一种接入管理方法、认证点和认证服务器技术

本申请公开了一种接入管理方法、认证点和认证服务器，应用于终端设备接入网络(例如，园区网络)场景。终端设备完成认证之后，向认证点发送第一报文，第一报文携带终端设备的第一IPv6地址和终端设备的MAC地址。当确定该第一IPv6地址为新的IPv6地址时，认证点向认证服务器发送携带第一IPv6地址和MAC地址的第二报文，以指示认证服务器根据第一IPv6地址向策略执行点发送第一授权策略。由于，认证点能够将新的IPv6地址发送至认证服务器，以使得认证服务器基于第一IPv6地址制定准入网络的第一授权策略。因此，该终端设备的业务报文能够通过该策略执行点向允许该用户访问的地址或网段传输。因此，即使终端设备的IPv6地址发生改变，也能尽量保证业务不会中断。也能尽量保证业务不会中断。也能尽量保证业务不会中断。

【技术实现步骤摘要】
一种接入管理方法、认证点和认证服务器
[0001]本申请要求于2020年08月20日提交中国专利局、申请号为202010842714.2、专利技术名称为“一种针对园区场景临时IPv6地址溯源和策略联动方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请实施例涉及数据通信领域，尤其涉及一种接入管理方法、认证点和认证服务器。

技术介绍

[0003]全球单播地址(global unicast address，GUA)是互联网协议第6版(internet protocol version 6，IPv6)协议中定义的一种唯一标识接入网络的用户的单播地址。由于，当终端采用稳定的IPv6 GUA访问互联网应用时，将存在被针对性窃听的风险，造成网络安全隐患。因此，又定义了临时(temporary)IPv6 GUA(后文简称临时IPv6地址)，当用户采用临时IPv6地址接入网络时，该临时IPv6地址会随着时间而变化，实现用户地址的不可预测。虽然，终端设备使用临时IPv6地址提升了通信的隐私性，但同时也带来了运维和管理的新问题。例如，临时IPv6地址的变更会导致网络侧无法基于更新后的临时IPv6地址控制终端设备接入网络或为终端设备配置授权策略，因此，将导致终端设备访问业务应用中断。
[0004]因此，寻求一种在临时IPv6地址发生变更的情况下也能尽量保证业务不中断的方案是亟待解决的问题。

技术实现思路

[0005]本申请实施例提供了一种接入管理方法、认证点(authenticator)和认证服务器，用于在临时IPv6地址发生变更的情况下，有效降低终端设备的业务中断的可能性，尽量保证业务的正常运行。
[0006]第一方面，提供了一种接入管理方法，应用于终端设备接入网络(例如，园区网络)场景。在该方法中，终端设备会先进行接入认证，该认证流程可以基于802.1x协议或Portal协议。然后，认证点可以接收来自终端设备的第一报文，该第一报文携带该终端设备的第一IPv6地址和该终端设备的MAC地址，该第一IPv6地址为该终端设备的新的临时IPv6地址，也可以理解为，该第一IPv6地址为该终端设备的新生成的临时IPv6地址。然后，当认证点确定该第一IPv6地址为新的IPv6地址时，认证点向认证服务器发送第二报文，该第二报文携带该第一IPv6地址和该MAC地址，以使得认证服务器根据该第一IPv6地址向策略执行点发送第一授权策略，该第一授权策略是与前述第一IPv6地址相关的授权策略。
[0007]应当理解的是，前述第一报文可以由终端设备直接发送至前述认证点；也可以由该认证点发送至接入点，再由该接入点发送至前述认证点，具体此处不做限定。在一种可选的实施方式中，前述接入点为二层交换机。在一种可选的实施方式中，前述认证点为交换机、路由器或者防火墙。在一种可选的实施方式中，前述策略执行点为交换机、路由器或者
防火墙。在一种可选的实施方式中，前述策略执行点为前述认证点，也可以理解为，前述认证点和前述策略执行点为同一装置。
[0008]由于，认证点在收到来自终端设备的携带第一IPv6地址和MAC地址的第一报文时，认证点会在确定该第一IPv6地址是新的IPv6地址时，将该第一IPv6地址和MAC地址发送给认证服务器。然后，认证服务器基于该第一IPv6地址确定发送至策略执行点(例如网关)的第一授权策略。由于，认证服务器发送的第一授权策略是基于第一IPv6地址(即新的IPv6地址)确定的。因此，当该策略执行点收到前述第一授权策略之后，该终端设备的来自该第一IPv6地址的业务报文(也可以理解为，该第一报文的源地址为第一IPv6地址)能够通过该策略执行点向允许使用该终端设备的用户访问的地址或网段传输。因此，即使终端设备的IPv6地址发生改变，业务不会中断。
[0009]在一种可选的实施方式中，在接收该第一报文之前，该认证点未存储该MAC地址与该第一IPv6地址的对应关系。也可以理解为，该认证点接收该第一报文之后，当认证点确定该认证点中未存储该MAC地址与该第一IPv6地址的对应关系时，该认证点确定该第一IPv6地址为新的IPv6地址。
[0010]在一种可选的实施方式中，该认证点接收该第一报文之后，当该认证点中已存储有该第一报文携带的MAC地址，且，该第一IPv6地址与该认证点中的MAC地址对应的IPv6地址不一致，则该认证点确定该第一IPv6地址为新的IPv6地址。
[0011]在一种可选的实施方式中，该认证点接收该第一报文之后，当该认证点中已存储有该第一报文携带的MAC地址，且，该认证点中不存在该第一IPv6地址，则该认证点确定该第一IPv6地址为新的IPv6地址。
[0012]应当理解的是，当该认证点确定第一IPv6地址为新的IPv6地址时，该认证点将立即触发向认证服务器发送第二报文的操作。因此，可以理解为前述第二报文是实时触发的，而不是周期性触发的。也就是说，每当前述认证点收到一个IPv6地址，并确定该IPv6地址为新的IPv6地址时，该认证点将触发前述第二报文，以使得通过前述第二报文将新的IPv6地址和该新的IPv6地址对应的MAC地址发送至认证服务器。
[0013]在一种可选的实施方式中，在接收该第一报文之后，该认证点还将存储该MAC地址与该第一IPv6地址的对应关系。也可以理解为，该认证点将前述MAC地址与该第一IPv6地址对应存储于前述认证点中。在存储之后，该认证点可以根据MAC地址查询到该MAC地址对应的一个或多个IPv6地址(例如，前述第一IPv6地址)。当然，该认证点也可以根据该第一IPv6地址查询到该MAC地址。
[0014]在一种可选的实施方式中，在接收该第一报文之前，该认证点存储有该MAC地址和至少一个IPv6地址的对应关系，该MAC地址分别与该至少一个IPv6地址中的每个IPv6地址一一对应。由此，该认证点能够在查找与该MAC地址对应的至少一个IPv6地址，当前述至少一个IPv6地址中不包含前述第一IPv6地址时，认证点能够确定该第一IPv6地址为新的IPv6地址。此外，前述至少一个IPv6地址为该终端设备在发送该第一报文之前正在使用或曾使用的IPv6地址。例如，终端设备采用IPv6地址A在认证服务器中注册认证，该终端设备可以采用IPv6地址A发送业务报文，随后终端设备又生成了IPv6地址B并采用IPv6地址B发送业务报文，随后终端设备又生成了IPv6地址C，并将IPv6地址C携带于第一报文中发送至认证点。那么，前述认证点中存储的至少一个IPv6地址可以理解为是本示例中的IPv6地址A和
IPv6地址B；前述第一IPv6地址可以理解为是本示例中的IPv6地址C。
[0015]在一种可选的实施方式中，该认证点存储有第一对应关系表，该第一对应关系表包括该MAC地址与该第一IPv6地址的对应关系，也可以理解为，该第一对应关系表用于存储该MAC地址与该第一IPv6地址的对应关系。
[0016]本实施方式中，提出前述认证点有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种接入管理方法，其特征在于，由认证点执行，所述方法包括：在终端设备完成接入认证之后，接收终端设备发送的第一报文，所述第一报文包括所述终端设备的第一IPv6地址和所述终端设备的MAC地址，所述第一IPv6地址为所述终端设备的新的临时IPv6地址；响应于确定所述第一IPv6地址为新的IPv6地址，向认证服务器发送第二报文，所述第二报文包括所述第一IPv6地址和所述MAC地址。2.根据权利要求1所述的方法，其特征在于，在接收所述第一报文之前，所述认证点未存储所述MAC地址与所述第一IPv6地址的对应关系。3.根据权利要求1或2所述的方法，其特征在于，在接收所述第一报文之后，所述方法还包括：存储所述MAC地址与所述第一IPv6地址的对应关系。4.根据权利要求1至3中任意一项所述的方法，其特征在于，在接收所述第一报文之前，所述认证点存储有所述MAC地址和至少一个IPv6地址的对应关系，所述至少一个IPv6地址为所述终端设备在发送所述第一报文之前正在使用或曾使用的IPv6地址。5.根据权利要求3所述的方法，其特征在于，所述认证点存储有第一对应关系表，所述第一对应关系表包括所述MAC地址与所述第一IPv6地址的对应关系。6.根据权利要求4所述的方法，其特征在于，所述认证点存储有第一对应关系表，所述第一对应关系表包括所述MAC地址和至少一个IPv6地址的对应关系。7.根据权利要求1至6中任意一项所述的方法，其特征在于，在接收所述第一报文之前，所述认证点存储有所述MAC地址与用户信息的对应关系。8.根据权利要求7所述的方法，其特征在于，所述认证点存储有第二对应关系表，所述第二对应关系表包括所述MAC地址与所述用户信息的对应关系。9.根据权利要求5所述的方法，其特征在于，所述认证点存储有第二对应关系表，所述第二对应关系表包括所述MAC地址与用户信息的对应关系。10.根据权利要求9所述的方法，其特征在于，所述第二对应关系表还包括所述MAC地址与所述第一IPv6地址的对应关系。11.根据权利要求7至10中任意一项所述的方法，其特征在于，所述用户信息包括用户标识。12.根据权利要求7至11中任意一项所述的方法，其特征在于，所述用户信息包括用户状态信息。13.根据权利要求1至12中任意一项所述的方法，其特征在于，在发送所述第二报文之前，所述方法还包括：确定所述第一IPv6地址对应的用户在线。14.根据权利要求5、6、9或10中任意一项所述的方法，其特征在于，所述第一对应关系表为邻居发现表或邻居发现探测表。15.根据权利要求8至10中任意一项所述的方法，其特征在于，所述第二对应关系表为邻居发现表或邻居发现探测表。16.根据权利要求1至15中任意一项所述的方法，其特征在于，所述第二报文用于指示所述第一IPv6地址为新的IPv6地址。
17.根据权利要求16所述的方法，其特征在于，所述第二报文包括第一指示信息，所述第一指示信息用于指示所述第一IPv6地址为新的IPv6地址。18.根据权利要求1至17中任意一项所述的方法，其特征在于，所述第二报文还用于指示所述认证服务器根据所述第一IPv6地址确定第一授权策略，所述第一授权策略包括与所述第一IPv6地址对应的所述终端设备的访问权限。19.根据权利要求1至18中任意一项所述的方法，其特征在于，所述第二报文不是认证请求报文。20.根据权利要求1至19中任意一项所述的方法，其特征在于，所述第二报文为计费报文。21.根据权利要求1至20中任意一项所述的方法，其特征在于，所述第一报文为邻居请求NS报文。22.根据权利要求1至21中任意一项所述的方法，其特征在于，所述方法还包括：在所述终端设备的多个IPv6地址中的第二IPv6地址失效时，向认证服务器发送第三报文，所述第三报文包括所述第二IPv6地址和第二指示信息，所述第二指示信息用于指示所述第二IPv6地址为失效的IPv6地址。23.根据权利要求22所述的方法，其特征在于，所述第二指示信息还用于指示所述认证服务器撤销与所述第二IPv6地址对应的授权策略。24.根据权利要求22或23所述的方法，其特征在于，所述向所述认证服务器发送第三报文之前，所述方法还包括：发送第一探测报文，所述第一探测报文的目的地址为所述第二IPv6地址；响应于未收到针对所述第一探测报文的来自所述第二IPv6地址的第一响应报文，确定所述第二IPv6地址失效。25.根据权利要求1至21中任意一项所述的方法，其特征在于，所述方法还包括：确定所述终端设备的多个IPv6地址中的第三IPv6地址失效，所述第三IPv6地址为所述终端设备最后使用的IPv6地址；向认证服务器发送第四报文，所述第四报文包括第三指示信息，所述第三指示信息用于指示所述第三IPv6地址对应的使用所述终端设备的用户下线。26.根据权利要求25所述的方法，其特征在于，所述第三指示信息还用于指示所述认证服务器撤销与所述用户对应的全部IPv6地址对应的授权策略。27.根据权利要求25或26所述的方法，其特征在于，所述第四报文包括如下至少一项：所述第三IPv6地址对应的用户标识；或者，所述第三IPv6地址对应的MAC地址；或者，所述第三IPv6地址对应的用户的全部IPv6地址。28.根据权利要求25至27中任意一项所述的方法，其特征在于，所述确定终端设备的多个IPv6地址中的第三IPv6地址失效，包括：发送第二探测报文，所述第二探测报文的目的地址为所述第三IPv6地址；响应于未收到针对所述第二探测报文的来自所述第三IPv6地址的第二响应报文，确定所述第三IPv6地址失效。29.根据权利要求1至28中任意一项所述的方法，其特征在于，所述接收终端设备发送
的第一报文之前，所述方法还包括：接收终端设备发送的第五报文，所述第五报文包括所述终端设备的第四IPv6地址和所述MAC地址；向所述认证服务器发送第六报文，所述第六报文包括所述第四IPv6地址和所述MAC地址，所述第六报文用于指示所述认证服务器根据所述第四IPv6地址向所述策略执行点发送第二授权策略，所述第二授权策略包括与所述第四IPv6地址对应的所述终端设备的访问权限。30.根据权利要求29所述的方法，其特征在于，所述第六报文为认证请求报文。31.一种接入管理方法，其特征在于，由认证服务器执行，所述方法包括：在终端设备完成接入认证之后，接收来自认证点的第一报文，所述第一报文包括所述终端设备的第一IPv6地址和所述终端设备的MAC地址，所述第一IPv6地址为所述终端设备的新的临时IPv6地址；根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址；向策略执行点发送与所述第一IPv6地址对应的第一授权策略，所述第一授权策略包括与所述第一IPv6地址对应的所述终端设备的访问权限。32.根据权利要求31所述的方法，其特征在于，在接收所述第一报文之前，所述认证服务器未存储所述MAC地址与所述第一IPv6地址的对应关系。33.根据权利要求31或32所述的方法，其特征在于，在接收所述第一报文之后，所述方法还包括：存储所述MAC地址与所述第一IPv6地址的对应关系。34.根据权利要求31至33中任意一项所述的方法，其特征在于，在接收所述第一报文之前，所述认证服务器存储有所述MAC地址和至少一个IPv6地址的对应关系，所述至少一个IPv6地址为所述终端设备使用所述第一IPv6地址之前正在使用或曾经使用过的IPv6地址。35.根据权利要求33所述的方法，其特征在于，所述认证服务器存储有第一对应关系表，所述第一对应关系表包括所述MAC地址与所述第一IPv6地址的对应关系。36.根据权利要求34所述的方法，其特征在于，所述认证服务器存储有第一对应关系表，所述第一对应关系表包括所述MAC地址和至少一个IPv6地址的对应关系。37.根据权利要求31至36中任意一项所述的方法，其特征在于，在接收所述第一报文之前，所述认证服务器存储有所述MAC地址与用户信息的对应关系。38.根据权利要求37所述的方法，其特征在于，所述认证服务器存储有第二对应关系表，所述第二对应关系表用于存储所述MAC地址与所述用户信息的对应关系。39.根据权利要求35所述的方法，其特征在于，所述认证服务器存储有第二对应关系表，所述第二对应关系表包括所述MAC地址与用户信息的对应关系。40.根据权利要求39所述的方法，其特征在于，所述第二对应关系表还包括所述MAC地址与所述第一IPv6地址的对应关系。41.根据权利要求37至40中任意一项所述的方法，其特征在于，所述用户信息包括用户标识。42.根据权利要求37至41中任意一项所述的方法，其特征在于，所述用户信息包括用户的访问权限。
43.根据权利要求31至36中任意一项所述的方法，其特征在于，在接收所述第一报文之前，所述认证服务器存储有用户标识与所述访问权限的对应关系。44.根据权利要求43所述的方法，其特征在于，所述认证服务器存储有第二对应关系表，所述第二对应关系表用于存储所述用户标识与所述访问权限的对应关系。45.根据权利要求37至42中任意一项所述的方法，其特征在于，所述用户信息包括用户状态信息。46.根据权利要求31至45中任意一项所述的方法，其特征在于，所述根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址之后，所述向策略执行点发送与所述第一IPv6地址对应的第一授权策略之前，所述方法还包括：确定所述第一IPv6地址对应的用户在线。47.根据权利要求31至46中任意一项所述的方法，其特征在于，所述根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址之后，所述向策略执行点发送与所述第一IPv6地址对应的第一授权策略之前，所述方法还包括：...

【专利技术属性】
技术研发人员：何斌，翁财忍，徐亦斌，王思生，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：