[发明专利]对双栈用户进行访问控制的方法和设备

说明书

技术领域

本发明涉及通信技术领域中的视频监控技术，尤其涉及一种对双栈用户进行访问控制的方法和设备。

背景技术

IPv6(Internet Protocol Version 6，因特网协议版本6)是网络层协议的第二代标准协议，也被称为IPng(IP Next Generation，下一代因特网)，它是IETF(Internet Engineering Task Force，Internet工程任务组)设计的一套规范，是IPv4的升级版本。IPv6和IPv4之间最显著的区别为：IP地址的长度从32比特增加到128比特。

IPv6地址可以手工配置或通过自动配置方式完成，自动配置方式包括ND无状态自动地址配置和DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)有状态配置。DHCPv6(支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的、为主机分配IPv6地址和其他网络配置参数的协议。与其他IPv6地址分配方式(手工配置、通过路由器公告消息中的网络前缀无状态自动配置等)相比，DHCPv6具有以下优点：

(1)更好地控制地址的分配。通过DHCPv6不仅可以记录为主机分配的地址，还可以为特定主机分配特定的地址，以便于网络管理；

(2)除了IPv6地址外，还可以为主机提供DNS(Domain Name System，域名系统)服务器、域名等网络配置参数。

DHCPv6采用客户端/服务器通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置。DHCPv6客户端通过链路范围的组播地址与DHCPv6服务器通信，以获取IPv6地址和其他网络配置参数。如果服务器和客户端不在同一个链路范围内，则需要通过DHCPv6中继来转发报文，这样可以避免在每个链路范围内都部署DHCPv6服务器，既节省了成本，又便于进行集中管理。

Portal也称为Web Portal方案，典型组网方式中通常由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

基于以上组网架构，对用户进行访问控制的流程主要包括：

未认证用户访问网络时，通过在IE地址栏中输入一个互联网的地址发起HTTP(HyperText Transfer Protocol，超文本传输协议)请求，该HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；接入设备再与认证/计费服务器通信进行认证和计费；认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。

在PORTAL组网中，如果希望同时对IPv4和IPv6(表示为IPv4/IPv6，以下同)用户进行上网控制，则需要接入设备能够区分同一用户的IPv4上网流程和IPv6上网流程，即能够从其地址分配过程中，找出同一用户的IPv4地址和IPv6地址。这一过程可以基于MAC(Media Access Control，媒体访问控制)地址进行区分，然后生成MAC+IPv4地址+IPv6地址的用户信息表，进而控制其IPv4/IPv6上网权限。这样的话，用户只要通过一次PORTAL认证，不论是IPv4PORTAL还是IPv6PORTAL，都可以进行双栈上网控制。

现有技术中，接入设备需要根据MAC地址，关联用户的IPv4和IPv6上网信息，PORTAL认证通过后，也会根据这个信息来控制用户的IPv4/IPv6上网流程。

发明人在实现本发明的过程中发现现有技术至少存在以下缺陷：

(1)PORTAL认证网关部署在汇聚层之上，即跨越了三层设备之后，用户的MAC地址信息可能被中间路由设备丢失，从而无法建立起同一用户的IPv4/IPv6地址之间的关联。

(2)对于DHCPv4地址分配流程，MAC地址一直存在于DHCP报文中，而DHCPv6流程中，如果DUID(DHCPv6Unique ID，DHCPv6服务器的唯一标识)中不含有MAC地址(如Type 2即不含有)，则经过DHCPv6服务器中继后MAC地址信息将不存在，进而无法建立同一用户的IPv4/IPv6地址的关联关系。