WO2011140919A1 - 接入业务批发网络的方法、设备、服务器和*** - Google Patents

接入业务批发网络的方法、设备、服务器和*** Download PDF

Info

Publication number
WO2011140919A1
WO2011140919A1 PCT/CN2011/073409 CN2011073409W WO2011140919A1 WO 2011140919 A1 WO2011140919 A1 WO 2011140919A1 CN 2011073409 W CN2011073409 W CN 2011073409W WO 2011140919 A1 WO2011140919 A1 WO 2011140919A1
Authority
WO
WIPO (PCT)
Prior art keywords
ipoe
authentication
user terminal
information
bras
Prior art date
Application number
PCT/CN2011/073409
Other languages
English (en)
French (fr)
Inventor
钱国锋
赵志旺
李猛
陈艺彪
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Publication of WO2011140919A1 publication Critical patent/WO2011140919A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2872Termination of subscriber connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • FIG. 17 is a schematic structural diagram of an example 6 of a BRAS according to an embodiment of the present invention.
  • the PE performs the first-level authentication of the NSP network on the IPOE user terminal, and triggers the BRAS to perform the second-level authentication, because the PE passes the IPOE authentication letter.
  • the VPN tunnel corresponding to the information sends the IPOE authentication information to the BRAS. Therefore, it can meet the requirements of forwarding the packet to the BRAS through the VPN tunnel in the service wholesale network, and it is also explicitly allocated by the BRAS to the IPOE user terminal after completing the secondary authentication.
  • the IP address thus completing the access processing of the IPOE user terminal in the service wholesale network, ensures that the IPOE user terminal can access the service wholesale network.
  • the PE sends the user first packet to the BRASc through the VPN tunnel corresponding to the IPOE information in the first packet of the user according to the correspondence between the pre-configured IPOE information and the VPN tunnel.
  • the PE After receiving the user information, the PE performs a first-level authentication on the IPOE user terminal according to the user information, and the password authentication succeeds, and the browser performs the 404, the password authentication fails, and executes 403.
  • the authentication process is as follows: The PE is based on the pre-configured legal user information (the legal user information can be configured according to the requirements of the NSP network) to determine whether the user information is legal. If yes, the authentication succeeds. Otherwise, Authentication failed.
  • the PE sends the user information to the BRAS through the VPN tunnel corresponding to the user information according to the correspondence between the pre-configured user information and the VPN tunnel.
  • the foregoing method for implementing two-level operator management for an IPOE user terminal may be implemented by assigning an IP address to the IPOE user terminal in the first embodiment and the second embodiment, and the IPOE user terminal accessing the service wholesale network is successful.
  • the third state maintenance module 1001 is configured to periodically send a status query message to the BRAS, and perform state switching on the IPOE user terminal according to the status of the IPOE user terminal carried in the received status query response message.
  • the connection between modules/submodules in the figures shows only one of the simplest examples. Of course, there may be other connection relationships between modules/sub-modules in the drawing.
  • the first/second/three-state maintenance module (801, 901, 1001) may also be connected to the first authentication module 502. This is no longer the case - the description, the drawing is no longer - shown.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

接入业务批发网络的方法、 设备、 服务器和*** 本申请要求于 2010 年 8 月 20 日提交中国专利局、 申请号为 201010261207.6、 发明名称为 "接入业务批发网络的方法、 设备、 服务器和 ***" 的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明实施例涉及通信技术, 尤其涉及接入业务批发网络的方法、设备、 服务器和***。 背景技术
目前, 通信网络中出现了业务批发( Service Wholesale )技术。 图 1是在 现有技术中业务批发网络的架构图。 参见图 1, 业务批发网络是指在同一个 网络服务提供商 (Network Service Provider, 简称: NSP )的物理网络上, 存 在多个因特网服务提供商 ( Internet Service Provider, 简称: ISP ) , 多个 ISP 租用 NSP的物理网络进行业务运营, 从而实现对多 ISP业务的支持。
参见图 1, 在业务批发技术中, 用户终端连接到 NSP网络中的运营商边 缘设备(Provider Edge, 简称: PE ) , PE接收用户的业务报文, 不再根据用 户的业务报文的目的 IP地址进行传统的路由转发, 而是根据用户所属的 ISP 信息通过虚拟专用网络( Virtual Private Network, 简称: VPN )隧道将 文转 发到 ISP 中的接入设备即宽带远程接入服务器 (Broadband Remote Access Server, 简称: BRAS ) , BRAS进行相应的业务处理。 因此, 在业务批发网 络中, 存在两级运营商, 一级运营商为 NSP, 二级运营商为 ISP。
目前, 伴随着接入网络的方式向基于以太网的方式迁移, 在接入设备用户 侧出现了基于以太网的因特网协议 ( Internet Protocol over Ethernet, 简称: IPOE )的接口方式。采用 IPOE接口技术的***中目前只有一级运营商, IPOE 用户终端接入网络的过程主要包括: IPOE用户终端将用户首包发送给接入设 备, 接入设备进行认证, 认证完成后直接给 IPOE用户终端分配 IP地址, 并 确定 IPOE用户终端使用的三层网络权限。
发明人在实施本发明的过程中发现, 虽然业务批发技术和 IPOE接口技术 都具有良好的发展前景,但是, IPOE用户终端目前却无法接入业务批发网络, 比如, 针对业务批发网络中存在两级运营商的特点, 对 IPOE用户终端目前 没有任何适应性的接入处理, 从而无法为 IPOE用户终端提供业务批发网络 中的多 ISP的服务。 发明内容
本发明实施例提供接入业务批发网络的方法、 设备、 服务器和***, 解 决现有技术中 IPOE用户终端无法接入业务批发网络的问题。
本发明实施例提供的接入业务批发网络的方法, 包括:
NSP网络中的 PE接收基于 IPOE用户终端发来的 IPOE议认证信息; 所述 PE根据接收到的所述 IPOE认证信息对所述 IPOE用户终端进行一 级认证;
一级认证成功后, 所述 PE通过与所述 IPOE认证信息对应的 VPN隧道 向 BRAS发送该 IPOE认证信息, 以触发 BRAS进行二级认证和在二级认证 成功后为所述 IPOE用户终端分配 IP地址。
本发明实施例提供的 PE, 包括:
第一接收模块, 用于接收 IPOE用户终端发来的 IPOE认证信息; 第一认证模块,用于根据 IPOE议认证信息对所述 IPOE用户终端进行一 级认证;
第一发送模块, 用于在一级认证成功后, 通过与 IPOE认证信息对应的 VPN隧道向 BRAS发送该 IPOE认证信息。
本发明实施例提供的 BRAS, 包括: 第二接收模块, 用于通过 VPN隧道接收 PE发来的 IPOE认证信息; 第二认证模块,用于根据 IPOE议认证信息对 IPOE用户终端进行二级认 证;
分配模块, 用于在二级认证成功后为所述 IPOE用户终端分配 IP地址。 本发明实施例提供的接入业务批发网络的***, 包括本发明实施例提供 的 PE和本发明实施例提供的 BRAS。
本发明实施例提出的接入业务批发网络的方法、 PE、 BRAS和接入业务 批发网络的***, 由 PE对 IPOE用户终端进行 NSP网络的一级认证, 并触 发 BRAS进行二级认证, 由于 PE通过与 IPOE认证信息对应的 VPN隧道将 IPOE认证信息发送给 BRAS, 因此, 能够满足业务批发网络中通过 VPN隧 道将报文转发到 BRAS的要求, 并且还明确由 BRAS在完成二级认证后, 为 IPOE用户终端分配 IP地址,从而完成了 IPOE用户终端的在业务批发网络中 的接入处理, 保证了 IPOE用户终端能够接入业务批发网络。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍, 显而易见地, 下 面描述中的附图是本发明的一些实施例, 对于本领域普通技术人员来讲, 在 不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是在现有技术中业务批发网络的架构图;
图 2是本发明实施例提出的接入网络的方法的流程图;
图 3是本发明示例 1中 IPOE用户终端接入业务批发网络的流程图; 图 4是本发明示例 2中 IPOE用户终端接入业务批发网络的流程图; 图 5是本发明实施例提出的 PE的结构示意图;
图 6是本发明实施例提出的 PE的示例 1的结构示意图;
图 7是本发明实施例提出的 PE的示例 2的结构示意图; 图 8是本发明实施例提出的 PE的示例 3的结构示意图;
图 9是本发明实施例提出的 PE的示例 4的结构示意图;
图 10是本发明实施例提出的 PE的示例 5的结构示意图;
图 11是本发明实施例提出的 BRAS的结构示意图;
图 12是本发明实施例提出的 BRAS的示例 1的结构示意图;
图 13是本发明实施例提出的 BRAS的示例 2的结构示意图;
图 14是本发明实施例提出的 BRAS的示例 3的结构示意图;
图 15是本发明实施例提出的 BRAS的示例 4的结构示意图;
图 16是本发明实施例提出的 BRAS的示例 5的结构示意图;
图 17是本发明实施例提出的 BRAS的示例 6的结构示意图;
图 18是本发明实施例提出的接入业务批发网络的***的示意图。 具体实施方式
为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发 明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是全部的实施例。 基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例, 都属于本发明保护的范围。
本发明实施例提出了一种接入网络的方法, 参见图 2, 该方法主要包括: 201: NSP网络中的 PE接收 IPOE用户终端发送的 IPOE认证信息。 202: PE才艮据接收到的 IPOE认证信息对 IPOE用户终端进行一级认证。 203:一级认证成功后, PE通过与 IPOE认证信息对应的 VPN隧道将 IPOE 认证信息发送给 BRAS,触发 BRAS对 IPOE用户终端进行二级认证并在上述 二级认证成功后由 BRAS为 IPOE用户终端分配 IP地址。
可见, 本发明实施例提出的方法中, 由 PE对 IPOE用户终端进行 NSP 网络的一级认证, 并触发 BRAS进行二级认证, 由于 PE通过与 IPOE认证信 息对应的 VPN隧道将 IPOE认证信息发送给 BRAS, 因此, 能够满足业务批 发网络中通过 VPN隧道将报文转发到 BRAS的要求, 并且还明确由 BRAS 在完成二级认证后, 为 IPOE用户终端分配 IP地址, 从而完成了 IPOE用户 终端的在业务批发网络中的接入处理, 保证了 IPOE 用户终端能够接入业务 批发网络。
可选的, 在本发明实施例的实现中, IPOE认证信息可以采用两种方式: 方式一、将用户首包中携带的 IPOE信息作为 IPOE认证信息进行一级认 证和二级认证。
方式二、 将用户输入的用户信息作为 IPOE认证信息进行一级认证和二 级认证。
下面针对上述两种认证方式分别举一个具体示例进行详细说明。
示例 1 :
本示例中,将用户首包中携带的 IPOE信息作为 IPOE认证信息进行一级 认证和二级认证。 参见图 3, 在本示例中, IPOE用户终端接入业务批发网络 的过程主要包括:
301 : IPOE用户终端将携带 IPOE信息的用户首包发送给 NSP网络中的
PE。
本示例中,用于认证的 IPOE信息可以包括 IPOE用户终端的媒质接入控 制 (Media Access Control, 简称: MAC )地址, 和 /或, IPOE用户终端使用 的虚拟局域网 ( Virtual Local Area Network, 简称: VLAN )标识。 并且, 在 用户首包为动态主机分配协议 ( Dynamic Host Configuration Protocol, 简称: DHCP )首包时, 用于认证的 IPOE信息可以是 OPTION82字段、 IPOE用户 终端的 MAC地址和 IPOE用户终端使用的 VLAN标识中的任意一个或多个。
302: PE接收到用户首包后, 根据该用户首包中的 IPOE信息对 IPOE用 户终端进行一级认证,如果认证成功, 则执行 304,如果认证失败,执行 303。
可选的, 对 IPOE用户终端的一级认证可以采用本地认证方式或者远程 认证方式进行, 其中,
当为本地认证方式时, 认证过程具体为: PE根据预先配置的合法 IPOE 信息 (该合法 IPOE信息可以根据 NSP网络的要求进行配置) , 判断用户首 包中的 IPOE信息是否合法, 如果是, 则认证成功, 否则, 认证失败。
当为远程认证方式时, 认证过程具体为: PE将用户首包中的 IPOE信息 发送给远端的采用远程用户拨号认证服务( Remote Authentication Dial In User Service, 简称: RADIUS )协议的认证服务器, 该认证服务器根据预先配置 的合法 IPOE信息, 判断 PE发来的 IPOE信息是否合法, 如果是, 则通知 PE 认证成功, 否则, 通知 PE认证失败。
303: 拒绝 IPOE用户终端接入业务批发网络, 结束当前流程。
304: PE才艮据预先配置的 IPOE信息与 VPN隧道的对应关系, 通过与用 户首包中的 IPOE信息对应的 VPN隧道将用户首包发送给 BRASc
305: BRAS接收到用户首包后,才艮据该用户首包中的 IPOE信息对 IPOE 用户终端进行二级认证, 如果认证成功, 则执行 306, 如果认证失败, 执行 303。 其中,
当为本地认证方式时,认证过程具体为: BRAS根据预先配置的合法 IPOE 信息(该合法 IPOE信息可以根据 ISP网络的要求进行配置), 判断用户首包 中的 IPOE信息是否合法, 如果是, 则认证成功, 否则, 认证失败。
当为远程认证方式时,认证过程具体为: BRAS将用户首包中的 IPOE信 息发送给远端的采用 RADIUS协议的认证服务器, 该认证服务器根据预先配 置的合法 IPOE信息, 判断 BRAS发来的 IPOE信息是否合法, 如果是, 则通 知 BRAS认证成功, 否则, 通知 BRAS认证失败。
306: BRAS为 IPOE用户终端分配 IP地址;可选的, BRAS还可以向 IPOE 用户终端返回认证成功通知。 至此, IPOE用户终端接入业务批发网络成功。
通过上述图 3所示流程可以看到, 由 PE才艮据用户首包中携带的 IPOE信 息进行 NSP网络的一级认证, 由 BRAS根据用户首包中携带的 IPOE信息进 行二级认证, 并且通过与用户首包中的 IPOE信息对应的 VPN隧道将用户首 包发送给 BRAS, 因此, 能够满足业务批发网络中通过 VPN隧道将报文转发 到 BRAS的要求, 并且, BRAS在完成二级认证后, 为 IPOE用户终端分配 IP地址, 完成了 IPOE用户终端在业务批发网络中的接入处理, 保证了 IPOE 用户终端能够接入业务批发网络, 从而使得 IPOE用户终端能够享受业务批 发网络中的多 ISP的服务。
示例 2:
本示例中, 将用户输入的用户信息作为 IPOE认证信息进行一级认证和 二级认证。 参见图 4, 在本示例中, IPOE用户终端接入业务批发网络的过程 主要包括:
401: IPOE用户终端将用于认证的用户信息发送给 NSP网络中的 PE。 本实施例中, 用于认证的用户信息可以包括用户名、 用户密码及用户域 名中的任意一个或多个。
402: PE接收到用户信息后,根据该用户信息对 IPOE用户终端进行一级 认证, ^口果认证成功, 贝' J执行 404, ^口果认证失败, 执行 403。 当为本地认证方式时, 认证过程具体为: PE根据预先配置的合法用户信 息(该合法用户信息可以根据 NSP网络的要求进行配置) , 判断用户信息是 否合法, 如果是, 则认证成功, 否则, 认证失败。
当为远程认证方式时, 认证过程具体为: PE将用户信息发送给远端的采 用 RADIUS协议的认证服务器,该认证服务器根据预先配置的合法用户信息, 判断 PE发来的用户信息是否合法, 如果是, 则通知 PE认证成功, 否则, 通 知 PE认证失败。 403: 拒绝 IPOE用户终端接入业务批发网络, 结束当前流程。
404: PE 艮据预先配置的用户信息与 VPN隧道的对应关系, 通过与用户 信息对应的 VPN隧道将用户信息发送给 BRAS。
405: BRAS接收到用户信息后, 对 IPOE用户终端进行二级认证, 如果 认证成功, 贝' J执行 406, ^口果认证失败, 执行 403。
可选的, 当 BRAS接收到的用户信息是明文(即未经加密的信息) 时, 可以直接根据用户信息进行二级认证; 当 BRAS接收到的用户信息经过加密 时, BRAS首先需要使用与 IPOE用户终端进行密钥协商,使用协商出的密钥 对用户信息进行解密, 然后再根据解密后的用户信息对 IPOE用户终端进行 二级认证。
可选的, BRAS与 IPOE用户终端进行密钥协商的过程可以是:
BRAS在接收到 PE发来的用户信息后, 向 IPOE用户终端发起认证重协 商指示。 或者,
BRAS在接收到 PE发来的用户信息后, 等待接收 PE转发来的 IPOE用 户终端的 DHCP首包、 IP首包或者地址解析协议( ARP )首包, 一旦接收到 上述首包, 就可以利用响应消息( DHCP响应消息、 IP响应消息或者 ARP响 应消息) 的方式, 向 IPOE用户终端发起认证重协商指示。
经过上述密钥协商的过程, IPOE用户终端使用协商出的密钥, 对用户信 息进行加密, 然后再次发送给 BRAS。
BRAS收到加密的用户信息后,使用与 IPOE用户终端协商出的密钥对用 户信息进行解密, 然后再根据解密后的用户信息对 IPOE用户终端进行二级 认证。 式进行, 其中,
当为本地认证方式时, 认证过程具体为: BRAS 根据预先配置的合法用 户信息, 判断 PE发来的用户信息是否合法, 如果是, 则认证成功, 否则, 认 证失败。
当为远程认证方式时, 认证过程具体为: BRAS将 PE发来的用户信息发 送给远端的采用 RADIUS协议的认证服务器, 该认证服务器根据预先配置的 合法用户信息, 判断接收到的用户信息是否合法, 如果是, 则通知 BRAS认 证成功, 否则, 通知 BRAS认证失败。
406: BRAS为 IPOE用户终端分配 IP地址;可选的, BRAS还可以向 IPOE 用户终端返回认证成功通知。
至此, IPOE用户终端接入业务批发网络成功。
通过上述图 4所示流程可以看到, 由 PE根据用户信息进行 NSP网络的 一级认证, 由 BRAS根据用户信息进行二级认证, 并且由于通过与用户信息 对应的 VPN隧道将用户信息发送给 BRAS, 因此, 能够满足业务批发网络中 通过 VPN隧道将报文转发到 BRAS的要求,并且, BRAS在完成二级认证后, 为 IPOE用户终端分配 IP地址, 完成了 IPOE用户终端在业务批发网络中的 接入处理, 保证了 IPOE用户终端能够接入业务批发网络, 从而使得 IPOE用 户终端能够享受业务批发网络中的多 ISP的服务。
经过上面的介绍, 可以看到, 由于业务批发网络中存在两级运营商, 两 级运营商都需要对 IPOE用户终端进行管理, 因此, 在经过诸如 上述图 3和 图 4所示流程之后, 本发明实施例中还进一步提供了针对 IPOE用户终端实 现两级运营商管理的方法, 可以包括两种方式:
方式 1、 独立管理。
独立管理是指 NSP网络和 ISP网络独立管理用户, 各自维护 IPOE用户 终端的状态。 比如, 允许 IPOE用户终端在 NSP网络中为上线状态, 而在 ISP 网络中为离线状态。 具体实现为: PE与 BRAS分别独立监视和维护 IPOE用 户终端的状态, 即, PE只维护 IPOE用户终端在 NSP网络中的状态; BRAS 只维护 IPOE用户终端在 ISP网络中的状态。在独立管理方式中, PE与 BRAS 上所维护的 IPOE用户终端的状态可能不同。 方式 2、 联合管理。
联合管理是指 NSP网络和 ISP网络共同管理用户, 共同维护 IPOE用户 终端的状态。 比如, IPOE用户终端在 NSP网络和 ISP网络的状态相同, 均 为离线状态或者均为在线状态。 示例性的, 实现联合管理的方法可以有以下 两种:
2A、 通过一级运营商的 PE监视二级运营商的 BRAS所维护的 IPOE用 户终端状态, 来实现两级运营商维护的状态统一。
例如: BRAS在二级认证成功后, 将 IPOE用户终端在 ISP网络中的状态 置为上线, PE在一级认证成功后, 监听 BRAS向 IPOE用户终端发送的认证 成功通知, 如果监听到, 则将 IPOE用户终端在 NSP网络中的状态置为上线; 后续, PE和 BRAS在监听到 IPOE用户终端释放 IP地址后, 分别置 IPOE用 户终端为下线状态。 这样一级运营商和二级运营商的设备基本上不需要任何 交互。
2B、 通过信息交互实现两级运营商维护的状态统一。
例如: PE周期性地向 BRAS发送状态查询消息, 该状态查询消息可以是 预先定义的新的协议消息。状态查询消息中包含 IPOE用户终端的 IPOE信息 (比如 MAC地址, VLAN信息, option82字段, IP地址等;), BRAS接收到 状态查询消息后,向 PE返回状态查询响应消息,其中携带 BRAS维护的 IPOE 用户终端的状态, 比如在线, 空闲, 下线, 欠费等等; PE根据接收到的状态 查询响应消息中的 IPOE用户终端的状态, 对 IPOE用户终端进行状态切换。
上述针对 IPOE用户终端实现两级运营商管理的方法, 可以在实施例 1 和实施例 2中 BRAS为 IPOE用户终端分配 IP地址, IPOE用户终端接入业务 批发网络成功之后来实现。
本发明实施例还提出了一种 PE, 参见图 5, 该 PE中包括:
第一接收模块 501, 用于接收 IPOE用户终端发来的 IPOE认证信息; 第一认证模块 502, 用于根据接收到的 IPOE认证信息对所述 IPOE用户 终端进行一级认证;
第一发送模块 503, 用于在一级认证成功后, 通过与 IPOE认证信息对应 的 VPN隧道向 BRAS发送该 IPOE认证信息。
可选的,上述 IPOE认证信息可以是用户首包中携带的 IPOE信息,或者, 是户输入的用户信息。
可选的, 参见图 6, 上述第一接收模块 501中可以包括:
第一接收子模块 601, 用于接收 IPOE用户终端发来的用户首包, 该用户 首包中携带 IPOE信息;
所述第一认证模块 502中可以包括:
第一认证子模块 602, 用于根据第一接收子模块 601接收到的用户首包 中的 IPOE信息对所述 IPOE用户终端进行一级认证。
可选的, 参见图 7, 上述第一接收模块 501中可以包括:
第二接收子模块 701, 用于接收 IPOE用户终端发来的用户信息; 所述第一认证模块 502中可以包括:
第二认证子模块 702, 用于根据第二接收子模块 701接收到的用户信息 对所述 IPOE用户终端进行一级认证。
可选的, 参见图 8〜图 10, 上述 PE中还可以进一步包括:
第一状态维护模块 801, 用于维护所述 IPOE用户终端在 NSP网络中的 状态; 或者,
第二状态维护模块 901,用于在一级认证成功后,监听 BRAS向所述 IPOE 用户终端发送的认证成功通知, 如果监听到, 则将自身中维护的所述 IPOE 用户终端的状态置为上线; 在监听到所述 IPOE用户终端释放 IP地址后, 将 该 IPOE用户终端的状态置为下线; 或者,
第三状态维护模块 1001, 用于周期性地向 BRAS发送状态查询消息, 根 据接收到的状态查询响应消息中携带的 IPOE用户终端的状态, 对所述 IPOE 用户终端进行状态切换。 出于简洁的考虑, 附图中各模块 /子模块之间的连接关系仅示出了一种最 简单的示例。 当然, 附图中各模块 /子模块之间还可以有其他的连接关系, 例 如, 第一 /二 /三状态维护模块(801, 901 , 1001 )还可以和第一认证模块 502 相连接。 此处就不再——赘述, 附图中也不再——示出。
本发明实施例还提出了一种 BRAS, 参见图 11, 该 BRAS中包括: 第二接收模块 1101,用于通过 VPN隧道接收 PE发来的 IPOE认证信息; 第二认证模块 1102,用于根据 IPOE认证信息对 IPOE用户终端进行二级 认证;
分配模块 1103, 用于在二级认证成功后为所述 IPOE用户终端分配 IP地 址。
可选的,上述 IPOE认证信息可以是用户首包中携带的 IPOE信息,或者, 用户输入的用户信息作为 IPOE认证信息。
可选的, 参见图 12, 上述第二接收模块 1101中可以包括:
第三接收子模块 1201, 用于通过 VPN隧道接收 PE发来的用户首包, 该 用户首包中携带 IPOE信息;
所述第二认证模块 1102中可以包括:
第三认证子模块 1202, 用于根据第三接收子模块 1201接收到的用户首 包中的 IPOE信息对所述 IPOE用户终端进行二级认证。
可选的, 参见图 13, 上述第二接收模块 1101中可以包括:
第四接收子模块 1301, 用于通过 VPN隧道接收 PE发来的用户信息; 所述第二认证模块 1102中可以包括:
第四认证子模块 1302, 用于根据第四接收子模块 1301接收到的用户信 息对所述 IPOE用户终端进行二级认证。
可选的, 参见图 14, 在图 13所示 BRAS设备结构的基础上, 所述第二 认证模块 1102中可以进一步包括:
用户信息处理子模块 1401, 用于在所述第四接收子模块 1301接收到的 用户信息为经过加密的信息后, 向所述 IPOE用户终端发送认证重协商指示, 与该 IPOE用户终端协商出密钥;使用协商出的密钥对所述 IPOE用户终端重 新加密发来的用户信息解密, 将解密后的用户信息发送给所述第四认证子模 块 1302。
可选的, 参见图 15〜图 17, 上述 BRAS中可以进一步包括:
第一状态管理模块 1501, 用于维护所述 IPOE用户终端在 ISP网络中的 状态; 或者
第二状态管理模块 1601, 用于在二级认证成功后, 置所述 IPOE用户终 端的状态为上线状态;在监听到所述 IPOE用户终端释放 IP地址后,置该 IPOE 用户终端的状态为下线状态; 或者
第三状态管理模块 1701, 用于在周期性地接收到 PE发来的状态查询消 息后, 将自身维护的所述用户终端的状态携带在状态查询响应消息中返回给 PE。
出于简洁的考虑, 附图中各模块 /子模块之间的连接关系仅示出了一种最 简单的示例。 当然, 附图中各模块 /子模块之间还可以有其他的连接关系, 例 如, 第一 /二 /三状态管理模块 ( 1501, 1601 , 1701 )还可以和第二认证模块 1102相连接。 此处就不再——赘述, 附图中也不再——示出。
本发明实施例还提出了一种接入网络的***, 参见图 18, 该***中包括 PE 1801和 BRAS 1802 , 其中, PE 1801可以采用上述本发明实施例提出的任 意一种结构和功能的 PE, BRAS 1802可以采用上述本发明实施例提出的任意 一种结构和功能的 BRAS。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分处理 可以通过程序指令相关的硬件来完成, 前述的程序可以存储于一计算机可读 取存储介质中, 该程序在执行时, 执行包括上述方法实施例的处理; 而前述 的存储介质包括: ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介 质。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其 限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术 人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改, 或 者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求
1、 一种接入业务批发网络的方法, 其特征在于, 包括:
网络服务提供商 NSP网络中的运营商边缘设备 PE接收基于以太网的因 特网协议 IPOE用户终端发来的 IPOE认证信息;
所述 PE根据接收到的所述 IPOE认证信息对所述 IPOE用户终端进行一 级认证;
一级认证成功后, 所述 PE通过与所述 IPOE认证信息对应的虚拟专用网 络 VPN隧道向宽带远程接入服务器 BRAS发送所述 IPOE认证信息, 以触发 所述 BRAS对所述 IPOE用户终端进行二级认证并在二级认证成功后为所述 IPOE用户终端分配 IP地址。
2、 根据权利要求 1所述的方法, 其特征在于, 所述 IPOE认证信息为用 户首包中携带的 IPOE信息;或者所述 IPOE认证信息为用户输入的用户信息。
3、 根据权利要求 2所述的方法, 其特征在于, 当所述 IPOE认证信息为 用户首包中携带的 IPOE信息时, 所述 IPOE信息为媒质接入控制地址、 虚拟 局域网标识以及 OPTION82字段中的任意一个或多个。
4、 根据权利要求 2所述的方法, 其特征在于,
当所述 IPOE认证信息为用户输入的用户信息时, 所述用户信息为: 用 户名、 用户密码以及用户域名中的任意一个或多个。
5、根据权利要求 1〜4任一所述的方法,其特征在于,该方法进一步包括: 所述 PE仅维护所述 IPOE用户终端在所述 NSP网络中的状态;所述 BRAS 仅维护所述 IPOE用户终端在因特网服务提供商 ISP网络中的状态。
6、根据权利要求 1〜4任一所述的方法,其特征在于,该方法进一步包括: 所述 BRAS在二级认证成功后, 将所述 IPOE用户终端状态置为上线, 所述 PE在一级认证成功后, 监听所述 BRAS向所述 IPOE用户终端发送的认证成 功通知, 如果监听到, 则将自身中维护的该 IPOE用户终端状态置为上线; 所述 PE和所述 BRAS都在监听到所述 IPOE用户终端释放 IP地址后, 置该 IPOE用户终端为下线状态。
7、根据权利要求 1〜4任一所述的方法,其特征在于,该方法进一步包括: 所述 PE周期性地向所述 BRAS发送状态查询消息,所述 BRAS向所述 PE返 回状态查询响应消息, 其中携带所述 BRAS维护的所述 IPOE用户终端的状 态, 所述 PE根据接收到的状态查询响应消息中的 IPOE用户终端的状态, 对 所述 IPOE用户终端进行状态切换。
8、 一种运营商边缘设备 PE, 其特征在于, 包括:
第一接收模块(501 ) , 用于接收基于以太网的因特网协议 IPOE用户终 端发来的 IPOE认证信息;
第一认证模块( 502 ), 用于根据 IPOE议认证信息对所述 IPOE用户终端 进行一级认证;
第一发送模块( 503 ) , 用于在一级认证成功后, 通过与 IPOE认证信息 对应的虚拟专用网络 VPN隧道向宽带远程接入服务器 BRAS发送该 IPOE认 证信息。
9、 根据权利要求 8所述的 PE, 其特征在于, 所述第一接收模块(501 ) 包括:
第一接收子模块( 601 ), 用于接收所述 IPOE用户终端发来的用户首包, 所述用户首包中携带所述 IPOE信息;
所述第一认证模块(502 ) 包括:
第一认证子模块(602 ) , 用于根据所述第一接收子模块(601 )接收到 的用户首包中的 IPOE信息对所述 IPOE用户终端进行一级认证。
10、 根据权利要求 8所述的 PE, 其特征在于, 所述第一接收模块(501 ) 包括:
第二接收子模块(701 ), 用于接收所述 IPOE用户终端发来的用户信息; 所述第一认证模块(502 ) 包括: 第二认证子模块( 702 ), 用于根据所述第二接收子模块接收到的用户信 息对所述 IPOE用户终端进行一级认证。
11、 根据权利要求 8-10中任意一项所述的 PE, 其特征在于, 该 PE进一 步包括:
第一状态维护模块(801 ), 用于维护所述 IPOE用户终端在网络服务提 供商 NSP网络中的状态。
12、 根据权利要求 8-10中任意一项所述的 PE, 其特征在于, 该 PE进一 步包括:
第二状态维护模块(901 ), 用于在一级认证成功后, 监听所述 BRAS向 所述 IPOE用户终端发送的认证成功通知, 如果监听到, 则将自身中维护的 IPOE用户终端状态置为上线; 在监听到所述 IPOE用户终端释放 IP地址后, 置该 IPOE用户终端为下线状态。
13、 根据权利要求 8-10中任意一项所述的 PE, 其特征在于, 该 PE进一 步包括:
第三状态维护模块( 1001 ),用于周期性地向所述 BRAS发送状态查询消 息,根据接收到的状态查询响应消息中的 IPOE用户终端的状态,对所述 IPOE 用户终端进行状态切换。
14、 一种宽带远程接入服务器 BRAS, 其特征在于, 包括:
第二接收模块( 1101 ), 用于通过虚拟专用网络 VPN隧道接收运营商边 缘设备 PE发来的基于以太网的因特网协议 IPOE认证信息;
第二认证模块( 1102 ), 用于根据 IPOE议认证信息对 IPOE用户终端进 行二级认证;
分配模块(1103 ) , 用于在二级认证成功后为所述 IPOE用户终端分配 IP地址。
15、 根据权利要求 14所述的 BRAS, 其特征在于,
所述第二接收模块(1101 ) 包括: 第三接收子模块( 1201 ), 用于通过 VPN隧道接收 PE发来的用户首包, 该用户首包中携带 IPOE信息;
所述第二认证模块(1102 ) 包括:
第三认证子模块( 1202 ) , 用于根据第三接收子模块接收到的用户首包 中的 IPOE信息对所述 IPOE用户终端进行二级认证。
16、 根据权利要求 14所述的 BRAS, 其特征在于,
所述第二接收模块(1101 ) 包括:
第四接收子模块( 1301 ), 用于通过 VPN隧道接收 PE发来的用户信息; 所述第二认证模块(1102 ) 包括:
第四认证子模块( 1302 ) , 用于根据第四接收子模块接收到的用户信息 对所述 IPOE用户终端进行二级认证。
17、 根据权利要求 16 所述的 BRAS , 其特征在于, 所述第二认证模块 ( 1102 ) 中还包括:
用户信息处理子模块( 1401 ), 用于在所述第四接收子模块( 1301 )接收 到的所述用户信息为经过加密的信息后, 向所述 IPOE用户终端发送认证重 协商指示,与所述 IPOE用户终端协商出密钥;使用协商出的密钥对所述 IPOE 用户终端重新加密发来的用户信息解密, 将解密后的用户信息发送给第四认 证子模块( 1302 ) 。
18、 根据权利要求 14〜17任一所述的 BRAS , 其特征在于, 该 BRAS进 一步包括:
第一状态管理模块(1501 ), 用于维护所述 IPOE用户终端在因特网服务 提供商 ISP网络中的状态。
19、 根据权利要求 14〜17任一所述的 BRAS , 其特征在于, 该 BRAS进 一步包括:
第二状态管理模块( 1601 ), 用于在二级认证成功后, 置所述 IPOE用户 终端的状态为上线状态; 在监听到所述 IPOE用户终端释放 IP地址后, 置该 IPOE用户终端的状态为下线状态。
20、 根据权利要求 14〜17任一所述的 BRAS , 其特征在于, 该 BRAS进 一步包括:
第三状态管理模块( 1701 ), 用于在周期性地接收到 PE发来的状态查询 消息后, 将自身维护的所述 IPOE用户终端的状态携带在状态查询响应消息 中返回给所述 PE。
21、 一种接入业务批发网络的***, 其特征在于, 包括如权利要求 8〜13 任一所述的运营商边缘设备 PE ( 1801 ), 以及如权利要求 14〜20任一所述的 宽带远程接入服务器 BRAS ( 1802 )。
PCT/CN2011/073409 2010-08-20 2011-04-28 接入业务批发网络的方法、设备、服务器和*** WO2011140919A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2010102612076A CN102143136B (zh) 2010-08-20 2010-08-20 接入业务批发网络的方法、设备、服务器和***
CN201010261207.6 2010-08-20

Publications (1)

Publication Number Publication Date
WO2011140919A1 true WO2011140919A1 (zh) 2011-11-17

Family

ID=44410364

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2011/073409 WO2011140919A1 (zh) 2010-08-20 2011-04-28 接入业务批发网络的方法、设备、服务器和***

Country Status (2)

Country Link
CN (1) CN102143136B (zh)
WO (1) WO2011140919A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017186122A1 (zh) * 2016-04-27 2017-11-02 新华三技术有限公司 流量调度
CN111225377A (zh) * 2018-11-23 2020-06-02 财团法人工业技术研究院 网络服务***及网络服务方法

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013034108A1 (zh) * 2011-09-08 2013-03-14 北京智慧风云科技有限公司 一种构建云服务的***及方法
CN103067416A (zh) * 2011-10-18 2013-04-24 华为技术有限公司 一种虚拟私云接入认证方法及相关装置
US8925045B2 (en) * 2012-12-28 2014-12-30 Futurewei Technologies, Inc. Electronic rendezvous-based two stage access control for private networks
CN110933591B (zh) * 2018-09-18 2021-07-16 华为技术有限公司 认证方法、设备及***
CN109150925B (zh) * 2018-11-08 2021-06-15 网宿科技股份有限公司 IPoE静态认证方法及***
CN115835218A (zh) * 2019-06-17 2023-03-21 华为技术有限公司 二级认证的方法和装置
CN113055720B (zh) * 2019-12-26 2023-05-02 中国电信股份有限公司 Iptv业务认证方法、***以及接入设备
CN111541719B (zh) * 2020-05-19 2021-08-24 北京天融信网络安全技术有限公司 认证方法、装置及信息处理设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859133A (zh) * 2006-02-21 2006-11-08 华为技术有限公司 一种实现nsp和isp同时计费的***及方法
CN101662427A (zh) * 2009-09-18 2010-03-03 华为技术有限公司 一种分配调度资源的方法、***及路由设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7257629B2 (en) * 2001-09-27 2007-08-14 Siemens Communications, Inc. Method and apparatus for providing back-up capability in a communication system
KR20070076156A (ko) * 2006-01-18 2007-07-24 에스케이커뮤니케이션즈 주식회사 통화 연결 대기 중 개인 상태 정보를 이동 단말기에제공하는 시스템 및 방법
CN101127696B (zh) * 2006-08-15 2012-06-27 华为技术有限公司 二层网络中的数据转发方法和网络及节点设备
US9824107B2 (en) * 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
CN101009627A (zh) * 2006-12-27 2007-08-01 华为技术有限公司 一种业务绑定的方法和设备
CN101282328B (zh) * 2007-04-02 2011-07-06 北京下午茶科技有限公司 互联网内网Web服务的访问方法
CN101304363B (zh) * 2007-05-12 2011-12-07 华为技术有限公司 一种会话连接的管理方法及装置、***
CN101426004A (zh) * 2007-10-29 2009-05-06 华为技术有限公司 三层会话的接入方法、***及设备
CN101741552A (zh) * 2009-12-28 2010-06-16 华为技术有限公司 报文转发方法、设备及***

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859133A (zh) * 2006-02-21 2006-11-08 华为技术有限公司 一种实现nsp和isp同时计费的***及方法
CN101662427A (zh) * 2009-09-18 2010-03-03 华为技术有限公司 一种分配调度资源的方法、***及路由设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017186122A1 (zh) * 2016-04-27 2017-11-02 新华三技术有限公司 流量调度
CN111225377A (zh) * 2018-11-23 2020-06-02 财团法人工业技术研究院 网络服务***及网络服务方法

Also Published As

Publication number Publication date
CN102143136B (zh) 2013-12-04
CN102143136A (zh) 2011-08-03

Similar Documents

Publication Publication Date Title
WO2011140919A1 (zh) 接入业务批发网络的方法、设备、服务器和***
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US9112909B2 (en) User and device authentication in broadband networks
KR101528410B1 (ko) 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
WO2013056585A1 (zh) 一种虚拟私云接入认证方法及相关装置
JP6001790B2 (ja) 固定アクセスネットワークとueとにおける動作方法
WO2013067904A1 (zh) 用于域间虚拟专用网络对接的方法和设备
WO2013185644A1 (zh) 虚拟网络自动发现和自动配置的方法及其装置
US20130227673A1 (en) Apparatus and method for cloud networking
WO2016184368A1 (zh) 用于对用户的业务进行授权的方法、装置及***
WO2016192608A2 (zh) 身份认证方法、身份认证***和相关设备
WO2009143729A1 (zh) 实现dhcp用户业务批发的方法、***和设备
WO2012034413A1 (zh) 一种双栈用户管理方法及宽带接入服务器
WO2010048874A1 (zh) 一种ip会话标识方法、装置和***
WO2012051868A1 (zh) 防火墙策略分发方法、客户端、接入服务器及***
WO2013040957A1 (zh) 单点登录的方法、***和信息处理方法、***
WO2013056619A1 (zh) 一种身份联合的方法、IdP、SP及***
WO2015123953A1 (zh) 一种密钥生成的方法、设备及***
WO2012130128A1 (zh) 一种实现网络标识转换的方法、装置及***
WO2015127736A1 (zh) 一种用户隐私保护的方法、设备和***
WO2009074072A1 (fr) Procédé, système de réseau et équipement de réseau de conversion de stratégie dynamique
WO2011147334A1 (zh) 提供虚拟私有网业务的方法、设备和***
WO2011032478A1 (zh) 一种获取终端身份标识的方法、装置及终端
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11780140

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11780140

Country of ref document: EP

Kind code of ref document: A1