访问控制方法及装置

本申请涉及网络通信技术领域，特别涉及一种访问控制方法及装置。

Portal(门户)认证是一种灵活的网络访问控制技术，通过Web(网页)页面获取用 户的用户名和密码，对用户进行身份认证，以达到访问控制的目的。二次地址分配认证指的 是在用户通过认证前，先为用户主机分配一个私网IP(Internet Protocol，因特网协议)地 址，此时，用户主机只能访问Portal服务器以及设定的免认证地址；后续在用户认证通过 后，再为用户主机分配一个公网IP地址，此时用户主机即可访问互联网资源，该认证方式解 决了IP地址规划和分配问题。

目前，在采用Portal二次地址分配认证方式时，需要在BRAS(Broadband Remote Access Server，宽带远程接入服务器)设备的用户端口上配置一个主IP地址和一个从IP地 址，其中，主IP地址作为公网网关IP地址，从IP地址作为私网网关IP地址。具体的，首先， BRAS设备将私网网关IP地址(即从IP地址)作为用户主机的网关IP地址，从而为用户主机分 配一个私网IP地址，然后，在用户认证通过后，再将用户主机的网关IP地址切换为公网网关 IP地址(即主IP地址)，从而为用户主机分配一个公网IP地址，后续，用户主机即可通过BRAS 设备访问互联网资源。

但是，在上述的方法中，要求在BRAS设备的用户端口上配置主IP地址和从IP地址， 而且规定主IP地址只能作为公网网关IP地址，从IP地址只能作为私网网关IP地址，配置限 制比较大。

有鉴于此，本申请提供一种访问控制方法及装置。

具体地，本申请是通过如下技术方案实现的：

一方面，提供了一种访问控制方法，该方法包括：

接收用户主机发来的第一地址申请报文，对用户进行认证，在认证通过后，将第一 用户身份信息对应的私网地址池授权给用户主机，从该私网地址池中选择一个私网IP地址 分配给用户主机，以使用户主机使用该私网IP地址访问网络；

接收Portal服务器发来的Portal认证请求报文，对用户进行认证，在认证通过后， 将第二用户身份信息对应的公网地址池授权给用户主机，向Portal服务器回应Portal认证 应答报文，以使Portal服务器通知用户主机更新IP地址；

接收用户主机更新IP地址时发来的第二地址申请报文，从公网地址池中选择一个 公网IP地址分配给用户主机，以使用户主机使用该公网IP地址访问网络。

另一方面，还提供了一种访问控制装置，该装置包括：

认证授权单元，用于接收用户主机发来的第一地址申请报文，对用户进行认证，在 认证通过后，将第一用户身份信息对应的私网地址池授权给用户主机；还用于接收Portal 服务器发来的Portal认证请求报文，对用户进行认证，在认证通过后，将第二用户身份信息 对应的公网地址池授权给用户主机，向Portal服务器回应Portal认证应答报文，以使 Portal服务器通知用户主机更新IP地址；

地址分配单元，用于从私网地址池中选择一个私网IP地址分配给用户主机，以使 用户主机使用该私网IP地址访问网络；还用于接收用户主机更新IP地址时发来的第二地址 申请报文，从公网地址池中选择一个公网IP地址分配给用户主机，以使用户主机使用该公 网IP地址访问网络。

通过本申请的以上技术方案，首先接收用户主机发来的第一地址申请报文，对用 户进行认证，并在认证通过后，将第一用户身份信息对应的私网地址池授权给用户主机，从 该私网地址池中选择一个私网IP地址分配给用户主机；然后，再对用户进行Portal认证，并 在认证通过后，将第二用户身份信息对应的公网地址池授权给用户主机，后续，从该公网地 址池中选择一个公网IP地址分配给用户主机，从而实现了Portal二次地址分配认证。通过 对用户进行两次认证授权，来控制对应的地址池，即，第一次认证授权时授权私网地址池， 第二次认证授权时授权公网地址池，实现了用户主机的私网IP地址和公网IP地址的转换， 由于无需在BRAS设备的用户端口上配置主IP地址和从IP地址，也不限定主IP地址只能作为 公网网关IP地址、从IP地址只能作为私网网关IP地址，因此，解决了现有技术中存在的配置 限制比较大的问题。

图1是本申请一示例性实施例示出的采用Portal二次地址分配认证方式的网络架 构示意图；

图2是基于图1的网络结构的访问控制方法的交互流程图；

图3是本申请另一示例性实施例示出的采用Portal二次地址分配认证方式的网络 架构示意图；

图4是基于图3的网络结构的访问控制方法的交互流程图；

图5是本申请一示例性实施例示出的访问控制装置所在BRAS设备的硬件结构示意 图；

图6是本申请一示例性实施例示出的访问控制装置的结构示意图。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这 些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第 一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当…… 时”或“响应于确定”。

为了解决现有技术中存在的配置限制比较大的问题，本申请以下实施例中提供了 一种访问控制方法，以及一种可以应用该方法的访问控制装置。

如图1所示，本申请实施例的采用Portal二次地址分配认证方式的网络中主要包 括：用户主机(或称为Portal客户端)、接入层设备、BRAS设备、以及Portal服务器，其中， BRAS设备中集成有AAA服务器和DHCP服务器的功能。此时的访问控制方法的交互流程如图2 所示，包括以下步骤：

步骤S101，用户主机发出用于申请IP地址的第一地址申请报文；

其中，上述第一地址申请报文可以是DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)Discover(发现)报文或者DHCP Request(请求)报文。第一地 址申请报文中携带有用户主机的特征信息，用户主机的特征信息中包括：MAC(媒体访问控 制)地址、DHCP选项信息、以及接入位置信息。

步骤S102，BRAS设备接收该第一地址申请报文，对用户进行认证；

在为用户开通上网服务时，在BRAS设备上记录第一用户身份信息和第一用户密 码，其中，第一用户身份信息由用户主机的特征信息中包括的MAC地址、DHCP选项信息、以及 接入位置信息中的一项或多项组成，第一用户密码由用户主机的特征信息中包括的MAC地 址、DHCP选项信息、以及接入位置信息中的一项或多项组成。

这样，在步骤S102中，BRAS设备在接收到第一地址申请报文之后，会从该第一地址 申请报文中获取用户主机的特征信息。其中：

该第一地址申请报文的源MAC地址即为用户主机的MAC地址。

该第一地址申请报文的options(选项)字段中携带的信息即为DHCP选项信息，其 中主要包括以下内容：用户主机在该第一地址申请报文的options字段中添加的DHCP选项 信息，例如option61，option61中可以携带用户主机的ID(标识)等；该第一地址申请报文途 径的每一个接入层设备在该第一地址申请报文的options字段中添加的DHCP选项信息，例 如option82，option82中可以携带该接入层设备的ID、该接入层设备接收到该报文的端口 ID、用户主机的VLAN ID、该接入层设备的MAC地址等。

接入位置信息具体可以包括BRAS设备的ID、BRAS设备接收到该第一地址申请报文 的端口ID等。

然后，BRAS设备将获取到的上述MAC地址、DHCP选项信息、以及接入位置信息中的 一项或多项组成第一用户身份信息，将上述MAC地址、DHCP选项信息、以及接入位置信息中 的一项或多项组成第一用户密码，将该第一用户身份信息和第一用户密码与本地保存的第 一用户身份信息和第一用户密码进行匹配，若均匹配，则认证通过。

在实际实施过程中，第一用户身份信息可以由用户主机的MAC地址组成，第一用户 密码可以由VLAN ID组成；或者，第一用户身份信息可以由接入层设备的ID和端口、以及 BRAS设备的ID和端口组成，第一用户密码可以由用户主机的MAC地址组成；本申请对此不做 限定。

另外，BRAS设备在接收到该第一地址申请报文后，还会创建对应的用户表项，在该 用户表项中记录该第一地址申请报文中携带的用户主机的特征信息。

步骤S103，在用户认证通过后，BRAS设备将第一用户身份信息对应的私网地址池 授权给用户主机，从该私网地址池中选择一个私网IP地址分配给用户主机；

在为用户开通上网服务时，在BRAS设备上保存第一用户身份信息与私网地址池的 对应关系，这样，在步骤S103中，在用户认证通过后，BRAS设备就可以查与第一用户身份 信息对应的私网地址池，从查到的私网地址池中选择一个未被占用的私网IP地址分配给 用户主机。

另外，在将私网地址池授权给用户主机，从该私网地址池中选择一个私网IP地址 分配给用户主机之后，还会在用户表项中记录该私网地址池的ID和选中的私网IP地址。

步骤S104，BRAS设备将选中的私网IP地址携带在第一地址应答报文中发送给用户 主机；

其中，当第一地址申请报文是DHCP Discover报文时，第一地址应答报文是DHCP Offer(提供)报文，当第一地址申请报文是DHCP Request报文时，第一地址应答报文是DHCP ACK(确认)报文。

用户主机在接收到该第一地址应答报文后，会将本机的IP地址配置为该私网IP地 址，后续，用户主机使用该私网IP地址访问网页，由于用户尚未进行Portal认证，因此用户 主机发出的HTTP(HyperText Transfer Protocol，超文本传输协议)报文会发给Portal服 务器，然后，Portal服务器会向用户主机推送用于进行Portal认证的网页，以便用户在该网 页上输入用户名和密码，后续，用户主机会将用户输入的用户名和密码携带在HTTP报文中 发送给Portal服务器。

步骤S105，Portal服务器在接收到携带有用户名和密码的HTTP报文后，将该用户 名和密码携带在Portal认证请求报文中发送给BRAS设备；

步骤S106，BRAS设备接收该Portal认证请求报文，对用户进行Portal认证；

在步骤S106中，BRAS设备在接收到该Portal认证请求报文之后，从该报文中获取 用户名和密码，将获取到的用户名和密码与本地保存的用户名和密码进行匹配，若均匹配， 则Portal认证通过。

步骤S107，在用户认证通过后，BRAS设备向Portal服务器回应用于指示用户 Portal认证通过的Portal认证应答报文；Portal服务器接收到该Portal认证应答报文后， 就会通知用户主机Portal认证通过，需要更新IP地址，即，释放当前使用的私网IP地址，重 新申请公网IP地址；

步骤S108，BRAS设备将第二用户身份信息对应的公网地址池授权给用户主机；

在为用户开通上网服务时，在BRAS设备上保存第二用户身份信息与公网地址池的 对应关系，这样，在步骤S108中，在用户进行Portal认证通过后，BRAS设备就可以查与第 二用户身份信息对应的公网地址池，将该公网地址池授权给用户主机。其中，为了便于实 现，第二用户身份信息可以为用户名。

另外，在将公网地址池授权给用户主机之后，BRAS设备还会将用户表项中记录的 私网地址池的ID更新为公网地址池的ID。

步骤S109，在更新IP地址时，用户主机发出用于申请IP地址的第二地址申请报文；

其中，上述第二地址申请报文可以是DHCP Discover报文或者DHCP Request报文。

步骤S110，在接收到该第二地址申请报文之后，BRAS设备从授权给用户主机的公 网地址池中，选择一个公网IP地址分配给用户主机；

在步骤S110中，在接收到第二地址申请报文之后，BRAS设备从用户表项中查公 网地址池的ID，从该ID所指示的公网地址池中选择一个未被占用的公网IP地址分配给用户 主机，之后，将用户表项中记录的私网IP地址更新为选中的公网IP地址。

另外，BRAS设备在发现用户表项中记录的IP地址为公网IP地址时，会将该用户表 项下发给硬件转发芯片，以便在用户主机的IP地址更新为该公网IP地址后，BRAS设备能够 转发用户主机发来的数据流以及发往用户主机的数据流。

步骤S111，BRAS设备将选中的公网IP地址携带在第二地址应答报文中发送给用户 主机。

其中，当第二地址申请报文是DHCP Discover报文时，第二地址应答报文是DHCP Offer报文，当第二地址申请报文是DHCP Request报文时，第二地址应答报文是DHCP ACK报 文。

用户主机在接收到该第二地址应答报文后，会将本机的IP地址配置为该第二地址 应答报文中携带的公网IP地址，使用该公网IP地址访问网络。

在如图2所示的方法中，BRAS设备上集成有AAA服务器和DHCP服务器的功能，BRAS 设备首先接收用户主机发来的第一地址申请报文，对用户进行认证，并在认证通过后，将第 一用户身份信息对应的私网地址池授权给用户主机，从该私网地址池中选择一个私网IP地 址分配给用户主机；然后，再对用户进行Portal认证，并在认证通过后，将第二用户身份信 息对应的公网地址池授权给用户主机，后续，从该公网地址池中选择一个公网IP地址分配 给用户主机，从而实现了Portal二次地址分配认证。通过对用户进行两次认证授权，来控制 对应的地址池，即，第一次认证授权时授权私网地址池，第二次认证授权时授权公网地址 池，实现了用户主机的私网IP地址和公网IP地址的转换，由于无需在BRAS设备的用户端口 上配置主IP地址和从IP地址，也不限定主IP地址只能作为公网网关IP地址、从IP地址只能 作为私网网关IP地址，因此，解决了现有技术中存在的配置限制比较大的问题。

另外，AAA服务器和DHCP服务器也可以部署在BRAS设备外部，此时，如图3所示，采 用Portal二次地址分配认证方式的网络中主要包括：用户主机、接入层设备、BRAS设备、 Portal服务器、AAA服务器、以及DHCP服务器。基于图3所示的网络架构，本申请实施例的访 问控制方法的交互流程如图4所示，包括以下步骤：

步骤S201，用户主机发出用于申请IP地址的第一地址申请报文；

其中，上述第一地址申请报文可以是DHCP Discover报文或者DHCP Request报文。 第一地址申请报文中携带有用户主机的特征信息，用户主机的特征信息中包括：MAC地址、 DHCP选项信息、以及接入位置信息。

步骤S202，BRAS设备接收第一地址申请报文，从该报文中获取用户主机的特征信 息，将用户主机的特征信息携带在AAA认证请求报文中发送给AAA服务器；

在步骤S202中，BRAS设备在接收到第一地址申请报文之后，会从该第一地址申请 报文中获取用户主机的特征信息。其中：

该第一地址申请报文的源MAC地址即为用户主机的MAC地址。

该第一地址申请报文的options字段中携带的信息即为DHCP选项信息，其中主要 包括以下内容：用户主机在该第一地址申请报文的options字段中添加的DHCP选项信息，例 如option61，option61中可以携带用户主机的ID等；该第一地址申请报文途径的每一个接 入层设备在该第一地址申请报文的options字段中添加的DHCP选项信息，例如option82， option82中可以携带该接入层设备的ID、该接入层设备接收到该报文的端口ID、用户主机 的VLAN ID、该接入层设备的MAC地址等。

接入位置信息具体可以包括BRAS设备的ID、BRAS设备接收到该第一地址申请报文 的端口ID等。

然后，BRAS设备会将获取到的特征信息中的上述MAC地址、DHCP选项信息、以及接 入位置信息中的一项或多项组成第一用户身份信息，将上述MAC地址、DHCP选项信息、以及 接入位置信息中的一项或多项组成第一用户密码，将第一用户身份信息和第一用户密码携 带在AAA认证请求报文中发送给AAA服务器。

在实际实施过程中，第一用户身份信息可以由用户主机的MAC地址组成，第一用户 密码可以由VLAN ID组成；或者，第一用户身份信息可以由接入层设备的ID和端口、以及 BRAS设备的ID和端口组成，第一用户密码可以由用户主机的MAC地址组成；本申请对此不做 限定。

另外，BRAS设备在接收到该第一地址申请报文后，还会创建对应的用户表项，在该 用户表项中记录该第一地址申请报文中携带的用户主机的特征信息。

步骤S203，AAA服务器在接收到该AAA认证请求报文之后，使用该报文中携带的第 一用户身份信息和第一用户密码，对用户进行认证，在用户认证通过后，向BRAS设备回应用 于指示用户认证通过的AAA认证应答报文；

在为用户开通上网服务时，在AAA服务器上记录第一用户身份信息和第一用户密 码。这样，在步骤S203中，AAA服务器在接收到该AAA认证请求报文之后，就可以从该报文中 获取到第一用户身份信息和第一用户密码，将获取到的第一用户身份信息和第一用户密码 与本地保存的第一用户身份信息和第一用户密码进行匹配，若均匹配，则认证通过。

步骤S204，BRAS设备在接收到该AAA认证应答报文之后，向AAA服务器发送AAA授权 请求报文；

步骤S205，AAA服务器在接收到该AAA授权请求报文之后，将第一用户身份信息对 应的私网地址池授权给用户主机；

在为用户开通上网服务时，在AAA服务器上保存第一用户身份信息与私网地址池 的对应关系，这样，在步骤S205中，AAA服务器就可以查与第一用户身份信息对应的私网 地址池，将该私网地址池授权给用户主机。

步骤S206，AAA服务器向BRAS设备回应携带有该私网地址池的ID的AAA授权应答报 文；

步骤S207，BRAS设备接收到该AAA授权应答报文之后，从该报文中获取私网地址池 的ID，将该私网地址池的ID携带在第一地址申请报文中发送给DHCP服务器；

另外，BRAS设备在获取到私网地址池的ID之后，还会在用户表项中记录该私网地 址池的ID。

步骤S208，DHCP服务器接收到该第一地址申请报文之后，从该报文中获取私网地 址池的ID，从该ID所指示的私网地址池中选择一个私网IP地址分配给用户主机，将选中的 私网IP地址携带在第一地址应答报文中发送给用户主机；

由于该第一地址应答报文会经由BRAS设备转发给用户主机，因此，BRAS设备可以 从该报文中获取私网IP地址，在用户表项中记录该私网IP地址。其中，当第一地址申请报文 是DHCP Discover报文时，第一地址应答报文是DHCP Offer报文，当第一地址申请报文是 DHCP Request报文时，第一地址应答报文是DHCP ACK报文。

用户主机在接收到该第一地址应答报文后，会将本机的IP地址配置为该报文中携 带的私网IP地址，后续，用户主机使用该私网IP地址访问网页，由于用户尚未进行Portal认 证，因此用户主机发出的HTTP报文会发给Portal服务器，然后，Portal服务器会向用户主机 推送用于进行Portal认证的网页，以便用户在该网页上输入用户名和密码，后续，用户主机 会将用户输入的用户名和密码携带在HTTP报文中发送给Portal服务器。

步骤S209，Portal服务器在接收到携带有用户名和密码的HTTP报文后，将该用户 名和密码携带在Portal认证请求报文中发送给BRAS设备；

步骤S210，BRAS设备在接收到该Portal认证请求报文之后，从该报文中获取用户 名和密码，将获取到的用户名和密码携带在AAA认证请求报文中发送给AAA服务器；

步骤S211，AAA服务器接收到该AAA认证请求报文之后，对用户进行Portal认证，在 用户认证通过后，向BRAS设备回应用于指示用户Portal认证通过的AAA认证应答报文；

在步骤S211中，AAA服务器从该AAA认证请求报文中获取用户名和密码，将获取到 的用户名和密码与本地保存的用户名和密码进行匹配，若均匹配，则Portal认证通过。

步骤S212，BRAS设备在接收到该AAA认证应答报文之后，向AAA服务器发送AAA授权 请求报文，并向Portal服务器发送用于指示用户Portal认证通过的Portal认证应答报文；

Portal服务器接收到该Portal认证应答报文后，通知用户主机Portal认证通过， 需要更新IP地址，即，释放当前使用的私网IP地址，重新申请公网IP地址。

步骤S213，AAA服务器接收到该AAA授权请求报文之后，将第二用户身份信息对应 的公网地址池授权给用户主机；

在为用户开通上网服务时，在AAA服务器上保存第二用户身份信息与公网地址池 的对应关系，这样，在步骤S213中，AAA服务器就可以查与第二用户身份信息对应的公网 地址池。其中，为了便于实现，第二用户身份信息可以为用户名。

步骤S214，AAA服务器将该公网地址池的ID携带在AAA授权应答报文中发送给BRAS 设备；

步骤S215，BRAS设备在接收到该AAA授权应答报文之后，将用户表项中记录的私网 地址池的ID更新为该报文中携带的公网地址池的ID；

步骤S216，在更新IP地址时，用户主机发出用于申请IP地址的第二地址申请报文；

其中，上述第二地址申请报文可以是DHCP Discover报文或者DHCP Request报文。

步骤S217，BRAS设备接收到该第二地址申请报文之后，从用户表项中查到对应 的公网地址池的ID，将该公网地址池的ID携带在第二地址申请报文中发送给DHCP服务器；

步骤S218，DHCP服务器接收到该第二地址申请报文之后，从该报文中获取公网地 址池的ID，从该ID所指示的公网地址池中选择一个公网IP地址分配给用户主机，将选中的 公网IP地址携带在第二地址应答报文中发送给用户主机；

其中，当第二地址申请报文是DHCP Discover报文时，第二地址应答报文是DHCP Offer报文，当第二地址申请报文是DHCP Request报文时，第二地址应答报文是DHCP ACK报 文。

由于该第二地址应答报文会经由BRAS设备转发给用户主机，因此，BRAS设备可以 从该报文中获取公网IP地址，将用户表项中记录的私网IP地址更新为该公网IP地址。

另外，BRAS设备在发现用户表项中记录的IP地址为公网IP地址时，会将该用户表 项下发给硬件转发芯片，以便在用户主机的IP地址更新为该公网IP地址后，BRAS设备能够 转发用户主机发来的数据流以及发往用户主机的数据流。

用户主机在接收到该第二地址应答报文后，会将本机的IP地址配置为该报文中携 带的公网IP地址，使用该公网IP地址访问网络。

在如图4所示的方法中，BRAS设备通过与AAA服务器、DHCP服务器进行交互，首先 BRAS设备将用户主机发来的第一地址申请报文中携带的用户主机的特征信息发送给AAA服 务器，AAA服务器可以使用该特征信息对用户进行认证，并在认证通过后，将第一用户身份 信息对应的私网地址池授权给用户主机，并将该私网地址池的ID发送给BRAS设备，随后 BRAS设备将该私网地址池的ID发送给DHCP服务器，DHCP服务器就可以从该ID所指示的私网 地址池中选择一个私网IP地址分配给用户主机；然后，再由AAA服务器对用户进行Portal认 证，并在认证通过后，将第二用户身份信息对应的公网地址池授权给用户主机，并将该公网 地址池的ID发送给BRAS设备，BRAS设备接收到用户主机发来的第二地址申请报文后，就会 将该公网地址池的ID发送给DHCP服务器，这样，DHCP服务器就可以从该ID所指示的公网地 址池中选择一个公网IP地址分配给用户主机，从而实现了Portal二次地址分配认证。通过 对用户进行两次认证授权，来控制对应的地址池，即，第一次认证授权时授权私网地址池， 第二次认证授权时授权公网地址池，实现了用户主机的私网IP地址和公网IP地址的转换， 由于无需在BRAS设备的用户端口上配置主IP地址和从IP地址，也不限定主IP地址只能作为 公网网关IP地址、从IP地址只能作为私网网关IP地址，因此，解决了现有技术中存在的配置 限制比较大的问题。

显然，根据实际实施的需要，还可以将AAA服务器集成在BRAS设备上实现，将DHCP 服务器部署在BRAS设备外部；或者，也可以将DHCP服务器集成在BRAS设备上实现，将AAA服 务器部署在BRAS设备外部；本申请实施例对此不做限定。上述两种情况下的访问控制方法 的交互流程可以参考图2和图4，这里不再赘述。

与前述访问控制方法的实施例相对应，本申请还提供了访问控制装置的实施例。

本申请访问控制装置60的实施例可以应用在BRAS设备上。该BRAS设备的硬件结构 如图5所示，包括：处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50，此 外，该BRAS设备通常根据该BRAS设备的实际功能，还可以包括其他硬件，对此不再赘述。

本申请实施例的访问控制装置60可以通过软件实现，也可以通过硬件或者软硬件 结合的方式实现。以软件实现为例，上述BRAS设备的内存40中保存有于实现上述访问控制 方法的指令，处理器10读取并运行内存40中保存的该指令，从而形成了如图6所示的访问控 制装置60。

如图6所示，本申请实施例的访问控制装置60中包括：

认证授权单元601，用于接收用户主机发来的第一地址申请报文，对用户进行认 证，在认证通过后，将第一用户身份信息对应的私网地址池授权给用户主机；还用于接收 Portal服务器发来的Portal认证请求报文，对用户进行认证，在认证通过后，将第二用户身 份信息对应的公网地址池授权给用户主机，向Portal服务器回应Portal认证应答报文，以 使Portal服务器通知用户主机更新IP地址；

地址分配单元602，用于从私网地址池中选择一个私网IP地址分配给用户主机，以 使用户主机使用该私网IP地址访问网络；还用于接收用户主机更新IP地址时发来的第二地 址申请报文，从公网地址池中选择一个公网IP地址分配给用户主机，以使用户主机使用该 公网IP地址访问网络。

其中，认证授权单元601具体用于通过以下方式接收用户主机发来的第一地址申 请报文，对用户进行认证：

将第一地址申请报文携带的第一用户身份信息和第一用户密码与本地保存的第 一用户身份信息和第一用户密码进行匹配，若均匹配，则认证通过。

其中，第一地址申请报文携带用户主机的特征信息，包括：MAC地址、DHCP选项信 息、以及接入位置信息；

第一用户身份信息由MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项 组成；

第一用户密码由MAC地址、DHCP选项信息、以及接入位置信息中的一项或多项组 成。

其中，Portal认证请求报文中携带用户名和密码；第二用户身份信息为用户名。

其中，上述访问控制装置60中还包括：表项处理单元603，其中：

表项处理单603，用于在地址分配单元602从私网地址池中选择一个私网IP地址分 配给用户主机之后，在用户表项中记录该私网地址池的ID和选中的私网IP地址；还用于在 认证授权单元601将第二用户身份信息对应的公网地址池授权给用户主机之后，将用户表 项中记录的私网地址池的ID更新为该公网地址池的ID；还用于在地址分配单元602从公网 地址池中选择一个公网IP地址分配给用户主机之后，将用户表项中记录的私网IP地址更新 为选中的公网IP地址。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实 施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以 不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。