CN113472714A - 认证终端设备的方法及装置 - Google Patents

认证终端设备的方法及装置 Download PDF

Info

Publication number
CN113472714A
CN113472714A CN202010170293.3A CN202010170293A CN113472714A CN 113472714 A CN113472714 A CN 113472714A CN 202010170293 A CN202010170293 A CN 202010170293A CN 113472714 A CN113472714 A CN 113472714A
Authority
CN
China
Prior art keywords
authentication
terminal equipment
terminal device
information
verification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010170293.3A
Other languages
English (en)
Inventor
蒋杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010170293.3A priority Critical patent/CN113472714A/zh
Publication of CN113472714A publication Critical patent/CN113472714A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

本申请提供一种认证终端设备的方法及装置,涉及通信技术领域,用于降低认证服务器的认证压力。该方法包括:AN接收终端设备发送的终端设备标识;在此之后,AN确定AN中是否具有与终端设备标识对应的第一认证参数和第一验证信息;第一认证参数和第一验证信息为:在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,存储在AN中的信息;若是,AN根据第一认证参数以及第一验证信息对终端设备进行认证;若否,AN通过与将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。这样,在AN中具有第一认证参数和第一验证信息的情况下,由AN对终端设备进行验证,从而降低认证服务器的认证压力。

Description

认证终端设备的方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种认证终端设备的方法及装置。
背景技术
现有技术中,终端设备通过接入节点(access node,AN)分别接入到网络(例如,网络互连协议(internet protocol,IP)网络)中,以及远程身份验证拨号用户服务(remoteauthentication dial-In user server,RADIUS)服务器中。终端设备与RADIUS服务器之间通过认证通道发送认证报文,终端设备与网络之间通过数据通道发送数据报文。
在终端设备需要与网络之间进行数据传输时,终端设备需要先通过认证通道向RADIUS服务器发送认证报文进行认证。在认证成功之后,RADIUS服务器通知AN该终端设备认证成功,AN开启终端设备与网络之间的数据通道,终端设备与网络之间通过该数据通道传输数据。
但是,一个RADIUS服务器通常会管理大量的终端设备,这将导致RADIUS服务器对终端设备进行认证时的认证压力较大。
发明内容
本申请提供一种认证终端设备的方法及装置,解决了现有技术中RADIUS服务器对终端设备进行认证时,认证压力较大的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种认证终端设备的方法,包括:接入节点AN接收终端设备发送的终端设备标识;AN确定AN中是否具有与终端设备标识对应的第一认证参数和第一验证信息;第一认证参数和第一验证信息为:在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,存储在AN中的信息;若是,AN根据第一认证参数,以及第一验证信息,对终端设备进行认证;若否,AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。
基于上述技术方案,在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,AN存储该第一认证参数和第一验证信息。在AN接收到终端设备标识的情况下,若AN中具有与该终端设备标识对应的第一认证参数和第一验证信息,AN根据该第一认证参数和第一验证信息对终端设备进行认证,而不必采用认证服务器对终端设备进行认证,从而大大降低了认证服务器的认证压力。
此外,在AN中不具有与该终端设备标识对应的第一认证参数和第一验证信息的情况下,AN将终端设备的认证信息发送给认证服务器,由认证服务器对终端设备进行认证,可以保证对终端设备的正常认证。
一种可能的实现方式中,第一认证参数为AN生成的挑战信息。
一种可能的实现方式中,第一验证信息为采用消息验证码(message-digestalgorithm 5,MD5)加密算法对挑战信息以及终端设备对应的密钥进行加密后得到的MD5信息。基于此,第一验证信息为AN能够解析的MD5信息,进而使得AN能够根据第一认证参数和第一验证信息对终端设备进行认证。
一种可能的实现方式中,终端设备标识携带在终端设备发送的认证请求信息中。基于此,AN能够及时获取终端设备的终端设备标识。
一种可能的实现方式中,AN根据第一认证参数,以及第一验证信息,对终端设备进行认证,包括:AN向终端设备发送第一认证参数;AN接收来自终端设备的第二验证信息,第二验证信息为根据第一认证参数,以及终端设备对应的密钥确定的验证信息;AN确定第一验证信息与第二验证信息是否匹配;若是,AN确定终端设备认证成功。基于此,在第一验证信息和第二验证信息匹配的情况下,说明终端设备在本次认证中使用的密钥与终端设备在首次认证中使用的密钥相同。从而使得AN能够准确的对终端设备进行认证。
一种可能的实现方式中,AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证,包括:AN生成第二认证参数,并向终端设备发送第二认证参数;AN接收来自终端设备的第三验证信息,第三验证信息为根据第二认证参数,以及终端设备对应的密钥确定的验证信息;AN向认证服务器发送认证信息,认证信息包括:终端设备标识、第二认证参数、以及第三验证信息;认证信息用于对终端设备进行认证;AN接收认证服务器发送的认证结果。基于此,AN通过将终端设备的认证信息发送给认证服务器,由认证服务器对终端设备进行认证,能够保证认证结果的准确性。
一种可能的实现方式中,在认证结果为认证成功的情况下,AN存储第二认证参数以及第三验证信息;第二认证参数以及第三验证信息与终端设备标识对应;在终端设备请求认证的情况下,AN根据第二认证参数以及第三验证信息对终端设备进行认证。基于此,在AN确定认证服务器对终端设备认证成功之后,AN存储该第二认证参数和第三验证信息,并在下次认证时,AN使用该第二认证参数和第三验证信息对终端设备进行认证,可以降低认证服务器的认证压力,并保证认证结果的准确性。
一种可能的实现方式中,AN存储第二认证参数以及第三验证信息,包括:AN打包终端设备标识,第二认证参数,以及第三验证信息,得到第一信息;AN存储第一信息。基于此,AN可以以打包好的数据格式存储第二认证参数和第三验证信息。
一种可能的实现方式中,AN确定终端设备标识与第二认证参数和第三验证信息的映射关系;AN存储终端设备标识与第二认证参数和第三验证信息的映射关系。基于此,AN可以以映射关系的形式,存储第二认证参数和第三验证信息。
一种可能的实现方式中,AN与终端设备之间采用基于局域网的扩展认证协议(extensible authentication protocol over LAN,EAPOL)传输第一认证参数和第二验证信息中的至少一项。基于此,AN与终端设备之间采用EAPOL传输第一认证参数和第二验证信息,可以使AN读取到第一认证参数和第二验证信息,进而使得AN可以根据第一认证参数和第一验证信息,以及第二验证信息对终端设备进行认证。
一种可能的实现方式中,AN与终端设备之间采用EAPOL传输第二认证参数和第三验证信息中的至少一项。基于此,AN与终端设备之间采用EAPOL传输第一认证参数和第二验证信息,可以使AN读取到第二认证参数和第三验证信息,进而使得AN在此后的认证过程中,可以根据第二认证参数和第三验证信息对终端设备进行认证。
一种可能的实现方式中,第一认证参数以及第一验证信息在预设时间段内有效。基于此,AN每间隔该预设时间段,更新一次第一认证参数和第一验证信息。可以降低AN长时间使用相同的第一认证参数和第一验证信息,而导致的第一认证参数和第一验证信息泄露的风险。
第二方面,提供一种认证终端设备的装置,包括通信单元和处理单元;通信单元,用于接收终端设备发送的终端设备标识;处理单元,用于确定认证终端设备的装置中是否具有与终端设备标识对应的第一认证参数和第一验证信息;第一认证参数和第一验证信息为:在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,存储在AN中的信息;在认证终端设备的装置中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,处理单元,还用于根据第一认证参数,以及第一验证信息,对终端设备进行认证;在认证终端设备的装置中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,处理单元,还用于通过通信单元将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。
一种可能的实现方式中,第一认证参数为认证终端设备的装置生成的挑战信息。
一种可能的实现方式中,第一验证信息为采用MD5加密算法对挑战信息以及终端设备对应的密钥进行加密后得到的MD5信息。
一种可能的实现方式中,终端设备标识携带在终端设备发送的认证请求信息中。
一种可能的实现方式中,处理单元具体用于:通过通信单元向终端设备发送第一认证参数;通过通信单元接收来自终端设备的第二验证信息,第二验证信息为根据第一认证参数,以及终端设备对应的密钥确定的验证信息;确定第一验证信息与第二验证信息是否匹配;在第一验证信息与第二验证信息匹配的情况下,确定终端设备认证成功。
一种可能的实现方式中,处理单元具体用于:生成第二认证参数,通过通信单元向终端设备发送第二认证参数;通过通信单元接收来自终端设备的第三验证信息,第三验证信息为根据第二认证参数,以及终端设备对应的密钥确定的验证信息;通过通信单元向认证服务器发送认证信息,认证信息包括:终端设备标识、第二认证参数、以及第三验证信息;认证信息用于对终端设备进行认证;通过通信单元接收认证服务器发送的认证结果。
一种可能的实现方式中,处理单元,还用于:在认证结果为认证成功的情况下,存储第二认证参数以及第三验证信息;第二认证参数以及第三验证信息与终端设备标识对应;在终端设备请求认证的情况下,根据第二认证参数以及第三验证信息对终端设备进行认证。
一种可能的实现方式中,处理单元具体用于:打包终端设备标识,第二认证参数,以及第三验证信息,得到第一信息;存储第一信息。
一种可能的实现方式中,处理单元具体用于:确定终端设备标识与第二认证参数和第三验证信息的映射关系;存储终端设备标识与第二认证参数和第三验证信息的映射关系。
一种可能的实现方式中,认证终端设备的装置与终端设备之间采用EAPOL传输第一认证参数和第二验证信息中的至少一项。
一种可能的实现方式中,认证终端设备的装置与终端设备之间采用EAPOL传输第二认证参数和第三验证信息中的至少一项。
一种可能的实现方式中,第一认证参数以及第一验证信息在预设时间段内有效。
第三方面,本申请提供一种认证终端设备的装置,包括:处理器和通信接口;通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的认证终端设备的方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行如第一方面和第一方面的任一种可能的实现方式中所描述的认证终端设备的方法。
第五方面,本申请提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如第一方面和第一方面的任一种可能的实现方式中所描述的认证终端设备的方法。
第六方面,本申请提供一种通信系统,包括AN,与AN通信的终端设备,以及与AN通信的认证服务器,AN用于执行如第一方面和第一方面的任一种可能的实现方式中所描述的认证终端设备的方法;终端设备用于向AN发送认证信息;认证服务器用于对终端设备进行认证。
第七方面,本申请提供了一种系统芯片,该系统芯片可以应用在认证终端设备的装置中,该系统芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的认证终端设备的方法。可选的,该系统芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
应当理解的是,本申请中对技术特征、技术方案、有益效果或类似语言的描述并不是暗示在任意的单个实施例中可以实现所有的特点和优点。相反,可以理解的是对于特征或有益效果的描述意味着在至少一个实施例中包括特定的技术特征、技术方案或有益效果。因此,本说明书中对于技术特征、技术方案或有益效果的描述并不一定是指相同的实施例。进而,还可以任何适当的方式组合本实施例中所描述的技术特征、技术方案和有益效果。本领域技术人员将会理解,无需特定实施例的一个或多个特定的技术特征、技术方案或有益效果即可实现实施例。在其他实施例中,还可在没有体现所有实施例的特定实施例中识别出额外的技术特征和有益效果。
附图说明
图1为本申请实施例提供的一种通信系统的系统架构图;
图2为本申请实施例提供的一种基于802.1X协议的认证流程示意图;
图3为本申请实施例提供的另一种通信系统的系统架构图;
图4为本申请实施例提供的另一种通信系统的系统架构图;
图5为本申请实施例提供的另一种认证流程示意图;
图6为本申请实施例提供的一种认证终端设备的方法的流程示意图;
图7为本申请实施例提供的另一种认证终端设备的方法的流程示意图;
图8为本申请实施例提供的另一种认证终端设备的方法的流程示意图;
图9为本申请实施例提供的另一种认证终端设备的方法的流程示意图;
图10为本申请实施例提供的一种认证终端设备的装置的结构示意图;
图11为本申请实施例提供的一种认证终端设备的装置的硬件结构示意图;
图12为本申请实施例提供的另一种认证终端设备的装置的硬件结构示意图。
具体实施方式
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请可以应用于图1所示的通信系统100中,该通信系统100包括终端设备10、AN20、认证服务器30以及网络40。
其中,终端设备10能够与网络40进行数据报文的交互,以及与认证服务器30进行认证报文的交互。
AN20为终端设备10的接入设备。AN20具有多个端口,AN20通过一个端口连接一个或多个终端设备10。AN20通过端口与终端设备10进行通信。对于任一个终端设备10,在该终端设备10未认证成功的情况下,AN20仅允许终端设备10发送的认证报文通过该端口(例如,在基于802.1X协议的通信系统中,AN20仅允许使用可扩展的身份验证协议(extensibleauthentication protocol,EAP)格式的报文通过该端口)。在终端设备10认证成功的情况下,AN20允许终端设备10发送的数据报文通过该端口,此时终端设备10可以通过该端口与网络40进行通信。当前常用的认证服务器可以为RADIUS服务器。
认证服务器30用于对终端设备10进行认证,认证服务器30中预先配置有其管理的各个终端设备的终端设备标识,以及与终端设备标识对应的密钥。认证服务器30根据终端设备的终端设备标识,以及对应的密钥,对终端设备进行认证。
网络40为与终端设备10进行数据报文交互的网络。网络40可以为IP网络,光传送网等。
需要指出的是,本申请实施例中所指的认证报文为在终端设备10进行认证时,产生的报文。本申请实施例中所指的数据报文为终端设备10向网络40进行数据交互时产生的报文。
本申请实施例中的通信系统包括但不限于长期演进(long term evolution,LTE)系统、第五代(5th-generation,5G)系统、新空口(new radio,NR)系统,无线局域网(wireless local area networks,WLAN)系统,宽带网络系统以及未来演进系统或者多种通信融合系统。示例性的,本申请实施例提供的方法具体可应用于演进的全球陆地无线接入网络(evolved-universal terrestrial radio access network,E-UTRAN)和下一代无线接入网(next generation-radio access network,NG-RAN)系统。
本申请实施例中的AN为网络侧的一种用于发送信号,或者,接收信号,或者,发送信号和接收信号的实体。AN可以为部署在无线接入网(radio access network,RAN)中为终端设备提供无线通信功能的装置,例如可以为传输接收点(transmission receptionpoint,TRP)、基站(例如,演进型基站(evolved NodeB,eNB或eNodeB)、下一代基站节点(next generation node base station,gNB)、下一代eNB(next generation eNB,ng-eNB)等)、各种形式的控制节点(例如,网络控制器、无线控制器(例如,云无线接入网络(cloudradio access network,CRAN)场景下的无线控制器))、路侧单元(road side unit,RSU)等。具体的,AN可以为各种形式的宏基站,微基站(也称为小站),中继站,接入点(accesspoint,AP)等,也可以为基站的天线面板。所述控制节点可以连接多个基站,并为所述多个基站覆盖下的多个终端设备配置资源。在采用不同的无线接入技术(radio accesstechnology,RAT)的系统中,具备基站功能的设备的名称可能会有所不同。例如,LTE系统中可以称为eNB或eNodeB,5G系统或NR系统中可以称为gNB,本申请对基站的具体名称不作限定。AN还可以是未来演进的公共陆地移动网络(public land mobile network,PLMN)中的AN等。AN还可以为部署在有线接入网中为终端设备提供有线通信功能的装置。例如,可以为光纤接入网中的光线路终端(optical line terminal,OLT),光网络单元(OpticalNetwork Unit,ONU)。或者,还可以为铜线接入网中的多用户居住单元(multiple dwellingunit,MDU),数字用户线路接入复用器(digital subscriber line access multiplexer,DSLAM)等。
本申请实施例中的终端设备是用户侧的一种用于接收信号,或者,发送信号,或者,接收信号和发送信号的实体。终端设备用于向用户提供语音服务和数据连通性服务中的一种或多种。终端设备还可以称为用户设备(user equipment,UE)、终端、接入终端、用户单元、用户站、移动站、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备可以是车联网(vehicle to everything,V2X)设备,例如,智能汽车(smart car或intelligent car)、数字汽车(digital car)、无人汽车(unmanned car或driverless car或pilotless car或automobile)、自动汽车(self-driving car或autonomous car)、纯电动汽车(pure EV或Battery EV)、混合动力汽车(hybrid electricvehicle,HEV)、增程式电动汽车(range extended EV,REEV)、插电式混合动力汽车(plug-in HEV,PHEV)、新能源汽车(new energy vehicle)等。终端设备也可以是设备到设备(device to device,D2D)设备,例如,电表、水表等。终端设备还可以是移动站(mobilestation,MS)、用户单元(subscriber unit)、无人机、物联网(internet of things,IoT)设备、WLAN中的站点(station,ST)、蜂窝电话(cellular phone)、智能电话(smart phone)、无绳电话、无线数据卡、平板型电脑、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digitalassistant,PDA)设备、膝上型电脑(laptop computer)、机器类型通信(machine typecommunication,MTC)终端、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备(也可以称为穿戴式智能设备)。终端设备还可以为下一代通信系统中的终端设备,例如,5G系统中的终端设备或者未来演进的PLMN中的终端设备,NR系统中的终端设备等。
为了使得本申请更加的清楚,首先对本申请涉及到的部分概念做简单介绍。
1、MD5
MD5是一种的密码散列函数加密算法。MD5加密算法可以对任一长度的输入进行计算,输出一个128位(16字节)的散列值。采用相同的MD5加密算法对相同的明文加密后得到的密文相同。此外MD5加密算法是不可逆的,对于采用MD5加密算法加密后的密文,无法通过解密算法反算出加密前的明文。
MD5加密算法在密钥验证时的应用:
采用MD5加密算法对终端设备的密钥进行加密,得到第一MD5信息。采用同样的MD5加密算法对验证系统(例如认证服务器)中存储的该终端设备对应的密钥进行加密,得到第二MD5信息。比较第一MD5信息与第二MD5信息是否一致。若一致,则终端设备的密钥验证通过;若不一致,则终端设备的密钥验证不通过。
2、802.1X协议
802.1x协议是基于客户端Client/服务端Server的访问控制和认证协议。802.1x协议可以限制未经授权的终端设备通过AN访问局域网(local area network,LAN)/WLAN。在终端设备通过AN访问LAN/WLAN之前,终端设备需要进行基于802.1X协议的认证流程。在认证服务器对终端设备认证成功之前,AN只允许EAP类型的认证报文通过AN与终端设备之间连接的端口;认证服务器对终端设备认证成功之后,AN可以允许其他类型的数据报文通过与终端设备连接的端口。
在现有技术中,如图2所示,基于802.1X协议的认证流程如下:
Ⅰ、终端设备向AN发送认证开始请求(EAPOL-start)。
Ⅱ、AN向终端设备发送终端设备标识请求消息(EAP-Request/Identity)。
Ⅲ、终端设备向AN发送终端设备标识响应信息(EAP-Response/Identity)。
该终端设备标识响应信息中包括终端设备的终端设备标识。
Ⅳ、AN向终端设备发送MD5挑战请求信息(EAP-Request/MD5 challenge)。
该MD5挑战请求信息中包括AN此次随机生成的16个字节的挑战字(challenge)。
Ⅴ、终端设备向AN发送MD5挑战响应信息(EAP-Response/MD5 challenge)。
该MD5挑战响应信息中包括终端设备采用MD5加密算法,对上述挑战字以及终端设备对应的密钥进行加密后得到的MD5信息。
Ⅵ、AN向认证服务器发送终端设备接入请求(Radius Access-Request)。
该终端设备接入请求中包括终端设备标识,上述挑战字,以及上述MD5信息。
Ⅶ、认证服务器向AN发送终端设备接入接受请求(Radius Access-Accept)。
Ⅷ、AN向终端设备发送认证成功消息(EAP-Success)。
在现有的基于802.1X协议的认证流程中,终端设备每次需要通过AN接入到网络中时,都需要首先在认证服务器中完成认证。在终端设备在认证服务器中认证成功之后,AN才允许终端设备接入到网络中。由于在当前的基于802.1X协议的通信系统中,一个认证服务器通常会管理大量的AN和终端设备,因此当前认证服务器的认证压力较大。
基于上述技术问题,如图3所示,本申请提供了一种基于802.1X协议的通信系统。在该系统内部署多个认证服务器。不同的认证服务器认证不同的终端设备,实现对认证终端设备的分流。
但是,上述方案中需要新增多个认证服务器,这将造成通信系统的建设成本大大增加,并且认证服务器除了对终端设备进行认证之外,还需要对终端设备进行管理,多个认证服务器对终端设备进行协同管理将会导致管理成本的增加。
如图4所示,本申请还提供了另一种通信系统。在该系统中,使用配置管理系统代替认证服务器。管理员通过配置管理系统在AN中配置接入该AN的终端设备的终端设备标识和对应的密钥。当终端设备需要进行认证时,由AN根据该终端设备的终端设备标识和对应的密钥,对终端设备进行认证。该通信系统中的认证流程如图5所示,包括如下步骤:
1、配置管理系统在AN中配置终端设备的终端设备标识,以及对应的密钥。
2、终端设备和AN依次执行上述步骤Ⅰ-Ⅴ。
3、AN根据终端设备的终端设备标识,以及对应的密钥,验证终端设备发送的MD5挑战,以认证终端设备。
4、在认证成功的情况下,AN执行上述步骤Ⅷ。
但是,上述方案中需要在AN中配置各个终端设备的终端设备标识和对应的密钥,而AN的安全性要远远低于认证服务器的安全性,这将大大增加终端设备的终端设备标识和对应的密钥泄露的风险。并且管理员需要在AN中配置每个终端设备的终端设备标识和对应的密钥,管理员的配置工作量会很大。此外,上述认证流程中认证服务器与终端设备无法进行交互,这将导致认证服务器无法对终端设备进行管理。
基于上述技术问题,本申请提供了一种认证终端设备的方法,应用于如图1所示的通信系统中。在认证过程中,当AN在接收到终端设备标识之后,AN判断自身是否具有与该终端设备标识对应的第一认证参数和第一验证信息。若是,AN根据第一认证参数和第一验证信息对终端设备进行验证。若否,AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。第一认证参数和第一验证信息为:在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,存储在AN中的信息。
这样,在认证服务器对终端设备认证成功之后,终端设备再次进行认证时,可以由AN根据第一认证参数(challenge)和第一验证信息(MD5信息)对终端设备进行认证,从而大大降低了认证服务器的认证压力。
如图6所示,为本申请实施例提供的一种认证终端设备的方法,该方法包括:
S101、终端设备向AN发送终端设备标识。相应的,AN接收终端设备发送的终端设备标识。
一种可能的实现方式中,终端设备标识可以为登录该终端设备的用户的用户名。登录该终端设备的用户可以通过该终端设备向认证服务器或者AN发送自身的用户名进行认证。在认证通过之后,该用户即可以通过该终端设备进行数据报文的传输。
需要说明的是,终端设备与AN之间采用EAP协议传输认证报文。相应的,类似于上述步骤Ⅲ,终端设备通过EAP-Response/Identity消息,向AN发送终端设备标识。
S102、AN确定AN中是否具有与终端设备标识对应的第一认证参数和第一验证信息。
第一认证参数和第一验证信息为:在认证服务器采用第一认证参数和第一验证信息对终端设备认证成功的情况下,存储在AN中的信息。
在本申请实施例中,为了降低认证服务器的认证压力,AN对终端设备的认证进行分类,划分为首次认证和再次认证。其中,在首次认证时,由认证服务器对终端设备进行认证。认证流程如上述步骤Ⅰ-Ⅷ所示。在首次认证成功之后,将认证过程中采用的第一认证参数和第一验证信息存储在AN中。
在再次认证时,由AN对终端设备进行认证,AN根据首次认证时存储的第一认证参数和第一验证信息,对终端设备进行认证。
相应的,AN在每次认证之前,执行S102,以判断终端设备的此次认证为首次认证还是再次认证。其中,在AN中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定此次认证为再次认证(即非首次认证)。在AN中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定此次认证为首次认证。
一种示例,本申请实施例记载的认证参数(包括第一认证参数和下文中的第二认证参数)为AN随机生成的挑战字(challenge),本申请实施例所记载的验证信息(包括第一验证信息,下文中的第二验证信息和下文中的第三验证信息)为采用MD5加密算法对挑战字,以及终端设备对应的密钥进行加密后得到的MD5信息。
由于AN中是否具有与终端设备标识对应的第一认证参数和第一验证信息影响终端设备后续执行的步骤,以下将分情况进行说明。
情况Ⅰ)、在AN中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN执行S103。
S103、AN根据第一认证参数,以及第一验证信息,对终端设备进行认证。
也即是说,在AN中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN根据第一认证参数,以及第一验证信息,对终端设备进行认证。
需要说明的是,在AN中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定此次认证为对终端设备的再次认证。在此次认证之前,认证服务器已经根据该第一认证参数和第一验证信息,对该终端设备认证成功。因此,在本次认证中,通过AN对终端设备进行认证可以降低认证服务器的认证压力。此外,由于在首次认证中认证服务器根据该第一认证参数和第一验证信息对终端设备认证成功,因此,在本次认证中,AN根据第一认证参数和第一验证信息对终端设备进行认证,可以保证对终端设备认证的准确性。
情况Ⅱ)、在AN中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN执行S104。
S104、AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。
也即是说,在AN中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。
需要说明的是,在AN中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定此次认证可能是对终端设备的首次认证,该情况下,AN无法完成对终端设备的认证。因此,AN通过与将终端设备的认证信息发送给认证服务器,可以使得认证服务器根据终端设备的认证信息对终端设备进行认证。
基于上述技术方案,在终端设备首次进行认证时,AN将终端设备的认证信息发送给认证服务器,以用于认证服务器对终端设备进行认证。在认证成功后,将认证所需的第一认证参数和第一验证信息存储在AN中。此后,终端设备再次进行认证时,AN可以直接根据第一认证参数和第一验证信息对终端设备进行认证。这样,认证服务器只需在终端设备首次认证时对终端设备进行认证,后续的认证可以由AN执行,从而大大降低了认证服务器的认证压力。
需要说明的是,在AN存储第一认证参数和第一验证信息之后,AN为该第一认证参数和第一验证信息设置有效时长。
在AN存储该第一认证参数和第一验证信息的时长小于或等于该有效时长的情况下,该第一认证参数和第一验证信息有效。此时,AN确定AN中具有与终端设备标识对应的第一认证参数和第一验证信息。
在AN存储该第一认证参数和第一验证信息的时长大于该有效时长的情况下,该第一认证参数和第一验证信息无效。此时,AN确定AN中不具有与终端设备对应的第一认证参数和第一验证信息。
结合图6,如图7所示,在S101之前,本申请实施例提供的认证终端设备的方法还包括:
S105、终端设备向AN发送认证开始请求。相应的,AN接收来自终端设备的认证开始请求。
其中,认证开始请求用于向AN请求开始认证。认证开始请求中包括终端设备的媒体存取控制(media access control,MAC)地址。这样可以使得AN根据终端设备的MAC地址确定终端设备。
需要说明的是,在802.1X协议中,终端设备和AN之间采用EAP传输认证报文(该认证报文包括本申请中所记载的第一认证参数,第二认证参数,第一验证信息,第二验证信息,第三验证信息等)。
S106、AN向终端设备发送终端设备标识请求信息。相应的,终端设备接收来自AN的终端设备标识请求信息。
在本申请实施例中,AN可以分别在如下情况1和情况2两种情况下,向终端设备发送终端设备标识请求信息,以下分别进行说明。
情况1、在AN接收到来自终端设备的认证开始请求之后,响应于该认证开始请求,AN向终端设备发送终端设备标识请求信息,以指示终端设备向AN发送终端设备标识。
情况2、AN未接收到来自终端设备的认证开始请求,在一定条件下(例如,每间隔预设时间),AN采用广播的形式,向与AN通信连接的终端设备发送终端设备标识请求信息。需要进行认证的终端设备接收到该终端设备标识请求信息之后,该终端设备向AN发送终端设备标识。不需要进行认证的终端设备不响应此终端设备标识请求信息。
相应的,S101可以实现为:
S101’、终端设备向AN发送终端设备标识响应信息。
其中,该终端设备标识响应信息中包括终端设备的终端设备标识。
对应于上述S106中的不同情况,终端设备发送终端设备标识响应信息的方式不同,以下分别说明。
对应于上述情况1,终端设备直接向AN发送终端设备标识响应信息。
对应于上述情况2,终端设备首先确定自身是否需要进行认证。在该终端设备需要进行认证的情况下,终端设备向AN发送终端设备标识响应信息。在该终端设备不需要进行认证的情况下,终端设备不向AN发送终端设备标识响应信息。
相应的,S102可以实现为:
S102’、AN确定该终端设备是首次认证还是再次认证。
其中,在AN中具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定该终端设备为再次认证。在AN中不具有与终端设备标识对应的第一认证参数和第一验证信息的情况下,AN确定该终端设备为首次认证。
由于首次认证和再次认证时,AN执行的过程不同,以下对首次认证的情况(记为场景一),以及再次认证的情况(记为场景二)下本申请实施例中的方案分别进行说明。
场景一、首次认证:
结合图7,如图8所示,在首次认证时,AN执行S104,S104具体可以通过S1041-S10410实现。
S1041、AN生成第二认证参数,并向终端设备发送第二认证参数。相应的,终端设备接收来自AN的第二认证参数。
一种可能的实现方式中,AN生成的第二认证参数为AN随机生成的16个字节的挑战字。
S1042、终端设备根据第二认证参数,以及终端设备对应的密钥,确定第三验证信息。
一种可能的实现方式中,终端设备采用MD5加密算法,对第二认证参数以及终端设备对应的密钥进行加密得到MD5信息。该MD5信息即为终端设备确定的第三验证信息。
S1043、终端设备向AN发送第三验证信息。相应的,AN接收来自终端设备的第三验证信息。
S1044、AN向认证服务器发送认证信息。相应的,认证服务器接收来自AN的认证信息。该认证信息包括:终端设备标识、第二认证参数、以及第三验证信息。
需要说明的是,AN与认证服务器之间采用RADIUS协议传输认证报文(该认证报文包括第一信息,认证成功消息和认证失败消息)。
一种可能的实现方式中,第二认证参数为挑战字,第三验证信息为MD5信息。AN打包终端设备标识,挑战字,以及MD5信息,生成认证信息。在此之后,AN向认证服务器发送认证信息。
S1045、认证服务器根据来自AN的认证信息,对终端设备进行认证。
具体为,认证服务器根据认证信息中的终端设备标识,确定该终端设备标识对应的密钥。认证服务器采用MD5加密算法,对该终端设备对应的密钥,以及认证信息中的挑战字进行加密,生成MD5信息。认证服务器确定认证信息中的MD5信息,与认证服务器生成的MD5信息是否一致。若是,认证服务器确定对该终端设备认证成功。若否,认证服务器确定对该终端设备认证失败。
需要指出的是,在上述过程中,认证服务器使用的挑战字与终端设备在此次认证时使用的挑战字相同(均为第二认证参数),采用的加密算法相同(均为MD5加密算法)。因此认证服务器可以根据认证服务器生成的MD5信息与认证信息中的MD5信息是否一致,确定认证服务器中存储的终端设备标识对应的密钥,与终端设备认证时使用的密钥是否一致。
若一致,则说明终端设备使用了正确的密钥进行认证。此时,认证服务器确定该终端设备认证成功。
若不一致,则说明终端设备使用了错误的密钥进行认证。此时认证服务器确定该终端设备认证失败。
需要说明的是,该终端设备标识对应的密钥为预先存储在认证服务器中的密钥。认证服务器中存储的密钥,与终端设备标识对应的密钥一致。
由于认证服务器确定终端设备是否认证成功,影响后续执行的过程,下面将分情况进行说明。
情况A)、在认证服务器对终端设备认证成功的情况下,认证服务器、AN和终端设备执行下述S1046-S1048。
S1046、认证服务器向AN发送认证成功消息。相应的,AN接收来自认证服务器的认证成功消息。
S1047、AN存储第二认证参数,以及第三验证信息。
需要说明的是,AN可以采用如下方式1或方式2所示的方式,存储第二认证参数和第三验证信息。以下对方式1和方式2分别进行说明。
方式1、AN以数据信息的形式存储第二认证参数,以及第三验证信息。
具体为,AN打包终端设备标识,第二认证参数,以及第三验证信息,得到第一信息;AN存储第一信息。
举例来说,在现有技术中,在认证服务器确定终端设备认证成功之后,AN会存储第二信息,第二信息包括该终端设备的终端设备标识,以及该终端设备的认证结果为认证成功。因此,在本申请实施例中,AN可以在第二信息中增加第二认证参数以及第三验证信息,得到第一信息。AN以存储第二信息的方式存储第一信息。
一种可能的实现方式中,在AN存储第一信息之后,AN为第一信息设置有效时长。在AN存储第一信息的时长超过该有效时长之后,AN删除该第一信息。
方式2、AN以映射关系表的形式存储第二认证参数,以及第三验证信息。
具体为,AN确定终端设备标识与第二认证参数和第三验证信息的映射关系;AN存储终端设备标识与第二认证参数和第三验证信息的映射关系。
举例来说,AN中预先配置有映射关系表。该映射关系表用于存储终端设备标识与第二认证参数和第三验证信息的映射关系。在任一个终端设备认证成功之后,AN将该终端设备的终端设备标识,以及第二认证参数和第三验证信息之间的映射关系存储在该映射关系表中。在后续的认证中,AN可以根据该映射关系表确定AN中是否存在于终端设备对应的第二认证参数和第三验证信息。
一种可能的实现方式中,在AN将该终端设备的终端设备标识,以及第二认证参数和第三验证信息之间的映射关系存储在该映射关系表中之后,AN为该映射关系设置有效时长。在AN存储该映射关系的时长超过该有效时长之后,AN从映射关系表中删除该映射关系。
S1048、AN向终端设备发送认证成功消息。相应的,终端设备接收来自AN的认证成功消息。
情况B)、在认证服务器认证失败的情况下,认证服务器、AN和终端设备执行下述S1049-S10410。
S1049、认证服务器向AN发送认证失败消息。相应的,AN接收来自认证服务器的认证失败消息(Radius Access-Reject)。
S10410、AN向终端设备发送认证失败消息。相应的,终端设备接收来自AN的认证失败消息(EAP-failure)。
一种可能的实现方式中,在终端设备接收到认证失败消息之后,终端设备可以重新发起认证流程,直到终端设备认证成功。在终端设备认证成功之后,终端设备通过AN向网络发送数据报文。
场景二、再次认证
结合图7,如图9所示在再次认证的情况下,AN执行S103。S103具体可以通过S1031-S1038实现。
S1031、AN向终端设备发送第一认证参数。相应的,终端设备接收来自AN的第一认证参数。
其中,该第一认证参数为终端设备在首次认证,并认证成功时使用的认证参数。
需要指出的是,在该终端设备与S1041中所记载的终端设备为同一个终端设备的情况下,该第一认证参数与S1041中记载的第二认证参数为相同的认证参数。
S1032、终端设备根据第一认证参数,以及终端设备对应的密钥,确定第二验证信息。
一种可能的实现方式中,终端设备采用MD5加密算法,对第一认证参数以及终端设备对应的密钥进行加密得到MD5信息。该MD5信息即为终端设备确定的第二验证信息。
S1033、终端设备向AN发送第二验证信息。相应的,AN接收来自终端设备的第二验证信息。
S1034、AN确定第一验证信息与第二验证信息是否匹配。
其中,该第一验证信息为终端设备在首次认证,并认证成功时使用的验证信息。
需要指出的是,在该终端设备与S1042中所记载的终端设备为同一个终端设备的情况下,该第一验证信息与S1042中记载的第三验证信息为相同的验证信息。
具体的,AN通过逐一匹配第一验证信息和第二验证信息的各个字节是否相同,确定第一验证信息和第二验证信息是否匹配。
在第一验证信息和第二验证信息的各个字节均相同的情况下,AN确定第一验证信息和第二验证信息匹配。
在第一验证信息和第二验证信息存在字节不相同的情况下,AN确定第一验证信息和第二验证信息不匹配。
在第一验证信息和第二验证信息匹配的情况下,AN执行下述S1035和S1036。
S1035、AN确定终端设备认证成功。
S1036、AN向终端设备发送认证成功消息。
在此之后,AN允许终端设备发送数据报文通过AN中与终端设备连接的端口。从而达到使终端设备与网络进行数据交互的目的。
在第一验证信息和第二验证信息不匹配的情况下,AN执行下述S1037和S1038。
S1037、AN确定终端设备认证失败。
S1038、AN向终端设备发送认证失败消息。
一种可能的实现方式中,终端设备在接收到认证失败消息之后,可以重新向AN发起认证流程,直到终端设备认证成功。在终端设备认证成功之后,终端设备通过AN向网络发送数据报文。
本申请上述实施例中的各个方案在不矛盾的前提下,均可以进行结合。
上述主要从各个网元之间交互的角度对本申请实施例的方案进行了介绍。可以理解的是,各个网元,例如,AN为了实现上述功能,其包含了执行各个功能相应的硬件结构和软件模块中的至少一个。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对AN进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图10示出了上述实施例中所涉及的认证终端设备的装置(记为认证终端设备的装置100)的一种可能的结构示意图,该认证终端设备的装置100包括处理单元1001和通信单元1002,还可以包括存储单元1003。图10所示的结构示意图可以用于示意上述实施例中所涉及的AN的结构。
当图10所示的结构示意图用于示意上述实施例中所涉及的AN的结构时,处理单元1001用于对AN的动作进行控制管理,例如,控制AN执行图6中的S102、S103和S104,图7中的S102’、S103和S104,图8中的S102’和S1047,图9中的S102’、S1034、S1035以及S1037,和/或本申请实施例中所描述的其他过程中的AN执行的动作。处理单元1001可以通过通信单元1002与其他网络实体通信,例如,与图8中示出的终端设备和认证服务器通信。存储单元1003用于存储AN的程序代码和数据。
当图10所示的结构示意图用于示意上述实施例中所涉及的AN的结构时,认证终端设备的装置100可以是AN,也可以是AN内的芯片。
其中,当认证终端设备的装置100为AN时,处理单元1001可以是处理器或控制器,通信单元1002可以是通信接口、收发器、收发机、收发电路、收发装置等。其中,通信接口是统称,可以包括一个或多个接口。存储单元1003可以是存储器。当认证终端设备的装置100为AN内的芯片时,处理单元1001可以是处理器或控制器,通信单元1002可以是输入接口和/或输出接口、管脚或电路等。存储单元1003可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是AN内的位于该芯片外部的存储单元(例如,只读存储器(read-only memory,简称ROM)、随机存取存储器(random access memory,简称RAM)等)。
其中,通信单元也可以称为收发单元。认证终端设备的装置100中的具有收发功能的天线和控制电路可以视为认证终端设备的装置100的通信单元1002,具有处理功能的处理器可以视为认证终端设备的装置100的处理单元1001。可选的,通信单元1002中用于实现接收功能的器件可以视为接收单元,接收单元用于执行本申请实施例中的接收的步骤,接收单元可以为接收机、接收器、接收电路等。通信单元1002中用于实现发送功能的器件可以视为发送单元,发送单元用于执行本申请实施例中的发送的步骤,发送单元可以为发送机、发送器、发送电路等。
图10中的集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。存储计算机软件产品的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
图10中的单元也可以称为模块,例如,处理单元可以称为处理模块。
本申请实施例还提供了一种认证终端设备的装置(记为认证终端设备的装置110)的硬件结构示意图,参见图11或图12,该认证终端设备的装置110包括处理器1101,可选的,还包括与处理器1101连接的存储器1102。
在第一种可能的实现方式中,参见图11,认证终端设备的装置110还包括收发器1103。处理器1101、存储器1102和收发器1103通过总线相连接。收发器1103用于与其他设备或通信网络通信。可选的,收发器1103可以包括发射机和接收机。收发器1103中用于实现接收功能的器件可以视为接收机,接收机用于执行本申请实施例中的接收的步骤。收发器1103中用于实现发送功能的器件可以视为发射机,发射机用于执行本申请实施例中的发送的步骤。
基于第一种可能的实现方式,图11所示的结构示意图可以用于示意上述实施例中所涉及的AN的结构。
当图11所示的结构示意图用于示意上述实施例中所涉及的AN的结构时,处理器1101用于对AN的动作进行控制管理,例如,处理器1101用于支持AN执行图6中的S102、S103和S104,图7中的S102’、S103和S104,图8中的S102’和S1047,图9中的S102’、S1034、S1035以及S1037,和/或本申请实施例中所描述的其他过程中的AN执行的动作。处理器1101可以通过收发器1103与其他网络实体通信,例如,与图8中示出的终端设备以及认证服务器通信。存储器1102用于存储AN的程序代码和数据。
在第二种可能的实现方式中,处理器1101包括逻辑电路以及输入接口和输出接口中的至少一个。其中,输出接口用于执行相应方法中的发送的动作,输入接口用于执行相应方法中的接收的动作。
基于第二种可能的实现方式,参见图12,图12所示的结构示意图可以用于示意上述实施例中所涉及的AN的结构。
当图12所示的结构示意图用于示意上述实施例中所涉及的AN的结构时,处理器1101用于对AN的动作进行控制管理,例如,处理器1101用于支持AN执行图6中的S102、S103和S104,图7中的S102’、S103和S104,图8中的S102’和S1047,图9中的S102’、S1034、S1035以及S1037,和/或本申请实施例中所描述的其他过程中的AN执行的动作。处理器1101可以通过输入接口和输出接口中的至少一个与其他网络实体通信,例如,与图8中示出的终端设备以及认证服务器通信。存储器1102用于存储AN的程序代码和数据。
其中,图11和图12也可以示意AN中的系统芯片。该情况下,上述AN执行的动作可以由该系统芯片实现,具体所执行的动作可参见上文,在此不再赘述。
在实现过程中,本实施例提供的方法中的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
本申请中的处理器可以包括但不限于以下至少一种:中央处理单元(centralprocessing unit,CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontrollerunit,MCU)、或人工智能处理器等各类运行软件的计算设备,每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以是个单独的半导体芯片,也可以跟其他电路一起集成为一个半导体芯片,例如,可以跟其他电路(如编解码电路、硬件加速电路或各种总线和接口电路)构成一个SoC(片上系统),或者也可以作为一个ASIC的内置处理器集成在所述ASIC当中,该集成了处理器的ASIC可以单独封装或者也可以跟其他电路封装在一起。该处理器除了包括用于执行软件指令以进行运算或处理的核外,还可进一步包括必要的硬件加速器,如现场可编程门阵列(field programmable gate array,FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。
本申请实施例中的存储器,可以包括如下至少一种类型:只读存储器(read-onlymemory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically erasable programmabler-only memory,EEPROM)。在某些场景下,存储器还可以是只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
本申请实施例还提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述任一方法。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一方法。
本申请实施例还提供了一种通信系统,包括:上述终端设备,AN以及认证服务器。
本申请实施例还提供了一种芯片,该芯片包括处理器和接口电路,该接口电路和该处理器耦合,该处理器用于运行计算机程序或指令,以实现上述方法,该接口电路用于与该芯片之外的其它模块进行通信。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,简称SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看附图、公开内容、以及所附权利要求书,可理解并实现公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (19)

1.一种认证终端设备的方法,其特征在于,包括:
接入节点AN接收所述终端设备发送的终端设备标识;
所述AN确定所述AN中是否具有与所述终端设备标识对应的第一认证参数和第一验证信息;所述第一认证参数和所述第一验证信息为:在认证服务器采用所述第一认证参数和所述第一验证信息对所述终端设备认证成功的情况下,存储在所述AN中的信息;
若是,所述AN根据所述第一认证参数,以及所述第一验证信息,对所述终端设备进行认证;
若否,所述AN将所述终端设备的认证信息发送给所述认证服务器,以用于所述认证服务器对所述终端设备进行认证。
2.根据权利要求1所述的认证终端设备的方法,其特征在于,所述第一认证参数为所述AN生成的挑战信息。
3.根据权利要求2所述的认证终端设备的方法,其特征在于,所述第一验证信息为采用消息验证码MD5加密算法对所述挑战信息以及所述终端设备对应的密钥进行加密后得到的MD5信息。
4.根据权利要求1-3任一项所述的认证终端设备的方法,其特征在于,所述终端设备标识携带在所述终端设备发送的认证请求信息中。
5.根据权利要求1-4任一项所述的认证终端设备的方法,其特征在于,所述AN根据所述第一认证参数,以及第一验证信息,对所述终端设备进行认证,包括:
所述AN向所述终端设备发送所述第一认证参数;
所述AN接收来自所述终端设备的第二验证信息,所述第二验证信息为根据所述第一认证参数,以及所述终端设备对应的密钥确定的验证信息;
所述AN确定所述第一验证信息与所述第二验证信息是否匹配;
若是,所述AN确定所述终端设备认证成功。
6.根据权利要求1-4任一项所述的认证终端设备的方法,其特征在于,所述AN将所述终端设备的认证信息发送给所述认证服务器,以用于所述认证服务器对所述终端设备进行认证,包括:
所述AN生成第二认证参数,并向所述终端设备发送所述第二认证参数;
所述AN接收来自所述终端设备的第三验证信息,所述第三验证信息为根据所述第二认证参数,以及所述终端设备对应的密钥确定的验证信息;
所述AN向所述认证服务器发送认证信息,所述认证信息包括:所述终端设备标识、所述第二认证参数、以及所述第三验证信息;所述认证信息用于对所述终端设备进行认证;
所述AN接收所述认证服务器发送的认证结果。
7.根据权利要求6所述的认证终端设备的方法,其特征在于,所述方法还包括:
在所述认证结果为认证成功的情况下,所述AN存储所述第二认证参数以及所述第三验证信息;所述第二认证参数以及所述第三验证信息与所述终端设备标识对应;
在所述终端设备请求认证的情况下,所述AN根据所述第二认证参数以及所述第三验证信息对所述终端设备进行认证。
8.根据权利要求7所述的认证终端设备的方法,其特征在于,所述AN存储所述第二认证参数以及所述第三验证信息,包括:
所述AN打包所述终端设备标识,所述第二认证参数,以及所述第三验证信息,得到第一信息;
所述AN存储所述第一信息。
9.根据权利要求7所述的认证终端设备的方法,其特征在于,所述方法还包括:
所述AN确定所述终端设备标识与所述第二认证参数和所述第三验证信息的映射关系;
所述AN存储所述终端设备标识与所述第二认证参数和所述第三验证信息的映射关系。
10.一种认证终端设备的装置,其特征在于,包括:通信单元和处理单元;
所述通信单元,用于接收所述终端设备发送的终端设备标识;
所述处理单元,用于确定所述认证终端设备的装置中是否具有与所述终端设备标识对应的第一认证参数和第一验证信息;所述第一认证参数和所述第一验证信息为:在认证服务器采用所述第一认证参数和所述第一验证信息对所述终端设备认证成功的情况下,存储在所述AN中的信息;
在所述认证终端设备的装置中具有与所述终端设备标识对应的第一认证参数和第一验证信息的情况下,所述处理单元,还用于根据所述第一认证参数,以及所述第一验证信息,对所述终端设备进行认证;
在所述认证终端设备的装置中不具有与所述终端设备标识对应的第一认证参数和第一验证信息的情况下,所述处理单元,还用于通过所述通信单元将所述终端设备的认证信息发送给所述认证服务器,以用于所述认证服务器对所述终端设备进行认证。
11.根据权利要求10所述的认证终端设备的装置,其特征在于,所述第一认证参数为所述认证终端设备的装置生成的挑战信息。
12.根据权利要求11所述的认证终端设备的装置,其特征在于,所述第一验证信息为采用消息验证码MD5加密算法对所述挑战信息以及所述终端设备对应的密钥进行加密后得到的MD5信息。
13.根据权利要求10-12任一项所述的认证终端设备的装置,其特征在于,所述终端设备标识携带在所述终端设备发送的认证请求信息中。
14.根据权利要求10-13任一项所述的认证终端设备的装置,其特征在于,所述处理单元具体用于:
通过所述通信单元向所述终端设备发送所述第一认证参数;
通过所述通信单元接收来自所述终端设备的第二验证信息,所述第二验证信息为根据所述第一认证参数,以及所述终端设备对应的密钥确定的验证信息;
确定所述第一验证信息与所述第二验证信息是否匹配;
在所述第一验证信息与所述第二验证信息匹配的情况下,确定所述终端设备认证成功。
15.根据权利要求10-13任一项所述的认证终端设备的装置,其特征在于,所述处理单元具体用于:
生成第二认证参数,并通过所述通信单元向所述终端设备发送所述第二认证参数;
通过所述通信单接收来自所述终端设备的第三验证信息,所述第三验证信息为根据所述第二认证参数,以及所述终端设备对应的密钥确定的验证信息;
通过所述通信单元向所述认证服务器发送认证信息,所述认证信息包括:所述终端设备标识、所述第二认证参数、以及所述第三验证信息;所述认证信息用于对所述终端设备进行认证;
通过所述通信单元接收所述认证服务器发送的认证结果。
16.根据权利要求15所述的认证终端设备的装置,其特征在于,所述处理单元,还用于:
在所述认证结果为认证成功的情况下,存储所述第二认证参数以及所述第三验证信息;所述第二认证参数以及所述第三验证信息与所述终端设备标识对应;
在所述终端设备请求认证的情况下,根据所述第二认证参数以及所述第三验证信息对所述终端设备进行认证。
17.根据权利要求16所述的认证终端设备的装置,其特征在于,所述处理单元具体用于:
打包所述终端设备标识,所述第二认证参数,以及所述第三验证信息,得到第一信息;
存储所述第一信息。
18.根据权利要求16所述的认证终端设备的装置,其特征在于,所述处理单元具体用于:
确定所述终端设备标识与所述第二认证参数和所述第三验证信息的映射关系;
存储所述终端设备标识与所述第二认证参数和所述第三验证信息的映射关系。
19.一种认证终端设备的装置,其特征在于,所述装置包括处理器和存储介质,所述存储介质包括指令,所述指令被所述处理器运行时,使得所述装置执行如权利要求1-9任一项所述的方法。
CN202010170293.3A 2020-03-12 2020-03-12 认证终端设备的方法及装置 Pending CN113472714A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010170293.3A CN113472714A (zh) 2020-03-12 2020-03-12 认证终端设备的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010170293.3A CN113472714A (zh) 2020-03-12 2020-03-12 认证终端设备的方法及装置

Publications (1)

Publication Number Publication Date
CN113472714A true CN113472714A (zh) 2021-10-01

Family

ID=77864720

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010170293.3A Pending CN113472714A (zh) 2020-03-12 2020-03-12 认证终端设备的方法及装置

Country Status (1)

Country Link
CN (1) CN113472714A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114423005A (zh) * 2021-12-22 2022-04-29 新华三大数据技术有限公司 一种无线网络配置方法、装置、设备及机器可读存储介质
CN116193429A (zh) * 2023-02-06 2023-05-30 中国联合网络通信集团有限公司 认证方法、装置及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232372A (zh) * 2007-01-26 2008-07-30 华为技术有限公司 认证方法、认证系统和认证装置
EP2755364A1 (en) * 2013-01-11 2014-07-16 ST-Ericsson SA Authentication systems
CN104506510A (zh) * 2014-12-15 2015-04-08 百度在线网络技术(北京)有限公司 用于设备认证的方法、装置及认证服务系统
CN104901940A (zh) * 2015-01-13 2015-09-09 易兴旺 一种基于cpk标识认证的802.1x网络接入方法
CN108811043A (zh) * 2017-04-27 2018-11-13 中兴通讯股份有限公司 接入设备、认证服务器、终端设备接入控制方法及系统
CN109495362A (zh) * 2018-12-25 2019-03-19 新华三技术有限公司 一种接入认证方法及装置
CN110198539A (zh) * 2019-01-02 2019-09-03 腾讯科技(深圳)有限公司 一种认证方法及其装置、设备和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232372A (zh) * 2007-01-26 2008-07-30 华为技术有限公司 认证方法、认证系统和认证装置
EP2755364A1 (en) * 2013-01-11 2014-07-16 ST-Ericsson SA Authentication systems
CN104506510A (zh) * 2014-12-15 2015-04-08 百度在线网络技术(北京)有限公司 用于设备认证的方法、装置及认证服务系统
CN104901940A (zh) * 2015-01-13 2015-09-09 易兴旺 一种基于cpk标识认证的802.1x网络接入方法
CN108811043A (zh) * 2017-04-27 2018-11-13 中兴通讯股份有限公司 接入设备、认证服务器、终端设备接入控制方法及系统
CN109495362A (zh) * 2018-12-25 2019-03-19 新华三技术有限公司 一种接入认证方法及装置
CN110198539A (zh) * 2019-01-02 2019-09-03 腾讯科技(深圳)有限公司 一种认证方法及其装置、设备和存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114423005A (zh) * 2021-12-22 2022-04-29 新华三大数据技术有限公司 一种无线网络配置方法、装置、设备及机器可读存储介质
CN114423005B (zh) * 2021-12-22 2024-02-09 新华三大数据技术有限公司 一种无线网络配置方法、装置、设备及机器可读存储介质
CN116193429A (zh) * 2023-02-06 2023-05-30 中国联合网络通信集团有限公司 认证方法、装置及存储介质

Similar Documents

Publication Publication Date Title
CN110049492B (zh) 通信方法、核心网网元、终端设备及存储介质
US7734280B2 (en) Method and apparatus for authentication of mobile devices
CN102215487A (zh) 通过公共无线网络安全地接入专用网络的方法和系统
US20150113277A1 (en) Provisioning Devices For Secure Wireless Local Area Networks
US20110035592A1 (en) Authentication method selection using a home enhanced node b profile
KR20180057665A (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
WO2019095990A1 (zh) 一种通信方法及装置
CN112105021B (zh) 一种认证方法、装置及系统
CN103973658A (zh) 静态用户终端认证处理方法及装置
US11956626B2 (en) Cryptographic key generation for mobile communications device
WO2009103214A1 (zh) 网络认证通信方法及网状网络系统
WO2018205148A1 (zh) 一种数据包校验方法及设备
WO2023283789A1 (zh) 一种安全通信方法及装置、终端设备、网络设备
CN113472714A (zh) 认证终端设备的方法及装置
CN112514436B (zh) 发起器和响应器之间的安全的、被认证的通信
WO2019122495A1 (en) Authentication for wireless communications system
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN103096317A (zh) 一种基于共享加密数据的双向鉴权方法及系统
WO2022075815A1 (en) Methods and systems for authentication and establishment of secure connection for edge computing services
CN114245372B (zh) 一种认证方法、装置和系统
WO2012068801A1 (zh) 移动终端的认证方法及移动终端
WO2022237741A1 (zh) 一种通信方法及装置
WO2024093923A1 (zh) 通信方法和通信装置
US11997078B2 (en) Secured authenticated communication between an initiator and a responder
CN113904781B (zh) 切片认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211001

RJ01 Rejection of invention patent application after publication