[发明专利]一种地址分配方法和一种接入控制设备

说明书

技术领域

本发明涉及网络通信技术领域，尤指一种地址分配方法和一种接入控制设备。

背景技术

动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)是目前应用非常广泛的一种协议，能够让客户端设备得以连接到网络上，并获取所需要的配置参数。

图1是现有的DHCP工作原理示意图。如图1所示，动态主机配置过程包括以下步骤：

步骤101，客户端设备以广播方式发送DHCP发现(DHCP-Discover)报文。该DHCP发现报文中携带客户端设备的媒质访问控制MAC地址。

本步骤是发现阶段，即客户端设备寻找DHCP服务器的阶段。

步骤102，接收到DHCP发现报文的DHCP服务器根据IP地址分配的优先次序选出一个IP地址，与其他参数一起通过DHCP提供(DHCP-Offer)报文发送给客户端设备。

本步骤是提供阶段，即DHCP服务器提供IP地址的阶段。由于客户端设备是以广播方式发送DHCP-Discover报文，因此可能会有多个DHCP服务器接收到DHCP-Discover报文提供IP地址。

步骤103，客户端设备从所接收的各DHCP Offer报文中的IP地址中选择一个IP地址，然后以广播方式发送DHCP请求(DHCP-Request)报文，该报文中包含所选择的IP地址。

本步骤是选择阶段，即客户端设备选择IP地址的阶段。

步骤104，接收到DHCP请求报文的DHCP服务器判断其中包含的IP地址是否是自己分配的IP地址；如果不是，则不做处理；如果是，则进一步确认是否将该IP地址分配给客户端，是则向客户端设备返回DHCP确认(DHCP-ACK)报文，否则向客户端设备返回DHCP拒绝(DHCP-NAK)报文。

本步骤是确认阶段，即DHCP服务器确认IP地址的阶段。如果返回的是DHCP-ACK报文则确认将地址分配给客户端设备，如果返回的是DHCP-NAK报文则表示该地址不能分配给客户端设备。

但是，在上述的动态主机配置过程中存在一个很大的缺陷：如果客户端设备恶意地不断地用不同的MAC地址去申请IP地址，则DHCP服务器会不断地给它分配IP地址，这样，在很短的时间内，DHCP服务器的地址池内的地址就会被耗尽，全部被这个恶意的客户端设备所占用，而其他合法的客户端设备就分配不到IP地址，无法正常工作。这就是DHCP地址耗尽攻击。

发明内容

本发明提供了一种地址分配方法，该方法能够从根本上杜绝DHCP地址耗尽攻击。

本发明还提供了接入控制设备，该接入控制设备能够从根本生杜绝DHCP地址耗尽攻击。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明公开了一种地址分配方法，该方法包括：

接入控制设备作为中间设备协助认证服务器对客户端设备进行802.1x认证；

接入控制设备在接收到认证服务器发送的802.1x认证通过报文时，根据客户端设备的媒质访问控制MAC地址发起动态主机配置协议DHCP流程，从DHCP服务器获得为客户端设备分配的IP地址；

接入控制设备将所获得的IP地址携带在802.1x认证成功报文中发送给客户端设备；

进一步地，该方法进一步包括：

接入控制设备根据802.1x认证过程以及DHCP流程中获取的信息生成保存有MAC地址、IP地址和端口之间对应关系的映射表，所述映射表用于根据该映射表中的对应关系识别MAC地址欺骗报文和IP地址欺骗报文。

本发明还公开了一种接入控制设备，该接入控制设备是客户端设备和认证服务器的中间设备，该接入控制设备包括：802.1x认证模块和DHCP处理模块，其中，

802.1x认证模块，用于协助认证服务器对客户端设备进行802.1x认证，并在接收到认证服务器发送的802.1x认证通过报文时，将客户端设备的MAC地址发送给DHCP处理模块；然后在接收到DHCP处理模块返回的IP地址时，将该IP地址携带在802.1x认证成功报文中发送给客户端设备；

DHCP处理模块，用于根据所接收的客户端设备的MAC地址发起DHCP流程，从DHCP服务器获得为客户端设备分配的IP地址，并将所获得的IP地址发送给802.1x认证模块；

该接入控制设备进一步包括：识别模块；