CN101326763A

CN101326763A - 用于sp以太网汇聚网络的认证的系统和方法

Info

Publication number: CN101326763A
Application number: CNA2006800100145A
Authority: CN
Inventors: 埃里克·沃尔特; 伊恩·伍德; 韦恩·罗格
Original assignee: Cisco Technology Inc
Current assignee: Cisco Technology Inc
Priority date: 2005-05-31
Filing date: 2006-04-17
Publication date: 2008-12-17
Anticipated expiration: 2026-04-17
Also published as: EP1886447A4; EP1886447A2; WO2006130251A2; CN101326763B; EP1886447B1; WO2006130251A3; US8094663B2; US20060268856A1

Abstract

服务供应商(SP)认证方法包括从用户端设备接收消息，所述消息与认证协议相兼容，并从用户端设备被传送到按照IEEE 802.1x兼容的协议工作的u－PE设备。对SP网络的接入基于消息中包含的逻辑标识符或者被允许或者被拒绝。需要强调的是，本摘要的提供遵守如下规则：要求摘要允许检索者或其他读者能够快速确定技术公开的主题。本摘要的提交带有如下含义，即本摘要不应当用于解释或限制权利要求的范围或意义。37CFR 1.72(b)。

Description

用于SP以太网汇聚网络的认证的系统和方法

技术领域

本发明一般地涉及数据通信系统；具体而言，本发明涉及服务供应商网络中的安全系统和认证技术。

背景技术

综合计算机网络安全策略最初是为具体目标而设计，比如：防止外人(外部黑客)接入网络；只允许经授权的用户进入网络；一般通过对行为或使用增强责任来避免内部发起的网络攻击；以及为不同类别或种类的用户提供不同层的接入。为了有效起见，安全策略应该以不中断业务或使经授权的接入异常困难的方式达到每个上述目标。用于达到这些目标的各种网络安全系统和方法在6,826,698号、6,763,469号6,611,869号和6,499,107号美国专利中有所公开。

已经开发了许多不同的网络协议来解决识别和认证想要接入网络的用户的需要。例如，可扩展认证协议(EAP)是用于携带认证信息的灵活协议，所述认证信息可包括标识、密码或预定安全密钥(key)。但EAP不是传输协议，而是通常在另一种进行传送行为的协议上操作，在客户和认证机构之间运送认证信息。举例来说，EAP可在通常用于在网络设备和认证服务器或数据库之间通信的远程认证拨入用户服务(RADIUS)协议上操作。作为对EAP消息的传送，RADIUS允许网络设备安全传递登陆和证书(例如用户名/密码)信息。

另一个公知的传送机制是因特网用户拨入远程接入服务器点到点链路时通常使用的点到点协议(PPP)。内建PPP(PPP)是链路控制协议(LCP)，其建立链路层连接，并能够以可选方式协商认证协议来认证请求网络接入的用户。

目前广泛使用数字用户线路(DSL)技术来在现有电话网络基础设施上增加数字数据传输的带宽。正在使用的其他类型的第一层传送机制包括光纤到户(FTTH)和WIMAX。典型的DSL系统配置中，多个DSL用户经由数字用户线路接入复用器(DSLAM)连接到服务供应商(SP)网络，所述DSLAM将电话服务供应商位置处的信号集中和复用到更广阔的广域网中。基本上，DSLAM从许多客户或用户取得连接，然后将它们汇聚到单一的大容量连接中。DSLAM还可为用户提供诸如路由或因特网协议(IP)地址分配之类的附加功能。

异步转移模式(ATM)协议网络通常在DSLAM设备与诸如宽带远程接入服务器(BRAS)之类的网络服务器之间的通信中使用。BRAS是终止企业网的远程用户或因特网服务供应商(ISP)网络的因特网用户的设备，并通常为远程用户提供防火墙、认证和路由服务。ATM协议是一个国际标准，其中多种服务类型在点到点连接上以固定的“信元”传送。数据分组信元通过称为虚路径标识符/虚信道标识符(VPI/VCI)转换的过程，从用户网络接口(UNI)经由ATM交换机通过网络传到网络节点接口(NNI)。

SP接入网正在从ATM协议网向以太网转移。以太网技术的起源基于网络上的对等方在本质上共同的线路或信道上发送消息的思想。每个对等方具有全球唯一关键码，称为媒体访问控制(MAC)地址，来保证以太网中的所有地址具有不同的地址。现在多数以太网装置使用以太网交换机(也称“网桥”)来实现为附接设备提供连通性的以太网“云”或“岛”。交换机作为智能数据流量转发器来工作，其中帧被发往目的设备被附接到的端口。以太网网络环境中使用的网络交换机的示例可在6,850,542号、6,813,268号和6,850,521号美国专利中找到。

用于认证经由以太网接入网连接的DSL用户的广泛使用的现有技术协议被称为以太网上的点到点协议(PPPoE)。RFC 2516(“A Method forTransmitting PPP over Ethernet”，1999年2月)中描述的PPPoE协议基本指定了怎样经由诸如DSL的公共宽带介质将以太网用户连接到因特网上。但是由于PPPoE与以太网上的多点IP相反，是面向点到点连接的的，因此它具有某些固有缺陷，使得随着诸如话音和视频之类的新业务分层堆积到SP网络上，作为传输协议的PPPoE越来越没有吸引力。

因此，需要的是用于依赖以太网技术的用户宽带汇聚网络的新的认证机制。

附图说明

通过后面的详细描述和附图可以更全面地理解本发明，但所述详细描述和附图不应视作将本发明限制在所示具体实施例，而是仅作说明和理解之用。

图1是示出根据本发明的一个实施例的网络拓扑的图。

图2是说明根据本发明的一个实施例来认证客户身份的过程的呼叫流程图。

图3是根据本发明的一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。

图4是根据本发明另一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。

图5是网络节点的一般电路原理结构图。

具体实施方式

描述了用于认证进入以太网接入网的SP用户的端到端解决方案。为了提供对本发明的透彻理解，下面的描述中提出具体细节，如设备类型、协议、配置等等。但是，网络领域普通技术人员会意识到实施本发明可能不需要这些具体细节。

计算机网络是用于在诸如中间节点和末端节点之类的节点之间传输数据的互联子网的地理上分布的集合。局域网(LAN)即是这种子网的示例；多个LAN还可通过诸如路由器、网桥或交换机之类的中间网络节点互连，从而扩展计算机网络的有效“尺寸大小”并增加通信节点的数目。末端节点的示例可包括服务器和个人计算机。这些节点一般根据预定协议通过交换离散的数据帧或分组来进行通信。在此申请的上下文中，协议由一组定义节点彼此之间如何进行交互的规则组成。

如图5所示，每个节点60通常包含许多基本子系统，子系统包括处理器子系统61、主存储器62和输入/输出(I/O)子系统65。数据通过存储器总线63在主存储器(“系统存储器”)62和处理器子系统61之间传送，通过系统总线66在处理器和I/O子系统之间传送。系统总线的示例可包括传统的闪电数据传输(lightning data transport)(或超传输)总线以及传统的外设组件[计算机]互联(PCI)总线。节点60还可包括连接到系统总线66用于执行附加功能的其他硬件单元/模块64。处理器子系统61可包含一个或多个处理器以及合并了一组功能的控制设备，包括系统存储器控制器、对一个或多个系统总线的支持，以及直接存储器访问(DMA)引擎。一般地，单芯片设备为通用目的而设计，并未针对联网应用而进行高度优化。

典型的网络应用中，从附接到系统总线的I/O子系统的、诸如以太网媒体访问控制(MAC)控制器之类的成帧器(framer)接收分组。MAC控制器中的DMA引擎设有该DMA引擎可以在系统存储器中访问的缓冲器的地址列表(例如，以系统存储器中的描述符环的形式)。由于在MAC控制器处接收每个分组，DMA引擎获得系统总线的所有权，来访问下一个描述符环以获得系统存储器中的下一个缓冲器地址，例如它可以将包含在分组中的数据存储在(“写入”)该地址中。DMA引擎可能需要经由系统总线发布许多写操作来传送所有的分组数据。

本发明使用IEEE 802.1x规范作为用户宽带汇聚网络中跨平台认证机制的组成部分。IEEE 802.1x规范(也简称为“802.1x”)是描述用于传输更高层认证协议的第二层(L2)协议的一组标准，意味着它可在端点(客户)和认证者设备之间运送例如用户名和密码信息的证书信息。802.1x规范一次能够在多种以太类型(Ethertype)(例如IP、PPPoE，AppleTalk等等)上打开或关闭。

根据本发明的一个实施例，802.1x可用于将诸如用户边缘(CE)或住宅网关(RG)设备之类的用户端设备连接到位于SP网络中向后一跳或多跳的以太网汇聚交换机，以便所有流量能在单一的L2层UNI处认证。(跳是例如网络中的节点或网关之类的两点之间距离的度量。)这使得非IP终端用户服务的认证成为可能，非IP终端用户服务如可提供多点以太网服务、以太网中继服务、以太网专线和其他L2层和L3层服务的虚拟专用局域网服务(VPLS)。

L2层UNI可包含多种不同设备，包括：物理层1(L1)端口终端；ATM交换机；位于从CE/RG向后一个L2跳或多个L2跳的MAC地址，其中该MAC地址用于识别和授权相应的CE/RG；对应于诸如DSLAM之类的L1层汇聚设备上的物理端口的虚拟MAC地址(vMAC)；或对应于单一端口的一组MAC地址。该端口例如可利用MAC掩码识别。正如稍后将看到的那样，本发明的认证机制允许在个体(每个应用层业务)基础上对到所有应用层业务、或者作为替代对到那些业务的子集的多个端口的认证。

除了认证，根据本发明的一个实施例，802.1x可用作允许L2层和L3层策略应用到L2层端点的端到端认证、授权和计费(AAA)机制的一部分。这可包括用于授权端口的服务质量(QoS)配置，以及授权/非授权端口允许的默认资源，如仪表板/自动配置(dashboard/provisioning)网络服务器。

图1是示出根据本发明的一个实施例的网络拓扑图，其中示例性家庭网络(客户侧)在虚线10左边描述，且SP网络(服务器侧)在右边示出。根据示出的实施例，认证协议在虚线10的两侧都被使能。客户侧包括与个人计算机(PC)11连接的CE设备，所述个人计算机在本例中为被认证的单元或组件。IEEE术语中，PC 11通常称为“请求者”或“恳求者”。

耦合到PC 11和CE设备13的客户端侧还示出了称为非对称数字用户线(asymmetric digital subscriber line，ADSL)调制解调器的硬件单元12，所述调制解调器常被称为ATU-R(ADSL终端单元-远程，ADSLTerminal Unit-Remote)。图1的示例中，ATU-R单元12提供用于在铜质电话线上传输的比特的DSL物理层编码。CE设备13和ATU-R单元12一起可视为到SP网络的住宅网关(RG)。RG基本具有与通过边缘路由器桥接的PC一样的上游关系(即，通往图1中的右侧)。意识到其他实施例可使用其他第一层传输机制，如FTTH或WIMAX。

在图1的SP网络侧，CE设备13连接到DSLAM设备15，DSLAM设备在一种实施方式中作为认证者设备工作。或者，认证功能可包含在位于上游一跳或多跳处的面向用户的供应商边缘(u-PE)设备中(例如，见图3和4)。图1中，宽带远程接入服务器(BRAS)17基本上作为u-PE设备工作。BRAS是终止企业网的远程用户或因特网服务供应商(ISP)网络的因特网用户的设备，并可为远程用户提供防火墙、认证和路由服务。这种情况下，BRAS 17与许多DSLAM耦合并用于在SP网络上的单一位置或节点汇聚或集中用户流量。

更上游处，示出BRAS 17与AAA服务器18连接，相应地，AAA服务器又与因特网服务供应商(ISP)AAA服务器19连接。AAA服务器18作为用于存储包括用户身份和授权证书的用户信息的单个源设备或数据库来工作。由于RADIUS协议是设备或应用用来与AAA服务器通信的现有标准，因此AAA服务器18通常也称为RADIUS服务器。应该理解，认证服务器和认证者可位于不同的管理域(例如从而容纳大规模以及少量接入)。其他实施例中，多版本的IEEE 802.1x兼容的协议可在接入网中的不同点运行。也可以令多个恳求者与连接到网络中的不同点的CE或RG设备相关联。

ISP AAA服务器19是图1的网络拓扑中的可选设备。由于在某些情况中，可能希望与其他公司(例如因特网接入供应商)验证用户证书和其他用户信息，以控制对其用户数据库的访问，因此示出的ISP AAA服务器19与AAA服务器18相连。

图2是说明根据本发明的一个实施例的认证客户身份的过程的呼叫流程图。同样参考附图1，认证过程从客户或恳求者(例如PC 11)向BRAS17发送EAP_Start(EAP开始)消息(方块21)开始。EAP_Start消息根据本发明是为了初始化获得网络接入的过程而运行在802.1x协议顶部的标准EAP类型的消息。收到EAP_Start消息后，BRAS 17通过发回EAP_Request_Identity(EAP请求身份)消息(方块22)、请求某些用户信息(例如身份和证书)来进行响应。方块23中，客户向BRAS 17发回包含请求的身份信息的EAP_Response_Identity(EAP响应身份)分组。

收到EAP_Response_Identity分组后，BRAS 17从EAP响应有效载荷中提取用户身份信息，并在向本例中作为802.1x认证服务器工作的AAA服务器18转发的RADIUS认证接入请求中封装该信息。图2中由方块24示出该事件的发生。一个实施例中，基于客户端身份，AAA服务器18配置为经由具体认证算法进行认证。因此，AAA服务器18可向客户请求一次密码(OTP)。OTP请求发往BRAS 17。相应地，BRAS 17通过将该OTP请求封装进发往恳求者的802.1x消息，来处理该OTP请求(方块25)。

客户(例如PC 11)收到OTP请求消息后，基于内部存储的密钥，计算OTP。例如，公开密钥基础设施(PKI)数字证书或密钥可用于提供加密的身份认证(密码)信息。图2中，方块26示出OTP被PC 11发送到BRAS 17。然后BRAS 17提取/封装该OTP并将其发送到AAA服务器18。AAA服务器18验证该OTP，然后基于所提供的证书或允许或拒绝客户对网络的接入(方块27)。验证后，AAA服务器18向BRAS 17返回Access_Accept(接入接受)消息，然后BRAS 17通过802.1x传输协议向客户发送EAP_Success(EAP成功)消息。然后BRAS 17通知客户成功并将客户的端口转变为已授权状态，其中从那以后的流量可通过网络转发。意识到802.1x协议可要求方块25至27示出的验证过程周期性重复来验证客户仍然被授权连接到SP网络(方块28)。

图2还示出若客户还不具有IP地址，则可用于向PC 11提供IP地址的可选的动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)。注意到方块31至34示出的标准DHCP过程开始于客户的接入证书已被802.1x认证成功验证之后(方块27)；即，客户收到网络接入的授权后，BRAS端口可以开始接受除包含EAP信息的帧之外的帧。直在那之前，BRAS 17上的端口对除EAP消息之外的所有流量关闭。

图3是根据本发明的一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。图3中，示出的住宅38与本地接入域39相连。从DSL物理层后面的铜线环路(copper loop)开始示出该连接的各个层，所述DSL物理层提供用于编码铜线上发送的数字信息的机制。图3的示例还示出在第二层协议内部封装的永久虚拟连接(PVC)，它本质上是两个网络设备之间作为租用线路的公共数据网络等同物来工作的固定虚拟电路。但是，应该理解实施本发明不要求PVC。除了PVC，连接协议例如可以是DSL上的本地以太网。

图3的实施例中，在以太网中，第三层的语音IP(VoIP)和数据业务被示为封装的，从而经由路径56(例如VLAN 18，ISP 1)在RG 41和u-PE设备53之间传输。视频业务在DLSAM 51中分离，从而经由路径55(例如VLAN 2，视频)直接连接到u-PE设备53。根据示出的实施例，视频业务可在经过认证机制以前分离出去。DSLAM 51配置为探听用户请求加入多播视频节目的请求，并且多播VLAN注册(MVR)允许对视频业务使用不同组认证规则。这样，用户可接收不依赖于802.1x认证证书的一组基本信道。本发明的这一方面将在下面更详细讨论。

图3的示例中DSLAM 51和u-PE设备53之间的连接52包括吉比特以太网(GE)物理链接。另外，IP数据业务被示为封装在经由路径57在RG 41和u-PE设备53之间的PPPoE内。

住宅网关41可包括为住宅38内的所有联网设备提供L3层IP业务的被路由(routed)网关。举例来说，RG 41可包括硬件单元43(例如机顶盒)、802.1x恳求者设备44(例如PC)以及实现EAP协议的方法的单元或模块45。网络领域的专业人员会理解示出的组成RG 41的每个元素/功能单元可由单个设备实现，或分布在具有一个或多个处理器的多个设备(例如PC、ATU-R、CE等)之间。

可见，单元43为RG 41运行因特网组管理协议(IGMP)，来向DSLAM 51和/或u-PE 53报告其多播组全体成员。单元43还包括存储用于在网络中通信的IP地址信息的IP转发表。住宅38中的其他设备可经单元43传递流量，或直接从网络为该设备提供IP地址信息。

图3的实施例中，u-PE设备53包括提供与前面示例中的BRAS 17相同的功能的802.1x认证者单元(或软件/固件模块)58。即，单元58与RG 41和AAA服务器(未示出)通信来认证请求网络接入的恳求者。802.1x认证协议在单元58处中止。本例中，由于可能有许多DSLAM(包括DSLAM 51)连接到u-PE设备53，因此个体用户的认证基于恳求者的MAC地址。或者，可使用一些其他逻辑标识符。

图3示出的网络拓扑中，EAP消息由恳求者44使用802.1x传输协议通过以太网(由虚线示出)发送到u-PE设备53，并在该设备中被认证者单元58处理。以太网可以是多种以太类型，例如IP、PPPoE、AppleTalk等等。本例中，示出的以太网承载IP(路径56)和PPPoE(其本身又承载IP；路径57)。图3的示例中，对于路径55和57二者，示出的PPPoE协议使用相同的MAC地址。换言之，单元58使用相同的MAC地址认证两个以太网数据流。

根据本发明，可使用不同MAC地址，以便不同的以太网业务流可与另一个分开认证。例如，话音和视频业务(路径56和55)可与路径57上提供的数据业务分开认证。例如路径57上的数据业务可由诸如美国在线之类的ISP提供，而话音和视频业务由另一个SP(例如Horizon)提供。这种情境下，不同MAC地址的使用允许话音和视频业务的认证与数据业务分开，本质上允许认证发生在每个业务关系的基础上。意识到用于不同应用层业务的MAC地址认证可位于网络中向后多跳的位置，甚至穿过一个或多个汇聚块。

看待本发明该方面的另一个方法是经由边缘设备的物理端口的网络接入可由以太类型打开(或关闭)。因此，对非IP终端用户L2和L3层业务的认证可在每业务基础上使能，这在现有技术方法中无法实现。另外，EAP可通过PPPoE和802.1x来传输，从而允许与现有PPPoE AAA数据库和用户证书的无缝集成。事实上，本发明的网络拓扑上能够无缝地支持诸如轻量级EAP(LEAP)、受保护的EAP(PEAP)、消息摘要5(MD5)等之类的各种不同EAP方法。另外，从认证服务器返回消息能够通过现有方法不支持的方式提供端口配置信息或策略信息。

网络领域专业人员还会意识到，通过在DSLAM 52处分离视频业务并在u-PE设备53中向后一跳处提供802.1x认证，如图3的网络拓扑中所示，用户不必经过802.1x认证者单元58就能请求加入多播视频节目(并观看多播视频节目)。换言之，由于复制的最后地点位于离本地接入域39中802.1x协议中止的位置向下一跳处，因此DSL用户不必传递一组证书就能观看视频节目。某些情况中，这种配置有利于希望仅根据用户的物理连接来向用户提供一组基本的广播视频信道的DSLAM供应商。

图4是根据本发明的另一个实施例的连接服务供应商网络的本地接入域的用户网络接口图。除了图4中视频业务在u-PE设备53而不是DSLAM 51处从话音和数据业务中分离出来之外，图4的网络拓扑图与图3所示的网络拓扑图基本相同。通过基于单个MAC地址接受或拒绝所有业务，该配置允许802.1x认证在整个物理端口上执行。前面图3的示例中，个体业务可具有拥有个体规则组的不同认证机制。而图4的实施例中，通过对所有业务接受或拒绝恳求者的接入网络的请求，而不是在个体业务的基础上物理打开或关闭网络端口，对所有业务应用802.1x。

还应理解，本发明的要素也可提供为可包括机器可读介质的计算机程序产品，所述机器可读介质上存储可用于给计算机(例如处理器或其他电子设备)编程使其执行操作序列的指令。或者，该操作可由硬件和软件的组合执行。机器可读介质可包括但不限于软盘、光盘、CD-ROM和磁光盘、ROM、RAM、EPROM、EEPROM、磁或光卡、传播媒质或其他类型的媒质/适于存储电子指令的机器可读介质。例如，本发明的要素可作为计算机程序产品下载，其中该程序可通过包含在载波或其他传播介质中的数据信号的方式经由通信链路(例如调制解调器或网络连接)传送到节点或交换机。

另外，尽管已结合具体实施例描述了本发明，但是许多修改和变更同样包含在本发明的范围内。因此，应在说明性而非限制性的意义上看待本说明书和附图。

Claims

1.一种用于以太网接入网的面向用户的供应商边缘(u-PE)设备的操作的处理器实现的方法，所述方法包括：

从用户端设备接收消息，所述消息与认证协议相兼容并按照IEEE802.1x兼容的协议从所述用户端设备被传送到所述u-PE设备；以及

基于所述消息中包含的逻辑标识符允许或拒绝对所述以太网接入网的接入。

2.如权利要求1所述的处理器实现的方法，其中所述用户端设备包括住宅网关(RG)设备。

3.如权利要求1所述的处理器实现的方法，其中所述以太网接入网包括以太网数字用户线接入复用器(DSLAM)汇聚网络。

4.如权利要求1所述的处理器实现的方法，其中所述消息包括可扩展认证协议(EAP)消息。

5.如权利要求1所述的处理器实现的方法，其中所述逻辑标识符包括媒体访问控制(MAC)地址。

6.如权利要求1所述的处理器实现的方法，还包括在认证、授权和计费(AAA)服务器处验证由所述用户端设备提供的用户证书。

7.如权利要求3所述的处理器实现的方法还包括：

对包括如下帧的流量打开宽带远程接入服务器(BRAS)设备的端口，所述帧包含所述EAP消息之外的信息。

8.如权利要求4所述的处理器实现的方法还包括：

执行动态主机配置协议(DHCP)过程来为所述用户端设备提供因特网协议(IP)地址。

9.一种用于服务供应商(SP)用户以太网汇聚网络的面向用户的供应商边缘(u-PE)设备的操作的处理器实现的方法，所述方法包括：

从用户端设备接收消息，所述消息与第一协议相兼容并按照IEEE802.1x兼容的协议从所述用户端设备被传送到所述u-PE设备；

根据第二协议向服务器发送网络接入请求，所述网络接入请求包括用户身份信息；

从所述服务器接收验证信息；以及

基于第一逻辑标识符对所述用户端设备和所述SP用户以太网汇聚网络之间的与具体应用层业务相关的流量进行授权。

10.如权利要求9所述的处理器实现的方法，其中所述第一逻辑标识符包括媒体访问控制(MAC)地址。

11.如权利要求9所述的处理器实现的方法，其中所述具体应用层业务包括语音IP业务。

12.如权利要求9所述的处理器实现的方法，其中所述具体应用层业务包括数据业务。

13.如权利要求9所述的处理器实现的方法，其中所述具体应用层业务包括视频业务。

14.如权利要求9所述的处理器实现的方法还包括：

基于第二逻辑标识符对所述用户端设备和所述SP用户以太网汇聚网络之间的与不同业务相关的流量进行授权。

15.如权利要求9所述的处理器实现的方法，其中所述服务器包括宽带远程接入服务器(BRAS)设备，并且所述消息包括可扩展认证协议(EAP)消息。

16.如权利要求15所述的处理器实现的方法还包括：

对包括如下帧的流量打开BRAS设备的端口，所述帧包含所述EAP消息之外的信息。

17.如权利要求9所述的处理器实现的方法还包括：

18.一种用于与以太网接入网相关联的面向用户的供应商边缘(u-PE)设备，所述u-PE设备包括：

端口；

与IEEE 802.1x兼容的协议相兼容的认证者，所述认证者配置为通过所述IEEE 802.1x兼容的协议与住宅网关(RG)设备的恳求者设备进行通信，并通过不同的认证协议与存储所述恳求者设备的证书信息的网络服务器进行通信，所述认证者在每应用层业务的基础上对所述RG设备和所述以太网接入网之间的流量打开所述端口。

19.如权利要求18所述的u-PE设备，其中所述不同的认证协议包括远程认证拨入用户服务(RADIUS)协议。

20.如权利要求18所述的u-PE设备，其中所述具体应用层业务由媒体服务控制(MAC)地址识别。

21.如权利要求18所述的u-PE设备，其中所述具体应用层业务由以太类型识别。

22.如权利要求21所述的u-PE设备，其中所述具体应用层业务包括数据业务。

23.如权利要求20所述的u-PE设备，其中所述具体应用层业务包括视频业务。

24.一种用于与以太网接入网相关联的面向用户的供应商边缘(u-PE)设备，所述u-PE设备包括：

端口；

用于利用通过IEEE 802.1x兼容的协议运送的可扩展认证协议(EAP)消息与用户端设备进行通信，并且用于与存储用户证书信息的认证、授权和计费(AAA)服务器进行通信的装置，所述装置在验证了所述用户端设备提供的证书信息之后，在每应用层业务的基础上对所述用户端设备和所述以太网接入网之间的流量打开所述端口。

25.一种服务供应商(SP)用户以太网接入网，包括：

与用户端设备连接的第一层(L1)传输设备；

存储用户证书信息的认证、授权和计费(AAA)服务器；

面向用户的供应商边缘(u-PE)设备，所述u-PE设备耦合到所述AAA服务器并经所述L1层传输设备连接到所述用户端设备，所述u-PE设备具有物理端口并包括这样的装置，所述装置用于利用通过IEEE 802.1x兼容的协议运送的可扩展认证协议(EAP)消息与用户端设备进行通信，并且用于通过不同协议与所述AAA服务器进行通信，所述装置在验证了所述用户端设备提供的证书信息之后，在每应用层业务的基础上对所述用户端设备和所述SP用户以太网接入网之间的流量打开所述物理端口，其中个体应用层业务由媒体访问控制(MAC)地址识别。

26.一种计算机程序产品，包括计算机可用的介质和包含在所述计算机可用介质上的计算机可读代码，所述计算机可读代码的执行使所述计算机程序产品配置面向用户的供应商边缘(u-PE)设备来：

利用通过IEEE 802.1x兼容的协议运送的可扩展认证协议(EAP)消息与用户端设备进行通信；

通过不同协议与AAA服务器进行通信；以及

验证所述用户端设备提供的证书信息之后，在每应用层业务的基础上对所述用户端设备和以太网接入网之间的流量打开物理端口。

27.如权利要求25所述的计算机程序产品，其中所述个体应用层业务由媒体访问控制(MAC)地址识别。