CN110581902A - 一种地址分配方法、系统、dhcp服务器及认证服务器 - Google Patents
一种地址分配方法、系统、dhcp服务器及认证服务器 Download PDFInfo
- Publication number
- CN110581902A CN110581902A CN201910841341.4A CN201910841341A CN110581902A CN 110581902 A CN110581902 A CN 110581902A CN 201910841341 A CN201910841341 A CN 201910841341A CN 110581902 A CN110581902 A CN 110581902A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- authentication
- address
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种地址分配方法、系统、DHCP服务器及认证服务器,包括:DHCP服务器接收终端发送的DHCP请求报文然后向认证服务器发送查询报文,所述认证服务器根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息生成关联有所述用户身份信息的IP地址然后发送给所述终端,解决了在不改变标准用户接入流程的情况下,在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种地址分配方法、系统、DHCP服务器及认证服务器。
背景技术
互联网协议第6版(英文名:Internet Protocol Version 6,简称IPv6)地址的总长度为128位,具有地址空间巨大的特点,IPv6地址分为前64位和后64位两个部分,其中前64位称为前缀,可用于标识所连接的网络并进行路由,而后64位称为接口标识(英文名:Interface ID)是由DHCP服务器分配的,用于标识子网中的某个具体的主机(主机的某个网络接口),现有的IPv6地址设置仅包含子网前缀这个信息,作为主机标识的后一部分IPv6地址是随机分配的,由于该地址没有携带用户身份等更多的信息,不利于增强网络的可管理性,因此可以通过特有的IPv6地址分配方式,在64位接口标识中标识用户的身份,构建更为完善的溯源体系。
在专利号为ZL201210254314.5的发明专利文件中公开了一种面向真实用户身份信息的IPv6地址分配方法。该专利提出了一种标识用户身份信息的IPv6地址分配方法,需要客户端将用户身份信息(用户名及密码)使用加密字形成摘要后,携带在DHCPv6报文中返回给DHCPv6服务器,服务器反算摘要得到用户身份信息后进行校验,校验通过后将用户信息标识在IPv6地址中分配给客户端,发明人经过研究发现该方案不仅增加了DHCPv6过程的复杂度和用户接入网络的时长,并且在DHCPv6的过程中还需要输入用户身份信息,需要客户端单独配置专用插件或软件,不但改变了标准的用户接入流程,而且每台接入客户端都需要配置,配置复杂,使用难度高,同时DHCPv6服务器中存留了明文的用户身份信息,增加了用户身份信息泄露风险。
因此,如何在不改变标准用户接入流程的情况下,设计一种IPv6地址用来标识用户身份信息,以便捷构建完善溯源体系是个亟待解决的问题。
发明内容
本发明实施例提供了一种地址分配方法、系统、DHCP服务器及认证服务器,用户终端通过DHCP服务器、认证服务器的联动,基于用户接入标准流程,在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性。
第一方面,本发明实施例提供了一种地址分配方法,包括:
DHCP服务器接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
所述DHCP服务器向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
所述认证服务器根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器;
所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址;
所述DHCP服务器将所述IP地址发送给所述终端。
进一步的,在所述认证服务器根据所述查询报文获取所述终端的认证信息之前,所述方法还包括:在所述认证服务器上配置所述用户身份信息。
进一步的,所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址,包括:所述DHCP服务器将从所述认证服务器接收的所述用户身份信息作为所述IP地址的接口标识与所述IP地址的前缀组合成完整的IP地址。
进一步的,所述方法还包括:在所述认证服务器根据所述查询报文未获取到所述终端的认证信息时,向所述DHCP服务器返回查询失败报文;所述DHCP服务器接收所述查询失败报文后为所述终端分配默认的IP地址,以便在所述终端认证通过后使得所述认证服务器上存在所述终端的认证信息。
本发明实施例提供了一种地址分配方法,通过DHCP服务器、认证服务器的联动,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,解决了便捷构建完善溯源体系的问题,不仅不会增加用户终端的接入时长和复杂度,且终端完全无感知,无需单独配置或安装插件软件,同时用户身份信息只存在于认证服务器的数据库中达到专项专用,以便用户身份信息可以得到安全保障。
第二方面,本发明实施例还提供了一种地址分配系统,包括:DHCP服务器和认证服务器;
所述DHCP服务器,用于接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
所述DHCP服务器,还用于向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
所述认证服务器,用于根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器;
所述DHCP服务器还用于接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址;
所述DHCP服务器还用于将所述IP地址发送给所述终端。
进一步的,所述认证服务器还用于:在所述认证服务器根据所述查询报文获取所述终端的认证信息之前,配置所述用户身份信息。
进一步的,所述DHCP服务器具体用于:将从所述认证服务器接收的所述用户身份信息作为所述IP地址的接口标识与所述IP地址的前缀组合成完整的IP地址。
进一步的,所述认证服务器还用于:在根据所述查询报文未获取到所述终端的认证信息时,向所述DHCP服务器返回查询失败报文;所述DHCP服务器还用于:接收所述查询失败报文后为所述终端分配默认的IP地址,以便在所述终端认证通过后使得所述认证服务器上存在所述终端的认证信息。
本发明实施例提供了一种地址分配系统,包括:DHCP服务器和认证服务器,通过DHCP服务器、认证服务器的联动,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,解决了便捷构建完善溯源体系的问题,不仅不会增加用户终端的接入时长和复杂度,且终端完全无感知,无需单独配置或安装插件软件,同时用户身份信息只存在于认证服务器的数据库中达到专项专用,以便用户身份信息可以得到安全保障。
第三方面,本发明实施例还提供了一种DHCP服务器,包括:
接收模块,用于接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
发送模块,用于向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
处理模块,用于接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址,其中,所述用户身份信息为所述认证服务器根据所述查询报文获取到的所述终端认证信息中的用户身份信息;
所述发送模块还用于将所述IP地址发送给所述终端。
本发明实施例提供了一种DHCP服务器,包括:接收模块接收终端发送的DHCP请求报文,然后发送模块向认证服务器发送查询报文,之后处理模块接收所述认证服务器发送的用户身份信息,以便生成关联有所述用户身份信息的IP地址然后发送模块再将所述IP地址发送给所述终端,通过与认证服务器的联动,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,解决了便捷构建完善溯源体系的问题,不仅不会增加用户终端的接入时长和复杂度,且终端完全无感知,无需单独配置或安装插件软件。
第四方面,本发明实施例还提供了一种认证服务器,包括:
接收模块,用于接收DHCP服务器发送的查询报文,其中,所述查询报文为所述DHCP服务器接收所述终端发送的DHCP请求报文向认证服务器发送的查询报文,所述DHCP请求报文中携带有所述终端的标识信息,所述查询报文中包括所述终端的标识信息;
获取模块,用于根据DHCP服务器发送的查询报文获取终端的认证信息;
发送模块,用于将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息生成关联有所述用户身份信息的IP地址并将所述IP地址发送给所述终端。
本发明实施例提供了一种认证服务器,包括:接收模块接收DHCP服务器发送的查询报文后,获取模块获取所述终端的认证信息,然后发送模块再将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器根据接收到的所述认证服务器发送过来的用户身份信息生成关联有所述用户身份信息的IP地址并发送给所述终端,通过与DHCP服务器的联动,在不改变标准用户接入流程的情况下,解决了便捷构建完善溯源体系的问题,不仅不会增加用户终端的接入时长和复杂度,且终端完全无感知,无需单独配置或安装插件软件,并且用户身份信息只存在于认证服务器的数据库中达到专项专用,以便用户身份信息可以得到安全保障。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种地址分配系统的架构示意图;
图2为本发明实施例提供的另一种地址分配系统的架构示意图;
图3为本发明实施例提供的一种地址分配方法的流程图;
图4为本发明实施例提供的一种DHCP服务器的架构示意图;
图5为本发明实施例提供的一种认证服务器的架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种地址分配系统的架构示意图,包括但不局限于:终端11、DHCP服务器12以及认证服务器13。终端11通过网络(一般通过网关接入网络)连接DHCP服务器12以及认证服务器13进行认证,其中,需要说明的是,作为一种可选地实施方式,DHCP服务器12可以但不局限于是DHCPv6服务器,认证服务器13可以但不局限于是AAA服务器,此处不作具体限定。
需要说明的是,上述终端可以是计算机、膝上型计算机、个人数字助理(PDA)、双模式智能电话、iPod、iPad、平板电脑、手机或者具有输入、输出、显示器和存储并且能够与无线网络通信或交互的任何其他终端,可以包括打印能力或者可以不包括打印能力,网关可以是具备防火墙等网络安全功能的网络设备,这里不做具体限定。
另外,在本发明各个实施例中的各功能模块,例如DHCP服务器或认证服务器可以是集成在一起形成一个独立的部分,也可以是分别单独存在,也可以两个或两个以上模块集成形成一个独立的部分,这里也不做具体限定。
如图2所示,为本发明实施例提供的一种地址分配系统的架构示意图,包括:终端11、DHCPv6服务器22、AAA服务器23以及网关24,终端11通过网关24接入网络,然后通过网络连接DHCPv6服务器22和AAA服务器23,其中:
所述DHCPv6服务器22,用于接收终端11发送的DHCP请求报文,该DHCP请求报文中携带有该终端11的标识信息。
所述DHCPv6服务器22,还用于向AAA服务器23发送查询报文,该查询报文中包括该终端11的标识信息。
所述AAA服务器23,用于根据该查询报文获取该终端11的认证信息,并将该认证信息中的用户身份信息发送给该DHCPv6服务器22。
所述DHCPv6服务器22还用于接收该AAA服务器23发送的用户身份信息并生成关联有该用户身份信息的IP地址;
所述DHCPv6服务器22还用于将该IP地址发送给该终端11。
可选的,该AAA服务器23还用于:在该AAA服务器23根据该查询报文获取该终端201的认证信息之前,配置该用户身份信息。
可选的,该DHCPv6服务器22具体用于:将从该AAA服务器23接收的该用户身份信息作为该IP地址的接口标识与该IP地址的前缀组合成完整的IP地址。
可选的,该AAA服务器23还用于:在根据该查询报文未获取到该终端11的认证信息时,向DHCPv6服务器22返回查询失败报文。
该DHCPv6服务器22还用于:接收该查询失败报文后为该终端11分配默认的IP地址,以便在该终端11认证通过后使得该AAA服务器23上存在该终端11的认证信息。
本发明实施例提供的一种地址分配系统,包括:DHCP服务器和认证服务器,DHCP服务器接收终端发送的DHCP请求报文然后向认证服务器发送查询报文,所述认证服务器根据所述查询报文中获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址然后发送给所述终端,通过DHCP服务器、认证服务器的联动,减少终端与DHCP服务器的交互流程,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,同时只在认证服务器中保留用户身份信息做到专项专用,后续在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性。
如图3所示,为本发明实施例提供的一种地址分配方法的流程图,该方法包括:
步骤301、DHCP服务器接收终端发送的DHCP请求报文。
其中,所述DHCP请求报文中携带有所述终端的标识信息。
结合图2对本步骤进行说明,用户终端通过网关接入网络向DHCPv6服务器发送请求为其分配IP地址的DHCP Solicit报文(即该DHCP Solicit报文为DHCPv6交互过程中的一个DHCPv6请求报文),此时该DHCP Solicit报文中携带有该终端的标识信息,该标识信息可以是该终端的MAC地址、序列号等,在本方案中以该标识信息为该终端的MAC地址做举例说明,在实际应用场景中,只要是能够标识该终端,都不作具体限定。
步骤302、所述DHCP服务器向认证服务器发送查询报文。
其中,所述查询报文中包括所述终端的标识信息。
在本步骤中,该DHCPv6服务器通过DHCP Solicit报文中的“Link-layer address”提取该终端的MAC地址,根据该MAC地址向AAA服务器发送查询报文,其中,该查询报文中携带有该终端的该MAC地址。
步骤303、所述认证服务器根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器。
在本步骤中,该AAA服务器根据接收到的查询报文中的终端的MAC地址查找自身数据库中是否存在有该终端的认证信息,该终端的认证信息包括但不限于是用户名、终端的接入位置等用户身份信息,在获取到该终端的认证信息的情况下,该AAA服务器将该认证信息中的用户身份信息发送给该DHCPv6服务器。
可选的,该AAA服务器可以根据预设规则对该用户身份信息进行加密后再发送给该DHCPv6服务器,以便保证用户身份信息的安全管理。例如,该AAA服务器将该终端的用户名组合起来,转换成二进制,不足64位以0补齐并与另一64位二进制的固定字符串(该字符串为用户可配置的加密字符串)进行异或运算,然后得到加密后的64位二进制字符串,并转换为16进制的字符串然后将此加密后的字符串发送给DHCPv6服务器,在实际应用场景中,该AAA服务器根据预设规则对该用户身份信息进行加密后再发送给该DHCPv6服务器的方式不只局限于此加密方式,此处只作举例说明,任何能达到隐藏用户身份信息目的的加密方式均可。
需要说明的是,若该终端已进行过802.1X认证,则由于该终端已将用户名和密码等认证信息通过认证请求报文发送给网关,并且网关提取该终端的MAC地址、接入位置等用户身份信息填入到Radius报文的扩展字段中发给AAA服务器,AAA服务器在确认过该认证信息正确后告知网关开放该终端的网络权限,此时在AAA服务器的数据库中便已经保存了该用户身份信息,则该AAA服务器可以直接将保存的用户名组合起来,转换成二进制,不足64位以0补齐并与另一64位二进制的固定字符串(该字符串为用户可配置的加密字符串)进行异或运算,然后得到加密后的64位二进制字符串,并转换为16进制的字符串然后将此加密后的字符串发送给DHCPv6服务器。
此外,若该AAA服务器根据接收到的查询报文中的终端的MAC地址查找自身数据库中未存在有该终端的认证信息时,即在该AAA服务器根据该查询报文未获取到该终端的认证信息的情况下,则该AAA服务器向该DHCPv6服务器返回查询失败报文以便告知该终端未进行过认证,该DHCPv6服务器接收该查询失败报文后得知该终端未进行过认证,于是根据默认的地址分配方式为该终端分配一个默认的IP地址,该默认的IP地址可以为该DHCPv6服务器在自身可选的IP地址池内为该终端随机分配的一个可用的地址,并且该默认的IP地址为未关联有该用户身份信息的IP地址,使得该终端根据分配到的该默认的IP地址访问网络资源。
之后,由于该终端未进行过认证,于是网关便会触发该终端在该AAA服务器上进行首次认证,即该终端根据到该默认的IP地址在AAA服务器上进行Portal认证,由网关提取该终端的MAC地址、接入位置等用户身份信息填入到WEB门户页面的URL中,在终端显示的WEB门户页面中用户输入用户名和密码进行认证,AAA服务器确认该用户名和密码等用户身份信息正确后返回认证成功页面给终端,同时在该AAA服务器的数据库中保存该用户的认证信息,上述关于终端进行Portal认证的方式为现有技术,在本实施例中只作简要概述未详尽部分此处不作具体阐述,其目的为在该终端认证通过后使得该AAA服务器上存在有该终端的认证信息,以便该AAA服务器下一次接收到上述查询报文后,可以根据该查询报文中的终端的MAC地址查找到已保存的认证信息从而获取到该终端的认证信息。
另外,在用户终端通过网关接入网络向DHCPv6服务器发送DHCP Solicit报文或者该DHCPv6服务器向该AAA服务器发送查询报文之前,在该AAA服务器上可以预先配置该终端的用户身份信息,避免该终端在首次进行认证时无法分配到携带有用户身份信息的IP地址。
步骤304、所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址。
在本步骤中,该DHCPv6服务器根据接收到的AAA服务器发送过来的上述用户身份信息的字符串后,将此字符串作为64位的接口标识与64位的子网前缀进行组使之行成完整的关联有用户身份信息的128位IPv6地址。
步骤305、所述DHCP服务器将所述IP地址发送给所述终端。
在本步骤中,该DHCPv6服务器将步骤304中得到的关联有用户身份信息的128位IPv6地址发送给终端。
本发明实施例提供的一种地址分配方法,包括:DHCP服务器接收终端发送的DHCP请求报文然后向认证服务器发送查询报文,所述认证服务器根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址然后发送给所述终端,通过DHCP服务器、认证服务器的联动,减少终端与DHCP服务器的交互流程,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,同时只在认证服务器中保留用户身份信息做到专项专用,后续在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性,并且IP地址分配时非明文显示,也进一步的提高了用户身份信息交互的安全性。
如图4所示,为本发明实施例提供的一种DHCP服务器400,包括:
接收模块401,用于接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息。
发送模块402,用于向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息。
处理模块403,用于接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址,其中,所述用户身份信息为所述认证服务器根据所述查询报文获取到的所述终端认证信息中的用户身份信息。
所述发送模块402还用于将所述IP地址发送给所述终端。
本发明实施例所提供的一种DHCP服务器400,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,相应的产品实施例部分未提及之处,可参考前述方法实施例中相应内容,此处不再赘述。
本发明实施例提供的一种DHCP服务器,包括:所述DHCP服务器的接收模块接收终端发送的DHCP请求报文,然后发送模块向认证服务器发送查询报文,之后处理模块接收所述认证服务器发送的用户身份信息,以便生成关联有所述用户身份信息的IP地址然后发送模块再将所述IP地址发送给所述终端,通过与认证服务器的联动,减少终端与DHCP服务器的交互流程,在基于用户接入标准的基础上降低了DHCP服务器的性能消耗,后续在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性。
如图5所示,为本发明实施例提供的一种认证服务器500,包括:
接收模块501,用于接收DHCP服务器发送的查询报文,其中,所述查询报文为所述DHCP服务器接收所述终端发送的DHCP请求报文向认证服务器发送的查询报文,所述DHCP请求报文中携带有所述终端的标识信息,所述查询报文中包括所述终端的标识信息。
获取模块502,用于根据DHCP服务器发送的查询报文获取终端的认证信息;
发送模块503,用于将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息生成关联有所述用户身份信息的IP地址并将所述IP地址发送给所述终端。
本发明实施例所提供的一种认证服务器500,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,相应的产品实施例部分未提及之处,可参考前述方法实施例中相应内容,此处不再赘述。
本发明实施例提供的一种认证服务器,包括:所述认证服务器的接收模块接收DHCP服务器发送的查询报文后,获取模块获取所述终端的认证信息,然后发送模块再将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器根据接收到的所述认证服务器发送过来的用户身份信息生成关联有所述用户身份信息的IP地址并发送给所述终端,通过与DHCP服务器的联动,在认证服务器中保留用户身份信息做到专项专用,后续在为用户分配网络地址时,将用户身份信息嵌入到IPv6地址的接口标识中,以便用户使用该IPv6地址产生的网络行为均携带有用户身份信息,不仅为建立便捷完善的溯源体系提供基础支持,同时也保证了用户身份信息的安全性。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
此外,在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种地址分配方法,其特征在于,包括:
DHCP服务器接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
所述DHCP服务器向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
所述认证服务器根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器;
所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址;
所述DHCP服务器将所述IP地址发送给所述终端。
2.如权利要求1所述的地址分配方法,其特征在于,在所述认证服务器根据所述查询报文获取所述终端的认证信息之前,所述方法还包括:在所述认证服务器上配置所述用户身份信息。
3.如权利要求1或2所述的地址分配方法,其特征在于,所述DHCP服务器接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址,包括:所述DHCP服务器将从所述认证服务器接收的所述用户身份信息作为所述IP地址的接口标识与所述IP地址的前缀组合成完整的IP地址。
4.如权利要求3所述的地址分配方法,其特征在于,所述方法还包括:在所述认证服务器根据所述查询报文未获取到所述终端的认证信息时,向所述DHCP服务器返回查询失败报文;
所述DHCP服务器接收所述查询失败报文后为所述终端分配默认的IP地址,以便在所述终端认证通过后使得所述认证服务器上存在所述终端的认证信息。
5.一种地址分配系统,其特征在于,包括:DHCP服务器和认证服务器;
所述DHCP服务器,用于接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
所述DHCP服务器,还用于向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
所述认证服务器,用于根据所述查询报文获取所述终端的认证信息,并将所述认证信息中的用户身份信息发送给所述DHCP服务器;
所述DHCP服务器还用于接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址;
所述DHCP服务器还用于将所述IP地址发送给所述终端。
6.如权利要求5所述的地址分配系统,其特征在于,所述认证服务器还用于:在所述认证服务器根据所述查询报文获取所述终端的认证信息之前,配置所述用户身份信息。
7.如权利要求5或6所述的地址分配系统,其特征在于,所述DHCP服务器具体用于:将从所述认证服务器接收的所述用户身份信息作为所述IP地址的接口标识与所述IP地址的前缀组合成完整的IP地址。
8.如权利要求7所述的地址分配系统,其特征在于,所述认证服务器还用于:在根据所述查询报文未获取到所述终端的认证信息时,向所述DHCP服务器返回查询失败报文;
所述DHCP服务器还用于:接收所述查询失败报文后为所述终端分配默认的IP地址,以便在所述终端认证通过后使得所述认证服务器上存在所述终端的认证信息。
9.一种DHCP服务器,其特征在于,包括:
接收模块,用于接收终端发送的DHCP请求报文,所述DHCP请求报文中携带有所述终端的标识信息;
发送模块,用于向认证服务器发送查询报文,所述查询报文中包括所述终端的标识信息;
处理模块,用于接收所述认证服务器发送的用户身份信息并生成关联有所述用户身份信息的IP地址,其中,所述用户身份信息为所述认证服务器根据所述查询报文获取到的所述终端认证信息中的用户身份信息;
所述发送模块还用于将所述IP地址发送给所述终端。
10.一种认证服务器,其特征在于,包括:
接收模块,用于接收DHCP服务器发送的查询报文,其中,所述查询报文为所述DHCP服务器接收所述终端发送的DHCP请求报文向认证服务器发送的查询报文,所述DHCP请求报文中携带有所述终端的标识信息,所述查询报文中包括所述终端的标识信息;
获取模块,用于根据DHCP服务器发送的查询报文获取终端的认证信息;
发送模块,用于将所述认证信息中的用户身份信息发送给所述DHCP服务器,以便所述DHCP服务器接收所述认证服务器发送的用户身份信息生成关联有所述用户身份信息的IP地址并将所述IP地址发送给所述终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910841341.4A CN110581902A (zh) | 2019-09-06 | 2019-09-06 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910841341.4A CN110581902A (zh) | 2019-09-06 | 2019-09-06 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110581902A true CN110581902A (zh) | 2019-12-17 |
Family
ID=68812748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910841341.4A Pending CN110581902A (zh) | 2019-09-06 | 2019-09-06 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110581902A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112492058A (zh) * | 2020-11-16 | 2021-03-12 | 赛尔网络有限公司 | 真实源IPv6地址的分配方法、系统、电子设备和介质 |
| CN113765904A (zh) * | 2021-08-26 | 2021-12-07 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
| CN114244842A (zh) * | 2021-12-23 | 2022-03-25 | 绿盟科技集团股份有限公司 | 一种安全资源调度方法、装置、电子设备及存储介质 |
| CN115118489A (zh) * | 2022-06-24 | 2022-09-27 | 广州根链国际网络研究院有限公司 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
| WO2023206558A1 (zh) * | 2022-04-29 | 2023-11-02 | 华为技术有限公司 | 一种地址分配方法及装置 |
| WO2024131381A3 (zh) * | 2022-12-21 | 2024-08-08 | 中兴通讯股份有限公司 | 配置方法、客户端、地址配置模块、系统及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924801A (zh) * | 2010-05-21 | 2010-12-22 | 中国科学院计算机网络信息中心 | Ip地址管理方法和系统、动态主机配置协议服务器 |
| ES2360678A1 (es) * | 2008-04-18 | 2011-06-08 | Universidad Carlos Iii De Madrid | Procedimiento y dispositivo de gestión de movilidad ip localizada basada en la red, red de acceso y dispositivo de pasarela de acceso fijos y móviles a dominios con movilidad ip localizada. |
| CN103095581A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 分离终端身份位置标识的系统、方法和服务路由器 |
| CN103414709A (zh) * | 2013-08-02 | 2013-11-27 | 杭州华三通信技术有限公司 | 用户身份绑定、协助绑定的方法及装置 |
| CN105323325A (zh) * | 2014-06-27 | 2016-02-10 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的地址分配方法及接入服务节点 |
-
2019
- 2019-09-06 CN CN201910841341.4A patent/CN110581902A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2360678A1 (es) * | 2008-04-18 | 2011-06-08 | Universidad Carlos Iii De Madrid | Procedimiento y dispositivo de gestión de movilidad ip localizada basada en la red, red de acceso y dispositivo de pasarela de acceso fijos y móviles a dominios con movilidad ip localizada. |
| CN101924801A (zh) * | 2010-05-21 | 2010-12-22 | 中国科学院计算机网络信息中心 | Ip地址管理方法和系统、动态主机配置协议服务器 |
| CN103095581A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 分离终端身份位置标识的系统、方法和服务路由器 |
| CN103414709A (zh) * | 2013-08-02 | 2013-11-27 | 杭州华三通信技术有限公司 | 用户身份绑定、协助绑定的方法及装置 |
| CN105323325A (zh) * | 2014-06-27 | 2016-02-10 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的地址分配方法及接入服务节点 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112492058A (zh) * | 2020-11-16 | 2021-03-12 | 赛尔网络有限公司 | 真实源IPv6地址的分配方法、系统、电子设备和介质 |
| CN113765904A (zh) * | 2021-08-26 | 2021-12-07 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
| CN113765904B (zh) * | 2021-08-26 | 2023-03-31 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
| CN114244842A (zh) * | 2021-12-23 | 2022-03-25 | 绿盟科技集团股份有限公司 | 一种安全资源调度方法、装置、电子设备及存储介质 |
| WO2023206558A1 (zh) * | 2022-04-29 | 2023-11-02 | 华为技术有限公司 | 一种地址分配方法及装置 |
| CN115118489A (zh) * | 2022-06-24 | 2022-09-27 | 广州根链国际网络研究院有限公司 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
| CN115118489B (zh) * | 2022-06-24 | 2024-04-30 | 广州根链国际网络研究院有限公司 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
| WO2024131381A3 (zh) * | 2022-12-21 | 2024-08-08 | 中兴通讯股份有限公司 | 配置方法、客户端、地址配置模块、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110581902A (zh) | 一种地址分配方法、系统、dhcp服务器及认证服务器 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| EP2633667B1 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
| CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| WO2019149006A1 (zh) | 获取、提供无线接入点接入信息的方法、设备以及介质 | |
| JP7535022B2 (ja) | 機器をリモートで管理するための装置、方法及びそのためのプログラム | |
| CN110856170B (zh) | 数据传输方法、装置及物联网通信系统 | |
| CN115277138B (zh) | 一种强制访问控制方法及装置 | |
| CN106507383A (zh) | 实名审计方法、设备和系统 | |
| US9906953B2 (en) | Method and user equipment for discovering device user | |
| CN105049546B (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
| CN108418679B (zh) | 一种多数据中心下处理密钥的方法、装置及电子设备 | |
| CN113784354B (zh) | 基于网关的请求转换方法和装置 | |
| CN110198540B (zh) | Portal认证方法及装置 | |
| CN102215486A (zh) | 接入网络的方法及系统、网络认证方法及设备、终端 | |
| CN104994501A (zh) | 无线网络的连接方法和终端设备 | |
| CN106535189B (zh) | 网络访问控制信息配置方法、装置及出口网关 | |
| CN107204959B (zh) | 验证码的验证方法、装置及系统 | |
| CN105072212A (zh) | 对码方法与对码系统 | |
| CN107078941B (zh) | 将ip数据包传输到ip地址的方法、处理装置和移动设备 | |
| WO2023134557A1 (zh) | 一种基于工业互联网标识的处理方法及装置 | |
| CN104243423A (zh) | 一种自组网的加密鉴权方法、系统及终端 | |
| CN109560954B (zh) | 设备配置方法及装置 | |
| CN114143057B (zh) | 网络连接的认证方法、装置、系统、电子设备及存储介质 | |
| CN113055359B (zh) | 基于区块链的IPv6域名数据隐私保护方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 610041 nine Xing Xing Road 16, hi tech Zone, Sichuan, Chengdu Applicant after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 15-24 floor, 1 1 Tianfu street, Chengdu high tech Zone, Sichuan Applicant before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191217 |