CN101052015A - 一种ip网络的用户接入方法 - Google Patents
一种ip网络的用户接入方法 Download PDFInfo
- Publication number
- CN101052015A CN101052015A CNA2007101079951A CN200710107995A CN101052015A CN 101052015 A CN101052015 A CN 101052015A CN A2007101079951 A CNA2007101079951 A CN A2007101079951A CN 200710107995 A CN200710107995 A CN 200710107995A CN 101052015 A CN101052015 A CN 101052015A
- Authority
- CN
- China
- Prior art keywords
- message
- network
- host configuration
- dynamic host
- configuration protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种IP网络的用户接入方法,该方法包括:用户终端通过动态主机配置协议DHCP客户端向选定的DHCP服务器发送请求报文,在该报文消息的可选字段中携带需要确认的认证信息的封装方式;DHCP服务器对封装方式进行确认,向DHCP客户端发回确认报文;DHCP客户端向DHCP服务器发送在消息的可选字段中带有认证信息的请求报文,该认证信息具有经确认的封装方式;DHCP服务器对请求报文中的认证信息进行认证,通过认证,用户终端接入网络。本发明通过对接入IP网络的用户进行认证,避免了非法用户接入网络,提高了网络的安全性。
Description
技术领域
本发明涉及数据通信领域,具体的说,涉及一种IP(Internet Protocol,网际协议)网络的用户接入方法。
背景技术
在IP网络中,每个连接Internet的用户设备都需要分配唯一的IP地址。在常见的小型网络中(例如家庭网络和学生宿舍网),网络管理员都是采用手工分配IP地址的方法,而到了中、大型网络,往往有超过100台的客户机,手动分配IP地址的方法就不太合适了。因此,我们必须引入一种高效的IP地址分配方法,DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)为我们解决了这一难题。
DHCP服务的系统最基本的构架是:客户端/服务器模式,即DHCP分为两个部分:一个是服务器端,另一个是客户端。所有的IP网络设定资料都由DHCP服务器集中管理,并负责处理客户端的DHCP要求,如响应用户接入请求和控制用户接入的配置参数;用户使用DHCP的客户端请求网络配置信息,并且使用从服务器分配下来的IP环境资料。DHCP的协议报文包括:DHCPDISCOVERY,DHCPOFFER,DHCPREQUEST,DHCPACK,DHCPNAK等消息,DHCP的消息中包括可以承载可选信息的可选字段,用来实现除了基本网络配置之外的信息交换,
DHCP可以动态分配IP地址,当DHCP第一次从DHCP服务器端租用到IP位址之后,并非永久地使用该位址,只要租约到期,客户端就得释放这个IP位址,以给其它工作站使用。当然,客户端可以比其它主机更优先地延续租约,或是租用其它的IP位址。
DHCP服务的工作过程是这样的:
1.发现阶段,即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端以广播方式(因为DHCP服务器的IP地址对于客户端来说是未知的)发送DHCPDISCOVERY发现消息来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
2.提供阶段,即DHCP服务器提供IP地址的阶段。在网络中接收到DHCPDISCOVERY发现消息的DHCP服务器都会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户端,向DHCP客户端发送一个包含出租的IP地址和其他设置的DHCPOFFER提供消息。
3.选择阶段,即DHCP客户端选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户端发来DHCPOFFER提供消息,则DHCP客户端只接受第一个收到的DHCPOFFER提供消息,然后它就以广播方式回答一个DHCPREQUEST请求消息,该消息中包含向它所选定的DHCP服务器请求IP地址的内容。之所以要以广播方式回答,是为了通知所有的DHCP服务器,他将选择某台DHCP服务器所提供的IP地址。
4.确认阶段,即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCPREQUEST请求消息之后,它便向DHCP客户端发送一个包含它所提供的IP地址和其他设置的DHCPACK确认消息,告诉DHCP客户端可以使用它所提供的IP地址。然后DHCP客户端便将其TCP/IP协议与网卡绑定,另外,除DHCP客户端选中的服务器外,其他的DHCP服务器都将收回曾提供的IP地址。
5.重新登录。以后DHCP客户端每次重新登录网络时,就不需要再发送DHCPDISCOVERY发现消息,而是直接发送包含前一次所分配的IP地址的DHCPREQUEST请求消息。当DHCP服务器收到这一消息后,它会尝试让DHCP客户端继续使用原来的IP地址,并回答一个DHCPACK确认消息。如果此IP地址已无法再分配给原来的DHCP客户端使用时(比如此IP地址已分配给其它DHCP客户端使用),则DHCP服务器给DHCP客户端回答一个DHCPNAK否认消息。当原来的DHCP客户端收到此DHCPNAK否认消息后,它就必须重新发送DHCPDISCOVERY发现消息来请求新的IP地址。
6.更新租约。DHCP服务器向DHCP客户端出租的IP地址一般都有一个租借期限,期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户端要延长其IP租约,则必须更新其IP租约。DHCP客户端启动时和IP租约期限过一半时,DHCP客户机都会自动向DHCP服务器发送更新其IP租约的消息。
通常情况下,为了对需要接入网络的用户进行控制,用户在获得网络访问权限之前需要与接入服务器进行交互,从而保证合法的用户使用网络。现有的对于用户会话的建立一般使用点到点协议(Point to Point Protocol,PPP),这个协议提供了链路建立、用户鉴权认证、传递用户网络参数的配置和终止网络服务的功能。其中在链路建立时进行协商用户认证信息的封装方式,比如使用明文还是加密传递认证的信息,在用户认证的过程中使用相应的封装方式交换和确认认证信息(比如:用户名和密码),从而管理用户的接入请求。
由于PPP是点对点的通信方式,对于不断发展的多点通信业务支持的效率较低,基于DHCP协议的上述特点,现在大都不使用PPP来封装数据包的传递,而是采用DHCP协议。
但是由以上DHCP服务的工作过程可知,现有的DHCP协议没有提供在接入的过程中对于接入用户的权利的控制能力,使得基于DHCP获得网络访问能力的用户不需要任何附加条件就可以访问网络,造成无论是合法用户还是非法用户都可以访问网络,从而造成现有IP网络的用户接入方法安全性较差。
发明内容
本发明要解决的技术问题是提供一种IP网络的用户接入方法,使用该方法可以限制非法用户接入网络,具有更高的安全性。
为解决上述技术问题,本发明提供了一种IP网络的用户接入方法,包括:
(1)用户终端通过DHCP客户端向选定的DHCP服务器发送请求报文,在该报文消息的可选字段中携带需要确认的认证信息的封装方式;
(2)DHCP服务器对封装方式进行确认,向DHCP客户端发回确认报文;
(3)DHCP客户端向DHCP服务器发送在消息的可选字段中带有认证信息的请求报文,该认证信息具有经确认的封装方式;
(4)DHCP服务器对请求报文中的认证信息进行认证,通过认证,用户终端接入网络。
优选的,在步骤(1)中,所述请求报文采用广播的方式发送,报文消息中包含DHCP客户端向所选定的DHCP服务器请求IP地址的内容。
优选的,在步骤(1)中,所述请求报文采用单播的方式发送。
优选的,在步骤(1)中,所述封装方式为PAP协议或者CHAP协议。
优选的,在步骤(2)中服务器发送DHCPACK报文确认封装方式,发送DHCPNAK报文拒绝封装方式。
进一步的,在步骤(1)中所述封装方式如果采用CHAP协议,则在步骤(2)中发送进行交换密钥的DHCP报文。
优选的,在步骤(3)中,所述请求报文采用单播的方式发送。
优选的,在步骤(3)中,在第一个续租时间到期时发送所述的单播报文。
优选的,在步骤(4)中DHCP服务器进行认证的方式为DHCP服务器与外部的AAA服务器进行交换进行认证。
优选的,所述认证信息为用户名和/或密码。
本发明通过对接入IP网络的用户进行认证,避免了非法用户接入网络,提高了网络的安全性。
附图说明
图1是本发明IP网络的用户接入方法流程图;
图2是本发明用户终端没有IP地址时接入网络的方法流程图;
图3是本发明用户终端有IP地址时接入网络的方法流程图。
具体实施方式
本发明利用DHCP报文消息的可选字段,在用户通过DHCP获得IP相关配置参数的过程中,用户需要提供认证信息,如用户名和密码,DHCP服务器根据提供的认证信息进行认证,实现对IP网络用户接入网络的控制,防止非法用户接入网络,提高网络的安全性。
下面结合附图对本发明的优选实施例进行详细说明:
实施例一:
参照图1所示,为本发明IP网络的用户接入方法流程图。该方法包括以下步骤:
步骤101:DHCP客户端向选定的DHCP服务器发送请求报文,在该报文消息的可选字段中携带需要确认的认证信息的封装方式;
所述请求报文可以采用广播的方式发送,报文消息中包含DHCP客户端向所选定的DHCP服务器请求IP地址的内容。所述请求报文也可以在DHCP进入绑定状态后,采用单播的方式发送。
所述封装方式为PAP协议或者CHAP协议。
步骤102:DHCP服务器对认证信息的封装方式进行确认,向客户端发回确认报文;
DHCP服务器通过发送DHCPACK报文确认封装方式,发送DHCPNAK报文拒绝封装方式。如果DHCP服务器拒绝封装方式,则失败退出。如果在步骤101中所述封装方式采用CHAP协议,则还需发送进行交换密钥的DHCP报文。
步骤103:DHCP客户端向DHCP服务器发送在消息的可选字段中带有认证信息的请求报文,请求进行认证,该认证信息具有经确认的封装方式;
所述请求报文采用单播的方式发送,合适的发送时机是在DHCP第一个续租定时器溢出时发送的DHCPREQUEST报文消息中携带,也可以不限制在这个时刻,只要客户端能够获得选定的服务器地址,可以使用单播方式把用户名和密码发送给选定的服务器。另外第一次续租定时器溢出的时间需要满足网络运营商的安全要求,从而用户的接入得到及时的鉴权和认证。
步骤104:DHCP服务器对请求报文中的认证信息进行认证,通过认证,用户终端接入网络。
此时DHCP服务器进行认证的方式有两种情况,分别为DHCP服务器本身带有认证功能,或者DHCP服务器与外部的AAA服务器进行交换进行认证。
在本实施例中,认证信息选用用户名和密码,当然,认证信息也可以仅为用户名或者密码,或者其他可以对用户进行识别的信息。
实施例二:
参照图2所示,为本发明用户终端没有IP地址时接入网络的方法流程图。该方法包括以下步骤:
步骤201:用户终端通过DHCP客户端向网络发送请求报文消息DHCPDISCOVERY;
步骤202:收到DHCPDISCOVERY报文消息的DHCP服务器向客户端发送DHCPOFFER报文消息回应,给客户端分配相应的IP地址等网络配置信息;
步骤203:客户端使用DHCPREQUEST报文消息请求确认使用的网络配置,并在消息的可选字段中携带需要协商的认证信息的封装方式;
本实施例在客户端发送DHCPREQUEST报文消息,请求确认使用的网络配置的同时,在消息的可选字段中携带需要协商的认证信息的封装方式,当然,也可以在客户端向DHCP服务器请求确认使用的网络配置,DHCP服务器进行确认之后,通过发送一个单播的请求消息,在该消息的可选字段中携带需要协商的认证信息的封装方式,同样能达到本实施例的效果。
认证信息的封装方式可以使用PAP协议,或者使用加密的CHAP协议。
步骤204:DHCP服务器对网络配置和封装方式进行确认,接受请求,DHCP进入绑定状态,执行步骤205,否则失败退出;
DHCP服务器通过发送DHCPACK报文消息确认网络配置和封装的方式,发送DHCPNAK报文消息表明不支持对于网络配置和封装的要求,如果选择使用CHAP封装,还需要根据相应的要求发送进行交换密钥的DHCP报文消息。
步骤205:在DHCP进入绑定状态后,在第一个续租时间到期时发送单播的DHCPREQUEST报文消息,并在消息的可选字段中附加认证信息;
认证信息通过确认的封装方式进行传递。
步骤206:DHCP服务器对客户端的认证信息进行认证,通过认证,执行步骤207,否则失败退出;
步骤207:DHCP服务器返回认证的结果给DHCP客户端,用户终端接入网络,结束。
DHCP服务器发送DHCPACK报文消息表明认证通过,DHCPNAK报文消息表明认证失败。
认证的方式包括但不限于:
1、DHCP服务器与外部的AAA服务器进行交换进行认证;
2、DHCP服务器本身带有认证功能。
上述步骤203可以使用下面的可选字段格式:
编号 长度 类型
| X | n | type |
其中X是可选字段的编号,标示为协商用户名和密码的封装方式的可选字段,n是类型的长度,设为1,type表明封装的方式,type为0表明为PAP,type为1表明为CHAP。
上述步骤205可以使用下面的可选字段格式:
编号 用户名长度 用户名
| x | n | N1 | N2 | N3 | N4 | N5 | N6 | N7 | … | Nn |
密码长度 密码
| m | P1 | P2 | P3 | P4 | P5 | P6 | P7 | … | Pm |
其中X是可选字段的编号,标示为携带用户名和密码的可选字段,n是用户名的长度,m是密码的长度,两者相加不大于255,N1-Nn为用户名,P1-Pm为密码。
实施例三:
参照图3所示,为本发明用户终端有IP地址时接入网络的方法流程图。该方法具体来说,包括以下步骤:
步骤301:DHCP客户端使用DHCPREQUEST报文消息请求确认需要的网络配置,并在报文消息的可选字段中携带需要协商的认证信息的封装方式;
此处的封装方式可以使用PAP协议,或者使用加密的CHAP协议。
此处的认证信息为用户名和密码。
步骤302:DHCP服务器对网络配置和封装方式进行确认,接受请求,分配给客户端其使用过的IP地址等网络配置信息,执行步骤304,否则步骤303;
接受请求后,DHCP即进入了绑定状态。
DHCP服务器通过发送DHCPACK报文消息确认接受请求的网络配置及封装的方式,通过发送DHCPNAK报文消息拒绝请求的网络配置和封装方式。
步骤303:客户端重新发送DHCPDISCOVERY报文消息,获得网络配置信息后,执行步骤307;
步骤307:判断重新发送DHCPDISCOVERY报文消息的次数是否超过3次,如果超过3次,失败退出,否则执行步骤301;
此处的次数也可以为其他数值。
步骤304:在DHCP进入绑定状态后,在第一个续租时间到期时发送单播的DHCPREQUEST报文消息,并在消息的可选字段中附加认证信息;
认证信息通过确认的封装方式进行传递。
步骤305:DHCP服务器对客户端的用户名和密码进行认证,通过认证,执行步骤306,否则失败退出;
步骤306:DHCP服务器返回认证的结果给DHCP客户端,用户终端接入网络,结束。
DHCP服务器发送DHCPACK报文消息表明认证通过,DHCPNAK报文消息表明认证失败。
认证的方式包括但不限于:
1、DHCP服务器与外部的AAA服务器进行交换进行认证;
2、DHCP服务器本身带有认证功能。
本实施例可选字段的定义与第一实施例中无IP地址的客户端和服务器交换过程的定义相同,此处不再赘述。
可见,采用本发明的方法,通过在用户接入IP网络时,对用户的身份进行认证,可以避免非法用户接入网络,从而提高网络的安全性。
Claims (10)
1、一种IP网络的用户接入方法,其特征在于,包括如下步骤:
(1)用户终端通过动态主机配置协议DHCP客户端向选定的DHCP服务器发送请求报文,在所述报文消息的可选字段中携带需要确认的认证信息的封装方式;
(2)DHCP服务器对所述封装方式进行确认,向DHCP客户端发回确认报文;
(3)DHCP客户端向DHCP服务器发送在消息的可选字段中带有认证信息的请求报文,所述认证信息具有经确认的封装方式;
(4)DHCP服务器对请求报文中的认证信息进行认证,通过认证后,用户终端接入网络。
2、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(1)中,所述请求报文采用广播的方式发送,且报文消息中包含DHCP客户端向所选定的DHCP服务器请求IP地址的内容。
3、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(1)中,所述请求报文采用单播的方式发送。
4、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(1)中,所述封装方式为PAP协议或者CHAP协议。
5、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(2)中服务器发送DHCPACK报文确认封装方式,以及发送DHCPNAK报文拒绝封装方式。
6、如权利要求3所述的IP网络的用户接入方法,其特征在于,在步骤(1)中所述封装方式如果采用CHAP协议,则在步骤(2)中发送进行密钥交换的DHCP报文。
7、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(3)中,所述请求报文采用单播的方式发送。
8、如权利要求7所述的IP网络的用户接入方法,其特征在于,在步骤(3)中,在第一个续租时间到期时发送所述单播的报文。
9、如权利要求1所述的IP网络的用户接入方法,其特征在于,在步骤(4)中DHCP服务器进行认证的方式为DHCP服务器与外部的AAA服务器进行交换从而进行认证。
10、如权利要求1所述的IP网络的用户接入方法,其特征在于,所述认证信息为用户名和/或密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101079951A CN101052015A (zh) | 2007-05-22 | 2007-05-22 | 一种ip网络的用户接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101079951A CN101052015A (zh) | 2007-05-22 | 2007-05-22 | 一种ip网络的用户接入方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101052015A true CN101052015A (zh) | 2007-10-10 |
Family
ID=38783210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101079951A Pending CN101052015A (zh) | 2007-05-22 | 2007-05-22 | 一种ip网络的用户接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101052015A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089741A1 (fr) * | 2008-01-03 | 2009-07-23 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système permettant de sélectionner un réseau de service |
| CN103179127A (zh) * | 2013-03-28 | 2013-06-26 | 华为技术有限公司 | 一种处理消息的方法、装置及系统 |
| CN102006581B (zh) * | 2009-09-03 | 2013-09-11 | 中兴通讯股份有限公司 | Ip地址强制续约的方法及装置 |
| CN102137073B (zh) * | 2010-01-22 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种防止仿冒ip地址进行攻击的方法和接入设备 |
| CN103581345A (zh) * | 2012-07-19 | 2014-02-12 | 中兴通讯股份有限公司 | 一种基于动态主机配置协议的ip地址分配方法及装置 |
| CN108023969A (zh) * | 2016-11-02 | 2018-05-11 | 华为技术有限公司 | 一种ip地址续租方法及装置 |
-
2007
- 2007-05-22 CN CNA2007101079951A patent/CN101052015A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089741A1 (fr) * | 2008-01-03 | 2009-07-23 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système permettant de sélectionner un réseau de service |
| CN102006581B (zh) * | 2009-09-03 | 2013-09-11 | 中兴通讯股份有限公司 | Ip地址强制续约的方法及装置 |
| CN102137073B (zh) * | 2010-01-22 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种防止仿冒ip地址进行攻击的方法和接入设备 |
| CN103581345A (zh) * | 2012-07-19 | 2014-02-12 | 中兴通讯股份有限公司 | 一种基于动态主机配置协议的ip地址分配方法及装置 |
| CN103179127A (zh) * | 2013-03-28 | 2013-06-26 | 华为技术有限公司 | 一种处理消息的方法、装置及系统 |
| CN103179127B (zh) * | 2013-03-28 | 2016-03-02 | 华为技术有限公司 | 一种处理消息的方法、装置及系统 |
| CN108023969A (zh) * | 2016-11-02 | 2018-05-11 | 华为技术有限公司 | 一种ip地址续租方法及装置 |
| US11343224B2 (en) | 2016-11-02 | 2022-05-24 | Huawei Technologies Co., Ltd. | Method for renewing IP address and apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1123154C (zh) | 路由选择动态主机配置协议分组的装置和方法 | |
| CN101043331A (zh) | 一种为网络设备分配地址的系统和方法 | |
| CN1277434C (zh) | 用于接入专用数据通信网的安全接入方法及相关设备 | |
| CN1855926A (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN101052015A (zh) | 一种ip网络的用户接入方法 | |
| CN1213567C (zh) | 一种网络设备的集群管理方法 | |
| CN1184776C (zh) | 通过点对点协议上网的用户获取互联网协议地址的方法 | |
| CN1845554A (zh) | 一种在3g网络中动态分配ip地址的控制方法 | |
| CN1744612A (zh) | Dhcp的地址分配方法 | |
| CN101056178A (zh) | 一种控制用户网络访问权限的方法和系统 | |
| CN1949784A (zh) | Dhcp中继为dhcp客户端请求ip地址的方法 | |
| CN1392706A (zh) | 一种利用串行总线实现多点通信的方法 | |
| CN1889484A (zh) | 一种认证接入系统及其认证接入方法 | |
| CN1859409A (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
| CN1871818A (zh) | 动态主机配置协议版本4中的表单文本移交方法、移交装置和具有用于执行该方法的指令的介质 | |
| CN1309233C (zh) | 在宽带接入设备上支持PPPoA的方法 | |
| CN1863195A (zh) | 具有安全注册功能的家庭网络系统及方法 | |
| CN1889572A (zh) | 因特网协议地址分配方法及动态主机配置协议中继 | |
| CN1835514A (zh) | Dhcp+客户端模式的宽带接入的管理方法 | |
| CN1835515A (zh) | 一种在动态主机地址配置过程中进行中继的方法和装置 | |
| CN1708021A (zh) | 为用户终端分配接入地址的方法 | |
| CN1458763A (zh) | 一种宽带网络的接入方法 | |
| CN1852169A (zh) | 一种对多个功能单元统一管理的方法及系统 | |
| CN1863202A (zh) | 提高负载均衡设备和服务器处理性能的方法 | |
| CN101065949A (zh) | 通过PPPoE利用DHCP来配置设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20071010 |