专利名称:一种宽带网络接入方法
技术领域:
本发明涉及无线网络的接入方法,具体地说涉及宽带无线网络的接入方法。
为达到上述目的,本发明提供的宽带网络的安全接入方法,包括(1)用户终端向DHCP中继服务器发出DHCP请求报文;(2)DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后转步骤(3),否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;(3)DHCP服务器收到用户终端的DHCP请求报文后,为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,发给DHCP中继服务器;(4)DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络。
所述步骤(1)由下述步骤完成(A1)用户终端向向网络中的二层接入设备发出DHCP请求报文;(A2)网络中的二层接入设备将DHCP请求报文转发给DHCP中继服务器。
上述步骤(A1)所述二层接入设备为网络交换机。
上述步骤(A1)还包括二层接入设备在DHCP请求报文中加入虚拟网络(VLAN)标签,该VLAN标签标识二层接入设备接入用户端口的虚拟网络标识(VLANID)。
上述步骤(2)所述根据报文对用户进行认证和合法性检查通过DHCP请求报文中的VLANID进行。
由于本发明在DHCP中继服务器处通过用户终端发出网络接入请求报文对其进行认证和合法性检查,根据检查结果对用户终端的DHCP请求报文进行过滤,只把合法用户的DHCP请求报文中转给DHCP服务器,这样,弥补了DHCP协议本身的安全性漏洞,在实际实现时无需改动现有的DHCP服务器软件,只需在DHCP中继处进行修改、扩充即可,方便应用;由于本发明可以限制非法用户接入网络,提高了网络接入的安全性。
目前在宽带接入中,用户终端一般都会通过二层交换设备接入网络,其中最为常见的二层交换设备是支持802.1Q协议(它是由IEEE(电气和电子工程师协会)组织制定的关于如何实现虚拟局域网的一个标准协议)的以太网二层交换机(LANSWITCH,Local Area Network Switch)。所有由LANSWITCH接入的用户终端发出的报文都可以被加上一个特殊的用于用户终端识别的标记,实际中,该标记可以为VLAN(Virtual Local AreaNetwork虚拟局域网)标签,此VLAN标签标可以唯一标识此用户终端接入LANSWITCH的特定物理接口。因此,网络中的DHCP中继服务器就可以利用这个VLAN标签实现对用户的认证和合法性检查。
图1是本发明所述方法的第一个实施例流程图,该流程通过网络中二层网络设备,即网络交换机、DHCP中继服务器和DHCP服务器实现。如图1所示,在步骤1,用户终端向向网络中的网络交换机LANSWITCH发出DHCP请求报文,现有的LANSWITCH通常支持8021.Q协议,用户从接入端口发来的以太网格式的报文经过该交换机都将加上一个VLAN头以标识用户接入的端口位置。按照802.1Q协议封装的报文格式就是在原来的以太网帧头中的源地址后增加了一个802.1Q帧头,之后接原来以太网的长度或类型域,参考图3。该802.1Q标签头包含了标签协议标识(TPID--TagProtocol Identifier),表明这是一个加了802.1Q标签的报文,还包含标签控制信息(TCI--Tag Control Information),上述标签协议标识和标签控制信息参考图4。图4描述的标签头的信息包括虚拟网络标识(VLAN Identified,VLAN ID),这是一个12位的域,指明VLAN的ID,用以指明此报文属于哪一个VLAN,是进行基于端口认证的标识。
规范格式指示(CFICanonical Format Indicator),用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式。
优先级(Priority),位指明帧的优先级,用于当交换机阻塞时,优先发送哪个数据包。
由于增加了802.1Q标签头,因此即使用户中断不支持802.1Q,即计算机发送出去的数据包的以太网帧头不包含这些信息,只要经过LANSWITCH后可以由LANSWITCH加上这个VLAN头以对用户进行合法性验证。
基于步骤1,在步骤2网络中的LANSWITCH备将DHCP请求报文转发给DHCP中继服务器。这样,DHCP中继服务器在步骤3接收用户终端的DHCP请求报文,然后在步骤4通过DHCP请求报文中的VLANID对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后进行步骤6,DHCP服务器接收用户终端的DHCP请求报文,为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,发给DHCP中继服务器。最后在步骤7,由DHCP中继服务器将收到的DHCP服务器发出的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络;如果步骤4的合法性检查没通过,则在步骤5丢弃该用户终端的DHCP请求报文,终止该用户的网络接入。
图2是本发明所述方法的第二个实施例流程图,该流程通过网络中的DHCP中继服务器和DHCP服务器实现。首先在步骤11,用户终端向DHCP中继服务器发出DHCP请求报文;DHCP中继服务器在步骤12收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器;DHCP服务器在步骤14接收用户终端的DHCP请求报文,为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,发给DHCP中继服务器;最后在步骤15,DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络,如果在步骤12对用户进行的认证和合法性检查没有通过,则在步骤13丢弃该用户终端的DHCP请求报文,终止该用户的网络接入。
需要说明,如果采用图2的实施方式,为在步骤12对用户进行的认证和合法性检查,需要在步骤11用户终端发出的报文中加入用户识别信息,为此,可以通过用户预先注册的方法确定该信息,这样就可以通过DHCP中继服务器在步骤12对用户进行认证和合法性检查,从而隔离非法用户。
权利要求
1.一种宽带网络接入方法,包括(1)用户终端向DHCP中继服务器发出DHCP请求报文;(2)DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后转步骤(3),否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;(3)DHCP服务器收到用户终端的DHCP请求报文后,为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,发给DHCP中继服务器;(4)DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络。
2.根据权利要求1所述的宽带网络的接入方法,其特征在于所述步骤(1)由下述步骤完成(A1)用户终端向向网络中的二层接入设备发出DHCP请求报文;(A2)网络中的二层接入设备将DHCP请求报文转发给DHCP中继服务器。
3.根据权利要求2所述的宽带网络的接入方法,其特征在于步骤(A1)所述二层接入设备为网络交换机。
4.根据权利要求2所述的宽带网络的接入方法,其特征在于步骤(A1)包括二层接入设备在DHCP请求报文中加入虚拟网络(VLAN)标签,该VLAN标签标识二层接入设备接入用户端口的虚拟网络标识(VLANID)。
5.根据权利要求4所述的宽带网络的接入方法,其特征在于步骤(2)所述根据报文对用户进行认证和合法性检查通过DHCP请求报文中的VLANID进行。
全文摘要
本发明公开了一种宽带网络接入方法,该方法在用户终端发出DHCP请求报文时,由DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,DHCP服务器为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,并由DHCP中继服务器将DHCP响应报文转发给用户终端,用户终端获得IP地址进而接入网络,否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;采用本发明可以限制非法用户接入网络,提高了网络接入的安全性。
文档编号H04L12/54GK1458761SQ0211780
公开日2003年11月26日 申请日期2002年5月15日 优先权日2002年5月15日
发明者张群 申请人:华为技术有限公司