专利名称:用于sp以太网汇聚网络的认证的系统和方法
技术领域:
本发明一般地涉及数据通信系统;具体而言,本发明涉及服务供应商 网络中的安全系统和认证技术。
背景技术:
综合计算机网络安全策略最初是为具体目标而设计,比如防止外人 (外部黑客)接入网络;只允许经授权的用户进入网络; 一般通过对行为 或使用增强责任来避免内部发起的网络攻击;以及为不同类别或种类的用 户提供不同层的接入。为了有效起见,安全策略应该以不中断业务或使经 授权的接入异常困难的方式达到每个上述目标。用于达到这些目标的各种 网络安全系统和方法在6,826,698号、6,763,469号6,611,869号和6,499,107 号美国专利中有所公开。已经开发了许多不同的网络协议来解决识别和认证想要接入网络的用 户的需要。例如,可扩展认证协议(EAP)是用于携带认证信息的灵活协 议,所述认证信息可包括标识、密码或预定安全密钥(key)。但EAP不 是传输协议,而是通常在另一种进行传送行为的协议上操作,在客户和认 证机构之间运送认证信息。举例来说,EAP可在通常用于在网络设备和认 证服务器或数据库之间通信的远程认证拨入用户服务(RADIUS)协议上 操作。作为对EAP消息的传送,RADIUS允许网络设备安全传递登陆和证 书(例如用户名/密码)信息。另一个公知的传送机制是因特网用户拨入远程接入服务器点到点链路 时通常使用的点到点协议(PPP)。内建PPP (PPP)是链路控制协议 (LCP),其建立链路层连接,并能够以可选方式协商认证协议来认证请 求网络接入的用户。目前广泛使用数字用户线路(DSL)技术来在现有电话网络基础设施上增加数字数据传输的带宽。正在使用的其他类型的第一层传送机制包括光纤到户(FTTH)和WIMAX。典型的DSL系统配置中,多个DSL用户 经由数字用户线路接入复用器(DSLAM)连接到服务供应商(SP)网 络,所述DSLAM将电话服务供应商位置处的信号集中和复用到更广阔的 广域网中。基本上,DSLAM从许多客户或用户取得连接,然后将它们汇 聚到单一的大容量连接中。DSLAM还可为用户提供诸如路由或因特网协 议(IP)地址分配之类的附加功能。异步转移模式(ATM)协议网络通常在DSLAM设备与诸如宽带远程 接入服务器(BRAS)之类的网络服务器之间的通信中使用。BRAS是终 止企业网的远程用户或因特网服务供应商(ISP)网络的因特网用户的设 备,并通常为远程用户提供防火墙、认证和路由服务。ATM协议是一个 国际标准,其中多种服务类型在点到点连接上以固定的"信元"传送。数 据分组信元通过称为虚路径标识符/虚信道标识符(VPI/VCI)转换的过 程,从用户网络接口 (UNI)经由ATM交换机通过网络传到网络节点接 口 (丽I)。SP接入网正在从ATM协议网向以太网转移。以太网技术的起源基于 网络上的对等方在本质上共同的线路或信道上发送消息的思想。每个对等 方具有全球唯一关键码,称为媒体访问控制(MAC)地址,来保证以太网中的所有地址具有不同的地址。现在多数以太网装置使用以太网交换机 (也称"网桥")来实现为附接设备提供连通性的以太网"云"或 "岛"。交换机作为智能数据流量转发器来工作,其中帧被发往目的设备 被附接到的端口。以太网网络环境中使用的网络交换机的示例可在 6,850,542号、6,813,268号和6,850,521号美国专利中找到。用于认证经由以太网接入网连接的DSL用户的广泛使用的现有技术协 议被称为以太网上的点到点协议(PPPoE) 。 RFC 2516 ( "A Method for Transmitting PPP over Ethernet" , 1999年2月)中描述的PPPoE协议基本 指定了怎样经由诸如DSL的公共宽带介质将以太网用户连接到因特网上。 但是由于PPPoE与以太网上的多点IP相反,是面向点到点连接的的,因 此它具有某些固有缺陷,使得随着诸如话音和视频之类的新业务分层堆积到SP网络上,作为传输协议的PPPoE越来越没有吸引力。因此,需要的是用于依赖以太网技术的用户宽带汇聚网络的新的认证 机制。
通过后面的详细描述和附图可以更全面地理解本发明,但所述详细描 述和附图不应视作将本发明限制在所示具体实施例,而是仅作说明和理解 之用。图1是示出根据本发明的一个实施例的网络拓扑的图。 图2是说明根据本发明的一个实施例来认证客户身份的过程的呼叫流 程图。图3是根据本发明的一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。图4是根据本发明另一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。图5是网络节点的一般电路原理结构图。
具体实施方式
描述了用于认证进入以太网接入网的SP用户的端到端解决方案。为 了提供对本发明的透彻理解,下面的描述中提出具体细节,如设备类型、 协议、配置等等。但是,网络领域普通技术人员会意识到实施本发明可能 不需要这些具体细节。计算机网络是用于在诸如中间节点和末端节点之类的节点之间传输数 据的互联子网的地理上分布的集合。局域网(LAN)即是这种子网的示 例;多个LAN还可通过诸如路由器、网桥或交换机之类的中间网络节点 互连,从而扩展计算机网络的有效"尺寸大小"并增加通信节点的数目。 末端节点的示例可包括服务器和个人计算机。这些节点一般根据预定协议 通过交换离散的数据帧或分组来进行通信。在此申请的上下文中,协议由 一组定义节点彼此之间如何进行交互的规则组成。如图5所示,每个节点60通常包含许多基本子系统,子系统包括处 理器子系统61、主存储器62和输入/输出(I/O)子系统65。数据通过存 储器总线63在主存储器("系统存储器")62和处理器子系统61之间传 送,通过系统总线66在处理器和I/0子系统之间传送。系统总线的示例可 包括传统的闪电数据传输(lightning data transport)(或超传输)总线以及 传统的外设组件[计算机]互联(PCI)总线。节点60还可包括连接到系统 总线66用于执行附加功能的其他硬件单元/模块64。处理器子系统61可 包含一个或多个处理器以及合并了一组功能的控制设备,包括系统存储器 控制器、对一个或多个系统总线的支持,以及直接存储器访问(DMA)引 擎。 一般地,单芯片设备为通用目的而设计,并未针对联网应用而进行高 度优化。典型的网络应用中,从附接到系统总线的1/0子系统的、诸如以太网 媒体访问控制(MAC)控制器之类的成帧器(framer)接收分组。MAC 控制器中的DMA引擎设有该DMA引擎可以在系统存储器中访问的缓冲 器的地址列表(例如,以系统存储器中的描述符环的形式)。由于在 MAC控制器处接收每个分组,DMA引擎获得系统总线的所有权,来访问 下一个描述符环以获得系统存储器中的下一个缓冲器地址,例如它可以将 包含在分组中的数据存储在("写入")该地址中。DMA引擎可能需要 经由系统总线发布许多写操作来传送所有的分组数据。本发明使用IEEE 802.1x规范作为用户宽带汇聚网络中跨平台认证机 制的组成部分。IEEE 802.1x规范(也简称为"802.1x")是描述用于传输 更高层认证协议的第二层(L2)协议的一组标准,意味着它可在端点(客 户)和认证者设备之间运送例如用户名和密码信息的证书信息。802.1x规 范一次能够在多种以太类型(Ethertype)(例如IP、 PPPoE, AppleTalk等 等)上打开或关闭。根据本发明的一个实施例,802.1x可用于将诸如用户边缘(CE)或住 宅网关(RG)设备之类的用户端设备连接到位于SP网络中向后一跳或多 跳的以太网汇聚交换机,以便所有流量能在单一的L2层UNI处认证。 (跳是例如网络中的节点或网关之类的两点之间距离的度量。)这使得非IP终端用户服务的认证成为可能,非IP终端用户服务如可提供多点以太网服务、以太网中继服务、以太网专线和其他L2层和L3层服务的虚拟专 用局域网服务(VPLS)。L2层UNI可包含多种不同设备,包括物理层1 (Ll)端口终端;ATM交换机;位于从CE/RG向后一个L2跳或多个L2跳的MAC地址, 其中该MAC地址用于识别和授权相应的CE/RG;对应于诸如DSLAM之 类的Ll层汇聚设备上的物理端口的虚拟MAC地址(vMAC);或对应于 单一端口的一组MAC地址。该端口例如可利用MAC掩码识别。正如稍 后将看到的那样,本发明的认证机制允许在个体(每个应用层业务)基础 上对到所有应用层业务、或者作为替代对到那些业务的子集的多个端口的 认证。除了认证,根据本发明的一个实施例,802.1x可用作允许L2层和L3 层策略应用到L2层端点的端到端认证、授权和计费(AAA)机制的一部 分。这可包括用于授权端口的服务质量(QoS)配置,以及授权/非授权端 口允许的默认资源,如仪表板/自动配置(dashboard/provisioning)网络服务器。图1是示出根据本发明的一个实施例的网络拓扑图,其中示例性家庭 网络(客户侧)在虚线10左边描述,且SP网络(服务器侧)在右边示 出。根据示出的实施例,认证协议在虚线10的两侧都被使能。客户侧包 括与个人计算机(PC) ll连接的CE设备,所述个人计算机在本例中为被 认证的单元或组件。正EE术语中,PC 11通常称为"请求者"或"恳求 者"。耦合到PC 11和CE设备13的客户端侧还示出了称为非对称数字用户 线(asymmetric digital subscriber line, ADSL)调制解调器的硬件单元 12,所述调制解调器常被称为ATU-R (ADSL终端单元-远程,ADSL Terminal Unit-Remote)。图1的示例中,ATU-R单元12提供用于在铜质 电话线上传输的比特的DSL物理层编码。CE设备13和ATU-R单元12 — 起可视为到SP网络的住宅网关(RG) 。 RG基本具有与通过边缘路由器 桥接的PC—样的上游关系(即,通往图1中的右侧)。意识到其他实施例可使用其他第一层传输机制,如FTTH或WIMAX。在图1的SP网络侧,CE设备13连接到DSLAM设备15, DSLAM设备在一种实施方式中作为认证者设备工作。或者,认证功能可包含在位于 上游一跳或多跳处的面向用户的供应商边缘(u-PE)设备中(例如,见图 3禾口 4)。图1中,宽带远程接入服务器(BRAS) 17基本上作为u-PE设 备工作。BRAS是终止企业网的远程用户或因特网服务供应商(ISP)网络 的因特网用户的设备,并可为远程用户提供防火墙、认证和路由服务。这 种情况下,BRAS 17与许多DSLAM耦合并用于在SP网络上的单一位置 或节点汇聚或集中用户流量。更上游处,示出BRAS 17与AAA服务器18连接,相应地,AAA服 务器又与因特网服务供应商(ISP) AAA服务器19连接。AAA服务器18作为用于存储包括用户身份和授权证书的用户信息的单个源设备或数据库 来工作。由于RADIUS协议是设备或应用用来与AAA服务器通信的现有 标准,因此AAA服务器18通常也称为RADIUS服务器。应该理解,认证 服务器和认证者可位于不同的管理域(例如从而容纳大规模以及少量接 入)。其他实施例中,多版本的IEEE 802.1x兼容的协议可在接入网中的 不同点运行。也可以令多个恳求者与连接到网络中的不同点的CE或RG 设备相关联。ISP AAA服务器19是图1的网络拓扑中的可选设备。由于在某些情 况中,可能希望与其他公司(例如因特网接入供应商)验证用户证书和其 他用户信息,以控制对其用户数据库的访问,因此示出的ISP AAA服务器 19与AAA服务器18相连。图2是说明根据本发明的一个实施例的认证客户身份的过程的呼叫流 程图。同样参考附图l,认证过程从客户或恳求者(例如PCll)向BRAS 17发送EAP—Start (EAP开始)消息(方块21)开始。EAP—Start消息根 据本发明是为了初始化获得网络接入的过程而运行在802.1x协议顶部的标 准EAP类型的消息。收到EAP—Start消息后,BRAS 17通过发回 EAP—Request—Identity (EAP请求身份)消息(方块22)、请求某些用户 信息(例如身份和证书)来进行响应。方块23中,客户向BRAS 17发回包含请求的身份信息的EAP—Response—Identity (EAP响应身份)分组。收到EAP—Responsejdentity分组后,BRAS 17从EAP响应有效载荷 中提取用户身份信息,并在向本例中作为802.1x认证服务器工作的AAA 服务器18转发的RADIUS认证接入请求中封装该信息。图2中由方块24 示出该事件的发生。 一个实施例中,基于客户端身份,AAA服务器18配 置为经由具体认证算法进行认证。因此,AAA服务器18可向客户请求一 次密码(OTP) 。 OTP请求发往BRAS 17。相应地,BRAS 17通过将该 OTP请求封装进发往恳求者的802.1x消息,来处理该OTP请求(方块 25)。客户(例如PC 11)收到OTP请求消息后,基于内部存储的密钥,计 算OTP。例如,公开密钥基础设施(PKI)数字证书或密钥可用于提供加 密的身份认证(密码)信息。图2中,方块26示出OTP被PC 11发送到 BRAS 17。然后BRAS 17提取/封装该OTP并将其发送到AAA服务器 18。 AAA服务器18验证该OTP,然后基于所提供的证书或允许或拒绝客 户对网络的接入(方块27)。验证后,AAA服务器18向BRAS 17返回 Access—Accept (接入接受)消息,然后BRAS 17通过802.1x传输协议向 客户发送EAP—Success (EAP成功)消息。然后BRAS 17通知客户成功并 将客户的端口转变为已授权状态,其中从那以后的流量可通过网络转发。 意识到802.1x协议可要求方块25至27示出的验证过程周期性重复来验证 客户仍然被授权连接到SP网络(方块28)。图2还示出若客户还不具有IP地址,则可用于向PC 11提供IP地址 白勺可选的动态主禾几酉己置协议(Dynamic Host Configuration Protocol, DHCP)。注意到方块31至34示出的标准DHCP过程开始于客户的接入 证书已被802.1x认证成功验证之后(方块27);即,客户收到网络接入 的授权后,BRAS端口可以开始接受除包含EAP信息的帧之外的帧。直在 那之前,BRAS 17上的端口对除EAP消息之外的所有流量关闭。图3是根据本发明的一个实施例的连接服务供应商网络的本地接入域 的用户网络接口图。图3中,示出的住宅38与本地接入域39相连。从 DSL物理层后面的铜线路(copper loop)开始示出该连接的各个层,所述DSL物理层提供用于编码铜线上发送的数字信息的机制。图3的示例还 示出在第二层协议内部封装的永久虚拟连接(PVC),它本质上是两个网络设备之间作为租用线路的公共数据网络等同物来工作的固定虚拟电路。但是,应该理解实施本发明不要求PVC。除了PVC,连接协议例如可以是 DSL上的本地以太网。图3的实施例中,在以太网中,第三层的语音IP (VoIP)和数据业务 被示为封装的,从而经由路径56 (例如VLAN 18, ISP 1)在RG 41和u-PE设备53之间传输。视频业务在DLSAM 51中分离,从而经由路径55(例如VLAN 2,视频)直接连接到u-PE设备53。根据示出的实施例, 视频业务可在经过认证机制以前分离出去。DSLAM 51配置为探听用户请 求加入多播视频节目的请求,并且多播VLAN注册(MVR)允许对视频 业务使用不同组认证规则。这样,用户可接收不依赖于802.1x认证证书的 一组基本信道。本发明的这一方面将在下面更详细讨论。图3的示例中DSLAM 51和u-PE设备53之间的连接52包括吉比特 以太网(GE)物理链接。另外,IP数据业务被示为封装在经由路径57在 RG 41禾口 u-PE设备53之间的PPPoE内。住宅网关41可包括为住宅38内的所有联网设备提供L3层IP业务的 被路由(routed)网关。举例来说,RG41可包括硬件单元43 (例如机顶 盒)、802.1x恳求者设备44 (例如PC)以及实现EAP协议的方法的单元 或模块45。网络领域的专业人员会理解示出的组成RG41的每个元素/功 能单元可由单个设备实现,或分布在具有一个或多个处理器的多个设备 (例如PC、 ATU-R、 CE等)之间。可见,单元43为RG 41运行因特网组管理协议(IGMP),来向 DSLAM 51和/或u-PE 53报告其多播组全体成员。单元43还包括存储用于 在网络中通信的IP地址信息的IP转发表。住宅38中的其他设备可经单元 43传递流量,或直接从网络为该设备提供IP地址信息。图3的实施例中,u-PE设备53包括提供与前面示例中的BRAS 17相 同的功能的802.1x认证者单元(或软件/固件模块)58。即,单元58与 RG 41和AAA服务器(未示出)通信来认证请求网络接入的恳求者。802.1x认证协议在单元58处中止。本例中,由于可能有许多DSLAM (包 括DSLAM 51)连接到u-PE设备53,因此个体用户的认证基于恳求者的 MAC地址。或者,可使用一些其他逻辑标识符。图3示出的网络拓扑中,EAP消息由恳求者44使用802.lx传输协议 通过以太网(由虚线示出)发送到u-PE设备53,并在该设备中被认证者 单元58处理。以太网可以是多种以太类型,例如IP、 PPPoE、 AppleTalk 等等。本例中,示出的以太网承载IP (路径56)和PPPoE (其本身又承 载IP;路径57)。图3的示例中,对于路径55和57二者,示出的PPPoE 协议使用相同的MAC地址。换言之,单元58使用相同的MAC地址认证 两个以太网数据流。根据本发明,可使用不同MAC地址,以便不同的以太网业务流可与 另一个分开认证。例如,话音和视频业务(路径56和55)可与路径57上 提供的数据业务分开认证。例如路径57上的数据业务可由诸如美国在线 之类的ISP提供,而话音和视频业务由另一个SP (例如Horizon)提供。 这种情境下,不同MAC地址的使用允许话音和视频业务的认证与数据业 务分开,本质上允许认证发生在每个业务关系的基础上。意识到用于不同 应用层业务的MAC地址认证可位于网络中向后多跳的位置,甚至穿过一 个或多个汇聚块。看待本发明该方面的另一个方法是经由边缘设备的物理端口的网络接 入可由以太类型打开(或关闭)。因此,对非IP终端用户L2和L3层业 务的认证可在每业务基础上使能,这在现有技术方法中无法实现。另外, EAP可通过PPPoE和802.1x来传输,从而允许与现有PPPoE AAA数据库 和用户证书的无缝集成。事实上,本发明的网络拓扑上能够无缝地支持诸 如轻量级EAP (LEAP)、受保护的EAP (PEAP)、消息摘要5 (MD5) 等之类的各种不同EAP方法。另外,从认证服务器返回消息能够通过现有 方法不支持的方式提供端口配置信息或策略信息。网络领域专业人员还会意识到,通过在DSLAM 52处分离视频业务并 在u-PE设备53中向后一跳处提供802.1x认证,如图3的网络拓扑中所 示,用户不必经过802.1x认证者单元58就能请求加入多播视频节目(并观看多播视频节目)。换言之,由于复制的最后地点位于离本地接入域39中802.1x协议中止的位置向下一跳处,因此DSL用户不必传递一组证书 就能观看视频节目。某些情况中,这种配置有利于希望仅根据用户的物理 连接来向用户提供一组基本的广播视频信道的DSLAM供应商。图4是根据本发明的另一个实施例的连接服务供应商网络的本地接入 域的用户网络接口图。除了图4中视频业务在u-PE设备53而不是 DSLAM 51处从话音和数据业务中分离出来之外,图4的网络拓扑图与图 3所示的网络拓扑图基本相同。通过基于单个MAC地址接受或拒绝所有 业务,该配置允许802.1x认证在整个物理端口上执行。前面图3的示例 中,个体业务可具有拥有个体规则组的不同认证机制。而图4的实施例 中,通过对所有业务接受或拒绝恳求者的接入网络的请求,而不是在个体 业务的基础上物理打开或关闭网络端口,对所有业务应用802.1x。还应理解,本发明的要素也可提供为可包括机器可读介质的计算机程 序产品,所述机器可读介质上存储可用于给计算机(例如处理器或其他电 子设备)编程使其执行操作序列的指令。或者,该操作可由硬件和软件的 组合执行。机器可读介质可包括但不限于软盘、光盘、CD-ROM和磁光 盘、ROM、 RAM、 EPROM、 EEPROM、磁或光卡、传播媒质或其他类型 的媒质/适于存储电子指令的机器可读介质。例如,本发明的要素可作为计 算机程序产品下载,其中该程序可通过包含在载波或其他传播介质中的数 据信号的方式经由通信链路(例如调制解调器或网络连接)传送到节点或 交换机。另外,尽管已结合具体实施例描述了本发明,但是许多修改和变更同 样包含在本发明的范围内。因此,应在说明性而非限制性的意义上看待本 说明书和附图。
权利要求
1.一种用于以太网接入网的面向用户的供应商边缘(u-PE)设备的操作的处理器实现的方法,所述方法包括从用户端设备接收消息,所述消息与认证协议相兼容并按照IEEE802.1x兼容的协议从所述用户端设备被传送到所述u-PE设备;以及基于所述消息中包含的逻辑标识符允许或拒绝对所述以太网接入网的接入。
2. 如权利要求1所述的处理器实现的方法,其中所述用户端设备包 括住宅网关(RG)设备。
3. 如权利要求1所述的处理器实现的方法,其中所述以太网接入网 包括以太网数字用户线接入复用器(DSLAM)汇聚网络。
4. 如权利要求1所述的处理器实现的方法,其中所述消息包括可扩 展认证协议(EAP)消息。
5. 如权利要求1所述的处理器实现的方法,其中所述逻辑标识符包 括媒体访问控制(MAC)地址。
6. 如权利要求1所述的处理器实现的方法,还包括在认证、授权和 计费(AAA)服务器处验证由所述用户端设备提供的用户证书。
7. 如权利要求3所述的处理器实现的方法还包括 对包括如下帧的流量打开宽带远程接入服务器(BRAS)设备的端口,所述帧包含所述EAP消息之外的信息。
8. 如权利要求4所述的处理器实现的方法还包括 执行动态主机配置协议(DHCP)过程来为所述用户端设备提供因特网协议(IP)地址。
9. 一种用于服务供应商(SP)用户以太网汇聚网络的面向用户的供 应商边缘(u-PE)设备的操作的处理器实现的方法,所述方法包括从用户端设备接收消息,所述消息与第一协议相兼容并按照IEEE 802.1x兼容的协议从所述用户端设备被传送到所述u-PE设备;根据第二协议向服务器发送网络接入请求,所述网络接入请求包括用户身份信息;从所述服务器接收验证信息;以及基于第一逻辑标识符对所述用户端设备和所述SP用户以太网汇聚网 络之间的与具体应用层业务相关的流量进行授权。
10. 如权利要求9所述的处理器实现的方法,其中所述第一逻辑标识 符包括媒体访问控制(MAC)地址。
11. 如权利要求9所述的处理器实现的方法,其中所述具体应用层业 务包括语音IP业务。
12. 如权利要求9所述的处理器实现的方法,其中所述具体应用层业 务包括数据业务。
13. 如权利要求9所述的处理器实现的方法,其中所述具体应用层业 务包括视频业务。
14. 如权利要求9所述的处理器实现的方法还包括 基于第二逻辑标识符对所述用户端设备和所述SP用户以太网汇聚网络之间的与不同业务相关的流量进行授权。
15. 如权利要求9所述的处理器实现的方法,其中所述服务器包括宽 带远程接入服务器(BRAS)设备,并且所述消息包括可扩展认证协议(EAP)消息。
16. 如权利要求15所述的处理器实现的方法还包括 对包括如下帧的流量打开BRAS设备的端口,所述帧包含所述EAP消息之外的信息。
17. 如权利要求9所述的处理器实现的方法还包括 执行动态主机配置协议(DHCP)过程来为所述用户端设备提供因特网协议(IP)地址。
18. —种用于与以太网接入网相关联的面向用户的供应商边缘(u-PE)设备,所述u-PE设备包括端口;与IEEE 802.1x兼容的协议相兼容的认证者,所述认证者配置为通过 所述正EE 802.1x兼容的协议与住宅网关(RG)设备的恳求者设备进行通信,并通过不同的认证协议与存储所述恳求者设备的证书信息的网络服务 器进行通信,所述认证者在每应用层业务的基础上对所述RG设备和所述 以太网接入网之间的流量打开所述端口 。
19. 如权利要求18所述的u-PE设备,其中所述不同的认证协议包括 远程认证拨入用户服务(RADIUS)协议。
20. 如权利要求18所述的u-PE设备,其中所述具体应用层业务由媒 体服务控制(MAC)地址识别。
21. 如权利要求18所述的u-PE设备,其中所述具体应用层业务由以 太类型识别。
22. 如权利要求21所述的u-PE设备,其中所述具体应用层业务包括 数据业务。
23. 如权利要求20所述的u-PE设备,其中所述具体应用层业务包括 视频业务。
24. —种用于与以太网接入网相关联的面向用户的供应商边缘(u-PE)设备,所述u-PE设备包括端口;用于利用通过IEEE 802.1x兼容的协议运送的可扩展认证协议 (EAP)消息与用户端设备进行通信,并且用于与存储用户证书信息的认 证、授权和计费(AAA)服务器进行通信的装置,所述装置在验证了所述 用户端设备提供的证书信息之后,在每应用层业务的基础上对所述用户端 设备和所述以太网接入网之间的流量打开所述端口 。
25. —种服务供应商(SP)用户以太网接入网,包括 与用户端设备连接的第一层(Ll)传输设备; 存储用户证书信息的认证、授权和计费(AAA)服务器; 面向用户的供应商边缘(u-PE)设备,所述u-PE设备耦合到所述AAA服务器并经所述Ll层传输设备连接到所述用户端设备,所述u-PE设 备具有物理端口并包括这样的装置,所述装置用于利用通过IEEE 802.1x 兼容的协议运送的可扩展认证协议(EAP)消息与用户端设备进行通信, 并且用于通过不同协议与所述AAA服务器进行通信,所述装置在验证了所述用户端设备提供的证书信息之后,在每应用层业务的基础上对所述用 户端设备和所述SP用户以太网接入网之间的流量打开所述物理端口,其中个体应用层业务由媒体访问控制(MAC)地址识别。
26. —种计算机程序产品,包括计算机可用的介质和包含在所述计算 机可用介质上的计算机可读代码,所述计算机可读代码的执行使所述计算 机程序产品配置面向用户的供应商边缘(u-PE)设备来利用通过IEEE 802.1x兼容的协议运送的可扩展认证协议(EAP)消 息与用户端设备进行通信;通过不同协议与AAA服务器进行通信;以及验证所述用户端设备提供的证书信息之后,在每应用层业务的基础上 对所述用户端设备和以太网接入网之间的流量打开物理端口。
27. 如权利要求25所述的计算机程序产品,其中所述个体应用层业 务由媒体访问控制(MAC)地址识别。
全文摘要
服务供应商(SP)认证方法包括从用户端设备接收消息,所述消息与认证协议相兼容,并从用户端设备被传送到按照IEEE 802.1x兼容的协议工作的u-PE设备。对SP网络的接入基于消息中包含的逻辑标识符或者被允许或者被拒绝。需要强调的是,本摘要的提供遵守如下规则要求摘要允许检索者或其他读者能够快速确定技术公开的主题。本摘要的提交带有如下含义,即本摘要不应当用于解释或限制权利要求的范围或意义。37CFR 1.72(b)。
文档编号H04L12/56GK101326763SQ200680010014
公开日2008年12月17日 申请日期2006年4月17日 优先权日2005年5月31日
发明者伊恩·伍德, 埃里克·沃尔特, 韦恩·罗格 申请人:思科技术公司