WO2014127630A1 - 802.1x接入会话保活的方法、设备及系统 - Google Patents

Abstract

本发明实施例公开了一种802.1X接入会话保活的方法、设备及系统，涉及通信领域，所述方法包括：802.1X客户端接入网络期间，用于接入认证的认证点按照所述认证点自身实际保活周期，向所述802.1X客户端发送用于确定所述802.1X客户端是否异常离网的保活请求消息；在所述认证点的预定时间内，若所述认证点未收到所述802.1X客户端响应所述保活请求消息的保活响应消息，则所述认证点确定所述802.1X客户端异常离网，否则确定所述 802.1X客户端正常在网。本发明实施例，提升了网络资源利用率，降低了认证点出现负担过重的安全性问题和按时计费错误的风险。

Description

802.1X接入 ^^保活的方法、 设备及系统 技术领域

本发明涉及通信领域，特别涉及一种基于 802.1X协议的接入会话保活的 方法、 设备及系统。 背景技术

随着互联网应用和智能终端的快速发展， 无线局域网（WLAN， Wireless Local Area Networks )应用已经非常普遍， 很多公共场所部署了 WLAN， 例 如工厂、 学校、 咖啡厅等。 通过 WLAN接入网络已成为用户访问网络资源 最重要的手段之一， 用户可以通过手机、 电脑等各种终端设备， 随时随地访 问互联网， 进行网上办公、 娱乐等活动。 随着公众对随时随地通过 WLAN 访问互联网的需求不断增加， 政府和运营商纷纷出台了公众 WLAN 网络热 点和热区的建设计划， 部分城市已经完成了包括商业中心、 大中院校等地区 的 WLAN网络大范围覆盖， 这也进一步刺激了终端用户使用 WLAN网络的 频率， 使得同时在线的 WLAN终端数量飞速增长。

当前对 WLAN用户访问网络的接入控制方法主要有 802. IX方式和动态 主机配置协议 ( DHCP, Dynamic Host Configuration Protocol )用户的功能 ( Option ) 60和网络（Web )认证等几种方式， 由于这几种方式在设计初期 都没有考虑到超大规模用户同时访问 WLAN 的场景， 在这种场景下这些接 入方式有个共同的缺陷就是无法及时感知在线用户是否异常离开网络， 即没 有提供用户状态保活的机制。 用户经常因为各种原因异常下线， 没有发送下 线报文给接入控制设备。 对于 WLAN 热区而言， 随着大量用户不断接入 WLAN并在不预先通告 WLAN设备的情况下离开 WLAN， WLAN控制层面 网络设备需要管理的在线用户数量不断增加， 导致 WLAN控制层面的网络 设备、 尤其是用户认证和管理设备（即网关设备） 的负担逐步加重， 存在资 源浪费和一定的安全隐患。

802.1X+EAP在 WLAN用户接入中使用越来越普遍， 尤其是在 WLAN 接入场景中被作为用户无感知认证的主要方式。 用户通常可以采用 802.1X+ 可扩展身份验证协议 ( EAP, Extensible Authentication Protocol ) +动态主机配 置协议版本 4/动态主机配置协议版本 6 ( DHCPv4/DHCPv6 )、 802.1X+ EAP+ 静态网际协议（ Static IP ) /无状态地址自动配置（ SLAAC， StateLess Address Auto Configuration ) 的方式接入认证并获取三层地址。 用户和认证点 /网关 设备之间的接入协议没有保活机制， 一旦链路异常或用户异常离线， 认证点 /网关设备不能及时侦测到用户离线，从而影响用户的计费精度并耗费认证点 播地址解析协议（ARP )请求、 或用户空闲流量检测这些辅助手段来检测用 户是否异常离线，但是这些方法与接入协议 802.1X无关，需要额外的协议支 持， 一般比较耗费资源， 影响认证点 /网关设备性能。

综上所述， 相关技术对于大量用户不发送离线消息直接离开网络造成的 认证点的资源浪费问题、 以及安全隐患和计费错误等问题， 尚无优先解决方 案。 发明内容

本发明实施例的目的在于提供一种接入会话保活的方法、 设备及系统， 对在线用户的状态进行确认和维持， 解决了大量用户不发送离线消息直接离 开网络造成的认证点的资源浪费问题、 安全隐患和计费错误等问题。

根据本发明实施例的一个方面， 提供了一种 802.1X接入会话保活的方 法， 包括：

802. IX客户端接入网络期间，用于接入认证的认证点按照自身实际保活 周期， 向所述 802. IX客户端发送用于确定所述 802. IX客户端是否异常离网 的保活请求消息； 在所述认证点的预定时间内，若所述认证点未收到所述 802.1X客户端响 应所述保活请求消息的保活响应消息，则所述认证点确定所述 802. IX客户端 异常离网， 否则确定所述 802.1X客户端正常在网。

优选地， 所述方法还包括：

所述 802. IX客户端接入网络期间， 所述 802. IX客户端按照自身实际保 活周期， 向认证点发送用于确定所述认证点是否状态异常的保活请求消息； 在所述 802. IX客户端预定时间内， 若所述 802. IX客户端未收到所述认 证点响应所述保活请求消息的保活响应消息，则所述 802. IX客户端确定所述 认证点状态异常， 否则， 确定认证点状态正常。

优选地，在所述认证点 /所述 802.1X客户端向对端发送保活请求消息前， 所述方法还包括：

所述认证点接收所述 802.1X 客户端发送的开始通告请求消息， 并向 802. IX客户端发送身份请求消息；

所述认证点接收所述 802.1X客户端响应所述身份请求消息的身份响应 消息， 并将所述身份响应消息封装到认证请求消息中， 发送至认证服务器； 所述认证服务器根据所述认证请求消息，经由所述认证点与所述 802.1X 客户端确定鉴权方式，并按照所述鉴权方式，对所述 802. IX客户端进行鉴权 处理；

所述认证服务器将鉴权成功 /失败的处理结果封装到接入接受 /拒绝消息 中， 发送至所述认证点。

优选地， 所述 802. IX客户端接入认证期间， 当所述 802. IX客户端发送 的所述开始通告请求消息中未携带建议保活周期时，所述 802. IX客户端将所 述建议保活周期封装到通告请求消息中， 发送至所述认证点， 以供所述认证 点确定自身实际保活周期。

优选地， 所述认证点解析收到的所述接入接受消息， 得到其中的用于开 启保活功能的授权属性， 并根据所述用于开启保活功能的授权属性， 开启指 定身份标识或业务管理域标识所对应的 802.1X客户端的保活功能，以便进行

802. IX接入会话保活。

优选地， 所述认证点通过确定自身实际保活周期， 包括：

所述认证点解析收到的所述开始通告请求消息或所述通告请求消息， 得 到其中的建议保活周期；

所述认证点解析收到的所述接入接受消息， 得到其中的授权保活周期； 所述认证点利用所述建议保活周期和 /或所述授权保活周期和 /或所述认 证点本地配置的本地保活周期， 确定自身实际保活周期。

优选地，所述客户端实际保活周期是所述 802.1X客户端本地的默认保活 周期。

优选地，所述 802.1X客户端解析收到的所述保活响应消息，得到其中的 强制保活周期， 并按照所述强制保活周期， 调整自身实际保活周期。

根据本发明实施例的另一方面， 提供了一种 802. IX接入会话保活的系 统， 包括 802.1客户端、 用于接入认证的认证点和认证服务器； 其中，

所述认证点，配置为在所述 802. IX客户端接入网络期间，按照所述认证 点自身实际保活周期， 向所述 802. IX客户端发送用于确定所述 802. IX客户 端是否异常离网的保活请求消息； 在所述认证点的预定时间内， 若未收到所 述 802. IX客户端响应所述保活请求消息的保活响应消息，则确定所述 802. IX 客户端异常离网， 否则确定所述 802.1X客户端正常在网。

优选地， 所述 802. IX客户端， 配置为在所述 802. IX客户端接入网络期 间，按照所述 802.1X客户端自身实际保活周期，向所述认证点发送用于确定 所述认证点是否状态异常的保活请求消息； 在所述 802.1X客户端预定时间 内， 若未收到所述认证点响应所述保活请求消息的保活响应消息， 则确定所 述认证点状态异常， 否则， 确定认证点状态正常。 优选地， 所述系统还包括认证服务器； 其中，

所述认证点， 还配置为在所述认证点 /所述 802.1X客户端向对端发送保 活请求消息前，接收所述 802.1X客户端发送的开始通告请求消息，并向所述 802. IX客户端发送身份请求消息； 接收所述 802.1X客户端响应所述身份请 求消息的身份响应消息， 并将所述身份响应消息封装到认证请求消息中， 发 送至所述认证服务器；

所述认证服务器， 配置为根据所述认证请求消息， 经由所述认证点与所 述 802.1X客户端确定鉴权方式， 并按照所述鉴权方式， 对所述 802.1X客户 端进行鉴权处理； 将鉴权成功 /失败的处理结果封装到接入接受 /拒绝消息中， 发送至所述认证点。

优选地， 所述 802. IX客户端， 还配置为在所述 802. IX客户端接入认证 期间发送的所述开始通告请求消息中未携带建议保活周期时， 将所述建议保 活周期封装到通告请求消息中， 发送至所述认证点， 以供所述认证点确定自 身实际保活周期。

优选地， 所述认证点， 还配置为解析收到的所述接入接受消息， 得到其 中的用于开启保活功能的授权属性， 并根据所述用于开启保活功能的授权属 性， 开启指定身份标识或业务管理域标识所对应的 802.1X客户端的保活功 能， 以便进行 802. IX接入会话保活。

优选地， 所述认证点， 还配置为解析收到的所述开始通告请求消息或所 述通告请求消息， 得到其中的建议保活周期；

所述认证点解析收到的所述接入接受消息， 得到其中的授权保活周期； 所述认证点利用所述建议保活周期和 /或所述授权保活周期和 /或认证点 本地配置的本地保活周期， 确定所述认证点自身实际保活周期。

优选地，所述客户端实际保活周期是所述 802.1X客户端本地的默认保活 周期。 优选地， 所述 802.1X客户端， 还配置为解析收到的所述保活响应消息， 得到其中的强制保活周期， 并按照所述强制保活周期， 调整自身实际保活周 期。

根据本发明实施例的一个方面， 提供了一种认证点， 所述认证点包括： 认证点消息发送模块，配置为在 802.1X客户端接入网络期间，按照所述 认证点实际保活周期， 向所述 802. IX客户端发送用于确定所述 802. IX客户 端是否异常离网的保活请求消息；

客户端状态确定模块， 配置为在所述认证点的预定时间内， 若未收到所 述 802. IX客户端响应所述保活请求消息的保活响应消息，则确定所述 802. IX 客户端异常离网， 否则确定所述 802.1X客户端正常在网。

根据本发明实施例的一个方面， 提供了一种述 802.1客户端， 所述 802.1 客户端包括：

客户端消息发送模块，配置为在所述 802.1X客户端接入网络期间，按照 所述 802. IX客户端实际保活周期，向认证点发送用于确定所述认证点是否状 态异常的保活请求消息；

认证点状态确定模块，配置为在所述 802.1X客户端预定时间内，若未收 到所述认证点响应所述保活请求消息的保活响应消息， 则确定所述认证点状 态异常， 否则， 确定认证点状态正常。

与相关技术相比较， 本发明实施例的有益效果在于：

1、 本发明实施例通过认证点对 802. IX客户端保活， 使认证点能够及时 感知用户是否异常离开网络， 从而提升了网络资源利用率， 尤其是 WLAN 接入网络， 实现简便， 扩展灵活；

2、 本发明实施例降低了配置为认证接入的认证点出现负担过重的安全 性问题和按时计费错误的风险；

3、本发明实施例通过 802. IX客户端对认证点保活，使 802. IX客户端能 够及时感知认证点的状态，并在认证点状态异常时，及时选择其它有效节点， 从而提升用户体验。 附图说明

图 1是本发明实施例提供的 802. IX接入会话保活的方法原理框图； 图 2是本发明实施例提供的 802. IX接入会话保活的方法流程图； 图 3是本发明实施例提供的 802. IX接入会话保活的系统框图； 图 4是本发明第一实施例提供的 802.1X接入会话保活的系统拓朴示意 图；

图 5是本发明第一实施例提供的 802.1X接入会话保活的方法流程图； 图 6是本发明实施例提供的扩展的开始通告消息示意图；

图 7是本发明实施例提供的 EAPOL保活消息示意图；

图 8是本发明第二实施例提供的 802.1X接入会话保活的系统拓朴示意 图；

图 9是本发明第二实施例提供的 802.1X接入会话保活的方法流程图； 图 10是本发明第三实施例提供的 802.1X接入会话保活的系统拓朴示意 图；

图 11是本发明第三实施例提供的 802.1X接入会话保活的方法流程图。 具体实施方式

以下结合附图对本发明的优选实施例进行详细说明， 应当理解， 以下所 说明的优选实施例仅用于说明和解释本发明， 并不用于限定本发明。

本发明实施例考虑到当前 WLAN网络中直接与客户端进行 802. IX消息 交互的设备是 802. IX认证点， 且认证流程通过扩展认证协议（EAPOL, Extensible Authentication Protocolover ) 消息触发， 因此本发明实施例中对 EAPOL消息进行了扩展， 实现客户端与认证点之间的双向保活机制。该机制 同样适用于有线接入网络中用户使用 802.1X客户端认证接入的场景。 所述 EAPOL指 EAP承载于局域网， 即 802.1X协议。

图 1是本发明实施例提供的 802. IX接入会话保活的方法原理框图，如图 1所示， 步骤包括：

步骤 101： 802. IX客户端接入网络期间， 用于接入认证的认证点按照认 证点实际保活周期， 向 802. IX客户端发送用于确定所述 802. IX客户端是否 异常离网的保活请求消息。

步骤 102: 在认证点的预定时间内， 若所述认证点未收到所述 802.1X客 户端响应所述保活请求消息的保活响应消息，则所述认证点确定所述 802.1X 客户端异常离网， 否则所述认证点确定所述 802.1X客户端正常在网。

除上述步骤 101和步骤 102夕卜， 还包括 802.1X客户端接入网络期间， 802. IX客户端按照客户端实际保活周期，向认证点发送用于确定所述认证点 是否状态异常的保活请求消息； 在客户端预定时间内，若所述 802.1X客户端 未收到所述认证点响应所述保活请求消息的保活响应消息， 则所述 802.1X 客户端确定所述认证点状态异常，否则，所述 802. IX客户端确定认证点状态 正常。

也就是说，在 802. IX客户端和认证点之间可以建立保活机制，使 802. IX 协议会话交互的任何一方能及时有效地感知对方是否异常， 例如上述步骤 101和步骤 102中， 认证点利用保活机制感知 802.1X客户端异常离线。

图 2是本发明实施例提供的 802.1X接入会话保活的方法流程图，如图 2 所示， 步骤包括：

步 骤 1 ： 802.1X 站 点 STA 发 送 开 始 通 告 请 求 ( EAPOL-Start- Announcement ) 消息给用于接入认证的认证点， 并在 EAPOL-Start- Announcement消息的扩展标签、 长度、值（TLV， Tag, Length, Value )选项中携带保活支持标识信息和建议保活周期 （Period )信息。 所述 扩展 TLV选项格式如图 6所示， 保留（Reserved )标识保留字段， 默认为 0; 是否支持（IsEnable ) 为保活支持标记， 其中， 0标识不支持， 1标识支持； Period建议的保活周期： 其中 Period取值为 0标识无效； 取值为 65535标识 为不保活， 其他值为有效值。

步骤 2 : 认证点保存 STA 的建议保活周期信息， 并发送身份请求

( EAPOL-EAP-Request-Identity ) 消息给 STA, 索要身份认证信息。 STA收 到所述消息后，向所述认证点返回身份响应（ EAPOL-EAP-Response-Identity ) 消息。

步骤 3: 认证点将 EAPOL-EAP-Response-Identity 消息携带在认证请求 ( Access-Request ) 消息中发送给认证服务器， 即验证、 授权和记账（ AAA, Authentication, Authorization, Accounting )月良务器。

步骤 4: AAA服务器通过认证点与 STA协商鉴权方式， 并对 STA进行 鉴权， 鉴权结果用 EAP-Success或 EAP-Failure消息发送给认证点。

其中， 所述 EAP-Success或 EAP-Failure消息封装到接入接受 /拒绝消息 中， 发送至认证点。

其中， STA 与 AAA服务器之间的 EAP 鉴权协议包括 EAP-PEAP、 EAP-SIM、 EAP-AKA, EAP-TLS, EAP-TTXS。

其中， 认证点与 AAA服务器之间的认证协议包括 Radius、 Diameter等。 步骤 5: 认证点根据 STA的建议保活周期、 认证点本地配置的本地保活 周期以及 AAA服务器授权给 STA的授权保活周期，综合确定针对该 STA的 认证点实际保活周期。

其中， 默认情况下 AAA服务器的授权保活周期优先级最高， 认证点本 地配置的本地保活周期优先级次之， STA的建议保活周期优先级最低。 该优 先级顺序允许根据配置的策略调整。

也就是说， 对于认证点对 802. IX客户端的保活， 允许 802. IX认证模型 的三方角色 （即 802.1X客户端、 认证点和认证服务器）参与协商 802.1X协 议会话的保活周期， 并由认证点根据配置的选择策略最终确定有效的认证点 实际保活周期， 并按照所述认证点实际保活周期进行 802. IX协议会话的保 活，并在 802.1X认证模型的三方角色协商允许的前提下，允许认证点根据自 身负载等情况对 802.1X会话的保活周期进行动态调整。

步骤 6: 认证点按照该 STA的认证点实际保活周期， 向 STA发送保活请 求（ Eapol-Keeplive ) 消息， STA收到该消息之后返回保活响应消息。

其中， 所述保活请求消息和所述保活响应消息统称为 EAPOL保活消息 EAPOL-Keepalive， 消息内容包括以下字段：

Protocol Version: 协议类型 （EAPOL ), 长度为 1字节，目前最新的版本 号中长度为 3 ;

Packet Type: EAPOL消息类型， EAPoL-Keepalive消息建议采用 0xf， 长度为 1字节；

Packet Body Length: 消息长度， 长度为 2字节；

Message Type: EAPOL-Keepalive消息类型， 长度为 1字节 ， 0代表保 活清求消息 Echo request, 1代表保活响应消息 Echo reply;

Forced Flag: 1 字节， 表示是否强制要求对端修改其保活周期为自己建 议的有效保活周期， 默认为不强制。

Timer Period ： 保活周期， 长度为 2字节， 0表示无效， 65535表示不保 活， 其它值为有效值， 建议值 180秒。

Sequence number: 序列号， 长度为 4字节， 标识一组保活请求和应答， 初始值随机， 保活请求因为应答超时重传时， 序列号维持不变， 发送新的保 活请求时， 序列号递增。

在这个流程中， EAPOL-Start- Announcement可以不携带 STA是否支持保 活及建议保活周期等信息给认证点， STA可以在认证时单独向认证点发送携 带这些信息的 EAPOL通告消息 （ EAPOL-Announcement-Req )， 认证点只要 在 STA认证完成前及时获悉 STA是否支持保活和建议保活周期即可。 也就 是说， 在 802.1X 客户端接入认证期间 ， 802.1X 客户端可以在 EAPOL-Start- Announcement或 EAPOL- Announcement -Req中携带对应的扩 展选项，将其建议保活周期等信息告知给认证点；认证服务器在 802.1X客户 端认证成功时将其授权保活周期等信息用扩展的授权属性在接入接受消息 中下发给认证点， 认证点也可以针对指定的管理域或指定身份标识的用户本 地配置的本地保活周期。 认证点在收到认证服务器的接入接受报文后， 根据 本地配置的选择策略， 从这些保活周期中选择一个保活周期作为认证点实际 保活周期， 开始执行 802. IX协议会话的保活消息交互。

上述步骤是认证点对 STA的保活， 同样地， STA也可以对认证点保活， STA对认证点保活为可选功能， 一般不建议开启， 但是认证点需要能够响应 STA的保活请求。其中， 所述 STA也可以采用客户端默认的客户端实际保活 周期， 向认证点发起保活请求， 并接收来自认证点的保活响应消息中新的强 制保活周期。 也就是说， 对于 802. IX客户端对认证点的保活， 允许认证点根 据 802.1X认证模型的三方角色协商结果建议或强制 802.1X客户端进行调整， 用作客户端实际保活周期的强制保活周期在保活响应消息中携带给 802. IX 客户端。

由此可见， 在 802. IX客户端接入认证成功后， 802. IX客户端和 /或认证 点都可以向 802. IX协议会话的对端设备发送保活请求消息， 802. IX协议会 话的对端设备回应保活响应消息，相同的流程以一定的客户端和 /或认证点实 际保活周期重复进行。 该保活机制是双向的， 可以单向开启或关闭， 例如可 以仅开启认证点对 802. IX客户端的保活行为， 即认证点发送保活请求消息， 对应的 802. IX客户端回应保活响应消息。

其中，开启或关闭保活机制，独立于 802.1X的接入认证流程，仅在 802.1X 客户端认证成功后执行。 其中， 认证点可以对指定身份标识或域标识的

802. IX客户端开启或关闭保活功能， 该身份标识可以是用户介质接入控制 ( MAC， Media Access Control ) 地址、 用户账号或国际移动用户识别号 ( IMSI, International Mobile Subscriber Identity )等信息， 该域标识可以是认 证点或认证服务器针对一组用户的业务管理域的域名， 由认证点执行针对这 些指定用户开启或关闭保活功能的动作。 802. IX客户端声明自身是否支持保 活功能（在开始通告请求报文或通告请求报文中携带对应的扩展选项， 将是 否支持保活功能告知认证点， 认证点默认 802.1X客户端不支持保活功能）， 如果支持， 可选择是否开启保活功能。 认证服务器可以根据其配置的策略决 定针对哪些用户进行保活，并在 802. IX客户端接入认证成功时，通过接入接 受消息携带对应的用于开启保活功能的授权属性给认证点， 由认证点执行开 启或关闭保活功能的动作。

上述 802. IX STA指 802. IX客户端， 可以是装有无线网卡的计算机， 也 可以是有无线保真（WiFi， Wireless Fidelity )模块的智能手机。 STA可以是 移动的， 也可以是固定的， 是 WLAN的最基本组成单元。

图 3是本发明实施例提供的 802. IX接入会话保活的系统框图， 如图 3 所示， 包括：

认证点：在 802. IX客户端接入认证过程中， 负责选定认证服务器并转换 中继 802.1X客户端和认证服务器的认证报文交互， 接收 802.1X客户端的保 活建议和认证服务器的授权属性（包括针对 802. IX客户端保活的相关参数授 权）， 并在 802. IX客户端认证成功时最终选择合适的保活周期， 开始执行对 802. IX客户端的保活操作；

802. IX客户端： 负责进行 802. IX协议的接入认证交互， 根据设置主动 上报保活功能相关的参数（包括是否支持保活， 建议的保活周期等）， 在认 证成功后响应认证点的保活请求消息。 必要时， 根据设置也可以主动针对认 证点进行保活， 发送保活请求消息并接受认证点的保活响应消息； 认证服务器：负责对 802. IX客户端进行 EAP认证交互和授权属性下发， 鉴权成功时，根据其所知的策略下发针对 802. IX客户端进行保活相关的参数 给认证点。

其中， 所述认证点包括：

认证点消息发送模块，配置为在 802.1X客户端接入网络期间，按照认证 点实际保活周期， 向 802. IX客户端发送用于确定所述 802. IX客户端是否异 常离网的保活请求消息；

客户端状态确定模块， 配置为在认证点的预定时间内， 若未收到所述 802. IX客户端响应所述保活请求消息的保活响应消息， 则确定所述 802.1X 客户端异常离网， 否则确定所述 802.1X客户端正常在网。

实际应用中， 所述认证点消息发送模块和所述客户端状态确定模块均可 由所述认证点中的中央处理器（CPU， Central Processing Unit ), 数字信号处 理器 （DSP， Digital Signal Processor ) 或现场可编程门阵列 （ FPGA， Field Programmable Gate Array ) 实现。

所述 802.1客户端包括：

客户端消息发送模块，配置为在 802.1X客户端接入网络期间，按照客户 端实际保活周期， 向认证点发送用于确定所述认证点是否状态异常的保活请 求消息；

认证点状态确定模块， 配置为在客户端预定时间内， 若未收到所述认证 点响应所述保活请求消息的保活响应消息， 则确定所述认证点状态异常， 否 则， 确定认证点状态正常。

实际应用中， 所述客户端消息发送模块和所述认证点状态确定模块均可 由所述 802.1客户端中的 CPU、 DSP或 FPGA实现。

以下结合图 4至图 11， 针对认证点对 802. IX客户端的保活进行着重说 明。

图 4是本发明第一实施例提供的 802.1X接入会话保活的系统拓朴示意 图， 如图 4所示， 宽带网络网关（ BNG， Broad Network Gateway用作认证点 的场景， 无线接入点（AP， Access Point )处于本地转发模式， BNG和 AAA 服务器之间使用远程用户拨号认证系统 Radius协议通讯，该场景可以是无线 接入控制器（ AC )和 BNG融合， 也可以是 AC和 BNG分离。

图 5是本发明第一实施例提供的 802.1X接入会话保活的方法流程图，即 图 4所述系统的流程图， 步骤包括：

步骤 1 : STA关联 AP后，扩展 的 EAPOL-Start- Announcement消息携带 保活支持标识信息和建议保活周期信息， 并将该消息经 AP发送到 BNG。

扩展的 EAPOL-Start-Announcement消息示意图如图 6所示。

所述保活支持标识信息配置为指示是否支持保活功能。

步骤 2: BNG接收到 STA发送的 EAPOL-Start-Announcement消息后， 从中提取出 STA 的建议保活周期信息并保存， 并通过 AP 向 STA发送 EAPOL-EAP-Request-Identity消息； STA收到 EAPOL-EAP-Request-Identity 消息后， 经 AP向 BNG发送 EAPOL-EAP-Response-Identity消息。

步骤 3: BNG把 EAPOL-EAP-Response消息封装在 RADIUS协议的认证 请求消息 Access-Request 中， 发送给 AAA服务器。

步骤 4: AAA服务器和 STA协商鉴权方式，并由 AAA服务器对 STA进 行鉴权。

步骤 5: AAA服务器发送鉴权成功的 EAP-SUCCESS消息或者鉴权失败 的 EAP-FAILURE消息，并将所述消息封装在 RADIUS协议报文的允许 /拒绝 接入消息 Access- Accept/Reject中发送 BNG。

其中， 如果该用户的签约信息中有授权保活周期信息， 则 AAA服务器 在 Access-Accept消息中携带该信息发送给 BNG。 步骤 6: BNG根据 STA的建议保活周期信息、本地配置的本地保活周期 信息以及 AAA服务器的授权保活周期信息， 确定认证点对该 STA保活的认 证点实际保活周期。

步骤 7: BNG根据所述认证点实际保活周期向 STA发送保活请求消息， STA收到该消息之后返回保活响应消息。 保活请求消息和保活响应消息的建 议格式如图 7所示。

步骤 8: STA发出动态主机设置协议发现消息（ DHCP Discover )请求 IP 地址，经 AP发送给 BNG， BNG与 STA之间通过 DHCP协议完成 STA的 IP 地址分配， 也允许 BNG作为 DHCP 中继 /代理（Relay/Proxy )代替 DHCP Server完成该地址分配流程。

特别地， 所述步骤 8与步骤 1至步骤 7没有时间上的先后顺序。

步骤 9: BNG判断该 STA已经过认证， 允许转发 STA访问网络侧设备 的上下行数据。

图 8是本发明第二实施例提供的 802.1X接入会话保活的系统拓朴示意 图， 如图 8所示， 与第一实施例对比， 本实施例是将 AC作为认证点的场景， AC与 AAA服务器之间通过 BNG相连， 其流程如图 9所示， 步骤包括： 步骤 1 : STA关联 AP后，扩展 的 EAPOL-Start- Announcement消息携带 是保活支持标识信息和建议保活周期信息， 并将该消息经 AP发送到 AC。

扩展后的 EAPOL-Start- Announcement消息示意图如图 6所示。

步骤 2: AC收到 STA发送的 EAPOL-Start- Announcement消息后， 从中 提取出 STA 的建议保活周期信息并保存， 并通过 AP 向 STA 发送 EAPOL-EAP-Request-Identity消息， STA收到 EAPOL-EAP-Request-Identity 消息后， 经 AP向 AC发送 EAPOL-EAP-Response-Identity消息。

步骤 3: AC把 EAPOL-EAP-Response-Identity消息封装在 RADIUS协议 的认证请求消息 Access-Request 中， 发送给 AAA服务器。 其中， 当 BNG作为 AC与 AAA之间的 Radius Proxy网元时， BNG需要 对 Radius协议报文进行重新封装。

步骤 4: AAA服务器和 STA协商鉴权方式，并由 AAA服务器对 STA进 行鉴权。

步骤 5: AAA服务器发送鉴权成功的 EAP-SUCCESS消息或者鉴权失败 的 EAP-FAILURE 消息， 将所述消息封装在 RADIUS 协议报文的 Access- Accept/Reject消息中发送 AC。

其中， 如果该用户的签约信息中有授权保活周期信息， 则 AAA服务器 在 Access-Accept消息中携带该信息发送给 AC。

步骤 6: AC根据 STA的建议保活周期信息、 本地配置的默本地保活周 期信息以及 AAA服务器授权的授权保活周期信息， 确定认证点对该 STA保 活的认证点实际保活周期。

步骤 7: AC根据所述认证点实际保活周期向 STA发送保活请求消息， STA收到该消息之后返回保活响应消息。

所述保活请求消息和保活响应消息的建议格式如图 7所示。

步骤 8: STA发出 DHCP Discover消息请求 IP地址， 经 AP发送给 AC， AC与 STA之间通过 DHCP协议完成 STA的 IP地址分配。

特别地， 所述步骤 8与所述步骤 1至步骤 7没有时间上的先后顺序。 步骤 9: AC判断该 STA已经过认证且地址分配成功， 则向 BNG发送用 户上线通告消息。

其中， 当 BNG作为 AC与 AAA服务器之间的 Radius Proxy网元时， 该 消息可以是计费开始消息。

步骤 10: BNG收到用户上线通告消息之后， 允许转发 STA访问网络侧 设备的上下行数据。

图 10是本发明第三实施例提供的 802.1X接入会话保活的系统拓朴示意 图， 如图 10所示， 本实施例是将家庭网关（RG， Residential Gateway )或固 定终端作为 802. IX客户端， 将接入设备或 BNG作为认证点的场景， 其流程 如图 11所示， 步骤包括：

步骤 1 : RG或固定终端在扩展的 EAPOL-Start- Announcement消息中携 带是保活支持标识信息和建议保活周期信息， 并将该消息发送给接入设备或 BNG。

扩展的 EAPOL-Start- Announcement消息格式示意图如图 6所示。

步骤 2： 接入设备或 BNG 接收到 RG 或固定终端发送的 EAPOL-Start- Announcement消息后， 从中提取出 RG或固定终端的建议保活 周期并保存， 并向 RG或固定终端发送 EAPOL-EAP-Request-Identity消息， RG或固定终端收到 EAPOL-EAP-Request-Identity消息后，向接入设备或 BNG 发送 EAPOL-EAP-Response-Identity消息。

步骤 3： 接入设备或 BNG把 EAPOL-EAP-Response-Identity消息封装在 RADIUS协议的认证请求消息 Access-Request中， 发送给 AAA服务器。

步骤 4: AAA服务器和 RG或固定终端协商鉴权方式， 并由 AAA服务 器对 RG或固定终端进行鉴权。

步骤 5: AAA服务器发送鉴权成功的 EAP-SUCCESS消息或者鉴权失败 的 EAP-FAILURE 消息， 并将所述消息封装在 RADIUS 协议报文 Access- Accept/Reject消息中发送接入设备或 BNG。

其中， 如果该用户的签约信息中有授权保活周期信息， AAA服务器在 Access-Accept消息中携带该信息发送给接入设备或 BNG。

步骤 6: 接入设备或 BNG根据 RG或固定终端的建议保活周期、接入设 备或 BNG本地配置的本地保活周期以及 AAA服务器授权给 RG或固定终端 的授权保活周期， 确定接入设备或 BNG对该 RG或固定终端保活的认证点 实际保活周期。 端发送保活请求消息， RG 或固定终端收到该消息之后返回保活响应消息。 保活请求消息和保活响应消息的格式如图 7所示。

步骤 8: RG或固定终端发出 DHCP Discover消息请求 IP地址， 发送给 BNG, BNG与 RG或固定终端之间通过 DHCP协议完成 RG或固定终端的 IP地址分配。

特别地， 所述步骤 8与所述步骤 1至步骤 7没有时间上的先后顺序。 步骤 9: 接入设备或 BNG判断该 RG或固定终端已经过认证， 允许转发 RG或固定终端访问网络侧设备的上下行数据。

本发明的各步骤或各部件可以用通用的计算装置来实现， 它们可以集中 在单个的计算装置上， 或者分布在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程序代码来实现， 从而， 可以将它们存储在存 储装置中由计算装置来执行， 并且在某些情况下， 可以以不同于此处的顺序 执行所示出或描述的步骤， 或者将它们分别制作成各个集成电路模块， 或者 将它们中的多个步骤或部件制作成单个集成电路模块来实现。 这样， 本发明 不限制于任何特定的硬件和软件结合。

尽管上文对本发明进行了详细说明， 但是本发明不限于此， 本技术领域 技术人员可以根据本发明的原理进行各种修改。 因此， 凡按照本发明原理所 作的修改， 都应当理解为落入本发明的保护范围。

Claims

权利要求书

1、 一种 802. IX接入会话保活的方法， 包括：

802. IX客户端接入网络期间，用于接入认证的认证点按照自身实际保活 周期， 向所述 802. IX客户端发送用于确定所述 802. IX客户端是否异常离网 的保活请求消息；

在所述认证点的预定时间内，若所述认证点未收到所述 802.1X客户端响 应所述保活请求消息的保活响应消息，则所述认证点确定所述 802. IX客户端 异常离网， 否则所述认证点确定所述 802. IX客户端正常在网。

2、 根据权利要求 1所述的方法， 其中， 还包括：

所述 802. IX客户端接入网络期间， 所述 802. IX客户端按照自身实际保 活周期， 向所述认证点发送用于确定所述认证点是否状态异常的保活请求消 息；

在所述 802. IX客户端预定时间内， 若所述 802. IX客户端未收到所述认 证点响应所述保活请求消息的保活响应消息，则所述 802. IX客户端确定所述 认证点状态异常， 否则， 确定所述认证点状态正常。

3、 根据权利要求 1或 2所述的方法， 其中， 在所述认证点 /所述 802. IX 客户端向对端发送保活请求消息前， 所述方法还包括：

所述认证点接收所述 802.1X客户端发送的开始通告请求消息，并向所述 802. IX客户端发送身份请求消息；

所述认证点接收所述 802.1X客户端响应所述身份请求消息的身份响应 消息， 并将所述身份响应消息封装到认证请求消息中， 发送至认证服务器； 所述认证服务器根据所述认证请求消息，经由所述认证点与所述 802.1X 客户端确定鉴权方式，并按照所述鉴权方式，对所述 802. IX客户端进行鉴权 处理；

所述认证服务器将鉴权成功 /失败的处理结果封装到接入接受 /拒绝消息 中， 发送至所述认证点。

4、 根据权利要求 3所述的方法， 其中， 所述 802. IX客户端接入认证期 间，当所述 802. IX客户端发送的所述开始通告请求消息中未携带建议保活周 期时，所述 802.1X客户端将所述建议保活周期封装到通告请求消息中，发送 至所述认证点， 以供所述认证点确定自身实际保活周期。

5、 根据权利要求 4 所述的方法， 其中， 所述认证点解析收到的所述接 入接受消息， 得到其中的用于开启保活功能的授权属性， 并根据所述用于开 启保活功能的授权属性， 开启指定身份标识或业务管理域标识所对应的 802. IX客户端的保活功能， 以便进行 802. IX接入会话保活。

6、 根据权利要求 5 所述的方法， 其中， 所述认证点确定自身实际保活 周期， 包括：

所述认证点解析收到的所述开始通告请求消息或所述通告请求消息， 得 到其中的建议保活周期；

所述认证点解析收到的所述接入接受消息， 得到其中的授权保活周期； 所述认证点利用所述建议保活周期和 /或所述授权保活周期和 /或所述认 证点本地配置的本地保活周期， 确定自身实际保活周期。

7、 根据权利要求 5 所述的方法， 其中， 所述客户端实际保活周期是所 述 802. IX客户端本地的默认保活周期。

8、 根据权利要求 7所述的方法， 其中， 所述方法还包括： 所述 802.1X 客户端解析收到的所述保活响应消息， 得到其中的强制保活周期， 并按照所 述强制保活周期， 调整自身实际保活周期。

9、 一种 802. IX接入会话保活的系统， 包括 802.1客户端、 用于接入认 证的认证点； 其中，

所述认证点，配置为在所述 802. IX客户端接入网络期间，按照所述认证 点自身实际保活周期， 向所述 802. IX客户端发送用于确定所述 802. IX客户 端是否异常离网的保活请求消息； 在所述认证点的预定时间内， 若未收到所 述 802. IX客户端响应所述保活请求消息的保活响应消息，则确定所述 802. IX 客户端异常离网， 否则确定所述 802.1X客户端正常在网。

10、 根据权利要求 9所述的系统， 其中，

所述 802. IX客户端， 配置为在所述 802. IX客户端接入网络期间， 按照 所述 802. IX客户端自身实际保活周期，向所述认证点发送用于确定所述认证 点是否状态异常的保活请求消息；在所述 802.1X客户端预定时间内，若未收 到所述认证点响应所述保活请求消息的保活响应消息， 则确定所述认证点状 态异常， 否则， 确定认证点状态正常。

11、根据权利要求 9或 10所述的系统， 其中， 所述系统还包括认证服务 器； 其中，

所述认证点， 还配置为在所述认证点 /所述 802.1X客户端向对端发送保 活请求消息前，接收所述 802.1X客户端发送的开始通告请求消息，并向所述 802. IX客户端发送身份请求消息； 接收所述 802.1X客户端响应所述身份请 求消息的身份响应消息， 并将所述身份响应消息封装到认证请求消息中， 发 送至所述认证服务器；

所述认证服务器， 配置为根据所述认证请求消息， 经由所述认证点与所 述 802.1X客户端确定鉴权方式， 并按照所述鉴权方式， 对所述 802.1X客户 端进行鉴权处理； 将鉴权成功 /失败的处理结果封装到接入接受 /拒绝消息中， 发送至所述认证点。

12、 根据权利要求 11所述的系统， 其中，

所述 802. IX客户端， 还配置为在所述 802. IX客户端接入认证期间发送 的所述开始通告请求消息中未携带建议保活周期时， 将所述建议保活周期封 装到通告请求消息中， 发送至所述认证点， 以供所述认证点确定自身实际保 活周期。 13、 根据权利要求 12所述的系统， 其中，

所述认证点， 还配置为解析收到的所述接入接受消息， 得到其中的用于 开启保活功能的授权属性， 并根据所述用于开启保活功能的授权属性， 开启 指定身份标识或业务管理域标识所对应的 802.1X客户端的保活功能，以便进 行 802. IX接入会话保活。

14、 根据权利要求 13所述的系统， 其中，

所述认证点， 还配置为解析收到的所述开始通告请求消息或所述通告请 求消息， 得到其中的建议保活周期；

所述认证点解析收到的所述接入接受消息， 得到其中的授权保活周期； 所述认证点利用所述建议保活周期和 /或所述授权保活周期和 /或认证点 本地配置的本地保活周期， 确定所述认证点自身实际保活周期。

15、 根据权利要求 13 所述的系统， 其中， 所述客户端实际保活周期是 所述 802. IX客户端本地的默认保活周期。

16、 根据权利要求 15所述的系统， 其中，

所述 802.1X客户端，还配置为解析收到的所述保活响应消息，得到其中 的强制保活周期， 并按照所述强制保活周期， 调整自身实际保活周期。

17、 一种认证点， 所述认证点包括：

认证点消息发送模块，配置为在 802.1X客户端接入网络期间，按照认证 点实际保活周期， 向 802. IX客户端发送用于确定所述 802. IX客户端是否异 常离网的保活请求消息；

客户端状态确定模块， 配置为在认证点的预定时间内， 若未收到所述 802. IX客户端响应所述保活请求消息的保活响应消息， 则确定所述 802.1X 客户端异常离网， 否则确定所述 802.1X客户端正常在网。

18、 一种 802.1客户端， 所述 802.1客户端包括：

客户端消息发送模块，配置为在 802.1X客户端接入网络期间，按照客户 端实际保活周期， 向认证点发送用于确定所述认证点是否状态异常的保活请 求消息；

认证点状态确定模块， 配置为在客户端预定时间内， 若未收到所述认证 点响应所述保活请求消息的保活响应消息， 则确定所述认证点状态异常， 否 则， 确定认证点状态正常。