专利名称:控制宽带网络用户接入网络的方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种控制宽带网络用户接入网 络的方法。
背景技术:
在目前的宽带接入网中,较为广泛地采用ADSL (非对称数字用户环 线)、VDSL (甚高速数字用户环线)、FE (快速以太网)接入的方法提供 用户接入。用户在接入网络前通常需要进行认证,在宽带接入过程中, 一般 采用PPPoE (以太网承载点对点协议)的认证方式,PPPoE认证协议对用户接 入网络进行授权通常由BRAS (宽带接入服务器)来实现。BRAS在终结用户 PPPoE的处理的时候,除了通过PPPoE本身的协议得到用户的帐号和密码进行 认证外,还需要用户的位置信息来实现扩展的业务功能,比如某个帐号只能 在一个用户接入端口上使用等功能,因此,需要宽带接入设备能够将用户接 入端口的物理位置信息通过某种方式传递到BRAS设备上。目前,采用的方法为一种基于VBAS (虚拟宽带接入系统)实现对用户 位置信息的认证。具体的处理过程为BRAS设备在对用户帐号进行认证之 前,向宽带接入设备查询用户报文的源MAC (々某体接入控制)地址所在的宽 带接入设备的物理位置,包括端口/设备/槽位号等等。由上述处理过程的描述可以看出,目前采用的基于VBAS对用户位置信 息进行认证的技术方案需要BRAS设备和宽带接入设备之间进行配合,为 此,BRAS设备和宽带接入设备软件均需要升级,因此,采用上述方法实现用户位置信息与用户帐号绑定对现有网络设备更改较大;而且在BRAS设备 和宽带接入设备之间需要定义新的协议。发明内容本发明的目的是提供一种控制宽带网络用户接入网络的方法,从而保证 经宽带接入设备接入网络的用户的帐号可以与用户的位置信息绑定,有效地 避免了用户帐号被盗用。本发明的目的是通过以下技术方案实现的所述的控制宽带网络用户接入网络的方法,包括A、 在认证中心配置用户帐号和用户的位置信息的对应关系;B、 当用户接入网络时,宽带接入设备将用户的帐号和用户的位置信息 发送给认证中心;C、 认证中心根据所述的用户的位置信息和用户的帐号对接入用户进行 身份认证,并将认证结果返回宽带接入设备;D、 宽带接入设备根据认证中心返回的认证结果对待接入网络的宽带接 入用户进行接入控制。步骤A所述的用户的位置信息包括宽带接入设备信息、框号、槽位号、端口号及VPI (虚通道标识)/VCI (虚电^4示识)。所述的步骤B包括Bl、待接入网络的用户向BRAS (宽带接入服务器)设备发送认证请求 报文;B2、宽带接入设备截获或者拷贝该认证请求报文;B3、宽带接入设备确定用户的位置信息,并根据用户发送的认证请求报 文确定用户的帐号;B4、将确定的用户的位置信息及用户的帐号发送给认证中心。 所述的步骤B1包括待接入网络的用户向BRAS设备发送报文,宽带接入设备根据报文中承 载的信息确定所述的报文为认证请求报文步骤B1所述的认证请求报文为PPPoE (以太网上的点对点协议)认证 请求报文、802.1x认证请求报文或VLAN (虚拟局域网)+Web (环球网)认 证方式下的认证请求报文。所述的步骤B4包括将确定的用户的位置信息及用户的帐号通过扩展的 RADIUS (远程拨号用户认证服务)协议报文或TACACS (Terminal Access Controller Access Control System,终端接入控制器和接入控制系统)报文发 送给认证中心。所述的认证中心作为一个功能实体,集成于宽带接入设备上,或集成于 上级网络设备上,或独立设置一个认证中心。 所述的步骤C包括认证中心将所述的用户的位置信息及用户的帐号与自身配置的位置信息 与用户的帐号的对应关系进行匹配,并判断是否匹配,如果匹配,则向宽带 接入设备返回允许所述的用户接入网络的通知,否则,向宽带接入设备返回 禁止所述的用户接入网络的通知。所述的步骤D包括如果宽带接入设备收到允许所述的用户接入网络的通知,则对用户接入 网络不作限制;如果宽带接入设备收到的是禁止所述的用户接入网络的通知,则将所述 的用户与网络的连接断开。所述的将所述的用户与网络的连接断开包括宽带接入设备向用户发送强制断开连接的控制协议报文,并将用户的连接断开。且在PPPoE的情况下,所述的控制协议报文为PADT (PPPoE中断连接报 文)。由上述本发明提供的技术方案可以看,本发明实现了在BRAS设备无法 得知用户物理位置信息的情况下,宽带接入设备和认证中心配合仍可以直接 进行用户帐号和用户位置信息的绑定处理,从而提供了用户帐号的防盗用、 帐号的绑定业务等功能,且不会影响BRAS设备进行正常的用户认证、授户接入网络的位置信息开展新的业务的问题。
图1为本发明所述的方法的具体实施流程图。 图2为PAP认证报文的格式示意图。 图3为认证报文的PAP数据域的格式示意图。 图4为基于Radius协议的扩展属性的格式示意图。
具体实施方式
现结合附图对本发明所述的方法作详细说明,如图1所示,本发明的具体 实施方式包括以下步骤步骤ll:在认证中心配置用户帐号和用户的位置信息的对应关系,以便 于认证中心可以根据配置的对应关系确定接入用户是否为合法接入;所述的位置信息通常包括用户接入的宽带接入设备的信息、框号、槽位 号、端口号及VCI (虚拟电路标识)/VPI (虚拟通道标识)等,且所述的位 置信息可以采用位置信息编码表示,位置信息编码中不同的位记录着不同的 具体的位置信息内容;所述的宽带接入设备通常分为两种框式的宽带接入设备和盒式的宽带 接入设备。两种宽带接入设备均由三个部分组成主控部分、用户接口板、 背板。用户接口板对外提供用户的接入接口,不同的用户接口板提供不同的 接入方式,通常为ADSL (非对称数字环线)、VDSL (甚高速数字用户环 线)、以太网、G.shdsl等接入方式。每个宽带接入设备通常可以提供多个用 户接口板,用户接口板采用槽位号的方式进行编号,从0或者1开始;在一块 用户接口板上则又提供多个用户接入的线路接口(即端口),比如一块用户 接口板可以提供16、 24或48等等数量的用户接入的端口,且所有的端口统一 编址,从0或者1开始;如果是框式的宽带接入设备则还需要针对包括多个用 户接口板的框编制框号,所述的框号是多个框依次编号为O、 l....N。因此, 根据用户接入网络所应用的宽带接入设备信息、框号、槽位号、端口号等位 置信息便可以唯一确定一个用户的接入位置。步骤12:当用户接入网络时,向宽带接入服务器设备发送认证请求报 文,请求对用户接入网络的权限进行认证;目前用户一般采用基于PPPoE (以太网上的点到点协议)的认证方式, 则所发送的认证请求报文为PPPoE报文,即当用户通过用户接口板的接入端 口进入系统时,用户发出的报文采用的PPPoE的封装格式;PPPoE的建立过程 分为两个阶段首先是发现阶段,在发现阶段,PPPoE客户端和BRAS (宽带 接入服务器)设备之间建立PPPoE的连接,然后进入会话阶段,在会话阶段 进行PPP (点到点协议)的LCP (链路控制协议)链路协商、认证、NCP (网 络控制协议)网络协商过程,各个过程完成后,用户可以在该PPPoE的连接 上发送数据报文了 。步骤13:宽带接入设备检测到所述的认证请求报文后,将符合要求的认 证报文复制一份给主控板进行处理,也就是将步骤12中所述的PPPoE建立过 程中的会话阶段的认证过程的报文复制 一份给主控板进行处理;所述的PPPoE建立过程中的会话阶段中的认证有两种方式,分别为 PAP (密码验证协议)和CHAP (握手验证协议)方式;所述的PAP方式为两次握手验证,口令为明文,在PPP的协议类型号是 C023, PAP方式认证过程为发送用户名同口令到验证方,验证方查看是否 有此用户,口令是否正确,然后发送相应的响应;所述的CHAP方式为三次握手验证,口令为密文(密钥),在PPP的协议 类型号是C223; CHAP验证由验证方发送一些随机产生的报文,交给被验 证,被验证方用自己的口令字用MD5算法进行加密,传回密文,验证方用自 己保存的口令字及随机报文用MD5算法加密,比较二者的密文,根据比较结 果返回响应;在宽带接入设备中正是根据报文中的协议类型号,以及报文的目的地址 等信息确定是否为需要复制 一份到主控板进行处理的认证报文;以PAP方式认证为例,PAP认证报文的格式如图2所示,以太网报文头的 MAC (媒体接入控制)地址源是用户的主机MAC、目的是BRAS的 MAC, PPP层封装的协议类型号是PAP协商,值为0xC023,用户接口板或者 主控板根据上述的报文特征,将符合以上类型的报文拷贝 一份送给主控板进 行处理。步骤14:宽带接入设备的主控板或接口板根据收到的认证报文确定用户 的位置信息和用户帐号;所述的iU正才艮文的F 所示,从中可以得出用户的用户名,即用户帐号;对于用户的位置信息,则通过用户接入的物理端口信息,通过用户接口 板所在的槽位号和用户接口板上的端口号就可以准确定位。步骤15:将确定的用户的位置信息和用户帐号通过扩展的认证协议的报 文发送给认证中心;为了保证将用户的位置信息及用户帐号传递到认证中心,需要将这两个 信息和用户接入的宽带接入设备本身的信息号以及其他信息进行编码,并发送给认证中心;传送过程可以采用的协议为Radius (远程拨号用户认证服务)协议, 或者TACACS ( Terminal Access Controller Access Control System,纟冬端才妄入 控制器和接入控制系统)协议,或者其他用户自定义的认证协议;本发明以采用Radius协议为例进行说明所述的扩展是通过RADIUS协议 的Vendor-Specific (运营商类别)属性(26)进行扩展;对Vendor-Specific属 性的扩展,RFC2865建议的扩展方式为 一个扩展属性可以带一个或者多个 子属性, 一个RADIUS报文中可以有一个或者多个扩展属性;本发明所述的扩展属性的格式如图4所示,其中Type:用于记录属性类型,固定为26;Length:用于i己录属'性长度,包4舌Type、 Length、 Vendor-Id、 Vendor type 、 Vendor length和Value属性的长度;Vendor-Id:用于记录DSLAM (数字用户线接入复接器)厂商ID标识, 用来区分不同厂商;Vendor type:用于记录子属性编号,及扩展属性表中的属性编号,建议 为250;Vendor length:用于i己录子属性的长度,包4舌Vendor type、 Vendor length 和Value的长度;Value:用于记录子属性的属性值,新定义用以承载用户物理位置信息的 格式为宽带接入设备信息name:XXXXXXXX;框号frame-XX;槽位号 slot=XX;端口号port-XXX;宽带接入设备信息Name即为宽带接入设备的设 备号;通常的联欢会为frame=0~15; slot=0~32; port=0~255。步骤16:认证中心根据收到的用户的位置信息和用户帐号通过对用户的身份进行认证,具体为在认证中心,如Radius Server上,将收到的用户的位 置信息和用户帐号与预先配置每个用户帐号所在的宽带接入设备设备号、框 号、槽位号、端口号信息匹配,并判断是否匹配,即收到的用户帐号在认证 中心对应的位置信息是否和发送来的位置信息相同,如果相同,则返回允许 所述的用户接入网络的通知,否则,返回禁止所述的用户接入网络的通知, 再将认证结果返回给宽带接入设备设备。步骤17:宽带接入设备根据收到的认证结果对所述的用户进行网络接入 控制;具体为如果收到认证中心返回的允许所述的用户接入网络的通知, 则不限制用户进行网络接入,否则,通过控制协议报文强制将用户与网络的 连接断开;即如果认证不通过,宽带接入设备需要模拟BRAS设备的向用户和向 BRAS设备发出PPPoE中断连4妄l艮文,即发送"The PPPoE Active Discovery Terminate (PADT) packet"的报文,强行中断该用户的上网认证和连接;按 照RFC2516协议的规定,接收到PADT报文的终端和服务器必须立刻中止 PPPoE的连接。经过步骤11至步骤17的处理过程,本发明实现了在BRAS设备无法获得 用户位置信息的情况下,宽带接入设备与认证中心配合仍可以直接进行用户 帐号和位置信息的绑定处理,为在网络中实现特定的业务功能提供了基础。
权利要求
1、一种控制宽带网络用户接入网络的方法,其特征在于包括A、在认证中心配置用户帐号和用户的位置信息的对应关系;B、当用户接入网络时,宽带接入设备将用户的帐号和用户的位置信息发送给认证中心;C、认证中心根据所述的用户的位置信息和用户的帐号对接入用户进行身份认证,并将认证结果返回宽带接入设备;D、宽带接入设备根据认证中心返回的认证结果对待接入网络的宽带接入用户进行接入控制。
2、 根据权利要求l所述的控制宽带网络用户接入网络的方法,其特征在 于,步骤A所述的用户的位置信息包括宽带接入设备信息、框号、槽位号、端口号及VPI (虚通道标识)/VCI (虚电鴻4示识)。
3、 根据权利要求l所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的步骤B包括Bl、待接入网络的用户向BRAS (宽带接入服务器)设备发送认证请求 报文;B2、宽带接入设备截获或者拷贝该认证请求报文;B3、宽带接入设备确定用户的位置信息,并根据用户发送的认证请求报 文确定用户的帐号;B4、将确定的用户的位置信息及用户的帐号发送给认证中心。
4、 根据权利要求3所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的步骤B1包括待接入网络的用户向BRAS设备发送报文,宽带接入设备根据报文中承 载的信息确定所述的报文为认证请求报文。
5、 根据权利要求3所述的实现宽带接入用户网络接入控制的方法,其特 征在于,步骤B 1所述的认证请求报文为PPPoE (以太网上的点对点协议) 认证请求报文、802.1x认证请求报文或VLAN (虚拟局域网)+Web (环球网)认证方式下的认证请求报文。
6、 根据权利要求3所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的步骤B4包括将确定的用户的位置信息及用户的帐号通过扩展的RADIUS (远程拨号 用户认证服务)协议才艮文或TACACS ( Terminal Access Controller Access Control System,终端接入控制器和接入控制系统)报文发送给认证中心。
7、 根据权利要求1或6所述的控制宽带网络用户接入网络的方法,其特征 在于,所述的认证中心作为一个功能实体,集成于宽带接入设备上,或集成 于上级网络设备上,或独立设置一个认证中心。
8、 根据权利要求l所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的步骤C包括认证中心将所述的用户的位置信息及用户的帐号与自身配置的位置信息 与用户的帐号的对应关系进行匹配,并判断是否匹配,如果匹配,则向宽带 接入设备返回允许所述的用户接入网络的通知,否则,向宽带接入设备返回 禁止所述的用户接入网络的通知。
9、 根据权利要求8所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的步骤D包括如果宽带接入设备收到允许所述的用户接入网络的通知,则对用户接入 网络不作限制;如果宽带接入设备收到的是禁止所述的用户接入网络的通知,则将所述 的用户与网络的连接断开。
10、 根据权利要求9所述的控制宽带网络用户接入网络的方法,其特征在 于,所述的将所述的用户与网络的连接断开包括宽带接入设备向用户发送强制断开连接的控制协议报文,并将用户的连 接断开。
11、 根据权利要求10所述的控制宽带网络用户接入网络的方法,其特征 在于,在PPPoE的情况下,所述的控制协议报文为PADT (PPPoE中断连接报文)。
全文摘要
本发明涉及一种控制宽带网络用户接入网络的方法。所述的方法为宽带接入设备从经过宽带接入设备的用户的认证报文中侦测到用户的帐号,将用户的位置信息和用户帐号发送给认证中心,由认证中心根据配置的位置信息和用户帐号的对应关系对用户进行认证,以实现对宽带接入用户帐号所在网络位置的控制。本发明实现了在BRAS设备无法得知用户物理位置信息的情况下,宽带接入设备和认证中心配合仍可以直接进行用户帐号和用户位置信息的绑定处理,从而提供了用户帐号的防盗用、帐号的绑定业务等功能,且不会影响BRAS设备进行正常的用户认证、授权、计费等工作。因此,本发明解决了现有技术中存在的无法有效地根据用户接入网络的位置信息开展新的业务功能的问题。
文档编号H04L12/24GK101217359SQ20071016983
公开日2008年7月9日 申请日期2003年9月4日 优先权日2003年9月4日
发明者吴海军 申请人:华为技术有限公司