本申请提供一种访问控制方法及装置,其中,该方法包括:接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网IP地址分配给用户主机;接收Portal服务器发来的Portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向Portal服务器回应Portal认证应答报文;接收用户主机更新IP地址时发来的第二地址申请报文,从公网地址池中选择一个公网IP地址分配给用户主机。
【技术实现步骤摘要】
访问控制方法及装置
本申请涉及网络通信
,特别涉及一种访问控制方法及装置。
技术介绍
Portal(门户)认证是一种灵活的网络访问控制技术,通过Web(网页)页面获取用户的用户名和密码,对用户进行身份认证,以达到访问控制的目的。二次地址分配认证指的是在用户通过认证前,先为用户主机分配一个私网IP(InternetProtocol,因特网协议)地址,此时,用户主机只能访问Portal服务器以及设定的免认证地址;后续在用户认证通过后,再为用户主机分配一个公网IP地址,此时用户主机即可访问互联网资源,该认证方式解决了IP地址规划和分配问题。目前,在采用Portal二次地址分配认证方式时,需要在BRAS(BroadbandRemoteAccessServer,宽带远程接入服务器)设备的用户端口上配置一个主IP地址和一个从IP地址,其中,主IP地址作为公网网关IP地址,从IP地址作为私网网关IP地址。具体的,首先,BRAS设备将私网网关IP地址(即从IP地址)作为用户主机的网关IP地址,从而为用户主机分配一个私网IP地址,然后,在用户认证通过后,再将用户主机的网关IP地址切换为公网网关IP地址(即主IP地址),从而为用户主机分配一个公网IP地址,后续,用户主机即可通过BRAS设备访问互联网资源。但是,在上述的方法中,要求在BRAS设备的用户端口上配置主IP地址和从IP地址,而且规定主IP地址只能作为公网网关IP地址,从IP地址只能作为私网网关IP地址,配置限制比较大。
技术实现思路
有鉴于此,本申请提供一种访问控制方法及装置。具体地,本申请是通过如下技术方案实现的:一方面,提供了一种访问控制方法,该方法包括:接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网IP地址分配给用户主机,以使用户主机使用该私网IP地址访问网络;接收Portal服务器发来的Portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向Portal服务器回应Portal认证应答报文,以使Portal服务器通知用户主机更新IP地址;接收用户主机更新IP地址时发来的第二地址申请报文,从公网地址池中选择一个公网IP地址分配给用户主机,以使用户主机使用该公网IP地址访问网络。另一方面,还提供了一种访问控制装置,该装置包括:认证授权单元,用于接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机;还用于接收Portal服务器发来的Portal认证请求报文,对用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,向Portal服务器回应Portal认证应答报文,以使Portal服务器通知用户主机更新IP地址;地址分配单元,用于从私网地址池中选择一个私网IP地址分配给用户主机,以使用户主机使用该私网IP地址访问网络;还用于接收用户主机更新IP地址时发来的第二地址申请报文,从公网地址池中选择一个公网IP地址分配给用户主机,以使用户主机使用该公网IP地址访问网络。通过本申请的以上技术方案,首先接收用户主机发来的第一地址申请报文,对用户进行认证,并在认证通过后,将第一用户身份信息对应的私网地址池授权给用户主机,从该私网地址池中选择一个私网IP地址分配给用户主机;然后,再对用户进行Portal认证,并在认证通过后,将第二用户身份信息对应的公网地址池授权给用户主机,后续,从该公网地址池中选择一个公网IP地址分配给用户主机,从而实现了Portal二次地址分配认证。通过对用户进行两次认证授权,来控制对应的地址池,即,第一次认证授权时授权私网地址池,第二次认证授权时授权公网地址池,实现了用户主机的私网IP地址和公网IP地址的转换,由于无需在BRAS设备的用户端口上配置主IP地址和从IP地址,也不限定主IP地址只能作为公网网关IP地址、从IP地址只能作为私网网关IP地址,因此,解决了现有技术中存在的配置限制比较大的问题。附图说明图1是本申请一示例性实施例示出的采用Portal二次地址分配认证方式的网络架构示意图;图2是基于图1的网络结构的访问控制方法的交互流程图;图3是本申请另一示例性实施例示出的采用Portal二次地址分配认证方式的网络架构示意图;图4是基于图3的网络结构的访问控制方法的交互流程图;图5是本申请一示例性实施例示出的访问控制装置所在BRAS设备的硬件结构示意图;图6是本申请一示例性实施例示出的访问控制装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了解决现有技术中存在的配置限制比较大的问题,本申请以下实施例中提供了一种访问控制方法,以及一种可以应用该方法的访问控制装置。如图1所示,本申请实施例的采用Portal二次地址分配认证方式的网络中主要包括:用户主机(或称为Portal客户端)、接入层设备、BRAS设备、以及Portal服务器,其中,BRAS设备中集成有AAA服务器和DHCP服务器的功能。此时的访问控制方法的交互流程如图2所示,包括以下步骤:步骤S101,用户主机发出用于申请IP地址的第一地址申请报文;其中,上述第一地址申请报文可以是DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)Discover(发现)报文或者DHCPRequest(请求)报文。第一地址申请报文中携带有用户主机的特征信息,用户主机的特征信息中包括:MAC(媒体访问控制)地址、DHCP选项信息、以及接入位置信息。步骤S102,BRAS设备接收该第一地址申请报文,对用户进行认证;在为用户开通上网服务时,在BRAS设备上记录第一用户身份信息和第一用户密码,其中,第一用户身份信息由用户主机的特征信息中包括的MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项组成,第一用户密码由用户主机的特征信息中包括的MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项组成。这样,在步骤S102中,BRAS设备在接收到第一地址本文档来自技高网...
【技术保护点】
一种访问控制方法,其特征在于,所述方法包括:接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给所述用户主机,从所述私网地址池中选择一个私网IP地址分配给所述用户主机,以使所述用户主机使用所述私网IP地址访问网络;接收门户Portal服务器发来的Portal认证请求报文,对所述用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给所述用户主机,向所述Portal服务器回应Portal认证应答报文,以使所述Portal服务器通知所述用户主机更新IP地址;接收所述用户主机更新IP地址时发来的第二地址申请报文,从所述公网地址池中选择一个公网IP地址分配给所述用户主机,以使所述用户主机使用所述公网IP地址访问网络。
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:接收用户主机发来的第一地址申请报文,对用户进行认证,在认证通过后,将第一用户身份信息对应的私网地址池授权给所述用户主机,从所述私网地址池中选择一个私网IP地址分配给所述用户主机,以使所述用户主机使用所述私网IP地址访问网络;接收门户Portal服务器发来的Portal认证请求报文,对所述用户进行认证,在认证通过后,将第二用户身份信息对应的公网地址池授权给所述用户主机,向所述Portal服务器回应Portal认证应答报文,以使所述Portal服务器通知所述用户主机更新IP地址;接收所述用户主机更新IP地址时发来的第二地址申请报文,从所述公网地址池中选择一个公网IP地址分配给所述用户主机,以使所述用户主机使用所述公网IP地址访问网络。2.根据权利要求1所述的方法,其特征在于,接收用户主机发来的第一地址申请报文,对用户进行认证,包括:将第一地址申请报文携带的第一用户身份信息和第一用户密码与本地保存的第一用户身份信息和第一用户密码进行匹配,若均匹配,则认证通过。3.根据权利要求2所述的方法,其特征在于,所述第一地址申请报文携带所述用户主机的特征信息,包括:MAC地址、DHCP选项信息、以及接入位置信息;所述第一用户身份信息由所述MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项组成;所述第一用户密码由所述MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项组成。4.根据权利要求1所述的方法,其特征在于,所述Portal认证请求报文中携带用户名和密码;所述第二用户身份信息为所述用户名。5.根据权利要求1所述的方法,其特征在于,在从所述私网地址池中选择一个私网IP地址分配给所述用户主机之后,还包括:在用户表项中记录所述私网地址池的标识ID和选中的私网IP地址;在将第二用户身份信息对应的公网地址池授权给所述用户主机之后,还包括:将所述用户表项中记录的所述私网地址池的ID更新为所述公网地址池的ID;在从所述公网地址池中选择一个公网IP地址分配给所述用户主机之后,还包括:将所述用户表项中记录的私网IP地址更新为选中的公网IP地址。6.一种访问控制装置,其特征在于,所述装置包括:认证授权单元,用于接收用...
【专利技术属性】
技术研发人员:邱元香,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。