专利名称:无线接入宽带用户的管理方法及其装置的制作方法
技术领域:
本发明涉及宽带无线接入系统中的用户管理技术,具体来说涉及无线接入宽带用户的管理装置及基于基站的用户管理方法。
背景技术:
早期基于IP的因特网(internet)一般是用于科研目的,其默认所接入的计算机都是安全的、合法的,所以不用考虑用户管理问题。但随着运营商开始使用internet,IP网络的不安全、不可运营等弱点逐步体现出来。因此在IP网络中加入了用户管理的概念,以防止非法用户接入,也可实现对合法用户的计费、流量管理等方面的功能。
在世界微波接入互操作组织(Worldwide Interoperability for MicrowaveAccess,WiMAX)的宽带无线接入标准(即802.16)中,定义了物理层(PHY层)和媒体接入控制(Media Access Control,MAC)层。其中MAC层又分为汇聚子层(Convergence Sublayer,CS)、公共部分子层(Common Part Sublayer,CPS)和安全子层(Security Sublayer,SS)。802.16(WiMAX)宽带无线接入标准没有定义用户管理功能。如果作为无线局域网在企业内部使用,基站设备(BaseStation,BS)跟二层交换机功能相当,对用户管理没有要求。但如果作为运营商的宽带无线接入设备,则一定需要用户认证、用户计费及安全管理等功能。
在现有的一种技术中,BS设备没有用户管理功能,整个宽带无线接入系统作为无线局域网使用。这种方法的好处是实现简单,在安全性、可管理性要求不高的局域网应用上有优势。这种方法的缺点是如果作为运营商的宽带接入设备,没有用户管理功能,安全性没有保证,不能实现认证、计费等功能。
在现有的另一种技术中,采用二层交换机和路由器实现的用户管理功能。根据虚拟局域网(Virtual Local Area Network,VLAN)、源IP地址及物理端口等信息来识别用户,对用户进行控制和管理。这种方法的缺点是有线网络和WiMAX无线网络有区别,不能直接使用。
在现有的再一种技术中,BS设备没有用户管理功能,在组网上叠加用户管理设备来弥补其不足。但这种方法存在的缺点是用户管理设备容易成为网络的瓶颈;另外,经过BS的报文,已经没有SS的信息,只能根据源MAC、源IP来识别用户,存在一定的局限性。
发明内容
本发明所要解决的技术问题在于,提供一种无线接入宽带用户的管理方法及装置,在宽带无线接入系统中可以基于BS对用户进行管理。
为了解决上述技术问题,本发明采用的技术方案在于提供一种无线接入宽带用户的管理方法,包括根据报文中的识别信息来识别用户,根据所识别的用户当前状态对用户的报文进行处理。
其中,所述识别用户的步骤包括通过报文识别信息中的连接标识、用户站索引号、VLAN标识符、源MAC地址及源IP地址中任一个、任几个或全部“或”的关系、任几个或全部元素“与”的关系来识别所述用户。
其中,所述对用户进行管理包括本地处理、转发到特定服务器、协议报文处理、数据报文丢弃、正常转发或非法用户的报文全部丢弃。
其中,进一步包括采用源IP地址绑定检查对非法用户进行识别并处理,所述用户的源IP地址为一个确定的值或为一个子网。
其中,所述源IP地址绑定检查包括连接标识和源IP地址绑定检查、用户站索引号与VLAN标识符和源IP地址绑定检查、源MAC地址和源IP地址绑定检查及连接标识、用户站索引号、VLAN标识符、源MAC地址中几个或全部的组合和源IP地址绑定检查。
其中,进一步包括对用户进行认证的步骤,所述对用户进行认证,包括IEEE802.1x认证及Web认证。
其中,所述IEEE 802.1x认证包括判断该用户是否属于新申请加入用户;
如果为新申请加入用户,还未通过认证,则分析报文是数据报文还是EAPoL帧,其中,数据报文丢弃;如果该基站设备支持802.1x认证,则EAPoL帧在本地进行处理,并发出响应报文给用户;如果BS设备不支持802.1x认证,则转发到802.1x认证服务器,并添加必要的信息;如果该用户已经认证通过,则报文正常转发。
其中,所述Web认证包括判断该用户是否为认证用户;如果该用户属于未认证用户,所述基站设备将来自该用户的报文重定向到认证服务器;如果该用户为认证用户,所述基站设备将来自该用户的报文正常转发。
其中,进一步包括用户使用浏览器,获取认证网页的步骤;所述用户获取认证页面包括用户主动输入入口服务器地址;基站设备自动重定向到网页服务器上;或从其它网页上链接进入。
其中,进一步包括基站设备和Radius服务器间交互计费信息的步骤。
本发明还提供一种无线接入宽带用户的管理装置,其可实现用户管理,包括用户识别模块,根据报文中的识别信息来识别用户;执行模块,根据用户识别模块所识别的用户当前状态决定报文处理方式。
其中,所述报文中的识别信息为连接标识、用户站索引号、VLAN标识符、源MAC地址或源IP地址所述用户识别模块可以通过所述连接标识、用户站索引号、VLAN标识符、源MAC地址及源IP地址中任一个、任几个或全部“或”的关系、任几个或全部“与”的关系来识别所述用户。
其中,进一步包括有一安全模块,可识别非法用户并对非法用户数据报文进行丢弃处理;该安全模块对非法用户的识别是采用源IP地址绑定检查来实现,所述用户的源IP地址为一个确定的值或为一个子网。
其中,所述源IP地址绑定检查包括连接标识和源IP地址绑定检查、用户站索引号与VLAN标识符和源IP地址绑定检查、源MAC地址和源IP地址绑定检查及连接标识、用户站索引号、VLAN标识符、源MAC地址中几个或全部元素的组合和源IP地址绑定检查。
本发明的有益效果在于本发明在无线接入系统的基站上增设有用户管理的功能,可以实现宽带无线接入网络的可管理、可运营;另外,可以对接入用户进行安全检查,防止非法用户攻击。
图1是本发明中宽带无线接入系统的示意图;图2是本发明中用户管理说明示意图;图3是本发明中802.1x认证过程的流程图;图4是本发明中Web认证过程的流程图。
具体实施例方式
本发明描述了无线接入宽带用户的管理装置及基于基站的用户管理方法,其中,所述用户管理涉及到用户识别、用户认证、安全性检查、防攻击检查、用户管理执行等方面。
如图2所示,是本发明中用户管理说明示意图。其中,用户通过用户站(Subscriber Station,SS)进行接入,该多个SS连接到一个基站(Base Station,BS)设备上,而该基站分别与网络或认证服务器连接。在图中用不同的箭头分别表示未通过认证用户、通过认证用户及非法用户的报文的传递示意图。而在该基站设备上,至少包括有用户识别模块、执行模块及安全模块。其中,用户识别模块根据上行报文中的识别信息来识别用户;执行模块根据用户当前状态决定数据报文处理方式,所述处理方式包括本地处理、转发到特定服务器、协议报文处理、数据报文丢弃及正常转发;安全模块可识别非法用户,并对非法用户数据报文进行丢弃处理。
对于用户识别,在802.16BS系统可以用来识别用户的识别信息有连接标识(connection ID,CID)、用户站索引号(Subscriber Station Index,SS_ID)+VLAN标识符(VLAN IdentiTMcation,VLAN_ID)、源MAC地址(SMAC)及源IP地址(SIP)。具体应用中,可以是其中一个域,也可以是二个域或更多域的组合(该组合可以是“或”或者“与”的关系)。需注意的是,这里的SS_ID是指唯一标识一个SS设备的序号,可以但不局限于用Basic_CID来标识。
对用户认证方式有802.1x认证技术、Web认证技术或者其他认证方式。其中在802.1x认证技术中,IEEE 802.1x是一种在以太网链路层上进行认证的方法,用EAPoL帧(以太网上的扩展认证协议)来传递认证信息。
在Web认证技术中,基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP获得IP地址,然后通过浏览器访问指定Web页面,或者由业务接入节点自动导向运营商的入口页面。
安全性检查源地址绑定检查,对用户的源IP地址进行检查,检查通过则按正常流程处理,检查失败,则将报文丢弃。
用户的源IP地址可以是一个确定的值,也可以规定是一个子网。
其中源IP地址绑定方式有CID和源IP地址绑定检查;SS_ID+VLAN_ID和源IP地址绑定检查;源MAC地址和源IP地址绑定检查;或者CID、SS_ID、VLAN_ID、源MAC地址中几个或全部元素的组合和源IP地址绑定检查。
防攻击检查BS设备收到SS设备的上行报文,解析出CID、SS_ID+VLAN_ID、源MAC地址或源IP地址这些域,先进行源地址绑定检查,如果是非法用户发出的报文,直接丢弃,防止非法攻击,如果是合法用户,则进行下一步处理。
用户识别源地址绑定检查后,根据预先设定判断条件,使用CID、SS_ID+VLAN_ID、源MAC地址及源IP地址其中的某个来识别用户,也可是用某几个的组合来识别用户,为描述方便,用User_ID(用户号)来标识这个用户。根据User_ID查询用户信息,得到该用户的认证方式、认证状态等详细信息。
用户管理执行根据User_ID,如果是802.1x认证方式,且用户状态为未通过认证,只处理协议报文,其他报文丢弃。如果是Web认证,且用户状态为未通过认证,则重定向报文到Web认证服务器。2种认证方式,用户状态为通过认证,则正常转发。
下面通过图3和图4来进一步说明上述的两种认证方式。
如图3所示,示出了本发明中的802.1x认证方式的流程图,在该流程中,
需要判断该用户是否属于新申请加入用户,如果为新申请加入用户,还未通过认证,则分析报文是数据报文还是EAPoL帧(以太网上的扩展认证协议),数据报文丢弃。如果BS设备支持802.1x认证,则EAPoL帧(以太网上的扩展认证协议)在本地进行处理,并发出响应报文给用户,如果BS设备不支持802.1x认证,则转发到802.1x认证服务器,并添加必要的信息。
如果该用户已经认证通过,则报文正常转发。
流程说明初始状态,BS设备配置成未通过认证的用户只允许EAPoL协议被BS设备捕获。
1、用户通过EAPoL协议向BS设备发送用户名密码。
EAPoL包为二层包,不需要IP地址。可以用MAC或VLAN作为该用户的标识。
2、BS设备将EAP包封装在Radius协议中发给远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,Radius)服务器。
3、Radius服务器将认证结果和授权信息通过Radius协议返回给BS设备。
4、BS设备对用户连接进行权限设置。
5、BS设备和Radius服务器间传递计费信息。
6、BS设备向用户返回认证成功信息。
7、用户用EAPoL协议向BS设备发送下线信息。
8、BS设备和Radius服务器间交互停止计费信息。
9、BS设备向用户返回下线通知。
如图4所示,示出了本发明中的Web认证方式的流程图。
该图中的Web认证方式和上面描述的802.1x认证方式稍有不同。当用户属于未认证用户,则BS设备把所有的报文重定向到认证服务器。当如果用户认证通过,则正常转发。
具体流程说明1、用户开机时,通过DHCP过程从BS获取唯一的IP地址,也可为用户配置静态IP地址;BS在其中充当DHCP代理,将用户的DHCP请求Relay到DHCP服务器。BS设备为该用户添加服务策略,让用户只能访问入口服务器(PortalServer)或免费服务器和一些特定服务器(如DNS)。
2、用户使用浏览器,获取认证网页,同时可游览社区广告、通知等内容;用户获取认证页面有多种方法,包括其一,用户主动输入;用户在浏览器中直接输入入口服务器地址。
其二,BS设备自动重定向到Web服务器上;实现方法(a)BS识别用户发出的第一个HTTP的GET请求,再利用Http的redirect功能将该访问重定向到入口服务器上;(b)利用DNS欺骗。BS设备捕获到用户发出的外部DNS请求,并将入口服务器的IP地址作为该请求的响应回送给用户。
其三,从其它网页上链接进入。
3、用户在认证页面中输入帐号/密码,由WEB客户端技术发给入口服务器。
4、入口服务器在收到该数据后,用入口协议向BS设备发请求认证。对用户的标识方法是用用户的IP地址来标识;5、BS设备用RADIUS协议向远程身份验证拨入用户服务(RemoteAuthentication Dial-n User Service,RADIUS)服务器发认证请求;6、RADIUS服务器向BS设备返回认证结果;7、BS设备在本地对用户连接进行授权;8、BS设备和RADIUS服务器间交互计费信息;9、BS设备向入口服务器返回认证结果;10、入口服务器向用户返回上线成功信息;11、用户发下线请求;12、入口服务器收到消息后向BS设备发Req-logout报文;13、BS设备和RADIUS服务器交互计费结束信息;14、BS设备向入口服务器确认下线;15、入口服务器向用户返回下线消息。
权利要求
1.一种无线接入宽带用户的管理方法,其特征在于,包括根据报文中的识别信息识别用户,根据所识别的用户当前状态对用户的报文进行处理。
2.如权利要求1所述的无线接入宽带用户的管理方法,其特征在于,所述识别用户的步骤包括通过报文识别信息中的连接标识、用户站索引号、VLAN标识符、源MAC地址及源IP地址中任一个、任几个或全部“或”的关系、任几个或全部元素“与”的关系来识别所述用户。
3.如权利要求2所述的无线接入宽带用户的管理方法,其特征在于,所述对用户进行管理包括本地处理、转发到特定服务器、协议报文处理、数据报文丢弃、正常转发或非法用户的报文全部丢弃。
4.如权利要求3所述的无线接入宽带用户的管理方法,其特征在于,进一步包括采用源IP地址绑定检查对非法用户进行识别并处理,所述用户的源IP地址为一个确定的值或为一个子网。
5.如权利要求4所述的无线接入宽带用户的管理方法,其特征在于,所述源IP地址绑定检查包括连接标识和源IP地址绑定检查、用户站索引号与VLAN标识符和源IP地址绑定检查、源MAC地址和源IP地址绑定检查及连接标识、用户站索引号、VLAN标识符、源MAC地址中几个或全部的组合和源IP地址绑定检查。
6.如权利要求1所述的无线接入宽带用户的管理方法,其特征在于,进一步包括对用户进行认证的步骤,所述对用户进行认证,包括IEEE 802.1x认证及Web认证。
7.如权利要求6所述的无线接入宽带用户的管理方法,其特征在于,所述IEEE 802.1x认证包括判断该用户是否属于新申请加入用户;如果为新申请加入用户,还未通过认证,则分析报文是数据报文还是EAPoL帧,其中,数据报文丟弃;如果该基站设备支持802.1x认证,则EAPoL帧在本地进行处理,并发出响应报文给用户;如果BS设备不支持802.1x认证,则转发到802.1x认证服务器,并添加必要的信息;如果该用户已经认证通过,则报文正常转发。
8.如权利要求6所述的无线接入宽带用户的管理方法,其特征在于,所述Web认证包括判断该用户是否为认证用户;如果该用户属于未认证用户,所述基站设备将来自该用户的报文重定向到认证服务器;如果该用户为认证用户,所述基站设备将来自该用户的报文正常转发。
9.如权利要求8所述的无线接入宽带用户的管理方法,其特征在于,进一步包括用户使用浏览器,获取认证网页的步骤;所述用户获取认证页面包括用户主动输入入口服务器地址;基站设备自动重定向到网页服务器上;或从其它网页上链接进入。
10.如权利要求1至9任一项所述的无线接入宽带用户的管理方法,其特征在于,进一步包括基站设备和Radius服务器间交互计费信息的步骤。
11.一种无线接入宽带用户的管理装置,其可实现用户管理,其特征在于,包括用户识别模块,根据报文中的识别信息来识别用户;执行模块,根据用户识别模块所识别的用户当前状态决定报文处理方式。
12.如权利要求11所述的无线接入宽带用户的管理装置,其特征在于,所述报文中的识别信息为连接标识、用户站索引号、VLAN标识符、源MAC地址或源IP地址所述用户识别模块可以通过所述连接标识、用户站索引号、VLAN标识符、源MAC地址及源IP地址中任一个、任几个或全部“或”的关系、任几个或全部“与”的关系来识别所述用户。
13.如权利要求11所述的无线接入宽带用户的管理装置,其特征在于,进一步包括有一安全模块,可识别非法用户并对非法用户数据报文进行丢弃处理;该安全模块对非法用户的识别是采用源IP地址绑定检查来实现,所述用户的源IP地址为一个确定的值或为一个子网。
14.如权利要求13所述的无线接入宽带用户的管理装置,其特征在于,所述源IP地址绑定检查包括连接标识和源IP地址绑定检查、用户站索引号与VLAN标识符和源IP地址绑定检查、源MAC地址和源IP地址绑定检查及连接标识、用户站索引号、VLAN标识符、源MAC地址中几个或全部元素的组合和源IP地址绑定检查。
全文摘要
一种无线接入宽带用户的管理方法,包括根据报文中的识别信息识别用户,根据所识别的用户当前状态对用户的报文进行处理。本发明还提供一种无线接入宽带用户的管理装置,其可实现用户管理,包括用户识别模块,根据报文中的识别信息来识别用户;执行模块,根据用户识别模块所识别的用户当前状态决定报文处理方式。本发明在无线接入系统的基站上增设有用户管理的功能,可以实现宽带无线接入网络的可管理、可运营;另外,可以对接入用户进行安全检查,防止非法用户攻击。
文档编号H04L12/24GK1852222SQ20051003718
公开日2006年10月25日 申请日期2005年9月8日 优先权日2005年9月8日
发明者凌魏 申请人:华为技术有限公司