專利名稱:一種認(rèn)證方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種認(rèn)證方法和設(shè)備。
背景技術(shù):
AAA(Authentication、 Authorization、 Accounting,認(rèn)證、授權(quán)、計(jì)費(fèi))是網(wǎng)絡(luò)安 全的一種管理機(jī)制,提供了認(rèn)證、授權(quán)和計(jì)費(fèi)三種安全功能。其中,AAA—般采用客戶端/服 務(wù)器結(jié)構(gòu),客戶端運(yùn)行在NAS(Network AccessServer,網(wǎng)絡(luò)接入服務(wù)器)上,而服務(wù)器則集 中管理用戶信息,該NAS對(duì)于客戶端來說是服務(wù)器端,對(duì)于服務(wù)器來說是客戶端。
如圖1所示,為AAA的基本組網(wǎng)結(jié)構(gòu)示意圖。當(dāng)客戶端需要通過某網(wǎng)絡(luò)與NAS建 立連接,從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或者取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí),該NAS起到了驗(yàn) 證用戶或?qū)?yīng)連接的作用。其中,該NAS負(fù)責(zé)將用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)信息透?jìng)鹘oAAA服 務(wù)器(例如,RADIUS服務(wù)器等),對(duì)于RADIUS服務(wù)器來說,RADIUS (Remote Authentication Dial-In UserService,遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))協(xié)議規(guī)定了 NAS與RADIUS服務(wù)器之間如 何傳遞用戶信息。 具體的,上述三種安全服務(wù)功能的具體作用包括(l)認(rèn)證,確認(rèn)遠(yuǎn)端訪問用戶的 身份,判斷訪問者是否為合法的網(wǎng)絡(luò)用戶;(2)授權(quán),對(duì)不同用戶賦予不同的權(quán)限,限制用 戶可以使用的服務(wù);例如,用戶成功登錄AAA服務(wù)器后,管理員可以授權(quán)用戶對(duì)AAA服務(wù)器 中的文件進(jìn)行訪問和打印操作;(3)計(jì)費(fèi),記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作,包括使用 的服務(wù)類型、起始時(shí)間、數(shù)據(jù)流量等,該計(jì)費(fèi)不僅是一種計(jì)費(fèi)手段,也對(duì)網(wǎng)絡(luò)安全起到了監(jiān) 視作用。 以RADIUS服務(wù)器為例進(jìn)行說明,客戶端、RADIUS客戶端(即NAS設(shè)備)和RADIUS 服務(wù)器之間的交互流程如圖2所示,包括以下步驟 (1)客戶端發(fā)起連接請(qǐng)求,向RADIUS客戶端發(fā)送用戶名和密碼等信息。 (2)RADIUS客戶端根據(jù)獲取的用戶名和密碼,向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求包
(Access-Request),該認(rèn)證請(qǐng)求包中的密碼在共享密鑰的參與下由MD5算法進(jìn)行加密處理。 (3)RADIUS服務(wù)器對(duì)用戶名和密碼進(jìn)行認(rèn)證;如果認(rèn)證成功,RADIUS服務(wù)器向 RADIUS客戶端發(fā)送認(rèn)證接受包(Access-Acc印t);如果認(rèn)證失敗,RADIUS服務(wù)器向RADIUS 客戶端發(fā)送認(rèn)證拒絕包(Access-Reject)。其中,由于RADIUS協(xié)議合并了認(rèn)證和授權(quán)過程, 因此,認(rèn)證接受包中也包含了用戶的授權(quán)信息。 (4)RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入或拒絕用戶。其中,如果允許用戶接 入,則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開始請(qǐng)求包(Accounting-Request)。 [OOW] (5) RADIUS服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包(Accounting-Response),并開始計(jì)費(fèi)。
(6)客戶端開始訪問網(wǎng)絡(luò)資源。 (7)如果客戶端請(qǐng)求斷開連接,RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求 包(Accounting-Request)。
(8) RADIUS服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包(Accounting-Response),并停止計(jì)費(fèi)。
(9)客戶端結(jié)束訪問網(wǎng)絡(luò)資源。 需要注意的是,上述處理過程為針對(duì)一臺(tái)AAA服務(wù)器(即上述RADIUS服務(wù)器)的 處理過程,而在實(shí)際應(yīng)用中,AAA服務(wù)器不只是一臺(tái),會(huì)有多個(gè)AAA服務(wù)器,如圖3所示的多 個(gè)AAA服務(wù)器(繼續(xù)以RADIUS服務(wù)器為例)的組網(wǎng)示意圖。 現(xiàn)有技術(shù)中,RADIUS客戶端(即NAS設(shè)備)可以支持1個(gè)主RADIUS服務(wù)器和16 個(gè)從RADIUS服務(wù)器,當(dāng)用戶發(fā)起認(rèn)證時(shí),RADIUS客戶端優(yōu)先與主RADIUS服務(wù)器進(jìn)行通信, 如果主RADIUS服務(wù)器不通時(shí),則RADIUS客戶端依次與各個(gè)從RADIUS服務(wù)器進(jìn)行通信,一 直到有RADIUS服務(wù)器能夠與RADIUS客戶端正常通信為止。 具體的,為了實(shí)現(xiàn)RADIUS客戶端在主RADIUS服務(wù)器和從RADIUS服務(wù)器之間的切 換,需要在RADIUS客戶端上實(shí)現(xiàn)以下配置 (1) RADIUS客戶端上需要為各個(gè)RADIUS服務(wù)器配置兩種狀態(tài),分別為active (激 活)狀態(tài)或者block(阻塞)狀態(tài),其中,active狀態(tài)表示RADIUS服務(wù)器處于運(yùn)行狀態(tài), RADIUS客戶端會(huì)嘗試與該RADIUS服務(wù)器進(jìn)行通信;block狀態(tài)表示RADIUS服務(wù)器處于阻 塞狀態(tài),RADIUS客戶端不會(huì)嘗試與該RADIUS服務(wù)器進(jìn)行通信。 (2)當(dāng)主RADIUS服務(wù)器和從RADIUS服務(wù)器的狀態(tài)均為active狀態(tài)時(shí),RADIUS 客戶端首先與主RADIUS服務(wù)器進(jìn)行通信,若主RADIUS服務(wù)器不可達(dá),則RADIUS客戶端更 改主RADIUS服務(wù)器的狀態(tài)為block狀態(tài),并啟動(dòng)該主RADIUS服務(wù)器的timer quiet (時(shí) 間靜默)定時(shí)器,然后按照從RADIUS服務(wù)器配置的先后順序依次查找狀態(tài)為active的從 RADIUS服務(wù)器進(jìn)行認(rèn)證或者計(jì)費(fèi)。 如果狀態(tài)為active的從RADIUS服務(wù)器也不可達(dá),則將該從RADIUS服務(wù)器的狀 態(tài)置為block狀態(tài),同時(shí)啟動(dòng)該RADIUS服務(wù)器的timer quiet定時(shí)器,并繼續(xù)查找狀態(tài)為 active的從RADIUS服務(wù)器。如果所有已配置的RADIUS服務(wù)器都不可達(dá),則本次認(rèn)證或計(jì) 費(fèi)失敗。 另外,在timer quiet定時(shí)器設(shè)定的時(shí)間到達(dá)之后,被設(shè)置為block狀態(tài)的各個(gè) RADIUS服務(wù)器將恢復(fù)為active狀態(tài)。 需要注意的是,在一次認(rèn)證過程中,如果RADIUS客戶端在嘗試與從RADIUS服務(wù)器 進(jìn)行通信時(shí),主RADIUS服務(wù)器的狀態(tài)由block狀態(tài)恢復(fù)為active狀態(tài),則RADIUS客戶端 并不會(huì)立即恢復(fù)與主RADIUS服務(wù)器的通信,而是繼續(xù)查找從RADIUS服務(wù)器。
只要主從RADIUS服務(wù)器中存在狀態(tài)為active的RADIUS服務(wù)器,則RADIUS客戶端 就僅與狀態(tài)為active的RADIUS服務(wù)器進(jìn)行通信,即使該RADIUS服務(wù)器不可達(dá),該RADIUS 客戶端也不會(huì)嘗試與狀態(tài)為block的RADIUS服務(wù)器進(jìn)行通信。 綜上所述,在多個(gè)RADIUS服務(wù)器的組網(wǎng)中,用戶認(rèn)證流程示意圖如圖4所示。 RADIUS客戶端接收到用戶發(fā)起的認(rèn)證請(qǐng)求后,首先與RADIUS服務(wù)器1 (主RADIUS服務(wù)器) 進(jìn)行通信,如果發(fā)現(xiàn)RADIUS服務(wù)器1沒有回應(yīng),即RADIUS服務(wù)器1不可達(dá)時(shí),RADIUS客 戶端依次與RADIUS服務(wù)器2和RADIUS服務(wù)器3進(jìn)行通信,如果發(fā)現(xiàn)RADIUS服務(wù)器2和 RADIUS服務(wù)器3也不可達(dá)時(shí),RADIUS客戶端與RADIUS服務(wù)器4進(jìn)行通信,發(fā)現(xiàn)RADIUS服 務(wù)器4可達(dá),則通過使用RADIUS服務(wù)器4對(duì)用戶進(jìn)行正常的認(rèn)證、授權(quán)或計(jì)費(fèi)過程。
但是,如果timer quiet定時(shí)器超時(shí)后,則對(duì)應(yīng)的RADIUS服務(wù)器的狀態(tài)將變成active狀態(tài),如果沒有用戶進(jìn)行認(rèn)證,則完全不可達(dá)的RADIUS服務(wù)器也為active狀態(tài)。后 續(xù)用戶進(jìn)行認(rèn)證時(shí),RADIUS客戶端會(huì)逐個(gè)與RADIUS服務(wù)器進(jìn)行通信,確認(rèn)RADIUS服務(wù)器 是否可達(dá),如果可達(dá),才能進(jìn)行正常的認(rèn)證、授權(quán)或計(jì)費(fèi)。從而使得在多個(gè)RADIUS服務(wù)器的 組網(wǎng)中,如果RADIUS服務(wù)器不可達(dá)時(shí),RADIUS客戶端檢查到可達(dá)的RADIUS服務(wù)器將花費(fèi) 很長(zhǎng)時(shí)間,在這段時(shí)間內(nèi),用戶可能會(huì)由于超時(shí)而導(dǎo)致認(rèn)證失敗。 而如果主RADIUS服務(wù)器一直可達(dá),能提供正常的認(rèn)證、授權(quán)或計(jì)費(fèi)功能時(shí),所有 用戶都只在主RADIUS服務(wù)器上進(jìn)行認(rèn)證,16個(gè)從RADIUS服務(wù)器完全處于閑置的備份狀態(tài)。
發(fā)明內(nèi)容
本發(fā)明提供一種認(rèn)證方法和設(shè)備,以在多個(gè)AAA服務(wù)器的組網(wǎng)應(yīng)用中,減少用戶 認(rèn)證的時(shí)間,并在多個(gè)AAA服務(wù)器上進(jìn)行負(fù)載分擔(dān)。 為了達(dá)到上述目的,本發(fā)明提出了一種認(rèn)證方法,應(yīng)用于包括客戶端、網(wǎng)絡(luò)接入服 務(wù)器NAS和至少兩個(gè)AAA服務(wù)器的系統(tǒng)中,所述方法包括以下步驟 所述NAS對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將所述至少兩 個(gè)AAA服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài); 當(dāng)接收到來自所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),所述NAS根據(jù)處于第一狀態(tài)的 AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 所述第一狀態(tài)包括active狀態(tài),所述第二狀態(tài)包括block狀態(tài), 所述NAS對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將所述至少兩
個(gè)AAA服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài),具體包括 所述NAS根據(jù)預(yù)設(shè)的周期對(duì)所述至少兩個(gè)AAA服務(wù)器的地址進(jìn)行可達(dá)性檢查,如 果檢查結(jié)果為AAA服務(wù)器可達(dá),則將該AAA服務(wù)器設(shè)置為active狀態(tài);如果檢查結(jié)果為AAA 服務(wù)器不可達(dá),則將該AAA服務(wù)器設(shè)置為block狀態(tài)。 所述NAS根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包 括 所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇AAA服務(wù)器 對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇AAA服務(wù)器 對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包括 所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè)數(shù)量的 AAA服務(wù)器,并向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求包; 如果接收到選擇的AAA服務(wù)器返回的應(yīng)答包,所述NAS根據(jù)預(yù)設(shè)條件從返回應(yīng)答
包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi); 如果沒有接收到選擇的AAA服務(wù)器返回的應(yīng)答包,所述NAS根據(jù)預(yù)設(shè)條件從選擇
的預(yù)設(shè)數(shù)量的AAA服務(wù)器之外的其他處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè)數(shù)量
的AAA服務(wù)器,并向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求包。 所述預(yù)設(shè)條件包括在線用戶個(gè)數(shù); 所述NAS根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì) 所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包括
所述NAS向在線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)確認(rèn)包,由接收到所 述認(rèn)證或計(jì)費(fèi)確認(rèn)包的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 —種認(rèn)證設(shè)備,應(yīng)用于包括客戶端、網(wǎng)絡(luò)接入服務(wù)器NAS和至少兩個(gè)AAA服務(wù)器的
系統(tǒng)中,所述認(rèn)證設(shè)備作為所述NAS,該設(shè)備進(jìn)一步包括 檢測(cè)模塊,用于對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查; 設(shè)置模塊,與所述檢測(cè)模塊連接,用于根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA服務(wù)器 設(shè)置為第一狀態(tài)或者第二狀態(tài); 接收模塊,用于接收來自所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求; 認(rèn)證模塊,與所述設(shè)置模塊和所述接收模塊分別連接,用于當(dāng)接收到來自所述客 戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 所述第一狀態(tài)包括active狀態(tài),所述第二狀態(tài)包括block狀態(tài), 所述檢測(cè)模塊具體用于,根據(jù)預(yù)設(shè)的周期對(duì)所述至少兩個(gè)AAA服務(wù)器的地址進(jìn)行
可達(dá)性檢查; 所述設(shè)置模塊具體用于,如果檢查結(jié)果為AAA服務(wù)器可達(dá)時(shí),將該AAA服務(wù)器設(shè)置 為active狀態(tài);如果檢查結(jié)果為AAA服務(wù)器不可達(dá)時(shí),將該AAA服務(wù)器設(shè)置為block狀態(tài)。
所述認(rèn)證模塊具體用于,根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選 擇AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
所述認(rèn)證模塊進(jìn)一步包括 選擇子模塊,用于根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè) 數(shù)量的AAA服務(wù)器; 收發(fā)子模塊,與所述選擇子模塊連接,用于向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi) 請(qǐng)求包,并等待接收選擇的AAA服務(wù)器返回的應(yīng)答包; 認(rèn)證子模塊,與所述收發(fā)子模塊連接,用于當(dāng)接收到選擇的AAA服務(wù)器返回的應(yīng) 答包時(shí),根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所述客戶 端進(jìn)行認(rèn)證或計(jì)費(fèi)。 所述預(yù)設(shè)條件包括在線用戶個(gè)數(shù); 所述認(rèn)證子模塊具體用于,向在線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)確 認(rèn)包,由接收到所述認(rèn)證或計(jì)費(fèi)確認(rèn)包的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn) 在多個(gè)AAA服務(wù)器的組網(wǎng)中,NAS同時(shí)向多個(gè)處于active狀態(tài)的AAA服務(wù)器發(fā)送 認(rèn)證或計(jì)費(fèi)請(qǐng)求包,減少了逐個(gè)發(fā)送所需要的時(shí)間,防止了用戶認(rèn)證超時(shí);而且NAS接收到 AAA服務(wù)器的認(rèn)證或計(jì)費(fèi)響應(yīng)包后,選擇一個(gè)在線用戶數(shù)最少的AAA服務(wù)器作為當(dāng)前用戶 的認(rèn)證服務(wù)器,其它AAA服務(wù)器上不需要保存該用戶的信息,做到了多個(gè)AAA服務(wù)器之間的 負(fù)載分擔(dān)。
圖1為現(xiàn)有技術(shù)中AAA的基本組網(wǎng)結(jié)構(gòu)示意圖; 圖2為現(xiàn)有技術(shù)中客戶端、RADIUS客戶端和RADIUS服務(wù)器之間的交互流程示意圖; 圖3為現(xiàn)有技術(shù)中多個(gè)AAA服務(wù)器的組網(wǎng)示意圖; 圖4為現(xiàn)有技術(shù)中用戶認(rèn)證流程示意圖; 圖5為本發(fā)明提出的一種認(rèn)證方法流程圖; 圖6為本發(fā)明一種應(yīng)用場(chǎng)景下提出的一種認(rèn)證方法流程圖; 圖7為本發(fā)明提出的一種認(rèn)證設(shè)備的結(jié)構(gòu)圖。
具體實(shí)施例方式
本發(fā)明中,在多個(gè)(至少兩個(gè))AAA服務(wù)器的組網(wǎng)應(yīng)用中,根據(jù)預(yù)設(shè)的周期對(duì)多個(gè) AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將多個(gè)AAA服務(wù)器設(shè)置為active狀態(tài)或者 block狀態(tài),當(dāng)接收到認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),只向處于active狀態(tài)的AAA服務(wù)器發(fā)送認(rèn)證或計(jì) 費(fèi)請(qǐng)求包,從而減少了逐個(gè)發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求包所需要的時(shí)間,防止了用戶認(rèn)證超時(shí)。
本發(fā)明中提供一種認(rèn)證方法,應(yīng)用于包括客戶端、網(wǎng)絡(luò)接入服務(wù)器NAS和至少兩 個(gè)AAA服務(wù)器的系統(tǒng)中,如圖5所示,該方法包括以下步驟 步驟501, NAS對(duì)多個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查。其中,該多個(gè)AAA服務(wù)器為至 少兩個(gè)AAA服務(wù)器。 步驟502, NAS根據(jù)檢查結(jié)果將多個(gè)AAA服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài);其 中,該第一狀態(tài)為active狀態(tài),該第二狀態(tài)為block狀態(tài)。當(dāng)然,在實(shí)際應(yīng)用中,該第一狀 態(tài)和第二狀態(tài)還可以根據(jù)實(shí)際需要進(jìn)行選擇,例如,該第一狀態(tài)為可達(dá)狀態(tài),該第二狀態(tài)為 不可達(dá)狀態(tài),在此不再詳加贅述。 具體的,該NAS需要根據(jù)預(yù)設(shè)的周期(該預(yù)設(shè)的周期可以根據(jù)實(shí)際需要任意進(jìn)行 選擇)對(duì)多個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查。例如,NAS定時(shí)ping各個(gè)AAA服務(wù)器的地址, 如果能夠ping通對(duì)應(yīng)的AAA服務(wù)器,則表明該AAA服務(wù)器可達(dá),此時(shí),需要將該AAA服務(wù)器 的狀態(tài)設(shè)置為active狀態(tài);如果不能夠ping通對(duì)應(yīng)的AAA服務(wù)器,則表明該AAA服務(wù)器不 可達(dá),此時(shí),需要將該AAA服務(wù)器設(shè)置為block狀態(tài)。 當(dāng)然,在實(shí)際應(yīng)用中,并不局限于使用ping各個(gè)AAA服務(wù)器的地址的方式進(jìn)行可 達(dá)性檢查,對(duì)于其他的處理方式,本發(fā)明中不再詳加贅述。 步驟503,當(dāng)接收到來自客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),NAS根據(jù)處于active狀態(tài)的 AAA服務(wù)器對(duì)該客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。其中,在實(shí)際應(yīng)用中,由于認(rèn)證過程和計(jì)費(fèi)過程可 以為相互獨(dú)立的過程,本發(fā)明中可以針對(duì)認(rèn)證過程或者計(jì)費(fèi)過程分別進(jìn)行處理,二者的處 理過程類似,為了方便描述,本發(fā)明中以認(rèn)證過程為例進(jìn)行說明。 具體的,當(dāng)客戶端需要連接到網(wǎng)絡(luò)時(shí),該客戶端會(huì)向NAS發(fā)送認(rèn)證請(qǐng)求(計(jì)費(fèi)過 程中為計(jì)費(fèi)請(qǐng)求),而當(dāng)NAS接收到來自客戶端的認(rèn)證請(qǐng)求時(shí),NAS會(huì)根據(jù)預(yù)設(shè)條件從處于 active狀態(tài)的各個(gè)AAA服務(wù)器中選擇AAA服務(wù)器對(duì)該客戶端進(jìn)行認(rèn)證(計(jì)費(fèi)過程中為計(jì) 費(fèi))。其中,該預(yù)設(shè)條件包括各個(gè)AAA服務(wù)器上的在線用戶個(gè)數(shù);當(dāng)然,實(shí)際應(yīng)用中,該預(yù)設(shè) 條件還可以為其他的信息,所有能夠表示各個(gè)AAA服務(wù)器的負(fù)載情況的信息均在本發(fā)明保 護(hù)范圍之內(nèi),例如,各個(gè)AAA服務(wù)器上的流量情況等。為了方便描述,本發(fā)明中以該預(yù)設(shè)條 件為各個(gè)AAA服務(wù)器上的在線用戶個(gè)數(shù)為例進(jìn)行說明。例如,多個(gè)AAA服務(wù)器分別為AAA服務(wù)器1 、 AAA服務(wù)器2、 AAA服務(wù)器3、 AAA服務(wù)器4、 AAA服務(wù)器5,根據(jù)檢查結(jié)果設(shè)置AAA服務(wù)器1、 AAA服務(wù)器2和AAA服務(wù)器3的狀態(tài) 為active狀態(tài),并設(shè)置AAA服務(wù)器4和AAA服務(wù)器5的狀態(tài)為block狀態(tài)時(shí),則本步驟中需 要根據(jù)AAA服務(wù)器1、 AAA服務(wù)器2和AAA服務(wù)器3的在線用戶個(gè)數(shù)對(duì)該客戶端進(jìn)行認(rèn)證。
在實(shí)際應(yīng)用中,為了防止在兩次對(duì)AAA服務(wù)器進(jìn)行可達(dá)性檢查之間AAA服務(wù)器的 狀態(tài)由active狀態(tài)變成block狀態(tài),從而導(dǎo)致不能正常為客戶端進(jìn)行認(rèn)證,本發(fā)明中,NAS 需要根據(jù)處于active狀態(tài)的各個(gè)AAA服務(wù)器的在線用戶個(gè)數(shù)選擇預(yù)設(shè)數(shù)量的AAA服務(wù)器, 并向選擇的AAA服務(wù)器發(fā)送認(rèn)證請(qǐng)求包。例如,該預(yù)設(shè)數(shù)量為2時(shí),則NAS需要根據(jù)AAA服 務(wù)器1、 AAA服務(wù)器2和AAA服務(wù)器3的在線用戶個(gè)數(shù)選擇2個(gè)AAA服務(wù)器,假如AAA服務(wù) 器1的在線用戶個(gè)數(shù)為10、AAA服務(wù)器2的在線用戶個(gè)數(shù)為20、AAA服務(wù)器3的在線用戶個(gè) 數(shù)為30,則NAS選擇向AAA服務(wù)器1和AAA服務(wù)器2 (需要優(yōu)先選擇在線用戶個(gè)數(shù)少的AAA 服務(wù)器)發(fā)送認(rèn)證請(qǐng)求包。 進(jìn)一步的,如果接收到選擇的AAA服務(wù)器返回的應(yīng)答包,則NAS需要從返回應(yīng)答包 的AAA服務(wù)器中選擇一個(gè)在線用戶個(gè)數(shù)最少的AAA服務(wù)器對(duì)該客戶端進(jìn)行認(rèn)證。如果沒有 接收到選擇的AAA服務(wù)器返回的應(yīng)答包,則NAS需要繼續(xù)執(zhí)行根據(jù)處于active狀態(tài)的各個(gè) AAA服務(wù)器的在線用戶個(gè)數(shù)選擇預(yù)設(shè)數(shù)量的AAA服務(wù)器,并向選擇的AAA服務(wù)器發(fā)送認(rèn)證請(qǐng) 求包的操作。 本發(fā)明中,選擇一個(gè)在線用戶個(gè)數(shù)最少的AAA服務(wù)器對(duì)該客戶端進(jìn)行認(rèn)證時(shí),該 NAS需要向該在線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證確認(rèn)包(計(jì)費(fèi)過程中為計(jì)費(fèi)確認(rèn) 包),并由接收到該認(rèn)證確認(rèn)包的AAA服務(wù)器對(duì)該客戶端進(jìn)行認(rèn)證,由沒有接收到該認(rèn)證確 認(rèn)包的AAA服務(wù)器刪除與NAS交互的信息。 例如,如果只接收到AAA服務(wù)器1返回的應(yīng)答包,則NAS需要向AAA服務(wù)器1發(fā)送 認(rèn)證確認(rèn)包,此時(shí),AAA服務(wù)器1需要為該客戶端進(jìn)行認(rèn)證。如果只接收到AAA服務(wù)器2返 回的應(yīng)答包,則NAS需要向AAA服務(wù)器2發(fā)送認(rèn)證確認(rèn)包,此時(shí),AAA服務(wù)器2需要為該客 戶端進(jìn)行認(rèn)證。如果同時(shí)接收到AAA服務(wù)器1和AAA服務(wù)器2返回的應(yīng)答包,則NAS需要 向AAA服務(wù)器1 (在線用戶個(gè)數(shù)最少)發(fā)送認(rèn)證確認(rèn)包,此時(shí),AAA服務(wù)器1需要為該客戶 端進(jìn)行認(rèn)證,而AAA服務(wù)器2由于沒有接收到該認(rèn)證確認(rèn)包,需要?jiǎng)h除與NAS交互的信息。 如果沒有收到AAA服務(wù)器1和AAA服務(wù)器2返回的應(yīng)答包,則NAS需要從其他處于active 狀態(tài)的各個(gè)AAA服務(wù)器中繼續(xù)選擇AAA服務(wù)器為該客戶端進(jìn)行認(rèn)證,此時(shí),由于處于active 狀態(tài)的AAA服務(wù)器為AAA服務(wù)器3,即需要向AAA服務(wù)器3 (AAA服務(wù)器個(gè)數(shù)不足兩個(gè),只能 選擇l個(gè))發(fā)送認(rèn)證請(qǐng)求包。 為了更加清楚的說明本發(fā)明提供的技術(shù)方案,以下結(jié)合一種具體的應(yīng)用場(chǎng)景,對(duì) 本發(fā)明提供的技術(shù)方案進(jìn)行詳細(xì)闡述。本應(yīng)用場(chǎng)景為針對(duì)多個(gè)AAA服務(wù)器組網(wǎng)的應(yīng)用場(chǎng) 景,在該應(yīng)用場(chǎng)景中,包括客戶端(例如,主機(jī)等)、NAS和多個(gè)AAA服務(wù)器;為了方便描述, 本應(yīng)用場(chǎng)景下該AAA服務(wù)器以RADIUS服務(wù)器為例進(jìn)行說明,該NAS以RADIUS客戶端為例 進(jìn)行說明。以17個(gè)RADIUS服務(wù)器為例,RADIUS客戶端上配置的17個(gè)RADIUS服務(wù)器不區(qū) 分主從RADIUS服務(wù)器。 本應(yīng)用場(chǎng)景下,RADIUS客戶端定時(shí)與17個(gè)RADIUS服務(wù)器之間進(jìn)行可達(dá)性檢查,例 如,RADIUS客戶端定時(shí)ping各個(gè)RADIUS服務(wù)器的地址,如果能夠ping通,則表明對(duì)應(yīng)的 RADIUS服務(wù)器可達(dá),將該RADIUS服務(wù)器的狀態(tài)設(shè)置為active狀態(tài),如果不能夠ping通,則
9表明對(duì)應(yīng)的RADIUS服務(wù)器不可達(dá),將該RADIUS服務(wù)器的狀態(tài)設(shè)置為block狀態(tài)。在實(shí)際 應(yīng)用中,為了使用戶更好的了解各個(gè)RADIUS服務(wù)器的狀態(tài),如果檢查到RADIUS服務(wù)器的狀 態(tài)發(fā)生變化時(shí),該RADIUS客戶端還可以向網(wǎng)管服務(wù)器發(fā)送告警信息,以通知RADIUS服務(wù)器 的狀態(tài)發(fā)生變化的信息,該過程本應(yīng)用場(chǎng)景下不再贅述。 根據(jù)可達(dá)性檢查的結(jié)果,假如RADIUS客戶端上處于active狀態(tài)的RADIUS服務(wù)器 的個(gè)數(shù)為M個(gè),則RADIUS客戶端需要獲知該M個(gè)RADIUS服務(wù)器的在線用戶個(gè)數(shù)。其中,由 于每個(gè)客戶端向RADIUS服務(wù)器進(jìn)行認(rèn)證時(shí),均需要通過該RADIUS客戶端進(jìn)行相關(guān)的操作, 則RADIUS客戶端能夠獲知各個(gè)RADIUS服務(wù)器的在線用戶個(gè)數(shù)。例如,第1個(gè)處于active 狀態(tài)的RADIUS服務(wù)器上有10個(gè)用戶在線,第2個(gè)處于active狀態(tài)的RADIUS服務(wù)器上有 15個(gè)用戶在線,第3個(gè)處于active狀態(tài)的RADIUS服務(wù)器上有20個(gè)用戶在線,依次類推,第 M個(gè)處于active狀態(tài)的RADIUS服務(wù)器上有50個(gè)用戶在線。 當(dāng)一個(gè)客戶端發(fā)起認(rèn)證時(shí),RADIUS客戶端首先從M個(gè)處于active狀態(tài)的RADIUS 服務(wù)器中選取N(l小于等于N小于等于M)個(gè)RADIUS服務(wù)器,其中,該N個(gè)RADIUS服務(wù)器 是所有M個(gè)RADIUS服務(wù)器中在線用戶數(shù)最少的幾個(gè)RADIUS服務(wù)器。 例如,N = 5時(shí),則RADIUS客戶端需要與選擇的5個(gè)RADIUS服務(wù)器進(jìn)行通信,將 認(rèn)證請(qǐng)求包發(fā)送給選擇的5個(gè)RADIUS服務(wù)器,并等待各個(gè)RADIUS服務(wù)器的回應(yīng)。RADIUS 客戶端在等待時(shí)間內(nèi)(例如,可以設(shè)置等待時(shí)間為3秒)可能會(huì)接收到0-5個(gè)RADIUS服務(wù) 器的應(yīng)答包。如果RADIUS客戶端接收到1-5個(gè)RADIUS服務(wù)器的應(yīng)答包,則RADIUS客戶端 需要繼續(xù)從返回應(yīng)答包的RADIUS服務(wù)器中選擇一個(gè)在線用戶個(gè)數(shù)最少的RADIUS服務(wù)器作 為認(rèn)證的RADIUS服務(wù)器。 此時(shí),該RADIUS客戶端需要向該在線用戶個(gè)數(shù)最少的RADIUS服務(wù)器發(fā)送認(rèn)證確 認(rèn)包,只有接收到該認(rèn)證確認(rèn)包的RADIUS服務(wù)器才對(duì)該客戶端進(jìn)行認(rèn)證,而其它沒有接收 到該認(rèn)證確認(rèn)包的RADIUS服務(wù)器需要?jiǎng)h除之前與RADIUS客戶端交互的信息??梢钥闯?, 該RADIUS客戶端通過發(fā)送該認(rèn)證確認(rèn)包,可以保證一個(gè)客戶端只在一個(gè)RADIUS服務(wù)器上 進(jìn)行認(rèn)證上線成功。 在特殊情況下,RADIUS客戶端與5個(gè)RADIUS服務(wù)器進(jìn)行通信的過程中,可能會(huì) 出現(xiàn)RADIUS客戶端沒有接收到任何RADIUS服務(wù)器返回的應(yīng)答包的情況(由于鏈路瞬間 斷開或其它原因所導(dǎo)致),此時(shí),RADIUS客戶端需要從剩下的(M-5)個(gè)處于active狀態(tài)的 RADIUS服務(wù)器中重新選擇在線用戶個(gè)數(shù)最少的5個(gè)RADIUS服務(wù)器,并將認(rèn)證請(qǐng)求包發(fā)送給 重新選擇的5個(gè)處于active狀態(tài)的RADIUS服務(wù)器,并等待RADIUS服務(wù)器的回應(yīng),以此類 推,該處理過程不再詳加贅述。 需要注意的是,上述處理過程為針對(duì)認(rèn)證的處理過程,而在實(shí)際應(yīng)用中,還需要對(duì) 授權(quán)或計(jì)費(fèi)進(jìn)行相應(yīng)的處理。本應(yīng)用場(chǎng)景下,對(duì)于計(jì)費(fèi)的處理方式,由于計(jì)費(fèi)和認(rèn)證的處理 過程類似,只需要將認(rèn)證的處理替換為計(jì)費(fèi)的處理即可。例如,當(dāng)一個(gè)客戶端發(fā)起計(jì)費(fèi)請(qǐng)求 時(shí),RADIUS客戶端從M個(gè)處于active狀態(tài)的RADIUS服務(wù)器中選取N個(gè)RADIUS服務(wù)器,認(rèn) 證請(qǐng)求包為計(jì)費(fèi)請(qǐng)求包,認(rèn)證確認(rèn)包為計(jì)費(fèi)確認(rèn)包,認(rèn)證過程為計(jì)費(fèi)過程等,本發(fā)明中不再 詳加贅述。同樣的,對(duì)于授權(quán)過程,處理過程與認(rèn)證或者計(jì)費(fèi)過程也是類似的,本發(fā)明中不 再詳加贅述。 基于上述情況,本發(fā)明中,針對(duì)客戶端、RADIUS客戶端和RADIUS服務(wù)器之間的交互流程如圖6所示,包括以下步驟 (1)客戶端發(fā)起連接請(qǐng)求,向RADIUS客戶端發(fā)送用戶名和密碼等信息。 (2)RADIUS客戶端根據(jù)獲取的用戶名和密碼,向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求包。 (3)RADIUS服務(wù)器對(duì)用戶名和密碼進(jìn)行認(rèn)證;如果認(rèn)證成功,RADIUS服務(wù)器向
RADIUS客戶端發(fā)送認(rèn)證接受包;如果認(rèn)證失敗,RADIUS服務(wù)器向RADIUS客戶端發(fā)送認(rèn)證拒
絕包。其中,由于RADIUS協(xié)議合并了認(rèn)證和授權(quán)過程,因此,認(rèn)證接受包中也包含了用戶的
授權(quán)信息。 (4) RADIUS客戶端向RADIUS服務(wù)器發(fā)送認(rèn)證確認(rèn)包。 (5)RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入或拒絕用戶。其中,如果允許用戶接 入,則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開始請(qǐng)求包。
(6) RADIUS服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包。 (7) RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)確認(rèn)包,并開始計(jì)費(fèi)。
(8)客戶端開始訪問網(wǎng)絡(luò)資源。 (9)如果客戶端請(qǐng)求斷開連接,RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求 包。 (IO)RADIUS服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包,并停止計(jì)費(fèi)。
(11) RADIUS客戶端通知客戶端訪問結(jié)束,此時(shí),客戶端結(jié)束訪問網(wǎng)絡(luò)資源。
綜上可以看出,本應(yīng)用場(chǎng)景下,RADIUS客戶端增加了認(rèn)證確認(rèn)包和計(jì)費(fèi)確認(rèn)包的 發(fā)送,RADIUS服務(wù)器只有在接收到了認(rèn)證確認(rèn)包和計(jì)費(fèi)確認(rèn)包,才正式開始認(rèn)證和計(jì)費(fèi),而 沒有接收到認(rèn)證確認(rèn)包和計(jì)費(fèi)確認(rèn)包的RADIUS服務(wù)器將刪除之前與RADIUS客戶端交互的 信息。 本應(yīng)用場(chǎng)景下,RADIUS客戶端定期與RADIUS服務(wù)器之間通過ping的方式來確認(rèn) RADIUS服務(wù)器是否可達(dá),有可能在兩個(gè)ping的間隔時(shí)間內(nèi), 一個(gè)在線用戶數(shù)最少的RADIUS 服務(wù)器狀態(tài)突然不可達(dá)了, RADIUS客戶端是不會(huì)立刻感知到該情況的,只有等到下一次 ping時(shí),才會(huì)感知到該情況,如果在這兩個(gè)ping的間隔內(nèi),有客戶端來進(jìn)行認(rèn)證,直接選擇 一個(gè)在線用戶數(shù)最少的處于active狀態(tài)的RADIUS服務(wù)器時(shí),可能會(huì)導(dǎo)致認(rèn)證失敗,因此, 在客戶端發(fā)起認(rèn)證時(shí),RADIUS客戶端需要并發(fā)與N個(gè)處于active狀態(tài)的RADIUS服務(wù)器進(jìn) 行通信,然后再?gòu)慕邮盏綉?yīng)答包的RADIUS服務(wù)器中選擇一個(gè)在線用戶數(shù)最少的RADIUS服 務(wù)器來發(fā)送認(rèn)證確認(rèn)包,保證了一個(gè)客戶端只在一個(gè)RADIUS服務(wù)器上認(rèn)證上線成功,并且 是一個(gè)在線用戶數(shù)最少的RADIUS服務(wù)器,使得各個(gè)RADIUS服務(wù)器上用戶數(shù)達(dá)到負(fù)載分擔(dān) 的效果。 基于與上述方法同樣的發(fā)明構(gòu)思,本發(fā)明還提出了一種認(rèn)證設(shè)備,應(yīng)用于包括客 戶端、網(wǎng)絡(luò)接入服務(wù)器NAS和至少兩個(gè)AAA服務(wù)器的系統(tǒng)中,所述認(rèn)證設(shè)備作為所述NAS,如 圖7所示,該設(shè)備進(jìn)一步包括 檢測(cè)模塊11 ,用于對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查;其中,所述檢測(cè)模塊11 具體用于根據(jù)預(yù)設(shè)的周期對(duì)所述至少兩個(gè)AAA服務(wù)器的地址進(jìn)行可達(dá)性檢查。
設(shè)置模塊12,與所述檢測(cè)模塊11連接,用于根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA服 務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài);其中,所述第一狀態(tài)包括active狀態(tài),所述第二狀態(tài) 包括block狀態(tài),所述設(shè)置模塊12具體用于如果檢查結(jié)果為AAA服務(wù)器可達(dá)時(shí),將該AAA
11服務(wù)器設(shè)置為active狀態(tài);如果檢查結(jié)果為AAA服務(wù)器不可達(dá)時(shí),將該AAA服務(wù)器設(shè)置為 block狀態(tài)。 接收模塊13,用于接收來自所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求。 認(rèn)證模塊14,與所述設(shè)置模塊12、所述接收模塊13分別連接,用于當(dāng)接收到來自 所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證 或計(jì)費(fèi)。 其中,所述認(rèn)證模塊14具體用于根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服 務(wù)器中選擇AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
本發(fā)明中,所述認(rèn)證模塊14進(jìn)一步包括 選擇子模塊141,用于根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇 預(yù)設(shè)數(shù)量的AAA服務(wù)器; 收發(fā)子模塊142,與所述選擇子模塊141連接,用于向選擇的AAA服務(wù)器發(fā)送認(rèn)證 或計(jì)費(fèi)請(qǐng)求包,并等待接收選擇的AAA服務(wù)器返回的應(yīng)答包; 認(rèn)證子模塊143,與所述收發(fā)子模塊142連接,用于當(dāng)接收到選擇的AAA服務(wù)器返 回的應(yīng)答包時(shí),根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所 述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 進(jìn)一步的,所述預(yù)設(shè)條件包括在線用戶個(gè)數(shù);所述認(rèn)證子模塊143具體用于向在 線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)確認(rèn)包,由接收到所述認(rèn)證或計(jì)費(fèi)確認(rèn)包的 AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。 其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合 并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。 通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通
過硬件實(shí)現(xiàn),也可以借助軟件加必要的通用硬件平臺(tái)的方式來實(shí)現(xiàn)?;谶@樣的理解,本發(fā)
明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)
介質(zhì)(可以是CD-R0M, U盤,移動(dòng)硬盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可
以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。 本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流
程并不一定是實(shí)施本發(fā)明所必須的。 本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。
上述本發(fā)明序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。 以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
1權(quán)利要求
一種認(rèn)證方法,應(yīng)用于包括客戶端、網(wǎng)絡(luò)接入服務(wù)器NAS和至少兩個(gè)AAA服務(wù)器的系統(tǒng)中,其特征在于,所述方法包括以下步驟所述NAS對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài);當(dāng)接收到來自所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),所述NAS根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
2. 如權(quán)利要求1所述的方法,其特征在于,所述第一狀態(tài)包括active狀態(tài),所述第二狀 態(tài)包括block狀態(tài),所述NAS對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA 服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài),具體包括所述NAS根據(jù)預(yù)設(shè)的周期對(duì)所述至少兩個(gè)AAA服務(wù)器的地址進(jìn)行可達(dá)性檢查,如果檢 查結(jié)果為AAA服務(wù)器可達(dá),則將該AAA服務(wù)器設(shè)置為active狀態(tài);如果檢查結(jié)果為AAA服 務(wù)器不可達(dá),則將該AAA服務(wù)器設(shè)置為block狀態(tài)。
3. 如權(quán)利要求2所述的方法,其特征在于,所述NAS根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì) 所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包括所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇AAA服務(wù)器對(duì)所 述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
4. 如權(quán)利要求3所述的方法,其特征在于,所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài) 的各個(gè)AAA服務(wù)器中選擇AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包括所述NAS根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè)數(shù)量的AAA 服務(wù)器,并向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求包;如果接收到選擇的AAA服務(wù)器返回的應(yīng)答包,所述NAS根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的 AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi);如果沒有接收到選擇的AAA服務(wù)器返回的應(yīng)答包,所述NAS根據(jù)預(yù)設(shè)條件從選擇的預(yù) 設(shè)數(shù)量的AAA服務(wù)器之外的其他處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè)數(shù)量的AAA 服務(wù)器,并向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求包。
5. 如權(quán)利要求4所述的方法,其特征在于,所述預(yù)設(shè)條件包括在線用戶個(gè)數(shù);所述NAS根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所述 客戶端進(jìn)行認(rèn)證或計(jì)費(fèi),具體包括所述NAS向在線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)確認(rèn)包,由接收到所述認(rèn) 證或計(jì)費(fèi)確認(rèn)包的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
6. —種認(rèn)證設(shè)備,應(yīng)用于包括客戶端、網(wǎng)絡(luò)接入服務(wù)器NAS和至少兩個(gè)AAA服務(wù)器的系 統(tǒng)中,所述認(rèn)證設(shè)備作為所述NAS,其特征在于,該設(shè)備進(jìn)一步包括檢測(cè)模塊,用于對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查;設(shè)置模塊,與所述檢測(cè)模塊連接,用于根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA服務(wù)器設(shè)置 為第一狀態(tài)或者第二狀態(tài);接收模塊,用于接收來自所述客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求;認(rèn)證模塊,與所述設(shè)置模塊和所述接收模塊分別連接,用于當(dāng)接收到來自所述客戶端 的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
7. 如權(quán)利要求6所述的設(shè)備,其特征在于,所述第一狀態(tài)包括active狀態(tài),所述第二狀 態(tài)包括block狀態(tài),所述檢測(cè)模塊具體用于,根據(jù)預(yù)設(shè)的周期對(duì)所述至少兩個(gè)AAA服務(wù)器的地址進(jìn)行可達(dá) 性檢查;所述設(shè)置模塊具體用于,如果檢查結(jié)果為AAA服務(wù)器可達(dá)時(shí),將該AAA服務(wù)器設(shè)置為 active狀態(tài);如果檢查結(jié)果為AAA服務(wù)器不可達(dá)時(shí),將該AAA服務(wù)器設(shè)置為block狀態(tài)。
8. 如權(quán)利要求7所述的設(shè)備,其特征在于,所述認(rèn)證模塊具體用于,根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇 AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
9. 如權(quán)利要求8所述的設(shè)備,其特征在于,所述認(rèn)證模塊進(jìn)一步包括 選擇子模塊,用于根據(jù)預(yù)設(shè)條件從處于active狀態(tài)的各個(gè)AAA服務(wù)器中選擇預(yù)設(shè)數(shù)量的AAA服務(wù)器;收發(fā)子模塊,與所述選擇子模塊連接,用于向選擇的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)請(qǐng)求 包,并等待接收選擇的AAA服務(wù)器返回的應(yīng)答包;認(rèn)證子模塊,與所述收發(fā)子模塊連接,用于當(dāng)接收到選擇的AAA服務(wù)器返回的應(yīng)答包 時(shí),根據(jù)預(yù)設(shè)條件從返回應(yīng)答包的AAA服務(wù)器中選擇其中一個(gè)AAA服務(wù)器對(duì)所述客戶端進(jìn) 行認(rèn)證或計(jì)費(fèi)。
10. 如權(quán)利要求9所述的設(shè)備,其特征在于,所述預(yù)設(shè)條件包括在線用戶個(gè)數(shù);所述認(rèn)證子模塊具體用于,向在線用戶個(gè)數(shù)最少的AAA服務(wù)器發(fā)送認(rèn)證或計(jì)費(fèi)確認(rèn) 包,由接收到所述認(rèn)證或計(jì)費(fèi)確認(rèn)包的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。
全文摘要
本發(fā)明公開了一種認(rèn)證方法,包括以下步驟NAS對(duì)至少兩個(gè)AAA服務(wù)器進(jìn)行可達(dá)性檢查,并根據(jù)檢查結(jié)果將所述至少兩個(gè)AAA服務(wù)器設(shè)置為第一狀態(tài)或者第二狀態(tài);當(dāng)接收到來自客戶端的認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),所述NAS根據(jù)處于第一狀態(tài)的AAA服務(wù)器對(duì)所述客戶端進(jìn)行認(rèn)證或計(jì)費(fèi)。本發(fā)明中,防止了用戶認(rèn)證超時(shí),且能夠?qū)崿F(xiàn)多個(gè)AAA服務(wù)器之間的負(fù)載分擔(dān)。
文檔編號(hào)H04L29/06GK101795239SQ20101014638
公開日2010年8月4日 申請(qǐng)日期2010年4月14日 優(yōu)先權(quán)日2010年4月14日
發(fā)明者熊定山 申請(qǐng)人:杭州華三通信技術(shù)有限公司