CN1429005A

CN1429005A - 一种宽带网络认证、授权和计费的方法

Info

Publication number: CN1429005A
Application number: CN 01145575
Authority: CN
Inventors: 谢放平
Original assignee: Shanghai No 2 Research Institute of ZTE Corp
Current assignee: ZTE Corp
Priority date: 2001-12-25
Filing date: 2001-12-25
Publication date: 2003-07-09
Anticipated expiration: 2021-12-25
Also published as: CN100463479C

Abstract

本发明涉及一种宽带网络认证、授权和计费的方法，当用户通过拨号或Telnet接入集中器后，接入集中器提示用户输入用户名和密码，并把用户输入的信息发送至AAAServer进行认证，如果认证成功则接入集中器建立一个动态的访问控制列表(ACL)，授权用户访问所述接入集中器初始化时未授权用户访问的网络，同时接入集中器发送计费信息给AAAServer，然后开始检测与用户的连接，如果检测到该用户的连接已断，则删除上述已建立的动态访问控制列表(ACL)，发送计费结束信息。本发明的方法提高了协议效率，降低了协议的复杂度，降低了软硬件的成本。

Description

一种宽带网络认证、授权和计费的方法

技术领域

本发明涉及通信系统，具体涉及应用于接入集中器的宽带网络认证、授权和计费的方法。

背景技术

宽带网络将成为网络技术的主流，但实现对用户的认证、授权、计费--AAA(Authentication，Authorization，Accounting)，达到对宽带网络的可控制、可计费、可运营的目的，一直是网络运营商和ISP期待解决的问题。现有的主要实现方法是PPPoE(RFC2516)。PPPoE有2个不同阶段：Discovery阶段和PPP会话阶段。当一个主机发起一个PPP会话时，首先必须经由Discovery阶段确定哪一个服务器可以满足客户请求，然后确定对方的MAC(媒介访问)地址，建立一个PPP会话标识。Discovery实际上是一个client-server关系。在Discovery阶段，主机(client)在其发现的一个或多个接入集中器(servers)中选择一个。当Discovery阶段完成，主机(client)和被选中的接入集中器(servers)建立一个点对点的在以太网的连接。详细的实现细节可参见RFC 2516。现有的PPPoE方法具有以下缺点：PPPoE实现采用RFC1483桥接，主机(client)和接入集中器(servers)之间只能是一个二层的网络；协议栈复杂，如主机(client)和接入集中器(servers)之间是ATM，需要开发PPPoEoA；协议的开销大，效率低；硬件的要求高，协议需要多次封装和解封装，很难实现线速的交换，容易成为一个网络瓶颈。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，为了在接入集中器实现对用户认证、授权和计费而提出一种效率高、实现简单的方法，可解决当前技术如PPPoE实现复杂、效率较低、对硬件要求较高而实现昂贵等问题。

本发明可通过以下技术方案实现，提供一种宽带网络认证、授权和计费的方法，其特征在于，包括以下步骤：

(1)、接入集中器检测用户拨号或Telnet访问，提示用户输入认证信息；

(2)、接入集中器将用户输入的所述认证信息发送至AAA Server进行认证；

(3)、接入集中器根据所述AAA Server返回的认证信息，若认证失败，则返回第(1)步提示用户重新输入；若认证成功，则进入第(4)步；

(4)、接入集中器生成一个动态访问控制列表，授权该用户的IP地址访问所述接入集中器初始化时未授权用户访问的网络，并给用户发送连接成功消息；

(5)、所述接入集中器开始给AAA Server发送计费信息等；

(6)、维护进程定时或不定时检测所述接入集中器与用户端的连接；

(7)、若接入集中器检测到该用户断线，则进入第(8)步；若用户未断线，则返回第(6)步；

(8)、关掉第(4)步中所生成的动态访问控制列表；

(9)、接入集中器给所述AAA Server发送计费终止信息。

在本发明所述的方法中，在第(6)步中所述维护进程可采用由客户端软件定时发送Hello包的形式，若接入集中器在指定的N次未收到Hello包，则认为该用户连接已断。

下面将结合附图及实施例对本发明作进一步说明。

附图说明

图1是本发明的方法流程图；

图2是本发明的方法的原理框图。

具体实施方式

如图1所示，本发明提出的宽带网络认证、授权和计费的方法包括以下步骤：

步骤1、接入集中器检测用户拨号或Telnet(远程登录)访问，提示用户输入认证信息。在本步骤中，客户端(用户端)可以采用标准的Telnet方法，集中接入器端实现Telnet Server；也可以开发一个类似拨号的软件，集中接入器实现Server，用户端为Client。

步骤2、接入集中器将用户输入的所述认证信息发送至AAA Server进行认证。其中常用的AAA Server有Radius Server，Tacacs Server，Tacacs+Server等。

步骤3、接入集中器根据所述AAA Server返回的认证信息，若认证失败，则返回步骤1提示用户重新输入；若认证成功，则进入步骤4。

步骤4、接入集中器生成一个动态访问控制列表，授权该用户的IP地址访问所述接入集中器初始化时未授权用户访问的网络，并给用户发送连接成功消息。

步骤5、所述接入集中器开始给AAA Server发送计费信息等。其中的计费信息包括时长等信息。

步骤6、维护进程定时或不定时检测所述接入集中器与用户端的连接。维护进程可采用由客户端软件定时发送Hello包的形式，若接入集中器在指定的N次未收到Hello包，则认为该用户连接已断，Hello包在连接成功后开始发送；同时，可在接入集中器和用户之间采用认证机制，防止其他非法IP地址或其他非法Hello包，如在步骤1中采用Telent方法时，可采用接入集中器定时检测与用户的telnet TCP连接。

步骤7、若接入集中器检测到该用户断线，则进入步骤8；若用户未断线，则返回步骤6。

步骤8、关掉步骤4中所生成的动态访问控制列表，其生成的授权用户的访问权限被关闭，用户与其所访问网络之间的连接被断开。

步骤9、接入集中器给所述AAA Server发送计费终止信息。

本发明一个具体实施例的原理框图如图2所示，其中接入集中器可初始化设定访问列表，用户仅可以访问网络A(免费区域，广告网站等)，但不可以访问网络B(Internet等)。当用户通过拨号或Telnet接入集中器后，接入集中器提示用户输入用户名和密码，当用户输入了用户名及密码后，接入集中器再把用户名及密码发送至AAA Server进行认证，AAA Server返回认证信息，如果认证失败则提示用户重新输入用户名和密码，如果认证成功则接入集中器建立一个动态的访问控制列表(ACL)，授权该用户访问网络B，用户与网络B连连通后，接入集中器发送计费信息给AAA Server，其中包括时长等信息，并定时或不定时检测与用户的连接，如果检测到该用户的连接已断，则删除上述已建立的动态访问控制列表(ACL)，用户与网络B之间的连接被断开，此时用户不能再访问网络B，同时接入集中器给AAA Server发送计费结束信息。

本发明提出了动态访问控制列表实现认证、授权和计费的方法，在接入集中器上采用后，提高了协议效率，降低了协议的复杂度，降低了软硬件的成本；如采用交换引擎ASIC，可实现线速转发，解决瓶颈问题；可初始化设定用户可以访问某一特定网络，如用户可以免费访问运行商的广告网站等，便于运营商开展业务。另外，接入集中器上采用本发明提出的动态访问控制列表实现认证、授权和计费的方法，用户端和接入集中器之间能透穿L3(PPPoE不能)网络，可以提供大规模的三层网络如园区网宽带上网解决方案。

Claims

1、一种宽带网络认证、授权和计费的方法，其特征在于，包括以下步骤：

(5)、所述接入集中器开始给AAA Server发送计费信息等；

(8)、关掉第(4)步中所生成的动态访问控制列表；

(9)、接入集中器给所述AAA Server发送计费终止信息。

2、根据权利要求1所述的方法，其特征在于，在第(6)步中所述维护进程可采用由客户端软件定时发送Hello包的形式，若接入集中器在指定的次数内未收到Hello包，则认为该用户连接已断。