一种网络接入方法及系统和装置的制作方法

专利名称：：一种网络接入方法及系统和装置的制作方法
技术领域：
：本发明涉及网络通信领域，尤其涉及一种网络接入方法及系统和装置。
背景技术：
：动态主机配置协议(DynamicHostConfigurationProtocol,DHCP)是一种动态指定IP地址和配置参数的机制，主要用于大型网络环境和网络配置比较困难的地方。DHCP系统主要包括DHCP服务器(DHCPServer)和DHCP客户端(DHCPClient)，有些系统也包括DHCP认证服务器。DHCP服务器自动为客户端指定IP地址，通过指定的配置参数使得网络上的计算机通信变得更加方便和易于实现。所有的配置信息都通过DHCP服务器来统一管理，通过DHCP服务器分配IP地址并配置其它大量的参数信息，以及对IP地址进行租期管理，实现IP地址的分时复用等诸多优点，在网络环境中已经得到了广泛的应用。在DHCP系统中，所有的IP网络设定的资料都由DHCP服务器集中管理，并负责处理DHCP客户端的要求，而DHCP客户端则会4吏用从DHCP分配下来的IP环境资料。图1示出了现有的DHCP认证流程图，其中该DHCP认证流程图的系统图包含了DHCP客户端、DHCP服务器以及认证服务器(AuthenticationServer,AS)。DHCP客户端为网络中利用DHCP协议来获取配置参数如IP地址的主机，即客户的主机或者其他能够获取IP地址的设备。DHCP服务器用于提供DHCP月艮务，根据不同DHCP客户端提供IP地址或其他网络相关参数，一般存在于路由器、三层交换机或者专门的DHCP服务器中。AS负责对DHCP客户端提供的认证材料进行检验，并向DHCP客户端返回认证的结果。图l示出了现有技术中DHCPv4消息与DHCP选项(Option)的功能组合，其中Option允许厂商定义以提供更多的设定咨询，下面结合图1和表1来详细说明图1中DHCP认证的过程，其中现有的DHCP认证采用两种DHCPv4消息("DHCPAuth-request"消息和"DHCP-response"消息)或可以釆用一种DHCP消息("DHCPEAP"消息)，并通过两种DHCPOption消息，为认证协议选项(authenticationprotocolOption,auth-proto)和EAP消'，包、选工贞(EAP-MessageOption)进行认证_<table>tableseeoriginaldocumentpage7</column></row><table>表1步骤S101:DHCP客户端所在的用户终端进入网络时，广播动态主机配置协议的发现报文(DHCPDiscover)给DHCP服务器，并发送的消息表明DHCP客户端支持的认证模式。步骤SI02:DHCP服务器在接收到DHCPDiscover报文之后在DHCP认证请求(DHCPAuth-request)消息或DHCPEAP消息中携带可扩展认证协议(ExtensibleAuthenticationProtocol,EAP)消息，并将携带了EAP消息的DHCP认证请求发送给DHCP客户端进入认证过程；步骤S103:DHCP客户端在收到DHCPAuth-request消息之后，DHCP客户端发送DHCP认证回复(Auth-response)消息或DHCPEAP消息中携带的EAP消息给DHCP服务器；步骤S104:DHCP服务器将DHCP客户端的EAP消息封装在认证、授权和计费(Authentication,AuthorizationandAccounting,AAA)消息中发送给AS(AuthenticationServer,AS);步骤S105:AS通知DHCP服务器认证的结果，认证成功则利用AAA协议携带EAP成功(success)消息发送给DHCP服务器；步骤S106:DHCP服务器构造DHCPOffer消息携带EAPsuccess消息给DHCP客户端，其包括预分配给DHCP客户端的IP地址项(youripaddress,yiaddr)数据才艮文；步骤S107:DHCP收到DHCPOffer消息后，向DHCP服务器返回请求配置参数或请求配置参数的确认消息DHCPrequest;步骤S108:DHCP服务器向DHCP客户端返回一个地址分配回应消息DHCPACK。在实施该方案的过程中，因在认证过程中需要将相应的EAP消息携带在DHCP服务器和AS的协议中，致使DHCP服务器和AS之间的处理流程发生改变，需要对DHCP服务器和AS进行相应的改造才能支持相应的认证功能，增加了相应的运营成本。另外，在实施该流程图1的过程中，只有在DHCP客户端处分配了一个静态的IP地址之后，本方案中的认证过程才能进行，在动态IP分配过程中，认证过程开始之前用户是没有IP地址的，则步骤S102开始的认证过程是没有办法进行的。
发明内容鉴于上述现有技术所存在的问题，本发明实施例提供了一种网络接入方法及系统和装置。通过在接入系统中设置接入认证者，在认证的过程中，针对不同的DHCP客户端通过DHCP接入认证者配置相应的配置参数实现认证过程，从而不需要对DHCP服务器进行相应的改造从而能够进行认证过程。为了解决上述技术问题，本发明实施例提出了一种网^4妄入方法，包括接入认证者接收到客户端的发现报文后，根据所述发现报文为所述客户端提供第一配置信息；所述客户端利用所述第一配置信息进行认证；认证成功后，通过所述接入认证者向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息。相应的，本发明实施例还提出了一种网络接入系统，包括接入认证者，用于在接收到客户端的发现报文后，为所述客户端提供认证过程使用的第一配置信息；在所述客户端认证成功后，向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息。用于为客户端提供配置信息的配置服务器，所述配置信息至少包括所述第二配置信息。相应的，本发明实施例还公开了一种接入认证装置，包括第一处理模块，用于接收客户端发送的发现报文后，为所述客户端提供认证过程使用的第一配置信息；认证才莫块，用于对所述客户端进行认证或者代理所述客户端进行认证；第二处理模块，在所述客户端认证成功后，向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。相应的，本发明实施例还公开了一种宽带接入设备，包括一个或多个用户"t妄口，用于与一个或多个客户端交互信息；一个或多个网^4妾口，用于与一个或多个网络设备交互信息；接入认证处理模块，与用户接口和所述一个或多个网路接口相连，用于通过用户接口接收到来自客户端的发现报文后，为所述客户端提供认证过程使用的第一配置信息；在所述客户端认证成功后，通过网络接口与向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。相应的，本发明实施例还公开了一种接入控制器，包括检测单元用于对客户端发送的数据包或数据流进行监控；数据过滤单元用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。实施本发明实施例，通过在网络中设置接入认证者，通过所述接入认证者代理相应的客户端进行认证过程，不需要对DHCP服务器进行特别的改造就能够配置相应的接入认证者对所述DHCP客户端进行相应的认证，在认证之前为客户端提供第一网络地址，从而提高了认证过程的稳定性，也提高了认证效率和成功率。在通过接入控制器实现了对客户端的数据面的监控，对数据流进行非加密接入过滤和加密接入过滤从而保证了数据流的安全性。图1是现有的DHCP认证流程图2是本发明实施例中DHCP认证系统图3是本发明实施例中DHCP认证中采用加密接入过滤的IP会话周期示意图4是本发明实施例中DHCP认证中采用非加密接入过滤的IP会话周期示意图5是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的流程图图6是本发明实施例中表3中DHCPv6版本首次DHCP认证成功的流程图图7是本发明实施例中表2中DHCPv4版本首次DHCP认证失败的流程图图8是本发明实施例中表3中DHCPv6版本首次DHCP认证失败的流程图图9是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的简化流程图10是本发明实施例中表2中DHCPv4版本DHCP重认证成功的流程图12是本发明实施例中表5中DHCPv4版本首次DHCP认证失败的流程图；图13是本发明实施例中表4中DHCPv4版本首次DHCP认证成功的简化流程图14是本发明实施例中表4中DHCPv4版本中通过DHCP客户端触发重认证成功的流程图15是本发明实施例中表4中DHCPv4版本中通过DHCP认证者触发重认证成功的流程图16是本发明实施例中表5中DHCPv4版本中首次DHCP认证成功的流程图17是本发明实施例中表5中DHCPv4版本中首次DHCP认证成功的另一流程图18是本发明实施例中表5中DHCPv4版本中首次DHCP认证失败的流程图19是本发明实施例中表5中DHCPv4版本中首次DHCP认证失败的另一流程图20是本发明实施例中DHCP认证成功后基于加密接入过滤的DHCP认证流程图21是本发明实施例中DHCP认证成功后基于非加密接入过滤的DHCP认证流程图。具体实施例方式本发明实施例提供了一种网络接入方法及网络接入系统和接入认证装置。通过在认证系统中设置DHCP认证者，在认证的过程中，针对不同的DHCP客户端找到相应的DHCP认证者进行代理认证过程，从而不需要对DHCP进行相应的改造，减少了运营成本。下面结合附图详细说明本发明的优选实施例。首先请参阅图2，图2示出了本发明实施例中的DHCP认证系统的系统图，引入携带和控制相分离的技术，该系统包括了接入网络上的多个DHCP客户端301、DHCP认证者302、认证服务器304、DHCP服务器303以及接入控制器305等，其中接入控制器305位于数据面，其他都处于控制面。DHCP客户端(DHCPClient)301为DHCP认证的申请者，需要获得所述网络中的DHCP认证协议之后才能进入网络的访问，DHCP客户端301本身关联了相关的DHCP认证协议范围内的身份认证资料，DHCP客户端301可以是便携式电脑、个人数字助理、移动电话、个人台式电脑以及路由企等连入网络上的终端设备，DHCP客户端301需要通过相应模式下的DHCP认证者302所支持来完成客户端的认证过程。DHCP认证者(DHCPAuthenticator)302即为接入认证者，DHCP认证者302在网络中根据需求可设置多个，在DHCP认证过程中通过与所支持相应的DHCP客户端301进行DHCP认证协议交互，在接收来自动态主机配置协议客户端301的发现报文后，通过与所述DHCP服务器303交互信息为动态主机配置协议客户端提供第一配置信息，即一个临时的IP地址，动态主机配置协议客户端利用所述临时的IP地址与所述认证服务器交互信息，认证服务器对所述动态主机配置协议客户端进行认证，DHCP认证者302通过代理DHCP客户端301与认证服务器304进行AAA认证协议等交互，并为DHCP客户端301提供接入认证和授权。所述DHCP认证者302还可以通过建立或解除访问授权来对DHCP客户端301中的接入访问的控制状态进行更新，通过DHCP认证者302也实现了在DHCP认证中的中继过程。在位于网络的IP边缘节点处，DHCP认证者可以是宽带接入服务器(BroadbandAccessServer,BRAS)或网络中的网关设备(BNG)，或者是其它接入设备。其中DHCP认证者302与认证服务器304可以构造为同一个物理实体。在DHCP认证者302中设有第一处理模块，用于接收DHCP客户端301发送的发现报文后，为所述DHCP客户端301提供认证过程使用的第一配置信息，即一个临时的IP地址；认证模块，用于对所述客户端进行认证或者代理所述DHCP客户端301进行认证；第二处理模块，在所述DHCP客户端301认证成功后，向配置服务器，即DHCP服务器303发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息；重认证模块，用于在所述会话过程中，对所述DHCP客户端301进行重认证过程。DHCP服务器(DHCPServer)303根据DHCP客户端301发送的请求通过DHCP协议为DHCP客户端301提供动态主机等相关的配置服务，在DHCP客户端301通过认证之后，为DHCP客户端301提供第二配置信息，所述配置信息为用于DHCP客户端301在网络中进行会话的IP地址。认证服务器304用于负责DHCP客户端301提供的认证材料进行检验，并向DHCP客户端301返回检验的结果以及授权的参数，认证服务器304可以和DHCP认证者302位于同一节点中，通过应用程序接口(ApplicationProgrammingInterface,API)进行数据的传递，也可以是网络中专门提供的认证服务器，如果DHCP认证者302和认证服务器304不在同一个网络节点中，则需要依靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证过程中的数据交互。接入控制器(AccessController,AC)305用于对出入DHCP客户端301设备的数据包或数据流信息进行监控，并根据从DHCP认证者302处获得的接入控制策略来对数据包或数据流信息进行非加密或加密接入过滤，AC305对数据流的过滤可以发生在链路层，也可以发生在网络层或以上层中。通常AC305位于DHCP客户端301和DHCP认证者302中之间的链路上。若网络底层缺乏安全保障，则必须采用加密接入过滤方式，DHCP客户301与AC305之间需要建立安全联盟，安全联盟建立可采用因特网密钥交换协议(InternetKeyExchange，IKE)协议，或采用802.11i的安全联盟建立的四次握手协议(4WHS协议)，或采用802.16的安全联盟建立的三次握手协议(3WHS协议)；在完成安全联盟建立后，可采用链路层或网络层加密协议进行数据流的安全保护，加密可采用网络安全协议(IPSecurityProtocolIP,IPSec)协议，或802.1li链路层加密协议，或802.16链路层加密协议。若DHCP认证者302和AC305位于同一节点，则它们之间仅需API相互通信即可，否则，则需要第二层控制协议(Layer2ControlProtocol,L2CP)或筒单网络管理协议(SimpleNetworkManagementProtocol,SNMP)协议。其中AC305中相应的设有检测单元和数据过滤单元，其中检测单元用于对客户端发送的数据包或数据流进行监控；数据过滤单元用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。这里，由于接入认证者302与DHCP服务器和认证服务器相连，由接入认证者302给接入控制器305提供控制策略等相关信息，信息获取更新更方便灵活。当然，对DHCP客户端301数据或数据流的监控、加密接入过滤或非加密接入过滤的功能也可以在其它网络接入设备中实现。另外，在DHCP客户端301进行IP会话的过程中，DHCP客户端301是通过租期来约定IP会话时间的，DHCP服务器303允许DHCP客户端301在某个指定的时间内使用某个IP地址，在IP会话的过程中，DHCP服务器303和DHCP客户端301都可以随时中止租用。当DHCP客户端301租用期达到50。/o以上时，可以更新租用期，在重新更新租期的过程中需要进行重认证的过程对DHCP客户端301重新分配IP地址。DHCP认证过程中对应的IP会话生命周期如图3和4所示，图3示出了DHCP认证中釆用加密接入过滤的IP会话周期，图4示出了DHCP认证中采用非加密接入过滤的IP会话周期，一个DHCP认证对应的IP会话包括五个不同的阶段(1)发现和握手阶段在这个阶段发起一个新的IP会话。DHCP客户端可以通过向特定的DHCP认证者发送请求广播来发现DHCP认证者。DHCP认证者通过发送响应广播应答来开始一个新的会话。(2)认证和授权阶段在发现和握手阶段之后，认证消息开始在DHCP认证者和DHCP客户端之间传递。DHCP消息携带的EAP负载包含了EAP认证的各种方法，它主要用来做DHCP客户端的认证。在这个阶段，可能要执行两次EAP认证，一次是为网络访问提供商(NAP)，另一次是为互联网服务提供商(ISP)。DHCP认证者在这个阶段的末尾把认证和授权结果传递给DHCP客户端。(3)访问阶段在认证和授权成功后，DHCP客户端主机就可以访问网络了，它发送和接收的IP数据就可以通过AC的检查了。另外，在这个阶段的任何时刻，DHCP客户端和DHCP认证者都可以发送IP会话测试数据来检查各自对端的IP会话的存活状态。(4)重新认证阶段在IP会话期，可以通过再次执行EAP认证来从访问阶段进入重新认证阶段。在重新认证成功后，返回访问阶段并延长当前IP会话期，否则，IP会话将被删除。重新认证由DHCP认证者发起，由DHCP客户端或是DHCP认证者触发。(5)终止阶段在任何时候，DHCP客户端或是DHCP认证者都可以发送给对方明确的连接断开消息(如DHCP释放消息)来中止IP会话，从而结束访问服务。倘若是没有发送断开消息就中止了连接，可能是IP会话期期满，或IP会话状态检测失败。以下结合图3和图4中的IP会话周期来详细描述DHCP的整个认证的过程。由于根据网络IP地址选择应用的不同，根据IPv4版本和IPv6版本其所对应的DHCP协议版本分别为DHCPv4版本和DHCPv6版本。表2示出了DHCPv4消<table>tableseeoriginaldocumentpage14</column></row><table><table>tableseeoriginaldocumentpage15</column></row><table><table>tableseeoriginaldocumentpage16</column></row><table>表2息与DHCP选项(Option)的功能组合表，下面结合图5来详细说明其DHCP首次认证成功的第一流程图，其包括以下步骤步骤S701:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个DHCP发现报文消息(Discover)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器，并通过协议中的选项表明其支持的认证模式；如果AC和DHCP认证者不在同一个物理层，则需要通过AC将接收到的DHCPDiscover消息转发给相应的DHCP认证者。步骤S702:DHCP认证者收到DHCPDiscover消息后，将此消息转发到DHCP服务器；步骤S703:DHCP服务器检查DHCPDiscover的参数，并回应一个地址分配服务确认消息(DHCPOffer),为DHCP客户端提供一个未租借的IP地址和其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关；步骤S704:DHCP认证者收到DHCPOffer消息后，在选项中添加表明DHCP认证者支持的认证模式，并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址，并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址，然后向DHCP客户端转发DHCPOffer消息；步骤S705:DHCP客户端在收到DHCPOffer消息后，则具有了一个临时的局部IP地址，其向DHCP认证者发送地址分配请求消息(DHCPRequest)来响应其已经收到DHCPOffer消息，其DHCPRequest消息中表明了其选择了能够支持相应认证模式的DHCP认证者并接收了DHCP认证者所提供的局部IP地址；步骤S706:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-R叫uest/Identity消息通过地址分配回应(DHCPAck)消息携带，并下发一个仅供DHCP客户端使用的"假租期"，该"假租期"用于使DHCP客户端能迅速响应EAP消息，并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端；需要说明的是，在认证过程中DHCP认证者在每收到地址分配请求消息后，会通过DHCPAck消息携带的EAP消息定下一个仅供DHCP客户端认证使用的"假租期"。在DHCP客户端每收到DHCPAck消息后，会根据"假租期"重新设置定时器T1和定时器T2，当定时器T1或定时器T2设定的时间到期时，会重新触发DHCP地址分配请求消息更新"假租期"以携带EAP消息传递的时间。步骤S707:DHCP客户端接收到含有EAP-R叫uest/Identity消息的DHCPAck消息之后，DHCP客户端根据"假租期"设定的定时器T1和定时器T2，在定时器Tl到时间时返回DHCP客户端已经收到EAP-Request/Identity消息给DHCP认证者，如果在定时器T1设定的时间内完不成，则需要在定时器T2时间内完成返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者，所述EAP-Request/Identity消息是通过DHCPRequest消息携带的；步骤S708:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S709:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPRequest/Ack消息进行携带的；步骤S710:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；步骤S709和步骤S710是同步进行EAP的认证方法(EAPMethod)协商，以及认证方法交互的过程，对所述DHCP客户端的身份进行检查和验证，直到EAP认证过程结束。步骤S711:AS通知DHCP认证者认证成功的结果；步骤S708、步骤S710和步骤S711需要说明的是，DHCP认证者和AS如果在同一个网络节点上，则可以通过API进行数据之间的交互和传递；如DHCP认证代理服务和AS不再同一个网络节点中，则需^^靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证之间的数据交互。步骤S712:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPRequest消息携带发送给DHCP服务器；步骤S713:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCP认i正者通过DHCPAck消息携带返回带有认证成功的EAP消息，其中，yiaddr为分配给用户的IP地址；步骤S714:DHCP认证者收到带有认证成功的EAP消息后，重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCPAck消息携带转发给DHCP客户端。以上是对DHCPv4进行了详细的说明，下面以DHCPv6进行说明，请参阅表3中的DHCPv6消息与DHCPOption的功能组合，下面根据表3中的表格结<table>tableseeoriginaldocumentpage18</column></row><table><image>imageseeoriginaldocumentpage19</image>表3合图6中的流程图对DHCPv6认证过程进行说明步骤S801:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个发现报文消息(DHCPSolicit消息)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器，并通过协议中的选项表明其支持的认证模式；如果AC和DHCP认证者不在同一个物理层，则需要通过AC将接收到的DHCPSolicit消息转发给相应的DHCP认证者。步骤S802:DHCP认证者收到DHCPSolicit消息后，将此消息转发到DHCP服务器；步骤S803:DHCP服务器检查DHCPSolicit的参数，并回应一个地址分配服务确认消息(DHCPAdvertise),为DHCP客户端4是供一个未租借的IP地址和其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关；步骤S804:DHCP认证者收到DHCPAdvertise消息后，在选项中添加表明DHCP认证者支持的认证模式，并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址，并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址，然后向DHCP客户端转发DHCPAdvertise消息；步骤S805:DHCP客户端在收到DHCPAdvertise消息后，则具有了一个临时的局部IP地址，其向DHCP认证者发送地址分配i奮求消息(DHCPRequest)来响应其已经收到DHCPAdvertise消息，其DHCPR叫uest消息中表明了其选择了能够支持相应认证模式的DHCP认证者并接收了DHCP认证者所提供的局部IP地址；步骤S806:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-Request/Identity消息通过地址分配回应(DHCPReply)消息携带，并下发一个仅供DHCP客户端使用的"假租期"，该"假租期"用于使DHCP客户端能迅速响应EAP消息，并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端；步骤S807:DHCP客户端接收到含有EAP-Request/Identity消息的DHCPReply消息之后，返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者，所述EAP-Request/Identity消息是通过DHCPRequest消息携带的；步骤S808:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S809:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPRequest/Reply消息进行携带的；步骤S810:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；步骤S809和步骤S810是同步进行EAP的认证方法(EAPMethod)协商，以及认证方法交互过程，对所述DHCP客户端的身份进行检查和验证，直到EAP认证过程结束。步骤S811:AS通知DHCP认证者认证成功的结果；步骤S812:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPR叫uest消息携带发送给DHCP服务器；步骤S813:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCP认证者通过DHCPReply消息携带返回带有认证成功的EAP消息；步骤S814:DHCP认证者收到带有认证成功的EAP消息后，重新封装起为发给DHCP客户端。以上图5描述了在DHCPv4版本中首次认证成功的认证流程图，在DHCP认证的过程中，也会遇到首次认证的失败，下面结合图7和表2以及图5来描述在DHCPv4中首次认证失败的过程，由于在首次认证过程中，图7中的步骤S901至步骤S911过程与图5中的步骤S701至步骤S711相同，这里不再过多赘述，以下详细描述在AS认证失败后的步骤步骤S911:AS在认证失败后，AS则将DHCP认证失败消息(EAPfailure消息)通过AAA消息携带发送给DHCP认证者；步骤S912:DHCP认证者收到EAPfailure消息后通过DHCPNack消息携带转发给DHCP客户端。以上图6描述了在DHCPv6版本中首次认证成功的认证流程图，在DHCP认证的过程中，也会遇到首次认证的失败，下面结合图8和表3以及图6来描述在DHCPv6中首次认证失败的过程，由于在首次认证过程中，图8中的步骤S801至步骤S810过程与图6中的流程相同，这里不再过多赘述，以下详细描述在AS认证失败后的步骤步骤S1011:AS在认证失败后，AS则DHCP认证失败消息(EAPfailure)通过AAA消息携带发送给DHCP认证者；步骤S1012:DHCP认证者收到EAPfailure消息后通过DHCPReply消息携带转发给DHCP客户端。在实施本发明实施例的过程中，首次认证的过程中根据实际的需要可以简化流程，其结合图5和表2来说明首次DHCP认证简化发现阶段流程，其流程图如图9所示，其步骤S1201至S1203与图5中的步骤S701至S703相同，当在进行至步骤S1204时，DHCP认证者收到DHCPOffer消息后，直接在DHCPOffer消息中携带着向DHCP客户端发出的EAP-Request/Identity身份查询请求消该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址，然后向DHCP客户端转发DHCPOffer消息，进入步骤S1205至步骤S1212的认证过程，其步骤S1205至步骤S1212与图5中所述的步骤S707至步骤S714相同。以此类推，可以在图7步骤中的S卯4步骤中添加EAP-Request/Identity身份查询请求消息通过DHCPOffer消息携带发送给DHCP客户端直接进入步骤S908进行认证过程，在图6和图8中的步骤S804中添加EAP-Request/Identity身份查询请求通过DHCPAdvertise消息携带发送给DHCP客户端直接进入步骤S808进行认证过程，这里不再过多赘述。在DHCP客户端DHCP认证成功之后，在相应的IP会话租期到达时，需要进行重认证的过程来重新对DHCP客户端进行IP地址的分配，从而延长IP会话时间，在重认证的过程中省去了发现阶段，直接进行握手阶段，下面以DHCPv4版本表2结合流程图10来对重认证的过程进行描述，在步骤S1301中，DHCP客户端在遭受认证失败后，DHCP客户端在设定的时间内直接发送DHCPRequest消息，其中包含DHCP认证者支持的认证模式及其所提供的IP地址，表明DHCP客户端已经选择能够支持相应认证模式的DHCP认证者，并接收了DHCP认证者提供的局部IP地址。在步骤S1302中认证者收到DHCPRequest消息后，其执行步骤与图5流程图中的步骤S708相同，直到整个成功认证过程的结束，步骤S1302至步骤S1310与图5流程图中的步骤S706至步骤S714相同。以此类推，在重认证的过程中也会遇到重认证失败时，这里我们不再赘述重认证失败的流程图，在重认证失败后，也可以根据DHCP客户端的配置参数再次进行重认证的过程直到重认证成功，其实现方法如图10中的步骤，这里不再赘述。以此类推，DHCPv6版本中表3的DHCP消息在参与DHCP认证成功之后的重认证过程也与DHCPv4版本中的重认证过程类似，在认证过程中其执行的DHCP消息不同，这里不再过多赘述。以上方法是通过在现有技术中不增加DHCPv4和DHCPv6中的消息，通过现有技术中增加的两个新的DHCP选项(Option),实现了不同组合中的不同功能本发明实施例中还可以通过现有增加的DHCP消息和新增加的DHCPOption来完成相应的DHCP认证的功能，如表4所示的DHCPv4消息与DHCPOption<table>tableseeoriginaldocumentpage23</column></row><table><table>tableseeoriginaldocumentpage24</column></row><table>表4<table>tableseeoriginaldocumentpage24</column></row><table><table>tableseeoriginaldocumentpage25</column></row><table>表5下面根据现有4支术中DHCPv4版本表4中增加的DHCP消息和增加的新的DHCPOption来进行描述认证的流程图11，其步骤S1601至步骤S1605与图5所述的步骤S701至步骤S705相同，这里不再赘述，在进入步骤S1605之后的步骤中，其实现方法如下步骤S1606:DHCP认证者收到地址DHCPRequest消息后，向DHCP客户端发送含有身份查询的EAP-Request/Identity消息，该EAP-Request/Identity消息通过地址分配回应(DHCPAuth-request)消息或DHCPEAP消息携带；步骤SI607:DHCP客户端接收到含有EAP-R叫uest/Identity消息的DHCPAuth-request消息或DHCPEAP消息之后，返回DHCP客户端已收到EAP-R叫uest/Identity消息给DHCP认证者，所述EAP-Request/Identity消息是通过DHCPAuth-response消息或DHCPEAP消息携带的；步骤S1608:DHCP认证者将收到的身份查询请求消息重新封装在AAA消息中发送给AS;步骤S1609:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互；DHCP客户端和DHCP认证者中的EAP消息是通过DHCPAuth-request/response消息进行携带的，或者通过DHCPEAP消息进行携带；步骤S1610:DHCP认证者和AS采用AAA消息携带EAP消息进行交互；以及认证方法交互过程，对所述DHCP客户端的身份进行检查和验证，直到EAP认证过程结束。步骤S1611:AS通知DHCP认证者认证成功的结果；步骤S1612:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCPRequest消息携带发送给DHCP服务器；步骤S1613:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期，并向DHCP认证者通过DHCPAck消息携带返回带有认证成功的EAP消息，其中，yiaddr为分配给用户的IP地址；步骤S1614:DHCP认证者收到带有认证成功的EAP消息后，重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCPAck消息携带转发给DHCP客户端。这里通过DHCPAuth-response消息和DHCPAuth-request消息来携带相应的EAP消息和DHCPOption消息，或者由DHCPEAP消息来携带相应的EAP消息和DHCPOption消息，以此类推，其认证过程失败的流程图如图12所述，认证的简化流程图过程如图13所述，这里不再赘述其步骤。在引入DHCPAuth-response消息和DHCPAuth-request消息来携带相应的EAP消息和DHCPOption消息后，或者DHCPEAP消息来携带相应的EAP消息和DHCPOption消息，其在认证成功之后，可以通过DHCP客户端触发重认证过程，也可以由DHCP认证者触发重认证过程，由DHCP客户端触发重认证过程如图14所示，S190l客户端直接发送DHCPRequest消息，其中包含DHCP认证者支持的认证模式及其所提供的IP地址，表明DHCP客户端已经选择能够支持相应认证模式的DHCP认证者，并接收了DHCP认证者提供的局部IP地址，在认证者收到DHCPRequest消息后从而进入步骤S1902进入身份认证的过程。由客户端触发认证过程如图15所示，在步骤S2001中，DHCP认证成功之后，认证者向网络中的DHCP客户端发起认证请求，从而完成重认证的过程。以上是对DHCPv4在增加了DHCP消息和Option后进行的说明，以此类推DHCPv6在表5中增加的DHCP消息和Option消息也能通过不同的DHCP消息携带完成上述的DHCP认证的过程，这里不再赘述。本发明实施例中还可以通过现有增加的DHCP消息和新增加的DHCPOption,DHCPv4版本和DHCP版本利用DHCP消息和DHCPOption的不同组合来完成相应的DHCP认证的功能，如表6所示的DHCPv4消息与DHCPOption<table>tableseeoriginaldocumentpage27</column></row><table><table>tableseeoriginaldocumentpage28</column></row><table>功能表和图7所示的DHCPv6消息与DHCPOption功能表。<table>tableseeoriginaldocumentpage28</column></row><table><table>tableseeoriginaldocumentpage29</column></row><table>下面根据现有技术中DHCPv4版本表6中增加的DHCP消息和增加的新的DHCPOption来进行描述认证的流程图16,其实现方法如下步骤S2301:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个DHCP发现报文消息(Discover)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器，并通过协议中的选项表明其支持的认证模式；如果AC和DHCP认证者不在同一个物理实体中时，则需要通过AC将接收到的DHCPDiscover消息转发给相应的DHCP认证者。步骤S2302:DHCP认证者收到DHCPDiscover消息后，将此消息转发到DHCP服务器；步骤S2303:DHCP服务器检查DHCPDiscover的参数，并回应一个地址分配服务确认消息(DHCPOffer),为DHCP客户端提供一个未租借的IP地址，其中，DHCP服务器还可以为DHCP客户端提供其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关；步骤S2304:DHCP认证者向DHCP客户端发出EAP-Request/Identity身份查询请求，该报文由DHCPAuth-request消息或DHCPEAP消息承载；步骤S2305:DHCP客户端接收到DHCPAuth-request消息或DHCPEAP消述EAP-Response/Identity消息由DHCPAuth-response消息或DHCPEAP消息岸义载；步骤S2306:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S2307和步骤S2308:之后会进行EAP的认证方法(EAPMethod)协商，以及认证方法交换的过程；在这些过程中，DHCP客户端和DHCP认证者之间均采用DHCPAuth-request/response消息或DHCPEAP消息承载EAP消息进行交互；在DHCP认证者和AS之间均采用AAA消息承载EAP消息进行交互；直到EAP认证过程结束；步骤S2309:AS通知DHCP认证者认证成功的结果；步骤S2310:DHCP认证者收到认证成功的消息后，将EAPsuccess消息封装在DHCPOffer消息，转发给DHCP客户端；步骤S2311至步骤S2314为现有技术中标准DHCP地址申请过程，这里不再过多赘述。下面根据现有技术中DHCPv4版本表6中增加的DHCP消息和增加的新的DHCPOption来进行描述认证的另一流程图17,其实现方法如下步骤S2401:当DHCP客户端接入网络时，向DHCP客户端接入的网络发送一个DHCP发现报文消息(Discover)来表明选择提供认证授权服务的DHCP认证者，并通过协议中的选项表明其支持的认证模式；步骤S2402:DHCP认证者向DHCP客户端发出EAP-Request/Identity身份查询请求，为DHCP客户端提供一个未租借的IP地址，其中，DHCP服务器还可以为DHCP客户端提供其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关，该报文由DHCPAuth-request消息或DHCPEAP消息承载；步骤S2403:DHCP客户端接收到DHCPAuth-request消息或DHCPEAP消息后，DHCP客户端发送DHCPAuth-response消息或DHCPEAP消息承载EAP-Response/Identity应答消息给DHCP认证者；步骤S2304:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;步骤S2405和步骤S2406:之后会进行EAP的认证方法(EAPMethod)协商，以及认证方法交换的过程；在这些过程中，DHCP客户端和DHCP认证者之间均采用DHCPAuth-request/response消息或DHCPEAP消息承载EAP消息进行交互；在DHCP认证者和AS之间釆用AAA消息承载EAP消息进行交互；直到EAP认证过程结束；步骤S2407:AS通知DHCP认证者认证成功的结果；步骤S2408:DHCP认证者将收到DHCPDiscover消息转发到DHCP服务器；步骤S2409:DHCP服务器检查DHCPDiscover的参数，并回应一个地址分配服务确认消息(DHCPOffer),为DHCP客户端提供一个未租借的IP地址，其中，DHCP服务器还可为DHCP客户端提供其他相关的DHCP配置信息，比如相关的子网掩码和缺省网关；步骤S2410:DHCP认证者收到DHCPOffer消息之后，DHCP认证者将EAPsuccess消息封装在DHCPOffer消息中，转发给DHCP客户端；步骤S2411至步骤S2414为现有技术中标准DHCP地址申请过程，这里不再过多赘述。下面根据现有技术中DHCPv4版本表6中增加的DHCP消息和增加的新的DHCPOption来进行描述DHCP首次认证失败的流程图18，由于在首次认证的过程中，图18中的步骤S2501至步骤S2508与图16中其中步骤2301至步骤S2308相同，这里不再过多赘述，以下详细描述在ASi人证失败后的步骤步骤S2509:DHCP认证者收到AS发送的EAPfailure消息；步骤S2510:DHCP认证者将得收到EAPfailure消息，重新封装在DHCPNack消息或DHCPOffer消息转发给DHCP客户端。下面根据现有技术中DHCPv4版本表6中增加的DHCP消息和增加的新的DHCPOption来进行描述DHCP首次认证失败的另一流程图19,由于在首次认证的过程中，图19中的步骤S2601至步骤S2606与图17中其中步骤2401至步骤S2406相同，这里不再过多赘述，以下详细描述在AS认证失败后的步骤步骤S2607:DHCP认证者收到AS发送的EAPfailure消息；步骤S2608:DHCP认证者将得收到EAPfailure消息，重新封装在DHCPNack消息或DHCPOffer消息转发给DHCP客户端。以上是对DHCPv4在增加了DHCP消息和DHCPOption消息进行不同组合后进行的说明，以此类推DHCPv6在表7中增加的DHCP消息和DHCPOption消息进行不同组合后，也能通过不同的DHCP消息携带完成上述的DHCP认证的过程，这里不再赘述。通过上述不同版本的首次DHCP认证成功及筒化片反本的DHCP首次i人证成功和DHCP重认证的成功，DHCP客户端能够接入网络中进行数据的访问，这里需要通过AC来检测DHCP客户端的数据流实现数据会话过程中的保密性，在此过程中DHCP客户端和DHCP认证者都可以发送IP会话测试数据，用于检测各自对方端口的IP会话的存活状态，以下图20详细描述了基于加密接入过滤的DHCP认证流程图，其具体步骤如下在认证成功之后DHCP认证者向DHCP客户端返回认证成功的消息同时，DHCP认证者与AC之间开始了步骤S2101;步骤S2101:DHCP认证者向AC下发关于DHCP客户端的接入控制策略和授权密钥；步骤S2102:AC收到关于DHCP客户端的接入控制策略和授权密钥之后，与DHCP客户端之间建立安全联盟，其安全联盟可以采用IKE协议或802.11i的4WHS协议，或采用802.16的3WHS协议；步骤S2103:在完成DHCP客户端与AC的安全联盟建立后，可以采用链路层或网络层中的加密协议对数据流进行安全保护；步骤S2104:AC对数据流进行加密接入过滤，滤出数据流中不正确安全保护的报文；步骤S2105:当DHCP客户端整个IP会话结束时，DHCP客户端会向AS发起DHCP释放消息来中止IP会话；当DHCP客户端处因为事故中断IP会话时，AC检测到DHCP客户端的IP会话的数据流中断后，则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。步骤S2106:DHCP认证者收到DHCP释放消息后，会将释放消息转发给DHCP服务器，DHCP服务器会释放DHCP客户端的IP地址；步骤S2107:DHCP认证者收到DHCP释放消息后，DHCP认证者通知AC解除DHCP客户端的接入控制策略和授权密钥。以上是描述了DHCP认证成功后对数据流进行加密接入过滤，在本发明实施例中，也可以通过在认证成功之后通过AC监听认证成功中的success消息来对数据流进行非接入加密的过程，其具体流程图如图21所示，包括以下步骤步骤S2201:AC对DHCP消息进行监听，当其返回有认i正成功的消息后，则对DHCP客户端的IP地址和物理地址(MAC地址)进行绑定；步骤S2202:DHCP客户端通过所分配的IP地址发起数据流信息；步骤S2203:AC对DHCP客户端发送的数据流信息进行非接入加密，滤出DHCP客户端IP地址与用户MAC地址不符合的数据才艮文；步骤S2204:当DHCP客户端整个IP会话结束时，DHCP客户端会向AS发起DHCP释放消息来终止IP会话；当DHCP客户端处因为事故中断IP会话时，AC检测到DHCP客户端的IP会话的数据流中断后，则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。步骤S2205:当AC在监听到DHCP客户端释放IP消息或检测到IP会话链路的中断时，则会解除DHCP客户端IP地址和MAC地址的绑定；步骤S2206:DHCP认证者向DHCP服务器转发DHCP释放消息，DHCP客户端根据收到的消息释放DHCP客户端的IP地址。综上所述，通过在IP网络中设置多个认证者，通过所述认证者代理相应的DHCP客户端进行认证过程，不需要对DHCP服务器进行改造就能够配置相应的认证者对所述DHCP客户端进行相应的认证，通过在认证过程中配置临时的IP地址，解决了认证过程中不能进行认证会话的过程，从而实现了认证过程的稳定性，并也提高了认证效率和成功率。本发明实施例通过接入控制器的引入实现了控制面和数据面的分离，通过接入控制器很好的实现数据面的接入过滤，保证了数据面的安全性。通过重认证机制，能够在DHCP客户端认证的租期时间将完结时，重新发起认证过程，为DHCP客户端重新分配一个IP地址进行IP通话，重认证的过程可以通过DHCP客户端触发机制和DHCP认证者触发机制的两种重认证方式。本发明实施例中提供的认证方法通过不同的DHCP消息能够应用于IPv4中，也能实现在IPv6中。以上所揭露的仅为本发明实施例中的一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。权利要求1、一种网络接入方法，其特征在于，接入认证者接收到客户端的发现报文后，根据所述发现报文为所述客户端提供第一配置信息；所述客户端利用所述第一配置信息进行认证；认证成功后，通过所述接入认证者向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息。2、根据权利要求1所述的网络接入方法，其特征在于，所述根据所述发现^J艮文为所述客户端提供第一配置信息具体包括所述接入认证者接收到所述发现报文后，向所述配置服务器发送配置请求，请求为所述客户端提供认证过程使用的第一配置信息。3、根据权利要求1所述的网络接入方法，其特征在于，所述接入认证者为认证服务器，对所述客户端进行认证；或者所述接入认证者独立于认证服务器，由所述认证服务器对所述客户端进行4、根据权利要求1至3任意一项所述的网络接入方法，其特征在于，所述客户端与接入认证者之间利用动态主机配置协议交互信息，所述交互的信息中包括可扩展认证协议消息。5、根据权利要求4所述的网络接入方法，其特征在于，所述接入认证者与所述认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息，所述交互的信息中包括可扩展认证协议消息。6、根据权利要求5所述的网络接入方法，其特征在于，所述方法还包括在所述会话过程中，由所述客户端或接入认证者触发对所述客户端的重认证过程。7、根据权利要求5所述的网络接入方法，其特征在于，所述方法还包括在所述会话过程中，对所述客户端发送的数据包或凄丈据流进行监控，利用所述接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密4妄入过滤。8、一种网^^妻入系统，其特征在于，包括接入认证者，用于在接收到客户端的发现报文后，为所述客户端提供认证过程使用的第一配置信息；在所述客户端认证成功后，向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息。用于为客户端提供配置信息的配置服务器，所述配置信息至少包括所述第二配置信息。9、根据权利要求8所述的网络接入系统，其特征在于，所述系统还包括认证服务器，用于对所述客户端进行认证；其中，所述接入认证者与认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息，所述交互的信息中包括可扩展认证协议消息。10、根据权利要求8所述的网络接入系统，其特征在于，所述接入认证者为认证服务器，用于对所述客户端进行认证，其中，在接收到所述客户端的发现报文后，为所述客户端提供认证过程使用的第一配置信息；在所述客户端认证成功后，向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。11、根据权利要求9或IO所述的网络接入系统，其特征在于，所述网络接入系统还包括接入控制器，用于对客户端发送的数据包或数据流进行监控，利用接入认证者提供的控制策略对所述数据包或数据流信息进行非加密或加密接入过滤。12、根据权利要求11所述的网络接入系统，其特征在于，所述接入认i正者与接入控制器之间利用API协议或L2CP协议或SNMP协议交互信息。13、根据权利要求9或IO所述的网络接入认证系统，其特征在于，所述接入认证者与客户端之间利用动态主机配置协议交互信息，所述交互的信息中包括可扩展认证协议消息。14、根据权利要求9所述的网络接入系统，其特征在于，所述接入认证者为宽带接入服务器或网关设备。15、一种接入认证装置，其特征在于，包括第一处理模块，用于接收客户端发送的发现报文后，为所述客户端提供认证过程使用的第一配置信息；认证模块，用于对所述客户端进行认证或者代理所述客户端进行认证；第二处理模块，在所述客户端认证成功后，向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。16、根据权利要求15所述的装置，其特征在于，所述装置还包括重认证模块，用于在所述会话过程中，对所述客户端进行重认证过程。17、一种宽带接入设备，其特征在于，包括一个或多个用户接口，用于与一个或多个客户端交互信息；一个或多个网绍4妄口，用于与一个或多个网络设备交互信息；接入认证处理模块，与用户接口和所述一个或多个网路接口相连，用于通过用户接口接收到来自客户端的发现报文后，为所述客户端提供认证过程使用的第一配置信息；在所述客户端认证成功后，通过网络接口与向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。18、一种应用于权利要求8所述系统的接入控制器，其特征在于，包括检测单元用于对客户端发送的数据包或数据流进行监控；数据过滤单元用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。全文摘要本发明公开了一种网络接入方法，该方法包括以下步骤接入认证者接收到客户端的发现报文后，根据所述发现报文为所述客户端提供第一配置信息；所述客户端利用所述第一配置信息进行认证；认证成功后，通过所述接入认证者向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息。本发明还公开了一种网络接入系统、接入认证装置及接入控制器，通过实施本发明实施例，实现了认证过程的稳定性。文档编号H04L12/28GK101340334SQ200710182220公开日2009年1月7日申请日期2007年10月9日优先权日2007年7月2日发明者郑若滨申请人:华为技术有限公司