WO2012075863A1

WO2012075863A1 - 无线局域网集中式802.1x认证方法及装置和系统

Info

Publication number: WO2012075863A1
Application number: PCT/CN2011/081329
Authority: WO
Inventors: 刘国平
Original assignee: 华为技术有限公司
Priority date: 2010-12-09
Filing date: 2011-10-26
Publication date: 2012-06-14
Also published as: EP2651156B1; CN102137401A; ES2564484T3; EP2651156A1; US20130272290A1; US9071968B2; EP2651156A4; CN102137401B

Abstract

本发明公开了无线局域网集中式802.1X认证方法及装置和系统，其中，一种无线局域网集中式802.1X认证方法，无线局域网包括认证实体、接入点以及至少一个用户设备UE，该认证实体通过接入点与该至少一个UE相连，该方法包括：接入点接收来自UE的可扩展认证协议EAP认证开始报文，该EAP认证开始报文的目的地址为该接入点的空口对应的介质访问控制MAC地址、源地址为所述UE的MAC地址；将所述EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的MAC地址；转发所述修改了目的地址的EAP认证开始报文。本发明实施例提供方案能够实现UE的无线局域网集中式802.1X认证。

Description

无线局域网集中式 802.1X认证方法及装置和系统本申请要求于 2010年 12月 9日提交中国专利局、申请号为 201010581115.6、发明名称为"无线局域网集中式 802.1 X认证方法及装置和系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，具体涉及无线局域网集中式 802. IX认证方法及装置和系统。

背景技术

IEEE ( Institute of Electrical and Electronics Engineers , 美国电气和电子工程师协会） 802.11中定义的无线局域网（ WLAN , Wireless Local Area Network )基本结构可如图 1所示，其中，站点（STA, Station )指具有无线局域网接口的终端设备，接入点（AP, Access Point )相当于移动网络的基站，主要负责实现 STA 之间或 STA与有线网络的相关设备进行通信，多个 STA可接入到同一个 AP上。关联到同一 AP下的 STA构成一个基本服务集（BSS , Basic service set )。分发系统 ( DS, Distribution System, )用于使不同 BSS之间、以及 BSS与有线局域网之间能够组成一个大的局域网。门户（portal )设备为提供 DS与有线局域网之间数据转发的逻辑点。

WLAN系统中，一般釆用服务设置标识（SSID, Service Set Identifier ) 区分不同的无线局域网。当不同的 BSS (可用 BSSID来标识）通过 DS组成一个大的局域网时，则它们拥有同样的 SSID。

目前 WLAN普遍釆用无线相容性认证 ( WI-FI, wireless fidelity )联盟推荐的 WI-FI保护接入（ WPA, WI-FI Protected Access )安全机制。 WPA企业版（此处指各种 WPA企业版的统称）基于 802. IX认证协议来实现。 802. IX认证的网络结构上可以分为三个部分，包括：申请认证方（即用户端口接入实体（简称用户设备（UE, User Equipment ), 而在 WLAN中， UE可以称之为 STA )、认证系统 ( Authenticator system ) (即认证实体 ( AE, Authentication Entity )和认证月良务器 ( AS , Authenticator server system )。在默认情况下， AE开始只允许 UE的认证报文通过，只有在该 UE认证通过后， AE才允许其业务报文通过。在 WLAN网络中， AS为远程用户拨号认证系统 ( Radius , Remote Authentication Dial In User Service )月良务器, AE——般对应为 AP, 而 UE为 STA。

在认证过程中，认证报文在 STA和 AP之间传送。 WLAN在认证开始前 STA 和 AP已经有关联过程，故而 STA和 AP在认证前都已学习到了对端的空口介质访问控制（MAC, Media Access Control )地址（如 BSSID ), 因此 IEEE 802. IX协议规定，在 WLAN网络中， UE所有可扩展认证协议（EAP, Extensive Authentication Protocol )认证报文（包括首个报文）都必须使用单播地址。

IEEE802. IX协议规定在 WLAN中，所有的 EAP认证报文均使用单播地址需满足的一个前提条件为： AE—定是 AP设备（UE在与 AP的关联过程中能学习到 AP的空口对应的 MAC地址（如 BSSID ) )。家庭或者小企业等场景下的 WLAN可满足该条件，因为在这些场景中 AP数量有限，将每个 AP配置成 AE的工作量不是很大，这种认证部署方式可称分布式认证部署。

随着技术发展，适用于大企业或运营商的大型 WLAN大量部署，而大型 WLAN中 AP数量非常庞大，为了减轻管理负担，目前一般釆用瘦 AP组网，此时， AE设备可能会部署在接入控制器（AC, access controller )上，也可能部署在 AC 上面的多业务控制网关（ MSCG, Multi-service control gateway )设备上 , 这种将 AE设备集中部署在 AC或 MSCG等设备上的认证部署方式可称集中式认证部署。

由于集中式认证部署的 AE并不是 AP设备，因此 UE在认证之前无法学习到 AE的 MAC地址，而 IEEE 802. IX协议规定 UE所有 EAP认证报文（包括首个报文）都必须使用单播地址，此时按照现有机制则无法认证完成。

发明内容

本发明实施例提供无线局域网集中式 802. IX认证方法及装置和系统，以实现 UE的无线局域网集中式 802.1 X认证。

为便于解决上述技术问题，本发明实施例提供以下技术方案：

一种无线局域网集中式 802. IX认证方法，所述无线局域网包括认证实体、接入点以及至少一个用户设备 UE , 所述认证实体通过所述接入点与所述至少一个 UE相连，所述方法包括：

接入点接收来自 UE的可扩展认证协议 EAP认证开始报文，所述 EAP认证开始才艮文的目的地址为该接入点的空口对应的介质访问控制 MAC地址、源地址为所述 UE的 MAC地址；

将所述 EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的 MAC地址；

转发所述修改了目的地址的 EAP认证开始报文，以便于所述认证实体根据所述修改了目的地址的 EAP认证开始报文开始所述 UE的接入认证。

一种无线局域网集中式 802. IX认证方法，包括：

接入点生成 EAP认证开始报文，该 EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体的 MAC地址、源地址为 UE的 MAC地址；

发送所述 EAP认证开始艮文；

接收认证实体发送的 EAP认证报文，所述 EAP认证报文的源地址为所述认证实体的 MAC地址、目的地址为所述 UE的 MAC地址；

将所述 EAP认证报文的源地址修改为所述接入点的空口对应的 MAC地址，并向所述 UE转发所述修改了源地址的 EAP认证报文。

一种接入点设备，包括：

第一接收模块，用于接收 UE发送的 EAP认证开始报文，所述 EAP认证开始报文的目的地址为所述接入点的空口对应的 MAC地址、源地址为所述 UE的 MAC 地址；

第一地址修改模块，用于将所述第一接收模块接收的 EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的 MAC地址；

第一转发模块，用于转发所述第一地址修改模块修改了目的地址的 EAP认证开始报文，以便于所述认证实体根据所述修改了目的地址的 EAP认证开始报文开始所述 UE的接入认证。

一种无线局域网集中式 802. IX认证系统，无线局域网包括认证实体、接入点以及至少一个用户设备 UE,所述认证实体通过所述接入点与所述至少一个 UE 相连，

其中，所述接入点，用于接收 UE发送的可扩展认证协议 EAP认证开始报文，所述 EAP认证开始 ^艮文的目的地址为所述接入点的空口对应的介质访问控制 MAC地址、源地址为所述 UE的 MAC地址；将所述 EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体的 MAC地址；转发所述修改了目的地址的 EAP认证开始报文，以便于所述认证实体根据所述修改了目的地址的 EAP 认证开始报文开始所述 UE的接入认证。

由上可见，本发明实施例提供的一种技术方案中，集中式认证部署中的接入点接收到来自 UE的目的地址为该接入点的空口对应的 MAC地址的 EAP认证开始报文后，将该报文的目的地址修改为认证实体的 MAC地址，并转发该修改了目的地址 EAP认证开始报文，使得 EAP认证开始报文能够到达认证实体而不终结于该接入点，进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。

本发明实施例提供的另一种技术方案中，由集中式认证部署中的接入点生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达认证实体，进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX 认证；并且，该机制使得 UE能够按照 IEEE 802.1X协议的规定，单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。

附图说明

为了更清楚地说明本发明实施例和现有技术中的技术方案，下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是 802.11中定义的 WLAN基本结构示意图；

图 2是本发明实施例提供的一种集中式部署认证网络拓朴示意图；

图 3是本发明实施例一提供的一种无线局域网集中式 802. IX认证方法流程示意图；

图 4是本发明实施例二提供的一种无线局域网集中式 802. IX认证方法流程示意图；

图 5是本发明实施例三提供的一种无线局域网集中式 802. IX认证方法流程示意图；

图 6是本发明实施例四提供的一种无线局域网集中式 802. IX认证方法流程示意图；

图 7是本发明实施例提供的一种接入点示意图；

图 8是本发明实施例提供的另一种接入点示意图；

图 9是本发明实施例提供的另一种接入点示意图；

图 10是本发明实施例提供的一种无线局域网集中式 802.1X认证系统示意图；

图 11是本发明实施例提供的另一种无线局域网集中式 802.1X认证系统示意图。

具体实施例

本发明实施例提供无线局域网集中式 802.1 X认证方法及装置和系统。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图 2, 图 2为本发明实施例提供的一种集中式部署认证网络拓朴示意图，其中，多个 UE可以关联到一个 AP, 多个 AP又连接到一个接入控制器 AC上， AE 设备则可能会部署在 AC上，或者，部署在 AC上面的多业务控制网关 MSCG设备上，图 2示出了 AE设备部署在 AC上场景， AE设备关联到 AS, 组成一种集中式认证部署。本发明实施例的技术方案可以基于如图 2所示拓朴结构的认证网络或类似集中式部署结构的认证网络具体实施。

以下分别进行详细说明。实施例一

本发明无线局域网集中式 802. IX认证方法的一个实施例，其中，无线局域网包括 AE、 AP以及至少一个 UE, 该 AE通过该 AP与该至少一个 UE相连，方法可包括： AP接收 UE发送的 EAP认证开始报文，该 EAP认证开始报文的目的地址为 AP的空口对应的介质访问控制（ MAC , Media Access Control )地址、源地址为该 UE的 MAC地址；将该 EAP认证开始报文的目的地址修改为端口接入实体 ( PAE, PortAuthenticator )组播地址或者 AE的 MAC地址；转发该修改了目的地址的 EAP认证开始报文，以便于该 AE根据该修改了目的地址的 EAP认证开始报文开始 UE的接入认证。

参见图 3 , 具体步骤可以包括：

310、 AP接收 UE发送的 EAP认证开始报文，该 EAP认证开始报文的目的地址为 AP的空口对应的 MAC地址、源地址为该 UE的 MAC地址；来发起认证请求，以请求网络侧进行接入认证。

其中 , UE在发起认证前已经和 AP有关联过程 , UE和 AP在认证前都已学习到了对端的介质访问控制 MAC地址，因此， UE可以按照 IEEE 802. IX协议的规定，单播发送 EAP认证开始报文，其中， EAP认证开始报文携带的 AP的 MAC地址可为 BSSID或其它区别标识。

320、 AP将上述 EAP认证开始报文的目的地址修改为 AE的 MAC地址或者 PAE组播地址；

此处的 AP在监测接收到的 EAP认证开始报文的目的地址为该 AP的空口对应的 MAC地址（如 BSSID ) 时， AP并不将该 EAP认证开始报文终结于此，而是将其目的地址进行修改后继续转发。

在实际应用中，若 AP预先配置了 AE的 MAC地址，则 AP可将接收到的 EAP 认证开始艮文的目的地址修改为 AE的 MAC地址；若 AP此时还未获知 AE的 MAC 地址，则 AP可将接收到的 EAP认证开始报文的目的地址修改为 PAE组播地址，其中，目的地址为 PAE组播地址的 EAP认证开始报文亦可被 AE探测接收到。 330、 AP转发该修改了目的地址的 EAP认证开始 ^艮文。

相应的， AE可接收到该修改了目的地址的 EAP认证开始报文，进而获知 UE 请求接入认证， AE可按照标准的认证流程进行响应，开始 UE的接入认证。

在一种应用场景下，若 AP进一步接收到 AE发送的 EAP认证报文（例如为用于请求对 UE身份识别的 EAP请求报文（ EAP-Request报文）或其它报文），其中，该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC地址；则 AP 可以将该 EAP认证 ^艮文的源地址爹改为 AP的空口对应的 MAC地址 (如 BSSID ); 并向 UE转发该修改了源地址的 EAP认证报文。此时，对于 UE而言，由于接收到的 AP转发过来的 EAP认证报文的源地址为该 AP的空口对应的 MAC地址（如 BSSID ), 因此其仍会将该 AP当作是 AE继续来进行 EAP认证。若 AP进一步接收到该 UE发送的第二 EAP认证报文，该第二 EAP认证报文为该 UE发送的除 EAP认证开始报文外的认证报文（第二 EAP认证报文例如为携带有 UE身份标识（ID ) 的 EAP响应（EAP-Response )报文或者其它 EAP认证报文），该第二 EAP认证报文的目的地址为 AP的空口对应的 MAC地址（如 BSSID )、源地址为 UE的 MAC地址；则 AP可将该第二 EAP认证报文的目的地址修改为上述 AE的 MAC地址；并转发该修改了目的地址的第二 EAP认证报文。也就是说， AP可对 UE和 AE交互的所有 EAP认证报文进行源地址或目的地址的修改，可将来自 UE的 EAP认证报文的目的地址修改为 AE的 MAC地址，可将来自 AE的 EAP认证文的源地址修改为该 AP的空口对应的 MAC地址（如 BSSID ), UE可始终将该 AP看成是 AE来进行 EAP 认证。由于 UE认证前就已经获知 AP的空口对应的 MAC地址（如 BSSID ), 因此 UE可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

在另一种应用场景下，若 AP进一步接收 AE发送的第三 EAP认证报文（例如为用于请求对 UE身份识别的 EAP请求报文（ EAP-Request报文）或其它报文），其中，该第三 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC 地址； AP亦可不对该第三 EAP认证报文的源地址或目的地址进行修改，而是直接向 UE转发该第三 EAP认证报文，以便于 UE从该第三 EAP认证报文中学习到上述 AE的 MAC地址。在此场景下， UE在接收到该第三 EAP认证报文后，可学习到真正的 AE的 MAC地址，后续即可以该学习到的 AE的 MAC地址，和 AE交互其它的 EAP认证报文来完成接入认证。也就是说， AP亦可只对 EAP认证开始报文（来自 UE的首条 EAP认证报文）的目的地址进行修改，而对 UE和 AE后续交互的 EAP 认证开始报文的源地址或目的地址并不作修改，而 UE可根据 AE对 EAP认证开始报文的响应获知 AE的 MAC地址，因此， UE可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

需要说明的是，本发明实施例中提及的 UE可以是手机，便携电脑等多种具有无线局域网接入能力的终端设备； AP可以是具有无线接入功能的多种设备。本发明实施例的方案主要涉及， AP对 UE和 AE间交互的部分或全部 EAP认证 ^艮文的源 /目的地址进行修改，而 AE和 AS之间交互的认证信令消息可与标准流程一致或类似。可以理解，在 802.1X认证框架下，可根据需要选择多种 EAP认证算法，例如、 EAP-PEAP ( EAP-Protected Extensible Authentication Protocol, 可扩展认证协议 - 受保护的可扩展认证协议）、 EAP-SIM/AKA ( EAP-Subscriber Identity Module/ Authentication and Key Agreement,可扩展认证协议-用户认证模块 /认证与密钥商定）、 EAP-TLS (可扩展认证协议-传输层安全协议， EAP-Transport Layer Security Protocol )等认证算法，但不同 EAP认证算法并不影响 802.1X的认证框架下的认证。

由上可见，本实施例中，集中式认证部署中的 AP接收到来自 UE的目的地址为该 AP的空口对应的 MAC地址（如 BSSID ) 的 EAP认证开始报文后，将该报文的目的地址修改为 AE的 MAC地址，并转发该修改了目的地址 EAP认证开始报文，使得 EAP认证开始报文能够到达 AE而不终结于该 AP,进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。实施例二

本发明无线局域网集中式 802.1X认证方法的另一个实施例，其中，无线局域网包括 AE、 AP以及至少一个 UE, 该 AE通过该 AP与该至少一个 UE相连，方法可包括： AP生成 EAP认证开始报文，该 EAP认证开始报文的目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址；发送该 EAP认证开始报文；接收 AE发送的 EAP认证报文，该 EAP认证报文的源地址为上述 AE的 MAC地址、目的地址为上述 UE的 MAC地址；向该 UE转发上述 EAP认证报文，以便于该 UE 从上述 EAP认证报文中学习到 AE的 MAC地址；或者，将该接收到的 EAP认证报文的源地址修改为 AP的空口对应的 MAC地址，并向上述 UE转发该修改了源地址的 EAP认证报文。

参见图 4, 具体步骤可包括：

410、 AP生成 EAP认证开始报文，其中，该 EAP认证开始报文的目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址；

在一些应用场景下， UE在关联上 AP后并不会主动发起 802.1X认证，即不会主动发送 EAPOL-Start报文，此时可由 AP将代理 UE发送 EAPOL-Start报文到 AE, 触发 802. IX认证。

420、 AP发送该 EAP认证开始艮文；

本实施例中，由 AP代理 UE发起认证请求，请求网络侧对 UE进行接入认证。其中， AP通过生成并发送 EAP认证开始报文，以触发 UE的接入认证流程。在实际应用中，若 AP预先配置了 AE的 MAC地址，则其生成并发送的 EAP认证开始才艮文的目的地址为 AE的 MAC地址；若 AP此时还未获知 AE的 MAC地址，则其生成并发送的 EAP认证开始报文的目的地址为 PAE组播地址，其中，目的地址为 PAE 组播地址的 EAP认证开始报文可被 AE探测接收到。

相应的， AE可接收到该 EAP认证开始 ^艮文，进而获知 UE请求进行接入认证， AE可按照标准的认证流程进行响应。

430、 AP接收 AE发送的 EAP认证报文，该 EAP认证报文的源地址为上述 AE 的 MAC地址、目的地址为上述 UE的 MAC地址；

440、 AP向该 UE转发上述 EAP认证报文，以便于该 UE从上述 EAP认证报文中学习到 AE的 MAC地址；或，将该 EAP认证报文的源地址修改为 AP的空口对应的 MAC地址（如 BSSID ), 并向上述 UE转发该修改了源地址的 EAP认证报文。

AE可在接收到 EAP认证开始报文后，启动 UE的接入认证流程，和 UE进行其它 EAP认证开始报文的交互。

在一种应用场景下，若 AP接收到 AE发送的 EAP认证报文（如为用于请求对 UE身份识别的 EAP请求报文（ EAP-Request报文）或其它报文），该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC地址；则 AP可将该 EAP认证才艮文的源地址修改为 AP的空口对应的 MAC地址（如 BSSID ); 并向 UE转发该修改了源地址的 EAP认证报文。此时，对于 UE而言，由于接收到的 AP转发过来的 EAP认证报文的源地址为该 AP的空口对应的 MAC地址（如 BSSID ), 因此其仍会将该 AP当作是 AE继续来进行 EAP认证。后续若 AP进一步接收到该 UE发送的其它 EAP认证报文，该 EAP认证报文为该 UE发送的除 EAP认证开始报文外的认证报文（例如为携带有 UE身份标识（ID ) 的 EAP-Response报文或者其它 EAP认证报文），而该 EAP认证报文的目的地址为 AP的空口对应的 MAC地址（如 BSSID )、源地址为 UE的 MAC地址；则 AP可将该 EAP认证报文的目的地址修改为 AE的 MAC地址；并转发该修改了目的地址的 EAP认证报文。也就是说， AP

UE的 EAP认证报文的目的地址修改为 AE的 MAC地址，可将来自 AE的 EAP认证报文的源地址修改为该 AP的空口对应的 MAC地址（如 BSSID ), UE可始终将该 AP看成是 AE来进行 EAP认证。因此， UE可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

在另一种应用场景下，后续若 AP进一步接收 AE发送的 EAP认证报文（例如为用于请求对 UE身份识别的 EAP-Request报文）或其它报文），其中，该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC地址； AP亦可不对来自 AE的该 EAP认证报文的源地址或目的地址进行修改，而是直接向 UE转发该 EAP认证报文，以便于 UE从该 EAP认证报文中学习到上述 AE的 MAC地址。在此场景下， UE在接收到该 EAP认证报文后，可学习到真正的 AE的 MAC地址，后续即可以该学习到的 AE的 MAC地址，和 AE交互其它的 EAP认证报文来完成接入认证。也就是说， AP在代理 UE生成并发送 EAP认证开始报文（目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址），发起 UE的接入认证后，可以根据 AE对 EAP认证开始报文的响应获知 AE的 MAC地址，因此， UE可按照 IEEE 802.1 X协议的规定，单播发送所有 EAP认证报文。

需要说明的是，本发明实施例中提及的 UE可以是手机，便携电脑等多种具有无线局域网接入能力的终端设备； AP可以是具有无线接入功能的多种设备。本发明实施例的方案主要涉及， AP对 UE和 AE间交互的部分或全部 EAP认证 ^艮文的中转处理 , 而 AE和 AS之间交互的认证信令消息可与标准流程一致或类似。可以理解，在 802.1X认证框架下，可根据需要选择多种 EAP认证算法（例如 EAP-PEAP, EAP-SIM/AKA, EAP-TLS等认证算法），但不同 EAP认证算法并不影响 802.1 X的认证框架下的认证。

由上可见，本实施例由集中式认证部署中的 AP生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达 AE, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802.1X协议的规定，单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。实施例三

为便于更好的理解本发明实施例的技术方案，下面主要以基于 EAP-TLS认证算法进行 UE-1接入认证的过程为例，进行详细描述。

参见图 5、具体步骤可以包括：

501、 UE-1发送 EAPOL-Start报文，启动 802. IX认证；

其中， EAPOL-Start报文的目的地址为 AP的空口对应的 MAC地址（如 BSSID )、源地址为 UE-1的 MAC地址；

502、 AP接收来自 UE-1的 EAPOL-Start报文，将该 EAP认证开始报文的目的地址修改为 AE的 MAC地址或者 PAE组播地址；并转发该修改了目的地址的 EAPOL-Start报文；

在实际应用中，若 AP预先配置了 AE的 MAC地址， AP可将 EAPOL-Start报文的目的地址修改为 AE的 MAC地址；若 AP此时还未获知 AE的 MAC地址，则 AP 可将上述 EAPOL-Start报文的目的地址修改为 PAE组播地址，其中，目的地址为 PAE组播地址的 EAPOL-Start报文亦可被 AE探测接收到。

503、 AE接收 AP修改了目的地址的 EAPOL-Start报文，并反馈 EAP-Request 报文，请求 UE-1身份识别；

其中 , EAP-Request报文的源地址为 AE的 MAC地址、目的地址为 UE- 1的 MAC地址； 504、 AP接收来自 AE的 EAP-Request报文，并将该 EAP-Request报文的源地址修改为 AP的空口对应的 MAC地址（如 BSSID ); 并转发该修改了源地址的 EAP-Request才艮文；

505、 UE-1接收 AP修改了源地址的 EAP-Request报文，获知网络侧请求身份识别， UE-1向 AE发送 EAP响应（EAP-Response )报文，其中携带 UE-1的身份 ID 等信息；

其中，由于 AP对来自 AE的 EAP-Request报文的源地址进行了修改，因此 UE-1 仍将该 AP看作是 AE来继续认证流程。 UE-1发送的 EAP-Response报文的目的地址为 AP的空口对应的 MAC地址（如 BSSID )、源地址为 UE-1的 MAC地址。

506、 AP接收来自 UE-1的 EAP-Response才艮文，将该 EAP-Response的目的地址修改为 AE的 MAC地址；并向 AE转发该修改了目的地址的 EAP-Response报文。

507、 AE向 AS发送 EAP over Radius消息，其中携带上述 EAP-Response报文和 UE-1身份 ID等；

508、 AS对 UE-1身份识别，并向 AE发送 EAP-Request ( TLS Start )消息，其中指明 EAP认证算法为 EAP-TLS , 启动 EAP认证；其中，若 AS选择其它 EAP认证算法，则 EAP-Request ( TLS Start ) 消息可对应指示相应算法。

509、 AE通过 AP将 TLS Start消息中继给 UE-1；

510、 UE-1通过 AP向 AE发送 TLS client— hello消息，以响应 TLS Start消息；

511、 AE将 TLS client— hello消息中继给 AS；

512、 AS发送 TLS server— hello消息给 AE, 消息中可包含 AS证书、密钥交换信息、 AS支持的安全加密套件，并请求 UE-1的证书；

513、 AE通过 AP将 TLS server— hello消息中继给 UE- 1；

514、 UE-1验证 AS证书，并通过 AP向 AE发送携带认证结果、 UE-1证书、密钥交换信息、 UE- 1支持的安全加密套件的消息；

515、 AE将消息中继给 AS;

516、 AS认证通过后，向 AE发送携带其选择的安全加密套件的消息；

517、 AE通过 AP将消息中继给 UE- 1；

518、 UE-1通过 AP向 AE发送 EAP-Response消息；

519、 AE将 EAP-Response消息中继给 AS； 520、 AS发送 EAP成功（ EAP-Success ) 消息给 AE, 指示认证成功； 521、 AE通过 AP将 EAP-Success中继给 UE-1 , UE-1获知认证成功。

需要说明的是，在步骤 504中，若 AP接收到来自 AE的 EAP-Request报文后并不修改其源地址（AE的 MAC地址），而直接转发给 UE-1 , 以便于 UE-1从该 EAP 认证 4艮文中学习到 AE的 MAC地址。而 UE-1则可据此获知 AE的 MAC地址， UE-1 后续即可以该学习到的 AE的 MAC地址，和 AE交互其它的 EAP认证报文来完成接入认证。也就是说， AP亦可只对来自 UE-1的 EAPOL-Start报文的目的地址进行修改，而 UE-1可根据 AE对 EAP认证开始报文的响应获知 AE的 MAC地址，因此， UE-1可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。当然， AE 和 AS之间交互的 EAP over RADIUS报文不需修改。

需要说明的是，本实施例中主要以基于 EAP-TLS认证算法进行 UE-1接入认证的过程为例进行描述的，当然亦可选择 EAP— PEAP、 EAP-SIM/AKA等认证算法对 UE-1进行接入认证，其实现过程类似，此处不再赘述。

由上可见，本实施例中通过在集中式认证部署中的 AP上实施 EAPOL报文的探测和中继来实现无线局域网集中式 802. IX认证， AP接收到来自 UE的目的地址为该 AP的空口对应的 MAC地址（如 BSSID ) 的 EAP认证开始报文后，将该报文的目的地址修改为 AE的 MAC地址，并转发该修改了目的地址 EAP认证开始报文，使得 EAP认证开始报文能够到达 AE而不终结于该 AP,进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。实施例四

为便于更好的理解本发明实施例的技术方案，下面仍以基于 EAP-TLS认证算法进行 UE-1接入认证的过程为例，进行详细描述。其中，本实施例以 AP代理 UE-1发起接入认证为例。

参见图 6、具体步骤可以包括：

601、 AP生成并发送 EAPOL-Start报文；其中， EAPOL-Start报文的目的地址为 AE的 MAC地址（如 BSSID )或者 PAE 组播地址、源地址为 UE-1的 MAC地址；

在一些应用场景下， UE-1在关联上 AP后并不会主动发起 802.1X认证，即不会主动发送 EAPOL-Start报文，此时可由 AP将代理 UE-1发送 EAPOL-Start报文到 AE, 触发 802. IX认证。

在实际应用中，若 AP预先配置了 AE的 MAC地址， AP可将 EAPOL-Start报文的目的地址设置为 AE的 MAC地址；若 AP此时还未获知 AE的 MAC地址，则 AP 可将 EAPOL-Start报文的目的地址设置为 PAE组播地址，其中，目的地址为 PAE 组播地址的 EAPOL-Start报文亦可被 AE探测接收到。

602、 AE接收来自 AP的 EAPOL-Start报文，并反馈 EAP-Request报文，请求 UE-1身份识别；其中， EAPOL-Request报文的源地址为 AE的 MAC地址、目的地址为 UE-1的 MAC地址；

603、 AP接收来自 AE的 EAP-Request报文，向 UE-1转发该 EAP-Request报文；

604、 UE-1接收 EAP-Request报文，获知网络侧请求身份识别， UE-1通过 AP 向 AE发送 EAP-Response响应报文，其中携带身份 ID等信息；

其中，由于 AP对来自 AE的 EAP-Request报文的源地址进行了修改，因此 UE-1 可据此学习到 AE的 MAC地址，后续 UE-1可以该学习到的 AE的 MAC地址，和 AE 交互其它的 EAP认证报文来完成接入认证。

605、 AE接收 AP转发的 EAP-Response报文，向 AS发送 EAP over Radius消息，其中携带 EAP-Response报文和 UE-1身份 ID等；

606、 AS对 UE-1身份识别，并向 AE发送 EAP-Request ( TLS Start )消息，其中指明 EAP认证算法为 EAP-TLS , 启动 EAP认证；其中，若 AS选择其它 EAP认证算法，则 EAP-Request ( TLS Start ) 消息可对应指示相应算法。

607、 AE通过 AP将 TLS Start消息中继给 UE-1；

608、 UE-1通过 AP向 AE发送 TLS client— hello消息，以响应 TLS Start消息； 609、 AE将 TLS client— hello消息中继给 AS；

610、 AS发送 TLS server— hello消息给 AE, 消息中可包含 AS证书、密钥交换信息、 AS支持的安全加密套件，并请求 UE-1的证书；

611、 AE通过 AP将 TLS server— hello消息中继给 UE- 1； 612、 UE-1验证 AS证书，并通过 AP向 AE发送携带认证结果、 UE-1证书、密钥交换信息、 UE- 1支持的安全加密套件的消息；

613、 AE将消息中继给 AS；

614、 AS认证通过后，向 AE发送携带其选择的安全加密套件的消息；

615、 AE通过 AP将消息中继给 UE- 1；

616、 UE-1通过 AP向 AE发送 EAP-Response消息；

617、 AE将 EAP-Response消息中继给 AS；

618、 AS发送 EAP-Success消息给 AE, 指示认证成功；

619、 AE通过 AP将 EAP-Success中继给 UE-1 , UE-1获知认证成功。

需要说明的是，在步骤 603中，若 AP接收到来自 AE的 EAP-Request报文后修改其源地址（AE的 MAC地址）为 AP的空口对应的 MAC地址（如 BSSID等），对于 UE-1而言，其仍会 AP作为 AE来继续认证流程，而 AP后续仍按照实施例三中的方式，对 UE-1和 AE间交互的 EAP-Start报文。当然， AE和 AS之间交互的 EAP over RADIUS"^文不需修改。

需要说明的是，本实施例中主要以基于 EAP-TLS认证算法进行 UE-1接入认证的过程为例进行描述的，当然亦可选择 EAP-PEAP、 EAP-SIM/AKA等认证算法对 UE-1进行接入认证，其实现过程类似，此处不再赘述。

由上可见，本实施例中由集中式认证部署中的 AP生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达 AE, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802.1X协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。

为便于更好的实施本发明实施例的上述方法，本发明实施例下面还提供用于实施上述方法的相关装置和系统。参见图 7、本发明实施例提供的一种接入点设备 700, 可包括：第一接收模块 710、第一地址修改模块 720和第一转发模块 730。

其中，第一接收模块 710, 用于接收 UE发送的 EAP认证开始报文，该 EAP认证开始报文的目的地址为接入点设备 700的空口对应的 MAC地址、源地址为上述 UE的 MAC地址；

第一地址修改模块 720,用于将第一接收模块 710接收的 EAP认证开始报文的目的地址修改为 PAE组播地址或者 AE的 MAC地址；

第一转发模块 730, 用于转发第一地址修改模块 720修改了目的地址的 EAP 认证开始报文，以便于该 AE根据该修改了目的地址的 EAP认证开始报文开始 UE 的接入认证。

在一种应用场景下，接入点 AP设备 700还可包括：第二接收模块、第二地址修改模块和第二转发模块（图 7中未示出）

第二接收模块，用于接收上述 AE发送的 EAP认证报文，其中，上述 EAP认证才艮文的源地址为上述 AE的 MAC地址、目的地址为上述 UE的 MAC地址；

第二地址修改模块，用于将第二接收模块接收的 EAP认证报文的源地址修改为接入点设备 700的空口对应的 MAC地址；

第二转发模块，用于向上述 UE转发第二地址修改模块修改了源地址的 EAP 认证报文。

在一种应用场景下，第一接收模块 710还用于，接收 UE发送的第二 EAP认证报文，该第二 EAP认证报文为该 UE发送的除 EAP认证开始报文外的认证开始报文，第二 EAP认证报文的目的地址为接入点设备 700的空口对应的 MAC地址、源地址为上述 UE的 MAC地址；

第一地址修改模块 720还用于，将第一接收模块接收的第二 EAP认证报文的目的地址修改为该 AE的 MAC地址；

第一转发模块 730还用于，转发第一地址修改模块修改了目的地址的第二 EAP认证 4艮文。

在一种应用场景下，接入点设备 700还可包括：第三接收模块和第三转发模块（图 7中未示出）。

其中，第三接收模块，用于接收上述 AE发送的第三 EAP认证报文，第三 EAP 认证报文的源地址为上述 AE的 MAC地址、目的地址为上述 UE的 MAC地址；第三转发模块，用于向上述 UE转发第三接收模块接收的第三 EAP认证报文，以便于该 UE从第三 EAP认证报文中学习到上述 AE的 MAC地址。需要说明的是，本实施例的接入点设备 700可以如上述方法实施例一或实施例三中的接入点设备，其可以用于协助实现上述方法实施例一或实施例三中的全部技术方案，其各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。

由上可见，本实施例集中式认证部署中的接入点 700接收到来自 UE的目的地址为该接入点 700的空口对应的 MAC地址（如 BSSID ) 的 EAP认证开始报文后，将该文的目的地址修改为 AE的 MAC地址，并转发该修改了目的地址 EAP认证开始报文，使得 EAP认证开始报文能够到达 AE而不终结于该接入点 700, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。参见图 8、本发明实施例提供的一种接入点设备 800, 可包括：

生成模块 810, 用于生成 EAP认证开始报文，其中，该 EAP认证开始报文的目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址；

发送模块 820, 用于发送生成模块 810生成的 EAP认证开始报文；

接收模块 830, 用于接收 AE发送的 EAP认证报文，上述 EAP认证报文的源地址为上述 AE的 MAC地址、目的地址为上述 UE的 MAC地址；

转发模块 840, 用于向上述 UE转发接收模块 830接收的 EAP认证报文，以便于该 UE从上述 EAP认证报文中学习到上述 AE的 MAC地址。

在一种应用场景下，后续若接入点 800进一步接收 AE发送的 EAP认证报文 (例如为用于请求对 UE身份识别的 EAP-Request报文）或其它报文），其中，该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC地址；接入点 800亦可不对来自 AE的该 EAP认证报文的源地址或目的地址进行修改，而是直接向 UE转发该 EAP认证报文，以便于 UE从该 EAP认证报文中学习到 AE的 MAC地址。在此场景下， UE在接收到该 EAP认证报文后，可学习到真正的 AE的 MAC 地址，后续即可以该学习到的 AE的 MAC地址，和 AE交互其它的 EAP认证报文来完成接入认证。也就是说，接入点 800在代理 UE生成并发送 EAP认证开始报文（目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址），发起 UE 的接入认证后 , 可不对 UE和 ΑΕ后续交互的 ΕΑΡ认证开始 4艮文的源地址或目的地址作修改，而 UE可根据 ΑΕ对 ΕΑΡ认证开始报文的响应获知 ΑΕ的 MAC地址，因此， UE可按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

需要说明的是，本实施例的接入点设备 800可以如上述方法实施例二或实施例四中的接入点设备，其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案，其各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。

由上可见，本实施例由集中式认证部署中的接入点 800生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达 AE, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。参见图 9、本发明实施例提供的一种接入点设备 900, 可包括：

生成模块 910, 用于生成 EAP认证开始报文，其中，该 EAP认证开始报文的目的地址为 PAE组播地址或者 AE的 MAC地址、源地址为 UE的 MAC地址；

发送模块 920, 用于发送生成模块 910生成的 EAP认证开始报文；

接收模块 930, 用于接收 AE发送的 EAP认证 ^艮文，该 EAP认证 4艮文的源地址为该 AE的 MAC地址、目的地址为上述 UE的 MAC地址；

修改转发模块 940,用于将接收模块 930接收的 EAP认证报文的源地址修改为接入点 900的空口对应的 MAC地址（如 BSSID ), 并向上述 UE转发修改了源地址的 EAP认证报文。

在一种应用场景下，若接入点 900接收到 AE发送的 EAP认证报文（例如该 EAP认证报文为用于请求对 UE身份识别的 EAP请求报文（ EAP-Request报文 )或其它报文），该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为 UE的 MAC 地址；则接入点 900可将该 EAP认证艮文的源地址修改为接入点 900的 MAC地址；并向 UE转发该修改了源地址的 EAP认证报文。此时，对于 UE而言，由于接收到的接入点 900转发过来的 EAP认证报文的源地址为接入点 900的空口对应的 MAC 地址（如 BSSID ), 因此其仍会将该接入点 900当作是 AE继续来进行 EAP认证。后续若接入点 900进一步接收到该 UE发送的其它 EAP认证报文，该 EAP认证报文为该 UE发送的除 EAP认证开始报文外的认证报文（例如为携带有 UE身份标识 ( ID ) 的 EAP-Response报文或者其它 EAP认证报文），而该 EAP认证报文的目的地址为接入点 900的空口对应的 MAC地址（如 BSSID )、源地址为 UE的 MAC地址；则接入点 900可将该 EAP认证报文的目的地址修改为 AE的 MAC地址；并转发该修改了目的地址的 EAP认证报文。也就是说， AP可对 UE和 AE交互的所有 EAP 认证报文进行源地址或目的地址的修改，可将来自 UE的 EAP认证报文的目的地址修改为 AE的 MAC地址，可将来自 AE的 EAP认证 ^艮文的源地址修改为接入点 900的 MAC地址， UE可始终将该接入点 900看成是 AE来进行 EAP认证。因此， UE可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

需要说明的是，本实施例的接入点设备 900可以如上述方法实施例二或实施例四中的接入点设备，其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案，其各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。

由上可见，本实施例由集中式认证部署中的接入点 900生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达 AE, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。参见图 10、本发明实施例提供的一种无线局域网集中式 802. IX认证系统，无线局域网包括认证实体 1010、接入点 1020以及至少一个用户设备 1030 , 认证实体 1010通过接入点 1020与至少一个用户设备 1030相连，

其中，接入点 1020,用于接收用户设备 1030发送的可扩展认证协议 EAP认证开始报文，该 EAP认证开始报文的目的地址为接入点 1020的介质访问控制 MAC 地址、源地址为用户设备 1030的 MAC地址；将该 EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体 1010的 MAC地址；转发该修改了目的地址的 EAP认证开始报文，以便于认证实体 1010根据该修改了目的地址的 EAP 认证开始 ^艮文开始对用户设备 1030的接入认证。

在一种应用场景下，若接入点 1020进一步接收到认证实体 1010发送的 EAP 认证报文（例如为用于请求对用户设备 1030身份识别的 EAP-Request报文或其它为用户设备 1030的 MAC地址；则接入点可将该 EAP认证报文的源地址修改为接入点的空口对应的 MAC地址（如 BSSID ); 并向用户设备 1030转发该修改了源地址的 EAP认证报文。此时，对于用户设备 1030而言，由于接收到的接入点 1020 转发过来的 EAP认证报文的源地址为该接入点 1020的 MAC地址，因此其仍会将该接入点 1020当作是 AE继续来进行 EAP认证。若接入点 1020进一步接收到该用户设备 1030发送的第二 EAP认证报文，该第二 EAP认证报文为用户设备 1030发送的除 EAP认证开始报文外的认证报文（第二 EAP认证报文例如为携带有用户设备 1030身份标识（ID ) 的 EAP-Response报文或者其它 EAP认证报文），该第二 EAP 认证报文的目的地址为接入点 1020的空口对应的 MAC地址（如 BSSID )、源地址为用户设备 1030的 MAC地址；则接入点 1020可将该第二 EAP认证报文的目的地址修改为认证实体 1010的 MAC地址；并转发该修改了目的地址的第二 EAP认证报文。也就是说，接入点 1020可对用户设备 1030和认证实体 1010交互的所有 EAP 认证报文进行源地址或目的地址的修改，可将来自用户设备 1030的 EAP认证报文的目的地址修改为认证实体 1010的 MAC地址，可将来自认证实体 1010的 EAP认证报文的源地址修改为该接入点 1020的 MAC地址，用户设备 1030可始终将该接入点 1020看成是 AE来进行 EAP认证。由于用户设备 1030认证前就已经获知接入点 1020的 MAC地址，因此用户设备 1030可以按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

在另一种应用场景下，若接入点 1020进一步接收认证实体 1010发送的第三 EAP认证报文（例如为用于请求对用户设备 1030身份识别的 EAP-Request报文或目的地址为用户设备 1030的 MAC地址；接入点 1020亦可不对该第三 EAP认证报文的源地址或目的地址进行修改，而是直接向用户设备 1030转发该第三 EAP认证报文，以便于用户设备 1030从该第三 EAP认证报文中学习到认证实体 1010的 MAC地址。在此场景下，用户设备 1030在接收到该第三 EAP认证报文后，可学习到真正的认证实体的 MAC地址，后续即可以该学习到的认证实体 1010的 MAC 地址, 和认证实体 1010交互其它的 EAP认证才艮文来完成接入认证。也就是说, 接入点 1020亦可只对 EAP认证开始报文（来自用户设备 1030的首条 EAP认证报文）的目的地址进行修改，而对用户设备 1030和认证实体 1010后续交互的 EAP认证开始报文的源地址或目的地址并不作修改，而用户设备 1030可根据认证实体 1010 对 EAP认证开始报文的响应获知认证实体 1010的 MAC地址，因此，用户设备 1030 可以按照 IEEE 802.1 X协议的规定，单播发送所有 EAP认证报文。

在一种应用场景下，接入点 1020还可用于生成 EAP认证开始报文，该 EAP 认证开始报文的目的地址为端口接入实体组播地址或者认证实体 1010的 MAC地址、源地址为第二用户设备（图 10中未示出）的 MAC地址；发送该 EAP认证开始报文；接收认证实体 1010发送的 EAP认证报文，该 EAP认证报文的源地址为认证实体 1010的 MAC地址、目的地址为第二用户设备的 MAC地址；将该 EAP认证报文的源地址修改为接入点 1020的空口对应的 MAC地址，并向第二用户设备转发该修改了源地址的 EAP认证报文。

需要说明的是，本实施例的接入点 1020可以如上述方法实施例一或实施例三中的接入点设备，其可以用于协助实现上述方法实施例一或实施例三中的全部技术方案，其各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。参见图 11、本发明实施例提供的一种无线局域网集中式 802. IX认证系统，无线局域网包括认证实体 1110、接入点 1120以及至少一个用户设备 1130,认证实体 1110通过接入点 1120与至少一个用户设备 1130相连；

其中，接入点 1120, 用于生成 EAP认证开始报文，该 EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体 1110的 MAC地址、源地址为 UE的 MAC地址；发送上述 EAP认证开始报文；接收认证实体 1110发送的 EAP认证报设备 1130的 MAC地址；向用户设备 1130转发上述 EAP认证报文，以便于用户设备 1130从上述 EAP认证报文中学习到上述认证实体的 MAC地址；或者，将上述 EAP认证 ^艮文的源地址修改为接入点 1120的空口对应的 MAC地址（如 BSSID ), 并向用户设备 1130转发上述修改了源地址的 EAP认证报文。

在一种应用场景下，若接入点 1120接收到认证实体 1110发送的 EAP认证报文 (例如为用于请求对用户设备 1130身份识别的 EAP请求报文（ EAP-Request报文 ) 或其它报文），该 EAP认证报文的源地址为 AE的 MAC地址、目的地址为用户设备 1130的 MAC地址；则接入点 1120可将该 EAP认证报文的源地址修改为接入点 1120的 MAC地址；并向用户设备 1130转发该修改了源地址的 EAP认证报文。此时，对于用户设备 1130而言，由于接收到的接入点 1120转发过来的 EAP认证报文的源地址为该接入点的空口对应的 MAC地址（如 BSSID ), 因此其仍会将该接入点 1120当作是 AE继续来进行 EAP认证。后续若接入点 1120进一步接收到该 UE发送的其它 EAP认证报文，该 EAP认证报文为用户设备 1130发送的除 EAP认证开始报文外的认证报文（例如为携带有用户设备 1130身份标识（ ID )的 EAP-Response 报文或者其它 EAP认证报文），而该 EAP认证报文的目的地址为接入点的空口对应的 MAC地址（如 BSSID )、源地址为用户设备 1130的 MAC地址；则接入点 1120 可将该 EAP认证报文的目的地址修改为认证实体 1110的 MAC地址；并转发该修改了目的地址的 EAP认证报文。也就是说，接入点 1120可对用户设备 1130和认证设备 1130的 EAP认证报文的目的地址修改为认证实体 1110的 MAC地址，可将来自认证实体 1110的 EAP认证报文的源地址修改为接入点 1120的 MAC地址， UE可始终将该接入点 1120看成是 AE来进行 EAP认证。因此，用户设备 1130可以按照 IEEE 802.1 X协议的规定，单播发送所有 EAP认证报文。

在另一种应用场景下，后续若接入点 1120进一步接收认证实体 1110发送的 EAP认证报文（例如为用于请求对用户设备 1130身份识别的 EAP-Request报文 ) 的地址为用户设备 1130的 MAC地址；接入点 1120亦可不对来自认证实体 1110的该 EAP认证报文的源地址或目的地址进行修改，而是直接向用户设备 1130转发该 EAP认证报文，以便于用户设备 1130从该 EAP认证报文中学习到认证实体 1110的 MAC地址。在此场景下，用户设备 1130在接收到该 EAP认证报文后，可学习到真正的认证实体 1110的 MAC地址，后续即可以该学习到的认证实体 1110的 MAC 地址, 和认证实体 1110交互其它的 EAP认证才艮文来完成接入认证。也就是说, 接入点 1120在代理用户设备 1130生成并发送 EAP认证开始报文（目的地址为端口接入实体组播地址或者认证实体 1110的 MAC地址、源地址为用户设备 1130的 MAC 地址），发起用户设备 1130的接入认证后，可不对用户设备 1130和认证实体 1110 据认证实体 1110对 EAP认证开始报文的响应获知认证实体 1110的 MAC地址，因此，用户设备 1130可按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文。

在一种应用场景下，接入点 1120还可用于，接收来自第三用户设备发送的可扩展认证协议 EAP认证开始报文，该 EAP认证开始报文的目的地址为接入点 1120的空口对应的介质访问控制 MAC地址、源地址为第三用户设备的 MAC地址；将该 EAP认证开始报文的目的地址修改为端口接入实体组播地址或者认证实体 1110的 MAC地址；转发该修改了目的地址的 EAP认证开始报文，以便于认证实体 1110根据该修改了目的地址的 EAP认证开始报文开始第三用户设备的接入认证。

需要说明的是，本实施例的接入点 1120可以如上述方法实施例二或实施例四中的接入点设备，其可以用于协助实现上述方法实施例二或实施例四中的全部技术方案，其各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以釆用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

综上，本发明本实施例提供的一种技术方案中，集中式认证部署中的 AP接收到来自 UE的目的地址为该 AP的空口对应的 MAC地址（如 BSSID )的 EAP认证开始报文后，将该报文的目的地址修改为 AE的 MAC地址，并转发该修改了目的地址 E AP认证开始报文，使得 E AP认证开始报文能够到达 AE而不终结于该 AP , 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。

本发明本实施例提供的另一种技术方案中，由集中式认证部署中的 AP生成并发送源地址为 UE的 MAC地址、目的地址为 AE的 MAC地址的 EAP认证开始报文，以代理 UE发起接入认证流程，使得 EAP认证开始报文能够到达 AE, 进而可触发 UE的接入认证流程，以实现 UE无线局域网集中式 802. IX认证；并且，该机制使得 UE能够按照 IEEE 802. IX协议的规定，单播发送所有 EAP认证报文，因此可无需修改 UE内置的基于 IEEE 802. IX协议机制的认证程序。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器、随机存储器、磁盘或光盘等。

以上对本发明实施例所提供的无线局域网集中式 802. IX认证方法及装置和了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

Claims

权利要求书

1、一种无线局域网集中式 802. IX认证方法，其特征在于，所述无线局域网包括认证实体、接入点以及至少一个用户设备 UE , 所述认证实体通过所述接入点与所述至少一个 UE相连，所述方法包括：

2、根据权利要求 1所述的方法，其特征在于，所述方法还包括：

接收所述认证实体发送的 EAP认证 ^艮文，其中，所述 EAP认证 ^艮文的源地址为所述认证实体的 MAC地址、目的地址为所述 UE的 MAC地址；

将所述 EAP认证报文的源地址修改为所述接入点的空口对应的 MAC地址；向所述 UE转发所述修改了源地址的 EAP认证报文。

3、根据权利要求 2所述的方法，其特征在于，所述方法还包括：

接收所述 UE发送的第二 EAP认证报文，该第二 EAP认证报文为所述 UE发送的除 EAP认证开始报文外的认证报文，所述第二 EAP认证报文的目的地址为所述接入点的空口对应的 MAC地址、源地址为所述 UE的 MAC地址；

将第二 EAP认证报文的目的地址修改为所述认证实体的 MAC地址；转发所述修改了目的地址的第二 EAP认证报文。

4、根据权利要求 1所述的方法，其特征在于，所述方法还包括：

接收所述认证实体发送的第三 EAP认证报文，其中，所述第三 EAP认证报文的源地址为所述认证实体的 MAC地址、目的地址为所述 UE的 MAC地址；

向所述 UE转发第三 EAP认证报文，以便于所述 UE从所述第三 EAP认证报文中学习到所述认证实体的 MAC地址。

5、一种无线局域网集中式 802. IX认证方法，其特征在于，包括：接入点生成 EAP认证开始报文，该 EAP认证开始报文的目的地址为端口接入实体组播地址或者认证实体的 MAC地址、源地址为 UE的 MAC地址；

发送所述 EAP认证开始艮文；

6、一种接入点设备，其特征在于，包括：

7、根据权利要求 6所述的接入点设备，其特征在于，还包括：

第二接收模块，用于接收所述认证实体发送的 EAP认证报文，其中，所述地址；

第二地址修改模块，用于将所述第二接收模块接收的 EAP认证报文的源地址修改为所述接入点的空口对应的 MAC地址；

第二转发模块，用于向所述 UE转发所述第二地址修改模块修改了源地址的 EAP认证 4艮文。

8、根据权利要求 7所述的接入点设备，其特征在于，

所述第一接收模块还用于，接收所述 UE发送的第二 EAP认证报文，该第二 EAP认证报文为所述 UE发送的除 EAP认证开始报文外的认证开始报文，所述第二 EAP认证报文的目的地址为所述接入点的空口对应的 MAC地址、源地址为所述 UE的 MAC地址；所述第一地址修改模块还用于，将所述第一接收模块接收的第二 EAP认证报文的目的地址爹改为所述认证实体的 MAC地址；

所述第一转发模块还用于，转发所述第一地址修改模块修改了目的地址的第二 EAP认证报文。

9、根据权利要求 6所述的接入点设备，其特征在于，还包括：

第三接收模块，用于接收所述认证实体发送的第三 EAP认证报文，所述第三地址；

第三转发模块，用于向所述 UE转发所述第三接收模块接收的第三 EAP认证报文，以便于所述 UE从所述第三 EAP认证报文中学习到所述认证实体的 MAC地址。

10、一种无线局域网集中式 802. IX认证系统，其特征在于，无线局域网包括认证实体、接入点以及至少一个用户设备 UE, 所述认证实体通过所述接入点与所述至少一个 UE相连，

其中，所述接入点，用于接收 UE发送的可扩展认证协议 EAP认证开始报文，所述 EAP认证开始艮文的目的地址为所述接入点的空口对应的介质访问控制 MAC地址、源地址为所述 UE的 MAC地址；将所述 EAP认证开始艮文的目的地址修改为端口接入实体组播地址或者认证实体的 MAC地址；转发所述修改了目的地址的 EAP认证开始 ^艮文，以便于所述认证实体根据所述修改了目的地址的 EAP认证开始报文开始所述 UE的接入认证。