专利名称:接入设备远程验证拨号用户服务代理认证的实现方法
技术领域:
本发明涉及一种在宽带接入设备上,实现多个接入设备级联混和组网的情况下从设备通过主设备代理进行RADIUS用户认证的方法,尤其涉及的是,一种在宽带接入网领域中通过为从设备分配私网IP地址、主设备分配公网IP地址来实现RADIUS认证计费的方法。
背景技术:
宽带接入设备实现的一个重要功能就是AAA服务(Authentication,Authorization,Accounting),这其中包括认证,用于用户合法性检查;授权,用于用户配置信息和资源管理;计费,用于资源使用情况收集,是实现宽带接入业务可管理、可运营的重要手段。而RADIUS协议(RemoteAuthentication Dial-In User Service,远程验证拨号用户服务)是目前使用比较广泛的一种集中的远程AAA协议。
现有技术的接入设备RADIUS认证的实现主要有以下方式每个接入设备独立对其管理的用户进行认证,每个设备都配置连接同一个上联的RADIUS SERVER,并同该服务器进行通讯,这种实现方式需要为每个宽带接入设备(DSLAM,BAS)都分配公网IP地址。
现有技术的组网如图1所示,这种组网需要在每个接入设备的上联接口配置一个公网的IP地址,独立同RADIUS SERVER进行交互。采用这种组网方式,对于公网IP地址资源紧张的小规模的网络运营商来说,会造成公网IP地址的浪费和紧缺,增加运营成本;另外,每一台接入设备都分配公网IP地址,将自己暴露在公网上,也会增加设备被攻击的危险,降低了设备的安全性。
因此,现有技术存在缺陷,而有待于改进和发展。
发明内容
本发明的目的在于提供一种接入设备远程验证拨号用户服务代理认证的实现方法,在多接入设备组网情况下,通过划分设备之间的主、从关系,规划用于上联RADIUS SERVER的公网IP地址和用于实现级联通讯的私网IP地址,来克服现有组网方案中的公网IP地址资源浪费和安全性差的问题。
为实现本发明的上述目的,本发明的技术方案包括一种接入设备远程验证拨号用户服务代理认证的实现方法,设置某一接入设备通过上连接口直接与远程验证拨号用户服务服务器连接作为主设备,其他的接入设备通过其上联接口与所述主设备的级联接口相级联作为从设备,在所述主设备设置有一远程验证拨号用户服务代理模块以及一从设备信息表;为所述主设备的上连接口上分配公网IP地址,所述从设备的上联接口分配私网IP地址;所述方法还包括A、所述从设备向所述主设备发送远程验证拨号用户服务请求包,所述主设备修改该远程验证拨号用户服务请求包的标识值并记录入所述从设备信息表,向所述远程验证拨号用户服务服务器转发该修改后的请求包;B、所述主设备收到所述远程验证拨号用户服务服务器发回的响应包并依据所述从设备信息表处理转发给所述从设备。
所述的方法,其中,所述步骤A还包括A1所述主设备本地发起的远程验证拨号用户服务请求包,为其分配标识值,将该远程验证拨号用户服务请求包发送给所述远程验证拨号用户服务服务器。
所述的方法,其中,所述步骤A还包括A2所述主设备代理模块监听到从设备发来的请求包,在本地申请一个新的标识值,替换原来的旧标识值;
A3在所述从设备信息表中记录下包头中的从设备IP地址,从设备远程验证拨号用户服务客户端端口号,从设备分配的标识值,主设备分配的新的标识值;A4将这个新的远程验证拨号用户服务请求包发送给所述远程验证拨号用户服务服务器。
所述的方法,其中,所述步骤B还包括B1所述主设备收到从所述远程验证拨号用户服务服务器返回的远程验证拨号用户服务响应包后,提取包中的标识值,查询所述从设备信息表;B2如果存在对应记录,则将该远程验证拨号用户服务响应包转发给对应的从设备,并根据所述从设备信息表用从设备分配的旧的标识值替换该标识值,并读取对应该标识值记录的从设备IP地址,从设备远程验证拨号用户服务客户端端口号将修改后的响应包发送给所述从设备。
所述的方法,其中,所述步骤B还包括B3如果所述远程验证拨号用户服务服务器发回的响应包的标识值在所述从设备信息表中没有记录,则直接把该响应包发给本地的所述主设备处理。
所述的方法,其中,所述主设备还设置一从设备信息表的老化机制,在所述远程验证拨号用户服务服务器预定时间内没有回送对应某记录的响应包,则删除该条记录,同时该记录对应的本地分配的标识值回收。
本发明所提供的一种接入设备远程验证拨号用户服务代理认证的实现方法,与现有技术相比,由于采用在多接入设备混和组网情况下,通过级联方式实现用户的远程验证拨号用户服务服务器RADIUS SERVER认证,将设备划分为主设备和从设备,主设备上联RADIUS SERVER,从设备上联主设备,从设备通过主设备代理进行RADIUS用户认证的方法,节约了运营商公网IP地址资源,同时也方便了设备的统一管理,提高了设备的安全性,并且其实现简单。
图1是现有技术的多接入设备认证组网图;图2是本发明所提供的多接入设备混和认证组网图;图3是主设备的RADIUS PROXY处理请求包的流程图;图4是主设备的RADIUS PROXY处理响应包的流程图。
具体实施例方式
下面结合附图,将对本技术方案的实施作进一步的详细描述本发明所提供的接入设备RADIUS代理认证的实现方法,通过选定一台接入设备作为主设备,在主设备上实现RADIUS PROXY代理功能,其他设备作为从设备,从设备向上级联该主设备。为主设备的一个上连接口上分配公网IP地址,而其他从设备的上联接口同主设备的级联接口相连,都分配的是私网IP地址。主设备通过上连接口连接RADIUS SERVER,从设备通过主设备代理实现同RADIUS SERVER的通讯。
通过这种方式,就可以解决在现有技术中,当多接入设备RADIUS认证的时候,存在的公网IP地址资源浪费和短缺的问题。
本发明组网方式如图2所示,其如图3和图4所示的包括如下步骤第一步将同RADIUS SERVER直接连接的设备定义为主设备,将同主设备相连的设备定义为从设备,从设备上的处理流程不变。
第二步所述主设备上请求包处理的流程步骤本步骤又可以包括下列步骤1所述主设备在本地发起的RADIUS请求包,为其分配标识Identifier值,将包发送给RADIUS SERVER。
2所述主设备代理模块监听到从设备发来的请求包,在本地申请一个新的Identifier值,替换原来的旧的Identifier值。
3在从设备信息表中记录下包头中的从设备IP地址、从设备RADIUSCLIENT端口号、从设备分配的Identifier值以及主设备分配的新的Identifier值。
4,将这个新的包发送给RADIUS SERVER。
第三步所述主设备收到服务器发回的响应包处理流程本步骤又可以包括下列步骤1所述主设备收到从RADIUS SERVER返回的RADIUS响应包后,提取包中的Identifier值,查询从设备信息表。
2如果存在对应记录,则表明这个响应包需要转发给对应的从设备,于是,用从设备分配的旧的Identifier值替换该Identifier值,并读取对应该Identifier记录的从设备IP地址,从设备RADIUS CLIENT端口号,将新包发送给从设备。
3如果RADIUS SERVER发回的响应包的Identifier值在从设备信息表中没有记录,则表明是该响应包是发给主设备的,则直接把该包发给本地的RADIUS CLIENT处理。
如图2所示,本发明只需要在工作状态的主设备上实现RADIUS代理功能,而对于处于从状态的现有设备,不需要做任何修改,即可实现,其实现简单方便,并且节约了需要分配的公网IP地址。
本发明所述的实现RADIUS PROXY功能的主接入设备硬件需要由以下几部分组成上联接口模块,用于同RADIUS SERVER连接;集成了RADIUS代理功能的控制板;主从级联接口板,用于同从设备连接;各部分的主要功能和相互作用关系如下所述所述上联接口模块负责同RADIUS SERVER进行通讯,将控制板发出的RADIUS请求包,包括本地发起的或者是代理从设备发起的,发送给RADIUSSERVER,同时,将RADIUS SERVER发回的RADIUS响应包发送给控制模板处理。
所述主从接口模块负责接收处于从状态的设备发来的RADIUS请求包,并把它送给所述控制模块处理;同时将控制模块发来的到从设备的响应包从主从设备级联接口发送出去。
所述集成了RADIUS代理模块功能的控制板,实现监听从设备发来的请求包,对其进行修改并记录下修改信息的请求包通过上联板发送给RADIUSSERVER,所述修改信息存储在从设备信息表中;同时,接收RADIUSSERVER服务器发回的响应包,通过以前记录下的修改信息查询是否需要转发给从设备,如果需要,就通过级联接口发送给对应的从设备;否则,本地进行处理。
本发明方法的核心算法是在主设备中加入一个代理模块,该模块一方面需要实现RADIUS CLIENT功能,即主设备本身作为RADIUS客户端,对本设备所管理的用户相关的RADIUS请求包、响应包进行处理,另一方面打开一个监听端口,监听从从设备发来的RADIUS请求包,对应的在从设备上把主设备配置为RADIUS服务器,把主设备上的监听端口配置为RADIUS服务器端口。
这里需要利用RADIUS报文头中Identifier域,RADIUS CLIENT用它来匹配请求和响应包,有RADIUS CLIENT端分配,本地有效,RADIUSSERVER端不做修改。在RADIUS PROXY中,需要实现对本地发起的RADIUS请求包和从监听端口收到的从设备发来的RADIUS请求包,统一进行Identifier值的分配,即申请同一个Identifier区间值。同时,在主设备上需要维护一张从设备信息表,该从设备信息表是个动态表,实时记录了在设备运行过程中,对应每次从设备发起的RADIUS请求时,从设备的IP地址,从设备RADIUS CLIENT使用的UDP端口号,从设备RADIUS CLIENT分配的本地Identifier值,主设备为其再分配的新的本地Identifier值的对应关系。
本发明方法的具体步骤描述如下
主设备上的RADIUS CLIENT PROXY代理监听端口接收到从设备发来的请求包,在本地申请一个新的Identifier值,用该值替换包中原来的Identifier值,然后在从设备信息表中记录下包头中的从设备IP地址,从设备的RADIUS CLIENT端口号,从设备分配的Identifier值,主设备新分配的Identifier值。然后,将这个包发送给主设备连接的RADIUS SERVER。
当主设备收到RADIUS SERVER返回的RADIUS响应包后,提取包中的Identifier值,查询从设备信息表,如果存在对应记录,则表明该响应包对应的请求包是被主设备修改过的,所以这条记录需要转发给对应的从设备。于是,代理模块用从设备信息表中对应记录的旧的Identifier值替换响应包中的Identifier值,并读取对应该Identifier记录的从设备IP地址,从设备RADIUS CLIENT端口号,将包发送给从设备;如果RADIUS SERVER发回的响应包的Identifier值在从设备信息表中没有记录,则表明是该响应包是发给本地主设备的,则直接把该包发给本地的RADIUS CLIENT处理即可。
另外,所述主设备还需要提供从设备信息表的老化机制,如一计时器,即如果RADIUS SERVER在预定时间内没有回送对应某记录的响应包,则该条记录删除,同时该记录对应的本地分配的Identifier标识值回收,可被以后的RADIUS请求包使用。所述老化机制是指在所述主设备上记录从设备的信息表,该信息表在正常情况下,应该在主设备收到radius服务器的认证应答报文后删除,但是如果在设置的老化时间内,所述主设备无法收到radius服务器的认证应答报文,那么就直接删除该信息表项。
本发明方法中对设备的配置说明如下(1)从设备上的配置(a)将主设备的主从设备级联接口IP地址配置为RADIUS SERVER地址,该地址可以是私网IP地址,主设备上的各个级联接口公用这一个IP地址;(b)在主设备上启动的RADIUS PROXY监听端口配置为RADIUSSERVER服务端口;(c)其他不变。
(2)主设备上的配置(a)在主设备上实现RADIUS CLIENT PROXY代理功能,并打开在主从级联接口上的代理监听端口;(b)配置RADIUS SERVER;(c)其他不变。
本发明所提供的上述接入设备RADIUS代理认证的实现方法,与现有技术相比,由于在多接入设备混和组网情况下,通过级联方式实现用户的RADIUS SERVER认证,将设备划分为主设备和从设备,主设备上联RADIUSSERVER,从设备上联主设备,从设备通过主设备代理进行RADIUS用户认证的方法,节约了运营商公网IP地址资源,同时也方便了设备的统一管理,提高了设备的安全性,并且其实现简单。
应当理解的是,本发明的上述针对具体实施例的描述较为具体,并不能因此而理解为对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1.一种接入设备远程验证拨号用户服务代理认证的实现方法,设置某一台接入设备通过上连接口直接与远程验证拨号用户服务服务器连接作为主设备,其他的接入设备通过其上联接口与所述主设备的级联接口相级联作为从设备,在所述主设备设置有一远程验证拨号用户服务代理模块以及一从设备信息表;为所述主设备的上连接口上分配公网IP地址,所述从设备的上联接口分配私网IP地址;所述方法还包括A、所述从设备向所述主设备发送远程验证拨号用户服务请求包,所述主设备修改该远程验证拨号用户服务请求包的标识值并记录入所述从设备信息表,向所述远程验证拨号用户服务服务器转发该修改后的请求包;B、所述主设备收到所述远程验证拨号用户服务服务器发回的响应包并依据所述从设备信息表处理转发给所述从设备。
2.根据权利要求1所述的方法,其特征在于,所述步骤A还包括A1所述主设备本地发起的远程验证拨号用户服务请求包,为其分配标识值,将该远程验证拨号用户服务请求包发送给所述远程验证拨号用户服务服务器。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤A还包括A2所述主设备代理模块监听到从设备发来的请求包,在本地申请一个新的标识值,替换原来的旧标识值;A3在所述从设备信息表中记录下包头中的从设备IP地址,从设备远程验证拨号用户服务客户端端口号,从设备分配的标识值,主设备分配的新的标识值;A4将这个新的远程验证拨号用户服务请求包发送给所述远程验证拨号用户服务服务器。
4.根据权利要求3所述的方法,其特征在于,所述步骤B还包括B1所述主设备收到从所述远程验证拨号用户服务服务器返回的远程验证拨号用户服务响应包后,提取包中的标识值,查询所述从设备信息表;B2如果存在对应记录,则将该远程验证拨号用户服务响应包转发给对应的从设备,并根据所述从设备信息表用从设备分配的旧的标识值替换该标识值,并读取对应该标识值记录的从设备IP地址,从设备远程验证拨号用户服务客户端端口号将修改后的响应包发送给所述从设备。
5.根据权利要求4所述的方法,其特征在于,所述步骤B还包括B3如果所述远程验证拨号用户服务服务器发回的响应包的标识值在所述从设备信息表中没有记录,则直接把该响应包发给本地的所述主设备处理。
6.根据权利要求5所述的方法,其特征在于,所述主设备还设置一从设备信息表的老化机制,即在所述远程验证拨号用户服务服务器预定时间内没有回送对应某记录的响应包,则删除该条记录,同时该记录对应的本地分配的标识值回收。
全文摘要
本发明的一种接入设备远程验证拨号用户服务代理认证的实现方法,设置接入设备为主设备和从设备,在所述主设备设置有一RADIUS代理模块以及一从设备信息表;所述方法包括所述从设备向所述主设备发送RADIUS请求包,所述主设备修改该RADIUS请求包的标识值并记录入所述从设备信息表,向所述RADIUS服务器转发该修改后的请求包;所述主设备收到所述RADIUS服务器发回的响应包并依据所述从设备信息表处理转发给所述从设备。本发明方法由于采用在多接入设备混和组网情况下,将设备划分为主设备和从设备,从设备通过主设备代理进行RADIUS用户认证的方法,节约了运营商公网IP地址资源,提高了设备的安全性。
文档编号H04L12/14GK1937572SQ20051003742
公开日2007年3月28日 申请日期2005年9月23日 优先权日2005年9月23日
发明者孙刚, 谭斌 申请人:中兴通讯股份有限公司