CN106912047B - 终端认证方法、装置及系统 - Google Patents
终端认证方法、装置及系统 Download PDFInfo
- Publication number
- CN106912047B CN106912047B CN201510977026.6A CN201510977026A CN106912047B CN 106912047 B CN106912047 B CN 106912047B CN 201510977026 A CN201510977026 A CN 201510977026A CN 106912047 B CN106912047 B CN 106912047B
- Authority
- CN
- China
- Prior art keywords
- terminal
- access gateway
- message
- certificate
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种终端认证方法、装置及系统,属于通讯技术领域,适应于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端。该终端认证方法包括:终端向接入网关发起初始附着请求;根据初始附着请求,接入网关向3GPP AAA服务器发送DER消息;3GPP AAA服务器接收DER消息,并确定DER消息中的EAP‑PAYLOAD属性中的EAP‑IDENTITY前缀为预设的字符时,则终端为EAP‑TLS接入;以及3GPP AAA服务器通过EAP‑TLS交互对终端进行鉴权认证。由此可见,本实施例的终端认证方法,能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种终端认证方法、装置及系统。
背景技术
随着网络技术的快速发展,用户的通信需求不断从固定语音业务迁移到移动通信业务。当前的移动通信发展到第四代长期演进(The Fourth Generation Long TermEvolution,4G LTE)网络,用户终端可以通过无线局域网络(Wireless Local AreaNetworks,WLAN)接入,以实现WiFi网络语音(VoWiFi)业务,例如VoWiFi电话等。
在现有技术中,终端以WLAN的方式接入LTE网络,通过全球用户识别卡/客户识别卡(Universal Subscriber Identity Module/Subscriber Identity Module,USIM/SIM)进行可扩展认证协议-认证与密钥协商协议(Extensible Authentication Protocol-Authentication and Key Agreement,EAP-AKA)或者EAP-AKA’鉴权认证的方式接入网络。其中,EAP-AKA是基于EAP协议的用于第三带移动通信的鉴权认证接入方法,EAP-AKA’是对EAP-AKA认证进行了修正后的一种新的认证方式。
然而,上述两种鉴权认证方式都需要终端具有USIM/SIM卡才能够实现,对于无USIM/SIM卡的终端(例如PAD、PC等)、由于权限或者系统限制等原因无法获取USIM/SIM卡信息的终端来说,则无法接入LTE网络,也不能使用VoWiFi业务,给用户的使用带来不便。
发明内容
本发明的主要目的在于提出一种终端认证方法、装置及系统,旨在解决现有技术中的无卡终端或者无法获取USIM/SIM卡信息类型的终端无法接入LTE网络的问题。
为实现上述目的,本发明提供的一种终端认证方法,所述方法包括:终端向接入网关发起初始附着请求;根据所述初始附着请求,所述接入网关向第三代协作组验证、授权和记账3GPP AAA服务器发送DER消息;所述3GPP AAA服务器接收所述DER消息,并确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入;以及所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。
可选地,所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证,包括:所述3GPP AAA服务器接收到所述接入网关发送的握手消息后,返回服务端服证书给所述接入网关;所述终端接收所述接入网关发送的所述服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过时,所述终端将终端证书发送给所述接入网关;所述3GPPAAA服务器接收并校验所述接入网关发送的所述终端证书,当校验通过时,将握手完成消息发送给所述接入网关,以完成对所述终端的认证。
可选地,所述方法还包括:所述3GPP AAA服务器接收所述接入网关发送的确认收到握手完成消息的DER消息后,向演进分组核心网-归属用户服务器EPC-HSS服务器发送MAR消息和SAR消息,以获取鉴权数据和用户数据并进行授权检查,在授权检查成功时,向所述接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
可选地,DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符,当所述前缀为预设字符时,则其鉴权方式为EAP-TLS,其中,所述预设字符为英文字符。
可选地,所述终端安装有终端证书,所述终端证书中至少包含所述终端进行通信业务的IMSI信息,所述3GPP AAA服务器安装有服务端证书。
此外,为实现上述目的,本发明还提出一种终端认证方法,应用于无无全球用户识别卡/客户识别卡USIM/SIM终端或者无法获取USIM/SIM卡信息的终端中,所述方法包括:发送初始附着请求给接入网关,以通过所述接入网关发送DER消息给3GPP AAA服务器;当所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时,则接收所述接入网关转发的服务端证书;对所述服务端证书进行验证;当所述服务端证书验证通过时,发送终端证书给所述接入网关,以通过所述接入网关发送所述终端证书给3GPP AAA服务器进行校验。
可选地,所述终端证书中至少包含所述终端进行通信业务的IMSI信息。
此外,为实现上述目的,本发明还提出一种终端认证方法,应用于3GPP AAA服务器中,所述方法包括:接收来自接入网关的DER消息;确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
可选地,所述通过EAP-TLS交互对所述终端进行鉴权认证,包括:接收来自所述接入网关的握手消息;发送服务端证书给所述接入网关,以使所述终端对所述服务端证书进行验证;当所述终端对所述服务端证书验证通过时,则接收来自所述接入网关的终端证书;校验所述终端证书;当校验通过时,发送握手完成消息给所述接入网关,以完成对所述终端的认证。
可选地,所述方法还包括:接收来自所述接入网关的确认收到握手完成消息的DER消息;发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查;当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关。
此外,为实现上述目的,本发明还提出一种终端认证系统,所述系统包括终端、接入网关及3GPP AAA服务器,其中,所述终端,用于向所述接入网关发起初始附着请求;所述接入网关,用于根据所述初始附着请求,向所述3GPP AAA服务器发送DER消息;所述3GPPAAA服务器,用于接收所述DER消息,并确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
可选地,所述3GPP AAA服务器,还用于接收到所述接入网关发送的握手消息后,返回服务端服证书给所述接入网关;所述终端,还用于接收所述接入网关发送的所述服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过后,将终端证书发送给所述接入网关;所述3GPP AAA服务器,还用于接收并校验所述接入网关发送的所述终端证书,当校验成功时,将握手完成消息发送给所述接入网关,以完成对所述终端的认证。
可选地,所述系统还包括EPC-HSS服务器,其中:所述EPC-HSS服务器,用于接收所述3GPP AAA服务器发送的MAR消息和SAR消息,并向所述3GPP AAA服务器发送鉴权数据和用户数据;所述3GPP AAA服务器,还用于根据所述鉴权数据和用户数据对所述终端进行授权检查,在授权检查成功时,向接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
可选地,DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符,当所述前缀为预设字符时,则其鉴权方式为EAP-TLS,其中,所述预设字符为英文字符。
可选地,所述终端安装有终端证书,所述终端证书中至少包含所述终端进行通信业务的IMSI信息,所述3GPP AAA服务器安装有服务端证书。
此外,为实现上述目的,本发明还提出一种终端认证装置,应用于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端中,所述装置包括:第一发送模块,用于发送初始附着请求给接入网关,以通过所述接入网关发送DER消息给3GPP AAA服务器;第一接收模块,用于当所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时,则接收所述接入网关转发的服务端证书;服务端证书验证模块,用于对所述服务端证书进行验证;第二发送模块,还用于当所述服务端证书验证通过时,发送终端证书给所述接入网关,以通过所述接入网关发送所述终端证书给3GPP AAA服务器进行校验。
可选地,所述终端证书中至少包含所述终端进行通信业务的IMSI信息。
此外,为实现上述目的,本发明还提出一种终端认证装置,应用于3GPP AAA服务器中,所述装置包括:第三接收模块,用于接收来自接入网关的DER消息;认证通过模块,用于当确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
可选地,所述认证通过模块进一步包括:第四接收模块,用于接收来自所述接入网关的握手消息;第三发送模块,用于发送服务端证书给所述接入网关,以使所述终端对所述服务端证书进行验证;第五接收模块,用于当所述终端对所述服务端证书验证通过时,则接收来自所述接入网关的终端证书;校验模块,用于校验所述终端证书;第四发送模块,用于当校验通过时,发送握手完成消息给所述接入网关,以完成对所述终端的认证。
可选地,所述装置还包括:第六接收模块,用于接收来自所述接入网关的确认收到握手完成消息的DER消息;第五发送模块,用于发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查;第六发送模块,用于当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关。
本发明提出的终端认证方法、装置及系统,通过终端向接入网关发起初始附着请求,根据所述初始附着请求,所述接入网关向3GPP AAA服务器发送DER消息,3GPP AAA服务器接收所述DER消息,当检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀包含预设的字符时,判定所述终端为EAP-TLS接入,且3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。从而能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
附图说明
图1为本发明第一实施例提供的终端认证方法的流程示意图;
图2为本发明第二实施例提供的终端认证方法的流程示意图;
图3为本发明第三实施例提供的终端认证方法的流程示意图;
图4为本发明第四实施例提供的终端认证方法的流程示意图;
图5为本发明第五实施例提供的终端认证方法的流程示意图;
图6为本发明第五实施例提供的终端认证方法的子流程示意图;
图7为本发明第六实施例提供的终端认证方法的流程示意图;
图8为本发明第七实施例提供的终端认证系统的模块示意图;
图9为本发明第九实施例提供的终端认证系统的模块示意图;
图10为本发明第十实施例提供的终端认证装置的模块示意图;
图11为本发明第十一实施例提供的终端认证装置的模块示意图;
图12为本发明第十二实施例提供的终端认证装置的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
本发明第一实施例提供一种终端认证方法,适用于无全球用户识别卡/客户识别卡(Universal Subscriber Identity Module/Subscriber Identity Module,USIM/SIM)终端或者无法获取USIM/SIM卡信息的终端。
在本实施例中,终端可以以各种形式来实施,例如,本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
终端安装有终端证书,所述终端证书中至少包含所述终端进行通信业务的IMSI(International Mobile Subscriber Identification Number)信息,第三代协作组验证、授权和记账(3rd Generation Partnership Project Authentication-Authorizationand Accounting,3GPP AAA)服务器安装有服务端证书。证书由网络运营商向证书机构申请颁发,本实施例在此不再赘述。
进一步地,终端证书中的common name字段为本终端进行业务的IMSI,且所述终端支持可扩展认证协议-安全传输层协议(Extensible Authentication Protocol andTransport Layer Security,EAP-TLS)鉴权。
如图1所示,为本发明第一实施例提供的终端认证方法的流程示意图,所述方法包括:
步骤101,终端向接入网关发起附着请求;
具体地,附着请求中EAP-PAYLOAD属性的EAP-IDENTITY前缀设置为A-Z和a-z中的某一字符,假定本实施例中的附着请求中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀由网络运营商预置为A。
步骤102,接入网关接收终端发送的附着请求,并向3GPP AAA服务器发送DER消息;
具体的,接收到终端附着请求后,接入网关依据该附着请求向3GPP AAA服务器发送DER(Diameter-EAP-Request)消息,可以理解的是,该DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为A。
进一步地,本领域技术人员可以理解的是,若终端从非授信WiFi网络接入,则接入网关可以是演进的分组数据网关(Evolved Packet Data Gateway,ePDG);若终端从授信WLAN网络接入,则接入网关可以是HRPD服务网关(HRPD Gateway,HSGW)。
步骤103,3GPP AAA服务器接收接入网关发送的DER消息;
步骤104,3GPP AAA服务器检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是否为预设的字符,若是,则进入步骤105;若否,则结束;
步骤105,判定所述终端为EAP-TLS接入;
步骤106,3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。
具体地,预先对DER消息中的EAP-IDENTITY前缀进行扩展。3GPP协议中规定EAP-AKA鉴权方式对应的前缀为0、2、4,EAP-AKA’鉴权方式为对应的前缀为6、7、8,因此,本实施例中扩展可以使用英文字符A-Z和a-z,即EAP-TLS鉴权方式对应的前缀为英文字符,更进一步的,可由网络运营商设置该前缀为A,即EAP-TLS鉴权方式对应的前缀为英文字符A。
因此,当3GPP AAA服务器接收到接入网关发送的DER消息且该消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符A时,则3GPP AAA服务器判定此次接入请求为EAP-TLS接入,后续将对终端的鉴权认证将采用EAP-TLS鉴权方式,鉴权成功则终端可接入LTE网络以使用各类业务如VoWiFi业务。
本实施例提供的终端认证方法,终端向接入网关发起初始附着请求,根据所述初始附着请求,所述接入网关向3GPP AAA服务器发送DER消息,3GPP AAA服务器接收所述DER消息,当检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀包含预设的字符时,判定所述终端为EAP-TLS接入,且3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。由此可见,本实施例的终端认证方法,能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
本发明第二实施例提供的终端认证方法。在第二实施例中,所述终端认证方法与第一实施例相比,区别仅在于,步骤106具体包括:
a.所述3GPP AAA服务器接收到所述接入网关发送的握手消息后,返回服务端服证书给所述接入网关;
b.所述终端接收所述接入网关发送的所述服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过时,所述终端将终端证书发送给所述接入网关;
c.所述3GPP AAA服务器接收并校验所述接入网关发送的所述终端证书,当校验通过时,将握手完成消息发送给所述接入网关,以完成对所述终端的认证。
具体的,实际应用中,在步骤105之后,3GPP AAA服务器通过EAP-TLS对终端进行EAP-TLS鉴权时,接入网关,3GPP AAA服务器以及终端之间的交互可参考图2,其交互过程如下:
步骤201,3GPP AAA服务器返回DEA(Diameter-EAP-Answer)消息(TLS-Start),开始与接入网关进行EAP-TLS交互;
步骤202,终端向接入网关发送EAP消息;
步骤203,接入网关接收终端发送的EAP消息,并向到3GPP AAA服务器发送DER握手消息(TLS-Client Hello);
步骤204,3GPP AAA服务器接收接入网关发送的DER握手消息,并向接入网关回复DEA消息(TLS-Server Hello),以返回服务端保存的证书信息;
步骤205,接入网关接收3GPP AAA服务器发送的服务端证书,并转发给终端;
步骤206,终端接收接入网关发送的服务端证书,并对服务端证书进行验证;
步骤207,当对所述服务端证书验证通过时,则终端将终端证书发送给接入网关;
当所述服务端证书验证失败,则进入步骤111。
步骤208,接入网关接收终端发送的终端证书,并向3GPP AAA服务器发送DER消息,该DER消息中携带终端证书信息;
步骤209,3GPP AAA服务器接收接入网关发送的DER消息,并对终端证书进行校验;
具体地,3GPP AAA服务器对终端信息中的CA签名、有效期、及IMSI绑定,进行校验。
步骤210,当对终端证书校验通过时,则3GPP AAA服务器将握手完成DEA消息发送给接入网关,以完成对终端的认证;
当终端证书验证失败,则进入步骤211。
步骤211,鉴权失败,并返回消息拒绝当前终端的接入请求。
本实施例提供的终端认证方法,采用双向认证,3GPP AAA服务器检验终端证书,确认终端是合法的终端,终端检验服务端证书,确认接入的网络是合法的网络,从而提高了用户接入的安全性。
本发明第三实施例提供另一种终端认证方法。在第三实施例中,所述终端认证方法与第二实施例相比,区别仅在于,所述方法还包括:
所述3GPP AAA服务器接收所述接入网关发送的确认收到所述握手完成消息的DER消息后,向EPC归属用户(HSS)服务器发送MAR(Multimedia-Authentication-Request)消息和SAR(Server-Assignment-Request)消息,以获取鉴权数据和用户数据并进行授权检查,在授权检查成功时,向所述接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
具体的,可同时参考图2及图3,实际应用中,在步骤210之后,3GPP AAA服务器对终端进行EAP-TLS鉴权还包括以下步骤:
步骤301,接入网关向3GPP AAA服务器发送DER消息,以确认收到3GPP AAA服务器发送的握手完成DEA消息;
步骤302,3GPP AAA服务器接收接入网关发送的DER消息,并向EPC归属用户(HSS)服务器发送MAR消息;
步骤303,EPC-HSS服务器接收3GPP AAA服务器发送的MAR消息,并回复鉴权数据到3GPP AAA服务器;
步骤304,3GPP AAA服务器获取EPC-HSS服务器发送的鉴权数据,并对鉴权数据进行授权检查;
步骤305,3GPP AAA服务器向EPC-HSS服务器发送SAR消息;
步骤306,EPC-HSS服务器接收3GPP AAA服务器发送的SAR消息,并回复用户数据到3GPP AAA服务器;
步骤307,3GPP AAA服务器获取EPC-HSS服务器发送的用户数据,并对用户数据进行授权检查;
步骤308,3GPP AAA服务器发送授权检查成功的DEA消息至接入网关,进而完成所述终端和所述3GPP AAA服务器之间的授权,并等待终端后续的接入流程。
本实施例提供的终端认证方法,通过3GPP AAA服务器向EPC-HSS服务器发送MAR消息和SAR消息,以获取鉴权数据和用户数据并进行授权检查,当对鉴权数据和用户数据授权检查成功时,向接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
请参照图4,本发明第四实施例进一步提供一种终端认证方法,应用于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端中,所述方法包括:
步骤401,发送初始附着请求给接入网关,以通过所述接入网关发送DER消息给3GPP AAA服务器;
步骤402,当所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时,则接收所述接入网关转发的服务端证书;
具体地,终端证书中至少包含所述终端进行通信业务的IMSI信息。
步骤403,对所述服务端证书进行验证;以及
步骤404,当所述服务端证书验证通过时,发送终端证书给所述接入网关,以通过所述接入网关发送所述终端证书给3GPP AAA服务器进行校验。
本实施例的终端认证方法,通过发送初始附着请求给接入网关,当3GPP AAA服务器通过EAP-TLS交互对终端进行鉴权认证时,再接收并验证服务端证书,能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
请参照图5,本发明第五实施例进一步提供一种终端认证方法,应用于3GPP AAA服务器中,所述方法包括:
步骤501,接收来自接入网关的DER消息;
步骤502,检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是否为预设的字符;若是,则进入步骤503;若否,则流程结束;
步骤503,判定所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
作为本实施例的进一步改进,请结合图6,步骤503中的通过EAP-TLS交互对所述终端进行鉴权认证,进一步包括:
步骤601,接收来自所述接入网关的握手消息;
步骤602,发送服务端证书给所述接入网关,以使所述终端对所述服务端证书进行验证;
步骤603,当所述终端对所述服务端证书验证通过时,则接收来自所述接入网关的终端证书;
步骤604,校验所述终端证书;以及
步骤605,当校验通过时,发送握手完成消息给所述接入网关,以完成对所述终端的认证。
本实施例的终端认证方法,采用双向认证,3GPP AAA服务器检验终端证书,确认终端是合法的终端,终端检验服务端证书,确认接入的网络是合法的网络,从而提高了用户接入的安全性。
请参照图7,本发明第六实施例进一步提供一种终端认证方法,在第六实施例中,所述终端认证方法与第五实施例相比,区别仅在于,所述方法还包括:
步骤701,接收来自所述接入网关的确认收到握手完成消息的DER消息;
步骤702,发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查;以及
步骤703,当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关。
本实施例的终端认证方法,通过接收来自接入网关的确认收到握手完成消息的DER消息,发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查,当对鉴权数据和用户数据授权检查成功时,向接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
请参照图8,本发明第七实施例进一步提供一种终端认证系统,所述系统包括所述终810、接入网关820及3GPP AAA服务器830。
终端810为无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端。在本实施例中,终端810可以以各种形式来实施,例如,本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
终端810安装有终端证书,所述终端证书中至少包含所述终端810进行通信业务的IMSI信息,3GPP AAA安装有服务端证书。证书由网络运营商向证书机构申请颁发,本实施例在此不再赘述。
进一步地,终端证书中的common name字段为本终端进行业务的IMSI,且所述终端支持EAP-TLS鉴权。
终端810,用于向接入网关820发起附着请求。
具体地,附着请求中携带EAP-PAYLOAD属性的EAP-IDENTITY前缀,假定本实施例中的附着请求中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀由网络运营商预置为A。
接入网关820,用于接收终端810发送的附着请求,并向3GPP AAA服务器830发送DER消息。
具体的,接收到终端附着请求后,接入网关820依据该附着请求向3GPP AAA服务器830发送网络接入请求(Diameter-EAP-Request,DER)消息,可以理解的是,该DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为A。
进一步地,本领域技术人员可以理解的是,若终端从非授信WiFi网络接入,则接入网关可以是演进的分组数据网关(Evolved Packet Data Gateway,ePDG);若终端从授信WLAN网络接入,则接入网关可以是HRPD服务网关(HRPD Gateway,HSGW)。
3GPP AAA服务器830,用于接收接入网关820发送的DER消息,并检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是否为预设的字符,若是,则判定所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端810进行鉴权认证。
具体地,预先对DER消息中的EAP-IDENTITY前缀进行扩展。3GPP协议中规定EAP-AKA鉴权方式对应的前缀为0、2、4,EAP-AKA’鉴权方式为对应的前缀为6、7、8,因此,本实施例中扩展可以使用英文字符A-Z和a-z,即EAP-TLS鉴权方式对应的前缀为英文字符,更进一步的,可由网络运营商设置该前缀为A,即EAP-TLS鉴权方式对应的前缀为英文字符A。
因此,当3GPP AAA服务器830接收到接入网关发送的DER消息且该消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符A时,则3GPP AAA服务器830判定该此次接入请求为EAP-TLS接入,后续将对终端810的鉴权认证将采用EAP-TLS鉴权方式,鉴权成功则终端810可接入LTE网络以使用各类业务如VoWiFi业务。
本实施例提供的终端认证系统,终端810向接入网关820发起初始附着请求,根据所述初始附着请求,接入网关820向3GPP AAA服务器830发送DER消息,3GPP AAA服务器830接收所述DER消息,当检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀包含预设的字符时,判定所述终端810为EAP-TLS接入,且3GPP AAA服务器830通过EAP-TLS交互对所述终端810进行鉴权认证。由此可见,本实施例的终端认证系统,能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
本发明第八实施例进一步提供终端认证系统。在第八实施例中,所述终端认证系统与第七实施例相比,区别仅在于,在本实施例中,当通过3GPP AAA服务器通过EAP-TLS交互对所述终端810进行鉴权认证时:
所述3GPP AAA服务器830,还用于接收到所述接入网关820发送的握手消息后,返回服务端服证书给所述接入网关820;
所述终端810,还用于接收所述接入网关820发送的服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过后,将终端证书发送给所述接入网关820;
所述3GPP AAA服务器830,还用于接收并校验所述接入网关820发送的所述终端证书,当校验成功时,将握手完成消息发送给所述接入网关820,以完成对所述终端810的认证。
具体的,实际应用中,3GPP AAA服务器830对终端810进行EAP-TLS鉴权时,接入网关820、3GPP AAA服务器830以及终端810之间的交互可参考图2,
3GPP AAA服务器830返回DEA消息(TLS-Start),开始与接入网关820进行EAP-TLS交互。
终端810,还用于向接入网关820发送EAP消息。
接入网关820,还用于接收终端810发送的EAP消息,并向到3GPP AAA服务器830发送DER握手消息(TLS-Client Hello)。
3GPP AAA服务器830,还用于接收接入网关820发送的DER握手消息,并向接入网关820回复DEA消息(TLS-Server Hello),以返回服务端保存的证书信息。
接入网关820,还用于接收3GPP AAA服务器830发送的服务端证书,并转发给终端810。
终端810,还用于接收接入网关820发送的服务端证书,并对服务端证书进行验证。
当对所述服务端证书验证通过时,则终端810将终端证书发送给接入网关820;
当所述服务端证书验证失败,则鉴权失败。
接入网关820,还用于接收终端810发送的终端证书,并向3GPP AAA服务器830发送DER消息,该DER消息中携带终端证书信息。
3GPP AAA服务器830,还用于接收接入网关820发送的DER消息,并对终端证书进行校验。
具体地,3GPP AAA服务器830对终端信息中的CA签名、有效期、及IMSI绑定,进行校验。
当对终端证书校验通过时,则3GPP AAA服务器830将握手完成DEA消息发送给接入网关820,以完成对终端810的认证;
当终端证书验证失败,则鉴权失败,并返回消息拒绝当前终端810的接入请求。
本实施例提供的终端认证系统,采用双向认证,3GPP AAA服务器830检验终端证书,确认终端810是合法的终端,终端820检验服务端证书,确认接入的网络是合法的网络,从而提高了用户接入的安全性。
请参照图9,为本发明第九实施例提供的终端认证系统。在第九实施例中,所述终端认证系统与第八实施例相比,区别仅在于,所述系统还包括EPC归属用户(HSS)服务910,其中:
所述EPC-HSS服务器910,用于接收所述3GPP AAA服务器830发送的MAR消息和SAR消息,并向所述3GPP AAA服务器发送鉴权数据和用户数据;
所述3GPP AAA服务器830,还用于根据所述鉴权数据和用户数据对所述终端进行授权检查,在授权检查成功时,向接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器830之间的授权。
具体的,可同时参考图2及图3,实际应用中,3GPP AAA服务器830对终端810进行EAP-TLS鉴权时,接入网关820、3GPP AAA服务器830以及终端810之间的交互为:
接入网关820,还用于向3GPP AAA服务器830发送DER消息,以确认收到3GPP AAA服务器830发送的DEA消息。
3GPP AAA服务器830,还用于接收接入网关820发送的DER消息,并向EPC-HSS服务器910发送MAR消息.
EPC-HSS服务器910,用于接收3GPP AAA服务器830发送的MAR消息,并回复鉴权数据到3GPP AAA服务器830。
3GPP AAA服务器830,还用于获取EPC-HSS服务器910发送的鉴权数据。
3GPP AAA服务器830,还用于对鉴权数据进行授权检查,并向EPC-HSS服务器910发送SAR消息.
EPC-HSS服务器910,还用于接收3GPP AAA服务器830发送的SAR消息,并回复用户数据到3GPP AAA服务器830。
3GPP AAA服务器830,还用于获取EPC-HSS服务器910发送的用户数据,以对用户数据进行授权检查,并发送授权检查成功的DEA消息至接入网关820,进而完成终端810和3GPPAAA服务器830之间的授权,并等待终端810后续的接入流程。
本实施例提供的终端认证系统,提供3GPP AAA服务器830向EPC-HSS服务器910发送MAR消息和SAR消息,以获取鉴权数据和用户数据并进行授权检查,当对鉴权数据和用户数据授权检查成功时,向接入网关820发送授权检查成功的DEA消息,完成终端810和3GPPAAA服务器830之间的授权。
请参照图10,本发明第十实施例进一步提供一种终端认证装置,应用于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端810中,所述装置包括,第一发送模块1010、第一接收模块1020、服务端证书验证模块1030和第二发送模块1040。其中:
第一发送模块1010,用于发送初始附着请求给接入网关820,以通过所述接入网关820发送DER消息给3GPP AAA服务器830;
第一接收模块1020,用于当所述3GPP AAA服务器830通过EAP-TLS交互对所述终端810进行鉴权认证时,则接收所述接入网关820转发的服务端证书;
服务端证书验证模块1030,用于对所述服务端证书进行验证;
第二发送模块1040,还用于当所述服务端证书验证通过时,发送终端证书给所述接入网关820,以通过所述接入网关820发送所述终端证书给3GPP AAA服务器830进行校验。
进一步地,所述终端证书中至少包含所述终端进行通信业务的IMSI信息。
本实施例的终端认证装置,通过3GPP AAA服务器830对终端810的认证,能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络,并使用VoWiFi业务,提高了用户体验。
请参照图11,本发明第十一实施例进一步提供一种终端认证装置,应用于3GPPAAA服务器中,所述装置包括第三接收模块1110、判断模块1120和认证通过模块1130。其中:
第三接收模块1110,用于接收来自接入网关820的DER消息;
判断模块1120,用于检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是否为预设的字符;
认证通过模块1130,用于当检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是预设的字符时,则所述判断模块1120判定所述终端810为EAP-TLS接入,并通过EAP-TLS交互对所述终端810进行鉴权认证。
进一步地,认证通过模块1130进一步包括第四接收模块1140、第三发送模块1150、第五接收模块1160、校验模块1170和第四发送模块1180。其中:
第四接收模块1140,用于接收来自所述接入网关820的握手消息;
第三发送模块1150,用于发送服务端证书给所述接入网关820,以使所述终端810对所述服务端证书进行验证;
第五接收模块1160,用于当所述终端810对所述服务端证书验证通过时,则接收来自所述接入网关820的终端证书;
校验模块1170,用于校验所述终端证书;
第四发送模块1180,用于当校验通过时,发送握手完成消息给所述接入网关820,以完成对所述终端810的认证。
本实施例的终端认证装置,采用双向认证,3GPP AAA服务器检验终端证书,确认终端是合法的终端,终端检验服务端证书,确认接入的网络是合法的网络,从而提高了用户接入的安全性。
请参照图12,本发明第十二实施例进一步提供一种终端认证装置,在第十二实施例中,所述终端认证装置与第十一实施例的区别仅在于,所述装置还包括第六接收模块1210、第五发送模块1210和第六发送模块1230。其中:
第六接收模块1210,用于接收来自所述接入网关820的确认收到握手完成消息的DER消息;
第五发送模块,用于发送MAR消息和SAR消息给EPC-HSS服务器910,以获取鉴权数据和用户数据并进行授权检查;
第六发送模块1230,用于当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关820。
本实施例的终端认证装置,通过第六接收模块1210接收来自接入网关820的确认收到握手完成消息的DER消息,第五发送模块发送MAR消息和SAR消息给EPC-HSS服务器910,以获取鉴权数据和用户数据并进行授权检查,当对鉴权数据和用户数据授权检查成功时,第六发送模块1230向接入网关820发送授权检查成功的DEA消息,完成所述终端810和所述3GPP AAA服务器830之间的授权。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (20)
1.一种终端认证方法,其特征在于,所述方法包括:
终端向接入网关发起初始附着请求;所述接入网关包括:HRPD服务网关;
根据所述初始附着请求,所述接入网关向第三代协作组验证、授权和记账3GPP AAA服务器发送DER消息;
所述3GPP AAA服务器接收所述DER消息,并检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入;以及
所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。
2.根据权利要求1所述的终端认证方法,其特征在于,所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证,包括:
所述3GPP AAA服务器接收到所述接入网关发送的握手消息后,返回服务端证书给所述接入网关;
所述终端接收所述接入网关发送的所述服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过时,所述终端将终端证书发送给所述接入网关;以及
所述3GPP AAA服务器接收并校验所述接入网关发送的所述终端证书,当校验通过时,将握手完成消息发送给所述接入网关,以完成对所述终端的认证。
3.根据权利要求2所述的终端认证方法,其特征在于,所述方法还包括:
所述3GPP AAA服务器接收所述接入网关发送的确认收到握手完成消息的DER消息后,向演进分组核心网-归属用户服务器EPC-HSS服务器发送MAR消息和SAR消息,以获取鉴权数据和用户数据并进行授权检查,在授权检查成功时,向所述接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
4.根据权利要求1所述的终端认证方法,其特征在于,DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符,当所述前缀为预设字符时,则其鉴权方式为EAP-TLS,其中,所述预设字符为英文字符。
5.根据权利要求1所述的终端认证方法,其特征在于,所述终端安装有终端证书,所述终端证书中至少包含所述终端进行通信业务的IMSI信息,所述3GPP AAA服务器安装有服务端证书。
6.一种终端认证方法,其特征在于,应用于无全球用户识别卡/客户识别卡USIM/SIM的终端或者无法获取USIM/SIM卡信息的终端中,所述方法包括:
发送初始附着请求给接入网关,以通过所述接入网关发送DER消息给3GPP AAA服务器;所述接入网关包括:HRPD服务网关;
当所述3GPP AAA服务器接收所述DER消息,并检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入,
当所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时,则接收所述接入网关转发的服务端证书;
对所述服务端证书进行验证;以及
当所述服务端证书验证通过时,发送终端证书给所述接入网关,以通过所述接入网关发送所述终端证书给3GPP AAA服务器进行校验。
7.根据权利要求6所述的终端认证方法,其特征在于,所述终端证书中至少包含所述终端进行通信业务的IMSI信息。
8.一种终端认证方法,应用于3GPP AAA服务器中,其特征在于,所述方法包括:
接收来自接入网关的DER消息;所述接入网关包括:HRPD服务网关;
确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
9.根据权利要求8所述的终端认证方法,其特征在于,所述通过EAP-TLS交互对所述终端进行鉴权认证,包括:
接收来自所述接入网关的握手消息;
发送服务端证书给所述接入网关,以使所述终端对所述服务端证书进行验证;
当所述终端对所述服务端证书验证通过时,则接收来自所述接入网关的终端证书;
校验所述终端证书;以及
当校验通过时,发送握手完成消息给所述接入网关,以完成对所述终端的认证。
10.根据权利要求8或9所述的终端认证方法,其特征在于,所述方法还包括:
接收来自所述接入网关的确认收到握手完成消息的DER消息;
发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查;以及
当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关。
11.一种终端认证系统,其特征在于,所述系统包括:终端、接入网关及3GPP AAA服务器,其中;
所述终端,用于向所述接入网关发起初始附着请求;所述接入网关包括:HRPD服务网关;
所述接入网关,用于根据所述初始附着请求,向所述3GPP AAA服务器发送DER消息;
所述3GPP AAA服务器,用于接收所述DER消息,并确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
12.根据权利要求11所述的终端认证系统,其特征在于,
所述3GPP AAA服务器,还用于接收到所述接入网关发送的握手消息后,返回服务端证书给所述接入网关;
所述终端,还用于接收所述接入网关发送的所述服务端证书,并对所述服务端证书进行验证,当对所述服务端证书验证通过后,将终端证书发送给所述接入网关;
所述3GPP AAA服务器,还用于接收并校验所述接入网关发送的所述终端证书,当校验成功时,将握手完成消息发送给所述接入网关,以完成对所述终端的认证。
13.根据权利要求12所述的终端认证系统,其特征在于,所述系统还包括EPC-HSS服务器,其中:
所述EPC-HSS服务器,用于接收所述3GPP AAA服务器发送的MAR消息和SAR消息,并向所述3GPP AAA服务器发送鉴权数据和用户数据;
所述3GPP AAA服务器,还用于根据所述鉴权数据和用户数据对所述终端进行授权检查,在授权检查成功时,向接入网关发送授权检查成功的DEA消息,完成所述终端和所述3GPP AAA服务器之间的授权。
14.根据权利要求11所述的终端认证系统,其特征在于,DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符,当所述前缀为预设字符时,则其鉴权方式为EAP-TLS,其中,所述预设字符为英文字符。
15.根据权利要求11所述的终端认证系统,其特征在于,所述终端安装有终端证书,所述终端证书中至少包含所述终端进行通信业务的IMSI信息,所述3GPP AAA服务器安装有服务端证书。
16.一种终端认证装置,其特征在于,应用于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端中,所述装置包括:
第一发送模块,用于发送初始附着请求给接入网关,以通过所述接入网关发送DER消息给3GPP AAA服务器;所述接入网关包括:HRPD服务网关;
第一接收模块,用于当所述3GPP AAA服务器接收所述DER消息,并检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入,当所述3GPP AAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时,则接收所述接入网关转发的服务端证书;
服务端证书验证模块,用于对所述服务端证书进行验证;
第二发送模块,还用于当所述服务端证书验证通过时,发送终端证书给所述接入网关,以通过所述接入网关发送所述终端证书给3GPP AAA服务器进行校验。
17.根据权利要求16所述的终端认证装置,其特征在于,所述终端证书中至少包含所述终端进行通信业务的IMSI信息。
18.一种终端认证装置,应用于3GPP AAA服务器中,其特征在于,所述装置包括:
第三接收模块,用于接收来自接入网关的DER消息;所述接入网关包括:HRPD服务网关;
认证通过模块,用于当确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时,则所述终端为EAP-TLS接入,并通过EAP-TLS交互对所述终端进行鉴权认证。
19.根据权利要求18所述的终端认证装置,其特征在于,所述认证通过模块进一步包括:
第四接收模块,用于接收来自所述接入网关的握手消息;
第三发送模块,用于发送服务端证书给所述接入网关,以使所述终端对所述服务端证书进行验证;
第五接收模块,用于当所述终端对所述服务端证书验证通过时,则接收来自所述接入网关的终端证书;
校验模块,用于校验所述终端证书;
第四发送模块,用于当校验通过时,发送握手完成消息给所述接入网关,以完成对所述终端的认证。
20.根据权利要求18或19所述的终端认证装置,其特征在于,所述装置还包括:
第六接收模块,用于接收来自所述接入网关的确认收到握手完成消息的DER消息;
第五发送模块,用于发送MAR消息和SAR消息给EPC-HSS服务器,以获取鉴权数据和用户数据并进行授权检查;
第六发送模块,用于当对所述鉴权数据和所述用户数据的授权检查成功时,则发送授权检查成功的DEA消息给所述接入网关。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510977026.6A CN106912047B (zh) | 2015-12-22 | 2015-12-22 | 终端认证方法、装置及系统 |
PCT/CN2016/107731 WO2017107745A1 (zh) | 2015-12-22 | 2016-11-29 | 终端认证方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510977026.6A CN106912047B (zh) | 2015-12-22 | 2015-12-22 | 终端认证方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106912047A CN106912047A (zh) | 2017-06-30 |
CN106912047B true CN106912047B (zh) | 2021-04-20 |
Family
ID=59088978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510977026.6A Active CN106912047B (zh) | 2015-12-22 | 2015-12-22 | 终端认证方法、装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106912047B (zh) |
WO (1) | WO2017107745A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110167025B (zh) * | 2018-02-13 | 2021-01-29 | 华为技术有限公司 | 一种通信方法及通信装置 |
CN109257173B (zh) * | 2018-11-21 | 2020-02-07 | 郑州轻工业学院 | 基于权限信息交换的非对称群组密钥协商方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
CN101715190A (zh) * | 2009-11-04 | 2010-05-26 | 中兴通讯股份有限公司 | 一种无线局域网下实现终端与服务器鉴别的系统及方法 |
WO2015158263A1 (en) * | 2014-04-15 | 2015-10-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for integrating networks |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510455B2 (en) * | 2007-04-30 | 2013-08-13 | Futurewei Technologies, Inc. | Method and apparatus for IP mobility management selection |
CN101374334A (zh) * | 2007-08-22 | 2009-02-25 | 华为技术有限公司 | 传递分组数据网络标识信息的方法和系统 |
US9088891B2 (en) * | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
-
2015
- 2015-12-22 CN CN201510977026.6A patent/CN106912047B/zh active Active
-
2016
- 2016-11-29 WO PCT/CN2016/107731 patent/WO2017107745A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
CN101715190A (zh) * | 2009-11-04 | 2010-05-26 | 中兴通讯股份有限公司 | 一种无线局域网下实现终端与服务器鉴别的系统及方法 |
WO2015158263A1 (en) * | 2014-04-15 | 2015-10-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for integrating networks |
Non-Patent Citations (1)
Title |
---|
Addition of cipher suite for interworking WLAN;Ericsson;《3GPP TSG SA WG3 Security - S3#56 S3-091525》;20090710;全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2017107745A1 (zh) | 2017-06-29 |
CN106912047A (zh) | 2017-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105052184B (zh) | 控制用户设备对服务接入的方法、设备及控制器 | |
CN108476223B (zh) | 用于非sim设备的基于sim的认证的方法和装置 | |
KR101401190B1 (ko) | 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템 | |
US9716999B2 (en) | Method of and system for utilizing a first network authentication result for a second network | |
US20060023682A1 (en) | Wireless communication network, wireless terminal, access server, and method therefor | |
US20080108321A1 (en) | Over-the-air (OTA) device provisioning in broadband wireless networks | |
US11503469B2 (en) | User authentication method and apparatus | |
US20070178885A1 (en) | Two-phase SIM authentication | |
US20080294891A1 (en) | Method for Authenticating a Mobile Node in a Communication Network | |
KR20090093943A (ko) | 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증 | |
CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
US20180124608A1 (en) | Method, Apparatus, and System for Authenticating WIFI Network | |
WO2012171184A1 (zh) | 基于mac地址的wlan认证方法和装置 | |
US20080311881A1 (en) | Emergency call services for wireless network roaming | |
US20080242264A1 (en) | Methods and system for terminal authentication using a terminal hardware indentifier | |
US9788202B2 (en) | Method of accessing a WLAN access point | |
CN101662768B (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
US11523332B2 (en) | Cellular network onboarding through wireless local area network | |
CN102984686A (zh) | 通信服务方法、动态签约服务器和移动管理网元 | |
CN102857517B (zh) | 认证方法、宽带远程接入服务器以及认证服务器 | |
CN102215486B (zh) | 接入网络的方法及系统、网络认证方法及设备、终端 | |
CN106912047B (zh) | 终端认证方法、装置及系统 | |
CN101800984A (zh) | 获取wapi证书的方法、服务器端及wapi认证系统 | |
CN102547698B (zh) | 认证系统、方法及中间认证平台 | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |