[发明专利]基于DHCP实现用户认证的方法及设备及系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种基于DHCP实现用户认证的方法及设备及系统。

背景技术

在网络通信系统中，提出了IP-Session(IP会话)的概念。所述的IP-Session是由用户通过DHCP(动态主机配置)协议发起，并由IP-Address(IP地址)作为标识的会话。

基于电信网络的可运营和可管理的需求，需要在网络中能够实现对业务会话进行认证、授权和计费等功能，即要求能够对IP-Session进行基于用户身份的安全认证、授权、计费。

目前，在基于DHCP的用户认证处理过程中，主要是将用户的物理线路与用户的身份标识关联起来，即运营商通常根据用户请求来自的物理线路进行认证授权计费。

基于DHCP的用户认证过程应用的网络结构如图1所示，相应的认证处理过程具体包括如下步骤：

步骤1：用户发起DHCP请求；

步骤2：AN(接入节点设备，Access Node)作为L2 DHCP Relay(即二层DHCP中继设备)，在所述的DHCP请求报文中插入用户的物理线路信息，并转发该报文。

步骤3：BNG/BRAS(宽带网关设备)作为DHCP Relay/Proxy(即三层DHCP中继代理)设备获得用户物理线路信息，将用户线路信息与用户身份标识信息(Subscriber-ID)关联起来，通过AAA Client(AAA客户端)向AAA Server(AAA服务器)发起用户身份认证，例如，采用Radius(远程拨号认证)协议进行认证。

步骤4：认证成功后，AAA服务器认证结果相关信息返回给DHCPRelay/Proxy，信息被插入DHCP报文中，发送给DHCP服务器。

步骤5：DHCP服务器根据认证结果，进行相应的地址和其它接入参数的配置。

可以看出，在上述基于DHCP协议的针对用户的认证处理过程中，只能认证到用户线路的粒度。对于一条物理线路下存在的多个DHCP客户端或者多个使用DHCP客户端接入网络的用户则无法实现相应的安全认证，即IP-Session无法实现基于DHCP客户端或者使用DHCP客户端接入网络的用户的会话认证。因而，目前无法满足通信网络的可运营可管理的需求。

发明内容

本发明实施例提供了一种基于DHCP实现用户认证的方法及设备及系统，从而可以对DHCP客户端或者使用DHCP客户端接入网络的用户进行相应的接入认证操作，提高网络的可运营可管理性能。

本发明实施例提供了一种基于DHCP实现用户认证的方法，包括：

动态主机配置协议DHCP中间实体检测到DHCP客户端发送的DHCP报文，并确定是一次新的会话后，则针对发起本次会话的用户，根据DHCP客户端的物理地址发起认证操作的过程。

本发明实施例提供了一种用于实现用户认证的DHCP中间实体，包括认证触发单元和认证处理单元，其中：

认证触发单元，用于在检测到DHCP客户端发送的DHCP报文，且确定是一次新的会话，则触发所述的认证处理单元；

认证处理单元，用于根据DHCP客户端的物理地址发起针对发起新的会话的用户进行认证操作的过程。

本发明实施例提供了一种基于DHCP实现用户认证的系统，包括DHCP客户端，以及用于实现用户认证的DHCP中间实体、DHCP服务器和认证服务器，其中：所述的DHCP中间实体用于转发或代理DHCP服务器与DHCP客户端之间的DHCP安全认证操作，且所述的DHCP中间实体还根据该DHCP客户端的物理地址向认证服务器发起针对该DHCP客户端的认证操作。

由上述本发明实施例提供的技术方案可以看出，本发明实施例的实现可以使得处于同一条物理线路下的DHCP客户端或者使用DHCP客户端接入网络的用户在发起会话过程中，可以由认证服务器对其进行安全认，以保证会话业务的正常进行。因此，本发明实施例可以很好地满足通信网络的可运营可管理的需求。

附图说明

图1为DHCP的用户认证过程应用的网络结构示意图；

图2为本发明实施例中实现认证操作的实施例提供的处理过程示意图；

图3为本发明实施例提供的系统的实施例结构示意图；

图4为本发明实施例提供的DHCP中间实体的实施例一的结构示意图；

图5为本发明实施例提供的DHCP中间实体的实施例二的结构示意图。

具体实施方式