专利名称:一种接入认证方法及系统的制作方法
技术领域:
本发明涉及网络通信领域,尤其涉及一种接入认证方法及系统。
背景技术:
在身份与位置分离网络中,如图1所示,身份和位置分离,Host为主机,配置AID (Access Identity,接入标识)作为身份标识;ASR为接入路由器,配备RID (RoutingIdentity,路由标识)作为位置标识。所有Host主机通过ASR进行注册和认证并接入网络。Host接入到ASR (Access Service Router,接入业务路由器)上,以及离开ASR的行为,ASR都需向ILRddentity-Locator Register,身份-位置映射器)汇报。ILR保存Host的身份标识AID和所在位置RID的映射关系〈AID,RID〉。ILR同时提供对查询映射关系的响应。
Host与Host之间通信,采用ASR上的RID进行封装并路由,并将Host与Host之间的原始报文封装在载荷(Payload)中。报文到达目的ASR,目的ASR对报文进行解封装,然后将原始报文转发到目的Host。报文在身份和位置网络中转发如图2所示,报文转发的过程为:在源ASR(图中ASR1)对报文进行封装,然后在源ASR和目的ASR(图中ASR2)之间转发封装后的报文,最后在目的ASR上对报文进行解封装,并转发到目的HOST (图中Host2)。在报文转发流程中,报文的封装格式分为原始报文和RID封装报文两种:原始报文转发:在身份与位置分离网络的接入层,即Host与ASR之间采用AID作为源地址和目的地址进行报文转发,报文格式如图3所示。RID封装报文转发:在身份与位置分离网络的核心层,即ASR与ASR之间采用RID封装后的报文转发,报文如图4所示。在现有网络中,存在着大量的接入设备,例如WLAN (Wireless Local AreaNetwork,无线局域网)AC(Access Controller,接入控制器),WiMAX(WorldwideInteroperability for Microwave Access,全球微波互联接入)ASN-GW(Access ServiceNetwork Gateway,接入网关),固网的 BRAS (Broadband Remote Access Server,宽带远程接入服务器),尽管这些设备的产品形态以及功能各有不同,但是他们大都有着以下共同
占-
^ \\\.
路由的第一跳,也即接入路由器;认证的执行点,尽管认证的方式存在不同(有的采用EAP (ExtensibleAuthentication Protocol,可扩展认证协议),有的采用Portal,有的采用PPPoE (Point-to-Point Protocol Over Ethernet,以太网上点对点协议)),但它们都是认证的执行点(例如,EAP框架中的EAP Authenticator)而非最终认证点(最终认证点为AAAServer (Authentication Authorization Accounting Server,鉴权认iiEi十费月艮务器),接入设备为AAA Client (AAA客户端));接入的控制点,接入设备可以控制用户的网络接入权限。鉴于在身份与位置分离网络中,ASR必须是接入路由器,同时具备认证功能。因此,如果要对现网进行身份与位置分离网络改造,就需要对现网中的接入设备进行升级,但是现有网络中存在着大量不同类型的接入设备(AC、ASN-GW、BRAS)等等,这些设备形态千差万别,包括:处理能力的区别:有的位于楼宇之中,服务于数百用户,有的位于机房,可以同时服务于数十万用户;路由实现的区别:有的接入控制设备用软件来实现其路由功能,有的用硬件来实现路由功能;功能的区别:有些BRAS可能具备业务路由器功能,有些AC、ASN-Gff具备无线资源
管理功能。这些能力、实现方式、功能的区别使得现有的接入设备形态各异,如果对现网进行ASR化改造,需要对现网的这些接入设备一一作针对性的改造,这将耗费大量的人力、物力和财力。
发明内容
本发明要解决的技术问题是提供一种接入认证系统和方法,实现对现有网络的升级。为了解决上述问题,本发明提供了一种接入认证系统,包括现网接入设备,与所述现网接入设备相连的接入认证设备,其中:所述现网接入设备用于:对终端进行接入控制;所述接入认证设备用于:对终端进行接入认证,将终端相关信息或认证结果发送给所述现网接入设备。进一步的,上述系统还可具有以下特点,所述接入认证设备对所述终端进行接入认证包括:所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。进一步的,上述系统还可具有以下特点,所述现网接入设备还用于:接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。进一步的,上述系统还可具有以下特点,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。进一步的,上述系统还可具有以下特点,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。本发明还提供一种接入认证方法,包括:接入认证设备对终端进行接入认证,将终端相关信息或认证结果发送给现网接入设备。进一步的,上述方法还可具有以下特点,所述接入认证设备对所述终端进行接入认证包括:所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。进一步的,上述方法还可具有以下特点,所述方法还包括:所述现网接入设备接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。
进一步的,上述方法还可具有以下特点,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。进一步的,上述方法还可具有以下特点,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。本发明提供了一种接入认证系统和方法,在保持现有接入设备形态不变的前提下,将路由及认证功能从现有接入设备中剥离出来,集中到接入认证设备,从而实现了对现有网络的升级,简单易行。
图1是身份和位置分离网络示意图;图2是报文在身份和位置分离网络中的转发过程示意图;图3是原始AID报文示意图;图4是RID封装报文示意图;图5是本发明所涉及的网元架构示意图;图6是本发明接入认证方法流程示意图;图7是本发明实施例1基于EAP的接入流程不意图;图8是本发明实施例1在WLAN网络中的接入流程协议栈示意图;图9是本发明实施例1在WiMAX网络中的接入流程协议栈示意图;图10是本发明实施例2基于Portal的接入流程示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。本发明提供了一种接入认证系统,在保持现有接入设备形态不变的前提下,将路由及认证功能从现有接入设备中剥离出来,集中到接入认证设备。本发明实施例提供一种接入认证系统,包括现网接入设备,与所述现网接入设备相连的接入认证设备,其中:所述现网接入设备用于:对终端进行接入控制;所述接入认证设备用于:对终端进行接入认证,将终端相关信息或认证结果发送给所述现网接入设备。其中,所述接入认证设备对所述终端进行接入认证包括:所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。其中:所述现网接入设备还用于:接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。其中,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。其中,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。
本发明实施例还提供一种接入认证方法,包括:接入认证设备对终端进行接入认证,将终端相关信息或认证结果发送给现网接入设备。其中,所述接入认证设备对所述终端进行接入认证包括:所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。其中,所述方法还包括:所述现网接入设备接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。其中,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。其中,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。下面实施例中以接入认证设备(也称接入认证点)为ASR为例进一步说明本发明,但接入认证设备不限于ASR,也可是其它能实现接入认证的装置。如图5所示,在某个需要进行身份与位置分离网络改造的现有网络中增加一个或多个专门的ASR模块。这些ASR模块是独立于接入技术的接入路由器,同时具备认证执行点的功能。现网中的接入设备与一个或者多个ASR通过特定的协议连接起来。如图6所示,当终端用户接入网络时,现网中的接入设备将终端的信息通过特定的协议告知ASR,或者将终端的访问请求转发给ASR,然后由ASR来对用户进行接入认证,认证通过后,ASR将产生的用户Profile (例如PMK、AID、QoS信息等等)发送给接入设备,接入设备再根据具体的接入技术产生用户接入控制的信息,在用户获准接入后,现网接入设备将用户所有的上行数据都直接转发给对其进行认证的ASR。接入认证可以是终端主动触发,也可以是网络设备触发。实施例1图7为本发明在EAP体系下的一种终端入网流程,所述方法包括以下步骤:步骤701:终端用户与当前的接入网络建立连接,所述的建立连接是指终端可以与网络接入设备进行MAC层通信,而非授权接入网络;以WLAN为例,终端与网络接入设备完成Association交互即可视为完成该步骤;以WiMAX为例,终端与网络设备完成SBC交互(终端收到SBC-Response)即可视为完成该步骤。步骤702:现网的网络接入设备(AC或者ASN-GW)向终端发送EAP-Request/ID来询问终端的网络接入标识;该消息的触发可以是对来自终端的EAP-Start消息的回应(ΕΑΡ-Start是EAP中的可选消息),也可以是完成步骤701后的内部触发。步骤703:终端在收到EAP-Request/ID消息后,回复EAP-Response/ID告知自己的身份,现网接入设备收到该消息后将该消息转发给ASR,ASR对该消息进行处理,并将之通过AAA协议发送给AAA Server。步骤704:终端、ASR、AAA Server三者执行EAP认证流程,在该流程中,现网接入设备仅仅是个认证的Relay (中继),其作用仅仅是将EAP报文在不同承载协议间进行转换(关于承载协议,参考对附图8、9的描述);
在该过程中,AAA Server将终端的Profile、AID及认证产生的MSK等安全信息发送给ASR。步骤705:认证完成后,AAA Server将认证结果告知终端和ASR。步骤706 =ASR将现网接入设备所需的用户信息传递给现网接入设备;所述用户信息包括密钥信息、用户权限、QoS信息等,还可包括AID,其中,所述密钥信息包括PMK (Pairwise master key)等。其中,ASR生成MSK,再根据MSK生成PMK。步骤707:现网接入设备与终端进行交互,产生用于对终端进行接入控制以及后续通信所需的信息;例如,在WLAN网络中,终端与现网接入设备进行4次握手(4_way-handshake)产生临时会话密钥等信息,现网接入设备根据信息的产生结果及使用结果来对终端进行接入控制;在WiMAX网络中,终端与现网接入设备进行PKMv2/SA_TEK交互。附图8、9分别为实施例1在WLAN、WiMAX网络中的接入认证协议栈示意图。如图8,9所示,在ASR与现网接入设备之间增加了 一个RACP(Remote AccessControl Protocol,远端接入控制协议),该协议主要用于:承载ASR与现网接入设备之间的认证报文;用于ASR与现网接入设备之间传递用户相关信息,例如ASR向现网接入设备传递用户的PMK,告知认证结果等等。该协议可以是个专门为此制定的协议,也可以是现有协议(例如Radius)的扩充。图10为本发明在Portal认证体系下的一种终端入网流程,如图9所示,所述方法包括以下步骤:步骤1001,终端接入网络,现网接入设备或者ASR为其分配一个临时IP地址(可以是私网地址),该IP地址只能访问Portal Server (Portal认证服务器)、DNS Server等设备。用户访问网站,ASR将其重定向至Portal Server, Portal Server将认证页面推送至终端,用户填入用户名、密码,发起连接请求;步骤1002, Portal Server 向 ASR 请求 Challenge ;步骤1003, ASR 分配 Challenge 给 Portal Server ;步骤1004, Portal Server向ASR发起认证请求;步骤1005,ASR进行RADIUS认证,获得RADIUS认证结果,在该过程中,ASR扮演AAA Client角色,在认证过程中,ASR获得终端的AID ;步骤1006, ASR将认证结果告知Portal Server ;步骤1007a,ASR将认证结果告知网络接入设备,要求其对终端的数据放行;步骤1007b, Portal Server将认证结果告知终端,同时要求终端更换IP地址。更进一步,本架构不仅适用于对现网进行身份与位置分离网络改造,还可用于其他场景,例如FMC(Fixed Mobile Convergence,固网融合)等等,其流程与实施例1、2类似,区别仅仅在于:身份与位置分离网络的ASR变成其他接入认证设备;RACP协议传递的参数有所区别。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种接入认证系统,其特征在于,包括现网接入设备,与所述现网接入设备相连的接入认证设备,其中: 所述现网接入设备用于:对终端进行接入控制; 所述接入认证设备用于:对终端进行接入认证,将终端相关信息或认证结果发送给所述现网接入设备。
2.如权利要求1所述的系统,其特征在于,所述接入认证设备对所述终端进行接入认证包括: 所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。
3.如权利要求1所述的系统,其特征在于, 所述现网接入设备还用于:接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。
4.如权利要求1所述的系统,其特征在于,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。
5.如权利要求1至4任一所述的系统,其特征在于,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。
6.一种接入认证方法,其特征在于, 接入认证设备对终端进行接入认证,将终端相关信息或认证结果发送给现网接入设备。
7.如权利要求6所述的方法,其特征在于,所述接入认证设备对所述终端进行接入认证包括: 所述接入认证设备与所述终端、鉴权认证计费服务器交互,对所述终端进行认证。
8.如权利要求6所述的方法,其特征在于,所述方法还包括: 所述现网接入设备接收到所述终端相关信息后,与所述终端进行交互,生成接入控制信息,根据所述接入控制信息对所述终端进行接入控制。
9.如权利要求6所述的方法,其特征在于,所述终端相关信息包括如下之一或其组合:密钥信息、用户权限信息、服务质量信息和身份标识。
10.如权利要求6至9任一所述的方法,其特征在于,所述现网接入设备为接入控制器,或者,接入网关,或者,宽度远程接入服务器。
全文摘要
本发明提供一种接入认证系统,包括现网接入设备,与所述现网接入设备相连的接入认证设备,其中所述现网接入设备用于对终端进行接入控制;所述接入认证设备用于对终端进行接入认证,将终端相关信息或认证结果发送给所述现网接入设备。本发明还提供一种接入认证方法。本发明实现了接入控制与接入认证分离,易于对现有网络升级。
文档编号H04W12/06GK103108324SQ201110352529
公开日2013年5月15日 申请日期2011年11月9日 优先权日2011年11月9日
发明者潘云波, 魏元 申请人:中兴通讯股份有限公司