日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān)的制作方法

文檔序號:7824017閱讀:319來源:國知局
一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān)的制作方法
【專利摘要】本發(fā)明公開了一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān)。該方法包括:基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表;接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址;當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài);當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。應(yīng)用本發(fā)明實施例能夠避免重復(fù)認(rèn)證。
【專利說明】—種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,特別是涉及一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān)。

【背景技術(shù)】
[0002]網(wǎng)絡(luò)接入認(rèn)證是保證網(wǎng)絡(luò)安全性重要的手段。通過網(wǎng)絡(luò)接入認(rèn)證,可以有效的阻斷非法用戶接入網(wǎng)絡(luò)。
[0003]通過web頁面進(jìn)行的無客戶端軟件認(rèn)證方式,在園區(qū)網(wǎng)有著廣泛的應(yīng)用。與采用客戶端軟件方式的認(rèn)證相比,有著以下優(yōu)勢:
[0004]用戶使用方便,不必安裝維護(hù)客戶端軟件。當(dāng)用戶在多個網(wǎng)絡(luò)內(nèi)使用時,不必針對每個網(wǎng)絡(luò)安裝相應(yīng)的客戶端軟件;而且,方案部署簡單,由于沒有客戶端軟件,因此不會出現(xiàn)客戶端軟件程序與操作系統(tǒng)不兼容的問題。
[0005]目前,通過web頁面進(jìn)行的無客戶端軟件認(rèn)證的方法包括如下步驟:
[0006]步驟1,用戶通過web頁面第一次訪問網(wǎng)絡(luò)時,認(rèn)證網(wǎng)關(guān)會仿冒用戶訪問的web服務(wù)器,將用戶的web訪問重定向到Portal服務(wù)器。
[0007]步驟2,Portal服務(wù)器返回用戶登錄頁面。用戶在登錄頁面上輸入用戶名和密碼。
[0008]步驟3,Portal服務(wù)器使用用戶名、密碼,并攜帶用戶的IP地址、MAC地址等信息,到AAA系統(tǒng)對用戶進(jìn)行認(rèn)證。其中,所述IP地址和MAC地址一般從用戶的報文中獲得。
[0009]步驟4,如果用戶認(rèn)證通過,則AAA系統(tǒng)向認(rèn)證網(wǎng)關(guān)下發(fā)策略,允許這個IP地址的用戶訪問網(wǎng)絡(luò)。
[0010]可見,采用現(xiàn)有的web認(rèn)證方法時,如果用戶設(shè)備同時配置了兩類IP地址,比如同時配置了 IPv4地址和IPv6地址,當(dāng)同一用戶分別使用這兩類IP地址接入網(wǎng)絡(luò)時,認(rèn)證網(wǎng)關(guān)會針對這兩類IP地址分別進(jìn)行認(rèn)證,導(dǎo)致重復(fù)認(rèn)證,浪費網(wǎng)絡(luò)認(rèn)證資源。


【發(fā)明內(nèi)容】

[0011]有鑒于此,本發(fā)明提出了一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān),能夠在同一用戶分別使用兩類IP地址接入網(wǎng)絡(luò)時,比如分別使用IPv4地址和IPv6地址接入網(wǎng)絡(luò)時,避免重復(fù)認(rèn)證。
[0012]本發(fā)明提出的技術(shù)方案是:
[0013]一種實現(xiàn)雙棧web認(rèn)證的方法,該方法包括:
[0014]基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表;
[0015]接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址;
[0016]當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài);
[0017]當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
[0018]一種認(rèn)證網(wǎng)關(guān),該認(rèn)證網(wǎng)關(guān)包括實現(xiàn)雙棧web認(rèn)證的認(rèn)證裝置,所述認(rèn)證裝置包括表項建立模塊和關(guān)聯(lián)認(rèn)證模塊;
[0019]所述表項建立模塊,用于基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表;
[0020]所述關(guān)聯(lián)認(rèn)證模塊,用于接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址,當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
[0021]由上述技術(shù)方案可見,本發(fā)明實施例中,認(rèn)證網(wǎng)關(guān)首先在IP地址分配階段,為雙棧IP地址的用戶分別建立第一對應(yīng)關(guān)系表和第二對應(yīng)關(guān)系表,其中,在第一對應(yīng)關(guān)系表中記錄用戶的第一類IP地址與該用戶的MAC地址的對應(yīng)關(guān)系,在第二對應(yīng)關(guān)系表中記錄用戶的第二類IP地址與該用戶的MAC地址的對應(yīng)關(guān)系,并且,在認(rèn)證階段,認(rèn)證網(wǎng)關(guān)通過MAC地址將所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表進(jìn)行關(guān)聯(lián),實現(xiàn)只要第一類IP地址和第二類IP地址中任意一個通過了認(rèn)證,就無需再對另一 IP地址進(jìn)行認(rèn)證,從而避免了重復(fù)認(rèn)證,具體地:
[0022]認(rèn)證網(wǎng)關(guān)接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該請求報文中的第一類IP地址,當(dāng)該第一類IP地址未通過認(rèn)證時,查找所述第一對應(yīng)關(guān)系表中與該請求報文中的第一類IP地址對應(yīng)的MAC地址,根據(jù)該MAC地址查找所述第二對應(yīng)關(guān)系表中該MAC地址對應(yīng)的第二類IP地址,基于對所述第二類IP地址的認(rèn)證信息對所述第一類IP地址進(jìn)行認(rèn)證,具體地,當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
[0023]其中,所述第一類IP地址可以是IPv4地址,相應(yīng)地,所述第二類IP地址是IPv6地址,也可以所述第一類IP地址是IPv6地址,相應(yīng)地,所述第二類IP地址是IPv4地址。
[0024]由上述分析可見,本發(fā)明實施例能夠在同一用戶分別使用兩類IP地址,例如分別使用IPv4地址和IPv6地址接入網(wǎng)絡(luò)時,避免重復(fù)認(rèn)證。

【專利附圖】

【附圖說明】
[0025]圖1是本發(fā)明實施例提供的實現(xiàn)雙棧web認(rèn)證的方法流程圖。
[0026]圖2是本發(fā)明實施例提供的認(rèn)證網(wǎng)關(guān)處理用戶報文的流程圖。
[0027]圖3是本發(fā)明實施例提供的認(rèn)證網(wǎng)關(guān)的硬件結(jié)構(gòu)連接圖。
[0028]圖4是本發(fā)明實施例提供的實現(xiàn)雙棧web認(rèn)證的認(rèn)證裝置結(jié)構(gòu)示意圖。

【具體實施方式】
[0029]針對同一用戶分別使用兩類IP地址,例如分別使用IPv4地址和IPv6地址接入網(wǎng)絡(luò)時存在的重復(fù)認(rèn)證問題,一種改進(jìn)方案是:認(rèn)證網(wǎng)關(guān)使用用戶名、密碼,并攜帶用戶的IP地址、MAC地址等信息,到AAA系統(tǒng)對用戶進(jìn)行認(rèn)證時,如果用戶認(rèn)證通過,則AAA系統(tǒng)向認(rèn)證網(wǎng)關(guān)下發(fā)針對所述MAC地址進(jìn)行控制的策略,認(rèn)證網(wǎng)關(guān)根據(jù)MAC地址標(biāo)示并控制用戶接入網(wǎng)絡(luò)。由于用戶網(wǎng)絡(luò)接口的MAC地址與使用的IP協(xié)議類型無關(guān),同一個用戶通過同一個網(wǎng)絡(luò)接口使用不同協(xié)議地址訪問網(wǎng)絡(luò)時的MAC地址是一樣的,因此能夠避免重復(fù)認(rèn)證。
[0030]然而,由于上述方案是根據(jù)MAC地址控制用戶接入網(wǎng)絡(luò),因此,需要從用戶發(fā)來的報文中提取出MAC地址,這就要求用戶和認(rèn)證網(wǎng)關(guān)之間必須是一個二層網(wǎng)絡(luò),因為用戶報文一旦經(jīng)過三層轉(zhuǎn)發(fā),報文頭中的MAC地址信息就會丟失,因此,限制了用戶與認(rèn)證網(wǎng)關(guān)之間的網(wǎng)絡(luò)結(jié)構(gòu)。
[0031]基于上述分析,本發(fā)明實施例提供了一種實現(xiàn)雙棧web認(rèn)證的方法和認(rèn)證網(wǎng)關(guān),能夠在同一用戶分別使用兩類IP地址,例如分別使用IPv4地址和IPv6地址接入網(wǎng)絡(luò)時,避免重復(fù)認(rèn)證,并且,對用戶與認(rèn)證網(wǎng)關(guān)之間的網(wǎng)絡(luò)結(jié)構(gòu)沒有限制。其中,第一類IP地址可以是IPv4地址,相應(yīng)地,第二類IP地址是IPv6地址,也可以所述第一類IP地址是IPv6地址,相應(yīng)地,所述第二類IP地址是IPv4地址。
[0032]圖1是本發(fā)明實施例提供的實現(xiàn)雙棧web認(rèn)證的方法流程圖。
[0033]如圖1所示,該流程包括:
[0034]步驟101,認(rèn)證網(wǎng)關(guān)基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表。
[0035]其中,所述交互報文的具體內(nèi)容主要依賴于為用戶分配IP地址的所采用的協(xié)議,一般地,當(dāng)為用戶分配IP地址所采用的協(xié)議不同時,建立所述對應(yīng)關(guān)系表所依據(jù)的交互報文也不同,本發(fā)明實施例對所述交互報文的具體類型或內(nèi)容不做限制,只要所述交互報文中攜帶有為用戶分配的IP地址以及用戶的MAC地址,即可用于建立所述對應(yīng)關(guān)系表。
[0036]本發(fā)明實施例中,對為用戶分配IP地址所采用的協(xié)議不作具體限制,例如,所述協(xié)議可以是動態(tài)主機(jī)設(shè)置協(xié)定(Dynamic Host Configurat1n Protocol, DHCP)協(xié)議、或地址解析協(xié)議(Address Resolut1n Protocol, ARP) Snooping 協(xié)議、或鄰居發(fā)現(xiàn)(NeighborDiscovery, ND)協(xié)議等。
[0037]步驟102,認(rèn)證網(wǎng)關(guān)接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該請求報文中的第一類IP地址,當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
[0038]可見,圖1所示的方法中,認(rèn)證網(wǎng)關(guān)通過將所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表進(jìn)行關(guān)聯(lián),基于對其中一種IP地址的認(rèn)證信息對另一種IP地址進(jìn)行認(rèn)證,可以實現(xiàn)兩種IP地址的認(rèn)證結(jié)果復(fù)用,避免重復(fù)認(rèn)證。并且,由于本發(fā)明實施例中的認(rèn)證網(wǎng)關(guān)仍然是基于報文中的IP地址進(jìn)行認(rèn)證的,因此,用戶與認(rèn)證網(wǎng)關(guān)之間可以是二層網(wǎng)絡(luò),也可以是三層網(wǎng)絡(luò),對用戶與認(rèn)證網(wǎng)關(guān)之間的網(wǎng)絡(luò)結(jié)構(gòu)沒有限制。
[0039]在認(rèn)證網(wǎng)關(guān)中,會存儲IP地址的認(rèn)證信息,例如,IP地址當(dāng)前是否正在認(rèn)證過程中,IP地址認(rèn)證的結(jié)果是認(rèn)證通過還是認(rèn)證不通過。本發(fā)明實施例中,在基于所述第二類IP地址的認(rèn)證信息對所述第一類IP地址進(jìn)行認(rèn)證時,如果認(rèn)證網(wǎng)關(guān)查詢第二類IP地址的認(rèn)證信息,確定出第二類IP地址已經(jīng)通過認(rèn)證,則認(rèn)證網(wǎng)關(guān)可以直接確認(rèn)所述第一類IP地址也認(rèn)證通過,而無需再基于用戶信息到認(rèn)證服務(wù)器對所述第一類IP地址進(jìn)行認(rèn)證。如果認(rèn)證網(wǎng)關(guān)沒有在第二對應(yīng)關(guān)系表中查找到所述第二類IP地址,則基于用戶信息通過認(rèn)證服務(wù)器對所述第一類IP地址進(jìn)行認(rèn)證。
[0040]在本申請的一實施例中,除了可以基于對其中一類IP地址的認(rèn)證信息對另一類IP地址進(jìn)行認(rèn)證,從而實現(xiàn)兩類IP地址的認(rèn)證結(jié)果復(fù)用以外,還可以實現(xiàn)兩類IP地址的訪問控制策略復(fù)用,具體地:
[0041]查找所述第二類IP地址對應(yīng)的訪問控制策略,標(biāo)記所述第一類IP地址與所述訪問控制策略的對應(yīng)關(guān)系,以通過所述第二類IP地址的訪問控制策略對第一類IP地址進(jìn)行訪問控制。
[0042]在本申請的另一實施例中,同一用戶的兩類IP地址的認(rèn)證結(jié)果可以復(fù)用,但是,兩類IP地址的訪問控制策略可以不同,具體地:
[0043]認(rèn)證網(wǎng)關(guān)在查找出第二類IP地址認(rèn)證通過,進(jìn)而確認(rèn)所述第一類IP地址認(rèn)證通過之后,認(rèn)證網(wǎng)關(guān)進(jìn)一步查找所述第二類IP地址對應(yīng)的訪問控制策略所關(guān)聯(lián)的關(guān)聯(lián)控制策略,標(biāo)記所述第一類IP地址與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,以通過所述關(guān)聯(lián)控制策略對第一類IP地址進(jìn)行訪問控制。
[0044]其中,所述第一類IP地址的訪問控制策略和所述第二類IP地址的訪問控制策略互為關(guān)聯(lián)控制策略。
[0045]其中,認(rèn)證網(wǎng)關(guān)可以在第一類IP地址和第二類IP地址中的任一認(rèn)證通過時,接收互為關(guān)聯(lián)控制策略的第一類IP地址訪問控制策略和第二類IP地址訪問控制策略,具體地,可以在一條策略中包括兩個規(guī)則,兩個規(guī)則分別對應(yīng)第一類IP地址的訪問控制策略和第二類IP地址的訪問控制策略。
[0046]換言之,策略服務(wù)器在用戶的第一類IP地址和第二類IP地址中有任一 IP地址通過認(rèn)證時,將該用戶的兩種IP地址各自的訪問控制策略,作為彼此的關(guān)聯(lián)控制策略,一起下發(fā)給認(rèn)證網(wǎng)關(guān),然后由認(rèn)證網(wǎng)關(guān)維護(hù)該用戶另一尚未認(rèn)證的IP地址與其訪問控制策略的對應(yīng)關(guān)系,比如:
[0047]用戶1先通過第二類IP地址訪問網(wǎng)絡(luò),并認(rèn)證通過,策略服務(wù)器向認(rèn)證網(wǎng)關(guān)下發(fā)用戶1的控制策略規(guī)則,該控制策略規(guī)則包括第二類IP地址的訪問控制策略及其關(guān)聯(lián)控制策略,其中,所述關(guān)聯(lián)控制策略不包含具體IP地址,僅指明用戶1使用第一類IP地址訪問網(wǎng)絡(luò)時使用的訪問控制策略,認(rèn)證網(wǎng)關(guān)在用戶1實際通過第一類IP地址訪問網(wǎng)絡(luò)并認(rèn)證通過后,建立所述第一類IP地址的具體取值與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,所述關(guān)聯(lián)控制策略在所述對應(yīng)關(guān)系建立后生效,當(dāng)用戶1的第一類IP地址取值發(fā)生變化時,認(rèn)證網(wǎng)關(guān)更新生效的所述關(guān)聯(lián)控制策略對應(yīng)的IP地址,當(dāng)用戶1的第一類IP地址釋放時,認(rèn)證網(wǎng)關(guān)使釋放的IP地址對應(yīng)的訪問控制策略失效。
[0048]認(rèn)證網(wǎng)關(guān)也可以在一類IP地址認(rèn)證通過時,僅接收該類IP地址的訪問控制策略,然后在確定出另一類IP地址也認(rèn)證通過時,再接收該另一類IP地址的訪問控制策略。
[0049]進(jìn)一步地, 申請人:分析發(fā)現(xiàn),可能存在同一個用戶的兩種協(xié)議類型報文同時訪問網(wǎng)絡(luò)而分別要求認(rèn)證的情況,針對這種情況,本申請實施例給出了相應(yīng)的解決方案,以避免對同時訪問網(wǎng)絡(luò)的兩種協(xié)議類型的報文都進(jìn)行認(rèn)證,導(dǎo)致對同一個用戶重復(fù)認(rèn)證,具體地:
[0050]在基于所述第二類IP地址的認(rèn)證信息對所述第一類IP地址進(jìn)行認(rèn)證時,如果第二類IP地址未通過認(rèn)證,即未進(jìn)行過認(rèn)證或以前的認(rèn)證結(jié)果為認(rèn)證失敗,則進(jìn)一步判斷所述第二類IP地址目前是否正在認(rèn)證過程中,如果是,丟棄所述第一類IP地址的網(wǎng)絡(luò)訪問請求報文。
[0051]下面參照附圖,對認(rèn)證網(wǎng)關(guān)通過關(guān)聯(lián)第一對應(yīng)關(guān)系表和第二對應(yīng)關(guān)系表實現(xiàn)用戶的兩種IP地址認(rèn)證結(jié)果復(fù)用進(jìn)行進(jìn)一步地詳細(xì)說明,具體請參見圖2。
[0052]圖2是本發(fā)明實施例提供的認(rèn)證網(wǎng)關(guān)處理用戶報文的流程圖。
[0053]如圖2所示,該流程包括:
[0054]步驟201,認(rèn)證網(wǎng)關(guān)接收用戶報文,從用戶報文中提取源IP地址,為便于描述,將所述源IP地址稱為第一類IP地址。
[0055]步驟202,認(rèn)證網(wǎng)關(guān)查詢認(rèn)證信息記錄,確定所述第一類IP地址是否認(rèn)證通過,如果第一類IP地址認(rèn)證通過,執(zhí)行步驟211,如果第一類IP地址未進(jìn)行過認(rèn)證或者認(rèn)證失敗,執(zhí)行步驟203。
[0056]步驟203,認(rèn)證網(wǎng)關(guān)根據(jù)所述第一類IP地址查詢第一對應(yīng)關(guān)系表,得到該第一類IP地址對應(yīng)的MAC地址。
[0057]步驟204,認(rèn)證網(wǎng)關(guān)根據(jù)所述MAC地址查找另一協(xié)議的對應(yīng)關(guān)系表,即查找第二對應(yīng)關(guān)系表中與所述MAC地址對應(yīng)的第二類IP地址。
[0058]步驟205,判斷是否查找到所述第二類IP地址,如果查找到所述第二類IP地址,執(zhí)行步驟206,否則,執(zhí)行步驟209。
[0059]步驟206,認(rèn)證網(wǎng)關(guān)查詢認(rèn)證信息記錄,判斷所述第二類IP地址是否認(rèn)證通過,如果所述第二類IP地址已經(jīng)認(rèn)證通過,執(zhí)行步驟207,如果第二類IP地址未經(jīng)過認(rèn)證、或認(rèn)證失敗,執(zhí)行步驟208。
[0060]步驟207,確認(rèn)所述第一類IP地址認(rèn)證通過,并確定第一類IP地址的訪問控制策略,執(zhí)行步驟211。
[0061]本步驟中,在一實施例中,第一類IP地址的訪問控制策略可以與第二類IP地址的訪問控制策略相同,因此,可以查找所述第二類IP地址對應(yīng)的訪問控制策略,標(biāo)記所述第一類IP地址與所述訪問控制策略的對應(yīng)關(guān)系,以通過所述第二類IP地址的訪問控制策略對第一類IP地址進(jìn)行訪問控制。
[0062]在另一實施例中,第一類IP地址的訪問控制策略可以與第二類IP地址的訪問控制策略不同,具體地,查找所述第二類IP地址對應(yīng)的訪問控制策略的關(guān)聯(lián)控制策略,標(biāo)記所述第一類IP地址與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,以按照所述關(guān)聯(lián)控制策略對第一類IP地址進(jìn)行訪問控制。
[0063]其中,第一類IP地址訪問控制策略和第二類IP地址訪問控制策略互為關(guān)聯(lián)控制策略。
[0064]認(rèn)證網(wǎng)關(guān)可以在第一類IP地址和第二類IP地址中的任一認(rèn)證通過時,接收互為關(guān)聯(lián)控制策略的第一類IP地址訪問控制策略和第二類IP地址訪問控制策略。
[0065]認(rèn)證網(wǎng)關(guān)也可以在一類IP地址認(rèn)證通過時,僅接收該類IP地址的訪問控制策略,然后在確定出另一類IP地址也認(rèn)證通過時,再接收該另一類IP地址的訪問控制策略。
[0066]步驟208,判斷第二類IP地址是否正在認(rèn)證過程中,如果是,執(zhí)行步驟210,否則,執(zhí)行步驟209。
[0067]步驟209,通過認(rèn)證服務(wù)器對所述第一類IP地址進(jìn)行認(rèn)證,結(jié)束本流程。
[0068]本步驟中,認(rèn)證網(wǎng)關(guān)可以先模擬用戶訪問的網(wǎng)絡(luò)服務(wù)器將所述用戶報文重定向到Protal服務(wù)器,Portal服務(wù)器返回用戶登錄頁面。用戶在登錄頁面上輸入用戶名和密碼,Portal服務(wù)器使用用戶名、密碼,并攜帶用戶的IP地址、MAC地址等信息,到AAA系統(tǒng)等認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通知給認(rèn)證網(wǎng)關(guān),其中,如果認(rèn)證通過,認(rèn)證服務(wù)器通知策略服務(wù)器向所述認(rèn)證網(wǎng)關(guān)下發(fā)關(guān)于所述第一類IP地址的訪問控制策略。
[0069]步驟210,將所述用戶報文丟棄,結(jié)束本流程。
[0070]通過步驟210,可以針對兩種協(xié)議類型報文同時訪問網(wǎng)絡(luò),分別要進(jìn)行認(rèn)證的情況,避免對兩種協(xié)議類型的報文都進(jìn)行認(rèn)證,即能夠避免重復(fù)認(rèn)證。
[0071]步驟211,根據(jù)第一類IP地址的訪問控制策略對所述用戶報文進(jìn)行處理,結(jié)束本流程。
[0072]另外,本發(fā)明實施例提到的認(rèn)證網(wǎng)關(guān)、認(rèn)證服務(wù)器和策略服務(wù)器,可以是物理上相互獨立的設(shè)備,也可以集成在一臺物理設(shè)備上,本發(fā)明實施例對此不做限制。
[0073]針對上述方法,本發(fā)明實施例還公開了一種證網(wǎng)關(guān)。
[0074]圖3是本發(fā)明實施例提供的認(rèn)證網(wǎng)關(guān)的硬件結(jié)構(gòu)連接圖。
[0075]如圖3所示,該認(rèn)證網(wǎng)關(guān)包括處理器、網(wǎng)絡(luò)接口、內(nèi)存和非易失性存儲器,且上述各硬件通過總線連接,其中:
[0076]非易失性存儲器,用于存儲指令代碼;所述指令代碼被處理器執(zhí)行時完成的操作主要為內(nèi)存中的認(rèn)證裝置完成的功能。
[0077]處理器,用于與非易失性存儲器通信,讀取和執(zhí)行非易失性存儲器中存儲的所述指令代碼,完成上述認(rèn)證裝置完成的功能。
[0078]內(nèi)存,當(dāng)非易失性存儲器中的所述指令代碼被執(zhí)行時完成的操作主要為內(nèi)存中的認(rèn)證裝置完成的功能。
[0079]從軟件層面而言,應(yīng)用于認(rèn)證網(wǎng)關(guān)中的認(rèn)證裝置如圖4所示。
[0080]圖4是本發(fā)明實施例提供的實現(xiàn)雙棧web認(rèn)證的認(rèn)證裝置結(jié)構(gòu)示意圖。
[0081]參見圖4,該認(rèn)證裝置包括表項建立模塊401和關(guān)聯(lián)認(rèn)證模塊402。
[0082]表項建立模塊401,用于基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表。
[0083]關(guān)聯(lián)認(rèn)證模塊402,用于接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址,當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
[0084]關(guān)聯(lián)認(rèn)證模塊402,還用于確認(rèn)所述第一類IP地址通過認(rèn)證之后,查找所述第二類IP地址對應(yīng)的訪問控制策略,標(biāo)記所述第一類IP地址與所述訪問控制策略的對應(yīng)關(guān)系,以通過所述第二類IP地址的訪問控制策略對第一類IP地址進(jìn)行訪問控制。
[0085]所述關(guān)聯(lián)認(rèn)證模塊402,還用于查找所述第二類IP地址對應(yīng)的訪問控制策略所關(guān)聯(lián)的關(guān)聯(lián)控制策略,標(biāo)記所述第一類IP地址與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,以通過所述關(guān)聯(lián)控制策略對第一類IP地址進(jìn)行訪問控制。
[0086]其中,所述第一類IP地址的訪問控制策略和所述第二類IP地址的訪問控制策略互為關(guān)聯(lián)控制策略。
[0087]關(guān)聯(lián)認(rèn)證模塊402,還用于在所述第二類IP地址未通過認(rèn)證時,判斷所述第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址處于認(rèn)證過程中時,丟棄所述第一類IP地址的網(wǎng)絡(luò)訪問請求報文。
[0088]關(guān)聯(lián)認(rèn)證模塊402,還用于在沒有查找到所述第二類IP地址時,基于用戶信息對所述第一類IP地址進(jìn)行認(rèn)證。
[0089]上述的認(rèn)證裝置作為一個邏輯意義上的裝置,其是通過處理器將非易失性存儲器中對應(yīng)的計算機(jī)程序指令讀取到內(nèi)存中運行形成的。當(dāng)對應(yīng)的計算機(jī)程序指令被執(zhí)行時,形成的認(rèn)證裝置用于按照上述實施例中的認(rèn)證方法執(zhí)行相應(yīng)操作。
[0090]本發(fā)明實施例具有以下的有益效果:
[0091]本發(fā)明實施例中,認(rèn)證網(wǎng)關(guān)在IP地址分配階段,為雙棧IP地址用戶的每種IP協(xié)議地址分別建立對應(yīng)關(guān)系表,在認(rèn)證階段,將兩種IP協(xié)議地址的對應(yīng)關(guān)系表進(jìn)行關(guān)聯(lián),實現(xiàn)兩種協(xié)議IP地址的認(rèn)證結(jié)果復(fù)用,能夠通過無客戶端的Web認(rèn)證方式,一次認(rèn)證即實現(xiàn)對IPv4、IPv6雙棧地址的控制,避免重復(fù)認(rèn)證,簡化用戶上網(wǎng)操作,提升用戶體驗。
[0092]特別地,通過檢測兩種類型的協(xié)議報文同時訪問網(wǎng)絡(luò)的情況,并針對這種情況,丟棄其中一種協(xié)議報文,能夠進(jìn)一步避免重復(fù)認(rèn)證,提升用戶體驗。
[0093]特別地,當(dāng)針對兩種IP協(xié)議地址分別采用不同的控制策略時,還可以實現(xiàn)對用戶報文的進(jìn)一步精細(xì)化控制。
[0094]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
【權(quán)利要求】
1.一種實現(xiàn)雙棧web認(rèn)證的方法,其特征在于,該方法包括: 基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表; 接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址; 當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài); 當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,標(biāo)識所述第一類IP地址通過認(rèn)證之后,該方法還包括: 查找所述第二類IP地址對應(yīng)的訪問控制策略,標(biāo)記所述第一類IP地址與所述訪問控制策略的對應(yīng)關(guān)系,以通過所述第二類IP地址所對應(yīng)的訪問控制策略對所述第一類IP地址進(jìn)行訪問控制。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,確認(rèn)所述第一類IP地址通過認(rèn)證之后,該方法還包括: 查找所述第二類IP地址對應(yīng)的訪問控制策略所關(guān)聯(lián)的關(guān)聯(lián)控制策略,標(biāo)記所述第一類IP地址與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,以通過所述關(guān)聯(lián)控制策略對所述第一類IP地址進(jìn)行訪問控制; 其中,所述第一類IP地址的訪問控制策略和所述第二類IP地址的訪問控制策略互為關(guān)聯(lián)控制策略。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法還包括: 在沒有查找到所述第二類IP地址時,基于用戶信息對所述第一類IP地址進(jìn)行認(rèn)證。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表獲取第二類IP地址的認(rèn)證狀態(tài)之后,還包括: 當(dāng)所述第二類IP地址未通過認(rèn)證時,基于用戶信息對所述第一類IP地址進(jìn)行認(rèn)證; 和/或,當(dāng)所述第二類IP地址處于認(rèn)證過程中時,丟棄所述第一類IP地址的網(wǎng)絡(luò)訪問請求報文。
6.一種認(rèn)證網(wǎng)關(guān),其特征在于,該認(rèn)證網(wǎng)關(guān)包括實現(xiàn)雙棧web認(rèn)證的認(rèn)證裝置,所述認(rèn)證裝置包括表項建立模塊和關(guān)聯(lián)認(rèn)證模塊; 所述表項建立模塊,用于基于為用戶分配IP地址的交互報文,建立用戶的第一類IP地址與所述用戶的MAC地址的第一對應(yīng)關(guān)系表、以及所述用戶的第二類IP地址與所述用戶的MAC地址的第二對應(yīng)關(guān)系表; 所述關(guān)聯(lián)認(rèn)證模塊,用于接收用戶的網(wǎng)絡(luò)訪問請求報文,獲取該網(wǎng)絡(luò)訪問請求報文中的用戶信息,所述用戶信息包括第一類IP地址,當(dāng)該第一類IP地址未通過認(rèn)證時,根據(jù)所述第一對應(yīng)關(guān)系表和所述第二對應(yīng)關(guān)系表確定第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址通過認(rèn)證時,標(biāo)識所述第一類IP地址通過認(rèn)證。
7.根據(jù)權(quán)利要求6所述的認(rèn)證網(wǎng)關(guān),其特征在于, 所述關(guān)聯(lián)認(rèn)證模塊,還用于確認(rèn)所述第一類IP地址通過認(rèn)證之后,查找所述第二類IP地址對應(yīng)的訪問控制策略,標(biāo)記所述第一類IP地址與所述訪問控制策略的對應(yīng)關(guān)系,以通過所述第二類IP地址的訪問控制策略對第一類IP地址進(jìn)行訪問控制。
8.根據(jù)權(quán)利要求6所述的認(rèn)證網(wǎng)關(guān),其特征在于, 所述關(guān)聯(lián)認(rèn)證模塊,還用于查找所述第二類IP地址對應(yīng)的訪問控制策略的關(guān)聯(lián)控制策略,標(biāo)記所述第一類IP地址與所述關(guān)聯(lián)控制策略的對應(yīng)關(guān)系,以通過所述關(guān)聯(lián)控制策略對第一類IP地址進(jìn)行訪問控制; 其中,第一類IP地址訪問控制策略和第二類IP地址訪問控制策略互為關(guān)聯(lián)控制策略。
9.根據(jù)權(quán)利要求6所述的認(rèn)證網(wǎng)關(guān),其特征在于, 所述關(guān)聯(lián)認(rèn)證模塊,還用于在沒有查找到所述第二類IP地址時,基于用戶信息對所述第一類IP地址進(jìn)行認(rèn)證。
10.根據(jù)權(quán)利要求6所述的認(rèn)證網(wǎng)關(guān),其特征在于, 所述關(guān)聯(lián)認(rèn)證模塊,還用于在所述第二類IP地址未通過認(rèn)證時,判斷所述第二類IP地址的認(rèn)證狀態(tài),當(dāng)所述第二類IP地址處于認(rèn)證過程中時,丟棄所述第一類IP地址的網(wǎng)絡(luò)訪問請求報文。
【文檔編號】H04L9/32GK104468619SQ201410827494
【公開日】2015年3月25日 申請日期:2014年12月26日 優(yōu)先權(quán)日:2014年12月26日
【發(fā)明者】鄭上閩 申請人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1