[发明专利]用于管理IPv6地址和访问策略的系统和方法

说明书

技术领域

本发明涉及一种用于管理互联网协议第六版(IPv6)地址和访问策略的系统和方法，更具体地讲，涉及一种网络管理员使用策略服务器和终端之间的通信远程管理将被分配给用户的IPv6地址和网络访问策略的系统和方法。

背景技术

现有的互联网协议(IP)系统基于具有32比特地址系统的互联网协议第四版(IPv4)技术。然而，随着互联网的使用的增加和无处不在(ubiquitous)的技术的发展，可使用32比特的长度被分配的地址正在被用尽。为了解决这种问题，互联网工程任务组(IETF)已对采用128比特地址系统的IPv6进行了标准化。

然而，IPv6地址具有128比特的长度，因此与IPv4地址相比，IPv6是非常长且复杂的。为此，终端(例如，个人计算机(PC))用户手动设置终端的IPv6地址是非常少见的，并且使用针对IPv6的动态主机配置协议(DHCPv6)、路由器通告(router advertisement)等自动分配地址的方法已普遍化。换句话说，动态自动地址分配方案(诸如，DHCPv6和RA)目前正被用于在多数网络环境中的IPv6地址，并通过协议间的通信自动被设置。

上述方法便于一起分配所有IPv6地址。然而，因为几乎无法执行访问策略管理(诸如，对于用户的静态地址的分配或访问的限制)，所以个人特定的控制是实际上不可能的，并且当确切需要时，用户应手动设置并控制终端。尤其是，重点在于安全性的网络(诸如，公司的内部网)可要求防火墙规则的设置、对于特定用户的访问的限制等。在这种情况下，IPv6地址需要以用户为基础被固定。

然而，使用基于设备之间的通信的现有动态自动分配方案，个人的IPv6地址无法被控制，并且个人的安全性规则无法被应用到基于Windows的PC的防火墙，其原因在于由请求评议(RFC)4941引起的源IP地址的改变。此外，在基于Windows的PC中，自动穿隧(tunneling)功能(诸如，6到4)针对使用IPv6的个人被设置为默认。因此，安全管理员难以获知用户之间的IPv6通信通过封装包(encapsulated packet)被执行，并且在公司的安全管理方面可能发送严重的问题。

此外，当个人终端应使用静态IPv6地址时，用户需要手动设置地址并还需要关闭基于RFC4941的临时地址使用功能，导致相当的不便。另外，网络管理员还无法基于内部策略分配或管理IPv6地址，并且即使用户手动设置IPv6地址，因为不能远程确认，所以网络管理员仍要亲自检查IPv6地址是否被正确地设置。因此，仍存在不便。

发明内容

技术问题

本发明的目的在于使用策略服务器和终端之间的通信，网络管理员远程管理将被分配给用户的IPv6地址和访问策略的系统和方法。

本发明还旨在于这样一种系统和方法，即，能够与策略服务器通信的代理器安装在IPv6终端并能够使关于IPv6地址分配、允许访问的工作场所(workplace)、隐私扩展功能的使用等的访问策略信息从策略服务器被下载并能够使IPv6终端被设置，从而网络管理员能够远程管理IPv6地址和访问策略。

本发明还旨在于当IPv6地址被设置时，能够通过在终端的IPv6地址中包括信息(诸如，预先分配的IPv4地址、工作场所的子网地址、详细的访问策略和安全等级)来容易地执行网络管理(诸如，安全)的系统和方法。

技术解决方案

本发明的一方面提供了一种用于管理互联网协议第六版(IPv6)地址和访问策略的系统，所述的系统包括：策略服务器，被配置为管理基于每个用户或用户群设置的网络访问策略信息；具有代理模块的用户终端，所述代理模块被配置为访问策略服务器、验证用户、接收对应于用户的访问策略信息并基于访问策略信息自动地设置终端的IPv6地址和访问策略功能。

本发明的另一方面提供了一种用于管理IPv6地址和访问策略的策略服务器，所述策略服务器包括：访问策略设置器，被配置为设置基于每个用户或用户群将被分配的IPv6地址和网络访问策略并产生用户特定访问策略信息；用户验证器，被配置为当用户终端访问时向用户终端请求用户信息并验证用户；访问策略存储器，被配置为存储由访问策略设置器产生的用户特定访问策略信息。