用户认证的方法和系统
技术领域
本发明涉及一种在宽带接入网络系统中进行用户认证的方法和系统,尤其涉及一种基于同轴网络单元(CNU)的介质访问控制(MAC)地址进行用户认证的方法和系统。
背景技术
电缆接入技术(EoC)是下一代广播电视网(NGB)的关键技术之一,该技术基于同轴电缆,通过各种数字调制技术来承载以太网业务和其他各种综合业务,实现下一代广播电视网(NGB)的用户宽带接入。
在EoC网络构架中,CNU、同轴电缆宽带接入终端(CBAT)以及CBAT/CNU控制器(CC)或宽带远程接入服务器(BRAS)的三层接入网基本结构最为普遍。在此三层接入网基本结构中,CBAT和CNU完全不具任何业务控制功能,CNU的用户PC发起以太网上的点对点协议(PPPOE)认证,在BRAS(或CC)上进行PPPOE终结和远程用户拨号认证系统(RemoteAuthentication Dial In User Service,RADIUS)认证。在此种认证方式下,所有用户流量必须在报文中加入PPP头,并且送到BRAS进行处理,然后由BRAS根据认证结果和计费策略集中控制处理是否允许转发通过该流量。
图1示出基于PPPOE方案的典型网络拓扑。图中弯曲的点划线指示宽带用户为接入网络进行认证以及通过网络进行数据传输的PPPoE路径。由于用户的全部网络流量都必须被进行PPP头的封装,使得网络开销增加。
同时,随着网络的发展,网络流量的日益增大,这种流量必须完全由BRAS(或CC)来进行集中处理的方式,势必使得BRAS(或CC)的处理能力成为网络中的瓶颈。因此很有必要引入一种新的认证机制,来简化认证流程,提高网络可维护性和吞吐量。
发明内容
本发明的目的在于提供一种基于在用户的网络接入装置(如CNU)上配置的MAC地址进行认证的方法和系统,彻底免除用户的上网流量中的PPPoE封装,从而提高网络传输效率。
为了实现上述目的,提供一种基于CNU的MAC地址进行用户认证的方法,所述方法包括:CNU通过CNU管理协议将其MAC地址发送给CBAT;CBAT构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CC;CC响应接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文,并将构建的Radius请求报文发送给Radius服务器;Radius服务器响应接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC;CC响应接收到的Radius响应报文,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;和CBAT响应接收到的认证响应报文,根据认证成功的认证结果开放与CNU连接的数据端口。
在用户被授权领取CNU卡时,可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
CNU可以在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
在CNU被成功认证之前,CBAT可以关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
可以在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。
为了实现上述目的,还提供一种基于CNU的MAC进行认证的系统,所述系统包括CNU、CBAT、CC以及Radius服务器,其中:CNU通过CNU管理协议将其MAC地址发送给CBAT;CBAT构建包括所述MAC地址的认证请求报文,将构建的认证请求报文发送给CC,当接收到认证响应报文时,根据认证成功的认证结果开放与CNU连接的数据端口;CC响应从CBAT接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文并将构建的Radius请求报文发送给Radius服务器,当从Radius服务器接收到Radius响应报文时,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT;Radius服务器响应从CC接收的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证,构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC。
在用户被授权领取CNU卡时,可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。
CNU可以在开机时,通过CNU管理协议将其MAC地址发送给CBAT。
在CNU被成功认证之前,CBAT可以关闭与CNU连接的全部数据端口,仅允许CNU的管理协议报文通过。
可以在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。
附图说明
通过下面结合附图进行的描述,本发明的上述和其他目的和特点将会变得更加清楚,其中:
图1是示出基于PPPOE方案的典型网络拓扑的示图;和
图2是示出根据本发明的示例性实施例的认证方法和系统的信号流的示图。
具体实施方式
以下,参照附图来详细说明本发明的实施例。
根据本发明的认证方法和系统仍然采用如图1所示的网络拓扑,然而不同的是:首先,当CNU通过CNU管理协议将其MAC地址上报给CBAT时,由CBAT代替CNU发起包括CNU的MAC地址的认证请求。其次,在确认CNU被成功认证之前,CBAT关闭全部与CNU连接的数据端口,仅允许CNU的管理协议报文通过。最后,在CBAT、CC和Radius服务器之间使用自定义的协议进行认证处理。
根据本发明的示例性实施例,在CBAT、CC和Radius服务器上分别设置预定的用户数据报协议(UDP)端口或者传输控制协议(TCP)端口,形成一个逻辑的认证通道,专门用于传输认证报文。在CBAT和CC之间可使用自定义格式的认证报文,而CC和Radius服务器之间使用Radius协议进行通信。
CC进行自定义格式的认证报文和Radius协议报文之间的转换。CC使用从CBAT接收的自定义格式的认证请求报文(包括CNU的MAC地址)构建Radius协议报文,作为Radius客户端发送用于认证的Radius协议报文。CC使用从Radius服务器接收的包括认证结果的Radius协议报文构建自定义格式的认证响应报文,并且将认证响应报文发送给CBAT。
为了实现本发明的认证方法,需要在Radius服务器的认证数据库中记录用户使用的CNU的MAC地址。可以在用户被授权领取CNU时,将所述CNU的MAC地址与用户信息以及收费信息一同录入认证数据库。
为了实现本发明的认证方法,需要在CBAT、CC和Radius服务器上增加软件或硬件模块,用于建立所述逻辑认证通道,传输认证报文,并且进行认证。
下面,参照图2详细地描述根据本发明的示例性实施例的基于CNU的MAC地址进行用户认证的方法和系统。
图2示出根据本发明的示例性实施例的基于CNU的MAC地址进行认证的方法和系统的信号流。
参照图2,将用于用户认证的用户信息以及控制信息存储在综合业务和运营支撑系统(BOSS)数据库中。根据本发明的示例性实施例,宽带接入的用户在开户时,从网络服务商处领取一台CNU,而网络服务商的工作人员通过BOSS控制台将SIM卡信息和用户信息录入到BOSS系统的数据库中(图2中的①),而用户将CNU与计算机连接上网。
此后,在加电启动时,CNU通过CNU管理协议将其MAC地址发送给CBAT(图2中的②)。
CBAT在收到CNU上报的MAC地址后,构建包括所述MAC地址的认证请求报文,并将构建的认证请求报文发送给CC(图2中的③)。在确认CNU被成功认证之前,CBAT关闭全部与CNU连接的数据端口,仅允许CNU的管理协议报文通过。
CC响应从CBAT接收到的认证请求报文,构建包括所述MAC地址的Radius请求报文,并将构建的Radius请求报文发送给Radius服务器(图2中的④)。
Radius服务器响应从CC接收到的Radius请求报文,使用包含在接收的Radius请求报文中的MAC地址查询BOSS数据库,以对CNU进行认证(图2中的⑤)。BOSS数据库向Radius服务器返回认证结果、相应的用户信息及收费信息(图2中的⑥)。
然后,Radius服务器使用BOSS数据库返回的信息构建包括认证结果为成功或失败的Radius响应报文,并且将构建的Radius响应报文发送给CC(图2中的⑦)。根据本发明的另一示例性实施例,构建的Radius响应报文还包括用户信息及收费信息。
CC响应从Radius服务器接收到的Radius响应报文,构建包括所述认证结果的认证响应报文,并将构建的认证响应报文发送给CBAT(图2中的⑧)。
CBAT响应从CC接收到的认证响应报文,根据认证成功的认证结果开放与CNU连接的数据端口(图2中的⑨)。根据本发明的另一示例性实施例,CBAT使用CNU管理协议将接入网络的状态通知CBAT。
此后,用户可以通过CNU上网,进行数据传输(图2中的⑩)。
根据本发明的基于CNU的MAC地址信息进行认证的方法和系统,能够免除宽带用户的管理和数据流量中的PPPoE报头封装,降低网络开销,提高网络传输效率。此外,还可以不要求用户输入用户名和密码,而仅通过其使用的CNU的MAC地址自动地进行认证处理。
本发明不限于上述实施例,在不脱离本发明范围的情况下,可以进行各种变形和修改。