[发明专利]用于SP以太网汇聚网络的认证的系统和方法

说明书

技术领域

本发明一般地涉及数据通信系统；具体而言，本发明涉及服务供应商 网络中的安全系统和认证技术。

背景技术

综合计算机网络安全策略最初是为具体目标而设计，比如：防止外人 (外部黑客)接入网络；只允许经授权的用户进入网络；一般通过对行为 或使用增强责任来避免内部发起的网络攻击；以及为不同类别或种类的用 户提供不同层的接入。为了有效起见，安全策略应该以不中断业务或使经 授权的接入异常困难的方式达到每个上述目标。用于达到这些目标的各种 网络安全系统和方法在6,826,698号、6,763,469号6,611,869号和6,499,107 号美国专利中有所公开。

已经开发了许多不同的网络协议来解决识别和认证想要接入网络的用 户的需要。例如，可扩展认证协议(EAP)是用于携带认证信息的灵活协 议，所述认证信息可包括标识、密码或预定安全密钥(key)。但EAP不 是传输协议，而是通常在另一种进行传送行为的协议上操作，在客户和认 证机构之间运送认证信息。举例来说，EAP可在通常用于在网络设备和认 证服务器或数据库之间通信的远程认证拨入用户服务(RADIUS)协议上 操作。作为对EAP消息的传送，RADIUS允许网络设备安全传递登陆和证 书(例如用户名/密码)信息。

另一个公知的传送机制是因特网用户拨入远程接入服务器点到点链路 时通常使用的点到点协议(PPP)。内建PPP(PPP)是链路控制协议 (LCP)，其建立链路层连接，并能够以可选方式协商认证协议来认证请 求网络接入的用户。

目前广泛使用数字用户线路(DSL)技术来在现有电话网络基础设施 上增加数字数据传输的带宽。正在使用的其他类型的第一层传送机制包括 光纤到户(FTTH)和WIMAX。典型的DSL系统配置中，多个DSL用户 经由数字用户线路接入复用器(DSLAM)连接到服务供应商(SP)网 络，所述DSLAM将电话服务供应商位置处的信号集中和复用到更广阔的 广域网中。基本上，DSLAM从许多客户或用户取得连接，然后将它们汇 聚到单一的大容量连接中。DSLAM还可为用户提供诸如路由或因特网协 议(IP)地址分配之类的附加功能。

异步转移模式(ATM)协议网络通常在DSLAM设备与诸如宽带远程 接入服务器(BRAS)之类的网络服务器之间的通信中使用。BRAS是终 止企业网的远程用户或因特网服务供应商(ISP)网络的因特网用户的设 备，并通常为远程用户提供防火墙、认证和路由服务。ATM协议是一个 国际标准，其中多种服务类型在点到点连接上以固定的“信元”传送。数 据分组信元通过称为虚路径标识符/虚信道标识符(VPI/VCI)转换的过 程，从用户网络接口(UNI)经由ATM交换机通过网络传到网络节点接 口(NNI)。

SP接入网正在从ATM协议网向以太网转移。以太网技术的起源基于 网络上的对等方在本质上共同的线路或信道上发送消息的思想。每个对等 方具有全球唯一关键码，称为媒体访问控制(MAC)地址，来保证以太网 中的所有地址具有不同的地址。现在多数以太网装置使用以太网交换机 (也称“网桥”)来实现为附接设备提供连通性的以太网“云”或 “岛”。交换机作为智能数据流量转发器来工作，其中帧被发往目的设备 被附接到的端口。以太网网络环境中使用的网络交换机的示例可在 6,850,542号、6,813,268号和6,850,521号美国专利中找到。

用于认证经由以太网接入网连接的DSL用户的广泛使用的现有技术协 议被称为以太网上的点到点协议(PPPoE)。RFC 2516(“A Method for  Transmitting PPP over Ethernet”，1999年2月)中描述的PPPoE协议基本 指定了怎样经由诸如DSL的公共宽带介质将以太网用户连接到因特网上。 但是由于PPPoE与以太网上的多点IP相反，是面向点到点连接的的，因 此它具有某些固有缺陷，使得随着诸如话音和视频之类的新业务分层堆积 到SP网络上，作为传输协议的PPPoE越来越没有吸引力。

因此，需要的是用于依赖以太网技术的用户宽带汇聚网络的新的认证 机制。

发明内容