一种鉴权认证方法、接入设备及系统与流程

1.本发明涉及通信技术领域，尤其涉及一种鉴权认证方法、接入设备及鉴权认证系统。


背景技术：

2.设备鉴权是指网络对接入平台的设备进行身份认证。对于不同接入方式的设备，鉴权方式不同。在设备接入网络时，通过配置服务器调用相关接口确定各个接入设备身份的合法性。如果身份合法，则允许接入网络；如果身份不合法，则禁止接入网络。
3.而现有技术中，对入网设备认证，是基于以太网传输数据/协议包的802.1x或简单采用账号/密码进行处理登录。然而，电路交换网络并不支持802.1x协议认证管理，当电路交换网络的客户端在还没接入以太网的情况下，不能支持对电路交换网络的设备的鉴权认证。


技术实现要素：

4.本发明的多个方面提供一种鉴权认证方法、接入设备及鉴权认证系统，其能在电路交换网络的客户端在还未接入以太网的情况下，通过模拟802.1x协议，实现电路交换网络中客户端的鉴权认证。
5.本发明第一方面提供一种鉴权认证方法，由接入设备执行，包括：
6.在电路交换网络的客户端还未接入以太网且客户端上线时：
7.响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
8.当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
9.当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；
10.当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
11.本发明第二方面提供一种接入设备，包括：
12.在电路交换网络的客户端还未接入以太网且客户端上线时：
13.设备认证数据对比模块，用于响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
14.鉴权成功模块，用于当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
15.鉴权失败模块，用于当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行
授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；还用于当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
16.本发明第三方面提供一种鉴权认证系统，包括客户端、接入设备和认证服务器；
17.在电路交换网络的客户端还未接入以太网且客户端上线时：
18.所述客户端，用于通过其e1接口的hdlc通道向所述接入设备发送认证数据；
19.所述接入设备，用于接收所述认证数据，并根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
20.所述接入设备，还用于当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
21.所述接入设备还用于，当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据；
22.所述认证服务器，用于在接收到所述接入设备的鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；
23.所述接入设备还用于，当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
24.与现有技术相比，本发明提供的鉴权认证方法、接入设备及鉴权认证系统的有益效果如下：
25.本发明提供的鉴权认证方法，其在电路交换网络的客户端还未接入以太网且客户端上线时，通过响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；而当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。本发明能够在电路交换网络的客户端在还未接入以太网的情况下，通过模拟802.1x协议，实现电路交换网络中客户端的鉴权认证。另外，本发明提供的技术方案中，由于接入设备存储有客户端的认证数据，因此当客户端从第2次鉴权认证开始，不需要认证服务器参与，而直接由接入设备来完成认证，简化鉴权了认证流程。相应地，本发明还提供一种接入设备及鉴权认证系统。
附图说明
26.图1是现有技术的基于以太网ieee 802.1x的鉴权认证的流程图；
27.图2是本发明实施例的鉴权认证方法一种应用场景下的网络框图；
28.图3是本发明提供的接入设备的结构框图；
29.图4是本发明提供的客户端的结构框图；
30.图5是本发明提供的鉴权认证方法的一个优选实施例的流程示意图
31.图6是本发明提供的一种鉴权认证方法的另一个实施例的流程示意图。
具体实施方式
32.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
33.参见图1，图1是现有技术的基于以太网ieee 802.1x的鉴权认证的流程图。其中，客户端一般是位于局域网段一端的一个实体，由该链路另一端的接入设备对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。客户端必须支持局域网上的可扩展认证协议eapol(extensible authentication protocol over lan)。接入设备一般是位于局域网段一端的另一个实体，对所连接的客户端进行认证。接入设备通常为支持802.1x协议的网络设备，它为客户端提供接入局域网的接口。认证服务器则是为接入设备提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费，通常为radius服务器。
34.由图1可以看出，现有技术的鉴权认证方式存在以下的缺陷：
35.(1)电路交换网络的客户端设备无法通过802.1x协议认证管理；
36.(2)以太网交换机需要支持802.1x协议；
37.(3)仅能在以太网环境中使用，认证过程相对复杂；
38.(4)每次的认证都需要认证服务器参与。当认证服务器故障时，无法完成鉴权认证。
39.综上，802.1x是基于以太网网络设计的一套网络协议，并不支持电路交换网络。在客户端未接入以太网网络的情况下，不能支持对电路交换网络的设备的鉴权认证。
40.有鉴于此，本发明提供一种鉴权认证方法。具体的，图2示出了本发明实施例的鉴权认证方法一种应用场景下的网络框图。图2中，认证服务器、接入设备、客户端等设备都对应802.1x中的相关设备。
41.参见图3，图3是本发明提供的接入设备的结构框图。其中，接入设备包括32个下行e1接口、1个上行e1接口和1个以太网接口；在每个下行的e1接口中，利用e1链路的时隙实现1个hdlc通道、1个ipoe通道、多个语音通道。
42.其中：
43.hdlc通道，用来传输于客户端的相关鉴权数据，占用1个时隙。
44.ipoe通道，用来在完成鉴权以后，承载其他相关业务，占用多个时隙。cpu可以通过读写总线，进行每个ipoe通道的禁用/使能。
45.语音通道，每个语音通道占用e1链路的1个时隙。cpu可以通过读写总线，进行每个语音通道的禁用/使能和交换矩阵控制，将下行e1中的语音通道交换到上行e1的不同时隙上。
46.同时，接入设备还通过设备内部的交换矩阵，提供语音通道。可以接收/发送不同下行e1中的语音通道；以及通过设备内部的cpu模块，实现对所有接口的控制和使能。
47.参见图4，图4是本发明提供的客户端的结构框图。其中，客户端包括1个上行e1接口和4个模拟话机fxs接口；在上行e1接口中，实现1个hdlc通道、1个ipoe通道、多个个语音通道。该上行e1接口与接入设备中的某一个下行e1接口通过sdh传输网络连接；其中：
48.hdlc通道，传输与接入设备的相关鉴权数据，占用1个时隙。
49.ipoe通道，在完成鉴权以后，承载其他相关业务，占用多个时隙。
50.语音通道，每个语音通道占用e1链路层的1个时隙。当使能对应的语音通道以后，可以接入一台模拟话机。
51.当客户端完成鉴权以后，有多个语音通道使能时，每个语音通道可接入一台模拟话机。从hdlc通道传输fxs相关的控制信息。
52.当客户端完成鉴权以后，有多个ipoe通道使能时，会开启ipoe通道对应的网口，实现以太网的相关业务。
53.参见图5，图5示出了本发明第一方面提供的鉴权认证方法的一个优选实施例的流程示意图。在该实施例中，在电路交换网络的客户端还未接入以太网且客户端上线时，由接入设备执行所述鉴权认证方法，包括s11～s12：
54.s11，响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
55.s12，当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
56.s13，当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；
57.s14，当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
58.示例性的，在实施本方案之前，还包括了上电初始化阶段和客户端上线确认阶段。其中，
59.上电初始化阶段：接入设备禁用全部e1通道中的ipoe通道；客户端禁用全部的ipoe通道和语音通道。
60.客户端上线确认阶段：当客户端上电上电初始化完成后，客户端通过其e1接口的hdlc通道向接入设备发送“设备上电/接入”数据；接入设备的e1接口的hdlc通道接收到客户端的“设备上电/接入”信息，并发送“接收确认”给客户端；接入设备通过网口，向认证服务器发送“客户端上线”数据；认证服务器接收上电信息成功；认证服务器通过网口，发送“接收确认”给接入设备。
61.可以理解的是，所述接入设备的授权数据库中存储着大量客户端的认证数据。一般的，对于每一客户端，若该客户端在之前已经被认证服务器鉴权成功，所述接入设备应存储有该客户端对应的客户端标识。也就是说，在本发明实施例中，客户端第一次的鉴权需要认证服务器参与，后续的鉴权认证可以不需要认证服务器参与，而直接由私有的“接入设备”来完成认证，简化鉴权了认证流程。
62.具体的，当在所述授权数据库找不到所述客户端标识时，说明该客户端是首次进行鉴权认证，客户端授权失败。此时通过接入设备的网口向认证服务器发送“鉴权请求”数据。当认证服务器通过人工授权或自动授权等方式完成鉴权数据确认以后，发送鉴权数据和成功标志给接入设备。接入设备将鉴权数据和成功标志写入授权数据库中进行存储。接入设备通过e1接口的hdlc通道向客户端发送“鉴权失败数据”，同时，客户端启动重启定时
器，重新开始上电步骤。
63.需要说明的是，当接入设备有多个下行e1接口时，每个下行e1接口都可以对接一个客户端进行认证。相比于现有的在以太网网络中，需要专用满足802.1x认证的交换机，其一个接口仅仅只能实现一个客户端的鉴权认证，需要多台客户端认证时，则需要相对应数量的网络交换机。例如：需要认证30台客户端，则需要的网络交换机的端口数量也需要30。而采用本发明的技术手段以后，使用普通的网络交换机即可实现鉴权认证的要求。鉴权的控制使能在私有的“接入设备”中，一台接入设备可以实现多台客户端的认证。
64.基于上述实施例提供的方案，其在电路交换网络的客户端还未接入以太网且客户端上线时，通过响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；而当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。本发明能够在电路交换网络的客户端在还未接入以太网的情况下，通过模拟802.1x协议，实现电路交换网络中客户端的鉴权认证。另外，本发明提供的技术方案中，由于接入设备存储有客户端的认证数据，因此当客户端从第2次鉴权认证开始，不需要认证服务器参与，而直接由接入设备来完成认证，简化鉴权了认证流程。
65.基于上述实施例提供的方案，在一种可选的实施方式中，在所述步骤s12“当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据”之后，还包括：
66.响应于客户端通过其e1接口的hdlc通道发送的请求配置指令，向所述客户端发送功能配置数据，以使得所述客户端根据所述功能配置数据开启相应的功能通道；其中，所述客户端功能配置数据包括语音通道使能配置数据和ipoe通道使能配置数据。
67.具体的，所述功能配置数据用于指示客户端开启哪个通道，以及指示客户端在某一功能通道下的工作参数。
68.基于上述实施例提供的方案，在一种可选的实施方式中，所述方法还包括：
69.在客户端鉴权成功后，接入设备通过其e1接口的hdlc通道每隔预设时间段向所述客户端发送心跳包，以使得所述客户端返回对所述心跳包的响应结果；
70.根据所述客户端对所述心跳包的响应结果，执行开启或关闭客户端相关功能通道的操作。
71.进一步的，所述根据所述客户端对所述心跳包的响应结果，执行开启或关闭客户端相关功能通道的操作，具体包括：
72.当所述客户端在预设心跳时间段内作出响应时，保存所述客户端的功能配置状态不变；
73.当所述客户端未对所述心跳包作出响应时，关闭所述客户端的相关功能通道。
74.具体的，所述相关功能通道包括语音通道和ipoe通道。
75.基于上述实施例提供的方案，在一种可选的实施方式中，所述方法还包括：
76.在所述客户端开启相关功能通道时：
77.响应于客户端通过其e1接口的ipoe通道发送的tcp连接请求指令，与所述客户端建立tcp连接。
78.具体的，当客户端配置完成以后，请求建立tcp连接与认证服务器进行tcp通信。当建立tcp连接以后，认证服务器发送“配置、心跳”等数据给客户端。客户端则可上报“事件、状态”等数据给认证服务器。通过业务层的心跳，确保客户端的安全接入。
79.为了更清楚地展示本发明的技术方案，参见图6，图6示出了本发明提供的一种鉴权认证方法的另一个实施例的流程示意图。其中，包括步骤0到步骤6。
80.步骤0:上电初始化：接入设备禁用了全部e1通道中的ipoe通道；客户端禁用了全部的ipoe通道和语音通道。
81.步骤1:当上电初始化完成后，通过e1接口的hdlc通道，客户端发送“设备上电/接入”数据；接入设备的e1接口的hdlc通道接收到客户端的“设备上电/接入”信息，并发送“接收确认”给客户端
82.步骤2:接入设备通过网口，向认证服务器发送“客户端上线”数据；认证服务器接收上电信息成功；认证服务器通过网口，发送“接收确认”给接入设备。
83.步骤3:客户端通过e1接口中的hdlc通道发送“设备认证”数据。接入设备e1接口的hdlc通道接收到“设备认证”数据，并获取该“设备认证”数据携带的客户端标识，在本地存储的授权数据库中查找是存在否该客户端标识。
84.若在授权数据库中存在该客户端标识，则通过授权。接入设备使能该客户端的ipoe通道，并向客户端发送“鉴权成功数据”；客户端收到鉴权成功数据，进入步骤4。如不存在，则授权失败。通过接入设备的网口向认证服务器发送“鉴权请求”数据。当认证服务器通过人工授权或自动授权等方式完成鉴权数据确认以后，发送“鉴权数据和成功标志”数据给接入设备。接入设备将鉴权数据和成功标志写入授权信息中进行存储。接入设备通过e1接口的hdlc通道向客户端发送“鉴权失败数据”，启动重启定时器，进入到步骤1，重新开始上电步骤。
85.步骤4:客户端收到鉴权成功数据，客户端通过e1接口中的hdlc通道发送请求配置指令；接入设备接收到指令以后，将客户端的配置数据发送给客户端。配置数据包括：语音通道使能、ipoe通道使能等信息。客户端可通过语音通道和ipoe通道实现既定的业务。
86.步骤5:接入设备定时通过hdlc通道向客户端发送“心跳检测”数据包，确认客户端是否存在。当心跳存在时，保持各项配置和ipoe通道不变化。当心跳停止时，关闭各项配置并禁用ipoe通道。
87.步骤6：客户端配置完成以后，请求建立tcp连接与认证服务器进行tcp通信。当建立tcp连接以后，认证服务器发送“配置、心跳”等数据给客户端。客户端则可上报“事件、状态”等数据给认证服务器。通过业务层的心跳，确保客户端的安全接入。
88.相应地，本发明实施例第二方面提供一种接入设备，包括：
89.在电路交换网络的客户端还未接入以太网且客户端上线时：
90.设备认证数据对比模块，用于响应于客户端通过其e1接口的hdlc通道发送的认证数据，根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
91.鉴权成功模块，用于当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
92.鉴权失败模块，用于当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据，以使得所述认证服务器在接收到所述鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；还用于当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
93.相应地，本发明实施例第三方面提供一种鉴权认证系统，包括客户端、接入设备和认证服务器；
94.在电路交换网络的客户端还未接入以太网且客户端上线时：
95.所述客户端，用于通过其e1接口的hdlc通道向所述接入设备发送认证数据；
96.所述接入设备，用于接收所述认证数据，并根据所述认证数据携带的客户端标识，在本地的授权数据库中查找所述客户端标识；
97.所述接入设备，还用于当在所述授权数据库查找到所述客户端标识时，向所述客户端发送鉴权成功数据；
98.所述接入设备还用于，当在所述授权数据库中查找不到所述客户端标识时，向认证服务器发送鉴权请求数据；
99.所述认证服务器，用于在接收到所述接入设备的鉴权请求数据时，且执行授权客户端的操作后返回鉴权数据和成功标志；其中，所述鉴权数据携带有所述客户端标识；
100.所述接入设备还用于，当接收到所述认证服务器返回的鉴权数据和成功标志时，将所述客户端标识保存在所述授权数据库中，并向所述客户端发送鉴权失败数据。
101.需要说明的是，本发明的接入设备，鉴权认证系统的工作原理和有益效果和上述实施例的鉴权认证方法一一对应，这里不再作过多的赘述。
102.本发明的鉴权认证方法、接入设备及鉴权认证系统的有益效果至少如下：
103.(1)在电路交换网络中，没有对客户端鉴权认证的标准，而本技术提供一种简单的客户端鉴权技术解决方案。可以实现电路交换网络中模拟通道鉴权；可以实现电路交换网络中ipoe通道鉴权；
104.(2)在以太网网络中，需要专用满足802.1x认证的交换机才能实现鉴权认证的要求。而采用本技术的技术方案以后，使用普通的网络交换机即可实现鉴权认证的要求。
105.(3)在以太网网络中，每次鉴权流程都需要认证服务器参与鉴权认证流程。而采用申请的技术方案以后，第一次的鉴权需要认证服务器参与，后续的鉴权认证可以不需要认证服务器参与，而直接由私有的“接入设备”来完成认证，简化鉴权了认证流程。
106.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。