CN102143136A - 接入业务批发网络的方法、设备、服务器和系统 - Google Patents
接入业务批发网络的方法、设备、服务器和系统 Download PDFInfo
- Publication number
- CN102143136A CN102143136A CN2010102612076A CN201010261207A CN102143136A CN 102143136 A CN102143136 A CN 102143136A CN 2010102612076 A CN2010102612076 A CN 2010102612076A CN 201010261207 A CN201010261207 A CN 201010261207A CN 102143136 A CN102143136 A CN 102143136A
- Authority
- CN
- China
- Prior art keywords
- ipoe
- user terminal
- authentication
- bras
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000005641 tunneling Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 12
- 238000012423 maintenance Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 5
- 206010048669 Terminal state Diseases 0.000 claims description 4
- 238000009826 distribution Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 23
- 238000012795 verification Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 108010022579 ATP dependent 26S protease Proteins 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2872—Termination of subscriber connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提出了接入业务批发网络的方法、设备、服务器和系统。该方法包括:运营商边缘设备接收基于以太网的因特网协议(IPOE)用户终端发来的IPOE认证信息;运营商边缘设备根据接收到的IPOE认证信息对所述IPOE用户终端进行一级认证;一级认证成功后,运营商边缘设备通过与IPOE认证信息对应的虚拟专用网络隧道发送该IPOE认证信息,以触发宽带远程接入服务器进行二级认证和在二级认证成功后为所述IPOE用户终端分配接入业务批发网络的IP地址。本发明能够保证IPOE用户终端接入业务批发网络,从而使得IPOE用户终端能够享受业务批发网络中的多因特网服务提供商(ISP)的服务。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及接入业务批发网络的方法、设备、服务器和系统。
背景技术
目前,通信网络中出现了业务批发(Service Wholesale)技术。图1是在现有技术中业务批发网络的架构图。参见图1,业务批发网络是指在同一个网络服务提供商(Network Service Provider,简称:NSP)的物理网络上,存在多个因特网服务提供商(Internet Service Provider,简称:ISP),多个ISP租用NSP的物理网络进行业务运营,从而实现对多ISP业务的支持。
参见图1,在业务批发技术中,用户终端连接到NSP网络中的运营商边缘设备(Provider Edge,简称:PE),PE接收用户的业务报文,不再根据用户的业务报文的目的IP地址进行传统的路由转发,而是根据用户所属的ISP信息通过虚拟专用网络(Virtual Private Network,简称:VPN)隧道将报文转发到ISP中的接入设备即宽带远程接入服务器(Broadband Remote AccessServer,简称:BRAS),BRAS进行相应的业务处理。因此,在业务批发网络中,存在两级运营商,一级运营商为NSP,二级运营商为ISP。
目前,伴随着接入网络的方式向基于以太网的方式迁移,在接入设备用户侧出现了基于以太网的因特网协议(Internet Protocol over Ethernet,简称:IPOE)的接口方式。采用IPOE接口技术的系统中目前只有一级运营商,IPOE用户终端接入网络的过程主要包括:IPOE用户终端将用户首包发送给接入设备,接入设备进行认证,认证完成后直接给IPOE用户终端分配IP地址,并确定IPOE用户终端使用的三层网络权限。
发明人在实施本发明的过程中发现,虽然业务批发技术和IPOE接口技术都具有良好的发展前景,但是,IPOE用户终端目前却无法接入业务批发网络,比如,针对业务批发网络中存在两级运营商的特点,对IPOE用户终端目前没有任何适应性的接入处理,从而无法为IPOE用户终端提供业务批发网络中的多ISP的服务。
发明内容
本发明实施例提供接入业务批发网络的方法、设备、服务器和系统,解决现有技术中IPOE用户终端无法接入业务批发网络的问题。
本发明实施例提供的接入业务批发网络的方法,包括:
NSP网络中的PE接收基于IPOE用户终端发来的IPOE议认证信息;
所述PE根据接收到的所述IPOE认证信息对所述IPOE用户终端进行一级认证;
一级认证成功后,所述PE通过与所述IPOE认证信息对应的VPN隧道向BRAS发送该IPOE认证信息,以触发BRAS进行二级认证和在二级认证成功后为所述IPOE用户终端分配IP地址。
本发明实施例提供的PE,包括:
第一接收模块,用于接收IPOE用户终端发来的IPOE认证信息;
第一认证模块,用于根据IPOE议认证信息对所述IPOE用户终端进行一级认证;
第一发送模块,用于在一级认证成功后,通过与IPOE认证信息对应的VPN隧道向BRAS发送该IPOE认证信息。
本发明实施例提供的BRAS,包括:
第二接收模块,用于通过VPN隧道接收PE发来的IPOE认证信息;
第二认证模块,用于根据IPOE议认证信息对IPOE用户终端进行二级认证;
分配模块,用于在二级认证成功后为所述IPOE用户终端分配IP地址。
本发明实施例提供的接入业务批发网络的系统,包括本发明实施例提供的PE和本发明实施例提供的BRAS。
本发明实施例提出的接入业务批发网络的方法、PE、BRAS和接入业务批发网络的系统,由PE对IPOE用户终端进行NSP网络的一级认证,并触发BRAS进行二级认证,由于PE通过与IPOE认证信息对应的VPN隧道将IPOE认证信息发送给BRAS,因此,能够满足业务批发网络中通过VPN隧道将报文转发到BRAS的要求,并且还明确由BRAS在完成二级认证后,为IPOE用户终端分配IP地址,从而完成了IPOE用户终端的在业务批发网络中的接入处理,保证了IPOE用户终端能够接入业务批发网络。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是在现有技术中业务批发网络的架构图;
图2是本发明实施例提出的接入网络的方法的流程图;
图3是本发明示例1中IPOE用户终端接入业务批发网络的流程图;
图4是本发明示例2中IPOE用户终端接入业务批发网络的流程图;
图5是本发明实施例提出的PE的结构示意图;
图6是本发明实施例提出的PE的示例1的结构示意图;
图7是本发明实施例提出的PE的示例2的结构示意图;
图8是本发明实施例提出的PE的示例3的结构示意图;
图9是本发明实施例提出的PE的示例4的结构示意图;
图10是本发明实施例提出的PE的示例5的结构示意图;
图11是本发明实施例提出的BRAS的结构示意图;
图12是本发明实施例提出的BRAS的示例1的结构示意图;
图13是本发明实施例提出的BRAS的示例2的结构示意图;
图14是本发明实施例提出的BRAS的示例3的结构示意图;
图15是本发明实施例提出的BRAS的示例4的结构示意图;
图16是本发明实施例提出的BRAS的示例5的结构示意图;
图17是本发明实施例提出的BRAS的示例6的结构示意图;
图18是本发明实施例提出的接入业务批发网络的系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提出了一种接入网络的方法,参见图2,该方法主要包括:
201:NSP网络中的PE接收IPOE用户终端发送的IPOE认证信息。
202:PE根据接收到的IPOE认证信息对IPOE用户终端进行一级认证。
203:一级认证成功后,PE通过与IPOE认证信息对应的VPN隧道将IPOE认证信息发送给BRAS,触发BRAS对IPOE用户终端进行二级认证并在上述二级认证成功后由BRAS为IPOE用户终端分配IP地址。
可见,本发明实施例提出的方法中,由PE对IPOE用户终端进行NSP网络的一级认证,并触发BRAS进行二级认证,由于PE通过与IPOE认证信息对应的VPN隧道将IPOE认证信息发送给BRAS,因此,能够满足业务批发网络中通过VPN隧道将报文转发到BRAS的要求,并且还明确由BRAS在完成二级认证后,为IPOE用户终端分配IP地址,从而完成了IPOE用户终端的在业务批发网络中的接入处理,保证了IPOE用户终端能够接入业务批发网络。
可选的,在本发明实施例的实现中,IPOE认证信息可以采用两种方式:
方式一、将用户首包中携带的IPOE信息作为IPOE认证信息进行一级认证和二级认证。
方式二、将用户输入的用户信息作为IPOE认证信息进行一级认证和二级认证。
下面针对上述两种认证方式分别举一个具体示例进行详细说明。
示例1:
本示例中,将用户首包中携带的IPOE信息作为IPOE认证信息进行一级认证和二级认证。参见图3,在本示例中,IPOE用户终端接入业务批发网络的过程主要包括:
301:IPOE用户终端将携带IPOE信息的用户首包发送给NSP网络中的PE。
本示例中,用于认证的IPOE信息可以包括IPOE用户终端的媒质接入控制(Media Access Control,简称:MAC)地址,和/或,IPOE用户终端使用的虚拟局域网(Virtual Local Area Network,简称:VLAN)标识。并且,在用户首包为动态主机分配协议(Dynamic Host Configuration Protocol,简称:DHCP)首包时,用于认证的IPOE信息可以是OPTION82字段、IPOE用户终端的MAC地址和IPOE用户终端使用的VLAN标识中的任意一个或多个。
302:PE接收到用户首包后,根据该用户首包中的IPOE信息对IPOE用户终端进行一级认证,如果认证成功,则执行304,如果认证失败,执行303。
可选的,对IPOE用户终端的一级认证可以采用本地认证方式或者远程认证方式进行,其中,
当为本地认证方式时,认证过程具体为:PE根据预先配置的合法IPOE信息(该合法IPOE信息可以根据NSP网络的要求进行配置),判断用户首包中的IPOE信息是否合法,如果是,则认证成功,否则,认证失败。
当为远程认证方式时,认证过程具体为:PE将用户首包中的IPOE信息发送给远端的采用远程用户拨号认证服务(Remote Authentication Dial In UserService,简称:RADIUS)协议的认证服务器,该认证服务器根据预先配置的合法IPOE信息,判断PE发来的IPOE信息是否合法,如果是,则通知PE认证成功,否则,通知PE认证失败。
303:拒绝IPOE用户终端接入业务批发网络,结束当前流程。
304:PE根据预先配置的IPOE信息与VPN隧道的对应关系,通过与用户首包中的IPOE信息对应的VPN隧道将用户首包发送给BRAS。
305:BRAS接收到用户首包后,根据该用户首包中的IPOE信息对IPOE用户终端进行二级认证,如果认证成功,则执行306,如果认证失败,执行303。
可选的,305中认证的过程也可以采用本地认证方式或者远程认证方式,其中,
当为本地认证方式时,认证过程具体为:BRAS根据预先配置的合法IPOE信息(该合法IPOE信息可以根据ISP网络的要求进行配置),判断用户首包中的IPOE信息是否合法,如果是,则认证成功,否则,认证失败。
当为远程认证方式时,认证过程具体为:BRAS将用户首包中的IPOE信息发送给远端的采用RADIUS协议的认证服务器,该认证服务器根据预先配置的合法IPOE信息,判断BRAS发来的IPOE信息是否合法,如果是,则通知BRAS认证成功,否则,通知BRAS认证失败。
306:BRAS为IPOE用户终端分配IP地址;可选的,BRAS还可以向IPOE用户终端返回认证成功通知。
至此,IPOE用户终端接入业务批发网络成功。
通过上述图3所示流程可以看到,由PE根据用户首包中携带的IPOE信息进行NSP网络的一级认证,由BRAS根据用户首包中携带的IPOE信息进行二级认证,并且通过与用户首包中的IPOE信息对应的VPN隧道将用户首包发送给BRAS,因此,能够满足业务批发网络中通过VPN隧道将报文转发到BRAS的要求,并且,BRAS在完成二级认证后,为IPOE用户终端分配IP地址,完成了IPOE用户终端在业务批发网络中的接入处理,保证了IPOE用户终端能够接入业务批发网络,从而使得IPOE用户终端能够享受业务批发网络中的多ISP的服务。
示例2:
本示例中,将用户输入的用户信息作为IPOE认证信息进行一级认证和二级认证。参见图4,在本示例中,IPOE用户终端接入业务批发网络的过程主要包括:
401:IPOE用户终端将用于认证的用户信息发送给NSP网络中的PE。
本实施例中,用于认证的用户信息可以包括用户名、用户密码及用户域名中的任意一个或多个。
402:PE接收到用户信息后,根据该用户信息对IPOE用户终端进行一级认证,如果认证成功,则执行404,如果认证失败,执行403。
402中认证的过程可以采用本地认证方式或者远程认证方式,其中,
当为本地认证方式时,认证过程具体为:PE根据预先配置的合法用户信息(该合法用户信息可以根据NSP网络的要求进行配置),判断用户信息是否合法,如果是,则认证成功,否则,认证失败。
当为远程认证方式时,认证过程具体为:PE将用户信息发送给远端的采用RADIUS协议的认证服务器,该认证服务器根据预先配置的合法用户信息,判断PE发来的用户信息是否合法,如果是,则通知PE认证成功,否则,通知PE认证失败。
403:拒绝IPOE用户终端接入业务批发网络,结束当前流程。
404:PE根据预先配置的用户信息与VPN隧道的对应关系,通过与用户信息对应的VPN隧道将用户信息发送给BRAS。
405:BRAS接收到用户信息后,对IPOE用户终端进行二级认证,如果认证成功,则执行406,如果认证失败,执行403。
可选的,当BRAS接收到的用户信息是明文(即未经加密的信息)时,可以直接根据用户信息进行二级认证;当BRAS接收到的用户信息经过加密时,BRAS首先需要使用与IPOE用户终端进行密钥协商,使用协商出的密钥对用户信息进行解密,然后再根据解密后的用户信息对IPOE用户终端进行二级认证。
可选的,BRAS与IPOE用户终端进行密钥协商的过程可以是:
BRAS在接收到PE发来的用户信息后,向IPOE用户终端发起认证重协商指示。或者,
BRAS在接收到PE发来的用户信息后,等待接收PE转发来的IPOE用户终端的DHCP首包、IP首包或者地址解析协议(ARP)首包,一旦接收到上述首包,就可以利用响应消息(DHCP响应消息、IP响应消息或者ARP响应消息)的方式,向IPOE用户终端发起认证重协商指示。
经过上述密钥协商的过程,IPOE用户终端使用协商出的密钥,对用户信息进行加密,然后再次发送给BRAS。
BRAS收到加密的用户信息后,使用与IPOE用户终端协商出的密钥对用户信息进行解密,然后再根据解密后的用户信息对IPOE用户终端进行二级认证。
可选的,上述二级认证的过程也可以采用本地认证方式或者远程认证方式进行,其中,
当为本地认证方式时,认证过程具体为:BRAS根据预先配置的合法用户信息,判断PE发来的用户信息是否合法,如果是,则认证成功,否则,认证失败。
当为远程认证方式时,认证过程具体为:BRAS将PE发来的用户信息发送给远端的采用RADIUS协议的认证服务器,该认证服务器根据预先配置的合法用户信息,判断接收到的用户信息是否合法,如果是,则通知BRAS认证成功,否则,通知BRAS认证失败。
406:BRAS为IPOE用户终端分配IP地址;可选的,BRAS还可以向IPOE用户终端返回认证成功通知。
至此,IPOE用户终端接入业务批发网络成功。
通过上述图4所示流程可以看到,由PE根据用户信息进行NSP网络的一级认证,由BRAS根据用户信息进行二级认证,并且由于通过与用户信息对应的VPN隧道将用户信息发送给BRAS,因此,能够满足业务批发网络中通过VPN隧道将报文转发到BRAS的要求,并且,BRAS在完成二级认证后,为IPOE用户终端分配IP地址,完成了IPOE用户终端在业务批发网络中的接入处理,保证了IPOE用户终端能够接入业务批发网络,从而使得IPOE用户终端能够享受业务批发网络中的多ISP的服务。
经过上面的介绍,可以看到,由于业务批发网络中存在两级运营商,两级运营商都需要对IPOE用户终端进行管理,因此,在经过诸如上述图3和图4所示流程之后,本发明实施例中还进一步提供了针对IPOE用户终端实现两级运营商管理的方法,可以包括两种方式:
方式1、独立管理。
独立管理是指NSP网络和ISP网络独立管理用户,各自维护IPOE用户终端的状态。比如,允许IPOE用户终端在NSP网络中为上线状态,而在ISP网络中为离线状态。具体实现为:PE与BRAS分别独立监视和维护IPOE用户终端的状态,即,PE只维护IPOE用户终端在NSP网络中的状态;BRAS只维护IPOE用户终端在ISP网络中的状态。在独立管理方式中,PE与BRAS上所维护的IPOE用户终端的状态可能不同。
方式2、联合管理。
联合管理是指NSP网络和ISP网络共同管理用户,共同维护IPOE用户终端的状态。比如,IPOE用户终端在NSP网络和ISP网络的状态相同,均为离线状态或者均为在线状态。示例性的,实现联合管理的方法可以有以下两种:
2A、通过一级运营商的PE监视二级运营商的BRAS所维护的IPOE用户终端状态,来实现两级运营商维护的状态统一。
例如:BRAS在二级认证成功后,将IPOE用户终端在ISP网络中的状态置为上线,PE在一级认证成功后,监听BRAS向IPOE用户终端发送的认证成功通知,如果监听到,则将IPOE用户终端在NSP网络中的状态置为上线;后续,PE和BRAS在监听到IPOE用户终端释放IP地址后,分别置IPOE用户终端为下线状态。这样一级运营商和二级运营商的设备基本上不需要任何交互。
2B、通过信息交互实现两级运营商维护的状态统一。
例如:PE周期性地向BRAS发送状态查询消息,该状态查询消息可以是预先定义的新的协议消息。状态查询消息中包含IPOE用户终端的IPOE信息(比如MAC地址,VLAN信息,option82字段,IP地址等),BRAS接收到状态查询消息后,向PE返回状态查询响应消息,其中携带BRAS维护的IPOE用户终端的状态,比如在线,空闲,下线,欠费等等;PE根据接收到的状态查询响应消息中的IPOE用户终端的状态,对IPOE用户终端进行状态切换。
上述针对IPOE用户终端实现两级运营商管理的方法,可以在实施例1和实施例2中BRAS为IPOE用户终端分配IP地址,IPOE用户终端接入业务批发网络成功之后来实现。
本发明实施例还提出了一种PE,参见图5,该PE中包括:
第一接收模块501,用于接收IPOE用户终端发来的IPOE认证信息;
第一认证模块502,用于根据接收到的IPOE认证信息对所述IPOE用户终端进行一级认证;
第一发送模块503,用于在一级认证成功后,通过与IPOE认证信息对应的VPN隧道向BRAS发送该IPOE认证信息。
可选的,上述IPOE认证信息可以是用户首包中携带的IPOE信息,或者,是户输入的用户信息。
可选的,参见图6,上述第一接收模块501中可以包括:
第一接收子模块601,用于接收IPOE用户终端发来的用户首包,该用户首包中携带IPOE信息;
所述第一认证模块502中可以包括:
第一认证子模块602,用于根据第一接收子模块601接收到的用户首包中的IPOE信息对所述IPOE用户终端进行一级认证。
可选的,参见图7,上述第一接收模块501中可以包括:
第二接收子模块701,用于接收IPOE用户终端发来的用户信息;
所述第一认证模块502中可以包括:
第二认证子模块702,用于根据第二接收子模块701接收到的用户信息对所述IPOE用户终端进行一级认证。
可选的,参见图8~图10,上述PE中还可以进一步包括:
第一状态维护模块801,用于维护所述IPOE用户终端在NSP网络中的状态;或者,
第二状态维护模块901,用于在一级认证成功后,监听BRAS向所述IPOE用户终端发送的认证成功通知,如果监听到,则将自身中维护的所述IPOE用户终端的状态置为上线;在监听到所述IPOE用户终端释放IP地址后,将该IPOE用户终端的状态置为下线;或者,
第三状态维护模块1001,用于周期性地向BRAS发送状态查询消息,根据接收到的状态查询响应消息中携带的IPOE用户终端的状态,对所述IPOE用户终端进行状态切换。
出于简洁的考虑,附图中各模块/子模块之间的连接关系仅示出了一种最简单的示例。当然,附图中各模块/子模块之间还可以有其他的连接关系,例如,第一/二/三状态维护模块(801,901,1001)还可以和第一认证模块502相连接。此处就不再一一赘述,附图中也不再一一示出。
本发明实施例还提出了一种BRAS,参见图11,该BRAS中包括:
第二接收模块1101,用于通过VPN隧道接收PE发来的IPOE认证信息;
第二认证模块1102,用于根据IPOE认证信息对IPOE用户终端进行二级认证;
分配模块1103,用于在二级认证成功后为所述IPOE用户终端分配IP地址。
可选的,上述IPOE认证信息可以是用户首包中携带的IPOE信息,或者,用户输入的用户信息作为IPOE认证信息。
可选的,参见图12,上述第二接收模块1101中可以包括:
第三接收子模块1201,用于通过VPN隧道接收PE发来的用户首包,该用户首包中携带IPOE信息;
所述第二认证模块1102中可以包括:
第三认证子模块1202,用于根据第三接收子模块1201接收到的用户首包中的IPOE信息对所述IPOE用户终端进行二级认证。
可选的,参见图13,上述第二接收模块1101中可以包括:
第四接收子模块1301,用于通过VPN隧道接收PE发来的用户信息;
所述第二认证模块1102中可以包括:
第四认证子模块1302,用于根据第四接收子模块1301接收到的用户信息对所述IPOE用户终端进行二级认证。
可选的,参见图14,在图13所示BRAS设备结构的基础上,所述第二认证模块1102中可以进一步包括:
用户信息处理子模块1401,用于在所述第四接收子模块1301接收到的用户信息为经过加密的信息后,向所述IPOE用户终端发送认证重协商指示,与该IPOE用户终端协商出密钥;使用协商出的密钥对所述IPOE用户终端重新加密发来的用户信息解密,将解密后的用户信息发送给所述第四认证子模块1302。
可选的,参见图15~图17,上述BRAS中可以进一步包括:
第一状态管理模块1501,用于维护所述IPOE用户终端在ISP网络中的状态;或者
第二状态管理模块1601,用于在二级认证成功后,置所述IPOE用户终端的状态为上线状态;在监听到所述IPOE用户终端释放IP地址后,置该IPOE用户终端的状态为下线状态;或者
第三状态管理模块1701,用于在周期性地接收到PE发来的状态查询消息后,将自身维护的所述用户终端的状态携带在状态查询响应消息中返回给PE。
出于简洁的考虑,附图中各模块/子模块之间的连接关系仅示出了一种最简单的示例。当然,附图中各模块/子模块之间还可以有其他的连接关系,例如,第一/二/三状态管理模块(1501,1601,1701)还可以和第二认证模块1102相连接。此处就不再一一赘述,附图中也不再一一示出。
本发明实施例还提出了一种接入网络的系统,参见图18,该系统中包括PE 1801和BRAS 1802,其中,PE 1801可以采用上述本发明实施例提出的任意一种结构和功能的PE,BRAS 1802可以采用上述本发明实施例提出的任意一种结构和功能的BRAS。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分处理可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的处理;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种接入业务批发网络的方法,其特征在于,包括:
网络服务提供商NSP网络中的运营商边缘设备PE接收基于以太网的因特网协议IPOE用户终端发来的IPOE认证信息;
所述PE根据接收到的所述IPOE认证信息对所述IPOE用户终端进行一级认证;
一级认证成功后,所述PE通过与所述IPOE认证信息对应的虚拟专用网络VPN隧道向宽带远程接入服务器BRAS发送所述IPOE认证信息,以触发所述BRAS对所述IPOE用户终端进行二级认证并在二级认证成功后为所述IPOE用户终端分配IP地址。
2.根据权利要求1所述的方法,其特征在于,所述IPOE认证信息为用户首包中携带的IPOE信息;或者所述IPOE认证信息为用户输入的用户信息。
3.根据权利要求2所述的方法,其特征在于,当所述IPOE认证信息为用户首包中携带的IPOE信息时,所述IPOE信息为媒质接入控制地址、虚拟局域网标识以及OPTION82字段中的任意一个或多个。
4.根据权利要求2所述的方法,其特征在于,
当所述IPOE认证信息为用户输入的用户信息时,所述用户信息为:用户名、用户密码以及用户域名中的任意一个或多个。
5.根据权利要求1~4任一所述的方法,其特征在于,该方法进一步包括:
所述PE仅维护所述IPOE用户终端在所述NSP网络中的状态;所述BRAS仅维护所述IPOE用户终端在因特网服务提供商ISP网络中的状态;
或者,
所述BRAS在二级认证成功后,将所述IPOE用户终端状态置为上线,所述PE在一级认证成功后,监听所述BRAS向所述IPOE用户终端发送的认证成功通知,如果监听到,则将自身中维护的该IPOE用户终端状态置为上线;所述PE和所述BRAS都在监听到所述IPOE用户终端释放IP地址后,置该IPOE用户终端为下线状态;
或者,
所述PE周期性地向所述BRAS发送状态查询消息,所述BRAS向所述PE返回状态查询响应消息,其中携带所述BRAS维护的所述IPOE用户终端的状态,所述PE根据接收到的状态查询响应消息中的IPOE用户终端的状态,对所述IPOE用户终端进行状态切换。
6.一种运营商边缘设备PE,其特征在于,包括:
第一接收模块,用于接收基于以太网的因特网协议IPOE用户终端发来的IPOE认证信息;
第一认证模块,用于根据IPOE议认证信息对所述IPOE用户终端进行一级认证;
第一发送模块,用于在一级认证成功后,通过与IPOE认证信息对应的虚拟专用网络VPN隧道向宽带远程接入服务器BRAS发送该IPOE认证信息。
7.根据权利要求6所述的PE,其特征在于,
所述第一接收模块包括:
第一接收子模块,用于接收所述IPOE用户终端发来的用户首包,所述用户首包中携带所述IPOE信息;或者
第二接收子模块,用于接收所述IPOE用户终端发来的用户信息;
所述第一认证模块包括:
第一认证子模块,用于根据所述第一接收子模块接收到的用户首包中的IPOE信息对所述IPOE用户终端进行一级认证;或者,
第二认证子模块,用于根据所述第二接收子模块接收到的用户信息对所述IPOE用户终端进行一级认证。
8.根据权利要求6或7所述的PE,其特征在于,该PE进一步包括:
第一状态维护模块,用于维护所述IPOE用户终端在网络服务提供商NSP网络中的状态;或者,
第二状态维护模块,用于在一级认证成功后,监听所述BRAS向所述IPOE用户终端发送的认证成功通知,如果监听到,则将自身中维护的IPOE用户终端状态置为上线;在监听到所述IPOE用户终端释放IP地址后,置该IPOE用户终端为下线状态;或者,
第三状态维护模块,用于周期性地向所述BRAS发送状态查询消息,根据接收到的状态查询响应消息中的IPOE用户终端的状态,对所述IPOE用户终端进行状态切换。
9.一种宽带远程接入服务器BRAS,其特征在于,包括:
第二接收模块,用于通过虚拟专用网络VPN隧道接收运营商边缘设备PE发来的基于以太网的因特网协议IPOE认证信息;
第二认证模块,用于根据IPOE议认证信息对IPOE用户终端进行二级认证;
分配模块,用于在二级认证成功后为所述IPOE用户终端分配IP地址。
10.根据权利要求9所述的BRAS,其特征在于,
所述第二接收模块包括:
第三接收子模块,用于通过VPN隧道接收PE发来的用户首包,该用户首包中携带IPOE信息;或者
第四接收子模块,用于通过VPN隧道接收PE发来的用户信息;
所述第二认证模块包括:
第三认证子模块,用于根据第三接收子模块接收到的用户首包中的IPOE信息对所述IPOE用户终端进行二级认证;或者,
第四认证子模块,用于根据第四接收子模块接收到的用户信息对所述IPOE用户终端进行二级认证。
11.根据权利要求10所述的BRAS,其特征在于,所述第二认证模块中还包括:
用户信息处理子模块,用于在所述第四接收子模块接收到的所述用户信息为经过加密的信息后,向所述IPOE用户终端发送认证重协商指示,与所述IPOE用户终端协商出密钥;使用协商出的密钥对所述IPOE用户终端重新加密发来的用户信息解密,将解密后的用户信息发送给第二用户信息认证子模块。
12.根据权利要求9~11任一所述的BRAS,其特征在于,该BRAS进一步包括:
第一状态管理模块,用于维护所述IPOE用户终端在因特网服务提供商ISP网络中的状态;或者,
第二状态管理模块,用于在二级认证成功后,置所述IPOE用户终端的状态为上线状态;在监听到所述IPOE用户终端释放IP地址后,置该IPOE用户终端的状态为下线状态;或者,
第三状态管理模块,用于在周期性地接收到PE发来的状态查询消息后,将自身维护的所述IPOE用户终端的状态携带在状态查询响应消息中返回给所述PE。
13.一种接入业务批发网络的系统,其特征在于,包括如权利要求6~8任一所述的运营商边缘设备PE,以及如权利要求9~12任一所述的宽带远程接入服务器BRAS。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102612076A CN102143136B (zh) | 2010-08-20 | 2010-08-20 | 接入业务批发网络的方法、设备、服务器和系统 |
| PCT/CN2011/073409 WO2011140919A1 (zh) | 2010-08-20 | 2011-04-28 | 接入业务批发网络的方法、设备、服务器和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102612076A CN102143136B (zh) | 2010-08-20 | 2010-08-20 | 接入业务批发网络的方法、设备、服务器和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102143136A true CN102143136A (zh) | 2011-08-03 |
| CN102143136B CN102143136B (zh) | 2013-12-04 |
Family
ID=44410364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102612076A Active CN102143136B (zh) | 2010-08-20 | 2010-08-20 | 接入业务批发网络的方法、设备、服务器和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102143136B (zh) |
| WO (1) | WO2011140919A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013034108A1 (zh) * | 2011-09-08 | 2013-03-14 | 北京智慧风云科技有限公司 | 一种构建云服务的系统及方法 |
| CN103067416A (zh) * | 2011-10-18 | 2013-04-24 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| WO2014101841A1 (en) * | 2012-12-28 | 2014-07-03 | Huawei Technologies Co., Ltd. | Electronic rendezvous-based two stage access control for private networks |
| CN109150925A (zh) * | 2018-11-08 | 2019-01-04 | 网宿科技股份有限公司 | IPoE静态认证方法及系统 |
| WO2020057315A1 (zh) * | 2018-09-18 | 2020-03-26 | 华为技术有限公司 | 认证方法、设备及系统 |
| CN111541719A (zh) * | 2020-05-19 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 认证方法、装置及信息处理设备 |
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN113055720A (zh) * | 2019-12-26 | 2021-06-29 | 中国电信股份有限公司 | Iptv业务认证方法、系统以及接入设备 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107317768B (zh) * | 2016-04-27 | 2020-01-03 | 新华三技术有限公司 | 流量调度方法及装置 |
| TW202021384A (zh) * | 2018-11-23 | 2020-06-01 | 財團法人工業技術研究院 | 網路服務系統及網路服務方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070076156A (ko) * | 2006-01-18 | 2007-07-24 | 에스케이커뮤니케이션즈 주식회사 | 통화 연결 대기 중 개인 상태 정보를 이동 단말기에제공하는 시스템 및 방법 |
| CN101009627A (zh) * | 2006-12-27 | 2007-08-01 | 华为技术有限公司 | 一种业务绑定的方法和设备 |
| US7257629B2 (en) * | 2001-09-27 | 2007-08-14 | Siemens Communications, Inc. | Method and apparatus for providing back-up capability in a communication system |
| CN101127696A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 二层网络中的数据转发方法和网络及节点设备 |
| US20080104046A1 (en) * | 2006-10-25 | 2008-05-01 | Arcsight, Inc. | Tracking Changing State Data to Assist in Computer Network Security |
| CN101282328A (zh) * | 2007-04-02 | 2008-10-08 | 北京下午茶科技有限公司 | 互联网内网Web服务的访问方法 |
| CN101304363A (zh) * | 2007-05-12 | 2008-11-12 | 华为技术有限公司 | 一种会话连接的管理方法及装置、系统 |
| CN101426004A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 三层会话的接入方法、系统及设备 |
| CN101662427A (zh) * | 2009-09-18 | 2010-03-03 | 华为技术有限公司 | 一种分配调度资源的方法、系统及路由设备 |
| CN101741552A (zh) * | 2009-12-28 | 2010-06-16 | 华为技术有限公司 | 报文转发方法、设备及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100370733C (zh) * | 2006-02-21 | 2008-02-20 | 华为技术有限公司 | 一种实现nsp和isp同时计费的系统及方法 |
-
2010
- 2010-08-20 CN CN2010102612076A patent/CN102143136B/zh active Active
-
2011
- 2011-04-28 WO PCT/CN2011/073409 patent/WO2011140919A1/zh active Application Filing
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7257629B2 (en) * | 2001-09-27 | 2007-08-14 | Siemens Communications, Inc. | Method and apparatus for providing back-up capability in a communication system |
| KR20070076156A (ko) * | 2006-01-18 | 2007-07-24 | 에스케이커뮤니케이션즈 주식회사 | 통화 연결 대기 중 개인 상태 정보를 이동 단말기에제공하는 시스템 및 방법 |
| CN101127696A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 二层网络中的数据转发方法和网络及节点设备 |
| US20080104046A1 (en) * | 2006-10-25 | 2008-05-01 | Arcsight, Inc. | Tracking Changing State Data to Assist in Computer Network Security |
| CN101009627A (zh) * | 2006-12-27 | 2007-08-01 | 华为技术有限公司 | 一种业务绑定的方法和设备 |
| CN101282328A (zh) * | 2007-04-02 | 2008-10-08 | 北京下午茶科技有限公司 | 互联网内网Web服务的访问方法 |
| CN101304363A (zh) * | 2007-05-12 | 2008-11-12 | 华为技术有限公司 | 一种会话连接的管理方法及装置、系统 |
| CN101426004A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 三层会话的接入方法、系统及设备 |
| CN101662427A (zh) * | 2009-09-18 | 2010-03-03 | 华为技术有限公司 | 一种分配调度资源的方法、系统及路由设备 |
| CN101741552A (zh) * | 2009-12-28 | 2010-06-16 | 华为技术有限公司 | 报文转发方法、设备及系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013034108A1 (zh) * | 2011-09-08 | 2013-03-14 | 北京智慧风云科技有限公司 | 一种构建云服务的系统及方法 |
| CN103067416A (zh) * | 2011-10-18 | 2013-04-24 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| WO2013056585A1 (zh) * | 2011-10-18 | 2013-04-25 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| WO2014101841A1 (en) * | 2012-12-28 | 2014-07-03 | Huawei Technologies Co., Ltd. | Electronic rendezvous-based two stage access control for private networks |
| US8925045B2 (en) | 2012-12-28 | 2014-12-30 | Futurewei Technologies, Inc. | Electronic rendezvous-based two stage access control for private networks |
| WO2020057315A1 (zh) * | 2018-09-18 | 2020-03-26 | 华为技术有限公司 | 认证方法、设备及系统 |
| US11503467B2 (en) | 2018-09-18 | 2022-11-15 | Huawei Technologies Co., Ltd. | Authentication method, device, and system |
| CN109150925A (zh) * | 2018-11-08 | 2019-01-04 | 网宿科技股份有限公司 | IPoE静态认证方法及系统 |
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN113055720A (zh) * | 2019-12-26 | 2021-06-29 | 中国电信股份有限公司 | Iptv业务认证方法、系统以及接入设备 |
| CN113055720B (zh) * | 2019-12-26 | 2023-05-02 | 中国电信股份有限公司 | Iptv业务认证方法、系统以及接入设备 |
| CN111541719A (zh) * | 2020-05-19 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 认证方法、装置及信息处理设备 |
| CN111541719B (zh) * | 2020-05-19 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 认证方法、装置及信息处理设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102143136B (zh) | 2013-12-04 |
| WO2011140919A1 (zh) | 2011-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102143136B (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
| CN101730987B (zh) | 使用usb密钥来管理网络组件 | |
| US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| CN100544343C (zh) | 用户登录名和ip地址绑定的实现方法 | |
| EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
| CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
| JP2010118752A (ja) | ネットワークシステム、dhcpサーバ装置、及びdhcpクライアント装置 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| JP2011024065A (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
| CN101179603A (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
| CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
| CN101252587B (zh) | 用户终端的接入鉴权方法和设备 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| JP2001036561A (ja) | Tcp/ipネットワークシステム | |
| WO2012130041A1 (zh) | 网络资源共享的实现方法和系统 | |
| CN109547392B (zh) | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 | |
| CN101635632B (zh) | 认证与配置方法、系统和装置 | |
| CN201646516U (zh) | 一种基于移动通信的银行车及系统 | |
| CN110620751B (zh) | 一种wifi路由终端、接入网关及其认证方法、认证系统 | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN101436954B (zh) | 业务策略请求验证系统、业务策略申请和撤销方法 | |
| CN103067282A (zh) | 数据备份方法、装置及系统 | |
| CN101415032B (zh) | 三层专线接入方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170714 Address after: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee after: Guangdong Gaohang Intellectual Property Operation Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| CB03 | Change of inventor or designer information |
Inventor after: Zuo Qiusheng Inventor after: Xu Donghui Inventor after: Lin Li Inventor before: Qian Guofeng Inventor before: Zhao Zhiwang Inventor before: Li Meng Inventor before: Chen Yibiao |
|
| CB03 | Change of inventor or designer information | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170930 Address after: 065400, room 2, unit 7, 3 building, B District, Beijing Tianjin garden, No. 601 Xincheng street, Xianghe County, Langfang, Hebei Co-patentee after: Xu Donghui Patentee after: Zuo Qiusheng Co-patentee after: Lin Li Address before: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee before: Guangdong Gaohang Intellectual Property Operation Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190123 Address after: 201800 Two Five Floors of 333 Huangqing Road, Jiading District, Shanghai Patentee after: Shanghai Peng Bang Industrial Co., Ltd. Address before: 065400 Room 601, Unit 2, Building 7, Beijing-Tianjin Garden Area B, 3 Xincheng Street, Xianghe County, Langfang City, Hebei Province Co-patentee before: Xu Donghui Patentee before: Zuo Qiusheng Co-patentee before: Lin Li |
|
| TR01 | Transfer of patent right |