CN102843379B - 一种面向多接入模式的认证网络 - Google Patents
一种面向多接入模式的认证网络 Download PDFInfo
- Publication number
- CN102843379B CN102843379B CN201210338203.2A CN201210338203A CN102843379B CN 102843379 B CN102843379 B CN 102843379B CN 201210338203 A CN201210338203 A CN 201210338203A CN 102843379 B CN102843379 B CN 102843379B
- Authority
- CN
- China
- Prior art keywords
- module
- user
- authentication
- access
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种面向多接入模式的认证网络,包括有线接入设备、无线接入设备、接入控制设备、认证系统和互联网,有线接入设备和无线接入设备与接入控制设备连接,接入控制设备与认证系统连接,认证系统与互联网连接。本发明设计合理,通过认证系统提供一套统一的AAA服务,能为采用不同链路技术、不同性质的用户提供AAA服务。在一个共同的框架基础上,针对不同链路层技术的特点分别提不同的认证模块,实现对多种链路层技术的接入。可以给不同接入方式的客户带来方便,并且实现统一的计费,为用户在多种业务之间提供灵活组合的计费策略,另一方面也能够降低运营商的成本。
Description
技术领域
本发明涉及涉及一种面向多接入模式的认证网络,属于计算机接入认证技术领域。
背景技术
从技术和业务发展趋势以及固网运营商生存和发展的需要看,固网运营商进入移动通信领域在今天已经是势在必行。固网运营商应该将宽带移动无线数据业务与宽带固网数据业务捆绑进行,在已经有的固定宽带 IP 网上设置无线基站,来提供宽带移动数据业务。目前 IEEE 正在制定无线局域网 IEEE 802.11、无线城域网 IEEE 802.16、和无线广域网 IEEE802.20 的标准,可以和固定宽带 IP 网结合提供宽带移动数据业务,将形成和 ITU 的三代移动通信标准(WCDMA,TD-SCDMA,CDMA2000)对峙的局面。固网运营商可以在 IEEE标准的基础上发展自己的宽带移动数据业务,在已经有的固网基础设施上进行,与固网业务捆绑提供移动业务。
各种宽带接入网络的迅猛发展,用户数量急剧增加,采用宽带接入认证和计费系统,建立一个可运营、可管理的宽带网络,已经成为网络运营商的迫切需求。然而传统的认证计费系统采用的模式都是基于不同接入技术、使用不同的认证系统。但是,多业务、多认证系统的模式,不利于有效的利用网络资源、统一用户的数据库,不能实现网络优化方案的开展和为用户提供一单式计费的可能。其主要问题表现在以下几个方面:
① 不同接入技术使用不同认证系统给用户带来了极大的不便,用户和运营商需要维护多套的用户资料,用户在通过不同的接入技术访问网络时必须使用不同的用户资料;多认证系统无法实现一单式计费,这也会导致用户的流失(用户可以为不同接入技术选择不同的运营商)。
② 不同的接入技术使用不同的认证系统需要运营商布设多套的认证系统,这会增加运营商的设备成本;相应地,多个认证系统的维护需要更多的网络管理人员,这就增加了运营商的网络管理维护成本。
③ 因系统原因造成用户资料的庞大,运营商无法基于用户的各种业务进行统计分析,不利于为用户在多种业务之间提供灵活组合的计费策略。
因此需要将各种接入认证技术融合成综合的接入系统,以解决上述问题。
中国专利公开号101291218,公开了一种多模通信终端进行认证或通信的方法、涉及的系统,该方法主要包括当该终端某一种模式已经成功使用,在另一种模式进行认证或者通信的时候,利用已经建立的信任关系和网络通道进行认证支持和通信参数协商,使得终端的多个模式之间进行有效的融合和信息共享,避免各模式独立进行认证和通信带来功能的重复和操作的复杂性。该方法处理的问题不够全面,也没有提到相关的计费问题,存在一定的缺陷。
发明内容
本发明所要解决的技术问题是克服现有技术中所存在的上述不足,而提供一种面向多接入模式的认证网络,将现有的主流认证技术都实现在一个面向多接入控制设备上,多接入控制设备主要支持PPPoE、IEEE 802.1X和Web+DCHP认证,同时支持标准IEEE 802.11i和IEEE 802.16中定义的认证。
本发明解决上述技术问题所采用的技术方案是:一种面向多接入模式的认证网络,其特征在于:它包括有线接入设备、无线接入设备、接入控制设备、认证系统和互联网,有线接入设备和无线接入设备与接入控制设备连接,接入控制设备与认证系统连接,认证系统与互联网连接。接入控制设备位于各种接入设备与认证系统的衔接处,主要负责用户的接入认证和移动性管理;接入控制设备能为多种接入网络的用户提供统一的接入认证、授权和计费服务(以下简称AAA服务),支持现有的主流接入方式,和新兴的宽带无线接入;在城域核心网部分提供一套认证系统,为多种接入网络提供统一的AAA服务。用户可以在多种网络间漫游,统一认证和计费,避免了为采用某种链路层技术的接入网络单独建立一套认证系统,降低运营商的投资和运营成本。
所述的认证系统包括PPPoE模块、802.1X模块、802.11i模块、GRE模块、AIM模块、RADIUS Client模块、Web Server认证模块、TCP/IP Stack模块、转发模块、PPP End模块、Ethernet Driver模块、SCS模块、DHCP模块、Subscriber table模块和KSCS模块,所述的PPPoE模块分别与AIM模块和PPP End模块连接,PPP End模块分别与转发模块和Ethernet Driver模块连接;802.1X模块分别与802.11i模块、AIM模块和Ethernet Driver模块连接,802.11i模块与GRE模块连接,GRE模块与TCP/IP Stack模块连接,TCP/IP Stack模块与转发模块连接,转发模块与Ethernet Driver模块连接;所述的AIM模块分别与RADIUS Client模块、Web Server认证模块和SCS模块连接,Web Server认证模块与TCP/IP Stack模块连接,SCS模块分别与DHCP模块、Subscriber table模块和KSCS模块连接,KSCS模块分别与Subscriber table模块和转发模块连接。
所述的AIM模块为认证接口管理模块,全称Authentication Interface Manager,在认证系统中起着枢纽作用,衔接众多其他模块,将认证流程、用户权限生成下发、计费流程联系起来。
根据对外接口,可以进一步将AIM模块划分为几个部分,分别是认证方式接口、认证协议接口、用户配置与统计接口。
①认证方式接口:用于提供用户多种认证方式。每个用户认证服务模块当接收到用户的认证请求后,将需要提供的属性,如用户名、密码等封装在统一的结构中,该结构中同时包含认证结果返回后应调用的回调函数,调用AIM模块提供的统一接口传送给该模块。
②认证协议接口:用于支持多种认证协议,如RADIUS、Diameter。AIM模块和各认证客户端之间的接口是统一的,该接口根据系统中配置的认证协议,将认证模块传过来的封装数据传送到认证协议的客户端模块,如RADIUS Client模块,由客户端模块封装成认证协议报文发送到认证服务器。该结构同时注册了回调函数,RADIUS Client模块根据认证结果调用回调函数通知认证模块,并最终发送到用户端。
③用户配置与统计接口:专门负责与SCS模块通信,用于业务开通、计费等功能。
所述的802.1X模块负责封装和解析与用户端之间的EAPOL (Extensible Authentication Protocol Over Lan:基于局域网的扩展认证协议)的消息,并维护用户相关的IEEE802.1X协议状态机,以及与AIM的接口。IEEE 802.1X协议定义8个状态机:端口定时状态机,认证者状态机,传输密钥状态机,重认证定时器状态机,后端服务器状态机,受控方向状态机,客户端状态机,接收密钥状态机。
所述的Web Server 模块:对于Web+DHCP方式,用户并不是直接向接入控制器中的Web Server请求页面,而是试图去访问某个网站,此时需要由用户转发模块FWD将用户的页面请求转交给用户模块Web Server。收到用户页面请求,Web Server模块向用户发送重定向页面,让用户向本Web Server发送页面请求。然后Web Server模块根据密码认证的方式,生成不同的页面发送到用户端。当接收到用户名、密码等信息后,将客户端信息封装在统一的结构中,调用AIM模块提供的统一接口,发送到RADIUS Client模块。同时在该结构中封装自己的回调函数。
所述的PPPoE 模块:对于采用PPPoE接入方式,由于业务数据和控制数据并没有完全分开(都使用PPP协议头封装),为了提高PPPoE转发数据的处理效率,需要将PPPoE 的功能分割并分别在内核与用户空间实现,对于PPPoE链路的建立过程由用户空间的PPPoE模块完成,而PPPoE封装的数据业务流由内核中的转发模块处理。
MAC层驱动将收到的PPPoE帧交付给PPP END模块处理,PPP END模块根据类型字段判断该帧是数据帧还是控制帧,如果是控制帧则交给用户空间的PPPoE模块,否则交给转发模块处理。
用户空间的PPPoE模块处理PPPoE的发现阶段,和会话阶段中的PPP有限状态的转变,并通过AIM模块和RADIUS Client传递用户认证信息。认证成功后将SESSION ID、用户IP地址等信息通过AIM、SCS模块下发给内核的用户表。
所述的802.11i 模块:模块主要处理来自于集中式AP的IEEE 802.11管理帧,这些管理帧由GRE模块交付给本模块处理,GRE模块主要完成解析和封装GRE协议头的功能。802.11i模块功能包括以下功能:IEEE 802.11 帧的解析和封装、IEEE 802.11 关联过程的处理、四次握手密钥协商处理、向 AP 下发密钥处理。
所述的DHCP模块是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。
所述的RADIUS Client 模块:RADIUS Client模块在系统中起着重要作用,它是接入控制设备实现用户认证、计费功能的接口,通过使用RADIUS协议与远端认证服务器进行通信,完成对用户业务的认证、生成、计费功能。
RADIUS Client模块接收来自AIM模块的认证信息(认证模块产生)和计费信息(SCS模块产生),并封装成RADIUS协议报文发送给RADIUS Server。同时模块还需要具备定时重发RADIUS协议报文功能。并将从RADIUS Server收到的认证,授权信息通过AIM转交给正确的模块。
所述的SCS 和 KSCS 模块:SCS模块为用户配置和统计,全称Subscriber Configuration and Statistic;KSCS模块为内核用户配置和统计,全称Kernel Subscriber Configuration and Statistic;SCS模块负责将认证授权结果下发给内核的KSCS模块,KSCS模块保存用户信息表项,并由转发模块完成对用户需要转发的数据进行过滤、控制。当用户注销后,由SCS模块通知内核删除用户表项。SCS支持通过SNMP和CLI对用户表项进行操作。SCS模块定时向内核请求收集计费信息,然后经由AIM模块、RADIUS Client模块传回AAA服务器。
所述的转发模块属于内核空间的功能模块,主要负责用户数据的转发,根据用户表对用户数据包进行过滤、速率控制和计费数据采集。
所述的Subscriber table模块用于保存认证用户的相关信息,用户表中包含Web认证、802.1X认证、802.11i和PPPoE认证用户的相关表项。用户表项主要包含以下几部分内容:用户的标志信息,如IP地址、MAC地址或PPP SESSIONID等;速率控制信息;流量统计信息; ACL组。
利用表项包含的ACL字段,可以为每个用户制定ACL规则。当然,也可以以VLAN为单位制定ACL规则,这时,该VLAN所属的所有用户的ACL规则均一致。
对于经由802.11i AP认证的用户,认证点(Authenticator)位于802.11i AP,接入控制设备并不执行接入控制功能。
所述的TCP/IP Stack模块是Internet国际互联网络的基础,是网络中使用的基本的通信协议。 TCP协议负责把数据分成若干个数据包,并给每个数据包加上包头,就像给一封信加上信封,包头上有相应的编号,以保证在数据接收端能将数据还原为原来的格式,IP协议在每个包头上再加上接收端主机地址,这样数据找到自己要去的地方,如果传输过程中出现数据丢失、数据失真等情况,TCP协议会自动要求数据重新传输,并重新组包。总之,IP协议保证数据的传输,TCP协议保证数据传输的质量。
所述的Ethernet Driver模块是连接互联网和局域网的端口,是上网所必需的。
本发明所述的认证系统分为低度融合和高度融合两种方式,在低度融合的方式下,接入控制设备仅具有单一的认证技术,各认证技术使用自己的接入控制设备,不同的接入控制设备的用户都到一个统一认证系统去认证;低度融合方式虽然在一定程度上将不同接入认证技术融合在一起,即利用统一的认证系统为各接入认证技术提供认证计费功能。但由于接入控制器仅支持单一的认证技术,运营商为了在不同环境下布设接入网络,必须使用多套的接入控制设备以满足不同的接入认证技术需求。这就导致了网络的布设成本较高,网络结构复杂,维护成本高。
在高度融合的方式下,接入控制设备支持多种接入认证技术,各认证技术都终结于同一个接入控制设备上,所有的认证信息通过不同的认证技术发送到相同接入控制设备上,然后由接入控制设备将认证信息封装在认证协议中送给认证系统完成认证功能;由于接入控制设备支持多种接入认证方式,对使用不同的接入技术的用户进行统一的接入控制,使用统一的认证系统,因此用户同样仅需维护一套用户信息和计费结算清单。而且接入认证设备数量的减少也降低了运营商布设网络时的设备成本,并降低网络结构的复杂度便于维护。同时支持多种认证方式的接入控制设备易于运营商根据市场需求开展各种业务,增加了布网的灵活性。
运营商可以根据不同情况使用接入控制设备布设网络,对于现有的已经布设好的网络,可以将接入控制设备按低度融合方式的布设以保留已投入的成本。而在一个新的区域布设接入网时,可以在该区域布设接入控制器并按市场的需求开展相应的业务,并随着市场需求的发展,按高度融合的方式来扩展新的业务。
本发明所述的有线接入设备包括路由器、台式电脑、笔记本,台式电脑、笔记本通过有线网与路由器连接,路由器与接入控制设备连接。
本发明所述的无线接入设备包括无线接收器、笔记本、移动终端,笔记本、移动终端通过无线网与无线接收器连接,无线接收器通过无线网与接入控制设备连接。
本发明所述的认证系统中模块处理的具体流程包括:认证流程、用户授权流程、计费流程、地址分配流程、强制认证流程和转发流程。
本发明与现有技术相比,具有以下明显效果:设计合理,通过认证系统提供一套统一的AAA服务,能为采用不同链路技术、不同性质的用户提供AAA服务。在一个共同的框架基础上,针对不同链路层技术的特点分别提不同的认证模块,实现对多种链路层技术的接入。可以给不同接入方式的客户带来方便,并且实现统一的计费,为用户在多种业务之间提供灵活组合的计费策略,另一方面也能够降低运营商的成本。
附图说明
图1为本发明的结构示意图。
图2为本发明中认证系统的模块结构图。
具体实施方式
下面结合附图并通过实施例对本发明作进一步说明。
实施例:
参见图1,本实施例包括有线接入设备1、无线接入设备2、接入控制设备3、认证系统4和互联网5,有线接入设备1和无线接入设备2与接入控制设备3连接,接入控制设备3与认证系统4连接,认证系统4与互联网5连接;有线接入设备1包括路由器11、台式电脑12、笔记本13,台式电脑12、笔记本13通过有线网与路由器11连接,路由器11与接入控制设备3连接;无线接入设备2包括无线接收器21、笔记本22、移动终端23,笔记本22、移动终端23通过无线网与无线接收器21连接,无线接收器21通过无线网与接入控制设备3连接。
接入控制设备位于各种接入设备与认证系统的衔接处,主要负责用户的接入认证和移动性管理;接入控制设备能为多种接入网络的用户提供统一的接入认证、授权和计费服务(以下简称AAA服务),支持现有的主流接入方式,和新兴的宽带无线接入;在城域核心网部分提供一套认证系统,为多种接入网络提供统一的AAA服务。用户可以在多种网络间漫游,统一认证和计费,避免了为采用某种链路层技术的接入网络单独建立一套认证系统,降低运营商的投资和运营成本。
参见图2,所述的认证系统包括PPPoE模块、802.1X模块、802.11i模块、GRE模块、AIM模块、RADIUS Client模块、Web Server认证模块、TCP/IP Stack模块、转发模块、PPP End模块、Ethernet Driver模块、SCS模块、DHCP模块、Subscriber table模块和KSCS模块,所述的PPPoE模块分别与AIM模块和PPP End模块连接,PPP End模块分别与转发模块和Ethernet Driver模块连接;802.1X模块分别与802.11i模块、AIM模块和Ethernet Driver模块连接,802.11i模块与GRE模块连接,GRE模块与TCP/IP Stack模块连接,TCP/IP Stack模块与转发模块连接,转发模块与Ethernet Driver模块连接;所述的AIM模块分别与RADIUS Client模块、Web Server认证模块和SCS模块连接,Web Server认证模块与TCP/IP Stack模块连接,SCS模块分别与DHCP模块、Subscriber table模块和KSCS模块连接,KSCS模块分别与Subscriber table模块和转发模块连接。
本实施例中,模块处理的具体流程包括:认证流程、用户授权流程、计费流程、地址分配流程、强制认证流程和转发流程。
认证流程:
各种认证模块通过AIM模块提供的认证接口,将认证用户的信息发送到RADIUS Client模块的消息队列。RADIUS Client模块接收到认证请求后,为该用户建立一个记录表项,包括用户名、用户密码等参数,将该表项添加到认证请求列表中,该列表以用户名为索引,采用合适的数据结构以加快搜索速度。
RADIUS Client模块按照预先配置的Access-Request属性控制列表,为该请求组合一个Access-Request报文,发送给RADIUS Server模块;如果一段时间内没有收到RADIUS Server模块的响应报文,则重发该报文。如果重发次数到了最大值,还没有接收到RADIUS Server模块的回应,则直接删除该认证请求,同时调用该认证类型所注册的通知回调函数,通知用户认证服务器不可达。在支持多个RADIUS Server的情况下,RADIUS Client模块将尝试其它服务器,等全部失败后再通知AIM模块和用户认证模块。根据从RADIUS Server模块的响应报文,RADIUS Client模块分别做以下的处理:
① 对于Reject报文,调用该用户认证方式所注册的通知回调函数,去通知用户认证失败,同时删除该用户请求表项。
② 对于Challenge报文,调用该用户认证所注册的查询回调函数,去通知用户计算Challenge值。
③ 对于Accept报文,调用该用户认证方式所注册的通知回调函数,去通知用户认证成功;然后该用户从认证请求用户列表中删除,并调用AIM模块提供的接口,将用户授权信息传送给SCS模块。
用户授权流程:
当SCS模块接收到添加用户授权消息后,构造用户表项,如果信息完整,向内核下发添加用户表项消息,如果缺少IP信息,启动一个定时器。如果定时器超时,SCS模块删除用户表项。如果在定时器超时之前收到DHCP模块申请地址成功的消息,SCS模块填写IP地址,下发用户表项。内核处理该消息并且返回一个回应消息。SCS收到内核回应消息,判断如果内核成功添加该用户成功,并且该用户需要计费操作,则调用AIM模块提供的接口触发RADIUS Client模块发送Accounting-Start报文消息;RADIUS Client模块接收到消息后,为该用户建立一个记录表项,包括用户名、统计信息等其他参数,添加到计费请求列表中。RADIUS Client模块按照预先配置的Account-Request属性控制列表,为该请求组合一个Account-Request报文,发送给认证服务器;如果一段时间内没有收到RADIUS Server模块的响应报文,则重发该报文。如果重发次数到了最大值,还没有接收到RADIUS Server模块回应,则直接删除该计费请求,并通知SCS模块计费失败,删除用户表项。
当SCS模块接收到删除用户消息后,向内核下发锁定用户消息。内核处理该消息,并在返回消息中携带该用户的统计信息。SCS模块收到回应消息,判断已经成功锁定用户,调用AIM模块提供的接口触发RADIUS Client模块发送Accounting-Stop报文消息,最后SCS模块向内核下发删除用户消息,让内核彻底删除该用户。
计费流程:
计费请求的发起者是SCS模块。SCS模块为每个用户建立一个计费定时器,该定时器的间隔被设置为Access-Accept报文中Acct-Interim-Interval属性值。每当该定时器到期之后,就向内核发送统计消息。当接收到内核的统计消息后,更新该用户的统计信息,通过AIM模块提供的用户配置统计接口触发RADIUS Client模块发送Accounting-Update消息。
按时长控制用户:用户使用网络的计时操作是在SCS模块进行的。当用户申请的网络使用时长到期后,SCS模块向内核发送消息锁定该用户的转发服务。当内核接收到该消息后,锁定该用户的转发,并且在返回消息中,携带该用户的统计信息。当SCS模块处理内核返回消息后,更新该用户的统计信息;并触发向RADIUS Client模块发送Accounting-Stop报文消息,然后向内核发送删除用户消息。如果一定时间内SCS模块没有受到内核的回应消息,则重新向内核发送锁定消息。
按流量控制用户:在内核统计用户流量的过程中,如果发现用户可用流量已经达到,则内核主动锁定该用户,然后向SCS返回锁定消息,并在消息中携带用户的统计信息。
地址分配流程:
自动地址配置由DHCP模块完成。为了避免IP地址浪费的情况,DHCP模块应该支持二次地址分配功能,即当用户请求DHCP分配地址时,DHCP模块先通过SCS模块提供的接口查看该用户是否已经通过认证,如果没有认证则给用户分配一个局部链路地址,该地址仅在本地有效,无法访问外网。当用户认证通过以后,由SCS模块触发DHCP模块发起给用户的二次地址分配过程,此时将给用户分配全局的IP地址,并将该全局IP地址传递给SCS模块,最终由SCS模块下发给内核的用户表。
强制认证流程:
仅考虑Web认证的情况(另外两种假定由用户主动触发),内核转发模块对所有的需要转发的数据包进行过滤,如果数据包是一个没有经过认证的用户所发送的HTTP报文,而且目的IP不是接入接入控制器,那么将目的IP替换为接入控制器的环回地址,包括重新计算校验和,并且将该报文的源IP地址、源端口、目的IP地址、目的端口的对应关系记录到“强制认证链表”,然后上送给Web Server模块处理。
Web Server将重定向页面发送给用户,该报文在发出时被转发模块检测到源端口是80、源IP地址是接入控制器自己的报文,转发模块根据该报文目的IP地址、目的端口查找“强制认证链表”,将这个报文的源IP地址、源端口替换为查找到表项内的目的IP地址、目的端口,包括重新计算校验和,然后发送该报文。用户收到后发送目的地址为接入控制器的HTTP请求,开始Web认证。这就完成了强制认证功能。
当用户认证之后,系统为用户向内核下发用户转发表项。此后如果内核接收到目的非接入控制器的流量,将直接通过内核转发这些流量,而不用上送处理。
转发流程:
转发模块运行在MAC驱动层与TCP/IP协议栈之间,主要功能包括数据包过滤(检验需要转发的数据包是否由已经认证的用户所发)、速率控制、统计转发流量。此外还包括强制认证功能的实现,对于PPPoE接入方式还需要处理PPP协议。转发流程可以分为上行和下行数据的转发过程,所谓上行数据就是指由接入用户向网络发出的数据,下行数据指网络向用户发送的数据。
对于上行数据,即用户侧发出的数据,转发模块主要完成以下功能:
① 用户认证方式的区分。可以分为两种用户类型:802.11iAP 上已经认证的用户与其它认证用户。区分的方法是依据报文首部携带的 VLAN ID。
② 对于本地不需要做认证处理的 VLAN,和 ACL 模块配合进行 ACL 控制,NAT 转换(如果启动该功能);对于本地需要认证的用户,除了 ACL 控制外,还进行速率限制和流量统计。
③ 对于 Web 认证用户,维护强制认证表,执行强制认证功能,辅助用户完成认证。
对于下行数据,即网络侧发出的数据,转发模块主要完成以下功能:
① 如果启动了 NAT 功能,则对数据进行 NAT 转换。
② 判断目的 IP 是否为合法用户的 IP。
③ 认证用户进行速率限制和流量统计。
虽然本发明已以实施例公开如上,但其并非用以限定本发明的保护范围,任何熟悉该项技术的技术人员,在不脱离本发明的构思和范围内所作的更动与润饰,均应属于本发明的保护范围。
Claims (5)
1.一种面向多接入模式的认证网络,其特征在于:它包括有线接入设备、无线接入设备、接入控制设备、认证系统和互联网,有线接入设备和无线接入设备与接入控制设备连接,接入控制设备与认证系统连接,认证系统与互联网连接;所述的认证系统包括PPPoE模块、802.1X模块、802.11i模块、GRE模块、AIM模块、RADIUS Client模块、Web Server认证模块、TCP/IP Stack模块、转发模块、PPP End模块、Ethernet Driver模块、SCS模块、DHCP模块、Subscriber table模块和KSCS模块,所述的PPPoE模块分别与AIM模块和PPP End模块连接,PPP End模块分别与转发模块和Ethernet Driver模块连接;802.1X模块分别与802.11i模块、AIM模块和Ethernet Driver模块连接,802.11i模块与GRE模块连接,GRE模块与TCP/IP Stack模块连接,TCP/IP Stack模块与转发模块连接,转发模块与Ethernet Driver模块连接;所述的AIM模块分别与RADIUS Client模块、Web Server认证模块和SCS模块连接,Web Server认证模块与TCP/IP Stack模块连接,SCS模块分别与DHCP模块、Subscriber table模块和KSCS模块连接,KSCS模块分别与Subscriber table模块和转发模块连接;
所述的PPPoE 模块的功能分别在内核与用户空间实现,对于PPPoE链路的建立过程由用户空间的PPPoE模块完成,而PPPoE封装的数据业务流由内核中的转发模块处理;
所述的802.1X模块负责封装和解析与用户端之间的EAPOL (Extensible Authentication Protocol Over Lan:基于局域网的扩展认证协议)的消息,并维护用户相关的IEEE802.1X协议状态机,以及与AIM的接口;
所述的802.11i模块包括以下功能:IEEE 802.11 帧的解析和封装、IEEE 802.11 关联过程的处理、四次握手密钥协商处理、向 AP 下发密钥处理;
所述的GRE模块主要完成解析和封装GRE协议头的功能;
所述的AIM模块为认证接口管理模块,在认证系统中起着枢纽作用,衔接众多其他模块,将认证流程、用户权限生成下发、计费流程联系起来;
所述的RADIUS Client模块是接入控制设备实现用户认证、计费功能的接口,通过使用RADIUS协议与远端认证服务器进行通信,完成对用户业务的认证、生成、计费功能;
所述的Web Server模块向用户发送重定向页面,让用户向本Web Server发送页面请求;并根据密码认证的方式,生成不同的页面发送到用户端;
所述的TCP/IP Stack模块是Internet国际互联网络的基础,其中,IP协议保证数据的传输,TCP协议保证数据传输的质量;
所述的转发模块属于内核空间的功能模块,主要负责用户数据的转发,根据用户表对用户数据包进行过滤、速率控制和计费数据采集;
所述的PPP END模块用于处理MAC层驱动收到的PPPoE帧;
所述的Ethernet Driver模块是连接互联网和局域网的端口;
所述的SCS模块为用户配置和统计,KSCS模块为内核用户配置和统计;SCS模块负责将认证授权结果下发给内核的KSCS模块,KSCS模块保存用户信息表项,并由转发模块完成对用户需要转发的数据进行过滤、控制;
所述的DHCP模块使用UDP协议工作,有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段;
所述的Subscriber table模块用于保存认证用户的相关信息。
2.根据权利要求1所述的面向多接入模式的认证网络,其特征在于:所述的认证系统分为低度融合和高度融合两种方式,在低度融合的方式下,接入控制设备仅具有单一的认证技术,各认证技术使用自己的接入控制设备,不同的接入控制设备的用户都到一个统一认证系统去认证;在高度融合的方式下,接入控制设备支持多种接入认证技术,各认证技术都终结于同一个接入控制设备上,所有的认证信息通过不同的认证技术发送到相同接入控制设备上,然后由接入控制设备将认证信息封装在认证协议中送给认证系统完成认证功能。
3.根据权利要求1或2所述的面向多接入模式的认证网络,其特征在于:所述的有线接入设备包括路由器、台式电脑、笔记本,台式电脑、笔记本通过有线网与路由器连接,路由器与接入控制设备连接。
4.根据权利要求1或2所述的面向多接入模式的认证网络,其特征在于:所述的无线接入设备包括无线接收器、笔记本、移动终端,笔记本、移动终端通过无线网与无线接收器连接,无线接收器通过无线网与接入控制设备连接。
5.根据权利要求1或2所述的面向多接入模式的认证网络,其特征在于:所述的认证系统中模块处理的具体流程包括:认证流程、用户授权流程、计费流程、地址分配流程、强制认证流程和转发流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338203.2A CN102843379B (zh) | 2012-09-13 | 2012-09-13 | 一种面向多接入模式的认证网络 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338203.2A CN102843379B (zh) | 2012-09-13 | 2012-09-13 | 一种面向多接入模式的认证网络 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102843379A CN102843379A (zh) | 2012-12-26 |
| CN102843379B true CN102843379B (zh) | 2015-10-07 |
Family
ID=47370439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210338203.2A Expired - Fee Related CN102843379B (zh) | 2012-09-13 | 2012-09-13 | 一种面向多接入模式的认证网络 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102843379B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105142146B (zh) * | 2015-09-24 | 2021-01-08 | 台州市吉吉知识产权运营有限公司 | 一种wifi热点接入的认证方法、装置及系统 |
| CN109451497B (zh) * | 2018-11-23 | 2021-07-06 | Oppo广东移动通信有限公司 | 无线网络连接方法及装置、电子设备、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555162A (zh) * | 2003-12-24 | 2004-12-15 | 中兴通讯股份有限公司 | 实现宽带接入服务器多业务统一接口的控制装置及方法 |
| CN1835514A (zh) * | 2006-03-31 | 2006-09-20 | 北京润汇科技有限公司 | Dhcp+客户端模式的宽带接入的管理方法 |
| CN101150594A (zh) * | 2007-10-18 | 2008-03-26 | 中国联合通信有限公司 | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 |
| CN101163000A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 一种二次认证方法及系统 |
| CN102036270A (zh) * | 2010-12-16 | 2011-04-27 | 中兴通讯股份有限公司 | 一种aaa的实现方法及aaa服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893231B2 (en) * | 2006-11-16 | 2014-11-18 | Nokia Corporation | Multi-access authentication in communication system |
-
2012
- 2012-09-13 CN CN201210338203.2A patent/CN102843379B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555162A (zh) * | 2003-12-24 | 2004-12-15 | 中兴通讯股份有限公司 | 实现宽带接入服务器多业务统一接口的控制装置及方法 |
| CN1835514A (zh) * | 2006-03-31 | 2006-09-20 | 北京润汇科技有限公司 | Dhcp+客户端模式的宽带接入的管理方法 |
| CN101163000A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 一种二次认证方法及系统 |
| CN101150594A (zh) * | 2007-10-18 | 2008-03-26 | 中国联合通信有限公司 | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 |
| CN102036270A (zh) * | 2010-12-16 | 2011-04-27 | 中兴通讯股份有限公司 | 一种aaa的实现方法及aaa服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102843379A (zh) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015855B2 (en) | Secure tunneling platform system and method | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| EP2624525A1 (en) | Method, apparatus and virtual private network system for issuing routing information | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| US8914520B2 (en) | System and method for providing enterprise integration in a network environment | |
| JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| AU2014261983B2 (en) | Communication managing method and communication system | |
| JP2004343448A (ja) | 無線lanアクセス認証システム | |
| CN105007579A (zh) | 一种无线局域网接入认证方法及终端 | |
| WO2013107136A1 (zh) | 终端接入认证的方法及用户端设备 | |
| CN101022394A (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| WO2014107974A1 (zh) | 一种无线局域网络用户接入固定宽带网络的方法和系统 | |
| CN103648109B (zh) | 一种无线分布式转发系统及方法 | |
| CN1992637B (zh) | WiMax网络控制管理系统和方法 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| WO2014029367A1 (zh) | 一种动态配置方法及装置、系统 | |
| CN101521878A (zh) | 实现公众无线宽带网络接入的方法及无线网络接入设备 | |
| CN110611893B (zh) | 为漫游无线用户设备扩展订户服务 | |
| CN102843379B (zh) | 一种面向多接入模式的认证网络 | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| CN101499993A (zh) | 一种认证方法、设备和系统 | |
| CN103974223B (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
| CN104660446B (zh) | N:1保护场景下dhcp中继实现系统及方法 | |
| WO2008080352A1 (fr) | Procédé de chargement de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151007 Termination date: 20160913 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |