CN101640689A - 一种静态用户的接入方法及其装置 - Google Patents
一种静态用户的接入方法及其装置 Download PDFInfo
- Publication number
- CN101640689A CN101640689A CN 200910189669 CN200910189669A CN101640689A CN 101640689 A CN101640689 A CN 101640689A CN 200910189669 CN200910189669 CN 200910189669 CN 200910189669 A CN200910189669 A CN 200910189669A CN 101640689 A CN101640689 A CN 101640689A
- Authority
- CN
- China
- Prior art keywords
- static subscriber
- subscriber
- static
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种静态用户的接入方法和装置,其中接入方法包含以下步骤:管理设备SN收到接入设备AN透传的用户发送的数据包后,根据静态用户表判断所述用户状态,若用户为静态用户且未认证,则向所述AN发起静态用户位置信息请求;所述AN收到所述静态用户位置信息请求后,将对应的静态用户位置信息返回至所述SN;所述SN收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述SN将所述静态用户接入网络。本发明可提高静态用户接入时的安全性。
Description
技术领域
本发明涉及通信领域,特别是网络中一种静态用户的接入方法及其装置。
背景技术
静态用户的出现有效地解决通信网络中对静态配置地址设备的管理问题,实现了对静态配置地址设备的策略控制和服务质量QoS管理,能够实现对重要客户或客户重要设备的业务保障。目前该技术主要应用于服务器管理、客户网络出口设备管理等网络设备管理领域。
网络中静态用户的管理设备主要是宽带接入服务器BRAS、业务路由器SR等用户和业务控制设备,统称管理设备SN(Service Node)。静态用户设备通过报文触发的方式实现在SN上的接入,SN分配或向DHCP服务器申请该静态用户的静态地址,同时对静态用户进行策略控制和/或QoS管理。
目前的静态用户认证方式是绑定SN接口的用户VLAN信息和/或绑定用户的MAC地址认证,但这种方式在实际网络中会存在配置灵活性度低和接入安全性差的问题。例如,当静态用户的是由SN节点统一管理时,SN设备如果依据收到的用户触发报文的VLAN和/或MAC地址来判断该用户是否合法用户是不安全的,因为从其它AN(Access Node)设备接入的用户也可以仿冒该用户的VLAN、MAC、IP向SN发送同样的触发报文。
以目前大客户为例说明现有静态用户认证方式存在安全风险性:大客户的出口路由器网络侧出口配置静态地址,通过以AN设备(包括太网交换机、DSLAM、OLT/ONU等)连接到SN设备,SN设备在静态用户触发报文到达之后,首先检查IP,若IP与已配置的静态用户地址一致,则检查用户触发报文的VLAN信息和/或MAC地址信息,认证方式为对比本地配置或将该信息发送到AAA服务器对比服务器上的配置。认证通过之后,SN设备向DHCP服务器申请该地址成功后,将该用户接入网络,也可不向DHCP服务器申请直接触发用户接入网络,用户接入网络也称用户上线。这种应用的风险在于,BRAS只检查用户侧端口收到报文的状态,而VLAN信息和MAC地址信息都可以被仿冒,同一个或不同BRAS端口下的攻击者可以发送仿冒报文触发上线,从而影响合法用户的网络使用和业务安全。
对于中小企业、网吧等静态用户而言,其接入方式也存在安全风险性:从静态用户角度看,其出口设备(路由器或三层交换机)的上行出口需要静态配置IP地址,以确保相关业务的稳定性,其出口设备的下行可以是一个私网网段(出口处做NAT)或一个运营商分配的网段(静态用户上线的同时下发指向改网段的路由)。从运营商角度看,此类客户与普通家庭用户处在统一的二层接入网络中,不可能在SN节点上为每个用户提供专门的三层接口,而是与普通用户一样通过二层接口接入,并提供用户策略控制和QoS保障。由于接入网络是一个二层网络,SN上无法独立精确定位用户的位置信息并提供相应的路由保障,所以存在地址盗用的风险。
静态用户在接入网络时存在安全性风险是因为SN设备无法确认静态用户在AN设备上的接入位置。
发明内容
本发明提供了一种静态用户的接入方法,可提高静态用户接入网络时的安全性。
为了解决上述技术问题,本发明采用了如下技术方案:
一种静态用户的接入方法,包含以下步骤:
A、管理设备SN收到接入设备AN透传的用户发送的数据包后,根据静态用户表判断用户状态,若所述用户为静态用户且未认证,则向所述AN发起静态用户位置信息请求;
B、所述AN收到所述静态用户位置信息请求后,将对应的静态用户位置信息返回至所述SN;
C、所述SN收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述SN将所述静态用户接入网络。
在所述静态用户的接入方法的一种实施例中,在所述步骤A之前还包括以下处理步骤:根据静态用户信息在所述SN上建立所述静态用户表,所述静态用户表包含所述静态用户信息、静态用户状态,其中,所述静态用户的初始状态为未认证。
在所述静态用户的接入方法的一种实施例中,在所述步骤C之前还包括以下处理步骤:在用户认证服务器上配置所述静态用户的位置信息与IP地址;在所述步骤C中,静态用户认证在所述用户认证服务器上完成。
在所述静态用户的接入方法的一种实施例中,在所述步骤C中,按如下方式进行静态用户认证:所述SN发起静态用户认证请求,将所述静态用户的位置信息和IP地址发送至所述用户认证服务器,所述用户认证服务器将收到的静态用户的位置信息和IP地址与所述用户认证服务器上配置的数据做匹配,若信息匹配,则通过静态用户的认证请求,并发送认证通过响应至所述SN;若信息不匹配,则认证失败,并发送认证失败响应至所述SN。
在所述静态用户的接入方法的一种实施例中,若所述SN收到所述认证失败响应,则将所述静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
在所述静态用户的接入方法的一种实施例中,所述SN通过VBAS协议或ANCP协议方式向所述AN发起所述静态用户位置信息请求。
在所述静态用户的接入方法的一种实施例中,还包括以下步骤:所述静态用户接入网络后,所述SN启动用户探测机制,当用户探测失败时,则判断所述静态用户离开网络,并将所述静态用户状态设置为未认证。
本发明还公开了一种静态用户的接入装置,包括管理模块、接入模块,其特征在于,所述管理模块收到所述接入模块透传的用户发送的数据包后,根据静态用户表判断用户状态,若所述用户为静态用户且未认证,则向所述接入模块发起静态用户位置信息请求;所述接入模块在收到所述静态用户位置信息请求后,将对应的接入模块接入侧位置信息返回至所述管理模块;所述管理模块收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述管理模块将所述静态用户接入网络。
本发明公开的一种静态用户的接入装置中,若静态用户认证失败,所述管理模块将所述静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
本发明公开的一种静态用户的接入装置中,所述静态用户接入网络后,所述管理模块启动用户探测机制,当用户探测失败时,则判断所述用户离开网络,并将所述用户状态设置为未认证状态。
与现有技术相比,本发明的有益效果在于:
本发明采用管理设备SN与接入设备AN之间交互静态用户的接入位置信息,并将该信息发送至用户认证服务器上认证,认证成功后将该静态用户的接入网络,由于用户的接入位置信息不易被仿冒或盗用,提高了静态用户接入的安全性。
附图说明
图1示例性的描述了本发明的网络拓扑图;
图2示例性的描述了本发明的静态用户接入流程图。
具体实施方式
下面对照附图并结合具体实施方式对本发明进行进一步详细说明。
如图1所示,本发明的一个实施例的网络拓扑图,包括CustmerNetwork(用户网络),RG(Route Gate,用户网关),AN(接入设备),SN(管理设备),AAA SerVer,DHCP Server。其中,Custmer Network经RG,通过AN与SN相连,AAA Server和DHCP Server分别与SN相连,其中,AAAServer用于用户认证,DHCP Server用于分配网络地址。
如图2所示,本发明的一个实施例的静态用户接入方法包含以下步骤:
步骤101,在所述SN上配置静态用户信息,建立所述静态用户表;若SN上已经建立了静态用户表,则跳过此步骤。
静态用户表包含所述静态用户信息、静态用户状态,静态用户信息包括该静态用户的IP地址,也可以附加其它信息,如VLAN/QinQ-VLAN、MAC地址等;静态用户的初始状态为未认证。
现有的静态用户接入方法中是使用VLAN/QinQ-VLAN、MAC地址信息进行用户认证的,本发明的一个实施例中延续使用VLAN/QinQ-VLAN、MAC地址等附加信息认证,可以方便的实现原有***的升级和扩展。
步骤102,在用户认证服务器上配置所述静态用户位置信息和IP地址,也可以配置一些附加信息,如VLAN/QinQ-VLAN、MAC地址等;若用户认证服务器上已经配置了静态用户位置信息和IP地址,则跳过此步骤。
用户认证服务器通常为AAA Server。
步骤103,用户发送数据包至所述AN,数据包可以是用户对网关的ARP请求报文或者用户的IP数据报文;
步骤104,AN将用户的数据包透传至SN;
步骤105,SN收到用户发送的数据包后,将报文的源MAC地址和或源IP地址及其它信息与静态用户表中已配置的用户信息进行匹配,若匹配成功,则判断该用户为静态用户且未认证;
步骤106,若该用户为静态用户且未认证,则SN向所述AN发起静态用户位置信息请求;
SN向AN发起的静态用户位置请求信息可以通过VBAS协议或ANCP协议等发送。
通过VBAS协议或ANCP协议进行用户位置信息的交互,只需要对现有的ANCP或VBAS协议做扩展,无需更改网络拓扑和设备硬件,提高了***的灵活性和可操作性。
SN向AN发起的请求中还可以附加一些信息,例如VLAN/QinQ-VLAN、MAC地址等。
步骤107,AN收到静态用户位置信息请求后,将对应的静态用户位置信息位置信息,例如Option82信息返回至所述SN;
静态用户位置信息包括用户MAC、IP DSLAM标识或以太网交换机标识、AN接入侧位置信息,如槽位号、端口号等、以及其他SN需要的信息,这些信息不易被仿冒或盗用。
步骤108,所述SN收到所述静态用户位置信息后,向用户认证服务器发起静态用户认证请求,认证请求中携带静态用户的位置信息和IP地址;
认证请求中还可以附加其他信息,例如VLAN/QinQ-VLAN、MAC地址等。
静态用户的IP地址信息和位置信息可以进行绑定,静态用户的IP地址信息和位置信息绑定后,在不配置用户MAC地址的情况下,可以支持用户自由更换自己的网络设备,如用户网关、电脑网卡等,而无需向运营商注册,具有很强的灵活性。
步骤109,用户认证服务器将静态用户的位置信息和IP地址与用户认证服务器上配置的数据做匹配,若信息匹配,则通过静态用户的认证请求,并将认证请求通过响应发送至所述SN;若信息不匹配,则认证失败,并发送认证失败响应至所述SN。
步骤110,SN收到认证通过相应后,将该用户接入网络,并将用户状态设置为在线;SN收到认证失败响应,则将该静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
采用黑名单,可以减少认证服务器的的认证的次数,保护认证服务器。
静态用户接入网络后,SN启动用户探测机制,当用户探测失败时,则判断所述用户离开网络,并将所述用户状态设置为未认证状态。
使用探测机制,可以较准确的记录用户的在线时长,可以替计时用户节约费用,给用户提供更人性化的服务。
本发明还公开了一种静态用户的接入装置,包括管理模块、接入模块,其特征在于,所述管理模块收到所述接入模块透传的用户发送的数据包后,根据静态用户表判断用户状态,若所述用户为静态用户且未认证,则向所述接入模块发起静态用户位置信息请求;所述接入模块在收到所述静态用户位置信息请求后,将对应的接入模块接入侧位置信息返回至所述管理模块;所述管理模块收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述管理模块将所述静态用户接入网络。
本发明公开的一种静态用户的接入装置中,若静态用户认证失败,所述管理模块将所述静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
本发明公开的一种静态用户的接入装置中,所述静态用户接入网络后,所述管理模块启动用户探测机制,当用户探测失败时,则判断所述用户离开网络,并将所述用户状态设置为未认证状态。
本发明的一种静态用户的接入方法,针对现有静态用户接入方法安全性不高的弊端,采用管理设备SN与接入设备AN之间交互静态用户的接入位置信息,并将该信息发送至用户认证服务器上认证,认证成功后将该静态用户的接入网络的方法,由于用户的接入位置信息不易仿冒或盗用,可提高静态用户接入的安全性。此外,本发明只需对原有软件进行升级和扩展,无需变更网络拓扑和设备硬件,提高了***的灵活性和可操作性。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,但这只是为便于理解而举的实例,不应认为本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,可以做出各种可能的等同改变或替换,这些改变或替换都应属于本发明的保护范围。
Claims (10)
1、一种静态用户的接入方法,其特征在于,包含以下步骤:
A、管理设备SN收到接入设备AN透传的用户发送的数据包后,根据静态用户表判断用户状态,若所述用户为静态用户且未认证,则向所述AN发起静态用户位置信息请求;
B、所述AN收到所述静态用户位置信息请求后,将对应的静态用户位置信息返回至所述SN;
C、所述SN收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述SN将所述静态用户接入网络。
2、如权利要求1所述的静态用户接入方法,其特征在于,在所述步骤A之前还包括以下处理步骤:根据静态用户信息在所述SN上建立所述静态用户表,所述静态用户表包含所述静态用户信息、静态用户状态,其中,所述静态用户的初始状态为未认证。
3、如权利要求1所述的静态用户接入方法,其特征在于,在所述步骤C之前还包括以下处理步骤:在用户认证服务器上配置所述静态用户的位置信息与IP地址;在所述步骤C中,静态用户认证在所述用户认证服务器上完成。
4、如权利要求3所述的静态用户接入方法,其特征在于,在所述步骤C中,按如下方式进行静态用户认证:所述SN发起静态用户认证请求,将所述静态用户的位置信息和IP地址发送至所述用户认证服务器,所述用户认证服务器将收到的静态用户的位置信息和IP地址与所述用户认证服务器上配置的数据做匹配,若信息匹配,则通过静态用户的认证请求,并发送认证通过响应至所述SN;若信息不匹配,则认证失败,并发送认证失败响应至所述SN。
5、如权利要求4所述的静态用户接入方法,其特征在于,若所述SN收到所述认证失败响应,则将所述静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
6、如权利要求1或2任一所述的静态用户接入方法,其特征在于,所述SN通过VBAS协议或ANCP协议方式向所述AN发起所述静态用户位置信息请求。
7、如权利要求1或2任一所述的静态用户接入方法,其特征在于,还包括以下步骤:所述静态用户接入网络后,所述SN启动用户探测机制,当用户探测失败时,则判断所述静态用户离开网络,并将所述静态用户状态设置为未认证。
8、一种静态用户的接入装置,包括管理模块、接入模块,其特征在于,所述管理模块收到所述接入模块透传的用户发送的数据包后,根据静态用户表判断用户状态,若所述用户为静态用户且未认证,则向所述接入模块发起静态用户位置信息请求;
所述接入模块在收到所述静态用户位置信息请求后,将对应的接入模块接入侧位置信息返回至所述管理模块;
所述管理模块收到所述静态用户位置信息后,发起静态用户认证请求,所述静态用户认证请求通过后,所述管理模块将所述静态用户接入网络。
9、如权利要求8所述的静态用户接入装置,其特征在于,若静态用户认证失败,所述管理模块将所述静态用户信息加入黑名单,一段时间内不允许与所述静态用户信息匹配的用户重新认证。
10、如权利要求8所述的静态用户接入装置,其特征在于,所述静态用户接入网络后,所述管理模块启动用户探测机制,当用户探测失败时,则判断所述用户离开网络,并将所述用户状态设置为未认证状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910189669 CN101640689B (zh) | 2009-08-27 | 2009-08-27 | 一种静态用户的接入方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910189669 CN101640689B (zh) | 2009-08-27 | 2009-08-27 | 一种静态用户的接入方法及其装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101640689A true CN101640689A (zh) | 2010-02-03 |
CN101640689B CN101640689B (zh) | 2013-02-27 |
Family
ID=41615480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200910189669 Active CN101640689B (zh) | 2009-08-27 | 2009-08-27 | 一种静态用户的接入方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101640689B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103401729A (zh) * | 2013-07-30 | 2013-11-20 | 上海斐讯数据通信技术有限公司 | 一种认证用户异常下线的检测方法 |
CN104113557A (zh) * | 2014-07-31 | 2014-10-22 | 中国联合网络通信集团有限公司 | 基于ims语音视频业务的用户接入位置管理方法及装置 |
CN105472054A (zh) * | 2014-09-05 | 2016-04-06 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
CN105516378A (zh) * | 2014-09-25 | 2016-04-20 | 华为技术有限公司 | 提供接入位置的方法及设备 |
CN108712411A (zh) * | 2018-05-11 | 2018-10-26 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10063998B2 (en) * | 2014-11-07 | 2018-08-28 | Tevnos LLC | Mobile authentication in mobile virtual network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100454825C (zh) * | 2003-07-19 | 2009-01-21 | 华为技术有限公司 | 基于mac地址的静态用户接入网络的控制方法 |
CN100352203C (zh) * | 2003-09-04 | 2007-11-28 | 华为技术有限公司 | 控制宽带网络用户接入网络的方法 |
-
2009
- 2009-08-27 CN CN 200910189669 patent/CN101640689B/zh active Active
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103401729A (zh) * | 2013-07-30 | 2013-11-20 | 上海斐讯数据通信技术有限公司 | 一种认证用户异常下线的检测方法 |
CN104113557A (zh) * | 2014-07-31 | 2014-10-22 | 中国联合网络通信集团有限公司 | 基于ims语音视频业务的用户接入位置管理方法及装置 |
CN104113557B (zh) * | 2014-07-31 | 2017-12-22 | 中国联合网络通信集团有限公司 | 基于ims语音视频业务的用户接入位置管理方法及装置 |
CN105472054A (zh) * | 2014-09-05 | 2016-04-06 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
CN105472054B (zh) * | 2014-09-05 | 2019-05-24 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
CN105516378A (zh) * | 2014-09-25 | 2016-04-20 | 华为技术有限公司 | 提供接入位置的方法及设备 |
CN105516378B (zh) * | 2014-09-25 | 2019-02-12 | 华为技术有限公司 | 提供接入位置的方法及设备 |
CN108712411A (zh) * | 2018-05-11 | 2018-10-26 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
CN108712411B (zh) * | 2018-05-11 | 2021-02-02 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101640689B (zh) | 2013-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101640689B (zh) | 一种静态用户的接入方法及其装置 | |
CN101326763B (zh) | 用于sp以太网汇聚网络的认证的***和方法 | |
CN100563158C (zh) | 网络接入控制方法及*** | |
US10547617B2 (en) | Cross access login controller | |
CN100388739C (zh) | 实现dhcp地址安全分配的方法及*** | |
CN103039038B (zh) | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和*** | |
US7630386B2 (en) | Method for providing broadband communication service | |
EP2051473B1 (en) | Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks | |
US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
CN103039037B (zh) | 用于有效地管理电信网络以及该电信网络和客户驻地设备之间的连接的方法和*** | |
CN100499672C (zh) | 基于终端物理位置发放业务的方法 | |
CN101374045B (zh) | 一种在gpon接入设备上实现用户端口定位的方法 | |
CN101695022B (zh) | 一种服务质量管理方法及装置 | |
US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
CN101599904A (zh) | 一种虚拟拨号安全接入的方法和*** | |
CN102571811A (zh) | 用户接入权限控制***和方法 | |
CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN103069750A (zh) | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和*** | |
CN103905236A (zh) | 一种终端定位方法、***及装置 | |
CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及*** | |
CN109067729A (zh) | 一种认证方法及装置 | |
US20120106399A1 (en) | Identity management system | |
CN106454823A (zh) | 网络安全接入的认证方法及其实现该方法的认证*** | |
CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
JP2008042735A (ja) | Macアドレス学習機能の管理方法及びネットワーク機器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |