專利名稱:一種寬帶接入服務器全匹配認證方法
技術領域:
本發明涉及INTERNET接入領域,寬帶接入服務器(BNAS)上的一種全匹配認證的用戶組織與認證方法,尤其涉及INTERNET領域的接入網部分。
背景技術:
匹配認證,就是有一組數據,數據有很多項,表明了接入用戶的身份,請求確認這些數據的合法性。在寬帶接入領域,這是接入過程的一個必然環節。而匹配認證過程就是在一個事先建立起的數據集中,查找匹配用戶數據的過程。因此,對于寬帶接入服務器來說,用戶數據集的組織與匹配認證過程是它的一個關鍵技術。
匹配認證和路由查找算法有相近之處,但不一樣。
路由查找中IP地址有規律,4個字節長,路由表的組織可以按照地址掩碼的位數來組織。查找路由時,為了找到一個IP地址的目的出口,從掩碼最長的表項開始,按照掩碼遞減的順序,找到的最佳匹配項就是路由出口。而匹配認證數據是一個多元組,沒有規律,也沒有固定的字長。但是,也可以按路由算法一樣,找一種最佳匹配方法,將匹配表項的組織與認證分開,不管采用什么樣的認證方式,認證過程象路由查找算法一樣,變成在表中找最佳匹配項的過程。
RADIUS服務器的認證過程是一種基于用戶名的認證過程,認證時,用戶的認證數據中必須有用戶名,用戶表項按用戶名唯一索引來組織,認證時,只要將用戶名通過HASH索引,如果能在表中找到同用戶名相同的表項,就比較其他認證數據,這些數據合法,就認證通過。如果在表中找不到同用戶名相同的表項,就宣告認證失敗。但是,現在在寬帶接入領域,需求各種各樣的綁定認證過程,有IP地址和MAC地址的綁定、有IP地址和VLAN的綁定等等,這樣的綁定關系很多。綁定認證也是一種認證,只是沒有用戶名。很多廠家在處理這些應用需求時,和基于用戶名的認證過程區別對待,采取特殊處理。這樣造成的代價就是認證過程變得復雜,認證過程不能適應各種應用需求,新增一種認證過程,就要新增一種特殊處理方法,維護也復雜,效率低下。
發明內容
本發明解決的技術問題是找到一種將各種認證過程統一起來的寬帶接入服務器全匹配認證方法。
本發明所述的寬帶接入服務器全匹配認證方法,包括以下處理過程步驟一,將用戶的數據集按照優先級大小不同組織成多個匹配認證用戶集;1)根據每個匹配認證的用戶的關鍵字和屬性值將用戶組織成一個多元組(A1,A2,...,An,B1,B2,...,Bm),其中Ai表示關鍵字,Bi表示屬性;每個Ai和Bi都是一個集合,集合中可以有一個元素,也可以有多個元素;2)對每個關鍵字和屬性按優先級高低確定一個權值,優先級高的權值也高;權值依據下面的方法分配a.若Ai或Bi是一個多元素集合,則權值為0;b.若Ai或Bi是一個單元素集合,則權值為2^(i-1),其中i>=1;3)根據關鍵字權值之和的不同建立多個認證用戶集,等待用戶請求匹配認證;步驟二,根據用戶的多元組查找匹配的認證用戶集,并由用戶的屬性值確定認證通過與否。
4)確定與用戶關鍵字匹配的認證用戶集,如果待認證用戶多元組(A11,A12,...,A1n,B11,B12,...,B1m)的每一個元素A1i是認證用戶集多元組(A21,A22,...,A2n,B21,B22,...,B2m)的每一個元素A2i的一個子集,則匹配成立;5)在所述步驟4)中找出的匹配認證用戶集中,可能有多個認證用戶集的元組匹配,選出元組權值最大的匹配認證用戶子集,剔除其他元組;6)確定最大屬性權值匹配認證用戶集,在所述步驟5)中找出的最大權值匹配匹配認證用戶集子集中,可能有多個認證用戶子集的多個元組匹配,選出匹配屬性權值之和最大的匹配認證用戶子集,踢除其它元組;7)確定匹配認證的結果,在所述步驟6)中選出的匹配認證用戶子集中,可能還有多個元組匹配,在這些元組中,只要找到一個元組的不匹配屬性權值之和為0,則匹配認證成功,宣告匹配認證通過;如果一個也沒有找到,則匹配認證失敗,認證沒有通過。
匹配屬性權值之和是認證用戶元組中匹配的屬性項的權值之和,不匹配屬性權值之和是認證用戶元組中不匹配的屬性項的權值之和。
采用本發明所述的寬帶接入服務器全匹配認證方法能自適應于各種應用需求,算法高效,維護簡單。而且對于新增的認證過程,只要改變BNAS中用戶集數據,就能滿足提出的各種綁定需求,不需要新增一種特殊處理方法,應用方便,配置簡單。
圖1是本發明所述的寬帶接入服務器全匹配認證方法的處理流程圖。
具體實施例方式
如圖1所示的全匹配認證方法的處理流程,包括以下處理過程1)根據每個匹配認證的用戶的關鍵字和屬性值將用戶組織成一個多元組(A1,A2,...,An,B1,B2,...,Bm),其中Ai表示關鍵字,Bi表示屬性;每個Ai和Bi都是一個集合,集合中可以有一個元素,也可以有多個元素;2)對每個關鍵字和屬性按優先級高低確定一個權值,優先級高的權值也高;3)根據關鍵字權值之和的不同建立多個認證用戶集,等待用戶請求匹配認證;4)確定與用戶關鍵字匹配的認證用戶集,如果待認證用戶多元組(A11,A12,...,A1n,B11,B12,...,B1m)的每一個元素A1i是認證用戶集多元組(A21,A22,...,A2n,B21,B22,...,B2m)的每一個元素A2i的一個子集,則匹配成立;5)在所述步驟4)中找出的匹配認證用戶集中,可能有多個認證用戶集的元組匹配,選出元組權值最大的匹配認證用戶子集,剔除其他元組;6)確定最大屬性權值匹配認證用戶集,在所述步驟5)中找出的最大權值匹配匹配認證用戶集子集中,可能有多個認證用戶子集的多個元組匹配,選出匹配屬性權值之和最大的匹配認證用戶子集,踢除其它元組;7)確定匹配認證的結果,在所述步驟6)中選出的匹配認證用戶子集中,可能還有多個元組匹配,在這些元組中,只要找到一個元組的不匹配屬性權值之和為0,則匹配認證成功,宣告匹配認證通過;如果一個也沒有找到,則匹配認證失敗,認證沒有通過。
以下再以內置BNAS中基于用戶名和綁定關系的用戶的匹配認證為例詳細介紹本發明的實現。
這種認證過程中,用戶多元組為(PORT,VLAN,MAC,USERNAME,IP,PASSWORD)其中關鍵字分別為PORT接入端口,取缺省值時,表示所有的端口,是一個多元素集合,權值為0。取單個端口值時,是單元素集合,權值為1。
VLAN用戶的VLAN,取缺省值時,表示所有的VLAN,是一個多元素集合,權值為0。取非缺省值時(1-4095),是單元素集合,權值為2。
MAC用戶主機的二層物理地址,取缺省值時,表示任意的MAC地址,是一個多元素集合,權值為0。取非缺省值時,是單元素集合,權值為4。
USERNAME用戶名,取缺省值時,表示所有用戶,是一個多元素集合,權值為0。取非缺省值時,是單元素集合,權值為8。
屬性分別為IP用戶的IP地址,取缺省值時,表示任意的IP地址,是一個多元素集合,權值為0。取非缺省值時,是單元素集合,權值為1。
PASSWORD用戶的口令,取缺省值時,表示任意的口令,是一個多元素集合,權值為0。取非缺省值時,是單元素集合,權值為2。
由于這個實例的用戶元組是一個6元組,因此在建立匹配用戶集時,將用戶組織成5類HASH鏈,每個用戶只能存在于一類HASH鏈上。這5類鏈分別是USERNAME鏈所有用戶名不是缺省值的匹配用戶全在這類鏈上,USERNAME做為HASH關鍵字;MAC鏈所有USERNAME是缺省值,MAC不是缺省值的用戶在這類鏈上,MAC地址做為HASH關鍵字;VLAN鏈所有USERNAME和MAC都為缺省值,而VLAN不是缺省值的用戶都在這類鏈上,VLAN做為HASH關鍵字;PORT鏈所有USERNAME、MAC和VLAN都為缺省值,而PORT不是缺省值的用戶都在這類鏈上,PORT做為HASH關鍵字;全缺省鏈所有USERNAME、MAC、VLAN和PORT都為缺省值的用戶全在這類鏈上,沒有HASH關鍵字,所有這樣的用戶在一條鏈上。
這5類鏈上元組的權值之和的高低順序分別為USERNAME鏈、MAC鏈、VLAN鏈、PORT鏈、全缺省鏈。因此,建起匹配用戶集的HASH鏈后,當有一個用戶請求認證時,按照權值的高低順序依次在5類鏈上找關鍵字匹配的子集,首先找到匹配子集的鏈自然是權值最高的鏈,也是權值最高的子集,后面的鏈再不用找了。然后按照前面所講的方法,確定最大屬性權值匹配集,這里屬性是IP和PASSWORD,再根據不匹配屬性權值來判斷匹配認證通過與否。在最后的集合中,能找到不匹配屬性權值為0的元組,則認證通過,否則認證失敗,這里就是IP和PASSWORD正確匹配,就認證成功,不匹配就認證失敗。如果所有的鏈上都沒有找到,自然也是匹配認證不通過。
這個BNAS的認證過程就是按照本發明所述方法來組織實施,效率很高,使該BNAS能適應各種認證需求。
權利要求
1.一種寬帶接入服務器全匹配認證方法,其特征在于,所述方法包括以下處理過程步驟一,將用戶的數據集按照優先級大小不同組織成多個匹配認證用戶集;步驟二,根據用戶的多元組查找匹配的認證用戶集,并由用戶的屬性值確定認證通過與否。
2.根據權利要求1所述的寬帶接入服務器全匹配認證方法,其特征在于,所述步驟一具體包括以下處理步驟1)根據每個匹配認證的用戶的關鍵字和屬性值將用戶組織成一個多元組(A1,A2,...,An,B1,B2,...,Bm),其中Ai表示關鍵字,Bi表示屬性;2)對每個關鍵字和屬性按優先級高低確定一個權值,優先級高的權值也高;3)根據關鍵字權值之和的不同建立多個認證用戶集,等待用戶請求匹配認證。
3.根據權利要求1或2所述的寬帶接入服務器全匹配認證方法,其特征在于,所述步驟二具體包括以下處理步驟4)確定與用戶關鍵字匹配的認證用戶集,如果待認證用戶多元組(A11,A12,...,A1n,B11,B12,...,B1m)的每一個元素A1i是認證用戶集多元組(A21,A22,...,A2n,B21,B22,...,B2m)的每一個元素A2i的一個子集,則匹配成立;5)在所述步驟4)中找出的匹配認證用戶集中,可能有多個認證用戶集的元組匹配,選出元組權值最大的匹配認證用戶子集,剔除其他元組;6)確定最大屬性權值匹配認證用戶集,在所述步驟5)中找出的最大權值匹配匹配認證用戶集子集中,可能有多個認證用戶子集的多個元組匹配,選出匹配屬性權值之和最大的匹配認證用戶子集,踢除其它元組;7)確定匹配認證的結果,在所述步驟6)中選出的匹配認證用戶子集中,可能還有多個元組匹配,在這些元組中,只要找到一個元組的不匹配屬性權值之和為0,則匹配認證成功,宣告匹配認證通過;如果一個也沒有找到,則匹配認證失敗,認證沒有通過。
4.根據權利要求2所述的寬帶接入服務器全匹配認證方法,其特征在于,所述步驟1)中每個Ai和Bi都是一個集合,集合中可以有一個元素,也可以有多個元素。
5.根據權利要求4所述的寬帶接入服務器全匹配認證方法,其特征在于,所述步驟2)中,權值依據下面的方法分配a.若Ai或Bi是一個多元素集合,則權值為0;b.若Ai或Bi是一個單元素集合,則權值為2^(i-1),其中i>=1。
6.根據權利要求3所述的寬帶接入服務器全匹配認證方法,其特征在于,所述匹配屬性權值之和是認證用戶元組中匹配的屬性項的權值之和,所述不匹配屬性權值之和是認證用戶元組中不匹配的屬性項的權值之和。
全文摘要
本發明公開了一種寬帶接入服務器全匹配認證方法,包括以下處理過程步驟一,將用戶的數據集按照優先級大小不同組織成多個匹配認證用戶集;步驟二,根據用戶的多元組查找匹配的認證用戶集,并由用戶的屬性值確定認證通過與否。采用本發明所述的寬帶接入服務器全匹配認證方法能自適應于各種應用需求,算法高效,維護簡單。而且對于新增的認證過程,只要改變BNAS中用戶集數據,就能滿足提出的各種綁定需求,不需要新增一種特殊處理方法,應用方便,配置簡單。
文檔編號H04L9/32GK1545241SQ20031010357
公開日2004年11月10日 申請日期2003年11月11日 優先權日2003年11月11日
發明者田平, 紀小利, 何茂平, 劉興銓, 胡鵬, 田 平 申請人:中興通訊股份有限公司