專利名稱:用于sp以太網(wǎng)匯聚網(wǎng)絡(luò)的認(rèn)證的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及數(shù)據(jù)通信系統(tǒng)��;具體而言�,本發(fā)明涉及服務(wù)供應(yīng)商 網(wǎng)絡(luò)中的安全系統(tǒng)和認(rèn)證技術(shù)。
背景技術(shù):
綜合計算機(jī)網(wǎng)絡(luò)安全策略最初是為具體目標(biāo)而設(shè)計��,比如防止外人 (外部黑客)接入網(wǎng)絡(luò)���;只允許經(jīng)授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)���; 一般通過對行為 或使用增強(qiáng)責(zé)任來避免內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊;以及為不同類別或種類的用 戶提供不同層的接入���。為了有效起見���,安全策略應(yīng)該以不中斷業(yè)務(wù)或使經(jīng) 授權(quán)的接入異常困難的方式達(dá)到每個上述目標(biāo)。用于達(dá)到這些目標(biāo)的各種 網(wǎng)絡(luò)安全系統(tǒng)和方法在6,826,698號�、6,763,469號6,611,869號和6,499,107 號美國專利中有所公開。已經(jīng)開發(fā)了許多不同的網(wǎng)絡(luò)協(xié)議來解決識別和認(rèn)證想要接入網(wǎng)絡(luò)的用 戶的需要��。例如�����,可擴(kuò)展認(rèn)證協(xié)議(EAP)是用于攜帶認(rèn)證信息的靈活協(xié) 議��,所述認(rèn)證信息可包括標(biāo)識�����、密碼或預(yù)定安全密鑰(key)�。但EAP不 是傳輸協(xié)議,而是通常在另一種進(jìn)行傳送行為的協(xié)議上操作���,在客戶和認(rèn) 證機(jī)構(gòu)之間運(yùn)送認(rèn)證信息����。舉例來說���,EAP可在通常用于在網(wǎng)絡(luò)設(shè)備和認(rèn) 證服務(wù)器或數(shù)據(jù)庫之間通信的遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議上 操作���。作為對EAP消息的傳送,RADIUS允許網(wǎng)絡(luò)設(shè)備安全傳遞登陸和證 書(例如用戶名/密碼)信息���。另一個公知的傳送機(jī)制是因特網(wǎng)用戶撥入遠(yuǎn)程接入服務(wù)器點(diǎn)到點(diǎn)鏈路 時通常使用的點(diǎn)到點(diǎn)協(xié)議(PPP)���。內(nèi)建PPP (PPP)是鏈路控制協(xié)議 (LCP),其建立鏈路層連接���,并能夠以可選方式協(xié)商認(rèn)證協(xié)議來認(rèn)證請 求網(wǎng)絡(luò)接入的用戶����。目前廣泛使用數(shù)字用戶線路(DSL)技術(shù)來在現(xiàn)有電話網(wǎng)絡(luò)基礎(chǔ)設(shè)施上增加數(shù)字?jǐn)?shù)據(jù)傳輸?shù)膸挕U谑褂玫钠渌愋偷牡谝粚觽魉蜋C(jī)制包括光纖到戶(FTTH)和WIMAX�����。典型的DSL系統(tǒng)配置中���,多個DSL用戶 經(jīng)由數(shù)字用戶線路接入復(fù)用器(DSLAM)連接到服務(wù)供應(yīng)商(SP)網(wǎng) 絡(luò)���,所述DSLAM將電話服務(wù)供應(yīng)商位置處的信號集中和復(fù)用到更廣闊的 廣域網(wǎng)中?���;旧希珼SLAM從許多客戶或用戶取得連接����,然后將它們匯 聚到單一的大容量連接中。DSLAM還可為用戶提供諸如路由或因特網(wǎng)協(xié) 議(IP)地址分配之類的附加功能����。異步轉(zhuǎn)移模式(ATM)協(xié)議網(wǎng)絡(luò)通常在DSLAM設(shè)備與諸如寬帶遠(yuǎn)程 接入服務(wù)器(BRAS)之類的網(wǎng)絡(luò)服務(wù)器之間的通信中使用。BRAS是終 止企業(yè)網(wǎng)的遠(yuǎn)程用戶或因特網(wǎng)服務(wù)供應(yīng)商(ISP)網(wǎng)絡(luò)的因特網(wǎng)用戶的設(shè) 備�,并通常為遠(yuǎn)程用戶提供防火墻��、認(rèn)證和路由服務(wù)。ATM協(xié)議是一個 國際標(biāo)準(zhǔn)�����,其中多種服務(wù)類型在點(diǎn)到點(diǎn)連接上以固定的"信元"傳送���。數(shù) 據(jù)分組信元通過稱為虛路徑標(biāo)識符/虛信道標(biāo)識符(VPI/VCI)轉(zhuǎn)換的過 程����,從用戶網(wǎng)絡(luò)接口 (UNI)經(jīng)由ATM交換機(jī)通過網(wǎng)絡(luò)傳到網(wǎng)絡(luò)節(jié)點(diǎn)接 口 (麗I)���。SP接入網(wǎng)正在從ATM協(xié)議網(wǎng)向以太網(wǎng)轉(zhuǎn)移��。以太網(wǎng)技術(shù)的起源基于 網(wǎng)絡(luò)上的對等方在本質(zhì)上共同的線路或信道上發(fā)送消息的思想���。每個對等 方具有全球唯一關(guān)鍵碼,稱為媒體訪問控制(MAC)地址�,來保證以太網(wǎng)中的所有地址具有不同的地址。現(xiàn)在多數(shù)以太網(wǎng)裝置使用以太網(wǎng)交換機(jī) (也稱"網(wǎng)橋")來實現(xiàn)為附接設(shè)備提供連通性的以太網(wǎng)"云"或 "島"���。交換機(jī)作為智能數(shù)據(jù)流量轉(zhuǎn)發(fā)器來工作���,其中幀被發(fā)往目的設(shè)備 被附接到的端口����。以太網(wǎng)網(wǎng)絡(luò)環(huán)境中使用的網(wǎng)絡(luò)交換機(jī)的示例可在 6����,850,542號����、6,813,268號和6,850,521號美國專利中找到。用于認(rèn)證經(jīng)由以太網(wǎng)接入網(wǎng)連接的DSL用戶的廣泛使用的現(xiàn)有技術(shù)協(xié) 議被稱為以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議(PPPoE) �。 RFC 2516 ( "A Method for Transmitting PPP over Ethernet" , 1999年2月)中描述的PPPoE協(xié)議基本 指定了怎樣經(jīng)由諸如DSL的公共寬帶介質(zhì)將以太網(wǎng)用戶連接到因特網(wǎng)上�。 但是由于PPPoE與以太網(wǎng)上的多點(diǎn)IP相反,是面向點(diǎn)到點(diǎn)連接的的����,因 此它具有某些固有缺陷,使得隨著諸如話音和視頻之類的新業(yè)務(wù)分層堆積到SP網(wǎng)絡(luò)上����,作為傳輸協(xié)議的PPPoE越來越?jīng)]有吸引力。因此����,需要的是用于依賴以太網(wǎng)技術(shù)的用戶寬帶匯聚網(wǎng)絡(luò)的新的認(rèn)證 機(jī)制�����。
通過后面的詳細(xì)描述和附圖可以更全面地理解本發(fā)明,但所述詳細(xì)描 述和附圖不應(yīng)視作將本發(fā)明限制在所示具體實施例�����,而是僅作說明和理解 之用��。圖1是示出根據(jù)本發(fā)明的一個實施例的網(wǎng)絡(luò)拓?fù)涞膱D�����。 圖2是說明根據(jù)本發(fā)明的一個實施例來認(rèn)證客戶身份的過程的呼叫流 程圖�����。圖3是根據(jù)本發(fā)明的一個實施例的連接服務(wù)供應(yīng)商網(wǎng)絡(luò)的本地接入域的用戶網(wǎng)絡(luò)接口圖��。圖4是根據(jù)本發(fā)明另一個實施例的連接服務(wù)供應(yīng)商網(wǎng)絡(luò)的本地接入域的用戶網(wǎng)絡(luò)接口圖�。圖5是網(wǎng)絡(luò)節(jié)點(diǎn)的一般電路原理結(jié)構(gòu)圖。
具體實施方式
描述了用于認(rèn)證進(jìn)入以太網(wǎng)接入網(wǎng)的SP用戶的端到端解決方案����。為 了提供對本發(fā)明的透徹理解�,下面的描述中提出具體細(xì)節(jié)����,如設(shè)備類型、 協(xié)議��、配置等等���。但是����,網(wǎng)絡(luò)領(lǐng)域普通技術(shù)人員會意識到實施本發(fā)明可能 不需要這些具體細(xì)節(jié)����。計算機(jī)網(wǎng)絡(luò)是用于在諸如中間節(jié)點(diǎn)和末端節(jié)點(diǎn)之類的節(jié)點(diǎn)之間傳輸數(shù) 據(jù)的互聯(lián)子網(wǎng)的地理上分布的集合。局域網(wǎng)(LAN)即是這種子網(wǎng)的示 例��;多個LAN還可通過諸如路由器���、網(wǎng)橋或交換機(jī)之類的中間網(wǎng)絡(luò)節(jié)點(diǎn) 互連�����,從而擴(kuò)展計算機(jī)網(wǎng)絡(luò)的有效"尺寸大小"并增加通信節(jié)點(diǎn)的數(shù)目�。 末端節(jié)點(diǎn)的示例可包括服務(wù)器和個人計算機(jī)。這些節(jié)點(diǎn)一般根據(jù)預(yù)定協(xié)議 通過交換離散的數(shù)據(jù)幀或分組來進(jìn)行通信�。在此申請的上下文中,協(xié)議由 一組定義節(jié)點(diǎn)彼此之間如何進(jìn)行交互的規(guī)則組成�。如圖5所示,每個節(jié)點(diǎn)60通常包含許多基本子系統(tǒng)��,子系統(tǒng)包括處 理器子系統(tǒng)61�����、主存儲器62和輸入/輸出(I/O)子系統(tǒng)65��。數(shù)據(jù)通過存 儲器總線63在主存儲器("系統(tǒng)存儲器")62和處理器子系統(tǒng)61之間傳 送�����,通過系統(tǒng)總線66在處理器和I/0子系統(tǒng)之間傳送�。系統(tǒng)總線的示例可 包括傳統(tǒng)的閃電數(shù)據(jù)傳輸(lightning data transport)(或超傳輸)總線以及 傳統(tǒng)的外設(shè)組件[計算機(jī)]互聯(lián)(PCI)總線��。節(jié)點(diǎn)60還可包括連接到系統(tǒng) 總線66用于執(zhí)行附加功能的其他硬件單元/模塊64���。處理器子系統(tǒng)61可 包含一個或多個處理器以及合并了一組功能的控制設(shè)備��,包括系統(tǒng)存儲器 控制器�����、對一個或多個系統(tǒng)總線的支持����,以及直接存儲器訪問(DMA)引 擎。 一般地���,單芯片設(shè)備為通用目的而設(shè)計����,并未針對聯(lián)網(wǎng)應(yīng)用而進(jìn)行高 度優(yōu)化�����。典型的網(wǎng)絡(luò)應(yīng)用中����,從附接到系統(tǒng)總線的1/0子系統(tǒng)的、諸如以太網(wǎng) 媒體訪問控制(MAC)控制器之類的成幀器(framer)接收分組����。MAC 控制器中的DMA引擎設(shè)有該DMA引擎可以在系統(tǒng)存儲器中訪問的緩沖 器的地址列表(例如���,以系統(tǒng)存儲器中的描述符環(huán)的形式)。由于在 MAC控制器處接收每個分組��,DMA引擎獲得系統(tǒng)總線的所有權(quán)��,來訪問 下一個描述符環(huán)以獲得系統(tǒng)存儲器中的下一個緩沖器地址�����,例如它可以將 包含在分組中的數(shù)據(jù)存儲在("寫入")該地址中�����。DMA引擎可能需要 經(jīng)由系統(tǒng)總線發(fā)布許多寫操作來傳送所有的分組數(shù)據(jù)�。本發(fā)明使用IEEE 802.1x規(guī)范作為用戶寬帶匯聚網(wǎng)絡(luò)中跨平臺認(rèn)證機(jī) 制的組成部分�。IEEE 802.1x規(guī)范(也簡稱為"802.1x")是描述用于傳輸 更高層認(rèn)證協(xié)議的第二層(L2)協(xié)議的一組標(biāo)準(zhǔn),意味著它可在端點(diǎn)(客 戶)和認(rèn)證者設(shè)備之間運(yùn)送例如用戶名和密碼信息的證書信息��。802.1x規(guī) 范一次能夠在多種以太類型(Ethertype)(例如IP�、 PPPoE, AppleTalk等 等)上打開或關(guān)閉�。根據(jù)本發(fā)明的一個實施例,802.1x可用于將諸如用戶邊緣(CE)或住 宅網(wǎng)關(guān)(RG)設(shè)備之類的用戶端設(shè)備連接到位于SP網(wǎng)絡(luò)中向后一跳或多 跳的以太網(wǎng)匯聚交換機(jī),以便所有流量能在單一的L2層UNI處認(rèn)證�。 (跳是例如網(wǎng)絡(luò)中的節(jié)點(diǎn)或網(wǎng)關(guān)之類的兩點(diǎn)之間距離的度量。)這使得非IP終端用戶服務(wù)的認(rèn)證成為可能�,非IP終端用戶服務(wù)如可提供多點(diǎn)以太網(wǎng)服務(wù)、以太網(wǎng)中繼服務(wù)����、以太網(wǎng)專線和其他L2層和L3層服務(wù)的虛擬專 用局域網(wǎng)服務(wù)(VPLS)。L2層UNI可包含多種不同設(shè)備��,包括物理層1 (Ll)端口終端�;ATM交換機(jī);位于從CE/RG向后一個L2跳或多個L2跳的MAC地址�����, 其中該MAC地址用于識別和授權(quán)相應(yīng)的CE/RG;對應(yīng)于諸如DSLAM之 類的Ll層匯聚設(shè)備上的物理端口的虛擬MAC地址(vMAC);或?qū)?yīng)于 單一端口的一組MAC地址�。該端口例如可利用MAC掩碼識別。正如稍 后將看到的那樣�,本發(fā)明的認(rèn)證機(jī)制允許在個體(每個應(yīng)用層業(yè)務(wù))基礎(chǔ) 上對到所有應(yīng)用層業(yè)務(wù)、或者作為替代對到那些業(yè)務(wù)的子集的多個端口的 認(rèn)證���。除了認(rèn)證����,根據(jù)本發(fā)明的一個實施例,802.1x可用作允許L2層和L3 層策略應(yīng)用到L2層端點(diǎn)的端到端認(rèn)證�、授權(quán)和計費(fèi)(AAA)機(jī)制的一部 分。這可包括用于授權(quán)端口的服務(wù)質(zhì)量(QoS)配置���,以及授權(quán)/非授權(quán)端 口允許的默認(rèn)資源����,如儀表板/自動配置(dashboard/provisioning)網(wǎng)絡(luò)服務(wù)器�����。圖1是示出根據(jù)本發(fā)明的一個實施例的網(wǎng)絡(luò)拓?fù)鋱D���,其中示例性家庭 網(wǎng)絡(luò)(客戶側(cè))在虛線10左邊描述��,且SP網(wǎng)絡(luò)(服務(wù)器側(cè))在右邊示 出�����。根據(jù)示出的實施例,認(rèn)證協(xié)議在虛線10的兩側(cè)都被使能����?��?蛻魝?cè)包 括與個人計算機(jī)(PC) ll連接的CE設(shè)備,所述個人計算機(jī)在本例中為被 認(rèn)證的單元或組件����。正EE術(shù)語中,PC 11通常稱為"請求者"或"懇求 者"���。耦合到PC 11和CE設(shè)備13的客戶端側(cè)還示出了稱為非對稱數(shù)字用戶 線(asymmetric digital subscriber line, ADSL)調(diào)制解調(diào)器的硬件單元 12���,所述調(diào)制解調(diào)器常被稱為ATU-R (ADSL終端單元-遠(yuǎn)程,ADSL Terminal Unit-Remote)�����。圖1的示例中���,ATU-R單元12提供用于在銅質(zhì) 電話線上傳輸?shù)谋忍氐腄SL物理層編碼���。CE設(shè)備13和ATU-R單元12 — 起可視為到SP網(wǎng)絡(luò)的住宅網(wǎng)關(guān)(RG) 。 RG基本具有與通過邊緣路由器 橋接的PC—樣的上游關(guān)系(即���,通往圖1中的右側(cè))��。意識到其他實施例可使用其他第一層傳輸機(jī)制����,如FTTH或WIMAX。在圖1的SP網(wǎng)絡(luò)側(cè)��,CE設(shè)備13連接到DSLAM設(shè)備15�, DSLAM設(shè)備在一種實施方式中作為認(rèn)證者設(shè)備工作?��;蛘?����,認(rèn)證功能可包含在位于 上游一跳或多跳處的面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備中(例如����,見圖 3禾口 4)����。圖1中,寬帶遠(yuǎn)程接入服務(wù)器(BRAS) 17基本上作為u-PE設(shè) 備工作����。BRAS是終止企業(yè)網(wǎng)的遠(yuǎn)程用戶或因特網(wǎng)服務(wù)供應(yīng)商(ISP)網(wǎng)絡(luò) 的因特網(wǎng)用戶的設(shè)備,并可為遠(yuǎn)程用戶提供防火墻�、認(rèn)證和路由服務(wù)。這 種情況下����,BRAS 17與許多DSLAM耦合并用于在SP網(wǎng)絡(luò)上的單一位置 或節(jié)點(diǎn)匯聚或集中用戶流量。更上游處�����,示出BRAS 17與AAA服務(wù)器18連接����,相應(yīng)地,AAA服 務(wù)器又與因特網(wǎng)服務(wù)供應(yīng)商(ISP) AAA服務(wù)器19連接�����。AAA服務(wù)器18作為用于存儲包括用戶身份和授權(quán)證書的用戶信息的單個源設(shè)備或數(shù)據(jù)庫 來工作�。由于RADIUS協(xié)議是設(shè)備或應(yīng)用用來與AAA服務(wù)器通信的現(xiàn)有 標(biāo)準(zhǔn),因此AAA服務(wù)器18通常也稱為RADIUS服務(wù)器�����。應(yīng)該理解���,認(rèn)證 服務(wù)器和認(rèn)證者可位于不同的管理域(例如從而容納大規(guī)模以及少量接 入)�����。其他實施例中����,多版本的IEEE 802.1x兼容的協(xié)議可在接入網(wǎng)中的 不同點(diǎn)運(yùn)行。也可以令多個懇求者與連接到網(wǎng)絡(luò)中的不同點(diǎn)的CE或RG 設(shè)備相關(guān)聯(lián)���。ISP AAA服務(wù)器19是圖1的網(wǎng)絡(luò)拓?fù)渲械目蛇x設(shè)備����。由于在某些情 況中����,可能希望與其他公司(例如因特網(wǎng)接入供應(yīng)商)驗證用戶證書和其 他用戶信息,以控制對其用戶數(shù)據(jù)庫的訪問���,因此示出的ISP AAA服務(wù)器 19與AAA服務(wù)器18相連�。圖2是說明根據(jù)本發(fā)明的一個實施例的認(rèn)證客戶身份的過程的呼叫流 程圖�。同樣參考附圖l,認(rèn)證過程從客戶或懇求者(例如PCll)向BRAS 17發(fā)送EAP—Start (EAP開始)消息(方塊21)開始。EAP—Start消息根 據(jù)本發(fā)明是為了初始化獲得網(wǎng)絡(luò)接入的過程而運(yùn)行在802.1x協(xié)議頂部的標(biāo) 準(zhǔn)EAP類型的消息��。收到EAP—Start消息后�,BRAS 17通過發(fā)回 EAP—Request—Identity (EAP請求身份)消息(方塊22)�、請求某些用戶 信息(例如身份和證書)來進(jìn)行響應(yīng)。方塊23中��,客戶向BRAS 17發(fā)回包含請求的身份信息的EAP—Response—Identity (EAP響應(yīng)身份)分組�。收到EAP—Responsejdentity分組后,BRAS 17從EAP響應(yīng)有效載荷 中提取用戶身份信息�,并在向本例中作為802.1x認(rèn)證服務(wù)器工作的AAA 服務(wù)器18轉(zhuǎn)發(fā)的RADIUS認(rèn)證接入請求中封裝該信息。圖2中由方塊24 示出該事件的發(fā)生��。 一個實施例中�����,基于客戶端身份�,AAA服務(wù)器18配 置為經(jīng)由具體認(rèn)證算法進(jìn)行認(rèn)證。因此�,AAA服務(wù)器18可向客戶請求一 次密碼(OTP) 。 OTP請求發(fā)往BRAS 17�����。相應(yīng)地,BRAS 17通過將該 OTP請求封裝進(jìn)發(fā)往懇求者的802.1x消息��,來處理該OTP請求(方塊 25)��?����?蛻?例如PC 11)收到OTP請求消息后����,基于內(nèi)部存儲的密鑰,計 算OTP���。例如�����,公開密鑰基礎(chǔ)設(shè)施(PKI)數(shù)字證書或密鑰可用于提供加 密的身份認(rèn)證(密碼)信息�����。圖2中�,方塊26示出OTP被PC 11發(fā)送到 BRAS 17����。然后BRAS 17提取/封裝該OTP并將其發(fā)送到AAA服務(wù)器 18�。 AAA服務(wù)器18驗證該OTP,然后基于所提供的證書或允許或拒絕客 戶對網(wǎng)絡(luò)的接入(方塊27)�����。驗證后���,AAA服務(wù)器18向BRAS 17返回 Access—Accept (接入接受)消息,然后BRAS 17通過802.1x傳輸協(xié)議向 客戶發(fā)送EAP—Success (EAP成功)消息���。然后BRAS 17通知客戶成功并 將客戶的端口轉(zhuǎn)變?yōu)橐咽跈?quán)狀態(tài)�,其中從那以后的流量可通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)����。 意識到802.1x協(xié)議可要求方塊25至27示出的驗證過程周期性重復(fù)來驗證 客戶仍然被授權(quán)連接到SP網(wǎng)絡(luò)(方塊28)。圖2還示出若客戶還不具有IP地址���,則可用于向PC 11提供IP地址 白勺可選的動態(tài)主禾幾酉己置協(xié)議(Dynamic Host Configuration Protocol, DHCP)��。注意到方塊31至34示出的標(biāo)準(zhǔn)DHCP過程開始于客戶的接入 證書已被802.1x認(rèn)證成功驗證之后(方塊27);即���,客戶收到網(wǎng)絡(luò)接入 的授權(quán)后,BRAS端口可以開始接受除包含EAP信息的幀之外的幀。直在 那之前�,BRAS 17上的端口對除EAP消息之外的所有流量關(guān)閉。圖3是根據(jù)本發(fā)明的一個實施例的連接服務(wù)供應(yīng)商網(wǎng)絡(luò)的本地接入域 的用戶網(wǎng)絡(luò)接口圖��。圖3中��,示出的住宅38與本地接入域39相連��。從 DSL物理層后面的銅線路(copper loop)開始示出該連接的各個層�����,所述DSL物理層提供用于編碼銅線上發(fā)送的數(shù)字信息的機(jī)制����。圖3的示例還 示出在第二層協(xié)議內(nèi)部封裝的永久虛擬連接(PVC),它本質(zhì)上是兩個網(wǎng)絡(luò)設(shè)備之間作為租用線路的公共數(shù)據(jù)網(wǎng)絡(luò)等同物來工作的固定虛擬電路�����。但是����,應(yīng)該理解實施本發(fā)明不要求PVC。除了PVC��,連接協(xié)議例如可以是 DSL上的本地以太網(wǎng)。圖3的實施例中����,在以太網(wǎng)中,第三層的語音IP (VoIP)和數(shù)據(jù)業(yè)務(wù) 被示為封裝的�,從而經(jīng)由路徑56 (例如VLAN 18, ISP 1)在RG 41和u-PE設(shè)備53之間傳輸��。視頻業(yè)務(wù)在DLSAM 51中分離��,從而經(jīng)由路徑55(例如VLAN 2�����,視頻)直接連接到u-PE設(shè)備53��。根據(jù)示出的實施例���, 視頻業(yè)務(wù)可在經(jīng)過認(rèn)證機(jī)制以前分離出去。DSLAM 51配置為探聽用戶請 求加入多播視頻節(jié)目的請求���,并且多播VLAN注冊(MVR)允許對視頻 業(yè)務(wù)使用不同組認(rèn)證規(guī)則�����。這樣�,用戶可接收不依賴于802.1x認(rèn)證證書的 一組基本信道。本發(fā)明的這一方面將在下面更詳細(xì)討論���。圖3的示例中DSLAM 51和u-PE設(shè)備53之間的連接52包括吉比特 以太網(wǎng)(GE)物理鏈接��。另外����,IP數(shù)據(jù)業(yè)務(wù)被示為封裝在經(jīng)由路徑57在 RG 41禾口 u-PE設(shè)備53之間的PPPoE內(nèi)�。住宅網(wǎng)關(guān)41可包括為住宅38內(nèi)的所有聯(lián)網(wǎng)設(shè)備提供L3層IP業(yè)務(wù)的 被路由(routed)網(wǎng)關(guān)。舉例來說�����,RG41可包括硬件單元43 (例如機(jī)頂 盒)����、802.1x懇求者設(shè)備44 (例如PC)以及實現(xiàn)EAP協(xié)議的方法的單元 或模塊45。網(wǎng)絡(luò)領(lǐng)域的專業(yè)人員會理解示出的組成RG41的每個元素/功 能單元可由單個設(shè)備實現(xiàn)�,或分布在具有一個或多個處理器的多個設(shè)備 (例如PC、 ATU-R���、 CE等)之間����。可見����,單元43為RG 41運(yùn)行因特網(wǎng)組管理協(xié)議(IGMP),來向 DSLAM 51和/或u-PE 53報告其多播組全體成員�。單元43還包括存儲用于 在網(wǎng)絡(luò)中通信的IP地址信息的IP轉(zhuǎn)發(fā)表。住宅38中的其他設(shè)備可經(jīng)單元 43傳遞流量���,或直接從網(wǎng)絡(luò)為該設(shè)備提供IP地址信息����。圖3的實施例中�����,u-PE設(shè)備53包括提供與前面示例中的BRAS 17相 同的功能的802.1x認(rèn)證者單元(或軟件/固件模塊)58����。即����,單元58與 RG 41和AAA服務(wù)器(未示出)通信來認(rèn)證請求網(wǎng)絡(luò)接入的懇求者��。802.1x認(rèn)證協(xié)議在單元58處中止�。本例中����,由于可能有許多DSLAM (包 括DSLAM 51)連接到u-PE設(shè)備53,因此個體用戶的認(rèn)證基于懇求者的 MAC地址�����?;蛘撸墒褂靡恍┢渌壿嫎?biāo)識符�。圖3示出的網(wǎng)絡(luò)拓?fù)渲校珽AP消息由懇求者44使用802.lx傳輸協(xié)議 通過以太網(wǎng)(由虛線示出)發(fā)送到u-PE設(shè)備53���,并在該設(shè)備中被認(rèn)證者 單元58處理����。以太網(wǎng)可以是多種以太類型��,例如IP�、 PPPoE、 AppleTalk 等等��。本例中,示出的以太網(wǎng)承載IP (路徑56)和PPPoE (其本身又承 載IP;路徑57)��。圖3的示例中���,對于路徑55和57二者���,示出的PPPoE 協(xié)議使用相同的MAC地址。換言之�,單元58使用相同的MAC地址認(rèn)證 兩個以太網(wǎng)數(shù)據(jù)流。根據(jù)本發(fā)明����,可使用不同MAC地址,以便不同的以太網(wǎng)業(yè)務(wù)流可與 另一個分開認(rèn)證���。例如���,話音和視頻業(yè)務(wù)(路徑56和55)可與路徑57上 提供的數(shù)據(jù)業(yè)務(wù)分開認(rèn)證�����。例如路徑57上的數(shù)據(jù)業(yè)務(wù)可由諸如美國在線 之類的ISP提供���,而話音和視頻業(yè)務(wù)由另一個SP (例如Horizon)提供���。 這種情境下���,不同MAC地址的使用允許話音和視頻業(yè)務(wù)的認(rèn)證與數(shù)據(jù)業(yè) 務(wù)分開,本質(zhì)上允許認(rèn)證發(fā)生在每個業(yè)務(wù)關(guān)系的基礎(chǔ)上�����。意識到用于不同 應(yīng)用層業(yè)務(wù)的MAC地址認(rèn)證可位于網(wǎng)絡(luò)中向后多跳的位置�����,甚至穿過一 個或多個匯聚塊�����??创景l(fā)明該方面的另一個方法是經(jīng)由邊緣設(shè)備的物理端口的網(wǎng)絡(luò)接 入可由以太類型打開(或關(guān)閉)。因此�,對非IP終端用戶L2和L3層業(yè) 務(wù)的認(rèn)證可在每業(yè)務(wù)基礎(chǔ)上使能,這在現(xiàn)有技術(shù)方法中無法實現(xiàn)���。另外���, EAP可通過PPPoE和802.1x來傳輸�,從而允許與現(xiàn)有PPPoE AAA數(shù)據(jù)庫 和用戶證書的無縫集成����。事實上,本發(fā)明的網(wǎng)絡(luò)拓?fù)渖夏軌驘o縫地支持諸 如輕量級EAP (LEAP)�、受保護(hù)的EAP (PEAP)、消息摘要5 (MD5) 等之類的各種不同EAP方法�。另外,從認(rèn)證服務(wù)器返回消息能夠通過現(xiàn)有 方法不支持的方式提供端口配置信息或策略信息����。網(wǎng)絡(luò)領(lǐng)域?qū)I(yè)人員還會意識到,通過在DSLAM 52處分離視頻業(yè)務(wù)并 在u-PE設(shè)備53中向后一跳處提供802.1x認(rèn)證��,如圖3的網(wǎng)絡(luò)拓?fù)渲兴?示����,用戶不必經(jīng)過802.1x認(rèn)證者單元58就能請求加入多播視頻節(jié)目(并觀看多播視頻節(jié)目)。換言之����,由于復(fù)制的最后地點(diǎn)位于離本地接入域39中802.1x協(xié)議中止的位置向下一跳處,因此DSL用戶不必傳遞一組證書 就能觀看視頻節(jié)目���。某些情況中����,這種配置有利于希望僅根據(jù)用戶的物理 連接來向用戶提供一組基本的廣播視頻信道的DSLAM供應(yīng)商�����。圖4是根據(jù)本發(fā)明的另一個實施例的連接服務(wù)供應(yīng)商網(wǎng)絡(luò)的本地接入 域的用戶網(wǎng)絡(luò)接口圖���。除了圖4中視頻業(yè)務(wù)在u-PE設(shè)備53而不是 DSLAM 51處從話音和數(shù)據(jù)業(yè)務(wù)中分離出來之外�,圖4的網(wǎng)絡(luò)拓?fù)鋱D與圖 3所示的網(wǎng)絡(luò)拓?fù)鋱D基本相同��。通過基于單個MAC地址接受或拒絕所有 業(yè)務(wù)�����,該配置允許802.1x認(rèn)證在整個物理端口上執(zhí)行����。前面圖3的示例 中,個體業(yè)務(wù)可具有擁有個體規(guī)則組的不同認(rèn)證機(jī)制���。而圖4的實施例 中���,通過對所有業(yè)務(wù)接受或拒絕懇求者的接入網(wǎng)絡(luò)的請求���,而不是在個體 業(yè)務(wù)的基礎(chǔ)上物理打開或關(guān)閉網(wǎng)絡(luò)端口,對所有業(yè)務(wù)應(yīng)用802.1x���。還應(yīng)理解�,本發(fā)明的要素也可提供為可包括機(jī)器可讀介質(zhì)的計算機(jī)程 序產(chǎn)品�����,所述機(jī)器可讀介質(zhì)上存儲可用于給計算機(jī)(例如處理器或其他電 子設(shè)備)編程使其執(zhí)行操作序列的指令�����?����;蛘?����,該操作可由硬件和軟件的 組合執(zhí)行。機(jī)器可讀介質(zhì)可包括但不限于軟盤���、光盤、CD-ROM和磁光 盤��、ROM����、 RAM、 EPROM�、 EEPROM、磁或光卡��、傳播媒質(zhì)或其他類型 的媒質(zhì)/適于存儲電子指令的機(jī)器可讀介質(zhì)�����。例如�,本發(fā)明的要素可作為計 算機(jī)程序產(chǎn)品下載,其中該程序可通過包含在載波或其他傳播介質(zhì)中的數(shù) 據(jù)信號的方式經(jīng)由通信鏈路(例如調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)傳送到節(jié)點(diǎn)或 交換機(jī)�。另外,盡管已結(jié)合具體實施例描述了本發(fā)明�����,但是許多修改和變更同 樣包含在本發(fā)明的范圍內(nèi)。因此����,應(yīng)在說明性而非限制性的意義上看待本 說明書和附圖。
權(quán)利要求
1.一種用于以太網(wǎng)接入網(wǎng)的面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備的操作的處理器實現(xiàn)的方法����,所述方法包括從用戶端設(shè)備接收消息,所述消息與認(rèn)證協(xié)議相兼容并按照IEEE802.1x兼容的協(xié)議從所述用戶端設(shè)備被傳送到所述u-PE設(shè)備��;以及基于所述消息中包含的邏輯標(biāo)識符允許或拒絕對所述以太網(wǎng)接入網(wǎng)的接入�。
2. 如權(quán)利要求1所述的處理器實現(xiàn)的方法,其中所述用戶端設(shè)備包 括住宅網(wǎng)關(guān)(RG)設(shè)備�。
3. 如權(quán)利要求1所述的處理器實現(xiàn)的方法,其中所述以太網(wǎng)接入網(wǎng) 包括以太網(wǎng)數(shù)字用戶線接入復(fù)用器(DSLAM)匯聚網(wǎng)絡(luò)�����。
4. 如權(quán)利要求1所述的處理器實現(xiàn)的方法����,其中所述消息包括可擴(kuò) 展認(rèn)證協(xié)議(EAP)消息。
5. 如權(quán)利要求1所述的處理器實現(xiàn)的方法�,其中所述邏輯標(biāo)識符包 括媒體訪問控制(MAC)地址。
6. 如權(quán)利要求1所述的處理器實現(xiàn)的方法�,還包括在認(rèn)證����、授權(quán)和 計費(fèi)(AAA)服務(wù)器處驗證由所述用戶端設(shè)備提供的用戶證書�。
7. 如權(quán)利要求3所述的處理器實現(xiàn)的方法還包括 對包括如下幀的流量打開寬帶遠(yuǎn)程接入服務(wù)器(BRAS)設(shè)備的端口,所述幀包含所述EAP消息之外的信息���。
8. 如權(quán)利要求4所述的處理器實現(xiàn)的方法還包括 執(zhí)行動態(tài)主機(jī)配置協(xié)議(DHCP)過程來為所述用戶端設(shè)備提供因特網(wǎng)協(xié)議(IP)地址。
9. 一種用于服務(wù)供應(yīng)商(SP)用戶以太網(wǎng)匯聚網(wǎng)絡(luò)的面向用戶的供 應(yīng)商邊緣(u-PE)設(shè)備的操作的處理器實現(xiàn)的方法�,所述方法包括從用戶端設(shè)備接收消息,所述消息與第一協(xié)議相兼容并按照IEEE 802.1x兼容的協(xié)議從所述用戶端設(shè)備被傳送到所述u-PE設(shè)備��;根據(jù)第二協(xié)議向服務(wù)器發(fā)送網(wǎng)絡(luò)接入請求���,所述網(wǎng)絡(luò)接入請求包括用戶身份信息����;從所述服務(wù)器接收驗證信息���;以及基于第一邏輯標(biāo)識符對所述用戶端設(shè)備和所述SP用戶以太網(wǎng)匯聚網(wǎng) 絡(luò)之間的與具體應(yīng)用層業(yè)務(wù)相關(guān)的流量進(jìn)行授權(quán)����。
10. 如權(quán)利要求9所述的處理器實現(xiàn)的方法����,其中所述第一邏輯標(biāo)識 符包括媒體訪問控制(MAC)地址�����。
11. 如權(quán)利要求9所述的處理器實現(xiàn)的方法����,其中所述具體應(yīng)用層業(yè) 務(wù)包括語音IP業(yè)務(wù)��。
12. 如權(quán)利要求9所述的處理器實現(xiàn)的方法���,其中所述具體應(yīng)用層業(yè) 務(wù)包括數(shù)據(jù)業(yè)務(wù)�。
13. 如權(quán)利要求9所述的處理器實現(xiàn)的方法��,其中所述具體應(yīng)用層業(yè) 務(wù)包括視頻業(yè)務(wù)�。
14. 如權(quán)利要求9所述的處理器實現(xiàn)的方法還包括 基于第二邏輯標(biāo)識符對所述用戶端設(shè)備和所述SP用戶以太網(wǎng)匯聚網(wǎng)絡(luò)之間的與不同業(yè)務(wù)相關(guān)的流量進(jìn)行授權(quán)。
15. 如權(quán)利要求9所述的處理器實現(xiàn)的方法��,其中所述服務(wù)器包括寬 帶遠(yuǎn)程接入服務(wù)器(BRAS)設(shè)備��,并且所述消息包括可擴(kuò)展認(rèn)證協(xié)議(EAP)消息���。
16. 如權(quán)利要求15所述的處理器實現(xiàn)的方法還包括 對包括如下幀的流量打開BRAS設(shè)備的端口�����,所述幀包含所述EAP消息之外的信息���。
17. 如權(quán)利要求9所述的處理器實現(xiàn)的方法還包括 執(zhí)行動態(tài)主機(jī)配置協(xié)議(DHCP)過程來為所述用戶端設(shè)備提供因特網(wǎng)協(xié)議(IP)地址��。
18. —種用于與以太網(wǎng)接入網(wǎng)相關(guān)聯(lián)的面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備���,所述u-PE設(shè)備包括端口;與IEEE 802.1x兼容的協(xié)議相兼容的認(rèn)證者����,所述認(rèn)證者配置為通過 所述正EE 802.1x兼容的協(xié)議與住宅網(wǎng)關(guān)(RG)設(shè)備的懇求者設(shè)備進(jìn)行通信�,并通過不同的認(rèn)證協(xié)議與存儲所述懇求者設(shè)備的證書信息的網(wǎng)絡(luò)服務(wù) 器進(jìn)行通信,所述認(rèn)證者在每應(yīng)用層業(yè)務(wù)的基礎(chǔ)上對所述RG設(shè)備和所述 以太網(wǎng)接入網(wǎng)之間的流量打開所述端口 ��。
19. 如權(quán)利要求18所述的u-PE設(shè)備���,其中所述不同的認(rèn)證協(xié)議包括 遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議����。
20. 如權(quán)利要求18所述的u-PE設(shè)備���,其中所述具體應(yīng)用層業(yè)務(wù)由媒 體服務(wù)控制(MAC)地址識別�����。
21. 如權(quán)利要求18所述的u-PE設(shè)備����,其中所述具體應(yīng)用層業(yè)務(wù)由以 太類型識別。
22. 如權(quán)利要求21所述的u-PE設(shè)備�,其中所述具體應(yīng)用層業(yè)務(wù)包括 數(shù)據(jù)業(yè)務(wù)。
23. 如權(quán)利要求20所述的u-PE設(shè)備����,其中所述具體應(yīng)用層業(yè)務(wù)包括 視頻業(yè)務(wù)。
24. —種用于與以太網(wǎng)接入網(wǎng)相關(guān)聯(lián)的面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備�����,所述u-PE設(shè)備包括端口���;用于利用通過IEEE 802.1x兼容的協(xié)議運(yùn)送的可擴(kuò)展認(rèn)證協(xié)議 (EAP)消息與用戶端設(shè)備進(jìn)行通信����,并且用于與存儲用戶證書信息的認(rèn) 證、授權(quán)和計費(fèi)(AAA)服務(wù)器進(jìn)行通信的裝置����,所述裝置在驗證了所述 用戶端設(shè)備提供的證書信息之后,在每應(yīng)用層業(yè)務(wù)的基礎(chǔ)上對所述用戶端 設(shè)備和所述以太網(wǎng)接入網(wǎng)之間的流量打開所述端口 �����。
25. —種服務(wù)供應(yīng)商(SP)用戶以太網(wǎng)接入網(wǎng)��,包括 與用戶端設(shè)備連接的第一層(Ll)傳輸設(shè)備���; 存儲用戶證書信息的認(rèn)證���、授權(quán)和計費(fèi)(AAA)服務(wù)器; 面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備��,所述u-PE設(shè)備耦合到所述AAA服務(wù)器并經(jīng)所述Ll層傳輸設(shè)備連接到所述用戶端設(shè)備����,所述u-PE設(shè) 備具有物理端口并包括這樣的裝置�,所述裝置用于利用通過IEEE 802.1x 兼容的協(xié)議運(yùn)送的可擴(kuò)展認(rèn)證協(xié)議(EAP)消息與用戶端設(shè)備進(jìn)行通信, 并且用于通過不同協(xié)議與所述AAA服務(wù)器進(jìn)行通信�,所述裝置在驗證了所述用戶端設(shè)備提供的證書信息之后,在每應(yīng)用層業(yè)務(wù)的基礎(chǔ)上對所述用 戶端設(shè)備和所述SP用戶以太網(wǎng)接入網(wǎng)之間的流量打開所述物理端口,其中個體應(yīng)用層業(yè)務(wù)由媒體訪問控制(MAC)地址識別����。
26. —種計算機(jī)程序產(chǎn)品,包括計算機(jī)可用的介質(zhì)和包含在所述計算 機(jī)可用介質(zhì)上的計算機(jī)可讀代碼��,所述計算機(jī)可讀代碼的執(zhí)行使所述計算 機(jī)程序產(chǎn)品配置面向用戶的供應(yīng)商邊緣(u-PE)設(shè)備來利用通過IEEE 802.1x兼容的協(xié)議運(yùn)送的可擴(kuò)展認(rèn)證協(xié)議(EAP)消 息與用戶端設(shè)備進(jìn)行通信����;通過不同協(xié)議與AAA服務(wù)器進(jìn)行通信;以及驗證所述用戶端設(shè)備提供的證書信息之后���,在每應(yīng)用層業(yè)務(wù)的基礎(chǔ)上 對所述用戶端設(shè)備和以太網(wǎng)接入網(wǎng)之間的流量打開物理端口����。
27. 如權(quán)利要求25所述的計算機(jī)程序產(chǎn)品�����,其中所述個體應(yīng)用層業(yè) 務(wù)由媒體訪問控制(MAC)地址識別��。
全文摘要
服務(wù)供應(yīng)商(SP)認(rèn)證方法包括從用戶端設(shè)備接收消息����,所述消息與認(rèn)證協(xié)議相兼容����,并從用戶端設(shè)備被傳送到按照IEEE 802.1x兼容的協(xié)議工作的u-PE設(shè)備����。對SP網(wǎng)絡(luò)的接入基于消息中包含的邏輯標(biāo)識符或者被允許或者被拒絕。需要強(qiáng)調(diào)的是�,本摘要的提供遵守如下規(guī)則要求摘要允許檢索者或其他讀者能夠快速確定技術(shù)公開的主題。本摘要的提交帶有如下含義���,即本摘要不應(yīng)當(dāng)用于解釋或限制權(quán)利要求的范圍或意義�。37CFR 1.72(b)�����。
文檔編號H04L12/56GK101326763SQ200680010014
公開日2008年12月17日 申請日期2006年4月17日 優(yōu)先權(quán)日2005年5月31日
發(fā)明者伊恩·伍德, 埃里克·沃爾特, 韋恩·羅格 申請人:思科技術(shù)公司