CN101432717B - 用于实现快速再认证的系统和方法 - Google Patents
用于实现快速再认证的系统和方法 Download PDFInfo
- Publication number
- CN101432717B CN101432717B CN2007800152286A CN200780015228A CN101432717B CN 101432717 B CN101432717 B CN 101432717B CN 2007800152286 A CN2007800152286 A CN 2007800152286A CN 200780015228 A CN200780015228 A CN 200780015228A CN 101432717 B CN101432717 B CN 101432717B
- Authority
- CN
- China
- Prior art keywords
- reauthentication
- client
- information
- network
- fast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Abstract
一种用于对网络的客户端进行高效再认证的系统。在具体实施例中,该系统包括认证服务器和与该服务器通信的安全网关(SGW)。SGW包括与客户端相关联的再认证信息。在更具体的实施例中,认证服务器包括认证、授权和计费(AAA)服务器。SGW还包括一个或多个例程,用于采用再认证信息来对客户端进行再认证。AAA服务器对客户端执行初始认证以使得客户端可以接入网络,这产生了再认证信息。再认证信息包括由AAA服务器预先确定的一个或多个密钥和/或计数器,例如,授权密钥、加密密钥和主密钥。
Description
技术领域
本发明一般地涉及网络,尤其是涉及用于增强对网络客户端进行认证和再认证的网络认证功能性的系统和方法。
背景技术
对网络客户端进行认证和再认证的系统和方法被用于各种需求应用,包括蜂窝网络、WiFi网络(例如,IEEE 802.11网络)、非许可移动接入(UMA)或者通用接入网络(GAN)、其组合等。这些网络通常服务于称为移动台的诸如无线电话或便携式计算机之类的客户端。移动台首先经过认证以确保它们是非假冒的(genuine),并在随后被授权以验证客户端被允许采用或能够采用什么网络服务(如果有的话)。通常在无线电话或其它客户端暂时松开到网络的连接时,或者在先前证书的有效时间段已经期满时,执行再认证。
蜂窝、WiFi和UMA或GAN网络通常采用与一个或多个归属位置寄存器(HLR)通信的一个或多个认证、授权、和计费(AAA)服务器来辅助客户端认证和再认证。HLR通常维护与客户端(也称为订户)相关的信息,包括国际移动订户身份(IMSI)号码、当前位置、所预订的服务、等。AAA服务器可以辅助从IP网络的客户端获取标识信息,并将所获取的标识信息与HLR中的相应记录进行比较以确定是否授权该客户端使用特定网络服务。
认证处理通常是相对耗时且资源密集的,从而消耗AAA服务器和HLR处的网络资源。因此,在某些情形中,例如当失去客户端网络连接时,采用更有效的再认证技术来对客户端进行再认证。
AAA服务器通常在RADIUS可扩展认证协议(EAP)-订户身份模块(EAP-SIM)消息内经由关联GAN或UMA来将经过加密的再认证信息传达到移动台。如果移动台失去与GAN或UMA的连接,则如果在预定时间间隔内进行再认证,移动台可以采用再认证信息来相对较快地进行再认证。不幸的是,现有的用于实现再认证的系统和方法保持着不合希望地耗时和网络资源密集性。
发明内容
鉴于以上问题而提出了本发明。
根据本发明第一方面,提供了一种用于对客户端进行再认证以接入到网络的系统,该系统包括:认证服务器,适于对所述客户端执行初始认证以实现对所述网络的接入,并适用于提供与所述客户端相关联的再认证信息;以及与所述客户端和所述认证服务器通信的安全网关,其中,所述安全网关适于采用先前从所述认证服务器接收的所述再认证信息来对所述客户端进行快速再认证,而无需针对该快速再认证与所述认证服务器进行通信。
根据本发明第二方面,提供了一种用于实现网络中的对客户端快速再认证的装置,所述装置包括:用于在安全网关中从认证服务器接收再认证信息的装置,所述认证服务器对所述客户端执行了初始认证;用于将所述再认证信息存储在所述安全网关中的装置,所述安全网关适于管理所述客户端与所述网络之间的连接;以及用于采用所述再认证信息来快速再认证所述客户端而无需针对该快速再认证与所述认证服务器进行通信的装置。
根据本发明第三方面,提供了一种用于实现网络中的对客户端快速再认证的方法,所述方法包括:在安全网关中从认证服务器接收再认证信息,所述认证服务器对所述客户端执行了初始认证;将所述再认证信息存储在所述安全网关中,所述安全网关适用于管理所述客户端和所述网络之间的连接;以及采用所述再认证信息来快速再认证所述客户端,而无需针对该快速再认证与所述认证服务器进行通信。
附图说明
图1是图示出根据本发明一个实施例、采用适用于实现非常快速再认证的安全网关(SGW)和认证、授权和计费(AAA)服务器的UMA网络的示图。
图2是适用于结合图1的网络使用的第一方法的流程图。
图3是适用于结合图1的网络使用的第二方法的流程图。
具体实施方式
本发明的优选实施例实现了用于辅助网络客户端的快速再认证的系统和方法。该系统包括在安全网关内的缓存存储器,该缓存存储器存储从认证服务器获得的再认证信息。SGW实现了用于采用再认证信息来执行客户端的快速再认证而无需SGW和认证服务器之间的额外信令的一个或多个例程。在一个更具体的实施例中,网络包括非许可移动接入(UMA)网络、通用接入网络(GAN)和/或公众无线局域网(PWLAN)。认证服务器包括认证、授权和计费(AAA)服务器。AAA服务器可以将包括许可权在内的认证信息传达到SGW,以允许在由SGW执行非常快速再认证之前,由SGW执行自治的非常快速再认证。
为了当前论述的目的,SGW可以是下述任何网络实体,该网络实体可以辅助维护安全性或者以其它方式维护网络实体之间的加密连接,例如硬件或软件模块或程序。
认证或再认证信息可以是下述任何信息,该信息可以用于判断客户端或其它网络实体是否被授权访问网络或以其它方式利用其某些服务。
为了当前论述的目的,诸如AAA服务器之类的认证服务器可以是下述任何服务器,该服务器适于实现认证功能以对诸如客户端之类的网络实体进行认证或授权以使用网络所提供的某些服务。认证功能可以包括跟踪客户端的网络服务使用率、维护针对客户端所使用的服务的帐单信息等。服务器可以是可以用硬件和/或软件实现的任何计算机程序,该计算机程序能够响应于来自另一个程序或模块的查询或者经由向另一个程序或模块的主动推给(push),向诸如该另一个程序或模块之类的另一个网络实体提供数据和/或功能。AAA服务器可以是下述任何认证服务器,该认证服务器可以对客户端进行认证,并且还授权客户端使用给定网络服务或功能性,以及对客户端所使用的服务进行计费,或者以其它方式量化客户端所使用的服务。
为了清楚起见,从附图中省略了各种已知组件,例如,电源、调制解调器、防火墙、网卡、因特网服务提供商(ISP)、因特网协议安全性(IPSEC)集中器、媒体网络(MGW)、移动交换中心(MSC)、负载均衡器等。但是,本领域技术人员在获得本发明的教导的情况下,将知道实现哪些组件以及如何实现它们以满足给定应用的需要。
图1是图示出根据本发明一个实施例、采用适于实现快速再认证的SGW 22和AAA服务器30的UMA网络10的示图。网络10包括与接入点14进行无线通信的移动台12,接入点14与覆盖区域16相关联,而移动台12位于覆盖区域16中。
移动台12可以是下述任何设备,该设备可以与网络进行无线通信。移动台的示例包括无线电话、具有IEEE 802.11无线卡的膝上型电脑、蓝牙使能的设备、其它无线客户端等等。AP 14可以是辅助将移动台12连接到网络10的IEEE 802.11a、802.11b、802.11g、802.16、红外、蓝牙、或者其它类型的AP。为了当前论述的目的,移动台12是网络10的客户端。客户端可以是从网络或服务器获得服务、数据或其它信息的任何设备。
AP 14经由宽带因特网协议(IP)网络18而耦合到SGW 22,IP安全性(IPSEC)隧道是通过该宽带IP网络18来建立的。IPSEC隧道发起于移动台12并延伸至SGW 22,SGW 22被并入在UMA网络控制器(UNC)20内。UNC 20可以叫做另一个名称,例如通用接入网络控制器(GANC)。本领域技术人员将会了解,在不同的实现方式中,诸如控制器之类的网络组件可以叫做不同名称。
SGW 22包括非常快速再认证模块24,非常快速再认证模块24包括经由AAA服务器30获得的再认证信息26。再认证信息26辅助使得非常快速再认证模块24可以进行快速再认证,以下将更完整地论述。AAA服务器30可以将认证信息维护在与AAA服务器30相耦合的归属位置寄存器32中。
虽然非常快速再认证模块24被示出为实现在SGW 22内,但是非常快速再认证模块24可以是与SGW 22耦合的分立模块,而不会脱离本发明的范围。此外,SGW 22不必集成在UNC 20内,而可以被实现为与UNC 20耦合的分立模块。
服务GPRS(通用分组无线电服务)支持节点(SGSN)28与UNC20、AAA服务器30和网关GPRS支持节点(GGSN)34耦合。GGSN 34耦合到其它网络36,例如因特网、移动通信全球系统(GSM)网络、码分多址(CDMA)网络等。
在操作时,移动台12启动与SGW 22的通信,这在随后使得建立了移动台12与UNC 20的SGW 22之间的IPSEC隧道。在UNC 20允许移动台12访问经由UMA网络10提供的各种服务之前,移动台12首先被AAA服务器30认证。
在本具体实施例中,AAA服务器30采用了针对GSM SIM的可扩展认证协议—订户身份模块(EAP-SIM)认证方法。AAA服务器30采用公知的A3/A8认证算法或其变体来辅助对移动台12的初始认证。
为了当前论述的目的,对客户端进行认证可能意味着标识该客户端,并验证该客户端具有与有效订户身份模块(SIM)卡的连接,以及验证或以其它方式判断该客户端是否可以访问某些网络服务。在一些应用中,可以在不判断客户端是否具有与有效SIM卡的连接的情况下对客户端进行认证。网络服务可以是诸如客户端之类的网络实体可用的任何功能性。网络服务的示例包括短消息服务(SMS)或者因特网协议语音(VOIP)功能性。
初始认证可能需要SGW 22、HRL 32和AAA服务器30之间的各种信令。在执行对移动台12的初始认证之后,AAA服务器30将已经获得各种认证信息。所获得的认证信息可以被提供给SGW 22作为对经过认证的移动台12执行非常快速再认证的许可指示。认证信息可以缓存在SGW 22中作为再认证信息26。与移动台12相关的再认证信息26可以包含各种信息,例如国际移动订户身份(IMSI)或伪IMSI、移动台12的能力、标识移动台12所预订的或者以其它方式被授权访问的服务的信息、等等。
传统上,当移动台12暂时离开网络覆盖区域16时,或者当移动台12暂时松开与SGW 22的IPSEC连接时,或者当移动台12以其它方式暂时失去与UNC 20的传送控制协议(TCP)连接时,AAA服务器30辅助再认证。现有的再认证方法(例如,公共WiFi网络通常所采用的那些)通常不涉及A3/A8算法的再利用。但是,这样的再认证方法通常仍然需要AAA服务器30与SGW 22之间的过多通信。过多的再认证可能会压倒HLR、AAA服务器和/或HLR、AAA服务器和附随SGW之间的通信路径。
图1的网络10有效地适合用于基本上消除或减少再认证(在此称为非常快速再认证)期间、在AAA服务器30、SGW 22和HLR 32之间的通信。
为了辅助客户端的非常快速再认证,在SGW 22上运行的非常快速再认证模块24适于采用再认证信息26。在本具体实施例中,非常快速再认证在再认证期间不需要SGW 22和AAA服务器30之间的通信。但是,某些实现方式可以采用SGW 22和AAA服务器30之间的最少通信,而不脱离本发明的范围。
在本具体实施例中,在AAA服务器30初始确定再认证信息(这可能发生在对移动台12的最初认证期间)之后,AAA服务器30运行用于将再认证信息26转发到SGW 22的一个或多个例程。从AAA服务器30传递到SGW 22的再认证信息可以嵌入在初始认证响应消息中。非常快速再认证模块24可以表示下述经卸载(offload)再认证功能性,该经卸载再认证功能性已经被从AAA服务器30卸载到SGW 22以加速再认证,从而潜在地减轻由AAA服务器30所处理的再认证请求导致的潜在网络拥塞。
当功能性被复制、移动、或者以其它方式被实现在第二设备中或靠近第二设备时,该功能性被说成从第一设备卸载到第二设备。本领域技术人员在获得本发明的教导的情况下,可以很容易地从AAA服务器30向SGW 22卸载、复制、或者以其它方式传送快速再认证功能性以实现本发明的一个实施例,而无需过量实验。
为了当前论述的目的,所卸载的再认证信息26可以包括pseudo-imsi@domain,并可选地包括用户密码信息。在某些实现方式中,再认证信息26可以包括各种可再利用的密钥,每次移动台12经过认证或再认证时可以再利用这些密钥。这些密钥可以包括授权密钥(K_auth)、加密密钥(K_encr)和主密钥(master key),这些密钥已由AAA服务器30预先获得。认证信息还可以包括计数器(AT_COUNTER),该计数器可以提供附加密钥信息、网络10针对移动台12所允许的连续快速再认证尝试或成功结果的上限、保护信息、等等。注意,在本实施例中,非常快速再认证不需要再运行A3/A8算法。在某些实现方式中,再认证信息26仅包括pseudo-imsi@domain信息。
AAA服务器30选择性地提供用于移动台12的新的快速再认证身份信息以及再认证信息26。再认证身份信息可以是为了实现再认证的目的而被指派给诸如移动台之类的客户端的任何号码或其它标识符或者其组合。
在本具体实施例中,在AAA服务器30和移动台12之间通信的所有信息都经AAA服务器30、SGW 22和/或移动台12加密。这防止了诸如构成宽带IP网络18的设备之类的中间设备窥探或者以其它方式截取信息。
因此,网络10采用了可以经由SGW 22和AAA服务器30来实现的一种系统,该系统用于选择性地从AAA服务器30向SGW 22卸载快速再认证功能性,从而产生非常快速认真功能性。
虽然针对示例性UMA网络论述了本实施例,但是本发明的实施例可适合结合其它类型的网络来使用,而不会脱离本发明的范围。例如,本发明的实施例可容易适用公共无线局域网(PWLAN)。在PWLAN中,非常快速再认证模块24可以用PWLAN的思科接入区域路由器(AZR)或者网络接入服务器(NAS)来实现。
本领域技术人员可以很容易获得或者以其它方式构建图1的各种模块而无需过量实验。例如,SGW 22可以经由经过修改的思科SGW来实现。相关AAA类别属性和其它认证/再认证信息可以存储在思科SGW的思科接入寄存器中。
因此,从AAA服务器30和/或HLR 32向SGW 22传递诸如再认证信息之类的移动台授权证书可以使得SGW 22能够响应于从移动台12(或者其它地方)接收的再认证请求而实现非常快速再认证,而无需在再认证期间涉及AAA服务器30。因此,这种改进型非常快速再认证可以降低延迟,并在再认证需要切换(handover)时改善在网络覆盖区域之间的切换。
图2是适合结合图1的网络10使用的第一方法100的流程图。方法100包括初始认证检验步骤102,在该步骤中,方法100判断移动台是否已例如由AAA服务器通过A3/A8算法来初始认证。
如果移动台已经经过认证,则执行信息发送步骤106。否则,执行认证步骤104,在该步骤中,对移动台进行初始认证。
信息发送步骤106涉及从AAA服务器和/或HLR向正在处理与移动台的通信的SGW发送认证信息。为了当前论述的目的,术语认证信息和再认证信息可以可互换地被使用。但是,再认证可以被视为认证信息的子集或者超集,而不会脱离本发明的范围。例如,再认证信息可以包括在用于初始认证的信息之外的附加信息。该附加信息(例如,快速再认证身份)可以被专用于再认证。
再认证信息可以包括具有令牌/再认证标识的远程用户拨号认证服务(RADIUS)类别属性、包括适当的计数器的所有的必需密钥信息、快速再认证标识信息、等等。关于在再认证信息中包括什么的确切细节是面向应用的(application specific),并且在不脱离本发明的范围的情况下可以是可变的。
随后,缓存步骤108涉及将再认证信息缓存在SGW中。包括令牌/再认证标识信息的再认证信息与下述通信会话相关联,该通信会话与在需要时将再认证的移动台相关联。
在例如响应于从移动台接收的再认证请求而需要快速再认证之后,SGW采用所缓存的再认证信息来实现非常快速再认证,而无需AAA服务器和/或HLR的进一步辅助以实现非常快速再认证。
接下来,中断检验步骤112判断是否发生了系统中断。当关联网络被禁用或者实现方法100的软件和/或硬件被禁用或者以其它方式暂停时,会发生系统中断。如果已经发生了系统中断,方法100完成,否则,继续针对与所缓存的认证信息相关联的移动台来执行步骤110。
方法100的各个步骤102-112可以被变更、互换和/或省略,而不会脱离本发明的范围。例如,可以利用以下将更完整地论述的更加一般化的方法来替代方法100,或者与该更一般化的方法组合使用方法100。
图3是适合结合图1的网络10使用的第二方法120的流程图。第二方法120可以被视为图2的第一方法100的更一般化版本。方法120包括初始卸载步骤122,该步骤包括从AAA服务器向UMA、GAN、或者PLWAN中的SGW卸载预先存在的快速再认证功能性。
随后,SGW被选择性地用于实现非常快速再认证,而无需在该非常快速再认证期间从AAA服务器获取认证信息。
在执行快速再认证时可以将一些认证信息和功能留给AAA服务器,而不会脱离本发明的范围。但是,在由SGW执行再认证功能之前将至少一些快速再认证功能性和/或预先确定的再认证信息卸载到SGW可以辅助减轻AAA服务器和SGW之间的由来自多个客户端的再认证请求导致的网络拥塞。
因为附随SGW经由IPSEC消息从客户端接收再认证请求,所以在SGW处实现至少一些再认证功能性可以减少在客户端请求快速再认证时的消息流。因此,本发明的某些实施例可以使能在EAP-SIM客户端的快速再认证期间的消息流的减少和优化。可以在PWLAN的AZR中、在UMA和GAN的SGW中以及相关网络中实现这种快速再认证。
虽然主要针对采用无线非许可谱的网络论述了本发明的实施例,但是本发明的实施例可以适用通常展现一类通信链路的任何网络模块,但是通过选择性地采用根据这里所公开的实施例的经卸载再认证功能性和/或信息将会受益。此外,可以采用任何可接受的体系结构、拓扑、协议、或者其它网络和数字处理特征。一般而言,诸如接入点、端点等的网络模块可以经由具有处理能力或者其它必需功能性的任何设备来实现。
虽然本发明的处理和执行这些处理的硬件的特征可以用对因特网和UMA或GAN网络的论述为共同的语言(例如,“客户端”、“UNC”、“GANC”等)来表征,但是应当了解,本发明的操作可以在任何类型的链路或网络上与另一个设备具有任何通信关系的任何类型的合适硬件上执行。
虽然本发明的处理可以被作为单个实体(例如,在单个机器上执行的软件)来呈现,但是该软件可以在多个机器上被容易地执行。即,可以存在给定软件程序的多个实例,单个程序可以在处于分布式处理环境中的两个或更多个处理器上执行,单个程序的各个部分可以在不同的物理机器上执行,等等。此外,两个不同的程序(例如,客户端和服务器程序)可以在单个机器中或者在不同的机器中执行。单个程序可以作为针对一个信息事务的客户端并作为针对不同的信息事务的服务器来操作。
任何类型的处理设备均可以用作客户端。例如,可以采用诸如个人数字助理(PDA)、蜂窝电话、膝上型计算机、或其它设备之类的便携式计算设备。一般而言,具体处理的设备和方式(包括位置和定时)对于实施本发明的重要特征而言并不关键。
虽然已经针对本发明的具体实施例论述了本发明,但是这些实施例仅仅是对本发明的例示,而不是限制。本发明的实施例可以在包括用户、设备、功能系统、或者硬件和软件的组合在内的任何两个处理或实体之间操作。对等网络以及客户端和服务器的角色被转换、动态改变、或者甚至不存在的任何其它网络或系统落在本发明的范围内。
可以使用任何合适的编程语言来实现各个网络实体所采用的例程或其它指令。示例性编程语言包括C、C++、Java、汇编语言、等等。可以采用不同的编程语言,例如面向过程的或者面向对象的。这些例程可以在单个处理设备或者多个处理器上执行。这些例程可以在操作系统环境中操作,或者作为占据系统处理的全部或者实质部分的独立例程来操作。
在这里的描述中,提供了许多具体细节,例如组件和/或方法的示例,以提供对本发明实施例的彻底理解。但是,相关领域技术人员就会了解,本发明的实施例可以在没有这些具体细节中的一个或多个的情况下或者在具有其它装置、系统、部件、方法、组件、材料、部分、和/或类似物的情况下被实施。在其它实例中,公知的结构、材料、或者操作并没有被具体地示出或者详细描述,以避免模糊本发明的实施例的各个方面。
用于本发明实施例的目的的“机器可读介质”或“计算机可读介质”可以是下述任何介质,该介质可以包含、存储、传达、传播、或者传送供或者连同指令执行系统、装置、系统或设备使用的程序。仅作为示例而不是限制,计算机可读介质可以是电子、磁、光、电磁、红外、或者半导体系统、装置、系统、设备、传播介质、或者计算机存储器。
“处理器”或者“处理”包括处理数据、信号或其它信息的任何人工、硬件和/或软件系统、机构或组件。处理器可以包括具有通用中央处理单元的系统、多个处理单元、用于实现功能性的专用电路、或者其它系统。处理不必局限于地理位置、或者具有时间限制。例如,处理器可以“实时地”、“离线地”、以“批处理模式”等地执行其功能。处理的各部分可以由不同(或者相同)处理系统在不同时间并在不同位置执行。计算机可以是与存储器通信的任何处理器。
在本说明书通篇中对“一个实施例”、“实施例”、或者“具体实施例”的提及指的是连同该实施例描述的特定特征、结构、或者特性被包括在本发明的至少一个实施例中且不必包括在所有实施例中。因此,在本说明书通篇的各个位置处相应出现的短语“在一个实施例中”、“在实施例中”、或者“在具体实施例中”并不必然指的是相同实施例。此外,本发明的任何具体实施例的特定特征、结构或特性可以被以任何合适的方式与一个或多个其它实施例组合。应当了解,按照这里的教导,这里所描述并例示的本发明的各个实施例的其它变体和修改例是可能的,且将被示为本发明的精神和范围的一部分。
可以全部或部分地通过下述方式来实现本发明的实施例:通过使用编程通用数字计算机;通过使用专用集成电路、可编程逻辑器件、现场可编程门阵列、光的、化学的、生物的、量子的或者纳米工程系统或机构;等等。一般而言,可以通过本领域已知的任何方式来实现本发明的功能。可以使用分布式或者联网系统、组件和/或电路。数据的通信或者传送可以是有线的、无线的、或者通过任何其它方式的。
还将了解,在制图/图形中示出的一个或多个元件也可以以多个分立或集成的方式来实现,或者甚至因为在某些情况下不起作用、根据特定应用很有用而被移除或恢复。实现可以存储在机器可读介质中的程序或代码以允许计算机执行上述任何方法也落在本发明的精神和范围内。
另外,在制图/图形中的任何信号箭头应当仅仅被视为是示例性的、而非限制性的,除非另有特别指出。此外,这里所使用的术语“或”通常应当指的是“和/或”,除非另有指出。各组件或步骤的组合也将被视为已被表明,其中,术语被预见为使得能力可分离或组合是不清楚的。
在这里的描述和通篇权利要求书中使用的在“一”和“该”之后包括多个提及,除非上下文中另有清楚指示。此外,在这里的描述和通篇权利要求书中使用的在“在…中”的含义之后包括“在…中”和“在…上”,除非上下文另有清楚指示。
本发明的例示实施例的以上描述(包括在摘要中描述的)并不打算是穷尽的,并且并不打算将本发明限制于这里所公开的确切形式。虽然在这里仅仅为了例示目的而描述了本发明的具体实施例和示例,但是,相关领域技术人员将会意识到并了解,各种等同修改例可以在本发明的精神和范围内。如所指示出的,根据本发明的例示实施例的以上描述可以对本发明作出这些修改例,并且这些修改例将包括在本发明的精神和范围内。
因此,虽然这里已经参考本发明的特定实施例描述了本发明,但是许多修改、各种改变和替代应当在以上公开内容中,并且将会了解,在一些实例中,将在没有相应使用本发明的实施例一些特征的情况下采用其它特征,而不脱离所阐明的本发明的范围和精神。因此,可以作出许多修改以使特定情形或材料适用本发明的本质范围和精神。本发明不打算限制于以下权利要求所使用的特定术语和/或作为用于实现本发明的最佳实施例来公开的特定实施例,相反,本发明将包括落在所附权利要求的范围内的任何和所有实施例和等同物。
Claims (16)
1.一种用于对客户端进行再认证以接入到网络的系统,该系统包括:
认证服务器,适于对所述客户端执行初始认证以实现对所述网络的接入,并适用于提供与所述客户端相关联的再认证信息;以及
与所述客户端和所述认证服务器通信的安全网关,其中,所述安全网关适于采用先前从所述认证服务器接收的所述再认证信息来对所述客户端进行快速再认证,而无需针对该快速再认证与所述认证服务器进行通信。
2.如权利要求1所述的系统,其中,所述认证服务器包括认证、授权和计费服务器。
3.如权利要求1所述的系统,其中,所述初始认证是使用A3/A8算法来执行的。
4.如权利要求1所述的系统,其中,所述再认证信息包括:
再认证标识信息。
5.如权利要求2所述的系统,其中,所述再认证信息包括:
由所述认证、授权和计费服务器预先确定的一个或多个密钥和/或计数器。
6.如权利要求5所述的系统,其中,所述一个或多个计数器包括:
授权计数器,该授权计数器辅助确定在预定时间间隔内所述客户端经由所述系统采用快速再认证的连续尝试的次数的上限。
7.如权利要求5所述的系统,其中,所述再认证信息还包括:
再认证标识信息。
8.一种用于实现网络中的对客户端快速再认证的装置,所述装置包括:
用于在安全网关中从认证服务器接收再认证信息的装置,所述认证服务器对所述客户端执行了初始认证;
用于将所述再认证信息存储在所述安全网关中的装置,所述安全网关适于管理所述客户端与所述网络之间的连接;以及
用于采用所述再认证信息来快速再认证所述客户端而无需针对该快速再认证与所述认证服务器进行通信的装置。
9.如权利要求8所述的装置,其中,所述认证服务器包括认证、授权和计费服务器。
10.如权利要求8所述的装置,其中,所述再认证信息包括标识下述服务的信息,所述服务是移动台预订的或者以其它方式被授权访问的服务。
11.如权利要求8所述的装置,其中,所述再认证信息包括国际移动订户身份(IMSI)或者伪IMSI。
12.如权利要求8所述的装置,其中,所述再认证信息包括密码信息。
13.如权利要求8所述的装置,其中,所述再认证信息包括可再利用的密钥。
14.如权利要求8所述的装置,其中,所述再认证信息包括:
用于实现对所述客户端的快速再认证的所有必需密钥和号码。
15.一种用于实现网络中的对客户端快速再认证的方法,所述方法包括:
在安全网关中从认证服务器接收再认证信息,所述认证服务器对所述客户端执行了初始认证;
将所述再认证信息存储在所述安全网关中,所述安全网关适用于管理所述客户端和所述网络之间的连接;以及
采用所述再认证信息来快速再认证所述客户端,而无需针对该快速再认证与所述认证服务器进行通信。
16.如权利要求15所述的方法,其中,所述认证服务器包括认证、授权和计费服务器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/411,482 US8356171B2 (en) | 2006-04-26 | 2006-04-26 | System and method for implementing fast reauthentication |
| US11/411,482 | 2006-04-26 | ||
| PCT/US2007/008632 WO2007127035A2 (en) | 2006-04-26 | 2007-04-04 | System and method for implementing fast reauthentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101432717A CN101432717A (zh) | 2009-05-13 |
| CN101432717B true CN101432717B (zh) | 2011-07-27 |
Family
ID=38649796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800152286A Active CN101432717B (zh) | 2006-04-26 | 2007-04-04 | 用于实现快速再认证的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8356171B2 (zh) |
| EP (1) | EP2011270B1 (zh) |
| CN (1) | CN101432717B (zh) |
| WO (1) | WO2007127035A2 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7237117B2 (en) | 2001-03-16 | 2007-06-26 | Kenneth P. Weiss | Universal secure registry |
| US8234220B2 (en) | 2007-02-21 | 2012-07-31 | Weiss Kenneth P | Universal secure registry |
| US11227676B2 (en) | 2006-02-21 | 2022-01-18 | Universal Secure Registry, Llc | Universal secure registry |
| US8001055B2 (en) | 2006-02-21 | 2011-08-16 | Weiss Kenneth P | Method, system and apparatus for secure access, payment and identification |
| US8356171B2 (en) | 2006-04-26 | 2013-01-15 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
| US9053063B2 (en) * | 2007-02-21 | 2015-06-09 | At&T Intellectual Property I, Lp | Method and apparatus for authenticating a communication device |
| KR100964350B1 (ko) * | 2007-09-14 | 2010-06-17 | 성균관대학교산학협력단 | IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템 |
| CN101616407B (zh) * | 2008-06-25 | 2011-04-27 | 华为技术有限公司 | 预认证的方法和认证系统 |
| US8245039B2 (en) * | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| KR101015254B1 (ko) | 2009-02-10 | 2011-02-18 | 주식회사 케이티 | 의사 가입자식별번호를 사용한 위치 등록 제어 시스템 및 그 방법 |
| US8555069B2 (en) * | 2009-03-06 | 2013-10-08 | Microsoft Corporation | Fast-reconnection of negotiable authentication network clients |
| JP2011023854A (ja) * | 2009-07-14 | 2011-02-03 | Sony Corp | 情報処理装置、情報処理方法およびプログラム |
| US8578465B2 (en) | 2009-07-21 | 2013-11-05 | Cisco Technology, Inc. | Token-based control of permitted sub-sessions for online collaborative computing sessions |
| CN101754422B (zh) * | 2009-12-30 | 2012-08-08 | 上海华为技术有限公司 | 网络发现方法、装置和接入点 |
| DE102010021256A1 (de) * | 2010-05-21 | 2011-11-24 | Siemens Aktiengesellschaft | Verfahren zur dynamischen Autorisierung eines mobilen Kommunikationsgerätes |
| US8516556B2 (en) * | 2010-05-28 | 2013-08-20 | Bridgewater Systems Corp. | Methods for server-driven packet congestion control |
| US8613052B2 (en) | 2010-09-17 | 2013-12-17 | Universal Secure Registry, Llc | Apparatus, system and method employing a wireless user-device |
| CN102685742B (zh) * | 2011-03-15 | 2016-01-27 | 中国移动通信集团公司 | 一种wlan接入认证方法和装置 |
| EP2562704A1 (en) * | 2011-08-25 | 2013-02-27 | TeliaSonera AB | Online payment method and a network element, a system and a computer program product therefor |
| US8949959B2 (en) | 2012-02-21 | 2015-02-03 | Cisco Technology, Inc. | Reduced authentication times for shared-media network migration |
| TWI538538B (zh) * | 2014-08-27 | 2016-06-11 | 普易科技股份有限公司 | 居家控制閘道器及其閘道連線方法 |
| US9565185B2 (en) | 2014-11-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Facilitation of seamless security data transfer for wireless network devices |
| TWI622278B (zh) * | 2016-04-13 | 2018-04-21 | 國立清華大學 | 使用模仿近場通訊之無線通訊系統及其認證方法 |
| CN108924832B (zh) * | 2017-04-14 | 2023-02-21 | 瑞典爱立信有限公司 | 用于安全Wi-Fi通话的方法、设备和系统 |
| CN109413646B (zh) | 2017-08-16 | 2020-10-16 | 华为技术有限公司 | 安全接入方法、设备及系统 |
| CN108040044B (zh) * | 2017-12-07 | 2019-06-07 | 恒宝股份有限公司 | 一种实现eSIM卡安全认证的管理方法及系统 |
| US10764266B2 (en) | 2018-06-19 | 2020-09-01 | Cisco Technology, Inc. | Distributed authentication and authorization for rapid scaling of containerized services |
| US11792288B2 (en) * | 2019-09-09 | 2023-10-17 | Extreme Networks, Inc. | Wireless network device with directional communication functionality |
| CN117425891A (zh) * | 2021-06-07 | 2024-01-19 | 华为技术有限公司 | 用于支持基于网络的计算服务的系统和方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411224A (zh) * | 2001-09-29 | 2003-04-16 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
| CN1468488A (zh) * | 2000-08-18 | 2004-01-14 | ��˹��ŵ�� | 用于通过网关认证移动用户的方法和系统 |
| CN1529258A (zh) * | 2003-09-29 | 2004-09-15 | 上海格尔软件股份有限公司 | 实现web应用安全加固的快速部署方法 |
| CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2307409A (en) | 1995-11-22 | 1997-05-28 | Spectron Laser Systems Ltd | Therapeutic lamp apparatus |
| US5862481A (en) | 1996-04-08 | 1999-01-19 | Northern Telecom Limited | Inter-technology roaming proxy |
| US6332077B1 (en) | 1999-07-29 | 2001-12-18 | National Datacom Corporation | Intelligent roaming in AGV application |
| US7237261B1 (en) * | 1999-09-07 | 2007-06-26 | Swisscom Ag | Method, system and gateway allowing secured end-to-end access to WAP services |
| US6587680B1 (en) | 1999-11-23 | 2003-07-01 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| AU2001244362A1 (en) | 2000-04-10 | 2001-10-23 | British Telecommunications Public Limited Company | Provision of secure access for telecommunications system |
| US6691227B1 (en) | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
| JP3628250B2 (ja) | 2000-11-17 | 2005-03-09 | 株式会社東芝 | 無線通信システムで用いられる登録・認証方法 |
| US7383329B2 (en) * | 2001-02-13 | 2008-06-03 | Aventail, Llc | Distributed cache for state transfer operations |
| US20030061503A1 (en) * | 2001-09-27 | 2003-03-27 | Eyal Katz | Authentication for remote connections |
| US20050198379A1 (en) | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| WO2003010946A1 (en) * | 2001-07-23 | 2003-02-06 | Securelogix Corporation | Encapsulation, compression and encryption of pcm data |
| US7206826B1 (en) * | 2001-10-25 | 2007-04-17 | Sprint Communications Company L.P. | Configuration recovery after gateway failure |
| US7249379B2 (en) * | 2002-02-01 | 2007-07-24 | Systems Advisory Group Enterprises, Inc. | Method and apparatus for implementing process-based security in a computer system |
| WO2003077572A1 (en) * | 2002-03-13 | 2003-09-18 | Adjungo Networks Ltd. | Accessing cellular networks from non-native local networks |
| US7418596B1 (en) * | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
| US7503065B1 (en) * | 2002-04-24 | 2009-03-10 | Sprint Spectrum L.P. | Method and system for gateway-based authentication |
| US7930753B2 (en) * | 2002-07-01 | 2011-04-19 | First Data Corporation | Methods and systems for performing security risk assessments of internet merchant entities |
| US7426195B2 (en) * | 2002-10-24 | 2008-09-16 | Lucent Technologies Inc. | Method and apparatus for providing user identity based routing in a wireless communications environment |
| US7346772B2 (en) | 2002-11-15 | 2008-03-18 | Cisco Technology, Inc. | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure |
| WO2004046844A2 (en) * | 2002-11-18 | 2004-06-03 | Nokia Corporation | Faster authentication with parallel message processing |
| US7249177B1 (en) * | 2002-11-27 | 2007-07-24 | Sprint Communications Company L.P. | Biometric authentication of a client network connection |
| US7434044B2 (en) | 2003-02-26 | 2008-10-07 | Cisco Technology, Inc. | Fast re-authentication with dynamic credentials |
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| US20060185013A1 (en) * | 2003-06-18 | 2006-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus to support hierarchical mobile ip services |
| US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| US7272397B2 (en) * | 2003-10-17 | 2007-09-18 | Kineto Wireless, Inc. | Service access control interface for an unlicensed wireless communication system |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| TWI249316B (en) * | 2004-02-10 | 2006-02-11 | Ind Tech Res Inst | SIM-based authentication method for supporting inter-AP fast handover |
| US7280826B2 (en) * | 2005-02-01 | 2007-10-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network |
| US8356171B2 (en) | 2006-04-26 | 2013-01-15 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
| US20080229416A1 (en) * | 2007-01-09 | 2008-09-18 | G. K. Webb Services Llc | Computer Network Virus Protection System and Method |
-
2006
- 2006-04-26 US US11/411,482 patent/US8356171B2/en active Active
-
2007
- 2007-04-04 EP EP07755042.4A patent/EP2011270B1/en active Active
- 2007-04-04 WO PCT/US2007/008632 patent/WO2007127035A2/en active Application Filing
- 2007-04-04 CN CN2007800152286A patent/CN101432717B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1468488A (zh) * | 2000-08-18 | 2004-01-14 | ��˹��ŵ�� | 用于通过网关认证移动用户的方法和系统 |
| CN1411224A (zh) * | 2001-09-29 | 2003-04-16 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
| CN1529258A (zh) * | 2003-09-29 | 2004-09-15 | 上海格尔软件股份有限公司 | 实现web应用安全加固的快速部署方法 |
| CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007127035A3 (en) | 2008-12-11 |
| EP2011270A2 (en) | 2009-01-07 |
| EP2011270A4 (en) | 2010-06-30 |
| EP2011270B1 (en) | 2020-10-07 |
| WO2007127035A2 (en) | 2007-11-08 |
| US20070256120A1 (en) | 2007-11-01 |
| US8356171B2 (en) | 2013-01-15 |
| CN101432717A (zh) | 2009-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101432717B (zh) | 用于实现快速再认证的系统和方法 | |
| US20230076628A1 (en) | Network security management method, and apparatus | |
| CN101632282B (zh) | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 | |
| RU2440688C2 (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| Misra et al. | Security of a mobile transaction: A trust model | |
| US7130286B2 (en) | System and method for resource authorizations during handovers | |
| EP1982551B1 (en) | Pre-expiration purging of authentication key contexts | |
| WO2007097101A1 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| CN101627644A (zh) | 用于漫游环境的基于令牌的动态密钥分配方法 | |
| CN101971596B (zh) | 在无线网络中的安全关联的动态管理的方法和装置 | |
| US8139520B2 (en) | Method of preventing or limiting the number of simultaneous sessions in wireless local area network (WLAN) | |
| Kwon et al. | USIM based authentication test-bed for UMTS-WLAN handover | |
| WO2008014655A1 (fr) | Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile | |
| JP2004304240A (ja) | 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム | |
| US8126144B2 (en) | Purging of authentication key contexts by base stations on handoff | |
| WO2019141135A1 (zh) | 支持无线网络切换的可信服务管理方法以及装置 | |
| CN101119594B (zh) | 实现归属代理和外地代理间归属代理根密钥同步的方法 | |
| WO2012079438A1 (zh) | 一种呼叫历史计数更新的方法和装置 | |
| Machiraju et al. | Distributed authentication for low-cost wireless networks | |
| Rajeswari | Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking | |
| KR101068426B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| Lee et al. | Local authentication scheme based on AAA in mobile IPV6 networks | |
| WO2015165190A1 (zh) | 用户在线状态的处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |