WO2008019615A1 - Procédé, dispositif et système pour authentification d'accès - Google Patents

Description

一种实现接入认证的方法、 设备及系统

技术领域

本发明涉及网络通信技术领域， 尤其涉及一种实现接入认证的方法、 设备及系

[3] 发明背景

[4] 目前， 网络架构方式分为固定网络的架构、 移动网络的架构以及固定网络和移 动网络的混合架构。 这三种网络的架构方式以其各自的优势分别在不同的运用 场景得到了广泛的应用。 例如， 固定网络因为使用吋不能移动且使用信号相对 较好而主要应用于家中或有固定办公场所的地点， 如 DSL (数字用户线） 网络； 移动网络因为可以在移动状态下使用而主要应用于汽车、 火车、 轮船或飞机等 可移动的公共交通工具上； 固定网络和移动网络的混合网络因为集中了固定网 络和移动网络的优点而主要应用于需要综合考虑网络的移动性能和使用信号质 量的场景。

[5] 目前广泛使用的固定网络架构的结构图如图 1所示。

图 1所示的固定网络由 CPN (用户驻地网） 、 接入网和多个 NSP (业务提供商 ) 所属的网络组成的单级接入网。 所述的单级接入网是没有网络嵌套的接入网 ， 即用户连接在网络节点上， 网络节点直接与接入网相连。 所述的固定网络可 以为单级接入网， 也可以为多级接入网。 CPN是由 RG (固定网络节点） 和 RG下 所属的各个 User (用户） 组成的， CPN的主要作用为连接用户所属的各种通信终 端； 接入网包括 NAS (网络接入服务器） 和 AAA

proxy (认证、 授权和计费代理） ， 接入网的主要作用为充当用户和业务提供商 的桥梁， 即使得用户通过授权能够顺利连接到其所需的网络业务上同吋对用户 使用网络的情况进行流量统计和计费； NSP所属的网络包括各个网络业务内容的 提供商和针对每个提供商的 AAA

server (认证、 授权和计费服务器） ， 各个 RG和各个 User可以有不同的网络业务 需求， 即可分别属于不同的 NSP。 [7] 目前广泛使用的移动网络架构的结构图如图 2所示。

[8] 图 2所示的移动网络由移动网络 1或相互嵌套的多级移动网络 （例如图 2中的移 动网络 1和移动网络 2相互嵌套） 、 接入网和多个 NSP所属的网络组成的多级接入 网。 所述的多级接入网是具有网络嵌套结构的接入网， 即与用户连接的网络节 点通过其他网络节点间接与接入网相连。 所述的移动网络可以为多级接入网， 也可以为单级接入网。 相互嵌套的多级移动网络中的每个移动网络由 MR (移动 网络节点） 和 MR下所属的各个 Host (主机） 设备组成， 每个移动网络的作用为 连接各个移动主机及其所属的各种移动通信终端； 接入网包括 NAS和 AAA proxy, 接入网的主要作用为在移动通信中充当用户和业务提供商的桥梁， 即使 得用户通过授权能够顺利连接到其所需的网络业务上同吋对用户使用网络的情 况进行流量统计和计费； NSP所属的网络包括各个网络业务内容的提供商和针对 每个提供商的 AAA

server (认证、 授权和计费服务器） ， 各级 MR和各 MR下属的各个主机可以有不 同的网络业务需求， 即可分别属于不同的 NSP。

[9] 移动网络的一种应用场景是其相互嵌套的多级移动网络可以位于汽车、 火车、 轮船或飞机等公共交通工具上， MR1由 MR1所属的 NSP (MR1) 提供并安装于 公共交通工具内， Host 11至 Host 1N

为公共交通工具的乘客所携带的 N个通信设备， Host 11至 Host IN由 Host 11- Host IN

所属的 NSP (Hostl l-IN) 提供； 假设另有一乘客携带便携电脑 MR2， 登上公共 交通工具并连入移动网络 1， MR2由 MR2所属 NSP (MR2) 提供， MR2与该乘客 所带的各种通信设备 Host 21至 Host 2M (如无线耳机、 无线视频眼镜、 PDA等） 构成 PAN (无线个人局域网) ， Host 21至 Host 2M由 Host 21至 Host 2M

所属 NSP (Host21-2M) 提供， 通过 MR2接入 MR1。

[10] 无论是在固定网络、 移动网络还是固定网络和移动网络混合网络中， 用户都是 通过网络设备与网络侧进行联系的。 在一个网络系统中， 网络侧上连接了若干 网络设备， 每个网络设备上连接了若干用户。

[11] 在传统的网络系统中， 网络侧上连接的网络设备都是由运营商自行配置的， 所 以网络设备的信任等级是由运营商事先确定的， 即， 当网络确定后， 网络设备 就均为信任网络设备。 从网络系统的范畴来说， 网络设备可以看作是网络中的 一个节点， 一个信任网络设备即可以看作为一个信任节点。

[12] 信任节点可以对其上连接的用户进行信任判断， 并且网络侧会向信任节点发送 一些网络控制参数， 以便于运营商更好的对信任节点上连接的用户进行控制和 管理。

[13] 对信任节点来说， 节点上连接的用户可以进行节点级联认证， 即： 信任节点上 连接的用户可以通过其连接的信任节点成为信任用户。 具体为： 信任节点不需 要其上连接的用户向其发出接入认证请求消息而直接对信任节点上连接的用户 进行信任判断， 判断其是否能成为信任用户， 若信任节点上连接的用户满足成 为信任用户的条件， 则此信任节点允许此用户成为信任用户， 若不满足成为信 任用户的条件， 则不允许此用户成为信任用户。

[14] 但是， 对于现有的网络系统来说， 由于网络技术的发展， 网络设备可以在网络 确定之后再添加到网络系统中， 即， 此吋添加的网络设备没有经过事先的授权 认证， 为非信任节点。

[15] 对非信任节点来说， 非信任节点不能对其上连接的用户进行信任判断， 其上连 接的用户也不能通过向非信任节点发送接入认证请求消息的方式来成为信任用 户， 网络侧也不会向非信任节点发送网络控制参数。 所以， 在网络系统设置好 后， 不仅非信任节点上连接的用户不能成为信任用户， 非信任节点也不能成为 信任节点。

[16] 这样， 对于非信任节点来说， 网络系统确定之后， 非信任节点不能转变为信任 节点， 使得网络侧不能对非信任节点上连接的用户进行安全监控和业务统计， 不利于运营商对非信任节点的控制和管理。 因此， 需要釆取节点认证技术方案 把非信任节点转化为信任节点。

[17] 目前， 对于图 1所示的固定网络 （如 DSL网络） ， 具体可以釆用以下三种网络 间节点认证的技术方案实现相应的节点认证操作。

[18] (—） 相应的节点认证技术方案一为： 仅对 RG进行简单的线路认证， 对 RG上 连接的用户 Userl- UserN无法做认证。 [19] 在实现本发明的过程中， 发明人发现该技术方案一存在以下缺点：

[20] 1、 NSP无法感知到 RG上连接用户的存在， 即 NSP只能对 RG上的网络流量进行 统计， 来对 RG上的网络服务进行计费和收费， 而无法有针对性地对 RG上连接的 不同用户按照不同业务来分别进行计费和收费；

[21] 2、 由于 NSP不对 RG上连接的用户进行认证， 所以 NSP无法对仿冒的用户进行 安全防范；

[22] 3、 因为只是对 RG进行简单的线路认证， 没有对 RG进行有关的信任认证， 所 以 RG为非信任节点， 因而 RG不能从 Policy

Server (策略服务器） 上取得有关 RG的 QoS (服务质量） 策略， 从而网络系统无 法根据统一的 QoS策略进行资源管理控制 （如上行带宽控制） 。 同吋对于 VoIP ( 网络电话） 等基于网络连接的业务， RG无法根据统一的 QoS策略进行针对 VoIP 的 AC (接纳控制） ；

[23] 4、 由于 RG为非信任节点， 因而不能从认证信息上取得有关 RG的 ACL (接纳 控制列表） ， 从而无法对用户的组播权限进行控制， 无法做快速频道切换控制

[24] 5、 由于 RG为非信任节点， 因而不能就近对 SLA (服务等级协定） 釆取本地服 务质量监控操作， 使得在 NAS只能在所在的接入节点或 AN (接入节点） 上监控 所有用户的业务流， 导致 NAS所在的接入节点或 MSAN (综合业务接入网） 成为 网络业务信息的瓶颈。

[25] (二） 相应的节点认证技术方案二为： 设置 RG为三层路由网关； 在实现本发 明的过程中， 发明人发现当 RG为三层路由网关吋， 即若 RG上连接的用户釆用现 在常用的 802. lx认证协议， 则由于 802. lx认证协议是基于 802.3或 802.1 1的二层认 证协议， 所以此 802. lx认证协议方式无法穿越三层路由网关 RG。

[26] (三） 相应的节点认证技术方案三： 设置 RG为二层驻地网关； 在实现本发明 的过程中， 发明人发现当 RG为二层驻地网关吋， RG本身不用认证， 即若 RG上 连接的用户仍釆用 802. 1X认证协议， 则 RG必须支持 802. 1X认证中转功能， 但是现 有的 RG设备一般不支持这种认证中转功能。 另外， 发明人还发现该方案三同样 存在上述节点级联认证技术方案一中的第 3、 4、 5条描述的缺点。 [27] 对于图 2所示的移动网络 （如 WiMAX (微波接入全球互联） 网络， 在进行网络 间节点级联认证吋， 也同样存在与图 1所示的固定网络类似的技术方案和缺点。

[28] 因此， 无论是针对固定网络、 移动网络还是固定网络和移动网络的混合网络， 目前都没有针对网络节点接入认证的实现方案， 使得网络中无法确定更多的信 任节点， 从而影响了网络中通信业务的开展， 例如， 用户终端若通过非信任节 点接入网络则无法进行认证， 或者， 非信任节点作为用户接入设备无法实现相 应的接纳控制功能， 等等。

[29] 发明内容

[30] 本发明实施例提供了一种实现接入认证的方法、 设备及系统， 使得网络系统中 的非信任节点能够通过接入认证成为信任节点， 从而使得业务提供商可以感知 到网络节点下用户的存在， 并且， 顺利的开展网络中的相关通信业务。

[31] 本发明实施例提供了一种实现接入认证的方法， 包括：

[32] 在多级网络中， 各级网络设置一个网关， 用于连接本级网络的用户和 /或下一 级网络的网关；

[33] 各级网关依次向认证服务器发起接入认证操作， 认证服务器逐级对网关进行认 证， 并在认证通过后， 授权所述的网关为信任节点。

[34] 本发明实施例提供了一种网关， 所述的网关包括认证请求发送单元和认证响应 接收单元， 以及认证方处理单元或认证中转处理单元， 其中：

[35] 认证请求发送单元， 用于向认证服务器发送认证请求消息；

[36] 认证响应接收单元， 用于获取认证服务器返回的认证结果， 确定网关是否通过 认证；

[37] 认证方处理单元， 用于作为认证方， 在网关与认证服务器之间处理接入认证操 作过程中的认证消息；

[38] 认证中转处理单元， 用于在网关与网络接入服务器之间中转接入认证操作过程 中的认证消息。

[39] 本发明实施例提供了一种实现接入认证的系统， 包括至少一个网关和认证服务 器， 所述的网关向认证服务器发起接入认证操作， 认证服务器对相应的网关进 行接入认证处理， 并将认证结果返回给所述网关； 其中， 认证通过的的网关作 为认证方或认证中转节点与认证服务器通信， 实现针对未通过认证的所述本级 网络的用户和 /或下一级网络的网关的接入认证操作。

[40] 由上述本发明实施例提供的技术方案可以看出， 本发明实施例通过网络节点接 入认证， 将接入网中的原非信任网络节点转变为信任节点， 扩展了接入网边界 ， 从而使得认证服务器能够对网络节点 （如 RG) 上仿冒的用户进行安全防范； 并可以控制将网络节点转换为接入网信任节点， 解决现有技术存在的问题。

[41] 附图简要说明

[42] 图 1为固定网络架构结构示意图；

[43] 图 2为移动网络架构结构示意图；

[44] 图 3为本发明实施例中固定网络的接入认证方案的具体实现过程示意图；

[45] 图 4为本发明实施例中移动网络的接入认证方案的具体实现过程示意图；

[46] 图 5为本发明实施例中固定网络的接入认证方案的具体实现过程示意图；

[47] 图 6为本发明实施例中移动网络的接入认证方案的具体实现过程示意图；

[48] 图 7为本发明实施例中实现网络节点接入认证的系统的具体实现结构示意图； [49] 图 8为本发明实施例中实现网络节点接入认证的系统的具体实现结构示意图。

[50] 实施本发明的方式

[51] 本发明实施例提供了一种实现接入认证的方法、 设备及系统， 由网络节点向其 所属的认证服务器发起接入认证操作， 认证服务器对所述网络节点发起的接入 认证操作进行认证处理； 若发起接入认证操作的网络节点与认证服务器之间还 需要经过未通过认证的网络节点 （即非信任节点） ， 则相应的非信任节点首先 需要发起接入认证操作， 并在通过认证后， 即成为与其连接的网络节点或用户 的认证方 ( Authenticator

) 或认证中转节点后， 才能够处理与其连接的网络节点发起的接入认证操作过 程中涉及的消息。

[52] 本发明实施例中， 相应的认证通过的网络节点还可以获得相应的控制策略信息 ， 以对通过其接入网络的节点或用户进行控制管理。 具体可以为： 策略服务器 向认证通过的网络节点下发接纳控制列表和 /或策略信息

， 从而使得网络节点可以根据收到的接纳控制列表对用户进行组播权限控制， 并可以根据收到的策略信息对用户开展的通信业务进行服务质量控制管理。

[53] 本发明实施例中， 当所述的网络节点连接有用户吋， 则在所述的网络节点通过 认证成为用户的认证方或认证中转节点后， 网络节点上连接的用户通过所述的 网络节点或经所述的网络节点中转通过认证方 NAS发起接入认证操作， 认证服 务器对所述用户发起的接入认证操作进行认证处理。

[54] 本发明实施例具体可以应用于固定网络中， 也可以应用于移动网络中， 或者， 还可以应用于固定、 移动混合网络中。 下面将结合附图对本发明实施例应用于 固定网络中及应用于移动网络中的具体实现方案进行说明。

[55] 为便于对本发明实施例的理解， 下面将结合附图 3、 图 4、 图 5和图 6对本发明实 施例的具体实现方案进行详细说明。

[56] 本发明实施例的关于网络中的网络节点接入认证方案的一个具体实施方案的具 体实施方式如图 3和图 4所示， 下面将结合附图对本发明实施例的实现进行详细 说明。

[57] 本发明实施例的关于固定网络中的网络节点接入认证方案的一个具体实施方案 如图 3所示， 具体包括以下处理步骤：

[58] 步骤 31 : RG作为申请者 （Supplicant) ， 向 RG所属的 AAA

Server (AAA服务器） 发起接入认证请求消息；

[59] 所述的发起接入认证请求消息的具体过程为： RG发起的接入认证请求消息首 先通过接入网中作为认证方 --AAA

Client (AAA客户） 的 NAS， 然后由接入网中的 AAA

proxy (AAA代理） 中转 RG发起的接入认证请求消息， 向 RG所属的 AAA

Server发起接入认证请求消息；

[60] 当然， RG也可以直接向其所属的 AAA Server发起接入认证请求消息；

[61] 步骤 32: RG所属的 AAA

Server收到 RG发起的接入认证请求消息后， 对 RG进行接入认证处理；

[62] 具体为： 对 RG进行认证处理后， 若 RG认证通过， RG所属的 AAA

Server向 RG发起接入授权消息， 表明 RG所属的 AAA

Server授权 RG接入网络， 即允许 RG接入网络； [63] 其中， RG收到的 AAA

Server发来的接入授权消息可以包括 RG认证后得到的 AAA

Proxy的地址、 或者还可选择地包括 DHCP

Proxy/Server (网络自动配置代理 /服务器） 的地址或 AN的地址 /标识， 或 DHCP

Proxy/Server (网络自动配置代理 /服务器） 的地址和 AN的地址 /标识；

[64] 步骤 33: 当 RG收到 RG所属的 AAA

Server发出的接入授权消息后， 对于接入网， RG认证后成为信任节点， 使得接 入网的边界由 RG和 NAS之间延伸到 User和 RG之间；

[65] 即， 根据 RG所属的 AAA

Server的授权， RG成为新的 NAS， 即 RG作为认证方和 AAA

Client; 同吋， RG成为 DHCP Relay (网络自动配置中继） 或 Proxy (代理） ； [66] 步骤 34: Policy Server下发 ACL (接纳控制列表） 和 QoS策略到 RG;

[67] 具体为： 当 RG通过认证后成为信任节点， 接入网的边界由 RG和 NAS之间延伸 到 User设备和 RG之间吋， Policy

Server下发 ACL和 QoS策略到 RG， 以便于 RG可以根据 ACL进行用户的组播权限 控制；

[68] 同吋， RG可以根据 QoS策略进行上行或下行资源管理， 如上行带宽控制等， 以 及对 SLA的本地监控； 对于 VoIP等基于连接的业务， RG还可以根据 QoS策略进 行 AC操作， 从而使得 RG成为 SIP proxy (会话发起协议代理） ；

[69] 步骤 35: 用户通过 RG向 AAA Server发起接入认证请求消息；

[70] 当 RG通过认证成为新的 NAS， 即认证方后， RG允许其上连接的用户通过 RG经 AAA proxy中转， 向用户所属的 AAA

Server发起接入认证请求消息； 当然用户也可以通过 RG直接向 AAA

Server发起接入认证请求消息；

[71] 步骤 36: AAA

Server收到 RG上连接的用户发起的接入认证请求消息后， 对相应的用户进行接 入认证处理； 这样， AAA Server能够对仿冒的用户进行安全防范；

[72] 具体为： 当用户所属的 AAA Server收到 RG上连接的用户发起的接入认证请求消息后， 经过认证处理后， 若 用户认证通过， 用户所属的 AAA

Server向 RG上连接的用户发起接入授权消息， 表明用户所属的 AAA

Server授权用户接入网络， 即允许用户接入网络， 这样， NSP可以感知到 RG上连 接的用户的存在， 从而 NSP能够有针对性地对 RG上连接的不同用户按照不同业 务情况分别进行计费和收费；

对于接入网， 在 RG进行认证之前，

RG为非信任节点， 原接入网的边界位于 RG和 NAS之间； 在 RG通过认证之后， RG为信任节点， 接入网的边界从位于 RG和 NAS之间变化到了位于 RG和用户之 间。

[74] 所述的 RG发起的接入认证请求消息中的认证可以基于 EAP (扩展身份认证协 议） ， 也可以基于其他的认证协议。 当所述的 RG发起的接入认证请求消息中的 认证是基于 EAP吋， 具体可以选择基于 EAP的各种不同的认证协议。 比如：

[75] 釆用 802.1x认证协议支持认证， 此吋用户与 RG属于同一个 IP

Link (连接） ， RG和NAS属于同一个IP Link;

[76] 釆用 PANA (网络接入认证信息承载协议） 认证协议支持认证， 此吋在 RG认证 前' PaA (PANA Authentication Agent, PANA认证代理) 和 EP (Enforcement Point, 执行点） 设置于认证方接入网 NAS中， 分别作为 PANA的服务器和执行单 元， PaC (PANA

Client, PANA客户） 设置于 RG中， 作为 PANA的客户端； 在 RG通过认证后， R G成为新的 NAS， 即认证方， 此吋 PaA和 EP可设置于 RG中， 分别作为 PANA的服 务器和执行单元， PaC可设置于用户设备中， 作为 PANA的客户端， 具体设置如 图 3所示；

[77] 釆用其它基于 EAP的认证协议支持认证；

[78] 802. lx

认证协议、 PANA认证协议或其它的基于 EAP的认证协议可以混合使用来支持认 证操作， 比如在 RG认证前， RG可釆用 802.1x认证协议， 在 RG认证后， 用户可釆 用 PANA认证协议， 再如在 RG认证前， RG可釆用 PANA认证协议， 在 RG认证后 ， 主机可釆用 802. lx认证协议。

[79] 本发明实施例的关于移动网络中的网络节点接入认证方案的一个具体实施方案 如图 4所示， 具体包括以下处理步骤：

[80] 步骤 401 : MR1作为申请者， 向 MR1所属的 AAA

Server发起接入认证请求消息；

[81] 相应的发起接入认证请求消息的具体过程为： MR1发起的接入认证请求消息首 先通过接入网中作为认证方 --AAA Client的 NAS， 然后由 AAA

proxy中转 MR 1发起的接入认证请求消息， 向 MR1所属的 AAA

Server发起接入认证请求消息；

[82] 当然， MR1也可以直接向其所属的 AAA Server发起接入认证请求消息；

[83] 步骤 402: MR1所属的 AAA

Server收到 MRl发起的接入认证请求消息后， 对 MR1进行认证处理；

[84] 具体为： MR1所属的 AAA

Server收到 MRl发起的接入认证请求消息后， 进行相应的针对 MR1的认证处理， 若 MR1认证通过， MR1所属的 AAA

Server向 MRl发起接入授权消息， 表明 MR1所属的 AAA

Server授权 MRl接入网络； MR1收到的接入授权消息可以包括 MR1认证后得到 A

AA Proxy的地址、 DHCP Proxy/Server的地址；

[85] 步骤 403: 当 MR1收到 MR1所属的 AAA

Server发出的接入授权消息后， 对于接入网， MR1认证后成为信任节点， 接入网 的边界由 MR1和 NAS之间延伸到 User和 MR1之间；

[86] 即根据 MR1所属的 AAA

Server的授权， MR1成为新的 NAS， 即作为认证方和 AAA

Client; 同吋 MRl成为 DHCP Relay或 Proxy;

[87] 步骤 404: Policy Server下发 QoS策略到 MRl ;

[88] 具体为： 当 MRl通过认证后成为信任节点， 接入网的边界由 MR1和 NAS之间延 伸到 User设备和 MR1之间吋， Policy Server下发 QoS策略到 MRl，

MRl可以根据 QoS策略进行上行或下行资源管理 （如上行带宽控制） ， 以及对 S LA进行本地监控； 对于 VoIP等基于连接的业务， MR1可以根据 QoS策略进行 AC 控制， 从而令 MR1成为 SIP proxy; Policy

Server还可下发 ACL到 MR1， MR1可以根据 ACL进行主机的组播权限控制；

[89] 步骤 405: MR1上连接的主机或所嵌套的移动网络 MR2可以通过 MR1向 AAA

Server发起接入认证请求消息；

[90] 当 MR1通过认证成为新的 NAS， 即认证方后， MR1允许其上连接的主机或所嵌 套的移动网络的 MR2通过 MR1经 AAA proxy中转， 向主机所属的 AAA

Server或 MR2所属的 AAA Server发起接入认证请求消息；

[91] 当然， MR1上连接的主机或所嵌套的移动网络 MR2也可以通过 MR1直接向其所 属的 AAA Server发起接入认证请求消息；

[92] 步骤 406: AAA

Server收到 MR2发起的接入认证请求消息后， 对 MR2进行认证处理；

[93] 具体为： 当 MR2所属的 AAA

Server收到 MR2发起的接入认证请求消息后， 对 MR2进行相应的认证处理， 若 M

R2认证通过， MR2所属的 AAA

Server向 MR2发起接入授权消息， 表明 MR2所属的 AAA

Server授权 MR2接入网络； MR2收到的接入授权消息可以包括 AAA

Proxy的地址、 或者还可选择地包括 DHCP Proxy/Server的地址；

[94] 步骤 407: 当 MR2收到 MR2所属的 AAA

Server发出的接入授权消息后， 对于接入网， MR2认证成为信任节点， 接入网的 边界由 MR1和 MR2之间延伸到 User设备和 MR2之间；

[95] 即根据 MR2所属的 AAA

Server的授权， MR2成为新的 NAS , 即作为认证方和 AAA

Client; 同吋 MR2成为 DHCP Relay或 Proxy;

[96] 步骤 408: Policy Server下发 QoS策略到 MR2;

[97] 当 MR2通过认证后成为信任节点， 接入网的边界由 MR1和 MR2之间延伸到 User 设备和 MR2之间吋， Policy Server下发 QoS策略到 MR2，

MR2可以根据 QoS策略进行上行或下行资源管理 （如上行带宽控制） ， 以及对 S LA进行本地监控； 对于 VoIP等基于连接的业务， MR2可以根据 QoS策略进行 AC 控制， 从而 MR2成为 SIP proxy; Policy

Server还可下发 ACL到 MR2， MR2可以根据 ACL进行主机的组播权限控制； [98] 步骤 409： MR2上连接的主机向 AAA Server发起接入认证请求消息；

[99] 当 MR2通过认证成为新的 NAS， 即认证方后， MR2允许其上连接的主机通过 M

R2经 AAA proxy中转， 向主机所属的 AAA Server发起接入认证请求消息；

[100] 当然， 主机也可以通过 MR2直接向其所属的 AAA

Server发起接入认证请求消息；

[101] 步骤 410: AAA Server对发起接入认证的主机进行接入认证处理； 这样， AAA

Server能够对仿冒的主机进行安全防范；

[102] 当主机所属的 AAA

Server收到 MR2上连接的主机发起的接入认证请求消息后， 对相应的主机进行认 证处理， 若主机认证通过， 主机所属的 AAA

Server向主机发起接入授权消息， 表明主机所属的 AAA

Server授权主机接入网络； 这样， NSP可以感知到 MR2上连接的主机的存在， 从 而 NSP能够有针对性地对 MR2上连接的不同主机按照不同业务情况分别进行计费 和收费。

[103] 对于接入网， 在 MR1进行认证之前，

MR1为非信任节点， 原接入网的边界位于 MR1和 NAS之间； 在 MR1通过认证之 后， MR1为信任节点， 原接入网的边界从位于 MR1和 NAS之间变化到了位于 MR 1和 MR2之间或 MR1和用户之间。 同理， 对于接入网， 在 MR2进行认证之前， MR2为非信任节点， 原接入网的边界位于 MR1和 MR2之间； 在 MR2通过认证之 后， MR2为信任节点， 原接入网的边界从位于 MR1和 MR2之间变化到了位于 MR 2和 MR2的用户之间。

[104] 所述的 RG发起的接入认证请求消息中的认证可以基于 EAP (扩展身份认证协 议） ， 也可以基于其他的认证协议。 当所述的 RG发起的接入认证请求消息中的 认证是基于 EAP吋， 具体可以选择基于 EAP的各种不同的认证协议。 比如：

[105] 釆用 802. lx认证协议支持认证， 主机与 MR属于同一个 IP Link, ^1 1和^1 2属于同一个 ]^^， MR1和 NAS属于同一个 IP Link;

[106] 釆用 PANA认证协议支持认证， 在 MR1认证前， PaA和 EP设置于认证方接入网 NAS中， 分别作为 PANA的服务器和执行单元， PaC设置于 MR1中， 作为 PANA 的客户端； 在 MR1通过认证后， MR1成为新的 NAS， 即认证方， PaA和 EP可设 置于 MR1中， 分别作为 PANA的服务器和执行单元， PaC可设置于 MR1所带的主 机设备及 MR2中， 作为 PANA的客户端； 在 MR2通过认证后， MR2成为新的 NAS ， 即认证方， PaA和 EP可设置于 MR2中， 分别作为 PANA的服务器和执行单元； PaC可设置于 MR2所带主机设备中， 作为 PANA的客户端， 具体设置如图 4所示；

[107] 釆用其它基于 EAP的认证协议支持认证；

[108] 802. lx

认证协议、 PANA认证协议或其它的基于 EAP的认证协议可以混合使用来支持认 证操作， 比如在 RG认证前， RG可釆用 802.1x认证协议， 在 RG认证后， 主机可釆 用 PANA认证协议， 再如在 RG认证前， RG可釆用 PANA认证协议， 在 RG认证后 ， 主机可釆用 802. lx认证协议。

[109] 本发明实施例的关于网络中的网络节点接入认证方案的另一个具体实施方案的 具体实施方式如图 5和图 6所示， 与其他实施方案相对比， 在本具体实施方案中 ， 当网络节点通过认证后， 根据网络节点所属的 AAA

Server的授权， 网络节点成为认证中转节点 (AR， Authenticator

Relay), 而不是成为认证方； 此吋 NAS为固定的认证方， 即用户或网络节点必须 经认证方 NAS与认证服务器进行信息传送， 而认证通过的网络节点只能作为用 户或网络节点与认证方 NAS之间的认证中转节点。

[110] 下面将结合附图对本发明实施例的另一个具体实施方案进行详细说明。

[111] 本发明实施例的关于固定网络中的网络节点接入认证方案的另一个具体实施方 案如图 5所示， 图 5所示的具体实施方案在图 3所示的本发明实施例的关于固定网 络中的网络节点接入认证方案的具体实施方案的具体处理步骤上作了一些改变 ， 所作的具体改变包括如下内容：

[112] 步骤 52: 对比步骤 32， 变化为： RG收到的 AAA

Server发来的接入授权消息可以包括 RG认证后得到的 DHCP Proxy/Server (网络自动配置代理 /服务器） 的地址或 AN的地址 /标识；

[113] 步骤 53: 对比步骤 33， 变化为： 根据 RG所属的 AAA

Server的授权， RG成为认证中转 (AR， Authenticator

Relay)节点； 同吋， RG成为 DHCP

Relay (网络自动配置中继） 或 Proxy (代理） ；

[114] 步骤 55: 对比步骤 35， 变化为： 当 RG认证通过成为 AR后， 用户首先通过其上 连接的 RG向认证方 NAS中转接入认证请求消息， 然后由认证方 NAS向用户所属 的 AAA Server发起接入认证请求消息； 此吋， 用户不能够通过 RG直接向 AAA

Server发起接入认证请求消息；

[115] 此吋， 当釆用 PANA认证协议支持认证吋， 在 RG通过认证后， PaA仍设置于 N

AS中， EP可设置于 RG中， 分别作为 PANA的服务器和执行单元， PaC可设置于 用户设备中， 作为 PANA的客户端， 具体设置如图 5所示。

[116] 本发明实施例的关于移动网络中的网络节点接入认证方案的另一个具体实施方 案如图 6所示， 图 6所示的具体实施方案在图 4所示的本发明实施例的关于移动网 络中的网络节点接入认证方案的具体实施方案的具体处理步骤上作了一些改变

， 所作的具体改变包括如下内容：

[117] 步骤 602: 对比步骤 402， 变化为： MR1收到的接入授权消息可以包括 MR1认证 后得到 DHCP Proxy/Server的地址；

[118] 步骤 603: 对比步骤 403， 变化为： 根据 MR 1所属的 AAA Server的授权，

MR1成为 AR节点； 同吋 MR1成为 DHCP Relay或 Proxy;

[119] 步骤 605: 对比步骤 405， 变化为： 当 MR1认证通过成为 AR后， MR1首先允许 其上连接的主机或所嵌套的移动网络的 MR2通过其向认证方 NAS中转接入认证 请求消息， 然后由认证方 NAS向主机所属的 AAA Server或 MR2所属的 AAA

Server发起接入认证请求消息；

[120] 此吋， MR1上连接的主机或所嵌套的移动网络 MR2不能够通过 MR1直接向其所 属的 AAA Server发起接入认证请求消息；

[121] 步骤 606: 对比步骤 406， 变化为： MR2收到的接入授权消息可以包括 MR2认证 通过后的 DHCP Proxy/Server的地址； [122] 步骤 607: 对比步骤 407， 变化为： 根据 MR2所属的 AAA

Server的授权， MR2成为 AR节点； 同吋 MR2成为 DHCP Relay或 Proxy;

[123] 步骤 609: 对比步骤 409， 变化为： 当 MR2认证通过成为 AR后， MR2首先允许 其上连接的主机通过其向认证方 NAS中转接入认证请求消息， 然后由认证方 NA S向主机所属的 AAA Server发起接入认证请求消息；

[124] 此吋， 主机不能够通过 MR2直接向其所属的 AAA

Server发起接入认证请求消息。

[125] 此吋， 当釆用 PANA认证协议支持认证吋， 在 MR1通过认证后， PaA仍设置于 N AS中， EP可设置于 MR1中， 分别作为 PANA的服务器和执行单元， PaC可设置于 MR1所带的主机设备及 MR2中， 作为 PANA的客户端； 在 MR2通过认证后， PaA仍设置于 NAS中， EP可设置于 MR2中， 分别作为 PANA的服务器和执行单元 ； PaC可设置于 MR2所带主机设备中， 作为 PANA的客户端， 具体设置如图 6所示

[126] 针对本发明实施例的具体实施方案， 本发明实施例还提供了一种实现接入认证 的系统， 所述系统的具体实现结构如图 7所示， 包括以下处理单元：

[127] 至少一个所述的网络节点和认证服务器， 所述的网络节点向认证服务器发起接 入认证操作， 认证服务器对相应的网络节点进行接入认证处理， 并将认证结果 返回给所述的网络节点。

[128] 系统中的网络节点中要有至少一个所述的网络节点， 所述的网络节点具体包括 如下单元：

[129] 认证请求发送单元， 用于向网络节点所属的认证服务器发送认证请求消息， 以 发起接入认证操作， 具体发起接入认证操作的方式前面已经描述， 在此不再赞 述；

[130] 认证响应接收单元， 用于获取认证服务器返回的认证结果， 即接收认证服务器 返回的认证响应消息， 并根据消息内容确定网络节点是否通过认证。

[131] 当成为信任节点的网络节点作为接入认证操作过程中的认证方吋， 所述的网络 节点中还可以包括认证方处理单元， 用于在网络节点与认证服务器之间处理接 入认证操作过程中的认证消息， 即当网络节点自身通过认证成为信任节点后， 此网络节点可以被看作是认证方， 即可以为其他网络节点或用户提供接入认证 操作过程中涉及消息的处理。

[132] 本发明实施例所述的系统中， 为使得用户可以通过信任节点发起接入认证操作

， 则在相应的需要与网络进行连接的用户上还需要设置如下单元：

[133] 认证请求发送单元和认证响应接收单元； 所述的用户利用认证请求发送单元通 过所述的信任节点发起接入认证操作， 所述的用户利用认证响应接收单元通过 所述的信任节点获取认证服务器返回的认证结果， 确定用户是否通过认证。 所 述的信任节点可以为一个网络节点或级联的多个网络节点。

[134] 本发明实施例所述的实现接入认证的系统还可以包括以下单元：

[135] 控制参数下发单元， 位于策略服务器中， 用于向信任节点下发包括接纳控制列 表和策略信息的控制参数；

[136] 控制参数处理单元， 位于网络节点中， 用于接收控制参数下发单元下发的控制 参数， 并利用所述的控制参数对用户进行组播权限控制及服务质量控制。

[137] 当本发明实施例所述的接入认证釆用 PANA认证协议支持认证吋， 本发明实施 例所述的实现接入认证的系统可以为：

[138] 所述的认证请求发送单元和认证响应接收单元结合作为网络接入认证信息承载 协议客户单元， 即 _PaC， 设置于网络节点中， 还可选地设置于用户中， 用于支持 需要网络接入的网络节点或用户向信任节点或网络接入服务器发起网络接入认 证操作；

[139] 当网络节点通过网络接入认证信息承载协议认证代理的认证和授权成为信任节 点后， 所述的信任节点中的认证方处理单元或网络接入服务器可以作为网络接 入认证信息承载协议认证代理单元， 即 PaA， 用于与所述网络接入认证信息承载 协议客户单元连接以认证和授权所述网络接入认证信息承载协议客户单元取得 网络接入服务；

[140] 当网络节点通过网络接入认证信息承载协议认证代理的认证和授权成为信任节 点后， 所述的信任节点中的认证方处理单元或认证中转处理单元可以作为网络 接入认证信息承载协议执行单元， 即 EP, 用于允许已被授权用户或网络节点的 接入， 而拒绝非授权用户或网络节点的接入； 所述的执行单元从网络接入认证 信息承载协议认证代理得到已被授权用户或网络节点的信息。

[141] 针对本发明实施例的另一个具体实施方案， 本发明实施例还提供了一种实现接 入认证的系统， 所述系统的具体实现结构如图 8所示， 与图 7所示的本发明实施 例的实施方案的系统结构图相比较， 本实施方案对图 7所示的认证方处理单元作 了如下改变：

[142] 图 7所示的认证方处理单元用图 8所示的认证中转处理单元来替换， 即， 所述的 实现设备认证的装置中还可以包括认证中转处理单元， 用于在网络节点或用户 与认证方 NAS之间中转接入认证操作过程中的认证消息， 再由认证方 NAS和认 证服务器之间处理接入认证操作过程中的认证消息。 即， 此吋当网络节点自身 通过认证后， 此认证通过的网络节点不能被看作是认证方， 而只能是认证中转 节点， 在整个认证操作过程中， 认证方只能是 NAS， 是由认证方 NAS为其他网 络节点或用户提供接入认证操作过程中涉及消息的处理， 认证通过的网络节点 只起到中转消息的功能；

[143] 同吋本具体实施方案还需要包括网络接入服务器认证方处理单元， 位于 NAS中 ， 用于在网络接入服务器与网络节点或用户所属的认证服务器之间对接入认证 操作过程中的认证消息进行处理。

[144] 同吋本具体实施方案中的 PaA设置于作为认证方的网络接入服务器中， EP设置 于信任节点中。

[145] 综上所述， 本发明实施例涉及一种实现接入认证的方法、 设备及系统， 网络节 点向其所属的认证服务器发起接入认证操作， 认证服务器对所述网络节点发起 的接入认证操作进行认证处理； 在网络节点通过认证被授权为信任节点后， 信 任节点上连接的用户通过所述的信任节点发起接入认证操作， 认证服务器对所 述用户发起的接入认证操作进行认证处理。 同吋， 信任节点利用收到的由策略 服务器下发的控制信息来对用户进行各种控制操作。 本发明实施例通过网络节 点接入认证， 将接入网中的原非信任网络节点转变为信任节点， 扩展了接入网 边界， 从而带来以下五点有益效果：

[146] 1、 认证服务器能够对网络节点上仿冒的用户进行安全防范；

[147] 2 、 认证服务器可以感知到网络节点上连接的用户的存在， 从而能够有针对性地 对网络节点下不同的用户按照不同业务情况分别进行计费和收费；

[148] 3

、 网络节点转换为接入网信任节点之后， 可以从策略服务器取得 QoS策略， 以根 据统一的 QoS策略进行本地资源管理控制 （如上行带宽控制） ； 对于 VoIP等基于 连接的业务， 网络节点可以根据统一的 QoS策略做本地 AC (接纳控制） ；

[149] 4

、 网络节点转换为接入网信任节点之后， 可以从策略服务器取得接纳控制列表 ， 使得网络节点能够在本地作用户的组播权限控制， 以实现快速频道的切换操 作；

[150] 5

、 网络节点转换为接入网信任节点之后， 能够就近针对 SLA做本地监控， 使得所 有用户的业务流的监控不用在 NAS所在接入节点或 AN处进行， 从而实现了 NAS 所在接入节点或 AN的简化， 解决了现有技术的所有用户的业务流监控都在 NAS 所在接入节点或 AN处进行的瓶颈问题。

[151] 总之， 本发明实施例使得 NSP能够有针对性地对网络节点下不同用户按照不同 业务情况分别进行计费和收费并对仿冒的用户进行安全防范； 网络节点能够进 行针对 QoS策略和接纳控制列表的相应的管理操作并能够就近针对服务等级协定 做本地监控， 以解决现有技术的所有用户的业务流监控都在 NAS所在接入节点 或 AN处进行的瓶颈问题。

[152] 以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并不局限于 此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到 的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围 应该以权利要求的保护范围为准。

Claims

权利要求书

[1] 1、 一种实现接入认证的方法， 其特征在于， 包括：

在多级网络中， 各级网络设置一个网关， 用于连接本级网络的用户和 /或下 一级网络的网关；

各级网关依次向认证服务器发起接入认证操作， 认证服务器逐级对网关进 行认证， 并在认证通过后， 授权所述的网关为信任节点。

[2] 2、 如权利要求 1所述的方法， 其特征在于， 所述的接入认证操作的具体过 程包括：

所述网关向认证服务器发出接入认证请求消息；

认证服务器收到所述网关发出的接入认证请求消息后， 经过认证处理判断 是否同意网关的接入认证请求；

若认证服务器同意所述网关的接入认证请求， 则向所述网关下发接入授权 消息， 并授权所述网关成为信任节点。

[3] 3、 如权利要求 2所述的方法， 其特征在于， 所述的方法还包括：

授权为信任节点的网关成为所述本级网络的用户和 /或下一级网络的网关接 入认证的认证方， 该认证方执行的接入认证操作包括：

未通过认证的所述本级网络的用户和 /或下一级网络的网关通过作为认证方 的所述网关与认证服务器进行接入认证操作；

或者，

授权为信任节点的网关能够作为网关成为所述本级网络的用户和 /或下一级 网络的网关接入认证的认证中转节点， 该认证中转节点的接入认证操作包 括：

未通过认证的所述本级网络的用户和 /或下一级网络的网关发出的接入认证 操作通过网关作为认证中转节点的网关中转之后， 经认证方与认证服务器 进行接入认证操作。

[4] 4、 如权利要求 3所述的方法， 其特征在于， 所述的方法还包括：

在下一级网络的网关接入认证成功后， 认证服务器经所述作为认证方的网 关下发接入授权消息至下一级网络的网关； 或者，

在下一级网络的网关接入认证成功后， 认证服务器经所述作为认证方的网 关下发接入授权消息， 通过所述作为认证中转节点的网关中转至下一级网 络的网关。

[5] 5、 如权利要求 3所述的方法， 其特征在于， 所述网关作为认证方后， 所述 网关收到的所述接入授权消息包括： 认证、 授权和计费代理的地址， 且还 可选地包括： 网络自动配置代理 /服务器的地址， 和 /或， 接入节点的地址或 标识； 或者， 所述网关作为认证中转节点后， 所述网关收到的所述接入授 权消息包括： 网络自动配置代理 /服务器的地址， 还可选地包括： 接入节点 的地址或标识。

[6] 6、 如权利要求 1至 5任一项所述的方法， 其特征在于， 所述的方法还包括： 若所述本级网络的用户和 /或下一级网络的网关需要通过未通过认证的网关 发起接入认证操作， 则所述的未通过认证的网关需要首先发起接入认证操 作， 并通过认证成为信任节点， 之后， 所述本级网络的用户和 /或下一级网 络的网关通过所述的成为信任节点的网关发起接入认证操作。

[7] 7、 如权利要求 1至 5任一项所述的方法， 其特征在于， 所述的方法还包括： 在所述网关接入认证成功后， 策略服务器或认证服务器向所述网关下发接 纳控制列表和 /或策略信息， 所述接纳控制列表用于对用户进行组播权限进 行控制， 所述的策略信息用于对用户开展的通信业务进行服务质量控制管 理。

[8] 8、 如权利要求 7所述的方法， 其特征在于， 所述的用户开展的通信业务进 行服务质量控制管理包括以下至少一项：

对用户开展通信业务占用的信息资源进行上行或下行资源管理； 根据服务等级协定进行本地服务质量监控操作；

对于基于连接的业务， 根据策略信息进行接纳控制操作。

[9] 9、 如权利要求 1至 5任一项所述的方法， 其特征在于， 所述的接入认证操作 是基于扩展身份认证协议实现， 且所述的扩展身份认证协议包括： 802.1X 认证协议和 /或网络接入认证信息承载协议认证协议。

[10] 10、 一种网关， 其特征在于， 所述的网关包括认证请求发送单元和认证响 应接收单元， 以及认证方处理单元或认证中转处理单元， 其中： 认证请求发送单元， 用于向认证服务器发送认证请求消息； 认证响应接收单元， 用于获取认证服务器返回的认证结果， 确定网关是否 通过认证；

认证方处理单元， 用于作为认证方， 在网关与认证服务器之间处理接入认 证操作过程中的认证消息；

认证中转处理单元， 用于在网关与网络接入服务器之间中转接入认证操作 过程中的认证消息。

[11] 11、 如权利要求 10所述的网关， 其特征在于， 所述的网关还包括：

控制参数处理单元， 用于接收控制参数， 并利用所述的控制参数对用户进 行组播权限控制和 /或服务质量控制。

[12] 12、 如权利要求 10所述的网关， 其特征在于， 该网关中还包括：

所述认证请求发送单元和认证响应接收单元支持网络接入认证信息承载协 议认证协议， 所述认证方处理单元支持 802. lx认证协议；

或者，

所述认证请求发送单元和认证响应接收单元支持 802. lx认证协议， 所述认 证方处理单元支持网络接入认证信息承载协议认证协议；

或者，

所述认证请求发送单元、 认证响应接收单元和认证方处理单元都支持网络 接入认证信息承载协议认证协议或 802. lx认证协议。

[13] 13、 一种实现接入认证的系统， 其特征在于， 包括至少一个网关和认证服 务器， 所述的网关向认证服务器发起接入认证操作， 认证服务器对相应的 网关进行接入认证处理， 并将认证结果返回给所述网关； 其中， 认证通过 的的网关作为认证方或认证中转节点与认证服务器通信， 实现针对未通过 认证的所述本级网络的用户和 /或下一级网络的网关的接入认证操作。

[14] 14、 如权利要求 13所述的系统， 其特征在于， 所述的系统还包括：

网络接入服务器认证方处理单元， 用于在所述网关与认证服务器之间对接 入认证操作过程中的认证消息进行处理。

[15] 15、 如权利要求 13或 14所述的系统， 其特征在于， 所述的系统还包括控制 参数下发单元和控制参数处理单元， 其中：

控制参数下发单元， 位于策略服务器或认证服务器中， 用于向信任节点下 发包括接纳控制列表和策略信息的控制参数；

控制参数处理单元， 位于所述网关中， 用于接收控制参数下发单元下发的 控制参数， 并利用所述的控制参数对用户进行组播权限控制及服务质量控 制。

[16] 16、 如权利要求 13或 14所述的系统， 其特征在于， 所述的系统还包括： 所述网关作为网络接入认证信息承载协议客户单元， 用于支持所述网关进 行接接入认证操作；

所述网关作为网络接入认证信息承载协议执行点， 用于执行从网络接入认 证信息承载协议认证代理下发的控制信息。