WO2009155807A1

WO2009155807A1 - 预认证的方法、认证系统和装置

Info

Publication number: WO2009155807A1
Application number: PCT/CN2009/071572
Authority: WO
Inventors: 潘云波
Original assignee: 华为技术有限公司
Priority date: 2008-06-25
Filing date: 2009-04-29
Publication date: 2009-12-30
Also published as: US20110107099A1; EP2282564A1; EP2282564A4; US8407474B2; CN101616407B; CN101616407A

Description

预认证的方法、认证系统和装置技术领域

本发明涉及移动通信领域，特别涉及一种预认证的方法、认证系统和装置。背景技术说

随着通信技术的发展，现代通信对移动通信要求越来越高，当前的移动通信要求 MN (Mobile Node, 移动节点，又称为移动终端）在移动或漫游场景下可以正常地通信。

在移动场景下， MN将不可避免地发生切换，即指 MN的网络接入点（Attach Point) 随着 MN的移动而发生变化，根据切换前后 Attach Po书int的相对位置，切换可以分为 2层切换和 3层切换，其中， 3层切换又可以分为域内切换（旧的 Attach Point与新的 Attach Point 在同一个 AAA ( Authentication^ Authorization and Accounting, 认证、授权和计费）服务器管辖范围内）和域间切换（旧的 Attach Point与新的 Attach Point在不同的 AAA管辖范围内），一个完整的 3层切换过程包含以下几个步骤: MN离开原来的 Attach Point切换到新的 Attach Point, 进行新的入网认证，在新的 Attach Point处建立相应的配置关系。

MN从原来的 Attach Point切换到新的 Attach Point需要耗费一段时间，在这段时间里通信将出现暂时的中断或者延时，对一些对实时性要求很高的业务（例如即时通信）而言，中断或延时越短越好。但是在实际应用中，由于目前采用的认证方式需要 MN与 AAA之间进行多轮交互，并且 MN在外地时，依然需要在家乡进行认证，导致进行新的入网认证需要花费较长的时间，从而使切换产生的中断或延时超出了即时业务所能承受的极限。

现有技术中，通过快速重认证的方式减少切换产生的中断或延时。快速重认证在双方的身份认证过程中，将以前认证所产生的授权或配置信息继承下来，由于无需重新生成授权及配置信息，因此快速重认证所需的交互及所做的工作少于普通的认证，因而节省了认证时间。快速重认证主要应用在 3层域内切换中，具体过程如下：

MN在初次进行入网认证时，将与 HAAA (Home AAA, 家乡 AAA服务器，即 MN与之签约的 AAA服务器）共同产生用于快速重认证的信息，该信息可以包括专用于快速重认证的 ID及密钥等；

HAAA将快速重认证的信息发送给拜访网络的 VAAA ( Visit AAA, 拜访域 AAA服务器，即 MN在外地时所处拜访网络的 AAA服务器）；当 MN的位置发生变化进入拜访网络时， MN将通过新的 Attach Point向拜访网络的 VAAA提供快速重认证的信息， VAAA根据 HAAA预先发送的快速重认证的信息对 MN作重认证。

快速重认证方式在 MN进行切换时，减少了切换后的 VAAA与 HAAA在链路上的开销以及两者之间的交互次数。但是，快速重认证方式需要 MN与 VAAA之间有现成的安全关系，但是在域间切换场景下，由于新的 VAAA与 MN之间不存在该安全关系，因此快速重认证方式不适用于 3层的域间切换。

在实现本发明的过程中，发明人发现上述现有技术中至少存在以下缺点：

在 MN进行域间切换时，需要切换后的 VAAA到 HAAA上进行认证，切换产生的时延长。发明内容

为了减少域间切换的延时时间，本发明实施例提供了一种预认证的方法、认证系统和装置。所述技术方案如下：

本发明实施例提供了一种预认证的方法，所述方法包括：

当终端进入家乡网络以外的拜访网络时，所述终端获取所述拜访网络的身份信息；所述终端根据所述拜访网络的身份信息，选择所述拜访网络对应的第一预认证密钥材料和所述拜访网络对应的第一认证票据，所述第一认证票据携带所述第一预认证密钥材料；所述拜访网络的认证、授权和计费 AAA服务器和所述终端根据所述第一预认证密钥材料互相进行身份认证。

本发明实施例还提供了一种预认证的方法，所述方法包括：

当终端进入家乡网络以外的拜访网络时，所述终端获取所述拜访网络的身份信息；根据所述拜访网络的身份信息生成第二预认证密钥；

所述终端和所述拜访网络的认证、授权和计费 AAA服务器根据所述第二预认证密钥互相进行身份认证。

本发明实施例提供了一种认证系统，所述认证系统包括终端和拜访网络的认证、授权和计费 AAA服务器：

所述终端，用于当进入家乡网络以外的拜访网络时，获取所述拜访网络的身份信息，根据所述拜访网络的身份信息选择所述拜访网络对应的第一预认证密钥材料和所述拜访网络对应的第一认证票据，所述第一认证票据携带所述第一预认证密钥材料，并根据所述预认证密钥材料对所述拜访网络的 AAA服务器进行身份认证；所述拜访网络的 AAA服务器，用于根据所述第一预认证密钥材料对所述终端进行身份认证。

本发明实施例提供了一种终端装置，所述终端具体包括：

获取模块，用于当所述终端进入所述家乡网络以外的拜访网络时，获取所述拜访网络的身份信息；

选择模块，用于根据所述获取模块获取的拜访网络的身份信息，选择所述拜访网络对应的第一预认证密钥材料和所述拜访网络对应的第一认证票据，所述第一认证票据携带所述第一预认证密钥材料；

第一认证模块，用于根据所述选择模块选择的第一预认证密钥材料，对所述拜访网络的 AAA服务器进行身份认证。

本发明实施例提供一种拜访网络的认证、授权和计费 AAA服务器，所述拜访网络的 AAA服务器具体包括- 密钥获取模块，用于收到终端发送的第一认证信息和第一认证票据后，从所述第一认证票据中获取第一预认证密钥材料；

第二生成模块，用于根据所述密钥获取模块获取的第一预认证密钥材料，采用与所述终端生成第一认证信息相同的规则生成第二认证信息；

第二判断模块，用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第一认证信息是否相同，如果是，则所述拜访网络的 AAA服务器对所述终端的认证通过；第三生成模块，用于生成第三认证信息；

第三发送模块，用于将所述第三生成模块生成的第三认证信息发送给所述终端。

本发明实施例还提供了一种认证系统，所述认证系统包括终端和拜访网络的认证、授权和计费 AAA服务器：

所述终端，用于当进入家乡网络以外的拜访网络时，获取所述拜访网络的身份信息，根据所述拜访网络的身份信息生成第二预认证密钥，并根据所述预认证密钥对所述拜访网络的 AAA服务器进行身份认证；

所述拜访网络的 AAA服务器，用于根据所述第二预认证密钥对所述终端进行身份认证。本发明实施例还提供了一种终端装置，所述终端具体包括：

获取模块，用于当所述终端进入家乡网络以外的拜访网络时，获取拜访网络的身份信息；

第一生成模块，用于根据所述获取模块获取的拜访网络的身份信息生成第二预认证密钥；第一认证模块，用于根据所述第一生成模块生成的第二预认证密钥对所述拜访网络的 AAA服务器进行身份认证。

本发明实施例还提供了一种拜访网络的认证、授权和计费 AAA服务器装置，所述拜访网络的 AAA服务器具体包括：

第二生成模块，用于收到终端发送的第一认证信息后，根据家乡 AAA服务器发送的预认证密钥，采用与所述终端生成第一认证信息相同的规则生成第二认证信息；

第二发送模块，用于将所述第三生成模块生成的第三认证信息发送给所述终端。本发明实施例提供的技术方案的有益效果是：

本发明实施例通过 MN在进入家乡网络以外的拜访网络时，根据获取的认证信息在拜访网络的 AAA服务器上进行入网认证，从而在域间切换时不需要拜访网络的 AAA服务器再到 HAAA上进行认证，减少了域间切换的时延。附图说明

图 1是本发明实施例 1提供的预认证的方法的流程图；

图 2是本发明实施例 2提供的另一种预认证的方法的流程图；

图 3是本发明实施例 3提供的认证系统的结构示意图；

图 4是本发明实施例 3提供的认证系统中终端的结构示意图；

图 5是本发明实施例 3提供的认证系统中拜访网络的 AAA服务器的结构示意图；图 6是本发明实施例 4提供的认证系统的结构示意图；

图 7是本发明实施例 4提供的认证系统中终端的结构示意图；

图 8是本发明实施例 4提供的认证系统中拜访网络的 AAA服务器的结构示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例通过在 MN与拜访网络的 AAA服务器之间预先建立起信任关系，从而减少新的入网认证所需的时间。实施例 1

本实施例中， HAAA在对 MN进行接入认证的同时向它下发可用于访问家乡网络以外的拜访网络的认证票据（Ticket), 该 Ticket中含有由 HAAA签发的，由 MN与拜访网络作相互认证时使用的信任状以及相关的参数，这样 MN在进入该拜访网络后，就可以通过该 Ticket与该网络的 VAAA进行接入认证。

参见图 1，本发明实施例提供了一种预认证的方法，具体包括：

101： MN接入初始的网络接入设备，通过网络接入设备向 HAAA执行接入认证。当 MN所在的网络为家乡网络时，可以直接向 HAAA进行接入认证；当 MN所在的网络为家乡网络以外的拜访网络时， MN通过拜访网络中的 VAAA向 HAAA进行认证，接入认证过程为现有技术，此处不再赘述。

进一步地，在接入认证过程中， HAAA会根据预先存储的 MN的 AAA profile ( AAA 描述信息）判断 MN是否支持快速预认证，如果是，则执行下述 102至 113，其中， AAA profile 是预先存储在 HAAA里面的，包含 MN的身份， MN所能享受的服务以及限制（例如， MN 是否支持快速重认证）等信息。

102： MN所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络，即是否存在其它覆盖重叠的网络，如果是，则执行 103 ; 否则，执行 117。

其中，网络接入设备可以根据底层技术，例如，对周围信号的感知以及网络部署时的规划，判断该网络周围是否存在潜在的拜访网络，该过程为现有技术，目前的网络接入设备可以做到，此处不再详述。

103：网络接入设备根据 AAA协议向 HAAA发送通知消息，该通知消息中携带潜在的拜访网络的身份信息。

104： HAAA 收到网络接入设备发送的通知消息后，生成预认证密钥材料 ( pre-auth-key-file ) , 例如，可以随机选取一组符合加密算法对密钥要求的数据作为 pre-auth-key-file。

进一歩地， HAAA收到网络接入设备发送的通知消息后还包括：

HAAA根据通知消息中的潜在的拜访网络的身份信息判断家乡网络与拜访网络之间是否存在安全关系，如果是，则 HAAA生成预认证密钥材料；否则，家乡网络与拜访网络之间不能进行信息交互。

105： HAAA提取通知消息携带的潜在的拜访网络的身份信息，根据家乡网络与各个拜访网络之间的安全关系对预认证密钥材料及相关参数进行加密生成相应的票据密钥信息。

其中，家乡网络与潜在的拜访网络之间的安全关系可以为家乡网络与潜在的拜访网络之间的预共享密钥，或者为潜在的拜访网络的公私钥对，本实施例中，以 Kh-t表示家乡网络与潜在拜访网络之间的预共享密钥或者潜在的拜访网络的公私钥对。

上述用于生成票据密钥信息的参数中除了 pre-auth-key-file夕卜，相关参数至少包含以下几项信息： HAAA label (HAAA标识）、 Target VAAA label (潜在的 VAAA标识）、 MN-ID (MN标识）、 MN profile (MN材料）禾 D lifetime (有效期），其中，每项信息表示的含义如下： HAAA label和 Target VAAA label分别是能标识家乡网络和潜在的拜访网络的身份信息； MN-ID表示 MN的标识； MN profile表示 MN的基本信息以及 MN可以获得哪种服务； lifetime表示 Ticket的有效期，根据 Kh-t对 pre-auth-key-file及相关参数进行加密生成的票据密钥信息具体表示如下：

Kh-t (pre-auth-key-file, HAAA label, Target VAAA label, MN-ID, MN profile, lifetime),

106： HAAA将 HAAA本身的身份信息、潜在的拜访网络的身份信息和相应的票据密钥信息作为 MN进入家乡网络以外的网络的认证票据（Ticket), 即 Ticket={HAAA label, Target VAAA label, Kh-t (pre-auth-key-file, HAAA label, Target VAAA label, MN-ID, MN profile, lifetime) }。

107： HAAA将预认证密钥材料 pre-auth-key-file、认证票据 Ticket以及相应的潜在的拜访网络的身份信息发送给 MN。

进一步地，为了保证以上信息的安全性， HAAA可以通过 HAAA与 MN之间的密钥对 pre-auth-key-file、 Ticket以及相应的潜在拜访网络的身份信息进行加密，将加密后的数据发送给 MN。

108：当 MN进入家乡网络以外的拜访网络时， MN获取该拜访网络的身份信息。其中， MN可以从新进入的拜访网络中的网络设备广播的 MAC (Media Access Control, 媒体访问控制）消息中获取拜访网络的身份信息，该过程为现有技术，此处不再详述。

109： MN根据拜访网络的身份信息选择相应的认证票据 Ticket, 并根据预认证密钥材料 pre-auth-key-file生成第一认证信息。

其中， MN可以根据 pre-auth-key-file对选取的参数进行运算生成第一认证信息，参数可以为随机选取的一组数据等。

110： MN将生成的第一认证信息和选出的认证票据 Ticket —起发送给拜访网络的 VAAAo

进一步地， MN在将第一认证信息和 Ticket发送给 VAAA后，还将生成第一认证信息的参数发送给 VAAA。

111： VAAA收到 MN发送的 Ticket后，从认证票据 Ticket中获取预认证密钥材料。从 Ticket中获取预认证密钥材料的具体过程如下：

根据 Ticket中的 HAAA label选择相应的密钥对 Ticket中的票据密钥信息进行解密得到 pre-auth-key-file。

112： VAAA根据 pre-auth-key-file采用与 MN生成第一认证信息相同的规则生成第二认证信息。

113： VAAA判断生成的第二认证信息与 MN发送的第一认证信息是否相同，如果两者相同，则表明 VAAA对 MN的认证通过，执行 114; 否则，结束。

114：拜访网络的 VAAA生成第三认证信息，然后将第三认证信息发送给 MN。

其中， VAAA生成第三认证信息的过程与 MN 生成第一认证信息的过程类似，根据 pre-auth-key-file对选取的参数进行运算生成第三认证信息，参数可以为随机选取的一组数据等， VAAA在发送第三认证信息的同时也将选取的参数发送给 MN。

115： MN收到 VAAA发送的第三认证信息后，根据 VAAA生成第三认证信息相同的规则生成第四认证信息，判断第四认证信息与 MN生成的第三认证信息是否相同，如果是，则表明 MN对 VAAA的认证通过，执行 116; 否则，结束。

116：认证通过， MN可以与 VAAA继续进行信息交互。

117：按域内切换的流程处理，该过程为现有技术，此处不再赘述。

本实施例中， 102至 107是在 MN进行向 HAAA进行 EAP ( Extensible Authentication Protocol, 可扩展的身份验证协议）认证的过程中发生的，与 101并无先后顺序，为了描述方便，将其放在了 101的后面。

本实施例通过在 MN进行初次入网认证的同时，由 HAAA向它下发预认证密钥材料和包含预认证密钥材料的认证票据，在 MN认证网络以外的拜访网络时，将预认证密钥材料和认证票据发送给拜访网络中的 VAAA, VAAA根据认证票据对 MN进行入网认证，从而不需要再到 HAAA进行认证，减少了在 VAAA至 HAAA这段链路上的消耗，降低了域间切换的时延。

实施例 2

本实施例中，在 HAAA对 MN进行 EAP认证结束后， HAAA和 MN根据认证产生的 AAA key (AAA密钥）生成根密钥，然后 HAAA再根据根密钥生成预认证密钥，并将该预认证密钥发送给潜在的拜访网络的 VAAA；当 MN进入家乡网络以外的拜访网络时，首先根据根密钥生成预认证密钥，然后根据该预认证密钥向拜访网络的 VAAA进行接入认证。参见图 2，本发明实施例提供了另一种预认证的方法，具体包括：

201： MN接入初始的网络接入设备，通过网络接入设备向 HAAA执行接入认证。 MN进行接入认证的过程与实施例 1中所述相同，此处不再赘述。

202： MN所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络，如果是，则执行 203 ; 否则，执行 214;

203：网络接入设备根据 AAA协议向 HAAA发送通知消息，该通知消息中携带潜在的拜访网络的身份信息。

204：接入认证完成后， MN和 HAAA分别根据 AAAkey、 HAAA的身份信息、 MN的标识（MN-ID ) 生成根密钥 ( pre-auth-root-key ) o

其中， AAA key是在接入认证过程中， HAAA根据 MN与 AAA之间的预共享密钥产生的 EMSK及由其派生的子密钥，生成的 pre-auth-root-key如下：

pre-auth-root-key =prf (MN-ID, HAAA label, AAA key), prf表示密钥生成函数。

205： HAAA根据网络接入设备发送的通知消息中携带的潜在的拜访网络的身份信息和 pre-auth-root-key生成予页认证密钢 (pre-auth-key), 即 pre-auth-key=prf ( pre-auth-root-key, Target VAAA label ) o

206： HAAA将 MN-ID和相应的预认证密钥 pre-auth-key发送给相应的 VAAA。

207:当 MN进入家乡网络以外的拜访网络时，获取该拜访网络的身份信息（Target VAAA label )。

208： MN根据 Target VAAA label和 pre-auth-root-key生成预认证密钥 pre-auth-key，并根据预认证密钥 pre-auth-key生成第一认证信息，将生成的第一认证信息发送到 VAAA。

其中， MN根据 pre-auth-key生成第一认证信息的方法与实施例 1中所述相同，此处不再赘述，并且 MN在将 pre-auth-key和第一认证信息发送给 VAAA后，还要将生成第一认证信息的参数发送给 VAAA。

209： VAAA收到 MN发送的第一认证信息后，根据 HAAA发送的预认证密钥和 MN 发送的生成第一认证信息的参数，采用与 MN生成第一认证信息相同的规则生成第二认证信息。

210： VAAA判断生成的第二认证信息与 MN发送的第一认证信息是否相同，如果是，则表明 VAAA对 MN的认证通过，执行 211 ; 否则，结束。

211： VAAA生成第三认证信息，然后将第三认证信息发送给 MN。

212： MN收到 VAAA发送的第三认证信息后，根据与 VAAA生成第三认证信息相同的规则生成第四认证消息，判断 MN生成的第四认证信息与第三认证信息是否相同，如果是，则表明 MN对 VAAA的认证通过，执行 213 ; 否则，结束。

213：认证通过， MN可以与 Target VAAA继续进行信息交互。 214：按域内切换的流程处理，该过程为现有技术，此处不再赘述。

本实施例中， 202 至 203是在 MN向 HAAA进行 EAP认证的过程中发送的，与 201 并无先后顺序，为了描述方便，将其放在了 201的后面。

本实施例通过 HAAA预先向家乡网络以外的拜访网络中的 VAAA发送 MN预认证密钥，在 MN进入该网络后， VAAA根据预先收到的预认证密钥对 MN进行接入认证，使得 MN在进入家乡网络以外的拜访网络时可以直接在该拜访网络的 VAAA上进行入网认证，从而不需要再到 HAAA进行认证，减少了在 VAAA至 HAAA这段链路上的消耗，降低了切换时延。

实施例 3

参见图 3，本发明实施例提供了一种认证系统，该认证系统包括终端 301和拜访网络的

AAA服务器 302:

终端 301，用于当进入家乡网络以外的拜访网络时，获取拜访网络的身份信息，根据拜访网络的身份信息选择该拜访网络对应的第一预认证密钥材料和该拜访网络对应的第一认证票据，第一认证票据携带第一预认证密钥材料，并根据第一预认证密钥材料对拜访网络的 AAA服务器 302进行身份认证；

拜访网络的 AAA服务器 302，用于根据第一预认证密钥材料对终端 301进行身份认证。参见图 4，上述终端 301可以具体包括：

获取模块 3011，用于当终端 301进入家乡网络以外的拜访网络时，获取拜访网络的身份信息；

选择模块 3012，用于根据获取模块 3011获取的拜访网络的身份信息选择该拜访网络对应的第一预认证密钥材料和该拜访网络对应的第一认证票据，第一认证票据携带第一预认证密钥材料；

第一认证模块 3013，用于根据选择模块 3012选择的第一预认证密钥材料，对拜访网络的 AAA服务器 302进行身份认证。

进一歩地，上述第一认证模块 3013可以具体包括：

第一生成单元，用于根据选择模块 3012选择的第一预认证密钥材料生成第一认证信息；第一发送单元，用于将第一生成单元生成的第一认证信息和选择模块 3012选择的第一认证票据发送给拜访网络的 AAA服务器 302;

第四生成单元，用于在收到第三认证信息后，根据拜访网络的 AAA服务器 302生成第三认证信息相同的规则生成第四认证信息；

第一判断单元，用于判断第四生成单元生成的第四认证信息与第三认证信息是否相同，如果是，则终端 301对拜访网络的 AAA服务器 302的认证通过；

参见图 5，上述拜访网络的 AAA服务器 302可以具体包括：

密钥获取模块 3021，用于收到终端 301发送的第一认证信息和第一认证票据后，从第一认证票据中获取第一预认证密钥材料；

第二生成模块 3022，用于根据密钥获取模块 3021获取的第一预认证密钥材料，采用与终端 301生成第一认证信息相同的规则生成第二认证信息；

第二判断模块 3023，用于判断第二生成模块 3022生成的第二认证信息与终端 301发送的第一认证信息是否相同，如果是，则拜访网络的 AAA服务器 302对终端 301的认证通过；第三生成模块 3024，用于生成第三认证信息；

第三发送模块 3025，用于将第三生成模块 3024生成的第三认证信息发送给终端 301。进一步地，上述认证系统还包括网络接入设备 303和家乡 AAA服务器 304:

网络接入设备 303，用于在终端 301进入拜访网络之前，判断终端 301所在的网络周围是否存在潜在的拜访网络，如果是，则向家乡 AAA服务器 304发送潜在的拜访网络的身份信息；

家乡 AAA服务器 304，用于收到网络接入设备 303发送的潜在的拜访网络的身份信息后，生成预认证密钥材料，并根据家乡网络与拜访网络之间的安全关系对预认证密钥材料以及相关参数进行加密生成票据密钥信息，将家乡 AAA服务器 304的身份信息、拜访网络的身份信息和票据密钥信息作为认证票据，然后将预认证密钥材料和认证票据，以及相应的潜在的拜访网络的身份信息发送给终端 301。

其中，由于潜在的拜访网络可能有多个，所以家乡 AAA服务器 304在收到网络接入设备 303 发送的潜在的拜访网络的身份信息后，生成的预认证密钥材料中可能包含多个潜在的拜访网络的预认证密钥材料，而本发明实施例中的第一预认证密钥材料只是预认证密钥材料中一个拜访网络的预认证密钥材料。

相应地，根据家乡网络与拜访网络之间的安全关系对预认证密钥材料以及相关参数进行加密生成票据密钥信息中可能也包含多个潜在的拜访网络的票据密钥信息；将家乡 AAA 服务器 304 的身份信息、拜访网络的身份信息和票据密钥信息作为认证票据中可能也包含多个潜在的拜访网络的认证票据，而本发明实施例中的认证票据只是认证票据中一个拜访网络的认证票据。

本实施例通过在终端进行初次入网认证的同时，由家乡 AAA服务器向它下发预认证密钥材料和包含预认证密钥的认证票据，使得终端在进入家乡网络以外的拜访网络时，可以直接在拜访网络的 AAA服务器上进行入网认证，从而不需要再到家乡 AAA服务器进行认证，减少了在拜访网络的 AAA服务器至家乡 AAA服务器链路上的消耗，降低了切换时延。实施例 4

参见图 6，本发明实施例还提供了一种认证系统，该认证系统包括终端 401和拜访网络的 AAA服务器 402:

终端 401，用于当进入家乡网络以外的拜访网络时，获取拜访网络的身份信息，根据拜访网络的身份信息生成第二预认证密钥，并根据第二预认证密钥对拜访网络的 AAA服务器 402进行身份认证；

拜访网络的 AAA服务器 402，用于根据第二预认证密钥对终端 401进行身份认证。参见图 7，上述终端 401可以具体包括：

获取模块 4011，用于当终端 401进入家乡网络以外的拜访网络时，获取拜访网络的身份信息；

第一生成模块 4012，用于根据获取模块 4011获取的拜访网络的身份信息生成第二预认证密钥；

第一认证模块 4013，用于根据第一生成模块 4012生成的第二预认证密钥对拜访网络的 AAA服务器 402进行身份认证。

进一步地，上述第一认证模块 4013可以具体包括：

第一生成单元，用于根据第一生成模块生成的第二预认证密钥生成第一认证信息；第一发送单元，用于将第一生成模块生成的第一认证信息发送给拜访网络的 AAA服务器 402;

第四生成单元，用于在收到第三认证信息后，根据所述拜访网络的 AAA服务器 402 生成所述第三认证信息相同的规则生成第四认证信息；

第一判断单元，用于判断第四生成单元生成的第四认证信息与第三认证信息是否相同，如果是，则终端 401对拜访网络的 AAA服务器 402的认证通过。

参见图 8，上述拜访网络的 AAA服务器 402可以具体包括：

第二生成模块 4021，用于收到终端发送的第一认证信息后，根据家乡 AAA服务器 404 发送的预认证密钥，采用与终端 401生成第一认证信息相同的规则生成第二认证信息；其中，终端 401进入家乡网络以外的拜访网络之前，家乡 AAA服务器 404向拜访网络的 AAA服务器 402发送预认证密钥，所述预认证密钥中终端 401所在的网络周围存在的所有潜在的拜访网络的预认证密钥。拜访网络的 AAA服务器 402的第二生成模块 4021收到终端发送的第一认证信息后，首先家乡 AAA服务器 404发送的预认证密钥中选择出自己对应的预认证密钥，然后再根据选择出的预认证密钥，采用与终端 401 生成第一认证信息相同的规则生成第二认证信息。

第二判断模块 4022，用于判断第二生成模块 4021生成的第二认证信息与终端 401发送的第一认证信息是否相同，如果是，则拜访网络的 AAA服务器 402对终端 401的认证通过；第三生成模块 4023，用于生成第三认证信息；

第二发送模块 4024，用于将第三生成模块 4023生成的第三认证信息发送给终端 401。进一步地，上述认证系统还包括网络接入设备 403和家乡 AAA服务器 404:

网络接入设备 403，用于在终端 401进入拜访网络之前，判断终端 401所在的网络周围是否存在潜在的拜访网络，如果是，则向家乡 AAA服务器 404发送潜在的拜访网络的身份信息；

家乡 AAA服务器 404，用于收到网络接入设备 403发送的潜在的拜访网络的身份信息后，根据终端 401的标识、家乡 AAA服务器 404的身份信息和 AAA密钥生成根密钥， AAA 密钥为家乡 AAA服务器 404对终端 401进行可扩展的身份验证协议 EAP认证产生的密钥材料；根据网络接入设备 403发送的潜在的拜访网络的身份信息和根密钥生成预认证密钥，然后将预认证密钥发送给拜访网络的 AAA服务器 402; 其中，由于潜在的拜访网络可能有多个，所以家乡 AAA服务器 404在收到网络接入设备 403发送的潜在的拜访网络的身份信息后，生成的根密钥中可能包含多个潜在的拜访网络的根密钥，而根据网络接入设备 403 发送的潜在的拜访网络的身份信息和根密钥生成的预认证密钥可能包含多个潜在的拜访网络的预认证密钥，本发明实施例中的第二预认证密钥只是预认证密钥中一个拜访网络的预认证密钥。

相应地，终端 401还用于当进入拜访网络之后，根据终端 401的标识、家乡 AAA服务器 404的身份信息和 AAA密钥生成根密钥。

本实施例通过家乡 AAA服务器预先向家乡网络以外的拜访网络的 AAA服务器发送终端预认证密钥，在终端进入该拜访网络后，拜访网络的 AAA服务器根据预先收到的预认证密钥对终端进行接入认证，使得终端在进入家乡网络以外的拜访网络时可以直接在该拜访网络的 AAA服务器上进行入网认证，从而不需要再到家乡 AAA服务器进行认证，减少了在拜访网络的 AAA服务器至家乡 AAA服务器这段链路上的消耗，降低了切换时延。

本发明实施例可以通过软件实现，相应的软件可以存储到可读取的存储介质中，例如，计算机的硬盘、软盘或光盘中。

以上仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种预认证的方法，其特征在于，所述方法包括：

2. 根据权利要求 1所述的预认证的方法，其特征在于，所述拜访网络的 AAA服务器和所述终端根据所述第一预认证密钥材料互相进行身份认证，具体包括- 所述终端根据所述第一预认证密钥材料生成第一认证信息，然后将所述第一认证信息和所述第一认证票据发送给所述拜访网络的 AAA服务器；

所述拜访网络的 AAA服务器收到所述第一认证信息和所述第一认证票据后，从所述第一认证票据中获取所述第一预认证密钥材料，根据所述第一预认证密钥材料采用与所述终端生成所述第一认证信息相同的规则生成第二认证信息，判断所述第二认证信息与所述第一认证信息是否相同，如果是，则所述拜访网络的 AAA服务器对所述终端的认证通过；

所述拜访网络的 AAA服务器生成第三认证信息，然后将所述第三认证信息发送给所述终端；

所述终端在收到所述第三认证信息后，根据所述拜访网络的 AAA服务器生成所述第三认证信息相同的规则生成第四认证信息，判断所述第三认证信息与所述第四认证信息是否相同，如果是，则所述终端对所述拜访网络的 AAA服务器的认证通过。

3. 根据权利要求 2所述的预认证的方法，其特征在于，所述方法还包括：

在所述终端进入所述拜访网络之前，所述终端所在网络中的网络接入设备判断所述网络周围是否存在潜在的拜访网络，如果是，则向家乡 AAA服务器发送所述潜在的拜访网络的身份信息；

所述家乡 AAA服务器收到所述潜在的拜访网络的身份信息后，生成预认证密钥材料，并根据所述家乡网络与所述潜在的拜访网络之间的安全关系对所述预认证密钥材料以及相关参数进行加密生成票据密钥信息，将所述家乡 AAA服务器的身份信息、所述潜在的拜访网络的身份信息和所述票据密钥信息作为认证票据，然后将所述预认证密钥材料、所述认证票据和所述潜在的拜访网络的身份信息发送给所述终端；

相应地，所述终端根据所述拜访网络的身份信息，选择所述拜访网络对应的第一预认证密钥材料和所述拜访网络对应的第一认证票据，具体为：

所述终端根据所述拜访网络的身份信息，从所述预认证密钥材料中选择所述拜访网络对应的第一预认证密钥材料以及从所述认证票据中选择所述拜访网络对应的第一认证票据。

4. 根据权利要求 3所述的预认证的方法，其特征在于，所述相关参数至少包含所述家乡 AAA服务器的身份信息、所述潜在的拜访网络的身份信息、所述终端的标识、所述终端的基本信息和所述认证票据的有效期限。

5. 根据权利要求 3所述的预认证方法，其特征在于，所述从所述第一认证票据中获取所述第一预认证密钥材料，具体包括：

所述拜访网络的 AAA服务器根据所述家乡网络与所述拜访网络之间的安全关系对所述第一认证票据中的票据密钥信息进行解密得到所述第一预认证密钥材料。

6. 根据权利要求 3或 5所述的预认证方法，其特征在于，所述安全关系为所述家乡网络与所述拜访网络之间的预共享密钥，或者为所述拜访网络的公私钥对。

7. 一种预认证的方法，其特征在于，所述方法包括：

8. 根据权利要求 7所述的预认证的方法，其特征在于，所述终端和所述拜访网络的 AAA 服务器根据所述预认证密钥互相进行身份认证，具体包括：

所述终端根据所述第二预认证密钥生成第一认证信息，然后将所述第一认证信息发送给所述拜访网络的 AAA服务器；

所述拜访网络的 AAA服务器收到所述第一认证信息后，根据家乡 AAA服务器发送的预认证密钥采用与所述终端生成所述第一认证信息相同的规则生成第二认证信息，判断所述第二认证信息与所述终端发送的所述第一认证信息是否相同，如果是，则所述拜访网络的 AAA 服务器对所述终端的认证通过；

所述终端在收到所述第三认证信息后，根据与所述拜访网络的 AAA服务器生成所述第三认证信息相同的规则生成第四认证信息，判断所述第三认证信息与所述第四认证信息是否相同，如果是，则所述终端对所述拜访网络的 AAA服务器的认证通过。

9. 根据权利要求 8所述的预认证的方法，其特征在于，所述方法还包括：

所述家乡 AAA服务器收到所述潜在的拜访网络的身份信息后，根据所述终端的标识、所述家乡 AAA的身份信息和 AAA密钥生成根密钥，所述 AAA密钥为所述家乡 AAA服务器对所述终端进行可扩展的身份验证协议 EAP认证产生的密钥材料；所述家乡 AAA服务器根据所述潜在的拜访网络的身份信息和所述根密钥生成预认证密钥，然后将所述预认证密钥发送给所述拜访网络的 AAA服务器；

所述终端根据所述终端的标识、所述家乡 AAA服务器的身份信息和 AAA密钥生成根密钥；当所述终端进入所述拜访网络时，所述终端获取所述拜访网络的身份信息，根据所述拜访网络的身份信息和所述根密钥生成所述第二预认证密钥。

10. 一种认证系统，其特征在于，所述认证系统包括终端和拜访网络的认证、授权和计费 AAA服务器：

所述终端，用于当进入家乡网络以外的拜访网络时，获取所述拜访网络的身份信息，根据所述拜访网络的身份信息选择所述拜访网络对应的第一预认证密钥材料和所述拜访网络对应的第一认证票据，所述第一认证票据携带所述第一预认证密钥材料，并根据所述预认证密钥材料对所述拜访网络的 AAA服务器进行身份认证；

所述拜访网络的 AAA服务器，用于根据所述第一预认证密钥材料对所述终端进行身份认证。

11. 根据权利要求 10所述的认证系统，其特征在于，所述认证系统还包括网络接入设备和家乡 AAA服务器：

所述网络接入设备，用于在所述终端进入所述拜访网络之前，判断所述终端所在的网络周围是否存在潜在的拜访网络，如果是，则向所述家乡 AAA服务器发送所述潜在的拜访网络的身份信息；

所述家乡 AAA服务器，用于收到所述网络接入设备发送的身份信息后，生成预认证密钥材料，并根据所述家乡网络与所述潜在的拜访网络之间的安全关系对所述预认证密钥材料以及相关参数进行加密生成票据密钥信息，将所述家乡 AAA服务器的身份信息、所述潜在的拜访网络的身份信息和所述票据密钥信息作为认证票据，然后将所述预认证密钥材料和所述认证票据，以及所述潜在的拜访网络的身份信息发送给所述终端。

12. 一种终端装置，其特征在于，所述终端具体包括：

13. 根据权利要求 12所述的终端装置，其特征在于，所述第一认证模块具体包括：第一生成单元，用于根据所述选择模块选择的第一预认证密钥材料生成第一认证信息；第一发送单元，用于将所述第一生成单元生成的第一认证信息和所述选择模块选择的第一认证票据发送给所述拜访网络的 AAA服务器；

第四生成单元，用于在收到第三认证信息后，根据所述拜访网络的 AAA服务器生成所述第三认证信息相同的规则生成第四认证信息；

第一判断单元，用于判断所述第四生成单元生成的第四认证信息与所述第三认证信息是否相同，如果是，则所述终端对所述拜访网络的 AAA服务器的认证通过。

14.一种拜访网络的认证、授权和计费 AAA服务器，其特征在于，所述拜访网络的 AAA 服务器具体包括：

密钥获取模块，用于收到终端发送的第一认证信息和第一认证票据后，从所述第一认证票据中获取第一预认证密钥材料；

第二判断模块，用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第一认证信息是否相同，如果是，则所述拜访网络的 AAA服务器对所述终端的认证通过；

第三生成模块，用于生成第三认证信息；

15. 一种认证系统，其特征在于，所述认证系统包括终端和拜访网络的认证、授权和计费 AAA服务器：

所述拜访网络的 AAA服务器，用于根据所述第二预认证密钥对所述终端进行身份认证。

16. 根据权利要求 15所述的认证系统，其特征在于，所述认证系统还包括网络接入设备和家乡 AAA服务器：

所述网络接入设备，用于在所述终端进入所述拜访网络之前，判断所述终端所在的网络周围是否存在潜在的拜访网络如果是，则向所述家乡 AAA服务器发送所述潜在的拜访网络的身份信息；

所述家乡 AAA服务器，用于收到所述网络接入设备发送的潜在的拜访网络的身份信息后，根据所述终端的标识、所述家乡 AAA服务器的身份信息和 AAA密钥生成根密钥，所述 AAA密钥为所述家乡 AAA服务器对所述终端进行可扩展的身份验证协议 EAP认证产生的密钥材料；根据所述网络接入设备发送的潜在的拜访网络的身份信息和所述根密钥生成预认证密钥，然后将所述预认证密钥发送给所述拜访网络的 AAA服务器。

17. 一种终端装置，其特征在于，所述终端具体包括：

获取模块，用于当所述终端进入家乡网络以外的拜访网络时，获取拜访网络的身份信息; 第一生成模块，用于根据所述获取模块获取的拜访网络的身份信息生成第二预认证密钥; 第一认证模块，用于根据所述第一生成模块生成的第二预认证密钥对所述拜访网络的 AAA服务器进行身份认证。 18 根据权利要求 17所述的终端装置，其特征在于，所述第一认证模块具体包括：第一生成单元，用于根据所述第一生成模块生成的第二预认证密钥生成第一认证信息；第一发送单元，用于将所述第一生成模块生成的第一认证信息发送给所述拜访网络的 AAA服务器；

19 一种拜访网络的认证、授权和计费 AAA服务器装置，其特征在于，所述拜访网络的 AAA服务器具体包括：

第三生成模块，用于生成第三认证信息；

第二发送模块，用于将所述第三生成模块生成的第三认证信息发送给所述终端。