專利名稱:一種基于dhcp協(xié)議的ip接入的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域����,特別是涉及一種基于DHCP(Dynamic Host Configuration Protocol,動態(tài)主機(jī)配置協(xié)議)協(xié)議的IP接入的方法及其裝置�����。
背景技術(shù):
在IP網(wǎng)絡(luò)中,每個連接Internal的用戶設(shè)備都需要分配一個唯一的IP地 址�����。在常見的小型網(wǎng)絡(luò)中�����,IP地址都是由網(wǎng)絡(luò)管理員手工分配的�,而到了中 大型網(wǎng)絡(luò),手工分配地址就變得不太合適了����。因此必須使用一種高效的地址分 配方法,DHCP出現(xiàn)正好解決這個問題���。一般情況下�����,用戶獲取IP地址接入到網(wǎng)絡(luò)中���,是需要對接入網(wǎng)絡(luò)的用戶 進(jìn)行控制的����,用戶所獲得的訪問網(wǎng)絡(luò)權(quán)限是由接入服務(wù)器控制的���,從而保證網(wǎng) 絡(luò)接入用戶的合法性�����,特別是在運(yùn)營商的網(wǎng)絡(luò)上�,還涉及到一個計費的問題��, 也是需要解決��。但是由于DHCP協(xié)議只是一個地址分配協(xié)議���,沒有提供在接入過程中對 接入用戶的控制能力�,使得DHCP的接入用戶不需要任何附加條件就可以接 入網(wǎng)絡(luò)�����,對網(wǎng)絡(luò)的安全和運(yùn)營商的業(yè)務(wù)開展都是非是非常不利的��。目前IP接入大多都采用DHCP+WEB方式來實現(xiàn)用戶的接入管理���,這種 方法雖然能夠?qū)τ脩暨M(jìn)行接入管理����,但是它的缺陷是需要外部的WEB服務(wù)器 做支持���,用戶每次上線后需要登陸到某個網(wǎng)頁來進(jìn)行接入認(rèn)證�����,此時主機(jī)已經(jīng) 通過DHCP協(xié)議將IP地址分配出去���;另外一個缺陷是管理報文和業(yè)務(wù)報文都 是一樣的,接入服務(wù)器無法區(qū)分��。由于上述原因����,無論是接入服務(wù)器還是WEB 服務(wù)器的安全性都非常脆弱,所以迫切需要一種安全接入方法對DHCP的用 戶進(jìn)行接入管理�。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于提供一種基于DHCP協(xié)議的IP接入的方法及其裝置,用于解決現(xiàn)有技術(shù)中用戶接入網(wǎng)絡(luò)時的安全性無法保證的問題����。 為了實現(xiàn)上述目的��,本發(fā)明提供了一種基于DHCP協(xié)議的IP接入的方法�����,其特征在于�����,包括步驟一���,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報文;步驟二��,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報文�����,讀出 轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文中的MAC地址和電路信息���,將所述MAC地址作為用戶 名與所述電路信息填入至認(rèn)證請求信息��;步驟三���,所述接入服務(wù)器對所述認(rèn)證請求信息進(jìn)行認(rèn)證��,并在認(rèn)證通過后 與所述DHCP客戶端完成DHCP交互���,所述用戶終端接入網(wǎng)絡(luò)。所述的基于DHCP協(xié)議的IP接入的方法�����,其中����,所述步驟二中����,進(jìn)一步 包括所述接入設(shè)備將所述電路信息填寫在所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文的Option 82選項中的歩驟。所述的基于DHCP協(xié)議的IP接入的方法����,其中,所述步驟二中�,進(jìn)一步 包括所述接入服務(wù)器判斷所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文中是否攜帶Option 61,若 是���,則從所述Option 61中讀出所述MAC地址���,從所述Option 82選項讀出所 述電路信息��;否則不回應(yīng)所述DHCP客戶端�。所述的基于DHCP協(xié)議的IP接入的方法�,其中,所述步驟三中���,進(jìn)一步 包括所述接入服務(wù)器通過認(rèn)證/授權(quán)/計費模塊對所述認(rèn)證請求信息進(jìn)行認(rèn)證的 步驟��。所述的基于DHCP協(xié)議的IP接入的方法��,其中���,所述步驟三中,進(jìn)一步 包括所述認(rèn)證/授權(quán)/計費模塊根據(jù)用戶的配置類型對所述認(rèn)證請求信息以不同 方式進(jìn)行認(rèn)證的步驟���。所述的基于DHCP協(xié)議的IP接入的方法����,其中����,所述步驟三中���,進(jìn)一步 包括當(dāng)所述用戶是在本地配置的用戶時,則所述認(rèn)證/授權(quán)/計費模塊進(jìn)行接入 服務(wù)器本地認(rèn)證�����;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時��,則所述認(rèn)證/授權(quán)/計費模塊組 織認(rèn)證請求信息通過Radius協(xié)議到Radius服務(wù)器上認(rèn)證�。為了實現(xiàn)上述目的�����,本發(fā)明提供了一種基于DHCP協(xié)議的IP接入的裝置���, 包括用戶終端��、DHCP客戶端向�����、接入設(shè)備��、接入服務(wù)器��,其特征在于�����,所述 用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報文���;所述接入設(shè) 備轉(zhuǎn)發(fā)所述DHCP發(fā)現(xiàn)報文至所述接入服務(wù)器��;所述接入服務(wù)器接收轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文����,從所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文 中讀出MAC地址和電路信息���,將所述MAC地址作為用戶名與所述電路信息 填入至認(rèn)證請求信息��,對所述認(rèn)證請求信息進(jìn)行認(rèn)證��,并在認(rèn)證通過后與所述 DHCP客戶端完成DHCP交互�����,所述用戶終端接入網(wǎng)絡(luò)�。所述的基于DHCP協(xié)議的IP接入的裝置,其中����,所述接入設(shè)備為接入交 換機(jī)或DSLAM設(shè)備。所述的基于DHCP協(xié)議的IP接入的裝置��,其中���,還包括認(rèn)證/授權(quán)/計費 模塊���,設(shè)置于所述接入服務(wù)器上,用于對所述認(rèn)證請求信息進(jìn)行認(rèn)證���。所述的基于DHCP協(xié)議的IP接入的裝置,其中����,所述認(rèn)證/授權(quán)/計費模塊 根據(jù)用戶的配置類型對所述認(rèn)證請求信息以不同方式進(jìn)行認(rèn)證當(dāng)所述用戶是在本地配置的用戶時,則進(jìn)行接入服務(wù)器本地認(rèn)證����;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時,則組織認(rèn)證請求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證��。本發(fā)明的有益技術(shù)效果與現(xiàn)有技術(shù)相比,本發(fā)明所提供的基于DHCP協(xié)議的IP接入寬帶網(wǎng)絡(luò)的 方法及其裝置��,通過DHCP獲取IP地址過程中完成用戶的接入認(rèn)證和授權(quán)��, 從而有效限制了非法用戶的接入�����,為運(yùn)營商廣泛開展IP接入提供一個很好技 術(shù)手段����。以下結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行詳細(xì)描述,但不作為對本發(fā)明的 限定���。
圖1是本發(fā)明基于DHCP協(xié)議的IP接入的方法流程圖���; 圖2是本發(fā)明基于DHCP協(xié)議的IP接入的裝置結(jié)構(gòu)圖。
具體實施方式
下面結(jié)合附圖和具體實施方式
對本發(fā)明的技術(shù)方案作進(jìn)一步更詳細(xì)的描述�����。如圖1所示����,是本發(fā)明基于DHCP協(xié)議的IP接入的方法流程圖����。該流程 描述了基于DHCP協(xié)議的IP接入方法����,具體包括以下各步驟步驟S101,用戶終端請求IP地址��,通過DHCP客戶端�����,向接入服務(wù)器發(fā) 送DHCP Discovery (發(fā)現(xiàn))報文����;步驟S102,當(dāng)該報文通過接入設(shè)備(如接入交換機(jī)或是DSLAM設(shè)備) 時��,接入設(shè)備在該報文的Option 82選項中填寫相關(guān)電路信息����。步驟S103�,接入服務(wù)器收到從接入交換機(jī)或是DSLAM設(shè)備轉(zhuǎn)發(fā)過來的 DHCP Discovery報文;步驟S104���,接入服務(wù)器判斷DHCP Discovery報文中是否攜帶Option 61 ���, 若攜帶�����,則進(jìn)入步驟S105;否則��,轉(zhuǎn)入步驟S108;步驟S105��,接入服務(wù)器將該報文中Option 61所攜帶的MAC地址和Option 82選項中的電路信息讀出來�,并向接入服務(wù)器的AAA模塊發(fā)送認(rèn)證請求信息��, i青求AAA (Authentication, Authorization, Accounting,認(rèn)i正/授豐又/i十費)牛莫塊 認(rèn)證����。該步驟中,由于每個主機(jī)的MAC地址是唯一���,所以將MAC地址作為接 入用戶的用戶名�����,和電路信息一起填入到認(rèn)證請求信息中�,再送到接入服務(wù)器 的AAA模塊進(jìn)行認(rèn)證。步驟S106��, AAA模塊接收認(rèn)證請求信息�,并對認(rèn)證請求信息進(jìn)行認(rèn)證, 若認(rèn)證通過�����,則進(jìn)行步驟S107;否則��,轉(zhuǎn)入步驟S108�。該步驟中,AAA模塊對認(rèn)證請求信息進(jìn)行認(rèn)證���,根據(jù)用戶的配置類型分 兩種情況進(jìn)行1) 當(dāng)用戶是在本地配置的用戶時��,則以接入服務(wù)器本地認(rèn)證��;2) 當(dāng)用戶是在Radius服務(wù)器上配置的用戶時�,則組織認(rèn)證請求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證�。無論是在本地配置的用戶還是在Radius服務(wù)器上配置的用戶,用戶名 (MAC地址)和電路信息要綁定�,通過SVLAN (Stack-VLAN��,可堆疊虛擬局域網(wǎng))技術(shù)可以保證用戶的電路信息的唯一。步驟S107�����,接入服務(wù)器會跟DHCP客戶端完成整個DHCP的交互��,此時 用戶接入網(wǎng)絡(luò)�����,可以上線��。步驟S108��,返回����,不給DHCP客戶端任何回應(yīng)。上述步驟都是以時間為順序的����,有先后依存關(guān)系。由于本發(fā)明只需MAC 地址和電路信息作為認(rèn)證請求信息��,而很多客戶端可以對主機(jī)的MAC做修改, 所以電路信息的唯一是安全的重要保證�,這樣可以防止用戶竊取到用戶MAC 地址而非法接入。如圖2所示���,是本發(fā)明基于DHCP協(xié)議的IP接入的裝置結(jié)構(gòu)圖����。該裝置 100包括用戶終端IO���、 DHCP客戶端20�、接入設(shè)備30���、接入服務(wù)器40��。用戶終端IO請求IP地址�����,通過DHCP客戶端20��,向接入服務(wù)器40發(fā)送 DHCP Discovery報文�,當(dāng)該報文通過接入設(shè)備30 (如接入交換機(jī)或是DSLAM 設(shè)備)時�,接入設(shè)備30在該報文的Option 82選項中填寫相關(guān)電路信息�����。接入服務(wù)器40檢查收到DHCP Discovery報文后,將該報文中Option 61 信息中的MAC地址��,及Option 82選項中的電路信息讀出來�,將MAC地址作 為用戶名,和電路信息一起填入到認(rèn)證請求信息中��,再將認(rèn)證請求信息送到接 入服務(wù)器40的AAA模塊41進(jìn)行認(rèn)證�����。接入服務(wù)器40的AAA模塊41收到認(rèn)證請求信息后��,分兩種情況1) 當(dāng)用戶是在本地配置的用戶時����,則接入服務(wù)器本地認(rèn)證;2) 當(dāng)用戶是在Radius服務(wù)器上配置的用戶時�����,則組織認(rèn)證請求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證�。無論是在本地配置的用戶還是在Radius服務(wù)器上配置的用戶,用戶名 (MAC地址)和電路信息要綁定,通過SVLAN技術(shù)可以保證用戶的電路信 息的唯一��。當(dāng)AAA模塊41對認(rèn)證請求信息認(rèn)證通過后����,接入服務(wù)器40會跟DHCP 客戶端20完成整個DHCP的交互,此時用戶就可以接入到網(wǎng)絡(luò)中�����。本發(fā)明通過將MAC地址和電路信息作為認(rèn)證請求信息��,因為電路信息的 唯一性���,所以有了安全的重要保證����,從而可以有效防止用戶竊取到用戶MAC 地址而非法接入���。當(dāng)然���,本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但 這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍����。
權(quán)利要求
1、一種基于DHCP協(xié)議的IP接入的方法�,其特征在于����,包括步驟一,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報文����;步驟二,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報文���,讀出轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文中的MAC地址和電路信息����,將所述MAC地址作為用戶名與所述電路信息填入至認(rèn)證請求信息���;步驟三���,所述接入服務(wù)器對所述認(rèn)證請求信息進(jìn)行認(rèn)證���,并在認(rèn)證通過后與所述DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)�。
2、 根據(jù)權(quán)利要求1所述的基于DHCP協(xié)議的IP接入的方法����,其特征在于, 所述步驟二中��,進(jìn)一步包括所述接入設(shè)備將所述電路信息填寫在所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文的Option 82選項中的步驟����。
3、 根據(jù)權(quán)利要求2所述的基于DHCP協(xié)議的IP接入的方法�����,其特征在于����, 所述步驟二中,進(jìn)一步包括所述接入服務(wù)器判斷所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文中是否攜帶Option 61 �����,若 是,則從所述Option 61中讀出所述MAC地址��,從所述Option 82選項讀出所 述電路信息�����;否則不回應(yīng)所述DHCP客戶端���。
4����、 根據(jù)權(quán)利要求l����、 2或3所述的基于DHCP協(xié)議的IP接入的方法�����,其 特征在于�,所述步驟三中,進(jìn)一步包括所述接入服務(wù)器通過認(rèn)證/授權(quán)/計費模塊對所述認(rèn)證請求信息進(jìn)行認(rèn)證的 步驟���。
5��、 根據(jù)權(quán)利要求4所述的基于DHCP協(xié)議的IP接入的方法����,其特征在于, 所述步驟三中�,進(jìn)一步包括所述認(rèn)證/授權(quán)/計費模塊根據(jù)用戶的配置類型對所述認(rèn)證請求信息以不同 方式進(jìn)行認(rèn)證的步驟。
6�����、 根據(jù)權(quán)利要求5所述的基于DHCP協(xié)議的IP接入的方法��,其特征在于����,所述步驟三中,進(jìn)一步包括當(dāng)所述用戶是在本地配置的用戶時���,則所述認(rèn)證/授權(quán)/計費模塊進(jìn)行接入 服務(wù)器本地認(rèn)證��;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時�����,則所述認(rèn)證/授權(quán)/計費模塊組 織認(rèn)證請求信息通過Radius協(xié)議到Radius服務(wù)器上認(rèn)證�。
7、 一種基于DHCP協(xié)議的IP接入的裝置���,包括用戶終端�、DHCP客戶端 向����、接入設(shè)備、接入服務(wù)器����,其特征在于,所述用戶終端通過DHCP客戶端 向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報文����;所述接入設(shè)備轉(zhuǎn)發(fā)所述DHCP發(fā)現(xiàn)報文 至所述接入服務(wù)器�����;所述接入服務(wù)器接收轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文��,從所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文 中讀出MAC地址和電路信息�����,將所述MAC地址作為用戶名與所述電路信息 填入至認(rèn)證請求信息,對所述認(rèn)證請求信息進(jìn)行認(rèn)證�����,并在認(rèn)證通過后與所述 DHCP客戶端完成DHCP交互��,所述用戶終端接入網(wǎng)絡(luò)��。
8�、 根據(jù)權(quán)利要求7所述的基于DHCP協(xié)議的IP接入的裝置,其特征在于��, 所述接入設(shè)備為接入交換機(jī)或DSLAM設(shè)備���。
9��、 根據(jù)權(quán)利要求7或8所述的基于DHCP協(xié)議的IP接入的裝置��,其特征 在于���,還包括認(rèn)證/授權(quán)/計費模塊,設(shè)置于所述接入服務(wù)器上,用于對所述 認(rèn)證請求信息進(jìn)行認(rèn)證�����。
10����、 根據(jù)權(quán)利要求9所述的基于DHCP協(xié)議的IP接入的裝置,其特征在 于���,所述認(rèn)證/授權(quán)/計費模塊根據(jù)用戶的配置類型對所述認(rèn)證請求信息以不同 方式進(jìn)行認(rèn)證當(dāng)所述用戶是在本地配置的用戶時���,則進(jìn)行接入服務(wù)器本地認(rèn)證;或 當(dāng)所述是在Radius服務(wù)器上配置的用戶時�����,則組織認(rèn)證請求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證���。
全文摘要
本發(fā)明公開了一種基于DHCP協(xié)議的IP接入的方法及其裝置����,其中該方法包括步驟一��,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報文�����;步驟二���,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報文���,讀出轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報文中的MAC地址和電路信息,將所述MAC地址作為用戶名與所述電路信息填入至認(rèn)證請求信息���;步驟三�����,所述接入服務(wù)器對所述認(rèn)證請求信息進(jìn)行認(rèn)證�����,并在認(rèn)證通過后與所述DHCP客戶端完成DHCP交互�,所述用戶終端接入網(wǎng)絡(luò)��。與現(xiàn)有技術(shù)相比��,本發(fā)明通過DHCP獲取IP地址過程中完成用戶的接入認(rèn)證和授權(quán),從而有效限制了非法用戶的接入����。
文檔編號H04L29/06GK101227481SQ200810057508
公開日2008年7月23日 申請日期2008年2月2日 優(yōu)先權(quán)日2008年2月2日
發(fā)明者新 王 申請人:中興通訊股份有限公司