[发明专利]认证方法和装置

说明书

本公开涉及一种认证方法和装置。该方法包括：在允许用户侧访问第一区域的情况下，数据平面判断是否满足第二区域对应的触发条件，所述第二区域的访问权限与所述第一区域不同；如果满足所述触发条件，则所述数据平面向所述控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域。在转控分离模式下，将第二区域认证的触发判断的过程改由数据平面来执行，数据平面无需将触发报文透传给控制平面，减少从数据平面向控制平面透传的报文数量，降低控制平面的负担。

技术领域

本公开涉及通信技术领域，尤其涉及一种认证方法和装置。

背景技术

普通认证流程为：触发报文触发用户在BRAS(Broadband Remote Access Server，宽带远程接入服务器)上进行用户名、密码的认证。BRAS与3A(Authentication、Authorization、Accounting，验证、授权和记账)服务器(如图1所示的RADIUS SERVER)通信认证通过后，用户在准入区域内上线。用户可访问准入范围内资源。

图1是转控分离组网下的无感知认证的组网示意图。如图1所示，无感知认证流程为：触发报文触发用户在BRAS的受控区域内上线，只能访问受控的资源。当用户达到阈值触发条件后，BRAS采用用户的特征向MAC(Media Access Control，媒体访问控制)触发(trigger)服务器(如图1所示的Portal Server)查询用户名、密码。如查询成功，采用该密码向3A服务器进行认证。认证通过后，允许用户在准入区域内上线，可访问准入范围内资源。

转控分离是将传统BRAS认证授权计费的功能和转发的功能分开。将一台设备(BRAS设备)拆成一台服务器(下面简称CP控制平面(control plane)，主要功能是完成认证授权计费)与一台转发设备(下面简称DP，主要功能是完成用户在其相应的授权范围内转发)。DP与CP分离的一个实现方式是，DP将用户的触发报文上送到CP上，从而引发用户在CP上进行认证。对于无感知认证的转控分离组网，比起普通认证流程而言，多了一步认证。一次是受控区域的认证，另一次是准入区域的无感知的认证。这两次认证都要求DP将相应的触发报文送到CP上。当某时刻采用无感知上线的用户量较多时，会对CP带来较大的性能压力。

发明内容

有鉴于此，本公开提出了一种认证方法和装置。

根据本公开的一方面，提供了一种认证方法，应用于VBRAS，所述方法包括：

在允许用户侧访问第一区域的情况下，数据平面判断是否满足第二区域对应的触发条件，所述第二区域的访问权限与所述第一区域不同；

如果满足所述触发条件，则所述数据平面向控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域。

根据本公开的另一方面，提供了一种认证装置，应用于VBRAS的数据平面，所述装置包括：

判断模块，用于在允许用户侧访问第一区域的情况下，判断是否满足第二区域对应的触发条件，所述第二区域的访问权限与所述第一区域不同；

发送模块，用于如果满足所述触发条件，则向控制平面发送会话刷新请求，以确定是否允许用户侧访问第二区域。

本公开在转控分离模式下，将第二区域认证的触发判断的过程改由数据平面来执行，数据平面无需将触发报文透传给控制平面，减少从数据平面向控制平面透传的报文数量，降低控制平面的负担。

根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。

图1是转控分离组网下的无感知认证的组网示意图。