一种基于认证机制转换的通信方法、系统及设备的制作方法

专利名称：一种基于认证机制转换的通信方法、系统及设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种基于认证机制转换的通信方法、 系统及i更备。
背景技术：
传统电信运营商建立承载不同业务的网络，为不同的用户提供不同的业
务，例如PSTN (Public Switched Telephone Network, 7>共交换电话网)承 载电话业务、DDN (Digital Data Network,数字数据网)承载企业专线等。随 着电信竟争不断加大，电信运营商试图将不同网络融合到一张网络上承载多 业务，从而降低运营成本提高盈利能力。越来越多的业务不断在IP (Internet Potocol，互联网协议)上出现并不断提升性能，例如Voice over IP (IP承载语 音)、Video over IP (IP 7 义载-见频)、TV over IP (IP承载电^L)，逐步具备电 信业务所属的质量和性能，于是，电信运营商选择IP承载网作为融合网络的 承载技术，其中电信运营商关注用户认证和计费。但是，PPP (Point-to-Point Protocol,点对点协议)拨号仅仅适用于拨号上网和DSL (Digital Subscriber Loop,数字用户线)接入，不能很好支持其他接入方式。
在DSL论坛正在讨论如何让业务运营商从PPP (拨号)接入方式演进到 一种通过统一的传送方式来承载签约用户的所有IP业务的接入方式，并将此 种接入方式称为Subscriber Session (用户会话)，包含两种基本的会话，IP session (会话)和PPP Session (会话)。
在宽带环境中，IP会话可以通过DHCP (Dynamic Host Configuration Protocol,动态主机分配协议)静态和动态地分配，例如通过PANA(网络接 入协议工作组)认证的IP会话呼叫、或DHCP Auth认证的IP会话呼叫。其 中，PANA认证的IP会话呼叫过程如图1所示
步骤sl01,用户打开计算机等网络终端(例如DHCP客户端)，向接入节点发送动态主才几配置协议的发现才艮文DHCP Discovery,启动地址分配过程。
步骤s 102,接入节点作为DHCP 二层的中继，如DSLAM( Digital Subscriber Line Access Multiplexer,数据用户线接入汇聚设备)，捕获用户的DHCP Discover报文并将捕获到该报文的接收端口号或DSL端口号以Option 82( 82 选项)的格式插入到该DHCP Discover报文中，然后向IP边缘设备转发修改 后的报文。此后接入节点可以不再对DHCP的后续报文(如offer、 request和 Ack)进行修改。
步骤si03, IP边缘设备，如BRAS (Broadband Remote Access Server,宽 带远程接入服务器)，收到用户的DHCP Discover报文，从中提取用户的端口 号(Line Info )或构造用户的帐号，代理用户向DHCP服务器发起认证请求 IP边缘设备向DHCP Server 1 (动态主机配置服务器1)中继或转发用户的 DHCP Discovery报文并可以携带认证服务器回应的必要的Radius属性。其中， IP边缘设备可以是DHCP中继，也可以是代理RADIUS( Remote Authentication Dial In User Service,远程用户拨号认证系统)客户端。
步骤sl04， DHCP服务器1检查DHCP Discovery的参数，确认自己是 用户的地址分配服务器后，回应地址分配服务确认报文DHCP Offer,该报文 经IP边缘设备中继转发给用户。
步骤sl05,用户收到DHCP服务器1回应的DHCP Offer报文后，确认选 择该服务器作为地址分配服务器后，可以直接发送地址分配请求DHCP Request给DHCP服务器1 。
步骤sl06， DHCP服务器1根据DHCP Request的参数为用户分配IP地 址，并向用户或IP边缘设备回应DHCP Ack。
步骤sl01到步骤sl06为IP地址的配置过程，用户收到DHCP Ack后， IP配置过程结束。
步骤s107，用户在地址配置过程结束后，按照draft-ietf-pana-pana-14发 起PANA认证过程；
步骤s108, NAS (Network Access Server,网络接入服务器)遵循 draft-ietf國pana國pana-14向Radius服务器发起认证请求。步骤sl09， NAS在确认用户认证通过，确认该IP session被授权了并应用 用户的策略到该IP Session上。
步骤sl10，用户在PANA认证通过后，如果需要向DHCP服务器2发起 重新地址分配过程(IP reconfig),经过步骤si 11 ~步骤si 15之后，IP Session 的建立过程就结束，其中，步骤slll 步骤sll5过程与IP配置的过程一致。
DHCP Auth认证的IP会话呼叫过程如图2所示
步骤s201,用户打开计算机等网络终端，向接入节点发送动态主机配置 协议的发现报文DHCP Discovery,启动地址分配过程。
步骤s202,接入节点(如DSLAM)捕获用户的DHCP Discover报文， 并将捕获到该报文的接收端口号或DSL端口号以Option 82的格式插入到该 DHCP Discover报文中，然后向IP边缘设备转发修改后的报文；此后接入节 点可以不再对DHCP的后续报文(如offer、 request和Ack等)进行修改。
步骤s203, IP边缘设备(如BRAS )收到用户的DHCP Discover才艮文， 从中提取用户的端口号(Line Info )和DHCP Auth的选项，如果需要启动DHCP Auth，那么IP边缘设备根据draft-pruss-dhcp-auth-dsl-00与用户启动DHCP 认证过程。
步骤s204， IP边缘设备根据draft-pruss-dhcp-auth-dsl-00向Radius服务器 发起认证请求，Radius服务器确认用户认证通过后，在认证响应才艮文中通知 IP边缘设备用户的策略。
步骤s205 ， IP边缘设备确认用户合法之后，确认该IP session被授权后， 应用用户的策略到该IP Session上。
步骤s206， IP边缘设备确认自己是用户的地址分配服务器后，向用户回 应地址分配服务确认报文DHCP Offer。
步骤s207，用户收到服务器回应的DHCP Offer报文后，确认选择该服务 器作为地址分配服务器后，发送地址分配请求DHCP Request给DHCP服务器 或NAS。
步骤s208, DHCP服务器或NAS根据DHCP Request的参数为用户分配 IP地址并向用户或IP边缘设备回应DHCP Ack;用户收到DHCP Ack后，IPSession的建立过程结束。
随着宽带接入(如DSL )和数字设备(如PC等)的普及，网关(包括家 庭网络或企业网关等)内部的设备通过LAN (Local Area Network,以太局域 网)和WLAN ( Wireless Local Area Network,无线以太网)互连形成了独立 的网络，通过家庭网关可以直接连接到宽带城域网中，如图3所示。用户可 以通过宽带网络使用IPTV业务获得和有线电视等一样的体验，也可以通过国 际互联网远程登陆到公司网络中访问电子邮件或服务器直接可以在家中办 公。
如果用户要接入到自己签约的网络运营商，家庭网关提供二层桥接功能， 用户利用点到点拨号等协议接入，通过家庭网关接入国际互联网；如果要接 入到好友的网关中，用户直接采用DHCP接入到家庭网关中，可直接访问网关 并通过家庭网关接入到国际互联网中。
但是上述现有技术还具有以下缺点无法同时接入到网关和自己签约的 网络运营商中，切换时还需要人工干预。

发明内容
本发明实施例提供一种基于认证机制转换的通信方法及设备，以实现用
户可以自动接入到网关和自己签约的网络运营商中。
本发明实施例提供了一种基于认证机制转换的通信方法，包括以下步骤
将来自用户设备的认证信息承载到外部网络认证协议报文；
利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户
设备进行认证；
根据认证结果设置所述用户设备的转发表及其策略，根据所述转发表和 转发策略进行设备通信。
本发明实施例还提供了一种基于认证机制转换的通信系统，包括用户设 备和外部网络设备，还包括
网络边缘的网关设备，用于将来自用户设备的认证信息承载到外部网络 认证协议报文发送到外部网络设备，利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证，并根据认证结果设置所述用 户设备的转发表及其转发策略，根据所述转发表和转发策略进行设备通信。
本发明实施例还提供了一种网络边缘的网关设备，包括 认证信息转换单元，用于将来自用户设备的认证信息承载到外部网络认 证协议报文；
认证单元，与所述认证信息转换单元连接，用于利用所述外部网络认证 协议报文承载的用户设备的认证信息对所述用户设备进行认证；
处理单元，根据认证结果设置所述用户设备的转发表及其策略，并根据 所述转发表和转发策略进行设备通信。
本发明的实施例中，家庭网关在为用户分配完地址后，可以根据用户帐号 和外部用户访问权限表构造用户的访问网关的权限表，并建立用户的内部地 址和外部地址的静态映射；同时通过权限表动态实现用户和网关设备的转发 并且建立用户的内部地址和外部地址的映射关系。这样用户不仅可以访问自 己签约的网络运营商所提供的服务同时也可以接入到网关所提供的服务。


图1是现有技术中PAPN认证的IP会话呼叫流程图2是现有技术中DHCPAuth认证的IP会话呼叫流程图3是现有技术中网关与国际互联网连接示意图； '
图4是本发明实施例一中实现功能模型结构图5是本发明实施例一中认证实现流程图6是本发明实施例二中实现功能模型结构图7是本发明实施例二中认证实现流程图8是本发明实施例三中实现功能模型结构图9是本发明实施例三中认证实现流程图IO是本发明实施例四中实现功能模型结构图11是本发明实施例四中认证实现流程图12是本发明实施例中 一种网络边缘的网关设备结构图。 .
具体实施方式
本发明实施例提供了一种认证机制转换方法，包括以下步骤
1、 将来自用户设备的认证信息转换为外部网络认证协议报文。具体过程 包括从所述用户设备的认证信息中获取用户标识和MAC地址，将所迷用户 标识和MAC地址按照外部网络协议进行封装。其中，用户设备的认证信息接 入方式包括但不限于802.1x接入方式、PPPoE接入方式等；外部网络认证 协议报文包括但不限于PPPoE和DHCP Auth等。
2、 利用所述外部网络认证协议报文对所述用户设备进行认证。具体过程
包括向认证服务器发送认证请求，接收所述认证服务器返回的认证响应消 自
3、 将外部网络的认证成功消息转换为用户设备的认证成功消息，通知所 述用户设备认证成功。确认所述用户设备认证成功后，还包括*接收来自用 户设备的地址分配发现报文，为所述用户设备分配网关的内部地址，建立用 户设备所在网关的内部地址和外部地址的映射关系，根据所述映射关系进行 所述用户设备与外部设备的通信。
4、 设置网关的外部用户访问权限表，所述表中包括允许访问所述网关的 用户会话标识范围(包括用户设备的MAC地址或内部IP地址等)；根据用户 会话标识范围和外部用户访问权限表确定所述用户设备的访问网关的权限。 其中，确定用户设备的访问网关的权限具体包括允许所述用户设备访问网 关和外部网络；或禁止所述用户i殳备访问网关和外部网络；或允"^午所述用户 设备访问网关且禁止访问外部网络；或允许所述用户设备访问外部网络且禁 止i方问网关。
本发明实施例一中，当用户采用EAP SIM接入方式(EAP-SIM认证方式 主要用于蜂窝移动运营商WLAN的SIM卡认证方式，支持用户与网络之间的 双向认证和动态密钥下发。在该认证方式中，用户端采用装有SIM卡读卡器 的WLAN网卡，即802.1x拨号接入方式)接入网关，而好友的家庭网关采用 DHCP Auth接入方式接入国际互联网，并且好友的家庭网关设置外部用户访 问权限表中支持WLAN的接入时，实现方案的功能模型如图4所示，用户设 备(例如便携式设备)通过WLAN网络连接家庭网关，并通过家庭网关连接到网关和IP边缘设备，通过IP边缘设备连接到国际互联网，且IP边缘设备
同时连接外部DHCP服务器和认证服务器。
其中，用户设备中包括802.1x认证体客户端和DHCP客户端；家庭网关 中包括内部DHCP服务器，用于接收用户设备中的DHCP客户端的接入请 求，通过网关的用户MAC内部转发表接入网关；802.1x认证体，用于接收 802.lx认证体客户端的认证请求，通过DHCP认证客户端接入到IP边缘设备， 或通过家庭网关内的用户MAC转发表接入IP边^彖设备。
实施例一的认证实现过程如图5所示，包括以下步骤 .
s501 ，用户设备利用802.1x认证体客户端通过WLAN与家庭网关交互 Association消息，要求接入到家庭网关。
s502 ，家庭网关的802.lx认证体(Authenticator )向用户设备发送 EAPoL/EAP-Request/Identitiy消息，对用户设备进行认证。
s503,用户设备向家庭网关向家庭网关回应EAPoL/EAP-Response/Identitiy 消息，该消息中携带用户i殳备的帐号信息。
s504，由于家庭网关没有用户设备认证的数据，因此家庭网关启动DHCP Auth/EAP和802. lx/EAP SIM的认证转换机制，从802. lx取出EAP消息和用户 的MAC地址重新构造DHCP Auth消息向宽带接入服务器发送DHCP Discover/Auth-port/EAP消息，请求认证并记录用户设备的帐号。
s505,宽带接入服务器向家庭网关发送DHCP EAP/EAP-Request/Identity 消息，要求获得用户设备的账号。
s506，家庭网关向宽带接入服务器发送DHCP EAP/EAP-Reponse/Identity 消息，该消息中携带用户设备的账号。 '
s507 ，宽带接入服务器向认证服务器发送Radius Request/EAP Message/EAP-Response/Identity消息，请求对该用户i殳备进4亍iU正。
s508 ，认证服务器根据用户设备的类型向宽带接入服务器回应Radius Request/EAP Message/EAP-Request/SIM/Start消息，该消息中携带版本列表 AT-Version-list,启动认证并进行参数协商。
s509 , 宽带接入服务器收到 Radius Request/EAPMessage/EAP-Request/SIM/Start消息后，向家庭网关发送DHCP EAP/EAP-Request/SIM/Start消息，启动认证并进行参数协商。
s510,家庭网关将DHCP认证的EAP消息转换成802.1x的EAP消息 EAPoL/EAP-Request/SIM/Start发给用户设备。
s511 , 用户设备向家庭网关回应认证响应消息 EAPoL/EAP-Response/SIM/Start,该消息中携带开始请求。
s512,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Start 按DHCP Auth的协议格式封装为DHCP EAP/EAP-Response/SIM/Start,并转发 给宽带接入服务器。
s513 ，宽带接入服务器向认证服务器发送Radius Request/EAP Message/EAP-Response/SIM/Start消息，要求接入国际互联网。
s514 ,认证服务器向宽带接入服务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息，该消息中携带需要询问的用户确认 参数例如级别AT^RAND和地址AT—MAC等。
s515 , 宽带接入服务器向家庭网关发送DHCP EAP/EAP-R叫uest/SIM/Challenge消息，通知用户设备上报确认参数。
s516,家庭网关将DHCP认证的EAP消息转换成802.1x的EAP消息 EAPoL/EAP-Request/SIM/Challenge发给用户设备。
s517 ， 用户i殳备向家庭网关回应认i正响应消息 EAPoL/EAP-Response/SIM/Challenge,该消息中携带确认参数。
s518 ,家庭网关将802.1 x的EAP响应消息EAPoL/EAP-Response/SIM/ Challenge按DHCP Auth的协议格式封装为DHCP EAP/E AP-Response/SIM/ Challenge,并转发给宽带接入服务器。
s519,宽带接入服务器将DHCP Auth格式取出EAP消息通过Radius协议 Radius Request/EAP Message/EAP-Response/SIM/Challenge回应认证服务器，该 消息中携带用户设备的确认参数。
s520，认证服务器根据用户设备的确认参数认证用户是合法的，向宽带接 入月良务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息，通知用户i人i正成功。
s521,宽带接入服务器通过DHCP offer/EAP-Success/yiaddr消息将用户设 备iU正成功通知家庭网关。
s522,家庭网关确认用户认证成功后，向用户i殳备发送i人i正成功消息 EAPoL/EAP-Success,并继续DHCP Auth的过程，为用户设备申请网关的外部 地址。
s523至s527，用户在确认认证成功后，发起地址分配发现报文(DHCP Request),家庭网关的地址分配服务器直接回应地址分配确认(DHCP ACK) 并启动地址分配过程为用户分配网关的内部地址。家庭网关在为用户分配完 地址后，根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表， 并建立用户的内部地址和外部地址的静态映射；同时通过权限表动态实现用 户和网关设备的转发并且建立用户的内部地址和外部地址的映射关系。这样 用户不仅可以访问自己签约的网络运营商所提供的服务同时也可以接入到网 关所提供的服务。 ，
本发明实施例二中，当用户采用EAPSIM接入方式(802.1x拨号的接入 方式)，而好友的家庭网关采用PPPoE (以太网点到点协议)接入到国际互联 网，但没有设置外部用户访问权限表支持WLAN的接入时，实现方案的功能 才莫型如图6所示，除了家庭网关中的用PPPoE认证客户端取代了 DHCP认证 客户端之外，其余部分与图4结构相同。 '
实施例二的认证实现过程如图7所示，包括以下步骤
s701,用户设备利用802.1x认证体客户端通过WLAN与家庭网关交互 Association消息，要求才妄入到家庭网关。
s702 ，家庭网关的802.lx认证体(Authenticator )向用户设务发送 EAPoL/EAP-Request/Identitiy消息，对用户设备进行认证。
s703,用户设备向家庭网关向家庭网关回应EAPoL/EAP-Response/Identitiy 消息，该消息中携带用户设备的帐号信息。
s704,由于家庭网关没有用户设备认证的数据，因此家庭网关启动 PPPoE/EAP和802.1x/EAP SIM的认证转换机制，在PPPoE发现阶4殳结束后，从802.1x取出EAP消息和用户的MAC地址，根据PPPoE EAP认证协议构造 PPPoE认证消息，向宽带接入服务器发送PPPoE/LCP/EAP消息，请求认证并记 录用户设备的帐号。
s705,宽带接入服务器向家庭网关发送PPPoE/ EAP /EAP-Request/Identity 消息，要求获得用户设备的账号。
s706,家庭网关向宽带接入服务器发送PPPoE/ EAP /EAP-Reponse/Identity 消息，该消息中携带用户设备的账号。
s707 ，宽带接入服务器向认证服务器发送Radius Request/EAP Message/EAP-Response/Identity消息，i青求对该用户i殳备进4亍iU正。
s708，认证服务器根据用户设备的类型向宽带接入服务器回应Radius Request/EAP Message/EAP-Request/SIM7Start消息，该消息中携带版本列表 AT-Version-list,启动认证并进行参数协商。
s709 ， 宽带接入服务器收到 Radius Request/EAP Message/EAP-Request/SIM/Start消息后，向家庭网关发送PPPoE/ EAP/EAP-Request/SIM/Start消息，启动认证并进行参数协商。 ，
s710 ,家庭网关将PPPoE认证的EAP消息转换成802. lx的EAP消息 EAPoL/EAP-Request/SIM/Start发给用户设备。
s711 , 用户设备向家庭网关回应认证响应消息 EAPoL/EAP-Response/SIM/Start，该消息中携带开始请求。
s712,家庭网关将802.1x的EAP响应消息EAPoL/EAP-Response/SIM/Start 按PPPoE的协议格式封装为PPPoE/EAP/EAP-Response/SIM/Start，并转发给宽 带接入服务器。
s713 ,宽带接入服务器向认证服务器发送Radius Request/EAP Message/EAP-Response/SIM/Start消息，要求接入国际互联网。 ，
s714，认证服务器向宽带接入服务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息，该消息中携带需要询问的用户确认 参数例如级别AT一RAND和地址AT—MAC等。
s715 ,宽带接入服务器向家庭网关发送PPPoE/EAP/EAP-Request/SIM/Challenge消息，通知用户设备上报确认参数。
s716 ，家庭网关将PPPoE认证的EAP消息转换成802.1 x的EAP消息 EAPoL/EAP-Request/SIM/Challenge发给用户设备。
s717 , 用户设备向家庭网关回应i人i正响应消息 EAPoL/EAP-Response/SIM/Challenge ，该消息中携带确认参数。
s718 ,家庭网关将802.lx的EAP响应消息EAPoL/EAP-Response/SIM/ Challenge按PPPoE的协议格式封装为PPPoE/EAP/EAP-Response/SIM/ Challenge,并转发给宽带接入服务器。
s719，宽带接入服务器将PPPoE格式取出EAP消息通过Radius协议Radius Request/EAP Message/EAP-Response/SIM/Challenge回应i人证月良务器，该消息中 携带用户设备的确认参数。
s720,认证服务器根据用户设备的确认参数认证用户是合法的，向宽带接 入月良务器发送Radius Request/EAP Message/EAP-Success/DHCP Request消息， 通知用户iU正成功。
s721 ，宽带接入服务器通过PPPoE/EAP/EAP-Success/yiaddr消息将用户设 备iU正成功通知家庭网关。
s722,家庭网关确认用户认证成功后，向用户设备发送认证成功消息 EAPoL/EAP-Success,并继续PPPoE的过程，为用户设备申请网关的外部地址。
s723至s726，用户在确认认证成功后，发起地址分配发现净艮文(DHCP Request),家庭网关的地址分配服务器直接回应地址分配确认(DHCP ACK) 并启动地址分配过程为用户分配网关的内部地址。家庭网关在为用户i殳备分 配完地址后，根据用户帐号和外部用户访问权限表构造用户的访问网关的权 限表，并建立用户的内部地址和外部地址的静态映射；由于权限表不允许用
户的内部地址和外部地址的映射关系。这样用户只能访问自己签约的网络运 营商所提供的服务但不能接入到网关所提供的服务。
本发明实施例三中，当用户采用PPPoE拨号的接入方式，而好友的家庭网 关采用DHCP Auth接入到国际互联网，但好友的家庭网关设置外部用户访问权限表允许用户访问部分的网关的资源并支持PPPoE的接入时，实现方案的功 能模型如图8所示，用户设备中只包括PPPoE客户端，家庭网关中的802.1x认 证替由PPPoE代理替换，其他部分与图4相同。
实施例三的认证实现过程如图9所示，包括以下步骤
步骤s卯l至步骤s904,当用户设备利用以太网接入到家庭网关时，用户设 备启动PPPoE拨号，家庭网关的PPPoE代理(Proxy)与用户建立PPPoE的协商。
步骤s905,用户设备向家庭网关发送PPPoE/PPP/LCP/Configure-Resquest 配置请求消息。
步骤s906,家庭网关向用户设备发送PPPoE/PPP/LCP/Configure-Ack配置
响应消息。
步骤s907,家庭网关启动对用户设备认证，并启动DHCP Auth/CHAP和 PPPoE的认证转换。以CHAP为例，家庭网关根据用户的MAC构造DHCP消息 DHCP Discover/Auth-Prot/CHAP，发送到宽带接入服务器，发起地址分配。
步骤s908,宽带地址服务器向外部DHCP服务器发送该地址发现报文 DHCP Discover。
步骤s909,外部DHCP服务器向宽带地址服务器返回地址分配确认报文 (DHCP Offer)，该报文中携带challenge等参数。
步骤s910,宽带接入服务器向家庭网关回应该地址分配确认报文(DHCP Offer)并携带challenge等参数。
步骤s911，家庭网关从DHCP消息中取出challenge等消息构造PPP CHAP 认证消息PPPoE/PPP/CHAP/Challenge，发起用户设备的认证。
步骤s912,用户设备向家庭网关回应PPPoE/PPP/CHAP/Response消息，该 消息中携带用户设备自己的帐号和认证参数，如根据challenge和用户密码成功 的加密字等参数。
步骤s913,家庭网关从PPP CHAP消息中取出用户设备的帐号和认证参 数、及用户设备的MAC地址重新构造DHCP Request消息向宽带接入服务器请 求i人i正并记录用户的帐号。
步骤s914 ，宽带接入服务器向认证服务器发送Radius/Access-Request/CHAP/Response,请求对该用户设备的请求进4亍iU正。
步骤s915,认证服务器认证并通过Radius/Access-Accept/CHAP/Response 回应iU正结果。
步骤s916,宽带接入服务器向DHCP服务器发送DHCP Request请求消息， 要求分配地址。
步骤s917, DHCP服务器向宽带接入服务器发送DHCP Ack确认消息，该
消息中携带分配的地址。
步骤s918，宽带接入服务器确认用户认证通过后，向网关回应DHCP Ack/CHAP/Success消息，通知用户认证成功并完成用户的地址分配过程。
步骤s919,家庭网关将DHCP Ack消息转换成PPPoE的CHAP认证工程消 息发给用户设备。
步骤s919至步骤s924，用户设备在确认认证成功后，启动地址分配过程， 家庭网关的PPPoE代理通过内置的DHCP服务器为用户分配网关内部的地址。 家庭网关在为用户分配完地址后，根据用户帐号和外部用户访问权限表构造 用户的访问网关的权限表，并建立用户的内部地址和外部地址的静态映射； 由于权限表只允许用户访问网关的部分资源，因此通过权限表动态设置用户 和外部网络的部分资源之间的转发表并且建立用户的内部地址和外部地址的 映射关系。这样用户只能访问自己签约的网络运营商所提供的服务但不能接 入到网关所提供的服务。
本发明实施例四中，当用户采用PANA拨号的接入方式，而好友的家庭网 关采用DHCP Auth接入到国际互联网，但好友的家庭网关设置外部用户访问 权限表允许用户访问部分的网关的资源并支持PANA的接入时，实现方案的功 能才莫型如图10所示，用户设备中用PANA客户端代替PPPoE客户端，家庭网关 中的PAPN代理代替PPPoE代理，其他部分与图8相同。
实施例四的认证实现过程如图11所示，包括以下步骤
步骤sll01至步骤s1104,当用户利用以太网直接到家庭网关时，用户首先 启动正常的DHCP地址分配过程，家庭网关内置的DHCP服务器按正常流程为 用户分配内部的地址。步骤sl105,在获得内部地址后，用户发送PANA客户端初始化(PANA Client Initiation)启动PANA认证协商过程。
步骤sl106，家庭网关启动PANA认证代理(Proxy)与用户进行PANA的 认证协商过程并启动DHCP Auth/EAP和PANA的认证转换，以EAP CHAP为 例，家庭网关才艮据用户MAC构造DHCP Auth消息(DHCP Discover/Auth prot/EAP)向宽带接入服务器请求认证并协商使用EAP认证方式。
步骤s1107 , 宽带接入服务器向家庭网关回应DHCP EAP/ EAP-Request/Identity消息，启动EAP认证过程。
步骤sl108,家庭网关没有该用户账号信息，则将DHCP EAP/ EAP-Request/Identity转换成PANA Auth request/EAP Request消息，通知用户 启动EAPi人证。
步骤sll09和步骤s1112,用户向家庭网关回应PANA Auth request /EAP Response消息，该消息中携带用户的账号等相关认证信息。
步骤sl113,家庭网关提取PANA消息中的EAP消息，根据用户标识-(用户 帐号)和用户会话标识(用户的MAC和IP )构造DHCP EAP/EAP-Response/Identity,发送给宽带接入服务器并记录用户的账号信息。
步骤sl114，家庭网关向用户发送PANAAuth应答。
步骤sl115,宽带接入服务器从DHCP消息中提取EAP消息，通过Radius 协议向认证服务器请求对该用户的请求进行认证。
步骤sl116,认证服务器根据EAP消息的认证信息对用户进行认证， 一旦 通过认证，则向宽带接入服务器回应Radius Request/EAP Message/EAP-Success消息。
步骤sl117，宽带接入服务器从Radius响应消息中提出EAP消息，并确认 用户认证通过后，通过DHCP offer/EAP-Success/yiaddr通知家庭网关用户认证通过。
步骤sl 118,家庭网关在确认用户认证成功后为该PANA会话分配Session Id，根据从DHCP offer/EAP-Success/yiaddr消息提取的EAP消息、Session Id和 用户的内部地址将DHCP消息转换为PANA Bind request (EAP Success, SessionId, IP Filter)消息，通知用户认证通过并建立用户的内部地址和Session Id的绑 定。家庭网关向宽带接入服务器发送DHCP Request消息继续DHCP Auth的过 程，为用户申请网关的外部地址。
步骤sl119，用户在确认认证成功后，向家庭网关回应PANA Bind answer 确认绑定建立成功，则用户的IP会话建立成功。
步骤sl 120到步骤sl 122,家庭网关在代理用户申请到用户的外部地址后， 根据用户帐号和外部用户访问权限表构造用户的访问网关的权限表，并建立 用户的内部地址和外部地址的静态映射；同时通过权限表动态实现用户和网 关设备的转发并且建立用户的内部地址和外部地址的映射关系。这样用户除 了能访问自己签约的网络运营商所提供的服务而且还可以访问网关的部分资 源。
本发明实施例还提供了一种网络边缘的网关设备，如图12所示，包括 认证信息转换单元10，用于将来自用户设备的认证信息承载到外部网络认证 协议报文；认证单元20，与认证信息转换单元IO连接，用于利用外部网络认 证协议报文承栽的用户设备的认证信息对用户设备进行认证；处理单元30， 才艮据认证结果设置所述用户设备的转发表及其策略，并根据所述转发表和转 发策略进行设备通信；内部地址分配单元40，用于接收来自用户设备的地址 分配发现报文后，为用户设备分配网关的内部地址；映射列表单元50,用于 建立用户设备所在网关的内部地址和外部地址的映射关系，并根据映射关系 进行用户设备与外部设备的通信；访问权限表单元，设置网关的外部用户访 问权限表，表中包括允许访问网关的用户标识和用户会话标识；访问权限确 定单元，与访问权限表单元连接，用于根据用户标识、用户会话标识和外部 用户访问权限表确定用户设备的访问网关的权限。
其中，认证信息转换单元IO具体包括认证信息提取子单元，用于从用 户设备的认证信息中获取用户标识和MAC地址；外部网络协议封装子单元， 与认证信息提取子单元，用于将用户标识和MAC地址按照外部网络协议进行 封装。
无线接入给用户带来的移动的业务体验。随着WLAN等热点的大规才莫部署，让用户再离开家依然可以接入到国际互联网中，回到家中切换到家庭网 关依然可以访问国际互联网。当一个用户到好友家中做客时，他依然可以通 过自己的帐号同时接入到好友家中的网关使用好友签约的业务和网络运营商 接入到国际互联网中使用自己签约的业务。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很 多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上 或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算 机软件产品存储在一个存储介质中，包括若干指令用以使得一 台计算机设备 (可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例的 方法。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此， 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种基于认证机制转换的通信方法，其特征在于，包括以下步骤将来自用户设备的认证信息承载到外部网络认证协议报文；利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证；根据认证结果设置所述用户设备的转发表及其转发策略，根据所述转发表和转发策略进行设备通信。
2、 如权利要求1所述基于认证机制转换的通信方法，其特征在于，所述 根据转发表和转发策略进行设备通信具体包括接收来自用户设备的地址分配发现报文，为所述用户设备分配网关的内 部地址；建立用户设备所在网关的内部地址和外部地址的映射关系转发表； 根据所述映射关系转发表进行所述用户设备与外部设备的通信。
3、 如权利要求1所述基于认证机制转换的通信方法，其特征在于，所述 根据认证结果设置所述用户设备的转发策略具体包括设置网关的外部用户访问权限表，所述表中包括允许访问所述网关的用 户标识列表； -根据所述用户标识列表和所述外部用户访问权限表确定所述用户设备的 访问网关的权限。
4、 如权利要求3所述基于认证机制转换的通信方法，其特征在于，所述 确定用户设备的访问网关的权限具体包括允许所述用户设备访问网关和外 部网络；或禁止所述用户设备访问网关和外部网络；或允许所述用户设备访 问网关且禁止访问外部网络；或允许所述用户设备访问外部网络且禁止访问 网关。
5、 如权利要求1所述基于认证机制转换的通信方法，其特征在于，所述 将来自用户设备的认证信息承载到外部网络认证协议报文具体包括-从所述用户设备的认证信息中获取用户标识列表； 将所述用户标识列表按照外部网络协议进行封装。
6、 如权利要求1所述基于认证机制转换的通信方法，其特征在于，所述 利用外部网络认证协议报文对所述用户设备进行认证具体包括向认证服务器发送认证请求； 接收所述认证服务器返回的认证响应消息。
7、 如权利要求1至6中任一项所述基于认证机制转换的通信方法，其特 征在于，所述用户设备的认证信息接入方式包括802.1x接入方式、PPPoE 接入方式或PANA 4妄入方式；所述外部网络认证协议净艮文包4舌PPPoE或 DHCPAuth。
8、 如权利要求3所述基于认证机制转换的通信方法，其特征在于，所述 用户标识列表包括用户标识和用户会话标识，所述用户标识包括用户帐号， 所述用户会话标识包括用户设备的MAC地址或内部IP地址。
9、 一种基于认证机制转换的通信系统，包括用户设备和外部网络设备， 其特征在于，还包括网络边缘的网关设备，用于将来自用户设备的认证信息承载到外部网络 认证协议报文发送到外部网络设备，利用所述外部网络认证协议报文承载的 用户设备的认证信息对所述用户设备进行认证，并根据认证结果设置所述用 户设备的转发表及其转发策略，根据所述转发表和转发策略进行设备通信。
10、 如权利要求9所述基于i人证机制转换的通信系统，其特征在于，所 述网络边缘的网关设备具体包括认证信息转换单元，用于将来自用户设备的认证信息承载到外部网络认 证协议报文；认证单元，与所述认证信息转换单元连接，用于利用所述外部网络认证 协议报文承载的用户设备的认证信息对所述用户设备进行认证；处理单元，根据认证结果设置所述用户设备的转发表及其策略，并根据 所述转发表和转发策略进行设备通信。
11、 一种网络边缘的网关i殳备，其特征在于，包括 认证信息转换单元，用于将来自用户设备的认证信息承载到外部^1络认证协议纟艮文；认证单元，与所述认证信息转换单元连接，用于利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证；处理单元，根据认证结果设置所述用户设备的转发表及其策略，并根据 所述转发表和转发策略进行设备通信。
12、 如权利要求11所述网络边缘的网关设备，其特征在于，还包括 内部地址分配单元，用于接收来自用户设备的地址分配发现报文后，为所述用户设备分配网关的内部地址；映射列表单元，用于建立用户设备所在网关的内部地址和外部地址的映 射关系转发表，并根据所述映射关系进行所述用户设备与外部设备的通信。
13、 如权利要求11所述网络边缘的网关设备，其特征在于，还包括 访问权限表单元，设置网关的外部用户访问权限表，所述表中包括允许访问所述网关的用户标识和用户务活标识；访问权限确定单元，与所述访问权限表单元连接，用于根据用户标识、 用户会话标识和外部用户访问权限表确定所述用户设备的访问网关的权限。
14、 如权利要求11所述网络边缘的网关设备，其特征在于，认证信息转 换单元具体包括认证信息提取子单元，用于从所述用户设备的认证信息中获取用户标识 和用户会活标识；外部网络协议封装子单元，与所述认证信息提取子单元，用于将所述用 户标识和用户会话标识按照外部网络协议进行封装。
全文摘要
本发明公开了一种基于认证机制转换的通信方法，包括以下步骤将来自用户设备的认证信息承载到外部网络认证协议报文；利用所述外部网络认证协议报文承载的用户设备的认证信息对所述用户设备进行认证；根据认证结果设置所述用户设备的转发表及其策略，根据所述转发表和转发策略进行设备通信。本发明还提供了一种网络边缘的网关设备。本发明的实施例中，可以自动地接入到网关和自己签约的网络运营商中。
文档编号H04L12/56GK101414998SQ20071016400
公开日2009年4月22日 申请日期2007年10月15日 优先权日2007年10月15日
发明者欧阳伟龙 申请人:华为技术有限公司