技術領域

本發明涉及網絡通信領域，尤其涉及一種接入認證方法及系統。

背景技術

在身份與位置分離網絡中，如圖1所示，身份和位置分離，Host為主機，配置AID(Access?Identity，接入標識)作為身份標識；ASR為接入路由器，配備RID(Routing?Identity，路由標識)作為位置標識。所有Host主機通過ASR進行注冊和認證并接入網絡。Host接入到ASR(Access?Service?Router，接入業務路由器)上，以及離開ASR的行為，ASR都需向ILR(Identity-Locator?Register，身份-位置映射器)匯報。ILR保存Host的身份標識AID和所在位置RID的映射關系<AID，RID>。ILR同時提供對查詢映射關系的響應。

Host與Host之間通信，采用ASR上的RID進行封裝并路由，并將Host與Host之間的原始報文封裝在載荷(Payload)中。報文到達目的ASR，目的ASR對報文進行解封裝，然后將原始報文轉發到目的Host。

報文在身份和位置網絡中轉發如圖2所示，報文轉發的過程為：在源ASR(圖中ASR1)對報文進行封裝，然后在源ASR和目的ASR(圖中ASR2)之間轉發封裝后的報文，最后在目的ASR上對報文進行解封裝，并轉發到目的HOST(圖中Host2)。

在報文轉發流程中，報文的封裝格式分為原始報文和RID封裝報文兩種：

原始報文轉發：在身份與位置分離網絡的接入層，即Host與ASR之間采用AID作為源地址和目的地址進行報文轉發，報文格式如圖3所示。

RID封裝報文轉發：在身份與位置分離網絡的核心層，即ASR與ASR之間采用RID封裝后的報文轉發，報文如圖4所示。

在現有網絡中，存在著大量的接入設備，例如WLAN(Wireless?Local?Area?Network，無線局域網)AC(Access?Controller，接入控制器)，WiMAX(Worldwide?Interoperability?for?Microwave?Access，全球微波互聯接入)ASN-GW(Access?Service?Network?Gateway，接入網關)，固網的BRAS(Broadband?Remote?Access?Server，寬帶遠程接入服務器)，盡管這些設備的產品形態以及功能各有不同，但是他們大都有著以下共同點：

路由的第一跳，也即接入路由器；

認證的執行點，盡管認證的方式存在不同(有的采用EAP(Extensible?Authentication?Protocol，可擴展認證協議)，有的采用Portal，有的采用PPPoE(Point-to-Point?Protocol?Over?Ethernet，以太網上點對點協議))，但它們都是認證的執行點(例如，EAP框架中的EAP?Authenticator)而非最終認證點(最終認證點為AAA?Server(Authentication?Authorization?Accounting?Server，鑒權認證計費服務器)，接入設備為AAA?Client(AAA客戶端))；

接入的控制點，接入設備可以控制用戶的網絡接入權限。

鑒于在身份與位置分離網絡中，ASR必須是接入路由器，同時具備認證功能。因此，如果要對現網進行身份與位置分離網絡改造，就需要對現網中的接入設備進行升級，但是現有網絡中存在著大量不同類型的接入設備(AC、ASN-GW、BRAS)等等，這些設備形態千差萬別，包括：

處理能力的區別：有的位于樓宇之中，服務于數百用戶，有的位于機房，可以同時服務于數十萬用戶；

路由實現的區別：有的接入控制設備用軟件來實現其路由功能，有的用硬件來實現路由功能；

功能的區別：有些BRAS可能具備業務路由器功能，有些AC、ASN-GW具備無線資源管理功能。

這些能力、實現方式、功能的區別使得現有的接入設備形態各異，如果對現網進行ASR化改造，需要對現網的這些接入設備一一作針對性的改造，這將耗費大量的人力、物力和財力。

發明內容

本發明要解決的技術問題是提供一種接入認證系統和方法，實現對現有網絡的升級。

為了解決上述問題，本發明提供了一種接入認證系統，包括現網接入設備，與所述現網接入設備相連的接入認證設備，其中：

所述現網接入設備用于：對終端進行接入控制；