静态用户终端认证处理方法及装置制造方法

静态用户终端认证处理方法及装置制造方法
【专利摘要】本发明提供了一种静态用户终端认证处理方法及装置，该方法包括：向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报文；接收来自静态用户终端的响应报文，其中，该响应报文中携带有用户标识；根据用户标识对静态用户终端进行扩展的认证协议EAP认证，通过本发明，解决了静态用户的接入现有技术存在的认证安全性低等问题，进而达到了提高对静态用户接入认证的安全性及可靠性，以及提升静态用户使用WLAN业务体验的效果。
【专利说明】静态用户终端认证处理方法及装置
【技术领域】
[0001]本发明涉及通信领域，具体而言，涉及一种静态用户终端认证处理方法及装置。
【背景技术】
[0002]随着网络业务的拓展和细化，各类应用层出不穷。用户终端访问网络之前，必须获取一些网络必要网络参数，有的用户终端通过动态主机配置协议(Dynamic HostConfigure Protocol,简称为DHCP)方式获取IP地址、域名服务(DomainName Server,简称为DNS)、网关等网络配置参数，也有一些用户终端需要通过手工方式设置IP地址、DNS、网关等网络配置参数，来访问网络。这种手动设置IP的用户终端，也被称为静态用户。
[0003]目前,在宽带网络网关(Broadband Network Gateway,简称为BNG)上部署静态用户，通常采用的认证方式是绑定用户虚拟局域网(Virtual Local Area Network,简称为VLAN)信息或者是绑定用户的媒体接入控制(MediaAccess Control，简称为MAC)进行认证。由于没有安全的认证协议交互，合法的静态用户的电路信息，容易被非法用户模拟(模拟相同的VLAN、相同的MAC地址等)触发上线，影响合法用户的业务使用，损害合法用户的利益，所以这类认证方式安全性往往比较差，而且在无线保真(Wireless Fidelity，简称为W1-Fi)等无线接入日益普及的今天，静态用户对接入方式的可靠性、便利性的要求越来越高，例如，会要求无线局域网(Wireless Local Area Network,简称为WLAN)接入和光纤等固定线路接入形成备份接入方式增强网络的可靠性。并且WLAN接入能更好的简化接入方式降低接入成本，为用户带来可移动的良好体验。传统的静态用户接入使用电路认证的方式，要求检查限定静态用户的接入电路，必须在BNG设备上配置该静态用户的MAC地址、IP地址、接入电路，用户账号和密钥等繁琐的配置，既增加的维护的复杂性，不支持用户高安全性要求的扩展认证方法和二层安全隧道，也限制了用户在WLAN场景的可移动性(例如，在BNG管理的不同电路上漂移漫游)，而且在WLAN网络中应用时，也难以解决空口数据安全的问题。
[0004]因此，在相关技术中存在对静态用户的接入认证的安全性低和移动性差的问题。
【发明内容】

[0005]本发明提供了一种静态用户终端认证处理方法及装置，以至少解决相关技术存在对静态用户的接入认证的安全性低和移动性差的问题。
[0006]根据本发明的一个方面，提供了一种静态用户终端认证处理方法，包括:向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文；接收来自所述静态用户终端的响应报文，其中，所述响应报文中携带有所述用户标识；根据所述用户标识对所述静态用户终端进行扩展的认证协议EAP认证。
[0007]优选地，在根据所述用户标识对所述静态用户终端进行所述EAP认证之后，并在所述EAP认证成功的情况下，还包括:向接入密钥协商点传递授权信息中携带的成对主密钥，其中，所述接入密钥协商点与所述静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。
[0008]优选地，根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行所述EAP认证包括:向认证授权计费AAA服务器发送接入请求报文，其中，所述接入请求报文中携带有要求基于所述EAPoL接入网络的所述静态用户终端的用户标识；接收到来自所述AAA服务器的认证结果，其中，所述AAA服务器根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行协商认证。
[0009]优选地，通过以下触发方式至少之一触发向所述静态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报文:通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户终端的EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户终端的EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的因特网控制消息协议v6版本的邻居请求ICMPv6 NS协议报文的方式触发所述静态用户终端的EAP认证，其中，所述ICMPv6NS协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；接收到所述静态用户设备发送的用于触发EAP认证的EAPoL开始报文。
[0010]优选地，在根据所述用户标识对所述静态用户终端进行所述EAP认证之前或之后，还包括:通过以下方式至少之一获取所述静态用户终端的身份安全信息:通过扩展基于扩展的认证协议承载于局域网EAPoL开始通告配置下的配置选项的方式获取所述静态用户终端的所述身份安全信息；在所述EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告报文的方式获取所述身份安全信息；在通过所述静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取所述身份安全信息；通过地址解析协议ARP报文、邻居请求NS报文交互获取所述身份安全信息。
[0011]根据本发明的另一方面，提供了一种静态用户终端认证处理装置，包括:发送模块，用于向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文；接收模块，用于接收来自所述静态用户终端的响应报文，其中，所述响应报文中携带有所述用户标识；认证模块，用于根据所述用户标识对所述静态用户终端进行扩展的认证协议EAP认证。
[0012]优选地，该装置还包括:传递模块，用于在根据所述用户标识对所述静态用户终端进行所述EAP认证之后，并在所述EAP认证成功的情况下，向接入密钥协商点传递授权信息中携带的成对主密钥，其中，所述接入密钥协商点与所述静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。
[0013]优选地，所述认证模块包括:发送单元，用于向认证授权计费AAA服务器发送接入请求报文，其中，所述接入请求报文中携带有要求基于所述EAPoL接入网络的所述静态用户终端的用户标识；接收单元，用于接收到来自所述AAA服务器的认证结果，其中，所述AAA服务器根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行协商认证。[0014]优选地，该装置还包括触发模块，用于通过以下触发方式至少之一触发向所述静态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报文:通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户终端的EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户终端的EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的因特网控制消息协议v6版本的邻居请求ICMPv6NS协议报文的方式触发所述静态用户终端的EAP认证，其中，所述ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；接收到所述静态用户设备发送的用于触发EAP认证的EAPoL开始报文。
[0015]优选地，该装置还包括获取模块，用于在根据所述用户标识对所述静态用户终端进行所述EAP认证之前或之后，还包括:通过以下方式至少之一获取所述静态用户终端的身份安全信息:通过扩展基于扩展的认证协议承载于局域网EAPoL开始通告配置下的配置选项的方式获取所述静态用户终端的所述身份安全信息；在所述EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告报文的方式获取所述身份安全信息；在通过所述静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取所述身份安全信息；通过地址解析协议ARP报文或者邻居请求NS报文交互获取所述身份安全信息。
[0016]通过本发明，采用向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文；接收来自所述静态用户终端的响应报文，其中，所述响应报文中携带有所述用户标识；根据所述用户标识对所述静态用户终端进行扩展的认证协议EAP认证，解决了相关技术存在对静态用户的接入认证的安全性低和移动性差的问题，进而达到了提高对静态用户接入认证的安全性及可靠性，以及提升静态用户使用WLAN业务体验的效果。
【专利附图】

【附图说明】
[0017]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0018]图1是根据本发明实施例的静态用户终端认证处理方法的流程图；
[0019]图2是根据本发明实施例的静态用户终端认证处理装置的结构框图；
[0020]图3是根据本发明实施例的静态用户终端认证处理装置的优选结构框图一；
[0021]图4是根据本发明实施例的静态用户终端认证处理装置中认证模块26的优选结构框图；
[0022]图5是根据本发明实施例的静态用户终端认证处理装置的优选结构框图二 ；
[0023]图6是根据本发明实施例的静态用户终端认证处理装置的优选结构框图三；
[0024]图7是根据本发明优选实施例的基于802.1X认证静态IP用户认证接入处理方法的流程图；[0025]图8是根据本发明优选实施例的基于普通有线接入场景时静态用户终端接入网络的认证接入处理流程图；
[0026]图9是根据本发明优选实施例的基于胖AP部署场景时静态用户终端接入网络的认证接入处理流程图；
[0027]图10是根据本发明优选实施例的基于瘦AP部署场景时静态用户终端接入网络的认证接入处理流程图；
[0028]图11是根据本发明优选实施例的基于802.1X认证的静态用户通过IPV6接入网络的认证接入处理流程图。
【具体实施方式】
[0029]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0030]在本实施例中提供了一种静态用户终端认证处理方法，在本实施例中以该静态用户终端为静态IP用户终端为例进行说明，图1是根据本发明实施例的静态用户终端接入处理方法的流程图，如图1所示，该流程包括如下步骤:
[0031]步骤S102，向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报文，其中，该静态用户终端要求基于扩展的EAP承载于局域网(ExtensibleAuthenticationProtocol over LAN，简称为 EAPoL)，即，802.1X 接入;
[0032]步骤S104，接收来自该静态用户终端的响应报文，其中，该响应报文中携带有上述用户标识；
[0033]步骤S106，根据上述用户标识对静态用户终端进行扩展的认证协议(ExtensibleAuthentication Protocol,简称为 ΕΑΡ)认证。
[0034]通过上述步骤，采用EAPoL对静态用户终端接入网络进行认证，相对于相关技术中没有安全的认证协议交互进行认证，有效地避免了相关技术中由于没有安全的认证协议所带来的静态用户接入网络安全性低和移动性差的问题，使用安全严谨的认证协对静态用户接入网络进行认证，有利地提高了静态用户访问网络的安全性及可靠性，提升了静态用户使用WLAN的用户体验。
[0035]在基于EAPoL对静态用户终端接入网络进行认证之后，为了使静态用户终端与网络之间交互的数据报文也安全可靠，可以在根据用户标识对静态用户终端基于该EAPoL接入网络进行EAP认证之后，并在该EAP认证成功的情况下，向接入密钥协商点传递授权信息中携带的成对主密钥，其中，该接入密钥协商点与静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。在WLAN接入的空口加密场景，网关需要传递认证服务器下发授权信息中携带的成对主密钥给WLAN接入网络针对所述静态IP用户终端的接入密钥协商点(例如，ΑΡ)，供其和静态IP用户终端的802.1X (即EAPoL)客户端进行密钥协商，密钥协商得到结果用于空口报文的加解密，该静态用户终端与网络交互数据报文时采用该协商的密钥，由于该密钥是基于EAPoL协商而成的，因而采用该密钥所进行的数据报文交互也更为安全可靠。
[0036]根据用户标识对该静态用户终端基于EAPoL接入网络进行EAP认证可以采用多种处理方式，例如，可以采用以下较优的处理方式:首先，向认证、授权、计费(Authentication、Authorization、Accounting,简称为 AAA)服务器发送接入请求报文，其中，该接入请求报文中携带有要求基于EAPoL接入网络的静态用户终端的用户标识；该AAA服务器接收到该接入请求报文，根据该接入请求报文中所携带的用户标识确定静态用户终端，与确定的该静态用户终端协商进行EAP认证的认证方法，然后根据协商的认证方法进行认证交互对该静态用户终端基于该EAPoL接入网络进行认证，并将认证结果返回。当接收到来自AAA服务器的认证结果时，完成对该静态用户终端基于EAPoL接入网络进行的认证。在该较优的处理方式中，网关设备收到该用户回复的携带用户身份标识的认证应答报文后，将其根据本地策略发送到认证服务器，作为中继连通该用户和该认证服务器之间的EAP认证。
[0037]在用户侧完成对该静态用户终端接入网络的网络参数配置，并且在网络侧也完成了对静态用户进行配置的静态用户信息，或者是静态用户信息列表之后，可以通过多种触发方式触发对静态用户的认证，即，触发向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报文，较佳地，由网络设备来触发时，可以通过以下触发方式至少之一来触发:根据配置，在网关设备上抓捕未认证静态IP用户的上行或下行流量或ARP请求/因特网控制消息协议v6版本的邻居请求(Internet Control Message Protocol Version 6Neighbor Solicitation,简称为ICMPv6 NS)报文等用户报文,触发该静态IP用户的EAP认证:例如，在静态用户终端关联接入(附近)客户驻地设备(Customer Premise Equipment简称为CPE)时，接收到该静态用户设备发送的要求使用802.1X接入方法的EAPoL开始报文，于是触发对该静态用户的认证；又例如，在未认证的静态用户终端的上行/下行流量被(网络侧)预先存储的静态用户信息表匹配命中时，获知静态用户终端要求使用802.1X接入方法，触发对该静态用户的认证；还例如，网关设备抓捕到未认证静态IP用户的转发流量后，主动向该用户发送用于获取用户身份标识的认证请求报文。当然也可以由静态IP用户来触发，例如，未认证静态IP用户用802.1X客户端直接向网关设备发送用于触发EAP认证的EAPoL开始报文，网关收到该EAPoL开始报文后，向该静态IP用户发送用于获取用户身份标识的认证请求报文，触发对该静态用户的认证。当然还可以存在其它的触发方式，在此不进行 列举。
[0038]较优地，为了在进行EAP认证之后及时地接入网络，或者为了提升接入网络的速度，在根据用户标识对该静态用户终端进行EAP认证之前或者之后，可以及时地获悉该静态用户终端的身份安全信息(即接入网络的参数)并检查该静态IP用户的身份安全信息(例如网关检查该用户IP和MAC的绑定关系)或者用户和网关间建立安全隧道例如(802.1X协议定义的MACSec)，当然获取的方式也可以多种，例如，可以通过以下方式至少之一获取该静态用户终端的身份安全信息:通过扩展基于扩展的认证协议承载于局域网EAPoL开始通告(EAPoL-Start-Announcement)配置下的配置选项的方式获取该静态用户终端的身份安全信息；在EAP认证成功后，通过接收静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告(EAPoL-Announcement)报文的方式获取该静态用户终端的身份安全信息，即，静态IP用户的802.1X客户端主动在EAPoL-Start-Announcement或EAPoL-Announcement报文中扩展选项,主动上报其IP地址信息。网关收到该报文后，解析获悉该用户MAC和IP，然后核对其是否配合网关上的配置的绑定关系；在通过静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取该静态用户终端的身份安全信息；通过地址解析协议(Address Resolution Protocol简称为ARP)报文或者邻居请求NS交互获取该静态用户终端的身份安全信息，例如，通过静态IP用户的ARP请求或NS报文获取其MAC和IP，核对其是否符合网关上的配置的绑定关系；在网关设备没有收到静态IP用户的ARP请求或NS报文时，可以主动发起ARP请求或NS报文，通过静态IP用户回复的ARP应答报文或NA报文获得该用户MAC和IP，然后核对其是否符合网关上的配置的绑定关系。
[0039]在本实施例中还提供了一种静态用户终端认证处理装置，该装置用于实现上述实施例及优选实施方式，该装置较优地应用于网关设备上(例如，宽带网络网关BNG上)，当然也可以应用于对静态用户设备进行认证的其它网元设备，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0040]图2是根据本发明实施例的静态用户终端认证处理装置的结构框图，如图2所示，该装置包括发送模块22、接收模块24和认证模块26，下面对该装置进行说明。
[0041]发送模块22，用于向静态用户终端发送用于获取静态用户终端的用户标识的标识请求报文；接收模块24，用于接收来自静态用户终端的响应报文，其中，该响应报文中携带有上述用户标识；认证模块26，用于根据上述用户标识对静态用户终端进行扩展的认证协议EAP认证。
[0042]图3是根据本发明实施例的静态用户终端认证处理装置的优选结构框图一，如图3所示，该装置除包括图2的所有模块外，还包括协商模块32，下面对该协商模块32进行说明。
[0043]协商模块32，连接至上述认证模块26，用于在根据用户标识对静态用户终端进行EAP认证之后，并在EAP认证成功的情况下，向接入密钥协商点传递授权信息中携带的成对主密钥，其中，该接入密钥协商点与静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。
[0044]图4是根据本发明实施例的静态用户终端认证处理装置中认证模块26的优选结构框图，如图4所示,该认证模块26包括发送单元42和接收单元44,下面对该认证模块26进行说明。
[0045]发送单元42，用于向认证授权计费AAA服务器发送接入请求报文，其中，该接入请求报文中携带有要求基于EAPoL接入网络的静态用户终端的用户标识；接收单元44，连接至上述发送单元42，用于接收到来自AAA服务器的认证结果，其中，该AAA服务器根据用户标识对该静态用户终端基于EAPoL接入网络进行协商认证。
[0046]图5是根据本发明实施例的静态用户终端认证处理装置的优选结构框图二，如图5所示，该装置除包括图2的所有模块外，还包括触发模块52，下面对该触发模块52进行说明。
[0047]该触发模块52，连接至上述发送模块22，用于通过以下触发方式至少之一触发向静态用户终端发送用于获取该静态用户终端的用户标识的标识请求报文:通过抓捕未认证的静态用户终端的上行流量的方式触发静态用户终端的EAP认证，其中，上行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的静态用户终端的下行流量的方式触发静态用户终端的EAP认证，其中，下行流量被预先存储的静态用户信息表匹配命中；通过抓捕未认证的静态用户终端的地址解析协议报文的方式触发静态用户终端的EAP认证，其中，地址解析协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的静态用户终端的因特网控制消息协议v6版本的邻居请求ICMPv6 NS协议报文的方式触发静态用户终端的EAP认证，其中，ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的静态用户终端的地址解析协议报文的方式触发静态用户终端的EAP认证，其中，地址解析协议报文被预先存储的静态用户信息表匹配命中；接收到静态用户设备发送的用于触发EAP认证的EAPoL开始报文。
[0048]图6是根据本发明实施例的静态用户终端认证处理装置的优选结构框图三，如图6所示，该装置除包括图2的所有模块外，还包括获取模块62，下面对该获取模块62进行说明。
[0049]该获取模块62，连接至上述认证模块26，用于在根据用户标识对静态用户终端进行EAP认证之前或之后，还包括:-通过以下方式至少之一获取静态用户终端的身份安全信息:通过扩展基于扩展的认证协议承载于局域网EAPoL开始报文通告配置下的配置选项的方式获取静态用户终端的身份安全信息；在EAP认证成功后，通过接收静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告报文的方式获取身份安全信息；在通过静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取身份安全信息；通过地址解析协议ARP报文或者邻居请求NS报文交互获取身份安全信息。
[0050]下面结合优选实施例的附图，对本发明优选实施例进行说明。
[0051]EAP承载于局域网EAPoL，即802.1X协议，其主要应用于无线LAN (即WLAN)的用户接入，并且主要是为了解决无线局域网用户的接入认证问题。网关根据配置抓捕未认证的静态IP用户的上行或下行报文流，触发该用户向网关设备进行EAP认证，或者未认证静态IP用户通过802.1X客户端主动向网关发送EAP认证的EAPoL开发报文，在认证后网关通过某种机制及时获知该静态IP用户的身份安全信息(例如，用户IP和MAC的绑定关系)，生成合法用户信息。静态用户接入采用802.1X方式进行认证，可以极大提高静态用户的安全性和无线用户移动性。因为802.1X协议承载的EAP协议可以提供一个鉴权平台，用户可以采用诸如可扩展的认证协议-受保护的可扩展的认证协议(EAP-PEAP)、可扩展的认证协议-用户身份标识模块(EAP-SM)、可扩展的认证协议-认证与密钥协商协议(EAP-AKA)、可扩展的认证协议-传输层安全(ΕΑΡ-TLS)、可扩展的认证协议-基于传输层安全的隧道协议(EAP-TTLS)等具体认证方法实现较高安全等级的认证，不仅有效避免因采用电路认证方式导致静态用户接入的安全性低和移动性差等弊端，而且在一定程度上防止了非法用户的盗用网络、干扰网络稳定的行径。
[0052]在本实施例中提供了一种基于802.1X认证静态IP用户接入处理方法，图7是根据本发明优选实施例的基于802.1X认证静态IP用户认证接入处理方法的流程图，如图7所不，无线接入点(Access Point,简称为AP)和无线接入控制器(Access Control,简称为AC)组成无线局域网，为用户提供接入网络。该基于802.1X认证静态IP用户接入流程包括如下步骤:
[0053]步骤S702，静态用户通过已连接网络接入到BNG设备，BNG以特定的方式触发该用户的EAP认证。触发的方式包括但不限于下面3种方式:[0054](I)静态用户关联接入附近的CPE (包括WLAN网络的AP)，使用802.1X客户端发送EAP承载于局域网-开始(EAPoL-Start)报文给BNG，BNG收到该EAPoL-Start报文创建EAPoL用户，触发EAP认证；
[0055](2)未认证的静态用户的上行流量被BNG的静态用户信息表匹配命中，BNG获悉该用户的MAC和IP，发现其要求使用802.1X接入方法，触发EAP认证；
[0056](3)网络侧访问未认证的静态用户的下行流量被BNG的用户路由表匹配命中，BNG根据用户路由表的关联的静态用户信息表获悉该用户的MAC和IP以及接入电路信息(在这种触发方式下电路信息为必选配置)，发现其要求使用802.1X接入方法，触发EAP认证。
[0057]在EAP认证过程结束，BNG应该及时获悉静态用户的MAC和IP绑定关系，根据本地静态用户信息表判断该静态IP和MAC的绑定关系是否合法，可以采用但不限于下面的4种方法获悉:
[0058](I)如果静态用户使用802.1X V3及以上版本的802.1X客户端，可以扩展EAPoL-Start-Announcement下选项,将静态用户终端(STA)配置的静态IP通告给BNG。
[0059](2)如果静态用户使用802.1X V3及以上版本的802.1X客户端，静态用户认证通过后，发送EAPoL-Announcement报文,携带扩展选项将静态用户配置的静态IP通告给BNG。
[0060](3)用户上行流触发的认证的场景，可以从匹配的报文中解析获取静态用户的IP和 MAC0
[0061](4)通过 ARP 或、邻居发现协议(Neighbor Discovery Protocol,简称为 NDP)报文交互获悉静态用户的IP和MAC。
[0062]上述的方法不局限于本步骤中实施。
[0063]满足EAP认证的触发条件后，BNG发送EAPoL-Request-1dentity报文(即上述的标识请求报文)给静态用户索要身份信息，该身份信息，可以是BNG分配特定的账号。
[0064]步骤S704,由静态用户对EAPoL-EAP-Request-1dentity报文做出处理，并发送EAPoL-EAP-Response-1dentity (即上述的响应报文)进行回应BNG。静态用户和BNG开始EAP鉴权会话。
[0065]步骤S706, BNG把EAPoL-EAP-Response-1dentity报文封装在认证请求协议报文(例如，Radius的Access-Request报文)中，发送给AAA服务器。AAA服务器和静态用户基于 EAP 协议协商具体的认证方法(例如，EAP-PEAP, EAP-TLS, EAP-TTLS, EAP-AKA, EAP-SIM等)，并基于该认证方法和静态用户进行交互，完成对静态用户鉴权。AAA服务器返回认证结果给BNG，BNG根据该认证结果发送EAPoL-EAP-Success或者是EAPoL-EAP-Failure报文给静态用户客户端。
[0066]静态用户收到了 EAPoL-EAP-Success报文，如果BNG已经获悉静态用户的MAC和IP绑定关系，至此，该用户可以访问无线网络。如果BNG还未获悉静态用户的MAC和IP绑定关系，还需要步骤S708完成上线。
[0067]步骤S708，在该静态用户认证成功后，BNG通过发送ARP请求或因特网控制消息协议 V6 (Internet Control Message Protocol v6,简称为 ICMPv6)的邻居请求(NeighborSo I i c i tat i on，简称为NS )报文给静态用户客户端，静态用户返回响应，BNG解析响应报文中的MAC、IP地址，根据BNG配置检查IP和MAC等静态用户信息是否合法，或者静态用户通过EAPoL-Announcement报文上报其配置的静态IP。如果BNG检测MAC、IP和配置的相匹配，静态用户至此就可以访问无线网络。
[0068]步骤S710，静态用户访问无线网络。
[0069]通过上述优选实施例，为静态用户访问无线网络提供较高的安全性和可靠性，提升了静态用户使用WLAN业务的服务满意度。
[0070]下面分别依据不同应用场景下对本发明优选实施例进行说明。
[0071]图8是根据本发明优选实施例的基于普通有线接入场景时静态用户终端接入网络的认证接入处理流程图，如图8所示，CPE和二层交换网络在BNG的之间。为了便于描述，并仅作为一种示例，本实施例中静态用户的认证流程由静态用户的上行流量或下行流量触发。该流程包括如下步骤:
[0072]步骤S802，在静态用户终端的无线网卡上配置静态IP地址、网关、DNS等信息。
[0073]步骤S804，BNG本地配置或网络管理系统(Network Manage System，简称为NMS)配置下发给BNG静态用户信息，包括MAC、IP地址、电路信息、要求802.1X接入、允许流量触发等这几个元素信息，这些元素用来判断上线的静态用户是否合法，其中“要求802.1X接入”是本实施例的必须配置，“电路信息”和“允许流量触发”为可选配置。“电路信息”配置后BNG将校验静态用户的接入电路是否匹配配置的电路信息，BNG采用802.1X认证后，也可根据需要，针对特殊要求的用户兼容电路认证。“允许流量触发”配置后，支持未认证的静态用户的上下行流量触发静态用户认证流程。
[0074]步骤S806，未认证静态用户终端的上行流量被BNG的静态用户信息表匹配命中，BNG获悉该用户的MAC和IP，发现其要求使用802.1X接入方法，BNG开始创建EAPoL用户。
[0075]步骤S808，BNG发送EAPoL-EAP-Request-1dentity报文给用户，索要身份信息。
[0076]步骤S810,静态用户终端收到EAPoL-EAP-Request-1dentity报文,并发送携带用户标识信息的 EAPoL-EAP-Response-1dentity 报文给 BNG。
[0077]步骤S812, BNG 封装 EAPoL-Response-1dentity 消息到 ACCESS-Request 报文的EAP-Message属性中，并发送ACCESS-Request消息给AAA服务器。
[0078]步骤S814，AAA服务器和静态用户终端的802.1X客户端协商，采用具体的认证方法EAP-PEAP (或者是EAP-TLS、EAP-SM、EAP-AKA、EAP-TTLS等)进行认证交互，完成对该静态用户的认证。
[0079]步骤S816，AAA服务器根据鉴权结果，发送ACCESS-Acc印t/Re ject消息给BNG。
[0080]步骤S818，BNG 发送认证结果报文 EAPoL-EAP-Success/EAPoL-EAP-Failure 报文给静态用户终端。如果是收到鉴权成功消息，BNG添加用户主机路由和用户表，开放转发面，使静态用户可以访问网络资源。如果是鉴权失败，静态用户将会再次尝试鉴权，直至超过一定鉴权次数。
[0081]至此，该静态用户可以访问网络资源。
[0082]图9是根据本发明优选实施例的基于胖AP部署场景时静态用户终端接入网络的认证接入处理流程图，如图9所示，AP本地转发。AP处于STA和BNG的之间。为了便于描述，本实施例中静态用户采用802.1X V3以上版本的客户端进行802.1X拨号认证。该流程包括如下步骤:
[0083]步骤S902，在静态用户终端的无线网卡上配置静态IP地址、网关、DNS等信息。
[0084]步骤S904, BNG服务端配置用户的用户MAC、IP地址、电路信息这几个元素信息,这些元素用来判断上线的静态用户是否合法，其中电路信息为可选配置，配置后BNG将校验静态用户的接入电路是否匹配配置的电路信息。BNG采用802.1X认证后，也可根据需要，针对特殊要求的用户兼容电路认证。
[0085]步骤S906，静态用户终端通过802.1X客户端关联附近的AP接入点，并发送EAPoL-Start报文至AP。静态用户通过EAPoL-Start报文通告自己的IP地址。
[0086]步骤S908，AP转发EAPoL-Start报文经过接入或汇聚交换机SW至BNG。
[0087]步骤S910,在 BNG 从 EAPoL-Start-Announcement 下 TLV 选项中获取 STA 通告给BNG的IP地址，BNG完成对该静态用户的IP、MAC的合法行检查。如果合法，BNG继续EAP鉴权，BNG开始创建EAPoL用户，并发送EAPoL-EAP-Request-1dentity报文给AP，索要身份信息。
[0088]步骤S912, AP 转发 EAPoL-EAP-Request-1dentity 报文至终端用户。
[0089]步骤S914,静态用户终端响应EAPoL-EAP-Request-1dentity报文，并发送EAPoL-EAP-Response-1dentity 报文给 AP。
[0090]步骤S916，AP转发含有用户信息的EAPoL-Response-1dentity报文给BNG。
[0091]步骤S918, BNG 封装 EAPoL-Response-1dentity 消息到 ACCESS-Request 报文的EAP-Message属性中，并发送ACCESS-Request消息给AAA服务器。
[0092]步骤S920，AAA服务器和静态用户协商，采用具体的认证方法EAP-PEAP (或者是EAP-TLS,EAP-SIM,EAP-AKA,EAP-TTLS 等)，在步骤 S920、步骤 S922、步骤 S924 的流程中，完成对静态客户端的认证。
[0093]步骤S926，AAA服务器根据鉴权结果，发送ACCESS_Acc印t/ReJect消息给BNG。
[0094]步骤S928，BNG 发送认证结果报文 EAPoL-EAP-Success/EAPoL-EAP-Failure 报文，如果AAA授权信息中有PMK，BNG同时设法捎带PMK给AP。如果收到鉴权成功消息，BNG添加用户主机路由和用户表，开放转发面，使STA可以访问网络资源。
[0095]步骤S930, AP 转发 EAPoL-EAP-Success/EAPoL-EAP-Failure 认证报文给静态用户。如果是鉴权失败，静态用户将会再次尝试鉴权，直至超过一定鉴权次数。
[0096]步骤S932，如果是空口加密的环境，AP和静态用户终端的802.1X客户端进一步协商空口数据报文加解密需要的密钥。
[0097]至此，该静态用户可以访问网络资源。
[0098]图10是根据本发明优选实施例的基于瘦AP部署场景时静态用户终端接入网络的认证接入处理流程图，如图10所示，AP进行集中转发。AC和AP组成无线接入网络，AC对AP进行配置管理和版本管理。静态用户终端的报文经过AP和AC转发至BNG。本次描述实施例中的静态用户使用的802.1X拨号客户端是低于802.1XV3协议的版本。该流程包括如下步骤:
[0099]步骤S1002，在静态用户终端的无线网卡上配置静态IP地址、网关、DNS等信息。
[0100]步骤S1004，BNG服务端配置用户的MAC、IP地址、电路信息等信息元素，该元素用来判断上线的静态用户是否合法。BNG采用802.1X认证后，也可根据需要，针对特殊用户兼容电路认证的方式。
[0101]步骤S1006，静态用户终端通过802.1X客户端关联附件的AP接入点，并发送EAPoL-Start 报文至 AP。[0102]步骤S1008，AP 转发 EAPoL-Start 报文经过 AC 至 BNG。
[0103]步骤S1010，BNG开始创建EAPoL用户，并通过AC发送EAPoL-EAP-Request-1dentity 报文给 AP,索要身份信息。
[0104]步骤S1012，AP 转发 EAPoL-EAP-Request-1dentity 报文至终端用户。
[0105]步骤S1014,静态用户终端响应EAPoL-EAP-Request-1dentity报文，发送EAPoL-EAP-Response-1dentity 报文给 AP。
[0106]步骤S1016，AP经过AC转发含有用户信息的EAPoL-EAP-Response-1dentity报文给 BNG。
[0107]步骤S1018, BNG 把 EAPoL-EAP-Response-1dentity 消息作为 ACCESS-Request 报文中的EAP-Message属性值，发送ACCESS-Request报文至AAA服务器。
[0108]步骤S1020，AAA服务器和静态用户协商，采用具体的鉴权方式EAP-PEAP (或者是EAP-TLS,EAP-SIM,EAP-AKA,EAP-TTLS 等)，在步骤 S1020、步骤 S1022、步骤 S1024 的流程中，完成对静态客户端的认证。
[0109]步骤S1026，AAA服务器根据鉴权结果，发送ACCESS-Acc印t/ReJect消息给BNG。
[0110]步骤S1028，BNG发送鉴权结果报文通过AC中转EAPoL-EAP-Success/EAPoL-EAP-Failure报文给AP，有需要的话同样捎带AAA授权下发的PMK。
[0111]步骤S1030，AP转发EAPoL的鉴权结果报文给静态用户。
[0112]步骤S1032，如果是空口加密的环境，AP和静态用户终端的802.1X客户端进一步协商空口数据报文加解密需要的密钥。允许AC代理AP做空口的密钥协商，但是不推荐。
[0113]步骤S1034，BNG收到AAA鉴权成功消息，通过AC发送ARP请求报文给AP。
[0114]步骤S1036，AP转发ARP请求报文至STA静态用户终端。
[0115]步骤S1038，静态用户终端发送ARP响应至AP。
[0116]步骤S1040，AP转发ARP响应至BNG，BNG根据ARP响应中的IP、MAC完成对该静态用户IP、MAC合法行的判断，如果检测通过，BNG添加用户主机路由和用户表，开放转发面通过使STA和授权的外部网络资源互通。
[0117]至此，该静态用户可以访问网络资源。
[0118]在本实施例中，在基于普通接入场景、胖AP部署场景的基础上衍生出支持802.1X认证的静态用户通过IPV6接入的方案，图11是根据本发明优选实施例的基于802.1X认证的静态用户通过IPV6接入网络的认证接入处理流程图，如图11所示，无线网络由AP和AC组网完成集中转发，也可以由FAT-AP完成本地转发。该流程包括如下步骤:
[0119]步骤S1102，在静态用户终端的无线网卡上配置IPV6地址、网关、DNS等信息。
[0120]步骤SI 104，BNG服务端配置用户的用户MAC、IPV6、电路信息等信息元素，该元素用来判断上线的静态用户是否合法。
[0121]步骤S1106，静态用户终端关联附件的AP接入点，并发送EAPoL-Start报文，通过WLAN网络转发至BNG。
[0122]步骤SI 108，BNG仓Ij建EAPoL用户，并通过WLAN网络发送EAPoL-EAP-Request-1dentity报文给用户终端，索要身份信息。
[0123]步骤S1110,静态用户终端响应EAPoL-EAP-Request-1dentity报文，并通过WLAN网络发送 EAPoL-EAP-Response-1dentity 报文给 BNG。[0124]步骤S1112，BNG 把 EAPoL-EAP-Response-1dentity 报文作为 RADIUS 协议的ACCESS-Request报文中的EAP-MessAge属性值，发送ACCESS-Request报文至AAA服务器。
[0125]步骤S1114，AAA服务器和静态用户终端协商具体的认证方法EAP-PEAP (或者是EAP-TLS、EAP-TTLS等)，在步骤S1114、步骤S1116的流程中，完成对静态客户端的认证。
[0126]步骤SI 118，AAA服务器根据鉴权结果，发送ACCESS-Acc印t/ReJect消息给BNG。
[0127]步骤SI 120，BNG 发送 EAPoL-EAP-Success/EAPoL-EAP-Failure 报文给静态用户终端。
[0128]步骤S1122，如果是空口加密的环境，AP和静态用户终端的802.1X客户端进一步协商空口数据报文加解密需要的密钥。PMK的传递参考前面描述的实施例。
[0129]步骤SI 124，如果鉴权成功，静态用户终端发送NS报文至BNG，BNG根据配置检测IP地址、MAC是否合法，如果检测通过，BNG打通转发面IPv6的报文转发。
[0130]步骤SI 126，用户终端发送RS请求至BNG，BNG响应RS报文，发送含有前缀的RA报文给用户终端，通告默认路由给用户终端。
[0131]至此，该静态用户可以访问网络资源。
[0132]V6 地址的场景下，BNG 也通过 EAPoL-Start/EAPoL-Start-Announce 的 TLV 字段获取IPV6地址，也可以从NS报文中获取静态用户的IPV6地址，对IPV6地址、MAC地址进行合法行检测。
[0133]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0134]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种静态用户终端认证处理方法，其特征在于，包括: 向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文； 接收来自所述静态用户终端的响应报文，其中，所述响应报文中携带有所述用户标识； 根据所述用户标识对所述静态用户终端进行扩展的认证协议EAP认证。
2.根据权利要求1所述的方法，其特征在于，在根据所述用户标识对所述静态用户终端进行所述EAP认证之后，并在所述EAP认证成功的情况下，还包括: 向接入密钥协商点传递授权信息中携带的成对主密钥，其中，所述接入密钥协商点与所述静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。
3.根据权利要求1所述的方法，其特征在于，根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行所述EAP认证包括: 向认证授权计费AAA服务器发送接入请求报文，其中，所述接入请求报文中携带有要求基于所述EAPoL接入网络的所述静态用户终端的用户标识； 接收到来自所述AAA服务器的认证结果，其中，所述AAA服务器根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行协商认证。
4.根据权利要求1所述的方法，其特征在于，通过以下触发方式至少之一触发向所述静态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报文: 通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户终端的EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户终端的EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的因特网控制消息协议v6版本的邻居请求ICMPv6 NS协议报文的方式触发所述静态用户终端的EAP认证，其中，所述ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；接收到所述静态用户设备发送的用于触发EAP认证的EAPoL开始报文。
5.根据权利要求1所述的方法，其特征在于，在根据所述用户标识对所述静态用户终端进行所述EAP认证之前或之后，还包括:通过以下方式至少之一获取所述静态用户终端的身份安全信息: 通过扩展基于扩展的认证协议承载于局域网EAPoL开始通告配置下的配置选项的方式获取所述静态用户终端的所述身份安全信息； 在所述EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告报文的方式获取所述身份安全信息； 在通过所述静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取所述身份安全信息； 通过地址解析协议ARP报文、邻居请求NS报文交互获取所述身份安全信息。
6.一种静态用户终端认证处理装置，其特征在于，包括: 发送模块，用于向所述静态用户终端发送用于获取所述静态用户终端的用户标识的标识请求报文； 接收模块，用于接收来自所述静态用户终端的响应报文，其中，所述响应报文中携带有所述用户标识； 认证模块，用于根据所述用户标识对所述静态用户终端进行扩展的认证协议EAP认证。
7.根据权利要求6所述的装置，其特征在于，还包括: 传递模块，用于在根据所述用户标识对所述静态用户终端进行所述EAP认证之后，并在所述EAP认证成功的情况下，向接入密钥协商点传递授权信息中携带的成对主密钥，其中，所述接入密钥协商点与所述静态用户终端的802.1X客户端协商用于空口数据报文交互的密钥。
8.根据权利要求6所述的装置，其特征在于，所述认证模块包括: 发送单元，用于向认证授权计费AAA服务器发送接入请求报文，其中，所述接入请求报文中携带有要求基于所述EAPoL接入网络的所述静态用户终端的用户标识； 接收单元，用于接收到来自所述AAA服务器的认证结果，其中，所述AAA服务器根据所述用户标识对所述静态用户终端基于所述EAPoL接入网络进行协商认证。
9.根据权利要求6所述的装置，其特征在于，还包括触发模块，用于通过以下触发方式至少之一触发向所述静态用户终端发送用于获取所述静态用户终端的所述用户标识的所述标识请求报文: 通过抓捕未认证的所述静态用户终端的上行流量的方式触发所述静态用户终端的EAP认证，其中，所述上行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的下行流量的方式触发所述静态用户终端的EAP认证，其中，所述下行流量被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；通过抓捕未认证的所述静态用户终端的因特网控制消息协议v6版本的邻居请求ICMPv6 NS协议报文的方式触发所述静态用户终端的EAP认证，其中，所述ICMPv6 NS协议报文被预先存储的静态用户信息表匹配命中； 通过抓捕未认证的所述静态用户终端的地址解析协议报文的方式触发所述静态用户终端的EAP认证，其中，所述地址解析协议报文被预先存储的静态用户信息表匹配命中；接收到所述静态用户设备发送的用于触发EAP认证的EAPoL开始报文。
10.根据权利要求6所述的装置，其特征在于，还包括获取模块，用于在根据所述用户标识对所述静态用户终端进行所述EAP认证之前或之后，还包括:通过以下方式至少之一获取所述静态用户终端的身份安全信息: 通过扩展基于扩展的认证协议承载于局域网EAPoL开始通告配置下的配置选项的方式获取所述静态用户终端的所述身份安全信息； 在所述EAP认证成功后，通过接收所述静态用户终端发送的基于扩展的认证协议承载于局域网EAPoL通告报文的方式获取所述身份安全信息；在通过所述静态用户终端的上行流量触发认证的情况下，从匹配的上行报文中解析获取所述身份安全信息； 通过地址解析协议ARP报文或者邻居请求NS报文交互获取所述身份安全信息。
【文档编号】H04L9/32GK103973658SQ201310043784
【公开日】2014年8月6日 申请日期:2013年2月4日 优先权日:2013年2月4日
【发明者】梁乾灯, 石磊, 宋娜 申请人:中兴通讯股份有限公司