CN1265580C - 一种对网络用户进行认证和业务管理的方法 - Google Patents
一种对网络用户进行认证和业务管理的方法 Download PDFInfo
- Publication number
- CN1265580C CN1265580C CN 02160065 CN02160065A CN1265580C CN 1265580 C CN1265580 C CN 1265580C CN 02160065 CN02160065 CN 02160065 CN 02160065 A CN02160065 A CN 02160065A CN 1265580 C CN1265580 C CN 1265580C
- Authority
- CN
- China
- Prior art keywords
- user
- access device
- access
- service
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及宽带接入技术领域,尤其涉及一种对网络用户进行认证和业务管理的方法,首先在接入服务器上建立接入设备的网络拓扑,并对接入设备的能力进行业务注册;接入设备将用户基本信息送到接入服务器上,接入服务器将该用户的认证信息送到AAA服务器,AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;接入服务器根据网络拓扑和接入设备的用户基本信息,将授权消息发送到相应的接入设备上;接入设备接收到授权信息后,完成规定的动作,实现对网络用户的认证和业务的管理。本发明的方法,在底层最接近用户的接入设备上完成组播业务、带宽业务的控制,减小了接入服务器的CPU负担。
Description
技术领域
本发明涉及宽带接入技术领域,尤其涉及一种对网络用户进行认证和业务管理的方法。
背景技术
目前的用户接入系统对用户的认证接入和管理都是在一台设备上完成的,但是有些业务如组播业务,参考图1,用户1加入组播组A后,接入服务器将组播流发送到第一级接入设备1,第一级接入设备1一直发送到最接近用户的第N级接入设备1上;当用户4要加入组播组A时,为了保证组播在接入服务器和一级接入设备间只发送一份,第一级接入设备1就必须知道用户4加入组播组A是否通过了接入服务器的认证,才能决定是否将多播流转发给第N级接入设备2。通常情况下,接入服务器会发送两份同样的报文给汇聚设备,汇聚设备通过报文中携带有标识用户的信息(如虚拟局域网标识,以下简称VLAN ID)来进行转发
常见的带宽批发业务,参考图1,假设分配给用户1的带宽是2兆(以下简写为M),第N级接入设备提供给用户的端口带宽是100M,如果仅仅在接入服务器上进行控制,则用户1可以使用第N级接入设备的接入端口100M的可用带宽发送报文,如果第N级接入设备到接入服务器之间的带宽也是100M,那么第N级接入设备到接入服务器之间的带宽将都被用户1占用,而其他用户,如用户2需要的带宽就无法保证,这个带宽将影响从第N级接入设备到接入服务器所经过的所有路径,不利于宽带业务的开展。
为了保证能够检测到用户是否离线和不再接收该组播流信息,通常接入服务器要以一定的间隔收发握手信息(以下简称hello消息,在组播业务中通常指互联网组管理协议(IGMP)的查询报文和响应报文),这种报文会消耗接入服务器到N级接入设备之间的有效带宽,同时,要处理这些报文,对接入服务器的中央处理单元(CPU)能力要求很高,不利于宽带接入服务器的稳定性和成本的降低。
在以太网接入环境中,为了实现用户的有效识别,防止用户随意改变互联网地址(以下简称IP地址)、链路层地址(以下简称MAC地址),接入设备利用VLAN ID来标识用户,以实现对最终的用户管理,但是由于VLAN ID取值从0到4095,0和4095具有特殊意义,一般不使用,因此实际可用的值只有1到4094个,还要分配给不同的业务,这样就限制了以太网接入宽带网络的扩展。
为了实现流量记费和根据流量判断一个用户是否离线,需要实现基于用户的MAC地址或源IP地址进行的流量统计,这对接入服务器的要求相当的高。
发明内容
本发明的目的是提出一种对网络用户进行认证和业务管理的方法,以实现对组播带宽等业务的最终控制,并将接入服务器的带宽进行最终的分担,减少业务无关报文在网络中的传播。
本发明提出的对网络用户进行认证和业务管理的方法,包括以下各步骤:
1、在接入服务器上建立所有接入设备的网络拓扑,对所有接入设备的能力信息进行注册;
2、最接近用户的接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到认证授权记账服务器(以下简称AAA服务器),AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;
3、接入服务器根据上述网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上;
4、接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
上述方法中,建立网络拓扑的过程包括如下步骤:
(1)接入服务器和接入设备通过邻居发现协议(以下简写为NDP)发现各自的邻居;
(2)接入服务器根据自身的邻居信息,利用拓扑发现协议(以下简称TDP)收集第一级接入设备的邻居信息;
(3)第一级接入设备利用TDP收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓扑信息。
上述方法中,对所有接入设备的能力信息进行注册的过程包括如下步骤:
(1)接入服务器利用TDP收集到网络拓扑,向网络拓扑中的所有接入设备发送开始能力注册信息;
(2)接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;
(3)接入服务器记录接收到的各接入设备的能力信息。
上述方法中的用户基本信息包括:连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。
上述方法中的业务类型为沿途部署、单点部署或边缘部署中的任何一种。业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上;业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上;业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。
本发明提出的对网络用户进行认证和业务管理的方法,具有以下优点:
1、可以在底层最接近用户的接入设备上完成组播业务、带宽业务的控制,因此可以解决背景技术中提到的组播业务和带宽业务问题。
2、由接入设备发送握手和查询报文,因而减小了干线的无效带宽,同时也减小了接入服务器的CPU负担。
3、在以太网接入环境中,由于最终的用户控制可以在最接近用户的接入设备上实现,因此可以用私有虚拟网的技术,防止用户假冒,以及解决虚拟网ID不够的问题。
4、由于流量可以在最接近用户的接入设备上进行统计,因此只要对端口进行流量统计,就可以实现用户的流量记费,并可以根据端口流量的增加值判定用户是否处于空闲状态,降低了对接入服务器的要求。
附图说明
图1是本发明的网络组网示意图。
图2是本发明的一个实施例的认证和业务管理方法流程图。
具体实施方式
本发明提出的对网络用户进行认证和业务管理的方法,网络的组网结构与已有技术相同,如图1所示,本方法的时序图如图2所示,参见图2,详细介绍本发明的一个实施例。
首先在接入服务器上建立所有接入设备的网络拓扑,建立网络拓扑的过程包括:接入服务器和接入设备通过邻居发现协议(Neighbor DiscoveryProtocol,以下简写为NDP)发现各自的邻居;接入服务器根据自身的邻居信息,利用拓扑发现协议(Topology Discovery Protocol,以下简称TDP)收集第一级接入设备的邻居信息;第一级接入设备利用TDP收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓扑信息。其中的邻居信息包括接入设备的全网唯一标识、同相邻设备连接的接口标识、地址信息、邻居的全网唯一标识、邻居的主机名或邻居的接口标识,其中接入设备的全网唯一标识为设备的MAC地址或设备的IP地址。
然后在接入服务器上对所有接入设备的能力信息进行注册,注册的过程包括:接入服务器利用TDP收集到网络拓扑,向网络拓扑中的所有接入设备发送开始能力注册信息;接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;接入服务器记录接收到的各接入设备的能力信息。其中接入设备的能力信息包括:组播业务控制、带宽控制、访问控制、安全相关业务、带宽业务、VPN业务、存储业务、用户故障诊断、改变用户的VLAN、分配用户的IP地址、发送握手报文、限制用户接入个数、进行流量统计、时长控制、时间校对。
最接近用户的接入设备,即图1中的第N级接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到认证授权记账服务器(Authentication,Authorization and Accounting Server,以下简称AAA服务器),AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器。其中的用户基本信息包括:连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。其中的连接用户的第N级接入设备的全网唯一标识为:第N级接入设备的IP地址或第N级接入设备的MAC地址;其中的由第N级接入设备分配的区分用户的唯一标识为:以太网接入中的用户MAC地址、点到点协议(Point-to-Point Protocol,简称PPP)接入中的连接ID。
接入服务器根据收集到的网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上,其中的业务类型为沿途部署、单点部署或边缘部署中的任何一种。
当业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上。其中的授权信息为;组播业务控制、虚拟专用网业务、用户故障诊断业务、改变用户的VLAN业务。
当业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上。单点部署的业务是指只需要在单个设备上授权的业务,如握手消息。其中的授权信息可以包括:限制用户接入个数、安全相关业务、访问控制列表、发送握手报文、进行流量统计、分配用户的IP地址、进行用户接入的时长控制。
当业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。其中的授权信息为:带宽业务、限制用户接入个数、访问控制列表、安全相关业务、发送握手报文、进行流量统计、存储业务、分配用户的IP地址、进行用户接入的时长控制。
接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
在本发明方法中,所有信息在接入服务器与接入设备之间的控制通道上发送。
本发明方法中的接入设备可以为以太网交换机、路由器或极高速数字用户线(VDSL)接入设备中的任何一种。
本发明通过将发送握手信息的业务下发到最接近用户的第N级接入设备上,减少了接入服务器到第N级接入设备之间的握手信息的带宽损耗;通过将带宽控制业务下发到最接近用户的第N级接入设备上,从而实现了对用户接入带宽的真正控制;通过将最接近用户的第N级接入设备的VLAN送到接入服务器,防止用户的欺骗手段,使以太网接入中的VLAN只有一个局部的概念,从而使VLAN ID得到有效的扩充;通过将流量统计功能分配到最接近用户的第N级接入设备上,从而降低接入服务器的负担。
Claims (10)
1、一种对网络用户进行认证和业务管理的方法,其特征在于该方法包括以下各步骤:
(1)在接入服务器上建立所有接入设备的网络拓扑,对所有接入设备的能力信息进行注册;
(2)最接近用户的接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到AAA服务器,AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;
(3)接入服务器根据上述网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上;
(4)接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
2、如权利要求1所述的方法,其特征在于步骤(1)中建立网络拓扑的过程包括如下步骤:
(1)接入服务器和接入设备通过邻居发现协议,发现各自的邻居;
(2)接入服务器根据自身的邻居信息,利用拓扑发现协议收集第一级接入设备的邻居信息;
(3)第一级接入设备利用拓扑发现协议收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓扑信息。
3、如权利要求2所述的方法,其特征在于其中的邻居信息包括接入设备的全网唯一标识、同相邻设备连接的接口标识、地址信息、邻居的全网唯一标识、邻居的主机名或邻居的接口标识。
4、如权利要求1所述的方法,其特征在于步骤(1)中对所有接入设备的能力信息进行注册的过程包括如下步骤:
(1)接入服务器利用拓扑发现协议TDP收集到网络拓扑,向网络拓扑中的所有接入设备发送开始能力注册信息;
(2)接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;
(3)接入服务器记录接收到的各接入设备的能力信息。
5、如权利要求4所述的方法,其特征在于接入设备的能力信息包括:组播业务控制、带宽控制、访问控制、安全相关业务、带宽业务、VPN业务、存储业务、用户故障诊断、改变用户的VLAN、分配用户的IP地址、发送握手报文、限制用户接入个数、进行流量统计、时长控制、时间校对。
6、如权利要求1所述的方法,其特征在于其中所述的用户基本信息包括:连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。
7、如权利要求6所述的方法,其特征在于其中所述的连接用户的第N级接入设备的全网唯一标识为:第N级接入设备的IP地址或第N级接入设备的MAC地址。
8、如权利要求6所述的方法,其特征在于其中所述的由第N级接入设备分配的区分用户的唯一标识为:以太网接入中的用户MAC地址或PPP协议接入中的连接ID。
9、如权利要求1所述的方法,其特征在于步骤(3)中的业务类型为沿途部署、单点部署或边缘部署中的任何一种;当业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上;当业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上;当业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。
10、如权利要求9所述的方法,其特征在于其中沿途部署的授权信息为:组播业务控制、虚拟专用网业务、用户故障诊断业务、改变用户的VLAN业务;单点部署的授权信息为:限制用户接入个数、安全相关业务、访问控制列表、发送握手报文、进行流量统计、分配用户的IP地址、进行用户接入的时长控制;边缘部署的授权信息为:带宽业务、限制用户接入个数、访问控制列表、安全相关业务、发送握手报文、进行流量统计、存储业务、分配用户的IP地址、进行用户接入的时长控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02160065 CN1265580C (zh) | 2002-12-26 | 2002-12-26 | 一种对网络用户进行认证和业务管理的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02160065 CN1265580C (zh) | 2002-12-26 | 2002-12-26 | 一种对网络用户进行认证和业务管理的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1510862A CN1510862A (zh) | 2004-07-07 |
| CN1265580C true CN1265580C (zh) | 2006-07-19 |
Family
ID=34237746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02160065 Expired - Lifetime CN1265580C (zh) | 2002-12-26 | 2002-12-26 | 一种对网络用户进行认证和业务管理的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1265580C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098510A1 (fr) * | 2007-02-13 | 2008-08-21 | Huawei Technologies Co., Ltd. | Procédé et appareil d'acquisition d'informations de contrôleur d'accès dans un réseau local sans fil |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100414905C (zh) * | 2004-12-30 | 2008-08-27 | 华为技术有限公司 | 保证业务QoS的宽带接入网络及其方法 |
| CN101175326B (zh) * | 2004-12-30 | 2010-07-07 | 华为技术有限公司 | 保证业务QoS的宽带接入网络 |
| KR101057057B1 (ko) * | 2005-02-07 | 2011-08-16 | 엘지전자 주식회사 | 이동통신 시스템에서의 서비스 그룹화에 의한 제어 정보 전송 및 수신 방법 |
| CN100389555C (zh) * | 2005-02-21 | 2008-05-21 | 西安西电捷通无线网络通信有限公司 | 一种适合有线和无线网络的接入认证方法 |
| CN101119197B (zh) * | 2006-08-04 | 2011-10-05 | 华为技术有限公司 | 一种签约方法及系统 |
| CN101123498B (zh) * | 2006-08-08 | 2011-12-28 | 华为技术有限公司 | 一种实现接入认证的方法、设备及系统 |
| CN101145909B (zh) * | 2006-09-12 | 2010-09-08 | 中兴通讯股份有限公司 | 在宽带接入服务器中跟踪限制用户共享上网的方法 |
| CN1929482B (zh) * | 2006-09-20 | 2010-08-04 | 华为技术有限公司 | 一种网络业务认证方法及装置 |
| CN101399718A (zh) * | 2007-09-29 | 2009-04-01 | 上海贝尔阿尔卡特股份有限公司 | 接入网络中控制用户设备接入组播业务的方法和装置 |
| CN101146044B (zh) * | 2007-10-24 | 2010-07-07 | 杭州华三通信技术有限公司 | 一种构建终端拓扑的方法和装置 |
| CN101159846B (zh) * | 2007-11-14 | 2011-06-08 | 华为技术有限公司 | 一种限定终端访问地址的方法、装置和系统 |
| CN101222411B (zh) * | 2008-01-22 | 2010-11-10 | 华为技术有限公司 | 企业用户更改服务质量参数的方法、接入设备和系统 |
| CN101227282B (zh) * | 2008-01-29 | 2011-05-11 | 中兴通讯股份有限公司 | 混合授权方法和宽带接入认证系统 |
| CN101600200B (zh) * | 2008-06-02 | 2012-10-17 | 华为技术有限公司 | 异构网络间切换的方法、移动节点及认证接入点 |
| CN101483674B (zh) * | 2009-02-12 | 2013-01-09 | 迈普通信技术股份有限公司 | 数据跨域查找方法 |
| CN102075504B (zh) * | 2009-11-20 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种实现二层门户认证的方法、系统及门户服务器 |
| EP2684151B1 (en) * | 2011-03-08 | 2018-09-12 | Telefonica S.A. | A method for providing authorized access to a service application in order to use a protected resource of an end user |
| WO2011116710A2 (zh) | 2011-04-28 | 2011-09-29 | 华为技术有限公司 | 一种邻居发现的方法,装置和系统 |
| US20150288670A1 (en) * | 2012-09-28 | 2015-10-08 | Hewlett-Packard Development Company, L.P. | Qr code utilization in self-registration in a network |
| CN104580116B (zh) * | 2013-10-25 | 2018-09-14 | 新华三技术有限公司 | 一种安全策略的管理方法和设备 |
| CN103685283B (zh) * | 2013-12-18 | 2016-07-27 | 烽火通信科技股份有限公司 | 一种通信网络管理的认证授权系统及方法 |
| CN111385318B (zh) * | 2018-12-27 | 2022-11-08 | 北京数聚鑫云信息技术有限公司 | 一种部署和/或使用api服务的方法、装置及云服务网络 |
-
2002
- 2002-12-26 CN CN 02160065 patent/CN1265580C/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098510A1 (fr) * | 2007-02-13 | 2008-08-21 | Huawei Technologies Co., Ltd. | Procédé et appareil d'acquisition d'informations de contrôleur d'accès dans un réseau local sans fil |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1510862A (zh) | 2004-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1265580C (zh) | 一种对网络用户进行认证和业务管理的方法 | |
| CN1192574C (zh) | 受控组播的系统及其实现方法 | |
| EP2624525B1 (en) | Method, apparatus and virtual private network system for issuing routing information | |
| EP1715628B1 (en) | A method for realizing the multicast service | |
| EP2433401B1 (en) | Dynamic management of network flows | |
| CN100550955C (zh) | 大容量宽带接入方法及系统 | |
| EP1670205A1 (en) | Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| CA2333495A1 (en) | Internet protocol-based computer network service | |
| CN1661991A (zh) | 用户线容纳设备和包过滤方法 | |
| CN1845491A (zh) | 802.1x的接入认证方法 | |
| EP0838933A1 (en) | Method and apparatus for access level control in a metropolitan aera network | |
| US20050226257A1 (en) | Virtual local area network | |
| AU2010255430A1 (en) | Dynamically configuring attributes of a parent circuit on a network element | |
| CN1835514B (zh) | Dhcp+客户端模式的宽带接入的管理方法 | |
| CN101212375B (zh) | 控制用户使用代理上网的方法 | |
| CN1553341A (zh) | 基于客户端的网络地址分配方法 | |
| WO2008151491A1 (fr) | Un système réseau p2p et son procédé d'application | |
| EP1244265A2 (en) | Integrated policy implementation service for communication network | |
| CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| JP4393132B2 (ja) | マルチキャスティング・プロキシのマルチレイヤ・ユーザ・マネジメント方法 | |
| CN1581833A (zh) | 公共互联网连接服务系统及接入线连接设备 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN1571382A (zh) | 实现网络专线接入的方法 | |
| CN101227309B (zh) | 下一代网络组播业务接纳控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060719 |