技術領域

本發明涉及計算機網絡技術，特別是一種寬帶網用戶接入認證管理方法。

背景技術

1、DHCP協議

DHCP協議來源于局域網應用，為了安全性的考慮擴展了OPTION90(RFC3118)以用來進行基于用戶名、用戶口令的認證，但是OPTION90的認證方式因為沒有采用Challenge機制，難于防范重放等攻擊，在實際網絡運營中是不安全的，目前并沒有實際使用的案例，但DHCP也先天的具有部署與網絡拓撲無關的靈活性等一系列優點。

2、PPP協議

PPP協議是目前廣域網上應用最廣泛的協議之一，它的優點在于簡單、具備用戶驗證能力、可以解決IP分配等。但是PPP協議的服務端采用的網關式部署方式極大的限制了網絡結構的靈活性，同時服務端還必須在客戶端上網的全過程內進行PPP報文和IP報文的轉換，使得PPP協議的服務端成為了網絡瓶頸。

3、CHAP協議

CHAP全稱為：Challenge?Handshake?Authentication?Protocol(挑戰握手認證協議)

CHAP協議基本過程是認證者先發送一個隨機挑戰信息給對方，接收方根據此挑戰信息和共享的密鑰信息，使用單向HASH函數計算出響應值，然后發送給認證者，認證者也進行相同的計算，驗證自己的計算結果和接收到的結果是否一致，一致則認證通過，否則認證失敗。這種認證方法的優點即在于密鑰信息不需要在通信信道中發送，而且每次認證所交換的信息都不一樣，可以很有效地避免監聽攻擊。使用CHAP的安全性在于挑戰信息的長度、隨機性和單向HASH算法的可靠性。

新的發明方法將充分結合DHCP和PPP協議的優點，能夠完成安全的基于用戶名密碼的認證、用戶在網狀態的判斷和控制、精確時長采集等功能。

發明內容

本發明的目的是以DHCP協議的先天優勢為基礎，融入PPP協議在認證和會話控通過對DHCP協議服務端和客戶端處理流程的完善完成對用戶的認證、授權和用戶的在網狀態判斷以及控制。

本發明的價值是克服了標準DHCP協議不能夠進行完善的用戶身份認證和不能夠進行用戶會話控制的先天缺陷，同時改變了傳統意義上PPP協議網絡瓶頸的部署和實現方式，充分利用了DHCP協議服務端部署與網絡拓撲無關性的優勢，滿足寬帶接入網絡用戶認證管理電信級的應用，具體特點如下：

1)在認證實現流程上，SESSION?DHCP繼承了PPP的優點，在此方面具有和PPP同等的安全性。

2)在部署方式上，SESSION?DHCP具有標準DHCP的全部先天優勢，因為SESSIONDHCP的認證控制報文與數據報文是分離的，所以認證控制報文能夠被網絡設備RELAY到任何目的地，從而對網絡的拓撲結構沒有任何依賴也不需要改變已有網絡的結構。

3)在可靠性上，SESSION?DHCP的服務端具有完善的冗余熱切互備和負載均衡機制。

4)在統一管理上，SESSION?DHCP可以統一進行管理和控制，包括地址池、地址分配狀態信息、地址分配服務器、認證服務器，易于全網統一規劃和管理，易于進行全網策略調整。

5)在多業務應用支持上：

可以識別終端類型，對不同業務終端分配不同的IP地址，城域網設備可以根據不同的IP地址授予不同的QOS與訪問權限。

可以根據終端所處的物理位置或邏輯子網和終端類型，給不同廠商的不同終端提供自動配置選項。

可以根據不同的終端采取不同的認證方式，靈活選擇例如用戶名密碼、OPTION82、OPTION61等方式自由組合。例如IAD和IPphone就可以不使用用戶名和密碼進行認證，而采用通過校驗終端中燒入的加密串碼和OPTION82的合法性來進行地址分配的認證。

6)在自動業務選擇上，SESSION?DHCP?SERVER在用戶通過認證之后，可以根據用戶預定義的業務屬性將業務標識插入ACK報文中，業務選擇網關解析報文后可以根據用戶業務屬性標識配置相應的帶寬、優先級、訪問權限、數據流向等參數；用戶業務屬性的傳遞也可以在SESSION?DHCP?SERVER和業務選擇網關之間以帶外的方式進行。

7)在擴展性上，整套服務端系統均為軟件結構，升級平滑，易于進行功能擴展。