一種面向多接入模式的認證網絡的製作方法

2023-04-27 21:22:11

專利名稱：：一種面向多接入模式的認證網絡的製作方法
技術領域：
：本發明涉及涉及一種面向多接入模式的認證網絡，屬於計算機接入認證
技術領域：
。
背景技術：
：從技術和業務發展趨勢以及固網運營商生存和發展的需要看，固網運營商進入移動通信領域在今天已經是勢在必行。固網運營商應該將寬帶移動無線數據業務與寬帶固網數據業務捆綁進行，在已經有的固定寬帶IP網上設置無線基站，來提供寬帶移動數據業務。目前IEEE正在制定無線區域網IEEE802.11、無線城域網IEEE802.16、和無線廣域網IEEE802.20的標準，可以和固定寬帶IP網結合提供寬帶移動數據業務，將形成和ITU的三代移動通信標準(WCDMA，TD-SCDMA，CDMA2000)對峙的局面。固網運營商可以在ffiEE標準的基礎上發展自己的寬帶移動數據業務，在已經有的固網基礎設施上進行，與固網業務擁綁提供移動業務。各種寬帶接入網絡的迅猛發展，用戶數量急劇增加，採用寬帶接入認證和計費系統，建立一個可運營、可管理的寬帶網絡，已經成為網絡運營商的迫切需求。然而傳統的認證計費系統採用的模式都是基於不同接入技術、使用不同的認證系統。但是，多業務、多認證系統的模式，不利於有效的利用網絡資源、統一用戶的資料庫，不能實現網絡優化方案的開展和為用戶提供一單式計費的可能。其主要問題表現在以下幾個方面①不同接入技術使用不同認證系統給用戶帶來了極大的不便，用戶和運營商需要維護多套的用戶資料，用戶在通過不同的接入技術訪問網絡時必須使用不同的用戶資料；多認證系統無法實現一單式計費，這也會導致用戶的流失(用戶可以為不同接入技術選擇不同的運營商)。②不同的接入技術使用不同的認證系統需要運營商布設多套的認證系統，這會增加運營商的設備成本；相應地，多個認證系統的維護需要更多的網絡管理人員，這就增加了運營商的網絡管理維護成本。③因系統原因造成用戶資料的龐大，運營商無法基於用戶的各種業務進行統計分析，不利於為用戶在多種業務之間提供靈活組合的計費策略。因此需要將各種接入認證技術融合成綜合的接入系統，以解決上述問題。中國專利公開號101291218，公開了一種多模通信終端進行認證或通信的方法、涉及的系統，該方法主要包括當該終端某一種模式已經成功使用，在另一種模式進行認證或者通信的時候，利用已經建立的信任關係和網絡通道進行認證支持和通信參數協商，使得終端的多個模式之間進行有效的融合和信息共享，避免各模式獨立進行認證和通信帶來功能的重複和操作的複雜性。該方法處理的問題不夠全面，也沒有提到相關的計費問題，存在一定的缺陷
發明內容本發明所要解決的技術問題是克服現有技術中所存在的上述不足，而提供一種面向多接入模式的認證網絡，將現有的主流認證技術都實現在一個面向多接入控制設備上，多接入控制設備主要支持PPPoE、IEEE802.IX和Web+DCHP認證，同時支持標準IEEE802.Ili和IEEE802.16中定義的認證。本發明解決上述技術問題所採用的技術方案是一種面向多接入模式的認證網絡，其特徵在於它包括有線接入設備、無線接入設備、接入控制設備、認證系統和網際網路，有線接入設備和無線接入設備與接入控制設備連接，接入控制設備與認證系統連接，認證系統與網際網路連接。接入控制設備位於各種接入設備與認證系統的銜接處，主要負責用戶的接入認證和移動性管理；接入控制設備能為多種接入網絡的用戶提供統一的接入認證、授權和計費服務(以下簡稱AAA服務)，支持現有的主流接入方式，和新興的寬帶無線接入；在城域核心網部分提供一套認證系統，為多種接入網絡提供統一的AAA服務。用戶可以在多種網絡間漫遊，統一認證和計費，避免了為採用某種鏈路層技術的接入網絡單獨建立一套認證系統,降低運營商的投資和運營成本。所述的認證系統包括PPPoE模塊、802.IX模塊、802.Ili模塊、GRE模塊、AM模塊、RADIUSClient模塊、WebServer認證模塊、TCP/IPStack模塊、轉發模塊、PPPEnd模塊、EthernetDriver模塊、SCS模塊、DHCP模塊、Subscribertable模塊和KSCS模塊,所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接，PPPEnd模塊分別與轉發模塊和EthernetDriver模塊連接；802.IX模塊分別與802.Ili模塊、AIM模塊和EthernetDriver模塊連接，802.Ili模塊與GRE模塊連接，GRE模塊與TCP/IPStack模塊連接，TCP/IPStack模塊與轉發模塊連接，轉發模塊與EthernetDriver模塊連接；所述的AIM模塊分別與RADIUSClient模塊、WebServer認證模塊和SCS模塊連接,WebServer認證模塊與TCP/IPStack模塊連接，SCS模塊分別與DHCP模塊、Subscribertable模塊和KSCS模塊連接，KSCS模塊分別與Subscribertable模塊和轉發模塊連接。所述的AIM模塊為認證接口管理模塊,全稱AuthenticationInterfaceManager,在認證系統中起著樞紐作用，銜接眾多其他模塊，將認證流程、用戶權限生成下發、計費流程聯繫起來。根據對外接口，可以進一步將AIM模塊劃分為幾個部分，分別是認證方式接口、認證協議接口、用戶配置與統計接口。①認證方式接口用於提供用戶多種認證方式。每個用戶認證服務模塊當接收到用戶的認證請求後，將需要提供的屬性，如用戶名、密碼等封裝在統一的結構中，該結構中同時包含認證結果返回後應調用的回調函數，調用AIM模塊提供的統一接口傳送給該模塊。②認證協議接口用於支持多種認證協議，如RADIUS、Diameter。AIM模塊和各認證客戶端之間的接口是統一的，該接口根據系統中配置的認證協議，將認證模塊傳過來的封裝數據傳送到認證協議的客戶端模塊，如RADIUSClient模塊，由客戶端模塊封裝成認證協議報文發送到認證伺服器。該結構同時註冊了回調函數，RADIUSClient模塊根據認證結果調用回調函數通知認證模塊，並最終發送到用戶端。③用戶配置與統計接口專門負責與SCS模塊通信，用於業務開通、計費等功能。所述的802.IX模塊負責封裝和解析與用戶端之間的EAPOL(ExtensibleAuthenticationProtocolOverLan:基於區域網的擴展認證協議)的消息，並維護用戶相關的IEEE802.IX協議狀態機，以及與AM的接口。IEEE802.IX協議定義8個狀態機埠定時狀態機，認證者狀態機，傳輸密鑰狀態機，重認證定時器狀態機，後端伺服器狀態機，受控方向狀態機，客戶端狀態機，接收密鑰狀態機。所述的WebServer模塊對於Web+DHCP方式,用戶並不是直接向接入控制器中的WebServer請求頁面，而是試圖去訪問某個網站，此時需要由用戶轉發模塊FWD將用戶的頁面請求轉交給用戶模塊WebServer。收到用戶頁面請求,WebServer模塊向用戶發送重定向頁面，讓用戶向本WebServer發送頁面請求。然後WebServer模塊根據密碼認證的方式，生成不同的頁面發送到用戶端。當接收到用戶名、密碼等信息後，將客戶端信息封裝在統一的結構中，調用AM模塊提供的統一接口，發送到RADIUSClient模塊。同時在該結構中封裝自己的回調函數。所述的PPPoE模塊對於採用PPPoE接入方式，由於業務數據和控制數據並沒有完全分開(都使用PPP協議頭封裝)，為了提高PPPoE轉發數據的處理效率，需要將PPPoE的功能分割並分別在內核與用戶空間實現，對於PPPoE鏈路的建立過程由用戶空間的PPPoE模塊完成，而PPPoE封裝的數據業務流由內核中的轉發模塊處理。MAC層驅動將收到的PPPoE幀交付給PPPEND模塊處理，PPPEND模塊根據類型欄位判斷該幀是數據幀還是控制幀，如果是控制幀則交給用戶空間的PPPoE模塊，否則交給轉發模塊處理。用戶空間的PPPoE模塊處理PPPoE的發現階段，和會話階段中的PPP有限狀態的轉變，並通過AM模塊和RADIUSClient傳遞用戶認證信息。認證成功後將SESSIONID、用戶IP位址等信息通過AIM、SCS模塊下發給內核的用戶表。所述的802.Ili模塊模塊主要處理來自於集中式AP的IEEE802.11管理幀，這些管理幀由GRE模塊交付給本模塊處理，GRE模塊主要完成解析和封裝GRE協議頭的功能。802.Ili模塊功能包括以下功能IEEE802.11幀的解析和封裝、IEEE802.11關聯過程的處理、四次握手密鑰協商處理、向AP下發密鑰處理。所述的DHCP模塊是一個區域網的網絡協議，使用UDP協議工作，主要有兩個用途給內部網絡或網絡服務供應商自動分配IP位址，給用戶或者內部網絡管理員作為對所有計算機作中央管理的手段。所述的RADIUSClient模塊RADIUSClient模塊在系統中起著重要作用，它是接入控制設備實現用戶認證、計費功能的接口，通過使用RADIUS協議與遠端認證伺服器進行通信，完成對用戶業務的認證、生成、計費功能。RADIUSClient模塊接收來自AM模塊的認證信息(認證模塊產生)和計費信息(SCS模塊產生)，並封裝成RADIUS協議報文發送給RADIUSServer0同時模塊還需要具備定時重發RADIUS協議報文功能。並將從RADIUSServer收到的認證，授權信息通過AM轉交給正確的模塊。所述的SCS和KSCS模塊SCS模塊為用戶配置和統計，全稱SubscriberConfigurationandStatistic；KSCS模塊為內核用戶配置和統計，全稱KernelSubscriberConfigurationandStatistic;SCS模塊負責將認證授權結果下發給內核的KSCS模塊，KSCS模塊保存用戶信息表項，並由轉發模塊完成對用戶需要轉發的數據進行過濾、控制。當用戶註銷後，由SCS模塊通知內核刪除用戶表項。SCS支持通過SNMP和CLI對用戶表項進行操作。SCS模塊定時向內核請求收集計費信息，然後經由AIM模塊、RADIUSClient模塊傳回AAA伺服器。所述的轉發模塊屬於內核空間的功能模塊，主要負責用戶數據的轉發，根據用戶表對用戶數據包進行過濾、速率控制和計費數據採集。所述的Subscribertable模塊用於保存認證用戶的相關信息,用戶表中包含Web認證、802.IX認證、802.Ili和PPPoE認證用戶的相關表項。用戶表項主要包含以下幾部分內容用戶的標誌信息，如IP位址、MAC地址或PPPSESSI0NID等；速率控制信息；流量統計信息；ACL組。利用表項包含的ACL欄位，可以為每個用戶制定ACL規則。當然，也可以以VLAN為單位制定ACL規則，這時，該VLAN所屬的所有用戶的ACL規則均一致。對於經由802.IliAP認證的用戶，認證點(Authenticator)位於802.IliAP,接入控制設備並不執行接入控制功能。所述的TCP/IPStack模塊是Internet國際網際網路的基礎，是網絡中使用的基本的通信協議。TCP協議負責把數據分成若干個數據包，並給每個數據包加上包頭，就像給一封信加上信封，包頭上有相應的編號，以保證在數據接收端能將數據還原為原來的格式，IP協議在每個包頭上再加上接收端主機地址,這樣數據找到自己要去的地方,如果傳輸過程中出現數據丟失、數據失真等情況，TCP協議會自動要求數據重新傳輸，並重新組包。總之，IP協議保證數據的傳輸，TCP協議保證數據傳輸的質量。所述的EthernetDriver模塊是連接網際網路和區域網的埠，是上網所必需的。本發明所述的認證系統分為低度融合和高度融合兩種方式，在低度融合的方式下，接入控制設備僅具有單一的認證技術，各認證技術使用自己的接入控制設備，不同的接入控制設備的用戶都到一個統一認證系統去認證；低度融合方式雖然在一定程度上將不同接入認證技術融合在一起，即利用統一的認證系統為各接入認證技術提供認證計費功能。但由於接入控制器僅支持單一的認證技術，運營商為了在不同環境下布設接入網絡，必須使用多套的接入控制設備以滿足不同的接入認證技術需求。這就導致了網絡的布設成本較高，網絡結構複雜，維護成本高。在高度融合的方式下，接入控制設備支持多種接入認證技術，各認證技術都終結於同一個接入控制設備上，所有的認證信息通過不同的認證技術發送到相同接入控制設備上，然後由接入控制設備將認證信息封裝在認證協議中送給認證系統完成認證功能；由於接入控制設備支持多種接入認證方式，對使用不同的接入技術的用戶進行統一的接入控制，使用統一的認證系統，因此用戶同樣僅需維護一套用戶信息和計費結算清單。而且接入認證設備數量的減少也降低了運營商布設網絡時的設備成本，並降低網絡結構的複雜度便於維護。同時支持多種認證方式的接入控制設備易於運營商根據市場需求開展各種業務，增加了布網的靈活性。運營商可以根據不同情況使用接入控制設備布設網絡，對於現有的已經布設好的網絡，可以將接入控制設備按低度融合方式的布設以保留已投入的成本。而在一個新的區域布設接入網時，可以在該區域布設接入控制器並按市場的需求開展相應的業務，並隨著市場需求的發展，按高度融合的方式來擴展新的業務。本發明所述的有線接入設備包括路由器、桌上型電腦、筆記本，桌上型電腦、筆記本通過有線網與路由器連接，路由器與接入控制設備連接。本發明所述的無線接入設備包括無線接收器、筆記本、移動終端，筆記本、移動終端通過無線網與無線接收器連接，無線接收器通過無線網與接入控制設備連接。本發明所述的認證系統中模塊處理的具體流程包括認證流程、用戶授權流程、計費流程、地址分配流程、強制認證流程和轉發流程。本發明與現有技術相比，具有以下明顯效果設計合理，通過認證系統提供一套統一的AAA服務，能為採用不同鏈路技術、不同性質的用戶提供AAA服務。在一個共同的框架基礎上，針對不同鏈路層技術的特點分別提不同的認證模塊，實現對多種鏈路層技術的接入。可以給不同接入方式的客戶帶來方便，並且實現統一的計費，為用戶在多種業務之間提供靈活組合的計費策略，另一方面也能夠降低運營商的成本。圖I為本發明的結構示意圖。圖2為本發明中認證系統的模塊結構圖。具體實施例方式下面結合附圖並通過實施例對本發明作進一步說明。實施例參見圖I，本實施例包括有線接入設備I、無線接入設備2、接入控制設備3、認證系統4和網際網路5，有線接入設備I和無線接入設備2與接入控制設備3連接，接入控制設備3與認證系統4連接，認證系統4與網際網路5連接；有線接入設備I包括路由器11、桌上型電腦12、筆記本13，桌上型電腦12、筆記本13通過有線網與路由器11連接，路由器11與接入控制設備3連接；無線接入設備2包括無線接收器21、筆記本22、移動終端23，筆記本22、移動終端23通過無線網與無線接收器21連接，無線接收器21通過無線網與接入控制設備3連接。接入控制設備位於各種接入設備與認證系統的銜接處，主要負責用戶的接入認證和移動性管理；接入控制設備能為多種接入網絡的用戶提供統一的接入認證、授權和計費服務(以下簡稱AAA服務)，支持現有的主流接入方式，和新興的寬帶無線接入；在城域核心網部分提供一套認證系統，為多種接入網絡提供統一的AAA服務。用戶可以在多種網絡間漫遊，統一認證和計費，避免了為採用某種鏈路層技術的接入網絡單獨建立一套認證系統，降低運營商的投資和運營成本。參見圖2，所述的認證系統包括PPPoE模塊、802.IX模塊、802.Ili模塊、GRE模塊、AIM模塊、RADIUSClient模塊、WebServer認證模塊、TCP/IPStack模塊、轉發模塊、PPPEnd模塊、EthernetDriver模塊、SCS模塊、DHCP模塊、Subscribertable模塊和KSCS模塊，所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接，PPPEnd模塊分別與轉發模塊和EthernetDriver模塊連接；802·IX模塊分別與802.Ili模塊、AIM模塊和EthernetDriver模塊連接，802.Ili模塊與GRE模塊連接，GRE模塊與TCP/IPStack模塊連接，TCP/IPStack模塊與轉發模塊連接,轉發模塊與EthernetDriver模塊連接；所述的AIM模塊分別與RADIUSClient模塊、WebServer認證模塊和SCS模塊連接，WebServer認證模塊與TCP/IPStack模塊連接，SCS模塊分別與DHCP模塊、Subscribertable模塊和KSCS模塊連接，KSCS模塊分別與Subscribertable模塊和轉發模塊連接。本實施例中，模塊處理的具體流程包括認證流程、用戶授權流程、計費流程、地址分配流程、強制認證流程和轉發流程。認證流程各種認證模塊通過AM模塊提供的認證接口，將認證用戶的信息發送到RADIUSClient模塊的消息隊列。RADIUSClient模塊接收到認證請求後，為該用戶建立一個記錄表項，包括用戶名、用戶密碼等參數，將該表項添加到認證請求列表中，該列表以用戶名為索引，採用合適的數據結構以加快搜索速度。RADIUSClient模塊按照預先配置的Access-Request屬性控制列表，為該請求組合一個Access-Request報文，發送給RADIUSServer模塊；如果一段時間內沒有收到RADIUSServer模塊的響應報文，則重發該報文。如果重發次數到了最大值，還沒有接收到RADIUSServer模塊的回應，則直接刪除該認證請求，同時調用該認證類型所註冊的通知回調函數，通知用戶認證伺服器不可達。在支持多個RADIUSServer的情況下，RADIUSClient模塊將嘗試其它伺服器，等全部失敗後再通知AIM模塊和用戶認證模塊。根據從RADIUSServer模塊的響應報文，RADIUSClient模塊分別做以下的處理①對於Reject報文，調用該用戶認證方式所註冊的通知回調函數，去通知用戶認證失敗，同時刪除該用戶請求表項。②對於Challenge報文，調用該用戶認證所註冊的查詢回調函數，去通知用戶計算Challenge值。③對於Acc印t報文，調用該用戶認證方式所註冊的通知回調函數，去通知用戶認證成功；然後該用戶從認證請求用戶列表中刪除，並調用AIM模塊提供的接口，將用戶授權信息傳送給SCS模塊。用戶授權流程當SCS模塊接收到添加用戶授權消息後，構造用戶表項，如果信息完整，向內核下發添加用戶表項消息，如果缺少IP信息，啟動一個定時器。如果定時器超時，SCS模塊刪除用戶表項。如果在定時器超時之前收到DHCP模塊申請地址成功的消息，SCS模塊填寫IP位址，下發用戶表項。內核處理該消息並且返回一個回應消息。SCS收到內核回應消息，判斷如果內核成功添加該用戶成功，並且該用戶需要計費操作，則調用AIM模塊提供的接口觸發RADIUSClient模塊發送Accounting-Start報文消息；RADIUSClient模塊接收到消息後，為該用戶建立一個記錄表項，包括用戶名、統計信息等其他參數，添加到計費請求列表中。RADIUSClient模塊按照預先配置的Account-Request屬性控制列表,為該請求組合一個Account-Request報文,發送給認證伺服器；如果一段時間內沒有收到RADIUSServer模塊的響應報文，則重發該報文。如果重發次數到了最大值，還沒有接收到RADIUSServer模塊回應，則直接刪除該計費請求，並通知SCS模塊計費失敗，刪除用戶表項。當SCS模塊接收到刪除用戶消息後，向內核下發鎖定用戶消息。內核處理該消息，並在返回消息中攜帶該用戶的統計信息。SCS模塊收到回應消息，判斷已經成功鎖定用戶，調用AM模塊提供的接口觸發RADIUSClient模塊發送Accounting-Stop報文消息，最後SCS模塊向內核下發刪除用戶消息，讓內核徹底刪除該用戶。計費流程計費請求的發起者是SCS模塊。SCS模塊為每個用戶建立一個計費定時器，該定時器的間隔被設置為Access-Accept報文中Acct-Interim-Interval屬性值。每當該定時器到期之後，就向內核發送統計消息。當接收到內核的統計消息後，更新該用戶的統計信息，通過AIM模塊提供的用戶配置統計接口觸發RADIUSClient模塊發送Accounting-Update消肩、O按時長控制用戶用戶使用網絡的計時操作是在SCS模塊進行的。當用戶申請的網絡使用時長到期後，SCS模塊向內核發送消息鎖定該用戶的轉發服務。當內核接收到該消息後，鎖定該用戶的轉發，並且在返回消息中，攜帶該用戶的統計信息。當SCS模塊處理內核返回消息後，更新該用戶的統計信息；並觸發向RADIUSClient模塊發送Accounting-Stop報文消息,然後向內核發送刪除用戶消息。如果一定時間內SCS模塊沒有受到內核的回應消息，則重新向內核發送鎖定消息。按流量控制用戶在內核統計用戶流量的過程中，如果發現用戶可用流量已經達至IJ，則內核主動鎖定該用戶，然後向SCS返回鎖定消息，並在消息中攜帶用戶的統計信息。地址分配流程自動地址配置由DHCP模塊完成。為了避免IP位址浪費的情況，DHCP模塊應該支持二次地址分配功能，即當用戶請求DHCP分配地址時，DHCP模塊先通過SCS模塊提供的接口查看該用戶是否已經通過認證，如果沒有認證則給用戶分配一個局部鏈路地址，該地址僅在本地有效，無法訪問外網。當用戶認證通過以後，由SCS模塊觸發DHCP模塊發起給用戶的二次地址分配過程，此時將給用戶分配全局的IP位址，並將該全局IP位址傳遞給SCS模塊，最終由SCS模塊下發給內核的用戶表。強制認證流程僅考慮Web認證的情況(另外兩種假定由用戶主動觸發)，內核轉發模塊對所有的需要轉發的數據包進行過濾，如果數據包是一個沒有經過認證的用戶所發送的HTTP報文，而且目的IP不是接入接入控制器，那麼將目的IP替換為接入控制器的環回地址，包括重新計算校驗和，並且將該報文的源IP位址、源埠、目的IP位址、目的埠的對應關係記錄到「強制認證鍊表」，然後上送給WebServer模塊處理。WebServer將重定向頁面發送給用戶，該報文在發出時被轉發模塊檢測到源埠是80、源IP位址是接入控制器自己的報文，轉發模塊根據該報文目的IP位址、目的埠查找「強制認證鍊表」，將這個報文的源IP位址、源埠替換為查找到表項內的目的IP位址、目的埠，包括重新計算校驗和，然後發送該報文。用戶收到後發送目的地址為接入控制器的HTTP請求,開始Web認證。這就完成了強制認證功能。當用戶認證之後，系統為用戶向內核下發用戶轉發表項。此後如果內核接收到目的非接入控制器的流量，將直接通過內核轉發這些流量，而不用上送處理。轉發流程轉發模塊運行在MAC驅動層與TCP/IP協議棧之間，主要功能包括數據包過濾(檢驗需要轉發的數據包是否由已經認證的用戶所發)、速率控制、統計轉發流量。此外還包括強制認證功能的實現，對於PPPoE接入方式還需要處理PPP協議。轉發流程可以分為上行和下行數據的轉發過程，所謂上行數據就是指由接入用戶向網絡發出的數據，下行數據指網絡向用戶發送的數據。對於上行數據，即用戶側發出的數據，轉發模塊主要完成以下功能①用戶認證方式的區分。可以分為兩種用戶類型802.IliAP上已經認證的用戶與其它認證用戶。區分的方法是依據報文首部攜帶的VLANID。②對於本地不需要做認證處理的VLANjPACL模塊配合進行ACL控制，NAT轉換(如果啟動該功能);對於本地需要認證的用戶，除了ACL控制外，還進行速率限制和流量統計。③對於Web認證用戶，維護強制認證表，執行強制認證功能，輔助用戶完成認證。對於下行數據，即網絡側發出的數據，轉發模塊主要完成以下功能①如果啟動了NAT功能，則對數據進行NAT轉換。②判斷目的IP是否為合法用戶的IP。③認證用戶進行速率限制和流量統計。雖然本發明已以實施例公開如上，但其並非用以限定本發明的保護範圍，任何熟悉該項技術的技術人員，在不脫離本發明的構思和範圍內所作的更動與潤飾，均應屬於本發明的保護範圍。權利要求1.一種面向多接入模式的認證網絡，其特徵在於它包括有線接入設備、無線接入設備、接入控制設備、認證系統和網際網路，有線接入設備和無線接入設備與接入控制設備連接，接入控制設備與認證系統連接，認證系統與網際網路連接；所述的認證系統包括PPPoE模塊、802.IX模塊、802.Ili模塊、GRE模塊、AM模塊、RADIUSClient模塊、WebServer認證模塊、TCP/IPStack模塊、轉發模塊、PPPEnd模塊、EthernetDriver模塊、SCS模塊、DHCP模塊、Subscribertable模塊和KSCS模塊，所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接，PPPEnd模塊分別與轉發模塊和EthernetDriver模塊連接；802.IX模塊分別與802.Ili模塊、AIM模塊和EthernetDriver模塊連接，802.Ili模塊與GRE模塊連接，GRE模塊與TCP/IPStack模塊連接，TCP/IPStack模塊與轉發模塊連接，轉發模塊與EthernetDriver模塊連接；所述的AM模塊分別與RADIUSClient模塊、WebServer認證模塊和SCS模塊連接，WebServer認證模塊與TCP/IPStack模塊連接，SCS模塊分別與DHCP模塊、Subscribertable模塊和KSCS模塊連接，KSCS模塊分別與Subscribertable模塊和轉發模塊連接。2.根據權利要求I所述的面向多接入模式的認證網絡，其特徵在於所述的認證系統分為低度融合和高度融合兩種方式，在低度融合的方式下，接入控制設備僅具有單一的認證技術，各認證技術使用自己的接入控制設備，不同的接入控制設備的用戶都到一個統一認證系統去認證；在高度融合的方式下，接入控制設備支持多種接入認證技術，各認證技術都終結於同一個接入控制設備上，所有的認證信息通過不同的認證技術發送到相同接入控制設備上，然後由接入控制設備將認證信息封裝在認證協議中送給認證系統完成認證功倉泛。3.根據權利要求I或2所述的面向多接入模式的認證網絡，其特徵在於所述的有線接入設備包括路由器、桌上型電腦、筆記本，桌上型電腦、筆記本通過有線網與路由器連接，路由器與接入控制設備連接。4.根據權利要求I或2所述的面向多接入模式的認證網絡，其特徵在於所述的無線接入設備包括無線接收器、筆記本、移動終端，筆記本、移動終端通過無線網與無線接收器連接，無線接收器通過無線網與接入控制設備連接。5.根據權利要求I或2所述的面向多接入模式的認證網絡，其特徵在於所述的認證系統中模塊處理的具體流程包括認證流程、用戶授權流程、計費流程、地址分配流程、強制認證流程和轉發流程。全文摘要本發明涉及一種面向多接入模式的認證網絡，包括有線接入設備、無線接入設備、接入控制設備、認證系統和網際網路，有線接入設備和無線接入設備與接入控制設備連接，接入控制設備與認證系統連接，認證系統與網際網路連接。本發明設計合理，通過認證系統提供一套統一的AAA服務，能為採用不同鏈路技術、不同性質的用戶提供AAA服務。在一個共同的框架基礎上，針對不同鏈路層技術的特點分別提不同的認證模塊，實現對多種鏈路層技術的接入。可以給不同接入方式的客戶帶來方便，並且實現統一的計費，為用戶在多種業務之間提供靈活組合的計費策略，另一方面也能夠降低運營商的成本。文檔編號H04L29/06GK102843379SQ20121033820公開日2012年12月26日申請日期2012年9月13日優先權日2012年9月13日發明者李創申請人:浙江金大科技有限公司