WO2013034056A1 - 一种位置信息处理方法和系统 - Google Patents

Abstract

本发明公开了一种位置信息处理方法和系统，由家庭网关（RG）作为802.1x客户端，发起认证请求（510）；由接入节点（AN）作为802.1x认证器和远程认证拨号用户服务（RADIUS）客户端，在收到的所述认证请求中插入RG的位置信息，并发送给认证、授权和计费（AAA）服务器（520），用于作为后续认证的参考。本发明的位置信息处理技术，使得位置信息已经认证通过的UE，在后续通信过程中无须再次认证，避免了UE的重复认证，简化了通信流程。另外，由于在认证时同时关联了RG的位置信息，因而能进一步加强认证的安全性，能够更好地避免非法接入等问题。

Description

一种位置信息处理方法和系统 技术领域

本发明涉及通信领域， 具体涉及一种位置信息处理方法和系统。 背景技术

随着网络技术的发展和用户对业务的需求， 家庭网络中的终端设备逐 渐多样化、 智能化。 家庭网关（Residential Gateway, RG )作为集中式智能 接口， 将家庭网络和外部网络联系起来， 为家庭网络提供联接、 总控及协 调。

目前， 国际性标准组织宽带论坛 ( Broadband Forum, BBF )正在进行 家庭网关、 家庭终端设备认证的标准化工作， 涉及的场景包括家庭终端设 备通过 RG从 BBF 网络接入的认证过程。 RG作为 802.1x客服端向 AN ( Access Node, 接入节点 )发起接入认证， 此时 AN作为 802.1x认证器及 远程认证拔号用户月良务 ( Remote Authentication Dial In User Service , RADIUS )客月良端向 AAA ( Authentication Authorization Accounting , 认证、 授权和计费）服务器发起认证请求。

根据现有技术， AN向 AAA服务器发送的认证请求消息中不会携带 RG 的位置信息， 当 RG 下的用户设备（UE ) 向 BNG ( Broadband Network Gateway, 宽带网络网关）发起动态主机分配协议（ DHCP )请求时， BNG 本地或 AAA服务器都没有该 UE的位置信息 （通过 RG接入网络的 UE的 位置信息与 RG的位置信息相同）， 而实际上该位置信息在 RG的认证过程 中已通过认证。 根据现有技术， UE发起的 DHCP请求将认证失败， 无法接 入。 这显然不利于 UE的正常通信。 另外， 即使某用户的位置信息已经认证 过， 则该用户在后续通信过程中仍有可能需要再次认证， 这种重复认证必 然导致 UE通信过程复杂化。 发明内容

有鉴于此， 本发明的主要目的在于提供一种位置信息处理方法和系统， 以避免 UE的重复认证。

为达到上述目的， 本发明的技术方案是这样实现的：

一种位置信息处理方法， 包括：

家庭网关 RG作为 802.1x客户端， 发起认证请求；

接入节点 AN作为 802. lx认证器和远程认证拨号用户服务 RADIUS客 户端， 在收到的所述认证请求中插入 RG的位置信息， 并发送给认证、授权 和计费 AAA服务器。

其中， 在收到的所述认证请求中插入 RG的位置信息， 并发送给 AAA 服务器的过程包括：

在收到的所述认证请求中插入 RG的位置信息，并将已插入 RG位置信 息的认证请求封装成 RADIUS报文， 再将该 RADIUS报文发送给 AAA服 务器。

其中， 该方法还包括：

AAA服务器对 RG进行认证， 并在认证通过时保存 RG的位置信息。 其中， 该方法还包括：

当宽带网络网关 BNG感知 AN与 AAA服务器交互的 RADIUS报文时， 若 RG通过认证， 则 BNG保存 RG的位置信息；

当所述 BNG不感知 AN与 AAA服务器交互的 RADIUS 4艮文时，若 RG 通过认证， 则 AAA将 RG的位置信息通知给与该 RG对应的 BNG; 和 /或， 当 BNG收到从所述 RG接入的 UE的认证请求或地址请求时， 若本地 没有该 UE的认证信息， 则向 AAA服务器查询。

其中， 所述 RG的位置信息为链路标识。 一种位置信息处理系统， 包括 RG、 AN; 其中，

所述 RG, 用于作为 802.1x客户端， 发起认证请求；

所述 AN, 用于作为 802.1x认证器和 RADIUS客户端， 在收到的所述 认证请求中插入 RG的位置信息， 并发送给 AAA服务器。

其中， 所述 AN在收到的所述认证请求中插入 RG的位置信息，并发送 给 AAA服务器时， 用于：

在收到的所述认证请求中插入 RG的位置信息，并将已插入 RG位置信 息的认证请求封装成 RADIUS报文， 再将该 RADIUS报文发送给 AAA服 务器， 用于作为后续认证的参考。

其中， 所述 AAA服务器还用于：

对 RG进行认证， 并在认证通过时保存 RG的位置信息。

其中， 该系统还包括 BNG;

当所述 BNG感知 AN与 AAA服务器交互的 RADIUS报文时，所述 BNG 用于： 若 RG通过认证， 则保存 RG的位置信息；

当所述 BNG不感知 AN与 AAA服务器交互的 RADIUS 4艮文时， 所述 BNG用于：

若 RG通过认证， 则与该 RG对应的 BNG接收 AAA所通知的 RG的 位置信息； 和 /或，

当 BNG收到从所述 RG接入的 UE的认证请求或地址请求时， 若本地 没有该 UE的认证信息， 则向 AAA服务器查询。

其中， 所述 RG的位置信息为链路标识。

本发明的位置信息处理技术， 使得位置信息已经认证通过的 UE, 在后 续通信过程中无须再次认证， 避免了 UE的重复认证， 简化了通信流程。 另 外， 由于在认证时同时关联了 RG的位置信息， 因而能进一步加强认证的安 全性， 能够更好地避免非法接入等问题。 附图说明

图 1为本发明实施 1的位置信息处理流程图；

图 2为本发明实施 2的位置信息处理流程图；

图 3为本发明实施 3的位置信息处理流程图；

图 4为本发明实施 4的位置信息处理流程图；

图 5为本发明实施的位置信息处理流程简图。 具体实施方式

在实际应用中， 可以由 RG作为 802.1x客户端， 发起认证请求； AN作 为 802.1x认证器和 RADIUS客户端， 在收到的所述认证请求中插入 RG的 位置信息， 并将已插入 RG位置信息的认证请求封装成 RADIUS报文， 再 将该 RADIUS报文发送给 AAA服务器， 用于作为后续认证的参考。 所述 RG的位置信息可以为链路标识（ Circuit ID )。

AAA服务器可以对 RG进行认证， 并在认证通过时保存 RG的位置信 当 BNG收到接在所述 RG下的 UE的认证请求或地址请求时， 若本地 没有该 UE的认证信息 （如 UE的位置信息）， 则向 AAA服务器查询。

可选地， AN与 AAA服务器交互的 RADIUS 4艮文可以经过 BNG, BNG 有能力获取 RG的位置信息。 若 RG通过认证， 则 BNG保存 RG的位置信 息。 具体而言， 若 RG通过认证， AAA服务器可以将 RG的位置信息通知 给与该 RG对应的 BNG。

下面将结合附图和实施例对本发明进行详细描述。

参见图 1 , 图 1描述了 RG作为 802.1x客服端的认证接入过程，该过程 中， AN插入 RG的位置信息经由 BNG发送到 AAA服务器， BNG感知 RG 的认证过程。 图 1所示流程包括以下步驟：

1、 RG作为 802.1x客户端，附着到以太网，并发起认证协议开始（ EAPoL Start )才艮文， 以请求认证。

2、 AN收到 RG发送的 EAPoL Start报文后， 向 RG发送认证协议 ID 请求（ EAP Identity Request )报文， 用于通知 RG上报用户名。

3、 收到 AN发送的 EAP Identity Request报文后， RG回复认证协议 ID 应答（ EAP Identity Response )报文给 AN, 其中携带有用户名。

4、 AN 将收到的 EAP Identity Response 4艮文封装到认证接入请求 ( RADIUS Access Request )报文中， 同时插入 RG对应的位置信息， 如链 路标识（ Circuit ID ) /线路标识（ Line ID ), 举例来说： RG所连接交换机端 口的虚拟局域网标识（ vlan-id )及二层端口号。之后， AN将 RADIUS Access Request报文发送给 BNG。

5、 BNG作为 RADIUS Proxy ( RADIUS代理）， 感知 RG的认证过程， 即 BNG能读取 RG的位置信息等参数。进一步地， BNG将 RADIUS Access Request报文发送给 AAA服务器。

6、 AAA服务器回复认证接入响应（ RADIUS Access Response )报文给 挑战（Challenge d

7、 BNG将收到的 RADIUS Access Response报文转发给 AN。

8、 AN从收到的 RADIUS Access Response报文中解封出 EAP报文， 并将该 EAP报文发送给 RG。

9、 收到 AN发送的 EAP报文后， RG回复报文给 AN, 其中携带有挑 战密码 ( Challenged Password )。

10、 收到 RG回复的报文后， AN将 EAP报文封装到 RADIUS Access Request报文中发送给 BNG。

11、 BNG将收到的 RADIUS Access Request报文转发给 AAA服务器。 12、若 RG通过认证，则 AAA服务器回复认证接入接受（ RADIUS Access Accept )报文给 BNG; 若 RG没有通过认证， 则 AAA服务器回复认证接入 拒绝（ RADIUS Access Reject )报文给 BNG。

13、 若 RG认证成功， 则 BNG保存该 RG的位置信息， 如链路标识 / 线路标识， 举例来说： RG所连接交换机端口的 vlan-id及二层端口号。 并 且， BNG将 RADIUS Access Request报文发送给 AN。 若 RG认证失败， 则 BNG将 RADIUS Access Reject报文转发给 AN。

14、 AN解封出 EAP才艮文， 若 RG认证成功， 则发送认证协议成功报 文给 RG; 若 RG认证失败， 则发送认证协议失败报文给 RG。

参见图 2, 图 2描述了 RG作为 802.1x客服端的认证接入过程，该过程 中， AN插入 RG的位置信息发送给 AAA服务器。 图 2所示流程包括以下 步驟：

1、 RG作为 802.1x客户端， 附着到以太网， 并发起认证协议开始报文， 以请求认证。

2、 AN收到 RG发送的 EAPoL Start报文后， 向 RG发送认证协议 ID 请求报文， 用于通知 RG上报用户名。

3、 收到 AN发送的 EAP Identity Request报文后， RG回复认证协议 ID 应答报文给 AN, 其中携带有用户名。

4、 AN将收到的 EAP Identity Response报文封装到认证接入请求报文 中， 同时插入 RG对应的位置信息， 如链路标识 /线路标识， 举例来说： RG 所连接交换机端口的 vlan-id及二层端口号。 之后， AN将 RADIUS Access Request报文发送给 AAA服务器。

5、 AAA服务器回复认证接入响应报文给 AN, 其中携带有 EAP挑战。

6、 AN从收到的 RADIUS Access Response报文中解封出 EAP报文， 并将该 EAP报文发送给 RG。

7、 收到 AN发送的 EAP报文后， RG回复报文给 AN, 其中携带有挑 战密码。

8、 收到 RG回复的报文后， AN将 EAP报文封装到 RADIUS Access Request报文中发送给 AAA服务器。

9、 若 RG通过认证， 则 AAA服务器保存该 RG的位置信息， 如链路 标识 /线路标识，举例来说： RG所连接交换机端口的 vlan-id及二层端口号。 并且， AAA服务器回复认证接入接受报文给 AN; 若 RG没有通过认证， 则 AAA服务器回复认证接入拒绝报文给 AN。

10、 AN解封出 EAP报文，若 RG认证成功，则发送认证协议成功（ EAP Success )报文给 RG; 若 RG认证失败，则发送认证协议失败（ EAP-Failure ) 报文给 RG。

参见图 3, 图 3描述了接在 RG下的 UE发起 DHCP请求的过程， 该过 程中， BNG到 AAA服务器查询 UE的位置信息是否合法。 图 3所示流程包 括以下步驟：

1、 UE在物理子网上发送广播的 DHCP发现（Discover )报文， 用于寻 找可用的 DHCP服务器。

2、 AN收到来自 UE的 DHCP Discover报文，插入 DHCP选项（ Option ) 82 (该选项包含 UE的位置信息， 如链路标识， 举例来说： RG所连接交换 机端口的 vlan-id及二层端口号）后转发给 BNG。

3、 若本地没有该 UE的认证信息， 则 BNG向 AAA服务器查询。 BNG 向 AAA服务器发送 RADIUS Access Request报文， 该报文中携带有用户的 位置信息。 具体地， BNG将 Option82选项转换为网络接入服务器端口标识

( NAS-Port-ID )信息（表示 UE的物理位置信息， 是 Radius报文的属性参 数）。

4、 若 AAA服务器判断出 UE的位置信息已经认证过（参照图 2的流 程： RG的认证过程， RG与 UE的位置信息相同），则向 BNG发送 RADIUS Access Accept报文； 若 UE没有认证过， 则回复认证接入拒绝报文给 BNG。

5、 若 UE认证通过， 则 BNG向 DHCP服务器发送 DHCP Discover报 文； 如果没有通过认证， 则 BNG通过 AN发送拒绝报文给 UE, 结束流程。

6、 DHCP服务器收到 DHCP Discover报文后， 对于 DHCP服务器， 相 当于收到来自 BNG的 IP租约请求， 因此 DHCP服务器会提供 IP租约， 并 为 UE保留 IP地址， 然后向 BNG回复 DHCP应答（ DHCP Offer )报文， 该报文中携带有 IPv4地址。

7、 收到 DHCP服务器回复的 DHCP Offer报文后， BNG将其转发给

AN。

8、 AN向 UE回复 DHCP Offer报文， 其中携带有 IPv4地址。

9、 UE发送 DHCP Request报文给 AN和其他所有的 DHCP服务器， 其 中携带有提供 IP租约的 DHCP服务器的 IP, 用于告知其他所有的 DHCP 服务器 UE已经接受 IP租约。

10、 AN将从 UE收到的 DHCP Request报文转发给 BNG。

11、 BNG发送 DHCP Request报文给 DHCP服务器。

12、 DHCP服务器回复 DHCP确认（DHCPAck )报文给 BNG。

13、 BNG回复 DHCP Ack报文给 AN。

14、 AN回复 DHCP Ack报文给 UE。

参见图 4, 图 4描述了 RG作为 802.1x客服端的认证接入过程，此过程 中， AN插入 RG的位置信息并发送给 AAA服务器，若 RG通过认证， AAA 服务器将 RG的位置信息通知 BNG。 图 4所示流程包括以下步驟：

1、 RG作为 802.1x客户端， 附着到以太网， 并发起认证协议开始报文， 以请求认证。

2、 AN收到 RG发送的 EAPoL Start报文后， 向 RG发送认证协议 ID 请求报文， 用于通知 RG上报用户名。 3、 收到 AN发送的 EAP Identity Request报文后， RG回复认证协议 ID 应答报文给 AN, 其中携带有用户名。

4、 AN将收到的 EAP Identity Response报文封装到认证接入请求报文 中， 同时插入 RG对应的位置信息， 如链路标识 /线路标识， 举例来说： RG 所连接交换机端口的 vlan-id及二层端口号。 之后， AN RADIUS Access Request报文发送给 AAA服务器。

5、 AAA服务器回复认证接入响应报文给 AN, 其中携带有 EAP挑战。

6、 AN从收到的 RADIUS Access Response报文中解封出 EAP报文， 并将该 EAP报文发送给 RG。

7、 收到 AN发送的 EAP报文后， RG回复报文给 AN, 该报文中携带 有挑战密码。

8、 收到 RG回复的报文后， AN将 EAP报文封装到 RADIUS Access Request报文中发送给 AAA服务器。

9、 若 RG通过认证， 则 AAA服务器将该 RG的位置信息 （如链路标 识 /线路标识， 举例来说： RG所连接交换机端口的 vlan-id及二层端口号） 发送给 BNG。 具体地， AAA服务器根据链路信息或其它静态配置信息找到 对应的 BNG。

10、 若 RG通过认证， 则 AAA服务器回复认证接入接受报文给 AN; 若 RG没有通过认证， 则 AAA服务器回复认证接入拒绝报文给 AN。

11、 AN解封出 EAP才艮文， 若 RG认证成功， 则发送认证协议成功报 文给 RG; 若 RG认证失败， 则发送认证协议失败报文给 RG。

结合以上各实施例可见， 本发明处理位置信息的操作思路可以表示如 图 5所示的流程， 该流程包括以下步驟：

步驟 510: RG作为 802.1x客户端， 发起认证请求。 所述认证请求的形 式可能有多种， 如： 认证协议开始等如图 2所示的前三个步驟中的至少一 个消息。

步驟 520: AN作为 802.1x认证器和 RADIUS客户端， 在收到的认证 请求中插入 RG的位置信息， 并发送给 AAA服务器。 具体而言， 可以将已 插入 RG位置信息的认证请求封装成 RADIUS报文， 再将该 RADIUS报文 发送给 AAA服务器， 用于作为后续认证的参考。 所述 RG的位置信息可以 为链路标识等。

综上所述可见， 无论是包括 RG以及 AN的系统， 还是 RG以及 AN所 实现的前述技术内容， 本发明的位置信息处理技术， 使得位置信息已经认 证通过的 UE, 在后续通信过程中无须再次认证， 避免了 UE的重复认证， 简化了通信流程。 另外， 由于在认证时同时关联了 RG的位置信息， 因而能 进一步加强认证的安全性， 能够更好地避免 ^法接入等问题。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

1、 一种位置信息处理方法， 包括：

家庭网关 RG作为 802.1x客户端， 发起认证请求；

接入节点 AN作为 802. lx认证器和远程认证拨号用户服务 RADIUS客 户端， 在收到的所述认证请求中插入 RG的位置信息， 并发送给认证、授权 和计费 AAA服务器。

2、 根据权利要求 1所述的方法， 其中， 在收到的所述认证请求中插入 RG的位置信息， 并发送给 AAA服务器的过程包括：

在收到的所述认证请求中插入 RG的位置信息，并将已插入 RG位置信 息的认证请求封装成 RADIUS报文， 再将该 RADIUS报文发送给 AAA服 务器。

3、 根据权利要求 1或 2所述的方法， 其中， 该方法还包括：

AAA服务器对 RG进行认证， 并在认证通过时保存 RG的位置信息。

4、 根据权利要求 1或 2所述的方法， 其中， 该方法还包括：

当宽带网络网关 BNG感知 AN与 AAA服务器交互的 RADIUS报文时， 若 RG通过认证， 则 BNG保存 RG的位置信息；

当所述 BNG不感知 AN与 AAA服务器交互的 RADIUS 4艮文时，若 RG 通过认证， 则 AAA将 RG的位置信息通知给与该 RG对应的 BNG; 和 /或， 当 BNG收到从所述 RG接入的 UE的认证请求或地址请求时， 若本地 没有该 UE的认证信息， 则向 AAA服务器查询。

5、 根据权利要求 1或 2所述的方法， 其中， 所述 RG的位置信息为链 路标识。

6、 一种位置信息处理系统， 包括 RG、 AN; 其中，

所述 RG, 用于作为 802.1x客户端， 发起认证请求；

所述 AN, 用于作为 802.1x认证器和 RADIUS客户端， 在收到的所述 认证请求中插入 RG的位置信息， 并发送给 AAA服务器。

7、 根据权利要求 6所述的系统， 其中， 所述 AN在收到的所述认证请 求中插入 RG的位置信息， 并发送给 AAA服务器时， 用于：

在收到的所述认证请求中插入 RG的位置信息，并将已插入 RG位置信 息的认证请求封装成 RADIUS报文， 再将该 RADIUS报文发送给 AAA服 务器， 用于作为后续认证的参考。

8、 根据权利要求 6或 7所述的系统， 其中， 所述 AAA服务器还用于： 对 RG进行认证， 并在认证通过时保存 RG的位置信息。

9、 根据权利要求 6或 7所述的系统， 其中， 该系统还包括 BNG; 当所述 BNG感知 AN与 AAA服务器交互的 RADIUS报文时，所述 BNG 用于： 若 RG通过认证， 则保存 RG的位置信息；

当所述 BNG不感知 AN与 AAA服务器交互的 RADIUS 4艮文时， 所述 BNG用于：

若 RG通过认证， 则与该 RG对应的 BNG接收 AAA所通知的 RG的 位置信息； 和 /或，

当 BNG收到从所述 RG接入的 UE的认证请求或地址请求时， 若本地 没有该 UE的认证信息， 则向 AAA服务器查询。

10、根据权利要求 6或 7所述的系统， 其中， 所述 RG的位置信息为链 路标识。