一種對網絡用戶進行認證和業務管理的方法
2023-07-27 07:40:21 3
專利名稱:一種對網絡用戶進行認證和業務管理的方法
技術領域:
本發明涉及寬帶接入技術領域,尤其涉及一種對網絡用戶進行認證和業務管理的方法。
背景技術:
目前的用戶接入系統對用戶的認證接入和管理都是在一臺設備上完成的,但是有些業務如組播業務,參考圖1,用戶1加入組播組A後,接入伺服器將組播流發送到第一級接入設備1,第一級接入設備1一直發送到最接近用戶的第N級接入設備1上;當用戶4要加入組播組A時,為了保證組播在接入伺服器和一級接入設備間只發送一份,第一級接入設備1就必須知道用戶4加入組播組A是否通過了接入伺服器的認證,才能決定是否將多播流轉發給第N級接入設備2。通常情況下,接入伺服器會發送兩份同樣的報文給匯聚設備,匯聚設備通過報文中攜帶有標識用戶的信息(如虛擬區域網標識,以下簡稱VLAN ID)來進行轉發常見的帶寬批發業務,參考圖1,假設分配給用戶1的帶寬是2兆(以下簡寫為M),第N級接入設備提供給用戶的埠帶寬是100M,如果僅僅在接入伺服器上進行控制,則用戶1可以使用第N級接入設備的接入埠100M的可用帶寬發送報文,如果第N級接入設備到接入伺服器之間的帶寬也是100M,那麼第N級接入設備到接入伺服器之間的帶寬將都被用戶1佔用,而其他用戶,如用戶2需要的帶寬就無法保證,這個帶寬將影響從第N級接入設備到接入伺服器所經過的所有路徑,不利於寬帶業務的開展。
為了保證能夠檢測到用戶是否離線和不再接收該組播流信息,通常接入伺服器要以一定的間隔收發握手信息(以下簡稱hello消息,在組播業務中通常指網際網路組管理協議(IGMP)的查詢報文和響應報文),這種報文會消耗接入伺服器到N級接入設備之間的有效帶寬,同時,要處理這些報文,對接入伺服器的中央處理單元(CPU)能力要求很高,不利於寬帶接入伺服器的穩定性和成本的降低。
在乙太網接入環境中,為了實現用戶的有效識別,防止用戶隨意改變網際網路地址(以下簡稱IP位址)、鏈路層地址(以下簡稱MAC地址),接入設備利用VLAN ID來標識用戶,以實現對最終的用戶管理,但是由於VLAN ID取值從0到4095,0和4095具有特殊意義,一般不使用,因此實際可用的值只有1到4094個,還要分配給不同的業務,這樣就限制了乙太網接入寬帶網絡的擴展。
為了實現流量記費和根據流量判斷一個用戶是否離線,需要實現基於用戶的MAC地址或源IP位址進行的流量統計,這對接入伺服器的要求相當的高。
發明內容
本發明的目的是提出一種對網絡用戶進行認證和業務管理的方法,以實現對組播帶寬等業務的最終控制,並將接入伺服器的帶寬進行最終的分擔,減少業務無關報文在網絡中的傳播。
本發明提出的對網絡用戶進行認證和業務管理的方法,包括以下各步驟1、在接入伺服器上建立所有接入設備的網絡拓樸,對所有接入設備的能力信息進行註冊;2、最接近用戶的接入設備將用戶基本信息傳送到接入伺服器上,接入伺服器將該用戶的認證信息送到認證授權記帳伺服器(以下簡稱AAA伺服器),AAA伺服器確認該用戶認證通過後,將該用戶的認證通過信息和授權信息發送給接入伺服器;3、接入伺服器根據上述網絡拓撲和用戶基本信息,計算出接入該用戶需經過的接入設備,並根據上述收集到的需經過設備的能力和授權信息中的業務類型,將授權信息分別發送到相應的接入設備上;4、接入設備接收到授權信息後,完成授權信息中規定的動作,以實現對網絡用戶的認證和業務管理。
上述方法中,建立網絡拓撲的過程包括如下步驟(1)接入伺服器和接入設備通過鄰居發現協議(以下簡寫為NDP)發現各自的鄰居;(2)接入伺服器根據自身的鄰居信息,利用拓樸發現協議(以下簡稱TDP)收集第一級接入設備的鄰居信息;(3)第一級接入設備利用TDP收集第二級接入設備的鄰居信息,依此類推,得到整個網絡的拓樸信息。
上述方法中,對所有接入設備的能力信息進行註冊的過程包括如下步驟(1)接入伺服器利用TDP收集到網絡拓樸,向網絡拓撲中的所有接入設備發送開始能力註冊信息;(2)接入設備接收到上述開始能力註冊消息後,將本設備的能力信息發送到接入伺服器;(3)接入伺服器記錄接收到的各接入設備的能力信息。
上述方法中的用戶基本信息包括連接用戶的第N級接入設備的全網唯一標識、第N級接入設備的連接用戶的埠號、由第N級接入設備分配的唯一區分用戶的標識、第N級接入設備記錄的用戶接入時間。
上述方法中的業務類型為沿途部署、單點部署或邊緣部署中的任何一種。業務類型為沿途部署時,授權信息從接入伺服器發送到所有授權的經過接入設備上;業務類型為單點部署時,授權信息從接入伺服器發送到最終用戶之間經過的任何一臺接入設備上;業務類型為邊緣部署時,授權信息從接入伺服器發送到離用戶最近的接入設備上。
本發明提出的對網絡用戶進行認證和業務管理的方法,具有以下優點1、可以在底層最接近用戶的接入設備上完成組播業務、帶寬業務的控制,因此可以解決背景技術中提到的組播業務和帶寬業務問題。
2、由接入設備發送握手和查詢報文,因而減小了幹線的無效帶寬,同時也減小了接入伺服器的CPU負擔。
3、在乙太網接入環境中,由於最終的用戶控制可以在最接近用戶的接入設備上實現,因此可以用私有虛擬網的技術,防止用戶假冒,以及解決虛擬網ID不夠的問題。
4、由於流量可以在最接近用戶的接入設備上進行統計,因此只要對埠進行流量統計,就可以實現用戶的流量記費,並可以根據埠流量的增加值判定用戶是否處於空閒狀態,降低了對接入伺服器的要求。
圖1是本發明的網絡組網示意圖。
圖2是本發明的一個實施例的認證和業務管理方法流程圖。
具體實施例方式
本發明提出的對網絡用戶進行認證和業務管理的方法,網絡的組網結構與已有技術相同,如圖1所示,本方法的時序圖如圖2所示,參見圖2,詳細介紹本發明的一個實施例。
首先在接入伺服器上建立所有接入設備的網絡拓樸,建立網絡拓撲的過程包括接入伺服器和接入設備通過鄰居發現協議(Neighbor DiscoveryProtocol,以下簡寫為NDP)發現各自的鄰居;接入伺服器根據自身的鄰居信息,利用拓樸發現協議(Topology Discovery Protocol,以下簡稱TDP)收集第一級接入設備的鄰居信息;第一級接入設備利用TDP收集第二級接入設備的鄰居信息,依此類推,得到整個網絡的拓樸信息。其中的鄰居信息包括接入設備的全網唯一標識、同相鄰設備連接的接口標識、地址信息、鄰居的全網唯一標識、鄰居的主機名或鄰居的接口標識,其中接入設備的全網唯一標識為設備的MAC地址或設備的IP位址。
然後在接入伺服器上對所有接入設備的能力信息進行註冊,註冊的過程包括接入伺服器利用TDP收集到網絡拓樸,向網絡拓撲中的所有接入設備發送開始能力註冊信息;接入設備接收到上述開始能力註冊消息後,將本設備的能力信息發送到接入伺服器;接入伺服器記錄接收到的各接入設備的能力信息。其中接入設備的能力信息包括組播業務控制、帶寬控制、訪問控制、安全相關業務、帶寬業務、VPN業務、存儲業務、用戶故障診斷、改變用戶的VLAN、分配用戶的IP位址、發送握手報文、限制用戶接入個數、進行流量統計、時長控制、時間校對。
最接近用戶的接入設備,即圖1中的第N級接入設備將用戶基本信息傳送到接入伺服器上,接入伺服器將該用戶的認證信息送到認證授權記帳伺服器(Authentication,Authorization and Accounting Server,以下簡稱AAA伺服器),AAA伺服器確認該用戶認證通過後,將該用戶的認證通過信息和授權信息發送給接入伺服器。其中的用戶基本信息包括連接用戶的第N級接入設備的全網唯一標識、第N級接入設備的連接用戶的埠號、由第N級接入設備分配的唯一區分用戶的標識、第N級接入設備記錄的用戶接入時間。其中的連接用戶的第N級接入設備的全網唯一標識為第N級接入設備的IP位址或第N級接入設備的MAC地址;其中的由第N級接入設備分配的區分用戶的唯一標識為乙太網接入中的用戶MAC地址、點到點協議(Point-to-Point Protocol,簡稱PPP)接入中的連接ID。
接入伺服器根據收集到的網絡拓撲和用戶基本信息,計算出接入該用戶需經過的接入設備,並根據上述收集到的需經過設備的能力和授權信息中的業務類型,將授權信息分別發送到相應的接入設備上,其中的業務類型為沿途部署、單點部署或邊緣部署中的任何一種。
當業務類型為沿途部署時,授權信息從接入伺服器發送到所有授權的經過接入設備上。其中的授權信息為組播業務控制、虛擬專用網業務、用戶故障診斷業務、改變用戶的VLAN業務。
當業務類型為單點部署時,授權信息從接入伺服器發送到最終用戶之間經過的任何一臺接入設備上。單點部署的業務是指只需要在單個設備上授權的業務,如握手消息。其中的授權信息可以包括限制用戶接入個數、安全相關業務、訪問控制列表、發送握手報文、進行流量統計、分配用戶的IP位址、進行用戶接入的時長控制。
當業務類型為邊緣部署時,授權信息從接入伺服器發送到離用戶最近的接入設備上。其中的授權信息為帶寬業務、限制用戶接入個數、訪問控制列表、安全相關業務、發送握手報文、進行流量統計、存儲業務、分配用戶的IP位址、進行用戶接入的時長控制。
接入設備接收到授權信息後,完成授權信息中規定的動作,以實現對網絡用戶的認證和業務管理。
在本發明方法中,所有信息在接入伺服器與接入設備之間的控制通道上發送。
本發明方法中的接入設備可以為乙太網交換機、路由器或極高速數字用戶線(VDSL)接入設備中的任何一種。
本發明通過將發送握手信息的業務下發到最接近用戶的第N級接入設備上,減少了接入伺服器到第N級接入設備之間的握手信息的帶寬損耗;通過將帶寬控制業務下發到最接近用戶的第N級接入設備上,從而實現了對用戶接入帶寬的真正控制;通過將最接近用戶的第N級接入設備的VLAN送到接入伺服器,防止用戶的欺騙手段,使乙太網接入中的VLAN只有一個局部的概念,從而使VLAN ID得到有效的擴充;通過將流量統計功能分配到最接近用戶的第N級接入設備上,從而降低接入伺服器的負擔。
權利要求
1.一種對網絡用戶進行認證和業務管理的方法,其特徵在於該方法包括以下各步驟(1)在接入伺服器上建立所有接入設備的網絡拓樸,對所有接入設備的能力信息進行註冊;(2)最接近用戶的接入設備將用戶基本信息傳送到接入伺服器上,接入伺服器將該用戶的認證信息送到AAA伺服器,AAA伺服器確認該用戶認證通過後,將該用戶的認證通過信息和授權信息發送給接入伺服器;(3)接入伺服器根據上述網絡拓撲和用戶基本信息,計算出接入該用戶需經過的接入設備,並根據上述收集到的需經過設備的能力和授權信息中的業務類型,將授權信息分別發送到相應的接入設備上;(4)接入設備接收到授權信息後,完成授權信息中規定的動作,以實現對網絡用戶的認證和業務管理。
2.如權利要求1所述的方法,其特徵在於步驟(1)中建立網絡拓撲的過程包括如下步驟(1)接入伺服器和接入設備通過鄰居發現協議,發現各自的鄰居;(2)接入伺服器根據自身的鄰居信息,利用拓樸發現協議收集第一級接入設備的鄰居信息;(3)第一級接入設備利用拓撲發現協議收集第二級接入設備的鄰居信息,依此類推,得到整個網絡的拓樸信息。
3.如權利要求2所述的方法,其特徵在於其中的鄰居信息包括接入設備的全網唯一標識、同相鄰設備連接的接口標識、地址信息、鄰居的全網唯一標識、鄰居的主機名或鄰居的接口標識。
4.如權利要求1所述的方法,其特徵在於步驟(1)中對所有接入設備的能力信息進行註冊的過程包括如下步驟(1)接入伺服器利用TDP收集到網絡拓樸,向網絡拓撲中的所有接入設備發送開始能力註冊信息;(2)接入設備接收到上述開始能力註冊消息後,將本設備的能力信息發送到接入伺服器;(3)接入伺服器記錄接收到的各接入設備的能力信息。
5.如權利要求4所述的方法,其特徵在於接入設備的能力信息包括組播業務控制、帶寬控制、訪問控制、安全相關業務、帶寬業務、VPN業務、存儲業務、用戶故障診斷、改變用戶的VLAN、分配用戶的IP位址、發送握手報文、限制用戶接入個數、進行流量統計、時長控制、時間校對。
6.如權利要求1所述的方法,其特徵在於其中所述的用戶基本信息包括連接用戶的第N級接入設備的全網唯一標識、第N級接入設備的連接用戶的埠號、由第N級接入設備分配的唯一區分用戶的標識、第N級接入設備記錄的用戶接入時間。
7.如權利要求6所述的方法,其特徵在於其中所述的連接用戶的第N級接入設備的全網唯一標識為第N級接入設備的IP位址或第N級接入設備的MAC地址。
8.如權利要求6所述的方法,其特徵在於其中所述的由第N級接入設備分配的區分用戶的唯一標識為乙太網接入中的用戶MAC地址或PPP協議接入中的連接ID。
9.如權利要求1所述的方法,其特徵在於步驟(3)中的業務類型為沿途部署、單點部署或邊緣部署中的任何一種;當業務類型為沿途部署時,授權信息從接入伺服器發送到所有授權的經過接入設備上;當業務類型為單點部署時,授權信息從接入伺服器發送到最終用戶之間經過的任何一臺接入設備上;當業務類型為邊緣部署時,授權信息從接入伺服器發送到離用戶最近的接入設備上。
10.如權利要求9所述的方法,其特徵在於其中沿途部署的授權信息為組播業務控制、虛擬專用網業務、用戶故障診斷業務、改變用戶的VLAN業務;單點部署的授權信息為限制用戶接入個數、安全相關業務、訪問控制列表、發送握手報文、進行流量統計、分配用戶的IP位址、進行用戶接入的時長控制;邊緣部署的授權信息為帶寬業務、限制用戶接入個數、訪問控制列表、安全相關業務、發送握手報文、進行流量統計、存儲業務、分配用戶的IP位址、進行用戶接入的時長控制。
全文摘要
本發明涉及寬帶接入技術領域,尤其涉及一種對網絡用戶進行認證和業務管理的方法,首先在接入伺服器上建立接入設備的網絡拓樸,並對接入設備的能力進行業務註冊;接入設備將用戶基本信息送到接入伺服器上,接入伺服器將該用戶的認證信息送到AAA伺服器,AAA伺服器確認該用戶認證通過後,將該用戶的認證通過信息和授權信息發送給接入伺服器;接入伺服器根據網絡拓撲和接入設備的用戶基本信息,將授權消息發送到相應的接入設備上;接入設備接收到授權信息後,完成規定的動作,實現對網絡用戶的認證和業務的管理。本發明的方法,在底層最接近用戶的接入設備上完成組播業務、帶寬業務的控制,減小了接入伺服器的CPU負擔。
文檔編號H04L12/24GK1510862SQ0216006
公開日2004年7月7日 申請日期2002年12月26日 優先權日2002年12月26日
發明者姚析, 姚 析 申請人:華為技術有限公司