CN103856469A - 支持dhcp认证溯源的方法、系统与dhcp服务器 - Google Patents
支持dhcp认证溯源的方法、系统与dhcp服务器 Download PDFInfo
- Publication number
- CN103856469A CN103856469A CN201210519446.6A CN201210519446A CN103856469A CN 103856469 A CN103856469 A CN 103856469A CN 201210519446 A CN201210519446 A CN 201210519446A CN 103856469 A CN103856469 A CN 103856469A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- terminal
- address
- mac address
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开涉及一种支持DHCP认证溯源的方法、系统与DHCP服务器。该方法包括接收用户终端发起的DHCP发现请求,在请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息;在验证用户终端为合法用户后,为用户终端分配IP地址;将终端的MAC地址、用户线路端口信息、分配的IP地址以及获取的用户终端上线时间相关联并存储为日志文件;响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该信息的时间为索引自日志文件中查询与提取出的IP地址和信息发布时间相匹配的终端MAC地址和用户线路端口信息,以便基于查询出的信息阻断被溯源出的用户终端所发送的报文。本公开能够实现用户认证和溯源。
Description
技术领域
本公开涉及数据通信,特别地,涉及一种支持DHCP认证溯源的方法、系统与DHCP服务器。
背景技术
目前运营商IP(Internet Protocol,互联网协议)宽带网络中的用户认证和地址分配技术主要有DHCP+(Dynamic HostConfiguration Protocol,动态主机配置协议)和PPPoE(Point-to-PointProtocol over Ethernet,以太网上点到点协议)两类。
其中,DHCP+技术是指通过DHCP+Web、DHCP+客户端、利用DHCP扩展字段等方式实现有认证的DHCP。对于IPTV(InternetProtocol Television,网络电视)、IMS(IP multimedia subsystem,IP多媒体子系统)等常在线业务的认证,以利用DHCP扩展字段的方法应用最为广泛。但是,针对此类业务同时具有互联网访问需求的场景,由于互联网访问每次分配的IP地址不同,且运营商网络只是通道,不掌控用户使用的上层应用,因此,需要详细掌握用户的各类接入信息以便溯源,而单纯的DHCP+方案由于缺乏对用户溯源相关信息的保存与提供机制,因此无法实现用户溯源。由于一方面国家监管要求互联网型业务需要溯源到用户,另一方面运营要求能够发现攻击、账号盗用等的发起者,由此可见,这种单纯的DHCP+方案不能满足运营级网络的需求。
PPPoE技术通过基于Session的认证及与Radius(RemoteAuthentication Dial In User Service,远程认证拨号用户服务)服务器的配合,能够实现安全的用户认证和溯源。但对于常在线且有组播需求的IPTV及IMS业务来讲,由于PPPoE拨号一般用于计时长的上网类业务,IMS电话、IPTV这些业务需要一直在线,用PPPoE拨号不方便,一是需要断线自动重播,二是PPPoE不支持组播下移,因此,PPPoE认证方式并不适合IMS与IPTV业务。
发明内容
本公开鉴于以上问题中的至少一个提出了新的技术方案。
本公开在其一个方面提供了一种支持动态主机配置协议认证溯源的方法,能够实现安全的用户认证和溯源。
本公开在其另一方面提供了一种DHCP服务器,能够实现安全的用户认证和溯源。
本公开在其又一方面提供了一种支持动态主机配置协议认证溯源的系统,能够实现安全的用户认证和溯源。
根据本公开,提供一种支持动态主机配置协议认证溯源的方法,包括:
接收用户终端发起的DHCP发现请求,在DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息;
在根据终端的MAC地址和用户线路端口信息验证用户终端为合法用户后,为用户终端分配IP地址;
将终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件;
响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
在本公开的一些实施例中,用户线路端口信息包括数字用户线接入复用器DSLAM/光线路终端OLT下联的用户线路的端口信息。
在本公开的一些实施例中,根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文的步骤包括:
运营支撑子系统根据查询出的终端MAC地址定位到对应的用户终端;
根据查询出的用户线路端口信息定位到对应的接入服务器;
向定位出的对应的接入服务器下发阻断命令,以阻断对应的用户终端发出的所有内容。
在本公开的一些实施例中,对应的用户终端发出的所有内容包括含有查询出的终端MAC地址的各类请求与各类报文。
在本公开的一些实施例中,该方法还包括:
在用户终端下线时,接入服务器向DHCP服务器报告用户终端下线时间;
将用户终端下线时间与终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
根据本公开,还提供了一种DHCP服务器,包括:
IP地址分配单元,用于接收用户终端发起的DHCP发现请求,在DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息,在根据终端的MAC地址和用户线路端口信息验证用户终端为合法用户后,为用户终端分配IP地址;
关联单元,用于将终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件;
溯源单元,用于响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
在本公开的一些实施例中,用户线路端口信息包括数字用户线接入复用器DSLAM/光线路终端OLT下联的用户线路的端口信息。
在本公开的一些实施例中,DHCP服务器还包括:
上下线时间获取单元,用于在用户终端上下线时接收接入服务器上报的用户终端上下线时间。
在本公开的一些实施例中,关联单元还将用户终端下线时间与终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
根据本公开,还提供了一种支持动态主机配置协议认证溯源的系统,包括用户终端、接入服务器、运营支撑子系统以及前述实施例中的DHCP服务器,其中,
接入服务器,用于根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文,以及向DHCP服务器上报用户终端上下线时间;
运营支撑子系统,用于根据查询出的终端MAC地址定位到对应的用户终端,以及根据查询出的用户线路端口信息定位到对应的接入服务器。
在本公开的技术方案中,在用户终端进行DHCP认证的同时,将用户终端的MAC(Medium Access Control,媒体接入控制)地址与所经网络的用户线路端口信息上传到DHCP服务器,在DHCP服务器为用户分配了IP地址后,该用户终端上线,在接收到接入服务器反馈的用户终端上线信息后,DHCP服务器将终端的MAC地址、用户线路端口信息、所分配的IP地址以及用户终端上线时间相关联。在需要对发布某条信息的用户终端进行溯源时,根据发布信息的IP地址、信息发布时间和前述建立的关联关系查询对应的用户终端MAC地址和用户线路端口信息,进而向相应的接入服务器发送阻断来自查询出的MAC地址所对应用户所发送的任何报文的命令。可见,本公开不仅能够在DHCP认证情况下实现对用户的溯源,而且还克服了PPPoE需要在客户端安装软件、无法组播下移的缺点。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附图中:
图1是本公开一个实施例的支持动态主机配置协议认证溯源的方法的流程示意图。
图2是本公开另一实施例的支持动态主机配置协议认证溯源的方法的流程示意图。
图3是本公开一个实施例的DHCP服务器的结构示意图。
图4是本公开另一实施例的DHCP服务器的结构示意图。
图5是本公开一个实施例的支持动态主机配置协议认证溯源的系统的结构示意图。
具体实施方式
下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外,本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为说明书的一部分。
本公开下述实施例在运营商网络中的DHCP服务器上增加了基于终端MAC地址、用户线路端口信息、用户终端IP地址和用户上线时间之间的关联关系,再结合运营支撑子系统和接入服务器的相关流程提供对用户溯源的技术手段。
图1是本公开一个实施例的支持动态主机配置协议认证溯源的方法的流程示意图。
如图1所示,该实施例可以包括以下步骤:
S102,接收用户终端发起的DHCP发现请求,在DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息。
S104,由于用户在申请业务时即在网络侧记录了用户终端的MAC地址和相关线路信息,因此,在根据终端的MAC地址和用户线路端口信息验证用户终端为合法用户后,即接收的来自终端的信息与网络侧存储的信息相一致的情况下为用户终端分配IP地址;在为用户终端分配了IP地址后,用户接入DHCP服务器的接入服务器向DHCP服务器反馈确认消息,表明用户终端已上线,此时DHCP服务器可以根据接入服务器发送的反馈确认消息确定用户终端的上线时间。
S106,将终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件,在该日志文件中,存储了多组关联关系,其中,由于同一IP地址可能在不同时间段分配给不同的用户,因此在日志文件中,关于同一IP地址的关联关系可能也存在多组,但是在同一IP地址的映射关系中,不同组的用户终端MAC地址不同、上线时间不同、用户线路端口信息也可能不同。
S108,响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
举例说明,在日志文件中只存在一组与提取出的IP地址相关的关联关系时,利用该该组关联关系和提取出的IP地址就可以直接查询出发布该互联网信息的用户终端的MAC地址和用户线路端口信息,根据用户线路端口信息可以获知对应的接入服务器,因此,对应的接入服务器就可以拒绝自查询出的MAC地址发送的任何报文。
再举例说明,在日志文件中存在多组与提取出的IP地址相关的关联关系时,首先找出具有同一IP地址的关联关系,如下述表1所示,例如:
| IP地址 | 用户上线时间 | 终端MAC地址 | 用户线路端口信息 |
| 192.168.1.2 | 2012-01-03日14:20 | MAC地址1 | 线路1 |
| 192.168.1.2 | 2012-01-03日18:13 | MAC地址2 | 线路2 |
| 192.168.1.2 | 2012-01-04日07:45 | MAC地址3 | 线路3 |
表1
然后再在这些关联关系中找出上线时间与发布互联网信息的时间最接近的一组关联关系,假设发布互联网信息的时间为2012-01-03日19:00,从上述表1可以看出,虽然第1组关联关系中的上线时间也在发布互联网信息的时间之前,存在发布该互联网信息的可能,但是,从上述表1中还可以看出,至少在2012-01-03日18:13分之前,与IP地址192.168.1.2对应的用户释放了该IP地址,并且在18:13分系统又将该同一IP地址分配给了具有MAC地址2的用户,因此,具有MAC地址1的用户不可能在同日19:00再在互联网上发布信息。由于第2组关联关系中的上线时间“2012-01-03日18:13”与发布互联网信息的时间最接近,因此可以确定发布该互联网信息的用户是具有MAC地址2和使用线路2的用户。
该实施例在用户终端进行DHCP认证的同时,将用户终端的MAC地址与所经网络的用户线路端口信息上传到DHCP服务器,在DHCP服务器为用户分配了IP地址后,该用户终端上线,在接收到接入服务器反馈的用户终端上线信息后,DHCP服务器将终端的MAC地址、用户线路端口信息、所分配的IP地址以及用户终端上线时间相关联。在需要对发布某条信息的用户终端进行溯源时,根据发布信息的IP地址、信息发布时间和前述建立的关联关系查询对应的用户终端MAC地址和用户线路端口信息,进而向相应的接入服务器发送阻断来自查询出的MAC地址所对应用户所发送的任何报文的命令。可见,本公开不仅能够在DHCP认证情况下实现对用户的溯源,而且还克服了PPPoE需要在客户端安装软件、无法组播下移的缺点。
其中,用户线路端口信息可以包括DSLAM(Digital Subscriber LineAccess Multiplex,数字用户线接入复用器)/OLT(Optical LineTerminal,光线路终端)下联的用户线路的端口信息,根据这些端口信息可以确定对应的接入服务器。
在步骤S108中,根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文的步骤可以包括:
运营支撑子系统根据查询出的终端MAC地址定位到对应的用户终端;根据查询出的用户线路端口信息定位到对应的接入服务器;向定位出的对应的接入服务器下发阻断命令,以阻断对应的用户终端发出的所有内容。
进一步地,对应的用户终端发出的所有内容包括含有查询出的终端MAC地址的各类请求与各类报文。
在本公开另一实施例的支持动态主机配置协议认证溯源的方法中,该方法还可以包括:
在用户终端下线时,接入服务器向DHCP服务器报告用户终端下线时间;
将用户终端下线时间与终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
在更新后的日志文件中包含了用户终端下线时间后,在该更新后的日志文件中根据提取出的IP地址确定出几组可能的关联关系,在这几组关联关系中查找发布互联网信息的时间落在哪个上下线时间内,就可以确定出是哪种关联关系了。这种包含了下线时间的关联关系使得对用户终端的溯源更准确、更快捷。
图2是本公开另一实施例的支持动态主机配置协议认证溯源的方法的流程示意图。
如图2所示,该实施例可以包括以下步骤:
S202,DHCP服务器进行用户认证并为用户分配IP地址:用户发起DHCP发现请求,终端携带option60,其是DHCP认证消息可以携带的一个可选属性,可以将终端的信息传递给业务接入网关BRAS(Broadband Remote Access Server,宽带接入服务器),该信息由终端插入,具体信息表示可以自定义,在该实施例中可以用option60携带终端的MAC地址,诸如DSLAM/OLT等网络设备在认证消息中插入option82,该option82用于携带用户线路端口信息。DHCP服务器中事前会存储用户认证相关的信息,例如,终端MAC地址、用户线路端口信息,在DHCP服务器收到认证请求后,如果这些信息都符合,即表明发起该请求的用户为合法用户,此时DHCP服务器才给合法用户分配IP地址。
S204,DHCP服务器生成相关条目及其日志文件:DHCP服务器生成终端MAC地址、用户线路端口信息、用户终端IP地址与用户上线时间之间的关联关系,并存储为日志文件。
S206,当某个互联网站上发现非法言论等需要溯源时,提取相应用户的IP地址及信息发布时刻。
S208,将对应用户的IP地址和信息发布时刻自动输出给运营商网络中的运营支撑子系统。
S210,运营支撑子系统以IP地址和信息发布时刻为索引,向DHCP服务器查询日志文件,获取与IP地址和信息发布时刻对应的终端MAC地址和用户线路端口信息,再根据终端MAC地址定位到用户,根据用户线路端口信息定位到对应的接入服务器。
S212,运营支撑子系统下发阻断命令给相应的接入服务器以将相应终端发出的流量阻塞掉。
S214,接入服务器拒绝包含非法MAC地址的请求、丢弃包含非法MAC地址的报文,以达到阻断非法用户的目的。
上述实施例的方法,可以在用户终端在线的情况下,仅根据从互联网信息中提取出的IP地址、发布互联网信息的时刻和用户上线时间就可以溯源到发布该互联网信息的用户终端;还可以在用户终端更换IP地址的情况下,根据从互联网信息中提取出的IP地址、发布互联网信息的时刻和用户上下线时间就可以溯源到发布该互联网信息的用户终端。当然,如前所述,在用户终端更换IP地址的情况下也可以仅根据从互联网信息中提取出的IP地址、发布互联网信息的时刻和用户上线时间就可以溯源到发布该互联网信息的用户终端。
本领域普通技术人员可以理解,实现上述方法实施例的全部和部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算设备可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质可以包括ROM、RAM、磁碟和光盘等各种可以存储程序代码的介质。
图3是本公开一个实施例的DHCP服务器的结构示意图。
如图3所示,该实施例中的DHCP服务器30可以包括IP地址分配单元302、关联单元304和溯源单元306。
其中,IP地址分配单元302,用于接收用户终端发起的DHCP发现请求,在DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息,在根据终端的MAC地址和用户线路端口信息验证用户终端为合法用户后,为用户终端分配IP地址;
关联单元304,用于将终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件;
溯源单元306,用于响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
该实施例在用户终端进行DHCP认证的同时,将用户终端的MAC地址与所经网络的用户线路端口信息上传到DHCP服务器,在DHCP服务器为用户分配了IP地址后,该用户终端上线,在接收到接入服务器反馈的用户终端上线信息后,DHCP服务器将终端的MAC地址、用户线路端口信息、所分配的IP地址以及用户终端上线时间相关联。在需要对发布某条信息的用户终端进行溯源时,根据发布信息的IP地址、信息发布时间和前述建立的关联关系查询对应的用户终端MAC地址和用户线路端口信息,进而向相应的接入服务器发送阻断来自查询出的MAC地址所对应用户所发送的任何报文的命令。可见,本公开不仅能够在DHCP认证情况下实现对用户的溯源,而且还克服了PPPoE需要在客户端安装软件、无法组播下移的缺点。
其中,用户线路端口信息包括数字用户线接入复用器DSLAM/光线路终端OLT下联的用户线路的端口信息。
图4是本公开另一实施例的DHCP服务器的结构示意图。
如图4所示,与图3中的实施例相比,该实施例中的DHCP服务器40还可以包括:
上下线时间获取单元402,用于在用户终端上下线时接收接入服务器上报的用户终端上下线时间。
进一步地,关联单元还将用户终端下线时间与终端的MAC地址、用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
图5是本公开一个实施例的支持动态主机配置协议认证溯源的系统的结构示意图。
如图5所示,该实施例中的系统50可以包括用户终端502、接入服务器504、运营支撑子系统506以及DHCP服务器508。其中,
接入服务器504,用于根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文,以及向DHCP服务器上报用户终端上下线时间;
运营支撑子系统506,用于根据查询出的终端MAC地址定位到对应的用户终端,以及根据查询出的用户线路端口信息定位到对应的接入服务器。
DHCP服务器508可以通过图3或图4所示的实施例实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同和相似的部分可以相互参见。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处可以参见方法实施例部分的说明。
本公开可以适用于适用DHCP认证的任何应用场景,其不仅涉及安全认证环节,还通过生成和输出与用户IP地址相关联的关联信息实现对用户终端的溯源和控制,具体具有以下有益效果:
(1)在用户安全认证的基础上,解决了用户安全溯源的问题,满足了电信级运营及安全监管的需求,这是现有DHCP相关技术所未涉及的领域。
(2)满足了IMS、IPTV等常在线业务访问互联网的溯源需求,既通过DHCP认证模式方便了此类业务的常在线与组播需求的实现,又通过对DHCP服务器的改进解决了访问互联网的安全溯源问题,是针对这类新业务需求的有效解决方案。
(3)终端无需安装客户端软件。
虽然已参照示例性实施例描述了本公开,但应理解,本公开不限于上述的示例性实施例。对于本领域技术人员显然的是,可以在不背离本公开的范围和精神的条件下修改上述的示例性实施例。所附的权利要求的范围应被赋予最宽的解释,以包含所有这样的修改以及等同的结构和功能。
Claims (10)
1.一种支持动态主机配置协议认证溯源的方法,其特征在于,包括:
接收用户终端发起的DHCP发现请求,在所述DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息;
在根据所述终端的MAC地址和所述用户线路端口信息验证所述用户终端为合法用户后,为所述用户终端分配IP地址;
将所述终端的MAC地址、所述用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件;
响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自所述日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
2.根据权利要求1所述的支持动态主机配置协议认证溯源的方法,其特征在于,所述用户线路端口信息包括数字用户线接入复用器DSLAM/光线路终端OLT下联的用户线路的端口信息。
3.根据权利要求1所述的支持动态主机配置协议认证溯源的方法,其特征在于,所述根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文的步骤包括:
运营支撑子系统根据查询出的终端MAC地址定位到对应的用户终端;
根据查询出的用户线路端口信息定位到对应的接入服务器;
向定位出的对应的接入服务器下发阻断命令,以阻断对应的用户终端发出的所有内容。
4.根据权利要求3所述的支持动态主机配置协议认证溯源的方法,其特征在于,对应的用户终端发出的所有内容包括含有查询出的终端MAC地址的各类请求与各类报文。
5.根据权利要求1所述的支持动态主机配置协议认证溯源的方法,其特征在于,所述方法还包括:
在所述用户终端下线时,接入服务器向所述DHCP服务器报告用户终端下线时间;
将所述用户终端下线时间与所述终端的MAC地址、所述用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
6.一种DHCP服务器,其特征在于,包括:
IP地址分配单元,用于接收用户终端发起的DHCP发现请求,在所述DHCP发现请求中携带终端的MAC地址,并在经过接入网络时添加上用户线路端口信息,在根据所述终端的MAC地址和所述用户线路端口信息验证所述用户终端为合法用户后,为所述用户终端分配IP地址;
关联单元,用于将所述终端的MAC地址、所述用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并存储为日志文件;
溯源单元,用于响应于对用户终端的溯源请求,以从互联网信息中提取出的IP地址和用户发布该互联网信息的时间为索引,自所述日志文件中查询与提取出的IP地址和用户发布该互联网信息的时间相匹配的终端MAC地址和用户线路端口信息,以便根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文。
7.根据权利要求6所述的DHCP服务器,其特征在于,所述用户线路端口信息包括数字用户线接入复用器DSLAM/光线路终端OLT下联的用户线路的端口信息。
8.根据权利要求6所述的DHCP服务器,其特征在于,所述DHCP服务器还包括:
上下线时间获取单元,用于在所述用户终端上下线时接收接入服务器上报的用户终端上下线时间。
9.根据权利要求8所述的DHCP服务器,其特征在于,所述关联单元还将用户终端下线时间与所述终端的MAC地址、所述用户线路端口信息、所分配的IP地址以及获取的用户终端上线时间相关联,并更新存储的日志文件。
10.一种支持动态主机配置协议认证溯源的系统,其特征在于,包括用户终端、接入服务器、运营支撑子系统以及权利要求6-9中任一项所述的DHCP服务器,其中,
所述接入服务器,用于根据查询出的终端MAC地址和用户线路端口信息阻断被溯源出的用户终端所发送的报文,以及向所述DHCP服务器上报用户终端上下线时间;
所述运营支撑子系统,用于根据查询出的终端MAC地址定位到对应的用户终端,以及根据查询出的用户线路端口信息定位到对应的接入服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210519446.6A CN103856469A (zh) | 2012-12-06 | 2012-12-06 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210519446.6A CN103856469A (zh) | 2012-12-06 | 2012-12-06 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103856469A true CN103856469A (zh) | 2014-06-11 |
Family
ID=50863689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210519446.6A Pending CN103856469A (zh) | 2012-12-06 | 2012-12-06 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103856469A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106549790A (zh) * | 2015-09-22 | 2017-03-29 | 华为技术有限公司 | 一种用于溯源的映射表的更新方法和装置 |
| CN107547501A (zh) * | 2017-05-26 | 2018-01-05 | 新华三技术有限公司 | 身份认证方法及装置 |
| CN108123915A (zh) * | 2016-11-28 | 2018-06-05 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
| CN109120957A (zh) * | 2017-06-23 | 2019-01-01 | 中兴通讯股份有限公司 | 一种机顶盒建立连接方法、装置及系统 |
| CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
| CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及系统 |
| CN114679430A (zh) * | 2022-03-25 | 2022-06-28 | 中国银行股份有限公司 | 一种ip地址溯源方法、装置和存储介质 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050235000A1 (en) * | 2002-03-27 | 2005-10-20 | Wolfgang Keil | Aaa server system for efficient control and address assignment |
| CN1863199A (zh) * | 2005-09-30 | 2006-11-15 | 华为技术有限公司 | 宽带网络中开展业务的方法 |
| CN1889484A (zh) * | 2005-06-29 | 2007-01-03 | 华为技术有限公司 | 一种认证接入系统及其认证接入方法 |
| CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及系统 |
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN101917483A (zh) * | 2010-08-18 | 2010-12-15 | 中国电信股份有限公司 | 物联网终端通信管控的实现方法、系统和设备 |
| CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
| CN102064970A (zh) * | 2010-12-31 | 2011-05-18 | 华为技术有限公司 | 用户线路的管理方法、系统及接入节点 |
| CN102291617A (zh) * | 2011-09-03 | 2011-12-21 | 四川公用信息产业有限责任公司 | Iptv业务端到端故障诊断与定位平台 |
-
2012
- 2012-12-06 CN CN201210519446.6A patent/CN103856469A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050235000A1 (en) * | 2002-03-27 | 2005-10-20 | Wolfgang Keil | Aaa server system for efficient control and address assignment |
| CN1889484A (zh) * | 2005-06-29 | 2007-01-03 | 华为技术有限公司 | 一种认证接入系统及其认证接入方法 |
| CN1863199A (zh) * | 2005-09-30 | 2006-11-15 | 华为技术有限公司 | 宽带网络中开展业务的方法 |
| CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及系统 |
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
| CN101917483A (zh) * | 2010-08-18 | 2010-12-15 | 中国电信股份有限公司 | 物联网终端通信管控的实现方法、系统和设备 |
| CN102064970A (zh) * | 2010-12-31 | 2011-05-18 | 华为技术有限公司 | 用户线路的管理方法、系统及接入节点 |
| CN102291617A (zh) * | 2011-09-03 | 2011-12-21 | 四川公用信息产业有限责任公司 | Iptv业务端到端故障诊断与定位平台 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106549790A (zh) * | 2015-09-22 | 2017-03-29 | 华为技术有限公司 | 一种用于溯源的映射表的更新方法和装置 |
| CN106549790B (zh) * | 2015-09-22 | 2019-11-05 | 华为技术有限公司 | 一种用于溯源的映射表的更新方法和装置 |
| CN108123915A (zh) * | 2016-11-28 | 2018-06-05 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
| CN108123915B (zh) * | 2016-11-28 | 2020-11-20 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
| CN107547501A (zh) * | 2017-05-26 | 2018-01-05 | 新华三技术有限公司 | 身份认证方法及装置 |
| CN107547501B (zh) * | 2017-05-26 | 2020-05-12 | 新华三技术有限公司 | 身份认证方法及装置 |
| CN109120957A (zh) * | 2017-06-23 | 2019-01-01 | 中兴通讯股份有限公司 | 一种机顶盒建立连接方法、装置及系统 |
| CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
| CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及系统 |
| CN114679430A (zh) * | 2022-03-25 | 2022-06-28 | 中国银行股份有限公司 | 一种ip地址溯源方法、装置和存储介质 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103856469A (zh) | 支持dhcp认证溯源的方法、系统与dhcp服务器 | |
| CN105515772B (zh) | 信息处理方法、网络节点、验证方法和服务器 | |
| CN100388739C (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN101141459B (zh) | 使用http与p2p相结合实现数据传输或流媒体传输的方法 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN110121059B (zh) | 监控视频处理方法、装置及存储介质 | |
| CN103442053A (zh) | 基于云服务平台实现远程访问存储终端的方法及系统 | |
| CN103139244A (zh) | 云复制粘贴方法及系统 | |
| CN102571729A (zh) | Ipv6网络接入认证方法、装置及系统 | |
| CN102098278B (zh) | 用户接入方法、系统及接入服务器、接入设备 | |
| CN105677507A (zh) | 一种企业数据云备份系统及方法 | |
| CN102769678B (zh) | 一种dhcp地址分配方法及装置 | |
| CN103069750B (zh) | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 | |
| CN101795219A (zh) | Vlan自动分配的方法和系统 | |
| CN103856358A (zh) | 一种eoc设备以太网端口vlan配置系统及方法 | |
| CN105323325A (zh) | 一种身份位置分离网络中的地址分配方法及接入服务节点 | |
| CN101202715A (zh) | 组播权限自动部署方法和装置 | |
| CN102724662A (zh) | 宽带无线网络中提供差异化服务的方法及装置 | |
| CN105027501B (zh) | 配置文件获取方法、装置及系统 | |
| CN101729310B (zh) | 实现业务监控的方法、系统以及信息获取设备 | |
| CN101656947B (zh) | 跨异构网络业务共享建立方法、设备及系统 | |
| CN102487396B (zh) | 用户位置确定方法及系统 | |
| CN101729363A (zh) | 一种资源初始化的方法、装置和系统 | |
| CN101184100A (zh) | 基于动态主机配置协议的用户接入认证方法 | |
| CN102868615B (zh) | 一种局域网间传输报文的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140611 |