CN101227481A - 一种基于dhcp协议的ip接入的方法及其装置 - Google Patents
一种基于dhcp协议的ip接入的方法及其装置 Download PDFInfo
- Publication number
- CN101227481A CN101227481A CNA200810057508XA CN200810057508A CN101227481A CN 101227481 A CN101227481 A CN 101227481A CN A200810057508X A CNA200810057508X A CN A200810057508XA CN 200810057508 A CN200810057508 A CN 200810057508A CN 101227481 A CN101227481 A CN 101227481A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- user
- authentication request
- request information
- access server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种基于DHCP协议的IP接入的方法及其装置,其中该方法包括:步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息;步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。与现有技术相比,本发明通过DHCP获取IP地址过程中完成用户的接入认证和授权,从而有效限制了非法用户的接入。
Description
技术领域
本发明涉及数据通信技术领域,特别是涉及一种基于DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)协议的IP接入的方法及其装置。
背景技术
在IP网络中,每个连接Internal的用户设备都需要分配一个唯一的IP地址。在常见的小型网络中,IP地址都是由网络管理员手工分配的,而到了中大型网络,手工分配地址就变得不太合适了。因此必须使用一种高效的地址分配方法,DHCP出现正好解决这个问题。
一般情况下,用户获取IP地址接入到网络中,是需要对接入网络的用户进行控制的,用户所获得的访问网络权限是由接入服务器控制的,从而保证网络接入用户的合法性,特别是在运营商的网络上,还涉及到一个计费的问题,也是需要解决。
但是由于DHCP协议只是一个地址分配协议,没有提供在接入过程中对接入用户的控制能力,使得DHCP的接入用户不需要任何附加条件就可以接入网络,对网络的安全和运营商的业务开展都是非是非常不利的。
目前IP接入大多都采用DHCP+WEB方式来实现用户的接入管理,这种方法虽然能够对用户进行接入管理,但是它的缺陷是需要外部的WEB服务器做支持,用户每次上线后需要登陆到某个网页来进行接入认证,此时主机已经通过DHCP协议将IP地址分配出去;另外一个缺陷是管理报文和业务报文都是一样的,接入服务器无法区分。由于上述原因,无论是接入服务器还是WEB服务器的安全性都非常脆弱,所以迫切需要一种安全接入方法对DHCP的用户进行接入管理。
发明内容
本发明所要解决的技术问题在于提供一种基于DHCP协议的IP接入的方法及其装置,用于解决现有技术中用户接入网络时的安全性无法保证的问题。
为了实现上述目的,本发明提供了一种基于DHCP协议的IP接入的方法,其特征在于,包括:
步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;
步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息;
步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。
所述的基于DHCP协议的IP接入的方法,其中,所述步骤二中,进一步包括:
所述接入设备将所述电路信息填写在所述转发DHCP发现报文的Option82选项中的步骤。
所述的基于DHCP协议的IP接入的方法,其中,所述步骤二中,进一步包括:
所述接入服务器判断所述转发DHCP发现报文中是否携带Option 61,若是,则从所述Option 61中读出所述MAC地址,从所述Option 82选项读出所述电路信息;否则不回应所述DHCP客户端。
所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步包括:
所述接入服务器通过认证/授权/计费模块对所述认证请求信息进行认证的步骤。
所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步包括:
所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同方式进行认证的步骤。
所述的基于DHCP协议的IP接入的方法,其中,所述步骤三中,进一步包括:
当所述用户是在本地配置的用户时,则所述认证/授权/计费模块进行接入服务器本地认证;或
当所述是在Radius服务器上配置的用户时,则所述认证/授权/计费模块组织认证请求信息通过Radius协议到Radius服务器上认证。
为了实现上述目的,本发明提供了一种基于DHCP协议的IP接入的装置,包括用户终端、DHCP客户端向、接入设备、接入服务器,其特征在于,所述用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;所述接入设备转发所述DHCP发现报文至所述接入服务器;
所述接入服务器接收转发DHCP发现报文,从所述转发DHCP发现报文中读出MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息,对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。
所述的基于DHCP协议的IP接入的装置,其中,所述接入设备为接入交换机或DSLAM设备。
所述的基于DHCP协议的IP接入的装置,其中,还包括:认证/授权/计费模块,设置于所述接入服务器上,用于对所述认证请求信息进行认证。
所述的基于DHCP协议的IP接入的装置,其中,所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同方式进行认证:
当所述用户是在本地配置的用户时,则进行接入服务器本地认证;或
当所述是在Radius服务器上配置的用户时,则组织认证请求信息通过Radius协议到Radius服务器上认证。
本发明的有益技术效果:
与现有技术相比,本发明所提供的基于DHCP协议的IP接入宽带网络的方法及其装置,通过DHCP获取IP地址过程中完成用户的接入认证和授权,从而有效限制了非法用户的接入,为运营商广泛开展IP接入提供一个很好技术手段。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1是本发明基于DHCP协议的IP接入的方法流程图;
图2是本发明基于DHCP协议的IP接入的装置结构图。
具体实施方式
下面结合附图和具体实施方式对本发明的技术方案作进一步更详细的描述。
如图1所示,是本发明基于DHCP协议的IP接入的方法流程图。该流程描述了基于DHCP协议的IP接入方法,具体包括以下各步骤:
步骤S101,用户终端请求IP地址,通过DHCP客户端,向接入服务器发送DHCP Discovery(发现)报文;
步骤S102,当该报文通过接入设备(如接入交换机或是DSLAM设备)时,接入设备在该报文的Option 82选项中填写相关电路信息。
步骤S103,接入服务器收到从接入交换机或是DSLAM设备转发过来的DHCP Discovery报文;
步骤S104,接入服务器判断DHCP Discovery报文中是否携带Option 61,若携带,则进入步骤S105;否则,转入步骤S108;
步骤S105,接入服务器将该报文中Option 61所携带的MAC地址和Option82选项中的电路信息读出来,并向接入服务器的AAA模块发送认证请求信息,请求AAA(Authentication,Authorization,Accounting,认证/授权/计费)模块认证。
该步骤中,由于每个主机的MAC地址是唯一,所以将MAC地址作为接入用户的用户名,和电路信息一起填入到认证请求信息中,再送到接入服务器的AAA模块进行认证。
步骤S106,AAA模块接收认证请求信息,并对认证请求信息进行认证,若认证通过,则进行步骤S107;否则,转入步骤S108。
该步骤中,AAA模块对认证请求信息进行认证,根据用户的配置类型分两种情况进行:
1)当用户是在本地配置的用户时,则以接入服务器本地认证;
2)当用户是在Radius服务器上配置的用户时,则组织认证请求信息通过Radius协议到Radius服务器上认证。
无论是在本地配置的用户还是在Radius服务器上配置的用户,用户名(MAC地址)和电路信息要绑定,通过SVLAN(Stack-VLAN,可堆叠虚拟局域网)技术可以保证用户的电路信息的唯一。
步骤S107,接入服务器会跟DHCP客户端完成整个DHCP的交互,此时用户接入网络,可以上线。
步骤S108,返回,不给DHCP客户端任何回应。
上述步骤都是以时间为顺序的,有先后依存关系。由于本发明只需MAC地址和电路信息作为认证请求信息,而很多客户端可以对主机的MAC做修改,所以电路信息的唯一是安全的重要保证,这样可以防止用户窃取到用户MAC地址而非法接入。
如图2所示,是本发明基于DHCP协议的IP接入的装置结构图。该装置100包括:用户终端10、DHCP客户端20、接入设备30、接入服务器40。
用户终端10请求IP地址,通过DHCP客户端20,向接入服务器40发送DHCP Discovery报文,当该报文通过接入设备30(如接入交换机或是DSLAM设备)时,接入设备30在该报文的Option 82选项中填写相关电路信息。
接入服务器40检查收到DHCP Discovery报文后,将该报文中Option 61信息中的MAC地址,及Option 82选项中的电路信息读出来,将MAC地址作为用户名,和电路信息一起填入到认证请求信息中,再将认证请求信息送到接入服务器40的AAA模块41进行认证。
接入服务器40的AAA模块41收到认证请求信息后,分两种情况:
1)当用户是在本地配置的用户时,则接入服务器本地认证;
2)当用户是在Radius服务器上配置的用户时,则组织认证请求信息通过Radius协议到Radius服务器上认证。
无论是在本地配置的用户还是在Radius服务器上配置的用户,用户名(MAC地址)和电路信息要绑定,通过SVLAN技术可以保证用户的电路信息的唯一。
当AAA模块41对认证请求信息认证通过后,接入服务器40会跟DHCP客户端20完成整个DHCP的交互,此时用户就可以接入到网络中。
本发明通过将MAC地址和电路信息作为认证请求信息,因为电路信息的唯一性,所以有了安全的重要保证,从而可以有效防止用户窃取到用户MAC地址而非法接入。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种基于DHCP协议的IP接入的方法,其特征在于,包括:
步骤一,用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;
步骤二,所述接入服务器接收由接入设备转发的DHCP发现报文,读出转发DHCP发现报文中的MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息;
步骤三,所述接入服务器对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。
2.根据权利要求1所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤二中,进一步包括:
所述接入设备将所述电路信息填写在所述转发DHCP发现报文的Option82选项中的步骤。
3.根据权利要求2所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤二中,进一步包括:
所述接入服务器判断所述转发DHCP发现报文中是否携带Option 61,若是,则从所述Option 61中读出所述MAC地址,从所述Option 82选项读出所述电路信息;否则不回应所述DHCP客户端。
4.根据权利要求1、2或3所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤三中,进一步包括:
所述接入服务器通过认证/授权/计费模块对所述认证请求信息进行认证的步骤。
5.根据权利要求4所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤三中,进一步包括:
所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同方式进行认证的步骤。
6.根据权利要求5所述的基于DHCP协议的IP接入的方法,其特征在于,所述步骤三中,进一步包括:
当所述用户是在本地配置的用户时,则所述认证/授权/计费模块进行接入服务器本地认证;或
当所述是在Radius服务器上配置的用户时,则所述认证/授权/计费模块组织认证请求信息通过Radius协议到Radius服务器上认证。
7.一种基于DHCP协议的IP接入的装置,包括用户终端、DHCP客户端向、接入设备、接入服务器,其特征在于,所述用户终端通过DHCP客户端向接入服务器发送DHCP发现报文;所述接入设备转发所述DHCP发现报文至所述接入服务器;
所述接入服务器接收转发DHCP发现报文,从所述转发DHCP发现报文中读出MAC地址和电路信息,将所述MAC地址作为用户名与所述电路信息填入至认证请求信息,对所述认证请求信息进行认证,并在认证通过后与所述DHCP客户端完成DHCP交互,所述用户终端接入网络。
8.根据权利要求7所述的基于DHCP协议的IP接入的装置,其特征在于,所述接入设备为接入交换机或DSLAM设备。
9.根据权利要求7或8所述的基于DHCP协议的IP接入的装置,其特征在于,还包括:认证/授权/计费模块,设置于所述接入服务器上,用于对所述认证请求信息进行认证。
10.根据权利要求9所述的基于DHCP协议的IP接入的装置,其特征在于,所述认证/授权/计费模块根据用户的配置类型对所述认证请求信息以不同方式进行认证:
当所述用户是在本地配置的用户时,则进行接入服务器本地认证;或
当所述是在Radius服务器上配置的用户时,则组织认证请求信息通过Radius协议到Radius服务器上认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810057508XA CN101227481A (zh) | 2008-02-02 | 2008-02-02 | 一种基于dhcp协议的ip接入的方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810057508XA CN101227481A (zh) | 2008-02-02 | 2008-02-02 | 一种基于dhcp协议的ip接入的方法及其装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101227481A true CN101227481A (zh) | 2008-07-23 |
Family
ID=39859231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200810057508XA Pending CN101227481A (zh) | 2008-02-02 | 2008-02-02 | 一种基于dhcp协议的ip接入的方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101227481A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888389A (zh) * | 2010-07-19 | 2010-11-17 | 中国电信股份有限公司 | 一种实现icp联盟统一认证的方法和系统 |
CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
CN101447879B (zh) * | 2009-01-13 | 2011-09-28 | 杭州华三通信技术有限公司 | 一种计费的方法及接入设备 |
CN102480399A (zh) * | 2010-11-30 | 2012-05-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
CN101600001B (zh) * | 2009-06-29 | 2013-01-16 | 中兴通讯股份有限公司 | 基于动态主机分配协议的配置信息的获取方法和装置 |
CN103354550A (zh) * | 2013-07-03 | 2013-10-16 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
CN103457769A (zh) * | 2013-08-28 | 2013-12-18 | 福建星网锐捷网络有限公司 | 用户信息管理方法及设备 |
CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
WO2014110984A1 (zh) * | 2013-01-17 | 2014-07-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
CN104780233A (zh) * | 2014-01-14 | 2015-07-15 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
CN106412904A (zh) * | 2016-11-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
CN114050910A (zh) * | 2021-09-24 | 2022-02-15 | 新华三大数据技术有限公司 | 一种终端授权方法、装置、系统、设备及可读存储介质 |
-
2008
- 2008-02-02 CN CNA200810057508XA patent/CN101227481A/zh active Pending
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101447879B (zh) * | 2009-01-13 | 2011-09-28 | 杭州华三通信技术有限公司 | 一种计费的方法及接入设备 |
CN101600001B (zh) * | 2009-06-29 | 2013-01-16 | 中兴通讯股份有限公司 | 基于动态主机分配协议的配置信息的获取方法和装置 |
CN101888389A (zh) * | 2010-07-19 | 2010-11-17 | 中国电信股份有限公司 | 一种实现icp联盟统一认证的方法和系统 |
CN101888389B (zh) * | 2010-07-19 | 2013-04-17 | 中国电信股份有限公司 | 一种实现icp联盟统一认证的方法和系统 |
CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
CN102480399A (zh) * | 2010-11-30 | 2012-05-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
CN102480399B (zh) * | 2010-11-30 | 2015-09-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
WO2014110984A1 (zh) * | 2013-01-17 | 2014-07-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
CN103354550A (zh) * | 2013-07-03 | 2013-10-16 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
CN103457769A (zh) * | 2013-08-28 | 2013-12-18 | 福建星网锐捷网络有限公司 | 用户信息管理方法及设备 |
CN104780233A (zh) * | 2014-01-14 | 2015-07-15 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
CN104780233B (zh) * | 2014-01-14 | 2018-07-27 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
CN107086981B (zh) * | 2016-02-16 | 2021-07-09 | 爱特梅尔公司 | 受控安全代码认证 |
CN106412904A (zh) * | 2016-11-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN106412904B (zh) * | 2016-11-28 | 2021-01-19 | 华讯高科股份有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN114050910A (zh) * | 2021-09-24 | 2022-02-15 | 新华三大数据技术有限公司 | 一种终端授权方法、装置、系统、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101227481A (zh) | 一种基于dhcp协议的ip接入的方法及其装置 | |
US8125980B2 (en) | User terminal connection control method and apparatus | |
CN100388739C (zh) | 实现dhcp地址安全分配的方法及系统 | |
KR100738526B1 (ko) | 다중 영구가상회선 접속환경을 위한 중간 인증관리 시스템및 그 방법 | |
US7895665B2 (en) | System and method for detecting and reporting cable network devices with duplicate media access control addresses | |
CN101127600B (zh) | 一种用户接入认证的方法 | |
TW499803B (en) | Broadband multi-service proxy server system and method of operation for internet services of user's choice | |
CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
KR101971167B1 (ko) | 이주자에 의해 야기된 코어 네트워크 트래픽의 감소 | |
CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
CN101395852B (zh) | 针对网络中设备实现配置管理的方法及系统 | |
CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
WO2001031470A1 (en) | Efficient member authentication and authorization for a tree-based reliable multicast data distribution setup | |
US8260941B2 (en) | System and method for detecting and reporting cable modems with duplicate media access control addresses | |
US20090077635A1 (en) | Method, apparatus and system for network service authentication | |
CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
US7386879B1 (en) | Broadcast network with interactive services | |
CN103067407B (zh) | 用户终端接入网络的认证方法及装置 | |
CN101163085A (zh) | 一种CDMA 1x LNS负载均衡的实现方法及系统 | |
CN101184099A (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
KR100714368B1 (ko) | 인증 서버와 연동되는 ip 주소 관리 시스템 | |
CN101184100A (zh) | 基于动态主机配置协议的用户接入认证方法 | |
CN101436969A (zh) | 网络接入方法、装置及系统 | |
JP5715030B2 (ja) | アクセス回線特定・認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080723 |