一种多主机网络的aaa架构及认证方法

专利名称：一种多主机网络的aaa架构及认证方法
技术领域：
本发明涉及移动通信技术，特别涉及宽带无线接入技术，具体的讲是一种多主机网络的AAA架构及认证方法。
背景技术：
AAA是指认证(Authentication)，授权(Authorization)，计费(Accounting)。运营商通过AAA架构对认证用户身份后，根据用户开户时申请的服务类别授予相应的权限。当用户使用网络资源时，AAA系统中的相应的设备统计用户占用的资源，并收取相应的费用。
图1为基于移动站(MSMobile Station)的WiMAX网络架构，MS通过R1参考点与接入服务网络(ASN，ccess Service Network)中的BS(Base Station，图中未示)连接，以连接到ASN，R1采用802.16e无线传送技术。ASN与拜访地网络服务提供商(V-NSP，Visited-Network Service Provider)的连接服务网络(CSN，Connectivity Service Network)间通过R3参考点连接，V-NSP的CSN与归属地网络服务提供商(H-NSP，Home-Network Service Provider)的CSN间通过R5参考点连接。
RFC2094 AAA授权框架提供了三种配置AAA框架模型，包括代理顺序/模型、拉顺序/模型、推顺序/模型。三种模型的主要区别在于①请求方与认证服务器间的通信方式②密钥和策略等控制消息如何配置到承载面设备。WiMAX论坛建议采用拉顺序/模型，定义图1中所示的WiMAX系统的AAA架构，如图2-5所示图2为不兼容传统CSN的非漫游AAA架构。运营商(NSP，Network ServiceProvider)分割为接入服务网络(ASN)和连接服务网络(CSN)，ASN的业务设备(Service Equipment)则成为一个网络接入服务器(NAS，Network Access Server)。CSN包括一个或多个AAA Server(服务器)(图2未示)。AAA服务器支持三方认证机制-“申请者(Supplicant)”，“认证者(Authenticator)”和“认证服务器(Authentication Server)”。三方认证机制可支持多种基于EAP协议的认证方法，如EAP-TLS，EAP-TTLS，PEAP，EAP-SIM，EAP-AKA等，可以支持强壮的密钥推导方法。
在图2的AAA架构中，MS为申请者；NAS的业务设备用于实现认证者；AAA服务器为认证服务器。其中，ASN包括一个或多个网络接入服务器，即，ASN可以包括一个或多个的多个认证者/AAA客户(client)。NAS与AAA服务器间采用AAA协议，AAA协议包括了Dimeter和RADIUS。
当移动用户站连接NAS发出接入网络请求，NAS收集移动用户站发出的接入认证请求，将接入认证请求传送给CSN的AAA服务器。AAA服务器经过认证后向NAS出允许或者拒绝信息，若认证成功，则允许信息中还包含授权信息，同时启动相关的计费功能。NAS收到AAA服务器送来的响应后，通知移动用户站允许接入或者拒绝接入。
图3为兼容传统CSN的非漫游AAA架构中，由于运营商的连接服务网络属于传统的NSP，认证和授权后端不兼容AAA协议。因此NAS传送给CSN的认证请求需要通过CSN中增加的互联网关(IWGInterwork Gateway)，将AAA协议和属性映射到传统运营商的特定协议和属性后，执行认证、授权。运营商的允许和拒绝消息再通过IWG映射为AAA协议，传送给NAS。
图4与图5分别为不兼容CSN和兼容CSN的漫游AAA架构，在图4与图5中，V-NSP中AAA服务器充当AAA代理器(AAA Proxy)，将NAS发送的认证请求传递到H-NSP的AAA服务器。当V-NSP的AAA Proxy接收到来自H-NSP的CSN的允许或拒绝消息时，将其发送给传送给NAS。在漫游情况下，NAS和AAA服务器之间可能存在一个或多个AAA经理和AAA代理。但是，AAA会话总存在于NAS和AAA服务器之间，而提供基于NAI域路由管道的AAA经理是可选的。
移动用户站(MS)的认证(Authentication)包括设备认证和用户认证两个部分。MS执行认证时，可以设备认证和用户认证都进行；或只进行设备认证、或只进行MS的用户认证。当设备认证和用户认证都进行时，MS的设备认证先于用户认证执行。若MS设备认证采用数字证书，如X.509，即采用支持数字证书的EAP方法，如EAP-TLS。MS为避免CSN的干预，缩短设备认证的往返时延，MS的设备认证执行三方认证时，AAA架构中的认证服务器与认证者合并，MS以MAC地址为设备标志，在ASN的NAS处进行设备认证，而不终结于CSN。
若MS的设备认证采用预共享密钥(PSK)，即采用基于PSK的EAP方法执行设备认证，如EAP PSK。MS的设备认证运行于G-Host和V-CSN/H-CSN之间，MS设备认证执行三方认证时，MS采用网络接入标识(NAINetwork AccessIdentity)作为设备标识，当MS接入本地网络时，MS根据NAI，通过V-CSN中AAA代理，向H-CSN中AAA服务器请求认证。
MS与ASN中的NAS、以及AAA服务器执行MS的三方认证时，如果MS的设备认证和用户认证终结于不同认证服务器(包括终结不同CSN的AAA服务器或终结于同一CSN的不同AAA服务器)，则采用Double EAP模式进行认证；如果MS的设备认证和用户认证终结于同一认证服务器，则MS采用Double EAP模式，或采用Single EAP模式将的设备认证和用户认证联合进行；如果只进行MS的设备认证或用户认证时，采用Single EAP模式。
下面，以MS的用户认证协议栈对认证过程进行说明，如图6所示，MS为申请者，ASN的NAS为认证者，CSN的AAA服务器为认证服务器，BS为认证中转，其它的AAA代理/经理在漫游状态下可选。MS用户认证的EAP报文认证终结于AAA服务器。MS与BS间的EAP报文承载在PKMv2，(简称EAPoP)通过802.16的空中接口传递至BS。PKMv2同样支持三方认证机制及多种EAP认证方法。PKMv2由IEEE802.16-2004和802.16e用可扩展认证协议(EAP)规定，用于支持用户认证和设备授权。IEEE802.16-2004和802.16e还用EAP规定了PKMv1，只提供对设备认证授权的支持，可支持移动网络中的固定用户。BS与认证者间的EAP报文承载在认证中转协议，通过BS与ASN间链路传递至ASN。而ASN的NAS为认证者，NAS与AAA服务器间的EAP报文承载在AAA协议上，再将AAA报文承载在UDP/IP协议等传输层协议上传递到CSN的AAA服务器上进行用户信息验证。
图7与图8为MS在认证过程中，采用EAP-TLS认证方法进行设备认证的流程图。图7中，MS的设备认证与用户认证都执行认证，MS采用Double EAP模式。MS先执行设备认证，由于认证服务器与认证者合并，MS设备认证终结于ASN MS设备认证结束后，MS执行用户认证，并且用户认证终结于CSN。图8中，MS只执行设备认证，MS的设备认证终结于ASN后，MS设备认证结束后，ASN将MS的设备标识(MAC)承载AAA协议上，传递至CSN，告知AAA服务器MS设备认证已通过，则AAA服务器可进一步对ASN授权允许MS接入相应的业务。
图9与图10为MS在认证过程中，采用EAP-PSK认证方法进行设备认证的流程图。图9中MS的设备认证与用户认证都执行认证，MS采用Double EAP模示，MS的设备认证与用户认证终结于相同的认证服务器。图10中，MS的设备认证与用户认证终结于同一AAA服务器，MS采用Single EAP模示，将MS设备认证和用户认证联合进行，终结于CSN的流程图。
现WiMAX论坛定义了一种基于网关设备/网桥设备的多主机网络，在网络中，网关设备/网桥设备可以支持多个主机设备。如图11所示，多主机WiMAX网络中，采用网关设备的网关中转站/网关移动站(G-RS/G-MS)提供多主机(Multiple Hosts)支持，若采用网桥设备提供Multiple Hosts支持，则可以使用网桥中转站/网桥移动站代替图11中的G-RS/G-MS。图11中，主机设备为网关主机(G-Host)，G-RS/G-MS通过第一接口连接到多个网关主机，G-RS/G-MS通过第二接口与BS(图中未示)连接，以连接到ASN；其中，第一接口为G-interface接口，G-interface采用802.3、802.16或802.11传送技术；第二接口为R1接口，R1采用802.16e无线传送技术。ASN和CSN间通过R3参考点连接，NAP+V-NSP的CSN与H-NSP的CSN间通过R5参考点连接。
由于图11的WiMAX网络中增加了网关设备/网桥设备和主机设备两类网元，而现有的AAA架构和认证方法只是针对原有网络中MS认证。因此需要一种新的AAA架构及相应的认证方法，支持多主机WiMAX网络中对网关设备/网桥设备与主机设备的认证。

发明内容
为解决上述问题，本发明提供了一种支持多主机网络的AAA架构及认证方法，可以在AAA架构中灵活选择设置NAS的位置，并对网关设备/网桥设备与主机设备均进行认证。
为实现上述发明目的，本发明提供了一种多主机网络的AAA架构，包括接入服务网络和连接服务网络，接入服务网络中设置有网络接入服务器，连接服务网络中设置有至少一个AAA服务器，其中，多主机网络的AAA架构还包括网关设备/网桥设备及主机设备；主机设备与网关设备/网桥设备连接；网关设备/网桥设备设置有网络接入服务器；主机设备认证与网关设备/网桥设备认证分开独立执行；网关设备/网桥设备与接入服务网络中的网络接入服务器，及AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；主机设备与网关设备/网桥设备中的网络接入服务器，及AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
本发明还提供了一种支持多主机网络的AAA架构认证方法，其中，当主机设备与网关设备/网桥设备连接时，AAA架构分别对网关设备/网桥设备及主机设备进行认证；网关设备/网桥设备先将网关设备/网桥设备的认证信息通过接入服务网络中的网络接入服务器传送至连接服务网络的AAA服务器，由网关设备/网桥设备、接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；网关设备/网桥设备的设备认证和/或用户认证认证结束后，主机设备将其认证信息通过网关设备/网桥设备中的网络接入服务器传送到连接服务网络的AAA服务器；由主机设备、网关设备/网桥设备中的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
本发明还提供了一种多主机网络的AAA架构，包括接入服务网络和连接服务网络，接入服务网络中设置有网络接入服务器，连接服务网络中设置由至少一个AAA服务器，其中，AAA架构中还包括网关设备/网桥设备及主机设备；主机设备与网关设备/网桥设备连接；网关设备/网桥设备与接入服务网络连接；主机设备认证与网关设备/网桥设备认证分开独立执行；网关设备/网桥设备与接入服务网络中的网络接入服务器、及AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；主机设备与接入服务网络中的网络接入服务器、及AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
本发明还提供了一种多主机网络的AAA架构认证方法，其中，当主机设备与网关设备/网桥设备连接时，AAA架构分别对网关设备/网桥设备、主机设备进行认证；网关设备/网桥设备先将网关设备/网桥设备的认证信息通过接入服务网络中的网络接入服务器传送至连接服务网络的AAA服务器，由网关设备/网桥设备、接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；网关设备/网桥设备的设备认证和/或用户认证认证结束后，主机设备将其认证信息通过接入服务网络的网络接入服务器传送到连接服务网络的AAA服务器，由主机设备、接入服务网络的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
本发明的有益效果在于，为多主机的WiMAX网络提供了AAA架构，从机制和协议流程层面，解决了对网关设备/网桥设备与主机设备的认证和授权的支持。在该AAA架构中，网络接入服务器可灵活设置于网关设备/网桥设备或ASN中，当主机设备访问网络资源时，可以针对网络接入服务器的位置，为网关设备/网桥设备与主机设备的提供认证。使得多主机的WiMAX网络中对主机设备的授权以及的计费成为可能。


图1现有WiMAX网络示意图；图2现有不兼容传统连接服务网络的非漫游AAA架构；图3现有的兼容传统连接服务网络的非漫游AAA架构；图4现有的不兼容传统连接服务网络的漫游AAA架构；图5现有的兼容传统连接服务网络的漫游AAA架构；图6基于PKMv2的移动站用户认证协议栈；图7为移动站设备认证和用户认证都执行的一实施例的流程图；图8为移动站只执行设备认证的一实施例的流程图；图9移动站设备认证与用户认证都执行的另一实施例的流程图；图10移动站的设备认证与用户认证联合认证的流程图；图11基于网关设备的多主机网络结构示意图；图12为基于图11的不兼容传统连接服务网络的非漫游AAA架构；图13为基于图11的兼容传统连接服务网络的非漫游AAA架构；图14为基于图11的不兼容传统连接服务网络的漫游AAA架构；图15为基于图11多主机网络的兼容传统连接服务网络的漫游AAA架构；图16为基于图11至图15的接入网络服务器设置于网关中转站/网关移动站状态下，网关主机一实施例的用户认证协议栈；图17为基于为图11至图15的接入网络服务器设置于网关中转站/网关移动站状态下，网关主机另一实施例的用户认证协议栈；图18为基于图16和17的网关主机设备认证和用户认证都执行的实施例的流程图；图19为基于图16和17的只执行网关主机设备认证实施例的流程图；图20为基于图16和17的网关主机设备认证和用户认证都执行的另一实施例的流程图；图21为基于图16和17只执行网关主机设备认证实施例的另一实施例7的流程图；图22网络接入服务器设置于接入服务网络，网关主机一实施例的用户认证协议栈；图23网络接入服务器设置于接入服务网络，网关主机另一实施例的用户认证协议栈；图24为图23中EAPOL与EAPOP的转换流程图；图25为基于图23和24的网关主机设备认证和用户认证都执行的实施例的流程图；图26为基于图23和24只执行网关主机设备认证实施例的流程图；图27为基于图23和24网关主机的设备认证和用户认证都执行的另一实施例的流程图；图28为基于图23和24的只执行网关主机设备认证实施例的另一实施例的流程图。
具体实施例方式
如图12所示为，非漫游状态下，以G-RS/G-MS支持WiMAX多主机网络的网络的AAA架构实施例的示意图。运营商被分隔成G-MS/G-RS+ASN与CSN。网关主机通过网关接口(G-Interface)作为第一接口与G-RS/G-MS(网关中转站/网关移动站)连接。G-MS/G-RS通过采用R1接口作为第二接口与ASN的基站连接(图中未示)。G-MS/G-RS+ASN的业务设备(Service Equipment)为网络接入服务器(NAS)，即，除了将ASN的业务设备设置为网络接入服务器NAS，还可以将G-RS/G-MS(网关中转站/网关移动站)的业务设备设置为网络接入服务器NAS。
G-MS/G-RS或ASN中可以设置包括一个或多个NAS(即设置多个认证者(Authenticator)/AAA客户(Client)(图中未示)，如多个RADIUS客户端或DIAMETER客户端，0个或多个AAA Proxy(代理)。连接服务网络(CSN)中包括AAA服务器(Server)。
图13所示为，非漫游状态下，以G-RS/G-MS支持WiMAX多主机网络的另一AAA架构实施例的示意图。由于CSN属于传统运营商(NSP)，认证和授权后端不兼容AAA协议，通过CSN中增加的IWG功能将AAA协议和属性映射到传统NSP的特定协议和属性。运营商反馈的认证消息再通过IWG映射为AAA协议，传送给AAA Client。
图14与图15分别为以G-RS/G-MS支持WiMAX多主机网络的不兼容CSN和兼容CSN的漫游AAA架构，V-NSP中AAA服务器充当AAA代理器(AAAProxy)，将G-MS/G-RS+ASN中NAS发送的消息报文传递到H-NSP的AAA服务器。当V-NSP的AAA Proxy接收到来自H-NSP的CSN的允许或拒绝消息时，再将其转发给G-MS/G-RS+ASN。在漫游情况下，NAS和AAA服务器之间可能存在一个或多个AAA经理和AAA代理(图中未示)。所有AAA会话总是存在于NAS和AAA服务器之间，用来提供基于NAI域路由管道的AAA经理是可选的。
当G-Host与连接G-MS/G-RS连接访问网络资源时，G-Host与G-RS/G-MS都需要进行进行认证。基于图12-15中支持多主机的WiMAX网络AAA架构实施例的认证、授权方法如下1)G-RS/G-MS的设备认证和用户认证与G-Host设备认证和用户认证分别进行，两者彼此独立。
2)G-RS/G-MS的设备认证先于用户认证。G-RS/G-MS与ASN的NAS，及AAA服务器，执行G-RS/G-MS设备认证和/或用户认证的三方认证。G-RS/G-MS的设备认证和用户认证可以都进行；或只做G-RS/G-MS设备认证，或只做G-RS/G-MS用户认证。如果G-RS/G-MS的设备认证和用户认证都进行，但终结于不同认证服务器(包括终结于不同CSN的AAA服务器或终结于同一CSN的不同AAA服务器)，则G-RS/G-MS采用Double EAP模式进行认证；如果G-RS/G-MS的设备认证和用户认证都进行，并终结于属于同一认证服务器(同一CSN的相同AAA服务器)，则G-RS/G-MS采用Double EAP模式，或采用Single EAP模式，将G-RS/G-MS的设备认证和用户认证联合进行。如果只执行G-RS/G-MS设备认证或只进行G-RS/G-MS用户认证，则G-RS/G-MS采用SingleEAP模式。
3)G-Host的设备认证先于用户认证。G-Host可以与G-RS/G-MS+ASN的NAS，及AAA服务器，执行网关主机的设备认证和/或用户认证的三方认证。G-Host设备认证和用户认证都进行，或只做G-Host设备认证，或只做G-Host用户认证。若G-Host设备认证和用户认证都进行，但终结不同认证服务器时(包括分属不同CSN的AAA服务器及同一CSN的不同AAA服务器)，则G-Host采用Double EAP模式。如果G-Host设备认证和用户认证都进行，并终结于同一认证服务器(同一AAA Server)时，G-Host采用Double EAP模式，或采用Single EAP模式，将G-RS/G-MS的设备认证和用户认证联合进行。若G-Host只进行设备认证或用户认证，则G-Host采用Single EAP模式。
4)G-RS/G-MS的认证先于G-Host认证。
基于图12-图15所示的AAA架构，当G-RS/G-MS的业务设备也设置为网络接入服务器NAS时，在AAA架构中，执行G-RS/G-MS认证时，G-RS/G-MS为“申请者，ASN中的NAS为G-RS/G-MS的“认证者，CSN中的AAA服务器为“认证服务器”；执行G-Host认证时，G-Host为“申请者”，G-R-RS/G-MS中的NAS为G-Host的“认证者”；CSN中的AAA服务器仍为“认证服务器”。G-RS/G-MS与G-Host的认证单独进行，G-RS/G-MS的认证结束后再执行G-Host的认证。
G-RS/G-MS与ASN的NAS，及AAA服务器，执行G-RS/G-MS设备认证和/或用户认证的三方认证。G-RS/G-MS采用数字证书执行设备认证，为避免CSN的干预，缩短G-RS/G-MS设备认证的往返时延，AAA架构中的认证服务器与认证者合并，G-RS/G-MS以MAC地址为设备标识，在ASN的NAS处进行设备认证。若G-RS/G-MS只进行设备认证，当G-RS/G-MS的设备认证结束后，ASN将设备标识MAC地址传送至AAA服务器，告知AAA服务器G-RS/G-MS设备认证已通过，则AAA服务器，进一步对ASN授权允许G-RS/G-MS接入相应的业务。
若G-RS/G-MS的设备认证采用预共享密钥(PSK)，G-RS/G-MS设备认证运行于G-Host和V-CSN/H-CSN之间，G-RS/G-MS采用网络接入标识(NAINetwork Access Identity)作为设备标识，根据NAI，G-RS/G-MS通过V-CSN中AAA代理，向H-CSN中AAA服务器请求认证。
G-RS/G-MS设备认证结束后，执行G-RS/G-MS用户认证，G-RS/G-MS用户认证只采用预共享密钥。G-RS/G-MS的设备认证和用户认证的认证过程与现有的MS的设备认证和用户认证相同。
G-RS/G-MS认证结束后，AAA架构对G-Host进行认证，G-Host认证的认证过程中，若G-Host采用数字证书执行设备认证，如X.509时，则采用支持数字认证的EAP方法，如EAP-TLS。G-Host为避免CSN的干预，以缩短往返时延，认证者与认证服务器合并，G-Host以设备的MAC地址作为设备标识，G-Host在G-RS/G-MS的NAS执行G-Host的设备认证，G-Host的设备认证终结于G-RS/G-MS。G-Host设备认证结束后，G-RS/G-MS要将G-Host的MAC地址通过AAA协议发送到CSN，CSN根据接收到的G-Host设备的MAC地址，检验G-Host设备数字证书，如X.509证书，是否有效。G-Host采用数字证书执行设备认证时，不可使用NAI作为设备标识，防止G-Host的认证不能延伸到其它管理域。
若G-Host采用预共享密钥(PSK)进行设备认证，EAP方法运行于G-Host和V-CSN/H-CSN之间，G-Host设备认证终结于CSN，G-Host以NAI为设备标识确认H-CSN。当G-Host接入本地网络时，G-Host根据NAI，通过V-CSN中AAA代理，向H-CSN中AAA服务器请求认证。
以下结合附图，对G-Host的认证过程进行说明图16为基于PKMv2的G-Host用户认证协议栈，G-Host为申请者，G-RS/G-MS为认证者，AAA服务器为认证服务器，BS为认证中转；漫游状态下，ASN与V-NSP的CSN可作为AAA代理，AAA经理(Broker)为可选设备。
PKMv2通过G-Host与G-RS/G-MS、以及G-RS/G-MS的NAS与ASN中BS间的802.16空中接口传递EAP报文，将EAP报文承载于PKMv2，即EAP over PKMv2(以下简称EAPoP)。G-RS/G-MS作为认证者，与AAA服务器间的采用AAA协议。在G-RS/G-MS与BS间，本发明设置了承载AAA报文的PKMv2协议的PKM-REQ/RSP消息的消息类型，使得PKM-REQ/RSP消息支持传送的AAA报文，如Access-Challenge消息报文；Access-Request消息报文；Access-Accept消息报文；Access-Reject消息报文。PKM消息类型可以设置为AAA-Transfer，或Radius-Transfer，或Diameter-Transfer，AAA报文承载在PKMv2上，简称AAAoP。G-RS/G-MS与BS间通过AAAoP传递EAP报文。而BS和AAA Server之间AAA报文承载在传输层协议(如UDP、TCP或SCTP协议)上，简称AAAoT。BS将AAAoP报文与AAAoT报文进行转换。
图17为基于802.3/802.11的G-Host用户认证协议栈，对于以太网802.3/802.11上的EAP认证，IEEE 802.1x定义的标准的EAP承载在以太网802.3/802.11上的协议，即EAP over LAN(以下简称EAPoL)。在图17中，G-RS/G-MS的NAS与ASN的BS间的AAA报文承载在PKMv2，为AAAOP；BS和AAA Server之间AAA报文承载在传输层协议(如UDP、TCP或SCTP协议)上，简称AAAoT报文。BS仍需将AAAoP报文与AAAoT报文进行转换。
在基于PKMv2或802.3/802.11的G-Host设备认证协议栈，当G-Host终结在G-RS/G-MS时，BS无需进行AAAoP与AAAoT的转换。
图18为G-Host分别采用数字证书进行设备认证，预共享密钥执行用户认证的流程图。图18中，G-Host的设备认证与用户认证都执行认证，G-Host采用Double EAP模式，G-Host先执行设备认证，由于认证服务器与认证者合并，G-Host设备认证终结于G-RS/G-MS。G-Host设备认证结束后，执行用户认证，并且用户认证终结于CSN。图19为G-Host采用数字证书，只执行设备认证的流程图，G-Host的设备认证终结于G-RS/G-MS。当G-Host设备认证结束后，G-RS/G-MS将G-Host的设备标识(MAC)承载AAA协议上，传递至CSN。
图20与图21为G-Host采用预共享密钥执行设备认证与用户认证的流程图。图20中，G-Host设备认证与用户认证分别执行，G-Host采用Double EAP模示，当G-Host的设备认证结束后，G-Host执行用户认证，G-Host设备认证与用户认证终结于相同的认证服务器。图21中，G-Host采用Single EAP模示，将设备认证和用户认证联合进行，终结于CSN。
若图12-图15的AAA架构中，仅以ASN的业务设备为NAS，G-RS/G-MS和G-Host均为“申请者”，ASN中的NAS为G-RS/G-MS和G-Host的“认证者”，CSN中的AAA服务器仍为“认证服务器”。AAA架构对G-RS/G-MS与G-Host分别进行认证。G-RS/G-MS的认证先执行。
G-RS/G-MS与ASN的NAS，及AAA服务器，执行G-RS/G-MS设备认证和/或用户认证的三方认证，G-RS/G-MS的设备认证和用户认证的认证过程，与G-RS/G-MS业务设备作为G-Host认证者的设备认证和用户认证的认证过程一致。
G-RS/G-MS的认证完成后，执行G-Host的认证，若G-Host采用数字证书执行设备认证，认证者与认证服务器合并，G-Host以设备的MAC地址作为设备标识，G-Host在ASN的NAS执行G-Host的设备认证，G-Host的设备认证终结于ASN。G-Host设备认证结束后，ASN要将G-Host的MAC地址通过AAA协议发送到CSN，CSN根据接收到的G-Host设备的MAC地址，检验G-Host设备数字证书，如X.509证书，是否有效。G-Host采用数字证书执行设备认证时，防止因使用NAI导致G-Host的认证不能延伸到其它管理域。
若G-Host采用预共享密钥(PSK)进行设备认证，EAP方法运行于G-Host和V-CSN/H-CSN之间，G-Host设备认证终结于CSN，G-Host以NAI为设备标识确认H-CSN。当G-Host接入本地网络时，G-Host根据NAI，通过V-CSN中AAA代理，向H-CSN中AAA服务器请求认证。
以下结合附图，说明G-Host在ASN的业务设备为NAS的AAA架构中的认证过程图22为基于PKMv2的G-Host用户认证协议栈，G-Host为申请者，ASN的NAS为认证者，AAA服务器为认证服务器，BS为认证中转。漫游状态下，ASN与V-NSP的CSN可作为AAA代理。
G-Host与G-RS/G-MS(图中未示)、以及G-RS/G-MS与ASN中BS间EAP报文的承载在PKMv2上，简称EAPoP；G-Host与G-RS/G-MS，以及G-RS/G-MS与BS间通过802.16空中接口传递EAP报文。BS接收到EAP报文后，将EAP报文转发至NAS。NAS与AAA服务器间采用AAA协议。
如图23所示，在以太网中，G-Host与G-RS/G-MS间的EAP报文通过EAPoL将EAP报文传递至G-RS/G-MS。G-RS/G-MS与ASN中BS间的EAP报文承载为PKMv2，即EAPoP，G-RS/G-MS与BS间通过802.16空中接口传递EAP报文。G-RS/G-MS需要将G-Host与G-RS/G-MS间的EAP承载EAPoL，与G-RS/G-MS与BS间的EAP承载EAPoP进行相互转换，由G-RS/G-MS将EAPoL报文与EAPoP的报文进行转换。
如图24所示，G-RS/G-MS将EAPoL报文与EAPoP报文进行转换的过程①当G-Host与G-RS/G-MS间的802.11/802.3基本的链路建立后，G-Host启动EAPoL的EAP-Start消息报文，向G-RS/G-MS申请进行EAP认证；②G-RS/G-MS接收到EAPoL的EAP-Start消息后，生成PKM-Request消息，设置PKM-Request的消息类型为EAP-Start，即表示PKM-Request消息用于传送EAP-Start报文。G-RS/G-MS将PKM-Request消息发送到BS，BS将PKM-Request消息中EAP-Start报文送达至ASN的NAS，即认证者(Authenticator)；③认证者接收到EAP-Start报文后，向G-Host发出EAP-Request/Identity身份查询请求；EAP-Start报文在BS和G-RS/G-MS之间由PKM-Response消息报文承载，设置PKM-Response消息的消息类型为EAP-Transfer，即PKM-Response消息用于传送EAP报文。
④G-RS/G-MS接收到EAPoP的EAP-Request/Identity身份查询请求后，将EAP-Request/Identity身份查询请求封装在EAPoL的EAP-Packet中，发送给G-Host。
⑤G-Host采用EAPoL的EAP-Packet报文，发送EAP-Response/Identity应答报文。
⑥G-RS/G-MS将EAP-Response/Identity封装在PKM-Request消息报文中，消息类型为EAP-Transfer，转发给BS，由BS将EAP-Response/Identity再送达认证者。
⑦网关主机采用EAP-Packet报文，发送EAP-REP/RSP Method-Negotiation报文，进行EAP的认证方法协商，网关中转站/网关移动站将EAP-REP/RSPMethod-Negotiation报文封装在PKM-REP/RSP消息报文中，消息类型为EAP-Transfer，转发给BS，由BS将EAP-REP/RSP Method-Negotiation报文送达NAS，进行EAP认证方法协商。
⑧网关主机采用EAP-Packet报文，发送EAP-REP/RSP Method报文，进行EAP的认证方法交换，网关中转站/网关移动站将EAP-REP/RSP Method报文封装在PKM-REP/RSP消息报文中，消息类型为EAP-Transfer，转发给基站，由基站将EAP-REP/RSP Method报文送达NAS认证者，进行EAP认证方法交换。
⑨NAS完成EAP认证后，向网关主机发出EAP-Success报文；网关中转站/网关移动站接收到EAP-Success报文后，将EAP-Success封装在EAP-Packet中，发送给网关主机。
在认证方法协商与认证方法交换这些过程中，BS和G-RS/G-MS之间均采用PKM-Request/Response消息交互，消息类型均为EAP-Transfer；在G-Host和G-RS/G-MS之间均采用EAPoL EAP-Packet报文进行交互；直到EAP认证过程结束。
在EAP认证过程中，对于802.11，AAA服务器会为合法的G-Host下发相关的密钥到G-RS/G-MS，如G-Host和G-RS/G-MS之间的会话密钥。本发明采用PKM消息报文携带需要传送的802.11密钥。
G-Host认证后，G-RS/G-MS如果检测到G-Host下网或异常情况(可能有多种原因和检测方式，比如G-Host取消注册、G-Host关机、空口信号质量不可用等，但不属于本发明描述的范围)，则G-RS/G-MS会主动发起EAP-Logoff消息，并将EAP-Logoff封装在PKM-Request消息报文中，消息类型为EAP-Transfer，指示NAS认证者(Authenticator)修改相应的授权状态。
图25为G-Host分别采用数字证书进行设备认证，预共享密钥执行用户认证的流程图。G-Host的设备认证与用户认证都执行认证，G-Host采用Double EAP模式，G-Host先执行设备认证，由于认证服务器与认证者合并，G-Host设备认证终结于ASN，G-Host设备认证结束后，执行用户认证，并且用户认证终结于CSN。
图26所示为G-Host采用数字证书，只执行设备认证的流程图，G-Host的设备认证终结于ASN，当G-Host设备认证结束后，ASN将G-Host的设备标识(MAC)承载AAA协议上，传递至CSN。
图27与图28为G-Host采用预共享密钥执行设备认证与用户认证的流程图。图27中G-Host设备认证与用户认证分别执行，G-Host采用Double EAP模示，当G-Host的设备认证结束后，G-Host执行用户认证，G-Host设备认证与用户认证终结于相同的认证服务器。图28中，G-Host采用Single EAP模示，将MS设备认证和用户认证联合进行，终结于CSN。
若在图11的WiMAX网络中，采用网桥设备支持多个主机设备，则将运营商被分隔成网桥中转站/网桥移动站+ASN与CSN。主机设备通过接口与网桥中转站/网桥移动站连接。网桥中转站/网桥移动站通过第一接口(如G-interface接口)与多个主机设备连接，网桥中转站/网桥移动站通过第二接口(如R1接口)与ASN的基站连接。网桥中转站/网桥移动站+ASN的业务设备(Service Equipment)为网络接入服务器(NAS)，即，除了将ASN的业务设备设置为网络接入服务器NAS，还可以将网桥中转站/网桥移动站的业务设备设置为网络接入服务器NAS。
采用网桥中转站/网桥移动站的AAA架构，与采用网关中转站/网关移动站的AAA架构的区别在于采用二层网桥中转站/网桥移动站代替了三层网关中转站/网关移动站，NAS设置于网桥中转站/网桥移动站时，网桥中转站/网桥移动站可成为主机设备认证的认证者。
而AAA架构中的其它网元的设置并不发生变化，网桥中转站/网桥移动站支持多主机WiMAX网络AAA架构的认证、授权方法过程与网关中转站/网关移动站支持多主机WiMAX网络AAA架构的认证、授权方法的过程完全相同。
本发明的有益效果在于，为多主机的WiMAX网络提供了AAA架构，从机制和协议流程层面，解决了对网关设备/网桥设备与主机设备的认证和授权的支持。在该AAA架构中，网络接入服务器可灵活设置于网关设备/网桥设备或ASN中，当主机设备访问网络资源时，可以针对网络接入服务器的位置，为网关设备/网桥设备与主机设备的提供认证。使得多主机的WiMAX网络中对主机设备的授权以及的计费成为可能。
以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种多主机网络的AAA架构，包括接入服务网络和连接服务网络，接入服务网络中设置有网络接入服务器，连接服务网络中设置有至少一个AAA服务器，其特征在于，多主机网络的AAA架构还包括网关设备/网桥设备及主机设备；主机设备与网关设备/网桥设备连接；网关设备/网桥设备设置有网络接入服务器；主机设备认证与网关设备/网桥设备认证分开独立执行；网关设备/网桥设备与接入服务网络中的网络接入服务器，及AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；主机设备与网关设备/网桥设备中的网络接入服务器，及AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
2.根据权利要求1所述的多主机网络的AAA架构，其特征在于，主机设备、网关设备/网桥设备、AAA服务器支持EAP认证方法。
3.根据权利要求2所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备的认证执行先于主机设备的认证执行；网关设备/网桥设备的设备认证执行先于网关设备/网桥设备的用户认证执行；主机设备的设备认证执行先于主机设备的用户认证执行。
4.根据权利要求3所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备与接入服务网络中的网络接入服务器，及AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证时，网关设备/网桥设备为申请者，接入服务网络中的网络接入服务器为认证者，AAA服务器为认证服务器；若网关设备/网桥设备的设备认证和用户认证都执行，但终结于不同的认证服务器，网关设备/网桥设备采用Double EAP模式认证；或者若网关设备/网桥设备的设备认证和用户认证都进行，并终结于同一认证服务器，网关设备/网桥设备采用Double EAP模式认证；或网关设备/网桥设备采用Single EAP模式，执行设备认证和用户认证的联合认证；或者若网关设备/网桥设备只执行设备认证或只执行用户认证，网关设备/网桥设备采用Single EAP模式。
5.根据权利要求4所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备的设备认证采用预共享密钥或数字证书；网关设备/网桥设备的用户认证采用预共享密钥。
6.根据权利要求5所述的多主机网络的AAA架构，其特征在于，若网关设备/网桥设备的设备认证采用数字证书，认证服务器合并至认证者。
7.根据权利要求3所述的多主机网络的AAA架构，其特征在于，主机设备与网关设备/网桥设备中的网络接入服务器，及AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证时，主机设备为申请者，网关设备/网桥设备中的网络接入服务器为认证者，AAA服务器为认证服务器；若主机设备的设备认证和用户认证都执行，但终结于不同的认证服务器，主机设备采用Double EAP模式认证；或者若主机设备的设备认证和用户认证都执行，并终结于同一认证服务器，主机设备采用Double EAP模式认证；或主机设备采用Single EAP模式，执行设备认证和用户认证联合认证；或者若主机设备只执行设备认证或只进行用户认证，主机设备采用Single EAP模式。
8.根据权利要求7所述的多主机网络的AAA架构，其特征在于，主机设备的设备认证采用预共享密钥或数字证书；主机设备的用户认证采用预共享密钥。
9.根据权利要求8所述的多主机网络的AAA架构，其特征在于，若主机设备的设备认证采用数字证书，认证服务器合并至认证者。
10.根据权利要求8所述的多主机网络的AAA架构，其特征在于，接入服务网络中还设置有基站；基站对网关设备/网桥设备与基站间的AAA报文的承载，与基站与认证服务器间的AAA报文的承载进行转换。
11.根据权利要求10所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备通过第一接口与每一主机设备相连，网关设备/网桥设备通过第二接口与接入服务网络相连；第一接口采用802.3或802.11或802.16传送技术；第二接口采用802.16e无线传送技术；主机设备与网关设备/网桥设备间通过空中接口的PKMv2传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoP；或者主机设备与网关设备/网桥设备间通过以太网传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoL。
12.根据权利要求11所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备与基站间的AAA报文承载在PKMv2协议上，报文承载为AAAoP；基站与认证服务器间的AAA报文承载在传输层协议上，报文承载为AAAoT；基站对网关设备/网桥设备和基站间的AAA报文的承载，与基站和认证服务器间的AAA报文的承载进行转换是指，基站将AAAoP的报文转换为AAAoT的报文。
13.根据权利要求12所述的多主机网络的AAA架构，其特征在于，设置网关设备/网桥设备与基站间承载AAA报文的PKMv2的PKM-REQ/RSP消息类型，PKM-REQ/RSP消息用于支持网关设备/网桥设备与基站间的AAA报文传送。
14.根据权利要求6或9或13所述的多主机网络的AAA架构，其特征在于，网关设备为网关中转站/网关移动站；网桥设备为网桥中转站/网桥移动站。
15.一种多主机网络的AAA架构认证方法，其特征在于，当主机设备与网关设备/网桥设备连接时，AAA架构分别对网关设备/网桥设备及主机设备进行认证；网关设备/网桥设备先将网关设备/网桥设备的认证信息通过接入服务网络中的网络接入服务器传送至连接服务网络的AAA服务器，由网关设备/网桥设备、接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；网关设备/网桥设备的设备认证和/或用户认证认证结束后，主机设备将其认证信息通过网关设备/网桥设备中的网络接入服务器传送到连接服务网络的AAA服务器；由主机设备、网关设备/网桥设备中的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
16.根据权利要求15所述的方法，其特征在于，网关设备/网桥设备的设备认证执行先于网关设备/网桥设备的用户认证；主机设备的设备认证执行先于主机设备的用户认证执行。
17.根据权利要求16所述的方法，其特征在于，主机设备、网关设备/网桥设备、AAA服务器均支持EAP认证方法。
18.根据权利要求17所述的方法，其特征在于，网关设备/网桥设备与接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证时，网关设备/网桥设备为申请者，接入服务网络中的网络接入服务器为认证者，AAA服务器为认证服务器；若网关设备/网桥设备的设备认证和用户认证都执行，但终结于不同的认证服务器时，网关设备/网桥设备采用Double EAP模式认证；或者若网关设备/网桥设备的设备认证和用户认证都执行，并终结于在同一认证服务器时，网关设备/网桥设备采用Double EAP模式认证；或网关设备/网桥设备采用Single EAP模式，将设备认证和用户认证联合认证；或者若网关设备/网桥设备只执行设备认证或只执行用户认证时，网关设备/网桥设备采用Single EAP模式。
19.根据权利要求18所述的方法，其特征在于，若网关设备/网桥设备的设备认证和用户认证都执行时，网关设备/网桥设备的设备认证和用户认证均采用预共享密钥，或网关设备/网桥设备分别采用数字证书执行设备认证，采用预共享密钥执行用户认证；网关设备/网桥设备只执行设备认证时，采用数字证书或预共享密钥；网关设备/网桥设备只执行用户认证时，采用预共享密钥。
20.根据权利要求19所述的方法，其特征在于，网关设备/网桥设备使用数字证书执行设备认证，认证服务器合并至认证者，网关设备/网桥设备的设备认证终结于认证者。
21.根据权利要求17所述的方法，其特征在于，由主机设备、网关设备/网桥设备中的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证时，主机设备为申请者，网关设备/网桥设备中的网络接入服务器为认证者，AAA服务器为认证服务器；若主机设备的认证和用户认证都执行，但终结在不同认证服务器认证时，主机设备采用Double EAP模式认证；或者若主机设备的设备认证和用户认证都执行，并终结在同一认证服务器认证时，主机设备采用Double EAP模式认证，或主机设备采用Single EAP模式，将设备认证和用户认证联合认证；或者若主机设备只进行设备认证认证或只进行用户认证，主机设备采用SingleEAP模式。
22.根据权利要求21所述的方法，其特征在于，若主机设备的设备认证和用户认证都执行时，主机设备的设备认证和用户认证均采用预共享密钥，或主机设备分别采用数字证书执行设备认证，采用预共享密钥执行用户认证；主机设备只执行设备认证时，采用数字证书或预共享密钥执行设备认证；主机设备只执行用户认证时，采用预共享密钥执行用户认证。
23.根据权利要求22所述的方法，其特征在于，主机设备使用数字证书执行设备认证，认证服务器合并至认证者，主机设备的设备认证终结于认证者。
24.根据权利要求22所述的方法，其特征在于，接入服务网络中还设置有基站，基站将网关设备/网桥设备与基站间的AAA报文承载，与基站与认证服务器间的AAA报文承载进行转换。
25.根据权利要求24所述的方法，其特征在于，网关设备/网桥设备通过第一接口与每一主机设备相连，网关设备/网桥设备通过第二接口与接入服务网络相连；第一接口采用802.3或802.11或802.16传送技术；第二接口采用802.16e无线传送技术；主机设备与网关设备/网桥设备间通过空中接口的PKMv2传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoP；或者主机设备与网关设备/网桥设备间通过以太网传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoL。
26.根据权利要求25所述的方法，其特征在于，网关设备/网桥设备与基站间的AAA报文承载在PKMv2协议上，为AAAoP；基站与认证服务器间的AAA报文承载在传输层上，为AAAoT；基站将网关设备/网桥设备与基站间的AAA报文的承载，与基站与认证服务器间的AAA报文承载进行转换是指，基站将AAAoP的报文转换为AAAoT的报文。
27.根据权利要求26所述的方法，其特征在于，设置网关设备/网桥设备与基站间承载AAA报文的PKMv2的PKM-REQ/RSP消息类型，PKM-REQ/RSP消息用于支持网关设备/网桥设备与基站间的AAA报文传送。
28.根据权利要求20或23或27所述的方法，其特征在于，网关设备为网关中转站/网关移动站；网桥设备为网桥中转站/网桥移动站。
29.一种多主机网络的AAA架构，包括接入服务网络和连接服务网络，接入服务网络中设置有网络接入服务器，连接服务网络中设置由至少一个AAA服务器，其特征在于，AAA架构中还包括网关设备/网桥设备及主机设备；主机设备与网关设备/网桥设备连接；网关设备/网桥设备与接入服务网络连接；主机设备认证与网关设备/网桥设备认证分开独立执行；网关设备/网桥设备与接入服务网络中的网络接入服务器、及AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；主机设备与接入服务网络中的网络接入服务器、及AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
30.根据权利要求29所述的多主机网络的AAA架构，其特征在于，主机设备、网关设备/网桥设备、AAA服务器均支持EAP认证方法。
31.根据权利要求30所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备的认证执行先于主机设备的认证执行；网关设备/网桥设备的设备认证执行先于网关设备/网桥设备的用户认证执行；主机设备的设备认证执行先于主机设备的用户认证执行。
32.根据权利要求31所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备与主机设备为申请者；接入服务网络中的网络接入服务器为认证者；AAA服务器为认证服务器。
33.根据权利要求32所述的多主机网络的AAA架构，其特征在于，若网关设备/网桥设备的设备认证和用户认证都执行，但终结于不同认证服务器，网关设备/网桥设备采用Double EAP模式认证；或者若网关设备/网桥设备的设备认证和用户认证都执行，并终结于同一认证服务器，网关设备/网桥设备采用Double EAP模式认证；或网关设备/网桥设备采用Single EAP模式，将网关设备/网桥设备的设备认证和用户认证联合认证；或者若网关设备/网桥设备只执行设备认证或只执行用户认证，网关设备/网桥设备采用Single EAP模式。
34.根据权利要求33所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备的设备认证采用预共享密钥或数字证书；网关设备/网桥设备的用户认证采用预共享密钥。
35.根据权利要求34所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备的设备认证采用数字证书，认证服务器合并至认证者。
36.根据权利要求32所述的多主机网络的AAA架构，其特征在于，若主机设备的设备认证和用户认证都执行，但终结于不同的认证服务器，主机设备采用Double EAP模式认证；或者若主机设备的设备认证和用户认证都执行，并终结于同一认证服务器，主机设备采用Double EAP模式认证；或主机设备采用Single EAP模式，将设备认证和用户认证联合认证；或者若主机设备只进行设备认证或只进行用户认证，主机设备采用Single EAP模式。
37.根据权利要求36所述的多主机网络的AAA架构，其特征在于，主机设备的设备认证采用预共享密钥或数字证书；主机设备的用户认证采用预共享密钥。
38.根据权利要求37所述的多主机网络的AAA架构，其特征在于，主机设备的设备认证采用数字证书，认证服务器合并至认证者。
39.根据权利要求35或38所述的多主机网络的AAA架构，其特征在于，网关设备/网桥设备通过第一接口与每一主机设备相连，第一接口采用802.3或802.11或802.16传送技术；网关设备/网桥设备通过第二接口与接入服务网络相连，接入服务网络还设置有基站，第二接口采用802.16e无线传送技术；主机设备与网关设备/网桥设备间通过空中接口的PKMv2传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoP；或主机设备与网关设备/网桥设备间通过以太网传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoL；网关设备/网桥设备与基站间通过空中接口的PKMv2传送EAP报文，网关设备/网桥设备与基站间的EAP报文承载为EAPoP。
40.根据权利要求39所述的多主机网络的AAA架构，其特征在于，若主机设备与网关设备/网桥设备的EAP承载为EAPoL时，网关设备/网桥设备将主机设备与网关设备/网桥设备间的EAPoL与网关设备/网桥设备与基站间EAPoP进行转换。
41.根据权利要求40所述的多主机网络的AAA架构，其特征在于，网关设备网关中转站/网关移动站；网桥设备为网桥中转站/网桥移动站。
42.一种多主机网络的AAA架构认证方法，其特征在于，当主机设备与网关设备/网桥设备连接时，AAA架构分别对网关设备/网桥设备、主机设备进行认证；网关设备/网桥设备先将网关设备/网桥设备的认证信息通过接入服务网络中的网络接入服务器传送至连接服务网络的AAA服务器，由网关设备/网桥设备、接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；网关设备/网桥设备的设备认证和/或用户认证认证结束后，主机设备将其认证信息通过接入服务网络的网络接入服务器传送到连接服务网络的AAA服务器，由主机设备、接入服务网络的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证。
43.根据权利要求42所述的方法，其特征在于，主机设备、网关设备/网桥设备、AAA服务器均支持EAP认证方法。
44.根据权利要求43所述的方法，其特征在于，网关设备/网桥设备的设备认证执行先于网关设备/网桥设备的用户认证；主机设备的设备认证执行先于主机设备的用户认证执行。
45.根据权利要求44所述的方法，其特征在于，网关设备/网桥设备与主机设备为申请者；接入服务网络中的网络接入服务器为认证者；AAA服务器为认证服务器。
46.根据权利要求45所述的方法，其特征在于，若网关设备/网桥设备的设备认证和用户认证都执行，但终结于不同的认证服务器时，网关设备/网桥设备采用Double EAP模式认证；或者若网关设备/网桥设备的设备认证和用户认证都执行，并终结于同一认证服务器时，网关设备/网桥设备采用Double EAP模式认证；或网关设备/网桥设备采用Single EAP模式，将设备认证和用户认证联合认证；或者若网关设备/网桥设备只进行设备认证或只进行用户认证时，网关设备/网桥设备采用Single EAP模式。
47.根据权利要求46所述的方法，其特征在于，若网关设备/网桥设备的设备认证和用户认证都执行时，网关设备/网桥设备的设备认证和用户认证均采用预共享密钥，或网关设备/网桥设备分别采用数字证书执行设备认证，采用预共享密钥执行用户认证；网关设备/网桥设备只执行设备认证时，采用数字证书或预共享密钥；网关设备/网桥设备只执行用户认证时，采用预共享密钥。
48.根据权利要求47所述的方法，其特征在于，网关设备/网桥设备使用数字证书执行设备认证，认证服务器合并至认证者，网关设备/网桥设备的设备认证终结于认证者。
49.根据权利要求45所述的方法，其特征在于，若主机设备的设备认证和用户认证都执行，但终结于不同认证服务器认证时，主机设备采用Double EAP模式认证；或者若主机设备的设备认证和用户认证都执行，并终结于在同一认证服务器认证时，主机设备采用Double EAP模式认证；或主机设备采用Single EAP模式，将设备认证和用户认证联合认证；或者若主机设备只进行设备认证或用户认证，主机设备采用Single EAP模式。
50.根据权利要求49所述的方法，其特征在于，若主机设备的设备认证和用户认证都执行时，主机设备的设备认证和用户认证均采用预共享密钥，或主机设备分别采用数字证书执行设备认证，采用预共享密钥执行用户认证；主机设备只执行设备认证时，采用数字证书或预共享密钥执行设备认证；主机设备只执行用户认证时，采用预共享密钥执行的用户认证。
51.根据权利要求50所述的方法，其特征在于，主机设备使用数字证书执行设备认证，认证服务器合并至认证者，主机设备的设备认证终结于认证者。
52.根据权利要求48或51所述的方法，其特征在于，网关设备/网桥设备通过第一接口与每一主机设备相连，第一接口采用802.3或802.11或802.16传送技术；网关设备/网桥设备通过第二接口与接入服务网络相连，接入服务网络还设置有基站，第二接口采用802.16e无线传送技术；主机设备与网关设备/网桥设备间通过空中接口的PKMv2传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoP；或主机设备与网关设备/网桥设备间通过以太网传送EAP报文，主机设备与网关设备/网桥设备间的EAP报文承载为EAPoL；网关设备/网桥设备与基站间通过空中接口的PKMv2传送EAP报文，网关设备/网桥设备与基站间的EAP报文承载为EAPoP。
53.根据权利要求52所述的方法，其特征在于，若主机设备与网关设备/网桥设备的EAP承载为EAPoL时，网关设备/网桥设备将主机设备与网关设备/网桥设备间的EAPoL与网关设备/网桥设备与基站间EAPoP进行转换，网关设备/网桥设备将EAPoL报文转为EAPoP报文。
54.根据权利要求53所述的方法，其特征在于，网关设备/网桥设备转换EAPoL报文与EAPoP报文包括主机设备向网关设备/网桥设备发送EAP-Star消息报文申请EAP认证；网关设备/网桥设备接收到主机设备EAP-Start消息后，生成PKM-Request消息，消息类型为EAP-Start；网关设备/网桥设备发送PKM-Request消息至基站，由基站将EAP-Start报文送达认证者；认证者接收到EAP-Start报文后，向主机设备发出EAP-Request/Identity身份查询请求；网关设备/网桥设备将接收到EAP-Request/Identity身份查询请求报文后，将EAP-Request/Identity身份查询请求报文封装在EAP-Packet中，发送给主机设备；主机设备采用EAP-Packet报文，发送EAP-Response/Identity应答报文；网关设备/网桥设备将EAP-Response/Identity应答报文封装在PKM-Request消息报文中，消息类型为EAP-Transfer，转发给基站；基站将EAP-Response/Identity应答报文送达认证者；主机设备采用EAP-Packet报文，发送EAP-REP/RSP Method-Negotiation报文，进行EAP的认证方法协商，网关设备/网桥设备将EAP-REP/RSPMethod-Negotiation报文封装在PKM-REP/RSP消息报文中，消息类型为EAP-Transfer，转发给基站，由基站将EAP-REP/RSP Method-Negotiation报文送达认证者，进行EAP认证方法协商；主机设备采用EAP-Packet报文，发送EAP-REP/RSP Method报文，进行EAP的认证方法交换，网关设备/网桥设备将EAP-REP/RSP Method报文封装在PKM-REP/RSP消息报文中，消息类型为EAP-Transfer，转发给基站，由基站将EAP-REP/RSP Method报文送达认证者，进行EAP认证方法交换；认证者完成EAP认证后，向主机设备发出EAP-Success报文，EAP-Success报文封装在PKM-RSP消息报文中，消息类型为EAP-Transfer；网关设备/网桥设备接收到EAP-Success报文后，将EAP-Success封装在EAP-Packet报文中，将EAP-Packet报文承载在EAPoL上发送给主机设备。
55.根据权利要求50所述的方法，其特征在于，基站与网关设备/网桥设备的间EAP-Request/Identity身份查询请求报文承载于PKM-Response消息。
56.根据权利要求55所述的方法，其特征在于，主机设备认证通过后，当网关设备/网桥设备检测到主机设备下网或异常，网关设备/网桥设备向网络接入服务器主动发起EAP-Logoff消息，EAP-Logoff消息封装在PKM-Request消息报文中，PKM-Request消息报文的消息类型为EAP-Transfer；接入服务器根据EAP-Logoff消息修改主机设备授权状态。
57.根据权利要求56所述的方法，其特征在于，认证服务器设置PKM消息类型，利用PKM消息为通过认证的网关设备/网桥设备下发密钥，用于空中接口安全。
58.根据权利要求57所述的方法，其特征在于，网关设备为网关中转站/网关移动站；网桥设备为网桥中转站/网桥移动站。
全文摘要
一种多主机网络的AAA架构及认证方法，包括由网关设备/网桥设备、接入服务网络中的网络接入服务器、AAA服务器，执行网关设备/网桥设备的设备认证和/或用户认证的三方认证；网关设备/网桥设备的设备认证和/或用户认证认证结束后，由主机设备、网关设备/网桥设备中的网络接入服务器、AAA服务器，执行主机设备的设备认证和/或用户认证的三方认证本发明使得多主机的WiMAX网络中对主机设备的授权以及计费成为可能，从机制和协议流程层面，解决了对主机设备的认证和授权的支持。在AAA架构中，NAS可灵活设置于网关设备/网桥设备或ASN中。
文档编号H04L29/06GK101064605SQ20061007807
公开日2007年10月31日 申请日期2006年4月29日 优先权日2006年4月29日
发明者郑若滨 申请人:华为技术有限公司