释放ip地址的方法、装置及接入设备的制作方法

释放ip地址的方法、装置及接入设备的制作方法
【专利摘要】本发明实施例公开了释放IP地址的方法、装置及接入设备，该方法包括：接入设备向地址服务器发送用于请求所述地址服务器为终端分配IP地址的请求消息，并且获取所述终端的认证结果消息，如果所述认证结果消息为认证失败消息，则所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。本发明中的接入设备在获取到终端的认证结果后，通过与地址服务器交互，使得地址服务器可以快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。
【专利说明】释放IP地址的方法、装置及接入设备
【技术领域】
[0001]本发明涉及通信【技术领域】,特别是涉及释放互联网协议（Internet Protocol, IP)地址的方法、装置及接入设备。
【背景技术】
[0002]处于某一特定覆盖区域之内，并且具有某种关联的站点（Station，STA)或称终端组成一个基本服务集（Basic Service Set,BSS),BSS是无线局域网（Wireless Local AreaNetwork, WLAN)的基本组成部分。在一个BSS内，通常可以设置一个管理BSS的接入设备，BSS内的STA与该接入设备相互关联，该接入设备通常具有认证代理、接入控制、IP地址分配代理等功能，例如，可以具体为接入点（Access Point, AP),或者接入控制器（AccessControl, AC)。
[0003]在BSS内的每个STA要接入网络时，需要通过接入设备与认证授权和计费(Authentication Authorization and Accounting, AAA)服务器交互，对 STA 的身份进行认证，同时还需要通过接入设备与动态主机配置协议（Dynamic Host ConfigurationProtocol, DHCP)服务器交互，获得一个IP地址，STA通过该IP地址接入网络，并实现与网络中其它STA的通信。现有技术中由于对STA认证和对STA分配IP地址同步进行，因此非法STA可以在认证通过之前的短时间内向接入设备发起多次接入请求，由接入设备向DHCP服务器请求多个IP地址，从而使得网络中的IP资源快速被耗尽，导致合法STA无法接入网络，影响用户体验。

【发明内容】

[0004]本发明实施例中提供了释放IP地址的方法、装置及接入设备，以解决现有技术中非法STA在认证通过前的短时间内请求多个IP地址，容易导致网络中IP资源被耗尽的问题。
[0005]为了解决上述技术问题，本发明实施例公开了如下技术方案：
[0006]第一方面，提供一种释放IP地址的方法，所述方法包括：
[0007]接入设备向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为终端分配IP地址；
[0008]以及，所述接入设备获取所述终端的认证结果消息；
[0009]如果所述认证结果消息为认证失败消息，则所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
[0010]结合第一方面，在第一方面的第一种可能的实现方式中，所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括：
[0011]所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0012]向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
[0013]结合第一方面，在第一方面的第二种可能的实现方式中，所述请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间；
[0014]所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括:
[0015]所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0016]向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址，或者丢弃所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
[0017]结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述方法还包括:
[0018]如果所述认证结果消息为认证成功消息，则所述接入设备在接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
[0019]结合第一方面，在第一方面的第四种可能的实现方式中，所述请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记；
[0020]所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括:
[0021]所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址；
[0022]向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
[0023]结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述方法还包括:
[0024]如果所述认证结果消息为认证成功消息，则所述接入设备在接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
[0025]第二方面，提供一种释放IP地址的装置，所述装置包括:
[0026]发送单元，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为终端分配IP地址；
[0027]获取单元，用于获取所述终端的认证结果消息；
[0028]交互单元，用于如果所述获取单元获取的认证结果消息为认证失败消息，则通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
[0029]结合第二方面，在第二方面的第一种可能的实现方式中，所述交互单元包括:
[0030]第一地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0031]第一释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。[0032]结合第二方面，在第二方面的第二种可能的实现方式中，所述发送单元发送的所述请求消息中还包含地址服务器为所述终端分配的短租约时间；
[0033]所述交互单元包括：
[0034]第二地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0035]第二释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址；或者，
[0036]地址丢弃子单元，用于丢弃所述第二地址接收子单元接收到的所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
[0037]结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述交互单元还包括：
[0038]地址下发子单元，用于如果所述获取单元获取到的认证结果消息为认证成功消息，则在所述第二地址接收子单元接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
[0039]结合第二方面，在第二方面的第四种可能的实现方式中，所述发送单元发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记；
[0040]所述交互单元包括：
[0041]第三地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址；
[0042]撤销请求子单元，用于向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
[0043]结合第二方面的第四种可能的实现方式，在第二方面的第五种可能的实现方式中，所述交互单元还包括：
[0044]确认通知子单元，用于如果所述获取单元获取到的所述认证结果消息为认证成功消息，则在所述第三地址接收子单元接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
[0045]第三方面，提供一种接入设备，所述接入设备包括：总线以及通过所述总线连接的客户端接口、网络接口和处理器；其中，
[0046]所述客户端接口，用于连接终端；
[0047]所述网络接口，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为所述终端分配IP地址，以及获取所述终端的认证结果消息；
[0048]所述处理器，用于如果所述认证结果消息为认证失败消息，则通过所述网络接口与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
[0049]结合第三方面，在第三方面的第一种可能的实现方式中，
[0050]所述处理器，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。[0051]结合第三方面，在第三方面的第二种可能的实现方式中，
[0052]所述网络接口发送的请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间；
[0053]所述处理器，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址，或者用于丢弃所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
[0054]结合第三方面的第二种可能的而实现方式，在第三方面的第三种可能的实现方式中，所述处理器，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
[0055]结合第三方面，在第三方面的第四种可能的实现方式中，
[0056]所述网络接口发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记；
[0057]所述网络接口，还用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址；
[0058]所述处理器，具体用于通过所述网络接口向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
[0059]结合第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，所述处理器，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
[0060]本发明实施例中，接入设备向地址服务器发送用于请求所述地址服务器为终端分配IP地址的请求消息，以及获取所述终端的认证结果消息，如果所述认证结果消息为认证失败消息，则所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。本发明实施例中接入设备在获取到对终端的认证结果后，通过与DHCP服务器交互，使得DHCP服务器可以快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。
【专利附图】

【附图说明】
[0061]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0062]图1A为本发明释放IP地址的方法的一个实施例流程图；
[0063]图1B为应用本发明实施例的一个网络架构示意图；
[0064]图2为本发明释放IP地址的方法的另一个实施例流程图；
[0065]图3为本发明释放IP地址的方法的另一个实施例流程图；[0066]图4为本发明释放IP地址的方法的另一个实施例流程图；
[0067]图5为本发明释放IP地址的装置的实施例框图；
[0068]图6为本发明接入设备的实施例框图。
【具体实施方式】
[0069]本发明如下实施例提供了释放IP地址的方法、装置及接入设备。
[0070]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0071]参见图1A，为本发明释放IP地址的方法的第一实施例流程图：
[0072]步骤101 :接入设备向地址服务器发送请求消息，该请求消息用于请求地址服务器为终端分配IP地址。
[0073]本发明实施例中，地址服务器可以是DHCP服务器；请求消息可以是DHCPDISCOVERY (发现）消息或者DHCP REQUEST (请求）消息。
[0074]本实施例中，接入设备可以具体指AP或者AC等。该接入设备作为所连接的终端的代理，可以通过与DHCP服务器交互，请求DHCP服务器为要接入网络的终端分配IP地址。接入设备在为终端请求IP地址时，可以向DHCP服务器发送包含该终端的身份标识的请求消息，该身份标识可以是终端的MAC地址。
[0075]DHCP服务器接收到请求消息后，可以为终端分配一个IP地址，并在租约表中记录该终端的租约表项，该租约表项中包含终端的IP地址、MAC地址、租约时间等信息。
[0076]步骤102 :接入设备获取终端的认证结果消息。
[0077]本发明实施例中对终端请求IP地址的过程与对终端的认证过程可以并行执行。其中，对终端进行认证的认证服务器可以具体为AAA服务器，认证服务器对终端的认证过程与现有技术一致，例如，可以采用基于客户端/服务器（Client/Server)的访问控制和认证协议，比如802. Ix认证。当认证结束后，认证服务器向接入设备返回包含终端认证结果的认证结果消息，认证结果消息包括终端为合法终端时的认证成功消息或终端为非法终端时的认证失败消息。
[0078]步骤103 :如果认证结果消息为认证失败消息，则接入设备通过与地址服务器交互，以使地址服务器释放为终端分配的IP地址。
[0079]在第一个可选的实现方式中，接入设备接收地址服务器返回的响应消息，响应消息中包含地址服务器接收到所述请求消息后为所述终端分配的IP地址，以及接入设备接收到认证失败消息后，可以获取认证失败消息中包含的终端的终端标识，查找保存的终端标识与MAC地址的对应关系，获取与终端的终端标识对应的终端的MAC地址，向地址服务器发送包含该MAC地址的释放消息，地址服务器根据该MAC地址查找租约表，得到终端的租约表项后，释放为终端分配的IP地址，从而保证非法终端无法占用IP资源。
[0080]在第二个可选的实现方式中，接入设备在向地址服务器发送的请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间，接入设备接收地址服务器返回的响应消息，响应消息中包含地址服务器接收到所述请求消息后为所述终端分配的IP地址，以及接入设备接收到认证失败消息后，可以向地址服务器发送释放消息，地址服务器接收到释放消息后，释放为所述终端分配的IP地址，或者接入设备丢弃地址服务器为所述终端分配的IP地址，即不将该IP地址下发给所述终端，相应的，地址服务器在所述短租约时间到达时释放该IP地址，由于短租约时间比预设租约时间短，因此可以保证非法终端无法长时间占用IP资源。
[0081]在第三个可选的实现方式中，接入设备在向地址服务器发送的请求消息中还包括请求地址服务器为终端分配临时IP地址的标记，接入设备接收地址服务器返回的响应消息，响应消息中包含地址服务器接收到所述请求消息后为所述终端分配的IP地址，以及接入设备接收到认证失败消息后，不向所述终端下发该IP地址，同时向地址服务器发送包含所述终端的MAC地址的撤销消息，DHCP服务器在接收到撤销消息后，根据MAC地址查找租约表，得到所述终端的租约表项后，释放作为临时IP地址的IP地址，从而保证非法终端无法占用IP资源。
[0082]由上述实施例可见，接入设备在获取到对终端的认证结果后，通过与DHCP服务器交互，使得DHCP服务器可以快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。
[0083]参见图1B，为应用本发明实施例的一种网络架构示意图:
[0084]图1B中示出了一个BSS，该BSS内包括一个管理BSS的接入设备AP，以及三个终端，分别表示为STA1、STA2和STA3。BSS内的三个终端与该接入设备AP相互关联，该AP通常具有认证代理、接入控制、IP地址分配代理等功能，本发明实施例中，在BSS内的每个终端要接入网络时，需要通过AP与认证服务器交互，对终端的身份进行认证，同时还需要通过接入设备与DHCP服务器交互，获得一个IP地址，终端可以通过该IP地址接入网络，并实现与网络中其它终端的通信。
[0085]下面结合图1B示出的网络架构，以释放为第一终端分配的IP地址为例，详细描述本发明实施例。
[0086]参见图2，为本发明释放IP地址的方法的第二实施例流程图，该实施例示出了 AP通过发送DHCP释放消息请求DHCP服务器释放为非法终端分配的IP地址的过程:
[0087]步骤201:AP向DHCP服务器发送DHCP请求消息，请求DHCP服务器为第一终端分配IP地址，该DHCP请求消息中包含第一终端的第一 MAC地址。
[0088]本实施例中，AP作为所连接的第一终端的代理，可以通过与DHCP服务器交互，请求DHCP服务器为要接入网络的第一终端分配IP地址。AP在为终端请求IP地址时，可以向DHCP服务器发送包含该第一终端的第一 MAC地址的DHCP请求消息(DHCP REQUEST)。
[0089]步骤202:AP获取认证服务器返回的第一终端的认证结果消息，该认证结果消息中包含第一终端的终端标识。
[0090]本发明实施例中对终端请求IP地址的过程与对终端的认证过程可以并行执行。其中，认证服务器可以具体为AAA服务器，认证服务器对终端的认证过程与现有技术一致，例如，可以采用基于客户端/服务器(Client/Server)的访问控制和认证协议，比如802.1x认证。当认证结束后，认证服务器向AP返回包含第一终端认证结果的认证结果消息，认证结果消息包括第一终端为合法终端时发送的认证成功消息或第一终端为非法终端时发送的认证失败消息。认证结果消息中还可以携带对话令牌(D i a I ο g to ken ),通常对话令牌由AP分配，用于标识AP与认证服务器之间的认证对话，AP通过记录该对话令牌与终端MAC地:地址的对应关系，当仙接收到认证失败消发败消息中获取第一终端的终端标识，根据与第一终端的终端标识对应的第一终端的
季放消息，该0此？释放消息中包含第一嫩
0此？服务器发送包含第一终端的第一嫩
欠消息后，根据第一嫩地址查找到第一 I？束当前流程。
庚取该消息中携带的第一监地址，并根据1表项，释放该租约表项中为第一终端分配释放为非法终端分配的I？地址，防止非法
-终端，结束当前流程。
可以根据认证成功消息确定第一终端为合端分配的短租约时间。
[0106]本实施例中，AP作为所连接的第一终端的代理，可以通过与DHCP服务器交互，请求DHCP服务器为要接入网络的第一终端分配IP地址。AP在为终端请求IP地址时，可以向DHCP服务器发送包含该第一终端的第一 MAC地址的DHCP请求消息(DHCP REQUEST)，进一步，该DHCP请求消息与现有DHCP请求消息相比,可以增加一个选项,该新增加的选项用于指示DHCP服务器为第一终端分配一个较短的租约时间，由于该较短的租约时间低于预设的租约时间，因此本实施例中称该较短的租约时间为短租约时间，短租约时间可以根据需要进行设置，对此本发明实施例不进行限制。
[0107]步骤302:AP获取认证服务器返回的第一终端的认证结果消息，该认证结果消息中包含第一终端的终端标识。
[0108]本发明实施例中对终端请求IP地址的过程与对终端的认证过程可以并行执行。其中，认证服务器可以具体为AAA服务器，认证服务器对终端的认证过程与现有技术一致，例如，可以采用基于客户端/服务器(Client/Server)的访问控制和认证协议，比如802.1x认证。当认证结束后，认证服务器向AP返回包含第一终端认证结果的认证结果消息，认证结果消息包括第一终端为合法终端时发送的认证成功消息或第一终端为非法终端时发送的认证失败消息。认证结果消息中还可以携带对话令牌(D i a I ο g t oken ),通常对话令牌由AP分配，用于标识AP与认证服务器之间的认证对话，AP通过记录该对话令牌与终端MAC地址的对应关系，识别不同终端的认证结果消息。
[0109]步骤303:AP接收DHCP服务器根据DHCP请求消息为第一终端分配的第一 IP地址。
[0110]DHCP服务器接收到地址请求消息后，可以为第一终端分配第一 IP地址，并将该第一 IP地址携带在DHCP响应消息(DHCP ACKNOWLEDGE或者DHCP Offer)中；相应的，DHCP服务器在租约表中记录该第一终端的租约表项，该租约表项中包含第一终端的IP地址、第一MAC地址、短租约时间等信息。
[0111]需要说明的是，本发明实施例对步骤302和步骤303之间的执行顺序不进行限制。
[0112]步骤304:判断认证结果消息的类型，如果为认证失败消息，则执行步骤305 ;如果为认证成功消息，执行步骤306。
[0113]步骤305:AP丢弃DHCP服务器为第一终端分配的第一 IP地址，以及DHCP服务器在短租约时间到达时释放第一 IP地址，结束当前流程。
[0114]AP根据认证失败消息确定第一终端为非法终端时，不将第一 IP地址下发给第一终端，并丢弃该第一 IP地址；相应的，由于DHCP服务器在第一终端的租约表项中记录了第一终端的短租约时间，因此在短租约时间到达时，可以快速释放为非法的第一终端分配的第一 IP地址，使得第一终端无法接入网络，更不能对第一 IP地址进行续租，并且DHCP服务器可以将第一 IP地址分配给其它合法终端，以防止非法终端的IP地址攻击。
[0115]另外，AP根据认证失败消息确定第一终端为非法终端时，也可以向DHCP服务器发送包含第一终端的第一 MAC地址的DHCP释放消息(DHCP RELEASE), DHCP服务器接收到DHCP释放消息后，根据第一 MAC地址查找到第一 IP地址，并释放为第一终端分配的第一 IP地址。
[0116]步骤306:AP将第一 IP地址下发给第一终端，以使第一终端在短租约时间到达前向DHCP服务器请求续租第一 IP地址，结束当前流程。
[0117]AP根据认证成功消息确定第一终端为合法终端时，将第一 IP地址下发给第一终端，第一终端可以利用该第一 IP地址向DHCP服务器请求续租；相应的，DHCP服务器可以在短租约时间到达前接收到合法的第一终端续租请求，从而为第一 IP地址分配预设的租约时间，保证第一终端正常的网络通信。
[0118]由上述实施例可见，接入设备在请求为终端分配IP地址时，向DHCP服务器发送短租约时间，从而在获取到认证服务器对终端的认证结果后，通过与DHCP服务器交互，使得DHCP服务器可以在短租约时间到达时，快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。
[0119]参见图4，为本发明释放IP地址的方法的第四实施例流程图，该实施例示出了 AP通过发送撤销消息通知DHCP服务器释放为非法终端分配的IP地址的过程：
[0120]步骤401 ：AP向DHCP服务器发送地址请求消息，请求DHCP服务器为第一终端分配临时IP地址，该地址请求消息中包含第一终端的第一 MAC地址以及请求DHCP服务器为第一终端分配临时IP地址的标记。
[0121]本实施例中，AP作为所连接的第一终端的代理，可以通过与DHCP服务器交互，请求DHCP服务器为要接入网络的第一终端分配IP地址。AP在为终端请求IP地址时，可以在现有的DHCP请求消息中携带一个临时IP地址的标记，请求DHCP服务器为第一终端分配一个临时IP地址。
[0122]步骤402 :AP获取认证服务器返回的第一终端的认证结果消息，该认证结果消息中包含第一终端的终端标识。
[0123]本发明实施例中对终端请求IP地址的过程与对终端的认证过程可以并行执行。其中，认证服务器可以具体为AAA服务器，认证服务器对终端的认证过程与现有技术一致，例如，可以采用基于客户端/服务器（Client/Server)的访问控制和认证协议，比如802. Ix认证。当认证结束后，认证服务器向AP返回包含第一终端认证结果的认证结果消息，认证结果消息包括第一终端为合法终端时发送的认证成功消息或第一终端为非法终端时发送的认证失败消息。认证结果消息中还可以携带对话令牌（D i a I ο g t oken ),通常对话令牌由AP分配，用于标识AP与认证服务器之间的认证对话，AP通过记录该对话令牌与终端MAC地址的对应关系，识别不同终端的认证结果消息。
[0124]步骤403 ：AP接收DHCP服务器发送的地址响应消息，该地址响应消息包含DHCP服务器根据地址请求消息为第一终端分配的第一 IP地址，同时DHCP服务器为第一 IP地址添加临时标记。
[0125]DHCP服务器接收到地址请求消息后，可以为第一终端分配第一 IP地址，并将该第一 IP地址携带在地址响应消息中；相应的，DHCP服务器在租约表中记录该第一终端的租约表项，该租约表项中包含第一终端的第一 IP地址、第一 MAC地址、租约时间、以及临时标记
坐寸ο
[0126]需要说明的是，本发明实施例对步骤402和步骤403之间的执行顺序不进行限制。
[0127]步骤404 :AP判断认证结果消息的类型，如果为认证失败消息，则执行步骤405 ;如果为认证成功消息，执彳丁步骤407。
[0128]步骤405 ：AP向DHCP服务器发送包含第一 MAC地址的撤销消息。[0129]当AP根据认证失败消息确定第一终端为非法终端时，AP构建包含第一终端的第一 MAC地址的撤销消息，并将该撤销消息发送给DHCP服务器。
[0130]步骤406:DHCP服务器接收到撤销消息后，根据第一MAC地址查找到第一 IP地址，并释放为第一终端分配的第一 IP地址，结束当前流程。
[0131]DHCP服务器接收到撤销消息后，获取撤销消息中的第一 MAC地址，根据第一 MAC地址查找租约表，获得第一终端的租约表项，释放该租约表项中为第一终端分配的第一 IP地址，从而保证DHCP服务器可以快速释放为非法终端分配的IP地址，防止非法终端的IP地址攻击。
[0132]步骤407:AP将第一 IP地址下发给第一终端，并向DHCP服务器发送包含第一 MAC地址的确认消息。
[0133]当AP根据认证成功消息确定第一终端为合法终端时，将地址响应消息中携带的第一 IP地址下发给第一终端，并且AP构建包含第一终端的第一 MAC地址的确认消息，并将该确认消息发送给DHCP服务器。
[0134]步骤408:DHCP服务器接收到确认消息后，根据第一 MAC地址查找到第一 IP地址，并删除第一 IP地址的临时标记，结束当前流程。
[0135]DHCP服务器接收到确认消息后，获取确认消息中的第一 MAC地址，根据第一 MAC地址查找租约表，获得第一终端的租约表项，删除该租约表项中为第一 IP地址设置的临时标记，从而保证合法的第一终端可以正常进行网络通信。
[0136]由上述实施例可见，接入设备在获取到认证服务器对终端的认证结果后，通过向DHCP服务器发送撤销消息，使得DHCP服务器可以快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。
[0137]与本发明释放IP地址的方法的实施例相对应，本发明还提供了释放IP地址的装置及接入设备。
[0138]参见图5，为本发明释放IP地址的装置的实施例框图:
[0139]该装置包括:发送单元510、获取单元520和交互单元530。
[0140]其中，发送单元510，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为终端分配IP地址；
[0141]获取单元520，用于获取所述终端的认证结果消息；
[0142]交互单元530，用于如果所述获取单元520获取的认证结果消息为认证失败消息，则通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
[0143]在第一个具体的实施例中，所述交互单元530可以包括:
[0144]第一地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0145]第一释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
[0146]在第二个具体的实施例中，所述发送单元510发送的所述请求消息中还包含地址服务器为所述终端分配的短租约时间；
[0147]所述交互单元530可以包括:
[0148]第二地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址；
[0149]第二释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址；或者，
[0150]地址丢弃子单元，用于丢弃所述第二地址接收子单元接收到的所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址；
[0151]地址下发子单元，用于如果所述获取单元520获取到的认证结果消息为认证成功消息，则在所述第二地址接收子单元接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
[0152]在第三个具体的实施例中，所述发送单元510发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记；
[0153]所述交互单元530可以包括：
[0154]第三地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址；
[0155]撤销请求子单元，用于向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址；
[0156]确认通知子单元，用于如果所述获取单元520获取到的所述认证结果消息为认证成功消息，则在所述第三地址接收子单元接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
[0157]参见图6，为本发明接入设备的实施例框图：
[0158]该接入设备包括：总线610，以及通过所述总线610连接的客户端接口 620、网络接口 630和处理器640。
[0159]其中，所述客户端接口 620，用于连接终端；
[0160]所述网络接口 630，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为所述终端分配IP地址，以及获取所述终端的认证结果消息；
[0161]所述处理器640，用于如果所述认证结果消息为认证失败消息，则通过所述网络接口与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
[0162]在第一个具体的实施例中：
[0163]所述处理器640，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的一 IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
[0164]在第二个具体的实施例中：
[0165]所述网络接口 630发送的请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间；
[0166]所述处理器640，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址，或者用于丢弃所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址；
[0167]进一步，所述处理器640，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
[0168]在第三个具体的实施例中:
[0169]所述网络接口 630发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记；
[0170]所述网络接口 630，还用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址；
[0171]所述处理器640，具体用于通过所述网络接口向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的所述IP地址；
[0172]进一步，所述处理器640，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
[0173]本实施例中，接入设备可以具体指AP或者AC等。
[0174]由上述实施例可见，接入设备向地址服务器发送用于请求所述地址服务器为终端分配IP地址的请求消息，以及获取所述终端的认证结果消息，如果所述认证结果消息为认证失败消息，则所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。本发明实施例中接入设备在获取到对终端的认证结果后，通过与DHCP服务器交互，使得DHCP服务器可以快速释放为非法终端分配的IP地址，从而使网络中的IP资源不会被非法终端耗尽，保证合法终端可以接入网络。。
[0175]本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0176]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0177]以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种释放互联网协议IP地址的方法，其特征在于，所述方法包括: 接入设备向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为终端分配IP地址； 以及，所述接入设备获取所述终端的认证结果消息； 如果所述认证结果消息为认证失败消息，则所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
2.根据权利要求1所述的方法，其特征在于，所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括: 所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址； 向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
3.根据权利要求1所述的方法，其特征在于，所述请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间； 所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括: 所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址； 向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址，或者丢弃所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
4.根据权利要求3所述的方法，其特征在于，所述方法还包括: 如果所述认证结果消息为认证成功消息，则所述接入设备在接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
5.根据权利要求1所述的方法，其特征在于，所述请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记； 所述接入设备通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址，包括: 所述接入设备接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址； 向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
6.根据权利要求5所述的方法，其特征在于，所述方法还包括: 如果所述认证结果消息为认证成功消息，则所述接入设备在接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
7.一种释放IP地址的装置，其特征在于，所述装置包括: 发送单元，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为终端分配IP地址； 获取单元，用于获取所述终端的认证结果消息； 交互单元，用于如果所述获取单元获取的认证结果消息为认证失败消息，则通过与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
8.根据权利要求7所述的装置，其特征在于，所述交互单元包括: 第一地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址； 第一释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
9.根据权利要求7所述的装置，其特征在于， 所述发送单元发送的所述请求消息中还包含地址服务器为所述终端分配的短租约时间； 所述交互单元包括: 第二地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请 求消息后为所述终端分配的IP地址； 第二释放请求子单元，用于向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址；或者， 地址丢弃子单元，用于丢弃所述第二地址接收子单元接收到的所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
10.根据权利要求9所述的装置，其特征在于，所述交互单元还包括: 地址下发子单元，用于如果所述获取单元获取到的认证结果消息为认证成功消息，则在所述第二地址接收子单元接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终端。
11.根据权利要求7所述的装置，其特征在于， 所述发送单元发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记； 所述交互单元包括: 第三地址接收子单元，用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址； 撤销请求子单元，用于向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
12.根据权利要求11所述的装置，其特征在于，所述交互单元还包括: 确认通知子单元，用于如果所述获取单元获取到的所述认证结果消息为认证成功消息，则在所述第三地址接收子单元接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
13.一种接入设备，其特征在于，所述接入设备包括:总线以及通过所述总线连接的客户端接口、网络接口和处理器；其中， 所述客户端接口，用于连接终端；所述网络接口，用于向地址服务器发送请求消息，所述请求消息用于请求所述地址服务器为所述终端分配IP地址，以及获取所述终端的认证结果消息； 所述处理器，用于如果所述认证结果消息为认证失败消息，则通过所述网络接口与所述地址服务器交互，以使所述地址服务器释放为所述终端分配的IP地址。
14.根据权利要求13所述的接入设备，其特征在于， 所述处理器，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址。
15.根据权利要求13所述的接入设备，其特征在于， 所述网络接口发送的请求消息中还包含请求所述地址服务器为所述终端分配的短租约时间； 所述处理器，具体用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器接收到所述请求消息后为所述终端分配的IP地址，并通过所述网络接口向所述地址服务器发送释放消息，以使所述地址服务器接收到所述释放消息后，释放所述IP地址，或者用于丢弃所述地址服务器为所述终端分配的IP地址，以使所述地址服务器在所述短租约时间到达时释放所述IP地址。
16.根据权利要求15所述的接入设备，其特征在于， 所述处理器，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的IP地址的响应消息后，将所述IP地址下发给所述终。
17.根据权利要求13所述的接入设备，其特征在于， 所述网络接口发送的请求消息中还包括请求所述地址服务器为所述终端分配临时IP地址的标记； 所述网络接口，还用于接收所述地址服务器返回的响应消息，所述响应消息中包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址； 所述处理器，具体用于通过所述网络接口向所述地址服务器发送撤销消息，以使所述地址服务器接收到所述撤销消息后，释放所述作为临时IP地址的IP地址。
18.根据权利要求17所述的接入设备，其特征在于， 所述处理器，还用于如果所述认证结果消息为认证成功消息，则在所述网络接口接收到包含所述地址服务器为所述终端分配的作为临时IP地址的IP地址的响应消息后，向所述地址服务器发送确认消息，以使所述地址服务器接收到所述确认消息后，将所述IP地址正式分配给所述终端。
【文档编号】H04L29/06GK103841219SQ201210475443
【公开日】2014年6月4日 申请日期:2012年11月21日 优先权日:2012年11月21日
【发明者】张兴新 申请人:华为技术有限公司