法律状态公告日
法律状态信息
法律状态
2022-06-03
专利权有效期届满 IPC(主分类):H04L12/54 专利号:ZL021177643 申请日:20020516 授权公告日:20050810
专利权的终止
2005-08-10
授权
授权
2004-02-04
实质审查的生效
实质审查的生效
2003-11-26
公开
公开
2002-08-14
实质审查的生效
实质审查的生效
技术领域
本发明涉及网际协议(IP)网上AAA服务器对接入设备的控制技术,尤指一种IP网络上AAA服务器控制接入设备的方法。
发明背景
目前,在IP网络上接入设备与AAA服务器之间以标准的用户远程拨号认证服务(Radius)协议进行通信,标准Radius协议主要包含以下报文:接入请求(Access-Request)、接入许可(Access-Accept)、接入拒绝(Access-Reject)、计费请求(Accounting-Request)、计费响应(Accounting-Response)以及接入挑战(Access-Challenge)。所谓AAA服务器也可称作认证服务器,其中的AAA是权限认证(Authentication)、身份认证(Authority)和计费(Accounting)的统称。
当用户接入时,接入设备向AAA服务器发送Access-Request报文,AAA服务器对用户进行认证,根据认证结果回送Access-Accept报文,表示认证成功;或Access-Reject报文,表示认证失败;当用户接入后,接入设备向AAA服务器发送计费开始报文,AAA服务器开始为用户计费,并回送计费响应;当用户下线时,接入设备向AAA服务器发送计费结束报文。中间过程中,接入设备有可能不发送计费继续报文。
在上述通信过程中,由于Radius协议尚未定义AAA服务器向接入设备下发的报文,AAA服务器只能被动接收接入设备发来的消息,比如:接收接入设备所发的Access-Request,Accounting-Request报文,并实施相关的处理,而不能主动向接入设备下发消息报文,对接入设备进行控制。如此,AAA服务器的很多管理功能无法实现,使得IP网络中接入认证和计费的灵活性较差。另外,由于Radius报文属性有限,接入设备在用户接入时只能按固定的服务器等级向用户提供服务,无法支持用户在线动态改变用户策略等需求。
发明内容
有鉴于此,本发明的主要目的在于提供一种IP网络上AAA服务器控制接入设备的方法,使得AAA服务器能下发消息报文,对接入设备进行主动控制,提高接入认证和计费的灵活性,进而增强AAA服务器的管理功能。
本发明的另一目的在于提高接入设备的服务能力。
为达到上述目的,本发明的技术方案是这样实现的:
一种IP网络上AAA服务器控制接入设备的方法,包括:接入设备主动向AAA服务器发送请求,AAA服务器根据请求内容进行处理;该方法还包括:AAA服务器主动向接入设备发送含有控制命令的会话控制(Session-Control)报文,接入设备收到该会话控制报文后根据其中的控制命令执行操作。
该方法进一步包括:预先设置一会话控制报文,报文中至少包括控制命令属性。
该方法还进一步包括:所述的会话控制报文为含有触发请求(Trigger-Request)命令的会话控制报文时,接入设备收到后触发接入流程;所述的会话控制报文为含有终止请求(Terminate-Request)命令的会话控制报文时,接入设备收到后主动断开当前的用户连接;所述的会话控制报文为含有设置策略(Set-Policy)命令的会话控制报文时,接入设备收到后按新设置的策略属性进行通信和计费。
基于上述控制方案,AAA服务器控制接入设备触发接入流程进一步包括:
a1.当接入设备收到AAA服务器下发的含有触发请求命令的会话控制报文(Session-Control(Trigger))后进行处理,如果处理失败,则返回会话控制结果报文后结束流程;否则,接入设备向AAA服务器发起接入请求(Access-Request)报文;
b1.AAA服务器对用户进行认证,认证通过后回送接入许可报文(Access-Accept),接入设备收到后向AAA服务器发计费开始报文(Accounting-Request(start)),AAA服务器收到后回送计费响应(Accounting-Response);
c1.接入设备收到计费响应后,向AAA服务器回送会话控制结果报文,AAA服务器收到后允许用户接入网络。
AAA服务器控制接入设备断开用户连接进一步包括:
a2.当接入设备收到AAA服务器下发的含有终止请求命令的会话控制报文(Session-Control(Terminate))后,向AAA服务器发起结束计费请求(Accounting-Request(Stop));
b2.AAA服务器结束对当前用户的计费,回送计费响应(Accounting-Response)给接入设备,接入设备收到后发断开连接消息给用户,允许用户下线。
AAA服务器控制接入设备修改策略属性进一步包括:
a3.当接入设备收到AAA服务器下发的含有设置策略命令的会话控制报文(Session-Control(Set-Policy))后,根据命令内容修改相应策略属性,并向AAA服务器发送重置计费请求(Accounting-Request(Reset Charge)),令AAA服务器重新设置计费信息;
b3.AAA服务器根据新的策略属性,使用新的计费策略进行计费,并向接入设备回送计费响应(Accounting-Response);
c3.接入设备收到后,向AAA服务器发送会话控制结果报文(Session-Control(result)),说明处理结果。
由上述方案可以看出,本发明的关键在于:定义会话控制报文,AAA服务器将该会话控制报文作为下发控制报文,进而通过该报文主动控制接入设备。
因此,本发明所提供的IP网络上AAA服务器控制接入设备的方法,由于增加了下发报文--会话控制报文的定义,使得AAA服务器能通过下发消息主动控制接入设备,进而使AAA服务器能实现Web接入认证等管理功能,使接入设备能支持用户在线动态修改用户属性等功能,并可强化计费功能,使用户在通信过程中随时上报计费、修改计费参数,增强了计费和管理的灵活性。
附图说明
图1为用户进行Wed认证上网的流程示意图;
图2为用户下线的流程示意图;
图3为修改带宽的流程示意图;
图4为预付费用户通信时的计费流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
为了使AAA服务器能主动控制接入设备,本发明在标准Radius协议的基础上进行了扩展,不仅增加定义了第20号新报文--会话控制报文(Session-Control),而且增加了原有认证报文和计费报文的属性。
Session-Control报文的封装格式与标准Radius相同,并采用相同的用户数据报协议(UDP)端口号,即认证端口号,此报文和Radius消息一起按照流程的规定顺序发送。
在该报文中,“Command”是新增的一个重要子属性,其为4字节的整数,包含三种情况:
1)触发请求(Trigger-Request)命令报文,用于控制Client触发Access-Request,并用Result报文来反应Trigger-Request的结果。
2)终止请求(Terminate-Request)命令报文,用于控制Client主动断开用户连接,一般Terminate-Request无对应的结果。
3)设置策略(Set-Policy)命令报文,表示认证成功后,Radius Server主动改变策略,如改变带宽、重定向策略、业务选择等。
会话控制报文中的其它属性:如果在标准Radius中有定义,则按Radius协议规定的位置放置;如果未定义,则均放在Radius协议规定的厂家扩展属性Vendor-Specific中。
当Session-Control报文由Server主动发起时,属性Control-identifier值无效。对于Terminate-Request和Set-Policy报文,Client根据Connect-Id找到连接;对于Trigger-Request报文,Client根据属性Framed-IP-Address找到连接。
新增会话控制报文的所有属性及其详细说明与应用如表一所示:
表一会话控制报文属性表
其中,属性列中带有“*”的属性为该报文扩展的子属性,其余的为该报文的原有属性。在Trigger-Request、Terminate-Request、Set-Policy和Result四种报文中,“0”表示报文中没有的属性,“0+”表示可选属性,在同一报文中可有多个,“1”表示报文中必须有的属性,“0-1”表示可选属性,在同一报文中最多只能有一个。
对于该认证报文中新增的属性,属性“UserName”用来表示用户名,该属性在Trigger-Request报文中不能为空字符串。属性“Command”采用整数类型,包括三种报文类型:Trigger-Request、Terminate-Request和Set-Policy,用Result表示报文的结果。属性“Control-Identifier”采用整数类型,Radius Server每一次下发Session-Control时,都会分配一个Control-Identifier。对于同一个会话,如果是重发的报文,则Control-Identfier相同;如果不是重发报文,则Control-Identifier不同,不同的会话控制报文该值可能相同。Client收到Session-Control后,回应Session-Control(Result)时,也带回Control-Identifier属性,且该值不变。属性“Result-Code”采用整数类型,表示Set-Policy的结果,0表示成功,非0表示失败。属性“Connect-ID”在Session-Control(Result)报文中,只有一情况除外,要求不含Connect-Id,即:当收到Session-Control(Trigger-Request)时,如果Client处理失败,不发Access-Request,而直接回应Session-Control(Result)表示异常,由于此时不知道Connect-Id,因此在报文中不含该属性。
表二给出了认证报文的所有属性及其详细说明与应用:
表二认证报文属性表
其中,属性列中带有“*”的属性为该报文扩展的子属性,其余的为该报文的原有属性。在接入请求(Access-Request)、接入许可(Access-Accept)、接入拒绝(Access-Reject)三种报文中,“0”表示报文中没有的属性,“1”表示报文中必须有的属性,“0-1”表示可选属性,在同一报文中最多只能有一个。
对于该认证报文中新增的属性,属性“ISP-ID”采用字符串类型,来表示用户所选择的因特网服务提供者(ISP)。属性“Connect-Id”采用整型来表示连接号,该参数由Radius客户端(Client)生成,不同的连接在一个Client设备范围内,该属性值不能重复,且所有的报文中都要包含此属性。但是,如果第一个报文由Radius服务器(Server)发起,则Client忽略此属性,例如会话控制(触发请求)(Session-Control(Trigger-Request))消息,Client根据第一个报文的IP地址找到Client内的会话,如果发生异常,则Client回应Session-Control(Result)表示异常,其中不含Connect-Id。属性“Max-Users-Per-Logic-Port”采用整型来表示一个逻辑端口的最大用户数,实际上,该值是指在一个逻辑端口(如vlan)下最多允许多少台终端同时使用。“Input-Peak-Rate”、“Input-Average-Rate”、“Input-Basic-Rate”、“Output-Peak-Rate”、“Output-Average-Rate”和“Output-Basic-Rate”六个属性分别表示:上行峰值速率、上行平均速率、上行基本速率、下行峰值速率、下行平均速率和下行基本速率,这些属性全部采用正整数类型,其单位为bps。属性“Priority”采用整型表示业务优先级,如果该属性不出现,则说明服务器不控制该连接的业务优先级。
计费报文主要分为计费请求(Accounting-Request)和计费响应(Accounting-Response)两类,其中Accounting-Request报文又包含四种计费状态(Acct-Status-Type):开始计费请求(Accounting-Request(start))、中间修改计费请求(Accounting-Request(interim-Update))、重置计费请求(Accounting-Request(reset charge))、停止计费请求(Accounting-Request(stop))。当状态值Value=1时,表示开始(Start),即Client开始对指定用户提供服务,记帐开始;Value=2时,表示停止(Stop),即Client停止对指定用户提供服务,记帐结束;Value=3时,表示中间修改计费(Interim-Update),即Client中途上报流量信息,实时记帐;Value=4时,表示重置计费(Reset-Charge),即Client接入认证后,Radius Server主动要求Client改变策略,Client上报流量信息。
在通信过程中,当Client收到Access-Accept后,必须发出Accounting-Request(start);Radius Server在发出Access-Accept后,如果在一定的时间内没有收到Accounting-Request(start),则释放会话。在断开连接时,其中包括异常中断,Client必须发起Accounting-Request(stop)。
当Radius Server收到Accounting-Request(start)后,根据下一计费周期可能的最贵费率和用户余额算出允许用户使用的流量(Remnant-Volume)或时长(Session-Timeout),如果是后付费用户,Remnant-Volume或Session-Timeout参数不出现,则Client不需处理业务量监视。Client收到报文后,如果Remnant-Volume或Session-Timeout为0,Client立即发Accounting-Request(stop)报文,停止计费,并断开用户连接。
Radius Server向Client发Accounting-Response时,其中包含Session-Timeout、Remnant-Volume和费率切换间隔(Tariff-Switch-Interval)参数。
计费报文的所有属性及其详细说明与应用如表三所示:
表三 计费报文属性表
同样,属性列中带有“*”的属性为该报文扩展的子属性,其余的为该报文的原有属性。在Accounting-Request(start))报文、Accounting-Request(interim-Update)报文、Accounting-Request(reset charge)报文、Accounting-Request(stop)报文以及计费响应(Accounting-Response)报文中,“0”表示报文中没有的属性,“1”表示报文中必须有的属性,“0-1”表示可选属性,在同一报文中最多只能有一个。
在该计费报文新增的属性中,费率切换前的接收千字节数(Input-Kilobytes-Before-Tariff-Switch)、费率切换前的发送千字节数(Output-Kilobytes-Before-Tariff-Switch)、费率切换前的接收包数(Input-Packets-Before-Tariff-Switch)、费率切换前的发送包数(Output-Packets-Before-Tariff-Switch)、费率切换后的接收千字节数(Input-Kilobytes-After-Tariff-Switch)、费率切换后的发送千字节数(Output-Kilobytes-After-Tariff-Switch)、费率切换后的接收包数(Input-Packets-After-Tariff-Switch)、费率切换后的发送包数(Output-Packets-After-Tariff-Switch)这八个属性用来描述流量。属性“Session-Timeout”采用整型,表示该会话(连接)还能使用多长时间。如果该参数未出现,则Client不会因为使用时间太长而切断连接;如果Accounting-Response中该值为0,则Client立即上报Accounting-Request(stop),并断开连接。属性“Remnant-Volume”采用整型,表示该连接还能转发多少K字节,包含收和发两个方向。如果该参数未出现,则Client不会因为使用的流量太多而切断连接;如果Accounting-Response中该值为0,则Client立即上报Accounting-Request(stop),并断开连接。属性“Tariff-Switch-Interval”采用整型,表示过多长时间后将发生费率切换,该时长是从这个连接最近一次发送Accounting-Request开始计算的。如果该参数未出现,则Client认为不发生费率切换。属性“Control-Identifier”采用整型,该值从设置策略(Set-Policy)报文的Identifier属性中取得,用于标识该Accounting-Request(Reset Charge)报文是因哪一个Set-Policy引起的。
基于上述三类报文的定义,结合图1至图4,通过四个具体实施例进一步描述本发明AAA服务器控制接入设备的方法,在下述实施例中,将接入服务器作为接入设备。实施例一:Web认证流程
Web认证就是指用户直接访问运营商的门户站点Portal,在指定页面输入帐号、密码,发起接入认证的方式。用户拨号后,由接入设备(AS)向AAA服务器发起认证请求、接入网络的过程,如图1所示,至少包括以下的步骤:
1)包括步骤100、101,当用户打开浏览器访问入口(Portal)时,先发访问请求给Portal,Portal收到后向用户推送接入认证页面,要求用户输入帐号、密码;
2)包括步骤102、103,用户输入自己的帐号和密码,该帐号和密码通过因特网络发送给Portal,Portal收到帐号和密码后,向AAA服务器发起认证请求;
3)包括步骤104,AAA服务器收到后,向接入服务器(AS)下发会话控制报文Session-Control,命令类型为触发请求Trigger-Request,命令中包含有:用户名称(User Name)和帧IP地址(Framed-IP-Address)属性;
4)包括步骤105,AS收到Trigger-Request命令后,如果处理失败,直接回送会话控制结果报文Session-Control(Result),表示失败;否则,AS向AAA服务器发起接入请求Access-Request报文,请求中包含连接ID(Connect-ID)属性,在本实施例中,假定AS处理成功;
5)包括步骤106、107,AAA服务器对用户进行认证,认证通过,回送接入许可Access-Accept报文;AS收到后向AAA服务器发计费开始报文Accounting-Request(start);
6)包括步骤108,AAA服务器收到后准备为用户计费,并回送计费响应Accounting-Response;
7)包括步骤109,AS收到计费响应Accounting-Response后,向AAA服务器回送会话控制结果报文Session-Control(result)报文,说明本次操作成功;
8)包括步骤110、111,AAA服务器收到后向Portal回送认证成功消息,则Portal向用户显示认证成功页面,允许用户访问其他网站。实施例二:用户下线流程
使用Web认证方式接入的用户可以在Portal上发起下线请求,由AAA服务器请求接入设备切断用户的连接。如图2所示,AAA服务器控制用户下线包括以下的步骤:
1)包括步骤201、202,当用户在Portal上选择下线时,用户发注销消息给Portal,Portal收到后即向AAA服务器发起注销请求;
2)包括步骤203,AAA服务器收到注销请求后,向AS下发终止会话控制报文Session-Control(Terminate),要求接入设备切断用户的连接;
3)包括步骤204,AS收到报文后,向AAA服务器发起结束计费请求Accounting-Request(Stop);
4)包括步骤205、206,AAA服务器结束对当前用户的计费,回送计费响应Accounting-Response给AS,AS收到后发断开连接消息给用户,允许用户下线。实施例三:修改带宽流程
用户在Portal上,可以利用AAA服务器下发消息控制AS的功能来修改传输带宽的属性,如图3所示:
1)包括步骤301、302,当用户要修改带宽属性时,用户向Portal发送改变带宽请求消息,Portal收到后,即向AAA服务器发送改变带宽请求;
2)包括步骤303,AAA服务器收到请求改变带宽消息后,向AS下发Session-Control(Set-Policy)报文,确定设置策略,报文中包含有User Name和六个带宽属性,即:上行和下行的峰值速率、平均速率以及基本速率;
3)包括步骤304,AS接到报文后,进行带宽修改,并向AAA服务器发送重置计费请求Accounting-Request(Reset Charge),令AAA服务器重新设置计费信息;
4)包括步骤305,AAA服务器根据新的带宽属性,使用新的计费策略进行计费,并回送计费响应Accounting-Response;
5)包括步骤306~308,AS向AAA服务器发送会话控制结果报文Session-Control(result),说明处理结果,如果成功,则AAA服务器向Portal回送修改成功的应答,然后,Portal显示修改成功页面给用户。
由于计费报文的扩展,不仅能配合会话控制报文完善AAA服务器对接入设备的控制,而且能进一步强化计费功能,增加计费灵活性。实施例四:预付费用户计费流程
当某个用户通过认证接入网络后,AAA服务器对该用户计费的过程如图4所示:
步骤401:当用户通过接入认证上网时,用户向接入服务器(AS)发上网消息;
步骤402:AS收到后,向AAA服务器发送开始计费请求报文Accounting-Request(start);
步骤403:AAA服务器收到计费报文后,向AS回送计费响应Accounting-Response;
步骤404:在用户上网过程中,AS可定期向AAA服务器发送中间修改计费请求报文Accounting-Request(Interim-Update),报告用户本周期使用的流量;
步骤405:AAA服务器根据计费策略,比如:按时间计费或是按流量计费,算出用户的上网费用,并根据用户的余额及费率预算出用户的可用流量或可用时长,然后向AS发送计费响应报文Accounting-Response;
步骤406:AS根据计费响应报文中的剩余流量值Remnant-Volume或会话时长值Session-Timeout,控制何时断开用户的连接;如果Remnant-Volume值或Session-Timeout值为0,则AS向AAA服务器发送停止计费请求报文Accounting-Request(stop);
步骤407、408:AAA服务器收到后,停止对该用户的计费,回送计费响应Accounting-Response给AS,AS收到后发断开连接消息给用户,将用户连接断掉。
通过以上实施例可以看出,增加了Session-Control报文的定义,即可使AAA服务器下发消息至AS,进而实现由AAA服务器控制接入设备的管理功能。另外,对于认证报文和计费报文的扩展,可进一步增强AAA服务器对接入设备的控制能力。
机译: 统一企业网络AAA服务器和公共网络AAA服务器的方法和设备
机译: 用于cdma系统上的移动ip版本6(mipv6)的认证和授权支持的方法和系统,用于cdma框架内的移动ip交付版本6(mipv6)的系统以及用于支持ip认证和授权版本6的aaa家庭网络服务器( cdma系统上的mipv6)
机译: 满足网络上对网络资源的需求的方法,在多个联网资源服务器之间共享资源需求的方法,服务器网络,需求导向器服务器,联网数据库,网络资源管理的方法,满足需求的方法在用于网络资源的Internet网络上,资源服务服务器层,网络,需求导向器,城域视频服务网络,编码有用于管理网络资源的数据结构的计算机可读存储设备,将计算机网络资源提供给网络用户的方法