CN103002443A - 一种接纳控制方法和系统 - Google Patents
一种接纳控制方法和系统 Download PDFInfo
- Publication number
- CN103002443A CN103002443A CN2011102753238A CN201110275323A CN103002443A CN 103002443 A CN103002443 A CN 103002443A CN 2011102753238 A CN2011102753238 A CN 2011102753238A CN 201110275323 A CN201110275323 A CN 201110275323A CN 103002443 A CN103002443 A CN 103002443A
- Authority
- CN
- China
- Prior art keywords
- bandwidth
- authentication
- bng
- aaa
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/74—Admission control; Resource allocation measures in reaction to resource unavailability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/74—Admission control; Resource allocation measures in reaction to resource unavailability
- H04L47/745—Reaction in network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种接纳控制方法,包括:接入节点(AN)接收到家庭网关(RG)作为客户端发起的认证请求,或者,接收到所述RG转发的非宽带论坛(BBF)的用户设备(UE)发起的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至网络侧;所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。本发明还提供一种接纳控制系统。本发明通过检查可授权带宽和签约带宽,避免误接纳用户。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种接纳控制方法和系统。
背景技术
随着网络技术的发展和用户对业务的需求,终端逐渐多模化,可以选择在不同类型的接入网络接入,以承载多样性的业务。不同的网络连接具有不同的特性和传输能力,以便能够更好地满足用户对业务多样的需求。目前,多模终端可以实现不同类型的无线访问网络之间的无缝连接,如蜂窝的通用移动通信系统(UMTS,Universal Mobile Telecommunications System)、增强型数据速率GSM演进技术(EDGE,Enhanced Data Rate for GSMEvolution)、通用分组无线服务技术(GPRS,General Packet Radio Service)与IEEE 802.11中的无线局域网络(WLAN,Wireless Local Area Networks)之间的无缝连接。WLAN可在小范围的家庭和热点区域提供很高的数据速率,而蜂窝网络可以提供更高的灵活性和无处不在的覆盖,但数据速率较低;如果能够结合两者的优点,用户将从中受益。在WLAN访问点的覆盖范围内,多模终端利用WLAN进行数据访问和网络电话(VoIP,Voice over InternetProtocol)的应用,同时还能使用重叠的蜂窝网络,进行语音呼叫或媒体访问。
目前,国际性标准组织宽带论坛(Broadband Forum,BBF)正在进行FMC(Fixed Mobile Convergence,固定移动融合)的标准化工作,研究的场景包括移动终端用户通过RG(Residential Gateway,家庭网关)从BBF网络接入,并访问移动或固网的业务。由于网络的异构性,当移动终端用户在BBF网络接入时,在用户认证、地址分配及计费方面与普通BBF用户存在差异。
如图1和2,在固网RG的认证过程中,RG通过BNG(Broadband NetworkGateway,宽带网络网关)与BBF AAA交互进行认证,BNG可以通过二层协议向AN(Access Node,接入节点)查询RG的链路状态(如带宽),然后上报给AAA,由AAA判断当前的链路状态是否能满足RG的签约信息。若不满足,则AAA可以拒绝RG的认证。
在FMC的场景下,非BBF的移动终端通过RG接入网络,同样在认证的过程中需要对UE进行带宽检查。然而,由于UE是通过RG接入网络的,BNG查询到的UE的链路状态和RG的是相同的(在BNG看来,两者的链路标识相同,是同一条链路)。在UE进行带宽检查时,BBF AAA无法感知RG已经申请使用这条物理链路的某些带宽(假设该条链路实际支持9M,RG申请使用8M,当UE签约2M时,现有技术带宽检查通过,会接纳UE的认证请求),有可能导致实际物理链路带宽不能满足UE的签约带宽而误接纳UE的认证请求。
发明内容
本发明的主要目的在于提供一种接纳控制方法和系统,避免带宽资源不足时,误接纳用户。
为了解决上述问题,本发明提供了一种接纳控制方法,包括:
接入节点(AN)接收到家庭网关(RG)作为客户端发起的认证请求,或者,接收到所述RG转发的非宽带论坛(BBF)的用户设备(UE)发起的认证请求后,在所述认证请求中插入所述RG或UE的DSL(digital subscriberline,数字用户线路)参数,发送所述认证请求至网络侧;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
其中,所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;
所述网络侧在所述RG或UE认证通过后,还更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
其中,所述网络侧包括宽带网络网关(BNG);
所述AN发送所述认证请求至所述BNG;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:所述BNG判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述RG的签约带宽由BBF鉴权授权计费(AAA)在所述RG通过身份认证后发送给所述BNG。
其中,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给BBF AAA,再由所述BBF AAA发送给所述BNG。
其中,所述网络侧包括BNG和BBF AAA;
所述AN发送所述认证请求至网络侧包括:
所述AN发送所述认证请求至BNG;所述BNG将所述认证请求发送至BBF AAA;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:
所述BBF AAA判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给所述BBF AAA。
本发明还提供一种接纳控制系统,包括:AN和网络侧,其中:
所述AN用于:接收到RG作为客户端发起的认证请求后,或者,接收到由RG转发的非BBF的UE的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至所述网络侧;
所述网络侧用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
其中,所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;
所述网络侧还用于:在所述RG或UE认证通过后,更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
其中,所述网络侧包括BNG:
所述AN还用于发送所述认证请求至所述BNG;
所述BNG用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述网络侧还包括BBF AAA:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA用于,接收到所述认证请求后,对所述RG进行身份认证,认证通过后,将所述RG的签约带宽发送给所述BNG。
其中,所述网络侧还包括BBF AAA和所述UE的归属AAA:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA还用于:转发所述认证请求至所述归属AAA,以及,接收到所述UE的签约带宽后,发送给所述BNG;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
其中,所述网络侧包括BNG和BBF AAA;
所述AN还用于:发送所述认证请求至BNG;
所述BNG用于:将所述认证请求发送至BBF AAA;
所述BBF AAA用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述网络侧还包括所述UE的归属AAA:
所述BBF AAA还用于:转发所述认证请求至所述归属AAA;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
本发明实施例提供的方法和系统,通过将链路的可授权带宽和签约带宽比较,在可授权带宽满足签约带宽时才接入用户,避免了误接纳用户。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是现有技术基于802.1x的RG认证图;
图2是现有技术基于PPP的RG认证流程图;
图3是根据本发明实施1流程图;
图4是根据本发明实施2流程图;
图5是根据本发明实施3流程图;
图6是根据本发明实施4流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提供一种接纳控制方法,包括:
接入节点(AN)接收到RG作为客户端发起的认证请求,或者,接收到RG转发的非BBF的UE发起的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至网络侧;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
其中,所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;所述网络侧在所述RG或UE认证通过后,还更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
其中,所述网络侧包括BNG;
所述AN发送所述认证请求至所述BNG;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:所述BNG判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述RG的签约带宽由所述BBF AAA在所述RG通过身份认证后发送给所述BNG。
其中,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给BBF AAA,再由所述BBF AAA发送给所述BNG。
其中,所述网络侧包括BNG和BBF AAA;
所述AN发送所述认证请求至网络侧包括:
所述AN发送所述认证请求至BNG;所述BNG将所述认证请求发送至BBF AAA;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:
所述BBF AAA判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给所述BBF AAA。
下面分别说明RG和UE分别进行认证的技术方案。
方案一
RG的认证
RG作为802.1x客户端,发起认证请求;AN作为802.1x认证器和RADIUS客户端,收到请求后,插入RG的DSL参数,发送给BNG。
若RG通过BBF AAA的认证检查,则BBF AAA给BNG发送RG的签约带宽;
BNG判断当前链路的可授权带宽是否满足RG的签约带宽,若满足,则RG通过认证。BNG更新可授权带宽,即新的可授权带宽为老的可授权带宽减去RG的签约带宽。具体地,可授权带宽的初始值为RG的DSL参数中的带宽。
3GPP UE的认证:
当某非BBF UE通过RG接入网络,作为802.1x客户端,发起认证请求时,RG作为802.1x认证器和RADIUS客户端,进一步将请求消息发送给AN,AN插入UE的DSL参数,发送给BNG。
若UE通过归属AAA的认证检查,则归属AAA经由BBF AAA给BNG发送UE的签约带宽。
BNG判断可授权带宽是否满足UE的签约带宽,若满足,则UE通过认证。BNG更新可授权带宽,即新的可授权带宽为老的可授权带宽减去UE的签约带宽。具体地,可授权带宽的初始值为UE的DSL参数中的带宽。由于UE是通过RG接入网络的,UE与RG的DSL参数相同。
方案一中,BNG中每个链路对应一个可授权带宽,使用链路标识或线路标识区分各链路,根据DSL参数中的链路标识或线路标识获取对应的可授权带宽。
方案二
RG的认证:
RG作为802.1x客户端,发起认证请求;AN作为802.1x认证器和RADIUS客户端,收到请求后,插入RG的DSL参数,经由BNG发送给BBF AAA。
BBF AAA检查可授权带宽是否满足RG的签约带宽,若满足,则RG通过认证。BNG更新可授权带宽,即新的可授权带宽为老的可授权带宽减去RG的签约带宽。具体地,可授权带宽的初始值为RG的DSL参数中的带宽。
3GPP UE的认证:
当某非BBF UE通过RG接入网络,作为802.1x客户端,发起认证请求时,RG作为802.1x认证器和RADIUS客户端,进一步将请求消息发送给AN,AN插入UE的DSL参数,经由BNG发送给BBF AAA。
若UE通过归属AAA的认证检查,则归属AAA将UE的签约带宽发送给BBF AAA。BBF AAA判断可授权带宽是否满足UE的签约带宽,若满足,则UE通过认证。BBF AAA更新可授权带宽,即新的可授权带宽为老的可授权带宽减去UE的签约带宽。具体地,可授权带宽的初始值为RG/UE的DSL参数中的带宽。由于UE是通过RG接入网络的,UE与RG的DSL参数相同。
方案二中,BBF AAA中每个链路对应一个可授权带宽,使用链路标识或线路标识区分各链路,通过DSL参数中的链路标识或线路标识获取对应的可授权带宽。
下面将结合附图和实施例对本发明进行详细描述。
图3是根据本发明实施例1,RG作为802.1x客户端的认证过程,此过程包括AN将RG对应的DSL参数发送给BNG,并且BNG基于DSL参数及RG的签约带宽进行相关处理。该流程包括以下步骤:
步骤301,RG作为802.1x客户端,附着到以太网,并发起认证协议开始(EAPoL Start)报文,以请求认证。
步骤302,AN作为802.1x认证器,收到RG发送的EAPoL Start报文后,向RG发送认证协议ID请求(EAP Identity Request)报文,用于通知RG上报用户名。
步骤303,收到AN发送的EAP Identity Request报文后,RG回复认证协议ID应答(EAP Identity Response)报文给AN,其中报文中携带用户名。
步骤304,AN将收到的EAP Identity Response报文封装到认证接入请求(RADIUS Access Request)报文中发送给BNG。
步骤305,BNG作为RADIUS Proxy(RADIUS代理),将收到的RADIUSAccess Request报文发送给BBF AAA。
步骤306,BBF AAA回复认证接入响应(RADIUS Access Response)报文给BNG,其中该报文中携带EAP Challenge(EAP挑战)。
步骤307,BNG将收到的RADIUS Access Response报文发送给AN。
步骤308,AN从收到的RADIUS Access Response报文中,解封出EAP报文,并将该EAP报文发送给RG。收到AN发送的EAP报文后,RG回复报文给AN,报文中携带挑战密码(Challenged Password)。
步骤309,AN将收到的EAP报文封装到认证接入请求(RADIUS AccessRequest)报文中,同时插入RG对应的DSL参数,如线路标识(Line ID)(或链路标识(Link ID))和带宽,举例来说:线路标识(Line ID)(或链路标识(Link ID))表示RG所连接交换机端口的vlan-id及二层端口号。可选地,RG对应的DSL参数也可以在步骤304发送给BNG。
步骤310,BNG读取RG对应的DSL参数,并将收到的RADIUS AccessRequest报文发送给BBF AAA。
步骤311,若RG通过认证,则BBF AAA回复认证接入接受(RADIUSAccess Accept)报文给BNG,同时携带RG的签约带宽;若RG没有通过认证,则回复认证接入拒绝(RADIUS Access Reject)报文给BNG。
步骤312,若BNG收到认证成功报文,则BNG读取RG的签约带宽,检查当前的可授权带宽是否满足RG的签约带宽,若满足,则向AN发送RADIUS Access Accept报文,同时BNG计算新的可授权带宽,为老的可授权带宽减去RG的签约带宽。初始的可授权带宽为RG对应的DSL参数中的带宽。若不满足,则BNG发送RADIUS Access Reject报文给AN或对RG所在的链路进行重新配置。在RG认证成功的情况下,BNG保存该RG对应的DSL参数中的链路标识及可授权带宽。
步骤313,AN解封出EAP报文,若RG认证成功,则发送认证协议成功(EAP Success)报文给RG;若RG认证失败,则发送认证协议失败(EAP-Failure)报文给RG。
图4是根据本发明实施例2,UE作为802.1x客户端的认证过程,此过程包括AN将UE对应的DSL参数发送给BNG,BNG基于DSL参数及UE的签约带宽进行相关处理。该流程包括以下步骤:
步骤401,RG在BBF网络进行认证,具体步骤可参考实施例1。
步骤402,UE作为802.1x客户端,通过RG附着到网络,并发起认证协议开始(EAPoL Start)报文,以请求认证。
步骤403,RG作为802.1x认证器,收到UE发送的EAPoL Start报文后,向UE发送认证协议ID请求(EAP Identity Request)报文,用于通知UE上报用户名。
步骤404,收到RG发送的EAP Identity Request报文后,UE回复认证协议ID应答(EAP Identity Response)报文给RG,其中报文中携带用户名。
步骤405,RG同时作为RADIUS客户端,将收到的EAP Identity Response报文封装到认证接入请求(RADIUS Access Request)报文中发送给AN。
步骤406,AN作为RADIUS Proxy(RADIUS代理),将RADIUS AccessRequest报文发送给BNG。
步骤407,BNG作为RADIUS代理,将RADIUS Access Request报文发送给BBF AAA。
步骤408,由于该UE是非BBF用户,需要UE的Home(归属)AAA参与认证,BBF AAA将RADIUS Access Request报文发送给Home AAA。
步骤409,Home AAA回复认证接入响应(RADIUS Access Response)报文给BBF AAA,其中该报文中携带EAP Challenge(EAP挑战)。
步骤410,BBF AAA将RADIUS Access Response报文转发给BNG;
步骤411,BNG将RADIUS Access Response报文转发给AN;
步骤412,AN将RADIUS Access Response报文转发给RG;
步骤413,RG从收到的RADIUS Access Response报文中,解封出EAP报文,并将该EAP报文发送给UE。收到RG发送的EAP报文后,UE回复报文给RG,报文中携带挑战密码(Challenged Password)。
步骤414,收到UE回复的报文后,RG将EAP报文封装到RADIUS AccessRequest报文中发送给AN。
步骤415,AN作为RADIUS代理,收到RADIUS Access Request报文后,插入UE对应的DSL参数,如线路标识(Line ID)(或链路标识(LinkID))和带宽,举例来说:线路标识(Line ID)(或链路标识(Link ID))表示RG所连接交换机端口的vlan-id及二层端口号。AN将RADIUS AccessRequest报文发送给BNG。可选地,UE对应的DSL参数也可以在步骤406发送给BNG。
步骤416,BNG收到RADIUS Access Request报文后,读取UE对应的DSL参数,然后将RADIUS Access Request报文发送给BBF AAA。
步骤417,BBF AAA将RADIUS Access Request报文发送给Home AAA。
步骤418,若UE通过认证,则Home AAA回复认证接入接受(RADIUSAccess Accept)报文给BBF AAA,并且携带UE对应的签约带宽。若UE认证不通过,则回复认证接入拒绝(RADIUS Access Reject)报文给BBF AAA。
步骤419,BBF AAA将RADIUS Access Accept报文或RADIUS AccessReject报文发送给BNG。
步骤420,若UE认证通过,则BNG读取UE的签约带宽,检查当前的可授权带宽是否满足UE的签约带宽,若满足,则向AN发送RADIUS AccessAccept报文,同时BNG计算新的可授权带宽,为老的可授权带宽减去UE的签约带宽。由于UE通过RG接入网络,RG和UE的链路标识相同,它们的DSL参数也相同。若不满足,则BNG重新配置UE的链路或发送RADIUSAccess Reject给AN。
步骤421,AN将RADIUS Access Accept报文或RADIUS Access Reject报文发送给RG。
步骤422,RG解封出EAP报文,若UE认证成功,则发送认证协议成功(EAP Success)报文给UE;若UE认证失败,则发送认证协议失败(EAP-Failure)报文给UE。
图5是根据本发明实施例3,RG作为802.1x客户端的认证过程,此过程包括AN将RG对应的DSL参数经由BNG发送给BBF AAA,并且BBFAAA基于DSL参数及RG的签约带宽进行相关处理。该流程包括以下步骤:
步骤501,RG作为802.1x客户端,附着到以太网,并发起认证协议开始(EAPoL Start)报文,以请求认证。
步骤502,AN作为802.1x认证器,收到RG发送的EAPoL Start报文后,向RG发送认证协议ID请求(EAP Identity Request)报文,用于通知RG上报用户名。
步骤503,收到AN发送的EAP Identity Request报文后,RG回复认证协议ID应答(EAP Identity Response)报文给AN,其中报文中携带用户名。
步骤504,AN将收到的EAP Identity Response报文封装到认证接入请求(RADIUS Access Request)报文中发送给BNG。
步骤505,BNG作为RADIUS Proxy(RADIUS代理),将收到的RADIUSAccess Request报文发送给BBF AAA。
步骤506,BBF AAA回复认证接入响应(RADIUS Access Response)报文给BNG,其中该报文中携带EAP Challenge(EAP挑战)。
步骤507,BNG将收到的RADIUS Access Response报文发送给AN。
步骤508,AN从收到的RADIUS Access Response报文中,解封出EAP报文,并将该EAP报文发送给RG。收到AN发送的EAP报文后,RG回复报文给AN,报文中携带挑战密码(Challenged Password)。
步骤509,AN将收到的EAP报文封装到认证接入请求(RADIUS AccessRequest)报文中,同时插入RG对应的DSL参数,如线路标识(Line ID)(或链路标识(Link ID))和带宽,举例来说:线路标识(Line ID)(或链路标识(Link ID))表示RG所连接交换机端口的vlan-id及二层端口号。可选地,RG对应的DSL参数也可以在第504步发送给BNG。
步骤510,BNG将收到的RADIUS Access Request报文发送给BBF AAA。
步骤511,BBF AAA读取RG对应的DSL参数,并判断DSL参数中的链路标识对应的可授权带宽是否满足RG的签约带宽,若满足,并且RG的挑战密码也通过认证,则RG通过认证,则BBF AAA回复认证接入接受(RADIUS Access Accept)报文给BNG。同时,BBF AAA维护针对RG的DSL参数中链路标识对应的可授权带宽,即当前的可授权带宽为老的可授权带宽减去RG的签约带宽,初始的可授权带宽为DSL参数中的带宽。若RG没有通过认证,则回复认证接入拒绝(RADIUS Access Reject)报文给BNG,并携带拒绝原因。
步骤512,BNG转发RADIUS Access Accept报文或RADIUS AccessReject报文给AN。
步骤513,AN解封出EAP报文,若RG认证成功,则发送认证协议成功(EAP Success)报文给RG;若RG认证失败,则发送认证协议失败(EAP-Failure)报文给RG。
图6是根据本发明实施例4,UE作为802.1x客户端的认证过程,此过程包括AN将UE对应的DSL参数经由BNG发送给BBF AAA,BBF AAA基于DSL参数及UE的签约带宽进行相关处理。该流程包括以下步骤:
步骤601,RG在BBF网络进行认证,具体步骤可参考实施例1。
步骤602,UE作为802.1x客户端,通过RG附着到网络,并发起认证协议开始(EAPoL Start)报文,以请求认证。
步骤603,RG作为802.1x认证器,收到UE发送的EAPoL Start报文后,向UE发送认证协议ID请求(EAP Identity Request)报文,用于通知UE上报用户名。
步骤604,收到RG发送的EAP Identity Request报文后,UE回复认证协议ID应答(EAP Identity Response)报文给RG,其中报文中携带用户名。
步骤605,RG同时作为RADIUS客户端,将收到的EAP Identity Response报文封装到认证接入请求(RADIUS Access Request)报文中发送给AN。
步骤606,AN作为RADIUS Proxy(RADIUS代理),将RADIUS AccessRequest报文发送给BNG。
步骤607,BNG作为RADIUS代理,将RADIUS Access Request报文发送给BBF AAA。
步骤608,由于该UE是非BBF用户,需要UE的Home(归属)AAA参与认证,BBF AAA将RADIUS Access Request报文发送给Home AAA。
步骤609,Home AAA回复认证接入响应(RADIUS Access Response)报文给BBF AAA,其中该报文中携带EAP Challenge(EAP挑战)。
步骤610,BBF AAA将RADIUS Access Response报文转发给BNG;
步骤611,BNG将RADIUS Access Response报文转发给AN;
步骤612,AN将RADIUS Access Response报文转发给RG;
步骤613,RG从收到的RADIUS Access Response报文中,解封出EAP报文,并将该EAP报文发送给UE。收到RG发送的EAP报文后,UE回复报文给RG,报文中携带挑战密码(Challenged Password)。
步骤614,收到UE回复的报文后,RG将EAP报文封装到RADIUS AccessRequest报文中发送给AN。
步骤615,AN作为RADIUS代理,收到RADIUS Access Request报文后,插入UE对应的DSL参数,如线路标识(Line ID)(或链路标识(LinkID))和带宽,举例来说:线路标识(Line ID)(或链路标识(Link ID))表示RG所连接交换机端口的vlan-id及二层端口号。AN将RADIUS AccessRequest报文发送给BNG。可选地,UE对应的DSL参数也可以在第606步发送给BNG。
步骤616,BNG将RADIUS Access Request报文发送给BBF AAA。
步骤617,BBF AAA读取UE对应的DSL参数,并将RADIUS AccessRequest报文发送给Home AAA。
步骤618,若UE通过认证,则Home AAA回复认证接入接受(RADIUSAccess Accept)报文给BBF AAA,并且携带UE对应的签约带宽。若UE认证不通过,则回复认证接入拒绝(RADIUS Access Reject)报文给BBF AAA。
步骤619,若UE认证通过,则BBF AAA判断DSL参数中的链路标识对应的可授权带宽是否满足UE的签约带宽,若满足,则BBF AAA向BNG发送回复认证接入接受(RADIUS Access Accept)报文。同时,BBF AAA维护针对UE的DSL参数中链路标识对应的可授权带宽,即当前的可授权带宽为老的可授权带宽减去UE的签约带宽,初始的可授权带宽为DSL参数中的带宽。若DSL参数中的链路标识对应的可授权带宽不满足UE的签约带宽,则BBF AAA发送认证接入拒绝(RADIUS Access Reject)报文给BNG,并携带拒绝原因。注:UE通过RG接入网络,UE和RG的DSL参数相同。
步骤620,若UE认证通过,则BNG读取UE的签约带宽,检查当前的可授权带宽是否满足UE的签约带宽,若满足,则向AN发送RADIUS AccessAccept报文,同时BNG计算新的可授权带宽,为老的可授权带宽减去UE的签约带宽。由于UE通过RG接入网络,RG和UE的链路标识相同,它们的DSL参数也相同。若不满足,则BNG重新配置UE的链路或发送RADIUSAccess Reject给AN。
步骤621,AN将RADIUS Access Accept报文或RADIUS Access Reject报文发送给RG。
步骤622,RG解封出EAP报文,若UE认证成功,则发送认证协议成功(EAP Success)报文给UE;若UE认证失败,则发送认证协议失败(EAP-Failure)报文给UE。
本发明实施例还提供一种接纳控制系统,包括:AN和网络侧,其中:
所述AN用于:接收到RG作为客户端发起的认证请求后,或者,接收到由RG转发的非BBF的UE的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至所述网络侧;
所述网络侧用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
其中,所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;所述网络侧还用于:在所述RG或UE认证通过后,更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
其中,所述网络侧包括BNG,
所述AN还用于发送所述认证请求至所述BNG;
所述BNG用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述网络侧还包括BBF AAA:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA用于,接收到所述认证请求后,对所述RG进行身份认证,认证通过后,将所述RG的签约带宽发送给所述BNG。
其中,所述网络侧还包括BBF AAA和所述UE的归属AAA:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA还用于:转发所述认证请求至所述归属AAA,以及,接收到所述UE的签约带宽后,发送给所述BNG;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
其中,所述网络侧包括BNG和BBF AAA;
所述AN还用于:发送所述认证请求至BNG;
所述BNG用于:将所述认证请求发送至BBF AAA;
所述BBF AAA用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
其中,所述网络侧还包括所述UE的归属AAA,其中:
所述BBF AAA还用于:转发所述认证请求至所述归属AAA;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
Claims (16)
1.一种接纳控制方法,其特征在于,包括:
接入节点(AN)接收到家庭网关(RG)作为客户端发起的认证请求,或者,接收到所述RG转发的非宽带论坛(BBF)的用户设备(UE)发起的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至网络侧;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
2.如权利要求1所述的方法,其特征在于,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
3.如权利要求2所述的方法,其特征在于,
所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;
所述网络侧在所述RG或UE认证通过后,还更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
4.如权利要求1至3任一所述的方法,其特征在于,所述网络侧包括宽带网络网关(BNG);
所述AN发送所述认证请求至所述BNG;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:所述BNG判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
5.如权利要求4所述的方法,其特征在于,所述RG的签约带宽由BBF鉴权授权计费(AAA)在所述RG通过身份认证后发送给所述BNG。
6.如权利要求4所述的方法,其特征在于,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给BBF AAA,再由所述BBFAAA发送给所述BNG。
7.如权利要求1至3任一所述的方法,其特征在于,所述网络侧包括BNG和BBF AAA;
所述AN发送所述认证请求至网络侧包括:
所述AN发送所述认证请求至BNG;所述BNG将所述认证请求发送至BBF AAA;
所述网络侧判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽包括:
所述BBF AAA判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
8.如权利要求7所述的方法,其特征在于,所述UE的签约带宽由所述UE的归属AAA在所述UE通过身份认证后发送给所述BBF AAA。
9.一种接纳控制系统,其特征在于,包括:AN和网络侧,其中:
所述AN用于:接收到RG作为客户端发起的认证请求后,或者,接收到由RG转发的非BBF的UE的认证请求后,在所述认证请求中插入所述RG或UE的DSL参数,发送所述认证请求至所述网络侧;
所述网络侧用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
10.如权利要求9所述的系统,其特征在于,所述DSL参数中包括链路标识和带宽,或者,包括线路标识和带宽。
11.如权利要求9所述的系统,其特征在于,
所述当前链路的可授权带宽的初始值为所述RG或UE的DSL参数中的带宽;
所述网络侧还用于:在所述RG或UE认证通过后,更新所述当前链路的可授权带宽,将所述当前链路的可授权带宽减去所述RG或UE的签约带宽作为新的可授权带宽。
12.如权利要求9至11任一所述的系统,其特征在于,所述网络侧包括BNG,其中:
所述AN还用于发送所述认证请求至所述BNG;
所述BNG用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
13.如权利要求12所述的系统,其特征在于,所述网络侧还包括BBFAAA,其中:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA用于,接收到所述认证请求后,对所述RG进行身份认证,认证通过后,将所述RG的签约带宽发送给所述BNG。
14.如权利要求12所述的系统,其特征在于,所述网络侧还包括BBFAAA和所述UE的归属AAA,其中:
所述BNG还用于:转发所述认证请求至所述BBF AAA;
所述BBF AAA还用于:转发所述认证请求至所述归属AAA,以及,接收到所述UE的签约带宽后,发送给所述BNG;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
15.如权利要求9至11任一所述的系统,其特征在于,所述网络侧包括BNG和BBF AAA;
所述AN还用于:发送所述认证请求至BNG;
所述BNG用于:将所述认证请求发送至BBF AAA;
所述BBF AAA用于:判断当前链路的可授权带宽是否满足所述RG或UE的签约带宽,如果满足,则所述RG或UE通过认证。
16.如权利要求15所述的系统,其特征在于,所述网络侧还包括所述UE的归属AAA,其中:
所述BBF AAA还用于:转发所述认证请求至所述归属AAA;
所述归属AAA还用于,接收到所述认证请求后,对所述UE进行身份认证,认证通过后,将所述UE的签约带宽发送给所述BBF AAA。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102753238A CN103002443A (zh) | 2011-09-16 | 2011-09-16 | 一种接纳控制方法和系统 |
| PCT/CN2012/080649 WO2013037264A1 (zh) | 2011-09-16 | 2012-08-28 | 一种接纳控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102753238A CN103002443A (zh) | 2011-09-16 | 2011-09-16 | 一种接纳控制方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103002443A true CN103002443A (zh) | 2013-03-27 |
Family
ID=47882601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102753238A Pending CN103002443A (zh) | 2011-09-16 | 2011-09-16 | 一种接纳控制方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103002443A (zh) |
| WO (1) | WO2013037264A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957566A (zh) * | 2014-04-17 | 2014-07-30 | 华为技术有限公司 | 带宽控制方法和带宽控制设备 |
| CN106341374A (zh) * | 2015-07-10 | 2017-01-18 | 中兴通讯股份有限公司 | 一种限制非许可用户设备接入家庭网关的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102586A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种资源接纳控制方法 |
| WO2009079844A1 (fr) * | 2007-12-20 | 2009-07-02 | Zte Corporation | Procédé de traitement de requête de ressource en réseau de prochaine génération |
| US20090285215A1 (en) * | 2008-05-13 | 2009-11-19 | Futurewei Technologies, Inc. | Internet Protocol Version Six (IPv6) Addressing and Packet Filtering in Broadband Networks |
| CN102131296A (zh) * | 2010-01-15 | 2011-07-20 | 中兴通讯股份有限公司 | 在全业务融合网络中控制资源的方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8745253B2 (en) * | 2006-03-08 | 2014-06-03 | Alcatel Lucent | Triggering DHCP actions from IEEE 802.1x state changes |
| US9112909B2 (en) * | 2008-02-13 | 2015-08-18 | Futurewei Technologies, Inc. | User and device authentication in broadband networks |
| CN101729599B (zh) * | 2009-11-20 | 2013-03-13 | 中国电信股份有限公司 | 移动终端利用宽带网络访问互联网的方法及系统 |
| CN101789906A (zh) * | 2010-02-24 | 2010-07-28 | 杭州华三通信技术有限公司 | 用户接入认证的方法和系统 |
-
2011
- 2011-09-16 CN CN2011102753238A patent/CN103002443A/zh active Pending
-
2012
- 2012-08-28 WO PCT/CN2012/080649 patent/WO2013037264A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102586A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种资源接纳控制方法 |
| WO2009079844A1 (fr) * | 2007-12-20 | 2009-07-02 | Zte Corporation | Procédé de traitement de requête de ressource en réseau de prochaine génération |
| US20090285215A1 (en) * | 2008-05-13 | 2009-11-19 | Futurewei Technologies, Inc. | Internet Protocol Version Six (IPv6) Addressing and Packet Filtering in Broadband Networks |
| CN102131296A (zh) * | 2010-01-15 | 2011-07-20 | 中兴通讯股份有限公司 | 在全业务融合网络中控制资源的方法和系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957566A (zh) * | 2014-04-17 | 2014-07-30 | 华为技术有限公司 | 带宽控制方法和带宽控制设备 |
| US10575300B2 (en) | 2014-04-17 | 2020-02-25 | Huawei Technologies Co., Ltd. | Bandwidth control method and bandwidth control device |
| CN106341374A (zh) * | 2015-07-10 | 2017-01-18 | 中兴通讯股份有限公司 | 一种限制非许可用户设备接入家庭网关的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013037264A1 (zh) | 2013-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542086C (zh) | 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| JP4586071B2 (ja) | 端末へのユーザポリシーの提供 | |
| CN110999356A (zh) | 网络安全管理的方法及装置 | |
| CN105393630B (zh) | 建立网络连接的方法、网关及终端 | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| EP1770940A1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| WO2008019615A1 (fr) | Procédé, dispositif et système pour authentification d'accès | |
| CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| CN103973658A (zh) | 静态用户终端认证处理方法及装置 | |
| EP2572491B1 (en) | Systems and methods for host authentication | |
| US20060075073A1 (en) | Wlan tight coupling solution | |
| WO2006003630A1 (en) | Method and system for providing backward compatibility between protocol for carrying authentication for network access (pana) and point-to-point protocol (ppp) in a packet data network | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN103002443A (zh) | 一种接纳控制方法和系统 | |
| US8200191B1 (en) | Treatment of devices that fail authentication | |
| CN103582159A (zh) | 一种固定移动网络融合场景下的多连接建立方法及系统 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN103687049B (zh) | 多连接建立的方法及系统 | |
| CN102938756A (zh) | 策略服务器的选择方法及装置 | |
| WO2006003629A1 (en) | Method and packet data serving node for providing network access to mobile terminals using protocol for carrying authentication for network access (pana) and point-to-point protocol (ppp) | |
| US20140235211A1 (en) | Method and apparatus for single sign-on in a mobile communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130327 |
|
| WD01 | Invention patent application deemed withdrawn after publication |