專利名稱:一種多主機網(wǎng)絡的aaa架構(gòu)及認證方法
技術(shù)領域:
本發(fā)明涉及移動通信技術(shù)�,特別涉及寬帶無線接入技術(shù),具體的講是一種多主機網(wǎng)絡的AAA架構(gòu)及認證方法�����。
背景技術(shù):
AAA是指認證(Authentication)���,授權(quán)(Authorization)���,計費(Accounting)���。運營商通過AAA架構(gòu)對認證用戶身份后,根據(jù)用戶開戶時申請的服務類別授予相應的權(quán)限��。當用戶使用網(wǎng)絡資源時��,AAA系統(tǒng)中的相應的設備統(tǒng)計用戶占用的資源��,并收取相應的費用�����。
圖1為基于移動站(MSMobile Station)的WiMAX網(wǎng)絡架構(gòu)�,MS通過R1參考點與接入服務網(wǎng)絡(ASN,ccess Service Network)中的BS(Base Station����,圖中未示)連接����,以連接到ASN,R1采用802.16e無線傳送技術(shù)�����。ASN與拜訪地網(wǎng)絡服務提供商(V-NSP,Visited-Network Service Provider)的連接服務網(wǎng)絡(CSN�����,Connectivity Service Network)間通過R3參考點連接��,V-NSP的CSN與歸屬地網(wǎng)絡服務提供商(H-NSP���,Home-Network Service Provider)的CSN間通過R5參考點連接���。
RFC2094 AAA授權(quán)框架提供了三種配置AAA框架模型,包括代理順序/模型��、拉順序/模型�、推順序/模型。三種模型的主要區(qū)別在于①請求方與認證服務器間的通信方式②密鑰和策略等控制消息如何配置到承載面設備�。WiMAX論壇建議采用拉順序/模型,定義圖1中所示的WiMAX系統(tǒng)的AAA架構(gòu)���,如圖2-5所示圖2為不兼容傳統(tǒng)CSN的非漫游AAA架構(gòu)���。運營商(NSP�����,Network ServiceProvider)分割為接入服務網(wǎng)絡(ASN)和連接服務網(wǎng)絡(CSN)�����,ASN的業(yè)務設備(Service Equipment)則成為一個網(wǎng)絡接入服務器(NAS����,Network Access Server)��。CSN包括一個或多個AAA Server(服務器)(圖2未示)����。AAA服務器支持三方認證機制-“申請者(Supplicant)”,“認證者(Authenticator)”和“認證服務器(Authentication Server)”�。三方認證機制可支持多種基于EAP協(xié)議的認證方法,如EAP-TLS���,EAP-TTLS�,PEAP���,EAP-SIM�����,EAP-AKA等���,可以支持強壯的密鑰推導方法。
在圖2的AAA架構(gòu)中����,MS為申請者;NAS的業(yè)務設備用于實現(xiàn)認證者���;AAA服務器為認證服務器��。其中��,ASN包括一個或多個網(wǎng)絡接入服務器����,即���,ASN可以包括一個或多個的多個認證者/AAA客戶(client)����。NAS與AAA服務器間采用AAA協(xié)議,AAA協(xié)議包括了Dimeter和RADIUS��。
當移動用戶站連接NAS發(fā)出接入網(wǎng)絡請求��,NAS收集移動用戶站發(fā)出的接入認證請求����,將接入認證請求傳送給CSN的AAA服務器。AAA服務器經(jīng)過認證后向NAS出允許或者拒絕信息�,若認證成功,則允許信息中還包含授權(quán)信息���,同時啟動相關的計費功能���。NAS收到AAA服務器送來的響應后,通知移動用戶站允許接入或者拒絕接入�����。
圖3為兼容傳統(tǒng)CSN的非漫游AAA架構(gòu)中����,由于運營商的連接服務網(wǎng)絡屬于傳統(tǒng)的NSP����,認證和授權(quán)后端不兼容AAA協(xié)議����。因此NAS傳送給CSN的認證請求需要通過CSN中增加的互聯(lián)網(wǎng)關(IWGInterwork Gateway)��,將AAA協(xié)議和屬性映射到傳統(tǒng)運營商的特定協(xié)議和屬性后��,執(zhí)行認證��、授權(quán)�����。運營商的允許和拒絕消息再通過IWG映射為AAA協(xié)議��,傳送給NAS��。
圖4與圖5分別為不兼容CSN和兼容CSN的漫游AAA架構(gòu)�,在圖4與圖5中,V-NSP中AAA服務器充當AAA代理器(AAA Proxy)���,將NAS發(fā)送的認證請求傳遞到H-NSP的AAA服務器�����。當V-NSP的AAA Proxy接收到來自H-NSP的CSN的允許或拒絕消息時��,將其發(fā)送給傳送給NAS�����。在漫游情況下���,NAS和AAA服務器之間可能存在一個或多個AAA經(jīng)理和AAA代理��。但是���,AAA會話總存在于NAS和AAA服務器之間,而提供基于NAI域路由管道的AAA經(jīng)理是可選的���。
移動用戶站(MS)的認證(Authentication)包括設備認證和用戶認證兩個部分���。MS執(zhí)行認證時,可以設備認證和用戶認證都進行��;或只進行設備認證�、或只進行MS的用戶認證���。當設備認證和用戶認證都進行時,MS的設備認證先于用戶認證執(zhí)行�����。若MS設備認證采用數(shù)字證書��,如X.509���,即采用支持數(shù)字證書的EAP方法,如EAP-TLS����。MS為避免CSN的干預,縮短設備認證的往返時延�����,MS的設備認證執(zhí)行三方認證時�,AAA架構(gòu)中的認證服務器與認證者合并,MS以MAC地址為設備標志�����,在ASN的NAS處進行設備認證,而不終結(jié)于CSN��。
若MS的設備認證采用預共享密鑰(PSK)��,即采用基于PSK的EAP方法執(zhí)行設備認證�����,如EAP PSK�����。MS的設備認證運行于G-Host和V-CSN/H-CSN之間����,MS設備認證執(zhí)行三方認證時,MS采用網(wǎng)絡接入標識(NAINetwork AccessIdentity)作為設備標識�����,當MS接入本地網(wǎng)絡時���,MS根據(jù)NAI����,通過V-CSN中AAA代理,向H-CSN中AAA服務器請求認證���。
MS與ASN中的NAS���、以及AAA服務器執(zhí)行MS的三方認證時,如果MS的設備認證和用戶認證終結(jié)于不同認證服務器(包括終結(jié)不同CSN的AAA服務器或終結(jié)于同一CSN的不同AAA服務器)�����,則采用Double EAP模式進行認證�;如果MS的設備認證和用戶認證終結(jié)于同一認證服務器�,則MS采用Double EAP模式,或采用Single EAP模式將的設備認證和用戶認證聯(lián)合進行��;如果只進行MS的設備認證或用戶認證時�����,采用Single EAP模式���。
下面����,以MS的用戶認證協(xié)議棧對認證過程進行說明,如圖6所示�,MS為申請者,ASN的NAS為認證者����,CSN的AAA服務器為認證服務器,BS為認證中轉(zhuǎn)����,其它的AAA代理/經(jīng)理在漫游狀態(tài)下可選。MS用戶認證的EAP報文認證終結(jié)于AAA服務器���。MS與BS間的EAP報文承載在PKMv2��,(簡稱EAPoP)通過802.16的空中接口傳遞至BS�。PKMv2同樣支持三方認證機制及多種EAP認證方法�����。PKMv2由IEEE802.16-2004和802.16e用可擴展認證協(xié)議(EAP)規(guī)定����,用于支持用戶認證和設備授權(quán)。IEEE802.16-2004和802.16e還用EAP規(guī)定了PKMv1,只提供對設備認證授權(quán)的支持��,可支持移動網(wǎng)絡中的固定用戶�����。BS與認證者間的EAP報文承載在認證中轉(zhuǎn)協(xié)議����,通過BS與ASN間鏈路傳遞至ASN。而ASN的NAS為認證者����,NAS與AAA服務器間的EAP報文承載在AAA協(xié)議上,再將AAA報文承載在UDP/IP協(xié)議等傳輸層協(xié)議上傳遞到CSN的AAA服務器上進行用戶信息驗證���。
圖7與圖8為MS在認證過程中,采用EAP-TLS認證方法進行設備認證的流程圖��。圖7中���,MS的設備認證與用戶認證都執(zhí)行認證�,MS采用Double EAP模式�。MS先執(zhí)行設備認證,由于認證服務器與認證者合并���,MS設備認證終結(jié)于ASN MS設備認證結(jié)束后����,MS執(zhí)行用戶認證,并且用戶認證終結(jié)于CSN���。圖8中���,MS只執(zhí)行設備認證,MS的設備認證終結(jié)于ASN后�����,MS設備認證結(jié)束后��,ASN將MS的設備標識(MAC)承載AAA協(xié)議上��,傳遞至CSN����,告知AAA服務器MS設備認證已通過,則AAA服務器可進一步對ASN授權(quán)允許MS接入相應的業(yè)務����。
圖9與圖10為MS在認證過程中���,采用EAP-PSK認證方法進行設備認證的流程圖。圖9中MS的設備認證與用戶認證都執(zhí)行認證�����,MS采用Double EAP模示����,MS的設備認證與用戶認證終結(jié)于相同的認證服務器。圖10中����,MS的設備認證與用戶認證終結(jié)于同一AAA服務器,MS采用Single EAP模示���,將MS設備認證和用戶認證聯(lián)合進行���,終結(jié)于CSN的流程圖�����。
現(xiàn)WiMAX論壇定義了一種基于網(wǎng)關設備/網(wǎng)橋設備的多主機網(wǎng)絡,在網(wǎng)絡中�,網(wǎng)關設備/網(wǎng)橋設備可以支持多個主機設備。如圖11所示�����,多主機WiMAX網(wǎng)絡中����,采用網(wǎng)關設備的網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站(G-RS/G-MS)提供多主機(Multiple Hosts)支持,若采用網(wǎng)橋設備提供Multiple Hosts支持�,則可以使用網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站代替圖11中的G-RS/G-MS。圖11中��,主機設備為網(wǎng)關主機(G-Host)�����,G-RS/G-MS通過第一接口連接到多個網(wǎng)關主機��,G-RS/G-MS通過第二接口與BS(圖中未示)連接�,以連接到ASN;其中����,第一接口為G-interface接口��,G-interface采用802.3�、802.16或802.11傳送技術(shù)��;第二接口為R1接口���,R1采用802.16e無線傳送技術(shù)��。ASN和CSN間通過R3參考點連接���,NAP+V-NSP的CSN與H-NSP的CSN間通過R5參考點連接。
由于圖11的WiMAX網(wǎng)絡中增加了網(wǎng)關設備/網(wǎng)橋設備和主機設備兩類網(wǎng)元�����,而現(xiàn)有的AAA架構(gòu)和認證方法只是針對原有網(wǎng)絡中MS認證���。因此需要一種新的AAA架構(gòu)及相應的認證方法��,支持多主機WiMAX網(wǎng)絡中對網(wǎng)關設備/網(wǎng)橋設備與主機設備的認證����。
發(fā)明內(nèi)容
為解決上述問題�����,本發(fā)明提供了一種支持多主機網(wǎng)絡的AAA架構(gòu)及認證方法���,可以在AAA架構(gòu)中靈活選擇設置NAS的位置�����,并對網(wǎng)關設備/網(wǎng)橋設備與主機設備均進行認證��。
為實現(xiàn)上述發(fā)明目的�,本發(fā)明提供了一種多主機網(wǎng)絡的AAA架構(gòu)�����,包括接入服務網(wǎng)絡和連接服務網(wǎng)絡��,接入服務網(wǎng)絡中設置有網(wǎng)絡接入服務器�����,連接服務網(wǎng)絡中設置有至少一個AAA服務器��,其中���,多主機網(wǎng)絡的AAA架構(gòu)還包括網(wǎng)關設備/網(wǎng)橋設備及主機設備��;主機設備與網(wǎng)關設備/網(wǎng)橋設備連接�;網(wǎng)關設備/網(wǎng)橋設備設置有網(wǎng)絡接入服務器;主機設備認證與網(wǎng)關設備/網(wǎng)橋設備認證分開獨立執(zhí)行���;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器�,及AAA服務器��,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證�;主機設備與網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器,及AAA服務器�,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證。
本發(fā)明還提供了一種支持多主機網(wǎng)絡的AAA架構(gòu)認證方法��,其中����,當主機設備與網(wǎng)關設備/網(wǎng)橋設備連接時,AAA架構(gòu)分別對網(wǎng)關設備/網(wǎng)橋設備及主機設備進行認證����;網(wǎng)關設備/網(wǎng)橋設備先將網(wǎng)關設備/網(wǎng)橋設備的認證信息通過接入服務網(wǎng)絡中的網(wǎng)絡接入服務器傳送至連接服務網(wǎng)絡的AAA服務器,由網(wǎng)關設備/網(wǎng)橋設備���、接入服務網(wǎng)絡中的網(wǎng)絡接入服務器�、AAA服務器,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證�;網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證認證結(jié)束后�����,主機設備將其認證信息通過網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器傳送到連接服務網(wǎng)絡的AAA服務器�����;由主機設備��、網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器�、AAA服務器,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證���。
本發(fā)明還提供了一種多主機網(wǎng)絡的AAA架構(gòu)����,包括接入服務網(wǎng)絡和連接服務網(wǎng)絡��,接入服務網(wǎng)絡中設置有網(wǎng)絡接入服務器��,連接服務網(wǎng)絡中設置由至少一個AAA服務器,其中�����,AAA架構(gòu)中還包括網(wǎng)關設備/網(wǎng)橋設備及主機設備�;主機設備與網(wǎng)關設備/網(wǎng)橋設備連接;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡連接����;主機設備認證與網(wǎng)關設備/網(wǎng)橋設備認證分開獨立執(zhí)行;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器��、及AAA服務器����,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證;主機設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器���、及AAA服務器�,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證���。
本發(fā)明還提供了一種多主機網(wǎng)絡的AAA架構(gòu)認證方法����,其中,當主機設備與網(wǎng)關設備/網(wǎng)橋設備連接時���,AAA架構(gòu)分別對網(wǎng)關設備/網(wǎng)橋設備��、主機設備進行認證��;網(wǎng)關設備/網(wǎng)橋設備先將網(wǎng)關設備/網(wǎng)橋設備的認證信息通過接入服務網(wǎng)絡中的網(wǎng)絡接入服務器傳送至連接服務網(wǎng)絡的AAA服務器,由網(wǎng)關設備/網(wǎng)橋設備���、接入服務網(wǎng)絡中的網(wǎng)絡接入服務器�����、AAA服務器���,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證;網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證認證結(jié)束后���,主機設備將其認證信息通過接入服務網(wǎng)絡的網(wǎng)絡接入服務器傳送到連接服務網(wǎng)絡的AAA服務器���,由主機設備、接入服務網(wǎng)絡的網(wǎng)絡接入服務器、AAA服務器�,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證。
本發(fā)明的有益效果在于��,為多主機的WiMAX網(wǎng)絡提供了AAA架構(gòu)���,從機制和協(xié)議流程層面�����,解決了對網(wǎng)關設備/網(wǎng)橋設備與主機設備的認證和授權(quán)的支持��。在該AAA架構(gòu)中���,網(wǎng)絡接入服務器可靈活設置于網(wǎng)關設備/網(wǎng)橋設備或ASN中,當主機設備訪問網(wǎng)絡資源時����,可以針對網(wǎng)絡接入服務器的位置,為網(wǎng)關設備/網(wǎng)橋設備與主機設備的提供認證����。使得多主機的WiMAX網(wǎng)絡中對主機設備的授權(quán)以及的計費成為可能。
圖1現(xiàn)有WiMAX網(wǎng)絡示意圖�����;圖2現(xiàn)有不兼容傳統(tǒng)連接服務網(wǎng)絡的非漫游AAA架構(gòu);圖3現(xiàn)有的兼容傳統(tǒng)連接服務網(wǎng)絡的非漫游AAA架構(gòu)�����;圖4現(xiàn)有的不兼容傳統(tǒng)連接服務網(wǎng)絡的漫游AAA架構(gòu)�����;圖5現(xiàn)有的兼容傳統(tǒng)連接服務網(wǎng)絡的漫游AAA架構(gòu)�;圖6基于PKMv2的移動站用戶認證協(xié)議棧;圖7為移動站設備認證和用戶認證都執(zhí)行的一實施例的流程圖�;圖8為移動站只執(zhí)行設備認證的一實施例的流程圖��;圖9移動站設備認證與用戶認證都執(zhí)行的另一實施例的流程圖�;圖10移動站的設備認證與用戶認證聯(lián)合認證的流程圖;圖11基于網(wǎng)關設備的多主機網(wǎng)絡結(jié)構(gòu)示意圖��;圖12為基于圖11的不兼容傳統(tǒng)連接服務網(wǎng)絡的非漫游AAA架構(gòu)���;圖13為基于圖11的兼容傳統(tǒng)連接服務網(wǎng)絡的非漫游AAA架構(gòu)�����;圖14為基于圖11的不兼容傳統(tǒng)連接服務網(wǎng)絡的漫游AAA架構(gòu)�;圖15為基于圖11多主機網(wǎng)絡的兼容傳統(tǒng)連接服務網(wǎng)絡的漫游AAA架構(gòu);圖16為基于圖11至圖15的接入網(wǎng)絡服務器設置于網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站狀態(tài)下�,網(wǎng)關主機一實施例的用戶認證協(xié)議棧;圖17為基于為圖11至圖15的接入網(wǎng)絡服務器設置于網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站狀態(tài)下����,網(wǎng)關主機另一實施例的用戶認證協(xié)議棧;圖18為基于圖16和17的網(wǎng)關主機設備認證和用戶認證都執(zhí)行的實施例的流程圖����;圖19為基于圖16和17的只執(zhí)行網(wǎng)關主機設備認證實施例的流程圖;圖20為基于圖16和17的網(wǎng)關主機設備認證和用戶認證都執(zhí)行的另一實施例的流程圖���;圖21為基于圖16和17只執(zhí)行網(wǎng)關主機設備認證實施例的另一實施例7的流程圖�;圖22網(wǎng)絡接入服務器設置于接入服務網(wǎng)絡�����,網(wǎng)關主機一實施例的用戶認證協(xié)議棧��;圖23網(wǎng)絡接入服務器設置于接入服務網(wǎng)絡����,網(wǎng)關主機另一實施例的用戶認證協(xié)議棧�����;圖24為圖23中EAPOL與EAPOP的轉(zhuǎn)換流程圖��;圖25為基于圖23和24的網(wǎng)關主機設備認證和用戶認證都執(zhí)行的實施例的流程圖���;圖26為基于圖23和24只執(zhí)行網(wǎng)關主機設備認證實施例的流程圖;圖27為基于圖23和24網(wǎng)關主機的設備認證和用戶認證都執(zhí)行的另一實施例的流程圖���;圖28為基于圖23和24的只執(zhí)行網(wǎng)關主機設備認證實施例的另一實施例的流程圖����。
具體實施例方式
如圖12所示為�,非漫游狀態(tài)下,以G-RS/G-MS支持WiMAX多主機網(wǎng)絡的網(wǎng)絡的AAA架構(gòu)實施例的示意圖����。運營商被分隔成G-MS/G-RS+ASN與CSN��。網(wǎng)關主機通過網(wǎng)關接口(G-Interface)作為第一接口與G-RS/G-MS(網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站)連接����。G-MS/G-RS通過采用R1接口作為第二接口與ASN的基站連接(圖中未示)���。G-MS/G-RS+ASN的業(yè)務設備(Service Equipment)為網(wǎng)絡接入服務器(NAS),即�,除了將ASN的業(yè)務設備設置為網(wǎng)絡接入服務器NAS,還可以將G-RS/G-MS(網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站)的業(yè)務設備設置為網(wǎng)絡接入服務器NAS���。
G-MS/G-RS或ASN中可以設置包括一個或多個NAS(即設置多個認證者(Authenticator)/AAA客戶(Client)(圖中未示)���,如多個RADIUS客戶端或DIAMETER客戶端,0個或多個AAA Proxy(代理)����。連接服務網(wǎng)絡(CSN)中包括AAA服務器(Server)。
圖13所示為��,非漫游狀態(tài)下����,以G-RS/G-MS支持WiMAX多主機網(wǎng)絡的另一AAA架構(gòu)實施例的示意圖�。由于CSN屬于傳統(tǒng)運營商(NSP)�,認證和授權(quán)后端不兼容AAA協(xié)議����,通過CSN中增加的IWG功能將AAA協(xié)議和屬性映射到傳統(tǒng)NSP的特定協(xié)議和屬性�。運營商反饋的認證消息再通過IWG映射為AAA協(xié)議,傳送給AAA Client�。
圖14與圖15分別為以G-RS/G-MS支持WiMAX多主機網(wǎng)絡的不兼容CSN和兼容CSN的漫游AAA架構(gòu),V-NSP中AAA服務器充當AAA代理器(AAAProxy)�����,將G-MS/G-RS+ASN中NAS發(fā)送的消息報文傳遞到H-NSP的AAA服務器����。當V-NSP的AAA Proxy接收到來自H-NSP的CSN的允許或拒絕消息時,再將其轉(zhuǎn)發(fā)給G-MS/G-RS+ASN���。在漫游情況下�,NAS和AAA服務器之間可能存在一個或多個AAA經(jīng)理和AAA代理(圖中未示)�。所有AAA會話總是存在于NAS和AAA服務器之間,用來提供基于NAI域路由管道的AAA經(jīng)理是可選的����。
當G-Host與連接G-MS/G-RS連接訪問網(wǎng)絡資源時,G-Host與G-RS/G-MS都需要進行進行認證�����?��;趫D12-15中支持多主機的WiMAX網(wǎng)絡AAA架構(gòu)實施例的認證��、授權(quán)方法如下1)G-RS/G-MS的設備認證和用戶認證與G-Host設備認證和用戶認證分別進行�,兩者彼此獨立�。
2)G-RS/G-MS的設備認證先于用戶認證。G-RS/G-MS與ASN的NAS�����,及AAA服務器�,執(zhí)行G-RS/G-MS設備認證和/或用戶認證的三方認證。G-RS/G-MS的設備認證和用戶認證可以都進行���;或只做G-RS/G-MS設備認證����,或只做G-RS/G-MS用戶認證���。如果G-RS/G-MS的設備認證和用戶認證都進行�����,但終結(jié)于不同認證服務器(包括終結(jié)于不同CSN的AAA服務器或終結(jié)于同一CSN的不同AAA服務器)����,則G-RS/G-MS采用Double EAP模式進行認證;如果G-RS/G-MS的設備認證和用戶認證都進行����,并終結(jié)于屬于同一認證服務器(同一CSN的相同AAA服務器),則G-RS/G-MS采用Double EAP模式�����,或采用Single EAP模式�,將G-RS/G-MS的設備認證和用戶認證聯(lián)合進行。如果只執(zhí)行G-RS/G-MS設備認證或只進行G-RS/G-MS用戶認證�����,則G-RS/G-MS采用SingleEAP模式�。
3)G-Host的設備認證先于用戶認證。G-Host可以與G-RS/G-MS+ASN的NAS����,及AAA服務器,執(zhí)行網(wǎng)關主機的設備認證和/或用戶認證的三方認證����。G-Host設備認證和用戶認證都進行,或只做G-Host設備認證��,或只做G-Host用戶認證��。若G-Host設備認證和用戶認證都進行�����,但終結(jié)不同認證服務器時(包括分屬不同CSN的AAA服務器及同一CSN的不同AAA服務器)���,則G-Host采用Double EAP模式���。如果G-Host設備認證和用戶認證都進行,并終結(jié)于同一認證服務器(同一AAA Server)時���,G-Host采用Double EAP模式��,或采用Single EAP模式����,將G-RS/G-MS的設備認證和用戶認證聯(lián)合進行�����。若G-Host只進行設備認證或用戶認證,則G-Host采用Single EAP模式����。
4)G-RS/G-MS的認證先于G-Host認證。
基于圖12-圖15所示的AAA架構(gòu)��,當G-RS/G-MS的業(yè)務設備也設置為網(wǎng)絡接入服務器NAS時�,在AAA架構(gòu)中,執(zhí)行G-RS/G-MS認證時�,G-RS/G-MS為“申請者,ASN中的NAS為G-RS/G-MS的“認證者�,CSN中的AAA服務器為“認證服務器”;執(zhí)行G-Host認證時��,G-Host為“申請者”��,G-R-RS/G-MS中的NAS為G-Host的“認證者”�����;CSN中的AAA服務器仍為“認證服務器”�。G-RS/G-MS與G-Host的認證單獨進行,G-RS/G-MS的認證結(jié)束后再執(zhí)行G-Host的認證����。
G-RS/G-MS與ASN的NAS��,及AAA服務器����,執(zhí)行G-RS/G-MS設備認證和/或用戶認證的三方認證�。G-RS/G-MS采用數(shù)字證書執(zhí)行設備認證�����,為避免CSN的干預�����,縮短G-RS/G-MS設備認證的往返時延��,AAA架構(gòu)中的認證服務器與認證者合并�,G-RS/G-MS以MAC地址為設備標識,在ASN的NAS處進行設備認證�����。若G-RS/G-MS只進行設備認證����,當G-RS/G-MS的設備認證結(jié)束后���,ASN將設備標識MAC地址傳送至AAA服務器,告知AAA服務器G-RS/G-MS設備認證已通過����,則AAA服務器,進一步對ASN授權(quán)允許G-RS/G-MS接入相應的業(yè)務��。
若G-RS/G-MS的設備認證采用預共享密鑰(PSK)�,G-RS/G-MS設備認證運行于G-Host和V-CSN/H-CSN之間,G-RS/G-MS采用網(wǎng)絡接入標識(NAINetwork Access Identity)作為設備標識�,根據(jù)NAI,G-RS/G-MS通過V-CSN中AAA代理���,向H-CSN中AAA服務器請求認證��。
G-RS/G-MS設備認證結(jié)束后�,執(zhí)行G-RS/G-MS用戶認證��,G-RS/G-MS用戶認證只采用預共享密鑰����。G-RS/G-MS的設備認證和用戶認證的認證過程與現(xiàn)有的MS的設備認證和用戶認證相同�����。
G-RS/G-MS認證結(jié)束后�����,AAA架構(gòu)對G-Host進行認證���,G-Host認證的認證過程中����,若G-Host采用數(shù)字證書執(zhí)行設備認證,如X.509時��,則采用支持數(shù)字認證的EAP方法����,如EAP-TLS。G-Host為避免CSN的干預�,以縮短往返時延,認證者與認證服務器合并����,G-Host以設備的MAC地址作為設備標識��,G-Host在G-RS/G-MS的NAS執(zhí)行G-Host的設備認證����,G-Host的設備認證終結(jié)于G-RS/G-MS��。G-Host設備認證結(jié)束后��,G-RS/G-MS要將G-Host的MAC地址通過AAA協(xié)議發(fā)送到CSN��,CSN根據(jù)接收到的G-Host設備的MAC地址��,檢驗G-Host設備數(shù)字證書�,如X.509證書,是否有效���。G-Host采用數(shù)字證書執(zhí)行設備認證時�,不可使用NAI作為設備標識�,防止G-Host的認證不能延伸到其它管理域。
若G-Host采用預共享密鑰(PSK)進行設備認證�����,EAP方法運行于G-Host和V-CSN/H-CSN之間�,G-Host設備認證終結(jié)于CSN�,G-Host以NAI為設備標識確認H-CSN��。當G-Host接入本地網(wǎng)絡時�����,G-Host根據(jù)NAI����,通過V-CSN中AAA代理,向H-CSN中AAA服務器請求認證��。
以下結(jié)合附圖���,對G-Host的認證過程進行說明圖16為基于PKMv2的G-Host用戶認證協(xié)議棧,G-Host為申請者���,G-RS/G-MS為認證者�����,AAA服務器為認證服務器�����,BS為認證中轉(zhuǎn)���;漫游狀態(tài)下��,ASN與V-NSP的CSN可作為AAA代理����,AAA經(jīng)理(Broker)為可選設備�����。
PKMv2通過G-Host與G-RS/G-MS�、以及G-RS/G-MS的NAS與ASN中BS間的802.16空中接口傳遞EAP報文,將EAP報文承載于PKMv2�,即EAP over PKMv2(以下簡稱EAPoP)。G-RS/G-MS作為認證者����,與AAA服務器間的采用AAA協(xié)議。在G-RS/G-MS與BS間�����,本發(fā)明設置了承載AAA報文的PKMv2協(xié)議的PKM-REQ/RSP消息的消息類型�,使得PKM-REQ/RSP消息支持傳送的AAA報文��,如Access-Challenge消息報文�;Access-Request消息報文��;Access-Accept消息報文�����;Access-Reject消息報文����。PKM消息類型可以設置為AAA-Transfer,或Radius-Transfer�,或Diameter-Transfer,AAA報文承載在PKMv2上���,簡稱AAAoP��。G-RS/G-MS與BS間通過AAAoP傳遞EAP報文。而BS和AAA Server之間AAA報文承載在傳輸層協(xié)議(如UDP����、TCP或SCTP協(xié)議)上,簡稱AAAoT�����。BS將AAAoP報文與AAAoT報文進行轉(zhuǎn)換。
圖17為基于802.3/802.11的G-Host用戶認證協(xié)議棧��,對于以太網(wǎng)802.3/802.11上的EAP認證��,IEEE 802.1x定義的標準的EAP承載在以太網(wǎng)802.3/802.11上的協(xié)議����,即EAP over LAN(以下簡稱EAPoL)。在圖17中����,G-RS/G-MS的NAS與ASN的BS間的AAA報文承載在PKMv2,為AAAOP���;BS和AAA Server之間AAA報文承載在傳輸層協(xié)議(如UDP���、TCP或SCTP協(xié)議)上,簡稱AAAoT報文�����。BS仍需將AAAoP報文與AAAoT報文進行轉(zhuǎn)換。
在基于PKMv2或802.3/802.11的G-Host設備認證協(xié)議棧�����,當G-Host終結(jié)在G-RS/G-MS時���,BS無需進行AAAoP與AAAoT的轉(zhuǎn)換���。
圖18為G-Host分別采用數(shù)字證書進行設備認證,預共享密鑰執(zhí)行用戶認證的流程圖����。圖18中,G-Host的設備認證與用戶認證都執(zhí)行認證����,G-Host采用Double EAP模式,G-Host先執(zhí)行設備認證��,由于認證服務器與認證者合并��,G-Host設備認證終結(jié)于G-RS/G-MS��。G-Host設備認證結(jié)束后�����,執(zhí)行用戶認證�,并且用戶認證終結(jié)于CSN。圖19為G-Host采用數(shù)字證書��,只執(zhí)行設備認證的流程圖����,G-Host的設備認證終結(jié)于G-RS/G-MS。當G-Host設備認證結(jié)束后�,G-RS/G-MS將G-Host的設備標識(MAC)承載AAA協(xié)議上,傳遞至CSN�。
圖20與圖21為G-Host采用預共享密鑰執(zhí)行設備認證與用戶認證的流程圖。圖20中��,G-Host設備認證與用戶認證分別執(zhí)行�,G-Host采用Double EAP模示,當G-Host的設備認證結(jié)束后�,G-Host執(zhí)行用戶認證,G-Host設備認證與用戶認證終結(jié)于相同的認證服務器���。圖21中��,G-Host采用Single EAP模示�,將設備認證和用戶認證聯(lián)合進行,終結(jié)于CSN����。
若圖12-圖15的AAA架構(gòu)中,僅以ASN的業(yè)務設備為NAS��,G-RS/G-MS和G-Host均為“申請者”����,ASN中的NAS為G-RS/G-MS和G-Host的“認證者”,CSN中的AAA服務器仍為“認證服務器”�。AAA架構(gòu)對G-RS/G-MS與G-Host分別進行認證。G-RS/G-MS的認證先執(zhí)行����。
G-RS/G-MS與ASN的NAS,及AAA服務器����,執(zhí)行G-RS/G-MS設備認證和/或用戶認證的三方認證,G-RS/G-MS的設備認證和用戶認證的認證過程�,與G-RS/G-MS業(yè)務設備作為G-Host認證者的設備認證和用戶認證的認證過程一致。
G-RS/G-MS的認證完成后����,執(zhí)行G-Host的認證��,若G-Host采用數(shù)字證書執(zhí)行設備認證�����,認證者與認證服務器合并,G-Host以設備的MAC地址作為設備標識�,G-Host在ASN的NAS執(zhí)行G-Host的設備認證,G-Host的設備認證終結(jié)于ASN�����。G-Host設備認證結(jié)束后��,ASN要將G-Host的MAC地址通過AAA協(xié)議發(fā)送到CSN����,CSN根據(jù)接收到的G-Host設備的MAC地址,檢驗G-Host設備數(shù)字證書�,如X.509證書,是否有效�����。G-Host采用數(shù)字證書執(zhí)行設備認證時����,防止因使用NAI導致G-Host的認證不能延伸到其它管理域�����。
若G-Host采用預共享密鑰(PSK)進行設備認證���,EAP方法運行于G-Host和V-CSN/H-CSN之間,G-Host設備認證終結(jié)于CSN���,G-Host以NAI為設備標識確認H-CSN�。當G-Host接入本地網(wǎng)絡時�����,G-Host根據(jù)NAI�,通過V-CSN中AAA代理,向H-CSN中AAA服務器請求認證��。
以下結(jié)合附圖�,說明G-Host在ASN的業(yè)務設備為NAS的AAA架構(gòu)中的認證過程圖22為基于PKMv2的G-Host用戶認證協(xié)議棧,G-Host為申請者�,ASN的NAS為認證者,AAA服務器為認證服務器����,BS為認證中轉(zhuǎn)����。漫游狀態(tài)下�,ASN與V-NSP的CSN可作為AAA代理。
G-Host與G-RS/G-MS(圖中未示)�、以及G-RS/G-MS與ASN中BS間EAP報文的承載在PKMv2上�����,簡稱EAPoP���;G-Host與G-RS/G-MS��,以及G-RS/G-MS與BS間通過802.16空中接口傳遞EAP報文���。BS接收到EAP報文后,將EAP報文轉(zhuǎn)發(fā)至NAS�����。NAS與AAA服務器間采用AAA協(xié)議�。
如圖23所示����,在以太網(wǎng)中��,G-Host與G-RS/G-MS間的EAP報文通過EAPoL將EAP報文傳遞至G-RS/G-MS���。G-RS/G-MS與ASN中BS間的EAP報文承載為PKMv2��,即EAPoP�,G-RS/G-MS與BS間通過802.16空中接口傳遞EAP報文����。G-RS/G-MS需要將G-Host與G-RS/G-MS間的EAP承載EAPoL,與G-RS/G-MS與BS間的EAP承載EAPoP進行相互轉(zhuǎn)換�����,由G-RS/G-MS將EAPoL報文與EAPoP的報文進行轉(zhuǎn)換����。
如圖24所示,G-RS/G-MS將EAPoL報文與EAPoP報文進行轉(zhuǎn)換的過程①當G-Host與G-RS/G-MS間的802.11/802.3基本的鏈路建立后���,G-Host啟動EAPoL的EAP-Start消息報文�����,向G-RS/G-MS申請進行EAP認證����;②G-RS/G-MS接收到EAPoL的EAP-Start消息后,生成PKM-Request消息��,設置PKM-Request的消息類型為EAP-Start����,即表示PKM-Request消息用于傳送EAP-Start報文���。G-RS/G-MS將PKM-Request消息發(fā)送到BS����,BS將PKM-Request消息中EAP-Start報文送達至ASN的NAS�����,即認證者(Authenticator)�;③認證者接收到EAP-Start報文后,向G-Host發(fā)出EAP-Request/Identity身份查詢請求�����;EAP-Start報文在BS和G-RS/G-MS之間由PKM-Response消息報文承載,設置PKM-Response消息的消息類型為EAP-Transfer�,即PKM-Response消息用于傳送EAP報文。
④G-RS/G-MS接收到EAPoP的EAP-Request/Identity身份查詢請求后�,將EAP-Request/Identity身份查詢請求封裝在EAPoL的EAP-Packet中,發(fā)送給G-Host�����。
⑤G-Host采用EAPoL的EAP-Packet報文��,發(fā)送EAP-Response/Identity應答報文����。
⑥G-RS/G-MS將EAP-Response/Identity封裝在PKM-Request消息報文中,消息類型為EAP-Transfer�����,轉(zhuǎn)發(fā)給BS����,由BS將EAP-Response/Identity再送達認證者。
⑦網(wǎng)關主機采用EAP-Packet報文,發(fā)送EAP-REP/RSP Method-Negotiation報文��,進行EAP的認證方法協(xié)商�,網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站將EAP-REP/RSPMethod-Negotiation報文封裝在PKM-REP/RSP消息報文中,消息類型為EAP-Transfer��,轉(zhuǎn)發(fā)給BS��,由BS將EAP-REP/RSP Method-Negotiation報文送達NAS�,進行EAP認證方法協(xié)商。
⑧網(wǎng)關主機采用EAP-Packet報文�����,發(fā)送EAP-REP/RSP Method報文�����,進行EAP的認證方法交換�����,網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站將EAP-REP/RSP Method報文封裝在PKM-REP/RSP消息報文中�����,消息類型為EAP-Transfer����,轉(zhuǎn)發(fā)給基站,由基站將EAP-REP/RSP Method報文送達NAS認證者��,進行EAP認證方法交換�。
⑨NAS完成EAP認證后,向網(wǎng)關主機發(fā)出EAP-Success報文�;網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站接收到EAP-Success報文后,將EAP-Success封裝在EAP-Packet中�,發(fā)送給網(wǎng)關主機。
在認證方法協(xié)商與認證方法交換這些過程中��,BS和G-RS/G-MS之間均采用PKM-Request/Response消息交互��,消息類型均為EAP-Transfer��;在G-Host和G-RS/G-MS之間均采用EAPoL EAP-Packet報文進行交互�;直到EAP認證過程結(jié)束。
在EAP認證過程中�,對于802.11,AAA服務器會為合法的G-Host下發(fā)相關的密鑰到G-RS/G-MS�����,如G-Host和G-RS/G-MS之間的會話密鑰。本發(fā)明采用PKM消息報文攜帶需要傳送的802.11密鑰�����。
G-Host認證后�����,G-RS/G-MS如果檢測到G-Host下網(wǎng)或異常情況(可能有多種原因和檢測方式�����,比如G-Host取消注冊���、G-Host關機�、空口信號質(zhì)量不可用等���,但不屬于本發(fā)明描述的范圍)�,則G-RS/G-MS會主動發(fā)起EAP-Logoff消息�,并將EAP-Logoff封裝在PKM-Request消息報文中�����,消息類型為EAP-Transfer,指示NAS認證者(Authenticator)修改相應的授權(quán)狀態(tài)�。
圖25為G-Host分別采用數(shù)字證書進行設備認證,預共享密鑰執(zhí)行用戶認證的流程圖�。G-Host的設備認證與用戶認證都執(zhí)行認證,G-Host采用Double EAP模式�,G-Host先執(zhí)行設備認證,由于認證服務器與認證者合并����,G-Host設備認證終結(jié)于ASN,G-Host設備認證結(jié)束后�����,執(zhí)行用戶認證�,并且用戶認證終結(jié)于CSN。
圖26所示為G-Host采用數(shù)字證書�,只執(zhí)行設備認證的流程圖,G-Host的設備認證終結(jié)于ASN�,當G-Host設備認證結(jié)束后,ASN將G-Host的設備標識(MAC)承載AAA協(xié)議上�����,傳遞至CSN����。
圖27與圖28為G-Host采用預共享密鑰執(zhí)行設備認證與用戶認證的流程圖����。圖27中G-Host設備認證與用戶認證分別執(zhí)行���,G-Host采用Double EAP模示�,當G-Host的設備認證結(jié)束后���,G-Host執(zhí)行用戶認證���,G-Host設備認證與用戶認證終結(jié)于相同的認證服務器。圖28中�,G-Host采用Single EAP模示,將MS設備認證和用戶認證聯(lián)合進行�����,終結(jié)于CSN�。
若在圖11的WiMAX網(wǎng)絡中,采用網(wǎng)橋設備支持多個主機設備���,則將運營商被分隔成網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站+ASN與CSN���。主機設備通過接口與網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站連接。網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站通過第一接口(如G-interface接口)與多個主機設備連接��,網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站通過第二接口(如R1接口)與ASN的基站連接�����。網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站+ASN的業(yè)務設備(Service Equipment)為網(wǎng)絡接入服務器(NAS)���,即�,除了將ASN的業(yè)務設備設置為網(wǎng)絡接入服務器NAS�����,還可以將網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站的業(yè)務設備設置為網(wǎng)絡接入服務器NAS����。
采用網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站的AAA架構(gòu),與采用網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站的AAA架構(gòu)的區(qū)別在于采用二層網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站代替了三層網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站�,NAS設置于網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站時,網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站可成為主機設備認證的認證者����。
而AAA架構(gòu)中的其它網(wǎng)元的設置并不發(fā)生變化���,網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站支持多主機WiMAX網(wǎng)絡AAA架構(gòu)的認證、授權(quán)方法過程與網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站支持多主機WiMAX網(wǎng)絡AAA架構(gòu)的認證����、授權(quán)方法的過程完全相同。
本發(fā)明的有益效果在于�����,為多主機的WiMAX網(wǎng)絡提供了AAA架構(gòu)��,從機制和協(xié)議流程層面����,解決了對網(wǎng)關設備/網(wǎng)橋設備與主機設備的認證和授權(quán)的支持。在該AAA架構(gòu)中�����,網(wǎng)絡接入服務器可靈活設置于網(wǎng)關設備/網(wǎng)橋設備或ASN中��,當主機設備訪問網(wǎng)絡資源時�����,可以針對網(wǎng)絡接入服務器的位置,為網(wǎng)關設備/網(wǎng)橋設備與主機設備的提供認證�����。使得多主機的WiMAX網(wǎng)絡中對主機設備的授權(quán)以及的計費成為可能�。
以上所述����,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此�,任何熟悉本技術(shù)領域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此�����,本發(fā)明的保護范圍應該以權(quán)利要求的保護范圍為準�����。
權(quán)利要求
1.一種多主機網(wǎng)絡的AAA架構(gòu)���,包括接入服務網(wǎng)絡和連接服務網(wǎng)絡���,接入服務網(wǎng)絡中設置有網(wǎng)絡接入服務器���,連接服務網(wǎng)絡中設置有至少一個AAA服務器,其特征在于�,多主機網(wǎng)絡的AAA架構(gòu)還包括網(wǎng)關設備/網(wǎng)橋設備及主機設備;主機設備與網(wǎng)關設備/網(wǎng)橋設備連接��;網(wǎng)關設備/網(wǎng)橋設備設置有網(wǎng)絡接入服務器���;主機設備認證與網(wǎng)關設備/網(wǎng)橋設備認證分開獨立執(zhí)行����;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器����,及AAA服務器,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證�����;主機設備與網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器�,及AAA服務器�,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證���。
2.根據(jù)權(quán)利要求1所述的多主機網(wǎng)絡的AAA架構(gòu)�,其特征在于���,主機設備����、網(wǎng)關設備/網(wǎng)橋設備���、AAA服務器支持EAP認證方法。
3.根據(jù)權(quán)利要求2所述的多主機網(wǎng)絡的AAA架構(gòu)����,其特征在于,網(wǎng)關設備/網(wǎng)橋設備的認證執(zhí)行先于主機設備的認證執(zhí)行����;網(wǎng)關設備/網(wǎng)橋設備的設備認證執(zhí)行先于網(wǎng)關設備/網(wǎng)橋設備的用戶認證執(zhí)行;主機設備的設備認證執(zhí)行先于主機設備的用戶認證執(zhí)行�。
4.根據(jù)權(quán)利要求3所述的多主機網(wǎng)絡的AAA架構(gòu),其特征在于�,網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器,及AAA服務器,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證時����,網(wǎng)關設備/網(wǎng)橋設備為申請者,接入服務網(wǎng)絡中的網(wǎng)絡接入服務器為認證者�����,AAA服務器為認證服務器��;若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行���,但終結(jié)于不同的認證服務器�,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證����;或者若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都進行,并終結(jié)于同一認證服務器��,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證�����;或網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式��,執(zhí)行設備認證和用戶認證的聯(lián)合認證;或者若網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行設備認證或只執(zhí)行用戶認證�����,網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式�。
5.根據(jù)權(quán)利要求4所述的多主機網(wǎng)絡的AAA架構(gòu),其特征在于�,網(wǎng)關設備/網(wǎng)橋設備的設備認證采用預共享密鑰或數(shù)字證書;網(wǎng)關設備/網(wǎng)橋設備的用戶認證采用預共享密鑰���。
6.根據(jù)權(quán)利要求5所述的多主機網(wǎng)絡的AAA架構(gòu)��,其特征在于,若網(wǎng)關設備/網(wǎng)橋設備的設備認證采用數(shù)字證書��,認證服務器合并至認證者��。
7.根據(jù)權(quán)利要求3所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于���,主機設備與網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器,及AAA服務器����,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證時�����,主機設備為申請者��,網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器為認證者����,AAA服務器為認證服務器���;若主機設備的設備認證和用戶認證都執(zhí)行�,但終結(jié)于不同的認證服務器����,主機設備采用Double EAP模式認證;或者若主機設備的設備認證和用戶認證都執(zhí)行�,并終結(jié)于同一認證服務器,主機設備采用Double EAP模式認證���;或主機設備采用Single EAP模式��,執(zhí)行設備認證和用戶認證聯(lián)合認證��;或者若主機設備只執(zhí)行設備認證或只進行用戶認證��,主機設備采用Single EAP模式���。
8.根據(jù)權(quán)利要求7所述的多主機網(wǎng)絡的AAA架構(gòu)��,其特征在于���,主機設備的設備認證采用預共享密鑰或數(shù)字證書;主機設備的用戶認證采用預共享密鑰�。
9.根據(jù)權(quán)利要求8所述的多主機網(wǎng)絡的AAA架構(gòu),其特征在于����,若主機設備的設備認證采用數(shù)字證書,認證服務器合并至認證者��。
10.根據(jù)權(quán)利要求8所述的多主機網(wǎng)絡的AAA架構(gòu)�,其特征在于��,接入服務網(wǎng)絡中還設置有基站��;基站對網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文的承載���,與基站與認證服務器間的AAA報文的承載進行轉(zhuǎn)換��。
11.根據(jù)權(quán)利要求10所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于�,網(wǎng)關設備/網(wǎng)橋設備通過第一接口與每一主機設備相連�,網(wǎng)關設備/網(wǎng)橋設備通過第二接口與接入服務網(wǎng)絡相連;第一接口采用802.3或802.11或802.16傳送技術(shù)����;第二接口采用802.16e無線傳送技術(shù);主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過空中接口的PKMv2傳送EAP報文�����,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoP����;或者主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過以太網(wǎng)傳送EAP報文,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoL���。
12.根據(jù)權(quán)利要求11所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于��,網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文承載在PKMv2協(xié)議上�����,報文承載為AAAoP�;基站與認證服務器間的AAA報文承載在傳輸層協(xié)議上��,報文承載為AAAoT��;基站對網(wǎng)關設備/網(wǎng)橋設備和基站間的AAA報文的承載�,與基站和認證服務器間的AAA報文的承載進行轉(zhuǎn)換是指,基站將AAAoP的報文轉(zhuǎn)換為AAAoT的報文��。
13.根據(jù)權(quán)利要求12所述的多主機網(wǎng)絡的AAA架構(gòu)����,其特征在于,設置網(wǎng)關設備/網(wǎng)橋設備與基站間承載AAA報文的PKMv2的PKM-REQ/RSP消息類型���,PKM-REQ/RSP消息用于支持網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文傳送����。
14.根據(jù)權(quán)利要求6或9或13所述的多主機網(wǎng)絡的AAA架構(gòu)�,其特征在于,網(wǎng)關設備為網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站���;網(wǎng)橋設備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站��。
15.一種多主機網(wǎng)絡的AAA架構(gòu)認證方法���,其特征在于,當主機設備與網(wǎng)關設備/網(wǎng)橋設備連接時���,AAA架構(gòu)分別對網(wǎng)關設備/網(wǎng)橋設備及主機設備進行認證�����;網(wǎng)關設備/網(wǎng)橋設備先將網(wǎng)關設備/網(wǎng)橋設備的認證信息通過接入服務網(wǎng)絡中的網(wǎng)絡接入服務器傳送至連接服務網(wǎng)絡的AAA服務器�����,由網(wǎng)關設備/網(wǎng)橋設備���、接入服務網(wǎng)絡中的網(wǎng)絡接入服務器、AAA服務器�����,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證;網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證認證結(jié)束后��,主機設備將其認證信息通過網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器傳送到連接服務網(wǎng)絡的AAA服務器�;由主機設備、網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器�、AAA服務器,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證�。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于��,網(wǎng)關設備/網(wǎng)橋設備的設備認證執(zhí)行先于網(wǎng)關設備/網(wǎng)橋設備的用戶認證���;主機設備的設備認證執(zhí)行先于主機設備的用戶認證執(zhí)行���。
17.根據(jù)權(quán)利要求16所述的方法,其特征在于����,主機設備、網(wǎng)關設備/網(wǎng)橋設備����、AAA服務器均支持EAP認證方法�����。
18.根據(jù)權(quán)利要求17所述的方法,其特征在于��,網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器���、AAA服務器����,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證時���,網(wǎng)關設備/網(wǎng)橋設備為申請者��,接入服務網(wǎng)絡中的網(wǎng)絡接入服務器為認證者����,AAA服務器為認證服務器����;若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行,但終結(jié)于不同的認證服務器時����,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證���;或者若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行,并終結(jié)于在同一認證服務器時�,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證;或網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式�����,將設備認證和用戶認證聯(lián)合認證�;或者若網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行設備認證或只執(zhí)行用戶認證時,網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式�。
19.根據(jù)權(quán)利要求18所述的方法,其特征在于��,若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行時�,網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證均采用預共享密鑰,或網(wǎng)關設備/網(wǎng)橋設備分別采用數(shù)字證書執(zhí)行設備認證����,采用預共享密鑰執(zhí)行用戶認證;網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行設備認證時�����,采用數(shù)字證書或預共享密鑰;網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行用戶認證時�,采用預共享密鑰。
20.根據(jù)權(quán)利要求19所述的方法�,其特征在于,網(wǎng)關設備/網(wǎng)橋設備使用數(shù)字證書執(zhí)行設備認證���,認證服務器合并至認證者,網(wǎng)關設備/網(wǎng)橋設備的設備認證終結(jié)于認證者����。
21.根據(jù)權(quán)利要求17所述的方法,其特征在于���,由主機設備��、網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器���、AAA服務器,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證時����,主機設備為申請者,網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器為認證者����,AAA服務器為認證服務器�;若主機設備的認證和用戶認證都執(zhí)行���,但終結(jié)在不同認證服務器認證時�,主機設備采用Double EAP模式認證�����;或者若主機設備的設備認證和用戶認證都執(zhí)行���,并終結(jié)在同一認證服務器認證時��,主機設備采用Double EAP模式認證��,或主機設備采用Single EAP模式�����,將設備認證和用戶認證聯(lián)合認證�;或者若主機設備只進行設備認證認證或只進行用戶認證�,主機設備采用SingleEAP模式。
22.根據(jù)權(quán)利要求21所述的方法���,其特征在于����,若主機設備的設備認證和用戶認證都執(zhí)行時,主機設備的設備認證和用戶認證均采用預共享密鑰��,或主機設備分別采用數(shù)字證書執(zhí)行設備認證�����,采用預共享密鑰執(zhí)行用戶認證���;主機設備只執(zhí)行設備認證時,采用數(shù)字證書或預共享密鑰執(zhí)行設備認證�����;主機設備只執(zhí)行用戶認證時���,采用預共享密鑰執(zhí)行用戶認證���。
23.根據(jù)權(quán)利要求22所述的方法,其特征在于����,主機設備使用數(shù)字證書執(zhí)行設備認證��,認證服務器合并至認證者�,主機設備的設備認證終結(jié)于認證者�����。
24.根據(jù)權(quán)利要求22所述的方法�����,其特征在于����,接入服務網(wǎng)絡中還設置有基站,基站將網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文承載��,與基站與認證服務器間的AAA報文承載進行轉(zhuǎn)換�����。
25.根據(jù)權(quán)利要求24所述的方法���,其特征在于����,網(wǎng)關設備/網(wǎng)橋設備通過第一接口與每一主機設備相連,網(wǎng)關設備/網(wǎng)橋設備通過第二接口與接入服務網(wǎng)絡相連����;第一接口采用802.3或802.11或802.16傳送技術(shù);第二接口采用802.16e無線傳送技術(shù)��;主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過空中接口的PKMv2傳送EAP報文��,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoP�;或者主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過以太網(wǎng)傳送EAP報文,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoL���。
26.根據(jù)權(quán)利要求25所述的方法,其特征在于�����,網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文承載在PKMv2協(xié)議上����,為AAAoP;基站與認證服務器間的AAA報文承載在傳輸層上�,為AAAoT��;基站將網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文的承載�,與基站與認證服務器間的AAA報文承載進行轉(zhuǎn)換是指����,基站將AAAoP的報文轉(zhuǎn)換為AAAoT的報文。
27.根據(jù)權(quán)利要求26所述的方法��,其特征在于����,設置網(wǎng)關設備/網(wǎng)橋設備與基站間承載AAA報文的PKMv2的PKM-REQ/RSP消息類型,PKM-REQ/RSP消息用于支持網(wǎng)關設備/網(wǎng)橋設備與基站間的AAA報文傳送�����。
28.根據(jù)權(quán)利要求20或23或27所述的方法���,其特征在于�,網(wǎng)關設備為網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站�;網(wǎng)橋設備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站。
29.一種多主機網(wǎng)絡的AAA架構(gòu)���,包括接入服務網(wǎng)絡和連接服務網(wǎng)絡�����,接入服務網(wǎng)絡中設置有網(wǎng)絡接入服務器���,連接服務網(wǎng)絡中設置由至少一個AAA服務器����,其特征在于����,AAA架構(gòu)中還包括網(wǎng)關設備/網(wǎng)橋設備及主機設備;主機設備與網(wǎng)關設備/網(wǎng)橋設備連接��;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡連接�;主機設備認證與網(wǎng)關設備/網(wǎng)橋設備認證分開獨立執(zhí)行;網(wǎng)關設備/網(wǎng)橋設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器��、及AAA服務器�����,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證���;主機設備與接入服務網(wǎng)絡中的網(wǎng)絡接入服務器、及AAA服務器,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證���。
30.根據(jù)權(quán)利要求29所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于,主機設備���、網(wǎng)關設備/網(wǎng)橋設備���、AAA服務器均支持EAP認證方法。
31.根據(jù)權(quán)利要求30所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于���,網(wǎng)關設備/網(wǎng)橋設備的認證執(zhí)行先于主機設備的認證執(zhí)行;網(wǎng)關設備/網(wǎng)橋設備的設備認證執(zhí)行先于網(wǎng)關設備/網(wǎng)橋設備的用戶認證執(zhí)行����;主機設備的設備認證執(zhí)行先于主機設備的用戶認證執(zhí)行。
32.根據(jù)權(quán)利要求31所述的多主機網(wǎng)絡的AAA架構(gòu)�����,其特征在于,網(wǎng)關設備/網(wǎng)橋設備與主機設備為申請者���;接入服務網(wǎng)絡中的網(wǎng)絡接入服務器為認證者����;AAA服務器為認證服務器��。
33.根據(jù)權(quán)利要求32所述的多主機網(wǎng)絡的AAA架構(gòu)�,其特征在于,若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行�,但終結(jié)于不同認證服務器,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證���;或者若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行���,并終結(jié)于同一認證服務器,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證����;或網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式,將網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證聯(lián)合認證���;或者若網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行設備認證或只執(zhí)行用戶認證����,網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式����。
34.根據(jù)權(quán)利要求33所述的多主機網(wǎng)絡的AAA架構(gòu),其特征在于�����,網(wǎng)關設備/網(wǎng)橋設備的設備認證采用預共享密鑰或數(shù)字證書����;網(wǎng)關設備/網(wǎng)橋設備的用戶認證采用預共享密鑰。
35.根據(jù)權(quán)利要求34所述的多主機網(wǎng)絡的AAA架構(gòu)����,其特征在于,網(wǎng)關設備/網(wǎng)橋設備的設備認證采用數(shù)字證書���,認證服務器合并至認證者���。
36.根據(jù)權(quán)利要求32所述的多主機網(wǎng)絡的AAA架構(gòu)�����,其特征在于���,若主機設備的設備認證和用戶認證都執(zhí)行,但終結(jié)于不同的認證服務器��,主機設備采用Double EAP模式認證���;或者若主機設備的設備認證和用戶認證都執(zhí)行���,并終結(jié)于同一認證服務器,主機設備采用Double EAP模式認證�;或主機設備采用Single EAP模式,將設備認證和用戶認證聯(lián)合認證��;或者若主機設備只進行設備認證或只進行用戶認證����,主機設備采用Single EAP模式。
37.根據(jù)權(quán)利要求36所述的多主機網(wǎng)絡的AAA架構(gòu)�,其特征在于,主機設備的設備認證采用預共享密鑰或數(shù)字證書����;主機設備的用戶認證采用預共享密鑰����。
38.根據(jù)權(quán)利要求37所述的多主機網(wǎng)絡的AAA架構(gòu)��,其特征在于���,主機設備的設備認證采用數(shù)字證書,認證服務器合并至認證者�����。
39.根據(jù)權(quán)利要求35或38所述的多主機網(wǎng)絡的AAA架構(gòu)�����,其特征在于��,網(wǎng)關設備/網(wǎng)橋設備通過第一接口與每一主機設備相連��,第一接口采用802.3或802.11或802.16傳送技術(shù)����;網(wǎng)關設備/網(wǎng)橋設備通過第二接口與接入服務網(wǎng)絡相連�,接入服務網(wǎng)絡還設置有基站���,第二接口采用802.16e無線傳送技術(shù)��;主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過空中接口的PKMv2傳送EAP報文���,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoP;或主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過以太網(wǎng)傳送EAP報文�����,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoL���;網(wǎng)關設備/網(wǎng)橋設備與基站間通過空中接口的PKMv2傳送EAP報文�����,網(wǎng)關設備/網(wǎng)橋設備與基站間的EAP報文承載為EAPoP����。
40.根據(jù)權(quán)利要求39所述的多主機網(wǎng)絡的AAA架構(gòu)���,其特征在于���,若主機設備與網(wǎng)關設備/網(wǎng)橋設備的EAP承載為EAPoL時�����,網(wǎng)關設備/網(wǎng)橋設備將主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAPoL與網(wǎng)關設備/網(wǎng)橋設備與基站間EAPoP進行轉(zhuǎn)換���。
41.根據(jù)權(quán)利要求40所述的多主機網(wǎng)絡的AAA架構(gòu)����,其特征在于,網(wǎng)關設備網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站���;網(wǎng)橋設備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站����。
42.一種多主機網(wǎng)絡的AAA架構(gòu)認證方法���,其特征在于���,當主機設備與網(wǎng)關設備/網(wǎng)橋設備連接時,AAA架構(gòu)分別對網(wǎng)關設備/網(wǎng)橋設備、主機設備進行認證����;網(wǎng)關設備/網(wǎng)橋設備先將網(wǎng)關設備/網(wǎng)橋設備的認證信息通過接入服務網(wǎng)絡中的網(wǎng)絡接入服務器傳送至連接服務網(wǎng)絡的AAA服務器,由網(wǎng)關設備/網(wǎng)橋設備�、接入服務網(wǎng)絡中的網(wǎng)絡接入服務器、AAA服務器�,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證;網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證認證結(jié)束后��,主機設備將其認證信息通過接入服務網(wǎng)絡的網(wǎng)絡接入服務器傳送到連接服務網(wǎng)絡的AAA服務器�,由主機設備、接入服務網(wǎng)絡的網(wǎng)絡接入服務器�����、AAA服務器�,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證。
43.根據(jù)權(quán)利要求42所述的方法�����,其特征在于��,主機設備�����、網(wǎng)關設備/網(wǎng)橋設備、AAA服務器均支持EAP認證方法�����。
44.根據(jù)權(quán)利要求43所述的方法��,其特征在于���,網(wǎng)關設備/網(wǎng)橋設備的設備認證執(zhí)行先于網(wǎng)關設備/網(wǎng)橋設備的用戶認證�;主機設備的設備認證執(zhí)行先于主機設備的用戶認證執(zhí)行����。
45.根據(jù)權(quán)利要求44所述的方法����,其特征在于,網(wǎng)關設備/網(wǎng)橋設備與主機設備為申請者��;接入服務網(wǎng)絡中的網(wǎng)絡接入服務器為認證者���;AAA服務器為認證服務器�����。
46.根據(jù)權(quán)利要求45所述的方法��,其特征在于�,若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行,但終結(jié)于不同的認證服務器時����,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證;或者若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行�,并終結(jié)于同一認證服務器時,網(wǎng)關設備/網(wǎng)橋設備采用Double EAP模式認證�;或網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式,將設備認證和用戶認證聯(lián)合認證����;或者若網(wǎng)關設備/網(wǎng)橋設備只進行設備認證或只進行用戶認證時,網(wǎng)關設備/網(wǎng)橋設備采用Single EAP模式����。
47.根據(jù)權(quán)利要求46所述的方法,其特征在于���,若網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證都執(zhí)行時���,網(wǎng)關設備/網(wǎng)橋設備的設備認證和用戶認證均采用預共享密鑰�,或網(wǎng)關設備/網(wǎng)橋設備分別采用數(shù)字證書執(zhí)行設備認證�����,采用預共享密鑰執(zhí)行用戶認證����;網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行設備認證時,采用數(shù)字證書或預共享密鑰�����;網(wǎng)關設備/網(wǎng)橋設備只執(zhí)行用戶認證時��,采用預共享密鑰����。
48.根據(jù)權(quán)利要求47所述的方法���,其特征在于����,網(wǎng)關設備/網(wǎng)橋設備使用數(shù)字證書執(zhí)行設備認證,認證服務器合并至認證者����,網(wǎng)關設備/網(wǎng)橋設備的設備認證終結(jié)于認證者。
49.根據(jù)權(quán)利要求45所述的方法�,其特征在于,若主機設備的設備認證和用戶認證都執(zhí)行����,但終結(jié)于不同認證服務器認證時,主機設備采用Double EAP模式認證����;或者若主機設備的設備認證和用戶認證都執(zhí)行,并終結(jié)于在同一認證服務器認證時���,主機設備采用Double EAP模式認證�;或主機設備采用Single EAP模式��,將設備認證和用戶認證聯(lián)合認證��;或者若主機設備只進行設備認證或用戶認證�,主機設備采用Single EAP模式。
50.根據(jù)權(quán)利要求49所述的方法�����,其特征在于,若主機設備的設備認證和用戶認證都執(zhí)行時��,主機設備的設備認證和用戶認證均采用預共享密鑰���,或主機設備分別采用數(shù)字證書執(zhí)行設備認證�,采用預共享密鑰執(zhí)行用戶認證��;主機設備只執(zhí)行設備認證時����,采用數(shù)字證書或預共享密鑰執(zhí)行設備認證;主機設備只執(zhí)行用戶認證時�����,采用預共享密鑰執(zhí)行的用戶認證����。
51.根據(jù)權(quán)利要求50所述的方法���,其特征在于��,主機設備使用數(shù)字證書執(zhí)行設備認證���,認證服務器合并至認證者�����,主機設備的設備認證終結(jié)于認證者����。
52.根據(jù)權(quán)利要求48或51所述的方法�,其特征在于,網(wǎng)關設備/網(wǎng)橋設備通過第一接口與每一主機設備相連��,第一接口采用802.3或802.11或802.16傳送技術(shù)����;網(wǎng)關設備/網(wǎng)橋設備通過第二接口與接入服務網(wǎng)絡相連,接入服務網(wǎng)絡還設置有基站��,第二接口采用802.16e無線傳送技術(shù)�����;主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過空中接口的PKMv2傳送EAP報文�����,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoP;或主機設備與網(wǎng)關設備/網(wǎng)橋設備間通過以太網(wǎng)傳送EAP報文��,主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAP報文承載為EAPoL����;網(wǎng)關設備/網(wǎng)橋設備與基站間通過空中接口的PKMv2傳送EAP報文,網(wǎng)關設備/網(wǎng)橋設備與基站間的EAP報文承載為EAPoP���。
53.根據(jù)權(quán)利要求52所述的方法�,其特征在于��,若主機設備與網(wǎng)關設備/網(wǎng)橋設備的EAP承載為EAPoL時���,網(wǎng)關設備/網(wǎng)橋設備將主機設備與網(wǎng)關設備/網(wǎng)橋設備間的EAPoL與網(wǎng)關設備/網(wǎng)橋設備與基站間EAPoP進行轉(zhuǎn)換��,網(wǎng)關設備/網(wǎng)橋設備將EAPoL報文轉(zhuǎn)為EAPoP報文�。
54.根據(jù)權(quán)利要求53所述的方法��,其特征在于��,網(wǎng)關設備/網(wǎng)橋設備轉(zhuǎn)換EAPoL報文與EAPoP報文包括主機設備向網(wǎng)關設備/網(wǎng)橋設備發(fā)送EAP-Star消息報文申請EAP認證;網(wǎng)關設備/網(wǎng)橋設備接收到主機設備EAP-Start消息后��,生成PKM-Request消息�����,消息類型為EAP-Start���;網(wǎng)關設備/網(wǎng)橋設備發(fā)送PKM-Request消息至基站,由基站將EAP-Start報文送達認證者���;認證者接收到EAP-Start報文后�����,向主機設備發(fā)出EAP-Request/Identity身份查詢請求����;網(wǎng)關設備/網(wǎng)橋設備將接收到EAP-Request/Identity身份查詢請求報文后��,將EAP-Request/Identity身份查詢請求報文封裝在EAP-Packet中��,發(fā)送給主機設備���;主機設備采用EAP-Packet報文����,發(fā)送EAP-Response/Identity應答報文;網(wǎng)關設備/網(wǎng)橋設備將EAP-Response/Identity應答報文封裝在PKM-Request消息報文中��,消息類型為EAP-Transfer�����,轉(zhuǎn)發(fā)給基站�;基站將EAP-Response/Identity應答報文送達認證者;主機設備采用EAP-Packet報文���,發(fā)送EAP-REP/RSP Method-Negotiation報文��,進行EAP的認證方法協(xié)商��,網(wǎng)關設備/網(wǎng)橋設備將EAP-REP/RSPMethod-Negotiation報文封裝在PKM-REP/RSP消息報文中�,消息類型為EAP-Transfer����,轉(zhuǎn)發(fā)給基站,由基站將EAP-REP/RSP Method-Negotiation報文送達認證者���,進行EAP認證方法協(xié)商�����;主機設備采用EAP-Packet報文�����,發(fā)送EAP-REP/RSP Method報文�����,進行EAP的認證方法交換��,網(wǎng)關設備/網(wǎng)橋設備將EAP-REP/RSP Method報文封裝在PKM-REP/RSP消息報文中�����,消息類型為EAP-Transfer��,轉(zhuǎn)發(fā)給基站�����,由基站將EAP-REP/RSP Method報文送達認證者��,進行EAP認證方法交換�;認證者完成EAP認證后,向主機設備發(fā)出EAP-Success報文�����,EAP-Success報文封裝在PKM-RSP消息報文中���,消息類型為EAP-Transfer��;網(wǎng)關設備/網(wǎng)橋設備接收到EAP-Success報文后����,將EAP-Success封裝在EAP-Packet報文中����,將EAP-Packet報文承載在EAPoL上發(fā)送給主機設備。
55.根據(jù)權(quán)利要求50所述的方法��,其特征在于���,基站與網(wǎng)關設備/網(wǎng)橋設備的間EAP-Request/Identity身份查詢請求報文承載于PKM-Response消息�����。
56.根據(jù)權(quán)利要求55所述的方法�,其特征在于,主機設備認證通過后���,當網(wǎng)關設備/網(wǎng)橋設備檢測到主機設備下網(wǎng)或異常���,網(wǎng)關設備/網(wǎng)橋設備向網(wǎng)絡接入服務器主動發(fā)起EAP-Logoff消息,EAP-Logoff消息封裝在PKM-Request消息報文中�����,PKM-Request消息報文的消息類型為EAP-Transfer�����;接入服務器根據(jù)EAP-Logoff消息修改主機設備授權(quán)狀態(tài)���。
57.根據(jù)權(quán)利要求56所述的方法,其特征在于�����,認證服務器設置PKM消息類型���,利用PKM消息為通過認證的網(wǎng)關設備/網(wǎng)橋設備下發(fā)密鑰���,用于空中接口安全����。
58.根據(jù)權(quán)利要求57所述的方法��,其特征在于���,網(wǎng)關設備為網(wǎng)關中轉(zhuǎn)站/網(wǎng)關移動站�;網(wǎng)橋設備為網(wǎng)橋中轉(zhuǎn)站/網(wǎng)橋移動站�。
全文摘要
一種多主機網(wǎng)絡的AAA架構(gòu)及認證方法,包括由網(wǎng)關設備/網(wǎng)橋設備����、接入服務網(wǎng)絡中的網(wǎng)絡接入服務器、AAA服務器��,執(zhí)行網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證的三方認證���;網(wǎng)關設備/網(wǎng)橋設備的設備認證和/或用戶認證認證結(jié)束后�����,由主機設備�、網(wǎng)關設備/網(wǎng)橋設備中的網(wǎng)絡接入服務器、AAA服務器��,執(zhí)行主機設備的設備認證和/或用戶認證的三方認證本發(fā)明使得多主機的WiMAX網(wǎng)絡中對主機設備的授權(quán)以及計費成為可能����,從機制和協(xié)議流程層面,解決了對主機設備的認證和授權(quán)的支持���。在AAA架構(gòu)中�����,NAS可靈活設置于網(wǎng)關設備/網(wǎng)橋設備或ASN中。
文檔編號H04L29/06GK101064605SQ20061007807
公開日2007年10月31日 申請日期2006年4月29日 優(yōu)先權(quán)日2006年4月29日
發(fā)明者鄭若濱 申請人:華為技術(shù)有限公司