專利名稱:一種預認證方法、設備及系統的制作方法
技術領域:
本發明涉及移動通信技術,尤其涉及在多認證者場景下的一種預認證方法、設備及系統。
背景技術:
EAP架構通常包括客戶端認證者(Authenticator),認證、授權和計費 (Authentication Authorization and Accounting, AAA)服務器 /EAP 服務器三個重要部 件。認證者一般位于網絡邊緣位置,與AAA服務器/EAP服務器可以耦合在一起,也可以分 離獨立存在。該架構提供對客戶端設備的認證授權功能,EAP協議中的EAP方法用于生成 密鑰材料如主會話密鑰(Master Session Key,MSK)和擴展主會話密鑰(Extended Master Session Key, EMSK)。MSK主要用于EAP底層協議,而EMSK用于保護客戶端和AAA服務器 之間的交互。由于完整的EAP過程一般需要兩個以上的來回交互,所以常常會造成認證和 授權的大量時延。為了減少這類切換時延,重用初始認證生成的密鑰和狀態信息以及避免 使用非對稱密鑰的機制被很多方法采用。但交互次數隨著使用的EAP方法不同,改進的程 度也不同,而且不管如何改進,,都需要至少兩次來回交互才能完成認證和授權過程。這種 切換時延對于某些實時應用來說時不可接受的。為了支持快速切換,常常需要避免基于AAA的完整認證,因為完整認證需要與移 動節點的家鄉AAA服務器經過多個來回交互才能完成認證,帶來比較長的切換時延。快速 切換中常用的EAP認證方法包括EAP重認證和EAP預認證。EAP重認證的主要思想是引入 本地EAP服務器機制,通過重用初始全認證中的密鑰材料來避免移動終端切換過程中過多 的基于EAP的AAA消息,而EAP預認證的主要思想是在移動終端切換之前預先生成MSK,用 于移動終端與候選認證者(Candidate Authenticator, CA)的認證。發明人在研究過程中發現,上述現有技術中,在EAP客戶端與AAA服務器交互過程 中,通常需要跨越兩個認證者,即當前認證者(Serving Authenticator, SA)和候選認證者 CA,此時,兩個認證者既無法判斷客戶端發送的是普通認證請求還是預認證請求,也無法判 斷自身是否需要與AAA服務器進行交互以完成預認證過程,因此,會引起預認證的失敗,造 成切換時延。
發明內容
本發明實施例提供了一種預認證方法、設備和系統。通過實施本發明,能夠使當前 認證者和候選認證者正確區分預認證消息,使用預認證過程獲取的預認證密鑰保護移動節 點和候選認證者之間的通信,增強了通信的安全性,減少了切換認證的時延。本發明實施例所述預認證方法包括接收預認證消息,所述預認證消息中攜帶預 認證選項;根據所述預認證消息確定需要進行預認證的移動節點;向AAA服務器發送認證 請求消息,請求對所述移動節點進行認證,所述認證請求消息中攜帶所述預認證選項;接收 所述AAA服務器發送的認證響應消息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密鑰;將所述預認證密鑰發送給所述移動節點。本發明實施例所述預認證設備包括第一接收單元,用于接收預認證消息,所述預認證消息中攜帶預認證選項;確定單元,用于根據所述預認證消息確定需要進行預認證的 移動節點;第一發送單元,用于向AAA服務器發送認證請求消息,請求對所述移動節點進行 認證,所述認證請求消息中攜帶所述預認證選項;第二接收單元,用于接收所述AAA服務器 發送的認證響應消息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密 鑰;第二發送單元,用于將所述預認證密鑰發送給所述移動節點。本發明實施例所述預認證系統包括預認證設備和AAA服務器,其中,所述預認證 設備,用于接收預認證消息,所述預認證消息中攜帶預認證選項,根據所述預認證消息確定 需要進行預認證的移動節點,向AAA服務器發送認證請求消息,請求對所述移動節點進行 認證,所述認證請求消息中攜帶所述預認證選項,接收所述AAA服務器發送的認證響應消 息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密鑰;將所述預認證 密鑰發送給所述移動節點;所述AAA服務器,用于接收所述預認證設備發送的認證請求消 息,根據所述認證請求消息生成所述候選認證者和所述移動節點間的預認證密鑰,將所述 預認證密鑰攜帶在所述認證響應消息中發送給所述預認證設備。通過實施本發明上述實施例,可以使當前認證者或者候選認證者正確識別預認證 消息,在收到預認證消息后,通過AAA服務器獲取候選認證者與移動節點之間的預認證密 鑰,使移動節點切換到候選認證者之后,可以使用所述預認證密鑰保護移動節點和候選認 證者之間的通信,增強了通信的安全性,減少了切換認證的時延。
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例中所需要使用的 附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領 域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的 附圖。圖1為本發明所述預認證方法的一個實施例的流程示意圖;圖2為本發明所述預認證方法的另一個實施例的流程示意圖;圖3為本發明所述預認證方法的另一個實施例的流程示意圖;圖4為本發明所述預認證方法的另一個實施例的流程示意圖;圖5為本發明所述預認證方法的另一個實施例的流程示意圖;圖6為本發明所述預認證設備的一個實施例的結構示意圖;圖7為本發明所述預認證設備的另一個實施例的結構示意圖;圖8為本發明所述預認證設備的另一個實施例的結構示意圖;圖9為本發明所述預認證系統的一個實施例的結構示意圖。
具體實施例方式以下結合附圖和實施例對本發明進行詳細描述。如圖1所示,為本發明一個實施例中實現預認證的方法的流程示意圖。所述方法 包括
10、接收預認證消息,所述預認證消息中攜帶預認證選項。
所述預認證消息可以是作為客戶端的移動節點發出的,也可以是移動節點的當前 認證者發出的,所述預認證選項可以是預認證開始標識(Pre-auth Start)或者候選認證者 標識CA_ID,用于表明所述預認證消息的用途。11、根據所述預認證消息確定需要進行預認證的移動節點。當所述預認證消息由移動節點發出時,則所述預認證消息的源節點即為需要進行 預認證的移動節點;當所述預認證消息由當前認證者發出時,根據所述預認證消息的內容 確定需要進行預認證的移動節點。12、向AAA服務器發送認證請求消息,所述認證請求中攜帶所述預認證選項。所述 認證請求的目的是請求AAA服務器對作為客戶端的移動節點進行認證,并生成候選認證者 和移動節點間的預認證密鑰。所述認證請求消息中需要攜帶與預認證選項,所述預認證選 項與步驟10中的預認證選項相同,具體可以是候選認證者標識CA_ID,該候選認證者標識 可以攜帶在所述預認證選項中CA_ID,也可以攜帶在單獨的選項中。13、接收AAA服務器發送的認證響應消息,所述認證響應消息中攜帶移動節點和 候選認證者之間的預認證密鑰。AAA服務器在對移動節點認證通過后,根據所述預認證選項 和其他密鑰材料生成移動節點和候選認證者間的預認證密鑰。并通過認證響應消息將該預 認證密鑰發送給候選認證者。14、將接收的預認證密鑰發送給作為客戶端的移動節點。其中,需要通過當前認證者SA將該預認證密鑰發送給移動節點。移動節點收到該 預認證密鑰后,即可認為與候選認證者間的預認證已經完成。當所述接收預認證消息的步驟是由候選認證者完成時,本發明實施例在步驟11 和12之間還可以包括建立預認證綁定關系的步驟。具體可以是候選認證者根據預認證消 息建立候選認證者和移動節點的預認證綁定關系,標注移動節點的認證狀態為預認證狀 態。本發明實施例中所述預認證密鑰包括了候選認證者和移動節點之間的預認證密 鑰,以及移動節點和AAA服務器之間的主會話密鑰MSK和擴展主會話密鑰EMSK。通過實施本發明實施例,候選認證者在收到認證消息后,根據其中攜帶的預認證 選項,能夠確定該消息為預認證消息,進而發起預認證過程,使移動節點還沒有附著到候選 認證者時就完成了與移動節點的認證過程,并在移動節點切換到候選認證者時,能夠使用 預認證密鑰對移動節點進行快速認證,減少了切換認證的時延。上述圖1所示的方法,可以應用在移動節點切換時存在多個認證者(一個當前認 證者以及多個可能的候選認證者)的場景下,以下分別對本發明在這些場景下的應用進行 介紹。如圖2所示,為本發明預認證方法的另一種實施例。本實施例中可以由當前認證 # (Serving Authenticator, SA) Wi^itlAilE# (Candidate Authenticator, CA)白勺胃 現,也可以由移動節點負責候選認證者CA的發現,即由SA或者移動節點在預認證開始前通 過發現機制獲取了候選認證者標識CA_ID,其中CA_ID可以是CA的IP地址、CA的域名或者 其他可以唯一區別CA的標識。SA在預認證中承擔Authenticator Relay的功能。本實施 例所述的方法包括
20、移動節點向當前認證者SA發起預認證請求,所述預認證請求中攜帶預認證選 項,請求SA為其選擇候選認證者。所述預認證選項為預認證開始標識(Pre-auth start) 或者候選認證者標識CA_ID。需要說明的是,本步驟并不是必須的,當存在本步驟時,是終端 側發起的預認證,而省略本步驟時,是網絡側發起的預認證。21、SA向移動節點發送預認證初始化消息,以請求移動節點確認是否發起預認證。 本步驟中,SA既可以主動向移動節點發送預認證初始化消息,也可以根據移動節點的請求 發送預認證初始化消息。該預認證初始化消息攜帶預認證選項。該預認證選項為預認證開 始標識(Pre-auth start)。該預認證初始化消息中可以攜帶CA_ID (SA進行CA發現時), 也可以不攜帶CA_ID(移動節點進行CA發現時)。該預認證初始化消息可以是攜帶預認證 開始標識的EAP發起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)。22、移動節點根據SA發送的預認證初始化消息向SA發送預認證確認消息,攜帶預 認證選項。該預認證選項可以為預認證指示標志(Pre-auth Indication),用于區分發起的 認證是預認證還是普通認證。該預認證確認消息中攜帶CA_ID,用來指出需要進行預認證的 CA。該預認證確認消息可以是攜帶預認證指示標志的EAP發起消息(ΕΑΡ-Initiate)或者 EAP 響應消息(EAP-Rsp)。23,SA根據該預認證確認消息中攜帶的CA_ID確定候選認證者。該CA_ID攜帶在 EAP發起消息(ΕΑΡ-Initiate)或者EAP響應消息(EAP-Rsp)的擴展的Peer_ID選項(Peer_ IDiCA_ID)或者單獨的CA_ID選項中。24、SA將該預認證確認消息轉發給通過該預認證確認消息確定的候選認證者CA。 SA在發送該消息的過程中,可以將作為預認證確認消息的EAP發起消息(ΕΑΡ-Initiate)或 者EAP響應消息(EAP-Rsp)通過三層協議承載。SA在轉發該預認證確認消息的時候不對該 消息的內容進行修改。25、候選認證者CA收到預認證確認消息后,在本地建立相應的預認證綁定關系和 預認證狀態,即建立移動節點和自身的綁定關系,并標注移動節點的認證狀態為預認證。本 步驟中,CA可以根據該消息中的Peer_ID的擴展選項(Peer_ID@CA_ID)或者預認證指示標 志等預認證選項確認該消息為預認證確認消息。26、候選認證者CA向AAA服務器發送認證請求消息,請求AAA服務器對該移動節 點進行認證。該認證請求中攜帶預認證選項以及移動節點標識,該移動節點標識可以為網 絡訪問標識(Network Access Identifier, ΝΑΙ)或者移動節點的家鄉域名。27、AAA服務器收到CA發送的認證請求消息后,對移動節點進行認證,認證通過 后,生成CA和移動節點間的預認證密鑰,并向CA發送認證響應消息,該認證響應消息中攜 帶生成的CA和移動節點間的預認證密鑰。28、CA收到AAA服務器發送的認證響應消息后,獲取并保存其中的預認證密鑰。29_210、CA通過SA向發送預認證確認消息的移動節點發送預認證成功消息,該預 認證成功消息中攜帶AAA服務器發送的預認證密鑰,該預認證成功消息可以是攜帶預認證 密鑰的EAP結束消息ΕΑΡ-Finish或者EAP成功消息EAP-Success。211、移動節點收到SA發送的預認證成功消息后,獲取并保存其中的預認證密鑰。 移動節點在獲取到預認證密鑰后,完成與AAA服務器之間的預認證。當移動節點附著在候 選認證者CA之后,就可以使用該預認證密鑰保護移動節點與CA之間的通信。
此外,本發明實施例中,AAA服務器還可以生成自身和移動節點之間的主會話密鑰 MSK和擴展主會話密鑰EMSK,該MSK和EMSK同樣可以由AAA服務器通過CA發送給麗。
本實施例由當前認證者根據移動節點的選擇向候選認證者發送預認證消息,使候 選認證者在本地建立與移動節點的預認證綁定,并在AAA服務器對作為客戶端的移動節點 認證通過后將AAA服務器生成的預認證密鑰發送給移動節點和候選認證者,完成移動節點 與AAA服務器間的預認證,使移動節點在切換到候選認證者時,即可以用接收的預認證密 鑰保護移動節點與候選認證者之間的通信,減少了切換認證的時延。本發明所述預認證方法中,還可以由候選認證者CA根據當前認證者SA的指示 發起預認證。如圖3所示,為本發明預認證方法的另一實施例。本實施例中當前認證者 (Serving Authenticator, SA) Wi^itlAilE# (CandidateAuthenticator, CA)白勺胃%。* 發明實施例包括如下步驟30、當前認證者SA向候選認證者CA發送預認證發起指示消息,該預認證發起指示 消息攜帶預認證選項。該預認證選項具體可以為預認證指示標志(Pre-auth Indication), 用于區分發起的認證是預認證還是普通認證。此外,預認證發起指示消息還攜帶移動節點 標識。所述移動節點標識包括移動節點的地址、移動節點的域名或者移動節點的Peer_ID。31、候選認證者CA收到該預認證發起指示消息后,根據該預認證發起指示消息攜 帶的移動節點標識向移動節點發送預認證初始化消息。該預認證初始化消息攜帶預認證選 項,具體可以是攜帶預認證開始標識(Pre-auth start)的EAP發起消息(ΕΑΡ-Initiate) 或者EAP請求消息(EAP-Req)。32、移動節點根據CA發送的預認證發起指示消息向CA發送預認證確認消息,攜帶 預認證選項。該預認證確認消息具體可以是攜帶預認證指示標志(Pre-auth Indication) 的EAP發起消息(ΕΑΡ-Initiate)或者EAP響應消息(EAP-Rsp)。33、候選認證者收到該預認證確認消息后,在本地建立相應的預認證綁定關系和 預認證狀態。即建立移動節點和自身的綁定關系,并標注移動節點的認證狀態為預認證。本實施例的步驟34-39與圖2所示實施例的步驟26-211基本相同,在此不再贅 述。本實施例中,當前認證者自動發現可能的候選認證者,并指示候選認證者向移動 節點發起預認證,避免了候選認證者在收到移動節點的預認證消息時不能確認該消息是普 通消息還是預認證消息而造成的切換認證延時問題。在本發明另一實施例中,當前認證者可以代替候選認證者向AAA服務器請求發起 對移動節點的預認證過程。如圖4所示,為本發明所述預認證方法的另一實施例的流程 示意圖。本實施例中可以由當前認證者(Serving Authenticator, SA)負責候選認證者 (Candidate Authenticator, CA)的發現,也可以由移動節點負責候選認證者CA的發現,即 由SA或者移動節點在預認證開始前通過發現機制獲取了候選認證者標識CA_ID,其中CA_ ID可以是CA的IP地址、CA的域名或者其他可以唯一區別CA的標識。該方法包括40、移動節點向當前認證者SA發起預認證請求,該預認證請求中可以攜帶預認證 選項,以請求SA為其選擇候選認證者。需要說明的是,本步驟并不是必須的,當存在本步驟 時,是終端側發起的預認證,而省略本步驟時,是網絡側發起的預認證。41、SA向移動節點發送預認證初始化消息。本步驟中,SA既可以主動向移動節點發送預認證初始化消息,也可以根據移動節點的請求發送預認證初始化消息,攜帶預認證 選項。具體來說,該預認證初始化消息可以攜帶預認證開始標識(Pre-auth start),以請求 移動節點確認是否發起預認證。該預認證初始化消息中可以攜帶CA _ID(SA進行CA發現 時),也可以不攜帶CA_ID (移動節點進行CA發現時)。該預認證初始化消息可以是攜帶預 認證開始標識的EAP發起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)。42、移動節點根據SA發送的預認證初始化消息向SA發送預認證確認消息, 攜帶預認證選項。具體來說,該預認證確認消息可以攜帶預認證指示標志(Pre-auth Indication),用于區分發起的認證是預認證還是普通認證。該預認證確認消息中攜帶CA_ ID,用來指出移動節點選擇的候選認證者CA。該預認證確認消息可以是攜帶預認證指示標 志的EAP發起消息(ΕΑΡ-Initiate)或者EAP響應消息(EAP-Rsp)。43、當前認證者SA根據接收的預認證確認消息確定候選認證者CA。44、當前認證者SA向AAA服務器發送認證請求消息,該認證請求消息中攜帶擴展 的Peer_ID選項(攜帶Peer_ID以及CA_ID)以及其他預認證選項,請求AAA服務器對移動 節點進行預認證。45、AAA服務器收到SA發送的認證請求消息后,對作為客戶端的移動節點進行認 證,提取候選認證者標識CA_ID,在對移動節點認證通過后生成CA和移動節點間的預認證 密鑰,向CA發送認證響應消息,該認證響應消息中攜帶該生成的預認證密鑰。步驟46-49與圖2所示實施例中的28-211基本相同,在此不再贅述。本實施例中,當前認證者收到移動節點發送的預認證確認消息后,代替候選認證 者向AAA服務器發起對移動節點進行預認證的請求,使AAA服務器向移動節點和候選認證 者分發預認證密鑰。當移動節點切換到CA時,就可以使用AAA服務器分發的預認證密鑰進 行快速認證,減少了切換認證延時。本發明實施例中,還可以由移動節點進行候選認證者的發現即獲取候選認證者的 標識CA_ID,并在發現候選認證者后,主動發起預認證過程。如圖5所示,為本發明實施例中 MN主動發起預認證過程的流程示意圖。包括50、移動節點向當前認證者SA發送預認證初始化消息,攜帶預認證選項。具體來 說,該預認證初始化消息可以是攜帶候選認證者標識CA_ID或者候選認證者對應的二層鏈 路標識BS_ID的EAP發起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)。該CA_ID 或者BS_ID可以作為預認證初始化消息的選項獨立存在,也可以作為Peer_ID的擴展選項 (以 Peer_ID@CA_ID 或 Peer_ID@BS_ID 的形式)存在。51、SA接收該預認證初始化消息,通過該消息中攜帶的CA_ID或BS_ID確認該消 息為預認證初始化消息后,直接獲得CA或通過查詢二層鏈路標識與三層鏈路標識的映射 獲得候選認證者CA (當該消息中攜帶的BS_ID時),將該消息不做改動通過三層協議承載發 送給候選認證者CA。52、CA通過接收的預認證初始化消息中的預認證選項確認該預認證初始化消息用 于進行預認證請求后,在本地建立相應的預認證綁定關系和預認證狀態,即建立移動節點 和CA的綁定關系,并標注移動節點的認證狀態為預認證。本實施例中步驟53-58與圖2所示實施例的步驟相同,在此不再贅述。本發明實施例通過移動節點發現候選認證者CA或者二層鏈路標識BS_ID后主動發起預認證實現CA和移動節點間的預認證密鑰分發,減少了切換認證延時。本發明實施例還提供了一種預認證設備,該預認證設備既可以充當前述方法實施例中的當前認證者SA,也可以充當前述方法實施例中的候選認證者CA。如圖6所示,為本發明所述預認證設備的一個實施例的結構示意圖。該預認證設 備60用于發起對移動節點的預認證。第一接收單元610接收到攜帶預認證選項的預認證 消息后,將該預認證消息發送給確定單元620。確定單元620根據該預認證消息的源節點或 者該預認證消息攜帶的預認證選項,確定需要進行預認證的移動節點。然后,由第一發送單 元630向AAA服務器發送認證請求消息,請求AAA服務器對該移動節點進行預認證。該認 證請求消息中攜帶預認證選項以及該需要進行預認證的移動節點的標識,該認證請求消息 中還需要攜帶候選認證者標識,該候選認證者標識可以攜帶在所述預認證選項或者其他選 項中。AAA服務器對該移動節點認證通過后,根據該預認證選項生成移動節點和候選認證者 之間的預認證密鑰,并將該預認證密鑰通過認證響應消息發送給第二接收單元650。第二 接收單元650收到AAA服務器發送的預認證密鑰后,將該預認證密鑰發送給第二發送單元 640,由第二發送單元640將該預認證密鑰發送給所述移動節點,完成預認證密鑰的分發過 程。上述圖6所示實施例中的兩個或者兩個以上的單元既可以單獨設置,也可以集成 在一個模塊上。例如,第一接收單元610和第二接收單元650可以集成為同一個接收模塊; 第一發送單元630和第二發送單元640可以集成為同一個發送模塊;第一接收單元610、第 二接收單元650、第一發送單元630和第二發送單元640可以集成為同一個收發模塊。當所述預認證設備60充當當前認證者時,如圖7所示,為本發明所述預認證設備 的另一個實施例的結構示意圖。該預認證設備60在圖6所示基礎上至少還可以包括發現 單元660,用于發現移動節點的候選認證者。所述第一發送單元630還用于向所述移動節 點發送預認證初始化消息,在該預認證初始化消息中攜帶發現的候選認證者,該預認證初 始化消息具體可以為攜帶預認證開始標識Pre-auth start的EAP發起消息EAP-Initiate 或者EAP請求消息EAP-Req。此時,該第一接收單元610接收的預認證消息為移動節點發 送的攜帶選定的候選認證者的預認證確認消息,具體可以為攜帶預認證指示標志Pre-auth Indication 的 EAP 發起消息 ΕΑΡ-Initiate 或者 EAP 響應消息 EAP-Rsp。當所述預認證設備60充當上述方法實施例中的候選認證者時,如圖8所示,為本 發明所述預認證設備的另一個實施例的結構示意圖。該預認證設備60在圖6所示基礎上 至少還可以包括綁定單元670和存儲單元680。當確定單元620根據預認證消息確定需要 進行預認證的移動節點后,綁定單元670在候選認證者本地建立候選認證者與所述移動節 點的綁定關系,并設置所述移動節點的認證狀態為預認證。當第二接收單元650收到AAA 服務器發送的認證響應消息后,獲取其中的預認證密鑰,并發送給存儲單元680,存儲單元 680用于存儲所述預認證密鑰。這樣,當移動節點切換到所述候選認證者時,能夠使用存儲 的預認證密鑰對所述移動節點進行快速認證,減少了切換認證的時延。當所述預認證設備60為候選認證者時,所述預認證消息可以為當前認證者發送的攜帶預認證指示標志Pre-auth Indication或候選認證者標識 CA_ID的EAP發起消息ΕΑΡ-Initiate或EAP響應消息EAP-Rsp ;或為攜帶預認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發起消息ΕΑΡ-Initiate或EAP響應消息EAP-Rsp ;或當前認證者發送的攜帶候選認證者標識CA_ID或者候選認證者對應的二層鏈路 標識BS_ID的EAP發起消息ΕΑΡ-Initiate或者EAP請求消息EAP-Req。本發明上述實施例中的預認證設備在收到預認證消息后,根據其中的預認證選項 以及移動節點相關信息向AAA服務器請求對移動節點進行認證,從AAA服務器接收移動節 點與候選認證者之間的預認證密鑰,使候選認證者在移動節點切換到本地時,使用所述預 認證密鑰對移動接點和候選認證者之間的通信進行保護,減少了切換認證的時延。本發明實施例還公開了一種預認證系統,該預認證系統90包括預認證設備910和 AAA服務器920。當所述預認證系統運行時,所述預認證設備910從當前認證SA或者從移 動節點接收預認證消息,所述預認證消息中攜帶預認證選項。預認證設備910根據該預認 證消息確定需要進行預認證的移動節點,其中,當所述預認證消息是從移動節點接收時,所 述需要進行預認證的移動節點即為發送所述預認證消息的移動節點;當所述預認證消息是 從當前認證者獲取時,所述預認證消息中還需要攜帶需要進行預認證的移動節點的信息, 通過所述預認證消息攜帶的信息確定需要進行預認證的移動節點。所述預認證消息的預認 證選項中包括了預認證指示標志Pre-auth Identifier或者候選認證者標識CA_ID。所述 預認證設備910根據所述預認證消息向AAA服務器920發送認證請求消息,請求對所述需 要進行預認證的移動節點進行認證,所述認證請求消息中攜帶與所述預認證消息中相同的 預認證選項,表明對移動節點的認證是預認證。AAA服務器920收到所述認證請求消息后,根據該認證請求消息對所述移動節點 進行認證,認證通過后,根據該認證請求消息中的預認證選項信息生成移動節點和候選認 證者之間的預認證密鑰,將該預認證密鑰通過認證響應消息發送給所述的預認證設備910, 由所述預認證設備910將所述預認證密鑰發送給移動節點(圖9中未示出)。其中,預認證設備910可以是移動節點的當前認證者,也可以是移動節點的候選 認證者。當預認證設備910為當前認證者時,該預認證設備還能夠發現移動節點的候選認 證者,并根據移動節點的請求發起預認證過程或者根據策略主動發起預認證過程,所述預 認證設備通過所述移動節點的候選認證者從AAA服務器獲取所述候選認證者和移動節點 間的預認證密鑰。當預認證設備910為候選認證者時,該預認證設備還能夠根據在收到預 認證請求后,建立移動節點和自身的預認證綁定關系,設置移動節點的認證狀態為預認證, 并且,該預認證設備還能夠在收到AAA服務器發送的預認證密鑰后,保存該預認證密鑰,以 及將所述預認證密鑰通過當前認證者發送給移動節點。通過實施本發明上述實施例,可以使當前認證者或者候選認證者正確識別預認證 消息,在收到預認證消息后,通過AAA服務器獲取候選認證者與移動節點之間的預認證密 鑰,使移動節點切換到候選認證者之后,可以使用所述預認證密鑰保護移動節點和候選認 證者之間的通信,增強了通信的安全性,減少了切換認證的時延。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質 中,該程序在執行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質可為磁 碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
以上所述,僅為本發明較佳的具 體實施方式,但本發明的保護范圍并不局限于此, 任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到的變化或替換, 都應涵蓋在本發明的保護范圍之內。因此,本發明的保護范圍應該以權利要求的保護范圍 為準。
權利要求
一種預認證方法,其特征在于,包括接收預認證消息,所述預認證消息中攜帶預認證選項;根據所述預認證消息確定需要進行預認證的移動節點;向AAA服務器發送認證請求消息,請求對所述移動節點進行認證,所述認證請求消息中攜帶所述預認證選項;接收所述AAA服務器發送的認證響應消息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密鑰;將所述預認證密鑰發送給所述移動節點。
2.根據權利要求1所述的預認證方法,其特征在于,所述根據所述預認證消息確定需 要進行預認證的移動節點之后,向AAA服務器發送認證請求消息之前,所述方法還包括根據所述預認證消息建立所述候選認證者與所述移動節點間的預認證綁定關系,設置 所述移動節點的認證狀態為預認證。
3.根據權利要求1或2所述的方法,其特征在于,所述預認證消息為當前認證者發送 的攜帶預認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發起消息 ΕΑΡ-Initiate 或 EAP 響應消息 EAP-Rsp。
4.根據權利要求3所述的方法,其特征在于,所述接收預認證消息之前,所述方法還包括所述當前認證者向所述移動節點發送攜帶預認證Pre-auth start開始標識的EAP 發起消息EAP-Initiate,并接收所述移動節點發送的攜帶預認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發起消息ΕΑΡ-Initiate ;或所述當前認證者向移所述動節點發送攜帶預認證開始標識Pre-auth start的EAP請 求消息EAP-Req,并接收所述移動節點發送的攜帶預認證指示標志Pre-auth Indication 或候選認證者標識CA_ID的EAP響應消息EAP-Rsp。
5.根據權利要求1或2所述的方法,其特征在于,所述預認證消息為所述移動節點發 送的攜帶預認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發起消息 ΕΑΡ-Initiate 或 EAP 響應消息 EAP-Rsp。
6.根據權利要求5所述的方法,其特征在于,所述接收預認證消息之前,所述方法還包括接收當前認證者發送的預認證發起指示消息,攜帶移動節點標識; 根據所述預認證發起指示消息向所述移動節點發送攜帶預認證開始標識Pre-auth start的EAP發起消息ΕΑΡ-Initiate或者EAP請求消息EAP-Req ;接收所述移動接點發送的攜帶預認證指示標志Pre-auth Indication或候選認證者標 識CA_ID的EAP發起消息ΕΑΡ-Initiate或EAP響應消息EAP-Rsp。
7.根據權利要求1或2所述的方法,其特征在于,所述預認證消息為當前認證者發送 的攜帶候選認證者標識CA_ID或者候選認證者對應的二層鏈路標識BS_ID的EAP發起消息 ΕΑΡ-Initiate 或者 EAP 請求消息 EAP-Req。
8.根據權利要求7所述的方法,其特征在于,所述接收預認證消息之前,所述方法還包括所述當前認證者接收所述移動節點發送的攜帶候選認證者標識CA_ID或者候選認證者對應的二層鏈路標識BS_ID的EAP發起消息ΕΑΡ-Initiate或EAP請求消息EAP-Req,通 過所述EAP發起消息或EAP請求消息獲得候選認證者CA,將所述EAP發起消息或EAP請求 消息發送給所述候選認證者CA。
9.根據權利要求1所述的方法,其特征在于,所述預認證消息為移動節點發送的攜帶 預認證指示標志Pre-auth Indication的EAP發起消息ΕΑΡ-Initiate或者EAP響應消息 EAP-Rsp。
10.根據權利要求9所述的方法,其特征在于,所述接收預認證消息之前,所述方法還 包括向移動節點發送攜帶預認證開始標識Pre-auth start的EAP發起消息EAP-Initiate 或EAP請求消息EAP-Req。
11.一種預認證設備,其特征在于,包括第一接收單元,用于接收預認證消息,所述預認證消息中攜帶預認證選項; 確定單元,用于根據所述預認證消息確定需要進行預認證的移動節點; 第一發送單元,用于向AAA服務器發送認證請求消息,請求對所述移動節點進行認證, 所述認證請求消息中攜帶所述預認證選項;第二接收單元,用于接收所述AAA服務器發送的認證響應消息,所述認證響應消息中 攜帶候選認證者與所述移動節點間的預認證密鑰;第二發送單元,用于將所述預認證密鑰發送給所述移動節點。
12.根據權利要求11所述的預認證設備,其特征在于,所述預認證設備還包括 存儲單元,用于存儲所述第二接收單元從AAA服務器接收的認證響應消息中攜帶的預認證密鑰。
13.根據權利要求11或12所述的預認證設備,其特征在于,所述預認證設備還包括 綁定單元,用于在確定單元確定需要進行預認證的移動節點后,根據所述預認證消息建立所述候選認證者與所述移動節點間的預認證綁定關系,設置所述移動節點的認證狀態 為預認證。
14.根據權利要求11所述的預認證設備,其特征在于,所述預認證設備還包括 發現單元,用于發現移動節點的候選認證者;所述第一發送單元還用于向所述移動節點發送預認證初始化消息,使所述移動節點選 擇候選認證者。
15.一種預認證系統,其特征在于,包括預認證設備和AAA服務器,其中,所述預認證設備,用于接收預認證消息,所述預認證消息中攜帶預認證選項,根據所 述預認證消息確定需要進行預認證的移動節點,向AAA服務器發送認證請求消息,請求對 所述移動節點進行認證,所述認證請求消息中攜帶所述預認證選項,接收所述AAA服務器 發送的認證響應消息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密 鑰;將所述預認證密鑰發送給所述移動節點;所述AAA服務器,用于接收所述預認證設備發送的認證請求消息,根據所述認證請求 消息生成所述候選認證者和所述移動節點間的預認證密鑰,將所述預認證密鑰攜帶在所述 認證響應消息中發送給所述預認證設備。
16.根據權利要求15所述的預認證系統,其特征在于,所述預認證設備為所述移動節點的當前認證者,所述預認證設備還用于發現所述移動節點的候選認證者;所述預認證設 備通過所述移動節點的候選認證者從AAA服務器獲取所述候選認證者和所述移動節點間 的預認證密鑰。
17.根據權利要求15所述的預認證系統,其特征在于,所述預認證設備為所述移動節 點的候選認證者,所述預認證設備還用于存儲所述從AAA服務器接收的認證響應消息中攜 帶的所述候選認證者和所述移動節點間的預認證密鑰。
18.根據權利要求15或17所述的預認證系統,其特征在于,所述預認證設備還用于在 確定需要進行預認證的移動節點后,在本地建立自身與所述移動節點的預認證綁定關系, 設置所述移動節點的認證狀態為預認證狀態。
全文摘要
本發明涉及移動通信領域,公開了一種預認證方法、設備和系統。所述方法包括接收預認證消息,所述預認證消息中攜帶預認證選項;根據所述預認證消息確定需要進行預認證的移動節點;向AAA服務器發送認證請求消息,請求對所述移動節點進行認證,所述認證請求消息中攜帶所述預認證選項;接收所述AAA服務器發送的認證響應消息,所述認證響應消息中攜帶候選認證者與所述移動節點間的預認證密鑰;將所述預認證密鑰發送給所述移動節點。本發明實施例所述系統包括預認證設備和AAA服務器。通過實施本發明,可以使用所述預認證密鑰保護移動節點和候選認證者之間的通信,增強了通信的安全性,減少了切換認證的時延。
文檔編號H04L9/32GK101841811SQ20091010615
公開日2010年9月22日 申請日期2009年3月18日 優先權日2009年3月18日
發明者宮小玉, 李洪廣, 王云貴, 管紅光 申請人:華為技術有限公司