專(zhuān)利名稱(chēng):一種認(rèn)證方法、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種認(rèn)證方法、設(shè)備和系統(tǒng)。
背景技術(shù):
WiMAX是針對(duì)微波和毫米波頻段提出的一種新的空中接口標(biāo)準(zhǔn),它將 802.11a無(wú)線(xiàn)接入熱點(diǎn)連接到互聯(lián)網(wǎng),也可以連接公司與家庭等環(huán)境至有線(xiàn)骨 干線(xiàn)路,并且可以作為線(xiàn)纜和數(shù)字用戶(hù)鏈路(DSL, Digital Subscriber Line)的無(wú) 線(xiàn)擴(kuò)展技術(shù),從而實(shí)現(xiàn)無(wú)線(xiàn)寬帶接入。
基于正EE 802.16標(biāo)準(zhǔn)的WiMAX網(wǎng)絡(luò)能夠提供更高的接入速率,參照?qǐng)D 1,為現(xiàn)有技術(shù)中多主機(jī)WiMAX系統(tǒng)網(wǎng)絡(luò)架構(gòu)體系示意圖,該網(wǎng)絡(luò)架構(gòu)體系 包4舌移動(dòng)臺(tái)(MS, Mobile Station) 11、網(wǎng)關(guān)移動(dòng)臺(tái)(G-MS, Gateway Mobile Station) 12以及它所帶的主機(jī)(Host )13、接入服務(wù)網(wǎng)絡(luò)(ASN, Access Service Network) 14和連4妄月良務(wù)網(wǎng)絡(luò)(CSN, Connectivity Service Network )15。
其中,MS為移動(dòng)用戶(hù)終端設(shè)備,用戶(hù)使用該設(shè)備接入WiMAX網(wǎng)絡(luò); ASN包括基站(BS, Base Station)和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW, Access Service Network Gateway)等,為WiMAX終端設(shè)備提供無(wú)線(xiàn)接入服務(wù)的網(wǎng)絡(luò) 功能集合。ASN包括如下功能實(shí)體物理/i某體訪問(wèn)控制功能實(shí)體(PHY/MAC Function),數(shù)據(jù)通道控制功能實(shí)體、鑒權(quán)器、服務(wù)流授權(quán)實(shí)體(SFA, Service Flow Authorization)和外部代理等。
對(duì)于有多個(gè)主機(jī)的WiMAX系統(tǒng),G-MS所帶的主機(jī)通過(guò)802.3、 802.11、 802.16鏈路接入BS, G-MS通過(guò)Rl接口連接BS,網(wǎng)絡(luò)接入提供者(NAP, Network Access Provider)的BS之間通過(guò)R8連接,BS與ASN-GW之間的接 口為R6, ASN GW之間的接口為R4接口 , ASN-GW與NSP的CSN之間的 接口為R3。
在現(xiàn)有技術(shù)中,缺乏基于以太網(wǎng)匯聚子層(Eth-CS)的認(rèn)證方法。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例要解決的技術(shù)問(wèn)題是,能夠提供基于以太網(wǎng)匯聚子層的認(rèn)證方法、設(shè)備和系統(tǒng)。
為解決上述技術(shù)問(wèn)題,本發(fā)明所提供的實(shí)施例是通過(guò)以下技術(shù)方案實(shí)現(xiàn)
的
本發(fā)明實(shí)施例提供了 一種認(rèn)證方法,該方法包括網(wǎng)關(guān)移動(dòng)臺(tái)G-MS接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;
網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器觸發(fā)認(rèn)證。
本發(fā)明實(shí)施例還提供了 一種網(wǎng)絡(luò)系統(tǒng),該網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)關(guān)移動(dòng)臺(tái)G-MS,所述G-MS以可通信方式同主機(jī)以及認(rèn)證服務(wù)器相連;所述G-MS,用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息,將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送到認(rèn)證服務(wù)器;
所述認(rèn)證服務(wù)器,用于接收G-MS通過(guò)以太網(wǎng)匯聚子層發(fā)送的認(rèn)證觸發(fā)消息,對(duì)所述主機(jī)進(jìn)行認(rèn)證。
本發(fā)明實(shí)施例還提供了一種網(wǎng)關(guān)移動(dòng)臺(tái),該網(wǎng)關(guān)移動(dòng)臺(tái)包括接收單元、發(fā)送單元,其中
所述接收單元,用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;
所述發(fā)送單元,用于將所述接收單元所接收到的所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器。
本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)通道功能實(shí)體,該功能實(shí)體包括接收單元、數(shù)據(jù)過(guò)濾單元、發(fā)送單元,其中
接收單元,用于接收由以太網(wǎng)匯聚子層承載的消息;
數(shù)據(jù)過(guò)濾單元,用于對(duì)接收單元所接收到的消息進(jìn)行過(guò)濾,若所接收到的消息為認(rèn)證觸發(fā)消息,或者已知服務(wù)流上傳輸?shù)南檎J(rèn)證觸發(fā)消息,通知發(fā)送單元發(fā)送所述認(rèn)證觸發(fā)消息;發(fā)送單元,用于發(fā)送認(rèn)證觸發(fā)消息給認(rèn)證服務(wù)器。
從以上技術(shù)方案可以看出,本發(fā)明實(shí)施例所提供的技術(shù)方案中',當(dāng)網(wǎng)關(guān) 移動(dòng)臺(tái)接收到主機(jī)發(fā)送的認(rèn)證觸發(fā)消息時(shí),將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)
匯聚子層可以傳送到認(rèn)證服務(wù)器,觸發(fā)認(rèn)證,從而能夠?qū)崿F(xiàn)基于以太網(wǎng)匯聚 子層的多主機(jī)的場(chǎng)景下的主機(jī)認(rèn)證。
圖1為現(xiàn)有技術(shù)中多主機(jī)WiMAX系統(tǒng)網(wǎng)絡(luò)架構(gòu)體系示意圖; 圖2為本發(fā)明實(shí)施例中主機(jī)通過(guò)EAPoL的方式接入認(rèn)證的信令流程圖; 圖3為本發(fā)明實(shí)施例中主機(jī)通過(guò)PPPoE的方式接入認(rèn)證的信令流程圖; 圖4為本發(fā)明實(shí)施例中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖; 圖5為本發(fā)明實(shí)施例中G-MS設(shè)備結(jié)構(gòu)示意圖; 圖6為本發(fā)明實(shí)施例中DPF設(shè)備結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了 一種認(rèn)證方法、設(shè)備和系統(tǒng),為使本發(fā)明實(shí)施例的 目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚、明了,以下參照附圖,通過(guò)具體實(shí)施例進(jìn) 4亍詳細(xì)i兌明。
本發(fā)明實(shí)施例提供了一種認(rèn)證方法,該方法包括:
網(wǎng)關(guān)移動(dòng)臺(tái)G-MS接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息,網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將 所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器觸發(fā)認(rèn)證。
可見(jiàn),G-MS通過(guò)以太網(wǎng)匯聚子層承載認(rèn)證觸發(fā)消息將所述認(rèn)證觸發(fā)消息 發(fā)送給認(rèn)證服務(wù)器,觸發(fā)認(rèn)證,從而可以實(shí)現(xiàn)基于以太網(wǎng)匯聚子層的主機(jī)認(rèn) 證。
以下通過(guò)具體的實(shí)現(xiàn)場(chǎng)景進(jìn)行詳細(xì)說(shuō)明
參照?qǐng)D2,為本發(fā)明實(shí)施例中主機(jī)通過(guò)可擴(kuò)展認(rèn)證協(xié)議(EAPoL, Extensible Authentication Protocol over LAN)的方式4妄入iU正的信令流程圖,以下通過(guò)具體步驟進(jìn)行詳細(xì)說(shuō)明
步驟21 、主機(jī)發(fā)送EAPoL-Start消息給G-MS,觸發(fā)EAP認(rèn)證開(kāi)始;
EAPoL-Start消息用于觸發(fā)EAP認(rèn)證流程。其中,局域網(wǎng)承載的EAPoL為局域網(wǎng)承載EAP認(rèn)證消息的協(xié)議,為數(shù)據(jù)鏈路層協(xié)議。
步驟22、 G-MS接收來(lái)自主機(jī)的消息,判斷所述接收的消息是否為EAPoL消息,并將主機(jī)發(fā)送的EAPoL消息發(fā)送到網(wǎng)絡(luò),觸發(fā)認(rèn)證;
本發(fā)明實(shí)施例中,所述G-MS可以根據(jù)主機(jī)發(fā)送消息中所攜帶的協(xié)議類(lèi)型來(lái)判斷該消息是否為EAPoL消息,并將主機(jī)發(fā)送的EAPoL消息發(fā)送給網(wǎng)絡(luò)從而觸發(fā)認(rèn)證。才艮據(jù)消息的源MAC地址可以獲得發(fā)送該消息的主才幾標(biāo)識(shí),對(duì)于未經(jīng)認(rèn)證的主機(jī)發(fā)送的其他消息,則可不做處理。
步驟23、為承載所述EAPoL消息,可選的,G-MS可以建立新的以太網(wǎng)匯聚子層(Eth-CS)的服務(wù)流,或者使用已有的Eth-CS服務(wù)流;
G-MS可以發(fā)起建立一個(gè)新的服務(wù)流以承載所述EAPoL消息;也可以使用一個(gè)已有的服務(wù)流承載,如果使用已有的服務(wù)流承載,則可以通過(guò)更新已有的服務(wù)流分類(lèi)器,使得數(shù)據(jù)通道控制功能實(shí)體在轉(zhuǎn)發(fā)下行數(shù)據(jù)時(shí)可以分類(lèi)到合適的服務(wù)流,以及使移動(dòng)臺(tái)對(duì)上行數(shù)據(jù)進(jìn)行正確的分類(lèi)。
若G-MS使用自己的初始服務(wù)流來(lái)承載主機(jī)發(fā)送的數(shù)據(jù),則可以不需要此步驟。
步驟24、 G-MS將所述EAPoL-Start消息傳送給認(rèn)證服務(wù)器;
具體的,本發(fā)明實(shí)施例中,所述認(rèn)證服務(wù)器可以是寬帶遠(yuǎn)程接入服務(wù)器(BRAS, Broadband Remote Access Server),也可以是AAA。
這里可以有多種實(shí)現(xiàn)方式,以下參照?qǐng)D2介紹兩種實(shí)現(xiàn)方法
24a) G-MS通過(guò)基于以太網(wǎng)匯聚子層的服務(wù)流向網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)EAPoL-Start消息,DPF可以通過(guò)數(shù)據(jù)分類(lèi)功能檢測(cè)到所承載的消息為EAPoL消息,或者在事先已知道該服務(wù)流上傳輸?shù)臄?shù)據(jù)為EAPoL消息,需要發(fā)送到DSL等支持EAPoL認(rèn)證的網(wǎng)絡(luò)時(shí),將所述EAPoL-Start消息轉(zhuǎn)發(fā)給所述BRAS;24b) G-MS轉(zhuǎn)發(fā)EAPoL-Start消息到網(wǎng)絡(luò)側(cè),由Serving DPF檢測(cè)到該消 息為EAPoL消息則通過(guò)以太網(wǎng)匯聚子層發(fā)送給所述BRAS;
Serving DPF的具體檢測(cè)轉(zhuǎn)發(fā)機(jī)制與步驟24a)相同,不再贅述。
步驟25、 BRAS接收到所述EAPoL-Start消息后,觸發(fā)對(duì)主機(jī)的EAP認(rèn)
證;
主機(jī)和BRAS間進(jìn)行EAP消息的交互,進(jìn)行認(rèn)證,具體的EAP認(rèn)證方法 可以使用現(xiàn)有的EAP方法,具體方法流程在此不再贅述。
可選的,若BRAS不支持認(rèn)證功能,則可以由BRAS將所述EAPoL消息 轉(zhuǎn)發(fā)給AAA, BRAS與AAA交互進(jìn)行認(rèn)證,此時(shí),BRAS作為AAA的代理
服務(wù)器。
進(jìn)一步的,本發(fā)明實(shí)施例中,若獲知主才幾認(rèn)i正成功,則網(wǎng)絡(luò)側(cè)網(wǎng)元可以 發(fā)起業(yè)務(wù)流建立過(guò)程,具體可以為若獲知主機(jī)認(rèn)證成功,則G-MS的SFA 或DPF,或者Serving DPF發(fā)送主機(jī)的業(yè)務(wù)流建立過(guò)程,其中攜帶有主機(jī)標(biāo)識(shí)、 業(yè)務(wù)流標(biāo)識(shí)以及業(yè)務(wù)流參數(shù),還可以進(jìn)一步包括服務(wù)質(zhì)量(QoS, Quality of Service )、或業(yè)務(wù)流分類(lèi)器等信息。
步驟26、 G-MS建立主機(jī)對(duì)應(yīng)的業(yè)務(wù)流,在4妄收到主4幾發(fā)送的消息時(shí), 通過(guò)服務(wù)流分類(lèi)器將主機(jī)數(shù)據(jù)映射到對(duì)應(yīng)的服務(wù)流上進(jìn)行傳輸。
可見(jiàn),G-MS通過(guò)Eth-CS這種以太網(wǎng)匯聚子層7 c載EAPoL消息的方式,
認(rèn)證,從而可以實(shí)現(xiàn)在多主機(jī)場(chǎng)景下基于以太網(wǎng)匯聚子層承載的消息的主機(jī) 認(rèn)證。
而且,當(dāng)認(rèn)證成功后,網(wǎng)絡(luò)側(cè)的網(wǎng)元能夠感知主機(jī)認(rèn)證結(jié)果,從而可以 發(fā)起主沖幾業(yè)務(wù)流的建立。
參照?qǐng)D3,為本發(fā)明實(shí)施例中主機(jī)通過(guò)PPPoE的方式接入認(rèn)證的信令流 程圖,以下通過(guò)具體步驟進(jìn)行詳細(xì)說(shuō)明
步驟31 、主機(jī)發(fā)送PADI (PPPoE Active Discovery Initiation)廣播消息;所述PADI廣播消息用于發(fā)現(xiàn)對(duì)端MAC地址和獲得PPPoE的會(huì)話(huà)標(biāo)識(shí)。
步驟32、 G-MS接收來(lái)自主機(jī)的消息,并將所述來(lái)自主機(jī)的消息中的PPPoE或PPP協(xié)議的消息使用Eth-CS承載發(fā)送給網(wǎng)絡(luò),觸發(fā)認(rèn)寸正;
G-MS可以根據(jù)主機(jī)發(fā)送的消息中所攜帶的協(xié)議類(lèi)型來(lái)判斷該消息是否為PPPoE消息或PPP消息,并將主機(jī)發(fā)送的PPPoE或PPP消息發(fā)送給網(wǎng)絡(luò)從而觸發(fā)認(rèn)證,對(duì)于未經(jīng)認(rèn)證的主機(jī)發(fā)送的其他消息,則可不做處理。
步驟33、為岸義載所述PPPoE消息,可選的,G-MS可以新建立Eth-CS的服務(wù)流,或者也可以是使用已有的Eth-CS服務(wù)流;
G-MS可以發(fā)起建立一個(gè)新的服務(wù)流以承載所述PPPoE消息;也可以使用一個(gè)已有的服務(wù)流承載,如果使用已有的服務(wù)流承載,則可以通過(guò)更新已有的服務(wù)流分類(lèi)器,使得數(shù)據(jù)通道控制功能實(shí)體在轉(zhuǎn)發(fā)下行數(shù)據(jù)時(shí)可以分類(lèi)到合適的服務(wù)流,以及使移動(dòng)臺(tái)對(duì)上行數(shù)據(jù)進(jìn)行正確的上行數(shù)據(jù)分類(lèi)。
若G-MS使用自己的初始服務(wù)流來(lái)承載主機(jī)發(fā)送的數(shù)據(jù),則可以不需要此步驟。
步驟34、 G-MS將PADI消息傳送到認(rèn)證服務(wù)器觸發(fā)認(rèn)證服務(wù)器對(duì)主機(jī)進(jìn)行認(rèn)證;
具體實(shí)施中,認(rèn)證服務(wù)器可以是BRAS,也可以是AAA或者別的i人證服務(wù)器。
這里可以有多種實(shí)現(xiàn)方式,以下參照?qǐng)D3介紹兩種實(shí)現(xiàn)方法
34a) G-MS通過(guò)基于以太網(wǎng)匯聚子層的服務(wù)流向網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)PADI消息,DPF可以通過(guò)數(shù)據(jù)分類(lèi)功能檢測(cè)到所承載的消息為PPPoE消息,或者在事先已知道該服務(wù)流上傳輸?shù)南镻PPoE消息,需要發(fā)送到DSL等支持PPPoE或/和PPP認(rèn)證的網(wǎng)絡(luò)的下,將PADI消息轉(zhuǎn)發(fā)至BRAS;
34b ) G-MS轉(zhuǎn)發(fā)PADI消息給網(wǎng)絡(luò)側(cè),由Serving DPF檢測(cè)到該數(shù)據(jù)為認(rèn)證數(shù)據(jù),并直接發(fā)送到BRAS;
Serving DPF的具體判斷機(jī)制與步驟34a)相同,不再贅述。步驟35、主機(jī)和BRAS之間建立PPPoE會(huì)話(huà);
BRAS接收到主機(jī)的PADI消息后,向主機(jī)返回PADO ( PPPoE Active Discovery Offer)消息,傳輸過(guò)程通過(guò)上述的Eth-CS承載進(jìn)行,然后主機(jī)可 以與BRAS交互PADR/PADS (PPPoE Active Discovery Request/PPPoE Active Discovery Session-confirmation)信令,建立PPPoE會(huì)話(huà)。
步驟36、主機(jī)和BRAS之間建立PPP會(huì)話(huà),進(jìn)行認(rèn)證;
主機(jī)和BRAS之間建立PPP會(huì)話(huà),包括鏈路控制協(xié)議(LCP, Link Control Protocol)建立,基于口令-驗(yàn)證協(xié)議(PAP, Password Authentication Protocol )、 杏匕戰(zhàn)握手-驗(yàn)"i正協(xié)議(CHAP、 Challenge-Handshake Authentication Protocol)或 EAP的認(rèn)證,以及LCP階段協(xié)商過(guò)的網(wǎng)絡(luò)控制協(xié)議(NCP, Network Control Protocol)過(guò)程。
可選的,當(dāng)BRAS不支持iU正功能時(shí),可以由BRAS將PADI消息轉(zhuǎn)發(fā) 至AAA, BRAS與AAA交互進(jìn)行認(rèn)證,此時(shí),BRAS作為AAA的代理服務(wù) 器。
若獲知主機(jī)認(rèn)證成功,G-MS的SFA或DPF,或者Serving DPF可以發(fā)起 主機(jī)的服務(wù)流建立過(guò)程。
步驟37 、 G-MS檢測(cè)到PPP認(rèn)證結(jié)果,并根據(jù)認(rèn)證結(jié)果創(chuàng)建新的入口表項(xiàng)。
可以看出,該技術(shù)方案中,通過(guò)PPPoE這種以太網(wǎng)匯聚子層承載觸發(fā)認(rèn) 證消息的方式,也可以實(shí)現(xiàn)主機(jī)認(rèn)證。
進(jìn)一步,當(dāng)iU正成功后,網(wǎng)絡(luò)側(cè)的網(wǎng)元能夠感知主才幾認(rèn)i正結(jié)果,從而可 以發(fā)起主4幾業(yè)務(wù)流的建立。
上述實(shí)施例中,主機(jī)的認(rèn)ii觸發(fā)消息通過(guò)G-MS傳送到BRAS或AAA可 以釆取DPF轉(zhuǎn)發(fā)的方式,也可以通過(guò)Serving DPF轉(zhuǎn)發(fā)。
當(dāng)采用DPF轉(zhuǎn)發(fā)這種實(shí)現(xiàn)方式時(shí),需要DPF和BRAS之間可以進(jìn)行基于 以太網(wǎng)匯聚子層的數(shù)據(jù)通信。而采用由DPF轉(zhuǎn)發(fā)認(rèn)證觸發(fā)消息這種實(shí)現(xiàn)方式,還可以解決DPF與BRAS/AAA關(guān)聯(lián)的問(wèn)題,以下通過(guò)一些應(yīng)用場(chǎng)景進(jìn)行說(shuō)明 對(duì)于DPF如何找到BRAS/AAA等認(rèn)證服務(wù)器,可以采取如下三種方法
a. DPF上預(yù)先配置BRAS/AAA信息,所配置的BRAS/AAA與DPF之 間能夠進(jìn)行以太網(wǎng)匯聚子層的數(shù)據(jù)通信。當(dāng)DPF接收到來(lái)自主機(jī)的認(rèn)證觸發(fā) 消息時(shí),則將該消息轉(zhuǎn)發(fā)給預(yù)先配置的BRAS/AAA,從而觸發(fā)認(rèn)證;
b. DPF也可以不配置BRAS/AAA信息,當(dāng)接收到來(lái)自主機(jī)的認(rèn)證觸發(fā) 消息時(shí),選擇將認(rèn)證觸發(fā)消息發(fā)送給一個(gè)可到達(dá)的BRAS/AAA來(lái)執(zhí)行認(rèn)證;
c. 或者DPF根據(jù)認(rèn)證觸發(fā)消息中的用戶(hù)標(biāo)識(shí)信息所指定的域信息或者服 務(wù)信息(如PPPoE中的服務(wù)器名稱(chēng))選擇對(duì)應(yīng)的BRAS/AAA。
在認(rèn)證過(guò)程中,DPF與BRAS/AAA可以保存4皮此的關(guān)聯(lián)關(guān)系(即DPF 與BRAS/AAA之間的關(guān)聯(lián)關(guān)系),所述關(guān)聯(lián)關(guān)系中可包括但不限于主機(jī)MAC 地址、DPF地址、BRAS/AAA地址、會(huì)話(huà)標(biāo)識(shí)等信息。
若DPF遷移,需要更新所述關(guān)聯(lián)關(guān)系。
主機(jī)入網(wǎng)后,如果需要重認(rèn)證,則可以根據(jù)當(dāng)前DPF與BRAS/AAA的關(guān) 聯(lián)關(guān)系進(jìn)行。
如果DPF發(fā)生遷移,進(jìn)而可能導(dǎo)致主機(jī)發(fā)起重認(rèn)證時(shí),可以按照以下幾 種方式處理
1. 主機(jī)發(fā)送帶有指示認(rèn)證服務(wù)器(BRAS或AAA)地址的Well Known MAC地址的認(rèn)證觸發(fā)消息。G-MS通過(guò)以太網(wǎng)匯聚子層將認(rèn)證觸發(fā)消息傳送 給遷移后的DPF。所述遷移后的DPF將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給該DPF選擇 的認(rèn)證服務(wù)器(BRAS或AAA),觸發(fā)執(zhí)行認(rèn)證過(guò)程。其中,所述遷移后的 DPF可以預(yù)先配置認(rèn)證服務(wù)器(BRAS或AAA)信息,并將認(rèn)證觸發(fā)消息發(fā) 送給該認(rèn)證服務(wù)器(BRAS或AAA)上,或是所述遷移后的DPF也可以選擇 一個(gè)可達(dá)到的認(rèn)證服務(wù)器(BRAS或AAA),將認(rèn)證觸發(fā)消息發(fā)送給該認(rèn)證服 務(wù)器(BRAS或AAA)從而觸發(fā)執(zhí)行認(rèn)i正過(guò)程;
2. 主機(jī)發(fā)送帶有原BRAS/AAA地址的認(rèn)證觸發(fā)消息,遷移后的DPF收到之后從中獲取該原認(rèn)證服務(wù)器(BRAS或AAA)的地址,然后將認(rèn)證觸發(fā) 消息轉(zhuǎn)發(fā)給原認(rèn)證服務(wù)器(BRAS或AAA)地址對(duì)應(yīng)的認(rèn)證服務(wù)器從而觸發(fā) 認(rèn)證^
3.主機(jī)發(fā)送帶有原認(rèn)證服務(wù)器(BRAS或AAA)地址的認(rèn)證觸發(fā)消息, 遷移后的DPF收到之后會(huì)從中獲取原認(rèn)證服務(wù)器(BRAS或AAA)地址,并 對(duì)認(rèn)證過(guò)程中的消息做如下處理將上行消息(由主機(jī)發(fā)送給認(rèn)證服務(wù)器的 消息)中的目的地址(如,可以是目的MAC地址)修改為遷移后的認(rèn)證服務(wù) 器(BRAS或AAA)的地址,轉(zhuǎn)發(fā)給遷移后的認(rèn)證服務(wù)器(BRAS或AAA), 觸發(fā)認(rèn)證;將收到的下行消息(由認(rèn)證服務(wù)器發(fā)送給主機(jī)的消息)中的源地 址(如,可以是源MAC地址)修改為原認(rèn)i正服務(wù)器(BRAS或AAA)地址, 然后下發(fā)。這樣,可以起到對(duì)主機(jī)隱藏認(rèn)證服務(wù)器遷移的作用。
如果DPF遷移導(dǎo)致BRAS/AAA遷移,還可以釋放原BRAS/AAA上保存 的主機(jī)相關(guān)信息,包括主機(jī)安全信息和/或與原DPF的關(guān)聯(lián)關(guān)系。釋放的方法 可以是在遷移過(guò)程中如果BRAS/AAA發(fā)生遷移,則觸發(fā)原BRAS/AAA釋 放該信息,也可以在重認(rèn)證時(shí)DPF觸發(fā)原RAS/AAA釋放所述與主機(jī)相關(guān)的 信息。
通過(guò)本發(fā)明實(shí)施例,在DPF上保存所述DPF與BRAS/AAA之間的關(guān)聯(lián) 關(guān)系,這樣在發(fā)生DPF遷移等場(chǎng)景下,可以通過(guò)本發(fā)明實(shí)施例提供的方法實(shí) 現(xiàn)以太網(wǎng)匯聚子層的認(rèn)證。
以上詳細(xì)介紹了本發(fā)明實(shí)施例所提供的認(rèn)證方法,為使本領(lǐng)域技術(shù)人員 更好地理解和實(shí)現(xiàn)本發(fā)明,以下參照附圖,對(duì)本發(fā)明實(shí)施例所提供的網(wǎng)絡(luò)系 統(tǒng)進(jìn)行詳細(xì)描述
參照?qǐng)D4,為本發(fā)明實(shí)施例中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖,該網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)關(guān) 移動(dòng)臺(tái)G-MS41,所述G-MS41以可通信方式同主機(jī)以及認(rèn)證服務(wù)器42相連, 所述G-MS41用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息,將所述認(rèn)證觸發(fā)消息通過(guò) 以太網(wǎng)匯聚子層傳送給認(rèn)證服務(wù)器42;
所述認(rèn)證服務(wù)器42,用于接收G-MS41通過(guò)以太網(wǎng)匯聚子層發(fā)送的認(rèn)證觸發(fā)消息,對(duì)所述主機(jī)進(jìn)行認(rèn)證。
采用該網(wǎng)絡(luò)系統(tǒng),通過(guò)G-MS發(fā)送由以太網(wǎng)匯聚子層承載的認(rèn)證觸發(fā)消 息到認(rèn)證服務(wù)器觸發(fā)認(rèn)證服務(wù)器對(duì)主機(jī)進(jìn)行認(rèn)證,可以實(shí)現(xiàn)基于以太網(wǎng)匯聚 子層的多主機(jī)認(rèn)證。
具體的,本發(fā)明實(shí)施例中,所述認(rèn)證觸發(fā)消息可以是EAPoL-Start消息, 也可以是PADI消息。認(rèn)證服務(wù)器可以是AAA,也可以是BRAS,當(dāng)認(rèn)證服 務(wù)器為AAA時(shí),iU正觸發(fā)消息可通過(guò)BRAS轉(zhuǎn)發(fā),此時(shí),BRAS作為AAA 的代理服務(wù)器。
可選的,本發(fā)明實(shí)施例中,所述認(rèn)證觸發(fā)消息可以通過(guò)中間網(wǎng)元進(jìn)行轉(zhuǎn) 發(fā),例如G-MS DPF或Serving DPF等DPF。通過(guò)DPF轉(zhuǎn)發(fā)時(shí),還可以解決 DPF與認(rèn)證服務(wù)器關(guān)聯(lián)的問(wèn)題。
參照?qǐng)D4,該網(wǎng)絡(luò)系統(tǒng)還可以進(jìn)一步包括DPF43,用于接收所述G-MS41 發(fā)送的由以太網(wǎng)匯聚子層承載的認(rèn)證觸發(fā)消息,通過(guò)數(shù)據(jù)分類(lèi)功能檢測(cè)到所 承載的消息為認(rèn)證觸發(fā)消息,或者已知所述服務(wù)流上傳輸?shù)南檎J(rèn)證觸發(fā) 消息時(shí),將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器42。
進(jìn)一步的,本發(fā)明實(shí)施例中,所述DPF43和認(rèn)證服務(wù)器42還可以分別保 存彼此之間的關(guān)聯(lián)關(guān)系。
進(jìn)一步的,本發(fā)明實(shí)施例中,若認(rèn)證服務(wù)器42發(fā)生遷移,為了信息安全, 可以釋放原認(rèn)證服務(wù)器上保存的主機(jī)相關(guān)信息,包括主機(jī)安全信息和該認(rèn)證 服務(wù)器與原DPF的關(guān)聯(lián)關(guān)系。
進(jìn)一步的,本發(fā)明實(shí)施例中,如果DPF43發(fā)生遷移,導(dǎo)致主機(jī)發(fā)起重認(rèn) 證,則所述DPF43還可以用于接收主機(jī)發(fā)送的認(rèn)-i正觸發(fā)消息并轉(zhuǎn)發(fā)給本 DPF43所選擇的認(rèn)證服務(wù)器(BRAS或AAA)觸發(fā)執(zhí)行認(rèn)證過(guò)程。
所述網(wǎng)絡(luò)系統(tǒng)中的DPF43還可用于接收主機(jī)重認(rèn)證時(shí)發(fā)送的認(rèn)證觸發(fā)請(qǐng) 求消息,所述認(rèn)證觸發(fā)消息中攜帶有原認(rèn)證服務(wù)器(BRAS或AAA)地址或 用于指示原認(rèn)證服務(wù)器(BRAS或AAA)地址的初始媒體接入控制子層MAC地址,DPF獲取該地址,然后將認(rèn)證觸發(fā)請(qǐng)求消息轉(zhuǎn)發(fā)給該地址對(duì)應(yīng)的認(rèn)證 服務(wù)器,觸發(fā)認(rèn)證。 —
所述網(wǎng)絡(luò)系統(tǒng)中的DPF還可以用于接收主機(jī)重認(rèn)證時(shí)發(fā)送的認(rèn)證觸發(fā)消 息,并將所述認(rèn)證觸發(fā)消息中的原認(rèn)證服務(wù)器(BRAS或AAA)地址修改為 遷移后的認(rèn)證服務(wù)器(BRAS或AAA)地址,轉(zhuǎn)發(fā)給遷移后的認(rèn)證服務(wù)器
(BRAS或AAA)觸發(fā)認(rèn)證;并將認(rèn)證服務(wù)器(BRAS或AAA)返回的認(rèn)證 觸發(fā)響應(yīng)消息中的源地址(如,可以是源MAC地址)修改為原認(rèn)i正服務(wù)器
(BRAS或AAA)地址,然后下發(fā)。這樣可以起到對(duì)主才幾隱藏認(rèn)證服務(wù)器
(BRAS或AAA)遷移的作用。
通過(guò)本發(fā)明實(shí)施例提供的系統(tǒng),G-MS通過(guò)以太網(wǎng)匯聚子層承載認(rèn)證觸發(fā) 消息將所述認(rèn)證觸發(fā)消息發(fā)送給認(rèn)證服務(wù)器,觸發(fā)認(rèn)證,從而可以實(shí)現(xiàn)基于 以太網(wǎng)匯聚子層的主機(jī)認(rèn)證。
以上對(duì)本發(fā)明實(shí)施例中的認(rèn)證方法和網(wǎng)絡(luò)系統(tǒng)進(jìn)行了詳細(xì)描述,為使本 領(lǐng)域技術(shù)人員更好地理解和實(shí)現(xiàn)本發(fā)明,以下對(duì)本發(fā)明實(shí)施例所采用的通信 設(shè)備進(jìn)行詳細(xì)描述
參照?qǐng)D5,為本發(fā)明實(shí)施例中G-MS設(shè)備結(jié)構(gòu)示意圖,該G-MS包括接 收單元51、發(fā)送單元52,其中
接收單元51,用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;
發(fā)送單元52,用于將接收單元51所接收到的認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯 聚子層發(fā)送給認(rèn)證服務(wù)器。
該G-MS設(shè)備用于將主機(jī)發(fā)送的認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層傳送到 認(rèn)證服務(wù)器,并觸發(fā)認(rèn)證服務(wù)器對(duì)主機(jī)進(jìn)行認(rèn)證,可以實(shí)現(xiàn)基于以太網(wǎng)匯聚 子層的主機(jī)認(rèn)證。
本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)通道功能實(shí)體DPF,參照?qǐng)D6,為本發(fā)明 實(shí)施例中DPF結(jié)構(gòu)示意圖,包括接收單元61、數(shù)據(jù)過(guò)濾單元62、發(fā)送單元 63,其中接收單元61,用于接收由以太網(wǎng)匯聚子層承載的消息;
數(shù)據(jù)過(guò)濾單元62,用于對(duì)接收單元61所接收到的所述消息進(jìn)行過(guò)濾,若 所接收到的消息為認(rèn)證觸發(fā)消息,或者已知所述服務(wù)流上傳輸?shù)南檎J(rèn)證 觸發(fā)消息,通知發(fā)送單元63發(fā)送所述認(rèn)證觸發(fā)消息;
發(fā)送單元63,用于發(fā)送所述認(rèn)證觸發(fā)消息給認(rèn)證服務(wù)器。
可選的,所述DPF中還可包括保存單元,用于保存所述DPF和認(rèn)證服務(wù) 器的關(guān)聯(lián)關(guān)系。
通過(guò)本發(fā)明實(shí)施例提供的數(shù)據(jù)通道功能實(shí)體DPF,可以將由以太網(wǎng)匯聚子 層承載的認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,觸發(fā)認(rèn)證服務(wù)器對(duì)主機(jī)進(jìn)行認(rèn)證, 可以實(shí)現(xiàn)基于以太網(wǎng)匯聚子層的主機(jī)認(rèn)證。
是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī) 可讀存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),包括如下步驟
網(wǎng)關(guān)移動(dòng)臺(tái)G-MS接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;
網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證
服務(wù)器觸發(fā)認(rèn)證。
上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤(pán)或光盤(pán)等。
以上對(duì)本發(fā)明所提供的一種認(rèn)證方法、設(shè)備和系統(tǒng)進(jìn)行了詳細(xì)介紹,對(duì) 于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實(shí)施例的思想,在具體實(shí)施方式
及應(yīng) 用范圍上均會(huì)有改變之處,綜上所述,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的 限制。
權(quán)利要求
1. 一種認(rèn)證方法,其特征在于,包括網(wǎng)關(guān)移動(dòng)臺(tái)G-MS接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器觸發(fā)認(rèn)證。
2. 如權(quán)利求1所述的認(rèn)證方法,其特征在于,包括 所述iU正觸發(fā)消息為EAPoL-Start消息或PADI消息。
3. 如權(quán)利要求1所述的認(rèn)證方法,其特征在于,所述網(wǎng)關(guān)移動(dòng)臺(tái)G-MS 將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器為G-MS通過(guò)以太網(wǎng)匯聚子層將所述認(rèn)證觸發(fā)消息傳送給數(shù)據(jù)通道功能實(shí) 體DPF;所述DPF檢測(cè)到所承載的消息為認(rèn)證觸發(fā)消息,或者已知服務(wù)流上傳輸 的消息為認(rèn)證觸發(fā)消息,將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給所述認(rèn)證服務(wù)器。
4. 如權(quán)利要求3所述的認(rèn)證方法,其特征在于,所述DPF將所述認(rèn)證觸 發(fā)消息轉(zhuǎn)發(fā)給預(yù)先配置的認(rèn)證服務(wù)器或可到達(dá)的認(rèn)證服務(wù)器。
5. 如權(quán)利要求1至4任一項(xiàng)所述的認(rèn)證方法,其特征在于,所述認(rèn)i正服 務(wù)器為寬帶遠(yuǎn)程接入服務(wù)器BRAS。
6. 如權(quán)利要求1至4任一項(xiàng)所述的認(rèn)證方法,其特征在于,所述認(rèn)證服務(wù)器為認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器AAA,則所述DPF將所述認(rèn) 證觸發(fā)消息轉(zhuǎn)發(fā)給所述認(rèn)證服務(wù)器具體為所述DPF將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給寬帶遠(yuǎn)程接入服務(wù)器BRAS;所述BRAS將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給所述AAA。
7. 如權(quán)利要求3或4所述的認(rèn)證方法,其特征在于,進(jìn)一步包括所述DPF與所述認(rèn)證服務(wù)器保存所述DPF和所述認(rèn)證服務(wù)器之間的關(guān)聯(lián) 關(guān)系。
8. 如權(quán)利要求7所述的認(rèn)證方法,其特征在于,進(jìn)一步包括若所述DPF發(fā)生遷移,更新所述DPF和認(rèn)證服務(wù)器之間的關(guān)聯(lián)關(guān)系。
9. 如權(quán)利要求7所述的認(rèn)證方法,其特征在于,進(jìn)一步包括若認(rèn)證服務(wù)器發(fā)生遷移,釋放原認(rèn)證服務(wù)器上保存的主機(jī)的相關(guān)信息,所述相關(guān)信息中包括所述原認(rèn)證服務(wù)器與DPF之間的關(guān)聯(lián)關(guān)系。
10. 如權(quán)利要求3或4所述的認(rèn)證方法,其特征在于,若所述DPF發(fā)生遷移觸發(fā)所述主機(jī)重認(rèn)證,則所述方法進(jìn)一步包括G-MS通過(guò)以太網(wǎng)匯聚子層將認(rèn)證觸發(fā)消息傳送給遷移后的DPF,所述遷移后的DPF將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給該DPF選擇的認(rèn)證服務(wù)器,所述認(rèn)證觸發(fā)消息中攜帶有用于指示原認(rèn)證服務(wù)器地址的初始媒體接入子層MAC地址;或者,G-MS通過(guò)以太網(wǎng)匯聚子層將認(rèn)證觸發(fā)消息傳送給遷移后的DPF,所述遷移后的DPF從所述認(rèn)證觸發(fā)消息中獲取原認(rèn)證服務(wù)器地址,將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)給所述原認(rèn)證服務(wù)器地址對(duì)應(yīng)的認(rèn)證服務(wù)器;G-MS通過(guò)以太網(wǎng)匯聚子層將認(rèn)證觸發(fā)消息傳送給遷移后的DPF,所述遷移后的DPF在認(rèn)證過(guò)程中將上行消息中的目的地址修改為遷移后的認(rèn)證服務(wù)器地址,將所述遷移后的認(rèn)證服務(wù)器返回的下行消息中的源地址修改為原認(rèn)證服務(wù)器地址。
11. 如權(quán)利要求3所述的認(rèn)證方法,其特征在于,所述網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器前一步包括G-MS建立以太網(wǎng)匯聚子層的服務(wù)流或者更新已有的服務(wù)流分類(lèi)器,用于承載主機(jī)發(fā)送的數(shù)據(jù)。
12. —種網(wǎng)絡(luò)系統(tǒng),其特征在于,所述網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)關(guān)移動(dòng)臺(tái)G-MS,所述G-MS以可通信方式同主機(jī)以及認(rèn)證服務(wù)器相連;所述G-MS,用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息,將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送到認(rèn)證服務(wù)器;所述認(rèn)證服務(wù)器,用于接收G-MS通過(guò)以太網(wǎng)匯聚子層發(fā)送的認(rèn)證觸發(fā)消息,對(duì)所述主機(jī)進(jìn)行認(rèn)證。
13. 如權(quán)利要求12所述的網(wǎng)絡(luò)系統(tǒng),還包括數(shù)據(jù)通道功能實(shí)體DPF,用于接收G-MS發(fā)送的由以太網(wǎng)匯聚子層承載的認(rèn)證觸發(fā)消息,并通過(guò)數(shù)據(jù)分類(lèi)功能檢測(cè)到所承載的消息為認(rèn)證觸發(fā)消息,或者已知服務(wù)流上傳輸?shù)南檎J(rèn)證觸發(fā)消息時(shí),將所述認(rèn)證觸發(fā)消息轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器。
14. 如權(quán)利要求13所述的網(wǎng)絡(luò)系統(tǒng),其特征在于,所述DPF還用于保存所述DPF與認(rèn)證服務(wù)器之間的關(guān)聯(lián)關(guān)系;所述認(rèn)證服務(wù)器還用于保存與所述DPF的關(guān)聯(lián)關(guān)系。
15. 如權(quán)利要求13所述的網(wǎng)絡(luò)系統(tǒng),其特征在于,所述DPF還用于接收主機(jī)發(fā)送的認(rèn)證觸發(fā)消息并轉(zhuǎn)發(fā)給所述DPF所選擇的認(rèn)證服務(wù)器觸發(fā)認(rèn)證,所述認(rèn)證觸發(fā)消息中攜帶有原認(rèn)證服務(wù)器地址或用于指示原認(rèn)證服務(wù)器地址的初始々某體接入控制子層MAC地址。
16. 如權(quán)利要求13所述的網(wǎng)絡(luò)系統(tǒng),其特征在于,所述DPF還用于接收主機(jī)重認(rèn)證時(shí)發(fā)送的認(rèn)證觸發(fā)消息,并將所述認(rèn)證觸發(fā)消息中的原認(rèn)證服務(wù)器地址修改為遷移后的認(rèn)證服務(wù)器地址,將所述認(rèn)證觸發(fā)消息發(fā)送給所述遷移后的認(rèn)證服務(wù)器;將所述遷移后的認(rèn)證服務(wù)器返回的認(rèn)證響應(yīng)消息中的源地址修改為原認(rèn)證服務(wù)器地址,發(fā)送給所述主機(jī)。
17. —種網(wǎng)關(guān)移動(dòng)臺(tái),其特征在于,包括接收單元、發(fā)送單元,其中所述接收單元,用于接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;所述發(fā)送單元,用于將所述接收單元所接收到的所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)'證服務(wù)器。
18. —種數(shù)據(jù)通道功能實(shí)體,其特征在于,包括接收單元、數(shù)據(jù)過(guò)濾單元、發(fā)送單元,其中接收單元,用于接收由以太網(wǎng)匯聚子層承載的消息;數(shù)據(jù)過(guò)濾單元,用于對(duì)接收單元所接收到的消息進(jìn)行過(guò)濾,若所接收到的消息為認(rèn)證觸發(fā)消息,或者已知服務(wù)流上傳輸?shù)南檎J(rèn)證觸發(fā)消息,通知發(fā)送單元發(fā)送所述認(rèn)證觸發(fā)消息;發(fā)送單元,用于發(fā)送認(rèn)證觸發(fā)消息給認(rèn)證服務(wù)器。
19.如權(quán)利要求18所述的數(shù)據(jù)通道功能實(shí)體,其特征在于,還包括保存單元,用于保存所述數(shù)據(jù)通道功能實(shí)體和所述認(rèn)證服務(wù)器的關(guān)聯(lián)關(guān)系。
全文摘要
本發(fā)明公開(kāi)了一種認(rèn)證方法、設(shè)備和系統(tǒng)。本發(fā)明方法包括網(wǎng)關(guān)移動(dòng)臺(tái)G-MS接收來(lái)自主機(jī)的認(rèn)證觸發(fā)消息;網(wǎng)關(guān)移動(dòng)臺(tái)G-MS將所述認(rèn)證觸發(fā)消息通過(guò)以太網(wǎng)匯聚子層發(fā)送給認(rèn)證服務(wù)器觸發(fā)認(rèn)證。本發(fā)明能夠?qū)崿F(xiàn)基于以太網(wǎng)匯聚子層的多主機(jī)的場(chǎng)景下的主機(jī)認(rèn)證。
文檔編號(hào)H04L29/06GK101499993SQ20081000029
公開(kāi)日2009年8月5日 申請(qǐng)日期2008年1月30日 優(yōu)先權(quán)日2008年1月30日
發(fā)明者偉 張, 梁文亮, 陳育華, 亮 顧 申請(qǐng)人:華為技術(shù)有限公司