一种双栈用户准出认证方法及装置与流程

1.本技术涉及网络通信技术领域，特别涉及一种双栈用户准出认证方法及装置。


背景技术：

2.在sdn网络园区接入场景中，用户准入认证成功后，访问内网资源是免费的。当访问外网时，需要根据流量进行收费。由于园区接入一般是使用交换机，主要用来负责接入控制相关功能，不负责流量计费。因此需要在出口的位置设置一台路由器作为准出nas，对用户访问外网的流量进行计费。准入nas和准出nas的aaa服务器是分离的，即总共需要2套认证系统(准入认证+准出认证)。
3.目前，在ipv4+ipv6双栈场景下，为了实现单栈认证，双栈放行，将dhcp server挂在准出nas设备上，双栈用户的dhcpv4 relay和dhcpv6 relay报文均从准出nas的内网侧业务口穿过，到达dhcp server。准出nas设备通过分析dhcp relay报文，可以分别获取终端的mac
‑
ipv4、mac
‑
ipv6的对应关系。如果mac相同，则ipv4和ipv6地址属于同一用户，因此分别获取到双栈用户的ipv4和ipv6地址之后，准出nas上会生成一个mac
‑
ipv4
‑
ipv6的关联表项。
4.此后，用户的ipv4或ipv6流量触发portal认证，认证成功后，准出nas可以获得账号
‑
ipv4或账号
‑
ipv6的对应关系，叠加上之前的mac
‑
ipv4
‑
ipv6表项，最终会生成一个完整表项，即账号
‑
mac
‑
ipv4
‑
ipv6，当该用户访问外网的另一个栈的报文到达准出nas时，由于可以匹配到表项，会直接放行，不会再触发portal认证。
5.然而，dhcp server是给内网用户分配ip的，没有访问外网需求的内网用户获取地址也需要经过准出nas，流量路径不合理，且一旦准出nas设备出现故障，会导致内网用户无法通过dhcp获取ip地址，影响内网访问。


技术实现要素：

6.本技术提供一种双栈用户准出认证方法及装置，用以解决现有技术中存在的dhcp服务器挂载在准出nas而导致内网流量路径不合理，准出nas故障而导致无法访问内网的问题。
7.第一方面，本技术实施例提供了一种双栈用户准出认证方法，应用于准出认证服务器，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给所述准出认证服务器；所述方法包括：
8.接收准出接入服务器nas发送的包括目标用户设备的第一类ip地址的准出认证请求，其中，所述准出nas在接收到一个用户设备发送的ip报文后，若判定本地不存在与该用户的ip地址相匹配的会话，则向所述准出认证服务器发送包括该用户设备的ip地址的准出认证请求；
9.若判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知，以通知所述准出nas生成所述目标用户设备的第一类ip地址对应
的第一会话，并将所述第一会话加入第一会话组，其中，所述准出nas在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文发至所述准出认证服务器；
10.若接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知，以通知所述准出nas将所述第一会话加入第二会话组，其中，所述准出nas在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
11.可选地，所述方法还包括：
12.接收所述准出nas发送的包括所述目标用户设备的第二类ip地址的准出认证请求；
13.基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知，以通知所述准出nas生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组。
14.可选地，所述指定类型的第一ip报文为http/https报文；对所述目标用户设备的第一类ip地址进行用户身份认证的步骤包括：
15.基于所述目标用户设备发送的第一类ip地址的http/https报文，将准出认证页面推送给所述目标用户设备；
16.基于接收到的用户输入的用户名和密码，对所述目标用户设备的第一类ip地址进行用户身份认证。
17.第二方面，本技术提供了一种双栈用户准出认证方法，应用于准出接入服务器nas，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给准出认证服务器；所述方法包括：
18.接收目标用户设备发送的第一类ip报文，若判定本地不存在与所述目标用户设备的第一类ip地址相匹配的第一会话，则向所述准出认证服务器发送包括所述目标用户设备的第一类ip地址的准出认证请求；
19.接收所述准出认证服务器发送的第一通知，生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文转发至所述准出认证服务器，其中，若所述准出认证服务器判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知；
20.接收所述准出认证服务器发送的第二通知，将所述第一会话加入第二会话组，在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络，其中，若所述准出认证服务器接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第
一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知。
21.可选地，所述方法还包括：
22.接收所述目标用户设备发送的第二类ip报文，若判定本地不存在与所述目标用户设备的第二类ip地址相匹配的第二会话，则向所述准出认证服务器发送包括所述目标用户设备的第二类ip地址的准出认证请求；
23.接收所述准出认证服务器发送的第三通知，生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组，其中，若所述准出认证服务器基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知。
24.第三方面，本技术提供了一种双栈用户准出认证装置，应用于准出认证服务器，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给所述准出认证服务器；所述装置包括：
25.接收单元，用于接收准出接入服务器nas发送的包括目标用户设备的第一类ip地址的准出认证请求，其中，所述准出nas在接收到一个用户设备发送的ip报文后，若判定本地不存在与该用户的ip地址相匹配的会话，则向所述准出认证服务器发送包括该用户设备的ip地址的准出认证请求；
26.发送单元，若判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则所述发送单元用于向所述准出nas发送第一通知，以通知所述准出nas生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，其中，所述准出nas在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文发至所述准出认证服务器；
27.认证单元，若所述接收单元接收到所述目标用户设备发送的指定类型的第一类ip报文，则所述认证单元用于对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及所述发送单元用于向所述准出nas发送第二通知，以通知所述准出nas将所述第一会话加入第二会话组，其中，所述准出nas在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
28.可选地，
29.所述接收单元还用于，接收所述准出nas发送的包括所述目标用户设备的第二类ip地址的准出认证请求；
30.基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则所述发送单元用于向所述准出nas发送第三通知，以通知所述准出nas生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组。
31.可选地，所述指定类型的第一ip报文为http/https报文；对所述目标用户设备的第一类ip地址进行用户身份认证时，所述认证单元具体用于：
32.基于所述目标用户设备发送的第一类ip地址的http/https报文，将准出认证页面推送给所述目标用户设备；
33.基于接收到的用户输入的用户名和密码，对所述目标用户设备的第一类ip地址进行用户身份认证。
34.第四方面，本技术提供了一种双栈用户准出认证装置，应用于准出接入服务器nas，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给准出认证服务器；所述装置包括：
35.第一接收单元，用于接收目标用户设备发送的第一类ip报文；
36.发送单元，若判定本地不存在与所述目标用户设备的第一类ip地址相匹配的第一会话，则所述发送单元用于向所述准出认证服务器发送包括所述目标用户设备的第一类ip地址的准出认证请求；
37.第二接收单元，用于接收所述准出认证服务器发送的第一通知，生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，在所述第一接收单元接收到与所述第一会话组中的会话相匹配的ip报文时，所述发送单元用于将该ip报文转发至所述准出认证服务器，其中，若所述准出认证服务器判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知；
38.所述第二接收单元还用于，接收所述准出认证服务器发送的第二通知，将所述第一会话加入第二会话组，在所述第一接收单元接收到与所述第二会话组中的会话相匹配的ip报文时，所述发送单元用于将该ip报文转发至外部网络，其中，若所述准出认证服务器接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知。
39.可选地，所述第一接收单元还用于：
40.接收所述目标用户设备发送的第二类ip报文，若判定本地不存在与所述目标用户设备的第二类ip地址相匹配的第二会话，则所述发送单元用于向所述准出认证服务器发送包括所述目标用户设备的第二类ip地址的准出认证请求；
41.所述第二接收单元还用于，接收所述准出认证服务器发送的第三通知，生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组，其中，若所述准出认证服务器基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知。
42.第五方面，本技术实施例提供一种准出认证服务器，该准出认证服务器包括：
43.存储器，用于存储程序指令；
44.处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
45.第六方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第
一方面中任一项所述方法的步骤。
46.第七方面，本技术实施例提供一种准出接入服务器nas，该准出nas包括：
47.存储器，用于存储程序指令；
48.处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第二方面中任一项所述的方法的步骤。
49.第八方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第二方面中任一项所述方法的步骤。
50.综上可知，本技术实施例提供的应用于准出认证服务器的双栈用户准出认证方法，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给所述准出认证服务器，接收准出接入服务器nas发送的包括目标用户设备的第一类ip地址的准出认证请求，其中，所述准出nas在接收到一个用户设备发送的ip报文后，若判定本地不存在与该用户的ip地址相匹配的会话，则向所述准出认证服务器发送包括该用户设备的ip地址的准出认证请求；若判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知，以通知所述准出nas生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，其中，所述准出nas在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文发至所述准出认证服务器；若接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知，以通知所述准出nas将所述第一会话加入第二会话组，其中，所述准出nas在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
51.采用本技术实施例提供的双栈用户准出认证方法，准入认证服务器在确定一个用户上线之后，预先将该用户信息(用户名，ipv4地址，ipv6地址)同步至准出认证服务器，这样，准出服务器在对该用户进行准出认证时，只需执行一类ip地址的准出认证过程，即可实现另一类ip地址的准出认证。同时，无需将dhcp服务器挂载在准出nas上，使得内网路径合理，准出nas故障也不会影响内网用户访问内网。
附图说明
52.为了更加清楚地说明本技术实施例或者现有技术中的技术方案，下面将对本技术实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本技术实施例的这些附图获得其他的附图。
53.图1为本技术实施例提供的一种园区接入网的组网示意图；
54.图2为本技术实施例提供的一种双栈用户准出认证方法的详细流程图；
55.图3为本技术实施例提供的另一种双栈用户准出认证方法的详细流程图；
56.图4为本技术实施例提供的一种双栈用户准出认证装置的结构示意图；
57.图5为本技术实施例提供的另一种双栈用户准出认证装置的结构示意图；
58.图6为本技术实施例提供的一种准出认证服务器的结构示意图；
59.图7为本技术实施例提供的一种准出nas的结构示意图。
具体实施方式
60.在本技术实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本技术。本技术和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
61.应当理解，尽管在本技术实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
62.本技术实施例中提出一种双栈用户准出认证方法，可以应用于包括准入nas、准出nas、准入认证服务器、准出认证服务器的网络，如园区接入网等。其中，准入认证服务器可以为准入aaa(authentication authorization accounting，认证、授权、计费)服务器，也可以为准入radius(remote authentication dial
‑
in user service，远程认证拨号用户服务)服务器，对此不做限制。准出认证服务器可以为准出aaa服务器，也可以为准出radius服务器，对此不做限制。
63.示例性的，参阅图1所示，为本技术实施例提供的一种园区接入网的组网示意图。当用户访问内网资源时，需要对用户进行准入控制，也就是说，利用准入nas和准入认证服务器对用户进行认证。在认证成功后，允许用户访问内网资源，且准入nas和准入认证服务器能够对用户访问内网资源的流量进行计费(若免费访问内网资源，则不进行流量计费)。当用户访问外网资源时，需要对用户进行准出控制，也就是说，利用准出nas和准出认证服务器对用户进行认证。在认证成功后，允许用户访问外网资源，且准出nas和准出认证服务器能够对用户访问外网资源的流量进行计费。
64.示例性的，参阅图2所示，为本技术实施例提供的一种双栈用户准出认证方法的详细流程图，该方法应用于准出认证服务器，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给所述准出认证服务器，该方法包括以下步骤：
65.步骤200：接收准出接入服务器nas发送的包括目标用户设备的第一类ip地址的准出认证请求。
66.其中，所述准出nas在接收到一个用户设备发送的ip报文后，若判定本地不存在与该用户的ip地址相匹配的会话，则向所述准出认证服务器发送包括该用户设备的ip地址的准出认证请求。
67.需要说明的是，本技术实施例中，若第一类ip地址为ipv4地址，则第二类ip地址为ipv6地址，若第一类ip地址为ipv6地址，则第二类ip地址为ipv7地址，在此不做具体限定。
68.本技术实施例中，用户内网准入上线后，准入认证服务器会将上线用户的账号、ipv4地址和ipv6地址发送给准出认证服务器，具体地，可以采用udp报文发送给准出认证服务器，准出认证服务器上会生成包括该上线用户对应的账号，ipv4地址和ipv6地址的表项，如表1所示。
69.表1
70.账号ipv4地址ipv6地址abc201.0.0.12001:201::1234
………
71.那么，当准出nas接收到用户发送的ip报文(第一类ip报文/第二类ip报文，下文以第一类ip报文为例进行说明)后，若判定本地未创建有该用户的第一类ip地址对应的会话(如，ipoe会话)，则向准出认证服务器发送包含该用户信息(如，该用户的第一类ip地址)的准出认证请求。
72.步骤210：若判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知，以通知所述准出nas生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组。
73.其中，所述准出nas在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文发至所述准出认证服务器。
74.具体地，准出认证服务器再接收准出nas发送的包含该用户的第一类ip地址的准出认证请求后，判断本地是否维护有该第一类ip地址对应的第一表项，由上可知，若该用户已在内网上线，则准出服务器上会维护有该用户对应的第一表项(该用户的账号，ipv4地址，ipv6地址)，若准出认证服务器判定本地维护有该用户的第一类ip地址对应的第一表项，则向准出nas发送第一通知，准出nas在接收到第一通知后，生成该用户的第一类ip地址对应的第一会话，并将该第一会话加入第一会话组(limit会话组)中。
75.实际应用中，limit会话组通过标准radius协议的access accept报文中的user
‑
group属性授权给准出nas。在准出nas上需要提前创建该会话组，并创建qos策略匹配该会话组的http/https流量，qos动作为重定向用户的http/https报文next
‑
hop到准出认证服务器。(准出nas需要与准出认证服务器直连)。
76.步骤220：若接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知，以通知所述准出nas将所述第一会话加入第二会话组。
77.其中，所述准出nas在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
78.本技术实施例中，所述指定类型的第一ip报文为http/https报文。那么，本技术实施例中，在对所述目标用户设备的第一类ip地址进行用户身份认证时，一种较佳地实现方式为，基于所述目标用户设备发送的第一类ip地址的http/https报文，将准出认证页面推送给所述目标用户设备；基于接收到的用户输入的用户名和密码，对所述目标用户设备的
第一类ip地址进行用户身份认证。
79.也就是说，当用户访问外网的网页时，流量到达准出nas后，准出nas根据预先配置的qos策略，会将limit用户组的http/https流量重定向到准出认证服务器的认证页面，强制用户在认证页面填写账号密码进行认证。若用户填写的账号密码正确，则确定准出认证通过。
80.此时，准出认证服务器在本地生成包括该用户对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，如表2所示。
81.表2
82.账号ipv4地址准出认证状态abc201.0.0.1准出认证成功
………
83.进一步地，结合第一表项和第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，如表3所示。
84.表3
85.账号ipv4地址ipv6地址准出认证状态abc201.0.0.12001:201::1234准出认证成功
…………
86.同时，准出认证服务器向准出nas发送第二通知，以通知准出nas将该用户的第一类ip地址对应的第一会话加入第二会话组中。
87.实际应用中，第二会话组为普通会话组，该会话组不匹配任何qos，即默认放通。若ipoe会话使用ipv4地址作为用户名，用户的流量使用该ipv4源地址可以直接命中该ipoe会话，后续可以自由访问外网资源。
88.进一步地，准出认证服务器接收所述准出nas发送的包括所述目标用户设备的第二类ip地址的准出认证请求；基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知，以通知所述准出nas生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组。
89.至此，针对一个双栈用户，只需执行一类ip地址的准出认证过程，即可实现另一类ip地址的准出认证。同时，无需将dhcp服务器挂载在准出nas上，使得内网路径合理，准出nas故障也不会影响内网用户访问内网。
90.示例性的，参阅图3所示，为本技术实施例提供的另一种双栈用户准出认证方法的详细流程图，该方法应用于准出接入服务器nas，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给准出认证服务器，该方法包括：
91.步骤300：接收目标用户设备发送的第一类ip报文，若判定本地不存在与所述目标用户设备的第一类ip地址相匹配的第一会话，则向所述准出认证服务器发送包括所述目标用户设备的第一类ip地址的准出认证请求。
92.步骤310：接收所述准出认证服务器发送的第一通知，生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，在接收到与所述第一会
话组中的会话相匹配的ip报文时，将该ip报文转发至所述准出认证服务器。
93.其中，若所述准出认证服务器判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知。
94.步骤320：接收所述准出认证服务器发送的第二通知，将所述第一会话加入第二会话组，在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
95.其中，若所述准出认证服务器接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知。
96.进一步地，准出nas接收所述目标用户设备发送的第二类ip报文，若判定本地不存在与所述目标用户设备的第二类ip地址相匹配的第二会话，则向所述准出认证服务器发送包括所述目标用户设备的第二类ip地址的准出认证请求。
97.准出nas接收所述准出认证服务器发送的第三通知，生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组，其中，若所述准出认证服务器基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知。
98.基于与上述应用于准出认证服务器的方法实施例同样的发明构思，示例性的，参阅图4所示，为本技术提供的一种双栈用户准出认证装置的结构示意图，该双栈用户准出认证装置应用于准出认证服务器，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给所述准出认证服务器；所述装置包括：
99.接收单元40，用于接收准出接入服务器nas发送的包括目标用户设备的第一类ip地址的准出认证请求，其中，所述准出nas在接收到一个用户设备发送的ip报文后，若判定本地不存在与该用户的ip地址相匹配的会话，则向所述准出认证服务器发送包括该用户设备的ip地址的准出认证请求；
100.发送单元41，若判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则所述发送单元41用于向所述准出nas发送第一通知，以通知所述准出nas生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，其中，所述准出nas在接收到与所述第一会话组中的会话相匹配的ip报文时，将该ip报文发至所述准出认证服务器；
101.认证单元42，若所述接收单元40接收到所述目标用户设备发送的指定类型的第一类ip报文，则所述认证单元42用于对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及所述发送单元41用于向所述准出nas发送第二通知，以通知所
述准出nas将所述第一会话加入第二会话组，其中，所述准出nas在接收到与所述第二会话组中的会话相匹配的ip报文时，将该ip报文转发至外部网络。
102.可选地，
103.所述接收单元40还用于，接收所述准出nas发送的包括所述目标用户设备的第二类ip地址的准出认证请求；
104.所述认证单元还用于，基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则所述发送41单元用于向所述准出nas发送第三通知，以通知所述准出nas生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组。
105.可选地，所述指定类型的第一ip报文为http/https报文；对所述目标用户设备的第一类ip地址进行用户身份认证时，所述认证单元42具体用于：
106.基于所述目标用户设备发送的第一类ip地址的http/https报文，将准出认证页面推送给所述目标用户设备；
107.基于接收到的用户输入的用户名和密码，对所述目标用户设备的第一类ip地址进行用户身份认证。
108.基于与上述应用于准出nas的方法实施例同样的发明构思，示例性的，参阅图5所示，为本技术实施例提供的一种双栈用户准出认证装置，该双栈用户准出认证装置应用于准出接入服务器nas，其中，准入认证服务器在确定一个用户设备在内网上线时，将包括该用户设备对应的用户名，第一类ip地址和第二类ip地址的表项发送给准出认证服务器；所述装置包括：
109.第一接收单元50，用于接收目标用户设备发送的第一类ip报文；
110.发送单元51，若判定本地不存在与所述目标用户设备的第一类ip地址相匹配的第一会话，则所述发送单元51用于向所述准出认证服务器发送包括所述目标用户设备的第一类ip地址的准出认证请求；
111.第二接收单元52，用于接收所述准出认证服务器发送的第一通知，生成所述目标用户设备的第一类ip地址对应的第一会话，并将所述第一会话加入第一会话组，在所述第一接收单元50接收到与所述第一会话组中的会话相匹配的ip报文时，所述发送单元用于将该ip报文转发至所述准出认证服务器，其中，若所述准出认证服务器判定本地存在与所述目标用户设备的第一类ip地址相匹配的第一表项，则向所述准出nas发送第一通知；
112.所述第二接收单元52还用于，接收所述准出认证服务器发送的第二通知，将所述第一会话加入第二会话组，在所述第一接收单元接收到与所述第二会话组中的会话相匹配的ip报文时，所述发送单元51用于将该ip报文转发至外部网络，其中，若所述准出认证服务器接收到所述目标用户设备发送的指定类型的第一类ip报文，则对所述目标用户设备的第一类ip地址进行用户身份认证，若确定用户身份认证成功，则生成包括所述目标用户设备对应的用户名，第一类ip地址和准出认证状态为准出认证成功的第二表项，并基于所述第一表项和所述第二表项，生成包括所述目标用户设备对应的用户名，第一类ip地址，第二类ip地址和准出认证状态为准出认证成功的第三表项，以及向所述准出nas发送第二通知。
113.可选地，所述第一接收单元50还用于：
114.接收所述目标用户设备发送的第二类ip报文，若判定本地不存在与所述目标用户
设备的第二类ip地址相匹配的第二会话，则所述发送单元51用于向所述准出认证服务器发送包括所述目标用户设备的第二类ip地址的准出认证请求；
115.所述第二接收单元52还用于，接收所述准出认证服务器发送的第三通知，生成所述目标用户设备的第二类ip地址对应的第二会话，并将所述第二会话加入第二会话组，其中，若所述准出认证服务器基于所述目标用户设备的第二类ip地址和所述第三表项，确定所述目标用户设备的第二类ip地址的准出认证状态为准出认证成功，则向所述准出nas发送第三通知。
116.以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，简称asic)，或，一个或多个微处理器(digital singnal processor，简称dsp)，或，一个或者多个现场可编程门阵列(field programmable gate array，简称fpga)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processing unit，简称cpu)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system
‑
on
‑
a
‑
chip，简称soc)的形式实现。
117.进一步地，本技术实施例提供的准出认证服务器，从硬件层面而言，所述准出认证服务器的硬件架构示意图可以参见图6所示，所述准出认证服务器可以包括：存储器60和处理器61，
118.存储器60用于存储程序指令；处理器61调用存储器60中存储的程序指令，按照获得的程序指令执行上述应用于准出认证服务器的方法实施例。具体实现方式和技术效果类似，这里不再赘述。
119.可选地，本技术还提供一种准出认证服务器，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。
120.可选地，本技术还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述应用于准出认证服务器的方法实施例。
121.更进一步地，本技术实施例提供的准出nas，从硬件层面而言，所述准出nas的硬件架构示意图可以参见图7所示，所述准出nas可以包括：存储器70和处理器71，
122.存储器70用于存储程序指令；处理器71调用存储器70中存储的程序指令，按照获得的程序指令执行上述应用于准出nas的方法实施例。具体实现方式和技术效果类似，这里不再赘述。
123.可选地，本技术还提供一种准出nas，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。
124.可选地，本技术还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述应用于准出nas的方法实施例。
125.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们
的组合。
126.上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
127.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本技术时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
128.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
129.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
130.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
131.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
132.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。