專利名稱:基于802.1x協(xié)議的用戶ip地址的上傳方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)中用戶IP地址的獲取方法。
背景技術(shù):
目前在局域網(wǎng)中廣泛使用的IEEE 802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)訪問控制協(xié)議,用于在網(wǎng)絡(luò)設(shè)備的物理接入級(jí)對(duì)接入客戶端進(jìn)行認(rèn)證和控制。802.1X協(xié)議的體系結(jié)構(gòu)參考圖1,共有三個(gè)實(shí)體802.1X客戶端、802.1X設(shè)備端、認(rèn)證端。在802.1X設(shè)備端和認(rèn)證端的認(rèn)證服務(wù)器之間采用可擴(kuò)展的認(rèn)證協(xié)議(EAP)交換認(rèn)證信息。EAPoL是802.1X客戶端和802.1X設(shè)備端間的認(rèn)證協(xié)議。通常,在網(wǎng)絡(luò)的接入層設(shè)備需要實(shí)現(xiàn)802.1X的設(shè)備端部分;802.1X的客戶端安裝在用戶PC中;802.1X的認(rèn)證服務(wù)器系統(tǒng)一般駐留在運(yùn)營商的AAA(計(jì)費(fèi)、認(rèn)證和授權(quán))中心。在802.1X設(shè)備端內(nèi)部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPoL協(xié)議幀,可保證隨時(shí)接收和發(fā)送EAPoL協(xié)議幀。受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。目前,基于圖1所示體系結(jié)構(gòu)的802.1X設(shè)備端,按照802.1X標(biāo)準(zhǔn)的規(guī)定,使用收到的用戶側(cè)發(fā)起的EAPoL開始認(rèn)證(EAPoL-Start)報(bào)文觸發(fā)802.1X認(rèn)證。
但是由于IEEE 802.1X協(xié)議是一個(gè)二層的認(rèn)證協(xié)議,并且一般運(yùn)行在靠近用戶的二層以太網(wǎng)交換機(jī)上,即作為認(rèn)證端的以太網(wǎng)交換機(jī),由于二層以太網(wǎng)交換機(jī)不處理三層協(xié)議,同時(shí)由于在認(rèn)證過程中受控端口尚未開啟,所以用戶不可能具有IP地址(靜態(tài)配置除外),因此通常無法在802.1X認(rèn)證信息中附帶用戶的IP地址信息。但是IP地址信息作為明確要求的內(nèi)容,必須保存在計(jì)費(fèi)信息中,這使得目前的作為802.1X設(shè)備端的以太網(wǎng)交換機(jī)無法很好地滿足要求。
為解決上述問題,有人提出通過截獲動(dòng)態(tài)用戶使用的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)報(bào)文的方式,解決動(dòng)態(tài)申請(qǐng)IP地址環(huán)境下的用戶IP地址信息問題。由于動(dòng)態(tài)用戶認(rèn)證成功后,要發(fā)類似DHCP報(bào)文的報(bào)文去動(dòng)態(tài)獲取IP地址,這樣,以太網(wǎng)交換機(jī)捕獲到該報(bào)文即可獲得IP地址,根據(jù)用戶的MAC地址對(duì)應(yīng)到基于802.1X協(xié)議的認(rèn)證連接,然后將用戶IP地址提交給該連接,從而解決在計(jì)費(fèi)信息中附帶用戶IP地址的問題。但是對(duì)于靜態(tài)用戶來說,用戶不會(huì)發(fā)送DHCP報(bào)文,也就無法獲取用戶IP地址,因此該方法沒有解決靜態(tài)用戶的計(jì)費(fèi)信息中IP地址的附帶問題。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于802.1X協(xié)議的用戶IP地址的上傳方法,使用該方法能夠同時(shí)解決計(jì)費(fèi)信息中動(dòng)態(tài)用戶和靜態(tài)用戶的IP地址的附帶問題。
為達(dá)到上述目的,本發(fā)明提供的基于802.1X協(xié)議的用戶IP地址的上傳方法,包括步驟1在用戶認(rèn)證成功后,客戶端判斷用戶IP地址的獲取方式,如果為動(dòng)態(tài)獲取,激活用戶的動(dòng)態(tài)IP地址獲取過程,并獲取利用該過程得到的用戶IP地址;如果為靜態(tài)獲取,則直接獲取用戶的IP地址;步驟2客戶端將獲得的用戶IP地址附加在與作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到以太網(wǎng)交換機(jī)。
當(dāng)客戶端與作為設(shè)備端的以太網(wǎng)交換機(jī)之間的通信協(xié)議不支持用戶IP地址的承載時(shí),擴(kuò)展該協(xié)議的報(bào)文內(nèi)容,使其能夠承載用戶IP地址。
當(dāng)所述通信協(xié)議為可擴(kuò)展認(rèn)證協(xié)議(EAP)時(shí),所述擴(kuò)展該協(xié)議的報(bào)文內(nèi)容,是在該協(xié)議的數(shù)據(jù)(Data)域中擴(kuò)展一個(gè)新的類型(Type),用于承載用戶的IP地址。
所述激活用戶的動(dòng)態(tài)IP地址獲取過程,為激活基于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)的IP地址配置過程。
所述方法還包括客戶端定時(shí)檢測(cè)用戶本機(jī)IP地址是否發(fā)生變化,當(dāng)發(fā)生變化時(shí),客戶端將獲得的用戶IP地址附加在與作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到設(shè)備端以太網(wǎng)交換機(jī)。
設(shè)備端以太網(wǎng)交換機(jī)端解析客戶端反饋的握手回應(yīng)報(bào)文,如果發(fā)現(xiàn)用戶的IP地址已經(jīng)改變,則將該變化的用戶IP地址保存到用戶的網(wǎng)絡(luò)計(jì)費(fèi)信息中。
上述將變化的用戶IP地址保存到用戶的網(wǎng)絡(luò)計(jì)費(fèi)信息中,是設(shè)備端以太網(wǎng)交換機(jī)將該用戶IP地址傳送到認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器中,由認(rèn)證計(jì)費(fèi)服務(wù)器將該用戶的IP地址保存到用戶的上網(wǎng)記錄的計(jì)費(fèi)信息中。
上述握手回應(yīng)報(bào)文為監(jiān)視網(wǎng)絡(luò)用戶是否在線的報(bào)文。
由于本發(fā)明在用戶認(rèn)證成功后,對(duì)于動(dòng)態(tài)IP用戶,通過再次激活用戶的動(dòng)態(tài)IP地址獲取過程,獲取利用該過程得到的用戶IP地址;對(duì)于靜態(tài)IP用戶,如果為靜態(tài)獲取,則直接獲取用戶的IP地址,然后將上述用戶IP地址附加在與作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到以太網(wǎng)交換機(jī),上述方案不需要對(duì)作為設(shè)備端的以太網(wǎng)交換機(jī)做任何修改,并且將獲取IP地址的過程限制在802.1X協(xié)議處理過程中,滿足靜態(tài)、動(dòng)態(tài)分配IP地址的情況下IP地址的上傳問題。
圖1是802.1X協(xié)議的體系結(jié)構(gòu)圖;
圖2是本發(fā)明采用的EPA報(bào)文格式;圖3是本發(fā)明所述方法實(shí)施例流程圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)的描述。
在圖1所示的基于802.1X協(xié)議的體系結(jié)構(gòu)中,對(duì)上網(wǎng)用戶的網(wǎng)絡(luò)在線過程進(jìn)行跟蹤通常通過對(duì)在線用戶的IP地址監(jiān)視實(shí)現(xiàn),因此就需要在網(wǎng)絡(luò)對(duì)用戶的管理信息中體現(xiàn)出對(duì)用戶IP地址的監(jiān)視過程,這就需要將用戶的IP地址也作為用戶的管理信息的一部分進(jìn)行管理。為實(shí)現(xiàn)上述要求,一種簡(jiǎn)單的方法就是將用戶網(wǎng)絡(luò)在線過程中的IP地址隨用戶的計(jì)費(fèi)信息一同保存起來。這是因?yàn)樵谟脩舻木W(wǎng)絡(luò)在線過程中,對(duì)用戶的計(jì)費(fèi)過程是一個(gè)持續(xù)的過程,在對(duì)用戶計(jì)費(fèi)的過程中,需要不斷地對(duì)用戶的網(wǎng)絡(luò)在線狀況進(jìn)行監(jiān)視,因此通過上述監(jiān)視過程就可以及時(shí)將用戶的IP地址傳送到作為802.1X設(shè)備端的以太網(wǎng)交換機(jī)中,進(jìn)而將IP地址傳送到認(rèn)證端的計(jì)費(fèi)服務(wù)器中,與計(jì)費(fèi)信息一同保存。
本發(fā)明的實(shí)質(zhì)就是解決上述過程中,將通過對(duì)用戶的計(jì)費(fèi)監(jiān)視過程中獲得的動(dòng)態(tài)獲取IP地址和靜態(tài)配置IP的情況下用戶IP地址信息的上送問題,即如何將獲得的IP地址從802.1X客戶端上傳到作為802.1X設(shè)備端的以太網(wǎng)交換機(jī)的問題。
為解決上述問題,需要實(shí)現(xiàn)下述幾個(gè)環(huán)節(jié)的任務(wù),一是在客戶端采用什么方式獲取IP地址,二是采用什么手段將IP地址上傳到以太網(wǎng)交換機(jī),三是何時(shí)將IP地址上傳。
對(duì)于上述第一個(gè)任務(wù),可以通過采用客戶端的API函數(shù)實(shí)現(xiàn)。API函數(shù)在客戶端被用于獲取本機(jī)的IP地址。因此采用API函數(shù),就可以獲取客戶端本機(jī)的IP地址。若用戶在客戶端設(shè)置為動(dòng)態(tài)獲取IP地址的方式,則激活動(dòng)態(tài)獲取IP地址的過程,假設(shè)用戶采用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)獲取IP地址,則激活該DHCP過程,當(dāng)該DHCP有反饋結(jié)果后,再通過API函數(shù)獲取客戶端本機(jī)的IP地址。之所以采用激活DHCP的過程的方式,是因?yàn)榭蛻舳酥鳈C(jī)在開機(jī)后的首次DHCP過程在用戶認(rèn)證未通過時(shí),802.1X設(shè)備端的非受控端口還沒有被接通,因此不可能獲取到IP地址。即使在用戶認(rèn)證通過后,由于客戶端主機(jī)是否再次激活DHCP過程或者激活該過程后能否及時(shí)獲取IP地址具有很多未確定因素,因此只能通過再次激活DHCP過程才可能一定獲取到IP地址。若用戶在客戶端設(shè)置為靜態(tài)IP地址的方式,則認(rèn)證成功后馬上通過API函數(shù)獲取本機(jī)的IP地址。
對(duì)于上述第二個(gè)任務(wù),即采用什么手段將IP地址上傳到以太網(wǎng)交換機(jī),本發(fā)明提供了下述方案通過802.1X客戶端和802.1X設(shè)備之間的通信協(xié)議報(bào)文上傳IP地址,如果該協(xié)議不具有IP地址的承載功能,則對(duì)其進(jìn)行擴(kuò)展。以目前常用的EAP協(xié)議報(bào)文為例,擴(kuò)展EAP報(bào)文的內(nèi)容,通過上述擴(kuò)展的內(nèi)容上傳IP地址。EAP是對(duì)PPP(點(diǎn)對(duì)點(diǎn)協(xié)議)的擴(kuò)展,它是一種通用的認(rèn)證協(xié)議,支持多種認(rèn)證機(jī)制,例如MD5-challenge、TLS等等。當(dāng)PPP幀中的protocol(協(xié)議)域表明協(xié)議類型為PPP EAP時(shí),則在PPP數(shù)據(jù)鏈路層幀的Information(消息)域中封裝且僅封裝一個(gè)PPP EAP報(bào)文。EAP報(bào)文的格式如圖2所示,傳輸時(shí)各域從左到右依次傳輸。其中Code(代碼)域,占用一個(gè)字節(jié),用于標(biāo)識(shí)EAP報(bào)文的類型,具體報(bào)文類型為Request(請(qǐng)求)、Response(響應(yīng))、Success(成功)、Failure(失敗);Identifier(識(shí)別符)域,該域占用一個(gè)字節(jié),用于將Code域的Request(請(qǐng)求)和Response(響應(yīng))對(duì)應(yīng)起來,并且Identifier與設(shè)備的端口共同標(biāo)識(shí)一個(gè)唯一的認(rèn)證進(jìn)程;Length(長度)域,該域占用兩個(gè)字節(jié),用于說明EAP報(bào)文的長度(包括Code、Identifier、Length和Data域);Data(數(shù)據(jù))域,該域占用零個(gè)或多個(gè)字節(jié),該域采用的格式與Code域的類型值相關(guān)。
上述Data域包括Type(類型)和Type-Data(類型數(shù)據(jù))兩部分,而Type-Data又包括Vlue-Size(值大小)、Vlue(值)、Name(名稱)三部分。Type域占用一個(gè)字節(jié),主要定義了各種認(rèn)證機(jī)制。例如,在ITEF RFC2284(ITEFInternet Engineering Task Force因特網(wǎng)工程師任務(wù)組,RFCRequest For Comments,請(qǐng)求注解,Internet標(biāo)準(zhǔn)(草案))版本中,Type的取值包括下列的前6種,根據(jù)需要,中國國家標(biāo)準(zhǔn)有對(duì)其進(jìn)行了擴(kuò)展,增加了第7、8、13三種類型值。具體為1、Identity(身份);2、Notification(通知);3、Nak(Responseonly)(無應(yīng)答);4、MD5-Challenge(MD5加密盤問碼);5、One-TimePassword(OTP)(一次性口令);6、Generic Token Card(通用Token卡);7、PAP(一種認(rèn)證協(xié)議);8、CauseCode(原因碼);13、TLS(傳輸層安全)其中類型值1~2、4~7、13適用于Requset和Respone報(bào)文,類型值3只適用于Response報(bào)文,類型值8只適用于Failure報(bào)文。
上述Type域是一個(gè)可擴(kuò)展的域,本發(fā)明就是利用了該域的可擴(kuò)展性,通過擴(kuò)展該域的類型,用其實(shí)現(xiàn)客戶端IP地址的上傳。對(duì)該域的擴(kuò)展可以采用多種類型值,考慮到兼容性,本發(fā)明將該域其再擴(kuò)展一個(gè)類型100ClientIP(客戶端IP地址),用于承載用戶的IP地址。當(dāng)然上述類型值并僅限于100,也可以是其它值,如80。
對(duì)于上述第三個(gè)任務(wù),即何時(shí)將IP地址上傳。由于實(shí)際IP地址的獲取時(shí)間是不確定的,而只有獲取到IP地址才可能實(shí)現(xiàn)上傳,因此上傳的時(shí)機(jī)是在獲得IP地址后的任何客戶端發(fā)送給以太網(wǎng)交換機(jī)的報(bào)文的發(fā)送時(shí)刻。也就是說,在客戶端正確獲取到用戶的IP地址后,將其填充在發(fā)送給以太網(wǎng)交換機(jī)的任何握手回應(yīng)報(bào)文中,發(fā)送到該以太網(wǎng)交換機(jī)。例如采用監(jiān)視用戶是否網(wǎng)絡(luò)在線的握手報(bào)文。
圖3是本發(fā)明所述方法實(shí)施例流程圖。圖3所示的實(shí)施例中,動(dòng)態(tài)IP地址用戶通過DHCP過程獲取IP地址,并且用戶的認(rèn)證計(jì)費(fèi)信息保存在認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器中。按照?qǐng)D3,首先用戶在步驟1上網(wǎng)初始時(shí)通過EAPoL報(bào)文觸發(fā)802.1X設(shè)備端的802.1X協(xié)議認(rèn)證,即,EAPoL報(bào)文被透?jìng)鞯阶鳛?02.1X設(shè)備端的以太網(wǎng)交換機(jī),然后由以太網(wǎng)交換機(jī)將用戶的認(rèn)證信息與認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器進(jìn)行認(rèn)證。然后在步驟2判斷上述認(rèn)證是否通過,如果未通過,結(jié)束操作,否則在步驟3判斷認(rèn)證通過的用戶是否為動(dòng)態(tài)IP地址的用戶,如果是,激活DHCP過程獲取IP地址,在該過程結(jié)束后,在步驟6通過客戶端的API函數(shù)獲取用戶的動(dòng)態(tài)IP地址;如果經(jīng)步驟3的判斷得知該用戶為靜態(tài)IP地址用戶,則在步驟6利用API函數(shù)直接獲取該用戶的IP地址;接著將上述獲取到的IP地址在步驟7利用擴(kuò)展后的基于EAP的握手報(bào)文將用戶的IP地址傳送到設(shè)備端的以太網(wǎng)交換機(jī),由該以太網(wǎng)交換機(jī)在步驟8再將用戶的IP地址傳送到認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器中的上網(wǎng)記錄中保存。在用戶的網(wǎng)絡(luò)在線過程中,由于用戶的IP地址可能發(fā)生變化,例如用戶上網(wǎng)期間運(yùn)行IP地址獲取程序,如目前windows系統(tǒng)下的winipcfg.exe、ipconfig.exe等程序可以重新獲取IP地址,由于IP地址的分配是隨機(jī)的,重新獲取后也可能改變,因此客戶端在步驟9定時(shí)檢測(cè)用戶本機(jī)IP地址的變化,如果發(fā)現(xiàn)改變,則利用擴(kuò)展后的EAP握手報(bào)文承載該變化的用戶IP地址,將其傳送到設(shè)備端的以太網(wǎng)交換機(jī),進(jìn)而由以太網(wǎng)交換機(jī)將該變化的IP地址傳送到認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器的上網(wǎng)記錄中保存。
權(quán)利要求
1.一種基于802.1X協(xié)議的用戶IP地址的上傳方法,包括步驟1在用戶認(rèn)證成功后,客戶端判斷用戶IP地址的獲取方式,如果為動(dòng)態(tài)獲取,激活用戶的動(dòng)態(tài)IP地址獲取過程,并獲取利用該過程得到的用戶IP地址;如果為靜態(tài)獲取,則直接獲取用戶的IP地址;步驟2客戶端將獲得的用戶IP地址附加在與作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到以太網(wǎng)交換機(jī)。
2.根據(jù)權(quán)利要求1所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,當(dāng)客戶端與作為設(shè)備端的以太網(wǎng)交換機(jī)之間的通信協(xié)議不支持用戶IP地址的承載時(shí),擴(kuò)展該協(xié)議的報(bào)文內(nèi)容,使其能夠承載用戶IP地址。
3.根據(jù)權(quán)利要求2所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述通信協(xié)議為可擴(kuò)展認(rèn)證協(xié)議(EAP)時(shí),所述擴(kuò)展該協(xié)議的報(bào)文內(nèi)容,是在該協(xié)議的數(shù)據(jù)(Data)域中擴(kuò)展一個(gè)新的類型(Type),用于承載用戶的IP地址。
4.根據(jù)權(quán)利要求1所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述激活用戶的動(dòng)態(tài)IP地址獲取過程,為激活基于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)的IP地址配置過程。
5.根據(jù)權(quán)利要求1、2、3或4所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述方法還包括客戶端定時(shí)檢測(cè)用戶本機(jī)IP地址是否發(fā)生變化,當(dāng)發(fā)生變化時(shí),客戶端將獲得的用戶IP地址附加在發(fā)送給作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到設(shè)備端以太網(wǎng)交換機(jī)。
6.根據(jù)權(quán)利要求5所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述方法還包括設(shè)備端以太網(wǎng)交換機(jī)端解析客戶端反饋的握手回應(yīng)報(bào)文,如果發(fā)現(xiàn)用戶的IP地址已經(jīng)改變,則將該變化的用戶IP地址保存到用戶的網(wǎng)絡(luò)計(jì)費(fèi)信息中。
7.根據(jù)權(quán)利要求6所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述將變化的用戶IP地址保存到用戶的網(wǎng)絡(luò)計(jì)費(fèi)信息中,是設(shè)備端以太網(wǎng)交換機(jī)將該用戶IP地址傳送到認(rèn)證端的認(rèn)證計(jì)費(fèi)服務(wù)器中,由認(rèn)證計(jì)費(fèi)服務(wù)器將該用戶的IP地址保存到用戶的上網(wǎng)記錄的計(jì)費(fèi)信息中。
8.根據(jù)權(quán)利要求5所述的基于802.1X協(xié)議的用戶IP地址的上傳方法,其特征在于,所述握手回應(yīng)報(bào)文為監(jiān)視網(wǎng)絡(luò)用戶是否在線的報(bào)文。
全文摘要
本發(fā)明公開了一種基于802.1X協(xié)議的用戶IP地址的上傳方法,該方法在用戶認(rèn)證成功后,客戶端判斷用戶IP地址的獲取方式,如果為動(dòng)態(tài)獲取,激活用戶的動(dòng)態(tài)IP地址獲取過程,并獲取利用該過程得到的用戶IP地址;如果為靜態(tài)獲取,則直接獲取用戶的IP地址,然后客戶端將獲得的用戶IP地址附加在與作為設(shè)備端的以太網(wǎng)交換機(jī)的握手回應(yīng)報(bào)文中上傳到以太網(wǎng)交換機(jī),并保存到用戶的網(wǎng)絡(luò)計(jì)費(fèi)信息中;上述方案不需要對(duì)作為設(shè)備端的以太網(wǎng)交換機(jī)做任何修改,并且將獲取IP地址的過程限制在802.1X協(xié)議處理過程中,滿足靜態(tài)、動(dòng)態(tài)分配IP地址的情況下IP地址的上傳問題。
文檔編號(hào)H04L12/28GK1503519SQ02154610
公開日2004年6月9日 申請(qǐng)日期2002年11月26日 優(yōu)先權(quán)日2002年11月26日
發(fā)明者羅漢軍, 鄒婷, 魏其禮, 湯杰成 申請(qǐng)人:華為技術(shù)有限公司