專利名稱:基于802.lx的接入認(rèn)證方法��、接入設(shè)備及匯聚設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別涉及一種基于802. Ix的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備����。
背景技術(shù):
LTE (Long Term Evelution,長期演進(jìn))是繼2G/3G技術(shù)后未來移動(dòng)通信的主要演進(jìn)方向。LTE系統(tǒng)采用兩層扁平網(wǎng)絡(luò)架構(gòu)�,包括eNodeB(基站)和aGW(接入網(wǎng)關(guān))兩個(gè)主要網(wǎng)元。移動(dòng)回傳網(wǎng)絡(luò)是移動(dòng)承載網(wǎng)的重要組成部分����,為基站和接入網(wǎng)關(guān)之間的通信提供承載支持。移動(dòng)回傳網(wǎng)絡(luò)呈現(xiàn)逐級(jí)匯聚的結(jié)構(gòu)���,不同的場(chǎng)景下具體的匯聚級(jí)數(shù)可能不一致��。以四級(jí)移動(dòng)回傳網(wǎng)絡(luò)為例��,如圖1所示�,在基站同物理位置部署一個(gè)CSG(Cell Site (Gateway,基站側(cè)網(wǎng)關(guān)設(shè)備)�,然后由AGN-L(Low IevelAggregate Node,低級(jí)匯聚節(jié)點(diǎn))通過環(huán)或鏈對(duì)若干CSG進(jìn)行匯聚�����,由AGN-H(Highlevel Aggregate Node����,高級(jí)匯聚節(jié)點(diǎn))通過環(huán)或鏈對(duì)若干AGN-L進(jìn)行匯聚�,最后由MASG(MobiIe Aggregation Site Gateway,移動(dòng)匯聚側(cè)網(wǎng)關(guān))將全部的網(wǎng)絡(luò)流量匯聚到aGW��。當(dāng)基站接入移動(dòng)承載網(wǎng)絡(luò)時(shí)����,需要對(duì)基站進(jìn)行基于IEEE (Institute ofElectrical and Electronics Engineers,電氣電子工程師學(xué)會(huì))802. Ix 的接入認(rèn)證����。在基于802. Ix的接入認(rèn)證系統(tǒng)中,包括認(rèn)證申請(qǐng)者���、認(rèn)證者和認(rèn)證服務(wù)器��,在上行方向�����,認(rèn)證者將來自認(rèn)證申請(qǐng)者并封裝在EAPoL (ΕΑΡ Over LAN)報(bào)文中的EAP (Extensible Authentication Protocol���,擴(kuò)展認(rèn)證協(xié)議)報(bào)文恢復(fù)��,并封裝后承載在高層協(xié)議上轉(zhuǎn)交認(rèn)證服務(wù)器進(jìn)行處理��;在下行方向上����,認(rèn)證者將來自認(rèn)證服務(wù)器的EAP報(bào)文從高層協(xié)議中解封裝后�����,封裝到EAPoL報(bào)文中發(fā)送給認(rèn)證申請(qǐng)者�,從而實(shí)現(xiàn)認(rèn)證申請(qǐng)者和認(rèn)證服務(wù)器之間基于802. Ix的接入交互。認(rèn)證服務(wù)器集中位于網(wǎng)絡(luò)內(nèi)部���,可根據(jù)預(yù)先配置的用戶數(shù)據(jù)進(jìn)行認(rèn)證檢查���,發(fā)出認(rèn)證授權(quán)�����。在現(xiàn)有技術(shù)中����,認(rèn)證者通常采用兩種方式實(shí)現(xiàn)方式1 認(rèn)證者的全部功能由CSG實(shí)現(xiàn)�����。此時(shí)����,CSG具備EAP解析與封裝��、 AAA (authentication, authorization and accounting,認(rèn)證��、授權(quán)與計(jì)費(fèi))協(xié)議����、UDP (User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)和IP(Internet Protocol���,互聯(lián)網(wǎng)協(xié)議)等處理能力�,網(wǎng)絡(luò)需要在CSG和認(rèn)證服務(wù)器之間有IP路由可達(dá)性,同時(shí)要求CSG及以上網(wǎng)絡(luò)設(shè)備都具備 IP 轉(zhuǎn)發(fā)能力�����。AAA 協(xié)議可以是 RADIUS (Remote Authentication Dial In User krvice�,遠(yuǎn)端撥入用戶驗(yàn)證服務(wù))協(xié)議或Diameter (直徑)協(xié)議。采用方式1進(jìn)行接入認(rèn)證時(shí)�����,CSG的實(shí)現(xiàn)較復(fù)雜�����,由于CSG在LTE承載網(wǎng)中是海量的��,CSG復(fù)雜的功能帶來這種海量設(shè)備更頻繁的配置�����、升級(jí)和故障管理操作����,增加了維護(hù)難度和成本���。方式2 認(rèn)證者的全部功能由AGN(例如AGN-L或AGN-H)實(shí)現(xiàn)。此時(shí)��,與基站同地址部署的CSG只需要實(shí)現(xiàn)簡(jiǎn)單的透?jìng)鞴δ?���,將連接基站的端口與到達(dá)AGN的邏輯管道綁定,CSG不參與報(bào)文認(rèn)證和相應(yīng)的處理��。對(duì)端口的控制�����,改為AGN對(duì)端口對(duì)應(yīng)的邏輯管道開閉的控制�����。采用方式2進(jìn)行接入認(rèn)證時(shí)�,由于CSG與AGN之間的通信鏈路不受認(rèn)證授權(quán)控制�, 認(rèn)證申請(qǐng)者的報(bào)文可以暢通無阻地到達(dá)AGN,造成AGN與CSG之間的通信帶寬資源的浪費(fèi)����, 也存在一定的安全隱患�����。在實(shí)現(xiàn)本發(fā)明的過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題在進(jìn)行基于802. Ix的接入認(rèn)證時(shí)���,當(dāng)認(rèn)證者的全部功能由CSG實(shí)現(xiàn)時(shí)����,增加了 CSG 的復(fù)雜度�;當(dāng)認(rèn)證者的全部功能由AGN實(shí)現(xiàn)時(shí),容易造成帶寬資源的浪費(fèi)和安全隱患���。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種基于802. Ix的接入認(rèn)證方法�、接入設(shè)備及匯聚設(shè)備�����,能夠在降低接入設(shè)備復(fù)雜度的同時(shí)避免帶寬資源的浪費(fèi)和安全隱患�����。本發(fā)明實(shí)施例采用的技術(shù)方案為一種基于802. Ix的接入認(rèn)證方法,包括通過第一端口接收客戶設(shè)備的上行報(bào)文�;判斷所述上行報(bào)文是否為認(rèn)證報(bào)文;當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí)�����,將所述上行報(bào)文向匯聚設(shè)備發(fā)送�;當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí),接收所述匯聚設(shè)備發(fā)送的端口控制消息����;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí);設(shè)置所述第一端口為非受控狀態(tài)�,允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過。一種基于802. Ix的接入認(rèn)證方法�����,包括接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文���,所述認(rèn)證報(bào)文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息��,與所述認(rèn)證服務(wù)器共同完成對(duì)所述客戶設(shè)備的認(rèn)證�;當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)�,向所述接入設(shè)備發(fā)送端口控制消息��,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)��。一種接入設(shè)備�����,包括第一接收模塊���,用于通過第一端口接收客戶設(shè)備的上行報(bào)文����;判斷模塊�����,用于判斷所述上行報(bào)文是否為認(rèn)證報(bào)文����;第一發(fā)送模塊,用于當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí)�����,將所述上行報(bào)文向匯聚設(shè)備發(fā)送;第二接收模塊����,用于當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí),接收所述匯聚設(shè)備發(fā)送的端口控制消息�;獲取模塊,用于根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)��; 設(shè)置模塊�,用于設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過�。 一種匯聚設(shè)備,包括
第三接收模塊�����,用于接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文���,所述認(rèn)證報(bào)文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備�;認(rèn)證模塊��,用于向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息���,與所述認(rèn)證服務(wù)器共同完成對(duì)所述客戶設(shè)備的認(rèn)證���;第二發(fā)送模塊,用于當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)��, 向所述接入設(shè)備發(fā)送端口控制消息���,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)�。本發(fā)明實(shí)施例基于802. Ix的接入認(rèn)證方法�、接入設(shè)備及匯聚設(shè)備,接入設(shè)備對(duì)來自客戶設(shè)備的上行報(bào)文進(jìn)行識(shí)別�����,將客戶設(shè)備的認(rèn)證報(bào)文發(fā)送至匯聚設(shè)備����,當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí),接收匯聚設(shè)備發(fā)送的端口控制消息����,對(duì)端口的狀態(tài)進(jìn)行設(shè)置,控制業(yè)務(wù)報(bào)文通過���。與現(xiàn)有技術(shù)相比����,將接入控制與認(rèn)證分離開,接入設(shè)備完成對(duì)應(yīng)客戶設(shè)備的接入控制�����,匯聚設(shè)備統(tǒng)一完成認(rèn)證�����,從而可以降低接入設(shè)備的復(fù)雜度����,降低接入網(wǎng)維護(hù)成本,支持大規(guī)模接入網(wǎng)絡(luò)���,此外�,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其它的附圖��。圖1為移動(dòng)回傳網(wǎng)絡(luò)結(jié)構(gòu)圖2為本發(fā)明實(shí)施例一提供的方法流程圖3為本發(fā)明實(shí)施例二提供的方法流程圖如為本發(fā)明實(shí)施例三提供的方法的實(shí)現(xiàn)結(jié)構(gòu)圖4b為本發(fā)明實(shí)施例三提供的方法流程圖如為本發(fā)明實(shí)施例四提供的方法的實(shí)現(xiàn)結(jié)構(gòu)圖5b為本發(fā)明實(shí)施例四提供的方法流程圖6a�、圖6b為本發(fā)明實(shí)施例五提供的方法的實(shí)現(xiàn)結(jié)構(gòu)圖6c為本發(fā)明實(shí)施例五提供的方法流程圖7a、圖7b�����、圖7c�、圖7d為本發(fā)明實(shí)施例六提供的接入設(shè)備結(jié)構(gòu)示意圖8a、圖Sb���、圖Sc�����、圖8d為本發(fā)明實(shí)施例七提供的匯聚設(shè)備結(jié)構(gòu)示意圖����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�����?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。為使本發(fā)明技術(shù)方案的優(yōu)點(diǎn)更加清楚�,下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作詳細(xì)說明。實(shí)施例一
7
本實(shí)施例提供一種基于802. Ix的接入認(rèn)證方法��,如圖2所示��,在接入設(shè)備側(cè)�����,所述方法包括201、接入設(shè)備通過第一端口接收客戶設(shè)備的上行報(bào)文�����;202����、判斷所述上行報(bào)文是否為認(rèn)證報(bào)文���;203���、當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí),將所述上行報(bào)文向匯聚設(shè)備發(fā)送��;204��、當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí)���,接收所述匯聚設(shè)備發(fā)送的端口控制消息�����;205�����、根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)�����;206�、設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過�。本發(fā)明實(shí)施例基于802. Ix的接入認(rèn)證方法,接入設(shè)備對(duì)來自客戶設(shè)備的上行報(bào)文進(jìn)行識(shí)別�,將客戶設(shè)備的認(rèn)證報(bào)文發(fā)送至匯聚設(shè)備,當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí)���,接收匯聚設(shè)備發(fā)送的端口控制消息����,對(duì)端口的狀態(tài)進(jìn)行設(shè)置��, 控制業(yè)務(wù)報(bào)文通過�。與現(xiàn)有技術(shù)相比,將接入控制與認(rèn)證分離開�,接入設(shè)備完成對(duì)應(yīng)客戶設(shè)備的接入控制��,匯聚設(shè)備統(tǒng)一完成認(rèn)證����,從而可以降低接入設(shè)備的復(fù)雜度���,降低接入網(wǎng)維護(hù)成本��,支持大規(guī)模接入網(wǎng)絡(luò)�����,此外,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患�����。實(shí)施例二本實(shí)施例提供一種基于802. Ix的接入認(rèn)證方法���,如圖3所示��,在匯聚設(shè)備側(cè)�,所述方法包括301�����、匯聚設(shè)備接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文,所述認(rèn)證報(bào)文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備����;302、向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息����,與所述認(rèn)證服務(wù)器共同完成對(duì)所述客戶設(shè)備的認(rèn)證;303��、當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)�����,向所述接入設(shè)備發(fā)送端口控制消息�����,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)��。本發(fā)明實(shí)施例基于802. Ix的接入認(rèn)證方法���,匯聚設(shè)備接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文�����,向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息���,與所述認(rèn)證服務(wù)器共同完成對(duì)客戶設(shè)備的認(rèn)證��,當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)���,向所述接入設(shè)備發(fā)送端口控制消息,以便接入設(shè)備對(duì)端口的狀態(tài)進(jìn)行設(shè)置��,控制業(yè)務(wù)報(bào)文通過���。與現(xiàn)有技術(shù)相比����,將接入控制與認(rèn)證分離開���,接入設(shè)備完成對(duì)應(yīng)客戶設(shè)備的接入控制,匯聚設(shè)備統(tǒng)一完成認(rèn)證��,從而可以降低接入設(shè)備的復(fù)雜度,降低接入網(wǎng)維護(hù)成本���,支持大規(guī)模接入網(wǎng)絡(luò)�����,此外�����,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患���。實(shí)施例三本實(shí)施例提供一種基于802. Ix的接入認(rèn)證方法,在本實(shí)施例中�����,不對(duì)802. Ix協(xié)議進(jìn)行擴(kuò)展�,使用第三方協(xié)議來傳送端口控制消息;對(duì)于從CSG上的同一個(gè)物理端口或邏輯端口進(jìn)入的認(rèn)證報(bào)文和業(yè)務(wù)報(bào)文��,采用同一條業(yè)務(wù)通道傳送��。在本實(shí)施例中���,如圖如所示�����,CSG有兩個(gè)客戶側(cè)端口 portl和port2����,分別連接基站eNBl和eNB2,在CSG上設(shè)置有分別與端口 portl和port2連接的識(shí)別與控制單元1和識(shí)別與控制單元2��,負(fù)責(zé)在端口認(rèn)證通過前�����,執(zhí)行端口受控狀態(tài)的控制�,即允許認(rèn)證報(bào)文和某些控制報(bào)文通過,但阻止業(yè)務(wù)報(bào)文通過�����。針對(duì)每個(gè)業(yè)務(wù)通道��,在匯聚設(shè)備上設(shè)置有分離單元�����,負(fù)責(zé)將特定控制報(bào)文��,如802. Ix報(bào)文從業(yè)務(wù)報(bào)文流中分離出來����,送到對(duì)應(yīng)的主控單元處理。主控單元上對(duì)應(yīng)每個(gè)端口有一個(gè)會(huì)話�,完成802. Ix協(xié)議處理,并實(shí)現(xiàn)Radius協(xié)議客戶端與認(rèn)證服務(wù)器之間的認(rèn)證交互�����。在CSG中設(shè)置有第三方協(xié)議模塊C����,在匯聚設(shè)備中設(shè)置有第三方協(xié)議模塊S,這兩個(gè)模塊通過第三方協(xié)議交互�,完成CSG側(cè)端口管理控制。CSG與匯聚設(shè)備之間通過多條業(yè)務(wù)通道相連����,所述業(yè)務(wù)通道包括連接所述CSG的端口并到達(dá)或經(jīng)過所述匯聚設(shè)備的物理或邏輯通信通道;CSG與匯聚設(shè)備之間還有一條控制通道�����,所述控制通道可以是CSG與匯聚設(shè)備之間的物理或邏輯通信通道;所述物理通道和邏輯通信通道可以是多協(xié)議標(biāo)簽交換(Multi-Protocol Label Switching,MPLS)網(wǎng)絡(luò)的 LSP (Label Switching Path�����,標(biāo)簽交換路徑)����,或者是PW(Pseudo Wire,偽線)����,也可以是以太網(wǎng)絡(luò)的VLAN(Virtual LAN,虛擬局域網(wǎng))標(biāo)識(shí)的管道����。所述物理通道和邏輯通信通道對(duì)應(yīng)的端口可以采用“端口 +VLAN”進(jìn)行標(biāo)識(shí)。在本實(shí)施例中���,CSG與匯聚設(shè)備之間的業(yè)務(wù)通道和控制通道為PW��,PW12連接portl 到匯聚設(shè)備�����,PW22連接port2到匯聚設(shè)備����。CSG與匯聚設(shè)備之間的C-PW連接第三方協(xié)議模塊C與第三方協(xié)議模塊S���,用于傳送第三方協(xié)議報(bào)文����。如圖4b所示���,所述方法包括401�����、eNBl通過端口 portl向識(shí)別與控制單元1發(fā)送上行報(bào)文�����,識(shí)別與控制單元 1根據(jù)該上行報(bào)文的以太網(wǎng)類型值對(duì)該上行報(bào)文進(jìn)行識(shí)別���,若識(shí)別出該上行報(bào)文為業(yè)務(wù)報(bào)文,則禁止該上行報(bào)文通過�;若識(shí)別出該上行報(bào)文為認(rèn)證報(bào)文,例如EAPoL-Mart報(bào)文����,則執(zhí)行步驟402��。具體地��,當(dāng)所述上行報(bào)文的以太網(wǎng)類型值802. Ix協(xié)議標(biāo)識(shí)0x88-8e時(shí)�,識(shí)別與控制單元1識(shí)別出該上行報(bào)文為認(rèn)證報(bào)文�。后續(xù)步驟中,當(dāng)報(bào)文經(jīng)過CSG時(shí)�,識(shí)別與控制單元 1以類似方式識(shí)別出EAP Response/Identity等報(bào)文為認(rèn)證報(bào)文,不再贅述�����。402�、識(shí)別與控制單元1允許該認(rèn)證報(bào)文通過,并將該認(rèn)證報(bào)文送到一條對(duì)應(yīng)于端口 portl的業(yè)務(wù)通道PW12上�����;在匯聚設(shè)備上��,分離單元1將該認(rèn)證報(bào)文檢測(cè)出來�����,送到主控單元1。當(dāng)識(shí)別與控制單元1接收到其它認(rèn)證報(bào)文�����,例如EAP Response/Identity報(bào)文�、 EAP Response/MD5-ChalIenge報(bào)文等��,也執(zhí)行相同的動(dòng)作�����。其中���,PW是目前在IETF基于MPLS定義的一種多業(yè)務(wù)傳送通道技術(shù)��,形式采用MPLS label��,提供 PWE3 (Pseudo Wire Emulation Edge-to-Edge)業(yè)務(wù)����。當(dāng)然���,也可以采用其它的多業(yè)務(wù)傳送通道技術(shù)�,例如MPLS LSP, Ethernet Vlan, ATM (Asynchronous Transfer Mode, 異步傳輸模式)或PVC(Permanent virtualcircuit,永久虛電路)等�。當(dāng)PW建立時(shí),網(wǎng)管配置或者CSG自動(dòng)生成端口����、VLAN與PW之間的對(duì)應(yīng)關(guān)系表,將該對(duì)應(yīng)關(guān)系表作為配置與狀態(tài)信息存儲(chǔ)在CSG中���。端口與PW有一一對(duì)應(yīng)的關(guān)系�,某些情況下�,一個(gè)端口可以對(duì)應(yīng)多個(gè)VLAN,此時(shí)端口 +VLAN與PW有——對(duì)應(yīng)的關(guān)系�,端口 +VLAN和 PW的組合對(duì)應(yīng)從客戶側(cè)端口到網(wǎng)絡(luò)側(cè)端口傳送的一種業(yè)務(wù)報(bào)文。例如LTE業(yè)務(wù)承載情況��, CSG上一個(gè)連接eNBl的物理端口 portl可以分別有三對(duì)VLAN和PW�,分別傳送S1、0M����、X2業(yè)務(wù)報(bào)文。因此一個(gè)PW可以找到唯一對(duì)應(yīng)的端口��,第三方協(xié)議模塊C從配置與狀態(tài)信息中可以獲取對(duì)應(yīng)于PW12的端口為portl。
403a��、主控單元1向eNBl發(fā)送EAP Request/Identity報(bào)文����,要求eNBl提供認(rèn)證信息,例如用戶名��。403b�、eNBl根據(jù)主控單元1的請(qǐng)求回應(yīng)EAP Response/Identity,其中包括eNBl 的認(rèn)證信息。403c��、主控單元1以EAP Over RADIUS的報(bào)文格式向認(rèn)證服務(wù)器發(fā)送 RADIUSAccess-Request 報(bào)文�����。其中�����,所述RADIUS Access-Request報(bào)文中包括eNBl發(fā)送給主控單元1的 EAPResponse/Identity報(bào)文����,以便將eNBl的認(rèn)證信息提交認(rèn)證服務(wù)器�����。403d、認(rèn)證服務(wù)器產(chǎn)生一個(gè)128bit的隨機(jī)碼即挑戰(zhàn)碼(Challenge)�����,以EAPOver RADIUS的報(bào)文格式向主控單元1發(fā)送RADIUS Access-Challenge報(bào)文�����。其中�����,所述 RADIUS Access-Challenge 報(bào)文中包括 EAPRequest/MD5_ChalIenge�����。403e�、主控單元1對(duì)所述RADIUS Access-Challenge報(bào)文進(jìn)行解封裝,獲取EAP Request/MD5_Challenge JfEAP Request/MD5_Challenge 發(fā)送給 eNBl���,要求 eNBl 將自己的密碼(Password)用該 MD5_Challenge 做 MD5 算法�,生成 Challenged Password����。403f�、eNBl收到EAP Request/MD5_ChalIenge報(bào)文后����,將自己的密碼和接收到的隨機(jī)碼做MD5算法,產(chǎn)生對(duì)應(yīng)的Challenged Password,向主控單元1回應(yīng)EAPResponse/ Challenged Password ��;403g�����、主控單元 1 將包含 Challenged Password 的 EAPResponse/MD5_ChalIenge 以EAP Over RADIUS的報(bào)文格式向認(rèn)證服務(wù)器發(fā)送RADIUS Access-Request報(bào)文�;403h、認(rèn)證服務(wù)器根據(jù)eNBl對(duì)應(yīng)的保存在認(rèn)證服務(wù)器本地的密碼�����,以及前面提供的MD5-Challenge做MD5算法�����,判斷用戶是否合法���,如果確定認(rèn)證成功�����,則以EAP Over RADIUS的報(bào)文格式向主控單元1回應(yīng)RADIUS Access-Acc印t�����,認(rèn)證成功��。404�、主控單元1得知認(rèn)證成功�,向第三方協(xié)議模塊S發(fā)送信號(hào),所述信號(hào)中攜帶 PW12的標(biāo)識(shí)�����,說明對(duì)應(yīng)PWl2的遠(yuǎn)端端口認(rèn)證通過���。405�����、第三方協(xié)議模塊S通過C-PW向第三方協(xié)議模塊C發(fā)送端口控制消息�����,所述端口控制消息中攜帶PW12標(biāo)識(shí)��。其中����,第三方協(xié)議模塊S向第三方協(xié)議模塊C發(fā)送端口控制消息時(shí)采用第三方協(xié)議,該第三方協(xié)議可以基于ANCP (Access Node Control Protocol���,接入點(diǎn)控制協(xié)議)擴(kuò)展實(shí)現(xiàn)���。并采用RFC3292定義的Port Management消息格式,在ANCP中實(shí)現(xiàn)受控端口的打開 /關(guān)閉控制���。在原有定義的Port Management消息格式上��,增加Extention value��,如表1 所示���。表 1
10
權(quán)利要求
1.一種基于802. Ix的接入認(rèn)證方法�����,其特征在于,包括 通過第一端口接收客戶設(shè)備的上行報(bào)文����;判斷所述上行報(bào)文是否為認(rèn)證報(bào)文;當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí)����,將所述上行報(bào)文向匯聚設(shè)備發(fā)送; 當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí)��,接收所述匯聚設(shè)備發(fā)送的端口控制消息�����;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)����; 設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過���。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述將所述上行報(bào)文向匯聚設(shè)備發(fā)送包括通過與所述第一端口對(duì)應(yīng)的業(yè)務(wù)通道將所述上行報(bào)文向匯聚設(shè)備發(fā)送��。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息���,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識(shí)�;所述根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)包括根據(jù)所述端口控制消息中攜帶的所述業(yè)務(wù)通道的標(biāo)識(shí)����,查詢與所述業(yè)務(wù)通道對(duì)應(yīng)的第一端口的標(biāo)識(shí)。
4.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息����,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí),所述第一端口的標(biāo)識(shí)是由所述匯聚設(shè)備根據(jù)所述業(yè)務(wù)通道的標(biāo)識(shí)查詢得到的��。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述將所述上行報(bào)文向匯聚設(shè)備發(fā)送包括將所述第一端口的標(biāo)識(shí)與所述上行報(bào)文一起封裝��,通過控制通道向匯聚設(shè)備發(fā)送����; 所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過所述控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)�。
6.一種基于802. Ix的接入認(rèn)證方法,其特征在于���,包括接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文�����,所述認(rèn)證報(bào)文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備��;向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�,與所述認(rèn)證服務(wù)器共同完成對(duì)所述客戶設(shè)備的認(rèn)證���;當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)���,向所述接入設(shè)備發(fā)送端口控制消息����,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)�����。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,所述接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文包括 通過與所述第一端口對(duì)應(yīng)的業(yè)務(wù)通道接收并分離出所述認(rèn)證報(bào)文�����。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述向所述接入設(shè)備發(fā)送端口控制消息包括通過控制通道向所述接入設(shè)備發(fā)送端口控制消息���,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識(shí)���。
9.根據(jù)權(quán)利要求7所述的方法����,其特征在于����,所述向所述接入設(shè)備發(fā)送端口控制消息包括根據(jù)所述業(yè)務(wù)通道的標(biāo)識(shí)查詢對(duì)應(yīng)的第一端口的標(biāo)識(shí)��;通過控制通道向所述接入設(shè)備發(fā)送端口控制消息�����,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)��。
10.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文包括通過控制通道接收并分離出所述接入設(shè)備發(fā)送的認(rèn)證報(bào)文����,與所述認(rèn)證報(bào)文一起封裝有所述第一端口的標(biāo)識(shí);所述向所述接入設(shè)備發(fā)送端口控制消息包括通過所述控制通道向所述接入設(shè)備發(fā)送端口控制消息�����,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)。
11.一種接入設(shè)備�,其特征在于,包括第一接收模塊���,用于通過第一端口接收客戶設(shè)備的上行報(bào)文����; 判斷模塊�,用于判斷所述上行報(bào)文是否為認(rèn)證報(bào)文;第一發(fā)送模塊�����,用于當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí)�,將所述上行報(bào)文向匯聚設(shè)備發(fā)送;第二接收模塊�����,用于當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí)�����, 接收所述匯聚設(shè)備發(fā)送的端口控制消息;獲取模塊�����,用于根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)����; 設(shè)置模塊����,用于設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過�����。
12.根據(jù)權(quán)利要求11所述的接入設(shè)備�����,其特征在于����,所述第一發(fā)送模塊包括第一發(fā)送單元,用于通過與所述第一端口對(duì)應(yīng)的業(yè)務(wù)通道將所述上行報(bào)文向匯聚設(shè)備發(fā)送�。
13.根據(jù)權(quán)利要求12所述的接入設(shè)備����,其特征在于�����,所述第二接收模塊包括第一接收單元�����,用于接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息����,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識(shí); 所述獲取模塊包括第一查詢單元����,用于根據(jù)所述端口控制消息中攜帶的所述業(yè)務(wù)通道的標(biāo)識(shí),查詢與所述業(yè)務(wù)通道對(duì)應(yīng)的第一端口的標(biāo)識(shí)��。
14.根據(jù)權(quán)利要求12所述的接入設(shè)備�,其特征在于,所述第二接收模塊包括第二接收單元����,用于接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息����,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)���,所述第一端口的標(biāo)識(shí)是由所述匯聚設(shè)備根據(jù)所述業(yè)務(wù)通道的標(biāo)識(shí)查詢得到的�。
15.根據(jù)權(quán)利要求11所述的接入設(shè)備�����,其特征在于���,所述第一發(fā)送模塊包括第二發(fā)送單元,用于將所述第一端口的標(biāo)識(shí)與所述上行報(bào)文一起封裝���,通過控制通道向匯聚設(shè)備發(fā)送�;所述第二接收模塊包括第三接收單元�,用于接收所述匯聚設(shè)備通過所述控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)��。
16.一種匯聚設(shè)備��,其特征在于��,包括第三接收模塊,用于接收接入設(shè)備發(fā)送的認(rèn)證報(bào)文�����,所述認(rèn)證報(bào)文為由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備��;認(rèn)證模塊���,用于向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�����,與所述認(rèn)證服務(wù)器共同完成對(duì)所述客戶設(shè)備的認(rèn)證��;第二發(fā)送模塊�,用于當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時(shí)�����,向所述接入設(shè)備發(fā)送端口控制消息���,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)�����。
17.根據(jù)權(quán)利要求16所述的匯聚設(shè)備�,其特征在于,所述第三接收模塊包括 第一分離單元��,用于通過與所述第一端口對(duì)應(yīng)的業(yè)務(wù)通道接收并分離出所述認(rèn)證報(bào)文���。
18.根據(jù)權(quán)利要求17所述的匯聚設(shè)備��,其特征在于��,所述第二發(fā)送模塊包括第三發(fā)送單元�����,用于通過控制通道向所述接入設(shè)備發(fā)送端口控制消息�,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識(shí)�����。
19.根據(jù)權(quán)利要求17所述的匯聚設(shè)備�,其特征在于��,所述第二發(fā)送模塊包括 第二查詢單元���,用于根據(jù)所述業(yè)務(wù)通道的標(biāo)識(shí)查詢對(duì)應(yīng)的第一端口的標(biāo)識(shí)��;第四發(fā)送單元�����,用于通過控制通道向所述接入設(shè)備發(fā)送端口控制消息���,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)���。
20.根據(jù)權(quán)利要求16所述的匯聚設(shè)備,其特征在于����,所述第三接收模塊包括第二分離單元,用于通過控制通道接收并分離出所述接入設(shè)備發(fā)送的認(rèn)證報(bào)文���,與所述認(rèn)證報(bào)文一起封裝有所述第一端口的標(biāo)識(shí)����; 所述第二發(fā)送模塊包括第五發(fā)送單元����,用于通過所述控制通道向所述接入設(shè)備發(fā)送端口控制消息��,所述端口控制消息中攜帶所述第一端口的標(biāo)識(shí)�。
全文摘要
本發(fā)明實(shí)施例公開了一種基于802.1x的接入認(rèn)證方法����、接入設(shè)備及匯聚設(shè)備,在接入設(shè)備側(cè)���,所述方法包括通過第一端口接收客戶設(shè)備的上行報(bào)文���;判斷所述上行報(bào)文是否為認(rèn)證報(bào)文;當(dāng)所述上行報(bào)文為認(rèn)證報(bào)文時(shí)�,將所述上行報(bào)文向匯聚設(shè)備發(fā)送;當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時(shí)�����,接收所述匯聚設(shè)備發(fā)送的端口控制消息����;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識(shí)��;設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報(bào)文通過����。本發(fā)明適用于移動(dòng)承載網(wǎng)中基于802.1x的接入認(rèn)證。
文檔編號(hào)H04W12/08GK102244863SQ201010171340
公開日2011年11月16日 申請(qǐng)日期2010年5月13日 優(yōu)先權(quán)日2010年5月13日
發(fā)明者江元龍, 鐘其文, 黃勇 申請(qǐng)人:華為技術(shù)有限公司