CN101741924A - 支持IPv4环境下可扩展IPv6接入的业务控制方法 - Google Patents

Abstract

本发明提出了一种支持IPv4环境下可扩展IPv6接入的业务控制方法，包括以下步骤：当用户向NAS网关请求接入时，NAS网关将用户的标识信息以RADIUS协议的形式发送给RADIUS服务器进行身份验证；当RADIUS服务器根据RADIUS授权数据库中所存储的信息，验证用户身份成功时，将与用户的接入服务类型相对应的Configuration-Token属性值以RADIUS协议的形式返回给NAS网关；NAS网关根据RADIUS服务器返回的Configuration-Token属性值，决定是否为此用户开放IPv6服务。根据本发明，能够实现IPv4环境下对用户IPv6接入的业务控制。

Description

支持IPv4环境下可扩展IPv6接入的业务控制方法

技术领域

本发明涉及下一代互联网技术，更具体地，涉及一种支持IPv4环境下可扩展IPv6接入的业务控制方法，用于在IPv4与IPv6双协议栈用户同时存在时，对开通了IPv6功能的用户的接入业务进行自动区分和自动控制。

背景技术

随着IPv6技术的不断完善和IPv6网络的扩大，互联网世界已经不可避免地进入一个新旧更替的时代。但是，IPv4网络体系庞大，IPv6网络的建设运行必定是逐步替换的过程，因此，在今后相当长的时期内，互联网***都一定会处于IPv4与IPv6双协议栈共存的状态，而使用网络的用户也会因为自身所处环境或者设备条件的不同而对网络接入有不同的需求，这就使得运营商的接入网关必须能够提供不同的服务类型供用户选择，尤其是对新的IPv6接入业务必须有良好的控制方法。当前运营商的接入认证管理***绝大多数都只提供纯IPv4用户的认证接入，并未考虑IPv6用户接入控制的问题。基于这一问题，本发明提出了一种支持IPv4环境下可扩展IPv6接入的业务控制方法，可以在IPv4网络环境中对IPv6用户提供自动认证和自动控制的功能。

发明内容

本发明利用RADIUS协议的自定义属性实现了一种支持IPv4环境下可扩展IPv6接入的业务控制方法，能够在IPv4/IPv6双协议栈环境中对不同类型用户自动区分并设置提供不同服务。

根据本发明，提出了一种支持IPv4环境下可扩展IPv6接入的业务控制方法，包括以下步骤：当用户向NAS网关请求接入时，NAS网关将用户的标识信息以RADIUS协议的形式发送给RADIUS服务器进行身份验证；当RADIUS服务器根据RADIUS授权数据库中所存储的信息，验证用户身份成功时，将与用户的接入服务类型相对应的Configuration-Token属性值以RADIUS协议的形式返回给NAS网关；以及NAS网关根据RADIUS服务器返回的Configuration-Token属性值，决定是否为此用户开放IPv6服务。

根据本发明的业务控制方法还可以包括以下订阅步骤：在用户向NAS网关请求接入前，用户使用服务订阅装置来订阅接入服务，并指定所需要的接入服务类型；以及服务订阅装置将用户的标识信息和所订阅的接入服务类型存储到RADIUS授权数据库中。

接入服务类型至少可以包括：纯IPv4类型接入服务类型、IPv4/IPv6双协议栈类型接入服务类型。

对于订阅了纯IPv4类型接入服务的用户，NAS网关仅转发IPv4协议的数据包，而过滤IPv6协议的数据包。而对于订阅了IPv4/IPv6双协议栈类型接入服务的用户，NAS网关转发IPv4协议的数据包和IPv6协议的数据包。

RADIUS服务器可以是独立的物理RADIUS服务器，也可以是逻辑RADIUS服务器。

同样地，RADIUS服务器的授权数据库可以是独立的物理存储数据库，也可以是逻辑存储数据库。

用户向NAS网关请求接入时，向NAS网关提供用户名和密码，作为用户标识信息。

当用户未经登录就发送数据包时，NAS网关跳转到登录页面，要求用户提供用户标识信息，进行身份验证和接入服务类型确认。

根据本发明的具体实施例，可以通过以下技术方案来实现：

在用户订阅接入服务时，要求用户标明所需要的接入服务类型。当前接入服务主要有纯IPv4类型和IPv4/IPv6双协议栈类型这两种。订阅成功后，将用户信息写入RADIUS的授权数据库中。

在用户用浏览器或者专用登录客户端登录NAS网关时，NAS网关将用户标识信息提交给RADIUS服务器进行身份认证。

RADIUS服务器通过授权数据库中的用户信息对用户进行验证，并将认证结果返回给NAS网关。若用户身份合法，则将该用户的服务类型以RADIUS自定义属性值的形式返回给NAS。RADIUS自定义属性值(Configuration-Token)的设置可以如表1所示：

表1

接入服务类型	Configuration-Token属性的设置值
		纯IPv4	service.ipv6.enable＝false
IPv4/IPv6双协议栈	service.ipv6.enable＝true

NAS网关支持IPv4/IPv6双协议栈协议的配置控制，可以为每个用户提供不同服务类型的设置。当NAS网关收到RADIUS服务器的返回结果后，根据表1所示的Configuration-Token属性值配置此用户的接入服务类型。

与现有技术相比，本发明的突出优点在于：能够在IPv4环境中对IPv6用户的接入自动区分认证并提供相应的接入转发服务。

附图说明

通过下面结合附图说明本发明的优选实施例，将使本发明的上述及其它目的、特征和优点更加清楚，其中：

图1是示出了可应用本发明的典型逻辑部署图。

图2是根据本发明的业务控制方法的典型流程图。

图3是示出了用户登录操作的时序图。

具体实施方式

为了清楚详细的阐述本发明的实现过程，下面给出了一些本发明的具体实施例。参照附图对本发明的实例进行详细说明，在描述过程中省略了对于本发明来说是不必要的细节和功能以防止对本发明的理解造成混淆。

首先，图1是示出了可应用本发明的典型逻辑部署图，将参考图1，对本发明可应用的接入控制机制的各逻辑组成部分加以说明。

订阅接入服务的用户600是指注册了自身信息并需要开通接入服务的用户，这些用户需要缴纳相关费用，并使用接入服务订阅装置500来保存自己所订阅的接入服务类型。

接入服务订阅装置500用来在新用户订阅接入服务时向RADIUS授权数据库400中保存服务类型。服务类型可以包括：纯IPv4类型和IPv4/IPv6双协议栈类型。保存成功之后用户登录时，RADIUS服务器300便可依据此信息提取对应的接入服务类型。

RADIUS授权数据库400储存所有已注册的用户信息，它是RADIUS服务器300对用户身份验证的依据。例如，RADIUS授权数据库400的一个具体实例可以是：物理上独立的服务器，Linux操作***平台，Oracle数据库软件。已注册用户信息可以按照表格的形式进行存储，例如，如表2所示。

表2

用户标识信息	已订阅接入服务类型
		用户AAAA	纯IPv4
用户BBBB	纯IPv4
		用户CCCC	IPv4/IPv6双协议栈
用户DDDD	IPv4/IPv6双协议栈
		......	......

RADIUS服务器300用于处理NAS网关200发送的认证计费等请求。例如，可以利用Free Radius开源程序在Linux服务器上实现，并且可以设置Free Radius的认证规则，使之使用RADIUS授权数据库400中的数据对用户信息进行认证。

NAS网关200负责用户的接入设置和数据包访问控制，且同时支持IPv4协议与IPv6协议的数据包的处理。例如，NAS网关200也可以基于Linux操作***开发实现。

在底层，NAS网关200负责对每个网络数包做过滤处理，并且处理规则可以用户为单位设定。如果将此规则设置为不同的值，则NAS网关200对数据包的过滤处理行为也不同，因此，实现了向用户开放不同类型的服务。

NAS网关200也负责用户登录时的信息接收，并利用Free Radius开发库实现RADIUS协议，向RADIUS服务器300提交认证，并解析返回结果，由此设置用户的服务模式和权限。

登录用户100是要接入网络的用户，可以使用浏览器页面或专用登录程序来登录NAS网关200。通常情况下，登录用户100和订阅接入服务的用户600是同一实体，当然，也可以存在登录用户100和订阅接入服务的用户600是不同实体的情形。

图2是根据本发明的业务控制方法的典型流程图。接下来，将参照图2，对各个步骤进行详细描述。

步骤S101：用户600订阅服务

要接入网络的用户600必须通过接入服务订阅装置500首先向运营商订阅指定类型的接入服务，必须明确指定接入服务类型：纯IPv4类型还是IPv4/IPv6双协议栈类型。

步骤S102：将用户信息储存到RADIUS授权数据库400

接入服务订阅装置500将用户信息写入RADIUS授权数据库400。

上述步骤S101和S102是接入服务订阅过程，在完成接入服务订阅后，用户对网络的接入访问主要通过以下各个步骤完成。

为了清楚起见，另外绘制了图3，以示出用户登录操作的时序图。以下各个步骤的描述可同时参考图2和图3。

步骤S103：用户100登录网关

用户600/100订阅接入服务后必须登录NAS网关200才能开通接入服务。通过访问指定页面或者使用指定登录程序将用户名和登录密码传送到NAS网关200。

步骤S104：NAS网关200向RADIUS服务器300提交认证

NAS网关200只负责接收用户信息，实际的认证功能由RADIUS服务器300完成。NAS网关200与RADIUS服务器300之间使用RADIUS协议通信。例如，可以使用Free Radius开发库发送认证请求。

步骤S105：RADIUS服务器300通过查询RADIUS授权数据库400认证用户身份

RADIUS服务器300读取RADIUS授权数据库400中该用户的信息，与所得的登录信息加以比较，从而验证登录用户信息的合法性。

步骤S106：RADIUS授权数据库400返回用户接入服务类型

当用户身份验证合法时，RADIUS服务器300从RADIUS授权数据库400中取出该用户的接入服务类型(参考表2)。

步骤S107：RADIUS服务器400分析用户接入服务类型，并设置RADIUS协议的Configuration-Token属性值(参考表1)，然后以RADIUS协议的形式返回给NAS网关200。

步骤S108：NAS网关200解析返回结果，并设置用户的IPv6接入服务类型。NAS网关200解析RADIUS服务器300返回的结果，若认证成功，则解析其自定义属性值(Configuration-Token属性值)，并根据属性值的不同决定是否开通此用户的IPv6接入服务。

步骤S109：NAS网关将最终登录结果是否成功返回给登录用户100。

此外，在以上的描述中，针对各个实施方式，列举了多个单元结构实例或步骤实例，虽然发明人尽可能地标示出彼此关联的实例，但这并不意味着这些实例必然按照相应的标号存在对应关系。只要所选择的单元结构实例或步骤实例所给定的条件间不存在矛盾，可以在不同的实施方式中，选择标号并不对应的实例来构成相应的技术方案，这样的技术方案也应视为被包含在本发明的范围内。

至此已经结合优选实施例对本发明进行了描述。应该理解，本领域技术人员在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不局限于上述特定实施例，而应由所附权利要求所限定。

Claims (9)

1.一种支持IPv4环境下可扩展IPv6接入的业务控制方法，包括以下步骤：

当用户向NAS网关请求接入时，NAS网关将用户的标识信息以RADIUS协议的形式发送给RADIUS服务器进行身份验证；

当RADIUS服务器根据RADIUS授权数据库中所存储的信息，验证用户身份成功时，将与用户的接入服务类型相对应的Configuration-Token属性值以RADIUS协议的形式返回给NAS网关；以及

NAS网关根据RADIUS服务器返回的Configuration-Token属性值，决定是否为此用户开放IPv6服务。

2.根据权利要求1所述的业务控制方法，还包括以下步骤：

在用户向NAS网关请求接入前，

用户使用服务订阅装置来订阅接入服务，并指定所需要的接入服务类型；以及

服务订阅装置将用户的标识信息和所订阅的接入服务类型存储到RADIUS授权数据库中。

3.根据权利要求1或2所述的业务控制方法，其特征在于：

接入服务类型至少包括：纯IPv4类型接入服务类型、IPv4/IPv6双协议栈类型接入服务类型。

4.根据权利要求3所述的业务控制方法，其特征在于：

对于订阅了纯IPv4类型接入服务的用户，NAS网关仅转发IPv4协议的数据包，而过滤IPv6协议的数据包。

5.根据权利要求3或4所述的业务控制方法，其特征在于：

对于订阅了IPv4/IPv6双协议栈类型接入服务的用户，NAS网关转发IPv4协议的数据包和IPv6协议的数据包。

6.根据权利要求1～5之一所述的业务控制方法，其特征在于：

RADIUS服务器是独立的物理RADIUS服务器，或者是逻辑RADIUS服务器。

7.根据权利要求1～6之一所述的业务控制方法，其特征在于：

RADIUS授权数据库是独立的物理存储数据库，或者是逻辑存储数据库。

8.根据权利要求1～7之一所述的业务控制方法，其特征在于：

用户向NAS网关请求接入时，向NAS网关提供用户名和密码，作为用户标识信息。

9.根据权利要求1～8之一所述的业务控制方法，其特征在于：

当用户未经登录就发送数据包时，NAS网关跳转到登录页面，要求用户提供用户标识信息，进行身份验证和接入服务类型确认。

Images