专利名称:一种实现icp联盟统一认证的方法和系统的制作方法
技术领域:
本发明属于数据通信中互联网技术领域,尤其涉及一种实现ICP联盟统一认证的方法和系统。
背景技术:
目前主流的宽带接入用户都采用PPPoE进行用户的认证管理,PPPoE的协商过程 如图ι所示。PPPoE可分为三个阶段,即Discovery阶段、Session阶段和Terminate阶段。Discovery阶段由四个过程组成。完成之后通信双方都会知道PPPoE的Session ID以及对方以太网地址,它们共同确定了唯一的PPPoE Session。包括以下步骤PPPoE Client广播发送一个PADI报文,在此报文中包含PPPoE Client想要得到的服务类型信息。 所有的PPPoE Server收到PADI报文之后,将其中请求的服务与自己能够提供的服务进行 比较,如果可以提供,则单播回复一个PADO报文。根据网络的拓扑结构,PPPoE Client可能 收到多个PPPoE Server发送的PADO报文,PPPoE Client选择最先收到的PADO报文对应的 PPPoE Server作为自己的PPPoE Server,并单播发送一个PADR报文。PPPoE Server产生 一个唯一的会话ID (SESSION ID),标识和PPPoE Client的这个会话,通过发送一个PADS 报文把会话ID发送给PPPoE Client,如果没有错误,会话建立后便进入PPPoE Session阶 段。Session阶段可划分为两部分,一是PPP协商阶段,二是PPP报文传输阶段。PPPoE Session上的PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段。LCP阶 段主要完成建立、配置和检测数据链路连接。LCP协商成功后,开始进行认证工作,认证协议 类型由LCP协商结果(CHAP或者PAP)决定。认证成功后,PPP进入NCP阶段,NCP是一个 协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP 和DNS等工作。在IPv4的情况下,PPP是通过IPv4CP来获取IP地址和DNS地址的配置。 对PPP协议扩展使PPPoE支持IPv6,而IPv6CP只能获取IPv6地址的64位接口标识,IPv6 地址的前缀需要通过其他方式获取。如图2所示,最前面10位是连接本地前缀FE80::, 中间是54位的O填充,后面64位是接口标识。IPv6地址的前缀通过路由器通告(router advertisement/RA)机制来传递。这意味着一旦PPP建立,IPv6路由器通告包会从服务器 发送给客户端,携带着IPv6地址前缀。接着客户端要发送DHCPv6请求给服务器来获取DNS 相关信息。PPPoE Session的PPP协商成功后,其上就可以承载PPP数据报文。在PPPoE Session阶段所有的以太网数据包都是单播发送的。在Terminate阶段,PPP通信双方应该使用PPP协议自身(比如PPP终结报文) 来结束PPPoE会话,但在无法使用PPP协议结束会话时可以使用PADT报文。进入PPPoE Session阶段后,PPPoE Client和PPPoE Server都可以通过发送PADT报文的方式来结束 PPPoE连接。PADT数据包可以在会话建立以后的任意时刻单播发送。在发送或接收到PADT 后,就不允许再使用该会话发送PPP流量了,即使是常规的PPP结束数据包也不允许发送。下面通过实例对PPPoE执行的用户认证管理过程进行说明。
用户从PC直接拨号,使用支持IPv6的拨号软件,发起IPv6拨号过程。从PC机开 始PPPoE发现过程,查找能够提供PPPoE服务的BRAS ;PC机收到BRAS的响应后,开始LCP 建立请求,由BRAS返回确认;由PC机发起LCP认证请求,可以是PAP或CHAP认证;BRAS收 到认证请求后,发送到RADIUS进行用户认证,RADIUS通过用户名和密码进行认证,在认证 通过后返回确认消息;BRAS收到RADIUS的认证确认消息后,向PC机发送确认信息;从PC 机发起正常的PPP_IPCPv4请求过程,并获取DNS服务器地址;从PC机发起IPCPv6请求,由 BRAS响应,建立IPv6的连接;PC机发起ICMPv6RS请求IPv6无状态地址配置,由BRAS发送 ICMPv6RA,带回IPv6地址前缀(可选)。同时将O比特置位(O比特用来指示IPv6的DNS 服务器地址需要通过DHCP过程获得);如果BRAS没有下发IPv6地址前缀,则指示用户通 过DHCP过程获取IPv6地址前缀;从PC机向DHCPv6SERVER或外接DHCPv6SERVER发起一 个 DHCPv6 请求,由 BRAS 做 DHCP RELAY ;BRAS 配置为 DHCP-PD Server,网关配置为 DHCP-PD Client,从网关发起一个DHCPv6请求,由BRAS进行响应,为PC机发送地址前缀(可选,如 果上面步骤没有发送)、前缀长度;拨号过程完成,用户可正常连接到网络,传送IPv6报文, BRAS上用户的IPv4和IPv6业务由同一 PPPoE Session承载。
发明内容
本发明要解决的技术问题是提出一种实现ICP联盟统一认证的方法和系统,以提 高认证的安全性。根据本发明的一个方面,提出一种实现ICP联盟统一认证的方法,包括以下步骤 用户终端向BRAS发送PPPoE请求;DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求 转发给BRAS服务器;BRAS保存物理端口标记,建立与用户终端的PPPoE连接;用户终端向 BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码;BRAS接收用户的Radius认 证请求包,在该包上加上先前接收的物理端口标记后发送给Radius认证服务器;Radius认 证服务器将用户帐号和物理端口标记前转到地址管理服务器;地址管理服务器在本地缓存 用户帐号和物理端口标记;Radius认证服务器检查用户帐号和密码是否合法,如果合法, 向用户终端返回认证通过信息;用户终端发起无状态IPv6地址分配请求,BRAS回复用户终 端需要通过DHCP获取地址;用户终端发起DHCP地址请求,DSLAM在DHCP地址请求中插入 物理端口标记,转发给BRAS ;BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口 标记,将其中继到地址管理服务器;地址管理服务器查找在DHCP地址请求携带的物理端口 标记是否记载在本地缓存中,如果是,分配IP地址。进一步,DSLAM在DHCP地址请求中插入物理端口标记的操作可以是在DHCP地址 请求的0ption82字段中插入物理端口标记。进一步,分配IP地址的操作中,还包括以下步骤检查地址分配记录,如果是初次 访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终 端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来 分配同样的IPv6地址。进一步,在分配IP地址之后,还向ICP接口服务器发送地址更新信息,在地址更新 信息中包括用户帐号和IPv6地址。根据本发明的另一个方面,还提出一种实现ICP联盟统一认证的系统,包括DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS ;在DHCP地址请求中 插入物理端口标记,转发给BRAS ;宽带接入服务器BRAS,保存物理端口标记,建立与用户终 端的PPPoE连接;接收Radius认证请求,所述认证请求包括用户帐号、密码,在Radius认证 请求中插入物理端口标记,发送给Radius认证服务器;指示用户终端通过DHCP过程获取 IPv6地址,接收携带物理端口标记的DHCP请求并中转到地址管理服务器;Radius服务器, 将用户帐号和物理端口标记前转到地址管理服务器;在检查用户帐号和密码合法后返回认 证通过信息;地址管理服务器,在本地缓存用户帐号和物理端口标记;查找在DHCP地址请 求中携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
进一步,DSLAM在DHCP地址请求的0ption82字段中插入物理端口标记。进一步,所述地址管理服务器检查地址分配记录,如果是初次访问,根据用户帐号 分配固定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的 IPv6地址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地 址。进一步,系统还包括ICP接口服务器,接收并保存地址管理服务器发送的地址更 新信息,在地址更新信息中包括用户帐号和IPv6地址。根据本发明的另一个方面,还提出一种地址管理服务器,包括保存单元,在本地 缓存用户帐号和物理端口标记;查找单元,查找在DHCP地址请求中携带的物理端口标记是 否记载在本地缓存中,如果是,通知分配单元;分配单元,分配IP地址。进一步,所述分配单元检查地址分配记录,如果是初次访问,根据用户帐号分配固 定IPv6地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地 址;如果不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。与现有技术相比,本发明具有至少如下之一的优点本发明通过用户名和密码进行认证的方式的基础上,还可通过DHCP过程,即根据 用户的物理位置来进行认证,因此具有更高的认证安全性。本发明通过对同一物理端口标记的用户终端分配固定IP地址,不管用户在哪上 网,通过该IP地址即可确认具体的用户终端,从而提供了对动态地址的固定分配功能,以 及可追溯的用户认定机制。利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完 成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商 合作的互联网应用。用户访问各种互联网应用再也不用每个业务都需要一个登录过程,也 不需要为每个业务记一个用户名和密码,从而达到简化用户使用,提高运营商对用户的服 务质量的目的。
图1为现有技术中PPPoE的协商过程。图2为现有技术中IPv6地址格式。图3为本发明实现ICP联盟统一认证的方法流程。图4为实现ICP联盟统一认证的系统结构图。图5为实现ICP联盟统一认证的另一系统结构图。
具体实施例方式本发明涉及到的技术包括认证技术、基于物理端口标记的用户识别技术。通过将 DHCPv6服务器进行功能改造后成为地址管理服务器,结合RADIUS服务器、BRAS (宽带接入 服务器)、DSLAM等实现对用户分配固定的IPv6地址。用户正常使用各种终端连接上网,不 需要任何特别的操作。基于物理端口标记的用户识别技术包括PPPoE+、DHCPoption82等技术。利用 PPPoE (PPP Over Ethernet)和 DCHP 协议的可扩展性(DCHP,Dynamic Host Configuration Protocol,是TCPIP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址),由 IP-DSLAM在PPPoE或DHCP报文中插入宽带用户所在IP-DSLAM设备上的唯一物理端口标记 并上报给BRAS,再由BRAS通过Radius协议或DHCPv6relay上传到RADIUS Server或DHCP Server。PPPoE+方案的思路是,DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后,在报文里增加表示物理端口标记的PPPoE+tag。上游BRAS识别出PPPoE+Tag以后,会把物 理端口标记提取出来,用Radius NAS-Port-ID属性发给Radius Server,用来做用户识别和
用户管理。PPPoE+的具体流程如下用户终端发起PPPOE请求,发送PPPOE PADI报文。DSLAM 捕捉至Ij PADI 艮文,送给 PPPoE Intermediate Agent 处理。PPPoE Intermediate Agent 按 照用户的物理位置,把用户的物理位置信息当作VSA(Vendor Specified Attribute)写入 PADI报文里。这个VSA就是PPPoE+Tag。BRAS收到PADI+VSA以后,给用户回应PADO报文。 终端按照正常流程,发送PADR报文,请求BRAS接入。DSLAM捕捉PADR报文,把PPPoE+Tag 插入到PADR报文里。BRAS接收到PADR+VSA以后,为这个STB分配一个PPP Session ID, 把这个PPPoE+Tag和PPP Session ID绑定起来。BRAS这时可以正常处理PPP流程。PPP 流程完成以后,BRAS 通过 Radius NAS-Port-ID 把 PPPoE+Tag 发送给 Radius Server0DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用。通过终端上的 DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器。DHCP提供一系列IP 配置参数,对用户端的IP层进行配置。用来作为认证用的OPTION字段主要为0PTI0N60 和0PTI0N82。其中0PTI0N60中带有Vendor和Service Option信息,是由用户终端发起 DHCP请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终 端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址。而 0PTI0N82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接 入位置,比如对于交换机而言,通常插入的是DSLAM端口信息或交换机的桥MAC、用户接入 的端口号和DHCP报文所在VLAN号。DHCP服务器上包含有所有合法接入用户的0PTI0N82 信息,当收到一个DHCP请求报文后,直接利用0PTI0N82信息和数据库中的合法信息进行比 对,若一致,则认为用户合法,再根据0PTI0N60字段分配IP地址。若不一致,则认为用户非 法,不分配IP地址。可以看出,在现有技术中通过用户名和密码进行认证的方式的基础上, 还可通过DHCP过程,即根据用户的物理位置来进行认证,因此具有更高的认证安全性。DHCP 0PTI0N82信息可以由DHCP SNOOPING或DHCP RELAY设备进行插入,在实际应用中,为了能 明确具体用户,通常在接入交换机上利用DHCPSN00PING实现0PTI0N82信息的插入。DHCP服务器还可以根据0PTI0N82信息制定地址分配策略,如对0PTI0N82信息相同的DHCP请求只分配一个IP地址,这样可以有效的防范对DHCP请求DoS攻击,防止DHCP服务器地址池枯竭。下面将结合附图,对本发明所述方法以及系统进行详细说明。图3所示为本发明实现ICP联盟统一认证的方法流程,参与这部分的设备包括 DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线路接入复用器,DSLAM 是各种DSL系统的局端设备)、BRAS (Broadband Remote Access Server,宽带远程接入服务 器)、地址管理服务器、Radius 服务器(Remote Authentication Dial In User Service, 远端用拨入验证服务)和ICP接口服务器(ICP,Internet Content Provider,互联网内容 提供商)。该方法包括以下步骤在步骤301,用户终端向BRAS发送PPPoE请求。在步骤302,DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS。在步骤303,BRAS保存物理端口标记,建立与用户终端的PPPoE连接。在步骤304,用户终端向BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码。在步骤305,BRAS接收用户的Radius认证请求包,在该包上加上先前接收的物理 端口标记后发送给Radius认证服务器。在步骤306,Radius认证服务器将用户帐号和物理端口标记前转到地址管理服务
ο在步骤307,地址管理服务器在本地缓存用户帐号和物理端口标记,还可以加上时 间戳,时间戳有效期可设为5-30分钟,过期后删除该信息。在步骤308,Radius认证服务器检查用户帐号和密码是否合法,如果合法,向用户 终端返回认证通过信息。在步骤309,用户终端发起无状态IPv6地址分配请求,BRAS回复用户终端需要通 过DHCP获取地址。在步骤310,用户终端发起DHCP地址请求,DSLAM检查DHCP信息,插入物理端口标 记并转发给BRAS。具体的,可以在DHCP请求的0ption82字段中插入物理端口标记。在步骤311,BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口标记, 将其中继到地址管理服务器。在步骤312,地址管理服务器查找在DHCP地址请求携带的物理端口标记是否记 载在本地缓存中,如果是,认为该用户终端合法,分配IP地址。本发明通过PPPOE+信息和 OPTION 82信息比对获取用户帐户,既解决了 DHCP接收方无用户身份信息的问题,又解决 了用户的可溯源问题,使用户的消费信息更完整,更安全。地址管理服务器在分配IP地址时,可以根据从其他相关系统接收宽带用户的地 址分配规则进行分配。当地址分配规则变更时,在地址管理服务器中删除所涉及用户终端 的登记记录,用户终端在下次登录时走一般地址分配流程,流程结束后用户终端就获得新 的IP地址,同时相关服务器上的登记记录也完成更新。在现有技术的认证过程中,通过在用户电脑里保存一个认证记录,只要验证用户 名和密码正确,就认为该用户终端合法。这样做存在2个重大的安全风险1)用户电脑被他人使用时无法保证安全;2)记录信息容易被盗取。而本发明除验证用户名和密码外,还验证物理端口标记是否一致,也就是说,即使盗取用户名和密码,但是无法复制该用户终端 的物理端口标记,也就无法通过合法性验证过程。从而确保了用户终端的安全,提高了认证 的安全性。利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完 成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商 合作的互联网应用。用户访问各种互联网应用再也不用每个业务都需要一个登录过程,也 不需要为每个业务记一个用户名和密码,从而达到简化用户使用,提高运营商对用户的服 务质量的目的。进一步,在步骤312的分配IP地址的操作中,还可以包括以下步骤检查地址分 配记录,如标记为非分配或无记录,说明用户终端是初次访问,根据用户帐号分配固定IPv6 地址或前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址。如果 不是初次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。本发明通过 对同一物理端口标记的用户终端分配固定IP地址,不管用户在哪上网,通过该IP地址即可 确认具体的用户终端,从而提供了对动态地址的固定分配功能,以及可追溯的用户认定机 制。 在分配IP地址之后,地址管理服务器还可以向ICP接口服务器发送地址登记更新 同步请求,将分配给用户终端的IP地址以及用户帐号同步给ICP接口服务器,并通过ICP 接口服务器为ICP提供对业务定购信息的授权支持。用户终端就可以定购并使用ICP服务, 为实现不同ICP之间的互信提供了保障。下面对用户终端的业务定购过程进行说明。用户通过浏览运营商或ICP的门户网站查找感兴趣的增值业务,用户如果直接点 击使用该增值业务,ICP通过识别用户的IPv6地址识别用户,通过检查定购信息发现用户 无权限,则用户请求被拒绝。用户提交业务定购请求,如果是通过ICP提交业务请求有2种 处理方法,一是ICP直接将业务请求重定向到运营商的业务定购服务,另一种是ICP接收用 户的业务请求,然后将用户定购的业务发送给运营商的业务定购服务,可直接使用用户的 IPv6地址作为用户标识。运营商的业务定购服务在通过各种途径接收到用户的业务定购请 求后将业务定购信息发送到ICP接口服务器,可直接使用用户的IPv6地址作为用户标识。 ICP接口服务器在接收到新的业务定购请求后,根据业务定购信息和目标ICP进行信息同 步,进一步,根据条件可同时同步用户行为偏好信息。用户可以直接使用ICP的服务,ICP通 过识别用户的IPv6地址识别用户,查询ICP接口服务器并根据获得的业务定购信息给用户 进行授权。下面对用户终端退定业务时所执行的流程进行说明。通过ICP提交业务退定有2种处理方法,一是ICP直接将业务退定请求重定向到 运营商的业务定购服务,另一种是ICP接收用户的业务退定请求,然后将用户退定的业务 发送给运营商的业务定购服务,可直接使用用户的IPv6地址作为用户标识。运营商的业务 定购服务在通过各种途径接收到用户的业务退订请求后,将业务退定信息发送到ICP接口 服务器,可直接使用用户的IPv6地址作为用户标识。ICP接口服务器在接收到新的业务退 定请求后,根据业务退定信息和目标ICP进行信息同步。ICP通过识别用户的IPv6地址识别用户,通过检查定购信息发现用户无权限。下面结合附图,对本发明实现上述流程的系统结构进行说明。图4为实现ICP联 盟统一认证的系统结构图,包括DSLAM、宽带接入服务器BRAS、RadiuS服务器以及地址管理 服务器。DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS ;在DHCP请 求中插入物理端口标记,转发给BRAS,具体的,可以在DHCP请求的0ption82字段中插入物
理端口标记。 宽带接入服务器BRAS,保存物理端口标记,建立与用户终端的PPPoE连接;接收 Radius认证请求,所述认证请求包括用户帐号、密码,在Radius认证请求中插入物理端口 标记后发送给Radius认证服务器;指示用户终端通过DHCP过程获取IPv6地址,接收携带 物理端口标记的DHCP请求并中转到地址管理服务器。Radius服务器,将用户帐号和物理端口标记前转到地址管理服务器;在检查用户 帐号和密码合法后返回认证通过信息,完成用户的认证授权等基本功能。地址管理服务器,在本地缓存用户帐号和物理端口标记,还可以标记时间戳;查 找在DHCP请求中携带的物理端口标记是否记载在本地缓存中,如果是,认为该用户终端合 法,分配IP地址。本发明通过PPPOE+信息和OPTION 82信息比对获取用户帐户,既解决了 DHCP接收方无用户身份信息的问题,又解决了用户的可溯源问题,使用户的消费信息更完 整,更安全。所述地址管理服务器在分配IP地址时,可以根据从其他相关系统接收宽带用户 的地址分配规则进行分配。当地址分配规则变更时,在地址管理服务器中删除所涉及用户 终端的登记记录,用户终端在下次登录时走一般地址分配流程,流程结束后用户终端就获 得新的IP地址,同时相关服务器上的登记记录也完成更新。在现有技术的认证过程中,通过在用户电脑里保存一个认证记录,只要验证用户 名和密码正确,就认为该用户终端合法。这样做存在2个重大的安全风险1)用户电脑被 他人使用时无法保证安全;2)记录信息容易被盗取。而本发明除验证用户名和密码外,还 通过地址管理服务器验证物理端口标记是否一致,也就是说,即使盗取用户名和密码,但是 无法复制该用户终端的物理端口标记,也就无法通过合法性验证过程。从而确保了用户终 端的安全,提高了认证的安全性。利用用户终端每次上网时的接入认证来衍生作为应用认证。从而,宽带用户在完 成接入认证后不需要认证即可接入使用各种宽带应用,包括运营商的自有应用和与运营商 合作的互联网应用,从而达到简化用户使用,提高运营商对用户的服务质量的目的。本发明的地址管理服务器在分配IP地址的操作中,检查地址分配记录,如标记为 非分配或无记录,说明用户终端是初次访问,根据用户帐号分配固定IPv6地址或前缀,登 记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址。如果不是初次访问, 根据地址分配记录中的前次分配信息来分配同样的IPv6地址。本发明通过对同一物理端 口标记的用户终端分配固定IP地址,通过该IP地址即可确认具体的用户终端,从而提供了 对动态地址的固定分配功能,以及可追溯的用户认定机制。本发明实现ICP联盟统一认证的系统,还可以包括ICP接口服务器,如图5所示。 通过ICP接口服务器保存IP地址、业务定购信息,并在用户终端使用ICP服务时,向ICP提供相关信息,以确认用户使用权限等。用户可以从运营商渠道定购业务,也可通过ICP直接定购业务,当用户从ICP直接 定购时,由ICP充当业务管理系统或将相关操作转到业务管理系统完成。业务管理系统是 外部系统,用于将用户的业务定购信息发送到ICP接口服务器,在业务定购信息中包括用 户帐号。
ICP接口服务器保存业务定购信息,还可以保存用户行为偏好信息。通过对用户 行为偏好信息的共享机制,使得ICP和运营商都能更好的服务用户。ICP接口服务器保存 IP地址和用户帐号的对应关系,并将业务定购信息中用户帐号替换成用户的IP地址。ICP 接口服务器中的IP地址为用户第一次被分配的地址或所分配的地址调整时由地址管理服 务器更新到ICP接口服务器。用户使用ICP服务时,ICP通过识别用户的IPv6地址识别用 户,通过WebServices查询接口查询ICP接口服务器,获取用户业务定购信息和行为偏好信 息,确认用户的身份和授权信息等。
权利要求
一种实现ICP联盟统一认证的方法,包括以下步骤用户终端向BRAS发送PPPoE请求;DSLAM在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS服务器;BRAS保存物理端口标记,建立与用户终端的PPPoE连接;用户终端向BRAS发起Radius认证请求,在认证请求中包括用户帐号、密码;BRAS接收用户的Radius认证请求包,在该包上加上先前接收的物理端口标记后发送给Radius认证服务器;Radius认证服务器将用户帐号和物理端口标记前转到地址管理服务器;地址管理服务器在本地缓存用户帐号和物理端口标记;Radius认证服务器检查用户帐号和密码是否合法,如果合法,向用户终端返回认证通过信息;用户终端发起无状态IPv6地址分配请求,BRAS回复用户终端需要通过DHCP获取地址;用户终端发起DHCP地址请求,DSLAM在DHCP地址请求中插入物理端口标记,转发给BRAS;BRAS接收到DHCP地址请求,所述DHCP地址请求包括物理端口标记,将其中继到地址管理服务器;地址管理服务器查找在DHCP地址请求携带的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
2.根据权利要求1所述实现ICP联盟统一认证的方法,其中,DSLAM在DHCP地址请求 中插入物理端口标记的操作,包括以下步骤在DHCP地址请求的0ption82字段中插入物理 端P标记。
3.根据权利要求1所述实现ICP联盟统一认证的方法,其中,分配IP地址的操作中,还 包括以下步骤检查地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或 前缀,登记已分配地址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初 次访问,根据地址分配记录中的前次分配信息来分配同样的IPv6地址。
4.根据权利要求1所述实现ICP联盟统一认证的方法,其中,在分配IP地址之后,还向 ICP接口服务器发送地址更新信息,在地址更新信息中包括用户帐号和IPv6地址。
5.一种实现ICP联盟统一认证的系统,包括DSLAM,在PPPoE请求中插入物理端口标记,将PPPoE请求转发给BRAS ;在DHCP地址请 求中插入物理端口标记,转发给BRAS ;宽带接入服务器BRAS,保存物理端口标记,建立与用户终端的PPPoE连接;接收Radius 认证请求,所述认证请求包括用户帐号、密码,在Radius认证请求中插入物理端口标记,发 送给Radius认证服务器;指示用户终端通过DHCP过程获取IPv6地址,接收携带物理端口 标记的DHCP请求并中转到地址管理服务器;Radius服务器,将用户帐号和物理端口标记前转到地址管理服务器;在检查用户帐号 和密码合法后返回认证通过信息;地址管理服务器,在本地缓存用户帐号和物理端口标记;查找在DHCP地址请求中携带 的物理端口标记是否记载在本地缓存中,如果是,分配IP地址。
6.根据权利要求5所述实现ICP联盟统一认证的系统,其中,DSLAM在DHCP地址请求 的0ption82字段中插入物理端口标记。
7.根据权利要求5所述实现ICP联盟统一认证的系统,其中,所述地址管理服务器检查 地址分配记录,如果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地 址和已分配标记,向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分 配记录中的前次分配信息来分配同样的IPv6地址。
8.根据权利要求5所述实现ICP联盟统一认证的系统,还包括ICP接口服务器,接收 并保存地址管理服务器发送的地址更新信息,在地址更新信息中包括用户帐号和IPv6地 址。
9.一种地址管理服务器,包括保存单元,在本地缓存用户帐号和物理端口标记;查找单元,查找在DHCP地址请求中携带的物理端口标记是否记载在本地缓存中,如果 是,通知分配单元;分配单元,分配IP地址。
10.根据权利要求9所述地址管理服务器,其中,所述分配单元检查地址分配记录,如 果是初次访问,根据用户帐号分配固定IPv6地址或前缀,登记已分配地址和已分配标记, 向用户终端返回本次分配的IPv6地址;如果不是初次访问,根据地址分配记录中的前次分 配信息来分配同样的IPv6地址。
全文摘要
本发明提出一种实现ICP联盟统一认证的方法和系统,在认证用户帐号和密码合法之后,还根据用户的物理位置来进行认证,并为同一物理端口标记的用户终端分配固定IP地址。因此,本发明具有更高的认证安全性。
文档编号H04L29/06GK101888389SQ201010232970
公开日2010年11月17日 申请日期2010年7月19日 优先权日2010年7月19日
发明者刘波 申请人:中国电信股份有限公司