WO2020057585A1

WO2020057585A1 - 接入认证

Info

Publication number: WO2020057585A1
Application number: PCT/CN2019/106605
Authority: WO
Inventors: 邱元香
Original assignee: 新华三技术有限公司
Priority date: 2018-09-21
Filing date: 2019-09-19
Publication date: 2020-03-26
Also published as: EP3855695A4; US20210409407A1; CN109067788A; JP2022501879A; EP3855695B1; JP7135206B2; US11743258B2; EP3855695A1; CN109067788B

Abstract

本公开提供一种接入认证的方法及装置，使BRAS设备的第一接口未查找到用户终端对应的用户表项时，向AAA服务器发送包括用户终端的终端信息的认证请求报文，AAA服务器确定该用户终端为已认证终端且是漫游终端时，通知已接入该用户终端的第二接口删除该用户终端对应的用户表项，并当确认删除完成时，向第一接口发送认证通过报文，以使第一接口允许该用户终端接入，并在第一接口上记录该用户终端对应的用户表项。

Description

接入认证

相关申请的交叉引用

本专利申请要求于2018年9月21日提交的、申请号为201811109298.4、发明名称为“一种接入认证的方法及装置”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

目前Internet市场的不断发展，接入到城域网的用户越来越多，用户的业务需求也日益膨胀，因此，宽带接入服务器(英文：Broadband Remote Access Server，简称：BRAS)应运而生。BRAS具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理功能，并能提供丰富灵活的业务及控制功能。

然而，随着移动网络设备和无线业务的普及，用户终端不会固定在一个位置。例如，用户手持移动设备在访问网络的过程中，经常会从一个接入点(英文：Access Point，简称：AP)漫游到另一个接入点。由于接入点的改变，不同接入点对应连接的BRAS设备接入接口或BRAS设备也可能不同，因此，用户终端在从一个接入点漫游到另一个接入点时，可能是从某台BRAS设备的一个接入接口漫游到该BRAS设备另一个接入接口，或者是从一台BRAS设备漫游到了另一台BRAS设备。

附图说明

图1是本公开一种示例性实施方式中的BRAS组网示意图；

图2是本公开一种示例性实施方式中的一种接入认证的方法的处理流程图；

图3是本公开另一种示例性实施方式中的一种接入认证的方法的处理流程图；

图4是本公开一种示例性实施方式中的漫游前及漫游至另一BRAS设备的接口后的交互流程图；

图5是本公开一种示例性实施方式中的一种接入认证装置的逻辑结构图；

图6是本公开另一种示例性实施方式中的一种接入认证的装置的逻辑结构图；

图7是本公开一种示例性实施方式中的网络设备的硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，是本公开一种示例性实施方式中的BRAS设备组网示意图，其中用户终端(例如，个人电脑(英文：Personal Computer，简称：PC)1)通过AP 1从交换设备(例如，交换机(Switch)1)接入网络，PC 2通过AP 2从Switch 2接入网络，PC 1和PC 2都通过BRAS-A进行地址分配和准入认证；PC 3通过AP 3从Switch 3接入网络，PC4通过AP4从Switch 4接入网络，PC 3和PC 4都通过BRAS-B进行地址分配和准入认证。

现有技术中，用户终端在BRAS设备的第一接口处上线后，BRAS设备可以记录用户终端对应的用户信息，包括用户终端的接入位置和互联网协议(英文：Internet Protocol，简称：IP)地址。在用户信息有效期间，如果BRAS设备的第二接口接收到携带该IP地址的IP报文，则认为用户终端处于漫游状态。此时，BRAS设备修改已记录的用户信息以将用户信息迁移至用户终端漫游时新接入的第二接口。

但是，现有技术是通过BRAS设备记录认证通过的用户信息，而该用户信息无法让其他BRAS设备获知，所以，现有技术只能解决用户终端在同一BRAS设备上不同接口接入的漫游问题。对于跨BRAS设备的漫游，则通过漫游后位置对应的BRAS设备对用户终端再次认证的方式，以使用户终端接入BRAS设备。例如，当PC 1在BRAS-A设备上认证通过后，若PC 1漫游到AP 3或AP 4时，由于AP 3和AP 4对应于BRAS-B设备，PC 1接入的BRAS设备发生了变化，因此PC 1必须重新进行接入认证，从而影响用户访问网络的流畅性和便利性。

为了解决现有技术存在的问题，本公开提供一种接入认证的方法及装置，可以使BRAS设备的第一接口未查找到用户终端对应的用户表项时，向认证、授权、记账服务器(英文：Authentication,Authorization,Accounting server；简称：AAA server)发送包括用户终端的终端信息的认证请求报文，AAA服务器基于用户终端的终端信息确定该用户终端为已认证终端且是漫游终端时，通知已接入该用户终端的第二接口(同一BRAS设备的接口或者另一BRAS设备的接口)删除该用户终端对应的用户表项。当确认删除完成时，AAA服务器向第一接口发送认证通过报文，以使第一接口允许该用户终端接入，并在第一接口上记录该用户终端对应的用户表项。因此，本公开通过AAA服务器记录已认证的用户终端的终端信息，以使用户终端漫游到新位置时，新位置对应的BRAS设备的接口向AAA服务器发送包括终端信息的认证请求报文。AAA服务器在确认用户终端为已认证终端和漫游终端后，允许用户终端在新位置接入网络，避免用户终端漫游后再次进行接入认证，提升了用户体验。

请参考图2，是本公开一种示例性实施方式中的一种接入认证的方法的处理流程图，所述方法应用于AAA服务器，所述方法包括：

步骤201、AAA服务器获取BRAS设备的第一接口在未查到用户终端所对应的用户表项时发送的认证请求报文，所述认证请求报文包括所述用户终端的终端信息。

在本公开的实施例中，当用户终端从BRAS设备的第一接口上线时，由于用户终端之前未接入第一接口，因此，该BRAS设备的第一接口上未记录该用户终端对应的用户表项。用户终端接入第一接口的过程中，用户终端向第一接口发送IP报文，该IP报文包括终端信息，所以该BRAS设备会通过接收该用户终端发送的IP报文获取该用户终端的终端信息，该终端信息用于区分不同用户终端。

其中，作为示例而非限定，前述终端信息可以包括用户终端的源IP地址、源媒体访问控制(Media Access Control，简写：MAC)地址以及该用户终端的接入位置信息，其中，接入位置信息可以包括：接入BRAS设备、接入接口、虚拟局域网(Virtual Local Area Network，简称：VLAN)等信息。

BRAS设备的第一接口向AAA服务器发送包括终端信息的认证请求报文以对该用户终端进行认证。

因此，AAA服务器会在BRAS设备的第一接口未查到用户终端所对应的用户表项时，获取到BRAS设备的第一接口发送的包括终端信息的认证请求报文。

步骤202、当根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，AAA服务器通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项。

在本公开的实施例中，当AAA服务器根据终端信息确定用户终端为已认证终端且是从第二接口漫游到第一接口时，由于第二接口上仍记录着该用户终端的用户表项，因此，AAA服务器仍会对用户终端的流量继续计费，并且该用户终端的部分流量可能会根据第二接口上记录的用户表项进行错误转发，所以需要删除第二接口上已记录的该用户终端对应的用户表项。

此外，若未查找到认证用户信息，则说明该用户终端之前未认证，此时，AAA服务器向BRAS设备反馈认证失败报文，以使BRAS设备确定该用户终端为未认证终端，从而使BRAS设备根据现有的认证方式对用户终端进行认证，并在认证通过后再向AAA服务器发送认证请求报文。

步骤203、当确认第二接口删除所述用户终端对应的用户表项时，AAA服务器向所述第一接口发送认证通过报文，以使所述第一接口允许所述用户终端接入，并在所述第一接口上记录所述用户终端对应的用户表项。

在本公开的实施例中，当AAA服务器确认第二接口删除该用户终端的用户表项时，可以向BRAS设备的第一接口反馈针对该认证请求报文的认证通过报文。第一接口接收到该认证通过报文时，可以确定该用户终端是已认证的终端，因此允许该用户终端接入，并在本地记录该用户终端对应的用户表项。

相比于现有技术，本公开可以改进AAA服务器和BRAS设备的业务处理流程，由AAA服务器基于用户终端的特征识别出用户终端当前处于漫游状态，识别出用户终端的漫游状态后通过DM消息通知漫游前接入的相应BRAS设备的接口删除该接口处记录的用户表项，并在新位置无感知认证上线，避免用户终端重新进行接入认证，从而提升用户访问体验。

可选的，AAA服务器获取终端信息后，可以根据该终端信息在本地查找与该用户终端对应的认证用户信息。若查找到该认证用户信息，说明该用户终端是已认证的终端。然后，AAA服务器进一步判断认证用户信息中的接入位置信息与终端信息包括的接入位置信息是否相同；若相同，则说明该用户终端不是漫游终端，此时，AAA服务器丢弃该认证请求报文；若不同，则说明该用户终端是漫游终端，此时，AAA服务器通知已接入用户终端的第二接口删除用户终端对应的用户表项。

可选的，当该终端信息中的接入位置信息指示该用户终端在本BRAS设备上不同接口漫游时，说明第二接口和第一接口都在本BRAS设备上，因此，AAA服务器可以通知本BRAS设备上的已接入该用户终端的第二接口删除该用户终端对应的用户表项；当该终端信息中的接入位置信息指示该用户终端在非本BRAS设备上漫游时，说明第二接口和第一接口在不同BRAS设备上，因此，AAA服务器可以通知在非本BRAS设备上的已接入该用户终端的第二接口删除该用户终端对应的用户表项。

可选的，作为一个实施例，AAA服务器可以向第二接口发送通知下线消息，例如，断开管理(英文：Disconnect Management，简称：DM)请求消息。该通知下线消息包括该用户终端的终端信息，第二接口接收到AAA服务器发送的通知下线消息时，删除自身保存的该用户终端对应的用户表项。然后，第二接口向AAA服务器反馈下线确认消息，例如，DM确认消息。当AAA服务器接收到第二接口发送的下线确认消息时，可以确认第二接口上记录的该用户终端对应的用户表项已经删除完成。

请参考图3，是本公开一种示例性实施方式中的另一种接入认证的方法的处理流程图，所述方法应用于BRAS设备，所述方法包括：

步骤301、若在第一接口未查找到用户终端对应的用户表项，则BRAS设备获取所述用户终端的终端信息；

在本公开的实施例中，当用户终端从BRAS设备的第一接口上线时，BRAS设备可以根据流量特征查找第一接口中是否存在该用户终端对应的用户表项。由于用户终端之前未接入过第一接口，因此第一接口上未记录该用户终端的用户表项，所以第一接口会将该用户终端发送的流量转发至该BRAS设备的中央处理器(Central Processing Unit，简写：CPU)，由CPU分析该流量中的终端信息，该终端信息用于区分不同终端。

可选的，该终端信息可以包括终端的源IP地址、源MAC地址以及该用户终端的接入位置信息，其中接入位置信息可以包括：接入BRAS设备、接入接口、VLAN等信息。

步骤302、BRAS设备的第一接口向AAA服务器发送包括所述终端信息的认证请求报文，以使AAA服务器根据所述终端信息在确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

该BRAS设备的第一接口获取到该用户终端对应的终端信息后，可以发送认证请求报文到AAA服务器，其中该认证请求报文包括该用户终端的终端信息，以使AAA服务器收到终端信息后，可以在确定该用户终端是已认证终端且是漫游终端时，通知已接入该用户终端的第二接口删除其本地保存的该用户终端对应的用户表项。

步骤303、若接收到所述AAA服务器在确认所述第二接口删除所述用户终端对应的用户表项时发送的认证通过报文，则BRAS设备的第一接口允许所述用户终端接入所述第一接口，并在所述第一接口上记录所述用户终端对应的用户表项。

当AAA服务器确认第二接口删除该用户终端对应的用户表项时，可以针对第一接口发送的认证请求报文反馈认证通过报文。当第一接口收到AAA服务器发送的认证通过报文时，可以确定该用户终端是已认证的终端，因此允许该用户终端接入，并在本地记录该用户终端对应的用户表项。

由此可见，本公开可以使BRAS设备的第一接口未查找到用户终端对应的用户表项时，向AAA服务器发送包括用户终端的终端信息的认证请求报文，AAA服务器确定该用户终端为已认证终端且是漫游终端时，通知已接入该用户终端的第二接口删除该用户终端对应的用户表项，并当第二接口确认删除完成时，向第一接口发送认证通过报文，以使第一接口允许该用户终端接入，并在第一接口上记录该用户终端对应的用户表项。因此本公开通过AAA服务器记录已认证终端的终端信息，以使用户终端漫游到新位置时，新位置对应的BRAS设备的接口向AAA服务器发送包括终端信息的认证请求报文，AAA服务器确认用户终端的认证身份后，允许用户终端在新位置接入网络，避免用户终端漫游后再次进行接入认证，提升了用户体验。

可选的，当本BRAS设备接收到AAA服务器向本BRAS设备的第二接口发送的包括终端信息的通知下线消息时，可以认为用户终端从本BRAS设备上的第二接口漫游到第一接口，因此可删除自身第二接口保存的该用户终端对应的用户表项，以使该终端可以在漫游后的第一接口接入。第二接口确定删除该用户终端对应的用户表项后，可以反馈下线确认消息至AAA服务器，以使AAA服务器在收到下线确认消息时，确认第二接口已删除该用户终端对应的用户表项，从而可以使用户终端在漫游后的第一接口访问网络。

为使本公开的目的、技术方案及优点更加清楚明白，下面以跨BRAS漫游为例，结合图4对本公开的方案作进一步地详细说明。

请参见图4，是本公开实施例中的用户终端漫游前及漫游到另一BRAS设备的接口后的交互流程图，其中包括：

用户终端漫游前的交互流程为：

(1)当用户终端向BRAS-1的接口请求接入网络时，用户终端向BRAS-1的接口发送HTTP请求；

(2)由于BRAS-1的接口上未记录该用户终端的用户表项，因此，BRAS-1将该HTTP请求重定向到Web认证服务器的认证页面；

(3)BRAS-1访问Web认证服务器的认证页面；

(4)BRAS-1向用户终端推送Web认证服务器的认证页面对应的统一资源定位符(英文：Uniform Resource Locator，简写：URL)；

(5)用户终端接收到认证页面对应的URL时可以根据该URL向Web认证服务器请求Web认证；

(6)Web认证服务器向用户终端反馈Web认证页面内容；

(7)用户终端根据Web认证页面内容输入Web认证的用户名和密码并向Web认证服务器发送Web认证的用户名和密码；

(8)Web认证服务器接收到用户名和密码后进行web认证，向BRAS-1发送web认证信息；

(9)BRAS-1向AAA服务器发送用户终端的接入认证请求，其中该接入认证请求包括Web认证的用户名和密码、终端信息(例如用户终端的IP地址、MAC地址以及接入位置信息)；

(10)AAA服务器根据接入认证请求确定该用户终端认证通过时，向BRAS-1发送认证应答；

(11)BRAS-1收到认证应答后，BRAS-1设备的接口在本地记录用户终端的用户表项，其中包括终端信息和Web认证的用户名和密码，并向该用户终端下发权限以允许其访问网络；

(12)用户终端开始访问网络时，BRAS-1的接口向AAA服务器发送开始计费消息，该开始计费消息包括用户终端的终端信息，以使AAA服务器对该用户终端开始计费。

当用户终端从BRAS-1的接口漫游到BRAS-2的接口时，漫游后的交互流程为：

(1’)用户终端从BRAS-2的接口上线后发送(IP、地址解析协议(英文：Address Resolution Protocol，简写：ARP))报文到BRAS-2；

(2’)BRAS-2的接口收到用户终端发送的报文后，提取报文的终端信息(例如终端的IP地址、MAC地址以及接入位置信息)；

(3’)由于该用户终端首次接入BRAS-2的接口，因此BRAS-2的接口上未记录该用户终端的用户表项，所以BRAS-2的接口可以向AAA服务器发送认证请求报文，该认证请求报文中包括该用户终端的终端信息；

(4’)AAA服务器收到BRAS-2发送的认证请求报文后，查询本地是否存在该用户终端对应的终端信息，由于该用户终端之前在BRAS-1的接口上已经完成接入认证，因此AAA服务器可以查找到该用户终端对应的终端信息，从而确定该用户终端已经认证通过；

(5’)由于该用户终端已经在BRAS-2的接口上线，而AAA服务器检测到BRAS-1的接口还保存着该用户终端的用户表项，因此AAA服务器向BRAS-1的接口发送DM请求消息；

(6’)BRAS-1的接口收到DM请求消息时，将该接口上用户终端对应的用户表项删除，并且向AAA服务器发送停止计费消息；

(7’)BRAS-1的接口回复AAA服务器DM确认消息；

(8’)AAA服务器收到DM确认消息时可以将本地记录的用户终端的接入位置由BRAS-1的接口改为BRAS-2的接口；

(9’)AAA服务器向BRAS-2的接口发送认证应答报文；

(10’)BRAS-2的接口收到认证应答报文后，确定该用户终端已经认证，因此可以记录该用户终端的用户表项，为该用户终端下发权限，允许其访问网络；

(11’)用户终端开始访问网络时，BRAS-2的接口向AAA服务器发送开始计费消息，该开始计费消息包括用户终端的终端信息，以使AAA服务器对该用户终端开始计费。

因此，本公开可以实现用户在不同BRAS设备间漫游时，不需要用户重新输入用户名和密码，可实现用户无感知漫游，提升了用户上网体验。

基于相同的构思，本公开还提供一种接入认证的装置，该装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，本公开的接入认证的装置作为一个逻辑意义上的装置，是通过其所在装置的CPU将存储器中对应的计算机程序指令读取后运行而成。

请参考图5，是本公开一种示例性实施方式中的一种接入认证的装置500，所述装置应用于AAA服务器，该装置基本运行环境包括CPU、存储器以及其他硬件，从逻辑层面上来看，该装置500包括：

获取单元501，用于获取BRAS设备的第一接口在未查到用户终端所对应的用户表项时发送的认证请求报文，所述认证请求报文包括所述用户终端的终端信息；

通知单元502，用于当根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

发送单元503，用于当确认第二接口删除所述用户终端对应的用户表项时，向所述第一接口发送认证通过报文，以使所述第一接口允许所述用户终端接入，并在所述第一接口上记录所述用户终端对应的用户表项。

作为一个实施例，所述装置还包括：

确定单元504，用于根据所述终端信息在本地查找是否存在所述用户终端对应的认证用户信息；若查找到所述认证用户信息，则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同；若相同，则丢弃所述认证请求报文；若不同，则确定所述终端为已认证终端且是漫游终端，然后通知已接入用户终端的第二接口删除用户终端对应的用户表项。

作为一个实施例，所述通知单元502，具体用于当所述终端信息中的接入位置信息指示所述用户终端在本BRAS设备上不同接口漫游时，通知本BRAS设备上的已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；或者，当所述终端信息中的接入位置信息指示所述用户终端在非本BRAS设备上漫游时，通知在非本BRAS设备上的已接入所述用户终端的第二接口删除所述用户终端对应的用户表项。

作为一个实施例，所述通知单元502，具体用于向所述第二接口发送包括所述终端信息的通知下线消息，以使所述第二接口收到所述通知下线消息时，删除自身保存的所述终端信息对应的用户表项之后向AAA服务器反馈下线确认消息；

所述发送单元503，具体用于若收到第二接口发送的所述下线确认消息，则确认所述第二接口删除所述用户终端对应的用户表项。

请参考图6，是本公开一种示例性实施方式中的一种接入认证的装置600，所述装置应用于BRAS设备，该装置基本运行环境包括CPU、存储器以及其他硬件，从逻辑层面上来看，该装置600包括：

获取单元601，用于若在第一接口未查找到用户终端对应的用户表项，则获取所述用户终端的终端信息；

发送单元602，用于向AAA服务器发送包括所述终端信息的认证请求报文，以使AAA服务器根据所述终端信息在确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

记录单元603，用于若接收到所述AAA服务器在确认所述第二接口删除所述用户终端对应的用户表项时发送的认证通过报文，则允许所述用户终端接入所述第一接口，并在所述第一接口上记录所述用户终端对应的用户表项。

作为一个实施例，所述装置还包括：

删除单元604，用于若接收到所述AAA服务器向本BRAS设备的第二接口发送的包括所述终端信息的通知下线消息时，则删除自身第二接口保存的所述终端信息对应的用户表项；反馈下线确认消息至所述AAA服务器，以使所述AAA服务器在收到所述下线确认消息时，确认所述第二接口删除所述终端对应的用户表项。

基于相同的构思，本公开还提供一种AAA服务器，如图7所示，所述AAA服务器包括存储器71、处理器72、通信接口73以及通信总线74；其中，所述存储器71、处理器72、通信接口73通过所述通信总线74进行相互间的通信；

所述存储器71，用于存储计算机程序；

所述处理器72，用于执行所述存储器71上所存储的计算机程序，所述处理器72执行所述计算机程序时实现以下操作：

获取宽带接入服务器BRAS设备的第一接口在未查到用户终端所对应的用户表项时发送的认证请求报文，所述认证请求报文包括所述用户终端的终端信息；

当根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

当确认所述第二接口删除所述用户终端对应的用户表项时，处理器72通过通讯接口 73向所述第一接口发送认证通过报文，以使所述第一接口允许所述用户终端接入，并在所述第一接口上记录所述用户终端对应的用户表项。

可选的，在根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，所述处理器72执行所述计算机程序实现以下操作：

根据所述终端信息查找所述AAA服务器上是否存在所述用户终端对应的认证用户信息；

若查找到所述认证用户信息，则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同；

若相同，则丢弃所述认证请求报文；

若不同，则确定所述用户终端为已认证终端且是漫游终端。

可选的，在通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项时，所述处理器72执行所述计算机程序实现以下操作：

当所述终端信息中的接入位置信息指示所述用户终端在所述BRAS设备包括的不同接口漫游时，通过通信接口73通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述BRAS设备；

当所述终端信息中的接入位置信息指示所述用户终端在非所述BRAS设备的第二BRAS设备上漫游时，通过通信接口73通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述第二BRAS设备。

通过通信接口73向所述第二接口发送包括所述终端信息的通知下线消息，以使所述第二接口接收到所述通知下线消息时，删除保存的所述终端信息对应的用户表项之后向所述AAA服务器反馈下线确认消息；

在确认所述第二接口删除所述用户终端对应的用户表项时，所述处理器72执行所述计算机程序实现以下操作：

若接收到所述第二接口反馈的所述下线确认消息，则确认所述第二接口删除所述用户终端对应的用户表项。

基于相同的构思，本公开还提供一种BRAS设备，其结构与图7所示结构相同，故未示出，所述BRAS设备包括存储器、处理器、通信接口以及通信总线；其中，所述存储器、处理器、通信接口通过所述通信总线进行相互间的通信；

所述存储器，用于存储计算机程序；

所述处理器，用于执行所述存储器上所存储的计算机程序，所述处理器执行所述计算机程序实现以下操作：

若在第一接口未查找到用户终端对应的用户表项，则获取所述用户终端的终端信息；

所述第一接口通过通信接口向AAA服务器发送包括所述终端信息的认证请求报文，以使所述AAA服务器根据所述终端信息在确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

若接收到所述AAA服务器在确认所述第二接口删除所述用户终端对应的用户表项时发送的认证通过报文，则允许所述用户终端接入所述第一接口，并在所述第一接口上记录所述用户终端对应的用户表项。

可选的，所述处理器还实现以下操作：

若接收到所述AAA服务器向所述BRAS设备的第二接口发送的包括所述终端信息的通知下线消息时，则删除所述BRAS设备的所述第二接口保存的所述用户终端对应的用户表项；

通过通信接口向所述AAA服务器反馈下线确认消息，以使所述AAA服务器在收到所述下线确认消息时，确认所述第二接口删除所述用户终端对应的用户表项。

本公开还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现本公开实施例提供的接入认证方法的任一步骤。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于网络设备和计算机可读存储介质的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

综上所述，本公开可以使BRAS设备的第一接口未查找到用户终端对应的用户表项时，向AAA服务器发送包括用户终端的终端信息的认证请求报文，AAA服务器确定该用户终端为已认证终端且是漫游终端时，通知已接入该用户终端的第二接口删除该用户终端对应的用户表项，并当确认删除完成时，向第一接口发送认证通过报文，以使第一接口允许该用户终端接入，并在第一接口上记录该用户终端对应的用户表项。因此本公开通过AAA服务器记录已认证终端的终端信息，以使用户终端漫游到新位置时，新位置对应的BRAS设备的接口可以向AAA服务器发送包括终端信息的认证请求报文来确认用户终端的认证身份，从而允许用户终端在新位置接入网络，避免用户终端漫游后再次进行接入认证，提升了用户体验。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本公开实施例所提供的方法和装置进行了详细介绍，本文中应用了具体个例对本公开的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本公开的方法及其核心思想；同时，对于本领域的一般技术人员，依据本公开的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本公开的限制。

Claims

一种接入认证的方法，应用于认证授权计费AAA服务器，所述方法包括：

获取宽带接入服务器BRAS设备的第一接口在未查到用户终端所对应的用户表项时发送的认证请求报文，所述认证请求报文包括所述用户终端的终端信息；

当根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

当确认所述第二接口删除所述用户终端对应的用户表项时，向所述第一接口发送认证通过报文，以使所述第一接口允许所述用户终端接入，并在所述第一接口上记录所述用户终端对应的用户表项。
根据权利要求1所述的方法，其中，根据所述终端信息确定所述用户终端为已认证终端且是漫游终端，具体包括：

根据所述终端信息查找所述AAA服务器上是否存在所述用户终端对应的认证用户信息；

若查找到所述认证用户信息，则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同；

若相同，则丢弃所述认证请求报文；

若不同，则确定所述用户终端为已认证终端且是漫游终端。
根据权利要求2所述的方法，其中，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，具体包括：

当所述终端信息中的接入位置信息指示所述用户终端在所述BRAS设备包括的不同接口漫游时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述BRAS设备；

当所述终端信息中的接入位置信息指示所述用户终端在非所述BRAS设备的第二BRAS设备上漫游时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述第二BRAS设备。
根据权利要求1所述的方法，其中，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，具体包括：

向所述第二接口发送包括所述终端信息的通知下线消息，以使所述第二接口接收到所述通知下线消息时，删除保存的所述终端信息对应的用户表项之后向所述AAA服务器反馈下线确认消息；

确认所述第二接口删除所述用户终端对应的用户表项，具体包括：

若接收到所述第二接口反馈的所述下线确认消息，则确认所述第二接口删除所述用户终端对应的用户表项。
一种接入认证的方法，应用于BRAS设备，所述方法包括：

若在第一接口未查找到用户终端对应的用户表项，则获取所述用户终端的终端信息；

所述第一接口向AAA服务器发送包括所述终端信息的认证请求报文，以使所述AAA服务器根据所述终端信息在确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

若接收到所述AAA服务器在确认所述第二接口删除所述用户终端对应的用户表项时发送的认证通过报文，则允许所述用户终端接入所述第一接口，并在所述第一接口上记录所述用户终端对应的用户表项。
根据权利要求5所述的方法，还包括：

若接收到所述AAA服务器向所述BRAS设备的第二接口发送的包括所述终端信息的通知下线消息时，则删除所述BRAS设备的所述第二接口保存的所述用户终端对应的用户表项；

向所述AAA服务器反馈下线确认消息，以使所述AAA服务器在收到所述下线确认消息时，确认所述第二接口删除所述用户终端对应的用户表项。
一种接入认证的装置，应用于AAA服务器，所述装置包括：

获取单元，用于获取BRAS设备的第一接口在未查到用户终端所对应的用户表项时发送的认证请求报文，所述认证请求报文包括所述用户终端的终端信息；

通知单元，用于当根据所述终端信息确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

发送单元，用于当确认所述第二接口删除所述用户终端对应的用户表项时，向所述第一接口发送认证通过报文，以使所述第一接口允许所述用户终端接入，并在所述第一接口上记录所述用户终端对应的用户表项。
根据权利要求7所述的装置，其中，所述装置还包括：

确定单元，用于根据所述终端信息查找所述AAA服务器上是否存在所述用户终端对应的认证用户信息；若查找到所述认证用户信息，则判断所述认证用户信息中的接入位置信息与所述终端信息中的接入位置信息是否相同；若相同，则丢弃所述认证请求报文；若不同，则确定所述用户终端为已认证终端且是漫游终端。
根据权利要求8所述的装置，其中，

所述通知单元，具体用于当所述终端信息中的接入位置信息指示所述用户终端在所述BRAS设备包括的不同接口漫游时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述BRAS设备；或者，当所述终端信息中的接入位置信息指示所述终端在非所述BRAS设备的第二BRAS设备上漫游时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项，所述第二接口位于所述第二BRAS设备。
根据权利要求7所述的装置，其中，

所述通知单元，具体用于向所述第二接口发送包括所述终端信息的通知下线消息，以使所述第二接口收到所述通知下线消息时，删除保存的所述终端信息对应的用户表项之后向所述AAA服务器反馈下线确认消息；

所述发送单元，具体用于若接收到所述第二接口反馈的所述下线确认消息，则确认所述第二接口删除所述用户终端对应的用户表项。
一种接入认证的装置，应用于BRAS设备，所述装置包括：

获取单元，用于若在第一接口未查找到用户终端对应的用户表项，则获取所述用户终端的终端信息；

发送单元，用于向AAA服务器发送包括所述终端信息的认证请求报文，以使所述AAA服务器根据所述终端信息在确定所述用户终端为已认证终端且是漫游终端时，通知已接入所述用户终端的第二接口删除所述用户终端对应的用户表项；

记录单元，用于若接收到所述AAA服务器在确认所述第二接口删除所述用户终端对应的用户表项时发送的认证通过报文，则允许所述用户终端接入所述第一接口，并在所述第一接口上记录所述用户终端对应的用户表项。
根据权利要求11所述的装置，其中，所述装置还包括：

删除单元，用于若接收到所述AAA服务器向所述BRAS设备的第二接口发送的包括所述终端信息的通知下线消息时，则删除所述BRAS设备的所述第二接口保存的所述用户终端对应的用户表项；向所述AAA服务器反馈下线确认消息，以使所述AAA服务器在收到所述下线确认消息时，确认所述第二接口删除所述用户终端对应的用户表项。
一种AAA服务器，包括：

处理器；以及

存储有在所述处理器上运行的机器可执行指令的存储器，所述处理器执行所述指令时实现如权利要求1-4中任一项所述的方法。
一种BRAS设备，包括：

处理器；以及

存储有在所述处理器上运行的机器可执行指令的存储器，所述处理器执行所述指令时实现如权利要求5或6中任一项所述的方法。