CN107547501B - 身份认证方法及装置 - Google Patents

Abstract

本公开涉及一种身份认证方法及装置。该方法应用于BRAS中，包括：在BRAS与客户端之间为三层连接，且客户端满足身份认证条件的情况下，获取客户端的发出报文中携带的客户端IP地址；获取来自DHCP服务器的客户端IP地址与MAC地址的映射对；基于IP地址以及映射对，获取客户端的MAC地址。本公开的实施例能够获取客户端发出报文中携带的客户端IP地址，并基于IP地址与MAC地址的映射对获取客户端的MAC地址，从而自动进行MAC身份认证，避免用户手动输入认证信息，实现用户上网时的无感知认证。

Description

身份认证方法及装置

技术领域

本公开涉及通信技术领域，尤其涉及一种身份认证方法及装置。

背景技术

随着互联网(Internet)市场的不断发展，人们对通信的需求已从传统的电话、传真、电报等低速业务逐渐向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸，用户对上网速率的需求越来越高，传统拨号调制解调器(Modem)的低速上网方式已无法满足用户需求。与此同时，接入到城域网的用户越来越多，用户的业务需求也日益膨胀，宽带城域网面临着向多业务承载网方向的发展趋势。

在这种情况下，在相关技术中采用了BRAS(Broadband Remote Access Server，宽带接入服务器)，以便对用户接入的合法性进行验证，对接入用户进行有效的管理，对用户使用的业务进行管理与控制。BRAS具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理功能，并能提供丰富灵活的业务及控制功能，与其他通信产品组合在一起，即可提供一个“可管理、可运营、可盈利”的宽带城域网解决方案。其中，Portal是实现BRAS功能的技术之一，Portal认证可以通过Web页面接受用户输入的认证信息(例如用户名和密码)，对用户进行身份认证，从而可以在接入层以及需要保护的关键数据入口处实施访问控制。

发明内容

有鉴于此，本公开提出了一种身份认证方法。

根据本公开的一方面，提供了一种身份认证方法，所述方法应用于宽带接入服务器BRAS中，包括：

在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址；

获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

基于所述IP地址以及所述映射对，获取所述客户端的MAC地址。

根据本公开的另一方面，提供了一种身份认证方法，所述方法应用于DHCP服务器中，包括：

响应于来自宽带接入服务器BRAS的客户端IP地址分配请求，为所述客户端分配IP地址；

在为客户端成功分配IP地址的情况下，将所述客户端IP地址与MAC地址的映射对发送到BRAS，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

根据本公开的另一方面，提供了一种身份认证装置，所述装置应用于宽带接入服务器BRAS中，包括：

IP地址获取模块，用于在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址；

映射对获取模块，用于获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

MAC地址获取模块，用于基于所述IP地址以及所述映射对，获取所述客户端的MAC地址。

根据本公开的另一方面，提供了一种身份认证装置，所述装置应用于DHCP服务器中，包括：

地址分配模块，用于响应于来自宽带接入服务器BRAS的客户端IP地址分配请求，为所述客户端分配IP地址；

映射对发送模块，用于在为客户端成功分配IP地址的情况下，将所述客户端IP地址与MAC地址的映射对发送到BRAS，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

根据本公开实施例的身份认证方法及装置，能够在BRAS与客户端之间为三层连接且客户端满足身份认证条件时，获取客户端发出报文中携带的客户端IP地址，并且基于客户端IP地址与MAC地址的映射对获取客户端的MAC地址，从而自动进行MAC身份认证请求，避免用户手动输入认证信息，实现用户上网时的无感知认证。

根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。

图1是根据一示例性实施例示出的一种身份认证方法的流程图。

图2是根据一示例性实施例示出的一种身份认证方法的应用场景的示意图。

图3是根据一示例性实施例示出的一种身份认证方法的流程图。

图4是根据一示例性实施例示出的一种身份认证方法的步骤12的流程图。

图5是根据一示例性实施例示出的一种身份认证方法的流程图。

图6是根据一示例性实施例示出的一种身份认证方法的流程图。

图7是根据一示例性实施例示出的一种身份认证装置的框图。

图8是根据一示例性实施例示出的一种身份认证装置的框图。

图9是根据一示例性实施例示出的一种身份认证装置的框图。

具体实施方式

以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。

图1是根据一示例性实施例示出的一种身份认证方法的流程图。该实施例的身份认证方法可应用于宽带接入服务器BRAS中。如图1所示，该方法包括：

步骤S11，在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址；

步骤S12，获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

步骤S13，基于所述IP地址以及所述映射对，获取所述客户端的MAC地址。

根据本公开的实施例，能够在BRAS与客户端之间为三层连接且客户端满足身份认证条件时，获取客户端发出报文中携带的客户端IP地址，并且基于客户端IP地址与MAC地址的映射对获取客户端的MAC地址，从而自动进行MAC身份认证请求，避免用户手动输入认证信息，实现用户上网时的无感知认证。根据本公开的实施例能够降低无感知方案部署时的认证客户端和BRAS之间的组网要求，兼容二层组网连接与三层组网连接，使得方案部署更容易，从而改善用户的体验。

图2是根据一示例性实施例示出的一种身份认证方法的应用场景的示意图。如图2所示，宽带接入服务器BRAS 22可以与DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)服务器25建立通信连接。其中，DHCP服务器25用于为网络设备动态地分配IP地址等网络配置参数。DHCP服务器25采用客户端/服务器通信模式，由客户端向服务器提出请求分配网络配置参数的申请，服务器返回为客户端分配的IP地址等配置信息，以实现IP地址等信息的动态配置。其中，DHCP服务器25也可以是BRAS 22上的内置DHCP服务程序或离客户端最近的DHCP中继(DHCP relay)，本公开对此不作限制。

图3是根据一示例性实施例示出的一种身份认证方法的流程图。该实施例的身份认证方法可应用于宽带接入服务器BRAS中。如图3所示，该方法还包括：

步骤S14，响应于客户端的网络通信请求，向DHCP服务器申请IP地址；

步骤S15，在向DHCP服务器申请IP地址成功的情况下，在BRAS本地保存来自所述DHCP服务器的所述客户端IP地址与MAC地址的映射对，

其中，步骤12可包括：从BRAS本地读取所述映射对。

举例来说，在用户通过客户端21接入网络时，客户端21可以发起网络通信请求。响应于客户端21的网络通信请求，BRAS 22可以向DHCP服务器25申请客户端21的IP地址。例如，根据客户端21的接入信息(例如接口)，BRAS22可以查找到与客户端21对应的域(domain)；根据客户端21对应的域，BRAS22可以查找到对应的DHCP服务器25，从而可以从DHCP服务器25申请到客户端21的IP地址。

在其中一种实现方式中，在DHCP服务器25为客户端21成功分配IP地址后，DHCP服务器25可以记录客户端21的IP地址与客户端21的MAC地址的映射对，并且，DHCP服务器25可以将该映射对发送给BRAS 22。BRAS 22可以根据自身的配置，查看DHCP服务器25是否为与客户端21对应的域的DHCP服务器。如果DHCP服务器25是与客户端21对应的域的DHCP服务器，则BRAS 22可以在本地保存来自DHCP服务器25的该映射对；如果DHCP服务器25不是与客户端21对应的域的DHCP服务器，则可以丢弃该映射对所在的报文。这样，可以仅保存客户端21所对应的域的DHCP服务器发来的映射对，降低存储压力。

在其中一种实现方式中，在客户端21的网络访问流量在一定时间内达到一定阈值时，可以认为客户端21满足身份认证条件，可以对客户端21进行身份认证。BRAS 22可以获取客户端21的MAC地址，以便基于客户端21的MAC地址向AAA(Authentication、Authorization、Accounting，认证、授权、计费)认证服务器24发起MAC身份认证请求。其中，AAA认证服务器24提供了认证、授权、计费三种网络安全管理功能。认证：确认访问网络的远程用户的身份，判断访问者是否为合法的网络用户；授权：对不同用户赋予不同的权限，限制用户可以使用的服务。例如，管理员授权办公用户才能对服务器中的文件进行访问和打印操作，而其它临时访客不具备此权限；计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。

在其中一种实现方式中，如果BRAS 22与客户端21之间为三层连接，则客户端21的发出报文中的SMAC地址为上层路由器的MAC地址，导致无法直接查找到客户端21的MAC地址；而客户端21的发出报文中的SIP地址即为客户端21的IP地址。因此，BRAS 22可以获取客户端21发出报文中携带的客户端21的IP地址(SIP地址)。这样，BRAS 22可以从本地读取映射对，并基于客户端21的IP地址对映射对进行查找，就可以查找到客户端21的MAC地址。

在其中一种实现方式中，在AAA认证服务器24接收到来自BRAS 22的MAC身份认证请求时，可以判断客户端21的MAC地址是否为已与用户认证信息绑定的MAC地址。如果客户端21的MAC地址是已与用户认证信息绑定的MAC地址，则可以告知BRAS 22MAC身份认证请求通过，BRAS 22可以放行客户端21的网络通信请求，用户可以通过客户端21正常上网。

通过本公开实施例的方式，可以在BRAS本地保存来自DHCP服务器的客户端IP地址与MAC地址的映射对，基于IP地址以及映射对获取客户端的MAC地址，以便进行MAC身份认证，避免用户输入认证信息，实现用户上网时的无感知认证，从而提升用户体验。

反之，在根据相关技术进行身份认证时，在BRAS中未存储客户端IP地址与MAC地址的映射对，因此在BRAS与客户端之间为三层连接时，BRAS无法获取到客户端的MAC地址，导致MAC身份认证请求失败，用户需要输入认证信息，无法实现无感知认证，导致用户体验变差。

图4是根据一示例性实施例示出的一种身份认证方法的步骤12的流程图。该实施例的身份认证方法可应用于宽带接入服务器BRAS中。如图4所示，步骤12可包括：

步骤S121，向DHCP服务器发送所述客户端IP地址与MAC地址的映射对的查询请求；

步骤S122，接收来自所述DHCP服务器的所述映射对。

举例来说，在用户通过客户端21接入网络时，客户端21可以发起网络通信请求。响应于客户端21的网络通信请求，BRAS 22可以向DHCP服务器25申请客户端21的IP地址。例如，根据客户端21的接入信息(例如接口)，BRAS22可以查找到与客户端21对应的域(domain)；根据客户端21对应的域，BRAS22可以查找到对应的DHCP服务器25，从而可以从DHCP服务器25申请到客户端21的IP地址。

在其中一种实现方式中，在DHCP服务器25为客户端21成功分配IP地址后，DHCP服务器25可以记录客户端21的IP地址与客户端21的MAC地址的映射对，但不将该映射对发送给BRAS 22。

在其中一种实现方式中，在客户端21的网络访问流量在一定时间内达到一定阈值时，可以认为客户端21满足身份认证条件，可以对客户端21进行身份认证。BRAS 22可以获取客户端21的MAC地址，以便基于客户端21的MAC地址向AAA认证服务器24发起MAC身份认证请求。

在其中一种实现方式中，如果BRAS 22与客户端21之间为三层连接，则客户端21的发出报文中的SMAC地址为上层路由器的MAC地址，导致无法直接查找到客户端21的MAC地址；而客户端21的发出报文中的SIP地址即为客户端21的IP地址。因此，BRAS 22可以获取客户端21发出报文中携带的客户端21的IP地址(SIP地址)，并且，向DHCP服务器24发送客户端IP地址与MAC地址的映射对的查询请求。

在其中一种实现方式中，DHCP服务器25响应于BRAS 22的查询请求，可以向BRAS22发送客户端IP地址与MAC地址的映射对。BRAS 22在接收到映射对时，可以基于客户端21的IP地址，对来自DHCP服务器25的映射对进行查找匹配，就可以匹配到客户端21的MAC地址。

在其中一种实现方式中，在AAA认证服务器24接收到来自BRAS 22的MAC身份认证请求时，可以判断客户端21的MAC地址是否为已与用户认证信息绑定的MAC地址。如果客户端21的MAC地址是已与用户认证信息绑定的MAC地址，则可以告知BRAS 22MAC身份认证请求通过，BRAS 22可以放行客户端21的网络通信请求，用户可以通过客户端21正常上网。

通过本公开实施例的方式，可以在满足身份认证条件时向DHCP服务器发送映射对查询请求以获取映射对，并基于IP地址及映射对获取客户端的MAC地址，以便进行MAC身份认证，避免用户输入认证信息，实现用户上网时的无感知认证，从而提升用户体验。

反之，在根据相关技术进行身份认证时，在BRAS无法向DHCP服务器发送映射对查询请求以获取映射对，因此在BRAS与客户端之间为三层连接时，BRAS无法获取到客户端的MAC地址，导致MAC身份认证请求失败，用户需要输入认证信息，无法实现无感知认证，导致用户体验变差。

在其中一种实现方式中，在AAA认证服务器24接收到来自BRAS 22的MAC身份认证请求时，可以判断客户端21的MAC地址是否为已与用户认证信息绑定的MAC地址。如果客户端21的MAC地址不是已与用户认证信息绑定的MAC地址，则AAA认证服务器24可以判断无MAC绑定，为客户端21首次上网，可以告知BRAS 22MAC身份认证请求失败(不通过)，BRAS 22不放行客户端21的网络通信请求。

在该情况下，如果用户通过浏览器访问任意网址，则BRAS 22可以重定向到Portal网页(Web)服务器23，并将客户端21的MAC地址发送给Portal网页服务器23。Portal网页服务器23可以在浏览器的网页中弹出认证页面，以供用户输入用户认证信息(例如用户名和密码等)。其中，重定向可以指将客户端21的网络请求(访问任意网址)重新定向转到其它网络位置(Portal网页服务器23的认证页面)。用户在认证页面上输入用户认证信息并确认后，Portal网页服务器23可以将客户端21的用户认证信息以及来自BRAS 22的MAC地址发送到AAA认证服务器24，向AAA认证服务器24发起MAC身份认证请求。

在其中一种实现方式中，AAA认证服务器24可以对用户认证信息进行验证，如果用户认证信息验证通过，则将客户端21的MAC地址确定为与该用户认证信息绑定的MAC地址，并告知BRAS 22MAC身份认证请求通过，BRAS22可以放行客户端21的网络通信请求，用户可以通过客户端21正常上网。如果用户认证信息验证不通过(例如密码错误)，则告知BRAS22MAC身份认证请求失败，BRAS 22不放行客户端21的网络通信请求。

本领域技术人员应当理解，可以采用相关技术中的各种公知的方法实现上述MAC身份认证请求失败后的处理流程，本公开对此不做限制。

图5是根据一示例性实施例示出的一种身份认证方法的流程图。该实施例的身份认证方法可应用于宽带接入服务器BRAS中。如图5所示，所述方法还包括：

步骤S16，在接收到所述DHCP服务器释放所述IP地址的通知报文时，从BRAS本地删除所述映射对。

举例来说，在BRAS 22本地存储有来自DHCP服务器22的客户端IP地址与MAC地址的映射对的情况下，如果DHCP服务器25释放了分配给客户端21的IP地址，则客户端21再次访问时，可以由DHCP服务器25分配新的IP地址。在该情况下，客户端21的IP地址与MAC地址的对应关系(映射对)发生变化，无法再根据保存在BRAS 22中的映射对查找客户端21的MAC地址。此时，DHCP服务器25可以在释放IP地址时向BRAS 22发送通知报文，通知该IP地址已经被释放。这样，BRAS 22可以从本地删除映射对。

通过这种方式，可以删除无效的映射对，降低存储压力。

图6是根据一示例性实施例示出的一种身份认证方法的流程图。该实施例的身份认证方法可应用于DHCP服务器中。如图6所示，该方法包括：

步骤S61，响应于来自宽带接入服务器BRAS的客户端IP地址分配请求，为所述客户端分配IP地址；

步骤S62，在为客户端成功分配IP地址的情况下，将所述客户端IP地址与MAC地址的映射对发送到BRAS，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

举例来说，如图2所示，在用户通过客户端21接入网络时，客户端21可以发起网络通信请求。响应于客户端21的网络通信请求，BRAS 22可以向DHCP服务器25申请客户端21的IP地址。DHCP服务器25响应于来自BRAS 22的客户端IP地址分配请求，可以为客户端21分配IP地址。

在其中一种实现方式中，在为客户端21成功分配IP地址的情况下，DHCP服务器25可以将客户端21的IP地址与MAC地址的映射对发送到BRAS。这样，在BRAS 22与客户端21之间为三层连接，且客户端21满足身份认证条件时，BRAS 22能够基于该映射对获取客户端的MAC地址，进而向AAA认证服务器24发起MAC身份认证请求。

在其中一种实现方式中，步骤S62可包括：响应于BRAS针对客户端IP地址与MAC地址的映射对的查询请求，向所述BRAS发送所述映射对，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。举例来说，在在DHCP服务器25为客户端21成功分配IP地址后，DHCP服务器25可以记录客户端21的IP地址与客户端21的MAC地址的映射对。在客户端21满足身份认证条件时，BRAS 22可以向DHCP服务器24发送客户端IP地址与MAC地址的映射对的查询请求。DHCP服务器25响应于该查询请求，可以向所述BRAS发送所述映射对，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

在其中一种实现方式中，方法还可包括：在释放所述IP地址时，向BRAS发送通知报文。举例来说，在BRAS 22本地存储有来自DHCP服务器22的客户端IP地址与MAC地址的映射对的情况下，如果DHCP服务器25释放了分配给客户端21的IP地址，则可以向BRAS 22发送通知报文，通知该IP地址已经被释放。这样，BRAS 22可以从本地删除映射对。

根据本公开的实施例，能够为客户端分配IP地址，并将客户端IP地址与MAC地址的映射对发送到BRAS，以使所BRAS基于映射对获取客户端的MAC地址，从而进行MAC身份认证，避免用户手动输入认证信息，实现用户上网时的无感知认证。

与前述身份认证方法实施例相对应，本公开还提供了身份认证装置的实施例。图7是根据一示例性实施例示出的一种身份认证装置的框图。该实施例的身份认证装置可应用于宽带接入服务器BRAS中。如图7所示，该身份认证装置包括：

IP地址获取模块71，用于在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址；

映射对获取模块72，用于获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

MAC地址获取模块73，用于基于所述IP地址以及所述映射对，获取所述客户端的MAC地址。

在其中一种实现方式中，所述装置还包括：

地址申请模块，用于响应于客户端的网络通信请求，向DHCP服务器申请IP地址；

映射对保存模块，用于在向DHCP服务器申请IP地址成功的情况下，在BRAS本地保存来自所述DHCP服务器的所述客户端IP地址与MAC地址的映射对，

其中，所述映射对获取模块72具体用于：从BRAS本地读取所述映射对。

在其中一种实现方式中，所述映射对获取模块72具体用于：

向DHCP服务器发送所述客户端IP地址与MAC地址的映射对的查询请求；

接收来自所述DHCP服务器的所述映射对。

在其中一种实现方式中，所述装置还包括：

映射对删除模块，用于在接收到所述DHCP服务器释放所述IP地址的通知报文时，从BRAS本地删除所述映射对。

根据本公开的实施例，能够在BRAS与客户端之间为三层连接且客户端满足身份认证条件时，获取客户端发出报文中携带的客户端IP地址，并且基于客户端IP地址与MAC地址的映射对获取客户端的MAC地址，从而自动进行MAC身份认证请求，避免用户手动输入认证信息，实现用户上网时的无感知认证。

与前述身份认证方法实施例相对应，本公开还提供了身份认证装置的实施例。图8是根据一示例性实施例示出的一种身份认证装置的框图。该实施例的身份认证装置可应用于DHCP服务器中。如图8所示，该身份认证装置包括：

地址分配模块81，用于响应于来自宽带接入服务器BRAS的客户端IP地址分配请求，为所述客户端分配IP地址；

映射对发送模块82，用于在为客户端成功分配IP地址的情况下，将所述客户端IP地址与MAC地址的映射对发送到BRAS，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

在其中一种实现方式中，所述映射对发送模块82具体用于：

响应于BRAS针对客户端IP地址与MAC地址的映射对的查询请求，向所述BRAS发送所述映射对，以使所述BRAS基于所述映射对获取所述客户端的MAC地址。

在其中一种实现方式中，所述装置还包括：

报文发送模块，用于在释放所述IP地址时，向BRAS发送通知报文。

根据本公开的实施例，能够为客户端分配IP地址，并将客户端IP地址与MAC地址的映射对发送到BRAS，以使BRAS基于映射对获取客户端的MAC地址，从而进行MAC身份认证，避免用户手动输入认证信息，实现用户上网时的无感知认证。

本公开实施例的身份认证装置可应用于宽带接入服务器BRAS或DHCP服务器中。该装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图9所示，为本公开的身份认证装置所在设备的一种硬件结构示意图，除了图9所示的处理组件、电源组件、网络接口、输入输出接口及存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等；从硬件结构上来讲该设备还可能是分布式的设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。

图9是根据一示例性实施例示出的一种用于身份认证装置的设备1900的框图。例如，装置1900可以被提供为一宽带接入服务器BRAS或一DHCP服务器。参照图9，装置1900包括处理组件1922，其进一步包括一个或多个处理器，以及由存储器1932所代表的存储器资源，用于存储可由处理组件1922的执行的指令，例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1922被配置为执行指令，以执行上述方法。

装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理，一个有线或无线网络接口1950被配置为将装置1900连接到网络，和一个输入输出(I/O)接口1958。装置1900可以操作基于存储在存储器1932的操作系统，例如Windows ServerTM，MacOS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

在示例性实施例中，还提供了一种包括指令的非易失性计算机可读存储介质，例如包括指令的存储器1932，上述指令可由装置1900的处理组件1922执行以完成上述方法。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (8)

1.一种身份认证方法，其特征在于，所述方法应用于宽带接入服务器BRAS中，包括：

在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址，所述身份认证条件包括所述客户端的网络访问流量在指定时间内达到指定阈值；

获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

基于所述IP地址以及所述映射对，获取所述客户端的MAC地址；

向AAA认证服务器发起MAC身份认证请求，所述MAC身份认证请求用于指示所述AAA认证服务器判断所述客户端的MAC地址是否为已与用户认证信息绑定的MAC地址。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

响应于客户端的网络通信请求，向DHCP服务器申请IP地址；

在向DHCP服务器申请IP地址成功的情况下，在BRAS本地保存来自所述DHCP服务器的所述客户端IP地址与MAC地址的映射对，

其中，获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对，包括：

从BRAS本地读取所述映射对。

3.根据权利要求1所述的方法，其特征在于，所述获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对，包括：

向DHCP服务器发送所述客户端IP地址与MAC地址的映射对的查询请求；

接收来自所述DHCP服务器的所述映射对。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

在接收到所述DHCP服务器释放所述IP地址的通知报文时，从BRAS本地删除所述映射对。

5.一种身份认证装置，其特征在于，所述装置应用于宽带接入服务器BRAS中，包括：

IP地址获取模块，用于在BRAS与客户端之间为三层连接，且所述客户端满足身份认证条件的情况下，获取所述客户端的发出报文中携带的客户端IP地址，所述身份认证条件包括所述客户端的网络访问流量在指定时间内达到指定阈值；

映射对获取模块，用于获取来自DHCP服务器的所述客户端IP地址与MAC地址的映射对；

MAC地址获取模块，用于基于所述IP地址以及所述映射对，获取所述客户端的MAC地址；向AAA认证服务器发起MAC身份认证请求，所述MAC身份认证请求用于指示所述AAA认证服务器判断所述客户端的MAC地址是否为已与用户认证信息绑定的MAC地址。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

地址申请模块，用于响应于客户端的网络通信请求，向DHCP服务器申请IP地址；

映射对保存模块，用于在向DHCP服务器申请IP地址成功的情况下，在BRAS本地保存来自所述DHCP服务器的所述客户端IP地址与MAC地址的映射对，

其中，所述映射对获取模块具体用于：

从BRAS本地读取所述映射对。

7.根据权利要求5所述的装置，其特征在于，所述映射对获取模块具体用于：

向DHCP服务器发送所述客户端IP地址与MAC地址的映射对的查询请求；

接收来自所述DHCP服务器的所述映射对。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

映射对删除模块，用于在接收到所述DHCP服务器释放所述IP地址的通知报文时，从BRAS本地删除所述映射对。

Images