CN101888389A - 一种实现icp联盟统一认证的方法和系统 - Google Patents
一种实现icp联盟统一认证的方法和系统 Download PDFInfo
- Publication number
- CN101888389A CN101888389A CN2010102329706A CN201010232970A CN101888389A CN 101888389 A CN101888389 A CN 101888389A CN 2010102329706 A CN2010102329706 A CN 2010102329706A CN 201010232970 A CN201010232970 A CN 201010232970A CN 101888389 A CN101888389 A CN 101888389A
- Authority
- CN
- China
- Prior art keywords
- address
- request
- user
- dhcp
- icp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提出一种实现ICP联盟统一认证的方法和系统,在认证用户帐号和密码合法之后,还根据用户的物理位置来进行认证,并为同一物理端口标记的用户终端分配固定IP地址。因此,本发明具有更高的认证安全性。
Description
技术领域
本发明属于数据通信中互联网技术领域,尤其涉及一种实现ICP联盟统一认证的方法和系统。
背景技术
目前主流的宽带接入用户都采用PPPoE进行用户的认证管理,PPPoE的协商过程如图1所示。PPPoE可分为三个阶段,即Discovery阶段、Session阶段和Terminate阶段。
Discovery阶段由四个过程组成。完成之后通信双方都会知道PPPoE的Session_ID以及对方以太网地址,它们共同确定了唯一的PPPoE Session。包括以下步骤:PPPoE Client广播发送一个PADI报文,在此报文中包含PPPoE Client想要得到的服务类型信息。所有的PPPoE Server收到PADI报文之后,将其中请求的服务与自己能够提供的服务进行比较,如果可以提供,则单播回复一个PADO报文。根据网络的拓扑结构,PPPoE Client可能收到多个PPPoE Server发送的PADO报文,PPPoE Client选择最先收到的PADO报文对应的PPPoE Server作为自己的PPPoE Server,并单播发送一个PADR报文。PPPoE Server产生一个唯一的会话ID(SESSION ID),标识和PPPoE Client的这个会话,通过发送一个PADS报文把会话ID发送给PPPoE Client,如果没有错误,会话建立后便进入PPPoE Session阶段。
Session阶段可划分为两部分,一是PPP协商阶段,二是PPP报文传输阶段。PPPoE Session上的PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段。LCP阶段主要完成建立、配置和检测数据链路连接。LCP协商成功后,开始进行认证工作,认证协议类型由LCP协商结果(CHAP或者PAP)决定。认证成功后,PPP进入NCP阶段,NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。在IPv4的情况下,PPP是通过IPv4CP来获取IP地址和DNS地址的配置。对PPP协议扩展使PPPoE支持IPv6,而IPv6CP只能获取IPv6地址的64位接口标识,IPv6地址的前缀需要通过其他方式获取。如图2所示,最前面10位是连接本地前缀FE80::,中间是54位的0填充,后面64位是接口标识。IPv6地址的前缀通过路由器通告(router advertisement/RA)机制来传递。这意味着一旦PPP建立,IPv6路由器通告包会从服务器发送给客户端,携带着IPv6地址前缀。接着客户端要发送DHCPv6请求给服务器来获取DNS相关信息。PPPoE Session的PPP协商成功后,其上就可以承载PPP数据报文。在PPPoE Session阶段所有的以太网数据包都是单播发送的。
在Terminate阶段,PPP通信双方应该使用PPP协议自身(比如PPP终结报文)来结束PPPoE会话,但在无法使用PPP协议结束会话时可以使用PADT报文。进入PPPoE Session阶段后,PPPoE Client和PPPoE Server都可以通过发送PADT报文的方式来结束PPPoE连接。PADT数据包可以在会话建立以后的任意时刻单播发送。在发送或接收到PADT后,就不允许再使用该会话发送PPP流量了,即使是常规的PPP结束数据包也不允许发送。
下面通过实例对PPPoE执行的用户认证管理过程进行说明。
用户从PC直接拨号,使用支持IPv6的拨号软件,发起IPv6拨号过程。从PC机开始PPPoE发现过程,查找能够提供PPPoE服务的BRAS;PC机收到BRAS的响应后,开始LCP建立请求,由BRAS返回确认;由PC机发起LCP认证请求,可以是PAP或CHAP认证;BRAS收到认证请求后,发送到RADIUS进行用户认证,RADIUS通过用户名和密码进行认证,在认证通过后返回确认消息;BRAS收到RADIUS的认证确认消息后,向PC机发送确认信息;从PC机发起正常的PPP-IPCPv4请求过程,并获取DNS服务器地址;从PC机发起IPCPv6请求,由BRAS响应,建立IPv6的连接;PC机发起ICMPv6RS请求IPv6无状态地址配置,由BRAS发送ICMPv6RA,带回IPv6地址前缀(可选)。同时将O比特置位(O比特用来指示IPv6的DNS服务器地址需要通过DHCP过程获得);如果BRAS没有下发IPv6地址前缀,则指示用户通过DHCP过程获取IPv6地址前缀;从PC机向DHCPv6SERVER或外接DHCPv6SERVER发起一个DHCPv6请求,由BRAS做DHCP RELAY;BRAS配置为DHCP-PD Server,网关配置为DHCP-PD Client,从网关发起一个DHCPv6请求,由BRAS进行响应,为PC机发送地址前缀(可选,如果上面步骤没有发送)、前缀长度;拨号过程完成,用户可正常连接到网络,传送IPv6报文,BRAS上用户的IPv4和IPv6业务由同一PPPoE Session承载。
发明内容
本发明要解决的技术问题是提出一种实现ICP联盟统一认证的方法和系统,以提高认证的安全性。
根据本发明的一个方面,提出一种实现ICP联盟统一认证的方法,包括以下步骤:用户终端向BRAS发送PPPoE请求;DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS服务器;BRAS保存物理端口标记,建立与用户终端的PPPoE连接;用户终端向BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码;BRAS接收用户的Radius认证请求包,在该包上加上先前接收的物理端口标记后发送给Radius认证服务器;Radius认证服务器将用户帐号和物理端口标记前转到地址管理服务器;地址管理服务器在本地缓存用户帐号和物理端口标记;Radius认证服务器检查用户帐号和密码是否合法,如果合法,向用户终端返回认证通过信息;用户终端发起无状态IPv6地址分配请求,BRAS回复用户终端需要通过DHCP获取地址;用户终端发起DHCP地址请求,DSLAM在DHCP地址请求中插入物理端口标记,转发给BRAS;BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口标记,将其中继到地址管理服务器;地址管理服务器查找在DHCP地址请求携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
进一步,DSLAM在DHCP地址请求中插入物理端口标记的操作可以是在DHCP地址请求的Option82字段中插入物理端口标记。
进一步,分配IP地址的操作中,还包括以下步骤:检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
进一步,在分配IP地址之后,还向ICP接口服务器发送地址更新信息,在地址更新信息中包括用户帐号和IPv6地址。
根据本发明的另一个方面,还提出一种实现ICP联盟统一认证的系统,包括:DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS;在DHCP地址请求中插入物理端口标记,转发给BRAS;宽带接入服务器BRAS,保存物理端口标记,建立与用户终端的PPPoE连接;接收Radius认证请求,所述认证请求包括用户帐号、密码,在Radius认证请求中插入物理端口标记,发送给Radius认证服务器;指示用户终端通过DHCP过程获取IPv6地址,接收携带物理端口标记的DHCP请求并中转到地址管理服务器;Radius服务器,将用户帐号和物理端口标记前转到地址管理服务器;在检查用户帐号和密码合法后返回认证通过信息;地址管理服务器,在本地缓存用户帐号和物理端口标记;查找在DHCP地址请求中携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
进一步,DSLAM在DHCP地址请求的Option82字段中插入物理端口标记。
进一步,所述地址管理服务器检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
进一步,系统还包括ICP接口服务器,接收并保存地址管理服务器发送的地址更新信息,在地址更新信息中包括用户帐号和IPv6地址。
根据本发明的另一个方面,还提出一种地址管理服务器,包括:保存单元,在本地缓存用户帐号和物理端口标记;查找单元,查找在DHCP地址请求中携带的物理端口标记是否记载在本地缓存中,如果是,通知分配单元;分配单元,分配IP地址。
进一步,所述分配单元检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
与现有技术相比,本发明具有至少如下之一的优点:
本发明通过用户名和密码进行认证的方式的基础上,还可通过DHCP过程,即根据用户的物理位置来进行认证,因此具有更高的认证安全性。
本发明通过对同一物理端口标记的用户终端分配固定IP地址,不管用户在哪上网,通过该IP地址即可确认具体的用户终端,从而提供了对动态地址的固定分配功能,以及可追溯的用户认定机制。
利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商合作的互联网应用。用户访问各种互联网应用再也不用每个业务都需要一个登录过程,也不需要为每个业务记一个用户名和密码,从而达到简化用户使用,提高运营商对用户的服务质量的目的。
附图说明
图1为现有技术中PPPoE的协商过程。
图2为现有技术中IPv6地址格式。
图3为本发明实现ICP联盟统一认证的方法流程。
图4为实现ICP联盟统一认证的系统结构图。
图5为实现ICP联盟统一认证的另一系统结构图。
具体实施方式
本发明涉及到的技术包括认证技术、基于物理端口标记的用户识别技术。通过将DHCPv6服务器进行功能改造后成为地址管理服务器,结合RADIUS服务器、BRAS(宽带接入服务器)、DSLAM等实现对用户分配固定的IPv6地址。用户正常使用各种终端连接上网,不需要任何特别的操作。
基于物理端口标记的用户识别技术包括:PPPoE+、DHCPoption82等技术。利用PPPoE(PPP Over Ethernet)和DCHP协议的可扩展性(DCHP,Dynamic Host Configuration Protocol,是TCPIP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址),由IP-DSLAM在PPPoE或DHCP报文中插入宽带用户所在IP-DSLAM设备上的唯一物理端口标记并上报给BRAS,再由BRAS通过Radius协议或DHCPv6relay上传到RADIUS Server或DHCP Server。
PPPoE+方案的思路是,DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后,在报文里增加表示物理端口标记的PPPoE+tag。上游BRAS识别出PPPoE+Tag以后,会把物理端口标记提取出来,用Radius NAS-Port-ID属性发给Radius Server,用来做用户识别和用户管理。
PPPoE+的具体流程如下:用户终端发起PPPOE请求,发送PPPOE PADI报文。DSLAM捕捉到PADI报文,送给PPPoE Intermediate Agent处理。PPPoE Intermediate Agent按照用户的物理位置,把用户的物理位置信息当作VSA(Vendor Specified Attribute)写入PADI报文里。这个VSA就是PPPoE+Tag。BRAS收到PADI+VSA以后,给用户回应PADO报文。终端按照正常流程,发送PADR报文,请求BRAS接入。DSLAM捕捉PADR报文,把PPPoE+Tag插入到PADR报文里。BRAS接收到PADR+VSA以后,为这个STB分配一个PPP Session ID,把这个PPPoE+Tag和PPP Session ID绑定起来。BRAS这时可以正常处理PPP流程。PPP流程完成以后,BRAS通过Radius NAS-Port-ID把PPPoE+Tag发送给Radius Server。
DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP配置参数,对用户端的IP层进行配置。用来作为认证用的OPTION字段主要为OPTION60和OPTION82。其中OPTION60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是DSLAM端口信息或交换机的桥MAC、用户接入的端口号和DHCP报文所在VLAN号。DHCP服务器上包含有所有合法接入用户的OPTION82信息,当收到一个DHCP请求报文后,直接利用OPTION82信息和数据库中的合法信息进行比对,若一致,则认为用户合法,再根据OPTION60字段分配IP地址。若不一致,则认为用户非法,不分配IP地址。可以看出,在现有技术中通过用户名和密码进行认证的方式的基础上,还可通过DHCP过程,即根据用户的物理位置来进行认证,因此具有更高的认证安全性。DHCP OPTION82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入,在实际应用中,为了能明确具体用户,通常在接入交换机上利用DHCPSNOOPING实现OPTION82信息的插入。DHCP服务器还可以根据OPTION82信息制定地址分配策略,如对OPTION82信息相同的DHCP请求只分配一个IP地址,这样可以有效的防范对DHCP请求DoS攻击,防止DHCP服务器地址池枯竭。
下面将结合附图,对本发明所述方法以及系统进行详细说明。
图3所示为本发明实现ICP联盟统一认证的方法流程,参与这部分的设备包括DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线路接入复用器,DSLAM是各种DSL系统的局端设备)、BRAS(Broadband Remote Access Server,宽带远程接入服务器)、地址管理服务器、Radius服务器(Remote Authentication Dial In User Service,远端用拨入验证服务)和ICP接口服务器(ICP,Internet Content Provider,互联网内容提供商)。该方法包括以下步骤:
在步骤301,用户终端向BRAS发送PPPoE请求。
在步骤302,DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS。
在步骤303,BRAS保存物理端口标记,建立与用户终端的PPPoE连接。
在步骤304,用户终端向BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码。
在步骤305,BRAS接收用户的Radius认证请求包,在该包上加上先前接收的物理端口标记后发送给Radius认证服务器。
在步骤306,Radius认证服务器将用户帐号和物理端口标记前转到地址管理服务器。
在步骤307,地址管理服务器在本地缓存用户帐号和物理端口标记,还可以加上时间戳,时间戳有效期可设为5-30分钟,过期后删除该信息。
在步骤308,Radius认证服务器检查用户帐号和密码是否合法,如果合法,向用户终端返回认证通过信息。
在步骤309,用户终端发起无状态IPv6地址分配请求,BRAS回复用户终端需要通过DHCP获取地址。
在步骤310,用户终端发起DHCP地址请求,DSLAM检查DHCP信息,插入物理端口标记并转发给BRAS。具体的,可以在DHCP请求的Option82字段中插入物理端口标记。
在步骤311,BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口标记,将其中继到地址管理服务器。
在步骤312,地址管理服务器查找在DHCP地址请求携带的物理端口标记是否记载在本地缓存中,如果是,认为该用户终端合法,分配IP地址。本发明通过PPPOE+信息和OPTION 82信息比对获取用户帐户,既解决了DHCP接收方无用户身份信息的问题,又解决了用户的可溯源问题,使用户的消费信息更完整,更安全。
地址管理服务器在分配IP地址时,可以根据从其他相关系统接收宽带用户的地址分配规则进行分配。当地址分配规则变更时,在地址管理服务器中删除所涉及用户终端的登记记录,用户终端在下次登录时走一般地址分配流程,流程结束后用户终端就获得新的IP地址,同时相关服务器上的登记记录也完成更新。
在现有技术的认证过程中,通过在用户电脑里保存一个认证记录,只要验证用户名和密码正确,就认为该用户终端合法。这样做存在2个重大的安全风险:1)用户电脑被他人使用时无法保证安全;2)记录信息容易被盗取。而本发明除验证用户名和密码外,还验证物理端口标记是否一致,也就是说,即使盗取用户名和密码,但是无法复制该用户终端的物理端口标记,也就无法通过合法性验证过程。从而确保了用户终端的安全,提高了认证的安全性。
利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商合作的互联网应用。用户访问各种互联网应用再也不用每个业务都需要一个登录过程,也不需要为每个业务记一个用户名和密码,从而达到简化用户使用,提高运营商对用户的服务质量的目的。
进一步,在步骤312的分配IP地址的操作中,还可以包括以下步骤:检查地址分配记录,如标记为非分配或无记录,说明用户终端是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址。如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。本发明通过对同一物理端口标记的用户终端分配固定IP地址,不管用户在哪上网,通过该IP地址即可确认具体的用户终端,从而提供了对动态地址的固定分配功能,以及可追溯的用户认定机制。
在分配IP地址之后,地址管理服务器还可以向ICP接口服务器发送地址登记更新同步请求,将分配给用户终端的IP地址以及用户帐号同步给ICP接口服务器,并通过ICP接口服务器为ICP提供对业务定购信息的授权支持。用户终端就可以定购并使用ICP服务,为实现不同ICP之间的互信提供了保障。
下面对用户终端的业务定购过程进行说明。
用户通过浏览运营商或ICP的门户网站查找感兴趣的增值业务,用户如果直接点击使用该增值业务,ICP通过识别用户的IPv6地址识别用户,通过检查定购信息发现用户无权限,则用户请求被拒绝。用户提交业务定购请求,如果是通过ICP提交业务请求有2种处理方法,一是ICP直接将业务请求重定向到运营商的业务定购服务,另一种是ICP接收用户的业务请求,然后将用户定购的业务发送给运营商的业务定购服务,可直接使用用户的IPv6地址作为用户标识。运营商的业务定购服务在通过各种途径接收到用户的业务定购请求后将业务定购信息发送到ICP接口服务器,可直接使用用户的IPv6地址作为用户标识。ICP接口服务器在接收到新的业务定购请求后,根据业务定购信息和目标ICP进行信息同步,进一步,根据条件可同时同步用户行为偏好信息。用户可以直接使用ICP的服务,ICP通过识别用户的IPv6地址识别用户,查询ICP接口服务器并根据获得的业务定购信息给用户进行授权。
下面对用户终端退定业务时所执行的流程进行说明。
通过ICP提交业务退定有2种处理方法,一是ICP直接将业务退定请求重定向到运营商的业务定购服务,另一种是ICP接收用户的业务退定请求,然后将用户退定的业务发送给运营商的业务定购服务,可直接使用用户的IPv6地址作为用户标识。运营商的业务定购服务在通过各种途径接收到用户的业务退订请求后,将业务退定信息发送到ICP接口服务器,可直接使用用户的IPv6地址作为用户标识。ICP接口服务器在接收到新的业务退定请求后,根据业务退定信息和目标ICP进行信息同步。ICP通过识别用户的IPv6地址识别用户,通过检查定购信息发现用户无权限。
下面结合附图,对本发明实现上述流程的系统结构进行说明。图4为实现ICP联盟统一认证的系统结构图,包括DSLAM、宽带接入服务器BRAS、Radius服务器以及地址管理服务器。
DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS;在DHCP请求中插入物理端口标记,转发给BRAS,具体的,可以在DHCP请求的Option82字段中插入物理端口标记。
宽带接入服务器BRAS,保存物理端口标记,建立与用户终端的PPPoE连接;接收Radius认证请求,所述认证请求包括用户帐号、密码,在Radius认证请求中插入物理端口标记后发送给Radius认证服务器;指示用户终端通过DHCP过程获取IPv6地址,接收携带物理端口标记的DHCP请求并中转到地址管理服务器。
Radius服务器,将用户帐号和物理端口标记前转到地址管理服务器;在检查用户帐号和密码合法后返回认证通过信息,完成用户的认证授权等基本功能。
地址管理服务器,在本地缓存用户帐号和物理端口标记,还可以标记时间戳;查找在DHCP请求中携带的物理端口标记是否记载在本地缓存中,如果是,认为该用户终端合法,分配IP地址。本发明通过PPPOE+信息和OPTION 82信息比对获取用户帐户,既解决了DHCP接收方无用户身份信息的问题,又解决了用户的可溯源问题,使用户的消费信息更完整,更安全。
所述地址管理服务器在分配IP地址时,可以根据从其他相关系统接收宽带用户的地址分配规则进行分配。当地址分配规则变更时,在地址管理服务器中删除所涉及用户终端的登记记录,用户终端在下次登录时走一般地址分配流程,流程结束后用户终端就获得新的IP地址,同时相关服务器上的登记记录也完成更新。
在现有技术的认证过程中,通过在用户电脑里保存一个认证记录,只要验证用户名和密码正确,就认为该用户终端合法。这样做存在2个重大的安全风险:1)用户电脑被他人使用时无法保证安全;2)记录信息容易被盗取。而本发明除验证用户名和密码外,还通过地址管理服务器验证物理端口标记是否一致,也就是说,即使盗取用户名和密码,但是无法复制该用户终端的物理端口标记,也就无法通过合法性验证过程。从而确保了用户终端的安全,提高了认证的安全性。
利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商合作的互联网应用,从而达到简化用户使用,提高运营商对用户的服务质量的目的。
本发明的地址管理服务器在分配IP地址的操作中,检查地址分配记录,如标记为非分配或无记录,说明用户终端是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址。如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。本发明通过对同一物理端口标记的用户终端分配固定IP地址,通过该IP地址即可确认具体的用户终端,从而提供了对动态地址的固定分配功能,以及可追溯的用户认定机制。
本发明实现ICP联盟统一认证的系统,还可以包括ICP接口服务器,如图5所示。通过ICP接口服务器保存IP地址、业务定购信息,并在用户终端使用ICP服务时,向ICP提供相关信息,以确认用户使用权限等。
用户可以从运营商渠道定购业务,也可通过ICP直接定购业务,当用户从ICP直接定购时,由ICP充当业务管理系统或将相关操作转到业务管理系统完成。业务管理系统是外部系统,用于将用户的业务定购信息发送到ICP接口服务器,在业务定购信息中包括用户帐号。
ICP接口服务器保存业务定购信息,还可以保存用户行为偏好信息。通过对用户行为偏好信息的共享机制,使得ICP和运营商都能更好的服务用户。ICP接口服务器保存IP地址和用户帐号的对应关系,并将业务定购信息中用户帐号替换成用户的IP地址。ICP接口服务器中的IP地址为用户第一次被分配的地址或所分配的地址调整时由地址管理服务器更新到ICP接口服务器。用户使用ICP服务时,ICP通过识别用户的IPv6地址识别用户,通过WebServices查询接口查询ICP接口服务器,获取用户业务定购信息和行为偏好信息,确认用户的身份和授权信息等。
Claims (10)
1.一种实现ICP联盟统一认证的方法,包括以下步骤:
用户终端向BRAS发送PPPoE请求;
DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS服务器;
BRAS保存物理端口标记,建立与用户终端的PPPoE连接;
用户终端向BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码;
BRAS接收用户的Radius认证请求包,在该包上加上先前接收的物理端口标记后发送给Radius认证服务器;
Radius认证服务器将用户帐号和物理端口标记前转到地址管理服务器;
地址管理服务器在本地缓存用户帐号和物理端口标记;
Radius认证服务器检查用户帐号和密码是否合法,如果合法,向用户终端返回认证通过信息;
用户终端发起无状态IPv6地址分配请求,BRAS回复用户终端需要通过DHCP获取地址;
用户终端发起DHCP地址请求,DSLAM在DHCP地址请求中插入物理端口标记,转发给BRAS;
BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口标记,将其中继到地址管理服务器;
地址管理服务器查找在DHCP地址请求携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
2.根据权利要求1所述实现ICP联盟统一认证的方法,其中,DSLAM在DHCP地址请求中插入物理端口标记的操作,包括以下步骤:在DHCP地址请求的Option82字段中插入物理端口标记。
3.根据权利要求1所述实现ICP联盟统一认证的方法,其中,分配IP地址的操作中,还包括以下步骤:检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
4.根据权利要求1所述实现ICP联盟统一认证的方法,其中,在分配IP地址之后,还向ICP接口服务器发送地址更新信息,在地址更新信息中包括用户帐号和IPv6地址。
5.一种实现ICP联盟统一认证的系统,包括:
DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS;在DHCP地址请求中插入物理端口标记,转发给BRAS;
宽带接入服务器BRAS,保存物理端口标记,建立与用户终端的PPPoE连接;接收Radius认证请求,所述认证请求包括用户帐号、密码,在Radius认证请求中插入物理端口标记,发送给Radius认证服务器;指示用户终端通过DHCP过程获取IPv6地址,接收携带物理端口标记的DHCP请求并中转到地址管理服务器;
Radius服务器,将用户帐号和物理端口标记前转到地址管理服务器;在检查用户帐号和密码合法后返回认证通过信息;
地址管理服务器,在本地缓存用户帐号和物理端口标记;查找在DHCP地址请求中携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
6.根据权利要求5所述实现ICP联盟统一认证的系统,其中,DSLAM在DHCP地址请求的Option82字段中插入物理端口标记。
7.根据权利要求5所述实现ICP联盟统一认证的系统,其中,所述地址管理服务器检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
8.根据权利要求5所述实现ICP联盟统一认证的系统,还包括:ICP接口服务器,接收并保存地址管理服务器发送的地址更新信息,在地址更新信息中包括用户帐号和IPv6地址。
9.一种地址管理服务器,包括:
保存单元,在本地缓存用户帐号和物理端口标记;
查找单元,查找在DHCP地址请求中携带的物理端口标记是否记载在本地缓存中,如果是,通知分配单元;
分配单元,分配IP地址。
10.根据权利要求9所述地址管理服务器,其中,所述分配单元检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010232970.6A CN101888389B (zh) | 2010-07-19 | 2010-07-19 | 一种实现icp联盟统一认证的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010232970.6A CN101888389B (zh) | 2010-07-19 | 2010-07-19 | 一种实现icp联盟统一认证的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101888389A true CN101888389A (zh) | 2010-11-17 |
| CN101888389B CN101888389B (zh) | 2013-04-17 |
Family
ID=43074110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010232970.6A Active CN101888389B (zh) | 2010-07-19 | 2010-07-19 | 一种实现icp联盟统一认证的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101888389B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394948A (zh) * | 2011-11-04 | 2012-03-28 | 杭州华三通信技术有限公司 | Dhcp地址分配方法及dhcp服务器 |
| CN102647486A (zh) * | 2012-04-28 | 2012-08-22 | 华为技术有限公司 | 地址分配方法、设备和系统 |
| CN102833363A (zh) * | 2012-08-20 | 2012-12-19 | 大唐移动通信设备有限公司 | 一种ip地址分配方法、装置及系统 |
| WO2013026306A1 (zh) * | 2011-08-19 | 2013-02-28 | 中兴通讯股份有限公司 | 一种身份标识和网关地址的分配方法及系统 |
| CN103139326A (zh) * | 2013-03-06 | 2013-06-05 | 中国联合网络通信集团有限公司 | Ip溯源方法、设备和系统 |
| CN103179222A (zh) * | 2011-12-21 | 2013-06-26 | 中国移动通信集团公司 | 一种双栈地址分配方法和设备 |
| CN103580880A (zh) * | 2012-08-03 | 2014-02-12 | 华为技术有限公司 | 一种快速通知cgn异常的方法、设备及系统 |
| CN103780711A (zh) * | 2012-10-18 | 2014-05-07 | 中国电信股份有限公司 | 接入类型智能判定的地址分配方法、系统及aaa系统 |
| CN104780233A (zh) * | 2014-01-14 | 2015-07-15 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
| WO2017092502A1 (zh) * | 2015-11-30 | 2017-06-08 | 上海斐讯数据通信技术有限公司 | 路由器网桥模式下无线终端类型的识别系统及方法 |
| CN110912862A (zh) * | 2018-09-18 | 2020-03-24 | 北大方正集团有限公司 | 内外网用户的网络通信方法、装置、设备及存储介质 |
| CN111314322A (zh) * | 2020-01-21 | 2020-06-19 | 南方电网能源发展研究院有限责任公司 | 一种账号加密方法和账号认证方法 |
| CN113079181A (zh) * | 2021-04-21 | 2021-07-06 | 深圳天源锦合技术有限公司 | 一种基带接入域访问互联网流程方法、终端及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471259A (zh) * | 2002-07-10 | 2004-01-28 | �ձ�������ʽ���� | 用户认证系统和用户认证方法 |
| EP1777872A1 (en) * | 2004-09-01 | 2007-04-25 | Huawei Technologies Co., Ltd. | A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK |
| CN1968087A (zh) * | 2006-01-05 | 2007-05-23 | 中兴通讯股份有限公司 | 一种宽带接入网中用户认证的实现方法 |
| CN101227481A (zh) * | 2008-02-02 | 2008-07-23 | 中兴通讯股份有限公司 | 一种基于dhcp协议的ip接入的方法及其装置 |
| CN101247396A (zh) * | 2008-02-20 | 2008-08-20 | 北大方正集团有限公司 | 一种分配ip地址的方法、装置及系统 |
-
2010
- 2010-07-19 CN CN201010232970.6A patent/CN101888389B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471259A (zh) * | 2002-07-10 | 2004-01-28 | �ձ�������ʽ���� | 用户认证系统和用户认证方法 |
| EP1777872A1 (en) * | 2004-09-01 | 2007-04-25 | Huawei Technologies Co., Ltd. | A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK |
| CN1968087A (zh) * | 2006-01-05 | 2007-05-23 | 中兴通讯股份有限公司 | 一种宽带接入网中用户认证的实现方法 |
| CN101227481A (zh) * | 2008-02-02 | 2008-07-23 | 中兴通讯股份有限公司 | 一种基于dhcp协议的ip接入的方法及其装置 |
| CN101247396A (zh) * | 2008-02-20 | 2008-08-20 | 北大方正集团有限公司 | 一种分配ip地址的方法、装置及系统 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013026306A1 (zh) * | 2011-08-19 | 2013-02-28 | 中兴通讯股份有限公司 | 一种身份标识和网关地址的分配方法及系统 |
| CN102394948A (zh) * | 2011-11-04 | 2012-03-28 | 杭州华三通信技术有限公司 | Dhcp地址分配方法及dhcp服务器 |
| CN102394948B (zh) * | 2011-11-04 | 2014-10-29 | 杭州华三通信技术有限公司 | Dhcp地址分配方法及dhcp服务器 |
| CN103179222A (zh) * | 2011-12-21 | 2013-06-26 | 中国移动通信集团公司 | 一种双栈地址分配方法和设备 |
| CN103179222B (zh) * | 2011-12-21 | 2017-02-08 | 中国移动通信集团公司 | 一种双栈地址分配方法和设备 |
| CN105245638B (zh) * | 2012-04-28 | 2019-06-21 | 华为技术有限公司 | 地址分配方法、设备和系统 |
| WO2013159641A1 (zh) * | 2012-04-28 | 2013-10-31 | 华为技术有限公司 | 地址分配方法、设备和系统 |
| CN102647486B (zh) * | 2012-04-28 | 2015-11-25 | 华为技术有限公司 | 地址分配方法、设备和系统 |
| CN102647486A (zh) * | 2012-04-28 | 2012-08-22 | 华为技术有限公司 | 地址分配方法、设备和系统 |
| CN103580880A (zh) * | 2012-08-03 | 2014-02-12 | 华为技术有限公司 | 一种快速通知cgn异常的方法、设备及系统 |
| US10110555B2 (en) | 2012-08-03 | 2018-10-23 | Huawei Technologies Co., Ltd. | Method, device, and system for quickly informing CGN exception |
| US9553805B2 (en) | 2012-08-03 | 2017-01-24 | Huawei Technologies Co., Ltd. | Method, device, and system for quickly informing CGN exception |
| CN103580880B (zh) * | 2012-08-03 | 2017-12-29 | 华为技术有限公司 | 一种快速通知cgn异常的方法、设备及系统 |
| CN102833363A (zh) * | 2012-08-20 | 2012-12-19 | 大唐移动通信设备有限公司 | 一种ip地址分配方法、装置及系统 |
| CN103780711A (zh) * | 2012-10-18 | 2014-05-07 | 中国电信股份有限公司 | 接入类型智能判定的地址分配方法、系统及aaa系统 |
| CN103780711B (zh) * | 2012-10-18 | 2017-09-15 | 中国电信股份有限公司 | 接入类型智能判定的地址分配方法、系统及aaa系统 |
| CN103139326B (zh) * | 2013-03-06 | 2015-12-23 | 中国联合网络通信集团有限公司 | Ip溯源方法、设备和系统 |
| CN103139326A (zh) * | 2013-03-06 | 2013-06-05 | 中国联合网络通信集团有限公司 | Ip溯源方法、设备和系统 |
| CN104780233B (zh) * | 2014-01-14 | 2018-07-27 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
| CN104780233A (zh) * | 2014-01-14 | 2015-07-15 | 中国电信股份有限公司 | 分配IPv6地址段的方法、宽带网络网关和系统 |
| WO2017092502A1 (zh) * | 2015-11-30 | 2017-06-08 | 上海斐讯数据通信技术有限公司 | 路由器网桥模式下无线终端类型的识别系统及方法 |
| CN110912862A (zh) * | 2018-09-18 | 2020-03-24 | 北大方正集团有限公司 | 内外网用户的网络通信方法、装置、设备及存储介质 |
| CN111314322A (zh) * | 2020-01-21 | 2020-06-19 | 南方电网能源发展研究院有限责任公司 | 一种账号加密方法和账号认证方法 |
| CN113079181A (zh) * | 2021-04-21 | 2021-07-06 | 深圳天源锦合技术有限公司 | 一种基带接入域访问互联网流程方法、终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101888389B (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101888389B (zh) | 一种实现icp联盟统一认证的方法和系统 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| US7542572B2 (en) | Method for securely and automatically configuring access points | |
| EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
| CN100539595C (zh) | 一种基于dhcp扩展属性的ip地址分配方法 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| CN101501670B (zh) | 线缆调制解调器初始化中的早期认证 | |
| CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
| CN103812960A (zh) | 用于订户感知服务的应用的网络地址转换 | |
| CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| CN106302353B (zh) | 身份认证方法、身份认证系统和相关设备 | |
| CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| CN105592062A (zh) | 一种保持ip地址不变的方法及装置 | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| CN101184099A (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
| WO2007028330A1 (fr) | Procede et systeme de distribution automatique d'un service au terminal d'acces ppp | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN105763658B (zh) | 用于被寻址设备动态ip寻址的方法、寻址服务器和系统 | |
| WO2007101378A1 (fr) | Dispositif, procédé et système pour acquérir une adresse ipv6 | |
| CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
| CN101184100A (zh) | 基于动态主机配置协议的用户接入认证方法 | |
| CN105049404A (zh) | 一种家庭网关设备动态ip寻址方法和寻址系统 | |
| KR20120044381A (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |