专利名称:IPv6中PANA客户端发现PANA认证代理的方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种IPv6 (Internet Protocol, 互联网络协议版本6)中PANA (Protocol for carrying Authentication for Network Access,网络接入认证信息承载协议)客户端发现PANA认证代理 的方法。
背景技术:
IPv6定义了邻居发现协议(Neighbor Discovery protocol, NDP ),实现 了同一链路上的相邻节点的交互管理。邻居发现协议中定义了五种类型的消 息,分别是路由器宣告、路由器请求、路由重定向、邻居请求和邻居宣告。 通过这些消息,实现了以下功能路由器发现即帮助主机来识别本地路由器;前缀发现节点使用此机制来确定指明链3各本地地址的地址前缀以及必 须发送给路由器转发的地址前缀;参数发现帮助节点确定诸如本地链路MTU ( Maximum Transmission Unit,最大传输单元)之类的信息;地址自动配置用于IPv6节点自动配置;地址解析帮助节点从目的IP地址中确定本地节点(即邻居)的链路 层地址;下一跳确定可用于确定包的下一个目的地,即可确定包的目的地是否 在本地链路上。如果在本地链路,下一跳就是目的地;否则,包需要选路, 下一跳就是路由器,邻居发现可用于确定应使用的路由器;邻居不可达检测帮助节点确定邻居(目的节点或路由器)是否可达;重复地址检测帮助节点确定它想使用的地址在本地链路上是否已被占用;RFC3971 (R叫uest for Comments,请求注释)^见定了安全的邻居发现协 议,保证了邻居发现的安全性。PANA协议在IP上承载EAP ( Extensible Authentication Protocol,可扩展的认证协议)认证协议,使它可在任何链:路上应用任意认-i正方法。也就是说,PANA是一个网络层的接入认证协议,PANA可应用在支持IP的任何 链路层上。PANA运行在想要接入网络的客户端和位于网络侧的服务器之 间。PANA被用来在任何接入网络中使用,不管下层的安全性。例如,可应 用的网络可以是物理上安全的,或者是经过成功的客户-网络认证后使用加 密方法来使它安全。PANA协议的功能模型如图l所示。其中,PANA协议的功能模型由PANA客户端、PANA认证代理、认证 服务器和执行点构成。PANA客户端(PANAClient, PaC )位于请求网络接入的网络节点上, 负责请求网络接入并参加使用PANA协议的认证过程。PANA认证代理(PANA Authentication Agent, PAA)是PANA服务器, 它典型的位于接入网络中的NAS (Network Access Server,网络接入服务器) 上,负责与PANA客户端交互来对它们进行认证和授权,它也负责更新执 行点(Enforcement Point, EP )上的接入控制状态。认证服务器负责验证PANA客户端并终止EAP。执行点负责接入控制,允许授权的客户端访问网络,并阻止其它客户端 访问网络;执行点从PANA认证代理得到授权客户端的属性;执行点被建 议但不要求位于PANA客户端和PANA认证代理之间的路径上;执行点和 PANA客户端之间的交互密钥的接口可以是IKE (Internet Key Exchange,因 特网密钥交换)等。PANA客户端和PANA认证代理之间运行PANA协议。PANA客户端 与执行点之间的接口为IKE或者4次握手。PANA认证代理和执行点之间的 接口可以是COPS (Common Open Policy Service,公共开》文策略月l务)、 SNMP (Simple Network Management Protocol,筒单网络管理协议)、API(Application Programming Interface,应用编程接口 )等。PANA认证代理和 认证服务器(Authentication Serve" AS ))之间的接口可以是RADIUS( Remote Authentication Dial In User Service,远程用户拔号认证系统)、Diameter (直 径,是RADIUS协议的升级版本)、LDAP (Light Directory Access Protocol, 轻量级目录访问协议)、API等。PANA的认证客户端进行网络接入的信令流程如图2所示,接入网上的 执行点允许授权的客户端的流量通过,但是对于未授权的客户端,它只允许 有限类型的流量通过(如PANA、 DHCP (Dynamic Host Configuration Protocol,动态主机分配协议)、router discovery等),这样来确保新连接的 客户端具有最小的业务权限来参加PANA认证,具体步骤如下步骤210,在运行PANA协议之前,PANA客户端必须动态或静态的配 置一个IP地址;步骤220,未授权的PANA客户端通过发现PANA认证代理来发起 PANA认证,然后PANA认证代理与认证服务器交互,进行AAA (Authentication、 Authorization、 Accounting, 认证、授权、记费)交互;步骤230,在从认证服务器接收到认证和授权结果后,PANA认证代理 通知PANA客户端它的网络接入请求的结果,如果PANA客户端被授权可 访问网络,PANA认证代理也通过另 一个协议发送PANA客户端特定的属性 给执行点,执行点使用这个信息来改变对PANA客户端流量的过滤规则;步骤240,在PANA认证之后,PANA客户端可能需要重新配置它的IP 地址或者附加的IP地址;步骤250,如果需要加密访问控制,则需要在PANA客户端和执行点之 间运行安全联盟协议;安全联盟协议的交互产生PANA客户端和执行点之间的安全联盟,来 使能加密数据流量保护。步骤260,最后,在执行点上的过滤规则允许PANA客户端和 intranet/Internet之间的ft才居流通过。从上面可以看出,在运行PANA协议之前,PANA客户端必须配置一个IP地址,并且一个未授权的PANA客户端通过发现PANA认证代理来发起 PANA认证。目前PANA客户端发现PANA认证代理的方法有通过扩充 DHCP协议并加入PANA认证代理选项来实现PANA客户端发现PANA认 证代理的功能。这种方法只是适用于使用DHCP分配IP地址的网络接入, 对于使用其它方式配置PANA客户端的IP地址的情况则不适用,比如PANA 客户端的IP地址是静态配置的情况就不适用。另外DHCP协议本身没有认 证机制,使用DHCP来发布PANA认证代理的地址时,存在安全问题。发明内容本发明要解决的技术问题是提供一种IPv6中PANA客户端发现PANA 认证代理的方法,不论PANA客户端的IP地址如何配置,都可以保证PANA 客户端能够发现PANA认证代理。为了解决上述技术问题,本发明提供了 一种IPv6中PANA客户端发现 PANA认证代理的方法,包括以下步-紫(a) PANA认证代理向所述PANA客户端发送路由器宣告消息,所述 路由器宣告消息中包含PANA认证代理选项;(b) 所述PANA客户端接收到所述路由器宣告消息后,记录所述路由 器宣告消息中的PANA认证代理选项。进一步地,上述方法还可具有以下特点,在所述步骤(a)前,所述PANA 客户端向所述PANA认证代理发送路由器请求消息,所述路由器请求消息 中可以包含PANA认证代理选项也可以不包含PANA认证代理选项,在所 述步骤(b )中,所述PANA认证代理收到所述路由器请求消息后,向所述 PANA客户端发送路由器宣告消息。进一步地,上述方法还可具有以下特点,所述PANA认i正代理选项中 包含PANA认证代理的IP地址列表。进一步地,上述方法还可具有以下特点,所述PANA认证代理选项包 括类型域、长度域、地址域,其中所述类型域用于指示该选项为PANA认证代理选项,所述长度域用于指示该PANA认证代理选项的长度,所述地 址域用于携带所述PANA认证代理的IP地址列表。进一步地,上述方法还可具有以下特点,所述IP地址列表中PANA认 证代理的IP地址按优先级顺序排列。进一步地,上述方法还可具有以下特点,所述路由器请求消息中PANA 认证代理选项中的IP地址列表为空。进一步地,上述方法还可具有以下特点,在所述步骤(a)中,所述PANA 认证代理周期性的向所述PANA客户端发送路由器宣告消息。进一步地,上述方法还可具有以下特点,所述PANA客户端为家庭网 关或者为用户终端,所述PANA认证代理为网络接入服务器NAS或者为业 务路由器,或者为宽带网络网关。因此,采用本发明所述方法,不i仑IPv6中PANA客户端的IP地址如何 配置,都可以保证PANA客户端能够发现PANA认证代理,解决了目前发 现PANA认证代理方法只适用于PANA客户端采用DHCP分配IP地址的情 况和不安全的问题,用于提高基于PANA协议的网络接入的可用性。
图1是PANA协议的功能模型图;图2是PANA的信令流程图;图3是本发明实施例的网络结构图;图4是本发明用于IPv6中PANA客户端发现PANA认证代理的方法的 流程图;图5是本发明实施例的发现PANA认证代理的流程图;图6是本发明另 一实施例的发现PANA认证代理的流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,本领域的技术人员应当 理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。如图3所示,以该网络结构为例对本发明进行说明,本网络结构由主机10、家庭网关20、 DSLAM 30 ( Digital Subscriber Line Access Multiplexer, 数字用户线接入复用器)、网络接入服务器NAS 40、 Internet/Intranet 50和 AAA服务器60构成。其中,家庭网关20具有PANA客户端功能,NAS 40 具有PANA认证代理和执行点功能,DSLAM 30是家庭网关20和NAS 40 之间的接入节点,AAA服务器60具有认证服务器功能。本实施例的PANA的信令流程如下步骤301,家庭网关20动态或静态的配置IP地址;步骤302, 家庭网关20通过发现PANA认证代理即NAS 40来发起 PANA认证,然后NAS40与AAA服务器60交互,进行AAA认证;步骤303,在从AAA服务器60接收到认证和授权结果后,如果家庭网 关20被授权可访问网络,作为执行点的NAS 40使用家庭网关20的属性来 改变对家庭网关20流量的过滤规则;步骤304,家庭网关20根据需要重新配置它的IP地址或者附加的IP地址;步骤305,在需要加密访问控制的情况下,在家庭网关20和执行点NAS 40之间运行安全联盟协议;步骤306,家庭网关20与intranet/Internet之间的数据流通过。PANA客户端发现PANA认证代理采用以下方法,通过扩充IPv6邻居 发现协议来承载PANA认证代理的IP地址;再利用扩充后的邻居发现协议 来实现PANA客户端发现PANA认证代理的功能,如图4所示。其中,扩充IPv6邻居发现协议来承载PANA认证代理的IP地址是通过 在IPv6邻居发现协议的路由器宣告和路由器请求消息中增加PANA认证代 理选项。认证代理选项中包括PANA认证代理的IP地址列表,认证代理选项的格式遵循邻居发现协议规定的选项格式,如下表所示表10 12 301234567890123456789012345678901 +-+-+-+-+_+—+_+_+_+_+-+_+-+-+-+-+-+-+-+-+-+-+_+_+-+—+-+-+-+-+_+_+ I Type ILength | Reserved I+—+—+—+—+_+—+—+—+-+-+-+—+—+—+—+—+—+—+—+_+—+—+—+—+—+_+_+—+—+—+—+—+ I I + + I I1 PANA IPv6 Address ^+ + I I +—+—+_+_+—+—+—+—+—+—+—+_+_+—+—+—+—+—+—+—+—+—+_+—+_+—+—+—+—+—+—+—+ I ... I+_+-+一+一+一+一+一+_+一+一+一+一+一+一+一+一+一+一+一+_+一+一+一+一+一+一+一+一+一+—+-+—+其中,Type (类型)域是选项类型的标识,占8比特,在本实施例中取 值为100表示PANA认证代理选项;Length (长度)域用于指示PANA认 证代理选项(包括type域、length域、Reserved域和Address域)的长度, 是8比特无符号整数;Reserved (保留)域占2个字节,在发送时初始化为 零,在接收时可忽略它的内容。PANA认证代理IPv6 Address (地址)域是 客户端使用的PANA认证代理的IP地址,它的内容是PANA认证代理的IP 地址列表,可以根据优先级顺序排列。利用扩充后的邻居发现协议来实现PANA客户端发现PANA认证代理 的功能,即PANA认证代理的发现流程如图5所示。PANA客户端为家庭网 关或者为用户终端,PANA认证代理为网络接入服务器或者为业务路由器, 或者为宽带网络网关。本实施例中,与PANA客户端对应的设备是家庭网 关20 ,与PANA认证代理对应的设备是NAS 40 ,包括以下步骤步骤501,家庭网关20通过邻居发现协议向DSLAM发送路由器请求 消息,DSLAM向NAS 40转发路由器请求消息,消息中可以包含PANA认 i正代理选项,也可以不包含PANA iU正代理选项;在路由器请求消息中的PANA认证代理选项IP地址域为空。家庭网关20通过组播地址的方式向NAS40发送路由器请求消息。步骤502, NAS 40收到路由器请求消息后,通过DSLAM向家庭网关 20返回路由器宣告消息,消息中包含PANA认证代理选项,选项中包含 PANA认证代理的IP地址列表;PANA认证代理可能会有多个,而且可能是主备冗余备份关系,还可能 按照优先级顺序进行备份。在本实施例中,PANA认证代理是NAS,在其 它情况下,PANA认证代理也有可能不是NAS,可能是NAS后面连接的多 个PANAiU正^C理。IP地址列表可以根据优先级顺序排列。步骤503,家庭网关20接收到NAS 40发送的包含PANA认证代理选项 的路由器宣告消息,家庭网关20记录消息中包含的PANA认证代理的IP 地址列表和顺序。家庭网关可按照自己本地的策略选择使用哪个PANA认证代理,通常 情况下,会选择优先级最高的PANA认证代理。在另一实施例中,NAS 40可以主动的(可以是周期性的)向家庭网关 20发送路由器宣告消息,消息中包含PANA认证代理选项,如图6所示。如上所述,PANA客户端采用邻居发现协议发现PANA认证代理,避免 了由于采用DHCP协议进行发现PANA认证代理而对PANA客户端IP地址 配置的限制,采用本发明方法后,PANA客户端的IP地址配置与PANA客 户端发现PANA认证代理的过程相互独立,不论IPv6中PANA客户端的IP 地址如何配置,都可以保证PANA客户端能够发现PANA认证代理,解决 了目前发现PANA认证代理方法只适用于PANA客户端采用DHCP分配IP 地址的情况。另外,由于不再通过DHCP协议进行发现PANA认证代理, 同时解决了不安全的问题。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本 领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护 范围之内。
权利要求
1. 一种互联网络协议版本6中网络接入认证信息承载协议PANA客户端发现PANA认证代理的方法,其特征在于,包括以下步骤(a)PANA认证代理向所述PANA客户端发送路由器宣告消息,所述路由器宣告消息中包含PANA认证代理选项;(b)所述PANA客户端接收到所述路由器宣告消息后,记录所述路由器宣告消息中的PANA认证代理选项。
2、 如权利要求l所述的方法,其特征在于,在所述步骤(a)前,所述 PANA客户端向所述PANA认证代理发送路由器请求消息,所述路由器请求 消息中可以包含PANA认证代理选项也可以不包含PANA认证代理选项, 在所述步骤(b)中,所述PANA认证代理收到所述路由器请求消息后,向 所述PANA客户端发送路由器宣告消息。
3、 如权利要求1或2所述的方法,其特征在于,所述PANA认证代理 选项中包含PANA认证代理的IP地址列表。
4、 如权利要求3所述的方法,其特征在于,所述PANA认证代理选项 包括类型域、长度域、地址域,其中所述类型域用于指示该选项为PANA 认证代理选项,所述长度域用于指示该PANA认证代理选项的长度,所述 地址域用于携带所述PANA认证代理的IP地址列表。
5、 如权利要求3所述的方法,其特征在于,所述IP地址列表中PANA 认证代理的IP地址按优先级顺序排列。
6、 如权利要求3所述的方法,其特征在于,所述路由器请求消息中 PANA认证代理选项中的IP地址列表为空。
7、 如权利要求l所述的方法,其特征在于,在所述步骤(a)中,所述 PANA认证代理周期性的向所述PANA客户端发送路由器宣告消息。
8、 如权利要求l所述的方法,其特征在于,所述PANA客户端为家庭 网关或者为用户终端,所述PANA认证代理为网络接入服务器或者为业务 路由器,或者为宽带网络网关。
全文摘要
本发明公开了一种IPv6中PANA客户端发现PANA认证代理的方法,不论PANA客户端的IP地址如何配置,都可以保证PANA客户端能够发现PANA认证代理。包括以下步骤(a)PANA认证代理向所述PANA客户端发送路由器宣告消息,所述路由器宣告消息中包含PANA认证代理选项;(b)所述PANA客户端接收到所述路由器宣告消息后,记录所述路由器宣告消息中的PANA认证代理选项。解决了目前发现PANA认证代理方法只适用于PANA客户端采用DHCP分配IP地址的情况和不安全的问题,用于提高基于PANA协议的网络接入的可用性。
文档编号H04L29/06GK101257486SQ200710108619
公开日2008年9月3日 申请日期2007年6月5日 优先权日2007年6月5日
发明者曹文利 申请人:中兴通讯股份有限公司