專利名稱:接入認(rèn)證方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域�����,具體涉及一種接入認(rèn)證方法以及實(shí)現(xiàn)該方法的裝置。
背景技術(shù):
在現(xiàn)有的移動通信網(wǎng)絡(luò)中��,用戶設(shè)備(UE���,User Equipment)可以通過分組數(shù)據(jù)網(wǎng) 絡(luò)接入因特網(wǎng)����,瀏覽因特網(wǎng)上的信息��。為保證只有獲得授權(quán)的用戶設(shè)備才可以通過分組數(shù) 據(jù)網(wǎng)絡(luò)接入因特網(wǎng)����,移動通信網(wǎng)絡(luò)需要對用戶設(shè)備進(jìn)行認(rèn)證和鑒權(quán)。在現(xiàn)有技術(shù)中�,演進(jìn)的分組域系統(tǒng)(EPS,Evolved Packet System)提供了用戶 設(shè)備與分組數(shù)據(jù)網(wǎng)絡(luò)之間的連接�。當(dāng)用戶設(shè)備通過S2c接口請求分組數(shù)據(jù)業(yè)務(wù)時,需要 通過分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)(PDN GW��,Packet Data Network Gateway)和認(rèn)證鑒權(quán)服務(wù)器(AAA Server,Authentication Authorization Accounting Server)進(jìn)行認(rèn)證���。在現(xiàn)有技術(shù)中���, 用戶設(shè)備對分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)的認(rèn)證使用基于證書的公鑰簽名機(jī)制�,而用戶設(shè)備和認(rèn)證鑒權(quán) 服務(wù)器之間的認(rèn)證采用擴(kuò)展協(xié)議認(rèn)證(EAP����,Extensible Authentication Protocol)機(jī)制。用戶設(shè)備請求分組數(shù)據(jù)業(yè)務(wù)時���,域名系統(tǒng)(DNS,Domain Name System)服務(wù)器為用 戶設(shè)備分配分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)����,用戶設(shè)備和該網(wǎng)關(guān)之間開始進(jìn)行初始化交互過程,在初始化 交互完成之后�,用戶設(shè)備向網(wǎng)關(guān)發(fā)送接入請求信息,用于請求證書以及鑒權(quán)向量組���。網(wǎng)關(guān)在 接收到接入請求信息后���,通過認(rèn)證請求信息將接入請求信息轉(zhuǎn)發(fā)給認(rèn)證鑒權(quán)服務(wù)器。認(rèn)證鑒權(quán)服務(wù)器在接收到該認(rèn)證請求信息后�����,向歸屬用戶服務(wù)器請求鑒權(quán)向量 組�����,其中鑒權(quán)向量組中包括認(rèn)證令牌AUTN、隨機(jī)數(shù)RAND���、加密密鑰CK1����、完整性密鑰IK1以及 期望值XRES��,然后認(rèn)證鑒權(quán)服務(wù)器向用戶設(shè)備發(fā)送擴(kuò)展協(xié)議認(rèn)證請求��,擴(kuò)展協(xié)議認(rèn)證請求 中僅包含認(rèn)證令牌AUTN和隨機(jī)數(shù)RAND���。網(wǎng)關(guān)在接收到擴(kuò)展協(xié)議認(rèn)證請求后�,通過接入響 應(yīng)信息將證書和擴(kuò)展協(xié)議認(rèn)證請求發(fā)送給用戶設(shè)備���,用戶設(shè)備根據(jù)該證書完成對網(wǎng)關(guān)的認(rèn) 證�����,并且響應(yīng)認(rèn)證鑒權(quán)服務(wù)器發(fā)送的擴(kuò)展協(xié)議認(rèn)證請求��。用戶設(shè)備根據(jù)接收到的擴(kuò)展協(xié)議認(rèn)證請求中的認(rèn)證令牌AUTN和隨機(jī)數(shù)RAND對認(rèn) 證鑒權(quán)服務(wù)器進(jìn)行認(rèn)證�。在對認(rèn)證鑒權(quán)服務(wù)器認(rèn)證成功后,用戶設(shè)備根據(jù)鑒權(quán)令牌AUTN和 隨機(jī)數(shù)RAND來計算認(rèn)證值RES�����,并且向認(rèn)證鑒權(quán)服務(wù)器發(fā)送包含認(rèn)證值RES的擴(kuò)展協(xié)議認(rèn) 證響應(yīng)信息���。認(rèn)證鑒權(quán)服務(wù)器驗(yàn)證接收到的擴(kuò)展協(xié)議認(rèn)證響應(yīng)信息����,其中包括驗(yàn)證認(rèn)證值RES 是否等于鑒權(quán)向量組中的期望值XRES����,在驗(yàn)證成功后����,向用戶設(shè)備發(fā)送擴(kuò)展協(xié)議認(rèn)證成功 信息,認(rèn)證鑒權(quán)服務(wù)器完成對用戶設(shè)備的接入認(rèn)證過程����。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn),當(dāng)用戶設(shè)備首次通過一個網(wǎng)關(guān)接入到分組數(shù) 據(jù)網(wǎng)絡(luò)請求的業(yè)務(wù)完成��,斷開業(yè)務(wù)連接之后�,用戶設(shè)備再次向同一認(rèn)證鑒權(quán)服務(wù)器管理下 的分組數(shù)據(jù)網(wǎng)絡(luò)請求連接時�����,認(rèn)證鑒權(quán)服務(wù)器還需要對用戶設(shè)備進(jìn)行完整的擴(kuò)展協(xié)議認(rèn)證 流程�,即認(rèn)證過程還需要認(rèn)證鑒權(quán)服務(wù)器向歸屬用戶服務(wù)器請求鑒權(quán)向量組��,歸屬用戶服 務(wù)器在重新計算新的鑒權(quán)向量組后向����,向認(rèn)證鑒權(quán)服務(wù)器發(fā)送鑒權(quán)向量組,因而整個認(rèn)證過程較復(fù)雜�����。
發(fā)明內(nèi)容
為解決現(xiàn)有技術(shù)中用戶設(shè)備接入認(rèn)證過程復(fù)雜的問題�����,本發(fā)明實(shí)施例提供一種用 戶設(shè)備在通過同一認(rèn)證鑒權(quán)服務(wù)器管理下網(wǎng)關(guān)再次請求接入認(rèn)證時����,認(rèn)證鑒權(quán)服務(wù)器對用 戶設(shè)備實(shí)現(xiàn)快速認(rèn)證的方法和實(shí)現(xiàn)該方法的裝置。本發(fā)明實(shí)施例提供的接入認(rèn)證方法��,包括在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之 后�����,對用戶設(shè)備分配授權(quán)碼,該授權(quán)碼和用戶標(biāo)識信息相對應(yīng)��,向用戶設(shè)備發(fā)送包含授權(quán)碼 的擴(kuò)展協(xié)議認(rèn)證成功信息�����;接收用戶設(shè)備的接入請求信息�,根據(jù)接入請求信息中包含的授 權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證。本發(fā)明實(shí)施例還提供一種接入認(rèn)證方法���,包括在成功通過擴(kuò)展協(xié)議認(rèn)證之后,接 收認(rèn)證鑒權(quán)服務(wù)器發(fā)送的包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息����,保存該授權(quán)碼;發(fā)送包含 授權(quán)碼以及用戶標(biāo)識信息的接入請求信息�����,以使得認(rèn)證鑒權(quán)服務(wù)器根據(jù)授權(quán)碼以及用戶標(biāo) 識信息對其進(jìn)行認(rèn)證���。本發(fā)明實(shí)施例還提供一種認(rèn)證鑒權(quán)服務(wù)器���,包括授權(quán)碼分配單元�,用于在用戶設(shè) 備成功通過擴(kuò)展協(xié)議認(rèn)證之后���,對用戶設(shè)備分配授權(quán)碼����,該授權(quán)碼和用戶標(biāo)識信息相對應(yīng)���, 向用戶設(shè)備發(fā)送包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息����;第一接收單元�,用于接收用戶設(shè)備 的接入請求信息,接入請求信息中包含授權(quán)碼和用戶標(biāo)識信息����;以及授權(quán)碼認(rèn)證單元,用于 根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證����。本發(fā)明實(shí)施例還提供一種用戶設(shè)備,包括接收單元,用于接收認(rèn)證鑒權(quán)服務(wù)器發(fā) 送的包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息���;授權(quán)碼存儲單元����,用于保存擴(kuò)展協(xié)議認(rèn)證成功 信息中包含的授權(quán)碼����;以及授權(quán)碼發(fā)送單元,用于發(fā)送包含授權(quán)碼以及用戶標(biāo)識信息的接 入請求信息�,以使得認(rèn)證鑒權(quán)服務(wù)器根據(jù)授權(quán)碼以及用戶標(biāo)識信息對其進(jìn)行認(rèn)證。在本發(fā)明實(shí)施例中���,認(rèn)證鑒權(quán)服務(wù)器向成功通過擴(kuò)展協(xié)議認(rèn)證的用戶設(shè)備分配授 權(quán)碼�����,并且該授權(quán)碼和用戶標(biāo)識信息相對應(yīng)。用戶設(shè)備再次向該認(rèn)證鑒權(quán)服務(wù)器請求認(rèn)證 時�����,發(fā)送包含授權(quán)碼和用戶標(biāo)識信息的接入請求信息��,認(rèn)證鑒權(quán)服務(wù)器根據(jù)接入請求信息 中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證����。在現(xiàn)有技術(shù)中認(rèn)證鑒權(quán)服務(wù)器需要 向歸屬用戶服務(wù)器請求鑒權(quán)向量組���,通過鑒權(quán)向量組對用戶設(shè)備進(jìn)行認(rèn)證,而本發(fā)明實(shí)施 例則不需要認(rèn)證鑒權(quán)服務(wù)器向歸屬用戶服務(wù)器請求鑒權(quán)向量組�����,因而可以縮短接入認(rèn)證流 程��,提高接入認(rèn)證效率��。
圖1是本發(fā)明接入認(rèn)證方法第一實(shí)施例的流程圖�;圖2是本發(fā)明接入認(rèn)證方法第二實(shí)施例的流程圖;圖3是本發(fā)明實(shí)施例執(zhí)行接入認(rèn)證方法的第一場景的流程圖�;圖4是本發(fā)明實(shí)施例執(zhí)行接入認(rèn)證方法的第二場景的流程圖;圖5是本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器的示意圖�����;圖6是本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器中的認(rèn)證反饋單元的示意圖�;圖7是本發(fā)明實(shí)施例提供的用戶設(shè)備的示意圖。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種接入認(rèn)證方法和實(shí)現(xiàn)該方法的裝置��。為了更好的理解本 發(fā)明實(shí)施例的技術(shù)方案,下面結(jié)合附圖對本發(fā)明提供的實(shí)施例進(jìn)行詳細(xì)地描述�。參見圖1,圖1是本發(fā)明接入認(rèn)證方法第一實(shí)施例的流程圖����。用戶設(shè)備第一次向認(rèn)證鑒權(quán)服務(wù)器管理下的分組數(shù)據(jù)網(wǎng)絡(luò)請求業(yè)務(wù)時,用戶設(shè)備 和認(rèn)證鑒權(quán)服務(wù)器之間采用擴(kuò)展的認(rèn)證協(xié)議進(jìn)行完整的認(rèn)證過程�����。步驟101�、在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之后,對用戶設(shè)備分配授權(quán)碼�����,該授 權(quán)碼和用戶標(biāo)識信息相對應(yīng)����,向用戶設(shè)備發(fā)送包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息。在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證后����,認(rèn)證鑒權(quán)服務(wù)器對該用戶設(shè)備分配授權(quán) 碼����,授權(quán)碼和用戶標(biāo)識信息相對應(yīng)�,然后向該用戶設(shè)備發(fā)送包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成 功fn息��。步驟102����、接收用戶設(shè)備的接入請求信息,根據(jù)接入請求信息中包含的授權(quán)碼和用 戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證�。認(rèn)證鑒權(quán)服務(wù)器在接收到用戶設(shè)備發(fā)送的接入請求信息后,根據(jù)接入請求信息中 包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證�����。在本發(fā)明方法實(shí)施例中����,認(rèn)證鑒權(quán)服務(wù)器通過向用戶設(shè)備分配與用戶標(biāo)識信息相 對應(yīng)的授權(quán)碼,使得用戶設(shè)備再次向認(rèn)證鑒權(quán)服務(wù)器請求接入認(rèn)證時�����,發(fā)送包含授權(quán)碼的 接入請求信息��,認(rèn)證鑒權(quán)服務(wù)器根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶 設(shè)備進(jìn)行驗(yàn)證�。認(rèn)證鑒權(quán)服務(wù)器不需要向歸屬用戶服務(wù)器請求鑒權(quán)向量組�����,也就減輕了歸 屬用戶服務(wù)器的冗余負(fù)擔(dān)����,也可以加快用戶設(shè)備的接入認(rèn)證流程,提高了認(rèn)證效率。在本發(fā)明實(shí)施例中���,認(rèn)證鑒權(quán)服務(wù)器在接收用戶設(shè)備的接入請求信息和根據(jù)接入 請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證之間還可以包括認(rèn)證鑒權(quán) 服務(wù)器首先判斷接入請求信息中包含的授權(quán)碼是否有效,在判斷接入請求信息中包含的授 權(quán)碼有效的情況下執(zhí)行根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn) 行認(rèn)證的步驟。認(rèn)證鑒權(quán)服務(wù)器通過對授權(quán)碼的有效性進(jìn)行判斷�����,也可以增強(qiáng)用戶設(shè)備接 入認(rèn)證過程的安全性�。其中��,認(rèn)證鑒權(quán)服務(wù)器判斷授權(quán)碼是否有效可以通過判斷授權(quán)碼的認(rèn)證次數(shù)是否 超過預(yù)設(shè)門限值,預(yù)設(shè)門限值可以由認(rèn)證鑒權(quán)服務(wù)器來確定���,用于表示使用授權(quán)碼認(rèn)證的 最大次數(shù)���。認(rèn)證鑒權(quán)服務(wù)器在判斷授權(quán)碼的認(rèn)證次數(shù)沒有超過預(yù)設(shè)門限值的情況下���,判斷 該授權(quán)碼有效���。認(rèn)證鑒權(quán)服務(wù)器還可以判斷用戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰 CK1是否超過其生命周期�,在判斷加密密鑰CK1沒有超過其生命周期的情況下,判斷該授權(quán) 碼有效��。另外��,認(rèn)證鑒權(quán)服務(wù)器還可以判斷用戶設(shè)備前一次認(rèn)證請求過程使用的完整性密 鑰IK1是否超過其生命周期�����,在判斷完整性密鑰IK1沒有超過其生命周期的情況下����,判斷該 授權(quán)碼有效。在本發(fā)明實(shí)施例中�,認(rèn)證鑒權(quán)服務(wù)器在對用戶設(shè)備進(jìn)行認(rèn)證之后,根據(jù)該用戶設(shè) 備前一次認(rèn)證請求過程使用的加密密鑰CK1����、完整性密鑰IK1和授權(quán)碼來計算本次的主會 話密鑰MSK2。認(rèn)證鑒權(quán)服務(wù)器還可以根據(jù)該用戶設(shè)備前一次認(rèn)證請求過程使用的主會話密 鑰MSK1和授權(quán)碼來計算本次的主會話密鑰MSK2����。當(dāng)然認(rèn)證鑒權(quán)服務(wù)器還可以直接將前一次認(rèn)證請求過程使用的主會話密鑰MSKl作為本次使用的主會話密鑰�����。在計算出主會話密 鑰MSK2后,認(rèn)證鑒權(quán)服務(wù)器向網(wǎng)關(guān)發(fā)送包含主會話密鑰MSK2的認(rèn)證成功信息�,網(wǎng)關(guān)保存主 會話密鑰MSK2,并且向用戶設(shè)備發(fā)送包含認(rèn)證成功信息的接入響應(yīng)信息�����。參見圖2����,圖2是本發(fā)明接入認(rèn)證方法第二實(shí)施例的流程圖。用戶設(shè)備第一次向認(rèn)證鑒權(quán)服務(wù)器管理下的分組數(shù)據(jù)網(wǎng)絡(luò)請求業(yè)務(wù)時���,用戶設(shè)備 和認(rèn)證鑒權(quán)服務(wù)器之間采用擴(kuò)展協(xié)議認(rèn)證機(jī)制進(jìn)行完整的認(rèn)證過程����。步驟201�����、在成功通過擴(kuò)展協(xié)議認(rèn)證之后,接收認(rèn)證鑒權(quán)服務(wù)器發(fā)送的包含授權(quán)碼 的擴(kuò)展協(xié)議認(rèn)證成功信息���,保存該授權(quán)碼���;步驟202、發(fā)送包含授權(quán)碼以及用戶標(biāo)識信息的接入請求信息��,以使得認(rèn)證鑒權(quán)服 務(wù)器根據(jù)授權(quán)碼以及用戶標(biāo)識信息對其進(jìn)行認(rèn)證����。通常,用戶設(shè)備再次向該認(rèn)證鑒權(quán)服務(wù)器請求接入認(rèn)證時�����,用戶設(shè)備首先向網(wǎng)關(guān) 發(fā)送接入請求信息��,用于請求證書�����。用戶設(shè)備在接收到證書后���,對網(wǎng)關(guān)進(jìn)行認(rèn)證����。用戶設(shè)備 在對網(wǎng)關(guān)認(rèn)證成功后,向認(rèn)證鑒權(quán)服務(wù)器發(fā)送包含授權(quán)碼以及用戶標(biāo)識信息的接入請求信 息�����,該接入請求信息由網(wǎng)關(guān)轉(zhuǎn)發(fā)到認(rèn)證鑒權(quán)服務(wù)器�����。其中��,認(rèn)證鑒權(quán)服務(wù)器在接收到包含用戶標(biāo)識信息以及授權(quán)碼的接入請求信息 后���,根據(jù)用戶標(biāo)識信息和授權(quán)碼對用戶設(shè)備進(jìn)行認(rèn)證。認(rèn)證鑒權(quán)服務(wù)器在對用戶設(shè)備認(rèn)證 成功之后����,向用戶設(shè)備發(fā)送認(rèn)證成功信息,認(rèn)證成功信息可以由網(wǎng)關(guān)轉(zhuǎn)發(fā)給用戶設(shè)備��。與現(xiàn)有技術(shù)相比�,本發(fā)明方法實(shí)施例中的用戶設(shè)備通過向認(rèn)證鑒權(quán)服務(wù)器發(fā)送包 含授權(quán)碼和用戶標(biāo)識信息的接入請求信息,認(rèn)證鑒權(quán)服務(wù)器根據(jù)接入請求信息中包含的授 權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證,不需要向歸屬用戶服務(wù)器請求鑒權(quán)向量組�,使 得認(rèn)證鑒權(quán)服務(wù)器對用戶設(shè)備的認(rèn)證過程加快,縮短了用戶設(shè)備的接入認(rèn)證請求時間���,提 高了認(rèn)證效率�,還可以提高用戶的業(yè)務(wù)體驗(yàn)�。為更好的理解本發(fā)明實(shí)施例,下面給出本發(fā)明實(shí)施例的一個具體應(yīng)用場景�����。參見圖3��,圖3是本發(fā)明實(shí)施例執(zhí)行接入認(rèn)證方法的第一場景的流程圖�。步驟301、UE通過PDN GWl與認(rèn)證鑒權(quán)服務(wù)器進(jìn)行完整的EAP認(rèn)證�,在認(rèn)證成功后, 認(rèn)證鑒權(quán)服務(wù)器對用戶設(shè)備分配授權(quán)碼����,向用戶設(shè)備發(fā)送包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功 信息,該授權(quán)碼與用戶設(shè)備的用戶標(biāo)識信息相對應(yīng)�。其中,授權(quán)碼可以為16位或32位的字符����,授權(quán)碼可以通過接入響應(yīng)消息中的 [CERTERQ]字段來承載����,或者通過[Notify payload]字段來承載���。步驟302�、分配網(wǎng)關(guān)���。經(jīng)過一段時間后�����,UE再次向分組數(shù)據(jù)網(wǎng)絡(luò)請求業(yè)務(wù),此時DNS服務(wù)器分配PDN GW2 作為接入網(wǎng)關(guān)���,PDN GW2和PDN GWl可以為同一個網(wǎng)關(guān)�,也可以是認(rèn)證鑒權(quán)服務(wù)器下的不同 網(wǎng)關(guān)�。步驟303、UE與PDN GW2進(jìn)行初始化交互��,完成密鑰交互與算法協(xié)商�����。初始化交互過程首先是由UE向PDN GW2發(fā)送初始化請求信息,然后PDN GW2向UE 發(fā)送初始化響應(yīng)信息�����,通過進(jìn)行初始化過程��,UE和PDN GW2之間完成了密鑰交互與算法協(xié)商���。步驟304����、UE向PDN GW2發(fā)送接入請求信息����,請求證書。UE發(fā)送接入請求信息給PDN GW2�����,接入請求信息中包含AUTH參數(shù)����、用戶標(biāo)識信息�、CN 101877850 A
說明書
5/8頁
CERTERQ等其它參數(shù)���。接入請求信息中可以設(shè)置AUTH參數(shù)為NULL來說明使用授權(quán)碼進(jìn)行 認(rèn)證�,同時通過載荷CERTERQ請求PDNGW2的證書�����。步驟305�、PDN GW2發(fā)送認(rèn)證請求信息給認(rèn)證鑒權(quán)服務(wù)器,認(rèn)證請求信息中包含了 用戶標(biāo)識信息以及接入點(diǎn)名稱(Access Point Name, APN)等信息���。步驟306����、認(rèn)證鑒權(quán)服務(wù)器向網(wǎng)關(guān)發(fā)送認(rèn)證響應(yīng)信息����。認(rèn)證鑒權(quán)服務(wù)器根據(jù)用戶標(biāo)識信息�,向網(wǎng)關(guān)發(fā)送認(rèn)證響應(yīng)信息��,用于告知網(wǎng)關(guān)將 證書發(fā)送給UE�。步驟307��、PDN GW2向UE發(fā)送接入響應(yīng)信息,接入響應(yīng)信息中包含了 PDN GW2的身 份和證書���。步驟308���、UE根據(jù)接收到的證書完成對PDN GW2的認(rèn)證,并發(fā)送包含授權(quán)碼和用戶 標(biāo)識信息的接入請求信息�。UE通過接收到的證書對PDN GW2進(jìn)行認(rèn)證,在認(rèn)證成功后再發(fā)送授權(quán)碼��,可以防 止非法網(wǎng)關(guān)欺騙��,泄露用戶設(shè)備的授權(quán)碼��。另外���,授權(quán)碼和用戶標(biāo)識信息可以保存在接入請 求信息的載荷字段中��。步驟309�、PDN GW2通過認(rèn)證請求信息將用戶標(biāo)識信息和授權(quán)碼轉(zhuǎn)發(fā)給認(rèn)證鑒權(quán)服務(wù)器�。步驟310、認(rèn)證鑒權(quán)服務(wù)器根據(jù)授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證�����,并且 在認(rèn)證成功后,計算出本次使用的主會話密鑰MSK2 (Master Session Key,MSK)和可擴(kuò)展的 主會話密鑰 EMSK2 (Extended Master Session Key�,EMSK)。認(rèn)證鑒權(quán)服務(wù)器首先判斷授權(quán)碼是否有效����,若判斷授權(quán)碼有效則進(jìn)一步根據(jù)用戶 標(biāo)識信息以及授權(quán)碼對用戶設(shè)備進(jìn)行認(rèn)證,并且將授權(quán)碼的認(rèn)證次數(shù)加1 �;若判斷授權(quán)碼 的認(rèn)證次數(shù)超過預(yù)設(shè)門限值,則判斷授權(quán)碼無效��,發(fā)送認(rèn)證失敗信息���,用戶設(shè)備需要重新進(jìn) 行完整的EAP認(rèn)證��。認(rèn)證鑒權(quán)服務(wù)器判斷授權(quán)碼是否有效還可以通過判斷用戶設(shè)備前一次 認(rèn)證請求過程使用的加密密鑰CK1是否超過其生命周期�����,在判斷加密密鑰CK1沒有超過其 生命周期的情況下�,判斷該授權(quán)碼有效�����。另外�,認(rèn)證鑒權(quán)服務(wù)器還可以通過判斷用戶設(shè)備前 一次認(rèn)證請求過程使用的完整性密鑰IK1是否超過其生命周期,在判斷完整性密鑰IK1沒 有超過其生命周期的情況下�,判斷該授權(quán)碼有效。完整性密鑰IK1和加密密鑰CK1具有相 同的生命周期�����。上述計算出本次使用的MSK2和EMSK2的方法可以包括認(rèn)證鑒權(quán)服務(wù)器使用該 用戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰CK1和完整性密鑰IK1衍生出新的加密密鑰 CK2和完整性密鑰IK2��,然后使用新的加密密鑰CK2和完整性密鑰IK2計算本次的主會話密 鑰MSK2和可擴(kuò)展的主會話密鑰EMSK2 ���;認(rèn)證鑒權(quán)服務(wù)器還可以根據(jù)前一次認(rèn)證請求過程中 使用的主會話密鑰MSK1和可擴(kuò)展的主會話密鑰EMSK1衍生出新的主會話密鑰MSK2和可擴(kuò) 展的主會話密鑰EMSK2�����。其中����,使用加密密鑰CK1和完整性密鑰IK1衍生出新的加密密鑰CK2和完整性密 鑰IK2方法包括CK2 | IK2 = F(CK1, IK1,〈access network identity〉��,授權(quán)碼)MK* = PRF����,(PRF ‘ (IK2 | CK2, “NULL” | Identity),授權(quán)碼)K_encr = MK*
K_aut = MK*[128. . 383]MSK2 = MK* [640. . 1151]EMSK2 = MK*[1152. . 1663]認(rèn)證鑒權(quán)服務(wù)器使用加密密鑰CK1和完整性密鑰IK1衍生出新的加密密鑰CK2和 完整性密鑰IK2方法不限于此���,還可以是其它的方法����。上述認(rèn)證鑒權(quán)服務(wù)器根據(jù)MSK1和EMSK1衍生出新的主會話密鑰MSK2和可擴(kuò)展的 主會話密鑰EMSK2的方法包括MK* = PRF,(PRF ‘ (MSK 11EMSK 1�����,“NULL” | Identity)�,授權(quán)碼)K_encr = MK*
K_aut = MK*[128. . 383]MSK2 = MK* [640. . 1151]EMSK2 = MK*[1152. . 1663]認(rèn)證鑒權(quán)服務(wù)器根據(jù)主會話密鑰MSK1衍生出新的主會話密鑰MSK2和可擴(kuò)展的主 會話密鑰EMSK2的方法不限于此,還可以是其它的方法����。需要特別說明的是,具體采用以上何種方式計算MSK2和EMSK2��,可以根據(jù)網(wǎng)絡(luò)側(cè) 策略決定����,其中MSK2用于后續(xù)認(rèn)證過程中計算初始化交互信息的認(rèn)證參數(shù),EMSK2保存在 認(rèn)證鑒權(quán)服務(wù)器中方便后續(xù)使用�����。如果當(dāng)前網(wǎng)絡(luò)中的認(rèn)證鑒權(quán)服務(wù)器不保存IK1和CK1而 保存MSK1和EMSK1的情況下�,例如LTE網(wǎng)絡(luò)中,則使用MSK1和EMSK1來計算MSK2和EMSK2 �; 如果當(dāng)前網(wǎng)絡(luò)中的認(rèn)證鑒權(quán)服務(wù)器保存IK1和CK1而不保存MSK1和EMSK1��,則使用IK1和 CK1來計算MSK2和EMSK2 �����;如果當(dāng)前網(wǎng)絡(luò)中的認(rèn)證鑒權(quán)服務(wù)器可以保存IK1�����、CK1和MSK1����、 EMSK1,則使用MSK1和EMSK1來計算MSK2和EMSK2����,可以通過配置優(yōu)先級來實(shí)現(xiàn)。步驟311�����、認(rèn)證鑒權(quán)服務(wù)器向PDN GW2發(fā)送包含主會話密鑰MSK2的認(rèn)證成功信息。步驟312�、PDN GW2向UE發(fā)送包含認(rèn)證參數(shù)A1和認(rèn)證成功信息的接入響應(yīng)信息。PDN GW2在接收到包含主會話密鑰MSK2的認(rèn)證成功信息后�����,保存MSK2����,并根據(jù) MSK2計算初始化交互信息的網(wǎng)關(guān)側(cè)認(rèn)證參數(shù),此處為接收到的初始化請求信息的網(wǎng)關(guān)側(cè)認(rèn) 證參數(shù)A1�����,然后向UE發(fā)送包含A1和認(rèn)證成功信息的接入響應(yīng)信息�����。步驟313��、UE驗(yàn)證初始化請求信息�����,計算認(rèn)證參數(shù)B2�。其中�����,UE在接收到認(rèn)證成功信息后��,根據(jù)前一次向上述認(rèn)證鑒權(quán)服務(wù)器請求接入 認(rèn)證過程使用的加密密鑰CK1和完整性密鑰IK1或主會話密鑰MSK1來計算本次的主會話 密鑰MSK2�����,需要特別說明的是,UE計算主會話密鑰MSK2的方式和認(rèn)證鑒權(quán)服務(wù)器計算主會 話密鑰MSK2的方式一致�,可以通過對UE和認(rèn)證鑒權(quán)服務(wù)器進(jìn)行配置來實(shí)現(xiàn)。UE使用主會 話密鑰MSK2來計算發(fā)送的初始化請求信息的用戶側(cè)認(rèn)證參數(shù)A2�����,根據(jù)A1和A2對初始化請 求信息進(jìn)行認(rèn)證�����,并且UE在認(rèn)證初始化請求信息成功后����,開始計算初始化交互信息的用戶 側(cè)認(rèn)證參數(shù),此處UE根據(jù)接收到的初始化響應(yīng)信息和MSK2來計算初始化響應(yīng)信息的用戶 側(cè)認(rèn)證參數(shù)B2�。步驟314、向網(wǎng)關(guān)發(fā)送接入請求信息,接入請求信息中包含認(rèn)證參數(shù)B2����。步驟315、驗(yàn)證初始化響應(yīng)信息�,發(fā)送包含接入地址的接入響應(yīng)信息。PDN GW2在接收到認(rèn)證參數(shù)B2后���,使用主會話密鑰MSK2來計算初始化響應(yīng)信息的 網(wǎng)關(guān)側(cè)認(rèn)證參數(shù)B1�����,根據(jù)B1和B2來驗(yàn)證初始化響應(yīng)信息��,PDNGW2在對初始化響應(yīng)信息驗(yàn)證成功后���,向UE發(fā)送接入地址,UE可以根據(jù)該接入地址進(jìn)行分組數(shù)據(jù)業(yè)務(wù)��。下面再給出本發(fā)明實(shí)施例的一個具體應(yīng)用場景����。參見圖4,圖4是本發(fā)明實(shí)施例執(zhí) 行接入認(rèn)證方法的第二場景的流程圖����。在本應(yīng)用場景中��,步驟401至步驟407的執(zhí)行過程與本發(fā)明實(shí)施例第一場景中步 驟301至步驟307的執(zhí)行過程大致相同��,在此不再重復(fù)描述�����。步驟408�、根據(jù)MSK1計算認(rèn)證參數(shù)B2�,發(fā)送包含B2��、授權(quán)碼和用戶標(biāo)識信息的接入
請求信息���。在本應(yīng)用場景中���,UE在對PDN GW2的認(rèn)證成功后,直接根據(jù)前一次向認(rèn)證鑒權(quán)服 務(wù)器請求接入認(rèn)證過程中使用的主會話密鑰MSK1來計算初始化響應(yīng)信息的用戶側(cè)認(rèn)證參 數(shù)B2�,然后向PDN GW2發(fā)送包含認(rèn)證參數(shù)B2和授權(quán)碼的接入請求信息。步驟409�����、PDN GW2保存認(rèn)證參數(shù)B2,通過認(rèn)證請求信息向認(rèn)證鑒權(quán)服務(wù)器發(fā)送授 權(quán)碼和用戶標(biāo)識信息����。步驟410、認(rèn)證鑒權(quán)服務(wù)器根據(jù)授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證��。步驟411����、認(rèn)證鑒權(quán)服務(wù)器向網(wǎng)關(guān)發(fā)送包含MSK1的認(rèn)證成功信息。在根據(jù)授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備認(rèn)證成功后�����,認(rèn)證鑒權(quán)服務(wù)器重用前一 次認(rèn)證請求過程中使用的MSK1�,向網(wǎng)關(guān)發(fā)送包含MSK1的認(rèn)證成功信息。步驟412���、PDN GW2驗(yàn)證初始化響應(yīng)信息�����,計算認(rèn)證參數(shù)A1���,發(fā)送接入響應(yīng)信息��;該 接入響應(yīng)信息中可以包含接入地址�����、A1和認(rèn)證成功信息�����。PDN GW2根據(jù)該主會話密鑰MSK1計算初始化響應(yīng)信息的網(wǎng)關(guān)側(cè)認(rèn)證參數(shù)B1��,然后 根據(jù)接收到的認(rèn)證參數(shù)B2和認(rèn)證參數(shù)B1來驗(yàn)證初始化響應(yīng)信息����,PDN GW2在對初始化響 應(yīng)信息驗(yàn)證成功后向UE發(fā)送包含接入地址的接入響應(yīng)信息�����。步驟413���、UE對初始化請求信息進(jìn)行驗(yàn)證。UE使用MSK1來計算初始化請求信息的用戶側(cè)認(rèn)證參數(shù)A2�����,根據(jù)認(rèn)證參數(shù)A1和A2 對初始化請求信息進(jìn)行驗(yàn)證,在驗(yàn)證成功后���,根據(jù)該接入地址進(jìn)行分組數(shù)據(jù)業(yè)務(wù)����。與第一場景相比�����,第二場景實(shí)施例中UE直接將授權(quán)碼和認(rèn)證參數(shù)B2同時發(fā)送給 網(wǎng)關(guān)��,可以加快網(wǎng)關(guān)和UE之間驗(yàn)證初始化請求信息和初始化響應(yīng)信息的流程�,進(jìn)一步提高 接入認(rèn)證的效率。參見圖5���,圖5是本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器的示意圖��。本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器主要由授權(quán)碼分配單元11��、第一接收單元 12和授權(quán)碼認(rèn)證單元13組成�。其中���,授權(quán)碼分配單元11�����,用于在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之后�,對用戶設(shè) 備分配授權(quán)碼,該授權(quán)碼和用戶標(biāo)識信息相對應(yīng)����;以及向用戶設(shè)備發(fā)送包含該授權(quán)碼的擴(kuò) 展協(xié)議認(rèn)證成功信息;第一接收單元12����,用于接收用戶設(shè)備的接入請求信息,該接入請求信息中包含授 權(quán)碼和用戶標(biāo)識信息��;以及授權(quán)碼認(rèn)證單元13���,用于根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對該 用戶設(shè)備進(jìn)行認(rèn)證��。本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器還可以包括判斷單元14和觸發(fā)單元15��。其 中判斷單元14,用于在接收到包含授權(quán)碼的接入請求信息后����,判斷接入請求信息中包含的授權(quán)碼是否有效��;觸發(fā)單元15��,用于在判斷接入請求信息中包含的授權(quán)碼有效的情況下����,觸發(fā)授權(quán)碼認(rèn)證單元13根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn) 行認(rèn)證����。本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器還可以包括認(rèn)證反饋單元16,用于在授權(quán)碼 認(rèn)證單元13對用戶設(shè)備認(rèn)證成功之后����,發(fā)送認(rèn)證成功信息。參見圖6��,圖6是本發(fā)明實(shí)施例提供的認(rèn)證鑒權(quán)服務(wù)器中的認(rèn)證反饋單元的示意 圖�����。其中��,認(rèn)證反饋單元16可以包括密鑰計算模塊161�����,用于在授權(quán)碼認(rèn)證單元13對用戶設(shè)備認(rèn)證成功后,根據(jù)該用 戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰CK1���、完整性密鑰IKl和授權(quán)碼來計算本次的 主會話密鑰MSK2或根據(jù)該用戶設(shè)備前一次認(rèn)證請求過程使用的主會話密鑰MSKl和授權(quán)碼 來計算本次的主會話密鑰MSK2 ��;發(fā)送模塊162���,用于發(fā)送包含主會話密鑰MSK2的認(rèn)證成功信息。參見圖7����,圖7是本發(fā)明實(shí)施例提供的用戶設(shè)備的示意圖。本發(fā)明實(shí)施例提供的用戶設(shè)備實(shí)施例主要由授權(quán)碼存儲單元21���、授權(quán)碼發(fā)送單元 22和接收單元23組成�����。授權(quán)碼存儲單元21����,用于保存擴(kuò)展協(xié)議認(rèn)證成功信息中包含的授權(quán)碼���;授權(quán)碼發(fā)送單元22��,用于發(fā)送包含授權(quán)碼以及用戶標(biāo)識信息的接入請求信息�,以 使得認(rèn)證鑒權(quán)服務(wù)器根據(jù)授權(quán)碼以及用戶標(biāo)識信息對其進(jìn)行認(rèn)證���;接收單元23����,用于接收認(rèn)證鑒權(quán)服務(wù)器發(fā)送的包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信 肩�、ο本發(fā)明認(rèn)證鑒權(quán)服務(wù)器實(shí)施例和用戶設(shè)備實(shí)施例可以使用在本發(fā)明相對應(yīng)的接 入認(rèn)證請求方法實(shí)施例中。在本發(fā)明實(shí)施例中�,認(rèn)證鑒權(quán)服務(wù)器通過向用戶設(shè)備分配與用 戶標(biāo)識信息相對應(yīng)的授權(quán)碼,使得用戶設(shè)備再次向認(rèn)證鑒權(quán)服務(wù)器請求接入認(rèn)證時��,發(fā)送 包含授權(quán)碼和用戶標(biāo)識信息的接入請求信息����,認(rèn)證鑒權(quán)服務(wù)器根據(jù)接入請求信息中包含的 授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行驗(yàn)證,在對用戶設(shè)備認(rèn)證成功之后�,向該用戶設(shè)備 發(fā)送認(rèn)證成功信息。認(rèn)證鑒權(quán)服務(wù)器不需要向歸屬用戶服務(wù)器請求鑒權(quán)向量組�����,減輕了歸 屬用戶服務(wù)器的冗余負(fù)擔(dān),也可以加快用戶設(shè)備的接入認(rèn)證流程����,提高了認(rèn)證效率。通過以上的實(shí)施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過硬件實(shí)現(xiàn),也可以可借助軟件和必要的通用硬件平臺的方式來實(shí)現(xiàn)����,基于這樣的理解,本 發(fā)明實(shí)施例的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該軟件產(chǎn)品可以存儲在一個非易 失性存儲介質(zhì)中,如CD-ROM�、U盤、移動硬盤等��,包括若干指令用以使得一臺計算機(jī)設(shè)備�����,如 個人計算機(jī)���、接收端或者網(wǎng)絡(luò)設(shè)備等��,執(zhí)行本發(fā)明各個實(shí)施例所述的方法�。以上對本發(fā)明實(shí)施例提供的接入認(rèn)證方法及裝置進(jìn)行了詳細(xì)介紹���,當(dāng)用戶設(shè)備通 過S2a或S2b接口請求分組數(shù)據(jù)業(yè)務(wù)時�����,如果PDN網(wǎng)絡(luò)不需要認(rèn)證UE�,則在認(rèn)證過程中沒有 PDN GW參與��,但是如果PDN網(wǎng)絡(luò)需要驗(yàn)證UE����,則必須通過PDN GW的參與完成認(rèn)證,認(rèn)證的 過程和本發(fā)明實(shí)施例相同����,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實(shí)施例的思想�����,在具體 實(shí)施方式及應(yīng)用范圍上均會有改變之處,綜上所述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的 限制���。
權(quán)利要求
一種接入認(rèn)證方法,其特征在于�,包括在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之后,對所述用戶設(shè)備分配授權(quán)碼����,所述授權(quán)碼和用戶標(biāo)識信息相對應(yīng),向所述用戶設(shè)備發(fā)送包含所述授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息�;接收所述用戶設(shè)備的接入請求信息,根據(jù)所述接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對所述用戶設(shè)備進(jìn)行認(rèn)證�。
2.根據(jù)權(quán)利要求1所述的接入認(rèn)證方法,其特征在于����,在所述接收所述用戶設(shè)備的接 入請求信息,和所述根據(jù)所述接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對所述用戶設(shè) 備進(jìn)行認(rèn)證�,之間還包括判斷所述接入請求信息中包含的授權(quán)碼是否有效;在判斷所述接入請求信息中包含的授權(quán)碼有效的情況下����,執(zhí)行所述根據(jù)所述接入請求 信息中包含的授權(quán)碼和用戶標(biāo)識信息對所述用戶設(shè)備進(jìn)行認(rèn)證�。
3.根據(jù)權(quán)利要求2所述的接入認(rèn)證方法�,其特征在于,所述判斷所述接入請求信息中 包含的授權(quán)碼是否有效包括判斷所述接入請求信息中包含的授權(quán)碼的認(rèn)證次數(shù)是否超過預(yù)設(shè)門限值����,在所述接入 請求信息中包含的授權(quán)碼的認(rèn)證次數(shù)沒有超過預(yù)設(shè)門限值的情況下,判斷所述接入請求信 息中包含的授權(quán)碼有效�����;或者�,判斷所述用戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰CK1是否超過其生命周期���,在 判斷CK1沒有超過其生命周期的情況下��,判斷所述接入請求信息中包含的授權(quán)碼有效���;或 者,判斷所述用戶設(shè)備前一次認(rèn)證請求過程使用的完整性密鑰IK1是否超過其生命周期��, 在判斷IK1沒有超過其生命周期的情況下�����,判斷所述接入請求信息中包含的授權(quán)碼有效。
4.根據(jù)權(quán)利要求1所述的接入認(rèn)證方法����,其特征在于,還包括根據(jù)所述用戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰CK1����、完整性密鑰IK1和所述 授權(quán)碼來計算本次的主會話密鑰MSK2 ;或者�,根據(jù)所述用戶設(shè)備前一次認(rèn)證請求過程使用的主會話密鑰MSK1和所述授權(quán)碼 來計算本次的主會話密鑰MSK2 ;發(fā)送包含所述主會話密鑰MSK2的認(rèn)證成功信息�。
5.一種接入認(rèn)證方法,其特征在于�����,包括在成功通過擴(kuò)展協(xié)議認(rèn)證之后����,接收認(rèn)證鑒權(quán)服務(wù)器發(fā)送的包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn) 證成功信息,保存所述授權(quán)碼���;發(fā)送包含所述授權(quán)碼以及用戶標(biāo)識信息的接入請求信息���,以使得所述認(rèn)證鑒權(quán)服務(wù)器 根據(jù)所述授權(quán)碼以及用戶標(biāo)識信息對其進(jìn)行認(rèn)證�。
6.一種認(rèn)證鑒權(quán)服務(wù)器�,其特征在于,包括授權(quán)碼分配單元��,用于在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之后����,對所述用戶設(shè)備分配 授權(quán)碼,所述授權(quán)碼和用戶標(biāo)識信息相對應(yīng)��;向所述用戶設(shè)備發(fā)送包含所述授權(quán)碼的擴(kuò)展 協(xié)議認(rèn)證成功信息��;第一接收單元���,用于接收所述用戶設(shè)備的接入請求信息,所述接入請求信息中包含所 述授權(quán)碼和用戶標(biāo)識信息���;授權(quán)碼認(rèn)證單元���,用于根據(jù)所述接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對所述用戶設(shè)備進(jìn)行認(rèn)證。
7.根據(jù)權(quán)利要求6所述的認(rèn)證鑒權(quán)服務(wù)器�����,其特征在于,還包括判斷單元���,用于在接收到接入請求信息后��,判斷所述接入請求信息中包含的授權(quán)碼是 否有效�;觸發(fā)單元��,用于在所述判斷單元判斷所述接入請求信息中包含的授權(quán)碼有效的情況 下�����,觸發(fā)所述授權(quán)碼認(rèn)證單元根據(jù)所述接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對所 述用戶設(shè)備進(jìn)行認(rèn)證��。
8.根據(jù)權(quán)利要求6所述的認(rèn)證鑒權(quán)服務(wù)器���,其特征在于���,還包括認(rèn)證反饋單元,用于在所述授權(quán)碼認(rèn)證單元對所述用戶設(shè)備認(rèn)證成功之后���,發(fā)送認(rèn)證 成功信息�。
9.根據(jù)權(quán)利要求8所述的認(rèn)證鑒權(quán)服務(wù)器,其特征在于�,所述認(rèn)證反饋單元包括密鑰計算模塊,用于在所述授權(quán)碼認(rèn)證單元對所述用戶設(shè)備認(rèn)證成功后����,根據(jù)所述用 戶設(shè)備前一次認(rèn)證請求過程使用的加密密鑰CK1、完整性密鑰IK1和所述授權(quán)碼來計算 本次的主會話密鑰MSK2�����,或者根據(jù)所述用戶設(shè)備前一次認(rèn)證請求過程使用的主會話密鑰 MSK1和所述授權(quán)碼來計算本次的主會話密鑰MSK2 �����;發(fā)送模塊�����,用于發(fā)送包含所述主會話密鑰MSK2的認(rèn)證成功信息��。
10.一種用戶設(shè)備��,其特征在于���,包括接收單元,用于接收認(rèn)證鑒權(quán)服務(wù)器發(fā)送的包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息;授權(quán)碼存儲單元���,用于保存所述擴(kuò)展協(xié)議認(rèn)證成功信息中包含的授權(quán)碼���;授權(quán)碼發(fā)送單元,用于發(fā)送包含所述授權(quán)碼以及用戶標(biāo)識信息的接入請求信息�����,以使 得所述認(rèn)證鑒權(quán)服務(wù)器根據(jù)所述授權(quán)碼以及用戶標(biāo)識信息對其進(jìn)行認(rèn)證����。
全文摘要
本發(fā)明實(shí)施例公開了一種接入認(rèn)證方法及裝置,其中���,一種接入認(rèn)證方法包括在用戶設(shè)備成功通過擴(kuò)展協(xié)議認(rèn)證之后�,對用戶設(shè)備分配授權(quán)碼�,該授權(quán)碼和用戶標(biāo)識信息相對應(yīng),向用戶設(shè)備發(fā)送包含授權(quán)碼的擴(kuò)展協(xié)議認(rèn)證成功信息�;接收用戶設(shè)備的接入請求信息,根據(jù)接入請求信息中包含的授權(quán)碼和用戶標(biāo)識信息對用戶設(shè)備進(jìn)行認(rèn)證�����。從而實(shí)現(xiàn)了對用戶設(shè)備的快速認(rèn)證,提高接入認(rèn)證的效率��。
文檔編號H04W12/06GK101877850SQ20091013623
公開日2010年11月3日 申請日期2009年4月29日 優(yōu)先權(quán)日2009年4月29日
發(fā)明者畢曉宇, 許怡嫻, 趙曙光, 陳璟 申請人:華為技術(shù)有限公司