WO2014117525A1 - 静态用户终端认证处理方法及装置 - Google Patents

Abstract

本发明提供了一种静态用户终端认证处理方法及装置，该方法包括：向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报文；接收来自静态用户终端的响应报文，其中，该响应报文中携带有用户标识；根据用户标识对静态用户终端进行扩展的认证协议EAP认证，通过本发明，解决了静态用户的接入现有技术存在的认证安全性低等问题，进而达到了提高对静态用户接入认证的安全性及可靠性，以及提升静态用户使用WLAN业务体验的效果。

Description

静态用户终端认证处理方法及装置

技术领域 本发明涉及通信领域， 具体而言， 涉及一种静态用户终端认证处理方法及装置。 背景技术 随着网络业务的拓展和细化， 各类应用层出不穷。 用户终端访问网络之前， 必须 获取一些网络必要网络参数， 有的用户终端通过动态主机配置协议 （Dynamic Host Configure Protocol,简称为 DHCP)方式获取 IP地址、域名服务（Domain Name Server, 简称为 DNS)、 网关等网络配置参数， 也有一些用户终端需要通过手工方式设置 IP地 址、 DNS、 网关等网络配置参数， 来访问网络。 这种手动设置 IP的用户终端， 也被称 为静态用户。 目前， 在宽带网络网关（Broadband Network Gateway, 简称为 BNG)上部署静态 用户， 通常采用的认证方式是绑定用户虚拟局域网 （Virtual Local Area Network, 简称 为 VLAN)信息或者是绑定用户的媒体接入控制（Media Access Control,简称为 MAC) 进行认证。 由于没有安全的认证协议交互， 合法的静态用户的电路信息， 容易被非法 用户模拟 （模拟相同的 VLAN、 相同的 MAC地址等） 触发上线， 影响合法用户的业 务使用， 损害合法用户的利益， 所以这类认证方式安全性往往比较差， 而且在无线保 真（Wireless Fidelity, 简称为 Wi-Fi)等无线接入日益普及的今天， 静态用户对接入方 式的可靠性、 便利性的要求越来越高， 例如， 会要求无线局域网 （Wireless Local Area Network, 简称为 WLAN) 接入和光纤等固定线路接入形成备份接入方式增强网络的 可靠性。并且 WLAN接入能更好的简化接入方式降低接入成本， 为用户带来可移动的 良好体验。 传统的静态用户接入使用电路认证的方式， 要求检查限定静态用户的接入 电路， 必须在 BNG设备上配置该静态用户的 MAC地址、 IP地址、 接入电路， 用户账 号和密钥等繁琐的配置， 既增加的维护的复杂性， 不支持用户高安全性要求的扩展认 证方法和二层安全隧道， 也限制了用户在 WLAN场景的可移动性 （例如， 在 BNG管 理的不同电路上漂移漫游）， 而且在 WLAN网络中应用时， 也难以解决空口数据安全 的问题。 因此， 在相关技术中存在对静态用户的接入认证的安全性低和移动性差的问题。 发明内容 本发明提供了一种静态用户终端认证处理方法及装置， 以至少解决相关技术存在 对静态用户的接入认证的安全性低和移动性差的问题。 根据本发明的一个方面， 提供了一种静态用户终端认证处理方法， 包括： 向所述 静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文； 接收来自 所述静态用户终端的响应报文， 其中， 所述响应报文中携带有所述用户标识； 根据所 述用户标识对所述静态用户终端进行扩展的认证协议 EAP认证。 优选地， 在根据所述用户标识对所述静态用户终端进行所述 EAP认证之后， 并在 所述 EAP认证成功的情况下， 还包括： 向接入密钥协商点传递授权信息中携带的成对 主密钥，其中， 所述接入密钥协商点与所述静态用户终端的 802.1X客户端协商用于空 口数据报文交互的密钥。 优选地，根据所述用户标识对所述静态用户终端基于所述 EAPoL接入网络进行所 述 EAP认证包括： 向认证授权计费 AAA服务器发送接入请求报文， 其中， 所述接入 请求报文中携带有要求基于所述 EAPoL接入网络的所述静态用户终端的用户标识；接 收到来自所述 AAA服务器的认证结果， 其中， 所述 AAA服务器根据所述用户标识对 所述静态用户终端基于所述 EAPoL接入网络进行协商认证。 优选地， 通过以下触发方式至少之一触发向所述静态用户终端发送用于获取所述 静态用户终端的所述用户标识的所述标识请求报文： 通过抓捕未认证的所述静态用户 终端的上行流量的方式触发所述静态用户终端的 EAP认证， 其中， 所述上行流量被预 先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的下行流量 的方式触发所述静态用户终端的 EAP认证， 其中， 所述下行流量被预先存储的静态用 户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式 触发所述静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态 用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的因特网控制消息协议 v6 版本的邻居请求 ICMPv6 NS协议报文的方式触发所述静态用户终端的 EAP认证， 其 中，所述 ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认 证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的 EAP 认 证， 其中， 所述地址解析协议报文被预先存储的静态用户信息表匹配命中； 接收到所 述静态用户设备发送的用于触发 EAP认证的 EAPoL开始报文。 优选地， 在根据所述用户标识对所述静态用户终端进行所述 EAP 认证之前或之 后， 还包括： 通过以下方式至小之一获取所沭静杰用户终端的身份安全信息： 通过扩 展基于扩展的认证协议承载于局域网 EAPoL 开始通告配置下的配置选项的方式获取 所述静态用户终端的所述身份安全信息； 在所述 EAP认证成功后， 通过接收所述静态 用户终端发送的基于扩展的认证协议承载于局域网 EAPoL通告报文的方式获取所述 身份安全信息； 在通过所述静态用户终端的上行流量触发认证的情况下， 从匹配的上 行报文中解析获取所述身份安全信息； 通过地址解析协议 ARP报文、 邻居请求 NS报 文交互获取所述身份安全信息。 根据本发明的另一方面， 提供了一种静态用户终端认证处理装置， 包括： 发送模 块， 设置为向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请 求报文； 接收模块， 设置为接收来自所述静态用户终端的响应报文， 其中， 所述响应 报文中携带有所述用户标识； 认证模块， 设置为根据所述用户标识对所述静态用户终 端进行扩展的认证协议 EAP认证。 优选地， 该装置还包括： 传递模块， 设置为在根据所述用户标识对所述静态用户 终端进行所述 EAP认证之后， 并在所述 EAP认证成功的情况下， 向接入密钥协商点 传递授权信息中携带的成对主密钥， 其中， 所述接入密钥协商点与所述静态用户终端 的 802.1X客户端协商用于空口数据报文交互的密钥。 优选地， 所述认证模块包括： 发送单元， 设置为向认证授权计费 AAA服务器发 送接入请求报文，其中，所述接入请求报文中携带有要求基于所述 EAPoL接入网络的 所述静态用户终端的用户标识； 接收单元， 设置为接收到来自所述 AAA服务器的认 证结果， 其中， 所述 AAA 服务器根据所述用户标识对所述静态用户终端基于所述 EAPoL接入网络进行协商认证。 优选地， 该装置还包括触发模块， 设置为通过以下触发方式至少之一触发向所述 静态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报文： 通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户终端的 EAP 认证， 其中， 所述上行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证 的所述静态用户终端的下行流量的方式触发所述静态用户终端的 EAP认证， 其中， 所 述下行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户 终端的地址解析协议报文的方式触发所述静态用户终端的 EAP认证， 其中， 所述地址 解析协议报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用 户终端的因特网控制消息协议 v6版本的邻居请求 ICMPv6 NS协议报文的方式触发所 述静态用户终端的 EAP认证， 其中， 所述 ICMPv6 NS协议报文被预先存储的静态用 户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式 触发所述静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态 用户信息表匹配命中； 接收到所述静态用户设备发送的用于触发 EAP认证的 EAPoL 开始报文。 优选地， 该装置还包括获取模块， 设置为在根据所述用户标识对所述静态用户终 端进行所述 EAP认证之前或之后， 还包括： 通过以下方式至少之一获取所述静态用户 终端的身份安全信息：通过扩展基于扩展的认证协议承载于局域网 EAPoL开始通告配 置下的配置选项的方式获取所述静态用户终端的所述身份安全信息；在所述 EAP认证 成功后， 通过接收所述静态用户终端发送的基于扩展的认证协议承载于局域网 EAPoL 通告报文的方式获取所述身份安全信息； 在通过所述静态用户终端的上行流量触发认 证的情况下，从匹配的上行报文中解析获取所述身份安全信息;通过地址解析协议 ARP 报文或者邻居请求 NS报文交互获取所述身份安全信息。 通过本发明， 采用向所述静态用户终端发送用于获取所述静态用户终端的用户标 识的标识请求报文； 接收来自所述静态用户终端的响应报文， 其中， 所述响应报文中 携带有所述用户标识； 根据所述用户标识对所述静态用户终端进行扩展的认证协议 EAP认证，解决了相关技术存在对静态用户的接入认证的安全性低和移动性差的问题， 进而达到了提高对静态用户接入认证的安全性及可靠性， 以及提升静态用户使用 WLAN业务体验的效果。 附图说明 此处所说明的附图用来提供对本发明的进一步理解， 构成本申请的一部分， 本发 明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的不当限定。 在附图 中： 图 1是根据本发明实施例的静态用户终端认证处理方法的流程图； 图 2是根据本发明实施例的静态用户终端认证处理装置的结构框图； 图 3是根据本发明实施例的静态用户终端认证处理装置的优选结构框图一； 图 4是根据本发明实施例的静态用户终端认证处理装置中认证模块 26的优选结构 框图； 图 5是根据本发明实施例的静态用户终端认证处理装置的优选结构框图二； 图 6是根据本发明实施例的静态用户终端认证处理装置的优选结构框图三； 图 Ί是根据本发明优选实施例的基于 802.1X认证静态 IP用户认证接入处理方法 的流程图； 图 8是根据本发明优选实施例的基于普通有线接入场景时静态用户终端接入网络 的认证接入处理流程图； 图 9是根据本发明优选实施例的基于胖 AP部署场景时静态用户终端接入网络的 认证接入处理流程图； 图 10是根据本发明优选实施例的基于痩 AP部署场景时静态用户终端接入网络的 认证接入处理流程图； 图 11是根据本发明优选实施例的基于 802. IX认证的静态用户通过 IPV6接入网络 的认证接入处理流程图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本发明。 需要说明的是， 在不冲突的 情况下， 本申请中的实施例及实施例中的特征可以相互组合。 在本实施例中提供了一种静态用户终端认证处理方法， 在本实施例中以该静态用 户终端为静态 IP用户终端为例进行说明，图 1是根据本发明实施例的静态用户终端接 入处理方法的流程图， 如图 1所示， 该流程包括如下步骤： 步骤 S102， 向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报 文，其中，该静态用户终端要求基于扩展的 EAP承载于局域网（ Extensible Authentication Protocol over LAN, 简称为 EAPoL)， S卩， 802.1X接入； 步骤 S104， 接收来自该静态用户终端的响应报文， 其中， 该响应报文中携带有上 述用户标识； 步骤 S106， 根据上述用户标识对静态用户终端进行扩展的认证协议 （Extensible Authentication Protocol， 简称为 EAP ) 认证。 通过上述步骤，采用 EAPoL对静态用户终端接入网络进行认证，相对于相关技术 中没有安全的认证协议交互进行认证， 有效地避免了相关技术中由于没有安全的认证 协议所带来的静态用户接入网络安全性低和移动性差的问题， 使用安全严谨的认证协 对静态用户接入网络进行认证， 有利地提高了静态用户访问网络的安全性及可靠性， 提升了静态用户使用 WLAN的用户体验。 在基于 EAPoL对静态用户终端接入网络进行认证之后，为了使静态用户终端与网 络之间交互的数据报文也安全可靠， 可以在根据用户标识对静态用户终端基于该 EAPoL接入网络进行 EAP认证之后， 并在该 EAP认证成功的情况下， 向接入密钥协 商点传递授权信息中携带的成对主密钥， 其中， 该接入密钥协商点与静态用户终端的 802.1X客户端协商用于空口数据报文交互的密钥。 在 WLAN接入的空口加密场景， 网关需要传递认证服务器下发授权信息中携带的成对主密钥给 WLAN接入网络针对 静态 IP用户终端的接入密钥协商点 （例如， AP)， 供其和静态 IP用户终端的 802.1X (即 EAPoL) 客户端进行密钥协商， 密钥协商得到结果用于空口报文的加解密， 该静 态用户终端与网络交互数据报文时采用该协商的密钥，由于该密钥是基于 EAPoL协商 而成的， 因而采用该密钥所进行的数据报文交互也更为安全可靠。 根据用户标识对该静态用户终端基于 EAPoL接入网络进行 EAP认证可以采用多 种处理方式， 例如， 可以采用以下较优的处理方式： 首先， 向认证、 授权、 计费 (Authentication^ Authorization Accounting ， 简称为 AAA) 服务器发送接入请求报 文，其中，该接入请求报文中携带有要求基于 EAPoL接入网络的静态用户终端的用户 标识； 该 AAA服务器接收到该接入请求报文， 根据该接入请求报文中所携带的用户 标识确定静态用户终端， 与确定的该静态用户终端协商进行 EAP认证的认证方法， 然 后根据协商的认证方法进行认证交互对该静态用户终端基于该 EAPoL 接入网络进行 认证， 并将认证结果返回。 当接收到来自 AAA服务器的认证结果时， 完成对该静态 用户终端基于 EAPoL接入网络进行的认证。在该较优的处理方式中， 网关设备收到该 用户回复的携带用户身份标识的认证应答报文后， 将其根据本地策略发送到认证服务 器， 作为中继连通该用户和该认证服务器之间的 EAP认证。 在用户侧完成对该静态用户终端接入网络的网络参数配置， 并且在网络侧也完成 了对静态用户进行配置的静态用户信息， 或者是静态用户信息列表之后， 可以通过多 种触发方式触发对静态用户的认证， 即， 触发向静态用户终端发送用于获取静态用户 终端的用户标识的标识请求报文， 较佳地， 由网络设备来触发时， 可以通过以下触发 方式至少之一来触发： 根据配置， 在网关设备上抓捕未认证静态 IP用户的上行或下行 流量或 ARP请求 /因特网控制消息协议 v6版本的邻居请求 （Internet Control Message Protocol Version 6 Neighbor Solicitation, 简称为 ICMPv6 NS)报文等用户报文， 触发该 静态 IP 用户的 EAP 认证： 例如， 在静态用户终端关联接入 （附近） 客户驻地设备 ( Customer Premise Equipment简称为 CPE)时，接收到该静态用户设备发送的要求使 用 802.1X接入方法的 EAPoL开始报文， 于是触发对该静态用户的认证； 又例如， 在 未认证的静态用户终端的上行 /下行流量被（网络侧）预先存储的静态用户信息表匹配 命中时， 获知静态用户终端要求使用 802.1X接入方法， 触发对该静态用户的认证； 还 例如， 网关设备抓捕到未认证静态 IP用户的转发流量后， 主动向该用户发送用于获取 用户身份标识的认证请求报文。 当然也可以由静态 IP用户来触发， 例如， 未认证静态 IP用户用 802.1X客户端直接向网关设备发送用于触发 EAP认证的 EAPoL开始报文， 网关收到该 EAPoL开始报文后， 向该静态 IP用户发送用于获取用户身份标识的认证 请求报文， 触发对该静态用户的认证。 当然还可以存在其它的触发方式， 在此不进行 列举。 较优地， 为了在进行 EAP认证之后及时地接入网络， 或者为了提升接入网络的速 度， 在根据用户标识对该静态用户终端进行 EAP认证之前或者之后， 可以及时地获悉 该静态用户终端的身份安全信息（即接入网络的参数）并检查该静态 IP用户的身份安 全信息 （例如网关检查该用户 IP和 MAC的绑定关系） 或者用户和网关间建立安全隧 道例如 （802.1X协议定义的 MACSec), 当然获取的方式也可以多种， 例如， 可以通 过以下方式至少之一获取该静态用户终端的身份安全信息： 通过扩展基于扩展的认证 协议承载于局域网 EAPoL开始通告 （EAPoL-Start-Announcement)配置下的配置选项 的方式获取该静态用户终端的身份安全信息； 在 EAP认证成功后， 通过接收静态用户 终端发送的基于扩展的认证协议承载于局域网 EAPoL通告 （EAPoL- Announcement) 报文的方式获取该静态用户终端的身份安全信息， 即， 静态 IP用户的 802.1X客户端 主动在 EAPoL-Start-Announcement或 EAPoL- Announcement报文中扩展选项， 主动上 报其 IP地址信息。 网关收到该报文后， 解析获悉该用户 MAC和 IP， 然后核对其是否 配合网关上的配置的绑定关系； 在通过静态用户终端的上行流量触发认证的情况下， 从匹配的上行报文中解析获取该静态用户终端的身份安全信息； 通过地址解析协议 (Address Resolution Protocol 简称为 ARP) 报文或者邻居请求 NS交互获取该静态用 户终端的身份安全信息， 例如， 通过静态 IP用户的 ARP请求或 NS报文获取其 MAC 和 IP，核对其是否符合网关上的配置的绑定关系；在网关设备没有收到静态 IP用户的 ARP请求或 NS报文时，可以主动发起 ARP请求或 NS报文，通过静态 IP用户回复的 ARP应答报文或 NA报文获得该用户 MAC和 IP， 然后核对其是否符合网关上的配置 的绑定关系。 在本实施例中还提供了一种静态用户终端认证处理装置， 该装置用于实现上述实 施例及优选实施方式， 该装置较优地应用于网关设备上 （例如， 宽带网络网关 BNG 上）， 当然也可以应用于对静态用户设备进行认证的其它网元设备， 已经进行过说明的 不再赘述。 如以下所使用的， 术语"模块"可以实现预定功能的软件和 /或硬件的组合。 尽管以下实施例所描述的装置较佳地以软件来实现， 但是硬件， 或者软件和硬件的组 合的实现也是可能并被构想的。 图 2是根据本发明实施例的静态用户终端认证处理装置的结构框图，如图 2所示， 该装置包括发送模块 22、 接收模块 24和认证模块 26， 下面对该装置进行说明。 发送模块 22， 设置为向静态用户终端发送用于获取静态用户终端的用户标识的标 识请求报文； 接收模块 24， 设置为接收来自静态用户终端的响应报文， 其中， 该响应 报文中携带有上述用户标识； 认证模块 26， 设置为根据上述用户标识对静态用户终端 进行扩展的认证协议 EAP认证。 图 3是根据本发明实施例的静态用户终端认证处理装置的优选结构框图一， 如图 3所示， 该装置除包括图 2的所有模块外， 还包括协商模块 32， 下面对该协商模块 32 进行说明。 协商模块 32，连接至上述认证模块 26，设置为在根据用户标识对静态用户终端进 行 EAP认证之后， 并在 EAP认证成功的情况下， 向接入密钥协商点传递授权信息中 携带的成对主密钥，其中， 该接入密钥协商点与静态用户终端的 802.1X客户端协商用 于空口数据报文交互的密钥。 图 4是根据本发明实施例的静态用户终端认证处理装置中认证模块 26的优选结构 框图， 如图 4所示， 该认证模块 26包括发送单元 42和接收单元 44， 下面对该认证模 块 26进行说明。 发送单元 42， 设置为向认证授权计费 AAA服务器发送接入请求报文， 其中， 该 接入请求报文中携带有要求基于 EAPoL接入网络的静态用户终端的用户标识；接收单 元 44， 连接至上述发送单元 42， 设置为接收到来自 AAA服务器的认证结果， 其中， 该 AAA服务器根据用户标识对该静态用户终端基于 EAPoL接入网络进行协商认证。 图 5是根据本发明实施例的静态用户终端认证处理装置的优选结构框图二， 如图 5所示， 该装置除包括图 2的所有模块外， 还包括触发模块 52， 下面对该触发模块 52 进行说明。 该触发模块 52，连接至上述发送模块 22，设置为通过以下触发方式至少之一触发 向静态用户终端发送用于获取该静态用户终端的用户标识的标识请求报文： 通过抓捕 未认证的静态用户终端的上行流量的方式触发静态用户终端的 EAP认证， 其中， 上行 流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的静态用户终端的下行 流量的方式触发静态用户终端的 EAP认证， 其中， 下行流量被预先存储的静态用户信 息表匹配命中； 通过抓捕未认证的静态用户终端的地址解析协议报文的方式触发静态 用户终端的 EAP认证， 其中， 地址解析协议报文被预先存储的静态用户信息表匹配命 中； 通过抓捕未认证的静态用户终端的因特网控制消息协议 v6 版本的邻居请求 ICMPv6 NS协议报文的方式触发静态用户终端的 EAP认证， 其中， ICMPv6 NS协议 报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的静态用户终端的地址 解析协议报文的方式触发静态用户终端的 EAP认证， 其中， 地址解析协议报文被预先 存储的静态用户信息表匹配命中； 接收到静态用户设备发送的用于触发 EAP 认证的 EAPoL开始报文。 图 6是根据本发明实施例的静态用户终端认证处理装置的优选结构框图三， 如图

6所示， 该装置除包括图 2的所有模块外， 还包括获取模块 62， 下面对该获取模块 62 进行说明。 该获取模块 62，连接至上述认证模块 26，设置为在根据用户标识对静态用户终端 进行 EAP认证之前或之后， 还包括： 通过以下方式至少之一获取静态用户终端的身份 安全信息：通过扩展基于扩展的认证协议承载于局域网 EAPoL开始报文通告配置下的 配置选项的方式获取静态用户终端的身份安全信息； 在 EAP认证成功后， 通过接收静 态用户终端发送的基于扩展的认证协议承载于局域网 EAPoL通告报文的方式获取身 份安全信息； 在通过静态用户终端的上行流量触发认证的情况下， 从匹配的上行报文 中解析获取身份安全信息； 通过地址解析协议 ARP报文或者邻居请求 NS报文交互获 取身份安全信息。 下面结合优选实施例的附图， 对本发明优选实施例进行说明。

EAP承载于局域网 EAPoL,即 802.1X协议，其主要应用于无线 LAN (即 WLAN) 的用户接入， 并且主要是为了解决无线局域网用户的接入认证问题。 网关根据配置抓 捕未认证的静态 IP用户的上行或下行报文流， 触发该用户向网关设备进行 EAP认证， 或者未认证静态 IP用户通过 802. IX客户端主动向网关发送 EAP认证的 EAPoL开发 报文， 在认证后网关通过某种机制及时获知该静态 IP用户的身份安全信息（例如， 用 户 IP和 MAC的绑定关系）， 生成合法用户信息。 静态用户接入采用 802.1X方式进行 认证， 可以极大提高静态用户的安全性和无线用户移动性。 因为 802.1X协议承载的 EAP协议可以提供一个鉴权平台，用户可以采用诸如可扩展的认证协议-受保护的可扩 展的认证协议 （EAP-PEAP)、 可扩展的认证协议 -用户身份标识模块 （EAP-SIM)、 可 扩展的认证协议-认证与密钥协商协议 （EAP-AKA)、 可扩展的认证协议 -传输层安全 (EAP-TLS)、可扩展的认证协议-基于传输层安全的隧道协议（EAP-TTLS)等具体认 证方法实现较高安全等级的认证， 不仅有效避免因采用电路认证方式导致静态用户接 入的安全性低和移动性差等弊端， 而且在一定程度上防止了非法用户的盗用网络、 干 扰网络稳定的行径。 在本实施例中提供了一种基于 802.1X认证静态 IP用户接入处理方法， 图 7是根 据本发明优选实施例的基于 802.1X认证静态 IP用户认证接入处理方法的流程图， 如 图 7所示，无线接入点（Access Point,简称为 AP)和无线接入控制器（Access Control, 简称为 AC)组成无线局域网， 为用户提供接入网络。该基于 802.1X认证静态 IP用户 接入流程包括如下步骤： 步骤 S702， 静态用户通过已连接网络接入到 BNG设备， BNG以特定的方式触发 该用户的 EAP认证。 触发的方式包括但不限于下面 3种方式：

( 1 )静态用户关联接入附近的 CPE (包括 WLAN网络的 AP)， 使用 802. IX客户 端发送 EAP承载于局域网 -开始（EAPoL-Start)报文给 BNG， BNG收到该 EAPoL-Start 报文创建 EAPoL用户， 触发 EAP认证；

(2)未认证的静态用户的上行流量被 BNG的静态用户信息表匹配命中， BNG获 悉该用户的 MAC和 IP， 发现其要求使用 802.1X接入方法， 触发 EAP认证；

(3 ) 网络侧访问未认证的静态用户的下行流量被 BNG的用户路由表匹配命中， BNG根据用户路由表的关联的静态用户信息表获悉该用户的 MAC和 IP以及接入电路 信息 （在这种触发方式下电路信息为必选配置）， 发现其要求使用 802.1X接入方法， 触发 EAP认证。 在 EAP认证过程结束， BNG应该及时获悉静态用户的 MAC和 IP绑定关系， 根 据本地静态用户信息表判断该静态 IP和 MAC的绑定关系是否合法， 可以采用但不限 于下面的 4种方法获悉：

( 1 ) 如果静态用户使用 802.1X V3 及以上版本的 802.1X 客户端， 可以扩展 EAPoL-Start-Announcement下选项，将静态用户终端（ STA)配置的静态 IP通告给 BNG。

(2) 如果静态用户使用 802.1X V3及以上版本的 802.1X客户端， 静态用户认证 通过后， 发送 EAPoL-Amunmcement报文， 携带扩展选项将静态用户配置的静态 IP通 告给 BNG。

(3 )用户上行流触发的认证的场景，可以从匹配的报文中解析获取静态用户的 IP 禾口 MAC。 (4) 通过 ARP或邻居发现协议 （Neighbor Discovery Protocol, 简称为 NDP) 报 文交互获悉静态用户的 IP和 MAC。 上述的方法不局限于本步骤中实施。 满足 EAP认证的触发条件后， BNG发送 EAPoL-Request-Identity报文（即上述的 标识请求报文） 给静态用户索要身份信息， 该身份信息， 可以是 BNG分配特定的账 号。 步骤 S704， 由静态用户对 EAPoL-EAP-Request-Identity报文做出处理， 并发送 EAPoL- EAP -Response-Identity (即上述的响应报文）进行回应 BNG。静态用户和 BNG 开始 EAP鉴权会话。 步骤 S706， BNG把 EAPoL-EAP-Response-Identity报文封装在认证请求协议报文

(例如， Radius的 Access-Request报文） 中， 发送给 AAA服务器。 AAA服务器和静 态用户基于 EAP协议协商具体的认证方法（例如， EAP-PEAP、 EAP-TLS、 EAP-TTLS、 EAP-AKA 、 EAP-SIM等）， 并基于该认证方法和静态用户进行交互， 完成对静态用户 鉴权。 AAA 服务器返回认证结果给 BNG， BNG 根据该认证结果发送 EAPoL-EAP-Success或者是 EAPoL-EAP-Failure报文给静态用户客户端。 静态用户收到了 EAPoL-EAP-Success报文，如果 BNG已经获悉静态用户的 MAC 和 IP 绑定关系， 至此， 该用户可以访问无线网络。 如果 BNG还未获悉静态用户的 MAC和 IP绑定关系， 还需要步骤 S708完成上线。 步骤 S708， 在该静态用户认证成功后， BNG通过发送 ARP请求或因特网控制消 息协议 V6(Intemet Control Message Protocol v6，简称为 ICMPv6)的邻居请求（Neighbor Solicitation, 简称为 NS)报文给静态用户客户端， 静态用户返回响应， BNG解析响应 报文中的 MAC、 IP地址， 根据 BNG配置检查 IP和 MAC等静态用户信息是否合法， 或者静态用户通过 EAPoL-Announcement报文上报其配置的静态 IP。 如果 BNG检测 MAC、 IP和配置的相匹配， 静态用户至此就可以访问无线网络。 步骤 S710， 静态用户访问无线网络。 通过上述优选实施例， 为静态用户访问无线网络提供较高的安全性和可靠性， 提 升了静态用户使用 WLAN业务的服务满意度。 下面分别依据不同应用场景下对本发明优选实施例进行说明。 图 8是根据本发明优选实施例的基于普通有线接入场景时静态用户终端接入网络 的认证接入处理流程图， 如图 8所示， CPE和二层交换网络在 BNG的之间。 为了便 于描述， 并仅作为一种示例， 本实施例中静态用户的认证流程由静态用户的上行流量 或下行流量触发。 该流程包括如下步骤： 步骤 S802， 在静态用户终端的无线网卡上配置静态 IP地址、 网关、 DNS等信息。 步骤 S804， BNG本地配置或网络管理系统（Network Manage System,简称为 NMS) 配置下发给 BNG静态用户信息， 包括 MAC、 IP地址、 电路信息、 要求 802.1X接入、 允许流量触发等这几个元素信息， 这些元素用来判断上线的静态用户是否合法， 其中 "要求 802. IX接入"是本实施例的必须配置，"电路信息"和"允许流量触发"为可选配置。 "电路信息"配置后 BNG将校验静态用户的接入电路是否匹配配置的电路信息， BNG 采用 802.1X认证后， 也可根据需要， 针对特殊要求的用户兼容电路认证。 "允许流量 触发"配置后， 支持未认证的静态用户的上下行流量触发静态用户认证流程。 步骤 S806，未认证静态用户终端的上行流量被 BNG的静态用户信息表匹配命中， BNG获悉该用户的 MAC和 IP， 发现其要求使用 802.1X接入方法， BNG开始创建 EAPoL用户。 步骤 S808， BNG发送 EAPoL-EAP-Request-Identity报文给用户， 索要身份信息。 步骤 S810， 静态用户终端收到 EAPoL-EAP-Request-Identity报文， 并发送携带用 户标识信息的 EAPoL-EAP-Response-Identity报文给 BNG。 步骤 S812， BNG封装 EAPoL-Response-Identity消息到 ACCESS-Request报文的 EAP-Message属性中， 并发送 ACCESS-Request消息给 AAA服务器。 步骤 S814， AAA服务器和静态用户终端的 802.1X客户端协商， 采用具体的认证 方法 EAP-PEAP (或者是 EAP-TLS、 EAP-SIM、 EAP-AKA、 EAP-TTLS等） 进行认 证交互， 完成对该静态用户的认证。 步骤 S816， AAA服务器根据鉴权结果，发送 ACCESS-Accept/Reject消息给 BNG。 步骤 S818， BNG发送认证结果报文 EAPoL-EAP-Success/EAPoL-EAP-Failure报文 给静态用户终端。 如果是收到鉴权成功消息， BNG添加用户主机路由和用户表， 开放 转发面， 使静态用户可以访问网络资源。 如果是鉴权失败， 静态用户将会再次尝试鉴 权， 直至超过一定鉴权次数。 至此， 该静态用户可以访问网络资源。 图 9是根据本发明优选实施例的基于胖 AP部署场景时静态用户终端接入网络的 认证接入处理流程图， 如图 9所示， AP本地转发。 AP处于 STA和 BNG的之间。 为 了便于描述，本实施例中静态用户采用 802.1X V3以上版本的客户端进行 802.1X拨号 认证。 该流程包括如下步骤： 步骤 S902， 在静态用户终端的无线网卡上配置静态 IP地址、 网关、 DNS等信息。 步骤 S904， BNG服务端配置用户的用户 MAC、 IP地址、 电路信息这几个元素信 息， 这些元素用来判断上线的静态用户是否合法， 其中电路信息为可选配置， 配置后 BNG将校验静态用户的接入电路是否匹配配置的电路信息。 BNG采用 802. IX认证后， 也可根据需要， 针对特殊要求的用户兼容电路认证。 步骤 S906， 静态用户终端通过 802.1X 客户端关联附近的 AP 接入点， 并发送 EAPoL-Start报文至 AP。 静态用户通过 EAPoL-Start报文通告自己的 IP地址。 步骤 S908， AP转发 EAPoL-Start报文经过接入或汇聚交换机 SW至 BNG。 步骤 S910， 在 BNG从 EAPoL-Start- Announcement下 TLV选项中获取 STA通告 给 BNG的 IP地址， BNG完成对该静态用户的 IP、 MAC的合法行检查。 如果合法， BNG继续 EAP鉴权， BNG开始创建 EAPoL用户，并发送 EAPoL-EAP-Request-Identity 报文给 AP， 索要身份信息。 步骤 S912， AP转发 EAPoL-EAP-Request-Identity报文至终端用户。 步骤 S914， 静态用户终端响应 EAPoL-EAP-Request-Identity 报文， 并发送 EAPoL-EAP-Response-Identity报文给 AP。 步骤 S916， AP转发含有用户信息的 EAPoL-Response-Identity报文给 BNG。 步骤 S918， BNG封装 EAPoL-Response-Identity消息到 ACCESS-Request报文的 EAP-Message属性中， 并发送 ACCESS-Request消息给 AAA服务器。 步骤 S920， AAA服务器和静态用户协商， 采用具体的认证方法 EAP-PEAP (或 者是 EAP-TLS、 EAP-SIM、 EAP-AKA、 EAP-TTLS等）， 在步骤 S920、 步骤 S922、 步骤 S924 的流程中， 完成对静态客户端的认证。 步骤 S926， AAA服务器根据鉴权结果，发送 ACCESS-Accept/ReJect消息给 BNG。 步骤 S928， BNG发送认证结果报文 EAPoL-EAP-Success/EAPoL-EAP-Failure报 文， 如果 AAA授权信息中有 PMK， BNG同时设法捎带 PMK给 AP。 如果收到鉴权 成功消息， BNG添加用户主机路由和用户表， 开放转发面， 使 STA可以访问网络资 源。 步骤 S930， AP转发 EAPoL-EAP-Success/EAPoL-EAP-Failure认证报文给静态用 户。 如果是鉴权失败， 静态用户将会再次尝试鉴权， 直至超过一定鉴权次数。 步骤 S932， 如果是空口加密的环境， AP和静态用户终端的 802.1X客户端进一步 协商空口数据报文加解密需要的密钥。 至此， 该静态用户可以访问网络资源。 图 10是根据本发明优选实施例的基于痩 AP部署场景时静态用户终端接入网络的 认证接入处理流程图，如图 10所示， AP进行集中转发。 AC和 AP组成无线接入网络， AC对 AP进行配置管理和版本管理。静态用户终端的报文经过 AP和 AC转发至 BNG。 本次描述实施例中的静态用户使用的 802.1X拨号客户端是低于 802.1X V3协议的版 本。 该流程包括如下步骤： 步骤 S1002,在静态用户终端的无线网卡上配置静态 IP地址、网关、 DNS等信息。 步骤 S1004， BNG服务端配置用户的 MAC、 IP地址、 电路信息等信息元素， 该 元素用来判断上线的静态用户是否合法。 BNG采用 802. IX认证后， 也可根据需要， 针对特殊用户兼容电路认证的方式。 步骤 S1006, 静态用户终端通过 802.1X客户端关联附件的 AP接入点， 并发送 EAPoL-Start报文至 AP。 步骤 S1008， AP转发 EAPoL-Start报文经过 AC至 BNG。 步骤 S1010 ， BNG 开始创 建 EAPoL 用 户 ， 并通过 AC 发送 EAPoL-EAP-Request-Identity报文给 AP， 索要身份信息。 步骤 S1012， AP转发 EAPoL-EAP-Request-Identity报文至终端用户。 步骤 S1014 , 静态用户终端响应 EAPoL-EAP-Request-Identity 报文， 发送

EAPoL-EAP-Response-Identity报文给 AP。 步骤 S1016， AP经过 AC转发含有用户信息的 EAPoL-EAP-Response-Identity报文 给 BNG。 步骤 S1018， BNG把 EAPoL-EAP-Response-Identity消息作为 ACCESS-Request 报文中的 EAP-Message属性值， 发送 ACCESS-Request报文至 AAA服务器。 步骤 S1020， AAA服务器和静态用户协商， 采用具体的鉴权方式 EAP-PEAP (或 者是 EAP-TLS、 EAP-SIM、 EAP-AKA、 EAP-TTLS等）， 在步骤 S1020、 步骤 S1022、 步骤 S1024的流程中， 完成对静态客户端的认证。 步骤 S 1026， AAA服务器根据鉴权结果，发送 ACCESS-Accept/ReJect消息给 BNG。 步 骤 S1028 ， BNG 发 送 鉴 权 结 果 报 文 通 过 AC 中 转 EAPoL-EAP-Success/EAPoL-EAP-Failure报文给 AP， 有需要的话同样捎带 AAA授权 下发的 PMK。 步骤 S1030， AP转发 EAPoL的鉴权结果报文给静态用户。 步骤 S1032, 如果是空口加密的环境， AP和静态用户终端的 802.1X客户端进一 步协商空口数据报文加解密需要的密钥。 允许 AC代理 AP做空口的密钥协商， 但是 不推荐。 步骤 S1034， BNG收到 AAA鉴权成功消息， 通过 AC发送 ARP请求报文给 AP。 步骤 S1036， AP转发 ARP请求报文至 STA静态用户终端。 步骤 S1038, 静态用户终端发送 ARP响应至 AP。 步骤 S1040， AP转发 ARP响应至 BNG， BNG根据 ARP响应中的 IP、 MAC完 成对该静态用户 IP、 MAC合法行的判断， 如果检测通过， BNG添加用户主机路由和 用户表， 开放转发面通过使 STA和授权的外部网络资源互通。 至此， 该静态用户可以访问网络资源。 在本实施例中，在基于普通接入场景、胖 AP部署场景的基础上衍生出支持 802. IX 认证的静态用户通过 IPV6接入的方案， 图 11是根据本发明优选实施例的基于 802.1X 认证的静态用户通过 IPV6接入网络的认证接入处理流程图， 如图 11所示， 无线网络 由 AP和 AC组网完成集中转发， 也可以由 FAT-AP完成本地转发。该流程包括如下步 骤： 步骤 S1102， 在静态用户终端的无线网卡上配置 IPV6地址、 网关、 DNS等信息。 步骤 S1104， BNG服务端配置用户的用户 MAC、 IPV6、 电路信息等信息元素， 该元素用来判断上线的静态用户是否合法。 步骤 S1106, 静态用户终端关联附件的 AP接入点， 并发送 EAPoL-Start报文， 通 过 WLAN网络转发至 BNG。 步骤 S1108， BNG 创建 EAPoL 用户 ， 并通过 WLAN 网络发送 EAPoL-EAP-Request-Identity报文给用户终端， 索要身份信息。 步骤 S 1110， 静态用户终端响应 EAPoL-EAP-Request-Identity报文,并通过 WLAN 网络发送 EAPoL-EAP-Response-Identity报文给 BNG。 步骤 S1112， BNG把 EAPoL-EAP-Response-Identity报文作为 RADIUS 协议的

ACCESS-Request报文中的 EAP-MessAge属性值，发送 ACCESS-Request报文至 AAA 服务器。 步骤 S1114， AAA服务器和静态用户终端协商具体的认证方法 EAP-PEAP (或者 是 EAP-TLS、 EAP-TTLS等）， 在步骤 S1114、 步骤 S1116的流程中， 完成对静态客户 端的认证。 步骤 S1118， AAA服务器根据鉴权结果，发送 ACCESS-Accept/ReJect消息给 BNG。 步骤 S1120， BNG发送 EAPoL-EAP-Success/EAPoL-EAP-Failure报文给静态用户 终端。 步骤 S1122, 如果是空口加密的环境， AP和静态用户终端的 802.1X客户端进一 步协商空口数据报文加解密需要的密钥。 PMK的传递参考前面描述的实施例。 步骤 S1124, 如果鉴权成功， 静态用户终端发送 NS报文至 BNG， BNG根据配置 检测 IP地址、 MAC是否合法， 如果检测通过， BNG打通转发面 IPv6的报文转发。 步骤 S1126, 用户终端发送 RS请求至 BNG， BNG响应 RS报文， 发送含有前缀 的 RA报文给用户终端， 通告默认路由给用户终端。 至此， 该静态用户可以访问网络资源。 V6地址的场景下， BNG也通过 EAPoL-Start/EAPoL-Start- Announce的 TLV字段 获取 IPV6地址，也可以从 NS报文中获取静态用户的 IPV6地址，对 IPV6地址、 MAC 地址进行合法行检测。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可以用通用 的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在多个计算装置所 组成的网络上， 可选地， 它们可以用计算装置可执行的程序代码来实现， 从而， 可以 将它们存储在存储装置中由计算装置来执行， 并且在某些情况下， 可以以不同于此处 的顺序执行所示出或描述的步骤， 或者将它们分别制作成各个集成电路模块， 或者将 它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样， 本发明不限制于任 何特定的硬件和软件结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技 术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内， 所作的 任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1. 一种静态用户终端认证处理方法， 包括：

向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请 求报文；

接收来自所述静态用户终端的响应报文， 其中， 所述响应报文中携带有所 述用户标识；

根据所述用户标识对所述静态用户终端进行扩展的认证协议 EAP认证。

2. 根据权利要求 1所述的方法， 其中，在根据所述用户标识对所述静态用户终端 进行所述 EAP认证之后， 并在所述 EAP认证成功的情况下， 还包括：

向接入密钥协商点传递授权信息中携带的成对主密钥， 其中， 所述接入密 钥协商点与所述静态用户终端的 802.1X 客户端协商用于空口数据报文交互的 密钥。

3. 根据权利要求 1所述的方法， 其中， 根据所述用户标识对所述静态用户终端基 于所述 EAPoL接入网络进行所述 EAP认证包括：

向认证授权计费 AAA服务器发送接入请求报文， 其中， 所述接入请求报 文中携带有要求基于所述 EAPoL接入网络的所述静态用户终端的用户标识； 接收到来自所述 AAA服务器的认证结果， 其中， 所述 AAA服务器根据所 述用户标识对所述静态用户终端基于所述 EAPoL接入网络进行协商认证。

4. 根据权利要求 1所述的方法， 其中， 通过以下触发方式至少之一触发向所述静 态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报 文：

通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户 终端的 EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户 终端的 EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述 静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态用 户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的因特网控制消息协议 v6 版本的邻 居请求 ICMPv6 NS协议报文的方式触发所述静态用户终端的 EAP认证，其中， 所述 ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述 静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态用 户信息表匹配命中；

接收到所述静态用户设备发送的用于触发 EAP认证的 EAPoL开始报文。

5. 根据权利要求 1所述的方法， 其中， 在根据所述用户标识对所述静态用户终端 进行所述 EAP认证之前或之后， 还包括： 通过以下方式至少之一获取所述静态 用户终端的身份安全信息- 通过扩展基于扩展的认证协议承载于局域网 EAPoL 开始通告配置下的配 置选项的方式获取所述静态用户终端的所述身份安全信息；

在所述 EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认 证协议承载于局域网 EAPoL通告报文的方式获取所述身份安全信息；

在通过所述静态用户终端的上行流量触发认证的情况下， 从匹配的上行报 文中解析获取所述身份安全信息；

通过地址解析协议 ARP报文、邻居请求 NS报文交互获取所述身份安全信 息。

6. 一种静态用户终端认证处理装置， 包括：

发送模块， 设置为向所述静态用户终端发送用于获取所述静态用户终端的 用户标识的标识请求报文；

接收模块， 设置为接收来自所述静态用户终端的响应报文， 其中， 所述响 应报文中携带有所述用户标识；

认证模块， 设置为根据所述用户标识对所述静态用户终端进行扩展的认证 协议 EAP认证。

7. 根据权利要求 6所述的装置， 其中， 还包括：

传递模块， 设置为在根据所述用户标识对所述静态用户终端进行所述 EAP 认证之后， 并在所述 EAP认证成功的情况下， 向接入密钥协商点传递授权信息 中携带的成对主密钥， 其中， 所述接入密钥协商点与所述静态用户终端的 802. IX客户端协商用于空口数据报文交互的密钥。

8. 根据权利要求 6所述的装置， 其中， 所述认证模块包括：

发送单元， 设置为向认证授权计费 AAA服务器发送接入请求报文， 其中， 所述接入请求报文中携带有要求基于所述 EAPoL 接入网络的所述静态用户终 端的用户标识；

接收单元， 设置为接收到来自所述 AAA服务器的认证结果， 其中， 所述 AAA服务器根据所述用户标识对所述静态用户终端基于所述 EAPoL接入网络 进行协商认证。

9. 根据权利要求 6所述的装置， 其中， 还包括触发模块， 设置为通过以下触发方 式至少之一触发向所述静态用户终端发送用于获取所述静态用户终端的所述用 户标识的所述标识请求报文：

通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户 终端的 EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户 终端的 EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述 静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态用 户信息表匹配命中；

通过抓捕未认证的所述静态用户终端的因特网控制消息协议 v6 版本的邻 居请求 ICMPv6 NS协议报文的方式触发所述静态用户终端的 EAP认证，其中， 所述 ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中；

通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述 静态用户终端的 EAP认证， 其中， 所述地址解析协议报文被预先存储的静态用 户信息表匹配命中；

接收到所述静态用户设备发送的用于触发 EAP认证的 EAPoL开始报文。

10. 根据权利要求 6所述的装置， 其中， 还包括获取模块， 设置为在根据所述用户 标识对所述静态用户终端进行所述 EAP认证之前或之后， 还包括： 通过以下方 式至少之一获取所述静态用户终端的身份安全信息： 通过扩展基于扩展的认证协议承载于局域网 EAPoL 开始通告配置下的配 置选项的方式获取所述静态用户终端的所述身份安全信息；

在所述 EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认 证协议承载于局域网 EAPoL通告报文的方式获取所述身份安全信息；

在通过所述静态用户终端的上行流量触发认证的情况下， 从匹配的上行报 文中解析获取所述身份安全信息；

通过地址解析协议 ARP报文或者邻居请求 NS报文交互获取所述身份安全 信息。