专利名称:混合授权方法和宽带接入认证系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种混合^受^又方法和宽带4妄入iU正系统。
技术背景宽带用户4妻入一关殳有RADIUS (Radio Authentication Dial In User Service,远端i人i正拨号用户月l务)iU正,RADIUS月l务器4妾收 到用户的认证请求后,对所配置的用户的属性进行RADIUS认证, RADIUS认证通过后,会进行RADIUS 4受权,如果不通过,贝'J拒绝 用户的i人i正:清求。宽带用户接入还有本地认证,宽带接入服务器接收到用户的认 证请求后,对所配置的用户的属性进行本地认证,本地认证通过后, 会进行本地授权,如果不通过,则拒绝用户的认证请求。在实现本发明过程中,发明人发现在现有寺支术中,RADIUS i人 i正和本地i人i正没有相结合,导致宽带4妄入产生一些问题,例如,如 果RADIUS授权没有配置用户带宽,本地用户下可以配置用户带宽, 则用户上线之后会受到本地配置的用户带宽的限制。发明内容本发明旨在提供一种混合授权方法和宽带接入认证系统,能够解决现有技术中RADIUS认证与本地认证分离所导致的问题。根据本发明的一个方面,提供了一种混合授权方法,包括以下 步骤在宽带接入服务器上配置用户及其属性,在RADIUS服务器 上也配置相同的用户及其属性;收到用户的认证请求后,宽带接入 月艮务器对其本身所配置的用户的属性进4于本地认证;如果本地^人证 通过,则RADIUS服务器对其本身所配置的用户的属性进行 RADIUS认证;如果RADIUS认证也通过,则RADIUS服务器对用 户进行RADIUS授权;以及宽带接入服务器才艮据RADIUS授权的回 应报文对用户进行本地授权。^尤选的,^口果本i也iU正未通过,贝"巨绝用户的iU正i青求,并耳又 消RADIUS认证。优选的,如果RADIUS iU正未通过,则拒绝用户的认证请求。优选的,RADIUS服务器对用户进行RADIUS授权具体包括 RADIUS服务器对其本身所配置的用户的属性进行RADIUS授权; RADIUS服务器向宽带接入服务器发送认证回应报文,其中携带已 经授权的属性和没有授权的属性。优选的,宽带接入服务器4艮据RADIUS授权的回应报文对用户 进行本地授权具体包括宽带接入服务器对没有授权的属性进行本 地授权;对于RADIUS认证已经授权的属性,则接入服务器先判断 RADIUS授权是否有效;如果有效,则通过认证请求;如果无效, 则对RADIUS认证已经授权的属性中无效的属性进行本地授权。优选的,还包括宽带接入服务器对其本身所配置的用户的属 性进4亍物理绑定4企查;如果物理绑定才企查未通过,则拒绝用户的iL i正i青求,并取消RADIUS iU正。优选的,还包括检查用户所在的域是否已经使能混合授权属 性;如果是,则继续才丸4亍本地iU正和RADIUS iU正以及本地4受片又和 RADIUS授权的步骤。根据本发明的另一方面,提供了一种宽带接入认证系统,包括 宽带接入服务器,其包括第一配置模块,用于配置用户及其属性; 本地认证模块,用于收到用户的认证请求后,对宽带接入服务器本 身所配置的用户的属性进行本地认证;以及本地授权模块,用于根 据RADIUS授权的回应报文对用户进行本地4受4又;RADIUS服务器, 其包括第二配置才莫块,用于也配置相同的用户及其属性;RADIUS 认证才莫块,用于如果本地认证通过,则对RADIUS服务器本身所配 置的用户的属性进行RADIUS认证;以及RADIUS授权模块,用于 如果RADIUS认证也通过,则对用户进行RADIUS授权。优选的,RADIUS授权模块具体包括RADIUS授权单元,用 于对RADIUS服务器本身所配置的用户的属性进行RADIUS授权; 回应单元,用于向宽带4妄入月l务器发送"i人证回应才艮文,其中携带已 经授权的属性和没有授权的属性。优选的,本地4受4又才莫块具体包括第一补充4受权单元,用于对 没有授权的属性进行本地授权;判断单元,用于对于RADIUS认证 已经授权的属性,则接入服务器先判断RADIUS授权是否有效;第 二补充授权单元,用于如果有效,则通过认证请求;如果无效,则 对RADIUS认证已经授权的属性中无效的属性进行本地授权。上述实施例的混合授权方法和宽带接入认证系统能够实现同一个用户的RADIUS授权和本地授权相结合,从而能够解决现有技术 中RADIUS认证与本地认证分离所导致的问题,为用户实现有效地 宽带4妄入。
此处所说明的附图用来4是供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中图1示出了才艮据本发明实施例的混合授片又方法的流程图;图2示出了才艮据本发明优选实施例的混合4受4又方法的流程图。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。图1示出了根据本发明实施例的混合授权方法的流程图,包括 以下步骤步骤SIO,在宽带接入服务器上配置用户及其属性,在RADIUS 月l务器上也配置相同的用户及其属性;步骤S20,收到用户的认证请求后,宽带接入服务器对其本身 所配置的用户的属性进行本地认证;步骤S30,如果本地认证通过,则RADIUS服务器对其本身所 配置的用户的属性进行RADIUS认证;步骤S40,如果RADIUS认证也通过,则RADIUS服务器对用 户进4亍RADIUS授斥又;以及步骤S50,宽带接入服务器根据RADIUS授权的回应报文对用 户进^亍本J44t^又。优选的,如果本地认证未通过,则拒绝用户的认证请求,并取 消RADIUS认证。优选的,如果RADIUS iU正未通过,则拒绝用户的i人证请求。优选的,RADIUS服务器对用户进行RADIUS授权具体包括 RADIUS服务器对其本身所配置的用户的属性进行RADIUS授权; RADIUS服务器向宽带接入服务器发送认证回应报文,其中携带已 经授权的属性和没有授权的属性。优选的,宽带接入服务器根据RADIUS授权的回应报文对用户 进行本地授权具体包括宽带接入服务器对没有授权的属性进行本 地授权;对于RADIUS认证已经授权的属性,则接入服务器先判断 RADIUS授权是否有效;如果有效,则通过认证请求;如果无效, 则对RADIUS认证已经授权的属性中无效的属性进行本地授权。优选的,还包括宽带接入服务器对其本身所配置的用户的属 性进4亍物理绑定4企查;如果物理绑定4企查未通过,则拒绝用户的i人 i正-清求,并取消RADIUS i人i正。该优选实施例加入了物理绑定4企查。优选的,还包括检查用户所在的域是否已经使能混合授权属 性;如果是,贝', RADIUS 4t^又的步骤'上述实施例的混合授权方法能够实现同 一个用户的RADIUS授 权和本地授权相结合,从而能够解决现有技术中RADIUS认证与本 地认证分离所导致的问题,为用户实现有效地宽带接入。图2示出了根据本发明优选实施例的混合授权方法的流程图, 在宽带接入服务器上配置本地用户,并且配置本地授权相关的属性, 在RADIUS服务器上也配置相同的用户和需要RADIUS 4受片又的属 性,图2的流考呈包4舌以下各步-骤步骤S202,宽带接入服务器接收用户的认证请求;步骤S204,判断用户所在的域(Domain)配置的混合授权属 性是否为使能;步骤S206,如果是,则开始下面的混合授权的步骤,首先是宽 带接入服务器对配置的属性进行本地认证和物理绑定检查;步-骤S208,如果本;也iU正和物理绑定^r查^f壬一项未通过,则3兆 到步骤S220,如果通过,则前进到步-骤S210;步骤S210, RADIUS服务器对同名用户配置的属性进行 RADIUS认证;步艰《S212, ^口果RADIUS i人i正未通过,贝'^兆到步&f S220, ^口 果通过,则前进到步骤S214;步骤S214, RADIUS对其本身所配置的用户的属性进行 RADIUS授权,并向宽带接入服务器发送认证回应报文,其中携带 已经授权的属性和没有授权的属性;步骤S216,宽带接入服务器对没有授权的属性进行本地授权; 对于RADIUS认证已经授权的属性,则接入服务器先判断RADIUS 授权是否有效;如果有效,则通过认证请求;如果无效,则对RADIUS 认证已经授权的属性中无效的属性进行本地授权;步-骤S218, iU正通过,结束-充禾呈;步骤S220,拒绝认证请求,结束流程。本发明的一个实施例还才是供了 一种宽带4妄入认证系统,包括宽带接入服务器,其包括第一配置模块,用于配置用户及其 属性;本地认证模块,用于收到用户的认证请求后,对宽带接入服 务器本身所配置的用户的属性进行本地认证;以及本地授权模块, 用于根据RADIUS授权的回应才艮文对用户进行本地授权;RADIUS服务器,其包括第二配置模块,用于也配置相同的 用户及其属性;RADIUS认证模块,用于如果本地认证通过,则对 RADIUS服务器本身所配置的用户的属性进行RADIUS认证;以及 RADIUS 4更权才莫块,用于如果RADIUS认证也通过,则对用户进行 RADIUS授权。优选的,RADIUS授权模块具体包括RADIUS授权单元,用 于对RADIUS服务器本身所配置的用户的属性进行RADIUS授权; 回应单元,用于向宽带接入服务器发送认证回应报文,其中携带已 经授权的属性和没有授权的属性。优选的,本地授权模块具体包括第一补充授权单元,用于对 没有授权的属性进行本地授权;判断单元,用于对于RADIUS认证 已经授权的属性,则接入服务器先判断RADIUS授权是否有效;第二补充授权单元,用于如果有效,则通过认证请求;如果无效,则 对RADIUS认证已经授权的属性中无效的属性进行本地授权。乂人以上的描述中,可以看出,上述实施例的混合4受4又方法和宽 带接入认证系统能够实现同一个用户的RADIUS授权和本地授权相 结合,从而能够解决现有技术中RADIUS认证与本地认证分离所导 致的问题,为用户实现有效地宽带4妄入。显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成 电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种混合授权方法,其特征在于,包括以下步骤在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;收到用户的认证请求后,所述宽带接入服务器对其本身所配置的所述用户的属性进行本地认证;如果所述本地认证通过,则所述RADIUS服务器对其本身所配置的所述用户的属性进行RADIUS认证;如果所述RADIUS认证也通过,则所述RADIUS服务器对所述用户进行RADIUS授权;以及所述宽带接入服务器根据所述RADIUS授权的回应报文对所述用户进行本地授权。
2. 根据权利要求1所述的混合授权方法,其特征在于,如果所述 本地认证未通过,则拒绝所述用户的认证请求,并取消所述 RADIUS认证。
3. 才艮据4又利要求1所述的混合授4又方法,其特4i在于,如果所述 RADIUS i人i正未通过,则拒绝所述用户的i人i正:清求。
4. 根据权利要求1所述的混合授权方法,其特征在于,所述 RADIUS服务器对所述用户进行RADIUS授权具体包括所述RADIUS月良务器对其本身所配置的所述用户的属性 进行RADIUS 4受权;所述RADIUS服务器向所述宽带接入服务器发送认证回 应报文,其中携带已经授权的属性和没有授权的属性。
5. 根据权利要求4所述的混合授权方法,其特征在于,所述宽带 接入服务器4艮据所述RADIUS授权的回应报文对所述用户进 行本地授4又具体包括所述宽带接入服务器对所述没有授权的属性进行所述本 地授权;对于所述RADIUS认证已经授权的属性,则所述接入服 务器先判断所述RADIUS 4受权是否有效;如果有效,则通过所述认证请求;如果无效,则对所述 RADIUS认证已经授权的属性中无效的属性进行所述本地授 权。
6. 根据权利要求1所述的混合授权方法,其特征在于,还包括所述宽带接入服务器对其本身所配置的所述用户的属性 进行物理绑定4企查;如果所述物理绑定检查未通过,则拒绝所述用户的认证请 求,并取消所述RADIUS i人i正。
7. 根据权利要求1所述的混合授权方法,其特征在于,还包括检查用户所在的域是否已经使能混合授权属性;如果是,则继续执行所述本地认证和所述RADIUS认证 以及所述本i也4受片又和所述RADIUS 4受4又的步艰《。
8. —种宽带接入认证系统,其特征在于,包括宽带接入服务器,其包括第一配置模块,用于配置用户及其属性;本地认证模块,用于收到用户的认证请求后,对所 述宽带接入服务器本身所配置的所述用户的属性进行本 地认证;以及本地授权才莫块,用于根据所述RADIUS授权的回应 才艮文对所述用户进行本地授权;RADIUS服务器,其包括第二配置模块,用于也配置相同的用户及其属性;RADIUS认证才莫块,用于如果所述本地认证通过, 则对所述RADIUS月良务器本身所配置的所述用户的属性 进行RADIUS认证;以及RADIUS授^又才莫块,用于如果所述RADIUS认证也 通过,则对所述用户进行RADIUS授权。
9. 根据权利要求8所述的宽带接入认证系统,其特征在于,所述 RADIUS授权模块具体包括RADIUS授权单元,用于对所述RADIUS服务器本身所 配置的所述用户的属性进行RADIUS授权;回应单元,用于向所述宽带接入服务器发送认证回应报 文,其中携带已经授权的属性和没有授权的属性。
10. 根据权利要求9所述的宽带接入认证系统,其特征在于,所述 本地授权模块具体包括第一补充^^又单元,用于对所述没有^^又的属性进4于所述 本地授权;判断单元,用于对于所述RADIUS认证已经授权的属性, 则所述接入力良务器先判断所述RADIUS 4受4又是否有效;第二补充授4又单元,用于如果有效,则通过所述iU正:清求; 如果无效,则对所述RADIUS认证已经授权的属性中无效的 属性进行所述本地授权。
全文摘要
本发明提供了一种混合授权方法,包括以下步骤在宽带接入服务器上配置用户及其属性,在RADIUS服务器上也配置相同的用户及其属性;收到用户的认证请求后,宽带接入服务器对其本身所配置的用户的属性进行本地认证;如果本地认证通过,则RADIUS服务器对其本身所配置的用户的属性进行RADIUS认证;如果RADIUS认证也通过,则RADIUS服务器对用户进行RADIUS授权;以及宽带接入服务器根据RADIUS授权的回应报文对用户进行本地授权。本发明还提供了一种宽带接入认证系统。本发明能够实现同一个用户的RADIUS授权和本地授权相结合。
文档编号H04L9/32GK101227282SQ20081000915
公开日2008年7月23日 申请日期2008年1月29日 优先权日2008年1月29日
发明者杨建军 申请人:中兴通讯股份有限公司