专利名称:一种宽带网络中认证处理的方法
技术领域:
本发明涉及网络通讯技术领域,具体涉及一种宽带网络中认证处理的方法。
背景技术:
随着宽带网络的发展,网络终端通过宽带接入业务接入宽带网络,并通过宽带网络访问INTERNET(国际互联网)已成为一种相当普及的现象。网络终端通过宽带接入业务接入宽带网络的示意图如附图1所示。
在图1中,BNAS(宽带网络接入服务器)是位于网络终端与INTERNET之间的宽带接入控制设备,AAA(授权、认证、计费)服务器为网络终端提供授权、认证、计费等功能。网络终端通过BNAS提供的xDSL(x数字用户线)、LAN(局域网)等宽带接入方式接入宽带网络。
当网络终端需要上网时,网络终端接入BNAS,BNAS根据接入的网络终端的相关信息通过RADIUS(远程拨号认证用户服务)协议向AAA服务器发送该网络终端的认证请求报文,AAA服务器根据认证请求报文对该网络终端进行认证,如果认证通过,则通知BNAS允许网络终端访问INTERNET,同时,当网络终端访问INTERNET时,AAA服务器为网络终端计费。
在宽带网络的实际运营中,由于AAA服务器需要限制一个帐号同时只允许一个或几个网络终端登录,所以AAA服务器需要保留网络终端的状态。AAA服务器保留的网络终端的状态包括在线状态和离线状态。
根据Radius协议,当AAA服务器收到BNAS的认证请求报文并认证通过后,向BNAS发送认证通过响应,同时AAA服务器认为该网络终端处于在线状态。BNAS收到AAA服务器的认证通过响应后为该网络终端分配相应的网络资源,允许该网络终端进行网络访问。该网络终端因主动下线、或其可用业务量用完、或网管需要强制其下线等原因,BNAS强制该网络终端下线时,BNAS向AAA服务器发送该网络终端计费停止报文并释放与该网络终端相关的网络资源,此时,BNAS禁止该网络终端进行网络访问;AAA服务器收到BNAS发送的该网络终端计费停止报文后,进行计费处理、产生话单、清除在线状态,此时,AAA服务器认为该网络终端处于离线状态。
当AAA服务器认为该网络终端处于在线状态,而BNAS禁止该网络终端进行网络访问时,我们称该网络终端被吊死。由此得知,当AAA服务器认为网络终端处于在线状态时,实际上,网络终端有可能不能够访问网络。当该网络终端重新进行认证时,该认证有可能因为AAA服务器认为其在线而被拒绝,导致该网络终端无法正常上网。在宽带网络的运营过程中,这种情况最容易引起网络终端的投诉。
引起网络终端被吊死的原因有以下几点1、当AAA服务器对网络终端的认证请求报文进行认证并认证通过后,BNAS为该网络终端分配网络资源失败时,BNAS不向AAA服务器发送该网络终端的计费停止报文。
2、网络终端在认证通过并正常上网后,BNAS发生如重启等异常现象,BNAS中的各网络终端状态全部丢失,BNAS不向AAA服务器发送丢失状态的各网络终端的计费停止报文。
3、网络终端在认证通过,正常上网,并正常下网时,由于BNAS和AAA服务器之间的网络发生异常,导致AAA服务器无法收到BNAS发送的该网络终端的计费停止报文,在BNAS和AAA服务器之间的网络恢复后,BNAS不再重发该网络终端的计费停止报文。
4、网络终端在认证通过,正常上网,并正常下网时,由于AAA服务器发生如重新启动、数据库异常等现象,导致AAA服务器无法正确处理BNAS发送来的该网络终端的计费停止报文,在AAA服务器恢复正常后,BNAS不再重发该网络终端的计费停止报文,AAA服务器不再重新处理该网络终端的计费停止报文。
当网络终端由于上述原因被吊死时,需要对吊死的网络终端进行及时的处理,如采用在AAA服务器中对被吊死的网络终端进行在线状态复位等方法,使其在AAA服务器中处于正常状态,以便能够对网络终端进行正常的认证处理。
由上述描述可明显得知,在对网络终端进行认证处理的过程中,如何能够准确、及时地检测出网络终端已被吊死,对被吊死的网络终端进行正常的认证处理已成为对网络终端进行认证处理的关键。
在现有技术中通常采用如下三种方法来检测网络终端是否被吊死。
第一种方法通过检测AAM服务器中网络终端的在线时长来确定网络终端是否被吊死。如果AAA服务器中某网络终端的在线时长大大超过了该网络终端的可用时长,则可以认为该网络终端已经被吊死。但是这种方法不能够检测出网络终端从开始吊死到该网络终端在线时长超时这段时间内网络终端是否被吊死。
第二种方法通过检测BNAS是否发生异常而重启来确定AAA服务器中的网络终端是否被吊死。通常检测BNAS是否发生异常主要有两种方式上报启动报文方式和上报启动时间方式。
上报启动报文方式当BNAS发生异常而重启时,BNAS向AAA服务器发送accounting-Request(计费请求)报文,即Accounting-on(计费启动)报文,AAA服务器收到该报文时,认为该BNAS上的所有网络终端都已经离线,并被吊死。
上报启动时间方式当BNAS发生异常重启时,记录BNAS发生启动的时间,并在每个认证请求报文中上报BNAS的启动时间,AAA服务器收到BNAS发送的第一个认证请求报文时记录该启动时间,以后AAA服务器每收到一个认证请求报文时,检查该认证请求报文中的BNAS的启动时间是否与其记录的启动时间相同,如果不相同,则认为该BNAS发生了重启,该BNAS上的所有网络终端都已经离线,并被吊死。
采用这种方法不能够检测出由于BNAS对网络终端分配网络资源失败、或由于AAA服务器与BNAS之间的网络发生异常、或由于AAA服务器发生异常等原因引起的网络终端被吊死。而且,当BNAS发生异常重启时,AAA服务器需要对大量的网络终端进行复位处理,影响正常网络终端的接入。
第三种方法通过利用Radius协议中Accounting-Update-Request(中间计费报文,增强Radius协议中的握手机制来确定网络终端是否被吊死。
当网络终端正常上网后,BNAS定时向AAA服务器发送网络终端的中间计费报文,AAA服务器接收到BNAS发送的中间计费报文后向BNAS发送计费响应。如果BNAS发送一定次数的该网络终端的中间计费报文后,仍然没有收到AAA服务器的计费响应,则BNAS认为AAA服务器发生了异常,强制该网络终端离线,释放与该网络终端相关的网络资源。如果AAA服务器在规定的时间内没有收到BNAS发送的该网络终端的中间计费报文,则认为该网络终端已经异常离线,被吊死,AAA服务器自动对该网络终端进行复位处理。
采用这种方法检测网络终端是否被吊死,其实时性受握手间隔的影响。如当某个网络终端被吊死,在AAA服务器等待中间计费报文时,该网络终端重新进行认证,该认证仍然会被AAA服务器拒绝,该网络终端还是无法正常上网。该网络终端无法正常上网的时间最长为一个握手间隔。采用这种方法还会带来一个新的问题,当BNAS和AAA服务器之间的网络出现短时异常,如某几个中间计费报文丢失,而网络终端、BNAS和AAA服务器都没有发生异常情况时,该方法会导致网络终端被异常的强制下线。
综上所述,在AAA服务器对网络终端进行认证处理时,利用现有技术提供的检测方法,由于不能够及时、准确的检测出网络终端是否被吊死,导致AAA认证处理可靠性差,使正常的网络终端不能够正常的上网;而且AAA服务器集中处理大量的被吊死网络终端短时占用了大量网络资源,增加了网络设备的潜在威胁,提高了网络设备认证处理的潜在成本。
发明内容
本发明的目的在于,提供一种宽带网络中认证处理的方法,利用网络终端的认证请求报文和网络终端的地址信息,可及时、准确的检测出被吊死的网络终端,同时对被吊死的网络终端进行正常的认证处理,以实现提高认证处理的可靠性,降低网络设备的潜在威胁的目的。
为达到上述目的,本发明提供的一种宽带网络中认证处理的方法,包括a、记录在线状态的网络终端的地址信息;b、当接收到网络终端的认证请求报文时,获取发送认证请求报文的网络终端的地址信息;c、将所述获取的地址信息与所述记录的地址信息进行匹配,并确定与所述记录的地址信息匹配的网络终端;d、根据与所述记录的地址信息匹配的网络终端的认证请求报文,对该网络终端进行认证。
所述的步骤a中的地址信息记录在认证服务器的数据库或文件中。
所述的步骤a中的地址信息记录在远端的数据库或文件中。
所述的地址信息包括介质访问控制地址。
所述的地址信息还包括网络接入设备的逻辑端口。
所述的步骤a包括a1、认证服务器获取并记录认证成功的网络终端的地址信息,并在接收到网络接入设备传输来的网络终端离线的信息时删除其记录的相应的地址信息。
所述的步骤a1中认证服务器获取并记录认证成功的网络终端的地址信息包括所述认证服务器根据所述网络终端传输来的认证请求报文中承载的信息获取并记录认证成功的网络终端的地址信息。
所述的步骤b包括网络接入设备将所述网络终端的地址信息承载于网络终端的认证请求报文中,并将所述认证请求报文传输至所述认证服务器;所述认证服务器根据所述认证请求报文中承载的认证信息确定与处于在线状态的网络终端的认证信息相同的网络终端,并根据所述接收到的认证请求报文承载的信息获取所述网络终端的地址信息。
所述的步骤c包括所述认证服务器将所述获取的地址信息与所述记录的地址信息进行匹配,确定地址信息匹配的网络终端,并将所述地址信息匹配的网络终端的地址信息从所述记录的地址信息中删除。
所述的步骤d包括所述的认证服务器根据所述地址信息匹配的网络终端的认证请求报文,对该网络终端的在线状态进行复位,并认证。
通过上述技术方案的描述可明显得知,本发明在认证服务器接收到网络终端的认证请求报文,并确定网络终端在线后,并不立即拒绝该认证请求,而是通过该网络终端的地址信息判断该网络终端是否被吊死,同时对被吊死的网络终端进行正常的认证处理;这样,由于在网络终端希望上网而发送认证请求报文时,及时发现该网络终端是否被吊死,对网络终端而言,实时的检测出该网络终端是否被吊死,保证了网络终端随时、正常的上网,避免了强制正常网络终端离线的现象;当地址信息为网络终端的介质访问控制地址和网络接入设备的逻辑端口时,避免了对网络终端误判的现象,极大的提高了检测的准确性;由于本发明在网络终端上网发送认证请求报文时检测其是否被吊死,而网络终端上网的时间是分散的,所以分散了网络设备的处理负荷;同时,本发明通过记录认证成功的网络终端地址信息,能够非常容易的判断出发送认证请求的网络终端是否为在线状态的网络终端;从而通过本发明提供的技术方案实现了提高认证处理可靠性,降低网络设备潜在威胁,降低网络设备认证处理潜在成本的目的。
图1是宽带接入网络示意图;图2是本发明的认证处理的流程图。
具体实施例方式
由于在对网络终端进行认证时,网络终端被吊死,会使该网络终端无法进行正常的认证,致使网络终端无法随时、正常的上网,所以本发明在对网络终端进行认证时,增加了检测网络终端是否被吊死的过程,通过该检测过程,一旦确定该网络终端被吊死,立即对其进行复位、解除吊死状态,然后再对该网络终端进行认证。因此,不管是由于认证服务器、网络接入设备出现异常导致网络终端被吊死,还是由于认证服务器与网络接入设备之间的网络出现异常导致网络终端被吊死,在网络终端再次申请认证时,都可以及时检测出,不会影响认证服务器对网络终端进行正常的认证,保证了网络终端随时、正常的上网。对网络终端来说,本发明的吊死检测是实时地。
从上面的描述中可明显得知,本发明的核心是记录在线状态的网络终端的地址信息,在接收到网络终端的认证请求报文时,获取发送所述认证请求报文的网络终端的地址信息,将获取的地址信息与记录的地址信息进行匹配,并确定与所述记录的地址信息匹配的网络终端,该网络终端为被吊死的网络终端,对该网络终端进行认证。
下面基于本发明的核心思想对本发明提供的技术方案做进一步的描述。
认证服务器需要记录目前网络中所有在线状态的网络终端的地址信息,即,在认证服务器对网络终端认证成功后记录该网络终端的地址信息,在接收到网络接入设备传输来的网络终端正常离线的信息后,将该网络终端的地址信息从记录的在线状态的网络终端的地址信息中删除。
本发明中的地址信息可采用介质访问控制地址,由于每个网络终端的介质访问控制地址是唯一的,所以用网络终端的介质访问控制地址来判断请求认证的网络终端是否为被吊死的网络终端,误判结果的几率低。为进一步增强检测结果的准确性,本发明中的地址信息采用介质访问控制地址和该网络终端对应的网络接入设备的逻辑端口,通常一个网络终端接入网络接入设备的逻辑端口是不会改变的,所以利用介质访问控制地址和该网络终端对应的网络接入设备的逻辑端口来确定发送认证请求报文的网络终端是否被吊死,保证了判断结果的准确性,避免了误判。
认证服务器可将在线状态的网络终端的地址信息记录在本地或远端的数据库或文件中。当认证服务器将地址信息记录在本地数据库或文件中时,可方便认证服务器进行下面的具体实施方式
中提到的地址匹配操作。
对于认证成功的网络终端,认证服务器需要获取该网络终端的介质访问控制地址和该网络终端对应的网络接入设备的逻辑端口,并记录。认证服务器可以采用从网络接入设备处获取或直接从网络终端处获取等方法获得认证成功的网络终端的地址信息,本发明提供的最优方法为在网络接入设备接收到网络终端的上网请求,向认证服务器发送该网络终端的认证请求报文的同时将该网络终端的介质访问控制地址和该网络终端对应的网络接入设备的逻辑端口发送至认证服务器。该网络终端的地址信息可以承载在该网络终端的认证请求报文中一起发送至认证服务器。这样,认证服务器可方便从认证成功的网络终端的认证请求报文中获取该网络终端的地址信息并记录。
在认证服务器记录了目前所有在线状态的网络终端的地址信息后,当认证服务器接收到网络接入设备传输来的网络终端的认证请求报文时,根据认证请求报文中承载的认证信息如帐号、逻辑端口号等用户标识信息判断发送认证请求报文的网络终端与在线状态的网络终端的认证信息是否相同,如果不相同,认证服务器对该网络终端直接进行正常的认证处理。如果相同,认证服务器需要对该网络终端进行进一步的吊死检测。
具体吊死检测的方法为由于网络接入设备接收到网络终端传输来的认证请求报文时将该网络终端的介质访问控制地址和网络接入设备的逻辑端口承载于认证请求报文中,所以认证服务器可以方便的从网络接入设备传输来的认证请求报文承载的信息中获取发送认证请求报文的网络终端的地址信息。认证服务器将从认证请求报文中获取的地址信息与其记录的在线状态的网络终端的地址信息进行匹配,如果匹配不成功,确定发送认证请求报文的网络终端没有被吊死。如果匹配成功,确定发送认证请求报文的网络终端被吊死。
通过上述方法确定了发送认证请求报文的网络终端被吊死后,需要对该网络终端重新进行认证处理。认证处理的过程为对被吊死的网络终端应首先进行在线状态的复位,然后对其进行认证,从而避免了网络终端由于被吊死而无法随时、正常的进行网络访问的现象。对没有被吊死的网络终端,只需进行正常的认证即可。如,其请求认证的帐号只允许一个网络终端在线或允许的网络终端个数已满,则拒绝该网络终端的认证请求等等。
下面结合流程图对本发明提供的技术方案进行详细说明。
本发明的认证处理的方法流程图如附图2所示。
在图2中,步骤200,当网络终端需要上网时,登录网络接入设备。
到步骤210,网络接入设备对该网络终端进行判断,确定该网络终端是否已成功登录,可以进行网络访问;如果确定该网络终端已成功登录,到步骤211,网络接入设备通知该网络终端已经成功登录,可以进行网络访问,无须再进行认证。
在步骤210,如果网络接入设备确定该网络终端没有成功登录,需要进行认证处理,到步骤220,网络接入设备将该网络终端的介质访问控制地址和该网络终端对应的网络接入设备的逻辑端口承载在认证请求报文中,并将认证请求报文发送至认证服务器。
到步骤230,认证服务器接收到网络接入设备传输来的网络终端的认证请求报文后,根据认证请求报文中承载认证信息如帐号、密码等用户标识信息判断发送的认证请求报文中的认证信息是否与在线状态的网络终端的认证信息相同,如果不相同,到步骤270,直接对该网络终端进行认证,到步骤280,判断认证服务器对该网络终端的认证是否成功,如果认证成功,到步骤281,认证服务器向网络接入设备返回认证成功的信息,并记录认证成功的该网络终端的介质访问控制地址和其对应的网络接入设备的逻辑端口。
在步骤280,如果认证服务器对该网络终端的认证失败,到步骤282,认证服务器向网络接入设备返回认证失败的信息。
在步骤230,如果认证请求报文中承载的认证信息与在线状态的网络终端的认证信息相同,认证服务器需要对该网络终端进行吊死检测,到步骤240,认证服务器将发送认证请求报文中承载的网络终端的介质访问控制地址和其对应的网络接入设备的逻辑端口与认证服务器记录的在线状态的网络终端的地址信息进行匹配。
到步骤250,认证服务器判断认证请求报文中承载的介质访问控制地址、逻辑端口与记录的地址信息是否匹配;如果匹配,表明该发送认证请求报文的网络终端已经被吊死,到步骤260,对该网络终端首先进行在线状态的复位,解除其吊死状态,然后,认证服务器根据接收到的认证请求报文对其进行认证。到步骤280,判断认证服务器对该网络终端的认证是否成功,如果认证成功,到步骤281,认证服务器向网络接入设备返回认证成功的信息,并记录认证成功的该网络终端的介质访问控制地址和其对应的网络接入设备的逻辑端口。
在步骤250,如果认证请求报文中承载的介质访问控制地址、逻辑端口和记录的地址信息不匹配,表明该网络终端没有被吊死,到步骤270,直接对该网络终端进行认证,到步骤280,判断认证服务器对该网络终端的认证是否成功,如果认证成功,到步骤281,认证服务器向网络接入设备返回认证成功的信息,并记录认证成功的该网络终端的介质访问控制地址和其对应的网络接入设备的逻辑端口。
在步骤280,如果认证服务器对该网络终端的认证失败,到步骤282,认证服务器向网络接入设备返回认证失败的信息。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化。
权利要求
1.一种宽带网络中认证处理的方法,其特征在于包括a、记录在线状态的网络终端的地址信息;b、当接收到网络终端的认证请求报文时,获取发送所述认证请求报文的网络终端的地址信息;c、将所述获取的地址信息与所述记录的地址信息进行匹配,并确定与所述记录的地址信息匹配的网络终端;d、根据与所述记录的地址信息匹配的网络终端的认证请求报文,对该网络终端进行认证。
2.如权利要求1所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤a中的地址信息记录在认证服务器的数据库或文件中。
3.如权利要求1所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤a中的地址信息记录在远端的数据库或文件中。
4.如权利要求1或2或3所述的一种宽带网络中认证处理的方法,其特征在于所述的地址信息包括介质访问控制地址。
5.如权利要求4所述的一种宽带网络中认证处理的方法,其特征在于所述的地址信息还包括网络接入设备的逻辑端口。
6.如权利要求1或2或3所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤a包括a1、认证服务器获取并记录认证成功的网络终端的地址信息,并在接收到网络接入设备传输来的网络终端离线的信息时删除其记录的相应的地址信息。
7.如权利要求6所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤a1中认证服务器获取并记录认证成功的网络终端的地址信息包括所述认证服务器根据所述网络终端传输来的认证请求报文中承载的信息获取并记录认证成功的网络终端的地址信息。
8.如权利要求1或2或3所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤b包括网络接入设备将所述网络终端的地址信息承载于网络终端的认证请求报文中,并将所述认证请求报文传输至所述认证服务器;所述认证服务器根据所述认证请求报文中承载的认证信息确定与处于在线状态的网络终端的认证信息相同的网络终端,并根据所述接收到的认证请求报文承载的信息获取所述网络终端的地址信息。
9.如权利要求1或2或3所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤c包括所述认证服务器将所述获取的地址信息与所述记录的地址信息进行匹配,确定地址信息匹配的网络终端,并将所述地址信息匹配的网络终端的地址信息从所述记录的地址信息中删除。
10.如权利要求1或2或3所述的一种宽带网络中认证处理的方法,其特征在于所述的步骤d包括所述的认证服务器根据所述地址信息匹配的网络终端的认证请求报文,对该网络终端的在线状态进行复位,并认证。
全文摘要
本发明提供一种宽带网络中认证处理的方法,其核心为记录在线状态的网络终端的地址信息;当接收到网络终端的认证请求报文时,获取发送认证请求报文的网络终端的地址信息;将所述获取的地址信息与所述记录的地址信息进行匹配,并确定与记录的地址信息匹配的网络终端;根据与记录的地址信息匹配的网络终端的认证请求报文,对该网络终端进行认证。本发明利用网络终端的认证请求报文和网络终端的地址信息,保证了网络终端被吊死检测的实时性,保证了正常的网络终端能够随正常的上网,避免了强制正常的网络终端离线的现象,分散了网络设备的处理负荷;从而实现了提高认证处理可靠性,降低网络设备潜在威胁,降低网络设备认证处理潜在成本的目的。
文档编号H04L9/32GK1642081SQ20041000214
公开日2005年7月20日 申请日期2004年1月5日 优先权日2004年1月5日
发明者郑志鹏 申请人:华为技术有限公司