CN101414998B - 一种基于认证机制转换的通信方法、系统及设备 - Google Patents
一种基于认证机制转换的通信方法、系统及设备 Download PDFInfo
- Publication number
- CN101414998B CN101414998B CN2007101640024A CN200710164002A CN101414998B CN 101414998 B CN101414998 B CN 101414998B CN 2007101640024 A CN2007101640024 A CN 2007101640024A CN 200710164002 A CN200710164002 A CN 200710164002A CN 101414998 B CN101414998 B CN 101414998B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- gateway
- message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于认证机制转换的通信方法,包括以下步骤:将来自用户设备的认证信息承载到外部网络认证协议报文;利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证;根据认证结果设置所述用户设备的转发表及其策略,根据所述转发表和转发策略进行设备通信。本发明还提供了一种网络边缘的网关设备。本发明的实施例中,可以自动地接入到网关和自己签约的网络运营商中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于认证机制转换的通信方法、系统及设备。
背景技术
传统电信运营商建立承载不同业务的网络,为不同的用户提供不同的业务,例如:PSTN(Public Switched Telephone Network,公共交换电话网)承载电话业务、DDN(Digital Data Network,数字数据网)承载企业专线等。随着电信竞争不断加大,电信运营商试图将不同网络融合到一张网络上承载多业务,从而降低运营成本提高盈利能力。越来越多的业务不断在IP(InternetPotocol,互联网协议)上出现并不断提升性能,例如Voice over IP(IP承载语音)、Video over IP(IP承载视频)、TV over IP(IP承载电视),逐步具备电信业务所属的质量和性能,于是,电信运营商选择IP承载网作为融合网络的承载技术,其中电信运营商关注用户认证和计费。但是,PPP(Point-to-PointProtocol,点对点协议)拨号仅仅适用于拨号上网和DSL(Digital SubscriberLoop,数字用户线)接入,不能很好支持其他接入方式。
在DSL论坛正在讨论如何让业务运营商从PPP(拨号)接入方式演进到一种通过统一的传送方式来承载签约用户的所有IP业务的接入方式,并将此种接入方式称为Subscriber Session(用户会话),包含两种基本的会话,IPsession(会话)和PPP Session(会话)。
在宽带环境中,IP会话可以通过DHCP(Dynamic Host ConfigurationProtocol,动态主机分配协议)静态和动态地分配,例如通过PANA(网络接入协议工作组)认证的IP会话呼叫、或DHCP Auth认证的IP会话呼叫。其中,PANA认证的IP会话呼叫过程如图1所示:
步骤s101,用户打开计算机等网络终端(例如DHCP客户端),向接入节点发送动态主机配置协议的发现报文DHCP Discovery,启动地址分配过程。
步骤s102,接入节点作为DHCP二层的中继,如DSLAM(Digital SubscriberLine Access Multiplexer,数据用户线接入汇聚设备),捕获用户的DHCPDiscover报文并将捕获到该报文的接收端口号或DSL端口号以Option 82(82选项)的格式插入到该DHCP Discover报文中,然后向IP边缘设备转发修改后的报文。此后接入节点可以不再对DHCP的后续报文(如offer、request和Ack)进行修改。
步骤s103,IP边缘设备,如BRAS(Broadband Remote Access Server,宽带远程接入服务器),收到用户的DHCP Discover报文,从中提取用户的端口号(Line Info)或构造用户的帐号,代理用户向DHCP服务器发起认证请求:IP边缘设备向DHCP Server 1(动态主机配置服务器1)中继或转发用户的DHCP Discovery报文并可以携带认证服务器回应的必要的Radius属性。其中,IP边缘设备可以是DHCP中继,也可以是代理RADIUS(Remote AuthenticationDial In User Service,远程用户拨号认证系统)客户端。
步骤s104,DHCP服务器1检查DHCP Discovery的参数,确认自己是用户的地址分配服务器后,回应地址分配服务确认报文DHCP Offer,该报文经IP边缘设备中继转发给用户。
步骤s105,用户收到DHCP服务器1回应的DHCP Offer报文后,确认选择该服务器作为地址分配服务器后,可以直接发送地址分配请求DHCPRequest给DHCP服务器1。
步骤s106,DHCP服务器1根据DHCP Request的参数为用户分配IP地址,并向用户或IP边缘设备回应DHCP Ack。
步骤s101到步骤s106为IP地址的配置过程,用户收到DHCP Ack后,IP配置过程结束。
步骤s107,用户在地址配置过程结束后,按照draft-ietf-pana-pana-14发起PANA认证过程;
步骤s108,NAS(Network Access Server,网络接入服务器)遵循draft-ietf-pana-pana-14向Radius服务器发起认证请求。
步骤s109,NAS在确认用户认证通过,确认该IP session被授权了并应用用户的策略到该IP Session上。
步骤s110,用户在PANA认证通过后,如果需要向DHCP服务器2发起重新地址分配过程(IP reconfig),经过步骤s111~步骤s115之后,IP Session的建立过程就结束,其中,步骤s111~步骤s115过程与IP配置的过程一致。
DHCP Auth认证的IP会话呼叫过程如图2所示:
步骤s201,用户打开计算机等网络终端,向接入节点发送动态主机配置协议的发现报文DHCP Discovery,启动地址分配过程。
步骤s202,接入节点(如DSLAM)捕获用户的DHCP Discover报文,并将捕获到该报文的接收端口号或DSL端口号以Option 82的格式插入到该DHCP Discover报文中,然后向IP边缘设备转发修改后的报文;此后接入节点可以不再对DHCP的后续报文(如offer、request和Ack等)进行修改。
步骤s203,IP边缘设备(如BRAS)收到用户的DHCP Discover报文,从中提取用户的端口号(Line Info)和DHCP Auth的选项,如果需要启动DHCPAuth,那么IP边缘设备根据draft-pruss-dhcp-auth-dsl-00与用户启动DHCP认证过程。
步骤s204,IP边缘设备根据draft-pruss-dhcp-auth-dsl-00向Radius服务器发起认证请求,Radius服务器确认用户认证通过后,在认证响应报文中通知IP边缘设备用户的策略。
步骤s205,IP边缘设备确认用户合法之后,确认该IP session被授权后,应用用户的策略到该IP Session上。
步骤s206,IP边缘设备确认自己是用户的地址分配服务器后,向用户回应地址分配服务确认报文DHCP Offer。
步骤s207,用户收到服务器回应的DHCP Offer报文后,确认选择该服务器作为地址分配服务器后,发送地址分配请求DHCP Request给DHCP服务器或NAS。
步骤s208,DHCP服务器或NAS根据DHCP Request的参数为用户分配IP地址并向用户或IP边缘设备回应DHCP Ack;用户收到DHCP Ack后,IPSession的建立过程结束。
随着宽带接入(如DSL)和数字设备(如PC等)的普及,网关(包括家庭网络或企业网关等)内部的设备通过LAN(Local Area Network,以太局域网)和WLAN(Wireless Local Area Network,无线以太网)互连形成了独立的网络,通过家庭网关可以直接连接到宽带城域网中,如图3所示。用户可以通过宽带网络使用IPTV业务获得和有线电视等一样的体验,也可以通过国际互联网远程登陆到公司网络中访问电子邮件或服务器直接可以在家中办公。
如果用户要接入到自己签约的网络运营商,家庭网关提供二层桥接功能,用户利用点到点拨号等协议接入,通过家庭网关接入国际互联网;如果要接入到好友的网关中,用户直接采用DHCP接入到家庭网关中,可直接访问网关并通过家庭网关接入到国际互联网中。
但是上述现有技术还具有以下缺点:无法同时接入到网关和自己签约的网络运营商中,切换时还需要人工干预。
发明内容
本发明实施例提供一种基于认证机制转换的通信方法及设备,以实现用户可以自动接入到网关和自己签约的网络运营商中。
本发明实施例提供了一种基于认证机制转换的通信方法,包括以下步骤:
将来自用户设备的认证信息承载到外部网络认证协议报文;
利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证;
认证成功后,家庭网关为用户设备申请家庭网关的外部地址,用户设备发起地址分配发现报文,家庭网关的地址分配服务器为用户分配网关的内部地址,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射转发策略;
根据所述权限表和静态映射转发策略进行设备通信。
本发明的实施例中,家庭网关在为用户分配完地址后,可以根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射;同时通过权限表动态实现用户和网关设备的转发并且建立用户的内部地址和外部地址的映射关系。这样用户不仅可以访问自己签约的网络运营商所提供的服务同时也可以接入到网关所提供的服务。
附图说明
图1是现有技术中PAPN认证的IP会话呼叫流程图;
图2是现有技术中DHCP Auth认证的IP会话呼叫流程图;
图3是现有技术中网关与国际互联网连接示意图;
图4是本发明实施例一中实现功能模型结构图;
图5是本发明实施例一中认证实现流程图;
图6是本发明实施例二中实现功能模型结构图;
图7是本发明实施例二中认证实现流程图;
图8是本发明实施例三中实现功能模型结构图;
图9是本发明实施例三中认证实现流程图;
图10是本发明实施例四中实现功能模型结构图;
图11是本发明实施例四中认证实现流程图;
图12是本发明实施例中一种网络边缘的网关设备结构图。
具体实施方式
本发明实施例提供了一种认证机制转换方法,包括以下步骤:
1、将来自用户设备的认证信息转换为外部网络认证协议报文。具体过程包括:从所述用户设备的认证信息中获取用户标识和MAC地址,将所述用户标识和MAC地址按照外部网络协议进行封装。其中,用户设备的认证信息接入方式包括但不限于:802.1x接入方式、PPPoE接入方式等;外部网络认证协议报文包括但不限于:PPPoE和DHCP Auth等。
2、利用所述外部网络认证协议报文对所述用户设备进行认证。具体过程包括:向认证服务器发送认证请求,接收所述认证服务器返回的认证响应消息。
3、将外部网络的认证成功消息转换为用户设备的认证成功消息,通知所述用户设备认证成功。确认所述用户设备认证成功后,还包括:接收来自用户设备的地址分配发现报文,为所述用户设备分配网关的内部地址,建立用户设备所在网关的内部地址和外部地址的映射关系,根据所述映射关系进行所述用户设备与外部设备的通信。
4、设置网关的外部用户访问权限表,所述表中包括允许访问所述网关的用户会话标识范围(包括用户设备的MAC地址或内部IP地址等);根据用户会话标识范围和外部用户访问权限表确定所述用户设备的访问网关的权限。其中,确定用户设备的访问网关的权限具体包括:允许所述用户设备访问网关和外部网络;或禁止所述用户设备访问网关和外部网络;或允许所述用户设备访问网关且禁止访问外部网络;或允许所述用户设备访问外部网络且禁止访问网关。
本发明实施例一中,当用户采用EAP SIM接入方式(EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡,即802.1x拨号接入方式)接入网关,而好友的家庭网关采用DHCP Auth接入方式接入国际互联网,并且好友的家庭网关设置外部用户访问权限表中支持WLAN的接入时,实现方案的功能模型如图4所示,用户设备(例如便携式设备)通过WLAN网络连接家庭网关,并通过家庭网关连接到网关和IP边缘设备,通过IP边缘设备连接到国际互联网,且IP边缘设备同时连接外部DHCP服务器和认证服务器。
其中,用户设备中包括802.1x认证体客户端和DHCP客户端;家庭网关中包括:内部DHCP服务器,用于接收用户设备中的DHCP客户端的接入请求,通过网关的用户MAC内部转发表接入网关;802.1x认证体,用于接收802.1x认证体客户端的认证请求,通过DHCP认证客户端接入到IP边缘设备,或通过家庭网关内的用户MAC转发表接入IP边缘设备。
实施例一的认证实现过程如图5所示,包括以下步骤:
s501,用户设备利用802.1x认证体客户端通过WLAN与家庭网关交互Association消息,要求接入到家庭网关。
s502,家庭网关的802.1x认证体(Authenticator)向用户设备发送EAPoL/EAP-Request/Identitiy消息,对用户设备进行认证。
s503,用户设备向家庭网关向家庭网关回应EAPoL/EAP-Response/Identitiy消息,该消息中携带用户设备的帐号信息。
s504,由于家庭网关没有用户设备认证的数据,因此家庭网关启动DHCPAuth/EAP和802.1x/EAP SIM的认证转换机制,从802.1x取出EAP消息和用户的MAC地址重新构造DHCP Auth消息向宽带接入服务器发送DHCPDiscover/Auth-port/EAP消息,请求认证并记录用户设备的帐号。
s505,宽带接入服务器向家庭网关发送DHCP EAP/EAP-Request/Identity消息,要求获得用户设备的账号。
s506,家庭网关向宽带接入服务器发送DHCP EAP/EAP-Reponse/Identity消息,该消息中携带用户设备的账号。
s507,宽带接入服务器向认证服务器发送Radius Request/EAPMessage/EAP-Response/Identity消息,请求对该用户设备进行认证。
s508,认证服务器根据用户设备的类型向宽带接入服务器回应RadiusRequest/EAP Message/EAP-Request/SIM/Start消息,该消息中携带版本列表AT-Version-list,启动认证并进行参数协商。
s509,宽带接入服务器收到Radius Request/EAPMessage/EAP-Request/SIM/Start消息后,向家庭网关发送DHCPEAP/EAP-Request/SIM/Start消息,启动认证并进行参数协商。
s510,家庭网关将DHCP认证的EAP消息转换成802.1x的EAP消息EAPoL/EAP-Request/SIM/Start发给用户设备。
s511,用户设备向家庭网关回应认证响应消息EAPoL/EAP-Response/SIM/Start,该消息中携带开始请求。
s512,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Start按DHCP Auth的协议格式封装为DHCP EAP/EAP-Response/SIM/Start,并转发给宽带接入服务器。
s513,宽带接入服务器向认证服务器发送Radius Request/EAPMessage/EAP-Response/SIM/Start消息,要求接入国际互联网。
s514,认证服务器向宽带接入服务器发送Radius Request/EAPMessage/EAP-Success/DHCP Request消息,该消息中携带需要询问的用户确认参数:例如级别AT RAND和地址AT MAC等。
s515,宽带接入服务器向家庭网关发送DHCPEAP/EAP-Request/SIM/Challenge消息,通知用户设备上报确认参数。
s516,家庭网关将DHCP认证的EAP消息转换成802.1x的EAP消息EAPoL/EAP-Request/SIM/Challenge发给用户设备。
s517,用户设备向家庭网关回应认证响应消息EAPoL/EAP-Response/SIM/Challenge,该消息中携带确认参数。
s518,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Challenge按DHCP Auth的协议格式封装为DHCP EAP/EAP-Response/SIM/Challenge,并转发给宽带接入服务器。
s519,宽带接入服务器将DHCP Auth格式取出EAP消息通过Radius协议Radius Request/EAP Message/EAP-Response/SIM/Challenge回应认证服务器,该消息中携带用户设备的确认参数。
s520,认证服务器根据用户设备的确认参数认证用户是合法的,向宽带接入服务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息,通知用户认证成功。
s521,宽带接入服务器通过DHCP offer/EAP-Success/yiaddr消息将用户设备认证成功通知家庭网关。
s522,家庭网关确认用户认证成功后,向用户设备发送认证成功消息EAPoL/EAP-Success,并继续DHCP Auth的过程,为用户设备申请网关的外部地址。
s523至s527,用户在确认认证成功后,发起地址分配发现报文(DHCPRequest),家庭网关的地址分配服务器直接回应地址分配确认(DHCP ACK)并启动地址分配过程为用户分配网关的内部地址。家庭网关在为用户分配完地址后,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射;同时通过权限表动态实现用户和网关设备的转发并且建立用户的内部地址和外部地址的映射关系。这样用户不仅可以访问自己签约的网络运营商所提供的服务同时也可以接入到网关所提供的服务。
本发明实施例二中,当用户采用EAP SIM接入方式(802.1x拨号的接入方式),而好友的家庭网关采用PPPoE(以太网点到点协议)接入到国际互联网,但没有设置外部用户访问权限表支持WLAN的接入时,实现方案的功能模型如图6所示,除了家庭网关中的用PPPoE认证客户端取代了DHCP认证客户端之外,其余部分与图4结构相同。
实施例二的认证实现过程如图7所示,包括以下步骤:
s701,用户设备利用802.1x认证体客户端通过WLAN与家庭网关交互Association消息,要求接入到家庭网关。
s702,家庭网关的802.1x认证体(Authenticator)向用户设备发送EAPoL/EAP-Request/Identitiy消息,对用户设备进行认证。
s703,用户设备向家庭网关向家庭网关回应EAPoL/EAP-Response/Identitiy消息,该消息中携带用户设备的帐号信息。
s704,由于家庭网关没有用户设备认证的数据,因此家庭网关启动PPPoE/EAP和802.1x/EAP SIM的认证转换机制,在PPPoE发现阶段结束后,从802.1x取出EAP消息和用户的MAC地址,根据PPPoE EAP认证协议构造PPPoE认证消息,向宽带接入服务器发送PPPoE/LCP/EAP消息,请求认证并记录用户设备的帐号。
s705,宽带接入服务器向家庭网关发送PPPoE/EAP/EAP-Request/Identity消息,要求获得用户设备的账号。
s706,家庭网关向宽带接入服务器发送PPPoE/EAP/EAP-Reponse/Identity消息,该消息中携带用户设备的账号。
s707,宽带接入服务器向认证服务器发送Radius Request/EAPMessage/EAP-Response/Identity消息,请求对该用户设备进行认证。
s708,认证服务器根据用户设备的类型向宽带接入服务器回应RadiusRequest/EAP Message/EAP-Request/SIM/Start消息,该消息中携带版本列表AT-Version-list,启动认证并进行参数协商。
s709,宽带接入服务器收到Radius Request/EAPMessage/EAP-Request/SIM/Start消息后,向家庭网关发送PPPoE/EAP/EAP-Request/SIM/Start消息,启动认证并进行参数协商。
s710,家庭网关将PPPoE认证的EAP消息转换成802.1x的EAP消息EAPoL/EAP-Request/SIM/Start发安给用户设备。
s711,用户设备向家庭网关回应认证响应消息EAPoL/EAP-Response/SIM/Start,该消息中携带开始请求。
s712,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Start按PPPoE的协议格式封装为PPPoE/EAP/EAP-Response/SIM/Start,并转发给宽带接入服务器。
s713,宽带接入服务器向认证服务器发送Radius Request/EAPMessage/EAP-Response/SIM/Start消息,要求接入国际互联网。
s714,认证服务器向宽带接入服务器发送Radius Request/EAPMessage/EAP-Success/DHCP Request消息,该消息中携带需要询问的用户确认参数:例如级别AT RAND和地址AT MAC等。
s715,宽带接入服务器向家庭网关发送PPPoE/EAP/EAP-Request/SIM/Challenge消息,通知用户设备上报确认参数。
s716,家庭网关将PPPoE认证的EAP消息转换成802.1x的EAP消息EAPoL/EAP-Request/SIM/Challenge发给用户设备。
s717,用户设备向家庭网关回应认证响应消息EAPoL/EAP-Response/SIM/Challenge,该消息中携带确认参数。
s718,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Challenge按PPPoE的协议格式封装为PPPoE/EAP/EAP-Response/SIM/Challenge,并转发给宽带接入服务器。
s719,宽带接入服务器将PPPoE格式取出EAP消息通过Radius协议RadiusRequest/EAP Message/EAP-Response/SIM/Challenge回应认证服务器,该消息中携带用户设备的确认参数。
s720,认证服务器根据用户设备的确认参数认证用户是合法的,向宽带接入服务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息,通知用户认证成功。
s721,宽带接入服务器通过PPPoE/EAP/EAP-Success/yiaddr消息将用户设备认证成功通知家庭网关。
s722,家庭网关确认用户认证成功后,向用户设备发送认证成功消息EAPoL/EAP-Success,并继续PPPoE的过程,为用户设备申请网关的外部地址。
s723至s726,用户在确认认证成功后,发起地址分配发现报文(DHCPRequest),家庭网关的地址分配服务器直接回应地址分配确认(DHCP ACK)并启动地址分配过程为用户分配网关的内部地址。家庭网关在为用户设备分配完地址后,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射;由于权限表不允许用户访问网关因此通过权限表动态实现用户只和外部网络的转发表并且建立用户的内部地址和外部地址的映射关系。这样用户只能访问自己签约的网络运营商所提供的服务但不能接入到网关所提供的服务。
本发明实施例三中,当用户采用PPPoE拨号的接入方式,而好友的家庭网关采用DHCP Auth接入到国际互联网,但好友的家庭网关设置外部用户访问权限表允许用户访问部分的网关的资源并支持PPPoE的接入时,实现方案的功能模型如图8所示,用户设备中只包括PPPoE客户端,家庭网关中的802.1x认证替由PPPoE代理替换,其他部分与图4相同。
实施例三的认证实现过程如图9所示,包括以下步骤:
步骤s901至步骤s904,当用户设备利用以太网接入到家庭网关时,用户设备启动PPPoE拨号,家庭网关的PPPoE代理(Proxy)与用户建立PPPoE的协商。
步骤s905,用户设备向家庭网关发送PPPoE/PPP/LCP/Configure-Resquest配置请求消息。
步骤s906,家庭网关向用户设备发送PPPoE/PPP/LCP/Configure-Ack配置响应消息。
步骤s907,家庭网关启动对用户设备认证,并启动DHCP Auth/CHAP和PPPoE的认证转换。以CHAP为例,家庭网关根据用户的MAC构造DHCP消息DHCP Discover/Auth-Prot/CHAP,发送到宽带接入服务器,发起地址分配。
步骤s908,宽带地址服务器向外部DHCP服务器发送该地址发现报文DHCP Discover。
步骤s909,外部DHCP服务器向宽带地址服务器返回地址分配确认报文(DHCP Offer),该报文中携带challenge等参数。
步骤s910,宽带接入服务器向家庭网关回应该地址分配确认报文(DHCPOffer)并携带challenge等参数。
步骤s911,家庭网关从DHCP消息中取出challenge等消息构造PPP CHAP认证消息PPPoE/PPP/CHAP/Challenge,发起用户设备的认证。
步骤s912,用户设备向家庭网关回应PPPoE/PPP/CHAP/Response消息,该消息中携带用户设备自己的帐号和认证参数,如根据challenge和用户密码成功的加密字等参数。
步骤s913,家庭网关从PPP CHAP消息中取出用户设备的帐号和认证参数、及用户设备的MAC地址重新构造DHCP Request消息向宽带接入服务器请求认证并记录用户的帐号。
步骤s914,宽带接入服务器向认证服务器发送Radius/Access-Request/CHAP/Response,请求对该用户设备的请求进行认证。
步骤s915,认证服务器认证并通过Radius/Access-Accept/CHAP/Response回应认证结果。
步骤s916,宽带接入服务器向DHCP服务器发送DHCP Request请求消息,要求分配地址。
步骤s917,DHCP服务器向宽带接入服务器发送DHCP Ack确认消息,该消息中携带分配的地址。
步骤s918,宽带接入服务器确认用户认证通过后,向网关回应DHCPAck/CHAP/Success消息,通知用户认证成功并完成用户的地址分配过程。
步骤s919,家庭网关将DHCP Ack消息转换成PPPoE的CHAP认证工程消息发给用户设备。
步骤s919至步骤s924,用户设备在确认认证成功后,启动地址分配过程,家庭网关的PPPoE代理通过内置的DHCP服务器为用户分配网关内部的地址。家庭网关在为用户分配完地址后,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射;由于权限表只允许用户访问网关的部分资源,因此通过权限表动态设置用户和外部网络的部分资源之间的转发表并且建立用户的内部地址和外部地址的映射关系。这样用户只能访问自己签约的网络运营商所提供的服务但不能接入到网关所提供的服务。
本发明实施例四中,当用户采用PANA拨号的接入方式,而好友的家庭网关采用DHCP Auth接入到国际互联网,但好友的家庭网关设置外部用户访问权限表允许用户访问部分的网关的资源并支持PANA的接入时,实现方案的功能模型如图10所示,用户设备中用PANA客户端代替PPPoE客户端,家庭网关中的PAPN代理代替PPPoE代理,其他部分与图8相同。
实施例四的认证实现过程如图11所示,包括以下步骤:
步骤s1101至步骤s1104,当用户利用以太网直接到家庭网关时,用户首先启动正常的DHCP地址分配过程,家庭网关内置的DHCP服务器按正常流程为用户分配内部的地址。
步骤s1105,在获得内部地址后,用户发送PANA客户端初始化(PANAClient Initiation)启动PANA认证协商过程。
步骤s1106,家庭网关启动PANA认证代理(Proxy)与用户进行PANA的认证协商过程并启动DHCP Auth/EAP和PANA的认证转换,以EAP CHAP为例,家庭网关根据用户MAC构造DHCP Auth消息(DHCP Discover/Authprot/EAP)向宽带接入服务器请求认证并协商使用EAP认证方式。
步骤s1107,宽带接入服务器向家庭网关回应DHCP EAP/EAP-Request/Identity消息,启动EAP认证过程。
步骤s1108,家庭网关没有该用户账号信息,则将DHCP EAP/EAP-Request/Identity转换成PANA Auth request/EAP Request消息,通知用户启动EAP认证。
步骤s1109和步骤s1112,用户向家庭网关回应PANA Auth request/EAPResponse消息,该消息中携带用户的账号等相关认证信息。
步骤s1113,家庭网关提取PANA消息中的EAP消息,根据用户标识(用户帐号)和用户会话标识(用户的MAC和IP)构造DHCPEAP/EAP-Response/Identity,发送给宽带接入服务器并记录用户的账号信息。
步骤s1114,家庭网关向用户发送PANA Auth应答。
步骤s1115,宽带接入服务器从DHCP消息中提取EAP消息,通过Radius协议向认证服务器请求对该用户的请求进行认证。
步骤s1116,认证服务器根据EAP消息的认证信息对用户进行认证,一旦通过认证,则向宽带接入服务器回应Radius Request/EAP Message/EAP-Success消息。
步骤s1117,宽带接入服务器从Radius响应消息中提出EAP消息,并确认用户认证通过后,通过DHCP offer/EAP-Success/yiaddr通知家庭网关用户认证通过。
步骤s1118,家庭网关在确认用户认证成功后为该PANA会话分配SessionId,根据从DHCP offer/EAP-Success/yiaddr消息提取的EAP消息、Session Id和用户的内部地址将DHCP消息转换为PANA Bind request(EAP Success,SessionId,IP Filter)消息,通知用户认证通过并建立用户的内部地址和Session Id的绑定。家庭网关向宽带接入服务器发送DHCP Request消息继续DHCP Auth的过程,为用户申请网关的外部地址。
步骤s1119,用户在确认认证成功后,向家庭网关回应PANA Bind answer确认绑定建立成功,则用户的IP会话建立成功。
步骤s1120到步骤s1122,家庭网关在代理用户申请到用户的外部地址后,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射;同时通过权限表动态实现用户和网关设备的转发并且建立用户的内部地址和外部地址的映射关系。这样用户除了能访问自己签约的网络运营商所提供的服务而且还可以访问网关的部分资源。
本发明实施例还提供了一种网络边缘的网关设备,如图12所示,包括:认证信息转换单元10,用于将来自用户设备的认证信息承载到外部网络认证协议报文;认证单元20,与认证信息转换单元10连接,用于利用外部网络认证协议报文承载的用户设备的认证信息对用户设备进行认证;处理单元30,根据认证结果设置所述用户设备的转发表及其策略,并根据所述转发表和转发策略进行设备通信;内部地址分配单元40,用于接收来自用户设备的地址分配发现报文后,为用户设备分配网关的内部地址;映射列表单元50,用于建立用户设备所在网关的内部地址和外部地址的映射关系,并根据映射关系进行用户设备与外部设备的通信;访问权限表单元,设置网关的外部用户访问权限表,表中包括允许访问网关的用户标识和用户会话标识;访问权限确定单元,与访问权限表单元连接,用于根据用户标识、用户会话标识和外部用户访问权限表确定用户设备的访问网关的权限。
其中,认证信息转换单元10具体包括:认证信息提取子单元,用于从用户设备的认证信息中获取用户标识和MAC地址;外部网络协议封装子单元,与认证信息提取子单元,用于将用户标识和MAC地址按照外部网络协议进行封装。
无线接入给用户带来的移动的业务体验。随着WLAN等热点的大规模部署,让用户再离开家依然可以接入到国际互联网中,回到家中切换到家庭网关依然可以访问国际互联网。当一个用户到好友家中做客时,他依然可以通过自己的帐号同时接入到好友家中的网关使用好友签约的业务和网络运营商接入到国际互联网中使用自己签约的业务。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (7)
1.一种基于认证机制转换的通信方法,其特征在于,包括以下步骤:
将来自用户设备的认证信息承载到外部网络认证协议报文;
利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证;
认证成功后,家庭网关为用户设备申请家庭网关的外部地址,用户设备发起地址分配发现报文,家庭网关的地址分配服务器为用户分配网关的内部地址,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射转发策略;
根据所述权限表和静态映射转发策略进行设备通信。
2.如权利要求1所述基于认证机制转换的通信方法,其特征在于,认证成功后,家庭网关为用户设备申请家庭网关的外部地址,用户设备发起地址分配发现报文,家庭网关的地址分配服务器为用户分配网关的内部地址,根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表,并建立用户的内部地址和外部地址的静态映射转发策略具体包括:
设置网关的外部用户访问权限表,所述表中包括允许访问所述网关的用户标识列表;根据所述用户账号和所述外部用户访问权限表确定所述用户设备的访问网关的权限。
3.如权利要求2所述基于认证机制转换的通信方法,其特征在于,所述确定用户设备的访问网关的权限具体包括:允许所述用户设备访问网关和外部网络;或禁止所述用户设备访问网关和外部网络;或允许所述用户设备访问网关且禁止访问外部网络;或允许所述用户设备访问外部网络且禁止访问网关。
4.如权利要求1所述基于认证机制转换的通信方法,其特征在于,所述将来自用户设备的认证信息承载到外部网络认证协议报文具体包括:
从所述用户设备的认证信息中获取用户标识列表;
将所述用户标识列表按照外部网络协议进行封装。
5.如权利要求1所述基于认证机制转换的通信方法,其特征在于,所述利用外部网络认证协议报文对所述用户设备进行认证具体包括:
向认证服务器发送认证请求;
接收所述认证服务器返回的认证响应消息。
6.如权利要求1至5中任一项所述基于认证机制转换的通信方法,其特征在于,所述用户设备的认证信息接入方式包括:802.1x接入方式、PPPoE接入方式或PANA接入方式;所述外部网络认证协议报文包括:PPPoE或DHCP Auth。
7.如权利要求2所述基于认证机制转换的通信方法,其特征在于,所述用户标识列表包括用户标识和用户会话标识,所述用户标识包括用户帐号,所述用户会话标识包括用户设备的MAC地址或内部IP地址。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101640024A CN101414998B (zh) | 2007-10-15 | 2007-10-15 | 一种基于认证机制转换的通信方法、系统及设备 |
| PCT/CN2008/072700 WO2009049557A1 (fr) | 2007-10-15 | 2008-10-15 | Procédé, système et dispositif de communication à base de conversion d'authentification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101640024A CN101414998B (zh) | 2007-10-15 | 2007-10-15 | 一种基于认证机制转换的通信方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101414998A CN101414998A (zh) | 2009-04-22 |
| CN101414998B true CN101414998B (zh) | 2012-08-08 |
Family
ID=40567029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101640024A Expired - Fee Related CN101414998B (zh) | 2007-10-15 | 2007-10-15 | 一种基于认证机制转换的通信方法、系统及设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101414998B (zh) |
| WO (1) | WO2009049557A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130814A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种配置用户接入信息的方法、网元设备及服务器 |
| CN102111766B (zh) * | 2011-01-10 | 2015-06-03 | 中兴通讯股份有限公司 | 网络接入方法、装置及系统 |
| CN102625305B (zh) * | 2011-01-30 | 2017-05-31 | 中兴通讯股份有限公司 | 接入演进分组系统的方法及系统 |
| CN102447709A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 基于DHCP和802.1x接入权限控制方法及系统 |
| CN102833817B (zh) * | 2012-09-05 | 2015-03-11 | 中国联合网络通信集团有限公司 | 基于家庭网关的网络接入方法和系统以及家庭网关 |
| CN103888945B (zh) * | 2012-12-20 | 2018-05-08 | 中国移动通信集团公司 | 一种wlan接入方法、系统及多模网关 |
| CN103024099A (zh) * | 2012-12-28 | 2013-04-03 | 太仓市同维电子有限公司 | 基于DHCP Option消息的网络接入设备自动配置方法 |
| CN108023971B (zh) * | 2016-11-04 | 2021-04-20 | 新华三技术有限公司 | 一种dhcp报文转发方法和装置 |
| CN107133516B (zh) * | 2017-04-24 | 2020-10-30 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN107547621B (zh) * | 2017-06-27 | 2020-11-06 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN109040334B (zh) * | 2018-07-12 | 2021-05-11 | 山东师范大学 | 静态的内网映射方法、外网服务器、内网通信设备及系统 |
| CN113094719B (zh) * | 2020-01-08 | 2023-08-08 | 钉钉控股(开曼)有限公司 | 访问控制方法、装置、设备 |
| CN116132982A (zh) * | 2021-11-15 | 2023-05-16 | 中国移动通信有限公司研究院 | 认证方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
| CN1720691A (zh) * | 2002-11-29 | 2006-01-11 | 摩托罗拉公司 | 通信系统及其认证方法 |
| JP2007062417A (ja) * | 2005-08-29 | 2007-03-15 | Toshiba Corp | 乗車経路案内装置、乗車経路案内システム、乗車経路案内方法、及び改札機 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101013523B1 (ko) * | 2002-04-26 | 2011-02-10 | 톰슨 라이센싱 | 액세스 네트워크 사이의 연동에서의 과도적인 인증 공인 계정 |
| CN1248448C (zh) * | 2002-05-15 | 2006-03-29 | 华为技术有限公司 | 一种宽带网络的接入方法 |
| JP2004062417A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
| CN1243434C (zh) * | 2002-09-23 | 2006-02-22 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| JP4161791B2 (ja) * | 2003-05-12 | 2008-10-08 | ソニー株式会社 | 機器間認証システム及び機器間認証方法、通信装置、並びにコンピュータ・プログラム |
| KR100689554B1 (ko) * | 2004-10-07 | 2007-03-02 | 삼성전자주식회사 | 광대역 무선 접속 통신 시스템에서 옥내 및 옥외 무선접속을 제공하는 장치 및 방법 |
-
2007
- 2007-10-15 CN CN2007101640024A patent/CN101414998B/zh not_active Expired - Fee Related
-
2008
- 2008-10-15 WO PCT/CN2008/072700 patent/WO2009049557A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1720691A (zh) * | 2002-11-29 | 2006-01-11 | 摩托罗拉公司 | 通信系统及其认证方法 |
| CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
| JP2007062417A (ja) * | 2005-08-29 | 2007-03-15 | Toshiba Corp | 乗車経路案内装置、乗車経路案内システム、乗車経路案内方法、及び改札機 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009049557A1 (fr) | 2009-04-23 |
| CN101414998A (zh) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101414998B (zh) | 一种基于认证机制转换的通信方法、系统及设备 | |
| JP7035163B2 (ja) | ネットワークセキュリティ管理方法および装置 | |
| CN101309284B (zh) | 一种远程接入的通信方法、设备和系统 | |
| CN1332542C (zh) | 使用无线LAN的VoIP无线电话系统和方法 | |
| CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| TW200803301A (en) | Automatic selection of a home agent | |
| JP2009531943A (ja) | デジタル処理装置及びこれを用いた付加サービス提供方法 | |
| EP2547051A1 (en) | Confidential communication method using vpn, a system and program for the same, and memory media for program therefor | |
| CN103428664A (zh) | 一种网络融合的方法、设备及通信系统 | |
| JP4634445B2 (ja) | I−wlanの一時アイデンティティを記憶する方法及びシステム | |
| CN102547702B (zh) | 用户认证方法、系统及密码处理装置 | |
| CN113329454A (zh) | 发布路由的方法、网元、系统及设备 | |
| WO2001035230A1 (fr) | Dispositif de commande de communication, dispositif hote, et procede de communication | |
| JP5670933B2 (ja) | 認証情報変換装置及び認証情報変換方法 | |
| CN103188228B (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
| KR101506594B1 (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
| JP2001223760A (ja) | 通信制御装置及びそのホスト機器並びに通信方法 | |
| WO2009080107A1 (en) | Method and arrangement for network roaming of corporate extension identities | |
| CN105306353A (zh) | 一种转发报文的方法、设备及系统 | |
| CN211378259U (zh) | 一种智能家居设备及其通信系统 | |
| JP2006229265A (ja) | ゲートウェイシステム | |
| JP2002041476A (ja) | ユーザ認証システム及びユーザ認証方法 | |
| CN101197835A (zh) | 虚拟专用网接入方法、系统及装置 | |
| CN101043515B (zh) | 一种为网络设备下发网管信息的方法和系统 | |
| EP4418618A1 (en) | Method for operating a customer premises equipment with a broadband access network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 Termination date: 20191015 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |