CN101340287A - 一种网络接入认证方法及系统和装置 - Google Patents
一种网络接入认证方法及系统和装置 Download PDFInfo
- Publication number
- CN101340287A CN101340287A CNA200710138938XA CN200710138938A CN101340287A CN 101340287 A CN101340287 A CN 101340287A CN A200710138938X A CNA200710138938X A CN A200710138938XA CN 200710138938 A CN200710138938 A CN 200710138938A CN 101340287 A CN101340287 A CN 101340287A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- authentication
- message
- dhcp client
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络接入认证方法,该方法包括以下步骤:接入认证者接收动态主机配置协议客户端发送的发现报文,通过与动态主机配置协议服务器交互信息,为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息;根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;认证成功后,由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。本发明还公开了一种网络接入系统、接入认证装置及接入控制器,通过实施本发明实施例,实现了认证过程的稳定性。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种网络接入认证方法及系统和装置。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)是一种动态指定IP地址和配置参数的机制,主要用于大型网络环境和网络配置比较困难的地方。DHCP系统主要包括DHCP服务器(DHCP Server)和DHCP客户端(DHCP Client),有些系统也包括DHCP认证服务器。DHCP服务器自动为DHCP客户端指定IP地址,通过指定的配置参数使得网络上的计算机通信变得更加方便和易于实现。所有的配置信息都通过DHCP服务器来统一管理,通过DHCP服务器分配IP地址并配置其它大量的参数信息,以及对IP地址进行租期管理,实现IP地址的分时复用等诸多优点,在网络环境中已经得到了广泛的应用。
在DHCP系统中,所有的IP网络设定的资料都由DHCP服务器集中管理,并负责处理DHCP客户端的要求,而DHCP客户端则会使用从DHCP分配下来的IP环境资料。图1示出了现有的DHCP认证流程图,其中该DHCP认证流程图的系统图包含了DHCP客户端、DHCP服务器以及认证服务器(AuthenticationServer,AS)。DHCP客户端为网络中利用DHCP协议来获取配置参数如IP地址的主机,即客户的主机或者其他能够获取IP地址的设备。DHCP服务器用于提供DHCP服务,根据不同DHCP客户端提供IP地址或其他网络相关参数,一般存在于路由器、三层交换机或者专门的DHCP服务器中。AS负责对DHCP客户端提供的认证材料进行检验,并向DHCP客户端返回认证的结果。图1示出了现有技术中DHCPv4消息与DHCP选项(Option)的功能组合,其中Option允许厂商定义以提供更多的设定咨询,下面结合图1和表1来详细说明图1中DHCP认证的过程:
| DHCPv4消息 | EAP消息 | 功能描述 |
| DHCP Discover(auth-proto Option) | - | 1.通过广播请求DHCP服务器和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP Client→DHCP服务器 |
| DHCPAuth-response(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP Client→DHCP服务器 |
| DHCP Auth-request(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP服务器→DHCP Client |
| DHCP Offer(EAP-MessageOption) | EAPSuccess/Failure | 1.可配置网络参数,如用户IP地址;2.携带相应的EAP消息。发送方向:DHCP服务器→DHCP Client |
表1
步骤S101:DHCP客户端所在的用户终端进入网络时,广播动态主机配置协议的发现报文(DHCP Discover)给DHCP服务器,并发送的消息表明DHCP客户端支持的认证模式。
步骤S102:DHCP服务器在接收到DHCP Discover报文之后在DHCP认证请求(DHCP Auth-request)中携带可扩展认证协议(Extensible AuthenticationProtocol,EAP)消息,并将携带了EAP消息的DHCP认证请求发送给DHCP客户端进入认证过程;
步骤S103:DHCP客户端在收到DHCP Auth-request消息之后,DHCP客户端发送DHCP认证回复(Auth-response)中携带的EAP消息给DHCP服务器;
步骤S104:DHCP服务器将DHCP客户端的EAP消息封装在认证、授权和计费(Authentication,Authorization and Accounting,AAA)消息中发送给AS(Authentication Server,AS);
步骤S105:AS通知DHCP服务器认证的结果,认证成功则利用AAA协议携带EAP成功(success)消息发送给DHCP服务器;
步骤S106:DHCP服务器构造DHCP Offer消息携带EAP success消息给DHCP客户端,其包括预分配给DHCP客户端的IP地址项(your ip address,yiaddr)数据报文;
步骤S107:DHCP收到DHCP Offer消息后,向DHCP服务器返回请求配置参数或请求配置参数的确认消息DHCP request;
步骤S108:DHCP服务器向DHCP客户端返回一个地址分配回应消息DHCPACK。
在实施该方案的过程中,因在认证过程中需要将相应的EAP消息携带在DHCP服务器和AS的协议中,致使DHCP服务器和AS之间的处理流程发生改变,需要对DHCP服务器和AS进行相应的改造才能支持相应的认证功能,增加了相应的运营成本。另外,在实施该流程图1的过程中,只有在DHCP客户端处分配了一个静态的IP地址之后,本方案中的认证过程才能进行,在动态IP分配过程中,认证过程开始之前用户是没有IP地址的,则步骤S102开始的认证过程是没有办法进行的。
发明内容
鉴于上述现有技术所存在的问题,本发明实施例提供了一种网络接入认证方法及系统和装置。通过在认证系统中设置接入认证者,在认证的过程中,针对不同的DHCP客户端通过DHCP接入认证者配置相应的配置参数实现认证过程,从而不需要对DHCP服务器进行相应的改造从而能够进行认证过程。
为了解决上述技术问题,本发明实施例提出了一种网络接入认证方法,包括:
接入认证者接收动态主机配置协议客户端发送的发现报文,通过与动态主机配置协议服务器交互信息,为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息;根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;认证成功后,由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。
相应的,本发明实施例还提出了一种网络接入认证系统,包括:
用于为动态主机配置协议客户端提供包括网络地址的配置信息的动态主机配置协议服务器;
用于提供认证服务的认证服务器;
接入认证者,用于在接收动态主机配置协议客户端发送的发现报文后,通过与所述动态主机配置协议服务器交互信息为动态主机配置协议客户端提供包括第一网络地址的第一配置信息,并利用所述第一配置信息与所述认证服务器交互信息以对所述动态主机配置协议客户端进行认证,其中,认证成功后,由所述动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。
相应的,本发明实施例还公开了一种接入认证装置,包括:
第一处理模块,用于接收动态主机配置协议客户端发送的发现报文后,与动态主机配置协议服务器交互信息,生成所述动态主机配置协议客户端的第一配置信息;
认证模块,用于根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;
第二处理模块,用于在认证成功后,与动态主机配置协议服务器交互信息,生成所述客户端会话过程使用的第二配置信息。
相应的,本发明实施例还公开了一种宽带接入设备,包括:
一个或多个用户接口,用于与一个或多个客户端交互信息;
一个或多个网络接口,用于与一个或多个网络设备交互信息;
接入认证处理模块,与用户接口和所述一个或多个网路接口相连,用于接收到来自动态主机配置协议客户端的发现报文后,通过网络接口与动态主机配置协议服务器交互信息,生成所述动态主机配置协议客户端的第一配置信息,利用所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证,认证成功后,与动态主机配置协议服务器交互信息,生成并向所述客户端返回会话过程使用的第二配置信息。
相应的,本发明实施例还公开了一种接入控制器,包括:
检测单元:用于对动态主机配置协议客户端发送的数据包或数据流进行监控;
数据过滤单元:用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。
实施本发明实施例,通过在网络中设置接入认证者,通过所述接入认证者代理相应的客户端进行认证过程,不需要对DHCP服务器进行特别的改造就能够配置相应的接入认证者对所述DHCP客户端进行相应的认证,在认证之前为客户端提供第一网络地址,从而提高了认证过程的稳定性,也提高了认证效率和成功率。在通过接入控制器实现了对客户端的数据面的监控,对数据流进行非加密接入过滤和加密接入过滤从而保证了数据流的安全性。
附图说明
图1是现有的DHCP认证流程图;
图2是本发明实施例中DHCP认证系统图;
图3是本发明实施例中DHCP认证中采用加密接入过滤的IP会话周期示意图;
图4是本发明实施例中DHCP认证中采用非加密接入过滤的IP会话周期示意图;
图5是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的流程图;
图6是本发明实施例中表3中DHCPv6版本首次DHCP认证成功的流程图;
图7是本发明实施例中表2中DHCPv4版本首次DHCP认证失败的流程图;
图8是本发明实施例中表3中DHCPv6版本首次DHCP认证失败的流程图;
图9是本发明实施例中表2中DHCPv4版本首次DHCP认证成功的简化流程图;
图10是本发明实施例中表2中DHCPv4版本DHCP重认证成功的流程图;
图11是本发明实施例中表4中DHCPv4版本首次DHCP认证成功的流程图;
图12是本发明实施例中表4中DHCPv4版本首次DHCP认证失败的流程图;
图13是本发明实施例中表4中DHCPv4版本首次DHCP认证成功的简化流程图;
图14是本发明实施例中表4中DHCPv4版本中通过DHCP客户端触发重认证成功的流程图;
图15是本发明实施例中表4中DHCPv4版本中通过DHCP认证者触发重认证成功的流程图;
图16是本发明实施例中DHCP认证成功后基于加密接入过滤的DHCP认证流程图;
图17是本发明实施例中DHCP认证成功后基于非加密接入过滤的DHCP认证流程图。
具体实施方式
本发明实施例提供了一种网络接入认证方法及网络接入系统和接入认证装置。通过在认证系统中设置DHCP认证者,在认证的过程中,针对不同的DHCP客户端找到相应的DHCP认证者进行代理认证过程,从而不需要对DHCP进行相应的改造,减少了运营成本。
下面结合附图详细说明本发明的优选实施例。
首先请参阅图2,图2示出了本发明实施例中的DHCP认证系统的系统图,引入携带和控制相分离的技术,该系统包括了接入网络上的多个DHCP客户端301、DHCP认证者302、认证服务器304、DHCP服务器303以及接入控制器305等,其中接入控制器305位于数据面,其他都处于控制面。
DHCP客户端(DHCP Client)301为DHCP认证的申请者,需要获得所述网络中的DHCP认证协议之后才能进入网络的访问,DHCP客户端301本身关联了相关的DHCP认证协议范围内的身份认证资料,DHCP客户端301可以是便携式电脑、个人数字助理、移动电话、个人台式电脑以及路由企等连入网络上的终端设备,DHCP客户端301需要通过相应模式下的DHCP认证者302所支持来完成客户端的认证过程。
DHCP认证者(DHCP Authenticator)302即为接入认证者,DHCP认证者302在网络中根据需求可设置多个,在DHCP认证过程中通过与所支持相应的DHCP客户端301进行DHCP认证协议交互,在接收来自动态主机配置协议客户端301的发现报文后,通过与所述DHCP服务器303交互信息为动态主机配置协议客户端提供一个临时的IP地址,并利用所述临时的IP地址与所述认证服务器交互信息以对所述动态主机配置协议客户端进行认证,通过代理DHCP客户端301与认证服务器304进行AAA认证协议等交互,并为DHCP客户端301提供接入认证和授权,在为其还可以通过建立或解除访问授权来对DHCP客户端301中的接入访问的控制状态进行更新,通过DHCP认证者302也实现了在DHCP认证中的中继过程。在位于网络的IP边缘节点处,DHCP认证者可以是宽带接入服务器(Broadband Access Server,BRAS)或网络中的网关设备(BNG),或者是其它接入设备。其中DHCP认证者302可以与认证服务器304在实际的构造设备过程中可以合成一个单元进行认证服务。
在DHCP认证者302中设有第一处理模块,用于接收到来自动态主机配置协议客户端的发现报文后,与动态主机配置协议服务器交互信息,生成所述动态主机配置协议客户端的第一配置信息;认证模块,用于根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;第二处理模块,用于在认证成功后,与动态主机配置协议服务器交互信息,生成所述客户端会话过程使用的第二配置信息;重认证模块,用于在所述会话过程中,对所述动态主机配置协议客户端进行重认证过程。
DHCP服务器(DHCP Server)303根据DHCP客户端301发送的请求通过DHCP协议为DHCP客户端301提供动态主机等相关的配置服务。认证服务器304用于负责DHCP客户端301提供的认证材料进行检验,并向DHCP客户端301返回检验的结果以及授权的参数,它可以和DHCP认证者302位于同一节点中,通过应用程序接口(Application Programming Interface,API)进行数据的传递,也可以是网络中专门提供的认证服务器,如果DHCP认证者302和认证服务器304不在同一个网络节点中,则需要依靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证过程中的数据交互。
接入控制器(Access Controller,AC)305用于对出入DHCP客户端301设备的数据包或数据流信息进行监控,并根据从DHCP认证者302处获得的接入控制策略来对数据包或数据流信息进行非加密或加密接入过滤,AC305对数据流的过滤可以发生在链路层,也可以发生在网络层或以上层中。通常AC305位于DHCP客户端301和DHCP认证者302中之间的链路上。若网络底层缺乏安全保障,则必须采用加密接入过滤方式,DHCP客户301与AC305之间需要建立安全联盟,安全联盟建立可采用因特网密钥交换协议(Internet Key Exchange,IKE)协议,或采用802.11i的安全联盟建立的四次握手协议(4WHS协议),或采用802.16的安全联盟建立的三次握手协议(3WHS协议);在完成安全联盟建立后,可采用链路层或网络层加密协议进行数据流的安全保护,加密可采用网络安全协议(IP Security Protocol IP,IPSec)协议,或802.11i链路层加密协议,或802.16链路层加密协议。若DHCP认证者302和AC305位于同一节点,则它们之间仅需API相互通信即可,否则,则需要第二层控制协议(Layer 2 ControlProtocol,L2CP)或简单网络管理协议(Simple Network Management Protocol,SNMP)协议。其中AC305中相应的设有检测单元和数据过滤单元,其中:检测单元用于对客户端发送的数据包或数据流进行监控;数据过滤单元用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。这里,由于接入认证者302与DHCP服务器和认证服务器相连,由接入认证者302给接入控制器305提供控制策略等相关信息,信息获取更新更方便灵活。当然,对DHCP客户端301数据或数据流的监控、加密接入过滤或非加密接入过滤的功能也可以在其它网络接入设备中实现。
另外,在DHCP客户端301进行IP会话的过程中,DHCP客户端301是通过租期来约定IP会话时间的,DHCP服务器303允许DHCP客户端301在某个指定的时间内使用某个IP地址,在IP会话的过程中,DHCP服务器303和DHCP客户端301都可以随时中止租用。当DHCP客户端301租用期达到50%以上时,可以更新租用期,在重新更新租期的过程中需要进行重认证的过程对DHCP客户端301重新分配IP地址。
DHCP认证过程中对应的IP会话生命周期如图3和4所示,图3示出了DHCP认证中采用加密接入过滤的IP会话周期,图4示出了DHCP认证中采用非加密接入过滤的IP会话周期,一个DHCP认证对应的IP会话包括五个不同的阶段:
(1)发现和握手阶段:在这个阶段发起一个新的IP会话。DHCP客户端可以通过向特定的DHCP认证者发送请求广播来发现DHCP认证者。DHCP认证者通过发送响应广播应答来开始一个新的会话。
(2)认证和授权阶段:在发现和握手阶段之后,认证消息开始在DHCP认证者和DHCP客户端之间传递。DHCP消息携带的EAP负载包含了EAP认证的各种方法,它主要用来做DHCP客户端的认证。在这个阶段,可能要执行两次EAP认证,一次是为网络访问提供商(NAP),另一次是为互联网服务提供商(ISP)。DHCP认证者在这个阶段的末尾把认证和授权结果传递给DHCP客户端。
(3)访问阶段:在认证和授权成功后,DHCP客户端主机就可以访问网络了,它发送和接收的IP数据就可以通过AC的检查了。另外,在这个阶段的任何时刻,DHCP客户端和DHCP认证者都可以发送IP会话测试数据来检查各自对端的IP会话的存活状态。
(4)重新认证阶段:在IP会话期,可以通过再次执行EAP认证来从访问阶段进入重新认证阶段。在重新认证成功后,返回访问阶段并延长当前IP会话期,否则,IP会话将被删除。重新认证由DHCP认证者发起,由DHCP客户端或是DHCP认证者触发。
(5)终止阶段:在任何时候,DHCP客户端或是DHCP认证者都可以发送给对方明确的连接断开消息(如DHCP释放消息)来中止IP会话,从而结束访问服务。倘若是没有发送断开消息就中止了连接,可能是IP会话期期满,或IP会话状态检测失败。
以下结合图3和图4中的IP会话周期来详细描述DHCP的整个认证的过程。由于根据网络IP地址选择应用的不同,根据IPv4版本和IPv6版本其所对应的DHCP协议版本分别为DHCPv4版本和DHCPv6版本。表2示出了DHCPv4消
| DHCPv4消息 | EAP消息 | 功能描述 |
| DHCP Discover(auth-proto Option) | - | 1.通过广播请求DHCP认证者和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP Client→DHCP认证者 |
| DHCP Offer(auth-proto Option) | - | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP认证者→DHCPClient |
| DHCP Request(auth-proto Option) | - | 1.包含DHCP认证者支持的认证模式及其所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者;发送方向:DHCP Client→DHCP认证者 |
| DHCP Offer(auth-proto Option,EAP-Message | EAPRequest/Identity | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式; |
| DHCPv4消息 | EAP消息 | 功能描述 |
| Option) | auth-proto Option为可选;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关;3.携带相应的EAP消息。发送方向:DHCP认证者→DHCPClient | |
| DHCP Request(EAP-MessageOption) | EAP Request/Response | 1.包含DHCP认证者所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者;2.携带相应的EAP消息。发送方向:DHCP Client→DHCP认证者 |
| DHCP Inform(EAP-MessageOption) | EAP Request/Response | 1.携带相应的EAP消息,用于DHCPClient已静态配置了IP地址。2.发送方向:DHCP Client→DHCP认证者 |
| DHCP Ack(EAP-MessageOption) | EAP Request/Response/Success | 1.可配置网络参数,如用户IP地址(yiaddr);2.携带相应的EAP消息。发送方向:DHCP认证者→DHCPClient |
| DHCP Nack(EAP-MessageOption) | EAP Failure | 携带相应的EAP消息。发送方向:DHCP认证者→DHCPClient |
| DHCP Release | - | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP Client→DHCP认证者 |
表2
息与DHCP选项(Option)的功能组合表,下面结合图5来详细说明其DHCP首次认证成功的第一流程图,其包括以下步骤:
步骤S701:当DHCP客户端接入网络时,向DHCP客户端接入的网络发送一个DHCP发现报文消息(Discover)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器,并通过协议中的选项表明其支持的认证模式;
如果AC和DHCP认证者不在同一个物理层,则需要通过AC将接收到的DHCP Discover消息转发给相应的DHCP认证者。
步骤S702:DHCP认证者收到DHCP Discover消息后,将此消息转发到DHCP服务器;
步骤S703:DHCP服务器检查DHCP Discover的参数,并回应一个地址分配服务确认消息(DHCP Offer),为DHCP客户端提供一个未租借的IP地址和其他相关的DHCP配置信息,比如相关的子网掩码和缺省网关;
步骤S704:DHCP认证者收到DHCP Offer消息后,在选项中添加表明DHCP认证者支持的认证模式,并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址,并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址,然后向DHCP客户端转发DHCP Offer消息;
步骤S705:DHCP客户端在收到DHCP Offer消息后,则具有了一个临时的局部IP地址,其向DHCP认证者发送地址分配请求消息(DHCP Request)来响应其已经收到DHCP Offer消息,其DHCP Request消息中表明了其选择了能够支持相应认证模式的DHCP认证者并接收了DHCP认证者所提供的局部IP地址;
步骤S706:DHCP认证者收到地址DHCP Request消息后,向DHCP客户端发送含有身份查询的EAP-Request/Identity消息,该EAP-Request/Identity消息通过地址分配回应(DHCPAck)消息携带,并下发一个仅供DHCP客户端使用的“假租期”,该“假租期”用于使DHCP客户端能迅速响应EAP消息,并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端;
需要说明的是,在认证过程中DHCP认证者在每收到地址分配请求消息后,会通过DHCPAck消息携带的EAP消息定下一个仅供DHCP客户端认证使用的“假租期”。在DHCP客户端每收到DHCP Ack消息后,会根据“假租期”重新设置定时器T1和定时器T2,当定时器T1或定时器T2设定的时间到期时,会重新触发DHCP地址分配请求消息更新“假租期”以携带EAP消息传递的时间。
步骤S707:DHCP客户端接收到含有EAP-Request/Identity消息的DHCP Ack消息之后,DHCP客户端根据“假租期”设定的定时器T1和定时器T2,在定时器T1到时间时返回DHCP客户端已经收到EAP-Request/Identity消息给DHCP认证者,如果在定时器T1设定的时间内完不成,则需要在定时器T2时间内完成返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者,所述EAP-Request/dentity消息是通过DHCP Request消息携带的;
步骤S708:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;
步骤S709:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互;DHCP客户端和DHCP认证者中的EAP消息是通过DHCP Request/Ack消息进行携带的;
步骤S710:DHCP认证者和AS采用AAA消息携带EAP消息进行交互;
步骤S709和步骤S710是同步进行EAP的认证方法(EAP Method)协商,以及认证方法交互的过程,对所述DHCP客户端的身份进行检查和验证,直到EAP认证过程结束。
步骤S711:AS通知DHCP认证者认证成功的结果;
步骤S708、步骤S710和步骤S711需要说明的是,DHCP认证者和AS如果在同一个网络节点上,则可以通过API进行数据之间的交互和传递;如DHCP认证代理服务和AS不再同一个网络节点中,则需要依靠如远程用户拨号认证系统RADIUS协议或RADIUS协议的升级版本的Diameter协议承载的AAA协议来进行认证之间的数据交互。
步骤S712:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCP Request消息携带发送给DHCP服务器;
步骤S713:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期,并向DHCP认证者通过DHCP Ack消息携带返回带有认证成功的EAP消息,其中,yiaddr为分配给用户的IP地址;
步骤S714:DHCP认证者收到带有认证成功的EAP消息后,重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCP Ack消息携带转发给DHCP客户端。
以上是对DHCPv4进行了详细的说明,下面以DHCPv6进行说明,请参阅表3中的DHCPv6消息与DHCP Option的功能组合,下面根据表3中的表格结
| DHCPv6消息 | EAP消息 | 功能描述 |
| DHCP Solicit(auth-proto Option) | - | 1.通过广播请求DHCP认证者和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP Client→DHCP认证者 |
| DHCP Advertise(auth-proto Option) | - | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP认证者→DHCPClient |
| DHCP Request(auth-proto Option) | - | 1.包含DHCP认证者支持的认证模式及其所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者;发送方向:DHCP Client→DHCP认证者 |
| DHCP Advertise(auth-proto Option,EAP-MessageOption) | EAPRequest/Identity | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;auth-proto Option为可选;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关;3.携带相应的EAP消息。发送方向:DHCP认证者→DHCPClient |
| DHCP Request(EAP-MessageOption) | EAP Request/Response | 1.DHCP认证者所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者; |
| DHCPv6消息 | EAP消息 | 功能描述 |
| 2.携带相应的EAP消息。发送方向:DHCP Client→DHCP认证者 | ||
| DHCP Reply(EAP-MessageOption) | EAP Request/Response/Success/Failure | 1.可配置网络参数,如用户IP地址;2.携带相应的EAP消息。发送方向:DHCP认证者→DHCPClient |
| DHCP Release | - | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP Client→DHCP认证者 |
表3
合图6中的流程图对DHCPv6认证过程进行说明:
步骤S801:当DHCP客户端接入网络时,向DHCP客户端接入的网络发送一个发现报文消息(DHCP Solicit消息)来表明选择提供认证授权服务的DHCP认证者和DHCP服务器,并通过协议中的选项表明其支持的认证模式;
如果AC和DHCP认证者不在同一个物理层,则需要通过AC将接收到的DHCP Solicit消息转发给相应的DHCP认证者。
步骤S802:DHCP认证者收到DHCP Solicit消息后,将此消息转发到DHCP服务器;
步骤S803:DHCP服务器检查DHCP Solicit的参数,并回应一个地址分配服务确认消息(DHCP Advertise),为DHCP客户端提供一个未租借的IP地址和其他相关的DHCP配置信息,比如相关的子网掩码和缺省网关;
步骤S804:DHCP认证者收到DHCP Advertise消息后,在选项中添加表明DHCP认证者支持的认证模式,并记录下DHCP服务器中可为DHCP客户端提供的未租借的IP地址,并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址,然后向DHCP客户端转发DHCPAdvertise消息;
步骤S805:DHCP客户端在收到DHCP Advertise消息后,则具有了一个临时的局部IP地址,其向DHCP认证者发送地址分配请求消息(DHCP Request)来响应其已经收到DHCP Advertise消息,其DHCP Request消息中表明了其选择了能够支持相应认证模式的DHCP认证者并接收了DHCP认证者所提供的局部IP地址;
步骤S806:DHCP认证者收到地址DHCP Request消息后,向DHCP客户端发送含有身份查询的EAP-Request/Identity消息,该EAP-Request/Identity消息通过地址分配回应(DHCP Reply)消息携带,并下发一个仅供DHCP客户端使用的“假租期”,该“假租期”用于使DHCP客户端能迅速响应EAP消息,并且预留有足够的时间用于DHCP认证者回复EAP认证消息给DHCP客户端;
步骤S807:DHCP客户端接收到含有EAP-Request/Identity消息的DHCPReply消息之后,返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者,所述EAP-Request/Identity消息是通过DHCP Request消息携带的;
步骤S808:DHCP认证者将收到的身份查询请求消息通过AAA协议携带发送给AS;
步骤S809:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互;DHCP客户端和DHCP认证者中的EAP消息是通过DHCP Request/Reply消息进行携带的;
步骤S810:DHCP认证者和AS采用AAA消息携带EAP消息进行交互;
步骤S809和步骤S810是同步进行EAP的认证方法(EAP Method)协商,以及认证方法交互过程,对所述DHCP客户端的身份进行检查和验证,直到EAP认证过程结束。
步骤S811:AS通知DHCP认证者认证成功的结果;
步骤S812:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCP Request消息携带发送给DHCP服务器;
步骤S813:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期,并向DHCP认证者通过DHCP Reply消息携带返回带有认证成功的EAP消息;
步骤S814:DHCP认证者收到带有认证成功的EAP消息后,重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCP Reply消息携带转发给DHCP客户端。
以上图5描述了在DHCPv4版本中首次认证成功的认证流程图,在DHCP认证的过程中,也会遇到首次认证的失败,下面结合图7和表2以及图5来描述在DHCPv4中首次认证失败的过程,由于在首次认证过程中,图7中的步骤S901至步骤S910过程与图5中的步骤S701至步骤S710相同,这里不再过多赘述,以下详细描述在AS认证失败后的步骤:
步骤S911:AS在认证失败后,AS则将DHCP认证失败消息(EAP failure消息)通过AAA消息携带发送给DHCP认证者;
步骤S912:DHCP认证者收到EAP failure消息后通过DHCP Nack消息携带转发给DHCP客户端。
以上图6描述了在DHCPv6版本中首次认证成功的认证流程图,在DHCP认证的过程中,也会遇到首次认证的失败,下面结合图8和表3以及图6来描述在DHCPv6中首次认证失败的过程,由于在首次认证过程中,图8中的步骤S801至步骤S810过程与图6中的流程相同,这里不再过多赘述,以下详细描述在AS认证失败后的步骤:
步骤S1011:AS在认证失败后,AS则DHCP认证失败消息(EAP faiilure)通过AAA消息携带发送给DHCP认证者;
步骤S1012:DHCP认证者收到EAP failure消息后通过DHCP Reply消息携带转发给DHCP客户端。
在实施本发明实施例的过程中,首次认证的过程中根据实际的需要可以简化流程,其结合图5和表2来说明首次DHCP认证简化发现阶段流程,其流程图如图9所示,其步骤S1201至S1203与图5中的步骤S701至S703相同,当在进行至步骤S1204时,DHCP认证者收到DHCP Offer消息后,直接在DHCPOffer消息中携带着向DHCP客户端发出的EAP-Request/Identity身份查询请求消息,并记录下可将DHCP服务器为DHCP客户端提供的为租借的IP地址,并将该IP地址替换为一个供DHCP客户端本地网使用的局部IP地址,然后向DHCP客户端转发DHCP Offer消息,进入步骤S1205至步骤S1212的认证过程,其步骤S1205至步骤S1212与图5中所述的步骤S707至步骤S714相同。
以此类推,可以在图7步骤中的S904步骤甲添加EAP-Request/Identity身份查询请求消息通过DHCP Offer消息携带发送给DHCP客户端直接进入步骤S907进行认证过程,在图6和图8中的步骤S804中添加EAP-Request/Identity身份查询请求通过DHCP Advertise消息携带发送给DHCP客户端直接进入步骤S807进行认证过程,这里不再过多赘述。
在DHCP客户端DHCP认证成功之后,在相应的IP会话租期到达时,需要进行重认证的过程来重新对DHCP客户端进行IP地址的分配,从而延长IP会话时间,在重认证的过程中省去了发现阶段,直接进行握手阶段,下面以DHCPv4版本表2结合流程图10来对重认证的过程进行描述,在步骤S1301中,DHCP客户端在会话租期将满或其他设置时,DHCP客户端在设定的时间内直接发送DHCP Request消息,其中包含DHCP认证者支持的认证模式及其所提供的IP地址,表明DHCP客户端已经选择能够支持相应认证模式的DHCP认证者,并接收了DHCP认证者提供的局部IP地址。在步骤S1302中认证者收到DHCPRequest消息后,其执行步骤与图5流程图中的步骤S706相同,直到整个成功认证过程的结束,步骤S1302至步骤S1310与图5流程图中的步骤S706至步骤S714相同。以此类推,在重认证的过程中也会遇到重认证失败时,这里我们不再赘述重认证失败的流程图,在重认证失败后,也可以根据DHCP客户端的配置参数再次进行发起认证的过程直到认证成功,这里不再赘述。
以此类推,DHCPv6版本中表3的DHCP消息在参与DHCP认证成功之后,在会话周期内进行的重认证过程也与DHCPv4版本中的重认证过程类似,在重认证过程中其执行的DHCP消息不同,这里不再过多赘述。
以上方法是通过在现有技术中不增加DHCPv4和DHCPv6中的消息,通过现有技术中增加的两个新的DHCP选项(Option),实现了不同组合中的不同功能本发明实施例中还可以通过现有增加的DHCP消息和新增加的DHCP Option来完成相应的DHCP认证的功能,如表4所示的DHCPv4消息与DHCP Option
| DHCPv4消息 | EAP消息 | 功能描述 |
| DHCP Discover(auth-proto Option) | - | 1.通过广播请求DHCP认证者和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP Client→DHCPAuthenticator |
| DHCP Offer(auth-proto Option) | - | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式; |
| DHCPv4消息 | EAP消息 | 功能描述 |
| 2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP Authenticator→DHCP Client | ||
| DHCP Request(auth-proto Option) | - | 1.包含DHCP认证者支持的认证模式及其所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者;发送方向:DHCP Client→DHCPAuthenticator |
| DHCP Offer(auth-proto Option,EAP-MessageOption) | EAPRequest/Identity | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;auth-proto Option为可选;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关;3.携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCPAuth-response(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP Client→DHCP Authenticator |
| DHCP Auth-request(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCP Ack(EAP-MessageOption) | EAP Success | 1.可配置网络参数,如用户IP地址;2.携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCP Nack(EAP-MessageOption) | EAP Failure | 携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCPv4消息 | EAP消息 | 功能描述 |
| DHCP Release | - | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP Client→DHCPAuthenticator |
表4
功能表和图5所示的DHCPv6消息与DHCP Option功能表。
| DHCPv6消息 | EAP消息 | 功能描述 |
| DHCP Solicit(auth-proto Option) | - | 1.通过广播请求DHCP认证者和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP Client→DHCPAuthenticator |
| DHCP Advertise(auth-proto Option) | - | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP Authenticator→DHCP Client |
| DHCP Request(auth-proto Option) | - | 1.包含DHCP认证者支持的认证模式及其所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证者;发送方向:DHCP Client→DHCPAuthenticator |
| DHCP Advertise(auth-proto Option,EAP-MessageOption) | EAPRequest/Identity | 1.每个DHCP认证者进行认证应答,表明DHCP认证者支持的认证模式;auth-proto Option为可选;2.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关; |
| DHCPv6消息 | EAP消息 | 功能描述 |
| 3.携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client | ||
| DHCPAuth-response(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP Client→DHCP Authenticator |
| DHCP Auth-request(EAP-MessageOption) | EAP Request/Response | 携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCP Reply(EAP-MessageOption) | EAPSuccess/Failure | 1.可配置网络参数,如用户IP地址;2.携带相应的EAP消息。发送方向:DHCP Authenticator→DHCP Client |
| DHCP Release | - | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP Client→DHCPAuthenticator |
表5
下面根据现有技术中DHCPv4版本表4中增加的DHCP消息和增加的新的DHCP Option来进行描述认证的流程图11,其步骤S1601至步骤S1605与图5所述的步骤S701至步骤S705相同,这里不再赘述,在进入步骤S1605之后的步骤中,其实现方法如下:
步骤S1606:DHCP认证者收到地址DHCP Request消息后,向DHCP客户端发送含有身份查询的EAP-Request/Identity消息,该EAP-Request/Identity消息通过地址分配回应(DHCP Auth-request)消息携带;
步骤S1607:DHCP客户端接收到含有EAP-Request/Identity消息的DHCPAuth-request消息之后,返回DHCP客户端已收到EAP-Request/Identity消息给DHCP认证者,所述EAP-Request/Identity消息是通过DHCP Auth-response消息携带的;
步骤S1608:DHCP认证者将收到的身份查询请求消息重新封装在AAA消息中发送给AS;
步骤S1609:DHCP客户端和DHCP认证者通过消息中携带的EAP消息进行交互;DHCP客户端和DHCP认证者中的EAP消息是通过DHCPAuth-request/response消息进行携带的;
步骤S1610:DHCP认证者和AS采用AAA消息携带EAP消息进行交互;
步骤S1609和步骤S1610是同步进行EAP的认证方法(EAP Method)协商,以及认证方法交互过程,对所述DHCP客户端的身份进行检查和验证,直到EAP认证过程结束。
步骤S1611:AS通知DHCP认证者认证成功的结果;
步骤S1612:DHCP认证者根据已记录下的DHCP服务器为DHCP客户端提供的未租借的IP地址构造消息通过DHCP Request消息携带发送给DHCP服务器;
步骤S1613:DHCP服务器根据DHCP认证者构造的消息中的参数为DHCP客户端分配一个全局IP地址和真正的租期,并向DHCP认证者通过DHCP Ack消息携带返回带有认证成功的EAP消息,其中,yiaddr为分配给用户的IP地址;
步骤S1614:DHCP认证者收到带有认证成功的EAP消息后,重新封装起为DHCP客户端分配的全局IP地址和真正的IP地址通过DHCP Ack消息携带转发给DHCP客户端。
这里通过DHCP Auth-response消息和DHCP Auth-request消息来携带相应的EAP消息和DHCP Option消息,以此类推,其认证过程失败的流程图如图12所述,认证的简化流程图过程如图13所述,这里不再赘述其步骤。
在引入DHCP Auth-response消息和DHCP Auth-request消息来携带相应的EAP消息和DHCP Option消息后,其在认证成功之后的会话周期内,可以通过DHCP客户端触发重认证过程,也可以由DHCP认证者触发重认证过程,由DHCP客户端触发重认证过程如图14所示,S1901客户端直接发送DHCPRequest消息,其中包含DHCP认证者支持的认证模式及其所提供的IP地址,表明DHCP客户端已经选择能够支持相应认证模式的DHCP认证者,并接收了DHCP认证者提供的局部IP地址,在认证者收到DHCP Request消息后从而进入步骤S1902进入身份认证的过程,图14所示的步骤S1902至步骤S1910与图11所述的步骤S1606至步骤S1614相同,这里不再赘述。
由客户端触发认证过程如图15所示,在步骤S2001中,DHCP认证成功之后的会话周期内,认证者向网络中的DHCP客户端发起认证请求,从而完成重认证的过程,图15所示的步骤S2001至步骤S2009与图11所述的步骤S1606至步骤S1614相同,这里不再赘述。
以上是对DHCPv4在增加了DHCP消息和Option后进行的说明,以此类推DHCPv6在表5中增加的DHCP消息和Option消息也能通过不同的DHCP消息携带完成上述的DHCP认证的过程,这里不再赘述。
通过上述不同版本的首次DHCP认证成功及简化版本的DHCP首次认证成功和DHCP重认证的成功,DHCP客户端能够接入网络中进行数据的访问,这里需要通过AC来检测DHCP客户端的数据流实现数据会话过程中的保密性,在此过程中DHCP客户端和DHCP认证者都可以发送IP会话测试数据,用于检测各自对方端口的IP会话的存活状态,以下图16详细描述了基于加密接入过滤的DHCP认证流程图,其具体步骤如下:
在认证成功之后DHCP认证者向DHCP客户端返回认证成功的消息同时,DHCP认证者与AC之间开始了步骤S2101;
步骤S2101:DHCP认证者向AC下发关于DHCP客户端的接入控制策略和授权密钥;
步骤S2102:AC收到关于DHCP客户端的接入控制策略和授权密钥之后,与DHCP客户端之间建立安全联盟,其安全联盟可以采用IKE协议或802.11i的4WHS协议,或采用802.16的3WHS协议;
步骤S2103:在完成DHCP客户端与AC的安全联盟建立后,可以采用链路层或网络层中的加密协议对数据流进行安全保护;
步骤S2104:AC对数据流进行加密接入过滤,滤出数据流中不正确安全保护的报文;
步骤S2105:当DHCP客户端整个IP会话结束时,DHCP客户端会向AS发起DHCP释放消息来中止IP会话;
当DHCP客户端处因为事故中断IP会话时,AC检测到DHCP客户端的IP会话的数据流中断后,则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。
步骤S2106:DHCP认证者收到DHCP释放消息后,会将释放消息转发给DHCP服务器,DHCP服务器会释放DHCP客户端的IP地址;
步骤S2107:DHCP认证者收到DHCP释放消息后,DHCP认证者通知AC解除DHCP客户端的接入控制策略和授权密钥。
以上是描述了DHCP认证成功后对数据流进行加密接入过滤,在本发明实施例中,也可以通过在认证成功之后通过AC监听认证成功中的success消息来对数据流进行非接入加密的过程,其具体流程图如图17所示,包括以下步骤:
步骤S2201:AC对DHCP消息进行监听,当其返回有认证成功的消息后,则对DHCP客户端的IP地址和物理地址(MAC地址)进行绑定;
步骤S2202:DHCP客户端通过所分配的IP地址发起数据流信息;
步骤S2203:AC对DHCP客户端发送的数据流信息进行非接入加密,滤出DHCP客户端IP地址与用户MAC地址不符合的数据报文;
步骤S2204:当DHCP客户端整个IP会话结束时,DHCP客户端会向AS发起DHCP释放消息来终止IP会话;
当DHCP客户端处因为事故中断IP会话时,AC检测到DHCP客户端的IP会话的数据流中断后,则会立即向DHCP认证者发送DHCP释放消息来告知DHCP认证者DHCP客户端已中止IP会话。
步骤S2205:当AC在监听到DHCP客户端释放IP消息或检测到IP会话链路的中断时,则会解除DHCP客户端IP地址和MAC地址的绑定;
步骤S2206:DHCP认证者向DHCP服务器转发DHCP释放消息,DHCP客户端根据收到的消息释放DHCP客户端的IP地址。
综上所述,通过在IP网络中设置多个认证者,通过所述认证者代理相应的DHCP客户端进行认证过程,不需要对DHCP服务器进行改造就能够配置相应的认证者对所述DHCP客户端进行相应的认证,通过在认证过程中配置临时的IP地址,解决了认证过程中不能进行认证会话的过程,从而实现了认证过程的稳定性,并也提高了认证效率和成功率。本发明实施例通过接入控制器的引入实现了控制面和数据面的分离,通过接入控制器很好的实现数据面的接入过滤,保证了数据面的安全性。通过重认证机制,能够在DHCP客户端认证的租期时间将完结时,重新发起认证过程,为DHCP客户端重新分配一个IP地址进行IP通话,重认证的过程可以通过DHCP客户端触发机制和DHCP认证者触发机制的两种重认证方式。本发明实施例中提供的认证方法通过不同的DHCP消息能够应用于IPv4中,也能实现在IPv6中。
以上所揭露的仅为本发明实施例中的一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (15)
1、一种网络接入认证方法,其特征在于,
接入认证者接收动态主机配置协议客户端发送的发现报文,通过与动态主机配置协议服务器交互信息,为所述动态主机配置协议客户端提供包括认证过程使用的第一网络地址的第一配置信息;根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;认证成功后,由动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。
2、根据权利要求1所述的网络接入认证方法,其特征在于,
所述动态主机配置协议客户端与接入认证者之间利用动态主机配置协议交互信息,所述交互的信息中至少部分信息包括可扩展认证协议消息。
3、根据权利要求1所述的网络接入认证方法,其特征在于,
所述接入认证者与所述认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息,所述交互的信息中至少部分信息包括可扩展认证协议消息。
4、根据权利要求1所述的网络接入认证方法,其特征在于,所述方法还包括:
在所述会话过程中,由所述动态主机配置协议客户端或接入认证者触发对所述动态主机配置协议客户端的重认证过程。
5、根据权利要求1所述的网络接入认证方法,其特征在于,所述方法还包括:
在所述会话过程中,对动态主机配置协议客户端发送的数据包或数据流进行监控,利用接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。
6、一种网络接入认证系统,其特征在于,包括:
用于为动态主机配置协议客户端提供包括网络地址的配置信息的动态主机配置协议服务器;
用于提供认证服务的认证服务器;
接入认证者,用于在接收动态主机配置协议客户端发送的发现报文后,通过与所述动态主机配置协议服务器交互信息为动态主机配置协议客户端提供包括第一网络地址的第一配置信息,并利用所述第一配置信息与所述认证服务器交互信息以对所述动态主机配置协议客户端进行认证,其中,认证成功后,由所述动态主机配置协议服务器为动态主机配置协议客户端提供包括会话过程使用的第二网络地址的第二配置信息。
7、根据权利要求6所述的网络接入认证系统,其特征在于,所述接入认证者为宽带接入服务器或网关设备。
8、根据权利要求6所述的网络接入认证系统,其特征在于,.所述网络接入认证系统还包括:
接入控制器,用于对客户端发送的数据包或数据流进行监控,利用接入认证者提供的控制策略对所述数据包或数据流信息进行非加密或加密接入过滤。
9、根据权利要求6所述的网络接入认证系统,其特征在于,
所述接入认证者与动态主机配置协议客户端之间利用动态主机配置协议交互信息,所述交互的信息中至少部分信息包括可扩展认证协议消息。
10、根据权利要求6所述的网络接入认证系统,其特征在于,所述接入认证者与认证服务器之间利用AAA协议或Radius协议或Diameter协议或API协议交互信息,所述交互的信息中至少部分信息包括可扩展认证协议消息。
11、根据权利要求8所述的网络接入认证系统,其特征在于,所述接入认证者与接入控制器之间利用API协议或L2CP协议或SNMP协议交互信息。
12、一种接入认证装置,其特征在于,包括:
第一处理模块,用于接收动态主机配置协议客户端发送的发现报文后,与动态主机配置协议服务器交互信息,生成所述动态主机配置协议客户端的第一配置信息;
认证模块,用于根据所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证;
第二处理模块,用于在认证成功后,与动态主机配置协议服务器交互信息,生成所述客户端会话过程使用的第二配置信息。
13、根据权利要求12所述的装置,其特征在于,所述装置还包括:
重认证模块,用于在所述会话过程中,对所述动态主机配置协议客户端进行重认证过程。
14、一种宽带接入设备,其特征在于,包括:
一个或多个用户接口,用于与一个或多个客户端交互信息;
一个或多个网络接口,用于与一个或多个网络设备交互信息;
接入认证处理模块,与用户接口和所述一个或多个网路接口相连,用于接收到来自动态主机配置协议客户端的发现报文后,通过网络接口与动态主机配置协议服务器交互信息,生成所述动态主机配置协议客户端的第一配置信息,利用所述第一配置信息与认证服务器交互信息以对所述动态主机配置协议客户端进行认证,认证成功后,与动态主机配置协议服务器交互信息,生成并向所述客户端返回会话过程使用的第二配置信息。
15、一种应用于权利要求6所述系统的接入控制器,其特征在于,包括:
检测单元:用于对动态主机配置协议客户端发送的数据包或数据流进行监控;
数据过滤单元:用于根据接入认证者提供的控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200710138938XA CN101340287A (zh) | 2007-07-02 | 2007-07-18 | 一种网络接入认证方法及系统和装置 |
| PCT/CN2008/071506 WO2009003409A1 (en) | 2007-07-02 | 2008-07-01 | A method, system and equipment for network access |
| EP08757898.5A EP2136508B1 (en) | 2007-07-02 | 2008-07-01 | A method and system for network access |
| US12/649,873 US20100107223A1 (en) | 2007-07-02 | 2009-12-30 | Network Access Method, System, and Apparatus |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710028951 | 2007-07-02 | ||
| CN200710028951.X | 2007-07-02 | ||
| CNA200710138938XA CN101340287A (zh) | 2007-07-02 | 2007-07-18 | 一种网络接入认证方法及系统和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101340287A true CN101340287A (zh) | 2009-01-07 |
Family
ID=40214250
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200710138938XA Pending CN101340287A (zh) | 2007-07-02 | 2007-07-18 | 一种网络接入认证方法及系统和装置 |
| CN2007101822200A Expired - Fee Related CN101340334B (zh) | 2007-07-02 | 2007-10-09 | 一种网络接入方法及系统和装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101822200A Expired - Fee Related CN101340334B (zh) | 2007-07-02 | 2007-10-09 | 一种网络接入方法及系统和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100107223A1 (zh) |
| EP (1) | EP2136508B1 (zh) |
| CN (2) | CN101340287A (zh) |
| WO (1) | WO2009003409A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977187A (zh) * | 2010-10-20 | 2011-02-16 | 中兴通讯股份有限公司 | 防火墙策略分发方法、客户端、接入服务器及系统 |
| WO2011107013A1 (zh) * | 2010-03-02 | 2011-09-09 | 华为技术有限公司 | 设备间安全接入方法和通信设备 |
| CN102318284A (zh) * | 2009-02-27 | 2012-01-11 | 华为技术有限公司 | 通过用于ipv6的动态主机配置协议(dhcpv6)扩展配置具有多个接口的主机的装置和方法 |
| CN103067333A (zh) * | 2011-10-18 | 2013-04-24 | 华为终端有限公司 | 验证机顶盒接入身份的方法和认证服务器 |
| CN103441876A (zh) * | 2013-08-23 | 2013-12-11 | 深圳市华讯方舟科技有限公司 | 一种基于dhcp协议和snmp协议的网络设备管理方法及系统 |
| CN103618717A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 多账户客户信息的动态认证方法、装置和系统 |
| CN104380774A (zh) * | 2012-11-22 | 2015-02-25 | 华为技术有限公司 | 网元接入方法、系统及设备 |
| CN104519547A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN104519546A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN104519513A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
| CN107438113A (zh) * | 2017-07-04 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种通过动态主机配置协议进行重定向的方法与系统 |
| CN107872445A (zh) * | 2016-09-28 | 2018-04-03 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026160A (zh) * | 2009-09-21 | 2011-04-20 | 中兴通讯股份有限公司 | 一种移动回程网安全接入的方法和系统 |
| US8918856B2 (en) * | 2010-06-24 | 2014-12-23 | Microsoft Corporation | Trusted intermediary for network layer claims-enabled access control |
| CN101909058B (zh) * | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
| CN101902507B (zh) * | 2010-08-02 | 2013-01-23 | 华为技术有限公司 | 一种地址分配方法、装置和系统 |
| KR20120072032A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 모바일 단말의 상호인증 시스템 및 상호인증 방법 |
| IL212344A (en) * | 2011-04-14 | 2015-03-31 | Verint Systems Ltd | A system and method for selectively controlling encrypted traffic |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
| US9166949B2 (en) * | 2012-06-07 | 2015-10-20 | Qlicket Inc. | Method and system of managing a captive portal with a router |
| CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
| EP2890052A1 (en) * | 2013-12-27 | 2015-07-01 | Telefonica S.A. | Method and system for dynamic network configuration and access to services of devices |
| US20150237003A1 (en) * | 2014-02-18 | 2015-08-20 | Benu Networks, Inc. | Computerized techniques for network address assignment |
| US10374819B2 (en) | 2014-09-19 | 2019-08-06 | Xiaomi Inc. | Methods and devices of accessing wireless network |
| CN105357485A (zh) * | 2015-11-20 | 2016-02-24 | 武汉微创光电股份有限公司 | 一种网络视频监控中网络设备接入认证方法 |
| CN106067857B (zh) * | 2016-08-10 | 2020-05-08 | 新华三技术有限公司 | 一种防止用户被强制下线的方法及装置 |
| IL248306B (en) | 2016-10-10 | 2019-12-31 | Verint Systems Ltd | System and method for creating data sets for learning to recognize user actions |
| US10389681B2 (en) * | 2017-05-19 | 2019-08-20 | Dell Products L.P. | Auto discovery of network elements by defining new extension in DHCP options for management server IP addresses |
| JP7070094B2 (ja) * | 2018-05-28 | 2022-05-18 | ブラザー工業株式会社 | 通信装置のためのコンピュータプログラムと通信装置 |
| EP3942740A1 (en) | 2019-03-20 | 2022-01-26 | Verint Systems Ltd. | System and method for de-anonymizing actions and messages on networks |
| WO2021007166A1 (en) * | 2019-07-08 | 2021-01-14 | Arris Enterprises Llc | Remote factory reset of an electronic device |
| EP4192063A4 (en) * | 2020-08-20 | 2024-03-27 | Huawei Technologies Co., Ltd. | ACCESS MANAGEMENT METHOD, AUTHENTICATION POINT AND AUTHENTICATION SERVER |
| CN114554570A (zh) * | 2020-11-19 | 2022-05-27 | 中国电信股份有限公司 | 用户接入的控制方法、装置和系统 |
| CN114501445B (zh) * | 2022-01-06 | 2024-02-09 | 新华三技术有限公司合肥分公司 | 一种接入控制方法及装置 |
| CN115442256B (zh) * | 2022-08-05 | 2023-08-29 | 武汉思普崚技术有限公司 | 用于监听用户上下线的稳定性测试的方法及相关设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6966004B1 (en) * | 1998-08-03 | 2005-11-15 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
| CN100417127C (zh) * | 2002-04-10 | 2008-09-03 | 中兴通讯股份有限公司 | 一种基于动态主机配置协议的用户管理方法 |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| CN100539595C (zh) * | 2006-07-18 | 2009-09-09 | Ut斯达康通讯有限公司 | 一种基于dhcp扩展属性的ip地址分配方法 |
-
2007
- 2007-07-18 CN CNA200710138938XA patent/CN101340287A/zh active Pending
- 2007-10-09 CN CN2007101822200A patent/CN101340334B/zh not_active Expired - Fee Related
-
2008
- 2008-07-01 EP EP08757898.5A patent/EP2136508B1/en not_active Not-in-force
- 2008-07-01 WO PCT/CN2008/071506 patent/WO2009003409A1/zh active Application Filing
-
2009
- 2009-12-30 US US12/649,873 patent/US20100107223A1/en not_active Abandoned
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102318284A (zh) * | 2009-02-27 | 2012-01-11 | 华为技术有限公司 | 通过用于ipv6的动态主机配置协议(dhcpv6)扩展配置具有多个接口的主机的装置和方法 |
| CN102318284B (zh) * | 2009-02-27 | 2014-06-25 | 华为技术有限公司 | 通过用于ipv6的动态主机配置协议(dhcpv6)扩展配置具有多个接口的主机的装置和方法 |
| WO2011107013A1 (zh) * | 2010-03-02 | 2011-09-09 | 华为技术有限公司 | 设备间安全接入方法和通信设备 |
| US8826404B2 (en) | 2010-03-02 | 2014-09-02 | Huawei Technologies Co., Ltd. | Method and communication device for accessing to devices in security |
| CN101977187B (zh) * | 2010-10-20 | 2015-10-28 | 中兴通讯股份有限公司 | 防火墙策略分发方法、客户端、接入服务器及系统 |
| CN101977187A (zh) * | 2010-10-20 | 2011-02-16 | 中兴通讯股份有限公司 | 防火墙策略分发方法、客户端、接入服务器及系统 |
| CN103067333A (zh) * | 2011-10-18 | 2013-04-24 | 华为终端有限公司 | 验证机顶盒接入身份的方法和认证服务器 |
| CN103067333B (zh) * | 2011-10-18 | 2016-03-30 | 华为终端有限公司 | 验证机顶盒接入身份的方法和认证服务器 |
| CN104380774A (zh) * | 2012-11-22 | 2015-02-25 | 华为技术有限公司 | 网元接入方法、系统及设备 |
| CN104380774B (zh) * | 2012-11-22 | 2018-06-26 | 华为技术有限公司 | 网元接入方法、系统及设备 |
| CN103441876A (zh) * | 2013-08-23 | 2013-12-11 | 深圳市华讯方舟科技有限公司 | 一种基于dhcp协议和snmp协议的网络设备管理方法及系统 |
| CN103441876B (zh) * | 2013-08-23 | 2016-08-31 | 南京华讯方舟通信设备有限公司 | 一种基于dhcp协议和snmp协议的网络设备管理方法及系统 |
| CN104519547A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN104519546A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN104519513A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN104519547B (zh) * | 2013-09-30 | 2018-08-14 | 深圳市群云网络有限公司 | 一种基于无线局域网的通信方法及系统 |
| CN103618717A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 多账户客户信息的动态认证方法、装置和系统 |
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
| CN106254376B (zh) * | 2016-09-05 | 2019-10-11 | 新华三技术有限公司 | 一种认证协商方法及装置 |
| CN107872445A (zh) * | 2016-09-28 | 2018-04-03 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| CN107872445B (zh) * | 2016-09-28 | 2021-01-29 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| CN107438113A (zh) * | 2017-07-04 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种通过动态主机配置协议进行重定向的方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101340334A (zh) | 2009-01-07 |
| CN101340334B (zh) | 2011-11-09 |
| EP2136508A1 (en) | 2009-12-23 |
| EP2136508A4 (en) | 2010-05-05 |
| WO2009003409A1 (en) | 2009-01-08 |
| EP2136508B1 (en) | 2014-12-03 |
| US20100107223A1 (en) | 2010-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340334B (zh) | 一种网络接入方法及系统和装置 | |
| CN101977187B (zh) | 防火墙策略分发方法、客户端、接入服务器及系统 | |
| CN101442516A (zh) | 一种dhcp认证的方法、系统和装置 | |
| KR20130059425A (ko) | 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 | |
| CN101478576A (zh) | 选择服务网络的方法、装置和系统 | |
| CN101796796A (zh) | 网络和用于建立安全网络的方法 | |
| WO2009120221A1 (en) | Credential generation system and method for communications devices and device management servers | |
| CN101217482A (zh) | 一种穿越nat下发策略的方法和一种通信装置 | |
| CN101083660A (zh) | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| CN101197721B (zh) | 对用户终端进行网络配置的方法和装置 | |
| WO2019237683A1 (zh) | 一种协议报文以及虚拟客户终端设备的管理方法 | |
| CN103825901A (zh) | 一种网络访问控制方法及设备 | |
| WO2007028330A1 (fr) | Procede et systeme de distribution automatique d'un service au terminal d'acces ppp | |
| CN101436969B (zh) | 网络接入方法、装置及系统 | |
| CN101471934A (zh) | 动态主机配置协议中双向加密及身份鉴权的方法 | |
| KR20180081965A (ko) | 네트워크 서비스 장치 및 방법 | |
| CN101951380B (zh) | 轻量级双栈组网中的访问控制方法及其装置 | |
| WO2009012729A1 (fr) | Procédé, système et dispositif de conversion d'authentification d'accès à un réseau | |
| CN101527671A (zh) | 一种实现IPv6会话的方法、设备及系统 | |
| WO2011026341A1 (zh) | 一种移动ip业务的接入方法和系统 | |
| CN100596071C (zh) | 一种通过dhcp扩展实现会话控制和时长采集的方法 | |
| KR100454687B1 (ko) | 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법 | |
| JP2005012485A (ja) | インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法 | |
| Shankar et al. | A transparent key management scheme for wireless LANs using DHCP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090107 |