专利名称:在无线接入系统中实现eap认证中继的方法
技术领域:
本发明涉及一种在宽带接入系统中实现认证的方法,尤其涉及一种在无线接入系统中实现EAP(Extensible Authen-tication Protocol,扩展认证协议)认证中继的方法。
背景技术:
在宽带接入系统中,保证用户的合法接入和通讯安全是必需的要求。一般用户接入网络时,需要通过AAA(Authentication Authorization Accounting,认证、授权和计费)过程,判断用户的合法性;根据用户预先签约的情况授权用户是否能接入网络,能享受哪些服务;同时触发对该用户的计费工作。这就是AAA所谓的认证、授权和计费的过程。为了保证用户的通讯安全,需要对用户的数据流进行加密和完整性保护,这样需要在通讯的两个实体间建立共享的密钥;为保证密钥分发的安全性,密钥分发过程往往是和用户AAA的过程关联的,并在用户认证和授权后完成密钥分发。在无线接入网络中,由于空口是开放的,因此对通讯安全的考虑至关重要。
在AAA框架中,目前采用EAP作为认证方法的承载协议是一种趋势。EAP协议本身具有通用性和良好的可扩展性,EAP本身能承载多种认证方法(如TLS(Transport Layer Security,传输层安全)/SIM(Subscriber Identity Module,用户识别模组)/AKA(Authentication and Key Agreement,认证和密钥协商)等),同时它并不限定底层的承载机制,底层的承载机制可以是以太网、WiFi(WirelessFidelity,无线保真联盟组织)、WiMAX(World Interoperability for MicrowaveAccess,世界微波接入互操作组织)等链路层通道,也可以承载在IP、UDP(UserDatagram Protocol,用户数据报协议)、RADIUS(Remote Authentication Dial-InUser Service,远程认证拨号用户服务协议)等高层通道。
在无线接入WiMAX网络中,对用户认证和空口安全性作了一些详细的考虑。在NWG(Network Work Group,WiMAX论坛的网络工作组)的标准草案中,定义了采用EAP作为用户认证协议,并描述了大致的认证和密钥下发的过程。在IEEE 802.16e标准定义中,其安全子层新增加了PKMv2(Privacy KeyManagement,私钥管理协议),相对PKMv1,PKMv2也增加支持了EAP方式的终端身份认证手段。
请参阅图1,是NWG定义的WiMAX认证协议框图,可以看到,在Supplicant(请求者)/MS(Mobility Station,移动站)到Authentication Relay(认证中继器)/BS(Base Station,基站)之间的R1参考点(空口)上,802.16e定义了标准的EAP over PKM(以下简称EAPoP)的协议。但由于PKM只是在802.16定义的空口上的承载消息,并不能直接应用到其他链路层上。因此在BS到Authenticator(认证者)/GW(Gateway,网关)之间的R6参考点上,NWG定义了需要支持认证中继协议(Authentication Relay Protocol),但并未定义具体的协议和实现,从目前的定义来看,这个认证中继协议并未标准化,因此,使不同厂家的BS和GW之间的互通存在问题。在Authenticator/GW到Authentication Server(认证服务器)/AAA Server(AAA服务器)之间的R3参考点上,IETF定义了标准的EAP overRADIUS/Diameter等EAP over AAA的协议(简称EAPoA)。
发明内容
本发明所要解决的技术问题在于提供一种可使不同厂家的认证中继器和认证者之间能互通的在无线接入系统中实现EAP认证中继的方法。
为解决上述技术问题,本发明所采用的技术方案是提供一种在无线接入系统中实现EAP认证中继的方法,在EAP认证过程中,请求者Supplicant和认证中继器Authentication Relay之间运行EAP承载在无线介质的认证协议,认证中继器和认证者Authenticator之间运行EAPoL认证协议,在认证中继器中实现EAP承载在无线介质的认证协议到以太网EAPoL认证协议的转换。
所述方法进一步包括以下步骤A1.请求者向认证中继器发出EAP承载在无线介质的认证协议的认证消息;A2.认证中继器接收到请求者发出的EAP承载在无线介质的认证协议的认证消息后,将所述消息转换成EAPoL报文,并将转换后的EAPoL报文转发给认证者;A3.认证者接收到认证中继器发送的EAPoL报文后,对于需要向认证中继器发送的报文,则采用EAPoL的方式发送,认证者在接收认证、授权和计费AAA服务器发送的EAPoA报文,需要向认证中继器转发的,则转换成EAPoL报文发送;A4.认证中继器接收到认证者发出的EAPoL报文后,将所述报文转换成EAP承载在无线介质的认证协议报文,并在空口中发送给请求者;A5.然后进行EAP的认证方法协商和认证方法交换的过程,在这些过程中,请求者和认证中继器之间均采用EAP承载在无线介质的认证协议消息交互,在认证中继器和认证者之间均采用EAPoL报文进行交互,直到EAP认证过程结束,从而认证中继器完成了EAP认证中继的功能。
所述无线接入系统为WiMAX系统,所述EAP承载在无线介质的认证协议为EAPoP。
所述步骤A1进一步包括以下步骤当802.16基本的空口链路建立后,请求者启动PKM-Request消息,消息类型为EAP-Start,向认证中继器申请进行EAP认证。
所述步骤A2进一步包括以下步骤认证中继器接收到所述PKM-Request消息后,生成EAPoL的EAP-Start报文,发送到认证者。
所述步骤A3进一步包括以下步骤认证者接收到EAPoL的EAP-Start报文后,向认证中继器发出EAP-Request/Identity身份查询请求;该EAP-Request/Identity报文由EAPoL的EAP-Packet报文承载。
所述步骤A4进一步包括以下步骤认证中继器接收到EAPoL的EAP-Request/Identity报文后,将EAP-Request/Identity身份查询请求封装在PKM-Response消息中,消息类型为EAP-Transfer,发送给请求者。
步骤A5所述的过程中,请求者和认证中继器之间均采用PKM-Request/Response消息交互,消息类型均为EAP-Transfer;在认证中继器和认证者之间均采用EAPoL EAP-Packet报文进行交互。
本发明的有益效果是由于本发明在认证中继器中实现EAP承载在无线介质的认证协议到以太网EAPoL认证协议的转换,也即在网络侧采用EAPoL标准认证协议,从而有利于不同厂家的设备互通,并能很好地利用现有的以太接入会聚网络;本发明可以在目前固网接入网的框架下工作,而无需大的改动。
图1是NWG定义的WiMAX认证协议框图;图2是本发明定义的WiMAX认证协议框图;图3是本发明在WiMAX系统中EAPoP到EAPoL协议转换的一种实现过程示意图。
具体实施例方式
在宽带有线接入的网络中,大量采用的链路层技术是以太网技术。本发明在无线接入系统中实现EAP认证中继的方法针对的是在BS到GW之间的网络采用的是802.3以太网链路机制的网络。对于以太网上的EAP认证,IEEE 802.1x定义了标准的EAP承载在以太网上的协议,即EAP over LAN(以下简称EAPoL)。本发明在无线接入系统中实现EAP认证中继的方法,主要是通过在EAP认证过程中,MS和BS之间运行EAP承载在无线介质的认证协议,BS和GW之间运行EAPoL认证协议,在BS中实现EAP承载在无线介质的认证协议到以太网EAPoL认证协议的转换,即在空口上完成EAP承载在无线介质的认证协议的认证,而在网络侧实现EAPoL认证,从而实现BS到GW的EAP认证中继。
下面以无线接入系统的一种,即WiMAX系统,为例来对本发明在无线接入系统中实现EAP认证中继的方法进行描述。在WiMAX系统中时,所述EAP承载在无线介质的认证协议为EAPoP。
请参阅图2,是本发明定义的WiMAX认证协议框图。由图中可知R1参考点的网络是WiMAX的空中无线接口,其链路层机制为802.16定义的链路层;R6参考点的网络是BS和GW之间的有线接入会聚网络,在本发明中,该网络的链路层机制为802.3定义的以太网链路层;R3参考点的网络是GW和AAA server之间的核心网络,其链路层机制可以有多种。
本发明所述的BS和GW只是WiMAX论坛对网元部件的叫法。本发明并不限定具体的设备形态。例如BS也可以是DSL(Digital Subscriber Loop,数字用户环路)论坛中的AN(Access Node,接入节点),GW也可以是DSL论坛中的BNG(Broadband Network Gateway,宽带网络网关)。
本发明在WiMAX系统中实现EAP认证中继的方法包括以下步骤A1.MS接入网络时,在空口发起EAP认证,该EAP报文承载在802.16PKM消息之上,即MS向BS发出EAPoP的认证消息;A2.BS接收到MS发出的EAPoP的认证消息后,将该消息转换成EAPoL报文,并将转换后的EAPoL报文转发给GW;此时EAPoL报文承载在以太网上;A3.GW接收到BS发送的EAPoL报文后,对于需要向AAA server转发的报文,则将EAPoL报文转换成EAPoA报文转发到AAA Server;此时EAP报文承载在AAA协议(如RADIUS或Diameter协议)上。对于需要向BS发送的报文,则采用EAPoL的方式发送。GW在接收AAA server发送的EAPoA报文,需要向BS转发的,则转换成EAPoL报文发送。此过程是标准的EAP转换过程;A4.BS接收到GW发出的EAPoL报文后,将该报文转换成EAPoP报文,并在空口中发送给MS;此时EAPoP报文承载在802.16PKM消息上;这样,通过在BS中实现EAPoP和EAPoL协议之间的转换;A5.然后进行EAP的认证方法协商和认证方法交换的过程,在这些过程中,MS和BS之间均采用EAPoP消息交互,在BS和GW之间均采用EAPoL报文进行交互,直到EAP认证过程结束,从而BS完成了EAP认证中继的功能。
BS在完成EAP认证中继功能时,为保证EAPoL报文能顺利穿透R6参考点的以太网接入会聚网络,需要预先配置GW的转发路径包括转发的目的VLAN(Virtual Local Area Network,虚拟局域网)和目的单播MAC(Media AccessControl,媒体接入控制)地址(即Authenticator的MAC地址)。如果BS预先不知道Authenticator的MAC地址,则采用802.1x定义的特定组播MAC地址作为EAPoL报文的目的MAC地址,源MAC地址采用BS自身的MAC地址。
通过EAP认证过程,完成MS的认证和授权后,合法的MS会被授权接入网络。此时根据不同的EAP认证方法的要求,如果需要,AAA Server会为合法的MS下发密钥,比如MSK(Master Session Key,主会话密钥),用于MS生成后续的其他密钥,如AK(Authorization Key,授权密钥),并对后续的会话加密和保证完整性;而在WiMAX系统中,相关的密钥也需要下发给BS,如AK;在NWG中定义的AK Transfer Protocol(AK传送协议)可以将AK从GW下发到BS;但该协议没有标准化。因此,为了使不同厂家的BS和GW之间能互通,因此本发明提供一种将需要传送的WiMAX的密钥从GW下发到BS的方法,本发明采用EAPoL定义的EAP-Key报文携带需要传送的WiMAX的密钥,如AK。不过在802.1x标准中,EAP-Key的Key Descriptor只定义了2种密钥类型RC4和802.11。因此,本发明扩展定义EAP Key Descriptor Type支持802.16密钥类型,称为“802.16Key Descriptor”,用于传送WiMAX相关的密钥;另外,在EAPoL标准中,定义了MS主动下网的机制,MS发送EAP-Logoff消息通知网络主动下网。网络接收到后,会修改相应的授权状态,完成用户下网的过程。但在本发明中,采用BS检测MS下网和异常的情况,由BS发起EAPoL的EAP-Logoff消息,触发用户下网的过程。
请参阅图3,下面以EAPoP到EAPoL协议转换的一种实现过程来说明本发明在WiMAX系统中实现EAP认证中继的方法,其包括以下步骤B1.当802.16基本的空口链路建立后,MS启动PKM-Request消息,消息类型为EAP-Start,向BS申请进行EAP认证,即MS向BS发出EAPoP的认证消息;B2.BS接收到该PKM-Request消息后,生成EAPoL的EAP-Start报文;发送到GW;B3.GW接收到EAPoL的EAP-Start报文后,向BS发出EAP-Request/Identity身份查询请求;该EAP-Request/Identity报文由EAPoL的EAP-Packet报文承载;B4.BS接收到EAPoL的EAP-Request/Identity报文后,将EAP-Request/Identity身份查询请求封装在PKM-Response消息中,消息类型为EAP-Transfer,发送给MS;B5.MS采用PKM-Request消息,消息类型为EAP-Transfer,向BS发送EAP-Response/Identity应答报文;B6.BS将EAP-Response/Identity封装在EAPoL的EAP-Packet报文中,转发给GW;B7.然后进行EAP的认证方法协商,以及认证方法交换的过程;在这些过程中,MS和BS之间均采用PKM-Request/Response消息交互,消息类型均为EAP-Transfer;在BS和GW之间均采用EAPoL EAP-Packet报文进行交互;直到EAP认证过程结束;B8.在通过EAP认证过程中,如果需要,AAA Server会为合法的MS下发密钥,而相关的密钥也需要下发给BS,如AK。本发明采用EAPoL定义的EAP-Key报文携带需要传送的WiMAX的密钥。其中EAP Key Descriptor Type为“802.16 Key Descriptor”,用于传送WiMAX相关的Key;B9.在通过EAP认证后,BS如果检测到MS下网或异常(可能有多种原因和检测方式,比如MS取消注册、MS关机、空口信号质量不可用等),则BS会主动发起EAPoL的EAP-Logoff报文,指示GW修改相应的授权状态。
在进行协议转换的过程时,BS本身不参与EAP处理,只作802.16链路层到以太网链路层的转换。
由于本发明在BS中实现EAPoP认证协议到以太网EAPoL认证协议的转换,也即在网络侧采用EAPoL标准认证协议,从而有利于不同厂家的设备互通,并能很好地利用现有的以太接入会聚网络;本发明可以在目前固网接入网的框架下工作,而无需大的改动。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种在无线接入系统中实现EAP认证中继的方法,其特征在于在EAP认证过程中,请求者Supplicant和认证中继器Authentication Relay之间运行EAP承载在无线介质的认证协议,认证中继器和认证者Authenticator之间运行EAPoL认证协议,在认证中继器中实现EAP承载在无线介质的认证协议到以太网EAPoL认证协议的转换。
2.如权利要求1所述的方法,其特征在于所述方法进一步包括以下步骤A1.请求者向认证中继器发出EAP承载在无线介质的认证协议的认证消息;A2.认证中继器接收到请求者发出的EAP承载在无线介质的认证协议的认证消息后,将所述消息转换成EAPoL报文,并将转换后的EAPoL报文转发给认证者;A3.认证者接收到认证中继器发送的EAPoL报文后,对于需要向认证中继器发送的报文,则采用EAPoL的方式发送,认证者在接收认证、授权和计费AAA服务器发送的EAPoA报文,需要向认证中继器转发的,则转换成EAPoL报文发送;A4.认证中继器接收到认证者发出的EAPoL报文后,将所述报文转换成EAP承载在无线介质的认证协议报文,并在空口中发送给请求者;A5.然后进行EAP的认证方法协商和认证方法交换的过程,在这些过程中,请求者和认证中继器之间均采用EAP承载在无线介质的认证协议消息交互,在认证中继器和认证者之间均采用EAPoL报文进行交互,直到EAP认证过程结束,从而认证中继器完成了EAP认证中继的功能。
3.如权利要求1或2所述的方法,其特征在于所述无线接入系统为WiMAX系统,所述EAP承载在无线介质的认证协议为EAPoP。
4.如权利要求3所述的方法,其特征在于所述EAPoL报文承载在以太网上。
5.如权利要求3所述的方法,其特征在于所述EAPoP报文承载在802.16PKM消息上。
6.如权利要求3所述的方法,其特征在于所述步骤A1进一步包括以下步骤当802.16基本的空口链路建立后,请求者启动PKM-Request消息,消息类型为EAP-Start,向认证中继器申请进行EAP认证。
7.如权利要求6所述的方法,其特征在于所述步骤A2进一步包括以下步骤认证中继器接收到所述PKM-Request消息后,生成EAPoL的EAP-Start报文,发送到认证者。
8.如权利要求7所述的方法,其特征在于所述步骤A3进一步包括以下步骤认证者接收到EAPoL的EAP-Start报文后,向认证中继器发出EAP-Request/Identity身份查询请求;该EAP-Request/Identity报文由EAPoL的EAP-Packet报文承载。
9.如权利要求8所述的方法,其特征在于所述步骤A4进一步包括以下步骤认证中继器接收到EAPoL的EAP-Request/Identity报文后,将EAP-Request/Identity身份查询请求封装在PKM-Response消息中,消息类型为EAP-Transfer,发送给请求者。
10.如权利要求9所述的方法,其特征在于步骤A4后还包括步骤B5请求者采用PKM-Request消息,消息类型为EAP-Transfer,向认证中继器发送EAP-Response/Identity应答报文。
11.如权利要求10所述的方法,其特征在于步骤B5后还包括步骤B6认证中继器将EAP-Response/Identity封装在EAPoL的EAP-Packet报文中,转发给认证者。
12.如权利要求11所述的方法,其特征在于步骤A5所述的过程中,请求者和认证中继器之间均采用PKM-Request/Response消息交互,消息类型均为EAP-Transfer;在认证中继器和认证者之间均采用EAPoL EAP-Packet报文进行交互。
13.如权利要求3所述的方法,其特征在于在通过所述EAP认证过程中,如果需要,AAA服务器会为合法的请求者和认证中继器下发密钥,该密钥采用EAPoL定义的EAP-Key报文携带,其中EAP Key Descriptor Type为802.16KeyDescriptor。
14.如权利要求3所述的方法,其特征在于在通过所述EAP认证后,认证中继器如果检测到请求者下网或异常,则认证中继器会主动发起EAPoL的EAP-Logoff报文,指示认证者修改相应的授权状态。
15.如权利要求3所述的方法,其特征在于所述认证中继器在完成EAP认证中继功能时,其预先配置了认证者的转发路径包括转发的目的虚拟局域网VLAN和目的单播媒体接入控制MAC地址。
16.如权利要求3所述的方法,其特征在于所述认证中继器在完成EAP认证中继功能时,如果认证中继器预先不知道认证者的MAC地址,则采用802.1x定义的特定组播MAC地址作为EAPoL报文的目的MAC地址,源MAC地址采用认证中继器自身的MAC地址。
17.如权利要求1所述的方法,其特征在于所述请求者为移动站,所述认证中继器为基站,所述认证者为网关。
18.如权利要求1所述的方法,其特征在于所述请求者为移动站,所述认证中继器为接入节点,所述认证者为宽带网络网关。
全文摘要
本发明涉及一种在无线接入系统中实现EAP认证中继的方法,在EAP认证过程中,请求者Supplicant和认证中继器Authentication Relay之间运行EAP承载在无线介质的认证协议,认证中继器和认证者Authenticator之间运行EAPoL认证协议,在认证中继器中实现EAP承载在无线介质的认证协议到以太网EAPoL认证协议的转换。本发明的方法可使不同厂家的认证中继器和认证者之间能互通,并能很好地利用现有的以太接入会聚网络;本发明可以在目前固网接入网的框架下工作,而无需大的改动。
文档编号H04L29/06GK1859098SQ200610034248
公开日2006年11月8日 申请日期2006年3月8日 优先权日2006年3月8日
发明者李军, 梅柳波 申请人:华为技术有限公司