[发明专利]认证方法和装置

权利要求书

1.一种认证方法，其特征在于，应用于虚拟宽带远程接入服务器VBRAS，所述方法包括：

在允许用户侧访问第一区域的情况下，数据平面判断是否满足第二区域对应的触发条件，所述第二区域的访问权限与所述第一区域不同；

如果满足所述触发条件，则所述数据平面向控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域。

2.根据权利要求1所述的方法，其特征在于，还包括：

在允许用户侧访问第一区域的情况下，所述数据平面从所述用户侧获取用户身份信息；

对所述用户身份信息进行认证。

3.根据权利要求2所述的方法，其特征在于，数据平面从所述用户侧获取用户身份信息，包括：

所述数据平面向用户侧请求数字签名；

所述数据平面接收来自用户侧的公钥；

所述数据平面接收来自用户侧的采用私钥加密的用户身份信息；

所述数据平面采用所述公钥对加密的信息进行解密，得到所述用户身份信息。

4.根据权利要求2所述的方法，其特征在于，对所述用户身份信息进行认证，包括：

数据平面对所述用户身份信息与合法信息进行匹配，所述合法信息是预设的允许访问第二区域的各用户的身份信息；或者，

数据平面向控制平面发送所述用户身份信息，以使得所述控制平面对所述用户身份信息与所述合法信息进行匹配。

5.根据权利要求4所述的方法，其特征在于，所述数据平面判断是否满足第二区域对应的触发条件，包括：

如果从用户侧收到的报文中的端口号为设定协议的端口号，则所述数据平面判定为满足所述触发条件；或者，

如果从用户侧收到的报文的流量达到设定阈值，则所述数据平面判定为满足所述触发条件。

6.根据权利要求4或5所述的方法，其特征在于，所述数据平面向所述控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域，包括：

如果所述数据平面接收到所述控制平面回复的用于表示状态改变的刷新会话，则允许所述用户侧访问第二区域；或者，

如果所述数据平面接收到所述控制平面回复的用于表示状态未改变的更新失败结果，则允许所述用户侧访问第一区域。

7.根据权利要求1至5中任一项所述的方法，其特征在于，还包括：

在所述数据平面设置用户侧的第一访问权限和第二访问权限，所述第一访问权限为允许用户侧访问第一区域的权限，所述第二访问权限为允许用户侧访问第二区域的权限。

8.根据权利要求6所述的方法，其特征在于，还包括：

在所述数据平面设置用户侧的第一访问权限和第二访问权限，所述第一访问权限为允许用户侧访问第一区域的权限，所述第二访问权限为允许用户侧访问第二区域的权限。

9.一种认证装置，其特征在于，应用于VBRAS的数据平面，所述装置包括：

判断模块，用于在允许用户侧访问第一区域的情况下，判断是否满足第二区域对应的触发条件，所述第二区域的访问权限与所述第一区域不同；

发送模块，用于如果满足所述触发条件，则向控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域。

10.根据权利要求9所述的装置，其特征在于，还包括：

获取模块，用于在允许用户侧访问第一区域的情况下，从所述用户侧获取用户身份信息；

认证模块，用于对所述用户身份信息进行认证。

11.根据权利要求10所述的装置，其特征在于，所述获取模块还用于：

向用户侧请求数字签名；

接收来自用户侧的公钥；

接收来自用户侧的采用私钥加密的用户身份信息；

采用所述公钥对加密的信息进行解密，得到所述用户身份信息。