CN103067407B - 用户终端接入网络的认证方法及装置 - Google Patents

用户终端接入网络的认证方法及装置 Download PDF

Info

Publication number
CN103067407B
CN103067407B CN201310017569.4A CN201310017569A CN103067407B CN 103067407 B CN103067407 B CN 103067407B CN 201310017569 A CN201310017569 A CN 201310017569A CN 103067407 B CN103067407 B CN 103067407B
Authority
CN
China
Prior art keywords
user
authentication
user terminal
information
line information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310017569.4A
Other languages
English (en)
Other versions
CN103067407A (zh
Inventor
黄孙亮
王怀滨
卢应华
赵青
胡继成
陈建业
吴萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201310017569.4A priority Critical patent/CN103067407B/zh
Publication of CN103067407A publication Critical patent/CN103067407A/zh
Priority to PCT/CN2014/070100 priority patent/WO2014110984A1/zh
Application granted granted Critical
Publication of CN103067407B publication Critical patent/CN103067407B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种用户终端接入网络的认证方法及装置,在上述方法中,采用基于线路信息的IPoE认证方式对用户终端进行认证;如果认证失败,则采用基于互联网Web的IPoE认证方式对用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号。根据本发明提供的技术方案,不仅能够有效保障用户的帐号安全,还继承了基于线路信息的IPoE认证方式的即插即用的优点,并且在具体业务部署时可以高效实现用户线路信息与具体用户帐号一一对应。

Description

用户终端接入网络的认证方法及装置
技术领域
本发明涉及通信领域,具体而言,涉及一种用户终端接入网络的认证方法及装置。
背景技术
随着宽带网络技术的发展,交互式网络电视(IPTV)机顶盒、个人计算机(PC)、网络电话(VOIP)话机、家庭网关等宽带互联网协议(IP)终端得到了广泛应用。为保障网络的安全、稳定运行,需要对各种宽带IP终端进行认证。
为了解决相关技术中的基于以太网的点对点协议(PPPoE)方式无法满足组播复制点下移,难以支持即插即用等方面的问题。大量的基于以太网的互联网协议(IPoE)认证方式应运而生,其中,可以包括:基于互联网(Web)的IPoE认证方式、基于线路信息的IPoE认证方式等。
基于Web的IPoE认证方法需要用户在每次登录时都需要输入用户帐号和密码,其登录过程较为繁琐,且需要所有终端均支持Web方式,该方式既无法做到即插即用,同时还对终端提出了较高的要求。
图1是根据相关技术的Web认证与线路信息认证相结合的IPoE认证方法相关的基于Web的IPoE认证方式的处理流程图。如图1所示,该优选实施例涉及的设备和系统可以包括:用户终端、接入网络、网络业务控制设备(内置DHCP Server)、Portal Server以及鉴权、授权及计费服务器(Authentication Authorization and Accounting,简称为AAA)认证系统。具体的处理步骤如下:
步骤S102:用户接入网络需要获取IP地址和网络访问的权限,发起DHCPdiscovery请求;
步骤S104:网络业务控制设备接收到用户的DHCP discovery请求,向用户返回DHCP Offer报文;
步骤S106:用户终端在接收到DHCP Offer报文后,发送DHCP request报文请求;
步骤S108:网络业务控制设备在接收到DHCP request报文后,向用户终端发送DHCP ACK消息,为用户分配IP地址;并在网络业务控制设备中维护用户的状态信息,针对该用户应用网络策略,强制该用户到指定页面进行基于Web的IPoE认证;
步骤S110:用户访问Web应用,被网络业务控制设备重定向到指定的Web认证页面;
步骤S112:Portal Server接收到用户的页面请求,向用户发送相应页面;
步骤S114:用户在认证页面中输入用户帐号和密码信息;
步骤S116:Portal Server获得用户输入的用户帐号和密码信息,通过和网络业务控制设备之间的接口(portal协议或私有协议)传递给网络业务控制设备;
步骤S118:网络业务控制设备在获取用户帐号和密码后,采用与AAA系统之间的认证协议(可采用Radius协议)为用户发起认证请求;
步骤S120:AAA认证系统接收到认证请求,根据用户帐号和密码信息对用户进行认证;认证通过,向网络业务控制设备返回认证成功消息,并携带与该用户对应的网络策略;网络业务控制设备接收到认证成功消息为该用户应用新的网络策略,允许用户接入使用网络;
步骤S122:网络业务控制设备向Portal Server发送认证成功消息;
步骤S124:Portal Server接收到网络业务控制设备发送的认证成功消息,向该用户推送认证成功页面。
而基于线路信息的IPoE认证方式,采用用户终端的媒体接入控制(MAC)地址和/或线路信息等进行认证,无需用户输入用户帐号和密码,虽可以做到即插即用,但却存在着MAC地址欺骗、线路信息难以与实际用户一一对应、业务开通困难等问题。
图2是根据相关技术的Web认证与线路信息认证相结合的IPoE认证方法相关的基于线路信息的IPoE认证方式的处理流程图。如图2所示,该方法涉及的设备和系统可以包括:用户终端、接入网络、网络业务控制设备(内置DHCP Server)以及AAA认证系统。具体的处理步骤如下:
步骤S202:用户接入网络需要获取IP地址和网络访问的权限,发起DHCPdiscovery请求;接入网络在用户的请求报文中添加相应的线路信息(线路信息可以包括:用户所在的线路信息、接入点标识、电信运营商自定义的标识信息、用户信息等,具体填入的DHCP Option字段可以是Option82、Option60、Option61、Option12等);
步骤S204:网络业务控制设备接收到用户的接入请求DHCP discovery,处理用户的请求,从请求消息中提取认证所需的线路信息,并采用Radius协议与AAA认证系统进行交互,为用户请求接入认证,向AAA认证系统发送Access-request报文,报文中的User-name、Password、NAS-Port-ID等属性的信息提取自用户DHCP Discovery请求消息中所携带的相关线路信息;
步骤S206:AAA认证系统对用户进行认证,如果认证成功,则返回认证成功响应消息Access-accept,在Access-accept消息中,不仅有认证成功的标识,还携带有对应用户的网络策略信息;
步骤S208:网络业务控制设备接收到AAA认证系统返回的认证成功消息,应用与用户对应网络策略;并采用内置的DHCP Server为用户分配相应的IP地址,向用户发送DHCPOffer报文;
步骤S210:用户终端在接收到DHCP Offer报文后,向网络业务控制设备发送DHCPrequest报文;
步骤S212:网络业务控制设备内置的DHCP Server在接收到DHCP request报文后,响应DHCP ACK报文,用户地址分配完成,可以访问网络。
因而,相关技术中缺少一种既能保障网络安全、稳定,同时又便于部署和实施、便于用户使用的IPoE认证方法。
发明内容
本发明提供了一种用户终端接入网络的认证方法及装置,以至少解决相关技术中缺少一种既能保障网络安全、稳定,同时又便于部署和实施、便于用户使用的IPoE认证方法的问题。
根据本发明的一个方面,提供了一种用户终端接入网络的认证方法。
根据本发明的用户终端接入网络的认证方法包括:采用基于线路信息的IPoE认证方式对用户终端进行认证;如果认证失败,则采用基于Web的IPoE认证方式对用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号。
优选地,在采用基于线路信息的IPoE认证方式对用户终端进行认证之前,还包括:确定对用户终端所采用的认证类型。
优选地,采用基于线路信息的IPoE认证方式对用户终端进行认证包括:在确定对用户终端所采用的认证类型为基于线路信息的IPoE认证方式条件下,接收来自于用户终端的接入请求,其中,接入请求中携带有用户终端的线路信息;判断当前是否存在与线路信息匹配的用户线路认证帐号;如果存在,则允许用户终端接入网络。
优选地,采用基于Web的IPoE认证方式对用户终端进行认证包括:在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下,经由网络业务控制设备接收通过Web页面获取的用户的用户帐号信息;根据获取到的用户帐号信息对用户终端进行认证,其中,如果认证成功,则建立用户帐号信息与线路信息的对应关系,形成用户线路认证帐号,并允许用户终端接入网络。
优选地,在建立用户帐号信息与线路信息的对应关系之后,还包括:如果用户帐号信息或者线路信息发生变化,则删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。
根据本发明的另一方面,提供了一种用户终端接入网络的认证装置。
根据本发明的用户终端接入网络的认证装置包括:第一认证模块,用于采用基于线路信息的基于以太网的互联网协议IPoE认证方式对用户终端进行认证;第二认证模块,用于在第一认证模块认证失败的情况下,则采用基于互联网Web的IPoE认证方式对用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号。
优选地,上述装置还包括:确定模块,用于确定对用户终端所采用的认证类型。
优选地,第一认证模块包括:接收单元,用于在确定模块确定对用户终端所采用的认证类型为基于线路信息的IPoE认证方式的条件下,接收来自于用户终端的接入请求,其中,接入请求中携带有用户终端的线路信息;判断单元,用于判断当前是否存在与线路信息匹配的用户线路认证帐号;认证单元,用于在判断单元输出为是时,则允许用户终端接入网络。
优选地,第二认证模块包括:获取单元,用于在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下,经由网络业务控制设备接收通过Web页面获取的用户的用户帐号信息;认证单元,用于根据获取到用户帐号信息对用户终端进行认证,其中,如果认证成功,则建立用户帐号信息与线路信息的对应关系,形成用户线路认证帐号,并允许用户终端接入网络。
优选地,上述装置还包括:重置模块,用于在用户帐号信息或者线路信息发生变化时,删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。
通过本发明,采用基于线路信息的基于以太网的互联网协议IPoE认证方式对用户终端进行认证;如果认证失败,则采用基于互联网Web的IPoE认证方式对用户终端进行认证,解决了相关技术中缺少一种既能保障网络安全、稳定,同时又便于部署和实施、便于用户使用的IPoE认证方法的问题,不仅能够有效保障用户的帐号安全,同时在业务部署时可高效实现用户的线路信息与具体用户的帐号信息一一对应,而且还继承了基于线路信息的IPoE认证方式的即插即用的优点。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的Web认证与线路信息认证相结合的IPoE认证方法相关的基于Web的IPoE认证方式的处理流程图;
图2是根据相关技术的Web认证与线路信息认证相结合的IPoE认证方法相关的基于线路信息的IPoE认证方式的处理流程图;
图3是根据本发明实施例的用户终端接入网络的认证方法的流程图;
图4是根据本发明优选实施例的Web认证与线路信息认证相结合的IPoE认证方法的流程图;
图5是根据本发明优选实施例的AAA认证系统获取用户的用户帐号与密码的处理方式示意图;
图6是根据本发明优选实施例的AAA认证系统的IPoE认证业务处理流程图;
图7是根据本发明优选实施的Web认证与线路信息认证相结合的IPoE认证方法中用户首次上线的处理流程图;
图8是根据本发明优选实施例的Web认证与线路信息认证相结合的IPoE认证方法中用户非首次上线的处理流程图;
图9是根据本发明实施例的用户终端接入网络的认证装置的结构框图;以及
图10是根据本发明优选实施例的用户终端接入网络的认证装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图3是根据本发明实施例的用户终端接入网络的认证方法的流程图。如图3所示,该方法可以包括以下处理步骤:
步骤S302:采用基于线路信息的基于以太网的互联网协议IPoE认证方式对用户终端进行认证;
步骤S304:如果认证失败,则采用基于互联网Web的IPoE认证方式对用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号。
相关技术中,缺少一种既能保障网络安全、稳定,同时又便于部署和实施、便于用户使用的IPoE认证方法。采用如图3所示的方法,有效地结合了基于Web的IPoE认证方式和基于线路信息的IPoE认证方式的优点。在用户首次上线时,采用Web方式进行基于用户帐号、密码的方式进行认证,在认证成功后,绑定该用户的用户帐号信息和线路信息,形成对应关系记录及用户线路认证帐号;使得用户后续接入网络时,可基于线路信息进行IPoE认证,实现即插即用,避免繁琐的输入用户帐号和密码的过程,不仅能够有效保障用户的帐号安全,同时在业务部署时实现了用户的线路信息与具体用户的帐号信息一一对应,而且还继承了基于线路信息的IPoE认证方式的即插即用的优点。
在优选实施例中,当用户首次接入网络时,默认采用基于线路信息的IPOE认证方式。由于AAA认证系统中仅存在用户帐号与密码,尚未绑定该用户的线路信息,形成该用户的线路认证帐号,因而认证失败;AAA系统返回认证失败消息,并下发强制该用户到指定的Web认证页面进行认证的策略;网络业务控制设备接收到认证失败消息,执行强制用户到指定Web认证页面的策略,并为该用户分配相应的IP地址;用户发起Web访问请求,网络业务控制设备将用户请求重定向至指定的门户网站服务器(Portal Server);用户在认证页面中输入用户帐号和密码;Portal Server在获取到用户的用户帐号和密码之后,通过与网络业务控制设备之间的协议接口向网络业务控制设备进行反馈;网络业务控制设备接收到用户帐号与密码信息,向AAA认证系统发起针对该用户的认证请求;AAA认证系统根据用户的用户帐号与密码进行认证;如果认证成功,绑定该用户的线路信息,形成用户线路信息与用户帐号信息的对应关系,并形成该用户的线路认证帐号,同时向网络业务控制设备返回认证成功消息,其中,认证成功消息中可以携带:用户的网络策略、允许用户使用的网络;网络业务控制设备向PortalServer反馈用户认证结果;Portal Server向用户推送认证结果页面。用户后续接入网络(即非首次接入网络),由于用户已经通过首次认证,AAA认证系统中已经有该用户的线路认证帐号,可以顺利通过线路认证。具体的处理流程如下:用户接入网络,发起接入认证请求;网络业务控制设备默认采用基于线路信息的IPoE认证方式,向AAA系统发起针对该用户的认证请求;AAA系统根据用户的线路信息对用户进行认证,如果认证成功,向网络业务控制设备返回认证成功消息,其中,认证成功消息可以携带:用户的网络策略、允许用户使用网络;网络业务控制设备为该用户分配相应的IP地址,并应用该用户的网络策略;至此,用户可以正常使用网络。
优选地,在步骤S302,采用基于线路信息的IPoE认证方式对用户终端进行认证之前,还可以包括以下步骤:确定对用户终端所采用的认证类型。
优选地,在步骤S302中,采用基于线路信息的IPoE认证方式对用户终端进行认证可以包括以下操作:
步骤S1:在确定对用户终端所采用的认证类型为基于线路信息的IPoE认证方式条件下,接收来自于用户终端的接入请求,其中,接入请求中携带有用户终端的线路信息;
步骤S2:判断当前是否存在与线路信息匹配的用户线路认证帐号;
步骤S3:如果存在,则允许用户终端接入网络。
优选地,在步骤S304中,采用基于Web的IPoE认证方式对用户终端进行认证可以包括以下步骤:
步骤S4:在当前不存在与线路信息匹配的用户线路认证帐号的情况下,经由网络业务控制设备接收通过Web页面获取的用户的用户帐号信息;
步骤S5:根据获取到的用户帐号信息对用户终端进行认证,其中,如果认证成功,则建立用户帐号信息与线路信息的对应关系,形成用户线路认证帐号,并允许用户终端接入网络。
在优选实施过程中,用户帐号信息可以为用户在运营商开通业务时获得的用户帐号,用于基于Web的IPoE认证方式;而用户线路认证帐号用于基于线路信息的IPoE认证方式。
在优选实施例中,系统默认采用基于线路信息的IPoE认证方式进行用户认证;在基于线路信息认证的条件下,如果认证成功,则用户正常使用网络;如果认证失败,则强制用户到指定的Web认证页面进行认证。在基于Web方式认证的条件下,如果Web认证通过,则将用户的线路信息与用户帐号信息进行绑定,形成对应关系,并生成用户的线路认证帐号。当该用户下次接入时,线路认证可立即获得通过,而无须再经过Web认证;如果Web认证失败,则继续强制用户到上述指定的Web认证页面进行认证。
优选地,在步骤S5,建立用户帐号信息与线路信息的对应关系之后,还可以包括以下处理:如果用户帐号信息或者线路信息发生变化,则删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。
在优选实施例中,AAA认证服务器需要对用户的认证请求进行区分处理,对用户的用户帐号、密码、线路信息分别进行管理,根据认证情况进行对应、绑定和入库等操作,具体的处理流程如下:
AAA认证服务器在接收到用户认证请求后,首先需要对认证类型进行判断,即基于线路信息的IPOE认证方式或者基于Web的IPoE认证方式;
(1)AAA认证服务器在基于线路信息的IPoE认证方式下,如果用户通过认证,则下发与用户所属套餐对应的网络策略,允许用户使用网络;如果用户认证失败,则向该用户下发强制用户到指定页面进行基于Web的IPoE认证的网络策略;
(2)AAA认证服务器在基于Web的IPoE认证方式下,如果认证失败,则维持用户现有策略,即强制用户到指定页面进行认证的策略;如果认证成功,则返回认证成功消息,并下发与用户所属套餐对应的网络策略,允许用户使用网络;同时,还需要对用户线路信息和用户帐号信息进行绑定,形成对应关系,将用户线路信息入库,形成用户的线路认证帐号,以使后续用户接入网络,采用基于线路信息的IPoE认证方式请求认证时,可通过网络认证。
下面结合图4至图8中所示的优选实施方式对上述优选实施过程做进一步地描述。
图4是根据本发明优选实施例的Web认证与线路信息认证相结合的IPoE认证方法的流程图。如图4所示,该流程可以包括以下步骤:
步骤S402:该优选实施例默认采用基于线路信息的IPoE认证方式;
步骤S404:判断线路认证是否成功;如果认证成功,则允许用户接入网络,流程结束;如认证失败,则转到步骤S406;
步骤S406:进入基于Web的IPoE认证方式;
步骤S408:在基于Web的IPoE认证方式下,判断认证是否成功;如认证成功,则继续执行步骤S410;如认证失败,则返回认证失败消息,维持用户的网络策略,即转到步骤S406,强制用户到指定页面进行基于Web的IPoE认证;
步骤S410:绑定用户线路信息,形成该用户的用户帐号和线路信息的对应关系记录及用户的线路认证帐号,并返回认证成功消息,允许用户接入网络;流程结束。
在该优选实施例中,由于AAA认证系统中在初始状态下并没有用户的线路信息,因而,用户在首次采用基于线路信息的IPoE认证时,会出现认证失败,进入基于Web的IPoE认证处理流程,强制用户进行Web方式的IPoE认证。通过上述方式,实现了用户首次接入网络时采用基于Web方式的认证,要求用户输入用户帐号和密码信息进行认证,加强了安全性。在用户首次通过Web认证之后,绑定用户的线路信息并生成线路认证帐号,使得用户后续可以通过基于线路信息的IPoE认证,从而实现即插即用,以简化用户操作。当用户帐号或者线路信息发生变更时,只需删除该用户的用户帐号和线路信息的绑定记录关系及用户的线路认证帐号即可。用户再次接入网络时会被强制跳转到指定页面进行基于Web的IPoE认证。如果认证成功,则再次形成绑定关系和线路认证帐号。
图5是根据本发明优选实施例的AAA认证系统获取用户的用户帐号与密码的处理方式示意图。如图5所示,客户关系管理(CRM)系统将用户的用户帐号、密码信息同步到AAA认证系统。在CRM系统中维护着用户的用户帐号和密码信息。CRM系统通过与AAA认证系统之间的接口将用户的用户帐号及密码信息同步到AAA认证系统,使得AAA认证系统可以基于用户的用户帐号和密码信息对用户进行认证。在此过程中,同步的信息不包含用户的线路信息。
图6是根据本发明优选实施例的AAA认证系统的IPoE认证业务处理流程图。如图6所示,在本发明中结合了基于Web的IPoE认证方式和基于线路信息的IPoE认证方式,该流程可以包括以下处理步骤:
步骤S602:AAA认证系统接收认证请求;
步骤S604:AAA认证系统对认证类型进行判断,确定是基于线路信息的IPoE认证还是基于Web的IPoE认证;如果是基于线路信息的IPoE认证,则转到步骤S606;如果是基于Web的IPoE认证,则转到步骤S608;
步骤S606:在判断为基于线路信息的IPoE认证条件下,基于线路信息对用户进行认证,如果认证成功,则继续执行步骤S610;如果认证失败,则转到步骤S612;
步骤S608:在判断为基于Web的IPoE认证条件下,基于Web方式对用户进行认证,根据用户的用户帐号和密码信息进行认证;如果认证成功,则转到步骤S614;如果认证失败,则转到步骤S616;
步骤S610:返回认证成功消息,允许该用户使用网络;流程结束;
步骤S612:返回认证失败消息,并针对该用户下发强制到指定页面进行基于Web的IPoE认证的策略;流程结束;
步骤S614:返回认证成功消息,允许用户使用网络,同时绑定用户的线路信息,形成与用户帐号对应的对应关系记录以及线路认证帐号;流程结束;
步骤S616:返回认证失败消息,维持用户的策略,继续强制用户到指定页面进行基于Web的IPoE认证;流程结束。
图7是根据本发明优选实施的Web认证与线路信息认证相结合的IPoE认证方法中用户首次上线的处理流程图。如图7所示,该优选实施例涉及的设备和系统可以包括:用户终端、接入网络、网络业务控制设备(内置DHCP Server)、Portal Server以及AAA认证系统。具体的处理步骤如下:
步骤S702:用户接入网络需要获取IP地址和网络访问的权限,发起DHCP请求;接入网络在用户的请求报文中添加相应的线路信息(可添加在DHCP报文的Option82字段);
步骤S704:网络业务控制设备接收到用户的接入请求消息(DHCP discovery),采用基于线路信息的IPoE认证方式处理用户的请求,提取用户的线路信息,采用与AAA认证系统间的认证协议(可采用Radius协议)为用户请求接入认证;
步骤S706:AAA认证系统根据接收到的认证请求对用户进行认证;由于该用户为首次上线,AAA认证系统中没有该用户的线路信息,因而认证失败;AAA认证系统向网络业务控制设备返回认证失败消息,并携带了强制该用户至指定的页面(位于Portal Server)进行基于Web的IPoE认证;
步骤S708:网络业务控制设备接收到针对该用户的认证失败消息,为该用户分配IP地址,并应用网络策略(强制该用户至指定的页面进行基于Web的IPoE认证);
步骤S710:用户获得IP地址后,发起Web访问,被网络业务控制设备强制重定向至Portal Server;
步骤S712:Portal Server向用户终端推送Web认证页面;
步骤S714:用户在Web认证页面中输入用户帐号和密码,发送至Portal Server;
步骤S716:Portal Server提取用户的用户帐号和密码信息,通过与网络业务控制设备之间的接口协议,将用户的用户帐号和密码信息传递给网络业务控制设备;
步骤S718:在网络业务控制设备接收到用户的用户帐号和密码信息后,采用与AAA认证系统间的认证协议(可采用Radius协议)为用户请求接入认证;
步骤S720:AAA认证系统接收到网络业务控制设备发送的用户认证请求,根据用户的用户帐号和密码信息对用户进行认证;如果认证成功,则绑定用户的线路信息,并形成用户线路信息与用户的用户帐号的对应关系记录以及用户线路认证帐号。同时,AAA认证系统也向网络业务控制设备返回认证成功消息,携带与用户对应的网络策略,允许用户接入并使用网络;网络业务控制设备接收到认证成功消息,应用该用户新的网络策略,允许用户接入并使用网络;
步骤S722:网络业务控制设备向Portal Server返回针对该用户的认证成功消息;
步骤S724:在Portal Server接收网络业务控制设备发送过来的该用户的认证成功消息后,向该用户推送认证成功页面;
在该优选实施例中,用户首次上线的处理流程特点主要在于:同时结合了基于线路信息的IPoE认证和基于Web的IPoE认证方式。默认采用的是线路认证,但由于AAA系统并无用户的线路信息;因而,用户将被强制到指定的页面进行基于Web的IPoE认证,由此保证了用户首次认证需要通过Web页面,输入用户帐号和密码进行认证,确保认证过程的安全性。在用户Web认证成功后自动绑定用户的线路信息形成用户线路认证帐号,使得该用户后续可通过基于线路信息的IPoE认证,无需再通过Web方式输入用户帐号和密码,从而实现了即插即用;同时,也解决了在具体部署实施过程中,用户帐号和用户线路信息难以一一对应的问题,降低了部署的难度。
图8是根据本发明优选实施例的Web认证与线路信息认证相结合的IPoE认证方法中用户非首次上线的处理流程图。如图8所示,该优选实施例涉及的设备和系统可以包括:用户终端、接入网络、网络业务控制设备(内置DHCP Server)以及AAA认证系统。具体的处理步骤如下:
步骤S802:用户接入网络需要获取IP地址和网络访问的权限,发起DHCP请求;接入网络在用户的请求报文中添加相应的线路信息(具体可以添加在DHCP报文的Option82字段);
步骤S804:网络业务控制设备接收到用户的接入请求(DHCP discovery),采用基于线路信息的IPoE认证方式处理用户的请求,提取用户的线路信息,采用与AAA认证系统间的认证协议(可采用Radius协议)为用户请求接入认证;
步骤S806:AAA认证系统接收到网络业务控制设备发送的用户认证请求,基于线路信息进行认证;由于该用户之前已经通过了首次认证,绑定了线路信息,形成了用户线路认证帐号,因而可以通过线路信息认证;如果认证成功,AAA认证系统向网络业务控制设备发送认证成功消息,携带与用户对应的网络策略信息;
步骤S808:网络业务控制设备接收到AAA认证系统发送的认证成功消息,为用户分配相应的IP地址,并应用对应的用户网络策略,允许用户接入和使用网络,并向用户发送响应消息;
在该优选实施例中,用户非首次上线的处理流程的主要特点在于,默认采用基于线路信息的IPoE认证方式,由于AAA认证系统已经绑定了对应用户的线路信息,形成了用户的线路认证帐号,因而用户认证成功,无需再经过Web方式的IPoE认证,实现了即插即用,简化用户的操作,提升用户体验。
图9是根据本发明实施例的用户终端接入网络的认证装置的结构框图。如图9所示,该装置可以包括:第一认证模块10,用于采用基于线路信息的基于以太网的互联网协议(IPoE)认证方式对用户终端进行认证;第二认证模块20,用于在第一认证模块认证失败的情况下,则采用基于互联网Web的IPoE认证方式对用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号。
采用如图9所示的装置,不仅能够有效保障用户的帐号安全,同时在业务部署时实现了用户的线路信息与具体用户的帐号信息一一对应,而且还继承了基于线路信息的IPoE认证方式的即插即用的优点。
优选地,如图10所示,上述装置还可以包括:确定模块30,用于确定对用户终端所采用的认证类型。
优选地,如图10所示,第一认证模块10可以包括:接收单元100,用于在确定模块确定对用户终端所采用的认证类型为基于线路信息的IPoE认证方式的条件下,接收来自于用户终端的接入请求,其中,接入请求中携带有用户终端的线路信息;判断单元102,用于判断当前是否存在与线路信息匹配的用户线路认证帐号;认证单元104,用于在判断单元102输出为是时,则允许用户终端接入网络。
优选地,如图10所示,第二认证模块20可以包括:获取单元200,用于在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下,经由网络业务控制设备接收通过Web页面获取的用户的用户帐号信息;认证单元202,用于根据获取到的用户帐号信息对用户终端进行认证,其中,如果认证成功,则建立用户帐号信息与线路信息的对应关系,形成用户线路认证帐号,并允许用户终端接入网络。
优选地,如图10所示,上述装置还可以包括:重置模块40,用于用户帐号信息或者线路信息发生变化时,删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。
从以上的描述中,可以看出,上述实施例实现了如下技术效果(需要说明的是这些效果是某些优选实施例可以达到的效果):本发明提供的技术方案,结合了基于Web的IPOE认证方式和基于线路信息的IPoE认证方式各自的优势,采用基于Web认证的方式,基于用户的用户帐号和密码,加强了认证的安全性;通过Web认证成功绑定用户线路信息的方式,降低部署实施时用户帐号和用户的线路信息难以一一对应的问题;同时,也利用基于线路信息认证的方式实现了即插即用,实现了用户只需在首次上线时在Web页面输入用户帐号和密码,后续即可实现即插即用,有效满足IPoE业务部署的需求,提升用户体验,并降低网络部署的复杂度。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种用户终端接入网络的认证方法,其特征在于,包括:
采用基于线路信息的基于以太网的互联网协议IPoE认证方式对所述用户终端进行认证;
如果认证失败,则采用基于互联网Web的IPoE认证方式对所述用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号;
其中,采用所述基于Web的IPoE认证方式对所述用户终端进行认证包括:在当前不存在与所述线路信息匹配的用户线路认证帐号信息的情况下,经由网络业务控制设备接收通过Web页面获取的所述用户的用户帐号信息;根据获取到的所述用户帐号信息对所述用户终端进行认证,其中,如果认证成功,则建立所述用户帐号信息与所述线路信息的对应关系,形成所述用户线路认证帐号,并允许所述用户终端接入所述网络。
2.根据权利要求1所述的方法,其特征在于,在采用所述基于线路信息的IPoE认证方式对所述用户终端进行认证之前,还包括:
确定对所述用户终端所采用的认证类型。
3.根据权利要求2所述的方法,其特征在于,采用所述基于线路信息的IPoE认证方式对所述用户终端进行认证包括:
在确定对所述用户终端所采用的认证类型为所述基于线路信息的IPoE认证方式条件下,接收来自于所述用户终端的接入请求,其中,所述接入请求中携带有所述用户终端的线路信息;
判断当前是否存在与所述线路信息匹配的用户线路认证帐号;
如果存在,则允许所述用户终端接入网络。
4.根据权利要求1所述的方法,其特征在于,在建立所述用户帐号信息与所述线路信息的对应关系之后,还包括:
如果所述用户帐号信息或者所述线路信息发生变化,则删除所述用户帐号信息与所述线路信息的对应关系以及形成的用户线路认证帐号。
5.一种用户终端接入网络的认证装置,其特征在于,包括:
第一认证模块,用于采用基于线路信息的基于以太网的互联网协议IPoE认证方式对所述用户终端进行认证;
第二认证模块,用于在所述第一认证模块认证失败的情况下,则采用基于互联网Web的IPoE认证方式对所述用户终端进行认证,其中,如果基于Web的IPoE认证成功,则建立用户的线路信息与用户帐号信息的对应关系,形成用户线路认证帐号;
其中,所述第二认证模块包括:获取单元,用于在当前不存在与所述线路信息匹配的用户线路认证帐号信息的情况下,经由网络业务控制设备接收通过Web页面获取的所述用户的用户帐号信息;认证单元,用于根据获取到用户帐号信息对所述用户终端进行认证,其中,如果认证成功,则建立所述用户帐号信息与所述线路信息的对应关系,形成所述用户线路认证帐号,并允许所述用户终端接入所述网络。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
确定模块,用于确定对所述用户终端所采用的认证类型。
7.根据权利要求6所述的装置,其特征在于,所述第一认证模块包括:
接收单元,用于在所述确定模块确定对所述用户终端所采用的认证类型为所述基于线路信息的IPoE认证方式的条件下,接收来自于所述用户终端的接入请求,其中,所述接入请求中携带有所述用户终端的线路信息;
判断单元,用于判断当前是否存在与所述线路信息匹配的用户线路认证帐号;
认证单元,用于在所述判断单元输出为是时,则允许所述用户终端接入网络。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
重置模块,用于在所述用户帐号信息或者所述线路信息发生变化时,删除所述用户帐号信息与所述线路信息的对应关系以及形成的用户线路认证帐号。
CN201310017569.4A 2013-01-17 2013-01-17 用户终端接入网络的认证方法及装置 Active CN103067407B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310017569.4A CN103067407B (zh) 2013-01-17 2013-01-17 用户终端接入网络的认证方法及装置
PCT/CN2014/070100 WO2014110984A1 (zh) 2013-01-17 2014-01-03 用户终端接入网络的认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310017569.4A CN103067407B (zh) 2013-01-17 2013-01-17 用户终端接入网络的认证方法及装置

Publications (2)

Publication Number Publication Date
CN103067407A CN103067407A (zh) 2013-04-24
CN103067407B true CN103067407B (zh) 2018-06-01

Family

ID=48109868

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310017569.4A Active CN103067407B (zh) 2013-01-17 2013-01-17 用户终端接入网络的认证方法及装置

Country Status (2)

Country Link
CN (1) CN103067407B (zh)
WO (1) WO2014110984A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067407B (zh) * 2013-01-17 2018-06-01 中兴通讯股份有限公司 用户终端接入网络的认证方法及装置
CN103634304B (zh) * 2013-11-18 2016-08-24 四川长虹电器股份有限公司 一种智能电视上实现快速web认证的方法
CN103763102B (zh) * 2013-12-31 2018-09-28 上海斐讯数据通信技术有限公司 一种基于消息推送的wifi安全管理系统及管理方法
CN105791231B (zh) * 2014-12-23 2019-02-12 中国电信股份有限公司 进行二次认证的宽带接入方法、终端、服务器和系统
CN106059802B (zh) * 2016-05-25 2020-11-27 新华三技术有限公司 一种终端接入认证方法及装置
CN109451497B (zh) * 2018-11-23 2021-07-06 Oppo广东移动通信有限公司 无线网络连接方法及装置、电子设备、存储介质
CN110086785A (zh) * 2019-04-12 2019-08-02 杭州迪普科技股份有限公司 基于vpn的用户认证方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101079771A (zh) * 2007-04-03 2007-11-28 中兴通讯股份有限公司 一种基于PPPoE的宽带接入方法
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN102282800A (zh) * 2011-06-03 2011-12-14 华为终端有限公司 一种终端认证方法及装置
CN102480399A (zh) * 2010-11-30 2012-05-30 中国电信股份有限公司 基于IPoE的多业务认证方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7577137B2 (en) * 2005-02-15 2009-08-18 Telefonaktiebolage L M Ericsson (Publ) Optimized multicast distribution within a hybrid PPPoE/IPoE broadband access network
CN100574195C (zh) * 2007-06-08 2009-12-23 中兴通讯股份有限公司 基于动态主机配置协议的安全接入方法及其系统
CN101227481A (zh) * 2008-02-02 2008-07-23 中兴通讯股份有限公司 一种基于dhcp协议的ip接入的方法及其装置
CN103067407B (zh) * 2013-01-17 2018-06-01 中兴通讯股份有限公司 用户终端接入网络的认证方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN101079771A (zh) * 2007-04-03 2007-11-28 中兴通讯股份有限公司 一种基于PPPoE的宽带接入方法
CN102480399A (zh) * 2010-11-30 2012-05-30 中国电信股份有限公司 基于IPoE的多业务认证方法及系统
CN102282800A (zh) * 2011-06-03 2011-12-14 华为终端有限公司 一种终端认证方法及装置

Also Published As

Publication number Publication date
CN103067407A (zh) 2013-04-24
WO2014110984A1 (zh) 2014-07-24

Similar Documents

Publication Publication Date Title
CN103067407B (zh) 用户终端接入网络的认证方法及装置
CN101032142B (zh) 通过接入网单一登录访问服务网络的装置和方法
EP1872558B1 (en) Connecting vpn users in a public network
CN101867476B (zh) 一种3g虚拟私有拨号网用户安全认证方法及其装置
CN106656547B (zh) 一种更新家电设备网络配置的方法和装置
CN103874069B (zh) 一种无线终端mac认证装置和方法
CN103503408A (zh) 用于提供访问凭证的系统和方法
CN106027565B (zh) 一种基于pppoe的内外网统一认证的方法和装置
CN101014958A (zh) 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
DK2924944T3 (en) Presence authentication
US20040010713A1 (en) EAP telecommunication protocol extension
CN101986598B (zh) 认证方法、服务器及系统
CN108022100B (zh) 一种基于区块链技术的交叉认证系统及方法
CN111194035B (zh) 一种网络连接方法、装置和存储介质
CN109104475A (zh) 连接恢复方法、装置及系统
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
CN106559785A (zh) 认证方法、设备和系统以及接入设备和终端
CN103685201A (zh) 一种wlan用户固网接入的方法和系统
CN101800686A (zh) 业务实现方法、装置和系统
CN101227477A (zh) 一种用户终端接入认证的实现方法
KR20170070379A (ko) 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템
CN107547618A (zh) 一种会话拆除方法和装置
CN106453400B (zh) 一种认证方法及系统
US20060265586A1 (en) Method and system for double secured authenication of a user during access to a service by means of a data transmission network
CN107046568A (zh) 一种认证方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant