CN101616407B - 预认证的方法和认证系统 - Google Patents
预认证的方法和认证系统 Download PDFInfo
- Publication number
- CN101616407B CN101616407B CN2008101270981A CN200810127098A CN101616407B CN 101616407 B CN101616407 B CN 101616407B CN 2008101270981 A CN2008101270981 A CN 2008101270981A CN 200810127098 A CN200810127098 A CN 200810127098A CN 101616407 B CN101616407 B CN 101616407B
- Authority
- CN
- China
- Prior art keywords
- authentication
- visited network
- aaa server
- information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种预认证的方法和认证系统,属于移动通信领域。所述方法包括:当MN进入家乡网络以外的拜访网络时,MN获取所述拜访网络的身份信息,根据拜访网络的身份信息选择预认证密钥材料和认证票据,该认证票据携带预认证密钥材料,拜访网络的AAA服务器和MN根据所述预认证密钥材料互相进行身份认证。所述认证系统包括:终端和AAA服务器。本发明通过在MN进入家乡网络以外的拜访网络时,根据获取的认证信息在该拜访网络中的VAAA上进行接入认证,从而在域间切换时不需要拜访网络的VAAA再到HAAA上进行认证,减少了域间切换的时延。
Description
技术领域
本发明涉及移动通信领域,特别涉及一种预认证的方法和认证系统。
背景技术
随着通信技术的发展,现代通信对移动性的要求越来越高,当前的移动通信要求MN在移动或漫游场景下可以正常地通信。
在移动场景下,MN(Mobile Node,移动节点,又称为移动终端)将不可避免地发生切换,即指MN的网络接入点(attach point)随着MN的移动而发生变化,根据切换前后attachpoint的相对位置,切换可以分为2层切换和3层切换,其中,3层切换又可以分为域内切换(旧的attach point与新的attach point在同一个AAA(Authentication、Authorization andAccounting,认证、授权和计费)服务器管辖范围内)和域间切换(旧的attach point与新的attach point在不同的AAA管辖范围内),一个完整的3层切换过程包含以下几个步骤:MN离开原来的attach point切换到新的attach point,进行新的入网认证,在新的attach point处建立相应的配置关系。
MN从原来的attach point切换到新的attach point需要耗费一段时间,在这段时间里通信将出现暂时的中断或者延时,对一些对实时性要求很高的业务(例如即时通信)而言,中断或延时越短越好。但是在实际应用中,由于目前采用的认证方式需要MN与AAA之间进行多轮交互,并且MN在外地时,依然需要在家乡进行认证,导致进行新的入网认证需要花费较长的时间,从而使切换产生的中断或延时超出了即时业务所能承受的极限。
现有技术中,通过快速重认证的方式减少切换产生的断或延时。快速重认证在双方的身份认证过程中,将以前认证所产生的授权或配置信息继承下来,由于无需重新生成授权及配置信息,因此快速重认证所需的交互及所做的工作少于普通的认证,因而节省了认证时间。快速重认证主要应用在3层域内切换中,具体过程如下:
MN在初次进行入网认证时,将与HAAA(Home AAA,家乡AAA服务器,即MN与之签约的AAA服务器)共同产生用于快速重认证的信息,该信息可以包括专用于快速重认证的ID及密钥等;
HAAA将快速重认证的信息发送给拜访网络的VAAA(Visit AAA,拜访域AAA服务器,即MN在外地时所处拜访网络的AAA服务器);
当MN的位置发生变化进入拜访网络时,MN将通过新的attach point向拜访网络的VAAA提供快速重认证的信息,VAAA根据HAAA预先发送的快速重认证的信息对MN作重认证。
快速重认证方式在MN进行切换时,减少了切换后的VAAA与HAAA在链路上的开销以及两者之间的交互次数。但是,快速重认证方式需要MN与VAAA之间有现成的安全关系,但是在域间切换场景下,由于新的VAAA与MN之间不存在该安全关系,因此快速重认证方式不适用于3层的域间切换。
在实现本发明的过程中,发明人发现上述现有技术中至少存在以下缺点:
在MN进行域间切换时,需要切换后的VAAA到HAAA上进行认证,切换产生的时延长。
发明内容
为了减少域间切换的延时时间,本发明实施例提供了一种预认证的方法和认证系统。所述技术方案如下:
本发明实施例提供了一种预认证的方法,所述方法包括:
当终端进入家乡网络以外的拜访网络时,所述终端获取所述拜访网络的身份信息,根据所述身份信息选择预认证密钥材料和认证票据,所述认证票据携带预认证密钥材料,所述拜访网络的AAA服务器和所述终端根据所述预认证密钥材料互相进行身份认证。
本发明实施例还提供了一种预认证的方法,所述方法包括:
当终端进入家乡网络以外的拜访网络时,所述终端获取所述拜访网络的身份信息,根据所述拜访网络的身份信息生成预认证密钥,所述终端和所述拜访网络的AAA服务器根据所述预认证密钥互相进行身份认证。
本发明实施例提供了一种认证系统,所述认证系统包括终端和拜访网络的AAA服务器:
所述终端,用于当进入家乡网络以外的拜访网络时,获取所述拜访网络的身份信息,根据所述拜访网络的身份信息选择预认证密钥材料和认证票据,所述认证票据携带预认证密钥材料,并根据所述根据所述预认证密钥材料对所述AAA服务器进行身份认证;
所述拜访网络的AAA服务器,用于根据所述预认证密钥材料对所述终端进行身份认证。
本发明实施例还提供了一种认证系统,所述认证系统包括终端和拜访网络的AAA服务器:
所述终端,用于当进入家乡网络以外的拜访网络时,获取所述拜访网络的身份信息,根据所述拜访网络的身份信息生成预认证密钥,并根据所述预认证密钥对所述拜访网络的AAA服务器进行身份认证;
所述拜访网络的AAA服务器,用于根据所述预认证密钥对所述终端进行身份认证。
本发明实施例提供的技术方案的有益效果是:
本发明实施例通过MN在进入家乡网络以外的拜访网络时,根据获取的认证信息在拜访网络的AAA服务器上进行入网认证,从而在域间切换时不需要拜访网络的AAA服务器再到HAAA上进行认证,减少了域间切换的时延。
附图说明
图1是本发明实施例1提供的预认证的方法的流程图;
图2是本发明实施例2提供的另一种预认证的方法的流程图;
图3是本发明实施例3提供的认证系统的结构示意图;
图4是本发明实施例3提供的认证系统中终端的结构示意图;
图5是本发明实施例3提供的认证系统中拜访网络的AAA服务器的结构示意图;
图6是本发明实施例4提供的认证系统的结构示意图;
图7是本发明实施例4提供的认证系统中终端的结构示意图;
图8是本发明实施例4提供的认证系统中拜访网络的AAA服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例通过在MN与拜访网络的AAA服务器之间预先建立起信任关系,从而减少新的入网认证所需的时间。
实施例1
本实施例中,HAAA在对MN进行接入认证的同时向它下发可用于访问家乡网络以外的拜访网络的认证票据(Ticket),该Ticket中含有由HAAA签发的,由MN与拜访网络作相互认证时使用的信任状以及相关的参数,这样MN在进入该拜访网络后,就可以通过该Ticket与该网络的VAAA进行接入认证。
参见图1,本发明实施例提供了一种预认证的方法,具体包括:
101:MN接入初始的网络接入设备,通过网络接入设备向HAAA执行接入认证。
当MN所在的网络为家乡网络时,可以直接向HAAA进行接入认证;当MN所在的网络为家乡网络以外的拜访网络时,MN通过拜访网络中的VAAA向HAAA进行认证,接入认证过程为现有技术,此处不再赘述。
进一步地,在接入认证过程中,HAAA会根据预先存储的MN的AAA profile(AAA描述信息)判断MN是否支持快速预认证,如果是,则执行下述102至113,其中,AAA profile是预先存储在HAAA里面的,包含MN的身份,MN所能享受的服务以及限制(例如,MN是否支持快速重认证)等信息。
102:MN所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络,即是否存在其它覆盖重叠的网络,如果是,则执行103;否则,执行117。
其中,网络接入设备可以根据底层技术,例如,对周围信号的感知以及网络部署时的规划,判断该网络周围是否存在潜在的拜访网络,该过程为现有技术,目前的网络接入设备可以做到,此处不再详述。
103:网络接入设备根据AAA协议向HAAA发送通知消息,该通知消息中携带潜在的拜访网络的身份信息。
104:HAAA收到网络接入设备发送的通知消息后,生成预认证密钥材料(pre-auth-key-file),例如,可以随机选取一组符合加密算法对密钥要求的数据作为pre-auth-key-file。
进一步地,HAAA收到网络接入设备发送的通知消息后还包括:
HAAA根据通知消息中的潜在的拜访网络的身份信息判断家乡网络与拜访网络之间是否存在安全关系,如果是,则HAAA生成预认证密钥材料;否则,家乡网络与拜访网络之间不能进行信息交互。
105:HAAA提取通知消息中携带的潜在的拜访网络的身份信息,根据家乡网络与各个拜访网络之间的安全关系对预认证密钥材料及相关参数进行加密生成相应的票据密钥信息。
其中,家乡网络与潜在的拜访网络之间的安全关系可以为家乡网络与潜在的拜访网络之间的预共享密钥,或者为潜在的拜访网络的公私钥对,本实施例中,以Kh-t表示家乡网络与潜在拜访网络之间的预共享密钥或者潜在的拜访网络的公私钥对。
上述用于生成票据密钥信息的参数中除了pre-auth-key-file外,相关参数至少包含以下几项信息:HAAA label、Target VAAA label、MN-ID、MN profile和lifetime,其中,每项信息表示的含义如下:HAAA label和Target VAAA label分别是能标识家乡网络和潜在的拜访网络 的身份信息;MN-ID表示MN的标识;MN profile表示MN的基本信息以及MN可以获得哪种服务;lifetime表示Ticket的有效期,根据Kh-t对pre-auth-key-file及相关参数进行加密生成的票据密钥信息具体表示如下:
Kh-t(pre-auth-key-file,HAAA label,Target VAAA label,MN-ID,MN profile,lifetime),
106:HAAA将HAAA本身的身份信息、潜在的拜访网络的身份信息和相应的票据密钥信息作为MN进入家乡网络以外的网络的认证票据(Ticket),即Ticket={HAAA label,TargetVAAA label,Kh-t(pre-auth-key-file,HAAA label,Target VAAA label,MN-ID,MN profile,lifetime)}。
107:HAAA将pre-auth-key-file、Ticket以及相应的潜在的拜访网络的身份信息发送给MN。
进一步地,为了保证以上信息的安全性,HAAA可以通过HAAA与MN之间的密钥对pre-auth-key-file、Ticket以及相应的潜在拜访网络的身份信息进行加密,将加密后的数据发送给MN。
108:当MN进入家乡网络以外的拜访网络时,MN获取该拜访网络的身份信息。
其中,MN可以从新进入的拜访网络中的网络设备广播的MAC(Media Access Control,媒体访问控制)消息中获取拜访网络的身份信息,该过程为现有技术,此处不再详述。
109:MN根据拜访网络的身份信息选择相应的Ticket,并根据pre-auth-key-file生成第一认证信息。
其中,MN可以根据pre-auth-key-file对选取的参数进行运算生成第一认证信息,参数可以为随机选取的一组数据等。
110:MN将生成的第一认证信息和选出的Ticket一起发送给拜访网络的VAAA。
进一步地,MN在将第一认证信息和Ticket发送给VAAA后,还将生成第一认证信息的参数发送给VAAA。
111:VAAA收到MN发送的Ticket后,从Ticket中获取预认证密钥材料。
从Ticket中获取预认证密钥材料的具体过程如下:
根据Ticket中的HAAA label选择相应的密钥对Ticket中的票据密钥信息进行解密得到pre-auth-key-file。
112:VAAA根据pre-auth-key-file采用与MN生成第一认证信息相同的规则生成第二认证信息。
113:VAAA判断生成的第二认证信息与MN发送的第一认证信息是否相同,如果两者相 同,则表明VAAA对MN的认证通过,执行114;否则,结束。114:拜访网络的VAAA生成第三认证信息,然后将第三认证信息发送给MN。
其中,VAAA生成第三认证信息的过程与MN生成第一认证信息的过程类似,根据pre-auth-key-file对选取的参数进行运算生成第三认证信息,参数可以为随机选取的一组数据等,VAAA在发送第三认证信息的同时也将选取的参数发送给MN。
115:MN收到VAAA发送的第三认证信息后,根据VAAA生成第三认证信息相同的规则生成第四认证信息,判断第四认证信息与MN生成的第三认证信息是否相同,如果是,则表明MN对VAAA的认证通过,执行116;否则,结束。
116:认证通过,MN可以与VAAA继续进行信息交互。
117:按域内切换的流程处理,该过程为现有技术,此处不再赘述。
本实施例中,102至107是在MN进行向HAAA进行EAP认证的过程中发生的,与101并无先后顺序,为了描述方便,将其放在了101的后面。
本实施例通过在MN进行初次入网认证的同时,由HAAA向它下发预认证密钥材料和包含预认证密钥材料的认证票据,在MN认证网络以外的拜访网络时,将预认证密钥材料和认证票据发送给拜访网络中的VAAA,VAAA根据认证票据对MN进行入网认证,从而不需要再到HAAA进行认证,减少了在VAAA至HAAA这段链路上的消耗,降低了域间切换的时延。
实施例2
本实施例中,在HAAA对MN进行EAP认证结束后,HAAA和MN根据认证产生的AAAkey(AAA密钥)生成根密钥,然后HAAA再根据根密钥生成预认证密钥,并将该预认证密钥发送给潜在的拜访网络的VAAA;当MN进入家乡网络以外的拜访网络时,首先根据根密钥生成预认证密钥,然后根据该预认证密钥向拜访网络的VAAA进行接入认证。参见图2,本发明实施例提供了另一种预认证的方法,具体包括:
201:MN接入初始的网络接入设备,通过网络接入设备向HAAA执行接入认证。
MN进行接入认证的过程与实施例1中所述相同,此处不再赘述。
202:MN所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络,如果是,则执行203;否则,执行214;
203:网络接入设备根据AAA协议向HAAA发送通知消息,该通知消息中携带潜在的拜访网络的身份信息。
204:接入认证完成后,MN和HAAA分别根据AAA key、HAAA的身份信息、MN的 标识(MN-ID)生成根密钥(pre-auth-root-key)。
其中,AAA key是在接入认证过程中,HAAA根据MN与AAA之间的预共享密钥产生的EMSK及由其派生的子密钥,生成的pre-auth-root-key如下:
pre-auth-root-key=prf(MN-ID,HAAA label,AAA key),prf表示密钥生成函数。
205:HAAA根据网络接入设备发送的通知消息中携带的潜在的拜访网络的身份信息和pre-auth-root-key生成预认证密钥(pre-auth-key),即pre-auth-key=prf(pre-auth-root-key,TargetVAAA label)。
206:HAAA将MN-ID和相应的pre-auth-key发送给相应的VAAA。
207:当MN进入家乡网络以外的拜访网络时,获取该拜访网络的身份信息(Target VAAAlabel)。
208:MN根据Target VAAA label和pre-auth-root-key生成pre-auth-key,并根据pre-auth-key生成第一认证信息,将生成的第一认证信息发送到VAAA。
其中,MN根据pre-auth-key生成第一认证信息的方法与实施例1中所述相同,此处不再赘述,并且MN在将pre-auth-key和第一认证信息发送给VAAA后,还要将生成第一认证信息的参数发送给VAAA。
209:VAAA收到MN发送的第一认证信息后,根据HAAA发送的预认证密钥和MN发送的生成第一认证信息的参数,采用与MN生成第一认证信息相同的规则生成第二认证信息。
210:VAAA判断生成的第二认证信息与MN发送的第一认证信息是否相同,如果是,则表明VAAA对MN的认证通过,执行211;否则,结束。211:VAAA生成第三认证信息,然后将第三认证信息发送给MN。212:MN收到VAAA发送的第三认证信息后,根据与VAAA生成第三认证信息相同的规则生成第四认证消息,判断MN生成的第四认证信息与第三认证信息是否相同,如果是,则表明MN对VAAA的认证通过,执行213;否则,结束。
213:认证通过,MN可以与Target VAAA继续进行信息交互。
214:按域内切换的流程处理,该过程为现有技术,此处不再赘述。
本实施例中,202至203是在MN向HAAA进行EAP认证的过程中发送的,与201并无先后顺序,为了描述方便,将其放在了201的后面。
本实施例通过HAAA预先向家乡网络以外的拜访网络中的VAAA发送MN预认证密钥,在MN进入该网络后,VAAA根据预先收到的预认证密钥对MN进行接入认证,使得MN在进入家乡网络以外的网络时可以直接在该拜访网络的VAAA上进行入网认证,从而不需要再 到HAAA进行认证,减少了在VAAA至HAAA这段链路上的消耗,降低了切换时延。
实施例3
参见图3,本发明实施例提供了一种认证系统,该认证系统包括终端和拜访网络的AAA服务器:
终端,用于当进入家乡网络以外的拜访网络时,获取拜访网络的身份信息,根据拜访网络的身份信息选择预认证密钥材料和认证票据,认证票据携带预认证密钥材料,并根据预认证密钥材料对拜访网络的AAA服务器进行身份认证;
拜访网络的AAA服务器,用于根据预认证密钥材料对终端进行身份认证。
参见图4,上述终端可以具体包括:
获取模块,用于当终端进入家乡网络以外的拜访网络时,获取拜访网络的身份信息;
选择模块,用于根据获取模块获取的拜访网络的身份信息选择预认证密钥材料和认证票据,认证票据携带预认证密钥材料;
第一认证模块,用于根据选择模块模块选择的预认证密钥材料,对拜访网络的AAA服务器进行身份认证。
进一步地,上述第一认证模块可以具体包括:
第一生成单元,用于根据选择模块选择的预认证密钥材料生成第一认证信息;
第一发送单元,用于将第一生成单元生成的第一认证信息和选择模块选择的认证票据发送给拜访网络的AAA服务器;
第四生成单元,用于在收到第三认证信息后,根据拜访网络的AAA服务器生成第三认证信息相同的规则生成第四认证信息;
第一判断单元,用于判断第四生成单元生成的第四认证信息与第三认证信息是否相同,如果是,则终端对拜访网络的AAA服务器的认证通过;
参见图5,上述拜访网络的AAA服务器可以具体包括:
密钥获取模块,用于收到终端发送的第一认证信息和认证票据后,从认证票据中获取预认证密钥材料;
第二生成模块,用于根据密钥获取模块获取的预认证密钥材料,采用与终端生成第一认证信息相同的规则生成第二认证信息;
第二判断模块,用于判断第二生成模块生成的第二认证信息与终端发送的第一认证信息是否相同,如果是,则拜访网络的AAA服务器对终端的认证通过;
第三生成模块,用于生成第三认证信息;
第三发送模块,用于将第三生成模块生成的第三认证信息发送给终端。
进一步地,上述认证系统还包括网络接入设备和家乡AAA服务器:
网络接入设备,用于在终端进入拜访网络之前,判断终端所在的网络周围是否存在潜在的拜访网络,如果是,则向家乡AAA服务器发送拜访网络的身份信息;
家乡AAA服务器,用于收到网络接入设备发送的身份信息后,生成预认证密钥材料,并根据家乡网络与拜访网络之间的安全关系对预认证密钥材料以及相关参数进行加密生成票据密钥信息,将家乡AAA服务器的身份信息、拜访网络的身份信息和票据密钥信息作为认证票据然后将预认证密钥材料和认证票据,以及相应的拜访网络的身份信息发送给终端。
本实施例通过在MN进行初次入网认证的同时,由HAAA向它下发预认证密钥材料和包含预认证密钥的认证票据,使得MN在进入家乡网络以外的拜访网络时,可以直接在该网络的VAAA上进行入网认证,从而不需要再到HAAA进行认证,减少了在VAAA至HAAA这段链路上的消耗,降低了切换时延。
实施例4
参见图6,本发明实施例还提供了一种认证系统,该认证系统包括终端和拜访网络的AAA服务器:
终端,用于当进入家乡网络以外的拜访网络时,获取拜访网络的身份信息,根据拜访网络的身份信息生成预认证密钥,并根据预认证密钥对拜访网络的AAA服务器进行身份认证;
拜访网络的AAA服务器,用于根据预认证密钥对终端进行身份认证。
参见图7,上述终端可以具体包括:
获取模块,用于当终端进入家乡网络以外的拜访网络时,获取拜访网络的身份信息;
第一生成模块,用于根据获取模块获取的拜访网络的身份信息生成预认证密钥;
第一认证模块,用于根据第一生成模块生成的预认证密钥对拜访网络的AAA服务器进行身份认证。
进一步地,上述第一认证模块可以具体包括:
第一生成单元,用于根据第一生成模块生成的预认证密钥生成第一认证信息;
第一发送单元,用于将第一生成模块生成的第一认证信息发送给拜访网络的AAA服务器;
第一判断单元,用于判断第四生成模块生成的第四认证信息与第三认证信息是否相同,如果是,则终端对拜访网络的AAA服务器的认证通过。
参见图8,上述拜访网络的AAA服务器可以具体包括:
第二生成模块,用于收到终端发送的第一认证信息后,根据家乡AAA服务器发送的预认证密钥,采用与终端生成第一认证信息相同的规则生成第二认证信息;
第二判断模块,用于判断第二生成模块生成的第二认证信息与终端发送的第一认证信息是否相同,如果是,则拜访网络的AAA服务器对终端的认证通过;
第三生成模块,用于生成第三认证信息;
第二发送模块,用于将第三生成模块生成的第三认证信息发送给终端。
进一步地,上述认证系统还包括网络接入设备和家乡AAA服务器:
网络接入设备,用于在终端进入拜访网络之前,判断终端所在的网络周围是否存在潜在的拜访网络如果是,则向家乡AAA服务器发送潜在的拜访网络的身份信息;
家乡AAA服务器,用于收到网络接入设备发送的拜访网络的身份信息后,根据终端的标识、家乡AAA服务器的身份信息和AAA密钥生成根密钥,AAA密钥为家乡AAA服务器对终端进行接入认证产生的密钥材料;根据网络接入设备发送的拜访网络的身份信息和根密钥生成预认证密钥;然后将预认证密钥发送给拜访网络的AAA服务器;
相应地,终端还用于当进入拜访网络之后,根据终端的标识、家乡AAA服务器的身份信息和AAA密钥生成根密钥。
本实施例通过HAAA预先向家乡网络以外的拜访网络中的VAAA发送MN预认证密钥,在MN进入该拜访网络后,VAAA根据预先收到的预认证密钥对MN进行接入认证,使得MN在进入家乡网络以外的拜访网络时可以直接在该拜访网络的VAAA上进行入网认证,从而不需要再到HAAA进行认证,减少了在VAAA至HAAA这段链路上的消耗,降低了切换时延。
本发明实施例可以通过软件实现,相应的软件可以存储到可读取的存储介质中,例如,计算机的硬盘、软盘或光盘中。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种预认证的方法,其特征在于,所述方法包括:
在终端进入家乡网络以外的拜访网络之前,向家乡AAA服务器发送所述拜访网络的身份信息;
所述家乡AAA服务器收到所述拜访网络的身份信息后,生成预认证密钥材料,并根据家乡网络与所述拜访网络之间的安全关系对所述预认证密钥材料以及相关参数进行加密生成票据密钥信息,将所述家乡AAA服务器的身份信息、所述拜访网络的身份信息和票据密钥信息作为认证票据,然后将所述预认证密钥材料、认证票据和相应的拜访网络的身份信息发送给所述终端;当所述终端进入所述拜访网络时,根据所述拜访网络的身份信息选择预认证密钥材料和认证票据,所述认证票据携带预认证密钥材料,所述拜访网络的AAA服务器和所述终端根据所述预认证密钥材料互相进行身份认证。
2.根据权利要求1所述的预认证的方法,其特征在于,所述拜访网络的AAA服务器和所述终端根据所述预认证密钥材料互相进行身份认证,具体包括:
所述终端根据所述预认证密钥材料生成第一认证信息,然后将所述第一认证信息和认证票据发送给所述拜访网络的AAA服务器;
所述拜访网络的AAA服务器收到所述第一认证信息和认证票据后,从所述认证票据中获取预认证密钥材料,根据所述预认证密钥材料采用与所述终端生成第一认证信息相同的规则生成第二认证信息,判断所述第二认证信息与所述第一认证信息是否相同,如果是,则所述拜访网络的AAA服务器对所述终端的认证通过;
所述拜访网络的AAA服务器生成第三认证信息,然后将所述第三认证信息发送给所述终端;
所述终端在收到所述第三认证信息后,根据所述拜访网络的AAA服务器生成所述第三认证信息相同的规则生成第四认证信息,判断所述第三认证信息与所述第四认证信息是否相同,如果是,则所述终端对所述拜访网络的AAA服务器的认证通过。
3.根据权利要求2所述的预认证的方法,其特征在于,所述在终端进入家乡网络以外的拜访网络之前,向家乡AAA服务器发送所述拜访网络的身份信息,具体包括:
在所述终端进入所述拜访网络之前,所述终端所在网络中的网络接入设备判断所述网络周围是否存在潜在的拜访网络,如果是,则向家乡AAA服务器发送所述拜访网络的身份信息。
4.根据权利要求3所述的预认证的方法,其特征在于,所述参数至少包含所述家乡AAA服务器的身份信息、所述拜访网络的身份信息、所述终端的标识、所述终端的基本信息和所述认证票据的有效期限。
5.根据权利要求2所述的预认证方法,其特征在于,所述从所述认证票据中获取预认证密钥材料,具体包括:
所述拜访网络的AAA服务器根据所述家乡网络与所述拜访网络之间的安全关系对所述认证票据中的票据密钥信息进行解密得到预认证密钥材料。
6.根据权利要求3或5所述的预认证方法,其特征在于,所述安全关系为所述家乡网络与所述拜访网络之间的预共享密钥,或者为所述拜访网络的公私钥对。
7.一种预认证的方法,其特征在于,所述方法包括:
在终端进入家乡网络以外的拜访网络之前,向家乡AAA服务器发送所述拜访网络的身份信息;
所述家乡AAA服务器收到所述拜访网络的身份信息后,根据所述终端的标识、所述家乡AAA的身份信息和AAA密钥生成根密钥,所述AAA密钥为所述家乡AAA服务器对所述终端进行EAP认证产生的密钥材料;所述家乡AAA服务器根据所述拜访网络的身份信息和所述根密钥生成预认证密钥,然后将所述预认证密钥发送给所述拜访网络的AAA服务器;当终端进入所述拜访网络时,所述终端根据所述终端的标识、所述家乡AAA服务器的身份信息和AAA密钥生成根密钥;根据所述根密钥和所述拜访网络的身份信息生成预认证密钥;
所述终端和所述拜访网络的AAA服务器根据所述预认证密钥互相进行身份认证。
8.根据权利要求7所述的预认证的方法,其特征在于,所述终端和所述拜访网络的AAA服务器根据所述预认证密钥互相进行身份认证,具体包括:
所述终端根据所述预认证密钥生成第一认证信息,然后将所述第一认证信息发送给所述拜访网络的AAA服务器;
所述拜访网络的AAA服务器收到所述第一认证信息后,根据家乡AAA服务器发送的预认证密钥采用与所述终端生成第一认证信息相同的规则生成第二认证信息,判断所述第二认证信息与所述终端发送的第一认证信息是否相同,如果是,则所述拜访网络的AAA服务器对所述终端的认证通过;
所述拜访网络的AAA服务器生成第三认证信息,然后将所述第三认证信息发送给所述终端;
所述终端在收到所述第三认证信息后,根据与所述拜访网络的AAA服务器生成第三认证信息相同的规则生成第四认证信息,判断所述第三认证信息与所述第四认证信息是否相同,如果是,则所述终端对所述拜访网络的AAA服务器的认证通过。
9.根据权利要求8所述的预认证的方法,其特征在于,所述在终端进入家乡网络以外的拜访网络之前,向家乡AAA服务器发送所述拜访网络的身份信息,具体包括:
在所述终端进入所述拜访网络之前,所述终端所在网络中的网络接入设备判断所述网络周围是否存在潜在的拜访网络,如果是,则向家乡AAA服务器发送所述拜访网络的身份信息。
10.一种认证系统,其特征在于,所述认证系统包括网络接入设备,家乡AAA服务器,终端和拜访网络的AAA服务器:
所述网络接入设备,用于在所述终端进入所述拜访网络之前,向所述家乡AAA服务器发送所述拜访网络的身份信息;
所述家乡AAA服务器,用于收到所述网络接入设备发送的身份信息后,生成预认证密钥材料,并根据家乡网络与所述拜访网络之间的安全关系对所述预认证密钥材料以及相关参数进行加密生成票据密钥信息,将所述家乡AAA服务器的身份信息、所述拜访网络的身份信息和票据密钥信息作为认证票据然后将所述预认证密钥材料和认证票据,以及相应的拜访网络的身份信息发送给所述终端;
所述终端,用于当进入所述拜访网络时,根据所述拜访网络的身份信息选择预认证密钥材料和认证票据,所述认证票据携带预认证密钥材料,并根据所述预认证密钥材料对所述拜访网络的AAA服务器进行身份认证;
所述拜访网络的AAA服务器,用于根据所述预认证密钥材料对所述终端进行身份认证。
11.根据权利要求10所述的认证系统,其特征在于,所述终端具体包括:
获取模块,用于当所述终端进入家乡网络以外的拜访网络时,获取所述拜访网络的身份信息;
选择模块,用于根据所述获取模块获取的拜访网络的身份信息选择预认证密钥材料和认证票据,所述认证票据携带预认证密钥材料;
第一认证模块,用于根据所述选择模块模块选择的预认证密钥材料,对所述拜访网络的AAA服务器进行身份认证。
12.根据权利要求11所述的认证系统,其特征在于,所述第一认证模块具体包括:
第一生成单元,用于根据所述选择模块选择的预认证密钥材料生成第一认证信息;
第一发送单元,用于将所述第一生成单元生成的第一认证信息和所述选择模块选择的认证票据发送给所述拜访网络的AAA服务器;
第四生成单元,用于在收到第三认证信息后,根据所述拜访网络的AAA服务器生成所述第三认证信息相同的规则生成第四认证信息;
第一判断单元,用于判断所述第四生成单元生成的第四认证信息与所述第三认证信息是否相同,如果是,则所述终端对所述拜访网络的AAA服务器的认证通过。
13.根据权利要求10所述的认证系统,其特征在于,所述拜访网络的AAA服务器具体包括:
密钥获取模块,用于收到终端发送的第一认证信息和认证票据后,从所述认证票据中获取预认证密钥材料;
第二生成模块,用于根据所述密钥获取模块获取的预认证密钥材料,采用与所述终端生成第一认证信息相同的规则生成第二认证信息;
第二判断模块,用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第一认证信息是否相同,如果是,则所述拜访网络的AAA服务器对所述终端的认证通过;
第三生成模块,用于生成第三认证信息;
第三发送模块,用于将所述第三生成模块生成的第三认证信息发送给所述终端。
14.一种认证系统,其特征在于,所述认证系统包括网络接入设备,家乡AAA服务器,终端和拜访网络的AAA服务器:
所述网络接入设备,用于在所述终端进入所述拜访网络之前,向所述家乡AAA服务器发送所述潜在的拜访网络的身份信息;
所述家乡AAA服务器,用于收到所述拜访网络的身份信息后,根据所述终端的标识、所述家乡AAA服务器的身份信息和AAA密钥生成根密钥,所述AAA密钥为所述家乡AAA服务器对所述终端进行接入认证产生的密钥材料;根据所述拜访网络的身份信息和所述根密钥生成预认证密钥;然后将所述预认证密钥发送给所述拜访网络的AAA服务器;
所述终端,用于当进入所述拜访网络时,根据所述终端的标识、所述家乡AAA服务器的身份信息和AAA密钥生成根密钥;根据所述根密钥和所述拜访网络的身份信息生成预认证密钥,并根据所述预认证密钥对所述拜访网络的AAA服务器进行身份认证;
所述拜访网络的AAA服务器,用于根据所述预认证密钥对所述终端进行身份认证。
15.根据权利要求14所述的认证系统,其特征在于,所述终端具体包括:
获取模块,用于当所述终端进入家乡网络以外的拜访网络时,获取所述拜访网络的身份信息;
第一生成模块,用于根据所述获取模块获取的拜访网络的身份信息生成预认证密钥;
第一认证模块,用于根据所述第一生成模块生成的预认证密钥对所述拜访网络的AAA服务器进行身份认证。
16.根据权利要求14所述的认证系统,其特征在于,所述拜访网络的AAA服务器具体包括:
第二生成模块,用于收到终端发送的第一认证信息后,根据家乡AAA服务器发送的预认证密钥,采用与所述终端生成第一认证信息相同的规则生成第二认证信息;
第二判断模块,用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第一认证信息是否相同,如果是,则所述AAA服务器对所述终端的认证通过;
第三生成模块,用于生成第三认证信息;
第二发送模块,用于将所述第三生成模块生成的第三认证信息发送给所述终端。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101270981A CN101616407B (zh) | 2008-06-25 | 2008-06-25 | 预认证的方法和认证系统 |
| PCT/CN2009/071572 WO2009155807A1 (zh) | 2008-06-25 | 2009-04-29 | 预认证的方法、认证系统和装置 |
| EP09768732A EP2282564A4 (en) | 2008-06-25 | 2009-04-29 | PRIOR AUTHENTICATION METHOD, AUTHENTICATION SYSTEM AND AUTHENTICATION APPARATUS |
| US12/979,085 US8407474B2 (en) | 2008-06-25 | 2010-12-27 | Pre-authentication method, authentication system and authentication apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101270981A CN101616407B (zh) | 2008-06-25 | 2008-06-25 | 预认证的方法和认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101616407A CN101616407A (zh) | 2009-12-30 |
| CN101616407B true CN101616407B (zh) | 2011-04-27 |
Family
ID=41444001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101270981A Expired - Fee Related CN101616407B (zh) | 2008-06-25 | 2008-06-25 | 预认证的方法和认证系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8407474B2 (zh) |
| EP (1) | EP2282564A4 (zh) |
| CN (1) | CN101616407B (zh) |
| WO (1) | WO2009155807A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407474B2 (en) | 2008-06-25 | 2013-03-26 | Huawei Technologies Co., Ltd. | Pre-authentication method, authentication system and authentication apparatus |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102355663B (zh) * | 2011-06-30 | 2014-08-20 | 北京交通大学 | 基于分离机制网络的可信域间快速认证方法 |
| CN102869000B (zh) * | 2012-09-17 | 2015-05-20 | 北京交通大学 | 一种分离机制移动性管理系统的认证授权方法 |
| CN102946603B (zh) * | 2012-10-31 | 2015-12-02 | 重庆市电力公司 | 电力云系统中基于社交特性的统一身份认证方法 |
| WO2016032975A1 (en) * | 2014-08-28 | 2016-03-03 | Cryptography Research, Inc. | Generating a device identification key from a base key for authentication with a network |
| CN106302324A (zh) * | 2015-05-20 | 2017-01-04 | 北京神州泰岳软件股份有限公司 | 域内设备的用户认证方法及装置 |
| US10701070B2 (en) * | 2018-05-23 | 2020-06-30 | Verum Securitas, Inc. | Personalized security system |
| US12238101B2 (en) * | 2021-03-09 | 2025-02-25 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649435A (zh) * | 2004-04-02 | 2005-08-03 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| WO2007056313A2 (en) * | 2005-11-07 | 2007-05-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile ip cases for nodes that do not support chap authentication |
| CN101018175A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 基于wapi的实现互联网接入认证的网络系统和方法 |
| US20070256120A1 (en) * | 2006-04-26 | 2007-11-01 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2367213B (en) * | 2000-09-22 | 2004-02-11 | Roke Manor Research | Access authentication system |
| US7792527B2 (en) * | 2002-11-08 | 2010-09-07 | Ntt Docomo, Inc. | Wireless network handoff key |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| CN101094066A (zh) * | 2006-06-19 | 2007-12-26 | 华为技术有限公司 | 一种移动ip密钥的产生及分发方法 |
| CN101094063B (zh) * | 2006-07-19 | 2011-05-11 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络系统的安全交互方法 |
| CN101222319B (zh) * | 2007-01-10 | 2010-05-26 | 华为技术有限公司 | 一种移动通信系统中密钥分发方法和系统 |
| CN101079891B (zh) | 2007-06-15 | 2010-12-15 | 清华大学 | 基于无线局域网安全标准wapi的无线交换网络重认证方法 |
| CN101616407B (zh) | 2008-06-25 | 2011-04-27 | 华为技术有限公司 | 预认证的方法和认证系统 |
-
2008
- 2008-06-25 CN CN2008101270981A patent/CN101616407B/zh not_active Expired - Fee Related
-
2009
- 2009-04-29 WO PCT/CN2009/071572 patent/WO2009155807A1/zh active Application Filing
- 2009-04-29 EP EP09768732A patent/EP2282564A4/en not_active Withdrawn
-
2010
- 2010-12-27 US US12/979,085 patent/US8407474B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649435A (zh) * | 2004-04-02 | 2005-08-03 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| WO2007056313A2 (en) * | 2005-11-07 | 2007-05-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile ip cases for nodes that do not support chap authentication |
| US20070256120A1 (en) * | 2006-04-26 | 2007-11-01 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
| CN101018175A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 基于wapi的实现互联网接入认证的网络系统和方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407474B2 (en) | 2008-06-25 | 2013-03-26 | Huawei Technologies Co., Ltd. | Pre-authentication method, authentication system and authentication apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009155807A1 (zh) | 2009-12-30 |
| CN101616407A (zh) | 2009-12-30 |
| EP2282564A4 (en) | 2011-09-14 |
| US8407474B2 (en) | 2013-03-26 |
| EP2282564A1 (en) | 2011-02-09 |
| US20110107099A1 (en) | 2011-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | Lightweight and provably secure user authentication with anonymity for the global mobility network | |
| JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
| CN101616407B (zh) | 预认证的方法和认证系统 | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| Køien | Mutual entity authentication for LTE | |
| CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
| CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
| CN103370915A (zh) | 安全用户平面定位(supl)系统中的认证 | |
| CN103416082A (zh) | 用于使用安全元件对远程站进行认证的方法 | |
| Nguyen et al. | Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks | |
| Aura et al. | Reducing reauthentication delay in wireless networks | |
| Kim et al. | DMM-SEP: Secure and efficient protocol for distributed mobility management based on 5G networks | |
| CN101160780B (zh) | 一种受控的密钥更新方法及装置 | |
| Zheng et al. | Trusted computing-based security architecture for 4G mobile networks | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| CN101610507A (zh) | 一种接入3g-wlan互联网络的方法 | |
| Elbouabidi et al. | An efficient design and validation technique for secure handover between 3GPP LTE and WLANs systems | |
| CN102026190A (zh) | 异构无线网络快速安全切换方法 | |
| Shrestha et al. | Kerberos based authentication for inter-domain roaming in wireless heterogeneous network | |
| CN102111761B (zh) | 密钥管理方法及设备 | |
| Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
| Qiu et al. | A PMIPv6-based secured mobility scheme for 6LoWPAN | |
| CN101917715B (zh) | 移动ip密钥的产生及分发方法和系统 | |
| Ameur et al. | Secure Reactive Fast Proxy MIPv6-Based NEtwork MObility (SRFP-NEMO) for Vehicular Ad-hoc Networks (VANETs). |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110427 |