CN101841811B - 一种预认证方法、设备及系统 - Google Patents
一种预认证方法、设备及系统 Download PDFInfo
- Publication number
- CN101841811B CN101841811B CN2009101061529A CN200910106152A CN101841811B CN 101841811 B CN101841811 B CN 101841811B CN 2009101061529 A CN2009101061529 A CN 2009101061529A CN 200910106152 A CN200910106152 A CN 200910106152A CN 101841811 B CN101841811 B CN 101841811B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile node
- message
- candidate authenticator
- aaa server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000004044 response Effects 0.000 claims abstract description 35
- 230000000977 initiatory effect Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 9
- 238000010295 mobile communication Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 17
- 238000013475 authorization Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Abstract
本发明涉及移动通信领域,公开了一种预认证方法、设备和系统。所述方法包括:接收预认证消息,所述预认证消息中携带预认证选项;根据所述预认证消息确定需要进行预认证的移动节点;向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点。本发明实施例所述系统包括:预认证设备和AAA服务器。通过实施本发明,可以使用所述预认证密钥保护移动节点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
Description
技术领域
本发明涉及移动通信技术,尤其涉及在多认证者场景下的一种预认证方法、设备及系统。
背景技术
EAP架构通常包括客户端认证者(Authenticator),认证、授权和计费(Authentication Authorization and Accounting,AAA)服务器/EAP服务器三个重要部件。认证者一般位于网络边缘位置,与AAA服务器/EAP服务器可以耦合在一起,也可以分离独立存在。该架构提供对客户端设备的认证授权功能,EAP协议中的EAP方法用于生成密钥材料如主会话密钥(Master Session Key,MSK)和扩展主会话密钥(Extended Master Session Key,EMSK)。MSK主要用于EAP底层协议,而EMSK用于保护客户端和AAA服务器之间的交互。由于完整的EAP过程一般需要两个以上的来回交互,所以常常会造成认证和授权的大量时延。为了减少这类切换时延,重用初始认证生成的密钥和状态信息以及避免使用非对称密钥的机制被很多方法采用。但交互次数随着使用的EAP方法不同,改进的程度也不同,而且不管如何改进,,都需要至少两次来回交互才能完成认证和授权过程。这种切换时延对于某些实时应用来说时不可接受的。
为了支持快速切换,常常需要避免基于AAA的完整认证,因为完整认证需要与移动节点的家乡AAA服务器经过多个来回交互才能完成认证,带来比较长的切换时延。快速切换中常用的EAP认证方法包括EAP重认证和EAP预认证。EAP重认证的主要思想是引入本地EAP服务器机制,通过重用初始全认证中的密钥材料来避免移动终端切换过程中过多的基于EAP的AAA消息,而EAP预认证的主要思想是在移动终端切换之前预先生成MSK,用于移动终端与候选认证者(Candidate Authenticator,CA)的认证。
发明人在研究过程中发现,上述现有技术中,在EAP客户端与AAA服务器交互过程中,通常需要跨越两个认证者,即当前认证者(Serving Authenticator,SA)和候选认证者CA,此时,两个认证者既无法判断客户端发送的是普通认证请求还是预认证请求,也无法判断自身是否需要与AAA服务器进行交互以完成预认证过程,因此,会引起预认证的失败,造成切换时延。
发明内容
本发明实施例提供了一种预认证方法、设备和系统。通过实施本发明,能够使当前认证者和候选认证者正确区分预认证消息,使用预认证过程获取的预认证密钥保护移动节点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
本发明实施例所述预认证方法包括:接收预认证消息,所述预认证消息中携带预认证选项;根据所述预认证消息确定需要进行预认证的移动节点;向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点。
本发明实施例所述预认证设备包括:第一接收单元,用于接收预认证消息,所述预认证消息中携带预认证选项;确定单元,用于根据所述预认证消息确定需要进行预认证的移动节点;第一发送单元,用于向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;第二接收单元,用于接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;第二发送单元,用于将所述预认证密钥发送给所述移动节点。
本发明实施例所述预认证系统包括:预认证设备和AAA服务器,其中,所述预认证设备,用于接收预认证消息,所述预认证消息中携带预认证选项,根据所述预认证消息确定需要进行预认证的移动节点,向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项,接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点;所述AAA服务器,用于接收所述预认证设备发送的认证请求消息,根据所述认证请求消息生成所述候选认证者和所述移动节点间的预认证密钥,将所述预认证密钥携带在所述认证响应消息中发送给所述预认证设备。
通过实施本发明上述实施例,可以使当前认证者或者候选认证者正确识别预认证消息,在收到预认证消息后,通过AAA服务器获取候选认证者与移动节点之间的预认证密钥,使移动节点切换到候选认证者之后,可以使用所述预认证密钥保护移动节点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述预认证方法的一个实施例的流程示意图;
图2为本发明所述预认证方法的另一个实施例的流程示意图;
图3为本发明所述预认证方法的另一个实施例的流程示意图;
图4为本发明所述预认证方法的另一个实施例的流程示意图;
图5为本发明所述预认证方法的另一个实施例的流程示意图;
图6为本发明所述预认证设备的一个实施例的结构示意图;
图7为本发明所述预认证设备的另一个实施例的结构示意图;
图8为本发明所述预认证设备的另一个实施例的结构示意图;
图9为本发明所述预认证系统的一个实施例的结构示意图。
具体实施方式
以下结合附图和实施例对本发明进行详细描述。
如图1所示,为本发明一个实施例中实现预认证的方法的流程示意图。所述方法包括:
10、接收预认证消息,所述预认证消息中携带预认证选项。
所述预认证消息可以是作为客户端的移动节点发出的,也可以是移动节点的当前认证者发出的,所述预认证选项可以是预认证开始标识(Pre-auth Start)或者候选认证者标识CA_ID,用于表明所述预认证消息的用途。
11、根据所述预认证消息确定需要进行预认证的移动节点。
当所述预认证消息由移动节点发出时,则所述预认证消息的源节点即为需要进行预认证的移动节点;当所述预认证消息由当前认证者发出时,根据所述预认证消息的内容确定需要进行预认证的移动节点。
12、向AAA服务器发送认证请求消息,所述认证请求中携带所述预认证选项。所述认证请求的目的是请求AAA服务器对作为客户端的移动节点进行认证,并生成候选认证者和移动节点间的预认证密钥。所述认证请求消息中需要携带与预认证选项,所述预认证选项与步骤10中的预认证选项相同,具体可以是候选认证者标识CA_ID,该候选认证者标识可以携带在所述预认证选项中CA_ID,也可以携带在单独的选项中。
13、接收AAA服务器发送的认证响应消息,所述认证响应消息中携带移动节点和候选认证者之间的预认证密钥。AAA服务器在对移动节点认证通过后,根据所述预认证选项和其他密钥材料生成移动节点和候选认证者间的预认证密钥。并通过认证响应消息将该预认证密钥发送给候选认证者。
14、将接收的预认证密钥发送给作为客户端的移动节点。
其中,需要通过当前认证者SA将该预认证密钥发送给移动节点。移动节点收到该预认证密钥后,即可认为与候选认证者间的预认证已经完成。
当所述接收预认证消息的步骤是由候选认证者完成时,本发明实施例在步骤11和12之间还可以包括建立预认证绑定关系的步骤。具体可以是候选认证者根据预认证消息建立候选认证者和移动节点的预认证绑定关系,标注移动节点的认证状态为预认证状态。
本发明实施例中所述预认证密钥包括了候选认证者和移动节点之间的预认证密钥,以及移动节点和AAA服务器之间的主会话密钥MSK和扩展主会话密钥EMSK。
通过实施本发明实施例,候选认证者在收到认证消息后,根据其中携带的预认证选项,能够确定该消息为预认证消息,进而发起预认证过程,使移动节点还没有附着到候选认证者时就完成了与移动节点的认证过程,并在移动节点切换到候选认证者时,能够使用预认证密钥对移动节点进行快速认证,减少了切换认证的时延。
上述图1所示的方法,可以应用在移动节点切换时存在多个认证者(一个当前认证者以及多个可能的候选认证者)的场景下,以下分别对本发明在这些场景下的应用进行介绍。
如图2所示,为本发明预认证方法的另一种实施例。本实施例中可以由当前认证者(Serving Authenticator,SA)负责候选认证者(Candidate Authenticator,CA)的发现,也可以由移动节点负责候选认证者CA的发现,即由SA或者移动节点在预认证开始前通过发现机制获取了候选认证者标识CA_ID,其中CA_ID可以是CA的IP地址、CA的域名或者其他可以唯一区别CA的标识。SA在预认证中承担Authenticator Relay的功能。本实施例所述的方法包括:
20、移动节点向当前认证者SA发起预认证请求,所述预认证请求中携带预认证选项,请求SA为其选择候选认证者。所述预认证选项为预认证开始标识(Pre-auth start)或者候选认证者标识CA_ID。需要说明的是,本步骤并不是必须的,当存在本步骤时,是终端侧发起的预认证,而省略本步骤时,是网络侧发起的预认证。
21、SA向移动节点发送预认证初始化消息,以请求移动节点确认是否发起预认证。本步骤中,SA既可以主动向移动节点发送预认证初始化消息,也可以根据移动节点的请求发送预认证初始化消息。该预认证初始化消息携带预认证选项。该预认证选项为预认证开始标识(Pre-auth start)。该预认证初始化消息中可以携带CA_ID(SA进行CA发现时),也可以不携带CA_ID(移动节点进行CA发现时)。该预认证初始化消息可以是携带预认证开始标识的EAP发起消息(EAP-Initiate)或者EAP请求消息(EAP-Req)。
22、移动节点根据SA发送的预认证初始化消息向SA发送预认证确认消息,携带预认证选项。该预认证选项可以为预认证指示标志(Pre-auth Indication),用于区分发起的认证是预认证还是普通认证。该预认证确认消息中携带CA_ID,用来指出需要进行预认证的CA。该预认证确认消息可以是携带预认证指示标志的EAP发起消息(EAP-Initiate)或者EAP响应消息(EAP-Rsp)。
23、SA根据该预认证确认消息中携带的CA_ID确定候选认证者。该CA_ID携带在EAP发起消息(EAP-Initiate)或者EAP响应消息(EAP-Rsp)的扩展的Peer_ID选项(Peer_IDCA_ID)或者单独的CA_ID选项中。
24、SA将该预认证确认消息转发给通过该预认证确认消息确定的候选认证者CA。SA在发送该消息的过程中,可以将作为预认证确认消息的EAP发起消息(EAP-Initiate)或者EAP响应消息(EAP-Rsp)通过三层协议承载。SA在转发该预认证确认消息的时候不对该消息的内容进行修改。
25、候选认证者CA收到预认证确认消息后,在本地建立相应的预认证绑定关系和预认证状态,即建立移动节点和自身的绑定关系,并标注移动节点的认证状态为预认证。本步骤中,CA可以根据该消息中的Peer_ID的扩展选项(Peer_IDCA_ID)或者预认证指示标志等预认证选项确认该消息为预认证确认消息。
26、候选认证者CA向AAA服务器发送认证请求消息,请求AAA服务器对该移动节点进行认证。该认证请求中携带预认证选项以及移动节点标识,该移动节点标识可以为网络访问标识(Network Access Identifier,NAI)或者移动节点的家乡域名。
27、AAA服务器收到CA发送的认证请求消息后,对移动节点进行认证,认证通过后,生成CA和移动节点间的预认证密钥,并向CA发送认证响应消息,该认证响应消息中携带生成的CA和移动节点间的预认证密钥。
28、CA收到AAA服务器发送的认证响应消息后,获取并保存其中的预认证密钥。
29-210、CA通过SA向发送预认证确认消息的移动节点发送预认证成功消息,该预认证成功消息中携带AAA服务器发送的预认证密钥,该预认证成功消息可以是携带预认证密钥的EAP结束消息EAP-Finish或者EAP成功消息EAP-Success。
211、移动节点收到SA发送的预认证成功消息后,获取并保存其中的预认证密钥。移动节点在获取到预认证密钥后,完成与AAA服务器之间的预认证。当移动节点附着在候选认证者CA之后,就可以使用该预认证密钥保护移动节点与CA之间的通信。
此外,本发明实施例中,AAA服务器还可以生成自身和移动节点之间的主会话密钥MSK和扩展主会话密钥EMSK,该MSK和EMSK同样可以由AAA服务器通过CA发送给MN。
本实施例由当前认证者根据移动节点的选择向候选认证者发送预认证消息,使候选认证者在本地建立与移动节点的预认证绑定,并在AAA服务器对作为客户端的移动节点认证通过后将AAA服务器生成的预认证密钥发送给移动节点和候选认证者,完成移动节点与AAA服务器间的预认证,使移动节点在切换到候选认证者时,即可以用接收的预认证密钥保护移动节点与候选认证者之间的通信,减少了切换认证的时延。
本发明所述预认证方法中,还可以由候选认证者CA根据当前认证者SA的指示发起预认证。如图3所示,为本发明预认证方法的另一实施例。本实施例中当前认证者(Serving Authenticator,SA)负责候选认证者(CandidateAuthenticator,CA)的发现。本发明实施例包括如下步骤:
30、当前认证者SA向候选认证者CA发送预认证发起指示消息,该预认证发起指示消息携带预认证选项。该预认证选项具体可以为预认证指示标志(Pre-auth Indication),用于区分发起的认证是预认证还是普通认证。此外,预认证发起指示消息还携带移动节点标识。所述移动节点标识包括移动节点的地址、移动节点的域名或者移动节点的Peer_ID。
31、候选认证者CA收到该预认证发起指示消息后,根据该预认证发起指示消息携带的移动节点标识向移动节点发送预认证初始化消息。该预认证初始化消息携带预认证选项,具体可以是携带预认证开始标识(Pre-auth start)的EAP发起消息(EAP-Initiate)或者EAP请求消息(EAP-Req)。
32、移动节点根据CA发送的预认证发起指示消息向CA发送预认证确认消息,携带预认证选项。该预认证确认消息具体可以是携带预认证指示标志(Pre-auth Indication)的EAP发起消息(EAP-Initiate)或者EAP响应消息(EAP-Rsp)。
33、候选认证者收到该预认证确认消息后,在本地建立相应的预认证绑定关系和预认证状态。即建立移动节点和自身的绑定关系,并标注移动节点的认证状态为预认证。
本实施例的步骤34-39与图2所示实施例的步骤26-211基本相同,在此不再赘述。
本实施例中,当前认证者自动发现可能的候选认证者,并指示候选认证者向移动节点发起预认证,避免了候选认证者在收到移动节点的预认证消息时不能确认该消息是普通消息还是预认证消息而造成的切换认证延时问题。
在本发明另一实施例中,当前认证者可以代替候选认证者向AAA服务器请求发起对移动节点的预认证过程。如图4所示,为本发明所述预认证方法的另一实施例的流程示意图。本实施例中可以由当前认证者(Serving Authenticator,SA)负责候选认证者(Candidate Authenticator,CA)的发现,也可以由移动节点负责候选认证者CA的发现,即由SA或者移动节点在预认证开始前通过发现机制获取了候选认证者标识CA_ID,其中CA_ID可以是CA的IP地址、CA的域名或者其他可以唯一区别CA的标识。该方法包括:
40、移动节点向当前认证者SA发起预认证请求,该预认证请求中可以携带预认证选项,以请求SA为其选择候选认证者。需要说明的是,本步骤并不是必须的,当存在本步骤时,是终端侧发起的预认证,而省略本步骤时,是网络侧发起的预认证。
41、SA向移动节点发送预认证初始化消息。本步骤中,SA既可以主动向移动节点发送预认证初始化消息,也可以根据移动节点的请求发送预认证初始化消息,携带预认证选项。具体来说,该预认证初始化消息可以携带预认证开始标识(Pre-auth start),以请求移动节点确认是否发起预认证。该预认证初始化消息中可以携带CA_ID(SA进行CA发现时),也可以不携带CA_ID(移动节点进行CA发现时)。该预认证初始化消息可以是携带预认证开始标识的EAP发起消息(EAP-Initiate)或者EAP请求消息(EAP-Req)。
42、移动节点根据SA发送的预认证初始化消息向SA发送预认证确认消息,携带预认证选项。具体来说,该预认证确认消息可以携带预认证指示标志(Pre-auth Indication),用于区分发起的认证是预认证还是普通认证。该预认证确认消息中携带CA_ID,用来指出移动节点选择的候选认证者CA。该预认证确认消息可以是携带预认证指示标志的EAP发起消息(EAP-Initiate)或者EAP响应消息(EAP-Rsp)。
43、当前认证者SA根据接收的预认证确认消息确定候选认证者CA。
44、当前认证者SA向AAA服务器发送认证请求消息,该认证请求消息中携带扩展的Peer_ID选项(携带Peer_ID以及CA_ID)以及其他预认证选项,请求AAA服务器对移动节点进行预认证。
45、AAA服务器收到SA发送的认证请求消息后,对作为客户端的移动节点进行认证,提取候选认证者标识CA_ID,在对移动节点认证通过后生成CA和移动节点间的预认证密钥,向CA发送认证响应消息,该认证响应消息中携带该生成的预认证密钥。
步骤46-49与图2所示实施例中的28-211基本相同,在此不再赘述。
本实施例中,当前认证者收到移动节点发送的预认证确认消息后,代替候选认证者向AAA服务器发起对移动节点进行预认证的请求,使AAA服务器向移动节点和候选认证者分发预认证密钥。当移动节点切换到CA时,就可以使用AAA服务器分发的预认证密钥进行快速认证,减少了切换认证延时。
本发明实施例中,还可以由移动节点进行候选认证者的发现即获取候选认证者的标识CA_ID,并在发现候选认证者后,主动发起预认证过程。如图5所示,为本发明实施例中MN主动发起预认证过程的流程示意图。包括:
50、移动节点向当前认证者SA发送预认证初始化消息,携带预认证选项。具体来说,该预认证初始化消息可以是携带候选认证者标识CA_ID或者候选认证者对应的二层链路标识BS_ID的EAP发起消息(EAP-Initiate)或者EAP请求消息(EAP-Req)。该CA_ID或者BS_ID可以作为预认证初始化消息的选项独立存在,也可以作为Peer_ID的扩展选项(以Peer_IDCA_ID或Peer_IDBS_ID的形式)存在。
51、SA接收该预认证初始化消息,通过该消息中携带的CA_ID或BS_ID确认该消息为预认证初始化消息后,直接获得CA或通过查询二层链路标识与三层链路标识的映射获得候选认证者CA(当该消息中携带的BS_ID时),将该消息不做改动通过三层协议承载发送给候选认证者CA。
52、CA通过接收的预认证初始化消息中的预认证选项确认该预认证初始化消息用于进行预认证请求后,在本地建立相应的预认证绑定关系和预认证状态,即建立移动节点和CA的绑定关系,并标注移动节点的认证状态为预认证。
本实施例中步骤53-58与图2所示实施例的步骤相同,在此不再赘述。
本发明实施例通过移动节点发现候选认证者CA或者二层链路标识BS_ID后主动发起预认证实现CA和移动节点间的预认证密钥分发,减少了切换认证延时。
本发明实施例还提供了一种预认证设备,该预认证设备既可以充当前述方法实施例中的当前认证者SA,也可以充当前述方法实施例中的候选认证者CA。
如图6所示,为本发明所述预认证设备的一个实施例的结构示意图。该预认证设备60用于发起对移动节点的预认证。第一接收单元610接收到携带预认证选项的预认证消息后,将该预认证消息发送给确定单元620。确定单元620根据该预认证消息的源节点或者该预认证消息携带的预认证选项,确定需要进行预认证的移动节点。然后,由第一发送单元630向AAA服务器发送认证请求消息,请求AAA服务器对该移动节点进行预认证。该认证请求消息中携带预认证选项以及该需要进行预认证的移动节点的标识,该认证请求消息中还需要携带候选认证者标识,该候选认证者标识可以携带在所述预认证选项或者其他选项中。AAA服务器对该移动节点认证通过后,根据该预认证选项生成移动节点和候选认证者之间的预认证密钥,并将该预认证密钥通过认证响应消息发送给第二接收单元650。第二接收单元650收到AAA服务器发送的预认证密钥后,将该预认证密钥发送给第二发送单元640,由第二发送单元640将该预认证密钥发送给所述移动节点,完成预认证密钥的分发过程。
上述图6所示实施例中的两个或者两个以上的单元既可以单独设置,也可以集成在一个模块上。例如,第一接收单元610和第二接收单元650可以集成为同一个接收模块;第一发送单元630和第二发送单元640可以集成为同一个发送模块;第一接收单元610、第二接收单元650、第一发送单元630和第二发送单元640可以集成为同一个收发模块。
当所述预认证设备60充当当前认证者时,如图7所示,为本发明所述预认证设备的另一个实施例的结构示意图。该预认证设备60在图6所示基础上至少还可以包括发现单元660,用于发现移动节点的候选认证者。所述第一发送单元630还用于向所述移动节点发送预认证初始化消息,在该预认证初始化消息中携带发现的候选认证者,该预认证初始化消息具体可以为携带预认证开始标识Pre-auth start的EAP发起消息EAP-Initiate或者EAP请求消息EAP-Req。此时,该第一接收单元610接收的预认证消息为移动节点发送的携带选定的候选认证者的预认证确认消息,具体可以为携带预认证指示标志Pre-auth Indication的EAP发起消息EAP-Initiate或者EAP响应消息EAP-Rsp。
当所述预认证设备60充当上述方法实施例中的候选认证者时,如图8所示,为本发明所述预认证设备的另一个实施例的结构示意图。该预认证设备60在图6所示基础上至少还可以包括绑定单元670和存储单元680。当确定单元620根据预认证消息确定需要进行预认证的移动节点后,绑定单元670在候选认证者本地建立候选认证者与所述移动节点的绑定关系,并设置所述移动节点的认证状态为预认证。当第二接收单元650收到AAA服务器发送的认证响应消息后,获取其中的预认证密钥,并发送给存储单元680,存储单元680用于存储所述预认证密钥。这样,当移动节点切换到所述候选认证者时,能够使用存储的预认证密钥对所述移动节点进行快速认证,减少了切换认证的时延。
当所述预认证设备60为候选认证者时,所述预认证消息可以为:
当前认证者发送的携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息EAP-Initiate或EAP响应消息EAP-Rsp;或
为携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息EAP-Initiate或EAP响应消息EAP-Rsp;或
当前认证者发送的携带候选认证者标识CA_ID或者候选认证者对应的二层链路标识BS_ID的EAP发起消息EAP-Initiate或者EAP请求消息EAP-Req。
本发明上述实施例中的预认证设备在收到预认证消息后,根据其中的预认证选项以及移动节点相关信息向AAA服务器请求对移动节点进行认证,从AAA服务器接收移动节点与候选认证者之间的预认证密钥,使候选认证者在移动节点切换到本地时,使用所述预认证密钥对移动接点和候选认证者之间的通信进行保护,减少了切换认证的时延。
本发明实施例还公开了一种预认证系统,该预认证系统90包括预认证设备910和AAA服务器920。当所述预认证系统运行时,所述预认证设备910从当前认证SA或者从移动节点接收预认证消息,所述预认证消息中携带预认证选项。预认证设备910根据该预认证消息确定需要进行预认证的移动节点,其中,当所述预认证消息是从移动节点接收时,所述需要进行预认证的移动节点即为发送所述预认证消息的移动节点;当所述预认证消息是从当前认证者获取时,所述预认证消息中还需要携带需要进行预认证的移动节点的信息,通过所述预认证消息携带的信息确定需要进行预认证的移动节点。所述预认证消息的预认证选项中包括了预认证指示标志Pre-auth Identifier或者候选认证者标识CA_ID。所述预认证设备910根据所述预认证消息向AAA服务器920发送认证请求消息,请求对所述需要进行预认证的移动节点进行认证,所述认证请求消息中携带与所述预认证消息中相同的预认证选项,表明对移动节点的认证是预认证。
AAA服务器920收到所述认证请求消息后,根据该认证请求消息对所述移动节点进行认证,认证通过后,根据该认证请求消息中的预认证选项信息生成移动节点和候选认证者之间的预认证密钥,将该预认证密钥通过认证响应消息发送给所述的预认证设备910,由所述预认证设备910将所述预认证密钥发送给移动节点(图9中未示出)。
其中,预认证设备910可以是移动节点的当前认证者,也可以是移动节点的候选认证者。当预认证设备910为当前认证者时,该预认证设备还能够发现移动节点的候选认证者,并根据移动节点的请求发起预认证过程或者根据策略主动发起预认证过程,所述预认证设备通过所述移动节点的候选认证者从AAA服务器获取所述候选认证者和移动节点间的预认证密钥。当预认证设备910为候选认证者时,该预认证设备还能够根据在收到预认证请求后,建立移动节点和自身的预认证绑定关系,设置移动节点的认证状态为预认证,并且,该预认证设备还能够在收到AAA服务器发送的预认证密钥后,保存该预认证密钥,以及将所述预认证密钥通过当前认证者发送给移动节点。
通过实施本发明上述实施例,可以使当前认证者或者候选认证者正确识别预认证消息,在收到预认证消息后,通过AAA服务器获取候选认证者与移动节点之间的预认证密钥,使移动节点切换到候选认证者之后,可以使用所述预认证密钥保护移动节点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种预认证方法,其特征在于,包括:
候选认证者接收当前认证者发送的预认证发起指示消息;所述预认证发起指示消息携带预认证选项以及移动节点标识;
所述候选认证者根据所述预认证发起指示消息携带的移动节点标识向所述移动节点发送预认证初始化消息,所述预认证初始化消息携带所述预认证选项;
所述候选认证者接收所述移动节点发送的预认证确认消息,所述预认证确认消息中携带所述预认证选项;
根据所述预认证确认消息确定需要进行预认证的移动节点;
向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;
接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;
将所述预认证密钥发送给所述移动节点。
2.根据权利要求1所述的预认证方法,其特征在于,所述根据所述预认证确认消息确定需要进行预认证的移动节点之后,向AAA服务器发送认证请求消息之前,所述方法还包括:根据所述预认证确认消息建立所述候选认证者与所述移动节点间的预认证绑定关系,设置所述移动节点的认证状态为预认证。
3.根据权利要求1或2所述的方法,其特征在于,所述预认证确认消息为所述移动节点发送的携带预认证指示标志Pre-auth Indication或候选认证者标识CA ID的EAP发起消息EAP-Initiate或EAP响应消息EAP-Rsp。
4.一种预认证系统,其特征在于,包括:预认证设备和AAA服务器,其中,
所述预认证设备,用于接收当前认证者发送的预认证发起指示消息;所述预认证发起指示消息携带预认证选项以及移动节点标识;根据所述预认证发起指示消息携带的移动节点标识向所述移动节点发送预认证初始化消息,所述预认证初始化消息携带所述预认证选项;接收所述移动节点发送的预认证确认消息,所述预认证确认消息中携带所述预认证选项,根据所述预认证确认消息确定需要进行预认证的移动节点,向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项,接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点;
所述AAA服务器,用于接收所述预认证设备发送的认证请求消息,根据所述认证请求消息生成所述候选认证者和所述移动节点间的预认证密钥,将所述预认证密钥携带在所述认证响应消息中发送给所述预认证设备。
5.根据权利要求4所述的预认证系统,其特征在于,所述预认证设备为所述移动节点的候选认证者,所述预认证设备还用于存储所述从AAA服务器接收的认证响应消息中携带的所述候选认证者和所述移动节点间的预认证密钥。
6.根据权利要求4或5所述的预认证系统,其特征在于,所述预认证设备还用于在确定需要进行预认证的移动节点后,在本地建立自身与所述移动节点的预认证绑定关系,设置所述移动节点的认证状态为预认证状态。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101061529A CN101841811B (zh) | 2009-03-18 | 2009-03-18 | 一种预认证方法、设备及系统 |
| PCT/CN2010/071115 WO2010105569A1 (zh) | 2009-03-18 | 2010-03-18 | 一种预认证方法、设备及系统 |
| EP10753136.0A EP2395779B1 (en) | 2009-03-18 | 2010-03-18 | Pre-authentication method, device and system |
| US13/234,470 US8443419B2 (en) | 2009-03-18 | 2011-09-16 | Method, device, and system for pre-authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101061529A CN101841811B (zh) | 2009-03-18 | 2009-03-18 | 一种预认证方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101841811A CN101841811A (zh) | 2010-09-22 |
| CN101841811B true CN101841811B (zh) | 2013-04-17 |
Family
ID=42739215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101061529A Expired - Fee Related CN101841811B (zh) | 2009-03-18 | 2009-03-18 | 一种预认证方法、设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8443419B2 (zh) |
| EP (1) | EP2395779B1 (zh) |
| CN (1) | CN101841811B (zh) |
| WO (1) | WO2010105569A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102740290B (zh) * | 2011-03-31 | 2015-03-11 | 香港理工大学 | 一种预认证和预配置方法及其系统 |
| TWI528766B (zh) * | 2012-02-05 | 2016-04-01 | 財團法人資訊工業策進會 | 直接通訊系統及其探索互動方法 |
| US9424543B2 (en) | 2012-09-27 | 2016-08-23 | International Business Machines Corporation | Authenticating a response to a change request |
| CN103402201B (zh) * | 2013-08-01 | 2016-08-17 | 广州大学 | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 |
| CN106603492B (zh) * | 2016-11-10 | 2020-04-03 | 新华三技术有限公司 | 一种认证方法和装置 |
| US11265301B1 (en) * | 2019-12-09 | 2022-03-01 | Amazon Technologies, Inc. | Distribution of security keys |
| US20210195416A1 (en) * | 2019-12-20 | 2021-06-24 | Lenovo (Singapore) Pte. Ltd. | Method and system of providing wifi credentials through remote invitations |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7046647B2 (en) | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| TWI249316B (en) * | 2004-02-10 | 2006-02-11 | Ind Tech Res Inst | SIM-based authentication method for supporting inter-AP fast handover |
| US7336960B2 (en) * | 2004-10-26 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for balancing wireless access based on centralized information |
| KR101203470B1 (ko) * | 2006-03-10 | 2012-11-27 | 삼성전자주식회사 | 핸드오버하는 이동 단말을 인증하는 방법 |
| CN101193427A (zh) | 2006-11-24 | 2008-06-04 | 中兴通讯股份有限公司 | 支持快速切换的预认证方法 |
| US8446875B2 (en) * | 2007-02-23 | 2013-05-21 | Toshiba America Research, Inc. | Media independent pre-authentication supporting fast-handoff in proxy MIPv6 environment |
| US8817990B2 (en) | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
| US8036176B2 (en) | 2007-06-08 | 2011-10-11 | Toshiba America Research, Inc. | MIH pre-authentication |
| KR101061899B1 (ko) * | 2007-09-12 | 2011-09-02 | 삼성전자주식회사 | 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 |
-
2009
- 2009-03-18 CN CN2009101061529A patent/CN101841811B/zh not_active Expired - Fee Related
-
2010
- 2010-03-18 WO PCT/CN2010/071115 patent/WO2010105569A1/zh active Application Filing
- 2010-03-18 EP EP10753136.0A patent/EP2395779B1/en not_active Not-in-force
-
2011
- 2011-09-16 US US13/234,470 patent/US8443419B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010105569A1 (zh) | 2010-09-23 |
| EP2395779B1 (en) | 2014-11-12 |
| US8443419B2 (en) | 2013-05-14 |
| CN101841811A (zh) | 2010-09-22 |
| EP2395779A4 (en) | 2012-01-04 |
| US20120011576A1 (en) | 2012-01-12 |
| EP2395779A1 (en) | 2011-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101841811B (zh) | 一种预认证方法、设备及系统 | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| TWI361609B (en) | System and method for wireless mobile network authentication | |
| EP2272271B1 (en) | Method and system for mutual authentication of nodes in a wireless communication network | |
| US8385549B2 (en) | Fast authentication between heterogeneous wireless networks | |
| US7840811B2 (en) | Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key | |
| CN103370915A (zh) | 安全用户平面定位(supl)系统中的认证 | |
| EP1705828B2 (en) | A method of obtaining the user identification for the network application entity | |
| CN102883316A (zh) | 建立连接的方法、终端和接入点 | |
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| US8407474B2 (en) | Pre-authentication method, authentication system and authentication apparatus | |
| CN105656901A (zh) | 对双栈操作进行互通授权的方法和装置 | |
| CN101394395B (zh) | 一种认证方法和系统、及装置 | |
| CN101677440A (zh) | 一种接入点认证的方法、系统及安全网关 | |
| KR101683286B1 (ko) | 이동통신망을 이용한 싱크 인증 시스템 및 방법 | |
| CN102111761B (zh) | 密钥管理方法及设备 | |
| CN103139774B (zh) | 短消息业务处理方法与短消息业务处理系统 | |
| JP5319575B2 (ja) | 通信方法および通信システム | |
| CN102694779A (zh) | 组合认证系统及认证方法 | |
| CN105099710A (zh) | 一种可信射频识别网络的跨域访问控制方法 | |
| CN104038935A (zh) | 基于移动终端智能卡的用户认证方法及设备 | |
| CN101350755B (zh) | 切换处理方法、消息生成方法及网络侧设备和网络系统 | |
| CN106576245A (zh) | 用户设备邻近请求认证 | |
| CN101431753B (zh) | 移动IPv6快速切换的保护方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130417 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |