一種用于dhcp協(xié)議輔助計(jì)費(fèi)的系統(tǒng)及其輔助計(jì)費(fèi)方法

一種用于dhcp協(xié)議輔助計(jì)費(fèi)的系統(tǒng)及其輔助計(jì)費(fèi)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于動(dòng)態(tài)主機(jī)配置協(xié)議DHCP(Dynamic Host Configurat1nProtocol)輔助計(jì)費(fèi)的系統(tǒng)及其輔助計(jì)費(fèi)方法，屬于網(wǎng)絡(luò)安全管理的技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]DHCP協(xié)議是一種使得網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配因特網(wǎng)協(xié)議IPdnternet Protocol)地址的通信協(xié)議，在IP網(wǎng)絡(luò)中，每個(gè)接入網(wǎng)絡(luò)的設(shè)備均需要給其分配唯一的IP地址。DHCP協(xié)議使網(wǎng)絡(luò)管理員可以在中心節(jié)點(diǎn)管理IP地址的分配。當(dāng)DHCP客戶(hù)端需要獲取IP地址時(shí)，首先需要尋找DHCP服務(wù)器，以便接收DHCP服務(wù)器為該DHCP客戶(hù)端分配的IP地址、網(wǎng)關(guān)、域名系統(tǒng)DNS (Domain Name System)以及其他網(wǎng)絡(luò)配置參數(shù)等信息。
[0003]現(xiàn)有的IP網(wǎng)絡(luò)中，使用DHCP服務(wù)器為接入網(wǎng)絡(luò)的DHCP客戶(hù)端提供IP地址已經(jīng)被廣泛采納和應(yīng)用，典型的DHCP組網(wǎng)架構(gòu)如圖1所示。在圖1所示的DHCP組網(wǎng)系統(tǒng)中，設(shè)有DHCP客戶(hù)端和DHCP服務(wù)器兩類(lèi)網(wǎng)元。其中，DHCP客戶(hù)端為用戶(hù)終端，DHCP服務(wù)器為提供DHCP服務(wù)的網(wǎng)絡(luò)設(shè)備(如:交換機(jī)、路由器)或運(yùn)行DHCP服務(wù)端程序的專(zhuān)用服務(wù)器。
[0004]該系統(tǒng)中的DHCP客戶(hù)端與DHCP服務(wù)器的交互過(guò)程為:
[0005](I) DHCP客戶(hù)端發(fā)送DHCP發(fā)現(xiàn)(DHCPDISCOVER)報(bào)文，尋找網(wǎng)絡(luò)中的DHCP服務(wù)器，并請(qǐng)求IP地址；
[0006]⑵DHCP服務(wù)器接收到該發(fā)現(xiàn)報(bào)文后，為該DHCP客戶(hù)端保留一個(gè)IP地址，并回復(fù)DHCP 提供(DHCPOFFER)報(bào)文；
[0007](3)DHCP客戶(hù)端接收到提供報(bào)文后，向服務(wù)器發(fā)送DHCP請(qǐng)求(DHCPREQUEST)廣播報(bào)文，請(qǐng)求使用前述提供報(bào)文中攜帶的IP地址；
[0008](4)服務(wù)器接收到請(qǐng)求報(bào)文后，給DHCP客戶(hù)端回復(fù)DHCP確認(rèn)(DHCPACK)報(bào)文，允許該DHCP客戶(hù)端可以使用前述IP地址；
[0009](5)DHCP客戶(hù)端接收到確認(rèn)報(bào)文，確認(rèn)該IP地址租用合法后，就使用該IP地址作為網(wǎng)絡(luò)通信地址。
[0010](6)若DHCP客戶(hù)端不需要使用IP地址時(shí)，可以向DHCP服務(wù)器發(fā)送DHCP釋放(DHCPRELEASE)報(bào)文，通知服務(wù)器不再使用該報(bào)文中攜帶的IP地址。
[0011]認(rèn)證、授權(quán)、計(jì)費(fèi)AAA (Authenticat1n、Authorizat1n、Accounting)服務(wù)器是網(wǎng)絡(luò)安全管理機(jī)制中的一種網(wǎng)元設(shè)備，為客戶(hù)端提供認(rèn)證、授權(quán)和計(jì)費(fèi)三種網(wǎng)絡(luò)安全管理功能。該AAA服務(wù)器采用客戶(hù)端/服務(wù)器模型，客戶(hù)端運(yùn)行在網(wǎng)絡(luò)接入服務(wù)器NAS (NetworkAccess Server)上，由AAA服務(wù)器集中管理客戶(hù)端信息。
[0012]現(xiàn)有的IP計(jì)費(fèi)網(wǎng)絡(luò)(包括按流量計(jì)費(fèi)或按在線時(shí)長(zhǎng)計(jì)費(fèi)兩種類(lèi)型)中，普遍使用入口 Portal協(xié)議配合AAA服務(wù)器進(jìn)行客戶(hù)端的認(rèn)證、授權(quán)和計(jì)費(fèi)，這也是目前通用的解決方案，典型的計(jì)費(fèi)網(wǎng)絡(luò)的組網(wǎng)方式中，設(shè)有:NAS裝置、Portal服務(wù)器和AAA服務(wù)器，以及經(jīng)由NAS連接外部Internet網(wǎng)絡(luò)。(參見(jiàn)圖2所示)。其中，認(rèn)證客戶(hù)端為用戶(hù)終端計(jì)算機(jī)。NAS裝置是路由器、計(jì)費(fèi)網(wǎng)關(guān)等關(guān)口設(shè)備的統(tǒng)稱(chēng)，其作用是在認(rèn)證客戶(hù)端完成認(rèn)證之前將其所有超文本傳輸協(xié)議HTTP請(qǐng)求重定向到Portal服務(wù)器，并在客戶(hù)端認(rèn)證過(guò)程中，通過(guò)與Portal服務(wù)器和AAA服務(wù)器的交互，完成認(rèn)證客戶(hù)端的身份認(rèn)證、安全認(rèn)證、以及計(jì)費(fèi)的功能；并在客戶(hù)端認(rèn)證通過(guò)后，允許客戶(hù)端訪問(wèn)被授權(quán)的Internet資源。Portal服務(wù)器為接收認(rèn)證客戶(hù)端認(rèn)證請(qǐng)求的服務(wù)器，提供WEB門(mén)戶(hù)和認(rèn)證界面，還與NAS裝置交互認(rèn)證客戶(hù)端的認(rèn)證信息。NAS裝置通過(guò)與AAA服務(wù)器進(jìn)行交互，完成對(duì)認(rèn)證客戶(hù)端的認(rèn)證與計(jì)費(fèi)。
[0013]上述的認(rèn)證客戶(hù)端、NAS裝置、Portal服務(wù)器和AAA服務(wù)器的交互過(guò)程為:
[0014](I)認(rèn)證客戶(hù)端在未認(rèn)證時(shí)，通過(guò)在瀏覽器輸入一個(gè)互聯(lián)網(wǎng)統(tǒng)一資源定位符URL地址，將該HTTP請(qǐng)求在經(jīng)過(guò)NAS裝置時(shí)被重定向到Portal服務(wù)器的WEB認(rèn)證網(wǎng)頁(yè)上。
[0015](2)認(rèn)證客戶(hù)端在瀏覽器中輸入的認(rèn)證信息，被提交給Portal服務(wù)器；Portal服務(wù)器接收到該認(rèn)證信息后，將其發(fā)送給NAS裝置。
[0016](3) NAS裝置與AAA服務(wù)器通信，將該認(rèn)證客戶(hù)端的認(rèn)證信息發(fā)送給AAA服務(wù)器，以便由AAA服務(wù)器對(duì)客戶(hù)端執(zhí)行認(rèn)證和計(jì)費(fèi)。
[0017](4)認(rèn)證通過(guò)后，NAS裝置打開(kāi)認(rèn)證客戶(hù)端與Internet的通路，允許認(rèn)證客戶(hù)端訪問(wèn) Internet。
[0018](5)認(rèn)證客戶(hù)端結(jié)束Internet訪問(wèn)時(shí)，訪問(wèn)Portal服務(wù)器注銷(xiāo)頁(yè)面，提交結(jié)束訪問(wèn)請(qǐng)求后，Portal服務(wù)器通知NAS裝置斷開(kāi)該認(rèn)證客戶(hù)端與Internet的通路，禁止該認(rèn)證客戶(hù)端訪問(wèn)Internet。同時(shí)，NAS裝置通知AAA服務(wù)器結(jié)束對(duì)認(rèn)證客戶(hù)端的計(jì)費(fèi)。
[0019]此外，如果認(rèn)證客戶(hù)端未主動(dòng)注銷(xiāo)Internet連接(例如，認(rèn)證客戶(hù)端直接斷開(kāi)網(wǎng)絡(luò)連接、關(guān)閉操作系統(tǒng)、移動(dòng)客戶(hù)端關(guān)閉無(wú)線網(wǎng)絡(luò)WIFI等)，NAS裝置可在設(shè)定的空閑時(shí)間達(dá)到超時(shí)后，主動(dòng)斷開(kāi)認(rèn)證客戶(hù)端與Internet的通路，并通知AAA服務(wù)器停止對(duì)認(rèn)證客戶(hù)端的計(jì)費(fèi)。
[0020]基于上述分析，目前對(duì)認(rèn)證客戶(hù)端停止計(jì)費(fèi)管理的操作流程存在如下缺點(diǎn):
[0021]認(rèn)證客戶(hù)端在不需要使用網(wǎng)絡(luò)時(shí)，必須主動(dòng)注銷(xiāo)后，才能確保停止計(jì)費(fèi)和網(wǎng)絡(luò)訪問(wèn)授權(quán)。如果因?yàn)槟承┰蛭茨苤鲃?dòng)注銷(xiāo)，認(rèn)證客戶(hù)端原來(lái)使用的IP地址在設(shè)定的空閑超時(shí)時(shí)間內(nèi)仍然具備訪問(wèn)Internet的能力。
[0022]在現(xiàn)有的計(jì)費(fèi)網(wǎng)絡(luò)環(huán)境中，IP地址可通過(guò)DHCP服務(wù)器再次分配給其它認(rèn)證客戶(hù)端使用。在設(shè)定的空閑超時(shí)時(shí)間內(nèi)，獲得這個(gè)IP地址的新認(rèn)證客戶(hù)端此時(shí)不經(jīng)過(guò)計(jì)費(fèi)認(rèn)證過(guò)程，就能夠直接訪問(wèn)Internet資源，并持續(xù)使用之。這就造成原認(rèn)證客戶(hù)端的網(wǎng)絡(luò)訪問(wèn)授權(quán)遭到冒用。同時(shí)，該冒用IP地址的新認(rèn)證客戶(hù)端的上網(wǎng)流量也可能被記入原來(lái)的用戶(hù)賬號(hào)，造成計(jì)費(fèi)偏差，嚴(yán)重影響計(jì)費(fèi)的準(zhǔn)確度，使得用戶(hù)利益受到損失。
[0023]上述兩個(gè)缺陷必須盡快解決之，以使網(wǎng)絡(luò)的運(yùn)行與管理能夠保證安全、可靠與計(jì)費(fèi)精準(zhǔn)無(wú)誤。

【發(fā)明內(nèi)容】

[0024]有鑒于此，本發(fā)明的目的是提供一種DHCP輔助計(jì)費(fèi)的系統(tǒng)及其工作方法，本發(fā)明系統(tǒng)中的各個(gè)認(rèn)證客戶(hù)端分別與NAS裝置、計(jì)費(fèi)網(wǎng)關(guān)等網(wǎng)元進(jìn)行交互，可以在認(rèn)證客戶(hù)端未主動(dòng)注銷(xiāo)時(shí)，完成對(duì)認(rèn)證客戶(hù)端計(jì)費(fèi)的終止和網(wǎng)絡(luò)訪問(wèn)授權(quán)的停止，較好地解決了網(wǎng)絡(luò)授權(quán)可能遭到冒用的問(wèn)題，同時(shí)實(shí)現(xiàn)準(zhǔn)確的計(jì)費(fèi)。
[0025]為了達(dá)到上述目的，本發(fā)明提供了一種用于DHCP協(xié)議輔助計(jì)費(fèi)的系統(tǒng)，設(shè)有??認(rèn)證客戶(hù)端、NAS裝置、Portal服務(wù)器和AAA服務(wù)器；其特征在于:該系統(tǒng)中還設(shè)有:結(jié)構(gòu)改進(jìn)而增加輔助計(jì)費(fèi)功能的輔助計(jì)費(fèi)DHCP服務(wù)器；其中:
[0026]輔助計(jì)費(fèi)DHCP服務(wù)器，用于為認(rèn)證客戶(hù)端提供基于DHCP協(xié)議的IP地址的分配租用與釋放的管理服務(wù)，即對(duì)認(rèn)證客戶(hù)端對(duì)IP地址的租用與釋放事件進(jìn)行分析，判斷IP地址的租用者的變化，并分別與Portal服務(wù)器、AAA服務(wù)器和NAS裝置進(jìn)行交互，實(shí)現(xiàn)相關(guān)事件與計(jì)費(fèi)的聯(lián)動(dòng)操作；該服務(wù)器設(shè)有:DHCP協(xié)議處理模塊、分析模塊、聯(lián)動(dòng)模塊和記錄模塊；
[0027]認(rèn)證客戶(hù)端，為用戶(hù)終端電腦或智能手機(jī)，負(fù)責(zé)運(yùn)行內(nèi)置的DHCP協(xié)議客戶(hù)端功能模塊，向輔助計(jì)費(fèi)DHCP服務(wù)器發(fā)起包括接入網(wǎng)絡(luò)的DHCP IP地址請(qǐng)求報(bào)文或結(jié)束網(wǎng)絡(luò)訪問(wèn)的DHCP IP地址釋放報(bào)文，以獲取對(duì)IP地址的租用與釋放；
[0028]NAS裝置，為包括路由器和計(jì)費(fèi)網(wǎng)關(guān)的各種網(wǎng)絡(luò)關(guān)口設(shè)備的統(tǒng)稱(chēng)，用于在認(rèn)證客戶(hù)端完成認(rèn)證以前，將其所有HTTP請(qǐng)求重定向到Portal服務(wù)器；并在客戶(hù)端的認(rèn)證過(guò)程中