专利名称:一种为用户终端发起认证请求的方法、系统和路由设备的制作方法
技术领域:
本发明涉及网络通信技术,特别涉及一种为用户终端发起认证请求的方法、系统和宽带远程访问路由设备(BRAS)。
背景技术:
随着互联网技术的迅速发展,网际协议版本4(IPv4)定义的地址空间将被耗尽,地址危机越来越明显。为了扩大地址空间,使用网际协议版本6(IPv6)来重新定义地址空间,IPv6采用128位地址长度,几乎可以不受限制地为用户提供地址。
邻居发现(ND)接入技术是IPv6用户终端使用ND协议获取IPv6地址,触发BRAS认证的技术。动态主机配置协议版本6(DHCPv6)接入技术是IPv6用户终端使用DHCPv6协议获取IPv6地址,触发BRAS认证的技术。IPv6报文触发接入技术是IPv6用户终端通过发送触发认证报文,触发BRAS认证的技术。在IPv6认证技术中,ND接入技术、DHCPv6接入技术和IPv6报文触发接入技术是比较常用的接入技术。下面以IPv6报文触发接入技术为例,介绍现有技术中实现对IPv6用户终端进行认证的技术方案。
图1为现有技术中实现对IPv6用户终端进行认证的方法的流程示意图。如图1所示,该方法包括以下步骤步骤101IPv6用户终端向转发单元发送IPv6触发认证报文。
步骤102转发单元接收该IPv6触发认证报文,并向主控单元发送认证请求和IPv6用户终端的信息。
步骤103主控单元接收该认证请求和IPv6用户终端的信息,并向远程拨号用户鉴权服务(RADIUS)服务器发送认证请求。
步骤104RADIUS服务器对IPv6用户终端进行认证,并向主控单元发送认证回应。
步骤105~步骤106主控单元将认证回应经转发单元发送给IPv6用户终端。
在认证回应中携带有RADIUS服务器对IPv6用户终端的认证结果,如果认证通过,则为该IPv6用户终端分配IP地址,IPv6用户终端可以进行后续的业务操作;否则,该IPv6用户终端被判定为不合法IPv6用户终端,被拒绝进行后续的业务操作。
所谓无效认证是指,认证系统拒绝用户的认证请求后,又反复多次接收到用户的认证请求。在图1所示的方法中,如果IPv6用户终端没有通过认证,该IPv6用户终端仍然可以再次发起认证请求,BRAS中的转发单元和主控单元只负责向RADIUS服务器转发IPv6用户终端的认证请求,而无法对IPv6用户终端的认证请求进行控制,因此会出现无效认证问题。如果用户发起恶意攻击,反复向认证系统发起认证请求,会增大对中央处理单元(CPU)的干扰,加大RADIUS服务器和主控单元(MPU)的负担,影响网络运行的稳定性。
针对图1所示实施例中提到的IPv6认证中的无效认证问题,现有技术中主要有如下第一种解决方案通过配置BRAS上的主机-控制访问速率(Host-CAR),对无效认证进行防范。具体方法是在物理接口上限制每一个IPv6用户终端发送给转发单元的触发认证报文的速率,这样就可以减少IPv6用户终端对磁盘操作系统(DOS)的恶意攻击。
但是,此方案会存在如下问题在IPv6用户终端数量比较大的情况下,RADIUS服务器仍然会不断地接收到IPv6用户终端发起的无效触发认证报文,依然会消耗大量的RADIUS服务器资源。
上述第一种解决方案在用户较多的情况下,仍不能较好地解决无效认证问题。针对于第一种解决方案中出现的技术问题,要实现对多个用户中的有账号用户进行无效认证防范,现有技术有如下第二种解决方案通过在BRAS的MPU板上设置以太点到点协议(PPPoE)防范无效认证功能,实现对IPv6用户终端的无效认证的防范。具体方案是使用BRAS实时监测PPPoE用户终端发起的认证请求,在该认证请求中会携带用户的账号和密码,BRAS对该账号和密码的有效性进行认证。如果用户终端的账号或密码不合法,且在设定时间内重复发起触发认证报文,BRAS则阻塞该用户终端后续的认证请求。
上述第二种方案,可以很好地对有账号用户的无效认证起到防范作用,但是对那些绑定认证或媒体接入控制(MAC)认证等接入网络时无需输入账号的用户终端的无效认证,则起不到相应的防范作用。
可见,现有技术中,无法对无需输入账号的用户终端的无效认证起到较好的防范作用。
发明内容
本发明的实施例提供一种为用户终端发起认证请求的方法,使用该方法可以较好地防范无需输入账号的用户终端的无效认证。
本发明的实施例提供一种为用户终端发起认证请求的系统,使用该系统可以较好地防范无需输入账号的用户终端的无效认证。
本发明的实施例提供一种为用户终端发起认证请求的BRAS,使用该路由设备可以较好地防范无需输入账号的用户终端的无效认证。
为了达到上述第一个目的,本发明实施例提供了一种为用户终端发起认证请求的方法,其特征在于,该方法包括接收用户终端发起的触发认证报文;从所述触发认证报文中获取所述用户终端的信息;当根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件时,为所述用户终端发起认证请求。
为了达到上述第二个目的,本发明实施例提供了一种为用户终端发起认证请求的系统,该系统包括用户终端和宽带远程访问路由设备;所述用户终端,用于向宽带远程访问路由设备发起触发认证报文;所述宽带远程访问路由设备,用于配置认证黑名单和认证条件;接收用户终端发起的所述触发认证报文;当根据所述触发认证报文中的用户终端的信息和所述认证黑名单确定所用户终端满足认证条件时,为所述用户终端发起认证请求。
为了达到上述第三个目的,本发明实施例提供了一种为用户终端发起认证请求的宽带远程访问路由设备,其特征在于,所述宽带远程访问路由设备包括主控单元和转发单元;所述转发单元,用于配置认证黑名单和认证条件;接收用户终端发送的触发认证报文,当根据所述触发认证报文中的用户终端的信息和所述认证黑名单确定所述用户终端满足认证条件时,为所述用户终端生成认证请求,将所述认证请求发送给所述主控单元;所述主控单元,用于接收所述转发单元发送的所述用户终端的认证请求,将所述认证请求发送出去。
本发明实施例提供的技术方案,接收用户终端发起触发认证报文,从所述触发认证报文获取所述用户终端的信息;当根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件时,为所述用户终端发起认证请求。系统首先判断该用户终端是否满足认证条件,只有在用户终端满足认证条件的情况下,才为该用户终端生成认证请求。
由此可见,事先对发起触发认证报文的用户终端是否满足认证条件进行判断,只为满足认证条件的用户终端发起认证请求,较好地防范了无需输入账号的用户终端的无效认证。
图1为现有技术中实现对IPv6用户终端进行认证的方法的流程示意图;图2为本发明实施例的防范无效认证的系统的第一较佳实施例的结构示意图;图3图2所示系统中BRAS的结构示意图;图4为图3所示BRAS中转发单元的结构示意图;图5为图4所示转发单元中认证黑名单处理模块的具体结构示意图;图6为本发明实施例的防范无效认证的方法的第二较佳实施例的流程示意图;图7为本发明实施例的防范无效认证的方法的第三较佳实施例的流程示意图;图8为本发明实施例的防范无效认证的方法的第四较佳实施例的流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明的实施例提供了一种为用户终端发起认证请求的方法、系统和BRAS。用户终端向系统发起触发认证报文,系统接收到该报文之后,根据该触发认证报文获取用户终端的信息,当根据该用户终端的信息和认证黑名单确定该用户终端满足认证条件时,为该用户终端发起认证请求。
如果用户终端不满足认证条件,则决绝为该用户终端发起认证请求。如果用户终端满足认证条件,则进一步对满足认证条件的用户终端进行认证。根据对该用户终端的认证结果更新认证黑名单中用户终端的信息。系统能够根据动态更新的认证黑名单判断再次发起触发认证报文的用户终端是否满足认证条件,决定是否为发起触发认证报文的用户终端发起认证请求,能够较好地防范无需输入账号的用户终端的无效认证。所提到的用户终端是指IPv6用户终端和IPv4用户终端,或者两者中的一个。
图2为本发明实施例的防范无效认证的系统的第一较佳实施例的结构示意图。如图2所示,该系统包括IPv6用户终端和BRAS。为了对满足认证条件的IPv6用户终端进行认证,该系统还可以进一步包括认证服务器。
IPv6用户终端,用于向BRAS发起触发认证报文,接收BRAS发送的认证结果。其中,在该认证结果中携带是否允许该IPv6用户终端通过认证的消息,如果该IPv6用户终端通过认证,则该消息中携带有为该IPv6用户终端分配的地址。
需要指出的是,这里所提到的触发认证报文可以是不包含认证账号的触发认证报文,包括但不限定于IPv6触发认证报文、ND触发认证报文和DHCPv6触发认证报文。
BRAS用于配置和启动认证黑名单,以及配置认证条件。用于接收IPv6用户终端发起的触发认证报文,当根据触发认证报文中的用户终端的信息和认证黑名单确定该IPv6用户终端满足认证条件时,为该IPv6用户终端生成认证请求,向认证服务器发送该IPv6用户终端的认证请求。当确定该IPv6用户终端不满足认证条件时,拒绝为该IPv6用户终端发起认证请求。需要指出的是,该BRAS可以是针对IPv6单独设计的BRAS,也可以是能够处理IPv6和IPv4业务的双栈BRAS。
认证服务器用于接收BRAS发起的IPv6用户终端的认证请求,对该IPv6用户终端进行认证。如果该IPv6用户终端通过认证,通过BRAS向IPv6用户终端返回通过认证的认证结果。其中,认证服务器可以是RADIUS服务器和终端访问控制器访问控制系统(TACACS)服务器等。
高性能宽带信息网(3TNET)是指T比特的路由、T比特的交换和T比特的传输。在实际应用中,IPv6用户终端和IPv4用户终端可以是3TNET中支持IPv6协议的PC、机顶盒、或者具有相同功能的其它终端设备。虚拟局域网(VLAN)是为了安全以及文件保密而人为划分的局域网,IPv6用户终端通过VLAN或双标签(QINQ)VLAN接入BRAS,一个家庭一个VLAN。IPv6用户终端可以使用IPv6机顶盒接入网络,或者使用PPPoE拨号上网,这两种上网方式均使用RADIUS服务器进行认证。对使用PPPoE拨号上网的用户终端的认证是使用账号进行认证的方式,本发明的主要目的在于解决绑定认证和MAC认证等,无需输入账号的IPv6用户终端的无效认证问题。
由本实施例的技术方案可以看出,IPv6用户终端发起触发认证报文后,BRAS首先判断该IPv6用户终端是否满足认证条件,认证服务器只为满足认证条件的IPv6用户终端发起认证请求,拒绝为不满足认证条件的IPv6用户终端发起认证请求。由此可以看出,通过对无需输入账号的IPv6用户终端的无效认证的拦截,降低了MPU和认证服务器的负荷。此外,本发明所提供的技术方案也可以用于解决有账号认证中的无效认证问题。
为了判断发起认证请求的IPv6用户终端是否满足认证条件,本发明主要对BRAS进行了改进,在BRAS中配置认证黑名单。使用认证黑名单判断发起触发认证报文的IPv6用户终端是否满足认证条件,下面介绍本发明提供的BRAS的各部分的结构。
图3是图2所示系统中BRAS的结构示意图。如图3所示,该BRAS包括主控单元和一个或一个以上的转发单元。
转发单元用于配置和管理认证黑名单,以及配置认证条件。用于接收IPv6用户终端发起的触发认证报文,当根据该触发认证报文中的用户终端的信息和认证黑名单判定该IPv6用户终端满足认证条件时,为该IPv6用户终端生成认证请求,向主控单元发送该认证请求。否则,拒绝为不满足认证条件的IPv6用户终端发起认证请求。收集并向主控单元发送通过认证的IPv6用户终端的信息和未通过认证的IPv6用户终端的信息。
需要指出的是,该BRAS中包含一个或一个以上的转发单元,每个转发单元根据实际需要连接若干个IPv6用户终端,每个转发单元上都会存储认证黑名单,因此本实施例中涉及的认证黑名单被称为分布式认证黑名单。其中,转发单元的数目是根据实际组网需要进行设计的。在本实施例中给出了包含一个转发单元的BRAS的结构和功能,但是本发明显然不限于此,对于包含多个转发单元的情况,每个转发单元的结构和功能与本实施例中的转发单元相同。
主控单元,用于接收转发单元发送的IPv6用户终端的认证请求,接收转发单元发送的通过认证的IPv6用户终端的信息和未通过认证的IPv6用户终端的信息。向RADIUS服务器转发该认证请求、通过认证的IPv6用户终端的信息和未通过认证的IPv6用户终端的信息。该主控单元,还用于接收RADIUS服务器发送的对该IPv6用户终端的认证结果,并将该认证结果通过转发单元发送给IPv6用户终端。
由图3所示的实施例可以看出,较之于现有技术中的BRAS,本发明的实施例在转发单元中配置认证黑名单,将IPv6用户终端的信息和认证黑名单进行比较来判断该IPv6用户终端是否满足认证条件,只为满足认证条件的IPv6用户终端发起认证请求。将该认证请求通过主控单元发送到RADIUS服务器,RADIUS服务器对该IPv6用户终端进行认证,因此可以有效防范无需输入账号的IPv6用户终端的无效认证。
转发单元是本发明主要改进的部件之一,下面对图3中涉及的转发单元进行进一步的介绍,介绍该转发单元的内部结构。
图4为图3所示服务器中转发单元的结构示意图。如图4所示,该转发单元包括认证模块和认证黑名单处理模块。
其中,认证模块,用于接收IPv6用户终端发起的触发认证报文,向认证黑名单处理模块查询认证黑名单信息。当根据查询得到的认证黑名单信息和触发认证报文中的用户终端的信息确定IPv6用户终端满足认证条件时,为该IPv6用户终端生成认证请求,并将该认证请求发送给主控单元;拒绝为不满足认证条件的IPv6用户终端发起认证请求。收集通过认证的IPv6用户终端的信息,并将该IPv6用户终端的信息发送给主控单元。
认证黑名单处理模块,用于配置和管理认证黑名单,以及配置认证条件。为认证模块返回符合查询条件的认证黑名单信息。用于收集并向主控单元发送未通过认证IPv6用户终端的信息。
在本实施例中,认证黑名单处理模块可以对其上的认证黑名单进行更新。下面以具体的实施例介绍该认证黑名单处理模块的内部结构,以及如何实现对认证黑名单的更新。
图5为图4所示的转发单元中认证黑名单处理模块的具体结构示意图。如图5所示,该认证黑名单处理模块主要包括表项管理模块和老化处理模块;该认证黑名单处理模块还进一步包括认证黑名单更新模块。
其中,表项管理模块,用于配置和管理认证黑名单,以及配置认证条件。接收来自于认证黑名单更新模块和老化处理模块的认证黑名单处理信号,对该认证黑名单中的IPv6用户终端的信息进行管理。接收认证模块发送的查询认证黑名处理信息的信号,向认证模块返回符合查询条件的认证黑名单信息。收集并向主控单元发送未通过认证IPv6用户终端的信息。
需要说明的是,表项管理模块接收到的来自于老化处理模块的认证黑名单处理信号包括但不限定于查询认证黑名单的信号、删除认证黑名单的信号以及添加认证黑名单的信号等;表项管理模块接收到这些信号后,对认证黑名单进行相应的管理。表项管理模块接收到的来自于认证黑名单更新模块的认证黑名单处理信号包括删除接入认证时间最早的IPv6用户终端的信息的认证黑名单处理信号和加入新的IPv6用户终端的信息的认证黑名单处理信号。
随着认证黑名单中用户信息的增加,当要加入新的用户终端的信息时,可能会出现认证黑名单满的情况,所以还进一步包括认证黑名单更新模块。该认证黑名单更新模块用于判断认证黑名单是否已满,将删除接入认证时间最早的IPv6用户终端的信息的认证黑名单处理信号发送给表项管理模块,并将加入新的IPv6用户终端的信息的认证黑名单处理信号发送给表项管理模块。
需要指明的是,如果需要加入新的IPv6用户终端的信息,认证黑名单更新模块首先判断表项管理模块中存放的认证黑名单是否已满。如果未满则直接将该IPv6用户终端的信息加入表项管理模块中的认证黑名单里。否则先将接入认证时间最早的IPv6用户终端的信息从认证黑名单中删除,然后再将需要加入的IPv6用户终端的信息加入认证黑名单。
老化处理模块,用于根据配置的认证黑名单老化周期启动老化定时器,定时器超时,查找超过认证黑名单老化时间的IPv6用户终端的信息,将删除该IPv6用户终端的信息的认证黑名单处理信号发送表项管理模块。
老化处理模块可以对认证黑名单进行自动更新,即根据原先配置的认证黑名单老化周期,启动老化定时器。如果定时器超时,则向表项管理模块发送删除认证黑名单中超过认证黑名单老化时间的IPv6用户终端的信息的认证黑名单处理信号,通知表项管理模块删除该IPv6用户终端的信息。表项管理模块接收到该认证黑名单处理信号后,将该IPv6用户终端的信息删除。
需要指出的是,认证黑名单老化时间是指设定的认证黑名单更新的时间与接入认证时间之间的差。认证黑名单老化周期是指删除最早进入认证黑名单的IPv6用户终端的信息的时间周期。老化是指将认证黑名单中超过认证黑名单老化时间的IPv6用户终端的信息删除。由于配置的认证黑名单的长度是有限的,所以随着认证黑名单中IPv6用户终端的信息条数的增加,需要对认证黑名单进行更新,也就是老化认证黑名单。
在本实施例中,通过老化处理模块定时通知表项管理模块对认证黑名单中的IPv6用户终端的信息进行更新,可以实现认证黑名单中的IPv6用户终端信息的自动更新。因此认证模块可以根据认证黑名单动态地判断IPv6用户终端是否满足认证条件。
需要指出的是,转发单元还可以进一步包括配置管理代理模块。该配置管理代理模块用于接收表项管理模块发送的未通过认证的IPv6用户终端的信息,并接收认证模块发送的通过认证的IPv6用户终端的信息,将这些信息转发给主控单元。
在图2、图3、图4和图5所示的实施例中,介绍了实现本发明技术方案的系统和BRAS。下面以具体的实施例,介绍实现本发明技术方案的方法的具体步骤。
图6为本发明实施例的防范无效认证的方法的第二较佳实施例的流程示意图。如图6所示,包括以下步骤,步骤601在IPv6认证系统中配置和启动认证黑名单。
预先在IPv6认证系统中配置认证黑名单和认证条件,其中,认证黑名单的配置项包括认证黑名单长度、认证黑名单老化时间、认证惩罚阈值,认证黑名单老化周期和认证黑名单使能开关。
在本步骤中,启动认证黑名单的方法可以是打开认证黑名单使能开关。预先在IPv6认证系统中配置认证黑名单,如果将认证黑名单使能开关置于打开状态,则启用该认证黑名单;否则,不启用该认证黑名单。
步骤602判断IPv6用户终端是否满足认证条件,如果满足认证条件,则执行步骤603;否则,执行步骤604。
预先在认证黑名单中,分别为该IPv6用户终端的接入逻辑端口下的认证失败计数器、VLAN下的认证失败计数器和MAC下的认证失败计数器设置阈值,这三个阈值是根据实际情况设定的,可以相同,也可以不同。
在本步骤中,判断IPv6用户终端是否满足认证条件的方法可以有首先判断接入逻辑端口下的认证失败计数器中记录的认证次数是否超过为其设定的阈值,并且判断VLAN下的认证失败计数器中记录的认证次数否超过为其设定的阈值;如果都没有超过各自的阈值,判定该IPv6用户终端满足认证条件,执行步骤603,否则执行步骤604。
或者在该判断方法之后还可以进一步包括如下步骤,需要指出的是接下来要介绍的步骤是属于可选的步骤。
进一步判断认证黑名单中是否记录有该IPv6用户终端的信息,如果没有记录该IPv6用户终端的信息,则判定该IPv6用户终端满足认证条件,执行步骤603。
否则,如果记录有该IPv6用户终端的信息,再进一步判断该IPv6用户终端的MAC下的认证失败计数器中记录的认证次数是否超过为其设定的阈值。如果没有超过为其设定的阈值,则判定该IPv6用户终端满足认证条件;执行步骤603;否则,则判定该IPv6用户终端不满足认证条件;执行步骤604。
上述判断方法只是本发明实施例的一个较佳判断方法,对于包含其他判断顺序的方法也在本发明的保护范围之内。例如,先判断判断认证黑名单中是否记录有IPv6用户终端的信息,如果没有,则判定该IPv6用户终端满足认证条件。或者进一步判断接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器中记录的认证次数是否超过各自的阈值。如果没有,则判定该IPv6用户终端满足认证条件;否则判定该IPv6用户终端不满足认证的条件。在本实施例中所述的认证条件是指在本步骤中所提到的判定是否为IPv6用户终端发起认证请求的条件。
其中,查询认证黑名单中是否存在某IPv6用户终端的信息的方法有直接查询认证黑名单中是否存在该IPv6用户终端的接入逻辑端口、VLAN ID和MAC地址。这里给出查询IPv6用户终端信息的方法,并不是对本发明的限定,其他使用接入逻辑端口、VLAN ID和MAC地址进行IPv6用户终端信息查询的方法均在本发明的保护范围之内。
其中,接入逻辑端口是IPv6用户终端接入BRAS时所使用的端口值。VLAN ID是IPv6用户终端所属的VLAN的ID,该值的范围在1~4094之间。MAC地址IPv6用户终端接入BRAS时所使用的物理地址。接入认证时间是IPv6用户终端最后接入系统进行认证的时间。这里所提到的阈值是用户根据实际需要设定的数值。MAC下的认证失败计数器也可以被称作认证黑名单认证失败计数器,或者表项中记录认证失败次数的计数器。在本实施例中,IPv6用户终端的信息包括IPv6用户终端的接入逻辑端口、VLAN ID、MAC地址和接入认证时间。
步骤603为IPv6用户终端发起认证请求,对该IPv6用户终端进行认证。
在本步骤中,对IPv6用户终端发起认证请求和对IPv6用户终端进行认证的方法,与现有技术中对IPv6用户终端进行认证的方法完全相同,为了简洁,这里就不做重复赘述。
步骤604拒绝为该IPv6用户终端发起认证请请求,结束本流程。
在步骤603之后,还进一步将对IPv6用户终端的认证结果返回给该IPv6用户终端。如果通过对IPv6用户终端的认证,则允许该IPv6用户终端进行后续的业务操作;否则,将拒绝该IPv6用户终端的后续操作。
在图6所示的实施例中,在IPv6认证系统中配置和启用认证黑名单,通过比较IPv6用户终端发起的触发认证报文中的IPv6用户终端的信息和认证黑名单,判断该IPv6用户终端是否满足认证条件。只为满足认证条件的IPv6用户终端发起认证请求,因此可以防范无需输入账号的IPv6用户终端的无效认证。
在对IPv6用户终端进行认证时,一般都要先判断接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器中记录的认证次数是否超过各自的阈值。如果没有超过各自的阈值,还可以进一步判断认证黑名单中是否记录有该IPv6用户终端的信息。在图7所示的实施例中介绍当没有超过各自阈值,且认证黑名单中没有记录IPv6用户终端的信息时,如何实现对IPv6用户终端的认证,以及如何根据对IPv6用户终端的认证结果对认证黑名单进行更新。
图7为本发明实施例的防范无效认证的方法的第三较佳实施例的流程示意图。如图7所示,该方法包括如下步骤步骤701IPv6用户终端发起触发认证报文。
在本步骤中,该触发认证报文可以是IPv6触发认证报文、ND触发认证报文或DHCPv6触发认证报文。
步骤702~步骤705将IPv6用户终端的认证请求发送给RADIUS服务器,RADIUS服务器对该IPv6用户终端进行认证,并将认证回应返回给转发单元。
由于预先判断出认证黑名单中不包括该IPv6用户终端的信息,所以认为该IPv6用户终端发起的认证不属于无效认证,对其进行后续的认证处理。步骤702~步骤705的处理与现有技术相同,为了简洁,这里就不做赘述。
步骤706判断IPv6用户终端是否通过认证,如果通过认证,则执行步骤707;否则,将该IPv6用户终端的信息放入认证黑名单。
在本步骤中,如果IPv6用户终端没有通过认证,则将该IPv6用户终端的信息放入认证黑名单,并且将接入逻辑端口下的认证失败计数器中记录的认证次数、VLAN下的认证失败计数器中记录的认证次数和MAC下的认证失败计数器中记录的认证次数都加1。
比较IPv6用户终端的接入认证时间,接入认证时间最早的是最早进入认证黑名单的用户终端。如果要加入新的IPv6用户终端的信息,且认证黑名单已满,则删除最早进入认证黑名单的IPv6用户终端的信息,将该IPv6用户终端的信息加入认证黑名单,并将被删除的IPv6用户终端的接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器的计数值中记录的认证次数,分别减去该IPv6用户终端的MAC下的认证失败计数器中记录的认证次数。
除了上述对认证黑名单进行更新的方法以外,还可以自动对认证黑名单进行更新。方法为根据认证黑名单老化周期,启动老化定时器,定时器超时,删除超过认证黑名单老化时间的IPv6用户终端的信息,并将被删除的IPv6用户终端的接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器的计数值中记录的认证次数,分别减去该IPv6用户终端的MAC下的认证失败计数器中记录的认证次数。
需要指出的是,设置接入逻辑端口下的认证失败计数器和VLAN下的认证失败计数器的目的在于每一VLAN下均包括若干IPv6用户终端,当接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器中记录的认证次数两者中的一个超过各自阈值时,则认为该VLAN下的所有IPv6用户终端均为错误配置或恶意攻击的IPv6用户终端。拒绝对为该VLAN下的所有IPv6用户终端发起认证请求,可以更有效的防范无需输入账号的IPv6用户终端的无效认证。
步骤707向IPv6用户终端发送认证回应。
在本步骤中,在向IPv6用户终端发送携带认证通过信息的认证回应。
从图7所示的实施例可以看出,当认证黑名单中不存在IPv6用户终端的信息时,直接对IPv6用户终端进行认证,根据认证结果决定是否将IPv6用户终端的信息放入认证黑名单。
在接下来图8所示的实施例中介绍在判定接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器中记录的认证次数都没有超过各自的阈值,且当认证黑名单中存在IPv6用户终端的信息时,进一步判断IPv6用户终端是否满足认证条件,以及根据对该IPv6用户终端的认证结果对认证黑名单进行更新。
图8为本发明实施例的防范无效认证的方法的第四较佳实施例的流程示意图。如图8所示,该方法包括如下步骤步骤801与步骤701相同。
步骤802判断IPv6用户终端是否满足认证的条件;如果满足则执行步骤803;否则丢弃IPv6用户终端发起的触发认证报文。
由于事先判断出认证黑名单中包含IPv6用户终端的信息,表示该IPv6用户终端之前曾发起过认证请求,但没有通过认证。在本步骤中,进一步判断MAC下的认证失败计数器中记录的认证次数是否超过为该计数器设定的阈值,如果超过为其设定的阈值,则判定该IPv6用户终端不满足认证条件;否则判定该IPv6用户终端满足认证条件。
步骤803~步骤806与步骤702~步骤705相同。
步骤807判断IPv6用户终端是否通过认证,如果通过认证,则删除认证黑名单中该IPv6用户终端的信息;否则更新认证失败计数器的计数值,执行步骤808。
在本步骤中,如果IPv6用户终端通过认证,则删除认证黑名单中该IPv6用户终端的信息,并将该IPv6用户终端的接入逻辑端口下的认证失败计数器中记录的认证次数和VLAN下的认证失败计数器中记录的认证次数,分别减去该IPv6用户终端的MAC下的认证失败计数器中记录的认证次数。
如果IPv6用户终端没有通过认证,将IPv6用户终端下的接入逻辑端口下的认证失败计数器中记录的认证次数、VLAN下的认证失败计数器中记录的认证次数和MAC下的认证失败计数器中记录的认证次数都分别进行加1。更新IPv6用户终端的接入认证时间,即记录下此次IPv6用户终端接入的时间。
在本实施例中,同样可以对认证黑名单进行自动更新,具体操作方法可以和步骤706中介绍的对认证黑名单进行自动更新的方法相同,这里就不做重复介绍。
步骤808将认证结果发送给IPv6用户终端。
在本步骤中,由于IPv6用户终端没有通过认证,所以将认证失败的结果发送给IPv6用户终端。
在图6、图7和图8所示的实施例中,介绍了实现本发明技术方案的方法的步骤。通过本发明的技术方案可以看出,首先判断发起触发认证报文的IPv6用户终端是否满足认证条件。只为满足认证条件的IPv6用户终端生成认证请求并向认证服务器发起认证请求,借助于此方案可以减少向认证服务器发起的无效认证请求的次数,防范无效认证对RADIUS服务器的干扰,减小MPU和RADIUS服务器的负担,提高其工作效率。
本发明以RADIUS服务器为例,介绍了实现本发明技术方案的实施例,对于具有相同原理,基于其他协议的认证服务器,例如,TACACS服务器也在本发明的保护范围之内。在本发明的实施例中以IPv6用户终端为例进行了介绍,对于防范IPv4用户终端无效认证的技术方案与对IPv6用户终端的操作相同,所以Ipv4用户终端也在本发明的保护范围之内。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种为用户终端发起认证请求的方法,其特征在于,该方法包括接收用户终端发起的触发认证报文,从所述触发认证报文中获取所述用户终端的信息;当根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件时,为所述用户终端发起认证请求。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括当根据所述用户终端的信息和认证黑名单确定所述用户终端不满足认证条件时,拒绝为所述用户终端发起认证请求。
3.根据权利要求1所述的方法,其特征在于,所述认证黑名单包括为所述用户终端的接入逻辑端口下的认证失败计数器设置的第一阈值,以及为所述用户终端的虚拟局域网下的认证失败计数器设置的第二阈值;所述根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件的方法包括当所述接入逻辑端口下的认证失败计数器中记录的认证次数没有超过所述第一阈值,且所述虚拟局域网下的认证失败计数器中记录的认证次数没有超过所述第二阈值时,确定所述用户终端满足认证条件。
4.根据权利要求3所述的方法,其特征在于,所述认证黑名单进一步包括为所述用户终端的媒体接入控制下的认证失败计数器设置的第三阈值;所述根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件的方法,进一步包括检查所述认证黑名单中是否记录有所述用户终端的信息;当记录有所述用户终端的信息,且所述媒体接入控制下的认证失败计数器中记录的认证次数没有超过所述第三阈值时,确定所述用户终端满足认证条件。
5.根据权利要求3所述的方法,其特征在于,所述根据所述用户终端的信息和认证黑名单确定所述用户终端满足认证条件的方法,进一步包括检查所述认证黑名单中是否记录有所述用户终端的信息;当没有记录所述用户终端的信息时,确定所述用户终端满足认证条件。
6.根据权利要求4所述的方法,其特征在于,为所述用户终端发起认证请求之后,进一步包括对所述用户终端进行认证;如果所述用户终端通过认证,删除认证黑名单中所述用户终端的信息;将所述虚拟局域网下的认证失败计数器中记录的认证次数、所述接入逻辑端口下的认证失败计数器中记录的认证次数,分别减去所述媒体接入控制下的认证失败计数器中记录的认证次数;否则,将所述虚拟局域网下的认证失败计数器中记录的认证次数、所述接入逻辑端口下的认证失败计数器中记录的认证次数和所述媒体接入控制下的认证失败计数器中记录的认证次数分别加1,并更新所述用户终端的信息中的接入认证时间。
7.根据权利要求5所述的方法,其特征在于,为所述用户终端发起认证请求之后,进一步包括对所述用户终端进行认证;如果所述用户终端没有通过认证,在认证黑名单中记录所述用户终端的信息;将接入逻辑端口下的认证失败计数器中记录的认证次数、所述虚拟局域网下的认证失败计数器中记录的认证次数和所述用户终端的媒体接入控制下的认证失败计数器中记录的认证次数分别加1。
8.根据权利要求6或7所述的方法,其特征在于,所述认证黑名单进一步包括认证黑名单老化周期和认证黑名单老化时间;该方法进一步包括根据认证黑名单老化周期,删除超过认证黑名单老化时间的用户终端的信息;将所述接入逻辑端口下的认证失败计数器中记录的认证次数和虚拟局域网下的认证失败计数器中记录的认证次数,分别减去所述媒体接入控制下的认证失败计数器中记录的认证次数。
9.根据权利要求7所述的方法,其特征在于,该方法进一步包括当所述认证黑名单满时,查找最早进入认证黑名单的用户终端,删除所述用户终端的信息,并加入新的用户终端的信息;将所述接入逻辑端口下的认证失败计数器中记录的认证次数和虚拟局域网下的认证失败计数器中记录的认证次数,分别减去所述媒体接入控制下的认证失败计数器中记录的认证次数。
10.根据权利要求1所述的方法,其特征在于,所述认证黑名单为分布式认证黑名单。
11.一种为用户终端发起认证请求的系统,该系统包括用户终端和宽带远程访问路由设备;所述用户终端,用于向宽带远程访问路由设备发起触发认证报文;所述宽带远程访问路由设备,用于配置认证黑名单和认证条件,接收用户终端发起的所述触发认证报文;当根据所述触发认证报文中的用户终端的信息和所述认证黑名单确定所述用户终端满足认证条件时;为所述用户终端发起认证请求。
12.根据权利要求11所述的系统,其特征在于,所述宽带远程访问路由设备,进一步用于拒绝为不满足认证条件的用户终端发起认证请求。
13.一种为用户终端发起认证请求的宽带远程访问路由设备,其特征在于,所述宽带远程访问路由设备包括主控单元和转发单元;所述转发单元,用于配置认证黑名单和认证条件;接收用户终端发送的触发认证报文,当根据所述触发认证报文中的用户终端的信息和所述认证黑名单确定所述用户终端满足认证条件时,为所述用户终端生成认证请求,并将所述认证请求发送给所述主控单元;所述主控单元,用于接收所述转发单元发送的所述用户终端的认证请求,将所述认证请求发送出去。
14.根据权利要求13所述的路由设备,其特征在于,所述转发单元,进一步用于拒绝为不满足认证条件的用户终端发起认证请求;收集通过认证的用户终端的信息和未通过认证的用户终端的信息,发送给所述主控单元;所述主控单元,进一步用于接收所述通过认证的用户终端的信息和未通过认证的用户终端的信息,将所述通过认证的用户终端的信息和未通过认证的用户终端的信息发送出去。
15.根据权利要求14所述的路由设备,其特征在于,所述转发单元包括认证模块、认证黑名单处理模块;所述认证模块,用于接收用户终端发起的触发认证报文,向所述认证黑名单处理模块查询认证黑名单信息;当根据查询得到的认证黑名单信息和所述触发认证报文中的用户终端的信息判定所述用户终端满足认证条件时,为所述用户终端生成认证请求,将所述认证请求发送给主控单元,否则当判定所述用户终端不满足认证条件时,拒绝为所述用户终端发起认证请求;收集并向主控单元发送所述通过认证的用户终端的信息;所述认证黑名单处理模块,用于配置和管理所述认证黑名单,以及配置认证条件;向所述认证模块返回符合查询条件的认证黑名单信息;用于收集并向所述主控单元发送所述未通过认证的用户终端的信息。
16.根据权利要求15所述的路由设备,其特征在于,所述认证黑名单处理模块包括表项管理模块和老化处理模块;所述表项管理模块,用于配置认证黑名单和认证条件;接收来自于老化处理模块的认证黑名单处理信号,根据所述认证黑名单处理信号对所述认证黑名单中用户终端的信息进行管理;向所述认证模块返回符合查询条件认证黑名单信息;收集并向所述主控单元发送所述未通过认证的用户终端的信息;老化处理模块,用于根据认证黑名单老化周期启动老化定时器;所述老化定时器超时,查找超过认证黑名单老化时间的用户终端;将删除所述用户终端的信息的认证黑名单处理信号发送所述表项管理模块。
17.根据权利要求16所述的路由设备,所述认证黑名单处理模块,进一步包括认证黑名单更新模块;所述认证黑名单更新模块,用于判断认证黑名单是否已满,如果已满,将删除接入认证时间最早的用户终端的信息的认证黑名单处理信号发送给所述表项管理模块,并将加入新的用户终端的信息的认证黑名单处理信号发送给所述表项管理模块;所述表项管理模块,进一步用于根据所述删除接入认证时间最早的用户终端的信息的黑名单处理信号,以及所述加入新的用户终端的信息的认证黑名单处理信号,对所述认证黑名单中的用户终端的信息进行管理。
全文摘要
本发明提供了一种为用户终端发起认证请求的方法,该方法包括接收用户终端发起的触发认证报文,从所述触发认证报文中获取所述用户终端的信息,当根据所述用户终端的信息和所述认证黑名单确定所述用户终端满足认证条件时,为所述用户终端发起认证请求。本发明还提供了一种为用户终端发起认证请求的系统和BRAS。通过使用本发明实施例的技术方案,解决了认证中无效认证问题,大大降低了错误配置的用户终端或恶意攻击的用户终端发起的无效认证请求的频率,降低了认证服务器和MPU的负荷,保障了网络的稳定运行。
文档编号H04L12/28GK101034989SQ20071008018
公开日2007年9月12日 申请日期2007年2月14日 优先权日2007年2月14日
发明者黄永强, 陈晓春 申请人:华为技术有限公司