【技术实现步骤摘要】
一种接入管理方法、认证点和认证服务器
[0001]本申请要求于2020年08月20日提交中国专利局、申请号为202010842714.2、专利技术名称为“一种针对园区场景临时IPv6地址溯源和策略联动方法”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
[0002]本申请实施例涉及数据通信领域,尤其涉及一种接入管理方法、认证点和认证服务器。
技术介绍
[0003]全球单播地址(global unicast address,GUA)是互联网协议第6版(internet protocol version 6,IPv6)协议中定义的一种唯一标识接入网络的用户的单播地址。由于,当终端采用稳定的IPv6 GUA访问互联网应用时,将存在被针对性窃听的风险,造成网络安全隐患。因此,又定义了临时(temporary)IPv6 GUA(后文简称临时IPv6地址),当用户采用临时IPv6地址接入网络时,该临时IPv6地址会随着时间而变化,实现用户地址的不可预测。虽然,终端设备使用临时IPv6地址提升了通信的隐私性,但同时也带来了运维和管理的新问题。例如,临时IPv6地址的变更会导致网络侧无法基于更新后的临时IPv6地址控制终端设备接入网络或为终端设备配置授权策略,因此,将导致终端设备访问业务应用中断。
[0004]因此,寻求一种在临时IPv6地址发生变更的情况下也能尽量保证业务不中断的方案是亟待解决的问题。
技术实现思路
[0005]本申请实施例提供了一种接入管理方法、认证点(authenti ...
【技术保护点】
【技术特征摘要】
1.一种接入管理方法,其特征在于,由认证点执行,所述方法包括:在终端设备完成接入认证之后,接收终端设备发送的第一报文,所述第一报文包括所述终端设备的第一IPv6地址和所述终端设备的MAC地址,所述第一IPv6地址为所述终端设备的新的临时IPv6地址;响应于确定所述第一IPv6地址为新的IPv6地址,向认证服务器发送第二报文,所述第二报文包括所述第一IPv6地址和所述MAC地址。2.根据权利要求1所述的方法,其特征在于,在接收所述第一报文之前,所述认证点未存储所述MAC地址与所述第一IPv6地址的对应关系。3.根据权利要求1或2所述的方法,其特征在于,在接收所述第一报文之后,所述方法还包括:存储所述MAC地址与所述第一IPv6地址的对应关系。4.根据权利要求1至3中任意一项所述的方法,其特征在于,在接收所述第一报文之前,所述认证点存储有所述MAC地址和至少一个IPv6地址的对应关系,所述至少一个IPv6地址为所述终端设备在发送所述第一报文之前正在使用或曾使用的IPv6地址。5.根据权利要求3所述的方法,其特征在于,所述认证点存储有第一对应关系表,所述第一对应关系表包括所述MAC地址与所述第一IPv6地址的对应关系。6.根据权利要求4所述的方法,其特征在于,所述认证点存储有第一对应关系表,所述第一对应关系表包括所述MAC地址和至少一个IPv6地址的对应关系。7.根据权利要求1至6中任意一项所述的方法,其特征在于,在接收所述第一报文之前,所述认证点存储有所述MAC地址与用户信息的对应关系。8.根据权利要求7所述的方法,其特征在于,所述认证点存储有第二对应关系表,所述第二对应关系表包括所述MAC地址与所述用户信息的对应关系。9.根据权利要求5所述的方法,其特征在于,所述认证点存储有第二对应关系表,所述第二对应关系表包括所述MAC地址与用户信息的对应关系。10.根据权利要求9所述的方法,其特征在于,所述第二对应关系表还包括所述MAC地址与所述第一IPv6地址的对应关系。11.根据权利要求7至10中任意一项所述的方法,其特征在于,所述用户信息包括用户标识。12.根据权利要求7至11中任意一项所述的方法,其特征在于,所述用户信息包括用户状态信息。13.根据权利要求1至12中任意一项所述的方法,其特征在于,在发送所述第二报文之前,所述方法还包括:确定所述第一IPv6地址对应的用户在线。14.根据权利要求5、6、9或10中任意一项所述的方法,其特征在于,所述第一对应关系表为邻居发现表或邻居发现探测表。15.根据权利要求8至10中任意一项所述的方法,其特征在于,所述第二对应关系表为邻居发现表或邻居发现探测表。16.根据权利要求1至15中任意一项所述的方法,其特征在于,所述第二报文用于指示所述第一IPv6地址为新的IPv6地址。
17.根据权利要求16所述的方法,其特征在于,所述第二报文包括第一指示信息,所述第一指示信息用于指示所述第一IPv6地址为新的IPv6地址。18.根据权利要求1至17中任意一项所述的方法,其特征在于,所述第二报文还用于指示所述认证服务器根据所述第一IPv6地址确定第一授权策略,所述第一授权策略包括与所述第一IPv6地址对应的所述终端设备的访问权限。19.根据权利要求1至18中任意一项所述的方法,其特征在于,所述第二报文不是认证请求报文。20.根据权利要求1至19中任意一项所述的方法,其特征在于,所述第二报文为计费报文。21.根据权利要求1至20中任意一项所述的方法,其特征在于,所述第一报文为邻居请求NS报文。22.根据权利要求1至21中任意一项所述的方法,其特征在于,所述方法还包括:在所述终端设备的多个IPv6地址中的第二IPv6地址失效时,向认证服务器发送第三报文,所述第三报文包括所述第二IPv6地址和第二指示信息,所述第二指示信息用于指示所述第二IPv6地址为失效的IPv6地址。23.根据权利要求22所述的方法,其特征在于,所述第二指示信息还用于指示所述认证服务器撤销与所述第二IPv6地址对应的授权策略。24.根据权利要求22或23所述的方法,其特征在于,所述向所述认证服务器发送第三报文之前,所述方法还包括:发送第一探测报文,所述第一探测报文的目的地址为所述第二IPv6地址;响应于未收到针对所述第一探测报文的来自所述第二IPv6地址的第一响应报文,确定所述第二IPv6地址失效。25.根据权利要求1至21中任意一项所述的方法,其特征在于,所述方法还包括:确定所述终端设备的多个IPv6地址中的第三IPv6地址失效,所述第三IPv6地址为所述终端设备最后使用的IPv6地址;向认证服务器发送第四报文,所述第四报文包括第三指示信息,所述第三指示信息用于指示所述第三IPv6地址对应的使用所述终端设备的用户下线。26.根据权利要求25所述的方法,其特征在于,所述第三指示信息还用于指示所述认证服务器撤销与所述用户对应的全部IPv6地址对应的授权策略。27.根据权利要求25或26所述的方法,其特征在于,所述第四报文包括如下至少一项:所述第三IPv6地址对应的用户标识;或者,所述第三IPv6地址对应的MAC地址;或者,所述第三IPv6地址对应的用户的全部IPv6地址。28.根据权利要求25至27中任意一项所述的方法,其特征在于,所述确定终端设备的多个IPv6地址中的第三IPv6地址失效,包括:发送第二探测报文,所述第二探测报文的目的地址为所述第三IPv6地址;响应于未收到针对所述第二探测报文的来自所述第三IPv6地址的第二响应报文,确定所述第三IPv6地址失效。29.根据权利要求1至28中任意一项所述的方法,其特征在于,所述接收终端设备发送
的第一报文之前,所述方法还包括:接收终端设备发送的第五报文,所述第五报文包括所述终端设备的第四IPv6地址和所述MAC地址;向所述认证服务器发送第六报文,所述第六报文包括所述第四IPv6地址和所述MAC地址,所述第六报文用于指示所述认证服务器根据所述第四IPv6地址向所述策略执行点发送第二授权策略,所述第二授权策略包括与所述第四IPv6地址对应的所述终端设备的访问权限。30.根据权利要求29所述的方法,其特征在于,所述第六报文为认证请求报文。31.一种接入管理方法,其特征在于,由认证服务器执行,所述方法包括:在终端设备完成接入认证之后,接收来自认证点的第一报文,所述第一报文包括所述终端设备的第一IPv6地址和所述终端设备的MAC地址,所述第一IPv6地址为所述终端设备的新的临时IPv6地址;根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址;向策略执行点发送与所述第一IPv6地址对应的第一授权策略,所述第一授权策略包括与所述第一IPv6地址对应的所述终端设备的访问权限。32.根据权利要求31所述的方法,其特征在于,在接收所述第一报文之前,所述认证服务器未存储所述MAC地址与所述第一IPv6地址的对应关系。33.根据权利要求31或32所述的方法,其特征在于,在接收所述第一报文之后,所述方法还包括:存储所述MAC地址与所述第一IPv6地址的对应关系。34.根据权利要求31至33中任意一项所述的方法,其特征在于,在接收所述第一报文之前,所述认证服务器存储有所述MAC地址和至少一个IPv6地址的对应关系,所述至少一个IPv6地址为所述终端设备使用所述第一IPv6地址之前正在使用或曾经使用过的IPv6地址。35.根据权利要求33所述的方法,其特征在于,所述认证服务器存储有第一对应关系表,所述第一对应关系表包括所述MAC地址与所述第一IPv6地址的对应关系。36.根据权利要求34所述的方法,其特征在于,所述认证服务器存储有第一对应关系表,所述第一对应关系表包括所述MAC地址和至少一个IPv6地址的对应关系。37.根据权利要求31至36中任意一项所述的方法,其特征在于,在接收所述第一报文之前,所述认证服务器存储有所述MAC地址与用户信息的对应关系。38.根据权利要求37所述的方法,其特征在于,所述认证服务器存储有第二对应关系表,所述第二对应关系表用于存储所述MAC地址与所述用户信息的对应关系。39.根据权利要求35所述的方法,其特征在于,所述认证服务器存储有第二对应关系表,所述第二对应关系表包括所述MAC地址与用户信息的对应关系。40.根据权利要求39所述的方法,其特征在于,所述第二对应关系表还包括所述MAC地址与所述第一IPv6地址的对应关系。41.根据权利要求37至40中任意一项所述的方法,其特征在于,所述用户信息包括用户标识。42.根据权利要求37至41中任意一项所述的方法,其特征在于,所述用户信息包括用户的访问权限。
43.根据权利要求31至36中任意一项所述的方法,其特征在于,在接收所述第一报文之前,所述认证服务器存储有用户标识与所述访问权限的对应关系。44.根据权利要求43所述的方法,其特征在于,所述认证服务器存储有第二对应关系表,所述第二对应关系表用于存储所述用户标识与所述访问权限的对应关系。45.根据权利要求37至42中任意一项所述的方法,其特征在于,所述用户信息包括用户状态信息。46.根据权利要求31至45中任意一项所述的方法,其特征在于,所述根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址之后,所述向策略执行点发送与所述第一IPv6地址对应的第一授权策略之前,所述方法还包括:确定所述第一IPv6地址对应的用户在线。47.根据权利要求31至46中任意一项所述的方法,其特征在于,所述根据所述MAC地址确定所述第一IPv6地址为新的IPv6地址之后,所述向策略执行点发送与所述第一IPv6地址对应的第一授权策略之前,所述方法还包括:...
【专利技术属性】
技术研发人员:何斌,翁财忍,徐亦斌,王思生,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。