專利名稱:一種web服務(wù)協(xié)助下的eap認(rèn)證方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及擴(kuò)展的認(rèn)證協(xié)議(EAP)認(rèn)證領(lǐng)域�����,尤其涉及一種WEB服務(wù)協(xié)助下的EAP認(rèn)證方法和設(shè)備��。
背景技術(shù):
擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthentication Protocol, ΕΑΡ),是一個(gè)普遍使用的認(rèn)證機(jī)制��,它常被用于無線網(wǎng)絡(luò)或點(diǎn)到點(diǎn)的連接中�。EAP不僅可以用于無線局域網(wǎng),而且可以用于有線局域網(wǎng)�。當(dāng)EAP被基于IEEE 802.1X的網(wǎng)絡(luò)接入設(shè)備(諸如802.lla/b/g,無線接入點(diǎn))調(diào)用時(shí)�,現(xiàn)代的EAP方法可以提供一個(gè)安全認(rèn)證機(jī)制。IEEE802.1X+EAP認(rèn)證方法主要包括 EAP-SM�����、EAP-AKA、EAP-PEAP��、EAP-TLS 和 EAP-TTLS�。通過 EAP-S頂/EAP-AKA 對(duì)用戶終端進(jìn)行認(rèn)證時(shí),驗(yàn)證�、授權(quán)和記賬(Authentication、Authorization�����、Accounting, AAA)服務(wù)器最終認(rèn)證是否成功還依賴于用戶終端和運(yùn)營(yíng)商的簽約信息(例如合約用戶的合約期�����、預(yù)付費(fèi)用戶業(yè)務(wù)租期和剩余流量)�;用戶訂購業(yè)務(wù)合約過期、用戶欠費(fèi)等因素都可以導(dǎo)致AAA服務(wù)器對(duì)該用戶終端認(rèn)證失敗�����,用戶終端無法訪問網(wǎng)絡(luò)����。通過EAP-TLS/EAP-TTLS對(duì)用戶終端進(jìn)行認(rèn)證時(shí)����,EAP-TLS/EAP-TTLS認(rèn)證方法依賴于數(shù)字證書的有效期���,如果用戶終端數(shù)字證書失效��,那么AAA服務(wù)器對(duì)該用戶終端認(rèn)證失敗��,用戶終端不能正常接入網(wǎng)絡(luò)��。在這種情況下��,為繼續(xù)AAA認(rèn)證,目前通常需要用戶到運(yùn)營(yíng)商的營(yíng)業(yè)點(diǎn)更新數(shù)字證書或續(xù)租業(yè)務(wù)���,這種方式效率低下�,影響用戶業(yè)務(wù)體驗(yàn)����。隨著網(wǎng)上自助服務(wù)的出現(xiàn),用戶可以通過網(wǎng)絡(luò)辦理多種業(yè)務(wù)�,如網(wǎng)上充值、更新數(shù)字證書等。如果能將現(xiàn)有的網(wǎng)上自助服務(wù)與EAP認(rèn)證結(jié)合起來����,勢(shì)必會(huì)提高現(xiàn)有EAP認(rèn)證效率,提升用戶的業(yè)務(wù)體驗(yàn)�����。
發(fā)明內(nèi)容
本發(fā)明提供了一種WEB服務(wù)協(xié)助下的EAP認(rèn)證方法和設(shè)備�����,以解決如何實(shí)現(xiàn)將現(xiàn)有的網(wǎng)上自助服務(wù)與EAP認(rèn)證結(jié)合的技術(shù)問題��。為解決上述技術(shù)問題����,本發(fā)明提供了一種寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)進(jìn)行擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的方法,所述方法包括:從AAA服務(wù)器獲知用戶終端的EAP鑒權(quán)失敗�,判斷是否需要將用戶終端推送到WEB服務(wù)器,如果需要將用戶終端推送到WEB服務(wù)器�����,在接收到來自所述用戶終端的超文本傳輸協(xié)議(HTTP )請(qǐng)求后���,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器�;從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后,重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求���。進(jìn)一步地�����,判斷是否需要將用戶終端推送到WEB服務(wù)器�����,包括:判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因���;或,
判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示����。進(jìn)一步地���,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)�,還攜帶所述EAP鑒權(quán)失敗消息中的失敗原因���。為解決上述技術(shù)問題��,本發(fā)明還提供了一種WEB服務(wù)器協(xié)助擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的方法�����,所述方法包括:接收寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求�����;與所述用戶終端建立連接��,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知����。進(jìn)一步地:所述接收BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后,還判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因���;如果該請(qǐng)求中攜帶EAP鑒權(quán)失敗原因��,則通過所述BNG向用戶推送用于消除所述EAP鑒權(quán)失敗原因的網(wǎng)頁��,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知�����,包括:判斷所述用戶終端完成的消除EAP鑒權(quán)失敗原因的操作是否是消除所述HTTP請(qǐng)求中攜帶的EAP鑒權(quán)失敗原因的操作�,如果是,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知��。為解決上述技術(shù)問題�����,本發(fā)明還提供了一種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證方法�,所述方法包括:寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)采用如上所述的任一項(xiàng)方法進(jìn)行EAP認(rèn)證;WEB服務(wù)器采用如上所述的任一項(xiàng)方法進(jìn)行EAP協(xié)助認(rèn)證�����。為解決上述技術(shù)問題���,本發(fā)明還提供了一種進(jìn)行擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)�,所述BNG包括EAP鑒權(quán)模塊以及WEB重定向模塊�����,其中�,所述EAP鑒權(quán)模塊,用于向AAA服務(wù)器發(fā)出對(duì)用戶終端的EAP鑒權(quán)請(qǐng)求��,并從AAA服務(wù)器接收所述用戶終端EAP鑒權(quán)結(jié)果�����,并將鑒權(quán)結(jié)果通知所述WEB重定向模塊��;所述WEB重定向模塊���,用于獲知鑒權(quán)結(jié)果為用戶終端EAP鑒權(quán)失敗消息后����,判斷是否需要將用戶終端推送到WEB服務(wù)器�,如果需要將用戶終端推送到WEB服務(wù)器,在接收到來自所述用戶終端的超文本傳輸協(xié)議(HTTP )請(qǐng)求后�,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器;以及從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后����,通知EAP鑒權(quán)模塊重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求。進(jìn)一步地����,所述WEB重定向模塊����,用于判斷是否需要將用戶終端推送到WEB服務(wù)器���,包括:所述WEB重定向模塊��,判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因�;或��,判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示����。進(jìn)一步地,
所述WEB重定向模塊��,還用于將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)��,攜帶所述EAP鑒權(quán)失敗消息中的失敗原因�����。為解決上述技術(shù)問題��,本發(fā)明還提供了一種協(xié)助擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的WEB服務(wù)器�,所述WEB服務(wù)器包括鑒權(quán)指示模塊以及網(wǎng)絡(luò)連接建立模塊,其中���,所述網(wǎng)絡(luò)連接建立模塊�,用于接收寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求�����,并與所述用戶終端建立連接�����;所述鑒權(quán)指示模塊�,用于通過所述建立的連接,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作����;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知��。進(jìn)一步地����,所述網(wǎng)絡(luò)連接建立模塊���,還在接收到BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后,判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因����,如果該請(qǐng)求中攜帶EAP鑒權(quán)失敗原因,則通過所述BNG向用戶推送用于消除所述EAP鑒權(quán)失敗原因的網(wǎng)頁��;所述鑒權(quán)指示模塊�,用于接收用戶終端通過所述網(wǎng)頁進(jìn)行的消除EAP鑒權(quán)失敗原因的自助操作;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知,包括:判斷所述用戶終端完成的消除EAP鑒權(quán)失敗原因的操作是否是消除所述HTTP請(qǐng)求中攜帶的EAP鑒權(quán)失敗原因的操作�����,如果是��,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知����。為解決上述技術(shù)問題,本發(fā)明還提供了一種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的系統(tǒng)����,所述系統(tǒng)包括寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)以及WEB服務(wù)器�����,其中�,所述BNG采用如上任一項(xiàng)所述的BNG �;所述WEB服務(wù)器采用如上任一項(xiàng)所述的WEB服務(wù)器�。上述技術(shù)方案,當(dāng)AAA對(duì)用戶終端的鑒權(quán)操作失敗后����,不需要用戶終端親自去運(yùn)營(yíng)商的營(yíng)業(yè)點(diǎn)進(jìn)行消除鑒權(quán)失敗原因的操作,BNG可直接將用戶推送到相關(guān)的WEB服務(wù)器�,利用網(wǎng)上自助服務(wù)幫助用戶通過網(wǎng)絡(luò)消除鑒權(quán)失敗原因,有效地提高了現(xiàn)有的EAP認(rèn)證效率���,提升了用戶的業(yè)務(wù)體驗(yàn)���。
圖1為本實(shí)施例的BNG進(jìn)行EAP認(rèn)證的方法流程圖;圖2為本實(shí)施例的WEB服務(wù)器協(xié)助EAP認(rèn)證的方法流程圖�����;圖3為本第一應(yīng)用示例和第二應(yīng)用示例的網(wǎng)絡(luò)拓?fù)鋱D;圖4為本實(shí)施例的BNG組成模塊圖����;圖5為本實(shí)施例的WEB服務(wù)器組成模塊圖。
具體實(shí)施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白���,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是���,在不沖突的情況下�,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合�����。圖1為本實(shí)施例的BNG進(jìn)行EAP認(rèn)證的方法流程圖�����。
SlOl向AAA服務(wù)器發(fā)送對(duì)用戶終端的EAP鑒權(quán)請(qǐng)求����;S102從AAA服務(wù)器接收到用戶終端EAP鑒權(quán)失敗消息���;S103判斷是否需要將用戶終端推送到WEB服務(wù)器,如果需要��,執(zhí)行步驟S104 ;否貝U��,執(zhí)行步驟S107;BNG可判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因��,如果屬于����,則需要將用戶終端推送到WEB服務(wù)器�����;或���,BNG判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示�,如果接收到來自AA服務(wù)器的指示�����,則需要將用戶終端推送到WEB服務(wù)器�;需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因一般可包括:EAP鑒權(quán)失敗原因可以是欠費(fèi)導(dǎo)致鑒權(quán)失敗、業(yè)務(wù)租期過期導(dǎo)致鑒權(quán)失敗、用戶終端數(shù)字證書過期導(dǎo)致鑒權(quán)失敗等�;除這些列舉的鑒權(quán)失敗原因外,還可是任何通過用戶網(wǎng)上自助服務(wù)即可消除的鑒權(quán)失敗原因�;S104判斷是否接收到來自用戶終端的HTTP請(qǐng)求,如果接收到HTTP請(qǐng)求�,執(zhí)行步驟S105;否則,執(zhí)行步驟S107;S105將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器�;可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器可以為運(yùn)用商的門戶網(wǎng)站所在的服務(wù)器;該服務(wù)器可包含說明認(rèn)證失敗原因的網(wǎng)頁以及提示用戶終端進(jìn)行消除失敗原因自助服務(wù)的網(wǎng)頁����;S106從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知,重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求�����;S107流程結(jié)束���。上述實(shí)施例中����,BNG在接收到來自AAA服務(wù)器的用戶終端EAP鑒權(quán)失敗消息后����,還可先判斷該鑒權(quán)失敗消息是否攜帶失敗原因�;如果鑒權(quán)失敗消息中攜帶失敗原因�����,則在將用戶終端發(fā)送HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)����,可將所述失敗原因攜帶在所述HTTP請(qǐng)求中發(fā)送至所述WEB服務(wù)器,幫助WEB服務(wù)器快速定位到提示用戶終端進(jìn)行消除該失敗原因自助服務(wù)的網(wǎng)頁�,提高WEB服務(wù)器的響應(yīng)速度,提升用戶體驗(yàn)�����。圖2為本實(shí)施例的WEB服務(wù)器協(xié)助EAP認(rèn)證的方法流程圖�。S201接收BNG轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求����;接收到BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后,還可先判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因��,如果攜帶鑒權(quán)失敗原因�����,可根據(jù)該鑒權(quán)失敗原因定位到用于消除所述失敗原因的網(wǎng)頁;S202與用戶終端建立連接��,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�����;S203在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后�����,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知��。本發(fā)明還提供了一種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證方法的實(shí)施例��,該實(shí)施例涉及寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)和WEB服務(wù)器�,其中,BNG采用如上所述的方法進(jìn)行EAP認(rèn)證����,WEB服務(wù)器亦采用如上所述的方法進(jìn)行EAP認(rèn)證,此處不再累述����。
下面以2個(gè)應(yīng)用示例,對(duì)上述WEB服務(wù)協(xié)助下的EAP認(rèn)證方法的實(shí)施例進(jìn)行進(jìn)一步詳細(xì)說明���。應(yīng)用示例一:普通有線接入場(chǎng)景�,網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。本應(yīng)用示例中AN可以是DSLAM+SW組成的前端接入網(wǎng)絡(luò)��,但不局限于DSLAM+SW��。本應(yīng)用示例中由于終端用戶欠費(fèi)導(dǎo)致EAP鑒權(quán)失敗�。步驟一:BNG接收用戶終端經(jīng)由AN網(wǎng)絡(luò)發(fā)起的EAPoL-Start報(bào)文;如果用戶終端支持EAPoL_v3以上協(xié)議�,用戶終端可以通過EAPoL-Start-Annoncement報(bào)文中的TLV擴(kuò)展選項(xiàng),通知BNG是否在鑒權(quán)失敗時(shí)支持WEB強(qiáng)推服務(wù)����、是否允許BNG通過DHCP獲取IP地址、自身地址是否為靜態(tài)IP地址等業(yè)務(wù)條件���,以便BNG進(jìn)行相關(guān)的策略處理�;BNG也可以默認(rèn)為在鑒權(quán)失敗時(shí)�,對(duì)用戶終端采用WEB強(qiáng)推服務(wù)���;或在接收到來自AAA服務(wù)器的鑒權(quán)失敗結(jié)果后��,判斷該鑒權(quán)失敗結(jié)果中是否攜帶對(duì)用戶終端采用WEB強(qiáng)推服務(wù)的指示���,如果接收到所述指示��,則對(duì)用戶終端采用WEB強(qiáng)推服務(wù)���;步驟二:BNG收到EAPoL-Start消息,開始創(chuàng)建EAPoL用戶會(huì)話���;BNG經(jīng)由AN網(wǎng)絡(luò)發(fā)送EAPoL-EAP-Request-1dentity消息給用戶終端獲取身份信息�����;步驟三:BNG獲取用戶終端經(jīng)由AN網(wǎng)絡(luò)發(fā)送的EAPoL-EAP-Response-1dentity �;步驟四:BNG封裝EAPoL-EAP-Response-1dentity消息到鑒權(quán)請(qǐng)求報(bào)文(如RADIUS協(xié)議的Access-Request報(bào)文)中����,發(fā)送該鑒權(quán)請(qǐng)求報(bào)文給鑒權(quán)服務(wù)器AAA ;步驟五-Mk服務(wù)器與用戶終端協(xié)商具體的認(rèn)證方法(如EAP-PEAP����、EAP-SIM,EAP-AKA、EAP-TLS, EAP-TTLS)�����,根據(jù)協(xié)商的具體方法對(duì)客戶端進(jìn)行鑒權(quán);同時(shí)��,AAA服務(wù)器還協(xié)同HLR對(duì)用戶的簽約信息和業(yè)務(wù)特性進(jìn)行檢查�����,判斷該用戶終端是否合法�����;如果AAA服務(wù)器判斷出該用戶終端合法�,且對(duì)用戶終端的EAP鑒權(quán)成功,執(zhí)行步驟十四�;否則,執(zhí)行步驟六���;步驟六-Mk服務(wù)器返回指示用戶欠費(fèi)的鑒權(quán)失敗消息給BNG��,BNG返回該失敗消息給用戶終端����;同時(shí)���,BNG確定需要對(duì)用戶終端采用WEB強(qiáng)推服務(wù)��;步驟七:BNG與用戶終端進(jìn)行DHCP報(bào)文交互���,獲取用戶終端的IP地址;設(shè)置IP地址與運(yùn)營(yíng)商門戶網(wǎng)站的對(duì)應(yīng)關(guān)系�����;步驟八:BNG接收到來自所述IP地址的HTTP請(qǐng)求(該HTTP請(qǐng)求包含指示用戶欠費(fèi)的信息)����,根據(jù)設(shè)置的對(duì)應(yīng)關(guān)系,將該HTTP請(qǐng)求重定向運(yùn)營(yíng)商的門戶網(wǎng)站所在的WEB服務(wù)器�;步驟九:WEB服務(wù)器根據(jù)用戶欠費(fèi)信息定位用戶充值網(wǎng)頁;步驟十:BNG建立用戶終端與該WEB服務(wù)器之間的TCP連接�����;WEB服務(wù)器通過BNG將用戶充值網(wǎng)頁推動(dòng)給用戶終端�,WEB服務(wù)器通過所述網(wǎng)頁與所述用戶終端交互,接收所述用戶終端進(jìn)行充值的自助操作�;步驟十一:在所述用戶終端執(zhí)行充值操作后,WEB服務(wù)器通過擴(kuò)展的Portal協(xié)議認(rèn)證請(qǐng)求報(bào)文告知BNG繼續(xù)對(duì)用戶進(jìn)行EAP鑒權(quán)會(huì)話��;步驟十二:BNG發(fā)送EAPoL-EAP-Request-1dentity消息給用戶終端,重新觸發(fā)用戶終端和AAA進(jìn)行EAP認(rèn)證交互;步驟十三:AAA服務(wù)器向BNG發(fā)送用戶終端EAP鑒權(quán)成功消息����;
步驟十四:流程結(jié)束。應(yīng)用示例二:無線接入場(chǎng)景����。在應(yīng)用示例中,AN可以是AP-FAT組成的前端接入網(wǎng)絡(luò)����,也可以是AP-FIT+AC組網(wǎng)的前端接入網(wǎng)絡(luò)。本應(yīng)用示例中由于終端用戶業(yè)務(wù)簽約過期導(dǎo)致用戶鑒權(quán)失敗����。步驟一:BNG接收用戶終端經(jīng)由AP發(fā)起的EAPoL-Start報(bào)文;步驟二:BNG收到AP轉(zhuǎn)發(fā)的EAPoL-Start報(bào)文����,創(chuàng)建EAP會(huì)話,發(fā)送EAPoL-EAP-Request-1dentity報(bào)文向用戶終端獲取身份信息�;步驟三:BNG獲取用戶終端經(jīng)由AP發(fā)送的EAPoL-EAP-Response-1dentity ;步驟四:BNG封裝EAPoL-EAP-Response-1dentity消息到鑒權(quán)請(qǐng)求報(bào)文(如:RADIUS協(xié)議中的Access-Request報(bào)文)中�����,發(fā)送該鑒權(quán)請(qǐng)求報(bào)文給鑒權(quán)服務(wù)器AAA ;步驟五:AAA服務(wù)器與用戶終端協(xié)商具體的認(rèn)證方法(EAP-PEAP�、EAP-SIM,EAP-AKA、EAP-TLS, EAP-TTLS)�,根據(jù)協(xié)商的具體方法對(duì)客戶端進(jìn)行鑒權(quán)�;同時(shí),AAA服務(wù)器還協(xié)同HLR對(duì)用戶的簽約信息和業(yè)務(wù)特性進(jìn)行檢查以判斷該用戶終端是否合法���,以及獲取PMK ;如果AAA服務(wù)器判斷出該用戶終端合法�,且對(duì)用戶終端的EAP鑒權(quán)成功��,執(zhí)行步驟十四�����;否則��,執(zhí)行步驟六����;步驟六-Mk服務(wù)器返回指示用戶業(yè)務(wù)簽約到期的鑒權(quán)失敗消息給BNG,BNG返回該失敗消息給用戶終端���;同時(shí)����,BNG確定需要對(duì)用戶終端采用WEB強(qiáng)推服務(wù);用戶業(yè)務(wù)簽約到期的指示信息可攜帶在EAPoL-Announcement消息或直接在EAPoL-EAP-Fail消息的擴(kuò)展TLV選項(xiàng)中��;用戶終端在接收到EAPoL-Announcement或EAPoL-EAP-Fail消息后�����,如果需要繼續(xù)和AP交互��,保留EAP認(rèn)證階段獲悉的PMK��,繼續(xù)和AP進(jìn)行密鑰協(xié)商�����,以使AP在WPA/WPA2的空口加密環(huán)境下正常轉(zhuǎn)發(fā)用戶終端的DHCP報(bào)文和其他業(yè)務(wù)報(bào)文��,保證經(jīng)空口轉(zhuǎn)發(fā)報(bào)文的安全性����;步驟七:BNG與用戶終端進(jìn)行DHCP報(bào)文交互,獲取用戶終端的IP地址����;設(shè)置IP地址與運(yùn)營(yíng)商門戶網(wǎng)站的對(duì)應(yīng)關(guān)系�����;步驟八:BNG接收到來自所述IP地址的HTTP請(qǐng)求(該HTTP請(qǐng)求包含指示用戶欠費(fèi)信息)�,根據(jù)設(shè)置的對(duì)應(yīng)關(guān)系��,將該HTTP請(qǐng)求重定向運(yùn)營(yíng)商的門戶網(wǎng)站所在的WEB服務(wù)器�;步驟九:WEB服務(wù)器根據(jù)用戶業(yè)務(wù)簽約到期的指示信息定位業(yè)務(wù)續(xù)租網(wǎng)頁�;步驟十:BNG建立用戶終端與該WEB服務(wù)器之間的TCP連接;WEB服務(wù)器通過BNG將業(yè)務(wù)續(xù)租網(wǎng)頁推動(dòng)給用戶終端���,WEB服務(wù)器通過所述網(wǎng)頁與所述用戶終端交互��,接收所述用戶終端進(jìn)行續(xù)租的自助操作���;步驟十一:在所述用戶終端執(zhí)行續(xù)租操作后,WEB服務(wù)器通過擴(kuò)展的Portal協(xié)議認(rèn)證請(qǐng)求報(bào)文告知BNG重新對(duì)用戶進(jìn)行EAP鑒權(quán)會(huì)話�;步驟十二:BNG發(fā)送EAPoL-EAP-Request-1dentity消息給用戶終端,重新觸發(fā)用戶終端和AAA進(jìn)行EAP認(rèn)證交互;步驟十三:AAA服務(wù)器向BNG發(fā)送用戶終端EAP鑒權(quán)成功消息����;步驟十四:流程結(jié)束。圖4為本實(shí)施例的BNG組成模塊圖��。
該BNG包括EAP鑒權(quán)模塊以及WEB重定向模塊,其中����,EAP鑒權(quán)模塊,用于向AAA服務(wù)器發(fā)出對(duì)用戶終端的EAP鑒權(quán)請(qǐng)求�����,并從AAA服務(wù)器接收所述用戶終端EAP鑒權(quán)結(jié)果�,并將鑒權(quán)結(jié)果通知所述WEB重定向模塊;WEB重定向模塊��,用于獲知鑒權(quán)結(jié)果為用戶終端EAP鑒權(quán)失敗消息后���,判斷是否需要將用戶終端推送到WEB服務(wù)器���,如果需要將用戶終端推送到WEB服務(wù)器,在接收到來自所述用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求后��,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器���;以及從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后�,通知EAP鑒權(quán)模塊重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求��;上述WEB重定向模塊,用于判斷是否需要將用戶終端推送到WEB服務(wù)器�,包括:判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因,如果屬于��,則需要將用戶終端推送到WEB服務(wù)器����;或,判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示�;如果接收到來自AA服務(wù)器的指示,則需要將用戶終端推送到WEB服務(wù)器��;上述WEB重定向模塊����,還用于將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)�����,攜帶所述EAP鑒權(quán)失敗消息中的失敗原因�,幫助WEB服務(wù)器快速定位到提示用戶終端進(jìn)行消除該失敗原因自助服務(wù)的網(wǎng)頁,提高WEB服務(wù)器的響應(yīng)速度�����,提升用戶體驗(yàn)。圖5為本實(shí)施例的WEB服務(wù)器組成模塊圖����。該WEB服務(wù)器包括鑒權(quán)指示模塊以及網(wǎng)絡(luò)連接建立模塊,其中����,所述網(wǎng)絡(luò)連接建立模塊,用于接收寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求����,并與所述用戶終端建立連接;所述鑒權(quán)指示模塊��,用于通過所述建立的連接��,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知��。上述網(wǎng)絡(luò)連接建立模塊��,還可在接收到BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后����,判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因���,如果該請(qǐng)求中攜帶EAP鑒權(quán)失敗原因,則通過所述BNG向用戶推送用于消除所述EAP鑒權(quán)失敗原因的網(wǎng)頁���;鑒權(quán)指示模塊�����,用于接收用戶終端通過所述網(wǎng)頁進(jìn)行的消除EAP鑒權(quán)失敗原因的自助操作����;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知,包括:判斷所述用戶終端完成的消除EAP鑒權(quán)失敗原因的操作是否是消除所述HTTP請(qǐng)求中攜帶的EAP鑒權(quán)失敗原因的操作���,如果是,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知���。本發(fā)明還提供了一種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證系統(tǒng)的實(shí)施例��,該實(shí)施例涉及寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)和WEB服務(wù)器����,其中,BNG采用如上組成模塊的BNG���,WEB服務(wù)器亦采用如上組成模塊的WEB服務(wù)器�����,此處不再累述�。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成�,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,如只讀存儲(chǔ)器���、磁盤或光盤等�����?��?蛇x地,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)��,相應(yīng)地�����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)��。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合���。需要說明的是��,本發(fā)明還可有其他多種實(shí)施例����,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍���。
權(quán)利要求
1.一種寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)進(jìn)行擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的方法�,其特征在于��,所述方法包括: 從AAA服務(wù)器獲知用戶終端的EAP鑒權(quán)失敗��,判斷是否需要將用戶終端推送到WEB服務(wù)器����,如果需要將用戶終端推送到WEB服務(wù)器,在接收到來自所述用戶終端的超文本傳輸協(xié)議(HTTP )請(qǐng)求后��,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器�����; 從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后�,重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求。
2.如權(quán)利要求1所述的方法����,其特征在于: 判斷是否需要將用戶終端推送到WEB服務(wù)器,進(jìn)一步包括: 判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因���; 或���, 判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示。
3.如權(quán)利要求1所述的方法��,其特征在于: 將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)���,還攜帶所述EAP鑒權(quán)失敗消息中的失敗原因�。
4.一種WEB服務(wù)器協(xié)助擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的方法�����,其特征在于,所述方法包括: 接收寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求�����; 與所述用戶終端建立連接��,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�; 在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知��。
5.如權(quán)利要求4所述的方法��,其特征在于: 所述接收BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后�,還判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因; 如果該請(qǐng)求中攜帶EAP鑒權(quán)失敗原因�,則通過所述BNG向用戶推送用于消除所述EAP鑒權(quán)失敗原因的網(wǎng)頁,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作�����; 在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知,包括:判斷所述用戶終端完成的消除EAP鑒權(quán)失敗原因的操作是否是消除所述HTTP請(qǐng)求中攜帶的EAP鑒權(quán)失敗原因的操作���,如果是�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知�。
6.一種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證方法,其特征在于��,所述方法包括: 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)采用如權(quán)利要求f 3中任一項(xiàng)所述的方法進(jìn)行EAP認(rèn)證�; WEB服務(wù)器采用如權(quán)利要求4或5所述的方法進(jìn)行EAP協(xié)助認(rèn)證。
7.一種進(jìn)行擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)���,其特征在于����,所述BNG包括EAP鑒權(quán)模塊以及WEB重定向模塊�,其中, 所述EAP鑒權(quán)模塊����,用于向AAA服務(wù)器發(fā)出對(duì)用戶終端的EAP鑒權(quán)請(qǐng)求,并從AAA服務(wù)器接收所述用戶終端EAP鑒權(quán)結(jié)果�����,并將鑒權(quán)結(jié)果通知所述WEB重定向模塊�����; 所述WEB重定向模塊,用于獲知鑒權(quán)結(jié)果為用戶終端EAP鑒權(quán)失敗消息后��,判斷是否需要將用戶終端推送到WEB服務(wù)器�����,如果需要將用戶終端推送到WEB服務(wù)器�,在接收到來自所述用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求后,將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器�����;以及從所述WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后����,通知EAP鑒權(quán)模塊重新向AAA服務(wù)器發(fā)出對(duì)所述用戶終端的EAP鑒權(quán)請(qǐng)求。
8.如權(quán)利要求7所述的BNG��,其特征在于�����, 所述WEB重定向模塊�����,用于判斷是否需要將用戶終端推送到WEB服務(wù)器,包括: 所述WEB重定向模塊���,判斷鑒權(quán)失敗原因是否屬于預(yù)設(shè)的需要將用戶終端推送到WEB服務(wù)器的鑒權(quán)失敗原因;或�����,判斷是否接收到AAA服務(wù)器發(fā)送的將用戶終端推送到WEB服務(wù)器的指示���。
9.如權(quán)利要求7或8所述的BNG��,其特征在于��, 所述WEB重定向模塊����,還用于將所述HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器時(shí)���,攜帶所述EAP鑒權(quán)失敗消息中的失敗原因��。
10.一種協(xié)助擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的WEB服務(wù)器�,其特征在于,所述WEB服務(wù)器包括鑒權(quán)指示模塊以及網(wǎng)絡(luò)連接建立模塊�,其中, 所述網(wǎng)絡(luò)連接建立模塊��,用于接收寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)轉(zhuǎn)發(fā)的用戶終端的超文本傳輸協(xié)議(HTTP)請(qǐng)求����,并與所述用戶終端建立連接; 所述鑒權(quán)指示模塊��,用于通過所述建立的連接�,接收所述用戶終端消除EAP鑒權(quán)失敗原因的自助操作;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知。
11.如權(quán)利要求10所述的WEB服務(wù)器�,其特征在于, 所述網(wǎng)絡(luò)連接建立模塊���,還 在接收到BNG轉(zhuǎn)發(fā)的用戶終端的HTTP請(qǐng)求后����,判斷該請(qǐng)求中是否攜帶EAP鑒權(quán)失敗原因����,如果該請(qǐng)求中攜帶EAP鑒權(quán)失敗原因���,則通過所述BNG向用戶推送用于消除所述EAP鑒權(quán)失敗原因的網(wǎng)頁; 所述鑒權(quán)指示模塊����,用于接收用戶終端通過所述網(wǎng)頁進(jìn)行的消除EAP鑒權(quán)失敗原因的自助操作;在所述用戶終端完成消除EAP鑒權(quán)失敗原因的操作后����,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知�����,包括:判斷所述用戶終端完成的消除EAP鑒權(quán)失敗原因的操作是否是消除所述HTTP請(qǐng)求中攜帶的EAP鑒權(quán)失敗原因的操作���,如果是�,向所述BNG發(fā)送指示EAP繼續(xù)鑒權(quán)的通知�。
12.—種WEB服務(wù)協(xié)助下的擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證的系統(tǒng),其特征在于���,所述系統(tǒng)包括寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG)以及WEB服務(wù)器����,其中, 所述BNG采用權(quán)利要求7���、中任一項(xiàng)所述的BNG �����; 所述WEB服務(wù)器采用權(quán)利要求l(Tll中任一項(xiàng)所述的WEB服務(wù)器�����。
全文摘要
本發(fā)明提供了一種WEB服務(wù)協(xié)助下的EAP認(rèn)證方法和設(shè)備���,其中,BNG進(jìn)行EAP認(rèn)證的方法包括從AAA服務(wù)器獲知用戶終端的EAP鑒權(quán)失敗�,判斷是否需要將用戶終端推送到WEB服務(wù)器,如果需要將用戶終端推送到WEB服務(wù)器�,在接收到來自用戶終端的HTTP請(qǐng)求后,將HTTP請(qǐng)求重定向至可消除EAP鑒權(quán)失敗原因的WEB服務(wù)器�;從WEB服務(wù)器接收EAP繼續(xù)鑒權(quán)的通知后,重新向AAA服務(wù)器發(fā)出對(duì)用戶終端的EAP鑒權(quán)請(qǐng)求�����。本發(fā)明實(shí)現(xiàn)了現(xiàn)有網(wǎng)上自助服務(wù)與EAP認(rèn)證相結(jié)合。
文檔編號(hào)H04L29/08GK103152332SQ201310051830
公開日2013年6月12日 申請(qǐng)日期2013年2月17日 優(yōu)先權(quán)日2013年2月17日
發(fā)明者梁乾燈, 石磊, 王姝懿 申請(qǐng)人:中興通訊股份有限公司