技術領域

本發明涉及計算機數據通信領域，具體涉及一種基于DHCPv6和802.1x的用戶接入權限控制系統和方法。

背景技術

在計算機網絡中，如果用戶終端發出網絡接入請求，網絡中負責IP地址分配的服務器會為發出網絡接入請求的用戶終端分配一個網絡(IP)地址，以便用戶終端可以接入網絡。當前，網絡中的參與用戶終端網絡接入的服務器通常是采用支持IPv6的動態主機設置協議(Dynamic?Host?Configuration?Protocol，DHCP)的DHCPv6服務器和DHCPv6中繼服務器。DHCPv6是一種動態分配IPv6地址的協議，廣泛應用于各種IPv6網絡中。

在現有技術中，在用戶終端進行網絡接入時，首先由用戶終端向DHCPv6中繼服務器發出DHCP請求報文申請接入網絡，DHCPv6中繼服務器接收到該請求報文后，將該報文轉給DHCPv6服務器，DHCPv6服務器收到用戶終端的DHCP請求報文后，把分配給用戶終端的IP地址等網絡初始化信息及自己的IP地址記載在DHCP響應報文中，發給DHCPv6中繼服務器，再由DHCPv6中繼服務器將收到的由DHCPv6服務器發送的DHCP響應報文中轉給用戶終端，用戶終端獲得IP地址，從而該用戶終端可以接入網絡。

DHCPv6協議向IPv6客戶端提供IP地址和配置信息，其包括中繼代理能力，中繼代理可以在要轉發的DHCPv6報文中添加必要的信息。DHCPv6報文可以由多個選項(option)字段組成，其中，RFC4649規定了中繼代理遠程標識選項字段(Relay?Agent?Remote-ID?option)，也被稱為選項37字段(option?37)，該字段由DHCPv6中繼代理添加到DHCPv6報文，其格式如圖1所示。其中，“選項代碼”表示中繼代理選項字段的序號，定義為OPTION_REMOTE_ID(37)，表示該選項字段為中繼代理遠程標識選項字段。“選項長度”為“廠商代碼”和“遠程標識”區域的字節數，不包括“選項代碼”和“選項長度”部分的字節數。“廠商代碼”(enterprise-number)為生產廠商注冊的企業號，其唯一標識設備的制造商。“遠程標識”(remote-id)為設備制造商自定義字段，用于唯一標識制造商制造的設備，即“廠商代碼”和“遠程標識”構成的序列可以唯一標識一臺遠程設備。

一般管理員在DHCPv6服務器上配置基于中繼代理遠程標識選項字段的地址分配策略。DHCPv6服務器根據DHCPv6請求中的中繼代理遠程標識選項字段信息來判斷當前請求是否匹配相應策略而分配不同的地址，然后將從用戶的DHCPv6報文中獲取的中繼代理遠程標識選項字段與預設的數據庫中內容進行比對，若有匹配的字符串則認為用戶接入合法并分配IPv6地址。

但是，由于DHCPv6本身沒有嚴格的安全認證機制，在不安全的網絡環境下會出現因IPv6地址欺騙、MAC地址欺騙、惡意分配IPv6地址以致IPv6資源匱乏等問題。為了防止用戶非法接入網絡，一般在接入網絡中采用802.1x認證。802.1x是IEEE?LAN/WAN委員會為了解決基于端口的網絡接入控制(Port-BasedNetwork?Access?Control)而定義的標準，該標準目前已經在無線局域網和以太網中被廣泛應用。用戶終端安裝802.1x認證客戶端，用戶終端通過認證后即可以合法的接入網絡，訪問各種資源。

但是，在目前的802.1x認證過程中，用戶終端在認證前無法訪問任何資源，通過認證后又可以訪問所有資源，這造成對用戶訪問權限的控制只有完全不能訪問和全部可以訪問這兩種狀態，這樣的管理方式難以滿足對用戶訪問權限進行精細化管理的需要。

發明內容

針對上述技術問題，本發明的目的在于提供一種基于DHCPv6和802.1x的用戶接入權限控制系統和方法，其解決了現有技術中用戶接入網絡時，在802.1x認證后無法精細控制用戶訪問權限的問題。

本發明公開了一種用戶接入權限控制系統，所述系統包括用戶終端，接入交換機，匯聚交換機以及通過網絡與匯聚交換機連接的地址分配服務器和認證服務器；

所述用戶終端用于向接入交換機發送地址分配請求以請求地址分配服務器分配地址，并根據地址分配服務器分配的地址向認證服務器發起認證請求；

所述接入交換機用于向所述地址分配請求的中繼代理遠程標識選項字段(Option?37)中附加接入虛擬局域網標識、接入端口以及接入交換機物理地址，并轉發該附加信息后的地址分配請求；

所述匯聚交換機用于轉發所有來自接入交換機的報文；