專利名稱:一種為用戶終端發(fā)起認證請求的方法����、系統(tǒng)和路由設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)����,特別涉及一種為用戶終端發(fā)起認證請求的方法、系統(tǒng)和寬帶遠程訪問路由設(shè)備(BRAS)�����。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,網(wǎng)際協(xié)議版本4(IPv4)定義的地址空間將被耗盡���,地址危機越來越明顯����。為了擴大地址空間����,使用網(wǎng)際協(xié)議版本6(IPv6)來重新定義地址空間�,IPv6采用128位地址長度�����,幾乎可以不受限制地為用戶提供地址����。
鄰居發(fā)現(xiàn)(ND)接入技術(shù)是IPv6用戶終端使用ND協(xié)議獲取IPv6地址�,觸發(fā)BRAS認證的技術(shù)����。動態(tài)主機配置協(xié)議版本6(DHCPv6)接入技術(shù)是IPv6用戶終端使用DHCPv6協(xié)議獲取IPv6地址���,觸發(fā)BRAS認證的技術(shù)。IPv6報文觸發(fā)接入技術(shù)是IPv6用戶終端通過發(fā)送觸發(fā)認證報文,觸發(fā)BRAS認證的技術(shù)�����。在IPv6認證技術(shù)中�,ND接入技術(shù)�����、DHCPv6接入技術(shù)和IPv6報文觸發(fā)接入技術(shù)是比較常用的接入技術(shù)���。下面以IPv6報文觸發(fā)接入技術(shù)為例,介紹現(xiàn)有技術(shù)中實現(xiàn)對IPv6用戶終端進行認證的技術(shù)方案��。
圖1為現(xiàn)有技術(shù)中實現(xiàn)對IPv6用戶終端進行認證的方法的流程示意圖�。如圖1所示,該方法包括以下步驟步驟101IPv6用戶終端向轉(zhuǎn)發(fā)單元發(fā)送IPv6觸發(fā)認證報文����。
步驟102轉(zhuǎn)發(fā)單元接收該IPv6觸發(fā)認證報文��,并向主控單元發(fā)送認證請求和IPv6用戶終端的信息����。
步驟103主控單元接收該認證請求和IPv6用戶終端的信息��,并向遠程撥號用戶鑒權(quán)服務(wù)(RADIUS)服務(wù)器發(fā)送認證請求���。
步驟104RADIUS服務(wù)器對IPv6用戶終端進行認證�,并向主控單元發(fā)送認證回應(yīng)����。
步驟105~步驟106主控單元將認證回應(yīng)經(jīng)轉(zhuǎn)發(fā)單元發(fā)送給IPv6用戶終端����。
在認證回應(yīng)中攜帶有RADIUS服務(wù)器對IPv6用戶終端的認證結(jié)果��,如果認證通過,則為該IPv6用戶終端分配IP地址���,IPv6用戶終端可以進行后續(xù)的業(yè)務(wù)操作;否則����,該IPv6用戶終端被判定為不合法IPv6用戶終端�,被拒絕進行后續(xù)的業(yè)務(wù)操作。
所謂無效認證是指��,認證系統(tǒng)拒絕用戶的認證請求后���,又反復(fù)多次接收到用戶的認證請求����。在圖1所示的方法中��,如果IPv6用戶終端沒有通過認證,該IPv6用戶終端仍然可以再次發(fā)起認證請求����,BRAS中的轉(zhuǎn)發(fā)單元和主控單元只負責(zé)向RADIUS服務(wù)器轉(zhuǎn)發(fā)IPv6用戶終端的認證請求�,而無法對IPv6用戶終端的認證請求進行控制,因此會出現(xiàn)無效認證問題。如果用戶發(fā)起惡意攻擊�����,反復(fù)向認證系統(tǒng)發(fā)起認證請求�,會增大對中央處理單元(CPU)的干擾,加大RADIUS服務(wù)器和主控單元(MPU)的負擔���,影響網(wǎng)絡(luò)運行的穩(wěn)定性����。
針對圖1所示實施例中提到的IPv6認證中的無效認證問題,現(xiàn)有技術(shù)中主要有如下第一種解決方案通過配置BRAS上的主機-控制訪問速率(Host-CAR)�,對無效認證進行防范��。具體方法是在物理接口上限制每一個IPv6用戶終端發(fā)送給轉(zhuǎn)發(fā)單元的觸發(fā)認證報文的速率,這樣就可以減少IPv6用戶終端對磁盤操作系統(tǒng)(DOS)的惡意攻擊�����。
但是����,此方案會存在如下問題在IPv6用戶終端數(shù)量比較大的情況下,RADIUS服務(wù)器仍然會不斷地接收到IPv6用戶終端發(fā)起的無效觸發(fā)認證報文��,依然會消耗大量的RADIUS服務(wù)器資源���。
上述第一種解決方案在用戶較多的情況下�,仍不能較好地解決無效認證問題。針對于第一種解決方案中出現(xiàn)的技術(shù)問題����,要實現(xiàn)對多個用戶中的有賬號用戶進行無效認證防范,現(xiàn)有技術(shù)有如下第二種解決方案通過在BRAS的MPU板上設(shè)置以太點到點協(xié)議(PPPoE)防范無效認證功能�����,實現(xiàn)對IPv6用戶終端的無效認證的防范����。具體方案是使用BRAS實時監(jiān)測PPPoE用戶終端發(fā)起的認證請求���,在該認證請求中會攜帶用戶的賬號和密碼�,BRAS對該賬號和密碼的有效性進行認證���。如果用戶終端的賬號或密碼不合法,且在設(shè)定時間內(nèi)重復(fù)發(fā)起觸發(fā)認證報文��,BRAS則阻塞該用戶終端后續(xù)的認證請求���。
上述第二種方案,可以很好地對有賬號用戶的無效認證起到防范作用����,但是對那些綁定認證或媒體接入控制(MAC)認證等接入網(wǎng)絡(luò)時無需輸入賬號的用戶終端的無效認證,則起不到相應(yīng)的防范作用�����。
可見�,現(xiàn)有技術(shù)中���,無法對無需輸入賬號的用戶終端的無效認證起到較好的防范作用��。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種為用戶終端發(fā)起認證請求的方法��,使用該方法可以較好地防范無需輸入賬號的用戶終端的無效認證����。
本發(fā)明的實施例提供一種為用戶終端發(fā)起認證請求的系統(tǒng)���,使用該系統(tǒng)可以較好地防范無需輸入賬號的用戶終端的無效認證��。
本發(fā)明的實施例提供一種為用戶終端發(fā)起認證請求的BRAS�����,使用該路由設(shè)備可以較好地防范無需輸入賬號的用戶終端的無效認證�。
為了達到上述第一個目的�,本發(fā)明實施例提供了一種為用戶終端發(fā)起認證請求的方法����,其特征在于����,該方法包括接收用戶終端發(fā)起的觸發(fā)認證報文�����;從所述觸發(fā)認證報文中獲取所述用戶終端的信息��;當根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件時�����,為所述用戶終端發(fā)起認證請求�����。
為了達到上述第二個目的��,本發(fā)明實施例提供了一種為用戶終端發(fā)起認證請求的系統(tǒng),該系統(tǒng)包括用戶終端和寬帶遠程訪問路由設(shè)備;所述用戶終端,用于向?qū)拵нh程訪問路由設(shè)備發(fā)起觸發(fā)認證報文��;所述寬帶遠程訪問路由設(shè)備���,用于配置認證黑名單和認證條件����;接收用戶終端發(fā)起的所述觸發(fā)認證報文�����;當根據(jù)所述觸發(fā)認證報文中的用戶終端的信息和所述認證黑名單確定所用戶終端滿足認證條件時�,為所述用戶終端發(fā)起認證請求�。
為了達到上述第三個目的�,本發(fā)明實施例提供了一種為用戶終端發(fā)起認證請求的寬帶遠程訪問路由設(shè)備,其特征在于,所述寬帶遠程訪問路由設(shè)備包括主控單元和轉(zhuǎn)發(fā)單元��;所述轉(zhuǎn)發(fā)單元,用于配置認證黑名單和認證條件�����;接收用戶終端發(fā)送的觸發(fā)認證報文,當根據(jù)所述觸發(fā)認證報文中的用戶終端的信息和所述認證黑名單確定所述用戶終端滿足認證條件時���,為所述用戶終端生成認證請求,將所述認證請求發(fā)送給所述主控單元��;所述主控單元��,用于接收所述轉(zhuǎn)發(fā)單元發(fā)送的所述用戶終端的認證請求,將所述認證請求發(fā)送出去�。
本發(fā)明實施例提供的技術(shù)方案,接收用戶終端發(fā)起觸發(fā)認證報文����,從所述觸發(fā)認證報文獲取所述用戶終端的信息����;當根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件時,為所述用戶終端發(fā)起認證請求�。系統(tǒng)首先判斷該用戶終端是否滿足認證條件,只有在用戶終端滿足認證條件的情況下��,才為該用戶終端生成認證請求����。
由此可見,事先對發(fā)起觸發(fā)認證報文的用戶終端是否滿足認證條件進行判斷���,只為滿足認證條件的用戶終端發(fā)起認證請求����,較好地防范了無需輸入賬號的用戶終端的無效認證����。
圖1為現(xiàn)有技術(shù)中實現(xiàn)對IPv6用戶終端進行認證的方法的流程示意圖;圖2為本發(fā)明實施例的防范無效認證的系統(tǒng)的第一較佳實施例的結(jié)構(gòu)示意圖�;圖3圖2所示系統(tǒng)中BRAS的結(jié)構(gòu)示意圖;圖4為圖3所示BRAS中轉(zhuǎn)發(fā)單元的結(jié)構(gòu)示意圖�;圖5為圖4所示轉(zhuǎn)發(fā)單元中認證黑名單處理模塊的具體結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例的防范無效認證的方法的第二較佳實施例的流程示意圖�;圖7為本發(fā)明實施例的防范無效認證的方法的第三較佳實施例的流程示意圖;圖8為本發(fā)明實施例的防范無效認證的方法的第四較佳實施例的流程示意圖���。
具體實施例方式
為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明作進一步的詳細描述����。
本發(fā)明的實施例提供了一種為用戶終端發(fā)起認證請求的方法、系統(tǒng)和BRAS����。用戶終端向系統(tǒng)發(fā)起觸發(fā)認證報文,系統(tǒng)接收到該報文之后�,根據(jù)該觸發(fā)認證報文獲取用戶終端的信息,當根據(jù)該用戶終端的信息和認證黑名單確定該用戶終端滿足認證條件時����,為該用戶終端發(fā)起認證請求�。
如果用戶終端不滿足認證條件,則決絕為該用戶終端發(fā)起認證請求���。如果用戶終端滿足認證條件��,則進一步對滿足認證條件的用戶終端進行認證�����。根據(jù)對該用戶終端的認證結(jié)果更新認證黑名單中用戶終端的信息����。系統(tǒng)能夠根據(jù)動態(tài)更新的認證黑名單判斷再次發(fā)起觸發(fā)認證報文的用戶終端是否滿足認證條件,決定是否為發(fā)起觸發(fā)認證報文的用戶終端發(fā)起認證請求���,能夠較好地防范無需輸入賬號的用戶終端的無效認證��。所提到的用戶終端是指IPv6用戶終端和IPv4用戶終端����,或者兩者中的一個����。
圖2為本發(fā)明實施例的防范無效認證的系統(tǒng)的第一較佳實施例的結(jié)構(gòu)示意圖。如圖2所示����,該系統(tǒng)包括IPv6用戶終端和BRAS。為了對滿足認證條件的IPv6用戶終端進行認證�,該系統(tǒng)還可以進一步包括認證服務(wù)器。
IPv6用戶終端��,用于向BRAS發(fā)起觸發(fā)認證報文����,接收BRAS發(fā)送的認證結(jié)果。其中,在該認證結(jié)果中攜帶是否允許該IPv6用戶終端通過認證的消息�����,如果該IPv6用戶終端通過認證��,則該消息中攜帶有為該IPv6用戶終端分配的地址�。
需要指出的是,這里所提到的觸發(fā)認證報文可以是不包含認證賬號的觸發(fā)認證報文�����,包括但不限定于IPv6觸發(fā)認證報文��、ND觸發(fā)認證報文和DHCPv6觸發(fā)認證報文��。
BRAS用于配置和啟動認證黑名單���,以及配置認證條件。用于接收IPv6用戶終端發(fā)起的觸發(fā)認證報文��,當根據(jù)觸發(fā)認證報文中的用戶終端的信息和認證黑名單確定該IPv6用戶終端滿足認證條件時���,為該IPv6用戶終端生成認證請求�,向認證服務(wù)器發(fā)送該IPv6用戶終端的認證請求。當確定該IPv6用戶終端不滿足認證條件時�����,拒絕為該IPv6用戶終端發(fā)起認證請求�����。需要指出的是��,該BRAS可以是針對IPv6單獨設(shè)計的BRAS�,也可以是能夠處理IPv6和IPv4業(yè)務(wù)的雙棧BRAS。
認證服務(wù)器用于接收BRAS發(fā)起的IPv6用戶終端的認證請求����,對該IPv6用戶終端進行認證。如果該IPv6用戶終端通過認證��,通過BRAS向IPv6用戶終端返回通過認證的認證結(jié)果�����。其中���,認證服務(wù)器可以是RADIUS服務(wù)器和終端訪問控制器訪問控制系統(tǒng)(TACACS)服務(wù)器等���。
高性能寬帶信息網(wǎng)(3TNET)是指T比特的路由���、T比特的交換和T比特的傳輸。在實際應(yīng)用中�,IPv6用戶終端和IPv4用戶終端可以是3TNET中支持IPv6協(xié)議的PC、機頂盒���、或者具有相同功能的其它終端設(shè)備�����。虛擬局域網(wǎng)(VLAN)是為了安全以及文件保密而人為劃分的局域網(wǎng)����,IPv6用戶終端通過VLAN或雙標簽(QINQ)VLAN接入BRAS�,一個家庭一個VLAN。IPv6用戶終端可以使用IPv6機頂盒接入網(wǎng)絡(luò)�����,或者使用PPPoE撥號上網(wǎng)�,這兩種上網(wǎng)方式均使用RADIUS服務(wù)器進行認證�����。對使用PPPoE撥號上網(wǎng)的用戶終端的認證是使用賬號進行認證的方式,本發(fā)明的主要目的在于解決綁定認證和MAC認證等�����,無需輸入賬號的IPv6用戶終端的無效認證問題���。
由本實施例的技術(shù)方案可以看出��,IPv6用戶終端發(fā)起觸發(fā)認證報文后��,BRAS首先判斷該IPv6用戶終端是否滿足認證條件��,認證服務(wù)器只為滿足認證條件的IPv6用戶終端發(fā)起認證請求�,拒絕為不滿足認證條件的IPv6用戶終端發(fā)起認證請求�����。由此可以看出��,通過對無需輸入賬號的IPv6用戶終端的無效認證的攔截����,降低了MPU和認證服務(wù)器的負荷���。此外,本發(fā)明所提供的技術(shù)方案也可以用于解決有賬號認證中的無效認證問題�。
為了判斷發(fā)起認證請求的IPv6用戶終端是否滿足認證條件,本發(fā)明主要對BRAS進行了改進�����,在BRAS中配置認證黑名單���。使用認證黑名單判斷發(fā)起觸發(fā)認證報文的IPv6用戶終端是否滿足認證條件��,下面介紹本發(fā)明提供的BRAS的各部分的結(jié)構(gòu)�����。
圖3是圖2所示系統(tǒng)中BRAS的結(jié)構(gòu)示意圖�。如圖3所示���,該BRAS包括主控單元和一個或一個以上的轉(zhuǎn)發(fā)單元�����。
轉(zhuǎn)發(fā)單元用于配置和管理認證黑名單�����,以及配置認證條件��。用于接收IPv6用戶終端發(fā)起的觸發(fā)認證報文�����,當根據(jù)該觸發(fā)認證報文中的用戶終端的信息和認證黑名單判定該IPv6用戶終端滿足認證條件時�����,為該IPv6用戶終端生成認證請求���,向主控單元發(fā)送該認證請求。否則��,拒絕為不滿足認證條件的IPv6用戶終端發(fā)起認證請求���。收集并向主控單元發(fā)送通過認證的IPv6用戶終端的信息和未通過認證的IPv6用戶終端的信息��。
需要指出的是����,該BRAS中包含一個或一個以上的轉(zhuǎn)發(fā)單元,每個轉(zhuǎn)發(fā)單元根據(jù)實際需要連接若干個IPv6用戶終端����,每個轉(zhuǎn)發(fā)單元上都會存儲認證黑名單,因此本實施例中涉及的認證黑名單被稱為分布式認證黑名單�����。其中���,轉(zhuǎn)發(fā)單元的數(shù)目是根據(jù)實際組網(wǎng)需要進行設(shè)計的�。在本實施例中給出了包含一個轉(zhuǎn)發(fā)單元的BRAS的結(jié)構(gòu)和功能����,但是本發(fā)明顯然不限于此,對于包含多個轉(zhuǎn)發(fā)單元的情況�����,每個轉(zhuǎn)發(fā)單元的結(jié)構(gòu)和功能與本實施例中的轉(zhuǎn)發(fā)單元相同��。
主控單元����,用于接收轉(zhuǎn)發(fā)單元發(fā)送的IPv6用戶終端的認證請求����,接收轉(zhuǎn)發(fā)單元發(fā)送的通過認證的IPv6用戶終端的信息和未通過認證的IPv6用戶終端的信息����。向RADIUS服務(wù)器轉(zhuǎn)發(fā)該認證請求�、通過認證的IPv6用戶終端的信息和未通過認證的IPv6用戶終端的信息。該主控單元�,還用于接收RADIUS服務(wù)器發(fā)送的對該IPv6用戶終端的認證結(jié)果,并將該認證結(jié)果通過轉(zhuǎn)發(fā)單元發(fā)送給IPv6用戶終端����。
由圖3所示的實施例可以看出,較之于現(xiàn)有技術(shù)中的BRAS�����,本發(fā)明的實施例在轉(zhuǎn)發(fā)單元中配置認證黑名單�����,將IPv6用戶終端的信息和認證黑名單進行比較來判斷該IPv6用戶終端是否滿足認證條件���,只為滿足認證條件的IPv6用戶終端發(fā)起認證請求�����。將該認證請求通過主控單元發(fā)送到RADIUS服務(wù)器���,RADIUS服務(wù)器對該IPv6用戶終端進行認證���,因此可以有效防范無需輸入賬號的IPv6用戶終端的無效認證。
轉(zhuǎn)發(fā)單元是本發(fā)明主要改進的部件之一����,下面對圖3中涉及的轉(zhuǎn)發(fā)單元進行進一步的介紹,介紹該轉(zhuǎn)發(fā)單元的內(nèi)部結(jié)構(gòu)����。
圖4為圖3所示服務(wù)器中轉(zhuǎn)發(fā)單元的結(jié)構(gòu)示意圖。如圖4所示�,該轉(zhuǎn)發(fā)單元包括認證模塊和認證黑名單處理模塊。
其中����,認證模塊,用于接收IPv6用戶終端發(fā)起的觸發(fā)認證報文����,向認證黑名單處理模塊查詢認證黑名單信息�����。當根據(jù)查詢得到的認證黑名單信息和觸發(fā)認證報文中的用戶終端的信息確定IPv6用戶終端滿足認證條件時�,為該IPv6用戶終端生成認證請求����,并將該認證請求發(fā)送給主控單元����;拒絕為不滿足認證條件的IPv6用戶終端發(fā)起認證請求。收集通過認證的IPv6用戶終端的信息����,并將該IPv6用戶終端的信息發(fā)送給主控單元。
認證黑名單處理模塊�,用于配置和管理認證黑名單,以及配置認證條件���。為認證模塊返回符合查詢條件的認證黑名單信息��。用于收集并向主控單元發(fā)送未通過認證IPv6用戶終端的信息���。
在本實施例中����,認證黑名單處理模塊可以對其上的認證黑名單進行更新����。下面以具體的實施例介紹該認證黑名單處理模塊的內(nèi)部結(jié)構(gòu),以及如何實現(xiàn)對認證黑名單的更新�。
圖5為圖4所示的轉(zhuǎn)發(fā)單元中認證黑名單處理模塊的具體結(jié)構(gòu)示意圖。如圖5所示����,該認證黑名單處理模塊主要包括表項管理模塊和老化處理模塊;該認證黑名單處理模塊還進一步包括認證黑名單更新模塊�。
其中,表項管理模塊�,用于配置和管理認證黑名單,以及配置認證條件����。接收來自于認證黑名單更新模塊和老化處理模塊的認證黑名單處理信號,對該認證黑名單中的IPv6用戶終端的信息進行管理�。接收認證模塊發(fā)送的查詢認證黑名處理信息的信號,向認證模塊返回符合查詢條件的認證黑名單信息��。收集并向主控單元發(fā)送未通過認證IPv6用戶終端的信息。
需要說明的是��,表項管理模塊接收到的來自于老化處理模塊的認證黑名單處理信號包括但不限定于查詢認證黑名單的信號����、刪除認證黑名單的信號以及添加認證黑名單的信號等;表項管理模塊接收到這些信號后�����,對認證黑名單進行相應(yīng)的管理���。表項管理模塊接收到的來自于認證黑名單更新模塊的認證黑名單處理信號包括刪除接入認證時間最早的IPv6用戶終端的信息的認證黑名單處理信號和加入新的IPv6用戶終端的信息的認證黑名單處理信號����。
隨著認證黑名單中用戶信息的增加��,當要加入新的用戶終端的信息時�����,可能會出現(xiàn)認證黑名單滿的情況��,所以還進一步包括認證黑名單更新模塊����。該認證黑名單更新模塊用于判斷認證黑名單是否已滿,將刪除接入認證時間最早的IPv6用戶終端的信息的認證黑名單處理信號發(fā)送給表項管理模塊�����,并將加入新的IPv6用戶終端的信息的認證黑名單處理信號發(fā)送給表項管理模塊����。
需要指明的是,如果需要加入新的IPv6用戶終端的信息�����,認證黑名單更新模塊首先判斷表項管理模塊中存放的認證黑名單是否已滿�。如果未滿則直接將該IPv6用戶終端的信息加入表項管理模塊中的認證黑名單里。否則先將接入認證時間最早的IPv6用戶終端的信息從認證黑名單中刪除�����,然后再將需要加入的IPv6用戶終端的信息加入認證黑名單�。
老化處理模塊,用于根據(jù)配置的認證黑名單老化周期啟動老化定時器���,定時器超時��,查找超過認證黑名單老化時間的IPv6用戶終端的信息��,將刪除該IPv6用戶終端的信息的認證黑名單處理信號發(fā)送表項管理模塊�。
老化處理模塊可以對認證黑名單進行自動更新,即根據(jù)原先配置的認證黑名單老化周期�,啟動老化定時器。如果定時器超時��,則向表項管理模塊發(fā)送刪除認證黑名單中超過認證黑名單老化時間的IPv6用戶終端的信息的認證黑名單處理信號�,通知表項管理模塊刪除該IPv6用戶終端的信息。表項管理模塊接收到該認證黑名單處理信號后�����,將該IPv6用戶終端的信息刪除���。
需要指出的是�����,認證黑名單老化時間是指設(shè)定的認證黑名單更新的時間與接入認證時間之間的差。認證黑名單老化周期是指刪除最早進入認證黑名單的IPv6用戶終端的信息的時間周期��。老化是指將認證黑名單中超過認證黑名單老化時間的IPv6用戶終端的信息刪除���。由于配置的認證黑名單的長度是有限的�����,所以隨著認證黑名單中IPv6用戶終端的信息條數(shù)的增加����,需要對認證黑名單進行更新,也就是老化認證黑名單�����。
在本實施例中�,通過老化處理模塊定時通知表項管理模塊對認證黑名單中的IPv6用戶終端的信息進行更新,可以實現(xiàn)認證黑名單中的IPv6用戶終端信息的自動更新�����。因此認證模塊可以根據(jù)認證黑名單動態(tài)地判斷IPv6用戶終端是否滿足認證條件�����。
需要指出的是���,轉(zhuǎn)發(fā)單元還可以進一步包括配置管理代理模塊���。該配置管理代理模塊用于接收表項管理模塊發(fā)送的未通過認證的IPv6用戶終端的信息�,并接收認證模塊發(fā)送的通過認證的IPv6用戶終端的信息����,將這些信息轉(zhuǎn)發(fā)給主控單元。
在圖2��、圖3����、圖4和圖5所示的實施例中,介紹了實現(xiàn)本發(fā)明技術(shù)方案的系統(tǒng)和BRAS���。下面以具體的實施例���,介紹實現(xiàn)本發(fā)明技術(shù)方案的方法的具體步驟。
圖6為本發(fā)明實施例的防范無效認證的方法的第二較佳實施例的流程示意圖�����。如圖6所示��,包括以下步驟�����,步驟601在IPv6認證系統(tǒng)中配置和啟動認證黑名單��。
預(yù)先在IPv6認證系統(tǒng)中配置認證黑名單和認證條件�����,其中,認證黑名單的配置項包括認證黑名單長度�����、認證黑名單老化時間�����、認證懲罰閾值����,認證黑名單老化周期和認證黑名單使能開關(guān)。
在本步驟中�,啟動認證黑名單的方法可以是打開認證黑名單使能開關(guān)。預(yù)先在IPv6認證系統(tǒng)中配置認證黑名單���,如果將認證黑名單使能開關(guān)置于打開狀態(tài)�����,則啟用該認證黑名單���;否則���,不啟用該認證黑名單。
步驟602判斷IPv6用戶終端是否滿足認證條件���,如果滿足認證條件��,則執(zhí)行步驟603����;否則��,執(zhí)行步驟604��。
預(yù)先在認證黑名單中��,分別為該IPv6用戶終端的接入邏輯端口下的認證失敗計數(shù)器�����、VLAN下的認證失敗計數(shù)器和MAC下的認證失敗計數(shù)器設(shè)置閾值�,這三個閾值是根據(jù)實際情況設(shè)定的,可以相同����,也可以不同。
在本步驟中���,判斷IPv6用戶終端是否滿足認證條件的方法可以有首先判斷接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)是否超過為其設(shè)定的閾值�����,并且判斷VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)否超過為其設(shè)定的閾值����;如果都沒有超過各自的閾值���,判定該IPv6用戶終端滿足認證條件�,執(zhí)行步驟603����,否則執(zhí)行步驟604���。
或者在該判斷方法之后還可以進一步包括如下步驟,需要指出的是接下來要介紹的步驟是屬于可選的步驟�����。
進一步判斷認證黑名單中是否記錄有該IPv6用戶終端的信息�,如果沒有記錄該IPv6用戶終端的信息,則判定該IPv6用戶終端滿足認證條件���,執(zhí)行步驟603����。
否則���,如果記錄有該IPv6用戶終端的信息�,再進一步判斷該IPv6用戶終端的MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)是否超過為其設(shè)定的閾值���。如果沒有超過為其設(shè)定的閾值����,則判定該IPv6用戶終端滿足認證條件�����;執(zhí)行步驟603;否則���,則判定該IPv6用戶終端不滿足認證條件�;執(zhí)行步驟604�。
上述判斷方法只是本發(fā)明實施例的一個較佳判斷方法��,對于包含其他判斷順序的方法也在本發(fā)明的保護范圍之內(nèi)���。例如�����,先判斷判斷認證黑名單中是否記錄有IPv6用戶終端的信息��,如果沒有�����,則判定該IPv6用戶終端滿足認證條件����。或者進一步判斷接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)是否超過各自的閾值����。如果沒有,則判定該IPv6用戶終端滿足認證條件�����;否則判定該IPv6用戶終端不滿足認證的條件�����。在本實施例中所述的認證條件是指在本步驟中所提到的判定是否為IPv6用戶終端發(fā)起認證請求的條件�����。
其中����,查詢認證黑名單中是否存在某IPv6用戶終端的信息的方法有直接查詢認證黑名單中是否存在該IPv6用戶終端的接入邏輯端口、VLAN ID和MAC地址�。這里給出查詢IPv6用戶終端信息的方法,并不是對本發(fā)明的限定�,其他使用接入邏輯端口、VLAN ID和MAC地址進行IPv6用戶終端信息查詢的方法均在本發(fā)明的保護范圍之內(nèi)���。
其中��,接入邏輯端口是IPv6用戶終端接入BRAS時所使用的端口值�����。VLAN ID是IPv6用戶終端所屬的VLAN的ID���,該值的范圍在1~4094之間����。MAC地址IPv6用戶終端接入BRAS時所使用的物理地址��。接入認證時間是IPv6用戶終端最后接入系統(tǒng)進行認證的時間�����。這里所提到的閾值是用戶根據(jù)實際需要設(shè)定的數(shù)值�����。MAC下的認證失敗計數(shù)器也可以被稱作認證黑名單認證失敗計數(shù)器�����,或者表項中記錄認證失敗次數(shù)的計數(shù)器�。在本實施例中,IPv6用戶終端的信息包括IPv6用戶終端的接入邏輯端口�����、VLAN ID���、MAC地址和接入認證時間�。
步驟603為IPv6用戶終端發(fā)起認證請求�,對該IPv6用戶終端進行認證。
在本步驟中���,對IPv6用戶終端發(fā)起認證請求和對IPv6用戶終端進行認證的方法����,與現(xiàn)有技術(shù)中對IPv6用戶終端進行認證的方法完全相同��,為了簡潔��,這里就不做重復(fù)贅述�。
步驟604拒絕為該IPv6用戶終端發(fā)起認證請請求,結(jié)束本流程。
在步驟603之后��,還進一步將對IPv6用戶終端的認證結(jié)果返回給該IPv6用戶終端����。如果通過對IPv6用戶終端的認證,則允許該IPv6用戶終端進行后續(xù)的業(yè)務(wù)操作����;否則,將拒絕該IPv6用戶終端的后續(xù)操作��。
在圖6所示的實施例中��,在IPv6認證系統(tǒng)中配置和啟用認證黑名單�����,通過比較IPv6用戶終端發(fā)起的觸發(fā)認證報文中的IPv6用戶終端的信息和認證黑名單��,判斷該IPv6用戶終端是否滿足認證條件�。只為滿足認證條件的IPv6用戶終端發(fā)起認證請求��,因此可以防范無需輸入賬號的IPv6用戶終端的無效認證����。
在對IPv6用戶終端進行認證時�����,一般都要先判斷接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)是否超過各自的閾值���。如果沒有超過各自的閾值,還可以進一步判斷認證黑名單中是否記錄有該IPv6用戶終端的信息�����。在圖7所示的實施例中介紹當沒有超過各自閾值�����,且認證黑名單中沒有記錄IPv6用戶終端的信息時����,如何實現(xiàn)對IPv6用戶終端的認證,以及如何根據(jù)對IPv6用戶終端的認證結(jié)果對認證黑名單進行更新�����。
圖7為本發(fā)明實施例的防范無效認證的方法的第三較佳實施例的流程示意圖�。如圖7所示,該方法包括如下步驟步驟701IPv6用戶終端發(fā)起觸發(fā)認證報文。
在本步驟中�����,該觸發(fā)認證報文可以是IPv6觸發(fā)認證報文����、ND觸發(fā)認證報文或DHCPv6觸發(fā)認證報文。
步驟702~步驟705將IPv6用戶終端的認證請求發(fā)送給RADIUS服務(wù)器���,RADIUS服務(wù)器對該IPv6用戶終端進行認證���,并將認證回應(yīng)返回給轉(zhuǎn)發(fā)單元。
由于預(yù)先判斷出認證黑名單中不包括該IPv6用戶終端的信息�����,所以認為該IPv6用戶終端發(fā)起的認證不屬于無效認證�,對其進行后續(xù)的認證處理。步驟702~步驟705的處理與現(xiàn)有技術(shù)相同�,為了簡潔��,這里就不做贅述�����。
步驟706判斷IPv6用戶終端是否通過認證,如果通過認證���,則執(zhí)行步驟707��;否則����,將該IPv6用戶終端的信息放入認證黑名單��。
在本步驟中���,如果IPv6用戶終端沒有通過認證�,則將該IPv6用戶終端的信息放入認證黑名單�,并且將接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)、VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)和MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)都加1�。
比較IPv6用戶終端的接入認證時間,接入認證時間最早的是最早進入認證黑名單的用戶終端�����。如果要加入新的IPv6用戶終端的信息���,且認證黑名單已滿���,則刪除最早進入認證黑名單的IPv6用戶終端的信息�����,將該IPv6用戶終端的信息加入認證黑名單�,并將被刪除的IPv6用戶終端的接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器的計數(shù)值中記錄的認證次數(shù)��,分別減去該IPv6用戶終端的MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)���。
除了上述對認證黑名單進行更新的方法以外���,還可以自動對認證黑名單進行更新。方法為根據(jù)認證黑名單老化周期��,啟動老化定時器��,定時器超時���,刪除超過認證黑名單老化時間的IPv6用戶終端的信息�����,并將被刪除的IPv6用戶終端的接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器的計數(shù)值中記錄的認證次數(shù)����,分別減去該IPv6用戶終端的MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)�。
需要指出的是,設(shè)置接入邏輯端口下的認證失敗計數(shù)器和VLAN下的認證失敗計數(shù)器的目的在于每一VLAN下均包括若干IPv6用戶終端�����,當接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)兩者中的一個超過各自閾值時���,則認為該VLAN下的所有IPv6用戶終端均為錯誤配置或惡意攻擊的IPv6用戶終端�����。拒絕對為該VLAN下的所有IPv6用戶終端發(fā)起認證請求��,可以更有效的防范無需輸入賬號的IPv6用戶終端的無效認證����。
步驟707向IPv6用戶終端發(fā)送認證回應(yīng)���。
在本步驟中�����,在向IPv6用戶終端發(fā)送攜帶認證通過信息的認證回應(yīng)�����。
從圖7所示的實施例可以看出����,當認證黑名單中不存在IPv6用戶終端的信息時,直接對IPv6用戶終端進行認證��,根據(jù)認證結(jié)果決定是否將IPv6用戶終端的信息放入認證黑名單�����。
在接下來圖8所示的實施例中介紹在判定接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)都沒有超過各自的閾值��,且當認證黑名單中存在IPv6用戶終端的信息時�,進一步判斷IPv6用戶終端是否滿足認證條件,以及根據(jù)對該IPv6用戶終端的認證結(jié)果對認證黑名單進行更新����。
圖8為本發(fā)明實施例的防范無效認證的方法的第四較佳實施例的流程示意圖。如圖8所示����,該方法包括如下步驟步驟801與步驟701相同��。
步驟802判斷IPv6用戶終端是否滿足認證的條件;如果滿足則執(zhí)行步驟803����;否則丟棄IPv6用戶終端發(fā)起的觸發(fā)認證報文。
由于事先判斷出認證黑名單中包含IPv6用戶終端的信息���,表示該IPv6用戶終端之前曾發(fā)起過認證請求��,但沒有通過認證�����。在本步驟中���,進一步判斷MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)是否超過為該計數(shù)器設(shè)定的閾值,如果超過為其設(shè)定的閾值�,則判定該IPv6用戶終端不滿足認證條件;否則判定該IPv6用戶終端滿足認證條件�����。
步驟803~步驟806與步驟702~步驟705相同。
步驟807判斷IPv6用戶終端是否通過認證�����,如果通過認證����,則刪除認證黑名單中該IPv6用戶終端的信息;否則更新認證失敗計數(shù)器的計數(shù)值���,執(zhí)行步驟808��。
在本步驟中���,如果IPv6用戶終端通過認證,則刪除認證黑名單中該IPv6用戶終端的信息���,并將該IPv6用戶終端的接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)���,分別減去該IPv6用戶終端的MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)。
如果IPv6用戶終端沒有通過認證�����,將IPv6用戶終端下的接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)、VLAN下的認證失敗計數(shù)器中記錄的認證次數(shù)和MAC下的認證失敗計數(shù)器中記錄的認證次數(shù)都分別進行加1�����。更新IPv6用戶終端的接入認證時間����,即記錄下此次IPv6用戶終端接入的時間�。
在本實施例中,同樣可以對認證黑名單進行自動更新���,具體操作方法可以和步驟706中介紹的對認證黑名單進行自動更新的方法相同���,這里就不做重復(fù)介紹。
步驟808將認證結(jié)果發(fā)送給IPv6用戶終端���。
在本步驟中���,由于IPv6用戶終端沒有通過認證,所以將認證失敗的結(jié)果發(fā)送給IPv6用戶終端�����。
在圖6、圖7和圖8所示的實施例中�����,介紹了實現(xiàn)本發(fā)明技術(shù)方案的方法的步驟�����。通過本發(fā)明的技術(shù)方案可以看出�,首先判斷發(fā)起觸發(fā)認證報文的IPv6用戶終端是否滿足認證條件。只為滿足認證條件的IPv6用戶終端生成認證請求并向認證服務(wù)器發(fā)起認證請求�����,借助于此方案可以減少向認證服務(wù)器發(fā)起的無效認證請求的次數(shù)�,防范無效認證對RADIUS服務(wù)器的干擾,減小MPU和RADIUS服務(wù)器的負擔�,提高其工作效率。
本發(fā)明以RADIUS服務(wù)器為例�,介紹了實現(xiàn)本發(fā)明技術(shù)方案的實施例,對于具有相同原理�����,基于其他協(xié)議的認證服務(wù)器,例如�,TACACS服務(wù)器也在本發(fā)明的保護范圍之內(nèi)。在本發(fā)明的實施例中以IPv6用戶終端為例進行了介紹����,對于防范IPv4用戶終端無效認證的技術(shù)方案與對IPv6用戶終端的操作相同,所以Ipv4用戶終端也在本發(fā)明的保護范圍之內(nèi)����。
綜上所述,以上僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的保護范圍�。凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改�����、等同替換�、改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種為用戶終端發(fā)起認證請求的方法,其特征在于��,該方法包括接收用戶終端發(fā)起的觸發(fā)認證報文��,從所述觸發(fā)認證報文中獲取所述用戶終端的信息�;當根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件時,為所述用戶終端發(fā)起認證請求�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,該方法進一步包括當根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端不滿足認證條件時,拒絕為所述用戶終端發(fā)起認證請求����。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述認證黑名單包括為所述用戶終端的接入邏輯端口下的認證失敗計數(shù)器設(shè)置的第一閾值����,以及為所述用戶終端的虛擬局域網(wǎng)下的認證失敗計數(shù)器設(shè)置的第二閾值;所述根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件的方法包括當所述接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)沒有超過所述第一閾值���,且所述虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù)沒有超過所述第二閾值時���,確定所述用戶終端滿足認證條件。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述認證黑名單進一步包括為所述用戶終端的媒體接入控制下的認證失敗計數(shù)器設(shè)置的第三閾值�;所述根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件的方法���,進一步包括檢查所述認證黑名單中是否記錄有所述用戶終端的信息����;當記錄有所述用戶終端的信息��,且所述媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)沒有超過所述第三閾值時,確定所述用戶終端滿足認證條件�����。
5.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述根據(jù)所述用戶終端的信息和認證黑名單確定所述用戶終端滿足認證條件的方法����,進一步包括檢查所述認證黑名單中是否記錄有所述用戶終端的信息;當沒有記錄所述用戶終端的信息時�����,確定所述用戶終端滿足認證條件����。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于���,為所述用戶終端發(fā)起認證請求之后�����,進一步包括對所述用戶終端進行認證���;如果所述用戶終端通過認證���,刪除認證黑名單中所述用戶終端的信息;將所述虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù)�����、所述接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)���,分別減去所述媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)�;否則���,將所述虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù)����、所述接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和所述媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)分別加1����,并更新所述用戶終端的信息中的接入認證時間��。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于����,為所述用戶終端發(fā)起認證請求之后,進一步包括對所述用戶終端進行認證��;如果所述用戶終端沒有通過認證�,在認證黑名單中記錄所述用戶終端的信息;將接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)�、所述虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù)和所述用戶終端的媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)分別加1。
8.根據(jù)權(quán)利要求6或7所述的方法�����,其特征在于���,所述認證黑名單進一步包括認證黑名單老化周期和認證黑名單老化時間��;該方法進一步包括根據(jù)認證黑名單老化周期���,刪除超過認證黑名單老化時間的用戶終端的信息;將所述接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù)�,分別減去所述媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于,該方法進一步包括當所述認證黑名單滿時����,查找最早進入認證黑名單的用戶終端,刪除所述用戶終端的信息��,并加入新的用戶終端的信息����;將所述接入邏輯端口下的認證失敗計數(shù)器中記錄的認證次數(shù)和虛擬局域網(wǎng)下的認證失敗計數(shù)器中記錄的認證次數(shù),分別減去所述媒體接入控制下的認證失敗計數(shù)器中記錄的認證次數(shù)�。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述認證黑名單為分布式認證黑名單。
11.一種為用戶終端發(fā)起認證請求的系統(tǒng)���,該系統(tǒng)包括用戶終端和寬帶遠程訪問路由設(shè)備�;所述用戶終端�����,用于向?qū)拵нh程訪問路由設(shè)備發(fā)起觸發(fā)認證報文��;所述寬帶遠程訪問路由設(shè)備,用于配置認證黑名單和認證條件�,接收用戶終端發(fā)起的所述觸發(fā)認證報文���;當根據(jù)所述觸發(fā)認證報文中的用戶終端的信息和所述認證黑名單確定所述用戶終端滿足認證條件時�;為所述用戶終端發(fā)起認證請求�����。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其特征在于,所述寬帶遠程訪問路由設(shè)備��,進一步用于拒絕為不滿足認證條件的用戶終端發(fā)起認證請求����。
13.一種為用戶終端發(fā)起認證請求的寬帶遠程訪問路由設(shè)備,其特征在于�,所述寬帶遠程訪問路由設(shè)備包括主控單元和轉(zhuǎn)發(fā)單元;所述轉(zhuǎn)發(fā)單元�,用于配置認證黑名單和認證條件;接收用戶終端發(fā)送的觸發(fā)認證報文����,當根據(jù)所述觸發(fā)認證報文中的用戶終端的信息和所述認證黑名單確定所述用戶終端滿足認證條件時����,為所述用戶終端生成認證請求��,并將所述認證請求發(fā)送給所述主控單元�����;所述主控單元��,用于接收所述轉(zhuǎn)發(fā)單元發(fā)送的所述用戶終端的認證請求����,將所述認證請求發(fā)送出去。
14.根據(jù)權(quán)利要求13所述的路由設(shè)備�����,其特征在于��,所述轉(zhuǎn)發(fā)單元��,進一步用于拒絕為不滿足認證條件的用戶終端發(fā)起認證請求����;收集通過認證的用戶終端的信息和未通過認證的用戶終端的信息�����,發(fā)送給所述主控單元;所述主控單元����,進一步用于接收所述通過認證的用戶終端的信息和未通過認證的用戶終端的信息,將所述通過認證的用戶終端的信息和未通過認證的用戶終端的信息發(fā)送出去��。
15.根據(jù)權(quán)利要求14所述的路由設(shè)備����,其特征在于,所述轉(zhuǎn)發(fā)單元包括認證模塊��、認證黑名單處理模塊��;所述認證模塊����,用于接收用戶終端發(fā)起的觸發(fā)認證報文,向所述認證黑名單處理模塊查詢認證黑名單信息���;當根據(jù)查詢得到的認證黑名單信息和所述觸發(fā)認證報文中的用戶終端的信息判定所述用戶終端滿足認證條件時�����,為所述用戶終端生成認證請求��,將所述認證請求發(fā)送給主控單元�����,否則當判定所述用戶終端不滿足認證條件時���,拒絕為所述用戶終端發(fā)起認證請求���;收集并向主控單元發(fā)送所述通過認證的用戶終端的信息;所述認證黑名單處理模塊�,用于配置和管理所述認證黑名單,以及配置認證條件����;向所述認證模塊返回符合查詢條件的認證黑名單信息;用于收集并向所述主控單元發(fā)送所述未通過認證的用戶終端的信息����。
16.根據(jù)權(quán)利要求15所述的路由設(shè)備�,其特征在于��,所述認證黑名單處理模塊包括表項管理模塊和老化處理模塊���;所述表項管理模塊���,用于配置認證黑名單和認證條件;接收來自于老化處理模塊的認證黑名單處理信號�����,根據(jù)所述認證黑名單處理信號對所述認證黑名單中用戶終端的信息進行管理�;向所述認證模塊返回符合查詢條件認證黑名單信息��;收集并向所述主控單元發(fā)送所述未通過認證的用戶終端的信息�;老化處理模塊,用于根據(jù)認證黑名單老化周期啟動老化定時器�����;所述老化定時器超時��,查找超過認證黑名單老化時間的用戶終端�;將刪除所述用戶終端的信息的認證黑名單處理信號發(fā)送所述表項管理模塊����。
17.根據(jù)權(quán)利要求16所述的路由設(shè)備��,所述認證黑名單處理模塊�����,進一步包括認證黑名單更新模塊��;所述認證黑名單更新模塊���,用于判斷認證黑名單是否已滿���,如果已滿,將刪除接入認證時間最早的用戶終端的信息的認證黑名單處理信號發(fā)送給所述表項管理模塊���,并將加入新的用戶終端的信息的認證黑名單處理信號發(fā)送給所述表項管理模塊���;所述表項管理模塊,進一步用于根據(jù)所述刪除接入認證時間最早的用戶終端的信息的黑名單處理信號�,以及所述加入新的用戶終端的信息的認證黑名單處理信號,對所述認證黑名單中的用戶終端的信息進行管理�。
全文摘要
本發(fā)明提供了一種為用戶終端發(fā)起認證請求的方法��,該方法包括接收用戶終端發(fā)起的觸發(fā)認證報文���,從所述觸發(fā)認證報文中獲取所述用戶終端的信息,當根據(jù)所述用戶終端的信息和所述認證黑名單確定所述用戶終端滿足認證條件時��,為所述用戶終端發(fā)起認證請求�。本發(fā)明還提供了一種為用戶終端發(fā)起認證請求的系統(tǒng)和BRAS。通過使用本發(fā)明實施例的技術(shù)方案����,解決了認證中無效認證問題,大大降低了錯誤配置的用戶終端或惡意攻擊的用戶終端發(fā)起的無效認證請求的頻率��,降低了認證服務(wù)器和MPU的負荷�,保障了網(wǎng)絡(luò)的穩(wěn)定運行����。
文檔編號H04L12/28GK101034989SQ20071008018
公開日2007年9月12日 申請日期2007年2月14日 優(yōu)先權(quán)日2007年2月14日
發(fā)明者黃永強, 陳曉春 申請人:華為技術(shù)有限公司