公开/公告号CN1429005A
专利类型发明专利
公开/公告日2003-07-09
原文格式PDF
申请/专利权人 深圳市中兴通讯股份有限公司上海第二研究所;
申请/专利号CN01145575.6
发明设计人 谢放平;
申请日2001-12-25
分类号H04M11/06;H04L9/32;H04L12/14;
代理机构44217 深圳市顺天达专利商标代理有限公司;
代理人郭伟刚
地址 200233 上海市桂林路396号
入库时间 2023-12-17 14:48:42
法律状态公告日
法律状态信息
法律状态
2018-12-11
未缴年费专利权终止 IPC(主分类):H04M11/06 授权公告日:20090218 终止日期:20171225 申请日:20011225
专利权的终止
2009-02-18
授权
授权
2005-01-26
实质审查的生效
实质审查的生效
2003-09-17
专利申请权、专利权的转移专利申请权的转移 变更前: 变更后: 登记生效日:20030725 申请日:20011225
专利申请权、专利权的转移专利申请权的转移
2003-07-09
公开
公开
技术领域
本发明涉及通信系统,具体涉及应用于接入集中器的宽带网络认证、授权和计费的方法。
背景技术
宽带网络将成为网络技术的主流,但实现对用户的认证、授权、计费--AAA(Authentication,Authorization,Accounting),达到对宽带网络的可控制、可计费、可运营的目的,一直是网络运营商和ISP期待解决的问题。现有的主要实现方法是PPPoE(RFC2516)。PPPoE有2个不同阶段:Discovery阶段和PPP会话阶段。当一个主机发起一个PPP会话时,首先必须经由Discovery阶段确定哪一个服务器可以满足客户请求,然后确定对方的MAC(媒介访问)地址,建立一个PPP会话标识。Discovery实际上是一个client-server关系。在Discovery阶段,主机(client)在其发现的一个或多个接入集中器(servers)中选择一个。当Discovery阶段完成,主机(client)和被选中的接入集中器(servers)建立一个点对点的在以太网的连接。详细的实现细节可参见RFC 2516。现有的PPPoE方法具有以下缺点:PPPoE实现采用RFC1483桥接,主机(client)和接入集中器(servers)之间只能是一个二层的网络;协议栈复杂,如主机(client)和接入集中器(servers)之间是ATM,需要开发PPPoEoA;协议的开销大,效率低;硬件的要求高,协议需要多次封装和解封装,很难实现线速的交换,容易成为一个网络瓶颈。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,为了在接入集中器实现对用户认证、授权和计费而提出一种效率高、实现简单的方法,可解决当前技术如PPPoE实现复杂、效率较低、对硬件要求较高而实现昂贵等问题。
本发明可通过以下技术方案实现,提供一种宽带网络认证、授权和计费的方法,其特征在于,包括以下步骤:
(1)、接入集中器检测用户拨号或Telnet访问,提示用户输入认证信息;
(2)、接入集中器将用户输入的所述认证信息发送至AAA Server进行认证;
(3)、接入集中器根据所述AAA Server返回的认证信息,若认证失败,则返回第(1)步提示用户重新输入;若认证成功,则进入第(4)步;
(4)、接入集中器生成一个动态访问控制列表,授权该用户的IP地址访问所述接入集中器初始化时未授权用户访问的网络,并给用户发送连接成功消息;
(5)、所述接入集中器开始给AAA Server发送计费信息等;
(6)、维护进程定时或不定时检测所述接入集中器与用户端的连接;
(7)、若接入集中器检测到该用户断线,则进入第(8)步;若用户未断线,则返回第(6)步;
(8)、关掉第(4)步中所生成的动态访问控制列表;
(9)、接入集中器给所述AAA Server发送计费终止信息。
在本发明所述的方法中,在第(6)步中所述维护进程可采用由客户端软件定时发送Hello包的形式,若接入集中器在指定的N次未收到Hello包,则认为该用户连接已断。
下面将结合附图及实施例对本发明作进一步说明。
附图说明
图1是本发明的方法流程图;
图2是本发明的方法的原理框图。
具体实施方式
如图1所示,本发明提出的宽带网络认证、授权和计费的方法包括以下步骤:
步骤1、接入集中器检测用户拨号或Telnet(远程登录)访问,提示用户输入认证信息。在本步骤中,客户端(用户端)可以采用标准的Telnet方法,集中接入器端实现Telnet Server;也可以开发一个类似拨号的软件,集中接入器实现Server,用户端为Client。
步骤2、接入集中器将用户输入的所述认证信息发送至AAA Server进行认证。其中常用的AAA Server有Radius Server,Tacacs Server,Tacacs+Server等。
步骤3、接入集中器根据所述AAA Server返回的认证信息,若认证失败,则返回步骤1提示用户重新输入;若认证成功,则进入步骤4。
步骤4、接入集中器生成一个动态访问控制列表,授权该用户的IP地址访问所述接入集中器初始化时未授权用户访问的网络,并给用户发送连接成功消息。
步骤5、所述接入集中器开始给AAA Server发送计费信息等。其中的计费信息包括时长等信息。
步骤6、维护进程定时或不定时检测所述接入集中器与用户端的连接。维护进程可采用由客户端软件定时发送Hello包的形式,若接入集中器在指定的N次未收到Hello包,则认为该用户连接已断,Hello包在连接成功后开始发送;同时,可在接入集中器和用户之间采用认证机制,防止其他非法IP地址或其他非法Hello包,如在步骤1中采用Telent方法时,可采用接入集中器定时检测与用户的telnet TCP连接。
步骤7、若接入集中器检测到该用户断线,则进入步骤8;若用户未断线,则返回步骤6。
步骤8、关掉步骤4中所生成的动态访问控制列表,其生成的授权用户的访问权限被关闭,用户与其所访问网络之间的连接被断开。
步骤9、接入集中器给所述AAA Server发送计费终止信息。
本发明一个具体实施例的原理框图如图2所示,其中接入集中器可初始化设定访问列表,用户仅可以访问网络A(免费区域,广告网站等),但不可以访问网络B(Internet等)。当用户通过拨号或Telnet接入集中器后,接入集中器提示用户输入用户名和密码,当用户输入了用户名及密码后,接入集中器再把用户名及密码发送至AAA Server进行认证,AAA Server返回认证信息,如果认证失败则提示用户重新输入用户名和密码,如果认证成功则接入集中器建立一个动态的访问控制列表(ACL),授权该用户访问网络B,用户与网络B连连通后,接入集中器发送计费信息给AAA Server,其中包括时长等信息,并定时或不定时检测与用户的连接,如果检测到该用户的连接已断,则删除上述已建立的动态访问控制列表(ACL),用户与网络B之间的连接被断开,此时用户不能再访问网络B,同时接入集中器给AAA Server发送计费结束信息。
本发明提出了动态访问控制列表实现认证、授权和计费的方法,在接入集中器上采用后,提高了协议效率,降低了协议的复杂度,降低了软硬件的成本;如采用交换引擎ASIC,可实现线速转发,解决瓶颈问题;可初始化设定用户可以访问某一特定网络,如用户可以免费访问运行商的广告网站等,便于运营商开展业务。另外,接入集中器上采用本发明提出的动态访问控制列表实现认证、授权和计费的方法,用户端和接入集中器之间能透穿L3(PPPoE不能)网络,可以提供大规模的三层网络如园区网宽带上网解决方案。
机译: 网络认证,授权和计费的系统和方法
机译: 网络认证,授权和计费的系统和方法
机译: 网络认证,授权和计费的系统和方法