WO2007112624A1

WO2007112624A1 - Procédé d'authentification, procédé de négociation du type d'authentification, et dispositif de fourniture d'accès au réseau

Info

Publication number: WO2007112624A1
Application number: PCT/CN2006/003409
Authority: WO
Inventors: Yijiong Zhang; Tao Han; Kaijun Xia
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-04-04
Filing date: 2006-12-14
Publication date: 2007-10-11
Also published as: CN100546305C; CN1859415A

Description

一种认证方法、认证类型的协商方法及网^ 入服务设备本申请要求于 2006 年 4 月 4 日提交中国专利局、申请号为 200610034898. X, 发明名称为 "一种点到点协议强制认证方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术械

本发明涉及网络管理技术领域，尤其是一种认证方法、一种认证类型的协商方法以及一种网络接入服务设备。

背景技术

PPP协议 ( Point to Point Protocol , 点到点协议）是 TCP/IP协议 ( Transmis s ion Control Protocol/Internet Protocol , 传输控制协议 / 互联网协议）中数据链路层的协议，提供一种标准的方式在点对点的链路上传输多个网络层协议的数据包， ΡΡΡ协议包括各种 NCP协议族 ( Network Control Protocol , 网洛控制协议）、 LCP协议族（Link Control Protocol , 链路控制协议）以及验证协议族 ( Authent ication Protocol )等。其中， NCP协议族包括 IPCP协议（ Internet Protocol Control Protocol , 网络协议控制协议）和 IPXCP ( IPX Control Protocol , IPX控制协议）等；验证协议族包括 CHAP协议 ( Chal lenge Handshake Authent icat ion Protocol , 挑战握手验证协议）和 PAP协议 ( Password Authent icat ion Protocol , 密码验证协议）等。

其中， LCP协议主要用来建立、拆除和监控 PPP数据链路； NCP协议主要用来协商链路上传输的数据包的格式和类型；验证协议主要用来提供网络安全的保证。

为了在点对点的链路上建立通信， PPP链路的两端必须发送 LCP数据包进行数据链路的测试和配置，等链路建立起来之后，还可能需要进行端的验证。然后， PPP发送 NCP数据包选择并配置一个或多个网络层协议，当所选择的网络层协议配置成功之后，每个网络层发送的数据包就可以在链路上传送了。链路一直保持连接状态，直到有明确的 LCP或者 NCP数据包断开链路，或某些外来的事件发生，如定时器超时或者网络管理员干涉。

在验证阶段，由于运营商采用 AAA服务器（Authenticat ion Authorizat ion and Account ing, 认证、授权和计费)所支持的认证类型存在差异，例如，有些 AAA I务器不支持 PAP协议，又有一些 AAA服务器不支持 CHAP协议，还有一些 AAA服务器不支持 MSCHAP1协议（Microsoft CHAP vers ion 1 ,微软 CHAP协议版本 1 )或MSCHAP2协议（ Microsoft CHAP vers ion 2, 微软 CHAP协议版本 2 )等等。所以，只有在对端采用的验证协议跟 AAA 服务器所支持的认证类型相一致的情况下，才有可能通过验证；否则，就会出现在 AAA服务器上存在该帐号而实际未通过验证的现象。

针对上述情形，现有的解决方案一是基于物理位置，如用户接入设备的槽位、子卡、端口、 VLAN ( Virtual Local Area Network, 虚拟局域网）或 PVC ( Permanent Virtual Connection, 永久虚连接）来配置点到点认证方案，使之与 AAA服务器所支持的认证类型相一致。为了减少配置工作量可将同一物理端口下一些 VLAN或 PVC，组成一个逻辑接口一起进行配置。所有通过该接口接入的用户，在 PPP协商过程的 LCP阶段，设备使用该接口下配置的认证方案与用户进行协商。通过该接口上来的用户在 LCP阶段协商的认证类型就是接口所配置的认证类型，例如接口下配置的认证类型是 PAP, 则通过该接口上来的用户在 LCP阶段协商的认证类型就是 PAP。

如图 1所示的用户拨号上网流程示意图，取 PPPoE( PPP over Ethernet , 以太网承载 PPP协议）用户为例，假设在接口下配置了 CHAP认证类型，则具体过程如下：

首先，进行 PPPoE协商；

其次，进行 PPP协商，具体包括下述步驟：

( 1 )用户端和 PPPoE服务器之间进行点到点的 LCP协商，建立链路层通信，同时协商使用 CHAP认证方式；

( 2 ) PPPoE服务器发送 Chal lenge (挑战）报文给认证用户端，提供一个 128bi t的 Chal lenge;

( 3 )用户端收到 Chal lenge^艮文后，将密码和 Chal lenge做 MD5算法后，发送 Response (响应）艮文给 PPPoE月艮务器；

( 4 ) PPPoE服务器发送含 Chal lenge, Chal lenge- Pas sword和用户名的 Access-Request (认证请求报文）到 AAA服务器，由 AAA服务器进行认证。 (5) AAA服务器根据用户信息判断用户是否合法，然后回应

Access-Accept/Access-Reject (认证成功 /失败）艮文到 PPPoE月良务器；如果认证成功，携带协商参数，以及用户的相关业务属性给用户授权；

如果认证失败，则流程到此结束；

(6) PPPoE服务器将认证结果（Success/Failure)返回给用户端；

(7)用户进行 NCP (如 IPCP)协商，通过 PPPoE服务器获取到规划的 IP地址等参数；

(8)认证如果成功， PPPoE服务器发起计费开始请求给 AAA服务器； (9) AAA服务器回应计费开始请求报文；

用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。目前，网络用户（如图 1中的 PPPoE用户终端）与网^ I姿入服务设备 (NAS, Network Access Server) (如图 1中的 PPPoE服务器）相连，通过网矣入服务设备实现与 AAA服务器的网络连接。网络用户属于不同的网络运营商，进而属于不同的域。在目前的网络运营管理系统中，网络运营商不需要真正的网络接入服务设备，只需要向真正拥有该设备的网络服务供应商租用即可。进而，多个网络运营商可能租用同一个网络服务供应商的设备的同一个接口。但是，由于不同运营商采用的 AAA服务器所支持的认证类型存在差异，如有的不支持 PAP， CHAP,或者不支持 MSCHAP1、 MSCHAP 2 , 因此可能出现网络用户采用的验证协议与进行验证的 AAA服务器所支持的认证类型不一致的现象，进而导致大量无法识别的验证 4艮文到达 AAA 服务器，加重了 AAA服务器的负担。

例如图 2所示两个运营商租用同一接口的组网示意图。运营商 A和运营商 B分别采用 AAA服务器 1和 AAA服务器 2 , 这两台用户认证服务器所支持的认证类型分别为 PAP和 CHAP。按照现有的技术方案一，如果接口下配置的 PPP强制认证方案为MSCHAP1或者MSCHAP2 , 那么分属于运营商 A和运营商 B 的网絡用户 userl doml和 user2 dom2虽然在各自的 AAA服务器上有账号，但是自网络接入服务设备发到 AAA服务器上的验证报文均不能验证通过，从而导致用户无法开展网络业务；如果接口下配置的点到点强制认证方案为 PAP或者 CHAP, 那么用户 user lQdoml和 user2Mom2最多只有一个用户能够验证成功。

总而言之，只有在 LCP阶段协商好的认证类型与 AAA服务器所支持的认证类型相一致的情况下， MA服务器才能正确识别网络接入服务设备发送过来的认证请求报文，进而网络用户才有可能通过验证；否则 AAA服务器就无法正确识别网絡接入服务设备发送过来的认证请求报文，这些无法正确识别的认证请求报文加重了 AAA服务器的负担。

发明内容

本发明实施例的主要目的在于提供一种认证方法、认证类型的协商方法及网矣入服务设备。解决了接入服务器发给 AAA服务器的认证请求报文与 AAA服务器所支持的认证类型不一致的问题，从而减轻了 AAA服务器的负担。

本发明实施例提供了一种认证方法，所述方法包括：网络接入服务设备和网络用户进行链路控制协议 LCP协商，获得 LCP协商的认证类型；根据网絡用户提供的用户信息获知用户所在域内配置的认证类型；如果上述 LCP协商的认证类型和网络用户所在域内配置的认证类型不同，则根据网络用户所在域内配置的认证类型进行 LCP重协商；网络接入服务设备根据 LCP重协商成功的网络用户所在域内配置的认证类型发送认证请求报文。

本发明实施例还提供了一种认证类型的协商方法，所述方法包括：网络接入服务设备和网络用户进行 LCP协商，获得 LCP协商的认证类型；根据网络用户提供的用户信息获知用户所在域内配置的认证类型；如果上述 LCP协商的认证类型和网络用户所在域内配置的认证类型不同，则根据网络用户所在域内配置的认证类型进行 LCP重协商； LCP协商的最终认证类型为网络用户所在域内配置的认证类型。

本发明实施例还提供了一种网络接入服务设备，包括 LCP协商单元，用以同网络用户协商使用的认证类型；认证类型存储单元，用以存储所涉及的网络用户所在域内配置的认证类型；比较控制单元，用以在 LCP协商单元协商的认证类型与认证类型存储单元中网络用户所在域内配置的认证类型不同时，控制 LCP协商单元根据网络用户所在域内配置的认证类型进行 LCP重协商。

以上本发明实施例的技术方案可以看出，本发明实施例通过在网络接类型不同条件下，根据网络用户所在域内配置的认证类型进行 LCP重协商，进而网络接入服务设备根据 LCP重协商的认证类型发送认证请求报文到认证设备。由此，使得网络接入服务设备发送给认证设备的认证请求报文图与认证设备所支持的认证类型一致，换而言之，认证设备不会收到大量与其所支持的认证类型不一致的认证请求报文，从而减轻了认证设备的负担。

附图说明

图 1为现有用户拨号上网的流程示意图；

图 2为现有两个运营商租用同一接口的组网示意图；

图 3为本发明认证方法优选实施例的流程示意图；

图 4为本发明网络接入服务设备的优选实施例结构示意图。

具体实施方式

认证设备（如 AAA服务器）属于各自运营商所有，不同网络运营商使用不同的域，因此同一个域内的用户所使用的认证设备相同。进而，同一个域内的用户具有相同的认证方法、计费方法、 DNS ( Domain Name Server , 域名服务器） IP地址、缺省业务属性、以及该域对应的 AAA服务器的 IP地址和服务端口号等等，甚至当系统失去计费能力时是否允许用户在线的策略都是相同的。域内的用户拨号上网，根据域所对应的 AAA服务器的 IP地址和服务端口号到相应的 AAA服务器上去认证。

下面以一种点到点强制认证为例详细介绍本发明的优选实施例。以下各实施例中的 AAA服务器对应于本发明的认证设备。

请参阅图 3, 其为本发明认证方法优选实施例的流程示意图。

步驟 310: 网絡用户拨号上网，与网络接入服务器进行 LCP协商。例如，在网络用户的客户端拨号软件上配置点到点认证类型，网入服务设备接口下配置认证类型为自适应（auto ) , 即当用户拨号上网时，网络用户和网络接入服务器通过交换配置报文，进行 LCP协商，建立链路并确定认证类型。由于网^ 入服务设备接口下配置认证类型为自适应，因此本次协商的认证类型一般以客户端指定的认证类型为准。

步骤 320: 网络接入服务器将 LCP协商阶段确定的认证类型和该用户所在域内配置的点到点强制认证类型比较，判断两者是否相同。需要补充说明，根据现有认证流程可知，在网络接入服务设备和用户进行 LCP协商成功后（即执行步骤 310后），用户会将自己的信息（如用户名、密码等）发送给网络接入服务设备，因此网！^矣入服务设备就可以知道该用户属于哪个域了。如果二者相同则执行步骤 340; 如果二者不同则执行步骤 330。

优选地，在网络接入服务设备中预先配置其所涉及的网络用户所在域内的认证类型，每个域内配置的认证类型与该域对应的 AAA服务器所支持的认证类型相一致。例如，假设网絡接入服务设备的某一接口被租用给三个网络运营商，这三个网络运营商使用的域不同，每个网络运营商采用的 AAA服务器也不同，但是同一个域内的用户都需要到同一台 AAA服务器进行认证。于是，就可以在网络接入服务设备中配置这三个域内各自的认证类型为点到点强制认证类型，每个域内配置的认证类型与该域对应的 AAA服务器（即域内用户需要去认证的那台 AAA服务器）所支持的认证类型相同。

由于在步骤 310中配置接口下的认证类型为自适应，因此在与网络用户进行初次 LCP协商时 , 协商确定的认证类型不一定是该网络用户所在域内配置的认证类型，例如协商的认证类型是网络用户使用的客户端拨号软件上配置的认证类型，而该认证类型实际和网络用户所在域内配置的认证类型可能并不相同。

步骤 330: 网络接入服务器将网络用户所在域内配置的点到点强制认证类型下发，根据该域内配置的点到点强制认证类型进行 LCP重协商。具体而言，通过交换配置报文，进行 LCP重协商，协商的认证类型为网络用户所在域内配置的点到点强制认证类型。换而言之，根据该网络用户所在域内配置的点到点强制认证类型进行 LCP重协商。重协商成功后，再返回的点到点强制认证类型。，

步骤 340: 网絡接入服务设备根据 LCP协商的认证类型发送认证请求报文到该域对应的 AAA l务器。通过前述步驟 310至 330的操作后，此时 LCP阶段协商的最终认证类型和该用户所在域内配置的认证类型相同，即都是点到点强制认证类型，进而网络接入服务设备据此发送认证请求报文到 AAA 服务器进行认证处理。由于在域内配置的认证类型与该域对应的 AAA服务器所支持的认证类型相一致，因此， AAA服务器能够识別网络接入服务器发送过来的认证请求报文，进而用户有可能能够通过 AAA服务器的验证，顺利开展网络业务。域内的认证类型不匹配情况下，通过重协商实现 LCP阶段协商的认证类型和网络用户所在域内的认证类型相同，进而据此发给该域对应的 AAA服务器的认证请求报文类型和该 AAA服务器所支持的认证类型一致。于是， AAA 服务器就不会接收到大量由于认证类型不匹配导致无法识别的认证请求报文，从而减轻了 AAA服务器的负担。

进一步，在本发明实施例公开的技术方案中，由于网络接入设备可以通过 I P 重协商过程将认证类型最终协商为网络用户所在域内的认证类型，因此，即使不同网络运营商采用的 AAA服务器所支持的认证类型不同，网络服务供应商也可以为这些网络运营商分配同一个接口。由此，给服务供应商提供了较大的灵活性，而且在大容量的 BRAS ( Broadband Remote Acces s Server , 宽带远程接入服务器）中，给每个运营商分配不同的接口也是不现实的。

例如，运营商 1使用域 A, 运营商 1对域 A内的用户通过第一 AAA服务器进行验证，第一 AAA服务器所支持的认证类型是 PAP; 运营商 2使用域 B，运营商 1对域 B内的用户通过第二 AAA服务器进行验证，第二 AAA 服务器所支持的认证类型 CHAP。网络服务供应商将其拥有的一台网络接入服务设备的第一接口分配给运营商 1和运营商 2使用，并在网络接入服务设备中配置域 A内的认证类型为 PAP, 配置域 B内的认证类型为 CHAP。

^设用户 1是 i或 A内的用户，即属于运营商 1所属网络的用户；用户 2是域 B内的用户，即属于运营商 2所属网络的用户。

如果用户 1拨号上网，则根据上述本发明实施例提供的技术方案进行处理，具体而言，首先用户 1和网^ #入服务设备进行初次 LCP协商，协商成功后，用户 1会向网矣入服务设备发送自己的用户名等认证信息，进而，网络接入服务设备就知道用户 1属于域 A, 而根据预先配置的信息可知，域 A内配置的认证类型为 PAP。于是，网络接入服务设备将与用户 1初次 LCP协商的认证类型与 PAP认证类型（即用户 1所在域 A内配置的认证类型）比较是否一致，如果一致则向第一 AAA服务器发送认证请求报文；如果不一致，网络接入服务设备下发 PAP认证类型，据此与用户 1进行重协商。如果重协商成功后的认证类型是 PAP认证类型，则据此向第一 AAA服务器发送认证请求报文。由此可见，就用户 1而言，通过本发明实施例提供的技术方案，网络接入服务设备向第一 AAA服务器发送的认证请求报文类型就是第一 AAA服务器所支持的 PAP认证类型，两者是匹配的。

同理，如果用户 2拨号上网，首先用户 2和网络接入服务设备进行初次 LCP协商，协商成功后，用户 2会向网络接入服务设备发送自己的用户名等认证信息，进而，网络接入服务设备就知道用户 2属于域 B, 而根据预先配置的信息可知，域 B内配置的认证类型为 CHAP。于是，网络接入服务设备将与用户 2初次 LCP协商的认证类型与 CHAP认证类型（即用户 1 所在域 B内配置的认证类型）比较是否一致，如果一致则向第一 AAA服务器发送认证请求报文；如果不一致，网络接入服务设备下发 CHAP认证类型，据此与用户 2进行重协商。如果重协商成功后的认证类型是 CHAP认证类型，则据此向第一 AAA服务器发送认证请求报文。由此可见，就用户 2而言，通过本发明实施例提供的技术方案，网络接入服务设备向第二 AAA 服务器发送的认证请求报文类型就是第二 AAA服务器所支持的 CHAP认证类型，两者是匹配的。

由此可见，虽然域 A内的用户 1和域 B内的用户 2都通过网絡接入服务设备的第一接口连接到对应的 AAA服务器去认证，但是并不会出现网络接入服务设备发送到某个 AAA服务器的认证请求报文类型与该 AAA服务器所支持的认证类型不一致的现象。换而言之，域 A内的用户和域 B内的用户都可以通过第一接口顺利的到各自对应的 AAA月务器上去认证。

综上所述，即使多个运营商对应域内使用的 AAA服务器所支持的认证类型不同，采用本发明实施例提供的技术方案，可以为上述多个运营商分配同一个接口，提高了网^ 入服务设备的利用率。

更进一步，由于重协商过程的存在，使得网络运营商不必预先告诉用户 AAA服务器所支持的认证类型，就可以使网络用户最终采用正确的认证类型进行认证，因此避免了一定的网络安全隐患。另外，如果运营商需要切换用户认证的 AAA服务器，不必通知用户根据新的服务器所支持的认证类型进行调整，只需在网妾入服务设备中修改相应域内配置的认证类型即可，因此具有较强的灵活性。需要说明，虽然上述优选实施例包括 LCP 协商（重协商）阶段和认证两个阶段，但是本领域技术人员应该意识到，根据网络用户所在域内配置的认证类型进行 LCP重协商是本发明实施例的实质所在，这一实质内容可以单独或结合其他相关技术使用，并不仅仅局限于作为发送认证请求报文的依据。

基于与上述认证方法的同一发明构思，本发明还公开了一种网络接入服务设备，请参阅图 4 , 其为本发明网络接入服务设 ^尤选实施例的结构示意图。为了更全面的揭示本实施例所示的网络接入服务设备内部结构，还在图 4中示例性的给出与网矣入服务设备相互通信的网络用户和 AAA 服务器，下面结合该装置的工作原理对其内部结构做进一步说明。对于前文已经详述过的相同或相应技术特征，本实施例筒要概括。证类型，网络用户所在域内配置的认证类型与该域对应的 AAA服务器所支持的认证类型相同。当网络用户通过拨号上网后，与网络接入服务器的 LCP 协商单元 44进行 LCP协商，确定认证类型。进而， LCP协商单元 44将协商认证类型告知比较控制单元 42中的比较子单元 421 , 比较子单元 421还从认证类型存储单元 41中获取该网络用户所在域内配置的认证类型，比较上述两种认证类型。

如果比较结果相同，则控制子单元 422通知认证请求单元 43根据本次协商的认证类型向 AAA服务器发送认证请求报文；如果比较结果不同，贝' J 将网络用户所在域内配置的认证类型信息下发给 LCP协商单元 44，并告知 LCP协商单元据此进行重协商。 LCP协商单元 44根据网络用户所在域内配置的认证类型进行重协商后，再通过比较子单元 421进行比较，依次类推，直到比较子单元 422的比较结果为相同时停止重协商。进而，控制子单元请求报文。由此可以看出，无论 LCP协商单元 44是否需要根据控制子单元 422的指示进行重协商，最终协商的认证类型都是网络用户所在域内配置的认证类型，进而，认证请求单元 43都是根据网络用户所在域内配置的认证类型向 AAA服务器发送认证请求报文。所述认证为点到点强制认证。

正是由于网络用户所在域内配置的认证类型和该域对应的 AAA月良务器所支持的认证类型相同，使得认证请求单元 43根据网络用户所在域内配置的认证类型发送的认证请求报文能够被 AAA服务器所识别，即网矣入服务设备发送给 AAA服务器的认证请求报文与 AAA服务器所支持的认证类型一致。因此， AAA服务器就不会接收到大量由于认证类型不匹配导致无法识别的认证请求报文，从而减轻了 AAA服务器的负担。

此外，使用本实施例所述的网絡接入服务设备，在不同网络运营商采用的 AAA服务器所支持的认证类型不同情况下，也可以为这些网络运营商分配同一个接口。由此，给服务供应商提供了较大的灵活性。

另外，采用本实施例所述的网络接入服务设备，不但可以准确的实现用户通过认证，而且网絡运营商不必预先告诉用户 AAA服务器所支持的认证类型，从而避免了一定的网络安全隐患。而且，如果运营商需要切换用户认证的 AAA服务器，不必通知用户根据新的服务器所支持的认证类型进行调整，只需在网络接入服务设备中修改相应域内配置的认证类型即可，因此具有较强的灵活性。以上所述，仅为本发明较佳的具体实施方式, 但本发明的保护范围并不局限于此，任何熟悉该技术的人员在本发明所揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims

权利要求

1、一种认证方法，其特征在于，所述方法包括：

网络接入服务设备和网络用户进行链路控制协议 LCP协商，获得 LCP协商的认证类型；

根据网絡用户提供的用户信息获知用户所在域内配置的认证类型；如果上述 LCP协商的认证类型和网络用户所在域内配置的认证类型不同，则根据网络用户所在域内配置的认证类型进行 LCP重协商；

网络接入服务设备才艮据 LCP重协商成功的网络用户所在域内配置的认证类型发送认证请求报文。

1、根据权利要求 1 所述的认证方法，其特征在于，所述方法还包括，在网络接入服务设备中预先存储其所涉及的各域内配置的认证类型信息。

3、根据权利要求 2 所述的认证方法，其特征在于，所述根据网络用户提供的用户信息获知用户所在域内配置的 i人证类型具体过程包括：

根据网络用户提供的用户信息获知该用户所在域；

在所述存储的认证类型信息中查到该用户所在域内配置的认证类型。

4、根据权利要求 1所述的认证方法，其特征在于，网络用户所在域内配置的认证类型与该域对应的 AAA服务器所支持的认证类型相同，

所述发送认证请求报文具体为：发送认证请求报文至网络用户所在域对应的 AAA服务器。

5、根据权利要求 1至 4中任意一项所述的认证方法，其特征在于，所述 LCP重协商的具体过程包括：

网 ^^入服务设备下发网络用户所在域内配置的认证类型；

根据上述域内配置的认证类型与网络用户进行 LCP重协商。

6、根据权利要求 1至 4中任意一项所述的认证方法，其特征在于，所述认证为点到点强制认证。

7、一种认证类型的协商方法，其特征在于，所述方法包括：网络接入服务设备和网络用户进行 LCP协商，获得 LCP协商的认证类型；

根据网络用户提供的用户信息获知用户所在域内配置的认证类型；如果上述 LCP协商的认证类型和网络用户所在域内配置的认证类型不同 , 则根据网络用户所在域内配置的认证类型进行 LCP重协商；

LCP协商的最终认证类型为网络用户所在域内配置的认证类型。

8、根据权利要求 7所述的协商方法，其特征在于，所述 LCP重协商的步骤具体为：

网络接入服务设备下发网络用户所在域内配置的认证类型；才艮据所述域内配置的认证类型与网络用户进行 LCP重协商。

9、一种网絡接入服务设备，其特征在于包括：

LCP协商单元，用以同网络用户协商使用的认证类型；

认证类型存储单元，用以存储所涉及的网絡用户所在域内配置的认证类型；单元中网络用户所在域内配置的认证类型不同时，控制 LCP协商单元根据网絡用户所在域内配置的认证类型进行 LCP重协商。

10、根据权利要求 9所述的网络接入设备，其特征在于：所述网入服务设备还包括：

认证请求单元，用以根据 LCP协商单元协商的最终认证类型发送认证请求报文，所述最终认证类型与网络用户所在域内配置的认证类型相同。

11、如权利要求 10所述的网络接入设备，其特征在于：所述认证请求报文的目的地址为网络用户所在域对应的 AAA服务器，网络用户所在域内配置的认证类型与该域对应的 AAA服务器所支持的认证类型相同。

12、根据权利要求 9所述的网络接入服务设备，其特征在于，所述比较控制单元具体包括信息比较子单元和控制子单元，其中元中网络用户所在域内配置的认证类型进行比较；

控制子单元，用以在比较子单元的比较结果为不同时，将认证类型存储单元中网络用户所在域内配置的认证类型信息下发给所述的 LCP协商单元，并告知 LCP协商单元据此进行重协商。

13、如权利要求 9至 12所述的网络接入设备，其特征在于：所述认证为点到点强制认证。