专利名称:一种基于dhcp协议的ip接入的方法及其装置的制作方法
技术领域:
本发明涉及数据通信技术领域,特别是涉及一种基于DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议的IP接入的方法及其装置。
背景技术:
在IP网络中,每个连接Internal的用户设备都需要分配一个唯一的IP地 址。在常见的小型网络中,IP地址都是由网络管理员手工分配的,而到了中 大型网络,手工分配地址就变得不太合适了。因此必须使用一种高效的地址分 配方法,DHCP出现正好解决这个问题。一般情况下,用户获取IP地址接入到网络中,是需要对接入网络的用户 进行控制的,用户所获得的访问网络权限是由接入服务器控制的,从而保证网 络接入用户的合法性,特别是在运营商的网络上,还涉及到一个计费的问题, 也是需要解决。但是由于DHCP协议只是一个地址分配协议,没有提供在接入过程中对 接入用户的控制能力,使得DHCP的接入用户不需要任何附加条件就可以接 入网络,对网络的安全和运营商的业务开展都是非是非常不利的。目前IP接入大多都采用DHCP+WEB方式来实现用户的接入管理,这种 方法虽然能够对用户进行接入管理,但是它的缺陷是需要外部的WEB服务器 做支持,用户每次上线后需要登陆到某个网页来进行接入认证,此时主机已经 通过DHCP协议将IP地址分配出去;另外一个缺陷是管理报文和业务报文都 是一样的,接入服务器无法区分。由于上述原因,无论是接入服务器还是WEB 服务器的安全性都非常脆弱,所以迫切需要一种安全接入方法对DHCP的用 户进行接入管理。发明内容本发明所要解决的技术问题在于提供一种基于DHCP协议的IP接入的方法及其装置,用于解决现有技术中用户接入网络时的安全性无法保证的问题。 为了实现上述目的,本发明提供了一种基于DHCP协议的IP接入的方法,其特征在于,包括步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出 转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户 名与所述电路信息填入至认证请求信息;步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后 与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。所述的基于DHCP协议的IP接入的方法,其中,所述步骤二中,进一步 包括所述接入设备将所述电路信息填写在所述转发DHCP发现报文的Option 82选项中的歩骤。所述的基于DHCP协议的IP接入的方法,其中,所述步骤二中,进一步 包括所述接入服务器判断所述转发DHCP发现报文中是否携带Option 61,若 是,则从所述Option 61中读出所述MAC地址,从所述Option 82选项读出所 述电路信息;否则不回应所述DHCP客户端。所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步 包括所述接入服务器通过认证/授权/计费模块对所述认证请求信息进行认证的 步骤。所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步 包括所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同 方式进行认证的步骤。所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步 包括当所述用户是在本地配置的用户时,则所述认证/授权/计费模块进行接入 服务器本地认证;或当所述是在Radius服务器上配置的用户时,则所述认证/授权/计费模块组 织认证请求信息通过Radius协议到Radius服务器上认证。为了实现上述目的,本发明提供了一种基于DHCP协议的IP接入的装置, 包括用户终端、DHCP客户端向、接入设备、接入服务器,其特征在于,所述 用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;所述接入设 备转发所述DHCP发现报文至所述接入服务器;所述接入服务器接收转发DHCP发现报文,从所述转发DHCP发现报文 中读出MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息 填入至认证请求信息,对所述认证请求信息进行认证,并在认证通过后与所述 DHCP客户端完成DHCP交互,所述用户终端接入网络。所述的基于DHCP协议的IP接入的装置,其中,所述接入设备为接入交 换机或DSLAM设备。所述的基于DHCP协议的IP接入的装置,其中,还包括认证/授权/计费 模块,设置于所述接入服务器上,用于对所述认证请求信息进行认证。所述的基于DHCP协议的IP接入的装置,其中,所述认证/授权/计费模块 根据用户的配置类型对所述认证请求信息以不同方式进行认证当所述用户是在本地配置的用户时,则进行接入服务器本地认证;或当所述是在Radius服务器上配置的用户时,则组织认证请求信息通过 Radius协议到Radius服务器上认证。本发明的有益技术效果与现有技术相比,本发明所提供的基于DHCP协议的IP接入宽带网络的 方法及其装置,通过DHCP获取IP地址过程中完成用户的接入认证和授权, 从而有效限制了非法用户的接入,为运营商广泛开展IP接入提供一个很好技 术手段。以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的 限定。
图1是本发明基于DHCP协议的IP接入的方法流程图; 图2是本发明基于DHCP协议的IP接入的装置结构图。
具体实施方式
下面结合附图和具体实施方式
对本发明的技术方案作进一步更详细的描述。如图1所示,是本发明基于DHCP协议的IP接入的方法流程图。该流程 描述了基于DHCP协议的IP接入方法,具体包括以下各步骤步骤S101,用户终端请求IP地址,通过DHCP客户端,向接入服务器发 送DHCP Discovery (发现)报文;步骤S102,当该报文通过接入设备(如接入交换机或是DSLAM设备) 时,接入设备在该报文的Option 82选项中填写相关电路信息。步骤S103,接入服务器收到从接入交换机或是DSLAM设备转发过来的 DHCP Discovery报文;步骤S104,接入服务器判断DHCP Discovery报文中是否携带Option 61 , 若携带,则进入步骤S105;否则,转入步骤S108;步骤S105,接入服务器将该报文中Option 61所携带的MAC地址和Option 82选项中的电路信息读出来,并向接入服务器的AAA模块发送认证请求信息, i青求AAA (Authentication, Authorization, Accounting,认i正/授丰又/i十费)牛莫块 认证。该步骤中,由于每个主机的MAC地址是唯一,所以将MAC地址作为接 入用户的用户名,和电路信息一起填入到认证请求信息中,再送到接入服务器 的AAA模块进行认证。步骤S106, AAA模块接收认证请求信息,并对认证请求信息进行认证, 若认证通过,则进行步骤S107;否则,转入步骤S108。该步骤中,AAA模块对认证请求信息进行认证,根据用户的配置类型分 两种情况进行1) 当用户是在本地配置的用户时,则以接入服务器本地认证;2) 当用户是在Radius服务器上配置的用户时,则组织认证请求信息通过 Radius协议到Radius服务器上认证。无论是在本地配置的用户还是在Radius服务器上配置的用户,用户名 (MAC地址)和电路信息要绑定,通过SVLAN (Stack-VLAN,可堆叠虚拟局域网)技术可以保证用户的电路信息的唯一。步骤S107,接入服务器会跟DHCP客户端完成整个DHCP的交互,此时 用户接入网络,可以上线。步骤S108,返回,不给DHCP客户端任何回应。上述步骤都是以时间为顺序的,有先后依存关系。由于本发明只需MAC 地址和电路信息作为认证请求信息,而很多客户端可以对主机的MAC做修改, 所以电路信息的唯一是安全的重要保证,这样可以防止用户窃取到用户MAC 地址而非法接入。如图2所示,是本发明基于DHCP协议的IP接入的装置结构图。该装置 100包括用户终端IO、 DHCP客户端20、接入设备30、接入服务器40。用户终端IO请求IP地址,通过DHCP客户端20,向接入服务器40发送 DHCP Discovery报文,当该报文通过接入设备30 (如接入交换机或是DSLAM 设备)时,接入设备30在该报文的Option 82选项中填写相关电路信息。接入服务器40检查收到DHCP Discovery报文后,将该报文中Option 61 信息中的MAC地址,及Option 82选项中的电路信息读出来,将MAC地址作 为用户名,和电路信息一起填入到认证请求信息中,再将认证请求信息送到接 入服务器40的AAA模块41进行认证。接入服务器40的AAA模块41收到认证请求信息后,分两种情况1) 当用户是在本地配置的用户时,则接入服务器本地认证;2) 当用户是在Radius服务器上配置的用户时,则组织认证请求信息通过 Radius协议到Radius服务器上认证。无论是在本地配置的用户还是在Radius服务器上配置的用户,用户名 (MAC地址)和电路信息要绑定,通过SVLAN技术可以保证用户的电路信 息的唯一。当AAA模块41对认证请求信息认证通过后,接入服务器40会跟DHCP 客户端20完成整个DHCP的交互,此时用户就可以接入到网络中。本发明通过将MAC地址和电路信息作为认证请求信息,因为电路信息的 唯一性,所以有了安全的重要保证,从而可以有效防止用户窃取到用户MAC 地址而非法接入。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种基于DHCP协议的IP接入的方法,其特征在于,包括步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息;步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。
2、 根据权利要求1所述的基于DHCP协议的IP接入的方法,其特征在于, 所述步骤二中,进一步包括所述接入设备将所述电路信息填写在所述转发DHCP发现报文的Option 82选项中的步骤。
3、 根据权利要求2所述的基于DHCP协议的IP接入的方法,其特征在于, 所述步骤二中,进一步包括所述接入服务器判断所述转发DHCP发现报文中是否携带Option 61 ,若 是,则从所述Option 61中读出所述MAC地址,从所述Option 82选项读出所 述电路信息;否则不回应所述DHCP客户端。
4、 根据权利要求l、 2或3所述的基于DHCP协议的IP接入的方法,其 特征在于,所述步骤三中,进一步包括所述接入服务器通过认证/授权/计费模块对所述认证请求信息进行认证的 步骤。
5、 根据权利要求4所述的基于DHCP协议的IP接入的方法,其特征在于, 所述步骤三中,进一步包括所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同 方式进行认证的步骤。
6、 根据权利要求5所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤三中,进一步包括当所述用户是在本地配置的用户时,则所述认证/授权/计费模块进行接入 服务器本地认证;或当所述是在Radius服务器上配置的用户时,则所述认证/授权/计费模块组 织认证请求信息通过Radius协议到Radius服务器上认证。
7、 一种基于DHCP协议的IP接入的装置,包括用户终端、DHCP客户端 向、接入设备、接入服务器,其特征在于,所述用户终端通过DHCP客户端 向接入服务器发送DHCP发现报文;所述接入设备转发所述DHCP发现报文 至所述接入服务器;所述接入服务器接收转发DHCP发现报文,从所述转发DHCP发现报文 中读出MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息 填入至认证请求信息,对所述认证请求信息进行认证,并在认证通过后与所述 DHCP客户端完成DHCP交互,所述用户终端接入网络。
8、 根据权利要求7所述的基于DHCP协议的IP接入的装置,其特征在于, 所述接入设备为接入交换机或DSLAM设备。
9、 根据权利要求7或8所述的基于DHCP协议的IP接入的装置,其特征 在于,还包括认证/授权/计费模块,设置于所述接入服务器上,用于对所述 认证请求信息进行认证。
10、 根据权利要求9所述的基于DHCP协议的IP接入的装置,其特征在 于,所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同 方式进行认证当所述用户是在本地配置的用户时,则进行接入服务器本地认证;或 当所述是在Radius服务器上配置的用户时,则组织认证请求信息通过 Radius协议到Radius服务器上认证。
全文摘要
本发明公开了一种基于DHCP协议的IP接入的方法及其装置,其中该方法包括步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息;步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。与现有技术相比,本发明通过DHCP获取IP地址过程中完成用户的接入认证和授权,从而有效限制了非法用户的接入。
文档编号H04L29/06GK101227481SQ200810057508
公开日2008年7月23日 申请日期2008年2月2日 优先权日2008年2月2日
发明者新 王 申请人:中兴通讯股份有限公司