CN100417127C - 一种基于动态主机配置协议的用户管理方法 - Google Patents
一种基于动态主机配置协议的用户管理方法 Download PDFInfo
- Publication number
- CN100417127C CN100417127C CNB021113734A CN02111373A CN100417127C CN 100417127 C CN100417127 C CN 100417127C CN B021113734 A CNB021113734 A CN B021113734A CN 02111373 A CN02111373 A CN 02111373A CN 100417127 C CN100417127 C CN 100417127C
- Authority
- CN
- China
- Prior art keywords
- user
- dhcp
- client
- address
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Abstract
本发明公开了一种基于动态主机配置协议的用户管理方法,包括下列步骤:①客户端发出DHCP请求;②DHCP服务器响应客户端请求,建立用户控制信息,限制用户访问能力;③用户进行认证,并将认证结果返回给DHCP服务器;④DHCP服务器根据认证结果更新用户控制信息,并将新的网络配置发给客户端;⑤用户正常上网,DHCP服务器处理用户的其它DHCP信息。采用本发明所述方法,解决了用户使用DHCP接入时对用户管理的较弱的问题,可以选择多种认证方式,扩展方便,极大减轻网络维护负担。而且,本发明的方法很好地融合了DHCP便于网络配置的特性,同时又满足了接入服务器对用户管理的苛刻要求,使得DHCP成为一种可运营和方便易行的宽带接入方式。
Description
技术领域
本发明涉及宽带接入网,具体的说,涉及一种接入服务器对DHCP(DynamicHost Configuration Protocol动态主机配置协议)接入用户认证和管理的方法。
背景技术
DHCP的全称是动态主机配置协议(Dynamic Host Configuration Protocol),由IETF(Internet网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131。DHCP是BOOTP(Bootstrap Protocol,见RFC951)的扩展,基于C/S(Client/Server客户/服务)模式,提供一种动态指定IP地址和网络配置的机制,主要用于大型网络环境和配置比较困难的地方。网络管理员把网络配置的参数集中在运行DHCP服务器上,由DHCP服务器自动地为网络中的主机指定IP地址和路由等配置,DHCP服务器指定的配置参数有些和IP协议并不相关,但这并不会影响计算机之间的通信,相反,它的配置参数使得网络上的计算机通信变得方便而容易实现了。并且DHCP使得IP地址的可以被租用,这是相对于BOOTP的一个较为突出的功能,尤其对于拥有大量计算机的大型网络来说,如一所大学内的校园网,每台计算机静态拥有一个IP地址有时候可能是不必要的,DHCP服务器为每个IP地址指定一个租期,租期可以是1分钟,也可以是无限期,客户机也可以通过续租持续使用IP资源。当租期到了的时候,DHCP服务器可以回收这个IP地址,分配给别的机器使用,这个特性也很好地满足了接入服务器的要求。此外,DHCP还可以很好地满足移动服务,这是由于DHCP提供预约机制,客户机虽然物理位置发生了改变,但是客户机的基本信息仍然存在服务器中,当客户机再度发出请求时,如果该IP地址尚未被分配出去就仍然可以使用先前使用过的地址。
DHCP可以很好地使用在企业内部的局域网中,极大地减轻TCP/IP网络的规划、管理和维护的负担,自动进行IP地址的分配与回收,基本上不需要人为干预。但这种传统的DHCP组网方式仅仅是一种企业级的IP网络,是基于企业内部信任并不进行运营的网络,从运营商的角度来看是零管理的网络,尤其是DHCP Server主要用于管理网络配置,对用户的管理以集合的方式进行,除IP地址外,多个用户使用相同的网络配置,一个小小的改动就会影响整个网络,且不能动态地修改,需要管理员人工干预,所以适合在相对稳定的企业内部网中使用。但接入网要求能为单个用户提供定制服务,每个用户的配置是独立的,并且可以动态更新,以满足管理的需要。所以当把DHCP作为宽带接入的一个业务实现方式的时候,现有技术不能很好地对用户进行必要的管理。
发明内容
本发明的目的是为了克服了现有技术中的对DHCP缺少运营管理机制的缺点,提出一种充分利用DHCP方便网络管理的特性,实现对DHCP接入用户的一种有效认证和管理的方法。
本发明的核心思想是:通过引入用户的的控制信息,增强DHCP Server对用户的管理功能,控制信息可以影响DHCP的协商过程和用户的上网行为。而用户控制信息的获得与变更则与用户的认证密切相关,从而很好地满足了接入网中对用户认证和管理的要求。
本发明的技术方案是这样实现的。一种基于动态主机配置协议的用户管理方法,包括下列步骤:
①客户端发出DHCP请求;
②DHCP服务器响应客户端请求,建立用户控制信息,限制用户访问能力;
③用户进行认证,并将认证结果返回给DHCP服务器;
④DHCP服务器根据认证结果更新用户控制信息,并将新的网络配置发给客户端;
⑤用户正常上网,DHCP服务器处理用户的其它DHCP信息。
所述步骤②中的用户控制信息包括但不限于:客户机的MAC地址,VLANDID和接入端的硬件信息。
所述的DHCP服务器是内置在接入服务器中的。
所述步骤②中DHCP服务器响应客户端请求包括从指定的IP地址池中分配给客户端一个IP地址以及相应的网络配置。这里的IP地址可以是一个私网地址。
所述步骤③中的认证可以是WEB认证,也可以是其它的认证,但是所采用得认证方式必须能够与DHCP服务器之间进行消息交互,使得DHCP服务器能够获得客户端认证结果。
所述步骤④中更新用户控制信息是指给用户在保持用户在线的条件下,通过更换用户控制信息以改变用户的访问能力,并将相应配置传给客户端,或者仍然让用户使用原来的私网地址,对此情况系统可以提供NAT(网络地址转换协议)转换。
所述步骤①中对未通过认证的非法用户和用户认证超时,DHCP服务器将收回IP地址,强制拆线,并生成记录。
采用本发明所述方法,解决了用户使用DHCP接入时对用户管理的较弱的问题,可以选择多种认证方式,扩展方便,极大减轻网络维护负担。而且,本发明的方法很好地融合了DHCP便于网络配置的特性,同时又满足了接入服务器对用户管理的苛刻要求,使得DHCP成为一种可运营和方便易行的宽带接入方式。
附图说明
图1是本发明提出的基于动态主机配置协议的用户管理方法的流程图。
图2是本发明的一个实施例的DHCP接入的实现原理图。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
图1是本发明提出的基于动态主机配置协议的用户管理方法的流程图。如图1所示,一种基于动态主机配置协议的用户管理方法,包括下列步骤:①客户端发出DHCP请求;②DHCP服务器响应客户端请求,建立用户控制信息,限制用户访问能力;③用户进行认证,并将认证结果返回给DHCP服务器;④DHCP服务器根据认证结果更新用户控制信息,并将新的网络配置发给客户端;⑤用户正常上网,DHCP服务器处理用户的其它DHCP信息。
用户认证前,运行DHCP客户端的用户主机发起DHCP请求到接入服务器,内置在接入服务器上的DHCP服务器从某个指定的IP地址池中分配给客户端一个IP地址(大部分情况是私网地址),分配地址是标准的DHCP协商过程,但为了达到可管理的目的,需要在接入服务器上建立用户的控制信息,以管理用户的上网行为。
建立用户控制信息的时候,DHCP服务器利用DHCP协商过程中收集到的客户端的基本信息,包括客户机的MAC地址,VLAN ID和接入端口等硬件信息,以此作为用户的唯一标识,并与IP地址和控制信息建立一一对应的关系。这个唯一标识不是固定的,其生存期是从用户开始申请IP地址,上网到下线的一段时间内。这样做的好处之一是假如用户更换了网卡或改变的接入位置,网管不需要做相应的改动。
建立用户控制信息之后,认证之前,客户端与DHCP服务器仍然会定期进行DHCP协商(主要是进行IP地址续租,详见DHCP协议),DHCP服务器仍然为客户端服务,但用户控制信息会判断用户是否超过规定认证时间,并适时将用户剔下线,回收IP资源。传统的DHCP服务器仅设一个租期,且如果用户不主动下线的话,就一直能使用分配好的IP地址。
用户获得IP地址后,就可以部分实现上网功能,但在控制信息的作用下,上网是受限的,因为此时尚未对用户进行认证。关于认证的方式已超出本文范围,这里以WEB认证为例说明其中的过程:认证前的用户只能访问与认证有关的指定的网站,或者接入服务器可以将用户的所有HTTP请求定向到某个指定的WEB服务器上(需要重定向功能),在用户主机上所见到的就是一个请求输入用户名和密码的登录页面,WEB服务器接收用户名和密码,送至AAA(认证,计费和授权服务器)服务器进行认证,并将结果发给接入服务器。这仅是一种可能的认证方式,实际应用的时候可以选择其它成熟方案,本文不作详细介绍。
若用户认证通过,接入服务器根据认证结果重新配置用户的控制信息,按照为用户开户时所制定的规则实现用户的上网功能。并且在紧接着刷新用户控制信息后的DHCP协商过程中,将新的网络配置发给客户端。目前有两种较常用的更新方式,一是给用户换一个公网地址,另一个是仍然使用原来的私网地址,但提供NAT(网络地址转换协议)转换。传统的DHCP服务器则无法做到这样动态地更新用户的网络配置,需要管理员的干预。如果认证不通过,则注销用户控制信息,即使用户的IP地址仍然在租期内尚未失效,但是在接入服务器上已经没有相应的控制信息,用户还是无法使用网络。
认证通过后的用户开始正常的上网,而DHCP服务器只处理DHCP消息,不干涉用户的上网过程,基本不占用用户的带宽,此时的控制信息承担流量控制,链路检测和计费等功能。
图2是本发明的一个实施例的DHCP接入的实现原理图。如图2所示,用户A通过交换机B接入到宽带接入服务器C中,并从接入服务器C获得私网IP地址,以及DNS,掩码和路由配置(DNS地址,掩码和路由都是事先配置到DHCP服务器的数据库中,再通过DHCP协商配置到客户端)。接入服务器C则通过配置用户A的控制信息使得用户A只能访问宽带接入门户D。然后用户A主动登录宽带接入门户D,或者由接入服务器C将用户A的所有访问请求转到宽带接入门户D(需要重定向功能)。用户A登录宽带接入门户D后,访问的第一个页面就是身份认证页面,要求用户A输入用户名和密码,然后宽带接入门户D将信息送至E进行认证(或中间经过宽带接入服务器C中转),并将认证结果返回到宽带接入服务器C,刷新相应的用户控制信息,同时通知用户A认证结果。对于认证通过的用户A,宽带接入服务器C根据认证后的用户控制信息与用户A进行DHCP协商,协商的结果可以是用户A继续使用私网IP也可以是使用新的公网IP,视系统配置情况而定。若使用私网则宽带接入服务器C需要添加NAT功能或外接一个NAT服务器(图2中未表示)将用户A的私网IP转换成公网IP,使用公网IP则相对简单。刷新客户端的网络配置后,在宽带接入服务器C的管理下,用户A就可实现宽带接入的功能,通过路由器F访问internet了。
Claims (8)
1. 一种基于动态主机配置协议的用户管理方法,其特征在于包括下列步骤:
①客户端发出DHCP请求;
②DHCP服务器响应客户端请求,建立用户控制信息,限制用户访问能力;所述用户控制信息包括但不限于:客户机的MAC地址,VLAND ID和接入端的硬件信息;
③用户进行认证,并将认证结果返回给DHCP服务器;
④DHCP服务器根据认证结果更新用户控制信息,并将新的网络配置发给客户端;所述更新用户控制信息是指在保持用户在线的条件下,通过更换用户控制信息以改变用户的访问能力,并将相应配置传给客户端;
⑤用户正常上网,DHCP服务器处理用户的其它DHCP信息。
2. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述的DHCP服务器是内置在接入服务器中的。
3. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述步骤②中DHCP服务器响应客户端请求包括从指定的IP地址池中分配给客户端一个IP地址以及相应的网络配置。
4. 根据权利要求3所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述的IP地址是一个私网地址。
5. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述步骤③中的认证是WEB认证。
6. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述步骤④中更新用户控制信息是指仍然让用户使用原来的私网地址,但是提供NAT转换。
7. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于所述步骤①中对未通过认证的非法用户,DHCP服务器将收回IP地址,强制拆线,并生成记录。
8. 根据权利要求1所述的一种基于动态主机配置协议的用户管理方法,其特征在于对于用户认证超时,DHCP服务器将收回IP地址,强制拆线,并生成记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021113734A CN100417127C (zh) | 2002-04-10 | 2002-04-10 | 一种基于动态主机配置协议的用户管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021113734A CN100417127C (zh) | 2002-04-10 | 2002-04-10 | 一种基于动态主机配置协议的用户管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1450766A CN1450766A (zh) | 2003-10-22 |
| CN100417127C true CN100417127C (zh) | 2008-09-03 |
Family
ID=28680557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021113734A Expired - Lifetime CN100417127C (zh) | 2002-04-10 | 2002-04-10 | 一种基于动态主机配置协议的用户管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100417127C (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100636143B1 (ko) * | 2004-06-02 | 2006-10-18 | 삼성전자주식회사 | 무선 네트워크 장치의 자동 설정 방법 및 장치 |
| FI20040978A0 (fi) * | 2004-07-13 | 2004-07-13 | Nokia Corp | Järjestelmä, menetelmä, verkkokohteet ja tietokoneohjelmat dynaamisen isäntäkonfigurointikäytännön kehyksen konfiguroinnin hallitsemiseksi |
| CN100352220C (zh) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| CN100376095C (zh) * | 2004-12-09 | 2008-03-19 | 腾讯科技(深圳)有限公司 | 一种自定义用户身份标识的方法及系统 |
| CN100388666C (zh) * | 2004-12-09 | 2008-05-14 | 腾讯科技(深圳)有限公司 | 一种数据传输过程的控制方法及系统 |
| CN102123178B (zh) * | 2005-01-24 | 2014-04-09 | 茨特里克斯系统公司 | 在网络中对动态产生的对象执行缓存的系统和方法 |
| NO323215B1 (no) | 2005-02-04 | 2007-01-29 | Tandberg Telecom As | Fremgangsmate for monitorering og konfigurering av brannmur/NAT-beskyttet nettverk |
| CN101141492B (zh) * | 2005-04-29 | 2014-11-05 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN100388739C (zh) * | 2005-04-29 | 2008-05-14 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN1909482A (zh) * | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | Dhcp服务性能检测的实现方法 |
| CN1921496B (zh) * | 2005-08-24 | 2010-04-14 | 中兴通讯股份有限公司 | 一种dhcp客户端识别dhcp服务器的方法 |
| CN101145907B (zh) * | 2006-09-11 | 2010-05-12 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| CN101247297B (zh) * | 2007-02-16 | 2010-07-14 | 华为技术有限公司 | 对家庭网络中应用终端进行自动配置的装置、系统和方法 |
| CN100499528C (zh) * | 2007-04-25 | 2009-06-10 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN100586106C (zh) * | 2007-05-22 | 2010-01-27 | 华为技术有限公司 | 报文处理方法、系统和设备 |
| CN101340287A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入认证方法及系统和装置 |
| CN101350809A (zh) * | 2007-07-19 | 2009-01-21 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN101355474B (zh) | 2007-07-25 | 2010-09-08 | 华为技术有限公司 | 请求、分配连接点地址的方法及设备 |
| CN101447976B (zh) * | 2007-11-26 | 2013-01-09 | 华为技术有限公司 | 动态ip会话接入的方法、系统及装置 |
| CN101588357B (zh) * | 2008-05-23 | 2013-06-05 | 鸿富锦精密工业(深圳)有限公司 | 路由器及利用该路由器识别用户身份的方法 |
| CN102307247B (zh) * | 2011-08-22 | 2013-04-03 | 神州数码网络(北京)有限公司 | 一种dhcp地址动态分配的方法及系统 |
| CN103152255B (zh) * | 2013-02-20 | 2016-06-29 | 神州数码网络(北京)有限公司 | 一种数据转发的方法和装置 |
| CN104683490B (zh) * | 2013-11-27 | 2018-05-04 | 华为技术有限公司 | 互联网协议地址的回收方法和装置 |
| CN106034166B (zh) * | 2015-03-19 | 2020-03-10 | 中兴通讯股份有限公司 | 一种局域网的网络参数配置方法及装置 |
| CN106331203B (zh) * | 2015-07-01 | 2021-01-01 | 中兴通讯股份有限公司 | 一种用户接入的控制方法、装置、中继设备及服务器 |
| CN108156168A (zh) * | 2017-12-31 | 2018-06-12 | 深圳键桥通讯技术股份有限公司 | 宽带接入用户管理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010088983A (ko) * | 2001-08-30 | 2001-09-29 | 허기행 | 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법 |
| JP2002026954A (ja) * | 2000-07-03 | 2002-01-25 | Nec Soft Ltd | ネットワークアドレス管理システム及び方法 |
-
2002
- 2002-04-10 CN CNB021113734A patent/CN100417127C/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002026954A (ja) * | 2000-07-03 | 2002-01-25 | Nec Soft Ltd | ネットワークアドレス管理システム及び方法 |
| KR20010088983A (ko) * | 2001-08-30 | 2001-09-29 | 허기행 | 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1450766A (zh) | 2003-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100417127C (zh) | 一种基于动态主机配置协议的用户管理方法 | |
| US10945127B2 (en) | Exclusive preshared key authentication | |
| JP5088100B2 (ja) | Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法 | |
| US7302487B2 (en) | Security system for a data communications network | |
| US8117639B2 (en) | System and method for providing access control | |
| US7215437B2 (en) | Method of printing over a network | |
| Wu et al. | CNGI-CERNET2: an IPv6 deployment in China | |
| US20040255154A1 (en) | Multiple tiered network security system, method and apparatus | |
| CN1666476B (zh) | 用于在负载平衡环境中通信的系统和方法 | |
| JP5112806B2 (ja) | 無線lanの通信方法及び通信システム | |
| KR20110040691A (ko) | 네트워크 자원들을 관리하는 장치 및 방법 | |
| KR20020036792A (ko) | 자동 공급시스템 | |
| CN104468574A (zh) | 一种虚拟机动态获取ip地址的方法、系统及装置 | |
| CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| US20120291098A1 (en) | Multimode Authentication | |
| CN100365591C (zh) | 基于客户端的网络地址分配方法 | |
| CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
| WO2014148483A1 (ja) | Dnsサーバ装置、ネットワーク機器、通信システム、および通信方法 | |
| KR100745434B1 (ko) | 네트워크 액세스 방법 및 장치와, 기록 매체 | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| JP4769550B2 (ja) | デバイス管理システム、デバイス管理方法、コンピュータプログラム、及びコンピュータ読み取り可能な記憶媒体 | |
| CN107046568B (zh) | 一种认证方法和装置 | |
| CN106330894B (zh) | 基于本地链路地址的savi代理认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20080903 |
|
| CX01 | Expiry of patent term |