[发明专利]认证方法、认证系统以及通信系统

说明书

本发明公开了一种认证方法、认证系统以及通信系统，涉及通信技术领域。本发明的方案适用于网络重构的控制面与转发面分离的DHCP认证接入的业务场景，通过vBRAS‑C与AAA服务器直接进行交互，由AAA服务器对用户的认证信息进行解密，认证，在保证认证的安全性的同时，取代了传统的DHCP服务器，降低了系统的整体故障风险。

技术领域

本发明涉及通信技术领域，特别涉及一种认证方法、认证系统以及通信系统。

背景技术

网络重构的主要技术特征是网络架构的变革，即从垂直封闭架构转向水平开放架构，体现在网络控制与转发分离、网元软硬件的解耦和虚拟化、网络的云化等多个方面,代表性技术有SDN(Software Defined Network，软件定义网络)、NFV(Network FunctionVirtualization，网络功能虚拟化)和云计算。

网络重构目前已成为一个趋势和共识，建设综合的多业务接入边缘，实现多业务的融合，是未来城域网、接入网改造的一个重点。作为接入边缘的核心：BRAS(BroadbandRemote Access Server宽带远程接入服务器)，是综合多业务接入边缘改造的一个重点。BRAS进行综合多业务接入边缘改造的方案之一就是实现BRAS的虚拟化(vBRAS)。

利用vBRAS实现网络控制与转发的分离是目前研究运营商、通讯设备厂商的热点之一。将vBRAS分为控制面设备(vBRAS-C)与转发面设备(vBRAS-U)，网络重构后，用户的认证、计费等业务如何实现，目前仍没有具体的实施方案。

目前没有进行网络重构的情况下较为常用的接入认证方案为非会话(Session)级IPoE(IP over Ethernet，以太网上的网际协议)的接入。如图1所示，终端上线认证的流程中，MSE(多业务边缘路由器，一般为BRAS)只需要具备报文透传转发能力即可，报文到达MSE设备后透传转发给DHCP(Dynamic Host ConfigurationProtocol，动态主机配置协议)服务器，然后由DHCP服务器完成与AAA的交互认证流程。

发明内容

发明人发现，现有技术中的认证流程中的报文都需要由MSE透传给DHCP服务器再发送至AAA服务器，MSE无法与AAA直接交互，无法实现对用户流量的控制，不适用于网络重构场景中对用户精准控制的需求。并且从运维角度，在MSE和AAA之间的DHCP服务器成为一个影响全局的故障风险点，一旦故障则整个系统无法运行。

本发明所要解决的一个技术问题是：提出一种适用于控制与转发分离的网络架构的认证方法。

根据本发明的一个实施例，提供的一种认证方法，包括：虚拟宽带接入服务器控制面vBRAS-C接收虚拟宽带接入服务器转发面vBRAS-U转发的终端的动态主机配置协议DHCP发现报文；vBRAS-C根据DHCP发现报文向验证、授权、计费AAA服务器发送接入请求报文，DHCP发现报文和接入请求报文中携带终端的加密的认证信息，认证信息包括用户名信息和密码；AAA服务器对加密的认证信息进行解密，根据认证信息对终端进行认证；AAA服务器将认证结果返回至vBRAS-C。

在一个实施例中，该方法还包括：AAA服务器在终端认证通过的情况下，建立终端的会话相关信息，并将会话相关信息与认证结果共同发送至vBRAS-C；vBRAS-C根据会话相关信息以及认证结果建立用户流表并下发至对应的vBRAS-U，以便对应的vBRAS-U根据用户流表对终端的业务流进行转发。

在一个实施例中，DHCP发现报文中还携带终端的媒体访问控制MAC地址；终端的会话相关信息包括终端的用户名信息和会话标识；vBRAS-C根据会话相关信息以及认证结果建立用户流表包括：vBRAS-C在终端认证通过的情况下，为终端分配IP地址；vBRAS-C利用终端的用户名信息、会话标识、MAC地址和IP地址建立用户流表。