CN101150472A - Wimax中实现认证的方法、认证服务器和终端 - Google Patents
Wimax中实现认证的方法、认证服务器和终端 Download PDFInfo
- Publication number
- CN101150472A CN101150472A CNA2007101673259A CN200710167325A CN101150472A CN 101150472 A CN101150472 A CN 101150472A CN A2007101673259 A CNA2007101673259 A CN A2007101673259A CN 200710167325 A CN200710167325 A CN 200710167325A CN 101150472 A CN101150472 A CN 101150472A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- authentication
- message
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现认证的方法,包括:接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识;将所述的临时网络接入标识发送给终端。本发明还公开了相应实现认证的认证服务器和终端。利用本发明,可以保证认证过程中的用户安全。
Description
技术领域
本发明涉及无线通信技术领域,特别涉及一种WIMAX中实现认证的方法、认证服务器和终端。
背景技术
全球微波接入互操作性(World Interoperability for Microwave Access,WIMAX)是一项无线城域网接入技术,其最大传输速率可达75Mbit/s,信号传输半径可达50公里。由于这种远距离传输特性,WiMAX将不仅是解决无线接入的技术,还能作为有线网络接入方式(如电缆(Cable)、数字用户线(Digital Subscriber Line,DSL)等)的无线扩展,方便地实现边远地区的网络连接。
WIMAX网络结构的参考模型可以如图1所示,包括终端(Mobile Station,MS),接入服务网络(Access Service Network,ASN)和连接服务网络(Connectivity Service Network,CSN)。MS接入的ASN以及图中的其它ASN由网络接入提供商(Network Access Provider,NAP)管理,CSN由网络服务提供商(Network Service Provider,NSP)管理。MS可能漫游到拜访地网络服务提供商(Visited NSP),这时由拜访地网络服务提供商的CSN提供服务和本地网络服务提供商(Home NSP)中的CSN提供服务。这里R1,R2,R3,R4,R5表示网络逻辑实体间的接口。应用服务提供商(Application Service Provider,ASP)或互联网用来提供具体业务。当MS处于非漫游状态下,则由本地网络服务提供商(Home NSP)中的CSN提供服务。
ASN中包括基站(Base Station,BS)和接入服务网络网关(ASN-Gateway,ASN-GW),CSN中包括认证服务器(Authentication Authorization AccountingServer,AAA Server),如图2中所示。无论MS处于漫游状态或非漫游状态,MS接入网络过程中,需要由网络进行认证,具体的,通过上面的BS,ASN-GW,AAA Server进行认证。其中,认证器(Authenticator)作为位于ASN-GW的功能实体,用于完成认证功能。
图3示出了WiMAX网络的认证架构图,如图所示,EAP,PKMv2,AuthRelay protocol等是协议名称,整张图描述了认证的协议结构,如BS和GW间的认证消息(终端和AAA Server之间的认证消息)是承载在基于隧道的传输层安全协议(Extensible Authentication Protocol-Tunneled Transport LayerSecurity,EAP-TTLS)或者EAP-AKA消息中,EAP-TTLS和EAP-AKA消息承载在EAP消息中,EAP消息承载在WiMAX论坛网络结构组(NWG)协议的Auth Relay消息中。具体的,PKMv2是空口的密钥管理协议,由802.16e协议定义。Auth Relay Protocol是R6口的信令协议。EAP是扩展认证协议,包括了EAP-TTLS,EAP-AKA等方法。Radius和Diameter协议用于R3口的认证,存在于Authenticator和AAA Server之间。
现有技术中,终端初次接入WIMAX网络的认证流程如图4所示。包括:
步骤401:终端向基站发送终端基本能力协商请求(SS Basic CapabilityRequest,SBC-REQ)消息,请求与基站协商基本能力,所述基本能力包括物理层参数,认证参数等;
步骤402:基站接收到SBC-REQ消息,通过终端入网请求消息(MS_PreAttachment_Req)向ASN-GW申请协商认证方式;
步骤403:ASN-GW返回终端入网响应消息(MS_PreAttachment_Rsp)到基站,该消息中携带支持的认证方式;
步骤404:基站将ASN-GW发来的MS_PreAttachment_Rsp消息中的认证方式信息通过终端基本能力协商响应消息(SBC-RSP,SS Basic CapabilityResponse,SBC-RSP)消息发送给终端;
步骤405:基站给ASN-GW发送终端入网确认消息(MS_PreAttachment_Ack);
步骤406:ASN-GW发送扩展认证信息传递(AR-EAP-transfer)消息给基站,该消息中包括扩展鉴权协议请求(Extensible AuthenticationProtocol-Request,EAP-Request)消息,EAP-Request的消息的子消息类型为身份请求,以请求终端身份;
步骤407:基站向终端发送密钥分发管理协议响应(PKM-RSP)/扩展鉴权协议传输(Extensible Authentication Protocol-Transfer,EAP-Transfer)消息,该消息中包含请求身份Identity的子消息EAP-Request,内容是EAP认证请求消息,请求终端身份;
步骤408:终端向基站发送密钥管理协议的请求消息(PKM-RE4Q)/EAP-Transfer消息,消息中包含子消息EAP-Response,并在EAP-Response子消息中携带有终端的网络接入标识(NetworkAccess Identity,NAI),该NAI包括用户的真实身份;
步骤409:基站向ASN-GW发送AR-EAP-transfer消息,该消息中包括EAP-response消息,其中包含用户NAI;
步骤410:ASN-GW向AAA Server发送接收认证请求(RADIUS AccessRequest)消息,消息中要包括EAP-Response消息及其负载部分,EAP-Response消息中包含终端身份,用于向认证服务请求验证用户合法性;
步骤411:EAP-TTLS认证流程。
在对现有技术的研究和实践过程中,发明人发现现有技术中存在以下问题:
上述步骤407中基站发送请求终端上报身份的消息后,在步骤408中,终端回应答消息,该消息中携带该终端用户的NAI。这个NAI包括用户的真实身份,如果在传输过程中被窃听,则会对用户安全造成很大威胁。而且,终端在后续接入网络的过程中也会采用所述包括用户真实身份的NAI,同样会对用户安全造成威胁。
发明内容
本发明实施例的目的是提供一种WIMAX中实现认证的方法、认证服务器和终端,以克服现有技术中由于终端发送的应答消息中携带的该终端用户的NAI包括用户的真实身份而造成的用户安全威胁的问题。
为解决上述技术问题,本发明实施例提供一种WIMAX中实现认证的方法、认证服务器和终端是这样实现的:
一种实现认证的方法,包括:
接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;
进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识;
将所述的临时网络接入标识发送给终端。
一种实现认证的认证服务器,包括认证请求接收单元,认证单元,临时网络接入标识分配单元其中,
认证请求接收单元,用于接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;
认证单元,用于进行认证;
临时网络接入标识分配单元,用于为终端分配临时网络接入标识,作为终端再次接入的网络接入标识。
一种实现认证的终端,所述终端包括,请求认证单元,认证单元,网络标识接收单元,其中,
请求认证单元,用于发送认证请求,其中所述认证请求包括网络接入标识;
认证单元,用于进行认证;
网络标识接收单元,接收分配的临时网络接入标识,并作为再次接入的网络接入标识。
由以上本发明实施例提供的技术方案,接收终端发送的认证请求,其中所述的认证请求包括网络接入标识,进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识,将所述的临时网络接入标识发送给终端,可见,网络为终端分配的是临时网络接入标识,当终端采用临时网络接入标识接入网络时,即使在传输过程中临时网络接入标识被窃听,也不会对用户安全造成很大威胁,从而保证了认证过程中的用户安全。
附图说明
图1为现有技术中WIMAX网络结构的参考模型图;
图2为现有技术中包接入服务网络和连接服务网络参考模型的WIMAX网络结构图;
图3为现有技术中WIMAX网络协议结构图;
图4为现有技术中WIMAX网络中实现认证的方法流程图;
图5为本发明实施例WIMAX中实现认证的方法流程图;
图6为本发明实施例WIMAX中实现认证的信令流程图;
图7为现有技术中WIMAX网络的系统实施例框图;
图8为现有技术中WIMAX网络的认证服务器实施例框图;
图9为现有技术中WIMAX网络的终端框图。
具体实施方式
本发明实施例提供一种WIMAX中实现认证的方法,终端接收接入服务网络网关通过基站发来的请求终端身份的消息;当终端没有临时网络接入标识时,终端将域名作为网络接入标识,或将真实用户名和域名作为网络接入标识,并将所述网络接入标识发送到认证服务器;认证服务器发送认证指示到终端,进行认证;当终端有获取的临时网络接入标识时,终端将所述临时网络接入标识发送到认证服务器,认证服务器发送认证指示到终端,进行认证。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。
图5示出了本发明方法的实施例,如图所示,包括:
步骤501:终端通过基站与接入服务网络网关协商入网相关信息。
该步骤与现有技术类似,具体包括图6中的下述步骤:
步骤501a:终端向基站发送终端基本能力协商请求(SS Basic CapabilityRequest,SBC-REQ)消息,请求与基站协商基本能力,所述基本能力包括物理层参数,认证参数等;
步骤501b:基站接收到SBC-REQ消息,通过终端入网请求消息(MS_PreAttachment_Req)向ASN-GW申请协商认证方式;
步骤501c:ASN-GW返回终端入网响应消息(MS_PreAttachment_Rsp)到基站,该消息中携带支持的认证方式;
步骤501d:基站将ASN-GW发来的MS_PreAttachment_Rsp消息中的认证方式信息通过终端基本能力协商响应消息(SBC-RSP,SS Basic CapabilityResponse,SBC-RSP)消息发送给终端;
步骤501e:基站给ASN-GW发送终端入网确认消息(MS_PreAttachment_Ack)。
步骤502:终端接收接入服务网络网关通过基站发来的请求终端身份的消息。
该步骤与现有技术类似,具体包括:
步骤502a:ASN-GW发送AR-EAP-transfer消息给基站,该消息中包括扩展鉴权协议请求(Extensible Authentication Protocol-Request,EAP-Request)消息,EAP-Request的消息的子消息类型为身份请求,以请求终端身份;
步骤502b:基站向终端发送密钥分发管理协议响应(PKM-RSP)/扩展鉴权协议传输(Extensible Authentication Protocol-Transfer,EAP-Transfer)消息,该消息中包含请求身份Identity的子消息EAP-Request,内容是EAP认证请求消息,请求终端身份。
步骤503:当终端没有临时NAI时,终端将域名作为NAI,或将真实用户名和域名作为NAI,并将所述NAI通过基站和接入服务网络网关发送到认证服务器;认证服务器通过接入服务网络网关和基站发送认证指示到终端,进行EAP-TTLS认证流程;认证流程之后或认证流程之前、终端接收认证指示之后,认证服务器通过接入服务网络网关和基站发送临时NAI到终端。
该步骤中,终端如果没有临时NAI,将域名作为NAI,并将所述NAI通过基站和接入服务网络网关发送到认证服务器,是因为该过程不需要真实用户名,而只需要用户所述域的信息。因此,仅发送域名而不发送真实用户名,有利于保证认证过程中的用户安全,而且,后续步骤中还会分配临时NAI,以使终端在之后的接入网络所需的认证过程中采用分配的临时NAI。但是,这里也可以将真实用户名和域名作为NAI,并将所述NAI通过基站和接入服务网络网关发送到认证服务器,是因为在后续步骤中还会分配临时NAI,以使终端在之后的接入网络所需的认证过程中采用分配的临时NAI,从而保证后续认证过程中用户安全。
该步骤具体包括图6中的下述步骤:
步骤503a:终端向基站发送密钥管理协议的请求消息(PKM-REQ)/EAP-Transfer消息,消息中包含子消息EAP-Response,并在EAP-Response子消息中携带有终端的网络接入标识(NetworkAccess Identity,NAI),该NAI中包括域名,或包括真实用户名加域名;
包括用户的真实身份加域名的NAI可以为:username@realm形式,Usename表示用户名,realm表示域名。
包括域名的NAI可以为@realm形式,realm表示域名。
步骤503b:基站向ASN-GW发送AR-EAP-transfer消息,该消息中包括EAP-response消息,其中包含用户NAI;
步骤503c:ASN-GW向AAA Server发送RADIUS Access Request消息,该消息中包括EAP-Response消息及其负载部分,EAP-Response消息中包含所述NAI,用于向认证服务器请求验证用户合法性;
步骤503d:AAA Server发送指示终端开始认证的消息到ASN-GW,该消息可以是认证挑战(Radius Access Challenge)/EAP Request/TTLS start消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
步骤503e:ASN-GW发送指示终端开始认证的消息到基站,该消息可以是AR_EAP_Tansfer/EAP Request/TTLS start消息,所述AR_EAP_Tansfer为认证信息传递消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
“/”表示消息嵌套关系,如上面的AR_EAP_Transfer/EAP Request表示AR_EAP_Tansfer消息中的EAP Request消息,以下相同。
步骤503f:基站发送指示终端开始认证的消息到终端,该消息可以是PKMv2-RSP/EAP-Transfer/EAP Request/TTLS start协议的响应消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
步骤503g:EAP-TTLS认证流程;
步骤503g与现有技术类似,是认证服务器对终端用户身份进行认证的流程,具体的,终端和认证服务器之间建立隧道,终端通过隧道传递真实用户名到认证服务器,而本领域技术人员知道,隧道技术是安全性很高的技术,因此在隧道中传递的真实用户名是安全的。
步骤503h:认证成功后,认证服务器返回允许终端接入的信息到接入服务网络网关,所述允许终端接入的信息增加有临时NAI,指示终端下次认证采用的临时NAI,而该临时NAI并不包括用户的真实身份;所述允许终端接入的信息可以为Radius Access Accept消息;
步骤503i:接入服务网络网关保存用户临时NAI信息,向基站发送增加了临时NAI的认证成功消息,该消息可以为AR_EAP_Transfer;
步骤503j:基站通知终端认证成功,并通知终端由认证服务器分配的临时NAI。基站可以采用PKMv2-RSP消息通知终端,该消息中增加有临时NAI。终端接收到消息后,还可以保存临时NAI;
当AAA Server接收到终端发来的NAI后,AAA Server经检查发现不存在该NAI,则AAA Server发送失败信息经由ASN-GW和BS到达MS,该消息中包含指示失败的原因,如可以是使用了错误的NAI。具体可以包括:
步骤503k:AAA Server返回失败消息,该消息可以是Radius Access Reject消息,该消息中可以增加失败原因,如可以是认证请求采用了错误的NAI;
步骤5031:ASN-GW向BS返回失败消息,该消息可以是AR_EAP_Transfer消息,该消息中包括失败原因,如可以是使用了错误的NAI;
步骤503m:BS发送指示失败的消息到MS,该消息可以是PKMv2-RSP消息,该消息中包括指示失败原因,如可以是使用了错误的NAI。终端接收到消息后,在后续步骤中可以用真实的NAI重新发起认证。
步骤504:当终端有临时NAI时,终端将所述临时NAI通过基站和接入服务网络网关发送到认证服务器;认证服务器通过接入服务网络网关和基站发送认证指示到终端,进行EAP-TTLS认证流程。
该步骤中,终端如果有临时NAI,将所述临时NAI通过基站和接入服务网络网关发送到认证服务器,因为该临时NAI是由认证服务器分配的,而不包含真实用户名,因此保证了认证过程中的用户安全。且相对于前述现有技术中由终端产生的Outer-identity的方式,本发明的方法实施例中的临时NAI是由认证服务器产生的,不会造成冲突。
认证成功后,认证服务器还可以通过接入服务网络网关和基站发送下一次终端需要采用的临时NAI给终端,终端更新自身保存的临时网络接入标识。
该步骤具体包括:
步骤504a:终端向基站发送密钥管理协议的请求消息(PKM-REQ)/EAP-Transfer消息,消息中包含子消息EAP-Response,并在EAP-Response子消息中携带有终端的临时NAI,是认证服务器分配的临时NAI,该临时NAI不包括终端的真是身份;
步骤504b:基站向ASN-GW发送AR-EAP-transfer消息,该消息中包括EAP-response消息,其中包含用户临时NAI;
步骤504c:ASN-GW向AAA Server发送RADIUS Access Request消息,消息中要包括EAP-Response消息及其负载部分,EAP-Response消息中包含所述临时NAI,用于向认证服务请求验证用户合法性;
步骤504d:AAA Server接收该用户的临时NAI,发送指示终端开始认证的消息到ASN-GW,该消息可以是认证挑战(Radius Access Challenge)/EAPRequest/TTLS start消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
所述Radius消息中包括EAP-TTLS属性,而EAP-TTLS又包括若干属性。这样,该步骤中,还可以不扩展Radius消息属性而采用扩展Radius消息中EAP-TTLS属性的方法,指示使用的临时NAI。
步骤504e:ASN-GW发送指示终端开始认证的消息到基站,该消息可以是AR_EAP_Transfer/EAP Request/TTLS start消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
所述AR_EAP_Transfer消息中包括EAP-TTLS属性,而EAP-TTLS又包括若干属性。这样,该步骤中,还可以不扩展AR_EAP_Transfer消息属性,而采用扩展EAP-TTLS属性,指示使用的临时NAI。
步骤504f:基站发送指示终端开始认证的消息到终端,该消息可以是PKMv2-RSP/EAP-Transfer/EAP Request/TTLS start协议的响应消息,内容包括EAP请求消息,指示开始EAP-TTLS认证;
所述PKMv2-RSP消息中包括EAP-TTLS属性,而EAP-TTLS又包括若干属性。这样,该步骤中,还可以不扩展PKMv2-RSP消息属性,而采用扩展EAP-TTLS属性,指示使用的临时NAI。
步骤504g:EAP-TTLS认证流程;
步骤504g中,认证服务器对终端用户身份进行认证的流程,具体的,终端和认证服务器之间建立隧道,终端通过隧道传递包括真实用户名的NAI到认证服务器或终端通过隧道传递临时NAI,之后,通过所述用户真实NAI或临时NAI进行EAP-TTLS认证。
之后,还可以包括下面步骤:
步骤504h:认证成功后,认证服务器返回允许终端接入的信息到终端,所述允许终端接入的信息增加有临时NAI,指示终端下次认证采用的临时NAI,而该临时NAI并不包括用户的真实身份;所述允许终端接入的信息可以采用接入认证成功消息(Radius Access Accept)中的EAP-TTLS消息传输;
步骤504i:接入服务网络网关保存用户临时NAI信息,向基站发送增加了临时NAI的认证成功消息,该消息可以采用认证信息传递消息(AR_EAP_Transfer)中的EAP-TTLS传输;
步骤504j:基站通知终端认证成功,并通知终端由认证服务器分配的临时NAI。基站可以采用密钥管理响应消息(PKMv2-RSP)中的EAP-TTLS通知终端,该消息中增加有临时NAI。终端接收到消息后,如果终端之前保存有临时NAI,这里,还可以更新自身保存的临时NAI。
上述步骤503和504中,也可以是在所述认证流程之前、终端接收认证指示之后,终端接收认证服务器通过接入服务网络网关和基站发来的指示临时网络接入标识的信息,具体包括:
认证服务器返回增加有临时网络接入标识到接入服务网络网关,指示终端下次认证采用所述临时网络接入标识,所述临时网络接入标识采用认证挑战消息(Radius Access Challenge)中的基于隧道的传输层安全协议消息(EAP-TTLS)进行传输;
接入服务网络网关保存用户临时网络接入标识信息,向基站发送临时网络接入标识,所述临时网络接入标识采用认证信息传递消息(AR_EAP_Transfer)中的基于隧道的传输层安全协议消息(EAP-TTLS)进行传输;
基站发送临时网络接入标识到终端,所述临时网络接入标识采用密钥管理响应消息(PKMv2-RSP)中的基于隧道的传输层安全协议消息(EAP-TTLS)进行传输;终端接收到消息后,更新自身保存的临时网络接入标识。
上述步骤503和504中,也可以是在所述认证流程中或其它过程中,终端接收认证服务器通过接入服务网络网关和基站发来的指示临时网络接入标识的信息。具体的,例如在所述认证流程中,可以通过Radius Access Challenge/EAP Request/TTLS:Server Hello发送临时网络接入标识。
当AAA Server接收到终端发来的NAI后,AAA Server经检查发现不存在该NAI,则返回错误信息,包括:
步骤504k:AAA Server返回失败消息,该消息可以是Radius Access Reject消息,该消息中可以增加失败原因,如可以是认证请求采用了错误的NAI。
步骤5041:ASN-GW向BS返回失败消息,该消息可以是AR_EAP_Transfer消息,该消息中包括失败原因,如可以是使用了错误的NAI。
步骤504m:BS发送指示失败的消息到MS,该消息可以是PKMv2-RSP消息,该消息中包括指示失败原因,如可以是使用了错误的NAI。终端接收到消息后,在后续步骤中可以用真实的NAI重新发起认证。
有上述方法实施例可见,接收终端发送的认证请求,其中所述的认证请求包括网络接入标识,进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识,将所述的临时网络接入标识发送给终端,可见,网络为终端分配的是临时网络接入标识,当终端采用临时网络接入标识接入网络时,即使在传输过程中临时网络接入标识被窃听,也不会对用户安全造成很大威胁,从而保证了认证过程中的用户安全。
以下介绍本发明的系统实施例。
图7示出了本发明系统实施例的框图,如图,一种WIMAX中实现认证的系统,包括接入服务网络网关701,认证服务器702,基站703,其中,
接入服务网络网关701,用于与终端协商入网相关信息,并通过基站703发送请求终端身份的消息给终端;
认证服务器702,用于接收终端通过基站703和接入服务网络网关发来的网络接入标识,所述网络接入标识为终端的域名或终端的真实用户名和域名,并发送认证指示,还用于与终端进行基于隧道的传输层安全协议认证流程;或用于接收终端通过基站和接入服务网络网关发来的临时网络接入标识,并发送认证指示,还用于与终端进行基于隧道的传输层安全协议认证流程。
所述认证服务器接收到的终端发来的临时网络接入标识包括:当认证服务器接收终端发来的网络接入标识为终端的域名或终端的真实用户名和域名时,在认证流程之后、在认证流程过程中或在认证流程之前、终端接收认证指示之后,发送给终端的临时网络接入标识,该临时网络接入标识不包括用户真实身份。
所述系统,当认证服务器702接收到终端发来的网络接入标识后,所述认证服务器还用于检查是否存在所述网络接入标识,并在检查不存在该网络接入标识时,发送失败信息经由接入服务网络网关701和基站703到达终端,该消息中包含指示失败的原因。
所述系统,当终端发来的是临时网络接入标识,且认证服务器与终端进行传输层安全协议认证流程认证流程之后,在认证流程过程中,或在认证流程之前、终端接收认证指示之后,认证服务器还用于产生新的临时网络接入标识并通过接入服务网络网关和基站发送终端,指示终端下一次接入网络时使用所述新产生的临时网络接入标识。
利用上述系统实施例实现认证的方法与前述方法类似,在此不再赘述。
以下介绍本发明的认证服务器实施例。
图8示出了本发明认证服务器实施例的框图,如图,一种实现认证的认证服务器,包括认证请求接收单元801,认证单元802,临时网络接入标识分配单元803,其中,
认证请求接收单元801,用于接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;
认证单元802,用于进行认证;
临时网络接入标识分配单元803,用于为终端分配临时网络接入标识,作为终端再次接入的网络接入标识。所述临时网络接入标识不包括用户真实身份。
所述认证请求包括的网络接入标识包括:域名,或,真实用户名和域名。
当终端接收到所述的临时网络接入标识后,终端再次接入时所发送的认证请求包括:所述的临时网络接入标识。
所述认证服务器还可以包括网络接入标识检查单元804,用于接收到终端发来的网络接入标识后,检查是否存在所述网络接入标识,并在检查不存在该网络接入标识时,发送失败信息经由接入服务网络网关和基站到达终端,该消息中包含指示失败的原因。
所述为终端分配的临时网络接入标识包括:在认证流程之后、在认证流程过程中、或在认证流程之前、终端接收认证指示之后为终端分配的临时网络接入标识。
利用上述认证服务器实施例实现认证的方法与前述方法类似,在此不再赘述。
以下介绍本发明的终端实施例。
图9示出了本发明终端实施例的框图,如图,一种WIMAX中实现认证的终端,其特征在于,所述终端包括请求认证单元901,认证单元902,网络标识接收单元903,其中,
请求认证单元901,用于发送认证请求,其中所述认证请求包括网络接入标识;
认证单元902,用于进行认证;
网络标识接收单元903,接收分配的临时网络接入标识,并作为再次接入的网络接入标识。所述临时网络接入标识不包括用户真实身份。
利用上述终端实施例实现认证的方法与前述方法类似,在此不再赘述。
由以上实施例可见,接收终端发送的认证请求,其中所述的认证请求包括网络接入标识,进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识,将所述的临时网络接入标识发送给终端,可见,网络为终端分配的是临时网络接入标识,当终端采用临时网络接入标识接入网络时,即使在传输过程中临时网络接入标识被窃听,也不会对用户安全造成很大威胁,从而保证了认证过程中的用户安全。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (13)
1.一种实现认证的方法,其特征在于,包括:
接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;
进行认证,并为终端分配临时网络接入标识,作为终端再次接入的网络接入标识;
将所述的临时网络接入标识发送给终端。
2.如权利要求1所述的方法,其特征在于,所述认证请求包括的网络接入标识为:域名,或,真实用户名和域名。
3.如权利要求1所述的方法,其特征在于,终端接收所述的临时网络接入标识之后,当终端再次接入时发送的认证请求所包括的网络接入标识为所述的临时网络接入标识。
4.如权利要求1所述的方法,其特征在于,所述将所述的临时网络接入标识发送给终端的过程包括:
在认证流程之后、在认证流程过程中、或在认证流程之前、终端接收认证指示之后,通过接入服务网络网关和基站将所述的指示临时网络接入标识发送给终端。
5.如权利要求4所述的方法,其特征在于,所述认证之后,通过接入服务网络网关和基站将所述的指示临时网络接入标识发送给终端包括:
所述认证流程后,认证服务器向接入服务网络网关返回允许终端接入的接入认证成功消息,所述接入认证成功消息携带有所述的临时网络接入标识;
接入服务网络网关将接收到所述的临时网络接入标识携带于扩展认证信息传递消息中发送给基站;
基站通知终端认证成功,并采用密钥管理响应消息通知终端所述的临时网络接入标识。
6.如权利要求4所述的方法,其特征在于,所述认证流程之前、终端接收认证指示之后,通过接入服务网络网关和基站将所述的指示临时网络接入标识发送给终端包括:
认证服务器将所述的临时网络接入标识携带于认证挑战消息中基于隧道的传输层安全协议消息中发送给接入服务网络网关;
接入服务网络网关将接收到的所述临时网络接入标识携带于认证信息传递消息中的基于隧道的传输层安全协议消息中发送给基站;
基站将接收到的临时网络接入标识携带于密钥管理响应消息中的基于隧道的传输层安全协议消息发送给终端。
7.如权利要求1所述的方法,其特征在于,当认证服务器接收到终端发来的网络接入标识后,该方法还包括:
如果认证服务器经检查发现不存在该网络接入标识,则认证服务器发送失败信息经由接入服务网络网关和基站到达终端,该消息中包含指示失败的原因。
8.一种实现认证的认证服务器,其特征在于,包括认证请求接收单元,认证单元,临时网络接入标识分配单元其中,
认证请求接收单元,用于接收终端发送的认证请求,其中所述的认证请求包括网络接入标识;
认证单元,用于进行认证;
临时网络接入标识分配单元,用于为终端分配临时网络接入标识,作为终端再次接入的网络接入标识。
9.如权利要求8所述的认证服务器,所述认证请求包括的网络接入标识包括:域名,或,真实用户名和域名。
10.如权利要求8所述的认证服务器,其特征在于,所述认证请求包括所述的临时网络接入标识。
11.如权利要求8所述的认证服务器,其特征在于,还包括网络接入标识检查单元,用于接收到终端发来的网络接入标识后,检查是否存在所述网络接入标识,并在检查不存在该网络接入标识时,发送失败信息经由接入服务网络网关和基站到达终端,该消息中包含指示失败的原因。
12.如权利要求8所述的认证服务器,其特征在于,所述为终端分配的临时网络接入标识包括:
在认证流程之后、在认证流程过程中、或在认证流程之前、终端接收认证指示之后为终端分配的临时网络接入标识。
13.一种实现认证的终端,其特征在于,所述终端包括,请求认证单元,认证单元,网络标识接收单元,其中,
请求认证单元,用于发送认证请求,其中所述认证请求包括网络接入标识;
认证单元,用于进行认证;
网络标识接收单元,接收分配的临时网络接入标识,并作为再次接入的网络接入标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101673259A CN101150472A (zh) | 2007-10-22 | 2007-10-22 | Wimax中实现认证的方法、认证服务器和终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101673259A CN101150472A (zh) | 2007-10-22 | 2007-10-22 | Wimax中实现认证的方法、认证服务器和终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101150472A true CN101150472A (zh) | 2008-03-26 |
Family
ID=39250823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101673259A Pending CN101150472A (zh) | 2007-10-22 | 2007-10-22 | Wimax中实现认证的方法、认证服务器和终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101150472A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101540998A (zh) * | 2009-04-23 | 2009-09-23 | 中兴通讯股份有限公司 | 无线通信系统中移动台标识分发方法及系统 |
WO2011063658A1 (zh) * | 2009-11-26 | 2011-06-03 | 中兴通讯股份有限公司 | 统一安全认证的方法和系统 |
CN102215486A (zh) * | 2010-04-02 | 2011-10-12 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN102833782A (zh) * | 2012-08-23 | 2012-12-19 | 中兴通讯股份有限公司 | 一种错误码信息获取方法、装置及系统 |
WO2017190414A1 (zh) * | 2016-05-06 | 2017-11-09 | 重庆邮电大学 | 一种wia-pa工业无线网络中移动设备入网认证机制 |
CN108834143A (zh) * | 2018-05-28 | 2018-11-16 | 中国联合网络通信集团有限公司 | 网络扩展的方法、终端和系统 |
CN110708311A (zh) * | 2019-09-30 | 2020-01-17 | 上海移为通信技术股份有限公司 | 下载权限授权方法、装置和服务器 |
WO2021036292A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 身份鉴别方法及装置 |
-
2007
- 2007-10-22 CN CNA2007101673259A patent/CN101150472A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101540998A (zh) * | 2009-04-23 | 2009-09-23 | 中兴通讯股份有限公司 | 无线通信系统中移动台标识分发方法及系统 |
WO2011063658A1 (zh) * | 2009-11-26 | 2011-06-03 | 中兴通讯股份有限公司 | 统一安全认证的方法和系统 |
CN102215486A (zh) * | 2010-04-02 | 2011-10-12 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN102215486B (zh) * | 2010-04-02 | 2014-05-07 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN102833782A (zh) * | 2012-08-23 | 2012-12-19 | 中兴通讯股份有限公司 | 一种错误码信息获取方法、装置及系统 |
WO2013178171A1 (zh) * | 2012-08-23 | 2013-12-05 | 中兴通讯股份有限公司 | 一种错误码信息获取方法、装置及系统 |
US9462535B2 (en) | 2012-08-23 | 2016-10-04 | Zte Corporation | Method, apparatus and system for obtaining error code information |
WO2017190414A1 (zh) * | 2016-05-06 | 2017-11-09 | 重庆邮电大学 | 一种wia-pa工业无线网络中移动设备入网认证机制 |
CN108834143A (zh) * | 2018-05-28 | 2018-11-16 | 中国联合网络通信集团有限公司 | 网络扩展的方法、终端和系统 |
CN108834143B (zh) * | 2018-05-28 | 2021-06-29 | 中国联合网络通信集团有限公司 | 网络扩展的方法、终端和系统 |
WO2021036292A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 身份鉴别方法及装置 |
CN110708311A (zh) * | 2019-09-30 | 2020-01-17 | 上海移为通信技术股份有限公司 | 下载权限授权方法、装置和服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2407181C1 (ru) | Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети | |
US8885831B2 (en) | Managing user access in a communications network | |
US8199720B2 (en) | Method for handover between heterogenous radio access networks | |
US8731194B2 (en) | Method of establishing security association in inter-rat handover | |
KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
CN102111766B (zh) | 网络接入方法、装置及系统 | |
CN104852896B (zh) | 一种Wi‑Fi无线节点入网方法及系统 | |
US7630712B2 (en) | Method for reconnecting a mobile terminal in a wireless network | |
US20120005727A1 (en) | Method for user terminal authentication and authentication server and user terminal thereof | |
EP1672945A1 (en) | UMTS-WLAN interworking system and authentication method therefor | |
US20040240412A1 (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
US8417219B2 (en) | Pre-authentication method for inter-rat handover | |
US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
EP2229018B1 (en) | Method and system for authenticating in a communication system | |
CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
CN100558187C (zh) | 一种无线接入方法及接入控制器 | |
KR101718096B1 (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
KR100998704B1 (ko) | 다수 개의 이동성 영역을 갖는 무선 랜에서의 고속 핸드오버 방법 및 시스템 | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
US9307402B2 (en) | Method of protecting an identity of a mobile station in a communications network | |
CN103974223B (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080326 |