WO2009003409A1

WO2009003409A1 - A method, system and equipment for network access

Info

Publication number: WO2009003409A1
Application number: PCT/CN2008/071506
Authority: WO
Inventors: Ruobin Zheng
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-07-02
Filing date: 2008-07-01
Publication date: 2009-01-08
Also published as: CN101340287A; EP2136508A4; CN101340334A; EP2136508A1; CN101340334B; US20100107223A1; EP2136508B1

Description

一种网络接入方法、系统和装置

技术领域

本发明涉及网络通信领域，尤其涉及一种网^^入方法、系统和装置。背景技术

动态主机配置协议（Dynamic Host Configuration Protocol , DHCP )是一种动态指定 IP地址和配置参数的机制，主要用于大型网络环境和网络配置比较困难的地方。 DHCP系统主要包括 DHCP服务器（ DHCP Server )和 DHCP客户端 ( DHCP Client ),有些系统也包括 DHCP认证服务器。 DHCP服务器自动为客户端指定 IP地址，通过指定的配置参数使得网络上的计算机通信变得更加方便和易于实现。所有的配置信息都通过 DHCP服务器来统一管理，通过 DHCP服务器分配 IP地址并配置其它大量的参数信息，以及对 IP地址进行租期管理，实现 IP地址的分时复用等诸多优点，在网络环境中已经得到了广泛的应用。

在 DHCP系统中，所有的 IP网絡设定的資料都由 DHCP服务器集中管理，并负责处理 DHCP客户端的要求，而 DHCP客户端则会使用从 DHCP分配下来的 IP环境资料。图 1示出了现有的 DHCP认证流程图，其中该 DHCP认证流程图的系统图包含了 DHCP客户端、 DHCP服务器以及认证服务器（ Authentication Server, AS )。 DHCP客户端为网絡中利用 DHCP协议来获取配置参数如 IP地址的主机，即客户的主机或者其他能够获取 IP地址的设备。 DHCP服务器用于提供 DHCP服务，根据不同 DHCP客户端提供 IP地址或其他网络相关参数，一般存在于路由器、三层交换机或者专门的 DHCP服务器中。 AS负责对 DHCP客户端提供的认证材料进行检验，并向 DHCP客户端返回认证的结果。图 1示出了现有技术中 DHCPv4消息与 DHCP选项（Option ) 的功能组合，其中 Option允许厂商定义以提供更多的设定咨询，下面结合图 1 和表 1 来详细说明图 1 中 DHCP认证的过程，其中现有的 DHCP认证釆用两种 DHCPv4 消息（"DHCP Auth-request" 消息和 "DHCP-response" 消息）或可以采用一种 DHCP 消息 ( "DHCP EAP" 消息），并通过两种 DHCP Option 消息，为认证协议选项 ( authentication protocol Option , auth-proto)和 EAP 消息选项 ( EAP-Message Option ) 进行认证： Ι)Ι Ι(Ί，、4消息 I AP消息功能描述

DHCP Discover 1. 通过广播请求 DHCP服务器和 DHCP (auth-proto Option) 服务器的 IP地址信息，该消息源 IP地址是 0.0.0.0;

2. 表明 DHCP Client支持的认证模式。发送方向： DHCP Client DHCP 服务器

DHCP EAP Request 携带相应的 EAP消息。

Auth-response /Response 发送方向：

(EAP-Message DHCP Client DHCP 服务器

Option) DHCP

EAP(EAP-Message

Option)

DHCP Auth-request EAP Request 携带相应的 EAP消息。 (EAP-Message /Response 发送方向： DHCP服务器 DHCP Client Option) /DHCP EAP(EAP-Message Option)

DHCP Offer EAP 1.可配置网络参数，如用户 IP地址；

(EAP-Message Success/Failure 2.携带相应的 EAP消息。

Option) 发送方向： DHCP服务器 DHCP Client 表 1

步骤 S101 : DHCP客户端所在的用户终端进入网络时，向 DHCP服务器广播动态主机配置协议的发现（DHCP Discover ) 消息， DHCP Discover 消息的 auth-proto Option中携带了表明 DHCP客户端支持的认证模式；该 DHCP Discover 消息用于请求 DHCP服务器的 IP地址信息，该消息源 IP地址是 0.0.0.0; 。

步骤 S102: DHCP服务器接收到 DHCP Discover消息之后，向 DHCP客户端返回 DHCP认证请求（ DHCP Auth-request )消息或 DHCP EAP消息，其中 EAP Request消息承载在 DHCP Auth-request消息或 DHCP EAP消息的可扩展认证协议消息选项（ EAP-Message Option ) 中；

步骤 S103： DHCP客户端接收 DHCP Auth-request消息或 DHCP EAP消息，向 DHCP服务器发送 DHCP认证回复（ Auth-response )消息，其中， EAP Response 消息承载在 Auth -response消息或 DHCP EAP消息中携带了 EAP-Message Option 中；

步骤 S104: DHCP服务器将 DHCP客户端的 EAP消息封装在认证、授权和计费 ( Authentication, Authorization and Accounting , AAA ) 消息中发送给认证月 ϋ务器 ( Authentication Server, AS );

步骤 SI 05: AS向 DHCP服务器发送认证结果，认证成功则利用 AAA协议承载 EAP成功（EAP success ) 消息并发送给 DHCP服务器；

步骤 S106: DHCP服务器构造携带 EAP success消息的 DHCP Offer消息并发送给 DHCP客户端，其包括分配给 DHCP客户端的 IP地址项（ your ip address , yiaddr )数据报文；

步骤 S107: DHCP客户端收到 DHCP Offer消息后，向 DHCP服务器返回配置参数请求（DHCP request ) 消息；

步骤 S108: DHCP服务器向 DHCP客户端返回一个地址分配回应（ DHCP ACK ) 消息。

在实施该方案的过程中，因在认证过程中需要将相应的 EAP 消息携带在 DHCP服务器和 AS的协议中 ,致使 DHCP服务器和 AS之间的处理流程发生改变，需要对 DHCP服务器和 AS进行相应的改造才能支持相应的认证功能，增加了运营成本。另外，在实施该流程图 1的过程中，只有在 DHCP客户端处分配了一个静态的 IP地址之后，本方案中的认证过程才能进行，在动态 IP分配过程中，认证过程开始之前用户是没有 IP地址的，则步骤 S102开始的认证过程是没有办法进行的。发明内容

鉴于上述现有技术所存在的问题，本发明实施例提供了一种网络接入方法及系统和装置。通过在接入系统中设置接入认证者，在认证的过程中，不同的

DHCP客户端可以通过 DHCP接入认证者配置各个 DHCP客户端对应的配置参数实现认证过程，从而不需要对 DHCP服务器进行相应的改造从而能够进行认证过程。

为了解决上述技术问题，本发明实施例提出了一种网络接入方法，包括：接入认证者接收客户端的发现消息，响应所述发现消息，获得所述客户端认证过程使用的第一配置信息，其中，所述发现消息用于发现接入认证者；接入认证者所述客户端进行本地认证或作为所述客户端的代理与认证服务器交互以实现对所述客户端的远程认证；

认证成功后，所述接入认证者向配置服务器发送配置请求消息，请求为所述客户端提供会话过程使用的第二配置信息。

相应的，本发明实施例还提出了一种网络接入系统，包括接入认证者和配置服务器：

所述接入认证者，用于接收客户端的发现消息，响应所述发现消息，为所述客户端提供认证过程使用的第一配置信息；对所述客户端进行本地认证或作为所述客户端的代理与认证服务器进行远程认证；如果所述客户端认证成功，向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息；

所述配置服务器，用于为客户端提供配置信息，所述配置信息至少包括所述第二配置信息。

相应的，本发明实施例还公开了一种接入认证装置，包括：

第一处理模块，用于接收客户端发送的发现消息，获得所述客户端认证过程使用的第一配置信息，并将相应信息发送给所述客户端；

认证模块，用于对所述客户端进行本地认证或者代理所述客户端与认证服务器进行远程认证；

第二处理模块，如果所述客户端认证成功，向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。相应的，本发明实施例还公开了一种宽带接入设备，包括接入认证装置；其中，所述接入认证装置包括：

第二处理模块，如果所述客户端认证成功，向配置服务器发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息。

实施本发明实施例，通过在网络中设置接入认证者，通过所述接入认证者充当客户端的认证代理进行认证，不需要对 DHCP服务器进行特别的改造，只需要配置相应的接入认证者对 DHCP客户端进行认证，在认证之前为客户端提供第一网络地址，从而提高了认证过程的稳定性，也提高了认证效率和成功率。。附图说明

图 1是现有的 DHCP认证流程图；

图 2是本发明实施例中 DHCP认证系统图；

图 3是本发明实施例中 DHCP认证中采用加密接入过滤的 IP会话周期示意图；

图 4是本发明实施例中 DHCP认证中采用非加密接入过滤的 IP会话周期示意图；

图 5是本发明实施例中表 2中 DHCPv4版本首次 DHCP认证成功的流程图；图 6是本发明实施例中表 2中 DHCPv4版本首次 DHCP认证失败的流程图；图 7是本发明实施例中表 3中 DHCPv6版本首次 DHCP认证成功的流程图；图 9是本发明实施例中表 2中 DHCPv4版本首次 DHCP认证成功的简化流程图；

图 10是本发明实施例中表 2中 DHCPv4版本 DHCP重认证成功的流程图；图 11是本发明实施例中表 4中 DHCPv4版本首次 DHCP认证成功的流程图；图 13是本发明实施例中表 4中 DHCPv4版本首次 DHCP认证成功的筒化流程图；

图 14是本发明实施例中表 4中 DHCPv4版本中通过 DHCP客户端触发重认证成功的流程图；

图 15是本发明实施例中表 4中 DHCPv4版本中通过 DHCP认证者触发重认证成功的流程图；

图 16是本发明实施例中表 5中 DHCPv4版本中首次 DHCP认证成功的流程图；

图 17是本发明实施例中表 5中 DHCPv4版本中首次 DHCP认证成功的另一流程图；

图 18是本发明实施例中表 5中 DHCPv4版本中首次 DHCP认证失败的流程图；

图 19是本发明实施例中表 5中 DHCPv4版本中首次 DHCP认证失败的另一流程图；

图 20是本发明实施例中 DHCP认证成功后基于加密接入过滤的 DHCP认证流程图；

图 21是本发明实施例中 DHCP认证成功后基于非加密接入过滤的 DHCP认证流程图。具体实施方式

本发明实施例提供了一种网络接入方法及网络接入系统和接入认证装置。在认证系统中设置 DHCP认证者，认证的过程中，不同的 DHCP客户端可以找到相应的 DHCP 认证者，由 DHCP认证者执行代理认证过程，从而不需要对 DHCP进行相应的改造，减少了运营成本。

下面结合附图详细说明本发明的优选实施例。

首先请参阅图 2，图 2示出了本发明实施例中的 DHCP认证系统的系统图，引入认证和控制相分离的技术，该系统包括了多个 DHCP客户端 301、 DHCP 认证者 302、认证服务器 304、 DHCP服务器 303以及接入控制器 305等，其中接入控制器 305位于数据面，其他都处于控制面。

DHCP客户端（ DHCP Client ) 301为 DHCP认证的申请者，需要获得网络中的 DHCP认证协议之后才能访问网络， DHCP客户端 301本身关联了 DHCP 认证协议范围内的身份认证资料。 DHCP客户端 301可以是便携式电脑、个人数字助理、移动电话、个人台式电脑以及路由企等连入网络的终端设备， DHCP 客户端 301需要借助相应模式下的 DHCP认证者 302来完成客户端的认证过程。

DHCP认证者（ DHCP Authenticator ) 302是一种接入认证者， DHCP认证者 302的个数可以根据网络的需求设置 , 即可设置多个。在 DHCP认证过程中， DHCP认证者与自身支持的 DHCP客户端 301进行 DHCP认证协议交互，在接收 DHCP客户端 301的 DHCP发现消息后，与 DHCP服务器 303交互信息，从 DHCP服务器获得 DHCP客户端认证过程使用的第一配置信息，即一个临时的 IP地址， DHCP客户端利用所述临时的 IP地址与认证服务器 304交互信息，认证服务器 304对所述 DHCP客户端进行认证。 DHCP认证者 302作为 DHCP客户端 301的认证代理，与认证服务器 304进行 AAA认证协议等交互，并为 DHCP 客户端 301提供接入认证和授权。另夕卜， DHCP认证者可以记录 DHCP服务器 303返回的第一配置信息，将第一配置信息中的临时的 IP地址替换成客户端在本地网络使用的局部 IP地址并发送给 DHCP客户端 301。 DHCP认证者 302还可以通过建立或解除访问授权来对 DHCP客户端 301的接入访问的控制状态进行更新，另一方面，通过 DHCP认证者 302也实现了在 DHCP认证过程的中继。 DHCP 认证者 302 可以是位于网络的 IP 边缘节点处的宽带接入服务器 ( Broadband Access Server , BRAS ) 或网络中的网关设备（ BNG ), DHCP认证者 302可以是其它接入设备。其中 DHCP认证者 302与认证服务器 304可以构造为同一个物理实体。如果 DHCP认证者 302和

在 DHCP认证者 302中设有第一处理模块，用于接收 DHCP客户端 301发送的发现消息，响应所述发现消息，获得 DHCP客户端 301认证过程使用的第一配置信息，即一个临时的 IP地址，并将相应信息发送给 DHCP客户端 301 ; 认证模块，用于对所述客户端进行本地认证或者代理所述 DHCP客户端 301与认证服务器进行远程认证；第二处理模块，如果所述 DHCP客户端 301认证成功，向配置服务器，即 DHCP服务器 303发起配置请求，请求为所述客户端提供会话过程使用的第二配置信息；重认证模块，用于在所述会话过程中，对所述 DHCP客户端 301进行重认证。

DHCP服务器（ DHCP Server ) 303根据 DHCP客户端 301发送的请求，通过 DHCP协议为 DHCP客户端 301提供动态主机等相关的配置服务，在 DHCP 客户端 301通过认证之后，为 DHCP客户端 301提供第二配置信息，所述第二配置信息为 DHCP客户端 301在网络中会话过程使用的 IP地址。认证服务器 304 对 DHCP客户端 301提供的认证材料进行检验，并向 DHCP客户端 301返回检验结果以及授权的参数。认证服务器 304可以和 DHCP认证者 302位于同一节点，通过应用程序接口 ( Application Programming Interface , API )进行数据的传递，认证服务器 304也可以是网絡中专门提供的认证服务器。如果 DHCP认证者 302和认证服务器 304不在同一个网络节点中，则需要依靠其它协议承载 AAA 协议消息以实现认证过程中数据交互，所述其它协议如远程用户拨号认证系统 RADIUS协议或 RADIUS协议的升级版本的 Diameter协议。

接入控制器（Access Controller, AC ) 305用于对从 DHCP客户端 301发出或发往 DHCP客户端 301的数据包或数据流信息进行监控，并根据从 DHCP认证者

302处获得的接入控制策略对数据包或数据流信息进行非加密或加密接入过滤。

AC 305对数据流的过滤可以发生在链路层，也可以发生在网络层或网络层以上的通信处理层中。通常 AC 305位于 DHCP客户端 301和 DHCP认证者 302之间的链路上。若网络底层缺乏安全保障，则需要采用加密接入过滤方式， DHCP客户 301 与 AC 305之间需要建立安全联盟，安全联盟建立可采用因特网密钥交换协议

( Internet Key Exchange , IKE )协议，或采用 802.1 li的四次握手（ 4-Way

Handshake, 4WHS )协议，或采用 802.16的三次握手（ 3-Way Handshake, 3WHS ) 协议。在安全联盟建立完成后，可采用链路层或网络层加密协议实现数据流的安全保护，加密协议可为网络安全协议（ IP Security Protocol IP, IPSec ),或 802.11i 链路层加密协议，或 802.16链路层加密协议。若 DHCP认证者 302和 AC 305位于同一节点，则它们之间仅需 API相互通信即可，否则，需要第二层控制协议（Layer

2 Control Protocol , L2CP )或简单网络管理协议 ( Simple Network Management

Protocol, S MP )协议。其中 AC 305中可设有检测单元和数据过滤单元，检测单元用于对客户端发送的数据包或数据流进行监控；数据过滤单元用于根据接入认证者提供的控制策略，对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。这里，由于接入认证者 302与 DHCP服务器 303和认证服务器 304相连，由接入认证者 302给 AC 305提供控制策略等相关信息，釆用这种方式，信息获取更新更方便灵活。当然，对 DHCP客户端 301的数据或数据流的监控、接入过滤（加密接入过滤或非加密接入过滤）的功能也可以在其它网络接入设备中实现。

另外，在 DHCP客户端 301进行 IP会话的过程中， DHCP客户端 301是利用租期来约定 IP会话时间， DHCP服务器 303允许 DHCP客户端 301在某个指定的时间内使用某个 IP地址。在 IP会话的过程中， DHCP服务器 303和 DHCP客户端 301 任何一方都可以随时中止租用。当 DHCP客户端 301租用期达到 50%以上时，可以更新租用期，在更新租期的过程中，需要为 DHCP客户端 301重新分配 IP地址。

DHCP认证过程中 IP会话生命周期如图 3和 4所示，图 3示出了 DHCP认证中釆用加密接入过滤的 IP会话周期，图 4示出了 DHCP认证中采用非加密接入过滤的 IP会话周期，一个 DHCP认证对应的 IP会话包括五个不同的阶段：

( 1 )发现和握手阶段：在这个阶段发起一个新的 IP会话。 DHCP客户端可以通过向特定的 DHCP认证者发送请求，以广播方式寻找 DHCP认证者。 DHCP 认证者通过发送应答来开始一个新的会话。

( 2 )认证和授权阶段：在发现和握手阶段之后，在 DHCP认证者和 DHCP 客户端之间传递认证消息。 DHCP消息携带的 EAP负载包含了 EAP认证的各种方法，它主要用来做 DHCP客户端的认证。在这个阶段，可能要执行两次 EAP认证，一次是为网络访问提供商（NAP ) , 另一次是为互联网服务提供商（ISP ) 。

DHCP认证者在这个阶段的末尾把认证和授权结果传递给 DHCP客户端。

( 3 )访问阶段： DHCP客户端主机在认证和授权成功后就可以访问网络，它发送和接收的 IP数据可以通过 AC检查。另夕卜，在这个阶段的任何时刻， DHCP 客户端和 DHCP认证者都可以发送 IP会话测试数据来检查各自对端的 IP 会话的存活状态。

( 4 ) 重新认证阶段：在 IP会话期，可以通过再次执行 EAP认证来从访问阶段进入重新认证阶段。在重新认证成功后，返回访问阶段并延长当前 IP会话期，否则， IP会话将被删除。重新认证可由 DHCP认证者发起，或由 DHCP客户端或是 DHCP认证者触发。

( 5 )终止阶段：在任何时候， DHCP客户端或是 DHCP认证者都可以给对方发送明确的连接断开消息（如 DHCP释放消息）来中止 IP会话，从而结束访问服务。倘若是没有发送连接断开消息就中止了连接，可能是 IP会话期期满，或 IP 会话状态检测失败。

以下结合图 3和图 4中的 IP会话周期来详细描述 DHCP的整个认证的过程。由于网络 IP地址选择应用不同， IPv4版本和 IPv6版本其所对应的 DHCP协议版本分别为 DHCPv4版本和 DHCPv6版本。表 2示出了 DHCPv4消

I)I ICPx4 ;':' EAP消息

地址和其它 DHCP配置信息，比如子网掩码和缺省网关；

3. 携带相应的 EAP消息。

发送方向： DHCP认证者 DHCP Client

DHCP Request EAP Request 1. 包含 DHCP认证者所提供的 IP地址， (EAP-Message /Response 表明已经接受了提供的 IP 地址及相应的 Option) DHCP认证者；

2. 携带相应的 EAP消息。

发送方向：

DHCP Client DHCP认证者

DHCP Inform EAP Request 1. 携带相应的 EAP 消息，用于 DHCP

(EAP-Message /Response Client已静态配置了 IP地址。

Option) 2. 发送方向：

DHCP Client DHCP认证者

DHCPAck EAP Request 1.可配置网络参数，如用户 IP 地址

(EAP-Message /Response/ ( yiaddr );

Option) Success 2.携带相应的 EAP消息。

发送方向： DHCP认证者 DHCP Client

DHCP Nack EAP Failure 携带相应的 EAP消息。

(EAP-Message 发送方向： DHCP认证者 DHCP Client

Option)

DHCP Release 表明用户下线，需要释放相应的会话及 IP 地址

发送方向： DHCP Client DHCP认证者表 2 息与 DHCP选项（Option ) 的功能组合表，下面结合图 5来详细说明其 DHCP 首次认证成功的第一流程图，其包括以下步骤：步骤 S501：当 DHCP客户端接入网络时，向 DHCP客户端接入的网络发送一个 DHCP发现（DHCP Discover )消息来表明选择提供认证授权服务的 DHCP 认证者和 DHCP服务器，并通过协议中的选项表明 DHCP客户端支持的认证模式；

如果 AC和 DHCP认证者不在同一个物理层，则需要通过 AC将接收到的 DHCP Discover消息转发给相应的 DHCP认证者。

步骤 S502: DHCP 认证者收到 DHCP Discover 消息后，将此消息转发到 DHCP服务器；

步骤 S503: DHCP服务器检查 DHCP Discover的参数，并回应一个地址分配服务确认 ( DHCP Offer )消息，为 DHCP客户端提供一个未租借的 IP地址和其他相关的 DHCP配置信息，比如相关的子网掩码和缺省网关；

步骤 S504: DHCP认证者收到 DHCP Offer消息后，在选项中添加表明 DHCP 认证者支持的认证模式，记录 DHCP服务器为 DHCP客户端提供的未租借的 IP 地址，并将该未租借的 IP地址替换为一个供 DHCP客户端在本地网使用的局部 IP地址，然后向 DHCP客户端转发经地址替换处理的 DHCP Offer消息；

步骤 S505: DHCP客户端在收到 DHCP Offer消息后，则具有了一个临时的局部 IP地址， DHCP客户端向 DHCP认证者发送地址分配请求 ( DHCP Request ) 消息来响应 DHCP客户端已经收到 DHCP Offer消息， DHCP Request消息表明了 DHCP客户端选择了 DHCP认证者并接受了 DHCP认证者所提供的局部 IP 地址，其中 DHCP客户端选择的 DHCP认证者能够支持相应认证模式；

步骤 S506: DHCP认证者收到 DHCP Request消息后，向 DHCP客户端发送含有身份查询请求的 EAP-Request/Identity消息，该 EAP-Request/Identity消息承载在地址分配回应（ DHCP Ack )消息中，并下发一个仅供 DHCP客户端使用的 "假租期"，该 "假租期" 用于使 DHCP客户端能迅速响应 EAP消息，并且预留足够的时间以供 DHCP认证者回复 EAP认证消息给 DHCP客户端；

需要说明的是，在认证过程中 DHCP认证者在每收到地址分配请求消息后，会通过 DHCP Ack消息携带的 EAP消息定下一个仅供 DHCP客户端认证使用的 "假租期"。在 DHCP客户端每收到 DHCP Ack消息后，会根据 "假租期" 重新设置定时器 T1和定时器 T2, 当定时器 T1或定时器 T2设定的时间到期时，会重新触发 DHCP地址分配请求消息更新 "假租期"以携带 EAP消息传递的时间。

步骤 S507: DHCP客户端接收到含有 EAP-Request/Identity消息的 DHCP Ack 消息之后， DHCP客户端根据 "假租期"设定的定时器 T1和定时器 T2, 在定时器 T1 到时间时将 DHCP客户端已经收到的 EAP-Request/Identity 消息返回给 DHCP认证者，如果在定时器 T1设定的时间内完不成，则需要在定时器 T2时间内完成返回过程，即将 DHCP客户端已收到 EAP-Request/Identity消息返回给 DHCP认证者，所述 EAP-Request/Identity消息承载在 DHCP Request消息中；步骤 S508: DHCP认证者向 AS发送身份查询响应（EAP Response ) 消息，该 EAP Response消息通过 AAA协议携带；

步骤 S509: DHCP客户端和 DHCP认证者通过消息中携带的 EAP消息进行交互； DHCP客户端和 DHCP认证者中的 EAP消息承载在 DHCP Request/Ack 消息中；

步骤 S510: DHCP认证者和 AS釆用 AAA消息携带 EAP消息以进行交互；步骤 S509和步骤 S510可以是同步进行 EAP的认证方法 ( EAP Method )协商以及认证方法交互的过程，对所述 DHCP客户端的身份进行检查和验证，直到 EAP认证过程结束。

步骤 S511： AS通知 DHCP认证者认证成功的结果；

步骤 S518、步骤 S510和步骤 S511需要说明的是， DHCP认证者和 AS如果在同一个网络节点上，则可以通过 API进行数据交互和传递；如 DHCP认证代理服务和 AS不在同一个网络节点中，则需要依靠其它协议承载 AAA协议消息进行认证数据交互，所述其它协议如远程用户拨号认证系统 RADIUS协议或 RADIUS协议的升级版本的 Diameter协议。

步骤 S512: DHCP认证者根据已记录的、由 DHCP服务器为 DHCP客户端提供的未租借的 IP地址构造 DHCP Request消息，并发送给 DHCP服务器；步骤 S513: DHCP服务器根据 DHCP认证者构造的 DHCP Request消息中的参数为 DHCP客户端分配一个全局 IP地址和真正的租期，并可以向 DHCP认证者返回 DHCPAck消息，该 DHCP Ack消息携带认证成功的 EAP消息，其中， yiaddr为分配给用户的 IP地址；

步骤 S514: DHCP认证者收到携带认证成功的 EAP 消息后，重新封装成 DHCP Ack消息并发送给 DHCP客户端， DHCP Ack消息中包括为 DHCP客户端分配的全局 IP地址和真正的租期。

以上图 5描述了在 DHCPv4版本中首次认证成功的认证流程图，在 DHCP 认证的过程中，也会遇到首次认证的失败，下面结合图 6和表 2以及图 5来描述在 DHCPv4中首次认证失败的过程，由于在首次认证过程中，图 7中的步骤 S701至步骤 S710过程与图 5中的步骤 S501至步骤 S510相同，这里不再过多赘述，以下详细描述在 AS认证失败后的步骤：

步骤 S611： AS在认证失败后， AS将 DHCP认证失败（ EAP failure ) 消息通过 AAA消息携带发送给 DHCP认证者；

步骤 S612: DHCP认证者收到 EAP failure消息后通过 DHCP Nack消息携带转发给 DHCP客户端。

以上是对 DHCPv4进行了详细的说明，下面以 DHCPv6进行说明，请参阅表 3中的 DHCPv6消息与 DHCP Option的功能组合，下面根据表 3中的表格结

DI IC IV6消息 Λ 消息功能描述

(auth-proto Option, Request/Identity 明 DHCP认证者支持的认证模式；

EAP-Message auth-proto Option为可选；

Option) 2. 为 DHCP Client提供一个未租借的 IP 地址和其它 DHCP配置信息 , 比如子网掩码和缺省网关；

3. 携带相应的 EAP消息。

发送方向： DHCP认证者 DHCP Client

DHCP Request EAP Request 1. DHCP认证者所提供的 IP地址，表明 (EAP-Message /Response 已经接受了提供的 IP 地址及相应的 Option) DHCP认证者；

2.携带相应的 EAP消息。

发送方向： DHCP Client DHCP认证者

DHCP Reply EAP Request 1.可配置网络参数，如用户 IP地址；

(EAP-Message /Response/ 2.携带相应的 EAP消息。

Option) Success/Failure 发送方向： DHCP认证者 DHCP Client

DHCP Release 表明用户下线，需要释放相应的会话及 IP 地址

发送方向： DHCP Client DHCP认证者表 3

合图 7中的流程图对 DHCPv6认证过程进行说明：

步骤 S701 : 当 DHCP客户端接入网络时， DHCP客户端向接入的网络发送一个发现（ DHCP Solicit )消息，该消息表明 DHCP客户端选择提供认证授权服务的 DHCP认证者和 DHCP服务器，并通过协议中的选项表明 DHCP客户端支持的认证模式；

如果 AC和 DHCP认证者不在同一个物理层，则需要通过 AC将接收到的 DHCP Solicit消息转发给相应的 DHCP认证者。步骤 S702: DHCP认证者收到 DHCP Solicit消息后，将此消息转发到 DHCP 服务器；

步骤 S703: DHCP服务器检查 DHCP Solicit的参数，并回应一个地址分配服务确认（ DHCP Advertise ) 消息，为 DHCP客户端提供一个未租借的 IP地址和其他相关的 DHCP配置信息，如相关的子网掩码和缺省网关；

步骤 S704: DHCP认证者收到 DHCP Advertise消息后，在选项中添加表明 DHCP认证者支持的认证模式，记录 DHCP服务器为 DHCP客户端提供的未租借的 IP地址，并将该未租借的 IP地址替换为一个供 DHCP客户端在本地网使用的局部 IP地址，然后向 DHCP客户端转发经地址替换处理的 DHCP Advertise 消息；

步骤 S705: DHCP客户端在收到 DHCP Advertise消息后，从 DHCP Advertise 消息中获得一个临时的局部 IP地址。 DHCP客户端向 DHCP认证者发送地址分配请求（DHCP Request ) 消息以响应其已收到 DHCP Advertise 消息， DHCP Request消息表明 DHCP客户端选择了 DHCP认证者并接受了 DHCP认证者提供的局部 IP地址，其中， DHCP客户端选择的 DHCP认证者能够支持相应认证模式；

步骤 S706: DHCP认证者收到 DHCP Request消息后，向 DHCP客户端发送表示身份查询的 EAP-Request/Identity消息，该 EAP-Request/Identity消息通过地址分配回应（DHCP Reply ) 消息携带，并下发一个仅供 DHCP客户端使用的 "假租期"，该 "假租期" 使 DHCP客户端能迅速响应 EAP消息，并且预留足够的时间以使 DHCP认证者给 DHCP客户端回复 EAP认证消息；

步骤 S707: DHCP客户端接收到含有 EAP-Request/Identity 消息的 DHCP Reply消息之后， DHCP客户端向 DHCP认证者返回 EAP-Response/Identity消息表明已收到 EAP-Request/Identity消息，所述 EAP-Response/Identity消息是承载在 DHCP Request消息中；

步骤 S708: DHCP认证者向 AS发送身份查询响应（ EAP response ) 消息，该 EAP response消息通过 AAA协议携带；

步骤 S709: DHCP客户端和 DHCP认证者交互 EAP消息； DHCP客户端和 DHCP认证者中的 EAP消息是通过 DHCP Request/Reply消息进行携带的；

步骤 S710: DHCP认证者与 AS交互 EAP消息，该 EAP消息采用 AAA消息携带；

步骤 S709和步骤 S710是同步进行 EAP的认证方法（ EAP Method )协商以及认证方法交互过程，对所述 DHCP客户端的身份进行检查和验证，直到 EAP 认证过程结束。

步骤 S711： AS通知 DHCP认证者认证成功的结果；

步骤 S712: DHCP认证者根据已记录的、由 DHCP服务器为 DHCP客户端提供的未租借的 IP地址构造 DHCP Request消息并发送给 DHCP服务器；

步骤 S713: DHCP服务器根据 DHCP认证者构造的 DHCP Request消息中的参数为 DHCP客户端分配一个全局 IP地址和真正的租期，并可以向 DHCP认证者返回 DHCP Reply消息， DHCP Reply消息中携带认证成功的 EAP消息；步骤 S714: DHCP认证者收到携带认证成功的 EAP 消息后，重新封装成 DHCP Reply消息并发送给 DHCP客户端， DHCP Reply消息中包括为 DHCP客户端分配的全局 IP地址和真正的租期。

以上图 7描述了在 DHCPv6版本中首次认证成功的认证流程图，在 DHCP 认证的过程中，也会遇到首次认证的失败，下面结合图 8和表 3以及图 7来描述在 DHCPv6中首次认证失败的过程，由于在首次认证过程中，图 8中的步骤 S801至步骤 S810过程与图 7中的流程相同，这里不再过多赘述，以下详细描述在 AS认证失败后的步骤：

步骤 S8011： AS在认证失败后， AS DHCP认证失败（ EAP failure ) 消息通过 AAA消息携带发送给 DHCP认证者；

步骤 S8012: DHCP认证者收到 EAP failure消息后通过 DHCP Reply消息携带转发给 DHCP客户端。

在实施本发明实施例的过程中，首次认证的过程中根据实际的需要可以筒化流程，其结合图 5和表 2来说明首次 DHCP认证筒化发现阶段流程，其流程图如图 9所示，其步骤 S901至 S903与图 5中的步骤 S501至 S503相同，当在进行至步骤 S904时， DHCP认证者收到 DHCP Offer消息后，直接在 DHCP Offer 消息中携带表示身份查询请求的 EAP-Request/Identity消息，另外， DHCP认证者记录 DHCP服务器为 DHCP客户端提供的未租借的 IP地址，并将 DHCP Offer 消息中未租借的 IP地址替换为一个供 DHCP客户端在本地网使用的局部 IP地址，然后向 DHCP客户端转发 DHCP Offer消息，进入步骤 S905至步骤 S912 的认证过程，其步骤 S905至步骤 S912与图 5中所述的步骤 S507至步骤 S514 相同。

以此类推，可以在图 6 步骤中的 S604 步骤中添加表示身份查询请求的 EAP-Request/Identity消息， EAP- equest/Identity消息通过 DHCP Offer消息携带并发送给 DHCP客户端，直接进入步骤 S608进行认证过程；在图 7的步骤 S704 或图 8 中的步骤 S804 中在 DHCP Advertise 消息添加表示身份查询请求的 EAP-Request/Identity消息并发送给 DHCP客户端，直接进入步骤 708或步骤 S808 进行认证过程，这里不再过多赘述。

在 DHCP客户端 DHCP认证成功之后，在相应的 IP会话租期到期时，需要执行重认证以重新为 DHCP客户端分配 IP地址，从而延长 IP会话时间，在重认证的过程中省去了发现阶段，直接执行握手阶段处理过程，下面以 DHCPv4 版本表 2结合流程图 10来对重认证的过程进行描述，在步骤 S1001 中， DHCP 客户端在遭受认证失败后或者租期到期时，在设定的时间内直接发送 DHCP Request消息， DHCP Request消息中包含 DHCP认证者支持的认证模式及 DHCP 认证者提供的 IP地址，表明 DHCP客户端已经选择 DHCP认证者并接受了 DHCP 认证者提供的局部 IP地址，其中 DHCP客户端选择的 DHCP认证者能够支持相应认证模式。在步骤 S1002中认证者收到 DHCP Request消息后，执行步骤与图 5流程图中的步骤 S508相同，直到整个成功认证过程的结束，步骤 S1002至步骤 S1010与图 5流程图中的步骤 S506至步骤 S514相同。以此类推，在重认证的过程中也会遇到重认证失败时，这里我们不再赘述重认证失败的流程图，在重认证失败后，也可以根据 DHCP客户端的配置参数再次进行重认证的过程直到重认证成功，其实现方法如图 10中的步骤，这里不再赘述。

以此类推， DHCPv6版本中表 3的 DHCP消息在参与 DHCP认证成功之后的重认证过程也与 DHCPv4版本中的重认证过程类似，在认证过程中其执行的 DHCP消息不同，这里不再过多赘述。

以上方法是通过在现有技术中不增加 DHCPv4和 DHCPv6中的消息，通过现有技术中增加的两个新的 DHCP选项（Option ), 实现了不同组合中的不同功能，本发明实施例中还可以通过现有增加的 DHCP 消息和新增加的 DHCP Option来完成相应的 DHCP认证的功能，如表 4所示的 DHCPv4消息与 DHCP Option 丽 1、)11( Pv4 >ή .¾· Ι' ΛΙ' >'ή恩 Π&揭迷

DHCP Discover 1.通过广播请求 DHCP认证者和 DHCP (auth-proto Option) 服务器的 IP地址信息，该消息源 IP地址是 0.0.0.0;

2. 表明 DHCP Client支持的认证模式。发送方向： DHCP Client DHCP Authenticator

DHCP Offer 1. 每个 DHCP认证者进行认证应答， (auth-proto Option) 表明 DHCP认证者支持的认证模式；

2.为 DHCP Client提供一个未租借的 IP 地址和其它 DHCP配置信息，比如子网掩码和缺省网关。

发送方向： DHCP Authenticator

DHCP Client

DHCP Request 1. 包含 DHCP认证者支持的认证模式 (auth-proto Option) 及其所提供的 IP地址，表明已经接受了提供的 IP 地址及相应的 DHCP认证者；发送方向： DHCP Client DHCP Authenticator

DHCP Offer EAP 1. 每个 DHCP认证者进行认证应答， (auth-proto Option, Request/Identity 表明 DHCP认证者支持的认证模式； EAP-Message auth-proto Option为可选；

Option) 2.为 DHCP Client提供一个未租借的 IP 地址和其它 DHCP配置信息，比如子网掩码和缺省网关；

3. 携带相应的 EAP消息。

发送方向： DHCP Authenticator

DHCP Client

DHCP EAP Request 携带相应的 EAP消息。

Auth-response /Response 发送方向：

(EAP-Message DHCP Client -> DHCP Authenticator Option) DHCP EAP

( EAP-Message

Option )

DHCP Auth-request EAP Request 携带相应的 EAP消息。丽 1、)11( Pv4 ,*ϊϊ» ' ΛΙ' ,*· ί έ| Ak>

>ή .¾· Ι >ή恩 Π&揭迷

(EAP-Message esponse 发送方向： DHCP Authenticator Option) /DHCP EAP DHCP Client

( EAP-Message

Option )

DHCP Ack EAP Success 1.可配置网络参数，如用户 IP地址；

(EAP-Message 2.携带相应的 EAP消息。

Option) 发送方向： DHCP Authenticator

DHCP Client

DHCP Nack EAP Failure 携带相应的 EAP消息。

(EAP-Message 发送方向： DHCP Authenticator

Option) DHCP Client

DHCP Release 表明用户下线，需要释放相应的会话及

IP地址

发送方向： DHCP Client DHCP Authenticator

表 4

功能表和图 5所示的 DHCPv6消息与 DHCP Option功能表。

1)1 κ Wb <¾· 功能揭迷

提供的 IP 地址及相应的 DHCP认证者；发送方向： DHCP Client DHCP

Authenticator

DHCP Advertise EAP 1. 每个 DHCP认证者进行认证应答， (auth-proto Option, Request/Identity 表明 DHCP认证者支持的认证模式； EAP-Message auth-proto Option为可选；

3. 携带相应的 EAP消息。

发送方向： DHCP Authenticator

DHCP Client

DHCP EAP Request 携带相应的 EAP消息。

Auth-response /Response 发送方向：

(EAP-Message DHCP Client -> DHCP Authenticator Option) /DHCP EAP

( EAP-Message

Option )

DHCP Auth-request EAP Request 携带相应的 EAP消息。

(EAP-Message /Response 发送方向： DHCP Authenticator

Option) /DHCP EAP DHCP Client

( EAP-Message

Option )

DHCP Reply EAP 1.可配置网络参数，如用户 IP地址；

(EAP-Message Success/Failure 2.携带相应的 EAP消息。

Option) 发送方向： DHCP Authenticator

DHCP Client

DHCP Release 表明用户下线，需要释放相应的会话及

IP地址

发送方向： DHCP Client DHCP

Authenticator

表 5

下面根据现有技术中 DHCPv4版本表 4中增加的 DHCP消息和增加的新的 DHCP Option来进行描述认证的流程图 11，其步骤 S1101至步骤 S 1105与图 5 所述的步骤 S501至步骤 S505相同，这里不再赘述，在进入步骤 S1105之后的步骤中，其实现方法如下：

步骤 S1106: DHCP认证者收到 DHCP Request消息后，向 DHCP客户端发送表示身份查询请求的 EAP-Request/Identity消息，该 EAP-Request/Identity消息通过地址分配回应（DHCPAuth-request ) 消息或 DHCP EAP消息携带；

步骤 S1107: DHCP客户端接收到含有 EAP-Request/Identity消息的 DHCP Auth-request消息或 DHCP EAP消息之后， DHCP客户端向 DHCP认证者返回 EAP-Response/Identity 消息， EAP-Response/Identity 消息是通过 DHCP Auth-response消息或 DHCP EAP消息携带的；

步骤 S1108： DHCP 认证者接收收到表明身份查询请求的 EAP-Response/Identity消息，可以将 EAP-Response重新封装在 AAA消息中发送给 AS;

步骤 S1109: DHCP客户端和 DHCP认证者通过消息中携带的 EAP消息进行交互； DHCP 客户端和 DHCP 认证者之间交互的 EAP 消息是通过 DHCP Auth-request/response消息携带的，或者通过 DHCP EAP消息进行携带；

步骤 SI 110： DHCP认证者和 AS交互的 EAP消息釆用 AAA消息携带；步骤 S1109和步骤 S1110是同步进行 EAP的认证方法（ EAP Method )协商以及认证方法交互过程，对所述 DHCP客户端的身份进行检查和验证，直到 EAP 认证过程结束。

步骤 S 1111： AS将认证成功的结果通知 DHCP认证者；

步骤 S1112: DHCP认证者利用已记录的、由 DHCP服务器为 DHCP客户端提供的未租借的 IP地址构造 DHCP Request消息并发送给 DHCP服务器；步骤 SI 113： DHCP服务器根据 DHCP认证者构造的 DHCP Request消息中的参数为 DHCP客户端分配一个全局 IP地址和真正的租期，并向 DHCP认证者返回携带认证成功的 EAP消息，该认证成功的 EAP消息通过 DHCP Ack消息携带，其中， yiaddr为分配给用户的 IP地址；

步骤 S1114: DHCP认证者收到携带认证成功的 EAP消息后，重新封装成 DHCP Ack消息并转发给 DHCP客户端，其中，该 DHCP Ack消息携带为 DHCP 客户端分配的全局 IP地址和真正的租期。

这里通过 DHCP Auth-response消息和 DHCP Auth-request消息来携带相应的 EAP消息和 DHCP Option消息，或者通过 DHCP EAP消息来携带相应的 EAP 消息和 DHCP Option消息，以此类推，其认证过程失败的流程图如图 12所述，认证的简化流程图过程如图 13所述，这里不再赘述其步骤。

用 DHCP Auth-response消息和 DHCP Auth-request消息来携带相应的 EAP 消息和 DHCP Option消息，或者用 DHCP EAP消息来携带相应的 EAP消息和 DHCP Option消息，在认证成功之后，可以由 DHCP客户端触发重认证过程，也可以由 DHCP认证者触发重认证过程。由 DHCP客户端触发重认证过程如图 14所示， S1401客户端直接发送 DHCP Request消息，其中包含 DHCP认证者支持的认证模式及 DHCP认证者提供的 IP地址，表明 DHCP客户端已经选择 DHCP 认证者并接受 DHCP认证者提供的局部 IP地址， DHCP客户端选择的 DHCP认证者能够支持相应认证模式。在认证者收到 DHCP Request 消息后，进入步骤 S1402, 执行身份认证。

由客户端触发认证如图 15所示，在步骤 S1501中， DHCP认证成功之后，认证者向网络中的 DHCP客户端发起认证请求，从而完成重认证的过程。

以上是对 DHCPv4在增加了 DHCP消息和 Option后进行的说明，以此类推 DHCPv6在表 5中增加的 DHCP消息和 Option消息也可采用不同的 DHCP消息携带，以完成上述的 DHCP认证，这里不再赘述。

本发明实施例中还可以通过现有增加的 DHCP 消息和新增加的 DHCP Option, DHCPv4版本和 DHCP版本利用 DHCP消息和 DHCP Option的不同组合来完成相应的 DHCP认证的功能，如表 6所示的 DHCPv4消息与 DHCP Option

功能表和图 6所示的 DHCPv6消息与 DHCP Option功能表。

Dl κ ι，νί) 恩 ΚΛΡ Ab, Jt

>ή恩

EAP(EAP-Message

Option)

DHCP Advertise EAP 1. 1. 为 DHCP Client提供一个未租借的 IP

(EAP-Message Success/ 地址和其它 DHCP配置信息，比如子网掩

Option) EAP Failure 码和缺省网关；

2.承载相应的 EAP消息。

发送方向： DHCP Authenticator DHCP Client

DHCP Reply EAP Failure 1.可配置网络参数，如用户 IP地址；

(EAP-Message 2.承载相应的 EAP消息。

Option) 发送方向： DHCP Authenticator -> DHCP

Client

DHCP Release 表明用户下线，需要释放相应的会话及 IP 地址

发送方向： DHCP Client DHCP

Authenticator

下面根据现有技术中 DHCPv4版本表 6中增加的 DHCP消息和增加的新的 DHCP Option来进行描述认证的流程图 16, 其实现方法如下：

步骤 S1601：当 DHCP客户端接入网络时，向 DHCP客户端接入的网络发送一个 DHCP发现（ DHCP Discover )消息来表明 DHCP客户端选择提供认证授权服务的 DHCP认证者和 DHCP服务器，并通过协议中的选项表明 DHCP客户端支持的认证模式；

如果 AC和 DHCP认证者不在同一个物理实体中时，则需要通过 AC将接收到的 DHCP Discover消息转发给相应的 DHCP认证者。

步骤 S1602: DHCP认证者收到 DHCP Discover消息后，将此消息转发到 DHCP服务器；

步骤 S1603： DHCP服务器检查 DHCP Discover消息中的参数，并回应一个地址分配服务确认（ DHCP Offer ) 消息，为 DHCP客户端提供一个未租借的 IP 地址，其中， DHCP服务器还可以为 DHCP客户端提供其他相关的 DHCP配置信息，比如相关的子网掩码和缺省网关；

步骤 S1604 : DHCP 认证者向 DHCP 客户端发出表示身份查询请求的 EAP-Request/Identity消息，该 EAP-Request/Identity消息通过 DHCP Auth-request 消息或 DHCP EAP消息 7|载；

步骤 S1605 : DHCP客户端接收到 DHCP Auth-request消息或 DHCP EAP消息后， DHCP客户端向 DHCP认证者发送应答 ( EAP- esponse/Identity ) 消息，所述 EAP-Response/Identity消息通过 DHCP Auth -response消息或 DHCP EAP消息承载；

步骤 S1606 : DHCP 认证者将收到的表明身份查询请求的消息通过 EAP Response over AAA协议发送给 AS,；

步骤 S1607和步骤 S2308: 之后会进行 EAP的认证方法 (EAP Method)协商以及认证方法交换的过程；在这些过程中， DHCP客户端和 DHCP认证者之间交互的 EAP消息均采用 DHCP Auth-request/response消息或 DHCP EAP消息载；在 DHCP认证者和 AS之间交互的 EAP消息均采用 AAA 消息承载；直到 EAP认证过程结束；

步骤 S1609： AS将认证成功的结果通知 DHCP认证者；

步骤 S1610: DHCP认证者收到认证成功的消息后，将 EAP Success消息封装在 DHCP Offer消息 , 转发给 DHCP客户端；

步骤 S1611至步骤 S1614为现有技术中标准 DHCP地址申请过程，这里不再过多赘述。

下面根据现有技术中 DHCPv4版本表 6中增加的 DHCP消息和增加的新的 DHCP Option来进行描述认证的另一流程图 17 , 其实现方法如下：

步骤 S1701：当 DHCP客户端接入网络时， DHCP客户端向接入的网络发送一个 DHCP发现（ DHCP Discover )消息，表明 DHCP客户端选择提供认证授权服务的 DHCP认证者，并通过协议中的选项表明其支持的认证模式；

步骤 S1702 : DHCP 认证者向 DHCP 客户端发送表示身份查询请求的 EAP-Request/Identity消息，为 DHCP客户端提供一个未租借的 IP地址，其中， DHCP服务器还可以为 DHCP客户端提供其他相关的 DHCP配置信息，比如相关的子网掩码和缺省网关，该 EAP-Request/Identity消息通过 DHCP Auth-request 消息或 DHCP EAP消息载；

步骤 S1703： DHCP客户端接收到 DHCP Auth-request消息或 DHCP EAP消息后，向 DHCP 认证者发送应答 ( EAP-Response/Identity ) 消息，其中， EAP-Response/Identity 消息通过 DHCP Auth-response消息或 DHCP EAP消息携带；

步骤 S1704: DHCP认证者将收到的 EAP-Response/Identity消息通过 AAA 协议携带发送给 AS;

步骤 S1705和步骤 S1706: 之后会进行 EAP的认证方法 (EAP Method)协商以及认证方法交换的过程；在这些过程中， DHCP客户端和 DHCP认证者之间交互的 EAP消息均采用 DHCP Auth-request/response消息或 DHCP EAP消息 ? 载；在 DHCP认证者和 AS之间交互的 EAP消息采用 AAA 消息承载；直到 EAP 认证过程结束；

步骤 S1707： AS将认证成功的结果通知 DHCP认证者；

步骤 S1708: DHCP认证者将收到的 DHCP Discover消息转发给 DHCP服务哭.

步骤 S1709: DHCP服务器检查 DHCP Discover中的参数，并回应一个表示地址分配服务确认的 DHCP Offer消息，为 DHCP客户端提供一个未租借的 IP 地址，其中， DHCP服务器还可为 DHCP客户端提供其他相关的 DHCP配置信息，比如相关的子网掩码和缺省网关；

步骤 S1710: DHCP认证者收到 DHCP Offer消息之后， DHCP认证者将 EAP Success消息封装在 DHCP Offer消息中，转发给 DHCP客户端；

步骤 S1711至步骤 S1714为现有技术中标准 DHCP地址申请过程，这里不再过多赘述。

下面根据现有技术中 DHCPv4版本表 6中增加的 DHCP消息和增加的新的 DHCP Option来进行描述 DHCP首次认证失败的流程图 18, 由于在首次认证的过程中，图 18中的步骤 S1801至步骤 S1808与图 16中其中步骤 1601至步骤 S1608相同，这里不再过多赘述，以下详细描述在 AS认证失败后的步骤：

步骤 S1809: DHCP认证者收到 AS发送的 EAP failure消息；

步骤 S1810: DHCP认证者将收到的 EAP failure消息重新封装在 DHCP Nack 消息或 DHCP Offer消息中，转发给 DHCP客户端。

下面根据现有技术中 DHCPv4版本表 6中增加的 DHCP消息和增加的新的 DHCP Option来进行描述 DHCP首次认证失败的另一流程图 19，由于在首次认证的过程中，图 19中的步骤 S1901至步骤 S1906与图 17中其中步骤 1701至步骤 S1706相同，这里不再过多赘述，以下详细描述在 AS认证失败后的步骤：步骤 S1907: DHCP认证者收到 AS发送的 EAP failure消息；

步骤 S1908: DHCP认证者将收到的 EAP failure消息重新封装在 DHCP Nack 消息或 DHCP Offer消息中，转发给 DHCP客户端。

以上是对 DHCPv4在增加了 DHCP消息和 DHCP Option消息进行不同组合后进行的说明，以此类推 DHCPv6在表 7中增加的 DHCP消息和 DHCP Option 消息进行不同组合后，也能通过不同的 DHCP消息携带完成上述的 DHCP认证的过程，这里不再赘述。

通过上述不同版本的首次 DHCP认证成功及简化版本的 DHCP首次认证成功和 DHCP重认证的成功， DHCP客户端能够接入网络中进行数据的访问，这里需要通过 AC来检测 DHCP客户端的数据流，实现数据会话过程中的保密性，在此过程中 DHCP客户端和 DHCP认证者都可以发送 IP会话测试数据，用于检测各自对方端口的 IP会话的存活状态，以下图 20详细描述了基于加密接入过滤的 DHCP认证流程图，其具体步骤如下：

在认证成功之后 DHCP认证者向 DHCP客户端返回认证成功的消息，同时， DHCP认证者与 AC之间开始执行步骤 S2001 ;

步骤 S2001： DHCP认证者向 AC下发关于 DHCP客户端的接入控制策略和授权密钥；

步骤 S2002: AC收到关于 DHCP客户端的接入控制策略和授权密钥，与 DHCP客户端之间建立安全联盟，建立安全联盟过程可以采用 IKE协议或 802. lli 的 4WHS协议，或采用 802.16的 3WHS协议；

步骤 S2003 : 在完成 DHCP客户端与 AC的安全联盟建立后，可以采用链路层或网络层中的加密协议对数据流进行安全保护；

步骤 S2004: AC对数据流进行加密接入过滤，滤出数据流中不安全的报文；步骤 S2005: 当 DHCP客户端整个 IP会话结束时， DHCP客户端会向 AS 发起 DHCP释放消息来中止 IP会话；

当 DHCP客户端因为事故中断 IP会话时， AC检测到 DHCP客户端的 IP 会话的数据流中断后，则会立即向 DHCP认证者发送 DHCP 释放消息来告知 DHCP认证者 DHCP客户端已中止 IP会话。

步骤 S2006: DHCP认证者收到 DHCP释放消息后，会将释放消息转发给 DHCP服务器， DHCP服务器会释放 DHCP客户端的 IP地址；

步骤 S2007： DHCP认证者收到 DHCP释放消息后， DHCP认证者通知 AC 解除 DHCP客户端的接入控制策略和授权密钥。

以上是描述了 DHCP认证成功后对数据流进行加密接入过滤，在本发明实施例中，也可以通过在认证成功之后通过 AC监听认证成功中的 success消息来对数据流进行非接入加密的过程，其具体流程图如图 21所示，包括以下步骤：步骤 S2101： AC对 DHCP消息进行监听，当其返回有认证成功的消息后，则对 DHCP客户端的 IP地址和物理地址（如 MAC地址）进行绑定；

步骤 S2102: DHCP客户端通过所分配的 IP地址发起数据流信息；步骤 S2103： AC对 DHCP客户端发送的数据流信息进行非接入加密，滤出 DHCP客户端 IP地址与用户 MAC地址不符合的数据 4艮文；

步骤 S2104: 当 DHCP客户端整个 IP会话结束时， DHCP客户端会向 AS 发起 DHCP释放消息来终止 IP会话；

当 DHCP客户端处因为事故中断 IP会话时， AC检测到 DHCP客户端的 IP会话的数据流中断后，则会立即向 DHCP认证者发送 DHCP释放消息来告知 DHCP认证者 DHCP客户端已中止 IP会话。

步骤 S2105 : 当 AC在监听到 DHCP客户端释放 IP消息或检测到 IP会话链路的中断时，则会解除 DHCP客户端 IP地址和 MAC地址的绑定；

步骤 S2106: DHCP认证者向 DHCP服务器转发 DHCP释放消息， DHCP 客户端根据收到的消息释放 DHCP客户端的 IP地址。

综上所述，通过在 IP 网絡中设置多个认证者，由所述认证者代理相应的 DHCP客户端执行认证，不需要对 DHCP服务器进行改造就能够配置相应的认证者对所述 DHCP客户端进行相应的认证，通过在认证过程中配置临时的 IP地址，解决了认证过程中不能进行认证会话的过程，从而实现了认证过程的稳定性，并也提高了认证效率和成功率。本发明实施例通过接入控制器的引入实现了控制面和数据面的分离，通过接入控制器很好的实现数据面的接入过滤，保证了数据面的安全性。通过重认证机制，能够在 DHCP客户端认证的租期时间将完结时，重新发起认证过程，为 DHCP客户端重新分配一个 IP地址进行 IP 通话，重认证的过程可以通过 DHCP客户端触发机制和 DHCP认证者触发机制的两种重认证方式。本发明实施例中提供的认证方法通过不同的 DHCP消息能够应用于 IPv4中，也能实现在 IPv6中。

以上所揭露的仅为本发明实施例中的一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

权利要求

1、一种网入方法，其特征在于，包括：

接入认证者接收客户端的发现消息，响应所述发现消息，获得所述客户端认证过程使用的第一配置信息，其中，所述发现消息用于发现接入认证者；接入认证者所述客户端进行本地认证或作为所述客户端的代理与认证服务器交互以实现对所述客户端的远程认证；

2、根据权利要求 1所述的网络接入方法，其特征在于，所述第一配置信息包括：所述客户端在本地网络使用的局部 IP地址和 /或从所述配置服务器获得的未租借的 IP地址。

3、根据权利要求 2所述的网络接入方法，其特征在于，所述响应所述动态主机配置协议发现消息包括：

所述接入认证者向所述配置服务器转发所述发现消息；

所述接入认证者接收所述配置服务器的响应消息，所述响应消息中携带所述未租借 IP地址；

所述接入认证者将所述响应消息中未租借 IP地址替换为所述客户端在本地网络使用的局部 IP地址后 , 发送给所述客户端。

4、根据权利要求 1所述的网絡接入方法，其特征在于，所述方法还包括：在所述会话过程中，对所述客户端发送和 /或接收的数据包或数据流进行监控，利用控制策略对所述数据包或数据流信息进行非加密接入过滤或加密接入过滤。

5、根据权利要求 1 所述的网络接入方法，其特征在于，所述发现消息中包括客户端支持的认证模式；则所述响应所述发现消息包括：所述接入认证者向所述客户端发送所述接入认证者支持的认证模式。

6、根据权利要求 1所述的网络接入方法，其特征在于，所述所述接入认证者和所述认证服务器在同一物理实体，则所述接入认证者和所述认证服务器通过 API协议交互信息；

所述接入认证者和所述认证服务器不在同一物理实体，则所述接入认证者和所述认证服务器通过认证、授权和计费 AAA 协议或远程用户拨号认证系统 RADIUS协议或 RADIUS协议的升级版本的 Diameter协议交互信息。

7、一种网 ^入系统，其特征在于，包括接入认证者和配置服务器：所述接入认证者，用于接收客户端的发现消息，响应所述发现消息，为所述客户端提供认证过程使用的第一配置信息；对所述客户端进行本地认证或作为所述客户端的代理与认证服务器进行远程认证；如果所述客户端认证成功，向配置服务器发送配置请求，请求为所述客户端提供会话过程使用的第二配置信息；

8、根据权利要求 7所述的网^^入系统，所述第一配置信息包括：所 i¾ 户端在本地网络使用的局部 IP地址和 /或从所述配置服务器获得的未租借的 IP 地址。

9、根据权利要求 8所述的网^ 入系统，其特征在于，所述网络接入系统还包括：

接入控制器，用于对客户端接收和 /或发送的数据包或数据流进行监控，利用所述接入认证者提供的控制策略对所述数据包或数据流信息进行非加密或加密接入过滤，其中，所述接入控制器和所述接入认证者通过 API接口、或 L2C 协议接口或 ANMP协议接口交互信息。

10、根据权利要求 7所述的网络接入系统，其特征在于，

所述发现消息中包括客户端支持的认证模式；所述接入认证者进一步向所述客户端发送所述接入认证者支持的认证模式。

11、一种接入认证装置，其特征在于，包括：

12、根据权利要求 11所述的装置，其特征在于，所述发现消息中包括所述客户端支持的认证模式，发送给所述客户端的相应信息中包括所述接入认证装置支持的认证模式。

13、根据权利要求 11所述的装置，其特征在于，所述装置还包括：重认证模块，用于在所述会话过程中，对所述客户端进行重认证过程以重新分配 IP地址。

14、一种宽带接入设备，其特征在于，所述宽带接入设备包括权利要求 11 到 13任意一条所述的接入认证装置。

15、根据权利要求 14所述的宽带接入设备，所述宽带接入设备还包括与接入控制器通信的接口，所述与接入控制器通信的接口包括： API接口、或 L2C 协议接口、或 S MP协议接口，其中：

所述接入认证装置通过所述与接入控制器通信的接口将控制策略发送控制策略，所述控制策略为：对所述客户端接收和 /或发送的数据包或数据流信息进行非加密或加密接入过滤的依据。