[发明专利]基于网络接入认证信息承载协议的绑定链路层信息的方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种基于PANA(Protocol forcarrying Authentication for Network Access，网络接入认证信息承载协议)协议的绑定链路层信息的方法。

背景技术

PANA协议是在IP(Internet Protocol，互联网络协议)上承载EAP(Extensible Authentication Protocol，可扩展的认证协议)认证协议，来使它可在任何链路上应用任意认证方法。也就是说，PANA是一个网络层的接入认证协议，PANA可应用在支持IP的任何链路层上。PANA运行在想要接入网络的客户端和位于网络侧的服务器之间。PANA被用来在任何接入网络中使用，不管下层的安全性。例如，可应用的网络可以是物理上安全的，或者是经过成功的客户-网络认证后使用加密方法来使它安全。

PANA协议的功能模型如图1所示。

PANA客户端(PANA Client，PaC)位于请求网络接入的网络节点上，负责请求网络接入并参加使用PANA协议的认证过程。

PANA认证代理(PANA Authentication Agent，PAA)是PANA服务器，它典型的位于接入网络中的NAS(Network Access Server，网络接入服务器)上。PANA认证代理负责与PANA客户端交互来对它们进行认证和授权，也负责更新执行点(Enforcement Point，EP)上的接入控制状态。

认证服务器负责验证PANA客户端并终止EAP协议。

执行点负责接入控制，允许授权的客户端访问网络，并阻止其它客户端访问网络。执行点从PANA认证代理得到授权客户端的属性。执行点被建议但不要求位于PANA客户端和PANA认证代理之间的路径上。执行点和PANA客户端之间的交互密钥的接口可以是IKE(Internet Key Exchange，因特网密钥交换)等。

PANA客户端和PANA认证代理之间运行PANA协议。PANA客户端与执行点之间的接口为IKE或者4次握手。PANA认证代理和执行点之间的接口可以是COPS(Common Open Policy Service，公共开放策略服务)、SNMP(Simple Network Management Protocol，简单网络管理协议)、API(Application Programming Interface，应用编程接口)等。PANA认证代理和认证服务器(Authentication Server，AS)之间的接口可以是RADIUS(RemoteAuthentication Dial In User Service，远程用户拨号认证系统)、Diameter(直径，是RADIUS协议的升级版本)、LDAP(Light Directory Access Protocol，轻量级目录访问协议)、API等。

PANA的认证客户端进行网络接入的信令流程如图2所示。接入网上的执行点允许授权的客户端的流量通过，但是对于未授权的客户端，它只允许有限类型的流量通过(如PANA，DHCP(Dynamic Host ConfigurationProtocol，动态主机分配协议)，Router Discovery等)，这样来确保新连接的客户端具有最小的业务权限来参加PANA认证，具体步骤如下：

步骤210，在运行PANA协议之前，PANA客户端必须动态或静态的配置一个IP地址；

步骤220，未授权的PANA客户端通过发现PANA认证代理来发起PANA认证，然后PANA认证代理与认证服务器交互，进行AAA(Authentication、Authorization、Accounting，认证、授权、记费)交互；

步骤230，在从认证服务器接收到认证和授权结果后，PANA认证代理通知PANA客户端它的网络接入请求的结果，如果PANA客户端被授权可访问网络，PANA认证代理也通过另一个协议发送PANA客户端特定的属性给执行点，执行点使用这个信息来改变对PANA客户端流量的过滤规则；

步骤240，在PANA认证之后，PANA客户端可能需要重新配置它的IP地址或者附加的IP地址；

步骤250，如果需要加密访问控制，则需要在PANA客户端和执行点之间运行安全联盟协议；

安全联盟协议的交互产生PANA客户端和执行点之间的安全联盟，来使能加密数据流量保护；