CN109067788A - 一种接入认证的方法及装置 - Google Patents
一种接入认证的方法及装置 Download PDFInfo
- Publication number
- CN109067788A CN109067788A CN201811109298.4A CN201811109298A CN109067788A CN 109067788 A CN109067788 A CN 109067788A CN 201811109298 A CN201811109298 A CN 201811109298A CN 109067788 A CN109067788 A CN 109067788A
- Authority
- CN
- China
- Prior art keywords
- terminal
- interface
- list item
- message
- roaming
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明提供一种接入认证的方法及装置,使BRAS设备的第一接口未查找终端对应的用户表项时,发送携带终端的终端信息的认证请求报文给AAA服务器,AAA服务器确定该终端为已认证终端且是漫游终端时,通知已接入该漫游终端的第二接口删除该终端对应的用户表项,并当确认删除完成时,向第一接口发送认证通过报文,以使第一接口允许该终端接入,并在第一接口上记录该终端对应的用户表项。因此本发明通过AAA服务器记录已认证终端的终端信息,以使终端漫游到新位置时可以发送终端信息给AAA服务器来确认终端的认证身份,从而允许终端在新位置接入网络,避免用户终端漫游后再次进行接入认证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种接入认证的方法及装置。
背景技术
目前Internet市场的不断发展,接入到城域网的用户越来越多,用户的业务需求也日益膨胀,因此BRAS(Broadband Remote Access Server,宽带接入服务器)应运而生,其具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理功能,并能提供丰富灵活的业务及控制功能。
然而随着移动网络设备和无线业务的普及,用户的终端不会固定在一个位置,例如,用户手持移动设备在访问网络的过程中,经常会从一个移动热点迁移到另一个移动热点。因为接入热点变化,不同热点对应的上行的BRAS接入接口或BRAS接入设备也可能不同,因此用户终端在从一个移动热点迁移到另一个移动热点时,可能是从某台BRAS设备的一个接入接口迁移到该BRAS设备另一个接入接口,或者是从一台BRAS设备迁移到了另一台BRAS设备。
现有技术中,用户终端迁移到新位置后,因为接入网络的物理位置发生了变化,新位置没有该用户信息,导致用户接入新位置时的报文不允许转发,即会出现漫游后终端无法访问网络的情况。因此要求用户终端漫游到新位置后重新进行认证,生成新的用户信息后才能继续上网,从而影响了用户上网体验。
发明内容
有鉴于此,本发明提供一种接入认证的方法及装置,来解决终端位置改变后无法访问网络的问题。
具体地,本发明是通过如下技术方案实现的:
本发明提供一种接入认证的方法,所述方法应用于AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务器,所述方法包括:
获取BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
本发明还提供一种接入认证的方法,所述方法应用于BRAS设备,所述方法包括:
若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
基于相同的构思,本发明提供一种接入认证的装置,所述装置应用于AAA服务器,所述装置包括:
获取单元,用于获取BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
通知单元,用于当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
发送单元,用于当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
本发明还提供一种接入认证的装置,所述装置应用于BRAS设备,所述装置包括:
获取单元,用于若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
发送单元,用于向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
记录单元,用于若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
由此可见,本发明可以使BRAS设备的第一接口未查找终端对应的用户表项时,发送携带终端的终端信息的认证请求报文给AAA服务器,AAA服务器确定该终端为已认证终端且是漫游终端时,通知已接入该漫游终端的第二接口删除该终端对应的用户表项,并当确认删除完成时,向第一接口发送认证通过报文,以使第一接口允许该终端接入,并在第一接口上记录该终端对应的用户表项。因此本发明通过AAA服务器记录已认证终端的终端信息,以使终端漫游到新位置时可以发送终端信息给AAA服务器来确认终端的认证身份,从而允许终端在新位置接入网络,避免用户终端漫游后再次进行接入认证,提升了用户体验。
附图说明
图1是本发明一种示例性实施方式中的BRAS组网示意图;
图2是本发明一种示例性实施方式中的一种接入认证的方法的处理流程图;
图3是本发明另一种示例性实施方式中的一种接入认证的方法的处理流程图;
图4是本发明一种示例性实施方式中的漫游交互流程图;
图5是本发明一种示例性实施方式中的一种接入认证装置的逻辑结构图;
图6本发明一种示例性实施方式中的一种接入认证的装置的逻辑结构图;
图7本发明一种示例性实施方式中的网络设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参考图1,是本发明一种示例性实施方式中的BRAS设备组网示意图,其中终端PC1通过AP1从Switch-1接入网络,终端PC2通过AP2从Switch-2接入网络,PC1和PC2都通过BRAS-A进行地址分配和准入认证;终端PC3通过AP3从Switch-3接入网络,终端PC4通过AP4从Switch-4接入网络,PC3和PC4都通过BRAS-B进行地址分配和准入认证。
现有技术中,终端在BRAS设备上上线后,BRAS设备可以记录终端对应的用户信息。在用户信息存在期间,如果BRAS设备检查到该IP的用户流量出现在了该BRAS设备的其他接口,则认为存在漫游行为,于是修改BRAS设备内记录的用户信息,把用户信息迁移到终端漫游时接入的新接口。
但是现有技术是通过BRAS设备内记录认证通过的用户信息,而该用户信息无法让其他BRAS设备获知,所以现有技术只能解决同一BRAS设备上终端在不同接口接入的漫游问题,对于跨BRAS设备的漫游,则仅能通过对漫游终端再次认证的方式,以使漫游终端再次接入BRAS设备。例如,当PC1在BRAS-A设备上认证通过后,若PC1漫游到AP-3或AP-4时,由于接入的BRAS设备发生了变化,因此PC1必须重新进行接入认证,从而影响用户访问网络。
为了解决现有技术存在的问题,本发明提供一种接入认证的方法及装置,可以使BRAS设备的第一接口未查找终端对应的用户表项时,发送携带终端的终端信息的认证请求报文给AAA服务器,AAA服务器确定该终端为已认证终端且是漫游终端时,通知已接入该漫游终端的第二接口删除该终端对应的用户表项,并当确认删除完成时,向第一接口发送认证通过报文,以使第一接口允许该终端接入,并在第一接口上记录该终端对应的用户表项。因此本发明通过AAA服务器记录已认证终端的终端信息,以使终端漫游到新位置时可以发送终端信息给AAA服务器来确认终端的认证身份,从而允许终端在新位置接入网络,避免用户终端漫游后再次进行接入认证,提升了用户体验。
请参考图2,是本发明一种示例性实施方式中的一种接入认证的方法的处理流程图,所述方法应用于AAA服务器,所述方法包括:
步骤201、获取BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
在本发明的实施例中,当终端从BRAS设备的第一接口上线时,由于终端之前没有连接过该第一接口,因此该BRAS设备的第一接口上没有记录该终端对应的用户表项,所以该BRAS设备会通过接收该终端发送的请求报文获取该终端的终端信息,该终端信息用于区分不同终端。
可选的,该终端信息可以包括终端的源IP地址、源MAC地址以及该终端接入位置信息,其中接入位置信息可以包括:接入BRAS设备、接入接口、vlan等信息。然后,BRAS设备发送携带终端信息的认证请求报文给AAA服务器对该终端进行认证。
因此AAA服务器会在BRAS设备在未查到终端所对应的用户表项时,获取到BRAS设备发送的携带终端信息的认证请求报文。
步骤202、当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
作为一个实施例,AAA服务器获取终端信息后,可以根据该终端信息在本地查找是否存在与该终端对应的认证用户信息;若查找到该认证用户信息,说明该终端是已认证的终端,然后进一步判断认证用户信息中的接入位置信息与终端信息中的接入位置信息是否相同;若相同,则说明该终端不是漫游终端,因此丢弃该认证请求报文;若不同,则说明该终端是漫游终端。
此外,若未查找到所述认证用户信息,则说明该终端之前未认证,因此可以向该BRAS设备反馈认证失败报文,以使BRAS设备确定该终端未认证,从而使该终端根据现有的认证方式认证通过后再向AAA服务器发送认证请求报文。
在本发明的实施例中,AAA服务器当根据终端信息确定终端为已认证终端且是从第一接口漫游到第二接口时,由于第二接口上仍记录着该终端的用户表项,因此会使AAA服务器对第二接口上的终端继续进行计费,并且该终端的部分流量可能会根据第监控上仍记录着终端的用户表项进行错误的转发,从而导致报文转发时出现错误,所以需要删除第二接口上的该终端对应的用户表项。
作为一个实施例,当该终端信息中的接入位置信息指示该终端在本BRAS设备上不同接口漫游时,说明第二接口和第一接口都在本BRAS设备上,因此AAA服务器可以通知本BRAS设备上的已接入该漫游终端的第二接口删除该终端对应的用户表项;或者,当该终端信息中的接入位置信息指示该终端在非本BRAS设备上漫游时,说明第二接口和第一接口在不同BRAS设备上,因此AAA服务器可以通知在非本BRAS设备上的已接入该漫游终端的第二接口删除该终端对应的用户表项。
可选的,作为一个实施例,AAA服务器可以向所述第二接口发送通知下线消息,例如DM(Disconnect Manage,断开管理)请求消息,该通知下线消息中携带该终端的终端信息的,所述第二接口收到AAA服务器发送的通知下线消息时,会删除自身保存的该终端信息对应的用户表项,然后向AAA服务器反馈下线确认消息,例如DM确认消息。当AAA服务器收到第二BRAS设备发送的下线确认消息时,可以确认第二接口上记录的该终端的用户表项已经删除完成。
步骤203、当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
在本发明的实施例中,当AAA服务器确认第二接口删除该终端的用户表项时,可以向BRAS设备的第一接口反馈针对该认证请求报文的认证通过报文。第一接口收到该认证通过报文时,可以确定该终端是已认证的终端,因此允许该终端接入,并在本地记录该终端对应的用户表项。
相比于现有技术,本发明可以改进AAA服务器和BRAS设备的业务处理流程,由AAA服务器基于用户终端的特征识别漫游用户,识别出漫游用户后通过DM消息通知漫游前接入会话删除,并在新位置无感知认证上线,避免用户重新进行接入认证,从而提升用户访问体验。
请参考图3,是本发明一种示例性实施方式中的另一种接入认证的方法的处理流程图,所述方法应用于BRAS设备,所述方法包括:
步骤301、若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
在本发明的实施例中,当终端从BRAS设备的第一接口上线时,BRAS设备可以根据流量特征查找第一接口中是否存在该终端对应的用户表项。由于终端之前没有连接过第一接口,因此第一接口上没有记录该终端的用户表项,所以第一接口会将该终端发送的流量转发至该BRAS设备的CPU,由CPU分析该流量中的终端信息,该终端信息用于区分不同终端。
可选的,该终端信息可以包括终端的源IP地址、源MAC地址以及该终端接入位置信息,其中接入位置信息可以包括:接入BRAS设备、接入接口、vlan等信息。
步骤302、向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
该BRAS设备获取到该终端对应的终端信息后,可以发送认证请求报文到AAA服务器,其中该认证请求报文携带该终端的终端信息,以使AAA服务器收到终端信息后,可以在确定该终端是已认证终端且是漫游终端时,可以通知已接入该漫游终端的第二接口删除其本地保存的该终端对应的用户表项。
步骤303、若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
当AAA服务器确认第二接口删除该终端对应的用户表项时,可以针对第一接口发送的认证请求报文反馈认证通过报文。当第一接口收到AAA服务器发送的认证通过报文时,可以确定该终端是已认证的终端,因此允许该终端接入,并在本地记录该终端对应的用户表项。
作为一个实施例,当本BRAS设备接收到AAA服务器向本BRAS设备的第三接口发送的携带终端信息的通知下线消息时,可以认为终端从本BRAS设备上的第三接口漫游到其他接口,因此可则删除自身第三接口保存的该终端信息对应的用户表项,以使该终端可以在漫游后的其他接口接入。第三接口确定删除该终端对应的用户表项后,可以反馈下线确认消息至AAA服务器,以使AAA服务器在收到下线确认消息时,确认第三接口已删除该终端对应的用户表项。从而可以使终端在漫游后的接口访问网络。
由此可见,本发明可以使BRAS设备的第一接口未查找终端对应的用户表项时,发送携带终端的终端信息的认证请求报文给AAA服务器,AAA服务器确定该终端为已认证终端且是漫游终端时,通知已接入该漫游终端的第二接口删除该终端对应的用户表项,并当确认删除完成时,向第一接口发送认证通过报文,以使第一接口允许该终端接入,并在第一接口上记录该终端对应的用户表项。因此本发明通过AAA服务器记录已认证终端的终端信息,以使终端漫游到新位置时可以发送终端信息给AAA服务器来确认终端的认证身份,从而允许终端在新位置接入网络,避免用户终端漫游后再次进行接入认证,提升了用户体验。
为使本发明的目的、技术方案及优点更加清楚明白,下面以跨BRAS漫游为例,结合图4对本发明的方案作进一步地详细说明。
请参见图4,是本发明实施例中的漫游交互流程图,其中包括:
漫游前的交互流程为:
(1)当认证客户端向BRAS-1的接口请求接入网络时,可以发送HTTP请求给BRAS-1;
(2)由于BRAS-1的接口上没有该认证客户端的用户表项,因此将该HTTP请求重定向到Web服务器的认证页面;
(3)BRAS-1访问Web服务器的认证页面;
(4)BRAS-1将Web服务器的认证页面对应的URL推送给认证客户端;
(5)认证客户端收到认证页面的URL时可以根据该URL向portal服务器请求Web认证;
(6)portal服务器反馈给认证客户端Web认证页面内容;
(7)认证客户端根据Web认证页面内容输入Web认证的用户名和密码发送给portal服务器;
(8)Portal服务器收到用户名和密码后进行web认证,将web认证信息发送给BRAS-1;
(9)BRAS-1发送认证客户端的接入认证请求给AAA服务器,其中该接入认证请求包括Web认证的用户名和密码、终端信息(例如终端的IP地址、MAC地址以及接入位置信息);
(10)AAA服务器根据接人认证请求确定该认证客户端认证通过时,向BRAS-1发送认证应答;
(11)BRAS-1收到认证应答后,更新其接口本地记录的认证客户端的用户表项,其中包括终端信息和Web认证的用户名和密码,并下发权限给该认证客户端允许其访问网络;
(12)认证客户端开始访问网络时,BRAS-1的接口发送开始计费消息给AAA服务器,该开始计费消息包括认证客户端的终端信息,以使AAA服务器对该认证客户端开始计费。
当认证客户端从BRAS-1的接口漫游到BRAS-2的接口时,漫游后的交互流程为:
(1’)认证客户端从BRAS-2的接口上线后发送(IP、ARP)报文到BRAS-2;
(2’)BRAS-2的接口收到认证客户端发送的报文后,提取报文的终端信息(例如终端的IP地址、MAC地址以及接入位置信息);
(3’)由于该认证客户端首次接入BRAS-2的接口,因此BRAS-2的接口上没有该认证客户端的用户表项,所以可以BRAS-2发送用户认证请求给AAA服务器,该用户认证请求中携带该认证客户端的终端信息;
(4’)AAA服务器收到BRAS-2发送的用户认证请求后,查询本地是否存在该终端信息对应的终端信息,由于该认证客户端之前在BRAS-1的接口上已经完成接入认证,因此AAA服务器可以查找到该认证客户端对应的终端信息,从而确定该认证客户端已经认证通过;
(5’)由于该认证客户端已经在BRAS-的接口上线,而AAA服务器发现BRAS-1的接口还保存着该认证客户端的用户表项,并对该认证客户端进行计费,因此AAA服务器发送DM请求消息给BRAS-1的接口;
(6’)BRAS-1的接口收到DM请求消息时,将该接口上认证客户端对应的用户表项删除,删除与该认证客户端的会话,并且停止计费;
(7’)BRAS-1的接口回复AAA服务器DM确认消息;
(8’)AAA服务器收到DM确认消息时可以将本地的认证客户端的接入位置由BRAS-1的接口改为BRAS-2的接口;
(9’)AAA服务器发送认证应答报文给BRAS-2的接口;
(10’)BRAS-2收到认证应答报文后,确定该认证客户端已经认证,因此可以在接口上记录该认证客户端的用户表项,为该认证客户端下发权限,允许其访问网络;
(11’)认证客户端开始访问网络时,BRAS-2的接口发送开始计费消息给AAA服务器,该开始计费消息包括认证客户端的终端信息,以使AAA服务器对该认证客户端开始计费。
因此,本发明可以实现用户在不同BRAS设备间漫游时,不需要用户重新输入用户名和密码,即可实现用户无感知漫游,提升了用户上网体验。
基于相同的构思,本发明还提供一种接入认证的装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的接入认证的装置作为一个逻辑意义上的装置,是通过其所在装置的CPU将存储器中对应的计算机程序指令读取后运行而成。
请参考图5,是本发明一种示例性实施方式中的一种接入认证的装置500,所述装置应用于AAA服务器,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置500包括:
获取单元501,用于获取BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
通知单元502,用于当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
发送单元503,用于当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
作为一个实施例,所述装置还包括:
确定单元504,用于根据所述终端信息在本地查找是否存在所述终端对应的认证用户信息;若查找到所述认证用户信息,则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同;若相同,则丢弃所述认证请求报文;若不同,则确定所述终端为已认证终端且是漫游终端。
作为一个实施例,所述通知单元502,具体用于当所述终端信息中的接入位置信息指示所述终端在本BRAS设备上不同接口漫游时,通知本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项;或者,当所述终端信息中的接入位置信息指示所述终端在非本BRAS设备上漫游时,通知在非本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项。
作为一个实施例,所述通知单元502,具体用于向所述第二接口发送携带所述终端信息的通知下线消息,以使所述第二接口收到所述通知下线消息时,删除自身保存的所述终端信息对应的用户表项之后反馈下线确认消息至AAA服务器;
所述发送单元503,具体用于若收到第二接口发送的所述下线确认消息,则确认所述第二接口删除所述终端对应的用户表项。
请参考图6,是本发明一种示例性实施方式中的一种接入认证的装置600,所述装置应用于BRAS设备,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置600包括:
获取单元601,用于若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
发送单元602,用于向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
记录单元603,用于若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
作为一个实施例,所述装置还包括:
删除单元604,用于若接收到所述AAA服务器向本BRAS设备的第三接口发送的携带所述终端信息的通知下线消息时,则删除自身第三接口保存的所述终端信息对应的用户表项;反馈下线确认消息至所述AAA服务器,以使所述AAA服务器在收到所述下线确认消息时,确认所述第三接口删除所述终端对应的用户表项。
基于相同的构思,本发明还提供一种网络设备,如图7所示,所述网络设备包括存储器71、处理器72、通信接口73以及通信总线74;其中,所述存储器71、处理器72、通信接口73通过所述通信总线74进行相互间的通信;
所述存储器71,用于存放计算机程序;
所述处理器72,用于执行所述存储器71上所存放的计算机程序,所述处理器72执行所述计算机程序时实现本发明实施例提供的接入认证方法的任一步骤。
本发明还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例提供的接入认证方法的任一步骤。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于网络设备和计算机可读存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
综上所述,本发明可以使BRAS设备的第一接口未查找终端对应的用户表项时,发送携带终端的终端信息的认证请求报文给AAA服务器,AAA服务器确定该终端为已认证终端且是漫游终端时,通知已接入该漫游终端的第二接口删除该终端对应的用户表项,并当确认删除完成时,向第一接口发送认证通过报文,以使第一接口允许该终端接入,并在第一接口上记录该终端对应的用户表项。因此本发明通过AAA服务器记录已认证终端的终端信息,以使终端漫游到新位置时可以发送终端信息给AAA服务器来确认终端的认证身份,从而允许终端在新位置接入网络,避免用户终端漫游后再次进行接入认证,提升了用户体验。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种接入认证的方法,其特征在于,所述方法应用于认证授权计费AAA服务器,所述方法包括:
获取宽带接入服务器BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
2.根据权利要求1所述的方法,其特征在于,所述根据所述终端信息确定所述终端为已认证终端且是漫游终端,具体包括:
根据所述终端信息在本地查找是否存在所述终端对应的认证用户信息;
若查找到所述认证用户信息,则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同;
若相同,则丢弃所述认证请求报文;
若不同,则确定所述终端为已认证终端且是漫游终端。
3.根据权利要求2所述的方法,其特征在于,所述通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项,具体包括:
当所述终端信息中的接入位置信息指示所述终端在本BRAS设备上不同接口漫游时,通知本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项;或者,
当所述终端信息中的接入位置信息指示所述终端在非本BRAS设备上漫游时,通知在非本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项。
4.根据权利要求1所述的方法,其特征在于,所述通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项,具体包括:
向所述第二接口发送携带所述终端信息的通知下线消息,以使所述第二接口收到所述通知下线消息时,删除自身保存的所述终端信息对应的用户表项之后反馈下线确认消息至AAA服务器;
所述确认第二接口删除所述终端对应的用户表项,具体包括:
若收到第二接口发送的所述下线确认消息,则确认所述第二接口删除所述终端对应的用户表项。
5.一种接入认证的方法,其特征在于,所述方法应用于BRAS设备,所述方法包括:
若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若接收到所述AAA服务器向本BRAS设备的第三接口发送的携带所述终端信息的通知下线消息时,则删除自身第三接口保存的所述终端信息对应的用户表项;
反馈下线确认消息至所述AAA服务器,以使所述AAA服务器在收到所述下线确认消息时,确认所述第三接口删除所述终端对应的用户表项。
7.一种接入认证的装置,其特征在于,所述装置应用于AAA服务器,所述装置包括:
获取单元,用于获取BRAS设备的第一接口在未查到终端所对应的用户表项时发送的认证请求报文,所述认证请求报文携带所述终端的终端信息;
通知单元,用于当根据所述终端信息确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
发送单元,用于当确认第二接口删除所述终端对应的用户表项时,向所述第一接口发送认证通过报文,以使所述第一接口允许所述终端接入,并在所述第一接口上记录所述终端对应的用户表项。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
确定单元,用于根据所述终端信息在本地查找是否存在所述终端对应的认证用户信息;若查找到所述认证用户信息,则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同;若相同,则丢弃所述认证请求报文;若不同,则确定所述终端为已认证终端且是漫游终端。
9.根据权利要求8所述的装置,其特征在于,
所述通知单元,具体用于当所述终端信息中的接入位置信息指示所述终端在本BRAS设备上不同接口漫游时,通知本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项;或者,当所述终端信息中的接入位置信息指示所述终端在非本BRAS设备上漫游时,通知在非本BRAS设备上的已接入所述漫游终端的第二接口删除所述终端对应的用户表项。
10.根据权利要求7所述的装置,其特征在于,
所述通知单元,具体用于向所述第二接口发送携带所述终端信息的通知下线消息,以使所述第二接口收到所述通知下线消息时,删除自身保存的所述终端信息对应的用户表项之后反馈下线确认消息至AAA服务器;
所述发送单元,具体用于若收到第二接口发送的所述下线确认消息,则确认所述第二接口删除所述终端对应的用户表项。
11.一种接入认证的装置,其特征在于,所述装置应用于BRAS设备,所述装置包括:
获取单元,用于若在第一接口未查找到终端对应的用户表项,则获取所述终端的终端信息;
发送单元,用于向AAA服务器发送携带所述终端信息的认证请求报文,以使AAA服务器根据所述终端信息在确定所述终端为已认证终端且是漫游终端时,通知已接入所述漫游终端的第二接口删除所述终端对应的用户表项;
记录单元,用于若接收到所述AAA服务器在确认所述第二接口删除所述终端对应的用户表项时发送的认证通过报文,则允许所述终端接入所述第一接口,并在所述第一接口上记录所述终端对应的用户表项。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
删除单元,用于若接收到所述AAA服务器向本BRAS设备的第三接口发送的携带所述终端信息的通知下线消息时,则删除自身第三接口保存的所述终端信息对应的用户表项;反馈下线确认消息至所述AAA服务器,以使所述AAA服务器在收到所述下线确认消息时,确认所述第三接口删除所述终端对应的用户表项。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811109298.4A CN109067788B (zh) | 2018-09-21 | 2018-09-21 | 一种接入认证的方法及装置 |
| JP2021512270A JP7135206B2 (ja) | 2018-09-21 | 2019-09-19 | アクセス認証 |
| EP19863952.8A EP3855695B1 (en) | 2018-09-21 | 2019-09-19 | Access authentication |
| US17/276,387 US11743258B2 (en) | 2018-09-21 | 2019-09-19 | Access authenticating |
| PCT/CN2019/106605 WO2020057585A1 (zh) | 2018-09-21 | 2019-09-19 | 接入认证 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811109298.4A CN109067788B (zh) | 2018-09-21 | 2018-09-21 | 一种接入认证的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109067788A true CN109067788A (zh) | 2018-12-21 |
| CN109067788B CN109067788B (zh) | 2020-06-09 |
Family
ID=64763556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811109298.4A Active CN109067788B (zh) | 2018-09-21 | 2018-09-21 | 一种接入认证的方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11743258B2 (zh) |
| EP (1) | EP3855695B1 (zh) |
| JP (1) | JP7135206B2 (zh) |
| CN (1) | CN109067788B (zh) |
| WO (1) | WO2020057585A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861892A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端漫游方法及装置 |
| WO2020057585A1 (zh) * | 2018-09-21 | 2020-03-26 | 新华三技术有限公司 | 接入认证 |
| CN113824696A (zh) * | 2021-08-27 | 2021-12-21 | 杭州迪普科技股份有限公司 | portal认证方法及装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1662092A (zh) * | 2004-02-27 | 2005-08-31 | 北京三星通信技术研究有限公司 | 高速分组数据网中接入认证方法以及装置 |
| US20080301790A1 (en) * | 2003-02-26 | 2008-12-04 | Halasz David E | Fast re-authentication with dynamic credentials |
| CN101765114A (zh) * | 2010-01-18 | 2010-06-30 | 杭州华三通信技术有限公司 | 一种控制无线用户接入的方法、系统及设备 |
| CN102075904A (zh) * | 2010-12-24 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| CN102369750A (zh) * | 2009-03-31 | 2012-03-07 | 法国电信公司 | 用于管理用户的认证的方法和装置 |
| US20120289198A1 (en) * | 2004-10-22 | 2012-11-15 | Broadcom Corporation | Authentication in a Roaming Environment |
| CN104038917A (zh) * | 2014-06-27 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 终端漫游认证的方法及装置 |
| CN105101152A (zh) * | 2014-05-15 | 2015-11-25 | 华为技术有限公司 | 无线终端在无线控制器之间的漫游方法及相关装置 |
| CN105744579A (zh) * | 2014-12-11 | 2016-07-06 | 华为技术有限公司 | 终端在ap间切换的方法、切换控制装置及接入装置 |
| CN107820246A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 用户认证的方法、装置和系统 |
| CN107995070A (zh) * | 2017-11-21 | 2018-05-04 | 新华三技术有限公司 | 基于ipoe的连网控制方法、装置和bras |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1277368C (zh) * | 2004-01-21 | 2006-09-27 | 华为技术有限公司 | 无线局域网用户终端重新选择运营网络的交互方法 |
| CN103634776B (zh) | 2012-08-24 | 2019-01-04 | 中兴通讯股份有限公司 | 一种获取终端的接入标识的方法及身份信息服务器 |
| EP2768180A1 (en) | 2013-02-14 | 2014-08-20 | Telefonica S.A. | Method and system for fixed broadband access zero touch, self-provisioning, auto-configuration and auto-activation |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US9894520B2 (en) * | 2014-09-24 | 2018-02-13 | Fortinet, Inc. | Cache-based wireless client authentication |
| US10257162B2 (en) | 2015-02-16 | 2019-04-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for providing “anywhere access” for fixed broadband subscribers |
| CN106230668B (zh) | 2016-07-14 | 2020-01-03 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN108429773B (zh) | 2018-06-20 | 2020-11-10 | 中国联合网络通信集团有限公司 | 认证方法及认证系统 |
| CN109067788B (zh) | 2018-09-21 | 2020-06-09 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
-
2018
- 2018-09-21 CN CN201811109298.4A patent/CN109067788B/zh active Active
-
2019
- 2019-09-19 JP JP2021512270A patent/JP7135206B2/ja active Active
- 2019-09-19 US US17/276,387 patent/US11743258B2/en active Active
- 2019-09-19 EP EP19863952.8A patent/EP3855695B1/en active Active
- 2019-09-19 WO PCT/CN2019/106605 patent/WO2020057585A1/zh unknown
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080301790A1 (en) * | 2003-02-26 | 2008-12-04 | Halasz David E | Fast re-authentication with dynamic credentials |
| CN1662092A (zh) * | 2004-02-27 | 2005-08-31 | 北京三星通信技术研究有限公司 | 高速分组数据网中接入认证方法以及装置 |
| US20120289198A1 (en) * | 2004-10-22 | 2012-11-15 | Broadcom Corporation | Authentication in a Roaming Environment |
| CN102369750A (zh) * | 2009-03-31 | 2012-03-07 | 法国电信公司 | 用于管理用户的认证的方法和装置 |
| US9113332B2 (en) * | 2009-03-31 | 2015-08-18 | France Telecom | Method and device for managing authentication of a user |
| CN101765114A (zh) * | 2010-01-18 | 2010-06-30 | 杭州华三通信技术有限公司 | 一种控制无线用户接入的方法、系统及设备 |
| CN102075904A (zh) * | 2010-12-24 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| CN105101152A (zh) * | 2014-05-15 | 2015-11-25 | 华为技术有限公司 | 无线终端在无线控制器之间的漫游方法及相关装置 |
| CN104038917A (zh) * | 2014-06-27 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 终端漫游认证的方法及装置 |
| CN105744579A (zh) * | 2014-12-11 | 2016-07-06 | 华为技术有限公司 | 终端在ap间切换的方法、切换控制装置及接入装置 |
| CN107820246A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 用户认证的方法、装置和系统 |
| CN107995070A (zh) * | 2017-11-21 | 2018-05-04 | 新华三技术有限公司 | 基于ipoe的连网控制方法、装置和bras |
Non-Patent Citations (1)
| Title |
|---|
| 蒋军: "WLAN与LTE网络融合部署研究", 《邮电设计技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020057585A1 (zh) * | 2018-09-21 | 2020-03-26 | 新华三技术有限公司 | 接入认证 |
| US11743258B2 (en) | 2018-09-21 | 2023-08-29 | New H3C Technologies Co., Ltd. | Access authenticating |
| CN109861892A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端漫游方法及装置 |
| CN113824696A (zh) * | 2021-08-27 | 2021-12-21 | 杭州迪普科技股份有限公司 | portal认证方法及装置 |
| CN113824696B (zh) * | 2021-08-27 | 2023-12-05 | 杭州迪普科技股份有限公司 | portal认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3855695B1 (en) | 2024-01-17 |
| US20210409407A1 (en) | 2021-12-30 |
| WO2020057585A1 (zh) | 2020-03-26 |
| US11743258B2 (en) | 2023-08-29 |
| JP2022501879A (ja) | 2022-01-06 |
| EP3855695A1 (en) | 2021-07-28 |
| EP3855695A4 (en) | 2021-09-29 |
| JP7135206B2 (ja) | 2022-09-12 |
| CN109067788B (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103369531B (zh) | 一种基于终端信息进行权限控制的方法及装置 | |
| CN105007581B (zh) | 一种上网认证方法及客户端 | |
| JP5333263B2 (ja) | アクセス制御システム及びアクセス制御方法 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| WO2013159576A1 (zh) | 接入无线网络的方法、终端、wi-fi接入网节点和鉴权服务器 | |
| CN107517189B (zh) | 一种wlan用户接入认证及配置信息下发的方法、设备 | |
| EP2512087B1 (en) | Method and system for accessing network through public device | |
| CN106131066B (zh) | 一种认证方法及装置 | |
| CN109067788A (zh) | 一种接入认证的方法及装置 | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN105939519A (zh) | 一种认证方法及装置 | |
| CN109769249A (zh) | 一种认证方法、系统及其装置 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| CN105635148B (zh) | 一种Portal认证方法及装置 | |
| KR101506594B1 (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
| KR102359070B1 (ko) | 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 | |
| CN108123955A (zh) | 安全表项的管理方法、装置、设备及机器可读存储介质 | |
| CN104168564A (zh) | 基于gprs网络和一体化标识网络的认证方法和装置 | |
| CN106789843B (zh) | 用于共享上网的方法、portal服务器和系统 | |
| CN109474626A (zh) | 一种基于sns的网络认证方法及装置 | |
| CN105991576B (zh) | 一种安全策略的下发方法和设备 | |
| CN107046568A (zh) | 一种认证方法和装置 | |
| CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
| KR20110068058A (ko) | Usi 시스템의 사용자 인증 세션 정보를 이용한 idp 웹 서비스 sso 방법 및 그 시스템 | |
| CN111225376A (zh) | 认证方法、系统、无线接入点ap和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |