WO2013067911A1

WO2013067911A1 - 一种接入认证方法、系统及设备

Info

Publication number: WO2013067911A1
Application number: PCT/CN2012/084131
Authority: WO
Inventors: 潘云波; 魏元
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-11-09
Filing date: 2012-11-06
Publication date: 2013-05-16
Also published as: CN103108324A

Abstract

本发明实施例提供一种接入认证系统、方法和设备，所述系统包括现网接入设备，与所述现网接入设备相连的接入认证设备，其中：所述现网接入设备设置为：对终端进行接入控制；所述接入认证设备设置为：对终端进行接入认证，将终端相关信息或认证结果发送给所述现网接入设备。

Description

一种接入认证方法、系统及设备

技术领域

本发明涉及网络通信领域，尤其涉及一种接入认证方法、系统及设备。

背景技术

在身份与位置分离网络中，如图 1所示，身份和位置分离， Host为主机，配置 AID (Access Identity, 接入标识)作为身份标识； ASR为接入路由器，配备 RID ( Routing Identity, 路由标识）作为位置标识。所有 Host主机通过 ASR进行注册和认证并接入网络。 Host接入到 ASR ( Access Service Router, 接入业务路由器）上，以及离开 ASR的行为， ASR都需向 ILR( Identity-Locator Register, 身份-位置映射器）汇报。 ILR保存 Host的身份标识 AID和所在位置 RID的映射关系 <AID, RID>。 ILR同时提供对查询映射关系的响应。

Host与 Host之间通信，釆用 ASR上的 RID进行封装并路由，并将 Host 与 Host之间的原始报文封装在载荷（Payload ) 中。报文到达目的 ASR, 目的 ASR对报文进行解封装，然后将原始报文转发到目的 Host。

报文在身份和位置网络中转发如图 2 所示，报文转发的过程为：在源 ASR (图中 ASR1)对报文进行封装，然后在源 ASR和目的 ASR (图中 ASR2 ) 之间转发封装后的报文，最后在目的 ASR上对报文进行解封装，并转发到目的 HOST (图中 Host2)。

在报文转发流程中 ,报文的封装格式分为原始报文和 RID封装报文两种：原始报文转发：在身份与位置分离网络的接入层，即 Host与 ASR之间釆用 AID作为源地址和目的地址进行报文转发，报文格式如图 3所示。

RID封装报文转发：在身份与位置分离网络的核心层，即 ASR与 ASR 之间釆用 RID封装后的报文转发，报文如图 4所示。

在现有网络中，存在着大量的接入设备，例如 WLAN(Wireless Local Area Network,无线局域网） AC( Access Controller,接入控制器）， WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入) ASN-GW ( Access Service Network Gateway, 接入网关），固网的 BRAS ( Broadband Remote Access Server, 宽带远程接入服务器），尽管这些设备的产品形态以及功能各有不同，但是他们大都有着以下共同点：

路由的第一跳，也即接入路由器；

认证的执行点，尽管认证的方式存在不同（有的釆用 EAP ( Extensible Authentication Protocol,可扩展认证协议），有的釆用 Portal,有的釆用 PPPoE ( Point-to-Point Protocol Over Ethernet,以太网上点对点协议）），但它们都是认证的执行点（例如， ΕΑΡ框架中的 EAP Authenticator )而非最终认证点（最终认证点为 AAA Server ( Authentication Authorization Accounting Server, 婆权认证计费服务器），接入设备为 AAA Client ( AAA客户端））；

接入的控制点，接入设备可以控制用户的网络接入权限。

鉴于在身份与位置分离网络中， ASR必须是接入路由器，同时具备认证功能。因此，如果要对现网进行身份与位置分离网络改造，就需要对现网中的接入设备进行升级，但是现有网络中存在着大量不同类型的接入设备（AC、 ASN-GW, BRAS )等等，这些设备形态千差万别，包括：

处理能力的区别：有的位于楼宇之中，服务于数百用户，有的位于机房，可以同时服务于数十万用户；

路由实现的区别：有的接入控制设备用软件来实现其路由功能，有的用硬件来实现路由功能；

功能的区别：有些 BRAS可能具备业务路由器功能，有些 AC、 ASN-GW 具备无线资源管理功能。

这些能力、实现方式、功能的区别使得现有的接入设备形态各异，如果对现网进行 ASR化改造，需要对现网的这些接入设备——作针对性的改造，这将耗费大量的人力、物力和财力。

发明内容

本发明实施例提供一种接入认证系统和方法，实现对现有网络的升级。本发明实施例提供的一种接入认证系统，包括现网接入设备，与所述现网接入设备相连的接入认证设备，其中：

所述现网接入设备设置为：对终端进行接入控制；

所述接入认证设备设置为：对终端进行接入认证，将终端相关信息或认证结果发送给所述现网接入设备。

上述系统还可具有以下特点，所述接入认证设备对所述终端进行接入认证包括：

所述接入认证设备与所述终端、鉴权认证计费服务器交互，对所述终端进行认证。

上述系统还可具有以下特点，所述现网接入设备还设置为：接收到所述终端相关信息后，与所述终端进行交互，生成接入控制信息，根据所述接入控制信息对所述终端进行接入控制。

上述系统还可具有以下特点，所述终端相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。

上述系统还可具有以下特点，所述现网接入设备为接入控制器，或者，接入网关，或者，宽度远程接入服务器。

本发明实施例提供的一种接入认证方法，包括：接入认证设备对终端进行接入认证，将终端相关信息或认证结果发送给现网接入设备。

上述方法还可具有以下特点，所述接入认证设备对所述终端进行接入认证包括：

上述方法还可具有以下特点，所述方法还包括：

所述现网接入设备接收到所述终端相关信息后，与所述终端进行交互，生成接入控制信息，根据所述接入控制信息对所述终端进行接入控制。

上述方法还可具有以下特点，所述终端相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。上述方法还可具有以下特点，所述现网接入设备为接入控制器，或者，接入网关，或者，宽度远程接入服务器。

本发明实施例还提供一种接入认证设备，其包括认证单元和发送单元，其中，

所述认证单元设置为：对终端进行接入认证；

所述发送单元设置为：将用来对所述终端进行接入控制的相关信息或认证结果发送给现网接入设备。

其中，所述认证单元可以设置为：与所述终端、鉴权认证计费服务器交互，对所述终端进行认证。

所述接入认证设备还可以包括接收单元，所述接收单元设置为：当终端接入网络时，接收所述现网接入设备发送的所述终端的接入信息或所述终端的访问请求。

本发明实施例提供了一种接入认证系统和方法，在保持现有接入设备形态不变的前提下，将路由及认证功能从现有接入设备中剥离出来，集中到接入认证设备，从而实现了对现有网络的升级，简单易行。

附图概述

图 1是身份和位置分离网络示意图；

图 2 是报文在身份和位置分离网络中的转发过程示意图；

图 3是原始 AID报文示意图；

图 4 是 RID封装报文示意图；

图 5是本发明实施例所涉及的网元架构示意图；

图 6是本发明实施例接入认证方法流程示意图；

图 7是本发明实施例 1基于 EAP的接入流程示意图；

图 8是本发明实施例 1在 WLAN网络中的接入流程协议栈示意图；图 9是本发明实施例 1在 WiMAX网络中的接入流程协议栈示意图；图 10是本发明实施例 2基于 Portal的接入流程示意图；

图 11是本发明实施例的接入认证设备的结构示意图。本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例提供了一种接入认证系统，在保持现有接入设备形态不变的前提下，将路由及认证功能从现有接入设备中剥离出来，集中到接入认证设备。

上述接入认证系统，包括现网接入设备，与所述现网接入设备相连的接入认证设备，其中：

所述现网接入设备设置为：对终端进行接入控制；

其中，所述接入认证设备对所述终端进行接入认证包括：

其中：所述现网接入设备还设置为：接收到所述终端相关信息后，与所述终端进行交互，生成接入控制信息，根据所述接入控制信息对所述终端进行接入控制。

其中，所述终端相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。

其中，所述现网接入设备为接入控制器，或者，接入网关，或者，宽度远程接入服务器。

本发明实施例还提供一种接入认证方法，包括：

接入认证设备对终端进行接入认证，将终端相关信息或认证结果发送给现网接入设备。

其中，所述接入认证设备对所述终端进行接入认证包括：

其中，所述方法还包括：所述现网接入设备接收到所述终端相关信息后，与所述终端进行交互，生成接入控制信息，根据所述接入控制信息对所述终端进行接入控制。

下面实施例中以接入认证设备（也称接入认证点）为 ASR为例进行说明，但接入认证设备不限于 ASR, 也可是其它能实现接入认证的装置。

如图 5所示，在某个需要进行身份与位置分离网络改造的现有网络中增加一个或多个专门的 ASR模块。这些 ASR模块是独立于接入技术的接入路由器，同时具备认证执行点的功能。现网中的接入设备与一个或者多个 ASR 通过特定的协议连接起来。如图 6所示，当终端用户接入网络时，现网中的接入设备将终端的信息通过特定的协议告知 ASR, 或者将终端的访问请求转发给 ASR, 然后由 ASR来对用户进行接入认证，认证通过后， ASR将产生的用户 Profile (例如 PMK、 AID, QoS信息等等）发送给接入设备，接入设备再根据具体的接入技术产生用户接入控制的信息，在用户获准接入后，现网接入设备将用户所有的上行数据都直接转发给对其进行认证的 ASR。接入认证可以是终端主动触发，也可以是网络设备触发。

实施例 1

图 7为本发明实施例在 EAP体系下的一种终端入网流程，所述方法包括以下步骤：步骤 701 : 终端用户与当前的接入网络建立连接，所述的建立连接是指终端可以与网络接入设备进行 MAC层通信，而非授权接入网络；

以 WLAN为例，终端与网络接入设备完成 Association交互即可视为完成该步骤；

以 WiMAX 为例，终端与网络设备完成 SBC 交互（终端收到

SBC-Response ) 即可视为完成该步骤。

步骤 702 : 现网的网络接入设备（AC 或者 ASN-GW ) 向终端发送 EAP-Request/ID来询问终端的网络接入标识；

该消息的触发可以是对来自终端的 EAP-Start消息的回应（EAP-Start是 EAP中的可选消息），也可以是完成步骤 701后的内部触发。

步骤 703: 终端在收到 EAP-Request/ID消息后，回复 EAP-Response/ID 告知自己的身份，现网接入设备收到该消息后将该消息转发给 ASR, ASR对该消息进行处理，并将之通过 AAA协议发送给 AAA Server。

步骤 704: 终端、 ASR、 AAA Server三者执行 EAP认证流程，在该流程中，现网接入设备仅仅是个认证的 Relay (中继），其作用仅仅是将 EAP报文在不同承载协议间进行转换（关于承载协议，参考对附图 8、 9的描述）；在该过程中， AAA Server将终端的 Profile, AID及认证产生的 MSK等安全信息发送给 ASR。

步骤 705: 认证完成后， AAA Server将认证结果告知终端和 ASR。

步骤 706: ASR将现网接入设备所需的用户信息传递给现网接入设备；所述用户信息包括密钥信息、用户权限和 /或 QoS信息等，还可包括 AID, 其中，所述密钥信息包括 PMK ( Pairwise master key )等。其中， ASR生成 MSK, 再才艮据 MSK生成 PMK。

步骤 707: 现网接入设备与终端进行交互，产生用于对终端进行接入控制以及后续通信所需的信息；

例如，在 WLAN 网络中，终端与现网接入设备进行 4 次握手 ( 4-way-handshake )产生临时会话密钥等信息，现网接入设备根据信息的产生结果及使用结果来对终端进行接入控制；在 WiMAX网络中，终端与现网接入设备进行 PKMv2/SA-TEK交互。

附图 8、 9分别为实施例 1在 WLAN、 WiMAX网络中的接入认证协议栈示意图。

如图 8 , 9所示，在 ASR与现网接入设备之间增加了一个 RACP ( Remote

Access Control Protocol, 远端接入控制协议），该协议主要用于：

承载 ASR与现网接入设备之间的认证报文；

用于 ASR与现网接入设备之间传递用户相关信息，例如 ASR向现网接入设备传递用户的 PMK, 告知认证结果等等。

该协议可以是个专门为此制定的协议，也可以是现有协议（例如 Radius ) 的扩充。

图 10为本发明实施例在 Portal认证体系下的一种终端入网流程，如图 9 所示，所述方法包括以下步骤：

步骤 1001 , 终端接入网络，现网接入设备或者 ASR为其分配一个临时

IP地址（可以是私网地址） , 该 IP地址只能访问 Portal Server(Portal认证服务器）、 DNS Server等设备。用户访问网站， ASR将其重定向至 Portal Server, Portal Server将认证页面推送至终端，用户填入用户名、密码，发起连接请求；步骤 1002, Portal Server向 ASR请求 Challenge;

步骤 1003 , ASR分配 Challenge给 Portal Server;

步骤 1004, Portal Server向 ASR发起认证请求；

步骤 1005, ASR进行 RADIUS认证，获得 RADIUS认证结果，在该过程中， ASR扮演 AAA Client角色，在认证过程中， ASR获得终端的 AID; 步骤 1006, ASR将认证结果告知 Portal Server;

步骤 1007a, ASR将认证结果告知网络接入设备，要求其对终端的数据放行；

步骤 1007b, Portal Server将认证结果告知终端，同时要求终端更换 IP地址。

本发明实施例还提供一种接入认证设备，如图 11所示，其包括认证单元和发送单元，其中，

所述认证单元设置为：对终端进行接入认证；

更进一步，本架构不仅适用于对现网进行身份与位置分离网络改造，还可用于其他场景 , 例如 FMC ( Fixed Mobile Convergence, 固网融合 )等等 , 其流程与实施例 1、 2类似，区别仅仅在于：身份与位置分离网络的 ASR变成其他接入认证设备；

RACP协议传递的参数有所区别。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

工业实用性

Claims

权利要求书

1、一种接入认证系统，包括现网接入设备，以及与所述现网接入设备相连的接入认证设备，其中：

所述接入认证设备设置为：对终端进行接入认证，将用来对所述终端进行接入控制的相关信息或认证结果发送给所述现网接入设备；

所述现网接入设备设置为：根据所述相关信息或认证结果对所述终端进行接入控制。

2、如权利要求 1所述的系统，其中，所述接入认证设备是设置为以如下方式对所述终端进行接入认证：

3、如权利要求 1所述的系统，其中，

所述现网接入设备是设置为：接收到所述相关信息后，与所述终端进行交互，生成接入控制信息，根据所述接入控制信息对所述终端进行接入控制。

4、如权利要求 1所述的系统，其中，所述终端相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。

5、如权利要求 1至 4任一所述的系统，其中，所述现网接入设备为接入控制器，或者，接入网关，或者，宽度远程接入服务器。

6、一种接入认证方法，其包括：

接入认证设备对终端进行接入认证，将用来对所述终端进行接入控制的相关信息或认证结果发送给现网接入设备。

7、如权利要求 6所述的方法，其中，所述接入认证设备对所述终端进行接入认证包括：

8、如权利要求 6所述的方法，所述方法还包括：

9、如权利要求 6所述的方法，其中，所述相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。

10、如权利要求 6至 9任一所述的方法，其中，所述现网接入设备为接入控制器，或者，接入网关，或者，宽度远程接入服务器。

11、一种接入认证设备，其包括认证单元和发送单元，其中，

所述认证单元设置为：对终端进行接入认证；

所述发送单元设置为：将用来对所述终端进行接入控制的相关信息或认证结果发送给与所述接入认证设备相连的现网接入设备。

12、如权利要求 11所述的设备，其中，所述认证单元是设置为：与所述终端、鉴权认证计费服务器交互，对所述终端进行认证。

13、如权利要求 11所述的设备，其中，所述相关信息包括如下之一或其任意组合：密钥信息、用户权限信息、服务质量信息和身份标识。

14、如权利要求 11所述的设备，其还包括接收单元，所述接收单元设置为：

当终端接入网络时，接收所述现网接入设备发送的所述终端的接入信息或所述终端的访问请求。