专利名称:一种aaa服务会话接入控制系统和方法
技术领域:
本发明属于网络系统中的接入控制技术领域,尤其涉及一种AAA服务会话 中对接入时长和流量进行控制的接入控制系统以及采用该接入控制系统的接入 控制方法。
技术背景所谓AAA是指提供身份验证(Authentication),授权(Author ization)和 记账(Accounting)的网络安全的系统,常用的AAA协议是Radius (Remote Authentication Dia卜In User Service )。按照标准Radius协议,当用户发起 接入请求时,接入服务器根据用户信息生成请求报文并发送Radius服务器,由 Radius服务器对用户进行认证。如果认证通过,Radius服务器向接入服务器发 送包含授权属性的应答报文,授权信息中所包含的一条重要信息是该用户本次 接入网络所允许的最大在线时长。由于实际运营环境存在对用户总流量进行限 制的需求,因此,接入服务器一般也支持流量控制,并设置相应的厂商属性。 目前绝大多数Radius服务器都支持向接入服务器下发最大在线时长或最大流 量,然后由接入服务器根据下发的时长或流量对用户的会话过程进行控制一一 如果会话到达所允许的最大时长或最大流量则断开用户的会话。由上述可知,目前众多的AAA服务仅能对用户会话的时长或流量进行单独 控制。然而,实际运营环境中有对时长和流量同时控制的需求,如校园网中的 包月限流量用户,针对这样的需求,目前的AAA服务存在如下缺点如果Radius 服务器向接入服务器下发最大在线时长,那么用户会话过程中的流量将不受限 制;如果Radius服务器向接入服务器下发最大在线流量,那么用户会话的时长 将无法控制;无论哪种情况,都可能给服务提供商带来损失。针对上述情况,目前存在的一种解决方案是用户认证通过后,Radius服 务器向接入服务器同时下发最大在线时长和流量。该方案的缺点有如下两条 首先,绝大多数接入服务器并不支持对会话的时长及流量同时控制,这样就要 求服务提供商必须将某个特定的设备提供商的Radius服务器和接入服务器捆绑 在一起,因此,缺乏通用性和灵活性;其次,由于需要接入服务器同时对会话 的时长及流量进行控制,这样就增加了接入服务器的负担,对接入服务器的性 能也会有更高的要求。 发明内容本发明要解决的技术问题是提供一种通用的能够对会话过程的流量和时长 进行双重控制的AAA服务会话接入控制系统,釆用该系统在不需要增加接入服 务器负担的情况下,能够对任何一次接入会话的时长和流量做到精确控制;为 此本发明还要提供一种采用该接入控制系统的AAA服务会话接入控制方法。为解决上述技术问题,本发明AAA服务会话接入控制系统包括接入服务子系统、Radius服务子系统和会话服务子系统;其中Radius服务 子系统负责处理用户的认证、记账请求,将剩余流量下发给接入服务子系统, 将剩余时长下发给会话服务子系统;接入服务子系统负责监控在线用户的剩余 流量,当用户剩余流量用尽时向Radius服务子系统发送计费停止报文并在清除 用户连接的条件具备时断开用户连接;会话服务子系统负责监控在线用户的剩 余时长,当用户的剩余时长用尽时,会话服务子系统通知Radius服务子系统, 并由Radius服务子系统向接入服务子系统发送DM报文要求断开用户连接,然 后接入服务子系统向Radius服务子系统发送计费停止报文并在清除用户连接的 条件具备时断开用户连接。所述会话服务子系统可以为一个独立设置的会话服务器,也可以与Radius 服务子系统共用一个服务器,并可将会话服务内置于Radius服务进程中。若用户上网过程中完成业务数据的修改,则所述Radius服务子系统根据修 改后的业务数据重新确定用户的剩余时长和剩余流量,并向接入服务子系统下发新的流量属性,向会话服务子系统下发新的时间属性。为解决上述技术问题,采用本发明所述AAA服务会话接入控制系统的AAA 服务会话接入控制方法包括以下步骤A、 用户通过接入服务子系统向Radius服务子系统发送接入请求报文;B、 Radius服务子系统对用户进行认证,如果认证通过,则向接入服务子系 统返回包括用户剩余流量信息的认证接受报文,然后执行步骤C;否则,向接入 服务子系统返回认证拒绝报文,拒绝用户接入网络;C、 接入服务子系统向Radius服务子系统发送计费请求报文,Radius服务 子系统向接入服务器返回计费响应报文,用户上网成功,同时Radius服务子系 统在会话服务子系统中记录允许用户上网的最大在线时长;D、 判断用户在线时长是否达到最大允许在线时长,若用户在线时长达到最 大允许在线时长时,执行步骤H,否则执行步骤E;E、 判断用户上网过程中是否完成业务数据的修改,若完成业务数据的修改 则执行步骤F,否则执行步骤G;F、 Radius服务子系统根据修改后的业务数据重新确定用户的剩余时间和剩 余流量,并向接入服务子系统下发新的流量属性,向会话服务子系统下发新的 时间属性,然后执行步骤D;G、 判断网络流量是否达到允许的最大流量,若网络流量达到允许的最大流 量,则接入服务子系统向Radius服务器发送计费停止报文,并在清除用户连接 的条件具备时断开与用户的网络连接;H、会话服务子系统通知Radius服务子系统用户在线时长已达到最大允许 在线时长,Rad i u s服务子系统向接入服务子系统发送DM报文要求断开用户连接, 接入服务子系统收到该DM报文后,向Radius服务子系统发送计费停止报文, 并在清除用户连接的条件具备时断开与用户的网络连接。其中,在步骤F中Radius服务子系统向接入服务子系统下发新的流量属性 的可以通过中间记贝长响应l艮文,也可以通过CoA (动态4更4又,DisconnectMessages )报文。所述清除用户连接的条件为Radius协议所规定,通常当出现以下两种情况 的任一种时断开与用户的网络连接第一种情况为接入服务子系统收到Radius 服务子系统的计费停止响应报文;第二种情况为接入服务子系统没有收到 Radius服务子系统的计费停止响应报文,但接入服务子系统向Radius服务子系 统发送计费停止请求报文的次数达到了 Radius协议规定的次数。采用本发明系统/方法,由会话服务子系统控制用户接入网络的在线时长, 由接入服务子系统控制用户的在线流量,同时在用户的业务数据发生修改时 Radius服务子系统将新的剩余时长下发给会话服务子系统,将新的剩余流量下 发给接入服务子系统,从而能够有效地对用户会话的时长和流量进行双重控制, 避免了服务提供商的潜在损失;另外,会话服务子系统独立于接入服务子系统, 该会话服务子系统即可独立于Radius服务子系统也可以内置于Radius服务中, 这样就可以根据网络运行情况做适当的部署,从而达到有效的负荷均衡。
图1为本发明方法的总体流程示意图。
具体实施方式
下面结合附图和具体实施方式
对本发明作进一步详细说明。 在本发明实施例中,采用本发明AAA服务会话接入控制系统的AAA服务会 话系统包括接入客户端,接入服务器,Radius服务器和会话服务器。其中接 入客户端负责向接入服务器发起接入请求,并将接入客户的相关信息发送给接 入服务器;接入服务器负责将用户的相关信息分别封装成认证请求信息和计费 请求信息发送给Radius服务器并处理来自Radius服务器的报文,同时将上下 线成功与否的状态及原因等返回给接入客户端;接入服务器还负责监控会话的 流量,当用户剩余流量用尽时需要断开用户连接;Radius服务器负责处理用户 的认证、记账请求,将剩余流量下放给接入服务器,将剩余时长下放给会话服 务器;会话服务器和Radius服务器存在信息交换,会话服务器负责管理用户会话状态,本发明中特指管理会话时长。接入用户成功上线后,Radius服务器向 会话服务器发送用户会话信息,至少包括会话标识、允许的会话时长,要求会 话服务器记录会话信息;接入用户成功下线后,Radius服务器向会话服务器发 送该用户的会话信息,至少包括会话标识,要求会话服务器清除该会话信息; 会话服务器同时负责管理会话状态,当某会话接入时长达到最大允许在线时长 时,会话服务器通知Radius服务器,并由Radius服务器向接入服务器发送DM 报文要求断开用户连接。会话服务器管理会话时长可以釆用设置定时器的方案 来实现。会话服务子系统可以是独立的可装卸的组件服务。这里采用设置独立 的会话服务器的方案,在具体实施中,也可以将会话服务内置于Radius服务进 程中。以宽带预付费业务为例,为了避免造成服务提供商的资源损失,当预付费 用户余额(无论时长还是流量)用尽时需要切断用户连接。由于接入服务器只 处理连接相关的信息,并不知道用户的业务数据,因此,要实现对流量的控制, Radius服务器必须根据用户业务数据算出剩余流量并下发给接入服务器,接入 服务器根据剩余流量对用户的连接进行动态控制;Radius服务器还需要根据用 户业务数据计算出用户的剩余时长并通知会话服务,由会话服务器对用户的上 网时长进行动态控制。图1是本发明所述方法的一个实施例的流程图,如图所示,本发明方法具 体包括如下步骤A、 接入客户端将用户名、密码等相关信息发送给接入服务器,接入服务器 根据上述信息生成Radius认证请求报文,并向Radius服务器发送认证请求报文;B、 Radius服务器接收到来自接入服务器的认证请求报文,根据用户的业务 数据对接收的接入请求进行认证;如果认证不通过,则向接入服务器发送认证 拒绝报文,用户登录网络失败,流程结束;如果认证通过,Radius服务器向接 入服务器返回包含用户剩余流量信息的认证接受报文,然后执行步骤C;C、 接入服务器向Radius服务器发送计费请求报文,Radius接收到计费请 求报文后向接入服务器发送计费响应报文,用户接入网络成功;同时Radius服 务器在会话服务器中记录允许用户上网的最大在线时长;D、 由会话服务器负责监控用户的在线时长,若用户在线时长达到最大允许 在线时长,执行步骤F,否则执行步骤E;E、 接入服务器定时向Radius服务器发送中间记账包,同时接入服务器动 态管理用户的网络流量,当剩余流量用尽时,接入服务器向Radius服务器发送 计费停止报文,Radius服务器接收到计费停止报文做相应记账的处理后向接入 服务器发送记账响应报文,接入服务器收到记账响应报文后清除与用户的网络 连接,流程结束;若接入服务器向Radius服务器发送计费停止报文后没有收到 计费响应报文,则根据Radius协议,在接入服务器发送计费停止报文的次数达 到了规定的次数时断开用户网络连接;F、 会话服务器通知Radius服务器该会话已到截止时间,Radius服务器则 向接入服务器发送DM请求报文要求断开用户连接,接入服务器收到该DM请求 报文后向Radius服务器发送计费停止报文,Radius服务器接收到计费停止报文 做相应记账的处理后向接入服务器发送记账响应报文,接入服务器收到记账响 应报文后清除与用户的网络连接,流程结束;若接入服务器向Radius服务器发 送计费停止报文后没有收到计费响应报文,则根据Radius协议,在接入服务器 发送计费停止报文的次数达到了规定的次数时断开用户网络连接。在用户会话过程中,若用户的业务数据被修改,Radius服务器则根据新的 业务数据重新确定用户剩余时长和流量,然后将剩余时长下发给会话服务器, 将剩余流量通过中间记账响应报文或CoA报文下发给接入服务器;会话服务器 和接入服务器根据新的时长和流量对用户的会话进行控制,这样可以更精确地 对用户会话的时长和流量进行双重控制。以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进 一步详细说明,所应注意的是,以上所述仅为本发明的具体实施例而已,本领围。这样,倘若本发明的这些修改和变型属于本发明权利要求记载的技术方案 及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种AAA服务会话接入控制系统,包括接入服务子系统和Radius服务子系统,其特征在于还包括会话服务子系统;所述Radius服务子系统负责处理用户的认证、记账请求,将剩余流量下发给接入服务子系统,将剩余时长下发给会话服务子系统;接入服务子系统负责监控在线用户的剩余流量,当用户剩余流量用尽时向Radius服务子系统发送计费停止报文并在清除用户连接的条件具备时断开用户连接;会话服务子系统负责监控在线用户的剩余时长,当用户的剩余时长用尽时,会话服务子系统通知Radius服务子系统,并由Radius服务子系统向接入服务子系统发送DM报文要求断开用户连接,然后接入服务子系统向Radius服务子系统发送计费停止报文并在清除用户连接的条件具备时断开用户连接。
2、 根据权利要求1所述的AAA服务会话接入控制系统,其特征在于所述 会话服务子系统的物理表现形式为 一个独立设置的会话服务器。
3、 根据权利要求1所述的AAA服务会话接入控制系统,其特征在于所述 会话服务子系统和Radius服务子系统共用 一个服务器。
4、 根据权利要求3所述的AAA服务会话接入控制系统,其特征在于所述 会话服务内置于Radius服务进程中。
5、 根据权利要求1至4中任一项所述的AAA服务会话接入控制方法,其特 征在于所述清除用户连接的条件为出现以下两种情况的任一种其中第一种情 况为接入服务子系统收到Radius服务子系统的计费停止响应报文;第二种情况 为接入服务子系统没有收到Radius服务子系统的计费停止响应报文,但接入服 务子系统向Radius服务子系统发送计费停止请求报文的次数达到了 Radius协 议规定的次数。
6、 根据权利要求1至4中任一项所述的AAA服务会话接入控制系统,其特 征在于若用户上网过程中完成业务数据的修改,则所述Radius服务子系统根据修 改后的业务数据重新确定用户的剩余时长和剩余流量,并向接入服务子系统下 发新的流量属性,向会话服务子系统下发新的时间属性。
7、一种采用权利要求1至4中任一项所述AAA服务会话接入控制系统的AAA 服务会话接入控制方法,其特征在于包括如下步骤A、 用户通过接入服务子系统向Radius服务子系统发送接入请求报文;B、 Radius服务子系统对用户进行认证,如果认证通过,则向接入服务子系 统返回包括用户剩余流量信息的认证接受报文,然后执行步骤C;否则拒绝用户 接入网络;C、 接入服务子系统向Radius服务子系统发送计费请求报文,Radius服务 子系统向接入服务器返回计费响应报文,同时Radius服务子系统在会话服务子 系统中记录允许用户上网的最大在线时长;D、 判断用户在线时长是否达到最大允许在线时长,若用户在线时长达到最 大允许在线时长时,执行步骤H,否则执行步骤E;E、 判断用户上网过程中是否完成业务数据的修改,若完成业务数据的修改 则执行步骤F,否则执行步骤G;F、 Radius服务子系统根据修改后的业务数据重新确定用户的剩余时间和剩 余流量,并向接入服务子系统下发新的流量属性,向会话服务子系统下发新的 时间属性,然后执行步骤D;G、 判断网络流量是否达到允许的最大流量,若网络流量达到允许的最大流 量,则接入服务子系统向Radius服务器发送计费停止报文,并在清除用户连接 的条件具备时断开与用户的网络连接;H、会话服务子系统通知Radius服务子系统用户在线时长已达到最大允许 在线时长,Ra d i u s服务子系统向接入服务子系统发送DM报文要求断开用户连接, 接入服务子系统收到该DM报文后,向Radius服务子系统发送计费停止报文, 并在清除用户连接的条件具备时断开与用户的网络连接。
8、 根据权利要求7所述的AAA服务会话接入控制方法,其特征在于在所 述步骤F中Radius服务子系统是通过中间记账响应报文向接入服务子系统下发 新的流量属性的。
9、 根据权利要求7所述的AAA服务会话接入控制方法,其特征在于在所 述步骤F中Radius服务子系统是通过动态授权报文向接入服务子系统下发新的 流量属性的。
10、 根据权利要求7所述的AAA服务会话接入控制方法,其特征在于所述 清除用户连接的条件为出现以下两种情况的任一种其中第一种情况为接入服 务子系统收到Radius服务子系统的计费停止响应报文;第二种情况为接入服务 子系统没有收到Radius服务子系统的计费停止响应报文,但接入服务子系统向 Radius服务子系统发送计费停止请求报文的次数达到了 Radius协议规定的次 数。
全文摘要
本发明公开了一种通用的能对AAA服务会话中的流量和时长进行双重控制的系统和方法,本发明系统包括接入服务子系统、Radius服务子系统和会话服务子系统;其中Radius服务子系统负责处理用户的认证、记账请求,将剩余流量下发给接入服务子系统,将剩余时长下发给会话服务子系统;接入服务子系统负责监控在线用户的剩余流量,当用户剩余流量用尽时向Radius服务子系统发送计费停止报文并在清除用户连接的条件具备时断开用户连接;会话服务子系统负责监控在线用户的剩余时长,当用户的剩余时长用尽时通知Radius服务子系统。所述会话服务器可以是独立的会话服务器,也可以内置于Radius服务进程中。
文档编号H04L12/56GK101237402SQ200810006830
公开日2008年8月6日 申请日期2008年2月2日 优先权日2008年2月2日
发明者潘大乾 申请人:中兴通讯股份有限公司