CN101635632B - 认证与配置方法、系统和装置 - Google Patents

Abstract

本发明实施例公开了一种认证与配置方法、系统和装置，属于通信领域。所述方法包括：接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；接收所述IPTV认证装置对所述IPTV用户进行认证后得到的认证结果，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；根据所述IPTV业务配置信息对网络侧设备进行配置。所述系统包括：认证中继装置、网络配置装置和IPTV认证装置；所述装置包括：触发模块和配置模块。本发明实施例通过触发IPTV认证装置对用户进行认证，实现了用户网络接入、业务认证的一体化，简化了运营商网络部署。

Description

认证与配置方法、系统和装置

技术领域

本发明涉及通信领域，特别涉及一种认证与配置方法、系统和装置。

背景技术

宽带接入的普及以及用户接入网络的带宽不断提升，使得基于IP的各种业务，尤其是多媒体业务迅猛发展。从网络部署架构上来讲，基于宽带的网络业务涉及的实体包括：

(1)UE(User Equipment，用户设备)/用户终端，是各种网络业务的使用者；

(2)NSP(Network Service Provider，网络业务提供商)实体，负责提供用户到业务提供商的IP连接服务，使得在ASP(Application Service Provider，应用/业务服务提供商)和用户之间进行基于IP的数据交互；

(3)ASP实体，是各种应用、业务的生产者和提供者。

在ASP提供的业务当中，IPTV是当前最引人瞩目的业务。IPTV不仅能够提供以往基于同轴电缆的普通的广播类业务，还能够提供诸如视频点播，时移电视等新的用户体验方式。参见图1，为现有技术提供的基于宽带提高IPTV业务的网络结构示意图，包括：UE、NSP和IPTV ASP，在这种模式下，一个UE要想使用IPTV业务，需要如下过程完成：

第一步：UE要想接入到网络，需要获得一个接入到网络的IP连接，在获取IP连接时，需要通过NSP进行网络接入认证，NSP上保存有用户的网络接入签约信息，并且对发起接入的用户进行接入认证、授权，建立并维护IP连接。

第二步：在UE与网络的IP连接建好之后，UE将在这个连接上向IPTV ASP发起IPTV业务层认证，IPTV ASP上保存有和用户的业务签约信息，例如：用户可访问的频道，节目类型(高清晰、标清)，是否选择视频点播，时移电视业务等等，IPTV ASP根据保存的业务签约信息对UE进行认证。

第三步：UE通过IPTV ASP业务层认证后，即可选择自己签约的服务。在基于组播的IPTV业务中，用户的业务策略(用户的可加入频道，访问时间控制，频道编码类型)等信息可以在业务认证成功后下发给NSP，NSP根据业务策略对网络接入设备进行配置，这样后续可以在网络接入设备执行基于用户的业务策略，提高对用户操作的反应速度以达到最佳的用户体验。

上述网络接入认证有多种认证方式，例如PPP(Point-to-Point Protocol，点对点协议)、802.1x协议、PANA(Protocol for Carrying Authentication for Network Access，网络接入认证携带协议)、DHCP(Dynamic host configuration protocol，动态主机配置协议)等。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

现有技术一般是采用业务认证和网络接入认证分离的模式对用户/UE进行认证，认证通过后，用户/UE才可以访问IPTV业务，网络部署复杂，成本比较高。

发明内容

为了使提高认证用户的效率，降低网络部署的成本，本发明实施例提供了一种认证与配置方法、系统和装置。所述技术方案如下：

一种认证与配置方法，所述方法包括：

认证中继装置接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；

所述认证中继装置接收所述IPTV认证装置对所述IPTV用户进行认证后得到的认证结果，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

如果所述认证结果中携带了IPTV业务配置信息，所述认证中继装置根据所述IPTV业务配置信息对网络侧设备进行配置；

其中，所述认证中继装置根据所述IPTV业务配置信息对网络侧设备进行配置，具体包括：

所述认证中继装置根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

一种认证与配置系统，所述系统包括：认证中继装置、网络配置装置和IPTV认证装置；

所述认证中继装置，用于接收到IPTV用户的IP地址请求消息后，将所述IP地址请求消息转发给所述网络配置装置；以及根据所述IPTV认证装置返回的认证结果确认所述IPTV用户合法后，根据所述IPTV认证装置返回的认证结果中携带的IPTV业务配置信息对网络侧设备进行配置；

所述网络配置装置，用于接收到所述认证中继装置转发的IP地址请求消息后，触发所述IPTV认证装置对所述IPTV用户进行认证；

所述IPTV认证装置，用于收到所述网络配置装置的触发后，对所述IPTV用户进行认证，将认证结果发送给所述认证中继装置，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

其中，所述认证中继装置，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

一种认证与配置系统，所述系统包括：认证中继装置和IPTV认证装置；

所述认证中继装置，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；以及根据所述IPTV认证装置返回的认证结果确认所述IPTV用户合法后，根据所述IPTV认证装置返回的认证结果中携带的IPTV业务配置信息对网络侧设备进行配置；

所述IPTV认证装置，用于收到所述认证中继装置的触发后，对所述IPTV用户进行认证，将认证结果发送给所述认证中继装置，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

其中，所述认证中继装置，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

一种认证与配置装置，所述装置包括：

触发模块，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；

配置模块，用于接收所述IPTV认证装置对所述IPTV用户进行认证后得到的认证结果，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；如果所述认证结果中携带了IPTV业务配置信息，根据所述IPTV业务配置信息对网络侧设备进行配置；

其中，所述配置模块，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述配置模块，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

本发明实施例提供的技术方案的有益效果是：

本发明实施例通过触发IPTV认证装置对IPTV用户进行认证，实现了用户网络接入、业务认证的一体化，简化了运营商网络部署，降低了成本，同时安全可靠，利于业务管理。

附图说明

图1是现有技术提供的基于宽带提高IPTV业务的网络结构示意图；

图2是本发明实施例1提供的基于宽带提高IPTV业务的网络结构示意图；

图3是本发明实施例1提供的认证与配置方法的信令交互图；

图4是本发明实施例2提供的认证与配置方法的信令交互图；

图5是本发明实施例3提供的认证与配置系统的结构示意图；

图6是本发明实施例4提供的认证与配置系统的结构示意图；

图7是本发明实施例5提供的认证与配置装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例通过接收到IPTV用户申请IP地址的请求后，触发对该用户的业务认证，并根据业务认证结果确认该用户是否可以接入网络并使用IPTV业务，如果可以，对相关的接入节点进行该用户相关的配置，使网络接入认证与业务认证合为一体，并简化了用户相关的IPTV配置，进而简化了运营商的网络和业务部署。

实施例1

本实施例提供了一种认证与配置方法，该方法包括：

接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对IPTV用户进行认证；

接收IPTV认证装置对IPTV用户进行认证后得到的认证结果，IPTV用户通过认证时，该认证结果中携带IPTV业务配置信息；IPTV用户不通过认证时，该认证结果中无IPTV业务配置信息；

如果认证结果中携带了IPTV业务配置信息，根据IPTV业务配置信息对网络侧设备进行配置。

其中，网络侧设备包括接入节点、宽带接入网关BRAS等；

执行上述认证与配置方法的设备可以是网络配置装置，例如，DHCP服务器；也可以是认证中继装置，例如：DHCP与认证中继装置。

当执行上述认证与配置方法的设备与IPTV认证装置直接相连时，触发IPTV认证装置对IPTV用户进行认证可以采用直接发送IP地址请求消息给IPTV认证装置的方式触发认证：相应地，认证结果也是直接由IPTV认证装置返回的；

当执行上述认证与配置方法的设备与IPTV认证装置通过第三方设备相连时，触发IPTV认证装置对IPTV用户进行认证可以采用向第三方设备发送IP地址请求消息，由第三方设备转发该IP地址请求消息给IPTV认证装置的方式触发认证：相应地，认证结果也是由IPTV认证装置发送给第三方设备，然后由第三方设备将认证结果返回的。

本实施例以网络配置装置触发IPTV认证装置对IPTV用户认证为例进行说明，参见图2提供的基于宽带提供IPTV业务的网络结构示意图，包括：UE、NSP和ASP，其中，NSP包括：接入节点、DHCP与认证中继装置、网络配置装置、AAA客户端、用户接入配置库；IPTVASP包括：AAA服务器、用户业务配置库。各个网络组件的功能简单描述如下：

UE：作为用户终端，是用户使用IPTV业务的硬件承载体。用户通过该设备接入网络，获取IPTV业务；

接入节点：负责UE的接入功能，为用户提供上行环路。对于IPTV业务，接入节点可以实现业务控制功能，以提高用户的响应体验，比如在接入节点实现IPTV频道的切换；频道的加入、退出处理等，这样可以避免信令上行至ASP侧带来的处理、响应延迟；

DHCP与认证中继装置：属于NSP的网络装置之一，它为UE和网络配置装置之间的DHCP消息交互转发消息，包括DHCP IP地址请求消息(DHCP Discovery消息)和DHCP IP地址选择消息(DHCP Request消息)等等；另外它还为UE和IPTV认证装置之间的认证消息起到消息中继功能，包括转发UE的认证请求，UE和IPTV认证装置之间的安全联盟协商消息以及认证结果消息等。

网络配置装置：属于NSP的网络装置之一，它与UE通过DHCP消息交互，配置UE的IP地址；此外，它还可以用来配置应用服务器代理的地址，应用服务器代理可以是P-CSCF(Proxy Call Session Control Funciton，呼叫会话控制代理功能)实体等；

IPTV认证装置：用于对用户进行认证，并将认证结果返回给DHCP与认证中继装置，如果IPTV认证装置和UE不在同一个网络域中，该IPTV认证装置具体可以包括客户端和服务器，本发明实施例具体为AAA客户端和AAA服务器；如果IPTV认证装置和UE在同一个网络域中，该IPTV认证装置可以为一个具有认证功能的服务器；

用户接入配置库：保存用户的接入认证及接入配置数据，比如签约的网络带宽，网络的QoS参数等。

用户业务配置库：保存用户的业务签约认证及业务配置数据，对IPTV业务来说包括签约的频道，频道的媒体类型等，NSP侧的用户接入配置库可以用来缓存从ASP侧获取的用户的业务配置。

本实施例以图2所提供的网络结构示意图为例，参见图3，该认证与配置方法包括：

S201：UE上电要使用IPTV业务时，通过接入节点向DHCP与认证中继装置发送DHCPDiscovery消息，请求申请IP地址；

其中，DHCP Discovery消息的OPTION中包含用户的标识。本发明实施例中的OPTION字段主要为OPTION60和OPTION82。其中OPTION60中带有Vendor和Service Option信息，是UE发起DHCP请求时携带的信息，网络设备只需要透传即可，其在应用中的作用是可以用来识别UE类型，从而识别用户业务类型，网络配置装置可以依赖此信息分配不同的业务IP地址；而OPTION82信息是由网络设备(比如接入节点)插入在UE发出的DHCP Discovery消息中的，主要用来标识UE的接入位置。

S202：接入节点接收到DHCP Discovery消息后，将DHCP Discovery消息转发给DHCP与认证中继装置；

接入节点在接收到DHCP Discovery消息时，可能会在DHCP的某些OPTION中插入一些信息，比如在OPTION82中插入链路信息等。

S203：DHCP与认证中继装置接收到DHCP Discovery消息后，将DHCP Discovery消息转发给网络配置装置。

S204：网络配置装置接收到DHCP Discovery消息后，绑定用户标识和用户上线位置，并分配IP地址(或者在认证成功之后再分配IP地址)，并将携带用户标识的IPTV业务认证请求消息发送给AAA客户端，触发该用户的上线认证。

本实施例中的NSP和ASP为分离模式，NSP和ASP分别有各自的AAA认证装置，NSP的AAA认证装置为网络接入认证装置，即AAA客户端，通常用于控制网络用户的接入。ASP的AAA认证装置为AAA服务器，用于控制用户的业务访问。在本发明实施例中，NSP和ASP分别拥有各自的AAA认证装置，但是由ASP中的AAA认证装置即AAA服务器起到认证的角色，NSP的AAA认证装置即AAA客户端起到一个认证信令的代理作用。

S205：AAA客户端接收到认证请求消息后，发送认证请求响应消息给网络配置装置；

为避免对现有的网络配置装置的较大修改，本发明实施例后续的认证过程并不经过网络配置装置，即无需网络配置装置处理。

S206：网络配置装置接收到认证请求响应消息后，发送DHCP offer消息给DHCP与认证中继装置，DHCP offer中携带所分配的IP地址。

S207：AAA客户端采用标准的AAA认证协议，发送针对上述用户标识所指用户的认证请求给AAA服务器；

其中，AAA认证协议包括Radius(Remote Authentication Dial In User Service，远程用户拨号认证协议)，Diameter(Radius协议的升级版本)等协议。

S208：AAA服务器接收到AAA客户端发送的用户认证请求后，AAA服务器到用户业务配置库中查询与用户认证相关的信息，比如用户密钥等，然后AAA服务器发送第一认证挑战字等认证信息给AAA客户端。

S209：AAA客户端接收到认证信息后，将认证信息发送给DHCP与认证中继装置。

S210：DHCP与认证中继装置收到认证信息后，把认证信息添加到网络配置装置发送的DHCP offer消息中，并将添加DHCP offer消息返回给UE。

本实施例中的DHCP与认证中继装置收到S206中网络配置装置发送的DHCP offer消息后，可以不立刻将DHCP offer消息返回给UE，在收到来自AAA客户端发送的认证信息之后，再将DHCP offer消息返回给UE。

S211：UE接收到DHCP与认证中继装置发送的DHCP offer消息后，UE从DHCP offer消息中获得第一挑战字、认证算法等认证相关的信息，根据这些认证相应信息确认算法，使用确认后的算法计算出第二挑战字，并将第二挑战字作为认证响应信息承载在DHCP Request消息中发送给DHCP与认证中继装置。

S212：DHCP与认证中继装置接收到DHCP Request消息后，剥离DHCP Request消息中的认证响应信息OPTION(字段信息)，并将修改后的DHCP Request消息发送给网络配置装置。

S213：网络配置装置接收到DHCP Request消息后，执行相关的IP地址分配流程，然后返回DHCP ACK消息给DHCP与认证中继装置。

S214：DHCP与认证中继装置将DHCP Request消息中的认证响应信息承载在认证消息(比如Diameter Authentication Access Request)中发送给AAA客户端。

S215：AAA客户端接收到认证消息后，将认证消息发送给AAA服务器。

S216：AAA服务器接收到认证消息后，根据认证算法和接收到的认证消息中的信息确认该用户是否是合法用户，如果是，AAA服务器从用户业务配置库中获取与该用户的业务相关的配置数据，例如，业务配置信息(profile)，包括签约的频道，媒体类型，频道带宽需求等；然后AAA服务器返回认证成功消息给AAA客户端，并在认证成功消息中携带用户的业务配置信息。

S217：AAA客户端接收到认证成功消息后，将认证成功消息发送给DHCP与认证中继装置。

S218：DHCP与认证中继装置接收到认证成功消息后，执行用户业务配置，即根据用户的业务配置信息对UE的IP连接进行配置，比如总带宽，IPTV组播带宽、单播带宽比率配置等，以及配置接入节点，配置的内容包括：根据用户的业务配置信息，建立用户IP地址与用户ID或用户接入线路标识之间的绑定关系，以及将用户加入到指定组播复制表中；

DHCP与认证中继装置配置接入节点时，可以通过ANCP(Access Node ConfigurationProtocol，接入节点配置协议)等实现，即将配置信息通过ANCP下发给接入节点。

S219：DHCP与认证中继装置发送DHCP ACK消息给UE，在DHCP OPTION中携带认证结果信息。

本实施例中的DHCP与认证中继装置收到DHCP ACK消息后，不立刻发送DHCP ACK消息给UE，需要等待认证结果信息到达时再发送DHCP ACK消息给UE。

如果AAA服务器认证UE失败，则仅发送认证失败消息，该认证失败消息不携带业务配置信息，AAA客户端收到认证失败消息后，将该认证失败消息发送给DHCP与认证中继装置，DHCP与认证中继装置收到认证失败消息后，将会在DHCP ACK消息中携带认证失败信息给UE，并且通知网络配置装置取消IP地址的分配，然后结束。

本发明实施例中S205和S207没有时间先后顺序关系，也就是说S204后可以先执行S207，再执行S205。

另外，本发明实施例中S219和S218没有时间先后顺序关系，可以先执行S219，再执行S218。

S211至S217所描述的为UE和IPTV认证装置之间典型的认证信令交互，根据具体采用的认证协议的不同，UE和和IPTV认证服务器之间的交互轮次，交互信息可以有不同。

本发明实施例的网络配置装置在S204中采用了先分配IP地址的方法，根据实际需要，网络配置装置也可以等到接收到该UE通过认证的消息后再为该UE分配IP地址，此时，需要IPTV认证装置将认证结果发送给网络配置装置；

本发明实施例是通过DHCP与认证中继装置进行业务配置的，根据实际需要，IPTV认证装置也可以在UE通过认证后，将业务配置信息发送给网络配置装置，由网络配置装置完成相应的业务配置，具体配置内容与本发明实施例的配置内容相同，这里不再详述。

在本发明实施例中，NSP并不负责UE和IPTV的业务认证功能，在ASP侧执行具体的认证功能。同时，本实施例在NSP侧设置了AAA客户端，用以转发信令，根据实际需要，NSP侧也可以不设置AAA客户端，而是由DHCP与认证中继装置或网络配置装置直接将消息发送给ASP侧的AAA服务器。

本发明实施例通过网络配置装置触发对用户的认证，并由AAA服务器独自对用户进行认证，采用的是单次认证的方式，实现了IPTV用户网络接入、业务认证以及基于用户的业务配置的一体化，简化了运营商网络部署，降低了成本，与现有技术相比，通过对相关网络节点的扩展，实现了安全可靠、高效的IPTV业务部署和业务管理。

实施例2

本实施例提供了一种认证与配置方法，该方法以DHCP与认证中继装置触发AAA服务器对用户认证为例进行说明，本实施例仍以图2所提供的网络结构示意图为例，参见图4，该认证与配置方法包括：

S301：UE上电要使用IPTV业务时，通过接入节点向DHCP与认证中继装置发送DHCPDiscovery消息，请求申请IP地址；

S302：接入节点接收到DHCP Discovery消息后，将DHCP Discovery消息转发给DHCP与认证中继装置；

S303：DHCP与认证中继装置接收到DHCP Discovery消息后，提取出DHCP Discovery消息中携带的用户标识(即将DHCP Discovery消息中的用户标识删除)，再将DHCP Discovery消息发送网络配置装置。

S304：网络配置装置接收到DHCP Discovery消息后，执行标准的IP地址分配流程(即现有技术中的IP地址分配流程)。然后返回携带IP地址的DHCP offer消息给DHCP与认证中继装置。

S305：DHCP与认证中继装置向AAA客户端发起对该用户的认证请求消息，认证请求消息中携带该用户的用户标识；

其中，认证请求消息可以通过标准的AAA协议实现。

S305和S303没有时间的先后顺序，也就是说S302后可以先执行S305，再执行S303、S304。

S306-S318的后续认证过程同实施例1的S207～S219相同，此处不再赘述。

本发明实施例通过DHCP与认证中继装置检测到用户的IP地址请求消息后，触发对用户的认证，并由AAA服务器独自对用户进行认证，采用的是单次认证的方式，实现了IPTV用户网络接入、业务认证的一体化，简化了运营商网络部署，降低了成本，与现有技术相比，通过对相关网络节点的扩展，实现了安全可靠、高效的IPTV业务部署和业务管理。与实施例1的区别在于本发明实施例中由DHCP与认证中继装置触发认证请求，即不需要经过与网络配置装置的交互，由DHCP与认证中继装置直接触发认证请求，简化了认证过程，更容易实现。

实施例3

参见图5，本实施例提供了一种认证与配置系统，包括：认证中继装置401、网络配置装置402和IPTV认证装置403；

认证中继装置401，用于接收到IPTV用户的IP地址请求消息后，将IP地址请求消息转发给网络配置装置402；以及根据IPTV认证装置403返回的认证结果确认IPTV用户合法后，根据IPTV业务配置信息对网络侧设备进行配置；

网络配置装置402，用于接收到认证中继装置401转发的IP地址请求消息后，触发IPTV认证装置403对IPTV用户进行认证；

IPTV认证装置403，用于收到网络配置装置402的触发后，对IPTV用户进行认证，将认证结果发送给认证中继装置401，IPTV用户通过认证时，认证结果中携带IPTV业务配置信息；IPTV用户不通过认证时，认证结果中无IPTV业务配置信息。

网络配置装置402具体包括：

用户标识获取模块，用于接收到IPTV用户的IP地址请求消息后，从IP地址请求消息获取IPTV用户的用户标识；

发送模块，用于向IPTV认证装置403发送IPTV认证请求，IPTV认证请求携带用户标识获取模块获取的IPTV用户的用户标识，使IPTV认证装置403能根据用户标识对IPTV用户进行认证。

其中，认证中继装置401具体可以为实施例1中DHCP与认证中继装置。

本发明实施例通过网络配置装置402触发IPTV认证装置403对IPTV用户认证，IPTV认证装置403独自对IPTV用户进行认证，是单次认证的方式，实现了IPTV用户网络接入、业务认证以及基于用户的业务配置的一体化，简化了运营商网络部署，降低了成本，与现有技术相比，通过对相关网络节点的扩展，实现了安全可靠、高效的IPTV业务部署和业务管理。

实施例4

参见图6，本实施例提供了一种认证与配置系统，其特征在于，该系统包括：认证中继装置501和IPTV认证装置502；

认证中继装置501，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置502对IPTV用户进行认证；以及根据IPTV认证装置502返回的认证结果确认IPTV用户合法后，根据IPTV业务配置信息对网络侧设备进行配置；

IPTV认证装置502，用于收到认证中继装置501的触发后，对IPTV用户进行认证，将认证结果发送给DHCP与认证中继装置501，IPTV用户通过认证时，认证结果中携带IPTV业务配置信息；IPTV用户不通过认证时，认证结果中无IPTV业务配置信息。

认证中继装置501具体包括：

用户标识获取模块，用于接收到IPTV用户的IP地址请求消息后，从IP地址请求消息获取所述IPTV用户的用户标识；

发送模块，用于向IPTV认证装置502发送IPTV认证请求，IPTV认证请求携带用户标识获取模块获取的IPTV用户的用户标识，使IPTV认证装置502能根据用户标识对IPTV用户进行认证；

配置模块，用于根据IPTV认证装置502返回的认证结果确认IPTV用户合法后，根据IPTV业务配置信息对网络侧设备进行配置。

其中，认证中继装置501具体可以为实施例2中DHCP与认证中继装置。

本发明实施例通过认证中继装置501触发IPTV认证装置502对IPTV用户认证，IPTV认证装置独自对IPTV用户进行认证，是单次认证的方式，实现了IPTV用户网络接入、业务认证的一体化，简化了运营商网络部署，降低了成本，与现有技术相比，通过对相关网络节点的扩展，实现了安全可靠、高效的IPTV业务部署和业务管理。与实施例3的区别在于本发明实施例中由认证中继装置501触发认证请求，即不需要经过与网络配置装置的交互，由认证中继装置501直接触发认证请求，简化了认证过程，更容易实现。

实施例5

参见图7，本实施例提供了一种认证与配置装置，该装置包括：

触发模块601，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；

配置模块602，用于接收IPTV认证装置对IPTV用户进行认证后得到的认证结果，IPTV用户通过认证时，认证结果中携带IPTV业务配置信息；IPTV用户不通过认证时，认证结果中无IPTV业务配置信息；如果认证结果中携带了IPTV业务配置信息，根据IPTV业务配置信息对网络侧设备进行配置。

本发明实施例的认证与配置装置通过触发IPTV认证装置对IPTV用户认证，该IPTV认证装置对IPTV用户的认证是单次认证，该认证实现了IPTV用户网络接入、业务认证的一体化，简化了运营商网络部署，降低了成本，与现有技术相比，通过对相关网络节点的扩展，实现了安全可靠、高效的IPTV业务部署和业务管理。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种认证与配置方法，其特征在于，所述方法包括：

认证中继装置接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；

所述认证中继装置接收所述IPTV认证装置对所述IPTV用户进行认证后得到的认证结果，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

如果所述认证结果中携带了IPTV业务配置信息，所述认证中继装置根据所述IPTV业务配置信息对网络侧设备进行配置；

其中，所述认证中继装置根据所述IPTV业务配置信息对网络侧设备进行配置，具体包括：

所述认证中继装置根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

2.如权利要求1所述的认证与配置方法，其特征在于，所述IP地址请求消息中携带有所述IPTV用户的用户标识；

所述认证中继装置接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证，包括：

所述认证中继装置接收到IPTV用户的IP地址请求消息后，从所述IP地址请求消息获取所述IPTV用户的用户标识；

所述认证中继装置向IPTV认证装置发送IPTV认证请求，所述IPTV认证请求携带所述IPTV用户的用户标识，使所述IPTV认证装置能根据所述用户标识对所述IPTV用户进行认证。

3.如权利要求1所述的认证与配置方法，其特征在于，所述触发IPTV认证装置对所述IPTV用户进行认证包括：所述认证中继装置直接发送或通过第三方设备转发IP地址请求消息给所述IPTV认证装置进行认证，其中所述IPTV认证装置的认证结果也直接或通过第三方设备返回。

4.如权利要求1所述的认证与配置方法，其特征在于，所述方法还包括：

网络配置装置接收到IPTV用户的IP地址请求消息后，为所述IPTV用户分配IP地址；

所述认证中继装置根据所述IPTV业务配置信息对网络侧设备进行配置，包括：

所述IPTV用户通过认证后，所述认证中继装置根据所述IPTV业务配置信息向所述IPTV用户发送IP地址响应消息，所述IP地址响应消息携带终端配置信息和所述IP地址。

5.一种认证与配置系统，其特征在于，所述系统包括：认证中继装置、网络配置装置和IPTV认证装置；

所述认证中继装置，用于接收到IPTV用户的IP地址请求消息后，将所述IP地址请求消息转发给所述网络配置装置；以及根据所述IPTV认证装置返回的认证结果确认所述IPTV用户合法后，根据所述IPTV认证装置返回的认证结果中携带的IPTV业务配置信息对网络侧设备进行配置；

所述网络配置装置，用于接收到所述认证中继装置转发的IP地址请求消息后，触发所述IPTV认证装置对所述IPTV用户进行认证；

所述IPTV认证装置，用于收到所述网络配置装置的触发后，对所述IPTV用户进行认证，将认证结果发送给所述认证中继装置，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

其中，所述认证中继装置，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

6.如权利要求5所述的认证与配置系统，其特征在于，所述网络配置装置具体包括：

用户标识获取模块，用于接收到IPTV用户的IP地址请求消息后，从所述IP地址请求消息获取所述IPTV用户的用户标识；

发送模块，用于向IPTV认证装置发送IPTV认证请求，所述IPTV认证请求携带所述用户标识获取模块获取的IPTV用户的用户标识，使所述IPTV认证装置能根据所述用户标识对所述IPTV用户进行认证。

7.一种认证与配置系统，其特征在于，所述系统包括：认证中继装置和IPTV认证装置；

所述认证中继装置，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；以及根据所述IPTV认证装置返回的认证结果确认所述IPTV用户合法后，根据所述IPTV认证装置返回的认证结果中携带的IPTV业务配置信息对网络侧设备进行配置；

所述IPTV认证装置，用于收到所述认证中继装置的触发后，对所述IPTV用户进行认证，将认证结果发送给所述认证中继装置，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；

其中，所述认证中继装置，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述认证中继装置，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

8.如权利要求7所述的认证与配置系统，其特征在于，所述认证中继装置具体包括：

用户标识获取模块，用于接收到IPTV用户的IP地址请求消息后，从所述IP地址请求消息获取所述IPTV用户的用户标识；

发送模块，用于向IPTV认证装置发送IPTV认证请求，所述IPTV认证请求携带所述用户标识获取模块获取的IPTV用户的用户标识，使所述IPTV认证装置能根据所述用户标识对所述IPTV用户进行认证；

配置模块，用于根据所述IPTV认证装置返回的认证结果确认所述IPTV用户合法后，根据所述IPTV业务配置信息对网络侧设备进行配置。

9.一种认证与配置装置，其特征在于，所述装置包括：

触发模块，用于接收到IPTV用户的IP地址请求消息后，触发IPTV认证装置对所述IPTV用户进行认证；

配置模块，用于接收所述IPTV认证装置对所述IPTV用户进行认证后得到的认证结果，所述IPTV用户通过认证时，所述认证结果中携带IPTV业务配置信息；所述IPTV用户不通过认证时，所述认证结果中无IPTV业务配置信息；如果所述认证结果中携带了IPTV业务配置信息，根据所述IPTV业务配置信息对网络侧设备进行配置；

其中，所述配置模块，具体用于根据所述IPTV业务配置信息对所述IPTV用户进行网络连接配置，所述网络连接配置至少包括以下信息中的一种：总带宽、IPTV组播带宽、单播带宽的比率和允许用户加入的频道列表；

所述配置模块，具体还用于根据所述IPTV业务配置信息对接入节点进行配置，配置的内容至少包括以下信息中的一种：所述用户的标识、所述用户接入线路标识、所述用户的IP地址、将所述用户加入到指定组播复制表。

Images