WO2013166909A1

WO2013166909A1 - Eap认证触发方法及系统、接入网设备、终端设备

Info

Publication number: WO2013166909A1
Application number: PCT/CN2013/074525
Authority: WO
Inventors: 丁志明; 方平
Original assignee: 华为终端有限公司
Priority date: 2012-05-08
Filing date: 2013-04-22
Publication date: 2013-11-14
Also published as: CN103391542B; CN103391542A

Abstract

本发明实施例提供EAP认证触发方法及系统、接入网设备、终端设备，通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息，并将所述EAP响应/标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行EAP认证方法，解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题，与现有技术相比，EAP认证过程时间有较大缩短，从而提高了EAP认证的执行效率，以及降低了接入网设备的信令处理负担。

Description

EAP认证触发方法及系统、接入网设备、终端设备本申请要求于 2012年 5月 8日提交中国专利局、申请号为 201210140210.1 中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明实施例涉及通信技术，尤其涉及可扩展的认证协议（Extensible Authentication Protocol , EAP )认证触发方法及系统、接入网设备、终端设备。背景技术在无线通信网络例如：无线局域网 ( Wireless Local Area Network, WLAN )连接的建立过程中，认证服务器（Authentication Server, AS )需要通过接入网设备，与终端设备执行 EAP ( Extensible Authentication

Protocol , EAP, 可扩展的认证协议）认证。具体地，接入网设备接收到终端设备发送的 EAP认证开始（ EAPoL-Start ) 消息，该消息用以指示需要执行 EAP认证方法。所述接入网设备则向所述终端设备发送 EAP请求 /标识（ EAP-Request/ldentity ) 消息，以及接收所述终端设备根据所述 EAP 请求 /标识消息发送的 EAP响应 /标识（EAP-Response/ldentity ) 消息，所述 EAP响应 /标识消息中包含所述终端设备的标识。至此，所述接入网设备则可以向认证服务器转发所述 EAP响应 /标识消息，用以触发所述认证服务器与所述终端设备执行 EAP认证方法。

然而，现有的 EAP认证的触发过程中，终端设备与接入网设备之间交互的消息较多，使得 EAP认证过程时间较长，导致了 EAP认证的执行效率的降低，以及接入网设备的信令处理负担的增加。

发明内容本发明实施例提供 EAP认证触发方法及系统、接入网设备、终端设备，用以提高 EAP认证的执行效率，以及降低接入网设备的信令处理负担。一方面，一种 EAP认证触发方法，包括：

接入网设备接收终端设备发送的第一管理帧，所述第一管理帧中包含所述终端设备的标识；

所述接入网设备生成 EAP响应 /标识消息，所述 EAP响应 /标识消息中包含所述终端设备的标识；

所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，以使得所述认证服务器与所述终端设备执行 EAP认证方法。

另一方面，一种 EAP认证触发方法，包括：

终端设备向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成 EAP响应 /标识消息，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，所述 EAP响应 / 标识消息中包含所述终端设备的标识；

所述终端设备与所述认证服务器执行 EAP认证方法。

另一方面，一种接入网设备，包括：

第一接收器，用于接收终端设备发送的第一管理帧，所述第一管理帧中包含所述终端设备的标识；

处理器，用于生成 EAP响应 /标识消息，所述 EAP响应 /标识消息中包含所述终端设备的标识；

第一发送器，用于向认证服务器发送所述 EAP响应 /标识消息，以使得所述认证服务器与所述终端设备执行 EAP认证方法。

另一方面，一种终端设备，包括：

发送器，用于向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成 EAP响应 /标识消息，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，所述 EAP 响应 /标识消息中包含所述终端设备的标识；

处理器，用于与所述认证服务器执行 EAP认证方法。

另一方面，一种 EAP认证触发系统，包括上述接入网设备，还包括认证服务器，用于接收所述接入网设备发送的所述 EAP响应 /标识消息，与终端设备执行 EAP认证方法。

由上述技术方案可知，本发明实施例通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的 EAP响应 /标识消息 , 并将所述 EAP响应 /标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行 EAP

较多的问题，与现有技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP认证的执行效率，以及降低了接入网设备的信令处理负担。

附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图 1为本发明一实施例提供的 EAP认证触发方法的流程示意图；图 2为本发明另一实施例提供的 EAP认证触发方法的流程示意图；图 3为本发明另一实施例提供的 EAP认证触发方法的流程示意图；图 4为本发明另一实施例提供的接入网设备的结构示意图；

图 5为本发明另一实施例提供的接入网设备的结构示意图；

图 6为本发明另一实施例提供的终端设备的结构示意图；

图 7为本发明另一实施例提供的终端设备的结构示意图；

图 8为本发明另一实施例提供的 EAP认证触发系统的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明的技术方案，可以应用于各种无线通信网络，例如：无线局域网（Wireless Local Area Network, WLAN )、全球移动通信系统（Global System for Mobile Communications , GSM ) 网络、通用分组无线业务 ( General Packet Radio Service, GPRS )网络、码分多址 ( Code Division Multiple Access, CDMA )网络、 CDMA2000网络、宽带码分多址（ Wideband Code Division Multiple Access, WCDMA ) 网络、长期演进（Long Term Evolution, LTE )网络或全球微波接入互操作性（World Interoperability for Microwave Access, WiMAX ) 网络等。

其中，接入网设备，可以是 WLAN中的接入点（Access Point, AP ), 还可以是 GSM 网络、 GPRS 网络或 CDMA 网络中的基站（ Base Transceiver Station, BTS ), 还可以是 CDMA2000网络或 WCDMA网络中的基站（NodeB ),还可以是 LTE网络中的演进型基站（ Evolved NodeB, eNB ), 还可以是 WiMAX网络中的接入服务网络的基站（Access Service Network Base Station, ASN BS ); 或也可以是以上所述接入点、基站后面的控制器或认证器等网元。

图 1为本发明一实施例提供的 EAP认证触发方法的流程示意图，如图 1所示。

101、接入网设备接收终端设备发送的第一管理帧，所述第一管理帧中包含所述终端设备的标识。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如：所述终端设备的用户标识可以为业务层面的一个用户标识，即账号名；所述终端设备的设备标识可以为终端设备的媒体访问控制（ Media Access Control, MAC )地址。

102、所述接入网设备生成 EAP响应 /标识消息，所述 EAP响应 /标识消息中包含所述终端设备的标识。

103、所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，以使得所述认证服务器与所述终端设备执行 EAP认证方法。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧可以包括但不限于关联请求（ Association Request ) 帧，或第一认证 ( Authentication First ) †J¾。

例如：可以从现有的 802.11标准的第一认证帧开始，在其中携带所述终端设备的标识触发后续的 EAP认证过程；或者也可以从关联请求帧开始，在其中携带所述终端设备的标识触发后续的 EAP认证过程；或者还可以另外定义一个新的第一管理帧，在其中携带所述终端设备的标识触发后续的

EAP认证过程。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中还可以进一步包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。例如：可以使用 EAPoL-Start消息作为 EAP认证开始指示，或者也可以使用一个标志位等方式作为 EAP认证开始指示。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中还可以进一步包含所述终端支持的 EAP方法信息；相应地，所述接入网设备还可以进一步向所述认证服务器发送所述终端设备支持的 EAP 认证方法信息，以使得所述认证服务器能够根据所述终端设备支持的 EAP认证方法信息选择合适的认证方法。

可选地，在本实施例的一个可选实施方式中，在步骤 103之后，所述接入网设备还可以进一步接收所述认证服务器与所述终端设备执行所述 EAP认证方法之后发送的 EAP认证成功消息或 EAP认证失败消息；然后，所述接入网设备则可以向所述终端设备发送第二管理帧 , 所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息。具体地，所述第二管理帧可以包括但不限于关联响应（Association Response )帧，或第二 ΐ人 ΐ正 ( Authentication Second ) †J¾。

可选地，所述 EAP认证成功消息或所述 EAP认证失败消息还可以不包含在所述第二管理帧中，而是所述接入网设备在向所述终端设备发送所述第二管理帧之前，向所述终端设备单独发送，但是，这样，就多出一个消息，因此，所述 EAP认证成功消息或所述 EAP认证失败消息包含在所述第二管理帧中则是本发明优选的实施方式。

可以理解的是：若所述 EAP认证方法认证成功，则所述关联响应帧中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识 ( Association ID, AID ) , 所述关联标识用于在一个 WLAN中唯一标识一个设备。

本实施例中，通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的 EAP响应 /标识消息，并将所述 EAP响应 /标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行 EAP认证方法，解决了现技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP认证的执行效率，以及降低了接入网设备的信令处理负担。

图 2为本发明另一实施例提供的 EAP认证触发方法的流程示意图，如图 2所示。

201、终端设备向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成 EAP响应 /标识消息，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，所述 EAP 响应 /标识消息中包含所述终端设备的标识。

202、所述终端设备与所述认证服务器执行 EAP认证方法。

例如：可以从现有的 802.11标准的第一认证帧开始，在其中携带所述终端设备的标识触发后续的 EAP认证过程；或者也可以将 802.11 标准的第一认证帧省略，从关联请求帧开始，在其中携带所述终端设备的标识触发后续的 EAP认证过程；或者还可以另外定义一个新的管理帧代替现有的管理帧，在其中携带所述终端设备的标识触发后续的 EAP认证过程。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中还可以进一步包含所述终端支持的 EAP方法信息；相应地，所述接入网设备还可以进一步向所述认证服务器发送所述终端设备支持的 EAP 认证方法信息，以使得所述认证服务器能够根据所述终端设备支持的 EAP认证方法选择合适的认证方法。

可选地，在本实施例的一个可选实施方式中，所述接入网设备向认证服务器发送所述 EAP响应 /标识消息之后，所述终端设备还可以进一步接收所述接入网设备发送的第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息，所述 EAP认证成功消息或所述 EAP 认证失败消息为所述接入网设备接收所述认证服务器与所述终端设备执行所述 EAP认证方法之后发送给所述接入网设备。具体地，所述第二管理帧可以包括但不限于关联响应（Association Response ) 帧，或第二认证 ( Authentication Second ) †J¾。

可选地，所述 EAP认证成功消息或所述 EAP认证失败消息还可以不包含在所述第二管理帧中，而是在所述接入网设备向所述终端设备发送所述第二管理帧之前，向所述终端设备单独发送，但是，这样，就多出一个消息，因此，所述 EAP认证成功消息或所述 EAP认证失败消息包含在所述第二管理帧中则是本发明优选的实施方式。

可以理解的是：对于成功的 EAP认证方法，所述关联响应帧中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识（ Association ID, AID ) , 所述关联标识用于在一个 WLAN中唯一标识一个设备。

本实施例中，通过在终端设备向接入网设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的 EAP响应 /标识消息，并将所述 EAP响应 /标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行 EAP认证方法，解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题，与现有技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP认证的执行效率，以及降低了接入网设备的信令处理负担。

为使得本发明实施例提供的方法更加清楚，下面将以 WIFI网络作为举例。其中，终端设备可以是 WIFI网络中的站点（Station, 简称 STA )。

图 3为本发明另一实施例提供的 EAP认证触发方法的流程示意图，具体地，通过在关联请求（Association Request ) 帧中携带所述终端设备的用户标识，如图 3所示。

301、 STA向 AP发送关联请求（Association Request )帧，所述关联请求帧中包含 EAP认证开始指示和 STA的用户标识。

在 301之前， STA可以通过被动扫描或主动扫描，发现 AP, 该 AP可以支持本实施例后续步骤的执行。

需要说明的是，所述关联请求帧中所包含的 EAP认证开始指示可以是隐含的，例如：可以通过在现有关联请求帧中设置的一个位来体现，再例如：也可以通过其它字段 (如 STA的用户标识）来体现，即当 AP接收到包含 STA的用户标识的关联请求帧后即认为 STA发送了 EAP认证开始指示，请求执行所述 EAP认证；或者也可以是显式的，即通过在现有关联请求帧中新增加信息元素 ( Information Element, 简称 IE )来包含所述 EAP 认证开始指示。

需要说明的是，本实施例具体可以通过在现有关联请求帧中新增加 IE 来包含 STA的用户标识。

302、 AP根据显式的所述 EAP认证开始指示，或者根据隐含的所述 EAP认证开始指示即 STA的用户标识，生成 EAP响应 /标识消息，所述 EAP 响应 /标识消息中包含所述 STA的用户标识。

303、 AP向 AS发送所述 EAP响应 /标识消息。

可选地， AP还可以进一步向 AS发送 STA支持的 EAP认证方法，以使得 AS能够根据所述 STA支持的 EAP认证方法选择合适的认证方法。

304、 STA与 AS执行 EAP认证方法，以实现 AS对 STA的认证，或者 AS 与 STA 双方的相互认证，并通过所述 EAP 认证生成主会话密钥

( Master Session Key, MSK ), 并进一步根据 MSK 生成成对主密钥 ( Pairwise Master Key, PMK )。

具体地， EAP认证方法可以由 AS选择，或者还可以通过 AS与 STA 进行协商确定，本实施例对此不进行限定。

其中，所述 EAP认证的消息传输的格式可以直接釆用 EAP封装，或者也可以釆用 802.1X封装，本实施例对此不进行限定。

305、 AS向 AP发送 EAP认证成功消息，并同时将 PMK发送给 AP。

306、 AP向 STA发送关联响应帧，所述关联响应帧中包含所述 EAP 认证成功消息和 AP为 STA分配的 AID。

需要说明的是，所述关联响应帧中包含的 EAP认证成功消息可以是隐含的，例如：通过在现有关联响应帧中设置的一个位来体现，再例如：通过其它字段（如组播临时密钥（Group Transient Key, GTK ) )来体现；或者也可以是显式的，即通过在现有关联请求帧中新增加信息元素

( Information Element, 简称 IE ) 来包含所述 EAP认证成功消息。

与现有标准中的触发 EAP 认证相比，去除了 EAP 认证开始

( EAPoL-Start )消息、 EAP请求 /标识消息、以及 EAP响应 /标识消息，将 EAPoL-Start消息和 STA的用户标识的交互合并到关联请求帧中，通过 1 步关联消息（即关联请求帧）即可实现 EAP认证的触发，可以减少 3条消息交互，从而在一定程度上提高了初始链路建立（包括 EAP认证过程）的效率。

本实施例中，通过在 STA向 AP发送的关联请求帧中携带所述 STA的标识，使得所述 AP生成包含所述 STA的标识的 EAP响应 /标识消息，并将所述 EAP响应 /标识消息发送给 AS, 以使得所述 AS与所述 STA执行 EAP认证方法，解决了现有技术中由于 STA与 AP之间交互的消息较多的问题，与现有技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP 认证的执行效率，以及降低了 AP的信令处理负担。

需要说明的是：对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因而依据本发明，某些步骤可以釆用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

图 4为本发明另一实施例提供的接入网设备的结构示意图，如图 4所示，第一接收器 41、处理器 42和第一发送器 43。其中，第一接收器 41 用于接收终端设备发送的第一管理帧，所述第一管理帧中包含所述终端设备的标识；处理器 42用于生成 EAP响应 /标识消息，所述 EAP响应 /标识消息中包含所述终端设备的标识；第一发送器 43用于向认证服务器发送所述 EAP响应 /标识消息，以使得所述认证服务器与所述终端设备执行 EAP 认证方法。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中还可以进一步包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。

可选地，在本实施例的一个可选实施方式中，所述第一管理帧中还可以进一步包含所述终端支持的 EAP方法信息；相应地，第一发送器 43还可以进一步向所述认证服务器发送所述终端设备支持的 EAP 认证方法信息，以使得所述认证服务器能够根据所述终端设备支持的 EAP认证方法选择合适的认证方法。

可选地，在本实施例的一个可选实施方式中，如图 5所示，本实施例提供的接入网设备还可以进一步包括第二接收器 51 和第二发送器 52。其中，第二接收器 51用于接收所述认证服务器与所述终端设备执行所述 EAP 认证方法之后发送的 EAP认证成功消息或 EAP认证失败消息；第二发送器 52 用于向所述终端设备发送第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息。具体地，所述第二管理帧可以包括但不限于关联响应（ Association Response ) 帧，或第二认证 ( Authentication Second ) †J¾。

下面将以 WiFi网络作为举例。其中， STA可以是 WiFi网络中的站点 ( Station , 简称 STA )。本实施例中，处理器 42可以对应为本发明新增加的功能模块，即 EAP触发代理模块。接收器接收 STA发送的第一管理帧，所述第一管理帧中包含所述 STA的标识。然后，接收器将所述第一管理帧输出给 MAC帧处理模块， MAC帧处理模块将所述第一管理帧中包含的所述 STA的标识输出给 EAP触发代理模块，所述 EAP触发代理模块生成包含所述 STA的标识的 EAP响应 /标识消息。 AP工作于 EAP的转发模式时，通常内部还有远程认证客户端模块（例如： RADIUS客户端），相当于发送器 43, EAP触发代理模块生成的 EAP响应 /标识消息将输出给这个远程认证客户端模块，再由这个远程认证客户端模块向外发送消息。

EAP认证者模块是现有模块，本发明不改变其任何功能。一般情况下，这个 EAP认证者模块在收到 EAPoL认证开始消息时，产生 EAP请求 /标识消息向 STA发送，之后接收来自 STA的 EAP响应 /标识消息并向认证服务器转发，并继续转发后续的 EAP请求和 EAP响应等消息。按照 EAP协议，对于 AP可以没有发送 EAP请求 /标识消息和转发 EAP响应 /标识消息的过程，来自认证服务器或 STA的任何 EAP消息它应该如实转发，因此本发明可以在不修改现有 EAP认证者模块的基础上运作，如此满足了 EAP协议 (体现在 AP与认证服务器之间的交互没有任何改变）的要求，但是在 STA 与 AP之间确实减少了消息数。

MAC帧处理模块是现有模块，很显然，由于消息作了修改，这个模块一定有修改，其中对于本发明主要的修改在于识别来自 STA的第一管理帧中是否包含有 STA的标识，或包含有 EAP认证开始指示，若有，则将所述第一管理帧中的 STA的标识发送至 EAP触发代理模块以触发 EAP过程。

本实施例中，接入网设备通过在第一接收器接收的终端设备发送的第一管理帧中携带所述终端设备的标识，使得处理器生成包含所述终端设备的标识的 EAP响应 /标识消息，并由第一发送器将所述 EAP响应 /标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行 EAP认证的问题，与现有技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP 认证的执行效率，以及降低了接入网设备的信令处理负担。

图 6为本发明另一实施例提供的终端设备的结构示意图，如图 6所示，本实施例的终端设备可以包括发送器 61和处理器 62。其中，发送器 61用于向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成 EAP 响应 /标识消息，所述 EAP 响应 / 标识消息中包含所述终端设备的标识，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息；处理器 62用于与所述认证服务器执行 EAP 认证方法。

可选地，在本实施例的一个可选实施方式中，如图 7所示，本实施例的终端设备还可以进一步包括接收器 71 , 用于接收所述接入网设备发送的第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP 认证失败消息，所述 EAP认证成功消息或所述 EAP认证失败消息为所述接入网设备接收所述认证服务器与所述终端设备执行所述 EAP认证方法之后发送给所述接入网设备。具体地，所述第二管理帧可以包括但不限于关联响应 ( Association Response )帧，或第二认证 ( Authentication Second ) 帧。

本实施例中，终端设备通过在发送器向接入网设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的 EAP响应 /标识消息，并将所述 EAP响应 /标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行 EAP认证方法，解决了有技术相比， EAP认证过程时间有较大缩短，从而提高了 EAP认证的执行效率，以及降低了接入网设备的信令处理负担。图 8为本发明另一实施例提供的 EAP认证触发系统的结构示意图，如图 8所示，本实施例的 EAP认证触发系统可以包括图 4或图 5对应的实施例提供的所述接入网设备 81 ,还包括认证服务器 82, 用于接收所述接入网设备发送的所述 EAP响应 /标识消息，与终端设备执行 EAP认证方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显式或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。作为单元显式的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以釆用硬件的形式实现，也可以釆用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例上述方法的部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（Read-Only Memory, 简称 ROM )、随机存取存储器 ( Random Access Memory, 简称 RAM )、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求

1、一种可扩展的认证协议 EAP认证触发方法，其特征在于，包括：接入网设备接收终端设备发送的第一管理帧，所述第一管理帧中包含所述终端设备的标识；

2、根据权利要求 1所述的方法，其特征在于，所述第一管理帧包括关联请求帧或第一认证帧。

3、根据权利要求 1或 2所述的方法，其特征在于，所述第一管理帧中还包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。

4、根据权利要求 1 ~3任一权利要求所述的方法，其特征在于，所述方法还包括：

所述接入网设备向所述认证服务器发送所述终端设备支持的 EAP认证方法信息。

5、根据权利要求 1 ~4任一权利要求所述的方法，其特征在于，所述接入网设备向认证服务器发送所述 EAP响应 /标识消息之后，还包括：

所述接入网设备接收所述认证服务器在与所述终端设备执行所述 EAP 认证方法之后发送的 EAP认证成功消息或 EAP认证失败消息；

所述接入网设备向所述终端设备发送第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息。

6、根据权利要求 5所述的方法，其特征在于，所述第二管理帧包括关联响应帧或第二认证帧。

7、一种可扩展的认证协议 EAP认证触发方法，其特征在于，包括：终端设备向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成 EAP响应 /标识消息，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，所述 EAP响应 / 标识消息中包含所述终端设备的标识；

所述终端设备与所述认证服务器执行 EAP认证方法。

8、根据权利要求 7所述的方法，其特征在于，所述第一管理帧包括关联请求帧或第一认证帧。

9、根据权利要求 7或 8所述的方法，其特征在于，所述第一管理帧中还包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。

10、根据权利要求 7~9任一权利要求所述的方法，其特征在于，所述方法还包括：

1 1、根据权利要求 7~10任一权利要求所述的方法，其特征在于，在所述终端设备与所述认证服务器执行 EAP认证方法之后，还包括：

所述终端设备接收所述接入网设备发送的第二管理帧，所述第二管理帧中包含 EAP认证成功消息或 EAP认证失败消息，所述 EAP认证成功消息或所述 EAP认证失败消息为所述认证服务器在与所述终端设备执行所述 EAP认证方法之后发送给所述接入网设备。

12、根据权利要求 1 1所述的方法，其特征在于，所述第二管理帧包括关联响应帧或第二认证帧。

13、一种接入网设备，其特征在于，包括：

处理器，用于生成可扩展的认证协议 EAP响应 /标识消息，所述 EAP 响应 /标识消息中包含所述终端设备的标识；

14、根据权利要求 13所述的接入网设备，其特征在于，所述第一管理帧包括关联请求帧或第一认证帧。

15、根据权利要求 13或 14所述的接入网设备，其特征在于，所述第一管理帧中还包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。

16、根据权利要求 13~15任一权利要求所述的接入网设备，其特征在于，所述第一发送器还用于

向所述认证服务器发送所述终端设备支持的 EAP认证方法信息。

17、根据权利要求 13~16任一权利要求所述的接入网设备，其特征在于，所述接入网设备还包括：

第二接收器，用于接收所述认证服务器在与所述终端设备执行所述

EAP认证方法之后发送的 EAP认证成功消息或 EAP认证失败消息；

第二发送器，用于向所述终端设备发送第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息。

18、根据权利要求 17所述的接入网设备，其特征在于，所述第二管理帧包括关联响应帧或第二认证帧。

19、一种终端设备，其特征在于，包括：

发送器，用于向接入网设备发送第一管理帧，所述第一管理帧中包含所述终端设备的标识，以使得所述接入网设备生成可扩展的认证协议 EAP 响应 /标识消息，以及所述接入网设备向认证服务器发送所述 EAP响应 /标识消息，所述 EAP响应 /标识消息中包含所述终端设备的标识；

处理器，用于与所述认证服务器执行 EAP认证方法。

20、根据权利要求 19所述的终端设备，其特征在于，所述第一管理帧包括关联请求帧或第一认证帧。

21、根据权利要求 19或 20所述的终端设备，其特征在于，所述第一管理帧中还包含 EAP认证开始指示，用以指示需要执行所述 EAP认证方法。

22、根据权利要求 19~21任一权利要求所述的终端设备，其特征在于，所述终端设备还包括接收器，用于

接收所述接入网设备发送的第二管理帧，所述第二管理帧中包含所述 EAP认证成功消息或所述 EAP认证失败消息，所述 EAP认证成功消息或所述 EAP认证失败消息为所述接入网设备接收所述认证服务器在与所述终端设备执行所述 EAP认证方法之后发送给所述接入网设备。

23、根据权利要求 22所述的终端设备，其特征在于，所述第二管理帧包括关联响应帧或第二认证帧。

24、一种可扩展的认证协议 EAP认证触发系统，其特征在于，包括如权利要求 13~18中任一权利要求所述的接入网设备，还包括认证服务器，用于接收所述接入网设备发送的所述 EAP响应 /标识消息，与终端设备执行 EAP认证方法。