[发明专利]基于动态主机配置协议的安全接入方法及其系统

说明书

技术领域

本发明涉及一种网络通信技术，尤其涉及一种基于DHCP(Dynamic HostConfiguration Protocol，动态主机配置协议)的安全接入方法及其系统。

背景技术

DHCP接入方式主要实现了客户机IP(Internet Protocol，互联网络协议)地址的自动配置问题。它的流程是用户开机后，客户机通过二层广播寻找DHCP服务器，DHCP服务器授予客户机IP地址、网关、DNS(Domain Name System，域名系统)等信息。但是DHCP作为接入技术，DHCP协议本身缺少认证功能。

DHCP+Web方式的流程是用户开机并通过DHCP服务器分配IP地址，局端设备通过对该IP地址进行强制重定向到Web服务器，用户再访问web登录页面进行认证。DHCP+Web方式虽然解决了上面提到的用户认证问题，但是要求用户先获得IP地址，再上网认证，造成了IP地址的浪费，而且Web认证服务器对用户而言是完全裸露的，容易被恶意攻击，并使得整网用户无法认证。因此DHCP+Web方式只适用于小规模的网络中。

DHCP Option 82是通过DHCP Relay Agent在DHCP报文中加入带有用户接入线路信息的选项来实现对用户认证的一种方式。它是基于物理信息的一种方式，可扩展性比较差。

RFC3118(Request for Comments，请求注释)定义了认证单个DHCP消息的机制，这个机制虽然提供了基于共享密钥对DHCP客户端进行认证的方法，但是它不是基于用户名和口令的方式，不能和现有的基于RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)的AAA(Authentication、Authorization、Accounting，认证、授权和计费)框架进行无缝的集成，并且这种机制尚无应用。

发明内容

本发明所解决的技术问题是提供一种基于动态主机配置协议的安全接入方法，可以保证DHCP协议能够使用各种认证协议进行认证，并可应用在现有的基于RADIUS的AAA框架中，用于提高基于DHCP协议的网络接入的安全性。

技术方案如下：

一种基于动态主机配置协议的安全接入方法，步骤包括：

(1)扩充DHCP协议，通过扩充后的DHCP协议来协商DHCP接入所使用的认证协议；

所述步骤(1)具体包括如下步骤：

(111)主机向网络接入服务器发送DHCP发现消息；如果主机具有协商认证协议的功能，则在所述DHCP发现消息中包含认证协议选项，所述认证协议选项的内容包含请求使用的认证协议类型；

(112)网络接入服务器向主机发送DHCP提供消息；

(113)主机向网络接入服务器发送DHCP请求消息；

(114)网络接入服务器向主机发送DHCP确认消息；

(115)主机接收到网络接入服务器发送的DHCP确认消息后，如果所述DHCP确认消息中包含认证协议选项，则所述主机记录所述DHCP确认消息中包含的DHCP认证协议类型；如果所述DHCP确认消息中没有包含认证协议选项，则主机不请求认证过程；

或者，所述步骤(1)具体包括如下步骤：

(121)主机向网络接入服务器发送DHCP发现消息；在所述DHCP发现消息中包含认证协议选项，所述认证协议选项的内容包含请求使用的认证协议类型；

(122)网络接入服务器向主机发送DHCP提供消息；在所述DHCP提供消息中包含认证协议选项，所述认证协议选项的内容包含主机请求协商的协议；

(123)主机向网络接入服务器发送DHCP发现消息；在所述DHCP发现消息中包含认证协议选项；

(2)利用协商后的认证协议来实现对DHCP接入的认证。

进一步，步骤(1)中，在DHCP协议的发现消息、提供消息、请求消息、否认消息和确认消息中增加包含DHCP认证协议的选项，通过该选项来实现DHCP协商认证协议的功能。

进一步，步骤(1)中，协商的认证协议包括口令认证协议、质询握手认证协议、网络接入认证信息承载协议、可扩展的认证协议或者802.1x。

进一步，步骤(1)中，所述主机和所述网络接入服务器分别是DHCP客户端和DHCP中继代理，或者是DHCP客户端和DHCP代理服务器。