[发明专利]网络接入方法、装置及系统

权利要求书

1.一种网络接入方法，其特征在于，包括：

认证者接收来自客户端的动态主机配置协议DHCP广播报文，将所述广 播报文转发给配置服务设备；

认证者接收并记录所述配置服务设备返回的第一配置信息，所述第一配置 信息包括所述配置服务设备为所述客户端分配的一个当前未被租借的IP地 址；所述认证者将所述第一配置信息替换为局部配置信息，并将该局部配置信 息发送给所述客户端；

认证者对所述客户端进行本地或远程认证，所述认证基于用户身份认证；

认证成功后，认证者利用记录的所述第一配置信息向配置服务设备发送配 置请求，请求为所述客户端提供会话过程使用的第二配置信息。

2.根据权利要求1所述的方法，其特征在于，所述认证者对客户端进行 本地或远程认证的具体实现为：

确定进行本次认证的认证者；

所述本次认证的认证者通过DHCP报文将挑战握手认证协议CHAP认证 用的挑战字发送给所述客户端；

所述本次认证的认证者接收所述客户端发送的CHAP认证用的挑战字回 复，利用所述CHAP认证用的挑战字、挑战字回复进行所述认证。

3.根据权利要求2所述的方法，其特征在于，所述CHAP认证用的挑战 字直接采用DHCP报文进行携带，所述挑战字回复直接采用DHCP报文进行 携带；或者，

将所述CHAP认证用的挑战字封装为CHAP挑战CHAP Challenge消息报 文，再由DHCP报文进行携带，将所述挑战字回复封装为CHAP回复CHAP Response消息报文，再由DHCP报文进行携带。

4.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

由网络侧或客户端触发进行重认证，所述重认证具体包括：

认证者对所述客户端进行本地或远程认证，所述认证基于用户身份认证；

认证成功后，认证者向配置服务设备发送配置请求，请求为所述客户端提 供会话过程使用的新的第二配置信息；或者

认证成功后，认证者直接将首次认证得到的第二配置信息返回配置给所述 客户端。

5.根据权利要求1所述的方法，其特征在于，在认证成功后，该方法进 一步包括：

网络中的执行点从所述认证者处获得接入控制策略，根据该策略对出入所 述客户端的数据包进行非加密或加密接入过滤。

6.根据权利要求1所述的方法，其特征在于，所述客户端与所述认证者 之间采用DHCP第4版或DHCP第6版所提供的报文实现交互。

7.一种网络接入装置，其特征在于，该装置包括：

认证配置单元，用于接收来自客户端的DHCP广播报文，将所述广播报 文转发给配置服务设备，以及，记录所述配置服务设备返回的第一配置信息， 所述第一配置信息包括所述配置服务设备为所述客户端分配的一个当前未被 租借的IP地址；

认证单元，用于对所述客户端进行本地或远程认证，所述认证基于用户身 份认证，并在认证成功后，利用认证配置单元所记录的所述第一配置信息向配 置服务设备发送配置请求，请求为所述客户端提供会话过程使用的第二配置信 息；

配置信息替换单元，用于将所述第一配置信息替换为局部配置信息。

8. 根据权利要求7所述的装置，其特征在于，该装置进一步包括：

认证结果通知单元，用于：将所述认证结果获知单元所获得的所述认证结 果通知所述客户端；和/或，

控制策略下发单元，用于：在所述装置获知对所述客户端认证通过后，将 对所述客户端的接入控制策略下发给执行点；和/或，

地址释放触发单元，用于接收到地址释放请求后，触发地址分配服务器释 放为客户端所分配的地址资源。