WO2010063190A1

WO2010063190A1 - 协商认证方式的方法、装置和系统

Info

Publication number: WO2010063190A1
Application number: PCT/CN2009/073790
Authority: WO
Inventors: 张伟
Original assignee: 华为终端有限公司
Priority date: 2008-12-04
Filing date: 2009-09-07
Publication date: 2010-06-10
Also published as: CN101753533A

Description

协商认证方式的方法、装置和系统

本申请要求于 2008 年 12 月 4 日提交中国专利局、申请号为 200810218044.6, 发明名称为 "协商认证方式的方法、装置和系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通信领域，尤其涉及一种协商认证方式的方法、装置和系统。

背景技术

微波接入全球互操作性（ Worldwide Interoperability for Microwave Access, WiMAX) 是基于美国电气与电子工程师协会（Institute of Electrical and Electronics Engineering, IEEE) 802.16规范的一项新兴宽带无线接入技术，它能提供面向互联网的高速连接和远距离覆盖，具有服务质量（Quality of Service, QoS ) 保障、传输速率高、业务丰富、安全可靠、支持高速移动等优点。 WiMAX采用了代表未来通信技术发展方向的正交频分复用 ( Orthogonal Frequency Division Multiplexing , OFDM ) 、正交频分多址 ( Orthogonal Frequency Division Multiple Access， OFDMA ) 、多进多出 (Multiple Input Multiple Output, MIMO) 等先进技术。

WiMAX 的安全接入是通过认证来完成的。认证涉及的网元有移动台 ( Mobile Station, MS ) ，基站 ( Base Station , BS ) ，网关 ( Gateway , GW ) ，认证、鉴权、计费 ( Authentication Authorization Accounting , AAA) 服务器。在入网的基本能力 ( SSBasicCapabilities, SBC ) 协商中， MS与 GW将进行认证策略 (Authorization policy)协商，即双方采用可扩展认证 1 "办议 (Extensible Authentication Protocol, EAP) 认证或 RSA认证或不支持认证。对于符合 IEEE802.16e规范的设备来说，如果 MS与 GW都支持认证，那么双方将采用 EAP认证。 EAP本身支持多种认证方式，如当前广泛使用的可扩展认证协议 -传输层安全（EAP- Transport Layer Security, EAP- TLS ) 、可扩展认证协议-隧道传输层安全（EAP- Tunnel Transport Layer Security， EAP-TTLS ) 、可扩展认证协议-认证密钥协议（ EAP- Authentication and Key Agreement, EAP-AKA) 、可扩展认证协议-用户身份鉴别模件 (EAP- Subscriber Identification Module, EAP-SIM) 等。而且，对于一些认证方式如 EAP-TTLS, 认证中可以建立安全隧道，在安全隧道中还可以进行挑战握手认证协议 (Challenge Handshake Authentication Protocol, CHAP) 、 MS-CHAPv MS-CHAPv2认证。

认证双方需要确定共同的认证方式进行后续的认证，目前终端 (如 MS) 与网络侧 (如 GW或 AAA服务器)采用人工进行认证方式、隧道方法的相应配置。但由于用户不是专业人员，其配置操作无法保证正确性。并且目前各种商用终端和 GW (或 AAA服务器)都实现了各种主要的 EAP认证方式，如果终端 MS与网络侧设备 (GW或 AAA)是不同厂商的，则终端与网络侧设备之间的互联互通性将无法实现。

发明内容

本发明实施例提供一种协商认证方式的方法，通过在认证前终端和网络侧的动态协商，确定终端和网络侧双方都支持的认证方式，从而免除认证前的配置过程，增强不同厂家的终端与网络侧的互联互通性。

本发明实施例还提供一种协商认证方式的装置和系统。

根据上述目的，本发明实施例的技术方案是这样实现的：

一种协商认证方式的方法，包括：发送携带终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；接收所述认证服务器发送的所述双方都支持的认证方式。

一种协商认证方式的方法，包括：接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求；根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式，确定双方都支持的认证方式；将所述双方都支持的认证方式发送给所述认证服务器。

一种终端，包括：发送单元，用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；接收单元，与所述发送单元相连，用于接收所述认证服务器发送的所述双方都支持的认证方式。

一种基站，包括：接收单元，用于接收终端发送的携带终端支持的认证方式的基本能力请求消息，以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答；封装单元，用于将所述终端支持的认证方式封装到所述第一协商请求中，以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中；发送单元，用于将所述第一协商请求发送到所述认证服务器，以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。

一种认证服务器，包括：接收单元，用于接收终端发送的携带终端支持的认证方式的第一协商请求；决策单元，用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式；发送单元，用于发送所述双方都支持的认证方式给所述终而。

一种协商认证方式的系统，包括依次连接的终端、基站和认证服务器，所述终端，用于发送携带终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；并接收所述认证服务器发送的所述双方都支持的认证方式。

一种终端，包括：接收单元，用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求；决策单元，用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；发送单元，用于将所述双方都支持的认证方式发送给所述认证服务器。

一种认证服务器，包括：发送单元，用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端，以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；接收单元，用于接收所述终端发送的所述双方都支持的认证方式。

一种协商认证方式的系统，包括连接的终端和认证服务器，所述终端，用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求；根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；并将所述双方都支持的认证方式发送给所述认证服务器。

从上述方案可以看出，本发明实施例提供的协商认证方式的方法、装置和系统，终端和认证服务器之间通过在认证前协商双方都支持的认证方式，从而确定后续认证要使用的共同的认证方式，避免用户等人为参与，保证认证的正常进行，并且也能实现不同厂商的终端与网络侧设备的互通。

附图说明

图 1是本发明第一实施例中协商认证方式的方法流程图；

图 2是本发明第二实施例中协商认证方式的方法交互流程图；图 3是本发明第三实施例中协商认证方式的方法流程图；

图 4是本发明第四实施例的终端的结构示意图；

图 5是本发明第五实施例的基站的结构示意图；

图 6是本发明第六实施例的认证服务器的结构示意图；

图 7是本发明第八实施例的终端的结构示意图；

图 8是本发明第九实施例的认证服务器的结构示意图；

图 9是本发明第十实施例的协商认证方式的系统的结构示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明实施例作进一步的详细描述。

本发明的第一实施例提供了一种协商认证方式的方法，如图 1所示。步骤 101 : 终端发送携带终端支持的认证方式的第一协商请求到认证服务器，此步骤使得所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送给终

4

而。

步骤 102: 该终端接收所述认证服务器发送的所述双方都支持的认证方式。

综上所述，采用本发明实施例的协商认证方式的方法，确定了后续认证要使用的共同的认证方式，避免人为参与，从而保证认证过程的正常进行。

本发明的第二实施例提供了一种协商认证方式的方法，如图 2所示，是终端、基站和认证服务器之间的交互流程图。

步骤 201 : 终端发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站。

步骤 202: 基站将所述终端支持的认证方式封装到第一协商请求中。歩骤 203 : 基站将封装好的第一协商请求发送给所述认证服务器。步骤 204: 认证服务器收到第一协商请求后，根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式。

其中，认证服务器确定双方都支持的认证方式，根据的是终端是否通过用户验证。当终端首次发放时，终端中包含数字证书，如以 WIMAX终端为例，终端中还包括初次使用时通信的频点信息。当终端首次开机上电时，终端和认证服务器的交互采取设备认证的方法。当终端采取设备认证首次运行，在预存的频点上使用数字证书与认证服务器通信，开户（开通用户名和密码等用户账户信息）和需要的业务。

当终端被重启后，由于终端已经有用户名和密码等用户账户信息，此时终端和认证服务器的认证采用的是用户认证，认证方式的安全程度高于终端首次使用时的设备认证。

认证服务器根据终端是否是首次上电，判断应该和终端确定怎样的一种双方都支持的认证方式。

当终端是首次使用时，认证服务器从终端支持的认证方式、和自己支持的认证方式中，选择与设备认证对应的认证方式。如 EAP-TLS是一种与设备认证对应的认证方式，当终端支持的认证方式和自己支持的认证方式中都有这种认证方式时，认证服务器可以选择这种和设备认证对应的认证方式作为协商结果，以供后续的认证过程使用。

当终端在首次使用后经过重新启动后和认证服务器通信，可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有

EAP-TTLS. EAP-AKA和 EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时，认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。

步骤 205: 认证服务器发送第一协商应答给基站。

歩骤 206: 基站收到第一协商应答后，将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。

歩骤 207: 基站发送封装好的基本能力应答消息给终端。

本实施例提供的协商认证方式的方法在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商之前，还包括终端和基站之间的包括测距等入网初始化的流程。

本实施例的终端具体可以是移动台，移动台支持的认证方式包含在基本能力请求中发送给基站。基站进行重新封装后，携带在终端状态改变请求中发给认证服务器。同样的，认证服务器确定双方都支持的认证方式后，通过终端状态改变应答将双方都支持的认证方式携带其中，发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中，并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后，可以进行后续的认证过程。

具体地，终端支持的认证方式和终端、认证服务器都支持的认证方式釆用类型 -长度 -内容（Type-Length- Value, TLV ) 三元组表示。更进一歩，可通过 TLV中的内容字段的布尔类型的数值表示，以表 1为例-

该 TLV的长度为 1个或两个字节，其每位可以事先定义与一种认证方式相对应，若该位置 1，即表示支持该种认证方法，如：若 Bit#0置 1，则表示支持 EAP-TLS方法。在能力协商中， MS在基本能力请求消息中携带该 TLV，上报给 BS， BS再通过终端状态改变请求发送给认证服务器（认证服务器具体可以设置在网关 GW中）。 GW此时可以选取与 MS共同支持的某种认证方法，通过终端状态改变应答消息发送给 BS， BS再通过基本能力应答消息发送给 MS。

EAP-TTLS是一种可以进行隧道认证的认证方式，其中隧道用于传送用户名、密码等需加密的数据。如果采用这种认证方式传送终端支持的认证方式和终端、认证服务器都支持的认证方式，则还需要在隧道认证中定义如下表所示的 TLV:

Type Length Value 待定 1个或 2个字节每位代表一种隧道认证方法，如果置 1，则表明终端支持此认证方法，如：

B麵： CHAP

Bit#l : MSCHAPvl

Bit#l : MSCHAPv2

表 2

在上表中，若 Bit#0置 1，则表示支持 CHAP方法。隧道认证的协商方法和表 1对应的实施例中的协商认证方式的方法相似，此处不再赘述。

综上所述，釆用本发明实施例的协商认证方式的方法，通过在终端、基站和认证服务器间在进行认证之前的能力协商过程中，增加携带终端认证方式和终端和认证服务器都支持的认证方式的 TLV，实现终端和认证服务器在认证过程之前的认证方式的动态协商，使后续的认证能顺利进行。

本发明的第四实施例提供了一种终端，如图 4所示，包括互相连接的发送单元和接收单元。

其中发送单元用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送。

接收单元用于接收所述认证服务器发送的所述双方都支持的认证方式。具体的，该发送单元用于发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站，所述基站将所述终端支持的认证方式封装到所述第一协商请求中后，发送所述第一协商请求到所述认证服务器。

接收单元具体用于接收由基站发送的包含所述双方都支持的认证方式的基本能力应答消息。

其中，所述基本能力应答消息中的所述双方都支持的认证方式，由所述基站接收到所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答后，将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。

本实施例中的协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商的能力协商之前，还包括终端和基站之间的包括测距等入网初始化的流程。

该实施例中，终端支持的认证方式和双方都支持的认证方式可以通过类型 -长度 -内容三元组表示，具体可参考表 1和表 2对应的实施例，此处不再赘述。

上述实施例中的终端通过向网络侧的认证服务器发起协商第一协商请求，使得网络侧的认证服务器根据自身支持的认证方式和终端上报的自身支持的认证方式选择双方都支持的认证方式，保证后续的认证的正常进行，无需手工配置，并也能保证终端与网络侧的互通。

本发明的第五实施例提供了一种基站，如图 5所示，包括依次互相连接的接收单元、封装单元和发送单元。

其中，接收单元用于接收终端发送的携带终端支持的认证方式的基本能力请求消息，以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答。

封装单元用于将所述终端支持的认证方式封装到所述第一协商请求中，以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中。发送单元用于将所述第一协商请求发送到所述认证服务器，以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。

本实施例的协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商的能力协商之前，还包括终端和基站之间的包括测距等入网初始化的流程。

上述实施例中的基站为所述终端服务的当前基站，通过将终端发送的终端支持的认证方式重新封装到第一协商应答中，并发送给认证服务器，使得认证服务器能够根据终端支持的认证方式和认证服务器自身支持的认证方式，选择适合终端和认证服务器的认证方式，为后续的认证过程做好了准备。

本发明的第六实施例提供了一种认证服务器，如图 6所示，包括依次互相连接的接收单元、决策单元和发送单元。

接收单元用于接收终端发送的携带终端支持的认证方式的第一协商请求。

决策单元用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式。

发送单元用于发送所述双方都支持的认证方式给所述终端。

进一歩的，上述决策单元包括判断单元和确定单元。

所述判断单元用于判断所述终端是否通过用户认证和设备认证；所述确定单元用于当所述终端通过用户认证时，确定双方都支持的认证方式为所述用户认证对应的认证方式；

所述确定单元还用于当所述终端通过设备认证、未通过用户认证时，确定双方都支持的认证方式为所述设备认证对应的认证方式。

当终端在首次使用后经过重新启动后和认证服务器通信，可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有 EAP-TTLS, EAP-AKA和 EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时，认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。

在终端和认证服务器之间传递的终端支持的认证方式和终端、认证服务器都支持的认证方式，采用类型 -长度 -内容（Type-Length-Value, TLV) 三元组表示。具体三元组的定义和传递过程，可参考表 1 和表 2对应的实施例。该认证服务器具体可以设置在网关等网络设备中。

综上所述，本发明实施例的认证服务器，根据终端传递的终端支持的认证方式和认证服务器自身支持的认证方式，以及终端是否通过用户认证，确定终端和认证服务器在认证过程中应选择的认证方式，为后续两者之间的认证通信进行了铺垫，并且该协商过程无需手工配置，也保证了终端与网络侧的互通。

本发明的第七实施例提供了一种协商认证方式的系统，如图 2所示，包括依次连接的终端、基站和认证服务器。

其中，终端用于发送携带终端支持的认证方式的第一协商请求到认证服务器，所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送。

所述终端接收所述认证服务器发送的所述双方都支持的认证方式。上述协商认证方式在终端和基站之间的能力协商的过程中进行。在终端和基站之间的能力协商之前，还包括终端和基站之间的包括测距等入网初始化的流程。

在上述协商认证方式的方法中，认证服务器确定双方都支持的认证方式，根据终端是否通过用户验证。当终端首次发放时，终端中包含数字证书，如以 WIMAX终端为例，终端中还包括初次使用时通信的频点信息。当终端首次开机上电时，终端和认证服务器的交互采取设备认证的方法。当终端采取设备认证首次运行，在预存的频点上使用数字证书与认证服务器通信，开户（开通用户名和密码等用户账户信息）和需要的业务。

当终端被重启后，由于终端己经有用户名和密码等用户账户信息，此时终端和认证服务器的认证采用的是用户认证，认证方式的安全程度高于终端首次使用时的设备认证。认证服务器根据终端是否是首次上电，判断应该和终端确定怎样的一种双方都支持的认证方式。

当终端在首次使用后经过重新启动后和认证服务器通信，可以认为终端和认证服务器采取的是用户认证的方式。与用户认证对应的认证方式有 EAP-TTLS. EAP-AKA和 EAP-SIM等。当终端支持的认证方式和认证服务器支持的认证方式中都有以上几种认证方式时，认证服务器可从中选择一种认证方式作为认证过程使用的认证方式。

本实施例的终端具体可以是移动台，移动台支持的认证方式可以包含在基本能力请求中发送给为该移动台服务的当前基站。基站进行重新封装后，携带在终端状态改变请求中发给认证服务器。同样的，认证服务器确定双方都支持的认证方式后，通过终端状态改变应答将双方都支持的认证方式携带其中，发送给基站。基站将此双方都支持的认证方式重新封装到基本能力应答消息中，并把这个基本能力应答消息发送给移动台。当上述的认证方式协商完成后，可以进行后续的认证过程。

关于终端支持的认证方式和终端和认证服务器都支持的认证方式在传递中的表示方式，可使用类型 -长度 -内容三元组 TLV表示，具体可参照方法实施例中表 1和表 2对应的实例的说明，此处不再赘述。

综上所述，采用本发明实施例的协商认证方式的系统，终端、基站和认证服务器间在进行认证之前的能力协商过程中，增加了携带终端认证方式和终端和认证服务器都支持的认证方式的 TLV，实现终端和认证服务器在认证过程之前的认证方式的动态协商，使后续的认证能顺利进行。本发明的第三实施例提供了一种协商认证方式的方法，如图 3所示。歩骤 301，终端接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求。

步骤 302，终端根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式，确定双方都支持的认证方式。

步骤 303，终端将所述双方都支持的认证方式发送给所述认证服务器。本实施例中的协商认证方式不同于第一实施例和第二实施例中的协商认证方式，本实施例中的协商认证方式在基本能力协商完成后进行，即在 EAP认证流程中实现。

具体的，该协商认证方式在终端和认证服务器之间传递终端身份标识后，并且在 EAP认证数据交互之前进行。在本实施例的协商认证方式之前进行的终端身份标识的传递，是认证服务器要求终端上传用户标识，以便认证服务器根据该标识校验终端和用户的身份。

综上所述，釆用本发明实施例的协商认证方式的方法，在 EAP认证流程中进行，确定了后续认证要使用的共同的认证方式，避免人为参与，从而保证认证过程的正常进行。

上述实施例的协商认证方式的方法中，第二协商请求为可扩展认证协议请求。双方都支持的认证方式携带在可扩展认证协议应答中发送给所述认证服务器。

在上述可扩展认证协议请求和可扩展认证协议应答中，终端和认证服务器双方都支持的认证方式可以通过类型 -数值表示，进一步可以通过所述类型-数值中的数值字段的布尔类型的数值表示，如下表 3所示。

Type Type-Data

表 3

表 3中，可以将 Type定义为 EAP-TYPE-NEGO，以区别于其他 EAP认证方式（如 EAP-TTLS认证方式等）。对于 EAP认证方式，以 EAP-TTLS 为例， Type-Data区域是 EAP-TTLS认证方式对应的类型数据。在上面表 3 中， Type-Data区域的长度不定，可以为一个字节，也可为两个字节。具体根据终端和认证服务器协商的结果确定其长度。

当协商中 EAP认证方式是在其认证过程中不需要建立安全隧道时， Type-Data区域的长度为一个字节。此时这一个字节表示认证方式的方法，可参照表 1中 Value的定义方式，即每位代表一种认证方法，当用到某种认证方式时，代表该认证方式的比特位置一，否则置零。例如如果在比特位 0 代表 EAP-TLS, 当终端和认证服务器协商的认证方式为 EAP-TLS时，比特位 0置一。

当协商中 EAP认证方式是在其认证过程中需要建立安全隧道时， Type-

Data区域的长度为两个字节。例如使用 EAP-TTLS 的认证方式，在第一个字节的每位代表一种认证方式（如前所述），而第二个字节的每位代表代表一种隧道方法。例如对于 EAP-TTLS的认证方式，在 Type-Data区域的第二个字节区域的比特位 0代表 CHAP隧道认证，则当终端和认证服务器协商的 EAP-TTLS的隧道认证认证方式为 CHAP时，比特位 0置一。

在本实施例具体的认证过程中，认证服务器通过和终端的通信可以知道终端是否是首次上电，了解终端是否己经通过用户认证。当终端是首次上电和认证服务器通信时，终端和认证服务器之间的认证使用的是终端发放时就内置的数字证书，认证服务器可以判断终端和认证服务器应该使用设备认证对应的认证方式。而如果终端是除首次上电和认证服务器通信外的任何一次和认证服务器通信，则这时的终端应该是已经通过了设备认证，从认证服务器获取了和用户认证相关的数据，可以和认证服务器之间进行用户认证。因此除了终端首次上电和认证服务器的通信外，终端和认证服务器地认证应该是用户认证对应的认证方式。

由于认证服务器可以判断终端当前与其的通信使用的是用户认证还是设备认证，因此认证服务器可以从用户认证或设备认证对应的多种认证方式中选择一种，发送给终端。例如，当认证服务器确认本次和终端的通信使用的是用户认证时，认证服务器可以从 EAP-TTLS、 EAP-A A、 EAP-SIM等和用户认证对应的认证方式中选择一种，作为第一认证方式，例如 EAP- TTLS , 发送给终端。此时，终端收到认证服务器发送的 EAP-TTLS认证方式后，对比自身支持的认证方式，如果自己支持的认证方式也是 EAP- TTLS , 则给认证服务器一个确认结果，即认证服务器和终端都支持的认证方式。但如果终端发现自身支持的认证方式和认证服务器发送的认证方式不同，则终端会继续请求认证服务器发送其支持的第二认证方式。认证服务器根据该请求，继续发送给终端另一种认证服务器支持的认证方式等待终端判断，直到终端确认认证服务器发送的其支持的认证方式与自身支持的认证方式相同，终端会发送这个双方都支持的认证方式给认证服务器作为应答。

综上所述，本发明实施例的协商认证方式的方法，在认证过程的初期增加协商认证的方式，认证服务器发起终端确认共同支持的认证方式的消息，终端响应该消息并确定双方都支持的认证方式，仍然能够在认证进行之前进行认证方式的动态协商，使得后续的认证更有针对性，且有别于现有技术中的需要人工参与，并实现不同厂家间终端和网络侧的互通性。

本发明第八实施例提供了一种终端，如图 7所示，包括依次连接的接收单元、决策单元和发送单元。

接收单元用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求。

决策单元用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式。

发送单元用于将所述双方都支持的认证方式发送给所述认证服务器。上述决策单元进一步包括判断单元和确定单元。

所述判断单元用于判断所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式是否相同。所述确定单元，与所述判断单元相连，用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式相同时，确认所述双方都支持的认证方式为所述终端自身支持的认证方式。

所述发送单元，与所述判断单元相连，还用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式不同时，向所述认证服务器发送要求所述认证服务器支持的第二认证方式的请求。

所述接收单元，还用于接收所述认证服务器根据所述请求发送的所述认证服务器支持的第二认证方式；

所述判断单元，还用于判断所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式是否相同；

所述确定单元，与所述判断单元相连，用于当所述认证服务器支持的第二认证方式与所述终端自身支持的认证方式相同时，确认所述双方都支持的认证方式为所述终端自身支持的认证方式。

本实施例的终端具体可以是移动台，认证服务器具体可以设置在网关中。

综上所述，采用本发明实施例的终端，在认证服务器发起终端确认共同支持的认证方式的消息后，响应该消息并确定双方都支持的认证方式，仍然能够在认证进行之前进行认证方式的动态协商，使得后续的认证更有针对性，且有别于现有技术中的需要人工参与，并实现不同厂家间终端和网络侧的互通性。

本发明第九实施例提供了一种认证服务器，如图 8所示，包括连接的发送单元和接收单元。

发送单元用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端，以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式。接收单元用于接收所述终端发送的所述双方都支持的认证方式。

接收单元，还用于接收所述终端发送的要求所述认证服务器支持的第二认证方式的请求；

所述发送单元，还用于根据所述请求，将所述认证服务器支持的第二认证方式发送给所述终端。

本实施例提供的认证服务器，在终端提出再次提供认证服务器支持的认证方法后，为终端提供认证服务器支持的其他认证方法，以保证其与终端支持的认证方法相同，进一步保障了动态协商的成功进行，为后续的协商过程做好了准备。

本发明第十实施例提供了一种协商认证方式的系统，如图 9所示，包括终端和认证服务器。

其中，终端用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求；根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；并将所述双方都支持的认证方式发送给所述认证服务器。

如果终端发现自身支持的认证方式和认证服务器发送的第一认证方式不同，则终端会继续请求认证服务器发送其支持的第二认证方式。认证服务器根据该请求，继续发送给终端另一种认证服务器支持的认证方式等待终端判断，直到终端确认认证服务器发送的其支持的认证方式与自身支持的认证方式相同，终端会发送这个双方都支持的认证方式给认证服务器作为应答。

综上所述，采用本发明实施例的协商认证方式的系统，认证服务器发起终端确认共同支持的认证方式的消息，终端响应该消息并确定双方都支持的认证方式，仍然能够在认证进行之前进行认证方式的动态协商，使得后续的认证更有针对性，且有别于现有技术中的需要人工参与，并实现不同厂家间终端和网络侧的互通性。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求书

1、一种协商认证方式的方法，其特征在于，包括- 发送携带终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；

接收所述认证服务器发送的所述双方都支持的认证方式。

2、根据权利要求 1所述的方法，其特征在于，所述发送携带终端支持的认证方式的第一协商请求到认证服务器包括：

发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站，由所述基站将所述终端支持的认证方式封装到所述第一协商请求中后，并发送所述第一协商请求到所述认证服务器。

3、根据权利要求 2所述的方法，其特征在于，所述接收所述认证服务器发送的所述双方都支持的认证方式包括：

接收由所述基站发送的包含所述双方都支持的认证方式的基本能力应答消息；所述基本能力应答消息中的所述双方都支持的认证方式，由所述基站从所述认证服务器接收到携带所述双方都支持的认证方式的第一协商应答后，将所述第一协商应答中的所述双方都支持的认证方式封装到所述基本能力应答消息中。

4、根据权利要求 3所述的方法，其特征在于，

所述第一协商请求为终端状态改变请求；

所述第一协商应答为终端状态改变应答。

5、根据权利要求 1-4任一项所述的方法，其特征在于，所述终端支持的认证方式和所述双方都支持的认证方式通过类型 -长度 -内容三元组表示。

6、根据权利要求 5所述的方法，其特征在于，所述终端支持的认证方式和所述双方都支持的认证方式，进一歩通过所述三元组中的内容字段的布尔类型的数值表示。

7、一种协商认证方式的方法，其特征在于，包括- 接收认证服务器发送的携带所述认证服务器支持的认证方式的第二协商请求；

根据终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的认证方式，确定双方都支持的认证方式；

将所述双方都支持的认证方式发送给所述认证服务器。

8、根据权利要求 7所述的方法，其特征在于，

所述第二协商请求为可扩展认证协议请求；

所述双方都支持的认证方式携带在可扩展认证协议应答中发送给所述认证服务器。

9、根据权利要求 7-8所述的方法，其特征在于，所述认证服务器支持的认证方式和所述双方都支持的认证方式通过类型 -数值表示。

10、根据权利要求 9所述的方法，其特征在于，所述认证服务器支持的认证方式和所述双方都支持的认证方式，进一步通过所述类型 -数值中的数值字段的布尔类型的数值表示。

11、一种终端，其特征在于，包括：

发送单元，用于发送携带所述终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；接收单元，与所述发送单元相连，用于接收所述认证服务器发送的所述双方都支持的认证方式。

12、根据权利要求 11所述的终端，其特征在于，

所述发送单元，具体用于发送携带终端支持的认证方式的基本能力请求消息给为所述终端服务的当前基站，由所述基站将所述终端支持的认证方式封装到所述第一协商请求中后，发送所述第一协商请求到所述认证服务器。

13、根据权利要求 12所述的终端，其特征在于，所述接收单元，具体用于接收由所述基站发送的包含所述双方都支持的认证方式的基本能力应答消息；

14、一种基站，其特征在于，包括- 接收单元，用于接收终端发送的携带终端支持的认证方式的基本能力请求消息，以及用于接收所述认证服务器发送的携带所述双方都支持的认证方式的第一协商应答；

封装单元，用于将所述终端支持的认证方式封装到所述第一协商请求中，以及用于将所述第一协商应答中的所述双方都支持的认证方式封装到基本能力应答消息中；

发送单元，用于将所述第一协商请求发送到所述认证服务器，以及用于发送包含所述双方都支持的认证方式的基本能力应答消息给所述终端。

15、一种认证服务器，其特征在于，包括：

接收单元，用于接收终端发送的携带终端支持的认证方式的第一协商请求；

决策单元，用于根据所述认证服务器自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式；

发送单元，用于发送所述双方都支持的认证方式给所述终端。

16、根据权利要求 15所述的认证服务器，其特征在于，所述决策单元包括判断单元和确定单元，

所述判断单元用于判断所述终端是否通过用户认证和设备认证；所述确定单元用于当所述终端通过用户认证时，确定双方都支持的认证方式为所述用户认证对应的认证方式；所述确定单元还用于当所述终端通过设备认证、未通过用户认证时，确定双方都支持的认证方式为所述设备认证对应的认证方式。

17、一种协商认证方式的系统，其特征在于，包括依次连接的终端、基站和认证服务器，其特征在于，

所述终端，用于发送携带终端支持的认证方式的第一协商请求到认证服务器，以使所述认证服务器根据自身支持的认证方式和所述第一协商请求中的所述终端支持的认证方式，确定双方都支持的认证方式并发送；并接收所述认证服务器发送的所述双方都支持的认证方式。

18、一种终端，其特征在于，包括：

接收单元，用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求；

决策单元，用于根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；发送单元，用于将所述双方都支持的认证方式发送给所述认证服务器。

19、根据权利要求 18所述的终端，其特征在于，所述决策单元包括判断单元和确定单元，

所述判断单元，用于判断所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式是否相同；

所述确定单元，与所述判断单元相连，用于当所述认证服务器支持的第一认证方式与所述终端自身支持的认证方式相同时，确认所述双方都支持的认证方式为所述终端自身支持的认证方式：

20、根据权利要求 19所述的终端，其特征在于，

21、一种认证服务器，其特征在于，包括- 发送单元，用于发送携带所述认证服务器支持的第一认证方式的第二协商请求给终端，以使所述终端根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；

接收单元，用于接收所述终端发送的所述双方都支持的认证方式。

22、根据权利要求 21所述的认证服务器，其特征在于，

所述接收单元，还用于接收所述终端发送的要求所述认证服务器支持的第二认证方式的请求；

23、一种协商认证方式的系统，包括连接的终端和认证服务器，其特征在于，

所述终端，用于接收认证服务器发送的携带所述认证服务器支持的第一认证方式的第二协商请求：根据所述终端自身支持的认证方式和所述第二协商请求中的所述认证服务器支持的第一认证方式，确定双方都支持的认证方式；并将所述双方都支持的认证方式发送给所述认证服务器。