分布式认证功能性的制作方法

文档序号:7968153阅读:192来源:国知局
专利名称:分布式认证功能性的制作方法
技术领域
这里所进行的公开主要涉及对数据网络中认证功能性的促进,尤其涉及对利用IEEE 802.1X标准的无源光网络中认证功能性的促进。
背景技术
电器和电子工程师协会(IEEE)的802.1X标准(即802.1X)是一个用于促进网络访问控制的标准。它提供了一种有效的架构用于对诸如如下这些数据网络中的用户业务量进行认证和控制,这些数据网络例如无源光网络(PON)、WiFi无线网络等。802.1X的基本功能性是,其在认证完成之前可以一直保持网络端口不可用(例如对于某种类型的业务量)。这种网络端口处于802.1X的控制之下,在此被称为受控端口。根据这些结果,受控端口或者对于所有业务量都可用,或者对于至少一部分业务量保持不可用。
802.1X使用可扩展认证协议(EAP)用于递送认证消息。“基于LAN的EAP”(EAPoL)特别地配置用于诸如以太网之类的分组网络。802.1X使用EAPoL启动和结束认证会话并在申请者和认证者之间递送EAP消息,并且将来自申请者的EAP消息经由认证者递送到认证服务器。远程认证用户拨入服务(RADIUS)协议是用于将来自认证者的EAP消息发送到认证服务器的典型协议。申请者是请求访问网络的实体(例如用户或客户端),认证者是向申请者提供网络端口的网络设备(例如接入点(AP)、网络访问服务器(NAS)等),认证服务器是提供认证的服务器。在一些网络(例如相对小的网络)中,认证服务器通常与认证者位于同一网元中。
按照常规的方式,最初的802.1X认证功能性开始于申请者试图与认证者连接。认证者通过激活如下端口(即受控端口)来进行响应,该端口仅用于将来自客户端的EAP分组递送到认证服务器。认证者阻止所有其他业务量,例如HTTP、DHCP、以及POP3分组,直到认证者可以验证申请者的身份。认证者与认证服务器进行交互,用于促进对申请者身份的认证。一旦申请者的身份认证成功,认证者就会开放受控端口用于其他类型的业务量。
常规的用于经由802.1X实施认证的方案受到了限制是因为,对于低功率、低成本的设备而言,完整的功能性过于昂贵和过于复杂。例如,PON的光网络终端(ONT)被有意地设计成一种相对而言低成本、低功率的设备,其具有相对而言高的数据平面分组处理功能性,并具有相对而言受限的控制平面功能性。因此,在ONT上经由802.1X运行完整的认证者端口访问实体(PAE)功能性将需要ONT上的主机IP栈具有RADIUS客户端功能性,由此在ONT处,必须要有严格的安全保证和对处理能力的要求,从而增加了ONT的成本和复杂度。
因此,一种在相对而言低功率、低成本的设备中用于使得可以以成本有效的方式实现经由802.1X的认证的方案将是有用和有利的。

发明内容
本发明的实施方式提供了在低功率、低成本的设备中——诸如无源光网络(PON)的光网络终端(ONT)中——以成本有效的方式实现802.1X认证者功能,将详细的802.1X处理留给PON的相对更昂贵和更智能化的光线路终端(OLT)。本发明基于将802.1X认证者功能性分解为多个功能块,这些功能块可以在例如具有隧道协议的不同的网元上实现,以便经通信链路在功能块之间透明地发送信息。由于ONT紧密地耦合到服务于PON的OLT,因此,认证者端口访问实体(PAE)功能性可以有效地且经济地分布在ONT和OLT之间。在该分布式配置之中,ONT负责实现受控端口状态机(即接受或拒绝来自端口的分组),OLT负责认证者PAE功能的剩余部分,包括本地或远程实体身份认证(例如,申请者身份认证)。以相对简单的方式提供了ONT上的受控端口功能的实现,同时在ONT处加强了802.1X的安全性。由此,本发明的实施方式有利地克服了与经由相对而言低功率、低成本的设备(如ONT)实现802.1X认证者功能性相关联的限制。
在本发明的一个实施方式中,一种方法包括禁止来自PON的ONT的非认证消息的传输,直到试图发送所述非认证消息的实体的身份被认证,来自ONT的认证请求由PON的OLT所接收,以及响应于由ONT接收到针对该实体的实体认证确认,激活来自所述ONT的非认证消息的传输。禁止来自ONT的非认证消息的传输以及激活来自ONT的非认证消息的传输都由ONT来执行。
在本发明的另一实施方式中,PON包括ONT和OLT。ONT包括至少一个数据处理设备、连接到该至少一个数据处理设备的存储器以及可从存储器访问并可由OLT的至少一个数据处理设备处理的ONT指令。ONT指令被配置为用于激活ONT的至少一个数据处理设备以促进禁止来自ONT的非认证消息的传输,直到试图发送所述非认证消息的实体的身份被认证,以及响应于接收到针对该实体的实体认证确认,激活来自ONT的非认证消息的传输。
在本发明的另一实施方式中,PON包括被配置为用于提供认证者PAE功能性的受控端口操作的ONT以及被配置为用于提供认证者PAE功能性的实体认证操作的OLT。该ONT和OLT互连,用于实现两者之间的交互。
现在转入本发明的特殊方面,在至少一个实施方式中,PON还包括OLT,其包括至少一个数据处理设备、连接到OLT的至少一个数据处理设备的存储器以及可从存储器访问并可由OLT的至少一个数据处理设备处理的OLT指令。OLT指令被配置为用于激活OLT的至少一个数据处理设备以促进对实体的身份进行认证并响应于身份被认证来传输实体认证确认。
在本发明的至少一个实施方式中,禁止来自ONT的非认证消息的传输以及激活来自ONT的非认证消息的传输都由ONT来执行。
在本发明的至少一个实施方式中,根据本发明的方法和指令的每一个都被配置为用于对实体的身份进行认证,并响应于身份被认证来传输用于由ONT接收的实体认证确认。
在本发明的至少一个实施方式中,认证实体的身份以及传输实体认证确认由OLT和认证服务器中的至少一个来执行。
在本发明的至少一个实施方式中,传输实体认证请求和传输实体认证确认每个都包括以下操作中的至少一个在ONT和OLT之间的专用隧道上传输可扩展认证协议(EAP)消息,以及在包括EAP消息和非EAP消息的数据路径中传输EAP消息,并从数据路径中提取EAP消息。
在本发明的至少一个实施方式中,根据本发明的方法和指令的每一个都被配置为用于将实体认证请求定向到认证者PAE功能性,以使对实体身份的认证得以执行。
通过进一步阅读后面的说明书、相关附图和所附权利要求书,本发明的这些和其他目的、实施方式、优点和/或区别将变得很明显。


图1A-1C相结合示出根据本发明的用于促进认证PAE功能性的方法的实施方式。
图2示出根据本发明进行配置的无源光网络的实施方式。
具体实施例方式
图1A-1C描述了一种根据本发明的方法,在此处称为方法100。方法100被配置为用于在一个分布式配置中执行IEEE 802.1X认证者PAE功能性。在这个分布式配置中,PON的ONT负责受控端口状态机的实现(即,接受或拒绝来自端口的分组),PON的OLT(其连接到ONT)负责认证者PAE功能的剩余部分,包括本地或远程实体身份认证(例如,申请者身份认证)。因此,方法100有利地使得可以经由ONT来实现802.1X认证者功能性的受控端口操作,该ONT是一个相对低功率、低成本的设备。
ONT通过PON光纤基础设施连接到OLT。ONT在用户端提供以太网端口连接。通过这种方式,ONT例如向诸如个人计算系统之类的客户端设备(CPE)提供网络连接。在这里公开了根据本发明的ONT可以是单一家庭单元ONT或多住宅单元ONT。在这里也公开了本发明不局限于通过特定类型或品牌的ONT来实现。根据此处进行的公开,技术人员将理解本发明可以应用于任何数量的不同类型和/或品牌的ONT。
现在参照图1A,方法100由执行操作102的ONT来开始,该操作102禁止非EAP消息在ONT的受控端口上传输。为此目的,ONT在ONT的受控端口上丢弃所有非EAP消息,直到受控端口被成功认证。这里公开了根据本发明的消息可以包括一个或多个分组或者其他类型的数据传输单元。
CPE在申请者的控制下执行操作104,用于发送EAP-开始消息以由所连接的ONT接收。用于发送EAP-开始消息的操作104包括促进EAP-开始消息的准备。EAP-开始消息包括传送CPE对经由ONT的受控端口传输和/或接收非EAP消息的期望的信息。
响应于ONT执行的用于接收EAP-开始消息的操作106,ONT执行操作108,用于发送EAP-请求身份消息以由CPE接收。用于发送EAP-请求身份消息的操作108包括促进EAP-请求身份消息的准备。EAP-请求身份消息包括传送对申请者认证信息(例如,用户名和密码)的请求的信息。
响应于CPE执行的用于接收EAP-请求身份消息的操作110,CPE执行操作112,用于发送EAP-响应消息(例如,申请者认证请求)以由ONT接收。用于发送EAP-响应消息的操作112包括促进EAP-响应消息的准备。EAP-响应消息包括所请求的申请者认证信息。
响应于ONT执行的用于接收EAP-响应消息的操作114,ONT执行操作116,用于转发EAP-响应消息以由服务于ONT的OLT接收。术语“传输”在此定义为包括发送和转发。然而,转发通常需要发送并非是由发送它的设备准备的消息。OLT执行操作118,用于接收EAP-响应消息,并在之后执行操作120,用于转发EAP-响应消息以由认证服务器接收。
认证服务器执行操作122,用于接收EAP-响应消息。利用EAP-响应消息中包含的信息(例如申请者的证书)和认证服务器上维护的信息(例如已知的真实的申请者证书),认证服务器执行操作124,用于确定申请者的身份真实性。在确定申请者的身份真实性时,认证服务器代表OLT(即认证者)验证申请者的证书。如果确定申请者的身份是真实的,则认证服务器执行操作126,用于发送接受消息(即实体认证确认)以由CPE经由OLT和ONT接收。如果确定申请者的身份是不真实的或者不可认证的,则认证服务器执行操作128,用于发送拒绝消息以由CPE经由ONT和OLT接收。
认证服务器的一个示例是配置有远程认证用户拨入服务(RADIUS)功能性的后端服务器。此处公开了以上述方式进行的身份认证可以利用RADIUS服务器来实现。这里还公开了在OLT和诸如RADIUS服务器之类的后端认证服务器之间的通信可以利用“基于RADIUS协议的EAP”封装来执行。
现在参照图1B,在确定申请者的身份是真实的并且认证服务器发送接受消息以由CPE经由OLT和ONT接收的情况下,OLT执行操作130,用于接收EAP-接受消息,并在之后执行操作132,用于转发EAP-接受消息以由ONT接收。响应于执行的用于接收EAP-接受消息的操作134,ONT执行操作136,用于转发EAP-接受消息以由CPE接收,并执行操作138,用于激活在ONT的受控端口处非EAP消息的传输。CPE执行操作140,用于接收EAP-接受消息,由此使得实体认证确认可以经由CPE呈现给申请者。
如图1C所示,在ONT激活在ONT的受控端口处非EAP消息的传输之后的某个点,CPE执行操作142,用于发送退出(Log-off)消息以由ONT接收。例如,可以应申请者的请求发送退出消息,或者可以在受控端口不活动达一个预定的时段之后(即,在没有非EAP业务量达预定时段之后)发送。响应于执行接收退出消息的操作144,ONT执行操作146,用于禁止非EAP消息的传输,在该点,方法100结束于ONT等待对同一个或另一个申请者的身份的认证,使得非EAP消息可以经由受控端口进行传送。
这里公开了,可选地,由OLT(即认证者)或者由认证服务器执行用于发送退出消息的操作142。例如,响应于由认证者接收的来自系统管理员的请求,响应于在受控端口上识别出预定的违反安全的条件等,认证者或者认证服务器可以在受控端口不活动达一个预定的时段之后(即,在没有非EAP业务量达预定时段之后)发送退出消息。
回来参考图1B,在确定申请者的身份是不真实的或者不可认证的并且认证服务器发送拒绝消息以由CPE经由ONT和OLT接收的情况下,OLT执行操作148,用于接收EAP-拒绝消息,并在之后执行操作150,用于转发EAP-拒绝消息以由ONT接收。响应于执行用于接收EAP-拒绝消息的操作152,ONT执行操作154,用于转发EAP-拒绝消息以由CPE接收。CPE执行操作156,用于接收EAP-拒绝消息,由此使得能够经由CPE向申请者呈现非认证确认,在该点,方法100结束。
此处公开了,根据本发明的认证服务器可以是提供本地认证功能性的OLT(即认证者)的功能部件,或者可以是提供远程认证功能性的与OLT分离的网元(例如RADIUS服务器)。在任一种情况下,认证服务器都会保持对一个或多个申请者的证书进行认证所需的信息(即已知的真实的申请者证书)。将已知的真实的申请者证书与申请者认证信息进行比较,用于确定申请者认证信息的真实性。
这里公开了,可选地,OLT(即认证者)执行用于发送EAP-开始消息的操作104、用于接收EAP-请求身份消息的操作110以及用于发送EAP-响应消息的操作112。认证者可以执行用于使得某些业务量可以由ONT接收的这种操作,而无需ONT首先激活这种非EAP业务量。其中认证者必需使得受控端口上允许非EAP业务流量的情况的示例包括但不限于传递来自系统管理员的业务量以及传递来自其它被授权实体的业务量。在认证者执行这种操作的情况下,是认证者(例如通过认证者实施行为的被授权实体)的身份而不是申请者的身份被认证和确认。
图2示出了根据本发明的PON的实施方式,其在此称为PON200。PON 200被配置为用于执行上述参照图1A-1C的方法100所公开的认证功能性。PON 200包括ONT 204和OLT 208。该ONT具有与之连接的申请者CPE 206(例如,个人计算系统),OLT 208具有与之连接的认证服务器210(即,与OLT 208分离的应用服务器)。ONT 204通过通信链路211连接到OLT 208。因此,可以在ONT 204、CPE 206、OLT 208和认证服务器210之间传送消息。
ONT 204包括数据处理设备212、连接到ONT 204的数据处理设备212的存储器214以及可从存储器214访问并可由ONT 204的数据处理设备212处理的ONT指令216。ONT指令216被配置为,除其他功能性以外,激活数据处理设备212以促进认证者端口访问实体(PAE)功能性的受控端口操作。在优选实施方式中,这样的受控端口操作包括但不限于禁止来自ONT 204的非认证消息的传输,传输来自ONT 204的申请者认证请求以由OLT 208接收,以及响应于接收到来自OLT 208的实体认证确认而激活来自ONT 204的非认证消息的传输。
OLT 208包括数据处理设备218、连接到OLT 208的数据处理设备218的存储器220以及可从存储器220访问并可由OLT 208的数据处理设备218处理的OLT指令222。OLT指令222被配置为,除其他功能以外,激活数据处理设备218以促进认证者PAE功能性的实体认证操作。在优选实施方式中,这样的实体认证操作包括但不限于认证申请者的身份,以及响应于身份被认证而传输实体认证确认以由CPE 206经由OLT 208和ONT 204接收。
这里公开了,EAP消息可以在ONT 204和OLT 208之间通过至少两种不同的方案来在通信链路211上传送。在第一方案中,通信链路211是预建立的(例如专用的)隧道,并且将EAP消息经该预建立的隧道在ONT 204和OLT 208之间传送。例如,在利用基于LAN的EAP(EAPoL)封装的以太网上,在预建立的隧道上将EAP消息从ONT 204转发到OLT 208。在BPON技术的情况下,该隧道可以针对EAP业务量分离每个ONT的专用虚连接(PVC)。在该预建立的隧道上从ONT 204传输到OLT 208的EAP消息被重新定向到OLT208上的PAE功能。类似地,去往申请者CPE 206的EAP消息由OLT 208插入到ONT 204和OLT 208之间的隧道上。在第二方案中,将EAP消息作为非EAP消息在相同的数据隧道上进行转发。在ONT204和OLT 208上都实现过滤机制,用于使得从包括非EAP消息的数据路径中提取出EAP消息。从数据隧道中提取出的从ONT 204去往OLT 208的EAP消息被重新定向到在OLT 208上的PAE功能。类似地,去往申请者CPE 206用户的EAP消息由OLT 208插入到ONT 204和OLT 208之间的数据隧道的数据路径中。
在前述详细说明中,参照了构成说明的一部分的附图,其中通过图解示出可实施本发明的特定实施方式。已对这些实施方式及其某些变形进行了足够详细的描述,使得本领域的技术人员可以实施本发明的实施方式。应当理解,可以利用其他适当的实施方式,并且在不脱离这些创新的公开内容的构思或范围的情况下可以作出逻辑上的、机械上的、化学上的以及电学上的变化。为了避免不必要的细节,本说明书省略了本领域技术人员公知的某些信息。因此,前述详细说明并非意欲限制为这里提及的特定形式,正好相反,而是旨在涵盖合理包括在由所附权利要求书的构思和范围内的这些可选方式、变更方式和等效方式。
权利要求
1.一种方法,包括禁止来自无源光网络(PON)的光网络终端(ONT)的非认证消息的传输,直到试图发送所述非认证消息的实体的身份被认证,其中所述禁止由所述ONT执行;以及响应于在所述ONT处接收到实体认证确认,激活来自所述ONT的非认证消息的传输,其中所述激活由所述ONT执行。
2.根据权利要求1的方法,还包括对所述实体的身份进行认证;以及响应于所述身份被认证,传输所述实体认证确认以由所述ONT接收。
3.根据权利要求2的方法,其中所述禁止和所述激活由所述ONT执行;以及所述对所述实体的身份进行认证以及所述传输所述实体认证确认由所述OLT和认证服务器中的至少一个执行。
4.根据权利要求2的方法,其中传输所述实体认证请求和传输所述实体认证确认每个都包括以下操作中的至少一个在所述ONT和所述OLT之间的专用隧道上传输可扩展认证协议(EAP)消息;以及在包括EAP消息和非EAP消息的数据路径中传输EAP消息,并从所述数据路径中提取所述EAP消息。
5.根据权利要求2的方法,还包括将所述申请者认证请求定向到认证者端口访问实体(PAE)功能性,用于使得能够执行对所述实体的身份的所述认证。
6.根据权利要求5的方法,其中所述禁止和所述激活由所述ONT执行;所述对所述实体的身份进行认证以及所述传输所述实体认证确认由所述OLT和认证服务器中的至少一个执行;以及传输所述实体认证请求和传输所述实体认证确认每个都包括以下操作中的至少一个在所述ONT和所述OLT之间的专用隧道上传输可扩展认证协议(EAP)消息;以及在包括EAP消息和非EAP消息的数据路径中传输EAP消息,并从所述数据路径中提取所述EAP消息。
7.一种无源光网络(PON),包括光网络终端(ONT),所述ONT包括至少一个数据处理设备;连接到所述ONT的所述至少一个数据处理设备的存储器;以及可从所述存储器访问并可由所述ONT的所述至少一个数据处理设备处理的ONT指令,其中所述ONT指令被配置为用于激活所述ONT的所述至少一个数据处理设备以促进禁止来自所述ONT的非认证消息的传输,直到试图发送所述非认证消息的实体的身份被认证;以及响应于接收到实体认证确认,激活来自所述ONT的非认证消息的传输。
8.根据权利要求7的PON,还包括OLT,所述OLT包括至少一个数据处理设备;连接到所述OLT的所述至少一个数据处理设备的存储器;以及可从所述存储器访问并可由所述OLT的所述至少一个数据处理设备处理的OLT指令,其中所述OLT指令被配置为用于激活所述OLT的所述至少一个数据处理设备以促进对所述实体的身份进行认证;以及响应于所述身份被认证,传输所述实体认证确认以由所述ONT接收。
9.根据权利要求8的PON,其中传输申请者认证请求和传输所述实体认证确认每个都包括以下操作中的至少一个在所述ONT和所述OLT之间的专用隧道上传输可扩展认证协议(EAP)消息;以及在包括EAP消息和非EAP消息的数据路径中传输EAP消息,并从所述数据路径中提取所述EAP消息。
10.根据权利要求8的PON,其中所述OLT指令还被配置为用于激活所述OLT的所述至少一个数据处理设备以促进将实体认证请求定向到认证者端口访问实体(PAE)功能性,用于使得能够执行对所述实体的身份的所述认证。
全文摘要
一种无源光网络(PON)包括光网络终端(ONT)和光线路终端(OLT)。ONT被配置为用于提供认证者端口访问实体(PAE)功能性的受控端口操作,以及OLT被配置为用于提供认证者PAE功能性的实体认证操作。认证者PAE功能性的受控端口操作包括禁止来自ONT的非认证消息的传输,向OLT传输申请者认证请求,以及响应于接收到申请者认证确认而激活来自ONT的非认证消息的传输。认证者PAE功能性的实体认证操作包括促进对申请者身份进行认证以及响应于身份被认证来促进传输申请者认证确认以由ONT接收。
文档编号H04L9/32GK1925399SQ20061012647
公开日2007年3月7日 申请日期2006年8月31日 优先权日2005年9月1日
发明者萨德希尔·德哈拉尼科塔, 卢克·阿布西尔利斯, 戈帕尔·瑟雅 申请人:阿尔卡特公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1