CN101436936A - 一种基于dhcp协议的接入认证方法及系统 - Google Patents
一种基于dhcp协议的接入认证方法及系统 Download PDFInfo
- Publication number
- CN101436936A CN101436936A CNA2008102412320A CN200810241232A CN101436936A CN 101436936 A CN101436936 A CN 101436936A CN A2008102412320 A CNA2008102412320 A CN A2008102412320A CN 200810241232 A CN200810241232 A CN 200810241232A CN 101436936 A CN101436936 A CN 101436936A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- authentication
- dynamic host
- configuration protocol
- host configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于DHCP协议的接入认证方法及系统,该方法包括以下步骤:a)DHCP客户端发送DISCOVER报文;b)DHCP服务器收到DISCOVER报文后,封装OFFER报文,在OFFER报文中选定的OPTION属性中插入识别信息并发送给DHCP客户端;c)DHCP客户端接收到OFFER报文后,根据识别信息将认证信息写入REQUEST报文中选定的OPTION属性中并发送给DHCP服务器;d)DHCP服务器对认证信息进行认证,对于通过认证的,DHCP服务器为其分配地址信息。本发明利用DHCP协议的报文中的一个OPTION属性,在该属性中插入认证信息,实现了在DHCP交互过程中的认证。
Description
技术领域
本发明涉及网络数据通信技术领域,具体是涉及一种基于DHCP协议的接入认证方法。
背景技术
在IP网络中,每个连接Internal的用户设备都需要分配一个唯一的IP地址。在常见的小型网络中,IP地址都是由网络管理员手工分配的,而到了中大型网络,手工分配地址就变得不太合适了。因此我们必须使用一种高效的地址分配方法,DHCP(Dynamic Host Configuration Protocol,动态主机分配协议)的出现正好解决这个问题。
一般情况下,用户获取IP地址接入到网络中,是需要对接入网络的用户进行控制的,用户在所获得的访问网络权限是由接入服务器控制的,从而保证网络接入用户的合法性,特别是在运营商的网络上,还涉及到一个计费的问题,也是需要解决的。但是由于DHCP协议只是一个地址分配协议,没有提供接入过程中对接入用户的控制功能,使得DHCP的接入用户不需要任何附加条件就可以接入网络,对网络的安全和运营商的业务开展都是非常不利的。所以目前运营商开展业务时,IP接入大多都采用DHCP+WEB方式来实现接入管理,这种方法虽然能够对用户进行接入管理,但是它的缺陷是需要外部的WEB服务器做支持,用户每次上线后需要登陆到某个网页来进行接入认证,此时主机已经通过DHCP协议将IP地址分配出去,所以用户无需认证就可以得到地址,这对地址资源非常宝贵的运营商来说是一个资源浪费;再一个就是管理报文和业务报文都是一样的,接入服务器无法区分。由于上述原因无论是接入服务器还是WEB服务器的安全性都非常脆弱,所以需要一种直接在DHCP交互过程时就可完成安全接入认证的处理方式。
发明内容
本发明的所要解决的技术问题就是提出一种基于DHCP协议的接入认证方法,实现在DHCP交互过程中对用户登录权限的认证,保证用户和网络服务器的安全。
本发明还提出一种基于DHCP协议的接入认证系统。
本发明的基于DHCP协议的接入认证方法是通过以下技术方案予以解决的。
这种基于DHCP协议的接入认证方法包括以下步骤:
a)DHCP客户端通过接入网络发送DHCP DISCOVER(发现)报文;
b)DHCP服务器收到客户端发送的DHCP发现报文后,按照预定的地址分配策略封装OFFER(提供)报文,并在OFFER报文中选定的OPTION属性中插入识别信息,然后将OFFER报文传递给DHCP客户端;
c)DHCP客户端接收到OFFER报文后,根据OFFER报文中OPTION属性的识别信息将认证信息写入REQUEST(请求)报文中选定的OPTION属性中,并将REQUEST报文发送给DHCP服务器;
d)DHCP服务器对REQUEST报文中OPTION的认证信息进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。
上述方法与现有技术对比的有益效果是:利用DHCP协议的报文中的一个OPTION属性,在该属性中插入用户名和用户密码等认证信息,实现了客户端与服务器在DHCP交互过程中的认证,仅对合法用户分配IP地址,避免了非法用户获取IP地址,提高了DHCP服务器的效率和安全性。
上述基于DHCP协议的接入认证方法还可以通过以下技术方案予以优化实现。
所述步骤b)通过以下方式实现:b1)DHCP服务器收到客户端发送的DHCP发现报文后,按照预定的地址分配策略封装OFFER报文,并在OFFER报文中选定的OPTION属性中插入挑战口令,然后将OFFER报文传递给DHCP客户端;所述步骤c)通过以下方式实现:c1)DHCP客户端接收到OFFER报文后,使用OFFER报文OPTION属性中的挑战口令对用户密码进行加密,并将用户名和加密后的密文写入REQUEST报文中选定的OPTION属性中,然后将REQUEST报文发送给DHCP服务器;所述步骤d)通过以下方式实现:d1)DHCP服务器读取REQUEST报文中OPTION属性信息,对用户名和加密密文进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。这种技术方案针对配置了CHAP认证方式的DHCP服务器使用。
上述基于DHCP协议的接入认证方法中,所述步骤c1)中采用MD5算法对用户密码进行加密。采用MD5算法安全性好,能更好地保证用户密码的安全性。
上述基于DHCP协议的接入认证方法中,所述步骤d1)中,DHCP服务器将所述OPTION属性的挑战口令、用户名和加密密文发送给AAA服务器,AAA服务器对用户名和加密密文进行认证,对于通过认证的DHCP客户端,AAA服务器通知DHCP服务器,由DHCP服务器为其分配地址信息。采用现有的AAA服务器进行用户名和密文认证,可以方便各种业务商开展多种业务,方便计费和权限管理等。
上述基于DHCP协议的接入认证方法中,所述步骤b)通过以下方式实现:b2)DHCP服务器收到客户端发送的DHCP发现报文后,按照预定的地址分配策略封装OFFER报文,并在OFFER报文中选定的OPTION属性中插入空字符串,然后将OFFER报文传递给DHCP客户端;所述步骤c)通过以下方式实现:c2)DHCP客户端接收到OFFER报文后,检查所述OFFER报文OPTION属性是否为空字符串,如是,则将用户名和用户密码写入REQUEST报文中选定的OPTION属性中,然后将REQUEST报文发送给服务器;所述步骤d)通过以下方式实现:d2)DHCP服务器读取REQUEST报文中OPTION属性信息,对用户名和用户密码进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。这种技术方案针对配置了PAP认证方式的DHCP服务器使用。
上述基于DHCP协议的接入认证方法中,所述步骤d2)中,DHCP服务器将所述OPTION属性中的用户名和用户密码发送给AAA服务器,AAA服务器对用户名和用户密码进行认证,对于通过认证的DHCP客户端,AAA服务器通知DHCP服务器,由DHCP服务器为其分配地址信息。
本发明的基于DHCP协议的接入认证系统是通过以下技术方案予以解决的。
这种基于DHCP协议的接入认证系统包括DHCP客户端、接入网络和DHCP服务器,所述DHCP客户端通过接入网络与DHCP服务器连接,其特征在于:所述DHCP客户端包括认证信息生成模块,所述DHCP服务器包括识别信息生成模块和认证模块,所述认证信息生成模块根据识别信息生成模块提供的识别信息生成认证信息,所述认证模块用于对认证信息进行认证。
上述基于DHCP协议的接入认证系统还可以通过以下技术方案予以优化实现。
所述认证信息生成模块用于对用户密码加密,并在REQUEST报文中选定的OPTION属性中写入用户名和用户密码的密文。
所述认证信息生成模块用于将用户名和用户密码写入REQUEST报文选定的OPTION属性中。
所述DHCP服务器的认证模块用于将认证信息传输给外界AAA服务器,并接收AAA服务器的认证结果。
附图说明
图1是具体实施方式的流程简图;
图2是具体实施方式的流程详图。
具体实施方式
以下结合附图和实施例,详细说明本发明技术方案的具体实现。
一种基于DHCP协议的接入认证系统,包括DHCP客户端、接入网络和DHCP服务器。DHCP客户端通过接入网络与DHCP服务器连接。DHCP客户端包括认证信息生成模块,DHCP服务器包括识别信息生成模块和认证模块。认证信息生成模块根据识别信息生成模块提供的识别信息生成认证信息,认证模块用于将认证信息传输给外界AAA服务器,并接收AAA服务器的认证结果。
为实现本发明的目的,本接入认证方法在DHCP协议的交互报文中插入一个认证信息,需要对DHCP客户端进行改造,增加DHCP报文中一个OPTION属性,或者使用OPTION60属性,下文都使用OPTIONX来代表该属性。如图1所示的流程,当客户端接入网络时,首先按照DHCP协议发出获得IP地址的发现(DISCOVER)报文。当接入DHCP服务器收到该报文后根据预先确定的地址分配策略封装一个提供(OFFER)报文,并在OFFER报文的OPTIONX属性中写入识别信息,将OFFER报文发送给客户端。客户端收到OFFER报文后应答并提出请求(REQUEST)报文,根据服务器提供的识别信息将客户端的认证信息写入REQUEST报文的OPTIONX属性中,将REQUEST报文发送给DHCP服务器。DHCP服务器收到REQUEST报文后,对OPTIONX属性的认证信息进行认证,对通过认证的,发出ACK报文,给客户端分配地址,并给予该客户端相应的访问权限,允许其接入网络。
详细的接入认证过程如图2所示,包括以下步骤。
1)用户请求上线时,DHCP客户端向接入DHCP服务器发送DHCPDISCOVER报文。
2)接入DHCP服务器检查收到DHCP DISCOVER报文后,判断对DHCP接入用户是否开启了接入认证功能,若没有开启接入认证功能,则走正常的DHCP上线流程;若开了接入认证功能,则进行下续步骤。
3)DHCP服务器根据预先确定的地址分配策略封装一个OFFER报文。同时,若接入服务器或AAA服务器配置了CHAP认证,则DHCP服务器产生一个随机数作为CHAP认证的挑战口令(CHALLENGING),将该CHALLENGING写入到DHCP OFFER报文的OPTIONX属性中,发送给DHCP客户端;若开启了PAP认证,则在DHCP OFFER报文中OPTIONX属性中填写空字符串。DHCP服务器将OFFER报文发送给客户端。
4)DHCP客户端在收到接入服务器发送回来的DHCP OFFER报文后,读取OPTIONX属性中的识别信息。如果DHCP OFFER报文中的OPTIONX不为空,则客户端判断认证类型为CHAP,OPTIONX的值即为CHALLENGING,DHCP客户端将用户密码以CHALLENGING作为KEY进行MD5加密,然后将用户名和加密后的密文填入到DHCP REQUEST报文的OPTIONX属性中;如果DHCP OFFER报文中OPTIONX属性为空,则客户端判断认证类型为PAP,DHCP客户端直接将用户名和用户密码填入到DHCP REQUEST报文的OPTIONX属性中。然后将DHCP REQUEST报文发送到接入DHCP服务器上。
对于DHCP客户端的用户名和用户密码,如果是使用在PC机上的客户端软件登录,可以在登录软件中添加填写用户名和用户密码;如果是机顶盒、拨号路由器等登录可以通过智能卡、配置等方式来添加用户名和用户密码。
5)DHCP服务器在收到客户端发送过来的DHCP REQUEST报文后,先检查REQUEST报文中是否携带了OPTIONX属性。如果没有携带,则认为是非法用户,DHCP模块发送DHCP NAK报文确定此次上线请求失败。如果携带了该OPTIONX属性,则将用户名、密码、认证类型、CHALLENGING等认证信息发送到AAA认证模块。
6)AAA模块对接收的认证信息进行认证,完成认证后将认证结果发送回DHCP服务器。如果认证没有成功,DHCP服务器发送DHCP NAK报文确定此次上线请求失败;如果认证成功,DHCP服务器发送DHCP ACK报文给客户端,确认此次上线成功,为客户端发送IP地址分配信息,并给予该客户端相应的访问权限,允许其接入网络。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种基于DHCP协议的接入认证方法,其特征在于,包括以下步骤:
a)DHCP客户端通过接入网络发送DHCP DISCOVER报文;
b)DHCP服务器收到客户端发送的DHCP DISCOVER报文后,按照预定的地址分配策略封装OFFER报文,并在OFFER报文中选定的OPTION属性中插入识别信息,然后将OFFER报文发送给DHCP客户端;
c)DHCP客户端接收到OFFER报文后,根据OFFER报文中OPTION属性的识别信息将认证信息写入REQUEST报文中选定的OPTION属性中,并将REQUEST报文发送给DHCP服务器;
d)DHCP服务器对REQUEST报文中OPTION的认证信息进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。
2.如权利要求1所述的基于DHCP协议的接入认证方法,其特征在于,所述步骤b)通过以下方式实现:b1)DHCP服务器收到客户端发送的DHCPDISCOVER报文后,按照预定的地址分配策略封装OFFER报文,并在OFFER报文中选定的OPTION属性中插入挑战口令,然后将OFFER报文发送给DHCP客户端;
所述步骤c)通过以下方式实现:c1)DHCP客户端接收到OFFER报文后,使用OFFER报文OPTION属性中的挑战口令对用户密码进行加密,并将用户名和加密后的密文写入REQUEST报文中选定的OPTION属性中,然后将REQUEST报文发送给DHCP服务器;
所述步骤d)通过以下方式实现:d1)DHCP服务器读取REQUEST报文中OPTION属性信息,对用户名和加密密文进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。
3.如权利要求2所述的基于DHCP协议的接入认证方法,其特征在于:所述步骤c1)中采用MD5算法对用户密码进行加密。
4.如权利要求3所述的基于DHCP协议的接入认证方法,其特征在于:所述步骤d1)中,DHCP服务器将所述OPTION属性的挑战口令、用户名和加密密文发送给AAA服务器,AAA服务器对用户名和加密密文进行认证,对于通过认证的DHCP客户端,AAA服务器通知DHCP服务器,由DHCP服务器为其分配地址信息。
5.如权利要求1所述的基于DHCP协议的接入认证方法,其特征在于,所述步骤b)通过以下方式实现:b2)DHCP服务器收到客户端发送的DHCPDISCOVER报文后,按照预定的地址分配策略封装OFFER报文,并在OFFER报文中选定的OPTION属性中插入空字符串,然后将OFFER报文发送给DHCP客户端;
所述步骤c)通过以下方式实现:c2)DHCP客户端接收到OFFER报文后,检查所述OFFER报文OPTION属性是否为空字符串,如是,则将用户名和用户密码写入REQUEST报文中选定的OPTION属性中,然后将REQUEST报文发送给服务器;
所述步骤d)通过以下方式实现:d2)DHCP服务器读取REQUEST报文中OPTION属性信息,对用户名和用户密码进行认证,对于通过认证的DHCP客户端,DHCP服务器为其分配地址信息,并给予该DHCP客户端相应的访问权限,允许其接入网络。
6.如权利要求5所述的基于DHCP协议的接入认证方法,其特征在于:所述步骤d2)中,DHCP服务器将所述OPTION属性中的用户名和用户密码发送给AAA服务器,AAA服务器对用户名和用户密码进行认证,对于通过认证的DHCP客户端,AAA服务器通知DHCP服务器,由DHCP服务器为其分配地址信息。
7.一种基于DHCP协议的接入认证系统,包括DHCP客户端、接入网络和DHCP服务器,所述DHCP客户端通过接入网络与DHCP服务器连接,其特征在于:所述DHCP客户端包括认证信息生成模块,所述DHCP服务器包括识别信息生成模块和认证模块,所述认证信息生成模块根据识别信息生成模块提供的识别信息生成认证信息,所述认证模块用于对认证信息进行认证。
8.如权利要求7所述的基于DHCP协议的接入认证系统,其特征在于:所述认证信息生成模块用于对用户密码加密,并在REQUEST报文中选定的OPTION属性中写入用户名和用户密码的密文。
9.如权利要求7所述的基于DHCP协议的接入认证系统,其特征在于:所述认证信息生成模块用于将用户名和用户密码写入REQUEST报文选定的OPTION属性中。
10.如权利要求8或9所述的基于DHCP协议的接入认证系统,其特征在于:所述DHCP服务器的认证模块用于将认证信息传输给外界AAA服务器,并接收AAA服务器的认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102412320A CN101436936A (zh) | 2008-12-15 | 2008-12-15 | 一种基于dhcp协议的接入认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102412320A CN101436936A (zh) | 2008-12-15 | 2008-12-15 | 一种基于dhcp协议的接入认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101436936A true CN101436936A (zh) | 2009-05-20 |
Family
ID=40711173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102412320A Pending CN101436936A (zh) | 2008-12-15 | 2008-12-15 | 一种基于dhcp协议的接入认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101436936A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404282A (zh) * | 2010-09-13 | 2012-04-04 | 智邦科技股份有限公司 | 网络装置及其认证协议方法 |
| CN102761546A (zh) * | 2012-07-02 | 2012-10-31 | 中兴通讯股份有限公司 | 一种认证实现方法、系统及相关装置 |
| CN103354550A (zh) * | 2013-07-03 | 2013-10-16 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN104735050A (zh) * | 2014-12-19 | 2015-06-24 | 武汉烽火网络有限责任公司 | 一种融合mac认证和web认证的认证方法 |
| CN107819894A (zh) * | 2017-11-01 | 2018-03-20 | 福建新大陆支付技术有限公司 | 一种基于dhcp的pos与路由器交互方法 |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| CN108965309A (zh) * | 2018-07-27 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据传输处理方法、装置、系统及设备 |
| CN113765893A (zh) * | 2021-08-13 | 2021-12-07 | 成都安恒信息技术有限公司 | 一种应用于MySQL系统的协议代理密码穿透认证方法 |
-
2008
- 2008-12-15 CN CNA2008102412320A patent/CN101436936A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404282A (zh) * | 2010-09-13 | 2012-04-04 | 智邦科技股份有限公司 | 网络装置及其认证协议方法 |
| CN102761546A (zh) * | 2012-07-02 | 2012-10-31 | 中兴通讯股份有限公司 | 一种认证实现方法、系统及相关装置 |
| CN103354550A (zh) * | 2013-07-03 | 2013-10-16 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN104735050A (zh) * | 2014-12-19 | 2015-06-24 | 武汉烽火网络有限责任公司 | 一种融合mac认证和web认证的认证方法 |
| CN104735050B (zh) * | 2014-12-19 | 2018-03-20 | 武汉烽火网络有限责任公司 | 一种融合mac认证和web认证的认证方法 |
| CN107819894A (zh) * | 2017-11-01 | 2018-03-20 | 福建新大陆支付技术有限公司 | 一种基于dhcp的pos与路由器交互方法 |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| CN108965309A (zh) * | 2018-07-27 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据传输处理方法、装置、系统及设备 |
| CN113765893A (zh) * | 2021-08-13 | 2021-12-07 | 成都安恒信息技术有限公司 | 一种应用于MySQL系统的协议代理密码穿透认证方法 |
| CN113765893B (zh) * | 2021-08-13 | 2023-07-07 | 成都安恒信息技术有限公司 | 一种应用于MySQL系统的协议代理密码穿透认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101436936A (zh) | 一种基于dhcp协议的接入认证方法及系统 | |
| CN103001999B (zh) | 用于公用云网络的私有云服务器、智能装置客户端及方法 | |
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
| CN101287017B (zh) | 主动式ip地址分配方法及系统 | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| CN103747036A (zh) | 一种桌面虚拟化环境下的可信安全增强方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
| CN101355557B (zh) | 在mpls/vpn网络中实现网络接入控制的方法及系统 | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN101141492A (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
| CN101083660A (zh) | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN103747051A (zh) | 车载终端的服务平台 | |
| CN109818943A (zh) | 一种适用于低轨卫星物联网的认证方法 | |
| CN101345723A (zh) | 客户网关的管理认证方法和认证系统 | |
| CN1783780B (zh) | 域认证和网络权限认证的实现方法及设备 | |
| CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
| CN102299923B (zh) | 一种互联网性能测量系统中的探针注册方法 | |
| CN209882108U (zh) | 一种用于手机终端安全接入信息网络的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090520 |