CN101499993A - 一种认证方法、设备和系统 - Google Patents
一种认证方法、设备和系统 Download PDFInfo
- Publication number
- CN101499993A CN101499993A CNA2008100002938A CN200810000293A CN101499993A CN 101499993 A CN101499993 A CN 101499993A CN A2008100002938 A CNA2008100002938 A CN A2008100002938A CN 200810000293 A CN200810000293 A CN 200810000293A CN 101499993 A CN101499993 A CN 101499993A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- dpf
- certificate server
- triggers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种认证方法、设备和系统。本发明方法包括:网关移动台G-MS接收来自主机的认证触发消息;网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器触发认证。本发明能够实现基于以太网汇聚子层的多主机的场景下的主机认证。
Description
技术领域
本发明涉及通信技术,尤其涉及一种认证方法、设备和系统。
背景技术
WiMAX是针对微波和毫米波频段提出的一种新的空中接口标准,它将802.11a无线接入热点连接到互联网,也可以连接公司与家庭等环境至有线骨干线路,并且可以作为线缆和数字用户链路(DSL,Digital Subscriber Line)的无线扩展技术,从而实现无线宽带接入。
基于IEEE 802.16标准的WiMAX网络能够提供更高的接入速率,参照图1,为现有技术中多主机WiMAX系统网络架构体系示意图,该网络架构体系包括移动台(MS,Mobile Station)11、网关移动台(G-MS,Gateway MobileStation)12以及它所带的主机(Host)13、接入服务网络(ASN,Access ServiceNetwork)14和连接服务网络(CSN,Connectivity Service Network)15。
其中,MS为移动用户终端设备,用户使用该设备接入WiMAX网络;ASN包括基站(BS,Base Station)和接入服务网络网关(ASN-GW,AccessService Network Gateway)等,为WiMAX终端设备提供无线接入服务的网络功能集合。ASN包括如下功能实体:物理/媒体访问控制功能实体(PHY/MACFunction)、数据通道控制功能实体、鉴权器、服务流授权实体(SFA,ServiceFlow Authorization)和外部代理等。
对于有多个主机的WiMAX系统,G-MS所带的主机通过802.3、802.11、802.16链路接入BS,G-MS通过R1接口连接BS,网络接入提供者(NAP,NetworkAccess Provider)的BS之间通过R8连接,BS与ASN-GW之间的接口为R6,ASN GW之间的接口为R4接口,ASN-GW与NSP的CSN之间的接口为R3。
在现有技术中,缺乏基于以太网汇聚子层(Eth-CS)的认证方法。
发明内容
本发明实施例要解决的技术问题是,能够提供基于以太网汇聚子层的认证方法、设备和系统。
为解决上述技术问题,本发明所提供的实施例是通过以下技术方案实现的:
本发明实施例提供了一种认证方法,该方法包括:
网关移动台G-MS接收来自主机的认证触发消息;
网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器触发认证。
本发明实施例还提供了一种网络系统,该网络系统包括网关移动台G-MS,所述G-MS以可通信方式同主机以及认证服务器相连;所述G-MS,用于接收来自主机的认证触发消息,将所述认证触发消息通过以太网汇聚子层发送到认证服务器;
所述认证服务器,用于接收G-MS通过以太网汇聚子层发送的认证触发消息,对所述主机进行认证。
本发明实施例还提供了一种网关移动台,该网关移动台包括:接收单元、发送单元,其中:
所述接收单元,用于接收来自主机的认证触发消息;
所述发送单元,用于将所述接收单元所接收到的所述认证触发消息通过以太网汇聚子层发送给认证服务器。
本发明实施例还提供了一种数据通道功能实体,该功能实体包括:接收单元、数据过滤单元、发送单元,其中:
接收单元,用于接收由以太网汇聚子层承载的消息;
数据过滤单元,用于对接收单元所接收到的消息进行过滤,若所接收到的消息为认证触发消息,或者已知服务流上传输的消息为认证触发消息,通知发送单元发送所述认证触发消息;
发送单元,用于发送认证触发消息给认证服务器。
从以上技术方案可以看出,本发明实施例所提供的技术方案中,当网关移动台接收到主机发送的认证触发消息时,将所述认证触发消息通过以太网汇聚子层可以传送到认证服务器,触发认证,从而能够实现基于以太网汇聚子层的多主机的场景下的主机认证。
附图说明
图1为现有技术中多主机WiMAX系统网络架构体系示意图;
图2为本发明实施例中主机通过EAPoL的方式接入认证的信令流程图;
图3为本发明实施例中主机通过PPPoE的方式接入认证的信令流程图;
图4为本发明实施例中网络系统结构示意图;
图5为本发明实施例中G-MS设备结构示意图;
图6为本发明实施例中DPF设备结构示意图。
具体实施方式
本发明实施例提供了一种认证方法、设备和系统,为使本发明实施例的目的、技术方案和优点更加清楚、明了,以下参照附图,通过具体实施例进行详细说明。
本发明实施例提供了一种认证方法,该方法包括:
网关移动台G-MS接收来自主机的认证触发消息,网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器触发认证。
可见,G-MS通过以太网汇聚子层承载认证触发消息将所述认证触发消息发送给认证服务器,触发认证,从而可以实现基于以太网汇聚子层的主机认证。
以下通过具体的实现场景进行详细说明:
参照图2,为本发明实施例中主机通过可扩展认证协议(EAPoL,ExtensibleAuthentication Protocol over LAN)的方式接入认证的信令流程图,以下通过具体步骤进行详细说明:
步骤21、主机发送EAPoL-Start消息给G-MS,触发EAP认证开始;
EAPoL-Start消息用于触发EAP认证流程。其中,局域网承载的EAPoL为局域网承载EAP认证消息的协议,为数据链路层协议。
步骤22、G-MS接收来自主机的消息,判断所述接收的消息是否为EAPoL消息,并将主机发送的EAPoL消息发送到网络,触发认证;
本发明实施例中,所述G-MS可以根据主机发送消息中所携带的协议类型来判断该消息是否为EAPoL消息,并将主机发送的EAPoL消息发送给网络从而触发认证。根据消息的源MAC地址可以获得发送该消息的主机标识,对于未经认证的主机发送的其他消息,则可不做处理。
步骤23、为承载所述EAPoL消息,可选的,G-MS可以建立新的以太网汇聚子层(Eth-CS)的服务流,或者使用已有的Eth-CS服务流;
G-MS可以发起建立一个新的服务流以承载所述EAPoL消息;也可以使用一个已有的服务流承载,如果使用已有的服务流承载,则可以通过更新已有的服务流分类器,使得数据通道控制功能实体在转发下行数据时可以分类到合适的服务流,以及使移动台对上行数据进行正确的分类。
若G-MS使用自己的初始服务流来承载主机发送的数据,则可以不需要此步骤。
步骤24、G-MS将所述EAPoL-Start消息传送给认证服务器;
具体的,本发明实施例中,所述认证服务器可以是宽带远程接入服务器(BRAS,Broadband Remote Access Server),也可以是AAA。
这里可以有多种实现方式,以下参照图2介绍两种实现方法:
24a)G-MS通过基于以太网汇聚子层的服务流向网络侧转发EAPoL-Start消息,DPF可以通过数据分类功能检测到所承载的消息为EAPoL消息,或者在事先已知道该服务流上传输的数据为EAPoL消息,需要发送到DSL等支持EAPoL认证的网络时,将所述EAPoL-Start消息转发给所述BRAS;
24b)G-MS转发EAPoL-Start消息到网络侧,由Serving DPF检测到该消息为EAPoL消息则通过以太网汇聚子层发送给所述BRAS;
Serving DPF的具体检测转发机制与步骤24a)相同,不再赘述。
步骤25、BRAS接收到所述EAPoL-Start消息后,触发对主机的EAP认证;
主机和BRAS间进行EAP消息的交互,进行认证,具体的EAP认证方法可以使用现有的EAP方法,具体方法流程在此不再赘述。
可选的,若BRAS不支持认证功能,则可以由BRAS将所述EAPoL消息转发给AAA,BRAS与AAA交互进行认证,此时,BRAS作为AAA的代理服务器。
进一步的,本发明实施例中,若获知主机认证成功,则网络侧网元可以发起业务流建立过程,具体可以为:若获知主机认证成功,则G-MS的SFA或DPF,或者Serving DPF发送主机的业务流建立过程,其中携带有主机标识、业务流标识以及业务流参数,还可以进一步包括服务质量(QoS,Quality ofService)、或业务流分类器等信息。
步骤26、G-MS建立主机对应的业务流,在接收到主机发送的消息时,通过服务流分类器将主机数据映射到对应的服务流上进行传输。
可见,G-MS通过Eth-CS这种以太网汇聚子层承载EAPoL消息的方式,通过Serving DPF或者G-MS的DPF转发至BRAS或AAA触发BRAS或AAA认证,从而可以实现在多主机场景下基于以太网汇聚子层承载的消息的主机认证。
而且,当认证成功后,网络侧的网元能够感知主机认证结果,从而可以发起主机业务流的建立。
参照图3,为本发明实施例中主机通过PPPoE的方式接入认证的信令流程图,以下通过具体步骤进行详细说明:
步骤31、主机发送PADI(PPPoE Active Discovery Initiation)广播消息;
所述PADI广播消息用于发现对端MAC地址和获得PPPoE的会话标识。
步骤32、G-MS接收来自主机的消息,并将所述来自主机的消息中的PPPoE或PPP协议的消息使用Eth-CS承载发送给网络,触发认证;
G-MS可以根据主机发送的消息中所携带的协议类型来判断该消息是否为PPPoE消息或PPP消息,并将主机发送的PPPoE或PPP消息发送给网络从而触发认证,对于未经认证的主机发送的其他消息,则可不做处理。
步骤33、为承载所述PPPoE消息,可选的,G-MS可以新建立Eth-CS的服务流,或者也可以是使用已有的Eth-CS服务流;
G-MS可以发起建立一个新的服务流以承载所述PPPoE消息;也可以使用一个已有的服务流承载,如果使用已有的服务流承载,则可以通过更新已有的服务流分类器,使得数据通道控制功能实体在转发下行数据时可以分类到合适的服务流,以及使移动台对上行数据进行正确的上行数据分类。
若G-MS使用自己的初始服务流来承载主机发送的数据,则可以不需要此步骤。
步骤34、G-MS将PADI消息传送到认证服务器触发认证服务器对主机进行认证;
具体实施中,认证服务器可以是BRAS,也可以是AAA或者别的认证服务器。
这里可以有多种实现方式,以下参照图3介绍两种实现方法:
34a)G-MS通过基于以太网汇聚子层的服务流向网络侧转发PADI消息,DPF可以通过数据分类功能检测到所承载的消息为PPPoE消息,或者在事先已知道该服务流上传输的消息为PPPoE消息,需要发送到DSL等支持PPPoE或/和PPP认证的网络的下,将PADI消息转发至BRAS;
34b)G-MS转发PADI消息给网络侧,由Serving DPF检测到该数据为认证数据,并直接发送到BRAS;
Serving DPF的具体判断机制与步骤34a)相同,不再赘述。
步骤35、主机和BRAS之间建立PPPoE会话;
BRAS接收到主机的PADI消息后,向主机返回PADO(PPPoE ActiveDiscovery Offer)消息,传输过程通过上述的Eth-CS承载进行,然后主机可以与BRAS交互PADR/PADS(PPPoE Active Discovery Request/PPPoE ActiveDiscovery Session-confirmation)信令,建立PPPoE会话。
步骤36、主机和BRAS之间建立PPP会话,进行认证;
主机和BRAS之间建立PPP会话,包括链路控制协议(LCP,Link ControlProtocol)建立,基于口令验证协议(PAP,Password Authentication Protocol)、挑战握手验证协议(CHAP、Challenge-Handshake Authentication Protocol)或EAP的认证,以及LCP阶段协商过的网络控制协议(NCP,Network ControlProtocol)过程。
可选的,当BRAS不支持认证功能时,可以由BRAS将PADI消息转发至AAA,BRAS与AAA交互进行认证,此时,BRAS作为AAA的代理服务器。
若获知主机认证成功,G-MS的SFA或DPF,或者Serving DPF可以发起主机的服务流建立过程。
步骤37、G-MS检测到PPP认证结果,并根据认证结果创建新的入口表项。
可以看出,该技术方案中,通过PPPoE这种以太网汇聚子层承载触发认证消息的方式,也可以实现主机认证。
进一步,当认证成功后,网络侧的网元能够感知主机认证结果,从而可以发起主机业务流的建立。
上述实施例中,主机的认证触发消息通过G-MS传送到BRAS或AAA可以采取DPF转发的方式,也可以通过Serving DPF转发。
当采用DPF转发这种实现方式时,需要DPF和BRAS之间可以进行基于以太网汇聚子层的数据通信。而采用由DPF转发认证触发消息这种实现方式,还可以解决DPF与BRAS/AAA关联的问题,以下通过一些应用场景进行说明:
对于DPF如何找到BRAS/AAA等认证服务器,可以采取如下三种方法:
a.DPF上预先配置BRAS/AAA信息,所配置的BRAS/AAA与DPF之间能够进行以太网汇聚子层的数据通信。当DPF接收到来自主机的认证触发消息时,则将该消息转发给预先配置的BRAS/AAA,从而触发认证;
b.DPF也可以不配置BRAS/AAA信息,当接收到来自主机的认证触发消息时,选择将认证触发消息发送给一个可到达的BRAS/AAA来执行认证;
c.或者DPF根据认证触发消息中的用户标识信息所指定的域信息或者服务信息(如PPPoE中的服务器名称)选择对应的BRAS/AAA。
在认证过程中,DPF与BRAS/AAA可以保存彼此的关联关系(即DPF与BRAS/AAA之间的关联关系),所述关联关系中可包括但不限于主机MAC地址、DPF地址、BRAS/AAA地址、会话标识等信息。
若DPF迁移,需要更新所述关联关系。
主机入网后,如果需要重认证,则可以根据当前DPF与BRAS/AAA的关联关系进行。
如果DPF发生迁移,进而可能导致主机发起重认证时,可以按照以下几种方式处理:
1.主机发送带有指示认证服务器(BRAS或AAA)地址的Well Known
MAC地址的认证触发消息。G-MS通过以太网汇聚子层将认证触发消息传送给迁移后的DPF。所述迁移后的DPF将所述认证触发消息转发给该DPF选择的认证服务器(BRAS或AAA),触发执行认证过程。其中,所述迁移后的DPF可以预先配置认证服务器(BRAS或AAA)信息,并将认证触发消息发送给该认证服务器(BRAS或AAA)上,或是所述迁移后的DPF也可以选择一个可达到的认证服务器(BRAS或AAA),将认证触发消息发送给该认证服务器(BRAS或AAA)从而触发执行认证过程;
2.主机发送带有原BRAS/AAA地址的认证触发消息,迁移后的DPF收到之后从中获取该原认证服务器(BRAS或AAA)的地址,然后将认证触发消息转发给原认证服务器(BRAS或AAA)地址对应的认证服务器从而触发认证;
3.主机发送带有原认证服务器(BRAS或AAA)地址的认证触发消息,迁移后的DPF收到之后会从中获取原认证服务器(BRAS或AAA)地址,并对认证过程中的消息做如下处理:将上行消息(由主机发送给认证服务器的消息)中的目的地址(如,可以是目的MAC地址)修改为迁移后的认证服务器(BRAS或AAA)的地址,转发给迁移后的认证服务器(BRAS或AAA),触发认证;将收到的下行消息(由认证服务器发送给主机的消息)中的源地址(如,可以是源MAC地址)修改为原认证服务器(BRAS或AAA)地址,然后下发。这样,可以起到对主机隐藏认证服务器迁移的作用。
如果DPF迁移导致BRAS/AAA迁移,还可以释放原BRAS/AAA上保存的主机相关信息,包括主机安全信息和/或与原DPF的关联关系。释放的方法可以是:在迁移过程中如果BRAS/AAA发生迁移,则触发原BRAS/AAA释放该信息,也可以在重认证时DPF触发原BRAS/AAA释放所述与主机相关的信息。
通过本发明实施例,在DPF上保存所述DPF与BRAS/AAA之间的关联关系,这样在发生DPF迁移等场景下,可以通过本发明实施例提供的方法实现以太网汇聚子层的认证。
以上详细介绍了本发明实施例所提供的认证方法,为使本领域技术人员更好地理解和实现本发明,以下参照附图,对本发明实施例所提供的网络系统进行详细描述:
参照图4,为本发明实施例中网络系统结构示意图,该网络系统包括网关移动台G-MS41,所述G-MS41以可通信方式同主机以及认证服务器42相连,所述G-MS41用于接收来自主机的认证触发消息,将所述认证触发消息通过以太网汇聚子层传送给认证服务器42;
所述认证服务器42,用于接收G-MS41通过以太网汇聚子层发送的认证触发消息,对所述主机进行认证。
采用该网络系统,通过G-MS发送由以太网汇聚子层承载的认证触发消息到认证服务器触发认证服务器对主机进行认证,可以实现基于以太网汇聚子层的多主机认证。
具体的,本发明实施例中,所述认证触发消息可以是EAPoL-Start消息,也可以是PADI消息。认证服务器可以是AAA,也可以是BRAS,当认证服务器为AAA时,认证触发消息可通过BRAS转发,此时,BRAS作为AAA的代理服务器。
可选的,本发明实施例中,所述认证触发消息可以通过中间网元进行转发,例如G-MS DPF或Serving DPF等DPF。通过DPF转发时,还可以解决DPF与认证服务器关联的问题。
参照图4,该网络系统还可以进一步包括DPF43,用于接收所述G-MS41发送的由以太网汇聚子层承载的认证触发消息,通过数据分类功能检测到所承载的消息为认证触发消息,或者已知所述服务流上传输的消息为认证触发消息时,将所述认证触发消息转发给认证服务器42。
进一步的,本发明实施例中,所述DPF43和认证服务器42还可以分别保存彼此之间的关联关系。
进一步的,本发明实施例中,若认证服务器42发生迁移,为了信息安全,可以释放原认证服务器上保存的主机相关信息,包括主机安全信息和该认证服务器与原DPF的关联关系。
进一步的,本发明实施例中,如果DPF43发生迁移,导致主机发起重认证,则所述DPF43还可以用于接收主机发送的认证触发消息并转发给本DPF43所选择的认证服务器(BRAS或AAA)触发执行认证过程。
所述网络系统中的DPF43还可用于接收主机重认证时发送的认证触发请求消息,所述认证触发消息中携带有原认证服务器(BRAS或AAA)地址或用于指示原认证服务器(BRAS或AAA)地址的初始媒体接入控制子层MAC地址,DPF获取该地址,然后将认证触发请求消息转发给该地址对应的认证服务器,触发认证。
所述网络系统中的DPF还可以用于接收主机重认证时发送的认证触发消息,并将所述认证触发消息中的原认证服务器(BRAS或AAA)地址修改为迁移后的认证服务器(BRAS或AAA)地址,转发给迁移后的认证服务器(BRAS或AAA)触发认证;并将认证服务器(BRAS或AAA)返回的认证触发响应消息中的源地址(如,可以是源MAC地址)修改为原认证服务器(BRAS或AAA)地址,然后下发。这样可以起到对主机隐藏认证服务器(BRAS或AAA)迁移的作用。
通过本发明实施例提供的系统,G-MS通过以太网汇聚子层承载认证触发消息将所述认证触发消息发送给认证服务器,触发认证,从而可以实现基于以太网汇聚子层的主机认证。
以上对本发明实施例中的认证方法和网络系统进行了详细描述,为使本领域技术人员更好地理解和实现本发明,以下对本发明实施例所采用的通信设备进行详细描述:
参照图5,为本发明实施例中G-MS设备结构示意图,该G-MS包括:接收单元51、发送单元52,其中:
接收单元51,用于接收来自主机的认证触发消息;
发送单元52,用于将接收单元51所接收到的认证触发消息通过以太网汇聚子层发送给认证服务器。
该G-MS设备用于将主机发送的认证触发消息通过以太网汇聚子层传送到认证服务器,并触发认证服务器对主机进行认证,可以实现基于以太网汇聚子层的主机认证。
本发明实施例还提供了一种数据通道功能实体DPF,参照图6,为本发明实施例中DPF结构示意图,包括:接收单元61、数据过滤单元62、发送单元63,其中:
接收单元61,用于接收由以太网汇聚子层承载的消息;
数据过滤单元62,用于对接收单元61所接收到的所述消息进行过滤,若所接收到的消息为认证触发消息,或者已知所述服务流上传输的消息为认证触发消息,通知发送单元63发送所述认证触发消息;
发送单元63,用于发送所述认证触发消息给认证服务器。
可选的,所述DPF中还可包括保存单元,用于保存所述DPF和认证服务器的关联关系。
通过本发明实施例提供的数据通道功能实体DPF,可以将由以太网汇聚子层承载的认证触发消息转发给认证服务器,触发认证服务器对主机进行认证,可以实现基于以太网汇聚子层的主机认证。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
网关移动台G-MS接收来自主机的认证触发消息;
网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器触发认证。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种认证方法、设备和系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (19)
1.一种认证方法,其特征在于,包括:
网关移动台G-MS接收来自主机的认证触发消息;
网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器触发认证。
2.如权利求1所述的认证方法,其特征在于,包括:
所述认证触发消息为EAPoL-Start消息或PADI消息。
3.如权利要求1所述的认证方法,其特征在于,所述网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器为:
G-MS通过以太网汇聚子层将所述认证触发消息传送给数据通道功能实体DPF;
所述DPF检测到所承载的消息为认证触发消息,或者已知服务流上传输的消息为认证触发消息,将所述认证触发消息转发给所述认证服务器。
4.如权利要求3所述的认证方法,其特征在于,所述DPF将所述认证触发消息转发给预先配置的认证服务器或可到达的认证服务器。
5.如权利要求1至4任一项所述的认证方法,其特征在于,所述认证服务器为宽带远程接入服务器BRAS。
6.如权利要求1至4任一项所述的认证方法,其特征在于,
所述认证服务器为认证、授权和计费服务器AAA,则所述DPF将所述认证触发消息转发给所述认证服务器具体为:
所述DPF将所述认证触发消息转发给宽带远程接入服务器BRAS;
所述BRAS将所述认证触发消息转发给所述AAA。
7.如权利要求3或4所述的认证方法,其特征在于,进一步包括:
所述DPF与所述认证服务器保存所述DPF和所述认证服务器之间的关联关系。
8.如权利要求7所述的认证方法,其特征在于,进一步包括:
若所述DPF发生迁移,更新所述DPF和认证服务器之间的关联关系。
9.如权利要求7所述的认证方法,其特征在于,进一步包括:
若认证服务器发生迁移,释放原认证服务器上保存的主机的相关信息,所述相关信息中包括所述原认证服务器与DPF之间的关联关系。
10.如权利要求3或4所述的认证方法,其特征在于,若所述DPF发生迁移触发所述主机重认证,则所述方法进一步包括:
G-MS通过以太网汇聚子层将认证触发消息传送给迁移后的DPF,所述迁移后的DPF将所述认证触发消息转发给该DPF选择的认证服务器,所述认证触发消息中携带有用于指示原认证服务器地址的初始媒体接入子层MAC地址;
或者,
G-MS通过以太网汇聚子层将认证触发消息传送给迁移后的DPF,所述迁移后的DPF从所述认证触发消息中获取原认证服务器地址,将所述认证触发消息转发给所述原认证服务器地址对应的认证服务器;
或者,
G-MS通过以太网汇聚子层将认证触发消息传送给迁移后的DPF,所述迁移后的DPF在认证过程中将上行消息中的目的地址修改为迁移后的认证服务器地址,将所述迁移后的认证服务器返回的下行消息中的源地址修改为原认证服务器地址。
11.如权利要求3所述的认证方法,其特征在于,所述网关移动台G-MS将所述认证触发消息通过以太网汇聚子层发送给认证服务器前一步包括:
G-MS建立以太网汇聚子层的服务流或者更新已有的服务流分类器,用于承载主机发送的数据。
12.一种网络系统,其特征在于,所述网络系统包括网关移动台G-MS,所述G-MS以可通信方式同主机以及认证服务器相连;
所述G-MS,用于接收来自主机的认证触发消息,将所述认证触发消息通过以太网汇聚子层发送到认证服务器;
所述认证服务器,用于接收G-MS通过以太网汇聚子层发送的认证触发消息,对所述主机进行认证。
13.如权利要求12所述的网络系统,还包括:
数据通道功能实体DPF,用于接收G-MS发送的由以太网汇聚子层承载的认证触发消息,并通过数据分类功能检测到所承载的消息为认证触发消息,或者已知服务流上传输的消息为认证触发消息时,将所述认证触发消息转发至认证服务器。
14.如权利要求13所述的网络系统,其特征在于,所述DPF还用于保存所述DPF与认证服务器之间的关联关系;
所述认证服务器还用于保存与所述DPF的关联关系。
15.如权利要求13所述的网络系统,其特征在于,
所述DPF还用于接收主机发送的认证触发消息并转发给所述DPF所选择的认证服务器触发认证,所述认证触发消息中携带有原认证服务器地址或用于指示原认证服务器地址的初始媒体接入控制子层MAC地址。
16.如权利要求13所述的网络系统,其特征在于,
所述DPF还用于接收主机重认证时发送的认证触发消息,并将所述认证触发消息中的原认证服务器地址修改为迁移后的认证服务器地址,将所述认证触发消息发送给所述迁移后的认证服务器;
将所述迁移后的认证服务器返回的认证响应消息中的源地址修改为原认证服务器地址,发送给所述主机。
17.一种网关移动台,其特征在于,包括:接收单元、发送单元,其中:
所述接收单元,用于接收来自主机的认证触发消息;
所述发送单元,用于将所述接收单元所接收到的所述认证触发消息通过以太网汇聚子层发送给认证服务器。
18.一种数据通道功能实体,其特征在于,包括:接收单元、数据过滤单元、发送单元,其中:
接收单元,用于接收由以太网汇聚子层承载的消息;
数据过滤单元,用于对接收单元所接收到的消息进行过滤,若所接收到的消息为认证触发消息,或者已知服务流上传输的消息为认证触发消息,通知发送单元发送所述认证触发消息;
发送单元,用于发送认证触发消息给认证服务器。
19.如权利要求18所述的数据通道功能实体,其特征在于,还包括:
保存单元,用于保存所述数据通道功能实体和所述认证服务器的关联关系。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100002938A CN101499993B (zh) | 2008-01-30 | 2008-01-30 | 一种认证方法、设备和系统 |
| PCT/CN2009/070246 WO2009097795A1 (zh) | 2008-01-30 | 2009-01-21 | 一种认证方法、设备和系统 |
| US12/846,190 US8458773B2 (en) | 2008-01-30 | 2010-07-29 | Method, device, and system for authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100002938A CN101499993B (zh) | 2008-01-30 | 2008-01-30 | 一种认证方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101499993A true CN101499993A (zh) | 2009-08-05 |
| CN101499993B CN101499993B (zh) | 2012-07-04 |
Family
ID=40946875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100002938A Active CN101499993B (zh) | 2008-01-30 | 2008-01-30 | 一种认证方法、设备和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8458773B2 (zh) |
| CN (1) | CN101499993B (zh) |
| WO (1) | WO2009097795A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458773B2 (en) | 2008-01-30 | 2013-06-04 | Huawei Technologies Co., Ltd. | Method, device, and system for authentication |
| CN103685588A (zh) * | 2012-09-10 | 2014-03-26 | 中兴通讯股份有限公司 | 客户端模式下无线网络设备网桥转发报文的方法及装置 |
| CN103905303A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种虚拟机vm跨网迁移后的数据处理方法、装置及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546552B (zh) * | 2010-12-24 | 2015-02-04 | 中国联合网络通信集团有限公司 | 认证方法、设备和系统 |
| US9473940B2 (en) * | 2015-02-20 | 2016-10-18 | Roku, Inc. | Authenticating a browser-less data streaming device to a network with an external browser |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7965693B2 (en) * | 2002-05-28 | 2011-06-21 | Zte (Usa) Inc. | Interworking mechanism between wireless wide area network and wireless local area network |
| US7561692B2 (en) * | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| CN101064605B (zh) * | 2006-04-29 | 2011-02-16 | 华为技术有限公司 | 一种多主机网络的aaa系统及认证方法 |
| CN101499993B (zh) | 2008-01-30 | 2012-07-04 | 华为技术有限公司 | 一种认证方法、设备和系统 |
-
2008
- 2008-01-30 CN CN2008100002938A patent/CN101499993B/zh active Active
-
2009
- 2009-01-21 WO PCT/CN2009/070246 patent/WO2009097795A1/zh active Application Filing
-
2010
- 2010-07-29 US US12/846,190 patent/US8458773B2/en active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458773B2 (en) | 2008-01-30 | 2013-06-04 | Huawei Technologies Co., Ltd. | Method, device, and system for authentication |
| CN103685588A (zh) * | 2012-09-10 | 2014-03-26 | 中兴通讯股份有限公司 | 客户端模式下无线网络设备网桥转发报文的方法及装置 |
| CN103905303A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种虚拟机vm跨网迁移后的数据处理方法、装置及系统 |
| CN103905303B (zh) * | 2012-12-28 | 2018-02-23 | 中国移动通信集团公司 | 一种虚拟机vm跨网迁移后的数据处理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100293603A1 (en) | 2010-11-18 |
| CN101499993B (zh) | 2012-07-04 |
| WO2009097795A1 (zh) | 2009-08-13 |
| US8458773B2 (en) | 2013-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2556468C2 (ru) | Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента | |
| US9015815B2 (en) | Method and system for authenticating a network node in a UAM-based WLAN network | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| EP2606678B1 (en) | Systems and methods for maintaining a communication session | |
| CN103222292A (zh) | 利用安全热点网络的动态帐户创建 | |
| US20020174335A1 (en) | IP-based AAA scheme for wireless LAN virtual operators | |
| US8509440B2 (en) | PANA for roaming Wi-Fi access in fixed network architectures | |
| US7861076B2 (en) | Using authentication server accounting to create a common security database | |
| EP2572491B1 (en) | Systems and methods for host authentication | |
| US8588742B2 (en) | Method and apparatus for providing wireless services to mobile subscribers using existing broadband infrastructure | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| US20130104207A1 (en) | Method of Connecting a Mobile Station to a Communcations Network | |
| CN108738019B (zh) | 融合网络中的用户认证方法及装置 | |
| CN110611893B (zh) | 为漫游无线用户设备扩展订户服务 | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| CN101499993B (zh) | 一种认证方法、设备和系统 | |
| US20080184332A1 (en) | Method and device for dual authentication of a networking device and a supplicant device | |
| CN101577915B (zh) | Dsl网络接入的认证方法以及系统 | |
| EP2073432B1 (en) | Method for binding an access terminal to an operator and corresponding access terminal | |
| JP5423320B2 (ja) | 無線通信システム及び方法 | |
| CN101483521B (zh) | WiMAX网络的多主机接入认证方法及系统 | |
| CN103687049B (zh) | 多连接建立的方法及系统 | |
| WO2011079532A1 (zh) | 一种提供域间服务的方法和设备 | |
| KR100818372B1 (ko) | 통신 프로토콜 스택의 스위칭 기능을 이용한 유선 통신망과 무선 통신망 간 서비스 품질 보장을 제공하는 단말장와 이를 위한 기록매체 | |
| WO2012025005A1 (zh) | 一种接纳控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211230 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: Super fusion Digital Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |