一种网络接入认证方法及系统和装置的制作方法

专利名称：：一种网络接入认证方法及系统和装置的制作方法
技术领域：
：本发明涉及网络通信领域，尤其涉及一种网络接入认证方法及系统和装置。
背景技术：
：动态主才几配置f办i义(DynamicHostConfigurationProtocol,DHCP)是一种动态指定IP地址和配置参数的机制，主要用于大型网络环境和网络配置比较困难的地方。DHCP系统主要包括DHCP服务器(DHCPServer)和DHCP客户端(DHCPClient),有些系统也包括DHCP认证服务器。DHCP服务器自动为DHCP客户端指定IP地址，通过指定的配置参数^使得网络上的计算机通信变得更加方便和易于实现。所有的配置信息'都通过DHCP服务器来统一管理，通过DHCP服务器分配IP地址并配置其它大量的参lt信息，以及，寸-IP地址进行租期管理，实现IP地址的分时复用等诸多优点，在网络环境中已经得到了广泛的应用。在DHCP系统中，所有的IP网络设定的资料都由DHCP服务器集中管理，并负责处理DHCP客户端的要求，而DHCP客户端则会^f吏用从DHCP分配下来的IP环境资料。图1示出了现有的DHCPi人证流程图，其中该DHCP认证流程图的系统图包含了DHCP客户端、DHCP服务器以及认证服务器(AuthenticationServer,AS)。DHCP客户端为网络中利用DHCP协议来获取配置参数如IP地址的主机，即客户的主机或者其他能够获取IP地址的设备。DHCP服务器用于提供DHCP服务，根据不同DHCP客户端提供IP地址或其他网络相关参数，一般存在于路由器、三层交换机或者专门的DHCP服务器中。AS负责对DHCP客户端提供的认证材料进行检验，并向DHCP客户端返回认证的结果。图l示出了现有技术中DHCPv4消息与DHCP选项(Option)的功能组合，其中Option允许厂商定义以提供更多的设定咨询，下面结合图1和表1来详细说明图1中DHCP认证的过程<table>tableseeoriginaldocumentpage6</column></row><table>表1步骤S101:DHCP客户端所在的用户终端进入网全各时，广l番动态主机配置协议的发现报文(DHCPDiscover)给DHCP服务器，并发送的消息表明DHCP客户端支持的认证模式。步骤S102:DHCP服务器在接收到DHCPDiscover才艮文之后在DHCP认证请求(DHCPAuth-request)中携带可扩展认证协议(ExtensibleAuthenticationProtocol,EAP)消息，并将携带了EAP消息的DHCPi人i正请求发送给DHCP客户端进入认i正过程；步骤S103:DHCP客户端在收到DHCPAuth-request消息之后，DHCP客户端发送DHCP认证回复(Auth-response)中携带的EAP消息给DHCP服务器；步骤SI04:DHCP服务器将DHCP客户端的EAP消息封装在认证、授权和计费(Authentication,AuthorizationandAccounting,AAA)消息中发送给AS(AuthenticationServer,AS);步骤SI05:AS通知DHCP服务器认证的结'果，认证成功则利用AAA协议携带EAP成功(success)消息发送给DHCP服务器；步骤S106:DHCP服务器构造DHCPOffer消息携带EAPsuccess消息给6DHCP客户端，其包括预分配给DHCP客户端的IP地址项(youripaddress,yiaddr)数据报文；步骤S107:DHCP收到DHCPOffer消息后，向DHCP服务器返回请求配置参数或请求配置参数的确认消息DHCPrequest;步骤S108:DHCP服务器向DHCP客户端返回一个地址分配回应消息DHCPACK。在实施该方案的过程中，因在认证过程中需要将相应的EAP消息携带在DHCP服务器和AS的协议中，致使DHCP服务器和AS之间的处理流程发生改变，需要对DHCP服务器和AS进行相应的改造才能支持相应的认证功能，增加了相应的运营成本。另外，在实施该流程图l的过程中，只有在DHCP客户端处分配了一个静态的IP地址之后，本方案中的认i正过禾呈才能进行，在动态IP分配过程中，认证过程开始之前用户是没有IP地址的，则步骤S102开始的认证过程是没有办法进行的。
发明内容鉴于上述现有技术所存在的问题，本发明实施例^是供了一种网络接入认证方法及系统和装置。通过在认证系统中设置4妻入认证者，在认证的过程中，针对不同的DHCP客户端通过DHCP接入认证者配置相应的配置参数实现认证过程，从而不需要对DHCP服务器进行相应的改造从而能够进4亍认证过程。为了解决上述技术问题，本发明实施例提出了一种网络接入认证方法，包括接入认证者接收动态主机配置协议客户端发送的发现报文，通过与动态主机配置协议服务器交互信息，为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息；才艮据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协i义客户端进行认i正；iU正成功后，由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。相应的，本发明实施例还提出了一种网络接入认证系统，包括用于为动态主机配置协议客户端提供包括网络i也址的配置信息的动态主机配置协议服务器；用于提供认证服务的认证服务器；接入认证者，用于在4妾收动态主机配置协议客户端发送的发现4艮文后，通过与所述动态主机配置协议服务器交互信息为动态主才几配置协议客户端提供包括第一网络地址的第一配置信息，并利用所述第一配置信息与所述认证服务器交互信息以对所述动态主机配置协议客户端进行认证，其中，认证成功后，由所述动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。相应的，本发明实施例还公开了一种接入认证装置，包括第一处理模块，用于接收动态主机配置协议客户端发送的发现报文后，与动态主机配置协议服务器交互信息，生成所述动态主4几配置协议客户端的第一配置信息；认证模块，用于根据所述第一配置信息与认证服务器交互信息以对所述动态主才几配置协议客户端进4亍认证；第二处理模块，'用于在认证成功后，与动态主机配置协议服务器交互信息,'生成所述客户端会话过程使用的第二配置信息。相应的，本发明实施例还公开了一种宽带接入设备，包括一个或多个用户接口，用于与一个或多个客户端交互信息；一个或多个网络接口，用于与一个或多个网络设备交互信息；接入认证处理模块，与用户接口和所述一个或多个网路接口相连，用于接收到来自动态主机配置协议客户端的发现报文后，通过网络接口与动态主机配置协议服务器交互信息，生成所述动态主才几配置协议客户端的第一配置信息，利用所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证，认证成功后，与动态主机配置协议服务器交互信息，生成并向所述客户端返回会话过程使用的第二配置信息。相应的，本发明实施例还公开了一种接入控制器，包括检测单元用于对动态主机配置协议客户端发送的数据包或数据流进行监控；流信息进行非加密接入过滤或加密接入过滤。实施本发明实施例，通过在网络中设置接入认证者，通过所述接入认证者代理相应的客户端进行认证过程，不需要对DHCP服务器进行特别的改造就能够配置相应的接入认证者对所述DHCP客户端进行相应的认证，在认证之前为客户端提供第一网络地址，从而提高了认证过程的稳定性，也提高了认证效率和成功率。在通过接入控制器实现了对客户端的数据面的监控，对数据流进行非加密接入过滤和加密接入过滤从而保证了数据流的安全性。图1是现有的DHCP认证流程图；图2是本发明实施例中DHCP认证系统图；图3是本发明实施例中DHCP认证中采用加密接入过滤的IP会话周期示意图；图4是本发明实施例中DHCP认证中采用非加密接入过滤的IP会话周期示意图；图5是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的流程图；图6是本发明实施例中表3中DHCPv6版本首次DHCP认证成功的流程图；图7是本发明实施例中表2中DHCPv4版本首次DHCP认证失败的流程图；图8是本发明实施例中表3中DHCPv6版本首次DHCP认证失败的流程图；图9是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的简化流程图；图10是本发明实施例中表2中DHCPv4版本DHCP重认证成功的流程图；图12是本发明实施例中表4中DHCPv4版本首次DHCP认证失败的流程图；图13是本发明实施例中表4中DHCPv4版本首次DHCP认证成功的简化流程图；图14是本发明实施例中表4中DHCPv4版本中通过DHCP客户端触发重认i正成功的流程图；图15是本发明实施例中表4中DHCPv4版本中通过DHCP认证者触发重认i正成功的流程图；图16是本发明实施例中DHCP认证成功后基于加密接入过滤的DHCP认证流程图17是本发明实施例中DHCP认证成功后基于非加密接入过滤的DHCP认证流程图。具体实施方式本发明实施例提供了一种网络接入认证方法及网络接入系统和接入认证装置。通过在认证系统中设置DHCP认证者，在认证的过程中，针对不同的DHCP客户端找到相应的DHCP认证者进行代理认证过程，乂人而不需要对DHCP进行相应的改造，减少了运营成本。下面结合附图详细说明本发明的优选实施例。首先请参阅图2，图2示出了本发明实施例中的DHCP认证系统的系统图，引入携带和控制相分离的技术，该系统包括了接入网络上的多个DHCP客户端301、DHCP认证者302、认证服务器304、DHCP服务器303以及接入控制器305等，其中接入控制器305位于数据面，其他都处于控制面。DHCP'客户端(DHCPClient)301为DHCP认证的申请者，需要获得所述网络中的DHCP认证协议之后才肯feii7v网络的访问，DHCP客户端301本身关联了相关的DHCP认证协议范围内的身份认证资料，DHCP客户端301可以是便携式电脑、个人数字助理、移动电话、个人台式电脑以及路由企等连入网络上的终端设备，DHCP客户端301需要通过相应模式下的DHCP认证者302所支持来完成客户端的认证过程。DHCP认证者(DHCPAuthenticator)302即为接入认证者，DHCP认证者302在网络中根据需求可^L置多个，在DHCP认证过^E中通过与所支持相应的DHCP客户端301进行DHCP认证协议交互，在接收来自动态主机配置协议客户端301的发现报文后，通过与所述DHCP服务器303交互信息为动态主机配置协议客户端提供一个临时的IP地址，并利用所述临时的IP地址与所述认证服务器交互信息以对所述动态主机配置协议客户端进行i人证，通过代理DHCP客户端301与认证服务器304进行AAA认证协议等交互，并为DHCP客户端301提供接入认证和授权，在为其还可以通过建立或解除访问授权来对DHCP客户端301中的接入访问的控制状态进行更新，通过DHCP认证者302也实现了在DHCP认证中的中继过程。在位于网络的IP边缘节点处，DHCP认证者可以是宽带接入服务器(BroadbandAccessServer,BRAS)或网络中的网关设备(BNG)，或者是其它接入设备。其中DHCP认证者302可以与i人证服务器304在实际的构造设备过程中可以合成一个单元进行认证月良务。在DHCP认证者302中设有第一处理才莫块，用于接收到来自动态主机配置协议客户端的发现报文后，与动态主机配置协议服务器交互信息，生成所述动态主机配置协议客户端的第一配置信息；认证模块，用于根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证；第二处理模块，用于在认证成功后，与动态主机配置协议服务器交互信息，生成所述客户端会话过程使用的第二配置信息；重认证模块，用于在所述会话过程中，对所述动态主机配置协议客户端进行重认证过程。DHCP服务器(DHCPServer)303根据DHCP客户端301发送的请求通过DHCP协议为DHCP客户端301提供动态主机等相关的配置服务。认证服务器304用于负责DHCP客户端301提供的认证材料进行4企验，并向DHCP客户端301返回检验的结果以及授权的参数，它可以和DHCP认证者302位于同一节点中，通'过应用程序接口(ApplicationProgrammingInterface,API)进行数据的传递，也可以是网络中专门提供的认证服务器，如果DHCP认证者302和认证服务器304不在同一个网络节点中，则需要依靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证过程中的数据交互。接入控制器(AccessController,AC)305用于对出入DHCP客户端301设备的数据包或数据流信息进行监控，并根据从DHCP认证者302处获得的接入控制策略来对数据包或数据流信息进行非加密或加密接入过滤，AC305对数据流的过滤可以发生在链if各层，也可以发生在网络层或以上层中。通常AC305位于DHCP客户端301和DHCP认证者302中之间的链路上。若网络底层缺乏安全保障，则必须釆用加密接入过滤方式，DHCP客户301与AC305之间需要建立安全联盟，安全联盟建立可釆用因特网密钥交换协i义(InternetKeyExchange,IKE)协议，或采用802.11i的安全联盟建立的四次握手协议(4WHS协议)，或釆用802.16的安全联盟建立的三次握手协议(3WHS协议)；在完成安全联盟建立后，可采用链路层或网络层加密协议进行数据流的安全保护，加密可采用网络安全协议(IPSecurityProtocolIP，IPSec)协议，或802.1li链路层加密协议，或802.16链路层加密协议。若DHCP认证者302和AC305位于同一节点，则它们之间仅需API相互通信即可，否则，则需要第二层控制协议(Layer2ControlProtocol,L2CP)或简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)协议。其中AC305中相应的设有斥会测单元和数据过滤单元，其中4全测单元用于对客户端发送的数据包或数据流进行监控；数据过滤单元用于#4居接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。这里，由于接入认证者302与DHCP服务器和认证服务器相连，由接入认证者302给接入控制器305提供控制策略等相关信息，信息获取更新更方便灵活。当然，对DHCP客户端301凄t据或H据流的监控、加密4妾入过滤或非加密接入过滤的功能也可以在其它网络接入设备中实现。另外，在DHCP客户端301进行IP会话的过程中，DHCP客户端301是通过租期来约定IP会话时间的，DHCP服务器303允许DHCP客户端301在某个指定的时间内使用某个IP地址，在IP会话的过程中，DHCP服务器303和DHCP客户端301都可以随时中止租用。当DHCP客户端301租用期达到50。/。以上时，可以更新租用期，在重新更新租期的过程中需要进行重认证的过程对DHCP客户端301重新分配IP;也址。DHCP认证过程中对应的IP会话生命周期如图3和4所示，图3示出了DHCP认证中采用加密接入过滤的IP会话周期，图4示出了DHCP认证中采用非加密接入过滤的IP会话周期，一个DHCP认证对应的IP会话包括五个不同的阶段:(1)发现和握手阶段在这个阶段发起一个新的IP会话。DHCP客户端可以通过向特定的DHCP认证者发送请求广播来发现DHCP认证者。DHCP认证者通过发送响应广播应答来开始一个新的会话。(2)认证和授权阶段在发现和握手阶^殳之后，认证消息开始在DHCP认证者和DHCP客户端之间传递。DHCP消息携带的EAP负载包含了EAP认证的各种方法，它主要用来做DHCP客户端的认证。在这个阶段，可能要执行两次EAP认证，一次是为网络访问提供商(NAP),另一次是为互联网服务提供商(ISP)。DHCP认证者在这个阶段的末尾把认证和授权结果传递给DHCP客户端。(3)访问阶段在认证和授权成功后，DHCP客户端主机就可以访问网络了，它发送和接收的IP""数据就可以通过AC的检查了。另外，在这个阶段的任何时刻，DHCP客户端和DHCP认证者都可以发送.[P会话测试数据来检查各自对端的IP会话的存活状态。(4)重新认证阶段在IP会话期，可以通过再次执行EAP认证来从访问阶段进入重新认证阶段。在重新认证成功后，返回访问阶段并延长当前IP会话期，否则，IP会话将被删除。重新认证由DHCP认证者发起，由DHCP客户端或是DHCP认证者触发。(5)终止阶段在任何时候，DHCP客户端或是DHCP认证者都可以发送给对方明确的连接断开消息(如DHCP释放消息)来中止IP会话，从而结束访问月良务。倘若是没有发送断开消息就中止了连接，可能力P会话期期满，或IP会话状态检测失败。以下结合图3和图4中的IP会话周期来详细描述DHCP的整个认证的过程。由于根据网络IP地址选择应用的不同，根据IPv4版本和IPv6版本其所对应的DHCP协议版本分别为DHCPv4版本和DHCPv6版本。表2示出了DHCPv4消<table>tableseeoriginaldocumentpage13</column></row><table><table>tableseeoriginaldocumentpage14</column></row><table>表2息与DHCP选项(Option)的功能组合表，下面结合图5来详细说明其DHCP首次认证成功的第一流程图，其包括以下步骤步骤S701:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个DHCP发现报文消息(Discover)来表明选4奪提供认证授权服务的DHCP认证者和DHCP服务器，并通过协议中的选项表明其支持的认证模式；如果AC和DHCP认证者不在同一个物理层，则需要通过AC将接收到的DHCPDiscover消息转发纟会相应的DHCP认证者。步骤S702:DHCP认证者收到DHCPDiscover消息后，将此消息转发到DHCP服务器；步骤S703:DHCP服务器检查DHCPDiscover的参数，并回应一个地址分配服务确认消息(DHCPOffer),为DHCP客户端提供一个未租借的IP地址和其他相关的DHCP配置^f言息，比如相关的子网掩码和缺省网关；步骤S704:DHCP认证者收到DHCPOffer消息后，在选项中添加表明DHCP认证者支持的认证模式，并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址，并将该IP地址替换为一个供DJlCP客户端本地网使用的局部IP地址，然后.向DHCP客户端转发DHCPOffer消息；步骤S705:DHCP客户端在收到DHCPOffer消息后，则具有了一个临时的局部IP地址，其向DHCP认证者发送地址分配请求消息(DHCPRequest)来响应其已经收到DHCPOffer消息，其DHCPRequest消息中表明了其选择了能够支持相应认证模式的DHCP认证者并接收了DHCP认证者所提供的局部IP地址；步骤S706:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-R叫uest/Identity消息通过地址分配回应(DHCPAck)消息携带，并下发一个仅供DHCP客户端使用的"假租期"，该"假租期"用于使DHCP客户端能迅速响应EAP消息，并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端；需要说明的是，在认证过程中DHCP认证者在每收到地址分配请求消息后，会通过DHCPAck消息携带的EAP消息定下一个仅供DHCP客户端认证使用的"假租期"。在DHCP客户端每收到DHCPAck消息后，会才艮据"假租期"重新设置定时器T1和定时器T2，当定时器T1或定时器T2设定的时间到期时，会重新触发DHCP地址分配请求消息更新"假租期"以携带EAP消息传递的时间。步骤S707:DHCP客户端4妄收到含有EAP-Request/Identity消息的DHCPAck消息之后，DHCP客户端根据"假租期"设定的定时器T1和定时器T2，在定时器Tl到时间时返回DHCP客户端已经收到EAP-Request/Identity消息给DHCP认证者，如果在定时器T1设定的时间内完不成，则需要在定时器T2时间内完成返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者，所述EAP-Request/Identity消息是通过DHCPRequest消息携带的；步骤S708:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S709:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPRequest/Ack消息进行携带的；步骤S710:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；步骤S709和步骤S710是同步进行EAP的认证方法(EAPMethod)协商，以及认证方法交互的过程，对所述DHCP客'户端的身份进行检查和验证，直到EAP认证过程结束。步骤S711:AS通知DHCP认证者认证成功的结果；步骤S708、步骤S710和步骤S711需要说明的是，DHCP认证者和AS如果在同一个网络节点上，则可以通过API进行数据之间的交互和传递;如DHCP认证代理服务和AS不再同一个网络节点中，则需^i靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证之间的数据交互。步骤S712:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPRequest消息携带发送给DHCP服务器；步骤S713:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCPi人证者通过DHCPAck消息携带返回带有认证成功的EAP消息，其中，yiaddr为分配给用户的IP地址；步骤S714:DHCP认证者收到带有认证成功的EAP消息后，"重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCPAck消息携带转发给DHCP客户端。以上是对DHCPv4进行了详细的说明，下面以DHCPv6进行说明，请参阅表3中的DHCPv6消息与DHCPOption的功能组合，下面根据表3中的表格结<formula>formulaseeoriginaldocumentpage17</formula><table>tableseeoriginaldocumentpage18</column></row><table>合图6中的流程图对DHCPv6认证过程进行说明步骤S801:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个发现报文消息(DHCPSolicit消息)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器，并通过协议中的选项表明其支持的认证模式；如果AC和DHCP认证者不在同一个物理层，则需要通过AC将接收到的DHCPSolicit消息转发给相应的DHCP认证者。步骤S802:DHCP认证者收到DHCPSolicit消息后，将此消息转发到DHCP服务器；步骤S803:DHCP服务器检查DHCPSolicit的参数，并回应一个地址分配服务确认消息(DHCPAdvertise),为DHCP客户端提供一个未租借的IP地址和其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关；步骤S804:DHCP认证者收到DHCPAdvertise消息后，在选项中添加表明DHCP认证者支持的认证模式，并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址，并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址，然后向DHCP客户端转发DHCPAdvertise消息；步骤S805:DHCP客户端在收到DHCPAdvertise消息后，则具有了一个临时的局部TP地址，其向DHCP认证者发送地址分配请求消息(DHCPR叫uest)18来响应其已经收到DHCPAdvertise消息，其DHCPR叫uest消息中表明了其选择了能够支持相应认证模式的DHCP认证者并4妻收了DHCPi人证者所提供的局部TP地址；步骤S806:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-Request/Identity消息通过地址分配回应(DHCPReply)消息携带，并下发一个^f又供DHCP客户端使用的"假租期"，该"假租期"用于使DHCP客户端能迅速响应EAP消息，并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端；步骤S807:DHCP客户端接收到含有EAP-Request/Identity消息的DHCPReply消息之后，返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者，所述EAP-Request/Identity消息是通过DHCPRequest消息携带的；步骤S808:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S809:DHCP客户端和'DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPRequest/Reply消息进行携带的；步骤S810:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；步骤S809和步骤S810是同步进行EAP的认证方法(EAPMethod)协商，以及认证方法交互过程，对所述DHCP客户端的身份进行检查和验证，直到EAP认证过程结束。步骤S811:AS通知DHCP认证者认证成功的结果；步骤S812:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPRequest消息携带发送给DHCP服务器；步骤S813:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCPiU正者通过DHCPReply消息携带返回带有认证成功的EAP消息；步骤S814:DHCP认证者收到带有认证成功的EAP消息后，重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCPReply消息携带转发给DHCP客户端。以上图5描述了在DHCPv4版本中首次认证成功的认证流程图，在DHCP认证的过程中，也会遇到首次认证的失败，下面结合图7和表2以及图5来描述在DHCPv4中首次认证失败的过程，由于在首次认证过程中，图7中的步骤S901至步骤S910过程与图5中的步骤S701至步骤S710相同，这里不再过多赘述，以下详细描述在AS认证失败后的步骤步骤S911:AS在认证失败后，AS则将DHCP认证失败消息(EAPfailure消息)通过AAA消息携带发送给DHCP认证者；步骤S912:DHCP认证者收到EAPfailure消息后通过DHCPNack消息携带转发给DHCP客户端。以上图6描述了在DHCPv6版本中首次i人证成功的认证流程图，在DHCP认证的过程中，也会遇到首次认证的失败，下面结合图8和表3以及图6来描述在DHCPv6中首次认证失败的过程，由于在首次认证过程中，图8中的步骤S801至步骤S810过程与图6中的流程相同，这里不再过多赘述，以下详细描述在AS认证失败后的步骤步骤S1011:AS在认i正失败后，AS则DHCP认证失败消息(EAPfailure)通过AAA消息携带发送给DHCP认证者；步骤S1012:DHCP认证者收到EAPfailure消息后通过DHCPReply消息携带转发给DHCP客户端。在实施本发明实施例的过程中，首次认证的过程中根据实际的需要可以简化流程，其结合图5和表2来说明首次DHCP认证简化发现阶段流程，其流程图如图9所示，其步骤S1201至S1203与图5中的步骤S701至S703相同，当在进行至步骤S1204时，DHCP认证者收到DHCPOffer消息后，直接在DHCPOffer消息中携带着向DHCP客户端发出的EAP-Request/Identity身份查询请求消该IP地址替换为一个供DHCP客户端本地网4吏用的局部IP地址，然后向DHCP客户端转发DHCPOffer消息，进入步骤S1205至步骤S1212的认证过程，其步骤SI205至步骤S1212与图5中所述的步骤S707至步骤S714相同。以此类推，可以在图7步骤中的S904步吝聚中添加EAP-Request/Identity身份查询请求消息通过DHCPOffer消息携带发送给DHCP客户端直接进入步骤S907进行认证过程，在图6和图8中的步骤S804中添加EAP-Request/Identity身份查询请求通过DHCPAdvertise消息携带发送给DHCP客户端直接进入步骤S807进行认证过程，这里不再过多赘述。在DHCP客户端DHCP认证成功之后，在相应的IP会话租期到达时，需要进行重认证的过程来重新对DHCP客户端进行IP地址的分配，从而延长IP会话时间，在重认证的过程中省去了发现阶段，直"t妻进行握手阶l殳，下面以DHCPv4版本表2结合流程图IO来对重认证的过程进行描述，在步骤S1301中，DHCP客户端在会话租期将满或其他设置时，DHCP客户端在设定的时间内直接发送DHCPR叫uest消息，其中包含DHCP认证者支持的认ii^莫式及其所提供的IP地址，表明DHCP客户端已经选择能够支持相应认证模式的DHCP认证者，并接收了DHCP认证者提供的局部IP地址。在步骤S1302中认证者收到DHCPRequest消息后，其执行步骤与图5流程图中的步骤S706相同，直到整个成功认证过程的结束，步骤S1302至步骤S1310与图5流程图中的步骤S706至步骤S714相同。以此类推，在重认证的过程中也会遇到重认证失败时，这里我们不再赘述重认证失败的流程图，在重认证失败后，也可以根据DHCP客户端的配置参数再次进行发起认证的过程直到认证成功，.这里不再赘述。以此类推，DHCPv6版本中表3的DHCP消息在参与DHCPi人证成功之后，在会话周期内进行的重认证过程也与DHCPv4版本中的重i人证过程类似，在重认证过程中其执行的DHCP消息不同，这里不再过多赘述。以上方法是通过在现有技术中不增加DHCPv4和DHCPv6中的消息，通过现有技术中增加的两个新的DHCP选项(Option),实现了不同组合中的不同功能本发明实施例中还可以通过现有增加的DHCP消息和新增加的DHCPOption来完成相应的DHCP认证的功能，如表4所示的DHCPv4消息与DHCPOption<table>tableseeoriginaldocumentpage21</column></row><table><table>tableseeoriginaldocumentpage22</column></row><table><table>tableseeoriginaldocumentpage23</column></row><table>表4功能表和图5所示的DHCPv6消息与DHCPOption功能表。<table>tableseeoriginaldocumentpage23</column></row><table><table>tableseeoriginaldocumentpage24</column></row><table>表5下面根据现有技术中DHCPv4版本表4中增加的DHCP消息和增加的新的DHCPOption来进行描述认证的流程图11，其步骤S1601至步骤S1605与图5所述的步骤S701至步骤S705相同，这里不再赘述，在进入步骤S1605之后的步骤中，其实现方法如下步骤S1606:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-Request/Identity消息通过地址分配回应(DHCPAuth-request)消息携带；步骤SI607:DHCP客户端接收到含有EAP-Request/Identity消息的DHCPAuth-request消息之后，返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者，所述EAP-RequBst/Identity消息是通过DHCPAuth-response消息携带的；步骤S1608:DHCP认证者将收到的身份查询请求消息重新封装在AAA消息中发送给AS;步骤S1609:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPAuth-request/response消息进行携带的；步骤S1610:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；以及认证方法交互过程，对所述DHCP客户端的身份进4亍冲全查和验证，直到EAP认证过程结束。步骤S1611:AS通知DHCP认证者认证成功的结果；步骤S1612:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPR叫uest消息携带发送给DHCP服务器；步骤S1613:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCPiV汪者通过DHCPAck消息携带返回带有认证成功的EAP消息，其中，yiaddr为分配给用户的IP地址；步骤S1614:DHCP认证者收到带有认证成功的EAP消息后，重新封装起转发给DHCP客户端。这里通过DHCPAuth-response消息和DHCPAuth-request消息来携带相应的EAP消息和DHCPOption消息，以此类推，其认证过程失败的流程图如图12所述，认证的简化流程图过程如图13所述，这里不再赘述其步骤。在引入DHCPAuth-response消息和DHCPAuth-request消息来携带相应的EAP消息和DHCPOption消息后，其在认证成功之后的会话周期内，可以通过DHCP客户端触发重认证过禾呈，也可以由DHCP认证者触发重认i正过程，由DHCP客户端触发重认证过程如图14所示，S1901客户端直接发送DHCPRequest消息，其中包含DHCP认证者支持的i人证模式及其所提供的IP地址，表明DHCP客户端已经选择能够支持相应认证才莫式的DHCP认证者，并接收了DHCP认证者提供的局部IP地址，在认证者收到DHCPRequest消息后从而进入步骤S1902进入身份认证的过程，图14所示的步骤S1902至步骤S1910与图11所述的步骤S1606至步骤S1614相同，这里不再赘述。由客户端触发认证过程如图15所示，在步骤S2001中，DHCP认证成功之后的会话周期内，认证者向网络中的DHCP客户端发起认证请求，从而完成重认证的过程，图15所示的步骤S2001至步骤S2009与图11所述的步骤S1606至步骤S1614相同，这里不再赘述。以上是对DHCPv4在增加了DHCP消息和Option后进4亍的说明，以此类推DHCPv6在表5中增加的DHCP消息和Option消息也能通过不同的DHCP消息携带完成上述的DHCP认证的过程，这里不再赘述。通过上述不同版本的首次DHCP认证成功及简化版本的DHCP首次i人证成功和DHCP重认证的成功，DHCP客户端能够接入网络中进行数据的访问，这里需要通过AC来检测DHCP客户端的数据流实现数据会话过程中的保密性，在此过程中DHCP客户端和DHCP认证者都可以发送IP会话测试数据，用于检测各自对方端口的IP会话的存活状态，以下图16详细描述了基于加密接入过滤的DHCPi人证流程图，其具体步骤如下在认证成功之后DHCP认证者向DHCP客户端返回认证成功的消息同时，DHCP认证者与AC之间开始了步骤S2101;步骤S2101:DHCP认证者向AC下发关于DHCP客户端的接入控制策略和授权密钥；步骤S2102:AC收到关于DHCP客户端的接入控制策略和授权密钥之后，与DHCP客户端之间建立安全联盟，其安全耳关盟可以采用IKE协议或802.11i的4WHS协议，或采用802.16的3WHS协议；步骤S2103:在完成DHCP客户端与AC的安全联盟建立后，可以采用链路层或网络层中的加密协议对数据流进行安全保护；步骤S2104:AC对数据流进行加密接入过滤，滤出数据流中不正确安全保护的纟艮文；步骤S2105:当DHCP客户端整个IP会话结束时，DHCP客户端会向AS发起DHCP释放消息来中止IP会话；当DHCP客户端处因为事故中断IP会话时，AC一企测到DHCP客户端的IP会话的数据流中断后，则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。步骤S2106:DHCP认证者收到DHCP释放消息后，会将释放消息转发给DHCP服务器，DHCP服务器会释放DHCP客户端的IP地址；步骤S2107:DHCP认证者收到DHCP释放消息后，DHCP认证者通知AC解除DHCP客户端的接入控制策略和授权密钥。以上是描述了DHCP认证成功后对数据流进行力n密接入过滤，在本发明实施例中，也可以通过在认证成功之后通过AC监听认证成功中的success消息来对数据流进行非接入加密的过程，其具体流程图如图17所示，包括以下步骤步骤S2201:AC对DHCP消息进行监听，当其返回有iU正成功的消息后，则对DHCP客户端的IPi也址和物理i也址(MAC地址)进4亍绑定；步骤S2202:DHCP客户端通过所分配的IP地址发起数据流信息；步骤S2203:AC对DHCP客户端发送的教:据流信息进^f亍非接入加密，滤出DHCP客户端IP地址与用户MAC地址不符合的数据报文；步骤S2204:当DHCP客户端整个IP会话结束时，DHCP客户端会向AS发起DHCP释放消息来终止IP会话；当DHCP客户端处因为事故中断IP会话时，AC#"测到DHCP客户端的IP会话的数据流中断后，则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。步骤S2205:当AC在监听到DHCP客户端释放IP消息或4全测到IP会话链路的中断时，则会解除DHCP客户端IP地址和MAC地址的绑定；步骤S2206:DHCP认证者向DHCP服务器转发DHCP释放消息，DHCP客户端根据收到的消息释放DHCP客户端的IP地址。综上所述，通过在IP网络中设置多个认i正者，通过所述认证者代理相应的DHCP客户端进行认证过程，不需要对DHCP服务器进行改造就能够配置相应的认证者对所述DHCP客户端进行相应的认证，通过在认证过程中配置临时的IP地址，解决了认证过程中不能进行认证会话的过程，乂人而实现了认证过程的稳定性，并也提高了认证效率和成功率。本发明实施例通过接入控制器的引入实现了控制面和数据面的分离，通过接入控制器很好的实现数据面的接入过滤，保证了数据面的安全性。通过重认证机制，能够在DHCP客户端认证的租期时间将完结时，重新发起认证过程，为DHCP客户端重新分配一个IP地址进行IP通话，重认证的过程可以通过DHCP客户端触发机制和DHCP认证者触发机制的两种重认证方式。本发明实施例中提供的认证方法通过不同的DHCP消息能够应用于IPv4中，也能实现在IPv6中。以上所揭露的仅为本发明实施例中的一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。权利要求1、一种网络接入认证方法，其特征在于，接入认证者接收动态主机配置协议客户端发送的发现报文，通过与动态主机配置协议服务器交互信息，为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息；根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证；认证成功后，由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。2、根据权利要求1所述的网络接入认证方法，其特征在于，所述动态主机配置协议客户端与接入认证者之间利用动态主机配置协议交互信息，所述交互的信息中至少部分信息包括可扩展认证协议消息。3、根据权利要求1所述的网络接入认证方法，其特征在于，所述接入认证者与所述认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息，所述交互的信息中至少部分信息包括可扩展认i正协议消息。4、根据权利要求1所述的网络接入认证方法，其特征在于，所述方法还包括在所述会话过程中，由所述动态主冲几配置协议客户端或接入认证者触发对所述动态主机配置协i义客户端的重认证过程。5、根据权利要求1所述的网络接入认证方法，其特征在于，所述方法还包括在所述会话过程中，对动态主机配置协议客户端发送的数据包或数据流进行监控，利用接入认证者提供的控制策略对所述数据包或数据流信息进行非加密才妻入过滤或加密4妻入过滤。6、一种网络接入认证系统，其特征在于，包括用于为动态主机配置协议客户端提供包括网络地址的配置信息的动态主机配置协议服务器；用于提供认证服务的认证服务器；接入认证者，用于在接收动态主机配置协议客户端发送的发现报文后，通过与所述动态主机配置协议服务器交互信息为动态主才几配置协议客户端提供包括第一网络地址的第一配置信息，并利用所述第一配置4言息与所述认证服务器交互信息以对所述动态主才几配置协议客户端进行认证，其中，认证成功后，由所述动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。7、根据权利要求6所述的网络接入认证系统，其特征在于，所述接入认证者为宽带接入服务器或网关设备。8.根据权利要求6所述的网络接入认证系统，其特4正在于，.所述网络接入认证系统还包括接入控制器，用于对客户端发送的数据包或数据流进行监控，利用接入认证者提供的控制策略对所述数据包或数据流信息进行非加密或加密接入过滤。9、根据权利要求6所述的网络接入认证系统，其特^正在于，所述接入认证者与动态主机配置协议客户端之间利用动态主机配置协议交互信息，所述交互的信息中至少部分信息包括可扩展i^〖正协议消息。10、根据权利要求6所述的网络接入认证系统，其特4i在于，所述接入认证者与认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息，所述交互的信息中至少部分信息包括可扩展认证协议消息。11、根据权利要求8所述的网络接入认证系统，其特征在于，所述接入认证者与接入控制器之间利用API协议或L2CP协议或SNMP协议交互信息。12、一种接入认证装置，其特征在于，包括第一处理模块，用于接收动态主机配置协议客户端发送的发现报文后，与动态主机配置协议服务器交互信息，生成所述动态主才几配置协议客户端的第一配置信息；认证模块，用于根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证；第二处理模块，用于在认证成功后，与动态主机配置协议服务器交互信息，生成所i^户端会话过程-使用的第二配置信息。13、根据权利要求12所述的装置，其特征在于，所述装置还包括重认证模块，用于在所述会话过程中，对所述动态主机配置协议客户端进行重认证过程。14、一种宽带接入设备，其特征在于，包括一个或多个用户接口，用于与一个或多个客户端交互信息；一个或多个网络接口，用于与一个或多个网络设备交互信息；接入认证处理模块，与用户接口和所述一个或多个网路接口相连，用于接收到来自动态主机配置协议客户端的发现报文后，通过网络接口与动态主机配置协议服务器交互信息，生成所述动态主机配置协议客户端的第一配置信息，利用所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证，认证成功后，与动态主机配置协议服务器交互信息，生成并向所述客户端返回会话过程/使用的第二配置信息。15、一种应用于权利要求6所述系统的接入控制器，其特征在于，包括检测单元用于对动态主机配置协议客户端发送的教:据包或数据流进行监控；数据过滤单元用于根据接入认证者提供的控制策略对所述数据包或数据流信息进4于非加密接入过滤或加密4妄入过滤。全文摘要本发明公开了一种网络接入认证方法，该方法包括以下步骤接入认证者接收动态主机配置协议客户端发送的发现报文，通过与动态主机配置协议服务器交互信息，为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息；根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证；认证成功后，由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。本发明还公开了一种网络接入系统、接入认证装置及接入控制器，通过实施本发明实施例，实现了认证过程的稳定性。文档编号H04L12/56GK101340287SQ200710138938公开日2009年1月7日申请日期2007年7月18日优先权日2007年7月2日发明者郑若滨申请人:华为技术有限公司