CN1231031C - 一种基于多网络服务提供商的地址分配及服务的方法 - Google Patents
一种基于多网络服务提供商的地址分配及服务的方法 Download PDFInfo
- Publication number
- CN1231031C CN1231031C CN 02123509 CN02123509A CN1231031C CN 1231031 C CN1231031 C CN 1231031C CN 02123509 CN02123509 CN 02123509 CN 02123509 A CN02123509 A CN 02123509A CN 1231031 C CN1231031 C CN 1231031C
- Authority
- CN
- China
- Prior art keywords
- user
- address
- internet service
- service provider
- isp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种提供基于多网络服务提供商的地址分配及服务的方法,该方法在接入设备上保存每个ISP的域名,该ISP使用的验证、授权、计费方法以及该ISP的地址池,所述验证、授权、计费方法中保存有验证、授权服务器、计费服务器信息;当用户进行网络接入时,首先获取用户的认证信息,根据所述认证信息查找该用户对应的ISP,使用该用户对应的ISP的验证服务器对该用户进行认证、授权,在认证通过后,为该用户分配地址,允许该用户使用网络资源,同时使用该用户对应的ISP的计费服务器对该用户进行计费操作;采用上述方案能够实现将不同ISP的地址分配和使用的AAA策略较好地统一。
Description
技术领域
本发明涉及网络系统中的网络接入设备基于网络服务提供商(ISP,Internet service provider)的地址分配及服务的方法。
背景技术
通常的宽带接入设备只是为单一的ISP提供宽带接入服务,随着网络应用的发展,在实际组网应用中,要求一些大型网络设备可以为多个ISP提供宽带接入服务。在用户网络接入的过程中,对用户的验证、授权、计费操作,通常使用远程的验证、授权、计费服务器完成。接入设备与服务器的数据交互采用远程用户拨号认证协议(RADIUS,Remote AuthenticationDial In User Service)协议支持。RADIUS协议采用客户端、服务器方式,需要对用户验证、授权、计费(AAA,Authentication,Authorization,andAccounting)的接入设备运行客户端程序,在需要对用户验证、授权、计费时将相应用户信息发往专用的RADIUS服务器设备,RADIUS服务器完成验证、授权或计费后将结果返回给客户端,客户端由此控制对用户的服务。这样在RADIUS服务器的数据库中需要保存合法用户信息用于用户验证;同时需要记录用户使用网络情况,进行计费。每个ISP都有自己的注册用户,同时要对使用自己资源的用户计费,因此每个ISP通常都使用各自的RADIUS服务器。这就要求在接入设备侧区分不同ISP的用户,对不同ISP的用户使用不同的地址分配方式、AAA策略及RADIUS服务器。
由于每个ISP通常有各自的地址空间为其接入用户分配地址,有各自的RADIUS服务器及使用方法,有各自的AAA策略,因此目前网络接入设备提供的基于一个ISP的地址分配及服务的方法不能将不同ISP的地址分配和使用的AAA策略统一起来。
发明内容
本发明的目的在于提供一种能将不同ISP的地址分配和使用的AAA策略统一起来的基于多ISP的地址分配及服务的方法。
为达到上述目的,本发明提供的基于多网络服务提供商的地址分配及服务的方法,包括:
a.在接入设备上保存每个网络服务提供商(ISP)的域名,该网络服务提供商使用的验证、授权、计费方法以及该网络服务提供商的地址池,所述验证、授权、计费方法中保存有验证、授权服务器、计费服务器信息;
b.当用户进行网络接入时,首先获取用户的认证信息,根据所述认证信息查找该用户对应的网络服务提供商,如果没找到,将该用户作为非网络服务提供商的用户处理,如果找到,则
c.使用该用户对应的网络服务提供商的验证服务器对该用户进行认证、授权,在认证通过后,为该用户分配地址,允许该用户使用网络资源,同时使用该用户对应的网络服务提供商的计费服务器对该用户进行计费操作。
由于本发明在接入设备上保存每个网络服务提供商(ISP)的域名,该ISP使用的验证、授权、计费方法以及该ISP的地址池,这样,在用户接入网络时能够根据不同的用户分别使用各自的验证、授权、计费(AAA)服务器进行验证、授权和计费,为多ISP情况下在设备接入设备进行地址分配提供了有效的手段,即将地址池配置在各个ISP下,使得各个ISP可以分别使用自己的地址为用户分配地址,这样,即使由于一些ISP使用私有地址,并且可能不同ISP有地址冲突,也不会产生任何问题,因此本发明能够将不同ISP的地址分配和使用的AAA策略较好地统一起来。
附图说明
图1是本发明方法的实施例流程图;
图2是应用本发明的网络结构示例图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
在用户的网络接入中,可以使用域名区分不同的ISP,即用户接入时使用型如“username@isp-name”的用户名,其中ISP名isp-name用于唯一标识一个ISP、而用户名username是真正表示用户身份的用户名,用它可以对登录网络的用户进行验证、授权、计费。
图1是本发明方法的实施例流程图。按照图1,首先需要通过配置,在接入设备上保存每个ISP的域名,此ISP使用的验证、授权、计费(AAA)方法以及地址池。每个地址池为一段连续的IP地址,一个ISP可以有多个地址池。在验证、授权、计费方法中保存RADIUS验证、授权服务器,计费服务器信息。
基于上述配置,当用户在步骤1进行网络接入时,接入设备首先获取用户的认证信息,以根据该信息区分不同的ISP用户;然后接入设备在步骤2根据所述认证信息查找该用户对应的网络服务提供商(ISP),对于型如username@isp-name的用户名,检查ISP名isp-name是否有配置的对应ISP,如果有就认为是ISP用户。因此如果没找到对应的ISP,在步骤4将该用户作为非ISP的用户处理,如果找到,则在步骤3,从接入设备中读出此ISP的AAA方法、ISP参数,再从AAA方法中读出使用的RADIUS验证、授权服务器组和计费服务器组,将所有这些记录在此用户的数据结构中。以后按照这些对用户进行AAA。也就是说,在该步骤使用该用户对应的ISP的验证服务器对该用户进行认证、授权操作,因此在步骤3之后,接着在步骤5接入设备判断该用户的认证是否通过,如果没通过,则在步骤6拒绝该用户登录网络,否则在认证通过后,在步骤7为该用户分配地址,允许该用户使用网络资源,最后在步骤8使用该用户对应的ISP计费服务器对该用户进行计费操作。
在步骤4对无法确定ISP的用户可以采用以下方法之一处理:
1、直接拒绝用户登录;
2、使用一个事先配置好的缺省AAA策略为该用户服务;
3、仅仅标记此用户不是ISP用户,然后按照其他区分方法查找该用户使用的AAA策略。
本例中选择3。上述步骤3、7、8使用指定的RADIUS服务器或服务器组对用户进行验证、授权、计费的过程与普通AAA过程相同。其中RADIUS服务器组指多个RADIUS服务器,分别用于备份。
在步骤7为ISP用户分配地址时,可以采用以下方法之一:
1、由RADIUS服务器为用户分配地址,此地址是在用RADIUS服务器验证、授权时由RADIUS服务器得来,其作为RADIUS验证通过响应的一个属性通知接入设备。因此为用户分配地址完全由RADIUS服务器完成。
2、由RADIUS服务器指定地址池号,此地址号也是在用RADIUS服务器对用户验证、授权时由RADIUS服务器得来。在接入设备使用ISP下特定地址池为用户分配地址。此方法适用于针对不同用户分配不同地址段的地址。
3、在接入设备根据用户不同的登录接口指定不同的地址池号,使用ISP下特定地址池为用户分配地址。比如对同一以太网口上登录的用户使用一个地址池。
4、从ISP下配置的地址池中依次分配地址,各地址池使用没有区别,仅仅方便表示不同的地址段。
上述几种方法都能够实现为ISP用户分配地址。但是在没有私有地址池时,只能使用方法1。这种方法对RADIUS服务器要求很高,在RADIUS服务器不支持的情况下将无法实现针对不同ISP用户分配地址的功能。
在本例中,为用户分配地址时的优先级为1、2、3、4。即如果启动了RADIUS服务器的地址分配功能,则不在接入设备分配,由RADIUS服务器分配,否则使用方法2。如果RADIUS服务器未指定地址池号或地址池号在ISP下没有配置,则使用方法3。如果用户登录的接口下未指定地址池号或地址池号在ISP下没有配置,则使用方法4。
图2是应用本发明的网络结构示例图。图2中,一个接入设备与3个ISP的路由器连接,为3个ISP提供支持,用户在登录上网时,接入设备根据用户使用的域名寻找该域名对应的ISP的服务器为其服务。
Claims (7)
1、一种基于多网络服务提供商的地址分配及服务的方法,包括:
a.在接入设备上保存每个网络服务提供商的域名,该网络服务提供商使用的验证、授权、计费方法以及该网络服务提供商的地址池,所述验证、授权、计费方法中保存有验证、授权服务器、计费服务器信息;
b.当用户进行网络接入时,首先获取用户的认证信息,根据所述认证信息查找该用户对应的网络服务提供商,如果没找到,将该用户作为非网络服务提供商的用户处理,如果找到,则
c.使用该用户对应的网络服务提供商的验证服务器对该用户进行认证、授权,在认证通过后,为该用户分配地址,允许该用户使用网络资源,同时使用该用户对应的网络服务提供商的计费服务器对该用户进行计费操作。
2、根据权利要求1所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:在步骤b中,当没有找到用户对应的网络服务提供商时,拒绝该用户登录网络。
3、根据权利要求1所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:在步骤b中,当没有找到用户对应的网络服务提供商时,使用一个事先配置好的缺省验证、授权、计费策略为该用户服务。
4、根据权利要求1、2或3所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:步骤c所述为用户分配地址由该用户对应的网络服务提供商的验证、授权服务器完成。
5、根据权利要求1、2或3所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:步骤c所述为用户分配地址由该用户对应的网络服务提供商的验证、授权服务器指定地址池号,然后在接入设备为用户分配地址。
6、根据权利要求1、2或3所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:步骤c所述为用户分配地址由接入设备根据不同的用户登录接口指定地址池号,然后在接入设备为用户分配地址。
7、根据权利要求1、2或3所述的基于多网络服务提供商的地址分配及服务的方法,其特征在于:步骤c所述为用户分配地址从该用户对应的网络服务提供商配置的地址池中依次分配地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02123509 CN1231031C (zh) | 2002-06-28 | 2002-06-28 | 一种基于多网络服务提供商的地址分配及服务的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02123509 CN1231031C (zh) | 2002-06-28 | 2002-06-28 | 一种基于多网络服务提供商的地址分配及服务的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1464715A CN1464715A (zh) | 2003-12-31 |
| CN1231031C true CN1231031C (zh) | 2005-12-07 |
Family
ID=29743558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02123509 Expired - Lifetime CN1231031C (zh) | 2002-06-28 | 2002-06-28 | 一种基于多网络服务提供商的地址分配及服务的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1231031C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067307B (zh) * | 2013-01-23 | 2016-09-28 | 华北石油通信公司 | 一种宽带接入方法及系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1652535B (zh) * | 2004-02-03 | 2010-06-23 | 华为技术有限公司 | 网络层地址管理方法 |
| US7506363B2 (en) * | 2004-08-26 | 2009-03-17 | Ineternational Business Machines Corporation | Methods, systems, and computer program products for user authorization levels in aggregated systems |
| CN100344094C (zh) * | 2004-09-01 | 2007-10-17 | 华为技术有限公司 | IPv6网络中对多地址用户进行授权计费的实现方法 |
| CN100373879C (zh) * | 2004-09-16 | 2008-03-05 | 上海贝尔阿尔卡特股份有限公司 | 具有三层化接入点的宽带接入网及其ip地址分配方法 |
| CN101141492B (zh) * | 2005-04-29 | 2014-11-05 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN100454865C (zh) * | 2005-08-23 | 2009-01-21 | 华为技术有限公司 | 实现网络服务提供商域名发现的方法 |
| CN100428674C (zh) * | 2005-12-02 | 2008-10-22 | 华为技术有限公司 | 一种网络互通场景中互通实体参与计费的方法 |
| WO2008025276A1 (fr) * | 2006-08-25 | 2008-03-06 | Huawei Technologies Co., Ltd. | Procédé et système pour découvrir l'accès du système de commande d'appel |
-
2002
- 2002-06-28 CN CN 02123509 patent/CN1231031C/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067307B (zh) * | 2013-01-23 | 2016-09-28 | 华北石油通信公司 | 一种宽带接入方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1464715A (zh) | 2003-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| US7617522B2 (en) | Authentication and authorization across autonomous network systems | |
| CN100337229C (zh) | 网络认证、授权和计帐系统及方法 | |
| US7542468B1 (en) | Dynamic host configuration protocol with security | |
| EP1468540B1 (en) | Method and system for secure handling of electronic business transactions on the internet | |
| US8484695B2 (en) | System and method for providing access control | |
| US20090165096A1 (en) | Dynamic radius | |
| EP2093928B1 (en) | System and method for providing dynamic network authorization, authentication and accounting | |
| US7194554B1 (en) | Systems and methods for providing dynamic network authorization authentication and accounting | |
| US8966584B2 (en) | Dynamic authentication gateway | |
| US10116628B2 (en) | Server-paid internet access service | |
| KR20180022999A (ko) | 권한부여 처리 방법 및 장치 | |
| US20100100949A1 (en) | Identity and policy-based network security and management system and method | |
| CN1231031C (zh) | 一种基于多网络服务提供商的地址分配及服务的方法 | |
| CN1889577A (zh) | 一种基于dhcp扩展属性的ip地址分配方法 | |
| US20090089409A1 (en) | Network service provider-assisted authentication | |
| CN1874226A (zh) | 终端接入方法及系统 | |
| CN1395388A (zh) | 一种对组播业务进行认证的方法 | |
| US8272039B2 (en) | Pass-through hijack avoidance technique for cascaded authentication | |
| CN1725687A (zh) | 一种安全认证方法 | |
| CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
| CN1309213C (zh) | 提高网络管理性能的网络接入认证方法 | |
| WO2002035797A9 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
| CN1783780A (zh) | 域认证和网络权限认证的实现方法及设备 | |
| CN1298145C (zh) | 实现宽带接入服务器多业务统一接口的控制装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20051207 |