技術領域

本發明涉及網絡數據通信技術領域，具體是涉及一種基于DHCP協議的接入認證方法。

背景技術

在IP網絡中，每個連接Internal的用戶設備都需要分配一個唯一的IP地址。在常見的小型網絡中，IP地址都是由網絡管理員手工分配的，而到了中大型網絡，手工分配地址就變得不太合適了。因此我們必須使用一種高效的地址分配方法，DHCP(Dynamic?Host?Configuration?Protocol，動態主機分配協議)的出現正好解決這個問題。

一般情況下，用戶獲取IP地址接入到網絡中，是需要對接入網絡的用戶進行控制的，用戶在所獲得的訪問網絡權限是由接入服務器控制的，從而保證網絡接入用戶的合法性，特別是在運營商的網絡上，還涉及到一個計費的問題，也是需要解決的。但是由于DHCP協議只是一個地址分配協議，沒有提供接入過程中對接入用戶的控制功能，使得DHCP的接入用戶不需要任何附加條件就可以接入網絡，對網絡的安全和運營商的業務開展都是非常不利的。所以目前運營商開展業務時，IP接入大多都采用DHCP+WEB方式來實現接入管理，這種方法雖然能夠對用戶進行接入管理，但是它的缺陷是需要外部的WEB服務器做支持，用戶每次上線后需要登陸到某個網頁來進行接入認證，此時主機已經通過DHCP協議將IP地址分配出去，所以用戶無需認證就可以得到地址，這對地址資源非常寶貴的運營商來說是一個資源浪費；再一個就是管理報文和業務報文都是一樣的，接入服務器無法區分。由于上述原因無論是接入服務器還是WEB服務器的安全性都非常脆弱，所以需要一種直接在DHCP交互過程時就可完成安全接入認證的處理方式。

發明內容

本發明的所要解決的技術問題就是提出一種基于DHCP協議的接入認證方法，實現在DHCP交互過程中對用戶登錄權限的認證，保證用戶和網絡服務器的安全。

本發明還提出一種基于DHCP協議的接入認證系統。

本發明的基于DHCP協議的接入認證方法是通過以下技術方案予以解決的。

這種基于DHCP協議的接入認證方法包括以下步驟：

a)DHCP客戶端通過接入網絡發送DHCP?DISCOVER(發現)報文；

b)DHCP服務器收到客戶端發送的DHCP發現報文后，按照預定的地址分配策略封裝OFFER(提供)報文，并在OFFER報文中選定的OPTION屬性中插入識別信息，然后將OFFER報文傳遞給DHCP客戶端；

c)DHCP客戶端接收到OFFER報文后，根據OFFER報文中OPTION屬性的識別信息將認證信息寫入REQUEST(請求)報文中選定的OPTION屬性中，并將REQUEST報文發送給DHCP服務器；

d)DHCP服務器對REQUEST報文中OPTION的認證信息進行認證，對于通過認證的DHCP客戶端，DHCP服務器為其分配地址信息，并給予該DHCP客戶端相應的訪問權限，允許其接入網絡。

上述方法與現有技術對比的有益效果是：利用DHCP協議的報文中的一個OPTION屬性，在該屬性中插入用戶名和用戶密碼等認證信息，實現了客戶端與服務器在DHCP交互過程中的認證，僅對合法用戶分配IP地址，避免了非法用戶獲取IP地址，提高了DHCP服務器的效率和安全性。

上述基于DHCP協議的接入認證方法還可以通過以下技術方案予以優化實現。

所述步驟b)通過以下方式實現：b1)DHCP服務器收到客戶端發送的DHCP發現報文后，按照預定的地址分配策略封裝OFFER報文，并在OFFER報文中選定的OPTION屬性中插入挑戰口令，然后將OFFER報文傳遞給DHCP客戶端；所述步驟c)通過以下方式實現：c1)DHCP客戶端接收到OFFER報文后，使用OFFER報文OPTION屬性中的挑戰口令對用戶密碼進行加密，并將用戶名和加密后的密文寫入REQUEST報文中選定的OPTION屬性中，然后將REQUEST報文發送給DHCP服務器；所述步驟d)通過以下方式實現：d1)DHCP服務器讀取REQUEST報文中OPTION屬性信息，對用戶名和加密密文進行認證，對于通過認證的DHCP客戶端，DHCP服務器為其分配地址信息，并給予該DHCP客戶端相應的訪問權限，允許其接入網絡。這種技術方案針對配置了CHAP認證方式的DHCP服務器使用。

上述基于DHCP協議的接入認證方法中，所述步驟c1)中采用MD5算法對用戶密碼進行加密。采用MD5算法安全性好，能更好地保證用戶密碼的安全性。