[发明专利]控制宽带网络用户接入网络的方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种控制宽带网络用户接入网络的方法。

背景技术

在目前的宽带接入网中，较为广泛地采用ADSL(非对称数字用户环线)、VDSL(甚高速数字用户环线)、FE(快速以太网)接入的方法提供用户接入。用户在接入网络前通常需要进行认证，在宽带接入过程中，一般采用PPPoE(以太网承载点对点协议)的认证方式，PPPoE认证协议对用户接入网络进行授权通常由BRAS(宽带接入服务器)来实现。BRAS在终结用户PPPoE的处理的时候，除了通过PPPoE本身的协议得到用户的帐号和密码进行认证外，还需要用户的位置信息来实现扩展的业务功能，比如某个帐号只能在一个用户接入端口上使用等功能，因此，需要宽带接入设备能够将用户接入端口的物理位置信息通过某种方式传递到BRAS设备上。

目前，采用的方法为一种基于VBAS(虚拟宽带接入系统)实现对用户位置信息的认证。具体的处理过程为：BRAS设备在对用户帐号进行认证之前，向宽带接入设备查询用户报文的源MAC(媒体接入控制)地址所在的宽带接入设备的物理位置，包括端口/设备/槽位号等等。

由上述处理过程的描述可以看出，目前采用的基于VBAS对用户位置信息进行认证的技术方案需要BRAS设备和宽带接入设备之间进行配合，为此，BRAS设备和宽带接入设备软件均需要升级，因此，采用上述方法实现用户位置信息与用户帐号绑定对现有网络设备更改较大；而且在BRAS设备和宽带接入设备之间需要定义新的协议。

发明内容

本发明的目的是提供一种控制宽带网络用户接入网络的方法，从而保证经宽带接入设备接入网络的用户的帐号可以与用户的位置信息绑定，有效地避免了用户帐号被盗用。

本发明的目的是通过以下技术方案实现的：

所述的控制宽带网络用户接入网络的方法，包括：

A、在认证中心配置用户帐号和用户的位置信息的对应关系；

B、当用户接入网络时，宽带接入设备将用户的帐号和用户的位置信息发送给认证中心；

C、认证中心根据所述的用户的位置信息和用户的帐号对接入用户进行身份认证，并将认证结果返回宽带接入设备；

D、宽带接入设备根据认证中心返回的认证结果对待接入网络的宽带接入用户进行接入控制。

步骤A所述的用户的位置信息包括：

宽带接入设备信息、框号、槽位号、端口号及VPI(虚通道标识)/VCI(虚电路标识)。

所述的步骤B包括：

B1、待接入网络的用户向BRAS(宽带接入服务器)设备发送认证请求报文；

B2、宽带接入设备截获或者拷贝该认证请求报文；

B3、宽带接入设备确定用户的位置信息，并根据用户发送的认证请求报文确定用户的帐号；

B4、将确定的用户的位置信息及用户的帐号发送给认证中心。

所述的步骤B1包括：

待接入网络的用户向BRAS设备发送报文，宽带接入设备根据报文中承载的信息确定所述的报文为认证请求报文

步骤B1所述的认证请求报文为：PPPoE(以太网上的点对点协议)认证请求报文、802.1x认证请求报文或VLAN(虚拟局域网)+Web(环球网)认证方式下的认证请求报文。

所述的步骤B4包括：将确定的用户的位置信息及用户的帐号通过扩展的RADIUS(远程拨号用户认证服务)协议报文或TACACS(Terminal AccessController Access Control System，终端接入控制器和接入控制系统)报文发送给认证中心。

所述的认证中心作为一个功能实体，集成于宽带接入设备上，或集成于上级网络设备上，或独立设置一个认证中心。

所述的步骤C包括：

认证中心将所述的用户的位置信息及用户的帐号与自身配置的位置信息与用户的帐号的对应关系进行匹配，并判断是否匹配，如果匹配，则向宽带接入设备返回允许所述的用户接入网络的通知，否则，向宽带接入设备返回禁止所述的用户接入网络的通知。

所述的步骤D包括：

如果宽带接入设备收到允许所述的用户接入网络的通知，则对用户接入网络不作限制；

如果宽带接入设备收到的是禁止所述的用户接入网络的通知，则将所述的用户与网络的连接断开。

所述的将所述的用户与网络的连接断开包括：

宽带接入设备向用户发送强制断开连接的控制协议报文，并将用户的连接断开。