CN101145907B - 基于dhcp实现用户认证的方法及系统 - Google Patents
基于dhcp实现用户认证的方法及系统 Download PDFInfo
- Publication number
- CN101145907B CN101145907B CN200610126967A CN200610126967A CN101145907B CN 101145907 B CN101145907 B CN 101145907B CN 200610126967 A CN200610126967 A CN 200610126967A CN 200610126967 A CN200610126967 A CN 200610126967A CN 101145907 B CN101145907 B CN 101145907B
- Authority
- CN
- China
- Prior art keywords
- dhcp
- key
- identity information
- authentication
- subscriber identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于DHCP实现用户认证的方法及系统。本发明主要包括:DHCP中间实体检测到DHCP客户端发送的DHCP发现报文后,根据DHCP报文携带或关联的用户身份信息触发针对所述用户的身份认证处理操作,以通过所述认证处理操作实现针对所述用户的用户身份认证。本发明由于采用了由DHCP中间实体触发针对用户的身份认证处理操作,使得利用本发明可以针对使用同一条物理线路的各个用户分别基于DHCP进行身份认证,或者,利用本发明还可以针对在不同物理位置使用不同物理线路的同一用户进行身份认证,以便于可以在网络中基于DHCP实现针对用户的运营管理。即本发明的实现使得可以基于DHCP实现针对用户的身份认证,以便于更好地满足通信网络的可运营及可管理的需求。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于DHCP实现用户认证的方法及系统。
背景技术
在网络通信系统中,提出了IP-Session(IP会话)的概念。所述的IP-Session是由用户通过DHCP(动态主机配置)协议发起,并由IP-Address(IP地址)作为标识的会话。
基于电信网络的可运营和可管理的需求,需要在网络中能够实现对业务会话进行认证、授权和计费等功能,即要求能够对IP-Session进行基于用户身份的安全认证、授权、计费。
目前,在基于DHCP的用户认证方法中,是将用户的物理线路与用户的身份标识关联起来。即运营商根据用户请求来自的物理线路进行认证授权计费。
基与DHCP的用户认证过程应用的网络结构如图1所示,相应的认证处理过程具体包括如下步骤:
步骤1:用户发起DHCP请求;
步骤2:AN(接入节点设备,Access Node)作为L2 DHCP Relay(即二层DHCP中继设备),在DHCP报文中插入用户的物理线路信息,并转发。
步骤3:BNG/BRAS(宽带网关设备)作为DHCP Relay/Proxy(即三层DHCP中继代理)设备获得用户物理线路信息,将用户线路信息与用户身份标识信息(Subscriber-ID)关联起来,通过AAA Client(AAA客户端)向AAAServer(AAA服务器)发起用户身份认证,例如,采用Radius(远程拨号认证)协议进行认证。
步骤4:认证成功后,AAA服务器认证结果相关信息返回给DHCPRelay/Proxy,信息被插入DHCP报文中,发送给DHCP服务器。
步骤5:DHCP服务器根据认证结果,进行相应的地址和其它接入参数的配置。
可以看出,在上述基于DHCP协议的针对用户的认证处理过程中,只能认证到用户线路的粒度。对于一条物理线路下存在多个签约用户的情况,或者,用户改变物理位置使用别的物理用户线路的情况(如漫游等),则无法实现基于相应用户身份的安全认证,即IP-Session无法实现基于用户身份的会话认证。因而,目前无法满足通信网络的可运营可管理的需求。
发明内容
本发明的目的是提供一种基于DHCP实现用户认证的方法及系统,从而可以基于DHCP实现针对用户的身份认证,进而可以很好地满足通信网络的运营管理需求。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种基于DHCP实现用户认证的方法,包括:
动态主机配置协议DHCP中间实体检测到DHCP客户端发送的DHCP报文,并确定是一次新的会话后,触发针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作,所述认证处理操作根据DHCP报文携带的用户身份信息或DHCP报文所关联的用户身份信息实现针对所述用户的用户身份认证;
所述的针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作具体包括:
DHCP中间实体根据保存的使用所述DHCP客户端的逻辑用户的用户身份标识与DHCP密钥标识的关联对应关系,确定该逻辑用户的用户身份信息,并利用该用户身份信息向认证服务器发起针对该逻辑用户认证操作;
或者,
DHCP中间实体根据收到的DHCP报文中携带的用户身份信息,为其指配一个DHCP密钥标识;将所述的用户身份信息和DHCP密钥标识发送给认证服务器,并由认证服务器根据所述用户身份信息和DHCP密钥标识生成相应的DHCP密钥;利用该DHCP密钥实现DHCP安全认证操作,及针对使用DHCP客户端的逻辑用户的用户身份信息的认证操作;
或者,
DHCP中间实体根据收到的DHCP报文中携带的用户身份信息,向认证服务器请求获取用于对用户身份信息进行认证的挑战字;DHCP中间实体将所述挑战字转发送给DHCP客户端,DHCP客户端将经其所在的终端设备中的认证模块计算修改后的挑战字发给DHCP中间实体;DHCP中间实体利用所述计算后的挑战字向认证服务器对所述用户身份信息进行认证操作。
所述的DHCP中间实体包括:DHCP中继实体或DHCP代理实体。
所述的保存的用户身份信息与DHCP密钥标识的关联对应关系为静态配置建立。
所述的根据DHCP报文携带的所述用户身份信息和DHCP密钥标识生成相应的DHCP密钥的处理包括:
根据DHCP报文携带的用户身份信息确定对应的鉴权、认证和计费AAA密钥;
利用所述的AAA密钥和DHCP密钥标识生成所述的DHCP密钥。
本发明所述的方法还包括:
DHCP客户端根据从网络侧获得的DHCP密钥标识和DHCP所在的终端设备中的认证模块保存的AAA密钥生成所述的DHCP密钥。
所述的DHCP中间实体将所述挑战字发送给DHCP客户端的处理包括:DHCP中间实体将所述挑战字承载于DHCP报文中发送给DHCP客户端。
本发明所述的方法还包括:
DHCP中间实体位于DHCP客户端与DHCP服务器之间进行DHCP安全认证的中继或代理。
本发明还提供了一种用于实现用户认证的DHCP中间实体,包括认证触发单元和认证处理单元,其中:
认证触发单元,用于在检测到DHCP客户端发送的DHCP报文,且确定是一次新的会话,则触发所述的认证处理单元;
认证处理单元,用于发起针对发送所述DHCP报文的逻辑用户的用户身份信息进行认证处理操作,通过所述认证处理操作实现针对使用该DHCP客户端的逻辑用户进行用户身份认证;
所述的认证处理单元具体包括:
身份信息确定单元,用于根据保存的使用该DHCP客户端的逻辑用户身份与DHCP密钥标识的对应关系,确定该逻辑用户的用户身份信息;
认证操作单元,用于利用所述用户身份信息向认证服务器发起针对该逻辑用户的用户身份认证操作;
或者,
所述的认证处理单元具体包括:
DHCP密钥标识指定及发送单元,用于根据收到的DHCP报文中携带的用户身份信息,为其指配一个DHCP密钥标识,并将所述用户身份信息和DHCP密钥标识发送给认证服务器,
DHCP密钥获取单元,用于获取认证服务器根据所述用户身份信息和DHCP密钥标识生成的DHCP密钥;并将生成的DHCP密钥承载在DHCP报文中转发给DHCP服务器;
认证操作单元,用于利用该DHCP密钥实现DHCP认证操作实现针对认证操作;
或者,
所述的认证处理单元具体包括:
挑战字获取及发送处理单元,用于根据收到的DHCP发现报文中携带的用户身份信息,向认证服务器请求获取用于对所述用户身份信息进行认证的挑战字,并将所述挑战字发送给DHCP客户端;
认证操作单元,用于获取DHCP客户端发送来的计算后的挑战字,并利用所述计算后的挑战字向认证服务器对所述用户身份进行认证操作。
所述的DHCP中间实体包括:DHCP中继实体或DHCP代理实体。
本发明提供了一种基于DHCP实现用户认证的系统,包括用于接入逻辑用户的DHCP客户端,以及用于实现用户认证的DHCP中间实体、DHCP服务器和认证服务器,其中:
所述的DHCP中间实体用于转发或代理DHCP服务器与DHCP客户端之间的DHCP安全认证操作,且用于向认证服务器发起针对使用该DHCP客户端的逻辑用户的用户身份的认证操作;
所述的认证服务器还包括DHCP密钥生成单元,用于根据DHCP报文携带的,经认证处理模块转送来的用户身份信息确定对应的AAA密钥,并利用所述的AAA密钥和DHCP密钥标识生成所述的DHCP密钥;且在所述的DHCP客户端中还包括DHCP密钥生成单元,用于根据从网络侧获得的DHCP密钥标识和自身保存的AAA密钥生成所述的DHCP密钥。
由上述本发明提供的技术方案可以看出,本发明由于采用了由DHCP中间实体触发针对用户的身份认证处理操作,使得利用本发明可以针对使用同一条物理线路的各个用户分别基于DHCP进行身份认证,或者,利用本发明还可以针对在不同物理位置使用不同物理线路的同一用户进行身份认证,以便于可以在网络中基于DHCP实现针对用户的运营管理。
因此,本发明的实现使得可以基于DHCP实现针对用户的身份认证,以便于更好地满足通信网络的可运营及可管理的需求。
附图说明
图1为基于DHCP实现认证处理应用的网络结构示意图;
图2为本发明所述方法的具体实现方式结构示意图一;
图3为本发明所述方法的具体实现方式结构示意图二;
图4为本发明所述方法的具体实现方式结构示意图三;
图5为本发明所述系统的具体实现结构示意图一;
图6为本发明所述系统的具体实现结构示意图二;
图7为本发明所述系统的具体实现结构示意图三。
具体实施方式
本发明是将用户身份的AAA认证与DHCP认证关联起来。基于安全的DHCP认证机制,实现对使用该DHCP Client(DHCP客户端)的逻辑用户的用户身份信息的AAA等认证。
本发明中具体可以采用以下方式实现所述关联:
(1)静态配置AAA认证的用户身份标识与DHCP认证的DHCP密钥标识间的关联关系;
(2)采用DHCP协议,根据用户的用户身份信息和AAA认证密钥,生成DHCP-Key(DHCP密钥)。
(3)扩展DHCP报文,传送加密后的用户身份认证信息,实现基于DHCP的用户身份的认证。
本发明适用但不限于应用于采用DHCP协议建立起来的IP-Session(IP会话),需要进行基于用户身份的AAA认证;同时,又不能或不需采用802.1X或PANA等用户身份认证协议的应用场景中。
为便于对本发明的理解,下面将结合附图对本发明提供的几种具体实施方案进行详细的说明。
实施例一
在该实施例中,具体是在网络侧的实体中静态建立和配置用户身份标识Subscriber-ID与DHCP-Key(DHCP密钥)的关联关系,之后,便可以利用所述的关联关系基于DHCP实现针对用户的认证。
该实施例的具体实现处理过程如图2所示,具体包括:
步骤21:DHCP客户端向DHCP Relay/Proxy发送DHCP发现报文,并由DHCP Relay/Proxy将该DHCP发现报文继续发送给DHCP服务器;
步骤22:DHCP服务器收到所述DHCP发现报文后,会向DHCPRelay/Proxy返回DHCP提供报文,且DHCP Relay/Proxy会继续将所述的报文转发给DHCP客户端;
在所述的DHCP提供报文中需要传送DHCP-Key的标识号Secret-ID(DHCP-Key标识)信息,以便于根据此Secret-ID,使得DHCP SA双方会采用相同的DHCP-Key,实施DHCP实体和信息的安全认证处理,即实现DHCP实体间的认证。
步骤23:DHCP实体间认证通过后,DHCP客户端需要发送DHCP请求消息给DHCP Relay(中继)/Proxy(代理);
步骤24:DHCP Relay/Proxy收到所述的DHCP请求后,BNG(BNG中包含DHCP Relay/Proxy,AAA客户端,以及接受用户策略或配置参数的实体,各功能实体间交换信息,彼此独立完成各自功能)中的AAA Client根据在BNG中静态配置的用户身份Subscriber-ID和Secret-ID的关联关系,查找Secret-ID对应的Subscriber-ID;并向AAA Server发送接入请求消息,以请求AAA服务器对该用户身份进行AAA认证;
步骤25、26:AAA服务器收到所述的请求消息后,根据用户的Subscriber-ID对相应的用户进行认证,并在认证过程后向AAA Client(认证客户端)返回接入接受消息;另外,还可以将相应的业务参数信息下发给BNG,以便于基于所述业务参数信息开展业务。
步骤27、28:DHCP Relay/Proxy向DHCP服务器转发DHCP请求,转发请求中可以携带AAA认证信息,并由DHCP服务器根据携带的信息为该用户分配相应的IP地址和参数。
可以看出,上述实现方案能够基于DHCP实现同一个物理线路下的多用户的身份认证处理,实现了本发明的目的。
实施例二
在该实施例中,采用动态建立和配置用户身份标识Subscriber-ID与DHCP-Key的关联关系,即通过在DHCP过程中动态建立所述的关联关系,之后,便可利用动态建立的所述关联关系实现DHCP过程与针对逻辑用户的用户身份信息的认证过程的关联,即实现基于DHCP的针对逻辑用户的用户身份认证处理操作。
该实施例的具体实现方案如图3所示,具体包括如下步骤:
步骤31:DHCP客户端向DHCP Relay/Proxy发送DHCP发现报文,并携带有用户的Subscriber-ID信息;
步骤32:DHCP Relay/Proxy收到所述的DHCP发现报文后,从报文中得到该Subscriber-ID信息,BNG中的AAA Client据此指配对应的Secret-ID;
步骤33:BNG中的AAA Client(认证客户端)向认证服务器(如RADIUS服务器等)发送DHCP-Key请求消息,在所述的消息中携带着所述的Subscriber-ID信息及对应的Secret-ID;
步骤34:认证服务器根据所述的Subscriber-ID信息及对应的Secret-ID动态生成相应的DHCP-Key;
即在网络侧,需要配发给DHCP服务器的DHCP-Key是AAA服务器根据用户身份标识Subscriber-ID确定的AAA密钥和Secret-ID动态生成;
步骤35:认证服务器将所述的DHCP-Key通过DHCP-Key响应报文发送给BNG上的认证客户端AAA Client(AAA客户端),并转由BNG上的DHCPRelay/Proxy将DHCP-Key和对应的Secret-ID插入转发的DHCP发现报文发送给DHCP服务器,DHCP服务器还将所述的Secret-ID携带于DHCP提供报文中的Option 90中发送给DHCP客户端;
步骤36:DHCP客户端利用获得的Secret-ID及自己保存的AAA密钥确定相应的DHCP-Key信息;
也就是说,在用户侧具体是用户根据保存的AAA密钥和传下来的Secret-ID自动生成相应的DHCP-Key;
步骤37:DHCP客户端通过DHCP Relay/Proxy与DHCP服务器之间进行基于DHCP-Key的DHCP实体间的认证操作;
步骤38:DHCP实体间的认证通过后,BNG上的认证客户端就可以根据DHCP Relay/Proxy从转发的DHCP报文中获取的信息,进行与认证服务器之间的用户身份认证消息交互,以便于实现相应的接入处理,包括确定允许接入,以及可选地将相应的业务参数下发给BNG处理;
步骤39:DHCP服务器在完成DHCP实体间的认证操作后,还向DHCP客户端返回相应的DHCP确认消息。
Secret-ID是BNG从相应的池中指定的,用于动态生成和唯一标识DHCP-Key,BNG根据Subscriber-ID与Secret-ID建立起动态关联,所述的DHCP-Key的生成算法可以为如下形式:
DHCP-Key=HMAC(AAA-Key,Secret-ID),相应算法的具体描述可以参见RFC2014中描述内容。
在该实施例提供的实现方案中,动态建立的DHCP SA及其关联关系,既可支持基于DHCP的针对用户的身份认证处理,还可支持漫游用户的认证处理,因此,同样实现了本发明的目的。
实施例三
在该实施例中,具体是扩展DHCP报文,以便于通过DHCP报文传送加密后的用户身份认证信息,如身份认证的挑战字和挑战字响应,从而基于DHCP实现针对用户的认证处理。
该实施例的具体实现过程如图4所示,具体包括以下处理过程:
步骤41:DHCP客户端向DHCP Relay/Proxy发送DHCP发现报文,所述的报文中携带着用户的Subscriber-ID信息;
步骤42:BNG的DHCP Relay/Proxy从转发的DHCP报文中获取用户的Subscriber-ID信息,并向DHCP服务器转发DHCP报文;
步骤43:BNG中的认证客户端从DHCP Relay/Proxy得到Subscriber-ID,并向认证服务器(如RADIUS服务器)发送接入请求,请求中携带着所述的Subscriber-ID信息;
步骤44:认证服务器发送一个挑战字给BNG的认证客户端;
步骤45:BNG中的DHCP Relay/Proxy在获得所述挑战字,并接收到DHCP服务器发来的DHCP提供报文后,执行步骤46;
步骤46:将所述的挑战字通过DHCP提供报文承载传送给DHCP客户端;
步骤47:用户设备上的认证处理模块从DHCP客户端获取该挑战字,进行计算后,回送响应的挑战字,DHCP客户端,并将计算后的挑战字结果信息通过DHCP请求消息发送给DHCP Relay/Proxy;
步骤48、49:BNG中的认证客户端从DHCP Relay/Proxy获得响应挑战字,并与认证服务器间通过接入请求消息及接入接受消息的交互实现针对用户的用户身份认证处理;
步骤410、411:确定通过相应的用户身份认证后,DHCP Relay/Rroxy向DHCP服务器转发DHCP请求消息,并由DHCP服务器向DHCP客户端返回DHCP确认消息。
同样,该实施例中可以基于DHCP的用户身份安全认证,支持针对漫游用户的身份认证处理。
本发明还提供了一种基于DHCP实现用户认证的系统,其具体实现结构如图5、图6和图7所示,具体主要包括用于实现用户认证的DHCP中间实体、DHCP服务器和认证服务器,其中:
所述的DHCP中间实体用于向DHCP服务器转发DHCP认证操作,且用于向认证服务器发起针对使用DHCP客户端的逻辑用户的用户身份认证操作。
本发明所述系统中,所述的认证服务器还包括密钥生成单元,用于根据DHCP报文携带的用户的身份信息确定对应的用户AAA密钥,并利用所述的AAA密钥和DHCP密钥标识生成所述的DHCP密钥;且在所述的DHCP客户端中还包括密钥生成单元,用于根据从网络侧获得的DHCP密钥标识和自身保存的AAA密钥生成所述的DHCP密钥。
所述的DHCP中间实体可以为DHCP中继实体或DHCP代理实体。
本发明所述系统中涉及的用于实现用户认证的DHCP中间实体的具体实现结构包括认证触发单元和认证处理单元,其中:
(一)认证触发单元,用于在检测到DHCP客户端发送的DHCP报文后,判定是否是一次新的会话,如果是则触发所述的认证处理单元;
(二)认证处理单元,用于向发起针对所述DHCP报文承载的用户身份的认证处理,通过所述认证处理操作实现针对使用DHCP客户端的逻辑用户的用户身份认证。
根据具体采用的认证处理方式的不同,相应的认证处理单元具体可以分为以下三种情况中的任一:
(1)所述的认证处理单元具体包括:
身份信息确定单元,用于根据保存的使用该DHCP客户端的用户身份与DHCP密钥标识的关联对应关系,确定该逻辑用户的用户身份信息;
认证操作单元,用于利用所述逻辑用户的用户身份信息向认证服务器发起针对该逻辑用户的用户身份认证操作;
(2)所述的认证处理单元具体包括:
DHCP密钥标识指定及发送单元,用于根据收到的DHCP报文中携带的用户身份信息,为其指配一个DHCP密钥标识,并将所述用户身份信息和DHCP密钥标识发送给认证服务器,
DHCP密钥获取单元,用于获取认证服务器根据所述用户身份信息和DHCP密钥标识生成的DHCP密钥;并将生成的DHCP密钥承载在DHCP报文中转发给DHCP服务器
认证操作单元,用于利用该DHCP密钥实现DHCP认证操作实现针对的认证操作;
(3)所述的认证处理单元具体包括:
挑战字获取及发送处理单元,用于根据收到的DHCP发现报文中携带的用户身份信息,向认证服务器请求获取用于对所述用户身份信息进行认证的挑战字,并将所述挑战字发送给DHCP客户端;
认证操作单元,用于获取DHCP客户端发送来的计算后的挑战字,并利用所述计算后的挑战字向认证服务器对所述逻辑用户的用户身份信息进行认证操作。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种基于DHCP实现用户认证的方法,其特征在于,包括:
动态主机配置协议DHCP中间实体检测到DHCP客户端发送的DHCP报文,并确定是一次新的会话后,触发针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作,所述认证处理操作根据DHCP报文携带的用户身份信息或DHCP报文所关联的用户身份信息实现针对所述用户的用户身份认证;
所述的针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作具体包括:
DHCP中间实体根据保存的使用所述DHCP客户端的逻辑用户的用户身份标识与DHCP密钥标识的关联对应关系,确定该逻辑用户的用户身份信息,并利用该用户身份信息向认证服务器发起针对该逻辑用户认证操作;
或者,
DHCP中间实体根据收到的DHCP报文中携带的用户身份信息,为其指配一个DHCP密钥标识;将所述的用户身份信息和DHCP密钥标识发送给认证服务器,并由认证服务器根据所述用户身份信息和DHCP密钥标识生成相应的DHCP密钥;利用该DHCP密钥实现DHCP安全认证操作,及针对使用DHCP客户端的逻辑用户的用户身份信息的认证操作;
或者,
DHCP中间实体根据收到的DHCP报文中携带的用户身份信息,向认证服务器请求获取用于对用户身份信息进行认证的挑战字;DHCP中间实体将所述挑战字转发送给DHCP客户端,DHCP客户端将经其所在的终端设备中的认证模块计算修改后的挑战字发给DHCP中间实体;DHCP中间实体利用所述计算后的挑战字向认证服务器对所述用户身份信息进行认证操作。
2.根据权利要求1所述的方法,其特征在于,所述的DHCP中间实体包括:DHCP中继实体或DHCP代理实体。
3.根据权利要求1所述的方法,其特征在于,所述的保存的用户身份信息与DHCP密钥标识的关联对应关系为静态配置建立。
4.根据权利要求1所述的方法,其特征在于,根据DHCP报文携带的所述用户身份信息和DHCP密钥标识生成相应的DHCP密钥的处理包括:
根据DHCP报文携带的用户身份信息确定对应的鉴权、认证和计费AAA密钥;
利用所述的AAA密钥和DHCP密钥标识生成所述的DHCP密钥。
5.根据权利要求4所述的方法,其特征在于,所述的方法还包括:
DHCP客户端根据从网络侧获得的DHCP密钥标识和DHCP所在的终端设备中的认证模块保存的AAA密钥生成所述的DHCP密钥。
6.根据权利要求1所述的方法,其特征在于,所述的DHCP中间实体将所述挑战字发送给DHCP客户端的处理包括:
DHCP中间实体将所述挑战字承载于DHCP报文中发送给DHCP客户端。
7.根据权利要求1所述的方法,其特征在于,所述的方法还包括:
DHCP中间实体位于DHCP客户端与DHCP服务器之间进行DHCP安全认证的中继或代理。
8.一种用于实现用户认证的DHCP中间实体,其特征在于,包括认证触发单元和认证处理单元,其中:
认证触发单元,用于在检测到DHCP客户端发送的DHCP报文,且确定是一次新的会话,则触发所述的认证处理单元;
认证处理单元,用于发起针对发送所述DHCP报文的逻辑用户的用户身份信息进行认证处理操作,通过所述认证处理操作实现针对使用该DHCP客户端的逻辑用户进行用户身份认证;
所述的认证处理单元具体包括:
身份信息确定单元,用于根据保存的使用该DHCP客户端的逻辑用户身份与DHCP密钥标识的对应关系,确定该逻辑用户的用户身份信息;
认证操作单元,用于利用所述用户身份信息向认证服务器发起针对该逻辑用户的用户身份认证操作;
或者,
所述的认证处理单元具体包括:
DHCP密钥标识指定及发送单元,用于根据收到的DHCP报文中携带的用户身份信息,为其指配一个DHCP密钥标识,并将所述用户身份信息和DHCP密钥标识发送给认证服务器,
DHCP密钥获取单元,用于获取认证服务器根据所述用户身份信息和DHCP密钥标识生成的DHCP密钥;并将生成的DHCP密钥承载在DHCP报文中转发给DHCP服务器;
认证操作单元,用于利用该DHCP密钥实现DHCP认证操作实现针对认证操作;
或者,
所述的认证处理单元具体包括:
挑战字获取及发送处理单元,用于根据收到的DHCP发现报文中携带的用户身份信息,向认证服务器请求获取用于对所述用户身份信息进行认证的挑战字,并将所述挑战字发送给DHCP客户端;
认证操作单元,用于获取DHCP客户端发送来的计算后的挑战字,并利用所述计算后的挑战字向认证服务器对所述用户身份进行认证操作。
9.根据权利要求8所述的DHCP中间实体,其特征在于,所述的DHCP中间实体包括:DHCP中继实体或DHCP代理实体。
10.一种基于DHCP实现用户认证的系统,其特征在于,包括用于接入逻辑用户的DHCP客户端,以及用于实现用户认证的DHCP中间实体、DHCP服务器和认证服务器,其中:
所述的DHCP中间实体用于转发或代理DHCP服务器与DHCP客户端之间的DHCP安全认证操作,且用于向认证服务器发起针对使用该DHCP客户端的逻辑用户的用户身份的认证操作;
所述的认证服务器还包括DHCP密钥生成单元,用于根据DHCP报文携带的,经认证处理模块转送来的用户身份信息确定对应的AAA密钥,并利用所述的AAA密钥和DHCP密钥标识生成所述的DHCP密钥;且在所述的DHCP客户端中还包括DHCP密钥生成单元,用于根据从网络侧获得的DHCP密钥标识和自身保存的AAA密钥生成所述的DHCP密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610126967A CN101145907B (zh) | 2006-09-11 | 2006-09-11 | 基于dhcp实现用户认证的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610126967A CN101145907B (zh) | 2006-09-11 | 2006-09-11 | 基于dhcp实现用户认证的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101145907A CN101145907A (zh) | 2008-03-19 |
| CN101145907B true CN101145907B (zh) | 2010-05-12 |
Family
ID=39208224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610126967A Expired - Fee Related CN101145907B (zh) | 2006-09-11 | 2006-09-11 | 基于dhcp实现用户认证的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101145907B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102231725B (zh) * | 2010-03-25 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 一种动态主机配置协议报文的认证方法、设备及系统 |
| CN102244620A (zh) * | 2010-05-13 | 2011-11-16 | 工业和信息化部电信传输研究所 | 一种确定网关与设备关联关系的方法和系统 |
| CN102111406B (zh) * | 2010-12-20 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN102255916A (zh) * | 2011-07-26 | 2011-11-23 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| KR101252787B1 (ko) * | 2011-12-06 | 2013-04-09 | 이청종 | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 |
| CN103546286B (zh) * | 2012-07-13 | 2018-08-24 | 中兴通讯股份有限公司 | 认证处理方法及装置 |
| CN105871782B (zh) * | 2015-01-21 | 2019-08-16 | 中国移动通信集团广东有限公司 | 网络业务处理方法、装置、业务路由器及平台认证系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1450766A (zh) * | 2002-04-10 | 2003-10-22 | 深圳市中兴通讯股份有限公司 | 一种基于动态主机配置协议的用户管理方法 |
| CN1458761A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络接入方法 |
| CN1505345A (zh) * | 2002-12-02 | 2004-06-16 | 深圳市中兴通讯股份有限公司上海第二 | 一种接入用户强制访问认证服务器的方法 |
| CN1798158A (zh) * | 2004-12-21 | 2006-07-05 | 华为技术有限公司 | 一种二次地址分配方法 |
-
2006
- 2006-09-11 CN CN200610126967A patent/CN101145907B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1450766A (zh) * | 2002-04-10 | 2003-10-22 | 深圳市中兴通讯股份有限公司 | 一种基于动态主机配置协议的用户管理方法 |
| CN1458761A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络接入方法 |
| CN1505345A (zh) * | 2002-12-02 | 2004-06-16 | 深圳市中兴通讯股份有限公司上海第二 | 一种接入用户强制访问认证服务器的方法 |
| CN1798158A (zh) * | 2004-12-21 | 2006-07-05 | 华为技术有限公司 | 一种二次地址分配方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101145907A (zh) | 2008-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| EP2037621B1 (en) | Method and device for deriving local interface key | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| US9686669B2 (en) | Method of configuring a mobile node | |
| US7840811B2 (en) | Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key | |
| CA2792490C (en) | Key generation in a communication system | |
| CN1663168B (zh) | 接入网之间互配中可传递的认证、授权和记帐 | |
| JP5334974B2 (ja) | 拡張シーケンス番号を使用した通信の方法およびシステム | |
| JP4170912B2 (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| JP4824086B2 (ja) | 無線分散システムの認証方法 | |
| JP2005504459A (ja) | 電気通信用の携帯用品と公開アクセス端末との間の認証方法 | |
| US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN101662768A (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| CN101272247A (zh) | 基于dhcp实现用户认证的方法及设备及系统 | |
| CN101232369B (zh) | 动态主机配置协议中密钥分发方法和系统 | |
| CN103200147B (zh) | 第三方业务的请求方法及装置 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| WO2008001988A1 (en) | System and method for managing network/service access for linkage between network access and application service | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| JP4009273B2 (ja) | 通信方法 | |
| CN102282800A (zh) | 一种终端认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180503 Address after: London, England Patentee after: GW partnership Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. Effective date of registration: 20180503 Address after: California, USA Patentee after: Global innovation polymerization LLC Address before: London, England Patentee before: GW partnership Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20210911 |