技術領域

本發明涉及數據通信技術領域，尤其涉及一種在網絡接入控制系統中透傳IPV6地址的方法。

背景技術

隨著網絡應用的日益普及與深入，網絡安全日益成為非常重要的問題。網絡接入控制（Network?Access?Control，NAC）技術方案的應用提供了一個相對完整的網絡安全解決方案。例如：H3C的Endpoint?Admission?Domination（EAD），Cisco的Network?Admission?Control（CNAC）等都是網絡接入控制應用系統。一般來說，網絡接入控制應用系統由身份認證服務器、安全策略服務器、接入設備和客戶端軟件組成。

在客戶端通過身份認證后，需要與安全策略服務器通信完成用戶終端的安全檢查，以確保其無危險地接入網絡系統。其中客戶端與安全策略服務器間的通信一般使用應用層協議，通常是由客戶端主動發起的，因而在它們通信前，客戶端必須獲取到安全策略服務器的IP地址和監聽端口。

在802.1x和RADIUS（Remote?Authentication?Dial?In?User?Service，遠程用戶撥號認證系統）服務器配合進行身份認證的系統中，客戶端獲取安全策略服務器地址的方法有兩種：一種是通過RADIUS協議的Vendor-Specific屬性擴展的方式，另一種則是通過RADIUS報文透傳md5-challenge的方式。其中：

Vendor-Specific屬性擴展的方式，具體是指生產廠商在RAIUDS的Vendor-Specific屬性中自定義兩個屬性分別為安全策略服務器的IP地址和監聽端口，所述RADIUS認證服務器通過RAIUDS報文發送給NAS（Network?Access?Server，網絡接入服務器）接入設備，NAS接入設備首先解析出這兩個屬性，然后通過EAP（Extensible?Authentication?Protocol，可擴展認證協議）報文發給客戶端。但是，某一廠商的NAS接入設備通常無法解析其他廠商自定義的私有屬性，因此本方案不適用于多廠商網絡設備共同組成的接入網絡。

透傳MD5-Challenge的方式，則是利用MD5-Challenge屬性中未被使用的字節來攜帶安全策略服務器的IP地址和監聽端口。具體地，RADIUS認證服務器在RADIUS協議的Access-challenge報文的EAP-Message屬性中透傳該MD5-Challenge屬性，即該屬性的前8個字節被MD5-Challenge的隨機數占用，后8個字節用來設置為安全策略服務器的IP地址和監聽端口。NAS接入設備會將該屬性毫無改變地通過EAP報文發送給客戶端，這樣安全策略服務器的IP地址和監聽端口就送達客戶端了。然而，這種方式只適用于IPv4的網絡環境，不適用于IPv6的網絡環境。因為IPv6地址需要占用16個字節，而MD5-Challenge屬性只有16個字節，除了攜帶MD5-challenge值內容外，沒有足夠的空間再攜帶IPv6地址。因此，該方案并不適用與IPv6網絡環境。

發明內容

有鑒于此，本發明提供一種在網絡接入控制系統中透傳IPV6地址的方法，可以解決在網絡接入控制系統中，將指定的IPv6地址從策略服務器透傳到客戶端的問題。

為實現本發明目的，本發明實現方案具體如下：

一種網絡接入控制系統中透傳IPV6的方法，應用于包括客戶端、接入設備、策略服務器和RADIUS服務器的網絡接入控制系統中，其中，所述RADIUS服務器在客戶端RADIUS認證成功后但在RADIUS服務器發送Access-Accept報文前，向用戶終端發送一個Access-Challenge報文，其中攜帶一個EAP-Message屬性，在該EAP-Message中的EAP?Request報文的Expanded?Types擴展類型中攜帶策略服務器的IPv6地址與監聽端口。

與現有的技術方案相比，本發明通過在該EAP-Message屬性中的EAP?Request報文的Expanded?Types攜帶策略服務器的IPv6地址與監聽端口，所述EAP?Request報文發送給客戶端后，客戶端解析出策略服務器的IPv6地址和監聽端口Port這個兩個擴展屬性，并回應一個EAP?Response報文，其攜帶確認收到IPv6地址和監聽端口的屬性。通過本發明，可以解決在網絡接入控制系統中，將指定的IPv6地址從策略服務器透傳到客戶端的問題。

附圖說明

圖1是本發明網絡接入控制系統的結構示意圖。