WO2009117960A1

WO2009117960A1 - 一种接入网络的方法、认证方法、通讯系统以及相关设备

Info

Publication number: WO2009117960A1
Application number: PCT/CN2009/071009
Authority: WO
Inventors: 郑若滨
Original assignee: 华为技术有限公司
Priority date: 2008-03-26
Filing date: 2009-03-25
Publication date: 2009-10-01
Also published as: US8594103B2; EP2249538A4; ES2613433T3; EP2249538A1; EP2249538B1; US20110002342A1; CN101547383B; US20140090029A1; US8925067B2; CN101547383A; US9467447B2; US20150095991A1

Description

一种接入网络的方法、认证方法、通讯系统以及相关设备

本申请要求于 2008 年 3 月 26 日提交中国专利局、申请号为 200810084076.1、发明名称为 "一种接入认证方法及接入认证系统以及相关设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通讯领域，尤其涉及一种接入网络的方法、认证方法、通讯系统以及相关设备。

背景技术

现有的数字用户线（DSL, Digital Subscriber Line ) 网络架构正向基于以太网汇聚和连接 ( Ethernet Aggregation and connectivity ) 的互联网协议月良务质量（ IP QoS , Internet Protocol Quality of Service )使能架构演变 , 在此背景下 , DSL通用参考架构如图 1所示。

其中， T为用户驻地网络（ CPN, Customer Premises Network ) 中，用户设备 ( UE, User Equipment )和驻地网关（RG, Residential Gateway ) 间的参考点； U为 RG和接入节点（AN, Access Node ) (即数字用户线接入复用器 ( DSLAM, Digital Subscriber Line Access Multiplexer ) ) 间的参考点；在接入网中， AN和宽带接入服务器（ BRAS, Broadband Remote Access Server )或宽带网络网关（BNG, Broadband Network Gateway )间为汇聚网络（ Aggregation Network ) , V 为接入网中 AN 和 BRAS/BNG 间的以太网汇聚 ( Ethernet Aggregation )参考点； A10为接入网与服务提供商间的参考点，该参考点既可以连接应用服务提供商到拥有接入网的网络服务提供商，或在漫游情景下，连接网络服务提供商到拜访地接入网。 CPN网络与接入网间采用 DSL接入技术互连。对于无源光网络 ( PON, Passive Optical Network ), AN为光线路终结点（ OLT, Optical Line Termination )或光网络单元（ ONU, Optical Network Unit )， CPN与接入网间采用 PON等接入技术互连。

但是，上述技术方案中的 DSL网络架构只能支持互联网协议第四版 ( IPv4, Internet Protocol Version 4 )，随着 IPv4地址的枯竭 , DSL网络架构向互联网协议第六版（ IPv6 , Internet Protocol Version 6 )演进成为一个必然趋势。

IPv4 的隐式用户认证是通过动态主机分配协议 ( DHCP, Dynamic Host Configuration Protocol ) 消息中携带用户线路信息实现的。 IPv6可以采用无状态地址分配，但在现有技术的方案并未公开如何在无状态地址分配的情况下实现基于用户线路信息的隐式认证。

发明内容

本发明实施例提供了一种接入网络的方法、认证方法、通讯系统以及相关设备，能够在 IPv6下支持基于用户线路信息的隐式认证。

本发明实施例提供的接入网络的方法，包括：在接入节点上接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA; 获取所述用户设备对应的用户线路信息；从接入节点向宽带网络网关 BNG发送包含所述 LLA以及所述用户线路信息的第二请求消息，所述第二请求消息用于指示所述 BNG进行接入认证。

本发明实施例提供的认证方法，包括：接收从接入节点到宽带网络网关 BNG 的请求消息，所述请求消息中携带有用户线路信息以及链路-局部地址 LLA; 根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求；接收 AAA服务器反馈的认证结果，若认证结果为认证成功 ,则对 LLA执行重复地址探测，若认证结果为认证失败，则发送邻居通告消息，以拒绝所述请求消息中携带的 LLA。

本发明实施例提供的通讯系统，所述通讯系统包括接入节点和宽带网络网关 BNG, 其中，接入节点，用于接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA; 获取所述用户设备对应的用户线路信息；向 BNG发送包含所述 LLA以及所述用户线路信息的第二请求消息； BNG, 用于接收来自接入节点第二请求消息根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求，所述接入请求用于指示所述 AAA服务器进行接入认证。

本发明实施例提供的接入节点，包括接收单元，用于接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA; 获取单元，用于获取所述用户设备对应的用户线路信息；发送单元，用于向宽带网络网关 BNG的包含所述 LLA以及所述用户线路信息的第二请求消息，所述第二请求消息用于指示所述 BNG进行接入认证。本发明实施例提供的宽带网络网关，包括：请求接收单元，用于接收来自接入节点的请求消息，所述请求消息中携带有用户线路信息以及 LLA; 接入请求单元，用于根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求；认证结果接收单元，用于接收 AAA服务器发送的认证结果，若认证结果为认证成功，则触发代理重复地址探测单元执行判断操作，若认证结果为认证失败，则通知代理重复地址探测单元发送邻居通告消息，以拒绝用户配置的 LLA；代理重复地址探测单元，用于判断地址緩存中是否存在与所述邻居请求消息中的 LLA匹配的地址。

本发明实施例提供的接入网络的方法，应用于互联网协议第六版 IPv6, 包括：接收从用户设备到接入节点的第一请求消息，所述第一请求消息为第一邻居请求消息或第一路由请求消息；获取所述用户设备对应的用户线路信息；发送从接入节点到宽带网络网关 BNG 的包含所述用户线路信息的第二请求消息，所述第二请求消息为第二邻居请求消息或第二路由请求消息。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，接入节点接收用户设备发送的第一请求消息，第一请求消息中包含 LLA, 之后接入节点可以查询该用户设备对应的用户线路信息，并且将该用户线路信息携带于第二请求消息中发送给 BNG, 即可以使得 BNG 根据该用户线路信息对用户进行隐式认证，因此本发明实施例中在 IPv6的情况下可以支持基于用户线路信息的隐式认证。

附图说明

图 1为现有技术 DSL网络架构示意图；

图 2为本发明实施例中认证方法一个实施例流程图；

图 3为本发明实施例中认证方法另一个实施例流程图；

图 4为本发明实施例中认证方法又一个实施例流程图；

图 5为本发明实施例中认证方法再一个实施例流程图；

图 6为本发明实施例中通讯实施例示意图；

图 7为本发明实施例中接入节点实施例示意图；

图 8为本发明实施例中 BNG实施例示意图。

具体实施方式本发明实施例提供了一种接入网络的方法、认证方法、通讯系统以及相关设备，用于在 IPv6下支持基于用户线路信息的隐式认证。

本实施例中接入网络的方法包括：

在接入节点上接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址（LLA, Link Local Address );

根据所述第一请求消息获取所述用户设备对应的用户线路信息；从接入节点向宽带网络网关 BNG发送包含所述 LLA以及所述用户线路信息的第二请求消息 , 所述第二请求消息用于指示所述 BNG对所述用户设备进行接入认证。

在实际应用中，上述第一、第二请求消息可以为邻居请求消息，也可以为路由请求消息，或者为其它请求消息。在本实施例以及后续实施例中均以邻居请求消息为例进行说明，可以理解的是，在实际应用中，同样还可以是其他类型的请求消息，此处不作限定。

本发明实施例中，接入节点接收用户设备发送的包含 LLA的第一邻居请求消息之后，获取与用户设备对应的用户线路信息，并将该用户线路信息携带于第二邻居请求消息中发送给 BNG, 以指示 BNG进行接入认证操作，所以本发明实施例中在 IPv6的情况下可以支持基于用户线路信息的隐式认证。

本发明实施例中接入网络过程中提供接入认证功能，接入认证可以分为两个过程：

一、 LLA处理过程：

在本实施例中， AN中集成 LLA Relay/Proxy功能，即当 AN接收到用户设备发送的包含 LLA的消息时会获取该用户设备对应的用户线路信息，并将获取到的用户线路信息以及 LLA发送给 BNG进行接入认证。

具体地，根据 LLA与用户线路信息之间的组合方式的不同，可以将本方式细分为以下两种类型：

A、 LLA 与用户线路信息分别设置于同一消息的不同位置或不同域中传输，即 LLA设置于携带 LLA的 LLA域和用户线路信息设置于不同于 LLA域的其它域：

请参阅图 2，本发明实施例中认证过程一个实施例包括： 201、用户设备向 AN发送第一邻居请求消息（ Neighbor Solicitation ); 本实施例中，用户设备首先按照预置的方式自动配置 LLA,具体的配置过程可参考现有技术，此处不再赘述。

LLA配置完成后，用户设备向 AN发送第一邻居请求消息，该消息中包含有临时 LLA ( tentative LLA )，该 tentative LLA由用户设备按照预置的配置规则自动配置。

202、 AN在该第一邻居请求消息中添加线路信息；

AN支持 LLA Relay功能，即本实施例中的 AN不会对临时 LLA进行修改，而只是对其进行转发，但在转发临时 LLA的同时，还会一并转发用户线路信息（ Line Information )，所以 AN获取到该消息后 , 查询当前用户设备对应的用户线路信息，该用户线路信息用于标识用户所使用的线路，可以为主机接入物理端口标识或逻辑端口标识，或者是这两种端口标识的组合，还可以是其它能用于标识用户所使用的线路的标识，此处不做限定。

本实施例中，临时 LLA与用户线路信息分别设置于在同一消息的不同位置或不同域中传输， AN获取到用户线路信息之后，将该用户线路信息添加至第一邻居请求消息的保留位或选项中得到第二邻居请求消息，即该第二邻居请求消息中包含有临时 LLA以及用户线路信息。

可以理解的是，本实施例中， AN同样可以将用户线路信息添加至第一邻居请求消息的其它位置，只要使得第二邻居请求消息能够包含该用户线路信息即可，具体位置此处不做限定。

203、 AN向 BNG发送包含临时 LLA以及用户线路信息的第二邻居请求消息；

AN将用户线路信息置于第一邻居请求消息得到第二邻居请求消息之后，向 BNG/BRAS发送该第二邻居请求消息。

需要说明的是，本实施例以及后续实施例中所描述的 BNG即指 BNG和 / 或 BRAS。

204、 BNG 向认证授权计费（ AAA , Authentication, Authorization, Accounting )服务器发送接入请求；

本实施例中， BNG根据第二邻居请求消息中的用户线路信息向 AAA服务器发送接入请求，该接入请求中包含用户线路信息的相关信息，具体可以是： BNG向 AAA服务器发送包含用户线路信息的接入请求，该接入请求用于指示该 AAA服务器对该用户线路信息进行认证；

或

BNG根据该用户线路信息获取对应的用户名以及密码，并向 AAA服务器发送包含该用户名以及密码的接入请求，该接入请求用于指示该 AAA服务器对该用户名和密码进行认证。

205、 AAA服务器根据接入请求进行认证后向 BNG反馈认证结果；本实施例中，若 AAA服务器接收到的接入请求中包含用户线路信息，则 AAA服务器对该用户线路信息进行认证，并向 BNG反馈认证结果，若 AAA 服务器接收到的接入请求中包含用户名以及密码，则 AAA服务器对该用户名以及密码进行认证，并向 BNG反馈认证结果，具体的认证结果可以为认证成功，或认证失败。

若认证成功，则向 BNG下发用户业务模板 ( Profile )用于后续的数据通讯。

206、 BNG根据 AAA服务器反馈的认证结果进行重复地址探测。

本实施例中， BNG支持代理重复地址探测（ Proxy DAD, Duplicate Address Detection )，建立和维护所代理的用户的 IP地址緩存 ( IP Address Cache )。

若 BNG接收到的认证结果为认证成功，则进行 Proxy DAD, 即 BNG首先将获取到的临时 LLA与预置的地址緩存中保存的地址进行比较，判断地址緩存中是否存在与该临时 LLA匹配的地址，若存在，则确定地址存在冲突，并代替匹配地址拥有者发送邻居通告（Neighbor Advertisements ) 消息，或进行其他异常处理流程，若不存在，则确定地址不存在冲突，则将临时 LLA加入地址緩存；

若 BNG接收到的认证结果为认证失败，则可以按照存在地址冲突处理，即向用户发送拒绝第二请求消息携带的 LLA的邻居通告消息，以拒绝用户自动配置的临时 LLA。

需要说明的是，本实施例中，步骤 206还可以在用户认证的过程（即步骤 204与步骤 205 )之前执行，即步骤 203之后， BNG首先将获取到的临时 LLA 与预置的地址緩存中保存的地址进行比较，判断地址緩存中是否存在与该临时 LLA 匹配的地址，若存在，则确定地址存在冲突，则代替匹配地址拥有者发送邻居通告消息，或进行其他异常处理流程，若不存在，则确定地址不存在冲突，则将临时 LLA加入地址緩存，并触发执行用户认证过程，即步骤 204以及 205。

上述实施例中给出了 LLA与用户线路信息分别在同一消息的不同位置或不同域中进行传输的情况，下面描述另外一种情况：

B、用户线路信息被添加于 LLA中进行传输：

请参阅图 3，本发明实施例中认证过程另一个实施例包括：

301、用户设备向 AN发送第一邻居请求（ Neighbor Solicitation ) 消息；本实施例中，用户设备首先按照预置的方式自动配置 LLA,具体的配置过程可参考现有技术，此处不再赞述。

LLA配置完成后，用户设备向 AN发送第一邻居请求消息，该消息中包含有临时 LLA, 该临时 LLA由用户设备按照预置的配置规则自动配置。

302、 AN对临时 LLA进行修改；

AN支持 LLA Proxy功能，即本实施例中 AN会对接收到的临时 LLA进行修改 , 将用户线路信息加入该临时 LLA中。

AN获取到该消息后，查询当前用户设备对应的用户线路信息，该用户线路信息用于标识用户所使用的线路，可以为主机接入物理端口标识或逻辑端口标识，或者是这两种端口标识的组合，还可以是其它能用于标识用户所使用的线路的标识，此处不做限定。

本实施例中，用户线路信息被添加于第二邻居请求消息的临时 LLA中进行传输，具体的， AN获取到用户线路信息之后，该用户线路信息被添加至临时 LLA的接口标识（Interface ID )域的全部或部分比特，或者，用户线路信息位于临时 LLA中间的 54比特域的全部或部分比特；

其中 , IPv6的临时 LLA的结构如下表所示：

表 1

10比特 54比特 64 比特

1111 1110 10 0 Interface ID 可以理解的是，本实施例中 , AN同样可以将用户线路信息添加至临时 LLA 的其它位置，只要使得该临时 LLA能够包含该用户线路信息即可，具体位置此处不做限定。

303、 AN向 BNG发送第二邻居请求消息；

本实施例中，该第二邻居请求消息中携带有临时 LLA, 该临时 LLA中包含用户线路信息。

304、 BNG向 AAA服务器发送接入请求；

或

305、 AAA服务器根据接入请求进行认证后向 BNG反馈认证结果；本实施例中，若 AAA服务器接收到的接入请求中包含用户线路信息，则

AAA服务器对该用户线路信息进行认证，并向 BNG反馈认证结果，若 AAA 服务器接收到的接入请求中包含用户名以及密码，则 AAA服务器对该用户名以及密码进行认证，并向 BNG反馈认证结果，具体的认证结果可以为认证成功，或认证失败。

306、 BNG根据 AAA服务器反馈的认证结果进行重复地址探测；本实施例中， BNG支持代理重复地址探测（ Proxy DAD, Duplicate Address

Detection )，建立和维护所代理的用户的 IP地址緩存。

若 BNG接收到的认证结果为认证成功，则进行 Proxy DAD , 即 BNG首先将获取到的包含用户线路信息的临时 LLA与预置的地址緩存中保存的地址进行比较，判断地址緩存中是否存在与该包含用户线路信息的临时 LLA匹配的地址，若存在，则确定地址存在冲突，并代替匹配地址拥有者发送邻居通告消息，或进行其他异常处理流程，若不存在，则确定地址不存在冲突，则将包含用户线路信息的临时 LLA加入地址緩存；

若 BNG接收到的认证结果为认证失败，则可以按照存在地址冲突处理，即向用户发送拒绝第二邻居请求消息携带的 LLA的邻居通告消息，以拒绝用户自动配置的临时 LLA。

需要说明的是，本实施例中，步骤 306还可以在用户认证过程（即步骤 304与步骤 305 )之前执行，即步骤 303之后， BNG首先将获取到的 LLA与预置的地址緩存中保存的地址进行比较，判断地址緩存中是否存在与该 LLA 匹配的地址，若存在，则确定地址存在冲突，则代替匹配地址拥有者发送 Neighbor Advertisements消息，或进行其它异常处理流程，若不存在，则确定地址不存在冲突，则将包含用户线路信息的临时 LLA加入地址緩存，并触发执行用户认证过程 , 即步骤 304以及 305。

307、用户设备向 AN发送携带 LLA的 IPv6包，该 IPv6包不包含用户线路信息；

本实施例中，用户设备向 AN发送的 IPv6包的 LLA不包含用户线路信息。

308、 AN修改 LLA使新 LLA包含用户线路信息；

转换的方式包括： AN在 IPv6包中的 LLA中添加入用户线路信息 , 具体的添加方式与前述步骤 302的添加方式类似，此处不再赞述。

309 ~ 310、 AN与 BNG交互包含新 LLA的 IPv6包。

311、 AN将 BNG发送的 IPv6包中包含用户线路信息的 LLA转换为不包含用户线路信息的 LLA。

312、 AN向用户设备发送携带不包含用户线路信息的 LLA的 IPv6包。本实施例中， AN对 LLA中所包含的信息进行修改，当与 BNG交互时 , 则在 LLA中添加用户线路信息 , 当与用户设备交互时 , 则将包含用户线路信息的 LLA还原为不包含用户线路信息的 LLA。

需要说明的是，上述实施例中，步骤 307至步骤 312为可选步骤。

上述描述了 LLA的处理过程，在实际的应用中 ,在对 LLA进行处理之后，还可以对全球 IPv6地址进行处理 , 包括接入认证以及地址分配流程：二、全球 IPv6地址处理过程：

在本实施例中， AN 集成前缀发现（PD , Prefix Discovery ) 中转 /代理 ( Relay/Proxy )功能，所以当 AN接收到用户设备发送的包含在线链路前缀 ( on-link prefix ) 的消息时会获取该用户设备对应的用户线路信息，并将获取到的用户线路信息发送给 BNG进行接入认证以及全球 IPv6地址分配。

需要说明的是，本实施例中 AN集成 Prefix Discovery Relay, 即表示 AN 若发现用户设备发送的路由请求消息中携带有用户的在线链路前缀，则 AN会获取该用户设备对应的线路信息，并将在线链路前缀以及获取到的用户线路信息发送给 BNG进行接入认证以及全球 IPv6地址分配，但是 AN不会对在线链路前缀进行修改；

本实施例中 AN集成 Prefix Discovery Relay, 即表示 AN若发现用户设备发送的路由请求消息中携带有用户的在线链路前缀，则 AN会获取该用户设备对应的线路信息，并将在线链路前缀以及获取到的用户线路信息发送给 BNG 进行接入认证以及全球 IPv6地址分配，同时 AN会对在线链路前缀进行修改，例如将用户线路信息添加在在线链路前缀中。

具体地，根据 AN是否参与在线链路前缀转换，可以再将本方式细分为以下两种类型：

A、 AN不参与在线链路前缀转换 , 但支持 Prefix Discovery Relay功能：请参阅图 4，本发明实施例中认证过程又一个实施例包括：

401、用户设备向 AN发送第一路由请求（ Router Solicitation ) 消息；本实施例中，用户设备发送第一路由请求消息目的在于请求 BNG回应路由通告 ( Router Advertisement ) 消息以学习在线链路前缀 ( on-link prefix )。

本实施例中，在该第一路由请求消息中携带有用户的在线链路前缀 ( on-link prefix λ

402、 AN添加用户线路信息以得到携带用户线路信息的第二路由请求消由于 AN支持 Prefix Discovery Relay功能，所以当 AN接收到第一路由请求消息之后，查询当前用户设备对应的用户线路信息，该用户线路信息用于标识用户所使用的线路，可以为主机接入物理端口标识或逻辑端口标识，或者是这两种端口标识的组合，或者还可以是其它能用于标识用户所使用的线路的标识，此处不做限定。

本实施例中， AN获取到用户线路信息之后，将该用户线路信息以及在线链路前缀添加至第一路由请求消息的保留位或选项中得到第二路由请求消息，即该第二路由请求消息中包含有用户线路信息以及在线链路前缀。

可以理解的是，本实施例中， AN同样可以将用户线路信息添加至第一路由请求消息的其它位置，具体位置此处不做限定。

403、 AN向 BNG发送携带用户线路信息的第二路由请求消息；

404、 BNG向 AAA服务器发送接入请求；

本实施例中， BNG根据第二路由请求消息中的用户线路信息向 AAA服务器发送接入请求，该接入请求中包含用户线路信息的相关信息，具体可以是： BNG向 AAA服务器发送包含用户线路信息的接入请求，该接入请求用于指示该 AAA服务器对该用户线路信息进行认证；

或

405、 AAA服务器根据接入请求进行认证后向 BNG反馈认证结果；本实施例中，若 AAA服务器接收到的接入请求中包含用户线路信息，则 AAA服务器对该用户线路信息进行认证，并向 BNG反馈认证结果，若 AAA 服务器接收到的接入请求中包含用户名以及密码 , 则 AAA服务器对该用户名以及密码进行认证 , 并向 BNG反馈认证结果 , 具体的认证结果可以为认证成功，或认证失败。

若认证失败，则 BNG拒绝向用户反馈在线链路前缀，不生成用户全球 IPv6 地址。

若认证成功，则向 BNG下发用户业务模板 ( Profile )用于后续的数据通讯，并触发后续步骤。

406、 BNG生成带用户线路信息的全球 IPv6地址；

本实施例中，具体的 BNG生成全球 IPv6地址可以有三种方式： ( 1 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身带有用户线路信息，即如图 3所示实施例所描述），将包含有用户线路信息的接口标识附加在用户所在的在线链路前缀之后，生成用户的 Global IPv6地址；

( 2 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身不带有线路信息，即如图 2所示实施例所描述），并从第二路由请求消息中获得用户线路信息，将用户线路信息和接口标识组合后，将其附加在用户所在的在线链路前缀之后 , 生成用户的 Global IPv6地址；

( 3 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身不带有线路信息，即如图 2所示实施例所描述），并从第二路由请求消息中获得用户线路信息，将用户线路信息作为在线链路前缀的一部分，将接口标识附加在用户所在带线路信息的在线链路前缀之后，生成用户的 Global IPv6地址。

需要说明的是，上述仅以三个例子说明本实施例中的全球 IPv6地址生成过程，实际应用中，同样可以使用上述信息进行任意组合用以生成全球 IPv6 地址，此处不做限定。

407、 BNG经由 AN向用户设备发送包含带用户线路信息的在线链路前缀的路由通告消息；

具体地，据步骤 406中生成地址方式的不同，本步骤中用户线路信息所处的位置也有所不同，对于步骤 406中的地址生成方案（1 ) 以及（2 ): 用户线路信息被添加于路由通告消息的保留位或选项中；

对于步骤 406中的地址生成方案（ 3 ): 用户线路信息被添加于在线链路前缀中。

本实施例中， AN不参与在线链路前缀转换，所以直接将 BNG发送的路由通告消息转发至用户设备。

408、用户设备自动配置带线路信息的全球 IPv6地址。

用户设备接收到 BNG发送的路由通告消息之后，同样根据用户线路信息，接口标识以及在线链路前缀生成全球 IPv6地址，具体的生成过程与步骤 406 中 BNG生成全球 IPv6地址的过程类似，且与 BNG生成全球 IPv6地址的方式对应。

上述描述了 AN不参与在线链路前缀转换的情况，下面对 AN参与在线链路前缀转换的情况进行描述：

B、 AN参与在线链路前缀转换 , 支持 Prefix Discovery Proxy功能：请参阅图 5，本发明实施例中认证过程再一个实施例包括：

501、用户设备向 AN发送第一路由请求（ Router Solicitation ) 消息；本实施例中，用户设备发送第一路由请求消息目的在于请求 BNG回应路由通告 ( Router Advertisement ) 消息以学习在线链路前缀（ on-link prefix )。

本实施例中，在该第一路由请求消息中携带有用户的在线链路前缀 ( on-link prefix )。

502、 AN添加用户线路信息；

由于 AN支持 Prefix Discovery Proxy功能，所以当 AN接收到第一路由请求消息之后，查询当前用户设备对应的用户线路信息，该用户线路信息可以为主机接入物理端口标识或逻辑端口标识，或者是这两种端口标识的组合，或者还可以是其他能用于标识用户所使用的线路信息的标识，此处不做限定。

503、 AN向 BNG发送包含用户线路信息的第二路由请求消息；

504、 BNG向 AAA服务器发送接入请求；

或

505、 AAA服务器根据接入请求进行认证后向 BNG反馈认证结果；本实施例中，若 AAA服务器接收到的接入请求中包含用户线路信息，则 AAA服务器对该用户线路信息进行认证，并向 BNG反馈认证结果，若 AAA 服务器接收到的接入请求中包含用户名以及密码 , 则 AAA服务器对该用户名以及密码进行认证 , 并向 BNG反馈认证结果 , 具体的认证结果可以为认证成功，或认证失败。

506、 BNG生成带线路信息的全球 IPv6地址；

本实施例中 , 具体的 BNG生成全球 IPv6地址可以有三种方式：

( 1 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身带有用户线路信息，即如图 3所示实施例所描述），将包含有用户线路信息的接口标识附加在用户所在在线链路前缀之后，生成用户的 Global IPv6地址；

( 2 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身不带有用户线路信息，即如图 2所示实施例所描述），并从第二路由请求消息中获得用户线路信息，将用户线路信息和接口标识组合后，将其附加在用户所在在线链路前缀之后 , 生成用户的 Global IPv6地址；

( 3 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身不带有用户线路信息，即如图 2所示实施例所描述），并从第二路由请求消息中获得用户线路信息，将用户线路信息作为在线链路前缀的一部分，将接口标识附加在用户所在带线路信息的在线链路前缀之后，生成用户的 Global IPv6地址。

需要说明的是，上述仅以三个例子说明本实施例中的全球 IPv6地址生成过程，实际应用中，同样可以使用上述信息进行任意组合用以生成全球 IPv6 地址，此处不做限定。 507、 BNG向 AN发送携带在线链路前缀的路由通告消息；

508、 AN将路由通告消息中的在线链路前缀转换为携带用户线路信息的在线链路前缀；

本实施例中， AN参与在线链路前缀转换，所以将获取到的用户线路信息置于接收到的在线链路前缀中得到携带用户线路信息的在线链路前缀。

509、 AN向用户设备发送该携带用户线路信息的在线链路前缀；

AN将用户线路信息置于在线链路前缀中得到携带用户线路信息的在线链路前缀之后，将该携带用户线路信息的在线链路前缀置于路由通告消息中，并将该路由通告消息发送至用户设备。

510、用户设备自动配置带线路信息的全球 IPv6地址。

用户设备接收到 AN发送的路由通告消息之后 , 同样根据用户线路信息 , 接口标识以及在线链路前缀生成全球 IPv6地址，具体的生成过程与步骤 506 中 BNG生成全球 IPv6地址的过程类似，且与 BNG生成全球 IPv6地址的方式对应。

本实施例中，接入节点接收用户设备发送的第一邻居请求消息或第一路由请求消息之后，可以查询该用户设备对应的用户线路信息，并且将该用户线路信息携带于第二邻居请求消息或第二路由请求消息中发送给 BNG, 即可以使得 BNG根据该用户线路信息对用户进行隐式认证，因此本发明实施例中在 IPv6的情况下可以支持基于用户线路信息的隐式认证；

其次，在处理全球 IPv6地址的过程中， BNG和用户设备可以才据用户线路信息生成全球 IPv6地址，所以本实施例方案能够实现 IPv6结构下的地址分配以及接入认证。

下面介绍本发明实施例中的通讯系统实施例，请参阅图 6，本发明实施例中的通讯系统实施例包括：

用户设备 601，用于向接入节点 602发送第一请求消息，第一请求消息包括：包含链路-局部地址 LLA的第一邻居请求消息；

接入节点 602，用于接收用户设备 601发送的邻居请求消息，所述邻居请求消息中包含 LLA,获取所述用户设备 601对应的用户线路信息；向 BNG603 发送包含所述 LLA以及所述用户线路信息的第二邻居请求消息；具体地，接入节点 602向 BNG603发送包含所述 LLA以及所述用户线路处理方式：

其中 , LLARelay处理方式中，接入节点 602将 LLA以及用户线路信息分别携带于第二邻居请求消息中不同位置或不同域，并将该第二邻居请求消息发送至 BNG603;

LLA Proxy处理方式中 ,接入节点 602将不包含用户线路信息的 LLA转换为包含用户线路信息的 LLA, 并将该包含用户线路信息的 LLA携带于第二邻居请求消息中，将该第二邻居请求消息发送至 BNG603。

BNG603 , 用于接收接入节点 602发送的第二邻居请求消息，根据所述用户线路信息向认证授权计费 AAA服务器 604发送接入请求。

本实施例中， BNG603接收到 AAA服务器 604反馈的认证结果之后 , 若认证结果为认证成功，则对 LLA执行重复地址探测，若认证结果为认证失败，则发送拒绝第二邻居请求消息携带的 LLA的邻居通告消息，以拒绝所述用户配置的 LLA;

AAA服务器 604, 用于根据 BNG603发送的接入请求进行接入认证。上述描述的是 LLA的处理流程，在全球 IPv6地址处理流程中，该接入认证系统还可以包括：

第二接入节点，用于接收用户设备 601发送的路由请求消息，进行 PD Relay 处理，向 BNG603发送包含所述用户线路信息的第二路由请求消息；

第二 BNG, 用于接收所述第二路由请求消息，根据所述第二路由请求消中的用户线路信息向 AAA服务器 604发送接入请求。

上述第二接入节点的功能同样可以在所述接入节点 602中实现，上述第二 BNG的功能同样可以在所述 BNG603中实现。

需要说明的是，当用户线路信息被置于 LLA中时，所述接入节点 602还用于将用户设备 601发送的不包含用户线路信息的 LLA转换为包含用户线路信息的 LLA, 将 BNG603发送的包含用户线路信息的 LLA转换为不包含用户线路信息的 LLA。

需要说明的是，当进行全球 IPv6地址处理时，所述 BNG603还用于根据用户线路信息，所述用户设备所在的在线链路前缀，和 /或接口标识生成全球 IPv6 地址，具体的生成过程在前述方法实施例流程中已经进行了详细描述，此处不再赞述。

请参阅图 7, 本发明实施例中的接入节点实施例包括：

接收单元 701，用于接收用户设备发送的第一请求消息，该第一请求消息可以为邻居请求消息或路由请求消息，所述第一请求消息中可以包含链路-局部地址 LLA, 如在邻居请求消息中包含 LLA;

获取单元 702，用于获取所述用户设备对应的用户线路信息；

发送单元 703，用于向 BNG发送包含所述用户线路信息的第二请求消息，所述第二请求消息用于指示所述 BNG进行接入认证。其中，如果第一、第二请求消息可以为邻居请求消息；第一、第二请求消息也可以为第二路由请求消息。用户线路信息和 LLA (或在线链路前缀）可以设置于同一消息的不同域，也可以设置于同一域 , 如 LLA域。

本实施例中的接入节点还可以包括：

LLA代理单元 704, 用于所述第一请求消息中携带的 LLA转换为携带用户线路信息的 LLA,并将该携带用户线路信息的 LLA设置于第二请求消息中；该 LLA代理单元 704还可以将 BNG发送的携带用户线路信息的 LLA转换为不包含用户线路信息的 LLA;

和 /或，

LLA中继单元 705，用于将所述第一请求消息中携带的 LLA以及获取单元获取到的用户线路信息分别携带于第二请求消息的不同位置或不同域，即 LLA域和不同于 LLA域的其它域。

本实施例中，接收单元 701 还用于接收用户设备发送的第一路由请求消息，所述第一路由请求消息中携带在线链路前缀，所述在线链路前缀为所述用户设备所在的在线链路的前缀标识；

所述发送单元 703还用于向 BNG发送包含所述在线链路前缀以及所述用户线路信息的第二路由请求消息。

本实施例中的接入节点还可以包括：

PD代理单元 706，用于在 BNG发送的在线链路前缀中添加用户线路信息，向用户设备发送所述包含用户线路信息的在线链路前缀；

和 /或

PD中继单元 707，用于将 BNG发送的包含用户线路信息的在线链路前缀转发至用户设备。

请参阅图 8 , 本发明实施例中的 BNG实施例包括：

请求接收单元 801 , 用于接收接入节点发送的包含用户线路信息的第二请求消息，所述第二请求消息可以为第二邻居请求消息和 /或第二路由请求消息；进一步的，所述第二请求消息中还可以携带 LLA

接入请求单元 803 , 用于根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求；

认证结果接收单元 805，用于接收 AAA服务器发送的认证结果，若认证结果为认证成功，则触发代理重复地址探测单元 802执行判断操作，若认证结果为认证失败，则通知代理重复地址探测单元 802发送邻居通告消息，以拒绝用户配置的 LLA;

代理重复地址探测 ( Proxy DAD , Duplicate Address Detection )单元 802 , 用于判断地址緩存中是否存在与所述邻居请求消息中的 LLA匹配的地址；在实际应用中，代理重复地址探测单元 802可以根据认证结果接收单元 805的触发进行相应的处理，具体可以为：

当认证结果接收单元 805从 AAA服务器接收到的认证结果为认证成功时，则触发代理重复地址探测单元 802进行重复地址探测，即代理重复地址探测单元 802首先将获取到的 LLA与预置的地址緩存中保存的地址进行比较，判断地址緩存中是否存在与该 LLA匹配的地址，若存在，则确定地址存在冲突，并代替匹配地址拥有者发送邻居通告消息，或进行其他异常处理流程，若不存在，则确定地址不存在冲突，则将邻居请求消息中携带的 LLA加入地址緩存；当认证结果接收单元 805从 AAA服务器接收到的认证结果为认证失败时，则通知代理重复地址探测单元 802向用户设备发送邻居通告消息，即代理重复地址探测单元 802可以按照存在地址冲突处理，即向用户发送邻居通告消息，以拒绝用户自动配置的 LLA。

需要说明的是，上述描述的过程为认证结果接收单元 805根据 AAA服务器反馈的认证结果控制代理重复地址探测单元 802进行相应处理的情况，可以理解的是，在实际应用中，具体的重复地址探测操作可以在发起认证之前进行，即代理重复地址探测单元 802 用于判断地址緩存中是否存在与所述邻居请求消息中的 LLA匹配的地址，若存在匹配的地址，则确定地址存在冲突，并代替匹配地址拥有者发送邻居通告消息，或进行其他异常处理流程，若不存在匹配的地址，则确定地址不存在冲突，则控制接入请求单元 803 据所述用户线路信息向 AAA服务器发起接入请求，在此种情况下，认证结果接收单元 805 仅用于接入请求单元 803向 AAA服务器发起接入请求之后接收 AAA服务器反馈的认证结果。

请求接收单元 801 还用于接收包含在线链路前缀以及用户线路信息的路由请求消息，本实施例中的 BNG还可以包括：

地址生成单元 804，用于根据所述在线链路前缀，用户线路信息以及预置的接口标识执行地址分配流程。

本实施例中 , 地址生成单元 804具体生成全球 IPv6地址的方式可以包括： ( 1 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身带有用户线路信息，即如图 3所示实施例所描述），将包含有用户线路信息的接口标识附加在用户所在在线链路前缀之后，生成用户的 Global IPv6地址；

( 2 )、 BNG从之前进行 LLA处理过程中的 LLA中提取接口标识（本方式中的 LLA本身不带有线路信息，即如图 2所示实施例所描述），并从第二路由请求消息中获得用户线路信息，将用户线路信息和接口标识组合后，将其附加在用户所在在线链路前缀之后 , 生成用户的 Global IPv6地址；

上述实施例中 , 由于接入节点接收用户设备发送的第一邻居请求消息或第一路由请求消息之后，获取与用户设备对应的用户线路信息，并将该用户线路信息携带于第二邻居请求消息中发送给 BNG，以指示 BNG进行接入认证操作 , 所以本发明实施例中在 IPv6 的情况下可以支持基于用户线路信息的隐式认证。

其次，在处理全球 IPv6地址的过程中 , BNG和用户设备可以根据用户线路信息生成全球 IPv6地址，所以本实施例方案能够实现 IPv6结构下的地址分配以及接入认证。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括如下步骤：

在接入节点上接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA;

获取所述用户设备对应的用户线路信息；

从接入节点向宽带网络网关 BNG发送包含所述 LLA以及所述用户线路信息的第二请求消息，所述第二请求消息用于指示所述 BNG进行接入认证。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明所提供的一种接入网络的方法、认证方法、通讯系统以及相关设备进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

OP080797 WO 2009/117960 PCT/CN2009/071009 -21 - 权利要求

1、一种接入网络的方法，其特征在于，包括：

获取所述用户设备对应的用户线路信息；

2、根据权利要求 1所述的方法，其特征在于，

所述 LLA和所述用户线路信息分别设置于携带 LLA的 LLA域和不同于 LLA i或的其它或；

或，

所述用户线路信息和所述 LLA都设置于所述第二请求消息中携带 LLA的 LLA域。

3、根据权利要求 1或 2所述的方法，其特征在于，所述发送从接入节点到宽带网络网关 BNG的包含所述 LLA以及所述用户线路信息的第二请求消息的步骤之后包括：

在接入节点上接收用户设备发送的第一路由请求消息 ,所述第一路由请求消息中携带在线链路前缀，所述在线链路前缀为所述用户设备所在的在线链路的前缀标识；

获取所述用户设备对应的用户线路信息；

向 BNG发送包含所述在线链路前缀以及所述用户线路信息的第二路由请求消息。

4、根据权利要求 3所述的方法，其特征在于，发送第二路由请求消息之后，所述方法还包括：

接收来自所述 BNG的路由通告消息，所述路由通告消息中包含在线链路前缀；

将路由通告消息中的在线链路前缀转换为携带用户线路信息的在线链路前缀，并

向用户设备发送该携带用户线路信息的在线链路前缀。 OP080797

WO 2009/117960 PCT/CN2009/071009

-22-

5、一种认证方法，其特征在于，包括：

接收从接入节点到宽带网络网关 BNG的请求消息，所述请求消息中携带有用户线路信息以及链路-局部地址 LLA;

根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求；接收 AAA服务器反馈的认证结果，若认证结果为认证成功，则对 LLA执行重复地址探测，若认证结果为认证失败，则发送邻居通告消息，以拒绝所述请求消息中携带的 LLA。

6、根据权利要求 5所述的方法，其特征在于，所述方法还包括：接收从接入节点到 BNG的路由请求消息，所述路由请求消息中携带有用户设备的在线链路前缀；

根据所述在线链路前缀，用户线路信息以及预置的接口标识执行地址分配流程。

7、根据权利要求 6所述的方法，其特征在于，根据所述在线链路前缀，用户线路信息以及预置的接口标识执行地址分配流程包括：

根据所述在线链路前缀，用户线路信息以及预置的接口标识生成全球互联网协议第 6版本 IPv6地址；

经由接入节点向用户设备发送包含用户线路信息和 /或在线链路前缀的路由通告消息。

8、一种通讯系统，其特征在于，所述通讯系统包括接入节点和宽带网络网关 BNG, 其中，

接入节点，用于接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA; 获取所述用户设备对应的用户线路信息；向 BNG 发送包含所述 LLA以及所述用户线路信息的第二请求消息；

BNG,用于接收来自接入节点第二请求消息根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求，所述接入请求用于指示所述 AAA服务器进行接入认证。

9、根据权利要求 8所述的通讯系统，其特征在于，所述 BNG还用于接收 AAA服务器反馈的认证结果，若认证结果为认证成功，则对 LLA执行重复地址探测，若认证结果为认证失败，则发送拒绝第二请求消息携带的 LLA的邻 OP080797

WO 2009/117960 PCT/CN2009/071009

-23 - 居通告消息。

10、根据权利要求 8或 9所述的通讯系统，其特征在于，

所述接入节点，还用于接收用户设备发送的第一路由请求消息，所述第一路由请求消息中携带在线链路前缀，获取所述用户设备对应的用户线路信息 , 向 BNG发送包含所述在线链路前缀以及所述用户线路信息的第二路由请求消息，其中，所述在线链路前缀为所述用户设备所在的在线链路的前缀标识；所述 BNG, 还用于接收来自接入节点的路由请求消息，所述路由请求消息中携带有在线链路前缀，根据所述在线链路前缀，用户线路信息以及预置的接口标识执行地址分配流程。

11、一种接入节点，其特征在于，包括

接收单元，用于接收用户设备发送的第一请求消息，所述第一请求消息中包含链路-局部地址 LLA;

获取单元，用于获取所述用户设备对应的用户线路信息；

发送单元，用于向宽带网络网关 BNG的包含所述 LLA以及所述用户线路信息的第二请求消息，所述第二请求消息用于指示所述 BNG进行接入认证。

12、根据权利要求 11所述的接入节点，其特征在于，所述接入节点还包括：

LLA代理单元，用于将所述第一请求消息中携带的 LLA转换为携带用户线路信息的 LLA, 并将该携带用户线路信息的 LLA携带于第二请求消息中；和 /或

LLA中继单元，用于将所述第一请求消息中携带的 LLA以及获取单元获取到的用户线路信息分别携带于第二请求消息的不同位置或不同域。

13、根据权利要求 11或 12所述的接入节点，其特征在于，所述接收单元还用于接收用户设备发送的第一路由请求消息，所述第一路由请求消息中携带在线链路前缀，所述在线链路前缀为所述用户设备所在的在线链路的前缀标识；

所述发送单元还用于向 BNG发送包含所述在线链路前缀以及所述用户线路信息的第二路由请求消息。

14、根据权利要求 13所述的接入节点，其特征在于，所述接入节点还包 OP080797

WO 2009/117960 PCT/CN2009/071009

-24- 括：

前缀发现 PD代理单元，用于在 BNG发送的在线链路前缀中添加用户线路信息，向用户设备发送所述包含用户线路信息的在线链路前缀；

和 /或

PD中继单元，用于将 BNG发送的包含用户线路信息的在线链路前缀转发至用户设备。

15、一种宽带网络网关，其特征在于，包括：

请求接收单元，用于接收来自接入节点的请求消息，所述请求消息中携带有用户线路信息以及 LLA;

接入请求单元，用于根据所述用户线路信息向认证授权计费 AAA服务器发送接入请求；

认证结果接收单元，用于接收 AAA服务器发送的认证结果，若认证结果为认证成功，则触发代理重复地址探测单元执行判断操作，若认证结果为认证失败，则通知代理重复地址探测单元发送邻居通告消息，以拒绝用户配置的 LLA；

代理重复地址探测单元，用于判断地址緩存中是否存在与所述邻居请求消息中的 LLA匹配的地址。

16、根据权利要求 15所述的宽带网络网关，其特征在于，所述请求接收单元还用于接收包含在线链路前缀以及用户线路信息的路由请求消息；

所述宽带网络网关还包括：

地址生成单元，用于根据所述在线链路前缀，用户线路信息以及预置的接口标识执行地址分配流程。

17、一种接入网络的方法，应用于互联网协议第六版 IPv6, 其特征在于，包括：

接收从用户设备到接入节点的第一请求消息 ,所述第一请求消息为第一邻居请求消息或第一路由请求消息；

获取所述用户设备对应的用户线路信息；

发送从接入节点到宽带网络网关 BNG的包含所述用户线路信息的第二请求消息，所述第二请求消息为第二邻居请求消息或第二路由请求消息。 OP080797

WO 2009/117960 PCT/CN2009/071009

-25-

18、根据权利要求 17所述的方法，其特征在于，所述用户线路信息包括：主机接入物理端口标识，和 /或逻辑端口标识。

19、根据权利要求 17或 18所述的方法，其特征在于，若所述第一请求消息为第一邻居请求消息，第二请求消息为第二邻居请求消息，则

所述第一邻居请求消息中携带有链路-局部地址 LLA;

所述方法还包括：

将所述 LLA携带于所述第二邻居请求消息中发送至 BNG。

20、根据权利要求 17或 18所述的方法，其特征在于，若所述第一请求消息为第一路由请求消息，第二请求消息为第二路由请求消息，则

所述第一路由请求消息中携带有在线链路前缀，所述在线链路前缀为所述用户设备所在的在线链路的前缀标识；

所述方法还包括：

将所述在线链路前缀携带于所述第二路由请求消息中发送至 BNG。