一種點到點協議強制認證方法和裝置的製作方法

2023-06-16 01:20:26

專利名稱：一種點到點協議強制認證方法和裝置的製作方法
技術領域：
本發明涉及網絡管理技術，尤其是一種點到點協議強制認證方法和裝置。
背景技術：
PPP協議(Point to Point Protocol，點到點協議)是TCP/IP協議(Transmission Control Protocol/Internet Protocol，傳輸控制協議/網際網路協議)中數據鏈路層的協議，提供一種標準的方式在點對點的鏈路上傳輸多個網絡層協議的數據包，PPP協議包括各種NCP協議(Network Control Protocol，網絡控制協議)，如IPCP協議(InternetProtocol Control Protocol，網絡協議控制協議)和IPXCP(IPX ControlProtocol，IPX控制協議)等；LCP協議族(Link Control Protocol，鏈路控制協議)；以及驗證協議族(Authentication Protocol)，如CHAP協議(Challenge Handshake Authentication Protocol，挑戰握手驗證協議)、PAP協議(Password Authentication Protocol，密碼驗證協議)等。
其中，NCP協議主要用來協商鏈路上傳輸的數據包的格式和類型；LCP協議主要用來建立、拆除和監控PPP數據鏈路；驗證協議主要用來提供網絡安全的保證。
為了在點對點的鏈路上建立通信，PPP鏈路的兩端必須發送LCP數據包進行數據鏈路的測試和配置，等鏈路建立起來之後，還可能需要進行端的驗證。然後，PPP發送NCP數據包選擇並配置一個或多個網絡層協議，當所選擇的網絡層協議配置成功之後，每個網絡層發送的數據包就可以在鏈路上傳送了。鏈路一直保持連接狀態，直到有明確的LCP或者NCP數據包斷開鏈路，或某些外來的事件發生，如定時器超時或者網絡管理員幹涉。
在驗證階段，由於運營商採用AAA伺服器(AuthenticationAuthorization and Accounting，認證、授權和計費)所支持的認證類型存在差異，有的不支持PAP，CHAP，或者MSCHAP1(Microsoft CHAPversion1，微軟CHAP協議版本1)、MSCHAP2(Microsoft CHAP version2，微軟CHAP協議版本2)的情況，所以，只有在對端採用的驗證協議跟AAA伺服器所支持的認證類型相一致的情況下，才有可能通過驗證；否則，就會出現在AAA伺服器上存在該帳號而實際未通過驗證的現象。
針對上述情形，現有的解決方案一是基於物理位置，如用戶接入設備的槽位、子卡、埠、VLAN(Virtual Local Area Network，虛擬區域網)或PVC(Permanent Virtual Connection，永久虛連接)來配置點到點認證方案，使之與AAA伺服器所支持的認證類型相一致。為了減少配置工作量可將同一物理埠下一些VLAN或PVC，組成一個邏輯接口一起進行配置。所有通過該接口接入的用戶，PPP協商過程的LCP階段，設備使用該接口下配置的認證方案與用戶進行協商。通過該接口上來的用戶在LCP階段協商的認證類型就是接口所配置的認證類型，例如接口下配置的認證類型是PAP，則通過該接口上來的用戶在LCP階段協商的認證類型就是PAP。
如圖1所示的用戶撥號上網流程示意圖，取PPPoE(PPP overEthernet，乙太網承載PPP協議)用戶為例，假設在接口下配置了CHAP認證類型，則具體過程如下首先，進行PPPoE協商；其次，進行PPP協商，具體包括下述步驟(1)用戶端和PPPoE伺服器之間進行點到點的LCP協商，建立鏈路層通信，同時協商使用CHAP認證方式；(2)PPPoE伺服器發送Challenge報文給認證用戶端，提供一個128bit的Challenge；(3)用戶端收到Challenge報文後，將密碼和Challenge做MD5算法後，發送Response響應報文給PPPoE伺服器；(4)PPPoE伺服器發送含Challenge、Challenge-Password和用戶名的Access-Request(認證請求報文)到AAA伺服器，由AAA伺服器進行認證。
(5)AAA伺服器根據用戶信息判斷用戶是否合法，然後回應Access-Accept/Access-Reject(認證成功/失敗報文)到PPPoE伺服器；如果認證成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權；如果認證失敗，則流程到此結束；(6)PPPoE伺服器將認證結果(Success/Failure)返回給用戶端；(7)用戶進行NCP(如IPCP)協商，通過PPPoE伺服器獲取到規劃的IP位址等參數；(8)認證如果成功，PPPoE伺服器發起計費開始請求給AAA伺服器；(9)AAA伺服器回應計費開始請求報文；用戶此時通過認證，並且獲得了合法的權限，可以正常開展網絡業務。
目前，網絡用戶與網絡接入服務設備相連，通過這些設備實現網絡連接。網絡用戶又屬於不同的網絡運營商，屬於不同的域。在目前的網絡運營管理系統中，網絡運營商不需要真正的NAS(Network AccessServer，網絡接入服務設備)，只需要向真正擁有該設備的網絡服務供應商租用設備即可。多個網絡運營商可能租用同一個網絡服務供應商的設備的同一個接口。由於運營商採用的AAA伺服器所支持的認證類型存在差異，有的不支持PAP，CHAP，或者MSCHAP1、MSCHAP2的情況。如圖2所示，運營商A和運營商B分別採用AAA伺服器1和AAA伺服器2，這兩臺用戶認證伺服器所支持的認證類型分別為PAP和CHAP。按照現有的技術方案一，如果接口下配置的PPP強制認證方案為MSCHAP1或者MSCHAP2，那麼分屬於運營商A和運營商B的網絡用戶user1@dom1和user2@dom2雖然在各自的AAA伺服器上有帳號，但均不能驗證通過，從而導致用戶無法開展網絡業務；如果接口下配置的點到點強制認證方案為PAP或者CHAP，那麼用戶user1@dom1和user2@dom2最多只有一個用戶能夠驗證成功。也就是說，只有在LCP階段協商好的認證類型與AAA伺服器所支持的認證類型相一致的情況下才有可能通過驗證，否則就會出現在AAA伺服器上存在著該帳號而實際上驗證不過的現象。所以，現有的技術方案一在圖2所示的情況下，為了使得用戶均能驗證通過，只能由網絡服務供應商給每個網絡運營商分配不同的接口，這樣不利於網絡服務供應商的利益；且在大容量的BRAS(Broadband Remote Access Server，寬帶遠程接入伺服器)中，給每個運營商分配不同的接口是不現實的。
現有的解決方案二是通過為用戶端配置點到點強制認證類型的方式來實現，在用戶的客戶端撥號軟體上配置點到點認證類型，設備接口上配置認證類型為自適應。這樣PPP協商中LCP階段時用戶端指定使用用戶端撥號軟體上配置的認證類型，而設備接受用戶端的要求。例如，AAA伺服器支持的認證類型是CHAP，則配置用戶端的認證類型是CHAP。這一方案的前提是用戶必須知道其所要認證的AAA伺服器支持的認證類型，即運營商必須預先告訴用戶AAA伺服器所支持的認證類型，因此就存在一定的網絡安全隱患；另外，該方案不夠靈活，如果運營商需要切換用戶認證的AAA伺服器，必須通知用戶根據新的伺服器所支持的認證類型進行調整，使用戶端的認證類型與切換後的認證伺服器所支持的認證類型保持一致，否則，將導致用戶無法驗證通過。

發明內容
基於上述情形，本發明提供了一種點到點協議強制認證方法和裝置。靈活、安全地解決了由於運營商採用AAA伺服器所支持的認證類型存在差異而導致用戶無法通過驗證的問題；無須為每個網絡運營商分配不同接口，從而維護網絡服務供應商的利益。
本發明中的點到點協議強制認證方法，包括步驟A、鏈路進行LCP協商，獲得LCP協商的認證類型；B、比較LCP協商的認證類型和域下配置的點到點強制認證類型，進行點到點協議認證。
其中，步驟B包括具體步驟B1、若LCP協商的認證類型和域下配置的點到點強制認證類型相同，發送認證請求報文到AAA伺服器進行認證；B2、若LCP協商的認證類型和域下配置的點到點強制認證類型不同，將域下配置的點到點強制認證類型下發，進行LCP重協商，獲得LCP重協商的認證類型，並與域下配置的點到點強制認證類型進行比較，二者相同，則發送認證請求報文到AAA伺服器進行認證。
本發明方法中，域下配置的點到點強制認證類型為AAA伺服器所支持的認證類型。
所述LCP重協商是由鏈路控制協議通過交換配置報文，將協商的類型更換為所述下發的域下配置的點到點強制認證類型。
所述AAA伺服器接收到認證請求報文後，進行認證，認證通過後，返回認證成功報文。
本發明的點到點協議強制認證裝置，在用戶端與AAA伺服器之間包括接口模塊與比較模塊，接口模塊與用戶端和比較模塊相連，比較模塊又與AAA伺服器相連，接口模塊，與用戶端進行LCP協商，並發送比較請求消息給比較模塊；比較模塊，將LCP協商的認證類型與域下配置的點到點強制認證類型進行比較，並發送認證請求報文給AAA伺服器進行認證。
其中，若LCP協商的認證類型與域下配置的認證類型不同，則所述的比較模塊將域下配置的點到點強制認證類型下發給所述的接口模塊。
所述的接口模塊根據下發的認證類型與用戶端進行LCP重協商，鏈路再次建立後，所述的接口模塊再次發送比較請求消息給所述的比較模塊進行處理。
其中，所述比較請求消息中攜帶有LCP協商的認證類型。
本發明提供的方法和裝置，實現了針對不同運營商的網絡用戶的認證管理。這不僅有利於網絡服務供應商開展業務，能夠把同一個接口租給不同的網絡運營商，同時也是構建大容量BRAS系統不可或缺的一項技術。


圖1為現有技術中的用戶撥號上網流程圖；圖2為現有技術中的用戶撥號上網示意圖；圖3為本發明中點到點協議強制認證的流程圖；圖4為本發明中點到點協議強制認證裝置圖。
具體實施例方式
同一個域下的用戶具有相同的認證方法，計費方法，DNS(DomainName Server，域名伺服器)的IP位址，預設的業務屬性，該域對應的AAA伺服器的IP位址和服務埠號，當系統失去計費能力時是否允許用戶在線的策略等。
在域下配置點到點強制認證類型與AAA伺服器所支持的認證類型相一致，可通過下發命令進行配置。網絡用戶撥號上網根據域所對應的AAA伺服器的IP位址和服務埠號，到相應的AAA伺服器上去認證。
下面結合圖3，具體說明點到點協議強制認證方法的具體實現過程步驟1，LCP協商階段接口下配置認證類型為auto，用戶撥號上網，LCP通過交換配置報文，進行LCP協商，建立鏈路並確定認證類型；步驟2，認證階段把LCP協商階段確定的認證類型和該用戶所在域下配置的點到點強制認證類型比較，如果二者相同，發送認證請求報文到AAA伺服器進行認證處理；如果二者不同，則將域下配置的點到點強制認證類型下發，進入LCP重協商階段；
步驟3，LCP重協商階段LCP通過交換配置報文，進行LCP重協商，協商的認證類型為步驟2中下發的域下配置的點到點強制認證類型，鏈路建立後，再次進入步驟2的認證階段。
這時，LCP階段協商的認證類型和該用戶所在域下配置的點到點強制認證類型相同，發送認證請求報文到AAA伺服器進行認證處理。
由於，在域下配置點到點強制認證類型與該AAA伺服器所支持的認證類型相一致，因此，用戶能夠通過AAA伺服器的驗證，順利開展網絡業務。
同時，本發明還提供了一種點到點強制認證裝置，如圖4所示，在用戶端與AAA伺服器之間包括接口模塊與比較模塊。
用戶端與接口模塊之間進行LCP協商建立鏈路並協商認證類型；鏈路建立後，接口模塊發送比較請求消息給比較模塊，該比較請求消息中攜帶有LCP協商的認證類型；比較模塊將LCP階段協商的認證類型與域下配置的點到點強制認證類型進行比較，若LCP階段協商的認證類型與域下配置的點到點強制認證類型相同，比較模塊則發送認證請求報文給AAA伺服器，進行認證；若LCP階段協商的認證類型與域下配置的點到點強制認證類型不同，則比較模塊將域下配置的點到點強制認證類型下發給接口模塊；接口模塊根據下發的認證類型與用戶端進行LCP重協商，鏈路再次建立後，由接口模塊發送比較請求消息給比較模塊。此時，LCP階段協商的認證類型與域下配置的點到點強制認證類型相同，比較模塊將發送認證請求報文給AAA伺服器，進行認證。
AAA伺服器認證成功後，將返回認證成功報文給接口模塊，接口模塊將認證成功報文返回到用戶端。至此，用戶通過認證，獲得合法的權限，可以正常開展網絡業務。
以上所述，僅為本發明較佳的具體實施方式
，但本發明的保護範圍並不局限於此，任何熟悉該技術的人在本發明所揭露的技術範圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護範圍之內。
權利要求
1.一種點到點協議強制認證方法，其特徵在於，包括步驟A、鏈路兩端進行LCP協商，獲得LCP協商的認證類型；B、比較LCP協商的認證類型和域下配置的點到點強制認證類型，進行點到點協議認證。
2.根據權利要求1所述的點到點協議強制認證方法，其特徵在於，步驟B包括具體步驟B1、若LCP協商的認證類型和域下配置的點到點強制認證類型相同，發送認證請求報文到AAA伺服器進行認證；B2、若LCP協商的認證類型和域下配置的點到點強制認證類型不同，將域下配置的點到點強制認證類型下發，進行LCP重協商，獲得LCP重協商的認證類型，並與域下配置的點到點強制認證類型進行比較，二者相同，則發送認證請求報文到AAA伺服器進行認證。
3.根據權利要求1或2所述的點到點協議強制認證方法，其特徵在於，所述域下配置的點到點強制認證類型為AAA伺服器所支持的認證類型。
4.根據權利要求2所述的點到點協議強制認證方法，所述LCP重協商是由鏈路控制協議通過交換配置報文，將協商的類型更換為所述下發的域下配置的點到點強制認證類型。
5.根據權利要求2所述的點到點協議強制認證方法，其特徵在於，所述AAA伺服器接收到認證請求報文後，進行認證，認證通過後，返回認證成功報文。
6.一種點到點協議強制認證裝置，其特徵在於，在用戶端與AAA伺服器之間包括接口模塊與比較模塊，接口模塊與用戶端和比較模塊相連，比較模塊又與AAA伺服器相連，接口模塊，與用戶端進行LCP協商，並發送比較請求消息給比較模塊；比較模塊，將LCP協商的認證類型與域下配置的點到點強制認證類型進行比較，並發送認證請求報文到AAA伺服器進行認證。
7.根據權利要求6所述的點到點協議強制認證裝置，其特徵在於，若LCP協商的認證類型與域下配置的認證類型不同，則所述的比較模塊將域下配置的點到點強制認證類型下發給所述的接口模塊。
8.根據權利要求7所述的點到點協議強制認證裝置，其特徵在於，所述的接口模塊根據下發的認證類型與用戶端進行LCP重協商，鏈路再次建立後，所述的接口模塊再次發送比較請求消息給所述的比較模塊進行處理。
9.根據權利要求6所述的點到點協議強制認證裝置，其特徵在於，所述比較請求消息中攜帶有LCP協商的認證類型。
全文摘要
本發明公開了一種點到點協議強制認證方法，包括如下步驟A.進行LCP協商，獲得LCP協商的認證類型；B.比較LCP協商的認證類型和域下配置的點到點協議強制認證類型，進行點到點協議認證。本發明還公開了一種點到點協議強制認證裝置。本發明能夠對不同運營商的用戶進行認證管理，有利於網絡服務供應商開展業務，並且是構建大容量寬帶遠程接入伺服器系統不可或缺的一項技術。
文檔編號H04L12/24GK1859415SQ200610034898
公開日2006年11月8日 申請日期2006年4月4日 優先權日2006年4月4日
發明者張軼炯, 韓濤, 夏開軍 申請人:華為技術有限公司