。
ND协议是IPv6的一种基础协议,利用NA、NS、RA、RS和重定向五种类型的CMPv6消息,实现网络节点路由器发现与自动配置、重复地址探测、链路层地址解析、邻居可达性探测、链路层地址改变通告和路由重定向操作。
步骤105:对于认证成功的用户终端100的第二次DHCPv6请求,DHCPv6服务器400将接收到的DHCPv6请求中带有认证标识的中继代理远程标识选项字段信息与DHCPv6服务器400中预存的信息进行匹配,如果匹配成功,则DHCPv6服务器400为该用户终端100分配一个第二次IPv6地址,在DHCPv6响应附加第二次IPv6地址返回给中继单元;否则驳回此次DHCPv6请求,用户终端仅能使用一次IPv6地址访问网络。
在另一个实施例中,如果没有匹配预设的认证用户的地址池,根据DHCPv6服务器400的配置(DHCP服务器可设置一个缺省的地址池)可能会分配一个缺省配置的IPv6地址,但这个IPv6地址并不具备用户终端100所请求的访问权限。
由此,当用户未通过802.1x认证时只能采用第一次IPv6地址或缺省分配的第二次IPv6地址进行网络访问,而此访问则是受汇聚交换机设定的访问权限的限制。
步骤106:用户终端100利用两次分配获得的IPv6地址通过汇聚交换机300配置的访问权限访问网络。
在汇聚交换机300中利用硬件ACL表项配置了两个IPv6地址网段的访问权限,在用户终端利用两次IPv6地址访问时,汇聚交换机300根据两次IPv6地址对应的硬件ACL表项中此两次IPv6地址所限制的网段控制用户终端的访问权限。
由网管人员配置汇聚交换机中每个IPv6地址段的硬件ACL表项,以限制不同网段的IPv6地址的访问权限,进而实现用户终端在通过认证前后获取不同的访问权限。
图4示出了本发明的用户访问权限控制方法的信令流程图,以显示系统内部信息的交互状况。参见图4,用户终端100首先向DHCPv6服务器400发送第一DHCP请求,接入交换机200的DHCPv6侦听模块截获用户的第一DHCP请求后,查询DHCPv6请求报文的源MAC是否通过认证,如果用户终端100未通过认证,交换机附加带有未认证标识的中继代理远程标识选项字段选项(指示未认证状态加上接入交换机的MAC地址)到DHCPv6请求报文尾部,对DHCPv6请求报文其它部分不作修改交给汇聚交换机DHCPv6中继代理。如果用户已经通过802.1x认证,则取出Radius服务器通过Radius Access-Accept报文的26属性下发的已认证中继代理远程标识选项字段选项放到DHCPv6请求报文尾部交给汇聚交换机300DHCPv6中继代理,DHCPv6服务器400收到DHCPv6请求后,根据预先配置的中继代理远程标识选项字段内容从对应的地址池中分配IP,例如中继代理远程标识选项字段为”unauth”,预设的地址池是IP1/MASK1,从该预设的地址池中进行分配。接入交换机的DHCPv6侦听接到回复的第一DHCPv6响应后,提取其中的IP、MAC和端口信息发送给802.1x模块,DHCPv6侦听模块转发第一DHCPv6回应到用户终端,第一次获取IP的用户终端100即可通过汇聚交换机300的硬件ACL表项进行过滤转发,此时接入交换机虽然已经允许该用户的流量通过汇聚交换机,但流量经过汇聚交换机时其IPv6地址要受硬件ACL表项的限制,即只能访问IP1/MASK1能访问的网段。如果想访问全网段,只有通过认证后再次获取IP才能获得全网段通行的权限。
用户终端100获取到第一IP地址后,向用作认证服务器的Radius服务器500发起认证请求,用户认证成功后,接入交换机会保存通过Radius服务器500的Radius Access-Accept报文的26属性(即vendor-type为2的vendor属性携带中继代理远程标识选项字段选项)下发中继代理远程标识选项字段选项,用户终端100的802.1x模块会再次主动发起DHCPv6请求,接入交换机200的DHCPv6侦听模块收到该DHCPv6请求并查询到该用户已经认证后,会附加已经通过认证的中继代理远程标识选项字段选项到DHCPv6请求尾部,然后传给汇聚交换机中继给DHCPv6服务器,DHCPv6服务器400对DHCPv6请求中的中继代理远程标识选项字段匹配预设的地址池,如果未匹配,DHCPv6服务器400驳回此次DHCPv6请求;如果匹配则由DHCPv6服务器400根据新的中继代理远程标识选项字段选项为DHCPv6请求分配另一个IP2/MASK2网段中的IPv6地址,然后将DHCPv6请求通过汇聚交换机传送给接入交换机,接入交换机的DHCP侦听模块截获到DHCPv6请求后,提取里面的IP、MAC和端口信息发送给802.1x模块(802.1x控制着每个IP所对应的权限表),802.1x模块下发用户可访问所有资源的硬件ACL表项,此时接入交换机虽然已经允许该用户的流量通过汇聚交换机,但流量经过汇聚交换机时其IPv6地址要受硬件ACL表项的限制,比如汇聚交换机ACL这时允许属于网段IP2/MASK2的IP地址可访问外网,也可访问内网。
图5示出了本发明第二实施例的用户访问权限控制系统的框图。所述系统包括用户终端、中继单元、地址分配单元和认证单元,其中,用户终端用于向地址分配单元发送地址分配请求,并接收地址分配单元返回的地址分配响应;中继单元用于对地址分配请求附加带未认证标识的中继代理远程标识选项字段信息,并转发至地址分配单元,同时还用于将地址分配单元返回的地址分配响应中转给用户终端;地址分配单元用于接收到的地址分配请求的中继代理远程标识选项字段信息与预存的信息进行匹配,对匹配成功地址分配请求分配IP地址,并将IP地址加入到地址分配响应返回给中继单元;认证单元对用户终端的认证请求进行认证,用户终端根据认证后的IPv6地址通过中继单元配置的访问权限访问网络。
图6示出了本发明第二实施例的用户访问权限控制方法的流程图。包括如下步骤:
601、未认证的用户终端向中继单元发送第一地址分配请求,请求地址分配单元分配地址。
602、中继单元在第一地址分配请求中附加未认证标识,将带有未认证标识的第一地址分配请求转发到地址分配单元。
603、地址分配单元根据第一地址分配请求分配第一地址给用户终端,将该第一地址置于第一地址分配响应中告知用户终端,该第一地址具有较低访问权限。
604、用户终端获得第一地址后向认证单元发起认证请求,认证单元通过认证后将认证标识下发给中继单元并告知用户终端认证通过;
605、通过认证的用户终端向中继单元发送第二地址分配请求,请求地址分配单元分配地址。
606、中继单元在第二地址分配请求中附加认证标识,将带有认证标识的第二地址分配请求转发到地址分配单元。
607、地址分配单元根据第二地址分配请求分配第二地址给用户终端,将该第二地址置于第二地址分配响应中告知用户终端,该第二地址具有较高访问权限。
608、用户终端利用获得的第一、第二地址访问网络。
本发明通过用户终端向DHCPv6申请IP时,在DHCPv6请求中附加不同的中继代理远程标识选项字段信息,DHCPv6服务器返回一次IPv6地址,该地址由认证单元认证,用户终端认证后,中继代理远程标识选项字段的内容由Radius服务器下发,该技术方案完全可以在后台为不同用户分配不同的中继代理远程标识选项字段信息。同时,管理员在DHCPv6服务器端配置基于中继代理远程标识选项字段的地址分配策略,用户终端在认证前后将获得不同的IPv6地址,这个IPv6地址是经过802.1x认证和DHCPv6服务器共同确认的,客户端根据IPv6地址通过汇聚层交换机配置的访问权限访问网络。
本发明既利用了DHCPv6的方便,又利用了802.1x的安全认证机制,提供了一种安全方便的接入方法,同时实现用户终端访问权限的精细化控制。
上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
Claims (10)
1.一种用户访问权限控制方法,包括:
A、未认证用户终端发送第一地址分配请求,请求地址分配单元分配地址;
B、用于中继报文的中继单元对所述第一地址分配请求附加表示未认证状态的认证状态标识后,将带有状态标识的第一地址分配请求转发至地址分配单元;
C、地址分配单元根据所述认证状态标识对所述用户终端分配第一地址,所述第一地址具有较低的访问权限;
D、用户终端发起认证,在认证通过后发送第二地址分配请求,请求地址分配单元分配地址;
E、所述中继单元对所述第二地址分配请求附加表示通过认证状态的认证状态标识,将带有认证状态标识的第二地址分配请求转发至所述地址分配单元;
F、所述地址分配单元根据所述认证状态标识对所述用户终端分配第二地址,所述第二地址具有较高的访问权限。
2.如权利要求1所述的用户访问权限控制方法,其特征在于所述步骤D中所述用户端发起认证包括:
D01、用户终端向认证单元请求认证;
D02、认证通过后,认证单元将用户的认证状态下发给中继单元保存并告知用户终端通过认证。
3.如权利要求1所述的用户访问权限控制方法,其特征在于:所述地址分配请求为DHCPv6请求报文,所述认证状态标识为中继代理远程标识选项字段,在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。
4.如权利要求1所述的用户访问权限控制方法,其特征在于:所述中继单元包括接入交换机和汇聚交换机,所述接入交换机向汇聚交换机转发报文,所述接入交换机用于对所述地址分配请求附加认证状态标识,所述汇聚交换机通过设置硬件访问控制列表限制所述第一地址和第二地址能够访问的资源。
5.如权利要求1所述的用户访问权限控制方法,其特征在于:所述地址分配单元针对不同的认证状态设置不同的地址池,根据认证状态标识从不同的地址池分配地址。
6.一种用户访问权限控制系统,包括用户终端、中继单元、认证单元和地址分配单元,其中:
所述用户终端用于在系统初始化时以及认证通过后两次发送地址分配请求,请求地址分配单元分配地址;
所述认证单元用于对用户终端进行认证,将认证结果下发给中继单元保存;
所述中继单元用于侦听所述地址分配请求并根据用户认证状态在所述地址分配请求中附加认证状态标识,所述认证状态标识表示用户是否通过认证;
所述中继单元还用于转发所述带有标识的地址分配请求到地址分配单元;
所述地址分配单元用于对认证状态标识为未认证的地址分配请求分配第一地址,对认证状态标识为通过认证的地址分配请求分配第二地址,所述第二地址比所述第一地址具有更高的网络访问权限。
7.如权利要求6所述的用户访问权限控制系统,其特征在于:所述地址分配请求为DHCPv6请求报文,所述标识为中继代理远程标识选项字段,在所述中继代理远程标识选项字段的远程标识部分设置认证状态和中继单元地址。
8.如权利要求6所述的用户访问权限控制系统,其特征在于:所述中继单元包括接入交换机和汇聚交换机,所述接入交换机向汇聚交换机转发报文,所述接入交换机用于对地址分配请求附加认证状态标识,所述汇聚交换机通过设置硬件访问控制列表限制所述第一地址和第二地址能够访问的资源。
9.如权利要求6所述的用户访问权限控制系统,其特征在于:所述地址分配单元为DHCPv6服务器,所述认证单元为Radius服务器,所述认证单元通过Radius Access-Accept报文的厂商属性下发给中继单元。
10.如权利要求6所述的用户访问权限控制系统,其特征在于:所述地址分配单元针对不同的认证状态设置不同的地址池,根据认证状态标识从不同的地址池分配地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210015338.5A CN102447710B (zh) | 2012-01-17 | 2012-01-17 | 一种用户访问权限控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210015338.5A CN102447710B (zh) | 2012-01-17 | 2012-01-17 | 一种用户访问权限控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102447710A true CN102447710A (zh) | 2012-05-09 |
| CN102447710B CN102447710B (zh) | 2016-08-17 |
Family
ID=46009799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210015338.5A Active CN102447710B (zh) | 2012-01-17 | 2012-01-17 | 一种用户访问权限控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102447710B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
| CN110463161A (zh) * | 2017-04-03 | 2019-11-15 | 微软技术许可有限责任公司 | 用于访问受保护资源的口令状态机 |
| CN115297090A (zh) * | 2022-08-03 | 2022-11-04 | 明阳产业技术研究院(沈阳)有限公司 | 一种地址分配方法、装置、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6792474B1 (en) * | 2000-03-27 | 2004-09-14 | Cisco Technology, Inc. | Apparatus and methods for allocating addresses in a network |
| CN101414907A (zh) * | 2008-11-27 | 2009-04-22 | 北京邮电大学 | 一种基于用户身份授权访问网络的方法和系统 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
-
2012
- 2012-01-17 CN CN201210015338.5A patent/CN102447710B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6792474B1 (en) * | 2000-03-27 | 2004-09-14 | Cisco Technology, Inc. | Apparatus and methods for allocating addresses in a network |
| CN101414907A (zh) * | 2008-11-27 | 2009-04-22 | 北京邮电大学 | 一种基于用户身份授权访问网络的方法和系统 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| BING LI ET AL.: "the research and reality of DHCP access and authentication based on embedded terminal", 《INFORMATION TECHNOLOGY AND COMPUTER SCIENCE》 * |
| TADASHI KOMORI: "The secure DHCP system with user authentication", 《IEEE CONFERENCE ON LOCAL COMPUTER NETWORKS》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
| CN106131066B (zh) * | 2016-08-26 | 2019-09-17 | 新华三技术有限公司 | 一种认证方法及装置 |
| CN110463161A (zh) * | 2017-04-03 | 2019-11-15 | 微软技术许可有限责任公司 | 用于访问受保护资源的口令状态机 |
| CN110463161B (zh) * | 2017-04-03 | 2022-03-04 | 微软技术许可有限责任公司 | 用于访问受保护资源的口令状态机 |
| CN115297090A (zh) * | 2022-08-03 | 2022-11-04 | 明阳产业技术研究院(沈阳)有限公司 | 一种地址分配方法、装置、设备和介质 |
| CN115297090B (zh) * | 2022-08-03 | 2024-03-15 | 明阳产业技术研究院(沈阳)有限公司 | 一种地址分配方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102447710B (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| US20080209071A1 (en) | Network relay method, network relay apparatus, and network relay program | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| CN107005534A (zh) | 安全连接建立 | |
| CN101635628A (zh) | 一种防止arp攻击的方法及装置 | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| WO2019237683A1 (zh) | 一种协议报文以及虚拟客户终端设备的管理方法 | |
| US9118588B2 (en) | Virtual console-port management | |
| EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| CN103973637B (zh) | 配置权限的方法、代理设备和服务器 | |
| CN102447709A (zh) | 基于DHCP和802.1x接入权限控制方法及系统 | |
| CN101166093A (zh) | 一种认证方法和系统 | |
| CN102447710A (zh) | 一种用户访问权限控制方法及系统 | |
| WO2014110976A1 (zh) | D2d发现申请和d2d发现完成方法及对应装置 | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| CN114884771B (zh) | 基于零信任理念的身份化网络构建方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liang Xiaobing Inventor after: Xiang Yangchao Inventor before: Liang Xiaobing |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: LIANG XIAOBING TO: LIANG XIAOBING XIANG YANGCHAO |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |