CN102882994A - Ip地址分配、获取方法及装置 - Google Patents
Ip地址分配、获取方法及装置 Download PDFInfo
- Publication number
- CN102882994A CN102882994A CN2012104319318A CN201210431931A CN102882994A CN 102882994 A CN102882994 A CN 102882994A CN 2012104319318 A CN2012104319318 A CN 2012104319318A CN 201210431931 A CN201210431931 A CN 201210431931A CN 102882994 A CN102882994 A CN 102882994A
- Authority
- CN
- China
- Prior art keywords
- client
- message
- address
- authentication
- authenticated domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
Abstract
本发明涉及一种IP地址分配、获取方法及装置。该IP地址分配方法包括以下步骤:每隔预先设定的时间向客户端发送认证请求报文;接收所述客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;根据所述响应报文向服务器发送认证报文;接收所述服务器发送的认证回复报文,所述认证回复报文中携带有所述服务器授权给所述用户的认证域的信息;根据所述认证回复报文判断所述用户的认证域是否发生变化;如果所述用户的认证域发生变化,根据所述认证回复报文向所述客户端发送认证域变更报文,以使所述客户端重新获取IP地址。
Description
技术领域
本发明涉及通信领域,尤其涉及一种IP地址分配、获取方法及装置。
背景技术
在基于IP地址进行转发的通信层L3的网络接纳控制(Network AdmissionControl,NAC)系统中交换机根据认证服务器对用户规划的认证域,为客户端分配相应的IP地址。当认证服务器对用户规划的认证域发生变化时,客户端的IP地址并没有变化,此时,用户不能访问之前认证域的资源也不能访问当前认证域的资源,只能通过用户手动将之前的IP地址释放,再重新申请IP地址,才能访问当前认证域的资源。
现有技术中,在认证服务器切换用户的认证域之前,将交换机的端口短暂的关闭,在切换用户的认证域之后再重新开启端口。客户端与交换机直接连接,则客户端的网卡会根据交换机端口的状态进行断开和连接,在重新连接的过程中获取当前认证域相应的IP地址,无需用户进行手动操作。
但是,上述技术只适用于客户端直接与交换机连接的情况,当客户端与交换机之间连接其他设备时,则客户端无法感知交换机端口的关闭和开启,因此无法重新获取IP地址。并且在实际的组网中,交换机的端口不仅仅只连接一个客户端,当端口关闭和开启时,会影响到与其他客户端的连接状态。其运行成本高,并且约束性大,扩展性小。
发明内容
本发明实施例提供了一种IP地址分配、获取方法及装置,通过告知客户端其承载的用户的认证域发生变化,使得客户端自动获取新的IP地址,从而解决了现有技术约束性大,扩展性小的问题。
为实现上述目的,在第一方面,本发明提供了一种IP地址分配方法,该方法包括:
每隔预先设定的时间向客户端发送认证请求报文;
接收所述客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;
根据所述响应报文向服务器发送认证报文;
接收所述服务器发送的认证回复报文,所述认证回复报文中携带有所述服务器授权给所述用户的认证域的信息;
根据所述认证回复报文判断所述用户的认证域是否发生变化;
如果所述用户的认证域发生变化,根据所述认证回复报文向所述客户端发送认证域变更报文,以使所述客户端根据所述认证域变更报文重新获取IP地址。
优选地,所述认证域变更报文中携带有指示所述客户端重新获取IP地址的标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:客户端根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
优选地,所述认证域变更报文携带有分配给所述客户端的IP地址标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:客户端从所述分配给所述客户端的IP地址标识中获取IP地址。
优选地,所述认证回复报文为用户认证成功时,则所述认证域变更报文为基于局域网的扩展认证协议的认证成功EAPol Success报文,所述标识为类型-长度-值TLV格式的OPTION选项标识。
优选地,所述认证回复报文为用户认证失败时,则所述认证域变更报文为基于局域网的扩展认证协议的认证失败EAPol Failure报文,所述标识为TLV格式的OPTION选项标识。
进一步地,所述预先设定的时间是预先根据所述服务器授权的重新认证时间间隔配置的。
在第二方面,本发明提供了一种IP地址获取方法,该方法包括:
接收交换机每隔预先设定的时间发送的认证请求报文;
向所述交换机发送响应报文,所述响应报文中携带有客户端承载的用户的认证信息,以使所述交换机根据所述响应报文向服务器发送认证报文;
如果所述用户的认证域发生变化,接收所述交换机发送的认证域变更报文,所述认证域变更报文是由所述交换机根据所述服务器发送的认证回复报文生成的;
根据所述认证域变更报文重新获取IP地址。
优选地,所述认证域变更报文中携带有指示客户端重新获取IP地址的标识,则所述根据所述认证域变更报文重新获取IP地址具体为:根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
优选地,所述认证域变更报文中携带有分配给客户端的IP地址标识,则所述根据所述认证域变更报文重新获取IP地址具体为:从所述分配给所述客户端的IP地址标识中获取IP地址。
优选地,所述认证回复报文为用户认证成功时,所述认证域变更报文为EAPol Success报文,所述标识为TLV格式的OPTION选项标识。
优选地,所述认证回复报文为用户认证失败时,所述认证域变更报文为EAPol Failure报文,所述标识为TLV格式的OPTION选项标识。
在第三方面,本发明提供了一种IP地址分配装置,该装置包括:
第一发送单元,用于每隔预先设定的时间向客户端发送认证请求报文;
第一接收单元,用于接收所述客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;
第二发送单元,用于根据所述响应报文向服务器发送认证报文;
第二接收单元,用于接收所述服务器发送的认证回复报文,所述认证回复报文中携带有所述服务器授权给所述用户的认证域的信息;
判断单元,用于根据所述认证回复报文判断所述用户的认证域是否发生变化;
所述第一发送单元,还用于如果所述用户的认证域发生变化,根据所述认证回复报文向所述客户端发送认证域变更报文,以使所述客户端根据所述认证域变更报文重新获取IP地址。
优选地,所述认证域变更报文中携带有指示所述客户端重新获取IP地址的标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:客户端根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
优选地,所述认证域变更报文携带有分配给所述客户端的IP地址标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:客户端从所述分配给所述客户端的IP地址标识中获取IP地址。
进一步地,所述装置还包括:配置单元,用于预先根据所述服务器授权的重新认证时间间隔配置所述预先设定的时间。
在第四方面,本发明提供了一种IP地址获取装置,该装置包括:
接收单元,用于接收交换机每隔预先设定的时间发送的认证请求报文;
发送单元,用于向所述交换机发送响应报文,所述响应报文中携带有客户端承载的用户的认证信息,以使所述交换机根据所述响应报文向服务器发送认证报文;
所述接收单元,还用于如果所述用户的认证域发生变化,接收所述交换机发送的认证域变更报文,所述认证域变更报文是根据所述服务器发送的认证回复报文生成的;
获取单元,用于根据所述认证域变更报文重新获取IP地址。
优选地,所述认证域变更报文中携带有指示客户端重新获取IP地址的标识,则所述获取单元具体用于根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
优选地,所述认证域变更报文中携带有分配给客户端的IP地址标识,则所述获取单元具体用于从所述分配给所述客户端的IP地址标识中获取IP地址。
本发明通过报文告知客户端其承载的用户的认证域被修改,使得在交换机与客户端之间存在其他组网或设备时,客户端也能够感知其承载的用户的认证域发生变化,并自动重新获取IP地址。并且,在一个客户端进行IP地址更新时,不影响其他客户端与交换机的连接。本发明的应用范围广,并且能够降低系统的部署难度和运维成本。
附图说明
图1为本发明实施例的系统架构示意图;
图2为本发明实施例提供的一种IP地址分配方法的流程图;
图3为本发明实施例提供的一种IP地址获取方法的流程图;
图4为本发明实施例提供的一种IP地址分配装置的结构示意图;
图5为本发明实施例提供的另一种IP地址分配装置的结构示意图;
图6为本发明实施例提供的一种IP地址获取装置的结构示意图;
图7为本发明实施例提供的一种IP地址分配装置的另一种结构示意图;
图8为本发明实施例提供的一种IP地址获取装置的另一种结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先,介绍本发明实施例提供的一种IP地址分配方法的应用场景。如图1所示,其为本发明实施例的系统架构示意图。
本发明实施例提供的IP地址分配方法应用于L3NAC系统,L3NAC系统中包括:客户端11,交换机12及服务器13。客户端11首次进行认证时,交换机12接收到客户端11发送的发起认证报文后,交换机12向客户端11发送认证请求报文,以请求客户端11承载的用户的认证信息;然后,交换机12接收客户端11发送的响应报文,该响应报文中携带所述用户的认证信息(如,用户名等能够识别用户身份的信息,以及密码等能够对用户身份进行认证的信息);此后,交换机12向服务器13发送所述响应报文中携带的所述用户的认证信息,服务器13根据所述用户的认证信息对所述用户进行身份认证;认证成功后,服务器13通过交换机12将认证成功的报文发送给客户端11,客户端11开启动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)流程,获取对应其认证域的IP地址。
具体来说,所述认证域是指认证成功后的用户可访问的数据库。根据用户权限不同,服务器13可以将数据库划分为不同的认证域,并且,不同的认证域仅供不同地址池中的IP地址访问。例如,具有IP地址池1中的IP地址的客户端只能访问认证域1中的资源,而具有IP地址池2中的IP地址的客户端只能访问认证域2中的资源。
当服务器对所述用户认证通过后,假设该用户的权限为访问认证域1中的资源,则DHCP服务器在收到所述客户端的地址分配请求(DHCPrequest)时,从认证域1对应的IP地址池中选择一个IP地址分配给所述客户端。所述DHCP服务器可以集成在所述交换机12上,也可以单独设立。DHCP服务器单独设立的时候,所述交换机12作为DHCP中继在所述客户端和所述DHCP服务器之间转发DHCP报文。
当服务器13对客户端11承载的用户的认证域进行修改后,假设授权该用户访问的资源从认证域1迁移到认证域2中,此时,客户端11访问认证域1不能得到该资源,又不能访问认证域2,客户端11需要重新获取能够访问认证域2的IP地址才能与网络正常连接,因此本发明提供了一种IP地址分配方法,服务器13在客户端11的重新认证过程中,将客户端的认证域的信息发送给交换机12,交换机12在所述用户的认证域发生变化时,向客户端11发送认证域变更报文,使得客户端11通过接收到的认证域变更报文确认其承载的用户的认证域是否发生变化,并在该用户的认证域发生变化时,自动重新获取IP地址。
下面以具体的实施例对本发明进行详细说明。
如图2所示,其为本发明实施例提供的一种IP地址分配方法的流程图。该方法的执行主体可以为图1中的交换机12。具体的,该方法包括以下步骤:
步骤S201,每隔预先设定的时间向客户端发送认证请求报文。
该认证请求报文用于通知客户端需要重新认证,即通知客户端重新发送其承载的用户的认证信息。
其中,预先设定的时间是预先根据服务器授权的重新认证时间间隔配置的。为保证客户端正常的获取资源,服务器需要定时的对客户端承载的用户的认证信息进行重新认证,使得当用户的认证域发生变化时,客户端能够及时获取新的IP地址。
步骤S202,接收客户端发送的响应报文。
该响应报文中携带客户端所承载的用户的认证信息。
步骤S203,根据所述响应报文向服务器发送认证报文。
交换机在接收到客户端发送的响应报文后,将响应报文中携带的用户的认证信息通过认证报文发送至服务器,以使服务器对该用户进行认证。
步骤S204,接收服务器发送的认证回复报文;
该认证回复报文中携带有服务器授权给用户的认证域的信息,以使交换机根据此时服务器授权给用户的认证域信息判断该用户的认证域是否发生变化。
步骤S205,根据所述认证回复报文判断用户的认证域是否发生变化。
具体的,如果认证回复报文为用户认证成功,则服务器通过认证回复报文将授权给该用户的认证后域的信息发送到交换机,交换机根据此时服务器授权给该用户的认证后域的信息判断该用户的认证后域是否发生变化,如果此时服务器授权给该用户的认证后域与之前的认证后域不同,则执行步骤S206。如果没有变化,则不执行步骤S206,重新执行步骤S201。所述认证后域是指用户认证成功后所述用户可访问的认证域;认证前域是指用户认证完成前所述用户可访问的认证域。所述认证完成前包括了认证失败和没有进行认证。
如果认证回复报文为用户认证失败,则服务器通过认证回复报文将授权给该用户的认证前域的信息发送至交换机。因为用户认证失败时,用户的认证域必然会发生变化,所以交换机在接收到用户认证失败的认证回复报文后,便可直接确定该用户的认证域发生了变化,直接执行步骤S206。
步骤S206,根据所述认证回复报文向客户端发送认证域变更报文。
具体的,交换机根据认证回复报文中携带的服务器授权给所述用户的认证域的信息构造认证域变更报文,向客户端发送该认证域变更报文,以使客户端根据该认证域变更报文重新获取IP地址。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识,则客户端根据该认证域变更报文中携带的指示所述客户端重新获取IP地址的标识建立DHCP流程,通过建立DHCP流程重新获取IP地址。
优选地,该认证域变更报文中携带有分配给客户端的IP地址标识,则客户端进行自动刷新,从该认证域变更报文中携带的分配给客户端的IP地址标识中获取IP地址。该获取IP地址的方式无需客户端重新发起DHCP流程,直接通过刷新便可获取新的IP地址,更方便快捷,且能够节省网络开销。
优选地,认证回复报文为用户认证成功时,则认证域变更报文为EAPolSuccess报文,认证域变更报文携带的指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识为TLV格式的OPTION选项标识。
优选地,认证回复报文为用户认证失败时,则认证域变更报文为EAPolFailure报文,认证域变更报文携带的指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识为TLV格式的OPTION选项标识。
利用本实施例提供的IP地址分配方法,当交换机和客户端之间连接有其他组网或设备时,根据交换机发送的认证域更改报文客户端能够自动感知其承载的用户的认证域是否发生变化,从而在用户的认证域发生变化时,客户端能够自动重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
如图3所示,其为本发明实施例提供的一种IP地址获取方法的流程图。该方法的执行主体为客户端,具体的,该方法包括以下步骤:
步骤S301,接收交换机每隔预先设定的时间发送的认证请求报文。
该认证请求报文用于交换机请求客户端承载的用户的认证信息。
其中,预先设定的时间是交换机预先根据服务器授权的重新认证时间间隔配置的。
步骤S302,向交换机发送响应报文。
该响应报文中携带有客户端承载的用户的认证信息,以使交换机将该响应报文中携带的用户的认证信息通过认证报文发送至服务器。
步骤S303,如果用户的认证域发生变化,接收交换机发送的认证域变更报文。
该认证域变更报文是由交换局根据服务器发送的认证回复报文生成的。
具体的,服务器接收到认证报文后,对该认证报文中携带的用户的认证信息进行认证。然后服务器向交换机发送认证回复报文,该认证回复报文中携带有此时服务器授权给用户的认证域信息。交换机接收到该认证回复报文后,根据该认证回复报文中携带的服务器授权给用户的认证域信息判断该用户的认证域是否发生变化,如果此时服务器授权给该用户的认证域与之前的认证域不同,交换机根据此时服务器授权给所述用户的认证域的信息构造认证域变更报文。交换机将该认证域变更报文发送给客户端。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识。
优选地,认证回复报文为用户认证成功时,则认证域变更报文为EAPolSuccess报文,认证域变更报文携带的指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识为TLV格式的OPTION选项标识。
优选地,认证回复报文为用户认证失败时,则认证域变更报文为EAPolFailure报文,认证域变更报文携带的指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识为TLV格式的OPTION选项标识。
步骤S304,根据所述认证域变更报文重新获取IP地址。
客户端接收到认证域变更报文后,确认承载于该客户端的用户的认证域发生是否发生变化,如果发生变化,则自动根据该认证域变更报文重新获取IP地址。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识,则客户端根据该认证域变更报文中携带的指示所述客户端重新获取IP地址的标识建立DHCP流程,通过建立DHCP流程重新获取IP地址。
优选地,该认证域变更报文中携带有分配给客户端的IP地址标识,则客户端进行自动刷新,从该认证域变更报文中携带的分配给客户端的IP地址标识中获取IP地址。该获取IP地址的方式无需客户端重新发起DHCP流程,直接通过刷新便可获取新的IP地址,更方便快捷,且能够节省网络开销。
利用本实施例提供的IP地址获取方法,客户端接收交换机发送的携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识的认证域更改报文,使得在交换机和客户端之间连接有其他组网或设备的情况下,在客户端承载的用户的认证域发生变化时,客户端也能够感知并且重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
相应的,本发明提供一种IP地址分配装置,该装置应用于交换机。如图4所示,其为本发明实施例提供的一种IP地址分配装置的结构示意图,该装置包括:第一发送单元410,第一接收单元420,第二发送单元430,第二接收单元440及判断单元450。
第一发送单元410用于每隔预先设定的时间向客户端发送认证请求报文。
该认证请求报文用于通知客户端需要重新认证,即通知客户端重新发送其承载的用户的认证信息。
其中,预先设定的时间是预先根据服务器授权的重新认证时间间隔配置的。为保证客户端正常的获取资源,服务器需要定时的对客户端承载的用户的认证信息进行重新认证,使得当用户的认证域发生变化时,客户端能够及时获取新的IP地址。
因此,该IP地址分配装置还包括配置单元460,如图5所示,其为本发明实施例提供的另一种IP地址分配装置的结构示意图。配置单元460用于预先根据服务器授权的重新认证时间间隔配置上述预先设定的时间。
第一接收单元420用于接收客户端发送的响应报文,该响应报文中携带有客户端承载的用户的认证信息。
第二发送单元430用于根据所述响应报文向服务器发送认证报文。
在第一接收单元420接收到客户端发送的响应报文后,第二发送单元430将响应报文中携带的用户的认证信息通过认证报文发送至服务器,以使服务器对该用户进行认证。
第二接收单元440用于接收服务器发送的认证回复报文,该认证回复报文中携带有服务器授权给用户的认证域的信息。
判断单元450用于根据所述认证回复报文判断用户的认证域是否发生变化。
具体的,如果认证回复报文为用户认证成功,则认证回复报文中携带有服务器授权给该用户的认证后域的信息,判断单元450根据此时服务器授权给该用户的认证后域的信息判断该用户的认证后域是否发生变化,如果此时服务器授权给该用户的认证后域与之前的认证后域不同,则确定该用户的认证域发生了变化。
如果认证回复报文为用户认证失败,则认证回复报文中携带有服务器授权给该用户的认证前域的信息。因为用户认证失败时,用户的认证域必然会发生变化,所以在第二接收单元440接收到用户认证失败的认证回复报文后,判断单元450便可直接确定该用户的认证域发生了变化。
第一发送单元410还用于如果用户的认证域发生变化,根据认证回复报文向客户端发送认证域变更报文,以使客户端根据认证域变更报文重新获取IP地址。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识,则客户端根据该认证域变更报文中携带的指示所述客户端重新获取IP地址的标识建立DHCP流程,通过建立DHCP流程重新获取IP地址。
优选地,该认证域变更报文中携带有分配给客户端的IP地址标识,则客户端进行自动刷新,从该认证域变更报文中携带的分配给客户端的IP地址标识中获取IP地址。该获取IP地址的方式无需客户端重新发起DHCP流程,直接通过刷新便可获取新的IP地址,更方便快捷,且能够节省网络开销。
利用本实施例提供的IP地址分配装置,当客户端承载的用户的认证域发生变化时,该装置根据接收到的认证回复报文向客户端发送认证域更改报文,使得在交换机和客户端之间连接有其他组网或设备的情况下,客户端也能够感知其承载的用户的认证域发生变化并重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
相应的,本发明提供一种IP地址获取装置,该装置应用于客户端。如图6所示,其为本发明实施例提供的一种IP地址获取装置的结构示意图,该装置包括:接收单元610,发送单元620及获取单元630。
接收单元610用于接收交换机每隔预先设定的时间发送的认证请求报文。
该认证请求报文用于交换机请求客户端承载的用户的认证信息。
其中,预先设定的时间是交换机预先根据服务器授权的重新认证时间间隔配置的。
发送单元620用于向交换机发送响应报文,该响应报文中携带有客户端承载的用户的认证信息,以使交换机根据该响应报文向服务器发送认证报文。
交换机在接收到该响应报文后,将响应报文中携带的用户的认证信息通过认证报文发送至服务器,以使服务器对该用户进行认证。
接收单元610还用于如果用户的认证域发生变化,接收交换机发送的认证域变更报文,该认证域变更报文是由交换机根据服务器发送的认证回复报文生成的。
具体的,服务器接收到认证报文后,对该认证报文中携带的用户的认证信息进行认证。然后服务器向交换机发送认证回复报文,该认证回复报文中携带有此时服务器授权给用户的认证域信息。交换机接收到该认证回复报文后,根据该认证回复报文中携带的服务器授权给用户的认证域信息判断该用户的认证域是否发生变化,如果此时服务器授权给该用户的认证域与之前的认证域不同,交换机根据此时服务器授权给所述用户的认证域的信息构造认证域变更报文。交换机将该认证域变更报文发送给客户端。接收单元610接收该认证域变更报文。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识。
获取单元630用于根据所述认证域变更报文重新获取IP地址。
优选地,该认证域变更报文中携带有指示客户端重新获取IP地址的标识,则获取单元630根据该认证域变更报文中携带的指示所述客户端重新获取IP地址的标识建立DHCP流程,通过建立DHCP流程重新获取IP地址。
优选地,该认证域变更报文中携带有分配给客户端的IP地址标识,则获取单元630进行自动刷新,从该认证域变更报文中携带的分配给客户端的IP地址标识中获取IP地址。该获取IP地址的方式无需客户端重新发起DHCP流程,直接通过刷新便可获取新的IP地址,更方便快捷,且能够节省网络开销。
利用本实施例提供的IP地址获取装置,该装置接收交换机发送的携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识的认证域更改报文,使得在交换机和客户端之间连接有其他组网或设备的情况下,在客户端承载的用户的认证域发生变化时,客户端也能够感知并且重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
另外,本发明实施例提供的一种IP地址分配装置可采用另一种方式实现,如图7所示,为本发明实施例提供的一种IP地址分配装置的另一种结构示意图。该IP地址分配装置应用于交换机,包括:网络接口710、处理器720,存储器730和系统总线740。
系统总线740用于连接网络接口710、处理器720和存储器730。
网络接口710用于与其它设备、装置及服务器进行通信。
存储器730可以是永久存储器,例如硬盘驱动器和闪存,存储器730中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块;设备驱动程序可以是网络和接口驱动程序。
在启动时,这些软件组件被加载到存储器730中,然后被处理器720访问并执行以下指令:
每隔预先设定的时间向客户端发送认证请求报文;
接收客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;
根据所述响应报文向服务器发送认证报文;
接收服务器发送的认证回复报文,所述认证回复报文中携带有服务器授权于用户的认证域的信息;
根据所述认证回复报文判断用户的认证域是否发生变化;
如果用户的认证域发生变化,根据所述认证回复报文向客户端发送认证域变更报文,以使客户端根据认证域变更报文重新获取IP地址。
本实施例的IP地址分配装置通过报文告知客户端其承载的用户的认证域被修改,需要重新获取IP地址。
优选地,认证回复报文携带有指示客户端重新获取IP地址的标识或分配给所述客户端的IP地址标识。
利用本实施例提供的IP地址分配装置,该装置根据接收到的认证回复消息向客户端发送携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识的认证域更改报文,使得在交换机和客户端之间连接有其他组网或设备的情况下,在客户端承载的用户的认证域发生变化时,客户端也能够感知并且重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
另外,本发明实施例提供的一种IP地址获取装置可采用另一种方式实现,如图8所示,为本发明实施例提供的一种IP地址获取装置的另一种结构示意图。该IP地址获取装置应用于客户端,包括:网络接口810、处理器820,存储器830和系统总线840。
系统总线840用于连接网络接口810、处理器820和存储器830。
网络接口810用于与其它设备、装置及服务器进行通信。
存储器830可以是永久存储器,例如硬盘驱动器和闪存,存储器830中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块;设备驱动程序可以是网络和接口驱动程序。
在启动时,这些软件组件被加载到存储器830中,然后被处理器820访问并执行以下指令:
接收交换机每隔预先设定的时间发送的认证请求报文;
向交换机发送响应报文,所述响应报文中携带有客户端承载的用户的认证信息,以使交换机根据该响应报文向服务器发送认证报文;
如果用户的认证域发生变化,接收交换机发送的认证域变更报文,所述认证域变更报文是由交换机根据服务器发送的认证回复报文生成的;
根据认证域变更报文重新获取IP地址。
本实施例的IP地址获取装置通过交换机发送的认证域变更报文感知客户端承载的用户的认证域发生了变化,并根据该认证域变更报文重新获取IP地址。
优选地,认证域变更报文中携带有指示客户端重新获取IP地址的标识,则所述根据认证域变更报文重新获取IP地址的过程指令具体为:
根据认证域变更报文中携带的指示所述客户端重新获取IP地址的标识建立DHCP流程,通过建立DHCP流程重新获取IP地址。
优选地,认证域变更报文中携带有分配给客户端的IP地址标识,则所述根据认证域变更报文重新获取IP地址具体为:
通过刷新从认证域变更报文中携带的分配给客户端的IP地址标识中获取IP地址。
利用本实施例提供的IP地址获取装置,接收交换机发送的携带有指示客户端重新获取IP地址的标识或携带有分配给客户端的IP地址标识的认证域变更报文,使得在交换机和客户端之间连接有其他组网或设备的情况下,在客户端承载的用户的认证域发生变化时,客户端也能够感知其承载的用户的认证域发生了变化并重新获取IP地址。并且,在客户端重新获取IP地址时,不影响其它客户端与交换机的正常连接。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种IP地址分配方法,其特征在于,所述方法包括:
每隔预先设定的时间向客户端发送认证请求报文;
接收所述客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;
根据所述响应报文向服务器发送认证报文;
接收所述服务器发送的认证回复报文,所述认证回复报文中携带有所述服务器授权给所述用户的认证域的信息;
根据所述认证回复报文判断所述用户的认证域是否发生变化;
如果所述用户的认证域发生变化,根据所述认证回复报文向所述客户端发送认证域变更报文,以使所述客户端根据所述认证域变更报文重新获取IP地址。
2.根据权利要求1所述的方法,其特征在于,所述认证域变更报文中携带有指示所述客户端重新获取IP地址的标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:
客户端根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
3.根据权利要求1所述的方法,其特征在于,所述认证域变更报文携带有分配给所述客户端的IP地址标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:
客户端从所述分配给所述客户端的IP地址标识中获取IP地址。
4.根据权利要求2或3所述的方法,其特征在于,所述认证回复报文为用户认证成功时,则所述认证域变更报文为基于局域网的扩展认证协议的认证成功EAPol Success报文,所述标识为类型-长度-值TLV格式的OPTION选项标识。
5.根据权利要求2或3所述的方法,其特征在于,所述认证回复报文为用户认证失败时,则所述认证域变更报文为基于局域网的扩展认证协议的认证失败EAPol Failure报文,所述标识为TLV格式的OPTION选项标识。
6.根据权利要求1所述的方法,其特征在于,所述预先设定的时间是预先根据所述服务器授权的重新认证时间间隔配置的。
7.一种IP地址获取方法,其特征在于,所述方法包括:
接收交换机每隔预先设定的时间发送的认证请求报文;
向所述交换机发送响应报文,所述响应报文中携带有客户端承载的用户的认证信息,以使所述交换机根据所述响应报文向服务器发送认证报文;
如果所述用户的认证域发生变化,接收所述交换机发送的认证域变更报文,所述认证域变更报文是由所述交换机根据所述服务器发送的认证回复报文生成的;
根据所述认证域变更报文重新获取IP地址。
8.根据权利要求7所述的方法,其特征在于,所述认证域变更报文中携带有指示客户端重新获取IP地址的标识,则所述根据所述认证域变更报文重新获取IP地址具体为:
根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
9.根据权利要求7所述的方法,其特征在于,所述认证域变更报文中携带有分配给客户端的IP地址标识,则所述根据所述认证域变更报文重新获取IP地址具体为:
从所述分配给所述客户端的IP地址标识中获取IP地址。
10.根据权利要求8或9所述的方法,其特征在于,所述认证回复报文为用户认证成功时,所述认证域变更报文为EAPol Success报文,所述标识为TLV格式的OPTION选项标识。
11.根据权利要求8或9所述的方法,其特征在于,所述认证回复报文为用户认证失败时,所述认证域变更报文为EAPol Failure报文,所述标识为TLV格式的OPTION选项标识。
12.一种IP地址分配装置,其特征在于,所述装置包括:
第一发送单元,用于每隔预先设定的时间向客户端发送认证请求报文;
第一接收单元,用于接收所述客户端发送的响应报文,所述响应报文中携带有客户端承载的用户的认证信息;
第二发送单元,用于根据所述响应报文向服务器发送认证报文;
第二接收单元,用于接收所述服务器发送的认证回复报文,所述认证回复报文中携带有所述服务器授权给所述用户的认证域的信息;
判断单元,用于根据所述认证回复报文判断所述用户的认证域是否发生变化;
所述第一发送单元,还用于如果所述用户的认证域发生变化,根据所述认证回复报文向所述客户端发送认证域变更报文,以使所述客户端根据所述认证域变更报文重新获取IP地址。
13.根据权利要求12所述的装置,其特征在于,所述认证域变更报文中携带有指示所述客户端重新获取IP地址的标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:
客户端根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
14.根据权利要求12所述的装置,其特征在于,所述认证域变更报文携带有分配给所述客户端的IP地址标识,则所述客户端根据所述认证域变更报文重新获取IP地址具体为:
客户端从所述分配给所述客户端的IP地址标识中获取IP地址。
15.根据权利要求12所述的装置,其特征在于,所述装置还包括:
配置单元,用于预先根据所述服务器授权的重新认证时间间隔配置所述预先设定的时间。
16.一种IP地址获取装置,其特征在于,所述装置包括:
接收单元,用于接收交换机每隔预先设定的时间发送的认证请求报文;
发送单元,用于向所述交换机发送响应报文,所述响应报文中携带有客户端承载的用户的认证信息,以使所述交换机根据所述响应报文向服务器发送认证报文;
所述接收单元,还用于如果所述用户的认证域发生变化,接收所述交换机发送的认证域变更报文,所述认证域变更报文是由所述交换机根据所述服务器发送的认证回复报文生成的;
获取单元,用于根据所述认证域变更报文重新获取IP地址。
17.根据权利要求16所述的装置,其特征在于,所述认证域变更报文中携带有指示客户端重新获取IP地址的标识,则所述获取单元具体用于:
根据所述指示所述客户端重新获取IP地址的标识建立DHCP流程重新获取IP地址。
18.根据权利要求16所述的装置,其特征在于,所述认证域变更报文中携带有分配给客户端的IP地址标识,则所述获取单元具体用于:
从所述分配给所述客户端的IP地址标识中获取IP地址。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210431931.8A CN102882994B (zh) | 2012-11-02 | 2012-11-02 | Ip地址分配、获取方法及装置 |
| EP13181496.4A EP2728837B1 (en) | 2012-11-02 | 2013-08-23 | Method and apparatus for allocating and obtaining IP address |
| US14/017,020 US8713659B1 (en) | 2012-11-02 | 2013-09-03 | Method and apparatus for allocating and obtaining IP address |
| JP2013206173A JP5613915B2 (ja) | 2012-11-02 | 2013-10-01 | Ipアドレスを割り当て、取得するための方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210431931.8A CN102882994B (zh) | 2012-11-02 | 2012-11-02 | Ip地址分配、获取方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882994A true CN102882994A (zh) | 2013-01-16 |
| CN102882994B CN102882994B (zh) | 2015-05-06 |
Family
ID=47484136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210431931.8A Active CN102882994B (zh) | 2012-11-02 | 2012-11-02 | Ip地址分配、获取方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8713659B1 (zh) |
| EP (1) | EP2728837B1 (zh) |
| JP (1) | JP5613915B2 (zh) |
| CN (1) | CN102882994B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516395A (zh) * | 2016-01-14 | 2016-04-20 | 深圳市深信服电子科技有限公司 | 网络地址分配方法和装置 |
| CN109447291A (zh) * | 2018-11-22 | 2019-03-08 | 奥士康科技股份有限公司 | 一种检测设备多机网络连线共享数据的方法 |
| WO2020048177A1 (zh) * | 2018-09-05 | 2020-03-12 | 中兴通讯股份有限公司 | 机顶盒管理方法、装置、设备及存储介质 |
| CN113765904A (zh) * | 2021-08-26 | 2021-12-07 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108712387A (zh) * | 2018-04-19 | 2018-10-26 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040228335A1 (en) * | 2003-05-12 | 2004-11-18 | Samsung Electronics Co., Ltd. | System and method for deleting tunnelling in connection between mobile node and correspondent node |
| US20060068799A1 (en) * | 2004-09-27 | 2006-03-30 | T-Mobile, Usa, Inc. | Open-host wireless access system |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
| CN102075904A (zh) * | 2010-12-24 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| CN102546568A (zh) * | 2010-12-31 | 2012-07-04 | 华为技术有限公司 | Ip终端接入网络的方法和装置 |
| CN102710814A (zh) * | 2012-06-21 | 2012-10-03 | 奇智软件(北京)有限公司 | 虚拟机ip地址的控制方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7251826B1 (en) * | 1999-06-07 | 2007-07-31 | Register.Com, Inc. | Domain manager for plural domains and method of use |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| US20040122976A1 (en) * | 2002-10-24 | 2004-06-24 | Ashutosh Dutta | Integrated mobility management |
| US7464136B2 (en) * | 2004-11-05 | 2008-12-09 | Microsoft Corporation | Integrated messaging domain name setup |
| US8601103B2 (en) * | 2006-06-15 | 2013-12-03 | Intel Corporation | Method, apparatus and system for distributing and enforcing authenticated network connection policy |
| US8285875B2 (en) * | 2009-01-28 | 2012-10-09 | Juniper Networks, Inc. | Synchronizing resource bindings within computer network |
| CA2672642C (en) * | 2009-07-17 | 2013-05-14 | Solutioninc Limited | Remote roaming controlling system, visitor based network server, and method of controlling remote roaming of user devices |
| JP5271925B2 (ja) * | 2010-01-13 | 2013-08-21 | 株式会社日立製作所 | キャッシュ情報の更新方法、コンピュータ、プログラムおよび記憶媒体 |
-
2012
- 2012-11-02 CN CN201210431931.8A patent/CN102882994B/zh active Active
-
2013
- 2013-08-23 EP EP13181496.4A patent/EP2728837B1/en active Active
- 2013-09-03 US US14/017,020 patent/US8713659B1/en active Active
- 2013-10-01 JP JP2013206173A patent/JP5613915B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040228335A1 (en) * | 2003-05-12 | 2004-11-18 | Samsung Electronics Co., Ltd. | System and method for deleting tunnelling in connection between mobile node and correspondent node |
| US20060068799A1 (en) * | 2004-09-27 | 2006-03-30 | T-Mobile, Usa, Inc. | Open-host wireless access system |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
| CN102075904A (zh) * | 2010-12-24 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| CN102546568A (zh) * | 2010-12-31 | 2012-07-04 | 华为技术有限公司 | Ip终端接入网络的方法和装置 |
| CN102710814A (zh) * | 2012-06-21 | 2012-10-03 | 奇智软件(北京)有限公司 | 虚拟机ip地址的控制方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516395A (zh) * | 2016-01-14 | 2016-04-20 | 深圳市深信服电子科技有限公司 | 网络地址分配方法和装置 |
| WO2020048177A1 (zh) * | 2018-09-05 | 2020-03-12 | 中兴通讯股份有限公司 | 机顶盒管理方法、装置、设备及存储介质 |
| CN110881143A (zh) * | 2018-09-05 | 2020-03-13 | 中兴通讯股份有限公司 | 一种机顶盒管理方法、装置、设备及计算机可读存储介质 |
| CN109447291A (zh) * | 2018-11-22 | 2019-03-08 | 奥士康科技股份有限公司 | 一种检测设备多机网络连线共享数据的方法 |
| CN113765904A (zh) * | 2021-08-26 | 2021-12-07 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
| CN113765904B (zh) * | 2021-08-26 | 2023-03-31 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140130125A1 (en) | 2014-05-08 |
| JP2014093772A (ja) | 2014-05-19 |
| CN102882994B (zh) | 2015-05-06 |
| EP2728837A1 (en) | 2014-05-07 |
| EP2728837B1 (en) | 2016-03-16 |
| JP5613915B2 (ja) | 2014-10-29 |
| US8713659B1 (en) | 2014-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101369893B (zh) | 一种对临时用户进行局域网络接入认证的方法 | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN106878139B (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| CN101668017B (zh) | 一种认证方法和设备 | |
| CN107800743B (zh) | 云桌面系统、云管理系统和相关设备 | |
| CN104917727A (zh) | 一种帐户鉴权的方法、系统及装置 | |
| CN102882994B (zh) | Ip地址分配、获取方法及装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN104468550A (zh) | 一种Windows桌面的用户登录方法、设备及系统 | |
| CN102404293A (zh) | 一种双栈用户管理方法及宽带接入服务器 | |
| CN102244867A (zh) | 一种网络接入控制方法和系统 | |
| CN101309279B (zh) | 终端访问的控制方法、系统和设备 | |
| CN101895587A (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| CN105337967A (zh) | 实现用户登录目标服务器的方法、系统和中心服务器 | |
| CN105592180A (zh) | 一种Portal认证的方法和装置 | |
| US9118588B2 (en) | Virtual console-port management | |
| CN114363067B (zh) | 一种网络准入控制方法、装置、计算机设备及存储介质 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN104243625A (zh) | 一种ip地址的分配方法及装置 | |
| CN112671708B (zh) | 认证方法及系统、portal服务器、安全策略服务器 | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和系统 | |
| CN105391720A (zh) | 用户终端登录方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |