CN102055772A - 用户认证的方法和系统 - Google Patents
用户认证的方法和系统 Download PDFInfo
- Publication number
- CN102055772A CN102055772A CN2011100301626A CN201110030162A CN102055772A CN 102055772 A CN102055772 A CN 102055772A CN 2011100301626 A CN2011100301626 A CN 2011100301626A CN 201110030162 A CN201110030162 A CN 201110030162A CN 102055772 A CN102055772 A CN 102055772A
- Authority
- CN
- China
- Prior art keywords
- cnu
- radius
- authentication
- cbat
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
一种基于同轴网络单元(CNU)的介质访问控制(MAC)地址进行用户认证的方法和系统。所述方法包括:CNU通过CNU管理协议将其MAC地址发送给同轴电缆宽带接入终端(CBAT);CBAT构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CBAT/CNU控制器(CC);CC响应接收到的认证请求报文,构建包括所述MAC地址的远程用户拨号认证系统(Radius)请求报文,并将构建的Radius请求报文发送给Radius服务器;Radius服务器响应接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,将成功或失败的认证结果经由CC发送给CBAT。
Description
技术领域
本发明涉及一种在宽带接入网络系统中进行用户认证的方法和系统,尤其涉及一种基于同轴网络单元(CNU)的介质访问控制(MAC)地址进行用户认证的方法和系统。
背景技术
电缆接入技术(EoC)是下一代广播电视网(NGB)的关键技术之一,该技术基于同轴电缆,通过各种数字调制技术来承载以太网业务和其他各种综合业务,实现下一代广播电视网(NGB)的用户宽带接入。
在EoC网络构架中,CNU、同轴电缆宽带接入终端(CBAT)以及CBAT/CNU控制器(CC)或宽带远程接入服务器(BRAS)的三层接入网基本结构最为普遍。在此三层接入网基本结构中,CBAT和CNU完全不具任何业务控制功能,CNU的用户PC发起以太网上的点对点协议(PPPOE)认证,在BRAS(或CC)上进行PPPOE终结和远程用户拨号认证系统(RemoteAuthentication Dial In User Service,RADIUS)认证。在此种认证方式下,所有用户流量必须在报文中加入PPP头,并且送到BRAS进行处理,然后由BRAS根据认证结果和计费策略集中控制处理是否允许转发通过该流量。
图1示出基于PPPOE方案的典型网络拓扑。图中弯曲的点划线指示宽带用户为接入网络进行认证以及通过网络进行数据传输的PPPoE路径。由于用户的全部网络流量都必须被进行PPP头的封装,使得网络开销增加。
同时,随着网络的发展,网络流量的日益增大,这种流量必须完全由BRAS(或CC)来进行集中处理的方式,势必使得BRAS(或CC)的处理能力成为网络中的瓶颈。因此很有必要引入一种新的认证机制,来简化认证流程,提高网络可维护性和吞吐量。
发明内容
本发明的目的在于提供一种基于在用户的网络接入装置(如CNU)上配置的MAC地址进行认证的方法和系统,彻底免除用户的上网流量中的PPPoE封装,从而提高网络传输效率。
为了实现上述目的,提供一种基于CNU的MAC地址进行用户认证的方法,所述方法包括:CNU通过CNU管理协议将其MAC地址发送给CBAT;CBAT构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CC;CC响应接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文,并将构建的Radius请求报文发送给Radius服务器;Radius服务器响应接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC;CC响应接收到的Radius响应报文,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;和CBAT响应接收到的认证响应报文,根据认证成功的认证结果开放与CNU连接的数据端口。
在用户被授权领取CNU卡时,可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
CNU可以在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
在CNU被成功认证之前,CBAT可以关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
可以在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。
为了实现上述目的,还提供一种基于CNU的MAC进行认证的系统,所述系统包括CNU、CBAT、CC以及Radius服务器,其中:CNU通过CNU管理协议将其MAC地址发送给CBAT;CBAT构建包括所述MAC地址的认证请求报文,将构建的认证请求报文发送给CC,当接收到认证响应报文时,根据认证成功的认证结果开放与CNU连接的数据端口;CC响应从CBAT接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文并将构建的Radius请求报文发送给Radius服务器,当从Radius服务器接收到Radius响应报文时,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;Radius服务器响应从CC接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC。
在用户被授权领取CNU卡时,可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
CNU可以在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
在CNU被成功认证之前,CBAT可以关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
可以在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。
附图说明
通过下面结合附图进行的描述,本发明的上述和其他目的和特点将会变得更加清楚,其中:
图1是示出基于PPPOE方案的典型网络拓扑的示图;和
图2是示出根据本发明的示例性实施例的认证方法和系统的信号流的示图。
具体实施方式
以下,参照附图来详细说明本发明的实施例。
根据本发明的认证方法和系统仍然采用如图1所示的网络拓扑,然而不同的是:首先,当CNU通过CNU管理协议将其MAC地址上报给CBAT时,由CBAT代替CNU发起包括CNU的MAC地址的认证请求。其次,在确认CNU被成功认证之前,CBAT关闭全部与CNU连接的数据端口,仅允许CNU的管理协议报文通过。最后,在CBAT、CC和Radius服务器之间使用自定义的协议进行认证处理。
根据本发明的示例性实施例,在CBAT、CC和Radius服务器上分别设置预定的用户数据报协议(UDP)端口或者传输控制协议(TCP)端口,形成一个逻辑的认证通道,专门用于传输认证报文。在CBAT和CC之间可使用自定义格式的认证报文,而CC和Radius服务器之间使用Radius协议进行通信。
CC进行自定义格式的认证报文和Radius协议报文之间的转换。CC使用从CBAT接收的自定义格式的认证请求报文(包括CNU的MAC地址)构建Radius协议报文,作为Radius客户端发送用于认证的Radius协议报文。CC使用从Radius服务器接收的包括认证结果的Radius协议报文构建自定义格式的认证响应报文,并且将认证响应报文发送给CBAT。
为了实现本发明的认证方法,需要在Radius服务器的认证数据库中记录用户使用的CNU的MAC地址。可以在用户被授权领取CNU时,将所述CNU的MAC地址与用户信息以及收费信息一同录入认证数据库。
为了实现本发明的认证方法,需要在CBAT、CC和Radius服务器上增加软件或硬件模块,用于建立所述逻辑认证通道,传输认证报文,并且进行认证。
下面,参照图2详细地描述根据本发明的示例性实施例的基于CNU的MAC地址进行用户认证的方法和系统。
图2示出根据本发明的示例性实施例的基于CNU的MAC地址进行认证的方法和系统的信号流。
参照图2,将用于用户认证的用户信息以及控制信息存储在综合业务和运营支撑系统(BOSS)数据库中。根据本发明的示例性实施例,宽带接入的用户在开户时,从网络服务商处领取一台CNU,而网络服务商的工作人员通过BOSS控制台将SIM卡信息和用户信息录入到BOSS系统的数据库中(图2中的①),而用户将CNU与计算机连接上网。
此后,在加电启动时,CNU通过CNU管理协议将其MAC地址发送给CBAT(图2中的②)。
CBAT在收到CNU上报的MAC地址后,构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CC(图2中的③)。在确认CNU被成功认证之前,CBAT关闭全部与CNU连接的数据端口,仅允许CNU的管理协议报文通过。
CC响应从CBAT接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文,并将构建的Radius请求报文发送给Radius服务器(图2中的④)。
Radius服务器响应从CC接收到的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址查询BOSS数据库,以对CNU进行认证(图2中的⑤)。BOSS数据库向Radius服务器返回认证结果、相应的用户信息及收费信息(图2中的⑥)。
然后,Radius服务器使用BOSS数据库返回的信息构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC(图2中的⑦)。根据本发明的另一示例性实施例,构建的Radius响应报文还包括用户信息及收费信息。
CC响应从Radius服务器接收到的Radius响应报文,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT(图2中的⑧)。
CBAT响应从CC接收到的认证响应报文,根据认证成功的认证结果开放与CNU连接的数据端口(图2中的⑨)。根据本发明的另一示例性实施例,CBAT使用CNU管理协议将接入网络的状态通知CBAT。
此后,用户可以通过CNU上网,进行数据传输(图2中的⑩)。
根据本发明的基于CNU的MAC地址信息进行认证的方法和系统,能够免除宽带用户的管理和数据流量中的PPPoE报头封装,降低网络开销,提高网络传输效率。此外,还可以不要求用户输入用户名和密码,而仅通过其使用的CNU的MAC地址自动地进行认证处理。
本发明不限于上述实施例,在不脱离本发明范围的情况下,可以进行各种变形和修改。
Claims (10)
1.一种基于同轴网络单元(CNU)的介质访问控制(MAC)地址进行用户认证的方法,所述方法包括:
CNU通过CNU管理协议将其MAC地址发送给同轴电缆宽带接入终端(CBAT);
CBAT构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CBAT/CNU控制器(CC);
CC响应接收到的认证请求报文,构建包括所述MAC地址的远程用户拨号认证系统(Radius)请求报文,并将构建的Radius请求报文发送给Radius服务器;
Radius服务器响应接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC;
CC响应接收到的Radius响应报文,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;和
CBAT响应接收到的认证响应报文,根据认证成功的认证结果开放与CNU连接的数据端口。
2.如权利要求1所述的方法,还包括,在用户被授权领取CNU卡时,将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
3.如权利要求1所述的方法,其中,CNU在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
4.如权利要求1所述的方法,其中,在CNU被成功认证之前,CBAT关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
5.如权利要求1所述的方法,其中,在CBAT、CC和Radius服务器上分别设置预定的用于认证的用户数据报协议(UDP)或传输控制协议(TCP)端口。
6.一种基于CNU的MAC进行认证的系统,所述系统包括CNU、CBAT、CC以及Radius服务器,其中:
CNU通过CNU管理协议将其MAC地址发送给CBAT;
CBAT构建包括所述MAC地址的认证请求报文,将构建的认证请求报文发送给CC,当接收到认证响应报文时,根据认证成功的认证结果开放与CNU连接的数据端口;
CC响应从CBAT接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文并将构建的Radius请求报文发送给Radius服务器,当从Radius服务器接收到Radius响应报文时,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;
Radius服务器响应从CC接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC。
7.如权利要求6所述的方法,还包括,在用户被授权领取CNU卡时,将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
8.如权利要求6所述的方法,其中,CNU在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
9.如权利要求6所述的方法,其中,在CNU被成功认证之前,CBAT关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
10.如权利要求6所述的方法,其中,在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100301626A CN102055772A (zh) | 2011-01-27 | 2011-01-27 | 用户认证的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100301626A CN102055772A (zh) | 2011-01-27 | 2011-01-27 | 用户认证的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102055772A true CN102055772A (zh) | 2011-05-11 |
Family
ID=43959698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100301626A Pending CN102055772A (zh) | 2011-01-27 | 2011-01-27 | 用户认证的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102055772A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475631A (zh) * | 2012-06-08 | 2013-12-25 | 上海斐讯数据通信技术有限公司 | Eoc终端的认证系统及认证方法 |
| US10250581B2 (en) | 2013-04-09 | 2019-04-02 | Zte Corporation | Client, server, radius capability negotiation method and system between client and server |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068145A (zh) * | 2007-07-05 | 2007-11-07 | 杭州华三通信技术有限公司 | Epon网元配置方法及epon |
| CN101227374A (zh) * | 2007-12-21 | 2008-07-23 | 中国移动通信集团北京有限公司 | 一种实现即拍即传业务的方法、系统及装置 |
| CN101882960A (zh) * | 2009-05-05 | 2010-11-10 | 上海傲蓝通信技术有限公司 | 一种点对多点的双向化光纤同轴混合全业务宽带接入系统 |
-
2011
- 2011-01-27 CN CN2011100301626A patent/CN102055772A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068145A (zh) * | 2007-07-05 | 2007-11-07 | 杭州华三通信技术有限公司 | Epon网元配置方法及epon |
| CN101227374A (zh) * | 2007-12-21 | 2008-07-23 | 中国移动通信集团北京有限公司 | 一种实现即拍即传业务的方法、系统及装置 |
| CN101882960A (zh) * | 2009-05-05 | 2010-11-10 | 上海傲蓝通信技术有限公司 | 一种点对多点的双向化光纤同轴混合全业务宽带接入系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475631A (zh) * | 2012-06-08 | 2013-12-25 | 上海斐讯数据通信技术有限公司 | Eoc终端的认证系统及认证方法 |
| US10250581B2 (en) | 2013-04-09 | 2019-04-02 | Zte Corporation | Client, server, radius capability negotiation method and system between client and server |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| US7653933B2 (en) | System and method of network authentication, authorization and accounting | |
| US6948076B2 (en) | Communication system using home gateway and access server for preventing attacks to home network | |
| CN106487788B (zh) | 一种用户接入方法、sdn控制器、转发设备及用户接入系统 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN100534034C (zh) | 接入控制方法和装置 | |
| KR20040073329A (ko) | 사용자가 인터넷에 접속하는 동안 네트워크 액세스에서사용자를 인증하기 위한 방법 및 시스템 | |
| WO2006116926A1 (fr) | Procede, systeme et serveur pour mettre en œuvre l’attribution de securite d’adresse dhcp | |
| US20090198996A1 (en) | System and method for providing cellular access points | |
| WO2012075873A1 (zh) | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 | |
| US20090249067A1 (en) | System and Method for Pre-Placing Secure Content on an End User Storage Device | |
| WO2009067871A1 (fr) | Procédé, système et dispositif de gestion de sécurité d'accès d'utilisateur | |
| WO2007124694A1 (fr) | Procédé, système et dispositif de facturation réseau | |
| WO2012034413A1 (zh) | 一种双栈用户管理方法及宽带接入服务器 | |
| CN102035867B (zh) | 多路PPPoE融合网关系统 | |
| CN101505308B (zh) | 一种IP over Ethernet的认证方法和系统 | |
| WO2004040842A1 (fr) | Procede de collecte de donnes d'un reseau utilisateur | |
| US9258309B2 (en) | Method and system for operating a wireless access point for providing access to a network | |
| CN108834138A (zh) | 一种基于声纹数据的配网方法及系统 | |
| CN103685201A (zh) | 一种wlan用户固网接入的方法和系统 | |
| CN101388796B (zh) | 信息发送处理方法、通信设备与通信系统 | |
| CN102055772A (zh) | 用户认证的方法和系统 | |
| US20060104263A1 (en) | Method of setting up connections for access by roaming user terminals to data networks | |
| CN102055589B (zh) | 用户认证的方法和系统 | |
| EP2073432B1 (en) | Method for binding an access terminal to an operator and corresponding access terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100193 Beijing city Haidian District Dongbeiwang West Road No. 8 Zhongguancun Software Park Building 5 Building 2 layer Hanvon Technology Applicant after: Beijing AUTELAN Technology Co., Ltd. Address before: 100085 Beijing City, Haidian District information industry base on the north power creative building D Building 8 layer Applicant before: Autelan Technology Inc. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: AUTELAN TECHNOLOGY INC. TO: BEIJING AUTELAN TECHNOLOGY CO., LTD. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110511 |