CN101217575A - 一种在用户终端认证过程中分配ip地址的方法及装置 - Google Patents
一种在用户终端认证过程中分配ip地址的方法及装置 Download PDFInfo
- Publication number
- CN101217575A CN101217575A CNA2008100564687A CN200810056468A CN101217575A CN 101217575 A CN101217575 A CN 101217575A CN A2008100564687 A CNA2008100564687 A CN A2008100564687A CN 200810056468 A CN200810056468 A CN 200810056468A CN 101217575 A CN101217575 A CN 101217575A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- address
- authentication
- back message
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种在用户终端认证过程中分配IP地址的方法及装置。其中,所述方法中,认证服务器在用户终端通过认证后,为用户终端分配IP地址。按照本发明所述方法及设备,无需在网络中部署DHCP服务器,从而降低了组网成本。
Description
技术领域
本发明涉及IP地址分配技术领域,具体涉及一种在用户终端认证过程中分配IP地址的方法及装置。
背景技术
IEEE 802.1x协议作为一种基于端口的局域网接入控制和认证技术,可以限制未经授权的用户访问企业局域网络。在用户终端认证通过之前,与该用户终端对应的端口将保持关闭,802.1x协议只允许用户的认证报文通过该端口;在认证通过以后,端口被打开,用户终端正常的数据报文才可以地通过该端口。802.1x技术在以太网络环境中提供了一种灵活的、认证和业务分离的网络接入控制手段。
基于802.1x的认证技术在客户端和接入设备之间使用基于局域网的扩展认证协议(EAPoL,Extensible Authentication Protocol over LAN)传送认证信息,而接入设备和认证服务器之间通过远程认证拔号用户服务(RADIUS,Remote Authentication Dial-In User Service)协议或终端访问控制器访问控制系统(TACAC S,Terminal Access Controller Access Control System)协议传送认证信息。
请参照图1,为现有技术中一种典型的802.1x组网应用。如图1所示,局域网通过核心交换机、出口路由器和防火墙连接到因特网,在局域网链路的一端设有多个用户终端,另一端设有接入设备(如二层接入交换机或宽带接入服务器(BAS,Broadband Access Server))。局域网还包括内部服务器区,其中又具体包括有动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)服务器和认证服务器(或认证、授权和计费(AAA,Authentication AuthorizationAccounting)服务器)。
如图2所示,现有技术中802.1x和DHCP协议配合的认证过程大致可以概括为以下步骤:
步骤21,用户终端通过启动客户端软件发起802.1x认证,向接入设备发送EAPoL认证请求报文;
步骤22,接入设备接收并终结上述EAPoL认证请求报文,将认证请求通过RADIUS认证请求报文发送给认证服务器;
步骤23,认证服务器根据该用户的用户名和密码等信息,对该用户终端进行认证,判断该用户终端是否合法,然后向接入设备发送认证成功或失败的RADIUS认证回应报文(Access-Accept或Access-Reject),其中,认证服务器可能需要与用户终端多次交互认证信息以进行所述认证;
步骤24,接入设备接收并终结上述RADIUS认证回应报文并根据上述RADIUS认证回应控制端口的开关:如果认证成功,则打开与所述用户终端连接的端口,否则,继续保持所述端口的关闭;然后向用户终端返回EAPoL认证回应报文(EAPoL-Success或EAPoL-Failure),用以通知用户终端认证是否成功;
步骤25,在用户终端通过认证以后,用户终端发送DHCP请求报文,请求IP地址;
步骤26,如果端口被打开,接入设备就可以接收到上述DHCP请求报文,并转发给DHCP服务器;
步骤27,DHCP服务器分配IP地址,并向接入设备返回DHCP回应报文;
步骤28,接入设备转发上述DHCP回应报文至用户终端,从而用户终端获取到IP地址。
从以上所述可以看出,现有技术中,在用户终端通过认证后,需要用户终端发起DHCP请求,由DHCP服务器为该用户终端分配IP地址,其认证过程步骤繁多,涉及到多种设备之间的配合。因此,基于上述认证方法的认证系统中需要部署包括DHCP服务器在内的多种设备,其组网的成本较高。
发明内容
本发明所要解决的技术问题是提供一种在用户终端认证过程中分配IP地址的方法及设备,简化认证流程,且不需要在网络中部署DHCP服务器。
为解决上述技术问题,本发明提供方案如下:
一种在认证服务器上实施在用户终端认证过程中分配IP地址的方法,包括:
认证服务器配置并保存用户终端标识和IP地址之间的对应关系;
认证服务器对用户终端进行认证,在认证通过后,根据所述用户终端的用户终端标识和所述对应关系,确定所述用户终端对应的IP地址,并将所述IP地址携带在认证回应报文中发送至接入设备。
本发明所述的方法,其中,所述用户终端标识为用户终端的用户名或MAC地址。
本发明所述的方法,其中,所述认证服务器对用户终端进行认证是认证服务器根据所述用户终端的用户名和密码,对所述用户终端进行认证。
本发明所述的方法,其中,所述认证服务器是远程认证拔号用户服务RADIUS服务器,所述认证回应报文是RADIUS认证回应报文;
或者,所述认证服务器是终端访问控制器访问控制系统TACACS服务器,所述认证回应报文是TACACS认证回应报文。
本发明所述的方法,其中,所述认证服务器进一步确定所述用户终端对应的IP地址掩码、默认网关和域名服务器信息,并将上述信息包含在所述认证回应报文中发送给所述接入设备。
本发明还提供了一种在接入设备上实施在用户终端认证过程中分配IP地址的方法,包括:
接入设备接收认证服务器发送的第一认证回应报文;
在所述第一认证回应报文指示用户终端通过认证时,接入设备从所述第一认证回应报文中获取认证服务器为所述用户终端所确定的IP地址;
接入设备将所述IP地址携带在第二认证回应报文中,发送给所述用户终端。
本发明所述在接入设备上实施在用户终端认证过程中分配IP地址的方法,其中,所述接入设备进一步获取所述第一认证回应报文中携带的IP地址掩码、默认网关和域名服务器信息,并将上述信息包含在所述第二认证回应报文中发送给所述用户终端。
本发明所述在接入设备上实施在用户终端认证过程中分配IP地址的方法,其中,在所述第一认证回应报文指示用户终端通过认证时,所述接入设备进一步打开连接所述用户终端的端口。
本发明所述在接入设备上实施在用户终端认证过程中分配IP地址的方法,其中,还包括:接入设备周期性地接收所述用户终端发送的自身IP地址和用户终端标识;
接入设备判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果不一致,则关闭连接所述用户终端的端口。
本发明还提供了一种在用户终端认证过程中分配IP地址的方法,其中,包括:
用户终端接收接入设备发送的认证回应报文;
在所述认证回应报文指示本用户终端通过认证时,用户终端获取所述认证回应报文中携带的IP地址,其中,所述IP地址是认证服务器为所述用户终端所确定的IP地址;
用户终端根据获取到的IP地址配置自身的IP地址。
本发明所述在用户终端认证过程中分配IP地址的方法,其中,还包括:
所述用户终端进一步周期性地将自身IP地址和本用户终端的用户终端标识,发送给所述接入设备。
本发明还提供了一种认证服务器,包括用于对用户终端进行认证的认证单元,还包括:
对应关系保存单元,用于配置并保存用户终端标识和IP地址之间的对应关系;
IP地址分配单元,用于在用户终端通过所述认证单元的认证后,根据所述用户终端的用户终端标识和所述对应关系保存单元中保存的对应关系,确定所述用户终端对应的IP地址;
发送单元,用于将所述IP地址分配单元确定的IP地址携带在认证回应报文中发送至接入设备。
本发明所述的认证服务器,其中,所述用户终端标识为用户终端的用户名或MAC地址。
本发明还提供了一种接入设备,其中,包括:
接收单元,用于接收认证服务器发送的第一认证回应报文;
IP地址获取单元,用于在所述第一认证回应报文指示用户终端通过认证时,从所述第一认证回应报文中获取认证服务器为所述用户终端所确定的IP地址;
发送单元,用于将所述IP地址获取单元获取到的IP地址携带在第二认证回应报文中,发送给所述用户终端。
本发明所述的接入设备,其中,还包括:
端口控制单元,用于所述第一认证回应报文指示用户终端通过认证时,打开连接所述用户终端的端口。
本发明所述的接入设备,其中,
所述接收单元,进一步周期性地接收所述用户终端发送的自身IP地址和用户终端标识;
所述端口控制单元,进一步用于判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果不一致,则关闭连接所述用户终端的端口。
本发明还提供了一种用户终端,包括:
接收单元,用于接收接入设备发送的认证回应报文;
IP地址配置单元,用于在所述认证回应报文指示本用户终端通过认证时,用户终端获取所述认证回应报文中携带的IP地址,并据此配置自身的IP地址,其中,所述认证回应报文中携带的IP地址是认证服务器为所述用户终端所确定的IP地址。
本发明所述的用户终端,其中,还包括:
发送单元,用于周期性地将自身IP地址和本用户终端的用户终端标识,发送给所述接入设备。
从以上所述可以看出,本发明提供的在用户终端认证过程中分配IP地址的方法及设备,通过证服务器在用户认证通过时直接为用户终端分配IP地址,从而简化了认证过程,无需在网络中部署DHCP服务器,进而降低了组网成本。本发明实施例中还在接入设备和用户终端之间实现定时握手,用户终端通过握手回应报文将其当前的IP地址等信息发送给接入设备,接入设备检查用户终端的IP地址等信息是否与认证服务器为其所确定的相关信息相一致,进而根据检查结果来控制与该用户终端连接的端口的开关,从而提高了网络接入和访问的安全性。并且,本发明实施例中,无需预先将接入设备的端口配置为允许通过DHCP报文,从而避免了现有技术中在接入设备上将端口配置为可以通过DHCP报文而带来的风险。
附图说明
图1为现有技术中一种典型的802.1x组网应用示意图;
图2为现有技术中802.1x和DHCP协议配合的认证过程的流程图;
图3为本发明实施例中经扩展的EAPoL认证回应报文的结构图;
图4为本发明实施例所述在用户终端认证过程中分配IP地址的方法的流程图;
图5为本发明实施例所述认证服务器的结构示意图;
图6为本发明实施例所述接入设备的结构示意图;
图7为本发明实施例所述用户终端的结构示意图。
具体实施方式
本发明提供了一种在用户终端认证过程中分配IP地址的方法及设备,由认证服务器直接为用户终端分配IP地址,从而无需在网络中部署DHCP服务器,同时也简化了认证过程。
以下以基于802.1x协议的认证为例,结合附图对本发明作进一步说明。
首先说明本实施例中用于传递IP地址信息的认证回应报文的结构。本实施例中对现有的认证回应报文作了进一步扩展。
在802.1x协议中,用户终端(请求者Supplicant)和接入设备(认证者Authenticator)之间交互的是EAPoL报文。认证服务器通常使用RADIUS或TACACS协议。以RADIUS协议为例,RADIUS认证回应报文中有丰富的属性,可以携带多种信息。由于EAP协议具有灵活的扩展性,因此,可以通过扩展EAPoL认证回应报文,丰富用户终端和接入设备之间交互的报文内容,通过EAPoL认证回应报文将RADIUS认证回应报文中携带的信息返回给用户终端,从而将认证服务器分配的IP地址返回给用户终端。
根据RFC2865,RADIUS认证服务器可以通过认证回应报文Access-Accept返回的属性有Framed-IP-Address、Framed-IP-Netmask、Framed-Route、Reply-Message,这些属性的值可以赋值给用户终端,本实施例中还进一步扩展上述属性,增加DNS-Server信息。其中,本实施例的RADIUS认证回应报文中的各属性的解释如表1所示:
| Framed-IP-Address | 用户终端对应的IP地址 |
| Framed-IP-Netmask | 用户终端对应的IP地址掩码 |
| Framed-Route | 用户终端对应的默认网关 |
| Reply-Message | 给用户终端的提示信息 |
| DNS-Server | 用户终端对应的DNS服务器 |
表1
802.1x认证过程是以用户终端接收到EAPoL认证回应报文(EAPOL-Success/Failure)而结束。现有的EAPOL-Success/Failure中不携带任何数据内容,本实施例中将其扩展成如图3所示的结构。如图3所示,该报文的前32比特位分别是代码(Code)、标识(Identifier)和长度(Length),本实施例将后续数据扩展为类型、长度和值(TLV,Type Type-LegnthType-Value)字段,可以用于拷贝RADIUS认证回应报文返回的如表1所示的各种属性。如果认证服务器为TACACS服务器,同样也可以通过TACACS服务器发送的TACACS认证回应报文返回IP地址等信息,然后将这些信息封装在EAPoL认证回应报文中的TLV字段中。
以下说明本实施例所述在用户终端认证过程中分配IP地址的方法的具体步骤,如图4所示,包括:
步骤41,在认证服务器处,预先配置并保存用户终端标识和IP地址之间的对应关系。
这里,所述用户终端标识具体可以是用户终端的用户名或用户终端的MAC地址。
步骤42,在用户终端处,用户终端通过启动客户端软件发起802.1x认证,向接入设备发送EAPoL认证请求报文。
步骤43,接入设备接收并终结上述EAPoL认证请求报文,将认证请求通过RADIUS认证请求报文中,发送给认证服务器。
步骤44,认证服务器对该用户终端进行认证,判断该用户终端是否合法,根据判断结果决定是否认证通过:如果认证通过,则认证服务器根据该用户终端的用户终端标识和预先保存的所述对应关系,确定该用户终端对应的IP地址信息,并将所述IP地址信息携带在RADIUS认证回应报文中,发送给接入设备。
这里,认证服务器和用户终端之间可以多次交互认证信息,按照预定策略,根据该用户终端的用户名和密码等信息,对该用户终端进行所述认证:如果认证失败,则认证服务器向接入设备发送用于指示认证失败的RADIUS认证回应报文,即Access-Reject报文;如果认证通过,则向接入设备发送用于指示认证成功的RADIUS认证回应报文,即Access-Accept报文,并将该用户终端对应的IP地址信息包含在Access-Accept报文中,发送给接入设备。
这里,在认证通过时,认证服务器还可以进一步确定该用户终端对应的IP地址掩码、默认网关和域名服务器信息,并将上述信息包含在所述认证回应报文中发送给所述接入设备。
步骤45,接入设备接收认证服务器下发的所述RADIUS认证回应报文:在所述RADIUS认证回应报文指示用户终端通过认证时,打开接入设备上连接所述用户终端的端口,以允许所述用户终端的所有报文通过该端口,并从所述RADIUS认证回应报文中获取所述用户终端的IP地址等信息,并将这些信息拷贝写入用于指示用户终端认证通过的EAPoL认证回应报文的TLV字段中,然后,将该EAPoL认证回应报文发送给该用户终端;在所述RADIUS认证回应指示用户认证失败时,向该用户终端发送指示认证失败的EAPoL认证回应报文,继续保持连接该用户终端的端口的关闭状态,以继续禁止认证报文以外的其他报文通过该端口。
这样,在认证通过后,用户终端就可以从所述接入设备发送的指示认证通过的EAPoL认证回应报文中,获取认证服务器为该用户终端所分配的IP地址等信息,进而根据该IP地址等信息,对自身的IP地址等进行相应的配置。在获取到IP地址以后,用户终端就可以正常地访问因特网资源。
可以看出,在上述认证过程中,没有现有技术的DHCP分配IP地址的过程,而是由认证服务器在用户终端通过认证后直接为用户终端分配IP地址,从而简化认证过程,无需在网络中部署DHCP服务器,减少了网络中的设备数量,降低了组网成本。
在用户终端成功获取IP地址以后,用户终端还可能发生自行改变自身的IP地址或媒体接入控制(MAC,Medium Access Control)地址的行为,危及到网络接入和访问的安全性。
为了提高网络接入和访问的安全性,现有技术中是通过预先配置接入设备连接用户终端的端口,使该端口始终允许DHCP报文通过,以使得在认证开始前用户终端能够通过DHCP过程获取到IP地址;然后,用户终端携带自身IP地址、MAC地址及用户名等信息向认证服务器进行认证;认证服务器根据预存的用户名、MAC地址和IP的绑定关系,来决定用户是否能够通过认证。由于接入设备需要预先配置为始终允许DHCP报文通过,这相当于在接入设备上设置了一个后门,显然,该认证方式具有一定的安全隐患,例如非法用户可能将攻击报文伪装成DHCP报文,对网络进行攻击,从而影响到网络的安全。
而本实施例中,进一步通过在接入设备与用户终端之间实现定时握手,检查用户终端的相关信息与认证服务器下发的信息是否一致,来提高网络接入和访问的安全性。这里,通过在上述步骤45之后增加以下步骤以实现定时握手:
步骤46,接入设备周期性地向所述用户终端发送握手请求报文。这里,所述握手请求报文可以是EAPoL-Request报文。
步骤47,用户终端接收到所述握手请求报文后,将本用户终端的IP地址和本用户终端的用户终端标识等信息包含在握手回应报文中,发送给接入设备。这里,所述握手回应报文可以是EAPoL-Identify报文,用户终端可以将诸如本用户终端的IP地址、MAC地址和本用户终端的用户名等信息发送给接入设备。
步骤48,接入设备接收所述握手回应报文,判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果一致,则不动作;如果不一致,则关闭连接所述用户终端的端口,以禁止认证报文外的其他报文通过该端口,从而使得该用户下线。
这里,可以根据步骤45中所述认证服务器返回的所述RADIUS认证回应报文,获取到所述认证服务器为所述用户终端所确定的IP地址等信息。接入设备还可以根据上述信息,保存用户名、用户终端MAC地址和用户终端IP地址之间的对应关系;然后,在步骤48中,判断所述握手回应报文返回的所述用户终端的用户名、用户终端MAC地址和用户终端IP地址,是否与上述对应关系相一致:如果不一致,则关闭连接所述用户终端的端口;否则,不动作。
可以看出,上述过程中,通过定时握手,检查用户IP地址等信息,从而在发生用户终端自行更改MAC/IP地址的情况时,本实施例能够及时强制该用户终端下线,从而提高了网络接入和访问的安全性。并且,本实施例中,无需预先将接入设备的端口配置为允许通过DHCP报文,从而避免了现有技术中在接入设备上增加后门而带来的风险。
基于上述在用户终端认证过程中分配IP地址的方法,本实施例还相应地提供了一种在802.1x认证过程中使用的认证服务器、接入设备和用户终端。
如图5所示,所述认证服务器包括:
认证单元,用于根据用户终端的用户名和密码等信息对用户终端进行认证。
对应关系保存单元,用于配置并保存用户终端标识和IP地址之间的对应关系。这里,所述用户终端标识具体可以是用户终端的用户名或用户终端的MAC地址。
IP地址分配单元,用于在用户终端通过所述认证单元的认证后,根据所述用户终端的用户终端标识和所述对应关系保存单元中保存的对应关系,确定所述用户终端对应的IP地址。这里,所述IP地址分配单元,还可以进一步用于在用户终端通过所述认证单元的认证后,确定所述用户终端对应的IP地址掩码、默认网关和域名服务器等信息。
发送单元,用于将所述IP地址分配单元确定的IP地址携带在认证回应报文中发送至接入设备。这里,所述发送单元,还可以进一步用于将所述IP地址分配单元确定的所述用户终端对应的IP地址掩码、默认网关和域名服务器等信息,包含在所述认证回应报文中发送给所述接入设备。
如图6所示,所述接入设备包括:
接收单元,用于接收认证服务器发送的第一认证回应报文。
IP地址获取单元,用于在所述第一认证回应报文指示用户终端通过认证时,从所述第一认证回应报文中获取认证服务器为所述用户终端所确定的IP地址。这里,所述IP地址获取单元,还可以进一步用于获取所述第一认证回应报文中携带的IP地址掩码、默认网关和域名服务器信息。
发送单元,用于将所述IP地址获取单元获取到的IP地址携带在第二认证回应报文中,发送给所述用户终端。所述发送单元,还可以进一步用于将所述IP地址获取单元获取到的IP地址掩码、默认网关和域名服务器信息,包含在所述第二认证回应报文中发送给所述用户终端。
端口控制单元,用于所述第一认证回应报文指示用户终端通过认证时,打开连接所述用户终端的端口,以允许所有报文通过该端口。
为了提高网络接入和访问的安全性,这里,所述接收单元,进一步周期性地接收所述用户终端发送的自身IP地址和所述用户终端的用户终端标识。所述端口控制单元,进一步用于判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果不一致,则关闭连接所述用户终端的端口,以禁止认证报文外的其他报文通过该端口。其中,所述用户终端标识具体可以是用户终端的用户名或用户终端的MAC地址。
如图7所示,所述用户终端包括:
接收单元,用于接收接入设备发送的认证回应报文;
IP地址配置单元,用于在所述认证回应报文指示本用户终端通过认证时,用户终端获取所述认证回应报文中携带的IP地址,并据此配置自身的IP地址,其中,所述认证回应报文中携带的IP地址,是认证服务器为所述用户终端所确定的IP地址。
这里,所述IP地址配置单元,进一步用于在所述认证回应报文指示本用户终端通过认证时,根据所述认证回应报文中包含的IP地址掩码、默认网关和域名服务器信息对自身进行相应的配置。
为了实现接入设备和用户终端之间的定时握手功能,以提高用户接入和访问的安全性,这里,所述用户终端还可以包括有发送单元,用于周期性地将自身IP地址和本用户终端的用户终端标识,发送给所述接入设备。
综上所述,本发明实施例所述在用户终端认证过程中分配IP地址的方法及设备,通过认证服务器在用户认证通过时直接为用户终端分配IP地址,从而简化了认证过程,且无需在网络中部署DHCP服务器。并且,本实施例中还在接入设备和用户终端之间的定时握手,检查用户终端的IP地址等信息是否与认证服务器所确定的相关信息一致,来提高网络接入和访问的安全性。
本发明所述在用户终端认证过程中分配IP地址的方法及设备,并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明之领域,对于熟悉本领域的人员而言可容易地实现另外的优点和进行修改,因此在不背离权利要求及等同范围所限定的一般概念的精神和范围的情况下,本发明并不限于特定的细节、代表性的设备和这里示出与描述的图示示例。
Claims (18)
1.一种在认证服务器上实施在用户终端认证过程中分配IP地址的方法,其特征在于,包括:
认证服务器配置并保存用户终端标识和IP地址之间的对应关系;
认证服务器对用户终端进行认证,在认证通过后,根据所述用户终端的用户终端标识和所述对应关系,确定所述用户终端对应的IP地址,并将所述IP地址携带在认证回应报文中发送至接入设备。
2.如权利要求1所述的方法,其特征在于,所述用户终端标识为用户终端的用户名或MAC地址。
3.如权利要求1所述的方法,其特征在于,所述认证服务器对用户终端进行认证是认证服务器根据所述用户终端的用户名和密码,对所述用户终端进行认证。
4.如权利要求1所述的方法,其特征在于,
所述认证服务器是远程认证拔号用户服务RADIUS服务器,所述认证回应报文是RADIUS认证回应报文;
或者,所述认证服务器是终端访问控制器访问控制系统TACACS服务器,所述认证回应报文是TACACS认证回应报文。
5.如权利要求1所述的方法,其特征在于,所述认证服务器进一步确定所述用户终端对应的IP地址掩码、默认网关和域名服务器信息,并将上述信息包含在所述认证回应报文中发送给所述接入设备。
6.一种在接入设备上实施在用户终端认证过程中分配IP地址的方法,其特征在于,包括:
接入设备接收认证服务器发送的第一认证回应报文;
在所述第一认证回应报文指示用户终端通过认证时,接入设备从所述第一认证回应报文中获取认证服务器为所述用户终端所确定的IP地址;
接入设备将所述IP地址携带在第二认证回应报文中,发送给所述用户终端。
7.如权利要求6所述的方法,其特征在于,
所述接入设备进一步获取所述第一认证回应报文中携带的IP地址掩码、默认网关和域名服务器信息,并将上述信息包含在所述第二认证回应报文中发送给所述用户终端。
8.如权利要求6所述的方法,其特征在于,在所述第一认证回应报文指示用户终端通过认证时,所述接入设备进一步打开连接所述用户终端的端口。
9.如权利要求8所述的方法,其特征在于,还包括:
接入设备周期性地接收所述用户终端发送的自身IP地址和用户终端标识;
接入设备判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果不一致,则关闭连接所述用户终端的端口。
10.一种在用户终端认证过程中分配IP地址的方法,其特征在于,包括:
用户终端接收接入设备发送的认证回应报文;
在所述认证回应报文指示本用户终端通过认证时,用户终端获取所述认证回应报文中携带的IP地址,其中,所述IP地址是认证服务器为所述用户终端所确定的IP地址;
用户终端根据获取到的IP地址配置自身的IP地址。
11.如权利要求10所述的方法,其特征在于,还包括:
所述用户终端进一步周期性地将自身IP地址和本用户终端的用户终端标识,发送给所述接入设备。
12.一种认证服务器,包括用于对用户终端进行认证的认证单元,其特征在于,还包括:
对应关系保存单元,用于配置并保存用户终端标识和IP地址之间的对应关系;
IP地址分配单元,用于在用户终端通过所述认证单元的认证后,根据所述用户终端的用户终端标识和所述对应关系保存单元中保存的对应关系,确定所述用户终端对应的IP地址;
发送单元,用于将所述IP地址分配单元确定的IP地址携带在认证回应报文中发送至接入设备。
13.如权利要求12所述的认证服务器,其特征在于,所述用户终端标识为用户终端的用户名或MAC地址。
14.一种接入设备,其特征在于,包括:
接收单元,用于接收认证服务器发送的第一认证回应报文;
IP地址获取单元,用于在所述第一认证回应报文指示用户终端通过认证时,从所述第一认证回应报文中获取认证服务器为所述用户终端所确定的IP地址;
发送单元,用于将所述IP地址获取单元获取到的IP地址携带在第二认证回应报文中,发送给所述用户终端。
15.如权利要求14所述的接入设备,其特征在于,还包括:
端口控制单元,用于所述第一认证回应报文指示用户终端通过认证时,打开连接所述用户终端的端口。
16.如权利要求14所述的接入设备,其特征在于,
所述接收单元,进一步周期性地接收所述用户终端发送的自身IP地址和用户终端标识;
所述端口控制单元,进一步用于判断所述用户终端的IP地址,是否与所述认证服务器为所述用户终端所确定的IP地址相一致:如果不一致,则关闭连接所述用户终端的端口。
17.一种用户终端,其特征在于,包括:
接收单元,用于接收接入设备发送的认证回应报文;
IP地址配置单元,用于在所述认证回应报文指示本用户终端通过认证时,用户终端获取所述认证回应报文中携带的IP地址,并据此配置自身的IP地址,其中,所述认证回应报文中携带的IP地址是认证服务器为所述用户终端所确定的IP地址。
18.如权利要求17所述的用户终端,其特征在于,还包括:
发送单元,用于周期性地将自身IP地址和本用户终端的用户终端标识,发送给所述接入设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100564687A CN101217575B (zh) | 2008-01-18 | 2008-01-18 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100564687A CN101217575B (zh) | 2008-01-18 | 2008-01-18 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101217575A true CN101217575A (zh) | 2008-07-09 |
| CN101217575B CN101217575B (zh) | 2010-07-28 |
Family
ID=39623937
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100564687A Expired - Fee Related CN101217575B (zh) | 2008-01-18 | 2008-01-18 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101217575B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140910A1 (zh) * | 2008-05-19 | 2009-11-26 | Zheng Kuanyong | 主动式ip地址分配方法及系统 |
| CN101741920A (zh) * | 2008-11-05 | 2010-06-16 | 海尔集团公司 | 一种小区网络内的智能终端通讯方法和系统 |
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、系统、客户端及认证服务器 |
| CN102547706A (zh) * | 2012-01-30 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种网络设备的管理方法及其设备 |
| CN102882994A (zh) * | 2012-11-02 | 2013-01-16 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| CN102892110A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种终端在不同网络中用户标识一致性的方法及系统 |
| CN103078877A (zh) * | 2013-01-31 | 2013-05-01 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| CN103178973A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 管理ip地址的方法、系统和设备 |
| CN103701891A (zh) * | 2013-12-20 | 2014-04-02 | 贝壳网际(北京)安全技术有限公司 | 跨终端下载的方法、系统、服务器、移动终端和固定终端 |
| WO2014079265A1 (zh) * | 2012-11-21 | 2014-05-30 | 华为技术有限公司 | 释放ip地址的方法、装置及接入设备 |
| CN103840939A (zh) * | 2012-11-27 | 2014-06-04 | 镇江精英软件科技有限公司 | 用网卡mac地址对信息系统特殊操作进行再认证的方法 |
| WO2015003565A1 (zh) * | 2013-07-09 | 2015-01-15 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
| CN104363137A (zh) * | 2014-11-14 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种监控局域网内ip地址分配信息的方法和装置 |
| CN104767765A (zh) * | 2015-04-29 | 2015-07-08 | 杭州华三通信技术有限公司 | 提高用户上线速度的方法和宽带远程接入服务器接入设备 |
| WO2015196755A1 (zh) * | 2014-06-27 | 2015-12-30 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的地址分配方法及接入服务节点 |
| CN106535171A (zh) * | 2016-12-07 | 2017-03-22 | 北京小米移动软件有限公司 | 无线终端接入网络的方法、装置及设备 |
| WO2017181894A1 (zh) * | 2016-04-18 | 2017-10-26 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| CN110035082A (zh) * | 2019-04-15 | 2019-07-19 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| WO2021052122A1 (en) * | 2019-09-16 | 2021-03-25 | Zhejiang Dahua Technology Co., Ltd. | Network connection systems and methods and network access devices |
| CN112583849A (zh) * | 2020-12-25 | 2021-03-30 | 深圳深度探测科技有限公司 | 一种采用ip策略包提升服务器安全性的方法 |
| CN112788028A (zh) * | 2021-01-10 | 2021-05-11 | 何顺民 | 一种获取网络参数的方法和系统 |
| CN112822197A (zh) * | 2021-01-10 | 2021-05-18 | 何顺民 | 一种安全接入控制的方法和系统 |
| WO2023072295A1 (zh) * | 2021-11-01 | 2023-05-04 | 中兴通讯股份有限公司 | 网络接入方法和装置、电子设备、计算机可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100341305C (zh) * | 2002-11-26 | 2007-10-03 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| CN1744597A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | IPv6网络中主机用户获取IP地址参数的方法 |
| JP4401913B2 (ja) * | 2004-09-17 | 2010-01-20 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置およびアクセスネットワークシステム |
| US8924459B2 (en) * | 2005-10-21 | 2014-12-30 | Cisco Technology, Inc. | Support for WISPr attributes in a TAL/CAR PWLAN environment |
| CN101043331A (zh) * | 2006-06-30 | 2007-09-26 | 华为技术有限公司 | 一种为网络设备分配地址的系统和方法 |
-
2008
- 2008-01-18 CN CN2008100564687A patent/CN101217575B/zh not_active Expired - Fee Related
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140910A1 (zh) * | 2008-05-19 | 2009-11-26 | Zheng Kuanyong | 主动式ip地址分配方法及系统 |
| CN101741920A (zh) * | 2008-11-05 | 2010-06-16 | 海尔集团公司 | 一种小区网络内的智能终端通讯方法和系统 |
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、系统、客户端及认证服务器 |
| CN102271134B (zh) * | 2011-08-11 | 2014-07-30 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、系统、客户端及认证服务器 |
| CN103178973B (zh) * | 2011-12-21 | 2016-04-20 | 中国电信股份有限公司 | 管理ip地址的方法、系统和设备 |
| CN103178973A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 管理ip地址的方法、系统和设备 |
| CN102547706A (zh) * | 2012-01-30 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种网络设备的管理方法及其设备 |
| CN102892110A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种终端在不同网络中用户标识一致性的方法及系统 |
| CN102882994A (zh) * | 2012-11-02 | 2013-01-16 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| CN102882994B (zh) * | 2012-11-02 | 2015-05-06 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| WO2014079265A1 (zh) * | 2012-11-21 | 2014-05-30 | 华为技术有限公司 | 释放ip地址的方法、装置及接入设备 |
| CN103840939A (zh) * | 2012-11-27 | 2014-06-04 | 镇江精英软件科技有限公司 | 用网卡mac地址对信息系统特殊操作进行再认证的方法 |
| CN103078877A (zh) * | 2013-01-31 | 2013-05-01 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| WO2015003565A1 (zh) * | 2013-07-09 | 2015-01-15 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
| US9825950B2 (en) | 2013-07-09 | 2017-11-21 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for controlling access of user terminal |
| CN103701891A (zh) * | 2013-12-20 | 2014-04-02 | 贝壳网际(北京)安全技术有限公司 | 跨终端下载的方法、系统、服务器、移动终端和固定终端 |
| CN105323325A (zh) * | 2014-06-27 | 2016-02-10 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的地址分配方法及接入服务节点 |
| WO2015196755A1 (zh) * | 2014-06-27 | 2015-12-30 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的地址分配方法及接入服务节点 |
| CN104363137A (zh) * | 2014-11-14 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种监控局域网内ip地址分配信息的方法和装置 |
| CN104767765A (zh) * | 2015-04-29 | 2015-07-08 | 杭州华三通信技术有限公司 | 提高用户上线速度的方法和宽带远程接入服务器接入设备 |
| US11165604B2 (en) | 2016-04-18 | 2021-11-02 | Huawei Technologies Co., Ltd. | Method and system used by terminal to connect to virtual private network, and related device |
| WO2017181894A1 (zh) * | 2016-04-18 | 2017-10-26 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| CN106535171A (zh) * | 2016-12-07 | 2017-03-22 | 北京小米移动软件有限公司 | 无线终端接入网络的方法、装置及设备 |
| CN110035082A (zh) * | 2019-04-15 | 2019-07-19 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| CN110035082B (zh) * | 2019-04-15 | 2020-10-13 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| WO2021052122A1 (en) * | 2019-09-16 | 2021-03-25 | Zhejiang Dahua Technology Co., Ltd. | Network connection systems and methods and network access devices |
| US11729141B2 (en) | 2019-09-16 | 2023-08-15 | Zhejiang Dahua Technology Co., Ltd. | Network connection systems and methods and network access devices |
| CN112583849A (zh) * | 2020-12-25 | 2021-03-30 | 深圳深度探测科技有限公司 | 一种采用ip策略包提升服务器安全性的方法 |
| CN112788028A (zh) * | 2021-01-10 | 2021-05-11 | 何顺民 | 一种获取网络参数的方法和系统 |
| CN112822197A (zh) * | 2021-01-10 | 2021-05-18 | 何顺民 | 一种安全接入控制的方法和系统 |
| WO2023072295A1 (zh) * | 2021-11-01 | 2023-05-04 | 中兴通讯股份有限公司 | 网络接入方法和装置、电子设备、计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101217575B (zh) | 2010-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN100591011C (zh) | 一种认证方法及系统 | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| US9948647B2 (en) | Method and device for authenticating static user terminal | |
| CN101133618B (zh) | 连接公共网络中的vpn用户 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101150406B (zh) | 基于802.1x协议的网络设备认证方法及系统及相关装置 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| CN101917398A (zh) | 一种客户端访问权限控制方法及设备 | |
| US20160142914A1 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| JP2006186968A (ja) | 無線制御装置、システム、制御方法、及びプログラム | |
| CN101651696A (zh) | 一种防止nd攻击的方法及装置 | |
| CN101471936A (zh) | 建立ip会话的方法、装置及系统 | |
| CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN104581722A (zh) | 一种基于wps的网络连接方法和装置 | |
| CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100728 Termination date: 20200118 |