CN101505308A - 一种IP over Ethernet的认证方法和系统 - Google Patents
一种IP over Ethernet的认证方法和系统 Download PDFInfo
- Publication number
- CN101505308A CN101505308A CNA2009101194840A CN200910119484A CN101505308A CN 101505308 A CN101505308 A CN 101505308A CN A2009101194840 A CNA2009101194840 A CN A2009101194840A CN 200910119484 A CN200910119484 A CN 200910119484A CN 101505308 A CN101505308 A CN 101505308A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- information
- dhcp
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种IP over Ethernet的认证方法和系统。包括以下步骤:插入标识用户位置的信息,生成IPoE SESSION;截取DHCPDiscovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN;基于所述用户位置信息以及所述用户帐号实现用户认证。本发明实现等同于PPPoE形式的DHCP认证过程。
Description
技术领域
本发明属于数据通信领域中用户的认证鉴权,尤其涉及一种IPover Ethernet的认证方法和系统
背景技术
随着宽带业务的迅速发展,家庭网关/IPTV等业务终端大量出现,由于设备本身对认证技术支持的限制以及业务承载的要求,许多终端业务只能采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)方式获取地址,而不是通过目前宽带用户的PPPoE(Point-to-Point Protocol over Ethernet,以太网上的点对点协议)方式获取地址。
DHCP技术是通过网络内一台服务器提供相应的网络配置服务来实现的,可以为网络终端设备提供临时的IP地址、默认网关、DNS服务器等网络配置。虽然DHCP技术可以为用户接入网络提供方便,但相对于PPPoE这种运营级认证协议,还存在以下弊端:
不具备认证功能。终端只要具有DHCP协议,开机即可获得地址,存在一定的安全漏洞;
状态不可控。无法准确的获取用户上下线信息,难以对用户进行按时长流量计费。
发明内容
本发明提出一种IP over Ethernet的认证方法和系统。实现等同于PPPoE形式的DHCP认证过程。
根据本发明一方面,提出一种IP over Ethernet的认证方法,包括以下步骤:插入标识用户位置的信息,生成IPoE SESSION;截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN;基于所述用户位置信息以及所述用户帐号实现用户认证。
根据本发明另一方面,还提出一种IP over Ethernet的认证系统,包括:生成单元,用于插入标识用户位置的信息,生成IPoESESSION,发送给认证单元;截取单元,用于截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN发送给认证单元;认证单元,基于所述用户位置信息以及所述用户帐号实现用户认证。
与现有技术相比,本发明通过对DHCP协议的改善,实现设备端对用户请求的控制,并参考PPPoE认证流程,实现等同于PPPoE形式的DHCP认证过程。
本发明具有以下优点:
在终端只具有DHCP协议时,实现了认证功能,提高了安全性。
准确的获取用户上下线信息,对用户进行按时长流量计费,实时控制用户的状态。
针对电信运营商的下一代终端和业务的管理提供与PPPoE相媲美的可管、可控、可运营的能力,但并不需要PPPoE类似的客户端的协助。
附图说明
图1为本发明中IP over Ethernet的认证方法流程图。
图2为本发明中IP over Ethernet的认证系统结构图。
具体实施方式
本发明通过DHCP的改良协议IPoE,结合网络中MSE设备与平台(DHCP SERVER与RADIUS SERVER)协作实现。包括两个主要过程:用户IPoE SESSION的生成及认证。其中:IPoE SESSION的生成过程是通过DHCP OPTION值的加入。
终端用户上线后,正常发起DHCP请求,由网络接入以及控制设备对DHCP请求插入附加属性并生成可辨认的SESSION,由控制设备将附加属性发送至后台进行认证,经后台认证后返回确认。此后,终端用户通过DHCP进入标准地址获取流程。下面结合附图1对本发明中IP over Ethernet的认证方法进行详细说明。
图1为本发明中IP over Ethernet的认证方法流程图。
在步骤101,插入标识用户位置的信息,生成IPoE SESSION。
终端设备正常开机并发出DHCP广播请求,当具备能力时,即接入节点设备可以识别DHCP option 82字段并且将此字段的值放在DHCP discovery报文中。此时,由用户接入节点设备(AN)截取DHCP并插入DHCP OPTION82信息(DHCP OPTION82是DHCP报文中的中继代理信息选项,relay agent information option),标识用户的位置信息。当不具备能力时,由多业务边缘网关(MSE)设备插入DHCP OPTION82信息。
在步骤102,截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN。其中Domain可以是自己定义的文本字段也可以是依据业务特性采用DHCP协议中的option字段,如MAC@option 60,以达到标识业务的目的。
在步骤103,基于所述用户位置信息以及所述用户帐号实现用户认证。其中,多业务边缘网关将所述OPTION82中的线路信息映射到Nas-Port-Id的相应字段,并发送给后台认证服务器RADIUS,基于Nas-Port-Id/用户帐号/NAS IP进行用户认证。
用户在上线认证过程需要有一个username,本发明中username的组成可以是mac@option 60。其中设备的MAC地址是全球唯一的,因此可以通过识别及控制MAC地址以实现用户的可管理可识别可控制的能力。
位置信息是指option 82字段里用户线路信息,通过该线路信息可精确地定位到宽带用户所在的物理位置,比如用户在申请宽带帐号时所登记的住址、用户在热点地区的地理位置,如某区的某家星巴克。
从步骤101~步骤103已完成IP over Ethernet的认证过程。其中,DHCP OPTION82的插入和格式转换,以及MAC地址的截取和格式转换,最大限度地实现了用户地SESSION建立过程中的用户识别与认证格式地后台认证。在认证通过后,还可以执行以下流程:
在步骤104,当认证通过后,MSE作为DHCP RELAY设备,对该用户SESSION下发相关用户策略,相关策略可以包括如下之一:每个SESSION的上下行带宽大小、QOS profile、Access control list、所属VPN等等,并将用户的DHCP DISCOVERY请求转发至DHCPSERVER。进入常规DHCP流程,完成剩余的OFFER-REQUEST-ACK流程。
本发明中,用户采用DHCP申请IP地址上网后,可以通过用户MAC地址与位置信息实现用户的安全保障认证,因此,不必担心帐号被盗用、被攻击。另外,该方法可以准确的获取用户上下线信息,对用户进行按时长流量计费,实时控制用户的状态。
在DHCP的信息加插、认证格式转换过程中,等待时间非常快完全可达到不影响用户体验。用户终端DHCP协议成熟,支持众多设备以及操作系统,无需在用户端进行硬件或软件的改变,因此,不会影响用户的正常使用。现在的IP终端设备如机顶盒、手机、PC、PDA等等全部缺省支持DHCP客户端。
本发明不需要后台以及平台做改动,仅需在网络沿途设备支持DHCP OPTION格式,并将格式转化为相应认证格式,因此,投资少,实现简单。
图2为本发明中IP over Ethernet的认证系统结构图。包括生成单元、截取单元、认证单元。
生成单元用于插入标识用户位置的信息,生成IPoE SESSION,发送给认证单元。
所述生成单元可以是用户节点接入设备或多业务边缘网关设备。终端设备正常开机并发出DHCP广播请求,当具备能力时,即接入节点设备可以识别DHCP option 82字段并且将此字段的值放在DHCPdiscovery报文中。由用户接入节点设备(AN)截取DHCP并插入DHCP OPTION82信息,标识用户的位置信息,当不具备能力时,由多业务边缘网关(MSE)设备插入该信息。MSE将OPTION82与Nas-Port-Id相一致并发送给认证单元。
截取单元用于截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN发送给认证单元。
认证单元基于所述用户位置信息以及所述用户帐号实现用户认证。
其中,所述多业务边缘网关将所述OPTION82中的线路信息映射到Nas-Port-Id的相应字段并发送给认证单元。所述认证单元基于Nas-Port-Id/用户帐号/NAS IP实现用户认证。认证单元可以是后台认证服务器RADIUS。
用户在上线认证过程需要有一个username,本发明中username的组成可以是mac@option 60。其中设备的MAC地址是全球唯一的,因此可以通过识别及控制MAC地址以实现用户的可管理可识别可控制的能力。
位置信息是指option 82字段里用户线路信息,通过该线路信息可精确地定位到宽带用户所在的物理位置,比如用户在申请宽带帐号时所登记的住址、用户在热点地区的地理位置,如某区的某家星巴克。
生成单元、截取单元、认证单元配合完成IP over Ethernet的认证过程。其中,DHCP OPTION82的插入和格式转换,以及MAC地址的截取和格式转换,最大限度地实现了用户地SESSION建立与认证格式地后台认证。
在认证通过后,MSE作为DHCP RELAY设备,对该用户SESSION下发相关用户策略,相关策略可以包括如下之一:每个SESSION的上下行带宽大小、QOS profile、Access control list、所属VPN等等,并将用户的DHCP DISCOVERY请求转发至DHCPSERVER。进入常规DHCP流程,完成剩余的OFFER-REQUEST-ACK流程。
以宽带用户上网应用为例,某运营商家庭上网用户,需要实现VOIP长期在线业务,并且需要通过家庭网关实现网络连通,而此用户的家庭网关、VOIP电话机都只能支持DHCP获取地址的方式。
用户在使用VOIP电话时,需要长期在线服务,以保障与目前PSTN电话的使用习惯一致,如果只是通过DHCP获取IP地址,保持长期的网络连通性,将存在较大的安全漏洞,即运营商无法确认该用户的请求是否被冒充,也无法随时监控该用户的使用情况,这将给用户与运营商都带来使用及安全上的极大的不方便。
本发明的认证过程是带有用户的唯一线路信息以及MAC地址,并形成一个可以控制的SESSION,因此,其安全性以及随时的监控都可达到电信级运营商的要求。
利用本发明的认证功能,可以为只具备DHCP协议的终端拨号上网用户提供电信级认证能力,可有效对该形式上网用户进行帐号认证计费,最大限定保障使用的安全性。
将会理解,在一个实施例中,所讨论的方法步骤是由执行存储在存储装置中的指令(代码段)的处理(即计算机)系统的(一个或多个)适当的处理器来执行的。还将理解,本发明并不局限于任何特定的实现方式或编程技术,并且本发明可以用任何适当的用于实现这里所描述的功能的技术来实现。本发明并不局限于任何特定的编程语言或操作系统。从而,正如本领域的技术人员将会意识到的,本发明的实施例可以实现为方法、诸如专用装置这样的装置、诸如数据处理系统这样的装置,或者承载介质,例如计算机程序产品。承载介质承载用于控制处理系统实现方法的一个或多个计算机可读代码段。因此,本发明的方面可以采取方法、纯硬件实施例、纯软件实施例或者结合了软件和硬件方面的实施例的形式。此外,本发明可以采取承载包含在介质中的计算机可读程序代码段的承载介质(例如计算机可读存储介质上的计算机程序产品)的形式。可以使用任何合适的计算机可读介质,其中包括诸如磁盘或硬盘这样的磁存储设备,或者诸如CD-ROM这样的光存储介质。
作为对详细描述的结论,应该注意本领域的技术人员将会很清楚可对优选实施例做出许多变化和修改,而实质上不脱离本发明的原理。另外,这种变化和修改想要被包含在所附权利要求书所述的本发明的范围之内。
Claims (9)
1.一种IP over Ethernet的认证方法,包括以下步骤:
插入标识用户位置的信息,生成IPoE SESSION;
截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN;
基于所述用户位置信息以及所述用户帐号实现用户认证。
2.如权利要求1所述的认证方法,其中,插入标识用户位置的信息的操作,包括以下步骤:由用户接入节点设备截取DHCP并插入DHCP OPTION82信息。
3.如权利要求1所述的认证方法,其中,插入标识用户位置的信息的操作,包括以下步骤:由多业务边缘网关设备插入DHCPOPTION82信息。
4.如权利要求2或3所述的认证方法,其中,基于所述用户位置信息以及所述用户帐号实现用户认证的操作,包括以下步骤:将所述OPTION82中的线路信息映射到Nas-Port-Id的相应字段,并基于Nas-Port-Id/用户帐号/NAS IP进行用户认证。
5.一种IP over Ethernet的认证系统,包括:
生成单元,用于插入标识用户位置的信息,生成IPoE SESSION,发送给认证单元;
截取单元,用于截取DHCP Discovery报文中的MAC地址作为认证字段的一部分,转换成用户帐号MAC@DOMAIN发送给认证单元;
认证单元,基于所述用户位置信息以及所述用户帐号实现用户认证。
6.如权利要求5所述的认证系统,其中,所述生成单元是用户节点接入设备,由所述用户接入节点设备截取DHCP并插入DHCPOPTION82信息,标识用户的位置信息。
7.如权利要求5所述的认证系统,其中,所述生成单元是多业务边缘网关设备,由所述多业务边缘网关设备插入DHCP OPTION82信息。
8.如权利要求7所述的认证系统,其中,所述多业务边缘网关将所述OPTION82中的线路信息映射到Nas-Port-Id的相应字段并发送给所述认证单元。
9.如权利要求5所述的认证系统,其中,所述认证单元是后台认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101194840A CN101505308B (zh) | 2009-03-17 | 2009-03-17 | 一种IP over Ethernet的认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101194840A CN101505308B (zh) | 2009-03-17 | 2009-03-17 | 一种IP over Ethernet的认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101505308A true CN101505308A (zh) | 2009-08-12 |
| CN101505308B CN101505308B (zh) | 2012-11-14 |
Family
ID=40977375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101194840A Active CN101505308B (zh) | 2009-03-17 | 2009-03-17 | 一种IP over Ethernet的认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101505308B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
| CN102480399A (zh) * | 2010-11-30 | 2012-05-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
| CN102624619A (zh) * | 2012-03-09 | 2012-08-01 | 上海大亚科技有限公司 | 基于源地址的多默认网关下实现报文转发路由选择的方法 |
| CN102857517A (zh) * | 2012-09-29 | 2013-01-02 | 华为技术有限公司 | 认证方法、宽带远程接入服务器以及认证服务器 |
| CN103401862A (zh) * | 2013-07-29 | 2013-11-20 | 杭州华三通信技术有限公司 | 一种IPoE认证的方法和设备 |
| CN103905920A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 基于以太网动态地址接入的网络电视开通配置方法与系统 |
| TWI455561B (zh) * | 2010-08-04 | 2014-10-01 | Hon Hai Prec Ind Co Ltd | 網路接入設備及其接入網路的方法 |
| CN112600948A (zh) * | 2020-12-09 | 2021-04-02 | 中国电建集团华东勘测设计研究院有限公司 | 在IPoE网络接入环境下的设备及用户定位方法 |
-
2009
- 2009-03-17 CN CN2009101194840A patent/CN101505308B/zh active Active
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI455561B (zh) * | 2010-08-04 | 2014-10-01 | Hon Hai Prec Ind Co Ltd | 網路接入設備及其接入網路的方法 |
| CN101917435A (zh) * | 2010-08-17 | 2010-12-15 | 中国电信股份有限公司 | 实现voip用户认证的方法和系统 |
| CN102480399A (zh) * | 2010-11-30 | 2012-05-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
| CN102480399B (zh) * | 2010-11-30 | 2015-09-30 | 中国电信股份有限公司 | 基于IPoE的多业务认证方法及系统 |
| CN102624619A (zh) * | 2012-03-09 | 2012-08-01 | 上海大亚科技有限公司 | 基于源地址的多默认网关下实现报文转发路由选择的方法 |
| CN102624619B (zh) * | 2012-03-09 | 2015-05-27 | 上海大亚科技有限公司 | 基于源地址的多默认网关下实现报文转发路由选择的方法 |
| CN102857517A (zh) * | 2012-09-29 | 2013-01-02 | 华为技术有限公司 | 认证方法、宽带远程接入服务器以及认证服务器 |
| CN102857517B (zh) * | 2012-09-29 | 2015-12-09 | 华为技术有限公司 | 认证方法、宽带远程接入服务器以及认证服务器 |
| CN103905920A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 基于以太网动态地址接入的网络电视开通配置方法与系统 |
| CN103905920B (zh) * | 2012-12-26 | 2017-07-07 | 中国电信股份有限公司 | 基于以太网动态地址接入的网络电视开通配置方法与系统 |
| CN103401862A (zh) * | 2013-07-29 | 2013-11-20 | 杭州华三通信技术有限公司 | 一种IPoE认证的方法和设备 |
| CN103401862B (zh) * | 2013-07-29 | 2017-04-12 | 杭州华三通信技术有限公司 | 一种IPoE认证的方法和设备 |
| CN112600948A (zh) * | 2020-12-09 | 2021-04-02 | 中国电建集团华东勘测设计研究院有限公司 | 在IPoE网络接入环境下的设备及用户定位方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101505308B (zh) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101505308B (zh) | 一种IP over Ethernet的认证方法和系统 | |
| JP5736511B2 (ja) | ゼロサインオン認証 | |
| CN101064628B (zh) | 家庭网络设备安全管理系统及方法 | |
| CN101765114B (zh) | 一种控制无线用户接入的方法、系统及设备 | |
| JP5876877B2 (ja) | 電気通信ネットワーク及び電気通信ネットワークと顧客構内機器との間の接続の効率的な使用のための方法及びシステム | |
| CN103067340A (zh) | 远程控制网络信息家电的鉴权方法及系统、互联网家庭网关 | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| KR20050116820A (ko) | 공공 핫 스폿에서 클라이언트 터미널의 자동 구성 | |
| EP2356791A1 (en) | Communication system and method | |
| US8824372B2 (en) | Location based authentication for online services | |
| US20130290561A1 (en) | Method and device for providing user information to cgn device | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| WO2009043220A1 (fr) | Procédé et dispositif permettant de commander l'accès d'un dispositif utilisateur à un service multidiffusion dans un réseau d'accès | |
| CN102404293A (zh) | 一种双栈用户管理方法及宽带接入服务器 | |
| CN102474722B (zh) | 对用户终端进行认证的方法及装置 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN103069750B (zh) | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 | |
| EP2845404A1 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| CN112383500A (zh) | 一种对涉及投屏设备的访问请求进行控制的方法及系统 | |
| US20120102146A1 (en) | Method, device and system for obtaining local domain name | |
| CN100438622C (zh) | 网络互动电视漫游用户的可控组播管理方法 | |
| CN114079971A (zh) | 业务流量管控方法、系统、dpi节点及存储介质 | |
| TW201216660A (en) | Method and system for handling security in an IP multimedia gateway | |
| EP2249540B1 (en) | Method for verifying a user association, intercepting module and network node element | |
| CN105791231A (zh) | 进行二次认证的宽带接入方法、终端、服务器和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |