專利名稱:一種基于dhcp協(xié)議的ip接入的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域,特別是涉及一種基于DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議的IP接入的方法及其裝置。
背景技術(shù):
在IP網(wǎng)絡(luò)中,每個(gè)連接Internal的用戶設(shè)備都需要分配一個(gè)唯一的IP地 址。在常見的小型網(wǎng)絡(luò)中,IP地址都是由網(wǎng)絡(luò)管理員手工分配的,而到了中 大型網(wǎng)絡(luò),手工分配地址就變得不太合適了。因此必須使用一種高效的地址分 配方法,DHCP出現(xiàn)正好解決這個(gè)問題。一般情況下,用戶獲取IP地址接入到網(wǎng)絡(luò)中,是需要對(duì)接入網(wǎng)絡(luò)的用戶 進(jìn)行控制的,用戶所獲得的訪問網(wǎng)絡(luò)權(quán)限是由接入服務(wù)器控制的,從而保證網(wǎng) 絡(luò)接入用戶的合法性,特別是在運(yùn)營商的網(wǎng)絡(luò)上,還涉及到一個(gè)計(jì)費(fèi)的問題, 也是需要解決。但是由于DHCP協(xié)議只是一個(gè)地址分配協(xié)議,沒有提供在接入過程中對(duì) 接入用戶的控制能力,使得DHCP的接入用戶不需要任何附加條件就可以接 入網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)的安全和運(yùn)營商的業(yè)務(wù)開展都是非是非常不利的。目前IP接入大多都采用DHCP+WEB方式來實(shí)現(xiàn)用戶的接入管理,這種 方法雖然能夠?qū)τ脩暨M(jìn)行接入管理,但是它的缺陷是需要外部的WEB服務(wù)器 做支持,用戶每次上線后需要登陸到某個(gè)網(wǎng)頁來進(jìn)行接入認(rèn)證,此時(shí)主機(jī)已經(jīng) 通過DHCP協(xié)議將IP地址分配出去;另外一個(gè)缺陷是管理報(bào)文和業(yè)務(wù)報(bào)文都 是一樣的,接入服務(wù)器無法區(qū)分。由于上述原因,無論是接入服務(wù)器還是WEB 服務(wù)器的安全性都非常脆弱,所以迫切需要一種安全接入方法對(duì)DHCP的用 戶進(jìn)行接入管理。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于提供一種基于DHCP協(xié)議的IP接入的方法及其裝置,用于解決現(xiàn)有技術(shù)中用戶接入網(wǎng)絡(luò)時(shí)的安全性無法保證的問題。 為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種基于DHCP協(xié)議的IP接入的方法,其特征在于,包括步驟一,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報(bào)文;步驟二,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報(bào)文,讀出 轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文中的MAC地址和電路信息,將所述MAC地址作為用戶 名與所述電路信息填入至認(rèn)證請(qǐng)求信息;步驟三,所述接入服務(wù)器對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,并在認(rèn)證通過后 與所述DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)。所述的基于DHCP協(xié)議的IP接入的方法,其中,所述步驟二中,進(jìn)一步 包括所述接入設(shè)備將所述電路信息填寫在所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文的Option 82選項(xiàng)中的歩驟。所述的基于DHCP協(xié)議的IP接入的方法,其中,所述步驟二中,進(jìn)一步 包括所述接入服務(wù)器判斷所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文中是否攜帶Option 61,若 是,則從所述Option 61中讀出所述MAC地址,從所述Option 82選項(xiàng)讀出所 述電路信息;否則不回應(yīng)所述DHCP客戶端。所述的基于DHCP協(xié)議的IP接入的方法,其中,所述步驟三中,進(jìn)一步 包括所述接入服務(wù)器通過認(rèn)證/授權(quán)/計(jì)費(fèi)模塊對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證的 步驟。所述的基于DHCP協(xié)議的IP接入的方法,其中,所述步驟三中,進(jìn)一步 包括所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊根據(jù)用戶的配置類型對(duì)所述認(rèn)證請(qǐng)求信息以不同 方式進(jìn)行認(rèn)證的步驟。所述的基于DHCP協(xié)議的IP接入的方法,其中,所述步驟三中,進(jìn)一步 包括當(dāng)所述用戶是在本地配置的用戶時(shí),則所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊進(jìn)行接入 服務(wù)器本地認(rèn)證;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時(shí),則所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊組 織認(rèn)證請(qǐng)求信息通過Radius協(xié)議到Radius服務(wù)器上認(rèn)證。為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種基于DHCP協(xié)議的IP接入的裝置, 包括用戶終端、DHCP客戶端向、接入設(shè)備、接入服務(wù)器,其特征在于,所述 用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報(bào)文;所述接入設(shè) 備轉(zhuǎn)發(fā)所述DHCP發(fā)現(xiàn)報(bào)文至所述接入服務(wù)器;所述接入服務(wù)器接收轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文,從所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文 中讀出MAC地址和電路信息,將所述MAC地址作為用戶名與所述電路信息 填入至認(rèn)證請(qǐng)求信息,對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,并在認(rèn)證通過后與所述 DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)。所述的基于DHCP協(xié)議的IP接入的裝置,其中,所述接入設(shè)備為接入交 換機(jī)或DSLAM設(shè)備。所述的基于DHCP協(xié)議的IP接入的裝置,其中,還包括認(rèn)證/授權(quán)/計(jì)費(fèi) 模塊,設(shè)置于所述接入服務(wù)器上,用于對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證。所述的基于DHCP協(xié)議的IP接入的裝置,其中,所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊 根據(jù)用戶的配置類型對(duì)所述認(rèn)證請(qǐng)求信息以不同方式進(jìn)行認(rèn)證當(dāng)所述用戶是在本地配置的用戶時(shí),則進(jìn)行接入服務(wù)器本地認(rèn)證;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時(shí),則組織認(rèn)證請(qǐng)求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證。本發(fā)明的有益技術(shù)效果與現(xiàn)有技術(shù)相比,本發(fā)明所提供的基于DHCP協(xié)議的IP接入寬帶網(wǎng)絡(luò)的 方法及其裝置,通過DHCP獲取IP地址過程中完成用戶的接入認(rèn)證和授權(quán), 從而有效限制了非法用戶的接入,為運(yùn)營商廣泛開展IP接入提供一個(gè)很好技 術(shù)手段。以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述,但不作為對(duì)本發(fā)明的 限定。
圖1是本發(fā)明基于DHCP協(xié)議的IP接入的方法流程圖; 圖2是本發(fā)明基于DHCP協(xié)議的IP接入的裝置結(jié)構(gòu)圖。
具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明的技術(shù)方案作進(jìn)一步更詳細(xì)的描述。如圖1所示,是本發(fā)明基于DHCP協(xié)議的IP接入的方法流程圖。該流程 描述了基于DHCP協(xié)議的IP接入方法,具體包括以下各步驟步驟S101,用戶終端請(qǐng)求IP地址,通過DHCP客戶端,向接入服務(wù)器發(fā) 送DHCP Discovery (發(fā)現(xiàn))報(bào)文;步驟S102,當(dāng)該報(bào)文通過接入設(shè)備(如接入交換機(jī)或是DSLAM設(shè)備) 時(shí),接入設(shè)備在該報(bào)文的Option 82選項(xiàng)中填寫相關(guān)電路信息。步驟S103,接入服務(wù)器收到從接入交換機(jī)或是DSLAM設(shè)備轉(zhuǎn)發(fā)過來的 DHCP Discovery報(bào)文;步驟S104,接入服務(wù)器判斷DHCP Discovery報(bào)文中是否攜帶Option 61 , 若攜帶,則進(jìn)入步驟S105;否則,轉(zhuǎn)入步驟S108;步驟S105,接入服務(wù)器將該報(bào)文中Option 61所攜帶的MAC地址和Option 82選項(xiàng)中的電路信息讀出來,并向接入服務(wù)器的AAA模塊發(fā)送認(rèn)證請(qǐng)求信息, i青求AAA (Authentication, Authorization, Accounting,認(rèn)i正/授豐又/i十費(fèi))牛莫塊 認(rèn)證。該步驟中,由于每個(gè)主機(jī)的MAC地址是唯一,所以將MAC地址作為接 入用戶的用戶名,和電路信息一起填入到認(rèn)證請(qǐng)求信息中,再送到接入服務(wù)器 的AAA模塊進(jìn)行認(rèn)證。步驟S106, AAA模塊接收認(rèn)證請(qǐng)求信息,并對(duì)認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證, 若認(rèn)證通過,則進(jìn)行步驟S107;否則,轉(zhuǎn)入步驟S108。該步驟中,AAA模塊對(duì)認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,根據(jù)用戶的配置類型分 兩種情況進(jìn)行1) 當(dāng)用戶是在本地配置的用戶時(shí),則以接入服務(wù)器本地認(rèn)證;2) 當(dāng)用戶是在Radius服務(wù)器上配置的用戶時(shí),則組織認(rèn)證請(qǐng)求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證。無論是在本地配置的用戶還是在Radius服務(wù)器上配置的用戶,用戶名 (MAC地址)和電路信息要綁定,通過SVLAN (Stack-VLAN,可堆疊虛擬局域網(wǎng))技術(shù)可以保證用戶的電路信息的唯一。步驟S107,接入服務(wù)器會(huì)跟DHCP客戶端完成整個(gè)DHCP的交互,此時(shí) 用戶接入網(wǎng)絡(luò),可以上線。步驟S108,返回,不給DHCP客戶端任何回應(yīng)。上述步驟都是以時(shí)間為順序的,有先后依存關(guān)系。由于本發(fā)明只需MAC 地址和電路信息作為認(rèn)證請(qǐng)求信息,而很多客戶端可以對(duì)主機(jī)的MAC做修改, 所以電路信息的唯一是安全的重要保證,這樣可以防止用戶竊取到用戶MAC 地址而非法接入。如圖2所示,是本發(fā)明基于DHCP協(xié)議的IP接入的裝置結(jié)構(gòu)圖。該裝置 100包括用戶終端IO、 DHCP客戶端20、接入設(shè)備30、接入服務(wù)器40。用戶終端IO請(qǐng)求IP地址,通過DHCP客戶端20,向接入服務(wù)器40發(fā)送 DHCP Discovery報(bào)文,當(dāng)該報(bào)文通過接入設(shè)備30 (如接入交換機(jī)或是DSLAM 設(shè)備)時(shí),接入設(shè)備30在該報(bào)文的Option 82選項(xiàng)中填寫相關(guān)電路信息。接入服務(wù)器40檢查收到DHCP Discovery報(bào)文后,將該報(bào)文中Option 61 信息中的MAC地址,及Option 82選項(xiàng)中的電路信息讀出來,將MAC地址作 為用戶名,和電路信息一起填入到認(rèn)證請(qǐng)求信息中,再將認(rèn)證請(qǐng)求信息送到接 入服務(wù)器40的AAA模塊41進(jìn)行認(rèn)證。接入服務(wù)器40的AAA模塊41收到認(rèn)證請(qǐng)求信息后,分兩種情況1) 當(dāng)用戶是在本地配置的用戶時(shí),則接入服務(wù)器本地認(rèn)證;2) 當(dāng)用戶是在Radius服務(wù)器上配置的用戶時(shí),則組織認(rèn)證請(qǐng)求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證。無論是在本地配置的用戶還是在Radius服務(wù)器上配置的用戶,用戶名 (MAC地址)和電路信息要綁定,通過SVLAN技術(shù)可以保證用戶的電路信 息的唯一。當(dāng)AAA模塊41對(duì)認(rèn)證請(qǐng)求信息認(rèn)證通過后,接入服務(wù)器40會(huì)跟DHCP 客戶端20完成整個(gè)DHCP的交互,此時(shí)用戶就可以接入到網(wǎng)絡(luò)中。本發(fā)明通過將MAC地址和電路信息作為認(rèn)證請(qǐng)求信息,因?yàn)殡娐沸畔⒌?唯一性,所以有了安全的重要保證,從而可以有效防止用戶竊取到用戶MAC 地址而非法接入。當(dāng)然,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但 這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1、一種基于DHCP協(xié)議的IP接入的方法,其特征在于,包括步驟一,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報(bào)文;步驟二,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報(bào)文,讀出轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文中的MAC地址和電路信息,將所述MAC地址作為用戶名與所述電路信息填入至認(rèn)證請(qǐng)求信息;步驟三,所述接入服務(wù)器對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,并在認(rèn)證通過后與所述DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)。
2、 根據(jù)權(quán)利要求1所述的基于DHCP協(xié)議的IP接入的方法,其特征在于, 所述步驟二中,進(jìn)一步包括所述接入設(shè)備將所述電路信息填寫在所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文的Option 82選項(xiàng)中的步驟。
3、 根據(jù)權(quán)利要求2所述的基于DHCP協(xié)議的IP接入的方法,其特征在于, 所述步驟二中,進(jìn)一步包括所述接入服務(wù)器判斷所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文中是否攜帶Option 61 ,若 是,則從所述Option 61中讀出所述MAC地址,從所述Option 82選項(xiàng)讀出所 述電路信息;否則不回應(yīng)所述DHCP客戶端。
4、 根據(jù)權(quán)利要求l、 2或3所述的基于DHCP協(xié)議的IP接入的方法,其 特征在于,所述步驟三中,進(jìn)一步包括所述接入服務(wù)器通過認(rèn)證/授權(quán)/計(jì)費(fèi)模塊對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證的 步驟。
5、 根據(jù)權(quán)利要求4所述的基于DHCP協(xié)議的IP接入的方法,其特征在于, 所述步驟三中,進(jìn)一步包括所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊根據(jù)用戶的配置類型對(duì)所述認(rèn)證請(qǐng)求信息以不同 方式進(jìn)行認(rèn)證的步驟。
6、 根據(jù)權(quán)利要求5所述的基于DHCP協(xié)議的IP接入的方法,其特征在于,所述步驟三中,進(jìn)一步包括當(dāng)所述用戶是在本地配置的用戶時(shí),則所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊進(jìn)行接入 服務(wù)器本地認(rèn)證;或當(dāng)所述是在Radius服務(wù)器上配置的用戶時(shí),則所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊組 織認(rèn)證請(qǐng)求信息通過Radius協(xié)議到Radius服務(wù)器上認(rèn)證。
7、 一種基于DHCP協(xié)議的IP接入的裝置,包括用戶終端、DHCP客戶端 向、接入設(shè)備、接入服務(wù)器,其特征在于,所述用戶終端通過DHCP客戶端 向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報(bào)文;所述接入設(shè)備轉(zhuǎn)發(fā)所述DHCP發(fā)現(xiàn)報(bào)文 至所述接入服務(wù)器;所述接入服務(wù)器接收轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文,從所述轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文 中讀出MAC地址和電路信息,將所述MAC地址作為用戶名與所述電路信息 填入至認(rèn)證請(qǐng)求信息,對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,并在認(rèn)證通過后與所述 DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)。
8、 根據(jù)權(quán)利要求7所述的基于DHCP協(xié)議的IP接入的裝置,其特征在于, 所述接入設(shè)備為接入交換機(jī)或DSLAM設(shè)備。
9、 根據(jù)權(quán)利要求7或8所述的基于DHCP協(xié)議的IP接入的裝置,其特征 在于,還包括認(rèn)證/授權(quán)/計(jì)費(fèi)模塊,設(shè)置于所述接入服務(wù)器上,用于對(duì)所述 認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證。
10、 根據(jù)權(quán)利要求9所述的基于DHCP協(xié)議的IP接入的裝置,其特征在 于,所述認(rèn)證/授權(quán)/計(jì)費(fèi)模塊根據(jù)用戶的配置類型對(duì)所述認(rèn)證請(qǐng)求信息以不同 方式進(jìn)行認(rèn)證當(dāng)所述用戶是在本地配置的用戶時(shí),則進(jìn)行接入服務(wù)器本地認(rèn)證;或 當(dāng)所述是在Radius服務(wù)器上配置的用戶時(shí),則組織認(rèn)證請(qǐng)求信息通過 Radius協(xié)議到Radius服務(wù)器上認(rèn)證。
全文摘要
本發(fā)明公開了一種基于DHCP協(xié)議的IP接入的方法及其裝置,其中該方法包括步驟一,用戶終端通過DHCP客戶端向接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)報(bào)文;步驟二,所述接入服務(wù)器接收由接入設(shè)備轉(zhuǎn)發(fā)的DHCP發(fā)現(xiàn)報(bào)文,讀出轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)報(bào)文中的MAC地址和電路信息,將所述MAC地址作為用戶名與所述電路信息填入至認(rèn)證請(qǐng)求信息;步驟三,所述接入服務(wù)器對(duì)所述認(rèn)證請(qǐng)求信息進(jìn)行認(rèn)證,并在認(rèn)證通過后與所述DHCP客戶端完成DHCP交互,所述用戶終端接入網(wǎng)絡(luò)。與現(xiàn)有技術(shù)相比,本發(fā)明通過DHCP獲取IP地址過程中完成用戶的接入認(rèn)證和授權(quán),從而有效限制了非法用戶的接入。
文檔編號(hào)H04L29/06GK101227481SQ200810057508
公開日2008年7月23日 申請(qǐng)日期2008年2月2日 優(yōu)先權(quán)日2008年2月2日
發(fā)明者新 王 申請(qǐng)人:中興通訊股份有限公司