CN103391542B - Eap认证触发方法及系统、接入网设备、终端设备 - Google Patents
Eap认证触发方法及系统、接入网设备、终端设备 Download PDFInfo
- Publication number
- CN103391542B CN103391542B CN201210140210.1A CN201210140210A CN103391542B CN 103391542 B CN103391542 B CN 103391542B CN 201210140210 A CN201210140210 A CN 201210140210A CN 103391542 B CN103391542 B CN 103391542B
- Authority
- CN
- China
- Prior art keywords
- eap
- terminal unit
- access network
- eap authentication
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Abstract
本发明实施例提供EAP认证触发方法及系统、接入网设备、终端设备,通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及可扩展的认证协议(ExtensibleAuthentication Protocol,EAP)认证触发方法及系统、接入网设备、终端设备。
背景技术
在无线通信网络例如:无线局域网(Wireless Local Area Network,WLAN)连接的建立过程中,认证服务器(Authentication Server,AS)需要通过接入网设备,与终端设备执行EAP(Extensible AuthenticationProtocol,EAP,可扩展的认证协议)认证。具体地,接入网设备接收到终端设备发送的EAP认证开始(EAPoL-Start)消息,该消息用以指示需要执行EAP认证方法。所述接入网设备则向所述终端设备发送EAP请求/标识(EAP-Request/Identity)消息,以及接收所述终端设备根据所述EAP请求/标识消息发送的EAP响应/标识(EAP-Response/Identity)消息,所述EAP响应/标识消息中包含所述终端设备的标识。至此,所述接入网设备则可以向认证服务器转发所述EAP响应/标识消息,用以触发所述认证服务器与所述终端设备执行EAP认证方法。
然而,现有的EAP认证的触发过程中,终端设备与接入网设备之间交互的消息较多,使得EAP认证过程时间较长,导致了EAP认证的执行效率的降低,以及接入网设备的信令处理负担的增加。
发明内容
本发明实施例提供EAP认证触发方法及系统、接入网设备、终端设备,用以提高EAP认证的执行效率,以及降低接入网设备的信令处理负担。
一方面,一种EAP认证触发方法,包括:
接入网设备接收终端设备发送的第一管理帧,所述第一管理帧中包含所述终端设备的标识;
所述接入网设备生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
所述接入网设备向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
另一方面,一种EAP认证触发方法,包括:
终端设备向接入网设备发送第一管理帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
所述终端设备与所述认证服务器执行EAP认证方法。
另一方面,一种接入网设备,包括:
第一接收器,用于接收终端设备发送的第一管理帧,所述第一管理帧中包含所述终端设备的标识;
处理器,用于生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
第一发送器,用于向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
另一方面,一种终端设备,包括:
发送器,用于向接入网设备发送第一管理帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
处理器,用于与所述认证服务器执行EAP认证方法。
另一方面,一种EAP认证触发系统,包括上述接入网设备,还包括认证服务器,用于接收所述接入网设备发送的所述EAP响应/标识消息,与终端设备执行EAP认证方法。
由上述技术方案可知,本发明实施例通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例提供的EAP认证触发方法的流程示意图;
图2为本发明另一实施例提供的EAP认证触发方法的流程示意图;
图3为本发明另一实施例提供的EAP认证触发方法的流程示意图;
图4为本发明另一实施例提供的接入网设备的结构示意图;
图5为本发明另一实施例提供的接入网设备的结构示意图;
图6为本发明另一实施例提供的终端设备的结构示意图;
图7为本发明另一实施例提供的终端设备的结构示意图;
图8为本发明另一实施例提供的EAP认证触发系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明的技术方案,可以应用于各种无线通信网络,例如:无线局域网(Wireless Local Area Network,WLAN)、全球移动通信系统(Global Systemfor Mobile Communications,GSM)网络、通用分组无线业务(GeneralPacket Radio Service,GPRS)网络、码分多址(Code Division MultipleAccess,CDMA)网络、CDMA2000网络、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)网络、长期演进(Long Term Evolution,LTE)网络或全球微波接入互操作性(World Interoperability for MicrowaveAccess,WiMAX)网络等。
其中,接入网设备,可以是WLAN中的接入点(Access Point,AP),还可以是GSM网络、GPRS网络或CDMA网络中的基站(Base TransceiverStation,BTS),还可以是CDMA2000网络或WCDMA网络中的基站(NodeB),还可以是LTE网络中的演进型基站(Evolved NodeB,eNB),还可以是WiMAX网络中的接入服务网络的基站(Access Service NetworkBase Station,ASN BS);或也可以是以上所述接入点、基站后面的控制器或认证器等网元。
图1为本发明一实施例提供的EAP认证触发方法的流程示意图,如图1所示。
101、接入网设备接收终端设备发送的第一管理帧,所述第一管理帧中包含所述终端设备的标识。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
102、所述接入网设备生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识。
103、所述接入网设备向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧可以包括但不限于关联请求(Association Req uest)帧,或第一认证(AuthenticationFirst)帧。
例如:可以从现有的802.11标准的第一认证帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者也可以从关联请求帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者还可以另外定义一个新的第一管理帧,在其中携带所述终端设备的标识触发后续的EAP认证过程。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。例如:可以使用EAPoL-Start消息作为EAP认证开始指示,或者也可以使用一个标志位等方式作为EAP认证开始指示。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含所述终端支持的EAP方法信息;相应地,所述接入网设备还可以进一步向所述认证服务器发送所述终端设备支持的EAP认证方法信息,以使得所述认证服务器能够根据所述终端设备支持的EAP认证方法信息选择合适的认证方法。
可选地,在本实施例的一个可选实施方式中,在步骤103之后,所述接入网设备还可以进一步接收所述认证服务器与所述终端设备执行所述EAP认证方法之后发送的EAP认证成功消息或EAP认证失败消息;然后,所述接入网设备则可以向所述终端设备发送第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息。具体地,所述第二管理帧可以包括但不限于关联响应(Association Response)帧,或第二认证(Authentication Second)帧。
可选地,所述EAP认证成功消息或所述EAP认证失败消息还可以不包含在所述第二管理帧中,而是所述接入网设备在向所述终端设备发送所述第二管理帧之前,向所述终端设备单独发送,但是,这样,就多出一个消息,因此,所述EAP认证成功消息或所述EAP认证失败消息包含在所述第二管理帧中则是本发明优选的实施方式。
可以理解的是:若所述EAP认证方法认证成功,则所述关联响应帧中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个WLAN中唯一标识一个设备。
本实施例中,通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
图2为本发明另一实施例提供的EAP认证触发方法的流程示意图,如图2所示。
201、终端设备向接入网设备发送第一管理帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
202、所述终端设备与所述认证服务器执行EAP认证方法。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧可以包括但不限于关联请求(Association Request)帧,或第一认证(AuthenticationFirst)帧。
例如:可以从现有的802.11标准的第一认证帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者也可以将802.11标准的第一认证帧省略,从关联请求帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者还可以另外定义一个新的管理帧代替现有的管理帧,在其中携带所述终端设备的标识触发后续的EAP认证过程。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。例如:可以使用EAPoL-Start消息作为EAP认证开始指示,或者也可以使用一个标志位等方式作为EAP认证开始指示。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含所述终端支持的EAP方法信息;相应地,所述接入网设备还可以进一步向所述认证服务器发送所述终端设备支持的EAP认证方法信息,以使得所述认证服务器能够根据所述终端设备支持的EAP认证方法选择合适的认证方法。
可选地,在本实施例的一个可选实施方式中,所述接入网设备向认证服务器发送所述EAP响应/标识消息之后,所述终端设备还可以进一步接收所述接入网设备发送的第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息,所述EAP认证成功消息或所述EAP认证失败消息为所述接入网设备接收所述认证服务器与所述终端设备执行所述EAP认证方法之后发送给所述接入网设备。具体地,所述第二管理帧可以包括但不限于关联响应(Association Response)帧,或第二认证(AuthenticationSecond)帧。
可选地,所述EAP认证成功消息或所述EAP认证失败消息还可以不包含在所述第二管理帧中,而是在所述接入网设备向所述终端设备发送所述第二管理帧之前,向所述终端设备单独发送,但是,这样,就多出一个消息,因此,所述EAP认证成功消息或所述EAP认证失败消息包含在所述第二管理帧中则是本发明优选的实施方式。
可以理解的是:对于成功的EAP认证方法,所述关联响应帧中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个WLAN中唯一标识一个设备。
本实施例中,通过在终端设备向接入网设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
为使得本发明实施例提供的方法更加清楚,下面将以WIFI网络作为举例。其中,终端设备可以是WI FI网络中的站点(Station,简称STA)。
图3为本发明另一实施例提供的EAP认证触发方法的流程示意图,具体地,通过在关联请求(Association Request)帧中携带所述终端设备的用户标识,如图3所示。
301、STA向AP发送关联请求(Association Request)帧,所述关联请求帧中包含EAP认证开始指示和STA的用户标识。
在301之前,STA可以通过被动扫描或主动扫描,发现AP,该AP可以支持本实施例后续步骤的执行。
需要说明的是,所述关联请求帧中所包含的EAP认证开始指示可以是隐含的,例如:可以通过在现有关联请求帧中设置的一个位来体现,再例如:也可以通过其它字段(如STA的用户标识)来体现,即当AP接收到包含STA的用户标识的关联请求帧后即认为STA发送了EAP认证开始指示,请求执行所述EAP认证;或者也可以是显式的,即通过在现有关联请求帧中新增加信息元素(Information Element,简称IE)来包含所述EAP认证开始指示。
需要说明的是,本实施例具体可以通过在现有关联请求帧中新增加IE来包含STA的用户标识。
302、AP根据显式的所述EAP认证开始指示,或者根据隐含的所述EAP认证开始指示即STA的用户标识,生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述STA的用户标识。
303、AP向AS发送所述EAP响应/标识消息。
可选地,AP还可以进一步向AS发送STA支持的EAP认证方法,以使得AS能够根据所述STA支持的EAP认证方法选择合适的认证方法。
304、STA与AS执行EAP认证方法,以实现AS对STA的认证,或者AS与STA双方的相互认证,并通过所述EAP认证生成主会话密钥(MasterSession Key,MSK),并进一步根据MSK生成成对主密钥(Pairwise MasterKey,PMK)。
具体地,EAP认证方法可以由AS选择,或者还可以通过AS与STA进行协商确定,本实施例对此不进行限定。
其中,所述EAP认证的消息传输的格式可以直接采用EAP封装,或者也可以采用802.1X封装,本实施例对此不进行限定。
305、AS向AP发送EAP认证成功消息,并同时将PMK发送给AP。
306、AP向STA发送关联响应帧,所述关联响应帧中包含所述EAP认证成功消息和AP为STA分配的AID。
需要说明的是,所述关联响应帧中包含的EAP认证成功消息可以是隐含的,例如:通过在现有关联响应帧中设置的一个位来体现,再例如:通过其它字段(如组播临时密钥(Group Transient Key,GTK))来体现;或者也可以是显式的,即通过在现有关联请求帧中新增加信息元素(InformationElement,简称I E)来包含所述EAP认证成功消息。
与现有标准中的触发EAP认证相比,去除了EAP认证开始(EAPoL-Start)消息、EAP请求/标识消息、以及EAP响应/标识消息,将EAPoL-Start消息和STA的用户标识的交互合并到关联请求帧中,通过1步关联消息(即关联请求帧)即可实现EAP认证的触发,可以减少3条消息交互,从而在一定程度上提高了初始链路建立(包括EAP认证过程)的效率。
本实施例中,通过在STA向AP发送的关联请求帧中携带所述STA的标识,使得所述AP生成包含所述STA的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给AS,以使得所述AS与所述STA执行EAP认证方法,解决了现有技术中由于STA与AP之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了AP的信令处理负担。
需要说明的是:对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因而依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
图4为本发明另一实施例提供的接入网设备的结构示意图,如图4所示,第一接收器41、处理器42和第一发送器43。其中,第一接收器41用于接收终端设备发送的第一管理帧,所述第一管理帧中包含所述终端设备的标识;处理器42用于生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;第一发送器43用于向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧可以包括但不限于关联请求(Association Request)帧,或第一认证(AuthenticationFirst)帧。
例如:可以从现有的802.11标准的第一认证帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者也可以将802.11标准的第一认证帧省略,从关联请求帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者还可以另外定义一个新的管理帧代替现有的管理帧,在其中携带所述终端设备的标识触发后续的EAP认证过程。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含所述终端支持的EAP方法信息;相应地,第一发送器43还可以进一步向所述认证服务器发送所述终端设备支持的EAP认证方法信息,以使得所述认证服务器能够根据所述终端设备支持的EAP认证方法选择合适的认证方法。
可选地,在本实施例的一个可选实施方式中,如图5所示,本实施例提供的接入网设备还可以进一步包括第二接收器51和第二发送器52。其中,第二接收器51用于接收所述认证服务器与所述终端设备执行所述EAP认证方法之后发送的EAP认证成功消息或EAP认证失败消息;第二发送器52用于向所述终端设备发送第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息。具体地,所述第二管理帧可以包括但不限于关联响应(Association Response)帧,或第二认证(AuthenticationSecond)帧。
下面将以WiFi网络作为举例。其中,STA可以是WiFi网络中的站点(Station,简称STA)。本实施例中,处理器42可以对应为本发明新增加的功能模块,即EAP触发代理模块。接收器接收STA发送的第一管理帧,所述第一管理帧中包含所述STA的标识。然后,接收器将所述第一管理帧输出给MAC帧处理模块,MAC帧处理模块将所述第一管理帧中包含的所述STA的标识输出给EAP触发代理模块,所述EAP触发代理模块生成包含所述STA的标识的EAP响应/标识消息。AP工作于EAP的转发模式时,通常内部还有远程认证客户端模块(例如:RADIUS客户端),相当于发送器43,EAP触发代理模块生成的EAP响应/标识消息将输出给这个远程认证客户端模块,再由这个远程认证客户端模块向外发送消息。
EAP认证者模块是现有模块,本发明不改变其任何功能。一般情况下,这个EAP认证者模块在收到EAPoL认证开始消息时,产生EAP请求/标识消息向STA发送,之后接收来自STA的EAP响应/标识消息并向认证服务器转发,并继续转发后续的EAP请求和EAP响应等消息。按照EAP协议,对于AP可以没有发送EAP请求/标识消息和转发EAP响应/标识消息的过程,来自认证服务器或STA的任何EAP消息它应该如实转发,因此本发明可以在不修改现有EAP认证者模块的基础上运作,如此满足了EAP协议(体现在AP与认证服务器之间的交互没有任何改变)的要求,但是在STA与AP之间确实减少了消息数。
MAC帧处理模块是现有模块,很显然,由于消息作了修改,这个模块一定有修改,其中对于本发明主要的修改在于识别来自STA的第一管理帧中是否包含有STA的标识,或包含有EAP认证开始指示,若有,则将所述第一管理帧中的STA的标识发送至EAP触发代理模块以触发EAP过程。
本实施例中,接入网设备通过在第一接收器接收的终端设备发送的第一管理帧中携带所述终端设备的标识,使得处理器生成包含所述终端设备的标识的EAP响应/标识消息,并由第一发送器将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
图6为本发明另一实施例提供的终端设备的结构示意图,如图6所示,本实施例的终端设备可以包括发送器61和处理器62。其中,发送器61用于向接入网设备发送第一管理帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息;处理器62用于与所述认证服务器执行EAP认证方法。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧可以包括但不限于关联请求(Association Req uest)帧,或第一认证(AuthenticationFirst)帧。
例如:可以从现有的802.11标准的第一认证帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者也可以将802.11标准的第一认证帧省略,从关联请求帧开始,在其中携带所述终端设备的标识触发后续的EAP认证过程;或者还可以另外定义一个新的管理帧代替现有的管理帧,在其中携带所述终端设备的标识触发后续的EAP认证过程。
可选地,在本实施例的一个可选实施方式中,所述第一管理帧中还可以进一步包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
可选地,在本实施例的一个可选实施方式中,如图7所示,本实施例的终端设备还可以进一步包括接收器71,用于接收所述接入网设备发送的第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息,所述EAP认证成功消息或所述EAP认证失败消息为所述接入网设备接收所述认证服务器与所述终端设备执行所述EAP认证方法之后发送给所述接入网设备。具体地,所述第二管理帧可以包括但不限于关联响应(Association Response)帧,或第二认证(Authentication Second)帧。
本实施例中,终端设备通过在发送器向接入网设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
图8为本发明另一实施例提供的EAP认证触发系统的结构示意图,如图8所示,本实施例的EAP认证触发系统可以包括图4或图5对应的实施例提供的所述接入网设备81,还包括认证服务器82,用于接收所述接入网设备发送的所述EAP响应/标识消息,与终端设备执行EAP认证方法。
本实施例中,通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识,使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息,并将所述EAP响应/标识消息发送给认证服务器,以使得所述认证服务器与所述终端设备执行EAP认证方法,解决了现有技术中由于终端设备与网络侧设备之间交互的消息较多的问题,与现有技术相比,EAP认证过程时间有较大缩短,从而提高了EAP认证的执行效率,以及降低了接入网设备的信令处理负担。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显式或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显式的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种EAP认证触发方法,其特征在于,包括:
接入网设备接收终端设备发送的第一管理帧,所述第一管理帧包括关联请求帧,所述第一管理帧中包含所述终端设备的标识;
所述接入网设备生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
所述接入网设备向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
2.根据权利要求1所述的方法,其特征在于,所述第一管理帧中还包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述接入网设备向所述认证服务器发送所述终端设备支持的EAP认证方法信息。
4.根据权利要求1~3任一权利要求所述的方法,其特征在于,所述接入网设备向认证服务器发送所述EAP响应/标识消息之后,还包括:
所述接入网设备接收所述认证服务器在与所述终端设备执行所述EAP认证方法之后发送的EAP认证成功消息或EAP认证失败消息;
所述接入网设备向所述终端设备发送第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息。
5.根据权利要求4所述的方法,其特征在于,所述第二管理帧包括关联响应帧。
6.一种EAP认证触发方法,其特征在于,包括:
终端设备向接入网设备发送第一管理帧,所述第一管理帧包括关联请求帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
所述终端设备与所述认证服务器执行EAP认证方法。
7.根据权利要求6所述的方法,其特征在于,所述第一管理帧中还包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述接入网设备向所述认证服务器发送所述终端设备支持的EAP认证方法信息。
9.根据权利要求6~8任一权利要求所述的方法,其特征在于,在所述终端设备与所述认证服务器执行EAP认证方法之后,还包括:
所述终端设备接收所述接入网设备发送的第二管理帧,所述第二管理帧中包含EAP认证成功消息或EAP认证失败消息,所述EAP认证成功消息或所述EAP认证失败消息为所述认证服务器在与所述终端设备执行所述EAP认证方法之后发送给所述接入网设备。
10.根据权利要求9所述的方法,其特征在于,所述第二管理帧包括关联响应帧。
11.一种接入网设备,其特征在于,包括:
第一接收器,用于接收终端设备发送的第一管理帧,所述第一管理帧包括关联请求帧,所述第一管理帧中包含所述终端设备的标识;
处理器,用于生成EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
第一发送器,用于向认证服务器发送所述EAP响应/标识消息,以使得所述认证服务器与所述终端设备执行EAP认证方法。
12.根据权利要求11所述的接入网设备,其特征在于,所述第一管理帧中还包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
13.根据权利要求12所述的接入网设备,其特征在于,所述第一发送器还用于
向所述认证服务器发送所述终端设备支持的EAP认证方法信息。
14.根据权利要求11~13任一权利要求所述的接入网设备,其特征在于,所述接入网设备还包括:
第二接收器,用于接收所述认证服务器在与所述终端设备执行所述EAP认证方法之后发送的EAP认证成功消息或EAP认证失败消息;
第二发送器,用于向所述终端设备发送第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息。
15.根据权利要求14所述的接入网设备,其特征在于,所述第二管理帧包括关联响应帧。
16.一种终端设备,其特征在于,包括:
发送器,用于向接入网设备发送第一管理帧,所述第一管理帧包括关联请求帧,所述第一管理帧中包含所述终端设备的标识,以使得所述接入网设备生成EAP响应/标识消息,以及所述接入网设备向认证服务器发送所述EAP响应/标识消息,所述EAP响应/标识消息中包含所述终端设备的标识;
处理器,用于与所述认证服务器执行EAP认证方法。
17.根据权利要求16所述的终端设备,其特征在于,所述第一管理帧中还包含EAP认证开始指示,用以指示需要执行所述EAP认证方法。
18.根据权利要求16或17任一权利要求所述的终端设备,其特征在于,所述终端设备还包括接收器,用于
接收所述接入网设备发送的第二管理帧,所述第二管理帧中包含所述EAP认证成功消息或所述EAP认证失败消息,所述EAP认证成功消息或所述EAP认证失败消息为所述接入网设备接收所述认证服务器在与所述终端设备执行所述EAP认证方法之后发送给所述接入网设备。
19.根据权利要求18所述的终端设备,其特征在于,所述第二管理帧包括关联响应帧。
20.一种EAP认证触发系统,其特征在于,包括如权利要求11~15中任一权利要求所述的接入网设备,还包括认证服务器,用于接收所述接入网设备发送的所述EAP响应/标识消息,与终端设备执行EAP认证方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140210.1A CN103391542B (zh) | 2012-05-08 | 2012-05-08 | Eap认证触发方法及系统、接入网设备、终端设备 |
| PCT/CN2013/074525 WO2013166909A1 (zh) | 2012-05-08 | 2013-04-22 | Eap认证触发方法及系统、接入网设备、终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140210.1A CN103391542B (zh) | 2012-05-08 | 2012-05-08 | Eap认证触发方法及系统、接入网设备、终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391542A CN103391542A (zh) | 2013-11-13 |
| CN103391542B true CN103391542B (zh) | 2016-11-23 |
Family
ID=49535683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210140210.1A Expired - Fee Related CN103391542B (zh) | 2012-05-08 | 2012-05-08 | Eap认证触发方法及系统、接入网设备、终端设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103391542B (zh) |
| WO (1) | WO2013166909A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104683343B (zh) * | 2015-03-03 | 2018-03-16 | 中山大学 | 一种终端快速登录WiFi热点的方法 |
| CN105450652B (zh) * | 2015-12-03 | 2018-06-15 | 迈普通信技术股份有限公司 | 一种认证方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN101032107A (zh) * | 2004-09-30 | 2007-09-05 | 讯宝科技公司 | 移动单元在无线网络中快速漫游的方法和系统 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100729105B1 (ko) * | 2005-10-14 | 2007-06-14 | 포스데이타 주식회사 | 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법 |
| CN102215486B (zh) * | 2010-04-02 | 2014-05-07 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
| CN102685741B (zh) * | 2011-03-09 | 2014-12-03 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
-
2012
- 2012-05-08 CN CN201210140210.1A patent/CN103391542B/zh not_active Expired - Fee Related
-
2013
- 2013-04-22 WO PCT/CN2013/074525 patent/WO2013166909A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN101032107A (zh) * | 2004-09-30 | 2007-09-05 | 讯宝科技公司 | 移动单元在无线网络中快速漫游的方法和系统 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391542A (zh) | 2013-11-13 |
| WO2013166909A1 (zh) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108293185B (zh) | 无线设备认证方法和装置 | |
| US9769732B2 (en) | Wireless network connection establishment method and terminal device | |
| CN108848112B (zh) | 用户设备ue的接入方法、设备及系统 | |
| US9232398B2 (en) | Method and apparatus for link setup | |
| US10904753B2 (en) | Systems and methods for authentication | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| US9154950B2 (en) | Network access method, apparatus and system | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN103391540B (zh) | 密钥信息生成方法及系统、终端设备、接入网设备 | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| US20070124587A1 (en) | Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal | |
| CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| WO2022170994A1 (zh) | Pc5根密钥处理方法、装置、ausf及远程终端 | |
| CN110392998A (zh) | 一种数据包校验方法及设备 | |
| CN107820242A (zh) | 一种认证机制的协商方法及装置 | |
| US20240089728A1 (en) | Communication method and apparatus | |
| CN103391542B (zh) | Eap认证触发方法及系统、接入网设备、终端设备 | |
| TW201442478A (zh) | 用於使存取點針對無線裝置獲得網際網路協定位址的技術 | |
| CN110226319B (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN103139770B (zh) | Wlan接入网络中传递成对主密钥的方法和系统 | |
| CN114786179A (zh) | 非蜂窝终端鉴权方法、装置、设备及介质 | |
| US20220303767A1 (en) | User Equipment Authentication and Authorization Procedure for Edge Data Network | |
| CN116368833A (zh) | 针对边缘计算服务的安全连接的建立和认证的方法和系统 | |
| CN103686710A (zh) | 一种gba初始化方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180202 Address after: California Patentee after: Tanous Co. Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No. Patentee before: HUAWEI DEVICE Co.,Ltd. Effective date of registration: 20180202 Address after: California, USA Patentee after: Global innovation polymerization LLC Address before: California, USA Patentee before: Tanous Co. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180211 Address after: California, USA Patentee after: Global innovation polymerization LLC Address before: California, USA Patentee before: Tanous Co. Effective date of registration: 20180211 Address after: California, USA Patentee after: Tanous Co. Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No. Patentee before: HUAWEI DEVICE Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161123 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |