CN101110673A - 利用一次eap过程执行多次认证的方法和装置 - Google Patents
利用一次eap过程执行多次认证的方法和装置 Download PDFInfo
- Publication number
- CN101110673A CN101110673A CN 200610106570 CN200610106570A CN101110673A CN 101110673 A CN101110673 A CN 101110673A CN 200610106570 CN200610106570 CN 200610106570 CN 200610106570 A CN200610106570 A CN 200610106570A CN 101110673 A CN101110673 A CN 101110673A
- Authority
- CN
- China
- Prior art keywords
- authentication
- eap
- request
- information
- repeatedly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种EAP认证方法,用于实现在一次EAP过程中执行多次认证,EAP认证方法包括以下步骤:步骤a,认证方向认证对端发送第一请求以发起EAP过程,第一请求用于通知认证对端,认证方要在EAP过程中执行多次认证;步骤b,认证对端向认证方发送对应于多次认证的第一响应;以及步骤c,认证方根据第一响应执行多次认证。通过将多次认证在一次EAP流程中完成,提高了认证执行的效率并且减少了消息的交互。本发明还提供了另外一种EAP认证方法,以及两种EAP认证装置。
Description
技术领域
本发明涉及一种利用EAP过程进行认证的方法和装置,更具体地,涉及一种利用一次EAP过程执行多次认证的方法和装置。
背景技术
EAP(Extensible Authentication Protocol)是可扩展认证协议。相关规范是IETF RFC 3748。EAP是一个支持多种认证方式的认证框架,典型地运行于数据链路层,如PPP(点到点协议Point-to-PointProtocol),IEEE 802之上,不需要IP的支持。
图1是两种EAP的框架图。
图1的(a)中包括了三个实体,认证对端(peer)100,认证方(authenticator)110和支持认证服务器(backend authenticationserver)120,这种框架下,认证对端100和认证方110之间进行信息交互,完成认证过程。认证服务由支持认证服务器120提供,而认证方110只作为数据的传递(pass-through)者和认证的判断方。而(b)中,认证方110不仅作为EAP服务器,也是EAP的发起者和认证的判断方。
图2示出了现有技术的EAP执行过程的流程图,其中,以第二种框架为例。
如图2所示,该方法的详细过程包括以下步骤:
认证方发送EAP请求消息给认证对端。请求中的类型字段指示了请求的内容。类型字段包括了身份、MD5-challenge等。典型地,初始消息中认证方会发送身份请求,但不是必须的。
认证对端对有效的请求回送响应(Response),响应中包含了请求中要求的类型的内容。
随后,认证方再次发送请求,认证对端回应响应。这样的交互只要需要会一直持续下去。EAP是“lock step”协议,在收到有效的响应前,不能发送新的请求。认证方负责重发请求。但重发次数超过限定值后,认证方将终止EAP会话。认证方在重发或未收到响应时,不能发送成功或失败报文。
当会话进行中,认证方不能对认证对端成功地进行认证,认证方必须发送EAP失败消息,并结束会话。但当认证方能够判断认证成功后,将必须发送EAP成功消息。
EAP只是定义了一种框架,在EAP之上可以使用多种认证方法(EAP method),典型的包括EAP-AKA、EAP-TLS等。AKA是3G网络采用的主要认证技术。该机制基于预共享密钥实现网络与终端的双向认证。为了传递AKA的参数,EAP-AKA在请求和应答消息中扩展了若干类型(也就是新的类型值),典型的是AKA-Challenge。下面详细说明EAP-AKA的执行过程。
图3示出了现有技术的EAP执行过程的流程图。
如图3所示,该方法的详细过程包括以下步骤:
步骤S310,认证方向认证对端发送EAP请求消息,该消息请求认证对端发送它的身份。
步骤S320,认证对端通过EAP响应消息向认证方发送自己的身份。
步骤S330,认证方根据认证对端发送的身份,查找到对应用户的信息,主要是预共享的密钥。认证方根据预共享密钥以及生成的随机数(RAND,Random challenge),序列号(SQN,Sequencenumber)计算认证向量(AV,Authentication Vector)。AV由随机数(RAND,Random challenge)、认证值(AUTN,AuthenticationToken)、期待的响应(XRES,Expected Response)、完整性密钥(IK,Integrity Key)和加密密钥(CK,Cipher Key)组成。由于需要对EAP AKA数据包进行完整性保护,认证方还会计算密钥TEK(Transient EAP Key)。
步骤S340,认证方将RAND、AUTN,以及用TEK计算的EAPAKA消息完整性值MAC发给认证对端。
步骤S350,认证对端根据收到的RAND、AUTN中的SQN以及与网络侧共享的密钥计算AV。认证对端将自己计算的AV中MAC值与收到的AUTN中的MAC值进行比较,如果相同,则成功认证网络。认证对端同样也会计算TEK,并校验收到的AT_MAC。
为了保证消息的完整性,所以要执行以下步骤。
步骤S360,认证对端也会用TEK计算EAP AKA消息的完整性值MAC,认证对端将计算的RES和MAC发送给认证方。
步骤S370,认证方校验MAC是否正确,并比较RES是否与原来计算的AV中的XRES相同,如果相同,说明认证对端是合法用户。
步骤S380,认证方将EAP成功消息发给认证对端,表示成功的认证了认证对端。EAP AKA过程结束。
EAP的应用很广泛,WLAN以及WiMAX都采用EAP作为认证协议。其中WiMAX的认证包括两种,对终端设备的认证和对用户的认证。设备认证和用户认证都采用EAP。为了对流程优化,规范中已经规定如果两次认证的AAA服务器是一个实体,两次认证可以在一次EAP流程中完成。但具体过程还没有定义。
3GPP2标准组织正在研究CDMA2000网络的长期演进,演进网络的框架正在讨论之中。总的趋势是减化网络结构、减少时延、提高用户数据速率、提高系统容量和覆盖率等。原有的CDMA高速率分组数据(HRPD:High Rate Packet Data)网络包括接入网和核心网。接入网的主要网元是AN(Access Network),核心网的主要网元是PDSN(Packet Data Serving Node)。用户终端设备AT(AccessTerminal)为了接入网络获得服务,需要执行两次认证,一次接入认证,由AT、AN以及AN-AAA共同完成。另一次核心网认证,由AT、PDSN以及归属AAA完成。接入认证和核心网认证都是在建立PPP的过程中完成的,但相互独立,互不影响。3GPP2目前也在研究PFO(PPP Free Operation),也就是AT和PDSN间不存在PPP连接情况下的网络模型和信令流程,目的也是为了提高效率。由于演进后的网络也不存在PPP,因此PFO对演进网络有很大的借鉴意义,很多其中的技术会被应用到演进网络中。
在PFO情况下,AT接入网络的认证方案已基本确定,是采用EAP技术,在AT和AN之间EAP消息会直接承载到HRPD的链路层上。也包括两种认证接入认证和业务认证,这两次认证的authenticator的位置不同,接入认证在AN,而业务认证在PDSN。
为了简化网络结构,演进网络的模型中,AN和PDSN的功能会合并到一个实体中,例如CAP(Controlling Access Point)中。因此认证方案也会随之调整。但采用EAP的原则不会变。一种方法可能是将两次认证缩减成一次,另一种是保留两次认证。保留两次的原因可能是,在目前的接入认证中运营商同时可以对终端的设备标识进行校验,因为在认证的同时,AN也会将从空口获得的终端的设备标识也发给AN-AAA做检查。因此有的运营商希望保留这次认证。但如果执行两次认证,会降低执行效率。
如上所述,在现有的利用EAP过程执行认证的方法中,由于没有对认证过程进行优化,认证的执行效率不高,并且消息的交互量很大。
发明内容
本发明提供了一种利用一次EAP过程执行多次认证的方法和装置,以解决上述的网络结构相对复杂、认证的执行效率不高、以及消息的交互量很大的问题。
根据本发明的一个方面,提供了一种EAP认证方法,用于实现在一次EAP过程中执行多次认证,EAP认证方法包括以下步骤:步骤a,认证方向认证对端发送第一请求以发起EAP过程,第一请求用于通知认证对端,认证方要在EAP过程中执行多次认证;步骤b,认证对端向认证方发送对应于多次认证的第一响应;以及步骤c,认证方根据第一响应执行多次认证。
在上述的EAP认证方法中,步骤a通过在第一请求中,设置EAP的身份请求信息为对应于多次认证的多个身份请求,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证方法中,步骤a通过在第一请求中,设置EAP的请求类型为表示要执行多次认证的新类型,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证方法中,步骤a通过在第一请求中,在EAP头前设置用于表示要执行多次认证的字段,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证方法中,步骤c包括以下步骤:步骤c1,重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息:认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方;以及步骤c2,认证方产生确认信息,并发送给认证对端。
在上述的EAP认证方法中,在步骤c中,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
在上述的EAP认证方法中,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
在上述的EAP认证方法中,EAP消息,包括请求和应答中所携带的有关认证的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
在上述的EAP认证方法中,在步骤c1中,针对多次认证生成相互独立的认证请求,或生成一个请求。
在上述的EAP认证方法中,多次认证使用相同EAP方法。
在上述的EAP认证方法中,响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
根据本发明的另一方面,提供了一种EAP认证方法,用于实现在一次EAP过程中执行多次认证,EAP认证方法包括以下步骤:步骤a,认证方向认证对端发送第一请求以发起EAP过程;步骤b,认证对端在第一响应中主动发送多个身份信息给认证方,以表示认证对端希望执行多次认证,或者主动发送多个身份信息的组合;以及步骤c,认证方识别出所包括的身份信息的类型,以执行多次认证。
在上述的EAP认证方法中,步骤c包括以下步骤:步骤c1,重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息:认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方;以及步骤c2,认证方产生确认信息,并发送给认证对端。
在上述的EAP认证方法中,在步骤c中,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
在上述的EAP认证方法中,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
在上述的EAP认证方法中,EAP消息,包括请求和应答中所携带的有关认证的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
在上述的EAP认证方法中,在步骤c1中,针对多次认证生成相互独立的认证请求,或生成一个请求。
在上述的EAP认证方法中,多次认证使用相同EAP方法。
在上述的EAP认证方法中,响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
根据本发明的另一方面,提供了一种EAP认证装置,用于实现在一次EAP过程中执行多次认证,装置包括:第一请求模块,用于使认证方向认证对端发送第一请求以发起EAP过程,第一请求用于通知认证对端,认证方要在EAP过程中执行多次认证;第一响应模块,用于使认证对端向认证方发送对应于多次认证的第一响应;以及认证模块,使认证方根据第一响应执行多次认证。
在上述的EAP认证装置中,第一请求模块将EAP的身份请求信息设置为对应于多次认证的多个身份请求,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证装置中,第一请求模块将EAP的请求类型设置为表示要执行多次认证的新类型,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证装置中,第一请求模块在EAP头前设置用于表示要执行多次认证的字段,来表示认证方要在EAP过程中执行多次认证。
在上述的EAP认证装置中,认证模块包括:判断模块,用于使认证方和认证对端重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息:认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方;以及确认模块,用于使认证方产生确认信息,并发送给认证对端。
在上述的EAP认证装置中,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
在上述的EAP认证装置中,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
在上述的EAP认证装置中,EAP消息,包括请求和应答中所携带的有关认证的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
在上述的EAP认证装置中,请求模块针对多次认证生成相互独立的请求,或生成一个请求。
在上述的EAP认证装置中,多次认证使用相同EAP方法。
在上述的EAP认证装置中,多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
根据本发明的另一方面,提供了一种EAP认证装置,用于实现在一次EAP过程中执行多次认证,装置包括:发送模块,使认证对端在身份的响应中主动发送多个身份信息给认证方,以表示认证对端希望执行多次认证,或者主动发送多个身份信息的组合;识别模块,使认证方识别出所包括的身份信息的类型,以得知认证对端希望执行的多次认证;以及认证模块,使认证方执行多次认证。
在上述的EAP认证装置中,认证模块包括:判断模块,用于使认证方和认证对端重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息:认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方;以及确认模块,用于使认证方产生确认信息,并发送给认证对端。
在上述的EAP认证装置中,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
在上述的EAP认证装置中,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
在上述的EAP认证装置中,EAP消息,包括请求和应答中所携带的有关认证的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
在上述的EAP认证装置中,请求模块针对多次认证生成相互独立的请求,或生成一个请求。
在上述的EAP认证装置中,多次认证使用相同EAP方法。
在上述的EAP认证装置中,多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
由此,通过上述技术方案,将多次认证在一次EAP流程中完成,从而提高了认证执行的效率并且减少了消息的交互。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是两种EAP的框架图。
图2示出了现有技术的EAP执行过程的流程图,其中,以第二种框架为例。
图3示出了现有技术的EAP执行过程的流程图。
图4示出了根据本发明的原理的EAP认证方法的流程图。
图5示出了根据本发明的原理的EAP认证装置100的流程图。
图6示出了根据本发明的另一原理的EAP认证方法的流程图。
图7示出了根据本发明的原理的EAP认证装置700的框图。
图8示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第一实施例。
图9示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第二实施例。
图10示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第三实施例。
具体实施方式
下面将参考附图详细说明本发明。
下面参照图4至图7来说明本发明的原理。
图4示出了根据本发明的原理的EAP认证方法的流程图。
如图4所示,根据本发明的用于实现在一次EAP过程中执行多次认证的认证方法包括以下步骤:
步骤S410,认证方向认证对端发送第一请求以发起EAP过程,第一请求用于通知认证对端,认证方要在EAP过程中执行多次认证。
步骤S420,认证对端向认证方发送对应于多次认证的第一响应。
步骤S430,认证方根据第一响应执行多次认证。
可选地,该认证过程可以包括以下步骤:重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息,其中,认证方产生对应于第一响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方。该认证过程还可以包括以下步骤:认证方产生确认信息,并发送给认证对端。
可选地,在认证过程中,认证方通过自身产生请求,或通过与其通信连接的支持认证服务器产生请求。该确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
可选地,第一响应的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
可选地,在步骤S430中,针对多次认证生成相互独立的请求,或生成一个请求。
可选地,多次认证使用相同EAP方法。
可选地,多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
可选地,步骤S410通过在第一请求中,设置EAP的身份请求信息为对应于多次认证的多个身份请求,来表示认证方要在EAP过程中执行多次认证。
可选地,步骤S410通过在第一请求中,设置EAP的请求类型为表示要执行多次认证的新类型,来表示认证方要在EAP过程中执行多次认证。
可选地,步骤S410通过在第一请求中,在EAP头前设置用于表示要执行多次认证的字段,来表示认证方要在EAP过程中执行多次认证。
图5示出了根据本发明的原理的EAP认证装置500的框图。
该EAP认证装置500包括第一请求模块510、第一响应模块520、以及认证模块530。第一请求模块510使认证方向认证对端发送第一请求以发起EAP过程,第一请求用于通知认证对端,认证方要在EAP过程中执行多次认证。第一响应模块520使认证对端向认证方发送对应于多次认证的第一响应。认证模块530使认证方根据第一响应执行多次认证。
可选地,该认证模块530包括判断模块,用于使认证方和认证对端重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息,其中,认证方产生对应于第一响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方。该认证模块530还包括用于使认证方产生确认信息,并发送给认证对端。
可选地,认证方通过自身产生请求,或通过与其通信连接的支持认证服务器产生请求。
可选地,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
可选地,第一响应的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
可选地,请求模块530针对多次认证生成相互独立的请求,或生成一个请求。
可选地,多次认证使用相同EAP方法。
可选地,多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
可选地,第一请求模块510将EAP的身份请求信息设置为对应于多次认证的多个身份请求,来表示认证方要在EAP过程中执行多次认证。
可选地,第一请求模块510将EAP的请求类型设置为表示要执行多次认证的新类型,来表示认证方要在EAP过程中执行多次认证。
可选地,第一请求模块510在EAP头前设置用于表示要执行多次认证的字段,来表示认证方要在EAP过程中执行多次认证。
图6示出了根据本发明的另一原理的EAP认证方法的流程图。
如图6所示,根据本发明的用于实现在一次EAP过程中执行多次认证的认证方法包括以下步骤:
步骤S610,认证方向认证对端发送第一请求以发起EAP过程。
步骤S620,认证对端在身份的响应中主动发送多个身份信息给认证方,以表示认证对端希望执行多次认证,或者主动发送多个身份信息的组合。
步骤S630,认证方识别出所包括的身份信息的类型,以得知认证对端希望执行的多次认证。
步骤S640,认证方执行多次认证。
可选地,该执行认证过程包括重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息,其中,认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息,认证对端对验证信息进行校验以产生响应,并发送给认证方。该执行认证过程还包括认证方产生确认信息,并发送给认证对端。
可选地,在步骤S630中,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
可选地,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
可选地,EAP消息包括请求和应答中所携带的有关认证的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
可选地,针对多次认证生成相互独立的认证请求,或生成一个请求。
可选地,多次认证使用相同EAP方法。
可选地,响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
图7示出了根据本发明的原理的EAP认证装置700的框图。
该EAP认证装置700包括发送模块710,使认证对端在身份的响应中主动发送多个身份信息给认证方,以表示认证对端希望执行多次认证,或者主动发送多个身份信息的组合;识别模块720,使认证方识别出所包括的身份信息的类型,以得知认证对端希望执行的多次认证;以及认证模块730,使认证方执行多次认证。
可选地,该认证模块730包括:判断模块,用于使认证方和认证对端重复执行以下步骤,直到认证方能够对认证对端做出认证结果的判断以产生确认信息,其中,认证方产生对应于所接收到的响应的请求,并发送给认证对端,请求包含对应多次认证的验证信息;以及认证对端对验证信息进行校验以产生响应,并发送给认证方。该认证模块730还包括确认模块,用于使认证方产生确认信息,并发送给认证对端。
可选地,认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生认证所需要的请求。
可选地,确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
可选地,EAP消息,包括请求和应答中所携带的有关认证的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
可选地,请求模块针对多次认证生成相互独立的请求,或生成一个请求。
可选地,多次认证使用相同EAP方法。
可选地,多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
图8示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第一实施例,其中,认证对端和认证方间需要执行两个认证:设备和用户认证。这两个认证都采用EAP-AKA,但各自有独立的预共享密钥K1和K2。
为了实现下面的过程,需要对现有的EAP-AKA做一些扩展。目前的EAP-AKA中只能请求一个身份,因此对有关身份的属性做了扩展,首先在AKA身份请求中可以一次请求多个身份,其次回送身份时,也可以一次发多种身份。
如图8所示,该方法的详细过程包括以下步骤:
步骤S810,认证方向认证对端发送EAP请求消息,该消息请求认证对端发送它的设备身份以及用户身份,它们分别用两个属性值AT_DEV_ID_REQ和AT_USER_ID_REQ表示。
步骤S820,认证对端通过EAP响应消息向认证方发送自己的身份,这个响应中包含了设备和用户身份,它们也用两个属性值AT_DEV_ID和AT_USER_ID分别携带。
步骤S830,认证方根据认证对端发送的两个身份,查找到对应的配置信息,该配置信息主要是预共享的密钥。由于两次认证的预共享密钥独立,因此会查询到K1和K2两个密钥。认证方将两个密钥进行组合,或者衍生,形成一个密钥,根据这个密钥以及生成的随机数RAND,序列号SQN计算出一个认证向量AV。由于需要对EAP AKA数据包进行完整性保护,认证方还会计算密钥TEK。
步骤S840,认证方将RAND、AUTN,以及用TEK计算的EAPAKA消息完整性值MAC发给认证对端。
步骤S850,认证对端对K1和K2做与认证方侧相同的处理,形成一个密钥,并根据收到的RAND、AUTN中的SQN计算AV。认证对端将自己计算的AV中MAC值与收到的AUTN中的MAC值进行比较,如果相同,则成功认证网络。认证对端也会计算TEK,校验收到的AT_MAC值。
为了保证消息的完整性,所以要执行以下步骤。
步骤S860,认证对端也会用TEK计算EAP AKA消息的完整性值MAC,认证对端将计算的RES和MAC发送给认证方。
步骤S870,认证方校验MAC是否正确,并比较RES是否与原来计算的AV中的XRES相同,如果相同,说明认证对端的设备和用户认证是成功的。
步骤S880,认证方将EAP Success消息发给认证对端,表示成功的认证了认证对端。
最后,结束EAP AKA过程。
图9示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第二实施例,其中,认证对端和认证方间需要执行两个认证:接入和核心网认证。这两个认证都采用EAP-AKA,但各自有独立的预共享密钥K1和K2。
为了实现以下的过程,需要对现有EAP进行扩展,增加一种新的类型值,用来表示执行多次认证,以及明确认证的类型。
如图9所示,该方法的详细过程包括以下步骤:
步骤S910,认证方向认证对端发送EAP请求消息,该消息中的值是Multi_Auth_ID,表示希望执行多次认证,并请求对应的身份信息。更进一步具体的认证类型也可以在这个消息中携带。
步骤S920,认证对端通过EAP响应消息向认证方发送自己的身份,这个响应中包含了接入认证的身份以及核心网认证的身份,或者将两个身份进行组合,形成一个身份值,但还能区分出各自的身份值。
步骤S930,认证方根据认证对端发送的两个身份,或者从一个身份信息中,查找到对应的配置信息。该配置信息主要是预共享的密钥。由于两次认证的预共享密钥独立,因此会查询到K1和K2两个密钥。认证方根据这两个密钥分别计算出两个认证向量AV,第一个AV对应接入认证,第二个对应核心网认证。由于需要对EAPAKA数据包进行完整性保护,认证方还会计算密钥TEK,TEK可以根据K1或(和)K2生成。
步骤S940,认证方将两个AV中的RAND1、AUTN1,RAND2,AUTN2,以及用TEK计算的EAP AKA消息完整性值MAC发给认证对端。
步骤S950,认证对端也执行AKA算法,生成两个AV。认证对端校验AUTN1和AUTN2。如果与收到的相同,则成功认证网络。认证对端也会计算TEK,校验收到的AT_MAC值。
为了保证消息的完整性,所以要执行以下步骤。
步骤S960,认证对端也会用TEK计算EAP AKA消息的完整性值MAC,认证对端将计算的RES1和RES2,以及MAC发送给认证方;
步骤S970,认证方校验MAC是否正确,并比较RES1和RES2是否与原来计算的AV中的XRES1和XRES2相同。如果相同,说明认证对端的接入和核心网认证是成功的。如果两个值都错误,或者其中一个错误,都表示认证失败。
步骤S980,认证方将EAP Success消息发给认证对端,表示成功的认证了认证对端。
最后,结束EAP AKA过程。
图10示出了根据本发明的用于实现在一次EAP过程中执行多次认证的第三实施例,其中,认证对端和认证方间需要执行两个认证:接入和业务认证。这两个认证都采用EAP-AKA,但使用同一个预共享密钥K。
为了实现以下的过程,需要对现有的GEE进行扩展,现有GEE只能表示某此认证是接入认证,还是业务认证,本流程需要增加表示接入加业务认证的情况。
如图10所示,该方法的详细过程包括以下步骤:
步骤S1010,认证方向认证对端发送EAP请求消息,该消息使用GEE做封装,GEE中的字段表示此次EAP执行接入认证加业务认证。
步骤S1020,认证对端通过EAP响应消息向认证方发送自己的身份,这个响应中认证对端将两个身份进行组合并形成一个值,但还能区分出各自的身份值。
步骤S1022,认证对端将EAP响应通过RADIUS协议转发给支持认证服务器。
步骤S1024,服务器根据身份信息来查找到对应的配置信息。该配置信息主要是预共享的密钥。由于两次认证使用一个密钥,因此查询到密钥K。服务器根据这个密钥计算出认证向量AV。由于需要对EAP AKA数据包进行完整性保护,认证方还会计算密钥TEK。
步骤S1026,服务器将计算的RAND、AUTN和消息完整性值MAC通过Access Challenge发给认证方。
步骤S1030,认证方转发EAP-Request给认证对端。
步骤S1040,认证对端根据收到的RAND、AUTN中的SQN计算AV。认证对端将自己计算的AV中MAC值与收到的AUTN中的MAC值进行比较,如果相同,则成功认证网络。认证对端也会计算TEK,校验收到的AT_MAC值。
为了保证消息的完整性,所以要执行以下步骤。
步骤S1050,认证对端也会用TEK计算EAP AKA消息的完整性值MAC,认证对端将计算的RES和MAC发送给认证方;
步骤S1052,认证方将消息通过Access请求将EAP消息发给服务器;
步骤S1054,服务器校验MAC是否正确,并比较RES是否与原来计算的AV中的XRES相同。如果相同,说明认证对端的设备和用户认证是成功的;
步骤S1056,服务器将EAP成功消息通过Access接受消息发给认证方,表示成功的认证了认证对端;
步骤S1060,认证方将EAP成功消息发给认证对端,表示认证成功。
由此,根据对上述多个实施例的描述,通过将多次认证在一次EAP流程中完成,提高了认证执行的效率并且减少了消息的交互。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (38)
1.一种EAP认证方法,用于实现在一次EAP过程中执行多次认证,其特征在于,所述EAP认证方法包括以下步骤:
步骤a,认证方向认证对端发送第一请求以发起EAP过程,所述第一请求用于通知所述认证对端,所述认证方要在所述EAP过程中执行多次认证;
步骤b,所述认证对端向所述认证方发送对应于所述多次认证的第一响应;以及
步骤c,所述认证方根据所述第一响应执行所述多次认证。
2.根据权利要求1所述的EAP认证方法,其特征在于,所述步骤a通过在所述第一请求中,设置EAP的身份请求信息为对应于所述多次认证的多个身份请求,来表示所述认证方要在所述EAP过程中执行多次认证。
3.根据权利要求1所述的EAP认证方法,其特征在于,所述步骤a通过在所述第一请求中,设置EAP的请求类型为表示要执行多次认证的新类型,来表示所述认证方要在所述EAP过程中执行多次认证。
4.根据权利要求1所述的EAP认证方法,其特征在于,所述步骤a通过在所述第一请求中,在所述EAP头前设置用于表示要执行多次认证的字段,来表示所述认证方要在所述EAP过程中执行多次认证。
5.根据权利要求1至4中任一项所述的EAP认证方法,其特征在于,所述步骤c包括以下步骤:
步骤c1,重复执行以下步骤,直到所述认证方能够对所述认证对端做出认证结果的判断以产生确认信息:
所述认证方产生对应于所接收到的响应的请求,并发送给所述认证对端,所述请求包含对应所述多次认证的验证信息;以及
所述认证对端对所述验证信息进行校验以产生响应,
并发送给所述认证方;以及
步骤c2,所述认证方产生所述确认信息,并发送给所述认证对端。
6.根据权利要求5所述的EAP认证方法,其特征在于,在所述步骤c中,所述认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生所述认证所需要的请求。
7.根据权利要求5所述的EAP认证方法,其特征在于,所述确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
8.根据权利要求5所述的EAP认证方法,其特征在于,所述EAP消息,包括请求和应答中所携带的有关认证的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
9.根据权利要求5所述的EAP认证方法,其特征在于,在所述步骤c1中,针对所述多次认证生成相互独立的所述认证请求,或生成一个所述请求。
10.根据权利要求5所述的EAP认证方法,其特征在于,所述多次认证使用相同EAP方法。
11.根据权利要求5所述的EAP认证方法,其特征在于,所述响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
12.一种EAP认证方法,用于实现在一次EAP过程中执行多次认证,其特征在于,所述EAP认证方法包括以下步骤:
步骤a,认证方向认证对端发送第一请求以发起EAP过程;
步骤b,所述认证对端在第一响应中主动发送多个身份信息给认证方,以表示所述认证对端希望执行多次认证,或者主动发送所述多个身份信息的组合;以及
步骤c,所述认证方识别出所包括的所述身份信息的类型,以执行所述多次认证。
13.根据权利要求12所述的EAP认证方法,其特征在于,所述步骤c包括以下步骤:
步骤c1,重复执行以下步骤,直到所述认证方能够对所述认证对端做出认证结果的判断以产生确认信息:
所述认证方产生对应于所接收到的响应的请求,并发送给所述认证对端,所述请求包含对应所述多次认证的验证信息;以及
所述认证对端对所述验证信息进行校验以产生响应,并发送给所述认证方;以及
步骤c2,所述认证方产生所述确认信息,并发送给所述认证对端。
14.根据权利要求12所述的EAP认证方法,其特征在于,在所述步骤c中,所述认证方通过自身产生认证所需要的请求,或通过与其通信连接的支持认证服务器产生所述认证所需要的请求。
15.根据权利要求12所述的EAP认证方法,其特征在于,所述确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
16.根据权利要求12所述的EAP认证方法,其特征在于,EAP消息包括请求和应答中所携带的有关认证的信息为多个认证之间相互独立的多个信息,或是多个认证所需的多个信息的组合。
17.根据权利要求12所述的EAP认证方法,其特征在于,在所述步骤c1中,针对所述多次认证生成相互独立的所述认证请求,或生成一个所述请求。
18.根据权利要求12所述的EAP认证方法,其特征在于,所述多次认证使用相同EAP方法。
19.根据权利要求12所述的EAP认证方法,其特征在于,所述响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
20.一种EAP认证装置,用于实现在一次EAP过程中执行多次认证,其特征在于,所述装置包括:
第一请求模块,用于使认证方向认证对端发送第一请求以发起EAP过程,所述第一请求用于通知所述认证对端,所述认证方要在所述EAP过程中执行多次认证;
第一响应模块,用于使所述认证对端向所述认证方发送对应于所述多次认证的第一响应;以及
认证模块,使所述认证方根据所述第一响应执行所述多次认征。
21.根据权利要求20所述的EAP认证装置,其特征在于,所述第一请求模块将EAP的身份请求信息设置为对应于所述多次认证的多个身份请求,来表示所述认证方要在所述EAP过程中执行多次认证。
22.根据权利要求20所述的EAP认证装置,其特征在于,所述第一请求模块将EAP的请求类型设置为表示要执行多次认证的新类型,来表示所述认证方要在所述EAP过程中执行多次认证。
23.根据权利要求20所述的EAP认证装置,其特征在于,所述第一请求模块在所述EAP头前设置用于表示要执行多次认证的字段,来表示所述认证方要在所述EAP过程中执行多次认证。
24.根据权利要求20至23中任一项所述的EAP认证装置,其特征在于,所述认证模块包括:
判断模块,用于使所述认证方和所述认证对端重复执行以下步骤,直到所述认证方能够对所述认证对端做出认证结果的判断以产生确认信息:
所述认证方产生对应于所接收到的响应的请求,并发送给所述认证对端,所述请求包含对应所述多次认证的验证信息;以及
所述认证对端对所述验证信息进行校验以产生响应,并发送给所述认证方;以及
确认模块,用于使所述认证方产生所述确认信息,并发送给所述认证对端。
25.根据权利要求24所述的EAP认证装置,其特征在于,所述认证方通过自身产生所述认证所需要的请求,或通过与其通信连接的支持认证服务器产生所述认证所需要的请求。
26.根据权利要求24所述的EAP认证装置,其特征在于,所述确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
27.根据权利要求24所述的EAP认证装置,其特征在于,所述EAP消息,包括请求和应答中所携带的有关认证的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
28.根据权利要求24所述的EAP认证装置,其特征在于,所述请求模块针对所述多次认证生成相互独立的所述请求,或生成一个所述请求。
29.根据权利要求24所述的EAP认证装置,其特征在于,所述多次认证使用相同EAP方法。
30.根据权利要求24所述的EAP认证装置,其特征在于,所述多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
31.一种EAP认证装置,用于实现在一次EAP过程中执行多次认证,其特征在于,所述装置包括:
发送模块,使认证对端在身份的响应中主动发送多个身份信息给认证方,以表示所述认证对端希望执行多次认证,或者主动发送所述多个身份信息的组合;
识别模块,使所述认证方识别出所包括的所述身份信息的类型,以得知认证对端希望执行的多次认证;以及认证模块,使所述认证方执行所述多次认证。
32.根据权利要求31所述的EAP认证装置,其特征在于,所述认证模块包括:
判断模块,用于使所述认证方和所述认证对端重复执行以下步骤,直到所述认证方能够对所述认证对端做出认证结果的判断以产生确认信息:
所述认证方产生对应于所接收到的响应的请求,并发送给所述认证对端,所述请求包含对应所述多次认证的验证信息;以及
所述认证对端对所述验证信息进行校验以产生响应,并发送给所述认证方;以及
确认模块,用于使所述认证方产生所述确认信息,并发送给所述认证对端。
33.根据权利要求31所述的EAP认证装置,其特征在于,所述认证方通过自身产生所述认证所需要的请求,或通过与其通信连接的支持认证服务器产生所述认证所需要的请求。
34.根据权利要求31所述的EAP认证装置,其特征在于,所述确认信息包括表示认证全部成功的确认成功信息以及表示认证全部或部分失败的确认失败信息。
35.根据权利要求31所述的EAP认证装置,其特征在于,所述EAP消息,包括请求和应答中所携带的有关认证的信息为相互独立的多个信息,或是多个认证所需的多个信息的组合。
36.根据权利要求31所述的EAP认证装置,其特征在于,所述请求模块针对所述多次认证生成相互独立的所述请求,或生成一个所述请求。
37.根据权利要求31所述的EAP认证装置,其特征在于,所述多次认证使用相同EAP方法。
38.根据权利要求31所述的EAP认证装置,其特征在于,所述多个响应的信息是针对多次认证生成的相互独立的信息,或是同一应答值的信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610106570 CN101110673B (zh) | 2006-07-17 | 2006-07-17 | 利用一次eap过程执行多次认证的方法和装置 |
PCT/CN2007/070295 WO2008011826A1 (fr) | 2006-07-17 | 2007-07-13 | Procédé et dispositif permettant d'exécuter plusieurs authentifications au cours d'un processus epa |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610106570 CN101110673B (zh) | 2006-07-17 | 2006-07-17 | 利用一次eap过程执行多次认证的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101110673A true CN101110673A (zh) | 2008-01-23 |
CN101110673B CN101110673B (zh) | 2011-02-02 |
Family
ID=38981150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200610106570 Expired - Fee Related CN101110673B (zh) | 2006-07-17 | 2006-07-17 | 利用一次eap过程执行多次认证的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101110673B (zh) |
WO (1) | WO2008011826A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
CN104104515A (zh) * | 2014-07-28 | 2014-10-15 | 安徽科大智能电网技术有限公司 | 用于光伏组件监测的直流载波安全认证系统及认证方法 |
CN104735037A (zh) * | 2013-12-24 | 2015-06-24 | 中国移动通信集团公司 | 一种网络认证方法、装置及系统 |
CN104896670A (zh) * | 2015-06-05 | 2015-09-09 | 深圳市欧也仕科技有限公司 | 一种新风控制系统及新风控制方法 |
CN105323754A (zh) * | 2014-07-29 | 2016-02-10 | 北京信威通信技术股份有限公司 | 一种基于预共享密钥的分布式鉴权方法 |
CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CZ306210B6 (cs) * | 2015-07-07 | 2016-09-29 | Aducid S.R.O. | Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru |
CN114301593B (zh) * | 2021-12-30 | 2023-08-22 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1243434C (zh) * | 2002-09-23 | 2006-02-22 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
CN1549494A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现用户认证的方法 |
US20050271209A1 (en) * | 2004-06-07 | 2005-12-08 | Meghana Sahasrabudhe | AKA sequence number for replay protection in EAP-AKA authentication |
TWI268083B (en) * | 2004-11-17 | 2006-12-01 | Draytek Corp | Method used by an access point of a wireless LAN and related apparatus |
CN100592688C (zh) * | 2004-12-08 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种对接入网络的客户端进行安全认证的系统和方法 |
-
2006
- 2006-07-17 CN CN 200610106570 patent/CN101110673B/zh not_active Expired - Fee Related
-
2007
- 2007-07-13 WO PCT/CN2007/070295 patent/WO2008011826A1/zh active Application Filing
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
CN102461230B (zh) * | 2009-04-07 | 2015-06-17 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
CN104735037A (zh) * | 2013-12-24 | 2015-06-24 | 中国移动通信集团公司 | 一种网络认证方法、装置及系统 |
CN104735037B (zh) * | 2013-12-24 | 2018-11-23 | 中国移动通信集团公司 | 一种网络认证方法、装置及系统 |
CN104104515A (zh) * | 2014-07-28 | 2014-10-15 | 安徽科大智能电网技术有限公司 | 用于光伏组件监测的直流载波安全认证系统及认证方法 |
CN105323754A (zh) * | 2014-07-29 | 2016-02-10 | 北京信威通信技术股份有限公司 | 一种基于预共享密钥的分布式鉴权方法 |
CN105323754B (zh) * | 2014-07-29 | 2019-02-22 | 北京信威通信技术股份有限公司 | 一种基于预共享密钥的分布式鉴权方法 |
CN104896670A (zh) * | 2015-06-05 | 2015-09-09 | 深圳市欧也仕科技有限公司 | 一种新风控制系统及新风控制方法 |
CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
CN108347417B (zh) * | 2017-01-24 | 2020-08-07 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2008011826A1 (fr) | 2008-01-31 |
CN101110673B (zh) | 2011-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9232398B2 (en) | Method and apparatus for link setup | |
CN101110673B (zh) | 利用一次eap过程执行多次认证的方法和装置 | |
TWI249316B (en) | SIM-based authentication method for supporting inter-AP fast handover | |
US8769647B2 (en) | Method and system for accessing 3rd generation network | |
EP1869822B1 (en) | Method and device for multi-session establishment | |
TWI361609B (en) | System and method for wireless mobile network authentication | |
CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
US7421582B2 (en) | Method and apparatus for mutual authentication at handoff in a mobile wireless communication network | |
WO2010012203A1 (zh) | 鉴权方法、重认证方法和通信装置 | |
TW200423604A (en) | Key generation in a communication system | |
CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
JP2002247047A (ja) | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 | |
WO2012075863A1 (zh) | 无线局域网集中式802.1x认证方法及装置和系统 | |
US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
JP2008547304A (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
CN1658547B (zh) | 密钥分发方法 | |
WO2009103214A1 (zh) | 网络认证通信方法及网状网络系统 | |
CN111698678B (zh) | 一种无固定基础设施的无线局域网安全自组网方法 | |
CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
WO2008110099A1 (fr) | Procédé, système et dispositif associé pour accès d'un appareil d'authentification à un réseau de communication | |
WO2007131426A1 (en) | Aaa system and authentication method of multi-hosts network | |
WO2011009268A1 (zh) | 一种基于wapi的认证系统及方法 | |
CN103781026B (zh) | 通用认证机制的认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110202 Termination date: 20140717 |
|
EXPY | Termination of patent right or utility model |