專利名稱:實現(xiàn)dhcp地址安全分配的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種實現(xiàn)DHCP地址安全分配的方法及系統(tǒng)。
背景技術(shù):
隨著ADSL(非對稱數(shù)字用戶線)、以太網(wǎng)等接入技術(shù)的日漸成熟,寬帶接入越來越普及,與此同時,在寬帶接入網(wǎng)開展的IPTV(IP電視)視頻和VoIP(基于IP的語音)業(yè)務(wù)也越來越多。各業(yè)務(wù)的開展需要采用專用的終端實現(xiàn),如視頻業(yè)務(wù)需要使用STB(機頂盒),話音業(yè)務(wù)需要使用IAD(綜合接入設(shè)備),等等。各專用終端在開展業(yè)務(wù)之前需要獲取本端的地址信息,之后,才可以利用本端的地址信息開展各項業(yè)務(wù)。
在通信網(wǎng)絡(luò)中,各終端獲取IP地址的方式通常均為基于DHCP(動態(tài)主機配置協(xié)議)協(xié)議實現(xiàn);而傳統(tǒng)的上網(wǎng)業(yè)務(wù)則通常采用PPPoE(以太網(wǎng)封裝點到點協(xié)議)方式實現(xiàn),并需要由AAA服務(wù)器對接入用戶完成認證,并分配IP地址。AAA服務(wù)器一般為RADIUS(遠程認證)服務(wù)器,也可能為其他認證服務(wù)器。
通過RADIUS服務(wù)器進行認證,以及通過DHCP服務(wù)器獲取IP地址信息的網(wǎng)絡(luò)通信系統(tǒng)結(jié)構(gòu)如圖1所示,其中DHCP服務(wù)器用于管理IP地址的服務(wù)器,響應(yīng)計算機的地址分配請求,為計算機分配合適的IP地址;DHCP客戶端使用DHCP協(xié)議獲取IP地址等網(wǎng)絡(luò)參數(shù)的終端,包括計算機,STB,IAD等;RADIUS服務(wù)器遠程撥入用戶驗證服務(wù)器,用于管理用戶的帳號和密碼,完成對接入用戶的認證;BRAS寬帶遠程接入服務(wù)器,用戶寬帶用戶的接入管理,對PPPoE用戶,BRAS作為RADIUS客戶端,向RADIUS服務(wù)器發(fā)起認證請求,對于DHCP用戶,BRAS完成DHCP中繼功能;接入網(wǎng)從用戶家庭到BRAS中間的網(wǎng)絡(luò);接入節(jié)點接入網(wǎng)中與用戶線路直接相連的設(shè)備,如ADSL接入設(shè)備DSLAM;OSS系統(tǒng)運營支撐系統(tǒng),用于運營商業(yè)務(wù)發(fā)放和業(yè)務(wù)管理的系統(tǒng)。
在圖1中,作為DHCP客戶端STB、IAD等,可以通過網(wǎng)絡(luò)中部署DHCP服務(wù)器使用DHCP協(xié)議為其分配相應(yīng)的IP地址。
圖1中各DHCP客戶端獲取地址的處理流程具體如圖2所示步驟21DHCP客戶端開機,發(fā)出DHCP發(fā)現(xiàn)報文,查找可以提供DHCP服務(wù)的服務(wù)器;步驟22BRAS作為DHCP中繼,將DHCP發(fā)現(xiàn)報文中繼到指定的DHCP服務(wù)器;步驟23DHCP服務(wù)器返回DHCP提供報文,表示自己可以給客戶端分配IP地址;步驟24DHCP客戶端發(fā)出DHCP請求報文,BRAS將DHCP請求報文中繼到DHCP服務(wù)器;步驟25DHCP服務(wù)器分配合適的IP地址,返回DHCP響應(yīng)報文。
這樣,DHCP客戶端便獲取IP地址,并可以接入網(wǎng)絡(luò),獲得網(wǎng)絡(luò)服務(wù)。
從上述DHCP地址分配過程可以看出,在DHCP客戶端通過DHCP方式獲取IP地址的處理過程中,非法用戶可以很容易地獲取到相應(yīng)的IP地址,得到網(wǎng)絡(luò)服務(wù)。這樣,很容易發(fā)生黑客惡意耗盡IP地址資源,攻擊網(wǎng)絡(luò)的問題,而且,黑客攻擊網(wǎng)絡(luò)后,無法對其進行追蹤。
另外,運營商需要使用DHCP服務(wù)器管理DHCP客戶端用戶的IP地址,使用RADIUS服務(wù)器管理PPPoE客戶端用戶的IP地址,存在兩套IP地址資源管理機制,數(shù)據(jù)分散,管理成本高。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題,本發(fā)明的目的是提供一種實現(xiàn)DHCP地址安全分配的方法及系統(tǒng),從而可以保證DHCP服務(wù)器進行地址分配的過程的安全性可以得到有效地保證。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的本發(fā)明提供了一種實現(xiàn)DHCP地址安全分配的方法及系統(tǒng),包括A、動態(tài)主機配置協(xié)議DHCP客戶端通過接入網(wǎng)絡(luò)發(fā)送DHCP發(fā)現(xiàn)報文;B、接入網(wǎng)絡(luò)側(cè)獲取所述DHCP客戶端的識別信息,并基于所述識別信息對其進行認證;C、對于認證通過的DHCP客戶端,由DHCP服務(wù)器為其分配地址信息。
所述的識別信息包括DHCP客戶端的端口號、電路號、連接號。
所述的步驟B包括接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器根據(jù)所述DHCP發(fā)現(xiàn)報文的入端口/電路/連接信息確定其識別信息。
所述的步驟B包括由接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器,根據(jù)DHCP客戶端的識別信息,以及預(yù)先配置的合法用戶的識別信息進行所述的客戶端的合法性認證。
所述的步驟B包括
B1、接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器利用所述客戶端的識別信息向認證服務(wù)器發(fā)起認證請求;B2、認證服務(wù)器根據(jù)保存的合法用戶的識別信息對所述客戶端的合法性進行認證。
本發(fā)明還提供了一種實現(xiàn)DHCP地址安全分配的DHCP認證服務(wù)器,包括DHCP服務(wù)器模塊接收DHCP客戶端經(jīng)由接入節(jié)點或接入服務(wù)器發(fā)來的DHCP請求報文,并以鑒權(quán)認證計費AAA客戶端模塊接收的由AAA服務(wù)器返回的為認證通過的客戶端分配的地址信息響應(yīng)所述DHCP客戶端;協(xié)議轉(zhuǎn)換模塊用于從接入節(jié)點或接入服務(wù)器發(fā)來的相應(yīng)的DHCP客戶端的DHCP發(fā)現(xiàn)報文中,獲取AAA認證需要的信息,生成AAA認證報文,以及根據(jù)AAA客戶端模塊接收的認證響應(yīng)報文,生成DHCP提供報文,并發(fā)送;AAA客戶端模塊用于基于DHCP協(xié)議轉(zhuǎn)換模塊生成的認證報文與AAA服務(wù)器間進行通信,獲得對所述DHCP客戶端的認證結(jié)果,并交給協(xié)議轉(zhuǎn)換模塊和DHCP服務(wù)器模塊。
本發(fā)明還提供了一種實現(xiàn)DHCP地址安全分配的DHCP認證服務(wù)器,包括認證處理模塊用于獲取發(fā)起DHCP過程的客戶端的識別信息,并根據(jù)保存的合法用戶的識別信息對所述客戶端進行合法性認證,將認證通過的DHCP客戶端的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP服務(wù)器;DHCP服務(wù)器接收認證處理模塊發(fā)來的DHCP發(fā)現(xiàn)報文,并向所述DHCP客戶端發(fā)送DHCP提供報文,在DHCP客戶端發(fā)來DHCP請求報文時,在其地址池中為相應(yīng)的DHCP客戶端分配地址。
本發(fā)明還提供了一種實現(xiàn)DHCP地址安全分配的系統(tǒng),包括DHCP客戶端,接入網(wǎng)絡(luò)和DHCP認證服務(wù)器,DHCP客戶端通過接入網(wǎng)絡(luò)與DHCP認證服務(wù)器通信獲取地址信息,同時,DHCP認證服務(wù)器用于對接入網(wǎng)絡(luò)獲取的DHCP客戶端的DHCP發(fā)現(xiàn)報文進行合法性認證,并將認證通過的DHCP客戶端進行地址分配。
本發(fā)明還提供了一種基于上述系統(tǒng)的實現(xiàn)DHCP地址安全分配的方法,包括C、接入節(jié)點或接入服務(wù)器接收DHCP客戶端發(fā)來的DHCP發(fā)現(xiàn)報文,并將所述客戶端的識別信息插入所述報文中發(fā)送給DHCP認證服務(wù)器;D、DHCP認證服務(wù)器從所述報文中獲取所述客戶端的識別信息;E、DHCP認證服務(wù)器利用所述的識別信息對所述客戶端的合法性進行認證,并僅對認證通過的客戶端進行地址分配處理。
所述的步驟E包括DHCP認證服務(wù)器在本地根據(jù)保存的合法用戶的識別信息對DHCP客戶端進行認證,并將認證通過的客戶端的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP服務(wù)器,由DHCP服務(wù)器進行地址分配處理;或者,DHCP認證服務(wù)器利用所述的識別信息向AAA服務(wù)器發(fā)送認證請求報文,由AAA服務(wù)器對所述客戶端的識別信息進行認證,并為認證通過的客戶端分配地址信息;或者,DHCP認證服務(wù)器利用所述的識別信息向AAA服務(wù)器發(fā)送認證請求報文,由AAA服務(wù)器對所述客戶端的識別信息進行認證,DHCP認證服務(wù)器接收到認證通過信息后,為認證通過的客戶端分配地址信息。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明可以根據(jù)位置信息對用戶進行接入認證,并僅為合法的用戶、終端分配IP地址,從而極大的增強了通過DHCP方式分配地址的安全性;而且,本發(fā)明中可以將地址統(tǒng)一由RADIUS服務(wù)器管理,即DHCP服務(wù)器和RADIUS服務(wù)器統(tǒng)一管理IP地址,降低了網(wǎng)絡(luò)管理的成本;并可以利用RADIUS服務(wù)器原有的安全措施,控制用戶獲取IP地址的數(shù)量,有效防止惡意耗盡地址攻擊;即使發(fā)生網(wǎng)絡(luò)攻擊或其他網(wǎng)絡(luò)安全問題,也可以根據(jù)IP地址追蹤到用戶的物理位置,對黑客攻擊行為可以有效的震懾;同時,本發(fā)明還具有良好的兼容性,即本發(fā)明在實現(xiàn)過程中,對于OSS系統(tǒng)沒有新增加任何接口和命令,對DHCP客戶端用戶的業(yè)務(wù)管理流程與原有PPPoE客戶端的業(yè)務(wù)發(fā)放管理流程完全一致,保護了運營商的投資。
圖1為寬帶接入系統(tǒng)的結(jié)構(gòu)示意圖;圖2為通過DHCP服務(wù)器獲取地址的過程示意圖;圖3為本發(fā)明所述的DHCP認證服務(wù)器結(jié)構(gòu)示意圖1;圖4為本發(fā)明所述的DHCP認證服務(wù)器結(jié)構(gòu)示意圖2;圖5為本發(fā)明所述的系統(tǒng)的結(jié)構(gòu)示意圖1;圖6為基于圖5所示系統(tǒng)的DHCP地址分配過程示意圖1;圖7為基于圖5所示系統(tǒng)的DHCP地址分配過程示意圖2;圖8為本發(fā)明所述的系統(tǒng)的結(jié)構(gòu)示意圖2;圖9為基于圖8所示系統(tǒng)的DHCP地址分配過程示意圖。
具體實施例方式
本發(fā)明的核心是在DHCP客戶端向DHCP服務(wù)器獲取地址信息的過程中,增加了對DHCP客戶端的合法性認證的處理過程,從而防止非法用戶對DHCP服務(wù)器的攻擊;另外,基于上述核心思想,還可以將DHCP服務(wù)器與認證服務(wù)器的地址管理統(tǒng)一起來,便于地址的管理。所述的認證服務(wù)器包括RADIUS服務(wù)器等AAA服務(wù)器,當然,也可以為其他功能作用類似的認證服務(wù)器。
本發(fā)明提供了實現(xiàn)DHCP地址安全分配的方法,主要包括(1)DHCP客戶端通過接入網(wǎng)絡(luò)發(fā)送DHCP發(fā)現(xiàn)報文;(2)網(wǎng)絡(luò)側(cè)的接入服務(wù)器(如BRAS、接入節(jié)點等)根據(jù)所述的DHCP發(fā)現(xiàn)報文的入端口信息確定所述DHCP客戶端的識別信息,如DHCP客戶端的端口號、VPI/VCI(虛通道標識)、VLAN ID(虛擬局域網(wǎng)標識)信息等,并基于所述識別信息,以及預(yù)先配置的合法用戶的識別信息對該DHCP客戶端進行認證;以RADIUS服務(wù)器作為認證服務(wù)器為例,具體可以由接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器利用所述客戶端的識別信息向遠程撥號認證RADIUS服務(wù)器發(fā)起認證請求,并由RADIUS服務(wù)器根據(jù)保存的合法用戶的識別信息對所述客戶端的合法性進行認證;當然,也可以設(shè)置專門用于認證的網(wǎng)關(guān),由其根據(jù)配置的信息進行相應(yīng)的認證處理。
(3)將認證通過的DHCP客戶端的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP服務(wù)器,并由DHCP服務(wù)器為其分配地址信息,具體的地址分配過程與現(xiàn)有的地址分配過程相同,故不詳述。
為實現(xiàn)本發(fā)明提供的上述方法可以在網(wǎng)絡(luò)中設(shè)置相應(yīng)的具有認證功能的DHCP服務(wù)器,從而使得其在接收到DHCP客戶端發(fā)來的DHCP發(fā)現(xiàn)報文后可以首先進行認證處理,當認證通過后,再為其分配相應(yīng)的地址信息。
本發(fā)明提供了兩種具有認證功能的DHCP認證服務(wù)器,下面將結(jié)合附圖分別對其進行說明。
第一種具有認證功能的DHCP認證服務(wù)器采用的是需要通過認證服務(wù)器,如RADIUS服務(wù)器實現(xiàn)對DHCP客戶端的認證,其具體結(jié)構(gòu)如圖3所示,圖中以RADIUS服務(wù)器作為認證服務(wù)器為例,具體包括DHCP服務(wù)器模塊用于對認證通過的DHCP客戶端分配IP地址,具體為接收DHCP客戶端經(jīng)由接入節(jié)點或接入服務(wù)器發(fā)來的DHCP請求報文,并為其分配相應(yīng)的IP地址信息,所述的IP地址為RADIUS客戶端模塊接收的由RADIUS服務(wù)器為認證通過的客戶端返回的IP地址信息;協(xié)議轉(zhuǎn)換模塊用于從接入節(jié)點或接入服務(wù)器發(fā)來的相應(yīng)的DHCP客戶端的DHCP發(fā)現(xiàn)報文中獲取RADIUS認證需要的信息,并生成用于對DHCP客戶端進行認證的RADIUS認證報文;同時,協(xié)議轉(zhuǎn)換模塊還需要根據(jù)RADIUS客戶端模塊接收的認證響應(yīng)報文響應(yīng)DHCP客戶端,具體為對于認證通過的DHCP客戶端的響應(yīng)報文,需要協(xié)議轉(zhuǎn)換模塊生成相應(yīng)的DHCP提供報文,并發(fā)送給相應(yīng)的DHCP客戶端,表示其可以被分配相應(yīng)的IP地址;RADIUS客戶端模塊用于基于DHCP協(xié)議轉(zhuǎn)換模塊生成的認證報文與RADIUS服務(wù)器間進行通信,從而實現(xiàn)針對DHCP客戶進行認證的處理過程,具體的認證規(guī)則可以按照RADIUS服務(wù)器中設(shè)定的規(guī)則進行合法性認證,然后,獲得對所述DHCP客戶端的認證結(jié)果,認證結(jié)果中包括RADIUS服務(wù)器為該客戶端分配的IP地址,該IP地址需要交給DHCP服務(wù)器模塊;同時,對于認證通過的DHCP客戶端的響應(yīng)報文需要交由協(xié)議轉(zhuǎn)換模塊進行后續(xù)的處理,即向DHCP客戶端發(fā)送DHCP提供報文。
此時,DHCP認證服務(wù)器工作在網(wǎng)關(guān)模式下,所述的DHCP認證服務(wù)器支持DHCP協(xié)議和RADIUS協(xié)議,從DHCP客戶端和BRAS的角度看,DHCP認證服務(wù)器是DHCP服務(wù)器;從RADIUS服務(wù)器的角度看,DHCP認證服務(wù)器是RADIUS客戶端。
具體的處理過程包括DHCP認證服務(wù)器處理DHCP中繼轉(zhuǎn)發(fā)的DHCP報文,根據(jù)報文中攜帶的客戶端的識別信息,生成RADIUS報文向RADIUS服務(wù)器發(fā)起認證,RADIUS服務(wù)器根據(jù)事先配置的用戶數(shù)據(jù)來判斷用戶的合法性,完成認證,并給用戶分配IP地址,DHCP認證服務(wù)器收到RADIUS服務(wù)器的認證響應(yīng)報文后,給DHCP客戶端返回DHCP報文,攜帶由RADIUS分配的IP地址,最終DHCP客戶端得到IP地址。
第二種具有認證功能的DHCP認證服務(wù)器采用的是在本地設(shè)置認證功能,并實現(xiàn)認證處理,其具體結(jié)構(gòu)如圖4所示,包括認證處理模塊用于獲取發(fā)起DHCP過程的DHCP客戶端的識別信息,并根據(jù)其保存的合法用戶的識別信息對所述客戶端進行合法性認證,再將認證結(jié)果發(fā)給DHCP服務(wù)器模塊,所述的合法用戶的識別信息通過相應(yīng)的存儲模塊保存即可;DHCP服務(wù)器模塊獲取認證處理模塊對DHCP客戶端的認證結(jié)果,并向認證結(jié)果為通過的DHCP客戶端發(fā)送DHCP提供報文,表示DHCP服務(wù)器可以為其分配相應(yīng)的IP地址,并可以在DHCP客戶端發(fā)來DHCP請求報文時,為其分配相應(yīng)的IP地址,即實現(xiàn)DHCP服務(wù)器的功能。
此時,DHCP認證服務(wù)器工作于服務(wù)器模式下,相當于具有安全認證功能的DHCP服務(wù)器,可以獨立地完成針對客戶端的認證及地址分配的工作。
上述兩種具有認證功能的DHCP認證服務(wù)器可以設(shè)置于任何需要應(yīng)用DHCP服務(wù)器的網(wǎng)絡(luò)中,以實現(xiàn)相應(yīng)的地址分配功能。
本發(fā)明還提供了相應(yīng)的具有DHCP地址分配認證功能的可實現(xiàn)DHCP地址安全分配的系統(tǒng),所述系統(tǒng)的結(jié)構(gòu)如圖5和圖8所示,具體包括DHCP客戶端、接入網(wǎng)絡(luò)和DHCP認證服務(wù)器,所述的DHCP認證服務(wù)器用于對接入網(wǎng)絡(luò)獲取的DHCP客戶端的DHCP發(fā)現(xiàn)報文進行合法性認證,并對認證通過的DHCP客戶端進行地址分配處理。
在本發(fā)明所述的系統(tǒng)中,所述的DHCP認證服務(wù)器可以采用以下兩種方式對DHCP客戶端進行認證,并分配相應(yīng)的IP地址,具體為一種是將DHCP客戶端的識別信息通過認證請求報文發(fā)送給RADIUS服務(wù)器,并由RADIUS服務(wù)器對其進行認證,并由RADIUS服務(wù)器為其分配相應(yīng)的IP地址,或者RADIUS服務(wù)器只進行認證處理,而仍由DHCP服務(wù)器分配相應(yīng)的IP地址;此處,僅以RADIUS服務(wù)器作為認證服務(wù)器描述本發(fā)明的具體應(yīng)用實例,而并不僅限于此;另一種是將DHCP客戶端的識別信息根據(jù)本地保存的合法用戶的識別信息進行合法性認證,并由DHCP服務(wù)器為認證通過的DHCP客戶端為分配相應(yīng)的IP地址。
在所述的系統(tǒng)中,具體是接入節(jié)點和BRAS支持DHCP報文的捕獲,并插入Option82選項,以便于DHCP認證服務(wù)器接收所述的DHCP報文后可以獲取到相應(yīng)的DHCP客戶端的識別信息,Option82選項中標識了作為識別信息的用戶的位置信息,具體包括端口信息,VPI/VCI信息,VLAN ID等信息;可以在接入節(jié)點向DHCP報文中插入Option82選項,還可以在BRAS向DHCP報文插入Option82選項。
基于上述系統(tǒng),本發(fā)明還提供了相應(yīng)的實現(xiàn)DHCP地址安全分配的方法,下面將進行詳細的說明。
首先,以DHCP認證服務(wù)器工作于網(wǎng)關(guān)模式下,且認證服務(wù)器為RADIUS服務(wù)器為例,對所述的方法進行說明,如圖5、圖6和圖7所示,具體描述如下如圖5和圖6所示,該方法具體實現(xiàn)時,包括以下步驟步驟61用戶開戶時,運營商在RADIUS服務(wù)器中增加一條用戶數(shù)據(jù),帳號為用戶的位置信息,編碼方式與接入節(jié)點和BRAS插入的Option82選項一致,并可以選擇記錄終端(STB、IAD)的MAC地址。
步驟62DHCP客戶端需要獲取IP地址信息時,則DHCP客戶端需要向BRAS發(fā)送DHCP發(fā)現(xiàn)報文;步驟63BRAS作為DHCP中繼,捕獲DHCP報文,并在報文中插入Option82選項,然后將攜帶用戶位置信息的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP認證服務(wù)器,所述的Option82選項標識了用戶的位置信息,如端口信息,VPI/VCI,VLAN ID等;步驟64DHCP認證服務(wù)器收到BRAS中繼過來的DHCP報文,從中取出Option82選項和終端的MAC地址,生成RADIUS協(xié)議報文,并發(fā)送給RADIUS服務(wù)器,報文中帳號為option82的內(nèi)容,Calling-Station-ID(呼叫站點標識)屬性為終端的MAC地址;RADI US服務(wù)器收到認證請求,根據(jù)數(shù)據(jù)庫中的信息進行認證,根據(jù)帳號判斷用戶的合法性,并且可以根據(jù)MAC地址,判斷終端的合法性,如果認證通過,分配一個IP地址給用戶,返回認證響應(yīng)報文,參見步驟65;步驟65認證通過后,RADIUS服務(wù)器將向DHCP認證服務(wù)器返回認證響應(yīng)報文,且報文中攜帶著分配給客戶端的IP地址;DHCP認證服務(wù)器收到認證響應(yīng)報文后,從中提取出RADIUS分配的IP地址,使用標準的DHCP過程,給DHCP客戶端分配IP地址,參見如下步驟步驟66DHCP認證服務(wù)器接收所述響應(yīng)報文后,則向DHCP客戶端發(fā)送DHCP提供報文;步驟67DHCP客戶端接收所述DHCP提供報文后,則向DHCP認證服務(wù)器發(fā)送DHCP請求報文;步驟68DHCP認證服務(wù)器將從RADIUS服務(wù)器發(fā)來的IP地址信息通過DHCP響應(yīng)報文發(fā)送給DHCP客戶端。
在上述步驟63中描述的是BRAS插入Option82選項,在實際應(yīng)用過程中,如圖7所示,也可以由DSLAM(數(shù)字用戶線接入復(fù)用器),即由接入節(jié)點插入Option82選項,BRAS只作DHCP中繼,而其他處理流程與上述描述的處理過程完全相同。
在上述過程中,如果RADIUS服務(wù)器只進行認證處理,而仍由DHCP服務(wù)器分配相應(yīng)的IP地址,則步驟65至步驟68的處理過程為RADIUS服務(wù)器向DHCP服務(wù)器返回認證通過的消息時,DHCP服務(wù)器向DHCP客戶端發(fā)送DHCP提供報文,并通過后續(xù)的與現(xiàn)有的地址分配過程相同的處理為所述DHCP客戶端分配相應(yīng)的IP地址。
之后,再以DHCP認證服務(wù)器工作于服務(wù)器模式下為例,對所述的方法進行說明,如圖8和圖9所示,具體描述如下步驟91用戶開戶時,運營商在DHCP認證服務(wù)器中增加一條數(shù)據(jù),記錄用戶的位置信息,編碼方式與接入節(jié)點和BRAS插入的Option82選項一致,并可以選擇記錄終端(STB、IAD)的MAC地址。
步驟92DHCP客戶端需要獲取IP地址信息時,則DHCP客戶端需要向BRAS發(fā)送DHCP發(fā)現(xiàn)報文;步驟93BRAS作為DHCP中繼,捕獲DHCP報文,并在報文中插入Option82選項,然后將攜帶用戶位置信息的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP認證服務(wù)器,所述的Option82選項標識了用戶的位置信息,如端口信息,VPI/VCI,VLAN ID等;DHCP認證服務(wù)器收到BRAS中繼過來的DHCP報文,從中取出作為識別信息的Option82選項和終端的MAC地址,并查詢本地數(shù)據(jù)庫,根據(jù)本地保存的合法用戶的識別信息對DHCP客戶的識別信息進行認證,如果認證通過,則向DHCP客戶端返回DHCP提供報文,參見步驟94;步驟94DHCP認證服務(wù)器向DHCP客戶端發(fā)送DHCP提供報文;步驟95DHCP客戶端接收所述DHCP提供報文后,則向DHCP認證服務(wù)器發(fā)送DHCP請求報文;
步驟96DHCP認證服務(wù)器為DHCP客戶端分配IP地址信息,并通過DHCP響應(yīng)報文發(fā)送給DHCP客戶端。
同樣,在圖9中的步驟93描述的是BRAS插入Option82選項,在實際應(yīng)用過程中,也可以由接入節(jié)點DSLAM插入Option82選項,BRAS只作DHCP中繼,其他流程完全相同。
綜上所述,本發(fā)明極大的增強了DHCP方式分配地址的安全性,并可以根據(jù)位置信息對用戶進行接入認證,且只對合法的用戶、合法的終端分配IP地址,以有效防止惡意耗盡地址攻擊。而且,在發(fā)生網(wǎng)絡(luò)攻擊或其他網(wǎng)絡(luò)安全問題,也可以根據(jù)IP地址追蹤到用戶的物理位置,對黑客攻擊行為可以有效的震懾。
以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準。
權(quán)利要求
1.一種實現(xiàn)DHCP地址安全分配的方法及系統(tǒng),其特征在于,包括A、動態(tài)主機配置協(xié)議DHCP客戶端通過接入網(wǎng)絡(luò)發(fā)送DHCP發(fā)現(xiàn)報文;B、接入網(wǎng)絡(luò)側(cè)獲取所述DHCP客戶端的識別信息,并基于所述識別信息對其進行認證;C、對于認證通過的DHCP客戶端,由DHCP服務(wù)器為其分配地址信息。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)DHCP地址安全分配的方法,其特征在于,所述的識別信息包括DHCP客戶端的端口號、電路號、連接號。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)DHCP地址安全分配的方法,其特征在于,所述的步驟B包括接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器根據(jù)所述DHCP發(fā)現(xiàn)報文的入端口/電路/連接信息確定其識別信息。
4.根據(jù)權(quán)利要求1、2或3所述的實現(xiàn)DHCP地址安全分配的方法,其特征在于,所述的步驟B包括由接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器,根據(jù)DHCP客戶端的識別信息,以及預(yù)先配置的合法用戶的識別信息進行所述的客戶端的合法性認證。
5.根據(jù)權(quán)利要求1、2或3所述的實現(xiàn)DHCP地址安全分配的方法,其特征在于,所述的步驟B包括B1、接入網(wǎng)絡(luò)中的接入節(jié)點或接入服務(wù)器利用所述客戶端的識別信息向認證服務(wù)器發(fā)起認證請求;B2、認證服務(wù)器根據(jù)保存的合法用戶的識別信息對所述客戶端的合法性進行認證。
6.一種實現(xiàn)DHCP地址安全分配的DHCP認證服務(wù)器,其特征在于,包括DHCP服務(wù)器模塊接收DHCP客戶端經(jīng)由接入節(jié)點或接入服務(wù)器發(fā)來的DHCP請求報文,并以鑒權(quán)認證計費AAA客戶端模塊接收的由AAA服務(wù)器返回的為認證通過的客戶端分配的地址信息響應(yīng)所述DHCP客戶端;協(xié)議轉(zhuǎn)換模塊用于從接入節(jié)點或接入服務(wù)器發(fā)來的相應(yīng)的DHCP客戶端的DHCP發(fā)現(xiàn)報文中,獲取AAA認證需要的信息,生成AAA認證報文,以及根據(jù)AAA客戶端模塊接收的認證響應(yīng)報文,生成DHCP提供報文,并發(fā)送;AAA客戶端模塊用于基于DHCP協(xié)議轉(zhuǎn)換模塊生成的認證報文與AAA服務(wù)器間進行通信,獲得對所述DHCP客戶端的認證結(jié)果,并交給協(xié)議轉(zhuǎn)換模塊和DHCP服務(wù)器模塊。
7.一種實現(xiàn)DHCP地址安全分配的DHCP認證服務(wù)器,其特征在于,包括認證處理模塊用于獲取發(fā)起DHCP過程的客戶端的識別信息,并根據(jù)保存的合法用戶的識別信息對所述客戶端進行合法性認證,將認證通過的DHCP客戶端的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP服務(wù)器;DHCP服務(wù)器接收認證處理模塊發(fā)來的DHCP發(fā)現(xiàn)報文,并向所述DHCP客戶端發(fā)送DHCP提供報文,在DHCP客戶端發(fā)來DHCP請求報文時,在其地址池中為相應(yīng)的DHCP客戶端分配地址。
8.一種實現(xiàn)DHCP地址安全分配的系統(tǒng),其特征在于,包括DHCP客戶端,接入網(wǎng)絡(luò)和DHCP認證服務(wù)器,DHCP客戶端通過接入網(wǎng)絡(luò)與DHCP認證服務(wù)器通信獲取地址信息,同時,DHCP認證服務(wù)器用于對接入網(wǎng)絡(luò)獲取的DHCP客戶端的DHCP發(fā)現(xiàn)報文進行合法性認證,并將認證通過的DHCP客戶端進行地址分配。
9.一種基于上述系統(tǒng)的實現(xiàn)DHCP地址安全分配的方法,其特征在于,包括C、接入節(jié)點或接入服務(wù)器接收DHCP客戶端發(fā)來的DHCP發(fā)現(xiàn)報文,并將所述客戶端的識別信息插入所述報文中發(fā)送給DHCP認證服務(wù)器;D、DHCP認證服務(wù)器從所述報文中獲取所述客戶端的識別信息;E、DHCP認證服務(wù)器利用所述的識別信息對所述客戶端的合法性進行認證,并僅對認證通過的客戶端進行地址分配處理。
10.根據(jù)權(quán)利要求9所述的實現(xiàn)DHCP地址安全分配的方法,其特征在于,所述的步驟E包括DHCP認證服務(wù)器在本地根據(jù)保存的合法用戶的識別信息對DHCP客戶端進行認證,并將認證通過的客戶端的DHCP發(fā)現(xiàn)報文發(fā)送給DHCP服務(wù)器,由DHCP服務(wù)器進行地址分配處理;或者,DHCP認證服務(wù)器利用所述的識別信息向AAA服務(wù)器發(fā)送認證請求報文,由AAA服務(wù)器對所述客戶端的識別信息進行認證,并為認證通過的客戶端分配地址信息;或者,DHCP認證服務(wù)器利用所述的識別信息向AAA服務(wù)器發(fā)送認證請求報文,由AAA服務(wù)器對所述客戶端的識別信息進行認證,DHCP認證服務(wù)器接收到認證通過信息后,為認證通過的客戶端分配地址信息。
全文摘要
本發(fā)明涉及一種實現(xiàn)DHCP地址安全分配的方法及系統(tǒng)。本發(fā)明的核心是DHCP(動態(tài)主機配置協(xié)議)客戶端通過接入網(wǎng)絡(luò)發(fā)送DHCP發(fā)現(xiàn)報文;當接入網(wǎng)絡(luò)側(cè)獲取所述DHCP客戶端的端口信息等識別信息,并基于所述識別信息對其進行認證;最后,DHCP服務(wù)器僅對認證通過的DHCP客戶端分配地址信息。因此,本發(fā)明可以根據(jù)位置信息對用戶進行接入認證,并僅為合法的用戶、終端分配IP地址,從而極大地增強了通過DHCP方式分配地址的安全性。而且,本發(fā)明中可以將地址統(tǒng)一由AAA服務(wù)器管理,或經(jīng)過AAA服務(wù)器認證成功后分配地址。
文檔編號H04L29/12GK1855926SQ20051006941
公開日2006年11月1日 申請日期2005年4月29日 優(yōu)先權(quán)日2005年4月29日
發(fā)明者魏家宏, 李軍, 陳武茂 申請人:華為技術(shù)有限公司