欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

認證接入點設備的方法、系統(tǒng)和裝置的制作方法

文檔序號:7657016閱讀:156來源:國知局
專利名稱:認證接入點設備的方法、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉認證接入點設備的方法、系統(tǒng)和裝置。
背景技術(shù)
在目前的移動通信網(wǎng)絡中,對于網(wǎng)絡節(jié)點的布置, 一般來說,都是由運 營商事先規(guī)劃好,根據(jù)規(guī)劃的內(nèi)容來完成網(wǎng)絡的布置。在網(wǎng)絡中,在同一位 置區(qū)域中的所有用戶共享小區(qū)的資源,當有高速率(高帶寬)的業(yè)務接入之 后,有可能會對其他用戶的接入造成影響。
隨著Internet的發(fā)展以及各種無線業(yè)務的廣泛應用,用戶對于無線網(wǎng)絡提 出了高速、便捷、低成本等方面的需求。另一方面,從運營商的角度來看, 需要充分地利用現(xiàn)有網(wǎng)絡的資源,擴大容量,減少成本,更好地為用戶提供 服務。
家庭基站的提出,充分的滿足了上面的需求和網(wǎng)絡的發(fā)展需求。家庭基 站是一種家用的微型基站,移動用戶可以在家庭,辦公場所等熱點覆蓋區(qū)域 布置這種基站,通過Internet接入移動通信網(wǎng)絡,來獲得無線通信服務。家庭 基站的引入,解決了無線數(shù)據(jù)業(yè)務中空口資源瓶頸問題,使得用戶可以享用 到高速率、高帶寬的網(wǎng)絡服務。另一方面,家庭基站通過Internet接入,節(jié)省 了移動運營商的傳輸費用,提高了移動網(wǎng)絡的容量。而且,家庭基站主要應 用在家庭個人使用,辦公場所等熱點區(qū)域,以及邊遠地區(qū)的盲點覆蓋,提高 了移動網(wǎng)絡的覆蓋,優(yōu)化了網(wǎng)絡的質(zhì)量。
由于家庭基站通過Internet或其他IP網(wǎng)絡接入,因此PLMN需要對家庭 基站進4亍-〖人證。認證一關(guān)i基于家庭基站上插入的SIM或USIM卡進行。 <旦是 僅僅執(zhí)行這種基于SIM/USIM的認證是不夠的。這是因為如果認證僅僅基于 SIM/USIM卡進行,那么任何一個公網(wǎng)上的設備只要能獲得SIM/USIM卡,就 可以通過對SIM/USIM的認證接入到PLMN網(wǎng)絡內(nèi)部。為了防止公網(wǎng)上的設備可能發(fā)起的這種攻擊,需要對家庭基站設備進行認證,保證接入PLMN網(wǎng) 絡內(nèi)部的設備確實是一個家庭基站設備。

發(fā)明內(nèi)容
需要指出的是家庭基站設備實際上是一個接入點設備(Access Point, AP)。家庭基站只是接入點設備的一種應用方式。本發(fā)明所述方案可以用來認 證各種AP設備,而并不僅限于家庭基站這種應用方式。
本發(fā)明的實施例提供認證接入點設備的方法、系統(tǒng)和相應的裝置,以解 決前面提到的現(xiàn)有技術(shù)中存在的問題。
為達到上述目的,本發(fā)明的實施例提供一種認證接入點設備的方法,該 方法包括
網(wǎng)絡側(cè)收到該接入點設備發(fā)送的驗證信息; 網(wǎng)絡側(cè)認證該接入點設備。
本發(fā)明的實施例還提供另一種認證接入點設備的方法,該方法包括 網(wǎng)絡側(cè)的服務器與接入點設備建立連接;
在建立連接的過程中,網(wǎng)絡惻收到該接入點設備發(fā)送的自身保存的設備
身份、以及證書或密鑰K,與該網(wǎng)絡側(cè)進行設備認證。
本發(fā)明的實施例還提供一種認證接入點設備的系統(tǒng),其特征在于,包括
接入點設備和網(wǎng)絡側(cè);
該接入點設備向該網(wǎng)絡側(cè)發(fā)送驗證信息;該網(wǎng)絡側(cè)認證該接入點設備。 本發(fā)明的實施例還提供一種接入點設備,其特征在于,包括 存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,或用于存儲驗
證接入點設備需要的證書,并提供給計算單元和發(fā)送單元;
計算單元,根據(jù)存儲單元提供的驗證密鑰和設備身份,或根據(jù)存儲單元
提供的證書計算證明,并將該證明提供給發(fā)送單元;
發(fā)送單元,用于發(fā)送該設備身份和證明,或用于發(fā)送該證書和證明。 本發(fā)明的實施例還提供一種安全網(wǎng)關(guān),其特征在于,包括 接收單元,用于接收接入點設備發(fā)送的驗證信息;認證單元,用于根據(jù)該驗證信息認證接入點設備,或與存儲接入點信息 的服務器交互認證接入點設備。
本發(fā)明的實施例還提供一種存儲接入點信息的服務器,其特征在于,包

接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的密鑰請求獲取相應的驗證密鑰提供給發(fā)送單元;
發(fā)送單元,用于將存儲單元提供的驗證密鑰發(fā)送給安全網(wǎng)關(guān)。 本發(fā)明的實施例還提供另一種存儲接入點信息的服務器,其特征在于, 包括
接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的密鑰請求獲取相應的驗證密鑰提供給衍生單元;
衍生單元,用于根據(jù)存儲單元提供的驗證密鑰生成衍生密鑰,并提供給 發(fā)送單元;
發(fā)送單元,用于將衍生單元提供的衍生密鑰發(fā)送給安全網(wǎng)關(guān)。 本發(fā)明的實施例還提供另一種存儲接入點信息的服務器,其特征在于, 包括
接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的認證接入點設備需要的參數(shù),并提 供給存儲單元和認證單元;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的參數(shù)獲取相應的驗證密鑰和/或設備身份提供給發(fā)送單元;
認證單元,用于根據(jù)所述接收單元和存儲單元提供的參數(shù)認證接入點設 備,并通知發(fā)送單元發(fā)送認證結(jié)果;
發(fā)送單元,用于根據(jù)認證單元的指示發(fā)送認證結(jié)果。
與現(xiàn)有技術(shù)相比,本發(fā)明的實施例具有以下優(yōu)點
通過網(wǎng)絡側(cè)向接入點設備請求驗證信息,并接收接入點設備反饋的驗證 信息,來認證接入點設備,從而解決現(xiàn)有技術(shù)中缺少對接入點設備進行認證
10的辦法所帶來的問題。


圖1是本發(fā)明實施例一中認證接入點設備的系統(tǒng)的示意圖; 圖2是本發(fā)明實施例二中認證接入點設備的系統(tǒng)的示意圖; 圖3是本發(fā)明實施例三中認證接入點設備的系統(tǒng)的示意圖; 圖4是本發(fā)明實施例四中認證接入點設備的系統(tǒng)的示意圖。
具體實施例方式
AP在接入PLMN網(wǎng)絡時,需要和PLMN網(wǎng)絡的安全網(wǎng)關(guān)之間建立安全 隧道。建立安全隧道的方法可以采用IKEv2協(xié)議。PLMN網(wǎng)絡對AP設備的 認證可以在建立安全隧道的過程中完成。
若采用這種方式,則在AP設備中保存密鑰K和設備身份IDap;在PLMN 網(wǎng)絡中有存儲AP信息的服務器,該服務器上也保存AP的設備身份IDap和 密鑰K。不同的AP設備使用不同設備身份IDap,且一般情況下使用不同的 密鑰K。該存儲AP信息的服務器可以與安全網(wǎng)關(guān)或AAA服務器處于同一個 實體中,或作為一個單獨的實體。當AP和PLMN網(wǎng)絡的安全網(wǎng)關(guān)建立安全 隧道時,該AP上報其設備身份IDap以及根據(jù)IDap、密鑰K和其他參數(shù)計算 得到的證明;安全網(wǎng)關(guān)驗證該AP設備是否合法。
若安全網(wǎng)關(guān)與存儲AP信息的服務器不在同一個實體中,則安全網(wǎng)關(guān)可以 和存儲AP信息的服務器進行交互,驗證該AP設備是否合法。在驗證AP設 備時,安全網(wǎng)關(guān)可以向存儲AP信息的服務器請求密鑰K,或者獲得一個根據(jù) 密鑰K推演得到的密鑰K,。安全網(wǎng)關(guān)利用K或者K,驗證AP是否合法。
安全網(wǎng)關(guān)也可以將AP上報的設備身份IDap和證明發(fā)送給存儲AP信息 的服務器,必要時將相關(guān)參數(shù)一起發(fā)送給存儲AP信息的服務器。存儲AP信 息的服務器驗證AP設備是否合法,并將驗證結(jié)果發(fā)送給安全網(wǎng)關(guān)。
其中,AP上報的身份IDap以及證明可以攜帶在IKEv2協(xié)議的CP載荷 中傳遞,或者分別攜帶在CP載荷和V載荷中傳遞。上述方案的一個具體實施例是如圖1所示的實施例一,該實施例為一個
認證接入點設備的系統(tǒng),該系統(tǒng)包括
接入點AP101和安全網(wǎng)關(guān)102,該AP 101中保存密鑰K和設備身份IDap, 該安全網(wǎng)關(guān)102自身作為存儲AP信息的服務器,也保存AP的設備身份IDap 和密鑰K;
在步驟Sll中,AP101獲得安全網(wǎng)關(guān)102的IP地址;
在步驟S12中,AP101和安全網(wǎng)關(guān)102進行IKE—SA_INIT交換,協(xié)商IKE SA。 AP101發(fā)送其支持的安全關(guān)聯(lián)信息(SAil )、 DH交換值(KEi)和nonce (Ni)給安全網(wǎng)關(guān)102;
在步驟S13中,安全網(wǎng)關(guān)102選擇IKE SA的安全關(guān)聯(lián),將選擇結(jié)果發(fā)送 給APIOI, DH交換值(KEr)、 nonce (Nr)也一起發(fā)送給APIOI。這一步結(jié) 束后,安全網(wǎng)關(guān)102和AP101協(xié)商完成IKESA。其中,為了完成對AP設備 的認證,安全網(wǎng)關(guān)102在這條消息中攜帶CP載荷,向AP請求其版本信息。
在步驟S14中,AP101和安全網(wǎng)關(guān)102開始進行IPsec安全關(guān)聯(lián)的協(xié)商。 在安全關(guān)聯(lián)的協(xié)商過程中,AP101和安全網(wǎng)關(guān)102利用EAPAKA/SIM進行交 互認證。AP101發(fā)送AP的身份(ID of AP,根據(jù)AP中插入的USIM卡中的 IMSI推導出來NAI格式的身份,與前述AP的設備身份IDap不同)、證書請 求(CERT REQUEST,請求安全網(wǎng)關(guān)的證書)、內(nèi)網(wǎng)IP地址請求(攜帶在CP 載荷中,用于請求安全網(wǎng)關(guān)給其分配運維管理域的內(nèi)網(wǎng)IP地址,可選)、AP 支持的安全關(guān)聯(lián)信息(SAi2)和策略選擇符(TSi, TSr)。
其中,為了完成對AP設備的認證,AP101還在該步驟攜帶CP載荷和/ 或V載荷作為安全網(wǎng)關(guān)102在步驟S13中發(fā)送的CP載荷的響應。AP101利 用其存儲的IDap、密鑰K以及其他參數(shù)計算得到證明。IDap和證明可以攜帶 在CP載荷中發(fā)送;也可以將IDap攜帶在CP載荷中發(fā)送,將證明攜帶在V 載荷中發(fā)送;還可以將IDap和證明分別攜帶在兩個不同的CP載荷中發(fā)送。 當證明和IDap—起攜帶在CP載荷中發(fā)送時,安全網(wǎng)關(guān)102需要區(qū)分CP載 荷中哪些是IDap部分,哪些是證明部分。 一種簡單的區(qū)分方法是將IDap載荷和證明載荷使用某個特殊的標識符分隔開來。當IDap和證明分別攜帶在兩 個不同的CP載荷中發(fā)送時,安全網(wǎng)關(guān)需要區(qū)分兩個CP載荷中哪個攜帶了 IDap,哪個攜帶了證明。附圖1中描述的是IDap和證明分別攜帶在CP載荷 和V載荷中發(fā)送的情況。
計算證明的方法可以是證明KDF(IDap, K, Ni, Nr);或證明-KDF (IDap, KDF (K, IDofSG), Ni, Nr)。其中,KDF(參數(shù)l,參數(shù)2,…) 表示計算證明的算法,IDofSG是安全網(wǎng)關(guān)的身份。
在步驟S15中,安全網(wǎng)關(guān)102認證AP設備是否合法。因為在本實施例中, 安全網(wǎng)關(guān)102自身就作為存儲AP信息的服務器,因此該安全網(wǎng)關(guān)102可以單 獨認證AP設備。認證方法為
安全網(wǎng)關(guān)102根據(jù)保存的密鑰K或根據(jù)密鑰K推演得到的密鑰K, = KDF (K,...)認證AP設備是否合法。安全網(wǎng)關(guān)102可以采用和AP101相同的方 式計算證明,并將計算得到的證明和AP101發(fā)送的證明比較,如果兩者相同 則說明AP設備合法。
本實施例中,通過在AP101和安全網(wǎng)關(guān)102共同保存密鑰K和IDap,并 利用現(xiàn)有流程,在步驟S13中由安全網(wǎng)關(guān)102向AP101請求版本信息,AP101 則在步驟S14中響應相關(guān)參數(shù),使得安全網(wǎng)關(guān)102可以認證該AP設備。該系 統(tǒng)在運行時對現(xiàn)有流程影響較小,能比較方便地實現(xiàn)對AP設備的認證。
上述方案的另一個具體實施例是如圖2所示的實施例二,該實施例為一 個認證接入點設備的系統(tǒng),該系統(tǒng)包括
接入點AP201、安全網(wǎng)關(guān)202和存儲AP信息的服務器203,該AP 201 中保存密鑰K和設備身份IDap,該存儲AP信息的服務器203也保存AP的 設備身份IDap和密鑰K。該存儲AP信息的服務器203與安全網(wǎng)關(guān)202不在 同一個實體中,但存儲AP信息的服務器203可以與AAA服務器處于同一個 實體中。
在步驟S21中,AP201獲得安全網(wǎng)關(guān)202的IP地址;
在步驟S22中,AP201和安全網(wǎng)關(guān)202進行IKE—SA—INIT交換,協(xié)商IKESA。 AP201發(fā)送其支持的安全關(guān)聯(lián)信息(SAil )、 DH交換值(KEi)和nonce (Ni)給安全網(wǎng)關(guān)202;
在步驟S23中,安全網(wǎng)關(guān)202選擇IKE SA的安全關(guān)聯(lián),將選擇結(jié)果發(fā)送 給AP201, DH交換值(KEr)、 nonce (Nr)也一起發(fā)送給AP201。這一步結(jié) 束后,安全網(wǎng)關(guān)202和AP201協(xié)商完成IKESA。其中,為了完成對AP設備 的認證,安全網(wǎng)關(guān)202在這條消息中攜帶CP載荷,向AP請求其版本信息。
在步驟S24中,AP201和安全網(wǎng)關(guān)202開始進行IPsec安全關(guān)聯(lián)的協(xié)商。 在安全關(guān)聯(lián)的協(xié)商過程中,AP201和安全網(wǎng)關(guān)202利用EAP AKA/SIM進行交 互認證。AP201發(fā)送AP的身份(ID of AP,根據(jù)AP中插入的USIM卡中的 IMSI推導出來NAI格式的身份,與前述AP的設備身份IDap不同)、證書請 求(CERT REQUEST,請求安全網(wǎng)關(guān)的證書)、內(nèi)網(wǎng)IP地址請求(攜帶在CP 載荷中,用于請求安全網(wǎng)關(guān)給其分配運維管理域的內(nèi)網(wǎng)IP地址,可選)、AP 支持的安全關(guān)聯(lián)信息(SAi2)和策略選擇符(TSi, TSr)。
其中,為了完成對AP設備的認證,AP201還在該步驟攜帶CP載荷和/ 或V載荷作為安全網(wǎng)關(guān)202在步驟S23中發(fā)送的CP載荷的響應。AP201利 用其存儲的IDap、密鑰K以及其他參數(shù)計算得到證明。IDap和證明可以攜帶 在CP載荷中發(fā)送;也可以將IDap攜帶在CP載荷中發(fā)送,將證明攜帶在V 載荷中發(fā)送;還可以將IDap和證明分別攜帶在兩個不同的CP載荷中發(fā)送。 當證明和IDap —起攜帶在CP載荷中發(fā)送時,安全網(wǎng)關(guān)202需要區(qū)分CP載 荷中哪些是IDap部分,哪些是證明部分。 一種簡單的區(qū)分方法是將IDap載 荷和證明載荷使用某個特殊的標識符分隔開來。當IDap和證明分別攜帶在兩 個不同的CP載荷中發(fā)送時,安全網(wǎng)關(guān)需要區(qū)分兩個CP載荷中哪個攜帶了 IDap,哪個攜帶了證明。附圖2中描述的是IDap和證明攜帶在同一個CP載 荷中發(fā)送的情況。
計算證明的方法可以是證明^KDF(IDap, K, Ni, Nr);或證明=KDF (IDap, KDF (K, IDofSG), Ni, Nr)。其中,KDF(參數(shù)1,參數(shù)2,…) 表示計算證明的算法,IDofSG是安全網(wǎng)關(guān)的身份。
在步驟S25中,安全網(wǎng)關(guān)202認證AP設備是否合法。因為在本實施例中,安全網(wǎng)關(guān)202自身沒有存儲AP信息,因此該安全網(wǎng)關(guān)202與存儲AP信息的 服務器203交互認證AP設備。認證方法為
安全網(wǎng)關(guān)202向存儲AP信息的服務器203請求密鑰K或根據(jù)密鑰K推 演得到的密鑰K, = KDF (K,...)。存儲AP信息的服務器203將密鑰K或者 K,發(fā)送給安全網(wǎng)關(guān)202。安全網(wǎng)關(guān)202利用密鑰K或者K,認證AP設備是否 合法。安全網(wǎng)關(guān)202可以采用和AP201相同的方式計算證明,并將計算得到 的證明和AP201發(fā)送的證明比較,如果兩者相同則說明AP設備合法。
安全網(wǎng)關(guān)202與存儲AP信息的服務器203交互認證AP設備還可以通過 以下方法進4亍
安全網(wǎng)關(guān)202將AP201發(fā)來的設備身份IDap、證明以及其他參數(shù)發(fā)送給 存儲AP信息的服務器203。存儲AP信息的服務器203認證AP設備是否合 法,并將認證結(jié)果發(fā)送給安全網(wǎng)關(guān)202。存儲AP信息的服務器203可以采用 和AP201相同的方式計算證明,并將計算得到的證明和AP201發(fā)送的證明比 較,如果兩者相同則說明AP設備合法。
和IDap,并利用現(xiàn)有流程,在步驟S23中由安全網(wǎng)關(guān)202向AP201請求版本 信息,AP201則在步驟S24中響應相關(guān)參數(shù),使得安全網(wǎng)關(guān)202可以和存儲 AP信息的服務器203交互認證該AP設備。該系統(tǒng)在運行時對現(xiàn)有流程影響 較小,且不需要對安全網(wǎng)關(guān)本身進行大的升級,實現(xiàn)相對簡單。該實施例所 述方案也能比較方便地實現(xiàn)對AP設備的認證。
除了在建立安全隧道的過程中對AP設備進行認證之外,PLMN網(wǎng)絡還可 以利用IKEv2協(xié)議中規(guī)定的信息交換過程對AP設備進行認證。
若采用這種方式,則在AP設備中保存密鑰K和設備身份IDap;在PLMN 網(wǎng)絡中有存儲AP信息的服務器,該服務器上也保存AP的設備身份IDap和 密鑰K。不同的AP設備使用不同設備身份IDap,且一般情況下使用不同的
實體中,或作為一個單獨的實體。當AP和安全網(wǎng)關(guān)建立IPsec隧道后,AP利用IKEv2協(xié)議中規(guī)定的信息交換過程上報其設備身份IDap以及根據(jù)IDap、 密鑰K和其他參數(shù)計算得到的證明;安全網(wǎng)關(guān)驗證該AP設備是否合法。
若安全網(wǎng)關(guān)與存儲AP信息的服務器不在同一個實體中,則安全網(wǎng)關(guān)可以 和存儲AP信息的服務器進行交互,驗證該AP設備是否合法。在驗證AP設 備時,安全網(wǎng)關(guān)可以向存儲AP信息的服務器請求密鑰K,或者獲得一個根據(jù) 密鑰K推演得到的密鑰K,。安全網(wǎng)關(guān)利用K或者K,驗證AP是否合法。
安全網(wǎng)關(guān)也可以將AP上報的設備身份IDap和證明發(fā)送給存儲AP信息 的服務器,必要時將相關(guān)參數(shù)一起發(fā)送給存儲AP信息的服務器。存儲AP信 息的服務器驗證AP設備是否合法,并將驗證結(jié)果發(fā)送給安全網(wǎng)關(guān)。
其中,AP上報的身份IDap以及證明可以攜帶在IKEv2協(xié)議的CP載荷 中傳遞,或者分別攜帶在CP載荷和V載荷中傳遞。
上述方案的一個具體實施例是如圖3所示的實施例三,該實施例為一個 認證接入點設備的系統(tǒng),該系統(tǒng)包括
接入點AP301、安全網(wǎng)關(guān)302和AAA服務器303,該AP 301中保存密 鑰K和設備身份IDap,該AAA服務器303作為存儲AP信息的服務器也保 存AP的設備身份IDap和密鑰K。
在步驟S31中,AP301和安全網(wǎng)關(guān)302建立IPsec隧道;
在步驟S32中,安全網(wǎng)關(guān)302利用IKEv2協(xié)議中規(guī)定的信息交換過程發(fā) 送IKE消息給AP301,消息中攜帶CP載荷,向AP301請求其版本信息。
在步驟S33中,AP301攜帶CP載荷和/或V載荷作為對安全網(wǎng)關(guān)302在 步驟S32中發(fā)送的CP載荷的響應。AP301利用其存儲的IDap、密鑰K以及 其他參數(shù)計算得到證明。IDap和證明可以攜帶在CP載荷中發(fā)送;也可以將 IDap攜帶在CP載荷中發(fā)送,將證明攜帶在V載荷中發(fā)送;還可以將IDap和 證明分別攜帶在兩個不同的CP載荷中發(fā)送。當證明和IDap —起攜帶在CP 載荷中發(fā)送時,安全網(wǎng)關(guān)302需要區(qū)分CP載荷中哪些是IDap部分,哪些是 證明部分。 一種簡單的區(qū)分方法是將IDap載荷和證明載荷使用某個特殊的標 識符分隔開來。當IDap和證明分別攜帶在兩個不同的CP載荷中發(fā)送時,安全網(wǎng)關(guān)302需要區(qū)分兩個CP載荷中哪個攜帶了 IDap,哪個攜帶了證明。附 圖3中描述的是IDap和證明分別攜帶在兩個不同的CP載荷中發(fā)送的情況。
計算證明的方法可以是證明-KDF(IDap, K, IKE key);或證明=KDF (IDap, KDF(K, IDofSG), IKE key )。其中,KDF(參數(shù)1,參數(shù)2,…) 表示計算證明的算法,ID of SG是安全網(wǎng)關(guān)的身份,IKE key是IKE協(xié)商結(jié) 束后,AP和安全網(wǎng)關(guān)之間共享的IKESA所包含的密鑰。
在步驟S34中,安全網(wǎng)關(guān)302認證AP設備是否合法。因為在本實施例中, 安全網(wǎng)關(guān)302自身沒有存儲AP信息,因此該安全網(wǎng)關(guān)302與存儲AP信息的 服務器,即AAA服務器303交互認證AP設備。認證方法為
安全網(wǎng)關(guān)302向AAA服務器303請求密鑰K或根據(jù)密鑰K推演得到的 密鑰K、KDF(K, ...)。 AAA服務器303將密鑰K或者K,發(fā)送給安全網(wǎng)關(guān) 302。安全網(wǎng)關(guān)302利用密鑰K或者K,認證AP設備是否合法。安全網(wǎng)關(guān)302 可以采用和AP301相同的方式計算證明,并將計算得到的證明和AP301發(fā)送 的證明比較,如果兩者相同則說明AP設備合法。
安全網(wǎng)關(guān)302與AAA服務器303交互認證AP設備還可以通過以下方法 進行
安全網(wǎng)關(guān)302將AP301發(fā)來的設備身份IDap、證明以及其他參數(shù)發(fā)送給 AAA服務器303。 AAA服務器303認證AP設備是否合法,并將認證結(jié)果發(fā) 送給安全網(wǎng)關(guān)302。 AAA服務器303可以采用和AP301相同的方式計算證明, 并將計算得到的證明和AP301發(fā)送的證明比較,如果兩者相同則說明AP設 備合法。
本實施例中,通過在AP301和AAA服務器303共同保存密鑰K和IDap, 并利用IKEv2協(xié)議中規(guī)定的信息交換流程,在步驟S32中由安全網(wǎng)關(guān)302向 AP301請求版本信息,AP301則在步驟S33中響應相關(guān)參數(shù),使得安全網(wǎng)關(guān) 302可以和AAA服務器303交互認證該AP設備。該系統(tǒng)在運行時利用現(xiàn)有 協(xié)議規(guī)定的流程完成對AP設備的認證,且不需要對安全網(wǎng)關(guān)本身進行大的升 級,實現(xiàn)相對筒單。該實施例所述方案也能比較方便地實現(xiàn)對AP設備的認證。
17上面描述的實施例中,都是基于共享密鑰機制對AP設備進行認證。實際
上還可以基于證書機制對AP設備進行認證。AP的證書可以在證書載荷中攜 帶,AP利用證書計算證明。計算方法可以是利用證書對消息進行簽名操作。
并將簽名的結(jié)果作為證明。證明可以攜帶在證書載荷中傳遞。安全網(wǎng)關(guān)驗證
AP證書的合法性;并利用證書驗證證明是否正確,具體方法可以是安全網(wǎng)關(guān)
利用證書驗證簽名是否正確。
基于證書機制對AP設備進行認證的一個具體實施例是如圖4所示的實施
例四,該實施例為 一個認證接入點設備的系統(tǒng),該系統(tǒng)包括
接入點AP401 、安全網(wǎng)關(guān)402 ,該AP 401中保存AP的證書。
在步驟S41中,AP401和安全網(wǎng)關(guān)402建立IPsec隧道;
在步驟S42中,安全網(wǎng)關(guān)402利用IKEv2協(xié)議中規(guī)定的信息交換過程發(fā)
送IKE消息給AP401,消息中攜帶證書請求載荷,向AP301請求其證書信息。 在步驟S43中,AP401將其證書和證明發(fā)送給安全網(wǎng)關(guān)。證書攜帶在證
書載荷中發(fā)送。證明攜帶在CP載荷或V載荷中發(fā)送。證明的計算方式可以
是AP利用證書對消息進行簽名操作,將獲得的簽名作為證明。附圖4中描述
的是證明攜帶在V載荷中的情況。
在步驟S44中,安全網(wǎng)關(guān)402驗證AP的證書的合法性。安全網(wǎng)關(guān)根據(jù)證
書驗證證明是否正確,具體方法可以是安全網(wǎng)關(guān)402利用證書-瞼證簽名是否正確。
本實施例中,通過利用IKEv2協(xié)議中規(guī)定的信息交換流程,在步驟S42 中由安全網(wǎng)關(guān)402向AP401請求證書信息,AP401則在步驟S43中響應相關(guān) 參數(shù),使得安全網(wǎng)關(guān)402可以認證該AP設備。該系統(tǒng)在運行時利用現(xiàn)有協(xié)議 規(guī)定的流程完成對AP設備的認證,且不需要對安全網(wǎng)關(guān)本身進行大的升級, 實現(xiàn)相對筒單。該實施例所述方案也能比較方便地實現(xiàn)對AP設備的認證。
上述實施例中均是利用現(xiàn)有的IKEv2協(xié)議中規(guī)定的相關(guān)流程來具體實現(xiàn) 本發(fā)明目的。目前的IKEv2協(xié)議要求上述驗證信息的發(fā)送需要基于網(wǎng)絡側(cè)的 請求,因此在接入點設備在發(fā)送驗證信息之前,需要網(wǎng)絡側(cè)向該接入點設備請求驗證信息。但同領(lǐng)域技術(shù)人員可以知道,如果對IKEv2協(xié)議中信息交互
雙方的能力進行增強,也可以讓接入點設備在沒有收到請求的情況下主動發(fā) 送驗證信息。因此,從實現(xiàn)本發(fā)明的目的這個角度來看,網(wǎng)絡側(cè)向接入點設 備請求驗證信息并非是必不可少的步驟。
此外,當網(wǎng)絡側(cè)對接入點設備的認證不在IKEv2協(xié)議規(guī)定的流程中完成 設備認證,而在其他流程中或采用專門的流程來認證設備的話,也可能由接 入點設備主動向網(wǎng)絡側(cè)發(fā)送驗證信息,而并不需要網(wǎng)絡側(cè)先向接入點設備請 求-瞼證信息。
根據(jù)上面的說明,除上述實施例所述方案外,還可以通過其他途徑對AP 設備進行認證。例如,AP需要從PLMN網(wǎng)絡中的某個設備或某些設備下載相 應的配置信息才能正常工作,PLMN網(wǎng)絡對AP設備的認證可以在下載配置信 息的過程中完成。
具體來說,AP和PLMN網(wǎng)絡的安全網(wǎng)關(guān)建立安全隧道后,AP將和PLMN 網(wǎng)絡的服務器建立連接,并從服務器下載相關(guān)的配置信息。PLMN網(wǎng)絡可以 在AP和服務器進行交互時對AP設備進行認證。如AP和服務器之間可能 需要建立TLS連接,那么AP可以和服務器在建立TLS連接時進行設備認證。 當設備認證基于共享密鑰時,TLS連接釆用基于共享密鑰的方式建立,當設 備認證基于證書時,TLS連接可以采用基于證書的方式建立。步驟簡要描述
AP與為其提供服務的網(wǎng)管系統(tǒng)之間發(fā)起安全連接的建立; 在建立安全連接的過程中,AP利用自身保存的設備身份IDap、證書或密 鑰K,與網(wǎng)管系統(tǒng)進行設備認證;
設備認證成功后,AP和為其提供服務的網(wǎng)管系統(tǒng)之間完成安全連接的建立。
本發(fā)明的實施例五提供了一種接入點設備,該設備包括
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,或用于存儲驗證接入點設備需要的證書,并提供給計算單元和發(fā)送單元;
計算單元,根據(jù)存儲單元提供的驗證密鑰和設備身份,或根據(jù)存儲單元
提供的證書計算證明,并將該證明提供給發(fā)送單元;
發(fā)送單元,用于發(fā)送所述設備身份和證明,或用于發(fā)送所述證書和證明。 其中,計算單元計算i正明的方法,可以參照前面實施例中的方法。若在
建立安全隧道的過程中,或利用IKEv2協(xié)議規(guī)定的信息交換流程對接入點設
備進行認證,則發(fā)送單元將在相應的載荷中攜帶設備身份和證明,或證書和
證明。具體攜帶方法可以參照前面實施例中的方案。
本發(fā)明的實施例六提供了一種安全網(wǎng)關(guān),該安全網(wǎng)關(guān)包括 接收單元,用于接收接入點設備發(fā)送的驗證信息;
認證單元,用于根據(jù)該驗證信息認證接入點設備,或與存儲接入點信息 的服務器交互認證接入點設備。
其中,向接入點設備請求驗證信息和接收接入點設備發(fā)送的驗證信息可 以在建立安全隧道的過程中,或利用IKEv2協(xié)議規(guī)定的信息交換流程完成。 當存在存儲接入點信息的服務器時,該安全網(wǎng)關(guān)的認證單元可以通過與存儲 接入點信息的服務器交互認證接入點設備;在某些情況下,該安全網(wǎng)關(guān)也可 以單獨認證接入點設備。具體實現(xiàn)方案可以參照前面的實施例。
本發(fā)明的實施例七提供了 一種存儲接入點信息的服務器,該服務器包括 接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的密鑰請求獲取相應的驗證密鑰提供給發(fā)送單元;
發(fā)送單元,用于將存儲單元提供的驗證密鑰發(fā)送給安全網(wǎng)關(guān)。 本發(fā)明的實施例八提供了另一種存儲接入點信息的服務器,該服務器包
括.
接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單元接收到的密鑰請求獲取相應的驗證密鑰提供給衍生單元;
衍生單元,用于根據(jù)存儲單元提供的驗證密鑰生成衍生密鑰,并提供給
發(fā)送單元;
發(fā)送單元,用于將衍生單元提供的衍生密鑰發(fā)送給安全網(wǎng)關(guān)。
本發(fā)明的實施例九提供了又一種存儲接入點信息的服務器,該服務器包

接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的認證接入點設備需要的參數(shù),并提 供給存儲單元和認證單元;
存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的參數(shù)獲取相應的驗證密鑰和/或設備身份提供給發(fā)送單元;
認證單元,用于根據(jù)所述接收單元和存儲單元提供的參數(shù)認證接入點設 備,并通知發(fā)送單元發(fā)送認證結(jié)果;
發(fā)送單元,用于根據(jù)認證單元的指示發(fā)送認證結(jié)果。
與現(xiàn)有技術(shù)相比,本發(fā)明的實施例具有以下優(yōu)點
通過網(wǎng)絡側(cè)向接入點設備請求驗證信息,并接收接入點設備反饋的驗證 信息,來認證接入點設備,從而解決現(xiàn)有技術(shù)中缺少對接入點設備進行認證 的辦法所帶來的問題。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過硬件, 但很多情況下前者是更佳的實施方式。基于這樣的理解,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來。 該計算機軟件產(chǎn)品可以存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺 網(wǎng)絡設備執(zhí)行本發(fā)明各個實施例所述的方法。
以上公開的僅為本發(fā)明的幾個具體實施例,但是,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應落入本發(fā)明的保護范圍。
2權(quán)利要求
1、一種認證接入點設備的方法,其特征在于,包括網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息;網(wǎng)絡側(cè)認證所述接入點設備。
2、 如權(quán)利要求l所述的方法,其特征在于,所述接入點設備保存驗證密鑰和設備身份,所述網(wǎng)絡側(cè)保存相同的驗證 密鑰和設備身份;所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息具體為所述網(wǎng)絡側(cè)收 到所述接入點設備發(fā)送的設備身份,以及所述接入點設備計算得到的證明。
3、 如權(quán)利要求2所述的方法,其特征在于, 所述計算證明的參數(shù)包括所述驗證密鑰和設備身份。
4、 如權(quán)利要求2所述的方法,其特征在于,所述網(wǎng)絡側(cè)保存相同的驗證密鑰和設備身份具體為所述網(wǎng)絡側(cè)的安全 網(wǎng)關(guān)保存所述驗證密鑰和設備身份;所述網(wǎng)絡側(cè)認證所述接入點設備具體為所述安全網(wǎng)關(guān)根據(jù)所述驗證密 鑰和設備身份認證所述接入點設備。
5、 如權(quán)利要求2所述的方法,其特征在于,所述網(wǎng)絡側(cè)保存相同的驗證密鑰和設備身份具體為所述網(wǎng)絡側(cè)存儲接 入點設備信息的服務器保存所述驗證密鑰和設備身份;所述網(wǎng)絡側(cè)認證所述接入點設備具體為所述安全網(wǎng)關(guān)與所述存儲接入 點設備信息的服務器進行交互,根據(jù)所述驗證密鑰和設備身份認證所述接入 點設備。
6、 如權(quán)利要求5所述的方法,其特征在于,所述安全網(wǎng)關(guān)與所述存儲接入點設備信息的服務器進行交互,根據(jù)所述 驗證密鑰和設備身份認證所述接入點設備包括所述安全網(wǎng)關(guān)向所述存儲接入點設備信息的服務器請求驗證密鑰或驗證 密鑰的衍生密鑰;所述安全網(wǎng)關(guān)收到所述存儲接入點設備信息的服務器發(fā)送 的驗證密鑰或驗證密鑰的衍生密鑰;所述安全網(wǎng)關(guān)根據(jù)所述設備身份,以及所述收到的驗證密鑰或驗證密鑰的衍生密鑰認證所述接入點設備;或者所述安全網(wǎng)關(guān)將所述設備身份、證明和其他參數(shù)發(fā)送給所述存儲接入點信息的服務器;所迷存儲接入點信息的服務器根據(jù)自己保存的所述驗證密鑰 和設備身份認證所述接入點設備;所述存儲接入點信息的服務器將認證結(jié)果 發(fā)送給所述安全網(wǎng)關(guān)。
7、 如權(quán)利要求5或6所述的方法,其特征在于, 所述存儲接入點信息的服務器與AAA服務器處于同一實體中。
8、 如權(quán)利要求2、 4或5中任一項所述的方法,其特征在于, 所述網(wǎng)絡側(cè)認證所述接入點設備是通過所述網(wǎng)絡側(cè)采用與所述接入點設備相同的方式計算證明,并比較該計算得到的證明與所述接入點設備發(fā)送 的證明是否相同。
9、 如權(quán)利要求2 6中任一項所述的方法,其特征在于,所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息在所述接入點設備和所 述網(wǎng)絡側(cè)建立安全隧道的過程中完成;或者所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息利用IKEv2協(xié)議中規(guī)定 的信息交換過程完成。
10、 如權(quán)利要求9所述的方法,其特征在于,所述接入點設備發(fā)送的設備身份,以及所述接入點設備計算得到的證明 攜帶在同一個CP載荷中;或者所述接入點設備發(fā)送的設備身份,以及所述接入點設備計算得到的證明 攜帶在不同的CP栽荷中;或者所述接入點設備發(fā)送的設備身份攜帶在CP載荷中,所述接入點設備計算 得到的證明攜帶在V載荷中。
11、 如權(quán)利要求IO所述的方法,其特征在于,當所述接入點設備發(fā)送的 設備身份,以及所述接入點設備計算得到的證明攜帶在同一個CP載荷中時, 所述設備身份和所述接入點設備計算得到的證明用標識符分隔。
12、 如權(quán)利要求1所述的方法,其特征在于,在網(wǎng)絡側(cè)收到所述接入點 設備發(fā)送的驗證信息之前,還包括網(wǎng)絡側(cè)向接入點設備請求驗證信息。
13、 如權(quán)利要求12所述的方法,其特征在于,所述網(wǎng)絡側(cè)向接入點設備請求驗證信息具體為所述網(wǎng)絡側(cè)向所述接入點設備請求版本信息。
14、 如權(quán)利要求13所述的方法,其特征在于,所述網(wǎng)絡側(cè)通過CP載荷 向所述接入點設備請求版本信息。
15、 如權(quán)利要求l所述的方法,其特征在于, 所述接入點設備保存驗證該設備需要的證書。所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息具體為所述網(wǎng)絡側(cè)收 到所述接入點設備發(fā)送的證書,以及所述接入點設備計算得到的證明。
16、 如權(quán)利要求15所述的方法,其特征在于,所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息在所述接入點設備和所 述網(wǎng)絡側(cè)建立安全隧道的過程中完成;或者所述網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的驗證信息利用IKEv2協(xié)議中規(guī)定 的信息交換過程完成。
17、 如權(quán)利要求16所述的方法,其特征在于,所述接入點設備發(fā)送的證 書攜帶在證書載荷中。
18、 如權(quán)利要求16所述的方法,其特征在于,所述接入點設備計算得到 的證明攜帶在CP載荷中或攜帶在V載荷中。
19、 如權(quán)利要求15所述的方法,其特征在于,所述計算證明的方法為 利用所述證書對消息進行簽名操作,將簽名的結(jié)果作為證明。
20、 如權(quán)利要求15所述的方法,其特征在于,所述網(wǎng)絡側(cè)認證所述接入 點設備具體為所述安全網(wǎng)關(guān)驗證所述接入點設備發(fā)送的證書的合法性,并 利用所述證書驗證證明是否正確。
21、 如權(quán)利要求15所述的方法,其特征在于,所述網(wǎng)絡側(cè)向接入點設備 請求驗證信息具體為所述網(wǎng)絡側(cè)向所述接入點設備請求證書信息。
22、 如權(quán)利要求21所述的方法,其特征在于,所述網(wǎng)絡側(cè)通過證書請求 載荷向所述接入點設備請求證書信息。
23、 一種認證接入點設備的方法,其特征在于,包括 網(wǎng)絡側(cè)的服務器與接入點設備建立連接;在建立連接的過程中,網(wǎng)絡側(cè)收到所述接入點設備發(fā)送的自身保存的設 備身份、以及證書或密鑰K,與所述網(wǎng)絡側(cè)進行設備認證。
24、 一種認證接入點設備的系統(tǒng),其特征在于,包括接入點設備和網(wǎng) 絡側(cè);所述接入點設備向所述網(wǎng)絡側(cè)發(fā)送驗證信息;所述網(wǎng)絡側(cè)認證所述接入 點設備。
25、 如權(quán)利要求24所述的系統(tǒng),其特征在于,所述接入點設備保存驗證密鑰和設備身份,所述網(wǎng)絡側(cè)保存相同的驗證 密鑰和設備身份;所述接入點設備向所述網(wǎng)絡側(cè)發(fā)送驗證信息包括所述接入點設備的設備 身份,以及所述接入點設備計算得到的證明。
26、 如權(quán)利要求25所述的系統(tǒng),其特征在于,所述網(wǎng)絡側(cè)包括安全網(wǎng)關(guān); 所述網(wǎng)絡側(cè)保存相同的驗證密鑰和設備身份具體為所述安全網(wǎng)關(guān)保存相同的驗證密鑰和設備身份;所述網(wǎng)絡側(cè)認證所述接入點設備具體為所述安全網(wǎng)關(guān)認證所述接入點 設備。
27、 如權(quán)利要求25所述的系統(tǒng),其特征在于,所述網(wǎng)絡側(cè)包括存儲接入 點信息的服務器;所述網(wǎng)絡側(cè)保存相同的驗證密鑰和設備身份具體為所述存儲接入點信 息的服務器保存相同的驗證密鑰和設備身份;所述網(wǎng)絡側(cè)認證所述接入點設備具體為所述安全網(wǎng)關(guān)與所述存儲接入 點信息的服務器進行交互,認證所述接入點設備。
28、 如權(quán)利要求25所述的系統(tǒng),其特征在于,所述存儲接入點信息的服 務器與AAA服務器處于同一實體中。
29、 如權(quán)利要求24所述的系統(tǒng),其特征在于, 所述接入點設備保存驗證該設備需要的證書;所述接入點設備向所述網(wǎng)絡側(cè)發(fā)送驗證信息包括所述證書,以及所述接 入點設備計算得到的證明。
30、 如權(quán)利要求29所述的系統(tǒng),其特征在于,所述網(wǎng)絡側(cè)包括安全網(wǎng)關(guān); 所述網(wǎng)絡側(cè)認證所述接入點設備具體為所述安全網(wǎng)關(guān)驗證所述接入點設備發(fā)送的證書的合法性,并利用所迷證書驗證證明是否正確。
31、 如權(quán)利要求24所述的系統(tǒng),其特征在于,所述網(wǎng)絡側(cè)向所述接入點 設備請求驗證信息。
32、 一種接入點設備,其特征在于,包括存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,或用于存儲驗 證接入點設備需要的證書,并提供給計算單元和發(fā)送單元;計算單元,根據(jù)存儲單元提供的驗證密鑰和設備身份,或根據(jù)存儲單元 提供的證書計算證明,并將該證明提供給發(fā)送單元;發(fā)送單元,用于發(fā)送所述設備身份和證明,或用于發(fā)送所述證書和證明。
33、 一種安全網(wǎng)關(guān),其特征在于,包括 接收單元,用于接收接入點設備發(fā)送的驗證信息;認證單元,用于根據(jù)所述驗證信息認證接入點設備,或與存儲接入點信 息的服務器交互認證接入點設備。
34、 一種存儲接入點信息的服務器,其特征在于,包括 接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的密鑰請求獲取相應的驗證密鑰提供給發(fā)送單元;發(fā)送單元,用于將存儲單元提供的驗證密鑰發(fā)送給安全網(wǎng)關(guān)。
35、 一種存儲接入點信息的服務器,其特征在于,包括 接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的密鑰請求;存儲單元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單 元接收到的密鑰請求獲取相應的驗證密鑰提供給衍生單元;衍生單元,用于根據(jù)存儲單元提供的驗證密鑰生成衍生密鑰,并提供給 發(fā)送單元;發(fā)送單元,用于將衍生單元提供的衍生密鑰發(fā)送給安全網(wǎng)關(guān)。
36、 一種存儲接入點信息的服務器,其特征在于,包括接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的認證接入點設備需要的參數(shù),并提 供給存儲單元和認證單元;存儲羊元,用于存儲驗證密鑰和接入點設備的設備身份,并根據(jù)接收單元接收到的參數(shù)獲取相應的驗證密鑰和/或設備身份提供給發(fā)送單元;認證單元, 備,并通知發(fā)送單元發(fā)送認證結(jié)果;發(fā)送單元,用于根據(jù)認證單元的指示發(fā)送認證結(jié)果c
全文摘要
本發(fā)明公開了認證接入點設備的方法、系統(tǒng)和裝置。其方法之一包括網(wǎng)絡側(cè)收到該接入點設備發(fā)送的驗證信息;網(wǎng)絡側(cè)認證該接入點設備。其系統(tǒng)包括接入點設備和網(wǎng)絡側(cè);該接入點設備向該網(wǎng)絡側(cè)發(fā)送驗證信息;該網(wǎng)絡側(cè)認證該接入點設備。本發(fā)明通過網(wǎng)絡側(cè)接收接入點設備發(fā)送的驗證信息,來認證接入點設備,從而解決現(xiàn)有技術(shù)中缺少對接入點設備進行認證的辦法所帶來的問題。
文檔編號H04L9/08GK101442402SQ20071012465
公開日2009年5月27日 申請日期2007年11月20日 優(yōu)先權(quán)日2007年11月20日
發(fā)明者璟 陳 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
黄浦区| 竹山县| 泰兴市| 平和县| 巴林左旗| 天气| 漠河县| 巴里| 英超| 梅河口市| 汉川市| 安溪县| 都江堰市| 临武县| 上饶市| 邯郸市| 黔江区| 托克托县| 河间市| 禹城市| 衡阳市| 峡江县| 藁城市| 平潭县| 漠河县| 托里县| 深圳市| 华亭县| 贵德县| 伊春市| 酉阳| 白沙| 苏尼特右旗| 隆子县| 泰安市| 独山县| 兴海县| 利津县| 宁陕县| 青州市| 涞源县|