WO2011063562A1

WO2011063562A1 - 用户拨号认证方法、系统和设备

Info

Publication number: WO2011063562A1
Application number: PCT/CN2009/075143
Authority: WO
Inventors: 李鹏; 陈明映
Original assignee: 华为技术有限公司
Priority date: 2009-11-26
Filing date: 2009-11-26
Publication date: 2011-06-03
Also published as: CN102257790A; CN102257790B

Description

用户拨号认证方法、系统和设备技术领域本发明主要涉及通信技术领域，特别地，涉及一种用户拨号的认证方法和认证系统，以及一种用户拨号认证服务器。背景技术当用户进行宽带拨号上网时，传统的认证服务器如远程认证用户拨号 (Remote Authentication Dial In User Service) 服务器根据该用户提供的用户账号信息（比如用户名 /密码)对其进行认证，认证通过后，用户便可访问因特网 (Internet)。

为防止非法用户恶意盗取用户的用户名和密码而对合法用户以及运营商造成的损失，在现有技术中，认证服务器在进行认证时通常是根据预先配置在其内部的包含合法用户的账号信息和物理端口信息的绑定表对请求认证的用户提供的用户账号信息和物理端口信息进行匹配核对，如果二者相一致，则认证通过；否则，认证失败。

通过以上介绍可以看出，为实现用户拨号认证，在现有技术中需要在认证服务器中维护该包含用户账号信息和物理端口信息的用户信息绑定表。为使该认证服务器获取该绑定表，现有技术通常是通过在工程施工过程中建立并传递用户账号与物理端口的绑定信息。具体而言，运营商在进行工程布线施工时需要制作用户住址信息与设备物理端口信息的对应表；当用户开通宽带上网时，运营商将为该用户分配账号信息，根据用户登记的住址信息找到对应的设备物理端口信息，并将该账户信息和物理端口信息绑定并配置到认证服务器。由此，当用户进行拨号上网时，认证服务器便可根据其内部的用户信息绑定表对对该用户进行认证。

不过，现有技术中，为实现将用户的账号信息和物理端口信息绑定在认证服务器中，需要在工程施工和用户报装等各个阶段进行人工干预，且流程比较复杂，因此容易出错。发明内容

有鉴于此，本发明实施例提供一种能解决以上问题的用户拨号认证方法和认证系统，以及一种用户拨号认证服务器。本发明实施例提供的用户拨号认证方法，其包括：接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；当所述待认证用户为首次请求认证时，将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过；否则，根据所述绑定表对所述待认证用户进行认证。

本发明实施例提供的用户拨号认证系统，其包括：接入服务器和认证服务器；其中，所述接入服务器，用于将携带有待认证用户的账号信息和物理端口信息的接入请求报文提供给所述认证服务器；所述认证服务器，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证，当所述待认证用户为首次请求认证时将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过，否则根据所述绑定表对所述待认证用户进行认证。

本发明实施例提供的认证服务器，其包括：接收模块，用于接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；判断模块，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；认证模块，用于在所述待认证用户为首次请求认证时将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过，而在所述待认证用户不是首次请求认证时根据所述绑定表对所述待认证用户进行认证。

本发明实施例提供的用户拨号认证方法、系统和设备中，认证服务器在用户首次拨号时信任该首次拨号的用户为合法用户，并根据该用户的账号和物理端口信息建立绑定表，由此实现在建立绑定表和用户认证时减少人工干预、简化流程，降低出错概率。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图 1为本发明实施例提供的用户拨号认证系统的结构示意图；

图 2为本发明一种实施例提供的用户拨号认证方法的流程示意图；

图 3为本发明一种实施例提供的用户拨号认证方法中用户进行拨号上网的信令示意图；图 4为本发明一种实施例提供的用户拨号认证服务器的结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

为解决现有技术存在的问题，本发明实施例首先提供一种用户拨号认证方法。在所述用户拨号认证方法中，首先，认证服务器接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；其次，所述认证服务器根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；并且，当所述待认证用户为首次请求认证时，从所述接入请求报文中提取所述账号信息和物理端口信息，并将所述账号信息和物理端口信息绑定在内部绑定表；否则，根据所述绑定表对所述待认证用户进行认证。

进一步地，在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，所述认证服务器判断所述待认证用户认证通过，并向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。另外，在判断所述待认证用户是否为首次请求认证之前，所述认证服务器可先判断所述待认证用户的账号信息中的用户名和密码是否匹配，并在用户名和密码匹配时才执行后续流程。进一步地，所述待认证用户的物理端口信息是由接入设备提供并由所述接入服务器添加到所述接入请求报文。

通过本实施例提供的用户拨号认证方法可以看出，认证服务器在用户首次拨号时信任该首次拨号的用户为合法用户，并根据该用户的账号和物理端口信息建立绑定表，由此实现在建立绑定表和用户认证时减少人工干预、简化流程，降低出错概率。

为便于更好地理解以上所述用户拨号认证方法，以下结合图 1所示的网络系统架构和图 2所示的流程图，对本发明实施例提供的用户拨号认证方法进行详细说明。

请参阅图 1，本发明实施例提供的用户拨号认证方法可应用于如图 1所示的网络系统。该系统 100包括用户设备 110、接入设备 120、接入服务器 130和认证服务器 140。其中，所述用户设备 110通过所述接入设备 120连接到所述接入服务器 130，并且，所述接入服务器 130还进一步连接至所述认证服务器 140。在一种实施例中，所述接入设备 120可以为数字用户线接入复用器 (DSL Access Multiplexer, DSLAM)或者光线路终端 (Optical Line Terminal, OLT) ; 所述接入服务器 130可以为宽带接入服务器 (Broadband Access Server, BAS) ; 所述认证服务器 140可以为 Radius服务器。

请一并参阅图 2，其为本发明一种实施例提供的用户拨号认证方法的流程示意图。所述用户拨号认证方法包括：

步骤 S0，用户申请开通上网业务，并获得用户账号信息。

具体而言，用户可到运营商的营业厅提出开通拨号上网业务的申请，并登记用户相关信息，比如地址等。运营商接受该用户的申请后，直接为其提供账号信息，所述账号信息可以包括专属于所述用户的用户名和对应密码，当然，用户可以根据个人喜好更改所述用户密码。

步骤 Sl，所述用户进行拨号，以请求认证服务器 140对其接入请求进行认证。在开通拨号上网业务之后，当所述用户希望进行上网业务时，其便可根据其分配到的用户名和密码，通过对应用户设备 110进行拨号，以请求认证服务器 140对其进行接入合法性的认证。

请参阅图 3，所述用户进行拨号上网的步骤可具体如下：

301，所述用户通过其对应的用户设备 110发起会话请求报文。

302, 接入设备 120接收所述会话请求报文，并根据其接收到所述会话请求报文的端口，判断出所述用户的物理端口信息；进一步地，所述接入设备可进一步将所述用户的物理端口信息添加到所述会话请求报文，并发送给接入服务器 130。

303，所述接入服务器 130接收到所述携带有用户物理端口信息的会话请求报文之后，从其中提取出所述用户的物理端口信息，并在本地进行保存。

304，所述接入服务器 130向所述用户设备 110返回会话请求确认报文。所述会话请求确认报文通过所述接入设备 120，发送至所述用户设备 110。

305，所述用户设备 110接收到所述会话请求确认报文之后，生成携带有所述用户的账号信息 (包括用户名和密码)的认证请求报文，并通过所述接入设备 120发送到所述接入服务器 130。

306，所述接入服务器 130接收到所述携带有用户账号信息的认证请求报文之后，将存储在本地的所述用户的物理端口信息添加到所述认证请求报文，以生成与所述用户相对应的接入请求报文。由此，所述接入请求报文同时携带有所述用户的账号信息和物理端口信息。

307，所述接入服务器 130进一步将所述接入请求报文提供给所述认证服务器 140。由此，所述用户便实现通过所述接入设备 120和接入服务器 130，向所述认证服务器 140请求对其接入合法性进行认证。

请一并参阅图 2和图 3，在接收到所述接入服务器 130提供的接入请求报文之后，所述用户拨号认证方法进入步骤 S2。

步骤 S2，所述认证服务器 140判断所述用户的用户名和密码是否匹配。

具体而言，在接收到所述接入请求报文之后，所述认证服务器 140从其中提取出其携带的所述请求认证的用户的账号信息 (包括用户名和密码)和物理端口信息，并且判断所述用户名和密码是否匹配。

如果所述用户的用户名和密码相匹配，执行步骤 S3 ; 否则，执行步骤 S7，认证不通过。

步骤 S3，所述认证服务器 140判断所述用户是否为首次请求认证。

所述认证服务器 140可根据所述用户的账号信息，判断其是否为首次拨号。具体而言，所述认证服务器 140内部可维护有至少一具有用户账号信息和物理端口信息的用户信息绑定表。所述绑定表可如以下表 1所示，其包括多个表项，其中每个表项分别对应于一个已经通过所述认证服务器 140认证的用户的账号信息和物理端口信息。

表 1

在步骤 S3中，具体地，所述认证服务器 140可以在其内部的账号信息和物理端口信息的绑定表中进行查找，以判断所述绑定表中是否具有与所述账号信息相对应的表项。如果没有找到对应表项，表示所述用户为首次请求认证，则执行步骤 S4; 如果找到对应表项，表示所述并非首次请求认证，则执行步骤 S5。

步骤 S4，所述认证服务器 140在其内部绑定表中创建一条对应于所述用户的表项。

在本实施例中，在判断出所述用户为首次拨号的情况下，由于用户首次拨号即被盗号的几率极低，所述认证服务器 140可直接信任所述用户为合法用户，并将所述用户的账号信息和物理端口信息添加到所述绑定表中，从而在所述绑定表中创建一条对应于所述用户的表项，以表示所述用户已经通过所述认证服务器 140的认证。进一步地，在创建完关于所述用户的表项之后，所述用户拨号认证方法转至步骤 S6，认证通过。

步骤 S5，所述认证服务器 140根据其内部绑定表对所述用户进行认证。

具体而言，在判断出所述用户不是首次拨号的情况下，所述认证服务器 140根据其从所述绑定表中查找到的与所述用户对应的表项，判断所述接入请求报文中承载的物理端口信息是否与所述表项中的物理端口信息相匹配。如果相匹配，所述用户拨号认证方法转至步骤 S6，认证通过；否则，转至步骤 S7，认证不通过。

另外，在步骤 S6中，在判断出所述用户认证通过时，所述认证服务器 140可向所述接入服务器 130返回用于表示所述用户认证通过的接受接入报文。进一步地，所述接入服务器 130可将所述接受接入报文转换为对应的认证通过报文，并通过所述接入设备 120提供给所述用户设备 110，以通知所述用户其已经认证通过。此时便代表所述用户拨号上网成功，所述用户便可通过所述用户设备 110进行上网业务，在网络中进行数据传输，如图 3所示 (308-310)。

通过以上描述可以看出，本发明实施例在进行用户拨号认证时，所述认证服务器 140总是信任首次拨号的用户为合法用户。虽然在首次拨号发生非法用户恶意盗号的概率极低，但是为了进一步保证网络的安全性，本发明实施例还进一步提供一种首次拨号被盗号的防护机制。

具体而言，当发生首次拨号即被盗号时，合法用户的账号信息将与非法用户的物理端口地址绑定在所述认证服务器 140中。在这种情况下，合法用户将无法通过所述认证服务器 140的认证，其可进行报障处理。在接收到所述合法用户的报障之后，运营商的维护人员可根据所述合法用户提供的故障信息，通过对应设备的调试信息获知故障原因，并进一步修改所述认证服务器 140中的绑定表，从而解决以上首次拨号被盗号的问题。

通过以上描述可以看出，在本发明实施例提供的用户拨号认证方法中，所述认证服务器 140在用户首次拨号时总是信任该首次拨号的用户为合法用户，并根据该用户的账号信息和物理端口信息建立绑定表，此后便可直接利用所述绑定表对拨号的用户进行认证，整个过程中基本不需要进行人工干预。由此，本发明实施例便可实现在建立绑定表和用户认证时尽可能减少人工干预、简化流程，降低出错概率。

另外，应当理解的是，虽然在出现首次拨号即被盗号的情况下仍会出现需要维护人员根据故障信息修改所述认证服务器 140的情况，不过，由于首次拨号即被盗号的几率非常低，因此相较于现有技术，从总体上讲本发明实施例提供的用户拨号认证方法在建立绑定表和用户认证时仍可大大减少人工干预、降低出错概率。基于以上实施例提供的用户拨号认证方法，本发明实施例还进一步提供一种用户拨号认证系统，所述用户拨号认证系统可采用图 2所示的网络架构。

具体地，本发明实施例提供的用户拨号认证系统可包括接入服务器和认证服务器；

其中，所述接入服务器，用于将携带有待认证用户的账号信息和物理端口信息的接入请求报文提供给所述认证服务器；

所述认证服务器，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证，当所述待认证用户为首次请求认证时从所述接入请求报文中提取所述账号信息和物理端口信息，并将所述账号信息和物理端口信息绑定在内部绑定表，否则根据所述绑定表对所述待认证用户进行认证。

进一步地，所述用户拨号认证系统还可以包括：

接入设备，用于将所述待认证用户的物理端口信息提供给所述接入服务器，以使所述接入服务器将所述物理端口信息添加到所述接入请求报文。

进一步地，所述认证服务器还用于在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，还可以向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。

通过以上说明可以看出，本发明实施例提供的用户拨号认证系统同样可实现在建立绑定表和用户认证时减少人工干预、简化流程，降低出错概率。基于以上实施例提供的用户拨号认证方法和系统，本发明实施例还提供一种认证服务器。请参阅图 4，所述认证服务器 400包括接收模块 401、判断模块 402、认证模块 403和绑定表 404。

所述接收模块 401，用于接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；

所述判断模块 402，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；

所述认证模块 403，用于在所述待认证用户为首次请求认证时从所述接入请求报文中提取所述账号信息和物理端口信息，并将所述账号信息和物理端口信息绑定在内部绑定表 404，而在所述待认证用户不是首次请求认证时根据所述绑定表 404对所述待认证用户进行认证。

所述绑定表 404，用于记录通过认证的用户的账号信息和物理端口信息。

在具体实施例中，所述绑定表 404可包括多个表项，每个表项分别对应于一个通过认证的用户，且其包括由所述认证模块 403提供的所述通过认证的用户的账号信息和物理端口信息。

进一步地，所述认证模块还用于在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、一种用户拨号认证方法，其特征在于，包括：

接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；

根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；

当所述待认证用户为首次请求认证时，将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过；否则，根据所述绑定表对所述待认证用户进行认证。

2、如权利要求 1所述的用户拨号认证方法，其特征在于，还包括：在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。

3、如权利要求 1所述的用户拨号认证方法，其特征在于，所述待认证用户的物理端口信息是由接入设备提供并由所述接入服务器添加到所述接入请求报文。

4、如权利要求 1至 3中任一项所述的用户拨号认证方法，其特征在于，还包括：在判断所述待认证用户是否为首次请求认证之前，判断所述待认证用户的账号信息中的用户名和密码是否匹配。

5、一种用户拨号认证系统，其特征在于，包括接入服务器和认证服务器；其中，所述接入服务器，用于将携带有待认证用户的账号信息和物理端口信息的接入请求报文提供给所述认证服务器；

所述认证服务器，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证，当所述待认证用户为首次请求认证时，将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过，否则根据所述绑定表对所述待认证用户进行认证。

6、如权利要求 5所述的用户拨号认证系统，其特征在于，还包括：

7、如权利要求 5或 6所述的用户拨号认证系统，其特征在于，所述认证服务器还用于在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。

8、一种认证服务器，其特征在于，包括：

接收模块，用于接收由接入服务器提供的接入请求报文，其中所述接入请求报文携带有待认证用户的账号信息和物理端口信息；

判断模块，用于根据所述接入请求报文中的账号信息，判断所述待认证用户是否为首次请求认证；

认证模块，用于在所述待认证用户为首次请求认证时将所述待认证用户的账号信息和物理端口信息绑定在内部绑定表，并认证通过，而在所述待认证用户不是首次请求认证时根据所述绑定表对所述待认证用户进行认证。

9、如权利要求 8所述的认证服务器，其特征在于，所述认证模块还用于在将首次请求认证的用户的账号信息和物理端口信息绑定在内部绑定表之后，向所述接入服务器返回表示所述待认证用户认证通过的接受接入报文。

10、如权利要求 8或 9所述的认证服务器，其特征在于，所述绑定表包括多个表项，每个表项包括由所述认证模块提供的用户账号信息和用户物理端口信息。