CN102137401B - 无线局域网集中式802.1x认证方法及装置和系统 - Google Patents

无线局域网集中式802.1x认证方法及装置和系统 Download PDF

Info

Publication number
CN102137401B
CN102137401B CN201010581115.6A CN201010581115A CN102137401B CN 102137401 B CN102137401 B CN 102137401B CN 201010581115 A CN201010581115 A CN 201010581115A CN 102137401 B CN102137401 B CN 102137401B
Authority
CN
China
Prior art keywords
message
address
eap authentication
eap
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010581115.6A
Other languages
English (en)
Other versions
CN102137401A (zh
Inventor
刘国平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201010581115.6A priority Critical patent/CN102137401B/zh
Publication of CN102137401A publication Critical patent/CN102137401A/zh
Priority to PCT/CN2011/081329 priority patent/WO2012075863A1/zh
Priority to ES11846361.1T priority patent/ES2564484T3/es
Priority to EP11846361.1A priority patent/EP2651156B1/en
Priority to US13/913,792 priority patent/US9071968B2/en
Application granted granted Critical
Publication of CN102137401B publication Critical patent/CN102137401B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Abstract

本发明公开了无线局域网集中式802.1X认证方法及装置和系统,其中,一种无线局域网集中式802.1X认证方法,无线局域网包括认证实体、接入点以及至少一个用户设备UE,该认证实体通过接入点与该至少一个UE相连,该方法包括:接入点接收来自UE的可扩展认证协议EAP认证开始报文,该EAP认证开始报文的目的地址为该接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址;将所述EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的MAC地址;转发所述修改了目的地址的EAP认证开始报文。本发明实施例提供方案能够实现UE的无线局域网集中式802.1X认证。

Description

无线局域网集中式802.1X认证方法及装置和系统
技术领域
本发明涉及通信技术领域,具体涉及无线局域网集中式802.1X认证方法及装置和系统。
背景技术
IEEE(Institute of Electrical and Electronics Engineers,美国电气和电子工程师协会)802.11中定义的无线局域网(WLAN,Wireless Local Area Network)基本结构可如图1所示,其中,站点(STA,Station)指具有无线局域网接口的终端设备,接入点(AP,Access Point)相当于移动网络的基站,主要负责实现STA之间或STA与有线网络的相关设备进行通信,多个STA可接入到同一个AP上。关联到同一AP下的STA构成一个基本服务集(BSS,Basic service set)。分发系统(DS,Distribution System,)用于使不同BSS之间、以及BSS与有线局域网之间能够组成一个大的局域网。门户(portal)设备为提供DS与有线局域网之间数据转发的逻辑点。
WLAN系统中,一般采用服务设置标识(SSID,Service Set Identifier)区分不同的无线局域网。当不同的BSS(可用BSSID来标识)通过DS组成一个大的局域网时,则它们拥有同样的SSID。
目前WLAN普遍采用无线相容性认证(WI-FI,wireless fidelity)联盟推荐的WI-FI保护接入(WPA,WI-FI Protected Access)安全机制。WPA企业版(此处指各种WPA企业版的统称)基于802.1X认证协议来实现。802.1X认证的网络结构上可以分为三个部分,包括:申请认证方(即用户端口接入实体(简称用户设备(UE,User Equipment),而在WLAN中,UE可以称之为STA)、认证系统(Authenticator system)(即认证实体(AE,AuthenticationEntity)和认证服务器(AS,Authenticator server system)。
在默认情况下,AE开始只允许UE的认证报文通过,只有在该UE认证通过后,AE才允许其业务报文通过。在WLAN网络中,AS为远程用户拨号认证系统(Radius,RemoteAuthentication Dial In User Service)服务器,AE一般对应为AP,而UE为STA。
在认证过程中,认证报文在STA和AP之间传送。WLAN在认证开始前STA和AP已经有关联过程,故而STA和AP在认证前都已学习到了对端的空口介质访问控制(MAC,MediaAccess Control)地址(如BSSID),因此IEEE 802.1X协议规定,在WLAN网络中,UE所有可扩展认证协议(EAP,ExtensiveAuthentication Protocol)认证报文(包括首个报文)都必须使用单播地址。
IEEE802.1X协议规定在WLAN中,所有的EAP认证报文均使用单播地址需满足的一个前提条件为:AE一定是AP设备(UE在与AP的关联过程中能学习到AP的空口对应的MAC地址(如BSSID))。家庭或者小企业等场景下的WLAN可满足该条件,因为在这些场景中AP数量有限,将每个AP配置成AE的工作量不是很大,这种认证部署方式可称分布式认证部署。
随着技术发展,适用于大企业或运营商的大型WLAN大量部署,而大型WLAN中AP数量非常庞大,为了减轻管理负担,目前一般采用瘦AP组网,此时,AE设备可能会部署在接入控制器(AC,access controller)上,也可能部署在AC上面的多业务控制网关(MSCG,Multi-service control gateway)设备上,这种将AE设备集中部署在AC或MSCG等设备上的认证部署方式可称集中式认证部署。
由于集中式认证部署的AE并不是AP设备,因此UE在认证之前无法学习到AE的MAC地址,而IEEE 802.1X协议规定UE所有EAP认证报文(包括首个报文)都必须使用单播地址,此时按照现有机制则无法认证完成。
发明内容
本发明实施例提供无线局域网集中式802.1X认证方法及装置和系统,以实现UE的无线局域网集中式802.1X认证。
为便于解决上述技术问题,本发明实施例提供以下技术方案:
一种无线局域网集中式802.1X认证方法,所述无线局域网包括认证实体、接入点以及至少一个用户设备UE,所述认证实体通过所述接入点与所述至少一个UE相连,所述方法包括:
接入点接收来自UE的可扩展认证协议EAP认证开始报文,所述EAP认证开始报文的目的地址为该接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址;
将所述EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的MAC地址;
转发所述修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证。
一种无线局域网集中式802.1X认证方法,包括:
接入点生成EAP认证开始报文,该EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体的MAC地址、源地址为UE的MAC地址;
发送所述EAP认证开始报文;
接收认证实体发送的EAP认证报文,所述EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
将所述EAP认证报文的源地址修改为所述接入点的空口对应的MAC地址,并向所述UE转发所述修改了源地址的EAP认证报文。
一种接入点设备,包括:
第一接收模块,用于接收UE发送的EAP认证开始报文,所述EAP认证开始报文的目的地址为所述接入点的空口对应的MAC地址、源地址为所述UE的MAC地址;
第一地址修改模块,用于将所述第一接收模块接收的EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的MAC地址;
第一转发模块,用于转发所述第一地址修改模块修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证。
一种无线局域网集中式802.1X认证系统,无线局域网包括认证实体、接入点以及至少一个用户设备UE,所述认证实体通过所述接入点与所述至少一个UE相连,
其中,所述接入点,用于接收UE发送的可扩展认证协议EAP认证开始报文,所述EAP认证开始报文的目的地址为所述接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址;将所述EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的MAC地址;转发所述修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证。
由上可见,本发明实施例提供的一种技术方案中,集中式认证部署中的接入点接收到来自UE的目的地址为该接入点的空口对应的MAC地址的EAP认证开始报文后,将该报文的目的地址修改为认证实体的MAC地址,并转发该修改了目的地址EAP认证开始报文,使得EAP认证开始报文能够到达认证实体而不终结于该接入点,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
本发明实施例提供的另一种技术方案中,由集中式认证部署中的接入点生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达认证实体,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
附图说明
为了更清楚地说明本发明实施例和现有技术中的技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是802.11中定义的WLAN基本结构示意图;
图2是本发明实施例提供的一种集中式部署认证网络拓扑示意图;
图3是本发明实施例一提供的一种无线局域网集中式802.1X认证方法流程示意图;
图4是本发明实施例二提供的一种无线局域网集中式802.1X认证方法流程示意图;
图5是本发明实施例三提供的一种无线局域网集中式802.1X认证方法流程示意图;
图6是本发明实施例四提供的一种无线局域网集中式802.1X认证方法流程示意图;
图7是本发明实施例提供的一种接入点示意图;
图8是本发明实施例提供的另一种接入点示意图;
图9是本发明实施例提供的另一种接入点示意图;
图10是本发明实施例提供的一种无线局域网集中式802.1X认证系统示意图;
图11是本发明实施例提供的另一种无线局域网集中式802.1X认证系统示意图。
具体实施方式
本发明实施例提供无线局域网集中式802.1X认证方法及装置和系统。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2,图2为本发明实施例提供的一种集中式部署认证网络拓扑示意图,其中,多个UE可以关联到一个AP,多个AP又连接到一个接入控制器AC上,AE设备则可能会部署在AC上,或者,部署在AC上面的多业务控制网关MSCG设备上,图2示出了AE设备部署在AC上场景,AE设备关联到AS,组成一种集中式认证部署。本发明实施例的技术方案可以基于如图2所示拓扑结构的认证网络或类似集中式部署结构的认证网络具体实施。
以下分别进行详细说明。
实施例一
本发明无线局域网集中式802.1X认证方法的一个实施例,其中,无线局域网包括AE、AP以及至少一个UE,该AE通过该AP与该至少一个UE相连,方法可包括:AP接收UE发送的EAP认证开始报文,该EAP认证开始报文的目的地址为AP的空口对应的介质访问控制(MAC,Media Access Control)地址、源地址为该UE的MAC地址;将该EAP认证开始报文的目的地址修改为端口接入实体(PAE,Port Authenticator)组播地址或者AE的MAC地址;转发该修改了目的地址的EAP认证开始报文,以便于该AE根据该修改了目的地址的EAP认证开始报文开始UE的接入认证。
参见图3,具体步骤可以包括:
310、AP接收UE发送的EAP认证开始报文,该EAP认证开始报文的目的地址为AP的空口对应的MAC地址、源地址为该UE的MAC地址;
在一种应用场景下,可由UE通过发送EAP认证开始报文(EAPOL-Start报文)来发起认证请求,以请求网络侧进行接入认证。
其中,UE在发起认证前已经和AP有关联过程,UE和AP在认证前都已学习到了对端的介质访问控制MAC地址,因此,UE可以按照IEEE 802.1X协议的规定,单播发送EAP认证开始报文,其中,EAP认证开始报文携带的AP的MAC地址可为BSSID或其它区别标识。
320、AP将上述EAP认证开始报文的目的地址修改为AE的MAC地址或者PAE组播地址;
此处的AP在监测接收到的EAP认证开始报文的目的地址为该AP的空口对应的MAC地址(如BSSID)时,AP并不将该EAP认证开始报文终结于此,而是将其目的地址进行修改后继续转发。
在实际应用中,若AP预先配置了AE的MAC地址,则AP可将接收到的EAP认证开始报文的目的地址修改为AE的MAC地址;若AP此时还未获知AE的MAC地址,则AP可将接收到的EAP认证开始报文的目的地址修改为PAE组播地址,其中,目的地址为PAE组播地址的EAP认证开始报文亦可被AE探测接收到。
330、AP转发该修改了目的地址的EAP认证开始报文。
相应的,AE可接收到该修改了目的地址的EAP认证开始报文,进而获知UE请求接入认证,AE可按照标准的认证流程进行响应,开始UE的接入认证。
在一种应用场景下,若AP进一步接收到AE发送的EAP认证报文(例如为用于请求对UE身份识别的EAP请求报文(EAP-Request报文)或其它报文),其中,该EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;则AP可以将该EAP认证报文的源地址修改为AP的空口对应的MAC地址(如BSSID);并向UE转发该修改了源地址的EAP认证报文。此时,对于UE而言,由于接收到的AP转发过来的EAP认证报文的源地址为该AP的空口对应的MAC地址(如BSSID),因此其仍会将该AP当作是AE继续来进行EAP认证。若AP进一步接收到该UE发送的第二EAP认证报文,该第二EAP认证报文为该UE发送的除EAP认证开始报文外的认证报文(第二EAP认证报文例如为携带有UE身份标识(ID)的EAP响应(EAP-Response)报文或者其它EAP认证报文),该第二EAP认证报文的目的地址为AP的空口对应的MAC地址(如BSSID)、源地址为UE的MAC地址;则AP可将该第二EAP认证报文的目的地址修改为上述AE的MAC地址;并转发该修改了目的地址的第二EAP认证报文。也就是说,AP可对UE和AE交互的所有EAP认证报文进行源地址或目的地址的修改,可将来自UE的EAP认证报文的目的地址修改为AE的MAC地址,可将来自AE的EAP认证报文的源地址修改为该AP的空口对应的MAC地址(如BSSID),UE可始终将该AP看成是AE来进行EAP认证。由于UE认证前就已经获知AP的空口对应的MAC地址(如BSSID),因此UE可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
在另一种应用场景下,若AP进一步接收AE发送的第三EAP认证报文(例如为用于请求对UE身份识别的EAP请求报文(EAP-Request报文)或其它报文),其中,该第三EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;AP亦可不对该第三EAP认证报文的源地址或目的地址进行修改,而是直接向UE转发该第三EAP认证报文,以便于UE从该第三EAP认证报文中学习到上述AE的MAC地址。在此场景下,UE在接收到该第三EAP认证报文后,可学习到真正的AE的MAC地址,后续即可以该学习到的AE的MAC地址,和AE交互其它的EAP认证报文来完成接入认证。也就是说,AP亦可只对EAP认证开始报文(来自UE的首条EAP认证报文)的目的地址进行修改,而对UE和AE后续交互的EAP认证开始报文的源地址或目的地址并不作修改,而UE可根据AE对EAP认证开始报文的响应获知AE的MAC地址,因此,UE可以按照IEEE802.1X协议的规定,单播发送所有EAP认证报文。
需要说明的是,本发明实施例中提及的UE可以是手机,便携电脑等多种具有无线局域网接入能力的终端设备;AP可以是具有无线接入功能的多种设备。本发明实施例的方案主要涉及,AP对UE和AE间交互的部分或全部EAP认证报文的源/目的地址进行修改,而AE和AS之间交互的认证信令消息可与标准流程一致或类似。可以理解,在802.1X认证框架下,可根据需要选择多种EAP认证算法,例如、EAP-PEAP(EAP-Protected ExtensibleAuthentication Protocol,可扩展认证协议-受保护的可扩展认证协议)、EAP-SIM/AKA(EAP-Subscriber Identity Module/Authentication and Key Agreement,可扩展认证协议-用户认证模块/认证与密钥商定)、EAP-TLS(可扩展认证协议-传输层安全协议,EAP-Transport Layer Security Protocol)等认证算法,但不同EAP认证算法并不影响802.1X的认证框架下的认证。
由上可见,本实施例中,集中式认证部署中的AP接收到来自UE的目的地址为该AP的空口对应的MAC地址(如BSSID)的EAP认证开始报文后,将该报文的目的地址修改为AE的MAC地址,并转发该修改了目的地址EAP认证开始报文,使得EAP认证开始报文能够到达AE而不终结于该AP,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
实施例二
本发明无线局域网集中式802.1X认证方法的另一个实施例,其中,无线局域网包括AE、AP以及至少一个UE,该AE通过该AP与该至少一个UE相连,方法可包括:AP生成EAP认证开始报文,该EAP认证开始报文的目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址;发送该EAP认证开始报文;接收AE发送的EAP认证报文,该EAP认证报文的源地址为上述AE的MAC地址、目的地址为上述UE的MAC地址;向该UE转发上述EAP认证报文,以便于该UE从上述EAP认证报文中学习到AE的MAC地址;或者,将该接收到的EAP认证报文的源地址修改为AP的空口对应的MAC地址,并向上述UE转发该修改了源地址的EAP认证报文。
参见图4,具体步骤可包括:
410、AP生成EAP认证开始报文,其中,该EAP认证开始报文的目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址;
在一些应用场景下,UE在关联上AP后并不会主动发起802.1X认证,即不会主动发送EAPOL-Start报文,此时可由AP将代理UE发送EAPOL-Start报文到AE,触发802.1X认证。
420、AP发送该EAP认证开始报文;
本实施例中,由AP代理UE发起认证请求,请求网络侧对UE进行接入认证。其中,AP通过生成并发送EAP认证开始报文,以触发UE的接入认证流程。在实际应用中,若AP预先配置了AE的MAC地址,则其生成并发送的EAP认证开始报文的目的地址为AE的MAC地址;若AP此时还未获知AE的MAC地址,则其生成并发送的EAP认证开始报文的目的地址为PAE组播地址,其中,目的地址为PAE组播地址的EAP认证开始报文可被AE探测接收到。
相应的,AE可接收到该EAP认证开始报文,进而获知UE请求进行接入认证,AE可按照标准的认证流程进行响应。
430、AP接收AE发送的EAP认证报文,该EAP认证报文的源地址为上述AE的MAC地址、目的地址为上述UE的MAC地址;
440、AP向该UE转发上述EAP认证报文,以便于该UE从上述EAP认证报文中学习到AE的MAC地址;或,将该EAP认证报文的源地址修改为AP的空口对应的MAC地址(如BSSID),并向上述UE转发该修改了源地址的EAP认证报文。
AE可在接收到EAP认证开始报文后,启动UE的接入认证流程,和UE进行其它EAP认证开始报文的交互。
在一种应用场景下,若AP接收到AE发送的EAP认证报文(如为用于请求对UE身份识别的EAP请求报文(EAP-Request报文)或其它报文),该EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;则AP可将该EAP认证报文的源地址修改为AP的空口对应的MAC地址(如BSSID);并向UE转发该修改了源地址的EAP认证报文。此时,对于UE而言,由于接收到的AP转发过来的EAP认证报文的源地址为该AP的空口对应的MAC地址(如BSSID),因此其仍会将该AP当作是AE继续来进行EAP认证。后续若AP进一步接收到该UE发送的其它EAP认证报文,该EAP认证报文为该UE发送的除EAP认证开始报文外的认证报文(例如为携带有UE身份标识(ID)的EAP-Response报文或者其它EAP认证报文),而该EAP认证报文的目的地址为AP的空口对应的MAC地址(如BSSID)、源地址为UE的MAC地址;则AP可将该EAP认证报文的目的地址修改为AE的MAC地址;并转发该修改了目的地址的EAP认证报文。也就是说,AP可对UE和AE交互的所有EAP认证报文进行源地址或目的地址的修改,可将来自UE的EAP认证报文的目的地址修改为AE的MAC地址,可将来自AE的EAP认证报文的源地址修改为该AP的空口对应的MAC地址(如BSSID),UE可始终将该AP看成是AE来进行EAP认证。因此,UE可以按照IEEE802.1X协议的规定,单播发送所有EAP认证报文。
在另一种应用场景下,后续若AP进一步接收AE发送的EAP认证报文(例如为用于请求对UE身份识别的EAP-Request报文)或其它报文),其中,该EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;AP亦可不对来自AE的该EAP认证报文的源地址或目的地址进行修改,而是直接向UE转发该EAP认证报文,以便于UE从该EAP认证报文中学习到上述AE的MAC地址。在此场景下,UE在接收到该EAP认证报文后,可学习到真正的AE的MAC地址,后续即可以该学习到的AE的MAC地址,和AE交互其它的EAP认证报文来完成接入认证。也就是说,AP在代理UE生成并发送EAP认证开始报文(目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址),发起UE的接入认证后,可不对UE和AE后续交互的EAP认证开始报文的源地址或目的地址作修改,而UE可以根据AE对EAP认证开始报文的响应获知AE的MAC地址,因此,UE可按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
需要说明的是,本发明实施例中提及的UE可以是手机,便携电脑等多种具有无线局域网接入能力的终端设备;AP可以是具有无线接入功能的多种设备。本发明实施例的方案主要涉及,AP对UE和AE间交互的部分或全部EAP认证报文的中转处理,而AE和AS之间交互的认证信令消息可与标准流程一致或类似。可以理解,在802.1X认证框架下,可根据需要选择多种EAP认证算法(例如EAP-PEAP、EAP-SIM/AKA、EAP-TLS等认证算法),但不同EAP认证算法并不影响802.1X的认证框架下的认证。
由上可见,本实施例由集中式认证部署中的AP生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达AE,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
实施例三
为便于更好的理解本发明实施例的技术方案,下面主要以基于EAP-TLS认证算法进行UE-1接入认证的过程为例,进行详细描述。
参见图5、具体步骤可以包括:
501、UE-1发送EAPOL-Start报文,启动802.1X认证;
其中,EAPOL-Start报文的目的地址为AP的空口对应的MAC地址(如BSSID)、源地址为UE-1的MAC地址;
502、AP接收来自UE-1的EAPOL-Start报文,将该EAP认证开始报文的目的地址修改为AE的MAC地址或者PAE组播地址;并转发该修改了目的地址的EAPOL-Start报文;
在实际应用中,若AP预先配置了AE的MAC地址,AP可将EAPOL-Start报文的目的地址修改为AE的MAC地址;若AP此时还未获知AE的MAC地址,则AP可将上述EAPOL-Start报文的目的地址修改为PAE组播地址,其中,目的地址为PAE组播地址的EAPOL-Start报文亦可被AE探测接收到。
503、AE接收AP修改了目的地址的EAPOL-Start报文,并反馈EAP-Request报文,请求UE-1身份识别;
其中,EAP-Request报文的源地址为AE的MAC地址、目的地址为UE-1的MAC地址;
504、AP接收来自AE的EAP-Request报文,并将该EAP-Request报文的源地址修改为AP的空口对应的MAC地址(如BSSID);并转发该修改了源地址的EAP-Request报文;
505、UE-1接收AP修改了源地址的EAP-Request报文,获知网络侧请求身份识别,UE-1向AE发送EAP响应(EAP-Response)报文,其中携带UE-1的身份ID等信息;
其中,由于AP对来自AE的EAP-Request报文的源地址进行了修改,因此UE-1仍将该AP看作是AE来继续认证流程。UE-1发送的EAP-Response报文的目的地址为AP的空口对应的MAC地址(如BSSID)、源地址为UE-1的MAC地址。
506、AP接收来自UE-1的EAP-Response报文,将该EAP-Response的目的地址修改为AE的MAC地址;并向AE转发该修改了目的地址的EAP-Response报文。
507、AE向AS发送EAP over Radius消息,其中携带上述EAP-Response报文和UE-1身份ID等;
508、AS对UE-1身份识别,并向AE发送EAP-Request(TLS Start)消息,其中指明EAP认证算法为EAP-TLS,启动EAP认证;其中,若AS选择其它EAP认证算法,则EAP-Request(TLSStart)消息可对应指示相应算法。
509、AE通过AP将TLS Start消息中继给UE-1;
510、UE-1通过AP向AE发送TLS client_hello消息,以响应TLS Start消息;
511、AE将TLS client_hello消息中继给AS;
512、AS发送TLS server_hello消息给AE,消息中可包含AS证书、密钥交换信息、AS支持的安全加密套件,并请求UE-1的证书;
513、AE通过AP将TLS server_hello消息中继给UE-1;
514、UE-1验证AS证书,并通过AP向AE发送携带认证结果、UE-1证书、密钥交换信息、UE-1支持的安全加密套件的消息;
515、AE将消息中继给AS;
516、AS认证通过后,向AE发送携带其选择的安全加密套件的消息;
517、AE通过AP将消息中继给UE-1;
518、UE-1通过AP向AE发送EAP-Response消息;
519、AE将EAP-Response消息中继给AS;
520、AS发送EAP成功(EAP-Success)消息给AE,指示认证成功;
521、AE通过AP将EAP-Success中继给UE-1,UE-1获知认证成功。
需要说明的是,在步骤504中,若AP接收到来自AE的EAP-Request报文后并不修改其源地址(AE的MAC地址),而直接转发给UE-1,以便于UE-1从该EAP认证报文中学习到AE的MAC地址。而UE-1则可据此获知AE的MAC地址,UE-1后续即可以该学习到的AE的MAC地址,和AE交互其它的EAP认证报文来完成接入认证。也就是说,AP亦可只对来自UE-1的EAPOL-Start报文的目的地址进行修改,而对UE-1和AE后续交互的EAP认证开始报文的源地址或目的地址并不作修改,而UE-1可根据AE对EAP认证开始报文的响应获知AE的MAC地址,因此,UE-1可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。当然,AE和AS之间交互的EAP over RADIUS报文不需修改。
需要说明的是,本实施例中主要以基于EAP-TLS认证算法进行UE-1接入认证的过程为例进行描述的,当然亦可选择EAP_PEAP、EAP-SIM/AKA等认证算法对UE-1进行接入认证,其实现过程类似,此处不再赘述。
由上可见,本实施例中通过在集中式认证部署中的AP上实施EAPOL报文的探测和中继来实现无线局域网集中式802.1X认证,AP接收到来自UE的目的地址为该AP的空口对应的MAC地址(如BSSID)的EAP认证开始报文后,将该报文的目的地址修改为AE的MAC地址,并转发该修改了目的地址EAP认证开始报文,使得EAP认证开始报文能够到达AE而不终结于该AP,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
实施例四
为便于更好的理解本发明实施例的技术方案,下面仍以基于EAP-TLS认证算法进行UE-1接入认证的过程为例,进行详细描述。其中,本实施例以AP代理UE-1发起接入认证为例。
参见图6、具体步骤可以包括:
601、AP生成并发送EAPOL-Start报文;
其中,EAPOL-Start报文的目的地址为AE的MAC地址(如BSSID)或者PAE组播地址、源地址为UE-1的MAC地址;
在一些应用场景下,UE-1在关联上AP后并不会主动发起802.1X认证,即不会主动发送EAPOL-Start报文,此时可由AP将代理UE-1发送EAPOL-Start报文到AE,触发802.1X认证。
在实际应用中,若AP预先配置了AE的MAC地址,AP可将EAPOL-Start报文的目的地址设置为AE的MAC地址;若AP此时还未获知AE的MAC地址,则AP可将EAPOL-Start报文的目的地址设置为PAE组播地址,其中,目的地址为PAE组播地址的EAPOL-Start报文亦可被AE探测接收到。
602、AE接收来自AP的EAPOL-Start报文,并反馈EAP-Request报文,请求UE-1身份识别;其中,EAPOL--Request报文的源地址为AE的MAC地址、目的地址为UE-1的MAC地址;
603、AP接收来自AE的EAP-Request报文,向UE-1转发该EAP-Request报文;
604、UE-1接收EAP-Request报文,获知网络侧请求身份识别,UE-1通过AP向AE发送EAP-Response响应报文,其中携带身份ID等信息;
其中,由于AP对来自AE的EAP-Request报文的源地址进行了修改,因此UE-1可据此学习到AE的MAC地址,后续UE-1可以该学习到的AE的MAC地址,和AE交互其它的EAP认证报文来完成接入认证。
605、AE接收AP转发的EAP-Response报文,向AS发送EAP over Radius消息,其中携带EAP-Response报文和UE-1身份ID等;
606、AS对UE-1身份识别,并向AE发送EAP-Request(TLS Start)消息,其中指明EAP认证算法为EAP-TLS,启动EAP认证;其中,若AS选择其它EAP认证算法,则EAP-Request(TLSStart)消息可对应指示相应算法。
607、AE通过AP将TLS Start消息中继给UE-1;
608、UE-1通过AP向AE发送TLS client_hello消息,以响应TLS Start消息;
609、AE将TLS client_hello消息中继给AS;
610、AS发送TLS server_hello消息给AE,消息中可包含AS证书、密钥交换信息、AS支持的安全加密套件,并请求UE-1的证书;
611、AE通过AP将TLS server_hello消息中继给UE-1;
612、UE-1验证AS证书,并通过AP向AE发送携带认证结果、UE-1证书、密钥交换信息、UE-1支持的安全加密套件的消息;
613、AE将消息中继给AS;
614、AS认证通过后,向AE发送携带其选择的安全加密套件的消息;
615、AE通过AP将消息中继给UE-1;
616、UE-1通过AP向AE发送EAP-Response消息;
617、AE将EAP-Response消息中继给AS;
618、AS发送EAP-Success消息给AE,指示认证成功;
619、AE通过AP将EAP-Success中继给UE-1,UE-1获知认证成功。
需要说明的是,在步骤603中,若AP接收到来自AE的EAP-Request报文后修改其源地址(AE的MAC地址)为AP的空口对应的MAC地址(如BSSID等),对于UE-1而言,其仍会AP作为AE来继续认证流程,而AP后续仍按照实施例三中的方式,对UE-1和AE间交互的EAP-Start报文。当然,AE和AS之间交互的EAP over RADIUS报文不需修改。
需要说明的是,本实施例中主要以基于EAP-TLS认证算法进行UE-1接入认证的过程为例进行描述的,当然亦可选择EAP-PEAP、EAP-SIM/AKA等认证算法对UE-1进行接入认证,其实现过程类似,此处不再赘述。
由上可见,本实施例中由集中式认证部署中的AP生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达AE,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
为便于更好的实施本发明实施例的上述方法,本发明实施例下面还提供用于实施上述方法的相关装置和系统。
参见图7、本发明实施例提供的一种接入点设备700,可包括:第一接收模块710、第一地址修改模块720和第一转发模块730。
其中,第一接收模块710,用于接收UE发送的EAP认证开始报文,该EAP认证开始报文的目的地址为接入点设备700的空口对应的MAC地址、源地址为上述UE的MAC地址;
第一地址修改模块720,用于将第一接收模块710接收的EAP认证开始报文的目的地址修改为PAE组播地址或者AE的MAC地址;
第一转发模块730,用于转发第一地址修改模块720修改了目的地址的EAP认证开始报文,以便于该AE根据该修改了目的地址的EAP认证开始报文开始UE的接入认证。
在一种应用场景下,接入点AP设备700还可包括:第二接收模块、第二地址修改模块和第二转发模块(图7中未示出)
第二接收模块,用于接收上述AE发送的EAP认证报文,其中,上述EAP认证报文的源地址为上述AE的MAC地址、目的地址为上述UE的MAC地址;
第二地址修改模块,用于将第二接收模块接收的EAP认证报文的源地址修改为接入点设备700的空口对应的MAC地址;
第二转发模块,用于向上述UE转发第二地址修改模块修改了源地址的EAP认证报文。
在一种应用场景下,第一接收模块710还用于,接收UE发送的第二EAP认证报文,该第二EAP认证报文为该UE发送的除EAP认证开始报文外的认证开始报文,第二EAP认证报文的目的地址为接入点设备700的空口对应的MAC地址、源地址为上述UE的MAC地址;
第一地址修改模块720还用于,将第一接收模块接收的第二EAP认证报文的目的地址修改为该AE的MAC地址;
第一转发模块730还用于,转发第一地址修改模块修改了目的地址的第二EAP认证报文。
在一种应用场景下,接入点设备700还可包括:第三接收模块和第三转发模块(图7中未示出)。
其中,第三接收模块,用于接收上述AE发送的第三EAP认证报文,第三EAP认证报文的源地址为上述AE的MAC地址、目的地址为上述UE的MAC地址;
第三转发模块,用于向上述UE转发第三接收模块接收的第三EAP认证报文,以便于该UE从第三EAP认证报文中学习到上述AE的MAC地址。
需要说明的是,本实施例的接入点设备700可以如上述方法实施例一或实施例三中的接入点设备,其可以用于协助实现上述方法实施例一或实施例三中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本实施例集中式认证部署中的接入点700接收到来自UE的目的地址为该接入点700的空口对应的MAC地址(如BSSID)的EAP认证开始报文后,将该报文的目的地址修改为AE的MAC地址,并转发该修改了目的地址EAP认证开始报文,使得EAP认证开始报文能够到达AE而不终结于该接入点700,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
参见图8、本发明实施例提供的一种接入点设备800,可包括:
生成模块810,用于生成EAP认证开始报文,其中,该EAP认证开始报文的目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址;
发送模块820,用于发送生成模块810生成的EAP认证开始报文;
接收模块830,用于接收AE发送的EAP认证报文,上述EAP认证报文的源地址为上述AE的MAC地址、目的地址为上述UE的MAC地址;
转发模块840,用于向上述UE转发接收模块830接收的EAP认证报文,以便于该UE从上述EAP认证报文中学习到上述AE的MAC地址。
在一种应用场景下,后续若接入点800进一步接收AE发送的EAP认证报文(例如为用于请求对UE身份识别的EAP-Request报文)或其它报文),其中,该EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;接入点800亦可不对来自AE的该EAP认证报文的源地址或目的地址进行修改,而是直接向UE转发该EAP认证报文,以便于UE从该EAP认证报文中学习到AE的MAC地址。在此场景下,UE在接收到该EAP认证报文后,可学习到真正的AE的MAC地址,后续即可以该学习到的AE的MAC地址,和AE交互其它的EAP认证报文来完成接入认证。也就是说,接入点800在代理UE生成并发送EAP认证开始报文(目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址),发起UE的接入认证后,可不对UE和AE后续交互的EAP认证开始报文的源地址或目的地址作修改,而UE可根据AE对EAP认证开始报文的响应获知AE的MAC地址,因此,UE可按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
需要说明的是,本实施例的接入点设备800可以如上述方法实施例二或实施例四中的接入点设备,其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本实施例由集中式认证部署中的接入点800生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达AE,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
参见图9、本发明实施例提供的一种接入点设备900,可包括:
生成模块910,用于生成EAP认证开始报文,其中,该EAP认证开始报文的目的地址为PAE组播地址或者AE的MAC地址、源地址为UE的MAC地址;
发送模块920,用于发送生成模块910生成的EAP认证开始报文;
接收模块930,用于接收AE发送的EAP认证报文,该EAP认证报文的源地址为该AE的MAC地址、目的地址为上述UE的MAC地址;
修改转发模块940,用于将接收模块930接收的EAP认证报文的源地址修改为接入点900的空口对应的MAC地址(如BSSID),并向上述UE转发修改了源地址的EAP认证报文。
在一种应用场景下,若接入点900接收到AE发送的EAP认证报文(例如该EAP认证报文为用于请求对UE身份识别的EAP请求报文(EAP-Request报文)或其它报文),该EAP认证报文的源地址为AE的MAC地址、目的地址为UE的MAC地址;则接入点900可将该EAP认证报文的源地址修改为接入点900的MAC地址;并向UE转发该修改了源地址的EAP认证报文。此时,对于UE而言,由于接收到的接入点900转发过来的EAP认证报文的源地址为接入点900的空口对应的MAC地址(如BSSID),因此其仍会将该接入点900当作是AE继续来进行EAP认证。后续若接入点900进一步接收到该UE发送的其它EAP认证报文,该EAP认证报文为该UE发送的除EAP认证开始报文外的认证报文(例如为携带有UE身份标识(ID)的EAP-Response报文或者其它EAP认证报文),而该EAP认证报文的目的地址为接入点900的空口对应的MAC地址(如BSSID)、源地址为UE的MAC地址;则接入点900可将该EAP认证报文的目的地址修改为AE的MAC地址;并转发该修改了目的地址的EAP认证报文。也就是说,AP可对UE和AE交互的所有EAP认证报文进行源地址或目的地址的修改,可将来自UE的EAP认证报文的目的地址修改为AE的MAC地址,可将来自AE的EAP认证报文的源地址修改为接入点900的MAC地址,UE可始终将该接入点900看成是AE来进行EAP认证。因此,UE可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
需要说明的是,本实施例的接入点设备900可以如上述方法实施例二或实施例四中的接入点设备,其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本实施例由集中式认证部署中的接入点900生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达AE,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
参见图10、本发明实施例提供的一种无线局域网集中式802.1X认证系统,无线局域网包括认证实体1010、接入点1020以及至少一个用户设备1030,认证实体1010通过接入点1020与至少一个用户设备1030相连,
其中,接入点1020,用于接收用户设备1030发送的可扩展认证协议EAP认证开始报文,该EAP认证开始报文的目的地址为接入点1020的介质访问控制MAC地址、源地址为用户设备1030的MAC地址;将该EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体1010的MAC地址;转发该修改了目的地址的EAP认证开始报文,以便于认证实体1010根据该修改了目的地址的EAP认证开始报文开始对用户设备1030的接入认证。
在一种应用场景下,若接入点1020进一步接收到认证实体1010发送的EAP认证报文(例如为用于请求对用户设备1030身份识别的EAP-Request报文或其它报文),其中,该EAP认证报文的源地址为认证实体1010的MAC地址、目的地址为用户设备1030的MAC地址;则接入点可将该EAP认证报文的源地址修改为接入点的空口对应的MAC地址(如BSSID);并向用户设备1030转发该修改了源地址的EAP认证报文。此时,对于用户设备1030而言,由于接收到的接入点1020转发过来的EAP认证报文的源地址为该接入点1020的MAC地址,因此其仍会将该接入点1020当作是AE继续来进行EAP认证。若接入点1020进一步接收到该用户设备1030发送的第二EAP认证报文,该第二EAP认证报文为用户设备1030发送的除EAP认证开始报文外的认证报文(第二EAP认证报文例如为携带有用户设备1030身份标识(ID)的EAP-Response报文或者其它EAP认证报文),该第二EAP认证报文的目的地址为接入点1020的空口对应的MAC地址(如BSSID)、源地址为用户设备1030的MAC地址;则接入点1020可将该第二EAP认证报文的目的地址修改为认证实体1010的MAC地址;并转发该修改了目的地址的第二EAP认证报文。也就是说,接入点1020可对用户设备1030和认证实体1010交互的所有EAP认证报文进行源地址或目的地址的修改,可将来自用户设备1030的EAP认证报文的目的地址修改为认证实体1010的MAC地址,可将来自认证实体1010的EAP认证报文的源地址修改为该接入点1020的MAC地址,用户设备1030可始终将该接入点1020看成是AE来进行EAP认证。由于用户设备1030认证前就已经获知接入点1020的MAC地址,因此用户设备1030可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
在另一种应用场景下,若接入点1020进一步接收认证实体1010发送的第三EAP认证报文(例如为用于请求对用户设备1030身份识别的EAP-Request报文或其它报文),其中,该第三EAP认证报文的源地址为认证实体1010的MAC地址、目的地址为用户设备1030的MAC地址;接入点1020亦可不对该第三EAP认证报文的源地址或目的地址进行修改,而是直接向用户设备1030转发该第三EAP认证报文,以便于用户设备1030从该第三EAP认证报文中学习到认证实体1010的MAC地址。在此场景下,用户设备1030在接收到该第三EAP认证报文后,可学习到真正的认证实体的MAC地址,后续即可以该学习到的认证实体1010的MAC地址,和认证实体1010交互其它的EAP认证报文来完成接入认证。也就是说,接入点1020亦可只对EAP认证开始报文(来自用户设备1030的首条EAP认证报文)的目的地址进行修改,而对用户设备1030和认证实体1010后续交互的EAP认证开始报文的源地址或目的地址并不作修改,而用户设备1030可根据认证实体1010对EAP认证开始报文的响应获知认证实体1010的MAC地址,因此,用户设备1030可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
在一种应用场景下,接入点1020还可用于生成EAP认证开始报文,该EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体1010的MAC地址、源地址为第二用户设备(图10中未示出)的MAC地址;发送该EAP认证开始报文;接收认证实体1010发送的EAP认证报文,该EAP认证报文的源地址为认证实体1010的MAC地址、目的地址为第二用户设备的MAC地址;将该EAP认证报文的源地址修改为接入点1020的空口对应的MAC地址,并向第二用户设备转发该修改了源地址的EAP认证报文。
需要说明的是,本实施例的接入点1020可以如上述方法实施例一或实施例三中的接入点设备,其可以用于协助实现上述方法实施例一或实施例三中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
参见图11、本发明实施例提供的一种无线局域网集中式802.1X认证系统,无线局域网包括认证实体1110、接入点1120以及至少一个用户设备1130,认证实体1110通过接入点1120与至少一个用户设备1130相连;
其中,接入点1120,用于生成EAP认证开始报文,该EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体1110的MAC地址、源地址为UE的MAC地址;发送上述EAP认证开始报文;接收认证实体1110发送的EAP认证报文,上述EAP认证报文的源地址为认证实体1110的MAC地址、目的地址为用户设备1130的MAC地址;向用户设备1130转发上述EAP认证报文,以便于用户设备1130从上述EAP认证报文中学习到上述认证实体的MAC地址;或者,将上述EAP认证报文的源地址修改为接入点1120的空口对应的MAC地址(如BSSID),并向用户设备1130转发上述修改了源地址的EAP认证报文。
在一种应用场景下,若接入点1120接收到认证实体1110发送的EAP认证报文(例如为用于请求对用户设备1130身份识别的EAP请求报文(EAP-Request报文)或其它报文),该EAP认证报文的源地址为AE的MAC地址、目的地址为用户设备1130的MAC地址;则接入点1120可将该EAP认证报文的源地址修改为接入点1120的MAC地址;并向用户设备1130转发该修改了源地址的EAP认证报文。此时,对于用户设备1130而言,由于接收到的接入点1120转发过来的EAP认证报文的源地址为该接入点的空口对应的MAC地址(如BSSID),因此其仍会将该接入点1120当作是AE继续来进行EAP认证。后续若接入点1120进一步接收到该UE发送的其它EAP认证报文,该EAP认证报文为用户设备1130发送的除EAP认证开始报文外的认证报文(例如为携带有用户设备1130身份标识(ID)的EAP-Response报文或者其它EAP认证报文),而该EAP认证报文的目的地址为接入点的空口对应的MAC地址(如BSSID)、源地址为用户设备1130的MAC地址;则接入点1120可将该EAP认证报文的目的地址修改为认证实体1110的MAC地址;并转发该修改了目的地址的EAP认证报文。也就是说,接入点1120可对用户设备1130和认证实体1110交互的所有EAP认证报文进行源地址或目的地址的修改,可将来自用户设备1130的EAP认证报文的目的地址修改为认证实体1110的MAC地址,可将来自认证实体1110的EAP认证报文的源地址修改为接入点1120的MAC地址,UE可始终将该接入点1120看成是AE来进行EAP认证。因此,用户设备1130可以按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
在另一种应用场景下,后续若接入点1120进一步接收认证实体1110发送的EAP认证报文(例如为用于请求对用户设备1130身份识别的EAP-Request报文)或其它报文),其中,该EAP认证报文的源地址为认证实体1110的MAC地址、目的地址为用户设备1130的MAC地址;接入点1120亦可不对来自认证实体1110的该EAP认证报文的源地址或目的地址进行修改,而是直接向用户设备1130转发该EAP认证报文,以便于用户设备1130从该EAP认证报文中学习到认证实体1110的MAC地址。在此场景下,用户设备1130在接收到该EAP认证报文后,可学习到真正的认证实体1110的MAC地址,后续即可以该学习到的认证实体1110的MAC地址,和认证实体1110交互其它的EAP认证报文来完成接入认证。也就是说,接入点1120在代理用户设备1130生成并发送EAP认证开始报文(目的地址为端口接入实体组播地址或者认证实体1110的MAC地址、源地址为用户设备1130的MAC地址),发起用户设备1130的接入认证后,可不对用户设备1130和认证实体1110后续交互的EAP认证开始报文的源地址或目的地址作修改,而用户设备1130可根据认证实体1110对EAP认证开始报文的响应获知认证实体1110的MAC地址,因此,用户设备1130可按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文。
在一种应用场景下,接入点1120还可用于,接收来自第三用户设备发送的可扩展认证协议EAP认证开始报文,该EAP认证开始报文的目的地址为接入点1120的空口对应的介质访问控制MAC地址、源地址为第三用户设备的MAC地址;将该EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体1110的MAC地址;转发该修改了目的地址的EAP认证开始报文,以便于认证实体1110根据该修改了目的地址的EAP认证开始报文开始第三用户设备的接入认征。
需要说明的是,本实施例的接入点1120可以如上述方法实施例二或实施例四中的接入点设备,其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
综上,本发明本实施例提供的一种技术方案中,集中式认证部署中的AP接收到来自UE的目的地址为该AP的空口对应的MAC地址(如BSSID)的EAP认证开始报文后,将该报文的目的地址修改为AE的MAC地址,并转发该修改了目的地址EAP认证开始报文,使得EAP认证开始报文能够到达AE而不终结于该AP,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
本发明本实施例提供的另一种技术方案中,由集中式认证部署中的AP生成并发送源地址为UE的MAC地址、目的地址为AE的MAC地址的EAP认证开始报文,以代理UE发起接入认证流程,使得EAP认证开始报文能够到达AE,进而可触发UE的接入认证流程,以实现UE无线局域网集中式802.1X认证;并且,该机制使得UE能够按照IEEE 802.1X协议的规定,单播发送所有EAP认证报文,因此可无需修改UE内置的基于IEEE 802.1X协议机制的认证程序。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘或光盘等。
以上对本发明实施例所提供的无线局域网集中式802.1X认证方法及装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种无线局域网集中式802.1X认证方法,其特征在于,所述无线局域网包括认证实体、接入点以及至少一个用户设备UE,所述认证实体通过所述接入点与所述至少一个UE相连,所述方法包括:
接入点接收来自UE的可扩展认证协议EAP认证开始报文,所述EAP认证开始报文的目的地址为该接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址;
将所述EAP认证开始报文的目的地址修改为认证实体的MAC地址;
转发所述修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证;
其中,所述方法还包括:
接收所述认证实体发送的EAP认证报文,其中,所述EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
将所述EAP认证报文的源地址修改为所述接入点的空口对应的MAC地址;
向所述UE转发所述修改了源地址的EAP认证报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述UE发送的第二EAP认证报文,该第二EAP认证报文为所述UE发送的除EAP认证开始报文外的认证报文,所述第二EAP认证报文的目的地址为所述接入点的空口对应的MAC地址、源地址为所述UE的MAC地址;
将第二EAP认证报文的目的地址修改为所述认证实体的MAC地址;
转发所述修改了目的地址的第二EAP认证报文。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述认证实体发送的第三EAP认证报文,其中,所述第三EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
向所述UE转发第三EAP认证报文,以便于所述UE从所述第三EAP认证报文中学习到所述认证实体的MAC地址。
4.一种无线局域网集中式802.1X认证方法,其特征在于,包括:
接入点生成EAP认证开始报文,该EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体的MAC地址、源地址为UE的MAC地址;
发送所述EAP认证开始报文;
接收认证实体发送的EAP认证报文,所述EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
将所述EAP认证报文的源地址修改为所述接入点的空口对应的MAC地址,并向所述UE转发所述修改了源地址的EAP认证报文。
5.一种接入点设备,其特征在于,包括:
第一接收模块,用于接收UE发送的EAP认证开始报文,所述EAP认证开始报文的目的地址为所述接入点的空口对应的MAC地址、源地址为所述UE的MAC地址;
第一地址修改模块,用于将所述第一接收模块接收的EAP认证开始报文的目的地址修改为认证实体的MAC地址;
第一转发模块,用于转发所述第一地址修改模块修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证;
其中,所述接入点设备还包括:
第二接收模块,用于接收所述认证实体发送的EAP认证报文,其中,所述EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
第二地址修改模块,用于将所述第二接收模块接收的EAP认证报文的源地址修改为所述接入点的空口对应的MAC地址;
第二转发模块,用于向所述UE转发所述第二地址修改模块修改了源地址的EAP认证报文。
6.根据权利要求5所述的接入点设备,其特征在于,
所述第一接收模块还用于,接收所述UE发送的第二EAP认证报文,该第二EAP认证报文为所述UE发送的除EAP认证开始报文外的认证开始报文,所述第二EAP认证报文的目的地址为所述接入点的空口对应的MAC地址、源地址为所述UE的MAC地址;
所述第一地址修改模块还用于,将所述第一接收模块接收的第二EAP认证报文的目的地址修改为所述认证实体的MAC地址;
所述第一转发模块还用于,转发所述第一地址修改模块修改了目的地址的第二EAP认证报文。
7.根据权利要求5所述的接入点设备,其特征在于,还包括:
第三接收模块,用于接收所述认证实体发送的第三EAP认证报文,所述第三EAP认证报文的源地址为所述认证实体的MAC地址、目的地址为所述UE的MAC地址;
第三转发模块,用于向所述UE转发所述第三接收模块接收的第三EAP认证报文,以便于所述UE从所述第三EAP认证报文中学习到所述认证实体的MAC地址。
8.一种无线局域网集中式802.1X认证系统,其特征在于,无线局域网包括认证实体、接入点以及至少一个用户设备UE,所述认证实体通过所述接入点与所述至少一个UE相连,
其中,所述接入点,用于接收UE发送的可扩展认证协议EAP认证开始报文,所述EAP认证开始报文的目的地址为所述接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址;将所述EAP认证开始报文的目的地址修改为认证实体的MAC地址;转发所述修改了目的地址的EAP认证开始报文,以便于所述认证实体根据所述修改了目的地址的EAP认证开始报文开始所述UE的接入认证;接收所述UE发送的第二EAP认证报文,该第二EAP认证报文为所述UE发送的除EAP认证开始报文外的认证报文,所述第二EAP认证报文的目的地址为所述接入点的空口对应的MAC地址、源地址为所述UE的MAC地址;将第二EAP认证报文的目的地址修改为所述认证实体的MAC地址;转发所述修改了目的地址的第二EAP认证报文。
CN201010581115.6A 2010-12-09 2010-12-09 无线局域网集中式802.1x认证方法及装置和系统 Active CN102137401B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201010581115.6A CN102137401B (zh) 2010-12-09 2010-12-09 无线局域网集中式802.1x认证方法及装置和系统
PCT/CN2011/081329 WO2012075863A1 (zh) 2010-12-09 2011-10-26 无线局域网集中式802.1x认证方法及装置和系统
ES11846361.1T ES2564484T3 (es) 2010-12-09 2011-10-26 Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica
EP11846361.1A EP2651156B1 (en) 2010-12-09 2011-10-26 Centralized 802.1x authentication method, device and system of wireless local area network
US13/913,792 US9071968B2 (en) 2010-12-09 2013-06-10 Method, apparatus, and system for centralized 802.1X authentication in wireless local area network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010581115.6A CN102137401B (zh) 2010-12-09 2010-12-09 无线局域网集中式802.1x认证方法及装置和系统

Publications (2)

Publication Number Publication Date
CN102137401A CN102137401A (zh) 2011-07-27
CN102137401B true CN102137401B (zh) 2018-07-20

Family

ID=44297036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010581115.6A Active CN102137401B (zh) 2010-12-09 2010-12-09 无线局域网集中式802.1x认证方法及装置和系统

Country Status (5)

Country Link
US (1) US9071968B2 (zh)
EP (1) EP2651156B1 (zh)
CN (1) CN102137401B (zh)
ES (1) ES2564484T3 (zh)
WO (1) WO2012075863A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137401B (zh) 2010-12-09 2018-07-20 华为技术有限公司 无线局域网集中式802.1x认证方法及装置和系统
CN105392211B (zh) 2011-12-23 2019-03-19 华为技术有限公司 一种无线中继设备的中继方法及无线中继设备
CN103188662B (zh) * 2011-12-30 2015-07-29 中国移动通信集团广西有限公司 一种验证无线接入点的方法以及装置
CN103200004B (zh) * 2012-01-09 2018-11-20 中兴通讯股份有限公司 发送消息的方法、建立安全连接的方法、接入点和工作站
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
CN102761940B (zh) * 2012-06-26 2016-06-08 杭州华三通信技术有限公司 一种802.1x认证方法和设备
EP2923280B1 (en) * 2013-01-03 2018-04-04 Huawei Technologies Co., Ltd. Systems and methods for accessing a network
CN103973570B (zh) * 2013-01-31 2017-12-15 华为技术有限公司 一种报文传输的方法、ap及系统
CN103747439B (zh) * 2013-12-31 2017-08-25 福建三元达网络技术有限公司 无线控制器设备、无线认证处理方法、系统、组网
CN104219094B (zh) * 2014-08-29 2018-10-26 新华三技术有限公司 一种ap分组配置的方法和设备
CN105592037B (zh) * 2015-07-10 2019-03-15 新华三技术有限公司 一种mac地址认证方法和装置
EP3328107B1 (en) * 2015-08-13 2019-10-09 Huawei Technologies Co., Ltd. Method, relevant device and system for message protection
CN105516977B (zh) * 2015-12-03 2019-07-26 广东石油化工学院 基于双通道无线路由器或AP的免密码WiFi鉴权认证方法
CN108092988B (zh) * 2017-12-28 2021-06-22 北京网瑞达科技有限公司 基于动态创建临时密码的无感知认证授权网络系统和方法
CN111654865B (zh) * 2020-07-31 2022-02-22 迈普通信技术股份有限公司 终端认证方法、装置、网络设备及可读存储介质
US11977908B2 (en) * 2021-07-09 2024-05-07 Dish Wireless L.L.C. Streamlining the execution of software such as radio access network distributed units

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1505329A (zh) * 2002-11-28 2004-06-16 深圳市中兴通讯股份有限公司 数据帧转发方法
CN1527557A (zh) * 2003-03-04 2004-09-08 华为技术有限公司 一种桥接设备透传802.1x认证报文的方法
CN1969568A (zh) * 2004-01-22 2007-05-23 株式会社东芝 使用预认证、预配置和/或虚拟软切换的移动体系结构

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7499401B2 (en) * 2002-10-21 2009-03-03 Alcatel-Lucent Usa Inc. Integrated web cache
CN1186906C (zh) 2003-05-14 2005-01-26 东南大学 无线局域网安全接入控制方法
CN1283062C (zh) * 2004-06-24 2006-11-01 华为技术有限公司 无线局域网用户实现接入认证的方法
JP4558454B2 (ja) * 2004-11-12 2010-10-06 パナソニック株式会社 通信システム
JP4679205B2 (ja) * 2005-03-31 2011-04-27 Necインフロンティア株式会社 認証システム、装置、方法、プログラム、および通信端末
CN101273649A (zh) * 2005-07-25 2008-09-24 艾利森电话股份有限公司 用于改进无线接入网的切换特性的装置和方法
CN100591011C (zh) * 2006-08-31 2010-02-17 华为技术有限公司 一种认证方法及系统
CN101232372B (zh) * 2007-01-26 2011-02-02 华为技术有限公司 认证方法、认证系统和认证装置
US20090019539A1 (en) * 2007-07-11 2009-01-15 Airtight Networks, Inc. Method and system for wireless communications characterized by ieee 802.11w and related protocols
US8428036B2 (en) * 2009-01-22 2013-04-23 Belair Networks Inc. System and method for providing wireless local area networks as a service
CN101599834B (zh) 2009-07-15 2011-06-01 杭州华三通信技术有限公司 一种认证部署方法和一种管理设备
CN102137401B (zh) * 2010-12-09 2018-07-20 华为技术有限公司 无线局域网集中式802.1x认证方法及装置和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1505329A (zh) * 2002-11-28 2004-06-16 深圳市中兴通讯股份有限公司 数据帧转发方法
CN1527557A (zh) * 2003-03-04 2004-09-08 华为技术有限公司 一种桥接设备透传802.1x认证报文的方法
CN1969568A (zh) * 2004-01-22 2007-05-23 株式会社东芝 使用预认证、预配置和/或虚拟软切换的移动体系结构

Also Published As

Publication number Publication date
ES2564484T3 (es) 2016-03-23
US20130272290A1 (en) 2013-10-17
WO2012075863A1 (zh) 2012-06-14
US9071968B2 (en) 2015-06-30
CN102137401A (zh) 2011-07-27
EP2651156B1 (en) 2015-12-30
EP2651156A4 (en) 2013-10-16
EP2651156A1 (en) 2013-10-16

Similar Documents

Publication Publication Date Title
CN102137401B (zh) 无线局域网集中式802.1x认证方法及装置和系统
CN108848112B (zh) 用户设备ue的接入方法、设备及系统
CN103686709B (zh) 一种无线网格网认证方法和系统
CN103609154B (zh) 一种无线局域网接入鉴权方法、设备及系统
US9253636B2 (en) Wireless roaming and authentication
CN108391238A (zh) 无线mesh网络的配网方法
CN107852407A (zh) 用于集成小型小区和Wi‑Fi网络的统一认证
CN109804651A (zh) 通过独立的非3gpp接入网络的核心网络附接
CN104105096B (zh) 一种ipc设备的无线接入方法
CN107211272A (zh) 方法、装置和系统
WO2009152749A1 (zh) 一种绑定认证的方法、系统和装置
CN103297968B (zh) 一种无线终端认证的方法、设备及系统
CN107580768A (zh) 报文传输的方法、装置和系统
CN107079016A (zh) 用于认证互操作性的方法和系统
CN107211273A (zh) 涉及用于网络信令的快速初始链路建立fils发现帧的无线通信
CN106375123B (zh) 一种802.1x认证的配置方法及装置
CN101785343A (zh) 快速转换资源协商
CN106797539A (zh) 建立和配置动态订阅
CN109788480A (zh) 一种通信方法及装置
CN107820262A (zh) 参数配置方法、装置及系统
CN108834138A (zh) 一种基于声纹数据的配网方法及系统
CN105101274B (zh) 报文转发方式的配置方法和装置
CN103401751B (zh) 因特网安全协议隧道建立方法和装置
CN105101337B (zh) 信息发送方法和系统
CN109819440A (zh) 鉴权的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant