專利名稱::一種在用戶終端認(rèn)證過程中分配ip地址的方法及裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及IP地址分配
技術(shù)領(lǐng)域:
,具體涉及一種在用戶終端認(rèn)證過程中分配IP地址的方法及裝置。
背景技術(shù):
:IEEE802.1x協(xié)議作為一種基于端口的局域網(wǎng)接入控制和認(rèn)證技術(shù),可以限制未經(jīng)授權(quán)的用戶訪問企業(yè)局域網(wǎng)絡(luò)。在用戶終端認(rèn)證通過之前,與該用戶終端對應(yīng)的端口將保持關(guān)閉,802.lx協(xié)議只允許用戶的認(rèn)證"f艮文通過該端口;在認(rèn)證通過以后,端口被打開,用戶終端正常的數(shù)據(jù)報(bào)文才可以地通過該端口。802.lx技術(shù)在以太網(wǎng)絡(luò)環(huán)境中提供了一種靈活的、認(rèn)證和業(yè)務(wù)分離的網(wǎng)絡(luò)接入控制手段?;?02.1x的認(rèn)證技術(shù)在客戶端和接入設(shè)備之間使用基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議(EAPoL,ExtensibleAuthenticationProtocoloverLAN)傳送認(rèn)證信RemoteAuthenticationDial-InUserService)協(xié)議或終端訪問控制器訪問控制系統(tǒng)(TACACS,TerminalAccessControllerAccessControlSystem)協(xié)議傳送認(rèn)證信息。請參照圖1,為現(xiàn)有技術(shù)中一種典型的802.1x組網(wǎng)應(yīng)用。如圖l所示,局域網(wǎng)通過核心交換機(jī)、出口路由器和防火墻連接到因特網(wǎng),在局域網(wǎng)鏈路的一端設(shè)有多個(gè)用戶終端,另一端設(shè)有接入設(shè)備(如二層接入交換機(jī)或?qū)拵Ы尤敕?wù)器(BAS,BroadbandAccessServer))。局域網(wǎng)還包括內(nèi)部服務(wù)器區(qū),其中又具體包4舌有動態(tài)主才幾配置協(xié)"i義(DHCP,DynamicHostConfigurationProtocol)服務(wù)器和認(rèn)證月良務(wù)器(或認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA,AuthenticationAuthorizationAccounting)月l務(wù)器)。如圖2所示,現(xiàn)有技術(shù)中802.1x和DHCP協(xié)議配合的認(rèn)證過程大致可以概括為以下步驟步驟21,用戶終端通過啟動客戶端軟件發(fā)起802.1x認(rèn)證,向接入設(shè)備發(fā)送EAPoL認(rèn)證請求報(bào)文;步驟22,接入設(shè)備接收并終結(jié)上述EAPoL認(rèn)證請求報(bào)文,將認(rèn)證請求通過RADIUS認(rèn)證請求^^文發(fā)送給認(rèn)證服務(wù)器;步驟23,認(rèn)證服務(wù)器根據(jù)該用戶的用戶名和密碼等信息,對該用戶終端進(jìn)行認(rèn)證,判斷該用戶終端是否合法,然后向接入設(shè)備發(fā)送認(rèn)證成功或失敗的RADIUS認(rèn)證回應(yīng)才艮文(Access-Accept或Access-Reject),其中,認(rèn)證服務(wù)器可能需要與用戶終端多次交互認(rèn)證信息以進(jìn)行所述認(rèn)證;步驟24,接入設(shè)備接收并終結(jié)上述RADIUS認(rèn)證回應(yīng)報(bào)文并根據(jù)上述RADIUS認(rèn)證回應(yīng)控制端口的開關(guān)如果認(rèn)證成功,則打開與所述用戶終端連接的端口,否則,繼續(xù)保持所述端口的關(guān)閉;然后向用戶終端返回EAPoL認(rèn)證回應(yīng)報(bào)文(EAPoL-Success或EAPoL-Failure),用以通知用戶終端認(rèn)證是否成功;步驟25,在用戶終端通過認(rèn)證以后,用戶終端發(fā)送DHCP請求報(bào)文,請求IP地址;步驟26,如果端口被打開,接入設(shè)備就可以接收到上述DHCP請求報(bào)文,并轉(zhuǎn)發(fā)給DHCP服務(wù)器;步驟27,DHCP服務(wù)器分配IP地址,并向接入設(shè)備返回DHCP回應(yīng)報(bào)文;步驟28,接入設(shè)備轉(zhuǎn)發(fā)上述DHCP回應(yīng)報(bào)文至用戶終端,從而用戶終端獲取到IP地址。從以上所述可以看出,現(xiàn)有技術(shù)中,在用戶終端通過認(rèn)證后,需要用戶終端發(fā)起DHCP請求,由DHCP服務(wù)器為該用戶終端分配IP地址,其認(rèn)證過程步驟繁多,涉及到多種設(shè)備之間的配合。因此,基于上述認(rèn)證方法的認(rèn)證系統(tǒng)中需要部署包括DHCP服務(wù)器在內(nèi)的多種設(shè)備,其組網(wǎng)的成本較高。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是提供一種在用戶終端認(rèn)證過程中分配IP地址的方法及設(shè)備,簡化i人證流程,且不需要在網(wǎng)絡(luò)中部署DHCP服務(wù)器。為解決上述技術(shù)問題,本發(fā)明提供方案如下一種在認(rèn)證服務(wù)器上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,包括:認(rèn)證服務(wù)器配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)關(guān)系;認(rèn)證服務(wù)器對用戶終端進(jìn)行認(rèn)證,在認(rèn)證通過后,根據(jù)所述用戶終端的用戶終端標(biāo)識和所述對應(yīng)關(guān)系,確定所述用戶終端對應(yīng)的IP地址,并將所述IP地址攜帶在認(rèn)證回應(yīng)報(bào)文中發(fā)送至接入設(shè)備。本發(fā)明所述的方法,其中,所述用戶終端標(biāo)識為用戶終端的用戶名或MAC地址。本發(fā)明所述的方法,其中,所述認(rèn)證服務(wù)器對用戶終端進(jìn)行認(rèn)證是認(rèn)證服務(wù)器根據(jù)所述用戶終端的用戶名和密碼,對所述用戶終端進(jìn)行認(rèn)證。本發(fā)明所述的方法,其中,所述認(rèn)證服務(wù)器是遠(yuǎn)程認(rèn)證拔號用戶服務(wù)RADIUS服務(wù)器,所述認(rèn)證回應(yīng)報(bào)文是RADIUS認(rèn)證回應(yīng)才艮文;或者,所述認(rèn)證服務(wù)器是終端訪問控制器訪問控制系統(tǒng)TACACS服務(wù)器,所述認(rèn)證回應(yīng)報(bào)文是TACACS認(rèn)證回應(yīng)報(bào)文。本發(fā)明所述的方法,其中,所述認(rèn)證服務(wù)器進(jìn)一步確定所述用戶終端對應(yīng)的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,并將上述信息包含在所述認(rèn)證回應(yīng)才艮文中發(fā)送給所述接入設(shè)備。本發(fā)明還提供了一種在接入設(shè)備上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,包括接入設(shè)備接收認(rèn)證服務(wù)器發(fā)送的第一認(rèn)證回應(yīng)報(bào)文;在所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),接入設(shè)備從所述第一接入設(shè)備將所述IP地址攜帶在第二認(rèn)證回應(yīng)報(bào)文中,發(fā)送給所述用戶終端。本發(fā)明所述在接入設(shè)備上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,其中,所述接入設(shè)備進(jìn)一步獲取所述第一認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,并將上述信息包含在所述第二認(rèn)證回應(yīng)報(bào)文中發(fā)送給所述用戶終端。本發(fā)明所述在接入設(shè)備上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,其中,在所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),所述接入設(shè)備進(jìn)一步打開連接所述用戶終端的端口。本發(fā)明所述在才妄入設(shè)備上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,其中,還包括接入設(shè)備周期性地接收所述用戶終端發(fā)送的自身IP地址和用戶終端標(biāo)識;接入設(shè)備判斷所述用戶終端的IP地址,是否與所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址相一致如果不一致,則關(guān)閉連接所述用戶終端的端a。本發(fā)明還提供了一種在用戶終端認(rèn)證過程中分配IP地址的方法,其中,包括用戶終端接收接入設(shè)備發(fā)送的認(rèn)證回應(yīng)報(bào)文;在所述認(rèn)證回應(yīng)沖艮文指示本用戶終端通過認(rèn)證時(shí),用戶終端獲取所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,其中,所述IP地址是認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址;用戶終端根據(jù)獲取到的IP地址配置自身的IP地址。本發(fā)明所述在用戶終端認(rèn)證過程中分配IP地址的方法,其中,還包括所述用戶終端進(jìn)一步周期性地將自身IP地址和本用戶終端的用戶終端標(biāo)識,發(fā)送給所述接入設(shè)備。本發(fā)明還提供了一種認(rèn)證服務(wù)器,包括用于對用戶終端進(jìn)行認(rèn)證的認(rèn)證單元,還包括對應(yīng)關(guān)系保存單元,用于配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)關(guān)系;IP地址分配單元,用于在用戶終端通過所述認(rèn)證單元的認(rèn)證后,根據(jù)所述用戶終端的用戶終端標(biāo)識和所述對應(yīng)關(guān)系保存單元中保存的對應(yīng)關(guān)系,確定所述用戶終端對應(yīng)的IP地址;發(fā)送單元,用于將所述IP地址分配單元確定的IP地址攜帶在認(rèn)證回應(yīng)報(bào)文中發(fā)送至接入設(shè)備。本發(fā)明所述的認(rèn)證服務(wù)器,其中,所述用戶終端標(biāo)識為用戶終端的用戶名或MAC地址。本發(fā)明還提供了一種接入設(shè)備,其中,包括接收單元,用于接收認(rèn)證服務(wù)器發(fā)送的第一認(rèn)證回應(yīng)報(bào)文;IP地址獲取單元,用于在所述第一認(rèn)證回應(yīng)才艮文指示用戶終端通過認(rèn)證時(shí),從所述第一認(rèn)證回應(yīng)報(bào)文中獲取認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址;發(fā)送單元,用于將所述IP地址獲取單元獲取到的IP地址攜帶在第二認(rèn)證回應(yīng)"^艮文中,發(fā)送給所述用戶終端。本發(fā)明所述的接入設(shè)備,其中,還包括端口控制單元,用于所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),打開連^^妄所述用戶終端的端口。本發(fā)明所述的接入設(shè)備,其中,所述接收單元,進(jìn)一步周期性地接收所述用戶終端發(fā)送的自身IP地址和用戶終端標(biāo)識;所述端口控制單元,進(jìn)一步用于判斷所述用戶終端的IP地址,是否與所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址相一致如果不一致,則關(guān)閉連接所述用戶終端的端口。本發(fā)明還提供了一種用戶終端,包括接收單元,用于接收接入設(shè)備發(fā)送的認(rèn)證回應(yīng)報(bào)文;IP地址配置單元,用于在所述認(rèn)證回應(yīng)報(bào)文指示本用戶終端通過認(rèn)證時(shí),用戶終端獲取所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,并據(jù)此配置自身的IP地址,其中,所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址是認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址。本發(fā)明所述的用戶終端,其中,還包括發(fā)送單元,用于周期性地將自身IP地址和本用戶終端的用戶終端標(biāo)識,發(fā)送給所述接入設(shè)備。從以上所述可以看出,本發(fā)明提供的在用戶終端認(rèn)證過程中分配IP地址從而簡化了認(rèn)證過程,無需在網(wǎng)絡(luò)中部署DHCP服務(wù)器,進(jìn)而降低了組網(wǎng)成本。本發(fā)明實(shí)施例中還在接入設(shè)備和用戶終端之間實(shí)現(xiàn)定時(shí)握手,用戶終端通過握手回應(yīng)報(bào)文將其當(dāng)前的IP地址等信息發(fā)送給接入設(shè)備,接入設(shè)備檢查用戶終端的IP地址等信息是否與認(rèn)證服務(wù)器為其所確定的相關(guān)信息相一致,進(jìn)而根據(jù)檢查結(jié)果來控制與該用戶終端連接的端口的開關(guān),從而提高了網(wǎng)絡(luò)接入和訪問的安全性。并且,本發(fā)明實(shí)施例中,無需預(yù)先將接入設(shè)備的端口配置為允許通過DHCP報(bào)文,從而避免了現(xiàn)有技術(shù)中在接入設(shè)備上將端口配置為可以通過DHCP報(bào)文而帶來的風(fēng)險(xiǎn)。圖1為現(xiàn)有技術(shù)中一種典型的802.1x組網(wǎng)應(yīng)用示意圖;圖2為現(xiàn)有技術(shù)中802.1x和DHCP協(xié)議配合的認(rèn)證過程的流程圖;圖3為本發(fā)明實(shí)施例中經(jīng)擴(kuò)展的EAPoL認(rèn)證回應(yīng)報(bào)文的結(jié)構(gòu)圖;圖4為本發(fā)明實(shí)施例所述在用戶終端認(rèn)證過程中分配IP地址的方法的流程圖;圖5為本發(fā)明實(shí)施例所述認(rèn)證服務(wù)器的結(jié)構(gòu)示意圖;圖6為本發(fā)明實(shí)施例所述接入設(shè)備的結(jié)構(gòu)示意圖;圖7為本發(fā)明實(shí)施例所述用戶終端的結(jié)構(gòu)示意圖。具體實(shí)施方式本發(fā)明提供了一種在用戶終端認(rèn)證過程中分配IP地址的方法及設(shè)備,由認(rèn)證服務(wù)器直接為用戶終端分配IP地址,從而無需在網(wǎng)絡(luò)中部署DHCP服務(wù)器,同時(shí)也筒化了認(rèn)證過程。以下以基于802.1x協(xié)議的認(rèn)證為例,結(jié)合附圖對本發(fā)明作進(jìn)一步說明。首先說明本實(shí)施例中用于傳遞IP地址信息的認(rèn)證回應(yīng)報(bào)文的結(jié)構(gòu)。本實(shí)施例中對現(xiàn)有的認(rèn)證回應(yīng)報(bào)文作了進(jìn)一步擴(kuò)展。在802.lx協(xié)議中,用戶終端(請求者Supplicant)和接入設(shè)備(認(rèn)證者Authenticator)之間交互的是EAPoL報(bào)文。認(rèn)證服務(wù)器通常使用RADIUS或TACACS協(xié)議。以RADIUS協(xié)議為例,RADIUS認(rèn)證回應(yīng)報(bào)文中有豐富的屬性,可以攜帶多種信息。由于EAP協(xié)議具有靈活的擴(kuò)展性,因此,可以通過擴(kuò)展EAPoL認(rèn)證回應(yīng)報(bào)文,豐富用戶終端和接入設(shè)備之間交互的報(bào)文內(nèi)容,通過EAPoL認(rèn)證回應(yīng)報(bào)文將RADIUS認(rèn)證回應(yīng)報(bào)文中攜帶的信息返回給用戶終端,從而將認(rèn)i正月良務(wù)器分配的IP地址返回給用戶終端。根據(jù)RFC2865,RADIUS認(rèn)證服務(wù)器可以通過認(rèn)證回應(yīng)報(bào)文Access-Accept返回的屬'l"生有Framed-IP-Address、Framed國IP-Netmask、Framed—Route、Reply-Message,這些屬性的值可以賦值給用戶終端,本實(shí)施例中還進(jìn)一步擴(kuò)展上述屬性,增加DNS-Server信息。其中,本實(shí)施例的RADIUS認(rèn)證回應(yīng)才艮文中的各屬性的解釋如表1所示<table>tableseeoriginaldocumentpage11</column></row><table>802.1x認(rèn)證過程是以用戶終端接收到EAPoL認(rèn)證回應(yīng)報(bào)文(EAPOL-Success/Failure)而結(jié)束。現(xiàn)有的EAPOL-Success/Failure中不攜帶任何數(shù)據(jù)內(nèi)容,本實(shí)施例中將其擴(kuò)展成如圖3所示的結(jié)構(gòu)。如圖3所示,該報(bào)文的前32比特位分別是代碼(Code)、標(biāo)識(Identifier)和長度(Length),本實(shí)施例將后續(xù)數(shù)據(jù)擴(kuò)展為類型、長度和值(TLV,TypeType-LegnthType-Value)字段,可以用于拷貝RADIUS認(rèn)證回應(yīng)報(bào)文返回的如表1所示的各種屬性。如果認(rèn)證服務(wù)器為TACACS服務(wù)器,同樣也可以通過TACACS服務(wù)器發(fā)送的TACACS認(rèn)證回應(yīng)報(bào)文返回IP地址等信息,然后將這些信息封裝在EAPoL認(rèn)證回應(yīng)報(bào)文中的TLV字段中。以下說明本實(shí)施例所述在用戶終端認(rèn)證過程中分配IP地址的方法的具體步驟,如圖4所示,包括步驟41,在認(rèn)證服務(wù)器處,預(yù)先配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)關(guān)系。這里,所述用戶終端標(biāo)識具體可以是用戶終端的用戶名或用戶終端的MAC地址。步驟42,在用戶終端處,用戶終端通過啟動客戶端軟件發(fā)起802.1x認(rèn)證,向接入設(shè)備發(fā)送EAPoL認(rèn)證請求報(bào)文。步驟43,接入設(shè)備接收并終結(jié)上述EAPoL認(rèn)證請求報(bào)文,將認(rèn)證請求通過RADIUS認(rèn)證請求報(bào)文中,發(fā)送給認(rèn)證月良務(wù)器。步驟44,認(rèn)證服務(wù)器對該用戶終端進(jìn)行認(rèn)證,判斷該用戶終端是否合法,根據(jù)判斷結(jié)果決定是否認(rèn)證通過如果認(rèn)證通過,則認(rèn)證服務(wù)器根據(jù)該用戶終端的用戶終端標(biāo)識和預(yù)先保存的所述對應(yīng)關(guān)系,確定該用戶終端對應(yīng)的IP地址信息,并將所述IP地址信息攜帶在RADIUS認(rèn)證回應(yīng)報(bào)文中,發(fā)送給接入設(shè)備。這里,認(rèn)證服務(wù)器和用戶終端之間可以多次交互認(rèn)證信息,按照預(yù)定策略,根據(jù)該用戶終端的用戶名和密碼等信息,對該用戶終端進(jìn)行所述認(rèn)證如果認(rèn)證失敗,則認(rèn)證服務(wù)器向接入設(shè)備發(fā)送用于指示認(rèn)證失敗的RADIUS認(rèn)證回應(yīng)報(bào)文,即Access-Reject報(bào)文;如果認(rèn)證通過,則向接入設(shè)備發(fā)送用于指示認(rèn)證成功的RADIUS認(rèn)證回應(yīng)報(bào)文,即Access-Accept報(bào)文,并將該用戶終端對應(yīng)的IP地址信息包含在Access-Accept報(bào)文中,發(fā)送給接入設(shè)備。這里,在認(rèn)證通過時(shí),認(rèn)證服務(wù)器還可以進(jìn)一步確定該用戶終端對應(yīng)的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,并將上述信息包含在所述認(rèn)證回應(yīng)報(bào)文中發(fā)送給所述接入設(shè)備。步驟45,接入設(shè)備接收認(rèn)證服務(wù)器下發(fā)的所述RADIUS認(rèn)證回應(yīng)報(bào)文在所述RADIUS認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),打開接入設(shè)備上連接所述用戶終端的端口,以允許所述用戶終端的所有4艮文通過該端口,并從所述RADIUS認(rèn)證回應(yīng)報(bào)文中獲取所述用戶終端的IP地址等信息,并將這些信息拷貝寫入用于指示用戶終端認(rèn)證通過的EAPoL認(rèn)證回應(yīng)報(bào)文的TLV字段中,然后,將該EAPoL認(rèn)證回應(yīng)報(bào)文發(fā)送給該用戶終端;在所述RADIUS認(rèn)證回應(yīng)指示用戶認(rèn)證失敗時(shí),向該用戶終端發(fā)送指示認(rèn)證失敗的EAPoL認(rèn)證回應(yīng)報(bào)文,繼續(xù)保持連接該用戶終端的端口的關(guān)閉狀態(tài),以繼續(xù)禁止認(rèn)證報(bào)文以外的其他報(bào)文通過該端口。這樣,在認(rèn)證通過后,用戶終端就可以從所述接入設(shè)備發(fā)送的指示認(rèn)證通過的EAPoL認(rèn)證回應(yīng)報(bào)文中,獲取認(rèn)證服務(wù)器為該用戶終端所分配的IP地址等信息,進(jìn)而根據(jù)該IP地址等信息,對自身的IP地址等進(jìn)行相應(yīng)的配置。在獲取到IP地址以后,用戶終端就可以正常地訪問因特網(wǎng)資源??梢钥闯?,在上述認(rèn)證過程中,沒有現(xiàn)有技術(shù)的DHCP分配IP地址的過程,而是由認(rèn)證服務(wù)器在用戶終端通過認(rèn)證后直接為用戶終端分配IP地址,從而簡化認(rèn)證過程,無需在網(wǎng)絡(luò)中部署DHCP服務(wù)器,減少了網(wǎng)絡(luò)中的設(shè)備數(shù)量,降低了組網(wǎng)成本。在用戶終端成功獲取IP地址以后,用戶終端還可能發(fā)生自行改變自身的IP地址或媒體接入控制(MAC,MediumAccessControl)地址的行為,危及到網(wǎng)絡(luò)接入和訪問的安全性。為了提高網(wǎng)絡(luò)接入和訪問的安全性,現(xiàn)有技術(shù)中是通過預(yù)先配置接入設(shè)備連接用戶終端的端口,使該端口始終允許DHCP報(bào)文通過,以使得在認(rèn)證開始前用戶終端能夠通過DHCP過程獲取到IP地址;然后,用戶終端攜帶自身IP地址、MAC地址及用戶名等信息向認(rèn)證服務(wù)器進(jìn)行認(rèn)證;認(rèn)證服務(wù)器根據(jù)預(yù)存的用戶名、MAC地址和IP的綁定關(guān)系,來決定用戶是否能夠通過認(rèn)證。由于接入設(shè)備需要預(yù)先配置為始終允許DHCP報(bào)文通過,這相當(dāng)于在接入設(shè)備上設(shè)置了一個(gè)后門,顯然,該認(rèn)證方式具有一定的安全隱患,例如非法用戶可能將攻擊報(bào)文偽裝成DHCP報(bào)文,對網(wǎng)絡(luò)進(jìn)行攻擊,從而影響到網(wǎng)絡(luò)的安全。而本實(shí)施例中,進(jìn)一步通過在接入設(shè)備與用戶終端之間實(shí)現(xiàn)定時(shí)握手,檢查用戶終端的相關(guān)信息與認(rèn)證服務(wù)器下發(fā)的信息是否一致,來提高網(wǎng)絡(luò)接入和訪問的安全性。這里,通過在上述步驟45之后增加以下步驟以實(shí)現(xiàn)定時(shí)握手步驟46,接入設(shè)備周期性地向所述用戶終端發(fā)送握手請求報(bào)文。這里,所述握手請求報(bào)文可以是EAPoL-Request報(bào)文。步驟47,用戶終端接收到所述握手請求報(bào)文后,將本用戶終端的IP地址和本用戶終端的用戶終端標(biāo)識等信息包含在握手回應(yīng)^^文中,發(fā)送給接入設(shè)備。這里,所述握手回應(yīng)報(bào)文可以是EAPoL-Identify報(bào)文,用戶終端可以將諸如本用戶終端的IP地址、MAC地址和本用戶終端的用戶名等信息發(fā)送給4妄入設(shè)備。步驟48,接入設(shè)備接收所述握手回應(yīng)報(bào)文,判斷所述用戶終端的IP地址,是否與所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址相一致如果一致,則不動作;如果不一致,則關(guān)閉連接所述用戶終端的端口,以禁止認(rèn)證報(bào)文外的其他報(bào)文通過該端口,從而使得該用戶下線。報(bào)文,獲取到所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址等信息。接入設(shè)備還可以根據(jù)上述信息,保存用戶名、用戶終端MAC地址和用戶終端IP地址之間的對應(yīng)關(guān)系;然后,在步驟48中,判斷所述握手回應(yīng)報(bào)文返回的所述用戶終端的用戶名、用戶終端MAC地址和用戶終端IP地址,是否與上述對應(yīng)關(guān)系相一致如果不一致,則關(guān)閉連接所述用戶終端的端口;否則,不動作??梢钥闯?,上述過程中,通過定時(shí)握手,檢查用戶IP地址等信息,從而在發(fā)生用戶終端自行更改MAC/IP地址的情況時(shí),本實(shí)施例能夠及時(shí)強(qiáng)制該用戶終端下線,從而提高了網(wǎng)絡(luò)接入和訪問的安全性。并且,本實(shí)施例中,無需預(yù)先將接入設(shè)備的端口配置為允許通過DHCP報(bào)文,從而避免了現(xiàn)有技術(shù)中在接入設(shè)備上增加后門而帶來的風(fēng)險(xiǎn)?;谏鲜鲈谟脩艚K端認(rèn)證過程中分配IP地址的方法,本實(shí)施例還相應(yīng)地提供了一種在802.1x認(rèn)證過程中使用的認(rèn)證服務(wù)器、接入設(shè)備和用戶終端。如圖5所示,所述認(rèn)證服務(wù)器包括認(rèn)證單元,用于根據(jù)用戶終端的用戶名和密碼等信息對用戶終端進(jìn)行認(rèn)證。對應(yīng)關(guān)系保存單元,用于配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)MAC地址。IP地址分配單元,用于在用戶終端通過所述認(rèn)證單元的認(rèn)證后,根據(jù)所述用戶終端的用戶終端標(biāo)識和所述對應(yīng)關(guān)系保存單元中保存的對應(yīng)關(guān)系,確定所述用戶終端對應(yīng)的IP地址。這里,所述IP地址分配單元,還可以進(jìn)一步用于在用戶終端通過所述認(rèn)證單元的認(rèn)證后,確定所述用戶終端對應(yīng)的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器等信息。文中發(fā)送至接入設(shè)備。這里,所述發(fā)送單元,還可以進(jìn)一步用于將所述IP地址分配單元確定的所述用戶終端對應(yīng)的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器等信息,包含在所述認(rèn)證回應(yīng)報(bào)文中發(fā)送給所述接入設(shè)備。如圖6所示,所述接入設(shè)備包括接收單元,用于接收認(rèn)證服務(wù)器發(fā)送的第一認(rèn)證回應(yīng)報(bào)文。IP地址獲取單元,用于在所述第一認(rèn)證回應(yīng)才艮文指示用戶終端通過認(rèn)證地址。這里,所述IP地址獲取單元,還可以進(jìn)一步用于獲取所述第一認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息。發(fā)送單元,用于將所述IP地址獲取單元獲取到的IP地址攜帶在第二認(rèn)證回應(yīng)報(bào)文中,發(fā)送給所述用戶終端。所述發(fā)送單元,還可以進(jìn)一步用于將所述IP地址獲取單元獲取到的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,包含在所述第二認(rèn)證回應(yīng)報(bào)文中發(fā)送給所述用戶終端。端口控制單元,用于所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),打開連接所述用戶終端的端口,以允許所有報(bào)文通過該端口。為了提高網(wǎng)絡(luò)接入和訪問的安全性,這里,所述接收單元,進(jìn)一步周期性地接收所述用戶終端發(fā)送的自身IP地址和所述用戶終端的用戶終端標(biāo)識。所述端口控制單元,進(jìn)一步用于判斷所述用戶終端的IP地址,是否與所述認(rèn)i正服務(wù)器為所述用戶終端所確定的IP地址相一致如果不一致,則關(guān)閉連接所述用戶終端的端口,以禁止認(rèn)證報(bào)文外的其他才艮文通過該端口。其中,所述用戶終端標(biāo)識具體可以是用戶終端的用戶名或用戶終端的MAC地址。如圖7所示,所述用戶終端包括接收單元,用于接收接入設(shè)備發(fā)送的認(rèn)證回應(yīng)報(bào)文;IP地址配置單元,用于在所述認(rèn)證回應(yīng)才艮文指示本用戶終端通過"人證時(shí),用戶終端獲取所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,并據(jù)此配置自身的IP地址,其中,所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,是認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址。這里,所述IP地址配置單元,進(jìn)一步用于在所述認(rèn)證回應(yīng)報(bào)文指示本用戶終端通過認(rèn)證時(shí),根據(jù)所述認(rèn)證回應(yīng)報(bào)文中包含的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息對自身進(jìn)行相應(yīng)的配置。為了實(shí)現(xiàn)接入設(shè)備和用戶終端之間的定時(shí)握手功能,以提高用戶接入和訪問的安全性,這里,所述用戶終端還可以包括有發(fā)送單元,用于周期性地將自身IP地址和本用戶終端的用戶終端標(biāo)識,發(fā)送給所述接入設(shè)備。綜上所述,本發(fā)明實(shí)施例所述在用戶終端認(rèn)j正過程中分配IP地址的方法及設(shè)備,通過認(rèn)證服務(wù)器在用戶認(rèn)證通過時(shí)直接為用戶終端分配IP地址,從而簡化了認(rèn)證過程,且無需在網(wǎng)絡(luò)中部署DHCP服務(wù)器。并且,本實(shí)施例中還在接入設(shè)備和用戶終端之間的定時(shí)握手,檢查用戶終端的IP地址等信息是否與認(rèn)證服務(wù)器所確定的相關(guān)信息一致,來提高網(wǎng)絡(luò)接入和訪問的安全性。本發(fā)明所述在用戶終端認(rèn)證過程中分配IP地址的方法及i殳備,并不僅僅限于說明書和實(shí)施方式中所列運(yùn)用,它完全可以被適用于各種適合本發(fā)明之領(lǐng)域,對于熟悉本領(lǐng)域的人員而言可容易地實(shí)現(xiàn)另外的優(yōu)點(diǎn)和進(jìn)行修改,因此在不背離權(quán)利要求及等同范圍所限定的一般概念的精神和范圍的情況下,本發(fā)明并不限于特定的細(xì)節(jié)、代表性的設(shè)備和這里示出與描述的圖示示例。權(quán)利要求1.一種在認(rèn)證服務(wù)器上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,其特征在于,包括認(rèn)證服務(wù)器配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)關(guān)系;認(rèn)證服務(wù)器對用戶終端進(jìn)行認(rèn)證,在認(rèn)證通過后,根據(jù)所述用戶終端的用戶終端標(biāo)識和所述對應(yīng)關(guān)系,確定所述用戶終端對應(yīng)的IP地址,并將所述IP地址攜帶在認(rèn)證回應(yīng)報(bào)文中發(fā)送至接入設(shè)備。2.如權(quán)利要求1所述的方法,其特征在于,所述用戶終端標(biāo)識為用戶終端的用戶名或MAC地址。3.如權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證服務(wù)器對用戶終端進(jìn)行認(rèn)證是認(rèn)證服務(wù)器根據(jù)所述用戶終端的用戶名和密碼,對所述用戶終端進(jìn)行認(rèn)證。4.如權(quán)利要求l所述的方法,其特征在于,所述認(rèn)證服務(wù)器是遠(yuǎn)程認(rèn)證拔號用戶服務(wù)RADIUS服務(wù)器,所述認(rèn)證回應(yīng)4艮文是RADIUS認(rèn)證回應(yīng)才艮文;或者,所述認(rèn)證服務(wù)器是終端訪問控制器訪問控制系統(tǒng)TACACS服務(wù)器,所述認(rèn)證回應(yīng)報(bào)文是TACACS認(rèn)證回應(yīng)報(bào)文。5.如權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證服務(wù)器進(jìn)一步確定所述用戶終端對應(yīng)的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,并將上述信息包含在所述認(rèn)證回應(yīng)才艮文中發(fā)送給所述接入設(shè)備。6.—種在接入設(shè)備上實(shí)施在用戶終端認(rèn)證過程中分配IP地址的方法,其特征在于,包括接入設(shè)備接收認(rèn)證服務(wù)器發(fā)送的第一認(rèn)證回應(yīng)報(bào)文;在所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),接入設(shè)備從所述第一接入設(shè)備將所述IP地址攜帶在第二認(rèn)證回應(yīng)報(bào)文中,發(fā)送給所述用戶終端。7.如權(quán)利要求6所述的方法,其特征在于,所述接入設(shè)備進(jìn)一步獲取所述第一認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址掩碼、默認(rèn)網(wǎng)關(guān)和域名服務(wù)器信息,并將上述信息包含在所述第二認(rèn)證回應(yīng)報(bào)文中發(fā)送給所述用戶終端。8.如權(quán)利要求6所述的方法,其特征在于,在所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),所述接入設(shè)備進(jìn)一步打開連接所述用戶終端的端口。9.如權(quán)利要求8所述的方法,其特征在于,還包括接入設(shè)備周期性地接收所述用戶終端發(fā)送的自身IP地址和用戶終端標(biāo)識;接入設(shè)備判斷所述用戶終端的IP地址,是否與所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址相一致如果不一致,則關(guān)閉連接所述用戶終端的端D。10.—種在用戶終端認(rèn)證過程中分配IP地址的方法,其特征在于,包括用戶終端接收接入設(shè)備發(fā)送的認(rèn)證回應(yīng)報(bào)文;在所述認(rèn)i正回應(yīng)報(bào)文指示本用戶終端通過認(rèn)證時(shí),用戶終端獲取所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,其中,所述IP地址是認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址;用戶終端根據(jù)獲取到的IP地址配置自身的IP地址。11.如權(quán)利要求IO所述的方法,其特征在于,還包括所述用戶終端進(jìn)一步周期性地將自身IP地址和本用戶終端的用戶終端標(biāo)識,發(fā)送給所述接入設(shè)備。12.—種認(rèn)證服務(wù)器,包括用于對用戶終端進(jìn)行認(rèn)證的認(rèn)證單元,其特征在于,還包括對應(yīng)關(guān)系保存單元,用于配置并保存用戶終端標(biāo)識和IP地址之間的對應(yīng)關(guān)系;IP地址分配單元,用于在用戶終端通過所述認(rèn)證單元的認(rèn)證后,根據(jù)所述用戶終端的用戶終端標(biāo)識和所述對應(yīng)關(guān)系保存單元中保存的對應(yīng)關(guān)系,確定所述用戶終端對應(yīng)的IP地址;文中發(fā)送至接入設(shè)備。13.如權(quán)利要求12所述的認(rèn)證服務(wù)器,其特征在于,所述用戶終端標(biāo)識為用戶終端的用戶名或MAC地址。14.一種接入設(shè)備,其特征在于,包括接收單元,用于接收認(rèn)證服務(wù)器發(fā)送的第一認(rèn)證回應(yīng)報(bào)文;IP地址獲取單元,用于在所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),從所述第一認(rèn)證回應(yīng)報(bào)文中獲取認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址;發(fā)送單元,用于將所述IP地址獲取單元獲取到的IP地址攜帶在第二認(rèn)證回應(yīng)報(bào)文中,發(fā)送給所述用戶終端。15.如權(quán)利要求14所述的接入設(shè)備,其特征在于,還包括端口控制單元,用于所述第一認(rèn)證回應(yīng)報(bào)文指示用戶終端通過認(rèn)證時(shí),打開連接所述用戶終端的端口。16.如權(quán)利要求14所述的接入設(shè)備,其特征在于,所述接收單元,進(jìn)一步周期性地接收所述用戶終端發(fā)送的自身IP地址和用戶終端標(biāo)識;所述端口控制單元,進(jìn)一步用于判斷所述用戶終端的IP地址,是否與所述認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址相一致如果不一致,則關(guān)閉連接所述用戶終端的端口。17.—種用戶終端,其特征在于,包括接收單元,用于接收接入設(shè)備發(fā)送的認(rèn)證回應(yīng)報(bào)文;IP地址配置單元,用于在所述認(rèn)證回應(yīng)報(bào)文指示本用戶終端通過認(rèn)證時(shí),用戶終端獲取所述認(rèn)證回應(yīng)報(bào)文中攜帶的IP地址,并據(jù)此配置自身的IP地址,其中,所述認(rèn)證回應(yīng)才艮文中攜帶的IP地址是認(rèn)證服務(wù)器為所述用戶終端所確定的IP地址。18.如權(quán)利要求17所述的用戶終端,其特征在于,還包括發(fā)送單元,用于周期性地將自身IP地址和本用戶終端的用戶終端標(biāo)識,發(fā)送給所述接入設(shè)備。全文摘要本發(fā)明提供一種在用戶終端認(rèn)證過程中分配IP地址的方法及裝置。其中,所述方法中,認(rèn)證服務(wù)器在用戶終端通過認(rèn)證后,為用戶終端分配IP地址。按照本發(fā)明所述方法及設(shè)備,無需在網(wǎng)絡(luò)中部署DHCP服務(wù)器,從而降低了組網(wǎng)成本。文檔編號H04L29/12GK101217575SQ200810056468公開日2008年7月9日申請日期2008年1月18日優(yōu)先權(quán)日2008年1月18日發(fā)明者張戰(zhàn)成申請人:杭州華三通信技術(shù)有限公司