一种以bras作为peap认证点的实现方法和系统的制作方法
【技术领域】
[0001] 本发明属于通信领域,尤其涉及一种以BRAS作为PEAP认证点的实现方法和系统。
【背景技术】
[0002] PEAP(受保护的可扩展认证协议)协议中描述的认证过程在UE(用户终端)、WLAN AN(WLAN接入网络)和AAA(认证、授权、计费)服务器三者间交互完成。
[0003] 而在实际网络中,传统电信运营商的WLANAN由两部分组成:WLAN接入设备(胖AP 或AC+瘦AP)和BRAS(宽带远程接入服务器),两者协作,共同实现了WLANAN的功能。
【发明内容】
[0004] 本发明的发明人发现上述现有技术中存在问题,并因此针对所述问题中的至少一 个问题提出了一种新的技术方案。
[0005] 根据本发明一方面,提出一种以BRAS作为PEAP认证点的实现方法,包括:
[0006] AP与用户终端建立连接;
[0007] 以BRAS作为认证点进行受保护的可扩展认证协议(PEAP)认证,在PEAP认证授权 通过以后,由BRAS将用户成对主密钥(PMK)发给AC,并且接收由AC回应的ACK消息;
[0008] 由AC与用户终端基于PMK进行密钥协商。
[0009] 进一步,BRAS通过扩展的接口将用户PMK发给AC。
[0010] 进一步,扩展的接口为国际标准协议接口或者自定义的接口。
[0011] 进一步,BRAS通过报文将用户PMK发给AC,该报文包括:MD5校验码。
[0012] 进一步,所使用的传输协议需支持BRAS发给AC的报文,其报文属性包括MAC地址 和PMK,并且,所使用的传输协议需支持AC发给BRAS的报文,其报文属性包括MAC地址和错 误码。
[0013] 根据本发明另一方面,还提出一种以BRAS作为PEAP认证点的实现系统,包括AP、 AC以及BRAS,其中:
[0014] AP与用户终端建立连接;
[0015] BRAS作为认证点进行PEAP认证,在PEAP认证授权通过以后,由BRAS将用户PMK 发给AC,并且接收由AC回应的ACK消息;
[0016] AC与用户终端基于PMK进行密钥协商。
[0017] 进一步,BRAS通过扩展的接口将用户PMK发给AC。
[0018] 进一步,扩展的接口为国际标准协议接口或者自定义的接口。
[0019] 进一步,BRAS通过报文将用户PMK发给AC,该报文包括:MD5校验码。
[0020] 进一步,所使用的传输协议需支持BRAS发给AC的报文,其报文属性包括MAC地址 和密钥,并且,所使用的传输协议需支持AC发给BRAS的报文,其报文属性包括MAC地址和 错误码。
[0021] 本发明规范了在WLAN网络架构中实现PEAP认证的过程。适用于WLAN接入设备 (AC或胖AP)与BRAS共存的WLAN网络。
[0022] 通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其 优点将会变得清楚。
【附图说明】
[0023] 构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解 释本发明的原理。
[0024] 参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
[0025] 图1所示为WLANAN不分离的PEAP认证流程图。
[0026] 图2a和图2b是以BRAS作为支持PEAP认证点的认证流程图。
[0027] 图3所示为本发明以BRAS作为PEAP认证点的实现系统的结构示意图。
【具体实施方式】
[0028] 现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具 体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本 发明的范围。
[0029] 同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际 的比例关系绘制的。
[0030] 以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明 及其应用或使用的任何限制。
[0031] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适 当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
[0032] 在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不 是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0033] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一 个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0034] 为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照 附图,对本发明进一步详细说明。
[0035] 图1所示为WLANAN不分离的PEAP认证流程图。在PEAP协议中,描述的协议交 互过程由UE、WLANAN、AAA三个网元实现。其中,WLANAN包括AP(接入点)、AC(AP控制 器)和BRAS。该流程包括以下步骤:
[0036] 步骤--、连接建立。
[0037] 用户终端和AP设备通过802. 11协议建立关联,对应于图1中步骤1。
[0038] 步骤一二、PEAP认证。
[0039] 用户终端和AAA服务器执行PEAP认证流程。其中BRAS作为802.IX认证的认证 点,负责用户终端与AAA服务器之间的认证消息的转发。对应于图1中步骤2~步骤13。
[0040] 步骤一三、密钥协商。
[0041] PEAP认证授权通过以后,AC与用户终端执行密钥协商。对应于图1中步骤14。
[0042] 步骤一四、地址分配。
[0043] 用户终端与BRAS通过DHCP协议交互获得IP地址。对应于图1中步骤15。
[0044] 步骤一五、计费。
[0045] BRAS发送计费报文发起计费。对应于图1中步骤16~步骤17。
[0046] 在图1中,用虚线对这5大步骤进行了分隔标示。
[0047] 对于某些运营商(比如:中国移动),WLANAN的功能都由AP+AC实现,AC可完成对 WLAN无线信道的管理以及对WLAN用户的认证。在此类网中可以方便地部署PEAP认证。
[0048] 对于某些运营商(主要是传统的固网运营商,比如:中国电信、中国联通),WLANAN 的功能分别由WLAN接入设备(AC或胖AP)和BRAS实现,其中,AC负责对WLAN无线信道进 行管理,BRAS是固网宽带的认证点,所以也可以用作WLAN的认证点,负责对WLAN用户进行 认证。在此类网络中,不能简单地按照PEAP协议部署PEAP认证。
[0049] 图2a和图2b是以BRAS作为支持PEAP认证点的认证流程图。对照图1,图2a中 把WLANAN分离成AP、AC和BRAS三个具体的网元。这是个比较复杂的架构,也是目前现网 中主要的架构。如果采用胖AP,则只需要将AP与AC合并即可。
[0050] 如图2a所不,认证流程也基本分为5个大步骤,并且,在图2a中也用虚线对这5 大步骤进行了分隔标示。
[0051] 步骤二一、AP与用户