本发明专利技术公开了一种认证实现方法、系统及相关装置,其中方法包括:服务端接收客户端通过DHCPv6选项扩展内容发送的密码加密字段和用户信息字段;服务端解析收到的DHCPv6选项扩展内容,基于密码加密字段和用户信息字段对客户端进行认证。本发明专利技术基于现有的DHCPv6选项进行认证,将密码采用加密方式进行加密,更加安全;对于已经支持此认证方式的服务端不需要重新设计,节省了系统的建设成本。
【技术实现步骤摘要】
本专利技术涉及IPv6 (Internet Protocol Version 6)网络通信中支持IPv6的动态主机配置协议(DHCP for IPv6, DHCPv6)协议技术,尤其涉及一种认证实现方法、系统及相关装置。
技术介绍
在宽带技术和宽带用户迅速成长的今日,IPv4地址空间的危机由来已久,这是导致IP技术版本升级的主要动力。中国下一代互联网示范工程(China' s Next GenerationInternet, CNGI)是国家级的战略项目,该项目的主要目标是以IPv6为核心,搭建下一代互联网的试验平台。此项目的启动标志着我国的IPv6进入了实质性发展阶段。各级运营商也正在加紧步伐部署IPv6网络,IPv6宽带接入网络已逐步进入商业试运营阶段。 IPv6基础协议的设计理念是希望IPv6网络能成为一个即插即用的接入网络。但是对于很多运营商而言,更需要进行有状态方式(即动态地址分配)来管理地址,所以DHCPv6应运而生。对于运营商及宽带用户,逐步开始使用DHCPv6为其设备以有状态方式分配IPv6地址及IPv6前缀,并且以无状态方式分配基于IPv6的计算机域名系统(DomainName System for IPv6,DNSv6)和地址族转换路由(Address Family Transition Router,AFTR)域名等重要选项。DHCPv6 与邻居发现协议(Neighbor Discovery Protocol, NDP)相比较,NDP属于无状态地址分配协议,更适合支持即插即用的IPv6用户,而对于需要用户认证及给IPv6用户下发DNSv6和AFTR域名等重要选项则能力欠缺。DHCPv6与点对点协议(Point to Point Protocol, PPP)协议相比较,虽然基于PPP实现的密码认证协议(Password Authentication Protocol, PAP)、询问握手认证协议(Challenge HandshakeAuthentication Protocol, CHAP)及微软-询问握手认证协议(Microsoft-ChallengeHandshake Authentication Protocol,MS-CHAP)等认证方式在安全认证上优势较为突出,但是PPP无法为IPv6用户分配IPv6地址及IPv6前缀,也不具备给IPv6用户下发DNSv6和AFTR域名等重要选项的能力。而对于DHCPv6来说,则拥有无状态服务(例如,递归计算机域名系统(DomainName System, DNS)服务器地址等)和有状态服务(例如,地址分配和前缀代理等)。与支持 IPv4 的动态主机配置协议(Dynamic Host Configuration Protocol for IPv4, DHCPv4)一致,如果用户的客户端与服务器位于不同的网络,并且因为该客户端缺乏一个初始化地址而不能彼此直接通信,那么中继节点(也称作中继代理)就在服务器和该客户端之间转发分组(即中继代理(RELAY)功能)。这些功能是NDP与PPP目前无法实现的。IPTV业务是一种基于IP宽带网络的为用户提供具有交互性和实用性以及服务质量(Quality of Service, QoS)保障和安全机制的多媒体业务,其终端类型包括电视机及其他终端,例如交互式多媒体业务终端(即机顶盒(Set Top Box, STB)),可以支持业务播放、功能选择、用户需求信息的上传、互联网服务与通讯等可选功能。在IPTV业务环境下,为实现端到端的DHCPv6功能,所涉及的各种设备与实现用户认证及地址分发的设备组成了 IPTV DHCPv6 系统。图I为IPTV业务网络拓扑图,描述了 DHCPv6的IPTV业务承载网结构。图I中上层设备用来传输模拟信号,下层用来传输数字信号。IPTV用户认证的流程为客户端、如STB向服务端宽带远程接入服务器(Broadband Remote AccessServer, BRAS)发送DHCPv6请求报文,客户端的用户名和密码以明文方式(如二进制码)封装在DHCPv6请求报文中。 DHCPv6请求报文经过家庭网关(Home Gateway, HG)、多用户居住单元(MultipleDwelling Unit,MDU) /数字用户线接入复用器(DSLAM)、光线路终端(Optical LineTerminal,OLT) / 限位开关(Limit Sffitch, LSff),发送到 BRAS,BRAS 根据系统配置对DHCPv6请求报文中的信息进行解析和认证。BRAS解析DHCPv6请求报文得到用户的媒体存取控制(Media Access Control, MAC)地址、0ptionl6的生产商类型数据内容或者0ptionl7选项数据内容(非加密内容),将MAC地址作为用户名,查找到DCCP服务器/AAA服务器存储的对应内容,与作为密码的DHCPv6请求报文中0ptionl6的生产商类型数据内容或者0ptionl7选项数据内容匹配,匹配结果一致则认证成功,否则认证失败。认证成功后,BRAS发送DHCPve广告报文通告给客户端认证后的授权和地址信息,客户端得到授权和地址信息后接入网络;认证失败则等待客户端超时或重新拨号。实现明文认证还可以使用用户的MAC地址作为域名,将DHCPV6中0ptionl6的生产商类型数据内容或者0ptionl7选项数据内容解析为用户名和密码;或者将DHCPv6中0ptionl6的生产商类型数据内容或者0ptionl7选项数据内容解析为用户名和域名,使用用户MAC地址作为密码等。图2描述了等效设备对DHCPv6 OPTION的支持要求在客户端、如STB处,插入DHCPv6请求报文的DHCPv6 Option中,Optionl和Opt ion 16为必选项,Opt ion 17为可选项。基于DHCPv6的认证,现有实现方法主要是使用DHCPv6报文中的选项(0ptionl6或0ptionl7)进行普通的明文密钥认证。对于服务端来说,一般采用DHCPv6报文中的0ptionl6或0ptionl7完成认证功能。0ptionl6及0ptionl7的具体封装格式由标准所规定。0ptionl6在由客户端发送给服务端的DHCPv6报文中并携带客户端生产商信息,其封装格式具体如图3所示,由生产商选项类型(0PTI0N_VEND0R_CLASS)、选项长度(option-len)、企业号(enterprise-number)及生产商类型数据(vendor-class-data)构成,其中生产商类型数据为可填写区域,由客户端填写生产商的相关信息。0ptionl7用于客户端与服务端互换生产商信息,客户端与服务端都可以填写并发送包含此选项的DHCPv6报文。其封装格式见图4,由选项数据(0PTI0N_VEND0R_CLASS)、选项长度(option-len)、企业号(enterprise-number)及选项数据(option_data)构成,其中选项数据为可填写区域,由客户端填写生产商的相关信息。以上现有DHCPv6选项认证方式,主要采用直接解析DHCPv6报文中的0ptio本文档来自技高网...
【技术保护点】
一种认证实现方法,其特征在于,包括:服务端接收客户端通过DHCPv6选项扩展内容发送的密码加密字段和用户信息字段;服务端解析收到的DHCPv6选项扩展内容,基于密码加密字段和用户信息字段对客户端进行认证。
【技术特征摘要】
1.一种认证实现方法,其特征在于,包括 服务端接收客户端通过DHCPv6选项扩展内容发送的密码加密字段和用户信息字段; 服务端解析收到的DHCPv6选项扩展内容,基于密码加密字段和用户信息字段对客户端进行认证。2.根据权利要求I所述的方法,其特征在于,所述服务端接收客户端通过DHCPv6选项扩展内容发送的密码加密字段和用户信息字段之前,进一步包括 客户端将自身的DHCP唯一标识DUID和密码采用设定加密方式生成得到密码加密字段,通过DHCPv6选项扩展内容向服务端发送密码加密字段和用户信息字段。3.根据权利要求2所述的方法,其特征在于,所述客户端通过DHCPv6选项扩展内容向服务端发送密码加密字段和用户信息字段,具体为 客户端通过DHCPv6选项中的Optionl6的生产商类型数据或Optionl7的选项数据向服务端发送密码加密字段和用户信息字段。4.根据权利要求I、2或3所述的方法,其特征在于,所述基于密码加密字段和用户信息字段对客户端进行认证,具体为 基于用户信息字段查找到服务端存储的所述客户端的密码,将客户端的DUID和密码采用与客户端对应的加密方式生成得到认证信息,将认证信息与解析得到的密码加密字段进行匹配,如果一致,则客户端通过认证。5.根据权利要求1、2或3所述的方法,其特征在于,所述用户信息字段为用...
【专利技术属性】
技术研发人员:赵申,翟青涌,刘成功,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。