[发明专利]用户认证的方法和系统

说明书

技术领域

本发明涉及一种在宽带接入网络系统中进行用户认证的方法和系统，尤其涉及一种基于同轴网络单元(CNU)的介质访问控制(MAC)地址进行用户认证的方法和系统。

背景技术

电缆接入技术(EoC)是下一代广播电视网(NGB)的关键技术之一，该技术基于同轴电缆，通过各种数字调制技术来承载以太网业务和其他各种综合业务，实现下一代广播电视网(NGB)的用户宽带接入。

在EoC网络构架中，CNU、同轴电缆宽带接入终端(CBAT)以及CBAT/CNU控制器(CC)或宽带远程接入服务器(BRAS)的三层接入网基本结构最为普遍。在此三层接入网基本结构中，CBAT和CNU完全不具任何业务控制功能，CNU的用户PC发起以太网上的点对点协议(PPPOE)认证，在BRAS(或CC)上进行PPPOE终结和远程用户拨号认证系统(RemoteAuthentication Dial In User Service，RADIUS)认证。在此种认证方式下，所有用户流量必须在报文中加入PPP头，并且送到BRAS进行处理，然后由BRAS根据认证结果和计费策略集中控制处理是否允许转发通过该流量。

图1示出基于PPPOE方案的典型网络拓扑。图中弯曲的点划线指示宽带用户为接入网络进行认证以及通过网络进行数据传输的PPPoE路径。由于用户的全部网络流量都必须被进行PPP头的封装，使得网络开销增加。

同时，随着网络的发展，网络流量的日益增大，这种流量必须完全由BRAS(或CC)来进行集中处理的方式，势必使得BRAS(或CC)的处理能力成为网络中的瓶颈。因此很有必要引入一种新的认证机制，来简化认证流程，提高网络可维护性和吞吐量。

发明内容

本发明的目的在于提供一种基于在用户的网络接入装置(如CNU)上配置的MAC地址进行认证的方法和系统，彻底免除用户的上网流量中的PPPoE封装，从而提高网络传输效率。

为了实现上述目的，提供一种基于CNU的MAC地址进行用户认证的方法，所述方法包括：CNU通过CNU管理协议将其MAC地址发送给CBAT；CBAT构建包括所述MAC地址的认证请求报文，并将构建的认证请求报文发送给CC；CC响应接收到的认证请求报文，构建包括所述MAC地址的Radius请求报文，并将构建的Radius请求报文发送给Radius服务器；Radius服务器响应接收的Radius请求报文，使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证，构建包括认证结果为成功或失败的Radius响应报文，并且将构建的Radius响应报文发送给CC；CC响应接收到的Radius响应报文，构建包括所述认证结果的认证响应报文，并将构建的认证响应报文发送给CBAT；和CBAT响应接收到的认证响应报文，根据认证成功的认证结果开放与CNU连接的数据端口。

在用户被授权领取CNU卡时，可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。

CNU可以在开机时，通过CNU管理协议将其MAC地址发送给CBAT。

在CNU被成功认证之前，CBAT可以关闭与CNU连接的全部数据端口，仅允许CNU的管理协议报文通过。

可以在CBAT、CC和Radius服务器上分别设置预定的用于认证的UDP或TCP端口。

为了实现上述目的，还提供一种基于CNU的MAC进行认证的系统，所述系统包括CNU、CBAT、CC以及Radius服务器，其中：CNU通过CNU管理协议将其MAC地址发送给CBAT；CBAT构建包括所述MAC地址的认证请求报文，将构建的认证请求报文发送给CC，当接收到认证响应报文时，根据认证成功的认证结果开放与CNU连接的数据端口；CC响应从CBAT接收到的认证请求报文，构建包括所述MAC地址的Radius请求报文并将构建的Radius请求报文发送给Radius服务器，当从Radius服务器接收到Radius响应报文时，构建包括所述认证结果的认证响应报文，并将构建的认证响应报文发送给CBAT；Radius服务器响应从CC接收的Radius请求报文，使用包含在接收的Radius请求报文中的MAC地址对CNU进行认证，构建包括认证结果为成功或失败的Radius响应报文，并且将构建的Radius响应报文发送给CC。

在用户被授权领取CNU卡时，可以将所述CNU的MAC地址、用户信息以及收费信息写入与Radius连接的认证数据库中。

CNU可以在开机时，通过CNU管理协议将其MAC地址发送给CBAT。