專利名稱:接入認(rèn)證方法���、設(shè)備��、服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實施例涉及通信技術(shù)領(lǐng)域�����,尤其是一種接入認(rèn)證方法�、設(shè)備、服務(wù)器及系統(tǒng)����。
背景技術(shù):
出于管理和計費的需求,互聯(lián)網(wǎng)的接入服務(wù)提供者需要對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證和訪問控制���,其認(rèn)證方法分為兩類第一類是對網(wǎng)絡(luò)接入設(shè)備的物理信息進(jìn)行認(rèn)證����,例如 MAC地址��,然后將分配的IP地址同物理信息綁定起來�;第二類是對網(wǎng)絡(luò)接入設(shè)備的賬號信息進(jìn)行認(rèn)證,認(rèn)證通過后再進(jìn)行IP地址的分配和相關(guān)信息的綁定�。第一類認(rèn)證方法和具體的接入環(huán)境相關(guān),一旦網(wǎng)絡(luò)接入設(shè)備變更接入位置�����,其身份信息的表現(xiàn)形式就發(fā)生了變化; 第二類認(rèn)證方法和應(yīng)用層協(xié)議相關(guān)��,不同接入網(wǎng)不同的接入方式可能要求網(wǎng)絡(luò)接入設(shè)備支持不同的認(rèn)證協(xié)議���,會導(dǎo)致網(wǎng)絡(luò)接入設(shè)備安裝不同的認(rèn)證客戶端��,如PPPoE����,802. Ix等等��, 其身份信息的表現(xiàn)形式也就發(fā)生了變化�����。當(dāng)網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生了變化時��,會使得之前的認(rèn)證失效��,而難以對變化后的網(wǎng)絡(luò)接入設(shè)備行為進(jìn)行溯源審計��。因此��,現(xiàn)有的認(rèn)證方法���,都存在因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題����。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種接入認(rèn)證方法�、設(shè)備、服務(wù)器及系統(tǒng)���,避免現(xiàn)有的認(rèn)證方法存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題����。一方面��,本發(fā)明實施例提供一種接入認(rèn)證方法��,包括網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求�����,所述接入認(rèn)證請求的源IP 地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ��;接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息��。另一方面,本發(fā)明實施例還提供一種接入認(rèn)證方法�,包括接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI �����;根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證�����。另一方面�,本發(fā)明實施例還提供一種接入認(rèn)證方法,包括接收接入認(rèn)證服務(wù)器發(fā)送的注冊消息���,所述注冊消息包含網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI �����;根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)���;向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息�����。另一方面�,本發(fā)明實施例提供一種網(wǎng)絡(luò)接入設(shè)備,包括
6
認(rèn)證請求模塊����,用于向接入認(rèn)證服務(wù)器發(fā)送包含接入認(rèn)證請求,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ��;第一接收模塊��,用于接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息���。另一方面�����,本發(fā)明實施例提供一種接入認(rèn)證服務(wù)器����,包括第二接收模塊���,用于接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求�����,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ����;認(rèn)證模塊,用于根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證�。另一方面,本發(fā)明實施例提供一種接入控制設(shè)備�,包括第三接收模塊,用于接收接入認(rèn)證服務(wù)器發(fā)送的注冊信息�����,所述注冊信息包含網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ��;訪問控制模塊����,用于根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)��;第三發(fā)送模塊�,用于向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息����。再一方面��,本發(fā)明實施例提供一種接入認(rèn)證系統(tǒng)���,包括依次連接的如上所述的網(wǎng)絡(luò)接入設(shè)備、接入控制設(shè)備和接入認(rèn)證服務(wù)器�。本發(fā)明通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的實體標(biāo)識符EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制,使得無論接入環(huán)境和位置如何改變��,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變�,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單的介紹�����,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例一的流程示意圖�。圖2為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例二的流程示意圖。圖3為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例三的流程示意圖���。圖4為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例四的流程示意圖�。圖5為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例五的信令流程圖�����。圖6為本發(fā)明實施例提供的一種網(wǎng)絡(luò)接入設(shè)備實施例的結(jié)構(gòu)示意圖��。圖7為本發(fā)明實施例提供的一種接入認(rèn)證服務(wù)器實施例的結(jié)構(gòu)示意圖��。圖8為本發(fā)明實施例提供的一種接入控制設(shè)備實施例的結(jié)構(gòu)示意圖���。圖9為本發(fā)明實施例提供的一種接入認(rèn)證系統(tǒng)實施例的結(jié)構(gòu)示意圖���。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚����,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚��、完整地描述���,顯然��,所描述的實施例是本發(fā)明一部分實施例�����,而不是全部的實施例���。基于本發(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護(hù)的范圍�。本發(fā)明的主要思路是提出一種面向網(wǎng)絡(luò)接入實體IP地址中實體標(biāo)識符(Entity Identifier,以下簡稱ΕΙ)的接入認(rèn)證方法�����。以IPv6地址為例,IPv6地址是互聯(lián)網(wǎng)IPv6 協(xié)議使用的地址類型����,長度1 位。根據(jù)IETF的規(guī)定����,目前IPv6地址最多前64位可用于子網(wǎng)前綴的標(biāo)識,稱之為網(wǎng)絡(luò)前綴�,路由器根據(jù)網(wǎng)絡(luò)前綴選擇轉(zhuǎn)發(fā)路徑。EI的特征包括1) 全局唯一性�,EI唯一地標(biāo)識網(wǎng)絡(luò)接入實體,不隨接入位置和時間的變化而變化綁定信息的可驗證性���,EI分配者負(fù)責(zé)提供綁定在EI上的身份信息的查詢和驗證�����。本發(fā)明實施例通過在IPv6地址的后64位中攜帶網(wǎng)絡(luò)接入實體的EI�,使得可以基于IP地址標(biāo)識使用該 IP地址的網(wǎng)絡(luò)接入實體���。通過對IP地址中EI的驗證��,本發(fā)明實施例解決了現(xiàn)有的認(rèn)證方法存在的因網(wǎng)絡(luò)接入實體身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入實體進(jìn)行溯源審計的問題����,并為源IP地址驗證提供了支持��。圖1為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例一的流程示意圖�。如圖1所示,該方法包括步驟101�����、網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求���,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的EI �;這里的接入認(rèn)證請求的源IP即所述網(wǎng)絡(luò)接入設(shè)備的IP地址�����。這里的EI可以是網(wǎng)絡(luò)接入設(shè)備在接入網(wǎng)絡(luò)之前通過帶外機(jī)制分配得到的����,具體在分配時可以將該EI與網(wǎng)絡(luò)接入設(shè)備和/或網(wǎng)絡(luò)接入設(shè)備的使用者的身份信息綁定,本實施例對此不作限定�。應(yīng)用中����,網(wǎng)絡(luò)接入設(shè)備的IP地址通常還包含子網(wǎng)前綴����,請求子網(wǎng)前綴等接入?yún)?shù)是網(wǎng)絡(luò)接入設(shè)備接入互聯(lián)網(wǎng)的必要步驟,這里的網(wǎng)絡(luò)接入設(shè)備可以通過路由通告或動態(tài)主機(jī)設(shè)置協(xié)議 (Dynamic Host Configuration Protocol���,簡稱 DHCP)請求獲得所述子網(wǎng)前綴���。另外,網(wǎng)絡(luò)接入設(shè)備可以從廣播消息中獲取接入認(rèn)證服務(wù)器的地址��。步驟102���、接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息�����。若認(rèn)證應(yīng)答消息指示認(rèn)證通過���,則所述網(wǎng)絡(luò)接入設(shè)備可以接入網(wǎng)絡(luò),若認(rèn)證應(yīng)答消息指示認(rèn)證未通過��,則所述網(wǎng)絡(luò)接入設(shè)備無法接入網(wǎng)絡(luò)。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的 EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制��,使得無論接入環(huán)境和位置如何改變��,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變����,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題���。圖2為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例二的流程示意圖���。如圖2所示,該方法包括步驟201���、接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求����,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的EI ���;步驟202�、根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證���。這里的接入認(rèn)證服務(wù)器可以從給所述網(wǎng)絡(luò)接入設(shè)備分配該EI的第三方設(shè)備獲取所述EI對應(yīng)的授權(quán)信息���,具體的第三方設(shè)備與接入認(rèn)證服務(wù)器之間如何進(jìn)行授權(quán)信息的同步�,本實施例不作限定��。應(yīng)用中��,若認(rèn)證通過則接入認(rèn)證服務(wù)器可以向網(wǎng)絡(luò)接入設(shè)備返回指示認(rèn)證成功的認(rèn)證應(yīng)答消息���,并指示接入控制設(shè)備允許該網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)���;若認(rèn)證不通過,還可以在所述指示認(rèn)證失敗的認(rèn)證應(yīng)答消息中攜帶認(rèn)證失敗的錯誤代碼��,指示網(wǎng)絡(luò)接入設(shè)備由于何種原因認(rèn)證不通過���;本實施例對此不作限定���。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的 EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制,使得無論接入環(huán)境和位置如何改變�����,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題����。圖3為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例三的流程示意圖。如圖3所示�����,該方法包括
步驟301���、接收接入認(rèn)證服務(wù)器發(fā)送的注冊消息���,所述注冊消息包含網(wǎng)絡(luò)接入設(shè)備的EI ��;步驟302���、根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄�����,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)����;步驟303、向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息�����。這里的接入控制設(shè)備是所述網(wǎng)路接入設(shè)備接入網(wǎng)絡(luò)的必經(jīng)設(shè)備�,通常接入認(rèn)證請求也會先到達(dá)接入控制設(shè)備,接入控制設(shè)備識別出這是一個接入認(rèn)證請求后會將該接入認(rèn)證請求放行����,發(fā)到接入認(rèn)證服務(wù)器。應(yīng)用中�����,若步驟302成功執(zhí)行���,則步驟303中的注冊應(yīng)答消息指示注冊成功��,若步驟302未成功執(zhí)行��,則步驟303中的注冊應(yīng)答消息指示注冊失敗�, 進(jìn)一步地����,還可以在注冊應(yīng)答消息中反饋錯誤代碼�����,以便調(diào)試���。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的 EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制,使得無論接入環(huán)境和位置如何改變�����,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變�����,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題�。圖4為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例四的流程示意圖。如圖4所示����,該方法包括步驟401���、網(wǎng)絡(luò)接入設(shè)備獲取分配的EI和所述EI對應(yīng)的私鑰�����;這里的私鑰在分配所述EI時獲得的�。步驟402、所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)���,獲取子網(wǎng)前綴����;步驟403�、根據(jù)所述子網(wǎng)前綴和所述EI生成自身的IP地址;步驟404�����、生成接入認(rèn)證請求�,并根據(jù)所述私鑰對所述接入認(rèn)證請求進(jìn)行簽名,將所述簽名后的接入認(rèn)證請求發(fā)送給接入認(rèn)證服務(wù)器���;這里的接入認(rèn)證請求的源IP地址即為步驟403中生成的IP地址�����,也就是說�����,接入認(rèn)證請求的源IP地址包含所述EI���。步驟405�����、所述接入認(rèn)證服務(wù)器獲取所述接入認(rèn)證請求中的EI對應(yīng)的授權(quán)信息�����, 所述授權(quán)信息包含所述EI和與所述私鑰對應(yīng)的公鑰���;步驟406、所述接入認(rèn)證服務(wù)器根據(jù)所述授權(quán)信息對所述接入認(rèn)證請求進(jìn)行驗證�, 若驗證不通過則執(zhí)行步驟407,若驗證通過則執(zhí)行步驟408 �����;步驟407�、向所述網(wǎng)絡(luò)接入設(shè)備返回指示認(rèn)證失敗的認(rèn)證應(yīng)答消息�����,結(jié)束。步驟408��、生成所述網(wǎng)絡(luò)接入設(shè)備的注冊信息���,所述注冊信息包含所述EI �����;步驟409���、向接入控制設(shè)備發(fā)送所述注冊信息;這里通過所述注冊信息指示所述接入控制設(shè)備允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)�。
步驟410、所述接入控制設(shè)備根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄�����,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)���;步驟411��、向所述接入認(rèn)證服務(wù)器反饋指示注冊成功的注冊應(yīng)答消息����;步驟412、所述接入認(rèn)證服務(wù)器接收到所述注冊應(yīng)答消息后�,向所述網(wǎng)絡(luò)接入設(shè)備返回指示認(rèn)證成功的認(rèn)證應(yīng)答消息。為了對網(wǎng)絡(luò)接入設(shè)備的接入行為進(jìn)行更進(jìn)一步的控制�����,步驟408中的注冊信息除了 EI之外����,還可以包括所述網(wǎng)絡(luò)接入設(shè)備的接入有效時間、接入密鑰���、介質(zhì)接入控制 (Media Access Control�����,簡稱MAC)地址�、端口號中任何一種或兩種都包括����。對應(yīng)地,當(dāng)步驟408中的注冊信息包括接入有效時間���、接入密鑰���、MAC地址或端口號時,步驟410中的訪問控制記錄和步驟412中的認(rèn)證應(yīng)答消息中也相應(yīng)地包含接入有效時間�����、接入密鑰���、MAC地址或端口號�。應(yīng)用中���,接入注冊完成后�,網(wǎng)絡(luò)接入設(shè)備的EI已經(jīng)被添加在接入控制設(shè)備的訪問控制列表里�,攜帶該EI的數(shù)據(jù)包就可以經(jīng)由接入控制設(shè)備路由至外部網(wǎng)絡(luò)。在這種場景下����,還可以包括所述網(wǎng)絡(luò)接入設(shè)備發(fā)送數(shù)據(jù)報文,所述數(shù)據(jù)報文的源IP地址包含所述EI �����;所述接入控制設(shè)備接收所述數(shù)據(jù)報文,判斷所述訪問控制列表中是否有包含所述 EI的訪問控制記錄�����,若有則根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理�����,若沒有則丟棄所述數(shù)據(jù)報文����。當(dāng)然,若在步驟412之前執(zhí)行上述步驟����,則沒有對應(yīng)的訪問控制記錄,若在步驟 412之后����,則有對應(yīng)的訪問控制記錄。若所述訪問控制記錄中還包含接入有效時間�����、接入密鑰�、MAC地址或端口號���,則所述根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理包括對所述數(shù)據(jù)報文的進(jìn)一步驗證。舉例來說����,若訪問控制記錄中包含接入密鑰�,由于對應(yīng)地認(rèn)證應(yīng)答消息也包含該接入密鑰,這種情況下�����,網(wǎng)絡(luò)接入設(shè)備會根據(jù)該接入密鑰對數(shù)據(jù)報文進(jìn)行簽名后發(fā)出����,對應(yīng)地,所述接入控制設(shè)備接收到該數(shù)據(jù)報文后�,可以根據(jù)所述訪問控制記錄中的接入密鑰對所述數(shù)據(jù)報文的簽名進(jìn)行驗證,驗證通過后將所述數(shù)據(jù)報文發(fā)送出去��,較優(yōu)地還可以將所述簽名去除并將去除簽名的數(shù)據(jù)報文發(fā)送出去���。具體地�,所述接入控制設(shè)備可以采用密鑰相關(guān)的哈希運算消息認(rèn)證碼(keyed-Hash Message Authentication Code����,簡稱HMAC)方式對所述數(shù)據(jù)報文的簽名進(jìn)行驗證�。若是驗證不通過��,則丟棄所述數(shù)據(jù)報文�。若訪問控制記錄中包含MAC 地址或端口號,則所述接入網(wǎng)絡(luò)設(shè)備在接收到該數(shù)據(jù)報文后���,還可以獲取該數(shù)據(jù)報文的源 MAC地址或接收該數(shù)據(jù)報文的端口號�����,以和訪問控制記錄中的MAC地址或端口號進(jìn)行比對驗證���。若訪問控制記錄中包含接入有效時間,所述接入網(wǎng)絡(luò)設(shè)備在接收到該數(shù)據(jù)報文后還可以根據(jù)接收時間�����、訪問控制記錄中的接入有效時間以及該訪問控制記錄的生成時間��,判斷該網(wǎng)絡(luò)接入設(shè)備的接入有效時間是否過期����,若過期則丟棄該數(shù)據(jù)報文��,若未過期則放行該數(shù)據(jù)報文����。上述接入密鑰由接入認(rèn)證服務(wù)器生成���,是網(wǎng)絡(luò)接入設(shè)備和接入控制設(shè)備共享的接入密鑰���,可以提高網(wǎng)絡(luò)接入設(shè)備和接入控制設(shè)備間通信數(shù)據(jù)的安全性。通過所述接入有效時間�,可以控制網(wǎng)絡(luò)接入設(shè)備一次認(rèn)證通過后的接入時間,當(dāng)接入有效時間過期后網(wǎng)絡(luò)接入設(shè)備需要重新向接入認(rèn)證服務(wù)器請求接入�。具體的,重新請求接入的實現(xiàn)方式包括但不限于以下兩種1)若上次收到的接入注冊應(yīng)答消息中包含接入密鑰的話����,網(wǎng)絡(luò)接入設(shè)備可以使用所述接入密鑰對這次的接入認(rèn)證請求進(jìn)行簽名����,并將包含簽名的接入認(rèn)證請求發(fā)送給接入認(rèn)證服務(wù)器;2)私鑰簽名����,也就是采用EI的私鑰對接入認(rèn)證請求進(jìn)行簽名,并將包含簽名的接入認(rèn)證請求發(fā)送給接入認(rèn)證服務(wù)器�。重新請求接入認(rèn)證后即可以更新接入權(quán)限,為了接入安全性��,接入認(rèn)證服務(wù)器可以重新生成接入密鑰�����,然后分別通過步驟408中的注冊信息和步驟412中的認(rèn)證應(yīng)答消息向接入控制設(shè)備和網(wǎng)絡(luò)接入設(shè)備分發(fā)��。如果網(wǎng)絡(luò)接入設(shè)備沒有在所述接入有效時間過期之前重新向接入認(rèn)證 服務(wù)器發(fā)送接入認(rèn)證請求����,并成功跟新接入權(quán)限,接入認(rèn)證服務(wù)器也可以注銷該網(wǎng)絡(luò)接入設(shè)備的接入權(quán)限���,并通知接入控制設(shè)備將該網(wǎng)絡(luò)接入設(shè)備的EI對應(yīng)的訪問控制記錄從訪問控制列表中刪除���。具體地���,接入認(rèn)證服務(wù)器可以判斷所述網(wǎng)絡(luò)接入設(shè)備是否在所述接入有效時間過期之前重新進(jìn)行了認(rèn)證,若未重新認(rèn)證則向所述接入控制設(shè)備發(fā)送包含所述EI的權(quán)限過期消息����,以指示所述接入控制設(shè)備拒絕所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò);對應(yīng)地���,接入控制設(shè)備接收所述接入認(rèn)證請求發(fā)送的權(quán)限過期消息��,所述權(quán)限過期消息包含所述EI ;根據(jù)所述權(quán)限過期消息刪除包含所述EI的所述訪問控制記錄����。這樣的話,接入認(rèn)證服務(wù)器實際上維護(hù)了接入網(wǎng)內(nèi)有效IP地址的數(shù)據(jù)庫�����,包括IP地址的EI部分��,IP地址前綴部分(接入位置) 以及該IP地址的有效時間(EI的接入有效時間)以及其他IP地址信息。另外����,當(dāng)注冊信息中包含接入密鑰時,為了保證接入密鑰的機(jī)密性�,步驟408接入認(rèn)證服務(wù)器還可以通過預(yù)先建立安全的信息通道將包含所述接入密鑰的注冊信息發(fā)送給所述接入控制設(shè)備。對應(yīng)地���,步驟412中��,接入認(rèn)證服務(wù)器還可以以密文的形式將接入密鑰攜帶在認(rèn)證應(yīng)答消息中發(fā)給網(wǎng)絡(luò)接入設(shè)備����。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的 EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制�����,使得無論接入環(huán)境和位置如何改變�,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題�。進(jìn)一步地,通過 EI的注冊機(jī)制���,接入控制設(shè)備不僅可以確定網(wǎng)絡(luò)接入實體的身份���,還可以將每個數(shù)據(jù)包同其發(fā)送源關(guān)聯(lián)起來���,可以有效防止數(shù)據(jù)包的源地址偽造。圖5為本發(fā)明實施例提供的一種接入認(rèn)證方法實施例五的信令流程圖����。如圖所示,該方法包括步驟501�����、網(wǎng)絡(luò)接入設(shè)備接收第一跳路由器發(fā)送的接入控制信息通告�;這里的網(wǎng)絡(luò)接入設(shè)備可以是接入網(wǎng)絡(luò)的主機(jī)等設(shè)備。接入控制信息通告中包含接入認(rèn)證服務(wù)器的IP地址��。步驟502����、網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求�����;這里的接入認(rèn)證請求包含所述網(wǎng)絡(luò)接入設(shè)備的EI和私鑰對該請求的簽名���;步驟503��、接入認(rèn)證服務(wù)器對網(wǎng)絡(luò)接入設(shè)備進(jìn)行身份驗證��,并選擇相關(guān)的接入?yún)?shù)���;
這里的接入?yún)?shù)可以包含接入有效時間���、接入密鑰等。步驟504�、接入認(rèn)證服務(wù)器向接入控制設(shè)備進(jìn)行所述網(wǎng)絡(luò)接入設(shè)備的接入注冊;相當(dāng)于將所述接入網(wǎng)絡(luò)設(shè)備的注冊信息發(fā)給接入控制設(shè)備�,所述注冊信息包括網(wǎng)絡(luò)接入設(shè)備的EI,可選地還包括接入認(rèn)證服務(wù)器選擇的上述接入?yún)?shù)�����。步驟505���、接入控制設(shè)備存儲所述網(wǎng)絡(luò)接入設(shè)備的注冊信息�����;步驟506���、接入控制設(shè)備向接入認(rèn)證服務(wù)器返回注冊應(yīng)答消息�;步驟507���、接入認(rèn)證服務(wù)器存儲所述網(wǎng)絡(luò)接入設(shè)備的注冊信息�;步驟508�、接入認(rèn)證服務(wù)器向網(wǎng)絡(luò)接入設(shè)備返回認(rèn)證應(yīng)答消息。這里的認(rèn)證應(yīng)答消息包含EI��,可選地還包括接入有效時間��、接入密鑰等�����。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的 EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制��,使得無論接入環(huán)境和位置如何改變�����,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變����,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題�。圖6為本發(fā)明實施例提供的一種網(wǎng)絡(luò)接入設(shè)備實施例的結(jié)構(gòu)示意圖。如圖6所示����, 該設(shè)備包括認(rèn)證請求模塊61�����,用于向接入認(rèn)證服務(wù)器發(fā)送包含接入認(rèn)證請求�����,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的EI �;第一接收模塊62�,用于接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息。在本發(fā)明的一個可選的實施例中����,接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息中包含接入密鑰,則該設(shè)備還包括簽名模塊63��,用于用所述接入密鑰對數(shù)據(jù)報文進(jìn)行簽名����;第一發(fā)送模塊64���,用于發(fā)送所述簽名后的數(shù)據(jù)報文。在本發(fā)明的又一可選的實施例中��,接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息中包含接入有效時間��,則認(rèn)證請求模塊61還用于��,若所述認(rèn)證應(yīng)答消息包含接入有效時間���,則在所述接入有效時間過期之前���,重新向所述接入認(rèn)證服務(wù)器發(fā)送所述接入認(rèn)證請求。應(yīng)用中����,該設(shè)備還可以包括前綴獲取模塊65,用于通過路由通告或DHCP請求獲得子網(wǎng)前綴�����;地址生成模塊66��,用于根據(jù)所述子網(wǎng)前綴和所述EI生成所述源IP地址。在本發(fā)明的又一可選的實施例中���,為了使對網(wǎng)絡(luò)接入設(shè)備的身份驗證更可靠,認(rèn)證請求模塊61具體用于�,獲取所述EI的私鑰;生成所述接入認(rèn)證請求����,并根據(jù)所述私鑰對所述接入認(rèn)證請求進(jìn)行簽名。本實施例的具體實現(xiàn)參照本發(fā)明實施例提供的一種接入認(rèn)證方法實施例一����、四或五。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制����,使得無論接入環(huán)境和位置如何改變,網(wǎng)絡(luò)接入設(shè)備 IP地址中包含的EI不會變����,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題。圖7為本發(fā)明實施例提供的一種接入認(rèn)證服務(wù)器實施例的結(jié)構(gòu)示意圖���。如圖7所示��,該服務(wù)器包括
第二接收模塊71��,用于接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求��,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的EI ���;認(rèn)證模塊72�����,用于根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證�。在本發(fā)明的一個可選的實施例中��,還包括注冊模塊73��,用于在認(rèn)證通過后���,生成所述網(wǎng)絡(luò)接入設(shè)備的注冊信息�,所述注冊信息包含所述EI ��;第二發(fā)送模塊74����,用于向接入控制設(shè)備發(fā)送所述注冊消息���,以指示所述接入控制設(shè)備允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò);第二接收模塊71還用于��,接收所述接入控制設(shè)備返回的注冊應(yīng)答消息�;第二發(fā)送模塊74還用于,向所述網(wǎng)絡(luò)接入設(shè)備發(fā)送認(rèn)證應(yīng)答消息���,所述認(rèn)證應(yīng)答消息包含所述注冊消息。這里的注冊應(yīng)答消息指示注冊成功�����,認(rèn)證應(yīng)答消息指示認(rèn)證通過��。另外�,若所述注冊應(yīng)答消息指示注冊 失敗,則第二發(fā)送模塊74向網(wǎng)絡(luò)接入設(shè)備發(fā)的認(rèn)證應(yīng)答消息指示認(rèn)證失敗����,也就相應(yīng)地不包含所述注冊信息。在本發(fā)明的又一可選的實施例中��,所述接入認(rèn)證請求包含所述EI對應(yīng)的私鑰對所述接入認(rèn)證請求的簽名����,認(rèn)證模塊72具體用于�,獲取所述EI對應(yīng)的授權(quán)信息����,所述授權(quán)信息包含所述EI和與所述私鑰對應(yīng)的公鑰;根據(jù)所述授權(quán)信息對所述接入認(rèn)證請求進(jìn)行驗證�。在本發(fā)明的又一可選的實施例中,所述注冊消息還包含接入有效時間����,該服務(wù)器還包括權(quán)限更新模塊75,用于判斷所述網(wǎng)絡(luò)接入設(shè)備是否在所述接入有效時間過期之前重新進(jìn)行了認(rèn)證���,若未重新認(rèn)證則向所述接入控制設(shè)備發(fā)送包含所述EI的權(quán)限過期消息��, 以指示所述接入控制設(shè)備拒絕所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)�。本實施例的具體實現(xiàn)參照本發(fā)明實施例提供的一種接入認(rèn)證方法實施例二����、四或五。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制����,使得無論接入環(huán)境和位置如何改變�����,網(wǎng)絡(luò)接入設(shè)備 IP地址中包含的EI不會變�,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題����。圖8為本發(fā)明實施例提供的一種接入控制設(shè)備實施例的結(jié)構(gòu)示意圖。如圖8所示�, 該設(shè)備包括第三接收模塊81,用于接收接入認(rèn)證服務(wù)器發(fā)送的注冊信息���,所述注冊信息包含網(wǎng)絡(luò)接入設(shè)備的EI ;訪問控制模塊82����,用于根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)���;第三發(fā)送模塊83��,用于向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息�。在本發(fā)明的一個可選的實施例中�,第三接收模塊81還用于�����,接收所述網(wǎng)絡(luò)接入設(shè)備發(fā)送的數(shù)據(jù)報文���,所述數(shù)據(jù)報文的源IP地址包含所述EI ;對應(yīng)地�����,該設(shè)備還包括
報文處理模塊84����,用于查找所述訪問控制列表中是否有包含所述EI的訪問控制記錄,若有則根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理���,若沒有則丟棄所述數(shù)據(jù)報文��。 在本發(fā)明的又一可選的實施例中����,若所述注冊信息還包含接入密鑰�����,訪問控制模塊82具體用于,根據(jù)所述注冊信息生成包含所述EI和所述接入密鑰的訪問控制記錄����;報文處理模塊84具體用于,查找所述訪問控制列表中是否有包含所述EI的訪問控制記錄�����,若有則根據(jù)所述訪問控制記錄中的所述接入密鑰對所述數(shù)據(jù)報文進(jìn)行驗證���,驗證通過后將所述數(shù)據(jù)報文發(fā)送出去�。在本發(fā)明的又一可選的實施例中����,若所述注冊信息還包含接入有效時間����,訪問控制模塊82具體用于,根據(jù)所述注冊信息生成包含所述EI和所述接入有效時間的訪問控制記錄����;報文處理模塊84具體用于,判斷所述接入有效時間是否過期��,若未過期則發(fā)送所述數(shù)據(jù)報文,若過期則丟棄所述數(shù)據(jù)報文�。進(jìn)一步地,第三接收模塊81還用于�����,接收所述接入認(rèn)證服務(wù)器發(fā)送的包含所述EI 的權(quán)限過期消息�;訪問控制模塊82還用于,根據(jù)所述權(quán)限過期消息刪除包含所述EI和所述接入有效時間的所述訪問控制記錄����。在本發(fā)明的又一可選的實施例中,第三接收模塊81還用于���,接收所述網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求��;第三發(fā)送模塊83還用于�,將所述接入認(rèn)證請求發(fā)送給所述認(rèn)證服務(wù)器����。本實施例的具體實現(xiàn)參照本發(fā)明實施例提供的一種接入認(rèn)證方法實施例三、四或五�����。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制,使得無論接入環(huán)境和位置如何改變����,網(wǎng)絡(luò)接入設(shè)備 IP地址中包含的EI不會變,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題���。圖9為本發(fā)明實施例提供的一種接入認(rèn)證系統(tǒng)實施例的結(jié)構(gòu)示意圖�。如圖9所示����,該系統(tǒng)包括依次連接的網(wǎng)絡(luò)接入設(shè)備91、接入控制設(shè)備92和接入認(rèn)證服務(wù)器93���,其中��,網(wǎng)絡(luò)接入設(shè)備91為如本發(fā)明實施例提供的一種網(wǎng)絡(luò)接入設(shè)備實施例所述的設(shè)備����,接入控制設(shè)備92為如本發(fā)明實施例提供的一種接入控制設(shè)備實施例所述的設(shè)備�,接入認(rèn)證服務(wù)器93為如本發(fā)明實施例提供的一種接入認(rèn)證服務(wù)器實施例所述的服務(wù)器�。本實施例的具體實現(xiàn)參照本發(fā)明實施例提供的一種接入認(rèn)證方法實施例一至五。 本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制����,使得無論接入環(huán)境和位置如何改變����,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變��,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題����。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中�,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質(zhì)包括R0M����、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改����,或者對其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍�。
權(quán)利要求
1.一種接入認(rèn)證方法,其特征在于��,包括網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求�����,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI �;接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求之前還包括獲取所述EI和私鑰�����;生成所述接入認(rèn)證請求����,并根據(jù)所述私鑰對所述接入認(rèn)證請求進(jìn)行簽名。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于�,若所述認(rèn)證應(yīng)答消息中包含接入密鑰,則所述接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息之后還包括用所述接入密鑰對數(shù)據(jù)報文進(jìn)行簽名���;發(fā)送所述簽名后的數(shù)據(jù)報文�����。
4.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于,若所述認(rèn)證應(yīng)答消息中包含接入有效時間���,則所述接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息之后還包括在所述接入有效時間過期之前���,重新向所述接入認(rèn)證服務(wù)器發(fā)送所述接入認(rèn)證請求。
5.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于,所述網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求之前還包括根據(jù)子網(wǎng)前綴和所述EI生成所述源IP地址���。
6.一種接入認(rèn)證方法��,其特征在于���,包括接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ���;根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證�����。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于�����,在認(rèn)證通過后�����,所述方法還包括生成所述網(wǎng)絡(luò)接入設(shè)備的注冊信息,所述注冊信息包含所述EI ���;向接入控制設(shè)備發(fā)送所述注冊消息,以指示所述接入控制設(shè)備允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)��;接收所述接入控制設(shè)備返回的注冊應(yīng)答消息�����;向所述網(wǎng)絡(luò)接入設(shè)備發(fā)送認(rèn)證應(yīng)答消息�,所述認(rèn)證應(yīng)答消息包含所述注冊消息。
8.根據(jù)權(quán)利要求6或7所述的方法�����,其特征在于��,所述接入認(rèn)證請求包含私鑰對所述接入認(rèn)證請求的簽名����,所述根據(jù)所述源IP地址中的實體標(biāo)識符對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證具體包括獲取所述EI對應(yīng)的授權(quán)信息,所述授權(quán)信息包含所述EI和與所述私鑰對應(yīng)的公鑰���;根據(jù)所述授權(quán)信息對所述接入認(rèn)證請求進(jìn)行驗證����。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于�,所述注冊消息包含接入有效時間,所述向所述網(wǎng)絡(luò)接入設(shè)備發(fā)送所述認(rèn)證應(yīng)答消息之后還包括判斷所述網(wǎng)絡(luò)接入設(shè)備是否在所述接入有效時間過期之前重新進(jìn)行了認(rèn)證�,若未重新認(rèn)證則向所述接入控制設(shè)備發(fā)送包含所述實體標(biāo)識符的權(quán)限過期消息,以指示所述接入控制設(shè)備拒絕所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)��。
10.一種接入認(rèn)證方法����,其特征在于,包括接收接入認(rèn)證服務(wù)器發(fā)送的注冊消息���,所述注冊消息包含網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ����;根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄����,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò); 向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息�����。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于�,還包括接收所述網(wǎng)絡(luò)接入設(shè)備發(fā)送的數(shù)據(jù)報文,所述數(shù)據(jù)報文的源IP地址包含所述EI �����; 查找所述訪問控制列表中是否有包含所述EI的訪問控制記錄��,若有則根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理���,若沒有則丟棄所述數(shù)據(jù)報文。
12.根據(jù)權(quán)利要求11所述的方法�,其特征在于,若所述注冊消息還包含接入密鑰����,則所述訪問控制記錄也包含所述接入密鑰,所述根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理具體包括根據(jù)所述訪問控制記錄中的所述接入密鑰對所述數(shù)據(jù)報文進(jìn)行驗證�,若驗證通過則發(fā)送所述數(shù)據(jù)報文,若驗證不通過則丟棄所述數(shù)據(jù)報文��。
13.根據(jù)權(quán)利要求11所述的方法��,其特征在于,若所述注冊消息還包含接入有效時間���, 則所述訪問控制記錄也包含所述接入有效時間����,所述根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理具體包括判斷所述接入有效時間是否過期�����,若未過期則發(fā)送所述數(shù)據(jù)報文����,若過期則丟棄所述數(shù)據(jù)報文。
14.根據(jù)權(quán)利要求13所述的方法�����,其特征在于����,所述向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息之后還包括接收所述接入認(rèn)證請求發(fā)送的權(quán)限過期消息,所述權(quán)限過期消息包含所述EI ���; 根據(jù)所述權(quán)限過期消息刪除包含所述EI的所述訪問控制記錄��。
15.一種網(wǎng)絡(luò)接入設(shè)備���,其特征在于�,包括認(rèn)證請求模塊���,用于向接入認(rèn)證服務(wù)器發(fā)送包含接入認(rèn)證請求�����,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ���;第一接收模塊�����,用于接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息��。
16.根據(jù)權(quán)利要求15所述的設(shè)備�,其特征在于,所述認(rèn)證請求模塊具體用于��, 獲取所述EI和私鑰�;生成所述接入認(rèn)證請求�,并根據(jù)所述私鑰對所述接入認(rèn)證請求進(jìn)行簽名���。
17.根據(jù)權(quán)利要求15或16所述的設(shè)備�,其特征在于���,若所述認(rèn)證應(yīng)答消息中包含接入密鑰�,則還包括簽名模塊�����,用于用所述接入密鑰對數(shù)據(jù)報文進(jìn)行簽名�����; 第一發(fā)送模塊����,用于發(fā)送所述簽名后的數(shù)據(jù)報文。
18.根據(jù)權(quán)利要求15或16所述的設(shè)備�,其特征在于,若所述認(rèn)證應(yīng)答消息中包含接入有效時間��,則所述認(rèn)證請求模塊具體用于,在所述接入有效時間過期之前��,重新向所述接入認(rèn)證服務(wù)器發(fā)送所述接入認(rèn)證請求���。
19.根據(jù)權(quán)利要求15或16所述的設(shè)備��,其特征在于�,還包括 地址生成模塊�����,用于根據(jù)子網(wǎng)前綴和所述EI生成所述源IP地址����。
20.一種接入認(rèn)證服務(wù)器,其特征在于�,包括第二接收模塊��,用于接收網(wǎng)絡(luò)接入設(shè)備發(fā)送的接入認(rèn)證請求�,所述接入認(rèn)證請求的源 IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ;認(rèn)證模塊���,用于根據(jù)所述源IP地址中的EI對所述網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證����。
21.根據(jù)權(quán)利要求20所述的服務(wù)器,其特征在于�����,還包括注冊模塊�����,用于在認(rèn)證通過后���,生成所述網(wǎng)絡(luò)接入設(shè)備的注冊信息�����,所述注冊信息包含所述EI ����;第二發(fā)送模塊����,用于向接入控制設(shè)備發(fā)送所述注冊消息,以指示所述接入控制設(shè)備允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)��;所述第二接收模塊還用于,接收所述接入控制設(shè)備返回的注冊應(yīng)答消息���; 所述第二發(fā)送模塊還用于����,向所述網(wǎng)絡(luò)接入設(shè)備發(fā)送認(rèn)證應(yīng)答消息��,所述認(rèn)證應(yīng)答消息包含所述注冊消息�。
22.根據(jù)權(quán)利要求21或22所述的服務(wù)器,其特征在于��,所述接入認(rèn)證請求包含私鑰對所述接入認(rèn)證請求的簽名����,所述認(rèn)證模塊具體用于,獲取所述EI對應(yīng)的授權(quán)信息�����,所述授權(quán)信息包含所述EI和與所述私鑰對應(yīng)的公鑰��; 根據(jù)所述授權(quán)信息對所述接入認(rèn)證請求進(jìn)行驗證����。
23.根據(jù)權(quán)利要求21所述的服務(wù)器,其特征在于�����,若所述注冊消息包含接入有效時間�����, 則還包括權(quán)限更新模塊���,用于判斷所述網(wǎng)絡(luò)接入設(shè)備是否在所述接入有效時間過期之前重新進(jìn)行了認(rèn)證��,若未重新認(rèn)證則向所述接入控制設(shè)備發(fā)送包含所述EI的權(quán)限過期消息��,以指示所述接入控制設(shè)備拒絕所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)��。
24.一種接入控制設(shè)備����,其特征在于�,包括第三接收模塊,用于接收接入認(rèn)證服務(wù)器發(fā)送的注冊信息�����,所述注冊信息包含網(wǎng)絡(luò)接入設(shè)備的實體標(biāo)識符EI ;訪問控制模塊���,用于根據(jù)所述注冊信息生成包含所述EI的訪問控制記錄�����,將所述訪問控制記錄寫入訪問控制列表以允許所述網(wǎng)絡(luò)接入設(shè)備接入網(wǎng)絡(luò)�����; 第三發(fā)送模塊�����,用于向所述接入認(rèn)證服務(wù)器發(fā)送注冊應(yīng)答消息�。
25.根據(jù)權(quán)利要求M所述的設(shè)備��,其特征在于�����,所述第三接收模塊還用于�,接收所述網(wǎng)絡(luò)接入設(shè)備發(fā)送的數(shù)據(jù)報文,所述數(shù)據(jù)報文的源IP地址包含所述EI ��;還包括報文處理模塊��,用于查找所述訪問控制列表中是否有包含所述EI的訪問控制記錄���,若有則根據(jù)所述訪問控制記錄對所述數(shù)據(jù)報文進(jìn)行處理�,若沒有則丟棄所述數(shù)據(jù)報文���。
26.根據(jù)權(quán)利要求25所述的設(shè)備���,其特征在于,若所述注冊信息還包含接入密鑰�,則所述訪問控制模塊具體用于,根據(jù)所述注冊信息生成包含所述EI和所述接入密鑰的訪問控制記錄����;所述報文處理模塊具體用于,根據(jù)所述訪問控制記錄中的所述接入密鑰對所述數(shù)據(jù)報文進(jìn)行驗證����,若驗證通過則發(fā)送所述數(shù)據(jù)報文,若驗證不通過則丟棄所述數(shù)據(jù)報文�����。
27.根據(jù)權(quán)利要求25所述的設(shè)備,其特征在于�,若所述注冊信息還包含接入有效時間,則所述訪問控制模塊具體用于��,根據(jù)所述注冊信息生成包含所述EI和所述接入有效時間的訪問控制記錄���;所述報文處理模塊具體用于�����,判斷所述接入有效時間是否過期��,若未過期則發(fā)送所述數(shù)據(jù)報文���,若過期則丟棄所述數(shù)據(jù)報文。
28.根據(jù)權(quán)利要求27所述的設(shè)備�,其特征在于,所述第三接收模塊還用于���,接收所述接入認(rèn)證服務(wù)器發(fā)送的包含所述EI的權(quán)限過期消息�;所述訪問控制模塊還用于���,根據(jù)所述權(quán)限過期消息刪除包含所述EI的所述訪問控制記錄����。
29.一種接入認(rèn)證系統(tǒng),其特征在于��,包括依次連接的如權(quán)利要求15 19任一所述的網(wǎng)絡(luò)接入設(shè)備���、如權(quán)利要求M 28任一所述的接入控制設(shè)備和如權(quán)利要求20 23任一所述的接入認(rèn)證服務(wù)器。
全文摘要
本發(fā)明實施例提供一種接入認(rèn)證方法�、設(shè)備、服務(wù)器及系統(tǒng)��。方法包括網(wǎng)絡(luò)接入設(shè)備向接入認(rèn)證服務(wù)器發(fā)送接入認(rèn)證請求�,所述接入認(rèn)證請求的源IP地址包含所述網(wǎng)絡(luò)接入設(shè)備的EI;接收所述接入認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答消息��。本發(fā)明實施例通過網(wǎng)絡(luò)接入設(shè)備IP地址中包括的唯一標(biāo)識網(wǎng)絡(luò)接入設(shè)備身份的EI對網(wǎng)絡(luò)接入設(shè)備進(jìn)行認(rèn)證以及接入控制�����,使得無論接入環(huán)境和位置如何改變��,網(wǎng)絡(luò)接入設(shè)備IP地址中包含的EI不會變����,進(jìn)而避免了現(xiàn)有的認(rèn)證方法中存在的因網(wǎng)絡(luò)接入設(shè)備身份信息的表現(xiàn)形式發(fā)生變化而難以對網(wǎng)絡(luò)接入設(shè)備進(jìn)行溯源審計的問題��。
文檔編號H04L29/12GK102255916SQ20111021088
公開日2011年11月23日 申請日期2011年7月26日 優(yōu)先權(quán)日2011年7月26日
發(fā)明者沈爍, 王偉, 王利明, 田野, 馬迪 申請人:中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心