CN108540493A - 认证方法、用户设备、网络实体以及业务侧服务器 - Google Patents
认证方法、用户设备、网络实体以及业务侧服务器 Download PDFInfo
- Publication number
- CN108540493A CN108540493A CN201810404655.3A CN201810404655A CN108540493A CN 108540493 A CN108540493 A CN 108540493A CN 201810404655 A CN201810404655 A CN 201810404655A CN 108540493 A CN108540493 A CN 108540493A
- Authority
- CN
- China
- Prior art keywords
- network entity
- domain name
- key
- authentication response
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 230000004044 response Effects 0.000 claims abstract description 193
- 238000001514 detection method Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 14
- 230000003993 interaction Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000007935 neutral effect Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了认证方法、用户设备、网络实体以及业务侧服务器。首先,网络实体向用户设备发送认证请求消息,认证请求消息中携带有网络实体所在域的域名;用户设备根据域名,检测自身是否存有与域名对应的第一密钥,若未检测到,向网络实体发送认证应答消息,使网络实体生成包含认证应答信息的AAA消息并将AAA消息发送给业务侧服务器,认证应答信息中包括第一标识或第二标识中的一种及域名;业务侧服务器根据第一标识或第二标识中的一种及域名,生成第一密钥和第三密钥;业务侧服务器发送包括第一密钥和第三密钥的AAA应答消息给网络实体。本发明技术方案通过将域名放在认证应答信息,解决了现有技术快速认证过程中需要扩展AAA消息的问题。
Description
【技术领域】
本发明涉及通信技术领域,尤其涉及认证方法、用户设备、网络实体以及业务侧服务器。
【背景技术】
MulteFire是一种新的基于LTE(Long Term Evolution,长期演进)的无线接入技术,其将LTE扩展到非授权频谱中,物理层引入类似Wi-Fi的载波监听技术的先听后说(LBT,Listen Before Talk)机制,以实现与非授权频段设备公平竞争空口资源。同时MulteFire还引入了新的网络架构,提供了一种统一规划和自组织的中立主机(NH,Neutral Host)网络,服务提供商、设备供应商或用户都可以参与网络部署,任何人部署的网络都可服务于各种服务提供商,包括互联网服务提供商、有限电视、移动网络运营商、企业及公共场所服务提供者,并且可以向没有SIM卡的终端提供鉴权和网络接入。
在MulteFire的NH网络模式中,MF接入点(AP,Access Point)连接到NH核心网(CN,Core Network),NH CN类似3GPP的LTE核心网,包括NH移动性管理单元(MME,MobilityManagement Element)、NH网关(GW,Gateway)和NH认证、授权和计费(AAA,AuthenticationAuthorization Accounting)服务器。NH CN为MulteFire引入的统一规划和自组织的中立网络,接入NH网络的UE(User Equipmen,用户设备)由AAA服务器通过可扩展认证协议(EAP,Extensive Authentication Protocol)进行鉴权和认证。
NHN网具有以下特性:网络提供商与业务提供商分离,同一个网络可以支持一个或多个业务提供商;此外,同一业务提供商可以使用一个网络提供商或者多个网络提供商,例如,一个业务提供商同时使用两个相邻或者覆盖有重叠的网络为用户提供业务。
另外,NHN网络是一种统一规划和自组织的网络,且NHN网络占用的是非授权频段资源,为了保证UE与NHN网络通信的安全性以及稳定性,UE在接入NHN网络需要使用EAP方式进行认证;当UE有一个网络移动到另外一个网络时,需要使用EAP重新认证。通常NHN支持EAP-AKA'、EAP-TLS和EAP-TTLS的3种EAP认证方式。当PSP为3GPP时,使用EAP-AKA'认证流程,即NHN的Local AAA proxy通过AAA接口与3GPP AAA交互;当PSP的AAA Server使用的是EAP-TLS Server时,使用EAP-TLS认证流程;当PSP的AAA Server使用的是EAP-TTLS Server时,使用EAP-TTLSServer认证流程。
常规的EAP的认证流程包括标识请求、EAP Method exchange、密钥生成及密钥由EAP Server下发到EAP Authenticator。在认证流程中,Identity可以唯一标识UE。此Identity可以是标识,也可以是与PSP之前协商好的用于认证的证书等。
此外,为了简化认证流程,基于EAP Authentication的拓展出另一种认证方法Re-Authentication,该方法在Peer(用户设备)初始接入NHN网络时,Peer向Local AAA Server发送EAP应答消息,然后,Local AAA Server在AAA消息中携带其所在的域的域名以及为Local AAA Server分配密钥的请求信息,并将AAA消息发送给Home EAP Server(业务侧服务器),然后,Peer、Local AAA Server和Home EAP Server等经过EAP Method exchange流程生成为Local AAA Server分配密钥以及对应的根密钥和完整性认证密,Home EAPServer的密钥以及对应的根密钥和完整性认证密等密钥,其中,为Local AAA Server分配密钥是由Local AAA Server所在的域的域名以及Home EAP Server的密钥生成的。当Peer再次附着时,使用Re-authentication流程,发起EAP验证时,Peer和Local AAA Server可以使用之前生成的根密钥生成用于保证通信安全的密钥,不需要在执行EAP Methodexchange流程,简化认证流程。
在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难。
【发明内容】
有鉴于此,本发明实施例提供了一种认证方法、用户设备、网络实体以及业务侧服务器,用于解决现有技术在实现简化认证流程过程中,需要扩展AAA消息的问题。
一方面,本发明实施例提供了一种认证方法,应用于用户设备中,包括:
接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;
根据所述域名,检测自身是否存有与所述域名对应的第一密钥;
若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若未检测到与所述域名对应的第一密钥,所述方法还包括:
检测自身是否存有与所述当前业务侧服务器对应的第二密钥;
若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息包括所述第一标识以及所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若未检测到与所述域名对应的第一密钥,所述方法还包括:
检测是否存有与所述当前业务侧服务器对应的第二密钥;
若未检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息包括所述第二标识以及所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述域名,检测是否存有与所述域名对应的第一密钥包括:
检测是否存有所述第一密钥;或者,
检测是否存有所述第一密钥的衍生密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测是否存有与所述当前业务侧服务器对应的第二密钥包括
检测是否存有所述第二密钥;或者,
检测是否存有所述第二密钥的衍生密钥。
第二方面,本发明实施例提供了一种认证方法,应用于网络实体中,所述方法包括:
向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;
接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;
生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;
将所述AAA消息发送给当前业务侧服务器;
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
第三方面,本发明实施例提供了一种认证方法,应用于业务侧服务器中,所述方法包括:
接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息;所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名;
根据所述第一标识或者第二标识中的一种,以及,所述域名,生成第一密钥和第三密钥;
发送AAA应答消息给网络实体,所述AAA应答消息中至少包括所述第一密钥和所述第三密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若认证应答信息中至少包含域名及第一标识时,根据所述域名及第一标识,生成第一密钥和第三密钥包括:
根据所述第一标识查找所述第一标识相关的第二密钥及其衍生密钥;
根据所述第二密钥和/或第二密钥的衍生密钥生成所述第三密钥;
根据所述第二密钥和所述域名生成所述第一密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若认证应答信息中至少包含域名及第一标识时,根据所述域名及第一标识,生成第一密钥和第三密钥包括:
根据所述第一标识查找所述第一标识相关的第二密钥;
根据所述第二密钥生成所述第三密钥;
根据所述第二密钥和所述域名生成所述第一密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若认证应答信息中至少包含域名及第二标识时,根据所述域名及第二标识,生成第一密钥和第三密钥包括,
根据所述第二标识,发起与用户设备间的认证方法交互流程;
在所述认证方法交互流程完成并成功验证后,生成所述第三密钥,和,第二密钥或第二密钥及其衍生密钥;
根据所述域名,使用所述第二密钥和所述域名生成所述第一密钥。
第四方面,本发明实施例提供了一种用户设备,所述用户设备包括:
接收单元,用于接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;
检测单元,用于根据所述域名,检测自身是否存有与所述域名对应的第一密钥;
发送单元,用于若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若未检测到与所述域名对应的第一密钥,所述还包括:
所述检测单元,还用于检测自身是否存有与所述当前业务侧服务器对应的第二密钥;
所述发送单元,用于若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息包括所述第一标识以及所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述检测单元,还用于检测是否存有与所述当前业务侧服务器对应的第二密钥;
所述发送单元,用于若未检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息包括所述第二标识以及所述域名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元包括:
第一检测模块,用于检测是否存有所述第一密钥,或者,检测是否存有所述第一密钥的衍生密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元包括:
第二检测模块,用于检测是否存有所述第二密钥,或者,检测是否存有所述第二密钥的衍生密钥。
第五方面,本发明实施例提供了一种网络实体,所述网络实体包括:
第一发送单元,用于向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;
接收单元,用于接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;
生成单元,用于生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;
第二发送单元,用于将所述AAA消息发送给当前业务侧服务器;
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
第六方面,本发明实施提供了一种业务侧服务器,所述业务侧服务器包括:
接收单元,用于接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息,所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名;
生成单元,用于根据所述第一标识或者第二标识中的一种及域名,生成第一密钥和第三密钥;
发送单元,用于发送AAA应答消息给网络实体,所述AAA应答消息中至少包括所述第一密钥和所述第三密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述生成单元具体用于:
根据所述第一标识查找所述第一标识相关的第二密钥及其衍生密钥;
根据所述第二密钥和/或第二密钥的衍生密钥生成所述第三密钥;
根据所述第二密钥和所述域名生成所述第一密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述生成单元具体用于:
根据所述第一标识查找所述第一标识相关的第二密钥;
根据所述第二密钥生成所述第三密钥;
根据所述第二密钥和所述域名生成所述第一密钥。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述生成单元具体还用于:
根据所述第二标识,发起与用户设备间的认证方法交互流程;
在所述认证方法交互流程完成并成功验证后,生成所述第三密钥,和,第二密钥或第二密钥及其衍生密钥;
根据所述域名,使用所述第二密钥和所述域名生成第一密钥。
第七方面,本发明实施例提供了一种用户设备,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行第一方面任一项所述的方法。
第八方面,本发明实施例提供了一种网络实体,其特征在于,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行第二方面中所述的方法。
第九方面,本发明实施例提供了一种业务侧服务器,其特征在于,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行第三方面任一项所述的方法。
上述技术方案中的一个技术方案具有如下有益效果:
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种认证方法的流程示意图;
图2是本发明实施例提供的另一种认证方法的流程示意图;
图3是本发明实施例提供的另一种认证方法的流程示意图;
图4是本发明实施例提供的另一种认证方法的流程示意图;
图5是本发明实施例提供的一种用户设备的结构示意图;
图6是本发明实施例提供的一种网络实体的结构示意图;
图7是本发明实施例提供的一种业务侧服务器的结构示意图;
图8是本发明实施例提供的另一种用户设备的结构示意图;
图9是本发明实施例提供的另一种网络实体的结构示意图;
图10是本发明实施例提供的另一种业务侧服务器的结构示意图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述标识,但这些标识不应限于这些术语。这些术语仅用来将标识彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一也标识可以被称为第二标识,类似地,第二标识也可以被称为第一标识。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
本发明实施例给出一种认证方法,请参考图1,其为本发明实施例所提供的认证方法的流程示意图,如图1所示,该方法包括以下步骤:
102、接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名。
其中,域名唯一标识网络侧服务器所在的域。
104、根据域名,检测自身是否存有与域名对应的第一密钥。
其中,本发明实施例中第一密钥是基于网络实体所在域的域名生成的,第一密钥唯一对应一个域名。
106、若未检测到与域名对应的第一密钥,发送认证应答消息至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息以及将AAA消息发送给当前业务侧服务器。
其中,认证应答信息与认证应答消息相关,且认证应答信息中包括第一标识或第二标识中的一种,以及,域名。
其中,第一标识为密钥相关的标识,如EMSKname@domainname,第二标识为用户设备的身份标识,如用户设备与业务提供商签约的标识,或者分配的证书等。
在本发明实施例中,域名唯一标识网络侧服务器所在的域,且第一密钥唯一对应一个域名,若用户设备未检测到与域名对应的第一密钥,可以理解为,用户设备切换了所使用的网络侧服务器,用户设备可能未与当前接入的网络侧服务器认证过,或者,与当前接入的网络侧服务器之前进行的认证已无效。也就是说,当未检测到与域名对应的第一密钥,表明需要分配与域名对应的第一密钥,以实现用户设备接入当前网络的认证过程。
具体的,步骤104根据域名,检测自身是否存有与域名对应的第一密钥的实现过程可以为:根据域名,查找与该域名对应第一密钥,若能够查找到与域名对应第一密钥,则说明用户设备中存储有第一密钥;否则,则说明用户设备中没有第一密钥;或者,步骤104根据域名,检测自身是否存有与域名对应的第一密钥的实现过程还可以为:根据域名,查找与该域名对应第一密钥的衍生密钥,若能够查找到与域名对应第一密钥的衍生密钥,则说明用户设备中存储有第一密钥;否则,则说明用户设备中没有第一密钥。其中,通过查找第一密钥的衍生密钥来检测是否存有第一密钥,可以进一步提高检测的准确性,而通过查找第一密钥本身的方式来检测是否存有第一密钥,可以提供检测的速度。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
另外,由于用户设备在未检测到与域名对应的第一密钥,即用户设备确定需要分配与域名对应的第一密钥,才将当前网络实体所在域的域名通过认证应答消息发送至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息,并将AAA消息发送给当前业务侧服务器,因此,当前网络实体发送AAA消息中包含有当前网络实体的域名时,就可以触发当前业务侧服务器分配第一密钥,从而,当前网络实体发送给当前业务侧服务器AAA消息中也可以不携带用于请求分配第一密钥的请求信息,进而简化了AAA消息中携带的信息,降低网络开销。
由于NHN网是网络提供商和业务提供商分离的,一个业务提供商可以使同一个网络提供商提供的多个网络,也可以使用一个网络提供商提供的多个网络,即一个业务侧服务器可以使用一个或多个网络侧服务器提供的网络;而同一网络侧服务器可以支持一个或者多个业务侧服务器。基于NHN网的这个特性,用户设备切换了所使用的网络侧服务器后,可能用户设备接入的上一个网络与用户设备请求接入的当前网络使用的是同一个业务侧服务器PSP提供的业务,也可能用户设备接入的上一个网络可能与用户设备请求接入的当前网络使用的不是一个业务侧服务器PSP提供的业务,因此,还可以进一步提供确定所使用的业务侧服务器是否改变,而为实现这一目的,本发明实施提供了另一种实现方法,该方法的流程图如图2所示,若用户设备未检测到与域名对应的第一密钥之后,该方法还包括:
201、检测自身是否存有与所述当前业务侧服务器对应的第二密钥。当检测出自身存有与当前业务侧服务器对应的第二密钥,进入步骤202,否则,执行步骤203。
在一个具体实施例中,第二密钥与对应的业务侧服务器为关联存储,用户设备与每个业务侧服务器认证后,会为每个业务侧服务器分配存储空间,以存储每个业务侧服务器相关的信息,用户设备可以调用存储空间中的相关信息,从而检测这些相关信息中是否有当前业务侧服务器对应的第二密钥。
具体的,检测当前业务侧服务器对应的第二密钥可以通过检测是否存有第二密钥的相关信息来判断。例如,第二密钥为EMSK,与第二密钥的相关信息为EMSK密钥名称等,检测用户设备内是否存储有EMSK密钥名称,当检测到EMSK密钥名称时,则可以理解为,用户设备中存在与当前业务侧服务器对应的EMSK;当用户设备未检测到EMSK密钥名称时,则可以理解为,用户设备中不存在与当前业务侧服务器对应的EMSK。
具体的,检测当前业务侧服务器对应的第二密钥可以通过检测是否存有第二密钥的衍生密钥来判断。例如,第二密钥为ESMK,其衍生密钥包括根密钥dRK和完整性认证密钥dlk中的至少一种,检测用户设备内是否存储根密钥dRK和/或完整性认证密钥dlk,当检测到dRK和/或dlk时,则可以理解为,用户设备中存在与当前业务侧服务器对应的EMSK;当用户设备未检测到dRK和dlk中的任意一种时,则可以理解为,用户设备中不存在与当前业务侧服务器对应的EMSK。
此外,用户设备也可以通过直接判断是否存储有第二密钥本身来确定,从而,可以快速地确定出用户设备中是否存储有第二密钥。
202、若检测到与当前业务侧服务器对应的第二密钥,发送认证应答消息至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息,其中,该认证应答信息包括第一标识以及当前网络实体所在域的域名。
当用户设备中检测到第二密钥时,说明用户设备在接入的上一网络与用户设备请求接入的当前网络使用的是同一个PSP提供的业务,也就是说,与同一个PSP签约,当前业务侧服务器中也存储有该用户设备通过上一网络进行认证后的密钥EMSK,所以将第一标识和当前网络实体的域名通过认证应答消息至当前网络实体,以使得当前网络实体生成包含认证应答信息的AAA消息,当前网络实体将AAA消息发送至当前业务侧服务器,而当前业务侧服务器接收到AAA消息后,可以直接根据第一标识从业务侧服务器内查找与此用户设备对应的密钥EMSK,从而,根据用户设备对应的密钥EMSK以及域名生成第一密钥DSRK,以及用于与用户设备进行安全认证的第三密钥rMSK。
203、若未检测到与当前业务侧服务器对应的第二密钥,发送认证应答消息至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息,其中,该认证应答信息包括第二标识以及当前网络实体所在域的域名。
当用户设备中未检测到第二密钥时,说明用户设备在接入的上一网络与用户设备请求接入的当前网络使用的不是同一个PSP提供的业务,也就是说,未与当前业务侧服务器签约过,需要通过EAP Method exchange(认证方法交互流程)过程进行认证,因此,将第二标识和当前网络实体的域名通过认证应答消息至当前网络实体,以使得当前网络实体生成包含认证应答信息的AAA消息,当前网络实体将AAA消息发送至当前业务侧服务器,而当前业务侧服务器接收到AAA消息后,当前业务侧服务器发起与该用户设备间的认证方法交互流程,在认证方法交互流程完成并成功验证后,生成第三密钥,以及第二密钥,然后,根据域名,使用第二密钥和域名生成第一密钥。其中,在认证方法交互流程完成并成功验证,生成第二密钥之后,还可以生成第二密钥的衍生密钥。
图3示出本发明的另一种认证方法的流程示意图。
如图3所述,该认证方法应用于网络实体中,所述方法包括:
303、向用户设备发送认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名。
304、接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名。
306、生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息。
308、将所述AAA消息发送给所述当前业务侧服务器。
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
具体的,当前网络实体包括移动管理单元MME和网络侧服务器LocalSever AAA。移动管理单元向用户设备发送认证请求消息,以发起认证,所述认证请求消息中携带有所述当前网络实体所在域的域名,然后,移动管理单元接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名,移动管理单元将认证应答消息进行处理,将认证应答消息中的认证应答信息封装在AAA消息中,生成AAA消息,且将AAA消息发送给网络侧服务器,从而,网络侧服务器将接收到AAA消息转发给当前业务侧服务器。其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
图4示出本发明的另一种认证方法的流程示意图。
如图4所述,该一种认证方法,应用于业务侧服务器中,所述方法包括:
402、接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息;所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名。
404、根据所述第一标识或者第二标识中的一种,以及,所述域名,生成第一密钥和第三密钥。
406、发送AAA应答消息给网络实体,所述AAA应答消息中至少包括第一密钥和第三密钥。
基于AAA消息中的认证应答信息的不同,即认证应答信息中包含的标识不同,针对于生成第一密钥和第三密钥的实现提供了两种实现方式:
第一种实现方式为:当认证应答消息中至少包含域名及第一标识时,根据所述域名及第一标识,生成第一密钥和第三密钥包括:根据所述第一标识查找所述第一标识相关的第二密钥,根据所述第二密钥和/或第二密钥的衍生密钥生成第三密钥;根据所述第二密钥和所述域名生成第一密钥。
第一种实现方式为:当认证应答消息中至少包含域名及第二标识时,根据所述域名及第二标识,生成第一密钥和第三密钥包括,根据所述第二标识,发起与用户设备间的认证方法交互流程;在认证方法交互流程完成并成功验证后,生成第三密钥,和,第二密钥或第二密钥及其衍生密钥;根据所述域名,使用所述第二密钥和所述域名生成第一密钥。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
另外,用户设备中已存有请求接入的当前网络实体所在域的域名,因此,当前业务侧服务器向当前网络实体发送AAA应答消息中可以不携带当前网络实体所在域的域名,以及后续当前网络实体与用户设备之间发送的消息中可以不携带当前网络实体所在域的域名,从而在一定程度上减低对其他消息的扩展,以及,降低网络开销。
本发明实施例提供了一种用户设备,该用户设备的结构图如图5所示,该用户设备包括:
接收单元51,用于接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名。
检测单元52,用于根据所述域名,检测自身是否存有与所述域名对应的第一密钥。
发送单元53,用于若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息。
其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。
可选地,本发明实施例中,检测单元52若未检测到与所述域名对应的第一密钥,
检测单元52,还用于检测用户设备中是否存有与所述当前业务侧服务器对应的第二密钥。
所述发送单元53,用于若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息。
其中,所述认证应答信息包括第一标识以及域名。
可选地,本发明实施例中,
所述检测单元52,还用于检测是否存有与所述当前业务侧服务器对应的第二密钥。
所述发送单元53,用于若未检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息。
其中,所述认证应答信息包括第二标识以及域名。
可选地,本发明实施例中,检测单元52包括:第一检测模块,用于检测是否存有第一密钥,或者,检测是否存有第一密钥的衍生密钥。
可选地,本发明实施例中,检测单元52包括:第二检测模块,用于检测是否存有第二密钥,或者,检测是否存有第二密钥的衍生密钥。
由于本实施例中的各单元能够执行图1所示的方法,本实施例未详细描述的部分,可参考对图1的相关说明。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
另外,由于用户设备在未检测到与域名对应的第一密钥,即用户设备确定需要分配与域名对应的第一密钥,才将当前网络实体所在域的域名通过认证应答消息发送至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息,并将AAA消息发送给当前业务侧服务器,因此,当前网络实体发送AAA消息中包含有当前网络实体的域名时,就可以触发当前业务侧服务器分配第一密钥,从而,当前网络实体发送给当前业务侧服务器AAA消息中也可以不携带用于请求分配第一密钥的请求信息,进而简化了AAA消息中携带的信息,降低网络开销。
本发明实施例提供了一种网络实体,该用户设备的结构图如图6所示,该网络实体包括:
第一发送单元61,用于向用户设备发送认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名。
接收单元62,用于接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名。
生成单元63,用于生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息。
第二发送单元64,用于将所述AAA消息发送给所述当前业务侧服务器。
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
由于本实施例中的各单元能够执行图3所示的方法,本实施例未详细描述的部分,可参考对图3的相关说明。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
本发明实施例提供了一种业务侧服务器,该业务侧服务器的结构图如图7所示,该业务侧服务器包括:
接收单元71,用于接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息,所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名。
生成单元72,用于根据所述第一标识或者第二标识中的一种及域名,生成第一密钥和第三密钥。
发送单元73,用于发送AAA应答消息给网络实体,所述AAA应答消息中至少包括第一密钥和第三密钥。
可选地,本发明实施中,生成单元72具体用于:
根据所述第一标识查找所述第一标识相关的第二密钥及其衍生密钥,或者,第二密钥;
根据所述第二密钥和/或第二密钥的衍生密钥生成第三密钥;
根据所述第二密钥和所述域名生成第一密钥。
可选地,本发明实施例中,生成单元72具体用于:
根据所述第一标识查找所述第一标识相关的第二密钥;
根据所述第二密钥生成第三密钥;
根据所述第二密钥和所述域名生成第一密钥。
可选地,本发明实施例中,生成单元72具体还用于:
根据所述第二标识,发起与用户设备间的认证方法交互流程;
在所述认证方法交互流程完成并成功验证后,生成第三密钥,和,第二密钥或第二密钥及其衍生密钥;
根据所述域名,使用所述第二密钥和所述域名生成第一密钥。
由于本实施例中的各单元能够执行图4所示的方法,本实施例未详细描述的部分,可参考对图4的相关说明。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
另外,用户设备中已存有请求接入的当前网络实体所在域的域名,因此,当前业务侧服务器向当前网络实体发送AAA应答消息中可以不携带当前网络实体所在域的域名,以及后续当前网络实体与用户设备之间发送的消息中可以不携带当前网络实体所在域的域名,从而在一定程度上减低对其他消息的扩展,以及,降低网络开销。
本发明实施例提供了一种用户设备,其用户设备的结构图如图8所示,该用户设备包括至少一个处理器810;以及,与所述至少一个处理器810通信连接的存储器820;
其中,所述存储器820存储有可被所述至少一个处理器810执行的指令,所述指令被设置为用于执行上述认证方法。
本发明实施例提供了一种网络实体,其网络实体的结构图如图9所示,包括至少一个处理器910;以及,与所述至少一个处理器910通信连接的存储器920;
其中,所述存储器920存储有可被所述至少一个处理器910执行的指令,所述指令被设置为用于执行上述认证方法。
本发明实施例提供了一种业务侧服务器,其业务侧服务器的结构图如图10所示,包括至少一个处理器1000;以及,与所述至少一个处理器1000通信连接的存储器1010;
其中,所述存储器1010存储有可被所述至少一个处理器1000执行的指令,所述指令被设置为用于执行上述认证方法。
AAA消息用于触发业务侧服务器执行认证流程,AAA消息中需要携带用户设备接入的网络实体的域名、用户设备标识以及用户设备发送给网络实体的认证应答信息,也就是说,AAA消息需要分别为网络实体的域名、用户设备标识以及认证应答信息分配承载这些信息的存储位置。而本发明实施例,在发起认证时,将当前网络实体所在域的域名携带在认证请求消息中,使得用户设备将当前网络实体的域名携带在认证应答消息中,发送给网络实体,从而,AAA消息中的认证应答信息与用户设备发送认证应答消息对应,由于AAA消息中的认证应答信息中已包含有当前网络实体的域名,所以AAA消息也就不需要在额外携带当前网络实体所在域的域名,从而避免对AAA消息的额外扩展,如此,解决了现有技术中在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难的问题。
另外,由于用户设备在未检测到与域名对应的第一密钥,即用户设备确定需要分配与域名对应的第一密钥,才将当前网络实体所在域的域名通过认证应答消息发送至当前网络实体,使得当前网络实体生成包含认证应答信息的AAA消息,并将AAA消息发送给当前业务侧服务器,因此,当前网络实体发送AAA消息中包含有当前网络实体的域名时,就可以触发当前业务侧服务器分配第一密钥,从而,当前网络实体发送给当前业务侧服务器AAA消息中也可以不携带用于请求分配第一密钥的请求信息,进而简化了AAA消息中携带的信息,降低网络开销。
另外,用户设备中已存有请求接入的当前网络实体所在域的域名,因此,当前业务侧服务器向当前网络实体发送AAA应答消息中可以不携带当前网络实体所在域的域名,以及后续当前网络实体与用户设备之间发送的消息中可以不携带当前网络实体所在域的域名,从而在一定程度上减低对其他消息的扩展,以及,降低网络开销。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种认证方法,其特征在于,应用于用户设备中,包括:
接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;
根据所述域名,检测自身是否存有与所述域名对应的第一密钥;
若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。
2.根据权利要求1所述的方法,其特征在于,若未检测到与所述域名对应的第一密钥,所述方法还包括:
检测自身是否存有与所述当前业务侧服务器对应的第二密钥;
若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息包括所述第一标识以及所述域名。
3.一种认证方法,其特征在于,应用于网络实体中,所述方法包括:
向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;
接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;
生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;
将所述AAA消息发送给当前业务侧服务器;
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
4.一种认证方法,其特征在于,应用于业务侧服务器中,所述方法包括:
接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息;所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名;
根据所述第一标识或者第二标识中的一种,以及,所述域名,生成第一密钥和第三密钥;
发送AAA应答消息给网络实体,所述AAA应答消息中至少包括所述第一密钥和所述第三密钥。
5.一种用户设备,其特征在于,所述用户设备包括:
接收单元,用于接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;
检测单元,用于根据所述域名,检测自身是否存有与所述域名对应的第一密钥;
发送单元,用于若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;
其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。
6.一种网络实体,其特征在于,所述网络实体包括:
第一发送单元,用于向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;
接收单元,用于接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;
生成单元,用于生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;
第二发送单元,用于将所述AAA消息发送给当前业务侧服务器;
其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。
7.一种业务侧服务器,其特征在于,所述业务侧服务器包括:
接收单元,用于接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息,所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名;
生成单元,用于根据所述第一标识或者第二标识中的一种及域名,生成第一密钥和第三密钥;
发送单元,用于发送AAA应答消息给网络实体,所述AAA应答消息中至少包括所述第一密钥和所述第三密钥。
8.一种用户设备,其特征在于,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行权利要求1至2中任一项所述的方法。
9.一种网络实体,其特征在于,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行权利要求3所述的方法。
10.一种业务侧服务器,其特征在于,包括至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行权利要求4所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810404655.3A CN108540493B (zh) | 2018-04-28 | 2018-04-28 | 认证方法、用户设备、网络实体以及业务侧服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810404655.3A CN108540493B (zh) | 2018-04-28 | 2018-04-28 | 认证方法、用户设备、网络实体以及业务侧服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108540493A true CN108540493A (zh) | 2018-09-14 |
| CN108540493B CN108540493B (zh) | 2021-05-04 |
Family
ID=63475728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810404655.3A Active CN108540493B (zh) | 2018-04-28 | 2018-04-28 | 认证方法、用户设备、网络实体以及业务侧服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108540493B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351040A (zh) * | 2020-11-10 | 2021-02-09 | 宏图智能物流股份有限公司 | 一种应用于物流网络的网络请求有效性验证方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101695165A (zh) * | 2009-09-01 | 2010-04-14 | 深圳华为通信技术有限公司 | 切换方法、装置和系统 |
| CN102045173A (zh) * | 2009-10-12 | 2011-05-04 | 华为终端有限公司 | 用户设备的认证方法、装置和系统 |
| US20110129088A1 (en) * | 2009-12-01 | 2011-06-02 | Samsung Electronics Co., Ltd. | Method and system for authenticating a mobile terminal in a wireless communication system |
| CN102449973A (zh) * | 2009-07-03 | 2012-05-09 | 华为技术有限公司 | 一种获取本地域名的方法、装置及系统 |
| CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
| CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
| CN107079030A (zh) * | 2014-11-11 | 2017-08-18 | 高通股份有限公司 | 在无线站向认证服务器的重新认证期间的隐私 |
-
2018
- 2018-04-28 CN CN201810404655.3A patent/CN108540493B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102449973A (zh) * | 2009-07-03 | 2012-05-09 | 华为技术有限公司 | 一种获取本地域名的方法、装置及系统 |
| CN101695165A (zh) * | 2009-09-01 | 2010-04-14 | 深圳华为通信技术有限公司 | 切换方法、装置和系统 |
| CN102045173A (zh) * | 2009-10-12 | 2011-05-04 | 华为终端有限公司 | 用户设备的认证方法、装置和系统 |
| US20110129088A1 (en) * | 2009-12-01 | 2011-06-02 | Samsung Electronics Co., Ltd. | Method and system for authenticating a mobile terminal in a wireless communication system |
| CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
| CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
| CN107079030A (zh) * | 2014-11-11 | 2017-08-18 | 高通股份有限公司 | 在无线站向认证服务器的重新认证期间的隐私 |
Non-Patent Citations (2)
| Title |
|---|
| RAFAL CHRABASZCZ: "Fast re-authentication of mobile devices with EAP Re-authentication Protocol (ERP)", 《2012 15TH INTERNATIONAL TELECOMMUNICATIONS NETWORK STRATEGY AND PLANNING SYMPOSIUM (NETWORKS)》 * |
| 朱丽: "认知无线网络密钥协商及身份认证机制研究", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351040A (zh) * | 2020-11-10 | 2021-02-09 | 宏图智能物流股份有限公司 | 一种应用于物流网络的网络请求有效性验证方法 |
| CN112351040B (zh) * | 2020-11-10 | 2022-07-29 | 宏图智能物流股份有限公司 | 一种应用于物流网络的网络请求有效性验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108540493B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
| EP2617222B1 (en) | Dynamic account creation with secured hotspot network | |
| EP3408988B1 (en) | Method and apparatus for network access | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
| US10880291B2 (en) | Mobile identity for single sign-on (SSO) in enterprise networks | |
| CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| WO2017219673A1 (zh) | VoWiFi网络接入方法和系统、终端 | |
| US9226153B2 (en) | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP | |
| CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
| US20130114463A1 (en) | System and Method for Domain Name Resolution for Fast Link Setup | |
| US11706823B2 (en) | Communication management and wireless roaming support | |
| CN101662768B (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| CN113242591B (zh) | 一种网络接入方法和装置 | |
| CN109391937B (zh) | 公钥的获取方法、设备及系统 | |
| CN108540493B (zh) | 认证方法、用户设备、网络实体以及业务侧服务器 | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| US9602493B2 (en) | Implicit challenge authentication process | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| CN113543131A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| JP4371249B1 (ja) | 通信システム、サーバ装置、情報通知方法、プログラム | |
| WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210315 Address after: 518054 room 1201, TCL Industrial Research Institute building, 006 Gaoxin South 1st Road, high tech Zone community, Yuehai street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: Shenzhen baicaibang Technology Co.,Ltd. Address before: 100085 Beijing Haidian District city information industry base development road 1, 3 tier 3001 Applicant before: Beijing Bai Caibang Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |