專利名稱:預(yù)認(rèn)證的方法和認(rèn)證系統(tǒng)的制作方法
預(yù)認(rèn)證的方法和認(rèn)證系統(tǒng)技術(shù)領(lǐng)域:
[0001]本發(fā)明涉及移動通信領(lǐng)域,特別涉及一種預(yù)認(rèn)證的方法和認(rèn)證系統(tǒng)��。
技術(shù)背景[0002]隨著通信技術(shù)的發(fā)展�����,現(xiàn)代通信對移動性的要求越來越高�,當(dāng)前的移動通信要求 MN在移動或漫游場景下可以正常地通信�。[0003]在移動場景下��,麗(Mobile Node�,移動節(jié)點����,又稱為移動終端)將不可避免地發(fā) 生切換,即指麗的網(wǎng)絡(luò)接入點(attach point)隨著麗的移動而發(fā)生變化���,根據(jù)切換前 后attachpoint的相對位置��,切換可以分為2層切換和3層切換���,其中,3層切換又可以分 ^ ! ) ( I曰白勺 attach point gIf 白勺 attach point ¢11]-^ AAA (Authentication> Authorization andAccounting����,認(rèn)證、授權(quán)和計費)服務(wù)器管轄范圍內(nèi))和域間切換(舊 的attach point與新的attach point在不同的AAA管轄范圍內(nèi))�����,一個完整的3層切換過 程包含以下幾個步驟MN離開原來的attach point切換到新的attach point����,進行新的入 網(wǎng)認(rèn)證�,在新的attach point處建立相應(yīng)的配置關(guān)系�����。[0004]MN從原來的attach point切換到新的attach point需要耗費一段時間�����,在這 段時間里通信將出現(xiàn)暫時的中斷或者延時�����,對一些對實時性要求很高的業(yè)務(wù)(例如即時通 信)而言�,中斷或延時越短越好。但是在實際應(yīng)用中����,由于目前采用的認(rèn)證方式需要MN與 AAA之間進行多輪交互,并且MN在外地時����,依然需要在家鄉(xiāng)進行認(rèn)證,導(dǎo)致進行新的入網(wǎng)認(rèn) 證需要花費較長的時間����,從而使切換產(chǎn)生的中斷或延時超出了即時業(yè)務(wù)所能承受的極限����。[0005]現(xiàn)有技術(shù)中��,通過快速重認(rèn)證的方式減少切換產(chǎn)生的斷或延時����?����?焖僦卣J(rèn)證在雙 方的身份認(rèn)證過程中�����,將以前認(rèn)證所產(chǎn)生的授權(quán)或配置信息繼承下來�,由于無需重新生成 授權(quán)及配置信息,因此快速重認(rèn)證所需的交互及所做的工作少于普通的認(rèn)證�����,因而節(jié)省了 認(rèn)證時間�??焖僦卣J(rèn)證主要應(yīng)用在3層域內(nèi)切換中�����,具體過程如下[0006]麗在初次進行入網(wǎng)認(rèn)證時�,將與HAAA (Home AAA,家鄉(xiāng)AAA服務(wù)器,即麗與之簽約 的AAA服務(wù)器)共同產(chǎn)生用于快速重認(rèn)證的信息��,該信息可以包括專用于快速重認(rèn)證的ID 及密鑰等�;[0007]HAAA將快速重認(rèn)證的信息發(fā)送給拜訪網(wǎng)絡(luò)的VAAA (Visit AAA,拜訪域AAA服務(wù) 器,即麗在外地時所處拜訪網(wǎng)絡(luò)的AAA服務(wù)器)��;[0008]當(dāng)MN的位置發(fā)生變化進入拜訪網(wǎng)絡(luò)時����,MN將通過新的attach point向拜訪網(wǎng)絡(luò) 的VAAA提供快速重認(rèn)證的信息,VAAA根據(jù)HAAA預(yù)先發(fā)送的快速重認(rèn)證的信息對麗作重 認(rèn)證�。[0009]快速重認(rèn)證方式在MN進行切換時,減少了切換后的VAAA與HAAA在鏈路上的開銷 以及兩者之間的交互次數(shù)���。但是���,快速重認(rèn)證方式需要MN與VAAA之間有現(xiàn)成的安全關(guān)系, 但是在域間切換場景下,由于新的VAAA與MN之間不存在該安全關(guān)系�����,因此快速重認(rèn)證方式 不適用于3層的域間切換��。[0010]在實現(xiàn)本發(fā)明的過程中�,發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中至少存在以下缺點[0011]在MN進行域間切換時,需要切換后的VAAA到HAAA上進行認(rèn)證����,切換產(chǎn)生的時延長�����。
發(fā)明內(nèi)容
[0012]為了減少域間切換的延時時間����,本發(fā)明實施例提供了一種預(yù)認(rèn)證的方法和認(rèn)證系 統(tǒng)。所述技術(shù)方案如下[0013]本發(fā)明實施例提供了一種預(yù)認(rèn)證的方法��,所述方法包括[0014]當(dāng)終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時���,所述終端獲取所述拜訪網(wǎng)絡(luò)的身份信 息���,根據(jù)所述身份信息選擇預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)��,所述認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材 料��,所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器和所述終端根據(jù)所述預(yù)認(rèn)證密鑰材料互相進行身份認(rèn)證�。[0015]本發(fā)明實施例還提供了一種預(yù)認(rèn)證的方法����,所述方法包括[0016]當(dāng)終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時,所述終端獲取所述拜訪網(wǎng)絡(luò)的身份信 息��,根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰�,所述終端和所述拜訪網(wǎng)絡(luò)的AAA服務(wù) 器根據(jù)所述預(yù)認(rèn)證密鑰互相進行身份認(rèn)證。[0017]本發(fā)明實施例提供了一種認(rèn)證系統(tǒng)����,所述認(rèn)證系統(tǒng)包括終端和拜訪網(wǎng)絡(luò)的AAA服 務(wù)器[0018]所述終端,用于當(dāng)進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時���,獲取所述拜訪網(wǎng)絡(luò)的身份信 息����,根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)�����,所述認(rèn)證票據(jù)攜帶預(yù) 認(rèn)證密鑰材料,并根據(jù)所述根據(jù)所述預(yù)認(rèn)證密鑰材料對所述AAA服務(wù)器進行身份認(rèn)證���;[0019]所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器�����,用于根據(jù)所述預(yù)認(rèn)證密鑰材料對所述終端進行身份 認(rèn)證�。[0020]本發(fā)明實施例還提供了一種認(rèn)證系統(tǒng)�,所述認(rèn)證系統(tǒng)包括終端和拜訪網(wǎng)絡(luò)的AAA 服務(wù)器[0021]所述終端,用于當(dāng)進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�����,獲取所述拜訪網(wǎng)絡(luò)的身份信 息��,根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰����,并根據(jù)所述預(yù)認(rèn)證密鑰對所述拜訪網(wǎng) 絡(luò)的AAA服務(wù)器進行身份認(rèn)證���;[0022]所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器��,用于根據(jù)所述預(yù)認(rèn)證密鑰對所述終端進行身份認(rèn) 證�。[0023]本發(fā)明實施例提供的技術(shù)方案的有益效果是[0024]本發(fā)明實施例通過麗在進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時,根據(jù)獲取的認(rèn)證信息 在拜訪網(wǎng)絡(luò)的AAA服務(wù)器上進行入網(wǎng)認(rèn)證����,從而在域間切換時不需要拜訪網(wǎng)絡(luò)的AAA服務(wù) 器再到HAAA上進行認(rèn)證,減少了域間切換的時延�����。[0025]
[0026]圖1是本發(fā)明實施例1提供的預(yù)認(rèn)證的方法的流程圖����;[0027]圖2是本發(fā)明實施例2提供的另一種預(yù)認(rèn)證的方法的流程圖;[0028]圖3是本發(fā)明實施例3提供的認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖���;[0029]圖4是本發(fā)明實施例3提供的認(rèn)證系統(tǒng)中終端的結(jié)構(gòu)示意圖����;[0030]圖5是本發(fā)明實施例3提供的認(rèn)證系統(tǒng)中拜訪網(wǎng)絡(luò)的AAA服務(wù)器的結(jié)構(gòu)示意圖����;[0031]圖6是本發(fā)明實施例4提供的認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖;[0032]圖7是本發(fā)明實施例4提供的認(rèn)證系統(tǒng)中終端的結(jié)構(gòu)示意圖��;[0033]圖8是本發(fā)明實施例4提供的認(rèn)證系統(tǒng)中拜訪網(wǎng)絡(luò)的AAA服務(wù)器的結(jié)構(gòu)示意圖。[0034]具體實施方式
[0035]為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方 式作進一步地詳細(xì)描述�。[0036]本發(fā)明實施例通過在MN與拜訪網(wǎng)絡(luò)的AAA服務(wù)器之間預(yù)先建立起信任關(guān)系,從而 減少新的入網(wǎng)認(rèn)證所需的時間���。[0037]實施例1[0038]本實施例中��,HAAA在對麗進行接入認(rèn)證的同時向它下發(fā)可用于訪問家鄉(xiāng)網(wǎng)絡(luò)以 外的拜訪網(wǎng)絡(luò)的認(rèn)證票據(jù)(Ticket)���,該Ticket中含有由HAAA簽發(fā)的,由麗與拜訪網(wǎng)絡(luò) 作相互認(rèn)證時使用的信任狀以及相關(guān)的參數(shù)���,這樣MN在進入該拜訪網(wǎng)絡(luò)后���,就可以通過該 Ticket與該網(wǎng)絡(luò)的VAAA進行接入認(rèn)證。[0039]參見圖1����,本發(fā)明實施例提供了一種預(yù)認(rèn)證的方法��,具體包括[0040]101 =MN接入初始的網(wǎng)絡(luò)接入設(shè)備���,通過網(wǎng)絡(luò)接入設(shè)備向HAAA執(zhí)行接入認(rèn)證����。[0041]當(dāng)麗所在的網(wǎng)絡(luò)為家鄉(xiāng)網(wǎng)絡(luò)時,可以直接向HAAA進行接入認(rèn)證�����;當(dāng)麗所在的網(wǎng) 絡(luò)為家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時���,麗通過拜訪網(wǎng)絡(luò)中的VAAA向HAAA進行認(rèn)證�,接入認(rèn)證 過程為現(xiàn)有技術(shù)��,此處不再贅述�����。[0042]進一步地�����,在接入認(rèn)證過程中���,HAAA會根據(jù)預(yù)先存儲的麗的AAA profile (AAA描 述信息)判斷MN是否支持快速預(yù)認(rèn)證��,如果是�,則執(zhí)行下述102至113,其中�����,AAA profile 是預(yù)先存儲在HAAA里面的����,包含麗的身份,MN所能享受的服務(wù)以及限制(例如��,MN是否支 持快速重認(rèn)證)等信息�。[0043]102 麗所在網(wǎng)絡(luò)的網(wǎng)絡(luò)接入設(shè)備判斷該網(wǎng)絡(luò)周圍是否存在潛在的拜訪網(wǎng)絡(luò),即 是否存在其它覆蓋重疊的網(wǎng)絡(luò)��,如果是����,則執(zhí)行103 ;否則��,執(zhí)行117�。[0044]其中��,網(wǎng)絡(luò)接入設(shè)備可以根據(jù)底層技術(shù),例如�����,對周圍信號的感知以及網(wǎng)絡(luò)部署時 的規(guī)劃��,判斷該網(wǎng)絡(luò)周圍是否存在潛在的拜訪網(wǎng)絡(luò)��,該過程為現(xiàn)有技術(shù)�,目前的網(wǎng)絡(luò)接入設(shè) 備可以做到,此處不再詳述��。[0045]103 網(wǎng)絡(luò)接入設(shè)備根據(jù)AAA協(xié)議向HAAA發(fā)送通知消息�����,該通知消息中攜帶潛在的 拜訪網(wǎng)絡(luò)的身份信息��。[0046]104 :HAAA收到網(wǎng)絡(luò)接入設(shè)備發(fā)送的通知消息后���,生成預(yù)認(rèn)證密鑰材料 (pre-auth-key-fi 1 e)���,例如,可以隨機選取一組符合加密算法對密鑰要求的數(shù)據(jù)作為 pre-auth-key-fiIe 0[0047]進一步地�����,HAAA收到網(wǎng)絡(luò)接入設(shè)備發(fā)送的通知消息后還包括[0048]HAAA根據(jù)通知消息中的潛在的拜訪網(wǎng)絡(luò)的身份信息判斷家鄉(xiāng)網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)之 間是否存在安全關(guān)系,如果是�,則HAAA生成預(yù)認(rèn)證密鑰材料;否則�,家鄉(xiāng)網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)之 間不能進行信息交互。[0049]105 :HAAA提取通知消息中攜帶的潛在的拜訪網(wǎng)絡(luò)的身份信息�����,根據(jù)家鄉(xiāng)網(wǎng)絡(luò)與 各個拜訪網(wǎng)絡(luò)之間的安全關(guān)系對預(yù)認(rèn)證密鑰材料及相關(guān)參數(shù)進行加密生成相應(yīng)的票據(jù)密 朗fn息����。[0050]其中,家鄉(xiāng)網(wǎng)絡(luò)與潛在的拜訪網(wǎng)絡(luò)之間的安全關(guān)系可以為家鄉(xiāng)網(wǎng)絡(luò)與潛在的拜訪網(wǎng)絡(luò)之間的預(yù)共享密鑰��,或者為潛在的拜訪網(wǎng)絡(luò)的公私鑰對�,本實施例中,以Kh-t表示家 鄉(xiāng)網(wǎng)絡(luò)與潛在拜訪網(wǎng)絡(luò)之間的預(yù)共享密鑰或者潛在的拜訪網(wǎng)絡(luò)的公私鑰對���。[0051]上述用于生成票據(jù)密鑰信息的參數(shù)中除了 pre-auth-key-file外���,相關(guān)參數(shù)至少 包含以下幾項信息HAAA label、Target VAAA label、MN-ID�、MN profile 和 lifetime,其 中��,每項信息表示的含義如下HAAA label和Target VAAA label分別是能標(biāo)識家鄉(xiāng)網(wǎng)絡(luò)和 潛在的拜訪網(wǎng)絡(luò)的身份信息�����;MN-ID表示麗的標(biāo)識���;麗profile表示麗的基本信息以及 MN可以獲得哪種服務(wù);lifetime表示Ticket的有效期��,根據(jù)Kh_t對pre-auth-key-file 及相關(guān)參數(shù)進行加密生成的票據(jù)密鑰信息具體表示如下[0052]Kh-t(pre-auth-key-file, HAAA label,Target VAAA label, MN-ID, MN profile, lifetime),[0053]106 :HAAA將HAAA本身的身份信息����、潛在的拜訪網(wǎng)絡(luò)的身份信息和相應(yīng)的票據(jù)密 鑰信息作為MN進入家鄉(xiāng)網(wǎng)絡(luò)以外的網(wǎng)絡(luò)的認(rèn)證票據(jù)(Ticket)JPTicket= {HAAA label, TargetVAAA label,Kh-t(pre-auth-key-file, HAAA label,Target VAAA label, MN-ID,MN profile, lifetime)}。[0054]107 :HAAA將pre-auth-key-file�、Ticket以及相應(yīng)的潛在的拜訪網(wǎng)絡(luò)的身份信息 發(fā)送給麗。[0055]進一步地���,為了保證以上信息的安全性��,HAAA可以通過HAAA與麗之間的密鑰對 pre-auth-key-file,Ticket以及相應(yīng)的潛在拜訪網(wǎng)絡(luò)的身份信息進行加密����,將加密后的數(shù) 據(jù)發(fā)送給麗。[0056]108 當(dāng)麗進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時���,MN獲取該拜訪網(wǎng)絡(luò)的身份信息�����。[0057]其中����,麗可以從新進入的拜訪網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備廣播的MAC(Media Access Control����,媒體訪問控制)消息中獲取拜訪網(wǎng)絡(luò)的身份信息,該過程為現(xiàn)有技術(shù)�����,此處不再 詳述����。[0058]109 :MN根據(jù)拜訪網(wǎng)絡(luò)的身份信息選擇相應(yīng)的Ticket,并根據(jù)pre-auth-key-file 生成第一認(rèn)證信息���。[0059]其中���,麗可以根據(jù)pre-auth-key-file對選取的參數(shù)進行運算生成第一認(rèn)證信 息�,參數(shù)可以為隨機選取的一組數(shù)據(jù)等�����。[0060]110 麗將生成的第一認(rèn)證信息和選出的Ticket —起發(fā)送給拜訪網(wǎng)絡(luò)的VAAA�。[0061]進一步地�,MN在將第一認(rèn)證信息和Ticket發(fā)送給VAAA后,還將生成第一認(rèn)證信 息的參數(shù)發(fā)送給VAAA�����。[0062]111 =VAAA收到MN發(fā)送的Ticket后��,從Ticket中獲取預(yù)認(rèn)證密鑰材料�����。[0063]從Ticket中獲取預(yù)認(rèn)證密鑰材料的具體過程如下[0064]根據(jù)Ticket中的HAAA label選擇相應(yīng)的密鑰對Ticket中的票據(jù)密鑰信息進行 角軍密得至Ij pre-auth-key-fileO[0065]112 =VAAA根據(jù)pre-auth-key-f ile采用與麗生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息����。[0066]113 =VAAA判斷生成的第二認(rèn)證信息與MN發(fā)送的第一認(rèn)證信息是否相同��,如果兩 者相同�,則表明VAAA對麗的認(rèn)證通過��,執(zhí)行114 ����;否則,結(jié)束�����。114 拜訪網(wǎng)絡(luò)的VAAA生成 第三認(rèn)證信息��,然后將第三認(rèn)證信息發(fā)送給MN����。[0067]其中,VAAA生成第三認(rèn)證信息的過程與麗生成第一認(rèn)證信息的過程類似����,根據(jù) pre-auth-key-file對選取的參數(shù)進行運算生成第三認(rèn)證信息,參數(shù)可以為隨機選取的一 組數(shù)據(jù)等�,VAAA在發(fā)送第三認(rèn)證信息的同時也將選取的參數(shù)發(fā)送給MN。[0068]115 麗收到VAAA發(fā)送的第三認(rèn)證信息后�����,根據(jù)VAAA生成第三認(rèn)證信息相同的規(guī) 則生成第四認(rèn)證信息,判斷第四認(rèn)證信息與MN生成的第三認(rèn)證信息是否相同����,如果是,則 表明麗對VAAA的認(rèn)證通過���,執(zhí)行116 ����;否則���,結(jié)束。[0069]116 認(rèn)證通過����,麗可以與VAAA繼續(xù)進行信息交互。[0070]117 按域內(nèi)切換的流程處理����,該過程為現(xiàn)有技術(shù),此處不再贅述���。[0071]本實施例中���,102至107是在麗進行向HAAA進行EAP認(rèn)證的過程中發(fā)生的�,與101 并無先后順序�����,為了描述方便��,將其放在了 101的后面����。[0072]本實施例通過在MN進行初次入網(wǎng)認(rèn)證的同時,由HAAA向它下發(fā)預(yù)認(rèn)證密鑰材料 和包含預(yù)認(rèn)證密鑰材料的認(rèn)證票據(jù)�����,在MN認(rèn)證網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時��,將預(yù)認(rèn)證密鑰材料 和認(rèn)證票據(jù)發(fā)送給拜訪網(wǎng)絡(luò)中的VAAA�,VAAA根據(jù)認(rèn)證票據(jù)對MN進行入網(wǎng)認(rèn)證,從而不需要 再到HAAA進行認(rèn)證���,減少了在VAAA至HAAA這段鏈路上的消耗��,降低了域間切換的時延�。[0073]實施例2[0074]本實施例中,在HAAA對麗進行EAP認(rèn)證結(jié)束后���,HAAA和麗根據(jù)認(rèn)證產(chǎn)生的 AAAkey (AAA密鑰)生成根密鑰�,然后HAAA再根據(jù)根密鑰生成預(yù)認(rèn)證密鑰����,并將該預(yù)認(rèn)證密 鑰發(fā)送給潛在的拜訪網(wǎng)絡(luò)的VAAA ;當(dāng)麗進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�,首先根據(jù)根密鑰 生成預(yù)認(rèn)證密鑰,然后根據(jù)該預(yù)認(rèn)證密鑰向拜訪網(wǎng)絡(luò)的VAAA進行接入認(rèn)證���。參見圖2����,本發(fā) 明實施例提供了另一種預(yù)認(rèn)證的方法��,具體包括[0075]201 =MN接入初始的網(wǎng)絡(luò)接入設(shè)備�����,通過網(wǎng)絡(luò)接入設(shè)備向HAAA執(zhí)行接入認(rèn)證����。[0076]MN進行接入認(rèn)證的過程與實施例1中所述相同,此處不再贅述����。[0077]202 麗所在網(wǎng)絡(luò)的網(wǎng)絡(luò)接入設(shè)備判斷該網(wǎng)絡(luò)周圍是否存在潛在的拜訪網(wǎng)絡(luò),如 果是��,則執(zhí)行203;否則�,執(zhí)行214;[0078]203 網(wǎng)絡(luò)接入設(shè)備根據(jù)AAA協(xié)議向HAAA發(fā)送通知消息,該通知消息中攜帶潛在的 拜訪網(wǎng)絡(luò)的身份信息�����。[0079]204 接入認(rèn)證完成后����,麗和HAAA分別根據(jù)AAA key、HAAA的身份信息�����、麗的標(biāo) 識(MN-ID)生成根密鑰(pre-auth-root-key)�。[0080]其中,AAA key是在接入認(rèn)證過程中,HAAA根據(jù)MN與AAA之間的預(yù)共享密鑰產(chǎn)生 的EMSK及由其派生的子密鑰�,生成的pre-auth-root-key如下[0081]pre-auth-root-key = prf (MN-ID, HAAA label, AAA key), prf 表示密書月生成函數(shù)。[0082]205 :HAAA根據(jù)網(wǎng)絡(luò)接入設(shè)備發(fā)送的通知消息中攜帶的潛在的拜訪網(wǎng)絡(luò)的身 份 /[言��;窗�、禾口 pre_auth_root_key 生成預(yù)認(rèn) i正密朗(pre_auth_key),艮口 pre_auth_key = prf (pre-auth-root-key, TargetVAAA label)。[0083]206 =HAAA 將 MN-ID 和相應(yīng)的 pre-auth-key 發(fā)送給相應(yīng)的 VAAA0[0084]207 當(dāng)麗進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時���,獲取該拜訪網(wǎng)絡(luò)的身份信息(Target VAAAlabel)��。[0085]208 :MN *艮據(jù) Target VAAA label 禾口 pre—auth—root—key 生成 pre-auth-key,并*艮據(jù)pre-auth-key生成第一認(rèn)證信息�,將生成的第一認(rèn)證信息發(fā)送到VAAA�。[0086]其中,麗根據(jù)pre-auth-key生成第一認(rèn)證信息的方法與實施例1中所述相同���,此 處不再贅述���,并且MN在將pre-auth-key和第一認(rèn)證信息發(fā)送給VAAA后,還要將生成第一 認(rèn)證信息的參數(shù)發(fā)送給VAAA����。[0087]209 =VAAA收到麗發(fā)送的第一認(rèn)證信息后���,根據(jù)HAAA發(fā)送的預(yù)認(rèn)證密鑰和麗發(fā)送 的生成第一認(rèn)證信息的參數(shù)�����,采用與MN生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息����。[0088]210 =VAAA判斷生成的第二認(rèn)證信息與麗發(fā)送的第一認(rèn)證信息是否相同,如果是����, 則表明VAAA對麗的認(rèn)證通過,執(zhí)行211 �;否則,結(jié)束���。211 VAAA生成第三認(rèn)證信息�����,然后將 第三認(rèn)證信息發(fā)送給MN�。212 麗收到VAAA發(fā)送的第三認(rèn)證信息后�����,根據(jù)與VAAA生成第三 認(rèn)證信息相同的規(guī)則生成第四認(rèn)證消息,判斷MN生成的第四認(rèn)證信息與第三認(rèn)證信息是 否相同�����,如果是����,則表明麗對VAAA的認(rèn)證通過,執(zhí)行213 �����;否則�����,結(jié)束���。[0089]213 認(rèn)證通過���,MN可以與Target VAAA繼續(xù)進行信息交互。[0090]214 按域內(nèi)切換的流程處理��,該過程為現(xiàn)有技術(shù)���,此處不再贅述��。[0091]本實施例中��,202至203是在麗向HAAA進行EAP認(rèn)證的過程中發(fā)送的��,與201并 無先后順序��,為了描述方便���,將其放在了 201的后面。[0092]本實施例通過HAAA預(yù)先向家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)中的VAAA發(fā)送麗預(yù)認(rèn)證密 鑰����,在麗進入該網(wǎng)絡(luò)后,VAAA根據(jù)預(yù)先收到的預(yù)認(rèn)證密鑰對麗進行接入認(rèn)證����,使得麗在 進入家鄉(xiāng)網(wǎng)絡(luò)以外的網(wǎng)絡(luò)時可以直接在該拜訪網(wǎng)絡(luò)的VAAA上進行入網(wǎng)認(rèn)證,從而不需要 再到HAAA進行認(rèn)證�,減少了在VAAA至HAAA這段鏈路上的消耗,降低了切換時延���。[0093]實施例3[0094]參見圖3�,本發(fā)明實施例提供了一種認(rèn)證系統(tǒng),該認(rèn)證系統(tǒng)包括終端和拜訪網(wǎng)絡(luò)的 AAA服務(wù)器[0095]終端����,用于當(dāng)進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時,獲取拜訪網(wǎng)絡(luò)的身份信息���,根據(jù)拜 訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)��,認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料�,并根 據(jù)預(yù)認(rèn)證密鑰材料對拜訪網(wǎng)絡(luò)的AAA服務(wù)器進行身份認(rèn)證��;[0096]拜訪網(wǎng)絡(luò)的AAA服務(wù)器�,用于根據(jù)預(yù)認(rèn)證密鑰材料對終端進行身份認(rèn)證。[0097]參見圖4���,上述終端可以具體包括[0098]獲取模塊����,用于當(dāng)終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�,獲取拜訪網(wǎng)絡(luò)的身份信 息;[0099]選擇模塊�����,用于根據(jù)獲取模塊獲取的拜訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密鑰材料和 認(rèn)證票據(jù),認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料����;[0100]第一認(rèn)證模塊���,用于根據(jù)選擇模塊模塊選擇的預(yù)認(rèn)證密鑰材料�,對拜訪網(wǎng)絡(luò)的AAA 服務(wù)器進行身份認(rèn)證��。[0101]進一步地�,上述第一認(rèn)證模塊可以具體包括[0102]第一生成單元,用于根據(jù)選擇模塊選擇的預(yù)認(rèn)證密鑰材料生成第一認(rèn)證信息�;[0103]第一發(fā)送單元,用于將第一生成單元生成的第一認(rèn)證信息和選擇模塊選擇的認(rèn)證 票據(jù)發(fā)送給拜訪網(wǎng)絡(luò)的AAA服務(wù)器����;[0104]第四生成單元,用于在收到第三認(rèn)證信息后����,根據(jù)拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成第 三認(rèn)證信息相同的規(guī)則生成第四認(rèn)證信息;[0105]第一判斷單元�,用于判斷第四生成單元生成的第四認(rèn)證信息與第三認(rèn)證信息是否 相同,如果是����,則終端對拜訪網(wǎng)絡(luò)的AAA服務(wù)器的認(rèn)證通過����;[0106]參見圖5��,上述拜訪網(wǎng)絡(luò)的AAA服務(wù)器可以具體包括[0107]密鑰獲取模塊��,用于收到終端發(fā)送的第一認(rèn)證信息和認(rèn)證票據(jù)后�����,從認(rèn)證票據(jù)中 獲取預(yù)認(rèn)證密鑰材料��;[0108]第二生成模塊�����,用于根據(jù)密鑰獲取模塊獲取的預(yù)認(rèn)證密鑰材料��,采用與終端生成 第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息��;[0109]第二判斷模塊���,用于判斷第二生成模塊生成的第二認(rèn)證信息與終端發(fā)送的第一認(rèn) 證信息是否相同�����,如果是�����,則拜訪網(wǎng)絡(luò)的AAA服務(wù)器對終端的認(rèn)證通過����;[0110]第三生成模塊��,用于生成第三認(rèn)證信息�;[0111]第三發(fā)送模塊,用于將第三生成模塊生成的第三認(rèn)證信息發(fā)送給終端�。[0112]進一步地,上述認(rèn)證系統(tǒng)還包括網(wǎng)絡(luò)接入設(shè)備和家鄉(xiāng)AAA服務(wù)器[0113]網(wǎng)絡(luò)接入設(shè)備���,用于在終端進入拜訪網(wǎng)絡(luò)之前����,判斷終端所在的網(wǎng)絡(luò)周圍是否存 在潛在的拜訪網(wǎng)絡(luò)���,如果是�����,則向家鄉(xiāng)AAA服務(wù)器發(fā)送拜訪網(wǎng)絡(luò)的身份信息���;[0114]家鄉(xiāng)AAA服務(wù)器���,用于收到網(wǎng)絡(luò)接入設(shè)備發(fā)送的身份信息后,生成預(yù)認(rèn)證密鑰材 料���,并根據(jù)家鄉(xiāng)網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)之間的安全關(guān)系對預(yù)認(rèn)證密鑰材料以及相關(guān)參數(shù)進行加密 生成票據(jù)密鑰信息���,將家鄉(xiāng)AAA服務(wù)器的身份信息、拜訪網(wǎng)絡(luò)的身份信息和票據(jù)密鑰信息 作為認(rèn)證票據(jù)然后將預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)���,以及相應(yīng)的拜訪網(wǎng)絡(luò)的身份信息發(fā)送給 終端�。[0115]本實施例通過在MN進行初次入網(wǎng)認(rèn)證的同時�,由HAAA向它下發(fā)預(yù)認(rèn)證密鑰材料 和包含預(yù)認(rèn)證密鑰的認(rèn)證票據(jù),使得MN在進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�����,可以直接在該 網(wǎng)絡(luò)的VAAA上進行入網(wǎng)認(rèn)證,從而不需要再到HAAA進行認(rèn)證�,減少了在VAAA至HAAA這段 鏈路上的消耗,降低了切換時延���。[0116]實施例4[0117]參見圖6����,本發(fā)明實施例還提供了一種認(rèn)證系統(tǒng)�,該認(rèn)證系統(tǒng)包括終端和拜訪網(wǎng)絡(luò) 的AAA服務(wù)器[0118]終端,用于當(dāng)進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時����,獲取拜訪網(wǎng)絡(luò)的身份信息����,根據(jù)拜 訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰,并根據(jù)預(yù)認(rèn)證密鑰對拜訪網(wǎng)絡(luò)的AAA服務(wù)器進行身份 認(rèn)證����;[0119]拜訪網(wǎng)絡(luò)的AAA服務(wù)器,用于根據(jù)預(yù)認(rèn)證密鑰對終端進行身份認(rèn)證����。[0120]參見圖7,上述終端可以具體包括[0121]獲取模塊,用于當(dāng)終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�,獲取拜訪網(wǎng)絡(luò)的身份信 息;[0122]第一生成模塊���,用于根據(jù)獲取模塊獲取的拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰����;[0123]第一認(rèn)證模塊����,用于根據(jù)第一生成模塊生成的預(yù)認(rèn)證密鑰對拜訪網(wǎng)絡(luò)的AAA服務(wù) 器進行身份認(rèn)證。[0124]進一步地��,上述第一認(rèn)證模塊可以具體包括[0125]第一生成單元��,用于根據(jù)第一生成模塊生成的預(yù)認(rèn)證密鑰生成第一認(rèn)證信息�����;[0126]第一發(fā)送單元��,用于將第一生成模塊生成的第一認(rèn)證信息發(fā)送給拜訪網(wǎng)絡(luò)的AAA服務(wù)器���;[0127]第一判斷單元�����,用于判斷第四生成模塊生成的第四認(rèn)證信息與第三認(rèn)證信息是否 相同����,如果是,則終端對拜訪網(wǎng)絡(luò)的AAA服務(wù)器的認(rèn)證通過�����。[0128]參見圖8����,上述拜訪網(wǎng)絡(luò)的AAA服務(wù)器可以具體包括[0129]第二生成模塊,用于收到終端發(fā)送的第一認(rèn)證信息后�����,根據(jù)家鄉(xiāng)AAA服務(wù)器發(fā)送 的預(yù)認(rèn)證密鑰�����,采用與終端生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息���;[0130]第二判斷模塊,用于判斷第二生成模塊生成的第二認(rèn)證信息與終端發(fā)送的第一認(rèn) 證信息是否相同,如果是�,則拜訪網(wǎng)絡(luò)的AAA服務(wù)器對終端的認(rèn)證通過;[0131]第三生成模塊�����,用于生成第三認(rèn)證信息���;[0132]第二發(fā)送模塊�,用于將第三生成模塊生成的第三認(rèn)證信息發(fā)送給終端����。[0133]進一步地,上述認(rèn)證系統(tǒng)還包括網(wǎng)絡(luò)接入設(shè)備和家鄉(xiāng)AAA服務(wù)器[0134]網(wǎng)絡(luò)接入設(shè)備�,用于在終端進入拜訪網(wǎng)絡(luò)之前,判斷終端所在的網(wǎng)絡(luò)周圍是否存 在潛在的拜訪網(wǎng)絡(luò)如果是�,則向家鄉(xiāng)AAA服務(wù)器發(fā)送潛在的拜訪網(wǎng)絡(luò)的身份信息;[0135]家鄉(xiāng)AAA服務(wù)器����,用于收到網(wǎng)絡(luò)接入設(shè)備發(fā)送的拜訪網(wǎng)絡(luò)的身份信息后,根據(jù)終 端的標(biāo)識�、家鄉(xiāng)AAA服務(wù)器的身份信息和AAA密鑰生成根密鑰,AAA密鑰為家鄉(xiāng)AAA服務(wù)器 對終端進行接入認(rèn)證產(chǎn)生的密鑰材料��;根據(jù)網(wǎng)絡(luò)接入設(shè)備發(fā)送的拜訪網(wǎng)絡(luò)的身份信息和根 密鑰生成預(yù)認(rèn)證密鑰;然后將預(yù)認(rèn)證密鑰發(fā)送給拜訪網(wǎng)絡(luò)的AAA服務(wù)器����;[0136]相應(yīng)地,終端還用于當(dāng)進入拜訪網(wǎng)絡(luò)之后���,根據(jù)終端的標(biāo)識�����、家鄉(xiāng)AAA服務(wù)器的身 份信息和AAA密鑰生成根密鑰�����。[0137]本實施例通過HAAA預(yù)先向家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)中的VAAA發(fā)送麗預(yù)認(rèn)證密 鑰����,在麗進入該拜訪網(wǎng)絡(luò)后�����,VAAA根據(jù)預(yù)先收到的預(yù)認(rèn)證密鑰對麗進行接入認(rèn)證����,使得麗 在進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時可以直接在該拜訪網(wǎng)絡(luò)的VAAA上進行入網(wǎng)認(rèn)證,從而 不需要再到HAAA進行認(rèn)證�����,減少了在VAAA至HAAA這段鏈路上的消耗��,降低了切換時延�。[0138]本發(fā)明實施例可以通過軟件實現(xiàn),相應(yīng)的軟件可以存儲到可讀取的存儲介質(zhì)中�, 例如,計算機的硬盤�����、軟盤或光盤中��。[0139]以上僅為本發(fā)明的較佳實施例�����,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則 之內(nèi),所作的任何修改�、等同替換、改進等��,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種預(yù)認(rèn)證的方法�,其特征在于,所述方法包括在終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)之前���,向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身 份信息�����;所述家鄉(xiāng)AAA服務(wù)器收到所述拜訪網(wǎng)絡(luò)的身份信息后�����,生成預(yù)認(rèn)證密鑰材料���,并根據(jù) 家鄉(xiāng)網(wǎng)絡(luò)與所述拜訪網(wǎng)絡(luò)之間的安全關(guān)系對所述預(yù)認(rèn)證密鑰材料以及相關(guān)參數(shù)進行加密 生成票據(jù)密鑰信息,將所述家鄉(xiāng)AAA服務(wù)器的身份信息�、所述拜訪網(wǎng)絡(luò)的身份信息和票據(jù) 密鑰信息作為認(rèn)證票據(jù),然后將所述預(yù)認(rèn)證密鑰材料��、認(rèn)證票據(jù)和相應(yīng)的拜訪網(wǎng)絡(luò)的身份 信息發(fā)送給所述終端�;當(dāng)所述終端進入所述拜訪網(wǎng)絡(luò)時,根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息選 擇預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)�����,所述認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料�����,所述拜訪網(wǎng)絡(luò)的AAA 服務(wù)器和所述終端根據(jù)所述預(yù)認(rèn)證密鑰材料互相進行身份認(rèn)證�。
2.根據(jù)權(quán)利要求
1所述的預(yù)認(rèn)證的方法,其特征在于�����,所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器和所 述終端根據(jù)所述預(yù)認(rèn)證密鑰材料互相進行身份認(rèn)證�����,具體包括所述終端根據(jù)所述預(yù)認(rèn)證密鑰材料生成第一認(rèn)證信息��,然后將所述第一認(rèn)證信息和認(rèn) 證票據(jù)發(fā)送給所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器�����;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器收到所述第一認(rèn)證信息和認(rèn)證票據(jù)后����,從所述認(rèn)證票據(jù)中 獲取預(yù)認(rèn)證密鑰材料,根據(jù)所述預(yù)認(rèn)證密鑰材料采用與所述終端生成第一認(rèn)證信息相同的 規(guī)則生成第二認(rèn)證信息��,判斷所述第二認(rèn)證信息與所述第一認(rèn)證信息是否相同,如果是��,則 所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器對所述終端的認(rèn)證通過��;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成第三認(rèn)證信息��,然后將所述第三認(rèn)證信息發(fā)送給所述 終端����;所述終端在收到所述第三認(rèn)證信息后,根據(jù)所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成所述第三 認(rèn)證信息相同的規(guī)則生成第四認(rèn)證信息�����,判斷所述第三認(rèn)證信息與所述第四認(rèn)證信息是否 相同��,如果是��,則所述終端對所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器的認(rèn)證通過����。
3.根據(jù)權(quán)利要求
2所述的預(yù)認(rèn)證的方法,其特征在于��,所述在終端進入家鄉(xiāng)網(wǎng)絡(luò)以外 的拜訪網(wǎng)絡(luò)之前,向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身份信息��,具體包括在所述終端進入所述拜訪網(wǎng)絡(luò)之前�����,所述終端所在網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入設(shè)備判斷所述網(wǎng) 絡(luò)周圍是否存在潛在的拜訪網(wǎng)絡(luò)�����,如果是��,則向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身份 fn息ο
4.根據(jù)權(quán)利要求
3所述的預(yù)認(rèn)證的方法�����,其特征在于���,所述參數(shù)至少包含所述家鄉(xiāng)AAA 服務(wù)器的身份信息、所述拜訪網(wǎng)絡(luò)的身份信息���、所述終端的標(biāo)識�、所述終端的基本信息和所 述認(rèn)證票據(jù)的有效期限�。
5.根據(jù)權(quán)利要求
2所述的預(yù)認(rèn)證方法,其特征在于,所述從所述認(rèn)證票據(jù)中獲取預(yù)認(rèn) 證密鑰材料����,具體包括所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)所述家鄉(xiāng)網(wǎng)絡(luò)與所述拜訪網(wǎng)絡(luò)之間的安全關(guān)系對所 述認(rèn)證票據(jù)中的票據(jù)密鑰信息進行解密得到預(yù)認(rèn)證密鑰材料。
6.根據(jù)權(quán)利要求
3或5所述的預(yù)認(rèn)證方法����,其特征在于,所述安全關(guān)系為所述家鄉(xiāng)網(wǎng)絡(luò) 與所述拜訪網(wǎng)絡(luò)之間的預(yù)共享密鑰�,或者為所述拜訪網(wǎng)絡(luò)的公私鑰對。
7.一種預(yù)認(rèn)證的方法���,其特征在于�,所述方法包括在終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)之前�����,向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身份信息���;所述家鄉(xiāng)AAA服務(wù)器收到所述拜訪網(wǎng)絡(luò)的身份信息后�,根據(jù)所述終端的標(biāo)識�����、所述家 鄉(xiāng)AAA的身份信息和AAA密鑰生成根密鑰,所述AAA密鑰為所述家鄉(xiāng)AAA服務(wù)器對所述終 端進行EAP認(rèn)證產(chǎn)生的密鑰材料���;所述家鄉(xiāng)AAA服務(wù)器根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息和所 述根密鑰生成預(yù)認(rèn)證密鑰�,然后將所述預(yù)認(rèn)證密鑰發(fā)送給所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器����;當(dāng) 終端進入所述拜訪網(wǎng)絡(luò)時,所述終端根據(jù)所述終端的標(biāo)識��、所述家鄉(xiāng)AAA服務(wù)器的身份信 息和AAA密鑰生成根密鑰�����;根據(jù)所述根密鑰和所述拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰����;所述終端和所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)所述預(yù)認(rèn)證密鑰互相進行身份認(rèn)證����。
8.根據(jù)權(quán)利要求
7所述的預(yù)認(rèn)證的方法,其特征在于�����,所述終端和所述拜訪網(wǎng)絡(luò)的AAA 服務(wù)器根據(jù)所述預(yù)認(rèn)證密鑰互相進行身份認(rèn)證,具體包括所述終端根據(jù)所述預(yù)認(rèn)證密鑰生成第一認(rèn)證信息���,然后將所述第一認(rèn)證信息發(fā)送給所 述拜訪網(wǎng)絡(luò)的AAA服務(wù)器���;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器收到所述第一認(rèn)證信息后,根據(jù)家鄉(xiāng)AAA服務(wù)器發(fā)送的預(yù) 認(rèn)證密鑰采用與所述終端生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息���,判斷所述第二 認(rèn)證信息與所述終端發(fā)送的第一認(rèn)證信息是否相同����,如果是�,則所述拜訪網(wǎng)絡(luò)的AAA服務(wù) 器對所述終端的認(rèn)證通過;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成第三認(rèn)證信息�����,然后將所述第三認(rèn)證信息發(fā)送給所述 終端�����;所述終端在收到所述第三認(rèn)證信息后�����,根據(jù)與所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成第三認(rèn) 證信息相同的規(guī)則生成第四認(rèn)證信息,判斷所述第三認(rèn)證信息與所述第四認(rèn)證信息是否相 同�����,如果是���,則所述終端對所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器的認(rèn)證通過�。
9.根據(jù)權(quán)利要求
8所述的預(yù)認(rèn)證的方法����,其特征在于,所述在終端進入家鄉(xiāng)網(wǎng)絡(luò)以外 的拜訪網(wǎng)絡(luò)之前��,向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身份信息�����,具體包括在所述終端進入所述拜訪網(wǎng)絡(luò)之前���,所述終端所在網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入設(shè)備判斷所述網(wǎng) 絡(luò)周圍是否存在潛在的拜訪網(wǎng)絡(luò),如果是��,則向家鄉(xiāng)AAA服務(wù)器發(fā)送所述拜訪網(wǎng)絡(luò)的身份 fn息ο
10.一種認(rèn)證系統(tǒng)����,其特征在于��,所述認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)接入設(shè)備�,家鄉(xiāng)AAA服務(wù)器�����,終 端和拜訪網(wǎng)絡(luò)的AAA服務(wù)器所述網(wǎng)絡(luò)接入設(shè)備��,用于在所述終端進入所述拜訪網(wǎng)絡(luò)之前���,向所述家鄉(xiāng)AAA服務(wù)器 發(fā)送所述拜訪網(wǎng)絡(luò)的身份信息��;所述家鄉(xiāng)AAA服務(wù)器�����,用于收到所述網(wǎng)絡(luò)接入設(shè)備發(fā)送的身份信息后��,生成預(yù)認(rèn)證密 鑰材料�����,并根據(jù)家鄉(xiāng)網(wǎng)絡(luò)與所述拜訪網(wǎng)絡(luò)之間的安全關(guān)系對所述預(yù)認(rèn)證密鑰材料以及相關(guān) 參數(shù)進行加密生成票據(jù)密鑰信息��,將所述家鄉(xiāng)AAA服務(wù)器的身份信息���、所述拜訪網(wǎng)絡(luò)的身 份信息和票據(jù)密鑰信息作為認(rèn)證票據(jù)然后將所述預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)��,以及相應(yīng)的 拜訪網(wǎng)絡(luò)的身份信息發(fā)送給所述終端���;所述終端,用于當(dāng)進入所述拜訪網(wǎng)絡(luò)時����,根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密 鑰材料和認(rèn)證票據(jù),所述認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料�����,并根據(jù)所述預(yù)認(rèn)證密鑰材料對所 述拜訪網(wǎng)絡(luò)的AAA服務(wù)器進行身份認(rèn)證�����;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器�,用于根據(jù)所述預(yù)認(rèn)證密鑰材料對所述終端進行身份認(rèn)證���。
11.根據(jù)權(quán)利要求
10所述的認(rèn)證系統(tǒng)���,其特征在于����,所述終端具體包括獲取模塊�,用于當(dāng)所述終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時,獲取所述拜訪網(wǎng)絡(luò)的身 份信息�����;選擇模塊�����,用于根據(jù)所述獲取模塊獲取的拜訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密鑰材料和 認(rèn)證票據(jù)�����,所述認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料�����;第一認(rèn)證模塊�,用于根據(jù)所述選擇模塊模塊選擇的預(yù)認(rèn)證密鑰材料,對所述拜訪網(wǎng)絡(luò) 的AAA服務(wù)器進行身份認(rèn)證。
12.根據(jù)權(quán)利要求
11所述的認(rèn)證系統(tǒng)�����,其特征在于�����,所述第一認(rèn)證模塊具體包括 第一生成單元����,用于根據(jù)所述選擇模塊選擇的預(yù)認(rèn)證密鑰材料生成第一認(rèn)證信息;第一發(fā)送單元�����,用于將所述第一生成單元生成的第一認(rèn)證信息和所述選擇模塊選擇的 認(rèn)證票據(jù)發(fā)送給所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器���;第四生成單元���,用于在收到第三認(rèn)證信息后,根據(jù)所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器生成所 述第三認(rèn)證信息相同的規(guī)則生成第四認(rèn)證信息��;第一判斷單元�,用于判斷所述第四生成單元生成的第四認(rèn)證信息與所述第三認(rèn)證信息 是否相同�,如果是�,則所述終端對所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器的認(rèn)證通過�。
13.根據(jù)權(quán)利要求
10所述的認(rèn)證系統(tǒng),其特征在于����,所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器具體包括密鑰獲取模塊,用于收到終端發(fā)送的第一認(rèn)證信息和認(rèn)證票據(jù)后�,從所述認(rèn)證票據(jù)中 獲取預(yù)認(rèn)證密鑰材料;第二生成模塊��,用于根據(jù)所述密鑰獲取模塊獲取的預(yù)認(rèn)證密鑰材料�����,采用與所述終端 生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息����;第二判斷模塊,用于判斷所述第二生成模塊生成的第二認(rèn)證信息與所述終端發(fā)送的第 一認(rèn)證信息是否相同���,如果是���,則所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器對所述終端的認(rèn)證通過; 第三生成模塊,用于生成第三認(rèn)證信息����;第三發(fā)送模塊,用于將所述第三生成模塊生成的第三認(rèn)證信息發(fā)送給所述終端�����。
14.一種認(rèn)證系統(tǒng)�����,其特征在于��,所述認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)接入設(shè)備�����,家鄉(xiāng)AAA服務(wù)器�����,終 端和拜訪網(wǎng)絡(luò)的AAA服務(wù)器所述網(wǎng)絡(luò)接入設(shè)備���,用于在所述終端進入所述拜訪網(wǎng)絡(luò)之前���,向所述家鄉(xiāng)AAA服務(wù)器 發(fā)送所述潛在的拜訪網(wǎng)絡(luò)的身份信息���;所述家鄉(xiāng)AAA服務(wù)器�,用于收到所述拜訪網(wǎng)絡(luò)的身份信息后,根據(jù)所述終端的標(biāo)識����、所 述家鄉(xiāng)AAA服務(wù)器的身份信息和AAA密鑰生成根密鑰,所述AAA密鑰為所述家鄉(xiāng)AAA服務(wù) 器對所述終端進行接入認(rèn)證產(chǎn)生的密鑰材料��;根據(jù)所述拜訪網(wǎng)絡(luò)的身份信息和所述根密鑰 生成預(yù)認(rèn)證密鑰��;然后將所述預(yù)認(rèn)證密鑰發(fā)送給所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器�;所述終端,用于當(dāng)進入所述拜訪網(wǎng)絡(luò)時�,根據(jù)所述終端的標(biāo)識、所述家鄉(xiāng)AAA服務(wù)器的 身份信息和AAA密鑰生成根密鑰����;根據(jù)所述根密鑰和所述拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證 密鑰,并根據(jù)所述預(yù)認(rèn)證密鑰對所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器進行身份認(rèn)證����;所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器����,用于根據(jù)所述預(yù)認(rèn)證密鑰對所述終端進行身份認(rèn)證��。
15.根據(jù)權(quán)利要求
14所述的認(rèn)證系統(tǒng)�����,其特征在于���,所述終端具體包括獲取模塊��,用于當(dāng)所述終端進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時��,獲取所述拜訪網(wǎng)絡(luò)的身 份信息�;第一生成模塊�,用于根據(jù)所述獲取模塊獲取的拜訪網(wǎng)絡(luò)的身份信息生成預(yù)認(rèn)證密鑰; 第一認(rèn)證模塊���,用于根據(jù)所述第一生成模塊生成的預(yù)認(rèn)證密鑰對所述拜訪網(wǎng)絡(luò)的AAA 服務(wù)器進行身份認(rèn)證����。
16.根據(jù)權(quán)利要求
14所述的認(rèn)證系統(tǒng)�����,其特征在于,所述拜訪網(wǎng)絡(luò)的AAA服務(wù)器具體包括第二生成模塊�,用于收到終端發(fā)送的第一認(rèn)證信息后,根據(jù)家鄉(xiāng)AAA服務(wù)器發(fā)送的預(yù) 認(rèn)證密鑰�,采用與所述終端生成第一認(rèn)證信息相同的規(guī)則生成第二認(rèn)證信息;第二判斷模塊���,用于判斷所述第二生成模塊生成的第二認(rèn)證信息與所述終端發(fā)送的第 一認(rèn)證信息是否相同,如果是���,則所述AAA服務(wù)器對所述終端的認(rèn)證通過���; 第三生成模塊,用于生成第三認(rèn)證信息���;第二發(fā)送模塊��,用于將所述第三生成模塊生成的第三認(rèn)證信息發(fā)送給所述終端����。
專利摘要
本發(fā)明公開了一種預(yù)認(rèn)證的方法和認(rèn)證系統(tǒng)�,屬于移動通信領(lǐng)域�����。所述方法包括當(dāng)MN進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時�����,MN獲取所述拜訪網(wǎng)絡(luò)的身份信息�,根據(jù)拜訪網(wǎng)絡(luò)的身份信息選擇預(yù)認(rèn)證密鑰材料和認(rèn)證票據(jù)����,該認(rèn)證票據(jù)攜帶預(yù)認(rèn)證密鑰材料,拜訪網(wǎng)絡(luò)的AAA服務(wù)器和MN根據(jù)所述預(yù)認(rèn)證密鑰材料互相進行身份認(rèn)證�����。所述認(rèn)證系統(tǒng)包括終端和AAA服務(wù)器����。本發(fā)明通過在MN進入家鄉(xiāng)網(wǎng)絡(luò)以外的拜訪網(wǎng)絡(luò)時,根據(jù)獲取的認(rèn)證信息在該拜訪網(wǎng)絡(luò)中的VAAA上進行接入認(rèn)證���,從而在域間切換時不需要拜訪網(wǎng)絡(luò)的VAAA再到HAAA上進行認(rèn)證��,減少了域間切換的時延�����。
文檔編號H04W12/04GKCN101616407 B發(fā)布類型授權(quán) 專利申請?zhí)朇N 200810127098
公開日2011年4月27日 申請日期2008年6月25日
發(fā)明者潘云波 申請人:華為技術(shù)有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan專利引用 (4),