CN108738019B - 融合网络中的用户认证方法及装置 - Google Patents
融合网络中的用户认证方法及装置 Download PDFInfo
- Publication number
- CN108738019B CN108738019B CN201710277650.4A CN201710277650A CN108738019B CN 108738019 B CN108738019 B CN 108738019B CN 201710277650 A CN201710277650 A CN 201710277650A CN 108738019 B CN108738019 B CN 108738019B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network element
- parameter
- type
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 114
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 43
- 239000013256 coordination polymer Substances 0.000 description 42
- 238000004891 communication Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 28
- 230000015654 memory Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 20
- 230000009286 beneficial effect Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种融合网络中的用户认证方法及装置。其中的方法包括:接入网元接收来自终端设备的认证协商请求,认证协商请求用于协商确定终端设备的认证参数,并发送认证参数请求给控制网元,以及接收来自控制网元的至少一种认证参数,以及在至少一种认证参数中确定终端设备和控制网元均支持的其中一种认证参数,并获取终端设备的用户认证信息,并将用户认证信息和协商确定的认证参数发送给控制网元进行认证,接收来自控制网元的认证结果并发送给终端设备。还公开了相应的装置。本申请实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种融合网络中的用户认证方法及装置。
背景技术
目前,移动终端设备从第三代合作伙伴计划(3rd Generation PartnershipProject,3GPP)网络接入时,基于非接入层(Non-access stratum,NAS)承载可扩展的认证协议(Extensible Authentication Protocol,EAP)到移动核心网完成接入认证。
而固网终端设备(Customer Premises Equipment,CPE,又称客户前端设备)基于以太网的点对点协议(Point to Point Protocol over Ethernet,PPPoE)或基于以太的互联网协议(Internet Protocol over Ethernet,IPoE)到固网核心网完成接入认证。
由于固网终端与移动终端支持不同的协议栈,现有技术无法实现固网终端接入移动核心网。因此,对于需同时支持固网与移动网络的场景,需要部署两张核心网,分别管理移动终端与固网终端,这样会带来布网成本较高的问题。
为了应对无线宽带技术的挑战,保持3GPP网络的领先优势,3GPP标准组制定了下一代通信网络架构,如图1所示的下一代通信系统架构示意图。该架构不但支持3GPP标准组定义的无线技术(如长期演进(Long Term Evolution,LTE),第五代移动通信(5thGeneration,5G)等)接入核心网络侧(Core network),而且支持non-3GPP接入技术通过non-3GPP转换功能(non-3GPP Interworking Function,N3IWF)或下一代接入网元(nextGeneration packet data Gateway,ngPDG)接入核心网络侧,即可实现融合网络。而接入网络时,进行用户认证是必须的过程之一,目前尚未有融合网络中如何进行用户认证的方案。
发明内容
本申请提供了一种融合网络中的用户认证方法及装置,以解决融合网络中的用户认证问题。
本申请的一方面,提供了一种融合网络中的用户认证方法,所述方法包括:接入网元接收来自终端设备的认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;所述接入网元发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型;所述接入网元接收来自所述控制网元的至少一种认证参数并发送所述至少一种认证参数给所述终端设备,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;所述接入网元在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数,并获取所述终端设备的用户认证信息,并将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证;所述接入网元接收来自所述控制网元的认证结果并发送所述认证结果给所述终端设备。在该实现方式中,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。在该实现方式中,终端设备也可以提供所支持的认证类型,但最终采用哪种认证类型进行认证,需要终端设备与接入网元进行协商,控制网元可以优选采用终端设备所支持的认证类型。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。在该实现方式中,PAP是一种简单的认证类型,可实现快速的认证。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。在该实现方式中,CHAP是一种安全性较高的认证类型,可实现安全、可靠的认证。
在又一种实现方式中,所述终端设备包括移动终端设备或固网终端设备。
本申请的另一方面,提供了一种融合网络中的用户认证方法,所述方法包括:终端设备向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;所述终端设备接收来自所述接入网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;所述终端设备在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数,并向所述接入网元发送用户认证信息;所述终端设备接收来自所述接入网元的认证结果。在该实现方式中,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。在该实现方式中,终端设备也可以提供所请求的认证类型,但最终采用哪种认证类型进行认证,需要终端设备与接入网元进行协商,控制网元可以优选采用终端设备所支持的认证类型。
在又一种实现方式中,所述终端设备包括移动终端设备或固网终端设备。
本申请的又一方面,提供了一种融合网络中的用户认证方法,所述方法包括:控制网元接收来自接入网元的认证参数请求,所述认证参数请求包括:终端设备接入所述接入网元的接入协议类型;所述控制网元根据所述认证参数请求,生成至少一种认证参数,并将所述至少一种认证参数发送给所述接入网元,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数;所述控制网元接收来自所述接入网元的用户认证信息、以及所述至少一种认证参数中的所述终端设备和所述控制网元均支持的其中一种认证参数,并采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果;所述控制网元将所述认证结果发送给所述接入网元。在该实现方式中,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。在该实现方式中,终端设备也可以提供所请求的认证类型,但最终采用哪种认证类型进行认证,需要终端设备与接入网元进行协商,控制网元可以优选采用终端设备所支持的认证类型。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。在该实现方式中,PAP是一种简单的认证类型,可实现快速的认证。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。在该实现方式中,CHAP是一种安全性较高的认证类型,可实现安全、可靠的认证。
在又一种实现方式中,所述终端设备包括移动终端设备或固网终端设备。
本申请的再一方面,提供了一种接入网元,该接入网元具有实现上述方法中接入网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
基于同一发明构思,由于该装置解决问题的原理以及有益效果可以参见上述各可能的接入网元的方法实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请的再一方面,提供了一种终端设备,该终端设备具有实现上述方法中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
基于同一发明构思,由于该装置解决问题的原理以及有益效果可以参见上述各可能的终端设备的方法实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请的再一方面,提供了一种控制网元,该控制网元具有实现上述方法中控制网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
基于同一发明构思,由于该装置解决问题的原理以及有益效果可以参见上述各可能的控制网元的方法实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请的再又一方面,提供了一种融合网络中的用户认证方法,所述方法包括:接入网元接收来自终端设备的认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;所述接入网元确定所述终端设备进行用户认证的认证类型为明文认证;所述接入网元接收来自所述终端设备的用户认证信息,并将所述用户认证信息和所述认证类型发送给所述控制网元进行认证;所述接入网元接收来自所述控制网元的认证结果并发送所述认证结果给所述终端设备。在该实现方式中,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
在一种实现方式中,所述接入网元确定所述终端设备的认证类型为明文认证,包括:所述接入网元配置所述终端设备的认证类型为明文认证;所述接入网元向所述终端设备发送认证类型的协商请求,所述协商请求用于协商所述认证类型为明文认证;所述接入网元接收来自所述终端设备的第一协商反馈消息,所述第一协商反馈消息用于指示所述终端设备同意所述认证类型为明文认证。
在另一种实现方式中,所述接入网元确定所述终端设备的认证类型为明文认证,包括:所述接入网元根据所述认证协商请求确定所述终端设备的认证类型为明文认证,其中,所述认证协商请求还用于指示所述终端设备所支持的认证类型为明文认证;所述接入网元向所述终端设备发送第二协商反馈消息,所述第二协商反馈消息用于指示所述接入网元同意所述认证类型为明文认证。
在又一种实现方式中,所述终端设备包括移动终端设备或固网终端设备。
本申请的再又一方面,提供了一种融合网络中的用户认证方法,所述方法包括:终端设备向接入网元发送认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;所述终端设备确定用户认证的认证类型为明文认证;所述终端设备向所述接入网元发送用户认证信息;所述终端设备接收来自所述接入网元的认证结果。在该实现方式中,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
在一种实现方式中,所述终端设备确定用户认证的认证类型为明文认证,包括:所述终端设备接收来自所述接入网元的协商请求,所述协商请求用于协商所述认证类型为明文认证;所述终端设备向所述接入网元发送第一协商反馈消息,所述第一协商反馈消息用于指示所述终端设备同意所述认证类型为明文认证。
在另一种实现方式中,所述终端设备确定用户认证的认证类型为明文认证,包括:所述终端设备接收来自所述接入网元的第二协商反馈消息,所述第二协商反馈消息用于指示所述接入网元同意所述认证类型为明文认证。
在又一种实现方式中,所述终端设备包括移动终端设备或固网终端设备。
本申请的再又一方面,提供了一种接入网元,该接入网元具有实现上述方法中接入网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
基于同一发明构思,由于该装置解决问题的原理以及有益效果可以参见上述各可能的接入网元的方法实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请的再又一方面,提供了一种终端设备,该终端设备具有实现上述方法中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
基于同一发明构思,由于该装置解决问题的原理以及有益效果可以参见上述各可能的终端设备的方法实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请的又一方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请的又一方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1为示例的通信系统架构示意图;
图2为本发明实施例提供的一种融合网络中的用户认证方法的交互示意图;
图3为本发明实施例提供的另一种融合网络中的用户认证方法的交互示意图;
图4为本发明实施例提供的一种接入网元的模块示意图;
图5为本发明实施例提供的一种终端设备的模块示意图;
图6为本发明实施例提供的一种控制网元的模块示意图;
图7为本发明实施例提供的另一种接入网元的模块示意图;
图8为本发明实施例提供的另一种终端设备的模块示意图;
图9为本发明实施例提供的一种接入网元/终端设备/控制网元的硬件架构示意图。
具体实施方式
下面结合本发明实施例中的附图对本发明实施例进行描述。
本发明的各个实施例涉及的通信系统主要包括:接入网元、用户面功能网元和控制面网元,其中,控制面网元又可以称为控制网元。其中,接入网元主要负责终端设备(UserEquipment,UE)的接入管理,用户面功能网元主要负责分组数据包的转发、QoS控制、计费信息统计等;控制面功能网元主要负责用户认证、向用户面下发数据包转发策略、QoS控制策略等。该通信系统可以是5G通信系统(例如新空口(New Radio,NR)系统、多种通信技术融合的通信系统(例如LTE技术和NR技术融合的通信系统),或者后续演进通信系统。本发明实施例中的终端设备可以是固网终端设备;也可以是移动终端设备,例如可以是具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中终端设备可以叫做不同的名称,例如:用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)、5G网络或未来演进网络中的终端设备等。
本发明实施例主要涉及终端设备、接入网元和控制网元之间的通信,进行用户的认证。本发明实施例中,终端设备通过发送认证协商请求,请求协商确定终端设备的认证参数,该认证协商请求包括终端设备的接入协议类型,接入网元发送认证参数请求给控制网元,控制网元生成与终端设备的接入协议类型对应的至少一种认证参数,并将认证参数发送给接入网元,接入网元与终端设备协商确定终端设备和控制网元共同支持的一种认证参数,接入网元将确定的认证参数和从终端设备接收到的用户认证信息发送给控制网元进行用户认证,得到认证结果。因此,采用本发明实施例提供的一种融合网络中的用户认证方法及装置,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
图1为示例的5G通信系统架构示意图。在该通信系统架构中,主要包括接入网元(Access Network,AN)或无线接入网元(Radio Access Network,RAN)、用户面功能网元(User Plane Function,UPF)和控制面功能网元(Control Plane,CP)。AN、UPF和CP分别对应前面描述的接入网元、用户面功能网元和控制面功能网元。其中,UPF主要负责分组数据包的转发、QoS控制、计费信息统计等;CP主要负责向用户面下发数据包转发策略、QoS控制策略等。CP又具体包括接入及移动性管理网元(Access and Mobility ManagementFuntion,AMF)、会话管理网元(Session Management Funtion,SMF)、认证服务网元(Authentication Server Function,AUSF)、统一数据管理网元(Unified DataManagement,UDM)、策略控制功能网元(Policy Control Function,PCF)和应用功能网元(Application Function,AF)。其中,AMF用于在融合网络中进行接入管理;UDM用于管理用户签约信息。
UE接入融合网络的接入协议类型包括PPPoE、802.1X等。以UE的接入协议类型为PPPoE为例,可选地,UE与AN之间可先完成PPPoE发现过程,该发现过程可以包括以下步骤(未示出):
步骤1:UE发现接入网络,向AN发送PPPoE激活发现初始消息(PPPoE ActiveDiscovery Initiation,PADI),用于发起PPPoE发现流程。其中,发现接入网络是个逻辑过程,是为了说明发起PADI的时间点,一般是UE上电并建立物理链路,就认为接入网络了;也可以是手动的,比如点击PPPoE连接。
步骤2:AN选择AMF。其中,AMF是CP的一个组件,负责接入及移动性管理,如图1所示,但本实施例是将CP作为一个整体进行描述的,只是这里具体涉及CP的AMF组件时,才单独在该步骤中描述该AN与该AMF组件的交互。另外,AN可以基于预先的配置或者UE的接入协议类型等选择AMF。
步骤3:AN根据接收到的来自UE的PADI,生成注册(Registration)NAS消息,发送到CP。当然,该Registration NAS消息也可以说UE生成,然后发送给AN,在此不作限定。Registration NAS消息中携带网络接入标识(Network Access Identity,NAI),而NAI中又包含来自PADI的用户信息,例如:设备标识,线路标识(circuit ID),虚拟局域网标识(VlanID),用户物理地址(user MAC),主机名(host name)中的至少一个。
步骤4:AN和核心网络侧按照现有定义完成鉴权及注册过程,之后AN和UE侧完成PPPoE发现过程。具体来讲,又包括:步骤41)完成AN和核心网的鉴权过程,AN在这个过程中代替UE应答NAS消息;步骤42)核心网络侧应答注册完成消息;步骤43)AN分配会话标识(session ID),和UE之间完成PPPoE发现过程。
完成PPPoE发现过程之后,可进行PPPoE会话过程,其中,PPPoE会话过程又包括用户认证、IP地址分配和正式的会话。本发明实施例主要涉及其中的用户认证过程。
图2为本发明实施例提供的一种融合网络中的用户认证方法的交互示意图,该方法可应用于上述通信系统中。具体地,该方法可以包括以下步骤:
S101、终端设备向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数。
本实施例中,UE接入融合网络的接入协议类型包括PPPoE、802.1X、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)等,AN可以配置UE的接入协议类型,也可以是AN根据上述PPPoE发现过程中接收到的UE的用户报文确定UE的接入协议类型,在此不作限定。每种接入协议类型可对应一种或多种认证参数,而需要UE与CP之间使用相同的认证参数进行认证,才能顺利地完成用户的认证过程。因此,基于这些协议接入网络进行用户的认证,首先UE与AN之间需进行认证参数的协商。因此,例如,以PPPoE接入协议为例,UE向AN发送链路控制协议(Link Control Protocol,LCP)协商请求,作为认证协商请求,该LCP协商请求用于协商确定UE的认证参数,该LCP协商请求包括UE接入AN的接入协议类型。其中,认证参数包括认证类型、以及认证类型对应的参数。AN接收来自UE的LCP协商请求。
可选地,LCP协商请求也可以还包括UE支持的认证类型,或UE期望以哪种认证类型进行认证。
S102、所述接入网元发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型。
AN构建认证参数请求,该认证参数请求包括终端设备接入AN的接入协议类型。然后,AN将认证参数请求发送给CP。CP接收来自AN的认证参数请求。
可选地,如果LCP协商请求还包括UE支持的认证类型,则AN可以选择在认证参数请求中携带该UE支持的认证类型,也可以选择在认证参数请求中不携带该UE支持的认证类型。如果AN不携带该UE支持的认证类型,而AN从CP接收到的认证参数是与该接入协议类型对应的、CP支持的所有认证参数,则AN从CP接收到的认证参数一般会包含UE所支持的认证类型的。
S103、所述控制网元根据所述认证参数请求,生成至少一种认证参数,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数。
CP根据认证参数请求中包括的接入协议类型,选择与该接入协议类型对应的一种或多种认证类型;然后,由于CP之前已与UE完成鉴权和注册过程,CP已根据UE的用户信息获得UE的用户签约信息(用户签约信息是之前就存储在UDM中的),因此,CP根据UE的用户签约信息以及选择的认证类型,生成与每种认证类型对应的参数。CP自身存储该认证参数。具体地,由CP中的AUSF模块生成认证参数。
认证类型包括简单密码认证协议(Password Authentication Protocol,PAP)或挑战握手协议(Challenge Handshake Authentication Protocol,CHAP)等。对于PAP,其对应的参数为空,即其参数为:{PAP:NULL},或者在认证参数中不包括PAP对应的参数。对于CHAP,其对应的参数包括:算法、挑战标识、和/或挑战标识长度,例如,其参数为:{CHAP:{算法:5(MD5);Challenge ID Length:16;Challenge ID:****}}。需要说明的是,示例中的参数表示方式仅是为了示例参数内容,并不限定其具体表示方式。
可选的,如果CP接收到的认证参数请求中包含接入协议类型,以及支持的认证类型,在CP支持这种认证类型的情况下,则CP优先应答仅支持这种认证类型,并提供相应的参数信息。例如UE请求的认证类型为PAP,在CP同时支持PAP和CHAP两种认证类型的情况下,CP可以应答支持的认证类型为:PAP。
S104、所述控制网元将所述至少一种认证参数发送给所述接入网元。
S105、所述接入网元将所述至少一种认证参数发送给所述终端设备。
CP将生成的一种或多种认证参数发送给AN,AN接收来自CP的至少一种认证参数。AN将接收到的一种或多种认证参数发送给UE,UE接收来自AN的至少一种认证参数。
S106、所述接入网元在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数。
同样地,所述终端设备在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数。在本步骤中,协商过程可以有多种实现方式:可以是AN向UE发送协商请求,UE反馈其所支持的认证类型,然后AN再进行应答;也可以是UE向AN发送协商请求,该协商请求携带UE所支持的认证类型,AN进行应答。最终AN与UE协商确定出UE和CP均支持的其中一种认证参数。
可选地,对于前述的UE在LCP协商请求中携带UE所请求的认证类型的情况,AN可以应答CP支持或不支持该认证类型,或者AN让UE重新反馈在发送的一种或多种认证类型中UE所支持的认证类型。
S107、所述终端设备向所述接入网元发送用户认证信息。
在UE与AN协商确定好认证类型后,UE向AN发送与该认证类型对应的用户认证信息。用户认证信息例如是用户名和密码。AN接收来自UE的用户认证信息。
S108、所述接入网元将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证。
AN将与UE协商确定好的认证参数(具体协商的是认证类型)、以及UE发送的用户认证信息发送给CP进行认证。CP接收来自AN的用户认证信息和确定的其中一种认证参数。
S109、所述控制网元采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果。
CP根据认证参数,取得比对信息。例如如果是CHAP认证类型,则使用协商确定的认证参数和用户签约信息进行计算,获得比对信息;如果是PAP认证类型,则直接获取用户签约信息作为比对信息。之后使用比对信息和用户认证信息进行比对,从而完成认证过程。
例如,对于CHAP认证,其比对过程为:用户签约信息为(用户名:A,密码:B);认证参数例如为{算法:5(MD5);Change ID Length:16;Change ID:C},当CP接收到用户认证信息为:(用户名:A,密码:D)时,使用用户签约信息中的密码B和认证参数中的挑战标识C进行MD5计算,算出数字串E,之后进行比对。用户名都是A,密码D和数字串E如果相等,则用户合法,否则非法。
对于PAP认证,则对比用户名都为A后,直接对比密码D和签约信息B是否相等,如果相等,则用户合法,否则非法。
当然还可以采用其他现有认证过程,这里不作限定。
S110、所述控制网元将所述认证结果发送给所述接入网元。
认证结果包括认证通过,该用户为合法用户;或认证失败,该用户为非法用户。CP将该认证结果发送给AN,AN接收来自CP的认证结果。
S111、所述接入网元将所述认证结果发送给所述终端设备。
AN将CP的认证结果通知UE,UE接收来自AN的认证结果。该UE可以是移动终端设备或固网终端设备,任一终端设备都可以通过这种方式接入融合网络进行用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
根据本发明实施例提供的一种融合网络中的用户认证方法,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
图3为本发明实施例提供的另一种融合网络中的用户认证方法的交互示意图,该方法可应用于上述通信系统中。具体地,该方法可以包括以下步骤:
S201、终端设备向接入网元发送认证协商请求。
UE向AN发送认证协商请求,进行用户认证。该认证协商请求用于请求协商确定UE进行用户认证的认证类型。可选地,作为一种实现方式,该认证协商请求还可以用于指示UE所支持的认证类型为明文认证;作为另一种实现方式,则该认证协商请求不包含这种指示。AN接收来自UE的认证协商请求。
S202、所述接入网元与所述终端设备确定所述终端设备进行用户认证的认证类型为明文认证。
本实施例采用明文认证(即PAP认证)的认证类型,则AN无须向CP获取认证参数,直接由AN与UE协商确定进行用户认证的认证类型为明文认证。
具体地,作为一种实现方式,对于AN侧,所述接入网元确定所述终端设备的认证类型为明文认证,具体包括:所述接入网元配置所述终端设备的认证类型为明文认证;所述接入网元向所述终端设备发送认证类型的协商请求,所述协商请求用于协商所述认证类型为明文认证;所述接入网元接收来自所述终端设备的第一协商反馈消息,所述第一协商反馈消息用于指示所述终端设备同意所述认证类型为明文认证。对于UE侧,所述终端设备确定用户认证的认证类型为明文认证,具体包括:所述终端设备接收来自所述接入网元的协商请求,所述协商请求用于协商所述认证类型为明文认证;所述终端设备向所述接入网元发送第一协商反馈消息,所述第一协商反馈消息用于指示所述终端设备同意所述认证类型为明文认证。
在该实现方式中,AN配置UE的认证类型为明文认证,然后再与UE协商。
作为另一种实现方式,对于AN侧,所述接入网元确定所述终端设备的认证类型为明文认证,具体包括:所述接入网元根据所述认证协商请求确定所述终端设备的认证类型为明文认证,其中,所述认证协商请求还用于指示所述终端设备所支持的认证类型为明文认证;所述接入网元向所述终端设备发送第二协商反馈消息,所述第二协商反馈消息用于指示所述接入网元同意所述认证类型为明文认证。对于UE侧,所述终端设备确定用户认证的认证类型为明文认证,具体包括:所述终端设备接收来自所述接入网元的第二协商反馈消息,所述第二协商反馈消息用于指示所述接入网元同意所述认证类型为明文认证。
在该实现方式中,UE在认证协商请求中指示其所支持的认证类型为明文认证,然后AN反馈其是否同意采用明文认证的认证类型,从而完成协商过程。
S203、所述终端设备向所述接入网元发送用户认证信息。
在UE与AN协商确定好认证类型为明文认证后,UE向AN发送与该认证类型对应的用户认证信息。AN接收来自UE的用户认证信息。用户认证信息例如是用户名和密码。
S204、所述接入网元将所述用户认证信息和所述认证类型发送给控制网元进行认证。
AN将用户认证信息、以及认证类型为明文认证通知CP,由CP对该用户认证信息进行认证。CP接收来自AN的用户认证信息和认证类型。例如,用户签约信息为(用户名:A,密码:B),当CP接收到用户认证信息为:(用户名:A,密码:D)时,则对比用户名都为A后,直接对比密码D和签约信息B是否相等,如果相等,则用户合法,否则非法。
S205、所述控制网元根据所述认证类型对所述用户认证信息进行认证,得到认证结果。
S206、所述控制网元将所述认证结果发送给所述接入网元。
AN接收来自CP的认证结果。
S207、所述接入网元将所述认证结果发送给所述终端设备。
UE接收来自AN的认证结果。
本实施例中,通过终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
可选地,也可以AN直接配置UE不需认证,即不需要认证,当AN接收到LCP协商请求时,AN将该UE不需认证的指示发送给UE,则UE可以接入网络进行后续操作。
根据本发明实施例提供的一种融合网络中的用户认证方法,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
上述详细阐述了本发明实施例的方法,下面提供了本发明实施例的装置。
图4为本发明实施例提供的一种接入网元的模块示意图,该接入网元可以是上述通信系统中描述的接入网元。具体地,该接入网元1000包括:接收单元11、发送单元12和确定单元13;其中:
接收单元11,用于接收来自终端设备的认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
发送单元12,用于发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型;
所述接收单元11,还用于接收来自所述控制网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述发送单元12,还用于发送所述至少一种认证参数给所述终端设备;
确定单元13,用于在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数;
所述接收单元11,还用于获取所述终端设备的用户认证信息;
所述发送单元12还用于将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证;
所述接收单元11,还用于接收来自所述控制网元的认证结果;
所述发送单元12,还用于发送所述认证结果给所述终端设备。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
根据本发明实施例提供的一种接入网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
图5为本发明实施例提供的一种终端设备的模块示意图,该终端设备可以是上述通信系统中描述的终端设备。具体地,该终端设备2000包括:发送单元21、接收单元22和确定单元23;其中:
发送单元21,用于向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
接收单元22,用于接收来自所述接入网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
确定单元23,用于在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数;
所述发送单元21,还用于向所述接入网元发送用户认证信息;
所述接收单元22,还用于接收来自所述接入网元的认证结果。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
根据本发明实施例提供的一种终端设备,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
图6为本发明实施例提供的一种控制网元的模块示意图,该控制网元可以是上述通信系统中描述的控制网元。具体地,该控制网元3000包括:接收单元31、生成单元32、发送单元33和认证单元34;其中:
接收单元31,用于接收来自接入网元的认证参数请求,所述认证参数请求包括:终端设备接入所述接入网元的接入协议类型;
生成单元32,用于根据所述认证参数请求,生成至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数;
发送单元33,用于将所述至少一种认证参数发送给所述接入网元;
所述接收单元31,还用于接收来自所述接入网元的用户认证信息、以及接入网元所述至少一种认证参数中的所述终端设备和所述控制网元均支持的其中一种认证参数;
认证单元34,用于采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果;
所述发送单元33,还用于将所述认证结果发送给所述接入网元。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
根据本发明实施例提供的一种控制网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
图7为本发明实施例提供的另一种接入网元的模块示意图,该接入网元可以是上述通信系统中的接入网元。具体地,该接入网元4000可包括:接收单元41、确定单元42和发送单元43;其中:
接收单元41,用于接收来自终端设备的认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;
确定单元42,用于确定所述终端设备的认证类型为明文认证;
所述接收单元41,还用于接收来自所述终端设备的用户认证信息;
发送单元43,用于将所述用户认证信息和所述认证类型发送给控制网元进行认证;
所述接收单元41,还用于接收来自所述控制网元的认证结果;
所述发送单元43,还用于发送所述认证结果给所述终端设备。
根据本发明实施例提供的一种接入网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
图8为本发明实施例提供的另一种终端设备的模块示意图,该终端设备可以是上述通信系统中的终端设备。具体地,该终端设备5000可包括:发送单元51、确定单元52和接收单元53;其中:
发送单元51,用于向接入网元发送认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;
确定单元52,用于确定用户认证的认证类型为明文认证;
所述发送单元51,还用于向所述接入网元发送用户认证信息;
接收单元53,用于接收来自所述接入网元的认证结果。
根据本发明实施例提供的一种终端设备,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
本发明实施例还提供一种接入网元,该接入网元可以是上述通信系统中的接入网元,该接入网元可以采用图9所示的硬件架构。该接入网元可以包括接收器、发射器、存储器和处理器,所述接收器、发射器、存储器和处理器通过总线相互连接。图4中的接收单元11所实现的相关功能可以由接收器来实现,发送单元12所实现的相关功能可以由发射器来实现,确定单元13所实现的相关功能可以通过一个或多个处理器来实现。
存储器包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ReadOnly Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器用于相关指令及数据。
接收器用于接收数据和/或信号,以及发射器用于发送数据和/或信号。发射器和接收器可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个中央处理器(CentralProcessing Unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储网络设备的程序代码和数据。
具体地,所述接收器用于接收来自终端设备的认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
所述发射器用于发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型;
所述接收器还用于接收来自所述控制网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述发射器还用于发送所述至少一种认证参数给所述终端设备;
所述处理器用于在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数;
所述接收器还用于获取所述终端设备的用户认证信息;
所述发射器还用于将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证;
所述接收器还用于接收来自所述控制网元的认证结果;
所述发射器还用于发送所述认证结果给所述终端设备。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
具体可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了接入网元的简化设计。在实际应用中,接入网元还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本发明实施例的接入网元都在本发明的保护范围之内。
根据本发明实施例提供的一种接入网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
本发明实施例还提供一种终端设备,该终端设备可以是上述通信系统中的终端设备,该终端设备可以采用图9所示的硬件架构。该终端设备可以包括接收器、发射器、存储器和处理器,所述接收器、发射器、存储器和处理器通过总线相互连接。图5中的发送单元21所实现的相关功能可以由发射器来实现,接收单元22所实现的相关功能可以由接收器来实现,确定单元23所实现的相关功能可以通过一个或多个处理器来实现。
存储器包括但不限于是RAM、ROM、EPROM、CD-ROM,该存储器用于相关指令及数据。
接收器用于接收数据和/或信号,以及发射器用于发送数据和/或信号。发射器和接收器可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个CPU,在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储终端设备的程序代码和数据。
具体地,所述发射器用于向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
所述接收器用于接收来自所述接入网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述处理器用于在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数;
所述发射器还用于向所述接入网元发送用户认证信息;
所述接收器还用于接收来自所述接入网元的认证结果。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
具体可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了终端设备的简化设计。在实际应用中,终端设备还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本发明的终端设备都在本发明的保护范围之内。
根据本发明实施例提供的一种终端设备,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
本发明实施例还提供一种控制网元的硬件架构图,该控制网元可以是上述通信系统中的控制网元,该控制网元可以采用图9所示的硬件架构。该控制网元可以包括接收器、发射器、存储器和处理器,所述接收器、发射器、存储器和处理器通过总线相互连接。图6中的接收单元31所实现的相关功能可以由接收器来实现,发送单元33所实现的相关功能可以由发射器来实现,生成单元32和认证单元34所实现的相关功能可以通过一个或多个处理器来实现。
存储器包括但不限于是RAM、ROM、EPROM、CD-ROM,该存储器用于相关指令及数据。
接收器用于接收数据和/或信号,以及发射器用于发送数据和/或信号。发射器和接收器可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个CPU,在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储控制网元的程序代码和数据。
具体地,所述接收器用于接收来自接入网元的认证参数请求,所述认证参数请求包括:终端设备接入所述接入网元的接入协议类型;
所述处理器用于根据所述认证参数请求,生成至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数;
所述发射器用于将所述至少一种认证参数发送给所述接入网元;
所述接收器还用于接收来自所述接入网元的用户认证信息、以及接入网元所述至少一种认证参数中的所述终端设备和所述控制网元均支持的其中一种认证参数;
所述处理器还用于采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果;
所述发射器还用于将所述认证结果发送给所述接入网元。
在一种实现方式中,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
在另一种实现方式中,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
在又一种实现方式中,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
具体可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了控制网元的简化设计。在实际应用中,控制网元还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本发明的控制网元都在本发明的保护范围之内。
根据本发明实施例提供的一种控制网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络。
本发明实施例还提供了另一种接入网元,该接入网元可以是上述通信系统中的接入网元,该接入网元可以采用图9所示的硬件架构。该接入网元可以包括接收器、发射器、存储器和处理器,所述接收器、发射器、存储器和处理器通过总线相互连接。图7中的接收单元41所实现的相关功能可以由接收器来实现,发送单元43所实现的相关功能可以由发射器来实现,确定单元42所实现的相关功能可以通过一个或多个处理器来实现。
存储器包括但不限于是RAM、ROM、EPROM、CD-ROM,该存储器用于相关指令及数据。
接收器用于接收数据和/或信号,以及发射器用于发送数据和/或信号。发射器和接收器可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个CPU,在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储接入网元的程序代码和数据。
具体地,所述接收器用于接收来自终端设备的认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;
所述处理器用于确定所述终端设备的认证类型为明文认证;
所述接收器还用于接收来自所述终端设备的用户认证信息;
所述发射器用于将所述用户认证信息和所述认证类型发送给控制网元进行认证;
所述发射器还用于接收来自所述控制网元的认证结果;
所述发射器还用于发送所述认证结果给所述终端设备。
具体可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了接入网元的简化设计。在实际应用中,接入网元还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本发明的接入网元都在本发明的保护范围之内。
根据本发明实施例提供的一种接入网元,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
本发明实施例还提供了另一种终端设备的硬件架构示意图,该终端设备可以是上述通信系统中的终端设备,该终端设备可以采用图9所示的硬件架构。该终端设备可以包括接收器、发射器、存储器和处理器,所述接收器、发射器、存储器和处理器通过总线118相互连接。图8中的接收单元53所实现的相关功能可以由接收器来实现,发送单元51所实现的相关功能可以由发射器来实现,确定单元52所实现的相关功能可以通过一个或多个处理器来实现。
存储器包括但不限于是RAM、ROM、EPROM、CD-ROM,该存储器用于相关指令及数据。
接收器用于接收数据和/或信号,以及发射器用于发送数据和/或信号。发射器和接收器可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个CPU,在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储终端设备的程序代码和数据。
具体地,所述发射器用于向接入网元发送认证协商请求,所述认证协商请求用于请求协商确定所述终端设备进行用户认证的认证类型;
所述处理器用于确定用户认证的认证类型为明文认证;
所述发射器还用于向所述接入网元发送用户认证信息;
所述接收器用于接收来自所述接入网元的认证结果。
具体可参见方法实施例中的描述,在此不再赘述。
可以理解的是,图9仅仅示出了终端设备的简化设计。在实际应用中,终端设备还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本发明的终端设备都在本发明的保护范围之内。
根据本发明实施例提供的一种终端设备,实现了任一终端设备接入融合网络时的用户认证,使得任一终端设备可以安全、可靠地接入融合网络;且终端设备与接入网元直接确定认证类型为明文认证,无需向控制网元请求认证参数,简化了认证过程。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
Claims (20)
1.一种融合网络中的用户认证方法,其特征在于,所述方法包括:
接入网元接收来自终端设备的认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
所述接入网元发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型;
所述接入网元接收来自所述控制网元的至少一种认证参数并发送所述至少一种认证参数给所述终端设备,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述接入网元在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数,并获取所述终端设备的用户认证信息,并将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证;
所述接入网元接收来自所述控制网元的认证结果并发送所述认证结果给所述终端设备。
2.如权利要求1所述的方法,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
3.如权利要求1或2所述的方法,其特征在于,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
4.如权利要求1或2所述的方法,其特征在于,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
5.一种融合网络中的用户认证方法,其特征在于,所述方法包括:
终端设备向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
所述终端设备接收来自所述接入网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述终端设备在所述至少一种认证参数中确定所述终端设备和控制网元均支持的其中一种认证参数,并向所述接入网元发送用户认证信息;
所述终端设备接收来自所述接入网元的认证结果。
6.如权利要求5所述的方法,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
7.一种融合网络中的用户认证方法,其特征在于,所述方法包括:
控制网元接收来自接入网元的认证参数请求,所述认证参数请求包括:终端设备接入所述接入网元的接入协议类型;
所述控制网元根据所述认证参数请求,生成至少一种认证参数,并将所述至少一种认证参数发送给所述接入网元,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数;
所述控制网元接收来自所述接入网元的用户认证信息、以及接入网元所述至少一种认证参数中的所述终端设备和所述控制网元均支持的其中一种认证参数,并采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果;
所述控制网元将所述认证结果发送给所述接入网元。
8.如权利要求7所述的方法,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
9.如权利要求7或8所述的方法,其特征在于,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
10.如权利要求7或8所述的方法,其特征在于,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
11.一种接入网元,其特征在于,包括:
接收单元,用于接收来自终端设备的认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
发送单元,用于发送认证参数请求给控制网元,所述认证参数请求包括:所述终端设备接入所述接入网元的接入协议类型;
所述接收单元,还用于接收来自所述控制网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
所述发送单元,还用于发送所述至少一种认证参数给所述终端设备;
确定单元,用于在所述至少一种认证参数中确定所述终端设备和所述控制网元均支持的其中一种认证参数;
所述接收单元,还用于获取所述终端设备的用户认证信息;
所述发送单元,还用于将所述用户认证信息和确定的其中一种认证参数发送给所述控制网元进行认证;
所述接收单元,还用于接收来自所述控制网元的认证结果;
所述发送单元,还用于发送所述认证结果给所述终端设备。
12.如权利要求11所述的接入网元,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
13.如权利要求11或12所述的接入网元,其特征在于,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
14.如权利要求11或12所述的接入网元,其特征在于,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
15.一种终端设备,其特征在于,包括:
发送单元,用于向接入网元发送认证协商请求,所述认证协商请求用于协商确定所述终端设备的认证参数;
接收单元,用于接收来自所述接入网元的至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括一种认证类型、和/或与所述认证类型对应的参数;
确定单元,用于在所述至少一种认证参数中确定所述终端设备和控制网元均支持的其中一种认证参数;
所述发送单元,还用于向所述接入网元发送用户认证信息;
所述接收单元,还用于接收来自所述接入网元的认证结果。
16.如权利要求15所述的终端设备,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
17.一种控制网元,其特征在于,包括:
接收单元,用于接收来自接入网元的认证参数请求,所述认证参数请求包括:终端设备接入所述接入网元的接入协议类型;
生成单元,用于根据所述认证参数请求,生成至少一种认证参数,所述至少一种认证参数与所述接入协议类型对应,每种认证参数包括根据所述认证参数请求确认所支持的一种认证类型、和/或与所述认证类型对应的参数;
发送单元,用于将所述至少一种认证参数发送给所述接入网元;
所述接收单元,还用于接收来自所述接入网元的用户认证信息、以及接入网元所述至少一种认证参数中的所述终端设备和所述控制网元均支持的其中一种认证参数;
认证单元,用于采用所述确定的其中一种认证参数对所述用户认证信息进行认证,得到认证结果;
所述发送单元,还用于将所述认证结果发送给所述接入网元。
18.如权利要求17所述的控制网元,其特征在于,所述认证协商请求和所述认证参数请求还包括:所述终端设备支持的认证类型,则所述认证类型对应的参数为所述终端设备支持的认证类型对应的参数。
19.如权利要求17或18所述的控制网元,其特征在于,所述至少一种认证类型包括简单密码认证协议PAP,所述认证类型对应的参数为空。
20.如权利要求17或18所述的控制网元,其特征在于,所述至少一种认证类型包括挑战握手协议CHAP,所述认证类型对应的参数包括:算法、挑战标识、和/或挑战标识长度。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710277650.4A CN108738019B (zh) | 2017-04-25 | 2017-04-25 | 融合网络中的用户认证方法及装置 |
| PCT/CN2018/082289 WO2018196587A1 (zh) | 2017-04-25 | 2018-04-09 | 融合网络中的用户认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710277650.4A CN108738019B (zh) | 2017-04-25 | 2017-04-25 | 融合网络中的用户认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108738019A CN108738019A (zh) | 2018-11-02 |
| CN108738019B true CN108738019B (zh) | 2021-02-05 |
Family
ID=63917992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710277650.4A Active CN108738019B (zh) | 2017-04-25 | 2017-04-25 | 融合网络中的用户认证方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108738019B (zh) |
| WO (1) | WO2018196587A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12052787B2 (en) * | 2018-03-28 | 2024-07-30 | Cable Television Laboratories, Inc. | Converged core communication networks and associated methods |
| CN111988778B (zh) * | 2019-05-21 | 2023-09-26 | 广东美的制冷设备有限公司 | 设备、wifi模块的多协议认证方法和计算机可读存储介质 |
| EP4016950A4 (en) * | 2019-08-18 | 2022-08-10 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD, DEVICE AND SYSTEM |
| CN110572804B (zh) * | 2019-08-27 | 2022-04-22 | 暨南大学 | 蓝牙通信认证请求、接收及通信方法、移动端、设备端 |
| CN111147471B (zh) * | 2019-12-20 | 2023-02-28 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、系统和存储介质 |
| CN114245376A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、用户设备、相关网络设备和存储介质 |
| CN114051244A (zh) * | 2021-11-10 | 2022-02-15 | 杭州萤石软件有限公司 | 一种终端侧设备与网络侧设备之间的认证方法、系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620035A (zh) * | 2003-11-21 | 2005-05-25 | 华为技术有限公司 | 一种异步传输模式交换网用户的以太网接入方法 |
| CN101753533A (zh) * | 2008-12-04 | 2010-06-23 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1287308C (zh) * | 2003-04-09 | 2006-11-29 | 华为技术有限公司 | 基于以太网点对点协议的在用户登录时显示门户网页的方法 |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| US7961875B2 (en) * | 2005-05-16 | 2011-06-14 | Telefonaktiebolaget L M Ericsson (Publ) | Means and method for ciphering and transmitting data in integrated networks |
| CN101730102B (zh) * | 2009-05-15 | 2012-07-18 | 中兴通讯股份有限公司 | 一种对家用基站用户实施鉴权的系统及方法 |
| CN103139768B (zh) * | 2011-11-28 | 2017-03-01 | 上海贝尔股份有限公司 | 融合无线网络中的认证方法以及认证装置 |
| CN103297968B (zh) * | 2012-03-02 | 2017-12-29 | 华为技术有限公司 | 一种无线终端认证的方法、设备及系统 |
-
2017
- 2017-04-25 CN CN201710277650.4A patent/CN108738019B/zh active Active
-
2018
- 2018-04-09 WO PCT/CN2018/082289 patent/WO2018196587A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620035A (zh) * | 2003-11-21 | 2005-05-25 | 华为技术有限公司 | 一种异步传输模式交换网用户的以太网接入方法 |
| CN101753533A (zh) * | 2008-12-04 | 2010-06-23 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018196587A1 (zh) | 2018-11-01 |
| CN108738019A (zh) | 2018-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108738019B (zh) | 融合网络中的用户认证方法及装置 | |
| CN108738013B (zh) | 网络接入方法、装置和网络设备 | |
| US20200053131A1 (en) | Method for accessing fixed network and access gateway network element | |
| JP5934364B2 (ja) | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 | |
| US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
| US7650631B2 (en) | Method for verifying authorization with extensibility in AAA server | |
| CN101379795A (zh) | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 | |
| WO2013151639A1 (en) | System and method for provisioning a unique device credential | |
| US9775032B2 (en) | Method for controlling access point in wireless local area network, and communication system | |
| KR20100100641A (ko) | 듀얼 모뎀 디바이스 | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| EP2572491B1 (en) | Systems and methods for host authentication | |
| US20090055898A1 (en) | PANA for Roaming Wi-Fi Access in Fixed Network Architectures | |
| US11197157B2 (en) | Method, apparatus, and system for performing authentication on terminal in wireless local area network | |
| EP2712141A1 (en) | Method, system and device for authenticating ip phone and negotiating voice field | |
| EP1947818B1 (en) | A communication system and a communication method | |
| US20170155650A1 (en) | Method, Device and System for Obtaining Local Domain Name | |
| US10917406B2 (en) | Access control method and system, and switch | |
| JP2019533951A (ja) | 次世代システムの認証 | |
| US20150074768A1 (en) | Method and system for operating a wireless access point for providing access to a network | |
| CN102215515B (zh) | 一种数据处理方法及通信系统以及相关设备 | |
| WO2015100874A1 (zh) | 家庭网关接入管理方法和系统 | |
| CN102143601B (zh) | 宽带接入处理方法、无线接入网和通信系统 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| EP2925034B1 (en) | Network element access method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |