一种使用EAP进行外部认证的设备、系统及方法技术方案

本发明专利技术提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法，用户设备初始附着到EPS网络时，将EAP认证方法所需的EAP认证信息传送给分组数据网络网关，当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息或修改PDP上下文请求消息到分组数据网络网关。采用本发明专利技术的技术方案，可实现用户设备通过3GPP?access连接到EPS的过程中，使用EAP认证方法通过GGSN/PDN?GW向外部认证授权服务器完成认证授权。

【技术实现步骤摘要】

本专利技术涉及通信领域，具体地，涉及一种使用EAP可扩展认证协议进行外部认证的设备、系统及方法。
技术介绍
可扩展认证协议(EAP,Extensible Authentication Protocol)是一个用于点到点认证的通用协议，可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应点到点认证方简单地把收到的认证报文透传给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。在链路阶段完成以后，认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型，例如是对端的ID、MD5的挑战字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下，认证方首先发送一个ID请求报文随后再发送其他的请求报文。当然，并不是必须要首先发送这个ID请求报文，在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。对端对每一个请求报文回应一个应答报文。和请求报文一样，应答报文中也包含一个类型字段，对应于所回应的请求报文中的类型字段。认证方通过发送一个成功或者失败的报文来结束认证过程。相对于其他认证方法，EAP的优点在于，EAP可以支持多种认证机制，而无需在LCP阶段预协商过程中指定。某些设备(如网络接入服务器)不需要关心每一个请求报文的真正含义，而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败，然后结束认证阶段。第三代合作伙伴计划(3rdGeneration Partnership Pro ject,简称为 3GPP)演进的分组系统(Evolved Packet System,简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为E-UTRAN)、移动管理单兀(Mobility Management Entity,简称为 MME)、服务网关(Serving Gateway, S-GW)、分组数据网络网关(Packet Data Network Gateway,简称为P-GW或者F1DN GW)、归属用户服务器(Home Subscriber Server,简称为 HSS)、策略和计费规则功能(Policy and ChargingRules Function,简称为PCRF)实体及其他支撑节点组成。图1中，MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作；S-GW是与E-UTRAN相连的接入网关设备，在E-UTRAN和P-GW之间转发数据，并且负责对寻呼等待数据进行缓存；P_GW则是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关，负责PDN的接入及在EPS与PDN间转发数据等功能；PCRF是策略和计费规则功能实体，它通过接收接口 Rx和运营商网络协议(Internet Protocol,简称为IP)业务网络相连,获取业务信息,此外，它通过Gx/Gxa/Gxc接口与网络中的网关设备相连，负责发起IP承载的建立，保证业务数据的服务质量(Quality of Service,简称为QoS),并进行计费控制。在用户设备初始附着/切换或者创建新的PDN连接到EPS网络的过程中，GGSN/PDN GW可能向外部分组数据网络中的认证服务器(可能是第三方提供的)为用户设备进行用户认证授权、相关配置参数的下发(比如IP地址)等。当用户设备通过3GPP接入网络即 GERAN/UTRAN/E-UTRAN 建立 PDN 连接时，用户设备通过 PCO(Protocol ConfigurationOption，协议配置选择)信息元素将需要外部认证授权服务器认证授权的数据透传给GGSN/PDN GW，而后GGSN/TON GW提取PCO中的用户认证数据，包含在向外部认证授权服务器发送的认证消息中。外部认证授权服务器对用户进行认证授权后将认证结果以及相关数据通过认证响应消息返回给GGSN/TON GW。GGSN/TON GW将上述认证结果以及相关数据通过包含在PCO中返回给用户设备。当前标准中，PCO支持携带CHAP (Challenge HandshakeAuthentication Protocol,挑战握手认证协议)和 PAP(Password AuthenticationProtocol，密码认证协议)参数，即两种认证方法。随着网络安全的发展，可扩展认证协议(EAP, Extensible Authentication Protocol)因为其具备更好的安全性被运营商所采纳使用，也成为用户设备进行外部认证授权方法的潜在需求。然而，相对于CHAP和PAP认证方法的一轮交互而言，EAP认证方法在客户端和服务器之间有两轮消息交互，上述EAP认证方法的特点决定了对当前的用户设备连接到EPS的流程会产生影响。
技术实现思路
本专利技术针对上述用户设备通过EAP认证方法在连接到EPS网络的过程中进行外部认证授权的潜在需求，拟定了用户设备通过3GPP access连接到EPS的过程中，使用EAP认证方法通过GGSN/TON Gff向外部认证授权服务器完成认证授权的流程。本专利技术提供一种使用EAP可扩展认证协议进行外部认证的方法，包括用户设备通过E-UTRAN初始附着到EPS网络时，将EAP认证方法所需的EAP认证信息传送给分组数据网络网关，当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。进一步地，所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送；所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。本专利技术还提供一种使用EAP可扩展认证协议进行外部认证的方法，包括分组数据网络网关收到携带EAP认证信息的建立会话请求消息后，将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器，外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关；所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备；分组数据网络网关收到携带EAP响应消息的承载资源命令消息后，将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器，外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果，所述分组数据网络网关将接收的认证结果发送至用户设备。 进一步地，所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中，所述信息元素为PCO中或新定义的信息元素；移动管理单元收到附着请求后，通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关；所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元，所述移动管理单元将所述信息元素包含在附着接受消息中本文档来自技高网...

【技术保护点】
一种使用EAP可扩展认证协议进行外部认证的方法，包括：用户设备通过E?UTRAN初始附着到EPS网络时，将EAP认证方法所需的EAP认证信息传送给分组数据网络网关，当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。

【技术特征摘要】
1.一种使用EAP可扩展认证协议进行外部认证的方法，包括 用户设备通过E-UTRAN初始附着到EPS网络时，将EAP认证方法所需的EAP认证信息传送给分组数据网络网关，当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。2.如权利要求1所述的方法，其特征在于 所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送； 所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。3.一种使用EAP可扩展认证协议进行外部认证的方法，包括 分组数据网络网关收到携带EAP认证信息的建立会话请求消息后，将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器，外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关； 所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备； 分组数据网络网关收到携带EAP响应消息的承载资源命令消息后，将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器，外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果，所述分组数据网络网关将接收的认证结果发送至用户设备。4.如权利要求3所述的方法，其特征在于，所述方法还包括 所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中，所述信息元素为PCO中或新定义的信息元素； 移动管理单元收到附着请求后，通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关； 所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元，所述移动管理单元将所述信息元素包含在附着接受消息中发送给用户设备； 所述分组数据网络网关将包含认证结果的信息元素通过更新承载请求消息经服务网关传送给移动管理单元，移动管理单元将所述信息元素通过下行NAS传输消息发给用户设备。5.一种使用EAP可扩展认证协议进行外部认证的方法，包括 用户设备通过UTRAN/GERAN初始附着到EPS网络时，发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息；当所述用户设备收到包含EAP请求信息的PDP激活接受消息后，发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。6.如权利要求5所述的方法，其特征在于 所述EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。7.一种使用EAP可扩展认证协议进行外部认证的方法，包括 GGSN/分组数据网络网关收到PDP上下文激活请求后，将EAP认证信息携带在接入请求消息中发送给外部认证服务器，外部认证服务器收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关； 所述GGSN/分组数据网络网关将EAP请求信息通过PDP激活接受消息发送到用户设备; GGSN/分组数据网络网关收到修改PDP上下文请求消息后，提取EAP响应信息，包含到接入请求消息中发送给外部认证服务器，并于收到认证结果后通过更新上下文响应消息发送给用户设备。8.如权利要求7所述的方法，其特征在于 所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备； 所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。9.一种使用EAP可扩展认证协议进行外部认证的用户设备，其特征在于 所述用户设备，用于通过E-UTRAN初始附着到EPS网络时，将EAP认证方法所需的EAP认证信息...

【专利技术属性】
技术研发人员：周星月，梁爽，朱春晖，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：