CN102577299A - 简化的接入网认证信息承载协议 - Google Patents
简化的接入网认证信息承载协议 Download PDFInfo
- Publication number
- CN102577299A CN102577299A CN2009801010898A CN200980101089A CN102577299A CN 102577299 A CN102577299 A CN 102577299A CN 2009801010898 A CN2009801010898 A CN 2009801010898A CN 200980101089 A CN200980101089 A CN 200980101089A CN 102577299 A CN102577299 A CN 102577299A
- Authority
- CN
- China
- Prior art keywords
- address
- pana
- authentication
- message
- nas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了简化的接入网络认证信息承载协议的方法和系统。在宽带架构,例如宽带论坛或全球微波互联接入(Worldwide Interoperability for Microwave Access;WIMAX)论坛,网络接入服务器(Network Access server;NAS)是远离用户的IP一跳。因此有可能缓和了在PANA中在认证前获得IP地址的需求。为了认证,PANA客户端(PANA client;PaC)可能使用非特定的IP地址(例如IPv4格式的0.0.0.0)作为源地址。PANA认证代理(PANA Authentication Agent;PAA)可能使用IP广播地址作为网络层目的地址(例如:0xffffffff)。本发明定义了PANA特征值对(Attribute-Value Pairs;AVPs)和允许在PANA中进行挑战字-握手认证协议(Challenge-Handshake Authentication Protocol;CHAP)的交互。支持PANA CHAP可以使在DSL宽带网络环境内的点对点协议(Point-to-Point Protocol;PPP)会话到IP会话的平滑迁移。sPANA能与PANA兼容。
Description
优先权信息
本申请要求美国专利申请No.12/199,985,申请日2008年8月28日,名称为“简化的接入网认证信息承载协议”的优先权,以及美国临时申请No.61/029,775,申请日2008年2月19日,名称为“简化的接入网认证信息承载协议(Simplified Protocol For CarryingAuthentication For Network Access;sPANA)”,上述两件专利申请公开的全部内容都被包括在本申请中。
技术领域
本发明涉及接入网络认证的简化协议(sPANA),在该说明书的末尾列举了所有的参考文本,该所有的参考文本的内容都已被包括在
本申请中。
背景技术
数字用户线(Digital Subscriber Line;DSL)广播接入网络一直在向聚合技术和协议方面演变。主要演变之一是从多协议框架的点对点协议(Point-to-Point Protocol;PPP)[RFC1661]和动态端点配置到面向封装的互联网协议(Internet Protocol;IP)和动态端点配置的动态主机配置协议(Dynamic Host Configuration Protocol;DHCP)。与认证用户有关的网络状态的术语在宽带论坛(Broadband Forum)上被称为“IP会话”[RFC-5193]。从PPP会话能够演变到IP会话需要替代的认证机制。目前一直致力于在IP会话认证机制(例如DHCP扩展)和接入网认证信息承载协议(Protocol for Carrying Authentication forNetwork Access;PANA)这两方面的研究。
DHCP扩展在[I-D.pruss-dhcp-auth-dsl]里有定义,用于在主机配置之前提供认证。该解决方案旨在利用现有的基于认证、授权和计费(Authentication,Authorization and Accounting;AAA)框架的远程用户拨号认证系统(Remote Authentication Dial In User Service;RADIUS)与异步传输模式(Asynchronous Transfer Mode;ATM)或基于DSL网络的以太网进行认证。该DHCP扩展可能只是一个可行的、短期的替代解决方案。
PANA在[RFC-5191]里有定义。PANA是一种在网络层传输的可扩展的认证协议(EAP),以便能在用户和接入网络之间进行网络接入认证。PANA可以在用户(例如PANA用户(PANA Client;PaC))和服务器(例如PANA认证代理(PANA Authentication Agent;PAA))之间运行,以用来执行网络接入服务的认证和授权。该PANA消息包括一系列的请求和应答。该PANA可能是一个可取的长期解决方案。然而,在现有的DSL广播网络应用该PANA存在一些问题。
目前仍然需要发展各种技术来使PANA适用于宽带论坛架构。在这样一个架构下,有必要在给用户分配IP地址之前对该用户进行认证。
发明内容
本发明提供使用非特定的IP地址的接入网络认证协议(NAPA)的各种方法和技术。本发明也提供使用挑战字-握手认证协议(Challenge-Handshake Authentication Protocol;CHAP)和sPANA结合来验证主机身份的方法。本发明也提供主机通过sPANA访问NAS和RADIUS服务器的方法,之后继续DHCP过程来请求IP地址。该sPANA也可以与CHAP、CHAP/EAP或任何兼容sPANA的其它协议一起使用。
本发明实施例为PANA提供非特定的IP地址作为源地址和广播地址作为网络层目的地址。在本发明的一个特定的实施例,该非特定的源IP地址可以是IPv4的格式0.0.0.0。该广播IP地址可以是IPv4的格式0xffffffff。该非特定的IP地址可以作为源IP地址来构建PANA请求消息。然而,该非特定的IP地址不能在PANA响应消息中以可路由的地址作为目的IP地址。该非特定的IP地址可以解决一个矛盾的要求:在PANA中一开始就需要一个IP地址来执行网络接入服务器的认证和授权,然而该IP地址可能仅在认证后才给定。
本发明的一个实施例是执行sPANA从而完全无需在PaCs中预先配置IP地址。sPANA适用于PaC与PAA可能仅有IP一跳的距离(oneIP hop)。该PaC可能为用户终端设备。该PAA可能是接入网络服务器(Network Access Server;NAS)。
本发明的一个实施例提供了一种用于sPANA的CHAP方法。该sPANA使用非特定的IP地址作为源地址以及广播地址作为目的地址。CHAP通常用于PPP。本发明的该实施例提供了用于sPANA的CHAP。CHAP通过三次握手(a three-way handshake)来周期性验证一个PaC的身份。该验证基于一个共享密钥(shared secret),例如客户端使用者的密码。尽管该密钥并不向网络发送,但是CHAP要求客户端和服务器都知道该密钥的明文(plaintext)。
本发明另一实施例提供了一种PaC或DHCP客户端通过sPANA访问NAS的方法。该NAS作为DHCP服务器的一个DHCP中继。sPANA的认证协议可以是CHAP或扩展的认证协议(ExtensibleAuthentication Protocol;EAP)。此外,sPANA使用非特定的IP地址作为源地址以及广播地址作为目的地址。
本发明又一实施例提供了一种基于sPANA认证实体的系统,例如该实体是主机或PaC。该系统包括发送器用于客户端发送PANA消息,该发送的PANA消息使用IP广播地址作为PAA到该PaC的网络层地址的或IP目的地址,例如该发送的PANA消息可以是PANA客户端初始化消息(PANA-Client-Initiation;PCI)或PANA认证请求消息(PANA-Auth-Request;PAR)。尤其是,该IP广播地址可以是IPv4格式的0xffffffff。该系统进一步包括接收装置用于接收PANA消息,该接收的PANA消息使用非特定的IP地址作为该PaC的源地址。例如该接收的PANA消息可以是PAR。特别地,该非特定的IP地址可以是IPv4的格式0.0.0.0。该PaC或者PAA都可以发起该sPANA会话。
附图说明
说明书的剩余部分和附图可供参考以便于进一步理解本发明的实质和优点,其中,在附图中使用的相同附图标记代表相同的参数。
图1是举例说明基于认证系统的PANA;
图2是举例说明以非特定的IP地址作为源地址和广播地址作为目的地址的格式;
图3是表示sPANA CHAP的一个信息流;
图4是表示sPANA和DHCP交互的一个信息流;
图5是举例说明认证协议AVPs的格式;
图6是举例说明在图5的认证协议AVP中使用CHAP认证协议。
具体实施例
图1是举例说明基于认证系统100的PANA。该系统100包括主机102、网络接入服务器106(Net Access Server;NAS)、RADIUS服务器110以及DHCP服务器114。主机102可以是PaC或者是DHCP客户端。NAS106可以是PAA或者是DHCP中继,用于在向DHCP服务器114请求IP地址之前对主机102进行认证。PaC可以是个人计算机、移动电话或者别的便携式的通讯设备。
RADIUS是使用接入服务器来对访问大的网络提供集中管理的协议。RADIUS通常被企业在对访问外部网络和内部网络管理时使用。该外部网络和内部网络使用不同的网络技术,例如调制解调器(modems),DSL和无线。
主机102为了访问NAS106可以发送PCI消息到NAS106。当主机102访问NAS106后,NAS106可以发送RADIUS访问请求消息给RADIUS服务器110,请求准许通过RADIUS协议的访问授权。
通常,只在主机或实体被认证后才给定IP地址。认证与校验主机的身份是有关联的,授权指的是准许特定的特权,即一个被认证的人有权利执行特定的操作。认证是先于授权的,没有认证是不会授权的。
然而,PANA在开始主机认证之前请求IP地址。这造成对IP地址请求顺序的冲突。例如,对于IP地址配置来说,[RFC-5191]and[I-D.ietf-pana-framework]要求PaC在开始PANA之前进行IP地址配置。这与通常的DSL假定是冲突的,通常的DSL假定是对用户进行认证是发生在对用户进行分配IP地址之前的。而且,分配IP地址是依赖所获得的认证的。当在DSL网络应用PANA时,请求IP地址顺序的冲突变成了一个障碍。
因为PANA要求IP地址,所以在PANA中,一开始就有一个非特定的IP地址(begin a sequence);在PANA中,该非特定的IP地址可以用来构建报文(framing),但不可以用来路由。别的方法可以用于路由,例如,通过以太网。
sPANA的操作方法(sPANA Operation)
[RFC4058]确定了链路层协议无关的要求,允许主机和网络在网络接入时可以相互认证。该协议的设计可能被限定到一个消息协议
(例如承载层协议),该消息协议可以允许在接入网络对主机/客户端和代理/服务器之间承载的净荷进行认证。该承载的净荷并不限定到一个特定的认证净荷。
[RFC-5191]描述了适用EAP的PANA,该PANA作为网络层传输协议对客户端和接入网络之间的网络接入认证进行授权。[RFC-5191]也提到PANA协议包括一系列的请求消息和应答消息。每个消息可以在一个净荷中携带0或者多个特征值对(Attribute-ValuePairs;AVPs)。PANA的主要净荷是执行认证的EAP。IP地址配置是执行EAP的先决条件。
为了实现在DSL网络中PPP会话到IP会话的畅通传输,PANACHAP认证可能集成为(integrated)基于RADIUS的AAA框架,该基于RADIUS的AAA框架是基于PPP CHAP认证模型构建的。
在本发明的一个实施例中,执行sPANA可以完全免于在PaC中事先配置IP地址,这通过在发出消息(outgoing)中使用一个非特定的IP地址作为源地址,在应答消息中使用一个广播地址作为目的地址来实现。PaC可以是一个用户终端设备。当PaC可能仅是远离PAA或者NAS的IP一跳(one IP hop)时,sPANA会起作用。
为了实现支持多认证方法的sPANA,可以引入认证方法协商机制。可以定义一些与CHAP有关的AVPs来为PAA使用CHAP认证PaC。
PANA会话包括几个不同的阶段,包括认证和授权阶段、接入阶段、再认证阶段和终止阶段。在认证和授权阶段,在主机或PaC102和NAS或PAA106之间建立一个sPANA会话,该sPANA会话携带认证净荷。该sPANA会话可以由PaC102或PAA106发起。PAA106负责校验PaC102提供的证书,认证该PaC102并且准许网络接入到该PaC102设备。
在本发明实施例中,从PaC102到PAA106的消息,例如PCI和PANA认证应答消息(PANA-Auth-Answer;PAN)可以使用非特定的IP地址作为源IP地址。从PAA到PaC的消息,PANA认证请求消息(PANA-Auth-Request;PAR),可以使用IP广播地址作为IP目的地址。
在本发明的一个实施例中,对于一个PaC发起的会话,PaC可以发起一个sPANA会话到PAA,具体通过使用一个非特定的IP地址作为源地址发送PCI消息到PAA,该非特定的IP地址例如是IPv4格式的0.0.0.0。接收到该PCI消息的PAA可以回复PAR消息来应答PaC,该PAR消息使用一个广播地址作为网络层目的地址,该广播地址例如是0xffffffff。该PAR消息可以使用该PaC的链路层单播媒体访问控制地址(Media Access Control;MAC)进行转发。
在本发明的另一个实施例中,对于一个PAA发起的会话,PAA可以通过其他机制来触发会话。PAA可以发送一个未经请求的PAR给PaC,可以使用一个广播地址作为网络层目的地址来发送该未经请求的PAR消息。该广播地址例如是0xffffffff。该未经请求的PAR消息可以使用该PaC的链路层单播媒体访问控制地址(Media AccessControl;MAC)进行转发。
在PANA中使用的IP地址是将非特定的IP地址作为源IP地址,广播IP地址作为目的地址。图2是举例说明源地址206和目的地址202的格式。例如,该非特定的IP地址206可以是IPv4的0.0.0.0的格式。目的地址202可以是IPv4的0xffffffff的格式。该非特定的源地址和目的地址也可以是其他的IPv6的格式。
认证方法协商和CHAP支持
通常是在PPP中使用CHAP。在PANA中也可以使用CHAP,例如在美国专利申请号US2007/0028092,发明人为Yegin,名称“在PANA中使用CHAP认证不使用EAP的方法和系统”的文档中有体现,该文档的全部内容都通过引用已被包含在本申请中。在本发明的一个特别实施例中提供的在PANA中使用CHAP的方法是校验主机或PaC的身份。PANA可以代替PPP来传输CHAP。
在[RFC-5191]中定义的PANA支持EAP。为了实现在DSL网络中PPP会话到IP会话的畅通传输,PANA CHAP认证可能集成为(integrated)现有的基于RADIUS的AAA框架,该基于RADIUS的AAA框架是基于PPP CHAP认证模型构建的。相应地,多种认证机制要求sPANA和认证方法协商机制一起使用。在PCI、PAR和PAN中可以包括认证协议特征值对(Authentication Protocol attribute valuepair;AVP)。
为了集成RADIUS CHAP,PANA认证代理(PANA AuthenticationAgent;PAA)发送带有标识(identifier;ID)、名字(Name)和挑战字(Challenge)的CHAP到PaC。该CHAP包括挑战字、标识和名字。PaC哈希该挑战字、标识、名字和密钥(Secret),并且将哈希的结果在CHAP应答中发给PAA。
在本发明的一个特别实施例中,AAA服务器可以使用RADIUS协议,该AAA服务器可以被称为RADIUS服务器。PAA可以发送CHAP的名字、标识、挑战字以及应答给RADIUS以用来校验证书(credentials)。密钥不以明文发送。RADIUS服务器和PaC可以知道该密钥。AAA服务器也可以与其他的协议一起使用。
图3是表示sPANA CHAP的一个信息流。PANA消息包括PCI、PAR以及PAN等其他的消息。序列1-3在主机或PaC102和NAS或PAA106之间执行。PAA负责校验PaC提供的证书,并且准许网络访问接入设备。PaC负责提供证书来证明有权访问网络的身份。PAA和EAP认证体(以及EAP服务器可选)位于同一节点。根据EAP模型,认证和授权过程也可以由后端的AAA框架完成。
参考图3,在步骤1中,主机或PaC102发送PCI消息到NAS或PAA106,该PCI消息用于发起认证过程。接着,NAS或PAA106发送PAR消息,该PAR消息用于校验主机身份,包括CHAP挑战字、名字和标识。然后,主机或PaC102会发送PAN消息到NAS或PAA106。该PAN消息用于确认接收PAR消息,包括CHAP应答、名字和标识。
步骤4-5由NAS106和RADIUS服务器110之间完成。NAS106会发送RADIUS访问请求到RADIUS服务器以便能够访问RADIUS服务器,该RADIUS访问请求携带CHAP挑战字、主机的应答、名字和标识。RADIUS服务器110准许访问则会发送RADIUS访问接受消息(RADIUS Access-Accept message;RAA)给NAS 106。
PANA进一步可以包括其他阶段,例如访问阶段、再认证阶段和终止阶段。在访问网络阶段,如果对PaC的认证和授权都成功完成,则PaC有权访问网络,PaC会立即发起IP地址配置。DHCPv4[RFC2131]用于IPv4的地址分配。此外,DHCPv6[RFC3315]and无状态自动地址配置(Stateless Address Auto-configuration)[RFC4862]用于IPv6的地址配置。地址配置完成后的后续操作和[RFC-5191]描述的IP地址选项(IP Address Option)类似。
在访问阶段的PANA会话可以进入再认证阶段通过再执行认证来扩展当前会话的存活期。详细描述可见[RFC-5191]中的IP地址选项。
进一步地,PaC或者PAA可以终止PANA会话。例如PaC可以发出会话分离指示;PAA可以发出会话撤回等。详细描述也可见[RFC-5191]中的IP地址选项。
sPANA和DHCP协同工作举例
sPANA和PANA是可兼容的。如果PaC102在认证之前获得一个IP地址,PaC102会使用PANA来进行操作,具体可见[RFC-5191]中的IP地址选项中的定义。然而,当PaC在认证之前并没有一个IP地址,本发明实施例提供了sPANA作为PANA的补充。
图4是举例说明sPANA和DHCP之间的交互。当PaC102需要进行认证以便有权访问NAS 106。在主机或PaC102、NAS或PAA106、RADIUS服务器110以及DHCP服务器114之间可能有11个通信的序列或步骤。主机102可以是DHCP客户端或PaC。NAS106可以是DHCP中继或PAA。RADIUS服务器110是运行RADIUS协议的AAA服务器。
参考图4,步骤1,主机102可以发送DHCP发现(DHCPDISCOVER)消息到NAS服务器106来发起地址配置。接着,当NAS106接收到来自主机102的DHCP发现消息时,NAS106会发送PAR来发起sPANA认证。NAS106可以关闭EAP或CHAP认证。为了重新开始DHCP过程,可以缓冲DHCP发现消息。在步骤3,主机102会回发PAN消息到NAS106来响应接收到PAR消息。
步骤4-5包括NAS106和RADIUS服务器110之间的通信序列。NAS 106可以发送RADIUS访问请求给RADIUS服务器110,以便有权访问RADIUS服务器。然后,RADIUS服务器110可以回发RADIUS访问接受消息到NAS106以便准许访问。
在本发明的一个实施例中,CHAP认证是可选的。在本发明的另一个实施例中,EAP作为认证方法也是可选的。如果选择EAP认证,步骤6的连续认证消息交互是需要的。
再参考图4,在步骤7,RADIUS服务器110认证成功后,可以发RADIUS访问接受消息到NAS106,以便授权主机访问网络。然后,NAS106可以发送PAR到主机102来完成认证。主机102可以发送PAN到NAS106来响应接收到PAR。
在步骤10,NAS106可以中继DHCP发现消息到DHCP服务器114以便重新开始DHCP过程。当NAS106作为DHCP中继时,可以在主机102和DHCP服务器114之间继续DHCP过程。在本发明的又一实施例中,DHCP可以是DHCPv4或DHCPv6。
在sPANA中应用AVPs的格式举例
AVPs通常用来封装有关PANA的消息。AVP格式在[RFC-5191]中的IP地址选项中有定义。本发明的一个实施例提供了特定的AVP,例如认证协议AVP。
图5定义了认证协议AVP的格式。认证协议AVP在PaC102和PAA106之间运行来指出优选的认证算法。AVP编码可以由互联网号码分配机构(Internet Assigned Number Authority;IANA)确定。认证协议可以是CHAP或者EAP。
图6是举例说明在图5的认证协议AVP中使用CHAP认证协议。
使用PAR和PAN进行CHAP认证AVP来实现在PaC102和PAA106之间交换CHAP认证数据。AVP编码可以由IANA确定。CHAP编码包括1用于挑战字和2用于应答。当每次发送挑战字时,标识域会发生变化。标识可以拷贝挑战字的标识域。值大小字段(Value-Size field)显示了值大小字段的长度。值字段(Value field)可以是一个或多个八位字节。
进一步地,挑战字值是一串可变的八位字节。当每次发送挑战字消息时,挑战字值会发生变化。挑战字值的长度依赖于产生这些八位字节的方法。挑战字值的长度可以独立于使用的哈希算法。
响应值是单向哈希值,该单向哈希值是对一串包括响应标识的八位字节进行哈希计算得到的。响应值后面连接的是密钥和挑战字值。响应值的长度依赖于所使用的哈希算法。
名字域包括一个或多个八位字节。名字域用于标识传输数据包的系统身份。名字域没有长度的限制。例如,名字域可以包含ASCII字符串或者包含在抽象语法标记中(ASN.1syntax)的全局唯一标识。
虽然在[RFC-5191]中定义的IP地址选项中有相互认证机制,但是出于安全原因考虑PANA CHAP机制可以是单向的。与[RFC-5191]中定义的IP地址选项中的PANA相比,sPANA的具体实施例有类似的PANA的安全程度。
下述引用的参考文件的全部内容出于参考的全部目的都包含在本申请中。
由Bradner,S.在[RFC2119]所描述的“在RFCs中使用关键词的必要标准说明”,BCP 14,1997年3月。
由Simpson,W.在[RFC1661]所描述的“点对点协议”STD 51,1994年7月。
由Droms,R.在[RFC2131]所描述的“动态主机配置协议”,1997年3月。
由Droms,R.,Bound,J.,Volz,B.,Lemon,T.,Perkins,C.,和M.Carney在[RFC3315]所描述的“在IPv6中的动态主机配置协议”,2003年7月。
由Thomson,S.,Narten,T.,和T.Jinmei在[RFC4862]所描述的“IPv6无状态地址自动配置”,2007年9月。
在[RFC-5193]所描述的“互连网协议会话”WT 146(正在进行中的工作),2007年4月。
由Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.,和A.Yegin在[RFC-5191]所描述的“接入网认证信息承载协议”,draft-ietf-pana-pana-18(正在进行中的工作),2007年9月。
由Jayaraman,P.,Ohba,Y.,Parthasarathy,M.,和A.Yegin在[I-D.ietf-pana-framework]所描述的“接入网认证信息承载协议框架”,draft-ietf-pana-framework-10(正在进行中的工作),2007年9月。
由Pruss,R.,Zorn,G.,Maglione,R.,和L.Yizhou在[I-D.pruss-dhcp-auth-dsl]所描述的“动态主机配置协议的扩展认证”draft-pruss-dhcp-auth-dsl-02(正在进行中的工作),2007年11月。
由Yegin,A.,Ohba,Y.,Penno,R.,Tsirtsis,G.,和C.Wang在[RFC4058]所描述的“接入网认证信息承载协议要求”,2005年5月。
本领域普通技术人员能够根据目前公开的实施例的描述来制造和使用本发明。对本领域普通技术人员来说,对实施例作出的明显容易的改变以及文中定义的一般原则也可以适用于别的实施例,上述变化并没有脱离本发明的范围。因此,本发明并不限于文中所描述的实施例,而是与文中所公开的新的特征和原理一致的最大保护范围。
Claims (26)
1.一种基于简化的接入网认证信息承载协议(simplified protocolfor carrying authentication for network access;sPANA)的认证通讯实体的方法,该方法包括:
传输第一PANA消息,该第一PANA消息使用非特定的IP地址作为从主机或PANA认证客户端(PANA-authentication-Client;PaC)到接入网络服务器(Network Access Server;NAS)或PANA认证代理(PANA-Authentication-Agent;PAA)的源IP地址;和
传输第二PANA消息,该第二PANA消息使用IP广播地址作为从NAS或PAA到主机或PaC的网络层目的地址。
2.根据权利要求1所述的方法,其特征在于,所述第一PANA消息包括PCI和PAN。
3.根据权利要求1所述的方法,其特征在于,所述第二PANA消息包括PAR。
4.根据权利要求1所述的方法,其特征在于,所述第二PANA消息通过使用PaC的链路层目的地址进行转发。
5.根据权利要求4所述的方法,其特征在于,所述链路层目的地址包括一个单播媒体访问控制地址。
6.根据权利要求1所述的方法,其特征在于,所述非特定的IP地址和所述IP广播地址包括IPv4和IPv6的格式。
7.根据权利要求6所述的方法,其特征在于,所述非特定的IP地址的IPv4格式为0.0.0.0。
8.根据权利要求6所述的方法,其特征在于,所述IP广播地址的IPv4的格式为0xffffffff。
9.一种基于sPANA和挑战字一握手认证协议(challenge-handshake authentication proptocol;CHAP)的认证通讯实体的方法,该方法包括:
传输PANA客户端初始化(PANA Client Initiation;PCI)消息,所述PCI消息使用非特定的IP地址作为从主机到NAS的源IP地址;
在NAS处接收所述PCI消息;
发送PANA认证请求(PANA-Auth-Request;PAR),所述PAR使用IP广播地址作为从NAS到主机的网络层目的IP地址,所述PAR携带CHAP挑战字,名字和标识;
在主机处接收所述PAR;
传输PANA认证应答(PANA-Auth-Answer;PAN)消息,所述PAN使用非特定的IP地址作为从主机到NAS的源地址,所述PAN携带CHAP应答,名字和标识;
发送RADIUS访问请求消息从NAS到RADIUS服务器,所述RADIUS访问请求消息携带CHAP挑战字,名字和标识;和
在NAS处接收来自于RADIUS服务器的RADIUS访问接受消息,所述RADIUS访问接受消息携带CHAP应答,名字和标识。
10.根据权利要求9所述的方法,其特征在于,所述主机包括PaC,所述NAS包括PAA,其中,所述主机是远离NAS的一跳。
11.根据权利要求9所述的方法,其特征在于,所述非特定的IP地址和IP广播地址包括IPv4和IPv6的格式。
12.根据权利要求11所述的方法,其特征在于,所述非特定的IP地址的IPv4格式为0.0.0.0。
13.根据权利要求11所述的方法,其特征在于,所述IP广播地址的IPv4的格式为0xffffffff。
14.一种基于sPANA的从动态主机配置协议(Dynamic HostConfiguration Protocol;DHCP)过程配置的IP地址的方法,该方法包括:
发送从主机到NAS的DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息使用非特定的IP地址作为源地址;
在NAS处传输PAR,所述PAR使用IP广播地址作为网络层目的地址;
在主机处接收所述PAR;和
为完成认证,传输从主机到NAS的PAN,所述PAN使用非特定的IP地址;
发送从NAS到DHCP服务器的DHCP发现消息,所述DHCP发现消息用于请求IP地址。
15.根据权利要求14所述的方法,进一步包括:
在NAS处发送远程用户拨号认证系统(Remote AuthenticationDial In User Service;RADIUS)访问请求,所述RADIUS接入请求用于有权访问RADIUS服务器;和
在NAS处接收来自于RADIUS服务器的RADIUS访问接受消息。
16.根据权利要求14所述的方法,其特征在于,所述DHCP服务器包括DHCPv4和DHCPv6。
17.根据权利要求14所述的方法,其特征在于,所述非特定的IP地址和IP广播地址包括IPv4和IPv6的格式。
18.根据权利要求17所述的方法,其特征在于,所述非特定的IP地址的IPv4格式为0.0.0.0。
19.根据权利要求17所述的方法,其特征在于,所述IP广播地址的IPv4的格式为0xffffffff。
20.根据权利要求14所述的方法,进一步包括:在sPANA使用认证协议,所述认证协议包括挑战字-握手认证协议(challenge-handshake authentication protocol;CHAP)和可扩展认证协议(extensible authentication protocol;EAP)。
21.一种基于sPANA的认证通讯实体的系统,所述系统包括:
接收装置,用于接收来自于主机或PaC的第一PANA消息,所述第一PANA消息使用非特定的IP地址;和
传输装置,用于传输第二PANA消息,所述第二PANA消息使用IP广播地址作为到所述主机或所述PaC的网络层目的地址。
22.根据权利要求21所述的系统,其特征在于,所述第一PANA消息包括PCI和PAN。
23.根据权利要求21所述的系统,其特征在于,所述第二PANA消息包括PAR。
24.根据权利要求21所述的系统,其特征在于,所述非特定的IP地址和IP广播地址包括IPv4和IPv6的格式。
25.根据权利要求24所述的系统,其特征在于,所述非特定的IP地址的IPv4格式为0.0.0.0。
26.根据权利要求24所述的系统,其特征在于,所述IP广播地址的IPv4的格式为0xffffffff。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US2977508P | 2008-02-19 | 2008-02-19 | |
| US61/029,775 | 2008-02-19 | ||
| USUS61/029,775 | 2008-02-19 | ||
| US12/199,985 US8621198B2 (en) | 2008-02-19 | 2008-08-28 | Simplified protocol for carrying authentication for network access |
| USUS12/199,985 | 2008-08-28 | ||
| US12/199,985 | 2008-08-28 | ||
| PCT/CN2009/070447 WO2009103232A1 (en) | 2008-02-19 | 2009-02-17 | Simplified protocol for carrying authentication for network access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102577299A true CN102577299A (zh) | 2012-07-11 |
| CN102577299B CN102577299B (zh) | 2015-10-21 |
Family
ID=40956130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980101089.8A Active CN102577299B (zh) | 2008-02-19 | 2009-02-17 | 简化的接入网认证信息承载协议 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8621198B2 (zh) |
| EP (1) | EP2210397A4 (zh) |
| CN (1) | CN102577299B (zh) |
| WO (1) | WO2009103232A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
| CN105681480A (zh) * | 2014-11-17 | 2016-06-15 | 中兴通讯股份有限公司 | 一种点对点协议ppp按需拨号的方法及设备 |
| CN112751870B (zh) * | 2020-12-30 | 2022-11-11 | 湖南麒麟信安科技股份有限公司 | 一种基于代理转发的nfs安全传输装置及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040062267A1 (en) * | 2002-03-06 | 2004-04-01 | Minami John Shigeto | Gigabit Ethernet adapter supporting the iSCSI and IPSEC protocols |
| US20060002557A1 (en) * | 2004-07-01 | 2006-01-05 | Lila Madour | Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US20060002351A1 (en) * | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US20070028092A1 (en) * | 2005-07-28 | 2007-02-01 | Alper Yegin | Method and system for enabling chap authentication over PANA without using EAP |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6614781B1 (en) * | 1998-11-20 | 2003-09-02 | Level 3 Communications, Inc. | Voice over data telecommunications network architecture |
| US20020023174A1 (en) * | 2000-03-20 | 2002-02-21 | Garrett John W. | Service selection in a shared access network using dynamic host configuration protocol |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| US20060002330A1 (en) | 2004-07-01 | 2006-01-05 | Lila Madour | Method and system for providing network access to protocol for carrying authentication for network access (PANA) mobile terminals and point-to-point protocol (PPP) mobile terminals packet data network |
| US20060002329A1 (en) | 2004-07-01 | 2006-01-05 | Lila Madour | Method and system for providing backward compatibility between protocol for carrying authentication for network access (PANA) and point-to-point protocol (PPP) in a packet data network |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US7467078B2 (en) * | 2004-07-16 | 2008-12-16 | Agilent Technologies Inc. | Portable distributed application framework |
| US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
| US7813319B2 (en) * | 2005-02-04 | 2010-10-12 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication |
| FI121907B (fi) | 2005-11-30 | 2011-05-31 | Teliasonera Ab | Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten |
| CN101401392A (zh) * | 2006-03-10 | 2009-04-01 | 松下电器产业株式会社 | 用于前缀控制的设备和用于前缀选择的设备 |
| US8978103B2 (en) * | 2006-08-21 | 2015-03-10 | Qualcomm Incorporated | Method and apparatus for interworking authorization of dual stack operation |
-
2008
- 2008-08-28 US US12/199,985 patent/US8621198B2/en active Active
-
2009
- 2009-02-17 CN CN200980101089.8A patent/CN102577299B/zh active Active
- 2009-02-17 EP EP09711937A patent/EP2210397A4/en not_active Withdrawn
- 2009-02-17 WO PCT/CN2009/070447 patent/WO2009103232A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040062267A1 (en) * | 2002-03-06 | 2004-04-01 | Minami John Shigeto | Gigabit Ethernet adapter supporting the iSCSI and IPSEC protocols |
| US20060002557A1 (en) * | 2004-07-01 | 2006-01-05 | Lila Madour | Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US20060002351A1 (en) * | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US20070028092A1 (en) * | 2005-07-28 | 2007-02-01 | Alper Yegin | Method and system for enabling chap authentication over PANA without using EAP |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2210397A1 (en) | 2010-07-28 |
| US20090210542A1 (en) | 2009-08-20 |
| US8621198B2 (en) | 2013-12-31 |
| CN102577299B (zh) | 2015-10-21 |
| EP2210397A4 (en) | 2011-06-01 |
| WO2009103232A1 (en) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2556468C2 (ru) | Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента | |
| US8189567B2 (en) | Method and nodes for registering a terminal | |
| EP1604536B1 (en) | Methods and devices for establishing a connection via an access network | |
| US20100107223A1 (en) | Network Access Method, System, and Apparatus | |
| EP2346217B1 (en) | Method, device and system for identifying an IPv6 session | |
| CN101127600A (zh) | 一种用户接入认证的方法 | |
| CN100574195C (zh) | 基于动态主机配置协议的安全接入方法及其系统 | |
| WO2005002165A1 (en) | Apparatus and method for a single sign-on authentication through a non-trusted access network | |
| WO2012130085A1 (zh) | 与网管系统建立连接的方法、设备及通信系统 | |
| CN101478576A (zh) | 选择服务网络的方法、装置和系统 | |
| WO2014101449A1 (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| US9271318B2 (en) | Internet protocol address registration | |
| WO2006003631A1 (en) | Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana) | |
| WO2009140923A1 (en) | Method and apparatus for home agent address acquisition for ipv4 mobile nodes | |
| US20090249437A1 (en) | Assignment of policy function address during access authentication in wimax networks | |
| CN102638782B (zh) | 一种分配家乡代理的方法及系统 | |
| CN102577299B (zh) | 简化的接入网认证信息承载协议 | |
| WO2009012729A1 (fr) | Procédé, système et dispositif de conversion d'authentification d'accès à un réseau | |
| KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
| CN101365238B (zh) | 一种会话转换的方法及装置 | |
| KR100908245B1 (ko) | 이종망 통신 설정 장치 및 방법 | |
| WO2010078809A1 (zh) | 获取IPv6地址信息的方法、网关、服务器及系统 | |
| WO2006075823A1 (en) | Internet protocol address management system co-operated with authentication server | |
| WO2013034056A1 (zh) | 一种位置信息处理方法和系统 | |
| WO2011088653A1 (zh) | 一种分组数据服务节点的分配方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |