CN114285656A - 一种基于PPPoE接入安全控制方法、系统及平台 - Google Patents
一种基于PPPoE接入安全控制方法、系统及平台 Download PDFInfo
- Publication number
- CN114285656A CN114285656A CN202111623700.2A CN202111623700A CN114285656A CN 114285656 A CN114285656 A CN 114285656A CN 202111623700 A CN202111623700 A CN 202111623700A CN 114285656 A CN114285656 A CN 114285656A
- Authority
- CN
- China
- Prior art keywords
- pppoe
- message
- real time
- session
- padr
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 238000000131 plasma-assisted desorption ionisation Methods 0.000 claims abstract 9
- 238000012545 processing Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 10
- 238000003780 insertion Methods 0.000 claims description 3
- 230000037431 insertion Effects 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 19
- 239000003795 chemical substances by application Substances 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Abstract
本发明属于PON接入通信技术领域,具体涉及一种基于PPPoE接入安全控制方法、系统及平台。通过方法根据PPPoE请求信息,实时发送PADI报文数据;将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;根据PADR+Tag信息,实时生成会话ID;于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;实时建立PPPoE会话;以及与所述方法相应的系统、平台;本方案可以通过终端用户的用户账号与接入端口的绑定认证,提高PPPoE服务安全性,并且通过自定义获取设备信息,可做更多的应用扩展,方便管理维护。
Description
技术领域
本发明属于PON接入通信技术领域,具体涉及一种基于PPPoE接入安全控制方法、系统及平台。
背景技术
现目前PPPoE已经具有较好的认证和安全机制,但仍然存在一些缺陷;比如PPPoEServer仅通过用户名和密码对接入用户进行认证,如果账号被盗,盗用者可以很容易的在其他地方通过该账号接入网络;也就是说,传统模式的PPPoE服务安全性差,而且无法提供可自定义信息,管理维护繁琐。
因此,针对以上PPPoE的认证和安全机制存在的一些缺陷;比如PPPoE Server仅通过用户名和密码对接入用户进行认证,如果账号被盗,盗用者可以很容易的在其他地方通过该账号接入网络;即传统模式的PPPoE服务安全性差,而且无法提供可自定义信息,管理维护繁琐的技术问题缺陷,急需设计和开发一种基于PPPoE接入安全控制方法、系统及平台。
发明内容
本发明的第一目的在于提供一种基于PPPoE接入安全控制方法;
本发明的第二目的在于提供一种基于PPPoE接入安全控制系统;
本发明的第三目的在于提供一种基于PPPoE接入安全控制平台;
本发明的第一目的是这样实现的:所述方法具体包括如下步骤:
根据PPPoE请求信息,实时发送PADI报文数据;
将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
根据PADR+Tag信息,实时生成会话ID;
于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
实时建立PPPoE会话。
进一步地,所述步骤获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发之中,还包括如下步骤:
将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS。
进一步地,所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
对所述会话进行标识,并实时向终端用户主机回应PADS报文数据。
进一步地,所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
对生产的会话ID、标识会话及回应PADS报文数据进行判定;若判定无错误,则进入下一处理阶段。
进一步地,所述下一阶段具体为:Session阶段。
进一步地,所述步骤于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输之中,还包括如下步骤:
将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUSServer;
所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证。
进一步地,所述步骤实时建立PPPoE会话之中,还包括如下步骤:
通过发送PADT报文的方式实现实时结束PPPoE会话。
本发明的第二目的是这样实现的:所述系统具体包括:
用于根据PPPoE请求信息,实时发送PADI报文数据的第一发送单元;
用于将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中的第一插入单元;
用于根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据的第二发送单元;
用于获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发的第三发送单元;
用于根据PADR+Tag信息,实时生成会话ID的第一生成单元;
用于于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输的协商传输单元;
用于实时建立PPPoE会话的会话建立单元。
进一步地,所述第三发送单元中还设置有:
用于将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS的转发模块;
所述第一生成单元还设置有:
用于对所述会话进行标识,并实时向终端用户主机回应PADS报文数据的回应模块;
用于对生产的会话ID、标识会话及回应PADS报文数据进行判定的判定模块;
所述协商传输单元还设置有:
用于将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUS Server的第一发送模块;
用于所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证的绑定认证模块;
所述会话建立单元还设置有:
用于通过发送PADT报文的方式实现实时结束PPPoE会话的会话结束模块。
本发明的第三目的是这样实现的:包括:处理器、存储器以及基于PPPoE接入安全控制平台控制程序;
其中在所述的处理器执行所述的基于PPPoE接入安全控制平台控制程序,所述的基于PPPoE接入安全控制平台控制程序被存储在所述存储器中,所述的基于PPPoE接入安全控制平台控制程序,实现所述的基于PPPoE接入安全控制方法步骤。
本发明通过方法根据PPPoE请求信息,实时发送PADI报文数据;将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;根据PADR+Tag信息,实时生成会话ID;于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;实时建立PPPoE会话;以及与所述方法相应的系统、平台;本方案可以通过终端用户的用户账号与接入端口的绑定认证,提高PPPoE服务安全性,并且通过自定义获取设备信息,可做更多的应用扩展,方便管理维护;也就是说,针对于传统模式,本申请方案优化了PPPoE服务安全性,而且可以提供可自定义信息,方便管理维护。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于PPPoE接入安全控制方法流程示意图;
图2为本发明一种基于PPPoE接入安全控制方法之PPPoE+应用组网图示意图;
图3为本发明一种基于PPPoE接入安全控制方法之PPPoE+工作流程示意图;
图4为本发明一种基于PPPoE接入安全控制方法之PPPoE+处理流程示意图;
图5为本发明一种基于PPPoE接入安全控制方法之PPPoE+功能示例组网示意图;
图6为本发明一种基于PPPoE接入安全控制方法之实施例之一示意图;
图7为本发明一种基于PPPoE接入安全控制方法之实施例之二示意图;
图8为本发明一种基于PPPoE接入安全控制系统架构示意图;
图9为本发明一种基于PPPoE接入安全控制平台架构示意图;
图10为本发明一种实施例中计算机可读取存储介质架构示意图;
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为便于更好的理解本发明的目的、技术方案和优点更加清楚,下面结合附图和具体的实施方式对本发明作进一步说明,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。
本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。
需要说明,若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……),则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。其次,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
优选地,本发明一种基于PPPoE接入安全控制方法应用在一个或者多个终端或者服务器中。所述终端是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述终端可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端可以与客户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
本发明为实现一种基于PPPoE接入安全控制方法、系统、平台及存储介质。
如图1所示,是本发明实施例提供的基于PPPoE接入安全控制方法的流程图。
在本实施例中,所述基于PPPoE接入安全控制方法,可以应用于具备显示功能的终端或者固定终端中,所述终端并不限定于个人电脑、智能手机、平板电脑、安装有摄像头的台式机或一体机等。
所述基于PPPoE接入安全控制方法也可以应用于由终端和通过网络与所述终端进行连接的服务器所构成的硬件环境中。网络包括但不限于:广域网、城域网或局域网。本发明实施例的基于PPPoE接入安全控制方法可以由服务器来执行,也可以由终端来执行,还可以是由服务器和终端共同执行。
例如,对于需要进行基于PPPoE接入安全控制终端,可以直接在终端上集成本发明的方法所提供的基于PPPoE接入安全控制功能,或者安装用于实现本发明的方法的客户端。再如,本发明所提供的方法还可以软件开发工具包(Software Development Kit,SDK)的形式运行在服务器等设备上,以SDK的形式提供基于PPPoE接入安全控制功能的接口,终端或其他设备通过所提供的接口即可实现基于PPPoE接入安全控制功能。
以下结合附图对本发明作进一步阐述。
如图1所示,本发明提供了一种基于PPPoE接入安全控制方法,所述的方法具体包括如下步骤:
S1、根据PPPoE请求信息,实时发送PADI报文数据;
S2、将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
S3、根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
S4、获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
S5、根据PADR+Tag信息,实时生成会话ID;
S6、于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
S7、实时建立PPPoE会话。
所述步骤获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发之中,还包括如下步骤:
S41、将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS。
所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
S51、对所述会话进行标识,并实时向终端用户主机回应PADS报文数据。
所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
S52、对生产的会话ID、标识会话及回应PADS报文数据进行判定;若判定无错误,则进入下一处理阶段。
所述下一阶段具体为:Session阶段。
所述步骤于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输之中,还包括如下步骤:
S61、将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUS Server;
S62、所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证。
所述步骤实时建立PPPoE会话之中,还包括如下步骤:
S71、通过发送PADT报文的方式实现实时结束PPPoE会话。
具体地,在本发明实施例中,本方案PPPoE+,又称PPPoE Intermediate Agent,如图2所示部署在终端用户主机和宽带远程接入服务器BRAS(Broadband Remote AccessServer)之间的接入设备OLT上。OLT将终端用户主机接入的信息(如ONU Type、VLAN、MAC地址等)通过PAD(PPPoE Active Discovery)报文上送给PPPoE Server,实现终端用户的用户账号与接入端口的绑定认证,避免用户账号被盗用。
PPPoE可分为三个阶段,即Discovery阶段、Session阶段和Terminate阶段。PPPoE+主要作用于Discovery阶段和Session阶段,如图3所示:
1.终端用户主机(PPPoE Client)发起PPPoE请求,发送PADI(PPPoE ActiveDiscovery Initial)报文。
2.Switch截获PADI报文后把终端用户主机接入的信息(如ONU Type、VLAN、MAC地址等)以PPPoE+Tag形式插入PADI报文里,再转发给BRAS(PPPoE Server)。
3.BRAS收到PADI+Tag以后,向终端用户主机回应PADO(PPPoE Active DiscoveryOffer)报文。
4.终端用户主机收到PADO报文后,发送PADR(PPPoE Active Discovery Request)报文。
5.Switch截获PADR报文后把PPPoE+Tag插入到PADR报文里,再转发给BRAS。
6.BRAS收到PADR+Tag以后,将产生一个唯一的会话ID(PPP Session ID),标识和终端用户主机的这个会话,并向终端用户主机回应PADS(PPPoE Active DiscoverySession-confirmation)报文。如果没有发生错误,双方进入Session阶段。
7.Session阶段内,终端用户主机和BRAS之间进行PPP协商和PPP报文传输。PPP协商完成后,BRAS将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性里发送给RADIUS Server,RADIUS Server将根据该属性值对终端用户主机进行用户账号与接入端口的绑定认证。
8.PPPoE会话建立后,PPPoE Client和PPPoE Server随时可以通过发送PADT(PPPoE Active Discovery Terminate)报文的方式来结束PPPoE会话。
9.处理流程如图4所示;
具体地,本方案结合具体的实施例进行描述。
组网需求:如图5所示,Switch上行连接BRAS设备,下行连接终端用户主机,BRAS内置PPPoE Server功能。网络中存在非法用户获取合法用户的PPPoE报文、盗用合法用户账号的现象,管理员希望能够为合法用户提供账号安全保障,避免用户账号被盗用。
配置思路:采用如下思路在Switch上配置PPPoE+功能;
具体地,PPPoE+的配置方法如下:
1.3.1.PPPoE+缺省配置
PPPoE+的缺省配置如下表所示:
PPPoE+缺省配置
1.3.2.PPPoE+全局使能配置
为了防止用户账号盗用现象,可以配置PPPoE+功能。使能全局PPPoE+功能是配置PPPoE+具体功能的必要条件。
1.3.3.PPPoE+VLAN接口使能配置
1.3.4.PPPoE+信任端口配置
设备与PPPoE Server相连的接口必须是信任接口,才可以防止PPPoE Server欺骗,并且防止PPPoE报文被转发至非PPPoE业务端口而遭到非法用户的获取。配置信任接口后,从PPPoE Client到PPPoE Server方向的PPPoE报文将只会由信任接口进行转发,同时也只有从信任接口收到的PPPoE报文才会被转发至PPPoE Client。
信任接口只对PPPoE Discovery阶段的协议报文进行控制,对于PPPoE Session阶段的业务报文不进行控制。
1.3.5.PPPoE+VENFOR ID配置
VENDOR ID用于标识厂商,设备默认在PPPoE报文中添加值为3561的VENDOR ID。
1.3.6.PPPoE+对用户侧PPPoE报文处理方式配置
通过配置对用户侧PPPoE报文的处理方式,设备可以将终端用户主机接入的端口信息加入PPPoE报文中,实现终端用户的用户账号与接入端口的绑定认证,避免用户账号被盗用。
1.3.7.PPPoE+对用户侧PPPoE报文替换字段格式和内容配置
当设备对用户侧PPPoE报文原有信息字段的处理方式为replace时,可配置用于替换原有PPPoE报文信息字段的字段格式和内容。
本设备支持三种字段格式:
●common:标准填充格式
●extend:扩展填充格式
●user-defined:用户自定义格式
1.3.8.PPPoE+对服务器侧PPPoE报文处理方式配置
通常情况下,设备不需要对服务器侧回应的PPPoE报文进行处理,直接透传报文给PPPoE Client即可。只有在PPPoE Client无法识别设备直接透传的PPPoE报文时,为了保证PPPoE Client和PPPoE Server之间PPPoE会话的正常建立,设备才需要对服务器侧回应的PPPoE报文进行处理。具体处理方式如下:
●当设备上配置的对PPPoE报文原有信息字段的处理方式为replace或keep时,
●当设备上配置的对PPPoE报文原有信息字段的处理方式为drop时,设备直接透传PPPoE报文。
1.3.9.PPPoE+配置检查
自定义格式即允许自定义线路标识的样式,并利用设备支持的自定义变量,自由组合出需耍的线路标识。设备支持的自定义变量如下表所示:
| 标识 | 含义 | 标识 | 含义 |
| %s | SVLAN | %o | ONU授权号 |
| %c | CVLAN | %n | ONU类型 |
| %B | 接入类型,<u>olt</u>,<u>dsl</u>或<u>lan</u> | %T | MDU ONU槽位号 |
| %a | 接入节点标识符 | %M | MDU ONU子槽位号 |
| %r | 架号 | %P | MDU ONU端口号 |
| %f | 框号 | %t | ONU用户端口类型 |
| %S | 槽位号 | %X | 端口VPI/SVLAN |
| %p | PON口号 | %x | 端口VCI/CVLAN |
| %m | ONU标识(MAC) | %I | IAD IP |
| %u | 上联口类型 | %A | IAD MAC |
| %L | 业务板卡类型 | %O | OLT管理VLAN IP |
自定义格式必须遵循下列限制:
(1)自定义格式可以由任意字符串组成,但是如果包含自定义变量,变量标识必须用一个分隔符与后续字符串或变量隔开。分隔符必须为下表所示字符之一:
| 分隔符 | 含义 |
| 空格 | |
| . | 小数点 |
| / | 斜杠 |
| ; | 分号 |
| : | 冒号 |
| { | 花括号 |
| } | 花括号 |
| < | 尖括号 |
| > | 尖括号 |
| [ | 方括号 |
| ] | 方括号 |
(2)自定义格式字符串不得超过128个字符;
(3)变量的值中,不允许出现上述的这些标识符。
1.全局使能PPPoE+功能,实现终端用户的用户账号与接入端口的绑定认证,防止用户账号被盗用。
2.配置Switch与PPPoE SerVer连接的接口为信任接口,防止PPPoE报文被转发至非PPPoE业务端口而遭到非法用户的获取。
3.根据PPPoE Server对PPPoE报文信息字段格式的要求,配置Switch对用户侧PPPoE报文中原有信息字段的处理方式,使Switch能够与PPPoE Server正常通信。
操作步骤
1.使能PPPoE+功能
epon-olt(config)#pppoe intermediate-agent information enable
2.使能接口PPPoE+功能
epon-olt(config)#pppoe intermediate-agent information vlan 100
3.配置gigabitethernet 0/1接口为信任接口
epon-olt(config)#interface gigabitethernet 0/1
epon-olt(config-if-ge0/1)#pppoe intermediate-agent trust
epon-olt(config-if-ge0/1)#exit
4.配置所有接口对用户侧PPPoE报文中原有信息字段的处理方式为replace,使用设备的circuit-id和remote-id替换原有PPPoE报文中的信息字段
epon-olt(config)#pppoe intermediate-agent information policy replace
epon-olt(config)#pppoe intermediate-agent information encapsulationcircuit-id remote-id
5.配置用于替换原有PPPoE报文信息字段的circuit-id和remote-id的格式为extend
epon-olt(config)#interface gigabitethernet 0/2
epon-olt(config-if-ge0/2)#pppoe intermediate-agent information formatcircuit-id extend
epon-olt(config-if-ge0/2)#pppoe intermediate-agent information formatremote-id extend
epon-olt(config-if-ge0/2)#exit
6.验证配置结果
#执行命令show pppoe intermediate-agent information policy,查看对用户侧PPPoE报文中原有信息字段的处理方式是否配置正确。
epon-olt(config)#show pppoe intermediate-agent information policy
The current information Policy:REPLACE
The current ignore-reply Policy:ENABLE
epon-olt(config)#
#在接口执行命令show pppoe intermediate-agent information,查看circuit-id和remote-id格式信息是否配置正确。
epon-olt(config-if-ge0/2)#show pppoe intermediate-agent information
PPPoE intermediate agent interface GE0/2 configuration information:
Trusted:no
Circuit ID:EXTEND
Remote ID:EXTEND
epon-olt(config-if-ge0/2)#exit
为实现上述目的,本发明还提供一种基于PPPoE接入安全控制系统,如图8所示,所述的系统具体包括:
用于根据PPPoE请求信息,实时发送PADI报文数据的第一发送单元;
用于将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中的第一插入单元;
用于根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据的第二发送单元;
用于获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发的第三发送单元;
用于根据PADR+Tag信息,实时生成会话ID的第一生成单元;
用于于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输的协商传输单元;
用于实时建立PPPoE会话的会话建立单元。
所述第三发送单元中还设置有:
用于将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS的转发模块;
所述第一生成单元还设置有:
用于对所述会话进行标识,并实时向终端用户主机回应PADS报文数据的回应模块;
用于对生产的会话ID、标识会话及回应PADS报文数据进行判定的判定模块;
所述协商传输单元还设置有:
用于将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUS Server的第一发送模块;
用于所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证的绑定认证模块;
所述会话建立单元还设置有:
用于通过发送PADT报文的方式实现实时结束PPPoE会话的会话结束模块。
在本发明系统方案实施例中,所述的一种基于PPPoE接入安全控制中涉及的方法步骤,具体细节已在上文阐述,此处不再赘述。
为实现上述目的,本发明还提供一种基于PPPoE接入安全控制平台,如图9所示,包括:处理器、存储器以及基于PPPoE接入安全控制平台控制程序;
其中在所述的处理器执行所述的基于PPPoE接入安全控制平台控制程序,所述的基于PPPoE接入安全控制平台控制程序被存储在所述存储器中,所述的基于PPPoE接入安全控制平台控制程序,实现所述的基于PPPoE接入安全控制方法步骤,例如:
S1、根据PPPoE请求信息,实时发送PADI报文数据;
S2、将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
S3、根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
S4、获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
S5、根据PADR+Tag信息,实时生成会话ID;
S6、于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
S7、实时建立PPPoE会话。
步骤具体细节已在上文阐述,此处不再赘述。
本发明实施例中,所述的基于PPPoE接入安全控制平台内置处理器,可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器利用各种接口和线路连接取各个部件,通过运行或执行存储在存储器内的程序或者单元,以及调用存储在存储器内的数据,以执行基于PPPoE接入安全控制各种功能和处理数据;
存储器用于存储程序代码和各种数据,安装在基于PPPoE接入安全控制平台中,并在运行过程中实现高速、自动地完成程序或数据的存取。
所述存储器包括只读存储器(Read-Only Memory,ROM),随机存储器(RandomAccess Memory,RAM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子擦除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
为实现上述目的,本发明还提供一种计算机可读取存储介质,如图10所示,所述计算机可读取存储介质存储有基于PPPoE接入安全控制平台控制程序,所述的基于PPPoE接入安全控制平台控制程序,实现所述的基于PPPoE接入安全控制方法步骤,例如:
S1、根据PPPoE请求信息,实时发送PADI报文数据;
S2、将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
S3、根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
S4、获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
S5、根据PADR+Tag信息,实时生成会话ID;
S6、于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
S7、实时建立PPPoE会话。
步骤具体细节已在上文阐述,此处不再赘述。
在本发明的实施方式的描述中,需要说明的是,流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理模块的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读取介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。
另外,计算机可读取介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
在本发明实施例中,为实现上述目的,本发明还提供一种芯片系统,所述芯片系统包括至少一个处理器,当程序指令在所述至少一个处理器中执行时,使得所述芯片系统执行所述的基于PPPoE接入安全控制方法步骤,例如:
S1、根据PPPoE请求信息,实时发送PADI报文数据;
S2、将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
S3、根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
S4、获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
S5、根据PADR+Tag信息,实时生成会话ID;
S6、于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
S7、实时建立PPPoE会话。
步骤具体细节已在上文阐述,此处不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本发明通过方法根据PPPoE请求信息,实时发送PADI报文数据;将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;根据PADR+Tag信息,实时生成会话ID;于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;实时建立PPPoE会话;以及与所述方法相应的系统、平台;本方案可以通过终端用户的用户账号与接入端口的绑定认证,提高PPPoE服务安全性,并且通过自定义获取设备信息,可做更多的应用扩展,方便管理维护;也就是说,针对于传统模式,本申请方案优化了PPPoE服务安全性,而且可以提供可自定义信息,方便管理维护。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于PPPoE接入安全控制方法,其特征在于所述方法具体包括如下步骤:
根据PPPoE请求信息,实时发送PADI报文数据;
将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中;
根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据;
获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发;
根据PADR+Tag信息,实时生成会话ID;
于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输;
实时建立PPPoE会话。
2.根据权利要求1所述的一种基于PPPoE接入安全控制方法,其特征在于所述步骤获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发之中,还包括如下步骤:
将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS。
3.根据权利要求1所述的一种基于PPPoE接入安全控制方法,其特征在于所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
对所述会话进行标识,并实时向终端用户主机回应PADS报文数据。
4.根据权利要求1或3所述的一种基于PPPoE接入安全控制方法,其特征在于所述步骤根据PADR+Tag信息,实时生成会话ID之中,还包括如下步骤:
对生成的会话ID、标识会话及回应PADS报文数据进行判定;若判定无错误,则进入下一处理阶段。
5.根据权利要求4所述的一种基于PPPoE接入安全控制方法,其特征在于所述下一阶段具体为:Session阶段。
6.根据权利要求1所述的一种基于PPPoE接入安全控制方法,其特征在于所述步骤于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输之中,还包括如下步骤:
将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUSServer;
所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证。
7.根据权利要求1所述的一种基于PPPoE接入安全控制方法,其特征在于所述步骤实时建立PPPoE会话之中,还包括如下步骤:
通过发送PADT报文的方式实现实时结束PPPoE会话。
8.一种基于PPPoE接入安全控制系统,其特征在于所述系统具体包括:
用于根据PPPoE请求信息,实时发送PADI报文数据的第一发送单元;
用于将终端用户主机接入的信息以PPPoE+Tag形式插入PADI报文中的第一插入单元;
用于根据PADI+Tag信息,实时向终端用户主机回应PADO报文数据;并根据所述PADO报文数据,实时发送PADR报文数据的第二发送单元;
用于获取PADR报文数据,将所述PPPoE+Tag插入至PADR报文中,再转发的第三发送单元;
用于根据PADR+Tag信息,实时生成会话ID的第一生成单元;
用于于终端用户主机和BRAS之间,实时进行PPP协商和PPP报文传输的协商传输单元;
用于实时建立PPPoE会话的会话建立单元。
9.根据权利要求8所述的一种基于PPPoE接入安全控制系统,其特征在于所述第三发送单元中还设置有:
用于将所述PPPoE+Tag插入至PADR报文中,再转发至BRAS的转发模块;
所述第一生成单元还设置有:
用于对所述会话进行标识,并实时向终端用户主机回应PADS报文数据的回应模块;
用于对生成的会话ID、标识会话及回应PADS报文数据进行判定的判定模块;
所述协商传输单元还设置有:
用于将PPPoE+Tag封装在RADIUS报文的Radius NAS-Port-ID属性中,并发送至RADIUSServer的第一发送模块;
用于所述RADIUS Server将根据属性值对终端用户主机进行用户账号与接入端口的绑定认证的绑定认证模块;
所述会话建立单元还设置有:
用于通过发送PADT报文的方式实现实时结束PPPoE会话的会话结束模块。
10.一种基于PPPoE接入安全控制平台,其特征在于,包括:处理器、存储器以及基于PPPoE接入安全控制平台控制程序;
其中在所述的处理器执行所述的基于PPPoE接入安全控制平台控制程序,所述的基于PPPoE接入安全控制平台控制程序被存储在所述存储器中,所述的基于PPPoE接入安全控制平台控制程序,实现如权利要求1至7中任一项所述的基于PPPoE接入安全控制方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111623700.2A CN114285656A (zh) | 2021-12-28 | 2021-12-28 | 一种基于PPPoE接入安全控制方法、系统及平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111623700.2A CN114285656A (zh) | 2021-12-28 | 2021-12-28 | 一种基于PPPoE接入安全控制方法、系统及平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114285656A true CN114285656A (zh) | 2022-04-05 |
Family
ID=80877078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111623700.2A Pending CN114285656A (zh) | 2021-12-28 | 2021-12-28 | 一种基于PPPoE接入安全控制方法、系统及平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285656A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595896A (zh) * | 2003-09-12 | 2005-03-16 | 华为技术有限公司 | 宽带接入服务器获取接入用户位置信息的方法 |
| CN101374046A (zh) * | 2007-08-23 | 2009-02-25 | 中兴通讯股份有限公司 | 一种宽带接入设备实现用户端口定位的方法 |
| CN101374045A (zh) * | 2007-08-21 | 2009-02-25 | 中兴通讯股份有限公司 | 一种在gpon接入设备上实现用户端口定位的方法 |
| CN101459591A (zh) * | 2007-12-11 | 2009-06-17 | 中兴通讯股份有限公司 | 在无源光网络接入设备上实现用户端口定位的方法 |
| CN105323232A (zh) * | 2014-08-01 | 2016-02-10 | 中国移动通信集团江苏有限公司 | 账号绑定方法及装置 |
-
2021
- 2021-12-28 CN CN202111623700.2A patent/CN114285656A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595896A (zh) * | 2003-09-12 | 2005-03-16 | 华为技术有限公司 | 宽带接入服务器获取接入用户位置信息的方法 |
| CN101374045A (zh) * | 2007-08-21 | 2009-02-25 | 中兴通讯股份有限公司 | 一种在gpon接入设备上实现用户端口定位的方法 |
| CN101374046A (zh) * | 2007-08-23 | 2009-02-25 | 中兴通讯股份有限公司 | 一种宽带接入设备实现用户端口定位的方法 |
| US20110129221A1 (en) * | 2007-08-23 | 2011-06-02 | Zte Corporation | method for implementing subscriber port positioning by broadband access equipments |
| CN101459591A (zh) * | 2007-12-11 | 2009-06-17 | 中兴通讯股份有限公司 | 在无源光网络接入设备上实现用户端口定位的方法 |
| CN105323232A (zh) * | 2014-08-01 | 2016-02-10 | 中国移动通信集团江苏有限公司 | 账号绑定方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3410648B1 (en) | Method, device and system for access control | |
| CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| AU712487B2 (en) | Process for protecting a station's accesses to at least one server and device which implements the process | |
| CN101527655B (zh) | 用于资源访问控制的动态简档系统 | |
| US6883094B2 (en) | Communication device for monitoring datalink layer information and outputting data based on communication request information type | |
| CN111865621B (zh) | 接入网关的方法及装置 | |
| EP1876754A1 (en) | Method system and server for implementing dhcp address security allocation | |
| US8719422B2 (en) | Transparent reconnection | |
| US7624193B2 (en) | Multi-vendor mediation for subscription services | |
| BR112014015273B1 (pt) | processo de roteamento em um terminal móvel e terminal móvel | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| CN108738013A (zh) | 网络接入方法、装置和网络设备 | |
| KR20100046171A (ko) | 전기 장치 구성 시스템 및 방법 | |
| CN106878139A (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| CN107710634B (zh) | 基于光网络系统的通信方法与设备 | |
| CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
| JP2002222172A (ja) | ユーザ認証方法 | |
| CN114285656A (zh) | 一种基于PPPoE接入安全控制方法、系统及平台 | |
| CN107046568B (zh) | 一种认证方法和装置 | |
| CN104982004B (zh) | 管理网络安全的方法及接入设备 | |
| CN113014507B (zh) | 流量的处理方法、装置、系统和计算机可读存储介质 | |
| JP2001005884A (ja) | データネットワーク上でスマートカードアプリケーションを展開するための方法およびシステム(methodsystem) | |
| US20150341328A1 (en) | Enhanced Multi-Level Authentication For Network Service Delivery | |
| KR20050000024A (ko) | 이더넷 기반의 인터넷 접속 서비스에서 id 기반의가입자 접속 인증 시스템 및 그 방법 | |
| US11758372B2 (en) | Charging policy obtaining method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220405 |