[发明专利]一种网络协议IP地址获取方法及设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种网络协议IP地址获取方法。本发明同时还涉及一种IP地址获取设备。

背景技术

802.1X协议是一种基于端口的网络接入控制协议，作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。其中，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

如图1所示，为现有技术中802.1X系统结构示意图，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。该系统结构为典型的Client/Server结构。其中各个实体的功能及作用如下：

客户端：位于局域网段一端的一个实体，由该链路另一端的实体对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。

设备端：位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

认证服务器：为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。

为了保证网络安全，需要通过认证服务器记录上网的用户关键信息，用以进行用户溯源，如检查非法用户、网上乱发帖等情况。然而，对于运营商和一些企业网络内部来说，用户上网之后，网络都在三层以上，报文源MAC地址都是可变的，使用MAC地址无法进行溯源，目前普遍的做法是通过IP地址来进行用户溯源，在这种情况下，认证服务器需要记录用户在认证成功后所对应的IP地址。

在现有的获取用户IP地址技术方案中，由于802.1x和MAC认证，WAPI认证等二层认证协议为基于MAC地址的控制的二层转发，在认证成功之前都无法获取到IP地址，需要采取扩展EAP协议报文的方式，通过客户端软件将IP地址通过EAP协议报文携带给设备。因此，当客户端的IP地址为静态指定时，需要客户端将携带IP地的认证请求发送给认证服务器；当客户端的IP地址为动态分配时，由于IP地址要在认证通过后才分配，目前认证服务器都无法从认证过程中获取到IP地址信息，需要在认证成功后通过开始计费报文或者实时计费报文携带IP地址信息来进行用户IP信息的更新。具体地，用户在需要在认证或者计费时通过将IP地址上传到服务器，服务器才能将每个用户的IP地址和账号进行记录。

由此可见，在现有技术中，认证服务器都是被动地从用户侧获取到IP地址，是否能够获取到用户的IP地址很大部分取决于用户端，无法针对用户的认证过程主动获取到用户的IP地址，尤其是用户非法访问一些站点无法进行溯源，造成了对用户管理上的困难，从而不利于网络的安全控制。

发明内容

为解决现有技术中认证服务器无法及时获取到用户终端IP地址的技术问题，本发明公开了一种网络协议IP地址获取方法，包括：

根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址；

判断所述IP地址是否为新的IP地址；

若是，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。

相应地，本发明还提供了一种网络协议IP地址获取设备，包括：

获取模块，用于根据用户终端与其他网络设备在进行网络协议IP地址获取或IP地址发布过程中的会话信息，获取与所述用户终端对应的IP地址；

判断模块，用于判断所述IP地址是否为新的IP地址；

认证模块，用于在所述判断模块判断所述IP地址为新的IP地址的情况下，根据所述IP地址对所述用户终端重新进行认证，以使认证服务器根据所述IP地址更新所述用户终端的IP信息。