專利名稱:Ike認證方法��、系統(tǒng)���、ike響應設備和ike發(fā)起設備的制作方法
技術領域:
本發(fā)明涉及移動通信技術,特別涉及一種密鑰交換(Internet Key Exchange, IKE)認證方法�����、系統(tǒng)、IKE響應設備和IKE發(fā)起設備�。
背景技術:
無線局域網(WirelessLocal Area network, WLAN)作為用戶設備(User Equipment, UE)的無線接入網,可以實現(xiàn)UE與核心網的互通�,以便UE接入核心網。UE在接 入過程中���,首先需要接入WLAN�,然后再接入核心網?���,F(xiàn)有技術中,UE在接入WLAN和接入核 ^�、網的過程中均需要至Ij認證授權計費(Authentication Authorization and Accounting, AAA)服務器進行認證,通常情況下��,兩次認證的AAA服務器為同一個AAA服務器����。為了建立 安全隧道���,在WLAN UE接入核心網的認證過程中可以采用IKE技術���,WLAN UE作為IKE發(fā)起 方�����,分組數據網關(Packet Data Gateway, PDG)���,或,分組數據互通功能實體(Packet Data Interworking Function, PDIF)作為 IKE 響應方?����,F(xiàn)有技術至少存在如下問題采用IKE的認證過程���,例如����,WLAN UE接入核心網的 認證過程�,其認證過程復雜,造成接入延時長�����、對設備性能要求高�����。
發(fā)明內容
本發(fā)明實施例提供了一種IKE認證方法、系統(tǒng)����、IKE響應設備和IKE發(fā)起設備,解 決現(xiàn)有技術中存在的接入延時長及對設備性能要求高的問題����。本發(fā)明實施例提供了一種密鑰交換IKE認證方法,包括接收IKE發(fā)起設備發(fā)送的第一認證請求����,所述第一認證請求中攜帶接入信息;獲取免認證條件��,當所述接入信息滿足所述免認證條件時�,確定所述IKE發(fā)起設 備為免認證設備;向所述免認證設備返回第一認證響應��,所述第一認證響應中攜帶認證成功信息�。本發(fā)明實施例提供了一種密鑰交換IKE認證方法�,包括向IKE響應設備發(fā)送第一認證請求,所述第一認證請求中攜帶接入信息�;接收所述IKE響應設備返回的第一認證響應,所述第一認證響應中攜帶認證成功 信息���,所述第一認證響應為所述IKE響應設備在所述接入信息滿足所述IKE響應設備獲取 的免認證條件時發(fā)送的����。本發(fā)明實施例提供了一種密鑰交換IKE響應設備,包括第一接收模塊���,用于接收IKE發(fā)起設備發(fā)送的第一認證請求����,所述第一認證請求 中攜帶接入信息��;確定模塊�,用于獲取免認證條件,當所述接入信息滿足所述免認證條件時�����,確定所 述IKE發(fā)起設備為免認證設備�����;第一發(fā)送模塊���,用于向所述免認證設備返回第一認證響應�����,所述第一認證響應中 攜帶認證成功信息��。
本發(fā)明實施例提供了一種密鑰交換IKE發(fā)起設備�����,包括第三發(fā)送模塊��,用于向IKE響應設備發(fā)送第一認證請求�,所述第一認證請求中攜 帶接入信息,第三接收模塊�����,用于接收所述IKE響應設備返回的第一認證響應�,所述第一認證 響應中攜帶認證成功信息,所述第一認證響應為所述IKE響應設備在所述接入信息滿足所 述IKE響應設備獲取的免認證條件時發(fā)送的�。本發(fā)明實施例提供了一種密鑰交換IKE認證系統(tǒng),包括IKE發(fā)起設備�����,用于向IKE響應設備發(fā)送第一認證請求�,所述第一認證請求中攜帶 接入信息;IKE響應設備���,用于獲取免認證條件�����,當所述接入信息滿足所述免認證條件時���,確 定所述IKE發(fā)起設備為免認證設備,并向所述免認證設備返回第一認證響應�����,所述第一認 證響應中攜帶認證成功信息��。由上述技術方案可知�����,本發(fā)明實施例通過獲取免認證條件��,可以使?jié)M足免認證條 件的IKE發(fā)起設備無需進行認證�,降低接入時延��、減輕認證設備的負擔��。
圖1為本發(fā)明第一實施例的方法流程示意圖��;圖2為本發(fā)明第二實施例的方法流程示意圖��;圖3為本發(fā)明第三實施例的方法流程示意圖����;圖4為本發(fā)明第四實施例的方法流程示意圖�;圖5為本發(fā)明第五實施例的方法流程示意圖;圖6為本發(fā)明第六實施例的方法流程示意圖���;圖7為本發(fā)明第七實施例的方法流程示意圖���;圖8為本發(fā)明第八實施例的IKE響應設備的結構示意圖;圖9為本發(fā)明第九實施例的IKE響應設備的結構示意圖���;圖10為本發(fā)明第十實施例的IKE響應設備的結構示意圖�����;圖11為本發(fā)明第十一實施例的IKE響應設備的結構示意圖�����;圖12為本發(fā)明第十二實施例的方法流程示意圖�����;圖13為本發(fā)明第十三實施例的IKE發(fā)起設備的結構示意圖��;圖14為本發(fā)明第十四實施例的IKE認證系統(tǒng)的結構示意圖����。
具體實施例方式圖1為本發(fā)明第一實施例的方法流程示意圖��,包括步驟11 IKE響應設備接收IKE發(fā)起設備發(fā)送的第一認證請求�,所述第一認證請求 中攜帶接入信息�����;本發(fā)明實施例以IKEv2為例進行說明。在IKEv2流程中����,發(fā)起認證的設備為IKE 發(fā)起設備,響應認證的設備為IKE響應設備�。下述實施例將以WLAN UE為IKE發(fā)起設備�����,網 關設備(例如PDG或PDIF)為IKE響應設備為例進行說明���。可以理解的是��,本發(fā)明實施例 也可以應用于其他的采用IKEv2的設備中��。
UE在接入核心網的過程中����,需要首先接入WLAN,之后再接入核心網?��,F(xiàn)有技術中 UE在接入WLAN及核心網的過程中均需要向AAA服務器進行認證�����。在接入WLAN過程中��,通 過AAA服務器認證的UE稱為WLAN UE���。之后���,現(xiàn)有技術中,WLAN UE還需要通過網關設備向 AAA服務器進行接入核心網的認證�����,接入核心網的認證涉及的流程及步驟較多��,會增加AAA 服務器的負擔�。為了解決WLAN UE接入核心網時的認證過程較為復雜的問題���,本發(fā)明實施 例對WLAN UE接入核心網的過程進行改進�����,引入免認證機制�����,而對于UE接入WLAN的過程仍 舊采用現(xiàn)有技術實現(xiàn)�����?���?梢岳斫獾氖牵景l(fā)明實施例不僅可以應用于WLAN UE接入核心網 的認證過程�,也可以應用于其他的采用IKE協(xié)議的場景。核心網以第三代移動通信系統(tǒng)(3rd Generation, 3G)為例���,包括3GPP和3GPP2����, 3GPP是寬帶碼分多址(Wideband Code Division Multiple Access���,WCDMA)�、時分同步碼分 多址(Time Division Synchronous Code Division Multiple Access,TD-SCDMA)的標準, 3GPP2 是碼分多址(Code Division Multiple Access����,CDMA) 2000 的標準。兩種標準下���,對 應的網關設備分別為3GPP下的PDG�,3GPP2下的PDIF�。接入信息包括如下項中的至少一項WLAN UE的用戶標識(ID)、WLAN UE待接入 的接入點的標識,即接入點名稱(Access Point Name�,APN)或WLAN UE所屬的域標識, 用Realm或者domain表示�����。接入信息還可以包括其它的標識信息���,例如�,網絡接入標識 (Network Access Identity, ΝΑΙ)或國際移云力用戶標識(Internet Mobile Subscriber Identity, IMSI)等�。步驟12 =IKE響應設備獲取免認證條件,當所述接入信息滿足所述免認證條件時���, 確定所述IKE發(fā)起設備為免認證設備;其中����,免認證條件可以是免認證集合,例如�����,如下集合中的至少一項免認證的用 戶ID集合����、免認證的APN集合�、免認證的realm集合或免認證的domain集合等���。當接入信息中的至少一項屬于對應的免認證集合時�����,則對應的WLAN UE為免認證 用戶設備���。例如,當接入信息中包含用戶ID�,且該用戶ID屬于免認證的用戶ID集合時,該 WLAN UE為免認證用戶設備�����;或者�,當接入信息中包含APN,且該APN屬于免認證的APN集 合時����,該WLAN UE為免認證用戶設備;或者�����,當接入信息中包含realm,且該realm屬于免認 證的realm集合時�����,該WLAN UE為免認證用戶設備����;或者,當接入信息中包含domain���,且該 domain屬于免認證的domain集合時��,該WLAN UE為免認證用戶設備���?;蛘撸庹J證條件也可以是免認證策略�����,例如�,在外部設備中對應每個用戶ID保 存用戶的簽約信息,該簽約信息中包括用戶的免認證策略。當網關設備接收到用戶ID時�����, 根據該用戶ID獲取對應的免認證策略���,免認證策略可以是完全免認證�����,也可以是有條件的 免認證�����。完全免認證時����,對應該用戶ID不進行認證����;有條件免認證是針對用戶ID設置一定 的條件,例如�����,在該用戶ID下,其余的接入信息(如APN和/或realm和/或domain)需要 滿足的條件�,當滿足該條件時,對WLAN UE進行免認證���。例如�,在有條件免認證時����,可以對應 用戶ID進一步設置免認證的APN集合。此時�����,當根據接入信息中的用戶ID獲取對應的免 認證策略時�����,該免認證策略中包含免認證的APN集合��,當接入信息中的APN屬于該免認證策 略中的免認證的APN集合時��,則該WLAN UE為免認證用戶設備���??梢岳斫獾氖?��,同樣可以采 用上述設置APN的方式對其余的接入信息(realm或domain)進行設置���。進一步地,也可以 對應用戶ID設置接入信息中兩個以上的參數需要滿足的條件��,例如���,免認證策略中包含免認證的APN集合及免認證的realm集合�����,或者其他方式�。所述的外部設備可以為AAA服務 器�����、策略與計費規(guī)則功能實體(Policy and Counting Rules Function��,PCRF)��、歸屬位置寄 存器(Home Location Register, HLR)���、歸屬用戶服務器(Home Subscriber Server, HSS) 等���。上述對免認證條件進行了描述���,但是,本領域技術人員應該理解���,設置免認證條件的方 式并不限于上述所述�,本發(fā)明實施例重點在于設置免認證條件���,而具體地如何設置免認證 條件可以根據實際需要進行組合���。其中,上述的免認證條件可以設置在IKE響應設備中�����,也可以設置在IKE響應設備 之外�����,即外部設備中。因此�,本發(fā)明實施例中的“獲取”包括從自身獲取����,也包括從外部設備 獲取。步驟13 當IKE響應設備確定IKE發(fā)起設備為免認證設備時����,則所述IKE響應設 備向所述免認證設備(IKE發(fā)起設備)返回第一認證響應,所述第一認證響應中攜帶認證成功fn息����。S卩,以WLAN UE接入核心網的過程為例���,對于免認證用戶設備無需再向AAA服務器 進行認證���,直接返回認證成功消息。本實施例通過獲取免認證條件�����,可以針對免認證的IKE發(fā)起設備不進行認證����,降 低認證時延���,減輕認證設備的負擔。本發(fā)明實施例是以IKEv2協(xié)議為例����,首先對IKEv2協(xié)議進行簡要描述IKEv2協(xié)議被設計為在兩個設備之間建立安全隧道,功能包括兩端點之間建立信 令面安全隧道����、實現(xiàn)相互認證、協(xié)商數據面隧道相關參數(II3sec協(xié)議�、算法、密鑰等)����、建立 隧道以保護兩端之間的數據傳輸的安全。其中��,認證方式包括公鑰簽名����、共享密鑰和可擴展 認證協(xié)議(Extensible Authentication Protocol, ΕΑΡ)。發(fā)起方從中選取一種�,在 ΙΚΕν2 的第三條消息中向響應方發(fā)起認證請求。其中,當第三條消息中沒有攜帶AUTH參數時����,表 明將采用EAP認證方式。IKEv2標準定義的流程如下第1��、2條消息用于協(xié)商IKE安全聯(lián)盟Security Association, SA)參數(隧道建立參數)��,以建立IKE信令使用的隧道�。第三條消息開始的 若干條消息用于認證過程��,如果第三條消息中不攜帶認證(Authentication�,AUTH)載荷, 表明發(fā)起方希望使用EAP認證過程����,認證過程直到響應方返回一個攜帶認證成功或者認證 失敗的EAP消息。EAP認證過程結束之后���,發(fā)起方會向響應方發(fā)起對第1���、2條消息進行認證 的消息,響應方傳送用于建立發(fā)起方和響應方之間安全隧道的隧道建立參數給發(fā)起方�����。本發(fā)明實施例是根據IKEv2協(xié)議的第三條消息來確定對應的IKE發(fā)起設備是否為 免認證設備,且本發(fā)明實施例以WLAN UE接入核心網的認證過程為例���。進一步地�,在實施時��,本發(fā)明實施例還可以設置是否需要對IKEv2協(xié)議的第1�、2條 消息進行認證。當不需要對第1��、2條消息進行認證時���,IKE響應方可以在根據第三條消息 對IKE發(fā)起方進行認證后����,同時返回隧道建立參數�����;當需要對第1���、2條消息進行認證時�����,IKE 發(fā)起方在接收到IKE響應方根據第三條消息對IKE發(fā)起方進行認證的認證結果后�,再向IKE 響應方發(fā)起對第1、2條消息的認證過程�。下述實施例中的圖2以不需要對第1、2條消息進 行認證為例����,圖3以需要對第1����、2條消息進行認證為例。圖2為本發(fā)明第二實施例的方法流程示意圖�����,包括步驟21-22 =WLAN UE (發(fā)起方)與PDG/PDIF (響應方)交互消息�,該消息為用于協(xié)商隧道建立參數的協(xié)商消息,即該消息為IKEv2標準中的第1�����、2條消息����;其中�,第1�����、2條消息為IKEv2協(xié)議中用IKE_SA_INIT表示的消息��,第1條消息中攜 帶的參數包括HDR�,SAi 1,KEi��,Ni��,第2條消息中攜帶的參數包括HDR���,SArl, KEr, Nr�����。該步驟是IKEv2標準中的標準步驟���,可以采用現(xiàn)有技術實現(xiàn),其中第1�����、2條消息中 攜帶的參數的含義可以參見現(xiàn)有IKEv2標準。后續(xù)步驟及實施例中沒有特殊說明的參數的 含義同樣可以參見現(xiàn)有IKEv2標準����。步驟23 =WLAN UE向PDG/PDIF發(fā)送第一認證請求IKE_AUTH,其中攜帶的參數包括 HDR�����、SK{IDi����,SAi2,[CP, ]TSi}���;本實施例中第一認證請求IKE_AUTH中沒有攜帶AUTH參數,因此根據IKEv2協(xié)議 的規(guī)定則表明將采用EAP認證方式�����。步驟M :PDG/PDIF判斷該WLAN UE是否通過免認證檢查��,若是����,執(zhí)行步驟25���,否則, 執(zhí)行步驟26 �;其中,PDG/PDIF可以根據配置的免認證集合和/或免認證策略進行免認證檢查�����, 具體可以參見后續(xù)實施例�����。其中�,免認證集合和/或免認證策略可以保存在自身或者外部 設備中,外部設備包括但不限于AAA服務器����、PCRF, HLR、HSS等�����。步驟25 當PDG/PDIF中預先配置不需要對第1��、2條消息進行認證時,PDG/PDIF向 WLAN UE發(fā)送攜帶認證成功信息及隧道建立參數的第一認證響應(IKE_AUTH)���。之后�����,結束 WLAN UE接入核心網的認證過程����;其中���,該第一認證響應中攜帶隧道建立參數信息�,以便WLAN UE與PDG/PDIF建立 安全隧道����。S卩,此時的認證響應IKE_AUTH中攜帶的參數至少包括認證成功信息及隧道建立 參數信息����,圖中所示認證響應IKE_AUTH攜帶參數HDR��,SK{ΕΑΡ(SUCCESS)���,[IDr]}��,SAr2, [CP, JTSr0 SK{ΕΑΡ(SUCCESS)}表示認證成功信息�����,IDr為響應方ID, SAr2及TSr表示隧道建立參數���。步驟沈:PDG/PDIF向AAA服務器發(fā)送認證請求�����,進行現(xiàn)有的認證處理�;即對未通過免認證檢查的WLAN UE仍然按照原有標準協(xié)議流程進行處理����,兼容標 準IKEv2協(xié)議。本實施例通過進行免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認 證的WLAN UE向AAA服務器進行認證�����,簡化認證流程�,降低認證延時,減輕AAA服務器的負 擔。本實施例通過設置不對第1����、2條消息進行認證,可以進一步簡化流程及提高性能���。圖3為本發(fā)明第三實施例的方法流程示意圖����,與第二實施例不同的是�����,本實施例 的響應方沒有設置無需對第1�、2條消息進行認證。參見圖3����,本實施例包括步驟31-33 與步驟21-23對應相同,不再贅述��;步驟34 :PDG/PDIF判斷該WLAN UE是否通過免認證檢查���,若是,執(zhí)行步驟35����,否則����, 執(zhí)行步驟36 �;其中,PDG/PDIF可以根據配置的免認證集合和/或免認證策略進行免認證檢查�, 其中,免認證集合和/或免認證策略可以保存在自身或者外部設備中��,外部設備包括但不 限于AAA服務器�����、PCRF, HLR、HSS0具體可以參見后續(xù)實施例��。步驟35 當PDG/PDIF中預先配置需要對第1���、2條消息進行認證時�,PDG/PDIF向WLAN UE發(fā)送攜帶認證成功信息的第一認證響應(IKE_AUTH)�����;其中�����,當PDG/PDIF中預先配 置需要對第1、2條消息進行認證時�,該認證響應中無需攜帶隧道建立參數信息,S卩,此時的 認證響應IKE_AUTH中攜帶的參數包括認證成功信息,圖中所示認證響應IKE_AUTH攜帶參 數 HDR�����,SK {ΕΑΡ (SUCCESS), [IDr]}��。SK {ΕΑΡ (SUCCESS)}表示認證成功信息,IDr 為響應方 ID��。步驟36 :PDG/PDIF向AAA服務器發(fā)送認證請求�,進行現(xiàn)有的認證處理����;即對未通過免認證檢查的WLAN UE仍然按照原有標準協(xié)議流程進行處理��,兼容標 準IKEv2協(xié)議�����。步驟37 =WLAN UE向PDG/PDIF發(fā)送針對第1���、2條消息的第二認證請求IKE_AUTH��, 攜帶的參數包括HDR�,SK{AUTH}���;步驟38 :PDG/PDIF向WLAN UE返回第二認證響應IKE_AUTH����,攜帶的參數包括HDR�, SK{AUTH, SAr2��,[CP, ]TSr}。之后,結束WLAN UE接入核心網的認證過程;其中��,為了與上述的對WLAN UE的認證過程區(qū)別��,本發(fā)明實施例中將對WLAN UE的 認證過程涉及的認證請求及認證響應稱為第一認證請求和第一認證響應�����,將對第1����、2條消 息的認證過程涉及的認證請求及認證響應稱為第二認證請求和第二認證響應����。步驟37-38是兼容現(xiàn)有對第1���、2消息進行認證流程,具體可以采用現(xiàn)有技術實現(xiàn)�����。本實施例通過進行免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認 證的WLAN UE向AAA服務器進行認證�����,簡化認證流程,降低認證延時�����,減輕AAA服務器的負 擔�����。本實施例通過對第1�����、2條消息進行認證����,可以實現(xiàn)對現(xiàn)有技術的兼容。不論是否對第1�����、2條消息進行認證�,在免認證檢查時����,都可以采用下述的實施例 實現(xiàn)�。圖4為本發(fā)明第四實施例的方法流程示意圖����,包括步驟41-42 與步驟21-22對應相同,不再贅述��;步驟43 :PDG/PDIF獲取預先配置的免認證集合�;其中,PDG/PDIF可以在自身預先配置免認證集合�����,也可以是外部設備中預先配置 免認證集合�,PDG/PDIF從自身或者外部設備獲取免認證集合。其中����,外部設備包括但不限 于 AAA 服務器、PCRF, HLR�、HSS0步驟44 =WLAN UE向PDG/PDIF發(fā)送第一認證請求,第一認證請求中攜帶接入信息��, 接入信息為如下項中的至少一項用戶ID���、APN或realm/domain �����;步驟45 :PDG/PDIF判斷接入信息中的至少一項是否屬于免認證集合����,若是,執(zhí)行 步驟46�����,否則����,執(zhí)行步驟47;當接入信息中的至少一項屬于免認證集合時,表明該WLAN UE通過免認證檢查����,否 則未通過。例如��,預先設備的免認證集合為免認證用戶ID集合�����、免認證APN集合�,免認證 realm/domain集合,接入信息包括用戶ID�、APN、realm/domain, PDG/PDIF可以首先判斷認 證請求中攜帶的APN是否在免認證APN集合中���,或者��,認證請求中攜帶的realm/domain是 否在免認證realm/domain集合中���,之后,再判斷認證請求中攜帶的用戶ID是否在免認證用 戶ID集合中��。當上述接入信息中的至少一項在免認證集合中時���,表明通過認證����。步驟46 :PDG/PDIF向WLAN UE返回第一認證響應��,其中至少攜帶認證成功信息����;
步驟47 :PDG/PDIF向AAA服務器發(fā)送認證請求�����,進行現(xiàn)有的認證處理��;12
即對未通過免認證檢查的WLAN UE仍然按照原有標準協(xié)議流程進行處理���,兼容標 準IKEv2協(xié)議。當PDG/PDIF預先配置不需要對第1����、2條消息進行認證時,該第一認證響應中還攜 帶隧道建立參數�����;當PDG/PDIF需要對第1��、2條消息進行認證時���,該第一認證響應中可以攜 帶認證成功信息而無需攜帶隧道建立參數信息�,之后�����,WLAN還需向PDG/PDIF發(fā)起對第1、2 條消息的認證過程���。具體可參見圖2或3所示實施例,即�,此時的步驟46-47具體為圖2中 的步驟25-26,或者���,具體為圖3中的步驟35-38����。本實施例通過免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認證的 WLAN UE向AAA服務器進行認證��,簡化認證流程�,降低認證延時,減輕設備負擔���。本實施例采 用預先配置免認證集合的方式進行免認證檢查�����,可以在網關中保存免認證集合��,加快免認 證信息的獲取�。圖5為本發(fā)明第五實施例的方法流程示意圖,包括步驟51-52 與步驟21-22對應相同�����,不再贅述�����;步驟53 =WLAN UE向PDG/PDIF發(fā)送第一認證請求�,第一認證請求中攜帶用戶ID ;步驟M :PDG/PDIF向外部設備(圖中以AAA服務器為例)發(fā)送用于查詢用戶免認 證策略的查詢請求��,該查詢請求中攜帶用戶ID�����,其中�,外部設備中保存有與用戶ID對應的 簽約信息,該簽約信息中包括免認證策略��。其中���,外部設備包括但不限于AAA服務器����、PCRF、 HLR�、HSS ;步驟55 外部設備向PDG/PDIF返回與該用戶ID對應的免認證策略���,該免認證策 略為完全免認證��;步驟56 當免認證策略為完全免認證時,PDG/PDIF向WLAN UE返回第一認證響應�, 其中至少攜帶認證成功信息;當PDG/PDIF預先配置不需要對第1��、2條消息進行認證時����,該第一認證響應中還攜 帶隧道建立參數信息;當PDG/PDIF需要對第1�、2條消息進行認證時,該第一認證響應中可 以攜帶認證成功信息而無需攜帶隧道建立參數信息�,之后,WLAN還需向PDG/PDIF發(fā)起對第 1�、2條消息的認證過程。具體可參見圖2或3所示實施例�����,即,此時的步驟56具體為圖2中 的步驟25��,或者���,具體為圖3中的步驟35���、37-38。本實施例通過免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認證的 WLAN UE向AAA服務器進行認證����,簡化認證流程,降低認證延時�����,減輕設備負擔��。本實施例采 用預先配置免認證策略的方式進行免認證檢查���,可以有利于運營商對用戶的統(tǒng)一管理�。圖6為本發(fā)明第六實施例的方法流程示意圖���,包括步驟61-62 與步驟51-52對應相同��,不再贅述�����;步驟63 =WLAN UE向PDG/PDIF發(fā)送第一認證請求�����,第一認證請求中攜帶用戶ID及 其他的接入信息�,例如APN或realm/domain ;步驟64 與步驟M相同����,不再贅述��;步驟65 外部設備向PDG/PDIF返回與該用戶ID對應的免認證策略����,該免認證策 略為有條件免認證;步驟66 當免認證策略為有條件免認證時�,PDG/PDIF比較接收的第一認證請求中 攜帶的接入信息是否滿足該免認證策略中的條件,當滿足時����,執(zhí)行步驟67����,否則���,執(zhí)行步驟68 ���;例如,有條件免認證策略可以是�,滿足如下條件的WLAN UE可以通過免認證檢查 該用戶ID對應的APN屬于特定的APN;或者,該用戶ID對應的realm/domain屬于特定的 realm/domain �����;或者,該用戶ID對應的realm/domain屬于特定的realm/domain,且該用戶 ID對應的APN屬于特定的APN����。上述特定的信息是在免認證策略中預先配置的信息。步驟67 :PDG/PDIF向WLAN UE返回第一認證響應����,其中至少攜帶認證成功信息;步驟68 :PDG/PDIF向AAA服務器發(fā)送認證請求�,進行現(xiàn)有的認證處理��。當PDG/PDIF預先配置不需要對第1���、2條消息進行認證時,該第一認證響應中還攜 帶隧道建立參數���;當PDG/PDIF需要對第1�����、2條消息進行認證時��,該第一認證響應中可以攜 帶認證成功信息而無需攜帶隧道建立參數信息��,之后���,WLAN還需向PDG/PDIF發(fā)起對第1���、2 條消息的認證過程�����。具體可參見圖2或3所示實施例�,即,此時的步驟67-68具體為圖2中 的步驟25-26���,或者��,具體為圖3中的步驟35-38��。本實施例通過免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認證的 WLAN UE向AAA服務器進行認證�,簡化認證流程�����,降低認證延時����,減輕設備負擔。本實施例采 用預先配置免認證策略的方式進行免認證檢查���,可以有利于運營商對用戶的統(tǒng)一管理���。本 實施例通過設備免認證條件,可以實現(xiàn)免認證的多樣性���。圖7為本發(fā)明第七實施例的方法流程示意圖����,包括步驟701-704 與步驟41_44對應相同,不再贅述��;步驟705 :PDG/PDIF判斷接入信息中的至少一項是否屬于免認證集合���,若是��,執(zhí)行 步驟709��,否則�,執(zhí)行步驟706 ��;當接入信息中的至少一項屬于免認證集合時����,表明該WLAN UE通過免認證檢查,否 則未通過����。例如����,預先設備的免認證集合為免認證用戶ID集合��、免認證APN集合�,免認證 realm/domain集合����,接入信息包括用戶ID、APN���、realm/domain, PDG/PDIF可以首先判斷認 證請求中攜帶的APN是否在免認證APN集合中���,或者,認證請求中攜帶的realm/domain是 否在免認證realm/domain集合中���,之后���,再判斷認證請求中攜帶的用戶ID是否在免認證用 戶ID集合中。當上述接入信息中的至少一項在免認證集合中時����,表明通過認證。步驟706 與步驟M相同��,不再贅述�;步驟707 外部設備向PDG/PDIF返回與該用戶ID對應的免認證策略�����,該免認證策 略可以為完全免認證���,也可以為有條件免認證;步驟708 :PDG/PDIF判斷接入信息是否滿足免認證策略的需求��,若是���,執(zhí)行步驟 709����,否則��,執(zhí)行步驟710 �;其中,免認證策略可以為完全免認證�,也可以為有條件免認證,根據不同的免認證 策略進行判斷�����,具體可參見圖5或圖6所示的實施例。步驟709-710 與步驟67_68對應相同�,不再贅述����。本實施例通過免認證檢查可以實現(xiàn)在WLAN UE接入核心網的過程中不對免認證的 WLAN UE向AAA服務器進行認證,簡化認證流程�����,降低認證延時�,減輕設備負擔。本實施例采 用預先配置免認證集合和免認證策略的結合的方式進行免認證檢查���,可以提高免認證的準 確性�。上述實施例以PDG/PDIF中的IKEv2認證過程為例�,以EAP認證方法為例,免認證信息以用戶ID�、APN、realm/domain為例����,可以理解的是,本發(fā)明實施例并不限于上述內容�����, 也可以應用于其他設備、認證方法�、免認證信息中。本發(fā)明實施例通過進行免認證檢查�,可以對滿足免認證條件的UE進行免認證,減 少了認證過程信令交互���,提升設備的處理能力����;在不滿足免認證條件時���,實現(xiàn)與標準流程的 兼容�。本發(fā)明實施例只需要在認證響應中攜帶認證成功信息�,減少了與AAA服務器交互時 的消息數。本發(fā)明實施例通過減少交互消息數����,減少了對AAA服務器的計算需求,減少對 AAA服務器的部署需求�,降低運營成本��。本發(fā)明實施例實現(xiàn)與現(xiàn)有標準協(xié)議的兼容�����,支持標 準協(xié)議流程的處理����。圖8為本發(fā)明第八實施例的IKE響應設備的結構示意圖�,包括第一接收模塊81、確 定模塊82和第一發(fā)送模塊83。第一接收模塊81用于接收無線局域網用戶設備發(fā)送的第一 認證請求����,所述第一認證請求中攜帶接入信息��;確定模塊82用于獲取免認證條件�����,當所述 接入信息滿足所述免認證條件時�����,確定所述無線局域網用戶設備為免認證用戶設備;第一 發(fā)送模塊83用于向所述免認證用戶設備返回第一認證響應����,所述第一認證響應中攜帶認 證成功信息�。具體地��,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例���,不再贅 述��。本實施例通過獲取免認證條件���,可以針對免認證的IKE發(fā)起設備不進行認證,降 低認證時延�����,減輕認證設備的負擔���。圖9為本發(fā)明第九實施例的IKE響應設備的結構示意圖�����,與第八實施例不同的是���, 本實施例還包括第一協(xié)商模塊94���,第一發(fā)送模塊83包括第一單元931��。第一單元931用于 在預先設置無需對所述協(xié)商消息進行認證時���,向所述免認證用戶設備返回第一認證響應�����, 所述第一認證響應中攜帶認證成功信息及隧道建立參數�����;第一協(xié)商模塊94用于與所述IKE 發(fā)起設備交互消息����,所述消息為用于協(xié)商隧道建立參數的協(xié)商消息����。具體地�����,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例�����,不再贅 述。本實施例通過進行免認證檢查可以實現(xiàn)不對免認證用戶進行認證,簡化認證流 程,降低認證延時��,認證設備的負擔�。本實施例通過設置不對第1、2條消息進行認證,可以 進一步簡化流程及提高性能�����。圖10為本發(fā)明第十實施例的IKE響應設備的結構示意圖����,與第八實施例不同的 是���,本實施例還包括第一協(xié)商模塊104�����、第二接收模塊105和第二發(fā)送模塊106����,第一發(fā)送模 塊83包括第二單元1032�����。第二單元1032用于在預先設置需要對所述協(xié)商消息進行認證 時�,向所述免認證用戶設備返回第一認證響應�,所述第一認證響應中攜帶認證成功信息;第 一協(xié)商模塊104用于與所述IKE發(fā)起設備交互消息,所述消息為用于協(xié)商隧道建立參數的 協(xié)商消息��;第二接收模塊105用于接收所述IKE發(fā)起設備發(fā)送的用于認證所述協(xié)商消息的 第二認證請求�����;第二發(fā)送模塊106用于向所述IKE發(fā)起設備發(fā)送對應所述第二認證請求的 第二認證響應���,所述第二認證響應中攜帶隧道建立參數���。具體地���,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例���,不再贅 述。本實施例通過進行免認證檢查可以實現(xiàn)不對免認證用戶進行認證����,簡化認證流程,降低認證延時,減輕認證的負擔�。本實施例通過對第1�����、2條消息進行認證����,可以實現(xiàn)對 現(xiàn)有技術的兼容����。圖11為本發(fā)明第十一實施例的IKE響應設備的結構示意圖��,與第八實施例不同的 是�����,本實施例的確定模塊82包括第三單元1121或者第四單元1122或者第五單元1123或 者第六單元IlM及第七單元1125���。第三單元1121用于從自身或者外部設備中獲取預先設置的免認證集合,當所述 接入信息中的至少一項屬于所述免認證集合時����,確定所述無線局域網用戶設備為免認證用 戶設備����。此時���,所述接入信息中包含如下項中的至少一項用戶標識���、接入點名稱、域標識; 所述免認證集合包括如下項中的至少一項免認證用戶標識集合�、免認證接入點名稱集合、 免認證域標識集合。第四單元1122用于從自身或者外部設備獲取與所述用戶標識對應的免認證策 略���;當所述免認證策略為完全免認證時����,確定所述IKE發(fā)起設備為免認證設備此時接入信 息中攜帶所述IKE發(fā)起設備的用戶標識��。第五單元1123用于從自身或者外部設備獲取與所述用戶標識對應的免認證策 略;當所述免認證策略為有條件免認證�,且所述接入信息中包含的參數信息滿足所述免認 證策略的條件時��,確定所述IKE發(fā)起設備為免認證設備,所述免認證策略的條件用于表明 與所述用戶標識對應的如下項中的至少一項需要滿足的條件接入點名稱、域標識此時,所 述接入信息中包含所述IKE發(fā)起設備的用戶標識���,還包含如下參數信息中的至少一項接 入點名稱、域標識。第六單元IlM用于從自身或者外部設備中獲取預先設置的免認證集合�����,當所述 接入信息均不屬于所述免認證集合時����,從自身或者外部設備獲取與所述用戶標識對應的免 認證策略;第七單元1125用于當所述免認證策略為完全免認證時�,或者����,當所述免認證策 略為有條件免認證且所述接入信息中攜帶的參數信息滿足所述免認證策略的條件時��,確定 所述IKE發(fā)起設備為免認證設備����,所述免認證策略的條件用于表明與所述用戶標識對應的 如下項中的至少一項需要滿足的條件接入點名稱��、域標識�。此時�,所述接入信息中包含所 述IKE發(fā)起設備的用戶標識����,還包含如下參數信息中的至少一項接入點名稱、域標識��。具體地����,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例��,不再贅 述����。本實施例通過免認證檢查可以實現(xiàn)對不對免認證的設備進行認證��,簡化認證流 程����,降低認證延時���,減輕設備負擔����。本實施例采用預先配置免認證集合或/和免認證策略的 方式進行免認證檢查�����,可以實現(xiàn)免認證檢查的多樣化���。圖12為本發(fā)明第十二實施例的方法流程示意圖�,包括步驟121 =IKE發(fā)起設備向IKE響應設備發(fā)送第一認證請求���,所述第一認證請求中 攜帶接入信息�����;進一步地���,在此步驟121之前還可以包括IKE發(fā)起設備與所述IKE響應設備交互消息��,所述消息為用于協(xié)商隧道建立參數 的協(xié)商消息�;步驟122 =IKE發(fā)起設備接收所述IKE響應設備返回的第一認證響應�����,所述第一認 證響應中攜帶認證成功信息���,所述第一認證響應為所述IKE響應設備在所述接入信息滿足所述IKE響應設備獲取的免認證條件時發(fā)送的��;其中�,IKE響應設備可以根據上述實施例中的方法確定所述接入信息是否滿足所 述IKE響應設備獲取的免認證條件�,不再贅述���;具體地��,本步驟122可以包括在預先設置無需對所述協(xié)商消息進行認證時��,接收所述IKE響應設備返回的第一 認證響應����,所述第一認證響應中攜帶認證成功信息及隧道建立參數�����;或者�����,在預先設置需要對所述協(xié)商消息進行認證時���,向所述免認證設備返回第一認證響 應�����,所述第一認證響應中攜帶認證成功信息����;此時,在步驟122之后還包括IKE發(fā)起設備向 所述IKE響應設備發(fā)送用于認證所述協(xié)商消息的第二認證請求����;接收所述IKE響應設備發(fā) 送的對應所述第二認證請求的第二認證響應,所述第二認證響應中攜帶隧道建立參數�。上述協(xié)商過程及免認證過程可以參見上述實施例��,不再贅述。本實施例通過進行免認證檢查可以實現(xiàn)在IKE認證過程中不對免認證的IKE發(fā)起 設備進行認證,簡化認證流程����,降低認證延時,減輕認證設備的負擔。圖13為本發(fā)明第十三實施例的IKE發(fā)起設備的結構示意圖�����,包括第三發(fā)送模塊 131和第三接收模塊132,第三發(fā)送模塊131用于向IKE響應設備發(fā)送第一認證請求����,所述 第一認證請求中攜帶接入信息����;第三接收模塊132用于接收所述IKE響應設備返回的第一 認證響應���,所述第一認證響應中攜帶認證成功信息���,所述第一認證響應為所述IKE響應設 備在所述接入信息滿足所述IKE響應設備獲取的免認證條件時發(fā)送的��。進一步地��,本實施例還可以包括第二協(xié)商模塊133���,第二協(xié)商模塊133用于與所述 IKE響應設備交互消息�����,所述消息為用于協(xié)商隧道建立參數的協(xié)商消息�。此時���,第三接收模塊132可以包括第八單元1321����,第八單元1321用于在預先設置 無需對所述協(xié)商消息進行認證時���,接收所述IKE響應設備返回的第一認證響應���,所述第一 認證響應中攜帶認證成功信息及隧道建立參數;或者����,第三接收模塊可以包括第九單元1322,第九單元1322用于在預先設置需要 對所述協(xié)商消息進行認證時�,向所述免認證設備返回第一認證響應,所述第一認證響應中 攜帶認證成功信息��;此時����,本實施例還包括第四發(fā)送模塊134和第四接收模塊135���,第四發(fā) 送模塊134用于向所述IKE響應設備發(fā)送用于認證所述協(xié)商消息的第二認證請求;第四接 收模塊135用于接收所述IKE響應設備發(fā)送的對應所述第二認證請求的第二認證響應�,所 述第二認證響應中攜帶隧道建立參數。具體地����,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例,不再贅 述�����。本實施例通過進行免認證檢查可以實現(xiàn)在IKE認證過程中不對免認證的IKE發(fā)起 設備進行認證��,簡化認證流程��,降低認證延時����,減輕認證設備的負擔����。圖14為本發(fā)明第十四實施例的IKE認證系統(tǒng)的結構示意圖���,包括IKE發(fā)起設備 141和IKE響應設備142����,IKE發(fā)起設備141用于向IKE響應設備發(fā)送第一認證請求����,所述 第一認證請求中攜帶接入信息;IKE響應設備142用于獲取免認證條件�����,當所述接入信息滿 足所述免認證條件時��,確定所述IKE發(fā)起設備為免認證設備��,并向所述免認證設備返回第 一認證響應�,所述第一認證響應中攜帶認證成功信息17
具體地�����,本實施例中的IKE發(fā)起設備可以具體為圖13所示的IKE發(fā)起設備,IKE響 應設備可以具體為圖8-11任一所示的IKE響應設備��。具體地�����,各模塊執(zhí)行的上述協(xié)商過程及免認證過程可以參見上述實施例���,不再贅 述�����。本實施例通過進行免認證檢查可以實現(xiàn)在IKE認證過程中不對免認證的IKE發(fā)起 設備進行認證��,簡化認證流程���,降低認證延時,減輕認證設備的負擔���。本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成�,前述的程序可以存儲于一計算機可讀取存儲介質中����,該程序 在執(zhí)行時��,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質包括R0M、RAM�、磁碟或者 光盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案而非對其進行限制��, 盡管參照較佳實施例對本發(fā)明進行了詳細的說明��,本領域的普通技術人員應當理解其依 然可以對本發(fā)明的技術方案進行修改或者等同替換���,而這些修改或者等同替換亦不能使修 改后的技術方案脫離本發(fā)明技術方案的精神和范圍��。
權利要求
1.一種密鑰交換IKE認證方法�,其特征在于����,包括接收IKE發(fā)起設備發(fā)送的第一認證請求,所述第一認證請求中攜帶接入信息�; 獲取免認證條件��,當所述接入信息滿足所述免認證條件時��,確定所述IKE發(fā)起設備為 免認證設備;向所述免認證設備返回第一認證響應�,所述第一認證響應中攜帶認證成功信息。
2.根據權利要求1所述的方法���,其特征在于���,所述接收IKE發(fā)起設備發(fā)送的第一認證請求之前還包括與所述IKE發(fā)起設備交互消 息,所述消息為用于協(xié)商隧道建立參數的協(xié)商消息�;所述向所述免認證設備返回第一認證響應,所述第一認證響應中攜帶認證成功信息包 括在預先設置無需對所述協(xié)商消息進行認證時�����,向所述免認證設備返回第一認證響應��,所 述第一認證響應中攜帶認證成功信息及隧道建立參數��。
3.根據權利要求1所述的方法��,其特征在于����,所述接收IKE發(fā)起設備發(fā)送的第一認證請求之前還包括與所述IKE發(fā)起設備交互消 息,所述消息為用于協(xié)商隧道建立參數的協(xié)商消息;所述向所述免認證設備返回第一認證響應����,所述第一認證響應中攜帶認證成功信息包 括在預先設置需要對所述協(xié)商消息進行認證時,向所述免認證設備返回第一認證響應�,所 述第一認證響應中攜帶認證成功信息;所述向所述免認證設備返回第一認證響應之后還包括 接收所述IKE發(fā)起設備發(fā)送的用于認證所述協(xié)商消息的第二認證請求���; 向所述IKE發(fā)起設備發(fā)送對應所述第二認證請求的第二認證響應��,所述第二認證響應 中攜帶隧道建立參數�。
4.根據權利要求1-3任一所述的方法�,其特征在于,所述獲取免認證條件����,當所述接入 信息滿足所述免認證條件時,確定所述IKE發(fā)起設備為免認證設備包括從自身或者外部設備中獲取預先設置的免認證集合�,當所述接入信息中的至少一項屬 于所述免認證集合時,確定所述IKE發(fā)起設備為免認證設備�。
5.根據權利要求4所述的方法,其特征在于�,所述接入信息中包含如下項中的至少一項用戶標識、接入點名稱或域標識���; 所述免認證集合包括如下項中的至少一項免認證用戶標識集合����、免認證接入點名稱 集合或免認證域標識集合���。
6.根據權利要求1-3任一所述的方法��,其特征在于����, 所述接入信息中包含所述IKE發(fā)起設備的用戶標識�;所述獲取免認證條件,當所述接入信息滿足所述免認證條件時�,確定所述IKE發(fā)起設 備為免認證設備包括從自身或者外部設備獲取與所述用戶標識對應的免認證策略; 當所述用戶標識對應的免認證策略為完全免認證時����,確定所述IKE發(fā)起設備為免認證 設備。
7.根據權利要求1-3任一所述的方法��,其特征在于��,所述接入信息中包含所述IKE發(fā)起設備的用戶標識����,還包含如下參數信息中的至少一 項接入點名稱或域標識��;所述獲取免認證條件�,當所述接入信息滿足所述免認證條件時�����,確定所述IKE發(fā)起設 備為免認證設備包括從自身或者外部設備獲取與所述用戶標識對應的免認證策略����; 當所述用戶標識對應的免認證策略為有條件免認證,且所述接入信息中包含的參數信 息滿足所述免認證策略的條件時�,確定所述IKE發(fā)起設備為免認證設備,所述免認證策略 的條件用于表明與所述用戶標識對應的如下項中的至少一項需要滿足的條件接入點名稱 或域標識��。
8.根據權利要求1-3任一所述的方法����,其特征在于,所述接入信息中包含所述IKE發(fā)起設備的用戶標識��,還包含如下參數信息中的至少一 項接入點名稱或域標識����;所述獲取免認證條件��,當所述接入信息滿足所述免認證條件時���,確定所述IKE發(fā)起設 備為免認證設備包括從自身或者外部設備中獲取預先設置的免認證集合,當所述接入信息均不屬于所述免 認證集合時�����,從自身或者外部設備獲取與所述用戶標識對應的免認證策略���;當所述用戶標識對應的免認證策略為完全免認證時,或者�,當所述用戶標識對應的免 認證策略為有條件免認證且所述接入信息中包含的參數信息滿足所述免認證策略的條件 時,確定所述IKE發(fā)起設備為免認證設備����,所述免認證策略的條件用于表明與所述用戶標 識對應的如下項中的至少一項需要滿足的條件接入點名稱或域標識。
9.一種密鑰交換IKE認證方法���,其特征在于���,包括向IKE響應設備發(fā)送第一認證請求,所述第一認證請求中攜帶接入信息�����; 接收所述IKE響應設備返回的第一認證響應,所述第一認證響應中攜帶認證成功信 息��,所述第一認證響應為所述IKE響應設備在所述接入信息滿足所述IKE響應設備獲取的 免認證條件時發(fā)送的����。
10.根據權利要求9所述的方法,其特征在于�,所述向IKE響應設備發(fā)送第一認證請求之前還包括與所述IKE響應設備交互消息,所 述消息為用于協(xié)商隧道建立參數的協(xié)商消息�;所述接收所述IKE響應設備返回的第一認證響應,所述第一認證響應中攜帶認證成功 信息包括在預先設置無需對所述協(xié)商消息進行認證時����,接收所述IKE響應設備返回的第一認證 響應,所述第一認證響應中攜帶認證成功信息及隧道建立參數��。
11.根據權利要求9所述的方法�,其特征在于,所述向IKE響應設備發(fā)送第一認證請求之前還包括與所述IKE響應設備交互消息�����,所 述消息為用于協(xié)商隧道建立參數的協(xié)商消息�����;所述接收所述IKE響應設備返回的第一認證響應,所述第一認證響應中攜帶認證成功 信息包括在預先設置需要對所述協(xié)商消息進行認證時�,向所述免認證設備返回第一認證 響應,所述第一認證響應中攜帶認證成功信息�;所述接收所述IKE響應設備返回的第一認證響應之后還包括向所述IKE響應設備發(fā)送用于認證所述協(xié)商消息的第二認證請求;接收所述IKE響應設備發(fā)送的對應所述第二認證請求的第二認證響應�,所述第二認證響應中攜帶隧道建立參數。
12.—種密鑰交換IKE響應設備����,其特征在于��,包括第一接收模塊���,用于接收IKE發(fā)起設備發(fā)送的第一認證請求�����,所述第一認證請求中攜 帶接入信息����;確定模塊�����,用于獲取免認證條件,當所述接入信息滿足所述免認證條件時�,確定所述 IKE發(fā)起設備為免認證設備;第一發(fā)送模塊���,用于向所述免認證設備返回第一認證響應��,所述第一認證響應中攜帶 認證成功信息����。
13.根據權利要求12所述的設備�,其特征在于,還包括第一協(xié)商模塊�,用于與所述IKE發(fā)起設備交互消息,所述消息為用于協(xié)商隧道建立參 數的協(xié)商消息����;所述第一發(fā)送模塊包括第一單元,所述第一單元用于在預先設置無需對所述協(xié)商消息 進行認證時����,向所述免認證用戶設備返回第一認證響應,所述第一認證響應中攜帶認證成 功信息及隧道建立參數。
14.根據權利要求12所述的設備����,其特征在于,還包括第一協(xié)商模塊����,用于與所述IKE發(fā)起設備交互消息,所述消息為用于協(xié)商隧道建立參 數的協(xié)商消息����;所述第一發(fā)送模塊包括第二單元,所述第二單元在預先設置需要對所述協(xié)商消息進行 認證時�,向所述免認證用戶設備返回第一認證響應,所述第一認證響應中攜帶認證成功信 息���;所述設備還包括第二接收模塊,用于接收所述IKE發(fā)起設備發(fā)送的用于認證所述協(xié)商消息的第二認證 請求����;第二發(fā)送模塊,用于向所述IKE發(fā)起設備發(fā)送對應所述第二認證請求的第二認證響 應�,所述第二認證響應中攜帶隧道建立參數。
15.根據權利要求12-14任一所述的設備���,其特征在于����,所述確定模塊包括第三單元,所述第三單元用于從自身或者外部設備中獲取預先設置 的免認證集合�����,當所述接入信息中的至少一項屬于所述免認證集合時���,確定所述IKE發(fā)起 設備為免認證設備�。
16.根據權利要求12-14任一所述的設備�,其特征在于,所述接入信息中攜帶所述IKE發(fā)起設備的用戶標識���;所述確定模塊包括第四單元��,所述第四單元用于從自身或者外部設備獲取與所述用 戶標識對應的免認證策略��;當所述用戶標識對應的免認證策略為完全免認證時�����,確定所述 IKE發(fā)起設備為免認證設備�����。
17.根據權利要求12-14任一所述的設備��,其特征在于��,所述接入信息中包含所述IKE發(fā)起設備的用戶標識����,還包含如下參數信息中的至少一 項接入點名稱或域標識;所述確定模塊包括第五單元�����,所述第五單元用于從自身或者外部設備獲取與所述用戶 標識對應的免認證策略�;當所述用戶標識對應的免認證策略為有條件免認證且所述接入信息中包含的參數信息滿足所述免認證策略的條件時,確定所述IKE發(fā)起設備為免認證設 備�,所述免認證策略的條件用于表明與所述用戶標識對應的如下項中的至少一項需要滿足 的條件接入點名稱或域標識。
18.根據權利要求12-14任一所述的設備��,其特征在于���,所述接入信息中包含所述IKE發(fā)起設備的用戶標識,還包含如下參數信息中的至少一 項接入點名稱或域標識��;所述確定模塊包括第六單元和第七單元;所述第六單元用于從自身或者外部設備中獲取預先設置的免認證集合���,當所述接入信 息均不屬于所述免認證集合時����,從自身或者外部設備獲取與所述用戶標識對應的免認證策 略���;所述第七單元用于當所述用戶標識對應的免認證策略為完全免認證時����,或者���,當所述 用戶標識對應的免認證策略為有條件免認證且所述接入信息中攜帶的參數信息滿足所述 免認證策略的條件時�����,確定所述IKE發(fā)起設備為免認證設備�����,所述免認證策略的條件用于 表明與所述用戶標識對應的如下項中的至少一項需要滿足的條件接入點名稱或域標識�����。
19.一種密鑰交換IK發(fā)起設備�����,其特征在于�,包括第三發(fā)送模塊,用于向IKE響應設備發(fā)送第一認證請求��,所述第一認證請求中攜帶接 入信息����;第三接收模塊,用于接收所述IKE響應設備返回的第一認證響應��,所述第一認證響應 中攜帶認證成功信息����,所述第一認證響應為所述IKE響應設備在所述接入信息滿足所述 IKE響應設備獲取的免認證條件時發(fā)送的。
20.根據權利要求19所述的設備��,其特征在于��,還包括第二協(xié)商模塊���,用于與所述IKE響應設備交互消息����,所述消息為用于協(xié)商隧道建立參 數的協(xié)商消息��;所述第三接收模塊包括第八單元�����,所述第八單元用于在預先設置無需對所述協(xié)商消息 進行認證時�,接收所述IKE響應設備返回的第一認證響應,所述第一認證響應中攜帶認證 成功信息及隧道建立參數�����。
21.根據權利要求19所述的設備�,其特征在于,還包括第二協(xié)商模塊����,用于與所述IKE響應設備交互消息,所述消息為用于協(xié)商隧道建立參 數的協(xié)商消息��;所述第三接收模塊包括第九單元����,所述第九單元用于在預先設置需要對所述協(xié)商消息 進行認證時��,向所述免認證設備返回第一認證響應����,所述第一認證響應中攜帶認證成功信 息��;所述設備還包括第四發(fā)送模塊���,用于向所述IKE響應設備發(fā)送用于認證所述協(xié)商消息的第二認證請求�;第四接收模塊��,用于接收所述IKE響應設備發(fā)送的對應所述第二認證請求的第二認證 響應����,所述第二認證響應中攜帶隧道建立參數。
22.—種密鑰交換IKE認證系統(tǒng)��,其特征在于�,包括IKE發(fā)起設備,用于向IKE響應設備發(fā)送第一認證請求���,所述第一認證請求中攜帶接入信息����;IKE響應設備,用于獲取免認證條件��,當所述接入信息滿足所述免認證條件時��,確定所 述IKE發(fā)起設備為免認證設備���,并向所述免認證設備返回第一認證響應,所述第一認證響 應中攜帶認證成功信息�。
23.根據權利要求22所述的系統(tǒng),其特征在于���,所述IKE發(fā)起設備為權利要求19-21任 一權利要求所述的設備���。
24.根據權利要求22所述的系統(tǒng),其特征在于���,所述IKE響應設備為權利要求12-18任 一權利要求所述的設備�。
全文摘要
本發(fā)明公開了一種IKE認證方法��、系統(tǒng)�、IKE響應設備和IKE發(fā)起設備。該方法包括接收IKE發(fā)起設備發(fā)送的第一認證請求���,所述第一認證請求中攜帶接入信息���;獲取免認證條件�����,當所述接入信息滿足所述免認證條件時��,確定所述IKE發(fā)起設備為免認證設備����;向所述免認證設備返回第一認證響應�,所述第一認證響應中攜帶認證成功信息。本發(fā)明實施例可以簡化認證流程���,降低接入延時�����、減輕設備負擔���。
文檔編號H04W12/00GK102056154SQ20091020779
公開日2011年5月11日 申請日期2009年10月30日 優(yōu)先權日2009年10月30日
發(fā)明者武二華, 蔡安寧, 高曉峰 申請人:華為技術有限公司