基于IPv6自动配置实现终端安全准入控制的方法和系统

摘要

本发明公开一种基于IPv6自动配置实现终端安全准入控制的方法及设备，该方法包括：接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包；提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入。本发明提供的基于IPv6自动配置实现终端安全准入控制的方法及设备，对IPv6地址自配置机制进行一定的改造，通过在IPv6地址自动配置的同时对接入终端进行安全性验证，实现了基于IPv6地址自动配置的终端准入控制，保障了网络的安全性。

说明书

技术领域

本发明涉及通信网络安全领域，尤其涉及一种基于IPv6自动配置实现终端安全准入控制的方法和系统。

背景技术

随着互联网网络规模和应用的加速发展，IPv6以其巨大地址空间、灵活的地址配置方式以及移动性、安全性等特点，成为下一代网络发展的目标。IPv6协议的一个突出特点是支持网络节点的地址自动配置，实现了网络设备的“即插即用”。

IPv6节点通过地址自动配置得到IPv6地址和网关地址。IPv6地址自动配置机制包括无状态地址自动配置和状态地址自动配置两种方式，其中，无状态自动配置不需部署DHCPv6服务器，只是要求本地链路支持组播，而且网络接口能够发送和接收组播。

无状态自动配置包括以下三个步骤：进行自动配置的节点首先必须确定自己的链路本地地址；然后验证该链路本地地址在链路上的唯一性；最后节点必须确定需要配置的信息。具体过程为：

主机首先通过将它的网卡MAC地址附加在链路本地地址前缀1111111010(FE80)之后，产生一个链路本地地址(IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位，那么IPv6网卡驱动程序会将48位MAC地址转换为64位MAC地址)。接着主机向该地址发出一个被称为邻居发现(ND，Neighbor Discovery)的请求，以验证地址的唯一性。如果请求没有得到响应，则表明主机自我设置的链路本地地址是唯一的。否则，主机将使用一个随机产生的接口ID附加在链路本地地址前缀之后组成一个新的链路本地地址。主机以已确定的唯一链路本地地址为源地址，向本地链接中所有路由器多点广播一个被称为路由器请求(RS，RouterSolicitation)的配置信息请求，路由器以一个包含可聚集全局单点广播地址前缀和其它相关配置信息的路由器通告响应该请求。主机用获得的全局地址前缀加上自己的接口ID，自动配置全局地址，从而实现无状态的地址自动配置。通常，路由器也会周期性发送路由器通告，指明子网前缀等配置信息。节点可以等待路由器的通告，也可以通过发送组播请求给所有路由器的组播地址来请求路由器发送通告。

随着网络系统或软件的漏洞不断被发现，存在漏洞的主机成为网络蠕虫攻击的主要目标。网络蠕虫攻击是一种能够进行自我复制，利用系统或网络服务漏洞进行传播的攻击行为。在没有安全检查的情况下，大量存在漏洞的主机接入企业网、互联网时，会把各种安全隐患扩散到整个网络，并影响到网络上其它的主机、服务器和网络设备，造成服务器宕机，乃至整个网络拥塞甚至瘫痪。由于在IPv6协议无状态地址自配置方式下，无法对接入终端的安全性进行验证，无法保证只有安全的终端才能接入网络，因此，也无法防止或减少网络蠕虫的爆发。

综上所述，如何在IPv6地址自动配置的同时实现终端的安全性接入成为本领域亟待解决的技术问题。

发明内容

本发明要解决的一个技术问题是提供一种基于IPv6自动配置实现终端安全准入控制的方法和系统，通过在IPv6地址自动配置的同时对接入终端进行安全性验证，实现了终端的安全接入，保障了网络的安全性。

进一步地，本发明要解决的另一个技术问题是提供一种基于接口标识的多接入方式并发传输的网络侧设备与终端设备，对IPv6地址自配置机制进行一定的改造，以实现基于IPv6地址自动配置的终端准入控制。

本发明的一个方面提供了一种基于IPv6自动配置实现终端安全准入控制的方法，该方法包括：接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包；提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例中，该方法还包括：在步骤“接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包”之前，在发起接入请求时，终端设备将认证信息、终端设备产生的接口ID信息封装成路由请求包发送给接入控制系统。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例中，该方法还包括：在步骤“提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息”之后，认证服务器将认证信息中的字段信息与终端安全策略数据库中的安全基准信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级与预定的安全准入阈值进行比较；如果大于或等于准入阈值，则认证服务器向接入控制系统发送认证成功消息；否则，发送认证失败消息。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例中，步骤“根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入”具体包括：如果认证通知消息是认证成功消息，则接入控制系统生成一个随机数，并将其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口ID信息的对应关系；如果认证通知消息是认证失败消息，则接入控制系统向终端设备发送错误通知消息，告知终端设备认证失败；终端设备将无法获取路由通告信息以接入网络。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例中，该方法还包括：终端设备接收到路由通告后，完成IPv6地址配置；读取路由通告中的随机数，将随机数与所配置的IPv6地址一起计算哈希值，哈希值作为附加的扩展头插入随后发送的IP包头；以及终端设备向接入控制系统发送IP包。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例中，该方法还包括：接入控制系统检查终端设备上传的IP包；如果IP包中没有附加的扩展头，则将该IP包直接丢弃；如果IP包中有附加的扩展头，则接入控制系统利用之前记录的路由前缀、接口ID信息和随机数同样计算哈希值，并将所计算的哈希值与从扩展头中读取的哈希值进行比较；如果相同，则向路由设备转发IP包，否则，将IP包丢弃。

本发明的另一个方面提供了一种基于IPv6自动配置实现终端安全准入控制的系统，该系统包括：终端设备，用于在发起接入请求时，将认证信息、终端设备产生的接口ID信息封装成路由请求包发送给接入控制系统；接入控制系统，用于接收终端设备发送的包含认证信息和接口ID信息的路由请求包；提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入；认证服务器，用于将认证信息中的字段信息与终端安全策略数据库中的信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级与预定的安全准入阈值进行比较；如果大于或等于准入阈值，则认证服务器向接入控制系统发送认证成功消息；否则，发送认证失败消息。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，该接入控制系统还用于：如果认证通知消息是认证成功消息，则生成一个随机数，并将其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口ID信息的对应关系；如果认证通知消息是认证失败消息，则向终端设备发送错误通知消息，告知终端设备认证失败；终端设备将无法获取路由通告信息以接入网络。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，终端设备还用于：在接收到路由通告后，完成IPv6地址配置；读取路由通告中的随机数，将随机数与所配置的IPv6地址一起计算哈希值，哈希值作为附加的扩展头插入随后发送的IP包头；以及向接入控制系统发送IP包。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，接入控制系统还用于：检查终端设备上传的IP包；如果IP包中没有附加的扩展头，则将该IP包直接丢弃；如果IP包中有附加的扩展头，则接入控制系统利用之前记录的路由前缀、接口ID信息和随机数同样计算哈希值，并将所计算的哈希值与从扩展头中读取的哈希值进行比较；如果相同，则向路由设备转发IP包，否则，将IP包丢弃。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，认证服务器进一步包括信息接口模块、安全评级模块和终端安全策略数据库，其中信息接口模块，用于接收接入控制系统重新封装后的、含有认证信息的消息；以及根据安全评级模块给出的安全状态评级发送认证通知消息；安全评级模块，用于接收信息接口模块获取的认证信息，读取终端安全策略数据库中预先存储的安全基准信息，以及将认证信息中的字段信息与终端安全策略数据库中预先存储的安全基准信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级与预定的安全准入阈值进行比较；终端安全策略数据库，用于预先存储安全基准信息，作为对安全评级模块获取的认证信息进行综合评价的基准。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，信息接口模块还用于：如果安全状态评级大于或等于准入阈值，则向接入控制系统发送认证成功消息；否则，发送认证失败消息。

本发明供的基于IPv6自动配置实现终端安全准入控制的方法及设备，对IPv6地址自配置机制进行一定的改造，通过在IPv6地址自动配置的同时对接入终端进行安全性验证，实现了基于IPv6地址自动配置的终端准入控制，保障了网络的安全性。

附图说明

图1示出本发明实施例提供的一种基于IPv6自动配置实现终端安全准入控制的方法的流程图；

图2示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图；

图3示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图；

图4示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图；

图5示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图；

图6示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法中终端设备认证成功的实现流程图；

图7示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法中终端设备认证失败的实现流程图；

图8示出本发明实施例提供的一种基于IPv6自动配置实现终端安全准入控制的系统的结构示意图；

图9示出本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的另一个实施例的结构示意图；

图10示出本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个具体实施方式的结构示意图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。

图1示出本发明实施例提供的一种基于IPv6自动配置实现终端安全准入控制的方法的流程图。

如图1所示，基于IPv6自动配置实现终端安全准入控制的方法100包括步骤102，接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包。例如，接入控制系统接收由客户端设备发送的、包含本机的认证信息和由本机产生的接口ID信息的、使用ICMPv6路由请求报文格式所封装的请求包。本发明中，用于对终端设备进行认证的信息选自：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况中的至少任意一种。

步骤104，提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息。例如，接入控制系统从所接收到的CMPv6路由请求报文格式所封装的请求包中提取出终端设备的认证信息和接口ID信息后，对所述认证信息进行重新封装，将新封装的含有认证信息的数据包发送给认证服务器，并将接口ID信息保存在接入控制系统的存储器中。

步骤106，接收认证服务器的认证通知消息。例如，认证服务器接收到接入控制系统重新封装的含有认证信息的数据包后，对其中所含有的认证信息进行评级认证，以及根据认证的评级结果向接入控制服务器发送认证通知消息，例如，认证成功消息或认证失败消息。稍后的其它实施例中将举例对认证服务器可以采用的具体认证流程作进一步的详细介绍。

步骤108，根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入。例如，根据认证服务器发送的认证通知消息(如认证成功消息或认证失败消息)，接入控制系统根据预先设置的策略，读取相应的访问控制命令，向终端设备发出允许接入或拒绝接入的消息。

本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例，通过对终端设备IPv6地址自动配置的同时，执行对接入终端设备的安全性验证，大大加强网络的安全性，实现了基于IPv6地址自动配置的终端设备的准入控制。

图2示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图。

如图2所示，基于IPv6自动配置实现终端安全准入控制的方法600包括步骤201、202、204、206和208，其中步骤202、204、206和208可以分别执行与图1所示的步骤102、104、106和108相同或相似的技术内容，为简洁起见，这里不再赘述其技术内容。

如图2所示，在步骤202“接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包”之前，执行步骤201，在发起接入请求时，终端设备将认证信息、终端设备产生的接口ID信息封装成路由请求包发送给接入控制系统。具体来说，终端设备在接入请求发起时，可以通过客户端软件来提取本机的认证信息(认证信息选自：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况中的至少任意一种)，并将认证信息与本机所产生的接口ID一起使用ICMPv6路由请求报文格式进行封装，然后将所封装的请求包发送给接入控制系统。

图3示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图。

如图3所示，一种基于IPv6自动配置实现终端安全准入控制的方法300包括步骤302、304、3050-3052、3060、3061和308，其中步骤302、304和308可以分别执行与图1所示的步骤102、104和108相同或相似的技术内容，为简洁起见，这里不再赘述其技术内容。

如图3所示，在步骤304之后，执行步骤3050，认证服务器将认证信息中的字段信息与终端安全策略数据库中的安全基准信息进行比对，综合各项信息的比对结果给出综合的安全状态评级。本发明的一个实施例中，“安全基准信息”可根据具体应用的策略自行定义，需要涵盖客户端收集的认证信息类型；例如可以包括：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况等属性中的至少任意一种。关于安全基准信息，本领域技术人员可以根据具体应用中的要求来合理设置其表述形式及格式含义。

步骤3051，将安全状态评级与预定的安全准入阈值进行比较。

步骤3052，判断比较结果是否大于或等于预先设定的准入阈值；如果是，执行步骤3060；否则执行步骤3061。

步骤3060，如果大于或等于准入阈值，则认证服务器向接入控制系统发送认证成功消息。

步骤3061，如果小于准入阈值，则认证服务器向接入控制系统发送认证失败消息。

图4示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图。

如图4所示，基于IPv6自动配置实现终端安全准入控制的方法400包括步骤402，接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包。例如，接入控制系统接收由客户端设备发送的、包含本机的认证信息和由本机产生的接口ID信息的、使用ICMPv6路由请求报文格式所封装的请求包。本发明中，用于对终端设备进行认证的信息选自：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况中的至少任意一种。

步骤404，提取出认证信息，重新封装后转发给认证服务器，并记录接口ID信息。例如，接入控制系统从所接收到的CMPv6路由请求报文格式所封装的请求包中提取出终端设备的认证信息和接口ID信息后，对所述认证信息进行重新封装，将新封装的含有认证信息的数据包发送给认证服务器，并将接口ID信息保存在接入控制系统的存储器中。

步骤405，认证服务器将认证信息中的字段信息与终端安全策略数据库中的安全基准信息进行比对，综合各项信息的比对结果给出综合的安全状态评级。

步骤406，将安全状态评级与预定的安全准入阈值进行比较。

步骤407，判断比较结果是否大于或等于预先设定的准入阈值；如果是，执行步骤408；否则执行步骤409。

步骤408，如果大于或等于准入阈值，则认证服务器向接入控制系统发送认证成功消息。

步骤409，如果小于准入阈值，则认证服务器向接入控制系统发送认证失败消息。

步骤410，接入控制系统生成一个随机数，并将其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口ID信息的对应关系。例如，当接入控制系统接收到的认证通知消息是认证成功消息，则接入控制系统生成一个随机数，并将其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口ID信息的对应关系。本发明的一个实施例中，随机数可以是采用随机数发生器产生的一组无序的无关数字，如2910374853。

步骤410，接入控制系统向终端设备发送错误通知消息，告知终端设备认证失败。例如，当接入控制系统接收到的认证通知消息是认证失败消息，则接入控制系统向终端设备发送错误通知消息，告知终端设备认证失败；终端设备将无法获取路由通告信息以接入网络。

图5示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法的另一个实施例的流程图。

如图5所示，一种基于IPv6自动配置实现终端安全准入控制的方法500包括步骤502、504-514、518-520、522，其中步骤502、504-511可以分别执行与图4所示的步骤402、404-411相同或相似的技术内容，为简洁起见，这里不再赘述其技术内容。

如图5所示，在步骤510之后，执行步骤512，终端设备接收到路由通告后，完成IPv6地址配置；读取路由通告中的随机数，将随机数与所配置的IPv6地址一起计算哈希值，哈希值作为附加的扩展头插入随后发送的IP包头；以及终端设备向接入控制系统发送IP包。

步骤514，接入控制系统检查终端设备上传的IP包。

步骤516，判断IP包中是否有附加的扩展头。如果有，则执行不足后518；否则执行步骤519。

步骤518，接入控制系统利用之前记录的路由前缀、接口ID信息和随机数同样计算哈希值，并将所计算的哈希值与从扩展头中读取的哈希值进行比较。

步骤519，接入控制系统将该IP包丢弃。例如，如果IP包中没有附加的扩展头，则将该IP包直接丢弃；或者是接入控制系统计算的哈希值与从扩展头中读取的哈希值不相等，则接入控制系统将该IP包丢弃。

步骤520，判断接入控制系统计算的哈希值与从扩展头中读取的哈希值是否相等。如果相等，则执行步骤522；否则执行步骤519。

步骤522，接入控制系统向路由设备转发IP包，允许终端设备接入网络。

图6示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法中终端设备认证成功的实现流程图。

以本发明提供的基于IPv6自动配置实现终端安全准入控制的方法在IPv6无状态地址自动配置网络环境下进行实施为例进行说明。如图6所示，在该环境下，一般将IPv6用户终端设备作为客户端系统，该终端设备通常安装有客户端软件；用户通过启动这个客户端软件发起接入认证请求，并且可以由通过客户端软件来手机终端设备的认证信息，认证信息可以选自：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况中的至少任意一种。

步骤1，终端设备将包含认证信息和接口ID信息的封装成路由请求包，并发送给接入控制系统。

步骤2，接入控制系统向认证服务器发送认证请求。具体来说，接入控制系统从所接收到的请求包中提取认证信息和接口ID信息，并以RADIUS或Diameter等认证协议来重新封装所述认证信息，将新封装的认证信息发送给认证服务器。以及由所述接入控制系统保存所述接口ID信息。

随后由认证服务器对比认证信息，判断终端设备的安全性状况。如果符合安全阈值要求(如大于或等于阈值要求)，则执行步骤3。

步骤3，由认证服务器向接入控制系统发送认证成功消息。

步骤4，接入控制系统在接收到认证成功消息后，重新生成路由请求，并向路由器发送路由请求。

步骤5，路由器接收到接入控制系统的路由请求后，向接入控制系统发送路由通告。

接入控制系统接收到路由器返回的路由通告后，生成随机数，将该随机数封装在路由通告中，并记录路由前缀、接口ID信息和随机数之间的对应关系。具体来说，路由前缀是指IPv6地址的前缀，是地址中具有固定值的位数部分或表示网络标识的位数部分。IPv6的子网标识、路由器和地址范围前缀表示法与IPv4采用的CIDR(无类域间路由选择，Classless Inter Domain Routing)标记法相同，其前缀可书写为：地址/前缀长度。例如21DA:D3::/48是一个路由器前缀，而21DA:D3:0:2F3B::/64是一个子网前缀。

步骤6，接入控制系统将重新封装的路由通告发送给终端设备。在IPv6协议中，路由通告消息采用ICMPv6协议格式封装。

终端设备接收到路由通告后，配置IPv6地址，将从路由通告中读取的随机数和IPv6地址进行Hash函数(哈希)运算得到哈希值，然后将该哈希值插入到后续生成的IP包中，作为IP包头。

步骤7，终端设备将IP包发送给接入控制系统。

接入控制系统接收到IP包后，提取Hash函数值；以及根据接入控制系统存储的IPv6地址及其对应的随机数进行Hash运算，将两个哈希值进行比较。如果两个哈希值相等，则执行步骤8。

步骤8，接入控制系统向路由器发送合法的IPv6包，从而根据认证的结果允许终端系统接入网络。

图7示出本发明提供的基于IPv6自动配置实现终端安全准入控制的方法中终端设备认证失败的实现流程图。

以本发明提供的基于IPv6自动配置实现终端安全准入控制的方法在IPv6无状态地址自动配置网络环境下进行实施为例进行说明。如图6所示，在该环境下，一般将IPv6用户终端设备作为客户端系统，该终端设备通常安装有客户端软件；用户通过启动这个客户端软件发起接入认证请求，并且可以由通过客户端软件来手机终端设备的认证信息，认证信息可以选自：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况中的至少任意一种。

步骤1，终端设备将包含认证信息和接口ID信息的封装成路由请求包，并发送给接入控制系统。

步骤2，接入控制系统向认证服务器发送认证请求。具体来说，接入控制系统从所接收到的请求包中提取认证信息和接口ID信息，并以RADIUS或Diameter等认证协议来重新封装所述认证信息，将新封装的认证信息发送给认证服务器。以及由所述接入控制系统保存所述接口ID信息。

随后由认证服务器对比认证信息，判断终端设备的安全性状况。如果不符合安全阈值要求(如小于阈值要求)，则执行步骤3。

步骤3，由认证服务器向接入控制系统发送认证失败消息。

步骤4，接入控制系统在接收到认证失败消息后，向终端设备返回ICMPv6错误消息。

终端设备在收到接入控制系统返回的ICMPv6错误消息后，向用户提示认证失败，阻止终端系统接入网络。

图8示出本发明实施例提供的一种基于IPv6自动配置实现终端安全准入控制的系统的结构示意图。

如图8所示，基于IPv6自动配置实现终端安全准入控制的系统800包括终端设备802、接入控制系统804和认证服务器806。其中

终端设备802，用于在发起接入请求时，将认证信息、终端设备802产生的接口ID信息封装成路由请求包发送给接入控制系统804。

接入控制系统804，至少包括接入控制模块，用于接收终端设备802发送的包含认证信息和接口ID信息的路由请求包；提取出认证信息，重新封装后转发给认证服务器806，并记录接口ID信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备802的准入。

认证服务器806，用于将认证信息中的字段信息与终端安全策略数据库中的信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级与预定的安全准入阈值进行比较；如果大于或等于准入阈值，则认证服务器向接入控制系统804发送认证成功消息；否则，发送认证失败消息。

本发明还提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，接入控制系统还用于：如果认证通知消息是认证成功消息，则生成一个随机数，并将其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口ID信息的对应关系；如果认证通知消息是认证失败消息，则向终端设备发送错误通知消息，告知终端设备认证失败；终端设备将无法获取路由通告信息以接入网络。

本发明还提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，终端设备还用于：在接收到路由通告后，完成IPv6地址配置；读取路由通告中的随机数，将随机数与所配置的IPv6地址一起计算哈希值，哈希值作为附加的扩展头插入随后发送的IP包头；以及向接入控制系统发送IP包。

本发明还提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，接入控制系统还用于：检查终端设备上传的IP包；如果IP包中没有附加的扩展头，则将该IP包直接丢弃；如果IP包中有附加的扩展头，则接入控制系统利用之前记录的路由前缀、接口ID信息和随机数同样计算哈希值，并将所计算的哈希值与从扩展头中读取的哈希值进行比较；如果相同，则向路由设备转发IP包，否则，将IP包丢弃。

图9示出本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的另一个实施例的结构示意图。

如图9所示，基于IPv6自动配置实现终端安全准入控制的系统900主要包括：终端设备902、接入控制系统904和认证服务器906；其中终端设备902和接入控制系统904分别可以是与图8所示终端设备802和接入控制系统804具有相同或相似的功能模块；为简洁起见，这里不再赘述。

如图9所示，认证服务器906进一步包括信息接口模块9061、安全评级模块9062和终端安全策略数据库9063，其中

信息接口模块9061，用于接收接入控制系统重新封装后的、含有认证信息的消息；以及根据安全评级模块给出的安全状态评级发送认证通知消息。

安全评级模块9062，用于接收信息接口模块获取的认证信息，读取终端安全策略数据库中预先存储的安全基准信息，以及将认证信息中的字段信息与终端安全策略数据库中预先存储的安全基准信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级与预定的安全准入阈值进行比较。

终端安全策略数据库9063，用于预先存储安全基准信息，作为对安全评级模块获取的认证信息进行综合评价的基准。

本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例中，信息接口模块还用于：如果安全状态评级大于或等于准入阈值，则向接入控制系统发送认证成功消息；否则，发送认证失败消息。

本发明提供一种基于IPv6自动配置实现终端安全准入控制的系统，对IPv6地址自配置机制进行一定的改造，通过在IPv6地址自动配置的同时对接入终端进行安全性验证，实现了基于IPv6地址自动配置的终端准入控制，保障了网络的安全性。

图10示出本发明提供的基于IPv6自动配置实现终端安全准入控制的系统的一个具体实施方式的结构示意图。

如图10所示，本发明在IPv6无状态地址自动配置网络环境下进行实施的基于IPv6自动配置实现终端安全准入控制的系统，主要包括：终端设备(或客户端)、接入(控制)系统和认证服务器。

在该环境下，一般将IPv6用户终端系统作为客户端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起接入认证，认证服务器根据认证的结果允许或阻止终端系统接入网络。

为支持终端安全状况的准入认证，客户端需要能够收集终端安全认证信息并发送给接入控制系统；其中，该认证信息至少包括如下内容：操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、Guest用户使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况等。该认证信息以ICMPv6路由请求包的格式封装。为了防止终端系统周期性发送路由请求包，客户端需要能够抑制终端系统周期性路由请求的发送，只有在用户启动客户端软件发起认证请求时，才发送包含有认证信息的路由请求包。在认证通过后，终端系统所发出的IPv6数据包均被标记为一预先设定的业务流类别，本领域技术人员可以根据实际应用的需要，对这一预先设定的业务流类别在IPv6协议中作进一步详细的定义，并被终端系统和接入系统所识别。识别路由通告信息中的随机数，并将其与IPv6地址一起进行哈希计算，将得出的哈希值作为一个扩展头插入后续IPv6包头。终端设备还能够识别ICMPv6错误消息，在接收到该错误消息时，能在客户端界面上提示认证失败。

本发明中可以将支持IPv6协议的路由器作为接入控制系统，该接入系统一般都支持ICMPv6协议，在接收到终端设备发送的路由请求信息后发送路由通告，并具备周期性发送路由通告的功能。为了能根据认证结果控制接入系统路由通告的发送，需要在接入系统增加接入控制模块。接入控制模块屏蔽路由器的周期性路由通告，将认证信息从路由请求包中提取出来，以“类型、长度、内容”格式重新封装后以RADIUS协议发送给认证服务器。当接收到认证服务器的认证成功的消息，接入控制模块将向请求认证的终端发送路由通告；否则，接入控制模块不发送路由通告，而是发送一个ICMPv6错误消息，告知客户端认证失败，不准许终端接入网络，该类错误消息可以在ICMPv6协议中进行定制。接入控制模块接收到终端所发送的IPv6数据包，查看数据包的业务流类别，若为许接入的预先定制业务流类别，则向终端发送包含随机数的路由通告，并对数据包进行转发；否则，丢弃数据包。

认证服务器通过对现有认证服务器进行改造实现，负责将用RADIUS协议以“类型、长度、内容”格式封装的认证信息提取出来，其中类型字段的值必须由接入系统和认证服务器进行统一定制，使得两者都可以了解相应字段的含义。认证服务器针对认证信息中的内容在终端安全策略库进行查找比对；根据综合的认证信息比对结果评估出终端的安全状态级别；如果终端的安全状态级别低于策略中的规定值，则向接入控制系统发送认证失败消息；如果终端的安全状态级别大于等于策略中的规定值，则向接入控制系统发送认证成功消息。

接下来以本发明提供的基于IPv6自动配置实现终端安全准入控制的系统在企业局域网环境下的应用为例进行说明。

该基于IPv6自动配置实现终端安全准入控制的系统至少包括：终端设备、接入控制系统和认证服务器；其中

终端设备通常要安装一个客户端软件，用户通过启动这个客户端软件发起接入认证，接入控制系统根据认证的结果允许或阻止终端系统接入网络。为支持终端安全状况的准入认证，客户端需要能够收集终端安全认证信息并发送到认证服务器进行验证。认证信息封装在ICMPv6路由请求包中，同时，将生成的接口ID也封装在路由请求包中。为了防止终端系统周期性发送路由请求包，客户端需要能够抑制终端系统周期性路由请求的发送，只有在用户启动客户端软件发起认证请求时，才发送包含有认证信息的路由请求包。在认证通过后，终端系统所发出的IPv6数据包均被插入包含IPv6地址和随机数的哈希值的扩展头，这一扩展包头需要在IPv6协议中定义，并被终端系统和接入系统所识别。

接入控制系统可作为单独的系统，也可作为交换机或路由设备的一个功能模块。该接入控制系统至少包括接入控制模块，接入控制模块屏蔽路由器的周期性路由通告，将认证信息从路由请求包中提取出来，以“类型、长度、内容”格式重新封装后以RADIUS或Diameter等协议发送给认证服务器，同时记录其中的接口ID信息。当接收到认证服务器的认证成功的消息，接入控制模块生成随机数，将该随机数封装到路由通告中发送给请求认证的终端，记录该随机数并将其与路由前缀及接口ID对应；否则，接入控制模块不向请求认证的终端发送路由通告，而是发送一个ICMPv6错误消息，告知客户端认证失败，不准许终端接入网络，该类错误消息需要在ICMPv6协议中进行定义。接入控制模块接收到终端所发送的IPv6数据包，查看数据包的IPv6地址和随机数的哈希值，并与自身计算的哈希值比对，若两者相同，则对数据包进行转发；否则，丢弃数据包。

认证服务器通过对现有认证服务器进行改造实现，负责将用RADIUS或Diameter等协议以“类型、长度、内容”格式封装的认证信息提取出来，其中类型字段的值必须由接入控制系统和认证服务器统一定义，使得两者都可以了解特定字段的含义。

接下来以本发明提供的基于IPv6自动配置实现终端安全准入控制的系统在PPPoE接入环境下的应用为例进行说明。

该基于IPv6自动配置实现终端安全准入控制的系统至少包括：终端设备、接入控制系统和认证服务器；其中

终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起接入认证，接入控制系统根据认证的结果允许或阻止终端系统接入网络。为支持终端安全状况的准入认证，客户端需要能够收集终端安全认证信息并发送到认证服务器进行验证。认证信息封装在ICMPv6路由请求包中，同时，将生成的接口ID也封装在路由请求包中。为了防止终端系统周期性发送路由请求包，客户端需要能够抑制终端系统周期性路由请求的发送，只有在用户启动客户端软件发起认证请求时，才发送包含有认证信息的路由请求包。在认证通过后，终端系统所发出的IPv6数据包均被插入包含IPv6地址和随机数的哈希值的扩展头，这一扩展包头需要在IPv6协议中定义，并被终端系统和接入系统所识别。

接入控制系统可作为单独的系统，也可作为PPPoE接入设备或路由设备的一个功能模块。该接入控制系统至少包括接入控制模块，接入控制模块屏蔽路由器的周期性路由通告，将认证信息从路由请求包中提取出来，以“类型、长度、内容”格式重新封装后以RADIUS或Diameter等协议发送给认证服务器，同时记录其中的接口ID信息。当接收到认证服务器的认证成功的消息，接入控制模块生成随机数，将该随机数封装到路由通告中发送给请求认证的终端，记录该随机数并将其与路由前缀及接口ID对应；否则，接入控制模块不向请求认证的终端发送路由通告，而是发送一个ICMPv6错误消息，告知客户端认证失败，不准许终端接入网络，该类错误消息需要在ICMPv6协议中进行定义。接入控制模块接收到终端所发送的IPv6数据包，查看数据包的IPv6地址和随机数的哈希值，并与自身计算的哈希值比对，若两者相同，则对数据包进行转发；否则，丢弃数据包。

认证服务器通过对现有认证服务器进行改造实现，负责将用RADIUS或Diameter等协议以“类型、长度、内容”格式封装的认证信息提取出来，其中类型字段的值必须由接入控制系统和认证服务器统一定义，使得两者都可以了解特定字段的含义。

接下来以本发明提供的基于IPv6自动配置实现终端安全准入控制的系统在VPN接入环境下的应用为例进行说明。

该基于IPv6自动配置实现终端安全准入控制的系统至少包括：终端设备、接入控制系统和认证服务器；其中

终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起接入认证，接入控制系统根据认证的结果允许或阻止终端系统接入网络。为支持终端安全状况的准入认证，客户端需要能够收集终端安全认证信息并发送到认证服务器进行验证。认证信息封装在ICMPv6路由请求包中，同时，将生成的接口ID也封装在路由请求包中。为了防止终端系统周期性发送路由请求包，客户端需要能够抑制终端系统周期性路由请求的发送，只有在用户启动客户端软件发起认证请求时，才发送包含有认证信息的路由请求包。在认证通过后，终端系统所发出的IPv6数据包均被插入包含IPv6地址和随机数的哈希值的扩展头，这一扩展包头需要在IPv6协议中定义，并被终端系统和接入系统所识别。

接入控制系统可作为单独的系统，也可作为VPN接入设备或路由设备的一个功能模块。该接入控制系统至少包括接入控制模块，接入控制模块屏蔽路由器的周期性路由通告，将认证信息从路由请求包中提取出来，以“类型、长度、内容”格式重新封装后以RADIUS或Diameter等协议发送给认证服务器，同时记录其中的接口ID信息。当接收到认证服务器的认证成功的消息，接入控制模块生成随机数，将该随机数封装到路由通告中发送给请求认证的终端，记录该随机数并将其与路由前缀及接口ID对应；否则，接入控制模块不向请求认证的终端发送路由通告，而是发送一个ICMPv6错误消息，告知客户端认证失败，不准许终端接入网络，该类错误消息需要在ICMPv6协议中进行定义。接入控制模块接收到终端所发送的IPv6数据包，查看数据包的IPv6地址和随机数的哈希值，并与自身计算的哈希值比对，若两者相同，则对数据包进行转发；否则，丢弃数据包。

认证服务器通过对现有认证服务器进行改造实现，负责将用RADIUS或Diameter等协议以“类型、长度、内容”格式封装的认证信息提取出来，其中类型字段的值必须由接入控制系统和认证服务器统一定义，使得两者都可以了解特定字段的含义。

参考前述本发明示例性的描述，本领域技术人员可以清楚的知晓本发明具有以下优点：

1、本发明提供的基于IPv6自动配置实现终端安全准入控制的方法及系统的一个实施例，在IPv6地址自动配置的同时对接入终端进行安全性验证，解决了终端的安全接入、保障网络安全性的技术问题。

2、本发明提供的基于IPv6自动配置实现终端安全准入控制的方法及系统的一个实施例，对IPv6地址自配置机制进行一定的改造，实现了基于IPv6地址自动配置的终端准入控制。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。