CN1266919C - 一种802.1x客户端ip地址再获取方法 - Google Patents
一种802.1x客户端ip地址再获取方法 Download PDFInfo
- Publication number
- CN1266919C CN1266919C CN02130659.1A CN02130659A CN1266919C CN 1266919 C CN1266919 C CN 1266919C CN 02130659 A CN02130659 A CN 02130659A CN 1266919 C CN1266919 C CN 1266919C
- Authority
- CN
- China
- Prior art keywords
- address
- client
- user
- dhcp
- client end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 29
- 238000012790 confirmation Methods 0.000 abstract 1
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 231100000176 abortion Toxicity 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种802.1X客户端IP地址再获取方法,为满足有线宽带接入环境对方便易用的802.1X客户端软件的需要而设计,因而也是802.1X客户端与DHCP客户端的一种结合方法。是在802.1X客户端软件于认证成功状态下,再立即主动触发动态主机配置协议(DHCP)客户端进行IP地址再获取,和在用户下线后主动释放IP地址的过程。该IP地址再获取过程是由802.1X客户端软件遍历所在用户计算机的网卡列表,找到用户所选择的网卡,再调用WINDOWS API函数,进行针对网卡的IP地址再获取。实施时,在不同操作系统下调用的WINDOWS API函数会略有不同,从功能上相当于执行一次WINDOWS 98/ME操作系统下的Wincfg命令或WINDOWS2000操作系统下的ipconfig/renew命令。
Description
技术领域
本发明涉及一种有线宽带接入技术,更确切地说是涉及一种802.1X客户端与DHCP客户端的结合方法。
背景技术
802.1X是2001年6月由IEEE标准化组织正式通过的基于端口的网络访问控制协议。
IEEE 802LAN协议定义的局域网不提供接入认证,一般来说,只要用户能接入局域网控制设备,如局域网交换机(Lan Switch),用户就可以访问局域网中的设备或资源。但是对于如电信接入、写字楼局域网以及移动办公等应用环境,设备提供者希望能对用户的接入进行控制和配置,为此产生了802.1X接入控制需求,这就是802.1X认证。
基于端口的网络接入控制是在网络设备的物理接入级对接入客户端进行认证和控制,此处的物理接入级指的是以太网交换或宽带接入设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络内的资源。
IEEE 802.1X定义了基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:以太网交换机的一个物理端口连接一台客户端计算机;IEEE 802.11定义的无线局域网接入方式。
图1中示出802.1X的体系结构,由三个实体组成,为客户端(SupplicantSystem)11、设备端(Authenticator System)12和认证服务器系统(Authentication Server System)13。802.1X的设备端部分12需要在用户接入层设备中实现;802.1X的客户端11一般安装在用户PC中;802.1X的认证服务器系统13一般驻留在运营商的计费、认证与授权(AAA)中心内。
802.1X的客户端11与设备端12之间在局域网(LAN)上运行由IEEE 802.1X定义的EAPOL协议(客户端与设备端间的认证协议),具体地说是指客户端11的客户端端口状态实体(Supplicant PAE)111与设备端12的由设备端系统提供的服务实体(Services offered by Authenticator’s System)123和设备端端口状态实体(Authenticator PAE)124间;设备端12与认证服务器系统13间同样运行扩展认证协议(EAP),在设备端12的设备端端口状态实体(Authenticator PAE)124与认证服务器系统13的认证服务器131间交换认证信息。
设备端12内部有受控端口(Controlled Port)121和非受控端口(Uncontrolled Port)122。受控端口121负责控制网络资源和业务的访问,受控端口121只有在认证通过的状态下才打开,用于传递网络资源和服务信息,图中箭头所指为端口未被授权通过(Port Unauthorized)状态,受控端口121可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境;非受控端口122始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证随时接收和发送EAPOL协议帧。
802.1X为以太网交换机带来了可运营特征。未通过用户认证的端口不能使用,通过认证的端口可以自动动态配置并访问网络资源,这是区别于传统以太网交换机的特性。
在有线宽带接入环境下,需要有方便易用的802.1X客户端软件。美国Microsoft公司的WINDOWS XP操作系统实现了IEEE 802.1X-2001协议的客户端软件,该操作系统下的802.1X客户端软件主要应用范围是无线局域网(WLAN),在802.1X客户端与动态主机配置协议(DHCP:Dynamic Host ConfigurationProtocol,用于实现动态IP地址分配)客户端间没有直接的关系。由于DHCP客户端在一分钟时间内会多次请求获取IP地址,且超过1分钟后将不再发送请求报文,因此在将802.1X客户端软件应用在有线宽带接入网络中时就会产生这样一个问题:由于用户设备不是一开机就注册的(无线终端是一开机就注册的),用户开机后并不立即上网也是经常性的,若要求用户在开机一分钟内必须完成802.1X认证才能通过DHCP客户端获取网络IP地址,如此运营的有线宽带接入网络,会给用户造成极大的不方便,用户在这种情况下就需要在命令行输入winipcfg,ipconfig等专业性很强的命令行进行操作,不便于普通用户的使用。
此外,目前WINDOWS XP所提供的802.1X客户端软件在用户下线时不能提供用户IP地址的自动释放,即在用户下线后还一直占用着IP地址,在IP地址十分紧缺的应用环境中,该问题对运营商和对客户都是不利的,一方面造成IP地址的浪费,运营商所拥有的IP地址不能充分被利用,另一方面也会因为用户分配不到IP地址或者有地址冲突而得不到服务。
综上所述,WINDOWS XP操作系统实现了标准的IEEE 802.1X-2001协议,但XP操作系统下的802.1X客户端软件与DHCP客户端间没有直接的关系。用户一开机,DHCP客户端会自动发出DHCP请求IP地址报文,此时由于802.1X尚未开始认证,发送的DHCP报文在设备端触发802.1X认证后会被丢弃。在一分钟内,DHCP客户端有重发机制,超过一分钟后DHCP客户端不再发送任何报文。也就是说,用户必须在开机后一分钟内完成用户名/密码的输入和认证,这在无线局域网环境下其应用是可行的,但在有线宽带接入网络中是存在问题的。此外就是不能在用户下线后提供IP地址释放机制。
发明内容
本发明的目的是设计一种802.1X客户端IP地址再获取方法,是802.1X客户端与DHCP客户端的一种结合方法,以增强有线宽带接入网络中802.1X客户端软件的易用性。
实现本发明目的的技术方案是:一种802.1X客户端IP地址再获取方法,其特征在于包括:在802.1X客户端软件于认证成功状态下,由802.1X客户端软件遍历所在用户计算机的网卡列表,找到用户所选择的网卡,再调用WINDOWS应用程序接口(API)函数,进行针对网卡的IP地址再获取过程;和在用户下线后,主动释放所获取的IP地址的过程。
所述的主动触发DHCP客户端进行IP地址再获取过程,是在802.1X客户端软件于认证通过后立即触发并在用户设备后台运行的。
所述的IP地址再获取过程是作为可配置的默认选项来处理的。
还包括在IP地址再获取的更新过程成功后,允许用户上网;在IP地址再获取的更新过程失败后,由802.1X客户端软件给出提示。
所述的IP地址的再获取是采用DHCP的RFC标准协议进行的。
DHCP客户端通过在自身中新开辟的线程进行IP地址的再获取过程。
DHCP客户端通过在自身中不影响用户界面的已有线程进行IP地址的再获取过程。
所述的主动释放IP地址,是由802.1X客户端在用户下线后,主动发出释放报文,释放通过认证获取的IP地址。
本发明的方法,是让802.1X客户端软件在认证成功状态下主动触发DHCP客户端,进行IP地址再获取或者说再分配,和通过在802.1X客户端软件上增加IP地址释放机制,用于保证在用户下线后的IP地址能得到及时的释放。
802.1X客户端软件进入成功(Success)状态后,立即主动触发IP地址更新过程,和在用户下线通过释放(Release)后发出DHCP Release报文,释放通过认证获取到的IP地址,在有线宽带网络中节约了IP地址,解决了IP地址很快耗光的问题。本发明方法在实施时,在不同操作系统下调用的WINDOWS API函数会略有不同,从功能上相当于执行一次WINDOWS 98/ME操作系统下的Wincfg命令或WINDOWS2000操作系统下的ipconfig/renew命令。
附图说明
图1是802.1X的体系结构框图;
图2是802.1X客户端软件运行在标准PC机上时,在802.1X客户端软件认证成功情况下的消息序列图。
具体实施方式
参见图2,802.1X客户端软件运行在标准PC机上,操作系统可以是WINDOWS98/WINDOWS NT/WINDOWS 2000/WINDOWS XP。图2中示出用户、802.1X客户端软件状态机(可简称客户端)及设备端之间进行的802.1X客户端软件认证过程及认证成功情况下的消息序列。首先,802.1X客户端软件状态机初始化。
步骤1,用户登录802.1X客户端;
步骤2,802.1X客户端收到用户登录的消息,向设备端发出EAPOL启动(EAPOL-Start,客户端与设备端间的认证协议)报文,发起一次802.1X认证过程,处于连接状态:
步骤3,设备端收到客户端发来的EAPOL-Start报文后,向802.1X客户端发送EAPOL身份标识请求(EAPOL-Request[Identity]),请求客户端的身份标识-用户名;
步骤4,客户端收到设备端发来的EAPOL-Request[Identity]报文后,通过向设备端回送EAPOL身份应答消息(EAPOL-Response[Identity]),将用户名发给设备端,此时802.1X客户端等待接收设备端发出的随机数,称之为魔数(然后按MD5加密算法进行加密,保证用户密码在线路传输上的安全性),此时客户端进入到等待设备端魔数状态;
步骤5,设备端收到客户端发来的应答消息EAPOL-Response[Identity]报文后,向客户端进行MD5质询,发出EAPOL请求/MD5查询消息EAPOL-Request[MD5Challenge]报文,报文消息中含有802.1X客户端加密用户口令所需要的随机数;
步骤6,802.1X客户端收到设备端发来的EAPOL-Request[MD5Challenge]报文后,向设备端发送EAPOL应答/MD5口令(EAPOL-Response[MD5]报文),此消息中包含加密后的密码,此时的802.1X客户端进入等待认证结果状态;
步骤7,设备端将用户名和密码通过Radius报文发送给远端的认证服务器进行认证,或者在接入设备上进行本地认证,若认证成功,将EAPOL-Success报文发送给客户端;
步骤8,客户端收到设备端发来的EAPOL-Success报文后,立即主动触发DHCP,启动IP地址更新过程,即启动IP地址再获取程序,获得IP地址。802.1X客户端软件只有完成认证,才能通过DHCP客户端获取网络IP地址。DHCP服务器的地址租期不要设置得过大,以1个小时左右为最佳(最多吊死一个小时),认证成功后的客户端向设备端发送注销消息(EAPOL-Logoff报文);
步骤9,用户下线后,802.1X客户端主动发出DHCP释放(DHCP Release)报文,释放认证通过后获取到的IP地址。
802.1X客户端软件在认证成功进入Success状态下,主动触发IP地址更新过程时,在不同的操作系统下,调用的WINDOWS API函数略有不同,从功能上相当于执行一次WINDOWS 98/ME操作系统下的Wincfg命令或WINDOWS2000操作系统下的ipconfig/renew命令。
具体过程为:客户端软件遍历该计算机的网卡列表,找到用户所选择网卡,然后调用Windows API函数,针对该网卡开始IP地址的再获取。
IP地址的获取采用的是RFC的标准协议,包括:动态主机分配协议(DHCPDinamic Host Configuration Protocol),由于此过程需要PC机和DHCP服务器之间的报文交换,有可能出现服务器不可用、地址获取失败的情况。这种情况下,由于PC机发出的DHCP请求报文得不到回应,会导致3次的超时重发才会最终失败,调用该WINDOWS API函数的线程将处于长时间的阻塞状态,如果该线程是应用程序的界面主线程,将导致短时间内用户的鼠标和键盘动作得不到响应的情况,从而影响应用程序的界面友好性。因此,应该开辟新的线程用于更新IP地址的动作,或者是将此动作放到不影响用户界面的线程中处理。
802.1X客户端软件的IP地址再获取是在认证通过后,立即触发,并在后台运行。更新的过程对用户是透明的,只要更新成功,用户就可以上网,如果更新失败了,客户端软件将给出适当的提示,让用户重新尝试,或是与提供商联系。
另外,并非所有的802.1X在应用组网时都需要认证通过后进行IP地址的再次获取,在一些应用环境下,IP地址可能是固定分配好的,而只需要认证的过程。因此应该考虑把IP地址的再获取作为一个可配置的但默认的选项来实现。
本发明的方法经在802.1X客户端软件上试运行,证明能实现发明目的,增强了802.1X客户端软件在有线宽带网络中的易用性,且实现简单、可靠,提高了工作效率。
Claims (8)
1.一种802.1X客户端IP地址再获取方法,其特征在于包括:在802.1X客户端软件于认证成功状态下,由802.1X客户端软件遍历所在用户计算机的网卡列表,找到用户所选择的网卡,再调用WINDOWS应用程序接口API函数,进行针对网卡的IP地址再获取过程;和在用户下线后,主动释放所获取的IP地址的过程。
2.根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:所述的主动触发DHCP客户端进行IP地址再获取过程,是在802.1X客户端软件于认证通过后立即触发并在用户设备后台运行的。
3.根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:所述的IP地址再获取过程是作为可配置的默认选项来处理的。
4.根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:还包括在IP地址再获取的更新过程成功后,允许用户上网;在IP地址再获取的更新过程失败后,由802.1X客户端软件给出提示。
5.根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:所述的IP地址的再获取是采用DHCP的RFC标准协议进行的。
6、根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:DHCP客户端通过在自身中新开辟的线程进行IP地址的再获取过程。
7、根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:DHCP客户端通过在自身中不影响用户界面的已有线程进行IP地址的再获取过程。
8.根据权利要求1所述的一种802.1X客户端IP地址再获取方法,其特征在于:所述的主动释放IP地址,是由802.1X客户端在用户下线后,主动发出释放报文,释放通过认证获取的IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02130659.1A CN1266919C (zh) | 2002-09-16 | 2002-09-16 | 一种802.1x客户端ip地址再获取方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02130659.1A CN1266919C (zh) | 2002-09-16 | 2002-09-16 | 一种802.1x客户端ip地址再获取方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1484426A CN1484426A (zh) | 2004-03-24 |
| CN1266919C true CN1266919C (zh) | 2006-07-26 |
Family
ID=34144554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02130659.1A Expired - Lifetime CN1266919C (zh) | 2002-09-16 | 2002-09-16 | 一种802.1x客户端ip地址再获取方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1266919C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835514B (zh) * | 2006-03-31 | 2010-05-12 | 北京润汇科技有限公司 | Dhcp+客户端模式的宽带接入的管理方法 |
| CN101795449B (zh) * | 2010-01-07 | 2013-04-17 | 杭州华三通信技术有限公司 | 一种无线网络中终端的接入控制方法和设备 |
| CN104683490B (zh) * | 2013-11-27 | 2018-05-04 | 华为技术有限公司 | 互联网协议地址的回收方法和装置 |
| CN103747115B (zh) * | 2013-12-30 | 2017-08-01 | 武汉邮电科学研究院 | 基于虚拟网卡的虚拟机ip地址发现方法 |
-
2002
- 2002-09-16 CN CN02130659.1A patent/CN1266919C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1484426A (zh) | 2004-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6393484B1 (en) | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks | |
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| JP4347335B2 (ja) | ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 | |
| US8249096B2 (en) | System, method and apparatus for providing multiple access modes in a data communications network | |
| CN100550739C (zh) | 一种为用户终端发起认证请求的方法、系统和路由设备 | |
| US20040255154A1 (en) | Multiple tiered network security system, method and apparatus | |
| US20060155984A1 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| US20050044273A1 (en) | Dynamic change of MAC address | |
| US7926100B2 (en) | Method for preventing unauthorized connection in network system | |
| US7624193B2 (en) | Multi-vendor mediation for subscription services | |
| FI114516B (fi) | Järjestely verkkopääsyä varten tietoliikenneverkon kautta kauko-ohjatun suotimen avulla | |
| CN101110847A (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| WO2010102493A1 (zh) | 在wlan中为不同终端提供特定接入流程的方法 | |
| CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
| CN1266919C (zh) | 一种802.1x客户端ip地址再获取方法 | |
| JP4028421B2 (ja) | 音声通信ゲート装置のアドレス管理方法および管理装置並びにプログラム | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| CN1501658A (zh) | 一种基于802.1x协议的客户端认证方法 | |
| WO2007060016A2 (en) | Self provisioning token | |
| CN1494258A (zh) | 一种网络综合接入设备的安全管理方法 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CA2475938A1 (en) | A system and method of internet access and management | |
| CN1503518A (zh) | 基于802.1x协议的网络接入设备管理方法 | |
| CN113660283A (zh) | 一种合法性认证方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060726 |