一种认证方法和系统的制作方法

专利名称：一种认证方法和系统的制作方法
技术领域：
本发明涉及接入认证技术领域，特别涉及一种认证方法及系统。
背景技术：
802.16是电气与电子工程师学会(IEEE)关于无线城域网的一系列标准，而世界微波接入互操作性协调组织(WIMAX)是支持802.16走向市场的组织联盟。WIMAX论坛的网络工作组(NWG)定义WIMAX的网络由接入业务网络(ASN)和连接业务网络(CSN)两部分组成。参见图1，图1为现有技术中WIMAX组网结构示意图。用户驻地网(CPN)110由移动站(MS)111和连接了终端设备(TE)112的用户站(SS)113组成，CPN 110与ASN 120通过空口连接。ASN 120包括基站(BS)121和ASN网关(ASN-GW)122，ASN120与CSN 130相连。WIMAX对终端的认证方式采用扩展认证协议(EAP)，认证者(Authenticator)部属在ASN-GW 122中，认证服务器部署在CSN 130中。MS 111或SS 113与BS 121之间的空口通过密钥管理(PKM)协议来承载EAP报文，即采用基于密钥管理协议的扩展认证协议(EAPoPKM)实现认证。
在WIMAX系统中数据传输是面向连接的，上行或者下行任何数据都是在某一个连接中传输。一条提供特定服务质量(QoS)的单向数据包流被定义为一条业务流，WIMAX系统中传输的每个业务流都由一个连接标识符(CID)进行标识。802.16协议中对业务流依据调度方式分为五种类型固定授权的业务(UGS)、实时轮询业务(rtPS)、增强的实时轮询业务(ertPS)、非实时轮询业务(nrtPS)和尽力传送(BE)业务，每一种调度类型都对应不同的QoS参数集。CID中包含有该业务流的调度类型的信息。
数字用户线(DSL)是一种常用的有线宽带接入网技术，参见图2，图2为现有技术中DSL组网结构示意图。CPN 210由连接了TE 211的用户前端设备(CPE)212组成，CPN 210与ASN 220相连。ASN 220包括接入节点(AN)221和宽带网络网关(BNG)222，其中AN 221可以为数字用户线接入复用器(DSLAM)。ASN 220与CSN 230相连。DSL的认证方式有基于以太网上的点对点协议(PPPoE)的认证，基于用户位置的认证，即动态主机配置协议(DHCP)认证，以及802.1x认证。802.1x认证系统定义了三个功能实体认证请求者(Supplicant)、认证者(Authenticator)和认证服务器，认证服务器如EAP服务器(EAP Server)，或称为AAA服务器(AAA Server)。其中，认证请求者部署在CPN 210，认证设备部署在BNG 222，认证服务器部署在CSN 230。认证请求者与认证者之间采用基于局域网的扩展认证协议(EAPoL)交互信息，当认证系统处于中继方式时，认证者与认证服务器之间采用基于远程认证拨号用户服务(RADIUS)的EAP(EAPoRADIUS)实现认证，由BNG 222完成EAPoL到EAPoRADIUS的转换。
在DSL系统中传输的数据都带有虚拟局域网(VLAN)标签，VLAN标签包括12bit的VLAN标识符(VLAN ID)和3bit的优先级(Priority)。其中VLANID用来标识和隔离用户及业务，Priority用来标识业务优先级。为了解决VLANID标识空间不足的问题，有时报文中会带有两层VLAN标签，具体用法是内层VLAN ID标识用户，外层VLAN ID标识AN和业务，Priority标识业务优先级。
从上述介绍可以看出在现有技术中，WIMAX网络与有线宽带接入网络的组网结构和认证机制区别很大，还没有一种认证机制能够为WIMAX终端接入有线宽带接入网络提供认证服务。

发明内容
基于上述缺点，本发明实施例提出一种认证方法，该方法能够为WIMAX终端接入有线宽带接入网络提供认证服务。该方法包括设备认证过程和用户认证过程；其中，
设备认证过程包括WIMAX终端向设备认证的认证者发送设备认证请求消息；设备认证的认证者根据收到的设备认证请求消息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，实现对WIMAX终端的认证；用户认证过程包括用户认证的请求者向用户认证的认证者发送用户认证请求消息；用户认证的认证者根据收到的用户认证请求消息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，实现对用户认证的请求者的认证。
本发明实施例还提出一种认证系统，该系统能够为WIMAX终端接入有线宽带接入网络提供认证服务。该系统包括WIMAX终端，用于向设备认证的认证者发送设备认证请求信息；设备认证的认证者，用于根据收到的设备认证请求信息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，对WIMAX终端进行认证；设备认证的认证服务器，用于与设备认证的认证者进行认证消息交互，对WIMAX终端进行认证；用户认证的请求者，用于向用户认证的认证者发送用户认证请求信息；用户认证的认证者，用于根据收到的用户认证请求信息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，对用户认证的请求者进行认证；用户认证的认证服务器，用于与用户认证的认证者进行认证消息交互，对用户认证的请求者进行认证。
综上所述，本发明实施例提出的方法和系统，将认证过程区分设备认证和用户认证，设备认证用于打通空口通道，保证空口安全性，使非法设备无法占用空口资源；用户认证用于打通业务通道，分配网络资源，如IP地址等，能够为WIMAX终端接入有线宽带接入网络提供认证服务。


图1为现有技术中WIMAX组网结构示意图；图2为现有技术中DSL组网结构示意图；图3a为WIMAX网络和有线宽带接入网络融合的网络结构示意图一；图3b为WIMAX网络和有线宽带接入网络融合的网络结构示意图二；图4a为设备认证功能实体分布和协议转换示意图一；图4b为设备认证功能实体分布和协议转换示意图二；图5a为用户认证功能实体分布和协议转换示意图一；图5b为用户认证功能实体分布和协议转换示意图二；图5c为用户认证功能实体分布和协议转换示意图三；图5d为用户认证功能实体分布和协议转换示意图四；图6为本发明实施例用户认证过程具体流程图；图7为上行方向CID和VLAN标签映射关系示意图；图8为下行方向VLAN标签和CID映射关系示意图。
具体实施例方式
为使本发明的目的，技术方案和优点更加清楚明白，下面结合实施例对本发明进行详细说明。
本发明提出的认证方法和系统应用于WIMAX网络和有线宽带接入网络融合的网络。WIMAX网络和有线宽带接入网络融合的组网模式有两种组网模式一如图3a，图3a为WIMAX网络和有线宽带接入网络融合的网络结构示意图一。WIMAX网络和有线宽带接入网络融合的网络包括CPN，内置ASN-GW的BS、BNG以及CSN。
组网模式二如图3b，图3b为WIMAX网络和有线宽带接入网络融合的网络结构示意图二。WIMAX网络和宽带有线接入网络融合的网络包括CPN，BS、ASN-GW、BNG以及CSN。
本发明提出的认证方法包括设备认证过程和用户认证过程；其中
设备认证过程包括WIMAX终端向设备认证的认证者发送设备认证请求消息；设备认证的认证者根据收到的设备认证请求消息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，实现对WIMAX终端的认证；用户认证过程包括用户认证的请求者向用户认证的认证者发送用户认证请求消息；用户认证的认证者根据收到的用户认证请求消息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，实现对用户认证的请求者的认证。
基于图3所示的组网结构，本发明实施例中实现认证的功能实体可以有两种部署方式部署方式一用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端设备中，设备认证的认证者部署在BS中，用户认证的认证者部署在BNG中。
部署方式二用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端设备中，所述设备认证的认证者部署在ASN-GW中，所述用户认证的认证者部署在BNG中。
在本发明实施例中，设备认证顺从IEEE802.16E-2005和WIMAX NWG标准，用户认证顺从有线宽带接入网认证机制，WIMAX和DSL两种认证机制融合。
在上述方法中，所述设备认证过程成功之后，进行用户认证过程。实现对WIMAX终端的认证之后进一步包括如果设备认证通过，则向WIMAX终端发送设备认证通过消息，继续进行用户认证过程；否则，向设备认证的请求者发送设备认证失败消息，结束本流程。
参见图4a，图4a为设备认证功能实体分布和协议转换示意图一。在图4a中，设备认证的认证者部署在BS中，设备认证采用基于密钥管理协议的扩展认证协议(EAPoPKM)，BS完成承载协议的转换，将 EAP报文承载于网络侧认证协议的承载协议，如RADIUS协议或Diameter协议。
上述方法中，所述WIMAX终端向设备认证的认证者发送设备认证请求消息为WIMAX终端将设备认证请求消息封装在EAPoPKM报文中，发送至设备认证的认证者；所述设备认证的认证者与设备认证的认证服务器进行认证消息交互为将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述设备认证的认证者向WIMAX终端发送设备认证通过消息/设备认证失败消息为设备认证的认证者将设备认证通过消息/设备认证失败消息封装在EAPoPKM报文中，发送至WIMAX终端。
参见图4b，图4b为设备认证功能实体分布和协议转换示意图二。图4b中，设备认证的认证者部署在ASN-GW中，设备认证采用EAPoPKM，BS完成EAPoPKM到EAPoL的转换，ASN-GW完成EAPoL到EAPoRADIUS/EAPoDiameter的转换。
在上述方法中，所述WIMAX终端向设备认证的认证者发送设备认证请求消息为WIMAX终端将设备认证请求消息封装在EAPoPKM报文中，发送至BS；BS将收到的EAPoPKM报文转换成EAPoL报文，发送至设备认证的认证者；所述设备认证的认证者与设备认证的认证服务器进行认证消息交互为将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述设备认证的认证者向WIMAX终端发送设备认证通过消息/设备认证失败消息为设备认证的认证者将设备认证通过消息/设备认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文转换成EAPoPKM报文，发送至WIMAX终端。
上述方法中，实现对用户认证的请求者的认证之后可以进一步包括如果认证通过，则向用户认证的请求者发送用户认证通过消息；如果认证不通过，则向用户认证的请求者发送用户认证失败消息。
参见图5，图5为用户认证功能实体分布和协议转换示意图。在图5中，用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端中，用户认证的认证者部署在BNG中。
由于用户认证的请求者和用户认证的认证者之间要穿越空口，当空口采用IP CS时，由于EAPoL需要二层信息承载，这样EAPoL就无法穿越空口，此时采用EAPoPKM和EAPoL的转换来解决这个问题，BS完成EAPoPKM和EAPoL的转换，BNG完成EAPoL到EAPoRADIUS/EAPoDiameter的转换。
参见图5a，图5a为用户认证功能实体分布和协议转换示意图一。如图5a所示，上述方法中，所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求消息封装在EAPoPKM报文中，发送至BS；BS将收到的EAPoPKM报文转换成EAPoL报文，发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过信息/用户认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文转换成EAPoPKM报文，发送至用户认证的请求者。
用户认证也可以采用PPPoE协议，BS只做PPPoE的透传或添加位置信息，BNG终结PPPoE，向认证服务器发起RADIUS协议交互。
参见图5b，图5b为用户认证功能实体分布和协议转换示意图二。如图5b所示，上述方法中，所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求信息封装在PPPoE报文中，发送至BS；BS将收到的PPPoE报文发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在网络侧认证协议的承载协议报文中进行交互；
所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过消息/用户认证失败消息封装在PPPoE报文中，发送至BS；BS将收到的PPPoE报文发送至用户认证的请求者。
用户认证也可以采用DHCP认证，BS添加位置信息，BNG从DHCP报文中获取位置信息，将位置信息填写到RADIUS报文中，发送给认证服务器进行位置认证。如果认证不通过，认证服务器不返回认证失败消息。
参见图5c，图5c为用户认证功能实体分布和协议转换示意图三。如图5c所示，上述方法中，所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求信息封装在DHCP报文中，发送至BS；BS在收到的DHCP报文中添加位置信息后，发送至用户认证的认证者；其中，所述位置信息包含WIMAX终端信息及所接入BS的信息；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在网络侧认证协议的承载协议报文中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息的步骤包括用户认证的认证者将用户认证通过消息封装在DHCP报文中，发送至BS；BS将收到的DHCP报文发送至用户认证的请求者。
用户认证也可以采用EAPoL，BS透传EAPoL，BNG完成EAPoL到EAPoRADIUS的转换。
参见图5d，图5d为用户认证功能实体分布和协议转换示意图四。如图5d所示，上述方法中，所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过消息/用户认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文发送至用户认证的请求者。
下面举一个具体的例子，对图5a所示的用户认证消息承载协议转换过程作详细描述。
参见图6，图6为本发明实施例用户认证过程具体流程图。
步骤601用户认证的请求者向BS发送PKM-请求/EAP-开始(PKM-REQ/EAP-Start)消息。
步骤602BS检查到PKM-REQ/EAP-Start消息，向部署了用户认证的认证者的BNG发送EAPoL-开始(EAPoL-Start)消息，指示用户认证的请求者要求启动认证过程。
步骤603BNG向BS发送EAP-请求(EAP-Request)消息。其中EAP-Request消息的子消息类型为身份请求(Identity)，要求用户认证的请求者上报身份。
步骤604BS根据EAP-Request，向用户认证的请求者发送PKM-应答/EAP-传输(PKM-RSP/EAP-Transfer)消息，消息中包含EAP-Request消息的内容。
步骤605用户认证的请求者解析PKM-RSP/EAP-Transfer消息和其中包含的EAP-Request消息，发现是BNG请求其身份标识符，则给BS设备发送PKM-REQ/EAP-Transfer消息，消息中包含EAP-应答(EAP-Response)消息，并在EAP-Response消息中带上用户名。
步骤606BS解析PKM-REQ/EAP-Transfer消息，然后向BNG发送EAP-Response消息。
步骤607BNG向用户认证的认证服务器发送RADIUS/接入-请求(RADIUS/Access-Request)消息，消息中包含EAP-Response消息和其负载部分。
步骤608用户认证的认证服务器向BNG回复RADIUS/接入-质询(RADIUS/Access-Challenge)消息，消息中要包含一个EAP-Request消息和用户名。选用MD5算法作为认证算法，EAP-Request消息中要包含一个MD5Challenge数。
步骤609BNG解析RADIUS/Access-Challenge消息，将EAP-Request消息回复给BS。
步骤610BS解析EAP-Request消息，将EAP-Request消息作为PKM-RSP/EAP-Transfer消息的负载部分转发给用户认证的请求者。
步骤611用户认证的请求者使用自己的密码和收到的MD5 Challenge数，作MD5算法后得到(Challenge-Password，将其作为EAP-Response消息的负载，然后用PKM-REQ/EAP-Transfer消息发送给BS。
步骤612BS将EAP-Response发送给BNG。
步骤613BNG将EAP-Response作为RADIUS/Access-Request消息的负载部分，发送给用户认证的认证服务器。消息中携带用户名。
步骤614用户认证的认证服务器使用MD5 Challenge和用户认证的请求者的密码，同样作MD5算法后，得到一个Challenge-Password 1，将其与收到的Challenge-Password进行比较如果比较结果一致，则认证通过；否则认证不通过。
当用户认证通过后，认证服务器要向用户认证的请求者返回认证通过消息，进行以下步骤步骤615用户认证的认证服务器向BNG发送RADIUS/Access-Accept消息，这个消息中包含EAP-Success消息和用户名。EAP-Success消息中要包含一个随机数(Nonce)。
步骤616BNG收到RADIUS/Access-Accept消息后，解析出EAP-Success消息，发送给BS。
步骤617BS将EAP-Success消息作为PKM-RSP/EAP-Transfer消息的负载部分，发送给对应的用户认证的请求者。
认证通过后，开始计费并为用户分配IP地址。具体为如下步骤
步骤618BNG发起计费开始请求给AAA服务器。
步骤619AAA服务器回应计费开始响应报文。
步骤620认证通过后，WIMAX终端用户采用标准的动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)通过BNG获取规划的IP地址。
在上述系统及方法中，由于认证消息跨越空口和有线网络，为了区分不同消息，在WIMAX系统中，传输的消息采用CID进行标识，而在DSL系统中，传输的消息采用VLAN标签进行标识。因此，需要实现认证过程中所传输消息的CID与VLAN标签的相互转换。为达到这一目的，需要在BS中保存不同CID与不同VLAN标签的对应关系，上述方法可以进一步包括建立不同CID与不同VLAN标签的对应关系，将该对应关系保存在BS中。
所述WIMAX终端将报文发送至BS之前，进一步包括WIMAX终端将CID携带在报文中；所述BS将报文发送至BNG之前进一步包括根据该报文携带的CID及对应关系确定对应的VLAN标签，将该VLAN标签携带在报文中；所述BNG将报文发送至BS之前，进一步包括BNG将VLAN标签携带在报文中；所述BS将报文发送至WIMAX终端之前进一步包括根据该报文携带的VLAN标签及对应关系确定对应的CID，将该CID携带在报文中。
在上述方法中，BS保存的不同CID与不同VLAN标签的对应关系可以为CID中包含的调度类型信息与外层VLAN标签中包含的优先级信息的对应关系、CID中包含的所属BS信息与外层VLAN标签中包含的VLAN ID的对应关系、以及CID中包含的所属WIMAX终端信息与内层VLAN标签中包含的VLAN ID的对应关系中的任意一个或多个。
为使CID和VLAN标签的对应关系表述更加清楚，下面举一个具体的实施例，详细解释设备认证及用户认证过程中CID和VLAN标签的映射关系。假设WIMAX终端是一个具有桥接功能的收发实体，WIMAX终端所连接的业务终端设备包括PC、综合接入设备(IDA，Integrated Access Device)和机顶盒(STB，Set Top Box)，业务终端设备连接在WIMAX终端上，共同构成CPN。WIMAX下接的业务根据端口作流分类，区分不同的业务类型。如端口1接PC，接入数据业务；端口2接IAD，接入语音业务；端口3接STB，接入视频业务。BS和WIMAX终端之间有三对CID，分别用来标识和承载数据业务、语音业务及视频业务。
下面分上行方向和下行方向分别描述。参见图7，图7为上行方向CID和VLAN标签映射关系示意图。
上行方向不同接入终端设备的数据从WIMAX终端的不同端口进入；WIMAX终端把不同端口进来的数据用不同的CID进行标识，发送给BS，不同CID的调度类型不同。假设用CID1标识端口1进来的数据，调度类型为nrtPS；用CID2标识端口2进来的数据，调度类型为ertPS；用CID3标识端口3进来的数据，调度类型为rtPS。
BS保存有不同CID与不同VLAN标签的对应关系。该对应关系包括CID中包含的调度类型信息与VLAN标签中的优先级Priority的对应关系。Priority有三个bit位，可以表示8个优先级——000、001、010、011、100、101、110、111，转换成十进制就是——0，1，2，3，4，5，6，7。7表示最高优先级，0表示最低优先级。该对应关系可以为调度类型nrtPS与Priority(4)对应，调度类型ertPS与Priority(5)对应，调度类型rtPS与Priority(3)对应。
BS根据空口上报的数据的CID的调度类型及其保存的对应关系，确定VLAN标签的优先级信息，并分配VLAN标签，用该VLAN标签标识数据后转发给BNG。
上述对应关系还可以包括CID中包含的数据所属BS信息与外层VLAN标签中VLAN ID的对应关系，以及CID中包含的数据所属WIMAX终端信息与内层VLAN标签中VLAN ID的对应关系。
参见图8，图8为下行方向VLAN标签和CID映射关系示意图。
BS收到BNG发送的数据，该数据携带有两层VLAN标签，S+C+Priority。其中，S是外层VLAN标签的VLAN ID，C是内层VLAN标签的VLAN ID，Priority是外层VLAN标签的优先级标识。
BS根据数据的VLAN标签以及其保存的对应关系确定CID。BS根据下行数据的S+C可以确定该数据要转发给哪个BS的哪个WIMAX终端；根据Priority及对应关系可以确定CID的调度类型。其中，Priority(5)对应ertPS，Priority(4)对应rtPS，Priority(3)对应nrtPS。
当BS只保存了CID与VLAN标签中的S+Priority以及业务终端的MAC地址的对应关系时，可以根据业务终端的MAC地址确定该数据要转发给哪个WIMAX终端，根据Priority及对应关系确定CID的调度类型。
如果空口上设备认证和用户认证都采用EAPoPKM封装消息，为了区分两种认证，将两种EAPoPKM消息采用不同种类的CID进行标识，也就是在两种认证请求消息中携带不同种类的CID设备认证的EAPoPKM消息可以采用主要的(Primary)CID进行标识，用户认证的EAPoPKM消息可以采用业务CID进行标识。这样BS就可以区分两种认证。
本发明实施例还提出一种认证系统，该系统包括WIMAX终端，用于向设备认证的认证者发送设备认证请求信息；设备认证的认证者，用于根据收到的设备认证请求信息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，对WIMAX终端进行认证；设备认证的认证服务器，用于与设备认证的认证者进行认证消息交互，对WIMAX终端进行认证；用户认证的请求者，用于向用户认证的认证者发送用户认证请求信息；用户认证的认证者，用于根据收到的用户认证请求信息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，对用户认证的请求者进行认证；用户认证的认征服务器，用于与用户认证的认证者进行认证消息交互，对用户认证的请求者进行认证。
上述认证系统中，所述用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端设备中，所述设备认证的认证者部署在BS中或ASN-GW中，所述用户认证的认证者部署在BNG中。
综上所述，本发明实施例提出的认证方法和系统，区分设备认证和用户认证，通过设备认证和用户认证的认证设备分布不同，使得设备认证顺从IEEE802.16e和WIMAX NWG的标准，用户认证顺从有线宽带接入网络的认证机制，将两种认证机制融合。本发明实现对WIMAX网络的CID与有线宽带接入网络的VLAN标签的映射，特别是实现空口的流分类规则和固网的流分类规则的映射，空口的调度类型和固网的优先级映射。实现EAPoPKM到EAPoL的转换，使得空口是IP CS情况下，仍然能够采用EAPoL认证方式。空口上设备认证和用户认证都采用EAPoPKM，设备认证的EAPoPKM可以采用PrimaryCID进行标识，用户认证的EAPoPKM可以采用业务CID进行标识，BS就可以以此区分两种认证。采用上述措施，本发明能够实现为WIMAX终端接入有线宽带接入网络提供认证服务。
权利要求
1.一种认证方法，其特征在于，该方法包括设备认证过程和用户认证过程；其中，设备认证过程包括世界微波接入互操作性协调组织WIMAX终端向设备认证的认证者发送设备认证请求消息；设备认证的认证者根据收到的设备认证请求消息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，实现对WIMAX终端的认证；用户认证过程包括用户认证的请求者向用户认证的认证者发送用户认证请求消息；用户认证的认证者根据收到的用户认证请求消息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，实现对用户认证的请求者的认证。
2.根据权利要求1所述的方法，其特征在于，所述用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端设备中，所述设备认证的认证者部署在基站BS或接入业务网络网关ASN-GW中，所述用户认证的认证者部署在宽带网络网关BNG中。
3.根据权利要求1或2所述的方法，其特征在于，所述设备认证过程成功之后，进行用户认证过程；所述实现对WIMAX终端的认证之后进一步包括如果设备认证通过，则向WIMAX终端发送设备认证通过消息，继续进行用户认证过程；否则，向WIMAX终端发送设备认证失败消息，结束本流程；当设备认证的认证者部署在BS中时，所述WIMAX终端向设备认证的认证者发送设备认证请求消息的步骤包括WIMAX终端将设备认证请求消息封装在基于密钥管理协议的扩展认证协议EAPoPKM报文中，发送至设备认证的认证者；所述设备认证的认证者与设备认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在扩展认证协议EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述设备认证的认证者向WIMAX终端发送设备认证通过消息/设备认证失败消息的步骤包括设备认证的认证者将设备认证通过消息/设备认证失败消息封装在基于密钥管理协议的扩展认证协议EAPoPKM报文中，发送至WIMAX终端；当设备认证的认证者部署在ASN-GW中时，所述WIMAX终端向设备认证的认证者发送设备认证请求消息的步骤包括WIMAX终端将设备认证请求消息封装在EAPoPKM报文中，发送至BS；BS将收到的EAPoPKM报文转换成基于局域网的扩展认证协议EAPoL报文，发送至设备认证的认证者；所述设备认证的认证者与设备认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述设备认证的认证者向WIMAX终端发送设备认证通过消息/设备认证失败消息的步骤包括设备认证的认证者将设备认证通过消息/设备认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文转换成EAPoPKM报文，发送至WIMAX终端。
4.根据权利要求3所述的方法，其特征在于，所述实现对用户认证的请求者的认证之后进一步包括如果认证通过，则向用户认证的请求者发送用户认证通过消息；所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求信息封装在动态主机配置协议DHCP报文中，发送至BS；BS在收到的DHCP报文中添加位置信息后，发送至用户认证的认证者；其中，所述位置信息包含WIMAX终端信息及所接入BS的信息；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在网络侧认证协议的承载协议报文中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息的步骤包括用户认证的认证者将用户认证通过消息封装在DHCP报文中，发送至BS；BS将收到的DHCP报文发送至用户认证的请求者。
5.根据权利要求3所述的方法，其特征在于，所述实现对用户认证的请求者的认证之后进一步包括如果认证通过，则向用户认证的请求者发送用户认证通过消息；如果认证不通过，则向用户认证的请求者发送用户认证失败消息；所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求消息封装在EAPoPKM报文中，发送至BS；BS将收到的EAPoPKM报文转换成EAPoL报文，发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过信息/用户认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文转换成EAPoPKM报文，发送至用户认证的请求者。
6.根据权利要求3所述的方法，其特征在于，所述实现对用户认证的请求者的认证之后进一步包括如果认证通过，则向用户认证的请求者发送用户认证通过消息；如果认证不通过，则向用户认证的请求者发送用户认证失败消息；所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求信息封装在基于以太网上的点对点协议PPPoE报文中，发送至BS；BS将收到的PPPoE报文发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在网络侧认证协议的承载协议报文中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过消息/用户认证失败消息封装在PPPoE报文中，发送至BS；BS将收到的PPPoE报文发送至用户认证的请求者。
7.根据权利要求3所述的方法，其特征在于，所述实现对用户认证的请求者的认证之后进一步包括如果认证通过，则向用户认证的请求者发送用户认证通过消息；如果认证不通过，则向用户认证的请求者发送用户认证失败消息；所述用户认证的请求者向用户认证的认证者发送用户认证请求消息的步骤包括用户认证的请求者将用户认证请求消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文发送至用户认证的认证者；所述用户认证的认证者与用户认证的认证服务器进行认证消息交互的步骤包括将认证消息封装在EAP报文中，再将EAP报文承载于网络侧认证协议的承载协议中进行交互；所述用户认证的认证者向用户认证的请求者发送用户认证通过消息/用户认证失败消息的步骤包括用户认证的认证者将用户认证通过消息/用户认证失败消息封装在EAPoL报文中，发送至BS；BS将收到的EAPoL报文发送至用户认证的请求者。
8.根据权利要求3至7任一项所述的方法，其特征在于，所述网络侧认证协议的承载协议为远程认证拨号用户服务RADIUS协议或直径Diameter协议。
9.根据权利要求3至7任一项所述的方法，其特征在于，所述方法进一步包括建立不同连接标识CID与不同虚拟局域网VLAN标签的对应关系；所述WIMAX终端将报文发送至BS之前，进一步包括WIMAX终端将CID携带在报文中；所述BS将报文发送至BNG之前进一步包括根据该报文携带的CID及对应关系确定对应的VLAN标签，将该VLAN标签携带在报文中；所述BNG将报文发送至BS之前，进一步包括BNG将VLAN标签携带在报文中；所述BS将报文发送至WIMAX终端之前进一步包括根据该报文携带的VLAN标签及对应关系确定对应的CID，将该CID携带在报文中。
10.根据权利要求9所述的方法，其特征在于，所述不同CID与不同VLAN标签的对应关系为CID中包含的调度类型信息与外层VLAN标签中包含的优先级信息的对应关系、CID中包含的所属BS信息与外层VLAN标签中包含的VLAN ID的对应关系、以及CID中包含的所属WIMAX终端信息与内层VLAN标签中包含的VLANID的对应关系中的任意一个或多个。
11.根据权利要求3所述的方法，其特征在于，所述设备认证请求消息、设备认证通过消息、及设备认证失败消息中的任意一个或多个采用主要的Primary CID进行标识。
12.根据权利要求5、6或7所述的方法，其特征在于，所述用户认证请求消息、用户认证通过消息及用户认证失败消息中的任意一个或多个采用业务CID进行标识。
13.一种认证系统，其特征在于，该系统包括WIMAX终端，用于向设备认证的认证者发送设备认证请求信息；设备认证的认证者，用于根据收到的设备认证请求信息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，对WIMAX终端进行认证；设备认证的认证服务器，用于与设备认证的认证者进行认证消息交互，对WIMAX终端进行认证；用户认证的请求者，用于向用户认证的认证者发送用户认证请求信息；用户认证的认证者，用于根据收到的用户认证请求信息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，对用户认证的请求者进行认证；用户认证的认证服务器，用于与用户认证的认证者进行认证消息交互，对用户认证的请求者进行认证。
14.根据权利要求13所述的系统，其特征在于，所述用户认证的请求者部署在WIMAX终端或WIMAX终端所连接的业务终端设备中，所述设备认证的认证者部署在BS中或ASN-GW中，所述用户认证的认证者部署在BNG中。
全文摘要
本发明提出一种认证方法和系统。该方法包括设备认证过程和用户认证过程；其中，设备认证过程包括世界微波接入互操作性协调组织(WIMAX)终端向设备认证的认证者发送设备认证请求消息；设备认证的认证者根据收到的设备认证请求消息，与部署在有线宽带接入网络的设备认证的认证服务器进行认证消息交互，实现对WIMAX终端的设备认证；用户认证过程包括用户认证的请求者向用户认证的认证者发送用户认证请求消息；用户认证的认证者根据收到的用户认证请求消息，与部署在有线宽带接入网络的用户认证的认证服务器进行认证消息交互，实现对用户认证的请求者的认证。本发明提出的认证方法和系统，能够为WIMAX终端接入有线宽带接入网络提供认证服务。
文档编号H04L9/32GK101022460SQ20071008597
公开日2007年8月22日 申请日期2007年3月6日 优先权日2007年3月6日
发明者徐子振 申请人:华为技术有限公司