WO2011150867A2 - 一种终端认证方法及装置 - Google Patents

一种终端认证方法及装置 Download PDF

Info

Publication number
WO2011150867A2
WO2011150867A2 PCT/CN2011/075299 CN2011075299W WO2011150867A2 WO 2011150867 A2 WO2011150867 A2 WO 2011150867A2 CN 2011075299 W CN2011075299 W CN 2011075299W WO 2011150867 A2 WO2011150867 A2 WO 2011150867A2
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
wireless terminal
eap
address
web
Prior art date
Application number
PCT/CN2011/075299
Other languages
English (en)
French (fr)
Other versions
WO2011150867A3 (zh
Inventor
聂玉鑫
Original Assignee
华为终端有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为终端有限公司 filed Critical 华为终端有限公司
Priority to CN2011800007378A priority Critical patent/CN102282800A/zh
Priority to PCT/CN2011/075299 priority patent/WO2011150867A2/zh
Publication of WO2011150867A2 publication Critical patent/WO2011150867A2/zh
Publication of WO2011150867A3 publication Critical patent/WO2011150867A3/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

一种终端认证方法及装置 技术领域
本发明涉及一种网络通信技术领域, 特别涉及一种 EAP认证中的 WEB认证方法、 装置和系统。 发明背景
目前, 移动网络通信的综合运营商同时提供蜂窝移动网络和无线相 容性认证 ( Wireless Fidelity, Wi-Fi ) 网络。 Wi-Fi网络作为一种应用广泛 的无线局域网 ( Wireless Local Area Networks, WLAN ), 越来越多的用户 选择通过 Wi-Fi网络接入运营商提供的城域网或广域网和获取相关网络 资源, 相关网络资源包括服务和应用, 例如接入因特网 (Internet )的服 务。 无论 WLAN、 城域网还是广域网, 绝大部分网络资源的传输都基于 传输控制 /网际十办议 ( Transmission Control Protocol/Internet Protocol, TCP/IP )。考虑到数据安全等方面的原因, 需要对接入 Wi-Fi网络的用户 进行身份认证, 只允许通过身份认证的用户接入上述运营商提供的城域 网或广 i或网。
Wi-Fi 网络中普遍采用的认证方式包括: 网页 ( WEB )认证和可扩 展认证协议( Extensible Authentication Protocol, EAP )认证。 其中 EAP 认证的体系结构非常灵活, 具有多种认证方式, 例如: 蜂窝移动网络中 基于全球移动通信系统身份认证模块的可扩展认证协议 ( Extensible 认证和基于第三代移动通信认证和密钥的可扩展认证协议 ( Authentication Protocol for 3G Authentication and Key Agreement, EAP-AKA )认证。 进行认证的认证体系通常包括三部分: 认证请求者、 认证系统和认证服务器。 认证请求者和认证服务器是分别连接认证系统 两端的实体, 认证请求者和认证服务器之间通过认证系统交换报文, 认 证服务器根据报文识别认证请求者的身份。 认证系统每个物理端口内部 包含有受控端口和非受控端口, 以 EAP认证为例, 非受控端口始终处于 双向连通状态, 可随时保证接收认证请求者发出的包含局域网可扩展认 证协议 ( Extensible Authentication Protocol over LAN, EAPoL )协议†贞的 EAPoL报文; 受控端口只有在 EAP认证成功的状态下才打开, 向认证 请求者传递网络资源、 服务和应用。
EAP-AKA/SIM认证方式的优点在于, 蜂窝移动网络的系统中已经 有了能够标识用户唯一身份的 SIM卡, 利用 SIM卡中的用户身份信息 能够方便实现地认证、 授权和计费 (Authentication, Authorization, 接 入控制器 counting, AAA )。 WEB认证则是基于 TCP/IP的一种服务, 采 用浏览器输入用户名和密码的方式进行认证, 两者相比, EAP-AKA/SIM 认证无需输入用户名和密码, 因而更为便捷, 用户体验更好, 因此更容 易被运营商接受。
以 WI-FI网络中的 EAP-AKA/SIM认证为例, 认证请求者是能够接 入 Wi-Fi网络的具有 SIM卡的无线终端 ( Wireless Terminal, WT ), 认证 系统是由具有无线路由功能的无线局域网接入设备(WLAN-ASN ), 认 证服务器是 EAP认证服务器。 为了说明现有技术中, 在 Wi-Fi 网络的 EAP-AKA/SIM认证方法, 下面结合图 1说明该方法的具体步骤:
步骤 101、 无线终端与接入设备建立连接;
本步骤中, 在 Wi-Fi网络认证中, 接入设备具体是指 WLAN-ASN, 主要包括接入点 (Access Point, AP )和接入控制器(Access Control, AC ), 接入点和接入控制器共同提供 Wi-Fi网络的接入服务, 无线终端 可以在任何一个接入点覆盖的范围内接入到 Wi-Fi网络中。 一般来说, 接入点只用于和无线终端建立物理连接, 没有为无线终端提供控制数据 和报文传输的无线路由功能, 无线终端通过接入点与接入控制器交换报 文, 由提供无线路由功能的接入控制器对接入接入点的无线终端进行管 理。 如果接入点支持无线路由功能, 则无需接入控制器, 由接入点作为 接入控制器直接与无线终端建立物理连接并对无线终端提供无线路由 功能。
通过物理层协议为 Wi-Fi网络协议的网卡,在无线终端和接入点之 间建立连接后, 无线终端通过接入点连接到接入控制器, 从而建立无线 终端与 WLAN-ASN的连接。 为了节约 IP地址( Internet Protocol, IP ), 在无线终端的 EAP认证成功之前, 接入控制器不会给无线终端分配 IP 地址, 具体的控制方法有两种: 一种是阻止无线终端发起 IP地址请求, 另一种是在接入控制器接收无线终端发送的 IP地址请求后,阻止接入控 制器对 IP地址请求的进一步响应。
步骤 102、 无线终端通过 Wi-Fi网络进行 EAP-AKA/SIM认证; 本步骤中, 用户通过启动无线终端中的客户端软件发起 EAP-AKA/SIM认证请求, 通过 WLAN-ASN和 EAP认证服务器之间交 换 EAPoL报文,进行 EAP-AKA/SIM认证,具体的 EAP-AKA/SIM认证 步骤为现有技术, 此不赘述;
步骤 103、 根据接收 EAP-AKA/SIM认证结果判断是否为无线终端 分配 IP 地址: 如果 EAP-AKA/SIM 认证成功, 执行步骤 104, 如果 EAP-AKA/SIM认证失败, 执行步骤 105;
步骤 104、 接入控制器为无线终端分配 IP地址, 并开始计费; 本步骤中, 当 EAP-AKA/SIM认证结果是 EAP-AKA/SIM认证成功 时, EAP认证服务器对无线终端授权和开始计费, 其中, 无线终端的授 权过程包括由接入控制器为无线终端分配 IP地址。对于 Wi-Fi网络中的 无线终端来说, 只有获取并正确配置 IP地址后, 才能向接入控制器发起 携带 IP地址的 WEB认证请求,接入控制器根据接收的 WEB认证请求, 基于 IP地址为无线终端提供 WEB认证。
本步骤中,在完成 DHCP,无线终端获取 IP地址之后, WLAN-ASN 还可以向 EAP认证服务器发起该无线终端计费开始请求; EAP认证服 务器根据接收的该无线终端计费开始请求开始计费后, 向 WLAN-ASN 发送无线终端计费开始应答。
可见, 只有在 EAP-AKA/SIM认证成功后, 无线终端才能获取 IP地 址并基于 IP地址开始 WEB认证。
步骤 105、 本流程结束。
可见, 在 EAP-AKA/SIM认证失败的情况下, 接入控制器无法为无 线终端分配 IP地址。 众所周知, 只有具有 IP地址的无线终端才能进行 基于 TCP/IP的服务和应用, 例如 WEB认证。 因此当无线终端不能通过 EAP-AKA/SIM认证获取 IP地址时, 无线终端的 WEB认证无法进行。 如果用户想要进行 WEB认证,在发起 WEB认证请求之前。必须先控制 无线终端重新发起 IP地址请求, 并且控制接入控制器对新的 IP地址请 求进一步响应为无线终端分配 IP地址。
现有技术无线局域网中的 EAP-AKA/SIM认证中的 WEB认证方法 存在以下两方面的问题: 第一, 对无线终端来说, 一方面在 EAP-AKA/SIM 认证之前阻止发起 IP 地址请求, 另一方面还要在 EAP-AKA/SIM认证成功之后再发起 IP地址请求。 针对无线终端的不同 操作系统( OS ), 如 Windows, Linux和 M接入控制器 OS需要分别编 写驱动程序以控制 IP地址请求的发起过程, 实现过程复杂; 第二, 对接 入控制器来说, 如果 EAP-AKA/SIM认证失败, 则不能完成 IP地址分配 过程, 无法为无线终端分配 IP地址。 由于不具有 IP地址的无线终端不 能进行 WEB认证。 因此迫切需要一种 EAP认证中的 WEB认证方法, 即使 EAP-AKA/SIM认证失败, 也可以进行 WEB认证, 提高无线终端 可靠性。 发明内容
本发明实施例提出一种 EAP认证中的 WEB认证方法、装置和系统, 该方法、装置和系统不依赖于 EAP认证的结果,保证无线终端进行基于 TCP/IP的服务, 从而提高无线终端的可靠性。
本发明实施例具体是这样实现的:
一种可扩展认证协议 EAP认证中的 WEB认证方法, 在接入设备通 过物理层协议与无线终端建立连接之后, 该方法还包括:
在所述无线终端发起 EAP认证之前或 EAP认证过程中, 所述接入 设备根据所述无线终端发起的 IP地址请求, 为所述无线终端分配 IP地 址;
所述接入设备基于所述 IP地址为所述无线终端提供 WEB认证。 所述 EAP认证的认证方式是 EAP-AKA认证或者 EAP-SIM认证。 一种 EAP认证中的 WEB认证方法, 该方法进一步包括:
在所述无线终端发起 EAP认证过程中,所述接入设备根据所述无线 终端发起的 EAP认证请求, 在所述无线终端和 EAP认证服务器之间转 发局域网可扩展认证协议 EAPoL报文, 进行 EAP认证;
所述接入设备接收所述无线终端发起的所述 IP地址请求, 所述 IP 地址的请求是所述无线终端根据不包含密钥的所述 EAPoL报文, 确定
EAP认证失败后发起的。
一种接入设备, 该装置包括: 控制模块、 IP地址分配模块和 WEB 认证模块;
所述控制模块, 位于中央处理器 CPU, 用于在无线终端发起 EAP 认证之前或 EAP认证过程中, 根据所述无线终端发起的 IP地址请求, 向所述 IP地址分配模块发送 IP地址分配指令; 根据所述无线终端发起 的基于 IP地址的 WEB认证请求, 向所述 WEB认证模块发送携带所述 IP地址的 WEB认证指令;
所述 IP地址分配模块, 位于网关, 用于根据所述 IP地址分配指令 为所述无线终端分配 IP地址;
所述 WEB认证模块, 位于路由器, 用于根据所述 WEB认证指令, 为所述无线终端提供基于所述 IP地址的 WEB认证。
一种 EAP认证中的 WEB认证系统, 该系统包括: 无线终端、 接入 设备、 EAP认证服务器和 WEB认证服务器;
所述无线终端, 用于在向所述接入设备发起 EAP认证之前或 EAP 认证过程中, 向所述接入设备发起 IP地址请求;接受所述接入设备分配 的 IP地址; 向所述接入设备发起基于所述 IP地址的 WEB认证请求; 所述接入设备, 用于根据所述无线终端发起的 IP地址请求, 为所述 无线终端分配 IP地址; 根据所述无线终端发起的所述 WEB认证请求, 为所述无线终端提供基于所述 IP地址的 WEB认证;
所述 WEB服务器, 用于通过所述接入设备的转发与所述无线终端 之间交换 WEB报文;根据所述 WEB报文对所述无线终端进行基于所述 IP地址的 WEB认证。
一种 EAP认证中的 WEB认证系统, 该系统还包括: EAP认证服务 哭口 . ,
所述无线终端,还用于向所述接入设备发起 EAP认证请求, 通过所 述接入设备的转发与所述 EAP认证服务器之间交换 EAPoL报文; 根据 接收的不包含密钥的 EAPoL报文确定 EAP认证失败后, 向所述接入设 备发起基于所述 IP地址的 WEB认证请求; 所述无线终端和 EAP认证服务器之间转发所述 EAPoL报文;
所述 EAP认证服务器,用于根据所述接入设备的转发与所述无线终 端之间交换 EAPoL报文; 根据所述 EAPoL报文对所述无线终端进行 EAP认证。
一种 EAP认证中的 WEB认证系统,所述 EAP认证服务器,用于根 据所述接入设备转发的与所述无线终端之间交换的 EAPoL报文, 对所 述无线终端进行 EAP-AKA认证或者 EAP-SIM认证。
由上述的技术方案可见, 本发明提出一种 EAP认证中的 WEB认证 方法、 装置和系统, 该方法、 装置和系统将 IP地址分配和 EAP认证作 为两个独立的过程,一方面降低了无线终端对中止和发起 IP地址分配的 控制难度;另一方面在 EAP认证失败时也不影响接入设备对无线终端的 IP地址分配, 为无线终端获取基于 TCP/IP的服务,尤其是 WEB认证创 造了前提条件, 提高无线终端的可靠性。 附图简要说明
为了更清楚地说明本发明实施例中的技术方案, 下面将对实施例中 所需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅 是本发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造 性劳动性的前提下, 还可以根据这些附图获得其他的附图。
图 1为现有技术 Wi-Fi网络的 EAP认证时序图;
图 2为本发明实施例的 Wi-Fi网络的 EAP认证中的 WEB认证时序 图。 图 3为本发明实施例的 Wi-Fi网络的 EAP认证中的 WEB认证系统 图。 实施本发明的方式
为使本发明的目的、 技术方案、 及优点更加清楚明白, 以下参照附 图并举实施例, 对本发明进一步详细说明。
本发明实施例提出一种 EAP认证中的 WEB认证方法, 在接入设备 通过物理层协议与无线终端建立连接之后, 该方法还包括:
在所述无线终端发起 EAP认证之前或 EAP认证过程中, 所述接入 设备根据所述无线终端发起的 IP地址请求, 为所述无线终端分配 IP地 址;
所述接入设备基于所述 IP地址为所述无线终端提供 WEB认证。 由此可见, 由于无线终端已经在 EAP认证之前或 EAP认证过程中 获取了 IP地址, 因此, 即使在无线终端无法通过 EAP认证的情况下, 无线终端仍然可以根据分配的 IP地址向接入设备发出携带所述 IP地址 的 WEB认证请求,接入设备根据基于所述 IP地址的无线终端提供 WEB 认证。 其中, EAP认证的认证方式是 EAP-AKA认证或者 EAP-SIM认 证。
在 WEB认证过程中, 无线终端和 WEB认证服务器之间的 WEB报 文交换通过所述接入设备转发; 其中, 认证请求者是无线终端, 认证服 务器是 WEB认证服务器, 认证系统是接入设备。
一种 EAP认证中的 WEB认证方法, 该方法进一步包括:
在所述无线终端发起 EAP认证过程中,所述接入设备根据所述无线 终端发起的 EAP认证请求, 在所述无线终端和 EAP认证服务器之间转 发局域网可扩展认证协议 EAPoL报文, 进行 EAP认证; 所述接入设备接收所述无线终端发起的所述 IP地址请求, 所述 IP 地址请求是所述无线终端根据不包含密钥的所述 EAPoL报文,确定 EAP 认证失败后发起的。
一种接入设备, 该装置包括: 控制模块、 IP地址分配模块和 WEB 认证模块;
所述控制模块, 位于中央处理器 CPU, 用于在无线终端发起 EAP 认证之前或 EAP认证过程中, 根据所述无线终端发起的 IP地址请求, 向所述 IP地址分配模块发送 IP地址分配指令; 根据所述无线终端发起 的基于 IP地址的 WEB认证请求, 向所述 WEB认证模块发送携带所述 IP地址的 WEB认证指令;
所述 IP地址分配模块, 位于网关, 用于根据所述 IP地址分配指令 为所述无线终端分配 IP地址;
所述 WEB认证模块, 位于路由器, 用于根据所述 WEB认证指令, 为所述无线终端提供基于所述 IP地址的 WEB认证。
一种 EAP认证中的 WEB认证系统, 该系统包括: 无线终端、 接入 设备、 EAP认证服务器和 WEB认证服务器;
所述无线终端, 用于在向所述接入设备发起 EAP认证之前或 EAP 认证过程中, 向所述接入设备发起 IP地址请求;接受所述接入设备分配 的 IP地址; 向所述接入设备发起基于所述 IP地址的 WEB认证请求; 所述接入设备, 用于根据所述无线终端发起的 IP地址请求, 为所述 无线终端分配 IP地址; 根据所述无线终端发起的所述 WEB认证请求, 为所述无线终端提供基于所述 IP地址的 WEB认证;
所述 WEB服务器, 用于通过所述接入设备的转发与所述无线终端 之间交换 WEB报文;根据所述 WEB报文对所述无线终端进行基于所述 IP地址的 WEB认证。 一种 EAP认证中的 WEB认证系统, 该系统还包括: EAP认证服务 哭口 . ,
所述无线终端,还用于向所述接入设备发起 EAP认证请求, 通过所 述接入设备的转发与所述 EAP认证服务器之间交换 EAPoL报文; 根据 接收的不包含密钥的 EAPoL报文确定 EAP认证失败后, 向所述接入设 备发起基于所述 IP地址的 WEB认证请求; 所述无线终端和 EAP认证服务器之间转发所述 EAPoL报文;
所述 EAP认证服务器,用于根据所述接入设备的转发与所述无线终 端之间交换 EAPoL报文; 根据所述 EAPoL报文对所述无线终端进行 EAP认证。
一种 EAP认证中的 WEB认证系统,所述 EAP认证服务器,用于根 据所述接入设备转发的与所述无线终端之间交换的 EAPoL报文, 对所 述无线终端进行 EAP-AKA认证或者 EAP-SIM认证。
本发明实施例的一种 EAP认证中的 WEB认证方法、 装置和系统, 该方法、 装置和系统在发起 EAP认证之前或 EAP认证过程中, 不中止 对无线终端的 IP地址分配,将 IP地址分配和 EAP认证作为两个独立的 过程,一方面降低了无线终端对中止和发起 IP地址分配的控制难度; 另 一方面在 EAP认证失败时也不影响接入设备对无线终端的 IP地址分配, 为无线终端进行 WEB认证创造了前提条件, 提高无线终端的可靠性。
具体实施例一
本发明实施例提供一种 EAP认证中的 WEB认证方法、装置和系统, 该方法在 EAP认证之前没有中止无线终端的 IP地址分配, 一方面减小 了无线终端发起 IP地址请求的控制难度, 另一方面使无线终端的 IP地 址分配不受 EAP认证结果的影响, 即使 EAP认证失败, 无线终端也可 以通过无线局域网向接入设备发起包括 WEB认证在内的基于 TCP/IP的 服务和应用。 从而, 无线终端在 EAP认证失败的情况下, 无需重新发起 IP地址请求, 也可以在无线局域网中进行 WEB认证, 尤其是能够相互 独立地进行 EAP认证和 WEB认证, 从而提高了无线终端的可靠性, 为 无线终端认证、 授权和计费后接入互联网, 获取运营商提供的资源提供 了前提条件。
下面结合图 3的本发明实施例的 Wi-Fi网络认证系统图, 对如图 2 所示的本发明实施例的 Wi-Fi网络的 EAP认证中的 WEB认证时序图, 具体说明如下:
步骤 201、 无线终端 (无线终端) 300与接入设备建立连接; 本步骤中, 在本发明实施例的 Wi-Fi网络认证中, 接入设备具体是 指无线局域网接入设备 ( WLAN-ASN ), 主要包括接入点( Access Point, AP )和接入控制器(Access Control, AC ), 接入点(图 3中未画出)和 接入控制器 301共同提供 Wi-Fi网络的接入服务, 无线终端 300可以在 任何一个 AP覆盖的范围内接入到 Wi-Fi网络中。 一般来说, 接入点只 用于和无线终端 300建立物理连接, 没有控制对无线终端 300数据和报 文传输的无线路由功能, 无线终端 300通过接入点与接入控制器 301交 换报文, 由提供无线路由功能的接入控制器 301对接入接入点的无线终 端 300进行管理。如果接入点支持无线路由功能,则无需接入控制器 301 , 由接入点作为接入控制器 301直接与无线终端 300建立物理连接并对无 线终端 300提供无线路由功能。
步骤 202、 无线终端 300通过 WLAN-ASN获取 IP地址;
本步骤中, 通过物理层协议为 Wi-Fi网络协议的网卡, 在无线终端 300和接入点之间建立连接后, 无线终端 300通过接入点连接到接入控 制器 301 , 无线终端 300向接入控制器 301发送 IP地址请求, 由接入控 制器 301根据 IP地址请求为无线终端 300分配 IP地址。 现有技术中主 要采用动态 IP地址分配( Dynamic Host Configuration Protocol, DHCP ) 的方法为无线终端 300分配 IP地址,其过程包括: DHCP发现( discover ), DHCP邀请( offer ), DHCP请求( request )和 DHCP命令正确应答 (接 入控制器 K )四个步骤。 本实施例中, 接入控制器 301的控制单元 3011 位于中央处理器 CPU, IP地址分配模块位于接入控制器 301的网关中, 控制单元 3011根据 IP地址请求, 向 IP地址分配模块 3010中进一步包 括的动态 IP地址分配( DHCP )子模块 3012发送 IP地址分配指令; DHCP 子模块 3012按照 DHCP协议为无线终端 300分配 IP地址。 接入控制器 301的 DHCP子模块 3012为无线终端 300分配 IP地址的过程为现有技 术, 不再赘述。
本步骤的 DHCP过程执行完毕后, 无线终端 300获取 IP地址, 但 是由于无线终端 300未通过身份认证, 接入控制器 301仍然无法向无线 终端 300传递网络资源。
步骤 203、 无线终端 300发起 EAP-AKA/SIM认证请求后, 进行
EAP-AKA/SIM认证;
本步骤中, 无线终端 300向 301发送 EAP-AKA/SIM认证请求后, 301的控制单元 3011根据接收的 EAP-AKA/SIM认证请求, 控制 EAP 认证模块 3013在无线终端 300和 EAP认证服务器 302之间交换 EAPoL 具体的 EAP-AKA/SIM认证步骤为现有技术, 此不赘述。
步骤 204、 无线终端 300根据 EAP-AKA/SIM认证结果判断执行步 骤 205或步骤 206: 如果 EAP-AKA/SIM认证成功, 执行步骤 205, 如果 EAP-AKA/SIM认证失败, 执行步骤 206 ;
本步骤中, 在 EAP-AKA/SIM认证完成后, EAP认证服务器 302根 据 EAP-AKA/SIM认证结果, 通过 WLAN-ASN向无线终端 300发送不 同的 EAPoL报文, WLAN-ASN 的接入控制器 301 也会接到不同的 EAPoL报文。
步骤 205、 EAP-AKA/SIM认证成功,接入控制器 301允许无线终端 300接入互联网或特定服务器进行网络资源传递, EAP认证服务器 302 开始计费;
本步骤中, 当 EAP-AKA/SIM认证结果是 EAP-AKA/SIM认证成功 时, EAP认证服务器 302对无线终端 300授权, 并在接入控制器 301允 许无线终端 300接入互联网或特定服务器进行网络资源传递后开始计 费, 其中, 无线终端 300 的授权过程为: EAP认证服务器 302 根据 EAP-AKA/SIM认证结果, 通过 WLAN-ASN向无线终端 300发送包含 密钥的 EAPoL报文, 无线终端 300和接入控制器 301都会接收到包含 密钥的 EAPoL报文。 接入控制器 301根据包含密钥的 EAPoL报文允许 互联网 (Internet )或特定服务器与具有相同密钥的无线终端 300进行网 络资源传递。
本步骤中, 接入控制器 301允许互联网或特定服务器与具有相同密 钥的无线终端 300进行网络资源传递的同时, WLAN-ASN向 EAP认证 服务器 302发起该无线终端 300计费开始请求; EAP认证服务器 302根 据接收的该无线终端 300计费开始请求开始计费后, 向 WLAN-ASN发 送该无线终端 300计费开始应答。
步骤 206、 EAP-AKA/SIM认证失败, EAP-AKA/SIM认证结束; 本步骤中, EAP-AKA/SIM认证失败后, EAP认证服务器 302通过 WLAN-ASN向无线终端 300发送不包含密钥的 EAPoL报文, 无线终端 300和接入控制器 301接收到不包含密钥的 EAPoL报文时,接入控制器 301仍然不允许无线终端 300接入互联网或特定服务器进行网络资源传 递。
步骤 207、 当 EAP-AKA/SIM认证失败时, 无线终端 300发起 WEB 认证请求, 进行 WEB认证。
本步骤中, 由于步骤 202中, 接入控制器 301 已经为无线终端 300 分配了 IP地址,所以无线终端 300能够进行基于 TCP/IP的应用和服务, 例如, 具有 IP地址的无线终端 300能够通过开启网页向接入控制器 301 发送基于 IP地址的 WEB认证请求。 接入控制器 301的控制单元 3011 根据接收的不包含密钥的 EAPoL 报文确定无线终端 300 的 EAP-AKA/SIM 认证失败后, 根据从无线终端接收的基于 IP 地址的 WEB认证请求, 向 WEB认证模块 3014发送携带所述 IP地址的 WEB 认证指令; WEB认证模块 3014根据所述 WEB认证指令, 为无线终端 300提供基于 IP地址的 WEB认证, 具体的, WEB认证模块 3014位于 接入控制器 301的路由器中, WEB认证模块 3014基于 IP地址转发在无 线终端 300和 WEB认证服务器 303之间交换的 WEB报文, 由 WEB认 证服务器 303根据与无线终端 300之间交换的 WEB报文对无线终端 300 进行 WEB认证。 由此可见, 本发明在 EAP-AKA/SIM认证失败的情况 下, 由于无线终端 300在步骤 202中已经获取 IP地址, 所以无线终端 300具备发起 WEB认证的必要条件, 能够进行 WEB认证, 为无线终端 300提供了除了 EAP认证之外的另一种可供选择的认证方式。
至此, 本发明实施例的步骤执行完毕。
由上述步骤可知, 本发明实施例提供了一种 EAP认证中的 WEB认 证方法、 装置和系统, 该方法、 装置和系统将分配 IP地址的 DHCP过 程和 EAP认证过程相互独立, 无论 EAP认证是否成功, 无线终端都可 以获取 IP地址, 因此即使在 EAP认证失败的情况下, 还可以进行基于 TCP/IP的应用和服务,例如进行 WEB认证。本发明实施例提供的方法、 装置和系统,一方面由于避免了现有技术的 EAP认证中需要中止和重新 发起 IP地址分配的步骤,从而克服了必须根据无线终端的不同操作系统 分别编写驱动程序, 难以实现且过程复杂的缺点, 另一方面为无线终端 获取基于 TCP/IP的服务, 尤其是 WEB认证创造了前提条件, 提高了无 线终端的可靠性。
以上所述仅为本发明的较佳实施例而已, 并不用以限制本发明, 凡 在本发明的精神和原则之内, 所做的任何修改、 等同替换、 改进等, 均 应包含在本发明保护的范围之内。

Claims

权利要求书
1、 一种可扩展认证协议 EAP认证中的 WEB认证方法包括, 在接 入设备通过物理层协议与无线终端建立连接后, 其特征在于, 该方法还 包括:
在所述无线终端发起 EAP认证之前或 EAP认证过程中, 所述接入 设备根据所述无线终端发起的 IP地址请求, 为所述无线终端分配 IP地 址;
所述接入设备基于所述 IP地址为所述无线终端提供 WEB认证。
2、 根据权利要求 1或 2所述的方法, 其特征在于, 所述 EAP认证 的认证方式是 EAP-AKA认证或者 EAP-SIM认证。
3、 根据权利要求 1所述的方法, 其特征在于, 该方法进一步包括: 在所述无线终端发起 EAP认证过程中,所述接入设备根据所述无线 终端发起的 EAP认证请求, 在所述无线终端和 EAP认证服务器之间转 发局域网可扩展认证协议 EAPoL报文, 进行 EAP认证;
所述接入设备接收所述无线终端发起的所述 IP地址请求, 所述 IP 地址请求是所述无线终端根据不包含密钥的所述 EAPoL报文,确定 EAP 认证失败后发起的。
4、 一种接入设备, 其特征在于, 该装置包括: 控制模块、 IP地址 分配模块和 WEB认证模块;
所述控制模块, 位于中央处理器 CPU, 用于在无线终端发起 EAP 认证之前或 EAP认证过程中, 根据所述无线终端发起的 IP地址请求, 向所述 IP地址分配模块发送 IP地址分配指令; 根据所述无线终端发起 的基于 IP地址的 WEB认证请求, 向所述 WEB认证模块发送携带所述 IP地址的 WEB认证指令;
所述 IP地址分配模块, 位于网关, 用于根据所述 IP地址分配指令 为所述无线终端分配 IP地址;
所述 WEB认证模块, 位于路由器, 用于根据所述 WEB认证指令, 为所述无线终端提供基于所述 IP地址的 WEB认证。
5、 一种 EAP认证中的 WEB认证系统, 其特征在于, 该系统包括: 无线终端、 接入设备、 EAP认证服务器和 WEB认证服务器;
所述无线终端, 用于在向所述接入设备发起 EAP认证之前或 EAP 认证过程中, 向所述接入设备发起 IP地址请求;接受所述接入设备分配 的 IP地址; 向所述接入设备发起基于所述 IP地址的 WEB认证请求; 所述接入设备, 用于根据所述无线终端发起的 IP地址请求, 为所述 无线终端分配 IP地址; 根据所述无线终端发起的所述 WEB认证请求, 为所述无线终端提供基于所述 IP地址的 WEB认证;
所述 WEB服务器, 用于通过所述接入设备的转发与所述无线终端 之间交换 WEB报文;根据所述 WEB报文对所述无线终端进行基于所述 IP地址的 WEB认证。
6、 根据权利要求 5所述的系统, 其特征在于, 该系统还包括: EAP 认证服务器;
所述无线终端,还用于向所述接入设备发起 EAP认证请求, 通过所 述接入设备的转发与所述 EAP认证服务器之间交换 EAPoL报文; 根据 接收的不包含密钥的 EAPoL报文确定 EAP认证失败后, 向所述接入设 备发起基于所述 IP地址的 WEB认证请求; 所述无线终端和 EAP认证服务器之间转发所述 EAPoL报文;
所述 EAP认证服务器,用于根据所述接入设备的转发与所述无线终 端之间交换 EAPoL报文; 根据所述 EAPoL报文对所述无线终端进行 EAP认证。
7、 根据权利要求 5或 6所述的系统, 其特征在于, 所述 EAP认证 服务器, 用于根据所述接入设备转发的与所述无线终端之间交换的 EAPoL报文, 对所述无线终端进行 EAP-AKA认证或者 EAP-SIM认证。
PCT/CN2011/075299 2011-06-03 2011-06-03 一种终端认证方法及装置 WO2011150867A2 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2011800007378A CN102282800A (zh) 2011-06-03 2011-06-03 一种终端认证方法及装置
PCT/CN2011/075299 WO2011150867A2 (zh) 2011-06-03 2011-06-03 一种终端认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/075299 WO2011150867A2 (zh) 2011-06-03 2011-06-03 一种终端认证方法及装置

Publications (2)

Publication Number Publication Date
WO2011150867A2 true WO2011150867A2 (zh) 2011-12-08
WO2011150867A3 WO2011150867A3 (zh) 2012-05-03

Family

ID=45067119

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2011/075299 WO2011150867A2 (zh) 2011-06-03 2011-06-03 一种终端认证方法及装置

Country Status (2)

Country Link
CN (1) CN102282800A (zh)
WO (1) WO2011150867A2 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
CN103067407B (zh) * 2013-01-17 2018-06-01 中兴通讯股份有限公司 用户终端接入网络的认证方法及装置
CN110769482B (zh) * 2019-09-16 2022-03-01 浙江大华技术股份有限公司 无线设备进行网络连接的方法、装置和无线路由器设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070214270A1 (en) * 2006-03-08 2007-09-13 Luc Absillis Triggering DHCP actions from IEEE 802.1x state changes
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN101902507A (zh) * 2010-08-02 2010-12-01 华为技术有限公司 一种地址分配方法、装置和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070214270A1 (en) * 2006-03-08 2007-09-13 Luc Absillis Triggering DHCP actions from IEEE 802.1x state changes
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN101902507A (zh) * 2010-08-02 2010-12-01 华为技术有限公司 一种地址分配方法、装置和系统

Also Published As

Publication number Publication date
WO2011150867A3 (zh) 2012-05-03
CN102282800A (zh) 2011-12-14

Similar Documents

Publication Publication Date Title
RU2556468C2 (ru) Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента
US9112909B2 (en) User and device authentication in broadband networks
US9807603B2 (en) Method and system for WiBro network interworking in wireless terminal
WO2015101125A1 (zh) 网络接入控制方法和设备
US20100223655A1 (en) Method, System, and Apparatus for DHCP Authentication
US20040162105A1 (en) Enhanced general packet radio service (GPRS) mobility management
CN110800331A (zh) 网络验证方法、相关设备及系统
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
WO2011144174A1 (zh) 配置接入设备的方法、装置及系统
WO2015196396A1 (zh) 建立网络连接的方法、网关及终端
KR101640209B1 (ko) 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
WO2016192608A2 (zh) 身份认证方法、身份认证系统和相关设备
WO2012034413A1 (zh) 一种双栈用户管理方法及宽带接入服务器
WO2014101449A1 (zh) 一种无线局域网中接入节点的控制方法及通信系统
WO2009049557A1 (fr) Procédé, système et dispositif de communication à base de conversion d'authentification
WO2009012675A1 (fr) Passerelle de réseau d'accès, terminal, procédé et système pour établir une connexion de données
KR20190073114A (ko) 단말, 상기 단말의 동작 방법 및 다중경로 통신 시스템
WO2014005267A1 (zh) 接入移动网络的方法、装置及系统
WO2012003742A1 (zh) 防止用户私自修改ip地址的方法、装置及系统
WO2018045798A1 (zh) 网络认证方法、相关装置
WO2014048373A1 (zh) 无线信息传输方法和设备
WO2014101755A1 (zh) 业务数据分流方法及系统
WO2014067334A1 (zh) 数据报文的管理方法、装置及系统
WO2019096287A1 (zh) 鉴权的方法和装置
WO2011150867A2 (zh) 一种终端认证方法及装置

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201180000737.8

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11789246

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11789246

Country of ref document: EP

Kind code of ref document: A2