专利名称:用户接入认证的方法和系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种用户接入认证的方法和系统。
背景技术:
运营商在开展宽带接入业务时,一般要向用户提供用户名、密码。用户登录时需要输入用户名、密码,然后由网络侧的接入服务器(例如BRAS(Broadband Remote AccessServer,宽带远禾呈接入月艮务器))与AAA (Authentication, Authorization and Accounting,
认证、授权和计费)服务器配合来完成用户的认证、授权、计费等工作。常见的认证方式有
PPPoE认证、和DHCP option认证,通常的AAA服务器为RADIUS (RemoteAuthenticationDialln User Service,远程用户拨号认证系统)服务器。其中,PPP0E(PPP Over Ethernet,以太网点对点协议)认证技术是利用交换机将用户接入网内,设置BRAS对PPP(Pointto Point Protocol,点对点协议)连接进行管理,BRAS可以对用户上网业务分别进行时长和流量信息的统计,为各种计费方式提供必要的用户上网信息。DHCP(Dynamic HostConf igurationProtocol,动态主机分配协议)认证需要DHCP服务器和Web认证服务器配合使用,主机首先通过DHCP服务器得到一个IP地址,与接入服务器通信;然后,接入服务器将用户强制连接到Web认证服务器上,并在浏览器中弹出认证页面,由用户在该页面中输入用户名和密码,Web认证服务器对用户进行认证。认证通过后,用户获得新的合法的IP地址,可以访问互联网或特定的网络。 RADIUS由RFC2865、 RFC2866定义,是目前应用最广泛的AAA协议。如图1所示,RADIUS是一种C/S结构的协议,其客户端最初就是NAS(NetAccess Server,网络接入服务器),目前任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL(AsymmetricDigital SubscriberLine,非对称数字用户环路)上网、小区宽带上网、IP电话、VPDN(VirtualPrivate Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。 VLAN(Virtual Local Area Network,虚拟局域网)是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这种技术可以把一个LAN (Local Access Network,局域网)划分成多个逻辑的LAN,即VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。QinQ也称Stacked VLAN(叠加的VLAN)或Double VLAN(双层VLAN),其实现为在802. lq协议标签前再次封装802. lq协议标签,其中一层标签标识用户系统网络(Customer Network), 一层标签标识网络运营网络(Service ProviderNetwork),从而扩展实现用户线路标识。 现有技术中用户名+密码的认证方式需要用户在客户端(比如PPPoE、 DHCPoption或者Portal终端)或者在弹出的WEB (网页)页面上输入帐户信息,人机交互相对繁琐,且当用户忘记用户名或者密码时将无法正常接入网络。
发明内容
本发明提供了一种用户接入认证的方法和系统,在无需用户输入用户名、密码的情况下,由认证服务器完成用户权限的认证工作。 本发明提供了一种用户接入认证的方法,应用于包括用户终端、至少一个交换机、网关设备以及认证服务器的系统中,所述用户终端通过所述至少一个交换机与所述网关设备连接,该方法进一步包括 所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag,将所述接入请求报文向所述网关设备发送; 所述网关设备接收所述接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送; 所述认证服务器根据所述请求认证报文中的VLAN tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,所述认证服务器判断所述用户终端认证成功,否则,所述认证服务器判断所述用户终端认证失败; 所述网关设备根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入。 所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag之前,还包括配置系统中所述至少一个交换机中各个交换机的各个端口的VLAN归属; 所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag包括获取报文的入端口 ,根据该入端口配置的所述用户终端的归属VLAN,为所述接入请求报文添加VLAN tag。
所述认证服务器根据所述请求认证报文中的VLAN tag查找预先存储的合法用户包括 所述认证服务器中配置有合法用户列表,所述合法用户列表中存储与合法用户对应的VLAN tag ; 所述认证服务器根据所述请求认证报文中的VLAN tag,查找所述合法用户列表中与所述请求认证报文中的VLAN tag对应的合法用户。 所述至少一个交换机为接入交换机和汇聚交换机,所述请求认证报文具体为双层虚拟局域网标签QinQ报文。 所述请求认证报文具体为RADIUS扩展报文,该扩展报文的特殊字段中携带所述VLAN tag。 本发明提供一种用户接入认证的系统,包括用户终端、至少一个交换机、网关设备以及认证服务器,所述用户终端通过所述至少一个交换机与所述网关设备连接,其中
所述用户终端,用于向所述网关设备发送接入请求报文; 所述至少一个交换机,与所述用户终端连接,用于接收所述用户终端发送的接入请求报文,将所述接入请求报文向所述网关设备发送;其中至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLANtag ;
所述网关设备,与所述至少一个接入交换机连接,用于接收所述至少一个接入交换机发送的接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送;并根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入; 所述认证服务器,与所述网关设备连接,用于根据所述请求认证报文中的VLAN
tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,判断所述用户终端
认证成功,否则,判断所述用户终端认证失败。 所述至少一个交换机还用于 配置各个端口上用户终端的VLAN归属; 获取报文的入端口,根据该入端口配置的所述用户终端的归属VLAN,为所述接入
请求报文添加VLAN tag。 所述认证服务器还用于 配置合法用户列表,所述合法用户列表中存储与合法用户对应的VLANtag ;
根据所述请求认证报文中的VLAN tag,查找所述合法用户列表中与所述请求认证报文中的VLAN tag对应的合法用户。 所述至少一个交换机为接入交换机或者汇聚交换机,所述请求认证报文具体为双层虚拟局域网标签QinQ报文。 所述请求认证报文具体为RADIUS扩展报文,该扩展报文的特殊字段中携带所述VLAN tag。 与现有技术相比,本发明至少具有以下优点 本发明中,用户终端向网关设备发送的认证请求报文在由交换机进行转发的过程中加入VLAN tag,认证服务器根据用户终端的VLAN tag对用户终端进行认证,从而避免了用户名和密码的输入过程,方便用户使用。
图1是现有技术中RADIUS认证方式示意图; 图2是本发明提供的用户接入认证的方法的流程示意图; 图3是本发明应用场景提供的组网结构示意图; 图4是本发明应用场景中双层以太网VLAN帧格式示意图; 图5是本发明应用场景中QinQ方案示意图; 图6是本发明应用场景提供的方法的流程示意图; 图7是本发明应用场景提供的系统的结构示意图。
具体实施例方式
本发明的核心思想是为合法用户分配对应的VLAN tag,在用户接入认证时通过用户的VLAN tag判断用户是否合法。 本发明提供了一种用户接入认证的方法,应用于包括用户终端、至少一个交换机、网关设备以及认证服务器的系统中,所述用户终端通过所述至少一个交换机与所述网关设备连接,如图2所示,该方法进一步包括
步骤201,所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag,将所述接入请求报文向所述网关设备发送; 步骤202,所述网关设备接收所述接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送; 步骤203,所述认证服务器根据所述请求认证报文中的VLAN tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,所述认证服务器判断所述用户终端认证成功,否则,所述认证服务器判断所述用户终端认证失败; 步骤204,所述网关设备根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入。 下面结合具体应用场景详细介绍本发明提供的用户接入认证的方法。本发明的组网场景如图3所示,包括用户终端、业务路由器(网关设备)、RadiusServer(以RadiusServer作为认证服务器为例)以及连接用户终端和业务路由器的交换机。其中,用户终端与业务路由器之间的接入网可以采用多级组网,为了表述方便,图3中采用两级组网(接入交换机+汇聚交换机)的方式举例说明。业务路由器是用户终端的IP网关,为保证IP终端正常接入网络,在业务路由器上启动DHCP relay(中继)或者业务路由器内置DHCPserver,为用户终端分配IP地址,业务路由器充当接入服务器,负责完成对用户的认证和授权控制。Radius Server与业务路由器之间采用Radius协议,交互AAA信息。
用户在运营商注册时,运营商为用户分配一个特定的VLAN tag,并在RadiusServer中存储该VLAN tag。用户接入网络系统中,各个接入交换机上也都分别配置特定的VLAN tag。 以图3所示场景为例,用户终端向业务服务器发送DHCP报文,该DHCP报文初始无VLAN tag,接入交换机接收DHCP报文后,接入交换机根据该报文入端口上配置的VLAN为DHCP报文分配一层C-VLAN (Customer VLAN,客户端VLAN)并向汇聚交换机转发,汇聚交换机接收到DHCP报文后,为该DHCP报文再分配一层S-VLAN(Service Provider VLAN,服务提供侧VALN),原来的C-VLAN作为内层VLAN, S-VLAN作为外层VLAN。 该双层以太网VLAN帧格式在IEEE802. lad协议中有对应的定义,如图4所示,报文中定义了用以存储双层VLAN的字段。QinQ技术方案的原理是企业内部网络和运营商网络各有自己的VLAN(C-VLAN),如图5所示,从企业网CE (Customer Edge,用户边缘)出来的数据业务帧到了运营商PE(Provider Edge,提供商边缘)中的设备以后,PE设备在CE数据帧的VLAN标签外部再加上一层PE的VLAN标签(S-VLAN),随后在运营商网络内部使用PE设备加上的外层标签和MAC地址进行转发,到达运营商网络的另外一侧出口时,再剥离掉数据业务帧外层的VLAN标签,然后在企业网络内部的转发过程中使用原来的内部VLAN标签进行转发。 图6所示为本应用场景提供的方法的流程示意图,包括以下步骤 步骤601,用户终端向业务路由器发送DHCP请求报文,请求获取IP地址。 用户终端初始没有IP地址,当用户终端连接入网后,首先向业务服务器请求获取
IP地址。本应用场景中业务服务器IP地址分配为DHCP方式,用户终端向业务路由器发送
DHCP请求报文。
步骤602,业务路由器接收用户终端的DHCP请求报文,获取其中携带的VLAN tag并向Radius Server发送。 具体的,用户终端发送的DHCP报文经过接入交换机与汇聚交换机转发时,接入交换机与汇聚交换机根据预先的端口 VLAN配置和DHCP报文的入端口分别为DHCP报文加上VLAN,到达业务路由器时DHCP报文中携带两层VLAN tag信息。 业务路由器解析DHCP报文获取其中携带的两层VLAN tag信息,将该两层VLANtag信息添加到认证报文(本场景为Radius报文)中向Radius Server发送。其中,Radius报文中设置扩展字段用于携带VLAN tag信息。 步骤603, Radius Server根据Radius报文中携带的VLAN tag信息对用户进行认证。 具体的,Radius Server中预先存储了合法用户对应的VLAN tag。每一 VLAN tag所在的一组VLAN tag唯一标识一个合法用户,从而可以通过查询Radius报文中携带的VLAN tag信息是否为预先存储的VLAN tag,判断该用户是否为合法用户,S卩如果预先存储有该VLAN tag,则判断用户合法,认证通过,否则认证失败。 例如,当用户注册时,运营商根据用户具体家庭住址为用户预先配置唯一的一组VLAN tag,该家庭住址可以为XX小区XX单元XX号,该一组VLANtag则可以包括用户所在楼层交换机上的端口 VALN tag、该小区与外界网络连接的交换机的VLAN tag。为用户配置对应的一组VLAN tag后,运营商侧可以将该组VLAN tag存储到Radius Server对应的数据库中。 Radius Server在存储标识合法用户的VLAN tag时,可以仅存储每一组与合法用户对应的VLAN tag,(若与合法用户对应的为一个VLAN tag,则存储一个VLAN tag),每一组VLAN tag之间彼此独立存储,使Radius Server在进行认证时可以清楚分辨。
Radius Server还可以存储VLAN tag与合法用户名的对应关系,如表1所示
VLAN tag用户名其他
VLAN tagl. 1+VLAN tag2A
VLAN tagl. 2+VLAN tag2B Radius Server可以在表1中查询Radius报文中携带的VLAN tag信息是否对应合法用户,如果对应则认证成功,否则认证失败。本应用场景中,RadiusServer中还可以存储与用户相关的其他信息,例如用户接入的允许带宽信息,用户接入的访问权限信息等属性信息。 步骤604,业务服务器接收Radius Server发送的认证结果,控制用户接入网络。
Radius Server将认证结果向业务服务器发送,如果认证成功,业务服务器为用户终端分配IP地址,用户终端可以正常接入网络;如果认证失败,业务服务器拒绝为用户终端分配IP地址,禁止用户接入网络。 本应用场景中,Radius Server在向业务服务器下发认证结果的同时,也可以将用
8户的属性信息通过Radius接口下发给业务路由器,比如该用户接入的允许带宽信息,该用户接入的访问权限信息。业务路由器可以基于这些下发的属性信息,来对用户接入的速率、访问的权限等在转发平面上进行限制。 通过采用本发明提供的方法,用户终端向网关设备发送的认证请求报文在由交换机进行转发的过程中加入VLAN tag,认证服务器根据用户终端的VLAN tag对用户终端进行认证,从而避免了用户名和密码的输入过程,方便用户使用。 本发明提供了一种用户接入认证的系统,如图7所示,包括用户终端11、至少一个交换机12、网关设备13以及认证服务器14的系统中,所述用户终端11通过所述至少一个交换机12与所述网关设备13连接,其中 所述用户终端ll,用于向所述网关设备13发送接入请求报文。
所述至少一个交换机12,与所述用户终端11连接,用于接收所述用户终端发送的接入请求报文,将所述接入请求报文向所述网关设备发送,其中至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag。该至少一个交换机12还用于配置各个端口上用户终端的VLAN归属,在获取用户终端发送的报文后,根据报文的入端口配置的所述用户终端的归属VLAN,为所述接入请求报文添加VLAN tag。
所述网关设备13,与所述至少一个交换机12连接,用于接收所述至少一个交换机发送的接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送;并根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入;
所述认证服务器14,与所述网关设备13连接,用于根据所述请求认证报文中的VLAN tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,判断所述用户终端认证成功,否则,判断所述用户终端认证失败。该认证服务器14还配置合法用户列表,所述合法用户列表中存储与合法用户对应的VLAN tag ;根据所述请求认证报文中的VLANtag,查找所述合法用户列表中与所述请求认证报文中的VLAN tag对应的合法用户。
所述接入请求报文具体为动态主机分配协议DHCP请求报文,所述用户终端接入网络时发送该DHCP请求报文获取IP地址。 所述认证服务器具体为RADIUS服务器,所述认证报文具体为双层虚拟局域网标签QinQ报文。 所述至少一个交换机为接入交换机或者汇聚交换机,所述请求认证报文具体为RADIUS扩展报文,该扩展报文的特殊字段中携带所述VLAN tag。 通过采用本发明提供的系统,用户终端向网关设备发送的认证请求报文在由交换机进行转发的过程中加入VLAN tag,认证服务器根据用户终端的VLAN tag对用户终端进行认证,从而避免了用户名和密码的输入过程,方便用户使用。 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。 本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
一种用户接入认证的方法,应用于包括用户终端、至少一个交换机、网关设备以及认证服务器的系统中,所述用户终端通过所述至少一个交换机与所述网关设备连接,其特征在于,该方法进一步包括所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag,将所述接入请求报文向所述网关设备发送;所述网关设备接收所述接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送;所述认证服务器根据所述请求认证报文中的VLAN tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,所述认证服务器判断所述用户终端认证成功,否则,所述认证服务器判断所述用户终端认证失败;所述网关设备根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入。
2. 如权利要求l所述的方法,其特征在于,所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag之前,还包括配置系统中所述至少一个交换机中各个交换机的各个端口的VLAN归属;所述至少一个交换机接收所述用户终端发送的接入请求报文,至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLAN tag包括获取报文的入端口 ,根据该入端口配置的所述用户终端的归属VLAN,为所述接入请求报文添加VLAN tag。
3. 如权利要求1所述的方法,其特征在于,所述认证服务器根据所述请求认证报文中的VLAN tag查找预先存储的合法用户包括所述认证服务器中配置有合法用户列表,所述合法用户列表中存储与合法用户对应的VLAN tag ;所述认证服务器根据所述请求认证报文中的VLAN tag,查找所述合法用户列表中与所述请求认证报文中的VLAN tag对应的合法用户。
4. 如权利要求1所述的方法,其特征在于,所述至少一个交换机为接入交换机和汇聚交换机,所述请求认证报文具体为双层虚拟局域网标签QinQ报文。
5. 如权利要求l所述的方法,其特征在于,所述请求认证报文具体为RADIUS扩展报文,该扩展报文的特殊字段中携带所述VLAN tag。
6. —种用户接入认证的系统,包括用户终端、至少一个交换机、网关设备以及认证服务器,所述用户终端通过所述至少一个交换机与所述网关设备连接,其特征在于,其中所述用户终端,用于向所述网关设备发送接入请求报文;所述至少一个交换机,与所述用户终端连接,用于接收所述用户终端发送的接入请求报文,将所述接入请求报文向所述网关设备发送;其中至少一个所述至少一个交换机在所述接入请求报文中添加虚拟局域网标识VLANtag ;所述网关设备,与所述至少一个交换机连接,用于接收所述至少一个交换机发送的接入请求报文,将解析该报文获得的VALN tag添加在请求认证报文中向所述认证服务器发送;并根据所述认证服务器对所述用户终端的认证结果控制所述用户终端的接入;所述认证服务器,与所述网关设备连接,用于根据所述请求认证报文中的VLAN tag查找预先存储的合法用户;如果查找到预先存储有所述合法用户,判断所述用户终端认证成功,否则,判断所述用户终端认证失败。
7. 如权利要求6所述的系统,其特征在于,所述至少一个交换机还用于配置各个端口上用户终端的VLAN归属;获取报文的入端口 ,根据该入端口配置的所述用户终端的归属VLAN,为所述接入请求报文添加VLAN tag。
8. 如权利要求6所述的系统,其特征在于,所述认证服务器还用于配置合法用户列表,所述合法用户列表中存储与合法用户对应的VLANtag ;根据所述请求认证报文中的VLAN tag,查找所述合法用户列表中与所述请求认证报文中的VLAN tag对应的合法用户。
9. 如权利要求6所述的系统,其特征在于,所述至少一个交换机为接入交换机或者汇聚交换机,所述请求认证报文具体为双层虚拟局域网标签QinQ报文。
10. 如权利要求6所述的系统,其特征在于,所述请求认证报文具体为RADIUS扩展报文,该扩展报文的特殊字段中携带所述VLAN tag。
全文摘要
本发明公开了一种用户接入认证的方法和系统,该方法应用于包括用户终端、至少一个交换机、网关设备以及认证服务器的系统中,所述用户终端通过所述至少一个交换机与所述网关设备连接,其中,用户终端向网关设备发送的认证请求报文在由交换机进行转发的过程中加入VLAN tag,认证服务器根据用户终端的VLAN tag对用户终端进行认证,从而避免了用户名和密码的输入过程,方便用户使用。
文档编号H04L12/46GK101789906SQ20101011323
公开日2010年7月28日 申请日期2010年2月24日 优先权日2010年2月24日
发明者刘建锋 申请人:杭州华三通信技术有限公司