專利名稱:基于802.lx的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種基于802. Ix的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備。
背景技術(shù):
LTE (Long Term Evelution,長期演進(jìn))是繼2G/3G技術(shù)后未來移動通信的主要演進(jìn)方向。LTE系統(tǒng)采用兩層扁平網(wǎng)絡(luò)架構(gòu),包括eNodeB(基站)和aGW(接入網(wǎng)關(guān))兩個主要網(wǎng)元。移動回傳網(wǎng)絡(luò)是移動承載網(wǎng)的重要組成部分,為基站和接入網(wǎng)關(guān)之間的通信提供承載支持。移動回傳網(wǎng)絡(luò)呈現(xiàn)逐級匯聚的結(jié)構(gòu),不同的場景下具體的匯聚級數(shù)可能不一致。以四級移動回傳網(wǎng)絡(luò)為例,如圖1所示,在基站同物理位置部署一個CSG(Cell Site (Gateway,基站側(cè)網(wǎng)關(guān)設(shè)備),然后由AGN-L(Low IevelAggregate Node,低級匯聚節(jié)點(diǎn))通過環(huán)或鏈對若干CSG進(jìn)行匯聚,由AGN-H(Highlevel Aggregate Node,高級匯聚節(jié)點(diǎn))通過環(huán)或鏈對若干AGN-L進(jìn)行匯聚,最后由MASG(MobiIe Aggregation Site Gateway,移動匯聚側(cè)網(wǎng)關(guān))將全部的網(wǎng)絡(luò)流量匯聚到aGW。當(dāng)基站接入移動承載網(wǎng)絡(luò)時,需要對基站進(jìn)行基于IEEE (Institute ofElectrical and Electronics Engineers,電氣電子工程師學(xué)會)802. Ix 的接入認(rèn)證。在基于802. Ix的接入認(rèn)證系統(tǒng)中,包括認(rèn)證申請者、認(rèn)證者和認(rèn)證服務(wù)器,在上行方向,認(rèn)證者將來自認(rèn)證申請者并封裝在EAPoL (ΕΑΡ Over LAN)報文中的EAP (Extensible Authentication Protocol,擴(kuò)展認(rèn)證協(xié)議)報文恢復(fù),并封裝后承載在高層協(xié)議上轉(zhuǎn)交認(rèn)證服務(wù)器進(jìn)行處理;在下行方向上,認(rèn)證者將來自認(rèn)證服務(wù)器的EAP報文從高層協(xié)議中解封裝后,封裝到EAPoL報文中發(fā)送給認(rèn)證申請者,從而實現(xiàn)認(rèn)證申請者和認(rèn)證服務(wù)器之間基于802. Ix的接入交互。認(rèn)證服務(wù)器集中位于網(wǎng)絡(luò)內(nèi)部,可根據(jù)預(yù)先配置的用戶數(shù)據(jù)進(jìn)行認(rèn)證檢查,發(fā)出認(rèn)證授權(quán)。在現(xiàn)有技術(shù)中,認(rèn)證者通常采用兩種方式實現(xiàn)方式1 認(rèn)證者的全部功能由CSG實現(xiàn)。此時,CSG具備EAP解析與封裝、 AAA (authentication, authorization and accounting,認(rèn)證、授權(quán)與計費(fèi))協(xié)議、UDP (User Datagram Protocol,用戶數(shù)據(jù)報協(xié)議)和IP(Internet Protocol,互聯(lián)網(wǎng)協(xié)議)等處理能力,網(wǎng)絡(luò)需要在CSG和認(rèn)證服務(wù)器之間有IP路由可達(dá)性,同時要求CSG及以上網(wǎng)絡(luò)設(shè)備都具備 IP 轉(zhuǎn)發(fā)能力。AAA 協(xié)議可以是 RADIUS (Remote Authentication Dial In User krvice,遠(yuǎn)端撥入用戶驗證服務(wù))協(xié)議或Diameter (直徑)協(xié)議。采用方式1進(jìn)行接入認(rèn)證時,CSG的實現(xiàn)較復(fù)雜,由于CSG在LTE承載網(wǎng)中是海量的,CSG復(fù)雜的功能帶來這種海量設(shè)備更頻繁的配置、升級和故障管理操作,增加了維護(hù)難度和成本。方式2 認(rèn)證者的全部功能由AGN(例如AGN-L或AGN-H)實現(xiàn)。此時,與基站同地址部署的CSG只需要實現(xiàn)簡單的透傳功能,將連接基站的端口與到達(dá)AGN的邏輯管道綁定,CSG不參與報文認(rèn)證和相應(yīng)的處理。對端口的控制,改為AGN對端口對應(yīng)的邏輯管道開閉的控制。采用方式2進(jìn)行接入認(rèn)證時,由于CSG與AGN之間的通信鏈路不受認(rèn)證授權(quán)控制, 認(rèn)證申請者的報文可以暢通無阻地到達(dá)AGN,造成AGN與CSG之間的通信帶寬資源的浪費(fèi), 也存在一定的安全隱患。在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題在進(jìn)行基于802. Ix的接入認(rèn)證時,當(dāng)認(rèn)證者的全部功能由CSG實現(xiàn)時,增加了 CSG 的復(fù)雜度;當(dāng)認(rèn)證者的全部功能由AGN實現(xiàn)時,容易造成帶寬資源的浪費(fèi)和安全隱患。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種基于802. Ix的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備,能夠在降低接入設(shè)備復(fù)雜度的同時避免帶寬資源的浪費(fèi)和安全隱患。本發(fā)明實施例采用的技術(shù)方案為一種基于802. Ix的接入認(rèn)證方法,包括通過第一端口接收客戶設(shè)備的上行報文;判斷所述上行報文是否為認(rèn)證報文;當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送;當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收所述匯聚設(shè)備發(fā)送的端口控制消息;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識;設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。一種基于802. Ix的接入認(rèn)證方法,包括接收接入設(shè)備發(fā)送的認(rèn)證報文,所述認(rèn)證報文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對所述客戶設(shè)備的認(rèn)證;當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時,向所述接入設(shè)備發(fā)送端口控制消息,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)。一種接入設(shè)備,包括第一接收模塊,用于通過第一端口接收客戶設(shè)備的上行報文;判斷模塊,用于判斷所述上行報文是否為認(rèn)證報文;第一發(fā)送模塊,用于當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送;第二接收模塊,用于當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收所述匯聚設(shè)備發(fā)送的端口控制消息;獲取模塊,用于根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識; 設(shè)置模塊,用于設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。 一種匯聚設(shè)備,包括
第三接收模塊,用于接收接入設(shè)備發(fā)送的認(rèn)證報文,所述認(rèn)證報文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;認(rèn)證模塊,用于向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對所述客戶設(shè)備的認(rèn)證;第二發(fā)送模塊,用于當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時, 向所述接入設(shè)備發(fā)送端口控制消息,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)。本發(fā)明實施例基于802. Ix的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備,接入設(shè)備對來自客戶設(shè)備的上行報文進(jìn)行識別,將客戶設(shè)備的認(rèn)證報文發(fā)送至匯聚設(shè)備,當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收匯聚設(shè)備發(fā)送的端口控制消息,對端口的狀態(tài)進(jìn)行設(shè)置,控制業(yè)務(wù)報文通過。與現(xiàn)有技術(shù)相比,將接入控制與認(rèn)證分離開,接入設(shè)備完成對應(yīng)客戶設(shè)備的接入控制,匯聚設(shè)備統(tǒng)一完成認(rèn)證,從而可以降低接入設(shè)備的復(fù)雜度,降低接入網(wǎng)維護(hù)成本,支持大規(guī)模接入網(wǎng)絡(luò),此外,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其它的附圖。圖1為移動回傳網(wǎng)絡(luò)結(jié)構(gòu)圖2為本發(fā)明實施例一提供的方法流程圖3為本發(fā)明實施例二提供的方法流程圖如為本發(fā)明實施例三提供的方法的實現(xiàn)結(jié)構(gòu)圖4b為本發(fā)明實施例三提供的方法流程圖如為本發(fā)明實施例四提供的方法的實現(xiàn)結(jié)構(gòu)圖5b為本發(fā)明實施例四提供的方法流程圖6a、圖6b為本發(fā)明實施例五提供的方法的實現(xiàn)結(jié)構(gòu)圖6c為本發(fā)明實施例五提供的方法流程圖7a、圖7b、圖7c、圖7d為本發(fā)明實施例六提供的接入設(shè)備結(jié)構(gòu)示意圖8a、圖Sb、圖Sc、圖8d為本發(fā)明實施例七提供的匯聚設(shè)備結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護(hù)的范圍。為使本發(fā)明技術(shù)方案的優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和實施例對本發(fā)明作詳細(xì)說明。實施例一
7
本實施例提供一種基于802. Ix的接入認(rèn)證方法,如圖2所示,在接入設(shè)備側(cè),所述方法包括201、接入設(shè)備通過第一端口接收客戶設(shè)備的上行報文;202、判斷所述上行報文是否為認(rèn)證報文;203、當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送;204、當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收所述匯聚設(shè)備發(fā)送的端口控制消息;205、根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識;206、設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。本發(fā)明實施例基于802. Ix的接入認(rèn)證方法,接入設(shè)備對來自客戶設(shè)備的上行報文進(jìn)行識別,將客戶設(shè)備的認(rèn)證報文發(fā)送至匯聚設(shè)備,當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收匯聚設(shè)備發(fā)送的端口控制消息,對端口的狀態(tài)進(jìn)行設(shè)置, 控制業(yè)務(wù)報文通過。與現(xiàn)有技術(shù)相比,將接入控制與認(rèn)證分離開,接入設(shè)備完成對應(yīng)客戶設(shè)備的接入控制,匯聚設(shè)備統(tǒng)一完成認(rèn)證,從而可以降低接入設(shè)備的復(fù)雜度,降低接入網(wǎng)維護(hù)成本,支持大規(guī)模接入網(wǎng)絡(luò),此外,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患。實施例二本實施例提供一種基于802. Ix的接入認(rèn)證方法,如圖3所示,在匯聚設(shè)備側(cè),所述方法包括301、匯聚設(shè)備接收接入設(shè)備發(fā)送的認(rèn)證報文,所述認(rèn)證報文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;302、向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對所述客戶設(shè)備的認(rèn)證;303、當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時,向所述接入設(shè)備發(fā)送端口控制消息,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)。本發(fā)明實施例基于802. Ix的接入認(rèn)證方法,匯聚設(shè)備接收接入設(shè)備發(fā)送的認(rèn)證報文,向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對客戶設(shè)備的認(rèn)證,當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時,向所述接入設(shè)備發(fā)送端口控制消息,以便接入設(shè)備對端口的狀態(tài)進(jìn)行設(shè)置,控制業(yè)務(wù)報文通過。與現(xiàn)有技術(shù)相比,將接入控制與認(rèn)證分離開,接入設(shè)備完成對應(yīng)客戶設(shè)備的接入控制,匯聚設(shè)備統(tǒng)一完成認(rèn)證,從而可以降低接入設(shè)備的復(fù)雜度,降低接入網(wǎng)維護(hù)成本,支持大規(guī)模接入網(wǎng)絡(luò),此外,還可以避免網(wǎng)絡(luò)帶寬的浪費(fèi)以及可能存在的安全隱患。實施例三本實施例提供一種基于802. Ix的接入認(rèn)證方法,在本實施例中,不對802. Ix協(xié)議進(jìn)行擴(kuò)展,使用第三方協(xié)議來傳送端口控制消息;對于從CSG上的同一個物理端口或邏輯端口進(jìn)入的認(rèn)證報文和業(yè)務(wù)報文,采用同一條業(yè)務(wù)通道傳送。在本實施例中,如圖如所示,CSG有兩個客戶側(cè)端口 portl和port2,分別連接基站eNBl和eNB2,在CSG上設(shè)置有分別與端口 portl和port2連接的識別與控制單元1和識別與控制單元2,負(fù)責(zé)在端口認(rèn)證通過前,執(zhí)行端口受控狀態(tài)的控制,即允許認(rèn)證報文和某些控制報文通過,但阻止業(yè)務(wù)報文通過。針對每個業(yè)務(wù)通道,在匯聚設(shè)備上設(shè)置有分離單元,負(fù)責(zé)將特定控制報文,如802. Ix報文從業(yè)務(wù)報文流中分離出來,送到對應(yīng)的主控單元處理。主控單元上對應(yīng)每個端口有一個會話,完成802. Ix協(xié)議處理,并實現(xiàn)Radius協(xié)議客戶端與認(rèn)證服務(wù)器之間的認(rèn)證交互。在CSG中設(shè)置有第三方協(xié)議模塊C,在匯聚設(shè)備中設(shè)置有第三方協(xié)議模塊S,這兩個模塊通過第三方協(xié)議交互,完成CSG側(cè)端口管理控制。CSG與匯聚設(shè)備之間通過多條業(yè)務(wù)通道相連,所述業(yè)務(wù)通道包括連接所述CSG的端口并到達(dá)或經(jīng)過所述匯聚設(shè)備的物理或邏輯通信通道;CSG與匯聚設(shè)備之間還有一條控制通道,所述控制通道可以是CSG與匯聚設(shè)備之間的物理或邏輯通信通道;所述物理通道和邏輯通信通道可以是多協(xié)議標(biāo)簽交換(Multi-Protocol Label Switching,MPLS)網(wǎng)絡(luò)的 LSP (Label Switching Path,標(biāo)簽交換路徑),或者是PW(Pseudo Wire,偽線),也可以是以太網(wǎng)絡(luò)的VLAN(Virtual LAN,虛擬局域網(wǎng))標(biāo)識的管道。所述物理通道和邏輯通信通道對應(yīng)的端口可以采用“端口 +VLAN”進(jìn)行標(biāo)識。在本實施例中,CSG與匯聚設(shè)備之間的業(yè)務(wù)通道和控制通道為PW,PW12連接portl 到匯聚設(shè)備,PW22連接port2到匯聚設(shè)備。CSG與匯聚設(shè)備之間的C-PW連接第三方協(xié)議模塊C與第三方協(xié)議模塊S,用于傳送第三方協(xié)議報文。如圖4b所示,所述方法包括401、eNBl通過端口 portl向識別與控制單元1發(fā)送上行報文,識別與控制單元 1根據(jù)該上行報文的以太網(wǎng)類型值對該上行報文進(jìn)行識別,若識別出該上行報文為業(yè)務(wù)報文,則禁止該上行報文通過;若識別出該上行報文為認(rèn)證報文,例如EAPoL-Mart報文,則執(zhí)行步驟402。具體地,當(dāng)所述上行報文的以太網(wǎng)類型值802. Ix協(xié)議標(biāo)識0x88-8e時,識別與控制單元1識別出該上行報文為認(rèn)證報文。后續(xù)步驟中,當(dāng)報文經(jīng)過CSG時,識別與控制單元 1以類似方式識別出EAP Response/Identity等報文為認(rèn)證報文,不再贅述。402、識別與控制單元1允許該認(rèn)證報文通過,并將該認(rèn)證報文送到一條對應(yīng)于端口 portl的業(yè)務(wù)通道PW12上;在匯聚設(shè)備上,分離單元1將該認(rèn)證報文檢測出來,送到主控單元1。當(dāng)識別與控制單元1接收到其它認(rèn)證報文,例如EAP Response/Identity報文、 EAP Response/MD5-ChalIenge報文等,也執(zhí)行相同的動作。其中,PW是目前在IETF基于MPLS定義的一種多業(yè)務(wù)傳送通道技術(shù),形式采用MPLS label,提供 PWE3 (Pseudo Wire Emulation Edge-to-Edge)業(yè)務(wù)。當(dāng)然,也可以采用其它的多業(yè)務(wù)傳送通道技術(shù),例如MPLS LSP, Ethernet Vlan, ATM (Asynchronous Transfer Mode, 異步傳輸模式)或PVC(Permanent virtualcircuit,永久虛電路)等。當(dāng)PW建立時,網(wǎng)管配置或者CSG自動生成端口、VLAN與PW之間的對應(yīng)關(guān)系表,將該對應(yīng)關(guān)系表作為配置與狀態(tài)信息存儲在CSG中。端口與PW有一一對應(yīng)的關(guān)系,某些情況下,一個端口可以對應(yīng)多個VLAN,此時端口 +VLAN與PW有——對應(yīng)的關(guān)系,端口 +VLAN和 PW的組合對應(yīng)從客戶側(cè)端口到網(wǎng)絡(luò)側(cè)端口傳送的一種業(yè)務(wù)報文。例如LTE業(yè)務(wù)承載情況, CSG上一個連接eNBl的物理端口 portl可以分別有三對VLAN和PW,分別傳送S1、0M、X2業(yè)務(wù)報文。因此一個PW可以找到唯一對應(yīng)的端口,第三方協(xié)議模塊C從配置與狀態(tài)信息中可以獲取對應(yīng)于PW12的端口為portl。
403a、主控單元1向eNBl發(fā)送EAP Request/Identity報文,要求eNBl提供認(rèn)證信息,例如用戶名。403b、eNBl根據(jù)主控單元1的請求回應(yīng)EAP Response/Identity,其中包括eNBl 的認(rèn)證信息。403c、主控單元1以EAP Over RADIUS的報文格式向認(rèn)證服務(wù)器發(fā)送 RADIUSAccess-Request 報文。其中,所述RADIUS Access-Request報文中包括eNBl發(fā)送給主控單元1的 EAPResponse/Identity報文,以便將eNBl的認(rèn)證信息提交認(rèn)證服務(wù)器。403d、認(rèn)證服務(wù)器產(chǎn)生一個128bit的隨機(jī)碼即挑戰(zhàn)碼(Challenge),以EAPOver RADIUS的報文格式向主控單元1發(fā)送RADIUS Access-Challenge報文。其中,所述 RADIUS Access-Challenge 報文中包括 EAPRequest/MD5_ChalIenge。403e、主控單元1對所述RADIUS Access-Challenge報文進(jìn)行解封裝,獲取EAP Request/MD5_Challenge JfEAP Request/MD5_Challenge 發(fā)送給 eNBl,要求 eNBl 將自己的密碼(Password)用該 MD5_Challenge 做 MD5 算法,生成 Challenged Password。403f、eNBl收到EAP Request/MD5_ChalIenge報文后,將自己的密碼和接收到的隨機(jī)碼做MD5算法,產(chǎn)生對應(yīng)的Challenged Password,向主控單元1回應(yīng)EAPResponse/ Challenged Password ;403g、主控單元 1 將包含 Challenged Password 的 EAPResponse/MD5_ChalIenge 以EAP Over RADIUS的報文格式向認(rèn)證服務(wù)器發(fā)送RADIUS Access-Request報文;403h、認(rèn)證服務(wù)器根據(jù)eNBl對應(yīng)的保存在認(rèn)證服務(wù)器本地的密碼,以及前面提供的MD5-Challenge做MD5算法,判斷用戶是否合法,如果確定認(rèn)證成功,則以EAP Over RADIUS的報文格式向主控單元1回應(yīng)RADIUS Access-Acc印t,認(rèn)證成功。404、主控單元1得知認(rèn)證成功,向第三方協(xié)議模塊S發(fā)送信號,所述信號中攜帶 PW12的標(biāo)識,說明對應(yīng)PWl2的遠(yuǎn)端端口認(rèn)證通過。405、第三方協(xié)議模塊S通過C-PW向第三方協(xié)議模塊C發(fā)送端口控制消息,所述端口控制消息中攜帶PW12標(biāo)識。其中,第三方協(xié)議模塊S向第三方協(xié)議模塊C發(fā)送端口控制消息時采用第三方協(xié)議,該第三方協(xié)議可以基于ANCP (Access Node Control Protocol,接入點(diǎn)控制協(xié)議)擴(kuò)展實現(xiàn)。并采用RFC3292定義的Port Management消息格式,在ANCP中實現(xiàn)受控端口的打開 /關(guān)閉控制。在原有定義的Port Management消息格式上,增加Extention value,如表1 所示。表 1
10
權(quán)利要求
1.一種基于802. Ix的接入認(rèn)證方法,其特征在于,包括 通過第一端口接收客戶設(shè)備的上行報文;判斷所述上行報文是否為認(rèn)證報文;當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送; 當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收所述匯聚設(shè)備發(fā)送的端口控制消息;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識; 設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述上行報文向匯聚設(shè)備發(fā)送包括通過與所述第一端口對應(yīng)的業(yè)務(wù)通道將所述上行報文向匯聚設(shè)備發(fā)送。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識;所述根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識包括根據(jù)所述端口控制消息中攜帶的所述業(yè)務(wù)通道的標(biāo)識,查詢與所述業(yè)務(wù)通道對應(yīng)的第一端口的標(biāo)識。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識,所述第一端口的標(biāo)識是由所述匯聚設(shè)備根據(jù)所述業(yè)務(wù)通道的標(biāo)識查詢得到的。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述上行報文向匯聚設(shè)備發(fā)送包括將所述第一端口的標(biāo)識與所述上行報文一起封裝,通過控制通道向匯聚設(shè)備發(fā)送; 所述接收所述匯聚設(shè)備發(fā)送的端口控制消息包括接收所述匯聚設(shè)備通過所述控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
6.一種基于802. Ix的接入認(rèn)證方法,其特征在于,包括接收接入設(shè)備發(fā)送的認(rèn)證報文,所述認(rèn)證報文由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對所述客戶設(shè)備的認(rèn)證;當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時,向所述接入設(shè)備發(fā)送端口控制消息,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述接收接入設(shè)備發(fā)送的認(rèn)證報文包括 通過與所述第一端口對應(yīng)的業(yè)務(wù)通道接收并分離出所述認(rèn)證報文。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述向所述接入設(shè)備發(fā)送端口控制消息包括通過控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述向所述接入設(shè)備發(fā)送端口控制消息包括根據(jù)所述業(yè)務(wù)通道的標(biāo)識查詢對應(yīng)的第一端口的標(biāo)識;通過控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
10.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述接收接入設(shè)備發(fā)送的認(rèn)證報文包括通過控制通道接收并分離出所述接入設(shè)備發(fā)送的認(rèn)證報文,與所述認(rèn)證報文一起封裝有所述第一端口的標(biāo)識;所述向所述接入設(shè)備發(fā)送端口控制消息包括通過所述控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
11.一種接入設(shè)備,其特征在于,包括第一接收模塊,用于通過第一端口接收客戶設(shè)備的上行報文; 判斷模塊,用于判斷所述上行報文是否為認(rèn)證報文;第一發(fā)送模塊,用于當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送;第二接收模塊,用于當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時, 接收所述匯聚設(shè)備發(fā)送的端口控制消息;獲取模塊,用于根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識; 設(shè)置模塊,用于設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。
12.根據(jù)權(quán)利要求11所述的接入設(shè)備,其特征在于,所述第一發(fā)送模塊包括第一發(fā)送單元,用于通過與所述第一端口對應(yīng)的業(yè)務(wù)通道將所述上行報文向匯聚設(shè)備發(fā)送。
13.根據(jù)權(quán)利要求12所述的接入設(shè)備,其特征在于,所述第二接收模塊包括第一接收單元,用于接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識; 所述獲取模塊包括第一查詢單元,用于根據(jù)所述端口控制消息中攜帶的所述業(yè)務(wù)通道的標(biāo)識,查詢與所述業(yè)務(wù)通道對應(yīng)的第一端口的標(biāo)識。
14.根據(jù)權(quán)利要求12所述的接入設(shè)備,其特征在于,所述第二接收模塊包括第二接收單元,用于接收所述匯聚設(shè)備通過控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識,所述第一端口的標(biāo)識是由所述匯聚設(shè)備根據(jù)所述業(yè)務(wù)通道的標(biāo)識查詢得到的。
15.根據(jù)權(quán)利要求11所述的接入設(shè)備,其特征在于,所述第一發(fā)送模塊包括第二發(fā)送單元,用于將所述第一端口的標(biāo)識與所述上行報文一起封裝,通過控制通道向匯聚設(shè)備發(fā)送;所述第二接收模塊包括第三接收單元,用于接收所述匯聚設(shè)備通過所述控制通道發(fā)送的端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
16.一種匯聚設(shè)備,其特征在于,包括第三接收模塊,用于接收接入設(shè)備發(fā)送的認(rèn)證報文,所述認(rèn)證報文為由客戶設(shè)備通過所述接入設(shè)備的第一端口發(fā)送至所述接入設(shè)備;認(rèn)證模塊,用于向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,與所述認(rèn)證服務(wù)器共同完成對所述客戶設(shè)備的認(rèn)證;第二發(fā)送模塊,用于當(dāng)接收到所述認(rèn)證服務(wù)器發(fā)送的客戶設(shè)備認(rèn)證通過消息時,向所述接入設(shè)備發(fā)送端口控制消息,以使所述接入設(shè)備設(shè)置所述第一端口為非受控狀態(tài)。
17.根據(jù)權(quán)利要求16所述的匯聚設(shè)備,其特征在于,所述第三接收模塊包括 第一分離單元,用于通過與所述第一端口對應(yīng)的業(yè)務(wù)通道接收并分離出所述認(rèn)證報文。
18.根據(jù)權(quán)利要求17所述的匯聚設(shè)備,其特征在于,所述第二發(fā)送模塊包括第三發(fā)送單元,用于通過控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述業(yè)務(wù)通道的標(biāo)識。
19.根據(jù)權(quán)利要求17所述的匯聚設(shè)備,其特征在于,所述第二發(fā)送模塊包括 第二查詢單元,用于根據(jù)所述業(yè)務(wù)通道的標(biāo)識查詢對應(yīng)的第一端口的標(biāo)識;第四發(fā)送單元,用于通過控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
20.根據(jù)權(quán)利要求16所述的匯聚設(shè)備,其特征在于,所述第三接收模塊包括第二分離單元,用于通過控制通道接收并分離出所述接入設(shè)備發(fā)送的認(rèn)證報文,與所述認(rèn)證報文一起封裝有所述第一端口的標(biāo)識; 所述第二發(fā)送模塊包括第五發(fā)送單元,用于通過所述控制通道向所述接入設(shè)備發(fā)送端口控制消息,所述端口控制消息中攜帶所述第一端口的標(biāo)識。
全文摘要
本發(fā)明實施例公開了一種基于802.1x的接入認(rèn)證方法、接入設(shè)備及匯聚設(shè)備,在接入設(shè)備側(cè),所述方法包括通過第一端口接收客戶設(shè)備的上行報文;判斷所述上行報文是否為認(rèn)證報文;當(dāng)所述上行報文為認(rèn)證報文時,將所述上行報文向匯聚設(shè)備發(fā)送;當(dāng)所述匯聚設(shè)備從認(rèn)證服務(wù)器接收到客戶設(shè)備認(rèn)證通過消息時,接收所述匯聚設(shè)備發(fā)送的端口控制消息;根據(jù)所述端口控制消息獲取所述第一端口的標(biāo)識;設(shè)置所述第一端口為非受控狀態(tài),允許進(jìn)入所述第一端口的業(yè)務(wù)報文通過。本發(fā)明適用于移動承載網(wǎng)中基于802.1x的接入認(rèn)證。
文檔編號H04W12/08GK102244863SQ201010171340
公開日2011年11月16日 申請日期2010年5月13日 優(yōu)先權(quán)日2010年5月13日
發(fā)明者江元龍, 鐘其文, 黃勇 申請人:華為技術(shù)有限公司