专利名称:一种宽带接入用户管理方法
技术领域:
本发明涉及INTERNET接入领域中宽带接入服务器(BNAS)上的一种宽带接入用户管理方法,尤其涉及INTERNET领域的接入网部分。
背景技术:
在宽带接入服务器(简称BNAS)上,PPPOE的用户管理方法是被使用最多的一种。PPPOE方式的接入,物理上客户机和BNAS用以太网连接,IP报文首先被封装在PPP帧中,PPP帧再被封装在以太帧中送到BNAS。这种接入要求客户端装有PPPOE拔号软件。
发明内容
本发明的目的是为了找到一种新型的接入用户管理方法,能使接入用户通过ETHERNET上的TCP/IP协议直接互联,不需要专用接入软件,并能实现对接入用户的完全控制。
本发明的方法包括以下步骤A、用户通过发送IP包向宽带接入服务器申请接入;B、对申请接入到服务器的用户进行接入认证;C、对通过认证的接入用户进行在线检测;D、对检测到的下线用户和不满足在线条件的用户进行记帐和下线处理。
根据上述方法用户可通过动态申请IP地址或静态分配IP地址的方式接入。
接入认证包括WEB认证和自动认证;所述WEB认证包括步骤用户通过一门户网站输入用户名和密码;该门户网站将用户名和密码送到接入服务器,由接入服务器上的RADIUS客户端负责认证。
所述自动认证包括步骤接入服务器自动获取接入用户的相关数据;自动为用户生成一个用户名和密码;将该用户名和密码送到RADIUS客户端请求认证。
为每一个经认证的接入用户设定不同的接入状态,在不同的接入状采用不同的定时事件和动作对用户进行控制。
根据用户的接入资料和当前的状态,对用户接入的每一个包进行接入核对,如果用户已经通过认证,并且收到来自客户或去向客户的包中的数据资料和用户的资料一致就允许包通过,并为这个用户设定流量标志,否则丢弃该包。
检测设有一定的定时间隔,检测的内容包括是否断开链接、IP地址的租期是否到期、用户的最大空闲时间是否到、用户的服务时间是否到,以及统计用户的在线数据。
定时到的检测包括下述步骤a、检查接入用户的流量标志,如果有流量标志,就清除这个标志;否则向用户发ICMP包或ARP包,如果收不到响应则判断用户已经断开连接,则转入用户记帐和下线处理步骤;如果收到响应,则进入b步;b、检查用户的服务时间是否到,如果服务时间到,转入用户记怅和下线处理步骤;否则进入c步;c、检查用户的最大闲置时间是否到期,如果到期,转入用户记帐和下线处理步骤;否则进入d步;d、检查用户的IP租期是否到期,如果到期,转入用户记帐和下线处理步骤;否则进入e步;e重设定时检测间隔定时器。
本发明采用了一种新型的宽带接入用户管理方法,能使接入用户通过ETHERNET上的TCP/IP协议直接互联,不需要专用接入软件,并能实现对接入用户的完全控制。
图1为本发明的流程图;图2为动态接入用户状态迁移图;图3为静态接入用户状态迁移图;图4为在线检测机制状态迁移图;具体实施方式
本发明的目的是为了找到一种新型的接入用户管理方法,能使接入用户通过ETHERNET上的TCP/IP协议直接互联,不需要专用接入软件,并能实现对接入用户的完全控制。
本发明的宽带接入用户管理的方法请参阅图1第一步用户通过占用IP地址,以通过发送IP包方式申请接入至宽带接入服务器。用户可以用两种形式接入动态申请(DHCP)和静态分配IP地址的方式接入。
如果是动态申请IP地址的方式接入,就在客户机上将客户机获得地址的方式指定为动态分配,这种客户机必须支持DHCP协议,并且DHCP服务器和接入客户机被接入服务器(BNAS)所隔离,客户机只有通过接入服务器上的DHCP中继代理才能分得IP地址。
如果是静态分配IP地址,就为客户机配一个被指定的IP地址。
第二步对申请接入的用户进行接入认证。接入认证分为两种方式WEB认证和自动认证。
WEB认证是指用户通过一个门户网站,输入自己的用户名和密码,然后门户网站将用户名和密码送到接入服务器(BNAS),由接入服务器上的RADIUS客户端负责认证。自动认证是接入服务器根据自动获取的接入用户的VLAN、接入端口、MAC地址等数据,当用户第一次接入时,自动为用户生成一个用户名和密码,然后送到RADIUS客户端请求认证,这种接入用户必须通过VLAN、MAC和接入端口进行绑定。
如果是动态接入的用户,在用户机通过DHCP协议审请IP地址的过程中,接入服务器通过DHCP中继得到客户机的信息,为接入客户机建立接入资料,这些资料包括用户的IP地址、MAC地址、VLAN、接入服务器的端口、IP租期、接入时间等。如果用户是WEB认证的用户,当用户得到IP地址以后,接入服务器只允许用户在有限的时间内访问门户网站,不允许访问其他IP地址。如果是自动认证,接入服务器自动获得接入用户的数据后,就请求认证。
如果是静态接入的用户,接入服务器在收到接入用户的第一个IP包后,就自动为用户建立接入资料。如果是WEB认证,就允许用户在有限的时间内访问门户网站。如果是自动认证,就为用户自动生成一个用户名和口令,然后请求认证。
根据RADIUS客户端送回的认证结果决定是否允许客户机接入。如果不允许接入,就删除该客户的接入资料,回收系统资源,并归还IP地址。如果认证通过,就允许认证用户接入。
自动认证用户的用户名可以采用接入服务器编号+接入的端口号+VLAN号等形成,也可以用用户MAC地址来形成,根据具体需要进行确定。
第三步对已接入用户进行在线检测。在线检测的目的是检测接入用户是否断开链接、IP地址的租期是否到期、用户的最大空闲时间是否到、用户的服务时间是否到等,并统计用户的在线数据,这些数据主要有流量(字节或包数)、在线时间等。检测的方式采用流量和发检测包两者相结合的方式。
用户接入以后,要对用户接入的每一个包进行接入核对,核对主要是根据用户的接入资料和当前的状态。如果用户已经通过认证,并且收到来自客户或去向客户的包中的数据资料,包括IP地址、MAC地址、VLAN、接入端口等,与用户的资料一致就允许包通过,并为这个用户设定流量标志,否则丢弃。
在线检测有一定的定时间隔,当定时到时,首先查接入用户的流量标志,如果有流量标志,就清除这个标志。如果没有流量标志,就向用户发ICMP包或ARP包,如果用户不响应ICMP协议,就发ARP包,按一定的间隔连发三到五次。如果始终收不到响应就证明用户已经断开连接,这时就为用户记帐下线,对用户进行下线处理。
如果收到响应,就查用户的服务时间是否到,如果服务时间到,就为用户记怅下线,对用户进行下线处理。
如果服务时间没有到,就查用户的最大闲置时间是否到,如果到期,就为用户记帐下线,对用户进行下线处理。
如果用户的闲置时间没有到,就查用户的IP租期是否到,如果到,就为用户记帐下线,对用户进行下线处理。
如果IP租期没有到,就重设定时检测间隔定时器。
另外,对于动态接入的用户,当接收到DHCPRELEASE包和DHCPDECLINE包时,表明客户机要主动离线,转到第四步。
对检测间隔的设定不以太大,最好5秒,因为它涉及用户在线时间的统计误差,和用户行为的及时发现。
第四步对离线用户和不满足条件的用户作记帐和下线处理。本接入方法可以实现按时长、流量、包租、预付费等几种记帐方式。当用户下线时,接入系统将用户的在线时长、流量等送到RADIUS客户端请求记帐。并做下线处理。下线处理主要做一些和用户有关后处理工作,比如对WEB认证的用户可以再给限时访问门户网站的权力等。根据具体的配置来定。
在实现本发明所用的方法时,为每一个接入用户设定不同的接入状态,在不同的接入状采用不同的定时事件和动作对用户进行控制。图2至图4是采用本发明实现的一种实现的状态迁移图。
图2中涉及了一些定时事件、动作和状态,说明如下。
用户状态没接入系统中没有用户的资料,对于系统来说,用户这时处于没接入状态。
接入初始化当系统收到用户主机的DHCP请求后进入这个状态,这时为用户设等待IP地址定时器,如果是自动认证用户,请求RADIUS客户端对用户进行认证。
无IP在接入初始化状态,如果在认证通过并已选择了费率之前,还没有得到IP地址,用户就进入这个状态。
无IP无费率在接入初始化状态,用户通过认证但没有得到IP地址、没有选择费率之前,就进入这个状态。接入可以有一个门户网站,用户可以在上面选择短期的记费方式,如果有这种用户就有这样一个状态。没有这种应用,不会进入这个状态,因为这根据认证的结果来定。认证带回的结果不要求选择费率,就直接进入无IP状态,若要求选择费率就设限时访问PORTAL WEB(门户网站)定时器。
没认证在接入初始化状态,得到IP地址,没有得到认证结果,如果是WEB认证就设访问PORTAL web定时器,自动认证就设等待认证通过定时器,并进入这个状态。这时还要起动定时检测机制。
无费率认证通过,但要在门户网站选择费率,并得到IP地址,就进入这个状态。并设限时访问PORTAL WEB(门户网站)定时器。
记帐开始为用户发起记帐开始包,但还没有收到响应时,就进入这个状态。并设等待记帐开始定时器。
接入当收到记帐开始响应,或者不认证用户得到IP地址后,就进入这个状态。这时用户就可以访问系统提供服务,开始接入。
定时事件等待IP地址定时器触发用户在接入初始化、无IP、无IP无费率状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
等待认证通过定时器触发用户在没认证状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
访问PORTAL web定时器触发用户在无费率、无IP无费率、没认证状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
等待记帐开始定时器触发用户在记帐开始状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
动作收到DHCPdecline用户在接入初始化、无IP、无费率无IP状态,收到DHCPdecline时,就将用户资料删除,用户重新进入没接入状态。
收到DHCPrelease用户在没认证、无费率、记帐开始、接入状态时,当收到DHCPrelease,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
检测到用户主机断开连接当用户得到IP地址以后,就开始了在线检测机制,因此,在没认证、无费率、记帐开始、接入状态时,当检测到用户主机断开连接,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
认证用户从PORTAL web主动下线当用户在接入状态时,如果门户网站提供下线功能,用户就可以通过这个功能下线,系统为用户记帐,用户重新进入没认证状态。并重设限时访问PORTAL web定时器。
IP租期到用户在没认证、无费率、记帐开始、接入状态时,当收到DHCPrelease,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
最长不活跃时间到用户在没认证、无费率、记帐开始、接入状态时,当检测到用户最大空闲时间到,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
系统异常用户在没认证、无费率、记帐开始、接入状态时,系统出现异常,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
用户选择的接入时间到当用户在接入状态,当用户选择的接入时间到以后,系统为用户记帐,用户重新进入无费率状态。
图3是在线检测机制的状态迁移图,涉及了一些定时事件、动作和状态,现说明如下。
用户状态没接入系统中没有用户的资料,对于系统来说,用户这时处于没接入状态。
接入初始化在没接入状态,系统收到用户发起的第一个IP包后就进入这个状态。在这个状态,如果是WEB认证就设访问PORTAL web定时器,自动认证就设等待认证通过定时器。这时还要起动定时检测机制。
无费率认证通过,并要在门户网站选择费率,就进入这个状态。并设限时访问PORTAL WEB(门户网站)定时器。
记帐开始为用户发起记怅开始包,但还没有收到响应时,就进入这个状态。并设等待记帐开始定时器。
接入当收到记帐开始响应或者不认证用户起动检测机制后,就进入这个状态。这时用户就可以访问系统提供服务,开始接入。
定时事件等待认证通过定时器触发用户在没认证状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
访问PORTAL web定时器触发用户在无费率、没认证状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
等待记怅开始定时器触发用户在记帐开始状态,这个定时器触发,就将用户资料删除,用户重新进入没接入状态。
动作检测到用户主机断开连接当用户在接入初始化时,就开始了在线检测机制,因此,在没认证、无费率、记帐开始、接入状态时,当检测到用户主机断开连接,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
认证用户从PORTAL web主动下线当用户在接入状态时,如果门户网站提供下线功能,用户就可以通过这个功能下线,系统为用户记帐,用户重新进入没认证状态。并重设限时访问PORTALweb定时器。
最长不活跃时间到用户在没认证、无费率、记帐开始、接入状态时,当检测到用户最大空闲时间到,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
系统异常用户在没认证、无费率、记帐开始、接入状态时,系统出现异常,就将用户资料删除,需要记帐的用户记帐,用户重新进入没接入状态。
用户选择的接入时间到当用户在接入状态,当用户选择的接入时间到以后,系统为用户记帐,用户重新进入无费率状态。
对于接入用户,只要已经具有IP地址,就起动在线检测机制,对它进行在线检测,检测的目的是确定用户主机是否离线、最大空闲时间是否到、IP租期是否到、最大服务时间是否到。最大服务时间是否到只对已经记帐开始的用户有效。图4中涉及了一些定时事件、动作和状态,现说明如下。
状态在线检测开始当用户主机得到IP地址后,就起动在线检测机制,就进入这个状态。在这个状态,要设立一个确定用户主机类型定时器。
确定用户类型当确定用户主机类型定时触发,在线检测就从在线检测开始状态迁移到这个状态。在这个状态,检测机制做一个简单的测定,测试用户主机是否响应ICMP ECHO,方法是在一定是时间间隔内向用户主机发3-5个ICMP请求,如果能收到用户主机的ICMP ECHO,则用户主机就响应ICMP请求,以后就用ICMP来对用户主机进行检测。否则就用ARP请来来对用户主机进行检测。在这个状态要设立一个等待PING响应的定时器。
检测ICMP方式检测机制在确定用户类型状态,如果收到PING响应,就设立一个在线检测定时器,进入这个状态,对用户起动ICMP方式的检测。
用户在线检测(ICMP)检测机制在检测ICMP方式状态时,在线检测定时器触发,就进入这个状态,在这个状态,对用户按流量和ICMP请求相结合的方式进行检测。检测的步骤如下1)有流量吗?有转2),没有转5);2)服务时间到吗?不到转3),到转7);3)IP租期到吗?不到转4),到转6);4)重设在线检测定时器,并进入检测ICMP方式状态;5)最大空闲时间到吗?不到转9),到转10);
6)设IP租期定时器(定时器的时长为剩余的IP租期),转4);7)IP租期到吗?不到转8),到转6);8)设限时服务定时器(定时器的时长为剩余的服务时间),转4);9)向用户主机发3-5个ICMP请求,并设等待PING响应定时器。转11);10)进入在线检测结束状态;11)收到PING响应吗?收到转12),等待PING响应定时器触发转10);12)KILL等待PING响应定时器,转4)。
检测ARP方式检测机制在确定用户类型状态,如果等待PING响应定时器触发,就设立一个在线检测定时器,进入这个状态,对用户起动ARP方式的检测。
用户在线检测(ARP)检测机制在检测ARP方式状态时,在线检测定时器触发,就进入这个状态,在这个状态,对用户按流量和ARP请求相结合的方式进行检测。检测的步骤如下1)有流量吗?有转2),没有转5);2)服务时间到吗?时间不到转3),时间到转7);3)IP租期到吗?租期不到转4),租期转到6);4)重设在线检测定时器,并进入检测ARP方式状态;5)最大空闲时间到吗?时间不转到9),时间到转10)。
6)设IP租期定时器(定时器的时长为剩余的IP租期),转4);7)IP租期到吗?租期限不到转8),租期到转6);8)设限时服务定时器(定时器的时长为剩余的服务时间),转4)。
9)向用户主机发3-5个ARP请求,并设等待ARP响应定时器,转11);10)进入在线检测结束状态。
11)收到ARP响应吗?收到转12),等待ARP响应定时器触发转10);12)KILL等待ARP响应定时器,转4)。
在线检测结束在线检测机制在检测ICMP方式和检测ARP方式时,IP租期和限时服务定时器触发,就进入这个状态。在用户在线检测ICMP和用户在线检测ARP状态时,出现系统异常、最大空闲时间到和等待PING响应或等待ARP响应定时器触发,也进入这个状态。在这个状态,通告接入系统被检测用户的检测结果。接入系统根据系统的配置(视具体情况),做相应的处理。应该记帐下线的就记帐下线,应该进行状态迁移的,就进行状态迁移,并做好状态标志位的设置。
定时事件客户类型检测定时器触发检测机制在在线检测开始状态,这个定时器触发,就将检测机制的状态迁移到确定用户类型状态。设立这个定时器的目的是为了防止动态审请地址的用户主机,在刚得到地址时,不响应ICMP请求。设一个定时器,可以在用户主机得到地址后,过一段时间再向它发ICMP请求。
等待PING响应定时器触发检测机制在确定用户类型状态,这个定时器触发,就将检测机制的状态迁移到检测ARP方式状态。在用户在线检测(ICMP)状态,就将检测机制的状态迁移到在线检测结束状态。这个定时器的目的是为了能在一定的时间内收到响应,如果在一定的时间内没有收到响应,这个定时器才会触发,当收到响应时,这个定时器就被杀掉。
等待ARP响应定时器触发检测机制在用户在线检测(ARP)状态,就将检测机制的状态迁移到在线检测结束状态。这个定时器的目的是为了能在一定的时间内收到响应,如果在一定的时间内没有收到响应,这个定时器才会触发,当收到响应时,这个定时器就被杀掉。
在线检测定时器触发检测机制在检测ICMP方式状态,就将检测机制的状态迁移到用户在线检测(ICMP)状态。在检测ARP方式状态,就将检测机制的状态迁移到用户在线检测(ARP)状态。
动作收到ping响应检测机制在确定用户类型状态,收到PING响应,就将状态迁移到检测ICMP方式状态。在用户在线检测(ICMP)状态时,收到PING响应,就重新将状态迁移到检测ICMP方式状态。
收到ARP响应检测机制在确定用户类型状态,收到ARP响应,就将状态迁移到检测ARP方式状态。在用户在线检测(ARP)状态时,收到ARP响应,就重新将状态迁移到检测ARP方式状态。
有流量检测机制在用户在线检测(ICMP)状态,就将检测机制的状态迁移到检测ICMP方式状态。在用户在线检测(ARP)状态,就将检测机制的状态迁移到检测ARP方式状态。
空闲时间到在用户在线检测(ICMP)或用户在线检测(ARP)状态时,最大空闲时间到,就将检测机制的状态迁移到在线检测结束状态。
系统异常在用户在线检测(ICMP)或用户在线检测(ARP)状态时,系统出现异常,就将检测机制的状态迁移到在线检测结束状态。
通过上述实施例可看出,本发明能使用户通过ETHERNET上的TCP/IP协议与宽带接入服务器直接互联,不需要专用接入软件。
权利要求
1.一种宽带接入用户管理方法,其特征在于包括以下步骤A、用户通过发送IP包向宽带接入服务器申请接入;B、对申请接入到服务器的用户进行接入认证;C、对通过认证的接入用户进行在线检测;D、对检测到的下线用户和不满足在线条件的用户进行记帐和下线处理。
2.根据权利要求1所述的方法,其特征在于用户可通过动态申请IP地址或静态分配IP地址的方式申请接入。
3.根据权利要求1所述的方法,其特征在于接入认证包括WEB认证和自动认证。
4.根据权利要求3所述的方法,其特征在于WEB认证包括步骤用户通过一门户网站输入用户名和密码;该门户网站将用户名和密码送到接入服务器,由接入服务器上的RADIUS客户端负责认证。
5.根据权利要求3所述的方法,其特征在于自动认证包括步骤接入服务器自动获取接入用户的相关数据;自动为用户生成一个用户名和密码;将该用户名和密码送到RADIUS客户端请求认证。
6.根据权利要求1所述的方法,其特征在于步骤B和步骤C包括为每一个经认证的接入用户设定不同的接入状态,在不同的接入状采用不同的定时事件和动作对用户进行控制。
7.根据权利要求1或6所述的方法,其特征在于步骤B还包括根据用户的接入资料和当前的状态,对用户接入的每一个包进行接入核对,如果用户已经通过认证,并且收到来自客户或去向客户的包中的数据资料和用户的资料一致就允许包通过,并为这个用户设定流量标志,否则丢弃该包。
8.根据权利要求1或6所述的方法,其特征在于检测采用流量和发检测包相结合的方式。
9.根据权利要求1或6所述的方法,其特征在于检测设有一定的定时间隔,检测的内容包括是否断开链接、IP地址的租期是否到期、用户的最大空闲时间是否到、用户的服务时间是否到,以及统计用户的在线数据。
10.根据权利要求9所述的方法,其特征在于定时到的检测包括下述步骤a、检查接入用户的流量标志,如果有流量标志,就清除这个标志;否则向用户发ICMP包或ARP包,如果收不到响应则判断用户已经断开连接,则转入用户记怅和下线处理步骤;如果收到响应,则进入b步;b、检查用户的服务时间是否到,如果服务时间到,转入用户记帐和下线处理步骤;否则进入c步;c、检查用户的最大闲置时间是否到期,如果到期,转入用户记帐和下线处理步骤;否则进入d步;d、检查用户的IP租期是否到期,如果到期,转入用户记帐和下线处理步骤;否则进入e步;e重设定时检测间隔定时器。
11.根据权利要求7所述的方法,其特征在于对于动态接入的用户,当接收到DHCPRELEASE包和DHCPDECLINE包时,判断为客户机要主动离线,转入用户记帐和下线处理步骤。
12.根据权利要求1或11所述的方法,其特征在于用户下线时系统将该用户的在线时长、流量及相关信息送到RADIUS客户端请求记帐。
全文摘要
本发明公开了一种宽带接入用户管理方法,该方法包括以下步骤用户通过发送IP包向宽带接入服务器申请接入;对申请接入到服务器的用户进行接入认证;对通过认证的接入用户进行在线检测;对检测到的下线用户和不满足在线条件的用户进行记帐和下线处理。本发明采用了一种新型的接入用户管理方法,能使接入用户通过ETHERNET上的TCP/IP协议直接互联,不需要专用接入软件,并能实现对接入用户的完全控制。
文档编号H04L12/24GK1491013SQ0213749
公开日2004年4月21日 申请日期2002年10月14日 优先权日2002年10月14日
发明者何茂平, 田平 申请人:深圳市中兴通讯股份有限公司