CN107026918B - 基于动态主机配置协议的web认证计费方法及系统 - Google Patents

Abstract

本发明公开了一种基于动态主机配置协议(DHCP)的web认证计费方法，包括：根据用户终端的当前位置为用户终端分配第一IP地址，并以第一IP地址为标识完成认证前的用户登记；第一IP地址认证通过后，修改第一IP地址的状态为认证通过，并基于第一IP地址进行计费报文的转发；用户终端发生移动时，根据用户终端的当前位置为用户终端分配第二IP地址，并以第二IP地址为标识完成认证前的用户登记；第二IP地址认证通过后，修改第二IP地址的状态为认证通过，第一IP地址的状态为离线，并基于第二IP地址进行计费报文的转发。本发明还同时公开了一种基于DHCP的web认证计费系统。

Description

基于动态主机配置协议的web认证计费方法及系统

技术领域

本发明涉及无线通信领域的认证计费技术，具体涉及一种基于动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)的web认证计费方法及系统。

背景技术

以太网上的点对点协议(PPPOE，Point-to-Point Protocol over Ethernet)和DHCP是两种常用的动态接入技术，其中，PPPOE在设计的时候已经包含了认证和计费功能，且基于连接能检测在线状态，在家庭宽带网络中可作为主流技术。而DHCP本身没有认证和计费，在普通局域网中提供快速接入，如果无连接状态，不能检测用户状态。

目前，在某些业务场景中，如运营商提供的wifi业务，会使用DHCP技术实现用户的快速接入，使用web进行认证和计费；但是，在高移动性的场景中，DHCP+web认证方案会存在以下问题：

1、无法推送认证页面。

一般，运营商的设备必须登记用户、更新状态，以识别用户和进行不同的控制。用户终端通过DHCP方式在获取IP地址时，由于不需要输入账号，只能根据用户终端的媒体访问控制(MAC，Media Access Control)地址进行标识；用户移动的时候(在宿舍、教室、图书馆等地方)，用户终端会重新获取到不同的IP地址，但由于DHCP是无连接、无检测的，所以，运营商的设备无法得知用户终端的IP地址已经变化，且运营商的设备上用户终端的旧IP地址登记仍然存在，这样，就会出现一个MAC地址对应多个IP地址的情况。

为了避免重复计费，在一个MAC地址对应多个IP地址的情况下，只有第一个IP地址会发出计费消息，那么，运营商对于用户终端获取的新IP地址就不会再发送消息，以下对这种计费方式简称为“基于标识的计费方式”，在认证前，由于用户没有输入账号密码，所以，以MAC地址为标识登记用户获得的IP地址。这样，认证和计费系统就无法得知新IP地址的存在，当用户终端使用新IP地址请求认证计费时，认证和计费系统会认为是非法接入而拒绝。

2、账号在线无法认证。

通常，用户终端会出现断电、浏览器出错等非法下线问题，由于DHCP无连接，即使用户关机，运营商的设备上的用户状态只有等DHCP租约到期才会清除，所以，在租约未到期期间，会持续发送计费报文给远程用户拨号认证服务器(RADIUS，Remote AuthenticationDial In User Service)保持在线，如此，就会导致账号长期在线。当用户终端重新获取IP地址时，如果原来获取的旧IP地址可以直接上网，那么，获取的新IP地址在重新认证时，就会出现因账号在线导致的“认证拒绝”问题。

发明内容

为解决现有存在的技术问题，本发明实施例期望提供一种基于DHCP的web认证计费方法及系统，能在一个MAC地址对应多个IP地址的情况下实现正常认证和计费。

本发明实施例的技术方案是这样实现的：

根据本发明实施例的一方面，提供一种基于DHCP的web认证计费方法，所述方法包括：

根据用户终端的当前位置为所述用户终端分配第一IP地址，并以所述第一IP地址为标识完成认证前的用户登记；

所述第一IP地址认证通过后，修改所述第一IP地址的状态为认证通过，并基于所述第一IP地址进行计费报文的转发；

所述用户终端发生移动时，根据用户终端的当前位置为所述用户终端分配第二IP地址，并以所述第二IP地址为标识完成认证前的用户登记；

所述第二IP地址认证通过后，修改所述第二IP地址的状态为认证通过，所述第一IP地址的状态为离线，并基于所述第二IP地址进行计费报文的转发。

上述方案中，所述方法还包括：获取用户终端的MAC地址，以所述用户终端的MAC地址为标识完成认证前的用户登记；

所述MAC地址认证通过后，以所述用户终端的账号信息作为标识，修改所述MAC地址状态为认证通过，进行计费报文的转发。

上述方案中，所述方法还包括：根据所述第一IP地址与DHCP服务器的租约时间，回收所述第一IP地址，清除用户登记状态，并停止基于所述第一IP地址计费报文的转发。

上述方案中，所述方法还包括：根据所述第一IP地址或所述第二IP地址的请求报文查询所述第一IP地址或所述第二IP地址登记状态，对已登记的IP地址推送web应用的入口(Portal)页面。

上述方案中，所述方法还包括：根据所述第一IP地址或所述第二IP地址的认证请求，向所述第一IP地址或所述第二IP地址推送认证结果。

上述方案中，所述根据用户终端的当前位置为所述用户终端分配第一IP地址或所述根据用户终端的当前位置为所述用户终端分配第二IP地址，包括：通过所述DHCP服务器的DHCP发现、DHCP提供、DHCP请求、DHCP应答四个过程为所述用户终端分配所述第一IP地址或所述第二IP地址；

当所述DHCP服务器向所述用户终端发送DHCP应答报文时，宽带远程接入服务器(BRAS，Broadband Remote Access Server)发送计费报文给中间件服务器，以所述第一IP地址或所述第二IP地址为标识完成认证前的用户登记。

根据本发明实施例的另一方面，提供一种基于DHCP的web认证计费系统，所述系统包括：用户终端、DHCP服务器、BRAS以及中间件服务器；其中，

所述DHCP服务器，用于根据用户终端的当前位置为所述用户终端分配第一IP地址，并将分配的第一IP地址发送给BRAS；

所述用户终端发生移动时，根据用户终端的当前位置为所述用户终端分配第二IP地址，并将分配的第二IP地址发送给BRAS；

所述BRAS，用于以所述第一IP地址或所述第二IP地址为标识完成认证前的用户登记；

所述中间件服务器，用于在所述第一IP地址或所述第二IP地址认证通过后，同步所述BRAS修改所述第一IP地址或所述第二IP地址的状态为认证通过，并基于所述第一IP地址或所述第二IP地址进行计费报文的转发。

上述方案中，所述系统还包括：

所述DHCP服务器，还用于获取所述用户终端的MAC地址；

所述BRAS，还用于以所述用户终端的MAC地址为标识完成认证前的用户登记；

所述中间件服务器，还用于在所述MAC地址认证通过后，同步所述BRAS以所述用户终端的账号信息作为标识修改所述MAC地址状态为认证后，进行计费报文的转发。

上述方案中，所述系统还包括：所述BRAS，还用于根据所述第一IP地址与DHCP服务器的租约时间，回收所述第一IP地址，清除用户登记状态，并停止基于所述第一IP地址计费报文的转发。

上述方案中，所述系统还包括：Portal服务器；所述Portal服务器，用于根据所述用户终端的所述第一IP地址或所述第二IP地址的请求报文查询所述第一IP地址或所述第二IP地址登记状态，对已登记的IP地址推送web应用的Portal页面；

还用于将所述用户终端的所述第一IP地址或所述第二IP地址的认证请求发送至所述中间件服务器，向所述用户终端推送认证结果；

所述中间件服务器，还用于转发所述用户终端的所述第一IP地址或所述第二IP地址的认证请求到RADIUS服务器，将认证结果发送到所述Portal服务器；

所述RADIUS服务器，还用于将认证结果发送到所述中间件服务器。

本发明实施例提供的基于DHCP的web认证计费方法及系统，根据用户终端的当前位置为用户终端分配第一IP地址，并以用户终端的第一IP地址为标识完成认证前的用户登记；所述第一IP地址认证通过后，修改所述第一IP地址的状态为认证通过，并基于所述第一IP地址进行计费报文的转发；所述用户终端发生移动时，根据用户终端的当前位置为所述用户终端分配第二IP地址，并以所述第二IP地址为标识完成认证前的用户登记；所述第二IP地址认证通过后，修改所述第二IP地址的状态为认证通过，所述第一IP地址的状态为离线，并基于所述第二IP地址进行计费报文的转发。可见，本发明实施例能控制用户终端在用户登记认证前不会转发计费报文给RADIUS，在用户登记认证后，先修改用户登记状态为认证后，再转发计费报文给RADIUS；如此，能实现用户终端在任何时候获取IP地址都能够正常认证和计费。

进一步的，获取用户终端的媒体访问控制MAC地址，以所述用户终端的MAC地址为标识完成认证前的用户登记；所述MAC地址认证通过后，以所述用户终端的账号信息作为标识，修改所述MAC地址的状态为认证通过，进行计费报文的转发。可见，本发明实施例，采用以IP地址为标识和以MAC地址为标识的两种方式来完成认证前的用户登记；如此，不但能实现用户终端在任何时候获取IP地址都能够正常认证，并且不会重复计费。

进一步的，根据第一IP地址与DHCP服务器的租约时间，回收第一IP地址，清除用户登记状态，并停止基于第一IP地址计费报文的转发；可见BRAS根据IP地址与DHCP服务器的租约时间，判断用户是否在线，对租约时间到期的IP地址，回收相应用户终端的IP地址，清除用户状态，停止计费报文的转发，进而能加快对用户终端的IP地址异常下线的检测时间，避免多计费的情况发生。

附图说明

图1为本发明实施例基于DHCP的web认证计费方法实现流程示意图；

图2为本发明实施例基于DHCP的web认证计费方法中DHCP实现地址分配及临时授权流程示意图；

图3为本发明实施例基于DHCP的web认证计费方法中web认证流程示意图；

图4为本发明实施例基于DHCP的web认证计费方法中实现计费流程示意图；

图5为本发明实施例基于DHCP的web认证计费系统中结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

图1为本发明实施例基于DHCP的web认证计费方法实现流程示意图，如图1所示，该方法包括：

步骤101：根据用户终端的当前位置为用户终端分配第一IP地址，并以第一IP地址为标识完成认证前的用户登记；

这里，如图2所示，用户终端与DHCP服务器之间经过：DHCP发现(discover)、DHCP提供(offer)、DHCP请求(request)、DHCP应答(ack)四个过程获取IP地址；BRAS作为运营商的边缘设备，会一直监控用户终端获取IP地址的所有过程：

当DHCP服务器向用户终端发送DHCP ack报文时，BRAS就会发送类型为开始(start)的计费报文给中间件服务器，预认证计费开始(Host-accounting)并以用户终端的IP地址为标识完成用户登记，此时，该用户登记状态为认证前。

中间件服务器收到类型为start的计费报文后，记录“认证前”会话，为了避免用户终端获取多个IP地址都发送计费报文给RADIUS服务器，导致重复计费的情况发生，对于用户登记状态处于认证前的计费报文，都不会转发给RADIUS服务器。

此时，用户终端是不能正常访问互联网的，需要BRAS通过白名单和重定向设置，引导用户打开认证页面；具体实现流程如下：

当用户终端打开一个网页时，BRAS会模拟目标IP地址与用户终端完成传输控制协议(TCP，Transmission Control Protocol)三次握手，即：用户终端向BRAS发送TCP同步(SYN)标记包，告诉BRAS请求建立连接；BRAS收到SYN标记包后发送TCP SYN ACK，表示对第一个TCP SYN标记包的确认，并继续握手操作；用户终端发送TCP SYN ACK至BRAS，通知BRAS连接已建立，至此，三次握手完成。

然后，用户终端发送超文本传输协议(HTTP，HyperText Transfer Protocol)收到(GET)请求至BRAS，BRAS通知用户终端重新打开web应用的入口(Portal)页面，用户终端收到BRAS发送的请求后，向Portal服务器发送HTTP统一资源定位器入口请求(Requestportal-url)。

步骤102：第一IP地址认证通过后，修改第一IP地址的状态为认证通过，并基于第一IP地址进行计费报文的转发；

这里，如图3所示，当用户终端通过认证后，中间件服务器向BRAS发送防伪证明书(COA，Certificate Of Authenticity)修改用户状态为认证后，BRAS回复COA确认，使BRAS和中间件服务器的用户状态同步。

如图4所示，由BRAS发送预计费host-accounting停止消息至中间件服务器，并发送类型为start的计费报文Queue accounting开始消息至中间件服务器；中间件服务器发送账号请求开始(Accounting-Request/Start)至RADIUS服务器；RADIUS服务器响应Accounting-Request/Start，并由中间件服务器发送计费开始响应至BRAS，将用户登记转入“认证后”状态；此时，用户终端可以正常访问互联网。

步骤103：用户终端发生移动时，根据用户终端的当前位置为用户终端分配第二IP地址，并以第二IP地址为标识完成认证前的用户登记；

这里，用户终端发生移动时，根据用户终端的当前位置，会重新获取到新的IP地址，即：本发明实施例中的第二IP地址。为了解决一个MAC地址有多个IP地址，BRAS对新IP地址，即：本发明实施例中的第二IP地址不发送计费报文，导致新IP地址无法认证的问题，本发明实施例将BRAS的功能修改为“基于IP地址的计费方式”，使BRAS在用户终端获取到新IP地址后都会发送消息完成用户登记；为了避免，一个MAC地址在有多个IP地址的情况下，所有IP地址都会发送计费报文，导致重复计费，就需要在中间件服务器中设定认证前的IP地址不会发送计费报文给RADIUS服务器。步骤103的实现方法与步骤101的实现方法一致，在此不多赘述。

步骤104：第二IP地址认证通过后，修改第二IP地址的状态为认证通过，第一IP地址的状态为离线，并基于所述第二IP地址进行计费报文的转发；

这里，当用户所使用的新IP地址，即：第二IP地址通过认证后，RADIUS服务器通知中间件服务器同步BRAS修改第二IP地址为认证通过状态；

在本发明实施例中，BRAS根据所述第一IP地址与DHCP服务器的租约时间，回收所述第一IP地址，清除用户登记状态，并停止基于所述第一IP地址发送计费报文给中间件服务器。

这里，如图4所示，在第一IP地址保持正常在线的情况下，BRAS会持续收到类型为request的计费报文，并向中间件服务器发送计费更新请求，中间件服务器再将计费请求更新请求(Accounting-Request/Interim-update)发送至RADIUS服务器，RADIUS服务器响应Accounting-Request/Interim-update，并由中间件服务器发送计费更新响应至BRAS。如果，RADIUS服务器在预设时间内没有收到中间件服务器的计费报文就会踢第一IP地址下线，因为RADIUS服务器是按时间段计费的，该预设时间可以为一分钟、五分钟、一小时等，如果在这个时间内踢在前IP地址，即：第一IP地址下线，就不会出现多计费问题，这样使通过认证的新IP地址，即：第二IP地址就能够转发BRAS的计费报文给RADIUS服务器，第二IP地址就能够重新认证了。

在本发明实施例中还包括，获取用户终端的MAC地址，以所述用户终端的MAC地址为标识完成认证前的用户登记；所述MAC地址认证通过后，以所述用户终端的账号信息作为标识，修改所述MAC地址的状态为认证通过，进行计费报文的转发。

这里，由于“基于IP的计费方式”会导致重复计费，所以中间件服务器在认证前是不会转发计费报文给RADIUS服务器的，这就要求在认证后，再次发送一次计费报文类型为start给RADIUS服务器，计费报文都是由BRAS产生，所以需要触发BRAS产生这种消息。

本发明实施例中“基于IP的计费方式”，是BRAS根据用户终端的IP地址是否变化触发计费报文的发送，由于用户终端的IP地址在后续过程中始终不变，所以仅仅触发一次，那么，用户认证后，由于中间件服务器没有收到修改用户状态的消息通知，所以不会转发计费报文给RADIUS服务器，RADIUS服务器在一定时间内没有收到计费报文就认为该用户已经离线，发送下线消息给BRAS踢用户下线。遇到这种情况，本发明实施例中，组合使用不同的计费机制，即：认证前使用“基于IP地址为标识的计费方式”，认证后使用“基于MAC地址为标识的计费方式”。

本发明实施例中“基于IP地址为标识的计费方式”作用是：用户终端每次获取IP地址时都能够触发BRAS发送计费报文，但由于IP地址在后续过程中不会变化，所以仅仅触发一次。“基于MAC地址为标识的计费方式”作用是能够触发多次计费报文，因为认证前使用用户终端的MAC地址作为标识，认证后可以使用用户终端的账号信息作为标识，这种变化可以触发BRAS发送计费报文。这样，就可以保证用户终端移动后获取的新IP地址，即：第二IP地址(认证前)会触发BRAS发送计费报文给中间件服务器完成登记，认证后再触发BRAS发送一次计费报文给RADIUS服务器进行正常计费；如此，用户终端在一MAC地址多IP地址的情况下，不仅都能实现正常认证，并且不会重复计费。

在本发明实施例中，还包括：根据所述第一IP地址或所述第二IP地址的请求报文查询所述第一IP地址或所述第二IP地址登记状态，对已登记的IP地址推送web应用的入口Portal页面。

这里，由于Portal协议规定，Portal服务器在向用户终端推送Portal页面前，需要向中间件服务器查询该用户终端是否在中间件服务器上已进行登记，避免非法接入。

如图2所示，当Portal服务器收到用户终端发送的HTTP请求(request)Portal统一资源定位符(url)后，向中间件服务器发送查询用户信息(Userinfo)的登记状态，由中间件服务器作出Userinfo应答，如果Userinfo没有在中间件服务器上进行登记，就认为该用户终端是非法请求而拒绝Portal页面推送。

如图3所示，如果userinfo在中间件服务器上有登记，则Portal服务器向用户终端发送HTTP回应(response)Portal-url，并推送Portal页面。

在本发明实施例中，Portal服务器根据第一IP地址或所述第二IP地址的认证请求，向第一IP地址或所述第二IP地址推送认证结果。

这里，Portal服务器将所述用户终端的第一IP地址或所述第二IP地址认证请求发送至中间件服务器，由所述中间件服务器转发给RADIUS服务器，所述RADIUS服务器将认证结果发送到所述中间件服务器，由所述中间件服务器将认证结果发送到Portal服务器，所述Portal服务器向所述用户终端的第一IP地址或所述第二IP地址推送认证结果。

如图3所示，用户终端打开Portal页面，输入账号信息，如：用户名、密码进行认证；Portal服务器对收到的账号信息加密后向中间件服务器发送质疑请求(REQ_CHALLENGE)，中间件服务器确认该请求后，发送ACK_CHALLENGE至Portal服务器；Portal服务器向中间件服务器发送认证请求(ACK_AUTH)，中间件服务器再发送接入请求(Access_Request)至RADIUS服务器；RADIUS服务器对接入请求的账号信息进行认证，并发送认证结果请求Access_Request-Reject至中间件服务器；中间件服务器再将认证结果ACK_AUTH发送至Portal服务器；Portal服务器向用户终端推送认证结果HTTP Response Portal-url。

实际应用中，经常遇到非法下线导致用户账号在线的情况，当用户终端移动后重新获取IP地址再次使用这个账号认证时，为了避免账号共享，一般是禁止认证通过的，如此，用户就无法使用网络。

为解决上述问题，本发明实施例中，BRAS根据所述用户终端与DHCP服务器的租约时间，回收所述用户终端的IP地址和/或账号信息，清除用户登记状态，停止计费报文的转发。

这里，BRAS通过用户终端的第一IP地址与DHCP租约时间判断用户终端的第一IP地址是否在线，由于用户终端的在前IP地址，即：第一IP地址无用户终端使用，且不会被其他用户终端占用：因为其它用户终端的MAC地址不同，DHCP的机制决定了第一IP地址不会被其他用户终端同时占用，所以，没有用户终端会续租第一IP地址；

如图4所示，当用户终端的第一IP地址与DHCP服务器的租约时间到期，BRAS在预设时间内没有收到用户终端的第一IP地址与DHCP服务器的续租请求，就会向中间件服务器发送DHCP释放(release)请求，回收用户终端的第一IP地址，并发送类型为停止(stop)的计费报文(Queue accounting)结束请求至中间件服务器，清除第一IP地址的用户登记状态，停止对第一IP地址计费报文的转发，该预设时间可以为一分钟、五分钟或一小时；中间件服务器发送账号请求结束(Accounting-Request/stop)至RADIUS服务器，RADIUS服务器响应Accounting-Request/stop，并由中间件服务器将计费停止响应转发至BRAS。这样就不会出现多计费问题，用户就能重新认证。

在本发明实施例中，还可以在BRAS上启用DHCP代理服务器(proxy)功能，修改DHCP的租约时间，这样，就不用等待用户终端的IP地址与DHCP的租约时间到期才能踢用户终端的IP地址下线了，加快了用户终端的IP地址异常下线的检测时间，避免多计费。或者，采用RADIUS服务器允许用户终端的新IP地址，即第二IP地址上线，且踢用户终端的在前IP地址，即：第一IP地址下线，是时效性最高的方案。

对于RADIUS服务器来说，一个正常的计费过程是从收到计费报文类型为start为开始，以收到计费报文类型为stop为结束，其间，BRAS根据用户终端与DHCP服务器的租约时间，判断当前用户是否在线。由于用户终端的在前IP地址，即：第一IP地址无用户终端使用，且不会被其它用户终端占用：因为其它用户终端的MAC地址不同，DHCP的机制决定了第一IP地址不会被不同机器同时占用，所以，没有用户终端会续租第一IP地址。

如图5所示，本发明实施例基于DHCP的web认证计费系统包括：用户终端501、DHCP服务器503、BRAS 504以及中间件服务器506；其中，

所述DHCP服务器503，用于根据用户终端501的当前位置为所述用户终端501分配第一IP地址，并将分配的第一IP地址发送给BRAS 504；所述用户终端501发生移动时，根据用户终端501的当前位置为所述用户终端501分配第二IP地址，并将分配的第二IP地址发送给BRAS 504；

这里，用户终端501可以为PC、手机等，与L3设备502连接，该L3设备502为用户终端501所处的网络，非运营商网络；用户终端501通过L3设备502向DHCP服务器503发送请求连接；

如图2所示，用户终端501与DHCP服务器503之间经过：DHCP discover、DHCPoffer、DHCP request、DHCP ack四个过程获取第一IP地址，当用户终端501发生移动时，再以相同的方法获取用户终端501当前位置的第二IP地址；BRAS 504作为运营商的边缘设备，会一直监控用户终端501获取IP地址的所有过程。

所述BRAS 504用于以所述用户终端501的第IP地址或所述第二IP地址为标识完成认证前的用户登记；

这里，BRAS 504，为运营商的边缘设备，用于与L3设备502对接，如图2所示，当DHCP服务器503向用户终端501发送DHCP ack报文时，BRAS 504就会发送类型为start的计费报文给中间件服务器506，预计计费开始Host-accounting并以用户终端501的第一IP地址或第二IP地址为标识完成用户登记，此时，该用户登记状态为认证前；

中间件服务器506收到类型为start的计费报文后，记录“认证前”会话，为了避免用户终端501获取多个IP地址都发送计费报文给RADIUS服务器507，导致重复计费的情况发生，对于用户登记状态处于认证前的计费报文，都不会转发给RADIUS服务器507。

此时，用户终端501是不能正常访问互联网的，需要BRAS 504通过白名单和重定向设置，引导用户打开认证页面；具体实现流程如下：

当用户终端501打开一个网页时，BRAS 504会模拟目标IP地址与用户终端501完成TCP三次握手，即：用户终端501向BRAS 504发送TCP SYN标记包，告诉BRAS 504请求建立连接；BRAS 504收到SYN标记包后发送对TCP SYN ACK，表示对第一个TCP SYN标记包的确认，并继续握手操作；用户终端501发送TCP SYN ACK至BRAS 504，通知BRAS 504连接已建立，至此，三次握手完成。

然后，用户终端501发送HTTP GET请求至BRAS 504，BRAS 504通知用户终端501重新打开web应用的Portal页面，用户终端501收到BRAS 504发送的请求后，向Portal服务器505发送HTTP Request portal-url。

为了解决一个MAC地址有多个IP地址，BRAS 504对用户终端501的新IP地址，即：本发明实施例中的第二IP地址不发送计费报文，导致用户终端501的新IP地址无法认证的问题，本发明实施例将BRAS 504的功能修改为“基于IP地址的计费方式”，使BRAS 504在用户终端501获取到新的IP地址后都会发送消息完成用户登记。为了避免，一个MAC地址在有多个IP地址的情况下，所有IP地址都会发送计费报文，导致重复计费，就需要在中间件服务器506中设定认证前的IP地址不会发送计费报文给RADIUS服务器507；当用户终端501所使用的IP地址通过认证后，RADIUS服务器507通知中间件服务器506同步BRAS 504修改该IP地址为认证后状态，使认证后的IP地址能够转发BRAS 504的计费报文给RADIUS服务器507。

所述中间件服务器506，用于在所述用户终端501的第一IP地址或所述第二IP地址认证通过后，同步所述BRAS 504修改所述第一IP地址或所述第二IP地址的状态为认证通过，并基于所述第一IP地址或所述第二IP地址进行计费报文的转发。

这里，如图3所示，当用户终端501的第一IP地址或第二IP地址通过认证后，中间件服务器506向BRAS 504发送COA修改用户状态为认证后，BRAS504回复COA确认，使BRAS 504和中间件服务器506的用户状态同步。

如图4所示，由BRAS 504发送预计费host-accounting停止消息至中间件服务器506，并发送类型为start的计费报文Queue accounting开始消息至中间件服务器506；中间件服务器506发送Accounting-Request Start至RADIUS服务器507；RADIUS服务器507响应Accounting-Request Start，并由中间件服务器506发送计费开始响应至BRAS 504，将用户登记转入“认证后”状态；此时，用户终端501可以正常访问互联网。

在本发明实施例中，BRAS 504根据所述用户终端501的第一IP地址与DHCP服务器503的租约时间，回收所述用户终端501第一IP地址，清除用户登记状态，并停止基于所述第一IP地址发送计费报文给中间件服务器506。

这里，如图4所示，在用户终端501的第一IP地址保持正常在线的情况下，BRAS 504会持续收到类型为request的计费报文，并向中间件服务器506发送计费更新请求，中间件服务器506再将Accounting-Request/Interim-update发送至RADIUS服务器507，RADIUS服务器507响应Accounting-Request/Interim-update，并由中间件服务器506发送计费更新响应至BRAS 504。如果，RADIUS服务器507在预设时间内没有收到中间件服务器506的计费报文就会踢用户终端501的第一IP地址下线，因为RADIUS服务器507是按时间段计费的，该预设时间可以为一分钟、五分钟、一小时等，如果在这个时间内踢用户终端501的在前IP地址，即：第一IP地址下线，就不会出现多计费问题，这样使通过认证的新IP地址，即：第二IP地址就能够转发BRAS504的计费报文给RADIUS服务器507，第二IP地址就能够重新认证了。

本发明实施例中，DHCP服务器503还用于获取用户终端501的MAC地址，以所述用户终端501的MAC地址为标识完成认证前的用户登记；所述用户终端501的MAC地址认证通过后，BRAS 504以所述用户终端501的账号信息作为标识，修改用户登记状态为认证后，进行计费报文的转发。

这里，由于“基于IP的计费方式”会导致重复计费，所以中间件服务器506在认证前是不会转发计费报文给RADIUS服务器507的，这就要求在认证后，再次发送一次计费报文类型为start给RADIUS服务器507，计费报文都是由BRAS 504产生，所以需要触发BRAS 504产生这种消息。

本发明实施例中，“基于IP的计费方式”，是BRAS 504根据用户终端501的IP地址是否变化触发计费报文的发送，由于用户终端501的IP地址在后续过程中始终不变，所以仅仅触发一次，那么，用户认证后，由于中间件服务器506没有收到消息通知修改用户状态，所以不会转发计费报文给RADIUS服务器507，RADIUS服务器507在一定时间内没有收到计费报文就认为该用户已经离线，发送下线消息给BRAS 504踢用户下线。遇到这种情况，本发明实施例中，组合使用不同的计费机制，即：认证前使用“基于IP地址为标识的计费方式”，认证后使用“基于MAC地址为标识的计费方式”。

本发明实施例中“基于IP地址为标识的计费方式”作用是：用户终端501每次获取IP地址时都能够触发BRAS 504发送计费报文，但由于用户终端501的IP地址在后续过程中不会变化，所以仅仅触发一次。“基于MAC地址为标识的计费方式”作用是能够触发多次计费报文，因为认证前使用用户终端501的MAC地址作为标识，认证后可以使用用户终端501的账号信息作为标识，这种变化可以触发多次BRAS 504发送计费报文。这样，就可以保证用户终端501移动后获取的新IP地址，即：第二IP地址(认证前)会触发BRAS 504发送计费报文给中间件服务器506完成登记，认证后再触发BRAS 504发送一次计费报文给RADIUS服务器507进行正常计费；如此，用户终端501在一MAC地址多IP地址的情况下，不仅都能实现正常认证，并且不会重复计费。

在本发明实施例中，还包括：Portal服务器505，所述Portal服务器505，用于根据所述用户终端501的第一IP地址或所述第二IP地址的请求报文查询用户登记状态，对已登记的IP地址推送Portal页面；

这里，由于Portal协议规定，Portal服务器505在向用户终端501推送Portal页面前，需要向中间件服务器506查询该用户终端501是否在中间件服务器506上已进行登记，避免非法接入。

如图2所示，当Portal服务器505收到用户终端501发送的HTTP Request Portal-url后，向中间件服务器506发送Userinfo查询用户信息的登记状态，由中间件服务器506作出Userinfo应答，如果Userinfo没有在中间件服务器506上进行登记，就认为该用户终端501是非法请求而拒绝Portal页面推送。

如图3所示，如果Userinfo在中间件服务器506上有登记，则Portal服务器505向用户终端501发送HTTP Request Portal-url，并推送Portal页面。

在本发明实施例中，Portal服务器505，还用于将用户终端501的第一IP地址或所述第二IP地址的认证请求发送至中间件服务器506，向用户终端501的第一IP地址或所述第二IP地址推送认证结果。

所述中间件服务器506，还用于转发所述用户终端501的第一IP地址或所述第二IP地址的认证请求到RADIUS服务器507，将认证结果发送到所述Portal服务器505；

所述RADIUS服务器507在本技术方案中为3A服务器，用于将认证结果发送到所述中间件服务器506。

这里，如图3所示，用户终端501打开Portal页面，输入账号信息，如：用户名、密码进行认证；Portal服务器505对收到的账号信息加密后向中间件服务器506发送REQ_CHALLENGE，中间件服务器506确认该请求后，发送ACK_CHALLENGE至Portal服务器505；Portal服务器505向中间件服务器506发送REQ_AUTH，中间件服务器506再发送Access_Request至RADIUS服务器507；RADIUS服务器507对接入请求的账号信息进行认证，并发送Access-Acceot/Access-Reject至中间件服务器506；中间件服务器506再将认证结果ACK_AUTH发送至Portal服务器505；Portal服务器505向用户终端501推送认证结果HTTPResponse Portal-url。

实际应用中，经常遇到非法下线导致用户账号在线的情况，当用户终端501移动后重新获取IP地址再次使用这个账号认证时，为了避免账号共享，一般是禁止认证通过的，如此，用户就无法使用网络。

为解决上述问题，本发明实施例中，BRAS 504根据所述用户终端501与DHCP服务器504的租约时间，回收所述用户终端501的IP地址和/或账号信息，清除用户登记状态，停止计费报文的转发。

这里，BRAS 504通过用户终端501的第一IP地址与DHCP服务器503租约时间判断用户是否在线，由于用户终端501的在前IP地址，即：第一IP地址无用户终端使用，且不会被其他用户终端占用：因为其它用户终端的MAC地址不同，DHCP服务器503的机制决定了第一IP地址不会被其他用户终端同时占用，所以，没有用户终端会续租第一IP地址；

如图4所示，当用户终端501的第一IP地址与DHCP服务器503的租约时间到期，BRAS504在预设时间内没有收到用户终端501的第一IP地址与DHCP服务器503的续租请求，就会向中间件服务器506发送DHCP release请求，回收用户终端的第一IP地址，并发送类型为stop的计费报文Queue accounting结束请求至中间件服务器506，清除用户终端501的第一IP地址的登记状态，停止对第一IP地址计费报文的转发，该预设时间可以为一分钟、五分钟或一小时；中间件服务器506发送Accounting-Request/stop至RADIUS服务器507，RADIUS服务器507响应Accounting-Request/stop，并由中间件服务器506将计费停止响应转发至BRAS 504。这样就不会出现多计费问题，用户就能重新认证。

在本发明实施例中，还可以在BRAS 504上启用DHCP proxy功能，修改DHCP服务器503的租约时间，这样，就不用等待用户终端501的IP地址与DHCP服务器503的租约时间到期才能踢用户终端501的IP地址下线了，加快了用户终端501的IP地址异常下线的检测时间，避免多计费。或者，采用RADIUS服务器507允许新IP地址，即：第二IP地址上线，且踢在前IP地址，即：第一IP地址下线，是时效性最高的方案。

对于RADIUS服务器507来说，一个正常的计费过程是从收到计费报文类型为start为开始，以收到计费报文类型为stop为结束，其间，BRAS 504根据用户终端501与DHCP服务器503的租约时间，判断当前用户是否在线。由于用户终端501的在前IP地址，即第一IP地址无用户终端使用，且不会被其它用户终端占用：因为其它用户终端的MAC地址不同，DHCP的机制决定了第一IP地址不会被不同机器同时占用，所以，没有用户终端会续租该第一IP地址。

本发明实施例弥补了现有技术中缺少的用户识别能力，可以有效判断实际用户使用的IP地址，以正常完成用户登记、认证、鉴权等功能。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、系统(设备)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims (10)

1.一种基于动态主机配置协议DHCP的web认证计费方法，其特征在于，所述方法包括：

根据用户终端的当前位置为所述用户终端分配第一IP地址，并以所述第一IP地址为标识完成认证前的用户登记；

所述第一IP地址认证通过后，修改所述第一IP地址的状态为认证通过，并基于所述第一IP地址进行计费报文的转发；

所述用户终端发生移动时，根据用户终端的当前位置为所述用户终端分配第二IP地址，并以所述第二IP地址为标识完成认证前的用户登记；

所述第二IP地址认证通过后，修改所述第二IP地址的状态为认证通过，所述第一IP地址的状态为离线，并基于所述第二IP地址进行计费报文的转发。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取用户终端的媒体访问控制MAC地址，以所述用户终端的MAC地址为标识完成认证前的用户登记；

所述MAC地址认证通过后，以所述用户终端的账号信息作为标识，修改所述MAC地址的状态为认证通过，进行计费报文的转发。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述第一IP地址与DHCP服务器的租约时间，回收所述第一IP地址，清除用户登记状态，并停止基于所述第一IP地址计费报文的转发。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述第一IP地址或所述第二IP地址的请求报文查询所述第一IP地址或所述第二IP地址登记状态，对已登记的IP地址推送web应用的入口Portal页面。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述第一IP地址或所述第二IP地址的认证请求，向所述第一IP地址或所述第二IP地址推送认证结果。

6.根据权利要求1所述的方法，其特征在于，所述根据用户终端的当前位置为所述用户终端分配第一IP地址或所述根据用户终端的当前位置为所述用户终端分配第二IP地址包括：通过DHCP服务器的DHCP发现、DHCP提供、DHCP请求、DHCP应答四个过程为所述用户终端分配所述第一IP地址或所述第二IP地址；

当所述DHCP服务器向所述用户终端发送DHCP应答报文时，宽带远程接入服务器BRAS发送计费报文给中间件服务器，以所述第一IP地址或所述第二IP地址为标识完成认证前的用户登记。

7.一种基于DHCP的web认证计费系统，其特征在于，所述系统包括：用户终端、DHCP服务器、BRAS以及中间件服务器；其中，

所述DHCP服务器，用于根据用户终端的当前位置为所述用户终端分配第一IP地址，并将分配的第一IP地址发送给BRAS；所述用户终端发生移动时，根据用户终端的当前位置为所述用户终端分配第二IP地址，并将分配的第二IP地址发送给BRAS；

所述BRAS，用于以所述第一IP地址或所述第二IP地址为标识完成认证前的用户登记；

所述中间件服务器，用于在所述第一IP地址或所述第二IP地址认证通过后，同步所述BRAS修改所述第一IP地址或所述第二IP地址的状态为认证通过，并基于所述第一IP地址或所述第二IP地址进行计费报文的转发。

8.根据权利要求7所述的系统，其特征在于，所述系统还包括：

所述DHCP服务器，还用于获取所述用户终端的MAC地址；

所述BRAS，还用于以所述用户终端的MAC地址为标识完成认证前的用户登记；

所述中间件服务器，还用于在所述MAC地址认证通过后，同步所述BRAS以所述用户终端的账号信息作为标识修改所述MAC地址的状态为认证后，进行计费报文的转发。

9.根据权利要求7所述的系统，其特征在于，所述系统还包括：

所述BRAS，还用于根据所述第一IP地址与DHCP服务器的租约时间，回收所述第一IP地址，清除用户登记状态，并停止基于所述第一IP地址计费报文的转发。

10.根据权利要求7所述的系统，其特征在于，所述系统还包括：Portal服务器；

所述Portal服务器，用于根据所述用户终端的所述第一IP地址或所述第二IP地址的请求报文查询所述第一IP地址或所述第二IP地址登记状态，对已登记的IP地址推送web应用的Portal页面；

还用于将所述用户终端的所述第一IP地址或所述第二IP地址的认证请求发送至所述中间件服务器，向所述用户终端推送认证结果；

所述中间件服务器，还用于转发所述用户终端的所述第一IP地址或所述第二IP地址的认证请求到RADIUS服务器，将认证结果发送到所述Portal服务器；

所述RADIUS服务器，还用于将认证结果发送到所述中间件服务器。

Images