CN1248447C - 一种宽带网络接入方法 - Google Patents
一种宽带网络接入方法 Download PDFInfo
- Publication number
- CN1248447C CN1248447C CNB021178038A CN02117803A CN1248447C CN 1248447 C CN1248447 C CN 1248447C CN B021178038 A CNB021178038 A CN B021178038A CN 02117803 A CN02117803 A CN 02117803A CN 1248447 C CN1248447 C CN 1248447C
- Authority
- CN
- China
- Prior art keywords
- dhcp
- user terminal
- request message
- network
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种宽带网络接入方法,该方法在用户终端发出DHCP请求报文时,由DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,DHCP服务器为该用户终端分配IP地址,并将IP地址等网络初使化信息记载在DHCP响应报文中,并由DHCP中继服务器将DHCP响应报文转发给用户终端,用户终端获得IP地址进而接入网络,否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;采用本发明可以限制非法用户接入网络,提高了网络接入的安全性。
Description
技术领域
本发明涉及无线网络的接入方法,具体地说涉及宽带无线网络的接入方法。
背景技术
在宽带网络中,如果用户终端发出网络接入请求,则网络中负责IP地址分配的服务器会为该发出网络接入请求的用户终端分配一个互联网(IP)地址,以便用户终端可以接入网络。目前宽带网络中的负责IP地址分配的服务器,即DHCP服务器采用标准的动态主机配置协议(DHCP,Dynamic Host Configuration Protocol),使用户终端在网络接入时可以从DHCP服务器自动获取IP地址等网络初始化信息。在用户终端进行网络接入时,首先由用户终端发出DHCP请求报文申请接入网络,DHCP中继服务器收到该请求报文后,将其中转给DHCP服务器,DHCP服务器收到用户终端的DHCP请求报文后,把分配给用户的IP地址等网络初始化信息记载在DHCP响应报文中,发给DHCP中继服务器,再由DHCP中继服务器将收到的DHCP服务器的DHCP响应报文中转给用户终端,用户终端获得IP地址,从而使该用户终端接入网络。从上述过程可知,采用现有的网络接入方法,只要用户终端发起DHCP请求,无论是非法用户还是合法用户,DHCP服务器都会给用户分配IP地址,这样不仅造成IP地址的浪费,而且给非法用户提供了不用认证、计费就可以上网的机会,更为严重的是如果非法用户恶意地不断发起DHCP请求,将耗尽DHCP服务器地址池中的所有IP地址而无法控制,因此,现有的网络接入方法的安全性较差。
发明内容
本发明的目的在于提供一种安全性较好的宽带网络接入方法,使用该方法可以限制非法用户接入网络。
为达到上述目的,本发明提供的宽带网络的安全接入方法,包括:
(1)用户终端向DHCP中继服务器发出DHCP请求报文;
(2)DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后转步骤(3),否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;
(3)DHCP服务器收到用户终端的DHCP请求报文后,为该用户终端分配IP地址,并将IP地址等网络初始化信息记载在DHCP响应报文中,发给DHCP中继服务器;
(4)DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络。
所述步骤(1)由下述步骤完成:
(A1)用户终端向向网络中的二层接入设备发出DHCP请求报文;
(A2)网络中的二层接入设备将DHCP请求报文转发给DHOP中继服务器。
上述步骤(A1)所述二层接入设备为网络交换机。
上述步骤(A1)还包括:二层接入设备在DHCP请求报文中加入虚拟网络(VLAN)标签,该VLAN标签标识二层接入设备接入用户端口的虚拟网络标识(VLANID)。
上述步骤(2)所述根据报文对用户进行认证和合法性检查通过DHCP请求报文中的VLANID进行。
由于本发明在DHCP中继服务器处通过用户终端发出网络接入请求报文对其进行认证和合法性检查,根据检查结果对用户终端的DHCP请求报文进行过滤,只把合法用户的DHCP请求报文中转给DHCP服务器,这样,弥补了DHCP协议本身的安全性漏洞,在实际实现时无需改动现有的DHCP服务器软件,只需在DHCP中继处进行修改、扩充即可,方便应用;由于本发明可以限制非法用户接入网络,提高了网络接入的安全性。
附图说明
图1是本发明所述方法的第一个实施例流程图;
图2是本发明所述方法的第二个实施例流程图;
图3是带有802.1Q标签头的以太网帧;
图4是包含标签协议标识和标签控制信息的802.1Q标签头。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
目前在宽带接入中,用户终端一般都会通过二层交换设备接入网络,其中最为常见的二层交换设备是支持802.1Q协议(它是由IEEE(电气和电子工程师协会)组织制定的关于如何实现虚拟局域网的一个标准协议)的以太网二层交换机(LANSWITCH,Local Area Network Switch)。所有由LANSWITCH接入的用户终端发出的报文都可以被加上一个特殊的用于用户终端识别的标记,实际中,该标记可以为VLAN(Virtual Local AreaNetwork:虚拟局域网)标签,此VLAN标签标可以唯一标识此用户终端接入LANSWITCH的特定物理接口。因此,网络中的DHCP中继服务器就可以利用这个VLAN标签实现对用户的认证和合法性检查。
图1是本发明所述方法的第一个实施例流程图,该流程通过网络中二层网络设备,即网络交换机、DHCP中继服务器和DHCP服务器实现。如图1所示,在步骤1,用户终端向网络中的网络交换机LANSWITCH发出DHCP请求报文,现有的LANSWITCH通常支持8021.Q协议,用户从接入端口发来的以太网格式的报文经过该交换机都将加上一个VLAN头以标识用户接入的端口位置。按照802.1Q协议封装的报文格式就是在原来的以太网帧头中的源地址后增加了一个802.1Q帧头,之后接原来以太网的长度或类型域,参考图3。该802.1Q标签头包含了标签协议标识(TPID-TagProtocol Identifier),表明这是一个加了802.1Q标签的报文,还包含标签控制信息(TCI-Tag Control Information),上述标签协议标识和标签控制信息参考图4。图4描述的标签头的信息包括:
虚拟网络标识(VLAN Identified,VLANID),这是一个12位的域,指明VLAN的ID,用以指明此报文属于哪一个VLAN,是进行基于端口认证的标识。
规范格式指示(CFI:Canonical Format Indicator),用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式。
优先级(Priority),位指明帧的优先级,用于当交换机阻塞时,优先发送哪个数据包。
由于增加了802.1Q标签头,因此即使用户中断不支持802.1Q,即计算机发送出去的数据包的以太网帧头不包含这些信息,只要经过LANSWITCH后可以由LANSWITCH加上这个VLAN头以对用户进行合法性验证。
基于步骤1,在步骤2网络中的LANSWITCH设备将DHCP请求报文转发给DHCP中继服务器。这样,DHCP中继服务器在步骤3接收用户终端的DHCP请求报文,然后在步骤4通过DHCP请求报文中的VLANID对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后进行步骤6,DHCP服务器接收用户终端的DHCP请求报文,为该用户终端分配IP地址,并将IP地址等网络初始化信息记载在DHCP响应报文中,发给DHCP中继服务器。最后在步骤7,由DHCP中继服务器将收到的DHCP服务器发出的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络;如果步骤4的合法性检查没通过,则在步骤5丢弃该用户终端的DHCP请求报文,终止该用户的网络接入。
图2是本发明所述方法的第二个实施例流程图,该流程通过网络中的DHCP中继服务器和DHCP服务器实现。首先在步骤11,用户终端向DHCP中继服务器发出DHCP请求报文;DHCP中继服务器在步骤12收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器;DHCP服务器在步骤14接收用户终端的DHCP请求报文,为该用户终端分配IP地址,并将IP地址等网络初始化信息记载在DHCP响应报文中,发给DHCP中继服务器;最后在步骤15,DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络,如果在步骤12对用户进行的认证和合法性检查没有通过,则在步骤13丢弃该用户终端的DHCP请求报文,终止该用户的网络接入。
需要说明,如果采用图2的实施方式,为在步骤12对用户进行的认证和合法性检查,需要在步骤11用户终端发出的报文中加入用户识别信息,为此,可以通过用户预先注册的方法确定该信息,这样就可以通过DHCP中继服务器在步骤12对用户进行认证和合法性检查,从而隔离非法用户。
Claims (2)
1、一种宽带网络接入方法,包括:
(1)用户终端向网络中的二层接入设备发出DHCP请求报文,网络中的二层接入设备将DHCP请求报文转发给DHCP中继服务器:所述DHCP为动态主机配置协议;
(2)DHCP中继服务器收到用户终端的DHCP请求报文后,根据报文对用户进行认证和合法性检查,如果检查通过,将该用户终端的DHCP请求报文中转给DHCP服务器,然后转步骤(3),否则丢弃该用户终端的DHCP请求报文,终止该用户的网络接入;
(3)DHCP服务器收到用户终端的DHCP请求报文后,为该用户终端分配IP地址,并将IP地址等网络初始化信息记载在DHCP响应报文中,发给DHCP中继服务器;
(4)DHCP中继服务器将收到的DHCP服务器的DHCP响应报文转发给用户终端,用户终端获得分配给自己的IP地址进而接入网络;
其特征在于:用户终端向网络中的二层接入设备发出DHCP请求报文时,二层接入设备在DHCP请求报文中加入虚拟网络(VLAN)标签,该VLAN标签标识二层接入设备接入用户端口的虚拟网络标识(VLANID)。
2、根据权利要求1所述的宽带网络的接入方法,其特征在于:步骤(2)所述根据报文对用户进行认证和合法性检查通过DHCP请求报文中的VLANID进行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021178038A CN1248447C (zh) | 2002-05-15 | 2002-05-15 | 一种宽带网络接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021178038A CN1248447C (zh) | 2002-05-15 | 2002-05-15 | 一种宽带网络接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1458761A CN1458761A (zh) | 2003-11-26 |
| CN1248447C true CN1248447C (zh) | 2006-03-29 |
Family
ID=29426694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021178038A Expired - Fee Related CN1248447C (zh) | 2002-05-15 | 2002-05-15 | 一种宽带网络接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1248447C (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100334855C (zh) * | 2004-08-17 | 2007-08-29 | 杭州华为三康技术有限公司 | 同步动态主机配置协议中继地址表与服务器地址池的方法 |
| CN101141492B (zh) * | 2005-04-29 | 2014-11-05 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN100388739C (zh) * | 2005-04-29 | 2008-05-14 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN1921496B (zh) * | 2005-08-24 | 2010-04-14 | 中兴通讯股份有限公司 | 一种dhcp客户端识别dhcp服务器的方法 |
| CN100435527C (zh) * | 2005-08-25 | 2008-11-19 | 广东省电信有限公司研究院 | 在以太无源光网络系统中高效视频组播的实现方法 |
| CN1889572B (zh) * | 2006-07-27 | 2010-06-09 | 杭州华三通信技术有限公司 | 因特网协议地址分配方法及动态主机配置协议中继 |
| CN101127600B (zh) * | 2006-08-14 | 2011-12-07 | 华为技术有限公司 | 一种用户接入认证的方法 |
| CN101127630B (zh) * | 2006-08-15 | 2017-04-12 | 华为技术有限公司 | 对对象实例进行管理的方法、装置和系统 |
| CN101145907B (zh) * | 2006-09-11 | 2010-05-12 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| CN101174952B (zh) * | 2006-10-31 | 2010-05-19 | 中兴通讯股份有限公司 | Iptv业务自动认证方法及装置 |
| CN101355474B (zh) * | 2007-07-25 | 2010-09-08 | 华为技术有限公司 | 请求、分配连接点地址的方法及设备 |
| CN101179604B (zh) * | 2007-11-27 | 2011-08-24 | 华为技术有限公司 | 一种mac地址分配的方法、设备及系统 |
| CN101924800B (zh) * | 2009-06-11 | 2015-03-25 | 华为技术有限公司 | 获取DHCPv6服务器IP地址的方法、DHCPv6服务器和DHCPv6通信系统 |
| CN101577738B (zh) * | 2009-06-25 | 2011-08-31 | 杭州华三通信技术有限公司 | 一种地址分配的方法和设备 |
| CN102055637B (zh) * | 2009-11-03 | 2015-06-03 | 中兴通讯股份有限公司 | 宽带网络系统及其实现方法 |
| CN102334310B (zh) * | 2011-07-12 | 2014-02-19 | 华为技术有限公司 | 二层网络设备的开局部署方法、装置与系统 |
| CN103856416B (zh) * | 2012-12-06 | 2017-04-12 | 华为技术有限公司 | 网络接入方法、设备和系统 |
| CN104184615A (zh) * | 2014-08-07 | 2014-12-03 | 惠州学院 | 一种校内实验室的网络管理系统及方法 |
| CN105187400B (zh) * | 2015-08-12 | 2018-04-27 | 莱诺斯科技(北京)股份有限公司 | 一种移动终端安全防护系统与安全防护方法 |
| CN108616884B (zh) * | 2016-11-30 | 2022-01-07 | 上海掌门科技有限公司 | 用于无线接入点连接的方法与设备 |
| CN107743046A (zh) * | 2017-08-21 | 2018-02-27 | 上海源岷投资管理有限公司 | 一种用于乡村沼气的数据采集的无线中继站设备及方法 |
| CN107708200A (zh) * | 2017-08-21 | 2018-02-16 | 上海源岷投资管理有限公司 | 一种用于乡村的多用户沼气数据采集无线基站设备及方法 |
-
2002
- 2002-05-15 CN CNB021178038A patent/CN1248447C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1458761A (zh) | 2003-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1248447C (zh) | 一种宽带网络接入方法 | |
| CN1129272C (zh) | 以太网接入网中的虚拟局域网接入方法 | |
| EP2472824B1 (en) | A method and a device in an IP network | |
| CN1177439C (zh) | 以太网接入应用中代理地址解析协议的方法 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| EP1876754A1 (en) | Method system and server for implementing dhcp address security allocation | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN100546304C (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
| US20090172156A1 (en) | Address security in a routed access network | |
| CN103188680B (zh) | 无线网络的接入方法、装置与dhcp服务端 | |
| CN1487696A (zh) | 一种智能终端管理方法 | |
| US20080192751A1 (en) | Method and system for service provision | |
| CN1243434C (zh) | 基于远程认证的网络中实现eap认证的方法 | |
| CN1437360A (zh) | 通过点对点协议上网的用户获取互联网协议地址的方法 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| JP2001326696A (ja) | アクセス制御方法 | |
| US20060031925A1 (en) | Access control method and apparatus | |
| CN1859440A (zh) | 基于终端标识发放业务的方法 | |
| CN1231847C (zh) | 一种网络设备身份认证装置及方法 | |
| CN1889465A (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| CN1208927C (zh) | 网络设备中基于代理方式接入网络的控制方法 | |
| CN200973108Y (zh) | 实现安全访问的接入设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060329 Termination date: 20180515 |