CN109391597A - 认证方法、认证系统以及通信系统 - Google Patents
认证方法、认证系统以及通信系统 Download PDFInfo
- Publication number
- CN109391597A CN109391597A CN201710677866.XA CN201710677866A CN109391597A CN 109391597 A CN109391597 A CN 109391597A CN 201710677866 A CN201710677866 A CN 201710677866A CN 109391597 A CN109391597 A CN 109391597A
- Authority
- CN
- China
- Prior art keywords
- terminal
- vbras
- message
- information
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种认证方法、认证系统以及通信系统,涉及通信技术领域。本发明的方案适用于网络重构的控制面与转发面分离的DHCP认证接入的业务场景,通过vBRAS‑C与AAA服务器直接进行交互,由AAA服务器对用户的认证信息进行解密,认证,在保证认证的安全性的同时,取代了传统的DHCP服务器,降低了系统的整体故障风险。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种认证方法、认证系统以及通信系统。
背景技术
网络重构的主要技术特征是网络架构的变革,即从垂直封闭架构转向水平开放架构,体现在网络控制与转发分离、网元软硬件的解耦和虚拟化、网络的云化等多个方面,代表性技术有SDN(Software Defined Network,软件定义网络)、NFV(Network FunctionVirtualization,网络功能虚拟化)和云计算。
网络重构目前已成为一个趋势和共识,建设综合的多业务接入边缘,实现多业务的融合,是未来城域网、接入网改造的一个重点。作为接入边缘的核心:BRAS(BroadbandRemote Access Server宽带远程接入服务器),是综合多业务接入边缘改造的一个重点。BRAS进行综合多业务接入边缘改造的方案之一就是实现BRAS的虚拟化(vBRAS)。
利用vBRAS实现网络控制与转发的分离是目前研究运营商、通讯设备厂商的热点之一。将vBRAS分为控制面设备(vBRAS-C)与转发面设备(vBRAS-U),网络重构后,用户的认证、计费等业务如何实现,目前仍没有具体的实施方案。
目前没有进行网络重构的情况下较为常用的接入认证方案为非会话(Session)级IPoE(IP over Ethernet,以太网上的网际协议)的接入。如图1所示,终端上线认证的流程中,MSE(多业务边缘路由器,一般为BRAS)只需要具备报文透传转发能力即可,报文到达MSE设备后透传转发给DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器,然后由DHCP服务器完成与AAA的交互认证流程。
发明内容
发明人发现,现有技术中的认证流程中的报文都需要由MSE透传给DHCP服务器再发送至AAA服务器,MSE无法与AAA直接交互,无法实现对用户流量的控制,不适用于网络重构场景中对用户精准控制的需求。并且从运维角度,在MSE和AAA之间的DHCP服务器成为一个影响全局的故障风险点,一旦故障则整个系统无法运行。
本发明所要解决的一个技术问题是:提出一种适用于控制与转发分离的网络架构的认证方法。
根据本发明的一个实施例,提供的一种认证方法,包括:虚拟宽带接入服务器控制面vBRAS-C接收虚拟宽带接入服务器转发面vBRAS-U转发的终端的动态主机配置协议DHCP发现报文;vBRAS-C根据DHCP发现报文向验证、授权、计费AAA服务器发送接入请求报文,DHCP发现报文和接入请求报文中携带终端的加密的认证信息,认证信息包括用户名信息和密码;AAA服务器对加密的认证信息进行解密,根据认证信息对终端进行认证;AAA服务器将认证结果返回至vBRAS-C。
在一个实施例中,该方法还包括:AAA服务器在终端认证通过的情况下,建立终端的会话相关信息,并将会话相关信息与认证结果共同发送至vBRAS-C;vBRAS-C根据会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U,以便对应的vBRAS-U根据用户流表对终端的业务流进行转发。
在一个实施例中,DHCP发现报文中还携带终端的媒体访问控制MAC地址;终端的会话相关信息包括终端的用户名信息和会话标识;vBRAS-C根据会话相关信息以及认证结果建立用户流表包括:vBRAS-C在终端认证通过的情况下,为终端分配IP地址;vBRAS-C利用终端的用户名信息、会话标识、MAC地址和IP地址建立用户流表。
在一个实施例中,DHCP发现报文和接入请求报文中还携带终端的线路信息,用户信息包括账号和域名;AAA服务器根据认证信息对终端进行认证包括:AAA服务器查询账号对应的已存储密码和线路信息,若已存储的密码和线路信息与接入请求报文中的密码和线路信息一致,则确定终端认证通过。
在一个实施例中,该方法还包括:vBRAS-C接收vBRAS-U转发的终端的DHCP请求报文;vBRAS-C根据DHCP请求报文确认为终端分配的IP地址,并向AAA服务器发送计费请求开始报文,计费请求开始报文中携带终端的用户名信息;AAA服务器根据计费请求开始报文开始对终端的计费。
在一个实施例中,该方法还包括:vBRAS-C接收vBRAS-U转发的终端的DHCP释放报文;vBRAS-C根据DHCP释放请求释放终端的IP地址,并向AAA服务器发送计费请求结束报文,计费请求结束报文中携带终端的用户名信息;AAA服务器根据计费请求结束报文结束对终端的计费。
在一个实施例中,DHCP发现报文中的选项60字段携带加密的认证信息,选项82字段携带终端的线路信息。
根据本发明的另一个实施例,提供的一种认证系统,包括:虚拟宽带接入服务器控制面vBRAS-C以及验证、授权、计费AAA服务器;vBRAS-C用于接收虚拟宽带接入服务器转发面vBRAS-U转发的终端的动态主机配置协议DHCP发现报文,根据DHCP发现报文向AAA服务器发送接入请求报文,DHCP发现报文和接入请求报文中携带终端的加密的认证信息,认证信息包括用户名信息和密码;AAA服务器用于对加密的认证信息进行解密,根据认证信息对终端进行认证,将认证结果返回至vBRAS-C。
在一个实施例中,AAA服务器还用于在终端认证通过的情况下,建立终端的会话相关信息,并将会话相关信息与认证结果共同发送至vBRAS-C;vBRAS-C还用于根据会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U,以便对应的vBRAS-U根据用户流表对终端的业务流进行转发。
在一个实施例中,DHCP发现报文中还携带终端的媒体访问控制MAC地址;终端的会话相关信息包括终端的用户名信息和会话标识;vBRAS-C用于在终端认证通过的情况下,为终端分配IP地址,利用终端的用户名信息、会话标识、MAC地址和IP地址建立用户流表。
在一个实施例中,DHCP发现报文和接入请求报文中还携带终端的线路信息,用户信息包括账号和域名;AAA服务器用于查询账号对应的已存储密码和线路信息,若已存储的密码和线路信息与接入请求报文中的密码和线路信息一致,则确定终端认证通过。
在一个实施例中,vBRAS-C还用于接收vBRAS-U转发的终端的DHCP请求报文根据DHCP请求报文确认为终端分配的IP地址,并向AAA服务器发送计费请求开始报文,计费请求开始报文中携带终端的用户名信息;AAA服务器还用于根据计费请求开始报文开始对终端的计费。
在一个实施例中,vBRAS-C还用于接收vBRAS-U转发的终端的DHCP释放报文,根据DHCP释放请求释放终端的IP地址,并向AAA服务器发送计费请求结束报文,计费请求结束报文中携带终端的用户名信息;AAA服务器还用于根据计费请求结束报文结束对终端的计费。
在一个实施例中,DHCP发现报文中的选项60字段携带加密的认证信息,选项82字段携带终端的线路信息。
根据本发明的又一个实施例,提供的一种通信系统,包括:前述任一个实施例的认证系统;以及虚拟宽带接入服务器转发面vBRAS-U;vBRAS-U用于接收终端发送的动态主机配置协议DHCP发现报文并转发至虚拟宽带接入服务器控制面vBRAS-C,DHCP发现报文携带终端的加密的认证信息,认证信息包括用户名信息和密码。
在一个实施例中,vBRAS-U还用于接收vBRAS-C下发的用户流表,根据用户流表对终端的业务流进行转发;或者,vBRAS-U还用于接收终端的DHCP请求报文并转发至vBRAS-C,接收vBRAS-C返回的DHCP响应报文转发至终端,DHCP响应报文携带对终端分配的IP地址的确认以及计费开始的通知消息;或者,vBRAS-U还用于接收终端的DHCP释放报文并转发至vBRAS-C。
本发明的方案适用于网络重构的控制面与转发面分离的DHCP接入认证的业务场景,通过vBRAS-C与AAA服务器直接进行交互,由AAA服务器对用户的认证信息进行解密,认证,在保证认证的安全性的同时,取代了传统的DHCP服务器,降低了系统的整体故障风险。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出现有技术的认证方法的流程示意图。
图2示出本发明的一个实施例的通信系统的结构示意图。
图3示出本发明的一个实施例的认证方法的流程示意图。
图4示出本发明的另一个实施例的认证方法的流程示意图。
图5示出本发明的又一个实施例的认证方法的流程示意图。
图6示出本发明的一个实施例的认证系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对控制与转发分离的新的网络架构,提出一种认证方法,下面结合图2描述本发明的通信系统的网络架构。
图2为本发明通信系统一个实施例的结构图。如图2所示,通信系统20包括:认证系统300以及vBRAS-U202。认证系统300包括:vBRAS-C302以及AAA服务器304。
vBRAS-C302作为控制面主要负责终端的认证接入流程,可以采用通用服务器实现虚拟化,可以与AAA服务器304直接进行交互。AAA服务器304负责对终端进行认证和计费等。后续实施例中将对认证系统300进行具体描述。
vBRAS-U202作为转发面主要负责终端的业务数据流的转发以及将控制信令等转发至vBRAS-C302,可以采用传统的MSE设备等实现。
在一个实施例中,vBRAS-U202用于接收vBRAS-C302下发的用户流表,根据用户流表对终端的业务流进行转发。
在一个实施例中,vBRAS-U202用于接收终端发送的DHCP发现报文并转发至vBRAS-C302,DHCP发现报文携带终端的加密的认证信息,认证信息包括用户名信息和密码。
在一个实施例中,vBRAS-U202还用于接收终端的DHCP请求报文并转发至vBRAS-C302,接收vBRAS-C302返回的DHCP响应报文转发至终端,DHCP响应报文携带对终端分配的IP地址的确认以及计费开始的通知消息。
在一个实施例中,vBRAS-U202还用于接收终端的DHCP释放报文并转发至vBRAS-C302。
图2中,CR为核心路由器,OLT为光线路终端,属于现有技术中的设备实体,在此不再赘述。
本发明还提供一种认证方法,下面结合图2和图3进行描述。
图3为本发明认证方法一个实施例的流程图。如图3所示,该实施例的方法包括:
步骤S302,vBRAS-C302接收vBRAS-U202转发的终端的DHCP发现报文。
终端上电后发起DHCP发现报文,经过vBRAS-U202转发至vBRAS-C302。DHCP发现报文中携带终端的加密的认证信息,认证信息包括用户名信息和密码,用户名信息包括账号和域名,账号为系统为终端分配的唯一标识,域名可以用于表示终端的业务类型,后续AAA服务器进行计费等服务时可以根据域名对不同的业务类型进行不同的计费等操作。加密的认证信息可以通过DHCP发现报文中的选项(Option)60携带。DHCP发现报文中还可以携带终端的线路信息,例如,终端路由经过的各设备的端口号。线路信息可以通过选项(Option)82携带。
采用用户名信息加密码的认证方式,相对于利用MAC地址的认证方式,能够解决未来MAC地址冲突导致认证风险较大的问题,提高认证的安全性。
步骤S304,vBRAS-C302根据DHCP发现报文向AAA服务器304发送接入请求报文。
接入请求报文中携带终端的加密的认证信息。vBRAS-C302获取终端的DHCP发现报文可以对该报文进行解析,触发认证流程,截取发现(Discovery)报文中的相关信息上报AAA服务器304,将nas-port-id(非接入层端口标识)属性设置为端口号+Option82字段的形式,username(用户名)属性以终端mac@Option60字段的形式,加入接入请求(Access-Request)报文上报到AAA服务器。
步骤S306,AAA服务器304对加密的认证信息进行解密,根据认证信息对终端进行认证。
AAA服务器304可以根据终端的账号和密码对终端进行认证,进一步可以结合终端的线路信息对终端进行认证,后者可以提高认证的安全性。
具体的,AAA服务器304查询账号对应的已存储密码和线路信息,若已存储的密码和线路信息与接入请求报文中的密码和线路信息一致,则确定终端认证通过。
vBRAS-C一般为各厂商的设备,利用其对用户信息进行解密存在安全隐患,如果采用DHCP服务器进行解密,DHCP服务器需要较强的计算能力,并且会成为全网的故障风险点。本实施例中采用AAA服务器对用户信息进行解密,既安全又能降低全网的故障风险。
步骤S308,AAA服务器304将认证结果返回vBRAS-C302。
vBRAS-C302根据认证结果确定是否为终端分配IP地址。
在一个实施例中,该方法还可以包括:
步骤S309,AAA服务器304在终端认证通过的情况下,建立终端的会话相关信息,并将会话相关信息发送至vBRAS-C302。
在认证通过的情况下,AAA服务器304会对终端建立会话(Session)用的相关属性,包括:vBRAS-C设备地址、用户名信息和密码、线路信息以及会话标识(Session ID)等。AAA服务器304会将会话相关信息连同认证结果一起发送至vBRAS-C302,会话相关信息包括终端的用户名信息和会话标识。以便vBRAS-C302为终端分配IP地址以及建立用户流表等。
由vBRAS-C直接与AAA服务器进行交互,并建立会话级属性,实现了终端会话级接入。相对于现有技术中MSE透传终端信息的非会话级接入流程,vBRAS-C和AAA服务器可以对终端的流量进行精准的控制,适用于控制面与转发面的分离的新的网络架构。
上述实施例的方案适用于网络重构的控制面与转发面分离的业务场景,通过vBRAS-C与AAA服务器直接进行交互,由AAA服务器对用户的认证信息进行解密,认证,在保证认证的安全性的同时,取代了传统的DHCP服务器,降低了系统的整体故障风险。
本发明的方案可以实现会话级IPoE的认证,具体体现在,vBRAS-C直接向AAA服务器转发终端的认证信息,AAA服务器对用户信息解密认证后建立会话相关属性,并将会话相关信息发送至vBRAS-C,至此,vBRAS-C和AAA服务器能够对终端进行精准识别,向终端下发相应的控制指令。对终端的流量进行控制。
具体的,vBRAS-C根据会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U,对应的vBRAS-U根据用户流表对终端的业务流进行转发。vBRAS-C可以根据Option82中的线路信息或vxlanID别终端对应的vBRAS-U,一个终端可以通过多个vBRAS-U发起DHCP发现请求,vBRAS-C可以根据预设规则选取vBRAS-U下发用户流表,例如选取最早接收到的DHCP发现请求对应的vBRAS-U。
进一步,vBRAS-C在终端认证通过的情况下,为终端分配IP地址,利用终端的用户名信息、会话标识、MAC地址和IP地址建立用户流表。
在终端认证通过后,还需要对终端分配IP地址、进行计费等,完成终端上线的过程,进一步,终端的下线过程对于控制面和转发面分离的网络架构也与现有技术中不同。下面结合图4进行描述终端认证之后的上线和下线过程。
图4为本发明认证方法另一个实施例的流程图。如图4所示,在步骤S308和S309之后还可以包括:
步骤S410,vBRAS-C302响应于终端认证通过,为终端分配IP地址,并通过DHCP提供(Offer)报文将分配的IP地址通过vBRAS-U202返回至终端。
vBRAS-C302中可以设置DHCP服务模块为终端分配IP地址,通过DHCP Offer报文返回至终端。
步骤S412,vBRAS-C302接收vBRAS-U202转发的终端的DHCP请求报文。
终端接收到DHCP Offer报文后发现其中的IP地址,则进一步发起DHCP请求报文,请求分配该IP地址。
步骤S414,vBRAS-C302根据DHCP请求报文确认为终端分配的IP地址,并向AAA服务器304发送计费请求开始报文。
计费请求开始报文中携带终端的用户名信息。可以通过DHCP服务模块确认为终端分配的IP地址。
步骤S416,AAA服务器304根据计费请求开始报文开始对终端的计费,并向vBRAS-C302返回计费响应报文。
步骤S418,vBRAS-C302根据计费响应报文以及确认为终端分配的IP地址生产DHCP确认(Ack)报文,通过vBRAS-U202返回至终端。
终端接收到DHCP确认(Ack)报文即完成上线过程。至此,用户会话信息上线,vBRAS-C302可以通过Openflow技术向vBRAS-U202下发用户流表。
上述实施例中由vBRAS-C完成为终端分配IP地址以及与AAA服务器交互的过程,取代现有技术中的DHCP服务器,降低了全网的故障风险。
进一步,终端的下线过程如图4所示,该实施例的方法还可以包括:
步骤S420,vBRAS-C302接收vBRAS-U202转发的终端的DHCP释放报文。
步骤S422,vBRAS-C302根据DHCP释放请求释放终端的IP地址,并向AAA服务器304发送计费请求结束报文。
计费请求结束报文中携带终端的用户名信息。可以通过DHCP服务模块释放终端的IP地址。
步骤S424,AAA服务器304根据计费请求结束报文结束对终端的计费,并向vBRAS-C302返回计费响应结束报文。
上述实施例由vBRAS-C完成释放终端IP地址以及与AAA服务器交互的过程,取代现有技术中的DHCP服务器,降低了全网的故障风险。
下面结合图5描述本发明的认证方法的一个具体实施例。
图5为本发明认证方法又一个实施例的流程图。如图5所示,该实施例的方法包括:
步骤S502,终端上线后发起DHCP Discovery报文,通过Option 60携带加密的认证信息,Option82携带接入信息。
步骤S504,vBRAS-C接收到vBRAS-U转发的DHCP Discovery报文之后,触发AAA认证流程,截取Discovery报文中的相关信息上报AAA服务器,将nas-port-id属性设置为端口号+ption82字段的形式,username属性以终端mac@Option60字段的形式,加入Access-Request(接入请求)报文上报到AAA服务器。
vBRAS-U通过vxlan(虚似扩展局域网)向vBRAS-C转发终端的各种控制信令。
步骤S506,AAA服务器收到Access-Request报文,解析出Option60字段中的用户名信息和密码,结合Option82中的线路信息对终端的合法性进行认证。
步骤S508,AAA服务器返回给vBRAS-C认证结果,若认证通过,需要在Access-Accept(接入接受)报文中返回会话相关信息和认证结果,AAA服务器建立会话相关属性。
步骤S510,vBRAS-C收到认证通过的报文后,为终端分配IP地址,并插入Option125属性,通过vBRAS-U将DHCP Offer报文转发给终端。
Option125属性用于终端验证DHCP服务模块的合法性,属于现有技术,在此不再赘述。
步骤S512,终端获取IP地址并发送DHCP Request报文。
步骤S514,vBRAS-C接收到vBRAS-U转发的DHCP Request报文确认为终端分配IP地址,并发送Accounting-Request start(计费请求开始)报文给AAA服务器。
Accounting-Request start报文中携带用户名信息。
步骤S516,AAA服务器收到Accounting-Request start报文之后回复vBRAS-CAccounting-Response报文完成终端上线过程。
步骤S518,vBRAS-C通过vBRAS-U回复终端DHCP Ack报文。
步骤S520,终端下线时,发起DHCP Release(释放)报文。
步骤S522,vBRAS-C接收到vBRAS-U转发的DHCP Release报文,释放终端的IP地址,同时向AAA服务器上报Accounting-Requeststop报文。
步骤S524,AAA服务器回复Accounting-Response报文回复vBRAS-C完成终端下线。
上述实施例满足了网络重构控制面和转发面分离的必备条件,充分利用了vBRAS-C的高可靠、可扩展、高效率、高弹性的能力,实现终端的管理和接入协议的处理,符合网络演进的方向。基于AAA服务器的逆向认证,降低了DHCP服务器的故障风险点和维护成本,提高运维能力。可基于AAA和vBRAS-C的业务策略下发,实现用户的精准控制。
根据上述各实施例,vBRAS和AAA服务器需要进行以下改进:
vBRAS-C需要做以下改造:
(1)需要修改认证、计费报文的格式以满足AAA的格式要求
(2)补丁升级,具备Session级IPoE接入能力。
AAA服务器需要做以下改造:
(1)Access-Request(接入请求)报文中username属性支持解析为mac@Option60,Option60解析为账号@域名,根据域名识别终端的业务类型
(2)支持使用6号属性service-type区分PPPoE(基于以太网的点对点协议)和IPoE,其中PPPoE为2,IPoE值为5
(3)支持Access-Request(接入请求)报文中nas-port-id属性解析,以外层vlan208,内层vlan 2816为例,nas-port-id则为eth1/2/27:208.2816(空格)Option82。
(4)认证逻辑中校验绑定,支持剥离nas-port-id剥离设备端口信息,只校验Option82中线路信息。
本发明还提供一种认证系统,下面结合图6进行描述。
图6为本发明认证系统一个实施例的结构图。如图6所示,认证系统300包括:vBRAS-C302以及AAA服务器304。
vBRAS-C302用于接收vBRAS-U202转发的终端的动态主机配置协议DHCP发现报文,根据DHCP发现报文向AAA服务器304发送接入请求报文,DHCP发现报文和接入请求报文中携带终端的加密的认证信息,认证信息包括用户名信息和密码。
DHCP发现报文中的选项60字段携带加密的认证信息。
AAA服务器304用于对加密的认证信息进行解密,根据认证信息对终端进行认证,将认证结果返回至vBRAS-C302。
优选的,DHCP发现报文和接入请求报文中还携带终端的线路信息(可以通过选项82字段携带终端的线路信息),用户信息包括账号和域名;AAA服务器304用于查询账号对应的已存储密码和线路信息,若已存储的密码和线路信息与接入请求报文中的密码和线路信息一致,则确定终端认证通过。
在一个实施例中,AAA服务器304还用于在终端认证通过的情况下,建立终端的会话相关信息,并将会话相关信息与认证结果共同发送至vBRAS-C302。
vBRAS-C302还用于根据会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U202,以便对应的vBRAS-U202根据用户流表对终端的业务流进行转发。
在一个实施例中,DHCP发现报文中还携带终端的MAC地址,终端的会话相关信息包括终端的用户名信息和会话标识。
vBRAS-C302用于在终端认证通过的情况下,为终端分配IP地址,
利用终端的用户名信息、会话标识、MAC地址和IP地址建立用户流表。
认证系统300中各装置还用于完成终端的上线和下线过程,具体如下:
在一个实施例中,vBRAS-C302还用于接收vBRAS-U202转发的终端的DHCP请求报文根据DHCP请求报文确认为终端分配的IP地址,并向AAA服务器304发送计费请求开始报文,计费请求开始报文中携带终端的用户名信息。
AAA服务器304还用于根据计费请求开始报文开始对终端的计费。
在另一个实施例中,vBRAS-C302还用于接收vBRAS-U202转发的终端的DHCP释放报文,根据DHCP释放请求释放终端的IP地址,并向AAA服务器304发送计费请求结束报文,计费请求结束报文中携带终端的用户名信息。
AAA服务器304还用于根据计费请求结束报文结束对终端的计费。
本领域内的技术人员应当明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种认证方法,其特征在于,包括:
虚拟宽带接入服务器控制面vBRAS-C接收虚拟宽带接入服务器转发面vBRAS-U转发的终端的动态主机配置协议DHCP发现报文;
所述vBRAS-C根据所述DHCP发现报文向验证、授权、计费AAA服务器发送接入请求报文,所述DHCP发现报文和接入请求报文中携带所述终端的加密的认证信息,所述认证信息包括用户名信息和密码;
所述AAA服务器对所述加密的认证信息进行解密,根据所述认证信息对所述终端进行认证;
所述AAA服务器将认证结果返回至所述vBRAS-C。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述AAA服务器在所述终端认证通过的情况下,建立所述终端的会话相关信息,并将所述会话相关信息与认证结果共同发送至所述vBRAS-C;
所述vBRAS-C根据所述会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U,以便对应的vBRAS-U根据所述用户流表对所述终端的业务流进行转发。
3.根据权利要求2所述的方法,其特征在于,
所述DHCP发现报文中还携带所述终端的媒体访问控制MAC地址;
所述终端的会话相关信息包括所述终端的用户名信息和会话标识;
所述vBRAS-C根据所述会话相关信息以及认证结果建立用户流表包括:
所述vBRAS-C在所述终端认证通过的情况下,为所述终端分配IP地址;
所述vBRAS-C利用所述终端的用户名信息、会话标识、MAC地址和IP地址建立所述用户流表。
4.根据权利要求1所述的方法,其特征在于,
所述DHCP发现报文和接入请求报文中还携带所述终端的线路信息,所述用户信息包括账号和域名;
所述AAA服务器根据所述认证信息对所述终端进行认证包括:
所述AAA服务器查询所述账号对应的已存储密码和线路信息,若所述已存储的密码和线路信息与所述接入请求报文中的密码和线路信息一致,则确定所述终端认证通过。
5.根据权利要求1所述的方法,其特征在于,还包括:
所述vBRAS-C接收所述vBRAS-U转发的终端的DHCP请求报文;
所述vBRAS-C根据所述DHCP请求报文确认为所述终端分配的IP地址,并向所述AAA服务器发送计费请求开始报文,所述计费请求开始报文中携带所述终端的用户名信息;
所述AAA服务器根据所述计费请求开始报文开始对所述终端的计费。
6.根据权利要求1所述的方法,其特征在于,还包括:
所述vBRAS-C接收所述vBRAS-U转发的终端的DHCP释放报文;
所述vBRAS-C根据所述DHCP释放请求释放所述终端的IP地址,并向所述AAA服务器发送计费请求结束报文,所述计费请求结束报文中携带所述终端的用户名信息;
所述AAA服务器根据所述计费请求结束报文结束对所述终端的计费。
7.根据权利要求1-6任一项所述的方法,其特征在于,
所述DHCP发现报文中的选项60字段携带所述加密的认证信息,选项82字段携带所述终端的线路信息。
8.一种认证系统,其特征在于,包括:虚拟宽带接入服务器控制面vBRAS-C以及验证、授权、计费AAA服务器;
所述vBRAS-C用于接收虚拟宽带接入服务器转发面vBRAS-U转发的终端的动态主机配置协议DHCP发现报文,根据所述DHCP发现报文向所述AAA服务器发送接入请求报文,所述DHCP发现报文和接入请求报文中携带所述终端的加密的认证信息,所述认证信息包括用户名信息和密码;
所述AAA服务器用于对所述加密的认证信息进行解密,根据所述认证信息对所述终端进行认证,将认证结果返回至所述vBRAS-C。
9.根据权利要求8所述的系统,其特征在于,
所述AAA服务器还用于在所述终端认证通过的情况下,建立所述终端的会话相关信息,并将所述会话相关信息与认证结果共同发送至所述vBRAS-C;
所述vBRAS-C还用于根据所述会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U,以便对应的vBRAS-U根据所述用户流表对所述终端的业务流进行转发。
10.根据权利要求9所述的系统,其特征在于,
所述DHCP发现报文中还携带所述终端的媒体访问控制MAC地址;
所述终端的会话相关信息包括所述终端的用户名信息和会话标识;
所述vBRAS-C用于在所述终端认证通过的情况下,为所述终端分配IP地址,利用所述终端的用户名信息、会话标识、MAC地址和IP地址建立所述用户流表。
11.根据权利要求8所述的系统,其特征在于,
所述DHCP发现报文和接入请求报文中还携带所述终端的线路信息,所述用户信息包括账号和域名;
所述AAA服务器用于查询所述账号对应的已存储密码和线路信息,若所述已存储的密码和线路信息与所述接入请求报文中的密码和线路信息一致,则确定所述终端认证通过。
12.根据权利要求8所述的系统,其特征在于,
所述vBRAS-C还用于接收所述vBRAS-U转发的终端的DHCP请求报文根据所述DHCP请求报文确认为所述终端分配的IP地址,并向所述AAA服务器发送计费请求开始报文,所述计费请求开始报文中携带所述终端的用户名信息;
所述AAA服务器还用于根据所述计费请求开始报文开始对所述终端的计费。
13.根据权利要求8所述的系统,其特征在于,
所述vBRAS-C还用于接收所述vBRAS-U转发的终端的DHCP释放报文,根据所述DHCP释放请求释放所述终端的IP地址,并向所述AAA服务器发送计费请求结束报文,所述计费请求结束报文中携带所述终端的用户名信息;
所述AAA服务器还用于根据所述计费请求结束报文结束对所述终端的计费。
14.根据权利要求8-13任一项所述的系统,其特征在于,
所述DHCP发现报文中的选项60字段携带所述加密的认证信息,选项82字段携带所述终端的线路信息。
15.一种通信系统,其特征在于,包括权利要求8-14任一项所述的认证系统;以及虚拟宽带接入服务器转发面vBRAS-U;
所述vBRAS-U用于接收终端发送的动态主机配置协议DHCP发现报文并转发至虚拟宽带接入服务器控制面vBRAS-C,所述DHCP发现报文携带所述终端的加密的认证信息,所述认证信息包括用户名信息和密码。
16.根据权利要求15所述的系统,其特征在于,
所述vBRAS-U还用于接收所述vBRAS-C下发的用户流表,根据所述用户流表对所述终端的业务流进行转发;
或者,所述vBRAS-U还用于接收终端的DHCP请求报文并转发至所述vBRAS-C,接收所述vBRAS-C返回的DHCP响应报文转发至所述终端,所述DHCP响应报文携带对所述终端分配的IP地址的确认以及计费开始的通知消息;
或者,所述vBRAS-U还用于接收终端的DHCP释放报文并转发至所述vBRAS-C。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710677866.XA CN109391597B (zh) | 2017-08-10 | 2017-08-10 | 认证方法、认证系统以及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710677866.XA CN109391597B (zh) | 2017-08-10 | 2017-08-10 | 认证方法、认证系统以及通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391597A true CN109391597A (zh) | 2019-02-26 |
| CN109391597B CN109391597B (zh) | 2021-04-30 |
Family
ID=65415023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710677866.XA Active CN109391597B (zh) | 2017-08-10 | 2017-08-10 | 认证方法、认证系统以及通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109391597B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110581858A (zh) * | 2019-09-18 | 2019-12-17 | 合肥有线电视宽带网络有限公司 | 基于mac验证和ip授权的宽带接入认证方法及系统 |
| CN111478879A (zh) * | 2020-02-29 | 2020-07-31 | 新华三信息安全技术有限公司 | 一种dhcp续约方法、装置及电子设备、机器可读存储介质 |
| WO2020216131A1 (zh) * | 2019-04-22 | 2020-10-29 | 华为技术有限公司 | 数字钥匙的身份认证方法、终端设备及介质 |
| CN112039838A (zh) * | 2020-07-15 | 2020-12-04 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016121293A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電気株式会社 | ネットワーク中継装置、ゲートウェイ冗長化システム、プログラム、および冗長化方法 |
| CN106559292A (zh) * | 2015-09-29 | 2017-04-05 | 杭州华三通信技术有限公司 | 一种宽带接入方法和装置 |
-
2017
- 2017-08-10 CN CN201710677866.XA patent/CN109391597B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016121293A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電気株式会社 | ネットワーク中継装置、ゲートウェイ冗長化システム、プログラム、および冗長化方法 |
| CN106559292A (zh) * | 2015-09-29 | 2017-04-05 | 杭州华三通信技术有限公司 | 一种宽带接入方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 中国移动研究院 等: "基于转控分离架构的云化BRAS技术白皮书", 《HTTP://WWW.DOC88.COM/P-2039642860299.HTML》 * |
| 胡淑军 等: "以SDN/NFV之力,重塑运营商固网架构", 《通信世界》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020216131A1 (zh) * | 2019-04-22 | 2020-10-29 | 华为技术有限公司 | 数字钥匙的身份认证方法、终端设备及介质 |
| CN110581858A (zh) * | 2019-09-18 | 2019-12-17 | 合肥有线电视宽带网络有限公司 | 基于mac验证和ip授权的宽带接入认证方法及系统 |
| CN110581858B (zh) * | 2019-09-18 | 2021-10-15 | 合肥有线电视宽带网络有限公司 | 基于mac验证和ip授权的宽带接入认证方法及系统 |
| CN111478879A (zh) * | 2020-02-29 | 2020-07-31 | 新华三信息安全技术有限公司 | 一种dhcp续约方法、装置及电子设备、机器可读存储介质 |
| CN111478879B (zh) * | 2020-02-29 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种dhcp续约方法、装置及电子设备、机器可读存储介质 |
| CN112039838A (zh) * | 2020-07-15 | 2020-12-04 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109391597B (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902116B2 (en) | Packet processing method, forwarding plane device and network device | |
| CN109391597A (zh) | 认证方法、认证系统以及通信系统 | |
| CN101102265B (zh) | 用于多业务接入的控制和承载分离系统和实现方法 | |
| EP3742696A1 (en) | Identity management method, equipment, communication network, and storage medium | |
| CN103036784B (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN105337819B (zh) | 宽带接入网关的数据处理方法、宽带接入网关及网络系统 | |
| CN108270690B (zh) | 控制报文流量的方法和装置 | |
| CN103155518A (zh) | 多径传送控制协议代理 | |
| CN104917605B (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
| CN108011754B (zh) | 转控分离系统、备份方法和装置 | |
| US10320755B2 (en) | Method and apparatus for data connectivity sharing | |
| CN101711031A (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN104361489A (zh) | 一种敏感信息的标识化系统及其方法 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及系统 | |
| CN109150925B (zh) | IPoE静态认证方法及系统 | |
| KR101953584B1 (ko) | Nfv 서비스 제공자, vnf 서비스 제공자, 이들을 포함하는 서비스 체이닝 확장 시스템 및 서비스 체이닝 확장 방법 | |
| CN102904904A (zh) | 提高软交换调度系统安全性的方法 | |
| CN103618749A (zh) | 一种基于分离映射机制的无源光网络用户保护的实现方法 | |
| CN109981534A (zh) | 一种认证方法、设备及系统 | |
| CN105790993B (zh) | 一种业务割接方法、装置及宽带接入服务器 | |
| CN107046568A (zh) | 一种认证方法和装置 | |
| CN109962831A (zh) | 虚拟客户终端设备、路由器、存储介质和通信方法 | |
| CN101778042B (zh) | 一种基于用户的整机流量控制方法及装置 | |
| CN109714271A (zh) | 一种信息处理方法、设备、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |