专利名称:一种对网络用户进行认证和业务管理的方法
技术领域:
本发明涉及宽带接入技术领域,尤其涉及一种对网络用户进行认证和业务管理的方法。
背景技术:
目前的用户接入系统对用户的认证接入和管理都是在一台设备上完成的,但是有些业务如组播业务,参考图1,用户1加入组播组A后,接入服务器将组播流发送到第一级接入设备1,第一级接入设备1一直发送到最接近用户的第N级接入设备1上;当用户4要加入组播组A时,为了保证组播在接入服务器和一级接入设备间只发送一份,第一级接入设备1就必须知道用户4加入组播组A是否通过了接入服务器的认证,才能决定是否将多播流转发给第N级接入设备2。通常情况下,接入服务器会发送两份同样的报文给汇聚设备,汇聚设备通过报文中携带有标识用户的信息(如虚拟局域网标识,以下简称VLAN ID)来进行转发常见的带宽批发业务,参考图1,假设分配给用户1的带宽是2兆(以下简写为M),第N级接入设备提供给用户的端口带宽是100M,如果仅仅在接入服务器上进行控制,则用户1可以使用第N级接入设备的接入端口100M的可用带宽发送报文,如果第N级接入设备到接入服务器之间的带宽也是100M,那么第N级接入设备到接入服务器之间的带宽将都被用户1占用,而其他用户,如用户2需要的带宽就无法保证,这个带宽将影响从第N级接入设备到接入服务器所经过的所有路径,不利于宽带业务的开展。
为了保证能够检测到用户是否离线和不再接收该组播流信息,通常接入服务器要以一定的间隔收发握手信息(以下简称hello消息,在组播业务中通常指互联网组管理协议(IGMP)的查询报文和响应报文),这种报文会消耗接入服务器到N级接入设备之间的有效带宽,同时,要处理这些报文,对接入服务器的中央处理单元(CPU)能力要求很高,不利于宽带接入服务器的稳定性和成本的降低。
在以太网接入环境中,为了实现用户的有效识别,防止用户随意改变互联网地址(以下简称IP地址)、链路层地址(以下简称MAC地址),接入设备利用VLAN ID来标识用户,以实现对最终的用户管理,但是由于VLAN ID取值从0到4095,0和4095具有特殊意义,一般不使用,因此实际可用的值只有1到4094个,还要分配给不同的业务,这样就限制了以太网接入宽带网络的扩展。
为了实现流量记费和根据流量判断一个用户是否离线,需要实现基于用户的MAC地址或源IP地址进行的流量统计,这对接入服务器的要求相当的高。
发明内容
本发明的目的是提出一种对网络用户进行认证和业务管理的方法,以实现对组播带宽等业务的最终控制,并将接入服务器的带宽进行最终的分担,减少业务无关报文在网络中的传播。
本发明提出的对网络用户进行认证和业务管理的方法,包括以下各步骤1、在接入服务器上建立所有接入设备的网络拓朴,对所有接入设备的能力信息进行注册;2、最接近用户的接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到认证授权记账服务器(以下简称AAA服务器),AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;3、接入服务器根据上述网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上;4、接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
上述方法中,建立网络拓扑的过程包括如下步骤(1)接入服务器和接入设备通过邻居发现协议(以下简写为NDP)发现各自的邻居;(2)接入服务器根据自身的邻居信息,利用拓朴发现协议(以下简称TDP)收集第一级接入设备的邻居信息;(3)第一级接入设备利用TDP收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓朴信息。
上述方法中,对所有接入设备的能力信息进行注册的过程包括如下步骤(1)接入服务器利用TDP收集到网络拓朴,向网络拓扑中的所有接入设备发送开始能力注册信息;(2)接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;(3)接入服务器记录接收到的各接入设备的能力信息。
上述方法中的用户基本信息包括连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。
上述方法中的业务类型为沿途部署、单点部署或边缘部署中的任何一种。业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上;业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上;业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。
本发明提出的对网络用户进行认证和业务管理的方法,具有以下优点1、可以在底层最接近用户的接入设备上完成组播业务、带宽业务的控制,因此可以解决背景技术中提到的组播业务和带宽业务问题。
2、由接入设备发送握手和查询报文,因而减小了干线的无效带宽,同时也减小了接入服务器的CPU负担。
3、在以太网接入环境中,由于最终的用户控制可以在最接近用户的接入设备上实现,因此可以用私有虚拟网的技术,防止用户假冒,以及解决虚拟网ID不够的问题。
4、由于流量可以在最接近用户的接入设备上进行统计,因此只要对端口进行流量统计,就可以实现用户的流量记费,并可以根据端口流量的增加值判定用户是否处于空闲状态,降低了对接入服务器的要求。
图1是本发明的网络组网示意图。
图2是本发明的一个实施例的认证和业务管理方法流程图。
具体实施例方式
本发明提出的对网络用户进行认证和业务管理的方法,网络的组网结构与已有技术相同,如图1所示,本方法的时序图如图2所示,参见图2,详细介绍本发明的一个实施例。
首先在接入服务器上建立所有接入设备的网络拓朴,建立网络拓扑的过程包括接入服务器和接入设备通过邻居发现协议(Neighbor DiscoveryProtocol,以下简写为NDP)发现各自的邻居;接入服务器根据自身的邻居信息,利用拓朴发现协议(Topology Discovery Protocol,以下简称TDP)收集第一级接入设备的邻居信息;第一级接入设备利用TDP收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓朴信息。其中的邻居信息包括接入设备的全网唯一标识、同相邻设备连接的接口标识、地址信息、邻居的全网唯一标识、邻居的主机名或邻居的接口标识,其中接入设备的全网唯一标识为设备的MAC地址或设备的IP地址。
然后在接入服务器上对所有接入设备的能力信息进行注册,注册的过程包括接入服务器利用TDP收集到网络拓朴,向网络拓扑中的所有接入设备发送开始能力注册信息;接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;接入服务器记录接收到的各接入设备的能力信息。其中接入设备的能力信息包括组播业务控制、带宽控制、访问控制、安全相关业务、带宽业务、VPN业务、存储业务、用户故障诊断、改变用户的VLAN、分配用户的IP地址、发送握手报文、限制用户接入个数、进行流量统计、时长控制、时间校对。
最接近用户的接入设备,即图1中的第N级接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到认证授权记账服务器(Authentication,Authorization and Accounting Server,以下简称AAA服务器),AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器。其中的用户基本信息包括连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。其中的连接用户的第N级接入设备的全网唯一标识为第N级接入设备的IP地址或第N级接入设备的MAC地址;其中的由第N级接入设备分配的区分用户的唯一标识为以太网接入中的用户MAC地址、点到点协议(Point-to-Point Protocol,简称PPP)接入中的连接ID。
接入服务器根据收集到的网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上,其中的业务类型为沿途部署、单点部署或边缘部署中的任何一种。
当业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上。其中的授权信息为组播业务控制、虚拟专用网业务、用户故障诊断业务、改变用户的VLAN业务。
当业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上。单点部署的业务是指只需要在单个设备上授权的业务,如握手消息。其中的授权信息可以包括限制用户接入个数、安全相关业务、访问控制列表、发送握手报文、进行流量统计、分配用户的IP地址、进行用户接入的时长控制。
当业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。其中的授权信息为带宽业务、限制用户接入个数、访问控制列表、安全相关业务、发送握手报文、进行流量统计、存储业务、分配用户的IP地址、进行用户接入的时长控制。
接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
在本发明方法中,所有信息在接入服务器与接入设备之间的控制通道上发送。
本发明方法中的接入设备可以为以太网交换机、路由器或极高速数字用户线(VDSL)接入设备中的任何一种。
本发明通过将发送握手信息的业务下发到最接近用户的第N级接入设备上,减少了接入服务器到第N级接入设备之间的握手信息的带宽损耗;通过将带宽控制业务下发到最接近用户的第N级接入设备上,从而实现了对用户接入带宽的真正控制;通过将最接近用户的第N级接入设备的VLAN送到接入服务器,防止用户的欺骗手段,使以太网接入中的VLAN只有一个局部的概念,从而使VLAN ID得到有效的扩充;通过将流量统计功能分配到最接近用户的第N级接入设备上,从而降低接入服务器的负担。
权利要求
1.一种对网络用户进行认证和业务管理的方法,其特征在于该方法包括以下各步骤(1)在接入服务器上建立所有接入设备的网络拓朴,对所有接入设备的能力信息进行注册;(2)最接近用户的接入设备将用户基本信息传送到接入服务器上,接入服务器将该用户的认证信息送到AAA服务器,AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;(3)接入服务器根据上述网络拓扑和用户基本信息,计算出接入该用户需经过的接入设备,并根据上述收集到的需经过设备的能力和授权信息中的业务类型,将授权信息分别发送到相应的接入设备上;(4)接入设备接收到授权信息后,完成授权信息中规定的动作,以实现对网络用户的认证和业务管理。
2.如权利要求1所述的方法,其特征在于步骤(1)中建立网络拓扑的过程包括如下步骤(1)接入服务器和接入设备通过邻居发现协议,发现各自的邻居;(2)接入服务器根据自身的邻居信息,利用拓朴发现协议收集第一级接入设备的邻居信息;(3)第一级接入设备利用拓扑发现协议收集第二级接入设备的邻居信息,依此类推,得到整个网络的拓朴信息。
3.如权利要求2所述的方法,其特征在于其中的邻居信息包括接入设备的全网唯一标识、同相邻设备连接的接口标识、地址信息、邻居的全网唯一标识、邻居的主机名或邻居的接口标识。
4.如权利要求1所述的方法,其特征在于步骤(1)中对所有接入设备的能力信息进行注册的过程包括如下步骤(1)接入服务器利用TDP收集到网络拓朴,向网络拓扑中的所有接入设备发送开始能力注册信息;(2)接入设备接收到上述开始能力注册消息后,将本设备的能力信息发送到接入服务器;(3)接入服务器记录接收到的各接入设备的能力信息。
5.如权利要求4所述的方法,其特征在于接入设备的能力信息包括组播业务控制、带宽控制、访问控制、安全相关业务、带宽业务、VPN业务、存储业务、用户故障诊断、改变用户的VLAN、分配用户的IP地址、发送握手报文、限制用户接入个数、进行流量统计、时长控制、时间校对。
6.如权利要求1所述的方法,其特征在于其中所述的用户基本信息包括连接用户的第N级接入设备的全网唯一标识、第N级接入设备的连接用户的端口号、由第N级接入设备分配的唯一区分用户的标识、第N级接入设备记录的用户接入时间。
7.如权利要求6所述的方法,其特征在于其中所述的连接用户的第N级接入设备的全网唯一标识为第N级接入设备的IP地址或第N级接入设备的MAC地址。
8.如权利要求6所述的方法,其特征在于其中所述的由第N级接入设备分配的区分用户的唯一标识为以太网接入中的用户MAC地址或PPP协议接入中的连接ID。
9.如权利要求1所述的方法,其特征在于步骤(3)中的业务类型为沿途部署、单点部署或边缘部署中的任何一种;当业务类型为沿途部署时,授权信息从接入服务器发送到所有授权的经过接入设备上;当业务类型为单点部署时,授权信息从接入服务器发送到最终用户之间经过的任何一台接入设备上;当业务类型为边缘部署时,授权信息从接入服务器发送到离用户最近的接入设备上。
10.如权利要求9所述的方法,其特征在于其中沿途部署的授权信息为组播业务控制、虚拟专用网业务、用户故障诊断业务、改变用户的VLAN业务;单点部署的授权信息为限制用户接入个数、安全相关业务、访问控制列表、发送握手报文、进行流量统计、分配用户的IP地址、进行用户接入的时长控制;边缘部署的授权信息为带宽业务、限制用户接入个数、访问控制列表、安全相关业务、发送握手报文、进行流量统计、存储业务、分配用户的IP地址、进行用户接入的时长控制。
全文摘要
本发明涉及宽带接入技术领域,尤其涉及一种对网络用户进行认证和业务管理的方法,首先在接入服务器上建立接入设备的网络拓朴,并对接入设备的能力进行业务注册;接入设备将用户基本信息送到接入服务器上,接入服务器将该用户的认证信息送到AAA服务器,AAA服务器确认该用户认证通过后,将该用户的认证通过信息和授权信息发送给接入服务器;接入服务器根据网络拓扑和接入设备的用户基本信息,将授权消息发送到相应的接入设备上;接入设备接收到授权信息后,完成规定的动作,实现对网络用户的认证和业务的管理。本发明的方法,在底层最接近用户的接入设备上完成组播业务、带宽业务的控制,减小了接入服务器的CPU负担。
文档编号H04L12/24GK1510862SQ0216006
公开日2004年7月7日 申请日期2002年12月26日 优先权日2002年12月26日
发明者姚析, 姚 析 申请人:华为技术有限公司