專利名稱::一種面向多接入模式的認證網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及涉及一種面向多接入模式的認證網(wǎng)絡(luò)����,屬于計算機接入認證
技術(shù)領(lǐng)域:
。
背景技術(shù):
:從技術(shù)和業(yè)務(wù)發(fā)展趨勢以及固網(wǎng)運營商生存和發(fā)展的需要看��,固網(wǎng)運營商進入移動通信領(lǐng)域在今天已經(jīng)是勢在必行�����。固網(wǎng)運營商應(yīng)該將寬帶移動無線數(shù)據(jù)業(yè)務(wù)與寬帶固網(wǎng)數(shù)據(jù)業(yè)務(wù)捆綁進行����,在已經(jīng)有的固定寬帶IP網(wǎng)上設(shè)置無線基站��,來提供寬帶移動數(shù)據(jù)業(yè)務(wù)�����。目前IEEE正在制定無線局域網(wǎng)IEEE802.11�����、無線城域網(wǎng)IEEE802.16、和無線廣域網(wǎng)IEEE802.20的標準�,可以和固定寬帶IP網(wǎng)結(jié)合提供寬帶移動數(shù)據(jù)業(yè)務(wù),將形成和ITU的三代移動通信標準(WCDMA���,TD-SCDMA����,CDMA2000)對峙的局面�。固網(wǎng)運營商可以在ffiEE標準的基礎(chǔ)上發(fā)展自己的寬帶移動數(shù)據(jù)業(yè)務(wù),在已經(jīng)有的固網(wǎng)基礎(chǔ)設(shè)施上進行�,與固網(wǎng)業(yè)務(wù)擁綁提供移動業(yè)務(wù)。各種寬帶接入網(wǎng)絡(luò)的迅猛發(fā)展��,用戶數(shù)量急劇增加,采用寬帶接入認證和計費系統(tǒng)��,建立一個可運營�����、可管理的寬帶網(wǎng)絡(luò)�,已經(jīng)成為網(wǎng)絡(luò)運營商的迫切需求。然而傳統(tǒng)的認證計費系統(tǒng)采用的模式都是基于不同接入技術(shù)�、使用不同的認證系統(tǒng)。但是�,多業(yè)務(wù)、多認證系統(tǒng)的模式�,不利于有效的利用網(wǎng)絡(luò)資源、統(tǒng)一用戶的數(shù)據(jù)庫����,不能實現(xiàn)網(wǎng)絡(luò)優(yōu)化方案的開展和為用戶提供一單式計費的可能。其主要問題表現(xiàn)在以下幾個方面①不同接入技術(shù)使用不同認證系統(tǒng)給用戶帶來了極大的不便�,用戶和運營商需要維護多套的用戶資料,用戶在通過不同的接入技術(shù)訪問網(wǎng)絡(luò)時必須使用不同的用戶資料�;多認證系統(tǒng)無法實現(xiàn)一單式計費,這也會導(dǎo)致用戶的流失(用戶可以為不同接入技術(shù)選擇不同的運營商)���。②不同的接入技術(shù)使用不同的認證系統(tǒng)需要運營商布設(shè)多套的認證系統(tǒng)�����,這會增加運營商的設(shè)備成本�����;相應(yīng)地��,多個認證系統(tǒng)的維護需要更多的網(wǎng)絡(luò)管理人員���,這就增加了運營商的網(wǎng)絡(luò)管理維護成本�����。③因系統(tǒng)原因造成用戶資料的龐大,運營商無法基于用戶的各種業(yè)務(wù)進行統(tǒng)計分析���,不利于為用戶在多種業(yè)務(wù)之間提供靈活組合的計費策略�����。因此需要將各種接入認證技術(shù)融合成綜合的接入系統(tǒng)�����,以解決上述問題�。中國專利公開號101291218,公開了一種多模通信終端進行認證或通信的方法���、涉及的系統(tǒng)���,該方法主要包括當該終端某一種模式已經(jīng)成功使用,在另一種模式進行認證或者通信的時候����,利用已經(jīng)建立的信任關(guān)系和網(wǎng)絡(luò)通道進行認證支持和通信參數(shù)協(xié)商,使得終端的多個模式之間進行有效的融合和信息共享���,避免各模式獨立進行認證和通信帶來功能的重復(fù)和操作的復(fù)雜性���。該方法處理的問題不夠全面,也沒有提到相關(guān)的計費問題����,存在一定的缺陷
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是克服現(xiàn)有技術(shù)中所存在的上述不足,而提供一種面向多接入模式的認證網(wǎng)絡(luò)�,將現(xiàn)有的主流認證技術(shù)都實現(xiàn)在一個面向多接入控制設(shè)備上,多接入控制設(shè)備主要支持PPPoE�����、IEEE802.IX和Web+DCHP認證,同時支持標準IEEE802.Ili和IEEE802.16中定義的認證��。本發(fā)明解決上述技術(shù)問題所采用的技術(shù)方案是一種面向多接入模式的認證網(wǎng)絡(luò),其特征在于它包括有線接入設(shè)備、無線接入設(shè)備�����、接入控制設(shè)備、認證系統(tǒng)和互聯(lián)網(wǎng)�,有線接入設(shè)備和無線接入設(shè)備與接入控制設(shè)備連接,接入控制設(shè)備與認證系統(tǒng)連接�����,認證系統(tǒng)與互聯(lián)網(wǎng)連接����。接入控制設(shè)備位于各種接入設(shè)備與認證系統(tǒng)的銜接處�,主要負責用戶的接入認證和移動性管理;接入控制設(shè)備能為多種接入網(wǎng)絡(luò)的用戶提供統(tǒng)一的接入認證���、授權(quán)和計費服務(wù)(以下簡稱AAA服務(wù))�����,支持現(xiàn)有的主流接入方式����,和新興的寬帶無線接入;在城域核心網(wǎng)部分提供一套認證系統(tǒng)����,為多種接入網(wǎng)絡(luò)提供統(tǒng)一的AAA服務(wù)。用戶可以在多種網(wǎng)絡(luò)間漫游���,統(tǒng)一認證和計費��,避免了為采用某種鏈路層技術(shù)的接入網(wǎng)絡(luò)單獨建立一套認證系統(tǒng),降低運營商的投資和運營成本����。所述的認證系統(tǒng)包括PPPoE模塊���、802.IX模塊�、802.Ili模塊���、GRE模塊�����、AM模塊�����、RADIUSClient模塊�����、WebServer認證模塊��、TCP/IPStack模塊��、轉(zhuǎn)發(fā)模塊��、PPPEnd模塊����、EthernetDriver模塊、SCS模塊����、DHCP模塊�、Subscribertable模塊和KSCS模塊,所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接�,PPPEnd模塊分別與轉(zhuǎn)發(fā)模塊和EthernetDriver模塊連接�����;802.IX模塊分別與802.Ili模塊��、AIM模塊和EthernetDriver模塊連接�,802.Ili模塊與GRE模塊連接,GRE模塊與TCP/IPStack模塊連接��,TCP/IPStack模塊與轉(zhuǎn)發(fā)模塊連接��,轉(zhuǎn)發(fā)模塊與EthernetDriver模塊連接�;所述的AIM模塊分別與RADIUSClient模塊、WebServer認證模塊和SCS模塊連接,WebServer認證模塊與TCP/IPStack模塊連接����,SCS模塊分別與DHCP模塊、Subscribertable模塊和KSCS模塊連接�,KSCS模塊分別與Subscribertable模塊和轉(zhuǎn)發(fā)模塊連接。所述的AIM模塊為認證接口管理模塊,全稱AuthenticationInterfaceManager,在認證系統(tǒng)中起著樞紐作用�,銜接眾多其他模塊,將認證流程���、用戶權(quán)限生成下發(fā)�、計費流程聯(lián)系起來。根據(jù)對外接口���,可以進一步將AIM模塊劃分為幾個部分���,分別是認證方式接口、認證協(xié)議接口���、用戶配置與統(tǒng)計接口���。①認證方式接口用于提供用戶多種認證方式。每個用戶認證服務(wù)模塊當接收到用戶的認證請求后�����,將需要提供的屬性�,如用戶名、密碼等封裝在統(tǒng)一的結(jié)構(gòu)中�����,該結(jié)構(gòu)中同時包含認證結(jié)果返回后應(yīng)調(diào)用的回調(diào)函數(shù)�����,調(diào)用AIM模塊提供的統(tǒng)一接口傳送給該模塊�����。②認證協(xié)議接口用于支持多種認證協(xié)議����,如RADIUS、Diameter��。AIM模塊和各認證客戶端之間的接口是統(tǒng)一的���,該接口根據(jù)系統(tǒng)中配置的認證協(xié)議����,將認證模塊傳過來的封裝數(shù)據(jù)傳送到認證協(xié)議的客戶端模塊�,如RADIUSClient模塊,由客戶端模塊封裝成認證協(xié)議報文發(fā)送到認證服務(wù)器���。該結(jié)構(gòu)同時注冊了回調(diào)函數(shù)�,RADIUSClient模塊根據(jù)認證結(jié)果調(diào)用回調(diào)函數(shù)通知認證模塊��,并最終發(fā)送到用戶端。③用戶配置與統(tǒng)計接口專門負責與SCS模塊通信��,用于業(yè)務(wù)開通�、計費等功能。所述的802.IX模塊負責封裝和解析與用戶端之間的EAPOL(ExtensibleAuthenticationProtocolOverLan:基于局域網(wǎng)的擴展認證協(xié)議)的消息�,并維護用戶相關(guān)的IEEE802.IX協(xié)議狀態(tài)機,以及與AM的接口����。IEEE802.IX協(xié)議定義8個狀態(tài)機端口定時狀態(tài)機,認證者狀態(tài)機��,傳輸密鑰狀態(tài)機�����,重認證定時器狀態(tài)機���,后端服務(wù)器狀態(tài)機��,受控方向狀態(tài)機�,客戶端狀態(tài)機�����,接收密鑰狀態(tài)機。所述的WebServer模塊對于Web+DHCP方式,用戶并不是直接向接入控制器中的WebServer請求頁面�����,而是試圖去訪問某個網(wǎng)站����,此時需要由用戶轉(zhuǎn)發(fā)模塊FWD將用戶的頁面請求轉(zhuǎn)交給用戶模塊WebServer�����。收到用戶頁面請求,WebServer模塊向用戶發(fā)送重定向頁面���,讓用戶向本W(wǎng)ebServer發(fā)送頁面請求���。然后WebServer模塊根據(jù)密碼認證的方式,生成不同的頁面發(fā)送到用戶端�。當接收到用戶名、密碼等信息后�,將客戶端信息封裝在統(tǒng)一的結(jié)構(gòu)中,調(diào)用AM模塊提供的統(tǒng)一接口����,發(fā)送到RADIUSClient模塊�����。同時在該結(jié)構(gòu)中封裝自己的回調(diào)函數(shù)���。所述的PPPoE模塊對于采用PPPoE接入方式,由于業(yè)務(wù)數(shù)據(jù)和控制數(shù)據(jù)并沒有完全分開(都使用PPP協(xié)議頭封裝)���,為了提高PPPoE轉(zhuǎn)發(fā)數(shù)據(jù)的處理效率���,需要將PPPoE的功能分割并分別在內(nèi)核與用戶空間實現(xiàn),對于PPPoE鏈路的建立過程由用戶空間的PPPoE模塊完成����,而PPPoE封裝的數(shù)據(jù)業(yè)務(wù)流由內(nèi)核中的轉(zhuǎn)發(fā)模塊處理。MAC層驅(qū)動將收到的PPPoE幀交付給PPPEND模塊處理�,PPPEND模塊根據(jù)類型字段判斷該幀是數(shù)據(jù)幀還是控制幀,如果是控制幀則交給用戶空間的PPPoE模塊�,否則交給轉(zhuǎn)發(fā)模塊處理。用戶空間的PPPoE模塊處理PPPoE的發(fā)現(xiàn)階段�����,和會話階段中的PPP有限狀態(tài)的轉(zhuǎn)變�����,并通過AM模塊和RADIUSClient傳遞用戶認證信息。認證成功后將SESSIONID�、用戶IP地址等信息通過AIM、SCS模塊下發(fā)給內(nèi)核的用戶表�。所述的802.Ili模塊模塊主要處理來自于集中式AP的IEEE802.11管理幀,這些管理幀由GRE模塊交付給本模塊處理���,GRE模塊主要完成解析和封裝GRE協(xié)議頭的功能。802.Ili模塊功能包括以下功能IEEE802.11幀的解析和封裝���、IEEE802.11關(guān)聯(lián)過程的處理�、四次握手密鑰協(xié)商處理�����、向AP下發(fā)密鑰處理��。所述的DHCP模塊是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議�����,使用UDP協(xié)議工作�����,主要有兩個用途給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址,給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段�。所述的RADIUSClient模塊RADIUSClient模塊在系統(tǒng)中起著重要作用,它是接入控制設(shè)備實現(xiàn)用戶認證��、計費功能的接口��,通過使用RADIUS協(xié)議與遠端認證服務(wù)器進行通信��,完成對用戶業(yè)務(wù)的認證�、生成、計費功能�����。RADIUSClient模塊接收來自AM模塊的認證信息(認證模塊產(chǎn)生)和計費信息(SCS模塊產(chǎn)生)��,并封裝成RADIUS協(xié)議報文發(fā)送給RADIUSServer0同時模塊還需要具備定時重發(fā)RADIUS協(xié)議報文功能��。并將從RADIUSServer收到的認證��,授權(quán)信息通過AM轉(zhuǎn)交給正確的模塊����。所述的SCS和KSCS模塊SCS模塊為用戶配置和統(tǒng)計��,全稱SubscriberConfigurationandStatistic��;KSCS模塊為內(nèi)核用戶配置和統(tǒng)計��,全稱KernelSubscriberConfigurationandStatistic;SCS模塊負責將認證授權(quán)結(jié)果下發(fā)給內(nèi)核的KSCS模塊�,KSCS模塊保存用戶信息表項��,并由轉(zhuǎn)發(fā)模塊完成對用戶需要轉(zhuǎn)發(fā)的數(shù)據(jù)進行過濾����、控制。當用戶注銷后���,由SCS模塊通知內(nèi)核刪除用戶表項。SCS支持通過SNMP和CLI對用戶表項進行操作����。SCS模塊定時向內(nèi)核請求收集計費信息,然后經(jīng)由AIM模塊�、RADIUSClient模塊傳回AAA服務(wù)器。所述的轉(zhuǎn)發(fā)模塊屬于內(nèi)核空間的功能模塊�����,主要負責用戶數(shù)據(jù)的轉(zhuǎn)發(fā),根據(jù)用戶表對用戶數(shù)據(jù)包進行過濾���、速率控制和計費數(shù)據(jù)采集��。所述的Subscribertable模塊用于保存認證用戶的相關(guān)信息,用戶表中包含Web認證�、802.IX認證��、802.Ili和PPPoE認證用戶的相關(guān)表項���。用戶表項主要包含以下幾部分內(nèi)容用戶的標志信息����,如IP地址��、MAC地址或PPPSESSI0NID等��;速率控制信息����;流量統(tǒng)計信息;ACL組���。利用表項包含的ACL字段���,可以為每個用戶制定ACL規(guī)則�。當然���,也可以以VLAN為單位制定ACL規(guī)則�����,這時�,該VLAN所屬的所有用戶的ACL規(guī)則均一致��。對于經(jīng)由802.IliAP認證的用戶�,認證點(Authenticator)位于802.IliAP,接入控制設(shè)備并不執(zhí)行接入控制功能。所述的TCP/IPStack模塊是Internet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)���,是網(wǎng)絡(luò)中使用的基本的通信協(xié)議�����。TCP協(xié)議負責把數(shù)據(jù)分成若干個數(shù)據(jù)包,并給每個數(shù)據(jù)包加上包頭�����,就像給一封信加上信封,包頭上有相應(yīng)的編號����,以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式,IP協(xié)議在每個包頭上再加上接收端主機地址,這樣數(shù)據(jù)找到自己要去的地方,如果傳輸過程中出現(xiàn)數(shù)據(jù)丟失���、數(shù)據(jù)失真等情況��,TCP協(xié)議會自動要求數(shù)據(jù)重新傳輸�����,并重新組包�����?���?傊?�,IP協(xié)議保證數(shù)據(jù)的傳輸����,TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量�。所述的EthernetDriver模塊是連接互聯(lián)網(wǎng)和局域網(wǎng)的端口���,是上網(wǎng)所必需的�����。本發(fā)明所述的認證系統(tǒng)分為低度融合和高度融合兩種方式�����,在低度融合的方式下����,接入控制設(shè)備僅具有單一的認證技術(shù)����,各認證技術(shù)使用自己的接入控制設(shè)備,不同的接入控制設(shè)備的用戶都到一個統(tǒng)一認證系統(tǒng)去認證�����;低度融合方式雖然在一定程度上將不同接入認證技術(shù)融合在一起���,即利用統(tǒng)一的認證系統(tǒng)為各接入認證技術(shù)提供認證計費功能��。但由于接入控制器僅支持單一的認證技術(shù)���,運營商為了在不同環(huán)境下布設(shè)接入網(wǎng)絡(luò),必須使用多套的接入控制設(shè)備以滿足不同的接入認證技術(shù)需求�����。這就導(dǎo)致了網(wǎng)絡(luò)的布設(shè)成本較高�����,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜��,維護成本高��。在高度融合的方式下�����,接入控制設(shè)備支持多種接入認證技術(shù)��,各認證技術(shù)都終結(jié)于同一個接入控制設(shè)備上�,所有的認證信息通過不同的認證技術(shù)發(fā)送到相同接入控制設(shè)備上���,然后由接入控制設(shè)備將認證信息封裝在認證協(xié)議中送給認證系統(tǒng)完成認證功能;由于接入控制設(shè)備支持多種接入認證方式��,對使用不同的接入技術(shù)的用戶進行統(tǒng)一的接入控制����,使用統(tǒng)一的認證系統(tǒng),因此用戶同樣僅需維護一套用戶信息和計費結(jié)算清單��。而且接入認證設(shè)備數(shù)量的減少也降低了運營商布設(shè)網(wǎng)絡(luò)時的設(shè)備成本��,并降低網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜度便于維護��。同時支持多種認證方式的接入控制設(shè)備易于運營商根據(jù)市場需求開展各種業(yè)務(wù)���,增加了布網(wǎng)的靈活性���。運營商可以根據(jù)不同情況使用接入控制設(shè)備布設(shè)網(wǎng)絡(luò),對于現(xiàn)有的已經(jīng)布設(shè)好的網(wǎng)絡(luò)�����,可以將接入控制設(shè)備按低度融合方式的布設(shè)以保留已投入的成本��。而在一個新的區(qū)域布設(shè)接入網(wǎng)時,可以在該區(qū)域布設(shè)接入控制器并按市場的需求開展相應(yīng)的業(yè)務(wù)�����,并隨著市場需求的發(fā)展����,按高度融合的方式來擴展新的業(yè)務(wù)�。本發(fā)明所述的有線接入設(shè)備包括路由器、臺式電腦�、筆記本,臺式電腦��、筆記本通過有線網(wǎng)與路由器連接�����,路由器與接入控制設(shè)備連接��。本發(fā)明所述的無線接入設(shè)備包括無線接收器��、筆記本����、移動終端����,筆記本���、移動終端通過無線網(wǎng)與無線接收器連接�,無線接收器通過無線網(wǎng)與接入控制設(shè)備連接���。本發(fā)明所述的認證系統(tǒng)中模塊處理的具體流程包括認證流程�����、用戶授權(quán)流程����、計費流程���、地址分配流程�、強制認證流程和轉(zhuǎn)發(fā)流程����。本發(fā)明與現(xiàn)有技術(shù)相比,具有以下明顯效果設(shè)計合理,通過認證系統(tǒng)提供一套統(tǒng)一的AAA服務(wù)�����,能為采用不同鏈路技術(shù)��、不同性質(zhì)的用戶提供AAA服務(wù)��。在一個共同的框架基礎(chǔ)上��,針對不同鏈路層技術(shù)的特點分別提不同的認證模塊���,實現(xiàn)對多種鏈路層技術(shù)的接入?���?梢越o不同接入方式的客戶帶來方便,并且實現(xiàn)統(tǒng)一的計費��,為用戶在多種業(yè)務(wù)之間提供靈活組合的計費策略����,另一方面也能夠降低運營商的成本。圖I為本發(fā)明的結(jié)構(gòu)示意圖�。圖2為本發(fā)明中認證系統(tǒng)的模塊結(jié)構(gòu)圖。具體實施例方式下面結(jié)合附圖并通過實施例對本發(fā)明作進一步說明。實施例參見圖I�����,本實施例包括有線接入設(shè)備I��、無線接入設(shè)備2����、接入控制設(shè)備3、認證系統(tǒng)4和互聯(lián)網(wǎng)5�����,有線接入設(shè)備I和無線接入設(shè)備2與接入控制設(shè)備3連接���,接入控制設(shè)備3與認證系統(tǒng)4連接����,認證系統(tǒng)4與互聯(lián)網(wǎng)5連接�����;有線接入設(shè)備I包括路由器11��、臺式電腦12、筆記本13����,臺式電腦12、筆記本13通過有線網(wǎng)與路由器11連接���,路由器11與接入控制設(shè)備3連接�����;無線接入設(shè)備2包括無線接收器21���、筆記本22�����、移動終端23���,筆記本22���、移動終端23通過無線網(wǎng)與無線接收器21連接,無線接收器21通過無線網(wǎng)與接入控制設(shè)備3連接�。接入控制設(shè)備位于各種接入設(shè)備與認證系統(tǒng)的銜接處,主要負責用戶的接入認證和移動性管理;接入控制設(shè)備能為多種接入網(wǎng)絡(luò)的用戶提供統(tǒng)一的接入認證�、授權(quán)和計費服務(wù)(以下簡稱AAA服務(wù)),支持現(xiàn)有的主流接入方式�����,和新興的寬帶無線接入�����;在城域核心網(wǎng)部分提供一套認證系統(tǒng)��,為多種接入網(wǎng)絡(luò)提供統(tǒng)一的AAA服務(wù)���。用戶可以在多種網(wǎng)絡(luò)間漫游����,統(tǒng)一認證和計費�����,避免了為采用某種鏈路層技術(shù)的接入網(wǎng)絡(luò)單獨建立一套認證系統(tǒng)��,降低運營商的投資和運營成本�����。參見圖2,所述的認證系統(tǒng)包括PPPoE模塊�、802.IX模塊、802.Ili模塊�、GRE模塊、AIM模塊�、RADIUSClient模塊、WebServer認證模塊�����、TCP/IPStack模塊��、轉(zhuǎn)發(fā)模塊����、PPPEnd模塊��、EthernetDriver模塊�、SCS模塊、DHCP模塊����、Subscribertable模塊和KSCS模塊���,所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接,PPPEnd模塊分別與轉(zhuǎn)發(fā)模塊和EthernetDriver模塊連接�����;802·IX模塊分別與802.Ili模塊���、AIM模塊和EthernetDriver模塊連接�,802.Ili模塊與GRE模塊連接����,GRE模塊與TCP/IPStack模塊連接,TCP/IPStack模塊與轉(zhuǎn)發(fā)模塊連接,轉(zhuǎn)發(fā)模塊與EthernetDriver模塊連接��;所述的AIM模塊分別與RADIUSClient模塊�、WebServer認證模塊和SCS模塊連接,WebServer認證模塊與TCP/IPStack模塊連接����,SCS模塊分別與DHCP模塊、Subscribertable模塊和KSCS模塊連接���,KSCS模塊分別與Subscribertable模塊和轉(zhuǎn)發(fā)模塊連接�����。本實施例中���,模塊處理的具體流程包括認證流程���、用戶授權(quán)流程、計費流程����、地址分配流程、強制認證流程和轉(zhuǎn)發(fā)流程���。認證流程各種認證模塊通過AM模塊提供的認證接口�,將認證用戶的信息發(fā)送到RADIUSClient模塊的消息隊列��。RADIUSClient模塊接收到認證請求后�,為該用戶建立一個記錄表項,包括用戶名��、用戶密碼等參數(shù)���,將該表項添加到認證請求列表中����,該列表以用戶名為索引�,采用合適的數(shù)據(jù)結(jié)構(gòu)以加快搜索速度。RADIUSClient模塊按照預(yù)先配置的Access-Request屬性控制列表�,為該請求組合一個Access-Request報文,發(fā)送給RADIUSServer模塊�����;如果一段時間內(nèi)沒有收到RADIUSServer模塊的響應(yīng)報文��,則重發(fā)該報文���。如果重發(fā)次數(shù)到了最大值����,還沒有接收到RADIUSServer模塊的回應(yīng)��,則直接刪除該認證請求�����,同時調(diào)用該認證類型所注冊的通知回調(diào)函數(shù)�,通知用戶認證服務(wù)器不可達�����。在支持多個RADIUSServer的情況下�,RADIUSClient模塊將嘗試其它服務(wù)器�����,等全部失敗后再通知AIM模塊和用戶認證模塊���。根據(jù)從RADIUSServer模塊的響應(yīng)報文��,RADIUSClient模塊分別做以下的處理①對于Reject報文�����,調(diào)用該用戶認證方式所注冊的通知回調(diào)函數(shù)�,去通知用戶認證失敗����,同時刪除該用戶請求表項。②對于Challenge報文���,調(diào)用該用戶認證所注冊的查詢回調(diào)函數(shù)���,去通知用戶計算Challenge值。③對于Acc印t報文��,調(diào)用該用戶認證方式所注冊的通知回調(diào)函數(shù)��,去通知用戶認證成功�����;然后該用戶從認證請求用戶列表中刪除�����,并調(diào)用AIM模塊提供的接口�,將用戶授權(quán)信息傳送給SCS模塊。用戶授權(quán)流程當SCS模塊接收到添加用戶授權(quán)消息后�,構(gòu)造用戶表項,如果信息完整��,向內(nèi)核下發(fā)添加用戶表項消息�����,如果缺少IP信息,啟動一個定時器�����。如果定時器超時��,SCS模塊刪除用戶表項�����。如果在定時器超時之前收到DHCP模塊申請地址成功的消息����,SCS模塊填寫IP地址,下發(fā)用戶表項�。內(nèi)核處理該消息并且返回一個回應(yīng)消息。SCS收到內(nèi)核回應(yīng)消息���,判斷如果內(nèi)核成功添加該用戶成功��,并且該用戶需要計費操作����,則調(diào)用AIM模塊提供的接口觸發(fā)RADIUSClient模塊發(fā)送Accounting-Start報文消息�;RADIUSClient模塊接收到消息后���,為該用戶建立一個記錄表項,包括用戶名�、統(tǒng)計信息等其他參數(shù),添加到計費請求列表中���。RADIUSClient模塊按照預(yù)先配置的Account-Request屬性控制列表,為該請求組合一個Account-Request報文,發(fā)送給認證服務(wù)器;如果一段時間內(nèi)沒有收到RADIUSServer模塊的響應(yīng)報文�,則重發(fā)該報文。如果重發(fā)次數(shù)到了最大值�����,還沒有接收到RADIUSServer模塊回應(yīng)�����,則直接刪除該計費請求�,并通知SCS模塊計費失敗,刪除用戶表項��。當SCS模塊接收到刪除用戶消息后����,向內(nèi)核下發(fā)鎖定用戶消息。內(nèi)核處理該消息,并在返回消息中攜帶該用戶的統(tǒng)計信息����。SCS模塊收到回應(yīng)消息,判斷已經(jīng)成功鎖定用戶���,調(diào)用AM模塊提供的接口觸發(fā)RADIUSClient模塊發(fā)送Accounting-Stop報文消息�����,最后SCS模塊向內(nèi)核下發(fā)刪除用戶消息�����,讓內(nèi)核徹底刪除該用戶�����。計費流程計費請求的發(fā)起者是SCS模塊�����。SCS模塊為每個用戶建立一個計費定時器,該定時器的間隔被設(shè)置為Access-Accept報文中Acct-Interim-Interval屬性值�。每當該定時器到期之后,就向內(nèi)核發(fā)送統(tǒng)計消息�����。當接收到內(nèi)核的統(tǒng)計消息后�,更新該用戶的統(tǒng)計信息,通過AIM模塊提供的用戶配置統(tǒng)計接口觸發(fā)RADIUSClient模塊發(fā)送Accounting-Update消肩、O按時長控制用戶用戶使用網(wǎng)絡(luò)的計時操作是在SCS模塊進行的�。當用戶申請的網(wǎng)絡(luò)使用時長到期后���,SCS模塊向內(nèi)核發(fā)送消息鎖定該用戶的轉(zhuǎn)發(fā)服務(wù)�����。當內(nèi)核接收到該消息后,鎖定該用戶的轉(zhuǎn)發(fā)��,并且在返回消息中,攜帶該用戶的統(tǒng)計信息����。當SCS模塊處理內(nèi)核返回消息后����,更新該用戶的統(tǒng)計信息;并觸發(fā)向RADIUSClient模塊發(fā)送Accounting-Stop報文消息,然后向內(nèi)核發(fā)送刪除用戶消息�。如果一定時間內(nèi)SCS模塊沒有受到內(nèi)核的回應(yīng)消息,則重新向內(nèi)核發(fā)送鎖定消息�����。按流量控制用戶在內(nèi)核統(tǒng)計用戶流量的過程中,如果發(fā)現(xiàn)用戶可用流量已經(jīng)達至IJ�����,則內(nèi)核主動鎖定該用戶,然后向SCS返回鎖定消息�,并在消息中攜帶用戶的統(tǒng)計信息。地址分配流程自動地址配置由DHCP模塊完成�。為了避免IP地址浪費的情況����,DHCP模塊應(yīng)該支持二次地址分配功能,即當用戶請求DHCP分配地址時,DHCP模塊先通過SCS模塊提供的接口查看該用戶是否已經(jīng)通過認證�,如果沒有認證則給用戶分配一個局部鏈路地址�����,該地址僅在本地有效,無法訪問外網(wǎng)���。當用戶認證通過以后,由SCS模塊觸發(fā)DHCP模塊發(fā)起給用戶的二次地址分配過程����,此時將給用戶分配全局的IP地址���,并將該全局IP地址傳遞給SCS模塊�,最終由SCS模塊下發(fā)給內(nèi)核的用戶表����。強制認證流程僅考慮Web認證的情況(另外兩種假定由用戶主動觸發(fā)),內(nèi)核轉(zhuǎn)發(fā)模塊對所有的需要轉(zhuǎn)發(fā)的數(shù)據(jù)包進行過濾�����,如果數(shù)據(jù)包是一個沒有經(jīng)過認證的用戶所發(fā)送的HTTP報文�,而且目的IP不是接入接入控制器,那么將目的IP替換為接入控制器的環(huán)回地址����,包括重新計算校驗和,并且將該報文的源IP地址�����、源端口、目的IP地址���、目的端口的對應(yīng)關(guān)系記錄到“強制認證鏈表”�,然后上送給WebServer模塊處理�����。WebServer將重定向頁面發(fā)送給用戶�����,該報文在發(fā)出時被轉(zhuǎn)發(fā)模塊檢測到源端口是80�����、源IP地址是接入控制器自己的報文�,轉(zhuǎn)發(fā)模塊根據(jù)該報文目的IP地址�����、目的端口查找“強制認證鏈表”�,將這個報文的源IP地址、源端口替換為查找到表項內(nèi)的目的IP地址����、目的端口����,包括重新計算校驗和���,然后發(fā)送該報文���。用戶收到后發(fā)送目的地址為接入控制器的HTTP請求,開始Web認證。這就完成了強制認證功能���。當用戶認證之后�,系統(tǒng)為用戶向內(nèi)核下發(fā)用戶轉(zhuǎn)發(fā)表項���。此后如果內(nèi)核接收到目的非接入控制器的流量����,將直接通過內(nèi)核轉(zhuǎn)發(fā)這些流量���,而不用上送處理�。轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)模塊運行在MAC驅(qū)動層與TCP/IP協(xié)議棧之間,主要功能包括數(shù)據(jù)包過濾(檢驗需要轉(zhuǎn)發(fā)的數(shù)據(jù)包是否由已經(jīng)認證的用戶所發(fā))����、速率控制、統(tǒng)計轉(zhuǎn)發(fā)流量�。此外還包括強制認證功能的實現(xiàn),對于PPPoE接入方式還需要處理PPP協(xié)議�。轉(zhuǎn)發(fā)流程可以分為上行和下行數(shù)據(jù)的轉(zhuǎn)發(fā)過程,所謂上行數(shù)據(jù)就是指由接入用戶向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)��,下行數(shù)據(jù)指網(wǎng)絡(luò)向用戶發(fā)送的數(shù)據(jù)�����。對于上行數(shù)據(jù)����,即用戶側(cè)發(fā)出的數(shù)據(jù),轉(zhuǎn)發(fā)模塊主要完成以下功能①用戶認證方式的區(qū)分��?����?梢苑譃閮煞N用戶類型802.IliAP上已經(jīng)認證的用戶與其它認證用戶����。區(qū)分的方法是依據(jù)報文首部攜帶的VLANID。②對于本地不需要做認證處理的VLANjPACL模塊配合進行ACL控制����,NAT轉(zhuǎn)換(如果啟動該功能);對于本地需要認證的用戶,除了ACL控制外��,還進行速率限制和流量統(tǒng)計�����。③對于Web認證用戶��,維護強制認證表����,執(zhí)行強制認證功能,輔助用戶完成認證�。對于下行數(shù)據(jù),即網(wǎng)絡(luò)側(cè)發(fā)出的數(shù)據(jù)�����,轉(zhuǎn)發(fā)模塊主要完成以下功能①如果啟動了NAT功能�����,則對數(shù)據(jù)進行NAT轉(zhuǎn)換。②判斷目的IP是否為合法用戶的IP����。③認證用戶進行速率限制和流量統(tǒng)計。雖然本發(fā)明已以實施例公開如上���,但其并非用以限定本發(fā)明的保護范圍��,任何熟悉該項技術(shù)的技術(shù)人員�,在不脫離本發(fā)明的構(gòu)思和范圍內(nèi)所作的更動與潤飾�,均應(yīng)屬于本發(fā)明的保護范圍。權(quán)利要求1.一種面向多接入模式的認證網(wǎng)絡(luò)�,其特征在于它包括有線接入設(shè)備、無線接入設(shè)備�、接入控制設(shè)備、認證系統(tǒng)和互聯(lián)網(wǎng)����,有線接入設(shè)備和無線接入設(shè)備與接入控制設(shè)備連接,接入控制設(shè)備與認證系統(tǒng)連接����,認證系統(tǒng)與互聯(lián)網(wǎng)連接���;所述的認證系統(tǒng)包括PPPoE模塊�、802.IX模塊、802.Ili模塊����、GRE模塊、AM模塊���、RADIUSClient模塊���、WebServer認證模塊、TCP/IPStack模塊�、轉(zhuǎn)發(fā)模塊、PPPEnd模塊���、EthernetDriver模塊�、SCS模塊����、DHCP模塊、Subscribertable模塊和KSCS模塊�,所述的PPPoE模塊分別與AM模塊和PPPEnd模塊連接����,PPPEnd模塊分別與轉(zhuǎn)發(fā)模塊和EthernetDriver模塊連接�����;802.IX模塊分別與802.Ili模塊�����、AIM模塊和EthernetDriver模塊連接�����,802.Ili模塊與GRE模塊連接�,GRE模塊與TCP/IPStack模塊連接,TCP/IPStack模塊與轉(zhuǎn)發(fā)模塊連接�,轉(zhuǎn)發(fā)模塊與EthernetDriver模塊連接;所述的AM模塊分別與RADIUSClient模塊�、WebServer認證模塊和SCS模塊連接,WebServer認證模塊與TCP/IPStack模塊連接��,SCS模塊分別與DHCP模塊��、Subscribertable模塊和KSCS模塊連接�,KSCS模塊分別與Subscribertable模塊和轉(zhuǎn)發(fā)模塊連接��。2.根據(jù)權(quán)利要求I所述的面向多接入模式的認證網(wǎng)絡(luò)��,其特征在于所述的認證系統(tǒng)分為低度融合和高度融合兩種方式���,在低度融合的方式下�,接入控制設(shè)備僅具有單一的認證技術(shù),各認證技術(shù)使用自己的接入控制設(shè)備�,不同的接入控制設(shè)備的用戶都到一個統(tǒng)一認證系統(tǒng)去認證;在高度融合的方式下��,接入控制設(shè)備支持多種接入認證技術(shù)�,各認證技術(shù)都終結(jié)于同一個接入控制設(shè)備上,所有的認證信息通過不同的認證技術(shù)發(fā)送到相同接入控制設(shè)備上��,然后由接入控制設(shè)備將認證信息封裝在認證協(xié)議中送給認證系統(tǒng)完成認證功倉泛���。3.根據(jù)權(quán)利要求I或2所述的面向多接入模式的認證網(wǎng)絡(luò)�,其特征在于所述的有線接入設(shè)備包括路由器���、臺式電腦�����、筆記本�,臺式電腦�����、筆記本通過有線網(wǎng)與路由器連接,路由器與接入控制設(shè)備連接�����。4.根據(jù)權(quán)利要求I或2所述的面向多接入模式的認證網(wǎng)絡(luò)��,其特征在于所述的無線接入設(shè)備包括無線接收器、筆記本���、移動終端��,筆記本�����、移動終端通過無線網(wǎng)與無線接收器連接��,無線接收器通過無線網(wǎng)與接入控制設(shè)備連接��。5.根據(jù)權(quán)利要求I或2所述的面向多接入模式的認證網(wǎng)絡(luò)���,其特征在于所述的認證系統(tǒng)中模塊處理的具體流程包括認證流程����、用戶授權(quán)流程、計費流程�、地址分配流程���、強制認證流程和轉(zhuǎn)發(fā)流程�。全文摘要本發(fā)明涉及一種面向多接入模式的認證網(wǎng)絡(luò),包括有線接入設(shè)備����、無線接入設(shè)備、接入控制設(shè)備���、認證系統(tǒng)和互聯(lián)網(wǎng)���,有線接入設(shè)備和無線接入設(shè)備與接入控制設(shè)備連接,接入控制設(shè)備與認證系統(tǒng)連接,認證系統(tǒng)與互聯(lián)網(wǎng)連接����。本發(fā)明設(shè)計合理,通過認證系統(tǒng)提供一套統(tǒng)一的AAA服務(wù)����,能為采用不同鏈路技術(shù)、不同性質(zhì)的用戶提供AAA服務(wù)��。在一個共同的框架基礎(chǔ)上�����,針對不同鏈路層技術(shù)的特點分別提不同的認證模塊�,實現(xiàn)對多種鏈路層技術(shù)的接入�。可以給不同接入方式的客戶帶來方便���,并且實現(xiàn)統(tǒng)一的計費�����,為用戶在多種業(yè)務(wù)之間提供靈活組合的計費策略�,另一方面也能夠降低運營商的成本�����。文檔編號H04L29/06GK102843379SQ20121033820公開日2012年12月26日申請日期2012年9月13日優(yōu)先權(quán)日2012年9月13日發(fā)明者李創(chuàng)申請人:浙江金大科技有限公司