专利名称:一种认证接入系统及其认证接入方法
技术领域:
本发明涉及一种认证接入系统及其认证接入方法。
背景技术:
目前,运营商在宽带城域网业务中的收益并不是与网络用户的数量成正比。为了增加收益,运营商不断的为网络增加新的业务,使网络服务涉及到家庭网络生活的各个方面,从而产生增值收益。例如基于IP的语音(Vo-IP)、IP电视(IPTV)和网络游戏等业务。同时也促使家庭网络过渡到多业务的网络环境中。所述的家庭网络示意图,如图1所示,所述家庭网络包括提供不同业务的接入设备(例如PC、机顶盒(STB)、IP电话等),所述接入设备通过远端传送单元(RTU)或路由网关(Routing Gateway)经数字用户线(DSL)或局域以太网(LAN)等接入技术接入到数字用户线复用器(DSLAM)等二层汇聚设备(Multiplexer)上,再由Multiplexer从接入媒介中提取以太网(Ethernet)协议报文,之后,通过其自身的异步传输模式(ATM)或Ethernet的上联接口,将报文透传给宽带接入服务器(BRAS)进行链路终结,再为该接入设备提供接入internet和其他增值业务。
对于运营商而言,在增加新业务的同时,也必须对用户使用的业务进行有效的计费才能获取更大的收益。目前,主要采用包月这种单一的计费方式。经过对不同计费策略(例如实时、流量或时长等)的综合研究发现,采用多样的计费方式可以大幅提高收益率,而且同时也为用户提供了自主的消费策略。
但是,在目前的多业务家庭网络中存在多种提供不同功能的设备,而且其工作方式也不尽不同,例如IP电话必须持续在线,所以通常采用动态主机配置(DHCP)等专线接入方式,而IPTV则无需持续在线,仅在观看时才需上线,所以可采用拨号接入方式,或者拨号和专线混合接入方式。若上述IP电话和IPTV同属于一个用户,那么由于其接入方式不同,所以目前只能对所述IP电话和IPTV分别计费(例如IP电话采用包月计费方式,IPTV采用流量计费方式),无法采用多样的计费策略对该用户进行统一的计费管理。即在上述网络环境下,由于各个设备的接入方式不同,所以采用所述多样的计费方式无法对网络中存在的各种接入设备进行统一的计费管理。要解决这一技术问题就需要将所述各种设备的接入认证方式统一起来,即对非认证接入方式进行认证接入,进而统一进行管理和计费。
目前,现有技术的拨号接入方式的组网图,如图2所示。例如基于以太网的点对点协议(PPPOE)拨号接入方式的认证接入流程如下-接入设备(例如PC、STB)启动拨号终端,发起PPPoE请求,所述请求经家庭网络路由(RTU)或家庭网关,以及Multiplexer桥接到BRAS;-BRAS的点对点(PPP)模块终结PPPoE报文,并创建相应的虚链路,通知拨号客户端发起认证;-通过密码验证协议(PAP)或质询握手验证协议(CHAP)协议,接入设备将帐号和密码送交BRAS;-BRAS的PPP模块收到客户端发来的帐号和密码后,将其发送到代理服务器,并据此构造认证请求。之后,将所述认证请求发送给功能服务器进行认证;-若认证通过,则代理服务器通过PPP模块通知拨号客户端可申请IP地址;-接入设备向BRAS申请IP地址;-BRAS的PPP模块收到地址分配请求后,向代理服务器申请IP地址,代理服务器一般采用共用地址池的动态分配,或功能服务器指定下发的静态分配方式,来为拨号客户端分配IP地址;-代理服务器分配地址成功后,通过PPP模块告知接入设备其申请到的IP地址;
-接入设备使用该IP地址通过虚链路访问网络。
目前现有技术中所采用的非认证接入方式主要包括DHCP接入方式和自动地址配置接入方式。
所述DHCP接入方式的接入流程如下-用户启动PC后,则设备自动打开动态地址配置协议客户端(DHCP Client)功能,开始申请IP地址。DHCP Client向网卡所在的接口链路发送搜索报文(DHCP DISCOVER),用以寻找可用的DHCP服务器(DHCP Server)。BRAS检测到所述DHCP DISCOVER报文后,利用其内部的转发功能(DHCP Relay),将该报文转发给DHCP Server。
-DHCP Server收到所述报文后,并确认可为该PC分配IP地址,之后,回应确认报文。通过BRAS将该确认报文转发给PC的DHCP Client。至此PC找到可用的DHCP Server。
-DHCP Client通过BRAS向该DHCP Server发送请求分配IP地址报文。所述DHCP Server收到该请求后,为该PC分配一个IP地址和网络相关参数,并通过BRAS向用户发送回应报文。此后,用户PC使用获得IP地址和相关网络参数接入网络。
所述自动地址配置接入方式的接入流程如下用户启动PC后,接入设备自动启动IPv6协议的自动地址配置功能。所述接入设备检测网络接口所在的链路中是否存在与其自身接口ID相同的接口ID,所述其自身的接口ID由该设备的网卡的MAC地址构造。
若不存在,则向该链路所连接的路由器申请该链路的IP地址前缀和网络参数。所述路由器根据为其分配的IP地址前缀和所述接口ID构造全局唯一的IP地址,之后反馈给用户端。此后,该用户使用获得IP地址和相关网络参数接入网络。
为了使上述非认证接入方式采用认证的手段来申请IP地址和接入网络,目前,现有技术为DHCP等专线接入方式提供了一种基于互联网网页(WEB)认证技术的认证接入方法,其流程如下-在请求分配IP地址报文到达BRAS之前的步骤与上述非认证接入方式相同。
-在BRAS收到确认该用户通过WEB认证的通知之前,其不允许该用户使用网络,并丢弃该用户除超文本传输协议(HTTP)报文以外的其他报文。之后,将该HTTP报文重定向到WEB Server上。
-WEB Server向用户强制发送认证页面,该用户收到所述认证页面后,手工在网页中输入预先分配的帐号和密码,之后向BRAS发送基于HTTP的认证请求。BRAS将该认证请求转发给WEB Server。
-WEB Server将该用户的帐号和密码送交认证服务器进行认证。认证服务器辨别后,将认证结果告知WEB Server。若认证通过,则WEB Server通知BRAS该用户可正常使用网络,并向用户强制发送认证通过页面,提示用户可正常上网。否则,告知该用户认证失败。
虽然通过所述WEB认证技术可以实现将非认证接入方式归一到认证接入方式中的目的,进而达到可对各种接入方式不同的设备进行统一的计费和管理的效果。但是显然,本方法需要在BRAS中设置对应WEB技术的处理模块,并且系统中需要添加WEB Server等WEB设备与BRAS和认证服务器相配合才能提供对非认证接入方式的认证功能。
同时,需要非PC的终端支持HTTP协议、安全式超文本传输协议(HTTPS)协议,以及WEB认证协议。而且WEB认证技术需要预先分配帐号和密码,但是对基于IPv6协议的信息家电需要即插即用,所以本方法对于那些没有集成多种协议和/或需要即插即用终端设备无法实施。
WEB认证技术也无法实现用户的IP地址与接入位置的绑定。这样在实际工作环境中容易遭到攻击。
发明内容
本发明提供一种认证接入系统,用以解决现有技术中存在需要为系统添加WEB设备,需要客户端支持多种协议;无法实现IP地址与接入位置的绑定;以及需要预先分配认证信息并在接入时手工输入,造成无法实现即插即用的问题。
本发明还提供一种认证接入方法,基于上述系统来实施。
本发明系统包括与接入设备相连的宽带接入服务器(BRAS),以及与所述BRAS相连的功能服务器;所述BRAS中包括协议终结模块,用于接收并终结所述接入设备发来的协议报文;代理模块,用于构造请求消息;所述BRAS中还包括调度模块(A3S),其连接于所述协议终结模块和代理模块之间,用于为非拨号接入方式构造认证信息并发送到代理模块,以及转发地址分配信息和计费信息;或者直接向代理模块转发拨号接入方式的认证信息,以及转发地址分配信息和计费信息。
所述代理模块中包括认证代理模块、地址分配代理模块,以及计费代理模块,其分别与所述A3S相连;所述地址分配代理模块,用于根据所述接入设备的位置信息构造地址分配请求消息;所述认证代理模块,用于根据所述接入设备的位置信息,以及所述认证信息构造认证请求消息;所述计费代理模块,用于根据所述接入设备的位置信息,以及所述认证信息构造计费请求消息。
所述功能服务器中包括认证模块,其与所述认证代理模块相连,用于对发来的认证请求消息进行认证;地址分配模块,其与所述地址分配代理模块相连,用于为通过认证的接入设备分配IP地址;计费模块,其与所述计费代理模块相连,用于对业务进行计费。
所述协议终结模块中包括动态主机配置协议(DHCP)模块,用于终结DHCP的协议报文;点对点协议(PPP)模块,用于终结PPP的协议报文;自动配置(Auto config)模块,用于终结无状态地址配置的协议报文。
本发明方法,由宽带接入服务器(BRAS)接收接入设备以认证接入方式和非认证接入方式发起的接入请求消息,并将以认证接入方式发起的接入请求消息直接转发到功能服务器进行认证;其特征在于,BRAS接收到以非认证接入方式发起的接入请求消息后,获取该接入设备的位置信息为其构造认证信息,并向功能服务器发送携带该认证信息的认证请求消息,由功能服务器对该用户进行认证,BRAS根据认证结果确定是否允许该用户接入。
所述的非认证接入方式为动态主机配置接入方式,或者自动配置接入方式;所述认证接入方式为点对点接入方式。
所述接入设备的位置信息的获取方式为从接入设备发送的接入请求消息中获取,或者由BRAS向该接入设备所在的数字用户线复用器(DSLAM)发送查询请求来获取。
BRAS构造的认证信息包括帐号和/或密码。根据所述接入设备所在的DSLAM的端口号和BRAS端口号来构造所述帐号,根据BRAS端口号来构造所述密码;或者,根据所述接入设备所在的DSLAM端口号和/或该接入设备的媒体访问控制(MAC)地址来构造所述帐号和密码;或者,根据BRAS端口号和/或接口的IP地址来构造所述密码。
所述DSLAM端口号包括所述DSLAM的设备号和接入设备的端口号;所述BRAS端口号包括所述BRAS的设备号和接入设备的端口号。
通过认证后,将为用户分配的IP地址与接入设备绑定。根据所述BRAS的端口信息和接入设备的MAC地址,为所述接入设备绑定IP地址;或者,根据接入设备所在的DSLAM端口号为所述接入设备绑定IP地址。
接入设备采用非认证接入方式发起接入请求,并为该设备分配了IP地址后,还包括下列步骤BRAS收到该接入设备发来的接入报文,则开始对其计费。计费开始后,定时检测该接入设备的接入信息,当检测不到所述接入信息时,终止计费。所述接入信息为该用户的地址解析协议(ARP)报文、邻居发现协议(ND)报文,或者该用户申请的全局链路IP地址。
本发明有益效果如下由于本发明在现有的认证接入系统中添加了调度模块(A3S),利用其为非认证接入方式构造认证信息,从而使非认证接入方式归一到了认证接入方式中。在接入成功后,利用所述认证信息构造计费请求消息来对该接入设备计费。
进而解决了需要接入设备支持多种协议的问题,降低了接入设备的协议配置难度和接入设备的成本。
采用本发明的系统只需在系统中添加调度模块,降低了系统成本。
本发明无需事先分配帐号和密码,而是由所述的调度模块根据接入设备的位置信息自动构造全局唯一的帐号和密码,所以本发明可以兼容所有的IP设备,并实现即插即用功能。
本发明将各种接入方式的地址分配统一到地址分配模块中,便于实现地址的统一管理和规划。更可根据所述接入设备的位置信息为该设备绑定与其对应的IP地址,保证了设备每次可申请到相同的IP地址,简化了运营的难度和降低了成本。
本发明通过对接入方式和认证方式的分离,为IPv4协议和IPv6协议的长期共存提供了有效的支撑手段。
基于本发明的系统和认证方法,可以对各种接入方式采用统一的计费策略进行计费,这样便于在系统中实施多种计费策略,使运营商获得更大的收益。
图1为现有技术的家庭网络示意图;图2为现有技术的拨号接入方式的系统组网图;图3为本发明方法的系统组网图;图4为本发明方法的步骤流程图。
具体实施例方式
在满足系统具有对非认证接入方式进行认证功能的前提下,为了使系统更加简化,使用户端无需支持多种协议,使系统可实现IP地址与接入位置的绑定,以及提高系统对IP设备兼容性。本发明在接入认证系统中添加了调度模块(A3S),用于为非认证接入方式构造认证信息,使非认证接入方式可归一到认证方式中。
本发明的认证接入系统组网示意图,如图3所示,从图中可见该系统包括与所述接入设备相连的宽带接入服务器(BRAS),以及与所述BRAS相连的功能服务器。在所述BRAS中包括与所述接入设备相连的协议终结模块,其中包含有动态主机配置协议(DHCP)模块、点对点协议模块(PPP)模块和自动配置(Auto config)模块,以及其它协议的协议模块,其中所述的自动配置模块特指基于IPv6协议的无状态自动地址配置模块;与所述协议终结模块相连的调度模块(A3S);与A3S相连的代理模块,其中包含有地址分配代理模块、认证代理模块和计费代理模块。所述功能服务器中包括与所述认证代理模块相连的认证模块,与所述地址分配代理模块相连的地址分配模块,以及与所述计费代理模块相连的计费模块。
所述BRAS,其用于接收所述接入设备发来的接入请求消息,并对所述请求消息作接入处理。在所述BRAS中所述协议终结模块,其用于接收并终结所述接入设备发来的协议报文。在其内部设置的DHCP模块,其用于终结DHCP的协议报文;PPP模块,其用于终结PPP的协议报文;Auto config模块,其用于终结无状态地址配置的协议报文。
所述A3S,其用于为非认证接入方式(例如专线接入方式)构造帐号和密码,并转发所述构造的帐号和密码,或者直接转发由用户端发来的认证接入方式的帐号和密码;以及在认证通过后转发地址分配信息和计费信息。
所述代理模块,其内部的所述认证代理模块,用于根据所述接入设备的位置信息和/或媒体访问控制(MAC)地址,以及由A3S构造的账号和密码,来构造认证请求消息;所述地址分配代理模块,用于根据所述接入设备的位置信息和/或MAC地址来构造地址分配请求消息;所述计费代理模块,用于根据所述接入设备的位置信息和/或MAC地址来构造计费请求消息。
所述功能服务器内部的所述认证模块,用于对认证代理模块发来的认证请求信息进行认证;所述地址分配模块,用于为通过认证的接入设备分配IP地址;所述计费模块,用于对业务进行计费。
上述的地址分配模块也可设置于所述BRAS中,其连接关系和功能不变。
本发明方法利用上述系统,通过在系统中为非认证接入方式构造认证信息,使非认证接入方法归一到认证接入方法中。本发明方法的流程如图4所示,从图中可见包括下列步骤S1、接入设备采用认证接入方式或非认证接入方式向宽带接入服务器(BRAS)发送接入请求消息;S2、BRAS判断该接入请求消息是以什么方式发起,若是以认证接入方式发起,则转入步骤S5;S3、若BRAS判断该接入请求消息是以非认证接入方式发起,则BRAS根据该接入设备的位置信息为其构造认证信息;S4、BRAS向功能服务器发送携带有所述认证信息的认证请求消息;S5、功能服务器对该用户进行认证;S6、若有接入权限,则转入步骤S7;否则,告知该用户接入失败原因;S7、功能服务器为该接入设备分配IP地址;S8、由所述BRAS完成接入工作。
以下通过两种非认证接入方式的实例来描述本发明方法的具体实施步骤。
例1对DHCP接入方式进行认证,并接入。
接入设备采用DHCP第4或第6版(v4/v6)协议发起接入请求,所述接入请求消息通过RTU,以及Multiplexer或DSLAM桥接到BRAS设备。
所述BRAS中的协议终结模块判断该请求接入消息的协议格式,得出本消息是以DHCP v4/v6协议发起的。之后,将该消息转入所述协议终结模块内部的DHCP模块,用以终结用户的DHCP协议报文。上述操作完成后,将处理后的请求接入消息发送到A3S模块,用以向系统申请IP地址。
A3S向系统发送确认消息,用以确认该接入设备所在的接口下是否配置了相应的地址分配服务器和认证服务器。确认设置了所述设备后,A3S以该接入设备发送的接入请求消息中的位置信息,或者由BRAS向该接入设备所在的DSLAM发送查询请求来获取该接入设备的位置信息,用以构造认证信息。即根据接入设备所在的DSLAM端口号及BRAS端口号来构造帐号,并根据BRAS端口号来构造密码。所述的DSLAM端口号包括DSLAM的设备号和用户接入端口号(例如不对称数字用户线(ADSL)端口号);所述的BRAS端口号包括BRAS的设备号和用户接入端口号(例如物理端口号、虚拟局域网的标识符(VLAN))。所述帐号和密码还可根据所述接入设备所在的DSLAM端口号和/或该接入设备的媒体访问控制(MAC)地址来构造,或者根据BRAS端口号和/或接口的IP地址来构造。
为所述接入设备构造了密码和帐号等认证信息后,所述A3S将该认证信息发送到认证代理模块,所述认证代理模块根据所述接入设备的位置信息和/或媒体访问控制(MAC)地址,以及由A3S构造的账号和密码,来构造认证请求消息,并将所述认证请求消息发送给认证模块。
认证模块收到该认证请求消息后,从中解析该接入设备的帐号和密码,并对该认证信息进行认证。认证模块记录该用户的相应信息,同时下发相应的策略,并通过认证代理模块向A3S反馈认证结果。如果A3S确认用户认证不通过,那么直接向接入设备返回找不到对应服务器的信息;否则所述A3S告知地址分配代理模块认证通过。
地址分配代理模块收到认证通过的消息后,根据所述接入设备的位置信息和/或MAC地址来构造地址分配请求消息,并发送给地址分配模块。所述位置信息包括该接入设备所在的数字用户线复用器(DSLAM)的端口号和BRAS端口号。
地址分配模块根据用户的端口信息和MAC地址,为该设备分配一个与其对应的IP地址和相应的租期,并建立该MAC地址、端口信息和IP地址之间的绑定关系。之后,通过地址分配代理模块将分配的IP地址和相应的租期反馈给所述A3S。
A3S根据获得的IP地址,建立IP地址与下发的该用户的策略之间的映射关系。之后,通过DHCP模块通知该用户地址分配成功,并由BRAS完成后续接入工作。至此流程结束。
例2对自动配置接入方式进行认证,并接入。
自动配置方式是在IP第6版(v6)协议中提出的,这种接入方式是无状态的,并且采用本接入方式将自动为接入设备配置地址。其方法流程如下接入设备自行创建其接口所属的本地链路网段的IP地址,然后向系统发送链路检测消息,用以检测创建的地址是否为重复地址。所述BRAS中的协议终结模块收到该重复地址检测报文(DAD)后,将其转入自动配置模块,经确认该地址当前没有冲突,则协议终结模块向所述A3S发起认证请求。
A3S向系统发送确认消息,用以确认该接入设备所在的接口下是否配置了相应的地址分配服务器和认证服务器。确认设置了所述设备后,A3S以该接入设备发送的接入请求消息中的位置信息,或者由BRAS向该接入设备所在的DSLAM发送查询请求来获取该接入设备的位置信息,用以构造认证信息。即根据接入设备所在的DSLAM端口号及BRAS端口号来构造帐号;并根据BRAS端口号来构造密码。或者采用其他位置信息构造认证信息。
为所述接入设备构造了密码和帐号等认证信息后,所述A3S将该认证信息发送到认证代理模块,所述认证代理模块根据所述接入设备的位置信息和/或媒体访问控制(MAC)地址,以及由A3S构造的账号和密码,来构造认证请求消息,并将所述认证请求消息发送给认证模块。
认证模块收到该认证请求消息后,从中解析该接入设备的帐号和密码,并对该认证信息进行认证。认证模块记录该用户的相应信息,同时下发相应的策略,并通过认证代理模块向A3S反馈认证结果。如果A3S确认用户认证不通过,那么直接向接入设备返回接入设备无法使用该地址或地址重叠信息;否则,A3S将认证通过且该创建的地址没有重叠的信息告知分配代理模块。
所述分配代理模块根据所述接入设备的位置信息和/或MAC地址来构造地址分配请求消息,并发送给地址分配模块。所述位置信息包括该接入设备所在的数字用户线复用器(DSLAM)的端口号和BRAS端口号。
地址分配模块根据用户的端口信息和MAC地址,为其分配该接入设备自行创建的本地链路IP地址和相应的租期,并建立该MAC地址、端口信息和该IP地址之间的绑定关系。之后,通过地址分配代理模块将分配的IP地址和相应的租期反馈给所述A3S。完成本地链路的接入。
之后,所述A3S向地址分配代理模块申请该接入设备所在接口相应的全局地址网段信息。其认证和接入流程与上述流程相同。在获得所述全局地址网段信息后,由BRAS完成后续接入工作。至此流程结束。
为了达到非认证接入方式归一到认证接入方式中的效果,需要认证的接入方式利用本发明的认证接入系统同样可以实施。
例3点对点(PPP)方式接入。
a、接入设备采用PPPoE协议申请接入网络。所述请求接入消息通过RTU、Multiplexer桥接到BRAS设备。BRAS设备中的协议终结模块判断该请求接入消息的协议格式,得出本消息是以PPPoE协议发起的。之后,将该消息转入所述协议终结模块内部的PPP协议模块,终结PPPoE协议并创建相应的虚拟链路。之后,通知接入设备在虚拟链路中发起认证请求,如果接入设备采用基于异步传输模式的点对点协议(PPPoA)协议接入网络,则直接跳入步骤b;b、PPP协议模块从请求消息中提取用户输入的帐号和密码,并将其发送到A3S。在这种情况下,A3S不再为该接入设备构造认证信息,而是直接将用户输入的认证信息发送到认证代理模块。认证代理模块根据所述认证信息及位置信息构造认证请求消息,并发送到认证模块。
当认证模块回应认证失败时,则A3S通知PPP协议模块向接入设备发起断链请求,并拆除相应的虚拟连接;否则,A3S通知PPP协议模块向接入设备发起地址分配请求,并向地址分配代理模块申请相应的IP地址。
后续的分配和绑定IP地址的处理流程与DHCP接入方式一致。当所述A3S获得了分配的IP地址后,若是PPPv4用户发起的接入请求,则所述A3S反馈相应的IP地址给PPP协议模块;若是PPPv6用户发起的接入请求,则将该用户所在的接口预先配置的IP地址前缀返回给接入设备,并保存该虚拟链路的IP地址前缀,当用户启动自动地址配置时,用户端自动向系统返回相应的IP地址前缀,从而使接入设备获得真正的IP地址。
基于上述系统和认证接入方法,在为接入设备分配了IP地址后,开始计费步骤,以下对应上述认证接入方法,以3个实例具体说明。
例1-1DHCP接入方式对应的计费方法。
在分配IP地址操作完成后,协议终结模块中的DHCP协议模块等待该用户发来的ARP或ND报文。
当接入设备使用分配到的IP地址上网,并且所述DHCP模块收到所述报文时,则判定该用户上线,并向A3S模块上报该用户上线。之后,A3S模块通过计费代理模块向计费模块发起计费开始请求,并开始对该用户的计费。
开始计费后,DHCP协议模块每隔一定时长检测一次是否存在该用户的ARP或ND报文。当DHCP协议模块检测到接入设备的ARP或ND的邻居“不在位”状态,则判定该用户下线,并向A3S模块上报该用户下线。之后A3S通过计费代理模块向计费模块发送终止计费请求,并结束对该用户计费。
例2-1自动配置接入方式对应的计费方法。
在分配IP地址操作完成后,协议终结模块中的自动配置模块等待该接入设备发来的全局链路IP地址信息。
当接入设备使用分配到的IP地址上网时,并且自动配置模块检测到该用户的全局链路IP地址信息时,则判定该用户上线,并向A3S模块上报该用户上线。之后,A3S模块通过计费代理模块向计费模块发起计费开始请求,并开始对该用户的计费。
开始计费后,自动配置模块每隔一定时长检测一次是否存在全局链路IP地址。当自动配置模块检测到接入设备的全局链路IP地址“不在位”状态,则判定该用户下线,并向A3S模块上报该用户下线。之后A3S通过计费代理模块向计费模块发送终止计费请求,并结束对该用户计费。
例3-1点对点(PPP)接入方式对应的计费方法与上述两个计费方法实例的流程相同。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种认证接入系统,包括与接入设备相连的宽带接入服务器(BRAS),以及与所述BRAS相连的功能服务器;所述BRAS中包括协议终结模块,用于接收并终结所述接入设备发来的协议报文;代理模块,用于构造请求消息;其特征在于,所述BRAS中还包括调度模块(A3S),其连接于所述协议终结模块和代理模块之间,用于为非拨号接入方式构造认证信息并发送到代理模块,以及转发地址分配信息和计费信息;或者直接向代理模块转发拨号接入方式的认证信息,以及转发地址分配信息和计费信息。
2.如权利要求1所述的系统,其特征在于,所述代理模块中包括认证代理模块、地址分配代理模块,以及计费代理模块,其分别与所述A3S相连;所述地址分配代理模块,用于根据所述接入设备的位置信息构造地址分配请求消息;所述认证代理模块,用于根据所述接入设备的位置信息,以及所述认证信息构造认证请求消息;所述计费代理模块,用于根据所述接入设备的位置信息,以及所述认证信息构造计费请求消息。
3.如权利要求2所述的系统,其特征在于,所述功能服务器中包括认证模块,其与所述认证代理模块相连,用于对发来的认证请求消息进行认证;地址分配模块,其与所述地址分配代理模块相连,用于为通过认证的接入设备分配IP地址;计费模块,其与所述计费代理模块相连,用于对业务进行计费。
4.如权利要求2所述的系统,其特征在于,所述BRAS中还包括与所述地址分配代理模块相连的地址分配模块,用于为通过认证的接入设备分配IP地址。
5.如权利要求4所述的系统,其特征在于,所述功能服务器中包括认证模块,其与所述认证代理模块相连,用于对发来的认证请求消息进行认证;计费模块,其与所述计费代理模块相连,用于对业务进行计费。
6.如权利要求1至5任一项所述的系统,其特征在于,所述协议终结模块中包括动态主机配置协议(DHCP)模块,用于终结DHCP的协议报文;点对点协议(PPP)模块,用于终结PPP的协议报文;自动配置(Auto config)模块,用于终结无状态地址配置的协议报文。
7.一种认证接入方法,由宽带接入服务器(BRAS)接收接入设备以认证接入方式和非认证接入方式发起的接入请求消息,并将以认证接入方式发起的接入请求消息直接转发到功能服务器进行认证;其特征在于,BRAS接收到以非认证接入方式发起的接入请求消息后,获取该接入设备的位置信息为其构造认证信息,并向功能服务器发送携带该认证信息的认证请求消息,由功能服务器对该用户进行认证,BRAS根据认证结果确定是否允许该用户接入。
8.如权利要求7所述的方法,其特征在于,所述的非认证接入方式为动态主机配置接入方式,或者自动配置接入方式;所述认证接入方式为点对点接入方式。
9.如权利要求8所述的方法,其特征在于,所述接入设备的位置信息的获取方式为从接入设备发送的接入请求消息中获取,或者由BRAS向该接入设备所在的数字用户线复用器(DSLAM)发送查询请求来获取。
10.如权利要求9所述的方法,其特征在于,BRAS构造的认证信息包括帐号和/或密码。
11.如权利要求10所述的方法,其特征在于,根据所述接入设备所在的DSLAM的端口号和BRAS端口号来构造所述帐号,根据BRAS端口号来构造所述密码;或者,根据所述接入设备所在的DSLAM端口号和/或该接入设备的媒体访问控制(MAC)地址来构造所述帐号和密码;或者,根据BRAS端口号和/或接口的IP地址来构造所述密码。
12.如权利要求11所述的方法,其特征在于,所述DSLAM端口号包括所述DSLAM的设备号和接入设备的端口号;所述BRAS端口号包括所述BRAS的设备号和接入设备的端口号。
13.如权利要求12所述的方法,其特征在于,通过认证后,将为用户分配的IP地址与接入设备绑定。
14.如权利要求13所述的方法,其特征在于,根据所述BRAS的端口信息和接入设备的MAC地址,为所述接入设备绑定IP地址;或者,根据接入设备所在的DSLAM端口号为所述接入设备绑定IP地址。
15.如权利要求14所述的方法,其特征在于,接入设备采用非认证接入方式发起接入请求,并为该设备分配了IP地址后,还包括下列步骤BRAS收到该接入设备发来的接入报文,则开始对其计费。
16.如权利要求15所述的方法,其特征在于,计费开始后,定时检测该接入设备的接入信息,当检测不到所述接入信息时,终止计费。
17.如权利要求15或16所述的方法,其特征在于,所述接入信息为该用户的地址解析协议(ARP)报文、邻居发现协议(ND)报文,或者该用户申请的全局链路IP地址。
全文摘要
本发明公开了一种认证接入系统,用以解决现有技术中存在需要为系统添加WEB设备,需要客户端支持多种协议;无法实现IP地址与接入位置的绑定;无法实现设备即插即用的问题。本发明系统包括与接入设备相连的宽带接入服务器,以及与所述BRAS相连的功能服务器;所述BRAS中包括协议终结模块,用于接收并终结所述接入设备发来的协议报文;用于构造请求消息的代理模块;其特征在于,所述BRAS中还包括调度模块,其连接于所述协议终结模块和代理模块之间,用于为非拨号接入方式构造认证信息并发送到代理模块,以及转发地址分配信息和计费信息;或者直接向代理模块转发拨号接入方式的认证信息,以及转发地址分配信息和计费信息。
文档编号H04L9/32GK1889484SQ20051008011
公开日2007年1月3日 申请日期2005年6月29日 优先权日2005年6月29日
发明者欧阳伟龙 申请人:华为技术有限公司