CN103297968B - 一种无线终端认证的方法、设备及系统 - Google Patents
一种无线终端认证的方法、设备及系统 Download PDFInfo
- Publication number
- CN103297968B CN103297968B CN201210053576.5A CN201210053576A CN103297968B CN 103297968 B CN103297968 B CN 103297968B CN 201210053576 A CN201210053576 A CN 201210053576A CN 103297968 B CN103297968 B CN 103297968B
- Authority
- CN
- China
- Prior art keywords
- wireless terminal
- authentication
- certification
- access point
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明实施例提供一种无线终端认证的方法、设备及系统,涉及无线通信认证领域,以保证在同一种网络中同时支持多种认证方式共存,该方法包括:无线终端接收接入点设备广播的业务服务域标识;其中,所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式;无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备;无线终端通过与其支持的认证模式相对应认证点进行数据交互,最终与AAA服务器完成认证流程,所述认证点为所述无线终端经由所述接入点设备所接入的网络中的网络节点,本发明用于无线终端的认证。
Description
技术领域
本发明涉及无线通信认证领域,尤其涉及一种无线终端认证的方法、设备及系统。
背景技术
LTE-EPC(Long Term Evolution-Evolved Packet Core,长期演进型分组核心网)网络近几年正在全球快速建网,但LTE终端产业链发展相对落后,目前已商用的LTE终端不仅类型少,而且价格昂贵,极大地限制了LTE技术的快速发展。
WiFi终端由于技术成熟度高,价格低,并且当前大部分电子设备都支持WiFi功能,因此WiFi终端接入LTE-EPC网络可以很好解决LTE发展初期终端匮乏问题。
现有技术中,在家庭场景下,AP设备只设置了一个认证SSID(Service SetIdentifier,服务集标识),由于一个认证SSID只支持一种认证模式,因此,无法在同一种网络中同时支持多种认证方式共存。
发明内容.
本发明的实施例提供一种无线终端认证的方法、设备及系统,以保证在同一种网络中同时支持多种认证方式共存。
为达到上述目的,本发明的实施例采用如下技术方案:
提供一种无线终端认证的方法,包括:
无线终端接收接入点设备广播的业务服务域标识;其中,所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式;
无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备;
无线终端通过与其支持的认证模式相对应认证点进行数据交互,最终与身份认证、授权和统计AAA服务器完成认证流程,所述认证点为所述无线终端经由所述接入点设备所接入的网络中的网络节点。
提供一种CPE,用于在融合网络中,无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,作为所述无线终端的认证点进行认证流程中的数据交互。
提供一种接入点设备,设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于在无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,作为所述无线终端的认证点进行认证流程中的数据交互。
提供一种接入网关,包括:所述接入网关用于在融合网络中,在无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入网关后,作为所述无线终端的认证点进行认证流程中的数据交互。
提供一种网络系统,包括:
在所述无线终端支持开放认证模式的情况下,所述网络系统包括:无线终端、接入点设备、AAA服务器和开放认证服务器以及接入服务器,其中,所述AAA服务器用于完成用户信息的认证;所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;所述接入服务器用于与接入点设备之间建立控制和配置无线接入点协议规范CAPWAP隧道,所述开放认证服务器具体用于,
向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
向所述接入点设备发送携带有所述无线终端相关认证信息的认证请求信息;
向所述无线终端推送网络页面,确认所述无线终端认证成功;
在所述无线终端支持加密认证模式的情况下,所述网络系统包括:无线终端、接入点设备、AAA服务器和接入服务器,其中,所述AAA服务器用于完成与所述认证点间用户信息的认证;所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;所述接入服务器用于与接入点设备之间建立控制和配置无线接入点协议规范CAPWAP隧道。
提供一种网络系统,所述网络系统包括:无线终端、接入点设备、CPE以及AAA服务器;
所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;
所述接入点设备或所述CPE作为所述无线终端的认证点进行认证流程中的数据交互;
所述AAA服务器用于完成与所述认证点间用户信息的认证。
提供一种网络系统,包括:无线终端、接入网关以及AAA服务器,
其中,所述接入网关包括上述的接入网关;
所述AAA服务器用于完成与所述认证点间用户信息的认证。
本发明实施例提供一种无线终端认证的方法、设备及系统,无线终端接收访问接入点设备广播的业务服务域标识;其中,所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式;无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备;无线终端通过与其支持的认证模式相对应认证点进行数据交互,最终与AAA服务器完成认证流程,所述认证点为所述无线终端经由所述接入点设备所接入的网络中的网络节点,这样,由于接入点设备设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种无线终端认证的方法的步骤示意图;
图2为本发明实施例提供的一种无线终端认证的方法的流程示意图;
图3为本发明实施例提供的另一种无线终端认证的方法的流程示意图;
图4为本发明实施例提供的另一种无线终端认证的方法的流程示意图;
图5为本发明实施例提供的另一种无线终端认证的方法的流程示意图;
图6为本发明实施例提供的一种接入网关的结构示意图;
图7a为本发明实施例提供的一种网络系统的结构示意图;
图7b为本发明实施例提供的另一种网络系统的结构示意图;
图8a为本发明实施例提供的另一种网络系统的结构示意图;
图8b为本发明实施例提供的另一种网络系统的结构示意图;
图9为本发明实施例提供的另一种网络系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种无线终端认证的方法,如图1所示,其方法步骤包括:
S101、无线终端接收接入点设备广播的业务服务域标识。
其中,该接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式。
在以下实施例中,上述的至少两个业务服务域标识是以两个业务服务域标识为例进行说明的,该两个业务服务域标识分别对应开放认证模式和加密认证模式,本发明实施例并不局限于此。
S102、无线终端通过与其支持的认证模式相对应的业务服务域标识接入该接入点设备。
进一步地,无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,示例地,用户或者终端制造商根据无线终端支持的认证模式设置无线终端的接入方式,具体为,若无线终端支持开放认证模式,则用户或者终端制造商设置无线终端通过与开放认证模式相对应的业务服务域标识接入接入点设备;若无线终端支持加密认证模式,则用户或者终端制造商设置无线终端通过与加密认证模式相对应的业务服务域标识接入接入点设备;
或者,无线终端通过该至少两个业务服务域标识中的任意一个尝试接入接入点设备,若任意一个业务服务域标识与该无线终端支持的认证模式相对应,则成功接入该接入点设备;若无法成功接入该接入点设备,则通过其它业务服务域标识依次尝试接入该接入点设备,直至该无线终端成功接入该接入点设备。
S103、无线终端通过与其支持的认证模式相对应认证点进行数据交互,最终与AAA服务器完成认证流程。
其中,认证点为该无线终端经由该接入点设备所接入的网络中的网络节点。
上述无线终端认证的方法可以应用于单个网络,也可以应用于融合网络;其中,单个网络是指用来传输数据的单一网络;融合网络是指存在第一网络和第二网络,第一网络用户接入第二网络中,并享受第二网络的认证、计费和Qos(Quality of Service,服务质量)管理和应用服务等功能的网络。
若上述方法应用于单个网络,则优选的上述认证点是接入点设备;
若上述方法应用于融合网络,则无论无线终端支持哪种认证模式均可以选用接入点设备,或CPE(Customer Premise Equipment,用户端设备),或接入网关作为认证点。其中,该接入网关包括接入点模块和CPE模块,其中,该接入点模块执行接入点设备的功能,该CPE模块执行CPE的功能。
更进一步地,在融合网络中,接入点设备和CPE分设的情况下,作为优选的,支持不同认证模式的无线终端通过不同的认证点进行认证流程,具体的,
若该无线终端支持开放认证模式,则与该无线终端支持的认证模式相对应的认证点为CPE;
由于开放认证模式不涉及空口协议,因此选用CPE作为认证点,CPE可以直接通过解析认证响应消息获取用户认证信息,而不需要接入点设备增加私有接口通知CPE,简化了认证流程且降低了接入点设备的复杂度和成本。
若该无线终端支持加密认证模式,则与该无线终端支持的认证模式相对应的认证点为接入点设备。
由于加密认证模式的空口加密用的PMK需要有接入点设备通知无线终端,因此若选用CPE作为认证点,CPE还需要将空口加密用的PMK通过私有消息发送给接入点设备,而选用接入点设备作为认证点,不需要再与CPE间增加私有消息,直接将空口加密用的PMK通知无线终端,简化了认证流程。
在融合网络中,在接入点设备和CPE合设为接入网关的情况下,作为优选的,支持不同认证模式的无线终端通过接入网关中不同的模块进行认证流程,具体的,
若该无线终端支持开放认证模式,则与该无线终端支持的认证模式相对应的认证点为该接入网关中的CPE模块;
若该无线终端支持加密认证模式,则与该无线终端支持的认证模式相对应的认证点为接入网关中的接入点模块。
本发明实施例中,将接入点设备或CPE或接入网关作为认证点,这样就将认证流程中的认证点架构于网络的接入侧,从而不仅可以节省与网络侧网元之间的传输数据,而且在无线终端认证没有通过的情况下,用户在网络的接入侧就被拒绝,无法访问网络的网络侧,增加了网络系统的安全性。
本发明实施例提供的无线终端认证的方法,由于接入点设备设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存。
为了方便叙述,以下所有的实施例中,单个网络以WLAN(Wireless Local AreaNetworks,无线局域网络)网络为例,融合网络以WLAN网络和LTE-EPC网络融合成的网络为例,开放认证模式以网关Portal认证模式为例,开放认证服务器以Portal服务器为例;加密认证模式以EAP(Extensible Authentication Protocol,扩展认证协议)认证模式为例,本发明实施例并不局限于此。
本发明实施例提供一种无线终端的认证方法,该实施例是在单个网络中,以无线终端支持Portal认证模式为例进行说明,则该无线终端通过与Portal认证模式相对应的接入点设备进行数据交互,最终与AAA服务器完成认证流程,如图2所示,其具体步骤包括:
S201、接入点设备与接入服务器之间建立CAPWAP(Control And Provisioning ofWireless Access Points Protocol Specification,建立控制和配置无线接入点协议规范)隧道,后续的认证消息都封装在该隧道上。
S202、无线终端接收接入点设备广播的业务服务域标识。
其中,该接入点设备设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式。
S203、无线终端通过与Portal认证模式相对应的业务服务域标识接入该接入点设备;
可选地,无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,示例地,用户或者终端制造商根据无线终端支持的认证模式设置无线终端的接入方式,具体为,若无线终端支持开放认证模式,则用户或者终端制造商设置无线终端通过与开放认证模式相对应的业务服务域标识接入接入点设备;若无线终端支持加密认证模式,则用户或者终端制造商设置无线终端通过与加密认证模式相对应的业务服务域标识接入接入点设备;
可选地,无线终端通过该至少两个业务服务域标识中的任意一个尝试接入接入点设备,若任意一个业务服务域标识与该无线终端支持的Portal认证模式相对应,则成功接入该接入点设备;若无法成功接入该接入点设备,则通过其它业务服务域标识依次尝试接入该接入点设备,直至该无线终端成功接入该接入点设备。
S204、接入服务器分配无线终端的IP地址,并将分配的IP地址发送给所述无线终端,接入点设备记录该无线终端的Mac地址和IP地址的映射关系。
S205、无线终端获取到IP地址后,向接入点设备发送HTTP(HyperText TransferProtocol,超文本传输协议)请求消息。
S206、接入点设备接收到该无线终端发送的HTTP请求信息后,在根据IP地址识别该无线终端未认证通过的情况下,根据接入点设备配置的Portal服务器的IP地址重定向到指定的Portal服务器。
其中,该接入点设备支持配置Portal服务器的IP地址,本地可以直接进行配置,远端则可以通过CAPWAP隧道由接入服务器下发。
S207、Portal服务器向无线终端推送网络页面,要求无线终端输入相关认证信息。
其中,该相关认证信息可以是用户预设的用户名和密码。
S208、无线终端向Portal服务器发送相关认证信息。
S209、portal服务器向接入点设备发送携带有该认证相关信息的认证请求信息。
S210、接入点设备对该认证请求信息进行Radius封装,并将封装后的认证请求Radius封装信息中的呼叫站ID(即Calling-Station-ID)字段赋值为无线终端的Mac地址,并根据接入点设备配置的AAA(Authentication、Authorization、Accounting,身份认证、授权和统计)服务器的IP地址发送给该AAA服务器。
其中,该接入点设备支持配置AAA服务器的IP地址,本地可以直接进行配置,远端则可以通过CAPWAP隧道由接入服务器下发。
S211、AAA服务器对无线终端的相关认证信息发起认证。
S212、在AAA服务器认证通过后,该AAA服务器向接入点设备发送携带有无线终端的Mac地址和用户开户信息的认证响应Radius封装信息。
S213、接入点设备收到该认证响应Radius封装信息后,对该认证响应Radius封装信息进行解析,并记录该无线终端认证通过。
S214、接入点设备向接入服务器发送用户认证通过通知消息,并启动计费服务。
S215、接入点设备向Portal服务器发送用户认证成功消息。
S216、Portal服务器向无线终端推送网络页面,确认所述无线终端认证成功。
S217、无线终端与AAA服务器完成认证流程。
本发明实施例提供的另一种无线终端认证的方法,该实施例是在单个网络中,以无线终端支持EAP认证模式为例进行说明,则该无线终端通过与EAP认证模式相对应的接入点设备进行数据交互,最终与AAA服务器完成认证流程,如图3所示,其具体步骤包括:
S301、接入点设备与接入服务器之间建立CAPWAP隧道,后续的认证消息都封装在该隧道上。
S302、无线终端接收接入点设备广播的业务服务域标识。
其中,该接入点设备设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式。
S303、无线终端通过与EAP认证模式相对应的业务服务域标识接入该接入点设备;
可选地,无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,示例地,用户或者终端制造商根据无线终端支持的认证模式设置无线终端的接入方式,具体为,若无线终端支持开放认证模式,则用户或者终端制造商设置无线终端通过与开放认证模式相对应的业务服务域标识接入接入点设备;若无线终端支持加密认证模式,则用户或者终端制造商设置无线终端通过与加密认证模式相对应的业务服务域标识接入接入点设备;
可选地,无线终端通过该至少两个业务服务域标识中的任意一个尝试接入接入点设备,若任意一个业务服务域标识与该无线终端支持的EAP认证模式相对应,则成功接入该接入点设备;若无法成功接入该接入点设备,则通过其它业务服务域标识依次尝试接入该接入点设备,直至该无线终端成功接入该接入点设备。
S304、无线终端向接入点设备发送EAPOL(Extensible Authentication ProtocolOver LAN,基于局域网的扩展认证协议)开始(即EAPOL-Start)报文。
S305、接入点设备向无线终端发送EAPOL请求(即EAPOL-Request/Identity)报文,要求无线终端提供用户的信息。
S306、无线终端接收到接入点设备发送的EAPOL请求(即EAPOL-Request/Identity)报文后,向接入点设备发送EAPOL响应(即EAPOL-Response/Identity)报文,提供用户的信息。
S307、接入点设备将该EAPOL响应(即EAPOL-Response/Identity)报文进行Radius封装,并将封装后的EAPOL响应(即EAPOL-Response/Identity)Radius封装报文中的呼叫站ID(即Calling-Station-ID)字段赋值为无线终端Mac地址。
S308、接入点设备根据配置的AAA服务器的IP地址将EAPOL响应(即EAPOL-Response/Identity)Radius封装报文发送给AAA服务器。
其中,接入点设备支持设置AAA服务器的IP地址,本地可以直接进行配置,远端则可以通过CAPWAP隧道由接入服务器下发。
S309、该AAA服务器根据配置确定使用的EAP认证方式后(例如EAP-PEAP或者EAP-AKA或者EAP-SIM等),接入点设备接收该AAA服务器发送的Radius接入询问(即Radius-Access-Challenge)报文。
其中,该Radius接入询问(即Radius-Access-Challenge)报文携带有EAP请求开始(即EAP-Request/PEAP/Start或EAP-Request/AKA/Start或EAP-Request/SIM/Start)报文。
S310、接入点设备向无线终端发送EAP请求开始(即EAP-Request/PEAP/Start或EAP-Request/AKA/Start或EAP-Request/SIM/Start)Radius封装报文。
S311、无线终端发起TLS(Transport Layer Security,安全传输层)隧道的建立。
S312、在该TLS隧道建立成功后,AAA服务器发起用户认证流程。
S313、在用户认证成功后,AAA服务器向接入点设备发送包含有MPPE属性和该无线终端Mac地址以及用户开户信息的接入响应(即Access-Accept)报文。
S314、接入点设备接收该接入响应(即Access-Accept)报文时,接入点设备解析该接入响应(即Access-Accept)报文,并记录无线终端认证通过。
S315、接入点设备提取该接入响应(Access-Accept)报文中MPPE属性中的密钥作为空口加密用的PMK(Pairwise Master Key,成对主密钥)。
S316、接入点设备向无线终端发送EAP成功(即EAP-Success)报文。
S317、无线终端收到该EAP成功(即EAP-Success)报文后,向接入服务器申请IP地址,接入服务器分配IP地址,并将分配的IP地址发送给所述无线终端。
S318、接入点设备向接入服务器发送用户认证通过通知消息,并启动计费服务。
S319、无线终端与AAA服务器完成认证流程。
本发明实施例提供的无线终端认证的方法,由于接入点设备设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,以上实施例中,在无线终端支持Portal认证模式的情况下,无线终端通过与Portal认证模式相对应的业务服务域标识接入接入点设备,在无线终端支持EAP认证模式的情况下,无线终端通过与EAP认证模式相对应的业务服务域标识接入接入点设备,这样,保证了在同一种网络中同时支持多种认证方式共存。
本发明实施例提供的另一种无线终端认证的方法,在融合网络中,以无线终端支持Portal认证模式为例进行说明,则该无线终端通过与Portal认证模式相对应的CPE进行数据交互,最终与AAA服务器完成认证流程,在本发明实施例中的CPE不支持Portal服务器相关认证功能,需要配置Portal服务器,如图4所示,其具体步骤包括:
S401、CPE完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在所述默认承载上。
其中,认证合法表示该用户经过授权且不存在欠费停机等禁止接入网络的状态。
S402、无线终端接收接入点设备广播的业务服务域标识。
其中,该接入点设备设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式。
S403、无线终端通过与Portal认证模式相对应的业务服务域标识接入该接入点设备;
可选地,无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,示例地,用户或者终端制造商根据无线终端支持的认证模式设置无线终端的接入方式,具体为,若无线终端支持开放认证模式,则用户或者终端制造商设置无线终端通过与开放认证模式相对应的业务服务域标识接入接入点设备;若无线终端支持加密认证模式,则用户或者终端制造商设置无线终端通过与加密认证模式相对应的业务服务域标识接入接入点设备;
可选地,无线终端通过该至少两个业务服务域标识中的任意一个尝试接入接入点设备,若任意一个业务服务域标识与该无线终端支持的Portal认证模式相对应,则成功接入该接入点设备;若无法成功接入该接入点设备,则通过其它业务服务域标识依次尝试接入该接入点设备,直至该无线终端成功接入该接入点设备。
S404、CPE分配无线终端的IP地址,记录该无线终端的Mac地址和IP地址的映射关系,并将分配的IP地址发送给所述无线终端;
S405、无线终端获取到IP地址后,向CPE发送HTTP请求消息。
S406、CPE接收到该无线终端发送的HTTP请求信息后,在根据IP地址识别该无线终端未认证通过的情况下,根据CPE配置的Portal服务器的IP地址重定向到指定的Portal服务器。
其中,该CPE支持配置Portal服务器的IP地址,本地可以直接进行配置,远端则可以通过TR069协议或者OMA-DM协议进行配置。
S407、Portal服务器向无线终端推送网络页面,要求无线终端输入相关认证信息。
其中,该相关认证信息可以是用户预设的用户名和密码。
S408、无线终端向Portal服务器发送相关认证信息;
S409、portal服务器向CPE发送携带有该认证相关信息的认证请求信息。
S410、CPE对该认证请求信息进行Radius封装,并将该封装后的认证请求Radius封装信息中的呼叫站ID(即Calling-Station-ID)字段赋值为无线终端的Mac地址,并根据CPE配置的AAA服务器的IP地址发送给该AAA服务器。
其中,该CPE支持配置AAA服务器的IP地址,本地可以直接进行配置,远端则可以通过TR069协议或者OMA-DM协议进行配置。
S411、AAA服务器对无线终端的相关认证信息发起认证。
S412、在AAA服务器认证通过后,该AAA服务器向CPE发送携带有无线终端的Mac地址和用户开户信息的认证响应Radius封装信息。
S413、CPE收到该认证响应Radius封装信息后,对该认证响应Radius封装信息进行解析,并记录该无线终端认证通过。
S414、CPE向Portal服务器发送用户认证成功消息。
S415、Portal服务器向无线终端推送网络页面,确认所述无线终端认证成功。
S416、无线终端与AAA服务器完成认证流程。
需要说明的是,在CPE内置Portal服务器的相关认证功能的情况下,则上述实施例中,CPE设备与Portal服务器之间的数据交互都为该合设的CPE设备中内部模块之间的数据交互,上述其余与Portal服务器之间进行数据交互的设备也都直接与该合设的CPE设备进行数据交互,认证流程中不需要再配置Portal服务器。
另外,在无线终端通过与Portal认证模式相对应的接入网关进行认证流程的情况下,该接入网关包括接入点模块和CPE模块,其中,接入点模块执行接入点设备的功能,CPE模块执行CPE的功能,则上述与CPE和接入点设备之间进行数据交互的设备都直接与该接入网关进行数据交互。
本发明实施例提供的无线终端认证的方法,由于接入点设备设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存,同时,将CPE或接入网关中的CPE模块作为认证点,这样就将认证流程中的认证点架构于网络的接入侧,从而不仅可以节省与网络侧网元之间的传输数据,而且在无线终端认证没有通过的情况下,用户在网络的接入侧就被拒绝,无法访问网络的网络侧,增加了网络系统的安全性。
本发明实施例提供的又一种无线终端认证的方法,在融合网络中,以无线终端支持EAP认证模式为例进行说明,则该无线终端通过与EAP认证模式相对应的接入点设备进行数据交互,最终与AAA服务器完成认证流程,在该实施例中的CPE和接入点设备分设的情况下,如图5所示,其具体步骤包括:
S501、CPE完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在所述默认承载上。
其中,认证合法表示该用户经过授权且不存在欠费停机等禁止接入网络的状态。
S502、无线终端接收接入点设备广播的业务服务域标识。
其中,该接入点设备设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式。
S503、无线终端通过与EAP认证模式相对应的业务服务域标识接入该接入点设备;
可选地,无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,示例地,用户或者终端制造商根据无线终端支持的认证模式设置无线终端的接入方式,具体为,若无线终端支持开放认证模式,则用户或者终端制造商设置无线终端通过与开放认证模式相对应的业务服务域标识接入接入点设备;若无线终端支持加密认证模式,则用户或者终端制造商设置无线终端通过与加密认证模式相对应的业务服务域标识接入接入点设备;
可选地,无线终端通过该至少两个业务服务域标识中的任意一个尝试接入接入点设备,若任意一个业务服务域标识与该无线终端支持的EAP认证模式相对应,则成功接入该接入点设备;若无法成功接入该接入点设备,则通过其它业务服务域标识依次尝试接入该接入点设备,直至该无线终端成功接入该接入点设备。
S504、无线终端向接入点设备发送EAPOL开始(即EAPOL-Start)报文。
S505、接入点设备向无线终端发送EAPOL请求(即EAPOL-Request/Identity)报文,要求无线终端提供用户的信息。
S506、无线终端接收到接入点设备发送的EAPOL请求(即EAPOL-Request/Identity)报文后,向接入点设备发送EAPOL响应(即EAPOL-Response/Identity)报文,提供用户的信息。
S507、接入点设备将该EAPOL响应(即EAPOL-Response/Identity)报文进行Radius封装,并将封装后的EAPOL响应(即EAPOL-Response/Identity)Radius封装报文中的呼叫站ID(即Calling-Station-ID)字段赋值为无线终端Mac地址。
S508、接入点设备根据配置的AAA服务器的IP地址将EAPOL响应(即EAPOL-Response/Identity)Radius封装报文发送给AAA服务器。
其中,接入点设备支持设置AAA服务器的IP地址,本地可以直接进行配置,远端则可以通过TR069协议或者OMA-DM协议进行配置。
S509、该AAA服务器根据配置确定使用的EAP认证方式后(例如EAP-PEAP或者EAP-AKA或者EAP-SIM等),接入点设备接收该AAA服务器发送的Radius接入询问(即Radius-Access-Challenge)报文。
其中,该Radius接入询问(即Radius-Access-Challenge)报文携带有EAP请求开始(即EAP-Request/PEAP/Start或EAP-Request/AKA/Start或EAP-Request/SIM/Start)报文。
S510、接入点设备向无线终端发送EAP请求开始(即EAP-Request/PEAP/Start或EAP-Request/AKA/Start或EAP-Request/SIM/Start)Radius封装报文。
S511、无线终端发起TLS隧道的建立。
S512、在该TLS隧道建立成功后,AAA服务器发起用户认证流程。
S513、在用户认证成功后,AAA服务器向接入点设备发送含有MPPE属性和该无线终端Mac地址以及用户开户信息的接入响应(即Access-Accept)报文。
S514、接入点设备接收该接入响应(即Access-Accept)报文时,CPE解析该接入响应(即Access-Accept)报文,并记录无线终端认证通过。
S515、接入点设备提取该接入响应(Access-Accept)报文中MPPE属性中的密钥作为空口加密用的PMK(Pairwise Master Key,成对主密钥)。
S516、接入点设备向无线终端发送EAP成功(即EAP-Success)报文。
S517、无线终端收到该EAP成功(即EAP-Success)报文后,向CPE设备申请IP地址。
S518、CPE在确认用户认证通过的情况下,触发分配IP地址,并将分配的IP地址发送给所述无线终端。
S519、无线终端获取到IP地址后,与AAA服务器完成认证流程。
需要说明的是,在无线终端通过与EAP认证模式相对应的接入网关进行认证流程的情况下,该接入网关包括接入点模块和CPE模块,其中,接入点模块执行上述接入点设备的功能,CPE模块执行上述CPE的功能,则步骤S508为:接入点模块使用该接入网关配置的所述AAA服务器的IP地址将所述EAPOL响应(即EAPOL-Response/Identity)Radius封装报文发送给所述AAA服务器;步骤S514为:接入点模块接收该接入响应(即Access-Accept)报文时,接入点模块解析该接入响应(即Access-Accept)报文,并通过内部消息告知CPE模块,CPE模块记录无线终端认证通过;
CPE与接入点设备之间的数据交互都为该接入网关中CPE模块和接入点模块之间的数据交互,上述其余与CPE和接入点设备之间进行数据交互的设备也都直接与该接入网关进行数据交互。
本发明实施例提供的无线终端认证的方法,由于接入点设备设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存,同时,将接入点设备或接入网关中的接入点模块作为认证点,这样就将认证流程中的认证点架构于网络的接入侧,从而不仅可以节省与网络侧网元之间的传输数据,而且在无线终端认证没有通过的情况下,用户在网络的接入侧就被拒绝,无法访问网络的网络侧,增加了网络系统的安全性。
本发明实施例提供一种CPE,该CPE设备用于在融合网络中,无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,作为所述无线终端的认证点进行认证流程中的数据交互。
进一步地,该CPE设备还用于在融合网络中,作为支持Portal认证模式的无线终端的认证点进行认证流程中的数据交互,该CPE具体用于:
分配该无线终端的IP地址,并将分配的IP地址发送给该无线终端;
接收该无线终端发送的请求信息;
在该无线终端未认证通过的情况下,根据配置的该Portal服务器的IP地址,重定向到指定的Portal服务器;
接收该Portal服务器发起的携带有该无线终端相关认证信息的认证请求信息;
对该认证请求信息进行封装;
根据配置的AAA服务器的IP地址,向该AAA服务器发送该认证请求信息;
接收该AAA服务器发送的认证响应信息;
解析该认证响应信息,记录无线终端认证通过;
向该Portal服务器发起无线终端认证成功消息。
可选地,在融合网络中,CPE内置Portal服务器的相关认证功能的情况下,该CPE设备用于:
分配该无线终端的IP地址,并将分配的IP地址发送给该无线终端;
接收该无线终端发送的请求信息;
在该无线终端未认证通过的情况下,向无线终端推送网络页面,以便该无线终端输入用户相关认证信息;
接收该无线终端发送的用户相关认证信息;
生成认证请求信息,并对该认证请求信息进行封装,该认证请求信息携带有用户相关认证信息;
根据配置的AAA服务器的IP地址,向该AAA服务器发送该认证请求信息;
接收该AAA服务器发送的认证响应信息;
解析该认证响应信息,记录无线终端认证通过;
向该无线终端推送网络页面,确认该无线终端认证成功。
本发明实施例提供一种接入点设备,该接入点设备设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,该接入点设备用于在无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,作为无线终端的认证点进行认证流程中的数据交互。
进一步地,用于在融合网络中,该接入点设备用于作为支持EAP认证模式的无线终端的认证点进行认证流程中的数据交互,该接入点设备具体用于:
接收无线终端发送的EAPOL开始报文;
向该无线终端发送EAPOL请求报文;
接收该无线终端发送的EAPOL响应报文;
将该EAPOL响应报文进行封装;
根据配置的AAA服务器的IP地址将该EAPOL响应报文发送给AAA服务器;
在该AAA服务器根据配置确定所使用的EAP认证方式后,接收该AAA服务器发送的接入询问报文,该接入询问报文中含有该EAP认证方式的EAP请求开始报文;
向该无线终端发送该EAP请求开始报文,以便该无线终端发起传输层隧道的建立;
在该用户信息认证成功后,接收该AAA服务器发送的接入响应报文;
提取该接入响应报文中的密钥作为空口加密用的PMK;
向该无线终端发送EAP成功报文。
本发明实施例提供一种接入网关,该接入网关用于在融合网络中,在无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入网关后,作为该无线终端的认证点进行认证流程中的数据交互。
进一步地,如图6所示,该接入网关60包括:接入点模块61和CPE模块62,
在融合网络中,无线终端支持EAP认证模式的情况下,该接入点模块61用于作为支持EAP认证模式的无线终端的认证点进行认证流程中的数据交互,该接入点模块61设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,该接入点模块61具体用于,
接收无线终端发送的EAPOL开始报文;
向该无线终端发送EAPOL请求报文;
接收该无线终端发送的EAPOL响应报文;
将该EAPOL响应报文进行封装;
根据接入网关配置的AAA服务器的IP地址将该EAPOL响应报文发送给AAA服务器;
在该AAA服务器根据配置确定所使用的EAP认证方式后,接收该AAA服务器发送的接入询问报文,该接入询问报文中含有该EAP认证方式的EAP请求开始报文;
向该无线终端发送该EAP请求开始报文,以便该无线终端发起传输层隧道的建立;
在该用户信息认证成功后,接收该AAA服务器发送的接入响应报文;
提取该接入响应报文中的密钥作为PMK;
向该无线终端发送EAP成功报文;
该接入点模块61还用于解析该接入响应报文,并将该接入响应报文发送给CPE模块62;
该CPE模块62具体用于,完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在该默认承载上;
接收接入点模块61解析的该接入响应报文,记录无线终端认证通过;
分配该无线终端的IP地址,在认证通过的情况下,将分配的IP地址发送给该无线终端;
在无线终端支持Portal认证模式的情况下,该CPE模块62用于作为支持Portal认证模式的无线终端的认证点进行认证流程中的数据交互,该CPE模块62具体用于,分配该无线终端的IP地址,并将分配的IP地址发送给该无线终端;
接收该无线终端发送的请求信息;
在该无线终端未认证通过的情况下,根据配置的该Portal服务器的IP地址,重定向到指定的Portal服务器;
接收该Portal服务器发起的携带有该无线终端相关认证信息的认证请求信息;
对该认证请求信息进行封装;
根据配置的AAA服务器的IP地址,向该AAA服务器发送该认证请求信息;
接收该AAA服务器发送的认证响应信息;
解析该认证响应信息,记录无线终端认证通过;
向该Portal服务器发起无线终端认证成功消息。
更进一步地,无线终端支持Portal认证模式的情况下,该CPE模块62用于作为支持Portal认证模式的无线终端的认证点进行认证流程中的数据交互,该CPE模块62具体用于,
分配该无线终端的IP地址,并将分配的IP地址发送给该无线终端;
接收该无线终端发送的请求信息;
在该无线终端未认证通过的情况下,向无线终端推送网络页面,以便该无线终端输入用户相关认证信息;
接收该无线终端发送的用户相关认证信息;
生成认证请求信息,并对该认证请求信息进行封装,该认证请求信息携带有用户相关认证信息;
根据配置的AAA服务器的IP地址,向该AAA服务器发送该认证请求信息;
接收该AAA服务器发送的认证响应信息;
解析该认证响应信息,记录无线终端认证通过;
向该无线终端推送网络页面,确认该无线终端认证成功。
本发明实施例提供一种网络系统,包括:
在无线终端支持Portal认证模式的情况下,
该网络系统,如图7a所示,包括:
无线终端71、接入点设备72、AAA服务器73和Portal服务器74以及接入服务器75,其中,该AAA服务器73用于完成用户信息的认证;该接入点设备72中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,该接入点设备72用于向该无线终端广播业务服务域标识,将该无线终端71接入网络,并作为该无线终端71的认证点进行认证流程中的数据交互;该接入服务器75用于与接入点设备之间建立控制和配置无线接入点协议规范CAPWAP隧道,该Portal服务器74具体用于,
向无线终端71推送网络页面,以便该无线终端71输入用户相关认证信息;
接收该无线终端71发送的用户相关认证信息;
向该接入点设备发送携带有该无线终端相关认证信息的认证请求信息;
向该无线终端71推送网络页面,确认该无线终端71认证成功;
在无线终端支持EAP认证模式的情况下,该网络系统,如图7b所示,包括:
无线终端71、接入点设备72、AAA服务器73和接入服务器75,其中,该AAA服务器73用于完成与该认证点间用户信息的认证;该接入点设备72中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,该接入点设72用于向该无线终端71广播业务服务域标识,将该无线终端71接入网络,并作为该无线终端71的认证点进行认证流程中的数据交互;该接入服务器75用于与接入点设备72之间建立控制和配置无线接入点协议规范CAPWAP隧道。
应用本发明实施例提供的网络系统,接入点设备或者接入网关中的接入点模块设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存。
本发明实施例提供一种网络系统,如图8a所示,该网络系统包括:无线终端81、接入点设备82、CPE83以及AAA服务器84,
该接入点设备82中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,该接入点设备82用于向该无线终端81广播业务服务域标识,将该无线终端81接入网络,并作为该无线终端81的认证点进行认证流程中的数据交互;
该接入点设备82或该CPE83作为该无线终端的认证点进行认证流程中的数据交互;
该AAA服务器84用于完成与所述认证点间用户信息的认证.
进一步地,若该无线终端81支持Portal认证模式,则该无线终端的认证点为CPE83;
若该无线终端81支持EAP认证模式,则该无线终端81的认证点为接入点设备82。
可选地,若该无线终端81支持Portal认证模式,如图8b所示,该网络系统还包括:Portal服务器85;
该Portal服务器85具体用于,
向无线终端81推送网络页面,以便该无线终端81输入用户相关认证信息;
接收该无线终端81发送的用户相关认证信息;
向该CPE发送携带有该无线终端相关认证信息的认证请求信息;
向该无线终端81推送网络页面,确认该无线终端81认证成功。
进一步可选地,若该无线终端81支持Portal认证模式,该CPE83还用于,
向无线终端81推送网络页面,以便该无线终端81输入用户相关认证信息;
接收该无线终端81发送的用户相关认证信息;
向该无线终端81推送网络页面,确认该无线终端81认证成功。
本发明实施例提供一种网络系统,如图9所示,包括:无线终端91、上述实施例的接入网关60、AAA服务器93,用于完成与该认证点间用户信息的认证。
应用本发明实施例提供的网络系统,接入点设备或者接入网关中的接入点模块设置有至少两个业务服务域标识,且一个业务服务域标识对应一种认证模式,保证了在同一种网络中同时支持多种认证方式共存,同时,将接入点设备或接入网关中的接入点模块作为认证点,这样就将认证流程中的认证点架构于网络的接入侧,从而不仅可以节省与网络侧网元之间的传输数据,而且在无线终端认证没有通过的情况下,用户在网络的接入侧就被拒绝,无法访问网络的网络侧,增加了网络系统的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (16)
1.一种无线终端认证的方法,其特征在于,包括:
无线终端接收接入点设备广播的业务服务域标识;其中,所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式;
无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备;
所述无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备,包括:
无线终端根据自身配置,通过与自身配置相对应的所述业务服务域标识接入所述接入点设备,或者无线终端通过所述至少两个业务服务域标识中的任意一个尝试接入接入点设备,若所述任意一个业务服务域标识与所述无线终端支持的认证模式相对应,则成功接入所述接入点设备;若无法成功接入所述接入点设备,则通过其它业务服务域标识依次尝试接入所述接入点设备,直至所述无线终端成功接入所述接入点设备;
无线终端通过与其支持的认证模式相对应认证点进行数据交互,最终与身份认证、授权和统计AAA服务器完成认证流程,所述认证点为所述无线终端经由所述接入点设备所接入的网络中的网络节点;
还包括:在融合网络中,若所述无线终端支持开放认证模式,则所述无线终端通过与其支持的认证模式相对应认证点进行数据交互,具体包括:
认证点分配所述无线终端的IP地址,并将分配的IP地址发送给所述无线终端;
认证点接收到所述无线终端发送的请求信息后,在所述无线终端未认证通过的情况下,根据认证点配置的开放认证服务器的IP地址重定向到指定的开放认证服务器;
认证点在接收到开放认证服务器发送的携带有所述无线终端相关认证信息的认证请求信息后,对所述认证请求信息进行封装,并根据认证点配置的AAA服务器的IP地址发送给所述AAA服务器;
在所述AAA服务器认证通过后,认证点接收所述AAA服务器发送的认证响应信息;
认证点记录解析所述认证响应信息;
认证点向所述开放认证服务器发起无线终端认证成功消息;
所述开放认证服务器向所述无线终端推送网络页面,确认所述无线终端认证成功,与AAA服务器完成认证流程。
2.根据权利要求1所述的方法,其特征在于,在单个网络中,与无线终端支持的认证模式相对应的认证点为所述接入点设备。
3.根据权利要求1所述的方法,其特征在于,在融合网络中,与无线终端支持的认证模式相对应的认证点为所述接入点设备,或用户端设备CPE,或接入网关,
所述接入网关包括接入点模块和CPE模块,其中,所述接入点模块执行接入点设备的功能,所述CPE模块执行CPE的功能。
4.根据权利要求3所述的方法,其特征在于,
在接入点设备和CPE分设的情况下,
若所述无线终端支持开放认证模式,则与所述无线终端支持的认证模式相对应的认证点为CPE;
若所述无线终端支持加密认证模式,则与所述无线终端支持的认证模式相对应的认证点为接入点设备;
在接入点设备和CPE合设为接入网关的情况下,
若所述无线终端支持开放认证模式,则与所述无线终端支持的认证模式相对应的认证点为所述接入网关中的CPE模块;
若所述无线终端支持加密认证模式,则与所述无线终端支持的认证模式相对应的认证点为接入网关中的接入点模块。
5.根据权利要求4所述的方法,其特征在于,在融合网络中,在所述无线终端通过与其支持的认证模式相对应的业务服务域标识接入所述接入点设备之前,还包括:
CPE设备或接入网关中的CPE模块完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在所述默认承载上。
6.根据权利要求5所述的方法,其特征在于,在融合网络中,若所述无线终端支持加密认证模式,则所述无线终端通过与其支持的认证模式相对应认证点进行数据交互,具体包括:
认证点接收所述无线终端发送的基于局域网的扩展认证协议EAPOL开始报文后,向所述无线终端发送EAPOL请求报文;
认证点接收所述无线终端发送的EAPOL响应报文;
认证点将所述EAPOL响应报文进行封装,并根据AAA服务器的IP地址将所述EAPOL响应报文发送给AAA服务器;
在所述AAA服务器根据配置确定所使用的加密认证方式后,认证点接收所述AAA服务器发送的接入询问报文;所述接入询问报文中携带有所述加密认证方式的扩展认证协议EAP请求开始报文;
认证点向所述无线终端发送所述EAP请求开始报文,以便所述无线终端发起传输层隧道的建立;
在所述传输层隧道建立成功后,所述AAA服务器发起用户信息认证流程;
在所述用户信息认证成功后,认证点接收所述AAA服务器发送的接入响应报文;
认证点提取所述接入响应报文中密钥作为空口加密用的成对主密钥PMK;
认证点向所述无线终端发送EAP成功报文;
CPE或接入网关中的CPE模块在认证通过的情况下,触发分配所述无线终端IP地址,并将分配的IP地址发送给所述无线终端;
所述无线终端获取到所述IP地址,与AAA服务器完成认证流程。
7.根据权利要求6所述的方法,其特征在于,在与所述无线终端支持的认证模式相对应的认证点为接入点设备的情况下,所述方法还包括:CPE解析接入响应报文,记录无线终端认证通过;
在与所述无线终端支持的认证模式相对应的认证点为接入网关中的接入点模块的情况下,所述方法还包括:接入点模块解析所述接入响应报文,并通过内部消息告知CPE模块,CPE模块记录无线终端认证通过。
8.根据权利要求6所述的方法,其特征在于,
在与所述无线终端支持的认证模式相对应的认证点为接入点设备的情况下,所述方法还包括:接入点设备根据配置的AAA服务器的IP地址将所述EAPOL响应报文发送给所述AAA服务器;
在与所述无线终端支持的认证模式相对应的认证点为接入网关中的接入点模块的情况下,所述方法还包括:接入网关根据配置的所述AAA服务器的IP地址将所述EAPOL响应报文发送给所述AAA服务器。
9.一种无线终端认证方法,应用于CPE,其特征在于,在融合网络中,无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,所述CPE作为所述无线终端支持的认证模式相对应的认证点,进行认证流程中的数据交互;
完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在所述默认承载上;
所述CPE作为无线终端支持的认证模式相对应的认证点进行认证流程中的数据交互,具体包括:
分配所述无线终端的IP地址,并将分配的IP地址发送给所述无线终端;
接收所述无线终端发送的请求信息;
在所述无线终端未认证通过的情况下,根据配置的开放认证服务器的IP地址,重定向到指定的开放认证服务器;
接收开放认证服务器发起的携带有所述无线终端相关认证信息的认证请求信息;
对所述认证请求信息进行封装;
根据配置的AAA服务器的IP地址,向所述AAA服务器发送所述认证请求信息;
接收所述AAA服务器发送的认证响应信息;
解析所述认证响应信息,记录无线终端认证通过;
向所述开放认证服务器发起无线终端认证成功消息;
所述CPE作为无线终端支持的认证模式相对应的认证点进行认证流程中的数据交互,还包括:
分配所述无线终端的IP地址,并将分配的IP地址发送给所述无线终端;
接收所述无线终端发送的请求信息;
在所述无线终端未认证通过的情况下,向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
生成认证请求信息,并对所述认证请求信息进行封装,所述认证请求信息携带有用户相关认证信息;
根据配置的AAA服务器的IP地址,向所述AAA服务器发送所述认证请求信息;
接收所述AAA服务器发送的认证响应信息;
解析所述认证响应信息,记录无线终端认证通过;
向所述无线终端推送网络页面,确认所述无线终端认证成功。
10.一种无线终端认证方法,应用于接入点设备,其特征在于,设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,在无线终端通过与其支持的认证模式相对应的业务服务域标识接入接入点设备后,所述接入点设备作为所述无线终端支持的认证模式相对应的认证点,进行认证流程中的数据交互;
在融合网络中,所述接入点设备作为支持加密认证模式的无线终端的认证点进行认证流程中的数据交互,具体包括:
接收所述无线终端发送的EAPOL开始报文;
向所述无线终端发送EAPOL请求报文;
接收所述无线终端发送的EAPOL响应报文;
将所述EAPOL响应报文进行封装;
根据配置的AAA服务器的IP地址将所述EAPOL响应报文发送给AAA服务器;
在所述AAA服务器根据配置确定所使用的加密认证方式后,接收所述AAA服务器发送的接入询问报文,所述接入询问报文中含有所述加密认证方式的EAP请求开始报文;
向所述无线终端发送所述EAP请求开始报文,以便所述无线终端发起传输层隧道的建立;
在用户信息认证成功后,接收所述AAA服务器发送的接入响应报文;
提取所述接入响应报文中的密钥作为空口加密用的PMK;
向所述无线终端发送EAP成功报文。
11.一种接入网关,其特征在于,所述接入网关用于在融合网络中,在无线终端通过与其支持的认证模式相对应的业务服务域标识接入网关后,作为所述无线终端的认证点进行认证流程中的数据交互;
所述接入网关包括:接入点模块和CPE模块,
在融合网络中,无线终端支持加密认证模式的情况下,所述接入点模块用于作为支持加密认证模式的无线终端的认证点进行认证流程中的数据交互,所述接入点模块设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点模块具体用于,
接收无线终端发送的EAPOL开始报文;
向所述无线终端发送EAPOL请求报文;
接收所述无线终端发送的EAPOL响应报文;
将所述EAPOL响应报文进行封装;
根据接入网关配置的AAA服务器的IP地址将所述EAPOL响应报文发送给AAA服务器;
在所述AAA服务器根据配置确定所使用的加密认证方式后,接收所述AAA服务器发送的接入询问报文,所述接入询问报文中含有所述加密认证方式的EAP请求开始报文;
向所述无线终端发送所述EAP请求开始报文,以便所述无线终端发起传输层隧道的建立;
在用户信息认证成功后,接收所述AAA服务器发送的接入响应报文;
提取所述接入响应报文中的密钥作为PMK;
向所述无线终端发送EAP成功报文;
所述接入点模块还用于解析所述接入响应报文,并将所述接入响应报文发送给CPE模块;
所述CPE模块具体用于,完成与无线网络之间的认证,在认证合法的情况下,建立默认承载,后续的认证信息都承载在所述默认承载上;
接收接入点模块解析的所述接入响应报文,记录无线终端认证通过;
分配所述无线终端的IP地址,在认证通过的情况下,将分配的IP地址发送给所述无线终端;
在无线终端支持开放认证模式的情况下,所述CPE模块用于作为支持开放认证模式的无线终端的认证点进行认证流程中的数据交互,所述CPE模块具体用于,分配所述无线终端的IP地址,并将分配的IP地址发送给所述无线终端;
接收所述无线终端发送的请求信息;
在所述无线终端未认证通过的情况下,根据配置的开放认证服务器的IP地址,重定向到指定的开放认证服务器;
接收所述开放认证服务器发起的携带有所述无线终端相关认证信息的认证请求信息;
对所述认证请求信息进行封装;
根据配置的AAA服务器的IP地址,向所述AAA服务器发送所述认证请求信息;
接收所述AAA服务器发送的认证响应信息;
解析所述认证响应信息,记录无线终端认证通过;
向所述开放认证服务器发起无线终端认证成功消息;
无线终端支持开放认证模式的情况下,所述CPE模块用于作为支持开放认证模式的无线终端的认证点进行认证流程中的数据交互,所述CPE模块具体用于,
分配所述无线终端的IP地址,并将分配的IP地址发送给所述无线终端;
接收所述无线终端发送的请求信息;
在所述无线终端未认证通过的情况下,向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
生成认证请求信息,并对所述认证请求信息进行封装,所述认证请求信息携带有用户相关认证信息;
根据配置的AAA服务器的IP地址,向所述AAA服务器发送所述认证请求信息;
接收所述AAA服务器发送的认证响应信息;
解析所述认证响应信息,记录无线终端认证通过;
向所述无线终端推送网络页面,确认所述无线终端认证成功。
12.一种网络系统,其特征在于,在融合网络中,在无线终端支持开放认证模式的情况下,所述网络系统包括:无线终端、接入点设备、AAA服务器和开放认证服务器以及接入服务器,其中,所述AAA服务器用于完成用户信息的认证;所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;所述接入点设备为CPE;所述接入服务器用于与接入点设备之间建立控制和配置无线接入点协议规范CAPWAP隧道,所述开放认证服务器具体用于,
向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
向所述接入点设备发送携带有所述无线终端相关认证信息的认证请求信息;
向所述无线终端推送网络页面,确认所述无线终端认证成功;
在所述无线终端支持加密认证模式的情况下,所述网络系统包括:无线终端、接入点设备、AAA服务器和接入服务器,其中,所述AAA服务器用于完成与所述认证点间用户信息的认证;所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;所述接入服务器用于与接入点设备之间建立控制和配置无线接入点协议规范CAPWAP隧道。
13.一种网络系统,应用于融合网络中,其特征在于,所述网络系统包括:无线终端、接入点设备、CPE以及AAA服务器,
所述接入点设备中设置有至少两个业务服务域标识,一个业务服务域标识对应一种认证模式,所述接入点设备用于向所述无线终端广播业务服务域标识,将所述无线终端接入网络,并作为所述无线终端的认证点进行认证流程中的数据交互;
所述接入点设备或所述CPE作为所述无线终端的认证点进行认证流程中的数据交互;
所述AAA服务器用于完成与所述认证点间用户信息的认证;
若所述无线终端支持开放认证模式,则所述无线终端的认证点为CPE;
若所述无线终端支持加密认证模式,则所述无线终端的认证点为接入点设备。
14.根据权利要求13所述的网络系统,其特征在于,
若所述无线终端支持开放认证模式,所述网络系统还包括:开放认证服务器;
所述开放认证服务器具体用于,
向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
向所述CPE发送携带有所述无线终端相关认证信息的认证请求信息;
向所述无线终端推送网络页面,确认所述无线终端认证成功。
15.根据权利要求13所述的网络系统,其特征在于,
若所述无线终端支持开放认证模式,所述CPE还用于,
向无线终端推送网络页面,以便所述无线终端输入用户相关认证信息;
接收所述无线终端发送的用户相关认证信息;
向所述无线终端推送网络页面,确认所述无线终端认证成功。
16.一种网络系统,其特征在于,包括:无线终端、接入网关以及AAA服务器,
其中,所述接入网关包括权利要求11所述的接入网关;
所述AAA服务器用于完成与所述认证点间用户信息的认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210053576.5A CN103297968B (zh) | 2012-03-02 | 2012-03-02 | 一种无线终端认证的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210053576.5A CN103297968B (zh) | 2012-03-02 | 2012-03-02 | 一种无线终端认证的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297968A CN103297968A (zh) | 2013-09-11 |
| CN103297968B true CN103297968B (zh) | 2017-12-29 |
Family
ID=49098151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210053576.5A Active CN103297968B (zh) | 2012-03-02 | 2012-03-02 | 一种无线终端认证的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297968B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660405B (zh) * | 2013-11-21 | 2018-06-12 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| US9363736B2 (en) * | 2013-12-16 | 2016-06-07 | Qualcomm Incorporated | Methods and apparatus for provisioning of credentials in network deployments |
| CN104104516B (zh) * | 2014-07-30 | 2018-12-25 | 新华三技术有限公司 | 一种Portal认证方法和设备 |
| CN105472613B (zh) * | 2016-01-15 | 2020-06-19 | 上海斐讯数据通信技术有限公司 | 认证请求接收方法和系统及用户端和ap |
| JP6152962B1 (ja) * | 2016-12-15 | 2017-06-28 | 株式会社タウンWiFi | 端末装置、接続方法、接続プログラム、認証支援サーバ、認証支援方法、認証支援プログラム及び認証支援システム |
| CN108738019B (zh) * | 2017-04-25 | 2021-02-05 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
| CN108173848B (zh) * | 2017-12-27 | 2021-04-02 | 广州珠江数码集团股份有限公司 | 一种基于广电HFC网络的Wi-Fi实名认证方法 |
| CN110769482B (zh) * | 2019-09-16 | 2022-03-01 | 浙江大华技术股份有限公司 | 无线设备进行网络连接的方法、装置和无线路由器设备 |
| CN112202799B (zh) * | 2020-10-10 | 2022-05-10 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证系统及方法 |
| CN115021936B (zh) * | 2022-06-10 | 2023-10-27 | 中国南方电网有限责任公司 | 一种远端站点的终端设备安全接入认证授权方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416241A (zh) * | 2002-10-16 | 2003-05-07 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
| US7551601B2 (en) * | 2002-12-02 | 2009-06-23 | Nec Infrontia Corporation | Wireless network service provision method and wireless network system |
| CN101931954A (zh) * | 2009-06-22 | 2010-12-29 | 南京中兴软件有限责任公司 | 一种基于业务区分改进无线局域网中实时业务QoS的方法 |
-
2012
- 2012-03-02 CN CN201210053576.5A patent/CN103297968B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416241A (zh) * | 2002-10-16 | 2003-05-07 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
| US7551601B2 (en) * | 2002-12-02 | 2009-06-23 | Nec Infrontia Corporation | Wireless network service provision method and wireless network system |
| CN101931954A (zh) * | 2009-06-22 | 2010-12-29 | 南京中兴软件有限责任公司 | 一种基于业务区分改进无线局域网中实时业务QoS的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297968A (zh) | 2013-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297968B (zh) | 一种无线终端认证的方法、设备及系统 | |
| US9648019B2 (en) | Wi-Fi integration for non-SIM devices | |
| AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| CN102349319B (zh) | 中继节点的设置和配置 | |
| DK2257095T3 (en) | Along Character for authentication of a terminal in a wireless local area network | |
| CN107852407A (zh) | 用于集成小型小区和Wi‑Fi网络的统一认证 | |
| CN107925879A (zh) | 包括蜂窝接入网络节点的标识符的网络接入标识符 | |
| WO2009000206A1 (fr) | Procédé et système de commande d'accès de nœud initial b | |
| CN103597779A (zh) | 用于为用户实体提供网络接入的方法及装置 | |
| BRPI1011591B1 (pt) | Método e aparelho para aperfeiçoar a conectividade para um dispositivo de usuário em uma rede de área local sem fio | |
| WO2010071529A1 (en) | Method and arrangement for creation of association between a user equipment and an access point | |
| JP2016506152A (ja) | タグ付けによるデバイスの認証 | |
| WO2012159414A1 (zh) | 移动终端接入无线局域网热点的方法及移动终端 | |
| CN101959177B (zh) | 从非WiFi网络向WiFi网络切换的处理方法及设备 | |
| CN105027529A (zh) | 用于安全网络接入的方法和装置 | |
| US20170223542A1 (en) | Resource sharing method and resource sharing system | |
| CN102907170A (zh) | 将移动站连接到通信网络的方法 | |
| CN109391937B (zh) | 公钥的获取方法、设备及系统 | |
| CN106797539A (zh) | 建立和配置动态订阅 | |
| CN107006052A (zh) | 使用ott服务的基于基础设施的d2d连接建立 | |
| CN107295514A (zh) | 一种数据转发方法、无线接入点及通信系统 | |
| CN105101274B (zh) | 报文转发方式的配置方法和装置 | |
| CN103582159B (zh) | 一种固定移动网络融合场景下的多连接建立方法及系统 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN103687049B (zh) | 多连接建立的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |