CN108600225B - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN108600225B CN108600225B CN201810380682.1A CN201810380682A CN108600225B CN 108600225 B CN108600225 B CN 108600225B CN 201810380682 A CN201810380682 A CN 201810380682A CN 108600225 B CN108600225 B CN 108600225B
- Authority
- CN
- China
- Prior art keywords
- lac
- lns
- user
- authentication
- table entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种认证方法及装置,可包括:接收来自LNS‑UP的第一认证报文;所述第一认证报文携带用户信息;检测所述LNS‑UP与对端LAC‑UP是否共享本控制服务器;其中,所述对端LAC‑UP是向所述LNS‑UP发送所述用户信息的LAC‑UP;如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。使用本公开提供的方法,可以减少认证次数,减少控制服务器上认证报文的数量,提高控制服务器的设备性能。
Description
技术领域
本公开涉及计算机通信领域,尤其涉及一种认证方法及装置。
背景技术
二层隧道协议(L2TP:Layer 2Tunneling Protocol),是虚拟私有拨号网(VPDN:Virtual Private Dial-up Network)隧道协议的一种。L2TP通过在公共网络(如Internet)上建立L2TP隧道,使得远端用户(如企业驻外机构和出差人员)利用点对点协议(PPP:Point-to-Point Protocol)接入公共网络后通过L2TP隧道与企业内部网络通信,以访问企业内部网络资源,从而实现远端用户安全、经济且有效地接入私有的企业网络。
L2TP接入组网通常包括远端***、LAC(L2TP Access Concentrator,访问集中器)和LNS(L2TP Network Server,L2TP网络服务器)。其中,远端***是要接入VPDN网络的远地用户终端等。LAC是具有PPP和L2TP协议处理能力的设备,主要用于为PPP类型的用户提供接入服务。LNS既是PPP端***,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。LAC与LNS通过L2TP隧道相连。
为了提高转发平面的利用率,通常采用转控分离架构的L2TP接入组网。在转控分离架构的L2TP接入组网中,会将LAC和LNS的转发层和控制层分离。比如,在转控分离架构的L2TP接入组网中通常会配置控制服务器,该控制服务器可以是物理的服务器,也可以是虚拟的服务器,主要作为LAC控制层设备LAC-CP(L2TP Access Concentrator-ControlPlane,访问集中器控制层)、和/或LNS的控制层设备LNS-CP(L2TP Network Server-Control Plane,L2TP网络服务器控制层),进行控制处理。该组网中还配置有具有用户接入功能的设备,比如BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备、NAS(Network Access Server,网络接入服务器)设备来作为LAC的转发层设备LAC-UP(L2TPAccess Concentrator-User Plane,访问集中器转发层),以及作为LNS的转发层设备LNS-UP(L2TP Network Server-User Plane,L2TP网络服务器转发层)。
发明内容
有鉴于此,本公开提供一种认证方法及装置,用以减少认证次数,减少控制服务器上认证报文的数量,提高控制服务器的设备性能。
具体地,本公开是通过如下技术方案实现的:
根据本公开的第一方面,提供一种认证方法,所述方法应用于控制服务器,包括:
接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP是向所述LNS-UP发送所述用户信息的LAC-UP;
如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
根据本公开的第二方面,提供一种认证装置,所述装置应用于控制服务器,包括:
接收单元,用于接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
检测单元,用于检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP是向所述LNS-UP发送所述用户信息的LAC-UP;
生成单元,用于如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
根据本公开的第三方面,提供一种控制服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行如权利要求1至5任一项所述方法。
根据本公开的第四方面,提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如权利要求1至5任一项所述方法。
本公开提出一种认证方法,控制服务器在接收到LNS-UP发送的认证报文后,若确定该LNS-UP与对端LAC-UP共享本控制服务器后,控制服务器可不将该来自于LNS-UP的认证报文发送给认证服务器进行认证,而是根据与该认证报文中携带的用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
在共享同一控制服务器场景下,控制服务器不需要将来自于LNS-UP的认证报文发送至认证服务器进行认证,而是根据对LAC-UP发送的认证报文进行认证后生成LAC用户表项,生成LNS用户表项。由于由传统的两次认证减少为一次认证,所以大大减少了认证报文的数量,提高了控制服务器的性能。
附图说明
图1A是本公开一示例性实施例示出的一种转控分离的L2TP接入组网示意图;
图1B是本公开一示例性实施例示出的另一种转控分离的L2TP接入组网示意图;
图2是本公开一示例性实施例示出的一种认证方法的流程图;
图3是本公开一示例性实施例示出的一种认证方法的示意图;
图4是本公开提供一种认证方法所在控制服务器的硬件架构图;
图5是本公开一示例性实施例示出的一种认证装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1A是转控分离架构的L2TP接入组网。在图1A中,控制服务器既作为LAC的控制层设备LAC-CP,又同时作为LNS的控制层设备LNS-CP,即LAC-CP与LNS-CP为同一控制服务器。
当LAC-UP10接收到用户终端发送的认证报文后,LAC-UP10可将该认证报文发送给控制服务器10,由控制服务器10将该认证报文发送给认证服务器10进行认证。控制服务器10接收认证服务器10下发的授权信息,并基于该授权信息中的仅LAC支持的授权信息,生成LAC用户表项。
在LAC-UP10与LNS-UP10之间的L2TP隧道建立完成后,LAC-UP10可将该用户终端的用户信息通过该L2TP隧道发送给LNS-UP10,由该LNS-UP10将携带有该用户信息的认证报文发送给该控制服务器10。控制服务器10在接收到LNS-UP10发送的携带有该用户信息的认证报文后,将该认证报文发送给认证服务器10。控制服务器10可接收认证服务器10在认证成功后发送的授权信息,并基于该授权信息中的仅LNS支持的授权信息,生成LNS用户表项。
由上述描述可以看出,在LAC-UP与LNS-UP共享同一控制服务器的场景下,当有用户终端接入时,控制服务器不仅会将来自于LAC-UP的认证报文发送到认证服务器进行认证,还会将来自于LNS-UP的认证报文发送到认证服务器进行认证。当大量的L2TP用户终端接入时,会产生大量的认证报文,这种两次认证的机制会导致控制服务器接收到的认证报文翻倍,一方面会造成报文拥塞,另一方面会大大降低控制服务器的设备性能。
有鉴于此,本公开提出一种认证方法,控制服务器在接收到LNS-UP发送的认证报文后,若确定该LNS-UP与对端LAC-UP共享本控制服务器后,控制服务器可不将该来自于LNS-UP的认证报文发送给认证服务器进行认证,而是根据与该认证报文中携带的用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
在共享同一控制服务器场景下,控制服务器不需要将来自于LNS-UP的认证报文发送至认证服务器进行认证,而是根据对LAC-UP发送的认证报文进行认证后生成LAC用户表项,生成LNS用户表项。由于由传统的两次认证减少为一次认证,所以大大减少了认证报文的数量,提高了控制服务器的性能。
在介绍本公开的认证方法之前,首先介绍下本公开所涉及的一些概念。
上述控制服务器,可以是物理服务器,也可以是虚拟机,主要作为控制层面设备,起控制作用。比如处理LAC的转发层设备LAC-UP和/或LNS的转发层设备LNS-UP发送来的协议报文等。
该控制服务器,可以同时作为某些LAC的控制层设备LAC-CP和某些LNS控制层设备LNS-CP,也可以单独作为某些LAC的控制层设备LAC-CP,也可以单独作为某些LNS的控制层设备LNS-CP。
当然,该控制服务器的一部分资源还可以同时作为某些LAC的控制层设备LAC-CP和某些LNS的控制层设备LNS-CP,以及另一部分资源单独作为另一些LAC控制层设备LAC-CP,以及单独作为另一些LNS控制层设备LNS-CP。
例如,假设控制服务器1的资源可以划分为三部分,第一部分资源同时作为LAC-CP1和LNS-CP1,第二部分资源单独作为LAC-CP2,第三部分资源单独作为LNS-CP3。
上述LAC-UP,是指LAC的转发层设备,该LAC-UP可以是具有用户接入功能的设备,比如NAS设备,BRAS设备等,这里只是示例性地说明,不进行具体地限定。
上述LNS-UP,是指LNS的转发层设备,该LNS-UP可以BRAS设备,NAS设备等等,这里只是示例性地说明,不对其进行具体地限定。
需要说明的是,LAC-UP可以是单独的设备,LNS-UP也可以是单独的设备。比如,如图1A所示,LAC-UP10是单独的设备,LNS-UP10也是单独的设备。
当然,LAC-UP和LNS-UP也可以是同一设备。比如,图1B所示,图1B中的LTS(L2TPTunnel Switch,L2TP隧道交换)设备,既是LAC-UP设备又是LNS-UP设备。对于LAC-UP11来说,LTS设备是LNS-UP设备,对于LNS-UP11来说,LTS设备是LAC-UP设备。
参见图2,图2是本公开一示例性实施例示出的一种认证方法的流程图。该方法可应用在控制服务器,可包括如下所示步骤。
在介绍本公开认证流程的步骤前,先介绍下LAC用户表项。
1)本公开的LAC用户表项。
本公开的LAC用户表项可以如表1所示。
表1
当然,表1只是示出了LAC用户表项主要包括的内容,当然,该LAC用户表项还可以包含其他内容,比如用户接入端口,表项序号、以及其他扩展项等等,这里只是示例性地说明,不对其进行具体地限定。
本公开在LAC用户表项中增加了共享标记字段,比如free-auth字段。当该共享标记字段的取值为第一预设值时,表明LAC-UP和对端LNS-UP共享同一控制服务器,当共享标记字段的取值不为第一预设值,比如为第二预设值时,表明LAC-UP和对端LNS-UP不共享同一控制服务器。
此外,传统的LAC用户表项中的授权信息仅仅是LAC支持的授权信息,而本公开提供的LAC用户表项中的授权信息包括了LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息。
这么做的目的主要在于适应本公开的流程。进一步来说,在本公开中,当控制服务器确定上述LNS-UP和对端LAC-UP共享本控制服务器后。控制服务器就不需要将来自于LNS-UP的认证报文发送至认证服务器进行认证,而是基于与该认证报文中的用户信息对应的LAC用户表项中记录的LNS支持的授权信息,生成LNS用户表项。
所以在生成LAC用户表项时,要将LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息都进行记录,以使得不需要对LNS-UP发送的认证报文进行认证,就可以依据LAC用户表项,生成LNS用户表项。
2)上述LAC用户表项是如何生成的。
当LAC-UP接收到用户终端发送的认证报文(这里为了方便叙述,将LAC-UP接收用户终端发送的认证报文称之为第二认证报文)后,LAC-UP可将该第二认证报文发送至控制服务器,控制服务器可将该第二认证报文发送至认证服务器进行认证。
在认证通过后,认证服务器可向控制服务器下发授权信息。认证服务器下发的授权信息里包括:LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息。
此外,在L2TP整体业务部署规划时,开发人员就将共享本控制服务器的LAC-UP和LNS-UP的对应关系配置在本控制服务器上。控制服务器可以在该对应关系中,查找与该LAC-UP对应的LNS-UP。若能查找到,则表明LAC-UP与查找的LNS-UP共用本控制服务器,此时,控制服务器可将共享标记字段的取值设置为第一预设值。若不能查找,则表明没有LNS-UP与本LAC-UP共用本控制服务器,此时,控制服务器可将共享标记字段的取值设置为第二预设值。
其中,第一预设值表示LAC-UP和查找到的LNS-UP共享本控制服务器,第二预设值表明没有LNS-UP与该LAC-UP共享本控制服务器。
然后,控制服务器基于该认证服务器下发的授权信息,共享标记字段及其取值,以及该第二认证报文里携带的用户信息生成该用户信息对应的LAC用户表项。
接着,LAC-UP可将该第二认证报文里携带的用户信息发送给LNS-UP。LNS-UP可基于该用户信息,构造认证报文(这里为了方便叙述,将LNS-UP构造的认证报文记为第一认证报文)。然后LNS-UP将该第一认证报文发送给控制服务器。
控制服务器执行步骤201至步骤202。
步骤201:控制服务器接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
其中,该用户信息,是指唯一标识一个用户的信息,该用户信息可以包括用户名,用户终端的MAC地址以及这两者的组合等等。这里只是对用户信息进行示例性地说明,不对其进行具体的限定。
步骤202:控制服务器检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP为向所述LNS-UP发送所述用户信息的LAC-UP。
在实现时,控制服务器可在本地记录的LAC用户表中,查找包含该第一认证报文里携带的用户信息的LAC用户表项。
然后检查该LAC用户表项的共享标识字段的取值。
如果该LAC用户表项的共享标识字段的取值是第一预设值,则确定该LNS-UP和对端LAC-UP共享本控制服务器。
如果该LAC用户表项的共享标识字段的取值是第二预设值,则确定该LNS-UP和对端LAC-UP不共享本控制服务器。
其中,第一预设值表明该LNS-UP和对端LAC-UP共享本控制服务器;
第二预设值表明该LNS-UP和对端LAC-UP不共享本控制服务器。
步骤203:如果是,控制服务器基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
在本公开实施例中,当控制服务器确定该LNS-UP和对端LAC-UP共享本控制服务器后,控制服务器禁止将该第一认证报文发送至认证服务器进行认证,并将该第一认证报文丢弃。
此外,控制服务器还可基于查找到的LAC用户表项中记录的LNS支持的授权信息(LAC不支持、但LNS支持的授权属性,LAC和LNS均支持的授权属性)、以及该第一认证报文携带的用户信息,生成该用户信息对应的LNS用户表项。
此外,控制服务器在生成第一认证报文携带的用户信息对应的LNS用户表项后,控制服务器还可将该查找到的LAC用户表项中记录的LAC不支持的授权信息删除(比如LAC、LNS均不支持的授权信息,LAC不支持、但LNS支持的授权信息)。
在本公开实施例中,当控制服务器确定该LNS-UP和对端LAC-UP不共享本控制服务器后,控制服务器可将该第一认证报文发送至认证服务器进行认证。在认证通过后,控制服务器接收认证服务器下发的授权信息,然后基于该授权信息和该第一认证报文中携带的用户信息,生成该用户信息对应的LNS用户表项。
由上述描述可以看出,控制服务器在接收到LNS-UP发送的认证报文后,若确定该LNS-UP与对端LAC-UP共享本控制服务器后,控制服务器可不将该来自于LNS-UP的认证报文发送给认证服务器进行认证,而是根据与该认证报文中携带的用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
在共享同一控制服务器场景下,控制服务器不需要将来自于LNS-UP的认证报文发送至认证服务器进行认证,而是根据对LAC-UP发送的认证报文进行认证后生成LAC用户表项,生成LNS用户表项。由于由传统的两次认证减少为一次认证,所以大大减少了认证报文的数量,提高了控制服务器的性能。
下面通过图3,对本公开提供的认证方法进行详细地描述。
在图3中,LAC-UP31和LNS-UP31共享CP31(CP31即本文描述的控制服务器),CP31通过VXLAN隧道31与LAC-UP31相连,CP31通过VXLAN隧道32与LNS-UP31相连。CP31与认证服务器相连。
假设用户终端31的用户名为test1,用户终端的MAC地址为1-1-1。
当LAC-UP31接收到用户终端31发送的认证报文后,该LAC-UP31可将该认证报文发送至认证服务器进行认证。该认证报文里携带了用户终端31的用户信息,如携带了用户终端31的用户名test1,以及用户终端的MAC地址为1-1-1。
当认证服务器对该用户信息认证通过后,认证服务器可以下发授权信息。下发的授权信息里包括LAC支持、但LNS不支持的授权信息,LAC不支持,但LNS支持的授权信息(如IP地址,IPv6的IP地址),LAC支持、且LNS也支持的授权信息(如带宽Car属性),以及LAC和LNS均不支持的授权信息。
此外,在L2TP整体业务部署规划时,开发人员就将共用CP31的LAC-UP和LNS-UP的对应关系配置在该CP31上。当CP31接收到LAC-UP31发送的上述认证报文后,CP31可在共用本CP31的LAC和LNS的对应关系中,查找是否有与LAC-UP31对应的LNS-UP。如果可以查找到,则将共享字段free-auth字段的取值设置为Y。如果不能查找到,则将free-auth字段的取值设置为N。
在本例中,由于LAC-UP31和LNS-UP31共享本CP31,所以将free-auth字段的取值设置为Y。
然后,CP31可依据上述认证服务器下发的授权信息、用户终端31的用户信息以及free-auth字段及其取值,生成与该用户终端31对应的LAC用户表项31。该LAC用户表项31可如表2所示。
表2
其中,SeqNum表示这条用户表项的序号;
Interface表示接收该认证报文的接口;
username为用户名称,MAC-Address为用户终端的MAC地址;
IP-address、ipv6-address以及Car(带宽)为认证服务器下发的授权信息;
free-auth为共享字段;
Role表示该表项的属性,比如,该表项是LAC用户表项还是LNS用户表项。
当然,该LAC用户表项还包括认证服务器下发的其他授权信息,这里只是示例性地说明,不进行具体地限定。
然后,LAC-UP31可与LNS-UP31协商建立L2TP隧道。在L2TP隧道建立完成后,LAC-UP31可将该用户终端31的用户信息通过该L2TP隧道发送给LNS-UP31。
LNS-UP31在接收该用户终端31的用户信息后,可构造认证报文,该认证报文里携带了用户终端31的用户信息。然后,LNS-UP可将构造好的该认证报文通过VXLAN隧道32发送至CP31。
CP31在接收到LNS-UP31发送的认证报文后,可以在LAC用户表中,查找包含该用户终端31的用户信息的LAC用户表项31。
然后检查该LAC用户表项31的共享字段free-auth字段的取值是否为Y。
若该LAC用户表项31的共享字段free-auth字段的取值是Y,则表明LAC-UP31和LNS-UP31共享CP31。
若该LAC用户表项31的共享字段free-auth字段取值不是Y(比如是N等),则表明LAC-UP31和LNS-UP31不共享CP31。
1)当LAC用户表项31的free-auth字段的取值是Y时,CP31可基于LAC用户表项31(如表1),生成LNS用户表项31。
在一种可选的实现方式中,CP31可基于LAC用户表项31中LNS支持的授权信息、以及用户终端31的用户信息生成LNS用户表项31,并将LAC用户表项31中LAC不支持的授权信息删除。
比如,对于LAC用户表项31中的LAC支持,但LNS不支持的授权信息(这里记为授权信息1),CP31不将LAC用户表项31中的授权信息1的值作为LNS表项中与该授权信息1对应的值。
对于LAC用户表项31中的LAC不支持、但LNS支持的授权信息(这里记为授权信息2),CP31可将LAC表项31中的授权信息2的值作为LNS用户表项31中的授权信息2的值。同时,CP31可删除LAC用户表项31中授权信息2的值。
比如,将LAC用户表项31中的IP-address、ipv6-address的值删除,将LAC用户表项31中的IP-address、ipv6-address的值作为LNS用户表项31中的IP-address、ipv6-address的值。
对于LAC用户表项31中的LAC不支持、LNS也不支持的授权信息(这里记为授权信息3),CP31不将LAC用户表项31中的授权信息3的值作为LNS表项中与该授权信息3对应的值。同时,CP31可删除LAC用户表项31中的授权信息3的值。
对于LAC用户表项31中的LAC支持、LNS也支持的授权信息(这里记为授权信息4),CP31可将LAC用户表项31中的授权信息4的值作为LNS表项中与该授权信息4对应的值。
比如,将LAC用户表项31中的Car的值作为LNS用户表项31中的Car的值。
生成的针对用户终端31的LNS用户表项31,如表3所示。
表3
其中,SeqNum表示这条用户表项的序号;
Interface表示接收该认证报文的接口;
username为用户名称,MAC-Address为用户终端的MAC地址;
IP-address、ipv6-address以及Car(带宽)为认证服务器下发的,且LNS支持的授权信息;
free-auth为共享字段;
Role表示该表项的属性,比如,该表项是LAC用户表项还是LNS用户表项。
当然,该LAC用户表项还包括认证服务器下发的其他授权信息,这里只是示例性地说明,不进行具体地限定。
删除了LAC不支持的LAC用户表项31,如表4所示。
表4
2)当LAC用户表项31的free-auth字段的取值是N时,CP31可将来自于LNS-UP31的认证报文发送至认证服务器进行认证。在认证通过后,认证服务器可以将授权信息下发给CP31。CP31可依据该授权信息以及用户终端31的用户信息生成LNS用户表项。
由上述描述可以看出,CP31在接收到LNS-UP31发送的认证报文后,若确定该LNS-UP31与LAC-UP31共享本CP31后,CP31可不将该来自于LNS-UP31的认证报文发送给认证服务器进行认证,而是根据与该认证报文中携带的用户信息对应的LAC用户表项31,生成该用户信息对应的LNS用户表项31。
在共享CP31场景下,控制服务器不需要将来自于LNS-UP31的认证报文发送至认证服务器进行认证,而是根据对LAC-UP发送的认证报文进行认证后生成LAC用户表项,生成LNS用户表项。由于由传统的两次认证减少为一次认证,所以大大减少了认证报文的数量,提高了控制服务器的性能。
参见图4,本公开还提供一种认证方法所在控制服务器的硬件架构图,该控制服务器包括:通信接口401、处理器402、存储器403和总线404;其中,通信接口401、处理器402和存储器403通过总线404完成相互间的通信。
其中,处理器402可以是一个CPU,存储器403可以是非易失性存储器(non-volatile memory),并且存储器403中存储有认证的逻辑指令,处理器402可以执行存储器403中存储的认证的逻辑指令,以实现减少认证次数的功能。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示的硬件结构描述。
参见图5,图5是本公开一示例性实施例示出的一种认证装置的框图。该装置可应用在控制服务器,可包括如下所示装置。
接收单元501,用于接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
检测单元502,用于检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP是向所述LNS-UP发送所述用户信息的LAC-UP;
生成单元503,用于如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
可选的,所述检测单元502,具体在LAC用户表中,查找包含所述用户信息的第一LAC用户表项;检查所述第一LAC用户表项中的共享标记字段的取值;若所述共享标记字段的取值是第一预设值,则确定所述LNS-UP与对端LAC-UP共享本控制服务器。
可选的,所述生成单元503,具体用于基于所述LAC用户表项中记录的LNS支持的授权信息,以及所述用户信息,生成LNS用户表项。
可选的,所述装置还包括:
删除单元504,用于将所述LAC用户表项中记录的LAC不支持的授权信息删除。
可选的,所述LAC用户表项通过如下方式生成:
在接收到所述LAC-UP发送的携带有所述用户信息的第二认证报文后,将所述第二认证报文发送给认证服务器进行认证,并接收认证服务器下发的目标授权信息;
在预配置的共享本控制服务器的LAC-UP和LNS-UP对应关系中,查找与所述LAC-UP对应的LNS-UP,若能查找到,所述LAC-CP将共享标记字段的取值设置为第一预设值;若不能查找到,所述LAC-CP将共享标记字段的取值设置为第二预设值;
基于所述目标授权信息、所述共享标记字段及其取值、以及所述用户信息,生成所述LAC用户表项;
所述目标授权信息包括:LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。
Claims (12)
1.一种认证方法,其特征在于,所述方法应用于控制服务器,包括:
接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP是向所述LNS-UP发送所述用户信息的LAC-UP;
如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
2.根据权利要求1所述的方法,其特征在于,所述检测所述LNS-UP与对端LAC-UP是否共享本控制服务器,包括:
在LAC用户表中,查找包含所述用户信息的第一LAC用户表项;
检查所述第一LAC用户表项中的共享标记字段的取值;
若所述共享标记字段的取值是第一预设值,则确定所述LNS-UP与对端LAC-UP共享本控制服务器。
3.根据权利要求1所述的方法,其特征在于,所述基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项,包括:
基于所述LAC用户表项中记录的LNS支持的授权信息,以及所述用户信息,生成LNS用户表项。
4.根据权利要求3所述的方法,其特征在于,在生成所述LNS用户表项后,所述方法还包括:
将所述LAC用户表项中记录的LAC不支持的授权信息删除。
5.根据权利要求1至4任一所述的方法,其特征在于,所述LAC用户表项通过如下方式生成:
在接收到所述LAC-UP发送的携带有所述用户信息的第二认证报文后,将所述第二认证报文发送给认证服务器进行认证,并接收认证服务器下发的目标授权信息;
在预配置的共享本控制服务器的LAC-UP和LNS-UP对应关系中,查找与所述LAC-UP对应的LNS-UP,若能查找到,所述LAC-CP将共享标记字段的取值设置为第一预设值;若不能查找到,所述LAC-CP将共享标记字段的取值设置为第二预设值;
基于所述目标授权信息、所述共享标记字段及其取值、以及所述用户信息,生成所述LAC用户表项;
所述目标授权信息包括:LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息。
6.一种认证装置,其特征在于,所述装置应用于控制服务器,包括:
接收单元,用于接收来自LNS-UP的第一认证报文;所述第一认证报文携带用户信息;
检测单元,用于检测所述LNS-UP与对端LAC-UP是否共享本控制服务器;其中,所述对端LAC-UP是向所述LNS-UP发送所述用户信息的LAC-UP;
生成单元,用于如果是,基于已记录的与所述用户信息对应的LAC用户表项,生成该用户信息对应的LNS用户表项。
7.根据权利要求6所述的装置,其特征在于,所述检测单元,具体用于在LAC用户表中,查找包含所述用户信息的第一LAC用户表项;检查所述第一LAC用户表项中的共享标记字段的取值;若所述共享标记字段的取值是第一预设值,则确定所述LNS-UP与对端LAC-UP共享本控制服务器。
8.根据权利要求6所述的装置,其特征在于,所述生成单元,具体用于基于所述LAC用户表项中记录的LNS支持的授权信息,以及所述用户信息,生成LNS用户表项。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于将所述LAC用户表项中记录的LAC不支持的授权信息删除。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述LAC用户表项通过如下方式生成:
在接收到所述LAC-UP发送的携带有所述用户信息的第二认证报文后,将所述第二认证报文发送给认证服务器进行认证,并接收认证服务器下发的目标授权信息;
在预配置的共享本控制服务器的LAC-UP和LNS-UP对应关系中,查找与所述LAC-UP对应的LNS-UP,若能查找到,所述LAC-CP将共享标记字段的取值设置为第一预设值;若不能查找到,所述LAC-CP将共享标记字段的取值设置为第二预设值;
基于所述目标授权信息、所述共享标记字段及其取值、以及所述用户信息,生成所述LAC用户表项;
所述目标授权信息包括:LAC支持、但LNS不支持的授权信息,LAC和LNS均支持的授权信息,LAC和LNS均不支持的授权信息,以及LAC不支持、但LNS支持的授权信息。
11.一种控制服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行如权利要求1至5任一项所述方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如权利要求1至5任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810380682.1A CN108600225B (zh) | 2018-04-25 | 2018-04-25 | 一种认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810380682.1A CN108600225B (zh) | 2018-04-25 | 2018-04-25 | 一种认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600225A CN108600225A (zh) | 2018-09-28 |
| CN108600225B true CN108600225B (zh) | 2021-03-23 |
Family
ID=63609761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810380682.1A Active CN108600225B (zh) | 2018-04-25 | 2018-04-25 | 一种认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600225B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600292B (zh) * | 2018-12-24 | 2021-09-28 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及*** |
| CN111431787B (zh) * | 2019-01-10 | 2022-02-11 | ***通信有限公司研究院 | 一种隧道建立方法、装置及计算机可读存储介质 |
| CN110972140A (zh) * | 2019-12-04 | 2020-04-07 | 北京首信科技股份有限公司 | 电信4g移动网络中信息处理的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000022790A1 (en) * | 1998-10-09 | 2000-04-20 | Asc - Advanced Switching Communications | Layer two tunneling protocol (l2tp) merging and management |
| CN101272403A (zh) * | 2008-05-27 | 2008-09-24 | 华为技术有限公司 | 实现dhcp用户业务批发的方法、***和设备 |
| CN101599904A (zh) * | 2009-06-26 | 2009-12-09 | 中国电信股份有限公司 | 一种虚拟拨号安全接入的方法和*** |
| CN102148881A (zh) * | 2011-03-30 | 2011-08-10 | 华为技术有限公司 | 地址处理方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080285577A1 (en) * | 2007-05-15 | 2008-11-20 | Yehuda Zisapel | Systems and Methods for Providing Network-Wide, Traffic-Aware Dynamic Acceleration and Admission Control for Peer-to-Peer Based Services |
-
2018
- 2018-04-25 CN CN201810380682.1A patent/CN108600225B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000022790A1 (en) * | 1998-10-09 | 2000-04-20 | Asc - Advanced Switching Communications | Layer two tunneling protocol (l2tp) merging and management |
| CN101272403A (zh) * | 2008-05-27 | 2008-09-24 | 华为技术有限公司 | 实现dhcp用户业务批发的方法、***和设备 |
| CN101599904A (zh) * | 2009-06-26 | 2009-12-09 | 中国电信股份有限公司 | 一种虚拟拨号安全接入的方法和*** |
| CN102148881A (zh) * | 2011-03-30 | 2011-08-10 | 华为技术有限公司 | 地址处理方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| Building an End-to-End ISP Broadband Infrastructure as an Advanced Networking Subject;Miles, Christopher Raymond; Chan, Ka Ching;《COMPUTER APPLICATIONS IN ENGINEERING EDUCATION 》;20160129;第24卷(第1期);全文 * |
| 基于L2TP无线局域网安全解决方案;程胜军;《计算机安全》;20100129;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600225A (zh) | 2018-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US11146551B2 (en) | Access control | |
| CN107104872B (zh) | 接入控制方法、装置及*** | |
| EP1805640B1 (en) | Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN110650076B (zh) | Vxlan的实现方法,网络设备和通信*** | |
| JP5921460B2 (ja) | 認証方法、転送装置及び認証サーバ | |
| WO2017016252A1 (zh) | 令牌生成并认证的方法及认证服务器 | |
| CN108600225B (zh) | 一种认证方法及装置 | |
| EP3618365B1 (en) | Packet forwarding | |
| US11711367B2 (en) | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable | |
| CN108462683B (zh) | 认证方法和装置 | |
| CN107634907B (zh) | 一种二层虚拟专用网络l2vpn的数据转发方法和装置 | |
| CN111130978B (zh) | 网络流量转发方法、装置、电子设备及机器可读存储介质 | |
| CN109150925B (zh) | IPoE静态认证方法及*** | |
| CN107547431B (zh) | 报文处理方法及装置 | |
| CN107046568B (zh) | 一种认证方法和装置 | |
| CN111628968B (zh) | 认证方法、装置、认证***以及网络设备 | |
| WO2015007196A1 (en) | Discovery of network device of a vpn network | |
| CN114268499B (zh) | 数据传输方法、装置、***、设备和存储介质 | |
| CN114499965B (zh) | 一种基于pop3协议的上网认证方法及*** | |
| US12041052B2 (en) | Continuing a media access control security (MACSEC) key agreement (MKA) session upon a network device becoming temporarily unavailable | |
| JP5800089B2 (ja) | 中継装置、情報処理装置、アクセス制御方法およびプログラム | |
| CN108366083B (zh) | 防止用户网络访问中断的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |