CN101877850B - 接入认证方法及装置 - Google Patents
接入认证方法及装置 Download PDFInfo
- Publication number
- CN101877850B CN101877850B CN200910136236.7A CN200910136236A CN101877850B CN 101877850 B CN101877850 B CN 101877850B CN 200910136236 A CN200910136236 A CN 200910136236A CN 101877850 B CN101877850 B CN 101877850B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authorization code
- subscriber equipment
- request information
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例公开了一种接入认证方法及装置,其中,一种接入认证方法包括:在用户设备成功通过扩展协议认证之后,对用户设备分配授权码,该授权码和用户标识信息相对应,向用户设备发送包含授权码的扩展协议认证成功信息;接收用户设备的接入请求信息,根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。从而实现了对用户设备的快速认证,提高接入认证的效率。
Description
技术领域
本发明涉及移动通信技术领域,具体涉及一种接入认证方法以及实现该方法的装置。
背景技术
在现有的移动通信网络中,用户设备(UE,User Equipment)可以通过分组数据网络接入因特网,浏览因特网上的信息。为保证只有获得授权的用户设备才可以通过分组数据网络接入因特网,移动通信网络需要对用户设备进行认证和鉴权。
在现有技术中,演进的分组域系统(EPS,Evolved Packet System)提供了用户设备与分组数据网络之间的连接。当用户设备通过S2c接口请求分组数据业务时,需要通过分组数据网网关(PDN GW,Packet Data NetworkGateway)和认证鉴权服务器(AAA Server,Authentication AuthorizationAccounting Server)进行认证。在现有技术中,用户设备对分组数据网网关的认证使用基于证书的公钥签名机制,而用户设备和认证鉴权服务器之间的认证采用扩展协议认证(EAP,Extensible Authentication Protocol)机制。
用户设备请求分组数据业务时,域名系统(DNS,Domain Name System)服务器为用户设备分配分组数据网网关,用户设备和该网关之间开始进行初始化交互过程,在初始化交互完成之后,用户设备向网关发送接入请求信息,用于请求证书以及鉴权向量组。网关在接收到接入请求信息后,通过认证请求信息将接入请求信息转发给认证鉴权服务器。
认证鉴权服务器在接收到该认证请求信息后,向归属用户服务器请求鉴权向量组,其中鉴权向量组中包括认证令牌AUTN、随机数RAND、加密密钥CK1、完整性密钥IK1以及期望值XRES,然后认证鉴权服务器向用户设备发送扩展协议认证请求,扩展协议认证请求中仅包含认证令牌AUTN和随机数RAND。网关在接收到扩展协议认证请求后,通过接入响应信息将证书和扩展协议认证请求发送给用户设备,用户设备根据该证书完成对网关的认证,并且响应认证鉴权服务器发送的扩展协议认证请求。
用户设备根据接收到的扩展协议认证请求中的认证令牌AUTN和随机数RAND对认证鉴权服务器进行认证。在对认证鉴权服务器认证成功后,用户设备根据鉴权令牌AUTN和随机数RAND来计算认证值RES,并且向认证鉴权服务器发送包含认证值RES的扩展协议认证响应信息。
认证鉴权服务器验证接收到的扩展协议认证响应信息,其中包括验证认证值RES是否等于鉴权向量组中的期望值XRES,在验证成功后,向用户设备发送扩展协议认证成功信息,认证鉴权服务器完成对用户设备的接入认证过程。
发明人在实现本发明的过程中发现,当用户设备首次通过一个网关接入到分组数据网络请求的业务完成,断开业务连接之后,用户设备再次向同一认证鉴权服务器管理下的分组数据网络请求连接时,认证鉴权服务器还需要对用户设备进行完整的扩展协议认证流程,即认证过程还需要认证鉴权服务器向归属用户服务器请求鉴权向量组,归属用户服务器在重新计算新的鉴权向量组后向,向认证鉴权服务器发送鉴权向量组,因而整个认证过程较复杂。
发明内容
为解决现有技术中用户设备接入认证过程复杂的问题,本发明实施例提供一种用户设备在通过同一认证鉴权服务器管理下网关再次请求接入认证时,认证鉴权服务器对用户设备实现快速认证的方法和实现该方法的装置。
本发明实施例提供的接入认证方法,包括:在用户设备成功通过扩展协议认证之后,对用户设备分配授权码,该授权码和用户标识信息相对应,向用户设备发送包含授权码的扩展协议认证成功信息;接收用户设备的接入请求信息,根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。
本发明实施例还提供一种接入认证方法,包括:在成功通过扩展协议认证之后,接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息,保存该授权码;发送包含授权码以及用户标识信息的接入请求信息,以使得认证鉴权服务器根据授权码以及用户标识信息对其进行认证。
本发明实施例还提供一种认证鉴权服务器,包括:授权码分配单元,用于在用户设备成功通过扩展协议认证之后,对用户设备分配授权码,该授权码和用户标识信息相对应,向用户设备发送包含授权码的扩展协议认证成功信息;第一接收单元,用于接收用户设备的接入请求信息,接入请求信息中包含授权码和用户标识信息;以及授权码认证单元,用于根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。
本发明实施例还提供一种用户设备,包括:接收单元,用于接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息;授权码存储单元,用于保存扩展协议认证成功信息中包含的授权码;以及授权码发送单元,用于发送包含授权码以及用户标识信息的接入请求信息,以使得认证鉴权服务器根据授权码以及用户标识信息对其进行认证。
在本发明实施例中,认证鉴权服务器向成功通过扩展协议认证的用户设备分配授权码,并且该授权码和用户标识信息相对应。用户设备再次向该认证鉴权服务器请求认证时,发送包含授权码和用户标识信息的接入请求信息,认证鉴权服务器根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。在现有技术中认证鉴权服务器需要向归属用户服务器请求鉴权向量组,通过鉴权向量组对用户设备进行认证,而本发明实施例则不需要认证鉴权服务器向归属用户服务器请求鉴权向量组,因而可以缩短接入认证流程,提高接入认证效率。
附图说明
图1是本发明接入认证方法第一实施例的流程图;
图2是本发明接入认证方法第二实施例的流程图;
图3是本发明实施例执行接入认证方法的第一场景的流程图;
图4是本发明实施例执行接入认证方法的第二场景的流程图;
图5是本发明实施例提供的认证鉴权服务器的示意图;
图6是本发明实施例提供的认证鉴权服务器中的认证反馈单元的示意图;
图7是本发明实施例提供的用户设备的示意图。
具体实施方式
本发明实施例提供了一种接入认证方法和实现该方法的装置。为了更好的理解本发明实施例的技术方案,下面结合附图对本发明提供的实施例进行详细地描述。
参见图1,图1是本发明接入认证方法第一实施例的流程图。
用户设备第一次向认证鉴权服务器管理下的分组数据网络请求业务时,用户设备和认证鉴权服务器之间采用扩展的认证协议进行完整的认证过程。
步骤101、在用户设备成功通过扩展协议认证之后,对用户设备分配授权码,该授权码和用户标识信息相对应,向用户设备发送包含授权码的扩展协议认证成功信息。
在用户设备成功通过扩展协议认证后,认证鉴权服务器对该用户设备分配授权码,授权码和用户标识信息相对应,然后向该用户设备发送包含授权码的扩展协议认证成功信息。
步骤102、接收用户设备的接入请求信息,根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。
认证鉴权服务器在接收到用户设备发送的接入请求信息后,根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。
在本发明方法实施例中,认证鉴权服务器通过向用户设备分配与用户标识信息相对应的授权码,使得用户设备再次向认证鉴权服务器请求接入认证时,发送包含授权码的接入请求信息,认证鉴权服务器根据接入请求信息中包含的授权码和用户标识信息对用户设备进行验证。认证鉴权服务器不需要向归属用户服务器请求鉴权向量组,也就减轻了归属用户服务器的冗余负担,也可以加快用户设备的接入认证流程,提高了认证效率。
在本发明实施例中,认证鉴权服务器在接收用户设备的接入请求信息和根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证之间还可以包括:认证鉴权服务器首先判断接入请求信息中包含的授权码是否有效,在判断接入请求信息中包含的授权码有效的情况下执行根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证的步骤。认证鉴权服务器通过对授权码的有效性进行判断,也可以增强用户设备接入认证过程的安全性。
其中,认证鉴权服务器判断授权码是否有效可以通过判断授权码的认证次数是否超过预设门限值,预设门限值可以由认证鉴权服务器来确定,用于表示使用授权码认证的最大次数。认证鉴权服务器在判断授权码的认证次数没有超过预设门限值的情况下,判断该授权码有效。认证鉴权服务器还可以判断用户设备前一次认证请求过程使用的加密密钥CK1是否超过其生命周期,在判断加密密钥CK1没有超过其生命周期的情况下,判断该授权码有效。另外,认证鉴权服务器还可以判断用户设备前一次认证请求过程使用的完整性密钥IK1是否超过其生命周期,在判断完整性密钥IK1没有超过其生命周期的情况下,判断该授权码有效。
在本发明实施例中,认证鉴权服务器在对用户设备进行认证之后,根据该用户设备前一次认证请求过程使用的加密密钥CK1、完整性密钥IK1和授权码来计算本次的主会话密钥MSK2。认证鉴权服务器还可以根据该用户设备前一次认证请求过程使用的主会话密钥MSK1和授权码来计算本次的主会话密钥MSK2。当然认证鉴权服务器还可以直接将前一次认证请求过程使用的主会话密钥MSK1作为本次使用的主会话密钥。在计算出主会话密钥MSK2后,认证鉴权服务器向网关发送包含主会话密钥MSK2的认证成功信息,网关保存主会话密钥MSK2,并且向用户设备发送包含认证成功信息的接入响应信息。
参见图2,图2是本发明接入认证方法第二实施例的流程图。
用户设备第一次向认证鉴权服务器管理下的分组数据网络请求业务时,用户设备和认证鉴权服务器之间采用扩展协议认证机制进行完整的认证过程。
步骤201、在成功通过扩展协议认证之后,接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息,保存该授权码;
步骤202、发送包含授权码以及用户标识信息的接入请求信息,以使得认证鉴权服务器根据授权码以及用户标识信息对其进行认证。
通常,用户设备再次向该认证鉴权服务器请求接入认证时,用户设备首先向网关发送接入请求信息,用于请求证书。用户设备在接收到证书后,对网关进行认证。用户设备在对网关认证成功后,向认证鉴权服务器发送包含授权码以及用户标识信息的接入请求信息,该接入请求信息由网关转发到认证鉴权服务器。
其中,认证鉴权服务器在接收到包含用户标识信息以及授权码的接入请求信息后,根据用户标识信息和授权码对用户设备进行认证。认证鉴权服务器在对用户设备认证成功之后,向用户设备发送认证成功信息,认证成功信息可以由网关转发给用户设备。
与现有技术相比,本发明方法实施例中的用户设备通过向认证鉴权服务器发送包含授权码和用户标识信息的接入请求信息,认证鉴权服务器根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证,不需要向归属用户服务器请求鉴权向量组,使得认证鉴权服务器对用户设备的认证过程加快,缩短了用户设备的接入认证请求时间,提高了认证效率,还可以提高用户的业务体验。
为更好的理解本发明实施例,下面给出本发明实施例的一个具体应用场景。
参见图3,图3是本发明实施例执行接入认证方法的第一场景的流程图。
步骤301、UE通过PDN GW1与认证鉴权服务器进行完整的EAP认证,在认证成功后,认证鉴权服务器对用户设备分配授权码,向用户设备发送包含授权码的扩展协议认证成功信息,该授权码与用户设备的用户标识信息相对应。
其中,授权码可以为16位或32位的字符,授权码可以通过接入响应消息中的[CERTERQ]字段来承载,或者通过[Notify payload]字段来承载。
步骤302、分配网关。
经过一段时间后,UE再次向分组数据网络请求业务,此时DNS服务器分配PDN GW2作为接入网关,PDN GW2和PDN GW1可以为同一个网关,也可以是认证鉴权服务器下的不同网关。
步骤303、UE与PDN GW2进行初始化交互,完成密钥交互与算法协商。
初始化交互过程首先是由UE向PDN GW2发送初始化请求信息,然后PDN GW2向UE发送初始化响应信息,通过进行初始化过程,UE和PDN GW2之间完成了密钥交互与算法协商。
步骤304、UE向PDN GW2发送接入请求信息,请求证书。
UE发送接入请求信息给PDN GW2,接入请求信息中包含AUTH参数、用户标识信息、CERTERQ等其它参数。接入请求信息中可以设置AUTH参数为NULL来说明使用授权码进行认证,同时通过载荷CERTERQ请求PDNGW2的证书。
步骤305、PDN GW2发送认证请求信息给认证鉴权服务器,认证请求信息中包含了用户标识信息以及接入点名称(Access Point Name,APN)等信息。
步骤306、认证鉴权服务器向网关发送认证响应信息。
认证鉴权服务器根据用户标识信息,向网关发送认证响应信息,用于告知网关将证书发送给UE。
步骤307、PDN GW2向UE发送接入响应信息,接入响应信息中包含了PDN GW2的身份和证书。
步骤308、UE根据接收到的证书完成对PDN GW2的认证,并发送包含授权码和用户标识信息的接入请求信息。
UE通过接收到的证书对PDN GW2进行认证,在认证成功后再发送授权码,可以防止非法网关欺骗,泄露用户设备的授权码。另外,授权码和用户标识信息可以保存在接入请求信息的载荷字段中。
步骤309、PDN GW2通过认证请求信息将用户标识信息和授权码转发给认证鉴权服务器。
步骤310、认证鉴权服务器根据授权码和用户标识信息对用户设备进行认证,并且在认证成功后,计算出本次使用的主会话密钥MSK2(Master SessionKey,MSK)和可扩展的主会话密钥EMSK2(Extended Master Session Key,EMSK)。
认证鉴权服务器首先判断授权码是否有效,若判断授权码有效则进一步根据用户标识信息以及授权码对用户设备进行认证,并且将授权码的认证次数加1;若判断授权码的认证次数超过预设门限值,则判断授权码无效,发送认证失败信息,用户设备需要重新进行完整的EAP认证。认证鉴权服务器判断授权码是否有效还可以通过判断用户设备前一次认证请求过程使用的加密密钥CK1是否超过其生命周期,在判断加密密钥CK1没有超过其生命周期的情况下,判断该授权码有效。另外,认证鉴权服务器还可以通过判断用户设备前一次认证请求过程使用的完整性密钥IK1是否超过其生命周期,在判断完整性密钥IK1没有超过其生命周期的情况下,判断该授权码有效。完整性密钥IK1和加密密钥CK1具有相同的生命周期。
上述计算出本次使用的MSK2和EMSK2的方法可以包括:认证鉴权服务器使用该用户设备前一次认证请求过程使用的加密密钥CK1和完整性密钥IK1衍生出新的加密密钥CK2和完整性密钥IK2,然后使用新的加密密钥CK2和完整性密钥IK2计算本次的主会话密钥MSK2和可扩展的主会话密钥EMSK2;认证鉴权服务器还可以根据前一次认证请求过程中使用的主会话密钥MSK1和可扩展的主会话密钥EMSK1衍生出新的主会话密钥MSK2和可扩展的主会话密钥EMSK2。
其中,使用加密密钥CK1和完整性密钥IK1衍生出新的加密密钥CK2和完整性密钥IK2方法包括:
CK2|IK2=F(CK1,IK1,<access network identity>,授权码)
MK*=PRF’(PRF‘(IK2|CK2,“NULL”|Identity),授权码)
K_encr=MK*[0..127]
K_aut=MK*[128..383]
MSK2=MK*[640..1151]
EMSK2=MK*[1152..1663]
认证鉴权服务器使用加密密钥CK1和完整性密钥IK1衍生出新的加密密钥CK2和完整性密钥IK2方法不限于此,还可以是其它的方法。
上述认证鉴权服务器根据MSK1和EMSK1衍生出新的主会话密钥MSK2和可扩展的主会话密钥EMSK2的方法包括:
MK*=PRF’(PRF‘(MSK1|EMSK1,“NULL”|Identity),授权码)
K_encr=MK*[0..127]
K_aut=MK*[128..383]
MSK2=MK*[640..1151]
EMSK2=MK*[1152..1663]
认证鉴权服务器根据主会话密钥MSK1衍生出新的主会话密钥MSK2和可扩展的主会话密钥EMSK2的方法不限于此,还可以是其它的方法。
需要特别说明的是,具体采用以上何种方式计算MSK2和EMSK2,可以根据网络侧策略决定,其中MSK2用于后续认证过程中计算初始化交互信息的认证参数,EMSK2保存在认证鉴权服务器中方便后续使用。如果当前网络中的认证鉴权服务器不保存IK1和CK1而保存MSK1和EMSK1的情况下,例如LTE网络中,则使用MSK1和EMSK1来计算MSK2和EMSK2;如果当前网络中的认证鉴权服务器保存IK1和CK1而不保存MSK1和EMSK1,则使用IK1和CK1来计算MSK2和EMSK2;如果当前网络中的认证鉴权服务器可以保存IK1、CK1和MSK1、EMSK1,则使用MSK1和EMSK1来计算MSK2和EMSK2,可以通过配置优先级来实现。
步骤311、认证鉴权服务器向PDN GW2发送包含主会话密钥MSK2的认证成功信息。
步骤312、PDN GW2向UE发送包含认证参数A1和认证成功信息的接入响应信息。
PDN GW2在接收到包含主会话密钥MSK2的认证成功信息后,保存MSK2,并根据MSK2计算初始化交互信息的网关侧认证参数,此处为接收到的初始化请求信息的网关侧认证参数A1,然后向UE发送包含A1和认证成功信息的接入响应信息。
步骤313、UE验证初始化请求信息,计算认证参数B2。
其中,UE在接收到认证成功信息后,根据前一次向上述认证鉴权服务器请求接入认证过程使用的加密密钥CK1和完整性密钥IK1或主会话密钥MSK1来计算本次的主会话密钥MSK2,需要特别说明的是,UE计算主会话密钥MSK2的方式和认证鉴权服务器计算主会话密钥MSK2的方式一致,可以通过对UE和认证鉴权服务器进行配置来实现。UE使用主会话密钥MSK2来计算发送的初始化请求信息的用户侧认证参数A2,根据A1和A2对初始化请求信息进行认证,并且UE在认证初始化请求信息成功后,开始计算初始化交互信息的用户侧认证参数,此处UE根据接收到的初始化响应信息和MSK2来计算初始化响应信息的用户侧认证参数B2。
步骤314、向网关发送接入请求信息,接入请求信息中包含认证参数B2。
步骤315、验证初始化响应信息,发送包含接入地址的接入响应信息。
PDN GW2在接收到认证参数B2后,使用主会话密钥MSK2来计算初始化响应信息的网关侧认证参数B1,根据B1和B2来验证初始化响应信息,PDNGW2在对初始化响应信息验证成功后,向UE发送接入地址,UE可以根据该接入地址进行分组数据业务。
下面再给出本发明实施例的一个具体应用场景。参见图4,图4是本发明实施例执行接入认证方法的第二场景的流程图。
在本应用场景中,步骤401至步骤407的执行过程与本发明实施例第一场景中步骤301至步骤307的执行过程大致相同,在此不再重复描述。
步骤408、根据MSK1计算认证参数B2,发送包含B2、授权码和用户标识信息的接入请求信息。
在本应用场景中,UE在对PDN GW2的认证成功后,直接根据前一次向认证鉴权服务器请求接入认证过程中使用的主会话密钥MSK1来计算初始化响应信息的用户侧认证参数B2,然后向PDN GW2发送包含认证参数B2和授权码的接入请求信息。
步骤409、PDN GW2保存认证参数B2,通过认证请求信息向认证鉴权服务器发送授权码和用户标识信息。
步骤410、认证鉴权服务器根据授权码和用户标识信息对用户设备进行认证。
步骤411、认证鉴权服务器向网关发送包含MSK1的认证成功信息。
在根据授权码和用户标识信息对用户设备认证成功后,认证鉴权服务器重用前一次认证请求过程中使用的MSK1,向网关发送包含MSK1的认证成功信息。
步骤412、PDN GW2验证初始化响应信息,计算认证参数A1,发送接入响应信息;该接入响应信息中可以包含接入地址、A1和认证成功信息。
PDN GW2根据该主会话密钥MSK1计算初始化响应信息的网关侧认证参数B1,然后根据接收到的认证参数B2和认证参数B1来验证初始化响应信息,PDN GW2在对初始化响应信息验证成功后向UE发送包含接入地址的接入响应信息。
步骤413、UE对初始化请求信息进行验证。
UE使用MSK1来计算初始化请求信息的用户侧认证参数A2,根据认证参数A1和A2对初始化请求信息进行验证,在验证成功后,根据该接入地址进行分组数据业务。
与第一场景相比,第二场景实施例中UE直接将授权码和认证参数B2同时发送给网关,可以加快网关和UE之间验证初始化请求信息和初始化响应信息的流程,进一步提高接入认证的效率。
参见图5,图5是本发明实施例提供的认证鉴权服务器的示意图。
本发明实施例提供的认证鉴权服务器主要由授权码分配单元11、第一接收单元12和授权码认证单元13组成。
其中,授权码分配单元11,用于在用户设备成功通过扩展协议认证之后,对用户设备分配授权码,该授权码和用户标识信息相对应;以及向用户设备发送包含该授权码的扩展协议认证成功信息;
第一接收单元12,用于接收用户设备的接入请求信息,该接入请求信息中包含授权码和用户标识信息;以及
授权码认证单元13,用于根据接入请求信息中包含的授权码和用户标识信息对该用户设备进行认证。
本发明实施例提供的认证鉴权服务器还可以包括判断单元14和触发单元15。其中判断单元14,用于在接收到包含授权码的接入请求信息后,判断接入请求信息中包含的授权码是否有效;触发单元15,用于在判断接入请求信息中包含的授权码有效的情况下,触发授权码认证单元13根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。
本发明实施例提供的认证鉴权服务器还可以包括认证反馈单元16,用于在授权码认证单元13对用户设备认证成功之后,发送认证成功信息。
参见图6,图6是本发明实施例提供的认证鉴权服务器中的认证反馈单元的示意图。
其中,认证反馈单元16可以包括:
密钥计算模块161,用于在授权码认证单元13对用户设备认证成功后,根据该用户设备前一次认证请求过程使用的加密密钥CK1、完整性密钥IK1和授权码来计算本次的主会话密钥MSK2或根据该用户设备前一次认证请求过程使用的主会话密钥MSK1和授权码来计算本次的主会话密钥MSK2;
发送模块162,用于发送包含主会话密钥MSK2的认证成功信息。
参见图7,图7是本发明实施例提供的用户设备的示意图。
本发明实施例提供的用户设备实施例主要由授权码存储单元21、授权码发送单元22和接收单元23组成。
授权码存储单元21,用于保存扩展协议认证成功信息中包含的授权码;
授权码发送单元22,用于发送包含授权码以及用户标识信息的接入请求信息,以使得认证鉴权服务器根据授权码以及用户标识信息对其进行认证;
接收单元23,用于接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息。
本发明认证鉴权服务器实施例和用户设备实施例可以使用在本发明相对应的接入认证请求方法实施例中。在本发明实施例中,认证鉴权服务器通过向用户设备分配与用户标识信息相对应的授权码,使得用户设备再次向认证鉴权服务器请求接入认证时,发送包含授权码和用户标识信息的接入请求信息,认证鉴权服务器根据接入请求信息中包含的授权码和用户标识信息对用户设备进行验证,在对用户设备认证成功之后,向该用户设备发送认证成功信息。认证鉴权服务器不需要向归属用户服务器请求鉴权向量组,减轻了归属用户服务器的冗余负担,也可以加快用户设备的接入认证流程,提高了认证效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件和必要的通用硬件平台的方式来实现,基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质中,如CD-ROM、U盘、移动硬盘等,包括若干指令用以使得一台计算机设备,如个人计算机、接收端或者网络设备等,执行本发明各个实施例所述的方法。
以上对本发明实施例提供的接入认证方法及装置进行了详细介绍,当用户设备通过S2a或S2b接口请求分组数据业务时,如果PDN网络不需要认证UE,则在认证过程中没有PDN GW参与,但是如果PDN网络需要验证UE,则必须通过PDN GW的参与完成认证,认证的过程和本发明实施例相同,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种接入认证方法,其特征在于,包括:
认证鉴权服务器在用户设备成功通过扩展协议认证之后,对所述用户设备分配授权码,所述授权码和用户标识信息相对应,向所述用户设备发送包含所述授权码的扩展协议认证成功信息,以便所述用户设备再次向所述认证鉴权服务器请求接入认证时,发送包含授权码的接入请求信息;
所述认证鉴权服务器接收所述用户设备的所述接入请求信息,根据所述接入请求信息中包含的授权码和用户标识信息对所述用户设备进行认证;
其中,在所述接收所述用户设备的接入请求信息,和所述根据所述接入请求信息中包含的授权码和用户标识信息对所述用户设备进行认证,之间还包括:
判断所述接入请求信息中包含的授权码是否有效;
在判断所述接入请求信息中包含的授权码有效的情况下,执行所述根据所述接入请求信息中包含的授权码和用户标识信息对所述用户设备进行认证;
所述判断所述接入请求信息中包含的授权码是否有效包括:
判断所述接入请求信息中包含的授权码的认证次数是否超过预设门限值,在所述接入请求信息中包含的授权码的认证次数没有超过预设门限值的情况下,判断所述接入请求信息中包含的授权码有效;或者,
判断所述用户设备前一次认证请求过程使用的加密密钥CK1是否超过其生命周期,在判断CK1没有超过其生命周期的情况下,判断所述接入请求信息中包含的授权码有效;或者,
判断所述用户设备前一次认证请求过程使用的完整性密钥IK1是否超过其生命周期,在判断IK1没有超过其生命周期的情况下,判断所述接入请求信息中包含的授权码有效。
2.根据权利要求1所述的接入认证方法,其特征在于,还包括:
根据所述用户设备前一次认证请求过程使用的加密密钥CK1、完整性密钥IK1和所述授权码来计算本次的主会话密钥MSK2;
或者,根据所述用户设备前一次认证请求过程使用的主会话密钥MSK1和所述授权码来计算本次的主会话密钥MSK2;
发送包含所述主会话密钥MSK2的认证成功信息。
3.一种接入认证方法,其特征在于,包括:
在用户设备成功通过扩展协议认证之后,所述用户设备接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息,保存所述授权码;
所述用户设备向所述认证鉴权服务器请求接入认证时,向所述认证鉴权服务器发送包含所述授权码以及用户标识信息的接入请求信息,以使得所述认证鉴权服务器根据所述授权码以及用户标识信息对所述用户设备进行认证。
4.一种认证鉴权服务器,其特征在于,包括:
授权码分配单元,用于在用户设备成功通过扩展协议认证之后,对所述用户设备分配授权码,所述授权码和用户标识信息相对应;向所述用户设备发送包含所述授权码的扩展协议认证成功信息,以便所述用户设备再次向所述认证鉴权服务器请求接入认证时,发送包含授权码的接入请求信息;
第一接收单元,用于接收所述用户设备的所述接入请求信息,所述接入请求信息中包含所述授权码和用户标识信息;
授权码认证单元,用于根据所述接入请求信息中包含的授权码和用户标识信息对所述用户设备进行认证;
其中,所述认证鉴权服务器,还包括:
判断单元,用于在接收到接入请求信息后,判断所述接入请求信息中包含的授权码是否有效;
触发单元,用于在所述判断单元判断所述接入请求信息中包含的授权码有效的情况下,触发所述授权码认证单元根据所述接入请求信息中包含的授权码和用户标识信息对所述用户设备进行认证;
其中,所述判断单元具体用于:判断所述接入请求信息中包含的授权码的认证次数是否超过预设门限值,在所述接入请求信息中包含的授权码的认证次数没有超过预设门限值的情况下,判断所述接入请求信息中包含的授权码有效;或者,判断所述用户设备前一次认证请求过程使用的加密密钥CK1是否超过其生命周期,在判断CK1没有超过其生命周期的情况下,判断所述接入请求信息中包含的授权码有效;或者,判断所述用户设备前一次认证请求过程使用的完整性密钥IK1是否超过其生命周期,在判断IK1没有超过其生命周期的情况下,判断所述接入请求信息中包含的授权码有效。
5.根据权利要求4所述的认证鉴权服务器,其特征在于,还包括:
认证反馈单元,用于在所述授权码认证单元对所述用户设备认证成功之后,发送认证成功信息。
6.根据权利要求5所述的认证鉴权服务器,其特征在于,所述认证反馈单元包括:
密钥计算模块,用于在所述授权码认证单元对所述用户设备认证成功后,根据所述用户设备前一次认证请求过程使用的加密密钥CK1、完整性密钥IK1和所述授权码来计算本次的主会话密钥MSK2,或者根据所述用户设备前一次认证请求过程使用的主会话密钥MSK1和所述授权码来计算本次的主会话密钥MSK2;
发送模块,用于发送包含所述主会话密钥MSK2的认证成功信息。
7.一种用户设备,其特征在于,包括:
接收单元,用于接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息;
授权码存储单元,用于保存所述扩展协议认证成功信息中包含的授权码;
授权码发送单元,用于向所述认证鉴权服务器请求接入认证时,向所述认证鉴权服务器发送包含所述授权码以及用户标识信息的接入请求信息,以使得所述认证鉴权服务器根据所述授权码以及用户标识信息对所述用户设备进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910136236.7A CN101877850B (zh) | 2009-04-29 | 2009-04-29 | 接入认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910136236.7A CN101877850B (zh) | 2009-04-29 | 2009-04-29 | 接入认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101877850A CN101877850A (zh) | 2010-11-03 |
| CN101877850B true CN101877850B (zh) | 2014-01-01 |
Family
ID=43020293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910136236.7A Active CN101877850B (zh) | 2009-04-29 | 2009-04-29 | 接入认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101877850B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102883319B (zh) * | 2012-09-07 | 2015-05-20 | 大唐移动通信设备有限公司 | 鉴权向量管理方法及装置 |
| CN103037372B (zh) * | 2012-12-17 | 2016-01-06 | 海能达通信股份有限公司 | 宽带多媒体集群通信系统中的终端接入鉴权的方法与装置 |
| CN103763102B (zh) * | 2013-12-31 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 一种基于消息推送的wifi安全管理系统及管理方法 |
| CN105827573B (zh) * | 2015-01-07 | 2019-03-05 | 中国移动通信集团山东有限公司 | 物联网设备强认证的系统、方法及相关装置 |
| CN106878007B (zh) * | 2017-02-08 | 2019-11-15 | 飞天诚信科技股份有限公司 | 一种授权方法及系统 |
| US10735966B2 (en) * | 2017-08-30 | 2020-08-04 | General Electric Company | Cloud enrollment initiation via separate device |
| CN108881280B (zh) * | 2018-07-11 | 2021-02-02 | 中国联合网络通信集团有限公司 | 接入方法、内容分发网络系统及接入系统 |
| CN110166461B (zh) * | 2019-05-24 | 2022-09-20 | 中国银联股份有限公司 | 用户统一标识处理方法、装置、设备及存储介质 |
| CN112866174B (zh) * | 2019-11-12 | 2023-04-18 | 千寻位置网络有限公司 | 终端接入认证方法及其系统 |
| CN112235276B (zh) * | 2020-10-09 | 2023-04-18 | 三星电子(中国)研发中心 | 主从设备交互方法、装置、系统、电子设备和计算机介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787515A (zh) * | 2004-12-10 | 2006-06-14 | 虞淑瑶 | 一种基于安全散列函数的强口令双向认证协议 |
| CN101068335A (zh) * | 2007-05-24 | 2007-11-07 | 中兴通讯股份有限公司 | 将传统iptv终端接入ims域的装置、系统和方法 |
| CN101369300A (zh) * | 2008-10-14 | 2009-02-18 | 威盛电子股份有限公司 | 计算机认证方法及使用该方法的软件及硬件 |
-
2009
- 2009-04-29 CN CN200910136236.7A patent/CN101877850B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787515A (zh) * | 2004-12-10 | 2006-06-14 | 虞淑瑶 | 一种基于安全散列函数的强口令双向认证协议 |
| CN101068335A (zh) * | 2007-05-24 | 2007-11-07 | 中兴通讯股份有限公司 | 将传统iptv终端接入ims域的装置、系统和方法 |
| CN101369300A (zh) * | 2008-10-14 | 2009-02-18 | 威盛电子股份有限公司 | 计算机认证方法及使用该方法的软件及硬件 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101877850A (zh) | 2010-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101877850B (zh) | 接入认证方法及装置 | |
| JP6979420B2 (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US9270672B2 (en) | Performing a group authentication and key agreement procedure | |
| CN107005927B (zh) | 用户设备ue的接入方法、设备及系统 | |
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| CN102196426B (zh) | 一种接入ims网络的方法、装置和系统 | |
| KR20070096060A (ko) | 무선 통신을 위한 안전한 부트스트래핑 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN101442402A (zh) | 认证接入点设备的方法、系统和装置 | |
| CN101401465A (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN105656901B (zh) | 对双栈操作进行互通授权的方法和装置 | |
| EP3387855B1 (en) | Methods and arrangements for authenticating a communication device | |
| CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证系统 | |
| CN101488945B (zh) | 一种面向会话初始化协议的鉴权方法 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN104509144A (zh) | 在终端联接至接入网期间实现安全关联 | |
| CN110226319B (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN102685742A (zh) | 一种wlan接入认证方法和装置 | |
| WO2012068801A1 (zh) | 移动终端的认证方法及移动终端 | |
| JP6745403B2 (ja) | ネットワーク認証方法、デバイス、およびシステム | |
| CN106612205B (zh) | 一种节点认证方法、系统及代理节点 | |
| CN101228769A (zh) | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 | |
| CN109246701B (zh) | 网络认证方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |