CN116939606A - 接入认证方法、装置及系统 - Google Patents

接入认证方法、装置及系统 Download PDF

Info

Publication number
CN116939606A
CN116939606A CN202210319011.0A CN202210319011A CN116939606A CN 116939606 A CN116939606 A CN 116939606A CN 202210319011 A CN202210319011 A CN 202210319011A CN 116939606 A CN116939606 A CN 116939606A
Authority
CN
China
Prior art keywords
authentication
client device
message
protocol
access gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210319011.0A
Other languages
English (en)
Inventor
余舟毅
何智峰
陈洪国
赵瑞斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210319011.0A priority Critical patent/CN116939606A/zh
Publication of CN116939606A publication Critical patent/CN116939606A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/06Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种接入认证方法、装置及系统,属于通信技术领域。本申请提供的方案中,AC能够作为中继设备对客户端设备和认证服务器之间交互的认证协议报文的封装格式进行转换。由于无需宽带接入网关转换认证协议报文的封装格式,因此避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。

Description

接入认证方法、装置及系统
技术领域
本申请涉及通信技术领域,特别涉及一种接入认证方法、装置及系统。
背景技术
客户端设备在通过无线局域网(wireless local area network,WLAN)接入网络时,需要先由认证服务器对客户端设备进行接入认证。其中,认证服务器一般为远程用户拨号认证服务(remote authentication dial in user service,RADIUS)服务器,RADIUS服务器能基于扩展认证协议(extensible authentication protocol,EAP)对客户端设备进行认证。
相关技术中,RADIUS服务器通过宽带远程接入服务器(broadband remote accessserver,BRAS),以及WLAN中的接入点(access point,AP)与客户端设备交互认证协议报文,以实现对客户端设备的认证。其中,客户端设备与AP之间传输的认证协议报文采用基于局域网的EAP(EAP over LAN,EAPOL)封装。BRAS与RADIUS服务器之间传输的认证协议报文则采用基于RADIUS的EAP(EAP over RADIUS,EAPOR)封装。在接入认证的过程中,BRAS需要对接收到的认证协议报文的封装格式进行转换后发出。例如,BRAS需要将EAPOL封装的认证协议报文转换为EAPOR封装的报文,然后再发送至RADIUS服务器。
上述接入认证方法中,由于需要BRAS对认证协议报文的封装格式进行转换,因此会占用BRAS的较多的处理资源。
发明内容
本申请提供了一种接入认证方法、装置及系统,可以解决相关技术中的接入认证方法会占用BRAS的较多的处理资源的技术问题。
第一方面,提供了一种接入认证方法,应用于接入控制器(access controller,AC)。该方法包括:对接收到的认证协议报文的封装格式进行转换后发出,以及若基于该认证协议报文确定客户端设备认证成功,则向宽带接入网关发送针对该客户端设备的认证成功报文。其中,该认证协议报文为客户端设备和认证服务器之间交互的用于对该客户端设备进行接入认证的报文。
由于AC能够作为中继设备转换认证协议报文的封装格式,因此无需再由宽带接入网关转换认证协议报文的封装格式,进而避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
可选地,AC对接收到的认证协议报文的封装格式进行转换后发出的过程可以包括:将该客户端设备发送的基于第一协议封装的认证协议报文转换为基于第二协议封装的认证协议报文,并转发至认证服务器;以及将认证服务器发送的基于该第二协议封装的认证协议报文转换为基于第一协议封装的认证协议报文,并转发至客户端设备。
基于本申请提供的方案,AC与客户端设备之间可以传输基于第一协议封装的认证协议报文,AC与认证服务器之间则可以传输基于第二协议封装的认证协议报文。
可选地,该第一协议可以为EAPOL。该第二协议可以为EAPOR,或者,该第二协议可以为密码认证协议(password authentication protocol,PAP)或挑战握手认证协议(challenge handshake authentication protocol,CHAP)。
可选地,AC将基于第二协议封装的认证协议报文转发至该认证服务器的过程可以包括:将基于第二协议封装的认证协议报文通过该宽带接入网关透传至认证服务器。相应的,该方法还可以包括:接收该宽带接入网关透传的来自认证服务器的基于第二协议封装的认证协议报文。
在对客户端设备进行接入认证的过程中,宽带接入网关可以通过其转发面透传认证协议报文,而无需将该认证协议报文上送至控制面进行封装格式的转换。由此,有效降低了对宽带接入网关的处理资源的占用。
可选地,该方法还可以包括:若基于该认证协议报文确定客户端设备认证失败,则向宽带接入网关发送针对该客户端设备的认证失败报文。
宽带接入网关接收到该认证失败报文后,可以确定客户端设备未通过认证,因此无需将该客户端设备接入网络。相应的,宽带接入网关可以丢弃该认证失败报文。可以理解的是,在客户端设备认证失败的场景中,AC也可以无需向宽带接入网关发送该认证失败报文。
可选地,AC基于认证协议报文确定客户端设备认证成功的过程可以包括:若该认证服务器发送的认证协议报文包括该认证成功报文,则确定该客户端设备认证成功。
在本申请提供的方案中,AC在转换认证协议报文的封装格式的过程中,还可以检测认证协议报文的类型。若检测到该认证服务器发送的认证协议报文为认证成功报文,则可以将该认证成功报文转发至宽带接入网关。
可选地,该认证成功报文至少包括:该客户端设备的介质访问控制(mediumaccess control,MAC)地址,宽带接入网关的互联网协议(Internet protocol,IP)地址,客户端设备的用户名,以及状态标识,该状态标识指示该客户端设备认证成功。
宽带接入网关可以基于该认证成功报文中的客户端设备的信息(如客户端设备的MAC地址、用户名和状态标识),为客户端设备创建用户表。客户端设备可以向该宽带接入网关发送DHCP拨号请求,该宽带接入网关根据用户表,响应拨号请求,为客户端设备分配IP地址。
可选地,该认证成功报文还可以包括:该AC的系统名,和/或,该客户端设备所接入的AP的MAC地址和服务集标识(service set identifier,SSID)。例如,该认证成功报文还可以包括AC的系统名,以及客户端设备所接入的AP的MAC地址和SSID。
可选地,该认证服务器可以基于802.1X协议对该客户端设备进行认证。并且,该AC应用于WLAN。
可选地,该宽带接入网关可以采用控制面(controller plane,CP)和用户面(userplane,UP)分离(即CU分离)的方式部署。采用CU分离方式部署的宽带接入网关包括CP设备和多个UP设备,该CP设备能够对多个UP设备进行统一管理,各个UP设备用于基于CP设备下发的用户表转发客户端设备的业务报文。
第二方面,提供了一种接入认证方法,应用于认证服务器。该方法包括:通过AC与客户端设备交互认证协议报文,以及若确定该客户端设备认证成功,则分别向该AC和宽带接入网关发送针对该客户端设备的认证成功报文。其中该AC用于转换该认证服务器和该客户端设备之间交互的认证协议报文的封装格式。
本申请提供的方案中,认证服务器能够采用AC作为中继设备来转换与客户端设备交互的认证协议报文的封装格式,并能够在确定客户端设备认证成功后,向宽带接入网关发送认证成功报文,以确保客户端设备正常上线并接入网络。由于在接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。
可选地,认证服务器向AC发送的认证成功报文的目的IP地址为该AC的IP地址。认证服务器向宽带接入网关发送的认证成功报文的目的IP地址为该宽带接入网关的IP地址。
其中,发送至AC的认证成功报文用于供AC进行封装格式的转换后,发送至客户端设备。发送至宽带接入网关的认证成功报文则用于供该宽带接入网关将客户端设备接入网络。
可选地,该方法还可以包括:若确定该客户端设备认证失败,则分别向该AC和宽带接入网关发送针对该客户端设备的认证失败报文。
可以理解的是,认证服务器若确定该客户端设备认证失败,则也可以仅向AC发送针对该客户端设备的认证失败报文,而无需向宽带接入网关发送该认证失败报文。
可选地,该认证成功报文至少包括:该客户端设备的MAC地址,该宽带接入网关的IP地址,该客户端设备的用户名,以及状态标识,该状态标识指示该客户端设备认证成功。
可选地,该认证成功报文还可以包括:该AC的系统名,和/或,该客户端设备所接入的AP的MAC地址和SSID。
可选地,该宽带接入网关可以采用CP和UP分离的方式部署。
第三方面,提供了一种接入认证方法,应用于宽带接入网关。该方法包括:接收AC发送的针对客户端设备的认证成功报文;基于该认证成功报文,将该客户端设备接入网络。其中,该认证成功报文是AC在基于其转发的认证协议报文确定该客户端设备认证成功后发送的。
可选地,该宽带接入网关采用CP和UP分离的方式部署。
第四方面,提供了一种AC,该AC包括至少一个模块,且该至少一个模块可以用于实现上述第一方面所提供的接入认证方法。
第五方面,提供了一种认证服务器,该认证服务器包括至少一个模块,且该至少一个模块可以用于实现上述第二方面所提供的接入认证方法。
第六方面,提供了一种宽带接入网关,该宽带接入网关包括至少一个模块,且该至少一个模块可以用于实现上述第三方面所提供的接入认证方法。
第七方面,提供了一种AC,该AC包括:存储器,处理器及存储在该存储器上并可在该处理器上运行的计算机程序,该处理器执行该计算机程序时实现如上述第一方面所提供的接入认证方法。
第八方面,提供了一种认证服务器,该认证服务器包括:存储器,处理器及存储在该存储器上并可在该处理器上运行的计算机程序,该处理器执行该计算机程序时实现如上述第二方面所提供的接入认证方法。
第九方面,提供了一种宽带接入网关,该宽带接入网关包括:存储器,处理器及存储在该存储器上并可在该处理器上运行的计算机程序,该处理器执行该计算机程序时实现如上述第三方面所提供的接入认证方法。
第十方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行如上述任一方面所提供的接入认证方法。
第十一方面,提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如上述任一方面所提供的接入认证方法。
第十二方面,提供了一种接入认证系统,该系统包括:AC、认证服务器和宽带接入网关。
其中,AC用于对接收到的认证协议报文的封装格式进行转换后发出,以及若基于该认证协议报文确定该客户端设备认证成功,则向该宽带接入网关发送针对该客户端设备的认证成功报文。其中,该认证协议报文为客户端设备和该认证服务器之间交互的用于对该客户端设备进行接入认证的报文。
该宽带接入网关,用于基于该认证成功报文将该客户端设备接入网络。
第十三方面,提供了一种接入认证系统,该系统包括:AC、认证服务器和宽带接入网关。
其中,该AC用于对接收到的认证协议报文的封装格式进行转换后发出,该认证协议报文为客户端设备和认证服务器之间交互的用于对该客户端设备进行接入认证的报文。
该认证服务器,用于若确定客户端设备认证成功,则向宽带接入网关发送针对该客户端设备的认证成功报文。
该宽带接入网关,用于基于该认证成功报文将该客户端设备接入网络。
本申请提供的技术方案带来的有益效果至少包括:
本申请提供了一种接入认证方法、装置及系统。本申请提供的方案中,AC能够作为中继设备对客户端设备和认证服务器之间交互的认证协议报文的封装格式进行转换。由于无需宽带接入网关转换认证协议报文的封装格式,因此避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
附图说明
图1是本申请实施例提供的一种无线接入系统的结构示意图;
图2是本申请实施例提供的一种基于802.1X协议的接入认证系统的结构示意图;
图3是本申请实施例提供的另一种基于802.1X协议的接入认证系统的结构示意图;
图4是本申请实施例提供的一种客户端设备漫游的示意图;
图5是本申请实施例提供的一种接入认证方法的流程图;
图6是本申请实施例提供的另一种接入认证方法的流程图;
图7是本申请实施例提供的又一种接入认证方法的流程图;
图8是本申请实施例提供再一种接入认证方法的流程图;
图9是本申请实施例提供的一种地址分配和计费方法的流程图;
图10是本申请实施例提供的一种AC的结构示意图;
图11是本申请实施例提供的一种认证服务器的结构示意图;
图12是本申请实施例提供的一种宽带接入网关的结构示意图;
图13是本申请实施例提供的一种接入认证装置的结构示意图;
图14是本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面结合附图详细介绍本申请实施例提供的接入认证方法、设备及系统。
宽带远程接入服务器(broadband remote access server,BRAS)是面向宽带网络应用的接入网关,也称为宽带网络网关(broadband network gateway,BNG),其用于为客户端设备提供网络接入的功能。
随着WLAN技术的发展,越来越多的场所(例如校园、商场或医院的园区网络)采用WLAN作为无线接入网络。如图1所示,采用WLAN技术的无线接入系统一般包括:多个AP 01,AC02,宽带接入网关03以及认证服务器04。其中,宽带接入网关03可以为BRAS,认证服务器04可以为RADIUS。
该多个AP 01用于为客户端设备05提供无线信号。其中,客户端设备05也称为用户设备(user equipment,UE),其可以为家庭网关(residential gateway,RGW)、手机、笔记本电脑或者台式电脑等设备。AC 02用于对多个AP 01进行统一的管理和配置。宽带接入网关03用于实现客户端设备05的上线(例如为客户端设备05分配IP地址),以及与认证服务器04配合,以实现对客户端设备05的认证和计费等功能。认证服务器04支持验证、授权和计费(authentication authorization accounting,AAA)协议,也可以称为AAA服务器。
宽带接入网关03可以采用虚拟BNG(virtual BNG,vBNG)的方式实现。该实现方式中,宽带接入网关03采用CP设备和UP设备分离(CU分离)的方式进行部署。其中,多个UP设备分散部署,每个UP设备作为BNG(或者vBNG)的用户平面,用于基于CP设备下发的用户表项实现业务报文的转发,以及实现基于服务质量(quality of service,QoS)和访问控制列表(access control lists,ACL)等技术的流量策略。CP设备可以采用云化技术实现并集中部署,其作为BNG(或者vBNG)的控制平面,用于实现对客户端设备(也可以称为用户)的控制与管理,以及对多个UP设备的统一管理。例如,CP设备主要负责客户端设备的上线、下发配置和用户表项等。其中,UP设备也可以称为转发面设备,因此CU分离也可以称为转发和控制分离,即转控分离。
该认证服务器04可以采用电气与电子工程师协会(institute of electricaland electronics engineers,IEEE)802.1X协议对客户端设备05进行认证。如图2所示,基于802.1X协议的接入认证系统一般可以划分为三个组成部分:客户端、设备端和认证服务器。
其中,客户端(即客户端设备05)是位于点对点局域网段一端的一个实体,由连接到该局域网段的另一端的设备端对其进行认证。设备端是位于点对点局域网段的另一端的一个实体,其用于对客户端进行认证。认证服务器是为设备端提供认证服务的实体。
参考图2和图3,客户端和设备端中均具有端口认证实体(port access entity,PAE),该客户端PAE和设备端PAE之间能够交互采用EAPOL封装的EAP报文(即认证协议报文)。在设备端PAE与认证服务器之间,EAP报文则可以采用EAPOR封装。或者,该EAP报文也可以由设备端PAE进行终结,且设备端PAE与认证服务器之间可以交互PAP报文或CHAP报文,以实现对客户端的认证。可以理解的是,上述EAP报文、PAP报文以及CHAP报文均属于认证协议报文。
其中,对于采用WLAN的宽带接入系统,上述设备端可以包括AP 01,AC 02以及宽带接入网关03。并且,宽带接入网关03用于将EAP报文的封装格式在EAPOL和EAPOR(或PAP或CHAP)之间转换。也即是,宽带接入网关03用于将采用EAPOL协议封装的EAP报文转换为采用EAPOR协议封装的EAP报文,并发送至认证服务器。同时,还用于将采用EAPOR协议封装的EAP报文转换为采用EAPOL协议封装的EAP报文,并通过AC 02和AP 01发送至客户端设备05。在上述转发EAP报文的过程中,若宽带接入网关03监测到用于指示认证成功的协议报文,例如接入接受(Access Accept)报文,则可以为该客户端设05创建用户表,并基于动态主机配置协议(dynamic host configuration protocol,DHCP)为客户端设备05分配IP地址,以将客户端设备05接入网络。
但是,由于在对客户端设备05进行认证的过程中,客户端设备05与认证服务器04之间所需交互的认证协议报文的数量较多,因此对认证协议报文的封装格式进行转换的操作会占用宽带接入网关03较多的处理资源。并且,当网络内大量的客户端设备05发生漫游时,会出现大量客户端设备05由于漫游触发的并发的重认证。
例如,参考图4,当客户端设备STA1由AP1的覆盖区域漫游至AP2的覆盖区域时,接入认证系统需要重新对该客户端设备STA1进行认证。由此可知,当大量客户端设备05同时漫游时(例如在校园的园区网络中,学生下课时,会有大量的移动终端从教学区域漫游至宿舍区域或食堂区域),会导致宽带接入网关03的处理器的占用率过高。若宽带接入网关03的处理器的占用率达到其性能瓶颈,则会导致客户端设备05漫游失败而下线,严重影响用户体验。
参考图4还可以看出,AP 01可以通过交换设备与AC 02连接。每个AC 02可以与多个AP 01连接,且不同的AC 02所连接的AP 01可以不同。例如图4中,AP1通过交换设备SW1与AC1连接,AP2通过交换设备SW2与AC2连接。
图5是本申请实施例提供的一种接入认证方法的流程图,该方法可以应用于诸如图1所示的无线接入系统。如图1所示,该系统包括AC 02、宽带接入网关03和认证服务器04。如图5所示,该方法包括:
步骤101、AC对接收到的认证协议报文的封装格式进行转换后发出。
客户端设备上线时,需要先与认证服务器交互认证协议报文,以便认证服务器对客户端设备进行认证。在本申请实施例中,AC可以作为中继设备转发客户端设备与认证服务器之间交互的认证协议报文。并且,AC可以在转发认证协议报文的过程中,对认证协议报文的封装格式进行转换。
例如,AC可以将客户端设备发送的基于第一协议封装的认证协议报文转换为基于第二协议封装的认证协议报文,并转发至认证服务器。并且,AC可以将认证服务器发送的基于该第二协议封装的认证协议报文转换为基于第一协议封装的认证协议报文,并转发至客户端设备。其中,该第一协议可以为EAPOL,该第二协议可以为EAPOR。
步骤102、AC若基于认证协议报文确定客户端设备认证成功,则向宽带接入网关发送针对该客户端设备的认证成功报文。
AC在转发认证协议报文的过程中,若基于认证服务器发送的认证协议报文确定该客户端设备认证成功,则可以向宽带接入网关发送针对该客户端设备的认证成功报文。宽带接入网关接收到该认证成功报文后,即可将客户端设备接入网络。
可选地,AC可以在检测到认证服务器发送的认证协议报文为认证成功报文时,确定该客户端设备认证成功。
在本申请实施例中,AC若基于认证协议报文确定客户端设备认证失败,则可以向宽带接入网关发送针对该客户端设备的认证失败报文。例如,AC可以在检测到认证服务器发送的认证协议报文为认证失败报文时,确定该客户端设备认证失败,并将认证服务器发送的认证失败报文转发至宽带接入网关。或者,AC若确定客户端设备认证失败,则由于无需宽带接入网关将客户端设备接入网络,因此AC也可以不向宽带接入网关发送认证失败报文。
可以理解的是,在采用WLAN的宽带接入系统中,AC的数量通常是宽带接入网关的数量的几倍甚至十几倍,而且可以灵活扩展。因此,采用AC作为中继设备来转换认证协议报文的封装格式,可以确保该宽带接入系统能够同时对大量客户端设备进行接入认证。在大量客户端设备同时漫游的场景下,可以有效降低因AC的性能瓶颈而导致客户端设备漫游失败的概率,有效改善了用户体验。
步骤103、宽带接入网关基于该认证成功报文,将客户端设备接入网络。
宽带接入网关接收到AC发送的认证成功报文后,可以确定该客户端设备已通过认证,因此可以将该客户端设备接入网络。其中,宽带接入网关将客户端设备接入网络的过程可以包括:为客户端设备创建用户表,和/或,基于DHCP为客户端设备分配IP地址。客户端设备接入网络后,宽带接入网关即可与认证服务器配合工作,以对客户端设备的流量进行计费。
综上所述,本申请实施例提供了一种接入认证方法,该方法能够由AC作为中继设备转换认证协议报文的封装格式。由于无需宽带接入网关转换认证协议报文的封装格式,因此避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
图6是本申请实施例提供的另一种接入认证方法的流程图,该方法可以应用于诸如图1所示的无线接入系统。如图1所示,该系统包括AC 02、宽带接入网关03和认证服务器04。如图5所示,该方法包括:
步骤201、认证服务器通过AC与客户端设备交互认证协议报文。
其中,AC用于转换该认证服务器和客户端设备之间交互的认证协议报文的封装格式。该认证协议报文为用于对客户端设备进行接入认证的报文。该步骤201的实现过程可以参考上述步骤101中的相关描述。
步骤202、认证服务器若确定该客户端设备认证成功,则分别向AC和宽带接入网关发送针对该客户端设备的认证成功报文。
其中,发送至AC的认证成功报文用于供AC进行封装格式的转换后,转发至客户端设备。发送至宽带接入网关的认证成功报文用于指示该宽带接入网关将该客户端设备接入网络。之后,认证服务器即可与宽带接入网关协同对客户端设备的流量进行计费。
步骤203、宽带接入网关基于该认证成功报文,将客户端设备接入网络。
该步骤203的实现过程可以参考上述步骤103,此处不再赘述。
综上所述,本申请实施例提供了一种接入认证方法,该方法能够由AC作为中继设备转换认证协议报文的封装格式,并且在客户端设备认证成功后,认证服务器还能够向宽带接入网关发送认证成功报文,以确保客户端设备正常上线并接入网络。由于在接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
基于上述图5和图6所示的实施例可知,在客户端设备认证成功后,可以由AC或认证服务器向宽带接入网关发送认证成功报文。下文以认证服务器向宽带接入网关发送认证成功报文为例,对本申请实施例提供的接入认证方法进行介绍。参考图7,该方法包括:
步骤301、客户端设备与AP关联。
在本申请实施例中,在客户端设备接入网络之前,用户可以在客户端设备中配置PEAP客户端的账号信息,该账号信息至少包括用户名。之后,客户端设备可以向探测到的AP发送关联请求,若AP响应了该关联请求,则客户端设备可以与该AP关联,并通过该AP收发报文。
步骤302、客户端设备向AP发送基于第一协议封装的认证协议报文。
在本申请实施例中,客户端设备在接入认证的过程中,会向认证服务器送多个基于第一协议封装的认证协议报文。例如,客户端设备可以向其所接入的AP发送该基于第一协议封装的认证协议报文。其中,该第一协议可以为EAPOL,该认证协议报文可以为EAP报文。
步骤303、AP向AC透传基于第一协议封装的认证协议报文。
AP接收到客户端设备发送的基于第一协议封装的认证协议报文后,可以将该认证协议报文透传至AC。
步骤304、AC将基于该第一协议封装的认证协议报文转换为基于第二协议封装的认证协议报文。
AC接收到基于该第一协议封装的认证协议报文后,可以对该认证协议报文进行解封装,并重新采用第二协议封装该认证协议报文。其中,该第二协议可以为EAPOR,或者,该第二协议可以为PAP或CHAP。
步骤305、AC将该基于第二协议封装的认证协议报文转发至宽带接入网关。
AC完成对认证协议报文的封装格式的转换后,即可将转换得到的基于第二协议封装的认证协议报文转发至宽带接入网关。
步骤306、宽带接入网关将该基于第二协议封装的认证协议报文透传至认证服务器。
在本申请实施例中,宽带接入网关接收到AC发送的基于第二协议封装的认证协议报文后,可以直接转发至认证服务器。也即是,宽带接入网关的转发面可以直接透传该基于第二协议封装的认证协议报文,而无需再将该认证协议报文上送至控制面进行处理。由此,有效降低了接入认证过程所需占用的宽带接入网关的处理资源。
步骤307、认证服务器向宽带接入网关发送基于第二协议封装的认证协议报文。
认证服务器在对客户端设备进行接入认证的过程中,会向AC发送多个基于第二协议封装的认证协议报文。
步骤308、宽带接入网关将该基于第二协议封装的认证协议报文透传至AC。
在本申请实施例中,宽带接入网关接收到认证服务器发送的基于第二协议封装的认证协议报文后,可以直接转发至认证服务器。也即是,宽带接入网关的转发面可以直接透传该基于第二协议封装的认证协议报文。
步骤309、AC将基于该第二协议封装的认证协议报文转换为基于第一协议封装的认证协议报文。
AC接收到基于该第二协议封装的认证协议报文后,可以对该认证协议报文进行解封装后,重新采用第一协议封装该认证协议报文。
步骤310、AC将基于第一协议封装的认证协议报文转发至AP。
AC完成对认证协议报文的封装格式的转换后,即可将转换得到的基于第一协议封装的认证协议报文转发至AP。
步骤311、AP向客户端设备透传该基于第一协议封装的认证协议报文。
AP接收到AC转发的基于第一协议封装的认证协议报文后,可以将该认证协议报文透传至客户端设备。
步骤312、认证服务器若确定客户端设备认证成功,则分别向AC和宽带接入网关发送针对该客户端设备的认证成功报文。
在本申请实施例中,认证服务器在确定客户端设备认证成功后,可以分别向AC和宽带接入网关发送针对该客户端设备的认证成功报文。其中,发送至AC的认证成功报文的目的IP地址为该AC的IP地址,发送至宽带接入网关的认证成功报文的目的IP地址为该宽带接入网关的IP地址。上述步骤312也可以理解为:认证服务器在向AC发送认证成功报文的同时,将该认证成功报文抄送至宽带接入网关。
发送至AC的认证成功报文用于供AC进行封装格式的转换后发送至客户端设备,以便客户端设备向宽带接入网关发起拨号请求。该拨号请求用于请求宽带接入网关为客户端设备分配IP地址。发送至宽带接入网关的认证成功报文用于指示该宽带接入网关将该客户端设备接入网络。
在本申请实施例中,该认证成功报文至少可以包括该客户端设备的MAC地址,该宽带接入网关的IP地址,该客户端设备的用户名,以及状态标识。其中,该状态标识用于指示该客户端设备认证成功。示例的,该认证成功报文可以包括如下字段:
拨号站点标识(Called-Station-Id,或Calling-Station-Id)字段,用于携带客户端设备的MAC地址;
NAS IP地址(NAS-IP-Address)字段,用于携带宽带接入网关的IP地址;其中,NAS是指网络接入服务器(network attached server);
用户名(User-Name)字段,用于携带客户端设备的用户名;
计费ID(Acct-Session-Id)字段,用于携带客户端设备的状态标识。
可选地,该认证成功报文还可以包括:该AC的系统名,和/或,客户端设备所接入的AP的MAC地址和SSID。例如,该Called-Station-Id字段还可以携带AP的MAC地址和SSID。该认证成功报文还可以包括NAS标识(NAS-Identifier)字段,该NAS-Identifier字段用于携带AC的系统名。
可以理解的是,认证服务器若确定客户端设备认证失败,则可以分别向AC和宽带接入网关发送针对该客户端设备的认证失败报文。该认证失败报文的报文格式可以与认证成功报文的报文格式相同,且认证失败报文中的状态标识用于指示该客户端设备认证失败。
AC接收到该认证失败报文后,可以对该认证失败报文进行封装格式的转换后发送至客户端设备。宽带接入网关接收到认证失败报文后,可以确定客户端设备认证失败,因此无需创建客户端设备的用户表,也无需为该客户端设备分配IP地址。相应的,宽带接入网关可以直接丢弃该认证失败报文。
可选地,在认证失败的场景下,认证服务器也可以仅向AC发送认证失败报文,而无需向宽带接入网关发送该认证失败报文。
步骤313、AC对认证成功报文的封装格式进行转换后发送至AP。
AC接收到采用第二协议封装的认证成功报文后,可以对该认证成功报文的封装格式进行转换,得到基于第一协议封装的认证成功报文。之后,AC即可将该基于第一协议封装的认证成功报文发送至AP,AP进而可以将该认证成功报文透传至客户端设备,以便客户端设备获知认证结果,并请求宽带接入网关为其分配IP地址。
步骤314、AP向客户端设备透传该认证成功报文。
AP收到AC发送的采用第一协议封装的认证成功报文后,可以将该认证成功报文透传至客户端设备。
步骤315、宽带接入网关建立客户端设备的用户表。
宽带接入网关接收到针对客户端设备的认证成功报文后,可以确定该客户端设备已通过认证,因此可以基于该认证成功报文中携带的信息建立客户端设备的用户表。
示例的,该客户端设备的用户表中可以记录有客户端设备的MAC地址,客户端设备所接入的AP的MAC地址和SSID等信息。
步骤316、宽带接入网关与客户端设备交互DHCP报文,为客户端设备配置IP地址。
宽带接入网关在建立客户端设备的用户表后,还可以与客户端设备DHCP报文,从而为客户端设备配置IP地址。例如,客户端设备可以在接收到认证成功报文后,向宽带接入网关发送DHCP发现(discovery)报文。宽带接入网关接收到DHCP discovery报文后,可以检查本地存储的用户表,若检测到该客户端设备的用户表,则可以确定该客户端设备为合法设备。之后,宽带接入网关即可为该客户端设备分配IP地址,并向客户端设备发送携带有该IP地址的DHCP通知(offer)报文。客户端设备收到该DHCP offer报文后,可以向宽带接入网关发送DHCP请求(request)报文。
基于上述步骤301至步骤316,客户端设备即可接入网络。之后,宽带接入网关可以对客户端设备的流量(或者接入时长)进行统计并上报至认证服务器,认证服务器可以基于宽带接入网关统计的流量(或者接入时长)对客户端设备进行计费。
可以理解的是,本申请实施例提供的接入认证方法的步骤先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减。例如,上述步骤307至步骤311可以在步骤306之前执行。
综上所述,本申请实施例提供了一种接入认证方法,该方法能够由AC作为中继设备转换认证协议报文的封装格式,并且在客户端设备认证成功后,认证服务器还能够向宽带接入网关发送认证成功报文,以确保客户端设备正常上线并接入网络。由于在接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
图8是客户端设备基于EAP进行接入认证的流程图,如图8所示,该接入认证的过程包括如下阶段:认证初始化,建立传输层安全性协议(transport layer security,TLS)隧道和认证授权。其中,认证初始化阶段包括如下步骤:
步骤1、客户端设备向AC发送EAPOL-Start(开始)报文,表示开始基于802.1X协议进行接入认证。
步骤2、AC向客户端设备发送EAP-Request/Identity(请求/标识)报文,以指示客户端设备上报用户信息。
步骤3、客户端设备向AC发送EAP-Response/Identity(响应/标识)报文,该报文中携带有客户端设备的用户信息,例如用户标识(ID)。
步骤4、AC采用EOPOR对EAP-Response/Identity报文进行封装,得到Access-Request(接入-请求)报文,并发送至认证服务器。
步骤5、认证服务器收到EAP-Response/Identity后,根据配置确定使用EAP-PEAP认证,向AC发送基于EOPOR封装得到的Access-Challenge(挑战)报文,该报文中封装有发送至客户端设备的EAP-Request/Start报文。该EAP-Request/Start报文中的Type(类型)字段的值为PEAP,V=0,表示开始进行EAP-PEAP认证。其中,PEAP是指受保护的EAP(protectedEAP)。
步骤6、AC将EAP-Request/Start报文发送至客户端设备。
建立TLS隧道的阶段包括如下步骤:
步骤7、客户端设备收到EAP-Request/Start报文后,产生一个随机数、客户端设备支持的加密算法列表、TLS协议版本、会话ID以及压缩方法后,封装在EAP-response/TLS/client_hello(客户端_问候)报文中发出。
步骤8、AC采用EAPOR对客户端设备发送的EAP-response/TLS/client_hello报文进行封装后发送给认证服务器。
步骤9、认证服务器收到EAP-response/TLS/client_hello报文后,会从该报文的加密算法列表中选择其主持的一组加密算法,并基于该加密算法、认证服务器生成的随机数、认证服务器的证书(certificate)、证书请求以及服务器的hello_done属性生成EAP-Request/Challenge报文,采用EAPOR封装该EAP-Request/Challenge报文,得到Access-Challenge报文,并发给AC。
步骤10、AC将该Access-Challenge报文中的EAP-Request/Challenge报文发送至客户端设备。
步骤11、客户端设备收到报文后,验证认证服务器的证书是否合法,若合法则采用证书中的公钥对随机生成的一个密码串进行加密,并将加密的信息、客户端设备的证书以及TLS finished(完成)属性封装成EAP-Response报文,并发送至AC。
步骤12、AC采用EAPOR对客户端设备发送的EAP-Response报文进行封装后发送给认证服务器。
步骤13、认证服务器收到报文后,采用认证服务器的证书中的私钥对报文中的加密信息进行解密,得到客户端设备随机生成的密码串。之后,认证服务器可以对该密码串进行运算处理,结合客户端设备和认证服务器产生的随机数,生成加密算法。认证服务器可以将该加密算法和TLS finished消息封装在Access-Challenge报文中并发送至AC。
步骤14、AC将Access-Challenge报文中的EAP-Request报文发送至客户端设备。
步骤15、客户端设备回复EAP-Response/TLS OK消息。
步骤16、AC采用EAPOR封装EAP-Response/TLS OK消息,得到Access-response报文并发送至认证服务器。
认证授权阶段包括如下步骤:
步骤17、认证服务器将EAP-request报文封装在Access-Challenge报文中,并发送至AC。
步骤18、AC将报文发送至客户端设备。客户端设备收到报文后,采用与服务器相同的加密算法对报文进行解密和校验,产生认证回应报文,并封装成EAP-response报文发送至AC。AC基于EAPOR对EAP-response报文进行封装后发送至认证服务器。
步骤19、认证服务器和客户端设备之间基于MSCHAP进行认证交互。其中,MSCHAP是指微软询问握手认证协议(MicroSoft challenge-handshake authenticationprotocol)。
步骤20、认证服务器若确定客户端设备认证成功,则发送Access-Accept(接受)报文,Access-Accept报文中封装有EAP-Success(成功)报文。
步骤21、AC将EAP-Success报文发送至客户端设备。
可以理解的是,上述步骤1至步骤21中交互的报文均属于认证协议报文。并且,客户端设备与AC之间传输的认证协议报文可以由AP透传,AC与认证服务器之间传输的认证协议报文可以由宽带接入网关透传。
继续参考图9,在认证授权阶段之后,还包括地址分配阶段和计费流程。在地址分配阶段中,客户端设备可以与宽带接入网关之间交互DHCP报文,以获取宽带接入网关为其分配的IP地址。在计费流程中,宽带接入网关可以向认证服务器发送计费-请求/开始(Accounting-Request/Star)报文,认证服务器可以向宽带接入网关反馈计费-响应/开始(Accounting-Response/Star)报文。之后,宽带接入网关和认证服务器之间可以交互计费-请求/临时(Accounting-Request/Interim)报文和计费-响应/临时(Accounting-Response/Interim)报文。客户端设备若要下线,则可以向宽带接入网关发送EAPOL-Logoff(退出)报文。宽带接入网关可以基于该EAPOL-Logoff报文,向认证服务器发送计费-请求/停止(Accounting-Request/Stop)报文,认证服务器可以向宽带接入网关反馈计费-响应/停止(Accounting-Response/Stop)报文,并停止对客户端设备计费。
图10是本申请实施例提供的一种AC的结构示意图,该AC可以应用于接入认证系统,该系统还包括认证服务器和宽带接入网关。例如,该AC可以是图1或图4所示系统中的AC,且可以实现上述方法实施例中由AC执行的步骤。如图10所示,该AC包括:
转换模块401,用于对接收到的认证协议报文的封装格式进行转换,该认证协议报文为客户端设备和认证服务器之间交互的用于对客户端设备进行接入认证的报文。该转换模块401的功能实现可以参考上述步骤101的相关描述。
发送模块402,用于发送封装格式转换后的认证协议报文,以及若基于认证协议报文确定客户端设备认证成功,则向宽带接入网关发送针对该客户端设备的认证成功报文。该发送模块402的功能实现可以参考上述步骤101和步骤102的相关描述。
可选地,该转换模块401可以用于:将客户端设备发送的基于第一协议封装的认证协议报文转换为基于第二协议封装的认证协议报文;以及将认证服务器发送的基于第二协议封装的认证协议报文转换为基于第一协议封装的认证协议报文。
该转换模块401的功能实现还可以参考上述步骤304和步骤309的相关描述。
相应的,该发送模块402可以用于:向认证服务器发送基于第二协议封装的认证协议报文,以及向客户端设备发送基于第一协议封装的认证协议报文。该发送模块402的功能实现还可以参考上述步骤305和步骤310的相关描述。
可选地,该第一协议可以为EAPOL,该第二协议可以为EAPOR,或者,该第二协议可以为PAP或CHAP。
可选地,该发送模块402可以用于将基于第二协议封装的认证协议报文通过宽带接入网关透传至认证服务器。继续参考图10,该AC还可以包括:
接收模块403,用于接收宽带接入网关透传的来自认证服务器的基于第二协议封装的认证协议报文。该接收模块403的功能实现可以参考上述步骤308的相关描述。
可选地,该发送模块402,还可以用于若基于认证协议报文确定客户端设备认证失败,则向宽带接入网关发送针对客户端设备的认证失败报文。
可选地,该发送模块402可以用于:若检测到认证服务器发送的认证协议报文包括认证成功报文,则确定客户端设备认证成功。
可选地,该认证成功报文至少包括:客户端设备的MAC地址,宽带接入网关的IP地址,客户端设备的用户名,以及状态标识,其中,该状态标识指示客户端设备认证成功。
可选地,该认证成功报文还可以包括:AC的系统名,和/或,客户端设备所接入的AP的MAC地址和SSID。
可选地,该认证服务器基于802.1X协议对客户端设备进行认证。
可选地,该AC所应用的接入认证系统可以是基于WLAN的接入认证系统。
可选地,该宽带接入网关采用CP和UP分离的方式部署。
综上所述,本申请实施例提供了一种AC,该AC能够作为中继设备转换认证协议报文的封装格式,并且在客户端设备认证成功后,认证服务器还能够向宽带接入网关发送认证成功报文,以确保客户端设备正常上线并接入网络。由于在接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
图11是本申请实施例提供的一种认证服务器的结构示意图,该认证服务器可以应用于接入认证系统,该系统还包括AC和宽带接入网关。例如,该认证服务器可以是图1所示系统中的认证服务器04,且可以实现上述方法实施例中由认证服务器执行的步骤。如图11所示,该认证服务器包括:
通信模块501,用于通过AC与客户端设备交互认证协议报文,其中AC用于转换认证服务器和客户端设备之间交互的认证协议报文的封装格式。该通信模块501的功能实现可以参考上述步骤201,以及步骤302至步骤311的相关描述。
该通信模块501,还用于若确定客户端设备认证成功,则分别向AC和宽带接入网关发送针对客户端设备的认证成功报文。该通信模块501的功能实现还可以参考上述步骤202和步骤312的相关描述。
可选地,向AC发送的认证成功报文的目的IP地址为AC的IP地址。向宽带接入网关发送的认证成功报文的目的IP地址为该宽带接入网关的IP地址。
可选地,该通信模块501,还用于若确定客户端设备认证失败,则分别向AC和宽带接入网关发送针对客户端设备的认证失败报文。
可选地,该认证成功报文至少包括:客户端设备的MAC地址,宽带接入网关的IP地址,客户端设备的用户名,以及状态标识,该状态标识指示客户端设备认证成功。
可选地,该认证成功报文还可以包括:AC的系统名,和/或,客户端设备所接入的AP的MAC地址和SSID。
可选地,该宽带接入网关采用CP和UP分离的方式部署。
综上所述,本申请实施例提供了一种认证服务器,该认证服务器能够采用AC作为中继设备来转换与客户端设备交互的认证协议报文的封装格式,并能够在确定客户端设备认证成功后,向宽带接入网关发送认证成功报文,以确保客户端设备正常上线并接入网络。由于在接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此该接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
图12是本申请实施例提供的一种宽带接入网关的结构示意图,该宽带接入网关可以应用于接入认证系统,该系统还包括AC和认证服务器。例如,该宽带接入网关可以是图1所示系统中的宽带接入网关03,且可以实现上述方法实施例中由宽带接入网关执行的步骤。如图12所示,该宽带接入网关包括:
接收模块601,用于接收AC发送的针对客户端设备的认证成功报文。该认证成功报文是AC在基于转发的认证协议报文确定客户端设备认证成功后发送的。该接收模块601的功能实现可以参考上述步骤102的相关描述。
接入模块602,用于基于认证成功报文,将客户端设备接入网络。该接入模块602的功能实现可以参考上述步骤103、步骤203、步骤315和步骤316的相关描述。
可选地,该宽带接入网关可以采用CP和UP分离的方式部署。
综上所述,本申请实施例提供了一种宽带接入网关,该宽带接入网关能够基于AC发送的认证成功报文,将客户端设备接入网络,以确保客户端设备正常上线。由于在对客户端设备进行接入认证的过程中,无需宽带接入网关转换认证协议报文的封装格式,所以避免了对宽带接入网关的处理资源的占用。又由于接入认证系统中AC的数量通常较多,因此由AC作为中继设备来转换认证协议报文的封装格式,使得接入认证系统能够同时对大量客户端设备进行接入认证,从而有效降低了大量客户端设备同时漫游时发生掉线的概率。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的AC、认证服务器、宽带接入网关以及各模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
应理解的是,本申请实施例提供的AC、认证服务器和宽带接入网关还可以用特定应用集成电路(application-specific integrated circuit,ASIC)实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complexprogrammable logical device,CPLD),现场可编程门阵列(field-programmable gatearray,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。此外,也可以通过软件实现上述方法实施例提供的接入认证方法,当通过软件实现上述方法实施例提供的接入认证方法时,该AC、认证服务器和宽带接入网关中的各个功能模块也可以为软件模块。
图13是本申请实施例提供的一种接入认证装置的结构示意图,该装置可以应用于上述实施例提供的AC、认证服务器或宽带接入网关。参考图13,该装置包括:处理器701、存储器702、网络接口703和总线704。
其中,存储器702中存储有计算机程序7021,计算机程序7021用于实现各种应用功能。处理器701用于执行该计算机程序7021以实现上述方法实施例提供的接入认证方法。
处理器701可以是中央处理器(central processing unit,CPU),该处理器701还可以是其他通用处理器、数字信号处理器(digital signal processor,DSP)、ASIC、FPGA、图形处理器(graphics processing unit,GPU)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器。
存储器702可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DRRAM)。
网络接口703可以为多个,且网络接口703用于实现与其他设备之间的通信连接(可以是有线或者无线)。其中,在本申请实施例中,网络接口703用于收发报文。其中,其他设备可以是终端、服务器、VM等设备或其它网络设备。
总线704用于连接处理器701、存储器702和网络接口703。并且,总线704除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线704。
当该装置应用于AC时,在具体实施例中,装置中的处理器701用于对接收到的认证协议报文的封装格式进行转换后通过网络接口703发出,以及若基于认证协议报文确定客户端设备认证成功,则通过网络接口703向宽带接入网关发送针对该客户端设备的认证成功报文。其中,该认证协议报文为客户端设备和认证服务器之间交互的用于对客户端设备进行接入认证的报文。该处理器701的详细处理过程请参考上述图5所示实施例中的步骤101和步骤102,图7所示实施例中的步骤303至步骤305,步骤308至步骤310,以及步骤312和步骤313的详细描述,这里不再赘述。
当该装置应用于认证服务器时,在具体实施例中,装置中的处理器701用于通过AC与客户端设备交互认证协议报文,以及若确定客户端设备认证成功,则通过网络接口703分别向AC和宽带接入网关发送针对该客户端设备的认证成功报文。其中,该AC用于转换所述认证服务器和所述客户端设备之间交互的认证协议报文的封装格式。该处理器701的详细处理过程请参考上述图6所示实施例中的步骤201和步骤202,图7所示实施例中的步骤306和步骤307,以及步骤312的详细描述,这里不再赘述。
当该装置应用于宽带接入网关时,在具体实施例中,装置中的处理器701用于通过网络接口703接收AC发送的针对客户端设备的认证成功报文,并基于该认证成功报文,将客户端设备接入网络。该处理器701的详细处理过程请参考上述图5所示实施例中的步骤103,图6所示实施例中的步骤203,图7所示实施例中的步骤305至步骤308,步骤312,步骤315和步骤316的详细描述,这里不再赘述。
图14是本申请实施例提供的一种网络设备的结构示意图,该网络设备可以应用于诸如图1或图4所示的系统中,且该网络设备可以为上述实施例提供的AC、认证服务器或宽带接入网关。如图14所示,该网络设备可以包括:主控板801和至少一个接口板(接口板也称为线卡或业务板),例如图14中示出了接口板802和接口板803。多个接口板的情况下网络设备还可以包括交换网板804,该交换网板804用于完成各接口板之间的数据交换。
其中,主控板801也称为主处理单元(main processing unit,MPU)或路由处理卡(route processor card),主控板801用于完成系统管理、设备维护和协议处理等功能。主控板801上主要有3类功能单元:系统管理控制单元、系统时钟单元和系统维护单元。主控板801包括:中央处理器8011和存储器8012。
接口板802和803也称为线路接口单元卡(line processing unit,LPU)、线卡(line card)或业务板,接口板用于提供各种业务接口,并实现报文的转发。其中,接口板所提供的业务接口可以包括:基于SONET/SDH的数据包(packet over SONET/SDH,POS)接口、千兆以太网(gigabit Ethernet,GE)接口和异步传输模式(asynchronous transfer mode,ATM)接口等。其中,SONET是指同步光纤网络(synchronous optical network),SDH是指同步数字体系(synchronous digital hierarchy)。主控板801、接口板802以及接口板803之间通过系统总线与系统背板相连以实现互通。如图14所示,接口板802上包括一个或多个中央处理器8021。中央处理器8021用于对接口板802进行控制管理并与主控板801上的中央处理器8011进行通信,以及接口板802。接口板802上的存储器8024用于存储转发表项,网络处理器8022可以通过查找存储器8024中存储的转发表项进行报文的转发。存储器8024还可以用于存储程序代码。
该接口板802还包括一个或多个物理接口卡8023,该一个或多个物理接口卡8023用于接收上一跳节点发送的报文,并根据中央处理器8021的指示向下一跳节点发送处理后的报文。
此外,可以理解的是,图14中的接口板802中的中央处理器8021和/或网络处理器8022可以是专用硬件或芯片,如可以采用ASIC来实现上述功能,这种实现方式即为通常所说的转发面采用专用硬件或芯片处理的方式。在另外的实施方式中,所述中央处理器8021和/或网络处理器8022也可以采用通用的处理器,如通用的CPU来实现以上描述的功能。
此外应理解的是,主控板801可能有一块或多块,有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块,该网络设备的数据处理能力越强,提供的接口板越多。如图14所示,网络设备包括接口板802和接口板803。当采用分布式的转发机制时,接口板803的结构与接口板802的结构基本相同,且接口板803上的操作与接口板802的操作基本相似,为了简洁,不再赘述。网络设备具有多块接口板的情况下,该多块接口板之间可以通过一块或多块交换网板804通信,且可以实现负荷分担和冗余备份,以提供大容量的数据交换和处理能力。
在集中式转发架构下,该网络设备可以不需要交换网板804,接口板承担整个系统的业务数据的处理功能。所以,分布式架构的网络设备的数据接入和处理能力要大于集中式架构的网络设备。具体采用哪种架构,取决于具体的组网部署场景,此处不做任何限定。
在本申请实施例中,存储器8012和存储器8024可以是ROM或可存储静态信息和指令的其它类型的静态存储设备,也可以是RAM或者可存储信息和指令的其它类型的动态存储设备,还可以是EEPROM、只读光盘(compact disc read-only Memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。接口板802中的存储器8024可以是独立存在,并通过通信总线与中央处理器8021相连接;或者,存储器8024也可以和中央处理器8021集成在一起。主控板801中的存储器8012可以是独立存在,并通过通信总线与中央处理器8011相连接;或者,存储器8012也可以和中央处理器8011集成在一起。
存储器8024中存储的程序代码,由中央处理器8021来控制执行,存储器8012存储的程序代码,由中央处理器8011来控制执行。该中央处理器8021和/或中央处理器8011可以通过执行程序代码来实现上述实施例所提供的接入认证方法。存储器8024和/或存储器8012存储的程序代码中可以包括一个或多个软件单元。这一个或多个软件单元可以为图10至图12中任一附图所示实施例中的功能模块。例如,图10所示AC中的转换模块401可以部署于主控板801中,发送模块402和接收模块403则可以部署于转发板802中。图11所示的认证服务器中的通信模块501可以部署于转发板802中。图12所示的宽带接入网关中的接收模块601可以部署于转发板802中,接入模块602则可以部署在主控板801中。
在本申请实施例中,该物理接口卡8023,可以是使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local area networks,WLAN)等。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该计算机可读存储介质在计算机上运行时,使得计算机执行如上述方法实施例中由AC、认证服务器或宽带接入网关执行的步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述方法实施例中由AC、认证服务器或宽带接入网关执行的步骤。
本申请实施例还提供了一种接入认证系统,如图1所示,该接入认证系统包括:AC02、认证服务器04和宽带接入网关03。
作为一种可选的实现方式,该AC 02,用于对接收到的认证协议报文的封装格式进行转换后发出,该认证协议报文为客户端设备05和认证服务器04之间交互的用于对该客户端设备05进行接入认证的报文,若基于该认证协议报文确定该客户端设备05认证成功,则向该宽带接入网关03发送针对该客户端设备05的认证成功报文。
该宽带接入网关03,用于基于该认证成功报文将客户端设备05接入网络。
作为另一种可选的实现方式,该AC 02,用于对接收到的认证协议报文的封装格式进行转换后发出,该认证协议报文为客户端设备05和认证服务器04之间交互的用于对客户端设备05进行接入认证的报文。
该认证服务器04,用于若确定客户端设备05认证成功,则向该宽带接入网关03发送针对该客户端设备05的认证成功报文。
该宽带接入网关03,用于基于该认证成功报文将该客户端设备05接入网络。
可以理解的是,上述系统中的AC 02、认证服务器04和宽带接入网关03可以用于实现图5至图7所示实施例提供的接入认证方法。并且,上述两个接入认证系统中的AC 02的结构可以参考图10、图13或图14,认证服务器04的结构可以参考图11、图13或图14,宽带接入网关03的结构可以参考图12、图13或图14。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本申请实施例中,术语“第一”、“第二”和“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的构思和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (27)

1.一种接入认证方法,其特征在于,应用于接入控制器AC,所述方法包括:
对接收到的认证协议报文的封装格式进行转换后发出,所述认证协议报文为客户端设备和认证服务器之间交互的用于对所述客户端设备进行接入认证的报文;
若基于所述认证协议报文确定所述客户端设备认证成功,则向宽带接入网关发送针对所述客户端设备的认证成功报文。
2.根据权利要求1所述的方法,其特征在于,所述对接收到的认证协议报文的封装格式进行转换后发出,包括:
将所述客户端设备发送的基于第一协议封装的认证协议报文转换为基于第二协议封装的认证协议报文,并转发至所述认证服务器;
将所述认证服务器发送的基于所述第二协议封装的认证协议报文转换为基于所述第一协议封装的认证协议报文,并转发至所述客户端设备。
3.根据权利要求2所述的方法,其特征在于,所述第一协议为基于局域网的扩展认证协议EAPOL;
所述第二协议为基于远程认证拨号用户服务的扩展认证协议EAPOR,或者,所述第二协议为密码认证协议PAP或挑战握手认证协议CHAP。
4.根据权利要求2或3所述的方法,其特征在于,将基于第二协议封装的认证协议报文转发至所述认证服务器,包括:将基于第二协议封装的认证协议报文通过所述宽带接入网关透传至所述认证服务器;
所述方法还包括:接收所述宽带接入网关透传的来自所述认证服务器的基于所述第二协议封装的认证协议报文。
5.根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
若基于所述认证协议报文确定所述客户端设备认证失败,则向所述宽带接入网关发送针对所述客户端设备的认证失败报文。
6.根据权利要求1至5任一所述的方法,其特征在于,所述基于所述认证协议报文确定所述客户端设备认证成功,包括:
若所述认证服务器发送的所述认证协议报文包括所述认证成功报文,则确定所述客户端设备认证成功。
7.根据权利要求1至6任一所述的方法,其特征在于,所述认证成功报文至少包括:
所述客户端设备的介质访问控制MAC地址,所述宽带接入网关的互联网协议IP地址,所述客户端设备的用户名,以及状态标识,所述状态标识指示所述客户端设备认证成功。
8.根据权利要求7所述的方法,其特征在于,所述认证成功报文还包括:所述AC的系统名,和/或,所述客户端设备所接入的接入点AP的MAC地址和服务集标识SSID。
9.根据权利要求1至8任一所述的方法,其特征在于,所述认证服务器基于802.1X协议对所述客户端设备进行认证。
10.根据权利要求1至9任一所述的方法,其特征在于,所述AC应用于无线局域网WLAN。
11.根据权利要求1至10任一所述的方法,其特征在于,所述宽带接入网关采用控制面CP和用户面UP分离的方式部署。
12.一种接入认证方法,其特征在于,应用于认证服务器,所述方法包括:
通过接入控制器AC与客户端设备交互认证协议报文,其中所述AC用于转换所述认证服务器和所述客户端设备之间交互的认证协议报文的封装格式;
若确定所述客户端设备认证成功,则分别向所述AC和宽带接入网关发送针对所述客户端设备的认证成功报文。
13.根据权利要求12所述的方法,其特征在于,向所述AC发送的认证成功报文的目的互联网协议IP地址为所述AC的IP地址。
14.根据权利要求12或13所述的方法,其特征在于,向所述宽带接入网关发送的认证成功报文的目的IP地址为所述宽带接入网关的IP地址。
15.根据权利要求12至14任一所述的方法,其特征在于,所述方法还包括:
若确定所述客户端设备认证失败,则分别向所述AC和宽带接入网关发送针对所述客户端设备的认证失败报文。
16.根据权利要求12至15任一所述的方法,其特征在于,所述认证成功报文至少包括:
所述客户端设备的介质访问控制MAC地址,所述宽带接入网关的互联网协议IP地址,所述客户端设备的用户名,以及状态标识,所述状态标识指示所述客户端设备认证成功。
17.根据权利要求16所述的方法,其特征在于,所述认证成功报文还包括:所述AC的系统名,和/或,所述客户端设备所接入的接入点AP的MAC地址和服务集标识SSID。
18.根据权利要求12至17任一所述的方法,其特征在于,所述宽带接入网关采用控制面CP和用户面UP分离的方式部署。
19.一种接入认证方法,其特征在于,应用于宽带接入网关,所述方法包括:
接收接入控制器AC发送的针对客户端设备的认证成功报文;
基于所述认证成功报文,将所述客户端设备接入网络。
20.根据权利要求19所述的方法,其特征在于,所述宽带接入网关采用控制面CP和用户面UP分离的方式部署。
21.一种接入控制器AC,其特征在于,所述AC包括:存储器,处理器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至11任一所述的方法。
22.一种认证服务器,其特征在于,所述认证服务器包括:存储器,处理器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求12至18任一所述的方法。
23.一种宽带接入网关,其特征在于,所述宽带接入网关包括:存储器,处理器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求19或20所述的方法。
24.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至20任一所述的方法。
25.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得所述计算机执行如权利要求1至20任一所述的方法。
26.一种接入认证系统,其特征在于,所述系统包括:接入控制器AC、认证服务器和宽带接入网关;
所述AC,用于对接收到的认证协议报文的封装格式进行转换后发出,所述认证协议报文为客户端设备和所述认证服务器之间交互的用于对所述客户端设备进行接入认证的报文,若基于所述认证协议报文确定所述客户端设备认证成功,则向所述宽带接入网关发送针对所述客户端设备的认证成功报文;
所述宽带接入网关,用于基于所述认证成功报文将所述客户端设备接入网络。
27.一种接入认证系统,其特征在于,所述系统包括:接入控制器AC、认证服务器和宽带接入网关;
所述AC,用于对接收到的认证协议报文的封装格式进行转换后发出,所述认证协议报文为客户端设备和所述认证服务器之间交互的用于对所述客户端设备进行接入认证的报文;
所述认证服务器,用于若确定所述客户端设备认证成功,则向所述宽带接入网关发送针对所述客户端设备的认证成功报文;
所述宽带接入网关,用于基于所述认证成功报文将所述客户端设备接入网络。
CN202210319011.0A 2022-03-29 2022-03-29 接入认证方法、装置及系统 Pending CN116939606A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210319011.0A CN116939606A (zh) 2022-03-29 2022-03-29 接入认证方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210319011.0A CN116939606A (zh) 2022-03-29 2022-03-29 接入认证方法、装置及系统

Publications (1)

Publication Number Publication Date
CN116939606A true CN116939606A (zh) 2023-10-24

Family

ID=88375820

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210319011.0A Pending CN116939606A (zh) 2022-03-29 2022-03-29 接入认证方法、装置及系统

Country Status (1)

Country Link
CN (1) CN116939606A (zh)

Similar Documents

Publication Publication Date Title
US11722434B2 (en) Interactions between a broadband network gateway and a fifth generation core
US10122574B2 (en) Methods and apparatus for a common control protocol for wired and wireless nodes
EP3657834B1 (en) Method, device and system for accessing network
US10021566B2 (en) Non-mobile authentication for mobile network gateway connectivity
US7155526B2 (en) Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
US11395143B2 (en) Network access method and apparatus and network device
US9015855B2 (en) Secure tunneling platform system and method
US9930528B2 (en) Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication
WO2006024969A1 (en) Wireless local area network authentication method
JP2006515486A (ja) セルラ通信システムにおいて再認証を可能にする方法および装置
EP2572491B1 (en) Systems and methods for host authentication
WO2009026839A1 (en) Pana for roaming wi-fi access in fixed network architectures
CN1567868A (zh) 基于以太网认证系统的认证方法
CN116939606A (zh) 接入认证方法、装置及系统
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
WO2023066022A1 (zh) 一种通信方法及装置
CN115278660A (zh) 接入认证方法、装置及系统
WO2005086014A1 (en) Method and system for transparently and securely interconnecting a wlan radio access network into a gprs/gsm core network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination