亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種以太網寬帶接入系統(tǒng)的用戶認證管理方法

文檔序號:7954376閱讀:608來源:國知局
專利名稱:一種以太網寬帶接入系統(tǒng)的用戶認證管理方法
所屬領域本發(fā)明涉及一種城域網中用戶接入的認證管理方法,屬于寬帶接入領域,特別是涉及一種以太網接入時,在以太網交換機上實現(xiàn)用戶認證的方法。
3)小區(qū)的中心交換機(ZAN)為下行100M,上行1000M的以太網交換機。
4)匯聚層網絡通過寬帶接入服務器連接各個小區(qū)的中心交換機,通過PPPoE的方式對用戶進行認證,并對用戶IP數(shù)據(jù)進行路由。
5)城域網中心有Radius服務器,完成用戶實際的認證、鑒權功能。
寬帶接入服務器BAS(Broadband Access Server)提供對用戶計算機發(fā)來的PPPoE協(xié)議數(shù)據(jù)包的終結功能,并與Radius服務器通信,對用戶進行必要的認證,最終,通過認證的用戶數(shù)據(jù)包在寬帶接入服務器上解開PPP封裝,以純IP包的形式路由到骨干網上;對于下行數(shù)據(jù),由于從骨干網上下行到寬帶接入服務器的數(shù)據(jù)是純IP包,因此,寬帶接入服務器需要對該IP包進行PPP和PPPoE協(xié)議封裝,并發(fā)送給最終用戶計算機。
但是,采用寬帶接入服務器和PPPoE技術的用戶管理方式也帶來了一些問題1)由于寬帶接入服務器要終結大量的PPP會話,并轉發(fā)IP數(shù)據(jù)包,會造成BAS成為網絡性能的巨大瓶頸;2)寬帶接入服務器通常放置在端局的位置,以下是巨大的廣播域,從用戶的安全性考慮,需要通過VLAN技術來實現(xiàn)用戶的隔離,但是目前的設備標準只能支持最大4096個VLAN,無法支持端局以下巨大的用戶群體(超過4096);3)PPPoE+VLAN的方式實現(xiàn)用戶隔離,由于PPPoE的點到點特性,使城域網主要的業(yè)務方向——組播視頻業(yè)務的開展受到極大的限制;4)由于寬帶接入服務器是在通常數(shù)據(jù)網絡設備之外額外增加的設備,采用寬帶接入服務器和PPPoE方式無形之中增加了城域網建設的投資。
2)管理通道用來在樓道交換機和用戶間傳送協(xié)議信息,該通道始終是開啟的。由于樓道交換機的每一個下行端口上有管理通道,因此,可以動態(tài)地控制該端口的數(shù)據(jù)通道上用戶數(shù)據(jù)包的允許/拒絕傳送。
樓道交換機的控制CPU通過管理通道獲取用戶的用戶名/口令信息,并轉換成標準的Radius協(xié)議發(fā)送到Radius服務器上,判斷最終用戶是否能夠通過認證;如果最終用戶通過認證,則Radius服務器向該樓道交換機的CPU發(fā)送“分配給用戶的地址信息”,該CPU轉發(fā)該地址信息給用戶,并開啟數(shù)據(jù)通道,最終用戶就能夠訪問寬帶網絡;否則,用戶的數(shù)據(jù)通道始終是關閉的,最終用戶因未通過認證將無法訪問寬帶網絡。
本方案可以解決用戶認證、用戶管理、地址浪費的問題,可以實現(xiàn)按時間或流量的計費方式。由于用戶發(fā)送的數(shù)據(jù)包就是以太網包,不再需要局方購置價格昂貴的寬帶接入服務器設備,也去掉了PPPoE和PPP協(xié)議的封裝,加快可數(shù)據(jù)包處理的速度;同時可以更好地支持組播的業(yè)務,避免了在組播應用時,由于PPPoE的點到點特性,即使幾個主機同屬一個組播組,也要為每個主機復制一份數(shù)據(jù)流的問題。另外,本發(fā)明還具有以下的特點1.采用了路由器/L3交換機+L2交換機組網結構,網絡結構簡單;2.各小區(qū)分散的路由方式,網絡性能沒有集中的瓶頸;3.支持根據(jù)用戶時長、用戶端口流量的計費方式;4.可以根據(jù)用戶的ID在端口標識不同的優(yōu)先級,實現(xiàn)對QoS的支持,并可對以太網端口進行訪問速率的限制;5.對組播的業(yè)務無任何影響;6.只需對以太網交換機進行升級,成本低廉。
假設可管理的樓道交換機(BAN)為25個端口,其中24個下行端口接用戶計算機,1個上行端口接小區(qū)的中心交換機。對于所有的24個下行端口中的每一個端口,樓道交換機在邏輯上提供一個管理通道和一個數(shù)據(jù)通道與最終用戶相連。
附圖
3所示的本發(fā)明以太網寬帶接入用戶認證管理方法流程在發(fā)明內容中已經做了詳細的說明,這里就不再贅述。
參考附圖4的協(xié)議流程圖,由于樓道交換機的每一個下行端口上都有一個管理通道,可以動態(tài)地控制該端口的數(shù)據(jù)通道上用戶數(shù)據(jù)包的允許/拒絕傳送。用戶的認證請求經過BAN中控制CPU的認證代理后成為Radius請求,經由ZAN、中心路由器到Radius服務器中進行Radius認證。控制的先決條件就是用戶發(fā)送的認證包經過管理通道的代理后,發(fā)送到Radius服務器,是否被Radius服務器認證通過。經過Radius服務器認證判斷后的Radius響應經由中心路由器、ZAN到BAN后,如果認證通過,開啟該用戶的數(shù)據(jù)通道,并通知用戶認證成功,用戶與BAN之間通過在線檢測,即完成了該用戶的認證管理過程。下面再針對認證過程中的報文設計等問題進行具體的說明。1.BAN交換機上數(shù)據(jù)、管理通道的實現(xiàn)缺省情況下,在樓道交換機(BAN)的所有24個下行端口的每一個端口上,設定MAC幀的過濾條件,如下
序號1實現(xiàn)的是管理通道的功能,當用戶向外發(fā)出目的地址為組播IP地址239.0.0.1(組播MAC地址為01:00:5e:00:00:01)的認證請求報文時,該報文被序號1的過濾條件截獲,并送到BAN的控制CPU。認證請求報文為標準UDP報文,端口號為3080,其凈荷部分的協(xié)議格式如下
協(xié)議版本號,目前為1,協(xié)議類型標志符,對于認證請求報文,設定ID=0。
另外,以太網交換機的控制CPU還可以同時截獲到該用戶計算機的MAC地址,便于控制信息的回傳。2.代理認證過程由于在BAN交換機的CPU配置了公網的IP地址,因此,BAN交換機的CPU作為Radius Client端,將用戶側發(fā)來的用戶名/口令信息封裝成Radius協(xié)議報文格式,通過ZAN和局方的路由器,最終發(fā)送給了Radius服務器。在Radius服務器上,如果該用戶名/口令通過認證,則Radius服務器將通過Radius協(xié)議報文格式向認證代理(該樓道交換機)發(fā)送分配給用戶的地址信息,該協(xié)議報文最終被該樓道交換機的控制CPU獲取。3.認證成功后的操作樓道交換機(BAN)的控制CPU截獲了Radius服務器發(fā)來的認證協(xié)議包,通過檢驗其內容,可以獲知該用戶是否通過了認證。如果1)認證失敗向用戶發(fā)送認證失敗消息,本機不做任何動作。
2)認證成功開啟該用戶對應的數(shù)據(jù)通道,向用戶PC發(fā)送分配給它的地址信息、DNS信息和缺省網關。
向用戶發(fā)送的認證成功/失敗報文同樣采用UDP報文格式,端口號為3080,其凈荷部分的格式如下a)認證失敗報文 協(xié)議版本號,目前為1;協(xié)議類型標志符,對于認證失敗報文,ID=1。b)認證成功報文 協(xié)議版本號,目前為1,協(xié)議類型標志符,對于認證成功報文,ID=2如果認證成功,用戶的數(shù)據(jù)通道已經被打開,同時用戶得到了IP地址信息,這樣用戶就能夠訪問寬帶網絡了。4.用戶下線檢測當用戶上線后,為了檢測用戶是否下線,需要提供兩種機制a)用戶正常下線在這種情況下,用戶通過客戶端向樓道交換機發(fā)送disconnect消息,告之用戶下線,該協(xié)議包采用UDP報文格式,端口號為3080,其凈荷部分的格式如下 協(xié)議版本號,目前為1,協(xié)議類型標志符,對于disconnect報文,ID=3b)用戶異常下線此情況是由于用戶在上線的情況下突然關機等原因而引起的。為了檢測用戶是否異常下線,需要提供必要的keepalive機制。
在樓道交換機上,對于該交換機上的每一個上線用戶,該交換機每隔HelloInterval,向該用戶發(fā)送一個keepalive報文,如果在DeadInterval的時間內未收到該用戶的回應keepalive報文,則認為用戶已經下線。下面是keepalive的報文格式 協(xié)議版本號,目前為1,協(xié)議類型標志符,對于keepalive報文,ID=4。
無論通過哪種方式檢測出用戶已經下線,樓道交換機都要通知RadiusServer,該用戶已經下線,完成IP地址回收和上網時間的計算;同時,還必須關閉該用戶的數(shù)據(jù)通道。5.用戶端操作用戶端PC為了與樓道交換機進行協(xié)議交互,要求用戶端能夠完成以下功能的處理1)發(fā)送認證請求報文2)接收認證成功/失敗報文3)如果認證成功,安裝新分配的客戶端地址、掩碼、缺省網關、DNS Server地址等。
4)回應樓道交換機發(fā)來的keepalive報文5)用戶下線時發(fā)送disconnect報文需要說明的是,用戶PC初始發(fā)送認證請求包時,由于該用戶還沒有申請到地址,因此該認證請求包的源地址設定為用戶PC上固定設置的地址(地址1)。當樓道交換機經過代理認證過程,確認用戶通過/未通過認證,需要向用戶計算機發(fā)送認證成功/失敗報文時,該報文的目的IP地址設定為上面所說的地址1,而目的MAC地址設定為該用戶PC的MAC地址,這樣,用戶PC就可以很好地接收和解釋協(xié)議包了。
一旦用戶PC安裝了新分配的地址(地址2),用戶PC與樓道交換機之間的協(xié)議交互以新分配的地址為源地址。
權利要求
1.一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,其特征在于,實現(xiàn)過程如下在樓道交換機的每一個下行端口上建立一個管理通道和一個數(shù)據(jù)通道分別與最終用戶相連;樓道交換機的控制CPU通過管理通道獲取用戶的用戶名/口令信息,并轉換成標準的Radius協(xié)議發(fā)送到Radius服務器上,判斷最終用戶是否能夠通過認證;如果最終用戶通過認證,則Radius服務器向該樓道交換機的CPU發(fā)送“分配給用戶的地址信息”,該CPU轉發(fā)該地址信息給用戶,并開啟數(shù)據(jù)通道,最終用戶就能夠訪問寬帶網絡;否則,用戶的數(shù)據(jù)通道始終是關閉的,最終用戶因未通過認證將無法訪問寬帶網絡。
2.根據(jù)權利要求1所述的一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,其特征在于,所述的數(shù)據(jù)通道是用來傳送上/下行的Ethernet數(shù)據(jù),數(shù)據(jù)通道在用戶未通過認證的情況下是關閉的。
3.根據(jù)權利要求1所述的一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,其特征在于,所述的管理通道是用來在樓道交換機和用戶間傳送協(xié)議信息,管理通道始終是開啟的,可以動態(tài)地控制該端口的數(shù)據(jù)通道上用戶數(shù)據(jù)包的允許/拒絕傳送。
4.根據(jù)權利要求1所述的一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,其特征在于,當用戶上線后,系統(tǒng)檢測用戶是否下線,當樓道交換機接收到通過客戶端發(fā)來終端用戶下線消息,確定為終端用戶正常下線;當樓道交換機通過對每一個上線用戶定時發(fā)送確認消息,如果在一定的時間內未收到該用戶的回應消息,則確定終端用戶異常下線。
5.根據(jù)權利要求4所述的一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,其特征在于,當樓道交換機得知用戶已經下線,通知Radius服務器該用戶已經下線,并完成IP地址回收和上網時間的計算,同時關閉該用戶的數(shù)據(jù)通道。
全文摘要
本發(fā)明公開了一種以太網寬帶接入系統(tǒng)的用戶認證管理方法,通過在樓道交換機的每一個下行端口上建立一個管理通道和一個數(shù)據(jù)通道分別與最終用戶相連,并在樓道交換機上進行認證代理,終端用戶通過認證,則由管理通道動態(tài)地控制端口的數(shù)據(jù)通道上用戶數(shù)據(jù)包的允許/拒絕傳送,實現(xiàn)用戶認證管理。采用本發(fā)明的方法由于認證管理不再需要接入服務器,并且只需要對樓道交換機和用戶終端進行簡單升級就可以實現(xiàn)用戶的認證管理,能夠節(jié)省系統(tǒng)成本,并且組網簡單,易于維護。
文檔編號H04L12/24GK1423455SQ0113230
公開日2003年6月11日 申請日期2001年11月22日 優(yōu)先權日2001年11月22日
發(fā)明者蔡彤軍, 柏鋼 申請人:深圳市中興通訊股份有限公司上海第二研究所
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1