CN101753533A - 协商认证方式的方法、装置和系统 - Google Patents
协商认证方式的方法、装置和系统 Download PDFInfo
- Publication number
- CN101753533A CN101753533A CN 200810218044 CN200810218044A CN101753533A CN 101753533 A CN101753533 A CN 101753533A CN 200810218044 CN200810218044 CN 200810218044 CN 200810218044 A CN200810218044 A CN 200810218044A CN 101753533 A CN101753533 A CN 101753533A
- Authority
- CN
- China
- Prior art keywords
- authentication mode
- terminal
- certificate server
- support
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种协商认证方式的方法、装置和系统,其中,发送携带终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;接收所述认证服务器发送的所述双方都支持的认证方式。由此,本发明实现了终端和认证服务器之间在认证前协商共同支持的认证方式。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种协商认证方式的方法、装置和系统。
背景技术
微波接入全球互操作性(Worldwide Interoperability for MicrowaveAccess,WiMAX)是基于美国电气与电子工程师协会(Institute of Electricaland Electronics Engineering,IEEE)802.16规范的一项新兴宽带无线接入技术,它能提供面向互联网的高速连接和远距离覆盖,具有服务质量(Qualityof Service,QoS)保障、传输速率高、业务丰富、安全可靠、支持高速移动等优点。WiMAX采用了代表未来通信技术发展方向的正交频分复用(Orthogonal Frequency Division Multiplexing,OFDM)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、多进多出(Multiple Input Multiple Output,MIMO)等先进技术。
WiMAX的安全接入是通过认证来完成的。认证涉及的网元有移动台(Mobile Station,MS),基站(Base Station,BS),网关(Gateway,GW),认证、鉴权、计费(Authentication Authorization Accounting,AAA)服务器。在入网的基本能力(SSBasicCapabilities,SBC)协商中,MS与GW将进行认证策略(Authorization policy)协商,即双方采用可扩展认证协议(ExtensibleAuthentication Protocol,EAP)认证或RSA认证或不支持认证。对于符合IEEE802.16e规范的设备来说,如果MS与GW都支持认证,那么双方将采用EAP认证。EAP本身支持多种认证方式,如当前广泛使用的可扩展认证协议-传输层安全(EAP-Transport Layer Security,EAP-TLS)、可扩展认证协议-隧道传输层安全(EAP-Tunnel Transport Layer Security,EAP-TTLS)、可扩展认证协议-认证密钥协议(EAP-Authentication and Key Agreement,EAP-AKA)、可扩展认证协议-用户身份鉴别模件(EAP-SubscriberIdentification Module,EAP-SIM)等。而且,对于一些认证方式如EAP-TTLS,认证中可以建立安全隧道,在安全隧道中还可以进行挑战握手认证协议(Challenge Handshake Authentication Protocol,CHAP)、MS-CHAPv1、MS-CHAPv2认证。
认证双方需要确定共同的认证方式进行后续的认证,目前终端(如MS)与网络侧(如GW或AAA服务器)采用人工进行认证方式、隧道方法的相应配置。但由于用户不是专业人员,其配置操作无法保证正确性。并且目前各种商用终端和GW(或AAA服务器)都实现了各种主要的EAP认证方式,如果终端MS与网络侧设备(GW或AAA)是不同厂商的,则终端与网络侧设备之间的互联互通性将无法实现。
发明内容
本发明实施例提供一种协商认证方式的方法,通过在认证前终端和网络侧的动态协商,确定终端和网络侧双方都支持的认证方式,从而免除认证前的配置过程,增强不同厂家的终端与网络侧的互联互通性。
本发明实施例还提供一种协商认证方式的装置和系统。
根据上述目的,本发明实施例的技术方案是这样实现的:
一种协商认证方式的方法,包括:发送携带终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;接收所述认证服务器发送的所述双方都支持的认证方式。
一种协商认证方式的方法,包括:接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求;根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式,确定双方都支持的认证方式;将所述双方都支持的认证方式发送给所述认证服务器。
一种终端,包括:发送单元,用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;接收单元,与所述发送单元相连,用于接收所述认证服务器发送的所述双方都支持的认证方式。
一种基站,包括:接收单元,用于接收终端发送的携带终端支持的认证方式的基本能力请求消息,以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答;封装单元,用于将所述终端支持的认证方式封装到所述第一协商请求中,以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中;发送单元,用于将所述第一协商请求发送到所述认证服务器,以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。
一种认证服务器,包括:接收单元,用于接收终端发送的携带终端支持的认证方式的第一协商请求;决策单元,用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式;发送单元,用于发送所述双方都支持的认证方式给所述终端。
一种协商认证方式的系统,包括依次连接的终端、基站和认证服务器,所述终端,用于发送携带终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;并接收所述认证服务器发送的所述双方都支持的认证方式。
一种终端,包括:接收单元,用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求;决策单元,用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;发送单元,用于将所述双方都支持的认证方式发送给所述认证服务器。
一种认证服务器,包括:发送单元,用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端,以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;接收单元,用于接收所述终端发送的所述双方都支持的认证方式。
一种协商认证方式的系统,包括连接的终端和认证服务器,所述终端,用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求;根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;并将所述双方都支持的认证方式发送给所述认证服务器。
从上述方案可以看出,本发明实施例提供的协商认证方式的方法、装置和系统,终端和认证服务器之间通过在认证前协商双方都支持的认证方式,从而确定后续认证要使用的共同的认证方式,避免用户等人为参与,保证认证的正常进行,并且也能实现不同厂商的终端与网络侧设备的互通。
附图说明
图1是本发明第一实施例中协商认证方式的方法流程图;
图2是本发明第二实施例中协商认证方式的方法交互流程图;
图3是本发明第三实施例中协商认证方式的方法流程图;
图4是本发明第四实施例的终端的结构示意图;
图5是本发明第五实施例的基站的结构示意图;
图6是本发明第六实施例的认证服务器的结构示意图;
图7是本发明第八实施例的终端的结构示意图;
图8是本发明第九实施例的认证服务器的结构示意图;
图9是本发明第十实施例的协商认证方式的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明实施例作进一步的详细描述。
本发明的第一实施例提供了一种协商认证方式的方法,如图1所示。
步骤101:终端发送携带终端支持的认证方式的第一协商请求到认证服务器,此步骤使得所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送给终端。
步骤102:该终端接收所述认证服务器发送的所述双方都支持的认证方式。
综上所述,采用本发明实施例的协商认证方式的方法,确定了后续认证要使用的共同的认证方式,避免人为参与,从而保证认证过程的正常进行。
本发明的第二实施例提供了一种协商认证方式的方法,如图2所示,是终端、基站和认证服务器之间的交互流程图。
步骤201:终端发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站。
步骤202:基站将所述终端支持的认证方式封装到第一协商请求中。
步骤203:基站将封装好的第一协商请求发送给所述认证服务器。
步骤204:认证服务器收到第一协商请求后,根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式。
其中,认证服务器确定双方都支持的认证方式,根据的是终端是否通过用户验证。当终端首次发放时,终端中包含数字证书,如以WIMAX终端为例,终端中还包括初次使用时通信的频点信息。当终端首次开机上电时,终端和认证服务器的交互采取设备认证的方法。当终端采取设备认证首次运行,在预存的频点上使用数字证书与认证服务器通信,开户(开通用户名和密码等用户账户信息)和需要的业务。
当终端被重启后,由于终端已经有用户名和密码等用户账户信息,此时终端和认证服务器的认证采用的是用户认证,认证方式的安全程度高于终端首次使用时的设备认证。
认证服务器根据终端是否是首次上电,判断应该和终端确定怎样的一种双方都支持的认证方式。
当终端是首次使用时,认证服务器从终端支持的认证方式、和自己支持的认证方式中,选择与设备认证对应的认证方式。如EAP-TLS是一种与设备认证对应的认证方式,当终端支持的认证方式和自己支持的认证方式中都有这种认证方式时,认证服务器可以选择这种和设备认证对应的认证方式作为协商结果,以供后续的认证过程使用。
当终端在首次使用后经过重新启动后和认证服务器通信,可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有EAP-TTLS、EAP-AKA和EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时,认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。
步骤205:认证服务器发送第一协商应答给基站。
步骤206:基站收到第一协商应答后,将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。
步骤207:基站发送封装好的基本能力应答消息给终端。
本实施例提供的协商认证方式的方法在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商之前,还包括终端和基站之间的包括测距等入网初始化的流程。
本实施例的终端具体可以是移动台,移动台支持的认证方式包含在基本能力请求中发送给基站。基站进行重新封装后,携带在终端状态改变请求中发给认证服务器。同样的,认证服务器确定双方都支持的认证方式后,通过终端状态改变应答将双方都支持的认证方式携带其中,发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中,并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后,可以进行后续的认证过程。
具体地,终端支持的认证方式和终端、认证服务器都支持的认证方式采用类型-长度-内容(Type-Length-Value,TLV)三元组表示。更进一步,可通过TLV中的内容字段的布尔类型的数值表示,以表1为例:
| Type | Length | Value |
| 待定 | 1个或2个字节 | 每位代表一种EAP认证方式,如果置1,则表明终端支持此认证方式,如:Bit#0:EAP-TLSBit#1:EAP-TTLS...(其它认证方式) |
表1
该TLV的长度为1个或两个字节,其每位可以事先定义与一种认证方式相对应,若该位置1,即表示支持该种认证方法,如:若Bit#0置1,则表示支持EAP-TLS方法。在能力协商中,MS在基本能力请求消息中携带该TLV,上报给BS,BS再通过终端状态改变请求发送给认证服务器(认证服务器具体可以设置在网关GW中)。GW此时可以选取与MS共同支持的某种认证方法,通过终端状态改变应答消息发送给BS,BS再通过基本能力应答消息发送给MS。
EAP-TTLS是一种可以进行隧道认证的认证方式,其中隧道用于传送用户名、密码等需加密的数据。如果采用这种认证方式传送终端支持的认证方式和终端、认证服务器都支持的认证方式,则还需要在隧道认证中定义如下表所示的TLV:
| Type | Length | Value |
| 待定 | 1个或2个字节 | 每位代表一种隧道认证方法,如果置1,则表明终 |
| 端支持此认证方法,如:Bit#0:CHAPBit#1:MSCHAPv1Bit#1:MSCHAPv2 |
表2
在上表中,若Bit#0置1,则表示支持CHAP方法。隧道认证的协商方法和表1对应的实施例中的协商认证方式的方法相似,此处不再赘述。
综上所述,采用本发明实施例的协商认证方式的方法,通过在终端、基站和认证服务器间在进行认证之前的能力协商过程中,增加携带终端认证方式和终端和认证服务器都支持的认证方式的TLV,实现终端和认证服务器在认证过程之前的认证方式的动态协商,使后续的认证能顺利进行。
本发明的第四实施例提供了一种终端,如图4所示,包括互相连接的发送单元和接收单元。
其中发送单元用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送。
接收单元用于接收所述认证服务器发送的所述双方都支持的认证方式。
具体的,该发送单元用于发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站,所述基站将所述终端支持的认证方式封装到所述第一协商请求中后,发送所述第一协商请求到所述认证服务器。
接收单元具体用于接收由基站发送的包含所述双方都支持的认证方式的基本能力应答消息。
其中,所述基本能力应答消息中的所述双方都支持的认证方式,由所述基站接收到所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答后,将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。
本实施例中的协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商的能力协商之前,还包括终端和基站之间的包括测距等入网初始化的流程。
本实施例的终端具体可以是移动台,移动台支持的认证方式包含在基本能力请求中发送给基站。基站进行重新封装后,携带在终端状态改变请求中发给认证服务器。同样的,认证服务器确定双方都支持的认证方式后,通过终端状态改变应答将双方都支持的认证方式携带其中,发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中,并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后,可以进行后续的认证过程。
该实施例中,终端支持的认证方式和双方都支持的认证方式可以通过类型-长度-内容三元组表示,具体可参考表1和表2对应的实施例,此处不再赘述。
上述实施例中的终端通过向网络侧的认证服务器发起协商第一协商请求,使得网络侧的认证服务器根据自身支持的认证方式和终端上报的自身支持的认证方式选择双方都支持的认证方式,保证后续的认证的正常进行,无需手工配置,并也能保证终端与网络侧的互通。
本发明的第五实施例提供了一种基站,如图5所示,包括依次互相连接的接收单元、封装单元和发送单元。
其中,接收单元用于接收终端发送的携带终端支持的认证方式的基本能力请求消息,以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答。
封装单元用于将所述终端支持的认证方式封装到所述第一协商请求中,以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中。
发送单元用于将所述第一协商请求发送到所述认证服务器,以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。
本实施例的协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商的能力协商之前,还包括终端和基站之间的包括测距等入网初始化的流程。
本实施例的终端具体可以是移动台,移动台支持的认证方式包含在基本能力请求中发送给基站。基站进行重新封装后,携带在终端状态改变请求中发给认证服务器。同样的,认证服务器确定双方都支持的认证方式后,通过终端状态改变应答将双方都支持的认证方式携带其中,发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中,并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后,可以进行后续的认证过程。
上述实施例中的基站为所述终端服务的当前基站,通过将终端发送的终端支持的认证方式重新封装到第一协商应答中,并发送给认证服务器,使得认证服务器能够根据终端支持的认证方式和认证服务器自身支持的认证方式,选择适合终端和认证服务器的认证方式,为后续的认证过程做好了准备。
本发明的第六实施例提供了一种认证服务器,如图6所示,包括依次互相连接的接收单元、决策单元和发送单元。
接收单元用于接收终端发送的携带终端支持的认证方式的第一协商请求。
决策单元用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式。
发送单元用于发送所述双方都支持的认证方式给所述终端。
进一步的,上述决策单元包括判断单元和确定单元。
所述判断单元用于判断所述终端是否通过用户认证和设备认证;
所述确定单元用于当所述终端通过用户认证时,确定双方都支持的认证方式为所述用户认证对应的认证方式;
所述确定单元还用于当所述终端通过设备认证、未通过用户认证时,确定双方都支持的认证方式为所述设备认证对应的认证方式。
其中,认证服务器确定双方都支持的认证方式,根据的是终端是否通过用户验证。当终端首次发放时,终端中包含数字证书,如以WIMAX终端为例,终端中还包括初次使用时通信的频点信息。当终端首次开机上电时,终端和认证服务器的交互采取设备认证的方法。当终端采取设备认证首次运行,在预存的频点上使用数字证书与认证服务器通信,开户(开通用户名和密码等用户账户信息)和需要的业务。
当终端被重启后,由于终端已经有用户名和密码等用户账户信息,此时终端和认证服务器的认证采用的是用户认证,认证方式的安全程度高于终端首次使用时的设备认证。
认证服务器根据终端是否是首次上电,判断应该和终端确定怎样的一种双方都支持的认证方式。
当终端是首次使用时,认证服务器从终端支持的认证方式、和自己支持的认证方式中,选择与设备认证对应的认证方式。如EAP-TLS是一种与设备认证对应的认证方式,当终端支持的认证方式和自己支持的认证方式中都有这种认证方式时,认证服务器可以选择这种和设备认证对应的认证方式作为协商结果,以供后续的认证过程使用。
当终端在首次使用后经过重新启动后和认证服务器通信,可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有EAP-TTLS、EAP-AKA和EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时,认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。
在终端和认证服务器之间传递的终端支持的认证方式和终端、认证服务器都支持的认证方式,采用类型-长度-内容(Type-Length-Value,TLV)三元组表示。具体三元组的定义和传递过程,可参考表1和表2对应的实施例。该认证服务器具体可以设置在网关等网络设备中。
综上所述,本发明实施例的认证服务器,根据终端传递的终端支持的认证方式和认证服务器自身支持的认证方式,以及终端是否通过用户认证,确定终端和认证服务器在认证过程中应选择的认证方式,为后续两者之间的认证通信进行了铺垫,并且该协商过程无需手工配置,也保证了终端与网络侧的互通。
本发明的第七实施例提供了一种协商认证方式的系统,如图2所示,包括依次连接的终端、基站和认证服务器。
其中,终端用于发送携带终端支持的认证方式的第一协商请求到认证服务器,所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送。
所述终端接收所述认证服务器发送的所述双方都支持的认证方式。
上述协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商之前,还包括终端和基站之间的包括测距等入网初始化的流程。
在上述协商认证方式的方法中,认证服务器确定双方都支持的认证方式,根据终端是否通过用户验证。当终端首次发放时,终端中包含数字证书,如以WIMAX终端为例,终端中还包括初次使用时通信的频点信息。当终端首次开机上电时,终端和认证服务器的交互采取设备认证的方法。当终端采取设备认证首次运行,在预存的频点上使用数字证书与认证服务器通信,开户(开通用户名和密码等用户账户信息)和需要的业务。
当终端被重启后,由于终端已经有用户名和密码等用户账户信息,此时终端和认证服务器的认证采用的是用户认证,认证方式的安全程度高于终端首次使用时的设备认证。
认证服务器根据终端是否是首次上电,判断应该和终端确定怎样的一种双方都支持的认证方式。
当终端是首次使用时,认证服务器从终端支持的认证方式、和自己支持的认证方式中,选择与设备认证对应的认证方式。如EAP-TLS是一种与设备认证对应的认证方式,当终端支持的认证方式和自己支持的认证方式中都有这种认证方式时,认证服务器可以选择这种和设备认证对应的认证方式作为协商结果,以供后续的认证过程使用。
当终端在首次使用后经过重新启动后和认证服务器通信,可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有EAP-TTLS、EAP-AKA和EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时,认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。
本实施例的终端具体可以是移动台,移动台支持的认证方式可以包含在基本能力请求中发送给为该移动台服务的当前基站。基站进行重新封装后,携带在终端状态改变请求中发给认证服务器。同样的,认证服务器确定双方都支持的认证方式后,通过终端状态改变应答将双方都支持的认证方式携带其中,发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中,并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后,可以进行后续的认证过程。
关于终端支持的认证方式和终端和认证服务器都支持的认证方式在传递中的表示方式,可使用类型-长度-内容三元组TLV表示,具体可参照方法实施例中表1和表2对应的实例的说明,此处不再赘述。
综上所述,采用本发明实施例的协商认证方式的系统,终端、基站和认证服务器间在进行认证之前的能力协商过程中,增加了携带终端认证方式和终端和认证服务器都支持的认证方式的TLV,实现终端和认证服务器在认证过程之前的认证方式的动态协商,使后续的认证能顺利进行。
本发明的第三实施例提供了一种协商认证方式的方法,如图3所示。
步骤301,终端接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求。
步骤302,终端根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式,确定双方都支持的认证方式。
步骤303,终端将所述双方都支持的认证方式发送给所述认证服务器。
本实施例中的协商认证方式不同于第一实施例和第二实施例中的协商认证方式,本实施例中的协商认证方式在基本能力协商完成后进行,即在EAP认证流程中实现。
具体的,该协商认证方式在终端和认证服务器之间传递终端身份标识后,并且在EAP认证数据交互之前进行。在本实施例的协商认证方式之前进行的终端身份标识的传递,是认证服务器要求终端上传用户标识,以便认证服务器根据该标识校验终端和用户的身份。
综上所述,采用本发明实施例的协商认证方式的方法,在EAP认证流程中进行,确定了后续认证要使用的共同的认证方式,避免人为参与,从而保证认证过程的正常进行。
上述实施例的协商认证方式的方法中,第二协商请求为可扩展认证协议请求。双方都支持的认证方式携带在可扩展认证协议应答中发送给所述认证服务器。
在上述可扩展认证协议请求和可扩展认证协议应答中,终端和认证服务器双方都支持的认证方式可以通过类型-数值表示,进一步可以通过所述类型-数值中的数值字段的布尔类型的数值表示,如下表3所示。
| Type | Type-Data |
表3
表3中,可以将Type定义为EAP-TYPE-NEGO,以区别于其他EAP认证方式(如EAP-TTLS认证方式等)。对于EAP认证方式,以EAP-TTLS为例,Type-Data区域是EAP-TTLS认证方式对应的类型数据。在上面表3中,Type-Data区域的长度不定,可以为一个字节,也可为两个字节。具体根据终端和认证服务器协商的结果确定其长度。
当协商中EAP认证方式是在其认证过程中不需要建立安全隧道时,Type-Data区域的长度为一个字节。此时这一个字节表示认证方式的方法,可参照表1中Value的定义方式,即每位代表一种认证方法,当用到某种认证方式时,代表该认证方式的比特位置一,否则置零。例如如果在比特位0代表EAP-TLS,当终端和认证服务器协商的认证方式为EAP-TLS时,比特位0置一。
当协商中EAP认证方式是在其认证过程中需要建立安全隧道时,Type-Data区域的长度为两个字节。例如使用EAP-TTLS的认证方式,在第一个字节的每位代表一种认证方式(如前所述),而第二个字节的每位代表代表一种隧道方法。例如对于EAP-TTLS的认证方式,在Type-Data区域的第二个字节区域的比特位0代表CHAP隧道认证,则当终端和认证服务器协商的EAP-TTLS的隧道认证认证方式为CHAP时,比特位0置一。
在本实施例具体的认证过程中,认证服务器通过和终端的通信可以知道终端是否是首次上电,了解终端是否已经通过用户认证。当终端是首次上电和认证服务器通信时,终端和认证服务器之间的认证使用的是终端发放时就内置的数字证书,认证服务器可以判断终端和认证服务器应该使用设备认证对应的认证方式。而如果终端是除首次上电和认证服务器通信外的任何一次和认证服务器通信,则这时的终端应该是已经通过了设备认证,从认证服务器获取了和用户认证相关的数据,可以和认证服务器之间进行用户认证。因此除了终端首次上电和认证服务器的通信外,终端和认证服务器地认证应该是用户认证对应的认证方式。
由于认证服务器可以判断终端当前与其的通信使用的是用户认证还是设备认证,因此认证服务器可以从用户认证或设备认证对应的多种认证方式中选择一种,发送给终端。例如,当认证服务器确认本次和终端的通信使用的是用户认证时,认证服务器可以从EAP-TTLS、EAP-AKA、EAP-SIM等和用户认证对应的认证方式中选择一种,作为第一认证方式,例如EAP-TTLS,发送给终端。此时,终端收到认证服务器发送的EAP-TTLS认证方式后,对比自身支持的认证方式,如果自己支持的认证方式也是EAP-TTLS,则给认证服务器一个确认结果,即认证服务器和终端都支持的认证方式。但如果终端发现自身支持的认证方式和认证服务器发送的认证方式不同,则终端会继续请求认证服务器发送其支持的第二认证方式。认证服务器根据该请求,继续发送给终端另一种认证服务器支持的认证方式等待终端判断,直到终端确认认证服务器发送的其支持的认证方式与自身支持的认证方式相同,终端会发送这个双方都支持的认证方式给认证服务器作为应答。
综上所述,本发明实施例的协商认证方式的方法,在认证过程的初期增加协商认证的方式,认证服务器发起终端确认共同支持的认证方式的消息,终端响应该消息并确定双方都支持的认证方式,仍然能够在认证进行之前进行认证方式的动态协商,使得后续的认证更有针对性,且有别于现有技术中的需要人工参与,并实现不同厂家间终端和网络侧的互通性。
本发明第八实施例提供了一种终端,如图7所示,包括依次连接的接收单元、决策单元和发送单元。
接收单元用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求。
决策单元用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式。
发送单元用于将所述双方都支持的认证方式发送给所述认证服务器。
上述决策单元进一步包括判断单元和确定单元。
所述判断单元用于判断所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式是否相同。
所述确定单元,与所述判断单元相连,用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式相同时,确认所述双方都支持的认证方式为所述终端自身支持的认证方式。
所述发送单元,与所述判断单元相连,还用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式不同时,向所述认证服务器发送要求所述认证服务器支持的第二认证方式的请求。
所述接收单元,还用于接收所述认证服务器根据所述请求发送的所述认证服务器支持的第二认证方式;
所述判断单元,还用于判断所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式是否相同;
所述确定单元,与所述判断单元相连,用于当所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式相同时,确认所述双方都支持的认证方式为所述终端自身支持的认证方式。
本实施例的终端具体可以是移动台,认证服务器具体可以设置在网关中。
综上所述,采用本发明实施例的终端,在认证服务器发起终端确认共同支持的认证方式的消息后,响应该消息并确定双方都支持的认证方式,仍然能够在认证进行之前进行认证方式的动态协商,使得后续的认证更有针对性,且有别于现有技术中的需要人工参与,并实现不同厂家间终端和网络侧的互通性。
本发明第九实施例提供了一种认证服务器,如图8所示,包括连接的发送单元和接收单元。
发送单元用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端,以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式。
接收单元用于接收所述终端发送的所述双方都支持的认证方式。
接收单元,还用于接收所述终端发送的要求所述认证服务器支持的第二认证方式的请求;
所述发送单元,还用于根据所述请求,将所述认证服务器支持的第二认证方式发送给所述终端。
本实施例提供的认证服务器,在终端提出再次提供认证服务器支持的认证方法后,为终端提供认证服务器支持的其他认证方法,以保证其与终端支持的认证方法相同,进一步保障了动态协商的成功进行,为后续的协商过程做好了准备。
本发明第十实施例提供了一种协商认证方式的系统,如图9所示,包括终端和认证服务器。
其中,终端用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求;根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;并将所述双方都支持的认证方式发送给所述认证服务器。
如果终端发现自身支持的认证方式和认证服务器发送的第一认证方式不同,则终端会继续请求认证服务器发送其支持的第二认证方式。认证服务器根据该请求,继续发送给终端另一种认证服务器支持的认证方式等待终端判断,直到终端确认认证服务器发送的其支持的认证方式与自身支持的认证方式相同,终端会发送这个双方都支持的认证方式给认证服务器作为应答。
综上所述,采用本发明实施例的协商认证方式的系统,认证服务器发起终端确认共同支持的认证方式的消息,终端响应该消息并确定双方都支持的认证方式,仍然能够在认证进行之前进行认证方式的动态协商,使得后续的认证更有针对性,且有别于现有技术中的需要人工参与,并实现不同厂家间终端和网络侧的互通性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种协商认证方式的方法,其特征在于,包括:
发送携带终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;
接收所述认证服务器发送的所述双方都支持的认证方式。
2.根据权利要求1所述的方法,其特征在于,
所述发送携带终端支持的认证方式的第一协商请求到认证服务器包括:
发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站,由所述基站将所述终端支持的认证方式封装到所述第一协商请求中后,并发送所述第一协商请求到所述认证服务器。
3.根据权利要求2所述的方法,其特征在于,
所述接收所述认证服务器发送的所述双方都支持的认证方式包括:
接收由所述基站发送的包含所述双方都支持的认证方式的基本能力应答消息;所述基本能力应答消息中的所述双方都支持的认证方式,由所述基站从所述认证服务器接收到携带所述双方都支持的认证方式的第一协商应答后,将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。
4.根据权利要求3所述的方法,其特征在于,
所述第一协商请求为终端状态改变请求;
所述第一协商应答为终端状态改变应答。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述终端支持的认证方式和所述双方都支持的认证方式通过类型-长度-内容三元组表示。
6.根据权利要求5所述的方法,其特征在于,所述终端支持的认证方式和所述双方都支持的认证方式,进一步通过所述三元组中的内容字段的布尔类型的数值表示。
7.一种协商认证方式的方法,其特征在于,包括:
接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求;
根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式,确定双方都支持的认证方式;
将所述双方都支持的认证方式发送给所述认证服务器。
8.根据权利要求7所述的方法,其特征在于,
所述第二协商请求为可扩展认证协议请求;
所述双方都支持的认证方式携带在可扩展认证协议应答中发送给所述认证服务器。
9.根据权利要求7-8所述的方法,其特征在于,所述认证服务器支持的认证方式和所述双方都支持的认证方式通过类型-数值表示。
10.根据权利要求9所述的方法,其特征在于,所述认证服务器支持的认证方式和所述双方都支持的认证方式,进一步通过所述类型-数值中的数值字段的布尔类型的数值表示。
11.一种终端,其特征在于,包括:
发送单元,用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;
接收单元,与所述发送单元相连,用于接收所述认证服务器发送的所述双方都支持的认证方式。
12.根据权利要求11所述的终端,其特征在于,
所述发送单元,具体用于发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站,由所述基站将所述终端支持的认证方式封装到所述第一协商请求中后,发送所述第一协商请求到所述认证服务器。
13.根据权利要求12所述的终端,其特征在于,
所述接收单元,具体用于接收由所述基站发送的包含所述双方都支持的认证方式的基本能力应答消息;
其中,所述基本能力应答消息中的所述双方都支持的认证方式,由所述基站接收到所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答后,将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。
14.一种基站,其特征在于,包括:
接收单元,用于接收终端发送的携带终端支持的认证方式的基本能力请求消息,以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答;
封装单元,用于将所述终端支持的认证方式封装到所述第一协商请求中,以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中;
发送单元,用于将所述第一协商请求发送到所述认证服务器,以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。
15.一种认证服务器,其特征在于,包括:
接收单元,用于接收终端发送的携带终端支持的认证方式的第一协商请求;
决策单元,用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式;
发送单元,用于发送所述双方都支持的认证方式给所述终端。
16.根据权利要求15所述的认证服务器,其特征在于,所述决策单元包括判断单元和确定单元,
所述判断单元用于判断所述终端是否通过用户认证和设备认证;
所述确定单元用于当所述终端通过用户认证时,确定双方都支持的认证方式为所述用户认证对应的认证方式;
所述确定单元还用于当所述终端通过设备认证、未通过用户认证时,确定双方都支持的认证方式为所述设备认证对应的认证方式。
17.一种协商认证方式的系统,其特征在于,包括依次连接的终端、基站和认证服务器,其特征在于,
所述终端,用于发送携带终端支持的认证方式的第一协商请求到认证服务器,以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式,确定双方都支持的认证方式并发送;并接收所述认证服务器发送的所述双方都支持的认证方式。
18.一种终端,其特征在于,包括:
接收单元,用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求;
决策单元,用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;
发送单元,用于将所述双方都支持的认证方式发送给所述认证服务器。
19.根据权利要求18所述的终端,其特征在于,所述决策单元包括判断单元和确定单元,
所述判断单元,用于判断所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式是否相同;
所述确定单元,与所述判断单元相连,用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式相同时,确认所述双方都支持的认证方式为所述终端自身支持的认证方式;
所述发送单元,与所述判断单元相连,还用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式不同时,向所述认证服务器发送要求所述认证服务器支持的第二认证方式的请求。
20.根据权利要求19所述的终端,其特征在于,
所述接收单元,还用于接收所述认证服务器根据所述请求发送的所述认证服务器支持的第二认证方式;
所述判断单元,还用于判断所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式是否相同;
所述确定单元,与所述判断单元相连,用于当所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式相同时,确认所述双方都支持的认证方式为所述终端自身支持的认证方式。
21.一种认证服务器,其特征在于,包括:
发送单元,用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端,以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;
接收单元,用于接收所述终端发送的所述双方都支持的认证方式。
22.根据权利要求21所述的认证服务器,其特征在于,
所述接收单元,还用于接收所述终端发送的要求所述认证服务器支持的第二认证方式的请求;
所述发送单元,还用于根据所述请求,将所述认证服务器支持的第二认证方式发送给所述终端。
23.一种协商认证方式的系统,包括连接的终端和认证服务器,其特征在于,
所述终端,用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求;根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式,确定双方都支持的认证方式;并将所述双方都支持的认证方式发送给所述认证服务器。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810218044 CN101753533A (zh) | 2008-12-04 | 2008-12-04 | 协商认证方式的方法、装置和系统 |
| PCT/CN2009/073790 WO2010063190A1 (zh) | 2008-12-04 | 2009-09-07 | 协商认证方式的方法、装置和系统 |
| US12/631,112 US20100146262A1 (en) | 2008-12-04 | 2009-12-04 | Method, device and system for negotiating authentication mode |
| EP09178046A EP2200358A3 (en) | 2008-12-04 | 2009-12-04 | Method, device and system for negotiating authentication mode |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810218044 CN101753533A (zh) | 2008-12-04 | 2008-12-04 | 协商认证方式的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101753533A true CN101753533A (zh) | 2010-06-23 |
Family
ID=42232880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810218044 Pending CN101753533A (zh) | 2008-12-04 | 2008-12-04 | 协商认证方式的方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101753533A (zh) |
| WO (1) | WO2010063190A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101932083A (zh) * | 2010-08-06 | 2010-12-29 | 中兴通讯股份有限公司 | 选择隧道建立模式的方法、终端、服务器及系统 |
| CN108738019A (zh) * | 2017-04-25 | 2018-11-02 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
| WO2022067831A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 一种建立安全通信方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1266910C (zh) * | 2002-11-19 | 2006-07-26 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
| CN1319337C (zh) * | 2003-07-02 | 2007-05-30 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
| CN1835436B (zh) * | 2005-03-14 | 2010-04-14 | 华为技术有限公司 | 一种通用鉴权网络及一种实现鉴权的方法 |
| CN1848994A (zh) * | 2005-04-11 | 2006-10-18 | 华为技术有限公司 | 一种实现微波接入全球互操作系统鉴权的方法 |
| CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
| CN101188608B (zh) * | 2006-11-16 | 2010-09-08 | 华为技术有限公司 | 协商网络认证方式的方法 |
| CN100550913C (zh) * | 2007-03-06 | 2009-10-14 | 华为技术有限公司 | 一种认证方法和系统 |
-
2008
- 2008-12-04 CN CN 200810218044 patent/CN101753533A/zh active Pending
-
2009
- 2009-09-07 WO PCT/CN2009/073790 patent/WO2010063190A1/zh active Application Filing
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101932083A (zh) * | 2010-08-06 | 2010-12-29 | 中兴通讯股份有限公司 | 选择隧道建立模式的方法、终端、服务器及系统 |
| CN101932083B (zh) * | 2010-08-06 | 2014-12-31 | 中兴通讯股份有限公司 | 选择隧道建立模式的方法、终端、服务器及系统 |
| CN108738019A (zh) * | 2017-04-25 | 2018-11-02 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
| CN108738019B (zh) * | 2017-04-25 | 2021-02-05 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
| WO2022067831A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 一种建立安全通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010063190A1 (zh) | 2010-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| EP1540878B1 (en) | Linked authentication protocols | |
| CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| US20160261596A1 (en) | Wi-fi integration for non-sim devices | |
| EP2200358A2 (en) | Method, device and system for negotiating authentication mode | |
| EP3304856A1 (en) | Unified authentication for integrated small cell and wi-fi networks | |
| CN102625306A (zh) | 认证方法、系统和设备 | |
| CN109691157A (zh) | 基于扩展认证协议(eap)过程的执行来推导蜂窝网络的安全密钥的技术 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| CN101347029A (zh) | 用于建立独立于承载且安全的连接的系统和方法 | |
| CN103299578A (zh) | 通过非受信任网络的外部认证支持 | |
| CN101926151A (zh) | 建立安全关联的方法和通信网络系统 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN101304319A (zh) | 移动通信网络以及用于认证其中的移动节点的方法和装置 | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| CN108738019B (zh) | 融合网络中的用户认证方法及装置 | |
| CN101926122A (zh) | 建立安全关联的方法和通信系统 | |
| CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
| CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
| CN106330445A (zh) | 车辆认证方法及装置 | |
| KR20230124621A (ko) | 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템 | |
| CN103685201A (zh) | 一种wlan用户固网接入的方法和系统 | |
| CN103081520A (zh) | 网络接入 | |
| CN101753533A (zh) | 协商认证方式的方法、装置和系统 | |
| CN103167493A (zh) | 本地转发模式下无线接入控制器集中认证的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100623 |