阅读说明：本技术 一种通信方法、装置和系统 (communication method, device and system ) 是由 刘明 闫锐 袁乃华 陈贵荣 范晨 于 2018-06-11 设计创作，主要内容包括：本发明公开了一种通信方法、装置和系统。包括：CPE设备判断通过LAN端口接入的终端是否已经认证通过；如果终端已经认证通过,则CPE设备转发终端和专用网络之间的交互通信信息；如果终端没有认证,则CPE设备利用认证服务器对终端进行认证。本发明的通信方法、装置和系统,利用LTE网络中的认证服务器,对接入LTE网络的CPE设备所下挂的LAN装置进行认证,从而解决了CPE设备下挂的LAN装置的合法性认证的问题,提高了整个通信系统的安全性。(the invention discloses a communication method, a communication device and a communication system. The method comprises the following steps: the CPE equipment judges whether the terminal accessed through the LAN port passes the authentication; if the terminal passes the authentication, the CPE equipment forwards interactive communication information between the terminal and the private network; and if the terminal is not authenticated, the CPE equipment authenticates the terminal by using the authentication server. According to the communication method, the device and the system, the authentication server in the LTE network is utilized to authenticate the LAN device hung under the CPE equipment accessed to the LTE network, so that the problem of legality authentication of the LAN device hung under the CPE equipment is solved, and the safety of the whole communication system is improved.)

一种通信方法、装置和系统

技术领域

本发明涉及通信技术领域，特别涉及一种提高通过CPE设备的LAN端口接入LTE网络的终端设备的合法性的通信方法、装置和系统。

背景技术

在LTE(Long Term Evolution，长期演进)系统网络中，CPE(Customer PremiseEquipment，客户终端设备)作为一种LTE无线终端网关实现了客户端网络和客户服务器网络通过LTE无线网络的互联。

如图1所示，为现有的一种利用CPE设备并通过LTE网络接入企业PDN的网络结构简图。CPE设备通过例如3G、4G、5G通信技术，经由基站、LTE核心网而与企业PDN(Public DataNetwork，公用数据网)网络进行通信。CPE设备的LAN(Local Area Network，局域网)可挂接多种设备，这些设备通过CPE的转发而实现与企业PDN之间的信息交互。

目前CPE设备的LAN(Local Area Network，局域网)侧接下挂设备时，普遍提供了两种接入方式。一种是Wi-Fi接入，该种方式中，CPE作为AP(Wireless Access Point，无线访问接入点)，可供移动终端(如手机等)、平板电脑、笔记本电脑或者其它各种Wi-Fi设备接入；另外一种是有线接入方式，提供以太网接口(Ethernet Interface)，可以连接有线摄像头、客户有线数据采集终端等设备。

下挂设备通过Wi-Fi接入CPE时，需要通过Wi-Fi设备常用的认证方法(如WEP、WPA等)才能接入，具有安全保证性。而下挂设备通过有线方式接入CPE时，CPE并不认证下挂设备的合法性，而直接把下挂设备的IP(Internet Protocol，互联网协议)报文转发到企业PDN网络中。

在专用网络LTE的CPE设备的固定场景应用中，CPE大多放在室外。不法分子很容易利用这种应用场景中的CPE接入自己的设备。而CPE的LAN侧对有线接入的设备并不做合法性认证，就会可能导致不法分子通过LTE网络攻击企业的PDN(Public Data Network，公用数据网)网络。

现有技术中，CPE可以对下挂设备(即LAN设备)的MAC(Media Access Control，媒体访问控制)地址(即物理地址)进行过滤，但是MAC地址很容易被截获假冒，所以安全性还是不高。

产生上述问题的原因主要在于，首先CPE用在公网LTE网络中的，而公网LTE网络又会对接Internet(互联网)网络。而Internet网络中，本身攻击就无处不在。所以在设计之初，并没有要求CPE不能引入攻击。另外，公网CPE一般是用在家庭使用，不会被外人随便接入。

而专网CPE大多是从公网CPE继承而来，如上所述，原有的CPE的设计和产品并没有意识到该问题，同时，对于下挂设备的认证，也没有统一的标准。

发明内容

有鉴于此，本发明提供一种通信方法、装置和系统，以提高通过CPE设备的LAN端口接入LTE网络的终端设备的合法性，从而提高整个通信系统的安全性。

本申请的技术方案是这样实现的：

一种通信方法，包括：

CPE设备判断通过LAN端口接入的终端是否已经认证通过；

如果所述终端已经认证通过，则所述CPE设备转发所述终端和专用网络之间的交互通信信息；

如果所述终端没有认证，则所述CPE设备利用认证服务器对所述终端进行认证。

进一步，所述CPE设备利用所述认证服务器判断所述终端是否已经认证通过。

进一步，所述认证服务器为RADIUS认证服务器。

进一步，所述终端通过LAN端口连接于所述CPE设备，所述CPE设备通过LTE网络与所述专用网络进行通信。

进一步，所述认证的认证协议为802.1x，所述认证的认证模式为物理地址MAC认证模式。

进一步，所述认证服务器接入于所述LTE网络。

一种通信装置，包括：

认证判断模块，用于判断通过LAN端口接入的终端是否已经认证通过；

通信模块，用于在所述认证判断模块判断出所述终端已经认证通过后，转发所述终端和专用网络之间的交互通信信息；

认证处理模块，用于在所述认证判断模块判断出所述终端没有认证后，利用认证服务器对所述终端进行认证。

一种通信系统，包括：

终端、CPE设备、认证服务器和专用网络；其中，

所述终端通过LAN端口接入所述CPE设备，所述CPE设备通过LTE网络与所述专用网络进行通信；

所述CPE设备判断所述终端是否已经认证通过，如果所述终端已经认证通过，则所述CPE设备转发所述终端和专用网络之间的交互通信信息，如果所述终端没有认证，则所述CPE设备利用认证服务器对所述终端进行认证。

进一步，所述认证服务器为RADIUS认证服务器。

进一步，所述认证服务器接入于所述LTE网络。

从上述方案可以看出，本发明的通信方法、装置和系统，利用LTE网络中的认证服务器，对接入LTE网络的CPE设备所下挂的LAN装置进行认证，从而解决了CPE设备下挂的LAN装置的合法性认证的问题，提高了整个通信系统的安全性。

附图说明

图1为现有的一种利用CPE设备并通过LTE网络接入企业PDN的网络结构简图。

图2为本发明实施例的通信方法流程图；

图3为本发明实施例的通信系统示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明作进一步详细说明。

如图1所示，本发明实施例提供了一种通信方法，包括：

步骤1、CPE设备判断通过LAN端口接入的终端是否已经认证通过；

步骤2、如果终端已经认证通过，则CPE设备转发终端和专用网络之间的交互通信信息；

步骤3、如果端没有认证，则CPE设备利用认证服务器对终端进行认证。

在一个具体实施例中，在步骤2中，CPE设备利用认证服务器判断终端是否已经认证通过。作为一个具体实施例，认证服务器为RADIUS(Remote Authentication Dial InUser Service，远程拨号认证服务)认证服务器，认证服务器接入于LTE网络。认证的认证协议为802.1x，认证的认证模式为MAC认证模式。

在一个具体实施例中，终端通过LAN端口连接于CPE设备，CPE设备通过LTE网络与专用网络进行通信。

本发明实施例还提供了一种通信装置，包括认证判断模块、通信模块和认证处理模块。其中，认证判断模块用于判断通过LAN端口接入的终端是否已经认证通过。通信模块用于在认证判断模块判断出终端已经认证通过后，转发终端和专用网络之间的交互通信信息。认证处理模块用于在认证判断模块判断出终端没有认证后，利用认证服务器对终端进行认证。

另外，本发明实施例还提供了一种通信系统，如图3所示，包括终端1、CPE设备2、认证服务器3和专用网络4。其中，终端1通过LAN端口接入CPE设备2，CPE设备2通过LTE网络5与专用网络4进行通信。CPE设备2判断终端1是否已经认证通过，如果终端1已经认证通过，则CPE设备2转发终端1和专用网络4之间的交互通信信息，如果终端1没有认证，则CPE设备2利用认证服务器3对终端1进行认证。

在一个具体实施例中，认证服务器3为RADIUS认证服务器。认证服务器3接入于LTE网络5。

在一个具体实施例中，LTE网络5包括基站51和核心网52。专用网络4接入于核心网52，认证服务器3接入于核心网52。CPE设备2通过基站51接入LTE网络5。终端1例如通过LAN连接于CPE设备2的计算机、摄像机等设备。CPE设备2可下挂多个终端1，而每个基站51可以接入多个CPE设备2。

在一个具体实施例中，CPE设备2对下挂的终端1进行接入认证，认证协议采用802.1x。采用MAC认证模式对下挂的每个终端1进行认证。

在一个具体实施例中，CPE设备2上联对接RADIUS认证服务器，CPE设备2下挂的每个终端1都必须在RADIUS认证服务器进行开户。CPE设备2获取到下挂终端1的接入用户名和密码后，交由RADIUS认证服务器进行合法性检查。

一旦下挂终端1的MAC合法性认证通过，才允许后续的下挂终端1进行IP报文转发(CPE用户面报文)。

为实现本发明的目的，在意一个具体实施例中，可在CPE设备的linux内核内增加如下处理模块。

1)设备认证判决模块：解析收到以太网报文的源MAC地址(即终端的MAC地址)，如果已经认证通过，则进行正常的网络协议栈处理流程；如果源MAC地址没有认证，则转入设备认证处理模块。

2)设备认证处理模块：负责终端的首次认证发起和802.1x认证协议的报文接收和发送处理。

同时，在CPE用户面增加设备认证处理应用程序，该程序主要实现如下功能：

1)终端认证的发起。

2)和终端交互的802.1x协议解析和状态流程处理。

3)终端认证状态的维护。

4)与RADIUS认证服务器进行通信，请求终端的用户名和密码认证，并获取认证结果。

本发明的通信方法、装置和系统，利用LTE网络中的认证服务器，对接入LTE网络的CPE设备所下挂的LAN装置进行认证，从而解决了CPE设备下挂的LAN装置的合法性认证的问题，提高了整个通信系统的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。