CN103152332B - 一种web服务协助下的eap认证方法和设备 - Google Patents
一种web服务协助下的eap认证方法和设备 Download PDFInfo
- Publication number
- CN103152332B CN103152332B CN201310051830.2A CN201310051830A CN103152332B CN 103152332 B CN103152332 B CN 103152332B CN 201310051830 A CN201310051830 A CN 201310051830A CN 103152332 B CN103152332 B CN 103152332B
- Authority
- CN
- China
- Prior art keywords
- eap
- authentication
- user terminal
- bng
- web server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种WEB服务协助下的EAP认证方法和设备,其中,BNG进行EAP认证的方法包括:从AAA服务器获知用户终端的EAP鉴权失败,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自用户终端的HTTP请求后,将HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;从WEB服务器接收EAP继续鉴权的通知后,重新向AAA服务器发出对用户终端的EAP鉴权请求。本发明实现了现有网上自助服务与EAP认证相结合。
Description
技术领域
本发明涉及扩展的认证协议(EAP)认证领域,尤其涉及一种WEB服务协助下的EAP认证方法和设备。
背景技术
扩展认证协议(Extensible Authentication Protocol,EAP),是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网。当EAP被基于IEEE 802.1X的网络接入设备(诸如802.11a/b/g,无线接入点)调用时,现代的EAP方法可以提供一个安全认证机制。IEEE802.1X+EAP认证方法主要包括EAP-SIM、EAP-AKA、EAP-PEAP、EAP-TLS和EAP-TTLS。通过EAP-SIM/EAP-AKA对用户终端进行认证时,验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器最终认证是否成功还依赖于用户终端和运营商的签约信息(例如合约用户的合约期、预付费用户业务租期和剩余流量);用户订购业务合约过期、用户欠费等因素都可以导致AAA服务器对该用户终端认证失败,用户终端无法访问网络。通过EAP-TLS/EAP-TTLS对用户终端进行认证时,EAP-TLS/EAP-TTLS认证方法依赖于数字证书的有效期,如果用户终端数字证书失效,那么AAA服务器对该用户终端认证失败,用户终端不能正常接入网络。在这种情况下,为继续AAA认证,目前通常需要用户到运营商的营业点更新数字证书或续租业务,这种方式效率低下,影响用户业务体验。
随着网上自助服务的出现,用户可以通过网络办理多种业务,如网上充值、更新数字证书等。如果能将现有的网上自助服务与EAP认证结合起来,势必会提高现有EAP认证效率,提升用户的业务体验。
发明内容
本发明提供了一种WEB服务协助下的EAP认证方法和设备,以解决如何实现将现有的网上自助服务与EAP认证结合的技术问题。
为解决上述技术问题,本发明提供了一种宽带网络网关(BNG)进行扩展认证协议(EAP)认证的方法,所述方法包括:
从AAA服务器获知用户终端的EAP鉴权失败,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自所述用户终端的超文本传输协议(HTTP)请求后,将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;
从所述WEB服务器接收EAP继续鉴权的通知后,重新向AAA服务器发出对所述用户终端的EAP鉴权请求。
进一步地,判断是否需要将用户终端推送到WEB服务器,包括:
判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因;
或,
判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示。
进一步地,
将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,还携带所述EAP鉴权失败消息中的失败原因。
为解决上述技术问题,本发明还提供了一种WEB服务器协助扩展认证协议(EAP)认证的方法,所述方法包括:
接收宽带网络网关(BNG)转发的用户终端的超文本传输协议(HTTP)请求;
与所述用户终端建立连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;
在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知。
进一步地:
所述接收BNG转发的用户终端的HTTP请求后,还判断该请求中是否携带EAP鉴权失败原因;
如果该请求中携带EAP鉴权失败原因,则通过所述BNG向用户推送用于消除所述EAP鉴权失败原因的网页,接收所述用户终端消除EAP鉴权失败原因的自助操作;
在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知,包括:判断所述用户终端完成的消除EAP鉴权失败原因的操作是否是消除所述HTTP请求中携带的EAP鉴权失败原因的操作,如果是,向所述BNG发送指示EAP继续鉴权的通知。
为解决上述技术问题,本发明还提供了一种WEB服务协助下的扩展认证协议(EAP)认证方法,所述方法包括:
宽带网络网关(BNG)采用如上所述的任一项方法进行EAP认证;
WEB服务器采用如上所述的任一项方法进行EAP协助认证。
为解决上述技术问题,本发明还提供了一种进行扩展认证协议(EAP)认证的宽带网络网关(BNG),所述BNG包括EAP鉴权模块以及WEB重定向模块,其中,
所述EAP鉴权模块,用于向AAA服务器发出对用户终端的EAP鉴权请求,并从AAA服务器接收所述用户终端EAP鉴权结果,并将鉴权结果通知所述WEB重定向模块;
所述WEB重定向模块,用于获知鉴权结果为用户终端EAP鉴权失败消息后,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自所述用户终端的超文本传输协议(HTTP)请求后,将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;以及从所述WEB服务器接收EAP继续鉴权的通知后,通知EAP鉴权模块重新向AAA服务器发出对所述用户终端的EAP鉴权请求。
进一步地,
所述WEB重定向模块,用于判断是否需要将用户终端推送到WEB服务器,包括:
所述WEB重定向模块,判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因;或,判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示。
进一步地,
所述WEB重定向模块,还用于将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,携带所述EAP鉴权失败消息中的失败原因。
为解决上述技术问题,本发明还提供了一种协助扩展认证协议(EAP)认证的WEB服务器,所述WEB服务器包括鉴权指示模块以及网络连接建立模块,其中,
所述网络连接建立模块,用于接收宽带网络网关(BNG)转发的用户终端的超文本传输协议(HTTP)请求,并与所述用户终端建立连接;
所述鉴权指示模块,用于通过所述建立的连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知。
进一步地,
所述网络连接建立模块,还在接收到BNG转发的用户终端的HTTP请求后,判断该请求中是否携带EAP鉴权失败原因,如果该请求中携带EAP鉴权失败原因,则通过所述BNG向用户推送用于消除所述EAP鉴权失败原因的网页;
所述鉴权指示模块,用于接收用户终端通过所述网页进行的消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知,包括:判断所述用户终端完成的消除EAP鉴权失败原因的操作是否是消除所述HTTP请求中携带的EAP鉴权失败原因的操作,如果是,向所述BNG发送指示EAP继续鉴权的通知。
为解决上述技术问题,本发明还提供了一种WEB服务协助下的扩展认证协议(EAP)认证的***,所述***包括宽带网络网关(BNG)以及WEB服务器,其中,
所述BNG采用如上任一项所述的BNG;
所述WEB服务器采用如上任一项所述的WEB服务器。
上述技术方案,当AAA对用户终端的鉴权操作失败后,不需要用户终端亲自去运营商的营业点进行消除鉴权失败原因的操作,BNG可直接将用户推送到相关的WEB服务器,利用网上自助服务帮助用户通过网络消除鉴权失败原因,有效地提高了现有的EAP认证效率,提升了用户的业务体验。
附图说明
图1为本实施例的BNG进行EAP认证的方法流程图;
图2为本实施例的WEB服务器协助EAP认证的方法流程图;
图3为本第一应用示例和第二应用示例的网络拓扑图;
图4为本实施例的BNG组成模块图;
图5为本实施例的WEB服务器组成模块图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本实施例的BNG进行EAP认证的方法流程图。
S101向AAA服务器发送对用户终端的EAP鉴权请求;
S102从AAA服务器接收到用户终端EAP鉴权失败消息;
S103判断是否需要将用户终端推送到WEB服务器,如果需要,执行步骤S104;否则,执行步骤S107;
BNG可判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因,如果属于,则需要将用户终端推送到WEB服务器;
或,
BNG判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示,如果接收到来自AA服务器的指示,则需要将用户终端推送到WEB服务器;
需要将用户终端推送到WEB服务器的鉴权失败原因一般可包括:EAP鉴权失败原因可以是欠费导致鉴权失败、业务租期过期导致鉴权失败、用户终端数字证书过期导致鉴权失败等;除这些列举的鉴权失败原因外,还可是任何通过用户网上自助服务即可消除的鉴权失败原因;
S104判断是否接收到来自用户终端的HTTP请求,如果接收到HTTP请求,执行步骤S105;否则,执行步骤S107;
S105将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;
可消除EAP鉴权失败原因的WEB服务器可以为运用商的门户网站所在的服务器;该服务器可包含说明认证失败原因的网页以及提示用户终端进行消除失败原因自助服务的网页;
S106从所述WEB服务器接收EAP继续鉴权的通知,重新向AAA服务器发出对所述用户终端的EAP鉴权请求;
S107流程结束。
上述实施例中,BNG在接收到来自AAA服务器的用户终端EAP鉴权失败消息后,还可先判断该鉴权失败消息是否携带失败原因;如果鉴权失败消息中携带失败原因,则在将用户终端发送HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,可将所述失败原因携带在所述HTTP请求中发送至所述WEB服务器,帮助WEB服务器快速定位到提示用户终端进行消除该失败原因自助服务的网页,提高WEB服务器的响应速度,提升用户体验。
图2为本实施例的WEB服务器协助EAP认证的方法流程图。
S201接收BNG转发的用户终端的超文本传输协议(HTTP)请求;
接收到BNG转发的用户终端的HTTP请求后,还可先判断该请求中是否携带EAP鉴权失败原因,如果携带鉴权失败原因,可根据该鉴权失败原因定位到用于消除所述失败原因的网页;
S202与用户终端建立连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;
S203在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知。
本发明还提供了一种WEB服务协助下的扩展认证协议(EAP)认证方法的实施例,该实施例涉及宽带网络网关(BNG)和WEB服务器,其中,BNG采用如上所述的方法进行EAP认证,WEB服务器亦采用如上所述的方法进行EAP认证,此处不再累述。
下面以2个应用示例,对上述WEB服务协助下的EAP认证方法的实施例进行进一步详细说明。
应用示例一:普通有线接入场景,网络拓扑图如图3所示。
本应用示例中AN可以是DSLAM+SW组成的前端接入网络,但不局限于DSLAM+SW。
本应用示例中由于终端用户欠费导致EAP鉴权失败。
步骤一:BNG接收用户终端经由AN网络发起的EAPoL-Start报文;
如果用户终端支持EAPoL-v3以上协议,用户终端可以通过EAPoL-Start-Annoncement报文中的TLV扩展选项,通知BNG是否在鉴权失败时支持WEB强推服务、是否允许BNG通过DHCP获取IP地址、自身地址是否为静态IP地址等业务条件,以便BNG进行相关的策略处理;
BNG也可以默认为在鉴权失败时,对用户终端采用WEB强推服务;或在接收到来自AAA服务器的鉴权失败结果后,判断该鉴权失败结果中是否携带对用户终端采用WEB强推服务的指示,如果接收到所述指示,则对用户终端采用WEB强推服务;
步骤二:BNG收到EAPoL-Start消息,开始创建EAPoL用户会话;BNG经由AN网络发送EAPoL-EAP-Request-Identity消息给用户终端获取身份信息;
步骤三:BNG获取用户终端经由AN网络发送的EAPoL-EAP-Response-Identity;
步骤四:BNG封装EAPoL-EAP-Response-Identity消息到鉴权请求报文(如RADIUS协议的Access-Request报文)中,发送该鉴权请求报文给鉴权服务器AAA;
步骤五:AAA服务器与用户终端协商具体的认证方法(如EAP-PEAP、EAP-SIM、EAP-AKA、EAP-TLS、EAP-TTLS),根据协商的具体方法对客户端进行鉴权;同时,AAA服务器还协同HLR对用户的签约信息和业务特性进行检查,判断该用户终端是否合法;如果AAA服务器判断出该用户终端合法,且对用户终端的EAP鉴权成功,执行步骤十四;否则,执行步骤六;
步骤六:AAA服务器返回指示用户欠费的鉴权失败消息给BNG,BNG返回该失败消息给用户终端;同时,BNG确定需要对用户终端采用WEB强推服务;
步骤七:BNG与用户终端进行DHCP报文交互,获取用户终端的IP地址;设置IP地址与运营商门户网站的对应关系;
步骤八:BNG接收到来自所述IP地址的HTTP请求(该HTTP请求包含指示用户欠费的信息),根据设置的对应关系,将该HTTP请求重定向运营商的门户网站所在的WEB服务器;
步骤九:WEB服务器根据用户欠费信息定位用户充值网页;
步骤十:BNG建立用户终端与该WEB服务器之间的TCP连接;WEB服务器通过BNG将用户充值网页推动给用户终端,WEB服务器通过所述网页与所述用户终端交互,接收所述用户终端进行充值的自助操作;
步骤十一:在所述用户终端执行充值操作后,WEB服务器通过扩展的Portal协议认证请求报文告知BNG继续对用户进行EAP鉴权会话;
步骤十二:BNG发送EAPoL-EAP-Request-Identity消息给用户终端,重新触发用户终端和AAA进行EAP认证交互;
步骤十三:AAA服务器向BNG发送用户终端EAP鉴权成功消息;
步骤十四:流程结束。
应用示例二:无线接入场景。
在应用示例中,AN可以是AP-FAT组成的前端接入网络,也可以是AP-FIT+AC组网的前端接入网络。
本应用示例中由于终端用户业务签约过期导致用户鉴权失败。
步骤一:BNG接收用户终端经由AP发起的EAPoL-Start报文;
步骤二:BNG收到AP转发的EAPoL-Start报文,创建EAP会话,发送EAPoL-EAP-Request-Identity报文向用户终端获取身份信息;
步骤三:BNG获取用户终端经由AP发送的EAPoL-EAP-Response-Identity;
步骤四:BNG封装EAPoL-EAP-Response-Identity消息到鉴权请求报文(如:RADIUS协议中的Access-Request报文)中,发送该鉴权请求报文给鉴权服务器AAA;
步骤五:AAA服务器与用户终端协商具体的认证方法(EAP-PEAP、EAP-SIM、EAP-AKA、EAP-TLS、EAP-TTLS),根据协商的具体方法对客户端进行鉴权;同时,AAA服务器还协同HLR对用户的签约信息和业务特性进行检查以判断该用户终端是否合法,以及获取PMK;如果AAA服务器判断出该用户终端合法,且对用户终端的EAP鉴权成功,执行步骤十四;否则,执行步骤六;
步骤六:AAA服务器返回指示用户业务签约到期的鉴权失败消息给BNG,BNG返回该失败消息给用户终端;同时,BNG确定需要对用户终端采用WEB强推服务;
用户业务签约到期的指示信息可携带在EAPoL-Announcement消息或直接在EAPoL-EAP-Fail消息的扩展TLV选项中;
用户终端在接收到EAPoL-Announcement或EAPoL-EAP-Fail消息后,如果需要继续和AP交互,保留EAP认证阶段获悉的PMK,继续和AP进行密钥协商,以使AP在WPA/WPA2的空口加密环境下正常转发用户终端的DHCP报文和其他业务报文,保证经空口转发报文的安全性;
步骤七:BNG与用户终端进行DHCP报文交互,获取用户终端的IP地址;设置IP地址与运营商门户网站的对应关系;
步骤八:BNG接收到来自所述IP地址的HTTP请求(该HTTP请求包含指示用户欠费信息),根据设置的对应关系,将该HTTP请求重定向运营商的门户网站所在的WEB服务器;
步骤九:WEB服务器根据用户业务签约到期的指示信息定位业务续租网页;
步骤十:BNG建立用户终端与该WEB服务器之间的TCP连接;WEB服务器通过BNG将业务续租网页推动给用户终端,WEB服务器通过所述网页与所述用户终端交互,接收所述用户终端进行续租的自助操作;
步骤十一:在所述用户终端执行续租操作后,WEB服务器通过扩展的Portal协议认证请求报文告知BNG重新对用户进行EAP鉴权会话;
步骤十二:BNG发送EAPoL-EAP-Request-Identity消息给用户终端,重新触发用户终端和AAA进行EAP认证交互;
步骤十三:AAA服务器向BNG发送用户终端EAP鉴权成功消息;
步骤十四:流程结束。
图4为本实施例的BNG组成模块图。
该BNG包括EAP鉴权模块以及WEB重定向模块,其中,
EAP鉴权模块,用于向AAA服务器发出对用户终端的EAP鉴权请求,并从AAA服务器接收所述用户终端EAP鉴权结果,并将鉴权结果通知所述WEB重定向模块;
WEB重定向模块,用于获知鉴权结果为用户终端EAP鉴权失败消息后,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自所述用户终端的超文本传输协议(HTTP)请求后,将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;以及从所述WEB服务器接收EAP继续鉴权的通知后,通知EAP鉴权模块重新向AAA服务器发出对所述用户终端的EAP鉴权请求;
上述WEB重定向模块,用于判断是否需要将用户终端推送到WEB服务器,包括:判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因,如果属于,则需要将用户终端推送到WEB服务器;或,判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示;如果接收到来自AA服务器的指示,则需要将用户终端推送到WEB服务器;
上述WEB重定向模块,还用于将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,携带所述EAP鉴权失败消息中的失败原因,帮助WEB服务器快速定位到提示用户终端进行消除该失败原因自助服务的网页,提高WEB服务器的响应速度,提升用户体验。
图5为本实施例的WEB服务器组成模块图。
该WEB服务器包括鉴权指示模块以及网络连接建立模块,其中,
所述网络连接建立模块,用于接收宽带网络网关(BNG)转发的用户终端的超文本传输协议(HTTP)请求,并与所述用户终端建立连接;
所述鉴权指示模块,用于通过所述建立的连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知。
上述网络连接建立模块,还可在接收到BNG转发的用户终端的HTTP请求后,判断该请求中是否携带EAP鉴权失败原因,如果该请求中携带EAP鉴权失败原因,则通过所述BNG向用户推送用于消除所述EAP鉴权失败原因的网页;
鉴权指示模块,用于接收用户终端通过所述网页进行的消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知,包括:判断所述用户终端完成的消除EAP鉴权失败原因的操作是否是消除所述HTTP请求中携带的EAP鉴权失败原因的操作,如果是,向所述BNG发送指示EAP继续鉴权的通知。
本发明还提供了一种WEB服务协助下的扩展认证协议(EAP)认证***的实施例,该实施例涉及宽带网络网关(BNG)和WEB服务器,其中,BNG采用如上组成模块的BNG,WEB服务器亦采用如上组成模块的WEB服务器,此处不再累述。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1.一种宽带网络网关BNG进行扩展认证协议EAP认证的方法,其特征在于,所述方法包括:
从AAA服务器获知用户终端的EAP鉴权失败,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自所述用户终端的超文本传输协议HTTP请求后,将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;
从所述WEB服务器接收EAP继续鉴权的通知后,重新向AAA服务器发出对所述用户终端的EAP鉴权请求;
判断是否需要将用户终端推送到WEB服务器,进一步包括:
判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因;
或,
判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示。
2.如权利要求1所述的方法,其特征在于:
将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,还携带所述EAP鉴权失败消息中的失败原因。
3.一种WEB服务器协助扩展认证协议EAP认证的方法,其特征在于,所述方法包括:
接收宽带网络网关BNG转发的用户终端的超文本传输协议HTTP请求;
与所述用户终端建立连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;
在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知;
所述接收BNG转发的用户终端的HTTP请求后,还判断该请求中是否携带EAP鉴权失败原因;
如果该请求中携带EAP鉴权失败原因,则通过所述BNG向用户推送用于消除所述EAP鉴权失败原因的网页,接收所述用户终端消除EAP鉴权失败原因的自助操作;
在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知,包括:判断所述用户终端完成的消除EAP鉴权失败原因的操作是否是消除所述HTTP请求中携带的EAP鉴权失败原因的操作,如果是,向所述BNG发送指示EAP继续鉴权的通知。
4.一种WEB服务协助下的扩展认证协议EAP认证方法,其特征在于,所述方法包括:
宽带网络网关BNG采用如权利要求1~2中任一项所述的方法进行EAP认证;
WEB服务器采用如权利要求3所述的方法进行EAP协助认证。
5.一种进行扩展认证协议EAP认证的宽带网络网关BNG,其特征在于,所述BNG包括EAP鉴权模块以及WEB重定向模块,其中,
所述EAP鉴权模块,用于向AAA服务器发出对用户终端的EAP鉴权请求,并从AAA服务器接收所述用户终端EAP鉴权结果,并将鉴权结果通知所述WEB重定向模块;
所述WEB重定向模块,用于获知鉴权结果为用户终端EAP鉴权失败消息后,判断是否需要将用户终端推送到WEB服务器,如果需要将用户终端推送到WEB服务器,在接收到来自所述用户终端的超文本传输协议HTTP请求后,将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器;以及从所述WEB服务器接收EAP继续鉴权的通知后,通知EAP鉴权模块重新向AAA服务器发出对所述用户终端的EAP鉴权请求;
所述WEB重定向模块,用于判断是否需要将用户终端推送到WEB服务器,包括:
所述WEB重定向模块,判断鉴权失败原因是否属于预设的需要将用户终端推送到WEB服务器的鉴权失败原因;或,判断是否接收到AAA服务器发送的将用户终端推送到WEB服务器的指示。
6.如权利要求5所述的BNG,其特征在于,
所述WEB重定向模块,还用于将所述HTTP请求重定向至可消除EAP鉴权失败原因的WEB服务器时,携带所述EAP鉴权失败消息中的失败原因。
7.一种协助扩展认证协议EAP认证的WEB服务器,其特征在于,所述WEB服务器包括鉴权指示模块以及网络连接建立模块,其中,
所述网络连接建立模块,用于接收宽带网络网关BNG转发的用户终端的超文本传输协议HTTP请求,并与所述用户终端建立连接;
所述鉴权指示模块,用于通过所述建立的连接,接收所述用户终端消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知;
所述网络连接建立模块,还在接收到BNG转发的用户终端的HTTP请求后,判断该请求中是否携带EAP鉴权失败原因,如果该请求中携带EAP鉴权失败原因,则通过所述BNG向用户推送用于消除所述EAP鉴权失败原因的网页;
所述鉴权指示模块,用于接收用户终端通过所述网页进行的消除EAP鉴权失败原因的自助操作;在所述用户终端完成消除EAP鉴权失败原因的操作后,向所述BNG发送指示EAP继续鉴权的通知,包括:判断所述用户终端完成的消除EAP鉴权失败原因的操作是否是消除所述HTTP请求中携带的EAP鉴权失败原因的操作,如果是,向所述BNG发送指示EAP继续鉴权的通知。
8.一种WEB服务协助下的扩展认证协议EAP认证的***,其特征在于,所述***包括宽带网络网关BNG以及WEB服务器,其中,
所述BNG采用权利要求5~6中任一项所述的BNG;
所述WEB服务器采用权利要求7所述的WEB服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310051830.2A CN103152332B (zh) | 2013-02-17 | 2013-02-17 | 一种web服务协助下的eap认证方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310051830.2A CN103152332B (zh) | 2013-02-17 | 2013-02-17 | 一种web服务协助下的eap认证方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103152332A CN103152332A (zh) | 2013-06-12 |
| CN103152332B true CN103152332B (zh) | 2018-02-16 |
Family
ID=48550195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310051830.2A Active CN103152332B (zh) | 2013-02-17 | 2013-02-17 | 一种web服务协助下的eap认证方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152332B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243522B (zh) * | 2013-06-19 | 2018-02-06 | 华为技术有限公司 | 用于超文本传输协议网络的方法及宽带网络网关 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909456A (zh) * | 2006-08-24 | 2007-02-07 | 华为技术有限公司 | 认证失败后配置业务通道的方法、***和认证服务器 |
| CN1968094A (zh) * | 2006-11-23 | 2007-05-23 | 华为技术有限公司 | 一种提示用户终端认证失败原因的方法、***与服务器 |
| CN101656684A (zh) * | 2008-08-21 | 2010-02-24 | ***通信集团公司 | 动态内容分发的内容访问鉴权方法、设备及*** |
| WO2012142867A1 (zh) * | 2011-04-21 | 2012-10-26 | 中兴通讯股份有限公司 | 一种认证通知方法及*** |
-
2013
- 2013-02-17 CN CN201310051830.2A patent/CN103152332B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909456A (zh) * | 2006-08-24 | 2007-02-07 | 华为技术有限公司 | 认证失败后配置业务通道的方法、***和认证服务器 |
| CN1968094A (zh) * | 2006-11-23 | 2007-05-23 | 华为技术有限公司 | 一种提示用户终端认证失败原因的方法、***与服务器 |
| CN101656684A (zh) * | 2008-08-21 | 2010-02-24 | ***通信集团公司 | 动态内容分发的内容访问鉴权方法、设备及*** |
| WO2012142867A1 (zh) * | 2011-04-21 | 2012-10-26 | 中兴通讯股份有限公司 | 一种认证通知方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103152332A (zh) | 2013-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9020467B2 (en) | Method of and system for extending the WISPr authentication procedure | |
| CN105007579B (zh) | 一种无线局域网接入认证方法及终端 | |
| US8769647B2 (en) | Method and system for accessing 3rd generation network | |
| AU2004214799B2 (en) | Fast re-authentication with dynamic credentials | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| CN101867476B (zh) | 一种3g虚拟私有拨号网用户安全认证方法及其装置 | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| US20050114680A1 (en) | Method and system for providing SIM-based roaming over existing WLAN public access infrastructure | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、***、服务器和终端 | |
| US20090119742A1 (en) | Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol | |
| WO2012145134A1 (en) | Method of and system for utilizing a first network authentication result for a second network | |
| US20090328167A1 (en) | Network access method and system | |
| CN101163000A (zh) | 一种二次认证方法及*** | |
| KR101260648B1 (ko) | 무선인터넷 서비스의 온라인 개통 방법 및 그 시스템 | |
| CN106686589A (zh) | 一种实现VoWiFi业务的方法、***及AAA服务器 | |
| US20080070544A1 (en) | Systems and methods for informing a mobile node of the authentication requirements of a visited network | |
| Zhang et al. | Virtual operator based AAA in wireless LAN hot spots with ad-hoc networking support | |
| WO2012163159A1 (zh) | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 | |
| CN103152332B (zh) | 一种web服务协助下的eap认证方法和设备 | |
| US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
| KR101119869B1 (ko) | 사업장에서의 무선 인터넷 접속 서비스 제공을 위한 웹 인증 방법 | |
| US20210090087A1 (en) | Methods for access point systems and payment systems therefor | |
| WO2017107745A1 (zh) | 终端认证方法、装置及*** | |
| WO2017185589A1 (zh) | 基于虚拟SIM卡的wifi接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |