专利名称:一种三层用户的认证方法
技术领域:
本发明涉及网络的接入技术,特别涉及利用BRAS(宽带接入服务器)对三层网络用户的接入进行认证的方法。
背景技术:
随着LAN(局域网)接入技术的成熟,电信级的IP接入网已经初步形成了。通过直接提供IP接入,使用户可以充分利用Internet的丰富的信息资源,而网络运营商则通过收取网络使用费作为其唯一的收益来源。
对现在的网络运营商而言,其经营思路已经从初期的不计成本的建网思路迅速转变到专注于网络收益的运营理念。因此,需要不断创新以减少运营成本和提高运营收益,从而让自己从众多的竞争对手中生存下来并且保持持续的发展。目前绝大多数运营商提高自身生存能力的方法就是,加强用户管理,提供增值业务,采用更灵活的收费办法,从而增加和留住客户群并最终达到增加收益的目的。
但是,由于建网初期对用户的管理考虑不足,因此现有的网络存在严重的“先天不足”,即不能对用户进行认证和计费、不能对用户进行更加细致的管理,更不能提供可以增加收益的增值业务。在这一背景下,目前的网络运营商无疑面临着这样一个困难,就是如果要对用户进行更加细致的管理和提供增值业务,那么需要进行网络改造,有的甚至是全网改造。这必然会给运营商带来沉重的负担,甚至可能不得不放弃刚花费巨资购置的网络设备。
更具体地说,当前的网络一般采用路由器和L3(三层)交换机通过LAN接入方式接入用户,完成用户终结并让用户可以直接访问网络资源。由于LAN接入技术是基于以太网协议提出来的,该协议的初衷是为PC机提供网络互联,因此无法利用该协议提供用户认证和计费,并且无法对用户进行精确识别。鉴于上述原因,运营商不进行用户认证和计费,只通过包月制方式收取网络使用费,同时只能通过ACL(访问控制列表)进行以太网的权限管理,而无法对用户的权限进行管理。
因此,为了使运营商能够如上所述实现对用户的细化管理和提供增值业务,目前采用的技术如图1所示,是将路由器和L3交换机替换成BRAS,而用户则改为采用PPPoE(以太网承载的点对点协议)接入方式并为用户重新分配账号,从而提供认证和计费功能。
该技术的缺陷是,需要重新进行网络布线/拓扑建设、分配IP地址等工作,用户也需要安装客户端,改造工作量很大,风险也很大。另外,由于需要更换设备,无法使系统平滑升级,从而增加了运营成本,并可能造成原有设备的闲置浪费。
发明内容
因此,为了克服现有技术的上述缺陷,本发明的目的就是提供一种三层用户的认证方法,能够进行系统的平滑升级,并且可以充分利用现有的网络布线/拓扑、网络设备等进行网络改造,减少运营投资和提高设备利用率;同时,在基本不影响现有的网络的情况下,还能够提供增值业务,减少后续新业务增加的风险,增加运营收益;此外,本发明的目的还在于通过上述方法提供对用户的集中管理和灵活的组网方式,提高网络的可扩展性,减少管理成本。
本发明的三层用户的认证方法包括在三层网络的出口设置BRAS,该BRAS将路由器下相连的接口配置为三层用户认证接口;所述BRAS识别接入的三层用户的源IP地址,将其作为该用户的唯一的ID,并将该用户的报文与其ID绑定;所述BRAS将用户的认证信息转发至认证服务器进行认证,并根据认证服务器对通过认证的用户下发的属性赋予该用户相应的使用属性。
在本发明的优选实施方案中,上述认证为WEB认证。用户的属性可以包括用户使用网络资源的权限以及对该用户收费的费率等。
本发明的上述方法具有如下优点1、在基本不改造原有网络的前提下,可以将原有的网络改造为可运营、可管理的网络,而且改造成本低;2、允许运动商提供增值业务,增强了改造后网络的“生命力”和对用户的吸引力,并能提供增值收益;
3、实现了统一化、集中式的用户管理,可以简化管理和维护成本,简化建网思路,减少网络运营成本,并为将来的网络升级打好基础。同时,还可以有效地充分利用新增的网络设备。
通过详细文字说明并结合以下附图,本发明的上述目的、特征及优点将变得更加易于理解,其中图1是说明现有技术的改造现有网络的方案的示意图;图2是说明本发明的实现三层网络用户认证的系统结构示意图。
具体实施例方式
下面结合
本发明的优选实施方案。
如图2所示,在本发明的实施方案中,在系统以往的三层网络的出口增加了一个大容量的BRAS。可以看出,它与现有技术的区别在于该BRAS是连接在路由器/L3交换机之间,而不是直接与LanSwitch(局域网交换机)或DSLAM(数字用户线接入复接器)连接。这样,在该BRAS的基础上结合三层WEB认证技术,就可以解决现有技术的弊端。
在本发明的上述系统构成中,BRAS将与各路由器下相连的接口配置为“三层用户WEB认证接口”。虽然现有网络的用户还是可以通过原有的接入方式使用网络,但此时BRAS将该接口下接入的用户均视为“三层用户”。所谓三层用户,是指通过三层网络而不是直接地接入BRAS的用户。BRAS不能识别三层用户的链路层信息,而只能知道用户的IP地址。
BRAS通过识别接入三层用户的源IP地址(即设备接收到的报文的源IP地址,也就是用户的IP地址),并以此作为用户的ID,从而可将“三层用户”作为“二层用户”来处理。所谓二层用户是直接接入BRAS的专线或拨号用户,BRAS可以通过链路层信息来管理二层用户的属性。在此基础上,再结合例如WEB认证技术从而提供类似“二层用户”的认证、计费等管理功能和业务处理功能。这样,就实现了通过BRAS对用户进行更细化的管理。
更具体地说,在本发明提供的三层用户认证方法中,网络设备(例如BRAS设备)根据用户的IP地址在系统中为其分配一个全局唯一的ID,同时分配相应的属性。网络设备从统一的内存块池(二层用户也是使用该内存块进行管理的)中为三层用户分配一个内存块。以用户的ID作为该内存块的索引,将该用户的信息保存在这个块中。例如,对于在接口上一个独立的IP地址10.1.1.1,可以通过某种算法(例如接口索引+1.1=用户ID)转换为系统唯一的标志即用户ID,然后再根据ID在BRAS上分配一个独立的内存给其使用。此后,设备就将该三层用户视为二层用户一样,只是用户在线检测的方式不同而已。
网络设备把除了DHCP报文外的所有由该用户发起的合法IP报文都和该ID绑定,并进行相应的处理。通过上述的IP地址和用户ID的绑定关系,就可以根据用户的IP地址找到用户对应的报文,从而实现和用户ID的绑定关系。这样就使得三层用户象二层用户一样具有了链路层属性,从而可以采用与对二层用户管理一样的方法对三层用户进行认证、计费等管理。本发明的一种实施方案是在上述系统结构的基础上结合WEB认证技术来实现三层用户的认证。WEB认证是一种已有的基于HTTP(超文本链接协议)进行认证、用户管理并可以提供增值业务的技术。
下面首先简要介绍BRAS的WEB认证技术的处理流程当用户使用HTTP访问WEB网络资源时,BRAS将用户的HTTP请求重定向到PORTAL Server(门户认证服务器)的PORTAL页面。该页面随之向用户提供认证框、广告或友商连接。用户在认证框中输入用户名或卡号和口令。
此后,PORTAL Server的后台程序自动将用户名送给AAA服务器进行常规的认证。这种认证采用的是现有的技术,因此本文不再对此进行详细说明。AAA服务器在认证通过后通过PORTAL Server将用户自己的权限、费率等通过Radius(远程拨号用户认证服务)协议下发到BRAS设备上。这样,BRAS设备就可以根据具体指定的权限、费率等信息,允许用户访问网络并且进行计费。
下面说明BRAS如何结合WEB认证技术实现三层用户的认证、计费的处理流程。
在本发明的实施方案中,普通用户仍按原有的方式(例如启动IE或浏览器发起HTTP连接的请求)接入LanSwitch或DSLAM。然后,通过路由器或L3交换机构成的三层网络接入BRAS。BRAS通过识别用户报文的源IP地址识别出这些用户为三层用户WEB认证接口下的用户。
BRAS识别了用户报文的源IP地址后,将该用户报文的源IP地址作为该用户在系统中的ID。并启动WEB认证属性。因为用户报文的源IP地址是唯一的,从而确保了其ID在系统中的唯一性。
需要说明的是,在本发明的实施方案中,在WEB认证前用户不能使用网络或只能访问网络中的有限资源。用户必须进行WEB认证以获取使用网络资源的相应的权限。
BRAS将用户的WEB认证信息发送至AAA服务器,由AAA服务器采用常规的WEB认证方法对该用户进行WEB认证。
WEB认证的过程实际上就是用户ID和用户账号绑定的过程。这样认证的结果就可以下发到用户ID对应的内存中,从而实现对用户的管理和控制。
当该用户认证通过时,AAA服务器会对该用户分配相应的属性,例如用户的权限、费率等,并送至BRAS。BRAS就可以根据从AAA服务器下发的用户属性,为用户启动这些属性。此后用户就可以获得相应的网络访问权限,从而可以正常上网了。
从上面说明可知,利用本发明的三层用户认证方法,可以按照管理直接接入BRAS的二层用户一样的方法对普通用户进行管理,相应地也可以获得和二层用户一样的增值业务处理功能。
另一方面,利用本发明的三层用户认证方法,BRAS不仅可以管理纯三层网络接入的三层用户,也可以管理通过其他BRAS接入的三层用户,这样就可以提供统一、集中的大用户量的管理,并可以作为整网的统一管理平台。
尽管本发明中是以WEB认证为例来说明的,但是本发明的方法显然并不局限于采用WEB认证的方式,本领域技术人员在理解本发明的精神和实质的基础上,显然可以在本发明中替代WEB认证而使用其它的认证方式例如PPPoE认证、802.1X认证等。因此,本发明的范围仅由权利要求范围来确定。
权利要求
1.一种三层用户的认证方法,其特征在于包括在三层网络的出口设置BRAS,该BRAS将路由器下相连的接口配置为三层用户认证接口;所述BRAS识别接入的三层用户的源IP地址,将该源IP地址分配作为该用户的唯一的ID,并将该用户发起的IP报文与其所述ID绑定;所述BRAS将用户的认证信息转发至认证服务器进行认证,并根据认证服务器对通过认证的用户下发的属性赋予该用户相应的使用属性。
2.根据权利要求1所述的方法,其特征在于,所述认证为WEB认证。
3.根据权利要求1所述的方法,其特征在于,所述用户属性为用户访问网络资源的权限和用户的费率。
4.根据权利要求1所述的方法,其特征在于,将源IP地址分配作为用户唯一的ID的步骤包括从统一的内存块池中为所述三层用户分配一个内存块;以所述用户的ID为所述内存块的索引,将该用户的信息保存在这个内存块中。
5.根据前述权利要求任一项所述的方法,其特征在于,所述BRAS将用户的认证信息转发至认证服务器进行认证的步骤包括BRAS将用户的HTTP请求重定向到门户认证服务器的门户认证服务页面;用户在所述门户认证服务页面认证框中输入用户信息;PORTAL Server的后台程序自动将用户信息送给AAA服务器进行认证;所述AAA服务器在所述用户的认证通过后,通过PORTAL Server将用户相应的属性通过远程拨号用户认证服务协议下发到所述BRAS设备上。
全文摘要
本发明提供了一种三层用户的认证方法。该方法包括在三层网络的出口设置BRAS,该BRAS将与路由器下相连的接口配置为三层用户WEB认证接口,该BRAS识别接入的三层用户的源IP地址并将其作为该用户的唯一的ID。BRAS对用户的HTTP连接请求进行WEB认证,并根据AAA服务器对通过认证的用户下发的属性确定用户的权限、费率等,从而启动这些属性。本发明的方法可以以低成本将原有网络改造为可运营、可管理的网络,并可为网络提供增值业务,同时还可以提供统一化、集中式的用户管理,减少网络运营成本。
文档编号H04L29/02GK1581770SQ03153419
公开日2005年2月16日 申请日期2003年8月13日 优先权日2003年8月13日
发明者汪亦凡, 王喜祝 申请人:华为技术有限公司