专利名称:认证方法、宽带远程接入服务器以及认证服务器的制作方法
技术领域:
本发明涉及通信领域,尤其涉及认证方法、宽带远程接入服务器以及认证服务器。
背景技术:
随着无线局域网(wireless lan, WLAN)技术的成熟发展,在许多地区均覆盖了无线局域网,例如机场、展览中心和咖啡馆。WLAN技术的认证方式包括涉及门户(Portal)服务器的认证方式。在涉及门户服务器的认证方式中,认证的流程包括终端与接入节点(accesspoint, AP)建立关联。终端通过动态主机配置协议(Dynamic HostConfiguration Protocol, DHCP)获取网际协议(Internet Protocol,IP)地址。需要说明的的是,终端获取网际协议地址并不意味着终端已获得访问公网的权限。终端获得访问门户服务器的权限。门户服务器向终端推送认证页面。终端通过认证页面将用户名和密码告诉门户服务器。门户服务器根据终端提供的用户名和密码生成认证请求。门户服务器向宽带远程接入服务器(broadband remote accessserver, BRAS)发送所述认证请求。所述BRAS收到所述认证请求后将所述认证请求转换 为新的认证请求。所述新的认证请求对应的协议可以是远程认证拨号用户服务(RemoteAuthentication Dial InUser Service,Radius)协议。所述BRAS将所述新的认证请求发送至认证服务器,例如认证、授权和计费(authentication, authorization andAccounting,AAA)服务器,以便于所述认证服务器进行认证。所述认证服务器通过认证后,所述终端获得访问公网的权限。在上述涉及门户服务器的认证方式中,认证过程比较复杂。
发明内容
本发明的目的是为了降低现有技术中认证过程比较复杂的技术问题。第一方面,提供了一种认证方法,所述方法包括宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;所述宽带远程接入服务器根据所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识;所述宽带远程接入服务器向认证服务器发送所述认证请求;所述宽带远程接入服务器接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的;如果所述认证响应指示所述用户名通过认证,则所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址;所述宽带远程接入服务器为所述终端赋予访问公网的权限。在所述第一方面提供的所述认证方法的第一种可能实现的方式中,如果所述认证响应指示所述用户名没有通过认证,则所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址;
所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。在所述第一方面提供的所述认证方法的第二种可能实现的方式中,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。第二方面,提供了一种认证方法,所述方法包括认证服务器接收宽带远程接入服务器发送的认证请求,所述认证请求通过如下途径得到 所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;所述宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识;所述宽带远程接入服务器向所述认证服务器发送所述认证请求;所述认证服务器对所述认证请求中的所述用户名进行认证,生成认证响应;所述认证服务器向所述宽带远程接入服务器发送所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。在所述第二方面提供的所述认证方法的第一种可能实现的方式中,如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。在所述第二方面提供的所述认证方法的第二种可能实现的方式中,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。第三方面,提供了一种宽带远程接入服务器,包括第一接收单元,用于接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;生成单元,用于根据所述第一接收单元接收的所述动态主机配置协议请求中的所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识;发送单元,用于向认证服务器发送所述生成单元生成的所述认证请求;第二接收单元,用于接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的;转发单元,用于如果所述认证响应指示所述用户名通过认证,则向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址;第一赋予单元,用于为所述终端赋予访问公网的权限。在所述第三方面提供的所述宽带远程接入服务器的第一种可能实现的方式中,所述转发单元还用于如果所述认证响应指示所述用户名没有通过认证,则向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址;所述宽带远程接入服务器还包括第二赋予单元,所述第二赋予单元用于为所述终端赋予访问门户服务器的权限。在所述第三方面提供的所述宽带远程接入服务器的第二种可能实现的方式中,所述第二接收单元接收的所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方 式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。第四方面,提供了一种认证服务器,包括接收单元,用于接收宽带远程接入服务器发送的认证请求,所述认证请求通过如下途径得到所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;所述宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识;所述宽带远程接入服务器向所述认证服务器发送所述认证请求;生成单元,用于对所述接收单元接收的所述认证请求中的所述用户名进行认证,生成认证响应;发送单元,用于向所述宽带远程接入服务器发送所述生成单元生成的所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。在所述第四方面提供的所述认证服务器的第一种可能实现的方式中,如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。在所述第四方面提供的所述认证服务器的第二种可能实现的方式中,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述技术方案中,所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。
图I为本发明实施例提供的一种认证方法流程图;图2为本发明实施例提供的一种信令交互的示意图;图3为本发明实施例提供的认证请求的格式的示意图;图4为本发明实施例提供的一种信令 交互的示意图;图5为本发明实施例提供的一种认证方法的流程图;图6为本发明实施例提供的一种宽带远程接入服务器的结构示意图;图7为本发明实施例提供的一种认证服务器的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明具体实施例作进一步的详细描述。图I为本发明实施例提供的一种认证方法的流程图。所述认证方法的执行主体为宽带远程接入服务器。如图I所示,所述认证方法包括110、宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识。举例来说,所述终端向宽带远程接入服务器发送所述动态主机配置协议请求前,所述终端可以与接入节点建立连接。所述终端可以为手机、个人数字助理(personal dataassistant, PDA)、或者个人电脑。所述终端向所述BRAS发送动态主机配置协议DHCP请求。所述DHCP请求中携带所述终端的标识。所述终端的标识可以是所述终端的媒体访问控制(media access control,MAC)协议地址,也可以是所述终端的网际协议地址。120、所述宽带远程接入服务器根据所述标识生成第一认证请求,所述第一认证请求携带所述终端的用户名,所述用户名为所述标识。举例来说,所述第一认证请求对应的协议可以是协议为远程认证拨号用户服务协议或者直径(diameter)协议。130、所述宽带远程接入服务器向认证服务器发送所述认证请求。140、所述宽带远程接入服务器接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的。举例来说,认证服务器接收BRAS发送的认证请求后,对认证请求进行解析,从而得到所述用户名。所述认证服务器在用户信息数据库中查找所述用户名。如果找到所述用户名,则确定所述用户名通过认证。如果没有找到所述用户名,则确定所述用户名没有通过认证。所述用户信息数据库可以存储在所述认证服务器中。所述认证服务器对所述用户名进行认证后,向所述BRAS发送认证响应。150、如果所述认证响应指示所述用户名通过认证,则所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址。所述宽带远程接入服务器收到所述认证响应后,根据所述认证响应判断所述用户名是否通过认证。本领域的技术人员可以理解的是,所述宽带远程接入服务器与所述DHCP服务器可以是同一网络设备。所述宽带远程接入服务器与所述DHCP服务器也可以是不同的两个网络设备。本领域的技术人员可以理解的是,所述DHCP服务器接收所述DHCP请求后,所述DHCP服务器可以根据所述DHCP请求生成DHCP响应。所述DHCP响应中可以携带所述DHCP服务器为所述终端分配的所述第一网际协议地址。所述第一网络协议地址可以是公网地址,也可以是私网地址。如果所述第一网际协议地址是私网地址,所述终端向位于公网的网页服务器发送的包含所述第一公网协议地址的报文到达所述BRAS后,所述BRAS可以对所 述包含所述第一公网协议地址的报文执行地址翻译操作。所述第一网络协议地址对应所述用户名通过认证的场景。160、所述宽带远程接入服务器为所述终端赋予访问公网的权限。本领域的技术人员可以理解的是,所述宽带远程接入服务器为所述终端赋予访问公网的权限是指,所述终端能够通过所述宽带远程接入服务器访问公网。本领域的技术人员可以理解的是,所述BRAS可以通过如下方式为所述终端赋予访问公网的权限。举例来说,如果所述BRAS支持二层转发,所述BRAS可以为所述终端生成MAC表的表项。所述MAC表的表项可以用于转发所述终端访问公网的流量。如果所述BRAS支持三层转发,所述BRAS可以为所述终端生成路由表的表项。所述路由表的表项可以用于转发所述终端访问公网的流量。上述技术方案中,所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。可选地,在图I所示的认证方法中,如果所述认证响应指示所述用户名没有通过认证,则所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址。所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。所述第二网络协议地址对应所述用户名没有通过认证的场景。本领域的技术人员可以理解,所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限意味着,所述宽带远程接入服务器能够登陆所述门户服务器,进而发起背景技术提及的涉及门户服务器的认证过程。可选地,图I所示的认证方法中,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。
本领域的技术人员可以理解的是,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式意味着,所述认证服务器收到所述认证请求后,将会在所述简化认证方式对应的用户信息数据库中查找所述认证请求中携带的所述用户名,从而确定所述用户名能否通过认证。所述简化认证方式没有涉及到门户服务器。本领域的技术人员可以理解,所述简化认证方式对应的用户信息数据库区别于背景技术中提及的涉及门户服务器的认证方式所对应的用户信息库。图2为本发明实施例提供的一种信令交互的示意图。图2所示的信令交互可以用于执行图I所示的认证方法。如图2所示,所述信令交互包括200、终端与AP建立连接。举例来说,所述终端向宽带远程接入服务器发送所述动态主机配置协议请求前,所述终端可以与接入节点建立连接。所述终端可以为手机、个人数字助理、个人电脑等。 210、终端向BRAS发送动态主机配置协议请求。220、宽带远程接入服务器判断终端发送的动态主机配置协议请求中是否携带所述终端的标识。 举例来说,终端向BRAS发送动态主机配置协议DHCP请求,BRAS接收终端发送的DHCP请求后,对该DHCP请求进行判断,判断该DHCP请求中是否携带终端标识。在本发明实施例中,所述终端的标识可以是终端的国际移动设备身份码(International Mobile Equipment Identity, IMEI)、终端的 MAC 协议地址或者终端的手机号码。当所述标识为IMEI或终端的手机号码时,该标识携带在DHCP请求中的选择options部分中,BRAS在接收DHCP请求后,对DHCP请求中的option进行解析,判断该DHCP请求中是否携带终端的标识;当所述标识为MAC地址时,该标识携带在DHCP请求中的客户机硬件地址chaddr部分中,BRAS在接收DHCP请求后,对DHCP请求中的chaddr进行解析,判断该DHCP请求中是否携带终端的标识。230、如果所述动态主机配置协议请求中携带所述标识,则所述宽带远程接入服务器根据所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识。举例来说,BRAS对终端发送的DHCP请求进行判断,如果DHCP请求中携带终端的标识,则BRAS将该标识作为所述终端的用户名,生成认证请求,在认证请求中携带用户名,该用户名即为终端发送的DHCP请求中携带的标识。可选地,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。所述BRAS生成认证请求,在认证请求中携带用户名和认证标识具体为BRAS将DHCP请求携带的标识作为终端的用户名携带在认证请求中;同时,BRAS在认证请求中类型属性中扩展子属性,将该子属性的值配置为认证标识,所述认证标识长度为4,类型为整型,值为非O值,如图3所示。
如果所述动态主机配置协议请求中不携带所述标识,则所述宽带远程接入服务器自行利用MEI、终端的手机号码或MAC地址生成终端的标识,并将该标识携带在认证请求。本领域的技术人员可以理解的是,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式意味着,所述认证服务器收到所述认证请求后,将会在所述简化认证方式对应的用户信息数据库中查找所述认证请求中携带的所述用户名,从而确定所述用户名能否通过认证。所述简化认证方式没有涉及到门户服务器。本领域的技术人员可以理解,所述简化认证方式对应的用户信息数据库区别于背景技术中提及的涉及门户服务器的认证方式所对应的用户信息库。240、所述宽带远程接入服务器向认证服务器发送所述认证请求。250、所述宽带远程接入服务器接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的。
举例来说,认证服务器接收BRAS发送的认证请求后,对认证请求进行解析,从认证请求信息中解析出用户名和认证标识,当认证服务器解析出认证标识后,已明确该终端为采用简化认证方式的终端,认证服务器对用户名进行判断判断用户名是否与自身的用户信息数据库中存储的用户名记录一致。如果用户名与自身的用户信息数据库中的存储的用户名记录一致时,则所述用户名为合法用户名。认证服务器对用户名进行判断后,向BRAS发送认证响应,BRAS接收经认证服务器判断用户名后发送的认证响应。步骤260、如果所述认证响应指示所述用户名通过认证,则所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址。举例来说,认证服务器向BRAS发送认证响应,认证服务器在判断的过程中,如果用户名与存储在用户信息数据库中存储的用户名记录一致,则用户名为合法用户名,此时,认证服务器向BRAS发送的认证响应指示用户名通过认征。BRAS接收到认证服务器发送的认证响应后,对认证响应进行解析,当认证响应指示用户名通过认证时,则说明在先发送的用户名是合法的用户名,通过认证服务器的认证,BRAS向终端转发动态主机配置协议服务器(DHCP服务器)为终端分配的第一 IP地址。本领域的技术人员可以理解的是,所述宽带远程接入服务器与所述DHCP服务器可以是同一网络设备。所述宽带远程接入服务器与所述DHCP服务器也可以是不同的两个网络设备。本领域的技术人员可以理解的是,所述DHCP服务器接收所述DHCP请求后,所述DHCP服务器可以根据所述DHCP请求生成DHCP响应。所述DHCP响应中可以携带所述DHCP服务器为所述终端分配的所述第一网际协议地址。所述第一网络协议地址可以是公网地址,也可以是私网地址。如果所述第一网际协议地址是私网地址,所述终端向位于公网的网页服务器发送的包含所述第一公网协议地址的报文到达所述BRAS后,所述BRAS可以对所述包含所述第一公网协议地址的报文执行地址翻译操作。270、所述宽带远程接入服务器为所述终端赋予访问公网的权限。举例来说,当认证响应指示认证请求通过认证时,BRAS明确终端已通过认证服务器的认证,为终端赋予访问公网的权限,终端接收到BRAS转发的IP地址后,BRAS告知终端具有访问公网的权限,终端开始访问公网,并与BRAS进行用户数据报文的转发。本领域的技术人员可以理解的是,所述宽带远程接入服务器为所述终端赋予访问公网的权限是指,所述终端能够通过所述宽带远程接入服务器访问公网。本领域的技术人员可以理解的是,所述BRAS可以通过如下方式为所述终端赋予访问公网的权限。举例来说,如果所述BRAS支持二层转发,所述BRAS可以为所述终端生成MAC表的表项。所述MAC表的表项可以用于转发所述终端访问公网的流量。如果所述BRAS支持三层转发,所述BRAS可以为所述终端生成路由表的表项。所述路由表的表项可以用于转发所述终端访问公网的流量。通过应用本发明实施例公开的方法,所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。 图4为本发明实施例提供的信令交互的示意图。所述信令交互可以用于执行图I所示的认证方法。如图4所示,所述信令交互包括400、终端与AP建立连接。举例来说,所述终端向宽带远程接入服务器发送所述动态主机配置协议请求前,所述终端可以与接入节点建立连接。所述终端可以为手机、个人数字助理、个人电脑等。410、终端向BRAS发送动态主机配置协议请求。420、宽带远程接入服务器判断终端发送的动态主机配置协议请求中是否携带所述终端的标识。举例来说,终端向BRAS发送动态主机配置协议DHCP请求,BRAS接收终端发送的DHCP请求后,对该DHCP请求进行判断,判断该DHCP请求中是否携带终端标识。在本发明实施例中,所述终端的标识可以是终端的国际移动设备身份码、终端的MAC协议地址或者终端的手机号码。当所述标识为IMEI或终端的手机号码时,该标识携带在DHCP请求中的选项(option)中。BRAS在接收DHCP请求后,对DHCP请求中的option进行解析,判断该DHCP请求中是否携带终端的标识;当所述标识为MAC协议地址时,该标识携带在DHCP请求中的客户机硬件地址chaddr部分中,BRAS在接收DHCP请求后,对DHCP请求中的chaddr进行解析,判断该DHCP请求中是否携带终端的标识。430、如果所述动态主机配置协议请求中携带所述标识,则所述宽带远程接入服务器根据所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识。举例来说,BRAS对终端发送的DHCP请求进行判断,如果DHCP请求中携带终端的标识,则BRAS将该标识作为所述终端的用户名,生成认证请求,在认证请求中携带用户名,该用户名即为终端发送的DHCP请求中携带的标识。可选地,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。所述BRAS生成认证请求,在认证请求中携带用户名和认证标识具体为BRAS将DHCP请求携带的标识作为终端的用户名携带在认证请求信息中;同时,BRAS在认证请求中类型属性中扩展子属性,将该子属性的值设置为认证标识,所述认证标识长度为4,类型为整型,值为非O值,如图3所示。本领域的技术人员可以理解的是,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式意味着,所述认证服务器收到所述认证请求后,将会在所述简化认证方式对应的用户信息数据库中查找所述认证请求中携带的所述用户名,从而确定所述用户名能否通过认证。所述简化认证方式没有涉及到门户服务器。本领域的技术人员可以理解,所述简化认证方式对应的用户信息数据库区别于背景技术中提及的涉及门户服务器
的认证方式所对应的用户信息库。440、所述宽带远程接入服务器向认证服务器发送所述认证请求。450、所述宽带远程接入服务器接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的。举例来说,认证服务器接收BRAS发送的认证请求后,对认证请求进行解析,从认证请求中解析出用户名和认证标识,当认证服务器解析出认证标识后,已明确该终端为采用简化认证方式的终端,认证服务器对用户名进行判断判断用户名是否与自身的用户信息数据库中存储的用户名记录一致。如果用户名与自身的用户信息数据库中的存储的用户名记录一致时,则所述用户名为合法用户名。认证服务器对用户名进行判断后,向BRAS发送认证响应,BRAS接收经认证服务器判断用户名后发送的认证响应。460、如果所述认证响应指示所述用户名没有通过认证,则所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址。举例来说,认证服务器向BRAS发送认证响应,认证服务器在判断的过程中,如果用户名与存储在用户信息数据库中存储的用户名记录不一致,则用户名为非法用户名,此时,认证服务器向BRAS发送的认证响应指示用户名没有通过认证。BRAS接收到认证服务器发送的认证响应后,对认证响应进行解析,当认证响应指示用户名没有通过认证时,则说明在先发送的用户名是非法的用户名,没有通过认证服务器的认证,BRAS向终端转发动态主机配置协议服务器为终端分配的第二 IP地址。470、所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。举例来说,当认证响应指示用户名没有通过认证时,BRAS明确终端没有通过认证服务器的认证,为终端赋予访问Portal服务器的权限,终端接收到BRAS转发的IP地址后,BRAS告知终端具有访问Portal服务器的权限,终端明确后,开始访问Portal服务器再次进行认证。终端获取第二 IP地址后,终端获得访问门户服务器的权限。门户服务器向终端推送认证页面。终端通过认证页面将用户名和密码告诉门户服务器。门户服务器根据终端提供的用户名和密码生成认证请求。门户服务器向BRAS发送所述认证请求。所述BRAS收到所述认证请求后将所述认证请求转换为新的认证请求。所述新的认证请求对应的协议可以是Radius协议。所述BRAS将所述新的认证请求发送至认证服务器,以便于所述认证服务器进行认证。所述认证服务器通过认证后,所述终端获得访问公网的权限。通过应用本发明实施例公开的方法,所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。图5为本发明实施例提供的一种认证方法的流程图。所述认证方法的执行主体为认证服务器。如图5所示,所述认证方法包括510、认证服务器接收宽带远程接入服务器发送的认证请求。举例来说,所述认证请求通过如下途径得到所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;所述 宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户 名,所述用户名为所述标识;所述宽带远程接入服务器向所述认证服务器发送所述认证请求。关于510的具体实施方式
,请参见图I所示的认证方法中的110、120以及130,此处不再赘述。520、所述认证服务器对所述认证请求中的所述用户名进行认证,生成认证响应。关于520的具体实施方式
,请参见图I所示的认证方法中的140,此处不再赘述。530、所述认证服务器向所述宽带远程接入服务器发送所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。关于530的具体实施方式
,请参见图I所示的认证方法中的150以及160,此处不
再赘述。上述技术方案中,所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。可选地,图5所示的认证方法中,如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。所述第二网络协议地址对应所述用户名没有通过认证的场景。本领域的技术人员可以理解,所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限意味着,所述宽带远程接入服务器能够登陆所述门户服务器,进而发起背景技术提及的涉及门户服务器的认证过程。可选地,图5所示的认证方法中,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。本领域的技术人员可以理解的是,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式意味着,所述认证服务器收到所述认证请求后,将会在所述简化认证方式对应的用户信息数据库中查找所述认证请求中携带的所述用户名,从而确定所述用户名能否通过认证。所述简化认证方式没有涉及到门户服务器。本领域的技术人员可以理解,所述简化认证方式对应的用户信息数据库区别于背景技术中提及的涉及门户服务器的认证方式所对应的用户信息库。图6为本发明实施例提供一种宽带远程接入服务器。所述宽带远程接入服务器可以用于实现图I所示的认证方法。如图6所示,所述宽带远程接入服务器包括
第一接收单元610,用于接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识。生成单元620,用于根据所述第一接收单元接收的所述动态主机配置协议请求中的所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识。发送单元630,用于向认证服务器发送所述生成单元生成的所述认证请求。第二接收单元640,用于接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的。转发单元650,用于如果所述认证响应指示所述用户名通过认证,则向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址。第一赋予单元660,用于为所述终端赋予访问公网的权限。所述第一接收单元610可以是第一接收器。关于第一接收单元610,具体请参考图I所示的认证方法中的110。关于生成单元620,具体请参考图I所示的认证方法中的120。所述发送单元630可以是第一发送器。关于发送单元630,具体请参考图I所示的认证方法中的120。所述第二接收单元640可以是第二接收器。关于第二接收单元640,具体请参考图I所示的认证方法中的140。所述转发单元650可以是第二发送器。关于转发单元650,具体请参考图I所示的认证方法中的150。关于第一赋予单元660,具体请参考图I所示的认证方法中的160。上述技术方案中,所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。可选的,图6所示的宽带远程接入服务器中,所述转发单元650还可以用于如果所述认证响应指示所述用户名没有通过认证,则向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址。所述宽带远程接入服务器还包括第二赋予单元,所述第二赋予单元用于为所述终端赋予访问门户服务器的权限。可选的,图6所示的宽带远程接入服务器中,所述第二接收单元640接收的所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。图7为本发明实施例提供的一种认证服务器。所述认证服务器可以用于实现图5所示的方法。图5所示的认证服务器可以是AAA服务器。如图7所示,所述认证服务器包括接收单元710、生成单元720和发送单元730。所述接收单元710,用于接收宽带远程接入服务器发送的认证请求,所述认证请求通过如下途径得到所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识;
所述宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识;所述宽带远程接入服务器向所述认证服务器发送所述认证请求;生成单元720,用于对所述接收单元接收的所述认证请求中的所述用户名进行认证,生成认证响应;发送单元730,用于向所述宽带远程接入服务器发送所述生成单元生成的所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。举例来说,所述接收单元710可以是接收器。所述生成单元720可以是CPU。所述发送单元730可以是发送器。根据上述技术方案,所述宽带接入服务器接收到所述动态主机配置协议请求后,所述宽带接入服务器根据动态主机配置协议请求中的所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。上述认证过程没有涉及到门户服务器,降低了认证过程的复杂度。可选的,图7所示的认证服务器中,如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。可选的,所述接收单元710接收的所述认证请求中还可以携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。本领域的技术人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁 盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种认证方法,其特征在于,所述方法包括 宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识; 所述宽带远程接入服务器根据所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识; 所述宽带远程接入服务器向认证服务器发送所述认证请求; 所述宽带远程接入服务器接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的; 如果所述认证响应指示所述用户名通过认证,则所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址; 所述宽带远程接入服务器为所述终端赋予访问公网的权限。
2.根据权利要求I所述的认证方法,其特征在于, 如果所述认证响应指示所述用户名没有通过认证,则所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址; 所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。
3.根据权利要求I所述的认证方法,其特征在于, 所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。
4.一种认证方法,其特征在于,所述方法包括 认证服务器接收宽带远程接入服务器发送的认证请求,所述认证请求通过如下途径得到 所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识; 所述宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识; 所述宽带远程接入服务器向所述认证服务器发送所述认证请求; 所述认证服务器对所述认证请求中的所述用户名进行认证,生成认证响应; 所述认证服务器向所述宽带远程接入服务器发送所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。
5.根据权利要求4所述的方法,其特征在于, 如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。
6.根据权利要求4所述的方法,其特征在于,所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。
7.一种宽带远程接入服务器,其特征在于,包括 第一接收单元,用于接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识; 生成单元,用于根据所述第一接收单元接收的所述动态主机配置协议请求中的所述标识生成认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识; 发送单元,用于向认证服务器发送所述生成单元生成的所述认证请求; 第二接收单元,用于接收认证响应,所述认证响应是所述认证服务器对所述认证请求中的所述用户名进行认证后生成的; 转发单元,用于如果所述认证响应指示所述用户名通过认证,则向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址; 第一赋予单元,用于为所述终端赋予访问公网的权限。
8.根据权利要求7所述的宽带远程接入服务器,其特征在于, 所述转发单元还用于如果所述认证响应指示所述用户名没有通过认证,则向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址; 所述宽带远程接入服务器还包括第二赋予单元,所述第二赋予单元用于为所述终端赋予访问门户服务器的权限。
9.根据权利要求7所述的宽带远程接入服务器,其特征在于, 所述第二接收单元接收的所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。
10.一种认证服务器,其特征在于,包括 接收单元,用于接收宽带远程接入服务器发送的认证请求,所述认证请求通过如下途径得到 所述宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带所述终端的标识; 所述宽带远程接入服务器根据所述标识生成所述认证请求,所述认证请求携带所述终端的用户名,所述用户名为所述标识; 所述宽带远程接入服务器向所述认证服务器发送所述认证请求; 生成单元,用于对所述接收单元接收的所述认证请求中的所述用户名进行认证,生成认证响应; 发送单元,用于向所述宽带远程接入服务器发送所述生成单元生成的所述认证响应,如果所述用户名通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发动态主机配置协议服务器为所述终端分配的第一网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问公网的权限。
11.根据权利要求10所述的认证服务器,其特征在于, 如果所述用户名没有通过认证,则所述认证响应用于使所述宽带远程接入服务器向所述终端转发所述动态主机配置协议服务器为所述终端分配的第二网际协议地址,以及所述宽带远程接入服务器为所述终端赋予访问门户服务器的权限。
12.根据权利要求10所述的认证服务器,其特征在于, 所述接收单元接收的所述认证请求中还携带认证类型指示信息,所述认证类型指示信息承载在所述认证请求的类型属性的扩展子属性中,所述认证请求对应的协议为远程认证拨号用户服务协议,所述扩展子属性用于向所述认证服务器通知所述终端支持简化认证方式,所述简化认证方式是指所述宽带远程接入服务器接收到所述动态主机配置协议请求后,所述宽带远程接入服务器根据所述标识生成所述认证请求并向所述认证服务器发送所述认证请求。
全文摘要
本发明实施例涉及认证方法及相应装置。所述方法包括宽带远程接入服务器接收终端发送的动态主机配置协议请求,所述动态主机配置协议请求中携带终端的标识;所述宽带远程接入服务器根据标识生成认证请求,认证请求携带终端的用户名;宽带远程接入服务器向认证服务器发送认证请求;宽带远程接入服务器接收认证响应,认证响应是认证服务器对认证请求中的用户名进行认证后生成的;如果认证响应指示用户名通过认证,则宽带远程接入服务器向终端转发动态主机配置协议服务器为终端分配的第一网际协议地址;宽带远程接入服务器为终端赋予访问公网的权限。上述方案可以降低认证过程的复杂度。
文档编号H04L29/06GK102857517SQ201210371679
公开日2013年1月2日 申请日期2012年9月29日 优先权日2012年9月29日
发明者胡俊理, 张朋, 金小鸣, 刘锋 申请人:华为技术有限公司