[发明专利]一种Radius认证装置和方法

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种Radius认证装置和方法。

背景技术

随着网络应用的日益普及与深入，网络安全越来越受到重视。通过终端用户上的客户端软件、接入设备（NAS，Network Access Server）、AAA（Authentication、Authorization、Accounting，认证、授权、计费）服务器互相配合实现对接入网络的终端进行准入控制是网络安全的重要组成部分。

请参考图1，当前终端用户通过NAS设备接入网络，并由NAS设备将用户的接入请求以及计费请求等报文转发给AAA（Authentication、Authorization、Accounting，验证、授权、计费）等认证服务器进行验证、授权、计费等。

然而，随着网络规模越来越大，接入方式越来越丰富，一个网络中海量终端用户通常需要通过很多台NAS接入网络，一台认证服务器无法支撑，于是出现了认证服务器集群。而如何实现认证服务器集群的负载均衡以及用户接入、计费等会话的连贯性就成为了亟待解决的问题。

发明内容

有鉴于此，本发明提供一种Radius认证装置和方法。

具体地，本发明是通过如下技术方案实现的：

一种Radius认证的装置，应用在Radius服务器集群中的负载均衡设备上，所述装置包括：

上行转发单元，用于接收网络接入设备NAS发送给Radius服务器的上行报文，并将所述NAS的标识信息添加到所述上行报文的Proxy-State属性中，在所述上行报文是首Access-Request报文时，将所述首Access-Request报文转发给根据预设的负载均衡策略选取的Radius服务器；

下行转发单元，用于接收Radius服务器响应的下行报文，根据所述下行报文中Proxy-State属性携带的NAS标识信息将所述下行报文去掉该Proxy-State属性后转发给对应的NAS。

进一步地，所述下行报文中携带有Radius服务器标识；

所述上行转发单元，还用于：

在所述上行报文不是首Access-Request报文时，根据所述上行报文中携带的Radius服务器标识将所述上行报文转发给对应的Radius服务器。

进一步地，所述下行转发单元，还用于：

接收Radius服务器主动发送的Disconnect-Request/CoA-Request报文，并根据所述Disconnect-Request/CoA-Request报文State属性中携带的NAS标识信息将其转发给对应的NAS；

所述上行转发单元，还用于：

接收NAS针对所述Disconnect-Request/CoA-Request报文发送的ACK/NAK报文，并根据所述ACK/NAK报文State属性中携带的Radius服务器标识将其转发给对应的Radius服务器。

进一步地，所述上行转发单元将所述首Access-Request报文转发给根据预设的负载均衡策略选取的Radius服务器的过程包括：

查看各个Radius服务器的负载数，将所述首Access-Request报文转发给负载数最小的Radius服务器；

所述上行转发单元，还用于：

将所述首Access-Request报文转发给负载数最小的Radius服务器后，将该Radius服务器的负载压力数加1；

所述下行转发单元，还用于在所述下行报文是计费结束响应报文时，将对应的Radius服务器的负载压力数减1。

一种Radius认证的装置，应用在Radius服务器上，所述装置包括：

上行接收单元，用于接收负载均衡设备转发的NAS发送的上行报文，所述上行报文的Proxy-State属性中携带有对应的NAS的标识信息；

下行发送单元，用于发送响应所述上行报文的下行报文给负载均衡设备，所述下行报文的Proxy-State属性中原样携带有所述NAS标识信息。

进一步地。所述下行发送单元，还用于将自身标识添加到Access-Challenge报文State属性中以及Access-Accept报文State属性和Class属性中发送给负载均衡设备。