一種Radius認證裝置和方法
【專利摘要】本發(fā)明提供一種Radius認證裝置和方法��。該方法包括:接收網(wǎng)絡(luò)接入設(shè)備NAS發(fā)送給Radius服務(wù)器的上行報文��,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中��,在所述上行報文是首Access-Request報文時,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��;接收Radius服務(wù)器響應(yīng)的下行報文,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。本發(fā)明實現(xiàn)了Radius服務(wù)器集群中各個Radius服務(wù)器節(jié)點的負載均衡。
【專利說明】一種Rad i us認證裝置和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)通信【技術(shù)領(lǐng)域】��,尤其涉及一種Radius認證裝置和方法��。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)應(yīng)用的日益普及與深入��,網(wǎng)絡(luò)安全越來越受到重視��。通過終端用戶上的客戶端軟件、接入設(shè)備(NAS, Network Access Server)、AAA (Authentication、Authorization��、Accounting,認證、授權(quán)、計費)服務(wù)器互相配合實現(xiàn)對接入網(wǎng)絡(luò)的終端進行準入控制是網(wǎng)絡(luò)安全的重要組成部分��。
[0003]請參考圖1��,當(dāng)前終端用戶通過NAS設(shè)備接入網(wǎng)絡(luò)��,并由NAS設(shè)備將用戶的接入請求以及計費請求等報文轉(zhuǎn)發(fā)給AAA (Authentication��、Authorization��、Accounting,驗證��、授權(quán)��、計費)等認證服務(wù)器進行驗證��、授權(quán)��、計費等��。
[0004]然而,隨著網(wǎng)絡(luò)規(guī)模越來越大��,接入方式越來越豐富��,一個網(wǎng)絡(luò)中海量終端用戶通常需要通過很多臺NAS接入網(wǎng)絡(luò)��,一臺認證服務(wù)器無法支撐��,于是出現(xiàn)了認證服務(wù)器集群��。而如何實現(xiàn)認證服務(wù)器集群的負載均衡以及用戶接入��、計費等會話的連貫性就成為了亟待解決的問題��。
【發(fā)明內(nèi)容】
[0005]有鑒于此��,本發(fā)明提供一種Radius認證裝置和方法��。
[0006]具體地��,本發(fā)明是通過如下技術(shù)方案實現(xiàn)的:
[0007]—種Radius認證的裝置��,應(yīng)用在Radius服務(wù)器集群中的負載均衡設(shè)備上��,所述裝置包括:
[0008]上行轉(zhuǎn)發(fā)單元��,用于接收網(wǎng)絡(luò)接入設(shè)備NAS發(fā)送給Radius服務(wù)器的上行報文,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中��,在所述上行報文是首Access-Request報文時,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��;
[0009]下行轉(zhuǎn)發(fā)單元��,用于接收Radius服務(wù)器響應(yīng)的下行報文��,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
[0010]進一步地��,所述下行報文中攜帶有Radius服務(wù)器標識��;
[0011]所述上行轉(zhuǎn)發(fā)單元��,還用于:
[0012]在所述上行報文不是首Access-Request報文時��,根據(jù)所述上行報文中攜帶的Radius服務(wù)器標識將所述上行報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0013]進一步地��,所述下行轉(zhuǎn)發(fā)單元��,還用于:
[0014]接收Radius服務(wù)器主動發(fā)送的Disconnect-Request/CoA-Request報文��,并根據(jù)所述Disconnect-Request/CoA-Request報文State屬性中攜帶的NAS標識信息將其轉(zhuǎn)發(fā)給對應(yīng)的NAS ��;[0015]所述上行轉(zhuǎn)發(fā)單元��,還用于:
[0016]接收NAS 針對所述 Disconnect-Request/CoA-Request 報文發(fā)送的 ACK/NAK 報文��,并根據(jù)所述ACK/NAK報文State屬性中攜帶的Radius服務(wù)器標識將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0017]進一步地,所述上行轉(zhuǎn)發(fā)單元將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器的過程包括:
[0018]查看各個Radius服務(wù)器的負載數(shù),將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器��;
[0019]所述上行轉(zhuǎn)發(fā)單元��,還用于:
[0020]將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器后��,將該Radius服務(wù)器的負載壓力數(shù)加I ;
[0021]所述下行轉(zhuǎn)發(fā)單元��,還用于在所述下行報文是計費結(jié)束響應(yīng)報文時��,將對應(yīng)的Radius服務(wù)器的負載壓力數(shù)減I��。
[0022]一種Radius認證的裝置��,應(yīng)用在Radius服務(wù)器上��,所述裝置包括:
[0023]上行接收單元,用于接收負載均衡設(shè)備轉(zhuǎn)發(fā)的NAS發(fā)送的上行報文��,所述上行報文的Proxy-State屬性中攜帶有對應(yīng)的NAS的標識信息��;
[0024]下行發(fā)送單元��,用于發(fā)送響應(yīng)所述上行報文的下行報文給負載均衡設(shè)備��,所述下行報文的Proxy-State屬性中原樣攜帶有所述NAS標識信息��。
[0025]進一步地��。所述下行發(fā)送單元��,還用于將自身標識添加到Access-Challenge報文State屬性中以及Access-Accept報文State屬性和Class屬性中發(fā)送給負載均衡設(shè)備��。
[0026]進一步地,所述下行發(fā)送單元,還用于在Disconnect-Request/CoA-Request報文的State屬性中添加自身標識以及對應(yīng)的NAS標識信息后發(fā)送給負載均衡設(shè)備��。
[0027]—種Radius認證的方法��,應(yīng)用在Radius服務(wù)器集群中的負載均衡設(shè)備上��,所述方法包括:
[0028]接收網(wǎng)絡(luò)接入設(shè)備NAS發(fā)送給Radius服務(wù)器的上行報文��,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中��,在所述上行報文是首Access-Request報文時��,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��;
[0029]接收Radius服務(wù)器響應(yīng)的下行報文,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
[0030]進一步地��,所述下行報文中攜帶有Radius服務(wù)器標識��;
[0031]所述方法還包括:
[0032]在所述上行報文不是首Access-Request報文時��,根據(jù)所述上行報文中攜帶的Radius服務(wù)器標識將所述上行報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0033]進一步地,所述方法還包括:
[0034]接收Radius服務(wù)器主動發(fā)送的Disconnect-Request/CoA-Request報文��,并根據(jù)所述Disconnect-Request/CoA-Request報文State屬性中攜帶的NAS標識信息將其轉(zhuǎn)發(fā)給對應(yīng)的NAS ��;
[0035]接收NAS 針對所述 Disconnect-Request/CoA-Request 報文發(fā)送的 ACK/NAK 報文��,并根據(jù)所述ACK/NAK報文State屬性中攜帶的Radius服務(wù)器標識將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0036]進一步地,所述將首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器的過程包括:
[0037]查看各個Radius服務(wù)器的負載數(shù),將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器��;
[0038]所述方法還包括:
[0039]將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器后��,將該Radius服務(wù)器的負載壓力數(shù)加I ;
[0040]在所述下行報文是計費結(jié)束響應(yīng)報文時,將對應(yīng)的Radius服務(wù)器的負載壓力數(shù)減I��。
[0041]—種Radius認證的方法,應(yīng)用在Radius服務(wù)器上,所述方法包括:
[0042]接收負載均衡設(shè)備轉(zhuǎn)發(fā)的NAS發(fā)送的上行報文��,所述上行報文的Proxy-State屬性中攜帶有對應(yīng)的NAS的標識信息��;
[0043]發(fā)送響應(yīng)所述上行報文的下行報文給負載均衡設(shè)備��,所述下行報文的Proxy-State屬性中原樣攜帶有所述NAS標識信息��。
[0044]進一步地,所述方法還包括:
[0045]將自身標識添加到Access-Challenge報文State屬性中以及Access-Accept報文State屬性和Class屬性中發(fā)送給負載均衡設(shè)備��。
[0046]進一步地,所述方法還包括:
[0047]在Disconnect-Request/CoA-Request報文的State屬性中添加自身標識以及對應(yīng)的NAS標識信息后發(fā)送給負載均衡設(shè)備��。
[0048]由以上描述可以看出��,本發(fā)明利用RFC國際標準中對Radius協(xié)議報文的相關(guān)規(guī)定��,以此來實現(xiàn)Radius服務(wù)器集群中各個Radius服務(wù)器節(jié)點的負載均衡��。
【專利附圖】
【附圖說明】
[0049]圖1是當(dāng)前終端用戶接入網(wǎng)絡(luò)的組網(wǎng)示意圖��;
[0050]圖2是一種Radius服務(wù)器集群組網(wǎng)示意圖��;
[0051]圖3是本發(fā)明一種實施方式中運行在負載均衡設(shè)備上的Radius認證裝置邏輯結(jié)構(gòu)示意圖��;
[0052]圖4是本發(fā)明一種實施方式中運行在Radius服務(wù)器上的Radius認證裝置邏輯結(jié)構(gòu)示意圖��;
[0053]圖5是本發(fā)明一種實施方式中Radius認證方法的流程示意圖��;
[0054]圖6是本發(fā)明一種實施方式中Radius認證方法中各個設(shè)備的報文交互流程示意圖��;
[0055]圖7是本發(fā)明一種實施方式中Radius服務(wù)器強制下線/改變授權(quán)流程的示意圖��?�!揪唧w實施方式】
[0056]請參考圖2��,為當(dāng)前Radius服務(wù)器集群組網(wǎng)示意圖��。為實現(xiàn)Radius服務(wù)器的負載均衡��,目前較為常見的做法是為Radius服務(wù)器集群設(shè)置負載均衡設(shè)備��,用于匯總所有NAS發(fā)送的報文��,并將其分配給Radius服務(wù)器集群中的各個Radius服務(wù)器節(jié)點��,再將各個Radius服務(wù)器節(jié)點返回的回應(yīng)報文轉(zhuǎn)發(fā)給對應(yīng)的NAS��。由于Radius服務(wù)器集群中各個節(jié)點之間的數(shù)據(jù)同步需要更為復(fù)雜的技術(shù)��,同時對服務(wù)器的資源占用較多,資源的開銷會隨著服務(wù)器節(jié)點數(shù)量的增加呈幾何級數(shù)增長��。因此��,在實際應(yīng)用中��,Radius服務(wù)器集群中各個節(jié)點的數(shù)據(jù)不會實時同步��。為了保證用戶從上線到下線的整個會話過程完整連貫��,這就需要負載均衡設(shè)備在保證盡可能地均勻分配Radius服務(wù)器節(jié)點的同時��,還要保證用戶在整個認證��、授權(quán)以及計費會話過程中��,所有的報文都分配到同一個Radius服務(wù)器上進行處理��。
[0057]具體地��,負載均衡設(shè)備根據(jù)源IP地址將不同NAS發(fā)送過來的請求報文分配到不同的Radius服務(wù)器上��,同時對不同NAS發(fā)送的請求報文使用不同的端口轉(zhuǎn)發(fā)��。當(dāng)Radius服務(wù)器返回響應(yīng)報文到該端口后��,負載均衡設(shè)備再將其轉(zhuǎn)發(fā)給對應(yīng)的NAS��。這樣��,就可以實現(xiàn)將同一個NAS發(fā)送的所有報文都轉(zhuǎn)發(fā)到同一臺Radius服務(wù)器上��。
[0058]然而��,這樣的方案在實現(xiàn)中存在一些難以避免的問題��。首先��,這種方式只適用于組網(wǎng)中NAS設(shè)備數(shù)量較多��,且每臺NAS設(shè)備上接入用戶數(shù)量也較為均勻的情況��。在NAS設(shè)備數(shù)量較少或者是NAS設(shè)備上接入用戶的數(shù)量差別較大的時候��,無法確保Radius服務(wù)器的負載均衡��。其次��,雖然在有些方案中負載均衡設(shè)備除了使用源IP作為負載分配的判斷條件外��,還加上報文的源端口號的判斷��。但是,NAS設(shè)備發(fā)送的各類請求報文要么全部使用固定的端口號��,要么使用完全隨機的端口號��,很少會為每一個接入用戶的一次完整會話分配一個固定的端口號��,因此��,這種改進的使用范圍也很小��。另外��,這樣的方案無法實現(xiàn)Radius服務(wù)器主動下發(fā)強制下線或者是改變授權(quán)流程的功能��。
[0059]除此之外,還有一些方案中使用專用的Radius協(xié)議負載均衡設(shè)備��。RADIUSC RemoteAuthentication Dial In User Service,遠程用戶撥號認證服務(wù))協(xié)議是最常見的NAS與AAA服務(wù)器間的通信協(xié)議��,用于完成接入用戶的身份認證��、網(wǎng)絡(luò)授權(quán)和計費��。使用專用的Radius協(xié)議負載均衡設(shè)備在判斷源IP地址的基礎(chǔ)上,增加了對Radius協(xié)議中Username
(I)以及Calling-Station-1D (31)等可以標識用戶身份屬性的判斷��。對同一個NAS發(fā)來的同一個用戶/終端的認證請求分配給同一個Radius服務(wù)器節(jié)點,在一定程度上改進了前述方案負載分配不均勻的問題��。
[0060]但是��,標識用戶身份的屬性并不一定可靠��。比如��,使用公共賬號的區(qū)域中會存在大量Username相同的會話,而通過三層技術(shù)接入網(wǎng)絡(luò)中的Calling-Station-1D屬性要么沒有��,要么就是固定值��。其次��,這樣的方案同時使用了網(wǎng)絡(luò)層(NAS的源IP地址)��、傳輸層(轉(zhuǎn)發(fā)報文時指定的源端口)以及應(yīng)用層(判斷Radius報文屬性)三種不同層次的內(nèi)容來實現(xiàn)負載均衡��,增加了軟件的復(fù)雜度��,也會影響負載均衡設(shè)備的處理效率��。同時��,為實現(xiàn)這樣的方案��,負載均衡設(shè)備上需要為每一個在線用戶維護一個按照用戶身份屬性標識來劃分的在線列表��,隨著用戶的上下線對其進行創(chuàng)建和刪除��,并且在每一次轉(zhuǎn)發(fā)報文時��,都需要查詢該表來確定轉(zhuǎn)發(fā)的目的Radius服務(wù)器節(jié)點��,資源開銷很大��,嚴重影響負載均衡設(shè)備的處理效率��。另外��,這樣的方案也無法實現(xiàn)Radius服務(wù)器主動下發(fā)強制下線或者是改變授權(quán)流程的功能��。
[0061]有鑒于此��,本發(fā)明提供一種Radius認證方案,利用RFC國際標準中對Radius協(xié)議報文的相關(guān)規(guī)定來實現(xiàn)Radius服務(wù)器集群中各個服務(wù)器節(jié)點的負載均衡��。
[0062]下面以軟件實現(xiàn)為例��,詳細描述本發(fā)明具體實現(xiàn)��。本發(fā)明提供的Radius認證裝置��,分別應(yīng)用在Radius服務(wù)器集群中的負載均衡設(shè)備以及各個Radius服務(wù)器上��。作為本發(fā)明裝置的運行載體��,所述負載均衡設(shè)備和Radius服務(wù)器的硬件環(huán)境通常至少包括有CPU��、內(nèi)存以及非易失性存儲器��,當(dāng)然還可能包括有轉(zhuǎn)發(fā)芯片以及I/O接口等硬件��。請參考圖3��、圖4和圖5��,運行在負載均衡設(shè)備上的所述裝置包括有:上行轉(zhuǎn)發(fā)單元以及下行轉(zhuǎn)發(fā)單元��。運行在Radius服務(wù)器上的所述裝置包括有:上行接收單元以及下行發(fā)送單元��。在一個示例性的實施方案中��,上述裝置在運行過程中執(zhí)行如下步驟:
[0063]步驟101��,負載均衡設(shè)備的上行轉(zhuǎn)發(fā)單元接收NAS發(fā)送給Radius服務(wù)器的上行報文��,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中��,在所述上行報文是首Access-Request報文時,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��。
[0064]步驟102��,Radius服務(wù)器的上行接收單元接收負載均衡設(shè)備轉(zhuǎn)發(fā)的NAS發(fā)送的上行報文��,所述上行報文的Proxy-State屬性中攜帶有對應(yīng)的NAS的標識信息��。
[0065]步驟103��,Radius服務(wù)器的下行發(fā)送單元發(fā)送響應(yīng)所述上行報文的下行報文給負載均衡設(shè)備��,所述下行報文的Proxy-State屬性中原樣攜帶有所述NAS標識信息��。
[0066]步驟104��,負載均衡設(shè)備的下行轉(zhuǎn)發(fā)單元接收Radius服務(wù)器響應(yīng)的下行報文��,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
[0067]RFC2865中對Radius協(xié)議報文屬性域Attributes字段中的33號屬性Proxy-State有規(guī)定:作為代理的服務(wù)器在轉(zhuǎn)發(fā)請求類報文時可以加上該屬性��,目的服務(wù)器在回應(yīng)報文中應(yīng)該原樣帶回該屬性��,代理服務(wù)器回應(yīng)給NAS時去掉該屬性��。本發(fā)明設(shè)計由負載均衡設(shè)備模擬代理Radius服務(wù)器,而Radius服務(wù)器集群中的各個Radius服務(wù)器就是該負載均衡設(shè)備要訪問的目的服務(wù)器��。
[0068]具體地��,負載均衡設(shè)備在接收到NAS發(fā)送的首個請求報文Access-Request時��,根據(jù)預(yù)設(shè)的負載均衡策略選取一個目的Radius服務(wù)器��,將所述首Access-Request報文轉(zhuǎn)發(fā)給所述目的Radius服務(wù)器��,以此來實現(xiàn)負載均衡��。同時��,負載均衡設(shè)備在將所述首Access-Request報文以及其他各類請求報文發(fā)送給Radius服務(wù)器時��,加上33號Proxy-State屬性��,并在該Proxy-State屬性中攜帶所述請求報文對應(yīng)的NAS信息��,比如-MS的IP地址和端口信息��。而當(dāng)負載均衡設(shè)備接收到Radius服務(wù)器返回的回應(yīng)報文時��,讀取報文中原樣帶回的33號Proxy-State屬性中的NAS信息��,將回應(yīng)報文去掉該Proxy-State屬性轉(zhuǎn)發(fā)給對應(yīng)的NAS,以此來實現(xiàn)同一個NAS發(fā)送的請求報文始終在一個Radius服務(wù)器上進行維護��。
[0069]其中��,所述預(yù)設(shè)的負載均衡策略是查看各個Radius服務(wù)器的負載數(shù)��,在本發(fā)明的一個示例性實施例中��,可以將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器��。具體地��,負載均衡設(shè)備可以在本機上維護Radius服務(wù)器集群中各個Radius服務(wù)器的負載數(shù)��。所述負載數(shù)用來表示來Radius服務(wù)器已經(jīng)處理NAS發(fā)送的用戶請求會話的數(shù)量��。所述上行轉(zhuǎn)發(fā)單元在將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器后��,將該Radius服務(wù)器的負載數(shù)加1��,所述下行轉(zhuǎn)發(fā)單元在所述下行報文是計費結(jié)束響應(yīng)報文時��,將對應(yīng)的Radius服務(wù)器的負載數(shù)減I��。通過負載數(shù)來記錄Radius服務(wù)器的負載情況簡單易行��,且不會占用負載均衡設(shè)備大量的資源��。當(dāng)然��,本領(lǐng)域技術(shù)人員也可以采用已知的其他負載均衡策略��,本發(fā)明對此不作特殊限制��。
[0070]進一步地��,所述Radius服務(wù)器在發(fā)送下行的響應(yīng)報文時��,在下行報文中攜帶自身的標識��。這樣��,當(dāng)負載均衡設(shè)備接收到NAS后續(xù)的發(fā)送的各類請求報文時��,可以根據(jù)報文中攜帶的Radius服務(wù)器標識將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。所述負載均衡設(shè)備就不需要在本機上維護NAS與Radius服務(wù)器的對應(yīng)關(guān)系��。
[0071]具體地��,本發(fā)明是利用RFC2865對Radius協(xié)議報文屬性域Attributes字段中的24號屬性State的規(guī)定:如果State屬性出現(xiàn)在Radius服務(wù)器回應(yīng)給NAS的某認證用戶的Code=Il的Access-Challenge報文中��,則NAS必須在該用戶后續(xù)的Access-Request報文中原樣攜帶該屬性��。以及��,RFC2865對Radius協(xié)議報文屬性域Attributes字段中25號屬性Class的規(guī)定:如果Class屬性出現(xiàn)在服務(wù)器回應(yīng)給NAS的某認證用戶的Code=2的Access-Accept報文中��,則NAS必須在該用戶的后續(xù)所有Code=4的Accounting-Request計費請求中原樣攜帶該屬性��。這樣��,Radius服務(wù)器的所述下行發(fā)送單元將自身的標識添加到Access-Challenge報文中的24號State屬性中以及Access-Accept報文中的24號State屬性和25號Class屬性中��,NAS后續(xù)再發(fā)送Access-Request報文以及Accounting-Request報文時��,其中的State或Class屬性中就會攜帶有Radius服務(wù)器標識��。負載均衡設(shè)備根據(jù)該Radius服務(wù)器標識就可以把Access-Request報文以及Accounting-Request報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。其中��,所述Radius服務(wù)器標識包括但不限于Radius服務(wù)器IP地址等可以識別Radius服務(wù)器身份的屬性��。
[0072]更進一步地��,本發(fā)明的提供的技術(shù)方案還支持Radius服務(wù)器主動發(fā)送強制用戶下線或者是改變用戶授權(quán)流程的功能��。具體地,根據(jù)RFC3576對Radius協(xié)議報文屬性域Attributes字段中的24號屬性State的規(guī)定:如果State屬性出現(xiàn)在服務(wù)器下發(fā)給NAS的某認證用戶的Code=40/43的Disconnect-Request/CoA-Request報文中��,則NAS必須在回應(yīng)該用戶的Code=41/42/44/45的ACK或NAK報文中原樣攜帶��。Radius服務(wù)器可以在下發(fā)Disconnect-Request/CoA-Request報文時,在24號State屬性中添加自身的標識以及對應(yīng)的NAS標識信息后發(fā)送給負載均衡設(shè)備��。負載均衡設(shè)備根據(jù)所述NAS標識信息將上述報文轉(zhuǎn)發(fā)給對應(yīng)的NAS��。而負載均衡設(shè)備在接收到NAS發(fā)送的ACK或NAK響應(yīng)報文中��,根據(jù)ACK或NAK響應(yīng)報文24號State屬性中原樣攜帶的所述Radius服務(wù)器標識將其再轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��,以此來實現(xiàn)強制下線或者是改變授權(quán)的流程��。
[0073]下面以一次實際的Radius認證流程來描述本發(fā)明��。請參考圖6��,在一個示例性的實施方案中��,本發(fā)明提供的Radius認證流程包括以下步驟:
[0074]步驟601,用戶上線��,NAS發(fā)送首Access-Request認證請求報文給負載均衡設(shè)備��。
[0075]步驟602,負載均衡設(shè)備在所述首Access-Request認證請求報文的33號Proxy-State屬性中添加所述NAS的標識信息,并將所述首Access-Request認證請求報文轉(zhuǎn)發(fā)給當(dāng)前負載數(shù)最小的Radius服務(wù)器��,然后將本機上維護的該Radius服務(wù)器負載數(shù)加
1
[0076]步驟603, Radius服務(wù)器回應(yīng)Access-Challenge報文給負載均衡設(shè)備,要求NAS繼續(xù)上傳信息��,并在Access-Challenge報文的24號State屬性中攜帶自身的標識��,同時33號Proxy-State屬性中攜帶的NAS標識信息不變��。
[0077]步驟604,負載均衡設(shè)備接收到Access-Challenge報文后��,根據(jù)33號Proxy-State屬性中攜帶的NAS標識信息將所述Access-Challenge報文去掉該33號Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS,在這個過程中��,該Access-Challenge報文的24號State屬性中攜帶的Radius服務(wù)器標識不變��。
[0078]步驟605, NAS再次發(fā)送Access-Request報文給負載均衡設(shè)備��,所述Access-Request報文24號State屬性中攜帶的Radius服務(wù)器標識不變��。
[0079]步驟606,負載均衡設(shè)備根據(jù)所述Access-Request報文中攜帶的Radius服務(wù)器標識在所述Access-Request報文的33號Proxy-State屬性中再添加NAS標識信息后將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0080]步驟607, Radius服務(wù)器如果驗證用戶信息通過,則發(fā)送Access-Accept報文給負載均衡設(shè)備��,并在Access-Accept報文的24號State屬性和25號Class屬性中添加自身標識��,同時33號Proxy-State屬性中攜帶的NAS標識信息不變��。如果驗證信息不通過,則發(fā)送Access-Reject報文給負載均衡設(shè)備��,所述Access-Re ject報文的33號Proxy-State屬性中攜帶的NAS標識信息不變��。
[0081]步驟608,負載均衡設(shè)備根據(jù)33號Proxy-State屬性中攜帶的NAS標識信息將所述Access-Accept報文或者是Access-Reject報文去掉33號Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS,在這個過程中��,所述Access-Accept報文24號State屬性和25號Class屬性中攜帶的Radius服務(wù)器標識不變��。
[0082]步驟609, NAS在接收到Access-Accept報文后發(fā)送計費開始Accounting-Request(start)報文給負載均衡設(shè)備,所述Accounting-Request (start)報文的25號Class屬性中原樣攜帶有Radius服務(wù)器標識��。
[0083]步驟610,負載均衡設(shè)備根據(jù)所述Accounting-Request (start)報文25號Class屬性中攜帶的Radius服務(wù)器標識在所述Accounting-Request (start)報文的33號Proxy-State屬性中添加NAS標識信息后將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0084]步驟611, Radius服務(wù)器發(fā)送Accounting-Response (start)報文給負載均衡設(shè)備��,所述Accounting-Response (start)報文33號Proxy-State屬性中攜帶的NAS標識信息不變��。
[0085]步驟612,負載均衡設(shè)備根據(jù)33號Proxy-State屬性中攜帶的NAS標識信息將所述Accounting-Response (start)報文去掉33號Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
[0086]步驟613,用戶下線��,NAS設(shè)備發(fā)送計費結(jié)束Accounting-Request (stop)報文給負載均衡設(shè)備��,所述Accounting-Request (stop)報文的25號Class屬性中原樣攜帶有Radius服務(wù)器標識��。
[0087]步驟614,負載均衡設(shè)備根據(jù)所述Accounting-Request (stop)報文25號Class屬性中攜帶的Radius服務(wù)器標識在所述Accounting-Request (stop)報文的Proxy-State屬性中添加NAS標識信息后將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0088]步驟615, Radius服務(wù)器發(fā)送Accounting-Response (stop)報文給負載均衡設(shè)備��,所述Accounting-Response (stop)報文的33號Proxy-State屬性中攜帶的NAS標識信息不變��。[0089]步驟616,負載均衡設(shè)備根據(jù)33號Proxy-State屬性中攜帶的NAS標識信息將所述Accounting-Response (stop)報文去掉Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS,并將該Radius服務(wù)器的負載數(shù)減I��。
[0090]請參考圖7��,本發(fā)明一種實施方式中Radius服務(wù)器強制用戶下線或者是改變授權(quán)流程的過程包括有:
[0091]步驟701, Radius 服務(wù)器發(fā)送 Disconnect-Request/CoA-Request 報文給負載均衡設(shè)備��。所述Disconnect-Request/CoA-Request報文24號State屬性中攜帶有自身標識以及對應(yīng)的NAS標識信息后發(fā)送給負載均衡設(shè)備��。
[0092]步驟702��,負載均衡設(shè)備根據(jù)24號State屬性中攜帶的NAS標識信息將Disconnect-Request/CoA-Request 報文轉(zhuǎn)發(fā)給對應(yīng)的 NAS��。
[0093]步驟703, NAS 發(fā)送響應(yīng)所述 Disconnect-Request/CoA-Request 報文的 ACK 或者NAK報文��,所述ACK或者NAK報文24號State屬性中原樣攜帶有Radius服務(wù)器標識以及NAS標識/[目息��。
[0094]步驟704��,負載均衡設(shè)備根據(jù)24號State屬性中攜帶的Radius服務(wù)器標識將所述ACK或者NAK報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
[0095]由以上描述可以看出��,本發(fā)明利用RFC國際標準中對Radius協(xié)議報文的相關(guān)規(guī)定,以此來實現(xiàn)Radius服務(wù)器集群中各個Radius服務(wù)器節(jié)點的負載均衡��。
[0096]以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)��,所做的任何修改��、等同替換��、改進等��,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)��。
【權(quán)利要求】
1.一種Radius認證的裝置��,應(yīng)用在Radius服務(wù)器集群中的負載均衡設(shè)備上��,其特征在于��,所述裝置包括: 上行轉(zhuǎn)發(fā)單元��,用于接收網(wǎng)絡(luò)接入設(shè)備NAS發(fā)送給Radius服務(wù)器的上行報文��,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中,在所述上行報文是首Access-Request報文時,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��; 下行轉(zhuǎn)發(fā)單元��,用于接收Radius服務(wù)器響應(yīng)的下行報文��,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
2.根據(jù)權(quán)利要求1所述的裝置��,其特征在于��, 所述下行報文中攜帶有Radius服務(wù)器標識��; 所述上行轉(zhuǎn)發(fā)單元��, 在所述上行報文不是首Access-Request報文時,根據(jù)所述上行報文中攜帶的Radius服務(wù)器標識將所述上行報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
3.根據(jù)權(quán)利要求1所述的裝置��,其特征在于��, 所述下行轉(zhuǎn)發(fā)單元��,進一步用于: 接收Radius服務(wù)器主動發(fā)送的Disconnect-Request/CoA-Request報文��,并根據(jù)所述Disconnect-Request/CoA-Request報文State屬性中攜帶的NAS標識信息將其轉(zhuǎn)發(fā)給對應(yīng)的 NAS ��; 所述上行轉(zhuǎn)發(fā)單元��,進一步用于: 接收NAS針對所述Disconnect-Request/CoA-Request報文發(fā)送的ACK/NAK報文��,并根據(jù)所述ACK/NAK報文State屬性中攜帶的Radius服務(wù)器標識將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
4.根據(jù)權(quán)利要求1所述的裝置��,其特征在于��, 所述上行轉(zhuǎn)發(fā)單元將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器的過程包括: 查看各個Radius服務(wù)器的負載數(shù),將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器��; 所述上行轉(zhuǎn)發(fā)單元��,進一步用于: 將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器后,將該Radius服務(wù)器的負載壓力數(shù)加I ; 所述下行轉(zhuǎn)發(fā)單元��,進一步用于在所述下行報文是計費結(jié)束響應(yīng)報文時��,將對應(yīng)的Radius服務(wù)器的負載壓力數(shù)減I��。
5.一種Radius認證的裝置��,應(yīng)用在Radius服務(wù)器上��,其特征在于,所述裝置包括: 上行接收單元��,用于接收負載均衡設(shè)備轉(zhuǎn)發(fā)的NAS發(fā)送的上行報文��,所述上行報文的Proxy-State屬性中攜帶有對應(yīng)的NAS的標識信息��; 下行發(fā)送單元��,用于發(fā)送響應(yīng)所述上行報文的下行報文給負載均衡設(shè)備��,所述下行報文的Proxy-State屬性中原樣攜帶有所述NAS標識信息��。
6.根據(jù)權(quán)利要求5所述的裝置��,其特征在于��,所述下行發(fā)送單元��,進一步用于將自身標識添加到Access-Challenge報文State屬性中以及Access-Accept報文State屬性和Class屬性中發(fā)送給負載均衡設(shè)備��。
7.根據(jù)權(quán)利要求5所述的裝置��,其特征在于��, 所述下行發(fā)送單元��,進一步用于在Disconnect-Request/CoA-Request報文的State屬性中添加自身標識以及對應(yīng)的NAS標識信息后發(fā)送給負載均衡設(shè)備��。
8.—種Radius認證的方法,應(yīng)用在Radius服務(wù)器集群中的負載均衡設(shè)備上,其特征在于��,所述方法包括: 接收網(wǎng)絡(luò)接入設(shè)備NAS發(fā)送給Radius服務(wù)器的上行報文��,并將所述NAS的標識信息添加到所述上行報文的Proxy-State屬性中��,在所述上行報文是首Access-Request報文時��,將所述首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器��;接收Radius服務(wù)器響應(yīng)的下行報文,根據(jù)所述下行報文中Proxy-State屬性攜帶的NAS標識信息將所述下行報文去掉該Proxy-State屬性后轉(zhuǎn)發(fā)給對應(yīng)的NAS��。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于��, 所述下行報文中攜帶有Radius服務(wù)器標識��; 所述方法還包括: 在所述上行報文不是首Access-Request報文時,根據(jù)所述上行報文中攜帶的Radius服務(wù)器標識將所述上行報文轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
10.根據(jù)權(quán)利要求8所述的`方法��,其特征在于��,所述方法還包括: 接收Radius服務(wù)器主動發(fā)送的Disconnect-Request/CoA-Request報文,并根據(jù)所述Disconnect-Request/CoA-Request報文State屬性中攜帶的NAS標識信息將其轉(zhuǎn)發(fā)給對應(yīng)的 NAS ��; 接收NAS針對所述Disconnect-Request/CoA-Request報文發(fā)送的ACK/NAK報文��,并根據(jù)所述ACK/NAK報文State屬性中攜帶的Radius服務(wù)器標識將其轉(zhuǎn)發(fā)給對應(yīng)的Radius服務(wù)器��。
11.根據(jù)權(quán)利要求8所述的方法��,其特征在于��, 所述將首Access-Request報文轉(zhuǎn)發(fā)給根據(jù)預(yù)設(shè)的負載均衡策略選取的Radius服務(wù)器的過程包括: 查看各個Radius服務(wù)器的負載數(shù),將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器��; 所述方法還包括: 將所述首Access-Request報文轉(zhuǎn)發(fā)給負載數(shù)最小的Radius服務(wù)器后,將該Radius服務(wù)器的負載壓力數(shù)加I ; 在所述下行報文是計費結(jié)束響應(yīng)報文時��,將對應(yīng)的Radius服務(wù)器的負載壓力數(shù)減I��。
12.—種Radius認證的方法,應(yīng)用在Radius服務(wù)器上,其特征在于,所述方法包括: 接收負載均衡設(shè)備轉(zhuǎn)發(fā)的NAS發(fā)送的上行報文��,所述上行報文的Proxy-State屬性中攜帶有對應(yīng)的NAS的標識信息��; 發(fā)送響應(yīng)所述上行報文的下行報文給負載均衡設(shè)備��,所述下行報文的Proxy-State屬性中原樣攜帶有所述NAS標識信息��。
13.根據(jù)權(quán)利要求12所述的方法��,其特征在于��,所述方法還包括:將自身標識添加到Access-Challenge報文State屬性中以及Access-Accept報文State屬性和Class屬性中發(fā)送給負載均衡設(shè)備��。
14.根據(jù)權(quán)利要求12所述的方法��,其特征在于��,所述方法還包括: 在Disconnect-Request/CoA-Request報文的State屬性中添加自身標識以及對應(yīng)的NAS標識信息后發(fā)送 給負載均衡設(shè)備��。
【文檔編號】H04L29/08GK103873585SQ201410113411
【公開日】2014年6月18日 申請日期:2014年3月25日 優(yōu)先權(quán)日:2014年3月25日
【發(fā)明者】黃學(xué)軍 申請人:杭州華三通信技術(shù)有限公司