[发明专利]用户接入权限控制系统和方法

说明书

技术领域

本发明涉及计算机数据通信领域，具体涉及一种基于DHCPv6和802.1x的用户接入权限控制系统和方法。

背景技术

在计算机网络中，如果用户终端发出网络接入请求，网络中负责IP地址分配的服务器会为发出网络接入请求的用户终端分配一个网络(IP)地址，以便用户终端可以接入网络。当前，网络中的参与用户终端网络接入的服务器通常是采用支持IPv6的动态主机设置协议(Dynamic Host Configuration Protocol，DHCP)的DHCPv6服务器和DHCPv6中继服务器。DHCPv6是一种动态分配IPv6地址的协议，广泛应用于各种IPv6网络中。

在现有技术中，在用户终端进行网络接入时，首先由用户终端向DHCPv6中继服务器发出DHCP请求报文申请接入网络，DHCPv6中继服务器接收到该请求报文后，将该报文转给DHCPv6服务器，DHCPv6服务器收到用户终端的DHCP请求报文后，把分配给用户终端的IP地址等网络初始化信息及自己的IP地址记载在DHCP响应报文中，发给DHCPv6中继服务器，再由DHCPv6中继服务器将收到的由DHCPv6服务器发送的DHCP响应报文中转给用户终端，用户终端获得IP地址，从而该用户终端可以接入网络。

DHCPv6协议向IPv6客户端提供IP地址和配置信息，其包括中继代理能力，中继代理可以在要转发的DHCPv6报文中添加必要的信息。DHCPv6报文可以由多个选项(option)字段组成，其中，RFC4649规定了中继代理远程标识选项字段(Relay Agent Remote-ID option)，也被称为选项37字段(option 37)，该字段由DHCPv6中继代理添加到DHCPv6报文，其格式如图1所示。其中，“选项代码”表示中继代理选项字段的序号，定义为OPTION_REMOTE_ID(37)，表示该选项字段为中继代理远程标识选项字段。“选项长度”为“厂商代码”和“远程标识”区域的字节数，不包括“选项代码”和“选项长度”部分的字节数。“厂商代码”(enterprise-number)为生产厂商注册的企业号，其唯一标识设备的制造商。“远程标识”(remote-id)为设备制造商自定义字段，用于唯一标识制造商制造的设备，即“厂商代码”和“远程标识”构成的序列可以唯一标识一台远程设备。

一般管理员在DHCPv6服务器上配置基于中继代理远程标识选项字段的地址分配策略。DHCPv6服务器根据DHCPv6请求中的中继代理远程标识选项字段信息来判断当前请求是否匹配相应策略而分配不同的地址，然后将从用户的DHCPv6报文中获取的中继代理远程标识选项字段与预设的数据库中内容进行比对，若有匹配的字符串则认为用户接入合法并分配IPv6地址。

但是，由于DHCPv6本身没有严格的安全认证机制，在不安全的网络环境下会出现因IPv6地址欺骗、MAC地址欺骗、恶意分配IPv6地址以致IPv6资源匮乏等问题。为了防止用户非法接入网络，一般在接入网络中采用802.1x认证。802.1x是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-BasedNetwork Access Control)而定义的标准，该标准目前已经在无线局域网和以太网中被广泛应用。用户终端安装802.1x认证客户端，用户终端通过认证后即可以合法的接入网络，访问各种资源。

但是，在目前的802.1x认证过程中，用户终端在认证前无法访问任何资源，通过认证后又可以访问所有资源，这造成对用户访问权限的控制只有完全不能访问和全部可以访问这两种状态，这样的管理方式难以满足对用户访问权限进行精细化管理的需要。

发明内容

针对上述技术问题，本发明的目的在于提供一种基于DHCPv6和802.1x的用户接入权限控制系统和方法，其解决了现有技术中用户接入网络时，在802.1x认证后无法精细控制用户访问权限的问题。

本发明公开了一种用户接入权限控制系统，所述系统包括用户终端，接入交换机，汇聚交换机以及通过网络与汇聚交换机连接的地址分配服务器和认证服务器；

所述用户终端用于向接入交换机发送地址分配请求以请求地址分配服务器分配地址，并根据地址分配服务器分配的地址向认证服务器发起认证请求；

所述接入交换机用于向所述地址分配请求的中继代理远程标识选项字段(Option 37)中附加接入虚拟局域网标识、接入端口以及接入交换机物理地址，并转发该附加信息后的地址分配请求；

所述汇聚交换机用于转发所有来自接入交换机的报文；