CN1909456A - 认证失败后配置业务通道的方法、***和认证服务器 - Google Patents
认证失败后配置业务通道的方法、***和认证服务器 Download PDFInfo
- Publication number
- CN1909456A CN1909456A CN 200610111378 CN200610111378A CN1909456A CN 1909456 A CN1909456 A CN 1909456A CN 200610111378 CN200610111378 CN 200610111378 CN 200610111378 A CN200610111378 A CN 200610111378A CN 1909456 A CN1909456 A CN 1909456A
- Authority
- CN
- China
- Prior art keywords
- service channel
- requestor
- authenticator
- access
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了认证失败后配置业务通道的方法、***和认证服务器。所述方法包括:认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;认证者根据业务通道属性为请求者配置业务通道。所述***包括:认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;认证者,进一步用于根据业务通道属性为请求者配置业务通道。本发明还对认证服务器进行了改进。本发明可以在接入认证失败后自动、动态地配置业务通道,使得配置业务通道更加灵活、方便,降低了维护成本。
Description
技术领域
本发明涉及宽带接入技术领域,尤其涉及认证失败后配置业务通道的方法、***和认证服务器。
背景技术
随着ADSL、LAN等接入技术的成熟,宽带接入的应用越来越广泛。在宽带接入过程中,接入认证是非常重要的一环,是确保网络安全,实现用户管理的重要手段。
接入认证的***主要包括三个部分:请求者(supplicant),指请求接入网络的用户终端或网络设备,是被认证的实体,如个人电脑。认证者(Authenticator),也是接入设备,是执行认证的实体,是接收请求者认证请求的设备,如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。认证服务器(Authentication Server),是给认证者提供认证服务的实体,如远程拨号用户认证服务(Remote Authentication Dial in User Service,RADIUS)服务器。
在请求者进行接入认证时,请求者发起认证请求,认证者通过验证授权计费(Authentication Authorization Accounting,AAA)协议向认证服务器发起接入请求。认证服务器查找数据库,如果请求者认证通过,认证服务器可以根据用户的业务类型和业务权限信息,给用户授权配置用户QOS策略,配置访问控制策略。授权过程中,认证者根据认证服务器返回的消息中的相关属性,比如通道属性,VLAN属性等等,来配置用户端口映射的上行业务通道,比如VLAN或者其他通道标识。因此用户在通过认证后,可以访问到相应的网络资源。如果认证失败,接入设备,即认证者不给用户端口配置任何上行业务通道,因此用户无法访问任何网络资源。
但是对于运营商来说,希望用户没有通过认证时也能访问一些受限的网络资源,比如业务的广告页面,用来吸引用户开通业务,或者申请开通业务的页面,用来供用户网上申请业务开通。还有个用途是,使得用户可以下载一些上网需要的软件,如认证客户端软件。因此,在用户认证失败后,运营商希望给用户配置缺省的业务通道,使得用户可以访问受限的网络资源。
目前,一种在用户认证失败后给用户配置业务通道的方法是:通过管理员在每台接入设备即认证者上手工为用户端口配置一个缺省的业务通道,还可以为整个设备配置缺省的业务通道。在认证失败后,用户通过缺省的业务通道访问受限的网络资源。
上述技术由人工配置缺省的业务通道,配置工作需要在每台接入设备上进行,修改也需要在每台接入设备上进行,工作量大,成本高;而且采用手工配置,每次用户获得的业务通道是不变的,属于静态配置,配置方式不灵活。
发明内容
本发明要解决的技术问题是提供认证失败后配置业务通道的方法、***和认证服务器,以达到降低配置成本,配置方式更灵活的目的。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:
一种认证失败后配置业务通道的方法,包括:
认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;
认证者根据业务通道属性为请求者配置业务通道。
其中,所述发送具体为:在向认证者发送的接入拒绝消息中携带业务通道属性;
所述为请求者配置业务通道具体为:在检查到接入拒绝消息中的业务通道属性时,为请求者配置业务通道。
其中,所述发送具体为:认证服务器使用RADIUS协议向认证者发送。
一种认证失败后配置业务通道的***,包括:
认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;
认证者,进一步用于根据业务通道属性为请求者配置业务通道。
其中,所述认证服务器还用于向认证者发送含有业务通道属性的接入拒绝消息;
所述认证者还用于在检查到接入拒绝消息中的业务通道属性时,为请求者配置业务通道。
其中,认证者和认证服务器之间通信使用RADIUS协议。
一种认证服务器,包括:
存储单元,用于储存业务通道属性信息;
分配单元,用于在请求者认证失败后,根据存储单元中预置的业务通道属性信息为请求者分配业务通道属性;
发送单元,用于将分配好的业务通道属性向认证者发送。
其中,所述发送单元还用于向认证者发送含有业务通道属性的接入拒绝消息。
以上技术方案可以看出,在本发明中,请求者认证失败后,根据预置的业务通道属性信息为请求者分配业务通道属性,认证者根据收到的业务通道属性,把该请求者端口配置到这个业务通道中,避免了手工配置业务通道,实现了自动配置,大大减少工作量,降低了成本;认证者根据认证服务器分配的业务通道属性,为请求者配置业务通道,而认证服务器上的业务通道属性是可以根据预置的分配策略动态调整的,进而认证者为请求者配置业务通道也是动态的,可以分配到的业务通道属性是多样的,这样的配置方式更加灵活,更加容易满足不同运营商的需求。
附图说明
图1为本发明方法主要流程图;
图2为本发明方法具体流程图;
图3为本发明方法中具体实施方式流程图;
图4为本发明***结构图;
图5为本发明认证服务器的结构图。
具体实施方式
本发明要解决的技术问题是,在接入认证中,请求者认证失败后,如何以较低成本,灵活地为请求者配置业务通道,使得请求者可以访问受限的网络资源。
接入认证***主要包括三个部分:请求者,认证者,认证服务器。下面先对这三个部分进行进一步的介绍,以利于本发明技术方案的理解。
请求者,指请求接入网络的用户终端或网络设备,是被认证的实体,请求访问那些通过认证者来访问的服务,如个人电脑。请求者首先与一个认证者关联,然后再通过认证服务器认证自己的身份来完成访问请求。
请求和认证者由一个逻辑或物理的点对点局域网段连接起来。
认证者,即接入设备,是执行认证的实体,是接收请求者认证请求的设备,如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。
认证服务器,给认证者提供认证服务的实体,如RADIUS服务器。为了检验请求者的凭证,认证者使用一个认证服务器。认证服务器代表认证者检查请求者的凭证,然后向认证者做出响应,指出请求者是否被授权访问认证者的服务。认证服务器可以是RADIUS服务器等等。
目前应用最广的认证服务器是RADIUS认证服务器。认证包含三个方面内容:鉴别(Authentication)、授权(Authorization)、计费(Accounting),所以认证服务器又叫AAA服务器。RADIUS协议是目前应用最广泛,并已发展成为事实上的AAA标准协议。RADIUS用户认证***功能特点如下:不仅支持RADIUS标准协议,支持以太网上点到点协议(Point-to-Point Protocol overEthernet,PPPOE)、动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)等多种接入认证方式,支持可扩展身份验证协议(ExtensibleAuthentication Protocol,EAP)。
在接入认证过程中,请求者发起认证请求,认证者通过验证授权计费AAA协议向认证服务器发起接入请求。认证服务器查找数据库,如果请求者认证通过,认证服务器可以根据用户的业务类型和业务权限信息,给用户授权配置用户业务质量(Quality of Service,QOS)策略,配置访问控制策略,配置用户端口映射的上行业务通道,比如VLAN或者其他通道标识。
本发明着重探讨的是,如果认证失败,如何以较低的成本,灵活地为请求者配置业务通道,使得请求者可以访问一些受限的网络资源。
本发明在认证失败后配置业务通道方法的基本思路是:将要配置的,可以访问受限业务通道的属性信息存储于认证服务器上,在认证服务器根据数据库信息判断请求者标识不合法,即认证失败时,根据预置的业务通道属性信息为请求者分配业务通道属性;认证者根据业务通道属性为请求者配置用于访问受限网络资源的业务通道。
结合整个认证过程,参阅图1,本发明在认证失败后配置业务通道方法的主要流程是:
步骤101、请求者向认证者发起接入认证请求。
步骤102、认证者通过AAA协议向认证服务器发起接入请求。
步骤103、认证服务器在判断请求者标识不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性,并向认证者发送。
步骤104、认证者根据业务通道属性,为请求者配置业务通道。
请参阅图2,本发明方法的具体流程包括步骤:
步骤201、请求者向认证者发送开始消息,以表达需要进行接入认证的意愿。
步骤202、认证者向请求者发送认证请求消息。
步骤203、请求者返回认证响应消息,同时将自身的身份信息发送到认证者。
步骤204、认证者通过AAA协议向认证服务器发起接入请求,同时将请求者的身份信息发送到认证服务器。
步骤205、认证服务器查询数据库中预存的请求者身份信息,对比收到的请求者身份信息,以确定请求者身份的合法性。
步骤206、认证服务器在确定请求者身份不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性,并在向认证者发送的接入拒绝消息中携带所述业务通道属性。
预置的业务通道属性信息里一般包含有业务通道属性,以及与之对应的分配策略。
其中,分配业务通道属性的方式为:根据请求者的用户类型,或者请求者所属的认证者身份来分配业务通道属性。
步骤207、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务通道属性,为请求者配置用于访问受限网络资源的业务通道。
步骤208、认证者向请求者发送接入认证失败响应。
在本发明提供的具体的实施方式中,请求者和认证者之间的协议为802.1X,认证者和认证服务器之间的协议为RADIUS协议,认证服务器为RADIUS服务器。结合附图3,具体实施例的步骤为:
步骤301、请求者将EAP消息封装,并向认证者发起开始消息EAPOL-Start。
可扩展身份认证协议(Extensible Authentication Protocol,EAP)是802.1X用来提供标准接入认证机制的协议。局域网上的可扩展身份验证协议(EAPover LAN,EAPOL)是一种封装EAP消息的方法,即802.1X协议,使得EAP消息能够向认证者发送。
步骤302、认证者向请求者发送请求消息EAPOL EAP-Request(Identity)。
步骤303、请求者向认证者发送响应消息EAPOL EAP-Response(Identity)。
步骤304、认证者将EAPOL封装解除,再将EAP消息封装在RADIUS消息里,向RADIUS服务器发送请求认证消息RADIUS AccessRequest(EAP-Message/EAP-Response/Identity)。
要进行封装的原因是,请求者、认证者之间的协议,和认证者、认证服务器之间的协议是不同的,请求者与认证者之间使用的EAP消息要向RADIUS服务器发送前,需要进行封装,将EAP报文封装在RADIUS消息内,因为与EAP有关的代码存储在认证者上,RADIUS服务器上不需要直接读取EAP消息,而是读取将EAP封装起来的RADIUS消息。RADIUS协议通过利用EAP-Message和Message-Authenticator属性来支持EAP。所有的属性由Type-Length-Value三元组成。
步骤305、RADIUS服务器向认证者发送带随机数的质询消息RADIUSAccess Challenge(EAP-Message/EAP-Request)。
步骤306、认证者向请求者发送请求消息EAPOL EAP-Request,同时也将随机数带给请求者。
步骤307、请求者根据上述随机数将请求者身份信息加密,向认证者发送响应消息EAPOL EAP-Response。
步骤308、认证者向RADIUS服务器发送认证请求消息RADIUS AccessRequest(EAP-Message/EAP-Response)。
步骤309、RADIUS服务器查找数据库中预先保存的用户密码,根据预置的用户密码和相同的随机数进行加密,对比加密的结果与接收到的在步骤307中生成的加密结果不一致时,则判断请求者标识不合法,根据预置的业务通道属性信息为请求者分配业务通道属性,并在向认证者返回携带所述业务通道属性的接入拒绝消息RADIUS Access Reject(EAP-Message/EAP-Fail/Tunnel)。
其中,预置的业务通道属性信息里一般包含有业务通道属性,以及与之对应的分配策略。当然,向认证者发送业务通道属性的方法,不仅仅局限于由接入拒绝消息携带给认证者的发送方式,也可以采用单独将业务通道属性发送给认证者的发送方式。
在本发明中,业务通道属性存储于认证服务器,业务通道属性由认证服务器来分配。
其中,RADIUS服务器根据请求者的用户类型,或者请求者所属的认证者身份来分配业务通道属性。需要说明的是,认证服务器分配业务通道属性的方式并不局限于此。
步骤310、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务通道属性,为请求者配置用于访问受限网络资源的业务通道。
在现有技术中,认证者在接收到接入拒绝消息时,不进行任何操作。在本实施例中,即使返回的是接入拒绝消息,也要对其进行检查,以确定其是否含有业务通道属性。
步骤311、认证者向请求者发送接入认证失败消息EAPOL EAP-Fail。
请参阅图4,本发明还提供了一种认证失败后配置业务通道的***,该***对401认证服务器、402认证者的功能进行了改进,改进后:
401认证服务器,进一步用于根据数据库信息判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送。
402认证者,进一步用于根据业务通道属性为请求者配置用于访问受限网络资源的业务通道。
在本发明提供的实施例中,402认证者和401认证服务器之间的连接关系为:
在请求者发起接入认证的过程中:402认证者接收请求者发送的开始消息,向请求者发送认证请求消息,接收请求者返回的认证响应消息。
在402认证者利用401认证服务器提供的认证服务为请求者认证身份的过程中:402认证者通过AAA协议向401认证服务器发起接入请求;402认证服务器查询数据库,以确定请求者身份的合法性。
在接入认证失败后:401认证服务器在确定请求者身份不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性,并向402认证者返回携带所述业务通道属性的接入拒绝消息;402认证者在检查到接入拒绝消息中的业务通道属性时,根据业务通道属性,为请求者配置用于访问受限网络资源的业务通道;402认证者向请求者发送接入认证失败响应。
本发明具体对401认证服务器进行了改进,参阅图5,改进后,401认证服务器包括:501存储单元、502分配单元和503发送单元。
501存储单元,用于储存业务通道属性,以使得401认证服务器可以获取预置好的业务通道属性,为认证失败的请求者分配用于访问受限网络资源的业务通道的属性。
502分配单元,用于在请求者认证失败后,为请求者分配501存储单元中的业务通道属性。分配的一般方法是,根据请求者的用户类型,或者请求者所属的认证者身份来分配业务通道属性。需要说明的是,分配业务通道属性的方式并不局限于此。
503发送单元,用于将分配好的业务通道属性向402认证者发送。向402认证者发送业务通道属性的方法有,由接入拒绝消息来携带给402认证者,或者单独将业务通道属性发送给402认证者等多种发送方式。
以上对本发明所提供的认证失败后配置业务通道的方法、***和认证服务器进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用模块范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1、一种认证失败后配置业务通道的方法,其特征在于,包括:
认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;
认证者根据业务通道属性为请求者配置业务通道。
2、如权利要求1所述的认证失败后配置业务通道的方法,其特征在于,所述发送具体为:在向认证者发送的接入拒绝消息中携带业务通道属性;
所述为请求者配置业务通道具体为:在检查到接入拒绝消息中的业务通道属性时,为请求者配置业务通道。
3、如权利要求1或2所述的认证失败后配置业务通道的方法,其特征在于,所述发送具体为:认证服务器使用远程拨号用户认证服务RADIUS协议向认证者发送。
4、一种认证失败后配置业务通道的***,其特征在于,包括:
认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;
认证者,进一步用于根据业务通道属性为请求者配置业务通道。
5、如权利要求4所述的认证失败后配置业务通道的***,其特征在于,所述认证服务器还用于向认证者发送含有业务通道属性的接入拒绝消息;
所述认证者还用于在检查到接入拒绝消息中的业务通道属性时,为请求者配置业务通道。
6、如权利要求4或5所述的认证失败后配置业务通道的***,其特征在于,认证者和认证服务器之间通信使用远程拨号用户认证服务RADIUS协议。
7、一种认证服务器,其特征在于,包括:
存储单元,用于储存业务通道属性信息;
分配单元,用于在请求者认证失败后,根据存储单元中预置的业务通道属性信息为请求者分配业务通道属性;
发送单元,用于将分配好的业务通道属性向认证者发送。
8、如权利要求7所述的认证服务器,其特征在于,所述发送单元还用于向认证者发送含有业务通道属性的接入拒绝消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610111378A CN100596070C (zh) | 2006-08-24 | 2006-08-24 | 认证失败后配置业务通道的方法、***和认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610111378A CN100596070C (zh) | 2006-08-24 | 2006-08-24 | 认证失败后配置业务通道的方法、***和认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1909456A true CN1909456A (zh) | 2007-02-07 |
| CN100596070C CN100596070C (zh) | 2010-03-24 |
Family
ID=37700452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610111378A Expired - Fee Related CN100596070C (zh) | 2006-08-24 | 2006-08-24 | 认证失败后配置业务通道的方法、***和认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100596070C (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152332A (zh) * | 2013-02-17 | 2013-06-12 | 中兴通讯股份有限公司 | 一种web服务协助下的eap认证方法和设备 |
| CN111953508A (zh) * | 2019-05-17 | 2020-11-17 | 阿里巴巴集团控股有限公司 | 设备控制方法、装置、交换机及电子设备 |
-
2006
- 2006-08-24 CN CN200610111378A patent/CN100596070C/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152332A (zh) * | 2013-02-17 | 2013-06-12 | 中兴通讯股份有限公司 | 一种web服务协助下的eap认证方法和设备 |
| CN103152332B (zh) * | 2013-02-17 | 2018-02-16 | 中兴通讯股份有限公司 | 一种web服务协助下的eap认证方法和设备 |
| CN111953508A (zh) * | 2019-05-17 | 2020-11-17 | 阿里巴巴集团控股有限公司 | 设备控制方法、装置、交换机及电子设备 |
| CN111953508B (zh) * | 2019-05-17 | 2023-05-26 | 阿里巴巴集团控股有限公司 | 设备控制方法、装置、交换机及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100596070C (zh) | 2010-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101032142A (zh) | 通过接入网单一登陆访问服务网络的装置和方法 | |
| EP2207301B1 (en) | An authentication method for request message and the apparatus thereof | |
| CN1842000A (zh) | 实现无线局域网接入认证的方法 | |
| CN1152333C (zh) | 基于认证、计费、授权协议的门户认证实现方法 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和*** | |
| CN1756155A (zh) | 用于网络访问的移动认证 | |
| CN1549526A (zh) | 一种实现无线局域网鉴权的方法 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和*** | |
| CN101068245A (zh) | 共享文件的发布、下载方法及文件共享可控*** | |
| CN1889452A (zh) | 通用网管安全管理***及其方法 | |
| CN1874226A (zh) | 终端接入方法及*** | |
| CN1662092A (zh) | 高速分组数据网中接入认证方法以及装置 | |
| CN1929371A (zh) | 用户和***设备协商共享密钥的方法 | |
| CN1628449A (zh) | 传送计费信息的方法、***和设备 | |
| CN1567868A (zh) | 基于以太网认证***的认证方法 | |
| CN1713629A (zh) | 用户登录名和ip地址绑定的实现方法 | |
| CN1601958A (zh) | 基于cave算法的hrpd网络接入认证方法 | |
| CN1725687A (zh) | 一种安全认证方法 | |
| CN1822541A (zh) | 一种控制计算机登录的设备及方法 | |
| CN1941695A (zh) | 初始接入网络过程的密钥生成和分发的方法及*** | |
| CN101075869A (zh) | 网络认证的实现方法 | |
| CN1845488A (zh) | 利用智能卡进行网络电视认证的实现方法 | |
| CN101052032A (zh) | 一种业务实体认证方法及装置 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN101471934A (zh) | 动态主机配置协议中双向加密及身份鉴权的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100324 Termination date: 20150824 |
|
| EXPY | Termination of patent right or utility model |