专利名称:一种点到点协议强制认证方法和装置的制作方法
技术领域:
本发明涉及网络管理技术,尤其是一种点到点协议强制认证方法和装置。
背景技术:
PPP协议(Point to Point Protocol,点到点协议)是TCP/IP协议(Transmission Control Protocol/Internet Protocol,传输控制协议/互联网协议)中数据链路层的协议,提供一种标准的方式在点对点的链路上传输多个网络层协议的数据包,PPP协议包括各种NCP协议(Network Control Protocol,网络控制协议),如IPCP协议(InternetProtocol Control Protocol,网络协议控制协议)和IPXCP(IPX ControlProtocol,IPX控制协议)等;LCP协议族(Link Control Protocol,链路控制协议);以及验证协议族(Authentication Protocol),如CHAP协议(Challenge Handshake Authentication Protocol,挑战握手验证协议)、PAP协议(Password Authentication Protocol,密码验证协议)等。
其中,NCP协议主要用来协商链路上传输的数据包的格式和类型;LCP协议主要用来建立、拆除和监控PPP数据链路;验证协议主要用来提供网络安全的保证。
为了在点对点的链路上建立通信,PPP链路的两端必须发送LCP数据包进行数据链路的测试和配置,等链路建立起来之后,还可能需要进行端的验证。然后,PPP发送NCP数据包选择并配置一个或多个网络层协议,当所选择的网络层协议配置成功之后,每个网络层发送的数据包就可以在链路上传送了。链路一直保持连接状态,直到有明确的LCP或者NCP数据包断开链路,或某些外来的事件发生,如定时器超时或者网络管理员干涉。
在验证阶段,由于运营商采用AAA服务器(AuthenticationAuthorization and Accounting,认证、授权和计费)所支持的认证类型存在差异,有的不支持PAP,CHAP,或者MSCHAP1(Microsoft CHAPversion1,微软CHAP协议版本1)、MSCHAP2(Microsoft CHAP version2,微软CHAP协议版本2)的情况,所以,只有在对端采用的验证协议跟AAA服务器所支持的认证类型相一致的情况下,才有可能通过验证;否则,就会出现在AAA服务器上存在该帐号而实际未通过验证的现象。
针对上述情形,现有的解决方案一是基于物理位置,如用户接入设备的槽位、子卡、端口、VLAN(Virtual Local Area Network,虚拟局域网)或PVC(Permanent Virtual Connection,永久虚连接)来配置点到点认证方案,使之与AAA服务器所支持的认证类型相一致。为了减少配置工作量可将同一物理端口下一些VLAN或PVC,组成一个逻辑接口一起进行配置。所有通过该接口接入的用户,PPP协商过程的LCP阶段,设备使用该接口下配置的认证方案与用户进行协商。通过该接口上来的用户在LCP阶段协商的认证类型就是接口所配置的认证类型,例如接口下配置的认证类型是PAP,则通过该接口上来的用户在LCP阶段协商的认证类型就是PAP。
如图1所示的用户拨号上网流程示意图,取PPPoE(PPP overEthernet,以太网承载PPP协议)用户为例,假设在接口下配置了CHAP认证类型,则具体过程如下首先,进行PPPoE协商;其次,进行PPP协商,具体包括下述步骤(1)用户端和PPPoE服务器之间进行点到点的LCP协商,建立链路层通信,同时协商使用CHAP认证方式;(2)PPPoE服务器发送Challenge报文给认证用户端,提供一个128bit的Challenge;(3)用户端收到Challenge报文后,将密码和Challenge做MD5算法后,发送Response响应报文给PPPoE服务器;(4)PPPoE服务器发送含Challenge、Challenge-Password和用户名的Access-Request(认证请求报文)到AAA服务器,由AAA服务器进行认证。
(5)AAA服务器根据用户信息判断用户是否合法,然后回应Access-Accept/Access-Reject(认证成功/失败报文)到PPPoE服务器;如果认证成功,携带协商参数,以及用户的相关业务属性给用户授权;如果认证失败,则流程到此结束;(6)PPPoE服务器将认证结果(Success/Failure)返回给用户端;(7)用户进行NCP(如IPCP)协商,通过PPPoE服务器获取到规划的IP地址等参数;(8)认证如果成功,PPPoE服务器发起计费开始请求给AAA服务器;(9)AAA服务器回应计费开始请求报文;用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
目前,网络用户与网络接入服务设备相连,通过这些设备实现网络连接。网络用户又属于不同的网络运营商,属于不同的域。在目前的网络运营管理系统中,网络运营商不需要真正的NAS(Network AccessServer,网络接入服务设备),只需要向真正拥有该设备的网络服务供应商租用设备即可。多个网络运营商可能租用同一个网络服务供应商的设备的同一个接口。由于运营商采用的AAA服务器所支持的认证类型存在差异,有的不支持PAP,CHAP,或者MSCHAP1、MSCHAP2的情况。如图2所示,运营商A和运营商B分别采用AAA服务器1和AAA服务器2,这两台用户认证服务器所支持的认证类型分别为PAP和CHAP。按照现有的技术方案一,如果接口下配置的PPP强制认证方案为MSCHAP1或者MSCHAP2,那么分属于运营商A和运营商B的网络用户user1@dom1和user2@dom2虽然在各自的AAA服务器上有账号,但均不能验证通过,从而导致用户无法开展网络业务;如果接口下配置的点到点强制认证方案为PAP或者CHAP,那么用户user1@dom1和user2@dom2最多只有一个用户能够验证成功。也就是说,只有在LCP阶段协商好的认证类型与AAA服务器所支持的认证类型相一致的情况下才有可能通过验证,否则就会出现在AAA服务器上存在着该账号而实际上验证不过的现象。所以,现有的技术方案一在图2所示的情况下,为了使得用户均能验证通过,只能由网络服务供应商给每个网络运营商分配不同的接口,这样不利于网络服务供应商的利益;且在大容量的BRAS(Broadband Remote Access Server,宽带远程接入服务器)中,给每个运营商分配不同的接口是不现实的。
现有的解决方案二是通过为用户端配置点到点强制认证类型的方式来实现,在用户的客户端拨号软件上配置点到点认证类型,设备接口上配置认证类型为自适应。这样PPP协商中LCP阶段时用户端指定使用用户端拨号软件上配置的认证类型,而设备接受用户端的要求。例如,AAA服务器支持的认证类型是CHAP,则配置用户端的认证类型是CHAP。这一方案的前提是用户必须知道其所要认证的AAA服务器支持的认证类型,即运营商必须预先告诉用户AAA服务器所支持的认证类型,因此就存在一定的网络安全隐患;另外,该方案不够灵活,如果运营商需要切换用户认证的AAA服务器,必须通知用户根据新的服务器所支持的认证类型进行调整,使用户端的认证类型与切换后的认证服务器所支持的认证类型保持一致,否则,将导致用户无法验证通过。
发明内容
基于上述情形,本发明提供了一种点到点协议强制认证方法和装置。灵活、安全地解决了由于运营商采用AAA服务器所支持的认证类型存在差异而导致用户无法通过验证的问题;无须为每个网络运营商分配不同接口,从而维护网络服务供应商的利益。
本发明中的点到点协议强制认证方法,包括步骤A、链路进行LCP协商,获得LCP协商的认证类型;B、比较LCP协商的认证类型和域下配置的点到点强制认证类型,进行点到点协议认证。
其中,步骤B包括具体步骤B1、若LCP协商的认证类型和域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证;B2、若LCP协商的认证类型和域下配置的点到点强制认证类型不同,将域下配置的点到点强制认证类型下发,进行LCP重协商,获得LCP重协商的认证类型,并与域下配置的点到点强制认证类型进行比较,二者相同,则发送认证请求报文到AAA服务器进行认证。
本发明方法中,域下配置的点到点强制认证类型为AAA服务器所支持的认证类型。
所述LCP重协商是由链路控制协议通过交换配置报文,将协商的类型更换为所述下发的域下配置的点到点强制认证类型。
所述AAA服务器接收到认证请求报文后,进行认证,认证通过后,返回认证成功报文。
本发明的点到点协议强制认证装置,在用户端与AAA服务器之间包括接口模块与比较模块,接口模块与用户端和比较模块相连,比较模块又与AAA服务器相连,接口模块,与用户端进行LCP协商,并发送比较请求消息给比较模块;比较模块,将LCP协商的认证类型与域下配置的点到点强制认证类型进行比较,并发送认证请求报文给AAA服务器进行认证。
其中,若LCP协商的认证类型与域下配置的认证类型不同,则所述的比较模块将域下配置的点到点强制认证类型下发给所述的接口模块。
所述的接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,所述的接口模块再次发送比较请求消息给所述的比较模块进行处理。
其中,所述比较请求消息中携带有LCP协商的认证类型。
本发明提供的方法和装置,实现了针对不同运营商的网络用户的认证管理。这不仅有利于网络服务供应商开展业务,能够把同一个接口租给不同的网络运营商,同时也是构建大容量BRAS系统不可或缺的一项技术。
图1为现有技术中的用户拨号上网流程图;图2为现有技术中的用户拨号上网示意图;图3为本发明中点到点协议强制认证的流程图;图4为本发明中点到点协议强制认证装置图。
具体实施例方式
同一个域下的用户具有相同的认证方法,计费方法,DNS(DomainName Server,域名服务器)的IP地址,缺省的业务属性,该域对应的AAA服务器的IP地址和服务端口号,当系统失去计费能力时是否允许用户在线的策略等。
在域下配置点到点强制认证类型与AAA服务器所支持的认证类型相一致,可通过下发命令进行配置。网络用户拨号上网根据域所对应的AAA服务器的IP地址和服务端口号,到相应的AAA服务器上去认证。
下面结合图3,具体说明点到点协议强制认证方法的具体实现过程步骤1,LCP协商阶段接口下配置认证类型为auto,用户拨号上网,LCP通过交换配置报文,进行LCP协商,建立链路并确定认证类型;步骤2,认证阶段把LCP协商阶段确定的认证类型和该用户所在域下配置的点到点强制认证类型比较,如果二者相同,发送认证请求报文到AAA服务器进行认证处理;如果二者不同,则将域下配置的点到点强制认证类型下发,进入LCP重协商阶段;
步骤3,LCP重协商阶段LCP通过交换配置报文,进行LCP重协商,协商的认证类型为步骤2中下发的域下配置的点到点强制认证类型,链路建立后,再次进入步骤2的认证阶段。
这时,LCP阶段协商的认证类型和该用户所在域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证处理。
由于,在域下配置点到点强制认证类型与该AAA服务器所支持的认证类型相一致,因此,用户能够通过AAA服务器的验证,顺利开展网络业务。
同时,本发明还提供了一种点到点强制认证装置,如图4所示,在用户端与AAA服务器之间包括接口模块与比较模块。
用户端与接口模块之间进行LCP协商建立链路并协商认证类型;链路建立后,接口模块发送比较请求消息给比较模块,该比较请求消息中携带有LCP协商的认证类型;比较模块将LCP阶段协商的认证类型与域下配置的点到点强制认证类型进行比较,若LCP阶段协商的认证类型与域下配置的点到点强制认证类型相同,比较模块则发送认证请求报文给AAA服务器,进行认证;若LCP阶段协商的认证类型与域下配置的点到点强制认证类型不同,则比较模块将域下配置的点到点强制认证类型下发给接口模块;接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,由接口模块发送比较请求消息给比较模块。此时,LCP阶段协商的认证类型与域下配置的点到点强制认证类型相同,比较模块将发送认证请求报文给AAA服务器,进行认证。
AAA服务器认证成功后,将返回认证成功报文给接口模块,接口模块将认证成功报文返回到用户端。至此,用户通过认证,获得合法的权限,可以正常开展网络业务。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
权利要求
1.一种点到点协议强制认证方法,其特征在于,包括步骤A、链路两端进行LCP协商,获得LCP协商的认证类型;B、比较LCP协商的认证类型和域下配置的点到点强制认证类型,进行点到点协议认证。
2.根据权利要求1所述的点到点协议强制认证方法,其特征在于,步骤B包括具体步骤B1、若LCP协商的认证类型和域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证;B2、若LCP协商的认证类型和域下配置的点到点强制认证类型不同,将域下配置的点到点强制认证类型下发,进行LCP重协商,获得LCP重协商的认证类型,并与域下配置的点到点强制认证类型进行比较,二者相同,则发送认证请求报文到AAA服务器进行认证。
3.根据权利要求1或2所述的点到点协议强制认证方法,其特征在于,所述域下配置的点到点强制认证类型为AAA服务器所支持的认证类型。
4.根据权利要求2所述的点到点协议强制认证方法,所述LCP重协商是由链路控制协议通过交换配置报文,将协商的类型更换为所述下发的域下配置的点到点强制认证类型。
5.根据权利要求2所述的点到点协议强制认证方法,其特征在于,所述AAA服务器接收到认证请求报文后,进行认证,认证通过后,返回认证成功报文。
6.一种点到点协议强制认证装置,其特征在于,在用户端与AAA服务器之间包括接口模块与比较模块,接口模块与用户端和比较模块相连,比较模块又与AAA服务器相连,接口模块,与用户端进行LCP协商,并发送比较请求消息给比较模块;比较模块,将LCP协商的认证类型与域下配置的点到点强制认证类型进行比较,并发送认证请求报文到AAA服务器进行认证。
7.根据权利要求6所述的点到点协议强制认证装置,其特征在于,若LCP协商的认证类型与域下配置的认证类型不同,则所述的比较模块将域下配置的点到点强制认证类型下发给所述的接口模块。
8.根据权利要求7所述的点到点协议强制认证装置,其特征在于,所述的接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,所述的接口模块再次发送比较请求消息给所述的比较模块进行处理。
9.根据权利要求6所述的点到点协议强制认证装置,其特征在于,所述比较请求消息中携带有LCP协商的认证类型。
全文摘要
本发明公开了一种点到点协议强制认证方法,包括如下步骤A.进行LCP协商,获得LCP协商的认证类型;B.比较LCP协商的认证类型和域下配置的点到点协议强制认证类型,进行点到点协议认证。本发明还公开了一种点到点协议强制认证装置。本发明能够对不同运营商的用户进行认证管理,有利于网络服务供应商开展业务,并且是构建大容量宽带远程接入服务器系统不可或缺的一项技术。
文档编号H04L12/24GK1859415SQ200610034898
公开日2006年11月8日 申请日期2006年4月4日 优先权日2006年4月4日
发明者张轶炯, 韩涛, 夏开军 申请人:华为技术有限公司