WO2016192608A2

WO2016192608A2 - 身份认证方法、身份认证系统和相关设备

Info

Publication number: WO2016192608A2
Application number: PCT/CN2016/083924
Authority: WO
Inventors: 包德伟; 胡寅亮; 魏启坤; 潘栋成
Original assignee: 华为技术有限公司
Priority date: 2015-06-04
Filing date: 2016-05-30
Publication date: 2016-12-08
Also published as: CN110958272B; WO2016192608A3; CN106302353B; CN110958272A; CN106302353A

Abstract

本发明实施例公开了身份认证方法和相关设备，用于实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。本发明实施例方法包括：虚拟接入路由器只有在确定接收到的客户端发送的第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，才发送第二PADI广播报文到PPPOE服务器请求PPPOE服务器服务，虚拟接入路由器还需要发送携带有路由身份信息的第二PADO应答消息给客户端设备进行路由身份信息的验证；虚拟接入路由器建立与PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过该第一会话和第二会话，转发客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证。

Description

身份认证方法、身份认证系统和相关设备

本申请要求于2015年6月4日提交中国专利局、申请号为201510304341.2、发明名称为“身份认证方法、身份认证系统和相关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，尤其涉及身份认证方法、身份认证系统和相关设备。

背景技术

传统的接入路由器(access router，AR)放置在用户(企业)侧，用户在AR上进行以太网上的点对点协议(Point-to-Point Protocol over Ethernet，PPPoE)拨号，运营商网络设备对用户进行认证和鉴权，认证通过后为其广域网(wide area network，WAN)口分配公网网络之间互连的协议(Internet Protocol，IP)地址。其中，PPPoE协议提供了在以太网网络中多台主机连接到远端的宽带接入服务器上的一种标准。其本质是在以太网上建立一个点对点的隧道，具有用户认证和IP地址通知功能。在传统的AR上进行PPPoE拨号，即可以完成对用户的认证，运营商网络设备为AR的WAN口分配公网的IP地址。

虚拟接入路由器(virtual AR，vAR)将AR的大部分功能，如IP路由，网络地址转换(network address translation，NAT)，防火墙，上移到运营商网络，用户侧的瘦用户驻地设备(thin customer-premises equipment，ThinCPE)只保留简单的接入功能。用户从运营商处购买vAR，购买成功后此台vAR专为此用户服务(根据用户所选套餐具有不同的功能服务)。用户到其购买的vAR之间需要经过运营商的接入网，这是一个二层网络。为支持PPPoE拨号认证，目前通常思路是将vAR作为PPPoE客户端通过PPPoE服务器，例如，宽带远程接入服务器(Broadband Remote Access Server，BRAS)，进行认证。

然而，在虚拟接入路由器场景下，采用这种方式进行认证，会使得企业用户侧和vAR之间的接入链路得不到认证，安全性没有保证。

发明内容

本发明实施例提供了身份认证方法、身份认证系统和相关设备，用于实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。

本发明实施例第一方面提供了一种身份认证方法，应用于包括有虚拟接入路由器的网络系统，所述网络系统中还包括客户端设备和PPPOE服务器，包括：

虚拟接入路由器接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器确定所述用户第一身份信息与所述虚拟接入路由器的身份相匹配时，所述虚拟接入路由器发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器接收到所述PPPOE服务器返回的第一PADO应答消息后，所述虚拟接入路由器发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

当所述虚拟接入路由器建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，所述虚拟接入路由器通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

当所述虚拟接入路由器接收到所述PPPOE服务器发送的认证失败消息时，所述虚拟接入路由器中断与所述客户端设备之间的所述第一会话。

结合本发明实施例的第一方面，本发明实施例第一方面的第一种实现方式中，所述方法还包括：

所述虚拟接入路由器接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

当虚拟接入路由器确定所述内网IP网段的合法性后，所述虚拟接入路由器保存所述第一会话的标识与所述内网IP网段的绑定关系，并向所述客户端设备发送IP子网地址通告应答。

本发明实施例第二方面提供了一种身份认证方法，用于包括有虚拟接入路由器的网络系统，所述网络系统中还包括客户端设备和PPPOE服务器，包括：

客户端设备在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

所述客户端设备接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

当所述客户端设备确定所述路由身份信息与所述用户第一身份信息匹配时，所述客户端设备建立与所述虚拟接入路由器之间的第一会话；

所述客户端设备通过所述第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息。

结合本发明实施例的第二方面，本发明实施例第二方面的第一种实现方式中，所述网络系统中还包括DHCP服务器，所述方法还包括：

所述客户端设备从所述DHCP服务器获取内网IP网段的配置；

所述客户端设备根据所述内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。

本发明实施例第三方面提供了一种虚拟接入路由器，包括：

第一接收模块，用于接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

第一发送模块，用于当确定所述第一接收模块接收到的第一PADI广播报文中携带的用户第一身份信息与所述虚拟接入路由器的身份相匹配时，发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

第二发送模块，用于当接收到所述PPPOE服务器返回的第一PADO应答消息后，发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

转发模块，用于当建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

中断模块，用于当接收到所述PPPOE服务器发送的认证失败消息时，中断与所述客户端设备之间的所述第一会话。

结合本发明实施例的第三方面，本发明实施例第三方面的第一种实现方式中，所述虚拟接入路由器还包括：

第二接收模块，用于接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

保存模块，用于当确定所述第二接收模块接收到的IP子网地址通告请求中包含的内网IP网段的合法性后，保存所述第一会话的标识与所述内网IP网段的绑定关系；

第三发送模块，用于在所述保存模块保存所述第一会话的标识与所述内网IP网段的绑定关系后，向所述客户端设备发送IP子网地址通告应答。

本发明实施例第四方面提供了一种客户端设备，包括：

第四发送模块，用于在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

第三接收模块，用于接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

建立模块，用于当确定第三接收模块接收的第二PADO应答消息中携带的所述路由身份信息与所述用户第一身份信息匹配时，建立与所述虚拟接入路由器之间的第一会话；

第五发送模块，用于通过所述建立模块建立的第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息。

结合本发明实施例的第四方面，本发明实施例第四方面的第一种实现方式中，所述客户端设备还包括：

获取模块，用于从DHCP服务器获取内网IP网段的配置；

第六发送模块，用于根据所述获取模块获取的内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。

本发明实施例第五方面提供了一种身份认证系统，包括：

PPPOE服务器，本发明实施例的第三方面或第三方面的第一种实现方式中所述的虚拟接入路由器，以及本发明实施例的第四方面或第四方面的第一种实现方式中所述的客户端设备。

从以上技术方案可以看出，本发明实施例具有以下优点：本发明实施例中，虚拟接入路由器只有在确定接收到的客户端发送的第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，才发送第二PADI广播报文到PPPOE服务器请求PPPOE服务器服务，虚拟接入路由器还需要发送携带有路由身份信息的第二PADO应答消息给客户端设备，由客户端设备对该虚拟接入路由器的身份进行认证，通过这样的相互认证，保证了客户端设备与虚拟接入路由器之间接入链路的安全性。虚拟接入路由器建立与PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过该第一会话和第二会话，转发客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，如果认证不通过，虚拟接入路由器接收到PPPOE服务器发送的认证失败消息，则该虚拟接入路由器立即中断与该客户端设备之间第一会话，只有能通过PPPOE服务器的认证的客户端设备才能继续进行后续处理，这样，实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。

附图说明

图1为本发明实施例中身份认证方法一个信令流程示意图；

图2为本发明实施例中身份认证方法一个流程示意图；

图3为本发明实施例中身份认证方法一个流程示意图；

图4为本发明实施例中虚拟接入路由器一个结构示意图；

图5为本发明实施例中虚拟接入路由器另一个结构示意图；

图6为本发明实施例中客户端设备一个结构示意图；

图7为本发明实施例中客户端设备另一个结构示意图；

图8为本发明实施例中虚拟接入路由器另一个结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种身份认证方法，应用于包括有虚拟接入路由器，客户端设备和PPPOE服务器的网络系统中，用于实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。

本发明实施例中出现的：

PADI为PPPoE Active Discovery Initiation的缩写，表示PPPoE主动发现初始包；

PADO为PPPoE Active Discovery Offer的缩写，表示PPPoE主动发现提议包；

PADR为PPPoE Active Discovery Request的缩写，表示PPPoE主动发现请求包；

PADS为PPPoE Active Discovery Session-confirmation PPPoE的缩写，表示主动发现会话确认包；

DHCP为Dynamic Host Configuration Protocol的缩写，表示动态主机配置协议；

WAN为wide area network的缩写，表示广域网。

下面从该网络系统中虚拟接入路由器，客户端设备和PPPOE服务器这三个设备的信令交互的角度，对本发明实施例中身份认证方法进行描述：

请参阅图1，本发明实施例中身份认证方法一个实施例包括：

101、客户端设备在网络系统中发送携带有用户第一身份信息的第一PADI广播报文；

其中，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的唯一标识；

可选的，该用户第一身份信息可以为运营商分配的全网唯一的用户的账户名，或者可以为其它能够唯一标识该用户的标识ID，此处不作限定。

可以理解的是，在实际应用中，各设备发送的报文都可以携带源(发送方)MAC地址，和目的(接收方)MAC地址。例如，该第一PADI广播报文的源MAC地址可以为该客户端设备的MAC地址，目的MAC地址可以为广播地址，即对网络系统中所有与之相连的网络设备发送。

102、虚拟接入路由器确定所述用户第一身份信息与该虚拟接入路由器的身份相匹配；

本步骤中，网络系统中的虚拟接入路由器可以接收客户端设备发送的第一PADI广播报文，可以理解的是，网络系统中虚拟接入路由器的数目可以为多个，每个接收到该第一PADI广播报文的虚拟接入路由器，都可以判断该第一PADI广播报文中的用户第一身份信息是否与该虚拟接入路由器的身份相匹配，只有确定该用户第一身份信息与该虚拟接入路由器的身份相匹配的虚拟接入路由器才执行步骤103。

需要说明的是，虚拟接入路由器是用户从运营商处购买的，运营商创建虚拟接入路由器时已经在虚拟接入路由器上分配了与之匹配的用户第一身份信息。

103、所述虚拟接入路由器发送第二PADI广播报文到所述PPPOE服务器；

只有在虚拟接入路由器确定第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，该虚拟接入路由器才发送第二PADI广播报文到PPPOE服务器，请求PPPOE的服务。

可以理解的是，确定用户第一身份信息与该虚拟接入路由器的身份信息相匹配后，该虚拟接入路由器可以记录发送该第一PADI广播报文的客户端设备的MAC地址。

本步骤中，该第二PADI广播报文的源MAC地址可以为该虚拟接入路由器的MAC地址，目的MAC地址可以为广播地址。网络系统中的各网络设备可能都能接收到该第二PADI广播报文，然而只有其中的PPPOE服务器能识别该第二PADI广播报文并给予反馈。

104、所述PPPOE服务器接收到所述虚拟接入路由器发送的第二PADI广播报文后，发送第一PADO应答消息给所述虚拟接入路由器；

PPPOE服务器接收到虚拟接入路由器发送的用于请求PPPOE服务器服务的第二PADI广播报文后，若同意提供服务，则向该虚拟接入路由器发送第一PADO应答消息，用于应答该第二PADI广播报文的服务请求。

本步骤中，该第一PADO应答消息的源MAC地址为该PPPOE服务器，目的MAC地址为该发出第二PADI广播报文的虚拟接入路由器。

105、所述虚拟接入路由器接收到所述PPPOE服务器发送的第一PADO应答消息后，发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

该虚拟接入路由器接收到PPPOE服务器发出的第一PADO应答消息后，可以记录该第一PADO应答消息中携带的PPPOE服务器的MAC地址，然后发送携带有路由身份信息的第二PADO应答消息给该客户端设备。

其中，该路由身份信息为该虚拟接入路由器在该网络系统中的唯一标识，该路由身份信息用于客户端设备认证与该虚拟接入路由器的身份一致性。

该第二PADO应答消息的源MAC地址为该虚拟接入路由器，目的MAC地址为发出第一PADI广播报文的客户端设备的MAC地址。

106、客户端设备确定接收到的所述路由身份信息与所述用户第一身份信息匹配；

客户端设备接收到第二PADO应答消息后，认证该第二PADO应答消息中携带的路由身份信息与自己的用户第一身份信息是否匹配，确定该路由身份信息与用户第一身份信息匹配后，才执行后续会话建立流程。

107、客户端设备向所述虚拟接入路由器发送第一PADR请求消息，所述第一PADR请求消息用于请求与所述虚拟接入路由器建立会话；

客户端设备确定接收到的路由身份信息与自己的用户第一身份信息相匹配后，该客户端设备向该虚拟接入路哟器发送第一PADR请求消息，该第一PADR请求消息用于请求与该虚拟接入路由器建立会话。

该第一PADR请求消息的源MAC地址为该客户端设备的MAC地址，目的MAC地址为该身份匹配的虚拟接入路由器的MAC地址。

108、所述虚拟接入路由器接收到所述客户端设备发送的第一PADR请求消息后，向所述PPPOE服务器发送第二PADR请求消息，所述第二PADR请求消息用于请求与所述PPPOE服务器建立会话；

虚拟接入路由器接收到客户端设备发送的用于请求建立会话的第一PADR请求消息后，需要先确定是否能与PPPOE服务器建立会话，则该虚拟接入路由器向PPPOE服务器发送第二PADR请求消息，该第二PADR请求消息用于请求与PPPOE服务器建立会话。

该第二PADR请求消息的源MAC地址为该虚拟接入路由器的MAC地址，目的MAC地址为该PPPOE服务器的MAC地址。

109、所述PPPOE服务器接收到所述第二PADR请求消息后，发送第二PADS确认消息给所述虚拟接入路由器，所述第二PADS确认消息用于确认与所述虚拟接入路由器建立会话；

该PPPOE服务器接收到虚拟接入路由器发送的请求建立会话的第二PADR请求消息后，若同意建立会话，则发送第二PADS确认消息给该虚拟接入路由器，该第二PADS确认消息用于确认与该虚拟接入路由器建立会话。

该第二PADS确认消息的源MAC地址为该PPPOE服务器的MAC地址，目的MAC地址为该虚拟接入路由器的MAC地址。

110、所述虚拟接入路由器接收到所述PPPOE服务器发送的第二PADS确认消息后，与所述PPPOE服务器建立第一会话，发送第一PADS确认消息给所述客户端设备，与所述客户端设备建立第二会话，所述第一PADS确认消息中包含有为所述客户端设备分配的会话ID；

虚拟接入路由器接收到PPPOE服务器发送的第二PADS确认消息后，即建立与该PPPOE服务器建立第一会话，并可以保存该第一会话的信息，该第一会话的信息中包括该第一会话的ID，此时可以对客户端设备发出的第一PADR请求消息进行反馈，发送第一PADS确认消息给该客户端设备，确认与该客户端设备建立第二会话，并可以保存该第二会话的信息。该客户端设备与虚拟接入路由器之间的第一会话和虚拟接入路由器与PPPOE服务器之间的第二会话这二层会话组成了该客户端设备到PPPOE服务器之间的PPPOE会话。

需要说明的是，各会话都有唯一标识该会话的会话ID，虚拟接入路由器与客户端设备之间会话的会话ID由虚拟接入路由器分配，发送给客户端设备的第一PADS确认消息中包含有该虚拟接入路由器为该客户端设备分配的会话ID，作为该第二会话的会话ID，保存的第一会话的信息中包含有该会话ID的信息。虚拟接入路由器与PPPOE服务器之间的会话ID由PPPOE服务器分配，发送给虚拟接入路由器的第二PADS确认消息中包含有该PPPOE服务器为该虚拟接入路由器分配的会话ID，作为该第一会话的会话ID。

该第一PADS确认消息的源MAC地址为该虚拟接入路由器的MAC地址，目的MAC地址为该客户端设备的MAC地址。

111、所述客户端设备接收到所述虚拟接入路由器发送的所述第一PADS确认消息后，通过所述第一会话和所述第二会话发送所述用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息。

客户端设备接收到该虚拟接入路由器发送的第一PADS确认消息后，表示客户端设备与虚拟接入路由器之间的第一会话已经建立，客户端设备通过该第一会话，发送用户第二身份信息到该虚拟接入路由器，由虚拟接入路由器通过与PPPOE服务器间的第三会话，转发该用户第二身份信息到PPPOE服务器进行身份认证，该用户第二身份信息中包括用户第一身份信息。

可以理解的是，该PPPOE服务器会对接收到的该用户第二身份信息进行鉴权，认证等操作。

具体的，运营商网络中RADIUS中存放了用户的用户名、密码、位置信息等信息。PPPoE服务器可以将该用户第二身份信息与RADIUS服务器中的用户合法信息做对比认证。

可选的，该用户第二身份信息还可以包括用户密码，和/或PPPOE+传输线路上中间代理的端口信息(可以表示客户端位置信息)等信息，此处不作限定。

PPPOE服务器对发送的用户第二身份信息进行认证后，会反馈认证结果给虚拟接入路由器：

若所述虚拟接入路由器接收到所述PPPOE服务器发送的认证失败消息，则该虚拟接入路由器中断与所述客户端设备之间的第一会话。

若该虚拟接入路由器接收到该PPPOE服务器发送的认证成功消息，则虚拟接入路由器维持该第一会话和第二会话，可以继续进行其他处理。

本发明实施例中，步骤101至步骤111实现了虚拟接入路由器场景下对拨号企业用户的认证和鉴权，提升了虚拟接入路由器场景下接入链路的安全性，同时实现了虚拟接入路由器场景下对PPPOE+传输线路上中间代理的端口信息的认证。

在实际应用中，客户端设备的身份认证成功后，客户端设备发送一条新的WAN口地址配置请求消息，请求虚拟接入路由器的WAN口去获取公网IP地址。虚拟接入路由器WAN口获取公网IP地址后发送WAN口地址配置应答消息，但公网IP地址不发送给客户端设备，在虚拟接入路由器上保存公网IP地址等配置信息。

可选的，为了实现与客户端设备相连的企业内网互通的需求，图1所述实施例还可以包括如下步骤：

112、所述客户端设备从DHCP服务器获取内网IP网段的配置；

客户端设备可以从内网的DHCP服务器(部署在企业内部)获取内网IP网段的配置。

可选的，该DHCP服务器可以配置在该客户端设备上，也可以独立存在，此处不作限定。

其中，内网IP网段，是指在企业侧内部处于同一个IP网络的地址段，采用网段IP地址加上子网掩码来标识一个网段。

113、所述客户端设备根据所述内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的ID与所述内网IP网段的映射；

客户端设备根据获取到的内网IP网段的配置，向虚拟接入路由器发送IP子网地址通告请求，该IP子网地址通告请求用于请求该虚拟接入路由器建立该第一会话的ID与内网IP网段的映射。

具体的，该IP子网地址通告请求用于建立PPPoE会话(第一会话与第二会话二层)与内部IP网段之间的映射，假设有多个客户端设备拨号，一台虚拟接入路由器与多个客户端设备之间有多路会话，而从公网到内网方向，数据包是没有内网的目的MAC地址的，只有内网的目的IP地址，所以需要从IP地址映射到某一路PPPoE会话，进而确定目的MAC。

可以理解的是，从网络往客户端设备方向的报文在到达虚拟接入路由器之前，目的IP是虚拟接入路由器WAN口的IP地址，虚拟接入路由器WAN口收到报文后，在虚拟接入路由器上经过NAT地址转换目的IP转换为内网的IP地址。而各路PPPOE会话由会话ID、源地址和目的MAC地址标识，此时的报文中不携带虚拟接入路由器到客户端设备之间的会话信息，因此需要建立内网IP子网地址到PPPoE会话的绑定关系。

114、所述虚拟接入路由器接收到所述IP子网地址通告请求后，检测所述内网IP网段的合法性，保存所述第一会话的ID与所述内网IP网段的绑定关系，向所述客户端设备发送IP子网地址通告应答。

虚拟接入路由器接收到客户端设备发送的IP子网地址通告请求后，检测该IP子网地址通告请求中内网IP网段的合法性，确定合法性满足后，保存该第一会话的ID与内网IP网段的绑定关系，再向客户端设备发送IP子网地址通告应答。

可以理解的是，客户端设备接收到IP子网地址通告应答后，还可以进一步获取其它配置。配置完成后，内网的企业侧用户可以从DHCP服务器获取内网IP配置信息，并接入该客户端设备，开始正常的数据通信。

该客户端设备还可以发送子网地址配置通告请求，通告接入该客户端设备的企业侧用户DHCP服务器上配置的子网和掩码(IP地址段)。

可选的，在本实施例中，该客户端设备可以为瘦客户端ThinCPE，也可以为具备拨号功能的PC，此处不作限定。

在实际应用中，企业IT管理员可以持有企业用户账号，该企业IT管理员可以利用该企业用户账号到PPPOE服务器认证，完成企业外网的配置。企业内网中持有员工账号的员工的PC需要在该企业IT管理员完成企业外网的配置后，才能联网。

同时，该企业内网中或该企业购买的虚拟接入路由器中还可以保存有企业员工数据库，企业中员工通过该虚拟接入路由器访问网络时，该虚拟路由器可以对该员工进行认证。具体的，该虚拟接入路由器可以将访问网络的员工发送的身份信息与存储的企业员工数据库中用户合法信息做对比认证，此处不作限定。

本发明实施例中，步骤112至114中，通过PPPOE会话ID的绑定，实现了在虚拟路由器场景下与客户端设备相连的企业内网中各设备与PPPOE的网络互通，通过DHCP分配的内网IP网段的配置，实现了各内网设备之间网络互通的需求，使得即使接入网故障，企业内网中各设备之间也能正常通信。

下面分别从客户端设备和虚拟接入路由器的角度，对本发明实施例中身份认证的方法进行描述：

一、从虚拟接入路由器的角度：

请参阅图2，本发明实施例中身份认证的方法另一个实施例包括：

201、虚拟接入路由器接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文；

其中，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务。

202、当所述虚拟接入路由器确定所述用户第一身份信息与该虚拟接入路由器的身份相匹配时，所述虚拟接入路由器发送第二PADI广播报文到所述PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

与步骤102和103类似，此处不作赘述。

203、当所述虚拟接入路由器接收到所述PPPOE服务器返回的第一PADO应答消息后，所述虚拟接入路由器发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

与步骤105类似，此处不作赘述。

204、当所述虚拟接入路由器建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，所述虚拟接入路由器通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

本步骤中，第一会话和第二会话的建立过程与步骤108至步骤110类似，此处不作赘述。

该第一会话和第二会话建立后，虚拟接入路由器可以转发客户端设备发送的用户第二身份信息到PPPOE服务器进行身份认证，该用户第二身份信息中包括客户端设备的用户第一身份信息。

若结果为认证成功，则虚拟接入路由器维持该第一会话和第二会话，可以继续进行其他处理。

若结果为认证失败，则触发步骤205。

205、当所述虚拟接入路由器接收到所述PPPOE服务器发送的认证失败消息时，所述虚拟接入路由器中断与所述客户端设备之间的所述第一会话。

本发明实施例中，虚拟接入路由器只有在确定接收到的客户端发送的第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，才发送第二PADI广播报文到所述PPPOE服务器请求PPPOE服务器服务，虚拟接入路由器还需要发送携带有路由身份信息的第二PADO应答消息给客户端设备，由客户端设备对该虚拟接入路由器的身份进行认证，通过这样的相互认证，保证了客户端设备与虚拟接入路由器之间接入链路的安全性。虚拟接入路由器建立与PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过该第一会话和第二会话，转发客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，如果认证不通过，虚拟接入路由器接收到PPPOE服务器发送的认证失败消息，则该虚拟接入路由器立即中断与该客户端设备之间第一会话，只有能通过PPPOE服务器的认证的客户端设备才能继续进行后续处理，这样，实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权，保证了接入链路的安全性。

可选的，作为本发明实施例中身份认证的方法另一个实施例，图2所示实施例中中第三用户身份信息认证成功后，该虚拟接入路由器还可以接收客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；当虚拟接入路由器确定所述内网IP网段的合法性后，所述虚拟接入路由器保存所述第一会话的标识与所述内网IP网段的绑定关系，并向所述客户端设备发送IP子网地址通告应答。

与步骤114类似，此处不作赘述。

本发明实施例中，通过将第一会话的标识与内网IP网段的绑定，实现了虚拟路由器场景下与客户端设备相连的企业内网中各设备与PPPOE的网络互通。

二、从客户端设备的角度：

请参阅图3，本发明实施例中身份认证的方法另一个实施例包括：

301、客户端设备在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

与步骤101类似，此处不作赘述。

可选的，该客户端设备可以为瘦客户端ThinCPE，也可以为具备拨号功能的PC，此处不作限定。

302、所述客户端设备接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

客户端设备接收到第二PADO应答消息后，可以确认该第二PADO应答消息中携带的路由身份信息是否与用户第一身份信息匹配，只有确定匹配时，才执行步骤303。

303、当所述客户端设备确定所述路由身份信息与所述用户第一身份信息匹配时，所述客户端设备建立与所述虚拟接入路由器之间的第一会话；

客户端设备确定路由身份信息与用户第一身份信息匹配时，建立与该虚拟接入路由器之间的第一会话，具体会话建立过程与步骤107至110类似，此处不作赘述。

304、所述客户端设备通过所述第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证。

客户端设备与虚拟接入路由器之间的第一会话建立完成后，该客户端设备可以通过该第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证。

具体用户第二身份信息的发送过程与认证过程，与步骤111类似，此处不作赘述。

本发明实施例中，客户端设备发送携带有用户第一身份信息的第一PADI广播报文给虚拟接入路由器，使得虚拟接入路由器对该用户第一身份信息进行认证，认证通过后，可以接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，对该路由身份信息进行认证，认证通过后才开始会话建立过程。在会话建立完成后，还发送包含有用户第一身份信息的第三用户身份信息到PPPOE服务器进行认证，实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权，保证了接入链路的安全性。

可选的，作为本发明实施例中身份认证方法另一个实施例，该网络系统中还可以包括有DHCP服务器，图3所示实施例中第三用户身份信息认证成功后，所述客户端设备可以从所述DHCP服务器获取内网IP网段的配置；所述客户端设备根据所述内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。

与步骤113类似，此处不作赘述。

可选的，该DHCP服务器可以独立存在，也可以配置在该客户端设备上，此处不作限定。

本发明实施例中，客户端设备从DHCP服务器获取内网IP网段的配置，实现了各内网设备之间网络互通的需求，使得即使接入网故障，企业内网中各设备之间也能正常通信。通过IP子网地址通告请求请求建立第一会话的标识与所述内网IP网段之间的映射，实现了在虚拟路由器场景下与客户端设备相连的企业内网中各设备与PPPOE的网络互通。

下面对本发明实施例中虚拟接入路由器进行描述，请参阅图4，本发明实施例中虚拟接入路由器400一个实施例包括：

第一接收模块401，用于接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

第一发送模块402，用于当确定所述第一接收模块401接收到的第一PADI广播报文中携带的用户第一身份信息与该虚拟接入路由器的身份相匹配时，发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

第二发送模块403，用于当接收到所述PPPOE服务器返回的第一PADO应答消息后，发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

转发模块404，用于当建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

中断模块405，用于当接收到所述PPPOE服务器发送的认证失败消息时，中断与所述客户端设备之间的所述第一会话。

本发明实施例中，只有在确定第一接收模块401接收到的客户端发送的第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，第一发送模块402才发送第二PADI广播报文到所述PPPOE服务器请求PPPOE服务器服务，第二发送模块403还需要发送携带有路由身份信息的第二PADO应答消息给客户端设备，由客户端设备对该虚拟接入路由器的身份进行认证，通过这样的相互认证，保证了客户端设备与虚拟接入路由器之间接入链路的安全性。虚拟接入路由器建立与PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，转发模块404通过该第一会话和第二会话，转发客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，如果认证不通过，接收到PPPOE服务器发送的认证失败消息，中断模块405立即中断与该客户端设备之间第一会话，只有能通过PPPOE服务器的认证的客户端设备才能继续进行后续处理，这样，实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权，保证了接入链路的安全性。

可选的，请参阅图5，作为本发明实施例中虚拟接入路由器500另一个实施例，上述图4所示虚拟接入路由器400还可以包括：

第二接收模块501，用于接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

保存模块502，用于当确定所述第二接收模块501接收到的IP子网地址通告请求中包含的内网IP网段的合法性后，保存所述第一会话的标识与所述内网IP网段的绑定关系；

第三发送模块503，用于在所述保存模块502保存所述第一会话的标识与所述内网IP网段的绑定关系后，向所述客户端设备发送IP子网地址通告应答。

本发明实施例中，通过保存模块502将第一会话的标识与内网IP网段的绑定，实现了虚拟路由器场景下与客户端设备相连的企业内网中各设备与PPPOE的网络互通。

下面对本发明实施例中客户端设备进行描述，请参阅图6，本发明实施例中客户端设备600一个实施例包括：

第四发送模块601，用于在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

第三接收模块602，用于接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

建立模块603，用于当确定第三接收模块602接收的第二PADO应答消息中携带的所述路由身份信息与所述用户第一身份信息匹配时，建立与所述虚拟接入路由器之间的第一会话；

第五发送模块604，用于通过所述建立模块603建立的第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证。

本发明实施例中，第四发送模块601发送携带有用户第一身份信息的第一PADI广播报文给虚拟接入路由器，使得虚拟接入路由器对该用户第一身份信息进行认证，认证通过后，第三接收模块602可以接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，对该路由身份信息进行认证，认证通过后建立模块603才开始会话建立过程。在会话建立完成后，第五发送模块604还发送包含有用户第一身份信息的第三用户身份信息到PPPOE服务器进行认证，实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权，保证了接入链路的安全性。

可选的，请参阅图7，作为本发明实施例中客户端设备700另一个实施例，上述图6所示实施例中客户端设备600还可以包括：

获取模块701，用于从DHCP服务器获取内网IP网段的配置；

第六发送模块702，用于根据所述获取模块701获取的内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。

可选的，所述DHCP服务器可以独立存在，也可以配置在所述客户端设备上，此处不作限定。

本发明实施例中，获取模块701从DHCP服务器获取内网IP网段的配置，实现了各内网设备之间网络互通的需求，使得即使接入网故障，企业内网中各设备之间也能正常通信。第六发送模块702通过IP子网地址通告请求请求建立第一会话的标识与所述内网IP网段之间的映射，实现了在虚拟路由器场景下与客户端设备相连的企业内网中各设备与PPPOE的网络互通。

请参阅图8，本发明实施例提供了另一种虚拟接入路由器800，包括分别连接到总线的存储器801，处理器802，接收器803和发射器804，其中：

存储器801用来储存储存处理器802处理数据的必要文件等信息，比如储存处理器802执行图2所示的身份认证的方法的程序代码等信息。

处理器802，用于调用存储器801中储存的程序代码，以实现如下功能：

控制接收器803接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器确定所述用户第一身份信息与该虚拟接入路由器的身份相匹配时，所述虚拟接入路由器发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

当接收器803接收到所述PPPOE服务器返回的第一PADO应答消息后，控制发射器804发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

当建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，控制接收器803和发射器804通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

当接收器803接收到所述PPPOE服务器发送的认证失败消息时，中断与所述客户端设备之间的所述第一会话；

可选的，该处理器802还可以实现如下功能：

控制接收器803接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

当确定所述内网IP网段的合法性后，保存所述第一会话的标识与所述内网IP网段的绑定关系到存储器801，并控制发射器804向所述客户端设备发送IP子网地址通告应答。

本发明实施例还提供另一种客户端设备，其结构与上述图8中虚拟接入路由器的结构类似，包括：分别连接在总线的存储器、处理器，接收器和发射器，其中：

存储器用来储存储存处理器处理数据的必要文件等信息，比如储存处理器执行图4所示的身份认证的方法的程序代码等信息。

处理器，用于调用存储器中储存的程序代码，以实现如下功能：

控制发射器在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

控制接收器接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

当确定所述路由身份信息与所述用户第一身份信息匹配时，建立与所述虚拟接入路由器之间的第一会话；

控制发射器通过所述第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证。

可选的，该处理器还可以实现如下功能：

从所述DHCP服务器获取内网IP网段的配置；

根据所述内网IP网段的配置，控制发射器向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。

其中，该DHCP服务器独立存在，也可以配置在该客户端设备上，此处不作限定。

本发明实施例还提供了一种身份认证系统，包括：

PPPOE服务器，图4、图5或图8中任一个对应的实施例所示的虚拟接入路由器，以及图6或图7对应的实施例所示的虚拟接入路由器。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种身份认证方法，应用于包括有虚拟接入路由器的网络系统，所述网络系统中还包括客户端设备和PPPOE服务器，其特征在于，包括：

虚拟接入路由器接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器确定所述用户第一身份信息与所述虚拟接入路由器的身份相匹配时，所述虚拟接入路由器发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器接收到所述PPPOE服务器返回的第一PADO应答消息后，所述虚拟接入路由器发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

当所述虚拟接入路由器建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，所述虚拟接入路由器通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

当所述虚拟接入路由器接收到所述PPPOE服务器发送的认证失败消息时，所述虚拟接入路由器中断与所述客户端设备之间的所述第一会话。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述虚拟接入路由器接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

当虚拟接入路由器确定所述内网IP网段的合法性后，所述虚拟接入路由器保存所述第一会话的标识与所述内网IP网段的绑定关系，并向所述客户端设备发送IP子网地址通告应答。
一种身份认证方法，用于包括有虚拟接入路由器的网络系统，所述网络系统中还包括客户端设备和PPPOE服务器，其特征在于，包括：

客户端设备在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

所述客户端设备接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

当所述客户端设备确定所述路由身份信息与所述用户第一身份信息匹配时，所述客户端设备建立与所述虚拟接入路由器之间的第一会话；

所述客户端设备通过所述第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息。
根据权利要求3所述的方法，其特征在于，所述网络系统中还包括DHCP服务器，所述方法还包括：

所述客户端设备从所述DHCP服务器获取内网IP网段的配置；

所述客户端设备根据所述内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。
一种虚拟接入路由器，其特征在于，包括：

第一接收模块，用于接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

第一发送模块，用于当确定所述第一接收模块接收到的第一PADI广播报文中携带的用户第一身份信息与所述虚拟接入路由器的身份相匹配时，发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

第二发送模块，用于当接收到所述PPPOE服务器返回的第一PADO应答消息后，发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

转发模块，用于当建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；

中断模块，用于当接收到所述PPPOE服务器发送的认证失败消息时，中断与所述客户端设备之间的所述第一会话。
根据权利要求5所述的虚拟接入路由器，其特征在于，所述虚拟接入路由器还包括：

第二接收模块，用于接收所述客户端设备发送的IP子网地址通告请求，所述IP子网地址通告请求用于请求建立所述第一会话的标识与内网IP网段之间的映射，所述IP子网地址通告请求中包含所述客户端设备的内网IP网段；

保存模块，用于当确定所述第二接收模块接收到的IP子网地址通告请求中包含的内网IP网段的合法性后，保存所述第一会话的标识与所述内网IP网段的绑定关系；

第三发送模块，用于在所述保存模块保存所述第一会话的标识与所述内网IP网段的绑定关系后，向所述客户端设备发送IP子网地址通告应答。
一种客户端设备，其特征在于，包括：

第四发送模块，用于在网络系统中发送携带有用户第一身份信息的第一PADI广播报文，所述第一PADI广播报文用于请求PPPoE服务器服务，所述用户第一身份信息为所述客户端设备的用户在所述网络系统中的标识；

第三接收模块，用于接收虚拟接入路由器发送的携带有路由身份信息的第二PADO应答消息，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的唯一标识；

建立模块，用于当确定第三接收模块接收的第二PADO应答消息中携带的所述路由身份信息与所述用户第一身份信息匹配时，建立与所述虚拟接入路由器之间的第一会话；

第五发送模块，用于通过所述建立模块建立的第一会话发送用户第二身份信息给所述虚拟接入路由器，使得所述虚拟接入路由器将所述用户第二身份信息转发到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息。
根据权利要求7所述的客户端设备，其特征在于，所述客户端设备还包括：

获取模块，用于从DHCP服务器获取内网IP网段的配置；

第六发送模块，用于根据所述获取模块获取的内网IP网段的配置，向所述虚拟接入路由器发送IP子网地址通告请求，所述IP子网地址通告请求用于请求所述虚拟接入路由器建立所述第一会话的标识与所述内网IP网段之间的映射。
一种身份认证系统，其特征在于，包括：

PPPOE服务器，权利要求5或6所述的虚拟接入路由器，以及权利要求7或8所述的客户端设备。