CN103856933B - 一种漫游终端的认证方法、装置及服务器 - Google Patents
一种漫游终端的认证方法、装置及服务器 Download PDFInfo
- Publication number
- CN103856933B CN103856933B CN201210506105.5A CN201210506105A CN103856933B CN 103856933 B CN103856933 B CN 103856933B CN 201210506105 A CN201210506105 A CN 201210506105A CN 103856933 B CN103856933 B CN 103856933B
- Authority
- CN
- China
- Prior art keywords
- roaming terminal
- ownership place
- terminal
- place server
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种漫游终端的认证方法、装置及服务器,其中方法包括:通过第一TLS隧道与终端协商,确定认证过程使用的PEAP版本;通过所述第一TLS隧道接收终端发送的认证信息;根据所述认证信息确定漫游终端的归属地服务器;根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。本发明的方案可以实现PEAP认证的国际漫游,从而为现有主流智能终端都提供无需用户干预的国际漫游接入。
Description
技术领域
本发明涉及通信领域,特别是指一种漫游终端的认证方法、装置及服务器。
背景技术
近年来,随着蜂窝网数据流量的爆炸式增长,可以用WLAN分流蜂窝网数据流量,这就涉及到终端与WLAN的接入认证方式和国际漫游接入方式。传统的Web Portal认证虽然可以在主流智能终端上使用从而实现WLAN接入并且可以基于WISPr1.0技术实现国际漫游,但Web Portal认证存在用户需输入用户密码等体验不佳的问题。
3GPP组织提出的EAP-SIM/AKA认证方式是WLAN与蜂窝网融合的用户接入认证基础,不但提升了用户接入WLAN的使用体验,而且可以实现国际漫游,已被运营商广泛采用。但Android和Window MP等智能手机终端没有全面支持EAP-SIM/AKA认证方式,而且不带有(U)SIM卡的PAD(平板电脑)和笔记本等终端也无法使用EAP-SIM/AKA认证。
PEAP认证(Protect EAP认证)广泛适用于IOS、Android、Symbian、BlackBerry和Window Mobile Phone等操作系统的智能手机终端,并且可以在笔记本和PAD等无(U)SIM卡的终端上使用,既全面覆盖用户终端,又提升了用户的WLAN使用体验。但PEAP规范没有定义国际漫游如何实现。
综上分析,为全面实现良好用户体验的WLAN国际漫游,需研制PEAP认证的国际漫游实现方案,为使用不支持-SIM/AKA认证终端的用户也提供良好体验的WLAN国际漫游服务。
现有技术中,终端接入WLAN的接入方式主要有以下几种:
1.基于Web Portal的认证是目前WLAN公共热点最普遍采用的用户接入方式,其特点是认证必须通过Web交互来完成。当终端关联WiFi后,用户需要打开浏览器,输入将任意页面请求,网络将用户请求重定向到登录页面,用户输入并提交用户名和密码,网络验证通过后用户方可访问网络业务;基于WISPr1.0技术,支持Web Portal认证的终端均可支持WLAN国际漫游。
2.EAP-SIM/AKA认证及国际漫游实现
EAP-SIM/AKA是通过用户(U)SIM卡信息进行认证的一种方式,与蜂窝认证方式相同(有时也称其为统一认证方式),当用户使用SIM卡时,执行SIM认证流程,当用户使用USIM卡时,执行AKA认证流程,整个认证过程不需要用户介入任何手工操作,完全由终端自动完成;I-WLAN中EAP-SIM/AKA认证的国际漫游实现方法中,终端提供格式为“homerealm!username@otherrealm”。其中“homerealm”为用户的归属域名,“otherrealm”为用户的拜访域名。目前终端在国际漫游时并没有严格按照I-WALN的规定来执行,而是发出了与本地接入一样的格式为“username@homerealm”的NAI,但通过rfc5580中Type为126的“Operator-Name”属性可传递用户拜访域信息。
3.PEAP认证(WLAN无感知认证)
PEAP认证目前有PEAPv0、PEAPv1和PEAPv2三个版本,均为互联网草案。PEAP认证分两个阶段完成:第一个阶段由终端和认证服务器之间建立TLS隧道。此阶段是由终端基于证书验证网络侧认证服务器的合法性,并由二者协商建立起TLS安全传输隧道。第二个阶段是在TLS隧道内由用户终端和认证服务器之间进行MS-CHAPv2认证交互,网络侧服务器验证用户终端的合法性。
然而上述方案均难以给用户提供良好的WLAN国际漫游体验:1)Web Portal的国际漫游需要用户手动输入,体验较为繁琐。2)EAP-SIM/AKA认证可以实现无用户干预的WLAN漫游接入,但没有覆盖Android和Window Mobile Phone等主流智能终端。3)PEAP认证可覆盖现有主流智能终端,但由于其认证是在TLS隧道内完成,拜访地服务器成为本地终端以及漫游终端的认证流程的终结点,不能实现漫游场景下的对漫游终端的认证信息转发和认证,导致终端无法在国际漫游场景下使用。
发明内容
本发明要解决的技术问题是提供一种漫游终端的认证方法、装置及服务器。可以实现PEAP认证的国际漫游,从而为现有主流智能终端都提供无需用户干预的国际漫游接入。
为解决上述技术问题,本发明的实施例提供一种漫游终端的认证方法,应用于拜访地服务器,包括:
通过第一TLS隧道与终端协商,确定认证过程使用的PEAP版本;
通过所述第一TLS隧道接收所述终端发送的认证信息;
根据所述认证信息确定漫游终端的归属地服务器;
根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,所述认证信息包括:漫游终端的真实用户名和密码;
根据所述认证信息确定所述漫游终端的归属地服务器的步骤具体为:
根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。
其中,根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
若所述PEAP版本为PEAPV0,则与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
若所述PEAP版本为PEAPV1或PEAPv2,则将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,通过所述第二TLS隧道将所述漫游终端的认证信息,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
通过第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
其中,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
将所述漫游终端的认证信息直接转发给所述归属地服务器;
接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
本发明的实施例还提供一种漫游终端的认证装置,应用于拜访地服务器,包括:
第一确定模块,用于通过第一TLS隧道与所述终端协商,确定认证过程使用的PEAP版本;
接收模块,用于通过所述第一TLS隧道接收所述漫游终端发送的认证信息;
第二确定模块,用于根据所述认证信息确定所述漫游终端的归属地服务器;
认证扩展模块,用于根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,所述认证信息包括:漫游终端的真实用户名和密码;
所述第二确定模块具体用于:根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。
其中,所述认证扩展模块包括:
第一认证子模块,用于在所述PEAP版本为PEAPV0时,与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
第二认证子模块,用于在所述PEAP版本为PEAPV1或PEAPv2时,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,所述第一认证子模块具体用于:
通过第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS转发给所述漫游终端。
其中,所述第二认证子模块具体用于:
将所述漫游终端的认证信息直接转发给所述归属地服务器;
接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
本发明的实施例还提供一种服务器,包括:如上所述的漫游终端的认证装置。
其中,上述服务器还包括:
接口模块,用于在漫游终端的拜访地服务器所属的WLAN与归属地服务器所属的WLAN直接组网时,进行网络拓扑的隐藏和漫游汇聚,并作为所述漫游终端接入认证的安全筛选点;或者
用于将漫游终端的认证过程中的所有消息发送给第三方中转服务器,并接收所述第三方中转服务器转发的来自所述漫游终端的归属地服务器的所有消息。
其中,上述服务器还包括:
本地认证模块,用于根据终端的认证信息确定所述终端为本地终端时,通过与所述本地终端之间的第三TLS隧道完成PEAP认证。
本发明的上述技术方案的有益效果如下:
上述方案中,通过第一TLS隧道与所述终端协商,确定认证过程使用的PEAP版本;通过所述第一TLS隧道接收所述漫游终端发送的认证信息;根据所述认证信息确定所述漫游终端的归属地服务器;根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;从而实现了对PEAP认证国际漫游场景的扩展。
附图说明
图1为本发明的漫游终端的认证方法的流程示意图;
图2为本发明的漫游终端的认证方法的应用场景流程示意图;
图3为本发明的漫游终端的认证装置的结构示意图;
图4为本发明的服务器的结构示意图;
图5为本发明的漫游终端的拜访地服务器和归属地服务器的组网架构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明的实施例提供一种漫游终端的认证方法,应用于拜访地服务器,其中,该拜访地服务器为AAA服务器,该方法包括:
步骤11,通过第一TLS(安全传输)隧道与所述终端协商,确定认证过程使用的PEAP认证版本;其中,该第一TLS隧道为拜访地服务器与终端之间建立的TLS隧道;
步骤12,通过所述第一TLS隧道接收所述漫游终端发送的认证信息;
步骤13,根据所述认证信息确定所述漫游终端的归属地服务器;
步骤14,根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
该实施例通过根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;从而实现了对PEAP认证国际漫游场景的扩展。
其中,上述实施例中,所述认证信息包括:漫游终端的真实用户名和密码;该真实用户名可以是如:终端的手机号码;上述步骤13具体为:根据所述漫游终端的真实用户名(如手机号码)确定所述漫游终端的归属地服务器。
在本发明的另一实施例,包括上述步骤11-13的基础上,步骤14包括:
步骤141,若所述PEAP版本为PEAPV0,则与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
步骤142,若所述PEAP版本为PEAPV1或PEAPv2,则将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,步骤141中,通过所述第二TLS隧道将所述漫游终端的认证信息,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证的包括:
步骤1411,通过第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
步骤1412,通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
步骤1413,通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
步骤1414,通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
步骤1415,通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
步骤1416,通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
另外,上述步骤142中,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证的包括:
步骤1421,将所述漫游终端的认证信息直接转发给所述归属地服务器;
步骤1422,接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
步骤1423,通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
步骤1424,接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
步骤1425,通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
步骤1426,接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
下面结合图2说明上述流程的具体应用场景实现过程,如图2所示,包括:
1.终端交付匿名,使用证书与拜访地服务器(3GPP AAA Server)建立第一TLS隧道,协商认证使用的PEAP版本;
2.终端在第一TLS隧道内交付自己的认证信息,其中,该认证信息包括:真实用户名(手机号码)和密码;
3.拜访地服务器依据终端的手机号码区分出该终端是本地用户还是漫游用户;
4.拜访地服务器依据用户归属及认证版本做选择性处理:
4.1)对本地用户,本地终端直接与拜访地服务器做标准的PEAP认证流程,即在第一TLS隧道内进行MS-CHAPv2流程,从而完成对本地终端的PEAP认证;
4.2)对漫游用户,拜访服务器将漫游终端的认证信息全部转发至其归属地:
4.2.1)对使用PEAPv0版本认证的漫游用户,拜访地服务器将和归属地服务器(3GPP AAA Server)将建立起第二TLS隧道,并在第二隧道内依据MS-CHAPv2的流程进行用户信息的验证;
4.2.2)对使用PEAPv1或PEAPv2版本认证的漫游用户,拜访地服务器将和归属地服务器依据MS-CHAPv2的流程传递标准的Radius消息进行用户信息的验证。
本发明的上述实施例首先在漫游终端和拜访地服务器之间进行标准的PEAP认证,即第一阶段建立漫游终端和拜访地服务器之间的第一TLS隧道,第二阶段在第一隧道内进行MS-CHAPv2交互。其次,在拜访地服务器内对用户在第一TLS隧道内传递的认证信息进行识别,甄别出本地用户和漫游用户,以及用户所使用的PEAP认证的具体版本。最后,对本地用户的认证信息,拜访地服务器将依据标准PEAP流程处理;对于被判定是漫游用户的认证信息,1)当用户使用PEAPv0认证,拜访地服务器将和归属地服务器建立起第二TLS隧道,并在第二TLS隧道内依据MS-CHAPv2的流程进行用户信息的验证。2)当用户使用PEAPv1或PEAPv2认证,拜访地服务器将和归属地服务器依据MS-CHAPv2的流程传递标准的Radius消息进行用户信息的验证;从而让拜访地服务器在第一TLS隧道内识别出漫游用户的归属及用户PEAP认证版本,并以上述信息为依据与用户归属的服务器之间建立标准的PEAP交互过程或标准的MS-CHAPv2过程,将漫游用户的认证信息发回其归属服务器进行验证。实施该方案后,拜访地服务器不再仅是本地用户PEAP认证隧道的终结点,还是漫游用户PEAP认证的中转点,从而也使得WLAN用户可使用PEAP认证进行WLAN国际漫游。其中,上述的MS-CHAPv2过程如步骤1411-步骤1416所示的过程或者步骤1421-步骤1426所示的过程。
如图3所示,本发明的实施例还提供一种漫游终端的认证装置20,应用于拜访地服务器,包括:
第一确定模块21,用于通过第一TLS隧道与终端协商,确定认证过程使用的PEAP认证版本;
接收模块22,用于通过所述第一TLS隧道接收所述终端发送的认证信息;
第二确定模块23,用于根据所述认证信息确定漫游终端的归属地服务器;
认证扩展模块24,用于根据所述漫游终端使用的PEAP认证版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,所述认证信息包括:漫游终端的真实用户名和密码;
所述第二确定模块具体用于:根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。
其中,所述认证扩展模块包括:
第一认证子模块,用于在所述PEAP版本为PEAPV0时,与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
第二认证子模块,用于在所述PEAP版本为PEAPV1或PEAPv2时,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证。
其中,所述第一认证子模块具体用于:
通过第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
其中,所述第二认证子模块具体用于:
将所述漫游终端的认证信息直接转发给所述归属地服务器;
接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
需要说明的是:该装置是与上述图1和图2所示的方法对应的装置,上述方法实施例中的所有实现方式均适用于该装置实施例中,也能达到相同的技术效果。
如图4所示,本发明的实施例还提供一种服务器40,包括:如上所述的漫游终端的认证装置20。其中,上述服务器40还包括:
接口模块31,用于在漫游终端的拜访地服务器所属的WLAN与归属地服务器所属的WLAN直接组网时,进行网络拓扑的隐藏和漫游汇聚,并作为所述漫游终端接入认证的安全筛选点;或者
用于将漫游终端的认证过程中的所有消息发送给第三方中转服务器,并接收所述第三方中转服务器转发的来自所述漫游终端的归属地服务器的所有消息。
其中,上述服务器40还包括:本地认证模块30,用于根据终端的认证信息确定所述终端为本地终端时,通过与所述本地终端之间的第三TLS隧道完成PEAP认证,其中,该第三TLS隧道与上述第一TLS的功能相同。
具体的,该服务器作为漫游终端的拜访地服务器时,通过该拜访地服务器实现PEAP认证的国际漫游系统的组网架构如图5所示,拜访地WLAN网络和归属地WLAN网络可以采取直连组网,也可以通过第三方转接商(AAA代理服务器)转接。当采取直连组网时,运营商双方均应建立关口局(即上述接口模块)进行网络拓扑的隐藏、漫游汇聚,同时作为接入认证的安全筛选点。
本发明的上述方法提出一种在国际漫游场景下使用PEAP认证的WLAN接入实现方法,对用户的认证信息进行甄别,当拜访地服务器判定用户为漫游用户时,一方面继续与终端的TLS隧道内信息交互,另一方面与归属地服务器进行隧道外的信息交互,实现了对PEAP认证国际漫游场景的扩展。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种漫游终端的认证方法,应用于拜访地服务器,其特征在于,包括:
通过第一TLS隧道与终端协商,确定认证过程使用的PEAP认证版本;
通过所述第一TLS隧道接收所述终端发送的认证信息;
根据所述认证信息确定漫游终端的归属地服务器;
根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;
根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
若所述PEAP版本为PEAPV0,则与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
若所述PEAP版本为PEAPV1或PEAPv2,则将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;
其中,通过所述第二TLS隧道将所述漫游终端的认证信息,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
通过所述第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
2.根据权利要求1所述的漫游终端的认证方法,其特征在于,所述认证信息包括:漫游终端的真实用户名和密码;
根据所述认证信息确定所述漫游终端的归属地服务器的步骤具体为:
根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。
3.根据权利要求1所述的漫游终端的认证方法,其特征在于,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括:
将所述漫游终端的认证信息直接转发给所述归属地服务器;
接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
4.一种漫游终端的认证装置,应用于拜访地服务器,其特征在于,包括:
第一确定模块,用于通过第一TLS隧道与终端协商,确定认证过程使用的PEAP认证版本;
接收模块,用于通过所述第一TLS隧道接收所述终端发送的认证信息;
第二确定模块,用于根据所述认证信息确定漫游终端的归属地服务器;
认证扩展模块,用于根据所述漫游终端使用的PEAP版本,将所述认证信息转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;
所述认证扩展模块包括:
第一认证子模块,用于在所述PEAP版本为PEAPV0时,与所述漫游终端的归属地服务器建立第二TLS隧道,并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器,并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证;
第二认证子模块,用于在所述PEAP版本为PEAPV1或PEAPv2时,将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器,并通过所述归属地服务器完成对所述漫游终端的PEAP认证;
其中,所述第一认证子模块具体用于:
通过所述第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息,并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器;
通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
5.根据权利要求4所述的漫游终端的认证装置,其特征在于,所述认证信息包括:漫游终端的真实用户名和密码;
所述第二确定模块具体用于:根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。
6.根据权利要求4所述的漫游终端的认证装置,其特征在于,所述第二认证子模块具体用于:
将所述漫游终端的认证信息直接转发给所述归属地服务器;
接收所述归属地服务器返回的挑战消息,并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息,并将所述挑战消息的回复消息直接转发所述归属地服务器;
接收所述归属地服务器发送的挑战成功的消息,并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端;
通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息,并将所述挑战成功的应答消息转发至所述归属地服务器;
接收所述归属地服务器发送的PEAP认证成功的消息,并通过所述第一TLS隧道转发给所述漫游终端。
7.一种服务器,其特征在于,包括:如权利要求4-6任一项所述的漫游终端的认证装置。
8.根据权利要求7所述的服务器,其特征在于,还包括:
接口模块,用于在漫游终端的拜访地服务器所属的WLAN与归属地服务器所属的WLAN直接组网时,进行网络拓扑的隐藏和漫游汇聚,并作为所述漫游终端接入认证的安全筛选点;或者
用于将漫游终端的认证过程中的所有消息发送给代理服务器,并接收所述代理服务器转发的来自所述漫游终端的归属地服务器的所有消息。
9.根据权利要求7所述的服务器,其特征在于,还包括:
本地认证模块,用于根据终端的认证信息确定所述终端为本地终端时,通过与所述本地终端之间的第三TLS隧道完成PEAP认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210506105.5A CN103856933B (zh) | 2012-11-30 | 2012-11-30 | 一种漫游终端的认证方法、装置及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210506105.5A CN103856933B (zh) | 2012-11-30 | 2012-11-30 | 一种漫游终端的认证方法、装置及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103856933A CN103856933A (zh) | 2014-06-11 |
CN103856933B true CN103856933B (zh) | 2017-03-22 |
Family
ID=50864052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210506105.5A Active CN103856933B (zh) | 2012-11-30 | 2012-11-30 | 一种漫游终端的认证方法、装置及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103856933B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109462568B (zh) * | 2017-09-06 | 2022-07-05 | 中国电信股份有限公司 | Portal认证方法、系统和Portal代理服务器 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616414A (zh) * | 2008-06-23 | 2009-12-30 | 中国移动通信集团公司 | 对终端进行认证的方法、系统及服务器 |
CN101668292A (zh) * | 2009-10-23 | 2010-03-10 | 中国电信股份有限公司 | Wapi漫游接入认证方法、系统和接入地as服务器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5106599B2 (ja) * | 2010-08-24 | 2012-12-26 | 株式会社バッファロー | ネットワーク中継装置 |
-
2012
- 2012-11-30 CN CN201210506105.5A patent/CN103856933B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616414A (zh) * | 2008-06-23 | 2009-12-30 | 中国移动通信集团公司 | 对终端进行认证的方法、系统及服务器 |
CN101668292A (zh) * | 2009-10-23 | 2010-03-10 | 中国电信股份有限公司 | Wapi漫游接入认证方法、系统和接入地as服务器 |
Non-Patent Citations (1)
Title |
---|
WLAN网络的接入认证技术研究;韩佑臻;《中国优秀硕士学位论文全文数据库信息科技辑2006年第3期》;20060315;第49-52页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103856933A (zh) | 2014-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
CN108781216B (zh) | 用于网络接入的方法和设备 | |
KR101589574B1 (ko) | 비신뢰 네트워크를 통한 외부 인증 지원 | |
CA2755142C (en) | Method for user terminal authentication and authentication server and user terminal thereof | |
EP2087689B1 (en) | Authentication in mobile interworking system | |
US9253636B2 (en) | Wireless roaming and authentication | |
CN101018178B (zh) | 通信系统的互通功能 | |
CN110268734A (zh) | 使用不可信网络的互通功能 | |
CN101573998A (zh) | 用于确定认证过程的方法和设备 | |
CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
CN102204306A (zh) | Mtc终端通过网关与网络通信的方法、设备及系统 | |
CN103781073B (zh) | 移动用户固网的接入方法及系统 | |
CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
CN105101274B (zh) | 报文转发方式的配置方法和装置 | |
CN112567812B (zh) | 用于移动设备的位置报告 | |
CN105101337B (zh) | 信息发送方法和系统 | |
CN103856933B (zh) | 一种漫游终端的认证方法、装置及服务器 | |
Leu et al. | Running cellular/PWLAN services: practical considerations for cellular/PWLAN architecture supporting interoperator roaming | |
CN106998552A (zh) | 路由控制方法、装置及系统 | |
CN116569520A (zh) | 漫游期间经由基于联盟的网络的服务保证 | |
CN103687049B (zh) | 多连接建立的方法及系统 | |
WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 | |
CN107733931A (zh) | 入口认证方法、装置及入口服务器 | |
CN101483580B (zh) | 初始业务流建立方法、装置及通信系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |