CN104954508B - 一种用于dhcp协议辅助计费的系统及其辅助计费方法 - Google Patents

一种用于dhcp协议辅助计费的系统及其辅助计费方法 Download PDF

Info

Publication number
CN104954508B
CN104954508B CN201510354255.2A CN201510354255A CN104954508B CN 104954508 B CN104954508 B CN 104954508B CN 201510354255 A CN201510354255 A CN 201510354255A CN 104954508 B CN104954508 B CN 104954508B
Authority
CN
China
Prior art keywords
address
authentication client
server
client
charging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510354255.2A
Other languages
English (en)
Other versions
CN104954508A (zh
Inventor
杨呈飞
翁源
王道佳
李子超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING WRD TECHNOLOGY Co Ltd
Original Assignee
BEIJING WRD TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING WRD TECHNOLOGY Co Ltd filed Critical BEIJING WRD TECHNOLOGY Co Ltd
Priority to CN201510354255.2A priority Critical patent/CN104954508B/zh
Publication of CN104954508A publication Critical patent/CN104954508A/zh
Application granted granted Critical
Publication of CN104954508B publication Critical patent/CN104954508B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种用于DHCP协议辅助计费的系统及其辅助计费方法,系统设有:认证客户端、NAS装置、Portal服务器和AAA服务器;其创新之处是还包括结构改进而增加辅助计费功能的辅助计费DHCP服务器。辅助计费DHCP服务器设有DHCP协议处理、分析、联动和记录共四个模块,用于为认证客户端提供基于DHCP协议的IP地址的分配租用与释放的管理服务:分析认证客户端对IP地址的租用与释放事件,判断IP地址租用者的变化,并分别与Portal服务器、AAA服务器和NAS装置交互,实现相关事件与计费的联动操作。本发明系统中认证客户端分别与NAS装置、计费网关等网元交互,在认证客户端未主动注销时,终止对认证客户端的计费和停止网络访问授权,解决了网络授权可能遭到冒用问题,同时计费准确。

Description

一种用于DHCP协议辅助计费的系统及其辅助计费方法
技术领域
本发明涉及一种用于动态主机配置协议DHCP(Dynamic Host ConfigurationProtocol)辅助计费的系统及其辅助计费方法,属于网络安全管理的技术领域。
背景技术
DHCP协议是一种使得网络管理员能够集中管理和自动分配因特网协议IP(Internet Protocol)地址的通信协议,在IP网络中,每个接入网络的设备均需要给其分配唯一的IP地址。DHCP协议使网络管理员可以在中心节点管理IP地址的分配。当DHCP客户端需要获取IP地址时,首先需要寻找DHCP服务器,以便接收DHCP服务器为该DHCP客户端分配的IP地址、网关、域名系统DNS(Domain Name System)以及其他网络配置参数等信息。
现有的IP网络中,使用DHCP服务器为接入网络的DHCP客户端提供IP地址已经被广泛采纳和应用,典型的DHCP组网架构如图1所示。在图1所示的DHCP组网系统中,设有DHCP客户端和DHCP服务器两类网元。其中,DHCP客户端为用户终端,DHCP服务器为提供DHCP服务的网络设备(如:交换机、路由器)或运行DHCP服务端程序的专用服务器。
该系统中的DHCP客户端与DHCP服务器的交互过程为:
(1)DHCP客户端发送DHCP发现(DHCPDISCOVER)报文,寻找网络中的DHCP服务器,并请求IP地址;
(2)DHCP服务器接收到该发现报文后,为该DHCP客户端保留一个IP地址,并回复DHCP提供(DHCPOFFER)报文;
(3)DHCP客户端接收到提供报文后,向服务器发送DHCP请求(DHCPREQUEST)广播报文,请求使用前述提供报文中携带的IP地址;
(4)服务器接收到请求报文后,给DHCP客户端回复DHCP确认(DHCPACK)报文,允许该DHCP客户端可以使用前述IP地址;
(5)DHCP客户端接收到确认报文,确认该IP地址租用合法后,就使用该IP地址作为网络通信地址。
(6)若DHCP客户端不需要使用IP地址时,可以向DHCP服务器发送DHCP释放(DHCPRELEASE)报文,通知服务器不再使用该报文中携带的IP地址。
认证、授权、计费AAA(Authentication、Authorization、Accounting)服务器是网络安全管理机制中的一种网元设备,为客户端提供认证、授权和计费三种网络安全管理功能。该AAA服务器采用客户端/服务器模型,客户端运行在网络接入服务器NAS(NetworkAccess Server)上,由AAA服务器集中管理客户端信息。
现有的IP计费网络(包括按流量计费或按在线时长计费两种类型)中,普遍使用入口Portal协议配合AAA服务器进行客户端的认证、授权和计费,这也是目前通用的解决方案,典型的计费网络的组网方式中,设有:NAS装置、Portal服务器和AAA服务器,以及经由NAS连接外部Internet网络。(参见图2所示)。其中,认证客户端为用户终端计算机。NAS装置是路由器、计费网关等关口设备的统称,其作用是在认证客户端完成认证之前将其所有超文本传输协议HTTP请求重定向到Portal服务器,并在客户端认证过程中,通过与Portal服务器和AAA服务器的交互,完成认证客户端的身份认证、安全认证、以及计费的功能;并在客户端认证通过后,允许客户端访问被授权的Internet资源。Portal服务器为接收认证客户端认证请求的服务器,提供WEB门户和认证界面,还与NAS装置交互认证客户端的认证信息。NAS装置通过与AAA服务器进行交互,完成对认证客户端的认证与计费。
上述的认证客户端、NAS装置、Portal服务器和AAA服务器的交互过程为:
(1)认证客户端在未认证时,通过在浏览器输入一个互联网统一资源定位符URL地址,将该HTTP请求在经过NAS装置时被重定向到Portal服务器的WEB认证网页上。
(2)认证客户端在浏览器中输入的认证信息,被提交给Portal服务器;Portal服务器接收到该认证信息后,将其发送给NAS装置。
(3)NAS装置与AAA服务器通信,将该认证客户端的认证信息发送给AAA服务器,以便由AAA服务器对客户端执行认证和计费。
(4)认证通过后,NAS装置打开认证客户端与Internet的通路,允许认证客户端访问Internet。
(5)认证客户端结束Internet访问时,访问Portal服务器注销页面,提交结束访问请求后,Portal服务器通知NAS装置断开该认证客户端与Internet的通路,禁止该认证客户端访问Internet。同时,NAS装置通知AAA服务器结束对认证客户端的计费。
此外,如果认证客户端未主动注销Internet连接(例如,认证客户端直接断开网络连接、关闭操作系统、移动客户端关闭无线网络WIFI等),NAS装置可在设定的空闲时间达到超时后,主动断开认证客户端与Internet的通路,并通知AAA服务器停止对认证客户端的计费。
基于上述分析,目前对认证客户端停止计费管理的操作流程存在如下缺点:
认证客户端在不需要使用网络时,必须主动注销后,才能确保停止计费和网络访问授权。如果因为某些原因未能主动注销,认证客户端原来使用的IP地址在设定的空闲超时时间内仍然具备访问Internet的能力。
在现有的计费网络环境中,IP地址可通过DHCP服务器再次分配给其它认证客户端使用。在设定的空闲超时时间内,获得这个IP地址的新认证客户端此时不经过计费认证过程,就能够直接访问Internet资源,并持续使用之。这就造成原认证客户端的网络访问授权遭到冒用。同时,该冒用IP地址的新认证客户端的上网流量也可能被记入原来的用户账号,造成计费偏差,严重影响计费的准确度,使得用户利益受到损失。
上述两个缺陷必须尽快解决之,以使网络的运行与管理能够保证安全、可靠与计费精准无误。
发明内容
有鉴于此,本发明的目的是提供一种DHCP辅助计费的系统及其工作方法,本发明系统中的各个认证客户端分别与NAS装置、计费网关等网元进行交互,可以在认证客户端未主动注销时,完成对认证客户端计费的终止和网络访问授权的停止,较好地解决了网络授权可能遭到冒用的问题,同时实现准确的计费。
为了达到上述目的,本发明提供了一种用于DHCP协议辅助计费的系统,设有:认证客户端、NAS装置、Portal服务器和AAA服务器;其特征在于:该系统中还设有:结构改进而增加辅助计费功能的辅助计费DHCP服务器;其中:
辅助计费DHCP服务器,用于为认证客户端提供基于DHCP协议的IP地址的分配租用与释放的管理服务,即对认证客户端对IP地址的租用与释放事件进行分析,判断IP地址的租用者的变化,并分别与Portal服务器、AAA服务器和NAS装置进行交互,实现相关事件与计费的联动操作;该服务器设有:DHCP协议处理模块、分析模块、联动模块和记录模块;该DHCP服务器中的各个组成模块功能如下:
DHCP协议处理模块、负责与认证客户端交互DHCP协议信令,以便为认证客户端提供IP地址的租用、释放和各种网络环境信息;同时,还负责将认证客户端发送来的IP地址请求报文和IP地址释放报文通知分析模块;
分析模块,分别连接DHCP协议处理模块、联动模块和记录模块,用于接收DHCP协议处理模块发送来的IP地址释放报文和IP地址请求报文,并执行相应的处理操作:接收到IP地址释放报文时,提取报文中的认证客户端唯一标识和IP地址的信息,调用联动模块执行停止计费的联动操作;接收到IP地址请求报文时,提取报文中的认证客户端唯一标识和IP地址信息,再调用记录模块,查询记录模块中存储的认证客户端标识与IP地址的租用信息记录,如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识不匹配时,则调用联动模块执行停止计费的联动操作,并通知记录模块将该认证客户端标识更新到存储记录中;如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识匹配时,则不执行联动操作;如果未找到该请求新租用IP地址的认证客户端标识记录,则通知记录模块,将该认证客户端标识添加于存储记录中;
联动模块,负责接收分析模块发来的联动请求,并将该联动请求分别转换为对包括Portal服务器、NAS装置和AAA服务器的外部设备的相应操作指令:通知Portal服务器注销认证客户端的网络登录,通知NAS装置停止认证客户端的网络访问授权,通知AAA服务器停止认证客户端的计费,或者通知NAS装置允许认证客户端访问被授权的Internet资源,通知AAA服务器开始认证客户端的计费;
记录模块,负责记录存储认证客户端的标识与IP地址租用的关联记录信息;并根据分析模块的查询指令,配合相应的查询操作后,再把查询结果返回给分析模块;
认证客户端,为用户终端电脑或智能手机,负责运行内置的DHCP协议客户端功能模块,向辅助计费DHCP服务器发起包括接入网络的DHCP IP地址请求报文或结束网络访问的DHCP IP地址释放报文,以获取对IP地址的租用与释放;
NAS装置,为包括路由器和计费网关的各种网络关口设备的统称,用于在认证客户端完成认证以前,将其所有HTTP请求重定向到Portal服务器;并在客户端的认证过程中,该NAS装置分别与Portal服务器和AAA服务器进行交互,完成客户端的身份认证、安全认证与计费的功能;且在客户端认证通过后,允许客户端访问被授权的Internet资源;
Portal服务器,作为接收认证客户端认证请求的服务器,向认证客户端提供WEB门户和认证界面,再与NAS装置进行交互,对认证客户端的认证信息进行确认处理;
AAA服务器,负责分别与NAS装置、Portal服务器和辅助计费DHCP服务器进行交互,对认证客户端执行认证、授权和计费操作。
为了达到上述目的,本发明还提供了一种采用本发明DHCP辅助计费的系统的辅助计费工作方法,其特征在于:所述方法包括下列操作步骤:
步骤1,认证客户端接入网络时,向辅助计费DHCP服务器请求租用IP地址;
步骤2,辅助计费DHCP服务器接收到该IP地址的租用请求报文,检查本地记录的客户端唯一标识与IP地址记录,并判断该租用请求报文中所请求的IP地址所关联的客户端唯一标识与其携带的客户端唯一标识是否匹配一致:
如果不匹配,即该IP地址被再分配给与以前分配的认证客户端不同时,则辅助计费DHCP服务器更新本地存储记录,记录该认证客户端唯一标识与IP地址,通知Portal服务器对该报文中的IP地址执行下线操作,停止该IP地址的网络访问授权和计费后,才向该认证客户端提供该IP地址;
如果匹配,即该IP地址与以前原来所分配的认证客户端相同时,则辅助计费DHCP服务器向该认证客户端提供该IP地址;
如果未找到存储记录,即该IP地址以前未分配给任何认证客户端时,则辅助计费DHCP服务器在本地新建该认证客户端唯一标识与IP地址的存储记录;
步骤3,认证客户端在未认证时,藉由在浏览器输入的一个互联网统一标识符URL,使得租用该IP地址的HTTP请求在经过NAS装置时,被重定向到Portal服务器的WEB认证网页上;
步骤4,认证客户端在浏览器中输入的认证信息被提交给Portal服务器,Portal服务器接收到该认证信息后,将其发送给NAS装置;
步骤5,NAS装置与AAA服务器通信交互,将认证客户端的认证信息发送给AAA服务器,由AAA服务器对该认证客户端执行认证和计费操作;
步骤6,辅助计费DHCP服务器监测到认证客户端发送的DHCP释放报文,准备停止对该报文中携带的IP地址的租用时,就通知Portal服务器对该认证客户端租用的该IP地址执行下线操作:结束Internet的访问授权,以及停止计费;
Portal服务器立即通知NAS装置断开该认证客户端与Internet的通路,禁止该认证客户端访问Internet;同时,NAS装置通知AAA服务器结束对该认证客户端的计费。
本发明用于DHCP辅助计费的系统与其辅助计费的方法的关键创新技术是:
本发明用于DHCP协议辅助计费的系统中,对DHCP服务器的结构与功能作了改进,增添了一些功能模块,使得该辅助计费DHCP服务器在接收到DHCP释放报文时,分别与NAS装置、Portal服务器和AAA服务器实现联动,及时、准确地辅助NAS装置、Portal服务器和AAA服务器停止该DHCP释放报文中携带的认证客户端IP地址所关联的认证客户端的网络访问授权,并停止对其计费。
而且,在本发明系统中,辅助计费DHCP服务器在发现将IP地址再租用给其他认证客户端时,也要与NAS装置、Portal服务器和AAA服务器实现联动;当辅助计费DHCP服务器将IP地址再次分配给其他认证客户端时,及时、准确地辅助NAS装置、Portal服务器和AAA服务器停止原DHCP释放报文中携带的认证客户端IP地址所关联的认证客户端的网络访问授权,并停止对其计费。
再者,本发明辅助计费方法是在辅助计费DHCP服务器端实现的,其他网元的结构与功能未作更改;只有当辅助计费DHCP服务器监测到认证客户端的DHCP释放报文、或者IP地址被再租用给其他认证客户端时,才触发和实现对外部网元的联动操作。因此,本发明系统结构简单,操作容易,便于推广应用。
本发明系统与方法相对于现有的最好技术而言,所具有的优点和效果是:
本发明系统与方法解决了认证客户端未能按照预定流程注销所带来的网络访问权限被冒用的问题,还解决了认证客户端未能按照预定流程注销、认证客户端网络连接意外中断、或认证客户端意外关机等异常情况下经常发生的计费错误的现象。
本发明系统的结构组成非常简单,不需要增加额外部件,只需对使用认证客户端、DHCP服务器、NAS装置、Portal服务器和AAA服务器计费环境中的DHCP服务器进行结构改造或替换,无需改动原来计费网络系统中的任何其他节点。而且,该系统的辅助计费操作方法也简便易行,故特别有利于本发明系统与方法的推广应用。再者,本发明方法是一个安全的候补措施,不对现有用户的正常操作及行为造成任何干扰。
附图说明
图1是典型的DHCP组网架构示意图。
图2是现有的IP计费网络系统的组网结构示意图。
图3是本发明用于DHCP协议辅助计费的系统结构组成示意图。
图4是本发明用于DHCP协议辅助计费的系统中的辅助计费DHCP服务器结构组成方框图。
图5是本发明用于DHCP协议辅助计费的系统辅助计费方法操作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述。
参见图3,本发明用于DHCP协议辅助计费的系统设有:认证客户端、NAS装置、Portal服务器和AAA服务器;以及结构改进而增加辅助计费功能的辅助计费DHCP服务器。其中:
辅助计费DHCP服务器,用于为认证客户端提供基于DHCP协议的IP地址的分配租用与释放的管理服务,即对认证客户端对IP地址的租用与释放事件进行分析,判断IP地址的租用者的变化,并分别与Portal服务器、AAA服务器和NAS装置进行交互,实现相关事件与计费的联动操作。该服务器设有:DHCP协议处理模块、分析模块、联动模块和记录模块(参见图4所示),这些组成模块的功能接收如下:
DHCP协议处理模块,为该DHCP服务器中的原有模块,负责与认证客户端交互DHCP协议信令,以便为认证客户端提供IP地址的租用、释放和各种网络环境信息;同时,还负责将认证客户端发送来的IP地址请求报文和IP地址释放报文通知分析模块。
分析模块,分别连接DHCP协议处理模块、联动模块和记录模块,为该DHCP服务器中的创新模块。用于接收DHCP协议处理模块发送来的IP地址释放报文和IP地址请求报文,并执行相应的处理操作:接收到IP地址释放报文时,提取报文中的认证客户端唯一标识和IP地址的信息,调用联动模块执行停止计费的联动操作;接收到IP地址请求报文时,提取报文中的认证客户端唯一标识和IP地址信息,再调用记录模块,查询记录模块中存储的认证客户端标识与IP地址的租用信息记录,如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识不匹配时,则调用联动模块执行停止计费的联动操作,并通知记录模块将该认证客户端标识更新到存储记录中;如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识匹配时,则不执行联动操作;如果未找到该请求新租用IP地址的认证客户端标识记录,则通知记录模块,将该认证客户端标识添加于存储记录中。
联动模块,为该DHCP服务器中的创新模块;负责接收分析模块发来的联动请求,并将该联动请求分别转换为对包括Portal服务器、NAS装置和AAA服务器的外部设备的相应操作指令:通知Portal服务器注销认证客户端的网络登录,通知NAS装置停止认证客户端的网络访问授权,通知AAA服务器停止认证客户端的计费,或者通知NAS装置允许认证客户端访问被授权的Internet资源、通知AAA服务器开始认证客户端的计费。
记录模块,为该DHCP服务器中的创新模块;负责记录存储认证客户端的标识与IP地址租用的关联记录信息;并根据分析模块的查询指令,配合相应的查询操作后,再把查询结果返回给分析模块。
认证客户端,为用户终端电脑或智能手机,负责运行内置的DHCP协议客户端功能模块,向辅助计费DHCP服务器发起包括接入网络的DHCP IP地址请求报文或结束网络访问的DHCP IP地址释放报文,以获取对IP地址的租用与释放。
NAS装置,为包括路由器和计费网关的各种网络关口设备的统称,用于在认证客户端完成认证以前,将其所有HTTP请求重定向到Portal服务器;并在客户端的认证过程中,该NAS装置分别与Portal服务器和AAA服务器进行交互,完成客户端的身份认证、安全认证与计费的功能;且在客户端认证通过后,允许客户端访问被授权的Internet资源。
Portal服务器,作为接收认证客户端认证请求的服务器,向认证客户端提供WEB门户和认证界面,再与NAS装置进行交互,对认证客户端的认证信息进行确认处理。
AAA服务器,负责分别与NAS装置、Portal服务器和辅助计费DHCP服务器进行交互,对认证客户端执行认证、授权和计费操作。
参见图5,介绍本发明用于DHCP辅助计费的系统的辅助计费工作方法的具体操作步骤:
步骤1,认证客户端接入网络时,向辅助计费DHCP服务器请求租用IP地址。
步骤2,辅助计费DHCP服务器接收到该IP地址的租用请求报文,检查本地记录的客户端唯一标识与IP地址记录,并判断该租用请求报文中所请求的IP地址所关联的客户端唯一标识与其携带的客户端唯一标识是否匹配一致。
如果不匹配,即该IP地址被再分配给与以前分配的认证客户端不同时,则辅助计费DHCP服务器更新本地存储记录,记录该认证客户端唯一标识与IP地址,通知Portal服务器对该报文中的IP地址执行下线操作,停止该IP地址的网络访问授权和计费后;才向该认证客户端提供该IP地址;
如果匹配,即该IP地址与以前原来所分配的认证客户端相同时,则辅助计费DHCP服务器向该认证客户端提供该IP地址;
如果未找到存储记录,即该IP地址以前未分配给任何认证客户端时,则辅助计费DHCP服务器在本地新建该认证客户端唯一标识与IP地址的存储记录。
该步骤2包括下列具体操作内容:
(21)辅助计费DHCP服务器中的DHCP协议处理模块将来自认证客户端的DHCP IP地址请求报文或DHCP IP地址释放报文转送给分析模块处理;
(22)分析模块对接收到的认证客户端的IP地址请求报文或IP地址释放报文进行分析后,执行相应的联动操作:先向记录模块发送IP地址的查询请求,并在接收到查询结果时,对IP地址租用记录进行存储管理;还给联动模块发送相应的联动指令;
(23)记录模块接收和执行分析模块提出的对该IP地址与认证客户端唯一标识记录进行查询的操作请求,并将查询结果返回给分析模块;
(24)联动模块接收到来自分析模块的联动指令后,调用外部Portal服务器的操作接口,对该IP地址执行下线操作,停止网络访问授权和停止计费动作。
该步骤(24)中,还包括可选择的操作内容是:联动模块直接与AAA服务器、或NAS装置分别进行交互,对该IP地址执行下线操作,停止网络访问授权和停止计费操作。
步骤3,认证客户端在未认证时,藉由在浏览器输入的一个互联网统一标识符URL,使得租用该IP地址的HTTP请求在经过NAS装置时,被重定向到Portal服务器的WEB认证网页上;
步骤4,认证客户端在浏览器中输入的认证信息被提交给Portal服务器,Portal服务器接收到该认证信息后,将其发送给NAS装置;
步骤5,NAS装置与AAA服务器通信交互,将认证客户端的认证信息发送给AAA服务器,由AAA服务器对该认证客户端执行认证和计费操作。
该步骤5中,AAA服务器对认证客户端执行认证和计费操作后,包括两种可选择的操作内容:
(51)若认证通过,则NAS装置打开该认证客户端与Internet的通路,允许该认证客户端访问Internet。
(52)若认证未通过,则NAS装置关闭该认证客户端与Internet的通路,结束该流程。
步骤6,辅助计费DHCP服务器监测到认证客户端发送的DHCP释放报文,准备停止对该报文中携带的IP地址的租用时,就通知Portal服务器对该认证客户端租用的该IP地址执行下线操作:结束Internet的访问授权,以及停止计费;
Portal服务器立即通知NAS装置断开该认证客户端与Internet的通路,禁止该认证客户端访问Internet;同时,NAS装置通知AAA服务器结束对该认证客户端的计费。
当认证客户端主动向Portal服务器发送注销IP地址通知时,Portal服务器通知NAS装置主动断开该认证客户端与Internet的通路,NAS装置通知AAA服务器停止对该认证客户端的计费。
如果认证客户端因其直接断开网络连接、关闭操作系统、或关闭WIFI的操作,未主动向Portal服务器发送注销通知就撤离网络时,经由设定的空闲超时时间后,NAS装置主动断开该认证客户端与Internet的通路,并通知AAA服务器停止对认证客户端的计费。
本发明系统和方法已经由申请人在北京邮电大学校园网四期中进行了仿真试验实施,该校园网四期系统中的辅助计费DHCP服务器实施例结构组成如图4所示。它是用C语言开发的,包含DHCP协议处理模块、分析模块、记录模块和联动模块。运行时,认证客户端通过校园网连接辅助计费DHCP服务器,辅助计费DHCP服务器通过北京邮电大学的校园网服务器网络连接Portal服务器,负责处理认证客户端的DHCP地址分配和管理,并与Portal服务器交互,辅助其实现计费。本发明仿真系统的试验实施结果是成功的,实现了发明目的。
以上所述仅是本发明的优选实现方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种用于DHCP协议辅助计费的系统,设有:认证客户端、NAS装置、Portal服务器和AAA服务器;其特征在于:该系统中还设有:结构改进而增加辅助计费功能的辅助计费DHCP服务器;其中:
辅助计费DHCP服务器,用于为认证客户端提供基于DHCP协议的IP地址的分配租用与释放的管理服务,即对认证客户端对IP地址的租用与释放事件进行分析,判断IP地址的租用者的变化,并分别与Portal服务器、AAA服务器和NAS装置进行交互,实现相关事件与计费的联动操作;该服务器设有:DHCP协议处理模块、分析模块、联动模块和记录模块;该DHCP服务器中的各个组成模块功能如下:
DHCP协议处理模块、负责与认证客户端交互DHCP协议信令,以便为认证客户端提供IP地址的租用、释放和各种网络环境信息;同时,还负责将认证客户端发送来的IP地址请求报文和IP地址释放报文通知分析模块;
分析模块,分别连接DHCP协议处理模块、联动模块和记录模块,用于接收DHCP协议处理模块发送来的IP地址释放报文和IP地址请求报文,并执行相应的处理操作:接收到IP地址释放报文时,提取报文中的认证客户端唯一标识和IP地址的信息,调用联动模块执行停止计费的联动操作;接收到IP地址请求报文时,提取报文中的认证客户端唯一标识和IP地址信息,再调用记录模块,查询记录模块中存储的认证客户端标识与IP地址的租用信息记录,如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识不匹配时,则调用联动模块执行停止计费的联动操作,并通知记录模块将该认证客户端标识更新到存储记录中;如果该请求新租用IP地址的认证客户端标识与存储记录中的认证客户端标识匹配时,则不执行联动操作;如果未找到该请求新租用IP地址的认证客户端标识记录,则通知记录模块,将该认证客户端标识添加于存储记录中;
联动模块,负责接收分析模块发来的联动请求,并将该联动请求分别转换为对包括Portal服务器、NAS装置和AAA服务器的外部设备的相应操作指令:通知Portal服务器注销认证客户端的网络登录,通知NAS装置停止认证客户端的网络访问授权,通知AAA服务器停止认证客户端的计费,或者通知NAS装置允许认证客户端访问被授权的Internet资源,通知AAA服务器开始认证客户端的计费;
记录模块,负责记录存储认证客户端的标识与IP地址租用的关联记录信息;并根据分析模块的查询指令,配合相应的查询操作后,再把查询结果返回给分析模块;
认证客户端,为用户终端电脑或智能手机,负责运行内置的DHCP协议客户端功能模块,向辅助计费DHCP服务器发起包括接入网络的DHCP IP地址请求报文或结束网络访问的DHCPIP地址释放报文,以获取对IP地址的租用与释放;
NAS装置,为包括路由器和计费网关的各种网络关口设备的统称,用于在认证客户端完成认证以前,将其所有HTTP请求重定向到Portal服务器;并在客户端的认证过程中,该NAS装置分别与Portal服务器和AAA服务器进行交互,完成客户端的身份认证、安全认证与计费的功能;且在客户端认证通过后,允许客户端访问被授权的Internet资源;
Portal服务器,作为接收认证客户端认证请求的服务器,向认证客户端提供WEB门户和认证界面,再与NAS装置进行交互,对认证客户端的认证信息进行确认处理;
AAA服务器,负责分别与NAS装置、Portal服务器和辅助计费DHCP服务器进行交互,对认证客户端执行认证、授权和计费操作。
2.一种采用权利要求1所述的用于DHCP协议辅助计费的系统的辅助计费方法,其特征在于:所述方法包括下列操作步骤:
步骤1,认证客户端接入网络时,向辅助计费DHCP服务器请求租用IP地址;
步骤2,辅助计费DHCP服务器接收到该IP地址的租用请求报文,检查本地记录的客户端唯一标识与IP地址记录,并判断该租用请求报文中所请求的IP地址所关联的客户端唯一标识与其携带的客户端唯一标识是否匹配一致:
如果不匹配,即该IP地址被再分配给与以前分配的认证客户端不同时,则辅助计费DHCP服务器更新本地存储记录,记录该认证客户端唯一标识与IP地址,通知Portal服务器对该报文中的IP地址执行下线操作,停止该IP地址的网络访问授权和计费后,才向该认证客户端提供该IP地址;
如果匹配,即该IP地址与以前原来所分配的认证客户端相同时,则辅助计费DHCP服务器向该认证客户端提供该IP地址;
如果未找到存储记录,即该IP地址以前未分配给任何认证客户端时,则辅助计费DHCP服务器在本地新建该认证客户端唯一标识与IP地址的存储记录;
步骤3,认证客户端在未认证时,藉由在浏览器输入的一个互联网统一标识符URL,使得租用该IP地址的HTTP请求在经过NAS装置时,被重定向到Portal服务器的WEB认证网页上;
步骤4,认证客户端在浏览器中输入的认证信息被提交给Portal服务器,Portal服务器接收到该认证信息后,将其发送给NAS装置;
步骤5,NAS装置与AAA服务器通信交互,将认证客户端的认证信息发送给AAA服务器,由AAA服务器对该认证客户端执行认证和计费操作;
步骤6,辅助计费DHCP服务器监测到认证客户端发送的DHCP释放报文,准备停止对该报文中携带的IP地址的租用时,就通知Portal服务器对该认证客户端租用的该IP地址执行下线操作:结束Internet的访问授权,以及停止计费;
Portal服务器立即通知NAS装置断开该认证客户端与Internet的通路,禁止该认证客户端访问Internet;同时,NAS装置通知AAA服务器结束对该认证客户端的计费。
3.根据权利要求2所述的方法,其特征在于:所述步骤2包括下列操作内容:
(21)辅助计费DHCP服务器中的DHCP协议处理模块将来自认证客户端的DHCP IP地址请求报文或DHCP IP地址释放报文转送给分析模块处理;
(22)分析模块对接收到的认证客户端的IP地址请求报文或IP地址释放报文进行分析后,执行相应的联动操作:先向记录模块发送IP地址的查询请求,并在接收到查询结果时,对IP地址租用记录进行存储管理;还给联动模块发送相应的联动指令;
(23)记录模块接收和执行分析模块提出的对该IP地址与认证客户端唯一标识记录进行查询的操作请求,并将查询结果返回给分析模块;
(24)联动模块接收到来自分析模块的联动指令后,调用外部Portal服务器的操作接口,对该IP地址执行下线操作,停止网络访问授权和停止计费动作。
4.根据权利要求3所述的方法,其特征在于:所述步骤(24)还包括下述可选择的操作内容:
(24)联动模块直接与AAA服务器、或NAS装置分别进行交互,对该IP地址执行下线操作,停止网络访问授权和停止计费操作。
5.根据权利要求2所述的方法,其特征在于:所述步骤5中,AAA服务器对认证客户端执行认证和计费操作后,包括下述两种操作内容:
(51)若认证通过,则NAS装置打开该认证客户端与Internet的通路,允许该认证客户端访问Internet;
(52)若认证未通过,则NAS装置关闭该认证客户端与Internet的通路,结束该流程。
6.根据权利要求2所述的方法,其特征在于:所述方法中,当认证客户端主动向Portal服务器发送注销IP地址通知时,Portal服务器通知NAS装置主动断开该认证客户端与Internet的通路,NAS装置通知AAA服务器停止对该认证客户端的计费。
7.根据权利要求2所述的方法,其特征在于:所述方法中,如果认证客户端因其直接关机断开网络连接、关闭操作系统、或关闭WIFI的操作,未主动向Portal服务器发送注销通知就撤离网络时,经由设定的空闲超时时间后,NAS装置主动断开该认证客户端与Internet的通路,并通知AAA服务器停止对认证客户端的计费。
CN201510354255.2A 2015-06-24 2015-06-24 一种用于dhcp协议辅助计费的系统及其辅助计费方法 Active CN104954508B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510354255.2A CN104954508B (zh) 2015-06-24 2015-06-24 一种用于dhcp协议辅助计费的系统及其辅助计费方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510354255.2A CN104954508B (zh) 2015-06-24 2015-06-24 一种用于dhcp协议辅助计费的系统及其辅助计费方法

Publications (2)

Publication Number Publication Date
CN104954508A CN104954508A (zh) 2015-09-30
CN104954508B true CN104954508B (zh) 2018-03-27

Family

ID=54168848

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510354255.2A Active CN104954508B (zh) 2015-06-24 2015-06-24 一种用于dhcp协议辅助计费的系统及其辅助计费方法

Country Status (1)

Country Link
CN (1) CN104954508B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282270B (zh) * 2015-11-03 2019-09-20 北京星网锐捷网络技术有限公司 一种防止ip地址冒用的方法、装置及系统
CN107026918B (zh) * 2016-01-29 2020-06-09 中国移动通信集团广东有限公司 基于动态主机配置协议的web认证计费方法及系统
CN106446199B (zh) * 2016-09-29 2020-01-17 北京中联网盟科技有限公司 一种互联网地址信息管理方法及系统
CN107395717A (zh) * 2017-07-20 2017-11-24 成都安恒信息技术有限公司 一种应用于运维审计系统的空闲超时自动断开的方法
CN108092988B (zh) * 2017-12-28 2021-06-22 北京网瑞达科技有限公司 基于动态创建临时密码的无感知认证授权网络系统和方法
CN108200039B (zh) * 2017-12-28 2021-05-04 北京网瑞达科技有限公司 基于动态创建临时账号密码的无感知认证授权系统和方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447879A (zh) * 2009-01-13 2009-06-03 杭州华三通信技术有限公司 一种计费的方法及接入设备
WO2014044098A1 (zh) * 2012-09-24 2014-03-27 中兴通讯股份有限公司 一种wlan用户固网接入的方法和系统
CN103957194A (zh) * 2014-04-04 2014-07-30 杭州华三通信技术有限公司 一种网络协议ip接入方法及接入设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447879A (zh) * 2009-01-13 2009-06-03 杭州华三通信技术有限公司 一种计费的方法及接入设备
WO2014044098A1 (zh) * 2012-09-24 2014-03-27 中兴通讯股份有限公司 一种wlan用户固网接入的方法和系统
CN103957194A (zh) * 2014-04-04 2014-07-30 杭州华三通信技术有限公司 一种网络协议ip接入方法及接入设备

Also Published As

Publication number Publication date
CN104954508A (zh) 2015-09-30

Similar Documents

Publication Publication Date Title
CN104954508B (zh) 一种用于dhcp协议辅助计费的系统及其辅助计费方法
CN108881232B (zh) 业务系统的登录访问方法、装置、存储介质和处理器
CN103078827B (zh) 第三方应用调用的开放平台系统和实现方法
CN102369750B (zh) 用于管理用户的认证的方法和装置
CN105228121B (zh) 使用rest式接口的订户管理
CN101317366B (zh) 一种网络计费方法、系统及设备
JP2005339093A (ja) 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
CN104144167B (zh) 一种开放式智能网关平台的用户登录认证方法
CN108092988B (zh) 基于动态创建临时密码的无感知认证授权网络系统和方法
CN101166173A (zh) 一种单点登录系统、装置及方法
CN104159225A (zh) 一种基于无线网络的实名制管理方法及系统
CN1647451B (zh) 用于在网络环境中监视信息的装置、方法和系统
CN110677383A (zh) 防火墙开墙方法、装置、存储介质及计算机设备
CN108200039B (zh) 基于动态创建临时账号密码的无感知认证授权系统和方法
CN113271299B (zh) 一种登录方法和服务器
CN107040389A (zh) 用于认证、授权和计费协议的结果报告
CN105392137A (zh) 家庭wifi防盗用的方法、无线路由器及终端设备
CN103825901A (zh) 一种网络访问控制方法及设备
CN106254328A (zh) 一种访问控制方法及装置
CN103888415B (zh) Ims用户的游牧控制方法及装置
KR102478574B1 (ko) 인터넷 서비스의 개통을 제공하는 인터넷 서비스 개통 장치, 인터넷 서비스 개통 시스템 및 인터넷 서비스 개통 방법
CN103026687A (zh) 限制被拒绝订户端站所消耗的资源
CN107948979A (zh) 信息处理方法、装置及审计设备
CN102045398A (zh) 一种基于Portal的分布式控制方法和设备
CN107241461B (zh) Mac地址获取方法、网关设备、网络认证设备及网络系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant