CN101651682B - 一种安全认证的方法、系统和装置 - Google Patents
一种安全认证的方法、系统和装置 Download PDFInfo
- Publication number
- CN101651682B CN101651682B CN200910093216A CN200910093216A CN101651682B CN 101651682 B CN101651682 B CN 101651682B CN 200910093216 A CN200910093216 A CN 200910093216A CN 200910093216 A CN200910093216 A CN 200910093216A CN 101651682 B CN101651682 B CN 101651682B
- Authority
- CN
- China
- Prior art keywords
- sta
- authentication
- wine
- radius
- rice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种安全认证的方法、系统和装置,接入控制器(AC)在激活对移动终端(STA)的空口认证后,将空口认证请求封装在远程用户拨号认证系统(Radius)协议报文中经由宽带接入服务器(BRAS)发送给空口认证服务器,并经由BRAS接收空口认证服务器返回封装了认证结果的Radius协议报文;在认证结果为认证成功时,授权STA接入无线网络,BRAS确定认证结果为认证成功时允许该STA接入城域网。将BRAS融入空口认证过程,采用一次空口认证过程同时实现空口和接入城域网的安全认证,实现简单,为用户带来了较好的用户体验。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种安全认证的方法、系统和装置。
背景技术
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密码算法和对称密码体制的分组密码算法,用于无线局域网(WLAN,Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证,访问控制和用户信息在无线传输状态下的加密保护。
当移动终端(STA)登录无线接入点(AP)时,在使用或者访问网络之前必须通过鉴别服务器(AS)对STA和AP进行WAPI认证,即进行身份鉴别,验证通过后STA才能通过AP访问网络,这样不仅可以防止非法移动终端接入AP而访问网络并占用网络资源,而且可以防止STA登录非法AP而造成信息泄漏。WAPI认证的流程可以如图1所示,主要包括以下步骤:
步骤101:STA登录AP并与AC进行802.11链路协商。
步骤102:AC激活对STA的WAPI认证处理。
步骤103:AC向AS服务器发送WAPI认证请求,该WAPI认证请求中包含STA和AP的身份信息,AS对两者身份进行认证,将认证结果通过AC发送至STA。
步骤104:如果认证成功,AC与STA进行密钥协商。
步骤105:密钥协商完成后,AC授权该STA使用WAPI网络。
WAPI认证过程是空口认证过程,STA在空口认证通过后,在接入城域网之前通常要进行Portal认证,Portal认证的流程可以如图2所示,主要包括以下步骤:
步骤201:STA与宽带接入服务器(BRAS)之间进行动态主机配置协议(DHCP)过程,获取IP地址。
步骤202:STA发送HTTP请求给BRAS。
步骤203:BRAS将HTTP请求重定向至入口(Portal)服务器。
步骤204:Portal服务器推送认证页面给STA,并根据STA输入的用户名、密码等认证信息对该STA进行Portal认证。
步骤205:Portal服务器将认证结果发送给BRAS和STA。
步骤206:BRAS在认证通过时,允许STA接入城域网访问Internet,并通知Radius服务器开始计费。
在目前的城域网架构中,如果要实现STA接入城域网,则需要先后执行图1和图2的流程,采用WAPI+Portal认证的方式来实现用户的安全认证,即通过WAPI完成空口认证,用户认证通过后,获取IP地址,再启动Portal方式认证。但是,这种方式使得运营商需要构建并维护两套安全体系,如图3所示,维护复杂,且需要对用户进行两次认证过程,为用户带来较差的用户体验。
发明内容
有鉴于此,本发明提供了一种安全认证的方法、系统和装置,仅需要运营商构建并维护一套安全体系,进行一次认证过程,便可以实现STA接入城域网的安全认证,为用户带来较好的用户体验。
一种安全认证的方法,该方法包括:
A、AC激活对STA的空口认证后,将空口认证请求封装在Radius协议报文中发送给BRAS;
B、BRAS从封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,记录所述STA的MAC地址和用户标识信息的对应关系,将所述封装了空口认证请求的Radius协议报文发送给空口认证服务器, 并将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;
C、所述AC确定所述认证结果为认证成功时,授权所述STA接入无线网络;所述BRAS如果确定所述认证结果为认证成功时,则在接收到所述STA发送的动态主机分配协议DHCP请求后,将为所述STA分配的IP地址发送给所述STA,并将所述STA的IP地址加入允许接入城域网的访问控制列表ACL。
一种接入控制器AC,该AC包括:空口处理单元和Radius处理单元;
所述空口处理单元,用于激活对STA的空口认证后,将空口认证请求提供给Radius处理单元;在所述Radius处理单元提供的认证结果为认证成功时,授权所述STA接入无线网络;
所述Radius处理单元,用于将所述空口认证请求封装在Radius协议报文中发送给BRAS;接收BRAS发送的封装了认证结果的Radius协议报文,将认证结果提供给所述空口处理单元。
一种宽带接入服务器BRAS,该BRAS包括:Radius代理单元、接入控制单元、DHCP处理单元;
所述Radius代理单元,用于接收AC发送的封装了空口认证请求的Radius协议报文,从封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,记录所述STA的MAC地址和用户标识信息的对应关系,并将该Radius协议报文发送给空口认证服务器;将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;
所述接入控制单元,用于在Radius代理单元确定所述认证结果为认证成功时,将为STA分配的IP地址加入允许接入城域网的ACL;
所述DHCP处理单元,用于接收到STA发送的DHCP请求后,将接入控制单元为所述STA分配的IP地址发送给所述STA。
一种安全认证的系统,该系统包括:AC、BRAS和空口认证服务器;
所述AC,用于激活对STA的空口认证后,将空口认证请求封装在Radius协议报文中发送给所述BRAS;确定接收到的认证结果为认证成功时,授权所述STA接入无线网络;
所述BRAS,用于从封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,记录所述STA的MAC地址和用户标识信息的对应关系,将所述封装了空口认证请求的Radius协议报文发送给空口认证服务器,并将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;用于如果确定所述认证结果为认证成功,则在接收到所述STA发送的动态主机分配协议DHCP请求后,将为所述STA分配的IP地址发送给所述STA,并将所述STA的IP地址加入允许接入城域网的访问控制列表ACL;
所述空口认证服务器,用于利用所述空口I认证请求进行认证,并将认证结果封装在Radius协议报文中发送给所述BRAS。
由以上技术方案可以看出,AC在激活对STA的空口认证后,将空口认证请求封装在Radius协议报文中经由BRAS发送给空口认证服务器,并经由BRAS接收空口认证服务器返回封装了认证结果的Radius协议报文;在认证结果为认证成功时,授权STA接入无线网络,BRAS在确定认证结果为认证成功时允许该STA接入城域网。将BRAS融入空口认证过程,采用一次空口认证过程同时实现空口和接入城域网的安全认证,实现简单,为用户带来了较好的用户体验,运营商也仅需要构建并维护一套安全体系。
附图说明
图1为现有技术中WAPI认证流程图;
图2为现有技术中的Portal认证流程图;
图3为WAPI+Portal认证的网络架构图;
图4为本发明的主要方法流程图;
图5为本发明方法实施例采用的系统架构图;
图6为本发明实施例提供的详细方法流程图;
图7为本发明的系统结构示意图;
图8为本发明提供的AC的结构示意图;
图9为本发明提供的BRAS的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的主要方法可以如图4所示,主要包括以下步骤:
步骤401:AC激活对STA的空口认证后,将空口认证请求封装在远程用户拨号认证系统(Radius)协议报文中发送给BRAS。
步骤402:BRAS将封装了空口认证请求的Radius协议报文发送给空口认证服务器,并将空口认证服务器返回的封装了认证结果的Radius协议报 文发送给AC。
步骤403:AC确定认证结果为认证成功时,授权STA接入无线网络,BRAS确定认证结果为认证成功时允许该STA接入城域网。
其中,本发明中涉及的空口认证可以包括:WAPI认证和802.11i认证,相应地,当采用WAPI认证时,空口认证请求为WAPI认证请求,空口认证服务器为WAPI AS;当采用802.11i认证时,空口认证请求为802.1x认证请求,空口认证服务器为Radius服务器。
下面以WAPI认证的方式为例,对上述方法进行详细描述。图6为本发明实施例提供的详细方法流程图,在该实施例中采用的系统架构如图5所示,通过BRAS完成WAPI认证。如图6所示,该方法可以包括以下步骤:
步骤601:STA登录AP并与AC进行802.11链路协商。
步骤602:AC激活对STA的WAPI认证处理。
以上过程与现有技术相同,STA登录后激活WAPI认证处理的过程。
步骤603:AC将WAPI认证请求封装在Radius协议报文中发送给BRAS。
本发明中,可以预先在AC上配置上述STA对应的认证域Radius服务器地址为BRAS的地址,AC激活对STA的WAPI认证处理后,首先确定STA对应的认证域,该认证域可以是STA发送给AC的消息中携带的;如果没有对应的认证域,则为该STA指定对应的认证域,指定的认证域Radius服务器地址为BRAS的地址;AC按照配置的Radius服务器地址,将封装了WAPI认证请求的Radius协议报文发送给BRAS。
在本步骤中,AC采用远程拨号用户认证承载WAPI(WAPI over Radius)的方式,将WAPI认证请求作为Radius协议报文的扩展属性封装在Radius协议报文中。由于宽带接入和计费等都需要通过BRAS实现,如果采用一次认证的过程,即仅进行WAPI认证,则需要BRAS参与该WAPI认证过程并知晓鉴别结果,因此,本发明中AC将WAPI鉴别请求承载在Radius协议上通过BRAS发送给WAPI AS进行认证。
步骤604:BRAS将封装了WAPI认证请求的Radius协议报文发送给WAPI AS。
由于BRAS本身也具备认证功能,但在本发明中为了与WAPI认证进行区分,可以将BRAS作为漫游地服务器,启用Radius代理。具体为:预先在BRAS上配置上述STA对应的认证域为漫游域,接收到封装了WAPI认证请求的Radius协议报文后,如果确定该STA对应的认证域为漫游域,则认为该STA为漫游用户,将封装了WAPI认证请求的Radius协议报文转发给WAPI AS做认证;如果确定该STA对应的认证域不是漫游域,则认为该STA为本地用户,可以由该BRAS进行认证,不再将Radius协议报文转发给WAPI AS。这种启用Radius代理的方式,不需要在AC、BRAS和WAPIAS之间运行私有协议,能够与现有协议更好的融合。
Radius协议报文中的属性域通过类型长度值(TLV)三元组的格式,通过扩展属性来携带WAPI认证请求,则在该扩展属性的TLV的类型字段中指示该Radius协议报文携带WAPI认证请求。BRAS也可以通过该类型字段确定Radius协议报文携带WAPI认证请求时,将该Radius协议报文发送给WAPI AS。
另外,该封装了WAPI认证请求的Radius协议报文中还携带STA的MAC地址信息和用户标识信息。BRAS从该Radius协议报文中获取并记录该STA的MAC地址信息和用户标识信息的对应关系。用户标识信息可以是用户证书中的用户信息、或者是在运营商处注册的用户名等信息。
步骤605:WAPI AS利用WAPI认证请求进行WAPI认证,如果认证成功,则与客户端进行加密密钥协商,并将协商的加密密钥和认证成功的结果封装在Radius协议报文中发送给BRAS。
WAPI AS获取WAPI认证请求中的STA和AP的身份信息,对两者身份进行认证,如果认证成功,则继续与客户端进行加密密钥协商,并将协商的加密密钥和认证成功的结果封装在Radius协议报文中发送给BRAS。
如果认证失败,则直接将认证失败的结果封装在Radius协议报文中发 送给BRAS。
步骤606:BRAS获知认证成功的结果后,将封装了认证结果和加密密钥的Radius协议报文发送给AC。
如果BRAS获知认证失败的结果,则将封装了认证结果的Radius协议报文发送给AC。
步骤607:AC授权STA接入无线网络,并将加密密钥下发到AP。
AP获取加密密钥后,与STA之间传递的报文就可以采用该加密密钥进行加密和解密以保证空口的安全。
步骤608:STA接收到加密密钥后,接入无线网络,向BRAS发送DHCP请求。
步骤609:BRAS接收到DHCP请求后,将为该STA分配的IP地址发送给STA,并将该STA的IP地址加入访问控制列表(ACL),并将分配的IP地址回复给STA。
BRAS接收到DHCP请求后,可以为STA分配IP地址;或者将DHCP请求转发给其它DHCP服务器,由其它DHCP服务器为STA分配IP地址。
由于STA已经通过WAPI认证,因此可以将为STA分配的IP地址加入允许接入城域网的ACL表,允许该STA接入城域网,例如访问Internet。
步骤610:STA获取被分配的IP地址后,发起Internet的访问。
在本步骤之后,BRAS如果截获STA发送的超文本传输协议(HTTP)报文,则获知该STA发起Internet的访问,BRAS可以将该HTTP报文重定向到页面推送设备,向STA推送诸如广告等增值页面,而不再推送Portal认证页面。当然,BRAS在截获STA发送的HTTP报文后,也可以不推送增值页面,直接执行步骤611。
另外,BRAS在STA发起的ARP过程中,可以获取STA的MAC地址和IP地址之间的对应关系,该过程为现有技术,不再赘述。
步骤611:BRAS查询ACL表,允许该STA访问Internet,并向Radius服务器发送携带该STA对应用户信息的计费开始报文。
BRAS获知STA发起Internet的访问后,如果确定该STA的IP地址在允许接入城域网的ACL表中,则允许该STA访问Internet,并同时发送计费开始报文;否则,拒绝该STA访问Internet。
Radius服务器接收到计费开始报文后,针对该用户信息进行计费。
步骤612:如果AC检测到STA断开无线连接,则向BRAS发送携带STA的MAC地址信息的Radius下线报文。
步骤613:BRAS接收到Radius下线报文后,确定该STA的用户信息,并向Radius服务器发送携带该STA对应用户信息的计费停止报文,并将该STA的IP地址从允许接入城域网的ACL表中删除。
BRAS接收到Radius下线报文后,根据该Radius下线报文中携带的MAC地址确定该MAC地址对应的用户信息,向Radius服务器发送携带该STA对应用户信息的计费停止报文。
同时,查找该STA的ARP表项中MAC地址对应的IP地址,将该IP地址从ACL表中删除,以后该STA要访问Internet需要重新进行WAPI认证。
另外,如果STA并没有断开连接,但BRAS检测到该STA访问Internet的流量在设定时间内低于强制下线门限,则通知AC断开与该AP的连接,强制STA下线,将该STA的IP地址从允许接入城域网的ACL表中删除,并向Radius服务器发送携带该STA对应用户信息的计费停止报文。BRAS可以以固定周期统计该STA访问Internet的流量,如果在设定时间内该STA访问Internet的流量低于强制下线门限,则可以强制该STA下线。
对于802.11i认证的方式,本发明的实现流程不发生变化,只是将图6中涉及的WAPI认证请求替换为802.1x认证请求,将WAPI AS替换为Radius服务器即可。802.11i认证和WAPI认证中,认证服务器的认证方式不同、WAPI认证请求和802.1x认证请求中携带的内容不同,加密密钥的协商方式不同,但这些是现有技术,对本发明的实现过程并不产生影响,在此不再赘述。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统和装置进行详细描述。本发明所提供的系统仍然可以如图7所示,主要包括:AC、BRAS和空口认证服务器。
AC,用于激活对STA的空口认证后,将空口认证请求封装在Radius协议报文中发送给BRAS;确定接收到的认证结果为认证成功时,授权STA接入无线网络。
BRAS,用于将封装了空口认证请求的Radius协议报文发送给空口认证服务器,并将该空口认证服务器返回的封装了认证结果的Radius协议报文发送给AC;确定空口认证服务器返回的认证结果为认证成功时,允许该STA接入城域网。
空口认证服务器,用于利用空口认证请求进行认证,并将认证结果封装在Radius协议报文中发送给BRAS。
另外,空口认证服务器,还可以用于在认证成功后,与STA协商加密密钥,并将该加密密钥携带在封装了认证结果的Radius协议报文中。
相应地,AC,还可以用于将加密密钥发送给AP。
具体地,BRAS可以从上述封装了空口认证请求的Radius协议报文中获取STA的MAC地址和用户标识信息;并记录STA的MAC地址和用户标识信息的对应关系,如果空口认证服务器返回的认证结果为认证成功,则在接收到STA发送的DHCP请求后,将为STA分配的IP地址发送给STA,并将STA的IP地址加入允许接入城域网的ACL。
如果要对接入城域网的用户实现计费,则该系统还可以包括:Radius服务器。
BRAS确定访问城域网的STA的IP地址在允许接入城域网的ACL中时,允许STA访问城域网,并向Radius服务器发送携带STA对应用户信息的计费开始报文;确定访问城域网的STA的IP地址不在允许接入城域网的ACL中,则拒绝STA访问城域网。
Radius服务器,用于接收到计费开始报文后,开始针对用户信息进行计费。
更进一步地,AC,还可以用于检测到STA断开无线连接时,向BRAS发送Radius下线报文。
BRAS,还可以用于接收到Radius下线报文后,根据Radius下线报文携带的STA的MAC地址信息确定STA的用户信息,并向Radius服务器发送携带STA的用户信息的计费停止报文。
Radius服务器接收到计费停止报文后,停止针对用户信息的计费。
另外,BRAS,还可以用于检测到STA访问城域网的流量在设定时间内低于强制下线门限时,通知AC断开与STA的连接,并向Radius服务器发送携带STA的用户信息的计费停止报文。
Radius服务器接收到计费停止报文后,停止针对用户信息的计费。
在该系统中,如果空口认证采用WAPI认证,则上述空口认证请求为WAPI认证请求,图7中的空口认证服务器为WAPI应用服务器;如果空口认证采用802.11i认证,则上述空口认证请求为802.1x认证请求,图7中的空口认证服务器可以与Radius服务器采用一个设备,即可以为Radius服务器。
图8为本发明实施例提供的AC的结构示意图,如图8所示,该AC可以包括:空口处理单元801和Radius处理单元802。
空口处理单元801,用于激活对STA的空口认证后,将空口认证请求提供给Radius处理单元802;在Radius处理单元802提供的认证结果为认证成功时,授权STA接入无线网络。
Radius处理单元802,用于将空口认证请求封装在Radius协议报文中发送给BRAS;接收BRAS发送的封装了认证结果的Radius协议报文,将认证结果提供给空口处理单元801。
更进一步地,如果认证成功,上述封装了认证结果的Radius协议报文中还可以包括:空口认证服务器与STA协商的加密密钥。
Radius处理单元802,还用于将加密密钥提供给空口处理单元801。
空口处理单元801,还用于将加密密钥发送给AP。
图9为本发明实施例提供的BRAS结构示意图,如图9所示,该BRAS可以包括:Radius代理单元901和接入控制单元902。
Radius代理单元901,用于接收AC发送的封装了空口认证请求的Radius协议报文,并将该Radius协议报文发送给空口认证服务器;将空口认证服务器返回的封装了认证结果的Radius协议报文发送给AC。
接入控制单元902,用于确定认证结果为认证成功时,允许认证成功的STA接入城域网。
另外,该BRAS还可以包括DHCP处理单元903,用于接收到STA发送的DHCP请求后,将为STA分配的IP地址发送给STA。
Radius代理单元901从封装了空口认证请求的Radius协议报文中获取STA的MAC地址和用户标识信息,并记录STA的MAC地址和用户标识信息的对应关系,确定空口认证服务器返回的认证结果为认证成功后,通知接入控制单元902将为STA分配的IP地址加入允许接入城域网的ACL。
具体地,接入控制单元902可以在确定发起城域网访问的STA的IP地址在允许接入城域网的ACL中时,允许STA访问城域网,并向Radius服务器发送携带该STA对应用户信息的计费开始报文。
更进一步地,Radius代理单元901,还可以用于接收到来自AC的Radius下线报文后,根据Radius下线报文中携带的STA的MAC地址信息确定STA的用户信息,并向接入控制单元902发送携带该STA的用户信息的停止通知。
接入控制单元902接收到该停止通知后,向Radius服务器发送携带STA的用户信息的计费停止报文。
该BRAS还可以包括:流量检测单元904,用于检测到STA访问城域网的流量在设定时间内低于强制下线门限时,通知AC断开与STA的连接,并通知接入控制单元902向Radius服务器发送携带STA的用户信息的计费停止报文。
由以上描述可以看出,本发明提供的方法、系统和装置可以具备以下优点:
1)AC在激活对STA的空口认证后,将空口认证请求封装在Radius协 议报文中经由BRAS发送给空口认证服务器,并经由BRAS接收空口认证服务器返回封装了认证结果的Radius协议报文;在认证结果为认证成功时,授权STA接入无线网络,BRAS在确定认证结果为认证成功时允许该STA接入城域网。将BRAS融入空口认证过程,采用一次空口认证同时实现空口和接入城域网的安全认证,实现简单,为用户带来了较好的用户体验,运营商也仅需要构建并维护一套安全体系。
2)BRAS在允许通过空口认证的STA接入并访问城域网时,可以将携带用户信息的Radius计费开始报文发送给Radius服务器以对用户进行计费;并AC检测到STA下线并发送Radius下线报文给BRAS时,BRAS向Radius服务器发送Radius计费停止报文以对用户停止计费;在检测到STA访问城域网的流量在设定时间内低于强制下线门限时,通知AC断开与STA的连接,并向Radius服务器发送计费停止报文以对用户停止计费。从而实现了一次空口认证与访问城域网的计费过程的衔接和融合。
有以上描述可以看出,本发明提供的方法、系统和装置通过一个认证过程既使得STA和AP的身份得到认证,同时又使得BRAS获知STA身份的合法性,从而使得身份合法的STA能够访问Internet。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种安全认证的方法,其特征在于,该方法包括:
A、接入控制器AC激活对移动终端STA的空口认证后,将空口认证请求封装在远程用户拨号认证系统Radius协议报文中发送给宽带接入服务器BRAS;
B、BRAS从封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,记录所述STA的MAC地址和用户标识信息的对应关系,将所述封装了空口认证请求的Radius协议报文发送给空口认证服务器,并将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;
C、所述AC确定所述认证结果为认证成功时,授权所述STA接入无线网络;所述BRAS如果确定所述认证结果为认证成功,则在接收到所述STA发送的动态主机分配协议DHCP请求后,将为所述STA分配的IP地址发送给所述STA,并将所述STA的IP地址加入允许接入城域网的访问控制列表ACL。
2.根据权利要求1所述的方法,其特征在于,如果所述认证结果为认证成功,则所述封装了认证结果的Radius协议报文中还封装了所述空口认证服务器与所述STA协商的加密密钥;
所述步骤C还包括:所述AC将所述加密密钥发送给无线接入点AP,所述AP与所述STA之间利用所述加密密钥进行报文传输。
3.根据权利要求1所述的方法,其特征在于,预先在所述AC上配置所述STA对应的认证域Radius服务器地址为所述BRAS的地址,所述AC按照该认证域Radius服务器地址执行所述将空口认证请求封装在Radius协议报文中发送给BRAS;
在所述步骤B之前还包括:所述BRAS接收到所述封装了空口认证请求的Radius协议报文后,确定所述STA对应的认证域为预先配置的漫游域后,继续执行所述步骤B。
4.根据权利要求1所述的方法,其特征在于,在所述步骤C之后还包括:
D、所述STA获取被分配的IP地址后,发起对城域网的访问;如果所述BRAS确定所述STA的IP地址在允许接入城域网的ACL中,则允许所述STA访问城域网,并向Radius服务器发送携带STA对应用户信息的计费开始报文;如果所述BRAS确定所述STA的IP地址不在允许接入城域网的ACL中,则拒绝所述STA访问城域网。
5.根据权利要求4所述的方法,其特征在于,在所述步骤D之后还包括:
E、如果所述AC检测到所述STA断开无线连接,则向所述BRAS发送Radius下线报文;所述BRAS接收到所述Radius下线报文后,根据所述Radius下线报文携带的所述STA的MAC地址信息确定所述STA的用户信息,并向所述Radius服务器发送携带所述STA的用户信息的计费停止报文。
6.根据权利要求4所述的方法,其特征在于,在所述步骤D之后还包括:
F、如果所述BRAS检测到所述STA访问城域网的流量在设定时间内低于强制下线门限,则通知所述AC断开与所述STA的连接,并向所述Radius服务器发送携带所述STA的用户信息的计费停止报文。
7.根据权利要求5或6所述的方法,其特征在于,在发送所述计费停止报文时,所述BRAS将所述STA的IP地址从允许接入城域网的ACL表中删除。
8.根据权利要求1所述的方法,其特征在于,所述空口认证为无线局域网鉴别和保密基础结构WAPI认证,所述空口认证请求为WAPI认证请求,所述空口认证服务器为WAPI应用服务器;或者,
所述空口认证为802.11i认证,所述空口认证请求为802.1x认证请求,所述空口认证服务器为Radius服务器。
9.一种宽带接入服务器BRAS,其特征在于,该BRAS包括:Radius代理单元、接入控制单元、DHCP处理单元;
所述Radius代理单元,用于接收AC发送的封装了空口认证请求的Radius协议报文,从所述封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,并记录所述STA的MAC地址和用户标识信息的对应关系,并将该Radius协议报文发送给空口认证服务器;将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;用于确定所述空口认证服务器返回的认证结果为认证成功后,通知所述接入控制单元;
所述接入控制单元,用于在Radius代理单元确定所述认证结果为认证成功时,将为STA分配的IP地址加入允许接入城域网的ACL;
DHCP处理单元,用于接收到STA发送的DHCP请求后,将接入控制单元为所述STA分配的IP地址发送给所述STA。
10.根据权利要求9所述的BRAS,其特征在于,所述接入控制单元在确定发起城域网访问的STA的IP地址在允许接入城域网的ACL中时,允许所述STA访问城域网,并向Radius服务器发送携带该STA对应用户信息的计费开始报文。
11.根据权利要求10所述的BRAS,其特征在于,所述Radius代理单元,还用于接收到来自AC的Radius下线报文后,根据所述Radius下线报文中携带的所述STA的MAC地址信息确定所述STA的用户信息,并向所述接入控制单元发送携带所述STA的用户信息的停止通知;
所述接入控制单元,还用于接收到所述停止通知后,向所述Radius服务器发送携带所述STA的用户信息的计费停止报文。
12.根据权利要求10所述的BRAS,其特征在于,该BRAS还包括:流量检测单元,用于检测到所述STA访问城域网的流量在设定时间内低于强制下线门限时,通知所述AC断开与所述STA的连接,并通知所述接入控制单元向所述Radius服务器发送携带所述STA的用户信息的计费停止报文。
13.一种安全认证的系统,其特征在于,该系统包括:AC、BRAS和空口认证服务器;
所述AC,用于激活对STA的空口认证后,将空口认证请求封装在Radius协议报文中发送给所述BRAS;确定接收到的认证结果为认证成功时,授权所述STA接入无线网络;
所述BRAS,用于从所述封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息,并记录所述STA的MAC地址和用户标识信息的对应关系,将封装了空口认证请求的Radius协议报文发送给空口认证服务器,并将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC;用于如果确定所述认证结果为认证成功,则在接收到所述STA发送的DHCP请求后,将为所述STA分配的IP地址发送给所述STA,并将所述STA的IP地址加入允许接入城域网的ACL;
所述空口认证服务器,用于利用所述空口认证请求进行认证,并将认证结果封装在Radius协议报文中发送给所述BRAS。
14.根据权利要求13所述的系统,其特征在于,所述空口认证服务器,还用于在认证成功后,与所述STA协商加密密钥,并将该加密密钥携带在所述封装了认证结果的Radius协议报文中;
所述AC,还用于将所述加密密钥发送给AP。
15.根据权利要求14所述的系统,其特征在于,该系统还包括:Radius服务器;
所述BRAS确定访问城域网的STA的IP地址在允许接入城域网的ACL中时,允许所述STA访问城域网,并向所述Radius服务器发送携带STA对应用户信息的计费开始报文;确定访问城域网的STA的IP地址不在允许接入城域网的ACL中,则拒绝所述STA访问城域网;
所述Radius服务器,用于接收到所述计费开始报文后,开始针对所述用户信息进行计费。
16.根据权利要求15所述的系统,其特征在于,所述AC,还用于检测到所述STA断开无线连接时,向所述BRAS发送Radius下线报文;
所述BRAS,还用于接收到所述Radius下线报文后,根据所述Radius下线报文携带的所述STA的MAC地址信息确定所述STA的用户信息,并向所述Radius服务器发送携带所述STA的用户信息的计费停止报文;
所述Radius服务器接收到所述计费停止报文后,停止针对所述用户信息的计费。
17.根据权利要求15所述的系统,其特征在于,所述BRAS,还用于检测到所述STA访问城域网的流量在设定时间内低于强制下线门限时,通知所述AC断开与所述STA的连接,并向所述Radius服务器发送携带所述STA的用户信息的计费停止报文;
所述Radius服务器接收到所述计费停止报文后,停止针对所述用户信息的计费。
18.根据权利要求13至17任一权项所述的系统,其特征在于,所述空口认证为WAPI认证,所述空口认证请求为WAPI认证请求,所述空口认证服务器为WAPI应用服务器;或者,
所述空口认证为802.11i认证,所述空口认证请求为802.1x认证请求,所述空口认证服务器为Radius服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910093216A CN101651682B (zh) | 2009-09-15 | 2009-09-15 | 一种安全认证的方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910093216A CN101651682B (zh) | 2009-09-15 | 2009-09-15 | 一种安全认证的方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101651682A CN101651682A (zh) | 2010-02-17 |
| CN101651682B true CN101651682B (zh) | 2012-08-29 |
Family
ID=41673791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910093216A Active CN101651682B (zh) | 2009-09-15 | 2009-09-15 | 一种安全认证的方法、系统和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101651682B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238543A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种无线Portal认证的方法及无线控制器 |
| CN102271125B (zh) * | 2010-06-02 | 2014-05-14 | 杭州华三通信技术有限公司 | 跨设备进行802.1x认证的方法及接入设备、接入控制设备 |
| CN101951595A (zh) * | 2010-08-23 | 2011-01-19 | 中兴通讯股份有限公司 | 空口引导设置处理方法及系统 |
| CN102404720B (zh) * | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
| CN102333309B (zh) * | 2011-10-27 | 2014-12-24 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
| CN102685812B (zh) * | 2012-05-11 | 2015-03-18 | 中国联合网络通信集团有限公司 | Ap关联终端控制方法、装置和系统 |
| US9258704B2 (en) * | 2012-06-27 | 2016-02-09 | Advanced Messaging Technologies, Inc. | Facilitating network login |
| CN103581354A (zh) * | 2012-08-03 | 2014-02-12 | 中国电信股份有限公司 | 网络地址分配方法和系统 |
| CN103227990B (zh) * | 2013-04-25 | 2016-01-06 | 杭州华三通信技术有限公司 | 无线接入方法和设备 |
| CN103368780B (zh) * | 2013-07-22 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种业务控制方法和设备 |
| CN104349318B (zh) * | 2013-08-01 | 2018-01-30 | 中国移动通信集团山东有限公司 | 无线局域网的自动认证方法、装置和系统 |
| CN103561129A (zh) * | 2013-11-04 | 2014-02-05 | 神州数码网络(北京)有限公司 | 一种安全接入实时更新的方法及交换机 |
| CN104735027B (zh) * | 2013-12-20 | 2019-09-13 | 南京中兴新软件有限责任公司 | 一种安全认证方法及鉴权认证服务器 |
| CN104869564A (zh) * | 2014-02-21 | 2015-08-26 | 中国电信股份有限公司 | 一种以bras作为peap认证点的实现方法和系统 |
| CN103825901B (zh) * | 2014-03-04 | 2017-11-10 | 新华三技术有限公司 | 一种网络访问控制方法及设备 |
| CN104104516B (zh) * | 2014-07-30 | 2018-12-25 | 新华三技术有限公司 | 一种Portal认证方法和设备 |
| CN107317768B (zh) * | 2016-04-27 | 2020-01-03 | 新华三技术有限公司 | 流量调度方法及装置 |
| CN107786502B (zh) * | 2016-08-26 | 2022-03-22 | 中兴通讯股份有限公司 | 一种认证代理方法、装置和设备 |
| CN107995070B (zh) * | 2017-11-21 | 2020-12-08 | 新华三技术有限公司 | 基于ipoe的连网控制方法、装置和bras |
| CN108521651B (zh) * | 2018-03-30 | 2022-04-22 | 上海尚往网络科技有限公司 | 一种WiFi网络的二次认证方法 |
| CN108712411B (zh) * | 2018-05-11 | 2021-02-02 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
| CN113810354B (zh) * | 2020-09-08 | 2022-06-14 | 北京航空航天大学 | 用于自治系统的数据认证方法及装置 |
| CN112738135A (zh) * | 2021-01-29 | 2021-04-30 | 李晓坤 | 一种基于数字证书的无感知认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
| US20060200505A1 (en) * | 2005-03-02 | 2006-09-07 | Computer Associates Think, Inc. | System and method for backing up open files of a source control management repository |
| CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
| CN101141259A (zh) * | 2007-10-22 | 2008-03-12 | 杭州华三通信技术有限公司 | 防止误接入接入点设备的方法及装置 |
-
2009
- 2009-09-15 CN CN200910093216A patent/CN101651682B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
| US20060200505A1 (en) * | 2005-03-02 | 2006-09-07 | Computer Associates Think, Inc. | System and method for backing up open files of a source control management repository |
| CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
| CN101141259A (zh) * | 2007-10-22 | 2008-03-12 | 杭州华三通信技术有限公司 | 防止误接入接入点设备的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101651682A (zh) | 2010-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101651682B (zh) | 一种安全认证的方法、系统和装置 | |
| US9615254B2 (en) | Wireless power transmitting devices, methods for signaling access information for a wireless communication network and method for authorizing a wireless power receiving device | |
| JP4235102B2 (ja) | 電気通信用の携帯用品と公開アクセス端末との間の認証方法 | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| CA2914426C (en) | Method for authenticating a user, corresponding server, communications terminal and programs | |
| CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN110995710B (zh) | 一种基于eUICC的智能家居认证方法 | |
| WO2017054617A1 (zh) | 一种对wifi网络的认证方法、装置和系统 | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN102695168A (zh) | 终端设备、加密网关、无线网络安全通信方法及系统 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| US10362608B2 (en) | Managing wireless client connections via near field communication | |
| CN112640385B (zh) | 用于在si系统中使用的非si设备和si设备以及相应的方法 | |
| JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| WO2019215439A1 (en) | Methods and apparatus for authenticating devices | |
| JP5848467B2 (ja) | 中継機、無線通信システムおよび無線通信方法 | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| CN105357224A (zh) | 一种智能家居网关注册、移除方法及系统 | |
| CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
| CN111034240A (zh) | 网络通信的以及与其相关的改进 | |
| CN104902473A (zh) | 一种基于cpk标识认证的无线网络接入认证的方法及装置 | |
| KR20060094453A (ko) | Eap 를 이용한 시간제 서비스에 대한 인증 방법 및 그시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |