專利名稱:一種ip地址分配方法����、網(wǎng)絡(luò)設(shè)備和認證服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種IP地址分配方法����、網(wǎng)絡(luò)設(shè)備�、認證服務(wù)器和地址分配服務(wù)器,特別是一種基于認證的IP地址分配方法��、網(wǎng)絡(luò)設(shè)備���、認證服務(wù)器和地址分配服務(wù)器���,屬于數(shù)據(jù)通信技術(shù)領(lǐng)域�。
背景技術(shù):
802. lx是一種基于端口的認證協(xié)議���,是一種對用戶進4亍認證的方法和策略。
802. lx客戶端與網(wǎng)絡(luò)設(shè)備認證,通常是為了達到安全管控的目的����,允許身份驗證合格的用戶正常使用網(wǎng)絡(luò),身份驗證不合格的用戶則不允許使用網(wǎng)絡(luò)。
802. lx認證場景如圖1所示��,客戶端接入網(wǎng)絡(luò)時���,^吏用802.1xi人證客戶端通過協(xié)議報文�,把用戶名�、密碼等信息傳給網(wǎng)絡(luò)設(shè)備(一般稱作網(wǎng)絡(luò)接入服務(wù)器,Network Access Server),網(wǎng)絡(luò)i殳備通過遠程用戶撥號認證系統(tǒng)(Remote Authentication Dial In User Service, 筒稱RADIUS)協(xié)議與認證服務(wù)器交互����。
如果認證服務(wù)器認為相應(yīng)的用戶名和密碼匹配正確�,則4巴認證成功信息返回給網(wǎng)絡(luò)設(shè)備��,網(wǎng)絡(luò)設(shè)備則允許相應(yīng)客戶端正常通訊�����;如果認證服務(wù)器認為用戶名密碼匹配錯誤,則反饋認證失敗信息給網(wǎng)絡(luò)設(shè)備�,網(wǎng)絡(luò)設(shè)備則拒絕相應(yīng)客戶端在網(wǎng)絡(luò)上通訊��。
在認證服務(wù)器上��,為了有效組織用戶的認證信息,其內(nèi)部的數(shù)據(jù)庫需要包含"用戶名"���、"密碼"�����、"客戶端媒體訪問控制(Media AccessControl,簡稱MAC)地址"���、"客戶端連接的網(wǎng)絡(luò)設(shè)備IP地址"等"匹
5配信息��,��,��,還有一部分"客戶端授權(quán)使用的IP地址�,,��、"續(xù)費提示信息����,,�����、"廣告發(fā)布信息"等"下發(fā)信息"�����。這些信息一般由管理員手工輸入�����,或通過其他工具軟件批量備份或?qū)搿?br>
在認證過程時��,認證報文中會攜帶部分信息�����,認證力l務(wù)器接收后��,提取出相關(guān)信息與數(shù)據(jù)庫的"匹配信息"進行匹配���、核對�,如果不一致���,則認證失敗����,例如用戶名與密碼不匹配�����。如果匹配成功�����,則認證服務(wù)器々巴相關(guān)"下發(fā)信息"通過認證響應(yīng)報文發(fā)送給網(wǎng)絡(luò)設(shè)備���,網(wǎng)絡(luò)設(shè)備將根據(jù)業(yè)界標(biāo)準或相關(guān)產(chǎn)商約定處理這些下發(fā)信息�。(例如下發(fā)廣告信息����,網(wǎng)絡(luò)設(shè)備則會根據(jù)約定轉(zhuǎn)發(fā)給客戶端���,客戶端收到這類報文字段,就會彈出廣告窗O )
動'態(tài)主才幾分酉己寸辦i義(Dynamic Host Configuration Protocol, 簡-爾DHCP)是一種動態(tài)獲取IP地址的協(xié)議�,具體標(biāo)準可參見RFC 2131。
圖2給出了通過DHCP協(xié)議動態(tài)獲取IP地址的過程����,具體步驟如下
1��、 客戶端首先發(fā)出DHCP請求����,目的IP地址為廣播地址。
2����、 網(wǎng)絡(luò)設(shè)備收到該報文,并在設(shè)備上啟動了 DHCP中繼(DHCP Relay,可以為三層以太網(wǎng)交換機或路由器)功能�、配置了網(wǎng)絡(luò)管理員指定的DHCP服務(wù)器(DHCP Server)。網(wǎng)絡(luò)設(shè)備根據(jù)DHCP標(biāo)準約定�,將DHCP請求以單播報文方式中繼發(fā)送給DHCP服務(wù)器。
3�、 DHCP服務(wù)器收到DHCP請求,根據(jù)DHCP報文���、自身可分配IP地址范圍��、協(xié)議標(biāo)準等信息��,按特定算法綜合選擇出一個IP地址分配給客戶端��,并以DHCP單播報文方式發(fā)送回網(wǎng)絡(luò)設(shè)備����。
4�、 網(wǎng)絡(luò)設(shè)備收到DHCP服務(wù)器的報文后,根據(jù)報文信息����,以廣播方式轉(zhuǎn)發(fā)給客戶端�。
5����、 根據(jù)DHCP協(xié)議約定,上述過程還需要再交互確認一遍��,以便確認IP地址分配正確�����。
目前在地址分配和網(wǎng)絡(luò)訪問控制方面主要存在以下幾個問題
6問題1:無法細化IP地址分配策略�����。在實際應(yīng)用中���,DHCP分配只能 根據(jù)網(wǎng)絡(luò)范圍依次(或隨機)分配IP地址��。
例如某個局域網(wǎng)���,可分配IP地址范圍為192. 168. 0. 2 -192.168.0.200, 192. 168. 0. 1作為該局域網(wǎng)的網(wǎng)關(guān)IP�����。該子網(wǎng)如果有客 戶端發(fā)起DHCP動態(tài)地址分配請求,DHCP服務(wù)器收到請求后只能依次或隨 機分配IP���,而如果IP地址已經(jīng)全部分配出去,后續(xù)申i青地址的客戶端將 無法獲取地址����,從而無法上網(wǎng)。如果該子網(wǎng)里有部分特權(quán)用戶�����,希望能永 久分配到地址�����,則《艮難《故IP地址的預(yù)留����。
問題2:特權(quán)用戶并不集中在某一區(qū)域,而是散落在各個子網(wǎng)����,無法 方便的給予特權(quán)用戶相應(yīng)網(wǎng)絡(luò)4吏用權(quán)限。
從網(wǎng)絡(luò)運營上看,特權(quán)用戶一般可能因收費高低����、身份不同而享有特 定的網(wǎng)絡(luò)使用權(quán)限。但特權(quán)用戶可能分散在各個子網(wǎng)����。例如在企業(yè)網(wǎng)中, 一個部門中只有部門經(jīng)理具有訪問外部網(wǎng)站的權(quán)限�����;在;f交園網(wǎng)中����,可能只 有學(xué)習(xí)干部具有訪問部分校園網(wǎng)站的權(quán)限。
目前業(yè)界內(nèi)有一部分解決方案����,將特權(quán)用戶的MAC地址綁定到DHCP 服務(wù)器上。DHCP服務(wù)器將MAC地址作為索引固定分配相應(yīng)IP給這位特權(quán) 用戶���。此方案能達到"將IP地址預(yù)留給固定MAC地址����,,的目的���,但配置 上較為復(fù)雜和繁瑣�����,服務(wù)器上要有大量的MAC地址與IP地址的綁定列表�����, 并且特權(quán)用戶如果因為設(shè)備損壞、升級等原因而更換����,會引起MAC地址的 更換,從而需要在DHCP服務(wù)器處進行更改��,進而加大了網(wǎng)絡(luò)管理上的復(fù) 雜度��。
另有一部分解決方案��,提出了將認證服務(wù)器的功能與IP地址分配的 功能在同一臺服務(wù)器上實現(xiàn)�,在用戶進行身份認證時也根據(jù)用戶屬性來分 配IP地址。此方案雖然可以按用戶屬性來分配IP地址���,但完全改變了原 有網(wǎng)絡(luò)拓樸的結(jié)構(gòu)�,認證過程與地址分配過程的結(jié)合也改變了現(xiàn)有的網(wǎng)絡(luò) 協(xié)議,從客戶端到網(wǎng)絡(luò)設(shè)備和服務(wù)器均需要做私有協(xié)議的升級支持�,對整個系統(tǒng)需要做很大的改動,此外還可能會引起一些安全方面的問題�。
在網(wǎng)纟各i方問4空制方面,——般通過i方問4空制歹寸表(Access Control List, 簡稱ACL)控制不同IP的網(wǎng)絡(luò)訪問權(quán)限��。
訪問控制列表是網(wǎng)絡(luò)設(shè)備上的 一種功能�����,可以配置成過濾器來控制數(shù) 據(jù)包��,以決定經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包是繼續(xù)向前傳遞到它的目的地還是丟 棄�����。因此�,可以通過訪問控制列表實現(xiàn)特權(quán)用戶的訪問權(quán)限。
但正因為上述問題2所提到的���,用戶IP地址比較分散��,會產(chǎn)生大量 的訪問控制列表���,不僅不方便管理�,還會因為網(wǎng)絡(luò)設(shè)備上訪問控制列表數(shù) 量限制����,而可能達不到預(yù)期效果。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種IP地址分配方法����、網(wǎng)絡(luò)設(shè)備、認證服務(wù)器 和地址分配服務(wù)器�,不改變原有網(wǎng)絡(luò)拓樸,僅通過在原有設(shè)備上進行簡單 的軟件升級或配置更改���,即可實現(xiàn)為特權(quán)用戶預(yù)留特權(quán)IP地址段點,筒 化了網(wǎng)絡(luò)管理����。
為實現(xiàn)上述目的,本發(fā)明提供了一種IP地址分配方法����,所述方法包
括
設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)標(biāo)識的對應(yīng)關(guān)系; 獲取特權(quán)標(biāo)識并根據(jù)特權(quán)標(biāo)識配置特權(quán)IP地址分配規(guī)則���; 網(wǎng)絡(luò)設(shè)備接收包含第一用戶屬性的認證請求報文���,并向認證服務(wù)器發(fā)送��; 認證通過后�,認^L服務(wù)器根據(jù)第一用戶屬性匹配特權(quán)標(biāo)識����,生成包含第
二用戶屬性的用戶信息,將所述用戶信息和匹配到的特權(quán)標(biāo)識發(fā)送給網(wǎng)絡(luò)設(shè)
備����,網(wǎng)絡(luò)設(shè)備保存所述用戶信息和特權(quán)標(biāo)識;
網(wǎng)絡(luò)設(shè)備接收包含第二用戶屬性的地址分配請求報文�����,并根據(jù)第二用戶
屬性匹配特權(quán)標(biāo)識��,將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文中�����,并發(fā)
送給地址分配服務(wù)器�����;
地址分配服務(wù)器根據(jù)地址分配請求報文中的特權(quán)標(biāo)識和特權(quán)IP地址分配規(guī)則匹配得到特權(quán)IP地址,并將所述特權(quán)IP地址通過網(wǎng)絡(luò)設(shè)備發(fā)送給用 戶終端�����。
為了實現(xiàn)上述目的�,本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備包括 信息接收單元�����、用戶信息存儲單元��、特權(quán)標(biāo)識匹配單元�����、特權(quán)標(biāo)識攜帶單元
和信息發(fā)送單元��;
所述信息接收單元用于接收認證服務(wù)器發(fā)來的包含第二用戶屬性的用 戶信息和特權(quán)標(biāo)識�,并發(fā)送給用戶信息存儲單元�;接收包含第二用戶屬性的 地址分配請求才艮文,并發(fā)送給特4又標(biāo)識匹配單元��;
所述用戶信息存儲單元,與信息接收單元連接����,用于存儲包含第二用戶 屬性的用戶信息和特權(quán)標(biāo)識;
所述特權(quán)標(biāo)識匹配單元�,與信息接收單元和用戶信息存儲單元連接,用 于根據(jù)第二用戶屬性匹配得到特權(quán)標(biāo)識�,并發(fā)送給特權(quán)標(biāo)識攜帶單元;
所述特權(quán)標(biāo)識攜帶單元�����,與信息發(fā)送單元和特權(quán)標(biāo)識匹配單元連接�����,用 于將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文中�;
所述信息發(fā)送單元用于將攜帶了特權(quán)標(biāo)識的地址分配請求報文發(fā)送給地 址分配服務(wù)器。
為了實現(xiàn)上述目的���,本發(fā)明又提供了一種認證服務(wù)器��,包括特權(quán)標(biāo)識配 置單元����、特權(quán)標(biāo)識獲耳又單元、用戶信息生成單元和用戶信息發(fā)送單元����,
所述特權(quán)標(biāo)識配置單元用于設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)標(biāo)識的 對應(yīng)關(guān)系;
所述特權(quán)標(biāo)識獲取單元與特權(quán)標(biāo)識配置單元連接�,用于根據(jù)第 一用戶屬 性匹配特權(quán)標(biāo)識,并將匹配到的特權(quán)標(biāo)識發(fā)送給用戶信息發(fā)送單元����;
所述用戶信息生成單元用于生成包含第二用戶屬性的用戶信息,并發(fā)送 給用戶信息發(fā)送單元�����;
所述用戶信息發(fā)送單元與特權(quán)標(biāo)識獲耳又單元和用戶信息生成單元連接�, 用于將所述用戶信息和特權(quán)標(biāo)識發(fā)送給網(wǎng)絡(luò)設(shè)備。
9為了實現(xiàn)上述目的��,本發(fā)明再提供了一種地址分配服務(wù)器����,包括地址分 配規(guī)則設(shè)置單元��,用于獲取特權(quán)標(biāo)識并根據(jù)特權(quán)標(biāo)識配置特權(quán)IP地址分配規(guī)
貝'J;地址分配單元,與地址分配規(guī)則設(shè)置單元連接��,用于根據(jù)地址分配請求
報文中的特權(quán)標(biāo)識和特權(quán)IP地址分配規(guī)則匹配得到特權(quán)IP地址����。
本發(fā)明通過設(shè)定特權(quán)標(biāo)識和特權(quán)IP地址分配井見則,并通過網(wǎng)絡(luò)設(shè)備在地 址分配請求報文中攜帶特權(quán)標(biāo)識���,為特權(quán)用戶分配特權(quán)IP地址���,不需要改 變原有網(wǎng)絡(luò)拓樸,僅通過在原有設(shè)備上進行簡單的軟件升級或配置更改�����, 即可實現(xiàn)為特權(quán)用戶預(yù)留特權(quán)IP地址段點�,筒化了網(wǎng)絡(luò)管理。
圖1為802. lxi人證過程示意圖
圖2為DHCP協(xié)議IP地址獲取過程示意圖
圖3為本發(fā)明一種IP地址分配方法實施例一示意圖
圖4為本發(fā)明一種IP地址分配方法實施例二示意圖
圖5為本發(fā)明一種IP地址分配方法實施例三示意圖
圖6為本發(fā)明一種IP地址分配方法實施例四示意圖
圖7為本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施例一示意圖
圖8為本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施例二示意圖
圖9為本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施例三示意圖
圖10為本發(fā)明一種認證服務(wù)器結(jié)構(gòu)示意圖
圖11為本發(fā)明一種地址分配服務(wù)器結(jié)構(gòu)示意圖
具體實施例方式
本發(fā)明實施例提供了一種IP地址分配方法����、系統(tǒng)和網(wǎng)絡(luò)設(shè)備,用于解 決IP地址分配細化問題和用戶網(wǎng)絡(luò)權(quán)限管理問題����,下面結(jié)合附圖對本發(fā) 明進行具體的說明�。圖3給出了本發(fā)明一種IP地址分配方法實施例一示意圖����,所述方法 包括以下步驟
步驟S1:設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)ID的對應(yīng)關(guān)系。實際設(shè) 置時可以在認證服務(wù)器進行設(shè)置��,也可以在其它設(shè)備上設(shè)置����,認證服務(wù)器在 需要時獲取此對應(yīng)關(guān)系。具體設(shè)置時����,可以使用手動方法對特權(quán)用戶分配特 權(quán)ID,例如由服務(wù)器提供界面給管理員手動輸入,管理員設(shè)置特權(quán)用戶的第 一用戶屬性和特權(quán)ID的對應(yīng)關(guān)系���,例如將部門經(jīng)理對應(yīng)用戶名的特權(quán)ID設(shè) 為100,并將配置結(jié)果保存在認證服務(wù)器的數(shù)據(jù)庫中����。所述第一用戶屬性可 以包括如用戶名等�。
步驟S2:獲取特權(quán)ID并根據(jù)特權(quán)ID配置特權(quán)IP地址分配規(guī)則。具體 可以由DHCP服務(wù)器獲取特權(quán)ID并根據(jù)特權(quán)ID配置特權(quán)IP地址分配規(guī)則�, 也可以由其它設(shè)備進行此操作,DHCP服務(wù)器在需要時獲取此分配規(guī)則��。在 DHCP服務(wù)器上設(shè)置特權(quán)IP分配規(guī)則時可根據(jù)不同的特權(quán)ID,設(shè)定規(guī)則分配 特定的IP地址革殳點。例如特權(quán)ID為100的用戶為部門經(jīng)理�����,則為其分配以 2結(jié)尾的IP地址�,分配的IP地址可以是192. 168. 0. 2�����,不同部門經(jīng)理的特權(quán) ID相同����,分配到的IP地址均以2結(jié)尾。
步驟S3:網(wǎng)絡(luò)設(shè)備接收包含第一用戶屬性的認證請求報文�����,并向認證服 務(wù)器發(fā)送��。
步驟S4:認證通過后��,認證服務(wù)器根據(jù)第一用戶屬性匹配特權(quán)ID,判斷 是否匹配到特權(quán)ID,如果是則執(zhí)行步驟S5��,否則執(zhí)行步驟S6����。所述第一用 戶屬性可選的包括用戶名等����。
步驟S5:生成包含第二用戶屬性的用戶信息�,將所述用戶信息和特權(quán)標(biāo) 識發(fā)送給網(wǎng)絡(luò)設(shè)備,可通過認證響應(yīng)報文來發(fā)送這些信息�����,執(zhí)行步驟S7��。所 述第二用戶屬性可選的包括如用戶終端的MAC地址等���。
步驟S6:認證服務(wù)器按照認證協(xié)議規(guī)范發(fā)送認證響應(yīng)報文���。
步驟S7:網(wǎng)絡(luò)設(shè)備收到這些信息時,保存所述用戶信息和特權(quán)ID��,可存儲在網(wǎng)絡(luò)設(shè)備的信息數(shù)據(jù)庫中�。所述用戶信息可選的包括用戶名、密碼�、用
戶終端的MAC地址等。
步驟S8:網(wǎng)絡(luò)設(shè)備接收包含第二用戶屬性的DHCP請求報文���。 步驟S9:網(wǎng)絡(luò)設(shè)備才艮據(jù)DHCP請求報文中的第二用戶屬性匹配特權(quán)ID�, 判斷是否匹配到特權(quán)ID,如果是則執(zhí)行步驟SIO��,否則執(zhí)行步驟Sll��。所述 網(wǎng)絡(luò)設(shè)備根據(jù)DHCP請求報文中的第二用戶屬性匹配特權(quán)ID可以為根據(jù)用 戶設(shè)備的MAC地址作為索引��,在網(wǎng)絡(luò)設(shè)備的信息數(shù)據(jù)庫中搜索特權(quán)用戶對應(yīng) 的特權(quán)ID����。
步驟S10:網(wǎng)絡(luò)設(shè)備在DHCP請求報文中攜帶匹配得到的特權(quán)ID,并將 DHCP請求報文發(fā)送給DHCP服務(wù)器�,執(zhí)行步驟S12。
在攜帶特權(quán)ID時可使用DHCP的82號選項(Option 82 )字段����。在RFC3046 中,規(guī)定了 DHCP報文中的一種選項���,稱作DHCP中繼代理信息選項(DHCP Relay Agent Information Option),選項號為82 (Option 82),它是 由支持DHCP中繼的設(shè)備對收到的DHCP請求報文附帶上一部分選項信息���, 選項信息的參數(shù)值可以是設(shè)備收到DHCP報文的接口號,或其他鏈路信息 等�����。DHCP報文轉(zhuǎn)發(fā)給服務(wù)器后,服務(wù)器會根據(jù)選項信息進行信息記錄或 IP地址策略分配調(diào)整等�����。使用82號選項符合DHCP協(xié)議標(biāo)準規(guī)定��,因此只 需要在DHCP服務(wù)器端更改配置即可��,但不排除使用其它選項字段也可實現(xiàn)此 功能�����。
步驟S11:網(wǎng)絡(luò)設(shè)備按DHCP協(xié)議規(guī)范��,把請求報文發(fā)送給DHCP服務(wù)器����。
步驟S12: DHCP服務(wù)器查看DHCP請求報文中是否包含特權(quán)ID,如果是 則執(zhí)行步驟S13,否則執(zhí)行步驟S14����。
步驟SI3: DHCP服務(wù)器根據(jù)特權(quán)ID和特權(quán)IP地址分配規(guī)則來查找特權(quán) IP的范圍,從中選擇特權(quán)IP分配給特權(quán)用戶,并將所述特權(quán)IP地址通過網(wǎng) 絡(luò)設(shè)備發(fā)送給用戶終端���,通常通過DHCP響應(yīng)報文來發(fā)送����。
步驟S14: DHCP服務(wù)器分配除特權(quán)IP地址之外的普通IP地址�����,并將普
12通IP地址發(fā)送給用戶����。
在DHCP服務(wù)器上���,為特權(quán)用戶預(yù)留特定的IP地址�,非特權(quán)用戶不能占 用特權(quán)用戶的IP地址�����。
圖4給出了本發(fā)明一種IP地址分配方法實施例二示意圖��,本實施例除了 包括方法實施例一的步驟外�����,還包括以下步驟
步驟S15:網(wǎng)絡(luò)設(shè)備收到DHCP服務(wù)器發(fā)來的特權(quán)IP后,為了防止IP地 址盜用�����,可以4巴DHCP服務(wù)器分配的特權(quán)IP地址與特權(quán)用戶終端的MAC地址 做綁定�����,即在該特權(quán)用戶使用網(wǎng)絡(luò)期間��,此特權(quán)IP地址只能給相應(yīng)特權(quán)用戶 設(shè)備的MAC地址使用����,其他用戶無法使用此特權(quán)IP地址。
圖5給出了本發(fā)明一種IP地址分配方法實施例三示意圖�,本實施例除了 包括方法實施例一的步驟外,還包括以下步驟
S16:網(wǎng)絡(luò)設(shè)備在訪問控制列表ACL中配置特權(quán)IP地址的訪問權(quán)限���。特 權(quán)用戶有了特定的IP地址后��,網(wǎng)絡(luò)管理員可以很方便的通過訪問控制列表等 手段來控制不同用戶的訪問權(quán)限�。例如部門經(jīng)理分配得到的IP地址均以2 結(jié)尾��,在設(shè)定訪問控制列表時,允許IP地址以2結(jié)尾的IP地址訪問一些受 限網(wǎng)絡(luò)站點��,其他IP則不允許訪問�����。具體在配置ACL時��,DHCP服務(wù)器可向 網(wǎng)絡(luò)設(shè)備下發(fā)特權(quán)用戶對應(yīng)的IP地址段點��,管理員設(shè)置相應(yīng)IP地址段點的 訪問權(quán)限�����,或者管理員直接手動輸入對應(yīng)IP地址段點�����,并設(shè)置相應(yīng)的訪問權(quán) 限�。
網(wǎng)絡(luò)管理員還可以根據(jù)需要�����,劃分出多種特權(quán)ID,從而劃分出更多類別 的特權(quán)用戶�����,對不同的特權(quán)用戶給予不同的訪問權(quán)限,進而產(chǎn)生更多的網(wǎng)絡(luò) 安全管理策略�����。
圖6給出了本發(fā)明一種IP地址分配方法實施例四示意圖��,本實施例除了 包括方法實施例一的步驟外��,還包括以下步驟
步驟SI7:網(wǎng)絡(luò)設(shè)備收到DHCP請求報文后�����,如DHCP請求報文中已包含 特權(quán)ID��,則刪除特權(quán)ID���。在本方案中���,特權(quán)ID是核心。為了防止特^又ID欺騙���,網(wǎng)絡(luò)設(shè)備只認可
指定認證服務(wù)器下發(fā)的特權(quán)ID��。因此�����,如果網(wǎng)絡(luò)設(shè)備收到的DHCP請求報文 已經(jīng)包含了特權(quán)ID值��,則說明可能存在異常的"特權(quán)ID欺騙"�,此時應(yīng)將 DHCP請求報文中的特權(quán)ID刪除。
進一步的��,認證服務(wù)器的特權(quán)ID設(shè)定與分配可以與DHCP服務(wù)器的特權(quán) ID與特權(quán)IP地址分配進行關(guān)聯(lián)���,例如可通過認證服務(wù)器與DHCP服務(wù)器的數(shù) 據(jù)庫信息同步��、自動轉(zhuǎn)化進行自動化關(guān)聯(lián)��,如此提升了網(wǎng)絡(luò)管理的簡易性�����, 減少了網(wǎng)絡(luò)管理員在兩個服務(wù)器上來回修訂的維護復(fù)雜性。
本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備��,圖7給出了本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施 例一示意圖�,包括信息接收單元M1�、用戶信息存儲單元M2����、特權(quán)標(biāo)識匹配 單元M3、特權(quán)標(biāo)識攜帶單元M4和信息發(fā)送單元M5��。
信息接收單元M1用于接收認證服務(wù)器發(fā)來的包含第二用戶屬性的用戶 信息和特權(quán)ID,并發(fā)送給用戶信息存儲單元�����;接收包含第二用戶屬性的DHCP 請求報文���,并發(fā)送給特權(quán)標(biāo)識匹配單元���。
用戶信息存儲單元M2,與信息接收單元M1連接���,用于存儲包含第二用 戶屬性的用戶信息和特權(quán)ID����。
特權(quán)標(biāo)識匹配單元M3�,與信息接收單元Ml和用戶信息存儲單元M2連接�, 用于根據(jù)第二用戶屬性匹配得到特權(quán)ID,并發(fā)送給特權(quán)標(biāo)識攜帶單元NM;
特權(quán)標(biāo)識攜帶單元M4,與信息發(fā)送單元M5和特權(quán)標(biāo)識匹配單元M3連接����, 用于將匹配到的特權(quán)ID攜帶在DHCP請求報文中。
特權(quán)標(biāo)識攜帶單元還可以用于在收到DHCP請求才艮文后����,如DHCP請求報 文中已包含特權(quán)ID,則刪除所述特權(quán)ID�����。
信息發(fā)送單元M5用于將攜帶了特權(quán)標(biāo)識的地址分配請求^^文發(fā)送給地 址分配服務(wù)器。
圖8為本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施例二示意圖����,本實施例除了具有網(wǎng)絡(luò) 設(shè)備實施例一的結(jié)構(gòu)特征外��,還包括MAC地址綁定單元M6�����,與信息接收單元Ml連接����,用于收到DHCP服務(wù)器發(fā)送給用戶終端的特權(quán)IP后���,將特權(quán)IP 與所述特權(quán)IP對應(yīng)用戶終端的MAC地址綁定����。
圖9為本發(fā)明一種網(wǎng)絡(luò)設(shè)備實施例三示意圖�����,本實施例除了具有網(wǎng)絡(luò) 設(shè)備實施例一的結(jié)構(gòu)特征外���,還包括訪問控制列表設(shè)置單元M7��,用于在訪 問控制列表中配置特權(quán)IP地址的訪問權(quán)限����。
本實施例不僅限于圖9所示的在網(wǎng)絡(luò)設(shè)備實施例一的基礎(chǔ)上添加訪問控 制列表設(shè)置單元M7的情況�,還包括在網(wǎng)絡(luò)設(shè)備實施例二的基礎(chǔ)上添加訪問控 制列表設(shè)置單元M7。
本發(fā)明又提供了一種認證服務(wù)器��,圖IO給出了認證服務(wù)器的結(jié)構(gòu)示意 圖,包括特權(quán)標(biāo)識配置單元Al��、特權(quán)標(biāo)識獲取單元A2��、用戶信息生成單元 A3和用戶信息發(fā)送單元A4,
特權(quán)標(biāo)識配置單元Al用于設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)標(biāo)識的 對應(yīng)關(guān)系�;
特權(quán)標(biāo)識獲取單元A2與特權(quán)標(biāo)識配置單元Al連接,用于才艮據(jù)第一用戶 屬性匹配特權(quán)標(biāo)識,并將匹配到的特權(quán)標(biāo)識發(fā)送給用戶信息發(fā)送單元A4;
用戶信息生成單元A3用于生成包含第二用戶屬性的用戶信息�����,并發(fā)送給 用戶信息發(fā)送單元A4;
用戶信息發(fā)送單元A4與特權(quán)標(biāo)識獲取單元A2和用戶信息生成單元A3連 接���,用于將所述用戶信息和特權(quán)標(biāo)識發(fā)送給網(wǎng)絡(luò)設(shè)備�����。
本發(fā)明又提供了一種地址分配服務(wù)器��,即一種DHCP服務(wù)器����,圖ll給出 了地址分配服務(wù)器的結(jié)構(gòu)示意圖,包括地址分配規(guī)則設(shè)置單元Bl,用于獲 取特權(quán)ID并根據(jù)特權(quán)ID配置特權(quán)IP地址分配MJ'J;地址分配單元B2���,與 地址分配規(guī)則設(shè)置單元Bl連接,用于根據(jù)地址分配請求報文中的特權(quán)ID和 特權(quán)IP地址分配規(guī)則匹配得到特權(quán)IP地址�。
通過上述實施例可見,本發(fā)明通過設(shè)定特權(quán)標(biāo)識和特權(quán)IP地址分配規(guī) 則��,并通過網(wǎng)絡(luò)設(shè)備在地址分配請求報文中攜帶特權(quán)標(biāo)識���,為特權(quán)用戶分配
15特權(quán)IP地址��,不需要改變原有網(wǎng)絡(luò)拓樸����,僅通過在原有設(shè)備上進行筒單 的軟件升級或配置更改�,即可實現(xiàn)為特權(quán)用戶預(yù)留特權(quán)IP地址段點,簡 化了網(wǎng)絡(luò)管理�����。
本發(fā)明通過特權(quán)ID將特權(quán)用戶與IP地址相關(guān)Jf關(guān),并才艮據(jù)IP地址分 配規(guī)則來設(shè)定訪問控制列表��,從而控制和管理用戶的訪問權(quán)限�����,有效地解 決在動態(tài)地址分配的情況下�,分散在各處的特權(quán)用戶能方便的享有網(wǎng)絡(luò)管 理員給予的網(wǎng)絡(luò)訪問權(quán)限的問題,提升網(wǎng)絡(luò)管理及權(quán)限分配的簡便性�����。
本發(fā)明還通過在網(wǎng)絡(luò)設(shè)備中自動結(jié)合IP地址與MAC地址的綁定�,可 避免IP地址盜用,進而提升網(wǎng)絡(luò)安全性�����。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其 限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明��,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記栽的技術(shù)方案進行修改����,或 者對其中部分技術(shù)特征進行等同替換���;而這些修改或者替換,并不使相應(yīng)技 術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍����。
權(quán)利要求
1. 一種IP地址分配方法,其特征在于��,所述方法包括設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)標(biāo)識的對應(yīng)關(guān)系�����;獲取特權(quán)標(biāo)識并根據(jù)特權(quán)標(biāo)識配置特權(quán)IP地址分配規(guī)則���;網(wǎng)絡(luò)設(shè)備接收包含第一用戶屬性的認證請求報文,并向認證服務(wù)器發(fā)送���;認證通過后��,認證服務(wù)器根據(jù)第一用戶屬性匹配特權(quán)標(biāo)識�����,生成包含第二用戶屬性的用戶信息�,將所述用戶信息和匹配到的特權(quán)標(biāo)識發(fā)送給網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備保存所述用戶信息和特權(quán)標(biāo)識�;網(wǎng)絡(luò)設(shè)備接收包含第二用戶屬性的地址分配請求報文,并根據(jù)第二用戶屬性匹配特權(quán)標(biāo)識���,將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文中����,并發(fā)送給地址分配服務(wù)器��;地址分配服務(wù)器根據(jù)地址分配請求報文中的特權(quán)標(biāo)識和特權(quán)IP地址分配規(guī)則匹配得到特權(quán)IP地址�,并將所述特權(quán)IP地址發(fā)送給網(wǎng)絡(luò)設(shè)備。
2. 根據(jù)權(quán)利要求1所述的IP地址分配方法�����,其特征在于�,所述網(wǎng)絡(luò)設(shè)備接收包含第二用戶屬性的地址分配請求報文后,還包括當(dāng)所述地址分配請求報文中已包含特權(quán)標(biāo)識時���,刪除所述特權(quán)標(biāo)識�����。
3. 根據(jù)權(quán)利要求1所述的IP地址分配方法��,其特征在于���,所述將所述特權(quán)IP地址發(fā)送給網(wǎng)絡(luò)設(shè)備后����,還包括網(wǎng)絡(luò)設(shè)備將特權(quán)IP地址與所述特權(quán)IP對應(yīng)用戶終端的i某體訪問控制MAC地址綁定�����。
4. 根據(jù)權(quán)利要求1所述的IP地址分配方法�,其特征在于,所述將所述特權(quán)IP地址發(fā)送給網(wǎng)絡(luò)設(shè)備后��,還包括網(wǎng)絡(luò)設(shè)備在訪問控制列表中配置特權(quán)IP地址的訪問斥又限���。
5. 根據(jù)權(quán)利要求1-4所述的任一IP地址分配方法,其特征在于��,所述設(shè)置特權(quán)用戶的第一用戶屬性和特權(quán)標(biāo)識的對應(yīng)關(guān)系具體為在認證服務(wù)器上設(shè)置特權(quán)用戶的第 一用戶屬性和特權(quán)標(biāo)識的對應(yīng)關(guān)系���;所述獲取特權(quán)標(biāo)識并根據(jù)特權(quán)標(biāo)識配置特權(quán)IP地址分配規(guī)則具體為地址分配服務(wù)器通過與認證服務(wù)器自動關(guān)聯(lián)來獲取特權(quán)標(biāo)識并配置特權(quán)IP地址分配規(guī)則�。
6. 根據(jù)權(quán)利要求l-4所述任一的IP地址分配方法,其特征在于��,所述將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文中���,具體為將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文的選項字段中�。
7. —種網(wǎng)絡(luò)設(shè)備���,其特征在于�����,包括信息接收單元��、用戶信息存儲單元�����、特權(quán)標(biāo)識匹配單元���、特4又標(biāo)識攜帶單元和信息發(fā)送單元;所述信息接收單元用于接收認證服務(wù)器發(fā)來的包含第二用戶屬性的用戶信息和特權(quán)標(biāo)識���,并發(fā)送給用戶信息存儲單元�����;接收包含第二用戶屬性的地址分配請求報文�,并發(fā)送給特權(quán)標(biāo)識匹配單元;所述用戶信息存儲單元�,與信息接收單元連接,用于存儲包含第二用戶屬性的用戶信息和特權(quán)標(biāo)識���;所述特權(quán)標(biāo)識匹配單元����,與信息接收單元和用戶信息存儲單元連接��,用于根據(jù)第二用戶屬性匹配得到特權(quán)標(biāo)識���,并發(fā)送給特;f又標(biāo)識攜帶單元�;所述特權(quán)標(biāo)識攜帶單元�,與信息發(fā)送單元和特權(quán)標(biāo)識匹配單元連接,用于將匹配到的特權(quán)標(biāo)識攜帶在地址分配請求報文中��;所述信息發(fā)送單元用于將攜帶了特權(quán)標(biāo)識的地址分配請求報文發(fā)送給地址分配服務(wù)器��。
8. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于����,所述特權(quán)標(biāo)識匹配單元還用于在接收的所述地址分配請求報文中已包含特權(quán)標(biāo)識時,刪除所述特權(quán)標(biāo)識�����。
9. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述設(shè)備還包括MAC地址綁定單元��,與信息接收單元連接���,用于將地址分配服務(wù)器發(fā)送給用戶終
10. 根據(jù)權(quán)利要求7-9所述的任一網(wǎng)絡(luò)設(shè)備����,其特征在于�����,所述設(shè)備還包括訪問控制列表設(shè)置單元,用于在訪問控制列表中配置特權(quán)IP地址的訪問權(quán)限��。
11. 一種認證服務(wù)器���,其特征在于����,包括特權(quán)標(biāo)識配置單元����、特權(quán)標(biāo)識 獲取單元、用戶信息生成單元和用戶信息發(fā)送單元��,所述特權(quán)標(biāo)識配置單元用于設(shè)置特權(quán)用戶的第 一用戶屬性和特權(quán)標(biāo)識的對應(yīng)關(guān)系��;所述特權(quán)標(biāo)識獲取單元與特權(quán)標(biāo)識配置單元連接�����,用于根據(jù)第一用戶屬 性匹配特權(quán)標(biāo)識���,并將匹配到的特權(quán)標(biāo)識發(fā)送給用戶信息發(fā)送單元���;所述用戶信息生成單元用于生成包含第二用戶屬性的用戶信息�,并發(fā)送 給用戶信息發(fā)送單元�����;所述用戶信息發(fā)送單元與特權(quán)標(biāo)識獲耳又單元和用戶信息生成單元連接��, 用于將所述用戶信息和特^l標(biāo)識發(fā)送給網(wǎng)絡(luò)i殳備��。
12. —種地址分配服務(wù)器�,其特征在于���,包括地址分配規(guī)則設(shè)置單元�����, 用于獲取特權(quán)標(biāo)識并根據(jù)特權(quán)標(biāo)識配置特權(quán)IP地址分配規(guī)則�����;地址分配單 元���,與地址分配規(guī)則"i殳置單元連接,用于4艮據(jù)地址分配請求才艮文中的特權(quán)標(biāo) 識和特權(quán)IP地址分配規(guī)則匹配得到特權(quán)IP地址�。
全文摘要
本發(fā)明提供了一種IP地址分配方法、網(wǎng)絡(luò)設(shè)備、認證服務(wù)器和地址分配服務(wù)器�,屬于數(shù)據(jù)通信技術(shù)領(lǐng)域。本發(fā)明通過設(shè)定特權(quán)標(biāo)識和特權(quán)IP地址分配規(guī)則�����,并通過網(wǎng)絡(luò)設(shè)備在地址分配請求報文中攜帶特權(quán)標(biāo)識�,為特權(quán)用戶分配特權(quán)IP地址,不需要改變原有網(wǎng)絡(luò)拓撲����,僅通過在原有設(shè)備上進行簡單的軟件升級或配置更改,即可實現(xiàn)為特權(quán)用戶預(yù)留特權(quán)IP地址段點�����,簡化了網(wǎng)絡(luò)管理����。
文檔編號H04L29/12GK101488976SQ20091007879
公開日2009年7月22日 申請日期2009年3月4日 優(yōu)先權(quán)日2009年3月4日
發(fā)明者卓志強 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司