一种网络协议ip地址获取方法及设备的制作方法

一种网络协议ip地址获取方法及设备的制作方法
【专利摘要】本发明公开了一种网络协议IP地址获取方法，通过对用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息进行探测并截取，获取到与所述用户终端对应的IP地址，并在判断该IP地址为新的IP地址后，根据该IP地址对用户终端重新进行认证，从而使认证服务器能够根据IP地址及时地更新用户终端的IP信息，实现了对认证用户终端IP地址的统一管理，保证了网络的安全性。本发明同时还公开了一种IP地址获取设备。
【专利说明】一种网络协议IP地址获取方法及设备
【技术领域】
[0001]本发明涉及通信【技术领域】，特别涉及一种网络协议IP地址获取方法。本发明同时还涉及一种IP地址获取设备。
【背景技术】
[0002]802.1X协议是一种基于端口的网络接入控制协议，作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。其中，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。
[0003]如图1所示，为现有技术中802.1X系统结构示意图，包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。该系统结构为典型的Client/Server结构。其中各个实体的功能及作用如下:
[0004]客户端:位于局域网段一端的一个实体，由该链路另一端的实体对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端必须支持 EAPOL (Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
[0005]设备端:位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。
[0006]认证服务器:为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为 RADIUS (Remote Authentication Dial-1n User Service,远程认证拨号用户服务)服务器。
[0007]为了保证网络安全，需要通过认证服务器记录上网的用户关键信息，用以进行用户溯源，如检查非法用户、网上乱发帖等情况。然而，对于运营商和一些企业网络内部来说，用户上网之后，网络都在三层以上，报文源MAC地址都是可变的，使用MAC地址无法进行溯源，目前普遍的做法是通过IP地址来进行用户溯源，在这种情况下，认证服务器需要记录用户在认证成功后所对应的IP地址。
[0008]在现有的获取用户IP地址技术方案中，由于802.1x和MAC认证，WAPI认证等二层认证协议为基于MAC地址的控制的二层转发，在认证成功之前都无法获取到IP地址，需要采取扩展EAP协议报文的方式，通过客户端软件将IP地址通过EAP协议报文携带给设备。因此，当客户端的IP地址为静态指定时，需要客户端将携带IP地的认证请求发送给认证服务器；当客户端的IP地址为动态分配时，由于IP地址要在认证通过后才分配，目前认证服务器都无法从认证过程中获取到IP地址信息，需要在认证成功后通过开始计费报文或者实时计费报文携带IP地址信息来进行用户IP信息的更新。具体地，用户在需要在认证或者计费时通过将IP地址上传到服务器，服务器才能将每个用户的IP地址和账号进行记录。[0009]由此可见，在现有技术中，认证服务器都是被动地从用户侧获取到IP地址，是否能够获取到用户的IP地址很大部分取决于用户端，无法针对用户的认证过程主动获取到用户的IP地址，尤其是用户非法访问一些站点无法进行溯源，造成了对用户管理上的困难，从而不利于网络的安全控制。

【发明内容】

[0010]为解决现有技术中认证服务器无法及时获取到用户终端IP地址的技术问题，本发明公开了一种网络协议IP地址获取方法，包括:
[0011]根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址；
[0012]判断所述IP地址是否为新的IP地址；
[0013]若是，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。
[0014]相应地，本发明还提供了一种网络协议IP地址获取设备，包括:
[0015]获取模块，用于根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址；
[0016]判断模块，用于判断所述IP地址是否为新的IP地址；
[0017]认证模块，用于在所述判断模块判断所述IP地址为新的IP地址的情况下，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。
[0018]通过应用以上技术方案，通过对用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息进行探测并截取，获取到与所述用户终端对应的IP地址，并在判断该IP地址为新的IP地址后，根据该IP地址对用户终端重新进行认证，从而使认证服务器能够根据IP地址及时地更新用户终端的IP信息，实现了对认证用户终端IP地址的统一管理，保证了网络的安全性。
【专利附图】

【附图说明】
[0019]图1为为现有技术中802.1X系统结构不意图；
[0020]图2为本发明提出的一种IP地址获取方法的流程示意图；
[0021]图3为本发明具体实施例提出的一种动态IP地址获取方法的流程示意图；
[0022]图4为本发明具体实施例提出的一种静态IP地址获取方法的流程示意图
[0023]图5为发明提出的一种IP地址获取设备的结构示意图。
【具体实施方式】
[0024]针对【背景技术】中所提出的问题，本发明的核心思想为:通过对用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息进行探测并截取，获取到与所述用户终端对应的IP地址，并在判断该IP地址为新的IP地址后，根据该IP地址对用户终端重新进行认证，从而使认证服务器能够根据IP地址及时地更新用户终端的IP信息，实现了对认证用户终端IP地址的统一管理，保证了网络的安全性。[0025]相应地，本发明实施例提供了一种网络协议IP地址获取方法，如图2所示，具体包括以下步骤:
[0026]S201，根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址。
[0027]具体的，基于用户终端事先是否配置有静态IP地址，该步骤可分为以下两种处理方式:
[0028]( I)用户终端没有配置静态IP地址
[0029]对于没有配置静态IP地址的用户终端，由于其在认证成功后需要向DHCP服务器请求分配IP地址，因此根据对用户终端与DHCP服务器之间进行IP地址获取过程中的交互信息获取与用户终端对应的IP地址。首先对来自于所述用户终端的DHCP请求报文进行截取，生成与所述用户终端对应的DHCP探测表项；继而根据所述DHCP探测表项，探测并截取发往所述用户终端的DHCP响应报文，获取与所述用户终端对应的IP地址。
[0030](2)用户终端配置了静态IP地址
[0031]与没有配置静态IP地址的用户终端所不同的是，已配置了静态IP地址的用户终端在认证成功后不会再向DHCP服务器请求分配IP地址，而是通过ARP请求将自身MAC地址与IP地址之间的对应关系通告给其他的网络设备。因此，对于该类型的用户终端，本发明通过探测并截取来自于所述用户终端的ARP请求报文，获取与所述用户终端对应的IP地址。
[0032]S202，判断所述IP地址是否为新的IP地址。
[0033]根据S201中不同的IP地址获取方式，本步骤中同样采取以下两种不同的方式进行判断:
[0034]( I)用户终端没有配置静态IP地址
[0035]由于该类型用户终端的IP地址每次都是通过DHCP服务器动态分配的，因此在获取到与用户终端对应的的IP地址后，即判断所述DHCP探测表项中是否存在与所述用户终端对应的IP地址，若所述DHCP探测表项中已存在与所述用户终端对应的IP地址，则进一步判断所述DHCP探测表项中与用户终端对应的IP地址是否与所述IP地址一致，
[0036]若所述DHCP探测表项中并不存在与所述用户终端对应的IP地址，或所述DHCP探测表项中与用户终端对应的IP地址与所述IP地址不一致，则确定所述IP地址为新的IP地址，并将所述IP地址作为与所述用户终端对应的IP地址保存在所述DHCP探测表项中。
[0037](2)用户终端配置了静态IP地址
[0038]虽然该类型的用户终端在认证成功后不必向DHCP服务器请求分配IP地址，但会向其他的网络设备发起ARP请求，通告自身的MAC地址与IP地址之间的关系。因此，通过判断所述IP地址与之前通过探测并截取来自于所述用户终端的ARP报文所得到的IP地址是否一致，即可在结果不一致的情况下则确定所述IP地址为新的IP地址。
[0039]S203，若是，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。
[0040]在确定了该用户终端的IP地址发生了变化之后，将来自于所述用户终端的已封装认证请求报文发送至所述认证服务器，所述认证请求报文中携带所述IP地址。
[0041]为了进一步阐述本发明的技术思想，现结合具体的应用场景，对本发明的技术方案进行说明。
[0042]如图3所述，为本发明具体实施例所提出的一种IP地址获取方法的流程示意图，其步骤如下:
[0043]S301，用户终端向交换机发送认证请求报文。
[0044]对于未配置静态IP地址的用户终端，此时认证请求报文中无IP地址，交换机无法从中获取到IP地址。而对于配置了静态IP地址的用户终端，是否在请求中携带其静态IP地址完全取决于用户终端。
[0045]S302,交换机对认证请求报文进行封装。
[0046]S303，交换机将没有携带IP地址的认证请求报文发送至认证服务器。
[0047]S304,认证服务器对认证请求进行认证，以下步骤以认证通过为例进行说明。
[0048]S305，认证服务器返回认证响应报文，通过交换机转发至用户终端。
[0049]S306，用户终端向DHCP发起DHCP请求，请求分配动态IP地址。
[0050]S307，交换机对用户终端的DHCP请求进行截取，生成DHCP探测表项。
[0051]该步骤中，交换机在探测到发往用户终端的DHCP请求后，将其中与用户终端的信息进行记录，生成与用户终端相关的DHCP探测表项，首次生成的DHCP探测表项仅包含用户终端的标识信息。
[0052]S308，DHCP在接收到用户终端发送的DHCP请求后，为用户终端分配IP地址。
[0053]S309，DHCP通过交换机向用户终端发送IP地址分配应答报文。
[0054]S310，交换机对DHCP应答报文进行探测并截取。
[0055]S311，交换机对与所述用户终端对应的IP地址进行判断，确定其是否发生了改变，此处以该IP地址为新地址为例说明。
[0056]基于S307中所生成的DHCP探测表项，交换机将S306中所截取的用户终端的标识信息一一进行比对，在查找到相应的用户终端后，交换机进一步判断该用户终端对应的表项中是否存在IP地址。对于新认证的用户终端，其表项中的IP地址为空；而对于之前已认证的用户终端，交换机需要判断表项中之前记录的IP地址与这次获取到的IP地址是否一致，若表项中不存在IP地址，或是前后两次得到的IP地址不一致，即可确定IP地址发生了改变
[0057]S312，交换机获取用户IP地址并准备发起重认证，此次认证请求中携带用户IP地
址信息。
[0058]S313，交换机向认证服务器发送携带了 IP地址的认证请求。
[0059]S314，认证服务器在重认证时使用报文中携带的IP地址更新用户IP信息。
[0060]S315,认证服务器向交换机返回认证请求响应。
[0061]以上为本发明针对动态分配IP地址的情况所提出的一种IP地址获取的具体实施例，如图4所述，为本发明针对静态分配IP地址的情况所提出的一种IP地址获取的具体实施例，由于该部分的改进在于用户终端认证成功的后续流程，因此以下以用户终端认证成功为例进行说明:
[0062]S401，认证成功的用户终端向其他设备发送ARP请求。
[0063]在认证成功后，用户终端会向外发送ARP请求，其中携带有自身的MAC地址与静态IP地址之间的对应关系。[0064]S402，交换机对用户终端的ARP请求进行截取，获取用户终端的IP地址。
[0065]S403，交换机判断用户终端的IP地址是否为新地址。
[0066]具体的，交换机根据之前通过探测并截取来自于用户终端的ARP报文所得到的IP地址，判断当前所获取的IP地址与其是否一致，若不一致，则确定所述IP地址为新的IP地址。该步骤中，以该IP地址为新地址为例进行说明。
[0067]S404,交换机根据所述IP地址对用户终端重新进行认证，以使认证服务器根据IP地址更新用户终端的IP信息。
[0068]为实现以上技术方案，本发明同时还提供了一种网络协议IP地址获取设备，如图5所示,包括:
[0069]获取模块510，用于根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址；
[0070]判断模块520，用于判断所述IP地址是否为新的IP地址；
[0071]认证模块530，用于在所述判断模块520判断所述IP地址为新的IP地址的情况下，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。
[0072]在具体的应用场景中，所述认证模块530，具体用于:
[0073]将来自于所述用户终端的已封装认证请求报文发送至所述认证服务器，所述认证请求报文中携带所述IP地址。
[0074]在具体的应用场景中，当与所述用户终端对应的IP地址类型为动态IP地址时，所述获取模块510，具体用于:
[0075]对来自于所述用户终端的DHCP请求报文进行截取，生成与所述用户终端对应的DHCP探测表项；
[0076]根据所述DHCP探测表项，探测并截取发往所述用户终端的DHCP响应报文，获取与所述用户终端对应的IP地址。
[0077]在具体的应用场景中，所述判断模块520，具体用于:
[0078]判断所述DHCP探测表项中是否存在与所述用户终端对应的IP地址，若所述DHCP探测表项中已存在与所述用户终端对应的IP地址，则进一步判断所述DHCP探测表项中与用户终端对应的IP地址是否与所述IP地址一致，
[0079]若所述DHCP探测表项中并不存在与所述用户终端对应的IP地址，或所述DHCP探测表项中与用户终端对应的IP地址与所述IP地址不一致，则确定所述IP地址为新的IP地址，并将所述IP地址作为与所述用户终端对应的IP地址保存在所述DHCP探测表项中。
[0080]在具体的应用场景中，当与所述用户终端对应的IP地址类型为静态IP地址时，所述获取模块510，具体用于
[0081]探测并截取来自于所述用户终端的ARP报文，获取与所述用户终端对应的IP地址。
[0082]在具体的应用场景中，所述判断模块520，具体用于:
[0083]判断所述IP地址与之前通过探测并截取来自于所述用户终端的ARP报文所得到的IP地址是否一致，
[0084]若不一致，则确定所述IP地址为新的IP地址。[0085]通过应用以上技术方案，通过对用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息进行探测并截取，获取到与所述用户终端对应的IP地址，并在判断该IP地址为新的IP地址后，根据该IP地址对用户终端重新进行认证，从而使认证服务器能够根据IP地址及时地更新用户终端的IP信息，实现了对认证用户终端IP地址的统一管理，保证了网络的安全性。
[0086]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是⑶-R0M，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施场景所述的方法。
[0087]本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
[0088]本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
[0089]上述本发明序号仅仅为了描述，不代表实施场景的优劣。
[0090]以上公开的仅为本发明的几个具体实施场景，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1.一种网络协议IP地址获取方法，其特征在于，包括: 根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址； 判断所述IP地址是否为新的IP地址； 若是，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。
2.如权利要求1所述的方法，其特征在于，根据所述IP地址对所述用户终端重新进行认证，具体为: 将来自于所述用户终端的已封装认证请求报文发送至所述认证服务器，所述认证请求报文中携带所述IP地址。
3.如权利要求1所述的方法，其特征在于，当与所述用户终端对应的IP地址类型为动态IP地址时，根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所 述用户终端对应的IP地址，具体为: 对来自于所述用户终端的DHCP请求报文进行截取，生成与所述用户终端对应的DHCP探测表项； 根据所述DHCP探测表项，探测并截取发往所述用户终端的DHCP响应报文，获取与所述用户终端对应的IP地址。
4.如权利要求3所述的方法，其特征在于，判断所述IP地址是否为新的IP地址，具体为: 判断所述DHCP探测表项中是否存在与所述用户终端对应的IP地址，若所述DHCP探测表项中已存在与所述用户终端对应的IP地址，则进一步判断所述DHCP探测表项中与用户终端对应的IP地址是否与所述IP地址一致， 若所述DHCP探测表项中并不存在与所述用户终端对应的IP地址，或所述DHCP探测表项中与用户终端对应的IP地址与所述IP地址不一致，则确定所述IP地址为新的IP地址，并将所述IP地址作为与所述用户终端对应的IP地址保存在所述DHCP探测表项中。
5.如权利要求1所述的方法，其特征在于，当与所述用户终端对应的IP地址类型为静态IP地址时，根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址，具体为: 探测并截取来自于所述用户终端的ARP报文，获取与所述用户终端对应的IP地址。
6.如权利要求5所述的方法，其特征在于，判断所述IP地址是否为新的IP地址，具体为: 判断所述IP地址与之前通过探测并截取来自于所述用户终端的ARP报文所得到的IP地址是否一致， 若不一致，则确定所述IP地址为新的IP地址。
7.一种网络协议IP地址获取设备，其特征在于，包括: 获取模块，用于根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址； 判断模块，用于判断所述IP地址是否为新的IP地址； 认证模块，用于在所述判断模块判断所述IP地址为新的IP地址的情况下，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP ?目息。
8.如权利要求7所述的设备，其特征在于，所述认证模块，具体用于: 将来自于所述用户终端的已封装认证请求报文发送至所述认证服务器，所述认证请求报文中携带所述IP地址。
9.如权利要求7所述的设备，其特征在于，当与所述用户终端对应的IP地址类型为动态IP地址时，所述获取模块，具体用于: 对来自于所述用户终端的DHCP请求报文进行截取，生成与所述用户终端对应的DHCP探测表项； 根据所述DHCP探测表项，探测并截取发往所述用户终端的DHCP响应报文，获取与所述用户终端对应的IP地址。
10.如权利要求9所述的设备，其特征在于，所述判断模块，具体用于: 判断所述DHCP探测 表项中是否存在与所述用户终端对应的IP地址，若所述DHCP探测表项中已存在与所述用户终端对应的IP地址，则进一步判断所述DHCP探测表项中与用户终端对应的IP地址是否与所述IP地址一致， 若所述DHCP探测表项中并不存在与所述用户终端对应的IP地址，或所述DHCP探测表项中与用户终端对应的IP地址与所述IP地址不一致，则确定所述IP地址为新的IP地址，并将所述IP地址作为与所述用户终端对应的IP地址保存在所述DHCP探测表项中。
11.如权利要求7所述的设备，其特征在于，当与所述用户终端对应的IP地址类型为静态IP地址时，所述获取模块，具体用于 探测并截取来自于所述用户终端的ARP报文，获取与所述用户终端对应的IP地址。
12.如权利要求11所述的设备，其特征在于，所述判断模块，具体用于: 判断所述IP地址与之前通过探测并截取来自于所述用户终端的ARP报文所得到的IP地址是否一致， 若不一致，则确定所述IP地址为新的IP地址。
【文档编号】H04L29/12GK103458062SQ201310375498
【公开日】2013年12月18日 申请日期:2013年8月26日 优先权日:2013年8月26日
【发明者】刘博 , 徐勇刚 申请人:杭州华三通信技术有限公司