认证处理方法及装置制造方法

认证处理方法及装置制造方法
【专利摘要】本发明提供了一种认证处理方法及装置，该方法包括：宽带网络网关BNG接收对用户设备UE进行认证的第一认证请求信息，其中，该第一认证请求信息携带有用于标识UE，以及UE接入网络的物理链路的参数信息；BNG根据参数信息为UE生成第一线路标识；BNG将该第一线路标识发送到认证授权计费AAA服务器，其中，AAA服务器根据线路标识对UE进行认证，通过本发明，解决了相关技术中存在基于物理链路的认证方法无法实现对在同一物理链路下单个终端的隐式认证的问题，进而达到了能够为同一物理链路下单个终端的隐式认证，以及满足终端设备灵活性要求的效果。
【专利说明】认证处理方法及装置【技术领域】
[0001]本发明涉及通信领域，具体而言，涉及一种认证处理方法及装置。
【背景技术】
[0002]家庭网关(Residential Gateway，简称为RG)作为一个集中式智能接口，将家庭网络和外部网络联系起来，担当家庭网络与外部网络联接、总控及协调的角色。国际性标准组织宽带论坛(Broadband Forum,简称为BBF)正在进行宽带方面的标准化工作,涉及的课题包括固网终端设备(例如，家庭网关RG)的认证、策略控制等。对于RG的角色描述，以及通过RG附着到网络的终端设备，BBF提供了多种认证方案。但随着用户体验的进一步提升需求及终端设备的灵活性需求，目前的认证方案已不能满足现状。
[0003]例如，当用户请求接入网络时，网络将对其进行认证，对于用户的认证方式，通常分为显式认证和隐式认证两种。显式认证即用户需要提供用户名及密码，用户感知认证过程；而隐式认证则不需要用户提供用户名及密码，网络通过认证用户所在的物理链路来完成对用户的认证，用户不感知认证过程。显式认证是一种用户感知的认证，每次都需输入用户名和密码，用户体验一般；而隐式认证是针对物理链路级别的认证方法，用户不感知，相比显式认证用户体验较好。然而，当某一物理链路下连接多个终端设备时，由于相关技术是物理链路级别的认证粒度，即无法对同一物理链路下的单个终端进行隐式认证，因此具有一定的局限性。
[0004]因此，在相关技术中存在基于物理链路的认证方法无法实现对在同一物理链路下单个终端的隐式认证的问题。

【发明内容】

[0005]本发明提供了一种认证处理方法及装置，以至少解决现有技术基于物理链路的认证方法无法实现对在同一物理链路下单个终端的隐式认证。
[0006]根据本发明的一个方面，提供了一种认证处理方法，包括:宽带网络网关BNG接收对用户设备UE进行认证的第一认证请求信息，其中，所述第一认证请求信息携带有用于标识所述UE，以及所述UE接入网络的物理链路的参数信息；所述BNG根据所述参数信息为所述UE生成第一线路标识；所述BNG将所述第一线路标识发送到认证授权计费AAA服务器，其中，所述AAA服务器根据所述线路标识对所述UE进行认证。
[0007]优选地，在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，还包括:所述BNG向策略服务器发送会话建立请求，其中，所述会话请求中携带有与所述UE对应的所述第一线路标识，所述策略服务器根据所述第一线路标识为所述UE制定策略。
[0008]优选地，在所述BNG将所述线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，还包括:所述BNG再次接收到对所述UE认证的第二认证请求信息；所述BNG根据所述第二认证请求信息生成第二线路标识；所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器，其中，所述AAA服务器根据所述第二线路标识，以及对所述UE认证合法之后存储的所述第一线路标识对所述UE进行认证。
[0009]优选地，在所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器根据所述第二线路标识，以及所述第一线路标识对所述UE认证合法的情况下，还包括:所述BNG接收到所述AAA发送的认证接入接受信息，其中，所述认证接入接受信息中携带有所述UE的用户名。
[0010]优选地，在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证不合法的情况下，还包括:所述BNG接收Portal服务器发送的所述第一认证请求信息，其中，所述Portal服务器与所述UE交互后获取用于标识所述UE的用户信息。
[0011]优选地，用于标识所述UE的参数信息包括以下至少之一:所述UE的媒体接入控制层MAC地址、序列号SN。
[0012]根据本发明的另一方面，提供了一种认证处理装置，位于宽带网络网关BNG中，包括:第一接收模块，用于接收对用户设备UE进行认证的第一认证请求信息，其中，所述第一认证请求信息携带有用于标识所述UE，以及所述UE接入网络的物理链路的参数信息；第一生成模块，用于根据所述参数信息为所述UE生成第一线路标识；第一发送模块，用于将所述第一线路标识发送到认证授权计费AAA服务器，其中，所述AAA服务器根据所述第一线路标识对所述UE进行认证。
[0013]优选地，还包括:第二发送模块，用于在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，向策略服务器发送会话建立请求，其中，所述会话请求中携带有与所述UE对应的所述第一线路标识，所述策略服务器根据所述第一线路标识为所述UE制定策略。
[0014]优选地，还包括:第二接收模块，用于在将所述线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，再次接收到对所述UE认证的第二认证请求信息；第二生成模块，用于根据所述第二认证请求信息生成第二线路标识;第三发送模块，用于将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器，其中，所述AAA服务器根据所述第二线路标识，以及对所述UE认证合法之后存储的所述第一线路标识对所述UE进行认证。
[0015]优选地，还包括:第三接收模块，用于在所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器根据所述第二线路标识，以及所述第一线路标识对所述UE认证合法的情况下，接收到所述AAA发送的认证接入接受信息，其中，所述认证接入接受信息中携带有所述UE的用户名。
[0016]优选地，还包括:第四接收模块，用于在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证不合法的情况下，接收Portal服务器发送的所述第一认证请求信息，其中，所述Portal服务器与所述UE交互后获取所述UE的用户信息。
[0017]通过本发明，采用宽带网络网关BNG接收对用户设备UE进行认证的第一认证请求信息，其中，所述第一认证请求信息携带有用于标识所述UE，以及所述UE接入网络的物理链路的参数信息；所述BNG根据所述参数信息为所述UE生成第一线路标识；所述BNG将所述第一线路标识发送到认证授权计费AAA服务器，其中，所述AAA服务器根据所述线路标识对所述UE进行认证，解决了相关技术中存在基于物理链路的认证方法无法实现对在同一物理链路下单个终端的隐式认证的问题，进而达到了能够为同一物理链路下单个终端的隐式认证，以及满足终端设备灵活性要求的效果。
【专利附图】

【附图说明】
[0018]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0019]图1是根据本发明实施例的认证处理方法的流程图；
[0020]图2是根据本发明实施例的认证处理装置的结构框图；
[0021]图3是根据本发明实施例的认证处理装置的优选结构框图一；
[0022]图4是根据本发明实施例的认证处理装置的优选结构框图二 ；
[0023]图5是根据本发明实施例的认证处理装置的优选结构框图三；
[0024]图6是根据本发明实施例的认证处理装置的优选结构框图四；
[0025]图7是相关技术中基于物理链路的RG认证的流程图；
[0026]图8是根据本发明实施例的路由型RG时UE首次附着时的认证及策略控制的流程图；
[0027]图9是根据本发明实施例的路由型RG时UE再次附着时的认证及策略控制的流程图；
[0028]图10是根据本发明实施例的桥型RG时UE首次附着时的认证及策略控制的流程图；
[0029]图11是根据本发明实施例的桥型RG时UE再次附着时的认证及策略控制的流程图。
【具体实施方式】
[0030]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0031]在本实施例中提供了一种认证处理方法，图1是根据本发明实施例的认证处理方法的流程图，如图1所示，该流程包括如下步骤:
[0032]步骤S102，宽带网络网关BNG接收对用户设备UE进行认证的第一认证请求信息，其中，该第一认证请求信息携带有用于标识UE，以及UE接入网络的物理链路的参数信息，其中，标识UE的参数信息可以包括以下至少之一:UE的媒体接入控制层MAC地址、SN序列号;
[0033]步骤S104，BNG根据上述参数信息为UE生成第一线路标识；
[0034]步骤S106，BNG将第一线路标识发送到认证授权计费AAA服务器，其中，该AAA服务器根据该第一线路标识对该UE进行认证。
[0035]通过上述步骤，根据用于标识UE的标识以及为该UE生成的第一线路标识进行认证，有利地对用户进行了区分，相对于现有技术中只能对整个同一物理链路的UE进行认证，而并不能对同一物理链路下的单个UE进行认证，不仅解决了现有技术中所存在的局限性，而且，达到了能够为同一物理链路下单个终端的隐式认证，以及满足终端设备灵活性要求的效果。
[0036]AAA服务器根据线路标识对UE进行认证，该过程可以是UE首次的认证过程，当然也可以是非首次的认证过程，并且，在执行首次与非首次的认证过程中都存在认证合法与认证不合法的情况，即，根据AAA服务器对上述线路标识进行认证成功与否，也可以对上述步骤进行不同的处理:例如，在BNG将该第一线路标识发送到AAA服务器之后，AAA服务器根据该第一线路标识对UE进行认证，该过程为UE首次的认证过程，此时，可能会出现AAA服务器对UE认证不合法的情况，当出现这样的情况时，BNG接收Portal服务器发送的认证请求信息(该认证请求信息相当于上述步骤中的第一认证请求信息，并且依据该认证请求信息执行后续的步骤)，其中，该第一认证请求信息中携带有UE的用户信息，Portal服务器与UE交互后获取用于标识UE的用户信息(其中，该用户信息可以为该用户的用户名和密码)。BNG进而根据接收到的第一认证请求信息执行后续的认证处理。
[0037]而在BNG将该第一线路标识发送到AAA服务器之后，并且，在AAA服务器对UE认证合法的情况下，BNG还可以向策略服务器发送会话建立请求，其中，该会话请求中携带有与该UE对应的第一线路标识，该策略服务器根据与该UE对应的第一线路标识为UE制定策略。需要说明的是，此处AAA服务器对UE认证合法的情况可以为首次认证，也可以为非首次认证，在处理时，只要是AAA服务器对UE认证合法时，AAA服务器就向BNG发送认证接入接受信息，其中，该认证接入接受信息中携带有UE的用户名，而后BNG将接收到的UE的用户名，以及认证合法的线路标识策略服务器，策略服务器根据上述信息制定策略。
[0038]较优地，在BNG将线路标识发送到AAA服务器之后，并且，在AAA服务器对UE认证合法的情况下，还包括:BNG再次接收到对UE认证的第二认证请求信息；BNG根据第二认证请求信息生成第二线路标识；BNG将根据第二认证请求信息生成的第二线路标识发送到AAA服务器，其中，AAA服务器根据第二线路标识，以及对UE认证合法之后存储的第一线路标识对UE进行认证。即，在AAA服务器对UE认证合法时，该AAA服务器存储认证合法的第一线路标识，当与第一线路标识对应的UE再次请求认证时，第一线路标识与根据再次发送的第二请求信息生成的第二线路标识是相同的，因而实现了对UE的认证。
[0039]优选地，在BNG根据参数信息为UE生成线路标识之后，BNG还可以对与线路标识对应的UE与线路标识之间的对应关系进行存储维护。需要说明的是，一般不采用这样的处理，而采用这样的处理方式，可以使得UE在下次进行认证时就不必要去重新生成线路标识了，直接根据上述所存储的对应的关系，提取与UE对应的线路标识，而后根据该提取的线路标识进行后续的认证操作。
[0040]在宽带网络网关BNG接收对用户设备UE进行认证的认证请求信息时，该BNG可以通过路由型家庭网关RG和/或桥型RG接收对UE进行认证的认证请求信息，通过不同的RG所执行的步骤也存在些差异，而这些差异主要因为RG类型的不同而不同，在处理步骤上并不存在实质上的不同。
[0041]在本实施例中还提供了一种认证处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0042]图2是根据本发明实施例的认证处理装置的结构框图，如图2所示，该装置位于宽带网络网关BNG中，包括第一接收模块22、第一生成模块24和第一发送模块26,下面对该装置进行说明。
[0043]第一接收模块22，用于接收对用户设备UE进行认证的第一认证请求信息，其中，认证第一请求信息携带有用于标识UE，以及UE接入网络的物理链路的参数信息；第一生成模块24，连接至上述第一接收模块22，用于根据上述参数信息为UE生成第一线路标识；第一发送模块26，连接至上述生成模块24，用于将上述第一线路标识发送到认证授权计费AAA服务器，其中，该AAA服务器根据上述第一线路标识对UE进行认证。
[0044]图3是根据本发明实施例的认证处理装置的优选结构框图一，如图3所示，该装置除包括图2所示的所有模块外，还包括第二发送模块32，下面对该第二发送模块32进行说明。
[0045]第二发送模块32，连接至上述第一发送模块26，用于在BNG将线路标识发送到AAA服务器之后，并且，在AAA服务器对UE认证合法的情况下，向策略服务器发送会话建立请求，其中，该会话请求中携带有与UE对应的第一线路标识，策略服务器根据上述第一线路标识为UE制定策略。
[0046]图4是根据本发明实施例的认证处理装置的优选结构框图二，如图4所示，该装置除包括图2所示的所有模块外，还包括第二接收模块42、第二生成模块44和第三发送模块46，下面对该装置进行说明。
[0047]第二接收模块42，连接至上述第一发送模块26，用于在将线路标识发送到AAA服务器之后，并且，在AAA服务器对UE认证合法的情况下，再次接收到对UE认证的第二认证请求信息；第二生成模块44，连接至上述第二接收模块42，用于根据第二认证请求信息生成第二线路标识；第三发送模块46，连接至上述第二生成模块44，用于将根据第二认证请求信息生成的第二线路标识发送到AAA服务器，其中，AAA服务器根据第二线路标识，以及对UE认证合法之后存储的第一线路标识对UE进行认证。
[0048]图5是根据本发明实施例的认证处理装置的优选结构框图三，如图5所示，该装置除包括图4所示的所有模块外，还包括第三接收模块52，下面对该装置进行说明。
[0049]第三接收模块52，连接至上述第三发送模块46，用于在BNG将根据第二认证请求信息生成的第二线路标识发送到AAA服务器之后，并且，在AAA服务器根据第二线路标识，以及第一线路标识对UE认证合法的情况下，接收到AAA发送的认证接入接受信息，其中，认证接入接受信息中携带有UE的用户名。
[0050]图6是根据本发明实施例的认证处理装置的优选结构框图四，如图6所示，该装置除包括图2所示的所有模块外，还包括第四接收模块62，下面对该装置进行说明。
[0051]第四接收模块62，连接至上述第一发送模块62，用于在BNG将第一线路标识发送到AAA服务器之后，并且，在AAA服务器对UE认证不合法的情况下，接收Portal服务器发送的第一认证请求信息，其中，Portal服务器与UE交互后获取UE的用户信息。
[0052]上述实施例及优选实施方式所提供的用户认证方法，解决了相关技术中基于物理链路的认证方法无法实现对在同一物理链路下单个终端的隐式认证的问题，另外，还可以将上述所列的认证方法与策略控制相结合，提供一种新的策略控制方法。需要说明的是，UE所附着的家庭网关的类型不同，所执行的步骤存在差异，下面分别以路由型RG与桥型RG为例进行说明。
[0053]路由型RG:
[0054]用户设备UE从RG附着并发起地址请求消息，由该RG为所附着的UE向宽带网络网关(Broadband Network Gateway,简称为BNG)发起认证请求,其中，该认证请求中携带有该UE的媒体接入控制(Media Access Control，简称为MAC)地址和/或SN序列号。BNG根据认证请求中所携带的UE的MAC地址或SN序列号，以及UE接入的物理链路信息，为该UE构造线路标识Line ID。
[0055]BNG向固网AAA发起认证请求,其中，该BNG向固网AAA发起的认证请求中携带有UE的线路标识。
[0056]固网AAA对该线路标识进行判断，若AAA判断该线路标识合法，则AAA向BNG回复认证接受消息，并携带该线路标识对应的用户名。较优地，该BNG还可以向策略服务器发起会话建立请求，其中，该会话建立请求中携带有UE的用户名、和/或IP地址、和/或线路标识等参数；而后，策略服务器根据接收到的上述参数为UE制定QoS策略。
[0057]若AAA判断该线路标识不合法，则向BNG回复认证拒绝消息。BNG向RG回复认证拒绝消息。当UE发起HTTP请求时，RG将用户请求重定向至Portal服务器，其中，RU向Portal服务器所发送的用户请求中携带UE的MAC地址或SN序列号。UE与Portal服务器交互用户名及密码。Portal服务器向RG发起认证请求，其中，Portal服务器向RG发起的认证请求中携带UE的用户名、密码及MAC地址或SN序列号。RG将认证请求消息发送给BNG,BNG根据所述UE的MAC地址或SN序列号，以及所述UE接入的物理链路，为所述UE构造线路标识Line ID。同时BNG维护用户名与线路标识的绑定关系。进一步地，BNG将线路标识、用户名、密码发送给固网AAA，如认证成功，则AAA存储所述UE的线路标识。
[0058]桥型RG:
[0059]用户设备UE从固定接入网络接入并向BNG发起地址请求消息，该BNG根据UE的MAC地址或SN序列号，以及UE接入的物理链路信息，为该UE构造线路标识Line ID。
[0060]BNG向固网AAA发起认证请求,其中BNG向固网AAA发起的认证请求中携带UE的线路标识。
[0061 ] 固网AAA对该线路标识进行判断，若判断该线路标识合法，则向BNG回复认证接受消息，并在认证接受消息中携带该线路标识对应的用户名。较优地，该BNG还可以向策略服务器发起会话建立请求，其中，该会话建立请求携带有UE的用户名、和/或IP地址、和/或线路标识等参数；策略服务器根据接收到的上述参数为UE制定QoS策略。
[0062]若AAA判断该线路标识不合法，则向BNG回复认证拒绝消息。当UE发起HTTP请求时，BNG将用户请求重定向至Portal服务器，其中，BNG向Portal服务器发送的用户请求中携带有UE的MAC地址或SN序列号。UE与Portal服务器交互用户名及密码。Portal服务器向BNG发起认证请求,其中,Portal服务器向BNG发起的认证请求中携带有UE的用户名、密码及MAC地址或SN序列号。BNG根据UE的MAC地址或SN序列号，以及UE接入的物理链路，为UE构造线路标识Line ID。同时BNG维护用户名与线路标识的绑定关系。BNG将线路标识、用户名、密码发送给固网AAA，如果认证成功，则AAA存储UE的线路标识。
[0063]图7是相关技术中基于物理链路的RG认证的流程图，需要说明的是，该RG认证流程属于实施本发明实施例及优选实施方式的一个环节，如图7所示，该流程包括如下步骤:
[0064]步骤S702，RG向BNG发送基于以太网的点对点协议(Point-to-Point Protocolover Ethernet,简称为PPPoE)的认证请求消息,其中，该基于以太网的PPPoE的认证请求消息中携带有RG的用户名及密码；
[0065]步骤S704，BNG收到RG的认证请求消息后，获取RG的物理链路信息(RG发起的PPPoE报文经过接入节点时由接入节点插入，即Agent Circuit ID参数)以及RG的MAC地址，同时向BBF AAA发送认证接入请求消息，其中，该认证接入请求消息中携带有RG的用户名及密码；
[0066]步骤S706, BBF AAA根据该认证接入请求消息对该RG进行认证,如果RG认证通过，则BBF AAA向BNG回复认证接入接受消息，BNG保存RG的物理链路信息及MAC地址；
[0067]步骤S708，BNG向RG回复认证成功消息。
[0068]图8是根据本发明实施例的路由型RG时UE首次附着时的认证及策略控制的流程图，如图8所示，该流程包括以下步骤:
[0069]步骤S802，UE向RG发送IP地址请求消息(例如，DHCP发现消息)，其中，该IP地址请求消息中携带有UE的MAC地址或SN序列号；
[0070]步骤S804，RG为UE分配私网IP地址，并记录该UE的MAC地址或SN序列号；
[0071]步骤S806，RG向BNG发送认证接入请求消息，以认证该UE是否合法；具体地，RG在该认证请求消息中插入UE的MAC地址或SN序列号；
[0072]步骤S808，BNG收到认证接入请求消息后，获取该UE所在的物理链路信息，例如，端口号，虚电路参数等。例如:物理链路信息可以是:“Access-Node-1dentifier atm slot/port: vp1.vci ” (ATM/DSL 场景)，^Access-Node-1dentifier eth slot/port [: vlan-1d]，，(Ethernet 场景)；
[0073]具体地，在RG是路由型的场景下，UE的物理链路信息与RG是相同。BNG通过RG的MAC地址获取RG所在的物理链路信息(对应上述图7所示实施例的过程)，进而获取UE的物理链路信息。进而，BNG根据UE的物理链路信息，以及UE的MAC地址或SN序列号为UE生成线路标识并发送给BBF认证、授权、计费(Authentication Authorization Accounting,简称为AAA)服务器。
[0074]步骤S810, BBF AAA对线路标识进行认证,若该线路标识不合法，则向BNG回复认证接入拒绝消息；
[0075]步骤S812，BNG向RG回复认证接入拒绝消息；
[0076]步骤S814，UE发起HTTP请求，请求访问外部业务网站；
[0077]步骤S816，由于此时该UE未通过认证，则RG向UE回复HTTP响应消息，推送Portal认证地址；具体地，在RG发送的HTTP响应消息中还插入了 UE的MAC地址或SN序列号；
[0078]步骤S818, UE向Portal服务器发送HTTP请求消息，以请求认证；同时该请求消息中还携带了 UE的MAC地址或SN序列号；
[0079]步骤S820，Portal服务器向UE发送HTTP响应消息，即推送认证页面；
[0080]步骤S822，UE在认证页面输入用户名、密码等信息，发送给Portal服务器；
[0081]步骤S824, Portal服务器向RG发送认证请求消息,其中，该Portal服务器向RG发送的认证请求消息中携带有UE的用户名、密码、MAC地址或SN序列号；
[0082]步骤S826，RG向BNG发送认证请求消息，其中，该RG向BNG发送的认证请求消息中携带有UE的用户名、密码、MAC地址或SN序列号；
[0083]步骤S828，BNG收到认证接入请求消息后，获取该UE所在的物理链路信息，例如，端口号，虚电路参数等。例如:物理链路信息可以是:“Access-Node-1dentifier atm slot/port: vp1.vci ” (ATM/DSL 场景)，^Access-Node-1dentifier eth slot/port [: vlan-1d]，，(Ethernet场景)等；并根据UE的MAC地址或SN序列号获取UE的线路标识(由步骤S808生成)，然后将UE的用户名、密码以及线路标识发送给BBF AAA ；
[0084]步骤S830，BBFAAA对用户进行认证，若该用户合法，则BBFAAA保存该用户的线路标识；同时向BNG回复认证接入接受消息；
[0085]步骤S832，BNG向RG回复认证接入接受消息；
[0086]步骤S834, RG向Portal服务器回复认证响应消息,指示当前UE认证通过；
[0087]步骤S836, Portal服务器向UE回复响应消息,通知UE认证通过；
[0088]步骤S838，RG向BNG发送计费开始消息，其中，RG向BNG发送的该计费开始消息中携带有UE的外部IP地址及RG为该UE分配的Port集；
[0089]步骤S840，BNG向BBF AAA发送计费开始消息，其中，BNG向BBF AAA发送的该计费开始消息中携带有UE的 外部IP地址及RG为该UE分配的Port集；
[0090]步骤S842, BNG向策略服务器(Policy Server)发起会话建立请求消息,其中，该会话建立请求消息中携带有UE的外部IP地址及RG为该UE分配的Port集，和/或用户名，和/或线路标识。
[0091]图9是根据本发明实施例的路由型RG时UE再次附着时的认证及策略控制的流程图，如图9所示，该流程包括以下步骤:
[0092]步骤S902，UE向RG发送IP地址请求消息(例如，DHCP发现消息)，其中，该IP地址请求消息中携带有UE的MAC地址或SN序列号；
[0093]步骤S904，RG为UE分配私网IP地址，并记录该UE的MAC地址或SN序列号；
[0094]步骤S906，RG向BNG发送认证接入请求消息，以认证该UE是否合法；具体地，RG在该认证请求消息中插入UE的MAC地址或SN序列号；
[0095]步骤S908，BNG收到认证接入请求消息后，获取该UE所在的物理链路信息，例如，端口号，虚电路参数等。例如:物理链路信息可以是:“Access-Node-1dentifier atm slot/port: vp1.vci^ (ATM/DSL 场景)，“Access-Node-1dentifier eth slot/port [: vlan-1d]，，(Ethernet 场景)；
[0096]具体地，在RG是路由型的场景下，UE的物理链路信息与RG的相同。BNG通过RG的MAC地址获取RG所在的物理链路信息(对应于上述图6所示实施例的过程)，进而获取UE的物理链路信息。进一步地，BNG根据UE的物理链路信息，以及UE的MAC地址或SN序列号为UE生成线路标识并发送给BBF AAA。若BNG根据UE的MAC地址或SN序列号直接搜索到本次保存的UE的线路标识，则不用重新生成。
[0097]步骤S910, BBF AAA对线路标识进行认证,若该线路标识合法，则向BNG回复认证接入接受消息，其中，该认证接入接受消息中携带有UE的用户名；
[0098]步骤S912，BNG向RG回复认证接入接受消息；[0099]步骤S914，RG向BNG发送计费开始消息，其中，RG向BNG发送的该计费开始消息中携带有UE的外部IP地址及RG为该UE分配的Port集；
[0100]步骤S916，BNG向BBF AAA发送计费开始消息，其中，BNG向BBF AAA发送的该计费开始消息中携带有UE的外部IP地址及RG为该UE分配的Port集；
[0101]步骤S918，BNG向策略服务器发起会话建立请求消息，其中，BNG向策略服务器发起的该会话建立请求消息中携带UE的外部IP地址及RG为该UE分配的Port集，和/或用户名，和/或线路标识。
[0102]图10是根据本发明实施例的桥型RG时UE首次附着时的认证及策略控制的流程图，如图10所示，该流程包括以下步骤:
[0103]步骤S1002，用户设备UE向BNG发送IP地址请求消息(例如，DHCP发现消息)，其中，该IP地址请求消息中携带有UE的MAC地址或SN序列号；
[0104]步骤S1004，BNG为UE分配IP地址，并记录该UE的MAC地址或SN序列号；
[0105]步骤S1006，BNG向BBFAAA发送认证接入请求消息，以认证该UE是否合法；具体地，BNG根据DHCP消息中携带上来的该UE所在的物理链路信息，即DHCP发现消息中的0ption82选项，以及MAC地址或SN序列号为UE构造线路标识(Line ID),并发送给BBFAAA ；
[0106]步骤S1008，BBF AAA对线路标识进行认证，若该线路标识不合法，则向BNG回复认证接入拒绝消息；
[0107]步骤S1010，UE发起HTTP请求，请求访问外部业务网站；
[0108]步骤S1012，由于此时该UE未通过认证，则BNG向UE回复HTTP响应消息，推送Portal认证地址；具体地，在BNG在HTTP响应消息中还插入了 UE的MAC地址或SN序列号；
[0109]步骤S1014, UE向Portal服务器发送HTTP请求消息，以请求认证；同时该请求消息中还携带了 UE的MAC地址或SN序列号；
[0110]步骤S1016, Portal服务器向UE发送HTTP响应消息，即推送认证页面；
[0111]步骤S1018，UE在认证页面输入用户名、密码等信息，发送给Portal服务器；
[0112]步骤S1020，Portal服务器向BNG发送认证请求消息，其中，Portal服务器向BNG发送的该认证请求消息中携带有UE的用户名、密码、MAC地址或SN序列号；
[0113]步骤S1022，BNG收到认证接入请求消息后，根据UE的MAC地址或SN序列号获取UE的线路标识，然后将UE的用户名、密码以及线路标识发送给BBF AAA ；
[0114]步骤S1024，BBF AAA对用户进行认证，若该用户合法，则BBF AAA保存该用户的线路标识；同时向BNG回复认证接入接受消息；
[0115]步骤S1026, BNG向Portal服务器回复认证响应消息,指示当前UE认证通过；
[0116]步骤S1028，Portal服务器向UE回复响应消息，通知UE认证通过；
[0117]步骤S1030，BNG向BBF AAA发送计费开始消息，其中，BNG向BBF AAA发送的该计费开始消息中携带有UE的IP地址；
[0118]步骤S1032，BNG向策略服务器发起会话建立请求消息，其中，BNG向策略服务器发起的该会话建立请求消息中携带有UE的IP地址，和/或用户名，和/或线路标识。
[0119]图11是根据本发明实施例的桥型RG时UE再次附着时的认证及策略控制的流程图，如图11所示，该流程包括以下步骤:[0120]步骤S1102，UE向BNG发送IP地址请求消息(例如，DHCP发现消息)，其中，该IP地址请求消息中携带有UE的MAC地址或SN序列号；
[0121 ] 步骤SI 104，BNG为UE分配IP地址，并记录该UE的MAC地址或SN序列号；
[0122]步骤SI 106，BNG向BBF AAA发送认证接入请求消息，以认证该UE是否是合法用户；具体地，BNG根据DHCP消息中携带上来的该UE所在的物理链路信息，即DHCP发现消息中的0ption82选项，以及MAC地址或SN序列号为UE构造线路标识(Line ID),并发送给BBFAAA。若BNG根据UE的MAC地址或SN序列号直接搜索到本次保存的UE的线路标识，则不用重新生成。
[0123]步骤S1108,BBF AAA对线路标识进行认证,若该线路标识合法,贝U向BNG回复认证接入接受消息；并在回复消息中携带UE的用户名；
[0124]步骤SI 110，BNG向BBF AAA发送计费开始消息，其中，BNG向BBF AAA发送的该计费开始消息中携带有UE的IP地址；
[0125]步骤SI 112，BNG向策略服务器发起会话建立请求消息，其中，BNG向策略服务器发起的该会话建立请求消息中携带有UE的IP地址，和/或用户名，和/或线路标识。
[0126]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0127]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种认证处理方法，其特征在于，包括: 宽带网络网关BNG接收对用户设备UE进行认证的第一认证请求信息，其中，所述第一认证请求信息携带有用于标识所述UE，以及所述UE接入网络的物理链路的参数信息； 所述BNG根据所述参数信息为所述UE生成第一线路标识； 所述BNG将所述第一线路标识发送到认证授权计费AAA服务器，其中，所述AAA服务器根据所述线路标识对所述UE进行认证。
2.根据权利要求1所述的方法，其特征在于，在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，还包括: 所述BNG向策略服务器发送会话建立请求，其中，所述会话请求中携带有与所述UE对应的所述第一线路标识，所述策略服务器根据所述第一线路标识为所述UE制定策略。
3.根据权利要求1所述的方法，其特征在于，在所述BNG将所述线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，还包括: 所述BNG再次接收到对所述UE认证的第二认证请求信息； 所述BNG根据所述第二认证请求信息生成第二线路标识； 所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器，其中，所述AAA服务器根据所述第二线路标识，以及对所述UE认证合法之后存储的所述第一线路标识对所述UE进行 认证。
4.根据权利要求3所述的方法，其特征在于，在所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器根据所述第二线路标识，以及所述第一线路标识对所述UE认证合法的情况下，还包括: 所述BNG接收到所述AAA发送的认证接入接受信息，其中，所述认证接入接受信息中携带有所述UE的用户名。
5.根据权利要求1至4中任一项所述的方法，其特征在于，在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证不合法的情况下，还包括: 所述BNG接收Portal服务器发送的所述第一认证请求信息，其中，所述Portal服务器与所述UE交互后获取用于标识所述UE的用户信息。
6.根据权利要求5所述的方法，其特征在于，用于标识所述UE的参数信息包括以下至少之一: 所述UE的媒体接入控制层MAC地址、序列号SN。
7.一种认证处理装置，其特征在于，位于宽带网络网关BNG中，包括: 第一接收模块，用于接收对用户设备UE进行认证的第一认证请求信息，其中，所述第一认证请求信息携带有用于标识所述UE，以及所述UE接入网络的物理链路的参数信息； 第一生成模块，用于根据所述参数信息为所述UE生成第一线路标识； 第一发送模块，用于将所述第一线路标识发送到认证授权计费AAA服务器，其中，所述AAA服务器根据所述第一线路标识对所述UE进行认证。
8.根据权利要求7所述的装置，其特征在于，还包括: 第二发送模块，用于在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，向策略服务器发送会话建立请求，其中，所述会话请求中携带有与所述UE对应的所述第一线路标识，所述策略服务器根据所述第一线路标识为所述UE制定策略。
9.根据权利要求7所述的装置，其特征在于，还包括: 第二接收模块，用于在将所述线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证合法的情况下，再次接收到对所述UE认证的第二认证请求信息； 第二生成模块，用于根据所述第二认证请求信息生成第二线路标识； 第三发送模块，用于将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器，其中，所述AAA服务器根据所述第二线路标识，以及对所述UE认证合法之后存储的所述第一线路标识对所述UE进行认证。
10.根据权利要求9所述的装置，其特征在于，还包括: 第三接收模块，用于在所述BNG将根据所述第二认证请求信息生成的所述第二线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器根据所述第二线路标识，以及所述第一线路标识对所述UE认证合法的情况下，接收到所述AAA发送的认证接入接受信息，其中，所述认证接入接受信息中携带有所述UE的用户名。
11.根据权利要求7至10任一项所述的装置，其特征在于，还包括: 第四接收模块，用于在所述BNG将所述第一线路标识发送到所述AAA服务器之后，并且，在所述AAA服务器对所述UE认证不合法的情况下，接收Portal服务器发送的所述第一认证请求信息，其中，所述Po·rtal服务器与所述UE交互后获取所述UE的用户信息。
【文档编号】H04L9/32GK103546286SQ201210243159
【公开日】2014年1月29日 申请日期:2012年7月13日 优先权日:2012年7月13日
【发明者】尤建洁, 王怀滨, 张如通 申请人:中兴通讯股份有限公司