CN101621374A - 一种网络认证的方法、装置、系统及服务器 - Google Patents
一种网络认证的方法、装置、系统及服务器 Download PDFInfo
- Publication number
- CN101621374A CN101621374A CN200810068193A CN200810068193A CN101621374A CN 101621374 A CN101621374 A CN 101621374A CN 200810068193 A CN200810068193 A CN 200810068193A CN 200810068193 A CN200810068193 A CN 200810068193A CN 101621374 A CN101621374 A CN 101621374A
- Authority
- CN
- China
- Prior art keywords
- function entity
- user
- access management
- management function
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种网络认证的方法、装置、系统及服务器。本发明所述方法包括:当用户从第一接入管理功能实体附着到第二接入管理功能实体时,接收来自所述第一接入管理功能实体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;根据所述认证密钥,对用户进行认证。解决了现有技术中用户在域内和域间切换时,耗时长,且安全性差,导致用户业务的丢包甚至暂时中断业务的问题,实现了用户在域内或者域间移动的安全的认证,提高了用户认证的安全性、可靠性。
Description
技术领域
本发明涉及通信领域的网络技术,具体指一种网络认证的方法、装置、系统及服务器。
背景技术
目前,在下一代网络(Next Generation Network,NGN)的网络架构中,强调了固定和移动的网络融合,基于这个融合的网络,当用户切换到新的网络附着点的时候,从安全角度考虑需要进行安全认证。当用户通过安全认证之后,才能够被网络接纳,同时,在用户和网络之间建立子密钥,保护后续用户和网络侧的信息交互。因此,当用户在不同网络附着点间移动的时候,给用户提供更好的业务体验,快速、低时间延迟的无缝切换是非常有必要的。
对于移动用户,存在两种认证需求。一个是网络接入认证(network accessservice authentication)需求,另一个是移动认证(mobility service authentication)。网络接入认证已经在ITU、TISAPAN都有相应的标准,称为网络附着子系统(Network Attachment Control Functions,NACF),规定了用户在接入到网络之前所需要的认证,例如用户的IP地址分配,向用户设备发布其他的网络配置参数等过程。移动认证是移动业务认证,通过移动认证的用户,才可以在网络间进行漫游和切换。从二者实现方式上看,可以分为融合式和独立式两种。独立式是指网络接入认证和移动认证各自独立,采用不同的认证系统独立认证互不影响。网络接入认证就用现在ITU Y.NACF,TISPAN NASS等类似的网络附着功能来实现,移动认证则另外采用独立的认证功能实体来实现。在融合式模式下,移动用户通过一套认证系统一次认证来同时解决网络接入认证和移动认证。一旦用户被认证通过,即可认为网络接入认证和移动认证都通过了,用户可以接入到网络,可以在网络间进行移动。由于用户在移动过程中在目标切换网络的认证相对目标网络来讲,也是一次网络接入认证,因此二者存在一定的内在关联,故而基于融合式认证的方法更容易被接受。
上述的认证过程,需要被认证者和网络侧认证功能实体多次交互才能完成。特别是在移动场景中,用户需要在同种甚至异种接入网络中进行切换,如果每次都需要复杂的完整的认证过程,那么用户在域内和域间切换时就会非常耗时,且安全性差,导致用户业务的丢包甚至暂时中断业务,影响用户的体验。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种网络认证的方法、装置、系统及服务器,用以解决用户在域内和域间切换时,耗时长,且安全性差的问题。
为实现上述目的,本发明实施例提供如下的技术方案:
一种网络认证方法,包括:当用户从第一接入管理功能实体附着到第二接入管理功能实体时,所述方法包括:接收来自所述第二接入管理功能实体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;根据所述第二接入管理功能实体的安全域的认证密钥,对用户进行认证。
一种网络认证系统,包括:接入管理功能实体、传送层认证功能实体代理;所述接入管理功能实体,用于与传送层认证功能实体代理进行信息交互,发送用户认证请求给传送层认证功能实体代理;所述传送层认证功能实体代理,用于根据所述用户认证请求,获得用户附着的安全域的认证密钥;根据所述用户附着的安全域的认证密钥,对用户进行认证。
一种传送层认证功能实体代理装置,包括:存储单元,用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第一接入管理功能实体的安全域的认证密钥;处理单元,用于根据存储单元存储的所述接入管理功能实体的安全域的认证密钥,将获得的所述第一接入管理功能实体的安全域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给认证单元;认证单元:用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
另一种传送层认证功能实体代理装置,包括:存储单元,用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第二接入管理功能实体的安全域的认证密钥;认证单元,用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
一种网络认证服务器,包括:请求接收单元,用于接收用户认证请求;请求响应单元,用于响应所述用户认证请求,并向传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
本发明实施例能够解决现有技术中用户在域内和域间切换时,耗时长,且安全性差,导致用户业务的丢包甚至暂时中断业务的问题,实现了用户在域内或者域间移动的安全认证,提高了用户认证的安全性、可靠性。
附图说明
图1-1为本发明实施方式中一种跨安全域的组网示意图;
图1-2为本发明实施方式中一种安全域内的组网示意图;
图2为本发明实施方式中一种跨安全域的网络认证方法流程图;
图3为本发明实施方式中一种安全域内的网络认证方法流程图;
图4为本发明实施方式中一种网络认证系统的结构图;
图5为本发明实施方式中一种传送层认证功能实体代理装置结构图;
图6为本发明实施方式中另一种传送层认证功能实体代理装置结构图;
图7为本发明实施方式中一种网络认证服务器。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施例作进一步地详细描述。
本发明实施例提供了一种网络认证方法,当用户从接入管理功能实体附着到第二接入管理功能实体时,接收来自所述第一接入管理功能实体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;根据所述第二接入管理功能实体的安全域的认证密钥,对用户进行认证。所述认证请求具体为:用户第一次接入安全域的完全认证和用户在安全域内的重新认证;所述第二接入管理功能实体的安全域的认证密钥具体根据第一接入管理功能实体和所述第二接入管理功能实体是否属于同一安全域而不同。
本发明实施例的应用场景为,用户的业务签约地在家乡网(HomeNetwork),所述用户的移动业务相关信息存储在家乡网,当用户漫游到拜访网(Visited Network),在拜访地进行域内切换和跨域(即域间)切换。
所述移动业务相关信息为配置信息,共享密钥(即原始会话协商密钥),移动业务配置参数等信息。所述拜访网的安全域(也称“接入管理域”)是根据每个域按照唯一一组管理实体组成来划分的,所述管理实体组包括移动管理功能子系统(Mobility Management Control Functions,MMCF)、传送层认证授权功能实体(Transport Authentication Funtional Entity,TAA-FE)、接入管理功能实体(Access Management Functional Entity,AM-FE)的一种或几种的组合。
下面具体结合下面的附图进行详细说明
请参阅图1-2为一种跨安全域的组网示意图,结合图2对发明一实施方式中一种跨安全域的网络认证方法流程图作具体介绍。
所述图1-2为用户10从所在第一安全域20附着至第二安全域30的组网示意图。用户10从所在第一安全域20的接入管理功能实体2002(AccessManagement Functional Entity,AM-FE1)移动至第二安全域30的接入管理功能实体3002(AM-FE3),第二安全域30的传送层认证授权功能实体代理3006(Transport Authentication and Authoriztion Functional Entity,TAA-FEproxy2)根据用户发送的完全认证请求,确定第二安全域的认证密钥,根据所述第二安全域的认证密钥,对所述用户进行完全认证。结合图2对网络认证的方法作进一步地详细描述。
在步骤S200中,用户(UE)发启完全认证请求。
用户在跨域认证前需要判断附着点AM-FE1和AM-FE3是在同一安全域内还是在不同的安全域,具体判断步骤如下:
用户向周边发起二层链路扫描,发现周边的接入点,并获得周边接入点(Access Point,AP)或基站(Base Station,BS)的标识;然后用户携带备选或目标接入点的标识信息,向当前所在网络发起查询,获得备选或目标接入点所属的接入域信息,即本发明实施例中AM-FE3的信息;若用户通过判断结果,检测到AM-FE1和AM-FE3在不同的安全域,则用户发起完全认证请求;若AM-FE1和AM-FE3在相同的安全域,则用户发起重新认证请求。本发明实施例的图2流程图即为AM-FE1和AM-FE3在不同的安全域,即域间切换认证的场景,即发起完全认证请求。所述用户为移动用户,例如手机终端等;所述完全认证请求为预先完全认证(Pre-Authentication)。所述认证请求包括用户名、密码、用户初始门控信息、家乡域信息、用户标识、原始共享密钥等。
步骤S202中:AM-FE1将所述完全认证请求发送给AM-FE3,所述AM-FE3转发给TAA-FE proxy1。
步骤S204中:所述TAA-FE proxy1将用户相关的信息承载在所述认证请求中,判断并发送所述完全认证请求给TAA-FE sever进行安全认证。
所述认证服务器TAA-FE sever位于家乡网,TAA-FE proxy1位于拜访网的第一安全域中,因此所述TAA-FE proxy1首先根据接收的完全认证请求信息中的家乡网信息判断将所述完全认证请求发送给家乡网的TAA-FE sever;然后将AM-FE2的域名或域标识(ID)等用户相关的信息承载在所述完全认证请求中,并发送给位于家乡网的TAA-FE sever。
所述认证请求包括:用户附着的安全域的标识(ID)或者域名信息的一种或多种的任意组合,也可以包括用户协商的序列号(SEQ)等信息;所述用户相关信息可以是TAA-FE proxy1承载在完全认证请求中,也可以是用户发送完全认证请求时就将所述用户相关信息承载在完全认证请求中。
步骤S205中:所述TAA-FE sever根据认证请求,与第一安全域内的传送层用户配置库功能实体(TUP-FE)进行信息交互,确认用户是否为合法用户。
具体为:所述认证服务器根据认证请求,与第一安全域内的传送层用户配置库功能实体(TUP-FE)进行信息交互,获取第一安全域内TUP-FE的移动配置信息;根据所述移动配置信息,通过挑战字协商,原始共享密钥等对所述用户身份信息(ID)进行认证,确认所述用户是否为合法用户。
所述传送层用户配置库功能实体(TUP-FE)存储所述用户的移动配置信息,所述移动配置信息包括:传送用户标识、支持的认证方法列表、密钥、移动用户的网络配置信息(如:IP地址)、最大接入带宽、网络切换策略等信息的一种或多种。
步骤S206:所述TAA-FE sever根据所述安全认证请求携带的原始共享密钥信息和AM-FE3所在安全域的域ID或域名,生成所在安全域的认证密钥(DSRK),并存储当前域的认证密钥,同时,将所述认证密钥返回给TAA-FEproxy1。
具体为:所述TAA-FE sever根据所述安全认证请求中携带的原始共享密钥信息和AM-FE3所在安全域的域ID或域名,生成AM-FE3所在安全域的认证密钥(DSRK),将所述认证密钥发送给所述第一安全域内的第一传送层认证功能实体代理TAA-FE proxy1。由TAA-FE sever分层次生成该第二接入管理功能实体的安全域的认证密钥,使得系统便于统一管理和存储安全域的认证密钥信息。
也可以由TAA-FE proxy1生成第二接入管理功能实体的安全域的认证密钥。由第二接入管理功能实体所在的域的认证功能实体代理生成所述认证密钥(DSRK),可以便于简化认证流程,方便用户直接在第二接入管理功能实体的安全域直接完成认证过程。
当然,步骤S206和步骤S206’是互为代替的两个步骤,各有优点,因此执行该步骤时,可以由步骤S206完成该步骤的过程,也可以由步骤S206’完成该过程。
步骤S208:TAA-FE proxy1根据认证服务器返回的认证密钥,对用户进行认证。
所述TAA-FE proxy1接收到当前域的认证密钥(DSRK)并保存,同时,所述TAA-FE proxy1根据所述第一安全域的认证密钥,与用户进行协商,生成所述用户和所述第一安全域内的其他功能实体之间的子密钥;并将相应的子密钥配置到相应的功能实体,即所述TAA-FE proxy1根据接收到当前域的认证密钥(DSRK),生成用户与NAC-FE之间的子密钥,生成用户与MMCF之间的子密钥;同时,所述TAA-FE proxy1将相应的子密钥分别配置到相应的功能实体上,建立起用户到各个功能实体之间的安全通道,完成初始化用户认证,以充分保证后续过程信息交互的安全性和可靠性。所述子密钥也可以理解为所述用户和所述第一安全域内的其他功能实体之间的安全联盟。所述第一安全域内的其他功能实体至少包括:网络地址配置功能实体NAC-FE、和移动管理功能子系统MMCF,即完成用户的完全认证,以充分保证后续过程信息交互的安全性和可靠性。
在本发明实施例中,通过用户检测到第一接入管理功能实体与第二接入管理功能实体属于不同安全域时,向位于家乡域的认证服务器发起完全认证请求;所述认证服务器根据传送成认证功能实体代理携带原始共享密钥和第二接入管理功能实体所属的域的标识(ID)或者域名,分层生成认证密钥,并发送生成的认证密钥,使得用户与其它各功能实体生成相对应的子密钥,完成用户的跨域的完全认证,在充分保证了用户在域间移动的安全性和可靠性的基础上,降低了用户在域内移动中的认证延时,使得用户体验到更为平滑的网络切换效果。
请参阅图1-2为一种安全域内的组网示意图,结合图3对本发明实施方式中一种安全域内的网络认证方法流程图作具体介绍。
所述图1-2为用户10从所在第一安全域20内的接入管理功能实体2002(Access Management Functional Entity,AM-FE1)附着至第一安全域20内的接入管理功能实体2004(AM-FE2)时的组网示意图。传送层认证授权功能实体代理2006(Transport Authentication and Authoriztion Functional Entity,TAA-FEproxy1)根据所述用户10发送的重新认证请求,确定第一安全域20的认证密钥;根据所述认证密钥对用户进行重新认证,结合图3对网络认证的方法作进一步地详细描述。
步骤S300:当用户在第一安全域内从AM-FE1附着至第一安全域内的AM-FE2时,用户发送重新认证请求。
具体为:用户在域内认证前需要判断附着点AM-FE1和AM-FE3是否在同一安全域内,具体判断步骤如下:
用户向周边发起二层链路扫描,发现周边的接入点,并获得周边接入点(Access Point,AP)或基站(Base Station,BS)的标识;然后用户携带备选或目标接入点的标识信息,向当前所在网络发起查询,获得备选或目标接入点所属的接入域信息,即本发明实施例中AM-FE2的信息;若用户通过判断结果,检测到AM-FE1和AM-FE2在相同的安全域,则用户发起重认证请求;所述认证请求包括:用户附着的安全域的标识(ID)或者域名信息的一种或多种的任意组合,也可以包括用户协商的序列号(SEQ)等信息。
步骤S302中:AM-FE1将所述重新认证请求发送给AM-FE2,所述AM-FE2转发给TAA-FE proxy1。
步骤S304中:所述TAA-FE proxy1接收到所述用户发送的重新认证请求时,根据所述第一安全域的认证密钥,对用户进行认证。
TAA-FE proxy1接收到所述用户发送的重新认证请求时,根据所述用户的重新认证请求,直接查找出所述用户所在第一安全域的认证密钥,即AM-FE1所在域的认证密钥;根据所述认证密钥,与功能实体NAC-FE、MMCF进行协商,生成相应的多个子密钥,并将多个子密钥配置到相应的功能实体,使得通过TAA-FE proxy1,建立起用户到各个功能实体之间的子密钥,完成用户在第一安全域内从AM-FE1附着至第一安全域内的AM-FE2的重新认证,以充分保证后续过程信息交互的安全性和可靠性。
其中,所述第一安全域的认证密钥是用户首次接入安全域时完成完全认证过程中,由认证服务器生成并发送给TAA-FE proxy1,所述TAA-FE proxy1保存所述第一安全域的认证密钥,当用户从同一安全域内的AM-FE1移动到AM-FE2时,直接查询获取AM-FE1所在安全域的认证密钥,其具体认证过程参照上面实施例中的步骤S200到步骤S206,这里不再详细描述。
在本发明实施例中,通过TAA-FE proxy1根据用户所在域的认证密钥(DSRK),对用户进行域内认证,实现了用户在域内一次认证成功后即可通过移动业务认证,使其在保证用户在域内移动的安全性和可靠性的基础上,降低了用户在域内移动中的重认证延时,使得用户体验到更为平滑的网络切换效果。
请参阅图4,为本发明实施方式中一种网络认证系统的组成结构示意图。
一种网络认证系统40,包括:接入管理功能实体402、传送层认证功能实体代理404。
所述接入管理功能实体402,用于与传送层认证功能实体代理进行信息交互,发送用户认证请求给传送层认证功能实体代理;进一步而言,所述接入管理功能实体402支持用户认证信息的预认证,所述预认证为本发明实施例提到的用户重新认证和用户完全认证。
所述传送层认证功能实体代理404,用于根据所述用户认证请求,获得用户附着的安全域的认证密钥;根据所述用户附着的安全域的认证密钥,对用户进行认证。所述用户附着的安全域为与所述接入管理功能实体的安全域相同的其它接入管理功能实体的安全域;和/或所述用户附着的安全域为与所述接入管理功能实体的安全域不相同的其它接入管理功能实体的安全域。
所述传送层认证功能实体代理404支持对一次用户会话的,来自不同的接入管理功能实体的多个关联绑定状态。多个关联绑定状态中,有一个时Active状态,多个是Proactive状态,并能根据移动切换状态的情况进行关联状态转换。
所述系统进一步还包括:认证服务器406,和/或其它功能实体408。
所述认证服务器406:用于接收用户认证请求,根据用户认证请求向所述传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。所述认证密钥由安全域的标识ID和/或域名信息确定。
所述其它功能实体408,所述其它功能实体与用户之间具有基于所述认证密钥的子密钥,其中,所述其它功能实体包括网络地址配置功能实体、传送层用户配置功能实体和移动管理功能子系统的一个或多个功能实体。其中,网络地址配置功能实体,用于实现IP地址和接入参数的配置;传送层用户配置功能实体,用于保存用户移动相关的配置信息及用户订制的配置文件,例如:不同接入技术下允许支持的最大接入带宽,网络切换策略,移动位置管理器地址等;移动管理功能子系统,用于实现用户的地址绑定更新功能;还可以包括:传送位置管理功能实体,用于支持一次用户会话的多个关联绑定状态,并能根据移动切换的情况,进行状态转化,并将目标或备选接入点的位置信息(如接入点AP信息或基站BS信息,以及目标或备选接入管理功能实体的信息或接入路由器的信息),作为位置信息,提供给资源接纳控制功能子系统。
请参阅图5,为本发明实施方式中一种传送层认证功能实体代理装置的组成结构示意图。
一种接入管理功能实体代理装置50,包括:存储单元502:用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第一传送认证功能实体的安全域的认证密钥;
处理单元504:用于根据存储单元存储的所述第一传送认证功能实体的安全域的认证密钥,将获得的所述第一传送认证功能实体的安全域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给认证单元。
认证单元506:用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
请参阅图6,为本发明另一实施方式中一种传送层认证功能实体代理装置的组成结构示意图。
一种传送层认证功能实体代理装置60,包括:
存储单元602:用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第二传送认证功能实体的安全域的认证密钥;
认证单元604:用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
所述传送层认证功能实体代理进一步包括:密钥生成单元606:用于根据所述第二接入管理功能实体的安全域的标识ID和/或域名信息生成所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给所述存储单元。
请参阅图7,为本发明另一实施方式中一种传送层认证功能实体代理装置的组成结构示意图。
一种网络认证服务器70,其特征在于,包括:请求接收单元702,用于接收用户认证请求;请求响应单元704,用于响应所述用户认证请求,并向传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
综上所述,本发明实施例提出了一种网络认证的方法、装置、系统及服务器,克服了现有技术中用户在域内和域间切换时,耗时长,且安全性差,导致用户业务的丢包甚至暂时中断业务的问题,实现了用户在域内或者域间移动的快速、安全的认证,降低了用户在移动过程中的重新认证延时,提高了用户认证的安全性、可靠性,确保了无缝的、更为平滑的网络切换效果。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并补局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应该涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (13)
1.一种网络认证方法,其特征在于,当用户从第一接入管理功能实体附着到第二接入管理功能实体时,所述方法包括:
接收来自所述第二接入管理功能实体转发的用户认证请求;
根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;
根据所述第二接入管理功能实体的安全域的认证密钥,对用户进行认证。
2、根据权利要求1所述的网络认证方法,其特征在于,所述第一接入管理功能实体,所述第二接入管理功能实体属于不同安全域,所述获得所述第二接入管理功能实体的安全域的认证密钥的步骤具体包括:
根据所述第二接入管理功能实体的安全域的标识ID和/或域名信息生成所述第二接入管理功能实体的安全域的认证密钥;和/或
将所述第二接入管理功能实体的安全域的标识ID和/或域名信息发送给认证服务器,并接收所述认证服务器返回的所述第二接入管理功能实体的安全域的认证密钥。
3、根据权利要求1所述的网络认证方法,其特征在于,所述第一接入管理功能实体和所述第二接入管理功能实体属于同一安全域,所述获得所述第二接入管理功能实体的安全域的认证密钥的步骤具体包括:
获得所述第一接入管理功能实体的安全域的认证密钥,将获得的所述第一接入管理功能实体的安全域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥。
4、根据权利要求1所述的网络认证方法,其特征在于,所述方法进一步包括:
根据所述认证密钥,与用户进行协商,生成所述用户和其他功能实体之间的子密钥;所述其他功能实体包括网络地址配置功能实体、传送层用户配置功能实体和移动管理功能子系统的一个或多个功能实体。
5、一种网络认证系统,其特征在于,包括:接入管理功能实体、传送层认证功能实体代理;
所述接入管理功能实体,用于与传送层认证功能实体代理进行信息交互,发送用户认证请求给传送层认证功能实体代理;
所述传送层认证功能实体代理,用于根据所述用户认证请求,获得用户附着的安全域的认证密钥;根据所述用户附着的安全域的认证密钥,对用户进行认证。
6、根据权利要求5所述的网络认证系统,其特征在于,所述用户附着的安全域为其它接入管理功能实体的安全域,其中,所述其它接入管理功能实体的安全域与所述接入管理功能实体的安全域相同和/或不同。
7、根据权利要求5所述的网络认证系统,其特征在于,所述系统进一步包括:
认证服务器:用于接收用户认证请求,根据用户认证请求向所述传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
8、根据权利要求5、6或7所述的网络认证系统,其特征在于,所述认证密钥由安全域的标识ID和/或域名信息确定。
9、根据权利要求5所述的网络认证系统,其特征在于,所述系统进一步包括其它功能实体,所述其它功能实体与用户之间具有基于所述认证密钥的子密钥,其中,所述其它功能实体包括网络地址配置功能实体、传送层用户配置功能实体和移动管理功能子系统的一个或多个功能实体。
10、一种网络认证装置,其特征在于,包括:
存储单元:用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第一接入管理功能实体的安全域的认证密钥;
处理单元:用于根据存储单元存储的所述第一接入管理功能实体的安全域的认证密钥,将获得的所述第一接入管理功能实体的安全域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给认证单元;
认证单元:用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
11、一种网络认证装置,其特征在于,包括:
存储单元:用于存储接入管理功能实体的安全域的认证密钥,所述认证密钥包括:第二接入管理功能实体的安全域的认证密钥;
认证单元:用于根据处理单元发送的认证密钥,根据所述认证密钥对用户进行认证。
12、根据权利要求11所述的网络认证装置,其特征在于,所述传送层认证功能实体代理进一步包括:
密钥生成单元:用于根据所述第二接入管理功能实体的安全域的标识ID和/或域名信息生成所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给所述存储单元。
13、一种网络认证服务器,其特征在于,包括:
请求接收单元,用于接收用户认证请求;
请求响应单元,用于响应所述用户认证请求,并向传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810068193A CN101621374A (zh) | 2008-06-30 | 2008-06-30 | 一种网络认证的方法、装置、系统及服务器 |
| KR1020107029076A KR20110021945A (ko) | 2008-06-30 | 2009-06-25 | 네트워크 인증을 위한 방법, 장치, 시스템 및 서버 |
| EP09771955A EP2293611A4 (en) | 2008-06-30 | 2009-06-25 | METHOD, DEVICE, SYSTEM AND SERVER FOR NETWORK AUTHENTICATION |
| PCT/CN2009/072447 WO2010000185A1 (zh) | 2008-06-30 | 2009-06-25 | 一种网络认证的方法、装置、系统及服务器 |
| US12/962,352 US20110078442A1 (en) | 2008-06-30 | 2010-12-07 | Method, device, system and server for network authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810068193A CN101621374A (zh) | 2008-06-30 | 2008-06-30 | 一种网络认证的方法、装置、系统及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101621374A true CN101621374A (zh) | 2010-01-06 |
Family
ID=41465496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810068193A Pending CN101621374A (zh) | 2008-06-30 | 2008-06-30 | 一种网络认证的方法、装置、系统及服务器 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20110078442A1 (zh) |
| EP (1) | EP2293611A4 (zh) |
| KR (1) | KR20110021945A (zh) |
| CN (1) | CN101621374A (zh) |
| WO (1) | WO2010000185A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013135172A1 (zh) * | 2012-03-12 | 2013-09-19 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法、装置及系统 |
| WO2013185531A1 (zh) * | 2012-06-14 | 2013-12-19 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
| CN104916101A (zh) * | 2015-04-14 | 2015-09-16 | 北京网河时代科技有限公司 | 蓝牙4.0墙壁开关控制系统 |
| WO2015139630A3 (en) * | 2014-03-18 | 2015-11-12 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
| CN105991602A (zh) * | 2015-02-26 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 数据访问方法及数据访问系统 |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| CN113766498A (zh) * | 2020-06-01 | 2021-12-07 | 中国电信股份有限公司 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321395B (zh) * | 2008-06-24 | 2012-01-11 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与系统 |
| CN101730093B (zh) * | 2009-02-20 | 2013-01-16 | 中兴通讯股份有限公司 | 安全切换方法及系统 |
| CN102131192B (zh) * | 2010-01-15 | 2016-06-15 | 中兴通讯股份有限公司 | Ngn中保护三层移动性用户面数据安全的方法和系统 |
| US9491619B2 (en) * | 2010-09-27 | 2016-11-08 | Infosys Technologies Ltd. | Method and system for preauthenticating a mobile node |
| US8719568B1 (en) * | 2011-06-30 | 2014-05-06 | Cellco Partnership | Secure delivery of sensitive information from a non-communicative actor |
| US20130074158A1 (en) * | 2011-09-20 | 2013-03-21 | Nokia Corporation | Method and apparatus for domain-based data security |
| FR3007920A1 (fr) * | 2013-06-28 | 2015-01-02 | France Telecom | Procede de changement de cle d'authentification |
| CN103634796B (zh) * | 2013-12-06 | 2017-02-01 | 北京航空航天大学 | 一种空天信息网络漫游可信安全接入方法 |
| ES2896057T3 (es) * | 2015-10-08 | 2022-02-23 | Ericsson Telefon Ab L M | Nodo para su uso en una red de comunicación y método para operar el mismo |
| CN106209374B (zh) * | 2016-06-24 | 2019-02-15 | 西安电子科技大学 | 基于卫星网络安全域的节点证书颁布方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005015938A1 (en) * | 2003-08-01 | 2005-02-17 | Ntt Docomo, Inc. | Inter-domain handover |
| US7461248B2 (en) * | 2004-01-23 | 2008-12-02 | Nokia Corporation | Authentication and authorization in heterogeneous networks |
| CN100563186C (zh) * | 2005-07-11 | 2009-11-25 | 华为技术有限公司 | 一种在无线接入网中建立安全通道的方法 |
| CN1905734B (zh) * | 2005-07-25 | 2010-05-05 | 华为技术有限公司 | 一种目标基站获取鉴权密钥的方法及系统 |
| CN100561914C (zh) * | 2005-08-25 | 2009-11-18 | 华为技术有限公司 | 获取密钥的方法 |
| KR100755394B1 (ko) * | 2006-03-07 | 2007-09-04 | 한국전자통신연구원 | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 |
| JP4920328B2 (ja) * | 2006-07-04 | 2012-04-18 | ソフトバンクモバイル株式会社 | 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム |
| US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
-
2008
- 2008-06-30 CN CN200810068193A patent/CN101621374A/zh active Pending
-
2009
- 2009-06-25 KR KR1020107029076A patent/KR20110021945A/ko not_active Application Discontinuation
- 2009-06-25 WO PCT/CN2009/072447 patent/WO2010000185A1/zh active Application Filing
- 2009-06-25 EP EP09771955A patent/EP2293611A4/en not_active Withdrawn
-
2010
- 2010-12-07 US US12/962,352 patent/US20110078442A1/en not_active Abandoned
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013135172A1 (zh) * | 2012-03-12 | 2013-09-19 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法、装置及系统 |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| WO2013185531A1 (zh) * | 2012-06-14 | 2013-12-19 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
| US9698978B2 (en) | 2012-06-14 | 2017-07-04 | Zte Corporation | Network equipment and authentication and key management method for same |
| WO2015139630A3 (en) * | 2014-03-18 | 2015-11-12 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
| CN105991602A (zh) * | 2015-02-26 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 数据访问方法及数据访问系统 |
| CN104916101A (zh) * | 2015-04-14 | 2015-09-16 | 北京网河时代科技有限公司 | 蓝牙4.0墙壁开关控制系统 |
| CN104916101B (zh) * | 2015-04-14 | 2018-07-06 | 北京网河时代科技有限公司 | 蓝牙4.0墙壁开关控制系统 |
| CN113766498A (zh) * | 2020-06-01 | 2021-12-07 | 中国电信股份有限公司 | 密钥分发方法、装置、计算机可读存储介质及基站 |
| CN113766498B (zh) * | 2020-06-01 | 2023-03-21 | 中国电信股份有限公司 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110078442A1 (en) | 2011-03-31 |
| EP2293611A1 (en) | 2011-03-09 |
| WO2010000185A1 (zh) | 2010-01-07 |
| KR20110021945A (ko) | 2011-03-04 |
| EP2293611A4 (en) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101621374A (zh) | 一种网络认证的方法、装置、系统及服务器 | |
| RU2745719C2 (ru) | Реализация функции межсетевого взаимодействия с использованием недоверенной сети | |
| EP2624522B1 (en) | Enabling seamless offloading between wireless local-area networks in fixed mobile convergence systems | |
| US8897257B2 (en) | Context transfer in a communication network comprising plural heterogeneous access networks | |
| KR20100054178A (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
| US20080092212A1 (en) | Authentication Interworking | |
| WO2008057731A2 (en) | Providing mobile core services independent of a mobile device | |
| US20170093868A1 (en) | Device authentication to capillary gateway | |
| US7551914B2 (en) | Authentication in a communication network | |
| KR101460766B1 (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| CN113498060B (zh) | 一种控制网络切片认证的方法、装置、设备及存储介质 | |
| US9137661B2 (en) | Authentication method and apparatus for user equipment and LIPA network entities | |
| US20230396602A1 (en) | Service authorization method and system, and communication apparatus | |
| CN115361685B (zh) | 一种端到端漫游认证方法、系统 | |
| JP4793826B2 (ja) | 移動端末のハンドオーバにおける認証方法及びシステム | |
| US7813718B2 (en) | Authentication in a communication network | |
| CN101288273A (zh) | 独立于介质的预验证改进的框架 | |
| KR101434750B1 (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| WO2023216273A1 (zh) | 密钥管理方法、装置、设备及存储介质 | |
| CN116471590A (zh) | 终端接入方法、装置及鉴权服务功能网元 | |
| CN117641358A (zh) | 通信方法和通信装置 | |
| CN101394664B (zh) | 移动节点、实现媒体无关切换的方法及系统 | |
| CN117413488A (zh) | 密钥管理方法、装置、设备和存储介质 | |
| Fu et al. | SeQoMo architecture: interactions of security, QoS and mobility components |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100106 |