CN101436969A - 网络接入方法、装置及系统 - Google Patents
网络接入方法、装置及系统 Download PDFInfo
- Publication number
- CN101436969A CN101436969A CNA2007101703875A CN200710170387A CN101436969A CN 101436969 A CN101436969 A CN 101436969A CN A2007101703875 A CNA2007101703875 A CN A2007101703875A CN 200710170387 A CN200710170387 A CN 200710170387A CN 101436969 A CN101436969 A CN 101436969A
- Authority
- CN
- China
- Prior art keywords
- authentication
- dhcp
- client
- authenticator
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明实施例公开了一种网络接入方法,属于通信技术领域,该方法包括:认证者接收来自客户端的动态主机配置协议DHCP广播报文,将所述广播报文转发给配置服务设备;认证者接收并记录所述配置服务设备返回的第一配置信息;认证者对所述客户端进行本地或远程认证,所述认证基于用户身份认证;认证成功后,认证者利用记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。本发明实施例还公开了网络接入装置及系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及网络接入方法、装置及系统。
背景技术
当前,动态主机配置协议(DHCP)正在得到越来越广泛的应用,该协议提供了一种动态指定IP地址和配置参数的机制,主要应用于大型网络环境和配置比较困难的地方。利用该DHCP协议,DHCP服务器能够自动为DHCP客户端指定IP地址,并可以为其分配包括子网掩码、缺省网关等在内的参数,从而使得网络上的各个DHCP客户端之间的通信更加容易得以实现。由于DHCP协议具有配置过程自动实现、配置信息统一管理、配置内容丰富等优点,因此正在得到越来越广泛的应用。
在DHCP协议中,通常会涉及到以下设备:
DHCP服务器(Server),该服务器用于提供DHCP服务,具体为:根据DHCP客户端的请求,为DHCP客户端分配IP地址或其他网络参数,该服务器一般可存在于路由器、三层交换机上,也可以采用单独的设备作为专用DHCP服务器;
DHCP中继(Relay),该DHCP中继用于在DHCP服务器和DHCP客户端(Client)之间传输DHCP报文,从而使得不同网段内的服务器和DHCP客户端之间能够传递DHCP报文,同时,该中继还可进一步提供安全选项,从而提高报文传输的安全性。具体来说,该DHCP中继提供了一种广播报文的透传机制,为不能通过交换机进行传输的DHCP广播报文提供转发功能,使得DHCP服务器可以为不在其本网段内的DHCP客户端提供服务;同样,DHCP中继在收到DHCP客户端发送来的DHCP请求报文后,将接收该报文的接口地址填入报文,然后再将该报文进行转发,由此,使得DHCP服务器能够根据收到的DHCP报文中的接口地址确定需要分配哪个子网的IP地址,从而实现为DHCP客户端提供DHCP服务;
DHCP客户端,该DHCP客户端利用DHCP来获取DHCP服务器为其所分配的IP地址以及配置参数,通常,客户主机或者其他能够获取IP地址的三层设备均可作为该DHCP客户端。
在采用DHCP的现有技术中,为了实现网络接入,需要对客户端的合法性进行验证,该验证具为DHCP挑战握手认证协议(CHAP)的认证,参见图1,在现有技术中,该认证过程包括如下步骤:
步骤101:当DHCP客户端接入网络时,以广播的方式向网络中发送DHCP发现(Discover)报文,以查找可用的DHCP服务器;其中,通过该DHCPDiscover报文的认证选项表明DHCP客户端支持的认证模式;
步骤102:收到所述DHCP Discover报文的DHCP服务器直接向DHCP客户端回复DHCP提供(Offer)报文,以响应DHCP客户端所发送来的DHCPDiscover报文,并为该DHCP客户端指定相应的配置参数;其中,在该DHCPOffer报文中,携带有用于进行DHCP客户端认证的CHAP认证用的挑战字(Cha1lenge)以及DHCP Server主机名(Name);
步骤103:DHCP客户端接收到所述DHCP Offer报文后,利用其认证密码对所述CHAP认证用的挑战字进行加密操作,得到CHAP认证用的挑战字回复(CHAP Response)和用户名(Name),并通过DHCP请求(Request)报文,携带该CHAP认证用的挑战字回复和用户名发送给所述DHCP服务器;
步骤104:所述DHCP服务器将所述CHAP认证用的挑战字、CHAP认证用的挑战字回复以及用户名通过远端认证使用者拨接服务(Radius)报文发送给AS;
步骤105:所述AS利用预先存储的DHCP客户端密码,对Radius报文中所携带的CHAP认证用的挑战字回复进行解密操作,得到CHAP认证用的挑战字,并通过判断解密得到挑战字与Radius报文中的CHAP认证用的挑战字是否一致,对DHCP客户端进行CHAP认证,如果认证通过,则该AS发送接入接纳(Radius Access-Accept)报文给DHCP服务器,如果认证失败,则发送接入拒绝(Radius Access-Reject)报文给DHCP服务器;由此,完成对DHCP客户端的CHAP认证;
步骤106:与步骤105的认证结果相对应,如果在步骤105中,对DHCP客户端CHAP认证通过,则DHCP服务器为DHCP客户端分配IP地址,并将所分配的IP地址通过DHCP确认(Ack)报文发送给该DHCP客户端,如果对DHCP客户端的CHAP认证失败,则在本步骤中,DHCP服务器直接向DHCP客户端发送DHCP Nack报文,以通知该DHCP客户端拒绝为其分配IP地址。
采用上述现有技术,虽然能够实现对DHCP客户端进行认证,但是,由于在上述认证的具体实现过程中,需要DHCP服务器参与,因此必须对DHCP服务器加以改造以使其支持认证功能,从而使得该技术方案实现起来较为繁琐,尤其是在DHCP服务器较多的情况下,会大幅增加该技术方案的实现难度,并会相应的增加实现成本。
此外,在实际应用中,由于只有在DHCP客户端通过认证之后,才可以通过DHCP服务器为该DHCP客户端分配IP地址,而在认证过程中,又需要DHCP服务器根据DHCP客户端的IP地址与该DHCP客户端进行交互,从而实现认证,因此,在该现有技术中,在进行认证之前,或者要求预先为DHCP客户端静态分配IP地址,或者要求DHCP客户和DHCP服务器间的所有节点都必须支持DHCP中继;在IP地址的资源十分有限的情况下,若采用静态分配方式预先为DHCP客户端分配IP地址无疑会造成地址资源的浪费;对于Internet,则不可能期望DHCP客户和DHCP服务器间的所有节点都必须支持DHCP中继。
发明内容
本发明实施例的目的在于:提供网络接入方法、装置及系统,以在无需对地址分配服务器进行改动的情况下,对客户端进行认证,并根据认证结果进行网络接入。
为实现上述发明目的,本发明实施例提供以下技术方案:
一种网络接入方法,包括:
认证者接收来自客户端的动态主机配置协议DHCP广播报文,将所述广播报文转发给配置服务设备;
认证者接收并记录所述配置服务设备返回的第一配置信息;
认证者对所述客户端进行本地或远程认证,所述认证基于用户身份认证;
认证成功后,认证者利用记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
一种网络接入装置,该装置包括:
认证配置单元,用于接收来自客户端的DHCP广播报文,将所述广播报文转发给配置服务设备,以及,记录所述配置服务设备返回的第一配置信息;
认证单元,用于对所述客户端进行本地或远程认证,所述认证基于用户身份认证,并在认证成功后,利用认证配置单元所记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
一种网络接入系统,该系统包括:
配置服务设备,用于在认证成功前为客户端提供第一配置信息,在认证成功后为客户端提供第二配置信息;
认证者,在接收到客户端的认证请求后,从所述配置服务设备得到并记录所述第一配置信息;对所述客户端进行本地或远程认证,所述认证基于用户身份认证;在认证成功后,利用所述第一配置信息向所述配置服务设备发送配置信息请求,请求为所述客户端提供会话过程使用的第二配置信息。
可见,在本发明实施例中,由于引入认证者来进行客户端和认证服务器之间的交互,因此,避免了对地址分配服务器进行改动,降低了方案的实现难度,减少了实现成本。
此外,在本发明优选实施例中,在进行CHAP认证之前,无需为客户端静态分配IP地址,减少了对静态IP地址资源的占用;同时,认证者将地址分配服务器为客户端所分配的地址替换为一个可供该客户端使用的局部地址,以供该客户端在认证时使用,而仅在该客户端认证通过后,才通过地址分配服务器为该客户端动态分配地址,从而能够保证只有在客户端CHAP认证通过的情况下,该DHCP客户端才能够享受到地址分配服务器为其提供的动态地址分配服务,有利于保证服务提供商的利益不受损害。
此外,本发明优选实施例还能够做到控制面和数据面的分离,有利于该方案的灵活应用。
附图说明
图1为现有技术中实现DHCP CHAP认证的信令流程图;
图2为本发明实施例所提供的方法的流程图;
图3为本发明优选实施例所提供的方法的信令流程图;
图4为本发明另一优选实施例所提供的方法的信令流程图;
图5为本发明另一优选实施例所提供的方法的信令流程图;
图5-1为本发明另一优选实施例所提供的方法的信令流程图;
图6为本发明优选实施例所提供的系统的示意图。
具体实施方式
下面,结合附图对本发明实施例进行详细描述。
一、本发明实施例所提供的方法:
本发明实施例所提供的网络接入方法包括以下步骤:
认证者接收来自客户端的动态主机配置协议DHCP广播报文,将所述广播报文转发给配置服务设备;
认证者接收并记录所述配置服务设备返回的第一配置信息;
认证者对所述客户端进行本地或远程认证,所述认证基于用户身份认证;
认证成功后,认证者利用记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
其中,第一配置信息和第二配置信息包括网际互联协议IP地址,所述认证者可以采用具有认证功能的相应设备,例如DHCP认证代理加以实现。
为了对本发明实施例中有关认证的过程进行更加清晰地描述,下面结合附图,对有关认证的过程进行详细描述。在以下各实施例中,均以DHCP客户端作为所述客户端,以DHCP认证代理作为所述认证者,以DHCP服务器作为配置服务设备。参见图2,本发明实施例中对客户端进行认证的方法,包括以下步骤:
步骤201:DHCP认证代理在DHCP客户端或网络侧触发进行CHAP认证后,将CHAP认证用的挑战字发送给所述DHCP客户端;
其中,挑战字可直接采用DHCP报文进行携带,或将挑战字封装为CHAP挑战(CHAPChallenge)消息报文,再由DHCP报文进行携带;
步骤202:所述DHCP认证代理收到所述DHCP客户端发送的CHAP认证用的挑战字回复,将该CHAP认证用的挑战字回复发给认证服务器进行DHCP客户端认证;其中,所述CHAP认证用的挑战字回复为所述DHCP客户端利用其密码对所述CHAP认证用的挑战字进行加密后所得到的结果;
同理,挑战字回复可直接采用DHCP报文进行携带,或将挑战字回复封装为CHAP回复(CHAP Response)消息报文,再由DHCP报文进行携带;
步骤203:所述DHCP认证代理获知认证服务器对DHCP客户端进行CHAP认证的认证结果;其中,所述认证结果为:认证服务器将利用所述DHCP客户端密码对所述CHAP认证用的挑战字回复进行解密后所得到的CHAP认证用的挑战字,与该DHCP客户端对应的CHAP认证用的挑战字进行比对后所得到的认证结果。
其中,在本发明优选实施例中,为了解决认证之前需要为DHCP客户端静态分配IP地址的问题,在DHCP认证代理将CHAP认证用的挑战字发送给所述DHCP客户端之前,还包括以下步骤:
所述DHCP认证代理接收地址分配服务器为所述DHCP客户端动态分配的IP地址,采用一个可供所述DHCP客户端本地使用的局部IP地址替换该动态分配的IP地址,并将该局部IP地址发送给所述DHCP客户端,供其在CHAP认证过程中使用,同时,记录下所述局部IP地址与所述动态分配的IP地址之间的关系;
相应的,在DHCP认证代理获知认证服务器对所述DHCP客户端CHAP认证成功后,进一步包括:
所述DHCP认证代理根据所保存的所述局部IP地址与所述动态分配的IP地址之间的关系,由所述DHCP客户端在认证过程中所使用的局部IP地址确定得到相应的动态分配的IP地址,并将携带有该动态分配的IP地址的响应消息以广播的方式向网络中的各个地址分配服务器发送,以便进行了所述动态地址分配的服务器能够获知该DHCP客户端认证通过,并继续执行包括动态分配IP地址、指定配置参数等在内的后续操作。
在本发明其他实施例中,在DHCP认证代理将CHAP认证用的挑战字发送给所述DHCP客户端之前,也可以直接将地址分配服务器为所述DHCP客户端动态分配的IP地址发送给DHCP客户端,该DHCP客户端采用该动态分配的IP地址完成交互过程;相应的,所述DHCP认证代理在获知对所述DHCP客户端CHAP认证通过后,将携带有所述动态分配的IP地址的响应消息以广播的方式发送,以使得进行了所述动态分配的地址分配服务器能够获知对DHCP客户端的CHAP认证通过,并执行后续步骤;如果DHCP认证代理获知对所述DHCP客户端的CHAP认证失败,则告知所述地址分配服务器释放为所述DHCP客户端动态分配的IP地址,以避免未通过CHAP认证的非法DHCP客户端使用地址分配服务器为其所分配的动态地址,保证动态地址分配的安全性。
本发明实施例所提供的方法可以应用于首次DHCP CHAP认证过程中,也可以应用于CHAP重认证过程中,下面,结合这两个过程并参照附图,对本发明实施例进行更详细的描述。
(一)首次DHCP CHAP认证过程:
参见图3,在DHCP客户端首次进行DHCP CHAP认证时,本发明实施例所提供的进行DHCP客户端认证的方法包括:
步骤301:当DHCP客户端接入网络时,以广播的方式向网络发送DHCPDiscover报文,以选择提供认证授权服务的DHCP认证代理和DHCP服务器,在该DHCP Discover报文中,以认证选项表明DHCP客户端所支持的认证模式;其中,在本发明实施例的具体应用中,采用执行点(EP)来对DHCP客户端所发送的报文进行转发,该EP为位于网络上的一个节点,负责对出入DHCP客户端的数据包进行监控;如果所述EP与DHCP认证代理位于同一物理实体中,则通过该EP将DHCP客户端所发送的报文转发至相应的DHCP认证代理,如果EP与DHCP认证代理位于同一物理实体中,则DHCP客户端可以直接将所述报文发送至DHCP认证代理;
步骤302:所述DHCP认证代理收到所述DHCP Discover报文后,将该报文转发至网络中的DHCP服务器;
步骤303:收到所述报文的相应的DHCP服务器检测DHCP Discover报文中携带的参数,检测通过后,为所述DHCP客户端分配一个当前未被租借的IP地址,并为其指定其他包括子网掩码、缺省网关信息在内的DHCP配置信息,然后通过DHCP提供(Offer)报文将以上信息返回给所述DHCP认证代理;
步骤304:所述DHCP认证代理收到所述DHCP Offer报文后,在该报文中添加认证选项以表明该DHCP认证代理所支持的认证模式,同时,在本发明优选实施例中,所述DHCP认证代理将所述DHCP Offer报文中所携带的DHCP服务器为所述DHCP客户端所动态分配的IP地址,替换为一个供所述DHCP客户端本地使用的局部IP地址,并记录下该局部IP地址与所述动态分配的IP地址(也称未租用的IP地址)之间的对应关系,然后,将所述DHCPOffer报文向所述DHCP客户端转发;
步骤305:所述DHCP客户端收到各个DHCP认证代理发送的所述DHCPOffer报文后,根据其中所携带的DHCP认证代理所支持的认证模式、以及IP地址信息,选择相应的DHCP认证代理作为本次CHAP认证所采用的DHCP认证代理,然后将该DHCP认证代理所发送来的认证模式以及IP地址信息构建在DHCP请求(Request)报文中,并发送出去,以告知该DHCP认证代理所述DHCP客户端已经选择其来实现对DHCP客户端的CHAP认证,并且也已经接受了该DHCP认证代理为DHCP客户端所分配的IP地址;
上述步骤301~步骤305为DHCP CHAP过程中的发现和握手阶段,通过该阶段,DHCP客户端实现了触发DHCP认证代理进行对DHCP客户端的CHAP认证,在触发进行CHAP认证之后,后续步骤将进入DHCP CHAP过程的认证阶段;
步骤306:所述DHCP认证代理收到所述DHCP客户端发送的DHCPRequest报文后,向DHCP客户端返回DHCP响应(Ack)报文,在该消息中携带所述DHCP客户端对应的CHAP认证用的挑战字以及该DHCP认证代理的主机名(DHCP Proxy Name);在本发明优选实施例中,在所述DHCP Ack报文中,还可以进一步携带一个仅供所述DHCP客户端使用的“假”租期(leasetime),通过对该租期的设置,使得DHCP客户端能够迅速响应DHCP CHAP认证消息,并且能够预留足够的时间用于DHCP认证代理回复DHCP CHAP认证消息给所述DHCP客户端;本发明后续实施例中,以DHCP Ack报文中包含所述“假”租期信息为例,在本发明其他实施例中,所述DHCP Ack报文中也可不包括该租期信息,并不影响本发明实施例的实现;
步骤307:所述DHCP客户端收到所述DHCP Ack报文后,根据自身的密码,对该报文中所携带的CHAP认证用的挑战字进行加密操作,得到CHAP认证用的挑战字回复,并且,所述DHCP客户端根据该报文中所携带的租期信息,设置定时器T1,当该定时器T1到时时,触发向所述DHCP认证代理发送DHCP Request报文,在该报文中携带所述CHAP认证用的挑战字、CHAP认证用的挑战字回复以及DHCP客户端用户名;
步骤308:所述DHCP认证代理收到所述DHCP Request报文,将该报文中所携带的CHAP认证用的挑战字、CHAP认证用的挑战字回复以及用户名,通过Radius消息发给认证服务器(AS);
步骤309:所述AS根据所述用户名确定与所述DHCP客户端相对应的密码,采用该密码对所述CHAP认证用的挑战字回复进行解密操作,判断解密操作后得到的CHAP认证用的挑战字与DHCP认证代理所发送来的CHAP认证用的挑战字是否一致,如果是,则对所述DHCP客户端的CHAP认证通过,并通过向所述DHCP认证代理发送接入接受(Radius Access-Accept)报文,告知所述DHCP认证代理对所述DHCP客户端CHAP认证通过,否则,CHAP认证失败,并通过向所述DHCP认证代理发送接入拒绝(Radius Access-Reject)报文,告知所述DHCP认证代理对所述DHCP客户端CHAP认证失败;
至此,完成了对DHCP客户端的CHAP认证过程,在本发明优选实施例中,在CHAP认证通过后,为了能够通过DHCP服务器为DHCP客户端提供DHCP服务,还可进一步包括以下步骤:
步骤310:所述DHCP认证代理根据已经记录的局部IP地址与动态分配的IP地址的对应关系,由CHAP认证过程中所述DHCP服务器所使用的局部IP地址确定得到对应的动态分配的IP地址,将该地址构建在DHCP Request报文中并发送,以通知进行了所述动态地址分配的DHCP服务器当前对所述DHCP客户端CHAP认证通过,可以为该DHCP客户端提供DHCP服务;
步骤311:进行所述动态地址分配的DHCP服务器,收到所述DHCPRequest报文后,根据该报文中的参数为所述DHCP客户端动态分配全局IP地址,根据需要,还可以为该DHCP客户端配置包括租期等信息在内的配置参数,同通过DHCP Ack报文将动态分配的IP地址以及配置参数返回给所述DHCP认证代理;其中,在本发明实施例中,通过DHCPAck报文中的yiaddr携带为DHCP客户端所分配的IP地址;
步骤312:所述DHCP认证代理通过DHCP Ack报文将DHCP服务器为所述DHCP客户端所分配的IP地址以及配置参数返回给所述DHCP客户端,完成为该DHCP客户端提供DHCP服务;其中,与步骤312相对应的,如果对DHCP客户端CHAP认证失败,则所述DHCP认证代理通过向DHCP客户端发送DHCP Nack报文,通知该DHCP客户端CHAP认证失败;可选地,DHCPNack报文可携带CHAPfailure消息报文,显式说明CHAP认证失败。
步骤313:进一步的,在对DHCP客户端CHAP认证成功后,DHCP认证代理还可将对DHCP客户端的接入控制策略下发给EP,EP根据该策略对出入所述DHCP客户端的数据包进行非加密或加密接入过滤,该过滤可以发生在链路层,也可以发生在网络层及以上层;或者,在对DHCP客户端CHAP认证成功后,EP进行DHCP监听,当监听到DHCP Ack报文时,则进行DHCP客户端IP地址和MAC地址的绑定操作。
在DHCP客户端利用根据DHCP服务器为其分配的IP地址以及配置参数后,IP会话建立便已完成,用户可以通过该会话进行正常的数据通信,在该会话终止后,本发明实施例所提供的方法还可进一步包括:
步骤314:DHCP客户端发起DHCP释放(Release)请求来终止IP会话,或者,当EP检测到链路中断时,发起DHCP Release请求来终止IP会话;
步骤315:所述DHCP认证代理收到所述DHCP Release请求报文后,将该报文转发给所述DHCP服务器,该服务器收到该报文后,释放为该DHCP客户端所分配的地址资源;
步骤316:所述DHCP认证代理通知EP解除对所述DHCP客户端的接入控制策略;或者,也可以在EP监听到DHCP Release报文或者检测到链路中断时,直接解除所述DHCP客户端IP地址与MAC地址的绑定,从而释放相应的地址资源。
需要注意的是,步骤315和步骤316的执行顺序并不影响本发明实施例的实现。
在本发明另一实施例中,也可采用如图4所示的方法实现对DHCP客户端进行首次认证,其中,步骤401~步骤403与步骤301~步骤303相同,不同之处在于:
在步骤404中,DHCP认证代理在向DHCP客户端所转发的DHCP Offer报文中,直接携带所述DHCP客户端对应的CHAP认证用的挑战字以及DHCPProxy Name,当然,与步骤304类似,在步骤404中,DHCP认证代理还可将所述DHCP Offer报文中所携带的DHCP服务器为所述DHCP客户端所动态分配的IP地址,替换为一个供所述DHCP客户端本地使用的局部IP地址,并记录下该局部IP地址与所述动态分配的IP地址之间的对应关系;
由此,通过步骤401~步骤404,完成了DHCP CHAP过程中的发现和握手阶段,通过该阶段,DHCP客户端实现了触发DHCP认证代理进行对DHCP客户端的CHAP认证,在触发进行CHAP认证之后,后续步骤将进入DHCPCHAP过程的认证阶段;
步骤405~步骤414与步骤307~步骤316相同,在此不再赘述。
以上所述为在进行首次DHCP CHAP认证时,本发明实施例所提供的方法的具体实现,以下,介绍在DHCP CHAP重认证时,本发明实施例所提供的方法的具体实现。
(二)DHCP CHAP重认证过程:
参见图5,重认证时采用步骤501~步骤508实现本发明实施例所提供的方法,步骤501~步骤508与图3中的步骤305~步骤312相类似,需要注意的是:
在重认证时,用户已有正式的IP地址,因此可以用已有正式的IP地址来代替首次认证时从DHCP服务器得到的所述动态分配的IP地址(也称未租用的IP地址),与远程认证服务器和DHCP服务器进行相应处理。
在重认证时,用户已有正式的IP地址,所以认证成功后,DHCP认证代理可以向DHCP服务器发送DHCP Request,为用户重新分配新的IP地址,如步骤506所示的那样;或者,所述DHCP认证代理也可以不向DHCP服务器发送DHCP Request,而是直接将用户原来的IP地址通过步骤508中的DHCPAck返回给所述客户端,并不影响本发明实施例的实现。
在本发明另一实施例中,还可以通过网络侧来触发上述重认证,参见图5-1,由网络侧触发重认证时,本发明实施例所提供的方法包括:
步骤511:网络侧的DHCP认证代理触发进行重认证,直接发送DHCP强制更新(DHCP Forcerenew)报文至所述DHCP客户端;
步骤512~步骤519与图3中的步骤305~步骤312相类似,在此不再赘述。
以上实施例均是以DHCP第4版(v4)所提供的报文为例来进行说明,为了描述得更加清晰,现将上述实施例中所涉及的报文以列表的方式加以说明,表1为DHCP v4报文与DHCP选项(option)的功能组合表,其中,authentication protocol Option为认证协议选项,用于表明发送方所支持的认证模式,为了描述方便,将其简写为auth-proto,Authentication Data Option为认证数据选项,用于携带包括CHAP认证用的挑战字、CHAP认证用的挑战字回复在内的参数,为了描述方便,将其简写为auth-data;
| DHCPv4消息 | auth-data内容 | 功能描述 |
| DHCP Discover(auth-protoOption) | 1.通过广播请求DHCP认证代理和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP客户端支持的认证模式。发送方向:DHCP客户端→DHCP认证代理 | |
| DHCP Offer(auth-protoOption) | - | 1.每个DHCP认证代理进行认证应答,表明DHCP认证代理支持的认证模式;2.为DHCP客户端提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP认证代理→DHCP客户端 |
| DHCP Request(auth-protoOption) | 1.包含DHCP认证代理支持的认证模式及其所提供的IP地址,表明DHCP客户端已经接受了提供的IP地址及相应的DHCP认证代理;发送方向:DHCP客户端→DHCP认证代理 | |
| DHCP Offer(auth-data Option) | CHAP认证用的挑战字、Name(DHCPProxy主机名) | 1.为DHCP客户端提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关2.携带相应的auth-data具体内容。发送方向:DHCP认证代理→DHCP客户端 |
| DHCP Request(auth-data Option) | CHAP认证用的挑战字回复、用户名 | 1.包含DHCP认证代理所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证代理;2.承载相应的auth-data具体内容。发送方向:DHCP客户端→DHCP认证代理 |
| DHCP Inform | CHAP认证用的挑战 | 承载相应的auth-data具体内容,用于DHCP客 |
| (auth-data Option) | 字回复、用户名 | 户端已静态配置了IP地址。发送方向:DHCP客户端→DHCP认证代理 |
| DHCPAck(auth-data Option) | CHAP认证用的挑战字、DHCPProxy主机名 | 1.可配置网络参数,如用户IP地址;2.承载相应的auth-data具体内容。发送方向:DHCP认证代理→DHCP客户端 |
| DHCPAck(yiaddr) | 1.为用户分配IP地址2.表明认证成功发送方向:DHCP认证代理→DHCP客户端 | |
| DHCPNack(auth-data Option) | 可选携带CHAPfailure | 1.拒绝为用户分配IP地址2.表明认证失败发送方向:DHCP认证代理→DHCP客户端 |
| DHCP Release | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP客户端→DHCP认证代理 |
表1
相应的,本发明实施例所提供的方法,也可采用DHCPv6消息实现,实现方式与上述实施例所述的方式一致,不同之处仅在于消息名称不同,其中:
DHCPv6中的DHCP Solicit(auth-proto Option)报文对应DHCPv4中的DHCP Discover(auth-proto Option)报文;
DHCPv6中的DHCP Advertise(auth-proto Option)报文对应DHCPv4中的DHCP Offer(auth-proto Option)报文;
DHCPv6中的DHCP Request(auth-proto Option)报文对应DHCPv4中的DHCP Request(auth-proto Option)报文;
DHCPv6中的DHCP Advertise(auth-data Option)报文对应DHCPv4中的DHCP Offer(auth-data Option)报文;
DHCPv6中的DHCP Request(auth-data Option)报文对应DHCPv4中的DHCP Request(auth-data Option)报文;
DHCPv6中的DHCP Reply(auth-data Option)报文对应DHCPv4中的DHCPAck(auth-data Option)报文或DHCP Nack(auth-data Option)报文;
DHCPv6中的DHCP Reply(yiaddr)报文对应DHCPv4中的DHCP Ack(yiaddr)报文;
DHCPv6中的DHCP Release报文对应DHCPv4中的DHCP Release报文;
为了使DHCPv6报文的相应功能得以更清晰地介绍,下面,采用表2说明如上所述的各个DHCPv6报文:
| DHCPv6消息 | auth-data内容 | 功能描述 |
| DHCP Solicit(auth-proto Option) | 1.通过广播请求DHCP认证代理和DHCP服务器的IP地址信息,该消息源IP地址是0.0.0.0;2.表明DHCP Client支持的认证模式。发送方向:DHCP客户端→DHCP认证代理 | |
| DHCP Advertise(auth-proto Option) | 1.每个DHCP认证代理进行认证应答,表明DHCP认证代理支持的认证模式;2.为DHCP客户端提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关。发送方向:DHCP认证代理→DHCP客户端 | |
| DHCP Request(auth-proto Option) | - | 1.包含DHCP认证代理支持的认证模式及其所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证代理;发送方向:DHCP客户端→DHCP认证代理 |
| DHCP Advertise(auth-data Option) | CHAP认证用的挑战字、DHCP Proxy主机名 | 1.为DHCP Client提供一个未租借的IP地址和其它DHCP配置信息,比如子网掩码和缺省网关 |
| DHCPv6消息 | auth-data内容 | 功能描述 |
| 2.携带相应的auth-data具体内容。发送方向:DHCP认证代理→DHCP客户端 | ||
| DHCP Request(auth-data Option) | CHAP认证用的挑战字回复、用户名 | 1.包含DHCP认证代理所提供的IP地址,表明已经接受了提供的IP地址及相应的DHCP认证代理;2.承载相应的auth-data具体内容。发送方向:DHCP客户端→DHCP认证代理 |
| DHCP Reply(auth-data Option) | CHAP认证用的挑战字、用户名 | 1.可配置网络参数,如用户IP地址(yiaddr);2.承载相应的auth-data具体内容。发送方向:DHCP认证代理→DHCP客户端 |
| DHCP Reply(yiaddr) | 1.为用户分配IP地址2.表明认证成功发送方向:DHCP认证代理→DHCP客户端 | |
| DHCP Reply(auth-data Option) | 可选携带CHAPfailure | 1.拒绝为用户分配IP地址2.表明认证失败发送方向:DHCP认证代理→DHCP客户端 |
| DHCP Release | 表明用户下线,需要释放相应的会话及IP地址发送方向:DHCP客户端→DHCP认证代理 |
表2
在以上方法实施例中,以DHCP服务器作为地址分配服务器,以IP地址作为为DHCP客户端所分配的地址,在本发明其他实施例中,也可采用其他类型的地址分配服务器或其他类型的地址,并不影响本发明实施例的实现。
二、本发明实施例所提供的装置:
本发明实施例中,提供了网络接入装置,该装置包括:
认证配置单元,用于接收来自客户端的DHCP广播报文,将所述广播报文转发给配置服务设备,以及,记录所述配置服务设备返回的第一配置信息;
认证单元,用于对所述客户端进行本地或远程认证,所述认证基于用户身份认证,并在认证成功后,利用认证配置单元所记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
其中,在本发明优选实施例中,该装置进一步包括:
配置信息替换单元,用于将所述第一配置信息替换为局部配置信息;
配置信息发送单元,用于将所述局部配置信息发送给所述客户端。
在本发明另一优选实施例中,所述装置还可进一步包括:
认证结果通知单元,用于:将所述认证结果获知单元所获得的所述认证结果通知所述客户端。
在本发明另一优选实施例中,所述DHCP认证代理还可进一步包括:
控制策略下发单元,用于:在所述装置获知对所述客户端认证通过后,将对所述客户端的接入控制策略下发给执行点。
在本发明另一优选实施例中,所述DHCP认证代理还可进一步包括:
地址释放触发单元,用于接收到地址释放请求后,触发地址分配服务器释放为客户端所分配的地址资源。
三、本发明实施例所提供的系统:
本发明实施例所提供的系统包括:
配置服务设备,用于在认证成功前为客户端提供第一配置信息,在认证成功后为客户端提供第二配置信息;
认证者,在接收到客户端的认证请求后,从所述配置服务设备得到并记录所述第一配置信息;对所述客户端进行本地或远程认证,所述认证基于用户身份认证;在认证成功后,利用所述第一配置信息向所述配置服务设备发送配置信息请求,请求为所述客户端提供会话过程使用的第二配置信息。
图6所示为本发明一优选实施例所提供的系统,包括:DHCP客户端601、DHCP认证代理602以及认证服务器603,其中:
所述DHCP客户端601为DHCP CHAP认证的申请者(Suppliant),寻求获得对DHCP认证代理所属网络的访问,并参与CHAP认证协议的认证过程;同时该DHCP客户也是动态主机配置的请求者;
所述DHCP认证代理602作为DHCP CHAP认证的认证代理,通过与DHCP客户端601进行DHCP CHAP认证协议交互,并代理DHCP客户与认证服务器603进行AAA认证协议(如RADIUS/Diameter)/API交互,为关联于DHCP客户的设备提供接入认证和授权;另外,该认证代理602还可以通过建立或解除访问授权来对接入访问控制状态进行更新;
所述认证服务器603负责对DHCP客户端提供的认证材料进行检验,其中,如果是远程认证,所述认证材料由DHCP认证代理通过AAA认证协议(如Radius协议或是Diameter协议)代DHCP客户转发给认证服务器603,如果是本地认证,所述认证材料由DHCP认证代理通过应用程序接口API代DHCP客户转发给认证服务器603;并且,所述认证服务器603向DHCP认证代理返回检验的结果和授权的参数。它可能位于DHCP代理节点上,也可能位于访问网络上一个专门的节点或是因特网上的中心服务器。
在本发明优选实施例中,所述系统还可进一步包括执行点,该执行点用于对出入所述DHCP客户端的数据包进行监控,并根据从所述认证代理处获得的接入控制策略对所述数据包进行非加密或加密接入过滤,该过滤可以发生在链路层,也可以发生在网络层及以上层。
其中,当所述DHCP认证代理602与所述认证服务器603位于同一节点时,它们之间可以通过应用程序接口(API)来进行数据传递;如果它们分别独立设置,则需要利用诸如RADIUS或是Diameter那样的认证、授权和计费(AAA)协议来进行数据传递。
上述DHCP认证代理602可以为位于网络的IP边缘节点,如数字用户线(DSL)网络的BRAS(Broadband Access Server,宽带接入服务器)或是3GPP2网络的PDSN(Packet Data Serving Node,分组数据服务节点)。
其中,所述系统还可进一步包括:地址分配服务器604,该服务器用于:
为通过认证的所述DHCP客户端601动态分配地址、指定配置参数。其中,该地址分配服务器604可以和所述DHCP认证代理602设置在一起,并不影响本发明实施例的实现。
其中,所述地址分配服务器可包括:
接收单元,用于接收从所述DHCP客户端发送来的地址分配请求;
地址分配单元,用于根据所述请求,为所述DHCP客户端动态分配地址;
参数配置单元,用于为所述DHCP客户端指定配置参数;
发送单元,用于将为DHCP客户端动态分配的地址以及指定的配置参数发送给所述DHCP客户端。
其中,当DHCP认证代理602和所述执行点位于同一节点时,它们之间仅需利用API即可实现数据传递,当它们位于不同节点时,则需要L2CP/SNMP协议实现数据传递;通常,所述执行点位于所述DHCP客户端与认证代理之间的路径上。
在以上系统的各个实施例中,所述的装置均可采用DHCP协议中对应的装置加以实现,各个单元之间,可以采用DHCPv4报文实现交互,也可以采用DHCPv6报文实现交互,并不影响本发明实施例的实现。
在以上方法和系统的各个实施例中,CHAP认证用的挑战字都可用PAP(password authentication protocol,密码认证协议)认证用的密码(password)替代,认证用的密码可直接采用DHCP报文进行携带,或将密码封装为PAP密码(PAP Password)消息报文,再由DHCP报文进行携带;同理,认证用的密码回复可直接采用DHCP报文进行携带,或将密码回复封装为CHAP回复(PAP Response)消息报文,再由DHCP报文进行携带。其中,客户端是支持PAP密码处理或PAP协议处理的客户端;所述DHCP认证代理是支持PAP密码处理或PAP协议处理的认证代理;如果DHCP认证代理支持本地认证,DHCP认证代理支持PAP认证,如果DHCP认证代理支持远程认证,则远程认证服务设备也支持PAP认证,上述实替换并不影响本发明实施例的实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1、一种网络接入方法,其特征在于,包括:
认证者接收来自客户端的动态主机配置协议DHCP广播报文,将所述广播报文转发给配置服务设备;
认证者接收并记录所述配置服务设备返回的第一配置信息;
认证者对所述客户端进行本地或远程认证,所述认证基于用户身份认证;
认证成功后,认证者利用记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
2、根据权利要求1所述的方法,其特征在于,所述认证者对客户端进行本地或远程认证的具体实现为:
确定进行本次认证的认证者;
所述本次认证的认证者通过DHCP报文将CHAP认证用的挑战字发送给所述客户端;
所述本次认证的认证者接收所述客户端发送的CHAP认证用的挑战字回复,利用所述CHAP认证用的挑战字、挑战字回复进行所述认证。
3、根据权利要求2所述的方法,其特征在于,所述CHAP认证用的挑战字直接采用DHCP报文进行携带,所述挑战字回复直接采用DHCP报文进行携带;或者,
将所述CHAP认证用的挑战字封装为CHAP挑战CHAP Challenge消息报文,再由DHCP报文进行携带,将所述挑战字回复封装为CHAP回复CHAPResponse消息报文,再由DHCP报文进行携带。
4、根据权利要求1所述的方法,其特征在于,该方法进一步包括:
所述认证者将所述第一配置信息返回给所述客户端,或
所述认证者将所述第一配置信息替换为局部配置信息,并将该局部配置信息发送给所述客户端。
5、根据权利要求1所述的方法,其特征在于,该方法进一步包括:
由网络侧或客户端触发进行重认证,所述重认证具体包括:
认证者对所述客户端进行本地或远程认证,所述认证基于用户身份认证;
认证成功后,认证者向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的新的第二配置信息;或者
认证成功后,认证者直接将首次认证得到的第二配置信息返回配置给所述客户端。
6、根据权利要求1所述的方法,其特征在于,在认证成功后,该方法进一步包括:
网络中的执行点从所述认证者处获得接入控制策略,根据该策略对出入所述客户端的数据包进行非加密或加密接入过滤。
7、根据权利要求1所述的方法,其特征在于,所述客户端与所述认证者之间采用DHCP第4版或DHCP第6版所提供的报文实现交互。
8、一种网络接入装置,其特征在于,该装置包括:
认证配置单元,用于接收来自客户端的DHCP广播报文,将所述广播报文转发给配置服务设备,以及,记录所述配置服务设备返回的第一配置信息;
认证单元,用于对所述客户端进行本地或远程认证,所述认证基于用户身份认证,并在认证成功后,利用认证配置单元所记录的所述第一配置信息向配置服务设备发送配置请求,请求为所述客户端提供会话过程使用的第二配置信息。
9、根据权利要求8所述的装置,其特征在于,该装置进一步包括:
配置信息替换单元,用于将所述第一配置信息替换为局部配置信息;
配置信息发送单元,用于将所述局部配置信息发送给所述客户端。
10、根据权利要求8所述的装置,其特征在于,该装置进一步包括:
认证结果通知单元,用于:将所述认证结果获知单元所获得的所述认证结果通知所述客户端;和/或,
控制策略下发单元,用于:在所述装置获知对所述客户端认证通过后,将对所述客户端的接入控制策略下发给执行点;和/或,
地址释放触发单元,用于接收到地址释放请求后,触发地址分配服务器释放为客户端所分配的地址资源。
11、一种网络接入系统,其特征在于,该系统包括:
配置服务设备,用于在认证成功前为客户端提供第一配置信息,在认证成功后为客户端提供第二配置信息;
认证者,在接收到客户端的认证请求后,从所述配置服务设备得到并记录所述第一配置信息;对所述客户端进行本地或远程认证,所述认证基于用户身份认证;在认证成功后,利用所述第一配置信息向所述配置服务设备发送配置信息请求,请求为所述客户端提供会话过程使用的第二配置信息。
12、根据权利要求11所述的系统,其特征在于,
所述认证者进行本地认证具体包括:所述认证者与位于同一节点的认证服务器通过应用程序接口API进行数据传递;或者,
所述认证者进行远程认证具体包括:所述认证者与独立设置的认证服务器,利用认证、授权和计费AAA认证协议来进行数据传递。
13、根据权利要求11所述的系统,其特征在于,该系统进一步包括执行点,该执行点用于:对出入所述客户端的数据包进行监控,并根据从所述认证者处获得的接入控制策略对所述数据包进行非加密或加密接入过滤。
14、根据权利要求11所述的系统,其特征在于,所述客户端与所述认证者之间采用DHCP第4版或DHCP第6版所提供的报文实现交互。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710170387A CN101436969B (zh) | 2007-11-15 | 2007-11-15 | 网络接入方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710170387A CN101436969B (zh) | 2007-11-15 | 2007-11-15 | 网络接入方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101436969A true CN101436969A (zh) | 2009-05-20 |
| CN101436969B CN101436969B (zh) | 2012-08-29 |
Family
ID=40711201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710170387A Expired - Fee Related CN101436969B (zh) | 2007-11-15 | 2007-11-15 | 网络接入方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101436969B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103841219A (zh) * | 2012-11-21 | 2014-06-04 | 华为技术有限公司 | 释放ip地址的方法、装置及接入设备 |
| CN107135228A (zh) * | 2017-06-01 | 2017-09-05 | 浙江九州量子信息技术股份有限公司 | 一种基于中心节点的认证系统与认证方法 |
| CN107395439A (zh) * | 2017-08-24 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种网络配置方法、装置及控制器 |
| CN108234503A (zh) * | 2018-01-11 | 2018-06-29 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
| CN109644126A (zh) * | 2016-09-30 | 2019-04-16 | 英特尔公司 | 用于异构型网络中的多个设备认证的技术 |
| CN113691407A (zh) * | 2021-09-01 | 2021-11-23 | 深圳市大洲智创科技有限公司 | 一种检测联网故障提示的方法与装置 |
-
2007
- 2007-11-15 CN CN200710170387A patent/CN101436969B/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103841219A (zh) * | 2012-11-21 | 2014-06-04 | 华为技术有限公司 | 释放ip地址的方法、装置及接入设备 |
| CN109644126A (zh) * | 2016-09-30 | 2019-04-16 | 英特尔公司 | 用于异构型网络中的多个设备认证的技术 |
| CN109644126B (zh) * | 2016-09-30 | 2022-05-13 | 英特尔公司 | 用于异构型网络中的多个设备认证的技术 |
| CN107135228A (zh) * | 2017-06-01 | 2017-09-05 | 浙江九州量子信息技术股份有限公司 | 一种基于中心节点的认证系统与认证方法 |
| CN107135228B (zh) * | 2017-06-01 | 2023-09-22 | 浙江九州量子信息技术股份有限公司 | 一种基于中心节点的认证系统与认证方法 |
| CN107395439A (zh) * | 2017-08-24 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种网络配置方法、装置及控制器 |
| CN108234503A (zh) * | 2018-01-11 | 2018-06-29 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
| CN108234503B (zh) * | 2018-01-11 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
| CN113691407A (zh) * | 2021-09-01 | 2021-11-23 | 深圳市大洲智创科技有限公司 | 一种检测联网故障提示的方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101436969B (zh) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340334B (zh) | 一种网络接入方法及系统和装置 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| US7962584B2 (en) | Usage of host generating interface identifiers in DHCPv6 | |
| CN101478576B (zh) | 选择服务网络的方法、装置和系统 | |
| US20120072727A1 (en) | Multi-isp controlled access to ip networks, based on third-party operated untrusted access stations | |
| US20100223655A1 (en) | Method, System, and Apparatus for DHCP Authentication | |
| KR100738526B1 (ko) | 다중 영구가상회선 접속환경을 위한 중간 인증관리 시스템및 그 방법 | |
| CN101501670B (zh) | 线缆调制解调器初始化中的早期认证 | |
| CN101447879B (zh) | 一种计费的方法及接入设备 | |
| CN101436969B (zh) | 网络接入方法、装置及系统 | |
| EP2838242B1 (en) | Method and apparatus for preventing network-side media access control address from being counterfeited | |
| CN101227481A (zh) | 一种基于dhcp协议的ip接入的方法及其装置 | |
| CN101184099B (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
| CN101656712A (zh) | 一种恢复ip会话的方法、网络系统和网络边缘设备 | |
| CN101471934A (zh) | 动态主机配置协议中双向加密及身份鉴权的方法 | |
| WO2015184853A1 (zh) | 一种IPv6无状态自动配置的认证方法及装置 | |
| CN101527671A (zh) | 一种实现IPv6会话的方法、设备及系统 | |
| JP2001326696A (ja) | アクセス制御方法 | |
| CN101682659B (zh) | 用于验证动态主机配置协议(dhcp)释放消息的方法和装置 | |
| WO2010022535A1 (zh) | 一种在ipv6接入节点中数据包转发的方法和装置 | |
| EP2663049B1 (en) | Authentication method based on dhcp, dhcp server and client | |
| CN106302854B (zh) | 一种控制多DHCP Server动态分配主机地址的方法 | |
| KR101584986B1 (ko) | 네트워크 접속 인증 방법 | |
| CN102577299B (zh) | 简化的接入网认证信息承载协议 | |
| CN101635632A (zh) | 认证与配置方法、系统和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120829 Termination date: 20171115 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |