專利名稱:一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng)和方法。
背景技術(shù):
傳統(tǒng)的上網(wǎng)業(yè)務(wù)獲取IP地址的方式通常采用PPP(點(diǎn)到點(diǎn)協(xié)議)方式實(shí)現(xiàn),并需要由AAA服務(wù)器對(duì)接入用戶完成認(rèn)證,并分配IP地址。AAA服務(wù)器一般為RADIUS(遠(yuǎn)程認(rèn)證)服務(wù)器,也可能為其他認(rèn)證服務(wù)器。PPP協(xié)議底層通常由以太網(wǎng)承載,如PPPoE協(xié)議,也可由ATM承載。
隨著ADSL(非對(duì)稱數(shù)字用戶線)、以太網(wǎng)等接入技術(shù)的成熟,寬帶接入越來越普及,在寬帶接入網(wǎng)開展的IPTV(IP電視)視頻和VoIP(基于IP的語音)話音業(yè)務(wù)也越來越多,這些業(yè)務(wù)需要專用的終端,如視頻業(yè)務(wù)使用STB(機(jī)頂盒),話音業(yè)務(wù)使用IAD(綜合接入設(shè)備),這些終端獲取IP地址的方式一般采用DHCP(Dynamic Host Configuration Protocol動(dòng)態(tài)主機(jī)配置協(xié)議)。
通過RADIUS服務(wù)器進(jìn)行認(rèn)證,以及通過DHCP服務(wù)器獲取IP地址信息的網(wǎng)絡(luò)通信系統(tǒng)結(jié)構(gòu)如圖1所示,其中PPPoE在以太網(wǎng)上承載點(diǎn)到點(diǎn)協(xié)議,通過PPPoE協(xié)議,網(wǎng)絡(luò)設(shè)備可以對(duì)上網(wǎng)用戶的用戶名和密碼進(jìn)行認(rèn)證并分配IP地址。
DHCP動(dòng)態(tài)主機(jī)配置協(xié)議,用于動(dòng)態(tài)自動(dòng)配置計(jì)算機(jī)的IP地址等參數(shù),使用DHCP協(xié)議的計(jì)算機(jī)開機(jī)后,可以從DHCP服務(wù)器得到IP地址等上網(wǎng)所需的參數(shù),避免手工配置的繁瑣工作。
RADIUS服務(wù)器遠(yuǎn)程撥入用戶驗(yàn)證服務(wù)器,用于管理用戶的帳號(hào)和密碼,完成對(duì)接入用戶的認(rèn)證。
DHCP服務(wù)器用于管理IP地址的服務(wù)器,響應(yīng)計(jì)算機(jī)的地址分配請(qǐng)求,給計(jì)算機(jī)分配合適的IP地址。當(dāng)前還有一些DHCP服務(wù)器具有安全策略功能,主要是依靠DHCP某些選項(xiàng)記錄和識(shí)別客戶終端作安全性檢查。
PPPoE客戶端使用PPPoE協(xié)議接入網(wǎng)絡(luò)的終端,一般是計(jì)算機(jī),也可能是STB,IAD等終端。
DHCP客戶端DHCP Client,使用DHCP協(xié)議獲取IP地址等網(wǎng)絡(luò)參數(shù)的各種客戶終端,包括計(jì)算機(jī),STB,IAD等。
RADIUS客戶端向RADIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求的部件。
DHCP中繼DHCP Relay,它是一種將處于不同網(wǎng)段的DHCP服務(wù)器和DHCP客戶端間交互報(bào)文進(jìn)行轉(zhuǎn)發(fā)或者處理后發(fā)送的功能。DHCP動(dòng)態(tài)分配是通過DHCP服務(wù)器和作為DHCP客戶端的客戶終端之間的DHCP報(bào)文交互來完成的,而DHCP報(bào)文是廣播報(bào)文,不能跨越網(wǎng)段對(duì)客戶終端進(jìn)行IP地址分配。但由于資源的限制,為每個(gè)網(wǎng)段分配一個(gè)DHCP服務(wù)器是非常不現(xiàn)實(shí)的,且出于安全性的考慮,DHCP服務(wù)器通常處于單獨(dú)的一個(gè)網(wǎng)段。這樣就需要DHCP服務(wù)器可以為不在其網(wǎng)段的客戶提供服務(wù)。DHCP中繼為DHCP廣播報(bào)文提供了網(wǎng)段間的轉(zhuǎn)發(fā)功能,使得DHCP服務(wù)器實(shí)現(xiàn)為不在與其同一網(wǎng)段的客戶終端提供服務(wù)。
DHCP中繼代理DHCP Relay Agent,具有DHCP中繼功能的部件或者模塊,對(duì)于DHCP客戶端和DHCP服務(wù)器來說是透明的,它具有綁定DHCPOption82功能。在寬帶接入設(shè)備中,通常以寬帶遠(yuǎn)程接入服務(wù)器BRAS作為DHCP中繼代理,并且它具有比普通DHCP中繼設(shè)備更智能的功能,如記錄和檢查客戶登錄信息。
BRAS寬帶遠(yuǎn)程接入服務(wù)器,用于寬帶用戶的接入管理,對(duì)PPPoE用戶,BRAS作為RADIUS客戶端,向RADIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求,對(duì)于DHCP用戶,BRAS完成DHCP中繼功能。
接入網(wǎng)從用戶家庭到BRAS中間的網(wǎng)絡(luò)。
接入節(jié)點(diǎn)接入網(wǎng)中與用戶線路直接相連的設(shè)備,具有DHCP OPtions82綁定功能,如ADSL接入設(shè)備DSLAM。
OSS系統(tǒng)運(yùn)營支撐系統(tǒng),用于運(yùn)營商業(yè)務(wù)發(fā)放和業(yè)務(wù)管理的系統(tǒng)。
DHCP選項(xiàng)DHCP Options,DHCP報(bào)文中的一個(gè)控制域字段,用來攜帶DHCP配置參數(shù)和其它控制信息的參數(shù)域。
DHCP Option 82DHCP選項(xiàng)的一種,叫DHCP Relay Agent InformationOPtion(DHCP中繼代理信息選項(xiàng)),它記錄了代理電路ID(Agent Circuit ID)信息或者代理遠(yuǎn)程ID(Agent Remote ID)信息,具有全局性、唯一性,用以識(shí)別鏈路或者遠(yuǎn)端客戶設(shè)備的某些唯一性信息如位置信息或者M(jìn)odem ID。通常是由DHCP中繼代理或者其它接入節(jié)點(diǎn)綁定到DHCP報(bào)文當(dāng)中。
如圖1,STB、IAD、PC等終端通過接入網(wǎng)連接到BRAS上,其中PC采用PPPoE方式上網(wǎng),STB、IAD通過DHCP方式上網(wǎng)。
對(duì)于DHCP客戶端(STB和IAD),BRAS作為DHCP中繼,把DHCP報(bào)文中繼到DHCP服務(wù)器上去,運(yùn)營商可在DHCP服務(wù)器上做一些地址分配的安全策略,確定如何給用戶分配IP地址;
對(duì)于PPPoE客戶端(PC),BRAS和RADIUS服務(wù)器通信,RADIUS服務(wù)器根據(jù)PC用戶的帳號(hào)和密碼,對(duì)用戶完成認(rèn)證,并給用戶分配IP地址。
得到IP地址之后,STB、IAD、PC可以正常開展業(yè)務(wù)。
從上述為網(wǎng)絡(luò)設(shè)備分配地址方式可以看出,目前為網(wǎng)絡(luò)設(shè)備分配地址安全性不夠;而且用戶側(cè)既有通過PPPoE獲取地址的終端,也有通過DHCP獲取地址的終端,沒有統(tǒng)一的服務(wù)器管理分配地址,顯然也增加了管理的成本和工作量。
發(fā)明內(nèi)容
本發(fā)明提供一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng)和方法,旨在于統(tǒng)一管理并合理、安全地為網(wǎng)絡(luò)設(shè)備分配IP地址。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),包括網(wǎng)絡(luò)設(shè)備,還包括安全檢查模塊和地址分配模塊,所述的安全檢查模塊對(duì)所述的網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文進(jìn)行安全檢查,所述的地址分配模塊對(duì)檢查通過的網(wǎng)絡(luò)設(shè)備分配IP地址。
所述的安全檢查模塊和地址分配模塊設(shè)置于DHCP安全策略服務(wù)器。
還包括AAA服務(wù)器和R2D協(xié)議網(wǎng)關(guān),所述的AAA服務(wù)器用于對(duì)網(wǎng)絡(luò)設(shè)備的接入進(jìn)行認(rèn)證,并將認(rèn)證通過的網(wǎng)絡(luò)設(shè)備發(fā)送的地址請(qǐng)求報(bào)文發(fā)到R2D協(xié)議網(wǎng)關(guān),所述的R2D協(xié)議網(wǎng)關(guān)將所述的AAA服務(wù)器發(fā)送的地址請(qǐng)求報(bào)文轉(zhuǎn)換為DHCP報(bào)文,并向所述的DHCP安全策略服務(wù)器請(qǐng)求分配IP地址。
所述的系統(tǒng)還包括接入部件,所述的接入部件為接入節(jié)點(diǎn)或接入服務(wù)器,所述的接入節(jié)點(diǎn)或接入服務(wù)器將用戶的物理位置信息插入到網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文。
所述的DHCP安全策略服務(wù)器包括存儲(chǔ)模塊,用于存放合法用戶的物理位置信息;安全檢查模塊,用于根據(jù)存儲(chǔ)模塊中的合法用戶的物理位置信息,檢查所述的網(wǎng)絡(luò)設(shè)備是否為合法用戶;地址分配模塊,用于為安全檢查通過的合法用戶分配IP地址。
所述的R2D協(xié)議網(wǎng)關(guān)包括RADIUS接口模塊,用于接收從所述的AAA服務(wù)器發(fā)來的地址請(qǐng)求報(bào)文,并將接收的由所述的DHCP安全策略服務(wù)器分配的IP地址信息返回給所述的AAA服務(wù)器;協(xié)議轉(zhuǎn)換模塊,用于將所述的地址請(qǐng)求報(bào)文轉(zhuǎn)換為DHCP報(bào)文,以及將DHCP響應(yīng)報(bào)文轉(zhuǎn)換為所述的AAA服務(wù)器的地址響應(yīng)報(bào)文;DHCP接口模塊,用于將協(xié)議轉(zhuǎn)換模塊生成的DHCP報(bào)文與DHCP安全策略服務(wù)器間進(jìn)行通信;以及接收DHCP安全策略服務(wù)器發(fā)送的DHCP響應(yīng)報(bào)文。
一種為網(wǎng)絡(luò)設(shè)備分配地址的方法,包括A、對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文進(jìn)行安全檢查;B、對(duì)檢查通過的網(wǎng)絡(luò)設(shè)備分配IP地址。
還包括在步驟A之前將網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文發(fā)送到AAA服務(wù)器進(jìn)行接入認(rèn)證。
所述的接入部件為接入節(jié)點(diǎn)或接入服務(wù)器,所述的接入節(jié)點(diǎn)或接入服務(wù)器將用戶的物理位置信息插入到網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文。
所述的AAA服務(wù)器為RADIUS服務(wù)器,則所述的方法還包括將RADIUS地址請(qǐng)求報(bào)文的Nas-Port-id選項(xiàng)的內(nèi)容轉(zhuǎn)成DHCP報(bào)文的Option82信息,將RADIUS報(bào)文的Calling-Station-ID轉(zhuǎn)成DHCP報(bào)文中的Client MAC和/或Option61。
所述的步驟A具體為將保存的合法用戶的物理位置信息與所述的DHCP報(bào)文進(jìn)行比較,若所述的保存的合法用戶的物理位置信息與所述的DHCP報(bào)文中的信息一致,則進(jìn)行步驟B。
所述的方法還包括決定為合法用戶分配地址的數(shù)量。
一種檢測(cè)網(wǎng)絡(luò)安全的方法,所述的方法為將網(wǎng)絡(luò)設(shè)備上報(bào)的報(bào)文中的信息與預(yù)先保存的合法用戶的物理位置信息進(jìn)行比較,若所述的網(wǎng)絡(luò)設(shè)備上報(bào)的報(bào)文中的信息與所述的預(yù)先保存的合法用戶的物理位置信息一致,則安全檢查通過。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明通過DHCP服務(wù)器進(jìn)行安全檢查后,再為網(wǎng)絡(luò)設(shè)備分配IP地址,從而極大的增強(qiáng)了為網(wǎng)絡(luò)設(shè)備分配地址的安全性;另外,本發(fā)明中將地址統(tǒng)一由DHCP服務(wù)器分配和管理,不僅降低了網(wǎng)絡(luò)管理的成本和工作量,而且可以充分利用DHCP方式分配地址的優(yōu)勢(shì),防止網(wǎng)絡(luò)上地址沖突;同時(shí),本發(fā)明還具有良好的兼容性,即本發(fā)明在實(shí)現(xiàn)過程中,對(duì)于OSS系統(tǒng)沒有新增加任何接口和命令,對(duì)客戶端用戶的業(yè)務(wù)管理流程與原有客戶端的業(yè)務(wù)發(fā)放管理流程完全一致,保護(hù)了運(yùn)營商的投資。
圖1為寬帶接入系統(tǒng)的結(jié)構(gòu)示意圖;圖2為本發(fā)明的系統(tǒng)的示意圖;圖3為本發(fā)明的R2D協(xié)議網(wǎng)關(guān)和DHCP安全策略服務(wù)器的內(nèi)部結(jié)構(gòu)示意圖;圖4為本發(fā)明的第一實(shí)施例的實(shí)現(xiàn)流程圖;圖5為本發(fā)明的第二實(shí)施例的實(shí)現(xiàn)流程圖。
具體實(shí)施例方式
本發(fā)明的核心思想是將網(wǎng)絡(luò)設(shè)備的PPPoE報(bào)文和DHCP報(bào)文統(tǒng)一發(fā)給DHCP安全策略服務(wù)器,由DHCP安全策略服務(wù)器制定相關(guān)的安全檢查策略進(jìn)行檢查后,對(duì)檢查通過的網(wǎng)絡(luò)設(shè)備分配IP地址。
如圖2所示,本發(fā)明提供一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),包括網(wǎng)絡(luò)設(shè)備、接入部件、RADIUS服務(wù)器、R2D協(xié)議網(wǎng)關(guān)和DHCP安全策略服務(wù)器;所述的網(wǎng)絡(luò)設(shè)備為使用PPPoE協(xié)議或DHCP協(xié)議接入網(wǎng)絡(luò)的終端,包括PPPoE客戶端或DHCP客戶端,如計(jì)算機(jī)、STB,IAD等終端;所述的接入部件包括接入節(jié)點(diǎn)和BRAS;所述的接入節(jié)點(diǎn)為接入網(wǎng)中與用戶線路直接相連的設(shè)備,如ADSL接入設(shè)備DSLAM,本發(fā)明的接入節(jié)點(diǎn)還有在PPPoE報(bào)文中插入用戶物理位置信息的功能;所述的BRAS,即寬帶遠(yuǎn)程接入服務(wù)器,用于寬帶用戶的接入管理,BRAS作為RADIUS客戶端,向RADIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求,本發(fā)明的BRAS還有在RADIUS報(bào)文中插入用戶物理位置信息的功能,BRAS作為DHCP客戶端,向DHCP安全策略服務(wù)器請(qǐng)求分配IP地址;所述的RADIUS服務(wù)器,用于管理用戶的帳號(hào)和密碼,完成對(duì)接入用戶的認(rèn)證,所述的RADIUS服務(wù)器也可以為其它的AAA服務(wù)器(AuthenticationAuthorization and Accounting,認(rèn)證、授權(quán)和計(jì)費(fèi));所述的R2D協(xié)議網(wǎng)關(guān)支持RADIUS協(xié)議和DHCP協(xié)議,其充當(dāng)一個(gè)DHCP代理的角色,代理PPPoE用戶向DHCP安全策略服務(wù)器請(qǐng)求IP地址,并將RADIUS服務(wù)器接收到的RADIUS報(bào)文中攜帶的用戶物理位置信息,即RADIUS報(bào)文的Nas-Port-id(Radius報(bào)文中的用戶物理端口信息)選項(xiàng)的內(nèi)容轉(zhuǎn)成Option82信息(DHCP報(bào)文中攜帶的用戶物理端口信息)插入到DHCP報(bào)文中去,把Calling-Station-ID(通常是MAC地址)轉(zhuǎn)成DHCP報(bào)文中的Client MAC和/或Option61(DHCP報(bào)文中攜帶的終端標(biāo)識(shí)信息),供DHCP安全策略服務(wù)器做安全性檢測(cè);所述的DHCP安全策略服務(wù)器根據(jù)相關(guān)信息進(jìn)行安全策略檢查,對(duì)于DHCP報(bào)文,檢查通過后將地址直接下發(fā)給BRAS;對(duì)于PPPoE報(bào)文,檢查通過將地址下發(fā)給R2D協(xié)議網(wǎng)關(guān),然后由R2D協(xié)議網(wǎng)關(guān)將下發(fā)的地址信息插入到PPPoE報(bào)文,最終下發(fā)給PPPoE用戶。
如圖3所示,本發(fā)明的R2D協(xié)議網(wǎng)關(guān)包括RADIUS接口模塊、協(xié)議轉(zhuǎn)換模塊和DHCP接口模塊;所述的RADIUS接口模塊,接收從RADIUS服務(wù)器發(fā)來的RADIUS地址請(qǐng)求報(bào)文,并為其分配相應(yīng)的IP地址信息,所述的IP地址為RADIUS接口模塊接收的由DHCP安全策略服務(wù)器為安全檢查通過的客戶端分配并返回的IP地址信息;
所述的協(xié)議轉(zhuǎn)換模塊,用于將RADIUS報(bào)文轉(zhuǎn)換為DHCP報(bào)文,具體為將RADI US地址請(qǐng)求報(bào)文的Nas-Port-id選項(xiàng)的內(nèi)容轉(zhuǎn)成Option82信息插入到DHCP報(bào)文中去,把Calling-Station-ID轉(zhuǎn)成DHCP報(bào)文中的ClientMAC和/或Option61,供DHCP安全策略服務(wù)器做安全性檢測(cè);同時(shí),協(xié)議轉(zhuǎn)換模塊還需要根據(jù)DHCP接口模塊接收的DHCP響應(yīng)報(bào)文轉(zhuǎn)換為RADIUS報(bào)文;所述的DHCP接口模塊,用于將協(xié)議轉(zhuǎn)換模塊生成的DHCP報(bào)文與DHCP安全策略服務(wù)器間進(jìn)行通信;以及接收DHCP安全策略服務(wù)器發(fā)送的DHCP響應(yīng)報(bào)文。
如圖3所示,本發(fā)明的DHCP安全策略服務(wù)器包括數(shù)據(jù)庫、安全檢查模塊和地址分配模塊;所述的數(shù)據(jù)庫保存合法用戶的位置信息,如用戶物理端口信息、終端類型信息、終端標(biāo)識(shí)信息等;所述的安全檢查模塊,制定檢查策略,判斷終端的物理端口的合法性,決定分不分配地址以及分配多少個(gè)地址,具體為將從DHCP接口模塊接收的DHCP報(bào)文中的用戶物理位置信息,與數(shù)據(jù)庫中保存的合法用戶的位置信息作比較;所述的地址分配模塊,用于對(duì)安全檢查通過的合法用戶分配IP地址。
利用本發(fā)明所述的系統(tǒng),本發(fā)明還提供一種為網(wǎng)絡(luò)設(shè)備分配地址的方法,如圖4所示,對(duì)于PPPoE客戶端,本發(fā)明的方法的實(shí)現(xiàn)流程如下S1、接入接點(diǎn)接收到PPPoE認(rèn)證請(qǐng)求報(bào)文,將用戶物理位置信息插入其中,形成PPPoE+認(rèn)證請(qǐng)求報(bào)文(PPPoE報(bào)文的擴(kuò)展,攜帶用戶物理位置信息);S2、BRAS將PPPoE+認(rèn)證請(qǐng)求報(bào)文轉(zhuǎn)成攜帶有用戶物理位置信息的Radius請(qǐng)求報(bào)文,發(fā)送到RADIUS服務(wù)器進(jìn)行用戶名密碼的認(rèn)證;S3、RADIUS認(rèn)證通過后,RADIUS服務(wù)器將發(fā)一個(gè)攜帶用戶物理位置信息Nas-Port-id的RADIUS地址請(qǐng)求報(bào)文給R2D協(xié)議網(wǎng)關(guān);S4、R2D協(xié)議網(wǎng)關(guān)收到RADIUS地址請(qǐng)求報(bào)文后,代理PPPoE用戶向DHCP安全策略服務(wù)器申請(qǐng)地址,把RADIUS地址請(qǐng)求報(bào)文中的Calling-Station-ID轉(zhuǎn)成DHCP報(bào)文中的Client MAC和/或Option61,并將RADIUS地址請(qǐng)求報(bào)文中的Nas-Port-id信息轉(zhuǎn)成DHCP報(bào)文的option 82,向DHCP安全策略服務(wù)器發(fā)起地址申請(qǐng)請(qǐng)求;S5、DHCP安全策略服務(wù)器制定檢查策略,判斷終端的物理端口的合法性,決定分不分配地址以及分配多少個(gè)地址,檢測(cè)通過才給分配地址,并向R2D協(xié)議網(wǎng)關(guān)發(fā)送攜帶有IP地址的DHCP響應(yīng)報(bào)文;S6、R2D協(xié)議網(wǎng)關(guān)收到DHCP安全策略服務(wù)器的響應(yīng)報(bào)文后,將分配的IP地址插入到RADIUS的響應(yīng)報(bào)文中,由RADIUS服務(wù)器再返回給BRAS,完成整個(gè)PPP流程,給用戶分配IP地址。
上述實(shí)施例中,是由接入節(jié)點(diǎn)在PPPoE報(bào)文中插入用戶物理位置信息,本發(fā)明中也可由BRAS在RADIUS報(bào)文中插入用戶物理位置信息,如圖5所示,即為由BRAS在RADIUS報(bào)文中插入用戶物理位置信息的實(shí)現(xiàn)流程圖,其他步驟與上述實(shí)施例類似,在此不再贅述。
對(duì)于DHCP客戶端,則由BRAS將DHCP報(bào)文直接發(fā)給DHCP安全策略服務(wù)器,由DHCP安全策略服務(wù)器對(duì)之進(jìn)行安全性檢查,對(duì)檢查通過的客戶端分配地址,具體過程不再贅述。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),包括網(wǎng)絡(luò)設(shè)備,其特征在于,還包括安全檢查模塊和地址分配模塊,所述的安全檢查模塊對(duì)所述的網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文進(jìn)行安全檢查,所述的地址分配模塊對(duì)檢查通過的網(wǎng)絡(luò)設(shè)備分配IP地址。
2.如權(quán)利要求1所述的為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),其特征在于,所述的安全檢查模塊和地址分配模塊設(shè)置于DHCP安全策略服務(wù)器。
3.如權(quán)利要求2所述的為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),其特征在于,還包括AAA服務(wù)器和R2D協(xié)議網(wǎng)關(guān),所述的AAA服務(wù)器用于對(duì)網(wǎng)絡(luò)設(shè)備的接入進(jìn)行認(rèn)證,并將認(rèn)證通過的網(wǎng)絡(luò)設(shè)備發(fā)送的地址請(qǐng)求報(bào)文發(fā)到R2D協(xié)議網(wǎng)關(guān),所述的R2D協(xié)議網(wǎng)關(guān)將所述的AAA服務(wù)器發(fā)送的地址請(qǐng)求報(bào)文轉(zhuǎn)換為DHCP報(bào)文,并向所述的DHCP安全策略服務(wù)器請(qǐng)求分配IP地址。
4.如權(quán)利要求1所述的為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),其特征在于,所述的系統(tǒng)還包括接入部件,所述的接入部件為接入節(jié)點(diǎn)或接入服務(wù)器,所述的接入節(jié)點(diǎn)或接入服務(wù)器將用戶的物理位置信息插入到網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文。
5.如權(quán)利要求2所述的為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),其特征在于,所述的DHCP安全策略服務(wù)器包括存儲(chǔ)模塊,用于存放合法用戶的物理位置信息;安全檢查模塊,用于根據(jù)存儲(chǔ)模塊中的合法用戶的物理位置信息,檢查所述的網(wǎng)絡(luò)設(shè)備是否為合法用戶;地址分配模塊,用于為安全檢查通過的合法用戶分配IP地址。
6.如權(quán)利要求3所述的為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng),其特征在于,所述的R2D協(xié)議網(wǎng)關(guān)包括RADIUS接口模塊,用于接收從所述的AAA服務(wù)器發(fā)來的地址請(qǐng)求報(bào)文,并將接收的由所述的DHCP安全策略服務(wù)器分配的IP地址信息返回給所述的AAA服務(wù)器;協(xié)議轉(zhuǎn)換模塊,用于將所述的地址請(qǐng)求報(bào)文轉(zhuǎn)換為DHCP報(bào)文,以及將DHCP響應(yīng)報(bào)文轉(zhuǎn)換為所述的AAA服務(wù)器的地址響應(yīng)報(bào)文;DHCP接口模塊,用于將協(xié)議轉(zhuǎn)換模塊生成的DHCP報(bào)文與DHCP安全策略服務(wù)器間進(jìn)行通信;以及接收DHCP安全策略服務(wù)器發(fā)送的DHCP響應(yīng)報(bào)文。
7.一種為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,包括A、對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文進(jìn)行安全檢查;B、對(duì)檢查通過的網(wǎng)絡(luò)設(shè)備分配IP地址。
8.如權(quán)利要求7所述的為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,還包括在步驟A之前將網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文發(fā)送到AAA服務(wù)器進(jìn)行接入認(rèn)證。
9.如權(quán)利要求8所述的為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,還包括將用戶的物理位置信息插入到網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文。
10.如權(quán)利要求8所述的為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,所述的AAA服務(wù)器為RADIUS服務(wù)器,則所述的方法還包括將RADIUS地址請(qǐng)求報(bào)文的Nas-Port-id選項(xiàng)的內(nèi)容轉(zhuǎn)成DHCP報(bào)文的Option82信息,將RADIUS報(bào)文的Calling-Station-ID轉(zhuǎn)成DHCP報(bào)文中的Client MAC和/或Option61。
11.如權(quán)利要求10所述的為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,所述的步驟A具體為將保存的合法用戶的物理位置信息與所述的DHCP報(bào)文進(jìn)行比較,若所述的保存的合法用戶的物理位置信息與所述的DHCP報(bào)文中的信息一致,則進(jìn)行步驟B。
12.如權(quán)利要求7所述的為網(wǎng)絡(luò)設(shè)備分配地址的方法,其特征在于,所述的方法還包括決定為合法用戶分配地址的數(shù)量。
13.一種檢測(cè)網(wǎng)絡(luò)安全的方法,其特征在于,所述的方法為將網(wǎng)絡(luò)設(shè)備上報(bào)的報(bào)文中的信息與預(yù)先保存的合法用戶的物理位置信息進(jìn)行比較,若所述的網(wǎng)絡(luò)設(shè)備上報(bào)的報(bào)文中的信息與所述的預(yù)先保存的合法用戶的物理位置信息一致,則安全檢查通過。
全文摘要
本發(fā)明公開了一種為網(wǎng)絡(luò)設(shè)備分配地址的系統(tǒng)和方法,所述的系統(tǒng)包括網(wǎng)絡(luò)設(shè)備、接入部件,還包括DHCP安全策略服務(wù)器,所述的DHCP安全策略服務(wù)器對(duì)所述的網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文進(jìn)行安全策略檢查,對(duì)檢查通過的合法客戶分配IP地址。所述的方法包括接入部件將用戶物理位置信息插入到網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文,并將所述的認(rèn)證請(qǐng)求報(bào)文發(fā)送到DHCP安全策略服務(wù)器進(jìn)行安全檢查,并對(duì)檢查通過的合法用戶分配IP地址。利用本發(fā)明所述的系統(tǒng)和方法,能極大的增強(qiáng)為網(wǎng)絡(luò)設(shè)備分配地址的安全性、便利性和合理性。
文檔編號(hào)H04L29/12GK101043331SQ200610061448
公開日2007年9月26日 申請(qǐng)日期2006年6月30日 優(yōu)先權(quán)日2006年6月30日
發(fā)明者楊志玲, 陳宇杰 申請(qǐng)人:華為技術(shù)有限公司