專利名稱:無線局域網(wǎng)集中式802.1x認(rèn)證方法及裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及無線局域網(wǎng)集中式802. IX認(rèn)證方法及裝置和系統(tǒng)���。
背景技術(shù):
IEEE (Institute of Electrical and Electronics Engineers�,美國電氣禾口電子 工程師協(xié)會(huì))802. 11中定義的無線局域網(wǎng)(WLAN����,Wireless Local Area Network)基本結(jié)構(gòu) 可如圖1所示,其中��,站點(diǎn)(STA����,Stati0n)指具有無線局域網(wǎng)接口的終端設(shè)備,接入點(diǎn)(AP�, Access Point)相當(dāng)于移動(dòng)網(wǎng)絡(luò)的基站,主要負(fù)責(zé)實(shí)現(xiàn)STA之間或STA與有線網(wǎng)絡(luò)的相關(guān) 設(shè)備進(jìn)行通信�����,多個(gè)STA可接入到同一個(gè)AP上����。關(guān)聯(lián)到同一 AP下的STA構(gòu)成一個(gè)基本服 務(wù)集(BSS, Basic service set)。分發(fā)系統(tǒng)(DS���,Distribution System,)用于使不同 BSS 之間����、以及BSS與有線局域網(wǎng)之間能夠組成一個(gè)大的局域網(wǎng)��。門戶(portal)設(shè)備為提供DS 與有線局域網(wǎng)之間數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯點(diǎn)�����。WLAN系統(tǒng)中����,一般采用服務(wù)設(shè)置標(biāo)識(shí)(SSID,Service Set Identifier)區(qū)分不同 的無線局域網(wǎng)��。當(dāng)不同的BSS(可用BSSID來標(biāo)識(shí))通過DS組成一個(gè)大的局域網(wǎng)時(shí)���,則它 們擁有同樣的SSID�。目前WLAN普遍采用無線相容性認(rèn)證(WI-FI,wireless fidelity)聯(lián)盟推薦的 WI-FI保護(hù)接入(WPA���,WI_FI Protected Access)安全機(jī)制���。WPA企業(yè)版(此處指各種WPA 企業(yè)版的統(tǒng)稱)基于802. IX認(rèn)證協(xié)議來實(shí)現(xiàn)。802. IX認(rèn)證的網(wǎng)絡(luò)結(jié)構(gòu)上可以分為三個(gè) 部分����,包括申請(qǐng)認(rèn)證方(即用戶端口接入實(shí)體(簡稱用戶設(shè)備(UE,User Equipment), 而在WLAN中���,UE可以稱之為STA)�、認(rèn)證系統(tǒng)(Authenticator system)(即認(rèn)證實(shí)體(AE���, Authentication Entity)禾口認(rèn)i正月艮務(wù)器(AS, Authenticator server system)���。在默認(rèn)情況下,AE開始只允許UE的認(rèn)證報(bào)文通過�,只有在該UE認(rèn)證通過后,AE 才允許其業(yè)務(wù)報(bào)文通過�。在WLAN網(wǎng)絡(luò)中����,AS為遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(Radius��,Remote Authentication Dial In User Service)服務(wù)器�����,AE—般對(duì)應(yīng)為 AP���,而 UE 為 STA。在認(rèn)證過程中����,認(rèn)證報(bào)文在STA和AP之間傳送。WLAN在認(rèn)證開始前STA和AP已 經(jīng)有關(guān)聯(lián)過程����,故而STA和AP在認(rèn)證前都已學(xué)習(xí)到了對(duì)端的空口介質(zhì)訪問控制(MAC,Media Access Control)地址(如BSSID)��,因此IEEE 802. IX協(xié)議規(guī)定�,在WLAN網(wǎng)絡(luò)中,UE所有 可擴(kuò)展認(rèn)證協(xié)議(EAP�����,ExtensiveAuthentication Protocol)認(rèn)證報(bào)文(包括首個(gè)報(bào)文) 都必須使用單播地址。IEEE802. IX協(xié)議規(guī)定在WLAN中��,所有的EAP認(rèn)證報(bào)文均使用單播地址需滿足的 一個(gè)前提條件為AE—定是AP設(shè)備(UE在與AP的關(guān)聯(lián)過程中能學(xué)習(xí)到AP的空口對(duì)應(yīng)的 MAC地址(如BSSID))��。家庭或者小企業(yè)等場(chǎng)景下的WLAN可滿足該條件��,因?yàn)樵谶@些場(chǎng)景 中AP數(shù)量有限��,將每個(gè)AP配置成AE的工作量不是很大�����,這種認(rèn)證部署方式可稱分布式認(rèn) 證部署�����。隨著技術(shù)發(fā)展���,適用于大企業(yè)或運(yùn)營商的大型WLAN大量部署��,而大型WLAN中AP數(shù)量非常龐大�,為了減輕管理負(fù)擔(dān),目前一般采用瘦AP組網(wǎng)����,此時(shí),AE設(shè)備可能會(huì)部署在 接入控制器(AC����,access controller)上,也可能部署在AC上面的多業(yè)務(wù)控制網(wǎng)關(guān)(MSCG�, Multi-service control gateway)設(shè)備上�,這種將AE設(shè)備集中部署在AC或MSCG等設(shè)備上 的認(rèn)證部署方式可稱集中式認(rèn)證部署。由于集中式認(rèn)證部署的AE并不是AP設(shè)備����,因此UE在認(rèn)證之前無法學(xué)習(xí)到AE的 MAC地址,而IEEE 802. IX協(xié)議規(guī)定UE所有EAP認(rèn)證報(bào)文(包括首個(gè)報(bào)文)都必須使用單 播地址����,此時(shí)按照現(xiàn)有機(jī)制則無法認(rèn)證完成。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供無線局域網(wǎng)集中式802. IX認(rèn)證方法及裝置和系統(tǒng)�����,以實(shí)現(xiàn)UE 的無線局域網(wǎng)集中式802. IX認(rèn)證���。為便于解決上述技術(shù)問題�����,本發(fā)明實(shí)施例提供以下技術(shù)方案一種無線局域網(wǎng)集中式802. IX認(rèn)證方法����,所述無線局域網(wǎng)包括認(rèn)證實(shí)體、接入點(diǎn) 以及至少一個(gè)用戶設(shè)備UE���,所述認(rèn)證實(shí)體通過所述接入點(diǎn)與所述至少一個(gè)UE相連�����,所述方 法包括接入點(diǎn)接收來自UE的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文��,所述EAP認(rèn)證開始報(bào)文 的目的地址為該接入點(diǎn)的空口對(duì)應(yīng)的介質(zhì)訪問控制MAC地址�����、源地址為所述UE的MAC地 址�;將所述EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址或者認(rèn)證實(shí) 體的MAC地址���;轉(zhuǎn)發(fā)所述修改了目的地址的EAP認(rèn)證開始報(bào)文�����,以便于所述認(rèn)證實(shí)體根據(jù)所述修 改了目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接入認(rèn)證���。一種無線局域網(wǎng)集中式802. IX認(rèn)證方法���,包括接入點(diǎn)生成EAP認(rèn)證開始報(bào)文,該EAP認(rèn)證開始報(bào)文的目的地址為端口接入實(shí)體 組播地址或者認(rèn)證實(shí)體的MAC地址����、源地址為UE的MAC地址;發(fā)送所述EAP認(rèn)證開始報(bào)文�����;接收認(rèn)證實(shí)體發(fā)送的EAP認(rèn)證報(bào)文����,所述EAP認(rèn)證報(bào)文的源地址為所述認(rèn)證實(shí)體 的MAC地址���、目的地址為所述UE的MAC地址�����;將所述EAP認(rèn)證報(bào)文的源地址修改為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址����,并向所 述UE轉(zhuǎn)發(fā)所述修改了源地址的EAP認(rèn)證報(bào)文。一種接入點(diǎn)設(shè)備����,包括第一接收模塊,用于接收UE發(fā)送的EAP認(rèn)證開始報(bào)文�,所述EAP認(rèn)證開始報(bào)文的 目的地址為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址、源地址為所述UE的MAC地址��;第一地址修改模塊�,用于將所述第一接收模塊接收的EAP認(rèn)證開始報(bào)文的目的地 址修改為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體的MAC地址;第一轉(zhuǎn)發(fā)模塊�����,用于轉(zhuǎn)發(fā)所述第一地址修改模塊修改了目的地址的EAP認(rèn)證開始 報(bào)文����,以便于所述認(rèn)證實(shí)體根據(jù)所述修改了目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接 入認(rèn)證。一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)�����,無線局域網(wǎng)包括認(rèn)證實(shí)體、接入點(diǎn)以及至少一個(gè)用戶設(shè)備UE����,所述認(rèn)證實(shí)體通過所述接入點(diǎn)與所述至少一個(gè)UE相連,其中�,所述接入點(diǎn),用于接收UE發(fā)送的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文���,所述 EAP認(rèn)證開始報(bào)文的目的地址為所述接入點(diǎn)的空口對(duì)應(yīng)的介質(zhì)訪問控制MAC地址�����、源地址 為所述UE的MAC地址����;將所述EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址 或者認(rèn)證實(shí)體的MAC地址����;轉(zhuǎn)發(fā)所述修改了目的地址的EAP認(rèn)證開始報(bào)文�����,以便于所述認(rèn)證 實(shí)體根據(jù)所述修改了目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接入認(rèn)證���。由上可見��,本發(fā)明實(shí)施例提供的一種技術(shù)方案中�����,集中式認(rèn)證部署中的接入點(diǎn)接 收到來自UE的目的地址為該接入點(diǎn)的空口對(duì)應(yīng)的MAC地址的EAP認(rèn)證開始報(bào)文后����,將該報(bào) 文的目的地址修改為認(rèn)證實(shí)體的MAC地址�,并轉(zhuǎn)發(fā)該修改了目的地址EAP認(rèn)證開始報(bào)文���,使 得EAP認(rèn)證開始報(bào)文能夠到達(dá)認(rèn)證實(shí)體而不終結(jié)于該接入點(diǎn)����,進(jìn)而可觸發(fā)UE的接入認(rèn)證流 程�����,以實(shí)現(xiàn)UE無線局域網(wǎng)集中式802. IX認(rèn)證��;并且��,該機(jī)制使得UE能夠按照IEEE 802. IX 協(xié)議的規(guī)定單播發(fā)送所有EAP認(rèn)證報(bào)文����,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議 機(jī)制的認(rèn)證程序���。本發(fā)明實(shí)施例提供的另一種技術(shù)方案中,由集中式認(rèn)證部署中的接入點(diǎn)生成并發(fā) 送源地址為UE的MAC地址��、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文�,以代理UE發(fā) 起接入認(rèn)證流程,使得EAP認(rèn)證開始報(bào)文能夠到達(dá)認(rèn)證實(shí)體����,進(jìn)而可觸發(fā)UE的接入認(rèn)證流 程,以實(shí)現(xiàn)UE無線局域網(wǎng)集中式802. IX認(rèn)證�;并且,該機(jī)制使得UE能夠按照IEEE 802. IX 協(xié)議的規(guī)定���,單播發(fā)送所有EAP認(rèn)證報(bào)文���,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié) 議機(jī)制的認(rèn)證程序。
為了更清楚地說明本發(fā)明實(shí)施例和現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例和現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可 以根據(jù)這些附圖獲得其他的附圖���。圖1是802. 11中定義的WLAN基本結(jié)構(gòu)示意圖�;圖2是本發(fā)明實(shí)施例提供的一種集中式部署認(rèn)證網(wǎng)絡(luò)拓?fù)涫疽鈭D�����;圖3是本發(fā)明實(shí)施例一提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證方法流程示意 圖���;圖4是本發(fā)明實(shí)施例二提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證方法流程示意 圖�����;圖5是本發(fā)明實(shí)施例三提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證方法流程示意 圖�;圖6是本發(fā)明實(shí)施例四提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證方法流程示意 圖��;圖7是本發(fā)明實(shí)施例提供的一種接入點(diǎn)示意圖����;圖8是本發(fā)明實(shí)施例提供的另一種接入點(diǎn)示意圖�;圖9是本發(fā)明實(shí)施例提供的另一種接入點(diǎn)示意圖�����;圖10是本發(fā)明實(shí)施例提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)示意圖11是本發(fā)明實(shí)施例提供的另一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)示意圖��。
具體實(shí)施例方式本發(fā)明實(shí)施例提供無線局域網(wǎng)集中式802. IX認(rèn)證方法及裝置和系統(tǒng)�。為使得本發(fā)明的發(fā)明目的、特征��、優(yōu)點(diǎn)能夠更加的明顯和易懂�����,下面將結(jié)合本發(fā)明 實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí) 施例僅僅是本發(fā)明一部分實(shí)施例���,而非全部實(shí)施例��?;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通 技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范 圍。參見圖2���,圖2為本發(fā)明實(shí)施例提供的一種集中式部署認(rèn)證網(wǎng)絡(luò)拓?fù)涫疽鈭D��,其 中���,多個(gè)UE可以關(guān)聯(lián)到一個(gè)AP,多個(gè)AP又連接到一個(gè)接入控制器AC上�����,AE設(shè)備則可能會(huì) 部署在AC上���,或者�����,部署在AC上面的多業(yè)務(wù)控制網(wǎng)關(guān)MSCG設(shè)備上�����,圖2示出了 AE設(shè)備部 署在AC上場(chǎng)景����,AE設(shè)備關(guān)聯(lián)到AS,組成一種集中式認(rèn)證部署����。本發(fā)明實(shí)施例的技術(shù)方案可 以基于如圖2所示拓?fù)浣Y(jié)構(gòu)的認(rèn)證網(wǎng)絡(luò)或類似集中式部署結(jié)構(gòu)的認(rèn)證網(wǎng)絡(luò)具體實(shí)施。以下分別進(jìn)行詳細(xì)說明�����。實(shí)施例一本發(fā)明無線局域網(wǎng)集中式802. IX認(rèn)證方法的一個(gè)實(shí)施例���,其中�,無線局域網(wǎng)包括 AE����、AP以及至少一個(gè)UE����,該AE通過該AP與該至少一個(gè)UE相連����,方法可包括AP接收UE發(fā) 送的EAP認(rèn)證開始報(bào)文���,該EAP認(rèn)證開始報(bào)文的目的地址為AP的空口對(duì)應(yīng)的介質(zhì)訪問控制 (MAC,Media Access Control)地址�����、源地址為該UE的MAC地址���;將該EAP認(rèn)證開始報(bào)文的 目的地址修改為端口接入實(shí)體(PAE,Port Authenticator)組播地址或者AE的MAC地址�����; 轉(zhuǎn)發(fā)該修改了目的地址的EAP認(rèn)證開始報(bào)文���,以便于該AE根據(jù)該修改了目的地址的EAP認(rèn) 證開始報(bào)文開始UE的接入認(rèn)證���。參見圖3,具體步驟可以包括310、AP接收UE發(fā)送的EAP認(rèn)證開始報(bào)文���,該EAP認(rèn)證開始報(bào)文的目的地址為AP 的空口對(duì)應(yīng)的MAC地址��、源地址為該UE的MAC地址���;在一種應(yīng)用場(chǎng)景下,可由UE通過發(fā)送EAP認(rèn)證開始報(bào)文(EAPOLItart報(bào)文)來 發(fā)起認(rèn)證請(qǐng)求���,以請(qǐng)求網(wǎng)絡(luò)側(cè)進(jìn)行接入認(rèn)證�����。其中���,UE在發(fā)起認(rèn)證前已經(jīng)和AP有關(guān)聯(lián)過程,UE和AP在認(rèn)證前都已學(xué)習(xí)到了對(duì) 端的介質(zhì)訪問控制MAC地址����,因此,UE可以按照IEEE 802. IX協(xié)議的規(guī)定���,單播發(fā)送EAP認(rèn) 證開始報(bào)文��,其中��,EAP認(rèn)證開始報(bào)文攜帶的AP的MAC地址可為BSSID或其它區(qū)別標(biāo)識(shí)��。
320��、AP將上述EAP認(rèn)證開始報(bào)文的目的地址修改為AE的MAC地址或者PAE組播 地址���;此處的AP在監(jiān)測(cè)接收到的EAP認(rèn)證開始報(bào)文的目的地址為該AP的空口對(duì)應(yīng)的 MAC地址(如BSSID)時(shí),AP并不將該EAP認(rèn)證開始報(bào)文終結(jié)于此����,而是將其目的地址進(jìn)行 修改后繼續(xù)轉(zhuǎn)發(fā)。在實(shí)際應(yīng)用中�����,若AP預(yù)先配置了 AE的MAC地址����,則AP可將接收到的EAP認(rèn)證開 始報(bào)文的目的地址修改為AE的MAC地址;若AP此時(shí)還未獲知AE的MAC地址�,則AP可將接 收到的EAP認(rèn)證開始報(bào)文的目的地址修改為PAE組播地址,其中��,目的地址為PAE組播地址的EAP認(rèn)證開始報(bào)文亦可被AE探測(cè)接收到。330�、AP轉(zhuǎn)發(fā)該修改了目的地址的EAP認(rèn)證開始報(bào)文。相應(yīng)的���,AE可接收到該修改了目的地址的EAP認(rèn)證開始報(bào)文����,進(jìn)而獲知UE請(qǐng)求接 入認(rèn)證����,AE可按照標(biāo)準(zhǔn)的認(rèn)證流程進(jìn)行響應(yīng),開始UE的接入認(rèn)證�����。在一種應(yīng)用場(chǎng)景下����,若AP進(jìn)一步接收到AE發(fā)送的EAP認(rèn)證報(bào)文(例如為用于請(qǐng) 求對(duì)UE身份識(shí)別的EAP請(qǐng)求報(bào)文(ΕΑΡ-Request報(bào)文)或其它報(bào)文),其中�,該EAP認(rèn)證報(bào) 文的源地址為AE的MAC地址、目的地址為UE的MAC地址���;則AP可以將該EAP認(rèn)證報(bào)文的 源地址修改為AP的空口對(duì)應(yīng)的MAC地址(如BSSID)�����;并向UE轉(zhuǎn)發(fā)該修改了源地址的EAP 認(rèn)證報(bào)文���。此時(shí)�,對(duì)于UE而言�����,由于接收到的AP轉(zhuǎn)發(fā)過來的EAP認(rèn)證報(bào)文的源地址為該AP 的空口對(duì)應(yīng)的MAC地址(如BSSID)����,因此其仍會(huì)將該AP當(dāng)作是AE繼續(xù)來進(jìn)行EAP認(rèn)證���。 若AP進(jìn)一步接收到該UE發(fā)送的第二 EAP認(rèn)證報(bào)文�����,該第二 EAP認(rèn)證報(bào)文為該UE發(fā)送的除 EAP認(rèn)證開始報(bào)文外的認(rèn)證報(bào)文(第二 EAP認(rèn)證報(bào)文例如為攜帶有UE身份標(biāo)識(shí)(ID)的EAP 響應(yīng)(ΕΑΡ-Response)報(bào)文或者其它EAP認(rèn)證報(bào)文)���,該第二 EAP認(rèn)證報(bào)文的目的地址為AP 的空口對(duì)應(yīng)的MAC地址(如BSSID)、源地址為UE的MAC地址��;則AP可將該第二 EAP認(rèn)證報(bào) 文的目的地址修改為上述AE的MAC地址;并轉(zhuǎn)發(fā)該修改了目的地址的第二 EAP認(rèn)證報(bào)文��。 也就是說��,AP可對(duì)UE和AE交互的所有EAP認(rèn)證報(bào)文進(jìn)行源地址或目的地址的修改�����,可將 來自UE的EAP認(rèn)證報(bào)文的目的地址修改為AE的MAC地址����,可將來自AE的EAP認(rèn)證報(bào)文的 源地址修改為該AP的空口對(duì)應(yīng)的MAC地址(如BSSID),UE可始終將該AP看成是AE來進(jìn) 行EAP認(rèn)證�。由于UE認(rèn)證前就已經(jīng)獲知AP的空口對(duì)應(yīng)的MAC地址(如BSSID),因此UE可 以按照IEEE 802. IX協(xié)議的規(guī)定�,單播發(fā)送所有EAP認(rèn)證報(bào)文。在另一種應(yīng)用場(chǎng)景下���,若AP進(jìn)一步接收AE發(fā)送的第三EAP認(rèn)證報(bào)文(例如為用于 請(qǐng)求對(duì)UE身份識(shí)別的EAP請(qǐng)求報(bào)文(ΕΑΡ-Request報(bào)文)或其它報(bào)文)�����,其中�����,該第三EAP 認(rèn)證報(bào)文的源地址為AE的MAC地址�����、目的地址為UE的MAC地址��;AP亦可不對(duì)該第三EAP認(rèn) 證報(bào)文的源地址或目的地址進(jìn)行修改��,而是直接向UE轉(zhuǎn)發(fā)該第三EAP認(rèn)證報(bào)文��,以便于UE 從該第三EAP認(rèn)證報(bào)文中學(xué)習(xí)到上述AE的MAC地址�����。在此場(chǎng)景下��,UE在接收到該第三EAP 認(rèn)證報(bào)文后��,可學(xué)習(xí)到真正的AE的MAC地址�����,后續(xù)即可以該學(xué)習(xí)到的AE的MAC地址��,和AE 交互其它的EAP認(rèn)證報(bào)文來完成接入認(rèn)證����。也就是說,AP亦可只對(duì)EAP認(rèn)證開始報(bào)文(來 自UE的首條EAP認(rèn)證報(bào)文)的目的地址進(jìn)行修改����,而對(duì)UE和AE后續(xù)交互的EAP認(rèn)證開始 報(bào)文的源地址或目的地址并不作修改,而UE可根據(jù)AE對(duì)EAP認(rèn)證開始報(bào)文的響應(yīng)獲知AE 的MAC地址�����,因此���,UE可以按照IEEE802. IX協(xié)議的規(guī)定��,單播發(fā)送所有EAP認(rèn)證報(bào)文��。需要說明的是��,本發(fā)明實(shí)施例中提及的UE可以是手機(jī)�,便攜電腦等多種具有無線 局域網(wǎng)接入能力的終端設(shè)備���;AP可以是具有無線接入功能的多種設(shè)備�����。本發(fā)明實(shí)施例的方 案主要涉及��,AP對(duì)UE和AE間交互的部分或全部EAP認(rèn)證報(bào)文的源/目的地址進(jìn)行修改����, 而AE和AS之間交互的認(rèn)證信令消息可與標(biāo)準(zhǔn)流程一致或類似?�?梢岳斫?,在802. IX認(rèn)證 框架下,可根據(jù)需要選擇多種EAP認(rèn)證算法���,例如�����、EAP-PEAP (EAP-Protected Extensible Authentication Protocol,可擴(kuò)展認(rèn)證協(xié)議-受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議)�����、EAP-SIM/ AKA(ΕΑΡ-Subscriber Identity Module/Authentication and Key Agreement,可擴(kuò)展認(rèn)證 協(xié)議-用戶認(rèn)證模塊/認(rèn)證與密鑰商定)�����、EAP-TLS (可擴(kuò)展認(rèn)證協(xié)議-傳輸層安全協(xié)議����, ΕΑΡ-Transport Layer Security Protocol)等認(rèn)證算法�,但不同EAP認(rèn)證算法并不影響802. IX的認(rèn)證框架下的認(rèn)證。由上可見����,本實(shí)施例中,集中式認(rèn)證部署中的AP接收到來自UE的目的地址為該AP 的空口對(duì)應(yīng)的MAC地址(如BSSID)的EAP認(rèn)證開始報(bào)文后�,將該報(bào)文的目的地址修改為AE 的MAC地址,并轉(zhuǎn)發(fā)該修改了目的地址EAP認(rèn)證開始報(bào)文�����,使得EAP認(rèn)證開始報(bào)文能夠到達(dá) AE而不終結(jié)于該AP���,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程�,以實(shí)現(xiàn)UE無線局域網(wǎng)集中式802. IX 認(rèn)證�����;并且�����,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定單播發(fā)送所有EAP認(rèn)證報(bào)文, 因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序���。實(shí)施例二本發(fā)明無線局域網(wǎng)集中式802. IX認(rèn)證方法的另一個(gè)實(shí)施例����,其中���,無線局域網(wǎng)包 括AE�����、AP以及至少一個(gè)UE��,該AE通過該AP與該至少一個(gè)UE相連�,方法可包括AP生成EAP 認(rèn)證開始報(bào)文���,該EAP認(rèn)證開始報(bào)文的目的地址為PAE組播地址或者AE的MAC地址�����、源地 址為UE的MAC地址����;發(fā)送該EAP認(rèn)證開始報(bào)文����;接收AE發(fā)送的EAP認(rèn)證報(bào)文,該EAP認(rèn)證 報(bào)文的源地址為上述AE的MAC地址����、目的地址為上述UE的MAC地址;向該UE轉(zhuǎn)發(fā)上述EAP 認(rèn)證報(bào)文���,以便于該UE從上述EAP認(rèn)證報(bào)文中學(xué)習(xí)到AE的MAC地址�;或者�,將該接收到的 EAP認(rèn)證報(bào)文的源地址修改為AP的空口對(duì)應(yīng)的MAC地址,并向上述UE轉(zhuǎn)發(fā)該修改了源地址 的EAP認(rèn)證報(bào)文����。參見圖4,具體步驟可包括410����、AP生成EAP認(rèn)證開始報(bào)文,其中�,該EAP認(rèn)證開始報(bào)文的目的地址為PAE組 播地址或者AE的MAC地址��、源地址為UE的MAC地址��;在一些應(yīng)用場(chǎng)景下����,UE在關(guān)聯(lián)上AP后并不會(huì)主動(dòng)發(fā)起802. IX認(rèn)證����,即不會(huì)主動(dòng) 發(fā)送EAPOL-Mart報(bào)文,此時(shí)可由AP將代理UE發(fā)送EAPOLItart報(bào)文到AE��,觸發(fā)802. IX 認(rèn)證�����。420����、AP發(fā)送該EAP認(rèn)證開始報(bào)文;本實(shí)施例中���,由AP代理UE發(fā)起認(rèn)證請(qǐng)求�,請(qǐng)求網(wǎng)絡(luò)側(cè)對(duì)UE進(jìn)行接入認(rèn)證���。其中���, AP通過生成并發(fā)送EAP認(rèn)證開始報(bào)文����,以觸發(fā)UE的接入認(rèn)證流程���。在實(shí)際應(yīng)用中,若AP預(yù) 先配置了 AE的MAC地址�����,則其生成并發(fā)送的EAP認(rèn)證開始報(bào)文的目的地址為AE的MAC地 址���;若AP此時(shí)還未獲知AE的MAC地址�,則其生成并發(fā)送的EAP認(rèn)證開始報(bào)文的目的地址為 PAE組播地址�,其中,目的地址為PAE組播地址的EAP認(rèn)證開始報(bào)文可被AE探測(cè)接收到���。相應(yīng)的���,AE可接收到該EAP認(rèn)證開始報(bào)文����,進(jìn)而獲知UE請(qǐng)求進(jìn)行接入認(rèn)證��,AE可 按照標(biāo)準(zhǔn)的認(rèn)證流程進(jìn)行響應(yīng)���。430�����、AP接收AE發(fā)送的EAP認(rèn)證報(bào)文��,該EAP認(rèn)證報(bào)文的源地址為上述AE的MAC 地址��、目的地址為上述UE的MAC地址��;440,AP向該UE轉(zhuǎn)發(fā)上述EAP認(rèn)證報(bào)文�,以便于該UE從上述EAP認(rèn)證報(bào)文中學(xué)習(xí) 到AE的MAC地址�����;或���,將該EAP認(rèn)證報(bào)文的源地址修改為AP的空口對(duì)應(yīng)的MAC地址(如 BSSID)����,并向上述UE轉(zhuǎn)發(fā)該修改了源地址的EAP認(rèn)證報(bào)文。AE可在接收到EAP認(rèn)證開始報(bào)文后�,啟動(dòng)UE的接入認(rèn)證流程,和UE進(jìn)行其它EAP 認(rèn)證開始報(bào)文的交互���。在一種應(yīng)用場(chǎng)景下��,若AP接收到AE發(fā)送的EAP認(rèn)證報(bào)文(如為用于請(qǐng)求對(duì)UE身 份識(shí)別的EAP請(qǐng)求報(bào)文(ΕΑΡ-Request報(bào)文)或其它報(bào)文)���,該EAP認(rèn)證報(bào)文的源地址為AE的MAC地址�、目的地址為UE的MAC地址;則AP可將該EAP認(rèn)證報(bào)文的源地址修改為AP的 空口對(duì)應(yīng)的MAC地址(如BSSID)����;并向UE轉(zhuǎn)發(fā)該修改了源地址的EAP認(rèn)證報(bào)文。此時(shí)��,對(duì) 于UE而言����,由于接收到的AP轉(zhuǎn)發(fā)過來的EAP認(rèn)證報(bào)文的源地址為該AP的空口對(duì)應(yīng)的MAC 地址(如BSSID),因此其仍會(huì)將該AP當(dāng)作是AE繼續(xù)來進(jìn)行EAP認(rèn)證����。后續(xù)若AP進(jìn)一步接 收到該UE發(fā)送的其它EAP認(rèn)證報(bào)文�����,該EAP認(rèn)證報(bào)文為該UE發(fā)送的除EAP認(rèn)證開始報(bào)文 外的認(rèn)證報(bào)文(例如為攜帶有UE身份標(biāo)識(shí)(ID)的ΕΑΡ-Response報(bào)文或者其它EAP認(rèn)證 報(bào)文)�����,而該EAP認(rèn)證報(bào)文的目的地址為AP的空口對(duì)應(yīng)的MAC地址(如BSSID)����、源地址為 UE的MAC地址�;則AP可將該EAP認(rèn)證報(bào)文的目的地址修改為AE的MAC地址;并轉(zhuǎn)發(fā)該修 改了目的地址的EAP認(rèn)證報(bào)文���。也就是說��,AP可對(duì)UE和AE交互的所有EAP認(rèn)證報(bào)文進(jìn)行 源地址或目的地址的修改����,可將來自UE的EAP認(rèn)證報(bào)文的目的地址修改為AE的MAC地址�, 可將來自AE的EAP認(rèn)證報(bào)文的源地址修改為該AP的空口對(duì)應(yīng)的MAC地址(如BSSID),UE 可始終將該AP看成是AE來進(jìn)行EAP認(rèn)證。因此�,UE可以按照IEEE 802. IX協(xié)議的規(guī)定, 單播發(fā)送所有EAP認(rèn)證報(bào)文��。在另一種應(yīng)用場(chǎng)景下�,后續(xù)若AP進(jìn)一步接收AE發(fā)送的EAP認(rèn)證報(bào)文(例如為用 于請(qǐng)求對(duì)UE身份識(shí)別的ΕΑΡ-Request報(bào)文)或其它報(bào)文),其中����,該EAP認(rèn)證報(bào)文的源地址 為AE的MAC地址、目的地址為UE的MAC地址�;AP亦可不對(duì)來自AE的該EAP認(rèn)證報(bào)文的源 地址或目的地址進(jìn)行修改,而是直接向UE轉(zhuǎn)發(fā)該EAP認(rèn)證報(bào)文�,以便于UE從該EAP認(rèn)證報(bào) 文中學(xué)習(xí)到上述AE的MAC地址。在此場(chǎng)景下��,UE在接收到該EAP認(rèn)證報(bào)文后����,可學(xué)習(xí)到真 正的AE的MAC地址�����,后續(xù)即可以該學(xué)習(xí)到的AE的MAC地址�,和AE交互其它的EAP認(rèn)證報(bào)文 來完成接入認(rèn)證。也就是說,AP在代理UE生成并發(fā)送EAP認(rèn)證開始報(bào)文(目的地址為PAE 組播地址或者AE的MAC地址�����、源地址為UE的MAC地址)����,發(fā)起UE的接入認(rèn)證后,可不對(duì)UE 和AE后續(xù)交互的EAP認(rèn)證開始報(bào)文的源地址或目的地址作修改���,而UE可以根據(jù)AE對(duì)EAP 認(rèn)證開始報(bào)文的響應(yīng)獲知AE的MAC地址����,因此���,UE可按照IEEE 802. IX協(xié)議的規(guī)定��,單播 發(fā)送所有EAP認(rèn)證報(bào)文�����。需要說明的是����,本發(fā)明實(shí)施例中提及的UE可以是手機(jī),便攜電腦等多種具有無線 局域網(wǎng)接入能力的終端設(shè)備����;AP可以是具有無線接入功能的多種設(shè)備。本發(fā)明實(shí)施例的方 案主要涉及����,AP對(duì)UE和AE間交互的部分或全部EAP認(rèn)證報(bào)文的中轉(zhuǎn)處理,而AE和AS之 間交互的認(rèn)證信令消息可與標(biāo)準(zhǔn)流程一致或類似���?���?梢岳斫?,在802. IX認(rèn)證框架下,可根 據(jù)需要選擇多種EAP認(rèn)證算法(例如EAP-PEAP��、EAP-SIM/AKA���、EAP-TLS等認(rèn)證算法),但不 同EAP認(rèn)證算法并不影響802. IX的認(rèn)證框架下的認(rèn)證���。由上可見���,本實(shí)施例由集中式認(rèn)證部署中的AP生成并發(fā)送源地址為UE的MAC地 址����、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文����,以代理UE發(fā)起接入認(rèn)證流程,使得EAP 認(rèn)證開始報(bào)文能夠到達(dá)AE����,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程,以實(shí)現(xiàn)UE無線局域網(wǎng)集中式 802. IX認(rèn)證��;并且���,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定��,單播發(fā)送所有EAP認(rèn) 證報(bào)文����,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序�����。實(shí)施例三為便于更好的理解本發(fā)明實(shí)施例的技術(shù)方案,下面主要以基于EAP-TLS認(rèn)證算法 進(jìn)行UE-I接入認(rèn)證的過程為例�����,進(jìn)行詳細(xì)描述�。參見圖5、具體步驟可以包括
501�、UE-I 發(fā)送 EAPOLItart 報(bào)文,啟動(dòng) 802. IX 認(rèn)證���;其中��,EAPOL-Mart報(bào)文的目的地址為AP的空口對(duì)應(yīng)的MAC地址(如BSSID)����、源 地址為UE-I的MAC地址���;502�����、AP接收來自UE-I的EAPOLItart報(bào)文�����,將該EAP認(rèn)證開始報(bào)文的目的地址 修改為AE的MAC地址或者PAE組播地址���;并轉(zhuǎn)發(fā)該修改了目的地址的EAPOLItart報(bào)文;
在實(shí)際應(yīng)用中���,若AP預(yù)先配置了 AE的MAC地址��,AP可將EAPOLItart報(bào)文的目的 地址修改為AE的MAC地址�;若AP此時(shí)還未獲知AE的MAC地址�,則AP可將上述EAPOL-Mart 報(bào)文的目的地址修改為PAE組播地址,其中�,目的地址為PAE組播地址的EAPOL-Mart報(bào)文 亦可被AE探測(cè)接收到。503�、AE接收AP修改了目的地址的EAPOLItart報(bào)文,并反饋ΕΑΡ-Request報(bào)文�����, 請(qǐng)求UE-I身份識(shí)別��;其中����,ΕΑΡ-Request報(bào)文的源地址為AE的MAC地址����、目的地址為UE-1的MAC地址��;504��、AP接收來自AE的ΕΑΡ-Request報(bào)文�����,并將該ΕΑΡ-Request報(bào)文的源地址修 改為AP的空口對(duì)應(yīng)的MAC地址(如BSSID)��;并轉(zhuǎn)發(fā)該修改了源地址的ΕΑΡ-Request報(bào)文���;505,UE-I接收AP修改了源地址的ΕΑΡ-Request報(bào)文����,獲知網(wǎng)絡(luò)側(cè)請(qǐng)求身份識(shí)別��, UE-I向AE發(fā)送EAP響應(yīng)(ΕΑΡ-Response)報(bào)文��,其中攜帶UE-I的身份ID等信息���;其中�����,由于AP對(duì)來自AE的ΕΑΡ-Request報(bào)文的源地址進(jìn)行了修改�����,因此UE-1仍 將該AP看作是AE來繼續(xù)認(rèn)證流程��。UE-I發(fā)送的ΕΑΡ-Response報(bào)文的目的地址為AP的空 口對(duì)應(yīng)的MAC地址(如BSSID)����、源地址為UE-I的MAC地址����。506、AP接收來自UE-1的ΕΑΡ-Response報(bào)文����,將該ΕΑΡ-Response的目的地址修 改為AE的MAC地址;并向AE轉(zhuǎn)發(fā)該修改了目的地址的ΕΑΡ-Response報(bào)文����。507、AE向AS發(fā)送EAP over Radius消息,其中攜帶上述ΕΑΡ-Response報(bào)文和 UE-I身份ID等����;508、AS 對(duì) UE-I 身份識(shí)別��,并向 AE 發(fā)送 ΕΑΡ-Request (TLS Start)消息���,其中 指明EAP認(rèn)證算法為EAP-TLS�����,啟動(dòng)EAP認(rèn)證�;其中����,若AS選擇其它EAP認(rèn)證算法,則 ΕΑΡ-Request (TLS Start)消息可對(duì)應(yīng)指示相應(yīng)算法����。509、AE 通過 AP 將 TLS Start 消息中繼給 UE-1 �����;510、UE-I 通過 AP 向 AE 發(fā)送 TLS client_hello 消息�,以響應(yīng) TLS Start 消息;511����、AE 將 TLS client_hello 消息中繼給 AS ;512�����、AS發(fā)送TLS server_hello消息給AE���,消息中可包含AS證書、密鑰交換信息�、 AS支持的安全加密套件,并請(qǐng)求UE-I的證書�����;513�、AE 通過 AP 將 TLS server_hello 消息中繼給 UE-I ;514�����、UE-I驗(yàn)證AS證書,并通過AP向AE發(fā)送攜帶認(rèn)證結(jié)果�����、UE-I證書����、密鑰交換 信息、UE-I支持的安全加密套件的消息����;515、AE將消息中繼給AS ��;516����、AS認(rèn)證通過后,向AE發(fā)送攜帶其選擇的安全加密套件的消息�;517、AE通過AP將消息中繼給UE-1 �;518、UE-I 通過 AP 向 AE 發(fā)送 ΕΑΡ-Response 消息�����;519、AE 將 ΕΑΡ-Response 消息中繼給 AS �;
520、AS發(fā)送EAP成功(EAP-Success)消息給AE�,指示認(rèn)證成功;521�����、AE通過AP將ΕΑΡ-Success中繼給UE-1�,UE-I獲知認(rèn)證成功。需要說明的是��,在步驟504中����,若AP接收到來自AE的ΕΑΡ-Request報(bào)文后并不修 改其源地址(AE的MAC地址)�����,而直接轉(zhuǎn)發(fā)給UE-1��,以便于UE-I從該EAP認(rèn)證報(bào)文中學(xué)習(xí) 到AE的MAC地址���。而UE-I則可據(jù)此獲知AE的MAC地址����,UE-I后續(xù)即可以該學(xué)習(xí)到的AE 的MAC地址,和AE交互其它的EAP認(rèn)證報(bào)文來完成接入認(rèn)證����。也就是說,AP亦可只對(duì)來自 UE-I的EAPOL-Mart報(bào)文的目的地址進(jìn)行修改�����,而對(duì)UE-I和AE后續(xù)交互的EAP認(rèn)證開始 報(bào)文的源地址或目的地址并不作修改����,而UE-I可根據(jù)AE對(duì)EAP認(rèn)證開始報(bào)文的響應(yīng)獲知 AE的MAC地址,因此�,UE-I可以按照IEEE 802. IX協(xié)議的規(guī)定,單播發(fā)送所有EAP認(rèn)證報(bào) 文����。當(dāng)然,AE和AS之間交互的EAP over RADIUS報(bào)文不需修改�。需要說明的是,本實(shí)施例中主要以基于EAP-TLS認(rèn)證算法進(jìn)行UE-I接入認(rèn)證的過 程為例進(jìn)行描述的�����,當(dāng)然亦可選擇EAP_PEAP、EAP-SIM/AKA等認(rèn)證算法對(duì)UE-I進(jìn)行接入認(rèn) 證�����,其實(shí)現(xiàn)過程類似��,此處不再贅述�����。由上可見���,本實(shí)施例中通過在集中式認(rèn)證部署中的AP上實(shí)施EAPOL報(bào)文的探測(cè)和 中繼來實(shí)現(xiàn)無線局域網(wǎng)集中式802. IX認(rèn)證��,AP接收到來自UE的目的地址為該AP的空口 對(duì)應(yīng)的MAC地址(如BSSID)的EAP認(rèn)證開始報(bào)文后���,將該報(bào)文的目的地址修改為AE的MAC 地址����,并轉(zhuǎn)發(fā)該修改了目的地址EAP認(rèn)證開始報(bào)文,使得EAP認(rèn)證開始報(bào)文能夠到達(dá)AE而 不終結(jié)于該AP�,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程,以實(shí)現(xiàn)UE無線局域網(wǎng)集中式802. IX認(rèn)證�����; 并且,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定單播發(fā)送所有EAP認(rèn)證報(bào)文�����,因此 可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序���。實(shí)施例四為便于更好的理解本發(fā)明實(shí)施例的技術(shù)方案�����,下面仍以基于EAP-TLS認(rèn)證算法進(jìn) 行UE-I接入認(rèn)證的過程為例�����,進(jìn)行詳細(xì)描述����。其中����,本實(shí)施例以AP代理UE-I發(fā)起接入認(rèn) 證為例。參見圖6�����、具體步驟可以包括601、AP 生成并發(fā)送 EAPOL-Mart 報(bào)文�����;其中��,EAPOL-Start報(bào)文的目的地址為AE的MAC地址(如BSSID)或者PAE組播 地址����、源地址為UE-I的MAC地址;在一些應(yīng)用場(chǎng)景下���,UE-I在關(guān)聯(lián)上AP后并不會(huì)主動(dòng)發(fā)起802. IX認(rèn)證���,即不會(huì)主動(dòng) 發(fā)送EAPOLItart報(bào)文,此時(shí)可由AP將代理UE-1發(fā)送EAPOLItart報(bào)文到AE�,觸發(fā)802. IX 認(rèn)證。在實(shí)際應(yīng)用中���,若AP預(yù)先配置了 AE的MAC地址,AP可將EAPOLItart報(bào)文的目 的地址設(shè)置為AE的MAC地址��;若AP此時(shí)還未獲知AE的MAC地址,則AP可將EAPOL-Mart 報(bào)文的目的地址設(shè)置為PAE組播地址�,其中,目的地址為PAE組播地址的EAPOL-Mart報(bào)文 亦可被AE探測(cè)接收到�。602、AE接收來自AP的EAPOLItart報(bào)文����,并反饋ΕΑΡ-Request報(bào)文,請(qǐng)求UE-1身 份識(shí)別���;其中�����,EAPOL—Request報(bào)文的源地址為AE的MAC地址�、目的地址為UE-1的MAC地 址�����;603�����、AP 接收來自 AE 的 ΕΑΡ-Request 報(bào)文,向 UE-1 轉(zhuǎn)發(fā)該 ΕΑΡ-Request 報(bào)文��;
604���、UE-I接收ΕΑΡ-Request報(bào)文����,獲知網(wǎng)絡(luò)側(cè)請(qǐng)求身份識(shí)別���,UE-I通過AP向AE 發(fā)送ΕΑΡ-Response響應(yīng)報(bào)文����,其中攜帶身份ID等信息���;其中����,由于AP對(duì)來自AE的ΕΑΡ-Request報(bào)文的源地址進(jìn)行了修改�����,因此UE-I可據(jù) 此學(xué)習(xí)到AE的MAC地址����,后續(xù)UE-I可以該學(xué)習(xí)到的AE的MAC地址,和AE交互其它的EAP 認(rèn)證報(bào)文來完成接入認(rèn)證���。605��、AE 接收 AP 轉(zhuǎn)發(fā)的 ΕΑΡ-Response 報(bào)文�,向 AS 發(fā)送 EAP over Radius 消息��,其 中攜帶ΕΑΡ-Response報(bào)文和UE-1身份ID等����;606、AS 對(duì) UE-I 身份識(shí)別��,并向 AE 發(fā)送 ΕΑΡ-Request (TLS Start)消息��,其中 指明EAP認(rèn)證算法為EAP-TLS����,啟動(dòng)EAP認(rèn)證;其中���,若AS選擇其它EAP認(rèn)證算法�����,則 ΕΑΡ-Request (TLS Start)消息可對(duì)應(yīng)指示相應(yīng)算法��。607���、AE 通過 AP 將 TLS Start 消息中繼給 UE-I �����;608�����、UE-I 通過 AP 向 AE 發(fā)送 TLS client_hello 消息�,以響應(yīng) TLS Start 消息���;609���、AE 將 TLS client_hello 消息中繼給 AS ;610����、AS發(fā)送TLS server_hello消息給AE����,消息中可包含AS證書�����、密鑰交換信息�、 AS支持的安全加密套件��,并請(qǐng)求UE-I的證書�;611、AE 通過 AP 將 TLS server_hello 消息中繼給 UE-1 ���;612����、UE-I驗(yàn)證AS證書��,并通過AP向AE發(fā)送攜帶認(rèn)證結(jié)果�、UE-I證書、密鑰交換 信息���、UE-I支持的安全加密套件的消息���;613, AE將消息中繼給AS ���;614、AS認(rèn)證通過后�����,向AE發(fā)送攜帶其選擇的安全加密套件的消息�;615、AE通過AP將消息中繼給UE-1 �;616、UE-I 通過 AP 向 AE 發(fā)送 ΕΑΡ-Response 消息�����;617��、AE 將 ΕΑΡ-Response 消息中繼給 AS �����;618��、AS發(fā)送ΕΑΡ-Success消息給AE�,指示認(rèn)證成功���;619、AE通過AP將ΕΑΡ-Success中繼給UE-1����,UE-I獲知認(rèn)證成功。需要說明的是�����,在步驟603中����,若AP接收到來自AE的ΕΑΡ-Request報(bào)文后修改其 源地址(AE的MAC地址)為AP的空口對(duì)應(yīng)的MAC地址(如BSSID等)����,對(duì)于UE-I而言,其 仍會(huì)AP作為AE來繼續(xù)認(rèn)證流程�����,而AP后續(xù)仍按照實(shí)施例三中的方式��,對(duì)UE-I和AE間交 互的ΕΑΡ-Mart報(bào)文�。當(dāng)然�����,AE和AS之間交互的EAP over RADIUS報(bào)文不需修改��。需要說明的是�����,本實(shí)施例中主要以基于EAP-TLS認(rèn)證算法進(jìn)行UE-I接入認(rèn)證的過 程為例進(jìn)行描述的�����,當(dāng)然亦可選擇EAP-PEAP��、EAP-SIM/AKA等認(rèn)證算法對(duì)UE-I進(jìn)行接入認(rèn) 證�,其實(shí)現(xiàn)過程類似��,此處不再贅述���。由上可見�,本實(shí)施例中由集中式認(rèn)證部署中的AP生成并發(fā)送源地址為UE的MAC 地址�����、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文,以代理UE發(fā)起接入認(rèn)證流程�����,使得 EAP認(rèn)證開始報(bào)文能夠到達(dá)AE���,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程��,以實(shí)現(xiàn)UE無線局域網(wǎng)集中 式802. IX認(rèn)證�����;并且,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定單播發(fā)送所有EAP 認(rèn)證報(bào)文�,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序。為便于更好的實(shí)施本發(fā)明實(shí)施例的上述方法��,本發(fā)明實(shí)施例下面還提供用于實(shí)施 上述方法的相關(guān)裝置和系統(tǒng)�。
參見圖7、本發(fā)明實(shí)施例提供的一種接入點(diǎn)設(shè)備700�,可包括第一接收模塊710、 第一地址修改模塊720和第一轉(zhuǎn)發(fā)模塊730��。其中�,第一接收模塊710�,用于接收UE發(fā)送的EAP認(rèn)證開始報(bào)文����,該EAP認(rèn)證開始 報(bào)文的目的地址為接入點(diǎn)設(shè)備700的空口對(duì)應(yīng)的MAC地址、源地址為上述UE的MAC地址��;第一地址修改模塊720��,用于將第一接收模塊710接收的EAP認(rèn)證開始報(bào)文的目的 地址修改為PAE組播地址或者AE的MAC地址����;第一轉(zhuǎn)發(fā)模塊730,用于轉(zhuǎn)發(fā)第一地址修改模塊720修改了目的地址的EAP認(rèn)證開 始報(bào)文���,以便于該AE根據(jù)該修改了目的地址的EAP認(rèn)證開始報(bào)文開始UE的接入認(rèn)證����。在一種應(yīng)用場(chǎng)景下���,接入點(diǎn)AP設(shè)備700還可包括第二接收模塊�、第二地址修改模 塊和第二轉(zhuǎn)發(fā)模塊(圖7中未示出) 第二接收模塊�����,用于接收上述AE發(fā)送的EAP認(rèn)證報(bào)文,其中�,上述EAP認(rèn)證報(bào)文的 源地址為上述AE的MAC地址、目的地址為上述UE的MAC地址���;第二地址修改模塊��,用于將第二接收模塊接收的EAP認(rèn)證報(bào)文的源地址修改為接 入點(diǎn)設(shè)備700的空口對(duì)應(yīng)的MAC地址��;第二轉(zhuǎn)發(fā)模塊���,用于向上述UE轉(zhuǎn)發(fā)第二地址修改模塊修改了源地址的EAP認(rèn)證報(bào) 文。在一種應(yīng)用場(chǎng)景下����,第一接收模塊710還用于,接收UE發(fā)送的第二 EAP認(rèn)證報(bào)文�, 該第二 EAP認(rèn)證報(bào)文為該UE發(fā)送的除EAP認(rèn)證開始報(bào)文外的認(rèn)證開始報(bào)文�,第二 EAP認(rèn)證 報(bào)文的目的地址為接入點(diǎn)設(shè)備700的空口對(duì)應(yīng)的MAC地址、源地址為上述UE的MAC地址����;第一地址修改模塊720還用于,將第一接收模塊接收的第二 EAP認(rèn)證報(bào)文的目的 地址修改為該AE的MAC地址;第一轉(zhuǎn)發(fā)模塊730還用于�,轉(zhuǎn)發(fā)第一地址修改模塊修改了目的地址的第二 EAP認(rèn) 證報(bào)文。在一種應(yīng)用場(chǎng)景下�,接入點(diǎn)設(shè)備700還可包括第三接收模塊和第三轉(zhuǎn)發(fā)模塊(圖 7中未示出)。其中�,第三接收模塊,用于接收上述AE發(fā)送的第三EAP認(rèn)證報(bào)文���,第三EAP認(rèn)證報(bào) 文的源地址為上述AE的MAC地址�����、目的地址為上述UE的MAC地址�����;第三轉(zhuǎn)發(fā)模塊����,用于向上述UE轉(zhuǎn)發(fā)第三接收模塊接收的第三EAP認(rèn)證報(bào)文��,以便 于該UE從第三EAP認(rèn)證報(bào)文中學(xué)習(xí)到上述AE的MAC地址�。需要說明的是,本實(shí)施例的接入點(diǎn)設(shè)備700可以如上述方法實(shí)施例一或?qū)嵤├?中的接入點(diǎn)設(shè)備��,其可以用于協(xié)助實(shí)現(xiàn)上述方法實(shí)施例一或?qū)嵤├械娜考夹g(shù)方案, 其各個(gè)功能模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)�,其具體實(shí)現(xiàn)過程可參 照上述實(shí)施例中的相關(guān)描述,此處不再贅述��。由上可見����,本實(shí)施例集中式認(rèn)證部署中的接入點(diǎn)700接收到來自UE的目的地址為 該接入點(diǎn)700的空口對(duì)應(yīng)的MAC地址(如BSSID)的EAP認(rèn)證開始報(bào)文后,將該報(bào)文的目的 地址修改為AE的MAC地址����,并轉(zhuǎn)發(fā)該修改了目的地址EAP認(rèn)證開始報(bào)文,使得EAP認(rèn)證開始 報(bào)文能夠到達(dá)AE而不終結(jié)于該接入點(diǎn)700��,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程�����,以實(shí)現(xiàn)UE無線 局域網(wǎng)集中式802. IX認(rèn)證���;并且���,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定單播發(fā) 送所有EAP認(rèn)證報(bào)文���,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序��。
參見圖8��、本發(fā)明實(shí)施例提供的一種接入點(diǎn)設(shè)備800��,可包括生成模塊810��,用于生成EAP認(rèn)證開始報(bào)文��,其中�,該EAP認(rèn)證開始報(bào)文的目的地址 為PAE組播地址或者AE的MAC地址、源地址為UE的MAC地址�����;發(fā)送模塊820�,用于發(fā)送生成模塊810生成的EAP認(rèn)證開始報(bào)文;接收模塊830���,用于接收AE發(fā)送的EAP認(rèn)證報(bào)文�,上述EAP認(rèn)證報(bào)文的源地址為上 述AE的MAC地址�、目的地址為上述UE的MAC地址;轉(zhuǎn)發(fā)模塊840�,用于向上述UE轉(zhuǎn)發(fā)接收模塊830接收的EAP認(rèn)證報(bào)文����,以便于該 UE從上述EAP認(rèn)證報(bào)文中學(xué)習(xí)到上述AE的MAC地址�。在一種應(yīng)用場(chǎng)景下,后續(xù)若接入點(diǎn)800進(jìn)一步接收AE發(fā)送的EAP認(rèn)證報(bào)文(例如 為用于請(qǐng)求對(duì)UE身份識(shí)別的ΕΑΡ-Request報(bào)文)或其它報(bào)文)��,其中����,該EAP認(rèn)證報(bào)文的源 地址為AE的MAC地址、目的地址為UE的MAC地址���;接入點(diǎn)800亦可不對(duì)來自AE的該EAP 認(rèn)證報(bào)文的源地址或目的地址進(jìn)行修改�����,而是直接向UE轉(zhuǎn)發(fā)該EAP認(rèn)證報(bào)文�����,以便于UE從 該EAP認(rèn)證報(bào)文中學(xué)習(xí)到AE的MAC地址��。在此場(chǎng)景下���,UE在接收到該EAP認(rèn)證報(bào)文后����,可 學(xué)習(xí)到真正的AE的MAC地址��,后續(xù)即可以該學(xué)習(xí)到的AE的MAC地址�,和AE交互其它的EAP 認(rèn)證報(bào)文來完成接入認(rèn)證�。也就是說,接入點(diǎn)800在代理UE生成并發(fā)送EAP認(rèn)證開始報(bào)文 (目的地址為PAE組播地址或者AE的MAC地址�����、源地址為UE的MAC地址)���,發(fā)起UE的接入 認(rèn)證后����,可不對(duì)UE和AE后續(xù)交互的EAP認(rèn)證開始報(bào)文的源地址或目的地址作修改����,而UE 可根據(jù)AE對(duì)EAP認(rèn)證開始報(bào)文的響應(yīng)獲知AE的MAC地址,因此�,UE可按照IEEE 802. IX協(xié) 議的規(guī)定,單播發(fā)送所有EAP認(rèn)證報(bào)文�。需要說明的是����,本實(shí)施例的接入點(diǎn)設(shè)備800可以如上述方法實(shí)施例二或?qū)嵤├?中的接入點(diǎn)設(shè)備�,其可以用于協(xié)助實(shí)現(xiàn)上述方法實(shí)施例二或?qū)嵤├闹械娜考夹g(shù)方案, 其各個(gè)功能模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)�����,其具體實(shí)現(xiàn)過程可參 照上述實(shí)施例中的相關(guān)描述�,此處不再贅述。由上可見�����,本實(shí)施例由集中式認(rèn)證部署中的接入點(diǎn)800生成并發(fā)送源地址為UE的 MAC地址�����、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文�����,以代理UE發(fā)起接入認(rèn)證流程��,使 得EAP認(rèn)證開始報(bào)文能夠到達(dá)AE,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程���,以實(shí)現(xiàn)UE無線局域網(wǎng)集 中式802. IX認(rèn)證�;并且�����,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定�����,單播發(fā)送所有 EAP認(rèn)證報(bào)文�,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序����。參見圖9、本發(fā)明實(shí)施例提供的一種接入點(diǎn)設(shè)備900�����,可包括生成模塊910����,用于生成EAP認(rèn)證開始報(bào)文,其中,該EAP認(rèn)證開始報(bào)文的目的地址 為PAE組播地址或者AE的MAC地址����、源地址為UE的MAC地址;發(fā)送模塊920����,用于發(fā)送生成模塊910生成的EAP認(rèn)證開始報(bào)文;接收模塊930����,用于接收AE發(fā)送的EAP認(rèn)證報(bào)文,該EAP認(rèn)證報(bào)文的源地址為該 AE的MAC地址��、目的地址為上述UE的MAC地址�;修改轉(zhuǎn)發(fā)模塊940,用于將接收模塊930接收的EAP認(rèn)證報(bào)文的源地址修改為接入 點(diǎn)900的空口對(duì)應(yīng)的MAC地址(如BSSID)�����,并向上述UE轉(zhuǎn)發(fā)修改了源地址的EAP認(rèn)證報(bào)文����。在一種應(yīng)用場(chǎng)景下,若接入點(diǎn)900接收到AE發(fā)送的EAP認(rèn)證報(bào)文(例如該EAP認(rèn) 證報(bào)文為用于請(qǐng)求對(duì)UE身份識(shí)別的EAP請(qǐng)求報(bào)文(ΕΑΡ-Request報(bào)文)或其它報(bào)文)���,該EAP認(rèn)證報(bào)文的源地址為AE的MAC地址��、目的地址為UE的MAC地址���;則接入點(diǎn)900可將該 EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)900的MAC地址���;并向UE轉(zhuǎn)發(fā)該修改了源地址的EAP 認(rèn)證報(bào)文。此時(shí)�����,對(duì)于UE而言����,由于接收到的接入點(diǎn)900轉(zhuǎn)發(fā)過來的EAP認(rèn)證報(bào)文的源地 址為接入點(diǎn)900的空口對(duì)應(yīng)的MAC地址(如BSSID)�����,因此其仍會(huì)將該接入點(diǎn)900當(dāng)作是AE 繼續(xù)來進(jìn)行EAP認(rèn)證���。后續(xù)若接入點(diǎn)900進(jìn)一步接收到該UE發(fā)送的其它EAP認(rèn)證報(bào)文���,該 EAP認(rèn)證報(bào)文為該UE發(fā)送的除EAP認(rèn)證開始報(bào)文外的認(rèn)證報(bào)文(例如為攜帶有UE身份標(biāo) 識(shí)(ID)的ΕΑΡ-Response報(bào)文或者其它EAP認(rèn)證報(bào)文),而該EAP認(rèn)證報(bào)文的目的地址為接 入點(diǎn)900的空口對(duì)應(yīng)的MAC地址(如BSSID)、源地址為UE的MAC地址����;則接入點(diǎn)900可將 該EAP認(rèn)證報(bào)文的目的地址修改為AE的MAC地址;并轉(zhuǎn)發(fā)該修改了目的地址的EAP認(rèn)證報(bào) 文�����。也就是說����,AP可對(duì)UE和AE交互的所有EAP認(rèn)證報(bào)文進(jìn)行源地址或目的地址的修改, 可將來自UE的EAP認(rèn)證報(bào)文的目的地址修改為AE的MAC地址�����,可將來自AE的EAP認(rèn)證報(bào) 文的源地址修改為接入點(diǎn)900的MAC地址����,UE可始終將該接入點(diǎn)900看成是AE來進(jìn)行EAP 認(rèn)證。因此�,UE可以按照IEEE 802. IX協(xié)議的規(guī)定,單播發(fā)送所有EAP認(rèn)證報(bào)文����。需要說明的是�����,本實(shí)施例的接入點(diǎn)設(shè)備900可以如上述方法實(shí)施例二或?qū)嵤├?中的接入點(diǎn)設(shè)備����,其可以用于協(xié)助實(shí)現(xiàn)上述方法實(shí)施例二或?qū)嵤├闹械娜考夹g(shù)方案�, 其各個(gè)功能模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn),其具體實(shí)現(xiàn)過程可參 照上述實(shí)施例中的相關(guān)描述����,此處不再贅述。由上可見��,本實(shí)施例由集中式認(rèn)證部署中的接入點(diǎn)900生成并發(fā)送源地址為UE的 MAC地址��、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文����,以代理UE發(fā)起接入認(rèn)證流程�����,使 得EAP認(rèn)證開始報(bào)文能夠到達(dá)AE����,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程��,以實(shí)現(xiàn)UE無線局域網(wǎng)集 中式802. IX認(rèn)證��;并且����,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定�����,單播發(fā)送所有 EAP認(rèn)證報(bào)文��,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程序�����。參見圖10���、本發(fā)明實(shí)施例提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)�����,無線局 域網(wǎng)包括認(rèn)證實(shí)體1010�、接入點(diǎn)1020以及至少一個(gè)用戶設(shè)備1030,認(rèn)證實(shí)體1010通過接 入點(diǎn)1020與至少一個(gè)用戶設(shè)備1030相連����,其中,接入點(diǎn)1020��,用于接收用戶設(shè)備1030發(fā)送的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始 報(bào)文����,該EAP認(rèn)證開始報(bào)文的目的地址為接入點(diǎn)1020的介質(zhì)訪問控制MAC地址、源地址為 用戶設(shè)備1030的MAC地址����;將該EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播 地址或者認(rèn)證實(shí)體1010的MAC地址;轉(zhuǎn)發(fā)該修改了目的地址的EAP認(rèn)證開始報(bào)文��,以便于 認(rèn)證實(shí)體1010根據(jù)該修改了目的地址的EAP認(rèn)證開始報(bào)文開始對(duì)用戶設(shè)備1030的接入認(rèn) 證�。在一種應(yīng)用場(chǎng)景下,若接入點(diǎn)1020進(jìn)一步接收到認(rèn)證實(shí)體1010發(fā)送的EAP認(rèn)證 報(bào)文(例如為用于請(qǐng)求對(duì)用戶設(shè)備1030身份識(shí)別的ΕΑΡ-Request報(bào)文或其它報(bào)文)��,其中���, 該EAP認(rèn)證報(bào)文的源地址為認(rèn)證實(shí)體1010的MAC地址、目的地址為用戶設(shè)備1030的MAC 地址�����;則接入點(diǎn)可將該EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)的空口對(duì)應(yīng)的MAC地址(如 BSSID);并向用戶設(shè)備1030轉(zhuǎn)發(fā)該修改了源地址的EAP認(rèn)證報(bào)文�����。此時(shí)�,對(duì)于用戶設(shè)備 1030而言,由于接收到的接入點(diǎn)1020轉(zhuǎn)發(fā)過來的EAP認(rèn)證報(bào)文的源地址為該接入點(diǎn)1020 的MAC地址�,因此其仍會(huì)將該接入點(diǎn)1020當(dāng)作是AE繼續(xù)來進(jìn)行EAP認(rèn)證。若接入點(diǎn)1020 進(jìn)一步接收到該用戶設(shè)備1030發(fā)送的第二 EAP認(rèn)證報(bào)文���,該第二 EAP認(rèn)證報(bào)文為用戶設(shè)備1030發(fā)送的除EAP認(rèn)證開始報(bào)文外的認(rèn)證報(bào)文(第二 EAP認(rèn)證報(bào)文例如為攜帶有用戶設(shè)備 1030身份標(biāo)識(shí)(ID)的ΕΑΡ-Response報(bào)文或者其它EAP認(rèn)證報(bào)文)��,該第二 EAP認(rèn)證報(bào)文 的目的地址為接入點(diǎn)1020的空口對(duì)應(yīng)的MAC地址(如BSSID)����、源地址為用戶設(shè)備1030的 MAC地址����;則接入點(diǎn)1020可將該第二 EAP認(rèn)證報(bào)文的目的地址修改為認(rèn)證實(shí)體1010的MAC 地址;并轉(zhuǎn)發(fā)該修改了目的地址的第二 EAP認(rèn)證報(bào)文���。也就是說���,接入點(diǎn)1020可對(duì)用戶設(shè) 備1030和認(rèn)證實(shí)體1010交互的所有EAP認(rèn)證報(bào)文進(jìn)行源地址或目的地址的修改��,可將來 自用戶設(shè)備1030的EAP認(rèn)證報(bào)文的目的地址修改為認(rèn)證實(shí)體1010的MAC地址�,可將來自 認(rèn)證實(shí)體1010的EAP認(rèn)證報(bào)文的源地址修改為該接入點(diǎn)1020的MAC地址�����,用戶設(shè)備1030 可始終將該接入點(diǎn)1020看成是AE來進(jìn)行EAP認(rèn)證��。由于用戶設(shè)備1030認(rèn)證前就已經(jīng)獲 知接入點(diǎn)1020的MAC地址���,因此用戶設(shè)備1030可以按照IEEE 802. IX協(xié)議的規(guī)定���,單播發(fā) 送所有EAP認(rèn)證報(bào)文。在另一種應(yīng)用場(chǎng)景下���,若接入點(diǎn)1020進(jìn)一步接收認(rèn)證實(shí)體1010發(fā)送的第三EAP 認(rèn)證報(bào)文(例如為用于請(qǐng)求對(duì)用戶設(shè)備1030身份識(shí)別的ΕΑΡ-Request報(bào)文或其它報(bào)文)����, 其中��,該第三EAP認(rèn)證報(bào)文的源地址為認(rèn)證實(shí)體1010的MAC地址�����、目的地址為用戶設(shè)備 1030的MAC地址����;接入點(diǎn)1020亦可不對(duì)該第三EAP認(rèn)證報(bào)文的源地址或目的地址進(jìn)行修 改,而是直接向用戶設(shè)備1030轉(zhuǎn)發(fā)該第三EAP認(rèn)證報(bào)文�����,以便于用戶設(shè)備1030從該第三 EAP認(rèn)證報(bào)文中學(xué)習(xí)到認(rèn)證實(shí)體1010的MAC地址�����。在此場(chǎng)景下���,用戶設(shè)備1030在接收到該 第三EAP認(rèn)證報(bào)文后����,可學(xué)習(xí)到真正的認(rèn)證實(shí)體的MAC地址����,后續(xù)即可以該學(xué)習(xí)到的認(rèn)證實(shí) 體1010的MAC地址,和認(rèn)證實(shí)體1010交互其它的EAP認(rèn)證報(bào)文來完成接入認(rèn)證。也就是 說��,接入點(diǎn)1020亦可只對(duì)EAP認(rèn)證開始報(bào)文(來自用戶設(shè)備1030的首條EAP認(rèn)證報(bào)文) 的目的地址進(jìn)行修改���,而對(duì)用戶設(shè)備1030和認(rèn)證實(shí)體1010后續(xù)交互的EAP認(rèn)證開始報(bào)文 的源地址或目的地址并不作修改�����,而用戶設(shè)備1030可根據(jù)認(rèn)證實(shí)體1010對(duì)EAP認(rèn)證開始 報(bào)文的響應(yīng)獲知認(rèn)證實(shí)體1010的MAC地址����,因此�����,用戶設(shè)備1030可以按照IEEE 802. IX協(xié) 議的規(guī)定��,單播發(fā)送所有EAP認(rèn)證報(bào)文��。在一種應(yīng)用場(chǎng)景下�,接入點(diǎn)1020還可用于生成EAP認(rèn)證開始報(bào)文,該EAP認(rèn)證開 始報(bào)文的目的地址為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體1010的MAC地址���、源地址為第二 用戶設(shè)備(圖10中未示出)的MAC地址����;發(fā)送該EAP認(rèn)證開始報(bào)文;接收認(rèn)證實(shí)體1010發(fā) 送的EAP認(rèn)證報(bào)文����,該EAP認(rèn)證報(bào)文的源地址為認(rèn)證實(shí)體1010的MAC地址����、目的地址為第 二用戶設(shè)備的MAC地址;將該EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)1020的空口對(duì)應(yīng)的MAC 地址��,并向第二用戶設(shè)備轉(zhuǎn)發(fā)該修改了源地址的EAP認(rèn)證報(bào)文���。需要說明的是����,本實(shí)施例的接入點(diǎn)1020可以如上述方法實(shí)施例一或?qū)嵤├?的接入點(diǎn)設(shè)備��,其可以用于協(xié)助實(shí)現(xiàn)上述方法實(shí)施例一或?qū)嵤├械娜考夹g(shù)方案�����,其 各個(gè)功能模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)�����,其具體實(shí)現(xiàn)過程可參照 上述實(shí)施例中的相關(guān)描述,此處不再贅述���。參見圖11����、本發(fā)明實(shí)施例提供的一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)�����,無線局 域網(wǎng)包括認(rèn)證實(shí)體1110���、接入點(diǎn)1120以及至少一個(gè)用戶設(shè)備1130���,認(rèn)證實(shí)體1110通過接 入點(diǎn)1120與至少一個(gè)用戶設(shè)備1130相連;其中��,接入點(diǎn)1120�����,用于生成EAP認(rèn)證開始報(bào)文�����,該EAP認(rèn)證開始報(bào)文的目的地址 為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體1110的MAC地址、源地址為UE的MAC地址��;發(fā)送上述EAP認(rèn)證開始報(bào)文�����;接收認(rèn)證實(shí)體1110發(fā)送的EAP認(rèn)證報(bào)文��,上述EAP認(rèn)證報(bào)文的源地 址為認(rèn)證實(shí)體1110的MAC地址���、目的地址為用戶設(shè)備1130的MAC地址;向用戶設(shè)備1130 轉(zhuǎn)發(fā)上述EAP認(rèn)證報(bào)文���,以便于用戶設(shè)備1130從上述EAP認(rèn)證報(bào)文中學(xué)習(xí)到上述認(rèn)證實(shí)體 的MAC地址�;或者����,將上述EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)1120的空口對(duì)應(yīng)的MAC地 址(如BSSID),并向用戶設(shè)備1130轉(zhuǎn)發(fā)上述修改了源地址的EAP認(rèn)證報(bào)文�����。在一種應(yīng)用場(chǎng)景下,若接入點(diǎn)1120接收到認(rèn)證實(shí)體1110發(fā)送的EAP認(rèn)證報(bào)文(例 如為用于請(qǐng)求對(duì)用戶設(shè)備1130身份識(shí)別的EAP請(qǐng)求報(bào)文(ΕΑΡ-Request報(bào)文)或其它報(bào) 文)�����,該EAP認(rèn)證報(bào)文的源地址為AE的MAC地址����、目的地址為用戶設(shè)備1130的MAC地址; 則接入點(diǎn)1120可將該EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)1120的MAC地址��;并向用戶設(shè) 備1130轉(zhuǎn)發(fā)該修改了源地址的EAP認(rèn)證報(bào)文�。此時(shí),對(duì)于用戶設(shè)備1130而言����,由于接收到 的接入點(diǎn)1120轉(zhuǎn)發(fā)過來的EAP認(rèn)證報(bào)文的源地址為該接入點(diǎn)的空口對(duì)應(yīng)的MAC地址(如 BSSID),因此其仍會(huì)將該接入點(diǎn)1120當(dāng)作是AE繼續(xù)來進(jìn)行EAP認(rèn)證���。后續(xù)若接入點(diǎn)1120進(jìn) 一步接收到該UE發(fā)送的其它EAP認(rèn)證報(bào)文����,該EAP認(rèn)證報(bào)文為用戶設(shè)備1130發(fā)送的除EAP 認(rèn)證開始報(bào)文外的認(rèn)證報(bào)文(例如為攜帶有用戶設(shè)備1130身份標(biāo)識(shí)(ID)的EAP-Response 報(bào)文或者其它EAP認(rèn)證報(bào)文)�,而該EAP認(rèn)證報(bào)文的目的地址為接入點(diǎn)的空口對(duì)應(yīng)的MAC地 址(如BSSID)、源地址為用戶設(shè)備1130的MAC地址�����;則接入點(diǎn)1120可將該EAP認(rèn)證報(bào)文的 目的地址修改為認(rèn)證實(shí)體1110的MAC地址;并轉(zhuǎn)發(fā)該修改了目的地址的EAP認(rèn)證報(bào)文�����。也 就是說��,接入點(diǎn)1120可對(duì)用戶設(shè)備1130和認(rèn)證實(shí)體1110交互的所有EAP認(rèn)證報(bào)文進(jìn)行源 地址或目的地址的修改�����,可將來自用戶設(shè)備1130的EAP認(rèn)證報(bào)文的目的地址修改為認(rèn)證實(shí) 體1110的MAC地址����,可將來自認(rèn)證實(shí)體1110的EAP認(rèn)證報(bào)文的源地址修改為接入點(diǎn)1120 的MAC地址���,UE可始終將該接入點(diǎn)1120看成是AE來進(jìn)行EAP認(rèn)證�����。因此���,用戶設(shè)備1130 可以按照IEEE 802. IX協(xié)議的規(guī)定�,單播發(fā)送所有EAP認(rèn)證報(bào)文����。在另一種應(yīng)用場(chǎng)景下,后續(xù)若接入點(diǎn)1120進(jìn)一步接收認(rèn)證實(shí)體1110發(fā)送的EAP 認(rèn)證報(bào)文(例如為用于請(qǐng)求對(duì)用戶設(shè)備1130身份識(shí)別的ΕΑΡ-Request報(bào)文)或其它報(bào)文)���, 其中���,該EAP認(rèn)證報(bào)文的源地址為認(rèn)證實(shí)體1110的MAC地址、目的地址為用戶設(shè)備1130的 MAC地址�����;接入點(diǎn)1120亦可不對(duì)來自認(rèn)證實(shí)體1110的該EAP認(rèn)證報(bào)文的源地址或目的地址 進(jìn)行修改���,而是直接向用戶設(shè)備1130轉(zhuǎn)發(fā)該EAP認(rèn)證報(bào)文�����,以便于用戶設(shè)備1130從該EAP 認(rèn)證報(bào)文中學(xué)習(xí)到認(rèn)證實(shí)體1110的MAC地址����。在此場(chǎng)景下�,用戶設(shè)備1130在接收到該EAP 認(rèn)證報(bào)文后���,可學(xué)習(xí)到真正的認(rèn)證實(shí)體1110的MAC地址,后續(xù)即可以該學(xué)習(xí)到的認(rèn)證實(shí)體 1110的MAC地址�����,和認(rèn)證實(shí)體1110交互其它的EAP認(rèn)證報(bào)文來完成接入認(rèn)證�����。也就是說����, 接入點(diǎn)1120在代理用戶設(shè)備1130生成并發(fā)送EAP認(rèn)證開始報(bào)文(目的地址為端口接入實(shí) 體組播地址或者認(rèn)證實(shí)體1110的MAC地址、源地址為用戶設(shè)備1130的MAC地址)�,發(fā)起用 戶設(shè)備1130的接入認(rèn)證后,可不對(duì)用戶設(shè)備1130和認(rèn)證實(shí)體1110后續(xù)交互的EAP認(rèn)證開 始報(bào)文的源地址或目的地址作修改�����,而用戶設(shè)備1130可根據(jù)認(rèn)證實(shí)體1110對(duì)EAP認(rèn)證開 始報(bào)文的響應(yīng)獲知認(rèn)證實(shí)體1110的MAC地址�,因此�����,用戶設(shè)備1130可按照IEEE 802. IX協(xié) 議的規(guī)定,單播發(fā)送所有EAP認(rèn)證報(bào)文�����。在一種應(yīng)用場(chǎng)景下����,接入點(diǎn)1120還可用于,接收來自第三用戶設(shè)備發(fā)送的可擴(kuò)展 認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文�����,該EAP認(rèn)證開始報(bào)文的目的地址為接入點(diǎn)1120的空口對(duì)應(yīng)的 介質(zhì)訪問控制MAC地址�、源地址為第三用戶設(shè)備的MAC地址;將該EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體1110的MAC地址��;轉(zhuǎn)發(fā)該修改了目的地址 的EAP認(rèn)證開始報(bào)文��,以便于認(rèn)證實(shí)體1110根據(jù)該修改了目的地址的EAP認(rèn)證開始報(bào)文開 始第三用戶設(shè)備的接入認(rèn)征����。需要說明的是,本實(shí)施例的接入點(diǎn)1120可以如上述方法實(shí)施例二或?qū)嵤├闹?的接入點(diǎn)設(shè)備���,其可以用于協(xié)助實(shí)現(xiàn)上述方法實(shí)施例二或?qū)嵤├闹械娜考夹g(shù)方案�����,其 各個(gè)功能模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)����,其具體實(shí)現(xiàn)過程可參照 上述實(shí)施例中的相關(guān)描述,此處不再贅述���。需要說明的是��,對(duì)于前述的各方法實(shí)施例�����,為了簡單描述��,故將其都表述為一系列 的動(dòng)作組合����,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉���,本發(fā)明并不受所描述的動(dòng)作順序的限制,因?yàn)?依據(jù)本發(fā)明,某些步驟可以采用其他順序或者同時(shí)進(jìn)行����。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知 悉��,說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例�����,所涉及的動(dòng)作和模塊并不一定是本發(fā)明 所必須的�。在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重����,某個(gè)實(shí)施例中沒有詳述的部 分,可以參見其他實(shí)施例的相關(guān)描述���。綜上����,本發(fā)明本實(shí)施例提供的一種技術(shù)方案中���,集中式認(rèn)證部署中的AP接收到來 自UE的目的地址為該AP的空口對(duì)應(yīng)的MAC地址(如BSSID)的EAP認(rèn)證開始報(bào)文后��,將該 報(bào)文的目的地址修改為AE的MAC地址����,并轉(zhuǎn)發(fā)該修改了目的地址EAP認(rèn)證開始報(bào)文,使得 EAP認(rèn)證開始報(bào)文能夠到達(dá)AE而不終結(jié)于該AP���,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程����,以實(shí)現(xiàn)UE 無線局域網(wǎng)集中式802. IX認(rèn)證�����;并且�,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的規(guī)定單 播發(fā)送所有EAP認(rèn)證報(bào)文,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制的認(rèn)證程 序���。本發(fā)明本實(shí)施例提供的另一種技術(shù)方案中��,由集中式認(rèn)證部署中的AP生成并發(fā) 送源地址為UE的MAC地址��、目的地址為AE的MAC地址的EAP認(rèn)證開始報(bào)文�����,以代理UE發(fā) 起接入認(rèn)證流程�����,使得EAP認(rèn)證開始報(bào)文能夠到達(dá)AE�����,進(jìn)而可觸發(fā)UE的接入認(rèn)證流程��,以實(shí) 現(xiàn)UE無線局域網(wǎng)集中式802. IX認(rèn)證��;并且��,該機(jī)制使得UE能夠按照IEEE 802. IX協(xié)議的 規(guī)定��,單播發(fā)送所有EAP認(rèn)證報(bào)文�����,因此可無需修改UE內(nèi)置的基于IEEE 802. IX協(xié)議機(jī)制 的認(rèn)證程序����。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可 以通過程序來指令相關(guān)的硬件來完成����,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,存儲(chǔ) 介質(zhì)可以包括只讀存儲(chǔ)器����、隨機(jī)存儲(chǔ)器�����、磁盤或光盤等����。以上對(duì)本發(fā)明實(shí)施例所提供的無線局域網(wǎng)集中式802. IX認(rèn)證方法及裝置和系統(tǒng) 進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述��,以上實(shí) 施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù) 人員����,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處�����,綜上,本說明書 內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制��。
權(quán)利要求
1.一種無線局域網(wǎng)集中式802. IX認(rèn)證方法�,其特征在于���,所述無線局域網(wǎng)包括認(rèn)證實(shí) 體����、接入點(diǎn)以及至少一個(gè)用戶設(shè)備UE���,所述認(rèn)證實(shí)體通過所述接入點(diǎn)與所述至少一個(gè)UE相 連�����,所述方法包括接入點(diǎn)接收來自UE的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文���,所述EAP認(rèn)證開始報(bào)文的目 的地址為該接入點(diǎn)的空口對(duì)應(yīng)的介質(zhì)訪問控制MAC地址、源地址為所述UE的MAC地址��;將所述EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體的 MAC地址���;轉(zhuǎn)發(fā)所述修改了目的地址的EAP認(rèn)證開始報(bào)文�,以便于所述認(rèn)證實(shí)體根據(jù)所述修改了 目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接入認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括接收所述認(rèn)證實(shí)體發(fā)送的EAP認(rèn)證報(bào)文�����,其中����,所述EAP認(rèn)證報(bào)文的源地址為所述認(rèn)證 實(shí)體的MAC地址、目的地址為所述UE的MAC地址����;將所述EAP認(rèn)證報(bào)文的源地址修改為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址; 向所述UE轉(zhuǎn)發(fā)所述修改了源地址的EAP認(rèn)證報(bào)文�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于���,所述方法還包括接收所述UE發(fā)送的第二 EAP認(rèn)證報(bào)文����,該第二 EAP認(rèn)證報(bào)文為所述UE發(fā)送的除EAP 認(rèn)證開始報(bào)文外的認(rèn)證報(bào)文,所述第二 EAP認(rèn)證報(bào)文的目的地址為所述接入點(diǎn)的空口對(duì)應(yīng) 的MAC地址�����、源地址為所述UE的MAC地址�����;將第二 EAP認(rèn)證報(bào)文的目的地址修改為所述認(rèn)證實(shí)體的MAC地址���; 轉(zhuǎn)發(fā)所述修改了目的地址的第二 EAP認(rèn)證報(bào)文。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括接收所述認(rèn)證實(shí)體發(fā)送的第三EAP認(rèn)證報(bào)文�,其中,所述第三EAP認(rèn)證報(bào)文的源地址為 所述認(rèn)證實(shí)體的MAC地址�����、目的地址為所述UE的MAC地址��;向所述UE轉(zhuǎn)發(fā)第三EAP認(rèn)證報(bào)文�����,以便于所述UE從所述第三EAP認(rèn)證報(bào)文中學(xué)習(xí)到 所述認(rèn)證實(shí)體的MAC地址。
5.一種無線局域網(wǎng)集中式802. IX認(rèn)證方法���,其特征在于����,包括接入點(diǎn)生成EAP認(rèn)證開始報(bào)文��,該EAP認(rèn)證開始報(bào)文的目的地址為端口接入實(shí)體組播 地址或者認(rèn)證實(shí)體的MAC地址�、源地址為UE的MAC地址; 發(fā)送所述EAP認(rèn)證開始報(bào)文�����;接收認(rèn)證實(shí)體發(fā)送的EAP認(rèn)證報(bào)文����,所述EAP認(rèn)證報(bào)文的源地址為所述認(rèn)證實(shí)體的MAC 地址、目的地址為所述UE的MAC地址���;將所述EAP認(rèn)證報(bào)文的源地址修改為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址��,并向所述UE 轉(zhuǎn)發(fā)所述修改了源地址的EAP認(rèn)證報(bào)文��。
6.一種接入點(diǎn)設(shè)備�,其特征在于,包括第一接收模塊�,用于接收UE發(fā)送的EAP認(rèn)證開始報(bào)文,所述EAP認(rèn)證開始報(bào)文的目的 地址為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址����、源地址為所述UE的MAC地址;第一地址修改模塊��,用于將所述第一接收模塊接收的EAP認(rèn)證開始報(bào)文的目的地址修 改為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體的MAC地址�;第一轉(zhuǎn)發(fā)模塊,用于轉(zhuǎn)發(fā)所述第一地址修改模塊修改了目的地址的EAP認(rèn)證開始報(bào)文���,以便于所述認(rèn)證實(shí)體根據(jù)所述修改了目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接入 認(rèn)證。
7.根據(jù)權(quán)利要求6所述的接入點(diǎn)設(shè)備��,其特征在于�,還包括第二接收模塊,用于接收所述認(rèn)證實(shí)體發(fā)送的EAP認(rèn)證報(bào)文�����,其中,所述EAP認(rèn)證報(bào)文 的源地址為所述認(rèn)證實(shí)體的MAC地址��、目的地址為所述UE的MAC地址�;第二地址修改模塊,用于將所述第二接收模塊接收的EAP認(rèn)證報(bào)文的源地址修改為所 述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址�;第二轉(zhuǎn)發(fā)模塊,用于向所述UE轉(zhuǎn)發(fā)所述第二地址修改模塊修改了源地址的EAP認(rèn)證報(bào)文���。
8.根據(jù)權(quán)利要求7所述的接入點(diǎn)設(shè)備��,其特征在于�����,所述第一接收模塊還用于����,接收所述UE發(fā)送的第二 EAP認(rèn)證報(bào)文�����,該第二 EAP認(rèn)證報(bào) 文為所述UE發(fā)送的除EAP認(rèn)證開始報(bào)文外的認(rèn)證開始報(bào)文�,所述第二 EAP認(rèn)證報(bào)文的目的 地址為所述接入點(diǎn)的空口對(duì)應(yīng)的MAC地址、源地址為所述UE的MAC地址����;所述第一地址修改模塊還用于�����,將所述第一接收模塊接收的第二 EAP認(rèn)證報(bào)文的目的 地址修改為所述認(rèn)證實(shí)體的MAC地址�;所述第一轉(zhuǎn)發(fā)模塊還用于��,轉(zhuǎn)發(fā)所述第一地址修改模塊修改了目的地址的第二 EAP認(rèn) 證報(bào)文�����。
9.根據(jù)權(quán)利要求6所述的接入點(diǎn)設(shè)備�,其特征在于,還包括第三接收模塊�,用于接收所述認(rèn)證實(shí)體發(fā)送的第三EAP認(rèn)證報(bào)文,所述第三EAP認(rèn)證報(bào) 文的源地址為所述認(rèn)證實(shí)體的MAC地址�����、目的地址為所述UE的MAC地址�;第三轉(zhuǎn)發(fā)模塊����,用于向所述UE轉(zhuǎn)發(fā)所述第三接收模塊接收的第三EAP認(rèn)證報(bào)文���,以便 于所述UE從所述第三EAP認(rèn)證報(bào)文中學(xué)習(xí)到所述認(rèn)證實(shí)體的MAC地址。
10.一種無線局域網(wǎng)集中式802. IX認(rèn)證系統(tǒng)��,其特征在于��,無線局域網(wǎng)包括認(rèn)證實(shí)體�����、 接入點(diǎn)以及至少一個(gè)用戶設(shè)備UE���,所述認(rèn)證實(shí)體通過所述接入點(diǎn)與所述至少一個(gè)UE相連����,其中���,所述接入點(diǎn)��,用于接收UE發(fā)送的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文����,所述EAP認(rèn) 證開始報(bào)文的目的地址為所述接入點(diǎn)的空口對(duì)應(yīng)的介質(zhì)訪問控制MAC地址�����、源地址為所述 UE的MAC地址;將所述EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址或者認(rèn) 證實(shí)體的MAC地址�;轉(zhuǎn)發(fā)所述修改了目的地址的EAP認(rèn)證開始報(bào)文,以便于所述認(rèn)證實(shí)體根 據(jù)所述修改了目的地址的EAP認(rèn)證開始報(bào)文開始所述UE的接入認(rèn)證��。
全文摘要
本發(fā)明公開了無線局域網(wǎng)集中式802.1X認(rèn)證方法及裝置和系統(tǒng)��,其中���,一種無線局域網(wǎng)集中式802.1X認(rèn)證方法����,無線局域網(wǎng)包括認(rèn)證實(shí)體���、接入點(diǎn)以及至少一個(gè)用戶設(shè)備UE����,該認(rèn)證實(shí)體通過接入點(diǎn)與該至少一個(gè)UE相連�����,該方法包括接入點(diǎn)接收來自UE的可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證開始報(bào)文��,該EAP認(rèn)證開始報(bào)文的目的地址為該接入點(diǎn)的空口對(duì)應(yīng)的介質(zhì)訪問控制MAC地址��、源地址為所述UE的MAC地址�;將所述EAP認(rèn)證開始報(bào)文的目的地址修改為端口接入實(shí)體組播地址或者認(rèn)證實(shí)體的MAC地址;轉(zhuǎn)發(fā)所述修改了目的地址的EAP認(rèn)證開始報(bào)文�。本發(fā)明實(shí)施例提供方案能夠?qū)崿F(xiàn)UE的無線局域網(wǎng)集中式802.1X認(rèn)證。
文檔編號(hào)H04L12/56GK102137401SQ20101058111
公開日2011年7月27日 申請(qǐng)日期2010年12月9日 優(yōu)先權(quán)日2010年12月9日
發(fā)明者劉國平 申請(qǐng)人:華為技術(shù)有限公司