[发明专利]一种使用EAP进行外部认证的设备、系统及方法

说明书

技术领域

本发明涉及通信领域，具体地，涉及一种使用EAP可扩展认证协议进行外部认证的设备、系统及方法。

背景技术

可扩展认证协议(EAP，Extensible Authentication Protocol)是一个用于点到点认证的通用协议，可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应点到点认证方简单地把收到的认证报文透传给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。在链路阶段完成以后，认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型，例如是对端的ID、MD5的挑战字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下，认证方首先发送一个ID请求报文随后再发送其他的请求报文。当然，并不是必须要首先发送这个ID请求报文，在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。对端对每一个请求报文回应一个应答报文。和请求报文一样，应答报文中也包含一个类型字段，对应于所回应的请求报文中的类型字段。认证方通过发送一个成功或者失败的报文来结束认证过程。相对于其他认证方法，EAP的优点在于，EAP可以支持多种认证机制，而无需在LCP阶段预协商过程中指定。某些设备(如：网络接入服务器)不需要关心每一个请求报文的真正含义，而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败，然后结束认证阶段。

第三代合作伙伴计划(3rd Generation Partnership Project，简称为3GPP)演进的分组系统(Evolved Packet System，简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal Terrestrial Radio Access Network，简称为E-UTRAN)、移动管理单元(Mobility Management Entity，简称为MME)、服务网关(Serving Gateway，S-GW)、分组数据网络网关(Packet Data Network Gateway，简称为P-GW或者PDN GW)、归属用户服务器(Home Subscriber Server，简称为HSS)、策略和计费规则功能(Policy and Charging Rules Function，简称为PCRF)实体及其他支撑节点组成。

图1中，MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作；S-GW是与E-UTRAN相连的接入网关设备，在E-UTRAN和P-GW之间转发数据，并且负责对寻呼等待数据进行缓存；P-GW则是EPS与分组数据网络(Packet Data Network，简称为PDN)的边界网关，负责PDN的接入及在EPS与PDN间转发数据等功能；PCRF是策略和计费规则功能实体，它通过接收接口Rx和运营商网络协议(Internet Protocol，简称为IP)业务网络相连，获取业务信息，此外，它通过Gx/Gxa/Gxc接口与网络中的网关设备相连，负责发起IP承载的建立，保证业务数据的服务质量(Quality of Service，简称为QoS)，并进行计费控制。