CN101488976B - 一种ip地址分配方法、网络设备和认证服务器 - Google Patents

Abstract

本发明提供了一种IP地址分配方法、网络设备、认证服务器和地址分配服务器，属于数据通信技术领域。本发明通过设定特权标识和特权IP地址分配规则，并通过网络设备在地址分配请求报文中携带特权标识，为特权用户分配特权IP地址，不需要改变原有网络拓扑，仅通过在原有设备上进行简单的软件升级或配置更改，即可实现为特权用户预留特权IP地址段点，简化了网络管理。

Description

一种IP地址分配方法、网络设备和认证服务器

技术领域

本发明涉及一种IP地址分配方法、网络设备、认证服务器和地址分配服务器，特别是一种基于认证的IP地址分配方法、网络设备、认证服务器和地址分配服务器，属于数据通信技术领域。

背景技术

802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

802.1x客户端与网络设备认证，通常是为了达到安全管控的目的，允许身份验证合格的用户正常使用网络，身份验证不合格的用户则不允许使用网络。

802.1x认证场景如图1所示，客户端接入网络时，使用802.1x认证客户端通过协议报文，把用户名、密码等信息传给网络设备(一般称作网络接入服务器，Network Access Server)，网络设备通过远程用户拨号认证系统(Remote Authentication Dial In User Service，简称RADIUS)协议与认证服务器交互。

如果认证服务器认为相应的用户名和密码匹配正确，则把认证成功信息返回给网络设备，网络设备则允许相应客户端正常通讯；如果认证服务器认为用户名密码匹配错误，则反馈认证失败信息给网络设备，网络设备则拒绝相应客户端在网络上通讯。

在认证服务器上，为了有效组织用户的认证信息，其内部的数据库需要包含“用户名”、“密码”、“客户端媒体访问控制(Media AccessControl，简称MAC)地址”、“客户端连接的网络设备IP地址”等“匹配信息”，还有一部分“客户端授权使用的IP地址”、“续费提示信息”、“广告发布信息”等“下发信息”。这些信息一般由管理员手工输入，或通过其他工具软件批量备份或导入。

在认证过程时，认证报文中会携带部分信息，认证服务器接收后，提取出相关信息与数据库的“匹配信息”进行匹配、核对，如果不一致，则认证失败，例如用户名与密码不匹配。如果匹配成功，则认证服务器把相关“下发信息”通过认证响应报文发送给网络设备，网络设备将根据业界标准或相关产商约定处理这些下发信息。(例如下发广告信息，网络设备则会根据约定转发给客户端，客户端收到这类报文字段，就会弹出广告窗口)

动态主机分配协议(Dynamic Host Configuration Protocol，简称DHCP)是一种动态获取IP地址的协议，具体标准可参见RFC 2131。

图2给出了通过DHCP协议动态获取IP地址的过程，具体步骤如下：

1、客户端首先发出DHCP请求，目的IP地址为广播地址。

2、网络设备收到该报文，并在设备上启动了DHCP中继(DHCP Relay，可以为三层以太网交换机或路由器)功能、配置了网络管理员指定的DHCP服务器(DHCP Server)。网络设备根据DHCP标准约定，将DHCP请求以单播报文方式中继发送给DHCP服务器。

3、DHCP服务器收到DHCP请求，根据DHCP报文、自身可分配IP地址范围、协议标准等信息，按特定算法综合选择出一个IP地址分配给客户端，并以DHCP单播报文方式发送回网络设备。

4、网络设备收到DHCP服务器的报文后，根据报文信息，以广播方式转发给客户端。

5、根据DHCP协议约定，上述过程还需要再交互确认一遍，以便确认IP地址分配正确。

目前在地址分配和网络访问控制方面主要存在以下几个问题：

问题1：无法细化IP地址分配策略。在实际应用中，DHCP分配只能根据网络范围依次(或随机)分配IP地址。

例如某个局域网，可分配IP地址范围为192.168.0.2-192.168.0.200，192.168.0.1作为该局域网的网关IP。该子网如果有客户端发起DHCP动态地址分配请求，DHCP服务器收到请求后只能依次或随机分配IP，而如果IP地址已经全部分配出去，后续申请地址的客户端将无法获取地址，从而无法上网。如果该子网里有部分特权用户，希望能永久分配到地址，则很难做IP地址的预留。

问题2：特权用户并不集中在某一区域，而是散落在各个子网，无法方便的给予特权用户相应网络使用权限。

从网络运营上看，特权用户一般可能因收费高低、身份不同而享有特定的网络使用权限。但特权用户可能分散在各个子网。例如在企业网中，一个部门中只有部门经理具有访问外部网站的权限；在校园网中，可能只有学习干部具有访问部分校园网站的权限。

目前业界内有一部分解决方案，将特权用户的MAC地址绑定到DHCP服务器上。DHCP服务器将MAC地址作为索引固定分配相应IP给这位特权用户。此方案能达到“将IP地址预留给固定MAC地址”的目的，但配置上较为复杂和繁琐，服务器上要有大量的MAC地址与IP地址的绑定列表，并且特权用户如果因为设备损坏、升级等原因而更换，会引起MAC地址的更换，从而需要在DHCP服务器处进行更改，进而加大了网络管理上的复杂度。

另有一部分解决方案，提出了将认证服务器的功能与IP地址分配的功能在同一台服务器上实现，在用户进行身份认证时也根据用户属性来分配IP地址。此方案虽然可以按用户属性来分配IP地址，但完全改变了原有网络拓扑的结构，认证过程与地址分配过程的结合也改变了现有的网络协议，从客户端到网络设备和服务器均需要做私有协议的升级支持，对整个系统需要做很大的改动，此外还可能会引起一些安全方面的问题。

在网络访问控制方面，一般通过访问控制列表(Access Control List，简称ACL)控制不同IP的网络访问权限。

访问控制列表是网络设备上的一种功能，可以配置成过滤器来控制数据包，以决定经过网络设备的数据包是继续向前传递到它的目的地还是丢弃。因此，可以通过访问控制列表实现特权用户的访问权限。

但正因为上述问题2所提到的，用户IP地址比较分散，会产生大量的访问控制列表，不仅不方便管理，还会因为网络设备上访问控制列表数量限制，而可能达不到预期效果。

发明内容

本发明的目的是提供一种IP地址分配方法、网络设备、认证服务器和地址分配服务器，不改变原有网络拓扑，仅通过在原有设备上进行简单的软件升级或配置更改，即可实现为特权用户预留特权IP地址段点，简化了网络管理。

为实现上述目的，本发明提供了一种IP地址分配方法，所述方法包括：

设置特权用户的第一用户属性和特权标识的对应关系；

获取特权标识并根据特权标识配置特权IP地址分配规则；

网络设备接收包含第一用户属性的认证请求报文，并向认证服务器发送；

认证通过后，认证服务器根据第一用户属性匹配特权标识，生成包含第二用户属性的用户信息，将所述用户信息和匹配到的特权标识发送给网络设备，网络设备保存所述用户信息和特权标识；

网络设备接收包含第二用户属性的地址分配请求报文，并根据第二用户属性匹配特权标识，将匹配到的特权标识携带在地址分配请求报文中，并发送给地址分配服务器；

地址分配服务器根据地址分配请求报文中的特权标识和特权IP地址分配规则匹配得到特权IP地址，并将所述特权IP地址通过网络设备发送给用户终端。

为了实现上述目的，本发明还提供了一种网络设备，所述网络设备包括信息接收单元、用户信息存储单元、特权标识匹配单元、特权标识携带单元和信息发送单元；

所述信息接收单元用于：接收认证服务器发来的包含第二用户属性的用户信息和特权标识，并发送给用户信息存储单元；接收包含第二用户属性的地址分配请求报文，并发送给特权标识匹配单元；

所述用户信息存储单元，与信息接收单元连接，用于存储包含第二用户属性的用户信息和特权标识；

所述特权标识匹配单元，与信息接收单元和用户信息存储单元连接，用于根据第二用户属性匹配得到特权标识，并发送给特权标识携带单元；

所述特权标识携带单元，与信息发送单元和特权标识匹配单元连接，用于将匹配到的特权标识携带在地址分配请求报文中；

所述信息发送单元用于将携带了特权标识的地址分配请求报文发送给地址分配服务器。

为了实现上述目的，本发明又提供了一种认证服务器，包括特权标识配置单元、特权标识获取单元、用户信息生成单元和用户信息发送单元，

所述特权标识配置单元用于设置特权用户的第一用户属性和特权标识的对应关系；

所述特权标识获取单元与特权标识配置单元连接，用于根据第一用户属性匹配特权标识，并将匹配到的特权标识发送给用户信息发送单元；

所述用户信息生成单元用于生成包含第二用户属性的用户信息，并发送给用户信息发送单元；

所述用户信息发送单元与特权标识获取单元和用户信息生成单元连接，用于将所述用户信息和特权标识发送给网络设备。

本发明通过设定特权标识和特权IP地址分配规则，并通过网络设备在地址分配请求报文中携带特权标识，为特权用户分配特权IP地址，不需要改变原有网络拓扑，仅通过在原有设备上进行简单的软件升级或配置更改，即可实现为特权用户预留特权IP地址段点，简化了网络管理。

附图说明

图1为802.1x认证过程示意图

图2为DHCP协议IP地址获取过程示意图

图3为本发明一种IP地址分配方法实施例一示意图

图4为本发明一种IP地址分配方法实施例二示意图

图5为本发明一种IP地址分配方法实施例三示意图

图6为本发明一种IP地址分配方法实施例四示意图

图7为本发明一种网络设备实施例一示意图

图8为本发明一种网络设备实施例二示意图

图9为本发明一种网络设备实施例三示意图

图10为本发明一种认证服务器结构示意图

图11为本发明一种地址分配服务器结构示意图

具体实施方式

本发明实施例提供了一种IP地址分配方法、系统和网络设备，用于解决IP地址分配细化问题和用户网络权限管理问题，下面结合附图对本发明进行具体的说明。

图3给出了本发明一种IP地址分配方法实施例一示意图，所述方法包括以下步骤：

步骤S1：设置特权用户的第一用户属性和特权ID的对应关系。实际设置时可以在认证服务器进行设置，也可以在其它设备上设置，认证服务器在需要时获取此对应关系。具体设置时，可以使用手动方法对特权用户分配特权ID，例如由服务器提供界面给管理员手动输入，管理员设置特权用户的第一用户属性和特权ID的对应关系，例如将部门经理对应用户名的特权ID设为100，并将配置结果保存在认证服务器的数据库中。所述第一用户属性可以包括如用户名等。

步骤S2：获取特权ID并根据特权ID配置特权IP地址分配规则。具体可以由DHCP服务器获取特权ID并根据特权ID配置特权IP地址分配规则，也可以由其它设备进行此操作，DHCP服务器在需要时获取此分配规则。在DHCP服务器上设置特权IP分配规则时可根据不同的特权ID，设定规则分配特定的IP地址段点。例如特权ID为100的用户为部门经理，则为其分配以2结尾的IP地址，分配的IP地址可以是192.168.0.2，不同部门经理的特权ID相同，分配到的IP地址均以2结尾。

步骤S3：网络设备接收包含第一用户属性的认证请求报文，并向认证服务器发送。

步骤S4：认证通过后，认证服务器根据第一用户属性匹配特权ID，判断是否匹配到特权ID，如果是则执行步骤S5，否则执行步骤S6。所述第一用户属性可选的包括用户名等。

步骤S5：生成包含第二用户属性的用户信息，将所述用户信息和特权标识发送给网络设备，可通过认证响应报文来发送这些信息，执行步骤S7。所述第二用户属性可选的包括如用户终端的MAC地址等。

步骤S6：认证服务器按照认证协议规范发送认证响应报文。

步骤S7：网络设备收到这些信息时，保存所述用户信息和特权ID，可存储在网络设备的信息数据库中。所述用户信息可选的包括用户名、密码、用户终端的MAC地址等。

步骤S8：网络设备接收包含第二用户属性的DHCP请求报文。

步骤S9：网络设备根据DHCP请求报文中的第二用户属性匹配特权ID，判断是否匹配到特权ID，如果是则执行步骤S10，否则执行步骤S11。所述网络设备根据DHCP请求报文中的第二用户属性匹配特权ID可以为：根据用户设备的MAC地址作为索引，在网络设备的信息数据库中搜索特权用户对应的特权ID。

步骤S10：网络设备在DHCP请求报文中携带匹配得到的特权ID，并将DHCP请求报文发送给DHCP服务器，执行步骤S12。

在携带特权ID时可使用DHCP的82号选项(Option 82)字段。在RFC3046中，规定了DHCP报文中的一种选项，称作DHCP中继代理信息选项(DHCPRelay Agent Information Option)，选项号为82(Option 82)，它是由支持DHCP中继的设备对收到的DHCP请求报文附带上一部分选项信息，选项信息的参数值可以是设备收到DHCP报文的接口号，或其他链路信息等。DHCP报文转发给服务器后，服务器会根据选项信息进行信息记录或IP地址策略分配调整等。使用82号选项符合DHCP协议标准规定，因此只需要在DHCP服务器端更改配置即可，但不排除使用其它选项字段也可实现此功能。

步骤S11：网络设备按DHCP协议规范，把请求报文发送给DHCP服务器。

步骤S12：DHCP服务器查看DHCP请求报文中是否包含特权ID，如果是则执行步骤S13，否则执行步骤S14。

步骤S13：DHCP服务器根据特权ID和特权IP地址分配规则来查找特权IP的范围，从中选择特权IP分配给特权用户，并将所述特权IP地址通过网络设备发送给用户终端，通常通过DHCP响应报文来发送。

步骤S14：DHCP服务器分配除特权IP地址之外的普通IP地址，并将普通IP地址发送给用户。

在DHCP服务器上，为特权用户预留特定的IP地址，非特权用户不能占用特权用户的IP地址。

图4给出了本发明一种IP地址分配方法实施例二示意图，本实施例除了包括方法实施例一的步骤外，还包括以下步骤：

步骤S15：网络设备收到DHCP服务器发来的特权IP后，为了防止IP地址盗用，可以把DHCP服务器分配的特权IP地址与特权用户终端的MAC地址做绑定，即在该特权用户使用网络期间，此特权IP地址只能给相应特权用户设备的MAC地址使用，其他用户无法使用此特权IP地址。

图5给出了本发明一种IP地址分配方法实施例三示意图，本实施例除了包括方法实施例一的步骤外，还包括以下步骤：

S16：网络设备在访问控制列表ACL中配置特权IP地址的访问权限。特权用户有了特定的IP地址后，网络管理员可以很方便的通过访问控制列表等手段来控制不同用户的访问权限。例如：部门经理分配得到的IP地址均以2结尾，在设定访问控制列表时，允许IP地址以2结尾的IP地址访问一些受限网络站点，其他IP则不允许访问。具体在配置ACL时，DHCP服务器可向网络设备下发特权用户对应的IP地址段点，管理员设置相应IP地址段点的访问权限，或者管理员直接手动输入对应IP地址段点，并设置相应的访问权限。

网络管理员还可以根据需要，划分出多种特权ID，从而划分出更多类别的特权用户，对不同的特权用户给予不同的访问权限，进而产生更多的网络安全管理策略。

图6给出了本发明一种IP地址分配方法实施例四示意图，本实施例除了包括方法实施例一的步骤外，还包括以下步骤：

步骤S17：网络设备收到DHCP请求报文后，如DHCP请求报文中已包含特权ID，则删除特权ID。

在本方案中，特权ID是核心。为了防止特权ID欺骗，网络设备只认可指定认证服务器下发的特权ID。因此，如果网络设备收到的DHCP请求报文已经包含了特权ID值，则说明可能存在异常的“特权ID欺骗”，此时应将DHCP请求报文中的特权ID删除。

进一步的，认证服务器的特权ID设定与分配可以与DHCP服务器的特权ID与特权IP地址分配进行关联，例如可通过认证服务器与DHCP服务器的数据库信息同步、自动转化进行自动化关联，如此提升了网络管理的简易性，减少了网络管理员在两个服务器上来回修订的维护复杂性。

本发明还提供了一种网络设备，图7给出了本发明一种网络设备实施例一示意图，包括信息接收单元M1、用户信息存储单元M2、特权标识匹配单元M3、特权标识携带单元M4和信息发送单元M5。

信息接收单元M1用于：接收认证服务器发来的包含第二用户属性的用户信息和特权ID，并发送给用户信息存储单元；接收包含第二用户属性的DHCP请求报文，并发送给特权标识匹配单元。

用户信息存储单元M2，与信息接收单元M1连接，用于存储包含第二用户属性的用户信息和特权ID。

特权标识匹配单元M3，与信息接收单元M1和用户信息存储单元M2连接，用于根据第二用户属性匹配得到特权ID，并发送给特权标识携带单元M4；

特权标识携带单元M4，与信息发送单元M5和特权标识匹配单元M3连接，用于将匹配到的特权ID携带在DHCP请求报文中。

特权标识携带单元还可以用于在收到DHCP请求报文后，如DHCP请求报文中已包含特权ID，则删除所述特权ID。

信息发送单元M5用于将携带了特权标识的地址分配请求报文发送给地址分配服务器。

图8为本发明一种网络设备实施例二示意图，本实施例除了具有网络设备实施例一的结构特征外，还包括MAC地址绑定单元M6，与信息接收单元M1连接，用于收到DHCP服务器发送给用户终端的特权IP后，将特权IP与所述特权IP对应用户终端的MAC地址绑定。

图9为本发明一种网络设备实施例三示意图，本实施例除了具有网络设备实施例一的结构特征外，还包括访问控制列表设置单元M7，用于在访问控制列表中配置特权IP地址的访问权限。

本实施例不仅限于图9所示的在网络设备实施例一的基础上添加访问控制列表设置单元M7的情况，还包括在网络设备实施例二的基础上添加访问控制列表设置单元M7。

本发明又提供了一种认证服务器，图10给出了认证服务器的结构示意图，包括特权标识配置单元A1、特权标识获取单元A2、用户信息生成单元A3和用户信息发送单元A4，

特权标识配置单元A1用于设置特权用户的第一用户属性和特权标识的对应关系；

特权标识获取单元A2与特权标识配置单元A1连接，用于根据第一用户属性匹配特权标识，并将匹配到的特权标识发送给用户信息发送单元A4；

用户信息生成单元A3用于生成包含第二用户属性的用户信息，并发送给用户信息发送单元A4；

用户信息发送单元A4与特权标识获取单元A2和用户信息生成单元A3连接，用于将所述用户信息和特权标识发送给网络设备。

本发明又提供了一种地址分配服务器，即一种DHCP服务器，图11给出了地址分配服务器的结构示意图，包括：地址分配规则设置单元B1，用于获取特权ID并根据特权ID配置特权IP地址分配规则；地址分配单元B2，与地址分配规则设置单元B1连接，用于根据地址分配请求报文中的特权ID和特权IP地址分配规则匹配得到特权IP地址。

通过上述实施例可见，本发明通过设定特权标识和特权IP地址分配规则，并通过网络设备在地址分配请求报文中携带特权标识，为特权用户分配特权IP地址，不需要改变原有网络拓扑，仅通过在原有设备上进行简单的软件升级或配置更改，即可实现为特权用户预留特权IP地址段点，简化了网络管理。

本发明通过特权ID将特权用户与IP地址相关联，并根据IP地址分配规则来设定访问控制列表，从而控制和管理用户的访问权限，有效地解决在动态地址分配的情况下，分散在各处的特权用户能方便的享有网络管理员给予的网络访问权限的问题，提升网络管理及权限分配的简便性。

本发明还通过在网络设备中自动结合IP地址与MAC地址的绑定，可避免IP地址盗用，进而提升网络安全性。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种IP地址分配方法，其特征在于，所述方法包括：

设置特权用户的第一用户属性和特权标识的对应关系；

获取特权标识并根据特权标识配置特权IP地址分配规则；

网络设备接收包含第一用户属性的认证请求报文，并向认证服务器发送；

认证通过后，认证服务器根据第一用户属性匹配特权标识，生成包含第二用户属性的用户信息，将所述用户信息和匹配到的特权标识发送给网络设备，网络设备保存所述用户信息和特权标识；

网络设备接收包含第二用户属性的地址分配请求报文，并根据第二用户属性匹配特权标识，将匹配到的特权标识携带在地址分配请求报文中，并发送给地址分配服务器；

地址分配服务器根据地址分配请求报文中的特权标识和特权IP地址分配规则匹配得到特权IP地址，并将所述特权IP地址发送给网络设备。

2.根据权利要求1所述的IP地址分配方法，其特征在于，所述网络设备接收包含第二用户属性的地址分配请求报文后，还包括：当所述地址分配请求报文中已包含特权标识时，删除所述特权标识。

3.根据权利要求1所述的IP地址分配方法，其特征在于，所述将所述特权IP地址发送给网络设备后，还包括：网络设备将特权IP地址与所述特权IP对应用户终端的媒体访问控制MAC地址绑定。

4.根据权利要求1所述的IP地址分配方法，其特征在于，所述将所述特权IP地址发送给网络设备后，还包括：网络设备在访问控制列表中配置特权IP地址的访问权限。

5.根据权利要求1-4所述的任一IP地址分配方法，其特征在于，所述设置特权用户的第一用户属性和特权标识的对应关系具体为：在认证服务器上设置特权用户的第一用户属性和特权标识的对应关系；所述获取特权标识并根据特权标识配置特权IP地址分配规则具体为：地址分配服务器通过与认证服务器自动关联来获取特权标识并配置特权IP地址分配规则。

6.根据权利要求1-4所述任一的IP地址分配方法，其特征在于，所述将匹配到的特权标识携带在地址分配请求报文中，具体为：将匹配到的特权标识携带在地址分配请求报文的选项字段中。

7.一种网络设备，其特征在于，包括信息接收单元、用户信息存储单元、特权标识匹配单元、特权标识携带单元和信息发送单元；

所述信息接收单元用于：接收认证服务器发来的包含第二用户属性的用户信息和特权标识，并发送给用户信息存储单元；接收包含第二用户属性的地址分配请求报文，并发送给特权标识匹配单元；

所述用户信息存储单元，与信息接收单元连接，用于存储包含第二用户属性的用户信息和特权标识；

所述特权标识匹配单元，与信息接收单元和用户信息存储单元连接，用于根据第二用户属性匹配得到特权标识，并发送给特权标识携带单元；

所述特权标识携带单元，与信息发送单元和特权标识匹配单元连接，用于将匹配到的特权标识携带在地址分配请求报文中；

所述信息发送单元用于将携带了特权标识的地址分配请求报文发送给地址分配服务器。

8.根据权利要求7所述的网络设备，其特征在于，所述特权标识匹配单元还用于：在接收的所述地址分配请求报文中已包含特权标识时，删除所述特权标识。

9.根据权利要求7所述的网络设备，其特征在于，所述设备还包括：MAC地址绑定单元，与信息接收单元连接，用于将地址分配服务器发送给用户终端的特权IP地址与所述用户终端的MAC地址绑定。

10.根据权利要求7-9所述的任一网络设备，其特征在于，所述设备还包括访问控制列表设置单元，用于在访问控制列表中配置特权IP地址的访问权限。

11.一种认证服务器，其特征在于，包括特权标识配置单元、特权标识获取单元、用户信息生成单元和用户信息发送单元，

所述特权标识配置单元用于设置特权用户的第一用户属性和特权标识的对应关系；

所述特权标识获取单元与特权标识配置单元连接，用于根据第一用户属性匹配特权标识，并将匹配到的特权标识发送给用户信息发送单元；

所述用户信息生成单元用于生成包含第二用户属性的用户信息，并发送给用户信息发送单元；

所述用户信息发送单元与特权标识获取单元和用户信息生成单元连接，用于将所述用户信息和特权标识发送给网络设备。

Images