CN101594616A - 认证方法、服务器、用户设备及通信系统 - Google Patents
认证方法、服务器、用户设备及通信系统 Download PDFInfo
- Publication number
- CN101594616A CN101594616A CNA2009101593272A CN200910159327A CN101594616A CN 101594616 A CN101594616 A CN 101594616A CN A2009101593272 A CNA2009101593272 A CN A2009101593272A CN 200910159327 A CN200910159327 A CN 200910159327A CN 101594616 A CN101594616 A CN 101594616A
- Authority
- CN
- China
- Prior art keywords
- territory
- wlan
- local
- visit
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明实施例涉及一种认证方法、服务器、用户设备及通信系统。认证方法包括:家乡域认证服务器在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,与用户设备基于家乡域根密钥对用户设备接入家乡域内的第二网络进行认证;在与家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,家乡域认证服务器根据家乡域根密钥为拜访域认证服务器生成拜访域根密钥,向拜访域认证服务器发送拜访域根密钥,以供拜访域认证服务器与用户设备基于拜访域根密钥对用户设备接入拜访域内的第二网络进行认证。本发明实施例有利于提高用户设备接入融合网络时的认证效率,为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
Description
技术领域
本发明涉及通信技术,特别是涉及一种认证方法、服务器、用户设备及通信系统。
背景技术
无线WLAN域网(Wireless Local Area Network,简称WLAN)与第三代移动通信系统(简称3G系统)的网络融合(以下称为3G-WLAN),是通信发展的必然趋势。在3G-WLAN应用环境中,3G网络给UE提供服务主要包括两类:一类是认证服务,即3G网络帮助WLAN对UE的身份进行认证;另外一类是数据服务,即用户设备(User Equi pment,简称UE)通过与3G网络的分组数据网关(Packet Data Gateway,简称PDG)相互认证从而获取各类应用服务。
对于3G-WLAN融合网络而言,UE使用3G网络中的用户标识完成在WLAN网络或者3G网络中的接入,因此需由3G网络提供用户设备接入WLAN以及用户设备接入3G网络的认证控制。现有的认证控制是由3G网络中用户设备对应的家乡域认证服务器对认证进行集中控制。WLAN域内或拜访域内都部署有各自的认证代理。无论用户设备当前位置是位于第一网络覆盖范围内,还是在拜访域内的第二网络覆盖范围内,相应域内的认证代理都会将用户设备的认证信息转发到家乡域认证服务器上,由家乡域认证服务器对该用户设备进行集中处理。
发明人在实现本发明实施例过程中发现,现有技术采用家乡域认证服务器对用户设备的认证进行集中管理的技术方案,家乡域认证服务器认证负荷较重,从而导致认证效率较低。
发明内容
本发明实施例提供一种认证方法、服务器、用户设备及通信系统,用以提高用户设备接入融合网络时的认证效率。
本发明实施例提供了一种认证方法,包括:
家乡域认证服务器在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,与所述用户设备基于所述家乡域根密钥对用户设备接入家乡域内的第二网络进行认证;
在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,所述家乡域认证服务器根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥,以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例还提供了另一种认证方法,包括:
用户设备在接入第一网络的认证过程中生成家乡域根密钥;与家乡域认证服务器基于所述家乡域根密钥,进行所述用户设备在家乡域内的第二网络的认证控制;
所述用户设备根据所述家乡域根密钥,生成拜访域根密钥;与拜访域认证服务器基于所述拜访域根密钥,进行所述用户设备在拜访域内的第二网络的认证控制。
本发明实施例还提供了一种认证服务器,包括:
家乡域根密钥生成模块,用于在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,以供自身与所述用户设备基于所述家乡域根密钥,对所述用户设备接入家乡域内的第二网络进行认证;
拜访域根密钥生成和发送模块,用于在与自身关联的认证服务器包括拜访域认证服务器时,根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥,以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例还提供了一种用户设备,包括:
家乡域认证控制模块,用于在接入第一网络的认证过程中,生成家乡域根密钥;与家乡域认证服务器基于所述家乡域根密钥,进行用户设备在家乡域内的第二网络的认证控制;
拜访域认证控制模块,用于根据所述家乡域根密钥,生成拜访域根密钥;与拜访域认证服务器基于所述拜访域根密钥,进行所述用户设备在拜访域内的第二网络的认证控制。
本发明实施例还提供了一种通信系统,包括:家乡域认证服务器、拜访域认证服务器和用户设备;
所述家乡域认证服务器用于在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,以供自身与所述用户设备基于所述家乡域根密钥,对所述用户设备接入家乡域内的第二网络进行认证;在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥;
所述拜访域认证服务器用于与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器分别生成不同层次的根密钥,以使得各层次的认证服务器根据各自与用户设备共享的根密钥,对本域内的认证过程进行控制,从而降低了家乡域认证服务器的认证负荷,减少了认证信息的多级转发,提高了用户设备接入融合网络时的认证效率,为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的认证方法流程图;
图2为本发明第二实施例提供的认证方法流程图;
图3a为本发明实施例扩展后的3G-WLAN网络逻辑关系图;
图3b为本发明实施例扩展后的密钥层次示意图;
图3c为本发明实施例扩展后的密钥在3G-WLAN网络各逻辑实体中的持有关系示意图;
图4为本发明实施例提供的3G-WLAN网络结构示意图一;
图5a为本发明第三实施例提供的3G-WLAN网络中第一阶段认证方法信令交互示意图;
图5b为本发明第三实施例生成的密钥结构示意图;
图6为本发明第四实施例提供的WLAN UE在WLAN域内不同AP之间切换方法信令交互示意图;
图7为本发明第五实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图;
图8为本发明实施例提供的3G-WLAN网络结构示意图二;
图9为本发明第六实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图;
图10为本发明第七实施例提供的认证服务器结构示意图;
图11为本发明第八实施例提供的用户设备结构示意图;
图12为本发明第九实施例提供的通信系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明第一实施例提供的认证方法流程图。本实施例从网络侧说明本发明认证方法的技术方案,其执行主体可为用户设备对应的家乡域认证服务器,如HAAA服务器(Home AAA Server)。如图1所示,本实施例认证方法包括:
步骤11、家乡域认证服务器在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,与用户设备基于家乡域根密钥对用户设备接入家乡域内的第二网络进行认证。
用户设备在接入由第一网络和第二网络组成的融合网络时,首先需要通过家乡域认证服务器对用户设备接入第一网络进行认证。在用户设备接入第一网络的认证过程中,家乡域认证服务器生成家乡域根密钥,该家乡域根密钥为家乡域认证服务器与用户设备的共享密钥。如果用户设备成功接入第一网络并希望接入家乡域内的第二网络时,家乡域认证服务器基于该家乡域根密钥可对用户设备接入家乡域内的第二网络进行认证。
步骤12、在与家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,家乡域认证服务器根据家乡域根密钥,为拜访域认证服务器生成拜访域根密钥,向拜访域认证服务器发送拜访域根密钥,以供拜访域认证服务器与用户设备基于拜访域根密钥,对用户设备接入拜访域内的第二网络进行认证。
家乡域认证服务器可在用户设备接入第一网络的认证过程中,根据家乡域根密钥生成拜访与根密钥,该拜访域根密钥为拜访域认证服务器与用户设备共享的根密钥。如果用户设备成功接入第一网络并希望接入拜访域内的第二网络时,拜访域认证服务器基于该拜访域根密钥对用户设备接入拜访域内的第二网络进行认证。
在上述技术方案的基础上,如果与家乡域认证服务器关联的认证服务器包括WLAN域认证服务器,家乡域认证服务器还可根据家乡域根密钥为WLAN域认证服务器生成WLAN域根密钥,向WLAN域认证服务器发送WLAN域根密钥,以供WLAN域认证服务器与用户设备基于WLAN域根密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
在上述技术方案的基础上,如果与拜访域认证服务器关联的认证服务器包括WLAN域认证服务器,拜访域认证服务器还可根据拜访域根密钥为WLAN域认证服务器生成WLAN域根密钥,向WLAN域认证服务器发送WLAN域根密钥,以供WLAN域认证服务器与用户设备基于WLAN域根密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例为由第一网络和第二网络互通组成的融合网络的不同层次分别生成不同层次的根密钥,如:为WLAN域、家乡域以及拜访域分别生成相应的根密钥,各层次的认证服务器根据各层次与用户设备共享的根密钥,对本域内的认证过程进行控制,从而降低了家乡域认证服务器的认证负荷,减少了认证信息的多级转发,提高了用户设备接入融合网络时的认证效率,从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
图2为本发明第二实施例提供的认证方法流程图。本实施例从终端侧说明本发明认证方法的技术方案,其执行主体可为用户设备。如图2所示,本实施例认证方法包括:
步骤21、用户设备在接入第一网络的认证过程中,生成家乡域根密钥;与家乡域认证服务器基于家乡域根密钥,进行用户设备在家乡域内的第二网络的认证控制。
步骤22、用户设备根据家乡域根密钥,生成拜访域根密钥;与拜访域认证服务器基于拜访域根密钥,进行用户设备在拜访域内的第二网络的认证控制。
在上述技术方案的基础上,如果用户设备当前处于家乡域关联的WLAN域覆盖范围内,用户设备还可根据家乡域根密钥,生成WLAN域子密钥;与WLAN域认证服务器基于所述WLAN域根密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
在上述技术方案的基础上,如果用户设备当前处于拜访域关联的WLAN域覆盖范围内,用户设备还可根据拜访域根密钥,生成WLAN域子密钥;与WLAN域认证服务器基于WLAN域子密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例在用户设备接入由第一网络和第二网络互通组成的融合网络过程中,通过与融合网络的不同层次的认证服务器生成共享的根密钥,基于各层次共享的根密钥进行相应层次的认证控制,因此少了认证信息的多级转发,有利于提高了用户设备接入融合网络时的认证效率,从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
本发明以下实施例提供了上述实施例在3G-WLAN融合网络中的应用实例,其中,第一网络即为WLAN,第二网络即为3G网络。首先对下面实施例中涉及的相关网元属性进行说明。根据3G-WLAN融合组网的需要,3GPP为WLAN与3G网络的互联结构模型定义了以下网元:
(1)WLAN UE:WLAN User Equipment,有访问WLAN权限的用户设备,如手机,PDA等。该用户设备包含一个3G用户使用的USIM卡,用于接入WLAN接入网。
(2)WLAN AN:WLAN Access Network,即WLAN接入网;在WLAN AN中可设置一个或多个接入点(Access Point,简称AP),用于为WLAN UE提供无线IP连接,以使WLAN UE的请求能够被3G网络中的服务器认证和授权。
(3)3GPP AAA代理:3GPP AAA Proxy,位于拜访网络(Visited Network),完成AAA的代理和过滤功能。
(4)3GPP AAA服务器:3GPP AAA Server,位于归属网络(Home Network),完成AAA功能,以及必要时为分组数据网关、WLAN接入网关和WLAN AN提供授权、策略实施以及路由信息等。
(5)HLR/HSS:归属位置寄存器/归属用户服务器,位于归属网络,存储有用户访问互联服务时所需的认证信息和服务订阅信息,可表现为一个信息数据库。
(6)WAG:WLAN Access Gateway,WLAN接入网关,通过此网关把发送到或者来自于WLAN AN的数据经由拜访公众陆地移动通信网(Visited PublicLand Mobile Network,简称VPLMN)发送出去,目的是为WLAN UE提供3G分组域服务。
(7)PDG:Packet Data Gateway,分组数据网关,可能位于归属网络,也能位于拜访网络。WLAN UE通过PDG可访问3G分组域的服务,提供了3G分组域服务的访问权限控制,是WLAN UE建立隧道以向3G核心网络传输数据的重要关卡。
(8)SLF:Subscription Locator Function,签约定位功能,位于归属网络,其作用是使得3GPP AAA服务器能够找到HSS的地址。
(9)离线计费系统:Offline Charging System,可同时位于拜访网络和归属网络。
(10)在线计费系统:Online Charging System,位于归属网络。
本发明实施例在上述现有网元3GPP AAA代理原有功能的基础上进行了认证功能扩展,使其具有为UE提供拜访网络AAA支持的功能,为便于与原3GPP AAA代理网元进行区分,功能扩展后的3GPP AAA代理网元以VAAA服务器表示。此外,为便于区分位于拜访网络中的VAAA服务器,将位于归属网络中的3GPP AAA服务器表示为HAAA服务器。进一步的,为便于描述,将WLANAN抽象为具有为协助提供WLAN域AAA支持功能的实体,表示为WAAA服务器(WLAN AAA Server)。
本发明实施例还可将用户设备在接入WLAN(即第一网络)使用的密钥与用户设备接入3G网络(即第二网络)时使用的密钥进行关联,有利于简化用户设备在接入第二网络流程过程中对用户设备进行重复认证,从而精简了认证流程,提高了用户设备接入3G网络的认证效率。
图3a为本发明实施例扩展后的3G-WLAN网络逻辑关系图。基于扩展后的3G-WLAN网络逻辑关系图,可对WLAN UE在3G-WLAN网络中的认证密钥层次进行扩展。本发明实施例扩展出的密钥层次是遵循对称密钥体系,所谓的对称密钥体系的机理在于WLAN UE与网络侧共享相同的密钥素材,即WLAN UE与网络侧的网元共享相应密钥。因此,下面实施例中涉及的扩展密钥均为WLANUE与相应网元的共享密钥。
本发明实施例的密钥层次主要包括以下三个部分的扩展:
本发明实施例密钥层次第I部分扩展:在HAAA服务器(或VAAA服务器)、PDG与WLAN UE之间进行密钥层次扩展,该部分扩展的密钥例如HBK、HBSK、VBK和VBSK等。将WLAN UE在第一阶段认证过程中与HAAA服务器共享的根密钥MK,用于产生第二阶段认证所需使用的其它密钥,因而建立第一阶段认证过程使用的密钥与第二阶段过程使用的密钥之间的关联。对于初始接入3G-WLAN网络的WLAN UE,本部分密钥层次扩展可应用于简化WLAN UE接入3G-WLAN网络第二阶段的认证过程;和/或,对于已成功接入3G-WLAN网络的WLAN UE,本部分密钥层次扩展可为WLAN UE在不同PDG之间进行快速切换(Fast Handoff,简称FH)提供技术支撑。
第II部分扩展:在HAAA服务器、VAAA服务器、WAAA服务器、AP以及WLAN UE之间进行密钥扩展,该部分扩展的密钥例如VnMK、WnMK和APnSK等。对于已成功接入3G-WLAN网络的WLAN UE,本部分密钥层次扩展可应用于减少由HAAA服务器处理的快速重认证(Fast Reauthentication,简称FR)或快速切换过程中的认证时延。
第III部分扩展:在HLR/HSS、HAAA与VAAA之间进行扩展,该部分扩展的密钥如MK、VnMK和WnMK等。本部分密钥层次扩展可应用于WLAN UE在3G网络中不同的VAAA服务器之间,或HAAA服务器与VAAA服务器之间进行安全快速切换过程中,用以减少了HLR/HSS提供的用于推演密钥的认证向量的使用数量,缩减认证消息转发次数,减轻归属网络负载。
以上三部分扩展的密钥可根据贯穿在不同应用场景中对应生成。图3b为本发明实施例扩展后的密钥层次示意图,其中,虚线框内的部分为本发明实施例相对于现有技术扩展的内容。图3c为本发明实施例扩展后的密钥在3G-WLAN网络各逻辑实体中的持有关系示意图,即密钥存放在哪个或哪些网元中。三部分的密钥扩展分别对应于家乡域的根密钥MK,拜访域的根密钥VnMK,以及WLAN域的根密钥WnMK,三者依次导出,即:
MK由HAAA服务器根据自身与WLAN UE共享的AV导出,作为家乡域根密钥;MK由HAAA服务器和WLAN UE共享。
VnMK由MK导出,作为拜访域根密钥;HAAA服务器根据MK生成VnMK,HAAA服务器将生成的VnMK发送给VnAAA服务器并可删除自身缓存的该VnMK;VnAAA服务器持有VnMK,并与WLAN UE共享。
WnMK由VnMK导出,作为WLAN域根密钥;VnAAA服务器根据VnMK生成WnMK,将生成的WnMK发送给WnAAA服务器并可删除自身缓存的该WnMK;WnAAA服务器持有WnMK,并与WLAN UE共享。
MK、VnMK和WnMK三者可分别用于导出本域所需的其它密钥;其中,VnMK中的下脚表“n”用于表示与HAAA服务器连接的VAAA服务器的序号,WnMK中的下脚表“n”用于表示与VAAA服务器或HAAA服务器连接的WAAA服务器的序号。
下面结合图3b和图3c,对涉及的各层次密钥应用场景及其与其他层次密钥的导出关系说明如下:
1、MK的生成及其应用场景:
101、MK的生成:
HLR/HSS与WLAN UE共享有UE注册时生成的注册密钥信息及加密算法。HLR/HSS基于该加密算法可从注册密钥信息中推演出一个或多个认证向量组AV;在对WLAN UE的认证过程中,HAAA服务器向WLAN UE对应的HLR/HSS获取认证向量组AV。WLAN UE与HLR/HSS共享的注册密钥信息及加密算法可在具体产品制造过程中烧入WLAN UE使用的US IM卡中,因此,当WLAN UE可基于注册密钥信息及加密算法进行推演运算,保证WLAN UE与HAAA服务器获取的AV的信息同步,如:WLAN UE与HAAA服务器共享某一认证向量组AV,AV可包括密钥推演参数CK和IK。
HAAA服务器根据与UE共享的AV可推演得到家乡域根密钥MK,MK为HAAA服务器与UE的共享家乡域根密钥。
102、MK的应用场景举例:
MK可应用于WLAN UE在不同的拜访域之间的切换的应用场景中,例如:WLAN UE需要从源拜访域切换到目标拜访域,该情形下,WLAN UE的认证请求信息将由目标拜访域对应的VAAA服务器,转发至用于管理拜访域的上一级AAA服务器,即HAAA服务器,WLAN UE与HAAA服务器使用双方共享的MK完成快速切换流程,之后,HAAA服务器生成WLAN UE与目标VAAA服务器共享的新的拜访域根密钥VnMK。
2、VnMK的生成及其应用场景:
201、HAAA服务器可通过公式(1)生成VnMK:
VnMK=PRF(MK||RAND||HAAA_ID||VnAAA_ID||UEM)(1)
公式(1)中,“VnMK”为拜访域根密钥,“PRF”为密钥推演函数,“RAND”为由家乡域认证服务器生成的随机数;“HAAA_ID”为家乡域认证服务器的标识,“VnAAA_ID”为拜访域认证服务器的标识,“UEM”为用户设备的介质访问控制(Media Access Control,简称MAC)地址。
202、VnMK的应用场景举例:
举例一:
VnMK可应用于WLAN UE在与同一个拜访域覆盖的不同WLAN域之间的切换的应用场景,该场景下的切换可称为“水平切换”。
例如:WLAN UE需要从与某一拜访域覆盖下的源WLAN域切换到该拜访域覆盖的目标WLAN域中,该情形下,WLAN UE的认证请求信息将被与目标WLAN域对应的目标WAAA服务器,转发至用于管理WLAN域的上一级AAA服务器,即VAAA服务器,WLAN UE与VAAA服务器使用双方共享的VnMK完成快速切换,之后,VAAA服务器生成WLAN UE与目标WAAA服务器共享的新的WLAN域根密钥WnMK。
举例二:
VnMK可应用于WLAN UE在漫游情况下,在3G网络与WLAN网络之间进行切换的应用场景中,该场景下的切换可称为“垂直切换”。
例如:WLAN UE在拜访域以及与该拜访域相连的WLAN域之间发生切换时,认证请求信息被转发到该拜访域对应的VAAA服务器,通过VAAA服务器使用自身与WLAN UE共享的拜访域根密钥VnMK,在拜访域内完成WLAN UE在3G网络和WLAN网络之间的垂直切换。
3、WnMK的生成及其应用场景:
301、HAAA服务器可通过公式(2a)生成WnMK:
WnMK=PRF(MK||RAND||HAAA_ID||WnAAA_ID||UEM)(2a)
公式(2a)中,“WnMK”为WLAN域根密钥,“PRF”为密钥推演函数,“MK”为家乡域根密钥,“RAND”为由家乡域认证服务器生成的随机数,“WnAAA_ID”为WLAN域认证服务器的标识,“UEM”为用户设备的介质访问控制地址。
VAAA服务器可通过公式(2b)生成WnMK:
WnMK=PRF(VnMK||RANDn||WnAAA_ID||UEM)(2b)
公式(2b)中,“WnMK”为WLAN域根密钥,“PRF”为密钥推演函数,“VnMK”为拜访域根密钥,“RANDn”为由拜访域认证服务器生成的随机数,“WnAAA_ID”为WLAN域认证服务器的标识,“UEM”为用户设备的介质访问控制地址。
302、WnMK的应用场景举例:
举例一:WnMK可用于WLAN UE在WLAN域内的快速重认证的应用场景。
举例二:WnMK可用于WLAN UE在同一WLAN域内的不同AP之间进行快速切换的应用场景。
当上述快速重认证或者快速切换过程发生时,认证请求信息被转发到WLAN域对应的WAAA服务器,WAAA服务器通过自身与WLAN UE之间共享的WLAN域根密钥WnMK完成认证。WnMK在被发送给相应的WAAA之后也将被从VAAA中删除。WnMK取代了密钥体系扩展前的原有MSK(如图3b所示),原EAP-AKA中生成的MSK与EMSK不再使用,而是作为两个扩展密钥留作其它用途。
4、APnSK的生成及其应用场景:
401、WAAA服务器可通过公式(3)生成APnSK:
APnSK=PRF(WnMK||APn_ID||UEM)(3)
公式(3)中,“APnSK”为WLAN UE与AP共享的WLAN域子密钥,“PRF”,为密钥推演函数,“WnMK”为WLAN域根密钥,“APn_ID”为AP的标识,“UEM”为WLAN UE的MAC地址。
APnSK由WAAA服务器生成,当WAAA服务器将生成APnSK发送给相应的AP之后,WAAA服务器上的该APnSK将被删除。APnSK为WLAN UE与AP之间的共享密钥。
402、APnSK的应用场景举例:
APnSK的功能类似于现有密钥PMK,即APnSK可应用于WLAN UE与AP之间进行四步握手的应用场景中。AP会根据APnSK生成一个或多个会话密钥PTK,PTK可应用到WLAN UE与AP建立的相应会话中。
5、VBK的生成及其应用场景:
501、VAAA服务器可通过公式(4)生成VBK:
VBK=PRF(IMSI||VAAA_ID||EAP-AKA SessionID||VnMK||UEM)(4)
公式(4)中,“VBK”为WLAN UE与VAAA服务器共享的拜访域子密钥,以供VAAA服务器对UE在拜访域内进行快速重认证或在拜访域内不同PDG之间进行快速切换控制;“PRF”为密钥推演函数,“IMSI”为WLAN UE的长期身份信息,“VAAA_ID”为WLAN UE连接的VAAA服务器的标识,“VnMK”为拜访域根密钥,“UEM”为用户设备的介质访问控制地址,“EAP-AKASessionID”为当前会话标识,“EAP-AKA SessionID”可采用公式(5)生成:
EAP-AKA SessionID=(EAP Type Code||RAND||AUTN)(5)
公式(5)中,“EAP Type Code”为EAP类型码;“RAND”为VAAA服务器生成的随机数,用于保证产生的“EAP-AKA SessionID”未被使用过,即保证“EAP-AKA SessionID”的新鲜性;“AUTN”为认证令牌。
在生成VBK之后,VAAA服务器可根据公式(6),为不同的PDG推演得到相应的拜访域分密钥VBSK:
VBSK=PRF(VBK||V_N||VAAA_ID||PDG_ID||UEM)(6)
公式(5)中,“VBSK”为WLAN UE与拜访域内的PDG共享的拜访域分密钥,以供WLAN UE与拜访域内的PDG之间进行会话接入认证;“V_N”为VAAA服务器生成的随机数,用于保证产生的“VBSK”未被使用过,即保证“VBSK”的新鲜性;“PDG_ID”为WLAN UE连接的PDG的标识;“VAAA_ID”为PDG连接的VAAA服务器的标识。
502、VBK的应用场景举例:
举例一:VBK可应用于WLAN UE在同一拜访域覆盖范围下的不同PDG之间进行快速切换的应用场景中。
例如:WLAN UE需要从某一拜访域覆盖下的源PDG切换到该拜访域覆盖的目标PDG中,该情形下,WLAN UE和该拜访域对应的VAAA服务器之间可以使用VBK完成对认证信息的鉴别。在进行拜访域内不同PDG间的切换时,UE与VAAA服务器共享密钥VBK。当UE选择新的PDG作为目标PDG时,可经由源PDG或目标PDG转发实现UE与VAAA服务器之间的认证消息传递,双方使用VBK对各自获得的消息计算MAC值,同时对对方发送的随机数进行运算并将结果发至对方,从而完成双向认证。之后,VAAA服务器计算新的VBSK值发送至目标PDG,而UE亦可计算相同的值,使用新的VBSK完成与目标PDG的认证。至此,拜访域内不同PDG间的切换完成。
举例二:VBK可应用于WLAN UE在拜访域覆盖范围下的某一PDG内进行快速重认证的应用场景中。
例如:当前PDG需要对WLAN UE进行快速重认证,该情形下,WLAN UE和当前PDG所属的拜访域对应的VAAA服务器之间可以使用VBK完成对认证信息的鉴别。在快速重认证时,由于UE与VAAA服务器均持有VBK,VAAA服务器可发送新的随机数,并要求UE发回其当前重认证计数器中所储存的重认证次数,UE校验VAAA服务器发送的消息中包含的MAC值,VAAA服务器校验重认证次数值,完成双向快速重认证。之后,VAAA服务器计算新的VBSK发送至PDG,由PDG与UE协商完成会话密钥的更新。至此,快速重认证完成。
6、HBK的生成及其应用场景:
601、HAAA服务器可通过公式(7)生成HBK:
HBK=PRF(IMSI||HAAA-ID||EAP-AKA SessionID||MK||UEM)(7)
公式(7)中,“HBK”为WLAN UE与HAAA服务器共享的家乡域子密钥,以供HAAA服务器对UE在家乡域内进行快速重认证或在家乡域内不同PDG之间进行快速切换控制,“PRF”为密钥推演函数,“IMSI”为WLAN UE的长期身份信息,“HAAA_ID”为WLAN UE连接的HAAA服务器的标识,“MK”为家乡域根密钥,“UEM”为用户设备的介质访问控制地址,“EAP-AKA SessionID”为当前会话标识。
在生成HBK之后,HAAA服务器可根据公式(8),为家乡域覆盖范围下的不同的PDG推演得到相应的家乡域分密钥HBSK:
HBSK=PRF(HBK||H_N||HAAA_ID||PDG_ID||UEM)(8)
公式(8)中,“HBSK”为WLAN UE与家乡域内的PDG共享的家乡域分密钥,以供WLAN UE与拜访域内的PDG之间进行会话接入认证;“H_N”为HAAA服务器生成的随机数,用于保证产生的“HBSK”未被使用过,即保证“HBSK”的新鲜性;“PDG_ID”为WLAN UE连接的PDG的标识;“VAAA_ID”为PDG连接的HAAA服务器的标识。
602、HBK的应用场景举例:
举例一:HBK可应用于WLAN UE在家乡域覆盖范围下的不同PDG之间进行快速切换的应用场景中。
例如:WLAN UE需要从家乡域覆盖下的源PDG切换到家乡域覆盖的目标PDG中,该情形下,WLAN UE和HAAA服务器之间可以使用HBK完成对认证信息的鉴别。
举例二:HBK可应用于WLAN UE在家乡域覆盖范围下的某一PDG内进行快速重认证的应用场景中。
例如:家乡域覆盖范围下的某一PDG需要对WLAN UE进行快速重认证,该情形下,WLAN UE和当前PDG所属的HAAA服务器之间可以使用HBK完成对认证信息的鉴别。
通过本发明实施例上述对密钥层次的扩展及各级密钥在不同应用场景中的应用,可实现如下技术效果:
(1)将WLAN UE接入3G-WLAN网络过程中,将第一阶段认证过程和第二阶段认证过程中使用的密钥进行关联,即根据第一阶段认证使用的密钥MK,生成第二阶段认证使用的其它密钥,因此,在第二阶段认证过程中减少了一次完整的EAP-AKA认证过程,明显减少了认证交互次数,从而提高了WLAN UE接入3G-WLAN网络的认证效率。
(2)扩展3G-WLAN网络中原3GPP AAA代理的认证功能,并为3G-WLAN网络的不同层次分别生成同层次的根密钥,使得对漫游情形下的WLAN UE执行快速重认证判断的服务器,可由VAAA服务器直接执行,而不需要转发到HAAA服务器,且对漫游情形下的WLAN UE执行快速切换判断的服务器,可由与发生切换的域的上一级AAA服务器,这种认证局部化改进减少了快速重认证过程中认证消息转发的数量,提高了快速重认证的效率,并减少了认证所需的时延。
(3)由HAAA服务器向HLR/HSS获取向量组AV,并基向量组AV推演得到HAAA服务器与WLAN UE共享的家乡域根密钥MK,之后,基于MK推演得到拜访域、WLAN域等其它层次与WLAN UE共享的根密钥,不需要每发起一次认证操作,就使用一组AV生成所需的密钥,因此减少了3G-WLAN系统中向量组AV的使用数量。
(4)进行密钥层次扩展后,对于同层次实体间密钥的生成都是独立的,这有效的避免了多米诺效应,确保一个域内认证服务器被攻破不会影响其他域内认证的安全性。
(5)新方案将关于WLAN与3G两个网络互操作的三个场景,即UE处于非漫游场景,UE处于漫游场景且通过位于拜访域的PDG接入3G网络,以及UE处于漫游场景且通过位于家乡域的PDG接入3G网络等三个场景,进行统一考虑进行方案设计,新的密钥层次可根据不同场景对应生成。
(6)扩展后的密钥层次可满足WLAN UE在同一层次不同实体之间进行水平切换的应用要求,也可满足WLAN UE在3G网络与WLAN网络之间的垂直切换的应用要求。
总之,本发明实施例提供的密钥生成和分发方法对3G-WLAN互操作多个场景进行了统一考虑,所获得的密钥层次可以灵活的适应WLAN UE的多种使用,相对于现有技术而言,基于本发明实施例提供的认证密钥层次进行认证,在信息交互轮数、网络负载、接入时延等方面都有较大提高。
下面对本发明实施例提出的新的密钥层次在3G-WLAN网络中两阶段认证过程、以及快速重认证和快速切换过程中的使用为例,说明新的密钥层次的具体应用实例。
图4为本发明实施例提供的3G-WLAN网络结构示意图一。如图4所示的网络结构对应WLAN UE漫游的应用场景。其中,WAG位于VPLMN;PDG所在的位置与WLAN UE使用由哪个网络提供的3GPP分组域业务有关,例如:如果UE使用由归属公众陆地移动通信网(Home Public Land Mobile Network,简称HPLMN)提供的3GPP分组域业务,则PDG位于HPLMN中;如果UE使用由VPLMN提供的3GPP分组域业务,则PDG位于VPLMN中,图4示出了PDG位于VPLMN中的情形。
图4中各网元的功能可参见上文描述,其中网元VAAA服务器(VisitedAAA Server)是在现有网元3GPPAAA代理原有功能的基础上进行了认证功能扩展,使其具有为UE提供拜访网络AAA支持的功能,为便于与原3GPP AAA代理网元进行区分,功能扩展后的3GPP AAA代理网元以VAAA服务器表示。此外,为便于区分位于拜访网络中的VAAA服务器,将位于归属网络中的3GPPAAA服务器表示为HAAA服务器。
图5a为本发明第三实施例提供的3G-WLAN网络中第一阶段认证方法信令交互示意图。本实施例以WLAN UE漫游应用场景下,在图4所示的网络结构中进行第一阶段认证,即进行“WLAN Direct IP Access”阶段的认证为例,进行说明。如图5a所示,本实施例第一阶段认证方法包括:
步骤51、UE通过家乡域认证服务器(Home AAA Server,简称HAAA服务器)提供的认证服务,与家乡域认证设备(如WLAN的接入点设备(AccessPoint,简称AP))进行第一阶段,即“WLAN Direct IP Access”阶段的认证。
当WLAN UE接入WLAN时,首先需要对WLAN进行身份认证,即进行第一阶段(“WLAN Direct IP Access”阶段)认证。HAAA服务器从HLR/HSS获得认证向量AV,通过WLAN AN执行认证和密钥协商(EAP-AKA)过程。如果第一阶段认证成功,WLAN UE通过WLAN AN可接入IP网络;如果IP网络是因特网(Internet/Intranet),则WLAN UE发送的用户数据可直接从WLAN AN路由到IP网络,此时,对于仅需要获取WLAN业务的WLAN UE而言,只需要通过第一阶段认证即可。
步骤51可进一步包括步骤511-步骤5115(图中未示出),511-步骤5115是以遵循EAP-AKA协议的认证流程为例,对WLAN UE与AP之间进行第一阶段的双向认证的流程进行说明。
步骤511、WLAN UE与AP建立连接。
WLAN UE通过本步骤接入WLAN网络,基于WLAN网络空中接口资源,与AP建立安全通道以及开启链路层的通信端口。
步骤512-步骤514、WLAN UE向AP发送身份信息,并传输给HAAA服务器,获取WLAN UE的授权信息。
步骤515-步骤519、HAAA服务器向HLR/HSS发送WLAN UE的身份信息;HLR/HSS通过自身与WLAN UE共享的密钥信息,并基于预设算法生成认证向量组,将认证向量组发送给HAAA服务器。
上述认证向量组用于完成对WLAN UE的接入认证、授权和计费,具体的,该认证向量组可包括密钥推演参数(IK,CK)。
步骤5110-步骤5111、HAAA服务器向AP发送用以对WLAN UE身份进行认证的挑战消息,并由AP将该挑战信息转发给WLAN UE。在HAAA服务器发送挑战信息之前,HAAA服务器根据密钥推演参数(IK,CK)推演得到对WLANUE进行身份认证的根密钥MK,基于根密钥MK对用于对UE身份进行认证的挑战消息进行加密处理,并将加密处理后的挑战信息发送给AP,AP将收到的挑战信息转发给UE。
步骤5112-步骤5114、WLAN UE与HLR/HSS共享的密钥信息及预设算法可在具体产品制造过程中烧入用于USIM卡中。WLAN UE通过USIM卡中的密钥信息及算法,推演出HLR/HSS发送给HAAA服务器的认证向量组,并基于该认证向量组中的密钥推演参数(IK,CK)推演根密钥MK,基于根密钥MK认证收到的挑战信息的正确性。如果挑战信息的正确性验证成功,WLAN UE向AP发送身份响应消息,该身份响应消息中可包括WLAN UE计算获得的会话密钥推演参数。
步骤5115、AP将收到的身份响应消息转发给HAAA服务器,HAAA服务器验证身份响应消息的正确性。如果身份响应消息的正确性验证成功,执行步骤52;否则,退出本流程。
步骤52、HAAA服务器向AP发送认证成功(EAP Success)消息,该认证成功消息中携带有会话密钥推演参数,以供WLAN UE在WLAN中发起会话业务时使用。
现有RFC 4187协议中规定,EAP-AKA认证结束后,EAP认证成功消息,如EAP-Succes s帧以及主会话密钥MSK将被从AAA服务器发送到相应的AP,之后按照802.11i规定的方法用于生成PMK和PTK。
如果使用Radius完成EAP-Success帧和MSK从AAA服务器到AP的传递,则应按照rfc2548(Microsoft Vendor-specific RADIUS Attributes)协议中的相关规定对EAP包以及MSK密钥素材进行封装,MSK的前32字节添加到“MS-MPPE-RECV-KEY”域中,同时,后32字节添加到“MS-MPPE-SEND-KEY”中。
本实施例中对密钥的修改限于HAAA服务器与VAAA服务器,以及VAAA服务器与WAAA服务器之间,这两段通信都是服务期间通信,通过Radius(或Diameter)来实现。在从HAAA服务器到AP的链路上,可能存在多个不同级别的AAA服务器(如VAAA服务器和WAAA服务器),各级服务器需要获取上级服务器分发的,用于本级密钥导出的密钥素材,同时为下级服务器密钥的生成导出新的密钥。在该过程中,每级服务器都需要根据RFC2548的规定,从成EAP-Success消息中的“MS-MPPE-RECV-KEY”域和“MS-MPPE-SEND-KEY”域中提取上级服务器发送的密钥,同时将生成的用于下级密钥导出的密钥填充至上述两个域中。
对应图4的应用场景,HAAA服务器与AP之间的通信链路还经过其它层的服务器,如VAAA服务器和WAAA服务器;具体的密钥生成和分发实现过程中,步骤52可包括:步骤521-步骤529。
步骤521-步骤522、HAAA服务器根据家乡域根密钥MK生成拜访域根密钥VMK;将拜访域根密钥VMK以及EAP认证成功(EAP-Success)消息中发送给VAAA服务器,同时删除HAAA服务器上的拜访域根密钥VMK。
VMK可携带在EAP-Success消息中的“MS-MPPE-RECV-KEY”域和“MS-MPPE-SEND-KEY”域中。
步骤523-步骤524、VAAA服务器根据接收的EAP-Success消息,获取拜访域根密钥VMK;根据拜访域根密钥VMK生成WLAN域根密钥WMK;将WLAN域根密钥WMK以及EAP-Success消息发送给WAAA服务器,同时删除VAAA服务器上的WLAN域根密钥WMK。
如果上述步骤522中,HAAA服务器将VMK携带在EAP Success消息中发送给VAAA服务器,VAAA服务器可从成EAP-Success消息中的“MS-MPPE-RECV-KEY”域和“MS-MPPE-SEND-KEY”域中提取HAAA服务器发送的拜访域根密钥VMK,同时将生成的WLAN域根密钥填充至上述两个域,并发送给WAAA服务器。
步骤525-步骤526、WAAA服务器获取WLAN域根密钥WMK,根据WMK生成AP与UE认证WLAN域子密钥APnSK;将APnSK以及EAP-Success消息发送给WLAN UE所连接的AP,同时删除VAAA服务器上的WLAN域子密钥APnSK。
本发明实施例扩展后的WLAN域根密钥WMK取代了原有的密钥MSK,基于WMK生成的WLAN域子密钥APnSK替代原有的PMK发送给AP。
步骤527-步骤528、AP获取WLAN域子密钥APnSK;向WLAN UE发送EAP-Success消息,用于通知UE第一阶段认证已经完成。
步骤529、在WLAN UE端,WLAN UE仍按照对称密钥的思想生成相应的密钥,并于相应网元共享,如:根据MK生成VMK,并于VAAA服务器共享;根据VMK生成,并与WAAA服务器共享;根据WMK生成APnSK,并与AP共享。
步骤53、WLAN UE与AP通过四步握手方式,建立会话连接,AP根据AP与WLAN UE的共享密钥APnSK,为本次会话生成与WLAN UE共享的会话密钥PTK。
图5b为本发明第三实施例生成的密钥结构示意图。本实施例通过上述步骤生成各层次根密钥,并进行根密钥下发流程后,生成的根密钥结构及其共享关系如图3c所示。各级服务器通过根密钥可进一步推演出本层次的下级网元所需的其它密钥,例如:WAAA服务器根据WLAN域根密钥WMK,推演出与自身连接的AP所需的WLAN子密钥APnSK。
发明人在实现本发明实施例过程中发现,现有的3G-WLAN网络接入管理中,由于3G网络是以认证服务提供者的角色出现在WLAN与3G网络互操作的场景中,WLAN UE的接入控制权集中在位于家乡域的HAAA服务器中。这种集中式认证授权方式的优点是提供了很强的安全保障,但是,接入控制权限的过分集中也会导致系统性能降低,例如:在从UE到HAAA服务器的链路上可能存在多个AAA代理(如位于WLAN域的WAAA服务器WAAA,多个位于拜访域的VAAA服务器等),现有的这些AAA代理没有处理权限,仅将认证信息逐跳的转发给HAAA服务器,同样的,VAAA服务器与HAAA服务器都处在相当强度的安全保护中。缺乏对这些AAA服务器的有效利用是制约FR、FH性能提高的根本原因。本实施例通过扩展密钥结构,增加密钥层次的方法,为各层次的AAA服务器分别生成本层次专用的根密钥,形成以家乡域、拜访域和WLAN域为实体的三层组织形式,有利于实现WLAN UE在3G-WLAN网络快速重认证或快速切换过程的WLAN UE所在地AAA服务器的决策,从而有利于提高系统性能。
图6为本发明第四实施例提供的WLAN UE在WLAN域内不同AP之间切换方法信令交互示意图。本实施例的应用场景为:WLAN UE发起从当前连接的AP(以下称为源AP,Associated AP)到目标AP(Target AP)之间的切换,其中,源AP所在的源WLAN域处于源拜访域VAAA(Associated VAAA)服务器的管辖范围;目标AP在的目标WLAN域处于目标拜访域VAAA(Target VAAA)服务器的管辖范围。如图6所示,WLAN UE在WLAN域内不同AP之间切换方法包括:
步骤61、WLAN UE向源AP发送切换请求,如EAP-Start请求消息,用于请求从源AP切换到目标AP。
步骤62-步骤65、源AP向UE发出身份请求消息,如EAPRequest/Identity消息;WLAN UE将当前的重认证标识(ReauthenticationID)、目标VAAA的标识(VAAA-ID)、目标WAAA的标识(TWAAA-ID),以及目标AP的标识(TAP-ID)经VnMK加密发给源VAAA服务器;这些信息可携带在身份响应消息,如EAP Response/Identity消息发送给源VAAA服务器。其中,VnMK为源VAAA服务器与WLAN UE共享的拜访域根密钥。源VAAA服务器将身份响应消息,如EAP Response/Identity消息转发给HAAA服务器。
步骤66、HAAA服务器生成新的随机数H_N,并基于新的随机数H_N以及HAAA服务器与WLAN UE共享的家乡域根密钥MK,向WLAN UE发送挑战信息,如EAP Response/AKA-Challenge消息。
步骤67、WLAN UE根据自身与HAAA服务器共享的家乡域根密钥MK,向HAAA服务器发送挑战应答消息,同时发送WLAN UE产生的新的随机数(U_E)以及认证次数R_Counter。
步骤68-步骤69、HAAA服务器校验新的随机数H_N的正确性,同时校验认证次数R_Counter是否超出预设次数的限制,并验证MK是否处于有效期内。如果上述校验全部成功,则发送认证成功,如EAP-Success消息以及新生成的目标拜访域密钥V’nMK给目标VAAA服务器,同时删除HAAA服务器上的V’nMK。
步骤610-步骤611、VAAA服务器根据新拜访域根密钥V’nMK生成目标WLAN域的新根密钥W’nMK;将W’nMK以及EAP-Success消息发送给目标WAAA服务器,同时删除目标VAAA服务器上的W’nMK。
步骤612-步骤613、目标WAAA服务器根据W’nMK为目标AP生成目标WLAN域的新子密钥APnSK’,将APnSK’以及EAP-Success消息发送给目标AP,同时删除目标WAAA服务器上的APnSK’。
步骤614-步骤615、目标AP获取目标WLAN域子密钥APnSK’;向WLAN UE发送EAP-Success消息,用于通知UE切换过程已经完成。
步骤616、在WLAN UE端,WLAN UE仍按照对称密钥的思想生成相应的密钥,并于相应网元共享,如:根据MK生成VMK,并于VAAA服务器共享;根据VMK生成,并与WAAA服务器共享;根据WMK生成APnSK,并与AP共享。
步骤617、WLAN UE与目标AP通过四步握手方式,建立会话连接。
本实施例通过扩展的密钥层次,实现了WLAN UE在不同拜访域之间的切换,切换过程涉及的认证过程明显减少了冗余信息的转发,提高了认证效率。
对于其他切换场景,如:在同一WAAA域内不同AP之间的切换,或者同一拜访域内不同WLAN域之间的切换等应用场景中,密钥生成的分发方法的实现流程与本实施例相似,不再赘述。
图7为本发明第五实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图。当用户需要接入3G网络PDG的时候需要发起第二阶段(WLAN3GPP IP Access)认证,在图4的应用场景中,WLAN UE选择拜访域的PDG接入3G网络。如图7所示,第二阶段认证方法包括:
步骤71、WLAN UE和VAAA基于二者共享的拜访域根密钥VMK,推演得到拜访域子密钥VBK,VBK为WLAN UE与VAAA服务器共享的拜访域子密钥。
步骤72-步骤74、WLAN UE与拜访域内的PDG进行一次密钥信息交换(即DH交换),协商创建一个通信通道,如创建IKE SA通信通道,用于保护后续的通信。
步骤75、WLAN UE与PDG使用已经创建的IKE SA通信通道,建立IPsecSA通信通道,即建立IPSec安全关联。
本实施例在WLAN UE与PDG建立IPSec安全关联过程中,WLAN UE与VAAA服务器之间可使用VBK完成对认证信息的鉴别,该情形下,步骤75可包括步骤751-步骤757。
步骤751、WLAN UE根据VBK推演得到用于建立IPSec安全关联所需的密钥VBSK。
步骤752、WLAN UE将自身的认证信息经过VBSK加密处理后发送给PDG。
步骤753-步骤755、PDG向VAAA服务器获取用于建立IPSec安全关联所需的密钥VBSK,VAAA服务器根据VBK推演得到密钥VBSK,将VBSK发送给PDG。
步骤756-步骤757、PDG以VBSK密钥为基础,进行PDG与WLAN UE之间的双向认证,建立IPSec安全关联。
发明人在实现本发明实施例过程中发现,现有实现方式中,在IKE_SA建立之后开始进行IKE封装下的EAP-AKA认证。
本实施例取消了整个EAP-AKA的认证过程,基于随机数和WLAN UE与PDG共享的密钥VBSK进行认证,从而快速简便的实现WLAN UE与PDG双向认证的目的。
第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)发布的TS33.234规范中规定了UE接入3G网络所需要进行的认证方式和认证流程。对于一个仅仅期望获得WLAN服务的用户,3G网络能够提供的只是对该用户身份进行认证的服务,这在规范中被称为“WLAN Direct IP Access”(以下称为第一阶段认证)。而当用户希望获得3G网络的数据服务时,则在维持通过第一阶段认证而在WLAN网络中建立的安全连接的同时,还需要与3G网络中提供数据服务的PDG建立安全关联,这个过程在规范中被称为“WLAN3GPP IP Access”(以下称为第二阶段认证)。
可见,当UE期望从3G网络中获得数据服务时,保障数据服务的安全性有赖于两个认证阶段的安全关联。例如:当UE需要接入一个PDG时,UE需要通过两个阶段的认证,即:在第一阶段认证过程中,通过接入点(AccessPoint,简称AP)与认证授权计费(简称Authentication AuthorizationAccounting,简称AAA)服务器完成一次遵循可扩展认证协议-认证与密钥协商(Extensible Authentication Protocol-Authentication and KeyAgreement,简称EAP-AKA)协议的认证。在UE通过第一阶段的认证的前提下,进行第二阶段认证,并且在第二阶段认证过程中,须按照因特网密钥交换协议版本2(Internet Key Exchange,简称IKEv2)的规定,将遵循EAP-AKA协议的认证内容封装到遵循IKE协议的数据包格式中,并通过PDG再次在AAA服务器中获得认证。
发明人在实现本发明实施例过程中发现,现有3G-WLAN网络互操作过程中,第一阶段认证和第二阶段认证是两个完全独立的认证阶段,相互之间再密钥使用上没有连续性。EAP-AKA在两个阶段分别被执行,这样就产生了大量冗余的交互消息大大降低了WLAN UE接入网络和进行切换时的性能。当UE需要接入一个PDG时,其必须首先通过AP与HAAA完成一次EAP-AKA认证。接着,EAP-AKA又要按照IKEv2的规定被封装到IKE数据包格式中通过PDG,再次在家乡域的AAA服务器中获得认证。从本质上说,这种设计方式是两次EAP-AKA认证的简单累加,认证消息大量冗余,网络效率明显降低。如果考虑快速重认证(FR)和快速切换(FH)的情况,两个独立的认证阶段需要两个独立的FR或FH过程。然而,从33.234中规定的第二阶段的FR过程中可以看出,FR过程仅比完整的认证过程减少一步认证向量提取,几乎没有提升性能的空间。而且经历两个阶段认证的FH无论如何不能满足多媒体应用切换对时延的要求。为解决这个问题,33.234规定,当WLAN为3G网络所信任时,第一阶段的EAP-AKA认证可以被省略。从网络的逻辑结构上看,当用户不需要认证就可以获得本地IP从而接入WLAN时,相当于拆除了3G核心网络设备之前的屏障,将整个3G网络暴露在用户面前。攻击者可以直接对PDG发起DOS攻击,从而在更大范围上影响网络的性能。因此,这种以牺牲网络安全性为代价换取性能提高的方式并不可取。
本实施例建立两个认证阶段的关联,即根据第一阶段生成的拜访域根密钥VMK生成WLAN UE接入拜访域PDG所需的认证密钥(如VBK),在VAAA服务器上即可基于VBK进行对WLAN UE的身份信息进行鉴别,从而在第二阶段认证过程中,省去了一次完整的EAP-AKA认证过程,明显减少了冗余的多条信息转发,从而精简了认证步骤;此外,VAAA服务器可基于VBK对WLAN UE的快速重认证或快速切换流程进行认证决策,有利于提高快速重认证或快速切换流程中的认证效率。
发明人在实现本发明实施例过程中还发现,现有3G-WLAN网络互操作过程中,如图3c所示的密钥结构来看,EAP-AKA的家乡域根密钥MK是通过AV中的IK和CK导出的,因此,一次EAP-AKA认证过程中就将使用一组AV向量。可见,WLAN UE的一次接入WLAN-GW网络经过了两个阶段的认证,现有流程需使用两组AV。这样带来的后果就是相应AAA服务器将频繁经过多跳链路向只存在于家乡域的HLR/HSS申请AV。另外,如果WLAN UE的认证消息到达某AAA服务器,由于没有可供使用的AV,当前AAA服务器须经过多跳链路向HLR/HSS发出AV请求。经HLR/HSS查询发现,该WLAN UE通过另一AAA服务器完成注册,因此,当前AAA服务器收到的认证信息被转发到原注册的AAA服务器上,使用其已获得的AV向量组完成认证。如果此时原注册的AAA服务器上的AV恰好用完,则原注册的AAA服务器仍然需要向HLR/HSS申请AV,从而引入了更多跳数的转发链路。
本实施例通过建立两个认证阶段的关联,根据第一认证阶段生成的根密钥(MK、VMK或WMK)生成用于进行第二阶段认证的子密钥(HBK或VBK),因此,两个认证阶段只需要一组认证向量AV即可实现,节省了认证向量的使用数量,并提高了同一组认证向量的使用效率。
图8为本发明实施例提供的3G-WLAN网络结构示意图二。图8所示的网络接过对应的是WLAN UE漫游的另一应用场景。与图4对应3G-WLAN网络结构的区别在于,图8示出了PDG位于HPLMN中的情形。图9为本发明第六实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图。当用户需要接入3G网络PDG的时候需要发起第二阶段(WLAN 3GPP IP Access)认证,在图7的应用场景中,WLAN UE选择家乡域的PDG接入3G网络。如图9所示,第二阶段认证方法包括:
步骤91、WLAN UE和HAAA服务器基于二者共享的家乡域根密钥MK,推演得到拜访域子密钥HBK,HBK为WLAN UE与HAAA服务器共享的家乡域子密钥。
步骤92-步骤94、WLAN UE与家乡域内的PDG进行一次密钥信息交换(即DH交换),协商创建一个通信通道,如创建IKE_SA通信通道,用于保护后续的通信。
步骤95、WLAN UE与PDG使用已经创建的IKE_SA通信通道,建立IPsecSA通信通道,即建立IPSec安全关联。
本实施例在WLAN UE与PDG建立IPSec安全关联过程中,WLAN UE与HAAA服务器之间可使用HBK完成对认证信息的鉴别,该情形下,步骤95可包括步骤951-步骤957。
步骤951、WLAN UE根据HBK推演得到用于建立IPSec安全关联所需的密钥HBSK。
步骤952、WLAN UE将自身的认证信息经过HBSK加密处理后发送给PDG。
步骤953-步骤955、PDG向VAAA服务器获取用于建立IPSec安全关联所需的密钥HBSK,HAAA服务器接收PDG的认证请求,根据HBK推演得到密钥HBSK,通过认证响应将HBSK发送给PDG。
步骤956-步骤957、PDG以HBSK密钥为基础,进行PDG与WLAN UE之间的双向认证,建立IPSec安全关联。
本实施例通过建立两个认证阶段的关联,根据第一认证阶段生成的根密钥(MK、VMK或WMK)生成用于进行第二阶段认证的子密钥(HBK或VBK),因此,两个认证阶段只需要一组认证向量AV即可实现,节省了认证向量的使用数量,并提高了同一组认证向量的使用效率。
图10为本发明第七实施例提供的认证服务器结构示意图。如图10所示,本实施例认证服务器包括:家乡域根密钥生成模块101和拜访域根密钥生成和发送模块102。
家乡域根密钥生成模块101用于在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,以供自身基于上述家乡域根密钥,对用户设备接入家乡域内的第二网络进行认证。
拜访域根密钥生成和发送模块102用于在与自身关联的认证服务器包括拜访域认证服务器时,根据上述家乡域根密钥,为拜访域认证服务器生成拜访域根密钥,向拜访域认证服务器发送上述拜访域根密钥,以供拜访域认证服务器与用户设备基于上述拜访域根密钥,对用户设备接入拜访域内的第二网络进行认证。
在上述技术方案的基础上,认证服务器还可包括:WLAN域根密钥生成和发送模块103。
WLAN域根密钥生成和发送模块103用于在与自身关联的认证服务器包括无线局域网WLAN域认证服务器时,根据上述家乡域根密钥为WLAN域认证服务器生成WLAN域根密钥,向WLAN域认证服务器发送上述WLAN域根密钥,以供WLAN域认证服务器与用户设备基于上述WLAN域根密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
为了实现家乡域内不同分组数据网关之间的快速重认证或快速切换控制,认证服务器还可包括:家乡域子密钥生成模块104。
家乡域子密钥生成模块104用于根据上述家乡域根密钥,生成家乡域子密钥,以供自身与用户设备基于上述家乡域子密钥,进行上述用户设备在上述家乡域内的不同分组数据网关间的快速重认证或快速切换控制。
为了实现用户设备在家乡域内的会话接入控制,认证服务器还可包括:家乡域分密钥生成和发送模块105。
家乡域分密钥生成和发送模块105用于根据上述家乡域子密钥,生成家乡域分密钥;向家乡域内的分组数据网关发送上述家乡域分密钥,以供家乡域内的分组数据网关与用户设备基于上述家乡域分密钥,进行用户设备在家乡域内的会话接入认证控制。
为了实现用户设备在拜访域间的切换控制,认证服务器还可包括:拜访域切换控制模块106。
拜访域切换控制模块106用于和用户设备基于上述家乡域根密钥,进行用户设备从与自身关联的第一拜访域到与自身关联的第二拜访域之间的切换控制。
为了实现用户设备在WLAN域间的切换控制,认证服务器还可包括:WLAN域切换控制模块107。
WLAN域切换控制模块107用于和用户设备基于上述家乡域根密钥,进行用户设备从与自身关联的第一WLAN域到与上述自身关联的第二WLAN域之间的切换控制。
本发明实施例提供的认证服务器,可为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器,如拜访域认证服务器和/或WLAN域认证服务器分别生成不同层次的根密钥,以使得各层次的认证服务器根据各自与用户设备共享的根密钥,对本域内的认证过程进行控制,从而降低了家乡域认证服务器的认证负荷,减少了认证信息的多级转发,提高了用户设备接入融合网络时的认证效率,为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例认证服务器工作机理,可参见图1~图9对应实施例中关于家乡域认证服务器的记载,不再赘述。
图11为本发明第八实施例提供的用户设备结构示意图。如图11所示,本实施例用户设备包括:家乡域认证控制模块111和拜访域认证控制模块112。
家乡域认证控制模块111用于在接入第一网络的认证过程中,生成家乡域根密钥;与家乡域认证服务器基于上述家乡域根密钥,进行用户设备在家乡域内的第二网络的认证控制。
拜访域认证控制模块112用于根据上述家乡域根密钥,生成拜访域根密钥;与拜访域认证服务器基于上述拜访域根密钥,进行用户设备在拜访域内的第二网络的认证控制。
在上述技术方案的基础上,本发明实施例提供的用户设备还可包括:WLAN域认证控制模块113。
WLAN域认证控制模块113用于根据上述家乡域根密钥或拜访域根密钥,生成无线局域网WLAN域根密钥;与WLAN域认证服务器基于上述WLAN域根密钥,进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例提供的用户设备,在自身接入由第一网络和第二网络互通组成的融合网络过程中,通过与融合网络的不同层次的认证服务器生成共享的根密钥,基于各层次共享的根密钥进行相应层次的认证控制,因此少了认证信息的多级转发,有利于提高了用户设备接入融合网络时的认证效率,从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例用户设备工作机理,可参见图1~图9对应实施例中关于用户设备的记载,不再赘述。
图12为本发明第九实施例提供的通信系统结构示意图。如图12所示,本实施例通信系统包括:家乡域认证服务器121、拜访域认证服务器122和用户设备123。
家乡域认证服务器121用于在对用户设备123接入第一网络的认证过程中,生成家乡域根密钥,以供自身与用户设备123基于上述家乡域根密钥,对用户设备123接入家乡域内的第二网络进行认证;在与家乡域认证服务器121关联的认证服务器包括拜访域认证服务器122时,根据上述家乡域根密钥,为拜访域认证服务器122生成拜访域根密钥,向拜访域认证服务器122发送上述拜访域根密钥。
拜访域认证服务器122用于与用户设备123基于上述拜访域根密钥,对用户设备123接入拜访域内的第二网络进行认证。
用户设备123用于在接入第一网络的认证过程中,生成家乡域根密钥;与家乡域认证服务器121基于上述家乡域根密钥,进行用户设备123在家乡域内的第二网络的认证控制;根据上述家乡域根密钥,生成拜访域根密钥,与拜访域认证服务器122基于上述拜访域根密钥,进行用户设备123在拜访域内的第二网络的认证控制。
在上述技术方案的基础上,本实施例通信系统还可包括:WLAN域认证服务器124。
WLAN域认证服务器124可与家乡域认证服务器121关联,该情形下;
家乡域认证服务器121还用于在与自身关联的认证服务器包括WLAN域认证服务器124时,根据上述家乡域根密钥为WLAN域认证服务器124生成WLAN域根密钥,向WLAN域认证服务器124发送上述WLAN域根密钥。
WLAN域认证服务器124用于在与家乡域认证服务器121关联时,接收家乡域认证服务器121发送的上述WLAN域根密钥;与用户设备123基于上述WLAN域根密钥,进行用户设备123在上述WLAN域内不同接入点间的快速重认证或快速切换控制。
或者,WLAN域认证服务器124还可与拜访域认证服务器122关联,该情形下:
拜访域认证服务器122还用于在与自身关联的认证服务器包括WLAN域认证服务器124时,根据上述拜访域根密钥为WLAN域认证服务器124生成WLAN域根密钥,向WLAN域认证服务器124发送上述WLAN域根密钥;
WLAN域认证服务器124用于在与拜访域认证服务器122关联时,接收拜访域认证服务器122发送的上述WLAN域根密钥;与用户设备123基于上述WLAN域根密钥,进行用户设备123在上述WLAN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例提供的通信系统中,家乡域认证服务器为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器分别生成不同层次的根密钥,以使得各层次的认证服务器根据各自与用户设备共享的根密钥,对本域内的认证过程进行控制,从而降低了家乡域认证服务器的认证负荷,减少了认证信息的多级转发,提高了用户设备接入融合网络时的认证效率,为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例通信系统中各节点之间的交互机理,可参见图1~图9对应实施例的记载,不再赘述。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (16)
1、一种认证方法,其特征在于,包括:
家乡域认证服务器在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,与所述用户设备基于所述家乡域根密钥对用户设备接入家乡域内的第二网络进行认证;
在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,所述家乡域认证服务器根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥,以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
2、根据权利要求1所述的认证方法,其特征在于,
在与所述家乡域认证服务器关联的认证服务器包括无线局域网WLAN域认证服务器时,还包括:所述家乡域认证服务器根据所述家乡域根密钥为所述WLAN域认证服务器生成WLAN域根密钥,向所述WLAN域认证服务器发送所述WLAN域根密钥,以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制;或者
在与所述拜访域认证服务器关联的认证服务器包括WLAN域认证服务器时,还包括:所述拜访域认证服务器根据所述拜访域根密钥为所述WLAN域认证服务器生成WLAN域根密钥,向所述WLAN域认证服务器发送所述WLAN域根密钥,以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
3、根据权利要求1或2所述的认证方法,其特征在于,
在所述家乡域认证服务器生成所述家乡域根密钥之后,还包括:所述家乡域认证服务器根据所述家乡域根密钥生成家乡域子密钥,与所述用户设备基于所述家乡域子密钥进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制;或者
在所述家乡域认证服务器生成所述家乡域根密钥之后,还包括:所述家乡域认证服务器根据所述家乡域子密钥生成家乡域分密钥;向家乡域内的分组数据网关发送所述家乡域分密钥,以供所述家乡域内的分组数据网关与所述用户设备基于所述家乡域分密钥,对所述用户设备在家乡域内的会话进行接入认证控制;或者
在所述家乡域认证服务器生成所述拜访域根密钥之后,还包括:所述拜访域认证服务器根据所述拜访域根密钥生成拜访域子密钥,以供所述拜访域认证服务器与所述用户设备基于所述拜访域子密钥,进行所述用户设备在拜访域内的不同分组数据网关间的快速重认证或快速切换控制;或者
在所述家乡域认证服务器生成所述拜访域子密钥之后,还包括:所述拜访域认证服务器根据所述拜访域子密钥生成拜访域分密钥;向拜访域内的分组数据网关发送所述拜访域分密钥,以供所述拜访域内的分组数据网关与所述用户设备基于所述拜访域分密钥,进行所述用户设备在拜访域内的会话接入认证控制;或者
在所述家乡域认证服务器生成所述WLAN域根密钥之后,还包括:所述WLAN认证服务器根据所述WLAN域根密钥生成WLAN域子密钥;向所述WLAN域内的接入点发送所述WLAN域子密钥,以供所述WLAN域内的接入点与所述用户设备基于所述WLAN域子密钥进行所述用户设备在WLAN域内的会话接入认证控制;或者在所述家乡域认证服务器生成所述家乡域根密钥之后,还包括:所述家乡域认证服务器与所述用户设备基于所述家乡域根密钥,进行所述用户设备从与所述家乡域认证服务器关联的第一拜访域到与所述家乡域认证服务器关联的第二拜访域之间的切换控制;或者
在所述家乡域认证服务器生成所述家乡域根密钥之后,还包括:所述家乡域认证服务器与所述用户设备基于所述家乡域根密钥,进行所述用户设备从与所述家乡域认证服务器关联的第一WLAN域到与所述家乡域认证服务器关联的第二WLAN域之间的切换控制;或者
在所述家乡域认证服务器生成所述拜访域根密钥之后,还包括:所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥,进行所述用户设备从与所述拜访域认证服务器关联的第一WLAN域到与所述拜访域认证服务器关联的第二WLAN域之间的切换控制。
4、根据权利要求1或2所述的认证方法,其特征在于,采用以下公式生成所述拜访域根密钥:
VnMK=PRF(MK||RAND||HAAA_ID||VnAAA_ID||UEM)
上式中,“VnMK”为拜访域根密钥,“PRF”为密钥推演函数,“MK”为家乡域根密钥;“RAND”为由家乡域认证服务器生成的随机数;“HAAA_ID”为家乡域认证服务器的标识,“VnAAA_ID”为拜访域认证服务器的标识,“UEM”为用户设备的介质访问控制地址。
5、根据权利要求2所述的认证方法,其特征在于,
采用以下公式生成所述WLAN域根密钥:
WnMK=PRF(MK||RAND||HAAA_ID||WnAAA_ID||UEM)
上式中,“WnMK”为WLAN域根密钥,“PRF”为密钥推演函数,“MK”为家乡域根密钥;“RAND”为由家乡域认证服务器生成的随机数;“HAAA_ID”为家乡域认证服务器的标识,“WnAAA_ID”为WLAN域认证服务器的标识,“UEM”为用户设备的介质访问控制地址;或者
采用以下公式生成所述WLAN域根密钥:
WnMK=PRF(VnMK||RANDn||WnAAA_ID||UEM)
上式中,“WnMK”为WLAN域根密钥,“PRF”为密钥推演函数,“VnMK”为拜访域根密钥,“RANDn”为由拜访域认证服务器生成的随机数,“WnAAA_ID”为WLAN域认证服务器的标识,“UEM”为用户设备的介质访问控制地址。
6、根据权利要求3所述的认证方法,其特征在于,
采用以下公式生成所述家乡域子密钥:
HBK=PRF(IMSI||HAAA-ID||EAP-AKA SessionID||MK||UEM)
上式中,“HBK”为家乡域子密钥,“PRF”为密钥推演函数,“IMSI”为用户设备的长期身份信息,“HAAA_ID”为家乡域认证服务器的标识,“MK”为家乡域根密钥,“UEM”为用户设备的介质访问控制地址,“EAP-AKASessionID”为当前会话标识;
采用以下公式生成所述家乡域分密钥:
HBSK=PRF(HBK||H_N||HAAA_ID||PDG_ID||UEM)
上式中,“HBK”为家乡域子密钥;“HBSK”为家乡域分密钥;“H_N”为家乡域认证服务器生成的随机数;“PDG_ID”为用户设备连接的家乡域内的分组数据网关的标识;“HAAA_ID”为分组数据网关连接的家乡域认证服务器的标识;
采用以下公式生成所述拜访域子密钥:
VBK=PRF(IMSI||VAAA_ID||EAP-AKA SessionID||VnMK||UEM)
上式中,“VBK”为拜访域子密钥,“PRF”为密钥推演函数,“IMSI”为用户设备的身份标识,“VAAA_ID”为拜访域认证服务器的标识,“EAP-AKASessionID”为当前会话标识,“MK”为家乡域根密钥,“UEM”为用户设备的介质访问控制地址;
采用以下公式生成所述拜访域分密钥:
VBSK=PRF(VBK||V_N||VAAA_ID||PDG_ID||UEM)
上式中,“VBSK”为拜访域分密钥;“V_N”为拜访域服务器生成的随机数;“PDG_ID”为用户设备连接的拜访域内的分组数据网关的标识;“VAAA_ID”为分组数据网关连接的拜访域认证服务器的标识。
采用以下公式生成所述WLAN域子密钥:
APnSK=PRF(WnMK||APn_ID||UEM)
上式中,“APnSK”为WLAN域子密钥,“PRF”为密钥推演函数,“WnMK”为WLAN域根密钥,“APn_ID”为用户设备连接的WLAN域内的接入点的标识,“UEM”为用户设备的介质访问控制地址。
7、一种认证方法,其特征在于,包括:
用户设备在接入第一网络的认证过程中生成家乡域根密钥;与家乡域认证服务器基于所述家乡域根密钥进行所述用户设备在家乡域内的第二网络的认证控制;
所述用户设备根据所述家乡域根密钥,生成拜访域根密钥;与拜访域认证服务器基于所述拜访域根密钥进行所述用户设备在拜访域内的第二网络的认证控制。
8、根据权利要求7所述的认证方法,其特征在于,在所述用户设备生成所述家乡域根密钥或拜访域根密钥之后,还包括:
所述用户设备根据所述家乡域根密钥或拜访域根密钥,生成无线局域网WLAN域根密钥;与WLAN域认证服务器基于所述WLAN域根密钥进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
9、根据权利要求7或8所述的认证方法,其特征在于,
在所述用户设备生成所述家乡域根密钥之后,还包括:根据所述家乡域根密钥生成家乡域子密钥;与所述家乡域认证服务器基于所述家乡域子密钥进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制;或者
在所述用户设备生成所述家乡域子密钥之后,还包括:根据所述家乡域子密钥,生成家乡域分密钥;与家乡域内的分组数据网关基于所述家乡域分密钥进行所述用户设备在家乡域内的会话接入认证控制;或者
在生成所述拜访域根密钥之后,还包括:根据所述拜访域根密钥生成拜访域子密钥;与所述拜访域认证服务器基于所述拜访域子密钥进行所述用户设备在所述拜访域内不同分组数据网关间的快速重认证或快速切换控制;或者
在所述用户设备生成所述拜访域子密钥之后,还包括:根据所述拜访域子密钥生成拜访域分密钥;与拜访域内的分组数据网关基于所述拜访域分密钥进行所述用户设备在拜访域内的会话接入认证控制;或者
在所述用户设备生成所述WLAN域根密钥之后,还包括:根据所述WLAN域根密钥生成WLAN域子密钥;与所述WLAN域认证服务器基于所述WLAN域子密钥进行所述用户设备在WLAN域内的会话接入认证控制。
10、一种认证服务器,其特征在于,包括:
家乡域根密钥生成模块,用于在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,以供自身与所述用户设备基于所述家乡域根密钥,对所述用户设备接入家乡域内的第二网络进行认证;
拜访域根密钥生成和发送模块,用于在与自身关联的认证服务器包括拜访域认证服务器时,根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥,以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
11、根据权利要求10所述的认证服务器,其特征在于,还包括:
WLAN域根密钥生成和发送模块,用于在与自身关联的认证服务器包括无线局域网WLAN域认证服务器时,根据所述家乡域根密钥为所述WLAN域认证服务器生成WLAN域根密钥,向所述WLAN域认证服务器发送所述WLAN域根密钥,以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
12、根据权利要求10或11所述的认证服务器,其特征在于,所述认证服务器至少还包括以下任意一种模块:
家乡域子密钥生成模块,用于根据所述家乡域根密钥,生成家乡域子密钥,以供自身与所述用户设备基于所述家乡域子密钥,进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制;
家乡域分密钥生成和发送模块,用于根据所述家乡域子密钥,生成家乡域分密钥;向家乡域内的分组数据网关发送所述家乡域分密钥,以供所述家乡域内的分组数据网关与所述用户设备基于所述家乡域分密钥,进行所述用户设备在家乡域内的会话接入认证控制;
拜访域切换控制模块,用于和所述用户设备基于所述家乡域根密钥,进行所述用户设备从与自身关联的第一拜访域到与自身关联的第二拜访域之间的切换控制;
WLAN域切换控制模块,用于和所述用户设备基于所述家乡域根密钥,进行所述用户设备从与自身关联的第一WLAN域到与所述自身关联的第二WLAN域之间的切换控制。
13、一种用户设备,其特征在于,包括;
家乡域认证控制模块,用于在接入第一网络的认证过程中生成家乡域根密钥;与家乡域认证服务器基于所述家乡域根密钥进行用户设备在家乡域内的第二网络的认证控制;
拜访域认证控制模块,用于根据所述家乡域根密钥生成拜访域根密钥;与拜访域认证服务器基于所述拜访域根密钥进行所述用户设备在拜访域内的第二网络的认证控制。
14、根据权利要求13所述的用户设备,其特征在于,所述用户设备还包括:
WLAN域认证控制模块,用于根据所述家乡域根密钥或拜访域根密钥,生成无线局域网WLAN域根密钥;与WLAN域认证服务器基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
15、一种通信系统,其特征在于,包括:家乡域认证服务器、拜访域认证服务器和用户设备;
所述家乡域认证服务器用于在对用户设备接入第一网络的认证过程中,生成家乡域根密钥,以供自身与所述用户设备基于所述家乡域根密钥,对所述用户设备接入家乡域内的第二网络进行认证;在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时,根据所述家乡域根密钥,为所述拜访域认证服务器生成拜访域根密钥,向所述拜访域认证服务器发送所述拜访域根密钥;
所述拜访域认证服务器用于与所述用户设备基于所述拜访域根密钥,对所述用户设备接入拜访域内的第二网络进行认证。
16、根据权利要求15所述的通信系统,其特征在于,还包括:WLAN域认证服务器;
所述家乡域认证服务器还用于在与自身关联的认证服务器包括WLAN域认证服务器时,根据所述家乡域根密钥为所述WLAN域认证服务器生成WLAN域根密钥,向所述WLAN域认证服务器发送所述WLAN域根密钥;
所述WLAN域认证服务器用于在与所述家乡域认证服务器关联时,接收所述家乡域认证服务器发送的所述WLAN域根密钥;与所述用户设备基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制;或者
所述WLAN域认证服务器用于在与所述拜访域认证服务器关联时,接收所述拜访域认证服务器发送的所述WLAN域根密钥;与所述用户设备基于所述WLAN域根密钥,进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101593272A CN101594616B (zh) | 2009-07-08 | 2009-07-08 | 认证方法、服务器、用户设备及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101593272A CN101594616B (zh) | 2009-07-08 | 2009-07-08 | 认证方法、服务器、用户设备及通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594616A true CN101594616A (zh) | 2009-12-02 |
| CN101594616B CN101594616B (zh) | 2012-05-23 |
Family
ID=41408994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101593272A Active CN101594616B (zh) | 2009-07-08 | 2009-07-08 | 认证方法、服务器、用户设备及通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101594616B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624719A (zh) * | 2012-03-02 | 2012-08-01 | 汉柏科技有限公司 | Aaa认证方法 |
| CN104077302A (zh) * | 2013-03-28 | 2014-10-01 | 中国银联股份有限公司 | 一种大用户量账户存储和检索及认证系统 |
| CN104769982A (zh) * | 2013-10-23 | 2015-07-08 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
| WO2016201990A1 (zh) * | 2015-06-19 | 2016-12-22 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| WO2017000620A1 (zh) * | 2015-06-29 | 2017-01-05 | 中兴通讯股份有限公司 | 重认证识别方法、演进分组数据网关及系统 |
| CN106454822A (zh) * | 2015-08-10 | 2017-02-22 | 佳能株式会社 | 通信设备及其控制方法 |
| CN107710676A (zh) * | 2015-07-15 | 2018-02-16 | 日立汽车系统株式会社 | 网关装置及其控制方法 |
| CN108111477A (zh) * | 2016-11-24 | 2018-06-01 | 丰田自动车株式会社 | 车辆用认证系统 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN108702620A (zh) * | 2016-02-23 | 2018-10-23 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| CN109792652A (zh) * | 2016-08-18 | 2019-05-21 | 康维达无线有限责任公司 | 用于服务和会话连续性的网络服务暴露 |
| CN110139273A (zh) * | 2019-05-31 | 2019-08-16 | 无锡东源工业自动化有限公司 | 一种用于物联网无线传输的安全加固方法及系统 |
| CN111404871A (zh) * | 2019-11-19 | 2020-07-10 | 杭州海康威视系统技术有限公司 | 服务器对接方法和装置 |
| US10849191B2 (en) | 2016-07-13 | 2020-11-24 | Huawei International PTE., Ltd. | Unified authentication for heterogeneous networks |
| CN112075094A (zh) * | 2017-12-27 | 2020-12-11 | 泰雷兹数字安全法国股份有限公司 | 用于更新一次性秘密密钥的方法 |
-
2009
- 2009-07-08 CN CN2009101593272A patent/CN101594616B/zh active Active
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624719A (zh) * | 2012-03-02 | 2012-08-01 | 汉柏科技有限公司 | Aaa认证方法 |
| CN104077302A (zh) * | 2013-03-28 | 2014-10-01 | 中国银联股份有限公司 | 一种大用户量账户存储和检索及认证系统 |
| CN104769982B (zh) * | 2013-10-23 | 2019-05-03 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
| CN104769982A (zh) * | 2013-10-23 | 2015-07-08 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
| WO2016201990A1 (zh) * | 2015-06-19 | 2016-12-22 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| WO2017000620A1 (zh) * | 2015-06-29 | 2017-01-05 | 中兴通讯股份有限公司 | 重认证识别方法、演进分组数据网关及系统 |
| CN107710676A (zh) * | 2015-07-15 | 2018-02-16 | 日立汽车系统株式会社 | 网关装置及其控制方法 |
| CN107710676B (zh) * | 2015-07-15 | 2021-03-23 | 日立汽车系统株式会社 | 网关装置及其控制方法 |
| CN106454822A (zh) * | 2015-08-10 | 2017-02-22 | 佳能株式会社 | 通信设备及其控制方法 |
| CN108702620A (zh) * | 2016-02-23 | 2018-10-23 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| US10849191B2 (en) | 2016-07-13 | 2020-11-24 | Huawei International PTE., Ltd. | Unified authentication for heterogeneous networks |
| US11464074B2 (en) | 2016-08-18 | 2022-10-04 | Ipla Holdings Inc. | Network service exposure for service and session continuity |
| CN109792652A (zh) * | 2016-08-18 | 2019-05-21 | 康维达无线有限责任公司 | 用于服务和会话连续性的网络服务暴露 |
| CN108111477A (zh) * | 2016-11-24 | 2018-06-01 | 丰田自动车株式会社 | 车辆用认证系统 |
| CN108111477B (zh) * | 2016-11-24 | 2020-09-29 | 丰田自动车株式会社 | 车辆用认证系统 |
| CN108347417B (zh) * | 2017-01-24 | 2020-08-07 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN112075094A (zh) * | 2017-12-27 | 2020-12-11 | 泰雷兹数字安全法国股份有限公司 | 用于更新一次性秘密密钥的方法 |
| CN112075094B (zh) * | 2017-12-27 | 2024-04-30 | 泰雷兹数字安全法国简易股份公司 | 用于更新一次性秘密密钥的方法 |
| CN110139273A (zh) * | 2019-05-31 | 2019-08-16 | 无锡东源工业自动化有限公司 | 一种用于物联网无线传输的安全加固方法及系统 |
| CN111404871A (zh) * | 2019-11-19 | 2020-07-10 | 杭州海康威视系统技术有限公司 | 服务器对接方法和装置 |
| CN111404871B (zh) * | 2019-11-19 | 2022-07-08 | 杭州海康威视系统技术有限公司 | 服务器对接方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101594616B (zh) | 2012-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101594616B (zh) | 认证方法、服务器、用户设备及通信系统 | |
| US8495360B2 (en) | Method and arrangement for providing a wireless mesh network | |
| CN103460736B (zh) | 在无线网络中管理数字证书的灵活系统和方法 | |
| US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
| CN101946536B (zh) | 演进网络中的应用特定的主密钥选择 | |
| US7933591B2 (en) | Security in a mobile communications system | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| CN101536463B (zh) | 在下一代移动网络中生成用于保护的密钥 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| WO2002068418A2 (en) | Authentication and distribution of keys in mobile ip network | |
| CN101682630A (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
| KR20100056454A (ko) | 네트워크 노드들 간의 보안 통신 수립 방법, 네트워크 노드 및 네트워크 | |
| CN101681402A (zh) | 用于证书处理的方法和布置 | |
| Kambourakis et al. | Advanced SSL/TLS-based authentication for secure WLAN-3G interworking | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN101926188A (zh) | 对通信终端的安全策略分发 | |
| CN111787532B (zh) | 一种协商5g移动通信网络安全能力的方法 | |
| EP2282564A1 (en) | Pre-authentication method, authentication system and authentication apparatus | |
| CN102833747B (zh) | 分离机制移动性管理系统实现接入认证的密钥分发方法 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
| Moroz et al. | Methods for ensuring data security in mobile standards | |
| Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks | |
| Wu et al. | An authentication, authorization, and accounting mechanism for 3G/WLAN networks | |
| Ameur et al. | Secure Reactive Fast Proxy MIPv6-Based NEtwork MObility (SRFP-NEMO) for Vehicular Ad-hoc Networks (VANETs). |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518129 Building 2, B District, Bantian HUAWEI base, Longgang District, Shenzhen, Guangdong. Co-patentee after: Xidian University Patentee after: Huawei Terminal (Shenzhen) Co., Ltd. Address before: 518129 Building 2, B District, Bantian HUAWEI base, Longgang District, Shenzhen, Guangdong. Co-patentee before: Xidian University Patentee before: Huawei Device Co., Ltd. |