CN101227282A - 混合授权方法和宽带接入认证系统 - Google Patents
混合授权方法和宽带接入认证系统 Download PDFInfo
- Publication number
- CN101227282A CN101227282A CNA2008100091518A CN200810009151A CN101227282A CN 101227282 A CN101227282 A CN 101227282A CN A2008100091518 A CNA2008100091518 A CN A2008100091518A CN 200810009151 A CN200810009151 A CN 200810009151A CN 101227282 A CN101227282 A CN 101227282A
- Authority
- CN
- China
- Prior art keywords
- radius
- authentication
- attribute
- user
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种混合授权方法,包括以下步骤:在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;收到用户的认证请求后,宽带接入服务器对其本身所配置的用户的属性进行本地认证;如果本地认证通过,则RADIUS服务器对其本身所配置的用户的属性进行RADIUS认证;如果RADIUS认证也通过,则RADIUS服务器对用户进行RADIUS授权;以及宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权。本发明还提供了一种宽带接入认证系统。本发明能够实现同一个用户的RADIUS授权和本地授权相结合。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种混合授权方法和宽带接入认证系统。
背景技术
宽带用户接入一般有RADIUS(Radio Authentication Dial InUser Service,远端认证拨号用户服务)认证,RADIUS服务器接收到用户的认证请求后,对所配置的用户的属性进行RADIUS认证,RADIUS认证通过后,会进行RADIUS授权,如果不通过,则拒绝用户的认证请求。
宽带用户接入还有本地认证,宽带接入服务器接收到用户的认证请求后,对所配置的用户的属性进行本地认证,本地认证通过后,会进行本地授权,如果不通过,则拒绝用户的认证请求。
在实现本发明过程中,发明人发现在现有技术中,RADIUS认证和本地认证没有相结合,导致宽带接入产生一些问题,例如,如果RADIUS授权没有配置用户带宽,本地用户下可以配置用户带宽,则用户上线之后会受到本地配置的用户带宽的限制。
发明内容
本发明旨在提供一种混合授权方法和宽带接入认证系统,能够解决现有技术中RADIUS认证与本地认证分离所导致的问题。
根据本发明的一个方面,提供了一种混合授权方法,包括以下步骤:在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;收到用户的认证请求后,宽带接入服务器对其本身所配置的用户的属性进行本地认证;如果本地认证通过,则RADIUS服务器对其本身所配置的用户的属性进行RADIUS认证;如果RADIUS认证也通过,则RADIUS服务器对用户进行RADIUS授权;以及宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权。
优选的,如果本地认证未通过,则拒绝用户的认证请求,并取消RADIUS认证。
优选的,如果RADIUS认证未通过,则拒绝用户的认证请求。
优选的,RADIUS服务器对用户进行RADIUS授权具体包括:RADIUS服务器对其本身所配置的用户的属性进行RADIUS授权;RADIUS服务器向宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
优选的,宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权具体包括:宽带接入服务器对没有授权的属性进行本地授权;对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS授权是否有效;如果有效,则通过认证请求;如果无效,则对RADIUS认证已经授权的属性中无效的属性进行本地授权。
优选的,还包括:宽带接入服务器对其本身所配置的用户的属性进行物理绑定检查;如果物理绑定检查未通过,则拒绝用户的认证请求,并取消RADIUS认证。
优选的,还包括:检查用户所在的域是否已经使能混合授权属性;如果是,则继续执行本地认证和RADIUS认证以及本地授权和RADIUS授权的步骤。
根据本发明的另一方面,提供了一种宽带接入认证系统,包括:宽带接入服务器,其包括:第一配置模块,用于配置用户及其属性;本地认证模块,用于收到用户的认证请求后,对宽带接入服务器本身所配置的用户的属性进行本地认证;以及本地授权模块,用于根据RADIUS授权的回应报文对用户进行本地授权;RADIUS服务器,其包括:第二配置模块,用于也配置相同的用户及其属性;RADIUS认证模块,用于如果本地认证通过,则对RADIUS服务器本身所配置的用户的属性进行RADIUS认证;以及RADIUS授权模块,用于如果RADIUS认证也通过,则对用户进行RADIUS授权。
优选的,RADIUS授权模块具体包括:RADIUS授权单元,用于对RADIUS服务器本身所配置的用户的属性进行RADIUS授权;回应单元,用于向宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
优选的,本地授权模块具体包括:第一补充授权单元,用于对没有授权的属性进行本地授权;判断单元,用于对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS授权是否有效;第二补充授权单元,用于如果有效,则通过认证请求;如果无效,则对RADIUS认证已经授权的属性中无效的属性进行本地授权。
上述实施例的混合授权方法和宽带接入认证系统能够实现同一个用户的RADIUS授权和本地授权相结合,从而能够解决现有技术中RADIUS认证与本地认证分离所导致的问题,为用户实现有效地宽带接入。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了根据本发明实施例的混合授权方法的流程图;
图2示出了根据本发明优选实施例的混合授权方法的流程图。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。
图1示出了根据本发明实施例的混合授权方法的流程图,包括以下步骤:
步骤S10,在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;
步骤S20,收到用户的认证请求后,宽带接入服务器对其本身所配置的用户的属性进行本地认证;
步骤S30,如果本地认证通过,则RADIUS服务器对其本身所配置的用户的属性进行RADIUS认证;
步骤S40,如果RADIUS认证也通过,则RADIUS服务器对用户进行RADIUS授权;以及
步骤S50,宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权。
优选的,如果本地认证未通过,则拒绝用户的认证请求,并取消RADIUS认证。
优选的,如果RADIUS认证未通过,则拒绝用户的认证请求。
优选的,RADIUS服务器对用户进行RADIUS授权具体包括:RADIUS服务器对其本身所配置的用户的属性进行RADIUS授权;RADIUS服务器向宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
优选的,宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权具体包括:宽带接入服务器对没有授权的属性进行本地授权;对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS授权是否有效;如果有效,则通过认证请求;如果无效,则对RADIUS认证已经授权的属性中无效的属性进行本地授权。
优选的,还包括:宽带接入服务器对其本身所配置的用户的属性进行物理绑定检查;如果物理绑定检查未通过,则拒绝用户的认证请求,并取消RADIUS认证。该优选实施例加入了物理绑定检查。
优选的,还包括:检查用户所在的域是否已经使能混合授权属性;如果是,则继续执行本地认证和RADIUS认证以及本地授权和RADIUS授权的步骤。
上述实施例的混合授权方法能够实现同一个用户的RADIUS授权和本地授权相结合,从而能够解决现有技术中RADIUS认证与本地认证分离所导致的问题,为用户实现有效地宽带接入。
图2示出了根据本发明优选实施例的混合授权方法的流程图,在宽带接入服务器上配置本地用户,并且配置本地授权相关的属性,在RADIUS服务器上也配置相同的用户和需要RADIUS授权的属性,图2的流程包括以下各步骤:
步骤S202,宽带接入服务器接收用户的认证请求;
步骤S204,判断用户所在的域(Domain)配置的混合授权属性是否为使能;
步骤S206,如果是,则开始下面的混合授权的步骤,首先是宽带接入服务器对配置的属性进行本地认证和物理绑定检查;
步骤S208,如果本地认证和物理绑定检查任一项未通过,则跳到步骤S220,如果通过,则前进到步骤S210;
步骤S210,RADIUS服务器对同名用户配置的属性进行RADIUS认证;
步骤S212,如果RADIUS认证未通过,则跳到步骤S220,如果通过,则前进到步骤S214;
步骤S214,RADIUS对其本身所配置的用户的属性进行RADIUS授权,并向宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性;
步骤S216,宽带接入服务器对没有授权的属性进行本地授权;对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS授权是否有效;如果有效,则通过认证请求;如果无效,则对RADIUS认证已经授权的属性中无效的属性进行本地授权;
步骤S218,认证通过,结束流程;
步骤S220,拒绝认证请求,结束流程。
本发明的一个实施例还提供了一种宽带接入认证系统,包括:
宽带接入服务器,其包括:第一配置模块,用于配置用户及其属性;本地认证模块,用于收到用户的认证请求后,对宽带接入服务器本身所配置的用户的属性进行本地认证;以及本地授权模块,用于根据RADIUS授权的回应报文对用户进行本地授权;
RADIUS服务器,其包括:第二配置模块,用于也配置相同的用户及其属性;RADIUS认证模块,用于如果本地认证通过,则对RADIUS服务器本身所配置的用户的属性进行RADIUS认证;以及RADIUS授权模块,用于如果RADIUS认证也通过,则对用户进行RADIUS授权。
优选的,RADIUS授权模块具体包括:RADIUS授权单元,用于对RADIUS服务器本身所配置的用户的属性进行RADIUS授权;回应单元,用于向宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
优选的,本地授权模块具体包括:第一补充授权单元,用于对没有授权的属性进行本地授权;判断单元,用于对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS授权是否有效;第二补充授权单元,用于如果有效,则通过认证请求;如果无效,则对RADIUS认证已经授权的属性中无效的属性进行本地授权。
从以上的描述中,可以看出,上述实施例的混合授权方法和宽带接入认证系统能够实现同一个用户的RADIUS授权和本地授权相结合,从而能够解决现有技术中RADIUS认证与本地认证分离所导致的问题,为用户实现有效地宽带接入。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种混合授权方法,其特征在于,包括以下步骤:
在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;
收到用户的认证请求后,所述宽带接入服务器对其本身所配置的所述用户的属性进行本地认证;
如果所述本地认证通过,则所述RADIUS服务器对其本身所配置的所述用户的属性进行RADIUS认证;
如果所述RADIUS认证也通过,则所述RADIUS服务器对所述用户进行RADIUS授权;以及
所述宽带接入服务器根据所述RADIUS授权的回应报文对所述用户进行本地授权。
2.根据权利要求1所述的混合授权方法,其特征在于,如果所述本地认证未通过,则拒绝所述用户的认证请求,并取消所述RADIUS认证。
3.根据权利要求1所述的混合授权方法,其特征在于,如果所述RADIUS认证未通过,则拒绝所述用户的认证请求。
4.根据权利要求1所述的混合授权方法,其特征在于,所述RADIUS服务器对所述用户进行RADIUS授权具体包括:
所述RADIUS服务器对其本身所配置的所述用户的属性进行RADIUS授权;
所述RADIUS服务器向所述宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
5.根据权利要求4所述的混合授权方法,其特征在于,所述宽带接入服务器根据所述RADIUS授权的回应报文对所述用户进行本地授权具体包括:
所述宽带接入服务器对所述没有授权的属性进行所述本地授权;
对于所述RADIUS认证已经授权的属性,则所述接入服务器先判断所述RADIUS授权是否有效;
如果有效,则通过所述认证请求;如果无效,则对所述RADIUS认证已经授权的属性中无效的属性进行所述本地授权。
6.根据权利要求1所述的混合授权方法,其特征在于,还包括:
所述宽带接入服务器对其本身所配置的所述用户的属性进行物理绑定检查;
如果所述物理绑定检查未通过,则拒绝所述用户的认证请求,并取消所述RADIUS认证。
7.根据权利要求1所述的混合授权方法,其特征在于,还包括:
检查用户所在的域是否已经使能混合授权属性;
如果是,则继续执行所述本地认证和所述RADIUS认证以及所述本地授权和所述RADIUS授权的步骤。
8.一种宽带接入认证系统,其特征在于,包括:
宽带接入服务器,其包括:
第一配置模块,用于配置用户及其属性;
本地认证模块,用于收到用户的认证请求后,对所述宽带接入服务器本身所配置的所述用户的属性进行本地认证;以及
本地授权模块,用于根据所述RADIUS授权的回应报文对所述用户进行本地授权;
RADIUS服务器,其包括:
第二配置模块,用于也配置相同的用户及其属性;
RADIUS认证模块,用于如果所述本地认证通过,则对所述RADIUS服务器本身所配置的所述用户的属性进行RADIUS认证;以及
RADIUS授权模块,用于如果所述RADIUS认证也通过,则对所述用户进行RADIUS授权。
9.根据权利要求8所述的宽带接入认证系统,其特征在于,所述RADIUS授权模块具体包括:
RADIUS授权单元,用于对所述RADIUS服务器本身所配置的所述用户的属性进行RADIUS授权;
回应单元,用于向所述宽带接入服务器发送认证回应报文,其中携带已经授权的属性和没有授权的属性。
10.根据权利要求9所述的宽带接入认证系统,其特征在于,所述本地授权模块具体包括:
第一补充授权单元,用于对所述没有授权的属性进行所述本地授权;
判断单元,用于对于所述RADIUS认证已经授权的属性,则所述接入服务器先判断所述RADIUS授权是否有效;
第二补充授权单元,用于如果有效,则通过所述认证请求;如果无效,则对所述RADIUS认证已经授权的属性中无效的属性进行所述本地授权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100091518A CN101227282B (zh) | 2008-01-29 | 2008-01-29 | 混合授权方法和宽带接入认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100091518A CN101227282B (zh) | 2008-01-29 | 2008-01-29 | 混合授权方法和宽带接入认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101227282A true CN101227282A (zh) | 2008-07-23 |
| CN101227282B CN101227282B (zh) | 2011-05-11 |
Family
ID=39859054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100091518A Active CN101227282B (zh) | 2008-01-29 | 2008-01-29 | 混合授权方法和宽带接入认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101227282B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515803A (zh) * | 2014-09-24 | 2016-04-20 | 国基电子(上海)有限公司 | 用户端设备及其配置方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1265580C (zh) * | 2002-12-26 | 2006-07-19 | 华为技术有限公司 | 一种对网络用户进行认证和业务管理的方法 |
| CN100471103C (zh) * | 2003-08-13 | 2009-03-18 | 华为技术有限公司 | 一种三层用户的认证方法 |
| EP1562343A1 (fr) * | 2004-02-09 | 2005-08-10 | France Telecom | Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP |
-
2008
- 2008-01-29 CN CN2008100091518A patent/CN101227282B/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515803A (zh) * | 2014-09-24 | 2016-04-20 | 国基电子(上海)有限公司 | 用户端设备及其配置方法 |
| CN105515803B (zh) * | 2014-09-24 | 2019-01-25 | 国基电子(上海)有限公司 | 用户端设备及其配置方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101227282B (zh) | 2011-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101647254B (zh) | 用于为终端设备提供服务的方法和系统 | |
| CN101729514B (zh) | 一种业务调用的实现方法及装置和系统 | |
| KR100576956B1 (ko) | 통신 네트워크에서 제1 통신 가입자의 인증을 검사하는방법 및 시스템 | |
| CN101183932B (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
| US7088988B2 (en) | Over-the-air subsidy lock resolution | |
| CA2468599C (en) | Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners | |
| CN101217367B (zh) | 引入鉴权客户端实现业务鉴权的系统及方法 | |
| CN103117987B (zh) | 数字证书更新方法 | |
| CN102113358B (zh) | 实现终端设备锁网的方法、系统及终端设备 | |
| CN104378342A (zh) | 多账号验证方法、装置及系统 | |
| CN101385034A (zh) | 应用检验 | |
| CN102413224A (zh) | 绑定、运行安全数码卡的方法、系统及设备 | |
| EP1766847A1 (en) | Method for generating and verifying an electronic signature | |
| CN106936600B (zh) | 流量计费方法和系统以及相关设备 | |
| CN106211131A (zh) | 虚拟sim卡的管理方法、管理装置、服务器及终端 | |
| CN1713578A (zh) | 下载内容的方法和系统 | |
| AU2003245925B2 (en) | Method, system and terminal for receiving content with authorized access | |
| CN1684411A (zh) | 一种验证移动终端用户合法性的方法 | |
| CN1823494B (zh) | 保护电子证书的方法 | |
| CN105530714B (zh) | Mifi通信服务系统和其mifi和通信方法 | |
| CN101227282B (zh) | 混合授权方法和宽带接入认证系统 | |
| US20050102519A1 (en) | Method for authentication of a user for a service offered via a communication system | |
| JP5205469B2 (ja) | 無線アクセスネットワークにおける閉グループにアクセスするための方法 | |
| CN104902481A (zh) | 一种可以免流量的安全接管方法 | |
| US7861293B2 (en) | Mobile terminal and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |