[发明专利]身份认证方法、身份认证系统和相关设备

说明书

本发明实施例公开了身份认证方法和相关设备，用于实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。本发明实施例方法包括：虚拟接入路由器只有在确定接收到的客户端发送的第一PADI广播报文中的用户第一身份信息与该虚拟接入路由器的身份相匹配时，才发送第二PADI广播报文到PPPOE服务器请求PPPOE服务器服务，虚拟接入路由器还需要发送携带有路由身份信息的第二PADO应答消息给客户端设备进行路由身份信息的验证；虚拟接入路由器建立与PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，通过该第一会话和第二会话，转发客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证。

技术领域

本发明涉及通信领域，尤其涉及身份认证方法、身份认证系统和相关设备。

背景技术

传统的接入路由器(AR)放置在用户(企业)侧，用户在AR上进行以太网上的点对点协议(Point-to-Point Protocol over Ethernet，PPPoE)拨号，运营商网络设备对用户进行认证和鉴权，认证通过后为其广域网(Wide Area Network，WAN)口分配公网网络之间互连的协议(Internet Protocol，IP)地址。其中，PPPoE协议提供了在以太网网络中多台主机连接到远端的宽带接入服务器上的一种标准。其本质是在以太网上建立一个点对点的隧道，具有用户认证和IP地址通知功能。在传统的AR上进行PPPoE拨号，即可以完成对用户的认证，运营商网络设备为AR的WAN口分配公网的IP地址。

虚拟接入路由器(vAR，又称作vCPE)将AR的大部分功能(如IP路由，网络地址转换(Network Address Translation，NAT)，防火墙)上移到运营商网络，用户侧的瘦用户驻地设备(Thin Customer Premises Equipment，ThinCPE)只保留简单的接入功能。用户从运营商处购买vAR，购买成功后此台vAR专为此用户服务(根据用户所选套餐具有不同的功能服务)。用户到其购买的vAR之间需要经过运营商的接入网，这是一个二层网络。为支持PPPoE拨号认证，目前通常思路是将vAR作为PPPoE客户端去PPPoE服务器(例如，宽带远程接入服务器(Broadband Remote Access Server，BRAS))进行认证。

然而，在虚拟接入路由器场景下，采用这种方式进行认证，会使得企业用户侧和vAR之间的接入链路没有得到认证，安全性没有保证。

发明内容

本发明实施例提供了身份认证方法、身份认证系统和相关设备，用于实现虚拟接入路由器场景下对拨号企业用户的认证和鉴权。

本发明实施例第一方面提供了一种身份认证方法，应用于包括有虚拟接入路由器的网络系统，所述网络系统中还包括客户端设备和PPPOE服务器，包括：

虚拟接入路由器接收客户端设备发送的携带有用户第一身份信息的第一PADI广播报文，所述用户第一身份信息为所述客户端设备的用户在网络系统中的标识，所述第一PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器确定所述用户第一身份信息与所述虚拟接入路由器的身份相匹配时，所述虚拟接入路由器发送第二PADI广播报文到PPPOE服务器，所述第二PADI广播报文用于请求PPPOE服务器服务；

当所述虚拟接入路由器接收到所述PPPOE服务器返回的第一PADO应答消息后，所述虚拟接入路由器发送携带有路由身份信息的第二PADO应答消息给所述客户端设备，所述路由身份信息为所述虚拟接入路由器在所述网络系统中的标识；

当所述虚拟接入路由器建立与所述PPPOE服务器之间的第一会话，以及与所述客户端设备之间的第二会话之后，所述虚拟接入路由器通过所述第一会话和所述第二会话，转发所述客户端设备发送的用户第二身份信息到所述PPPOE服务器进行身份认证，所述用户第二身份信息中包括所述用户第一身份信息；