專利名稱:Dhcp+客戶端模式的寬帶接入的管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)����,特別是一種寬帶網(wǎng)用戶接入管理方法。
背景技術(shù):
DHCP協(xié)議來源于局域網(wǎng)應(yīng)用���,目前在電信級(jí)網(wǎng)絡(luò)內(nèi)采用DHCP協(xié)議進(jìn)行寬帶管理主要有三種方式(1)DHCP擴(kuò)展協(xié)議����;(2)DHCP+Web��,其中1��、DHCP擴(kuò)展協(xié)議在RFC-2132和RFC3118等規(guī)范文檔中均規(guī)定利用DHCP協(xié)議的擴(kuò)展屬性來攜帶用戶的身份信息,從而實(shí)現(xiàn)對(duì)用戶的認(rèn)證授權(quán)�。但是DHCP協(xié)議中制定的4種消息及其工作原理無法有效地和精確地解決對(duì)用戶的在線狀態(tài)的識(shí)別和控制。因此��,這種方法很難實(shí)現(xiàn)對(duì)用戶的精確計(jì)費(fèi)��。到目前為止��,DHCP擴(kuò)展協(xié)議還沒有在電信級(jí)網(wǎng)絡(luò)內(nèi)成功大規(guī)模的案例����。
2����、DHCP+WebDHCP+Web是為了適應(yīng)網(wǎng)絡(luò)發(fā)展的需要而對(duì)傳統(tǒng)的DHCP協(xié)議進(jìn)行了改進(jìn),主要增加了認(rèn)證能�����,即DHCP服務(wù)器在將配置參數(shù)發(fā)給用戶之前必須將用戶名和密碼送往Radius的認(rèn)證服務(wù)器進(jìn)行認(rèn)證��,通過認(rèn)證后才將配置信息發(fā)給用戶�����。而且,服務(wù)器只是在獲得IP配置信息階段起作用����,以后的通信完全不經(jīng)過它。
DHCP+Web一般有兩種方法����,第一種方法是一次IP地址分配,具體步驟如圖1所示1)用戶主機(jī)上電啟動(dòng)系統(tǒng)程序根據(jù)配置通過DHCP由寬帶接入服務(wù)器進(jìn)行DHCP-Relay����,向DHCP Server要IP地址,私網(wǎng)或公網(wǎng)���。
2)寬帶接入服務(wù)器為該用戶構(gòu)造對(duì)應(yīng)表項(xiàng)信息基于端口號(hào)IP地址�,添加用戶ACL��。
3)服務(wù)策略����,使用戶只能訪問Portal Server等內(nèi)部服務(wù)器及個(gè)別外部服務(wù)器如DNS。
4)寬帶接入服務(wù)器將用戶強(qiáng)制連接到Portal Server����,并在瀏覽器中彈出認(rèn)證頁面�,在該頁面中用戶輸入帳號(hào)和口令并單擊log in按鈕或不輸入由帳號(hào)和口令直接單擊上網(wǎng)按鈕�����。
5)該按鈕啟動(dòng)Portal Server上的Java程序�,將用戶信息IP地址、帳號(hào)和口令送給寬帶接入服務(wù)器�。
6)寬帶接入服務(wù)器利用IP地址,將收到的用戶信息進(jìn)行合法性檢查�。如果用戶輸入了帳號(hào)則認(rèn)為是卡號(hào)用戶,使用用戶輸入的帳號(hào)和口令到Radius Server進(jìn)行認(rèn)證�����;如果用戶未輸入帳號(hào)則認(rèn)為用戶為固定用戶���,寬帶接入服務(wù)器利用Vlan ID查用戶表得到用戶帳號(hào)和口令,將帳號(hào)送到Radius Server進(jìn)行認(rèn)證�����。
7)Radius Server返回認(rèn)證結(jié)果給網(wǎng)絡(luò)設(shè)備�。
8)認(rèn)證通過后修改該用戶的ACL,使用戶可以訪問Internet或特定的外部網(wǎng)絡(luò)服務(wù)�����。
9)用戶離開網(wǎng)絡(luò)前連接到Portal Server,單擊斷網(wǎng)按鈕�����,系統(tǒng)停止計(jì)費(fèi)刪除用戶的ACL和轉(zhuǎn)發(fā)信息�,限制用戶不能訪問外部網(wǎng)絡(luò)。
一次IP地址分配的方法的關(guān)鍵特征在于它依賴三層網(wǎng)絡(luò)設(shè)備的訪問控制列表(ACL)來定義每個(gè)IP訪問的權(quán)限����。但受限三層網(wǎng)絡(luò)設(shè)備的處理能力,訪問控制列表的規(guī)則不能配置得過于復(fù)雜���。包括思科����、華為在內(nèi)的主流廠商生產(chǎn)的設(shè)備的三層設(shè)備均僅支持有限規(guī)則配置�,這極大地影響了該方法對(duì)于寬帶接入業(yè)務(wù)的功能特性。
更為重要的是�����,在一次地址分配方法中�,客戶端程序不能識(shí)別DHCP服務(wù)器的真?zhèn)?��。該方法必須依賴其他網(wǎng)絡(luò)技術(shù),例如VLAN技術(shù)�����,將每個(gè)用戶隔離在單獨(dú)的網(wǎng)段中�,這才能避免非法DHCP服務(wù)器的干擾。這種方法的缺點(diǎn)在于網(wǎng)絡(luò)施工量較大�,而且對(duì)于網(wǎng)絡(luò)設(shè)備的負(fù)載有很高要求。
第二種方法是二次IP地址分配�,具體步驟如圖2所示1)客戶端程序向DHCP服務(wù)器發(fā)出地址分配請(qǐng)求;2)DHCP服務(wù)器收到請(qǐng)求后為該客戶端程序分配私網(wǎng)IP地址���,并且給這個(gè)私網(wǎng)IP地址設(shè)定了一個(gè)較短的有效使用時(shí)間����。
3)客戶端程序根據(jù)得到的私網(wǎng)IP地址訪問認(rèn)證服務(wù)器�����,進(jìn)行合法性認(rèn)證��。
4)認(rèn)證通過后����,當(dāng)私網(wǎng)IP地址過期,客戶端利用DHCP協(xié)議發(fā)起地址續(xù)租時(shí)從DHCP服務(wù)器獲得公網(wǎng)IP地址����。
5)客戶端程序利用公網(wǎng)IP訪問互聯(lián)網(wǎng)資源。
二次IP地址分配的方法雖然解決了一次地址分配方法中對(duì)訪問控制列表(ACL)的依賴��,但仍然沒有解決防偽DHCP服務(wù)器的問題��。因此����,此方法還必須依賴其他網(wǎng)絡(luò)技術(shù),例如VLAN技術(shù)�����,將每個(gè)用戶隔離在單獨(dú)的網(wǎng)段中���,這才能避免非法DHCP服務(wù)器的干擾��。這種方法的缺點(diǎn)在于網(wǎng)絡(luò)施工量較大����,而且對(duì)于網(wǎng)絡(luò)設(shè)備的負(fù)載有很高要求。
發(fā)明內(nèi)容
本發(fā)明的目的是在DHCP+客戶端方式的基礎(chǔ)上�����,克服現(xiàn)有技術(shù)的缺陷���,提供一套完整����、低成本����、高穩(wěn)定性的寬帶用戶接入管理方法。該方法利用DHCP協(xié)議和單獨(dú)的會(huì)話機(jī)制協(xié)同完成對(duì)用戶的認(rèn)證���、授權(quán)和用戶的在網(wǎng)狀態(tài)判斷�����。
本發(fā)明的另一價(jià)值是基本上克服傳統(tǒng)意義上DHCP+Web的局限性�����,通過客戶端程序自主識(shí)別DHCP服務(wù)器�����,可以防止非法DHCP服務(wù)器的干擾和破壞��,從而大大降低了對(duì)網(wǎng)絡(luò)環(huán)境的要求����,滿足電信級(jí)的應(yīng)用����。
為達(dá)到上述目的,本發(fā)明的技術(shù)解決方案是基于DHCP+客戶端模式����。該方法是利用DHCP協(xié)議為客戶端分配IP地址,并且同時(shí)在服務(wù)端程序與客戶端程序之間建立一個(gè)獨(dú)立于DHCP協(xié)議外的會(huì)話機(jī)制來實(shí)現(xiàn)用戶的認(rèn)證和授權(quán)�����,以及用戶的在網(wǎng)狀態(tài)判斷�。
所述的寬帶網(wǎng)用戶接入管理方法,其利用DHCP協(xié)議�,在用戶認(rèn)證通過或者下網(wǎng)之后,強(qiáng)制用戶釋放地址,重新獲取地址���,以此來改變用戶地址��。
所述的寬帶網(wǎng)用戶接入管理方法����,還在于客戶端程序可以根據(jù)DHCP服務(wù)器返回的消息中帶有的網(wǎng)絡(luò)屬性來主動(dòng)識(shí)別合法的和非法的DHCP服務(wù)器����,并且僅響應(yīng)合法DHCP服務(wù)器。
所述的寬帶網(wǎng)用戶接入管理方法����,該會(huì)話機(jī)制的特征在于通過“心跳”報(bào)文機(jī)制來判定用戶的在網(wǎng)狀態(tài)?����!靶奶眻?bào)文的發(fā)送周期由服務(wù)端程序來確定�。當(dāng)在約定一個(gè)或幾個(gè)周期內(nèi)任何一方?jīng)]有收到對(duì)方的心跳”報(bào)文,它們都會(huì)判定本次會(huì)話失效����。判定會(huì)話失效的周期為由服務(wù)端程序來確定。當(dāng)服務(wù)端程序判定會(huì)話失效后會(huì)主動(dòng)釋放已經(jīng)分配給該客戶端程序的IP地址;當(dāng)客戶端程序判定會(huì)話失效后會(huì)主動(dòng)申請(qǐng)獲得受限IP地址����。
所述的寬帶網(wǎng)用戶接入管理方法��,會(huì)話存活的周期是用戶上網(wǎng)的整個(gè)周期���。當(dāng)客戶端程序認(rèn)證授權(quán)后���,會(huì)話開始生效。當(dāng)用戶下線后�����,該會(huì)話失效�����。系統(tǒng)自身提供了用戶管理功能�����,可以獨(dú)立使用����,同時(shí)提供了二次開發(fā)接口����,可以與其他的計(jì)費(fèi)平臺(tái)配合使用�。會(huì)話的開始時(shí)間和結(jié)束時(shí)間將作為該用戶的上網(wǎng)記錄,傳遞給計(jì)費(fèi)系統(tǒng)����。
本發(fā)明作為接入管理方法,在不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)?���、基本不影響網(wǎng)絡(luò)性能的情況下,通過軟件完成寬帶用戶的接入���、管理��;該方法提供了一種可伸縮的結(jié)構(gòu)�����,可以滿足不同級(jí)別的應(yīng)用�����;是一個(gè)高穩(wěn)定的結(jié)構(gòu)�,每個(gè)模塊可以部署在多臺(tái)服務(wù)器上,模塊之間任務(wù)自動(dòng)分配����,實(shí)現(xiàn)了任務(wù)在各個(gè)模塊之間的平滑轉(zhuǎn)移,理論上����,增加啟動(dòng)模塊的數(shù)目���,就意味著處理能力的增加����,所以本方法可以作為一個(gè)電信級(jí)別的應(yīng)用��。
圖1DHCP+Web第一次IP地址分配方法的上下網(wǎng)流程��;圖2DHCP+Web第二次IP地址分配方法的上下網(wǎng)流程�;圖3用戶正常上下網(wǎng)流程;圖4防非法DHCP服務(wù)器流程��。
具體實(shí)施例方式
本發(fā)明寬帶網(wǎng)用戶接入管理方法的接入系統(tǒng)分為服務(wù)端和客戶端兩部分����,是一個(gè)分布式體系結(jié)構(gòu)的軟件系統(tǒng)�,具有任務(wù)負(fù)載均衡功能�����、系統(tǒng)熱備份功能����,完全滿足電信級(jí)應(yīng)用。
1���、服務(wù)器程序部分服務(wù)器程序包括DHCP服務(wù)器���、會(huì)話服務(wù)器(支持ECP會(huì)話協(xié)議的服務(wù)器程序)、任務(wù)分配模塊�����、路由器管理模塊�、路由器控制模塊、授權(quán)(AUTHORIZATION)模塊����、認(rèn)證(AUTHENTICATION)模塊��、時(shí)長采集模塊和監(jiān)控模塊����。
其中a)DHCP服務(wù)器模塊的功能DHCP弱化為一個(gè)接收器�,接收DHCP請(qǐng)求,具體的分配操作由認(rèn)證和授權(quán)模塊完成����。
b)會(huì)話服務(wù)器該會(huì)話服務(wù)器實(shí)現(xiàn)客戶端程序與服務(wù)端程序之間的認(rèn)證、授權(quán)信息的傳遞�����,“心跳”信息的傳遞����,并能夠通過接受客戶端發(fā)送的“心跳”信息來實(shí)現(xiàn)對(duì)客戶端程序狀態(tài)的監(jiān)控���。該會(huì)話服務(wù)器是通過一種自定義的協(xié)議--ECP協(xié)議來通信的����。
c)任務(wù)分配模塊任務(wù)分配模塊完成任務(wù)的分配和分發(fā)兩個(gè)功能�,它即是一個(gè)分配器����,也是一個(gè)適配器��,任務(wù)分配模塊可以重復(fù)啟動(dòng)多次���,每個(gè)任務(wù)分配模塊都可以完成相同的任務(wù)��,對(duì)于調(diào)用者而言�����,任務(wù)分配模塊是透明的����。但由于各個(gè)任務(wù)分配模塊之間要保證狀態(tài)信息的同步���,所以它們之間通過一個(gè)共享鎖完成模塊之間的同步����,主要的功能有(1)接收后臺(tái)模塊發(fā)送的注冊信息�����,或注銷信息,及時(shí)更新后臺(tái)模塊信息��。
(2)根據(jù)后臺(tái)模塊數(shù)量�,劃分后臺(tái)模塊集群,規(guī)定集群處理的任務(wù)�,集群之間處理的任務(wù)沒有重疊,所有集群處理的任務(wù)總和必須囊括所有任務(wù)���。例如��,任務(wù)的劃分可以按路由器或MAC地址等方式來劃分����。
(3)不轉(zhuǎn)發(fā)任何消息��,而是提供接口���,獲取處理某個(gè)任務(wù)的后臺(tái)模塊注冊名。
d)路由器管理模塊完成設(shè)備管理的功能(1)增加邊緣三層設(shè)備��;(2)修改邊緣三層設(shè)備�����;(3)移除邊緣三層設(shè)備;(4)查詢邊緣三層設(shè)備���。
其他模塊需要路由器信息的時(shí)候�,都是通過路由器管理模塊獲取����,不直接從數(shù)據(jù)庫中讀取,由于路由器管理模塊不保存任何狀態(tài)信息���,所以是無狀態(tài)模塊�����。
e)路由器控制模塊完成對(duì)各種類型邊緣路由器的控制操作�,主要完成以下兩個(gè)功能�,(1)查詢邊緣路由器ARP表功能實(shí)時(shí)查詢邊緣路由器的ARP表,獲取當(dāng)前活動(dòng)的IP-MAC地址對(duì)數(shù)據(jù)和端口地址數(shù)據(jù)�����,并將數(shù)據(jù)送入監(jiān)控模塊����;(2)設(shè)置邊緣路由器ARP表功能接收監(jiān)控模塊送來的IP-MAC地址對(duì)數(shù)據(jù)���,并設(shè)置邊緣路由器的靜態(tài)ARP表。路由器管理模塊也是無狀態(tài)模塊����。
f)授權(quán)(AUTHORIZATION)模塊執(zhí)行具體的分配策略,MAC地址權(quán)限的認(rèn)定由認(rèn)證模塊完成���,根據(jù)認(rèn)證模塊返回的認(rèn)證信息��,完成IP地址的分配�?����?紤]到模塊的熱備份���,數(shù)據(jù)庫中保存相對(duì)穩(wěn)定的信息�,由于數(shù)據(jù)的備份和時(shí)長采集入庫時(shí)候記錄與帳戶的對(duì)應(yīng)�,具體分配策略如下(1)模塊分配地址完畢��,將分配的信息(MAC/IP/ROUTERIP/ACCESSKEY/ACCOUNT)記錄到數(shù)據(jù)庫中。
(2)MAC地址請(qǐng)求分配地址�����,如果有緩存信息����,且MAC/ROUTERIP/ACCESSKEY/ACCOUNT都相同,則使用緩存的IP地址信息���;如果沒有�,先試圖分配一個(gè)從沒有使用過的IP地址����;如果有閑置的IP地址,則選擇最早釋放的地址分配�。
(3)模塊分配IP地址之后,先檢測IP是否在黑名單中�,如果在,則設(shè)置靜態(tài)ARP���,然后再返回調(diào)用者�����。
(4)釋放IP地址的同時(shí)�,要清除路由器上的ARP信息,否則��,就會(huì)被MONITOR錯(cuò)誤的認(rèn)為是非法的IP地址���,而將其列入黑名單��。
(5)由于監(jiān)控模塊MONITOR的存在�����,為了保證不封掉正確的IP地址(IP地址已經(jīng)釋放���,但還沒有及時(shí)從路由器上清除),所以在調(diào)用FINDIPBYROUTER的時(shí)候���,返回的地址包含正在使用的ARP信息和在一定釋放時(shí)間之內(nèi)的釋放信息��。
(6)模塊需要獲取并保存的信息如下MAC地址(DHCP模塊傳遞過來的參數(shù))���,權(quán)限信息和帳戶信息(調(diào)用AUTHENTICATION模塊接口獲取,和用戶類型)���,相應(yīng)的GATEWAY(根據(jù)權(quán)限信息和RELAY--HOST信息共同獲取)��。
(7)如果是手工登陸用戶�����,而權(quán)限不是網(wǎng)內(nèi)地址權(quán)限的時(shí)候��,需要向TC模塊發(fā)送一條信息�,增加一條時(shí)長采集的輪巡信息�����。
(8)由于多個(gè)DHCP服務(wù)器的存在���,同一個(gè)MAC可能有多個(gè)DHCP的請(qǐng)求分配信息�����,只處理其中的一個(gè)��,而忽略其它DHCP服務(wù)器的請(qǐng)求��;或者DHCP在確定為MAC地址分配信息之后���,再注冊一下����,以確定MAC-IP-DHCP的對(duì)應(yīng)關(guān)系�。
g)認(rèn)證(AUTHENTICATION)模塊客戶開機(jī),完成MAC地址的認(rèn)證����,如果用戶手工登錄,則完成用戶身份的認(rèn)證�����。具體策略如下(1)完成自動(dòng)登陸用戶的MAC地址的認(rèn)證過程�。
(2)手工用戶上網(wǎng)認(rèn)證原先是由AM和TC模塊共同完成,現(xiàn)在將這個(gè)功能轉(zhuǎn)移到認(rèn)證模塊中來成�����,認(rèn)證通過之后�,信息保存在模塊內(nèi)部,不需要將信息保存到數(shù)據(jù)庫中�����。并將MAC地址權(quán)限信息的改變通知DHCP模塊(要求DHCP模塊重新請(qǐng)求分配IP地址)。
(3)接收TC模塊�����,手工登錄下網(wǎng)的信息��,然后將MAC地址權(quán)限信息的改變通知DHCP模塊(DHCP模塊重新請(qǐng)求)���。
h)時(shí)長采集(TC)模塊保存所有的正在上網(wǎng)的,并且登陸的用戶信息�����,用于時(shí)長計(jì)費(fèi)���。將部分認(rèn)證功能剝離到認(rèn)證模塊中去認(rèn)證���,只保留時(shí)長采集的功能。具體策略如下(1)提供接口�����,允許創(chuàng)建時(shí)長采集輪巡記錄(由授權(quán)模塊調(diào)用創(chuàng)建)��。
(2)接收CLIENT發(fā)送的心跳信息,檢測用戶是有在線����。
(3)用戶下網(wǎng)之后,通知認(rèn)證(AUTHENTICATION)模塊��,并將時(shí)長記錄寫入數(shù)據(jù)庫�。
i)監(jiān)控模塊(MONITOR)檢測是否有非法的上網(wǎng)上網(wǎng)用戶(IP盜用),并負(fù)責(zé)將其封掉�����,模塊可以完全監(jiān)控IP地址盜用和部分MAC地址盜用�。具體策略如下(1)通過任務(wù)分配器,獲取任務(wù)分配列表�,直接與授權(quán)模塊打交道,獲取正在使用的MAC-IP信息����。
(2)通過RC模塊,獲取路由器上的MAC-IP信息(ARP信息)�。
(3)如果發(fā)現(xiàn)非法的IP地址,就將其MAC地址設(shè)置成FFFF:FFFF:FFFF或其他MAC地址�����。
監(jiān)控模塊可以設(shè)計(jì)成無狀態(tài)模式,也可以設(shè)計(jì)成有狀態(tài)模式���,變化不是很大�����,可以視具體情況而定�。
2��、客戶端部分傳統(tǒng)意義的寬帶網(wǎng)用戶接入DHCP+web管理模式�,有諸多弊端(1)無法限制帶寬��;(2)受非法DHCP服務(wù)器影響嚴(yán)重�����;(3)用戶開機(jī)時(shí)�,DHCP服務(wù)器工作不正常或者網(wǎng)絡(luò)不正常�,導(dǎo)致用戶無法獲取正確的IP地址,這種情況下��,采用web將無法上網(wǎng)��,但客戶端可以很好的解決這個(gè)問題,所以尤其在網(wǎng)絡(luò)狀況不是很好的情況下�,客戶端的優(yōu)勢更明顯。
根據(jù)本發(fā)明的寬帶網(wǎng)用戶接入管理方法�,其主要事件流程如下1、用戶正常上下網(wǎng)流程����,如圖3所示1)客戶端程序一啟動(dòng),就主動(dòng)向DHCP+服務(wù)器發(fā)送DISCOVER請(qǐng)求��;2)DHCP SERVER接收到DISCOVER請(qǐng)求之后�����,向用戶分配受限IP地址���;3)客戶端程序通過會(huì)話消息向服務(wù)端程序發(fā)送用戶名�����、密碼�、客戶端MAC地址和DHCP服務(wù)器的IP地址�,請(qǐng)求認(rèn)證和授權(quán)。
4)服務(wù)端對(duì)用戶名、密碼��、客戶端MAC地址和DHCP服務(wù)器的IP地址進(jìn)行認(rèn)證和授權(quán)��。通過后���,服務(wù)端將上線事件傳遞給計(jì)費(fèi)系統(tǒng)����。
5)在收到認(rèn)證授權(quán)通過的消息后�,客戶端程序主動(dòng)發(fā)起第二次DHCP請(qǐng)求,并獲得一個(gè)非受限IP地址��,該非受限IP地址能訪問外部網(wǎng)絡(luò)�����。
6)在獲得非受限IP地址后��,服務(wù)端程序根據(jù)用戶名�����、密碼和MAC地址為與該客戶端程序之間的會(huì)話頒發(fā)一個(gè)唯一標(biāo)識(shí)�,并在服務(wù)端程序與客戶端程序間保持這個(gè)會(huì)話連接。
7)當(dāng)客戶端程序發(fā)起下線請(qǐng)求�,并且服務(wù)端接受該請(qǐng)求后,這個(gè)會(huì)話被拆除���。同時(shí)服務(wù)端程序?qū)⑾戮€事件傳遞給計(jì)費(fèi)系統(tǒng)��。
8)客戶端程序?qū)⒅鲃?dòng)發(fā)起一次DHCP請(qǐng)求���,并獲得一個(gè)受限IP地址。
2����、會(huì)話異常終斷后的服務(wù)端流程1)在客戶端程序異常停止或網(wǎng)絡(luò)異常終斷的情況下,服務(wù)端程序連續(xù)3次沒有收到“心跳”報(bào)文后�����,判定該客戶端程序已經(jīng)下線��,然后終止會(huì)話���,并釋放分配給該客戶端的IP地址�����。
3�����、會(huì)話異常終斷后的客戶端流程
1)在服務(wù)端程序異常停止或網(wǎng)絡(luò)異常終斷的情況下����,客戶端程序連續(xù)3次沒有收到“心跳”報(bào)文后就終止會(huì)話,并重新請(qǐng)求分配受限IP地址�����。
4��、防非法DHCP服務(wù)器流程�����,如圖4所示1)當(dāng)客戶端程序主動(dòng)發(fā)起第一次或第二次DHCP請(qǐng)求�����。由于DHCP DISCOVER消息是廣播報(bào)文����,非法DHCP服務(wù)器和合法DHCP服務(wù)器均會(huì)收到該報(bào)文。
2)非法DHCP服務(wù)器和合法DHCP服務(wù)器都向客戶端程序發(fā)送DHCP OFFER報(bào)文��。
3)客戶端程序根據(jù)DHCP OFFER報(bào)文中的屬性來識(shí)別合法DHCP服務(wù)器�,并接受它分配的IP地址,然后繼續(xù)完成DHCP協(xié)議流程���,獲得合法的IP地址��。
本發(fā)明提供了客戶端接入�����,客戶端程序安裝在用戶客戶機(jī)上���,對(duì)客戶機(jī)具有良好的控制能力,能有效的避免傳統(tǒng)web方式的弊端(1)客戶端包含一個(gè)NDIS的驅(qū)動(dòng)程序��,它可以截獲網(wǎng)絡(luò)上用戶接收到的所有網(wǎng)絡(luò)數(shù)據(jù)包��,判斷其中是否有偽DHCP發(fā)送來得offer信息包�����,有則拋棄����,這樣�����,就屏蔽了偽DHCP對(duì)于用戶的影響�。
(2)客戶端包含一個(gè)NDIS的驅(qū)動(dòng)程序����,它可以截獲用戶接收到和發(fā)送的所有網(wǎng)絡(luò)數(shù)據(jù)包,計(jì)算流量���,如果發(fā)現(xiàn)超過了一定的帶寬���,則拋棄掉一些TCP數(shù)據(jù)包,直到網(wǎng)絡(luò)流量限定在指定帶寬范圍之內(nèi)����。
(3)客戶端于服務(wù)端之間會(huì)話機(jī)制通過ECP協(xié)議進(jìn)行傳遞,每次通信都只有幾十個(gè)����、甚至十幾個(gè)字節(jié)���,相比較http請(qǐng)求�,無疑是大大減少了對(duì)于網(wǎng)絡(luò)帶寬的占用。
DHCP+Client與DHCP+Web方式的對(duì)比根據(jù)上面兩種認(rèn)證方式的認(rèn)證流程����,對(duì)兩種認(rèn)證方式的相關(guān)屬性對(duì)比如下
優(yōu)勢分析通過上述對(duì)比分析,DHCP+CLIENT方式在以下幾個(gè)方面更加具有優(yōu)勢����。
1、旁路式架構(gòu)不會(huì)帶來網(wǎng)絡(luò)單點(diǎn)��,且不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)綜合比較兩種方式�����,采用的接入網(wǎng)絡(luò)基本相同�����,只是在DHCP+CLIENT方式下�,網(wǎng)絡(luò)中需要部署的是路由器;在DHCP+WEB方式下��,網(wǎng)絡(luò)中需要部署的是BAS設(shè)備���。通常的三層路由器都可以實(shí)現(xiàn)雙機(jī)熱備的工作方式��,但BAS設(shè)備雖然具有三層路由的大部分功能����,但不支持這種工作方式,故而在網(wǎng)絡(luò)中形成單點(diǎn)和瓶頸��。另外�,由于是在已經(jīng)建設(shè)的城域網(wǎng)絡(luò)上增加相應(yīng)的認(rèn)證功能,由于BAS設(shè)備采用直路工作方式����,必須架設(shè)在用戶上網(wǎng)的必經(jīng)鏈路上,故而在部署時(shí)必然會(huì)改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)����。
2、IP地址集中管理�����,統(tǒng)一分配�����,便于資源的回收利用。過長期與運(yùn)營商合作的經(jīng)驗(yàn)����,我們意識(shí)到��,分散IP地址管理時(shí)對(duì)于IP地址資源的管理復(fù)雜性非常高��,地址資源一旦分配到某臺(tái)設(shè)備上���,再次回收就需要進(jìn)行全網(wǎng)的重新規(guī)劃���,需要?jiǎng)佑么罅康娜肆M(jìn)行相關(guān)的統(tǒng)計(jì)工作。潤匯公司的DHCP+CLIENT認(rèn)證方式是專門研發(fā)的基于DHCP協(xié)議的寬帶網(wǎng)用戶接入認(rèn)證����,采用集中管理IP地址池,并監(jiān)控各個(gè)地址池資源的使用情況���,大大簡化了管理的復(fù)雜性��。對(duì)于BAS設(shè)備工作在DHCP+WEB的方式下時(shí)����,由于BAS設(shè)備自身具有DHCP服務(wù)器功能,所以通常采用的方式是分散部署方案�����。雖然可以采用IP地址集中管理的方式���,但由于涉及到對(duì)DHCP服務(wù)器端的相關(guān)研發(fā)工作�,BAS廠商通常不做大量投入��,即使有����,功能也會(huì)比較弱。
3����、用戶控制手段對(duì)網(wǎng)絡(luò)設(shè)備性能影響小。在DHCP+CLIENT認(rèn)證方式中��,對(duì)于用戶控制采用的是標(biāo)準(zhǔn)的ARP協(xié)議����,通過對(duì)非法用戶的ARP表的改寫,實(shí)現(xiàn)對(duì)用戶盜用行為的控制。這種方式下��,網(wǎng)絡(luò)設(shè)備耗費(fèi)在用戶控制上的資源非常的少�����。在DHCP+WEB認(rèn)證方式中��,對(duì)于用戶控制采用的是ACL策略���,通過增加或修改ACL策略使每個(gè)合法用戶能夠正常地使用互聯(lián)網(wǎng)資源。相比ARP協(xié)議的系統(tǒng)資源耗費(fèi)����,ACL策略的方式占用網(wǎng)絡(luò)設(shè)備的資源要大得多,且在DHCP+WEB方式下時(shí)對(duì)合法用戶使用策略����,而合法用戶的數(shù)量要遠(yuǎn)遠(yuǎn)多于非法用戶,因此導(dǎo)致BAS設(shè)備的性能下降將是必然�����。
4��、防非法代理用戶,有效阻止費(fèi)用流失����。DHCP+CLIENT方式下通過客戶端軟件對(duì)用戶計(jì)算機(jī)網(wǎng)卡的監(jiān)控可以有效識(shí)別到非法的PROXY代理,并能將用戶代理的相關(guān)信息反饋給運(yùn)營商端的服務(wù)器進(jìn)行查看�,運(yùn)營商可以針對(duì)實(shí)際代理情況進(jìn)行相關(guān)針對(duì)性策略的制定和實(shí)施,有效地組織正常接入費(fèi)用的流失���。對(duì)于DHCP+WEB的認(rèn)證方式����,由于采用通用的瀏覽器�����,缺乏對(duì)用戶主機(jī)的有效控制�����,在用戶通過Proxy方式進(jìn)行盜用時(shí)��,網(wǎng)絡(luò)設(shè)備自身缺乏有效的發(fā)現(xiàn)手段���。
5�、時(shí)長計(jì)費(fèi)準(zhǔn)確率高。對(duì)于兩種認(rèn)證方式���,都采用了相同的計(jì)費(fèi)采集方案�����,即心跳連接����。不同的是�,DHCP+WEB方式的認(rèn)證是通過HTTP協(xié)議實(shí)現(xiàn)用戶的心跳的���;DHCP+CLIENT方式的認(rèn)證是通過私有ECP協(xié)議實(shí)現(xiàn)用戶的心跳��。理論上�,如果心跳間隔設(shè)置一樣的長度且足夠小���,則兩種認(rèn)證方式的計(jì)費(fèi)準(zhǔn)確性是一樣的���,但是由于HTTP協(xié)議在實(shí)現(xiàn)心跳時(shí),限于HTTP協(xié)議處理流程的復(fù)雜性�����,設(shè)置過小的心跳間隔導(dǎo)致的是需要配置性能更高的WEB服務(wù)器。如果WEB服務(wù)器性能不夠(BAS設(shè)備通常是利用設(shè)備自身的HTTP服務(wù)器功能實(shí)現(xiàn)心跳��,對(duì)BAS設(shè)備自身性能影響非常大)�,則需要將HTTP心跳間隔放大以減輕對(duì)后臺(tái)WEB服務(wù)器的壓力。DHCP+CLIENT方式采用ECP協(xié)議進(jìn)行心跳連接��,每個(gè)心跳包只有30K字節(jié)(HTTP心跳包大約在上百K字節(jié))對(duì)后臺(tái)的性能要求遠(yuǎn)遠(yuǎn)小于DHCP+WEB方式��,因此ECP心跳間隔實(shí)際上比HTTP心跳間隔要小的多���,故而DHCP+CLIENT方式比DHCP+WEB方式的計(jì)費(fèi)準(zhǔn)確率要高的多��。潤匯公司最早的解決方案中也提供DHCP+WEB方式的認(rèn)證方案�����,根據(jù)大量的工程經(jīng)驗(yàn)�,DHCP+WEB方式在對(duì)系統(tǒng)性能的要求上及對(duì)系統(tǒng)運(yùn)營的維護(hù)要求上比DHCP+CLIENT方式要大的多�����,而計(jì)費(fèi)準(zhǔn)確性上卻比DHCP+CLIENT方式差的相當(dāng)大�,因此潤匯公司放棄了這種技術(shù)�。
6���、先進(jìn)的防偽DHCP服務(wù)器功能保證業(yè)務(wù)的正常開展��。在DHCP+WEB的認(rèn)證方式中����,為保證最終用戶在上網(wǎng)時(shí)不受偽DHCP的影響需要為每個(gè)用戶劃分一個(gè)VLAN���。根據(jù)相關(guān)的技術(shù)資料顯示����,BAS設(shè)備如MA5200F可支持8K端口VLAN的管理功能��。暫且不論8K端口VLAN帶來的設(shè)備性能問題�����,從工程施工的角度而言���,由于現(xiàn)網(wǎng)的設(shè)備大多不是PVLAN交換機(jī),對(duì)于每個(gè)端口一個(gè)VLAN的設(shè)置方式及支持能力需要驗(yàn)證�,同時(shí)�,接入層交換機(jī)的數(shù)量在運(yùn)營商網(wǎng)絡(luò)中的數(shù)量是非常龐大的����,在工程實(shí)施時(shí)的規(guī)劃及配置工作量是不可忽視的。若按照工程實(shí)施由廠商人員負(fù)責(zé)來考慮��,對(duì)于運(yùn)營商的維護(hù)人員今后的維護(hù)工作量及復(fù)雜度依然是非常大的�,比如說做不同的QOS策略。由此可以看出����,通過端口VLAN方式實(shí)現(xiàn)防偽DHCP是不合適的。在DHCP+CLIENT方式中��,通過客戶端軟件對(duì)偽DHCP進(jìn)行識(shí)別��、屏蔽��,無須對(duì)網(wǎng)絡(luò)設(shè)備的VLAN進(jìn)行復(fù)雜的設(shè)置工作就可以保證業(yè)務(wù)的正常開展����。
7、增值業(yè)務(wù)的提供能力強(qiáng)���。DHCP+CLIENT方式下��,客戶端系統(tǒng)安裝在用戶的電腦桌面上��,單獨(dú)的軟件系統(tǒng)能夠集成更多的增值業(yè)務(wù)��,統(tǒng)一向用戶提供服務(wù)�����,增強(qiáng)用戶的上網(wǎng)感受���。能夠在實(shí)現(xiàn)增值業(yè)務(wù)收入的同時(shí)促進(jìn)用戶在線時(shí)間的延長��,促進(jìn)運(yùn)營商寬帶接入業(yè)務(wù)收入的增長�。在DHCP+WEB方式下�,BAS廠商通常的做法是將登錄0認(rèn)證頁面集成在BAS設(shè)備中,因此無法支持復(fù)雜的增值業(yè)務(wù)��。雖然BAS廠商可以采用外部的WEB服務(wù)器進(jìn)行認(rèn)證�����,但相關(guān)增值業(yè)務(wù)的集成需要運(yùn)營商再投入人力進(jìn)行實(shí)現(xiàn)����,而且在增值業(yè)務(wù)提供方面BAS廠商的經(jīng)驗(yàn)需要一定時(shí)間積累才能做到。
8��、充分利用設(shè)備的性能和功能��,保護(hù)運(yùn)營商的投資�����。不論是采用DHCP+CLIENT方式還是采用DHCP+WEB方式����,系統(tǒng)的總體部署結(jié)構(gòu)基本相同,需要投資建設(shè)的主要有二�、三層網(wǎng)絡(luò)設(shè)備,DHCP服務(wù)器�,Radius服務(wù)器,相關(guān)計(jì)費(fèi)軟件系統(tǒng)�����。對(duì)于DHCP+CLIENT方式下�,網(wǎng)絡(luò)設(shè)備采用的是普通三層路由器,而DHCP+WEB方式下����,網(wǎng)絡(luò)設(shè)備采用的是BAS設(shè)備��。相比之下�,DHCP+CLIENT方式更能保護(hù)運(yùn)營商的投資��,充分發(fā)揮系統(tǒng)的性能和功能�����。
權(quán)利要求
1.一種基于DHCP+客戶端模式的寬帶網(wǎng)用戶接入的管理方法�,該方法是利用DHCP協(xié)議為客戶端分配IP地址,并且同時(shí)在服務(wù)端程序與客戶端程序之間建立一個(gè)獨(dú)立于DHCP協(xié)議外的會(huì)話機(jī)制來實(shí)現(xiàn)用戶的認(rèn)證和授權(quán)����,以及用戶的在網(wǎng)狀態(tài)判斷,所述方法的特征在于客戶端程序會(huì)不依賴于DHCP協(xié)議中地址續(xù)租功能的規(guī)定�,主動(dòng)發(fā)起DHCP請(qǐng)求來改變IP地址,同時(shí)��,當(dāng)客戶端程序主動(dòng)發(fā)起第一次和第二次DHCP請(qǐng)求時(shí)���,它將根據(jù)服務(wù)器返回的DHCP報(bào)文消息中帶有的網(wǎng)絡(luò)屬性來主動(dòng)識(shí)別合法的和非法的DHCP服務(wù)器���,并且僅響應(yīng)合法DHCP服務(wù)器����。
2.如權(quán)利要求1所述的方法���,服務(wù)端程序需要為客戶端分配兩次IP地址,第一分配是在客戶端程序啟動(dòng)時(shí)利用DHCP協(xié)議主動(dòng)發(fā)起地址分配請(qǐng)求����,第二次分配是在成功通過服務(wù)端程序合法性認(rèn)證后,客戶端程序主動(dòng)發(fā)起地址分配請(qǐng)求����。
3.如權(quán)利要求1所述的方法,該會(huì)話機(jī)制的特征在于通過“心跳”報(bào)文機(jī)制來判定用戶的在網(wǎng)狀態(tài)�����,“心跳”報(bào)文的發(fā)送周期由服務(wù)端程序來確定��。
4.如權(quán)利要求3所述的方法����,當(dāng)在約定一個(gè)或幾個(gè)周期內(nèi)任何一方?jīng)]有收到對(duì)方的心跳”報(bào)文,它們都會(huì)判定本次會(huì)話失效��,判定會(huì)話失效的周期為由服務(wù)端程序來確定,當(dāng)服務(wù)端程序判定會(huì)話實(shí)效后會(huì)主動(dòng)釋放已經(jīng)分配給該客戶端程序的IP地址����;當(dāng)客戶端程序判定會(huì)話實(shí)效后會(huì)主動(dòng)申請(qǐng)獲得受限IP地址。
5.如權(quán)利要求1所述的方法���,會(huì)話存活的周期是用戶上網(wǎng)的整個(gè)周期�。當(dāng)客戶端程序認(rèn)證授權(quán)后�,會(huì)話開始生效,當(dāng)用戶下線后��,該會(huì)話失效�。
6.如權(quán)利要求5所述的方法,會(huì)話的開始時(shí)間和結(jié)束時(shí)間將作為該用戶的上網(wǎng)記錄����,傳遞給計(jì)費(fèi)系統(tǒng)。
全文摘要
本發(fā)明是一種基于DHCP+客戶端模式的寬帶接入管理方法���。該方法除了通過DHCP協(xié)議獲得IP地址外��,客戶端軟件與服務(wù)端軟件還維持一個(gè)通信會(huì)話�,用于準(zhǔn)確判斷客戶端是否在線���,以及何時(shí)上下線等狀態(tài)信息�。該方法的特征在于客戶端程序會(huì)不依賴于DHCP協(xié)議中地址續(xù)租功能的規(guī)定,主動(dòng)發(fā)起DHCP請(qǐng)求來改變IP地址����,同時(shí)����,當(dāng)客戶端程序主動(dòng)發(fā)起第一次和第二次DHCP請(qǐng)求時(shí),它將根據(jù)服務(wù)器返回的DHCP報(bào)文消息中帶有的網(wǎng)絡(luò)屬性來主動(dòng)識(shí)別合法的和非法的DHCP服務(wù)器����,并且僅響應(yīng)合法DHCP服務(wù)器。從而以最有效地方法解決了防偽DHCP的問題����,滿足了電信級(jí)應(yīng)用的要求。
文檔編號(hào)H04L12/28GK1835514SQ200610066250
公開日2006年9月20日 申請(qǐng)日期2006年3月31日 優(yōu)先權(quán)日2006年3月31日
發(fā)明者王顯著, 金明巖, 薛晉, 姚宏亮 申請(qǐng)人:北京潤匯科技有限公司