CN112423299B - 一种基于身份认证进行无线接入的方法及系统 - Google Patents
一种基于身份认证进行无线接入的方法及系统 Download PDFInfo
- Publication number
- CN112423299B CN112423299B CN202010303497.XA CN202010303497A CN112423299B CN 112423299 B CN112423299 B CN 112423299B CN 202010303497 A CN202010303497 A CN 202010303497A CN 112423299 B CN112423299 B CN 112423299B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user equipment
- identity
- request message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000013475 authorization Methods 0.000 claims abstract description 65
- 238000012795 verification Methods 0.000 claims abstract description 45
- 238000012545 processing Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 5
- 230000006855 networking Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Abstract
本发明公开了一种基于身份认证进行无线接入的方法及系统,其中方法包括:接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文;对认证请求报文的第一数字签名进行验证以确定所述认证请求报文是否通过签名校验;将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器;促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证;以及当用户设备通过身份认证时,将授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
Description
技术领域
本发明涉及数据通信领域,并且更具体地,涉及一种基于身份认证进行无线接入的方法及系统。
背景技术
公共场所的Wi-Fi鉴权通常使用Portal(门户网站)鉴权方式,即用户设备接入到一个开放的(不加密)Wi-Fi网络后,若探测到所接入的Wi-Fi网络属于强制认证网络(Captive Network),则自动弹出Wi-Fi运营方的Portal。用户需要通过密码/验证码进行鉴权并在鉴权通过后,才能访问互联网。目前的开放Wi-Fi + Portal鉴权的Wi-Fi接入方式存在如下问题:1.安全性问题:开放的Wi-Fi是不加密的。2.用户体验流程较为繁琐:与移动网络的4G/5G连接相比,Portal鉴权需要用户手动输入账号/手机号、密码或验证码等,并且点击接受许可条款等等。
Hotspot 2.0协议(无线热点2.0协议)是由Wi-Fi联盟成员制定的一项规范,可极大地方便用户安全连接到Wi-Fi网络,而且可通过安全连接、自动化和符合用户与运营商策略有效地复制移动电话体验,从而实现不同Wi-Fi网络间的漫游。Hotspot 2.0协议具有以下优势:1.强制使用802.1X,无论用户鉴权过程还是之后用户上网过程都是强制加密的,因此安全性高。2.用户连接体验类似于4G/5G网络,可以直接使用手机SIM(SubscriberIdentity Module,用户识别模块)卡进行鉴权(EAP(Extensible AuthenticationProtocol,可扩展的身份验证协议)-SIM/AKA(Authentication and Key Agreementprotocol,认证与密钥协商协议)鉴权),不需要输入用户名、密码的繁琐过程。
然而,Hotspot 2.0协议在实际的实施过程中,又具有一定的局限性:1.SIM卡鉴权业务只能由移动运营商提供,非移动运营商管理的Wi-Fi运营点(机场、商场、酒店等)需要与运营商RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)对接才能实现Hotspot 2.0 SIM卡认证业务。2.WLAN(Wireless Local Area Network,无线局域网)AP(AccessPoint,接入点)/AC(Access Controller,接入控制器)通常不具备完善的用户管理以及合规能力,此方面的处理通常要交由专门的网关设备或者具备同等能力的软件系统达成。
发明内容
本发明的目的,就是为了解决上述问题,针对对于酒店、商场、机场等公共Wi-Fi运营场所,提供一种基于Hotspot2.0的网关接入方法。
本发明增加一个RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)Proxy中间件,与WLAN AP/AC,以及网关相配合,使得Wi-Fi接入场所能够以最小成本实现合规的Hotspot 2.0 SIM卡鉴权和接入业务。
根据一个方面,本发明提供一种基于身份认证进行无线接入的方法,所述方法包括:
接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文;
对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验;
当确定所述认证请求报文通过签名校验时,将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器;
对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证;以及
当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。
促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。
促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并经由所述接入设备获取所述经过加密的身份认证消息。
当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
所述接入设备包括:接入控制器和/或接入点。
所述认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
所述所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证包括:
对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;
对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。
当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文;
经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。
当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文;
经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当根据身份信息确定用户设备通过身份认证时,确定与用户设备相关联的授权等级信息和标识信息。
所述标识信息是用户设备的MAC地址。
所述授权等级信息用于指示用户设备接入无线局域网的带宽级别和持续时间。
基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
在将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。
对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。
促使所述接入设备将所述第一认证响应报文发送给所述用户设备。
当来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。
根据本发明的另一方面,提供一种基于身份认证进行无线接入的系统,所述系统包括:
接收单元,接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文;
解析单元,对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验;
匹配单元,当确定所述认证请求报文通过签名校验时,将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器;
发送单元,对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证;当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,所述发送单元经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。
还包括促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。
促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并使得接收单元经由所述接入设备获取所述经过加密的身份认证消息。
还包括处理单元,当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文。
可选地,在丢弃所述认证请求报文之后,使得发送单元经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
所述接入设备包括:接入控制器和/或接入点。
所述认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
还包括处理单元,当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文。
可选地,在丢弃所述认证请求报文之后,促使发送单元经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
还包括,所归属的认证服务器对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;
所归属的认证服务器对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。
当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文;
发送单元经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。
当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文;
发送单元经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当根据身份信息确定用户设备通过身份认证时,所归属的认证服务器确定与用户设备相关联的授权等级信息和标识信息。
所述标识信息是用户设备的MAC地址。
所述授权等级信息用于指示用户设备接入无线局域网的带宽级别和持续时间。
所归属的认证服务器基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
在发送单元将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。
还包括处理单元,对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。
发送单元经由所述接入设备将所述第一认证响应报文发送给所述用户设备。
当来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。
附图说明
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施例的基于身份认证进行无线接入的方法的流程图;
图2为根据本发明实施例的认证系统的示意图;
图3为根据本发明实施例的由RADIUS中间件的工作流程图;
图4为根据本发明实施例的身份认证的流程图;以及
图5为根据本发明实施例的基于身份认证进行无线接入的系统的结构示意图。
具体实施方式
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施例的基于身份认证进行无线接入的方法100的流程图。如图1所示,方法100从步骤101处开始。为了使得用户设备能够基于身份认证进行无线接入,本申请设置RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)代理Proxy中间件。RADIUSProxy可以作为网关设备内部的一个组件运行,也可以在网关设备外部独立运行。在图2中,将RADIUSProxy图示为在网关设备外部进行说明,但是应当了解的是,RADIUSProxy可以位于网关设备内。AP与网关设备之间进行二层组网,如图2所示,且网关设备位于AP的上行位置,使得用户设备接入到无线局域网WLAN后,用户设备的二层地址(例如,用户的设备MAC地址、所属VLAN(Virtual Local Area Network,虚拟局域网)等)对网关设备来说是可见的。
配置WLANAC/AP的配置:对于启用Hotspot2.0协议的SSID(Service SetIdentifier,服务集标识),AP/AC将RADIUS服务器配置指向RADIUSProxy中间件,配置条件包括中间件所在的IP地址、UDP服务端口和MD5秘钥。
RADIUS Proxy可配置转发规则,根据账号样式(前缀、后缀或者正则表达式匹配),将不同运营商手机发出的鉴权/计费请求转发到各自所述运营商的RADIUS服务器。规则要素包括(账号样式、RADIUS服务器IP地址、UDP服务端口、MD5秘钥)。例如,匹配“*.isp-a.3gpp”账号数据后缀的请求转发给运营商A,而匹配“*.isp-b.3gpp”账号数据后缀的请求转发到运营商B,等等。
RADIUS Proxy可配置授权规则,即可以根据用户所属不同运营商授权不同的VLAN属性。例如,为运营商A的用户授权10M带宽的VLAN 1000,并且为运营商B用户授权15M带宽的VLAN 1001。授权VLAN最终可以由AP/AC或由网关设备处理,使得用户设备在身份认证被鉴权通过后,分配到指定的VLAN中,而网关设备可以对根据用户所在VLAN指定不同的上网策略,例如路由策略或带宽。
在步骤101,RADIUS代理接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文。
当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。其中,接入设备包括:接入控制器和/或接入点。例如,当接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内,接入设备将用户设备准备接入无线局域网通知给RADIUS Proxy(RADIUS代理)或身份认证中间件。
RADIUS Proxy向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息,使得所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。为了保证数据安全,所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并经由所述接入设备获取所述经过加密的身份认证消息。
RADIUS Proxy接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文。其中认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
在步骤102,RADIUS代理对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验。当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文并。可选地,在丢弃所述认证请求报文之后,经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
在步骤103,当确定所述认证请求报文通过签名校验时,RADIUS代理将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器。通常,请求信息中包括用户的账号数据。账号数据通常可以包括运营商信息、账号名、密码等。RADIUS代理将来自用户设备的请求信息中的账号数据与转发规则进行匹配。例如,用户设备的账号数据可以包括如下内容,13911122233@isp-a.3gpp。那么,RADIUS代理将13911122233@isp-a.3gpp与运营商A和运营商B的规则进行比较。例如,归属于运营商A的用户设备的账号数据应当匹配于*.isp-a-3gpp,并且归属于运营商B的用户设备的账号数据应当匹配于*.isp-b-3gpp。由此可知,用户设备的账号数据13911122233@isp-a.3gpp与运营商A相匹配,为此将来自用户设备的认证请求报文转发给运营商A的RADIUS服务器。
当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。例如,如上的实例中,例如,用户设备的账号数据可以包括如下内容,13911122255@isp-c.3gpp。那么,RADIUS代理将13911122255@isp-c.3gpp与运营商A和运营商B的规则进行比较。这种情况下,RADIUS代理无法确定所述认证请求报文所归属的认证服务器。RADIUS代理丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
在步骤104,RADIUS代理对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证。其中,所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证包括:对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。可选地,在生成第二认证响应报文之后,经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。例如,所归属的认证服务器获取身份信息中的标识信息,并基于标识信息在本地数据库中存储的认证条目进行比对。当确定存在与标识信息相对应的认证条目时,获取相对应的认证条目中的授权等级信息,并确定用户设备通过身份认证。当确定不存在与标识信息相对应的认证条目时,确定用户设备未通过身份认证。
当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。可选地,在生成第二认证响应报文之后,经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当根据身份信息确定用户设备通过身份认证时,确定与用户设备相关联的授权等级信息和标识信息。标识信息是例如是用户设备的MAC地址。所述授权等级信息可以用于指示用户设备接入无线局域网的带宽级别和持续时间。基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
在步骤105,当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
在将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。促使所述接入设备将所述第一认证响应报文发送给所述用户设备。来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。例如,当用户设备鉴权成功(收到运营商RADIUS服务器的Access-Accept报文),RADIUS Proxy对Access-Accept追加上述VLAN属性授权(例如授权等级)后,将报文转发给AP/AC。当用户鉴权通过(收到运营商RADIUS的Accept-Accept报文),中间件通知网关鉴权成功消息,消息中包括用户设备的MAC地址(取自RADIUS报文中的Calling-Station-Id属性),账号名(手机号,取自RADIUS报文中Username属性),使得网关能按用户MAC地址放行用户上网流量,并按合规需求正确维护和记录用户上网信息。
图2为根据本发明实施例的认证系统的示意图。认证系统包括:RADIUSProxy(RADIUS代理或中间件)、网关设备、运营商RADIUS服务器、接入控制器、接入点和用户设备。RADIUSProxy可以作为网关设备内部的一个组件运行,也可以在网关设备外部独立运行。在图2中,将RADIUSProxy图示为在网关设备外部进行说明,但是应当了解的是,RADIUSProxy可以位于网关设备内。
AP与网关设备之间进行二层组网,如图2所示,且网关设备位于AP的上行位置,使得用户设备接入到无线局域网WLAN后,用户设备的二层地址(例如,用户的设备MAC地址、所属VLAN等)对网关设备来说是可见的。配置WLANAC/AP的配置:对于启用Hotspot2.0协议的SSID(Service Set Identifier,服务集标识),AP/AC将RADIUS服务器A和B配置指向RADIUSProxy中间件,配置条件包括中间件所在的IP地址、UDP服务端口和MD5秘钥。
RADIUS Proxy可配置转发规则,根据账号样式(前缀、后缀或者正则表达式匹配),将不同运营商手机发出的鉴权/计费请求转发到各自所述运营商的RADIUS服务器A或B。规则要素包括(账号样式、RADIUS服务器IP地址、UDP服务端口、MD5秘钥)。例如,匹配“*.isp-a.3gpp”账号数据后缀的请求转发给运营商A,而匹配“*.isp-b.3gpp”账号数据后缀的请求转发到运营商B,等等。
RADIUS Proxy可配置授权规则,即可以根据用户所属不同运营商授权不同的VLAN属性。例如,为运营商A的用户授权10M带宽的VLAN 1000,并且为运营商B用户授权15M带宽的VLAN 1001。授权VLAN最终可以由AP/AC或由网关设备处理,使得用户设备在身份认证被鉴权通过后,分配到指定的VLAN中,而网关设备可以对根据用户所在VLAN指定不同的上网策略,例如路由策略或带宽。
RADIUS代理接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自用户设备的认证请求报文。认证请求报文例如包括数据13911122233@isp-a.3gpp。
当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入WLAN AC/AP的服务区域内时,经由WLAN AC/AP向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。其中,WLAN AC/AP包括:接入控制器和/或接入点。例如,当WLAN AC/AP接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入WLAN AC/AP的服务区域内,WLAN AC/AP将用户设备准备接入无线局域网通知给RADIUSProxy(RADIUS代理)或身份认证中间件。
RADIUS Proxy向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息,使得所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。例如,身份认证消息包括Access-Request(接入请求),13911122233@isp-a.3gpp(身份信息或账户数据)为了保证数据安全,所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并经由所述WLAN AC/AP获取所述经过加密的身份认证消息。
RADIUS Proxy接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文。其中认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
RADIUS代理对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验。当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由WLAN AC/AP向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
当确定所述认证请求报文通过签名校验时,RADIUS代理将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器。通常,请求信息中包括用户的账号数据。账号数据通常可以包括运营商信息、账号名、密码等。RADIUS代理将来自用户设备的请求信息中的账号数据与转发规则进行匹配。例如,用户设备的账号数据可以包括如下内容,13911122233@isp-a.3gpp。那么,RADIUS代理将13911122233@isp-a.3gpp与运营商A和运营商B的规则进行比较。例如,归属于运营商A的用户设备的账号数据应当匹配于*.isp-a-3gpp,并且归属于运营商B的用户设备的账号数据应当匹配于*.isp-b-3gpp。由此可知,用户设备的账号数据13911122233@isp-a.3gpp与运营商A相匹配,为此将来自用户设备的认证请求报文转发给运营商A的RADIUS服务器。
当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由WLAN AC/AP向所述用户设备发送用于指示身份认证失败的第二认证响应报文。例如,如上的实例中,例如,用户设备的账号数据可以包括如下内容,13911122255@isp-c.3gpp。那么,RADIUS代理将13911122255@isp-c.3gpp与运营商A和运营商B的规则进行比较。这种情况下,RADIUS代理无法确定所述认证请求报文所归属的认证服务器。RADIUS代理丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,经由WLAN AC/AP向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
RADIUS代理对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给运营商A的RADIUS服务器,以促使运营商A的RADIUS服务器基于所述身份信息对所述认证请求报文进行身份认证。其中,运营商A的RADIUS服务器基于所述身份信息对所述认证请求报文进行身份认证包括:对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。当所述认证请求报文未通过运营商A的RADIUS服务器的签名校验时,促使运营商A的RADIUS服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。在生成第二认证响应报文之后,经由WLAN AC/AP向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当所述认证请求报文通过运营商A的RADIUS服务器的签名校验时,促使运营商A的RADIUS服务器根据身份信息对用户设备进行身份认证。例如,运营商A的RADIUS服务器获取身份信息中的标识信息,并基于标识信息在本地数据库中存储的认证条目进行比对。当确定存在与标识信息相对应的认证条目时,获取相对应的认证条目中的授权等级信息,并确定用户设备通过身份认证。当确定不存在与标识信息相对应的认证条目时,确定用户设备未通过身份认证。
当根据身份信息确定用户设备未通过身份认证时,促使运营商A的RADIUS服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。可选地,在生成第二认证响应报文之后,经由WLAN AC/AP向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当根据身份信息确定用户设备通过身份认证时,确定与用户设备相关联的授权等级信息和标识信息。标识信息是例如是用户设备的MAC地址。所述授权等级信息可以用于指示用户设备接入无线局域网的带宽级别和持续时间。基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
在将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给WLAN AC/AP。促使所述WLAN AC/AP将所述第一认证响应报文发送给所述用户设备。来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。例如,当用户设备鉴权成功(收到运营商RADIUS服务器的Access-Accept报文,例如响应报文的类型是Access-Accept(接受接入)),RADIUS Proxy对Access-Accept追加上述VLAN属性授权(例如授权等级)后,将报文转发给AP/AC。当用户鉴权通过(收到运营商RADIUS的Accept-Accept报文),中间件通知网关鉴权成功消息,消息中包括用户设备的MAC地址(取自RADIUS报文中的呼叫站标识符Calling-Station-Id属性),账号名(手机号,取自RADIUS报文中用户名称Username属性),使得网关能按用户MAC地址放行用户上网流量,并按合规需求正确维护和记录用户上网信息。
图3为根据本发明实施例的由RADIUS中间件的工作流程图。如图3所示,在步骤301,接收到AC/AP RADIUS请求报文。在步骤302,确定RADIUS请求报文的签名校验是否成功。如果RADIUS请求报文的签名校验失败,则进行步骤305,丢弃RADIUS请求报文如果RADIUS请求报文的签名校验成功,则进行步骤303,确定用户账号或账号数据是否匹配于转发规则。
如果确定用户账号或账号数据不匹配于转发规则,则进行步骤305,丢弃RADIUS请求报文如果确定用户账号或账号数据匹配于转发规则,则进行步骤304,按匹配规则对报文进行重新签名,并转发至目的地运营商的RADIUS服务器。最后,在步骤306处结束。
图4为根据本发明实施例的身份认证的流程图。如图4所示,在步骤401,接收到运营商RADIUS应答。在步骤402,确定报文是否通过签名校验,如果报文未通过签名校验,则进行步骤408,丢弃报文。
如果报文通过签名校验,则在步骤403,确定响应报文的类型是否为Access-Accept。如果确定响应报文的类型不是Access-Accept,则进行步骤407,将报文重新签名后转发至目的地AC/AP。
如果确定响应报文的类型是Access-Accept,则在步骤404确定运营商是否存在VLAN授权策略。如果运营商存在VLAN授权策略,则进行步骤405,对Access-Accept报文追加VLAN授权属性。随后进行解析步骤406,通知网关设备认证成功,通知消息包括MAC地址和用户账号。如果运营商不存在VLAN授权策略,则直接进行步骤406,通知网关设备认证成功,通知消息包括MAC地址和用户账号。随后在步骤407,将报文重新签名后转发至目的地AC/AP。最后,在步骤409处结束。
图5为根据本发明实施例的基于身份认证进行无线接入的系统500的结构示意图。系统500包括:接收单元501、解析单元502、匹配单元503、发送单元504和处理单元505。
接收单元501,接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文。当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。其中,接入设备包括:接入控制器和/或接入点。
解析单元502,对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验。
当确定所述认证请求报文未通过签名校验时,处理单元505丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,促使发送单元504经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
匹配单元503,当确定所述认证请求报文通过签名校验时,将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器。通常,请求信息中包括用户的账号数据。账号数据通常可以包括运营商信息、账号名、密码等。将来自用户设备的请求信息中的账号数据与转发规则进行匹配。例如,用户设备的账号数据可以包括如下内容,13911122233@isp-a.3gpp。那么,将13911122233@isp-a.3gpp与运营商A和运营商B的规则进行比较。例如,归属于运营商A的用户设备的账号数据应当匹配于*.isp-a-3gpp,并且归属于运营商B的用户设备的账号数据应当匹配于*.isp-b-3gpp。由此可知,用户设备的账号数据13911122233@isp-a.3gpp与运营商A相匹配,为此将来自用户设备的认证请求报文转发给运营商A的RADIUS服务器。
当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,处理单元505丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,促使发送单元504经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。例如,如上的实例中,例如,用户设备的账号数据可以包括如下内容,13911122255@isp-c.3gpp。那么,将13911122255@isp-c.3gpp与运营商A和运营商B的规则进行比较。这种情况下,无法确定所述认证请求报文所归属的认证服务器。处理单元505丢弃所述认证请求报文。可选地,在丢弃所述认证请求报文之后,促使发送单元504经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
发送单元504,对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证。其中,所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证包括:对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。可选地,在生成第二认证响应报文之后,经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。例如,所归属的认证服务器获取身份信息中的标识信息,并基于标识信息在本地数据库中存储的认证条目进行比对。当确定存在与标识信息相对应的认证条目时,获取相对应的认证条目中的授权等级信息,并确定用户设备通过身份认证。当确定不存在与标识信息相对应的认证条目时,确定用户设备未通过身份认证。
当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃。可选地,在丢弃所述认证请求报文之后,生成指示用户设备身份认证失败的第二认证响应报文。可选地,在生成第二认证响应报文之后,经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
当根据身份信息确定用户设备通过身份认证时,确定与用户设备相关联的授权等级信息和标识信息。标识信息是例如是用户设备的MAC地址。所述授权等级信息可以用于指示用户设备接入无线局域网的带宽级别和持续时间。基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
发送单元504,当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
在将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。
处理单元505,对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。促使所述接入设备将所述第一认证响应报文发送给所述用户设备。来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。例如,当用户设备鉴权成功(收到运营商RADIUS服务器的Access-Accept报文),RADIUS Proxy对Access-Accept追加上述VLAN属性授权(例如授权等级)后,将报文转发给AP/AC。当用户鉴权通过(收到运营商RADIUS的Accept-Accept报文),中间件通知网关鉴权成功消息,消息中包括用户设备的MAC地址(取自RADIUS报文中的Calling-Station-Id属性),账号名(手机号,取自RADIUS报文中Username属性),使得网关能按用户MAC地址放行用户上网流量,并按合规需求正确维护和记录用户上网信息。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (40)
1.一种基于身份认证进行无线接入的方法,所述方法包括:
接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文;
对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验;
当确定所述认证请求报文通过签名校验时,将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器;
对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证;以及
当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
2.根据权利要求1所述的方法,当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。
3.根据权利要求2所述的方法,促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。
4.根据权利要求3所述的方法,促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并经由所述接入设备获取所述经过加密的身份认证消息。
5.根据权利要求1所述的方法,当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文并经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
6.根据权利要求2所述的方法,所述接入设备包括:接入控制器和/或接入点。
7.根据权利要求1所述的方法,所述认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
8.根据权利要求1所述的方法,当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文并经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
9.根据权利要求1所述的方法,所述所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证包括:
对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;
对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。
10.根据权利要求9所述的方法,当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃并生成指示用户设备身份认证失败的第二认证响应报文;
经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
11.根据权利要求9所述的方法,当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。
12.根据权利要求11所述的方法,当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃并生成指示用户设备身份认证失败的第二认证响应报文;
经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
13.根据权利要求11所述的方法,当根据身份信息确定用户设备通过身份认证时,确定与用户设备相关联的授权等级信息和标识信息。
14.根据权利要求13所述的方法,所述标识信息是用户设备的MAC地址。
15.根据权利要求13所述的方法,所述授权等级信息用于指示用户设备接入无线局域网的带宽级别和持续时间。
16.根据权利要求13所述的方法,基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
17.根据权利要求1所述的方法,在将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。
18.根据权利要求1或16所述的方法,对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。
19.根据权利要求18所述的方法,促使所述接入设备将所述第一认证响应报文发送给所述用户设备。
20.根据权利要求1所述的方法,当来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。
21.一种基于身份认证进行无线接入的系统,所述系统包括:
接收单元,接收与用户设备的身份认证相关联的经过加密的身份认证消息,对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文;
解析单元,对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息,对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验;
匹配单元,当确定所述认证请求报文通过签名校验时,将请求信息中的账号数据与转发规则进行匹配,以确定所述认证请求报文所归属的认证服务器;
发送单元,对所述认证请求报文进行重新签名,并将包括第二数字签名的认证请求报文发送给所归属的认证服务器,以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证;当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时,获取所述第一认证响应报文中的授权等级信息和标识信息,将所述授权等级信息和标识信息发送给用户设备所归属的网关设备,以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。
22.根据权利要求21所述的系统,当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,所述发送单元经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。
23.根据权利要求22所述的系统,还包括促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后,生成第一数字签名和请求信息,并将所述第一数字签名、请求信息和身份信息构成身份认证消息。
24.根据权利要求23所述的系统,促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息,并使得接收单元经由所述接入设备获取所述经过加密的身份认证消息。
25.根据权利要求21所述的系统,还包括处理单元,当确定所述认证请求报文未通过签名校验时,丢弃所述认证请求报文;
使得发送单元经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
26.根据权利要求22所述的系统,所述接入设备包括:接入控制器和/或接入点。
27.根据权利要求21所述的系统,所述认证请求报文是远程用户拨号认证服务RADIUS的认证请求报文。
28.根据权利要求21所述的系统,还包括处理单元,当将请求信息中的账号数据与转发规则进行匹配,无法确定所述认证请求报文所归属的认证服务器时,丢弃所述认证请求报文;
促使发送单元经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。
29.根据权利要求21所述的系统,还包括,
所归属的认证服务器对所述认证请求报文进行解析以获取第二数字签名、身份信息和请求信息;
所归属的认证服务器对所述第二数字签名进行验证以确定所述认证请求报文是否通过认证服务器的签名校验。
30.根据权利要求29所述的系统,当所述认证请求报文未通过所归属的认证服务器的签名校验时,促使所归属的认证服务器将所述认证请求报文丢弃并生成指示用户设备身份认证失败的第二认证响应报文;
发送单元经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
31.根据权利要求29所述的系统,当所述认证请求报文通过所归属的认证服务器的签名校验时,促使所归属的认证服务器根据身份信息对用户设备进行身份认证。
32.根据权利要求31所述的系统,当根据身份信息确定用户设备未通过身份认证时,促使所归属的认证服务器将所述认证请求报文丢弃并生成指示用户设备身份认证失败的第二认证响应报文;
发送单元经由接入设备向用户设备发送所述指示用户设备身份认证失败的第二认证响应报文。
33.根据权利要求31所述的系统,当根据身份信息确定用户设备通过身份认证时,所归属的认证服务器确定与用户设备相关联的授权等级信息和标识信息。
34.根据权利要求33所述的系统,所述标识信息是用户设备的MAC地址。
35.根据权利要求33所述的系统,所述授权等级信息用于指示用户设备接入无线局域网的带宽级别和持续时间。
36.根据权利要求33所述的系统,所归属的认证服务器基于与用户设备相关联的授权等级信息和标识信息生成第一认证响应报文。
37.根据权利要求21所述的系统,在发送单元将所述授权等级信息和标识信息发送给用户设备所归属的网关设备之后,促使网关设备将所述用户设备的授权等级信息和标识信息存储在网关设备的本地缓存中。
38.根据权利要求21或36所述的系统,还包括处理单元,对所述第一认证响应报文进行签名以生成包括第三数字签名的第一认证响应报文,并将所述包括第三数字签名的第一认证响应报文发送给接入设备。
39.根据权利要求38所述的系统,发送单元经由所述接入设备将所述第一认证响应报文发送给所述用户设备。
40.根据权利要求21所述的系统,当来自所述用户设备的针对互联网的访问请求时,所述网关设备根据用户设备的标识信息为用户设备确定带宽级别,并按照带宽级别和持续时间为用户设备提供数据交换服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010303497.XA CN112423299B (zh) | 2020-04-16 | 2020-04-16 | 一种基于身份认证进行无线接入的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010303497.XA CN112423299B (zh) | 2020-04-16 | 2020-04-16 | 一种基于身份认证进行无线接入的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112423299A CN112423299A (zh) | 2021-02-26 |
| CN112423299B true CN112423299B (zh) | 2023-11-24 |
Family
ID=74844191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010303497.XA Active CN112423299B (zh) | 2020-04-16 | 2020-04-16 | 一种基于身份认证进行无线接入的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112423299B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113316149B (zh) * | 2021-06-04 | 2023-05-12 | 广东电网有限责任公司 | 身份安全认证方法、装置、系统、无线接入点及介质 |
| CN114222296B (zh) * | 2021-11-23 | 2023-08-08 | 广东电网有限责任公司 | 一种无线网的安全接入方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
| WO2006013150A1 (en) * | 2004-08-02 | 2006-02-09 | Service Factory Sf Ab | Sim-based authentication |
| WO2008100543A1 (en) * | 2007-02-12 | 2008-08-21 | Remoba, Inc. | Systems and methods for restricting service in mobile devices |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10255416B2 (en) * | 2017-01-25 | 2019-04-09 | Ca, Inc. | Secure biometric authentication with client-side feature extraction |
-
2020
- 2020-04-16 CN CN202010303497.XA patent/CN112423299B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
| WO2006013150A1 (en) * | 2004-08-02 | 2006-02-09 | Service Factory Sf Ab | Sim-based authentication |
| WO2008100543A1 (en) * | 2007-02-12 | 2008-08-21 | Remoba, Inc. | Systems and methods for restricting service in mobile devices |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112423299A (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9660977B2 (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| CA2490131C (en) | Key generation in a communication system | |
| US10237732B2 (en) | Mobile device authentication in heterogeneous communication networks scenario | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| KR100961797B1 (ko) | 통신 시스템에서의 인증 | |
| US20110302643A1 (en) | Mechanism for authentication and authorization for network and service access | |
| US20070269048A1 (en) | Key generation in a communication system | |
| KR20040042247A (ko) | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 | |
| DK2924944T3 (en) | Presence authentication | |
| CN103973658A (zh) | 静态用户终端认证处理方法及装置 | |
| US11197157B2 (en) | Method, apparatus, and system for performing authentication on terminal in wireless local area network | |
| KR100907825B1 (ko) | 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 | |
| CN112423299B (zh) | 一种基于身份认证进行无线接入的方法及系统 | |
| US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
| JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| US8478266B1 (en) | Method and system for anonymous operation of a mobile node | |
| JP5888749B2 (ja) | ネットワークの接続認証方法及びシステム | |
| JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| KR100485517B1 (ko) | 무선랜 망간 시스템의 가입자 인증 제공 장치 및 방법 | |
| KR101532117B1 (ko) | 인증 실패 후 응급 호 지원시스템 및 방법 | |
| KR100580929B1 (ko) | 무선 랜망 간에 연동하여 사용자 인증을 하는 방법 및 장치 | |
| CN115278660A (zh) | 接入认证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |