WO2014110984A1

WO2014110984A1 - 用户终端接入网络的认证方法及装置

Info

Publication number: WO2014110984A1
Application number: PCT/CN2014/070100
Authority: WO
Inventors: 黄孙亮; 王怀滨; 卢应华; 赵青; 胡继成; 陈建业; 吴萍
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-01-17
Filing date: 2014-01-03
Publication date: 2014-07-24
Also published as: CN103067407A; CN103067407B

Abstract

本发明公开了一种用户终端接入网络的认证方法及装置，在上述方法中，采用基于线路信息的IPoE认证方式对用户终端进行认证；如果认证失败，则采用基于互联网Web的IPoE认证方式对用户终端进行认证，其中，如果基于Web的IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。根据本发明提供的技术方案，不仅能够有效保障用户的帐号安全，还继承了基于线路信息的IPoE认证方式的即插即用的优点，并且在具体业务部署时可以高效实现用户线路信息与具体用户帐号一一对应。

Description

用户终端接入网络的认证方法及装置

技术领域本发明涉及通信领域，具体而言，涉及一种用户终端接入网络的认证方法及装置。背景技术随着宽带网络技术的发展，交互式网络电视（IPTV)机顶盒、个人计算机（PC)、网络电话（VOIP)话机、家庭网关等宽带互联网协议（IP) 终端得到了广泛应用。为保障网络的安全、稳定运行，需要对各种宽带 IP终端进行认证。为了解决相关技术中的基于以太网的点对点协议（PPPoE) 方式无法满足组播复制点下移，难以支持即插即用等方面的问题。大量的基于以太网的互联网协议（IPoE) 认证方式应运而生，其中，可以包括：基于互联网（Web) 的 IPoE认证方式、基于线路信息的 IPoE认证方式等。基于 Web的 IPoE认证方法需要用户在每次登录时都需要输入用户帐号和密码，其登录过程较为繁琐，且需要所有终端均支持 Web方式，该方式既无法做到即插即用，同时还对终端提出了较高的要求。图 1是根据相关技术的 Web认证与线路信息认证相结合的 IPoE认证方法相关的基于 Web的 IPoE认证方式的处理流程图。如图 1所示，该优选实施例涉及的设备和系统可以包括：用户终端、接入网络、网络业务控制设备（内置 DHCP Server)、门户服务器（Portal Server) 以及鉴权、授权及计费服务器（Authentication Authorization and Accounting, 简称为 AAA) 认证系统。具体的处理步骤如下：步骤 S102: 用户接入网络需要获取 IP 地址和网络访问的权限，发起 DHCP discovery请求；步骤 S104: 网络业务控制设备接收到用户的 DHCP 发现（discovery)请求，向用户返回 DHCP提供（Offer) 报文；步骤 S 106: 用户终端在接收到 DHCP Offer报文后，发送 DHCP请求（request) 报文请求；步骤 SI 08: 网络业务控制设备在接收到 DHCP request报文后，向用户终端发送 DHCPACK消息，为用户分配 IP地址；并在网络业务控制设备中维护用户的状态信息，针对该用户应用网络策略，强制该用户到指定页面进行基于 Web的 IPoE认证；步骤 S 110: 用户访问 Web应用，被网络业务控制设备重定向到指定的 Web认证页面；步骤 S112: Portal Server接收到用户的页面请求，向用户发送相应页面；步骤 S114: 用户在认证页面中输入用户帐号和密码信息；步骤 S116: Portal Server获得用户输入的用户帐号和密码信息，通过和网络业务控制设备之间的接口（portal协议或私有协议）传递给网络业务控制设备；步骤 S118: 网络业务控制设备在获取用户帐号和密码后，采用与 AAA系统之间的认证协议（可采用 Radius协议）为用户发起认证请求；步骤 S120: AAA认证系统接收到认证请求，根据用户帐号和密码信息对用户进行认证；认证通过，向网络业务控制设备返回认证成功消息，并携带与该用户对应的网络策略；网络业务控制设备接收到认证成功消息为该用户应用新的网络策略，允许用户接入使用网络；步骤 S122: 网络业务控制设备向 Portal Server发送认证成功消息；步骤 S124: Portal Server接收到网络业务控制设备发送的认证成功消息，向该用户推送认证成功页面。而基于线路信息的 IPoE认证方式，采用用户终端的媒体接入控制（MAC) 地址和 /或线路信息等进行认证，无需用户输入用户帐号和密码，虽可以做到即插即用，但却存在着 MAC地址欺骗、线路信息难以与实际用户一一对应、业务开通困难等问题。图 2是根据相关技术的 Web认证与线路信息认证相结合的 IPoE认证方法相关的基于线路信息的 IPoE认证方式的处理流程图。如图 2所示，该方法涉及的设备和系统可以包括：用户终端、接入网络、网络业务控制设备（内置 DHCP Server) 以及 AAA 认证系统。具体的处理步骤如下：步骤 S202: 用户接入网络需要获取 IP 地址和网络访问的权限，发起 DHCP discovery请求；接入网络在用户的请求报文中添加相应的线路信息（线路信息可以包括：用户所在的线路信息、接入点标识、电信运营商自定义的标识信息、用户信息等，具体填入的 DHCP Option字段可以是 Option82、 Option60 Option61、 Optionl2等）；步骤 S204: 网络业务控制设备接收到用户的接入请求 DHCP discovery, 处理用户的请求，从请求消息中提取认证所需的线路信息，并采用 Radius协议与 AAA认证系统进行交互，为用户请求接入认证，向 AAA认证系统发送 Access-request报文，报文中的 User-name、 Passwords NAS-Port-ID等属性的信息提取自用户 DHCP Discovery 请求消息中所携带的相关线路信息；步骤 S206: AAA认证系统对用户进行认证，如果认证成功，则返回认证成功响应消息 Access-accept, 在 Access-accept消息中，不仅有认证成功的标识，还携带有对应用户的网络策略信息；步骤 S208: 网络业务控制设备接收到 AAA认证系统返回的认证成功消息，应用与用户对应网络策略；并采用内置的 DHCP Server为用户分配相应的 IP地址，向用户发送 DHCP Offer报文；步骤 S210: 用户终端在接收到 DHCP Offer报文后，向网络业务控制设备发送 DHCP request报文；步骤 S212:网络业务控制设备内置的 DHCP Server在接收到 DHCP request报文后，响应 DHCPACK报文，用户地址分配完成，可以访问网络。因而，相关技术中缺少一种既能保障网络安全、稳定，同时又便于部署和实施、便于用户使用的 IPoE认证方法。发明内容本发明提供了一种用户终端接入网络的认证方法及装置，以至少解决相关技术中缺少一种既能保障网络安全、稳定，同时又便于部署和实施、便于用户使用的 IPoE认证方法的问题。根据本发明的一个方面，提供了一种用户终端接入网络的认证方法。根据本发明的用户终端接入网络的认证方法包括：采用基于线路信息的 IPoE认证方式对用户终端进行认证；如果认证失败，则采用基于 Web的 IPoE认证方式对用户终端进行认证，其中，如果基于 Web的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。优选地，在采用基于线路信息的 IPoE认证方式对用户终端进行认证之前，还包括：确定对用户终端所采用的认证类型。优选地，采用基于线路信息的 IPoE认证方式对用户终端进行认证包括：在确定对用户终端所采用的认证类型为基于线路信息的 IPoE认证方式条件下，接收来自于用户终端的接入请求，其中，接入请求中携带有用户终端的线路信息；判断当前是否存在与线路信息匹配的用户线路认证帐号；如果存在，则允许用户终端接入网络。优选地，采用基于 Web的 IPoE认证方式对用户终端进行认证包括：在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下，经由网络业务控制设备接收通过 Web页面获取的用户的用户帐号信息；根据获取到的用户帐号信息对用户终端进行认证，其中，如果认证成功，则建立用户帐号信息与线路信息的对应关系，形成用户线路认证帐号，并允许用户终端接入网络。优选地，在建立用户帐号信息与线路信息的对应关系之后，还包括：如果用户帐号信息或者线路信息发生变化，则删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。根据本发明的另一方面，提供了一种用户终端接入网络的认证装置。根据本发明的用户终端接入网络的认证装置包括：第一认证模块，设置为采用基于线路信息的基于以太网的互联网协议 IPoE认证方式对用户终端进行认证；第二认证模块，设置为在第一认证模块认证失败的情况下，则采用基于互联网 Web的 IPoE认证方式对用户终端进行认证，其中，如果基于 Web的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。优选地，上述装置还包括：确定模块，设置为确定对用户终端所采用的认证类型。优选地，第一认证模块包括：接收单元，设置为在确定模块确定对用户终端所采用的认证类型为基于线路信息的 IPoE认证方式的条件下，接收来自于用户终端的接入请求，其中，接入请求中携带有用户终端的线路信息；判断单元，设置为判断当前是否存在与线路信息匹配的用户线路认证帐号；认证单元，设置为在判断单元输出为是时，则允许用户终端接入网络。优选地，第二认证模块包括：获取单元，设置为在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下，经由网络业务控制设备接收通过 Web页面获取的用户的用户帐号信息；认证单元，设置为根据获取到用户帐号信息对用户终端进行认证，其中，如果认证成功，则建立用户帐号信息与线路信息的对应关系，形成用户线路认证帐号，并允许用户终端接入网络。优选地，上述装置还包括：重置模块，设置为在用户帐号信息或者线路信息发生变化时，删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。通过本发明，采用基于线路信息的基于以太网的互联网协议 IPoE认证方式对用户终端进行认证；如果认证失败，则采用基于互联网 Web的 IPoE认证方式对用户终端进行认证，解决了相关技术中缺少一种既能保障网络安全、稳定，同时又便于部署和实施、便于用户使用的 IPoE认证方法的问题，不仅能够有效保障用户的帐号安全，同时在业务部署时可高效实现用户的线路信息与具体用户的帐号信息一一对应，而且还继承了基于线路信息的 IPoE认证方式的即插即用的优点。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1是根据相关技术的 Web认证与线路信息认证相结合的 IPoE认证方法相关的基于 Web的 IPoE认证方式的处理流程图；图 2是根据相关技术的 Web认证与线路信息认证相结合的 IPoE认证方法相关的基于线路信息的 IPoE认证方式的处理流程图；图 3是根据本发明实施例的用户终端接入网络的认证方法的流程图；图 4是根据本发明优选实施例的 Web认证与线路信息认证相结合的 IPoE认证方法的流程图；图 5是根据本发明优选实施例的 AAA认证系统获取用户的用户帐号与密码的处理方式示意图；图 6是根据本发明优选实施例的 AAA认证系统的 IPoE认证业务处理流程图；图 7是根据本发明优选实施的 Web认证与线路信息认证相结合的 IPoE认证方法中用户首次上线的处理流程图；图 8是根据本发明优选实施例的 Web认证与线路信息认证相结合的 IPoE认证方法中用户非首次上线的处理流程图；图 9是根据本发明实施例的用户终端接入网络的认证装置的结构框图；以及图 10是根据本发明优选实施例的用户终端接入网络的认证装置的结构框图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。图 3是根据本发明实施例的用户终端接入网络的认证方法的流程图。如图 3所示，该方法可以包括以下处理步骤：步骤 S302: 采用基于线路信息的基于以太网的互联网协议 IPoE认证方式对用户终端进行认证；步骤 S304: 如果认证失败，则采用基于互联网 Web的 IPoE认证方式对用户终端进行认证，其中，如果基于 Web的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。相关技术中，缺少一种既能保障网络安全、稳定，同时又便于部署和实施、便于用户使用的 IPoE认证方法。采用如图 3所示的方法，有效地结合了基于 Web的 IPoE 认证方式和基于线路信息的 IPoE认证方式的优点。在用户首次上线时，采用 Web方式进行基于用户帐号、密码的方式进行认证，在认证成功后，绑定该用户的用户帐号信息和线路信息，形成对应关系记录及用户线路认证帐号；使得用户后续接入网络时，可基于线路信息进行 IPoE认证，实现即插即用，避免繁琐的输入用户帐号和密码的过程，不仅能够有效保障用户的帐号安全，同时在业务部署时实现了用户的线路信息与具体用户的帐号信息一一对应，而且还继承了基于线路信息的 IPoE认证方式的即插即用的优点。在优选实施例中，当用户首次接入网络时，默认采用基于线路信息的 IPOE认证方式。由于 AAA认证系统中仅存在用户帐号与密码，尚未绑定该用户的线路信息，形成该用户的线路认证帐号，因而认证失败； AAA系统返回认证失败消息，并下发强制该用户到指定的 Web认证页面进行认证的策略；网络业务控制设备接收到认证失败消息，执行强制用户到指定 Web认证页面的策略，并为该用户分配相应的 IP地址；用户发起 Web访问请求，网络业务控制设备将用户请求重定向至指定的门户网站服务器（Portal Server); 用户在认证页面中输入用户帐号和密码； Portal Server在获取到用户的用户帐号和密码之后，通过与网络业务控制设备之间的协议接口向网络业务控制设备进行反馈；网络业务控制设备接收到用户帐号与密码信息，向 AAA认证系统发起针对该用户的认证请求； AAA认证系统根据用户的用户帐号与密码进行认证；如果认证成功，绑定该用户的线路信息，形成用户线路信息与用户帐号信息的对应关系，并形成该用户的线路认证帐号，同时向网络业务控制设备返回认证成功消息，其中，认证成功消息中可以携带：用户的网络策略、允许用户使用的网络；网络业务控制设备向 Portal Server反馈用户认证结果； Portal Server向用户推送认证结果页面。用户后续接入网络（即非首次接入网络），由于用户已经通过首次认证， AAA认证系统中已经有该用户的线路认证帐号，可以顺利通过线路认证。具体的处理流程如下：用户接入网络，发起接入认证请求；网络业务控制设备默认采用基于线路信息的 IPoE认证方式，向 AAA系统发起针对该用户的认证请求； AAA系统根据用户的线路信息对用户进行认证，如果认证成功，向网络业务控制设备返回认证成功消息，其中，认证成功消息可以携带：用户的网络策略、允许用户使用网络；网络业务控制设备为该用户分配相应的 IP地址，并应用该用户的网络策略；至此，用户可以正常使用网络。优选地，在步骤 S302，采用基于线路信息的 IPoE认证方式对用户终端进行认证之前，还可以包括以下步骤：确定对用户终端所采用的认证类型。优选地，在步骤 S302中，采用基于线路信息的 IPoE认证方式对用户终端进行认证可以包括以下操作：步骤 S1 : 在确定对用户终端所采用的认证类型为基于线路信息的 IPoE认证方式条件下，接收来自于用户终端的接入请求，其中，接入请求中携带有用户终端的线路信息；步骤 S2: 判断当前是否存在与线路信息匹配的用户线路认证帐号；步骤 S3: 如果存在，则允许用户终端接入网络。优选地，在步骤 S304中，采用基于 Web的 IPoE认证方式对用户终端进行认证可以包括以下步骤：步骤 S4: 在当前不存在与线路信息匹配的用户线路认证帐号的情况下，经由网络业务控制设备接收通过 Web页面获取的用户的用户帐号信息；步骤 S5:根据获取到的用户帐号信息对用户终端进行认证，其中，如果认证成功，则建立用户帐号信息与线路信息的对应关系，形成用户线路认证帐号，并允许用户终端接入网络。在优选实施过程中，用户帐号信息可以为用户在运营商开通业务时获得的用户帐号，用于基于 Web的 IPoE认证方式；而用户线路认证帐号用于基于线路信息的 IPoE 认证方式。在优选实施例中，系统默认采用基于线路信息的 IPoE认证方式进行用户认证；在基于线路信息认证的条件下，如果认证成功，则用户正常使用网络；如果认证失败，则强制用户到指定的 Web认证页面进行认证。在基于 Web方式认证的条件下，如果 Web认证通过，则将用户的线路信息与用户帐号信息进行绑定，形成对应关系，并生成用户的线路认证帐号。当该用户下次接入时，线路认证可立即获得通过，而无须再经过 Web认证；如果 Web认证失败，则继续强制用户到上述指定的 Web认证页面进行认证。优选地，在步骤 S5，建立用户帐号信息与线路信息的对应关系之后，还可以包括以下处理：如果用户帐号信息或者线路信息发生变化，则删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。在优选实施例中， AAA认证服务器需要对用户的认证请求进行区分处理，对用户的用户帐号、密码、线路信息分别进行管理，根据认证情况进行对应、绑定和入库等操作，具体的处理流程如下： AAA认证服务器在接收到用户认证请求后，首先需要对认证类型进行判断，即基于线路信息的 IPOE认证方式或者基于 Web的 IPoE认证方式；

( 1 ) AAA认证服务器在基于线路信息的 IPoE认证方式下，如果用户通过认证，则下发与用户所属套餐对应的网络策略，允许用户使用网络；如果用户认证失败，则向该用户下发强制用户到指定页面进行基于 Web的 IPoE认证的网络策略； (2) AAA认证服务器在基于 Web的 IPoE认证方式下，如果认证失败，则维持用户现有策略，即强制用户到指定页面进行认证的策略；如果认证成功，则返回认证成功消息，并下发与用户所属套餐对应的网络策略，允许用户使用网络；同时，还需要对用户线路信息和用户帐号信息进行绑定，形成对应关系，将用户线路信息入库，形成用户的线路认证帐号，以使后续用户接入网络，采用基于线路信息的 IPoE认证方式请求认证时，可通过网络认证。下面结合图 4至图 8中所示的优选实施方式对上述优选实施过程做进一步地描述。图 4是根据本发明优选实施例的 Web认证与线路信息认证相结合的 IPoE认证方法的流程图。如图 4所示，该流程可以包括以下步骤：步骤 S402: 该优选实施例默认采用基于线路信息的 IPoE认证方式；步骤 S404: 判断线路认证是否成功；如果认证成功，则允许用户接入网络，流程结束；如认证失败，则转到步骤 S406; 步骤 S406: 进入基于 Web的 IPoE认证方式；步骤 S408: 在基于 Web的 IPoE认证方式下，判断认证是否成功；如认证成功，则继续执行步骤 S410; 如认证失败，则返回认证失败消息，维持用户的网络策略，即转到步骤 S406，强制用户到指定页面进行基于 Web的 IPoE认证；步骤 S410: 绑定用户线路信息，形成该用户的用户帐号和线路信息的对应关系记录及用户的线路认证帐号，并返回认证成功消息，允许用户接入网络；流程结束。在该优选实施例中，由于 AAA认证系统中在初始状态下并没有用户的线路信息，因而，用户在首次采用基于线路信息的 IPoE认证时，会出现认证失败，进入基于 Web 的 IPoE认证处理流程，强制用户进行 Web方式的 IPoE认证。通过上述方式，实现了用户首次接入网络时采用基于 Web方式的认证，要求用户输入用户帐号和密码信息进行认证，加强了安全性。在用户首次通过 Web认证之后，绑定用户的线路信息并生成线路认证帐号，使得用户后续可以通过基于线路信息的 IPoE认证，从而实现即插即用，以简化用户操作。当用户帐号或者线路信息发生变更时，只需删除该用户的用户帐号和线路信息的绑定记录关系及用户的线路认证帐号即可。用户再次接入网络时会被强制跳转到指定页面进行基于 Web的 IPoE认证。如果认证成功，则再次形成绑定关系和线路认证帐号。图 5是根据本发明优选实施例的 AAA认证系统获取用户的用户帐号与密码的处理方式示意图。如图 5所示，客户关系管理（CRM) 系统将用户的用户帐号、密码信息同步到 AAA认证系统。在 CRM系统中维护着用户的用户帐号和密码信息。 CRM 系统通过与 AAA认证系统之间的接口将用户的用户帐号及密码信息同步到 AAA认证系统，使得 AAA认证系统可以基于用户的用户帐号和密码信息对用户进行认证。在此过程中，同步的信息不包含用户的线路信息。图 6是根据本发明优选实施例的 AAA认证系统的 IPoE认证业务处理流程图。如图 6所示，在本发明中结合了基于 Web的 IPoE认证方式和基于线路信息的 IPoE认证方式，该流程可以包括以下处理步骤：步骤 S602: AAA认证系统接收认证请求；步骤 S604: AAA认证系统对认证类型进行判断，确定是基于线路信息的 IPoE认证还是基于 Web的 IPoE认证；如果是基于线路信息的 IPoE认证，则转到步骤 S606; 如果是基于 Web的 IPoE认证，则转到步骤 S608; 步骤 S606: 在判断为基于线路信息的 IPoE认证条件下，基于线路信息对用户进行认证，如果认证成功，则继续执行步骤 S610; 如果认证失败，则转到步骤 S612; 步骤 S608: 在判断为基于 Web的 IPoE认证条件下，基于 Web方式对用户进行认证，根据用户的用户帐号和密码信息进行认证；如果认证成功，则转到步骤 S614; 如果认证失败，则转到步骤 S616; 步骤 S610: 返回认证成功消息，允许该用户使用网络；流程结束；步骤 S612: 返回认证失败消息，并针对该用户下发强制到指定页面进行基于 Web 的 IPoE认证的策略；流程结束；步骤 S614: 返回认证成功消息，允许用户使用网络，同时绑定用户的线路信息，形成与用户帐号对应的对应关系记录以及线路认证帐号；流程结束；步骤 S616: 返回认证失败消息，维持用户的策略，继续强制用户到指定页面进行基于 Web的 IPoE认证；流程结束。图 7是根据本发明优选实施的 Web认证与线路信息认证相结合的 IPoE认证方法中用户首次上线的处理流程图。如图 7所示，该优选实施例涉及的设备和系统可以包括：用户终端、接入网络、网络业务控制设备（内置 DHCP Server )、 Portal Server以及 AAA认证系统。具体的处理步骤如下：步骤 S702：用户接入网络需要获取 IP地址和网络访问的权限，发起 DHCP请求；接入网络在用户的请求报文中添加相应的线路信息（可添加在 DHCP报文的 Option82 字段）；步骤 S704: 网络业务控制设备接收到用户的接入请求消息（DHCP discovery), 采用基于线路信息的 IPoE认证方式处理用户的请求，提取用户的线路信息，采用与 AAA 认证系统间的认证协议（可采用 Radius协议）为用户请求接入认证；步骤 S706: AAA认证系统根据接收到的认证请求对用户进行认证；由于该用户为首次上线， AAA认证系统中没有该用户的线路信息，因而认证失败； AAA认证系统向网络业务控制设备返回认证失败消息，并携带了强制该用户至指定的页面（位于 Portal Server) 进行基于 Web的 IPoE认证；步骤 S708: 网络业务控制设备接收到针对该用户的认证失败消息，为该用户分配 IP地址，并应用网络策略（强制该用户至指定的页面进行基于 Web的 IPoE认证）；步骤 S710: 用户获得 IP地址后，发起 Web访问，被网络业务控制设备强制重定向至 Portal Server; 步骤 S712: Portal Server向用户终端推送 Web认证页面；步骤 S714: 用户在 Web认证页面中输入用户帐号和密码，发送至 Portal Server; 步骤 S716: Portal Server提取用户的用户帐号和密码信息，通过与网络业务控制设备之间的接口协议，将用户的用户帐号和密码信息传递给网络业务控制设备；步骤 S718: 在网络业务控制设备接收到用户的用户帐号和密码信息后，采用与 AAA认证系统间的认证协议（可采用 Radius协议）为用户请求接入认证；步骤 S720: AAA认证系统接收到网络业务控制设备发送的用户认证请求，根据用户的用户帐号和密码信息对用户进行认证；如果认证成功，则绑定用户的线路信息，并形成用户线路信息与用户的用户帐号的对应关系记录以及用户线路认证帐号。同时， AAA认证系统也向网络业务控制设备返回认证成功消息，携带与用户对应的网络策略，允许用户接入并使用网络；网络业务控制设备接收到认证成功消息，应用该用户新的网络策略，允许用户接入并使用网络；步骤 S722: 网络业务控制设备向 Portal Server返回针对该用户的认证成功消息；步骤 S724: 在 Portal Server接收网络业务控制设备发送过来的该用户的认证成功消息后，向该用户推送认证成功页面；在该优选实施例中，用户首次上线的处理流程特点主要在于：同时结合了基于线路信息的 IPoE认证和基于 Web的 IPoE认证方式。默认采用的是线路认证，但由于 AAA系统并无用户的线路信息；因而，用户将被强制到指定的页面进行基于 Web的 IPoE认证，由此保证了用户首次认证需要通过 Web页面，输入用户帐号和密码进行认证，确保认证过程的安全性。在用户 Web认证成功后自动绑定用户的线路信息形成用户线路认证帐号，使得该用户后续可通过基于线路信息的 IPoE认证，无需再通过 Web 方式输入用户帐号和密码，从而实现了即插即用；同时，也解决了在具体部署实施过程中，用户帐号和用户线路信息难以一一对应的问题，降低了部署的难度。图 8是根据本发明优选实施例的 Web认证与线路信息认证相结合的 IPoE认证方法中用户非首次上线的处理流程图。如图 8所示，该优选实施例涉及的设备和系统可以包括：用户终端、接入网络、网络业务控制设备（内置 DHCP Server) 以及 AAA认证系统。具体的处理步骤如下：步骤 S802: 用户接入网络需要获取 IP地址和网络访问的权限，发起 DHCP请求；接入网络在用户的请求报文中添加相应的线路信息（具体可以添加在 DHCP 报文的 Option82字段）；步骤 S804: 网络业务控制设备接收到用户的接入请求（DHCP discovery), 采用基于线路信息的 IPoE认证方式处理用户的请求，提取用户的线路信息，采用与 AAA认证系统间的认证协议（可采用 Radius协议）为用户请求接入认证；步骤 S806: AAA认证系统接收到网络业务控制设备发送的用户认证请求，基于线路信息进行认证；由于该用户之前已经通过了首次认证，绑定了线路信息，形成了用户线路认证帐号，因而可以通过线路信息认证；如果认证成功， AAA认证系统向网络业务控制设备发送认证成功消息，携带与用户对应的网络策略信息；步骤 S808: 网络业务控制设备接收到 AAA认证系统发送的认证成功消息，为用户分配相应的 IP地址，并应用对应的用户网络策略，允许用户接入和使用网络，并向用户发送响应消息；在该优选实施例中，用户非首次上线的处理流程的主要特点在于，默认采用基于线路信息的 IPoE认证方式，由于 AAA认证系统已经绑定了对应用户的线路信息，形成了用户的线路认证帐号，因而用户认证成功，无需再经过 Web方式的 IPoE认证，实现了即插即用，简化用户的操作，提升用户体验。图 9是根据本发明实施例的用户终端接入网络的认证装置的结构框图。如图 9所示，该装置可以包括：第一认证模块 10，设置为采用基于线路信息的基于以太网的互联网协议（IPoE)认证方式对用户终端进行认证；第二认证模块 20，设置为在第一认证模块认证失败的情况下，则采用基于互联网 Web的 IPoE认证方式对用户终端进行认证，其中，如果基于 Web的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。采用如图 9所示的装置，不仅能够有效保障用户的帐号安全，同时在业务部署时实现了用户的线路信息与具体用户的帐号信息一一对应，而且还继承了基于线路信息的 IPoE认证方式的即插即用的优点。优选地，如图 10所示，上述装置还可以包括：确定模块 30，设置为确定对用户终端所采用的认证类型。优选地，如图 10所示，第一认证模块 10可以包括：接收单元 100，设置为在确定模块确定对用户终端所采用的认证类型为基于线路信息的 IPoE认证方式的条件下，接收来自于用户终端的接入请求，其中，接入请求中携带有用户终端的线路信息；判断单元 102，设置为判断当前是否存在与线路信息匹配的用户线路认证帐号；认证单元 104，设置为在判断单元 102输出为是时，则允许用户终端接入网络。优选地，如图 10所示，第二认证模块 20可以包括：获取单元 200，设置为在当前不存在与线路信息匹配的用户线路认证帐号信息的情况下，经由网络业务控制设备接收通过 Web页面获取的用户的用户帐号信息；认证单元 202，设置为根据获取到的用户帐号信息对用户终端进行认证，其中，如果认证成功，则建立用户帐号信息与线路信息的对应关系，形成用户线路认证帐号，并允许用户终端接入网络。优选地，如图 10所示，上述装置还可以包括：重置模块 40，设置为用户帐号信息或者线路信息发生变化时，删除用户帐号信息与线路信息的对应关系以及形成的用户线路认证帐号。从以上的描述中，可以看出，上述实施例实现了如下技术效果（需要说明的是这些效果是某些优选实施例可以达到的效果）：本发明提供的技术方案，结合了基于 Web 的 IPOE认证方式和基于线路信息的 IPoE认证方式各自的优势，采用基于 Web认证的方式，基于用户的用户帐号和密码，加强了认证的安全性；通过 Web认证成功绑定用户线路信息的方式，降低部署实施时用户帐号和用户的线路信息难以一一对应的问题; 同时，也利用基于线路信息认证的方式实现了即插即用，实现了用户只需在首次上线时在 Web页面输入用户帐号和密码，后续即可实现即插即用，有效满足 IPoE业务部署的需求，提升用户体验，并降低网络部署的复杂度。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种用户终端接入网络的认证方法，包括：

采用基于线路信息的基于以太网的互联网协议 IPoE 认证方式对所述用户终端进行认证；

如果认证失败，则采用基于互联网 Web的 IPoE认证方式对所述用户终端进行认证，其中，如果基于 Web的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。

2. 根据权利要求 1所述的方法，其中，在采用所述基于线路信息的 IPoE认证方式对所述用户终端进行认证之前，还包括：

确定对所述用户终端所采用的认证类型。

3. 根据权利要求 2所述的方法，其中，采用所述基于线路信息的 IPoE认证方式对所述用户终端进行认证包括：

在确定对所述用户终端所采用的认证类型为所述基于线路信息的 IPoE认证方式条件下，接收来自于所述用户终端的接入请求，其中，所述接入请求中携带有所述用户终端的线路信息；

判断当前是否存在与所述线路信息匹配的用户线路认证帐号；如果存在，则允许所述用户终端接入网络。

4. 根据权利要求 1所述的方法，其中，采用所述基于 Web的 IPoE认证方式对所述用户终端进行认证包括：

在当前不存在与所述线路信息匹配的用户线路认证帐号信息的情况下，经由网络业务控制设备接收通过 Web页面获取的所述用户的用户帐号信息；根据获取到的所述用户帐号信息对所述用户终端进行认证，其中，如果认证成功，则建立所述用户帐号信息与所述线路信息的对应关系，形成所述用户线路认证帐号，并允许所述用户终端接入所述网络。根据权利要求 4所述的方法，其中，在建立所述用户帐号信息与所述线路信息的对应关系之后，还包括：如果所述用户帐号信息或者所述线路信息发生变化，则删除所述用户帐号信息与所述线路信息的对应关系以及形成的用户线路认证帐号。

6. 一种用户终端接入网络的认证装置，包括：

第一认证模块，设置为采用基于线路信息的基于以太网的互联网协议 IPoE 认证方式对所述用户终端进行认证；

第二认证模块，设置为在所述第一认证模块认证失败的情况下，则采用基于互联网 Web的 IPoE认证方式对所述用户终端进行认证，其中，如果基于 Web 的 IPoE认证成功，则建立用户的线路信息与用户帐号信息的对应关系，形成用户线路认证帐号。

7. 根据权利要求 6所述的装置，其中，所述装置还包括：

确定模块，设置为确定对所述用户终端所采用的认证类型。

8. 根据权利要求 7所述的装置，其中，所述第一认证模块包括：

接收单元，设置为在所述确定模块确定对所述用户终端所采用的认证类型为所述基于线路信息的 IPoE认证方式的条件下，接收来自于所述用户终端的接入请求，其中，所述接入请求中携带有所述用户终端的线路信息；

判断单元，设置为判断当前是否存在与所述线路信息匹配的用户线路认证帐号；

认证单元，设置为在所述判断单元输出为是时，则允许所述用户终端接入网络。

9. 根据权利要求 6所述的装置，其中，所述第二认证模块包括：

获取单元，设置为在当前不存在与所述线路信息匹配的用户线路认证帐号信息的情况下，经由网络业务控制设备接收通过 Web页面获取的所述用户的用户帐号信息；

认证单元，设置为根据获取到用户帐号信息对所述用户终端进行认证，其中，如果认证成功，则建立所述用户帐号信息与所述线路信息的对应关系，形成所述用户线路认证帐号，并允许所述用户终端接入所述网络。

10. 根据权利要求 8所述的装置，其中，所述装置还包括：

重置模块，设置为在所述用户帐号信息或者所述线路信息发生变化时，删除所述用户帐号信息与所述线路信息的对应关系以及形成的用户线路认证帐