专利名称:一种宽带接入网中用户认证的实现方法
技术领域:
本发明涉及一种宽带接入网中用户认证的实现方法,尤其涉及一种在用户无需输入用户名/密码(或终端不需要配置用户名/密码)的条件下,依靠接入设备识别接入用户的物理端口来实现用户认证的方法。
背景技术:
随着基于IP(Internet Protocol,互联网协议)技术的网络建设的日渐普及,以及用户业务类型的不断丰富,运营商需要增强对用户业务数据进行更加精细和灵活的控制能力。目前IP DSLAM(DSL局端设备)已作为DSL的主要接入设备,其上游的BAS(宽带接入服务器)无法或者难以从以太网数据包中获取用户端口信息,从而不能对用户端口进行统一的认证管理,不能有效地防范用户账号被盗用。
发明内容
本发明所要解决的技术问题在于提供一种宽带接入网中用户认证的实现方法,解决宽带接入用户端口定位问题,并通过端口定位完成对动态申请IP地址用户的标识和认证,简化终端的配置和输入。
为了实现上述目的,本发明提供了一种宽带接入网中用户认证的实现方法,其特点在于,利用宽带接入设备将用户接入的物理端口信息插入终端动态申请IP地址的数据报文中,由认证平台从相关报文中解析出该物理端口信息进行用户认证。
上述的宽带接入网中用户认证的实现方法,其特点在于,该方法包括如下步骤步骤一,用户终端发起用户认证请求报文;步骤二,宽带接入设备作为中继代理,截取该请求报文,并在报文中插入物理端口信息;
步骤三,宽带接入设备将插入了物理端口信息的请求报文转发给服务器;步骤四,服务器上的认证平台从该请求报文的数据包中解析出该物理端口信息,并将该物理端口信息送到认证数据库中进行认证;步骤五,认证平台通过用户开户时获得的用户账号和物理端口信息的绑定关系,对该物理端口信息进行认证;步骤六,认证平台将认证结果通知服务器;步骤七,服务器收到认证结果后,向用户终端确认认证结果,并为终端分配IP地址。
上述的宽带接入网中用户认证的实现方法,其特点在于,所述插入的物理端口信息包括接入节点标识、接入节点机架号、接入节点机框号、接入节点槽位号和子槽位号、接入节点端口号这些信息中的其中之一或者其中多个信息的组合。
上述的宽带接入网中用户认证的实现方法,其特点在于,所述宽带接入设备为DSL局端设备或宽带接入服务器。
本发明的用户认证方法,利用在终端动态申请IP地址的过程中,在数据报文中同时对接入用户的物理端口信息认证,克服了现有宽带接入网中用户认证实现方法中不能实现用户和接入位置绑定的缺点,解决了目前普遍存在的宽带用户账号被盗、一个账号多点接入的问题。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1是本发明的用户认证流程示意图;图2是本发明的DHCP Option82模块的处理流程示意图。
具体实施例方式
本发明的用户认证的实现方法主要解决宽带接入用户端口定位问题,可以在终端动态申请IP地址的过程中,由接入设备(宽带接入服务器、DSLAM)在交互信息的数据包中增加接入链路信息,通过这种方法完成对接入用户的标识和认证。
本发明的用户认证实现方法在于宽带接入设备将用户接入的物理端口信息插入终端动态申请IP地址的数据报文中,而认证平台可以从相关报文中解析出这些由接入设备插入的信息进行用户认证。
本发明用户认证实现方法与动态申请IP地址所具体使用的协议无关,下面仅以采用DHCP(动态主机控制协议)协议为例对本发明的用户认证实现方法进行详细说明,并不作为对本发明的限制,该方法包括如下步骤(1)用户终端发起DHCP认证流程;(2)宽带接入设备作为DHCP的Relay Agent(中继代理),截取DHCP请求报文,并在报文中插入物理端口信息(端口号\VLAN ID\PVC等),作为DHCP Option82可选字段;(3)接入设备将插入了物理端口信息的DHCP请求报文转发给DHCPServer;(4)DHCP Server终结DHCP,从DHCP数据包的option82选项字段中取得物理端口信息,将这些信息一起送到认证数据库中进行认证;(5)认证平台通过用户开户时获得的用户账号和物理端口信息的绑定关系,对DHCP Server送来的物理端口信息进行认证;(6)认证平台将认证结果通知DHCP Server;(7)DHCP Server收到认证结果后,向终端确认认证结果,并为终端分配IP地址。
在本发明中,需要插入的宽带接入线路标识可以包括如下内容接入节点标识(如DSLAM设备)、接入节点机架号、接入节点机框号、接入节点槽位号和子槽位号、接入节点端口号。
在本实施例中,需要在接入设备(DSLAM或BAS)上实现DHCP Option82的Relay Agent功能(1)实现DHCP Relay Agent功能,向DHCP server提供电路的具体信息,以便DHCP server结合该信息对分配IP地址及其它参数;(2)实现DHCP Relay Agent功能,转发其它Relay Agent发送的带Agent信息的数据包。
其中,DHCP option82模块主要实现rfc3046中描述的功能,对用户端发送的DHCP广播包进行监控和修改,并将DHCP server应答包中的附加标记去除。除此之外,DHCP option82模块应能转发其它DHCP relay agent发送的带DHCP option82的数据包。如图2所示,为DHCP option82模块对DHCP请求广播包和应答包处理流程,其包括如下步骤步骤201,从端口定位控制模块接收数据包;步骤202,判断是否是DHCP请求广播包?如果是DHCP请求广播包,则转到步骤203,否则转到步骤210;步骤203,判断DHCP包中的giaddr字段是否为0?为0转步骤204,否则转步骤207;步骤204,判断DHCP包中是否包含DHCP relay option选项?如果包含,则转到步骤208,否则转到步骤205;步骤205,判断增加标记后的数据包是否超长?如果超长,则转步骤206,否则转步骤209;步骤206,不附加电路标记,增加error计数;步骤207,判断giaddr是否relay agent的IP地址?如果是,则执行步骤208;步骤208,丢包,设置不发送数据包标志;步骤209,增加配置的CircuitID和/或RemoteID标记,并重新计算checksum;步骤210,判断是否是DHCP应答包?如果是,则执行步骤211;步骤211,判断DHCP包中的giaddr字段是否为0?如果是,则执行步骤212;步骤212,去掉数据包中的相关标记,并重新计算checksum。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种宽带接入网中用户认证的实现方法,其特征在于,利用宽带接入设备将用户接入的物理端口信息插入终端动态申请IP地址的数据报文中,由认证平台从相关报文中解析出该物理端口信息进行用户认证。
2.根据权利要求1所述的宽带接入网中用户认证的实现方法,其特征在于,该方法包括如下步骤步骤一,用户终端发起用户认证请求报文;步骤二,宽带接入设备作为中继代理,截取该请求报文,并在报文中插入物理端口信息;步骤三,宽带接入设备将插入了物理端口信息的请求报文转发给服务器;步骤四,服务器上的认证平台从该请求报文的数据包中解析出该物理端口信息,并将该物理端口信息送到认证数据库中进行认证;步骤五,认证平台通过用户开户时获得的用户账号和物理端口信息的绑定关系,对该物理端口信息进行认证;步骤六,认证平台将认证结果通知服务器;步骤七,服务器收到认证结果后,向用户终端确认认证结果,并为终端分配IP地址。
3.根据权利要求2所述的宽带接入网中用户认证的实现方法,其特征在于,所述插入的物理端口信息包括接入节点标识、接入节点机架号、接入节点机框号、接入节点槽位号和子槽位号、接入节点端口号这些信息中的其中之一或者其中多个信息的组合。
4.根据权利要求3所述的宽带接入网中用户认证的实现方法,其特征在于,所述宽带接入设备为DSL局端设备或宽带接入服务器。
全文摘要
本发明涉及一种宽带接入网中用户认证的实现方法,利用宽带接入设备将用户接入的物理端口信息插入终端动态申请IP地址的数据报文中,由认证平台从相关报文中解析出该物理端口信息进行用户认证。本发明的方法解决了宽带接入用户端口定位问题,并通过端口定位完成对动态申请IP地址用户的标识和认证,简化了终端的配置和输入。
文档编号H04L12/28GK1968087SQ200610011109
公开日2007年5月23日 申请日期2006年1月5日 优先权日2006年1月5日
发明者林永湖, 吴鹏飞, 梁鸿生, 刘晓晖, 杜宇, 李宁, 张远, 郝峥 申请人:中兴通讯股份有限公司, 福建省电信有限公司