專利名稱:一種多主機(jī)網(wǎng)絡(luò)的aaa架構(gòu)及認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù),特別涉及寬帶無線接入技術(shù)���,具體的講是一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)及認(rèn)證方法�����。
背景技術(shù):
AAA是指認(rèn)證(Authentication)��,授權(quán)(Authorization)�����,計(jì)費(fèi)(Accounting)��。運(yùn)營商通過AAA架構(gòu)對認(rèn)證用戶身份后�����,根據(jù)用戶開戶時(shí)申請的服務(wù)類別授予相應(yīng)的權(quán)限���。當(dāng)用戶使用網(wǎng)絡(luò)資源時(shí)����,AAA系統(tǒng)中的相應(yīng)的設(shè)備統(tǒng)計(jì)用戶占用的資源��,并收取相應(yīng)的費(fèi)用�。
圖1為基于移動站(MSMobile Station)的WiMAX網(wǎng)絡(luò)架構(gòu),MS通過R1參考點(diǎn)與接入服務(wù)網(wǎng)絡(luò)(ASN�����,ccess Service Network)中的BS(Base Station��,圖中未示)連接���,以連接到ASN���,R1采用802.16e無線傳送技術(shù)。ASN與拜訪地網(wǎng)絡(luò)服務(wù)提供商(V-NSP��,Visited-Network Service Provider)的連接服務(wù)網(wǎng)絡(luò)(CSN���,Connectivity Service Network)間通過R3參考點(diǎn)連接,V-NSP的CSN與歸屬地網(wǎng)絡(luò)服務(wù)提供商(H-NSP����,Home-Network Service Provider)的CSN間通過R5參考點(diǎn)連接��。
RFC2094 AAA授權(quán)框架提供了三種配置AAA框架模型����,包括代理順序/模型����、拉順序/模型、推順序/模型�。三種模型的主要區(qū)別在于①請求方與認(rèn)證服務(wù)器間的通信方式②密鑰和策略等控制消息如何配置到承載面設(shè)備。WiMAX論壇建議采用拉順序/模型��,定義圖1中所示的WiMAX系統(tǒng)的AAA架構(gòu)�,如圖2-5所示圖2為不兼容傳統(tǒng)CSN的非漫游AAA架構(gòu)。運(yùn)營商(NSP���,Network ServiceProvider)分割為接入服務(wù)網(wǎng)絡(luò)(ASN)和連接服務(wù)網(wǎng)絡(luò)(CSN)��,ASN的業(yè)務(wù)設(shè)備(Service Equipment)則成為一個(gè)網(wǎng)絡(luò)接入服務(wù)器(NAS����,Network Access Server)。CSN包括一個(gè)或多個(gè)AAA Server(服務(wù)器)(圖2未示)����。AAA服務(wù)器支持三方認(rèn)證機(jī)制-“申請者(Supplicant)”,“認(rèn)證者(Authenticator)”和“認(rèn)證服務(wù)器(Authentication Server)”��。三方認(rèn)證機(jī)制可支持多種基于EAP協(xié)議的認(rèn)證方法�����,如EAP-TLS�����,EAP-TTLS��,PEAP�����,EAP-SIM�,EAP-AKA等,可以支持強(qiáng)壯的密鑰推導(dǎo)方法�����。
在圖2的AAA架構(gòu)中,MS為申請者�;NAS的業(yè)務(wù)設(shè)備用于實(shí)現(xiàn)認(rèn)證者�����;AAA服務(wù)器為認(rèn)證服務(wù)器����。其中,ASN包括一個(gè)或多個(gè)網(wǎng)絡(luò)接入服務(wù)器��,即���,ASN可以包括一個(gè)或多個(gè)的多個(gè)認(rèn)證者/AAA客戶(client)����。NAS與AAA服務(wù)器間采用AAA協(xié)議�,AAA協(xié)議包括了Dimeter和RADIUS。
當(dāng)移動用戶站連接NAS發(fā)出接入網(wǎng)絡(luò)請求��,NAS收集移動用戶站發(fā)出的接入認(rèn)證請求�����,將接入認(rèn)證請求傳送給CSN的AAA服務(wù)器。AAA服務(wù)器經(jīng)過認(rèn)證后向NAS出允許或者拒絕信息����,若認(rèn)證成功,則允許信息中還包含授權(quán)信息���,同時(shí)啟動相關(guān)的計(jì)費(fèi)功能��。NAS收到AAA服務(wù)器送來的響應(yīng)后�,通知移動用戶站允許接入或者拒絕接入��。
圖3為兼容傳統(tǒng)CSN的非漫游AAA架構(gòu)中�����,由于運(yùn)營商的連接服務(wù)網(wǎng)絡(luò)屬于傳統(tǒng)的NSP�����,認(rèn)證和授權(quán)后端不兼容AAA協(xié)議�。因此NAS傳送給CSN的認(rèn)證請求需要通過CSN中增加的互聯(lián)網(wǎng)關(guān)(IWGInterwork Gateway),將AAA協(xié)議和屬性映射到傳統(tǒng)運(yùn)營商的特定協(xié)議和屬性后�����,執(zhí)行認(rèn)證、授權(quán)�����。運(yùn)營商的允許和拒絕消息再通過IWG映射為AAA協(xié)議���,傳送給NAS。
圖4與圖5分別為不兼容CSN和兼容CSN的漫游AAA架構(gòu)�,在圖4與圖5中,V-NSP中AAA服務(wù)器充當(dāng)AAA代理器(AAA Proxy)����,將NAS發(fā)送的認(rèn)證請求傳遞到H-NSP的AAA服務(wù)器。當(dāng)V-NSP的AAA Proxy接收到來自H-NSP的CSN的允許或拒絕消息時(shí)����,將其發(fā)送給傳送給NAS。在漫游情況下�,NAS和AAA服務(wù)器之間可能存在一個(gè)或多個(gè)AAA經(jīng)理和AAA代理。但是����,AAA會話總存在于NAS和AAA服務(wù)器之間,而提供基于NAI域路由管道的AAA經(jīng)理是可選的�。
移動用戶站(MS)的認(rèn)證(Authentication)包括設(shè)備認(rèn)證和用戶認(rèn)證兩個(gè)部分����。MS執(zhí)行認(rèn)證時(shí)�,可以設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行;或只進(jìn)行設(shè)備認(rèn)證����、或只進(jìn)行MS的用戶認(rèn)證。當(dāng)設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行時(shí)��,MS的設(shè)備認(rèn)證先于用戶認(rèn)證執(zhí)行���。若MS設(shè)備認(rèn)證采用數(shù)字證書��,如X.509��,即采用支持?jǐn)?shù)字證書的EAP方法�,如EAP-TLS���。MS為避免CSN的干預(yù)�����,縮短設(shè)備認(rèn)證的往返時(shí)延��,MS的設(shè)備認(rèn)證執(zhí)行三方認(rèn)證時(shí)��,AAA架構(gòu)中的認(rèn)證服務(wù)器與認(rèn)證者合并�,MS以MAC地址為設(shè)備標(biāo)志,在ASN的NAS處進(jìn)行設(shè)備認(rèn)證�����,而不終結(jié)于CSN����。
若MS的設(shè)備認(rèn)證采用預(yù)共享密鑰(PSK)�,即采用基于PSK的EAP方法執(zhí)行設(shè)備認(rèn)證,如EAP PSK��。MS的設(shè)備認(rèn)證運(yùn)行于G-Host和V-CSN/H-CSN之間����,MS設(shè)備認(rèn)證執(zhí)行三方認(rèn)證時(shí),MS采用網(wǎng)絡(luò)接入標(biāo)識(NAINetwork AccessIdentity)作為設(shè)備標(biāo)識�,當(dāng)MS接入本地網(wǎng)絡(luò)時(shí),MS根據(jù)NAI����,通過V-CSN中AAA代理����,向H-CSN中AAA服務(wù)器請求認(rèn)證����。
MS與ASN中的NAS、以及AAA服務(wù)器執(zhí)行MS的三方認(rèn)證時(shí)�����,如果MS的設(shè)備認(rèn)證和用戶認(rèn)證終結(jié)于不同認(rèn)證服務(wù)器(包括終結(jié)不同CSN的AAA服務(wù)器或終結(jié)于同一CSN的不同AAA服務(wù)器)�,則采用Double EAP模式進(jìn)行認(rèn)證;如果MS的設(shè)備認(rèn)證和用戶認(rèn)證終結(jié)于同一認(rèn)證服務(wù)器��,則MS采用Double EAP模式�����,或采用Single EAP模式將的設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行�;如果只進(jìn)行MS的設(shè)備認(rèn)證或用戶認(rèn)證時(shí),采用Single EAP模式�����。
下面,以MS的用戶認(rèn)證協(xié)議棧對認(rèn)證過程進(jìn)行說明�����,如圖6所示�,MS為申請者,ASN的NAS為認(rèn)證者�,CSN的AAA服務(wù)器為認(rèn)證服務(wù)器,BS為認(rèn)證中轉(zhuǎn)�,其它的AAA代理/經(jīng)理在漫游狀態(tài)下可選。MS用戶認(rèn)證的EAP報(bào)文認(rèn)證終結(jié)于AAA服務(wù)器���。MS與BS間的EAP報(bào)文承載在PKMv2���,(簡稱EAPoP)通過802.16的空中接口傳遞至BS����。PKMv2同樣支持三方認(rèn)證機(jī)制及多種EAP認(rèn)證方法。PKMv2由IEEE802.16-2004和802.16e用可擴(kuò)展認(rèn)證協(xié)議(EAP)規(guī)定����,用于支持用戶認(rèn)證和設(shè)備授權(quán)。IEEE802.16-2004和802.16e還用EAP規(guī)定了PKMv1���,只提供對設(shè)備認(rèn)證授權(quán)的支持��,可支持移動網(wǎng)絡(luò)中的固定用戶��。BS與認(rèn)證者間的EAP報(bào)文承載在認(rèn)證中轉(zhuǎn)協(xié)議�,通過BS與ASN間鏈路傳遞至ASN。而ASN的NAS為認(rèn)證者�,NAS與AAA服務(wù)器間的EAP報(bào)文承載在AAA協(xié)議上,再將AAA報(bào)文承載在UDP/IP協(xié)議等傳輸層協(xié)議上傳遞到CSN的AAA服務(wù)器上進(jìn)行用戶信息驗(yàn)證�。
圖7與圖8為MS在認(rèn)證過程中,采用EAP-TLS認(rèn)證方法進(jìn)行設(shè)備認(rèn)證的流程圖�����。圖7中�,MS的設(shè)備認(rèn)證與用戶認(rèn)證都執(zhí)行認(rèn)證,MS采用Double EAP模式���。MS先執(zhí)行設(shè)備認(rèn)證�����,由于認(rèn)證服務(wù)器與認(rèn)證者合并���,MS設(shè)備認(rèn)證終結(jié)于ASN MS設(shè)備認(rèn)證結(jié)束后,MS執(zhí)行用戶認(rèn)證,并且用戶認(rèn)證終結(jié)于CSN��。圖8中�����,MS只執(zhí)行設(shè)備認(rèn)證�����,MS的設(shè)備認(rèn)證終結(jié)于ASN后���,MS設(shè)備認(rèn)證結(jié)束后�,ASN將MS的設(shè)備標(biāo)識(MAC)承載AAA協(xié)議上��,傳遞至CSN�,告知AAA服務(wù)器MS設(shè)備認(rèn)證已通過,則AAA服務(wù)器可進(jìn)一步對ASN授權(quán)允許MS接入相應(yīng)的業(yè)務(wù)����。
圖9與圖10為MS在認(rèn)證過程中���,采用EAP-PSK認(rèn)證方法進(jìn)行設(shè)備認(rèn)證的流程圖�����。圖9中MS的設(shè)備認(rèn)證與用戶認(rèn)證都執(zhí)行認(rèn)證�����,MS采用Double EAP模示��,MS的設(shè)備認(rèn)證與用戶認(rèn)證終結(jié)于相同的認(rèn)證服務(wù)器��。圖10中�,MS的設(shè)備認(rèn)證與用戶認(rèn)證終結(jié)于同一AAA服務(wù)器,MS采用Single EAP模示��,將MS設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行���,終結(jié)于CSN的流程圖�。
現(xiàn)WiMAX論壇定義了一種基于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的多主機(jī)網(wǎng)絡(luò)����,在網(wǎng)絡(luò)中,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備可以支持多個(gè)主機(jī)設(shè)備�����。如圖11所示,多主機(jī)WiMAX網(wǎng)絡(luò)中�,采用網(wǎng)關(guān)設(shè)備的網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站(G-RS/G-MS)提供多主機(jī)(Multiple Hosts)支持,若采用網(wǎng)橋設(shè)備提供Multiple Hosts支持���,則可以使用網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站代替圖11中的G-RS/G-MS�����。圖11中����,主機(jī)設(shè)備為網(wǎng)關(guān)主機(jī)(G-Host)���,G-RS/G-MS通過第一接口連接到多個(gè)網(wǎng)關(guān)主機(jī)����,G-RS/G-MS通過第二接口與BS(圖中未示)連接�,以連接到ASN;其中��,第一接口為G-interface接口�����,G-interface采用802.3��、802.16或802.11傳送技術(shù)����;第二接口為R1接口,R1采用802.16e無線傳送技術(shù)����。ASN和CSN間通過R3參考點(diǎn)連接,NAP+V-NSP的CSN與H-NSP的CSN間通過R5參考點(diǎn)連接�。
由于圖11的WiMAX網(wǎng)絡(luò)中增加了網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備和主機(jī)設(shè)備兩類網(wǎng)元,而現(xiàn)有的AAA架構(gòu)和認(rèn)證方法只是針對原有網(wǎng)絡(luò)中MS認(rèn)證���。因此需要一種新的AAA架構(gòu)及相應(yīng)的認(rèn)證方法���,支持多主機(jī)WiMAX網(wǎng)絡(luò)中對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備的認(rèn)證。
發(fā)明內(nèi)容
為解決上述問題���,本發(fā)明提供了一種支持多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)及認(rèn)證方法�,可以在AAA架構(gòu)中靈活選擇設(shè)置NAS的位置�����,并對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備均進(jìn)行認(rèn)證。
為實(shí)現(xiàn)上述發(fā)明目的�����,本發(fā)明提供了一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)��,包括接入服務(wù)網(wǎng)絡(luò)和連接服務(wù)網(wǎng)絡(luò)��,接入服務(wù)網(wǎng)絡(luò)中設(shè)置有網(wǎng)絡(luò)接入服務(wù)器���,連接服務(wù)網(wǎng)絡(luò)中設(shè)置有至少一個(gè)AAA服務(wù)器���,其中,多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)還包括網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備�;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備設(shè)置有網(wǎng)絡(luò)接入服務(wù)器�����;主機(jī)設(shè)備認(rèn)證與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備認(rèn)證分開獨(dú)立執(zhí)行��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器�,及AAA服務(wù)器,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證��;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器,及AAA服務(wù)器����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���。
本發(fā)明還提供了一種支持多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)認(rèn)證方法�����,其中�����,當(dāng)主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接時(shí)��,AAA架構(gòu)分別對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備進(jìn)行認(rèn)證�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備先將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器傳送至連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器�����,由網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備���、接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器�����、AAA服務(wù)器��,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證認(rèn)證結(jié)束后��,主機(jī)設(shè)備將其認(rèn)證信息通過網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器傳送到連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器�����;由主機(jī)設(shè)備��、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器����、AAA服務(wù)器��,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證��。
本發(fā)明還提供了一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),包括接入服務(wù)網(wǎng)絡(luò)和連接服務(wù)網(wǎng)絡(luò)���,接入服務(wù)網(wǎng)絡(luò)中設(shè)置有網(wǎng)絡(luò)接入服務(wù)器�����,連接服務(wù)網(wǎng)絡(luò)中設(shè)置由至少一個(gè)AAA服務(wù)器,其中���,AAA架構(gòu)中還包括網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備�����;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)連接���;主機(jī)設(shè)備認(rèn)證與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備認(rèn)證分開獨(dú)立執(zhí)行;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器���、及AAA服務(wù)器���,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證����;主機(jī)設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器����、及AAA服務(wù)器,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���。
本發(fā)明還提供了一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)認(rèn)證方法�,其中�,當(dāng)主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接時(shí),AAA架構(gòu)分別對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備����、主機(jī)設(shè)備進(jìn)行認(rèn)證;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備先將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器傳送至連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器���,由網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備���、接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器、AAA服務(wù)器����,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證認(rèn)證結(jié)束后,主機(jī)設(shè)備將其認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)接入服務(wù)器傳送到連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器���,由主機(jī)設(shè)備����、接入服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)接入服務(wù)器���、AAA服務(wù)器,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�����。
本發(fā)明的有益效果在于����,為多主機(jī)的WiMAX網(wǎng)絡(luò)提供了AAA架構(gòu),從機(jī)制和協(xié)議流程層面���,解決了對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備的認(rèn)證和授權(quán)的支持���。在該AAA架構(gòu)中��,網(wǎng)絡(luò)接入服務(wù)器可靈活設(shè)置于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備或ASN中��,當(dāng)主機(jī)設(shè)備訪問網(wǎng)絡(luò)資源時(shí)����,可以針對網(wǎng)絡(luò)接入服務(wù)器的位置����,為網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備的提供認(rèn)證。使得多主機(jī)的WiMAX網(wǎng)絡(luò)中對主機(jī)設(shè)備的授權(quán)以及的計(jì)費(fèi)成為可能�����。
圖1現(xiàn)有WiMAX網(wǎng)絡(luò)示意圖�;圖2現(xiàn)有不兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的非漫游AAA架構(gòu);圖3現(xiàn)有的兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的非漫游AAA架構(gòu)���;圖4現(xiàn)有的不兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的漫游AAA架構(gòu)���;圖5現(xiàn)有的兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的漫游AAA架構(gòu);圖6基于PKMv2的移動站用戶認(rèn)證協(xié)議棧�;圖7為移動站設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行的一實(shí)施例的流程圖���;圖8為移動站只執(zhí)行設(shè)備認(rèn)證的一實(shí)施例的流程圖;圖9移動站設(shè)備認(rèn)證與用戶認(rèn)證都執(zhí)行的另一實(shí)施例的流程圖�����;圖10移動站的設(shè)備認(rèn)證與用戶認(rèn)證聯(lián)合認(rèn)證的流程圖�;圖11基于網(wǎng)關(guān)設(shè)備的多主機(jī)網(wǎng)絡(luò)結(jié)構(gòu)示意圖;圖12為基于圖11的不兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的非漫游AAA架構(gòu)�;圖13為基于圖11的兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的非漫游AAA架構(gòu);圖14為基于圖11的不兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的漫游AAA架構(gòu)���;圖15為基于圖11多主機(jī)網(wǎng)絡(luò)的兼容傳統(tǒng)連接服務(wù)網(wǎng)絡(luò)的漫游AAA架構(gòu)���;圖16為基于圖11至圖15的接入網(wǎng)絡(luò)服務(wù)器設(shè)置于網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站狀態(tài)下����,網(wǎng)關(guān)主機(jī)一實(shí)施例的用戶認(rèn)證協(xié)議棧;圖17為基于為圖11至圖15的接入網(wǎng)絡(luò)服務(wù)器設(shè)置于網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站狀態(tài)下�,網(wǎng)關(guān)主機(jī)另一實(shí)施例的用戶認(rèn)證協(xié)議棧;圖18為基于圖16和17的網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行的實(shí)施例的流程圖�����;圖19為基于圖16和17的只執(zhí)行網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證實(shí)施例的流程圖;圖20為基于圖16和17的網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行的另一實(shí)施例的流程圖�;圖21為基于圖16和17只執(zhí)行網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證實(shí)施例的另一實(shí)施例7的流程圖;圖22網(wǎng)絡(luò)接入服務(wù)器設(shè)置于接入服務(wù)網(wǎng)絡(luò)�,網(wǎng)關(guān)主機(jī)一實(shí)施例的用戶認(rèn)證協(xié)議棧;圖23網(wǎng)絡(luò)接入服務(wù)器設(shè)置于接入服務(wù)網(wǎng)絡(luò)����,網(wǎng)關(guān)主機(jī)另一實(shí)施例的用戶認(rèn)證協(xié)議棧;圖24為圖23中EAPOL與EAPOP的轉(zhuǎn)換流程圖�����;圖25為基于圖23和24的網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行的實(shí)施例的流程圖��;圖26為基于圖23和24只執(zhí)行網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證實(shí)施例的流程圖��;圖27為基于圖23和24網(wǎng)關(guān)主機(jī)的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行的另一實(shí)施例的流程圖�����;圖28為基于圖23和24的只執(zhí)行網(wǎng)關(guān)主機(jī)設(shè)備認(rèn)證實(shí)施例的另一實(shí)施例的流程圖�����。
具體實(shí)施例方式
如圖12所示為����,非漫游狀態(tài)下����,以G-RS/G-MS支持WiMAX多主機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)的AAA架構(gòu)實(shí)施例的示意圖��。運(yùn)營商被分隔成G-MS/G-RS+ASN與CSN�����。網(wǎng)關(guān)主機(jī)通過網(wǎng)關(guān)接口(G-Interface)作為第一接口與G-RS/G-MS(網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站)連接��。G-MS/G-RS通過采用R1接口作為第二接口與ASN的基站連接(圖中未示)���。G-MS/G-RS+ASN的業(yè)務(wù)設(shè)備(Service Equipment)為網(wǎng)絡(luò)接入服務(wù)器(NAS)�,即���,除了將ASN的業(yè)務(wù)設(shè)備設(shè)置為網(wǎng)絡(luò)接入服務(wù)器NAS���,還可以將G-RS/G-MS(網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站)的業(yè)務(wù)設(shè)備設(shè)置為網(wǎng)絡(luò)接入服務(wù)器NAS�����。
G-MS/G-RS或ASN中可以設(shè)置包括一個(gè)或多個(gè)NAS(即設(shè)置多個(gè)認(rèn)證者(Authenticator)/AAA客戶(Client)(圖中未示)����,如多個(gè)RADIUS客戶端或DIAMETER客戶端,0個(gè)或多個(gè)AAA Proxy(代理)��。連接服務(wù)網(wǎng)絡(luò)(CSN)中包括AAA服務(wù)器(Server)����。
圖13所示為,非漫游狀態(tài)下��,以G-RS/G-MS支持WiMAX多主機(jī)網(wǎng)絡(luò)的另一AAA架構(gòu)實(shí)施例的示意圖�����。由于CSN屬于傳統(tǒng)運(yùn)營商(NSP)���,認(rèn)證和授權(quán)后端不兼容AAA協(xié)議�����,通過CSN中增加的IWG功能將AAA協(xié)議和屬性映射到傳統(tǒng)NSP的特定協(xié)議和屬性����。運(yùn)營商反饋的認(rèn)證消息再通過IWG映射為AAA協(xié)議,傳送給AAA Client���。
圖14與圖15分別為以G-RS/G-MS支持WiMAX多主機(jī)網(wǎng)絡(luò)的不兼容CSN和兼容CSN的漫游AAA架構(gòu)��,V-NSP中AAA服務(wù)器充當(dāng)AAA代理器(AAAProxy)����,將G-MS/G-RS+ASN中NAS發(fā)送的消息報(bào)文傳遞到H-NSP的AAA服務(wù)器����。當(dāng)V-NSP的AAA Proxy接收到來自H-NSP的CSN的允許或拒絕消息時(shí),再將其轉(zhuǎn)發(fā)給G-MS/G-RS+ASN�����。在漫游情況下�����,NAS和AAA服務(wù)器之間可能存在一個(gè)或多個(gè)AAA經(jīng)理和AAA代理(圖中未示)�。所有AAA會話總是存在于NAS和AAA服務(wù)器之間,用來提供基于NAI域路由管道的AAA經(jīng)理是可選的����。
當(dāng)G-Host與連接G-MS/G-RS連接訪問網(wǎng)絡(luò)資源時(shí),G-Host與G-RS/G-MS都需要進(jìn)行進(jìn)行認(rèn)證�。基于圖12-15中支持多主機(jī)的WiMAX網(wǎng)絡(luò)AAA架構(gòu)實(shí)施例的認(rèn)證��、授權(quán)方法如下1)G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證與G-Host設(shè)備認(rèn)證和用戶認(rèn)證分別進(jìn)行����,兩者彼此獨(dú)立。
2)G-RS/G-MS的設(shè)備認(rèn)證先于用戶認(rèn)證��。G-RS/G-MS與ASN的NAS�,及AAA服務(wù)器,執(zhí)行G-RS/G-MS設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�。G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證可以都進(jìn)行;或只做G-RS/G-MS設(shè)備認(rèn)證����,或只做G-RS/G-MS用戶認(rèn)證。如果G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行�,但終結(jié)于不同認(rèn)證服務(wù)器(包括終結(jié)于不同CSN的AAA服務(wù)器或終結(jié)于同一CSN的不同AAA服務(wù)器),則G-RS/G-MS采用Double EAP模式進(jìn)行認(rèn)證���;如果G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行����,并終結(jié)于屬于同一認(rèn)證服務(wù)器(同一CSN的相同AAA服務(wù)器),則G-RS/G-MS采用Double EAP模式�����,或采用Single EAP模式��,將G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行�。如果只執(zhí)行G-RS/G-MS設(shè)備認(rèn)證或只進(jìn)行G-RS/G-MS用戶認(rèn)證,則G-RS/G-MS采用SingleEAP模式���。
3)G-Host的設(shè)備認(rèn)證先于用戶認(rèn)證���。G-Host可以與G-RS/G-MS+ASN的NAS,及AAA服務(wù)器����,執(zhí)行網(wǎng)關(guān)主機(jī)的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證。G-Host設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行���,或只做G-Host設(shè)備認(rèn)證�����,或只做G-Host用戶認(rèn)證����。若G-Host設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行�����,但終結(jié)不同認(rèn)證服務(wù)器時(shí)(包括分屬不同CSN的AAA服務(wù)器及同一CSN的不同AAA服務(wù)器)�����,則G-Host采用Double EAP模式���。如果G-Host設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行���,并終結(jié)于同一認(rèn)證服務(wù)器(同一AAA Server)時(shí),G-Host采用Double EAP模式����,或采用Single EAP模式,將G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行�����。若G-Host只進(jìn)行設(shè)備認(rèn)證或用戶認(rèn)證,則G-Host采用Single EAP模式�。
4)G-RS/G-MS的認(rèn)證先于G-Host認(rèn)證。
基于圖12-圖15所示的AAA架構(gòu)�����,當(dāng)G-RS/G-MS的業(yè)務(wù)設(shè)備也設(shè)置為網(wǎng)絡(luò)接入服務(wù)器NAS時(shí)����,在AAA架構(gòu)中,執(zhí)行G-RS/G-MS認(rèn)證時(shí)����,G-RS/G-MS為“申請者,ASN中的NAS為G-RS/G-MS的“認(rèn)證者���,CSN中的AAA服務(wù)器為“認(rèn)證服務(wù)器”�����;執(zhí)行G-Host認(rèn)證時(shí)�,G-Host為“申請者”�����,G-R-RS/G-MS中的NAS為G-Host的“認(rèn)證者”;CSN中的AAA服務(wù)器仍為“認(rèn)證服務(wù)器”����。G-RS/G-MS與G-Host的認(rèn)證單獨(dú)進(jìn)行,G-RS/G-MS的認(rèn)證結(jié)束后再執(zhí)行G-Host的認(rèn)證����。
G-RS/G-MS與ASN的NAS����,及AAA服務(wù)器,執(zhí)行G-RS/G-MS設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證��。G-RS/G-MS采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�����,為避免CSN的干預(yù)���,縮短G-RS/G-MS設(shè)備認(rèn)證的往返時(shí)延����,AAA架構(gòu)中的認(rèn)證服務(wù)器與認(rèn)證者合并�����,G-RS/G-MS以MAC地址為設(shè)備標(biāo)識,在ASN的NAS處進(jìn)行設(shè)備認(rèn)證���。若G-RS/G-MS只進(jìn)行設(shè)備認(rèn)證���,當(dāng)G-RS/G-MS的設(shè)備認(rèn)證結(jié)束后,ASN將設(shè)備標(biāo)識MAC地址傳送至AAA服務(wù)器�����,告知AAA服務(wù)器G-RS/G-MS設(shè)備認(rèn)證已通過���,則AAA服務(wù)器�,進(jìn)一步對ASN授權(quán)允許G-RS/G-MS接入相應(yīng)的業(yè)務(wù)�。
若G-RS/G-MS的設(shè)備認(rèn)證采用預(yù)共享密鑰(PSK),G-RS/G-MS設(shè)備認(rèn)證運(yùn)行于G-Host和V-CSN/H-CSN之間�����,G-RS/G-MS采用網(wǎng)絡(luò)接入標(biāo)識(NAINetwork Access Identity)作為設(shè)備標(biāo)識����,根據(jù)NAI��,G-RS/G-MS通過V-CSN中AAA代理�,向H-CSN中AAA服務(wù)器請求認(rèn)證�。
G-RS/G-MS設(shè)備認(rèn)證結(jié)束后,執(zhí)行G-RS/G-MS用戶認(rèn)證���,G-RS/G-MS用戶認(rèn)證只采用預(yù)共享密鑰����。G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證的認(rèn)證過程與現(xiàn)有的MS的設(shè)備認(rèn)證和用戶認(rèn)證相同���。
G-RS/G-MS認(rèn)證結(jié)束后,AAA架構(gòu)對G-Host進(jìn)行認(rèn)證��,G-Host認(rèn)證的認(rèn)證過程中�,若G-Host采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證,如X.509時(shí)�,則采用支持?jǐn)?shù)字認(rèn)證的EAP方法,如EAP-TLS�����。G-Host為避免CSN的干預(yù)�����,以縮短往返時(shí)延,認(rèn)證者與認(rèn)證服務(wù)器合并����,G-Host以設(shè)備的MAC地址作為設(shè)備標(biāo)識,G-Host在G-RS/G-MS的NAS執(zhí)行G-Host的設(shè)備認(rèn)證�����,G-Host的設(shè)備認(rèn)證終結(jié)于G-RS/G-MS�����。G-Host設(shè)備認(rèn)證結(jié)束后���,G-RS/G-MS要將G-Host的MAC地址通過AAA協(xié)議發(fā)送到CSN�,CSN根據(jù)接收到的G-Host設(shè)備的MAC地址���,檢驗(yàn)G-Host設(shè)備數(shù)字證書�����,如X.509證書�,是否有效。G-Host采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證時(shí)�����,不可使用NAI作為設(shè)備標(biāo)識��,防止G-Host的認(rèn)證不能延伸到其它管理域���。
若G-Host采用預(yù)共享密鑰(PSK)進(jìn)行設(shè)備認(rèn)證���,EAP方法運(yùn)行于G-Host和V-CSN/H-CSN之間,G-Host設(shè)備認(rèn)證終結(jié)于CSN�,G-Host以NAI為設(shè)備標(biāo)識確認(rèn)H-CSN。當(dāng)G-Host接入本地網(wǎng)絡(luò)時(shí)��,G-Host根據(jù)NAI�,通過V-CSN中AAA代理�����,向H-CSN中AAA服務(wù)器請求認(rèn)證�����。
以下結(jié)合附圖,對G-Host的認(rèn)證過程進(jìn)行說明圖16為基于PKMv2的G-Host用戶認(rèn)證協(xié)議棧����,G-Host為申請者,G-RS/G-MS為認(rèn)證者�����,AAA服務(wù)器為認(rèn)證服務(wù)器�,BS為認(rèn)證中轉(zhuǎn);漫游狀態(tài)下�,ASN與V-NSP的CSN可作為AAA代理,AAA經(jīng)理(Broker)為可選設(shè)備��。
PKMv2通過G-Host與G-RS/G-MS�����、以及G-RS/G-MS的NAS與ASN中BS間的802.16空中接口傳遞EAP報(bào)文����,將EAP報(bào)文承載于PKMv2,即EAP over PKMv2(以下簡稱EAPoP)�。G-RS/G-MS作為認(rèn)證者,與AAA服務(wù)器間的采用AAA協(xié)議。在G-RS/G-MS與BS間�����,本發(fā)明設(shè)置了承載AAA報(bào)文的PKMv2協(xié)議的PKM-REQ/RSP消息的消息類型��,使得PKM-REQ/RSP消息支持傳送的AAA報(bào)文�,如Access-Challenge消息報(bào)文;Access-Request消息報(bào)文����;Access-Accept消息報(bào)文;Access-Reject消息報(bào)文�。PKM消息類型可以設(shè)置為AAA-Transfer,或Radius-Transfer����,或Diameter-Transfer,AAA報(bào)文承載在PKMv2上�����,簡稱AAAoP���。G-RS/G-MS與BS間通過AAAoP傳遞EAP報(bào)文。而BS和AAA Server之間AAA報(bào)文承載在傳輸層協(xié)議(如UDP、TCP或SCTP協(xié)議)上�����,簡稱AAAoT��。BS將AAAoP報(bào)文與AAAoT報(bào)文進(jìn)行轉(zhuǎn)換��。
圖17為基于802.3/802.11的G-Host用戶認(rèn)證協(xié)議棧��,對于以太網(wǎng)802.3/802.11上的EAP認(rèn)證�����,IEEE 802.1x定義的標(biāo)準(zhǔn)的EAP承載在以太網(wǎng)802.3/802.11上的協(xié)議�����,即EAP over LAN(以下簡稱EAPoL)�����。在圖17中����,G-RS/G-MS的NAS與ASN的BS間的AAA報(bào)文承載在PKMv2���,為AAAOP;BS和AAA Server之間AAA報(bào)文承載在傳輸層協(xié)議(如UDP�、TCP或SCTP協(xié)議)上,簡稱AAAoT報(bào)文�。BS仍需將AAAoP報(bào)文與AAAoT報(bào)文進(jìn)行轉(zhuǎn)換。
在基于PKMv2或802.3/802.11的G-Host設(shè)備認(rèn)證協(xié)議棧���,當(dāng)G-Host終結(jié)在G-RS/G-MS時(shí)����,BS無需進(jìn)行AAAoP與AAAoT的轉(zhuǎn)換����。
圖18為G-Host分別采用數(shù)字證書進(jìn)行設(shè)備認(rèn)證,預(yù)共享密鑰執(zhí)行用戶認(rèn)證的流程圖����。圖18中,G-Host的設(shè)備認(rèn)證與用戶認(rèn)證都執(zhí)行認(rèn)證����,G-Host采用Double EAP模式,G-Host先執(zhí)行設(shè)備認(rèn)證��,由于認(rèn)證服務(wù)器與認(rèn)證者合并����,G-Host設(shè)備認(rèn)證終結(jié)于G-RS/G-MS。G-Host設(shè)備認(rèn)證結(jié)束后����,執(zhí)行用戶認(rèn)證,并且用戶認(rèn)證終結(jié)于CSN��。圖19為G-Host采用數(shù)字證書����,只執(zhí)行設(shè)備認(rèn)證的流程圖,G-Host的設(shè)備認(rèn)證終結(jié)于G-RS/G-MS�。當(dāng)G-Host設(shè)備認(rèn)證結(jié)束后,G-RS/G-MS將G-Host的設(shè)備標(biāo)識(MAC)承載AAA協(xié)議上���,傳遞至CSN��。
圖20與圖21為G-Host采用預(yù)共享密鑰執(zhí)行設(shè)備認(rèn)證與用戶認(rèn)證的流程圖�。圖20中���,G-Host設(shè)備認(rèn)證與用戶認(rèn)證分別執(zhí)行�����,G-Host采用Double EAP模示��,當(dāng)G-Host的設(shè)備認(rèn)證結(jié)束后����,G-Host執(zhí)行用戶認(rèn)證,G-Host設(shè)備認(rèn)證與用戶認(rèn)證終結(jié)于相同的認(rèn)證服務(wù)器�。圖21中,G-Host采用Single EAP模示���,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行���,終結(jié)于CSN。
若圖12-圖15的AAA架構(gòu)中�,僅以ASN的業(yè)務(wù)設(shè)備為NAS,G-RS/G-MS和G-Host均為“申請者”�,ASN中的NAS為G-RS/G-MS和G-Host的“認(rèn)證者”,CSN中的AAA服務(wù)器仍為“認(rèn)證服務(wù)器”���。AAA架構(gòu)對G-RS/G-MS與G-Host分別進(jìn)行認(rèn)證��。G-RS/G-MS的認(rèn)證先執(zhí)行����。
G-RS/G-MS與ASN的NAS,及AAA服務(wù)器����,執(zhí)行G-RS/G-MS設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證��,G-RS/G-MS的設(shè)備認(rèn)證和用戶認(rèn)證的認(rèn)證過程��,與G-RS/G-MS業(yè)務(wù)設(shè)備作為G-Host認(rèn)證者的設(shè)備認(rèn)證和用戶認(rèn)證的認(rèn)證過程一致�����。
G-RS/G-MS的認(rèn)證完成后�����,執(zhí)行G-Host的認(rèn)證����,若G-Host采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證,認(rèn)證者與認(rèn)證服務(wù)器合并�����,G-Host以設(shè)備的MAC地址作為設(shè)備標(biāo)識,G-Host在ASN的NAS執(zhí)行G-Host的設(shè)備認(rèn)證��,G-Host的設(shè)備認(rèn)證終結(jié)于ASN�。G-Host設(shè)備認(rèn)證結(jié)束后,ASN要將G-Host的MAC地址通過AAA協(xié)議發(fā)送到CSN��,CSN根據(jù)接收到的G-Host設(shè)備的MAC地址�,檢驗(yàn)G-Host設(shè)備數(shù)字證書,如X.509證書���,是否有效�。G-Host采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證時(shí)���,防止因使用NAI導(dǎo)致G-Host的認(rèn)證不能延伸到其它管理域�。
若G-Host采用預(yù)共享密鑰(PSK)進(jìn)行設(shè)備認(rèn)證���,EAP方法運(yùn)行于G-Host和V-CSN/H-CSN之間����,G-Host設(shè)備認(rèn)證終結(jié)于CSN��,G-Host以NAI為設(shè)備標(biāo)識確認(rèn)H-CSN。當(dāng)G-Host接入本地網(wǎng)絡(luò)時(shí)�����,G-Host根據(jù)NAI�����,通過V-CSN中AAA代理����,向H-CSN中AAA服務(wù)器請求認(rèn)證����。
以下結(jié)合附圖,說明G-Host在ASN的業(yè)務(wù)設(shè)備為NAS的AAA架構(gòu)中的認(rèn)證過程圖22為基于PKMv2的G-Host用戶認(rèn)證協(xié)議棧���,G-Host為申請者�,ASN的NAS為認(rèn)證者����,AAA服務(wù)器為認(rèn)證服務(wù)器,BS為認(rèn)證中轉(zhuǎn)�����。漫游狀態(tài)下,ASN與V-NSP的CSN可作為AAA代理���。
G-Host與G-RS/G-MS(圖中未示)����、以及G-RS/G-MS與ASN中BS間EAP報(bào)文的承載在PKMv2上��,簡稱EAPoP����;G-Host與G-RS/G-MS,以及G-RS/G-MS與BS間通過802.16空中接口傳遞EAP報(bào)文����。BS接收到EAP報(bào)文后,將EAP報(bào)文轉(zhuǎn)發(fā)至NAS�。NAS與AAA服務(wù)器間采用AAA協(xié)議。
如圖23所示���,在以太網(wǎng)中���,G-Host與G-RS/G-MS間的EAP報(bào)文通過EAPoL將EAP報(bào)文傳遞至G-RS/G-MS。G-RS/G-MS與ASN中BS間的EAP報(bào)文承載為PKMv2,即EAPoP��,G-RS/G-MS與BS間通過802.16空中接口傳遞EAP報(bào)文���。G-RS/G-MS需要將G-Host與G-RS/G-MS間的EAP承載EAPoL����,與G-RS/G-MS與BS間的EAP承載EAPoP進(jìn)行相互轉(zhuǎn)換���,由G-RS/G-MS將EAPoL報(bào)文與EAPoP的報(bào)文進(jìn)行轉(zhuǎn)換���。
如圖24所示,G-RS/G-MS將EAPoL報(bào)文與EAPoP報(bào)文進(jìn)行轉(zhuǎn)換的過程①當(dāng)G-Host與G-RS/G-MS間的802.11/802.3基本的鏈路建立后����,G-Host啟動EAPoL的EAP-Start消息報(bào)文���,向G-RS/G-MS申請進(jìn)行EAP認(rèn)證��;②G-RS/G-MS接收到EAPoL的EAP-Start消息后��,生成PKM-Request消息����,設(shè)置PKM-Request的消息類型為EAP-Start,即表示PKM-Request消息用于傳送EAP-Start報(bào)文���。G-RS/G-MS將PKM-Request消息發(fā)送到BS��,BS將PKM-Request消息中EAP-Start報(bào)文送達(dá)至ASN的NAS�,即認(rèn)證者(Authenticator)�;③認(rèn)證者接收到EAP-Start報(bào)文后,向G-Host發(fā)出EAP-Request/Identity身份查詢請求���;EAP-Start報(bào)文在BS和G-RS/G-MS之間由PKM-Response消息報(bào)文承載����,設(shè)置PKM-Response消息的消息類型為EAP-Transfer���,即PKM-Response消息用于傳送EAP報(bào)文�。
④G-RS/G-MS接收到EAPoP的EAP-Request/Identity身份查詢請求后����,將EAP-Request/Identity身份查詢請求封裝在EAPoL的EAP-Packet中,發(fā)送給G-Host�����。
⑤G-Host采用EAPoL的EAP-Packet報(bào)文,發(fā)送EAP-Response/Identity應(yīng)答報(bào)文����。
⑥G-RS/G-MS將EAP-Response/Identity封裝在PKM-Request消息報(bào)文中,消息類型為EAP-Transfer���,轉(zhuǎn)發(fā)給BS���,由BS將EAP-Response/Identity再送達(dá)認(rèn)證者。
⑦網(wǎng)關(guān)主機(jī)采用EAP-Packet報(bào)文����,發(fā)送EAP-REP/RSP Method-Negotiation報(bào)文,進(jìn)行EAP的認(rèn)證方法協(xié)商�����,網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站將EAP-REP/RSPMethod-Negotiation報(bào)文封裝在PKM-REP/RSP消息報(bào)文中�,消息類型為EAP-Transfer���,轉(zhuǎn)發(fā)給BS����,由BS將EAP-REP/RSP Method-Negotiation報(bào)文送達(dá)NAS,進(jìn)行EAP認(rèn)證方法協(xié)商����。
⑧網(wǎng)關(guān)主機(jī)采用EAP-Packet報(bào)文,發(fā)送EAP-REP/RSP Method報(bào)文����,進(jìn)行EAP的認(rèn)證方法交換,網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站將EAP-REP/RSP Method報(bào)文封裝在PKM-REP/RSP消息報(bào)文中�,消息類型為EAP-Transfer����,轉(zhuǎn)發(fā)給基站,由基站將EAP-REP/RSP Method報(bào)文送達(dá)NAS認(rèn)證者����,進(jìn)行EAP認(rèn)證方法交換。
⑨NAS完成EAP認(rèn)證后�����,向網(wǎng)關(guān)主機(jī)發(fā)出EAP-Success報(bào)文�;網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站接收到EAP-Success報(bào)文后�,將EAP-Success封裝在EAP-Packet中��,發(fā)送給網(wǎng)關(guān)主機(jī)��。
在認(rèn)證方法協(xié)商與認(rèn)證方法交換這些過程中��,BS和G-RS/G-MS之間均采用PKM-Request/Response消息交互�,消息類型均為EAP-Transfer;在G-Host和G-RS/G-MS之間均采用EAPoL EAP-Packet報(bào)文進(jìn)行交互�����;直到EAP認(rèn)證過程結(jié)束���。
在EAP認(rèn)證過程中��,對于802.11����,AAA服務(wù)器會為合法的G-Host下發(fā)相關(guān)的密鑰到G-RS/G-MS�����,如G-Host和G-RS/G-MS之間的會話密鑰��。本發(fā)明采用PKM消息報(bào)文攜帶需要傳送的802.11密鑰���。
G-Host認(rèn)證后����,G-RS/G-MS如果檢測到G-Host下網(wǎng)或異常情況(可能有多種原因和檢測方式���,比如G-Host取消注冊����、G-Host關(guān)機(jī)��、空口信號質(zhì)量不可用等����,但不屬于本發(fā)明描述的范圍),則G-RS/G-MS會主動發(fā)起EAP-Logoff消息�,并將EAP-Logoff封裝在PKM-Request消息報(bào)文中,消息類型為EAP-Transfer����,指示NAS認(rèn)證者(Authenticator)修改相應(yīng)的授權(quán)狀態(tài)。
圖25為G-Host分別采用數(shù)字證書進(jìn)行設(shè)備認(rèn)證�����,預(yù)共享密鑰執(zhí)行用戶認(rèn)證的流程圖。G-Host的設(shè)備認(rèn)證與用戶認(rèn)證都執(zhí)行認(rèn)證��,G-Host采用Double EAP模式���,G-Host先執(zhí)行設(shè)備認(rèn)證�����,由于認(rèn)證服務(wù)器與認(rèn)證者合并�����,G-Host設(shè)備認(rèn)證終結(jié)于ASN���,G-Host設(shè)備認(rèn)證結(jié)束后,執(zhí)行用戶認(rèn)證����,并且用戶認(rèn)證終結(jié)于CSN。
圖26所示為G-Host采用數(shù)字證書���,只執(zhí)行設(shè)備認(rèn)證的流程圖��,G-Host的設(shè)備認(rèn)證終結(jié)于ASN�,當(dāng)G-Host設(shè)備認(rèn)證結(jié)束后���,ASN將G-Host的設(shè)備標(biāo)識(MAC)承載AAA協(xié)議上����,傳遞至CSN�。
圖27與圖28為G-Host采用預(yù)共享密鑰執(zhí)行設(shè)備認(rèn)證與用戶認(rèn)證的流程圖。圖27中G-Host設(shè)備認(rèn)證與用戶認(rèn)證分別執(zhí)行��,G-Host采用Double EAP模示�,當(dāng)G-Host的設(shè)備認(rèn)證結(jié)束后,G-Host執(zhí)行用戶認(rèn)證�,G-Host設(shè)備認(rèn)證與用戶認(rèn)證終結(jié)于相同的認(rèn)證服務(wù)器。圖28中�����,G-Host采用Single EAP模示����,將MS設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合進(jìn)行,終結(jié)于CSN。
若在圖11的WiMAX網(wǎng)絡(luò)中����,采用網(wǎng)橋設(shè)備支持多個(gè)主機(jī)設(shè)備,則將運(yùn)營商被分隔成網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站+ASN與CSN����。主機(jī)設(shè)備通過接口與網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站連接。網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站通過第一接口(如G-interface接口)與多個(gè)主機(jī)設(shè)備連接�����,網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站通過第二接口(如R1接口)與ASN的基站連接����。網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站+ASN的業(yè)務(wù)設(shè)備(Service Equipment)為網(wǎng)絡(luò)接入服務(wù)器(NAS),即�,除了將ASN的業(yè)務(wù)設(shè)備設(shè)置為網(wǎng)絡(luò)接入服務(wù)器NAS,還可以將網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站的業(yè)務(wù)設(shè)備設(shè)置為網(wǎng)絡(luò)接入服務(wù)器NAS�����。
采用網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站的AAA架構(gòu)���,與采用網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站的AAA架構(gòu)的區(qū)別在于采用二層網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站代替了三層網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站����,NAS設(shè)置于網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站時(shí),網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站可成為主機(jī)設(shè)備認(rèn)證的認(rèn)證者���。
而AAA架構(gòu)中的其它網(wǎng)元的設(shè)置并不發(fā)生變化��,網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站支持多主機(jī)WiMAX網(wǎng)絡(luò)AAA架構(gòu)的認(rèn)證、授權(quán)方法過程與網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站支持多主機(jī)WiMAX網(wǎng)絡(luò)AAA架構(gòu)的認(rèn)證��、授權(quán)方法的過程完全相同����。
本發(fā)明的有益效果在于,為多主機(jī)的WiMAX網(wǎng)絡(luò)提供了AAA架構(gòu)��,從機(jī)制和協(xié)議流程層面����,解決了對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備的認(rèn)證和授權(quán)的支持。在該AAA架構(gòu)中����,網(wǎng)絡(luò)接入服務(wù)器可靈活設(shè)置于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備或ASN中,當(dāng)主機(jī)設(shè)備訪問網(wǎng)絡(luò)資源時(shí)��,可以針對網(wǎng)絡(luò)接入服務(wù)器的位置,為網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備的提供認(rèn)證���。使得多主機(jī)的WiMAX網(wǎng)絡(luò)中對主機(jī)設(shè)備的授權(quán)以及的計(jì)費(fèi)成為可能��。
以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此�,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
權(quán)利要求
1.一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�,包括接入服務(wù)網(wǎng)絡(luò)和連接服務(wù)網(wǎng)絡(luò),接入服務(wù)網(wǎng)絡(luò)中設(shè)置有網(wǎng)絡(luò)接入服務(wù)器�,連接服務(wù)網(wǎng)絡(luò)中設(shè)置有至少一個(gè)AAA服務(wù)器���,其特征在于,多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)還包括網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備�;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備設(shè)置有網(wǎng)絡(luò)接入服務(wù)器����;主機(jī)設(shè)備認(rèn)證與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備認(rèn)證分開獨(dú)立執(zhí)行;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器��,及AAA服務(wù)器�,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器,及AAA服務(wù)器�����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���。
2.根據(jù)權(quán)利要求1所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)��,其特征在于�����,主機(jī)設(shè)備�����、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備�、AAA服務(wù)器支持EAP認(rèn)證方法。
3.根據(jù)權(quán)利要求2所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)��,其特征在于��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證執(zhí)行先于主機(jī)設(shè)備的認(rèn)證執(zhí)行�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證執(zhí)行先于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證執(zhí)行���;主機(jī)設(shè)備的設(shè)備認(rèn)證執(zhí)行先于主機(jī)設(shè)備的用戶認(rèn)證執(zhí)行��。
4.根據(jù)權(quán)利要求3所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器��,及AAA服務(wù)器,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證時(shí)��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備為申請者���,接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者���,AAA服務(wù)器為認(rèn)證服務(wù)器;若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行��,但終結(jié)于不同的認(rèn)證服務(wù)器��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證�;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都進(jìn)行,并終結(jié)于同一認(rèn)證服務(wù)器��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證�;或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式���,執(zhí)行設(shè)備認(rèn)證和用戶認(rèn)證的聯(lián)合認(rèn)證��;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行設(shè)備認(rèn)證或只執(zhí)行用戶認(rèn)證��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式�����。
5.根據(jù)權(quán)利要求4所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)���,其特征在于���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證采用預(yù)共享密鑰或數(shù)字證書;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證采用預(yù)共享密鑰����。
6.根據(jù)權(quán)利要求5所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),其特征在于�����,若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證采用數(shù)字證書�,認(rèn)證服務(wù)器合并至認(rèn)證者。
7.根據(jù)權(quán)利要求3所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)���,其特征在于�,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器��,及AAA服務(wù)器����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證時(shí)�����,主機(jī)設(shè)備為申請者���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者���,AAA服務(wù)器為認(rèn)證服務(wù)器�����;若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行�����,但終結(jié)于不同的認(rèn)證服務(wù)器�,主機(jī)設(shè)備采用Double EAP模式認(rèn)證;或者若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行���,并終結(jié)于同一認(rèn)證服務(wù)器,主機(jī)設(shè)備采用Double EAP模式認(rèn)證��;或主機(jī)設(shè)備采用Single EAP模式���,執(zhí)行設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證;或者若主機(jī)設(shè)備只執(zhí)行設(shè)備認(rèn)證或只進(jìn)行用戶認(rèn)證����,主機(jī)設(shè)備采用Single EAP模式。
8.根據(jù)權(quán)利要求7所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,主機(jī)設(shè)備的設(shè)備認(rèn)證采用預(yù)共享密鑰或數(shù)字證書�����;主機(jī)設(shè)備的用戶認(rèn)證采用預(yù)共享密鑰����。
9.根據(jù)權(quán)利要求8所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),其特征在于,若主機(jī)設(shè)備的設(shè)備認(rèn)證采用數(shù)字證書��,認(rèn)證服務(wù)器合并至認(rèn)證者��。
10.根據(jù)權(quán)利要求8所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)���,其特征在于���,接入服務(wù)網(wǎng)絡(luò)中還設(shè)置有基站;基站對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文的承載����,與基站與認(rèn)證服務(wù)器間的AAA報(bào)文的承載進(jìn)行轉(zhuǎn)換。
11.根據(jù)權(quán)利要求10所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)���,其特征在于��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第一接口與每一主機(jī)設(shè)備相連����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第二接口與接入服務(wù)網(wǎng)絡(luò)相連��;第一接口采用802.3或802.11或802.16傳送技術(shù)�����;第二接口采用802.16e無線傳送技術(shù)�;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過空中接口的PKMv2傳送EAP報(bào)文,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoP����;或者主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過以太網(wǎng)傳送EAP報(bào)文,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoL��。
12.根據(jù)權(quán)利要求11所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文承載在PKMv2協(xié)議上����,報(bào)文承載為AAAoP�;基站與認(rèn)證服務(wù)器間的AAA報(bào)文承載在傳輸層協(xié)議上,報(bào)文承載為AAAoT�;基站對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備和基站間的AAA報(bào)文的承載,與基站和認(rèn)證服務(wù)器間的AAA報(bào)文的承載進(jìn)行轉(zhuǎn)換是指�����,基站將AAAoP的報(bào)文轉(zhuǎn)換為AAAoT的報(bào)文。
13.根據(jù)權(quán)利要求12所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)���,其特征在于�����,設(shè)置網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間承載AAA報(bào)文的PKMv2的PKM-REQ/RSP消息類型��,PKM-REQ/RSP消息用于支持網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文傳送���。
14.根據(jù)權(quán)利要求6或9或13所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),其特征在于���,網(wǎng)關(guān)設(shè)備為網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站�;網(wǎng)橋設(shè)備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站����。
15.一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)認(rèn)證方法,其特征在于����,當(dāng)主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接時(shí)�,AAA架構(gòu)分別對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備進(jìn)行認(rèn)證�;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備先將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器傳送至連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器,由網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備����、接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器����、AAA服務(wù)器,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證認(rèn)證結(jié)束后�,主機(jī)設(shè)備將其認(rèn)證信息通過網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器傳送到連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器;由主機(jī)設(shè)備����、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器、AAA服務(wù)器���,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證���。
16.根據(jù)權(quán)利要求15所述的方法�����,其特征在于����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證執(zhí)行先于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證�;主機(jī)設(shè)備的設(shè)備認(rèn)證執(zhí)行先于主機(jī)設(shè)備的用戶認(rèn)證執(zhí)行。
17.根據(jù)權(quán)利要求16所述的方法�����,其特征在于����,主機(jī)設(shè)備、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備����、AAA服務(wù)器均支持EAP認(rèn)證方法。
18.根據(jù)權(quán)利要求17所述的方法�����,其特征在于�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器、AAA服務(wù)器�����,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證時(shí)���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備為申請者,接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者����,AAA服務(wù)器為認(rèn)證服務(wù)器;若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行�,但終結(jié)于不同的認(rèn)證服務(wù)器時(shí),網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證����;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,并終結(jié)于在同一認(rèn)證服務(wù)器時(shí)���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證�����;或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式�,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行設(shè)備認(rèn)證或只執(zhí)行用戶認(rèn)證時(shí)�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式。
19.根據(jù)權(quán)利要求18所述的方法����,其特征在于,若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行時(shí)����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證均采用預(yù)共享密鑰,或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備分別采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證���,采用預(yù)共享密鑰執(zhí)行用戶認(rèn)證����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行設(shè)備認(rèn)證時(shí)�����,采用數(shù)字證書或預(yù)共享密鑰��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行用戶認(rèn)證時(shí),采用預(yù)共享密鑰���。
20.根據(jù)權(quán)利要求19所述的方法�����,其特征在于����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備使用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�����,認(rèn)證服務(wù)器合并至認(rèn)證者�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證終結(jié)于認(rèn)證者���。
21.根據(jù)權(quán)利要求17所述的方法�����,其特征在于�����,由主機(jī)設(shè)備���、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器���、AAA服務(wù)器,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證時(shí)��,主機(jī)設(shè)備為申請者�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者,AAA服務(wù)器為認(rèn)證服務(wù)器��;若主機(jī)設(shè)備的認(rèn)證和用戶認(rèn)證都執(zhí)行���,但終結(jié)在不同認(rèn)證服務(wù)器認(rèn)證時(shí)�����,主機(jī)設(shè)備采用Double EAP模式認(rèn)證���;或者若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,并終結(jié)在同一認(rèn)證服務(wù)器認(rèn)證時(shí)���,主機(jī)設(shè)備采用Double EAP模式認(rèn)證��,或主機(jī)設(shè)備采用Single EAP模式�����,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證���;或者若主機(jī)設(shè)備只進(jìn)行設(shè)備認(rèn)證認(rèn)證或只進(jìn)行用戶認(rèn)證����,主機(jī)設(shè)備采用SingleEAP模式�����。
22.根據(jù)權(quán)利要求21所述的方法���,其特征在于����,若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行時(shí)���,主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證均采用預(yù)共享密鑰,或主機(jī)設(shè)備分別采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�,采用預(yù)共享密鑰執(zhí)行用戶認(rèn)證;主機(jī)設(shè)備只執(zhí)行設(shè)備認(rèn)證時(shí),采用數(shù)字證書或預(yù)共享密鑰執(zhí)行設(shè)備認(rèn)證���;主機(jī)設(shè)備只執(zhí)行用戶認(rèn)證時(shí)����,采用預(yù)共享密鑰執(zhí)行用戶認(rèn)證����。
23.根據(jù)權(quán)利要求22所述的方法,其特征在于��,主機(jī)設(shè)備使用數(shù)字證書執(zhí)行設(shè)備認(rèn)證��,認(rèn)證服務(wù)器合并至認(rèn)證者��,主機(jī)設(shè)備的設(shè)備認(rèn)證終結(jié)于認(rèn)證者���。
24.根據(jù)權(quán)利要求22所述的方法�����,其特征在于���,接入服務(wù)網(wǎng)絡(luò)中還設(shè)置有基站���,基站將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文承載,與基站與認(rèn)證服務(wù)器間的AAA報(bào)文承載進(jìn)行轉(zhuǎn)換���。
25.根據(jù)權(quán)利要求24所述的方法�,其特征在于��,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第一接口與每一主機(jī)設(shè)備相連�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第二接口與接入服務(wù)網(wǎng)絡(luò)相連�;第一接口采用802.3或802.11或802.16傳送技術(shù);第二接口采用802.16e無線傳送技術(shù)���;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過空中接口的PKMv2傳送EAP報(bào)文����,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoP�����;或者主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過以太網(wǎng)傳送EAP報(bào)文�����,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoL����。
26.根據(jù)權(quán)利要求25所述的方法,其特征在于���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文承載在PKMv2協(xié)議上�,為AAAoP�����;基站與認(rèn)證服務(wù)器間的AAA報(bào)文承載在傳輸層上���,為AAAoT���;基站將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文的承載,與基站與認(rèn)證服務(wù)器間的AAA報(bào)文承載進(jìn)行轉(zhuǎn)換是指����,基站將AAAoP的報(bào)文轉(zhuǎn)換為AAAoT的報(bào)文。
27.根據(jù)權(quán)利要求26所述的方法�����,其特征在于,設(shè)置網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間承載AAA報(bào)文的PKMv2的PKM-REQ/RSP消息類型��,PKM-REQ/RSP消息用于支持網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的AAA報(bào)文傳送��。
28.根據(jù)權(quán)利要求20或23或27所述的方法����,其特征在于,網(wǎng)關(guān)設(shè)備為網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站��;網(wǎng)橋設(shè)備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站�����。
29.一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�,包括接入服務(wù)網(wǎng)絡(luò)和連接服務(wù)網(wǎng)絡(luò),接入服務(wù)網(wǎng)絡(luò)中設(shè)置有網(wǎng)絡(luò)接入服務(wù)器�,連接服務(wù)網(wǎng)絡(luò)中設(shè)置由至少一個(gè)AAA服務(wù)器,其特征在于�,AAA架構(gòu)中還包括網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備及主機(jī)設(shè)備;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)連接����;主機(jī)設(shè)備認(rèn)證與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備認(rèn)證分開獨(dú)立執(zhí)行;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器����、及AAA服務(wù)器,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證����;主機(jī)設(shè)備與接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器、及AAA服務(wù)器�����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�����。
30.根據(jù)權(quán)利要求29所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于�����,主機(jī)設(shè)備、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備�����、AAA服務(wù)器均支持EAP認(rèn)證方法�����。
31.根據(jù)權(quán)利要求30所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證執(zhí)行先于主機(jī)設(shè)備的認(rèn)證執(zhí)行��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證執(zhí)行先于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證執(zhí)行����;主機(jī)設(shè)備的設(shè)備認(rèn)證執(zhí)行先于主機(jī)設(shè)備的用戶認(rèn)證執(zhí)行。
32.根據(jù)權(quán)利要求31所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備為申請者�����;接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者;AAA服務(wù)器為認(rèn)證服務(wù)器�����。
33.根據(jù)權(quán)利要求32所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于�����,若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行���,但終結(jié)于不同認(rèn)證服務(wù)器,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證����;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,并終結(jié)于同一認(rèn)證服務(wù)器����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證;或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式,將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證����;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行設(shè)備認(rèn)證或只執(zhí)行用戶認(rèn)證,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式��。
34.根據(jù)權(quán)利要求33所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證采用預(yù)共享密鑰或數(shù)字證書��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證采用預(yù)共享密鑰�。
35.根據(jù)權(quán)利要求34所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),其特征在于����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證采用數(shù)字證書,認(rèn)證服務(wù)器合并至認(rèn)證者��。
36.根據(jù)權(quán)利要求32所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)��,其特征在于����,若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,但終結(jié)于不同的認(rèn)證服務(wù)器,主機(jī)設(shè)備采用Double EAP模式認(rèn)證�;或者若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,并終結(jié)于同一認(rèn)證服務(wù)器����,主機(jī)設(shè)備采用Double EAP模式認(rèn)證;或主機(jī)設(shè)備采用Single EAP模式���,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證�����;或者若主機(jī)設(shè)備只進(jìn)行設(shè)備認(rèn)證或只進(jìn)行用戶認(rèn)證,主機(jī)設(shè)備采用Single EAP模式����。
37.根據(jù)權(quán)利要求36所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu),其特征在于�����,主機(jī)設(shè)備的設(shè)備認(rèn)證采用預(yù)共享密鑰或數(shù)字證書���;主機(jī)設(shè)備的用戶認(rèn)證采用預(yù)共享密鑰�����。
38.根據(jù)權(quán)利要求37所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,主機(jī)設(shè)備的設(shè)備認(rèn)證采用數(shù)字證書����,認(rèn)證服務(wù)器合并至認(rèn)證者。
39.根據(jù)權(quán)利要求35或38所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第一接口與每一主機(jī)設(shè)備相連���,第一接口采用802.3或802.11或802.16傳送技術(shù)�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第二接口與接入服務(wù)網(wǎng)絡(luò)相連��,接入服務(wù)網(wǎng)絡(luò)還設(shè)置有基站���,第二接口采用802.16e無線傳送技術(shù)��;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過空中接口的PKMv2傳送EAP報(bào)文��,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoP���;或主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過以太網(wǎng)傳送EAP報(bào)文,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoL���;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間通過空中接口的PKMv2傳送EAP報(bào)文�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的EAP報(bào)文承載為EAPoP。
40.根據(jù)權(quán)利要求39所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)����,其特征在于,若主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的EAP承載為EAPoL時(shí)�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAPoL與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間EAPoP進(jìn)行轉(zhuǎn)換。
41.根據(jù)權(quán)利要求40所述的多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)�����,其特征在于����,網(wǎng)關(guān)設(shè)備網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站;網(wǎng)橋設(shè)備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站�����。
42.一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)認(rèn)證方法�,其特征在于,當(dāng)主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備連接時(shí)��,AAA架構(gòu)分別對網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備���、主機(jī)設(shè)備進(jìn)行認(rèn)證����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備先將網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器傳送至連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器���,由網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備�、接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器、AAA服務(wù)器��,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證認(rèn)證結(jié)束后,主機(jī)設(shè)備將其認(rèn)證信息通過接入服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)接入服務(wù)器傳送到連接服務(wù)網(wǎng)絡(luò)的AAA服務(wù)器���,由主機(jī)設(shè)備��、接入服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)接入服務(wù)器����、AAA服務(wù)器����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證。
43.根據(jù)權(quán)利要求42所述的方法���,其特征在于,主機(jī)設(shè)備�、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備、AAA服務(wù)器均支持EAP認(rèn)證方法�。
44.根據(jù)權(quán)利要求43所述的方法�,其特征在于�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證執(zhí)行先于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的用戶認(rèn)證;主機(jī)設(shè)備的設(shè)備認(rèn)證執(zhí)行先于主機(jī)設(shè)備的用戶認(rèn)證執(zhí)行����。
45.根據(jù)權(quán)利要求44所述的方法,其特征在于�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與主機(jī)設(shè)備為申請者;接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器為認(rèn)證者����;AAA服務(wù)器為認(rèn)證服務(wù)器。
46.根據(jù)權(quán)利要求45所述的方法�����,其特征在于����,若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,但終結(jié)于不同的認(rèn)證服務(wù)器時(shí)���,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證�����;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行����,并終結(jié)于同一認(rèn)證服務(wù)器時(shí),網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Double EAP模式認(rèn)證�;或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證����;或者若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只進(jìn)行設(shè)備認(rèn)證或只進(jìn)行用戶認(rèn)證時(shí),網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備采用Single EAP模式����。
47.根據(jù)權(quán)利要求46所述的方法,其特征在于�����,若網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行時(shí)�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證均采用預(yù)共享密鑰�,或網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備分別采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�����,采用預(yù)共享密鑰執(zhí)行用戶認(rèn)證;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行設(shè)備認(rèn)證時(shí)�,采用數(shù)字證書或預(yù)共享密鑰;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備只執(zhí)行用戶認(rèn)證時(shí)�����,采用預(yù)共享密鑰�����。
48.根據(jù)權(quán)利要求47所述的方法�,其特征在于,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備使用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�����,認(rèn)證服務(wù)器合并至認(rèn)證者�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證終結(jié)于認(rèn)證者。
49.根據(jù)權(quán)利要求45所述的方法��,其特征在于�,若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,但終結(jié)于不同認(rèn)證服務(wù)器認(rèn)證時(shí),主機(jī)設(shè)備采用Double EAP模式認(rèn)證����;或者若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行,并終結(jié)于在同一認(rèn)證服務(wù)器認(rèn)證時(shí)��,主機(jī)設(shè)備采用Double EAP模式認(rèn)證�;或主機(jī)設(shè)備采用Single EAP模式,將設(shè)備認(rèn)證和用戶認(rèn)證聯(lián)合認(rèn)證����;或者若主機(jī)設(shè)備只進(jìn)行設(shè)備認(rèn)證或用戶認(rèn)證,主機(jī)設(shè)備采用Single EAP模式���。
50.根據(jù)權(quán)利要求49所述的方法�,其特征在于�����,若主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證都執(zhí)行時(shí)����,主機(jī)設(shè)備的設(shè)備認(rèn)證和用戶認(rèn)證均采用預(yù)共享密鑰,或主機(jī)設(shè)備分別采用數(shù)字證書執(zhí)行設(shè)備認(rèn)證��,采用預(yù)共享密鑰執(zhí)行用戶認(rèn)證;主機(jī)設(shè)備只執(zhí)行設(shè)備認(rèn)證時(shí)�,采用數(shù)字證書或預(yù)共享密鑰執(zhí)行設(shè)備認(rèn)證;主機(jī)設(shè)備只執(zhí)行用戶認(rèn)證時(shí)�����,采用預(yù)共享密鑰執(zhí)行的用戶認(rèn)證�����。
51.根據(jù)權(quán)利要求50所述的方法,其特征在于,主機(jī)設(shè)備使用數(shù)字證書執(zhí)行設(shè)備認(rèn)證�,認(rèn)證服務(wù)器合并至認(rèn)證者,主機(jī)設(shè)備的設(shè)備認(rèn)證終結(jié)于認(rèn)證者����。
52.根據(jù)權(quán)利要求48或51所述的方法,其特征在于�,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第一接口與每一主機(jī)設(shè)備相連,第一接口采用802.3或802.11或802.16傳送技術(shù)���;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備通過第二接口與接入服務(wù)網(wǎng)絡(luò)相連�����,接入服務(wù)網(wǎng)絡(luò)還設(shè)置有基站���,第二接口采用802.16e無線傳送技術(shù)�����;主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過空中接口的PKMv2傳送EAP報(bào)文�,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoP����;或主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間通過以太網(wǎng)傳送EAP報(bào)文,主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAP報(bào)文承載為EAPoL��;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間通過空中接口的PKMv2傳送EAP報(bào)文�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間的EAP報(bào)文承載為EAPoP�。
53.根據(jù)權(quán)利要求52所述的方法,其特征在于����,若主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的EAP承載為EAPoL時(shí),網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將主機(jī)設(shè)備與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備間的EAPoL與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備與基站間EAPoP進(jìn)行轉(zhuǎn)換�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將EAPoL報(bào)文轉(zhuǎn)為EAPoP報(bào)文。
54.根據(jù)權(quán)利要求53所述的方法�,其特征在于,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備轉(zhuǎn)換EAPoL報(bào)文與EAPoP報(bào)文包括主機(jī)設(shè)備向網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備發(fā)送EAP-Star消息報(bào)文申請EAP認(rèn)證�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備接收到主機(jī)設(shè)備EAP-Start消息后�,生成PKM-Request消息��,消息類型為EAP-Start����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備發(fā)送PKM-Request消息至基站,由基站將EAP-Start報(bào)文送達(dá)認(rèn)證者����;認(rèn)證者接收到EAP-Start報(bào)文后,向主機(jī)設(shè)備發(fā)出EAP-Request/Identity身份查詢請求�;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將接收到EAP-Request/Identity身份查詢請求報(bào)文后,將EAP-Request/Identity身份查詢請求報(bào)文封裝在EAP-Packet中����,發(fā)送給主機(jī)設(shè)備���;主機(jī)設(shè)備采用EAP-Packet報(bào)文,發(fā)送EAP-Response/Identity應(yīng)答報(bào)文�;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將EAP-Response/Identity應(yīng)答報(bào)文封裝在PKM-Request消息報(bào)文中,消息類型為EAP-Transfer����,轉(zhuǎn)發(fā)給基站;基站將EAP-Response/Identity應(yīng)答報(bào)文送達(dá)認(rèn)證者���;主機(jī)設(shè)備采用EAP-Packet報(bào)文�,發(fā)送EAP-REP/RSP Method-Negotiation報(bào)文�,進(jìn)行EAP的認(rèn)證方法協(xié)商,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將EAP-REP/RSPMethod-Negotiation報(bào)文封裝在PKM-REP/RSP消息報(bào)文中��,消息類型為EAP-Transfer��,轉(zhuǎn)發(fā)給基站����,由基站將EAP-REP/RSP Method-Negotiation報(bào)文送達(dá)認(rèn)證者,進(jìn)行EAP認(rèn)證方法協(xié)商���;主機(jī)設(shè)備采用EAP-Packet報(bào)文����,發(fā)送EAP-REP/RSP Method報(bào)文,進(jìn)行EAP的認(rèn)證方法交換����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備將EAP-REP/RSP Method報(bào)文封裝在PKM-REP/RSP消息報(bào)文中,消息類型為EAP-Transfer���,轉(zhuǎn)發(fā)給基站����,由基站將EAP-REP/RSP Method報(bào)文送達(dá)認(rèn)證者�,進(jìn)行EAP認(rèn)證方法交換�����;認(rèn)證者完成EAP認(rèn)證后���,向主機(jī)設(shè)備發(fā)出EAP-Success報(bào)文��,EAP-Success報(bào)文封裝在PKM-RSP消息報(bào)文中�����,消息類型為EAP-Transfer���;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備接收到EAP-Success報(bào)文后��,將EAP-Success封裝在EAP-Packet報(bào)文中��,將EAP-Packet報(bào)文承載在EAPoL上發(fā)送給主機(jī)設(shè)備�。
55.根據(jù)權(quán)利要求50所述的方法���,其特征在于����,基站與網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的間EAP-Request/Identity身份查詢請求報(bào)文承載于PKM-Response消息�。
56.根據(jù)權(quán)利要求55所述的方法,其特征在于��,主機(jī)設(shè)備認(rèn)證通過后�����,當(dāng)網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備檢測到主機(jī)設(shè)備下網(wǎng)或異常�����,網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備向網(wǎng)絡(luò)接入服務(wù)器主動發(fā)起EAP-Logoff消息,EAP-Logoff消息封裝在PKM-Request消息報(bào)文中�,PKM-Request消息報(bào)文的消息類型為EAP-Transfer;接入服務(wù)器根據(jù)EAP-Logoff消息修改主機(jī)設(shè)備授權(quán)狀態(tài)��。
57.根據(jù)權(quán)利要求56所述的方法�,其特征在于,認(rèn)證服務(wù)器設(shè)置PKM消息類型���,利用PKM消息為通過認(rèn)證的網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備下發(fā)密鑰��,用于空中接口安全�����。
58.根據(jù)權(quán)利要求57所述的方法,其特征在于�,網(wǎng)關(guān)設(shè)備為網(wǎng)關(guān)中轉(zhuǎn)站/網(wǎng)關(guān)移動站;網(wǎng)橋設(shè)備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站�����。
全文摘要
一種多主機(jī)網(wǎng)絡(luò)的AAA架構(gòu)及認(rèn)證方法�����,包括由網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備、接入服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器����、AAA服務(wù)器,執(zhí)行網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證�����;網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證認(rèn)證結(jié)束后�����,由主機(jī)設(shè)備�、網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備中的網(wǎng)絡(luò)接入服務(wù)器、AAA服務(wù)器�����,執(zhí)行主機(jī)設(shè)備的設(shè)備認(rèn)證和/或用戶認(rèn)證的三方認(rèn)證本發(fā)明使得多主機(jī)的WiMAX網(wǎng)絡(luò)中對主機(jī)設(shè)備的授權(quán)以及計(jì)費(fèi)成為可能�����,從機(jī)制和協(xié)議流程層面�����,解決了對主機(jī)設(shè)備的認(rèn)證和授權(quán)的支持。在AAA架構(gòu)中��,NAS可靈活設(shè)置于網(wǎng)關(guān)設(shè)備/網(wǎng)橋設(shè)備或ASN中�。
文檔編號H04L29/06GK101064605SQ20061007807
公開日2007年10月31日 申請日期2006年4月29日 優(yōu)先權(quán)日2006年4月29日
發(fā)明者鄭若濱 申請人:華為技術(shù)有限公司