專利名稱:Ike認(rèn)證方法���、系統(tǒng)、ike響應(yīng)設(shè)備和ike發(fā)起設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)�,特別涉及一種密鑰交換(Internet Key Exchange, IKE)認(rèn)證方法、系統(tǒng)�����、IKE響應(yīng)設(shè)備和IKE發(fā)起設(shè)備�����。
背景技術(shù):
無線局域網(wǎng)(WirelessLocal Area network, WLAN)作為用戶設(shè)備(User Equipment, UE)的無線接入網(wǎng)��,可以實(shí)現(xiàn)UE與核心網(wǎng)的互通�����,以便UE接入核心網(wǎng)�����。UE在接 入過程中�,首先需要接入WLAN,然后再接入核心網(wǎng)?,F(xiàn)有技術(shù)中,UE在接入WLAN和接入核 ^����、網(wǎng)的過程中均需要至Ij認(rèn)證授權(quán)計(jì)費(fèi)(Authentication Authorization and Accounting, AAA)服務(wù)器進(jìn)行認(rèn)證,通常情況下����,兩次認(rèn)證的AAA服務(wù)器為同一個(gè)AAA服務(wù)器。為了建立 安全隧道�,在WLAN UE接入核心網(wǎng)的認(rèn)證過程中可以采用IKE技術(shù),WLAN UE作為IKE發(fā)起 方����,分組數(shù)據(jù)網(wǎng)關(guān)(Packet Data Gateway, PDG)���,或,分組數(shù)據(jù)互通功能實(shí)體(Packet Data Interworking Function, PDIF)作為 IKE 響應(yīng)方?��,F(xiàn)有技術(shù)至少存在如下問題采用IKE的認(rèn)證過程���,例如,WLAN UE接入核心網(wǎng)的 認(rèn)證過程����,其認(rèn)證過程復(fù)雜,造成接入延時(shí)長�、對設(shè)備性能要求高。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種IKE認(rèn)證方法�、系統(tǒng)、IKE響應(yīng)設(shè)備和IKE發(fā)起設(shè)備����,解 決現(xiàn)有技術(shù)中存在的接入延時(shí)長及對設(shè)備性能要求高的問題。本發(fā)明實(shí)施例提供了一種密鑰交換IKE認(rèn)證方法�����,包括接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求,所述第一認(rèn)證請求中攜帶接入信息����;獲取免認(rèn)證條件��,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)�,確定所述IKE發(fā)起設(shè) 備為免認(rèn)證設(shè)備;向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)�����,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息��。本發(fā)明實(shí)施例提供了一種密鑰交換IKE認(rèn)證方法��,包括向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求��,所述第一認(rèn)證請求中攜帶接入信息�;接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功 信息����,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè)備在所述接入信息滿足所述IKE響應(yīng)設(shè)備獲取 的免認(rèn)證條件時(shí)發(fā)送的。本發(fā)明實(shí)施例提供了一種密鑰交換IKE響應(yīng)設(shè)備���,包括第一接收模塊�,用于接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求,所述第一認(rèn)證請求 中攜帶接入信息���;確定模塊����,用于獲取免認(rèn)證條件����,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí),確定所 述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備���;第一發(fā)送模塊��,用于向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)���,所述第一認(rèn)證響應(yīng)中 攜帶認(rèn)證成功信息。
本發(fā)明實(shí)施例提供了一種密鑰交換IKE發(fā)起設(shè)備�,包括第三發(fā)送模塊,用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求�,所述第一認(rèn)證請求中攜 帶接入信息,第三接收模塊�,用于接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)���,所述第一認(rèn)證 響應(yīng)中攜帶認(rèn)證成功信息,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè)備在所述接入信息滿足所 述IKE響應(yīng)設(shè)備獲取的免認(rèn)證條件時(shí)發(fā)送的��。本發(fā)明實(shí)施例提供了一種密鑰交換IKE認(rèn)證系統(tǒng)���,包括IKE發(fā)起設(shè)備,用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求��,所述第一認(rèn)證請求中攜帶 接入信息����;IKE響應(yīng)設(shè)備,用于獲取免認(rèn)證條件���,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)��,確 定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備����,并向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)�����,所述第一認(rèn) 證響應(yīng)中攜帶認(rèn)證成功信息。由上述技術(shù)方案可知���,本發(fā)明實(shí)施例通過獲取免認(rèn)證條件��,可以使?jié)M足免認(rèn)證條 件的IKE發(fā)起設(shè)備無需進(jìn)行認(rèn)證�,降低接入時(shí)延�����、減輕認(rèn)證設(shè)備的負(fù)擔(dān)���。
圖1為本發(fā)明第一實(shí)施例的方法流程示意圖�;圖2為本發(fā)明第二實(shí)施例的方法流程示意圖�;圖3為本發(fā)明第三實(shí)施例的方法流程示意圖;圖4為本發(fā)明第四實(shí)施例的方法流程示意圖���;圖5為本發(fā)明第五實(shí)施例的方法流程示意圖�����;圖6為本發(fā)明第六實(shí)施例的方法流程示意圖��;圖7為本發(fā)明第七實(shí)施例的方法流程示意圖����;圖8為本發(fā)明第八實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖;圖9為本發(fā)明第九實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖��;圖10為本發(fā)明第十實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖���;圖11為本發(fā)明第十一實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖���;圖12為本發(fā)明第十二實(shí)施例的方法流程示意圖;圖13為本發(fā)明第十三實(shí)施例的IKE發(fā)起設(shè)備的結(jié)構(gòu)示意圖���;圖14為本發(fā)明第十四實(shí)施例的IKE認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式圖1為本發(fā)明第一實(shí)施例的方法流程示意圖��,包括步驟11 IKE響應(yīng)設(shè)備接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求�,所述第一認(rèn)證請求 中攜帶接入信息;本發(fā)明實(shí)施例以IKEv2為例進(jìn)行說明�����。在IKEv2流程中����,發(fā)起認(rèn)證的設(shè)備為IKE 發(fā)起設(shè)備��,響應(yīng)認(rèn)證的設(shè)備為IKE響應(yīng)設(shè)備��。下述實(shí)施例將以WLAN UE為IKE發(fā)起設(shè)備��,網(wǎng) 關(guān)設(shè)備(例如PDG或PDIF)為IKE響應(yīng)設(shè)備為例進(jìn)行說明����?����?梢岳斫獾氖?��,本發(fā)明實(shí)施例 也可以應(yīng)用于其他的采用IKEv2的設(shè)備中����。
UE在接入核心網(wǎng)的過程中���,需要首先接入WLAN�����,之后再接入核心網(wǎng)?����,F(xiàn)有技術(shù)中 UE在接入WLAN及核心網(wǎng)的過程中均需要向AAA服務(wù)器進(jìn)行認(rèn)證���。在接入WLAN過程中�����,通 過AAA服務(wù)器認(rèn)證的UE稱為WLAN UE���。之后,現(xiàn)有技術(shù)中���,WLAN UE還需要通過網(wǎng)關(guān)設(shè)備向 AAA服務(wù)器進(jìn)行接入核心網(wǎng)的認(rèn)證,接入核心網(wǎng)的認(rèn)證涉及的流程及步驟較多��,會增加AAA 服務(wù)器的負(fù)擔(dān)���。為了解決WLAN UE接入核心網(wǎng)時(shí)的認(rèn)證過程較為復(fù)雜的問題���,本發(fā)明實(shí)施 例對WLAN UE接入核心網(wǎng)的過程進(jìn)行改進(jìn),引入免認(rèn)證機(jī)制,而對于UE接入WLAN的過程仍 舊采用現(xiàn)有技術(shù)實(shí)現(xiàn)�。可以理解的是���,本發(fā)明實(shí)施例不僅可以應(yīng)用于WLAN UE接入核心網(wǎng) 的認(rèn)證過程�����,也可以應(yīng)用于其他的采用IKE協(xié)議的場景���。核心網(wǎng)以第三代移動(dòng)通信系統(tǒng)(3rd Generation, 3G)為例,包括3GPP和3GPP2�, 3GPP是寬帶碼分多址(Wideband Code Division Multiple Access,WCDMA)��、時(shí)分同步碼分 多址(Time Division Synchronous Code Division Multiple Access,TD-SCDMA)的標(biāo)準(zhǔn), 3GPP2 是碼分多址(Code Division Multiple Access��,CDMA) 2000 的標(biāo)準(zhǔn)��。兩種標(biāo)準(zhǔn)下����,對 應(yīng)的網(wǎng)關(guān)設(shè)備分別為3GPP下的PDG,3GPP2下的PDIF�����。接入信息包括如下項(xiàng)中的至少一項(xiàng)WLAN UE的用戶標(biāo)識(ID)、WLAN UE待接入 的接入點(diǎn)的標(biāo)識����,即接入點(diǎn)名稱(Access Point Name,APN)或WLAN UE所屬的域標(biāo)識�����, 用Realm或者domain表示����。接入信息還可以包括其它的標(biāo)識信息,例如�,網(wǎng)絡(luò)接入標(biāo)識 (Network Access Identity, ΝΑΙ)或國際移云力用戶標(biāo)識(Internet Mobile Subscriber Identity, IMSI)等。步驟12 =IKE響應(yīng)設(shè)備獲取免認(rèn)證條件�,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí), 確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備���;其中,免認(rèn)證條件可以是免認(rèn)證集合�,例如,如下集合中的至少一項(xiàng)免認(rèn)證的用 戶ID集合��、免認(rèn)證的APN集合、免認(rèn)證的realm集合或免認(rèn)證的domain集合等��。當(dāng)接入信息中的至少一項(xiàng)屬于對應(yīng)的免認(rèn)證集合時(shí)���,則對應(yīng)的WLAN UE為免認(rèn)證 用戶設(shè)備�����。例如���,當(dāng)接入信息中包含用戶ID,且該用戶ID屬于免認(rèn)證的用戶ID集合時(shí)�����,該 WLAN UE為免認(rèn)證用戶設(shè)備���;或者�����,當(dāng)接入信息中包含APN���,且該APN屬于免認(rèn)證的APN集 合時(shí)���,該WLAN UE為免認(rèn)證用戶設(shè)備;或者����,當(dāng)接入信息中包含realm,且該realm屬于免認(rèn) 證的realm集合時(shí)��,該WLAN UE為免認(rèn)證用戶設(shè)備��;或者�����,當(dāng)接入信息中包含domain�����,且該 domain屬于免認(rèn)證的domain集合時(shí)��,該WLAN UE為免認(rèn)證用戶設(shè)備��?;蛘撸庹J(rèn)證條件也可以是免認(rèn)證策略,例如�,在外部設(shè)備中對應(yīng)每個(gè)用戶ID保 存用戶的簽約信息��,該簽約信息中包括用戶的免認(rèn)證策略�����。當(dāng)網(wǎng)關(guān)設(shè)備接收到用戶ID時(shí)����, 根據(jù)該用戶ID獲取對應(yīng)的免認(rèn)證策略,免認(rèn)證策略可以是完全免認(rèn)證��,也可以是有條件的 免認(rèn)證��。完全免認(rèn)證時(shí)�,對應(yīng)該用戶ID不進(jìn)行認(rèn)證;有條件免認(rèn)證是針對用戶ID設(shè)置一定 的條件�,例如,在該用戶ID下���,其余的接入信息(如APN和/或realm和/或domain)需要 滿足的條件����,當(dāng)滿足該條件時(shí)�����,對WLAN UE進(jìn)行免認(rèn)證。例如�,在有條件免認(rèn)證時(shí),可以對應(yīng) 用戶ID進(jìn)一步設(shè)置免認(rèn)證的APN集合�。此時(shí),當(dāng)根據(jù)接入信息中的用戶ID獲取對應(yīng)的免 認(rèn)證策略時(shí)�,該免認(rèn)證策略中包含免認(rèn)證的APN集合,當(dāng)接入信息中的APN屬于該免認(rèn)證策 略中的免認(rèn)證的APN集合時(shí)���,則該WLAN UE為免認(rèn)證用戶設(shè)備��?����?梢岳斫獾氖?�,同樣可以采 用上述設(shè)置APN的方式對其余的接入信息(realm或domain)進(jìn)行設(shè)置����。進(jìn)一步地�����,也可以 對應(yīng)用戶ID設(shè)置接入信息中兩個(gè)以上的參數(shù)需要滿足的條件,例如�,免認(rèn)證策略中包含免認(rèn)證的APN集合及免認(rèn)證的realm集合,或者其他方式�。所述的外部設(shè)備可以為AAA服務(wù) 器�����、策略與計(jì)費(fèi)規(guī)則功能實(shí)體(Policy and Counting Rules Function��,PCRF)�����、歸屬位置寄 存器(Home Location Register, HLR)���、歸屬用戶服務(wù)器(Home Subscriber Server, HSS) 等���。上述對免認(rèn)證條件進(jìn)行了描述,但是����,本領(lǐng)域技術(shù)人員應(yīng)該理解,設(shè)置免認(rèn)證條件的方 式并不限于上述所述,本發(fā)明實(shí)施例重點(diǎn)在于設(shè)置免認(rèn)證條件�����,而具體地如何設(shè)置免認(rèn)證 條件可以根據(jù)實(shí)際需要進(jìn)行組合��。其中����,上述的免認(rèn)證條件可以設(shè)置在IKE響應(yīng)設(shè)備中,也可以設(shè)置在IKE響應(yīng)設(shè)備 之外�,即外部設(shè)備中。因此�����,本發(fā)明實(shí)施例中的“獲取”包括從自身獲取���,也包括從外部設(shè)備 獲取����。步驟13 當(dāng)IKE響應(yīng)設(shè)備確定IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備時(shí)�����,則所述IKE響應(yīng)設(shè) 備向所述免認(rèn)證設(shè)備(IKE發(fā)起設(shè)備)返回第一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功fn息��。S卩����,以WLAN UE接入核心網(wǎng)的過程為例,對于免認(rèn)證用戶設(shè)備無需再向AAA服務(wù)器 進(jìn)行認(rèn)證����,直接返回認(rèn)證成功消息���。本實(shí)施例通過獲取免認(rèn)證條件�,可以針對免認(rèn)證的IKE發(fā)起設(shè)備不進(jìn)行認(rèn)證�����,降 低認(rèn)證時(shí)延��,減輕認(rèn)證設(shè)備的負(fù)擔(dān)��。本發(fā)明實(shí)施例是以IKEv2協(xié)議為例��,首先對IKEv2協(xié)議進(jìn)行簡要描述IKEv2協(xié)議被設(shè)計(jì)為在兩個(gè)設(shè)備之間建立安全隧道��,功能包括兩端點(diǎn)之間建立信 令面安全隧道、實(shí)現(xiàn)相互認(rèn)證����、協(xié)商數(shù)據(jù)面隧道相關(guān)參數(shù)(II3sec協(xié)議、算法���、密鑰等)����、建立 隧道以保護(hù)兩端之間的數(shù)據(jù)傳輸?shù)陌踩?��。其中��,認(rèn)證方式包括公鑰簽名�、共享密鑰和可擴(kuò)展 認(rèn)證協(xié)議(Extensible Authentication Protocol, ΕΑΡ)�����。發(fā)起方從中選取一種���,在 ΙΚΕν2 的第三條消息中向響應(yīng)方發(fā)起認(rèn)證請求���。其中����,當(dāng)?shù)谌龡l消息中沒有攜帶AUTH參數(shù)時(shí)����,表 明將采用EAP認(rèn)證方式。IKEv2標(biāo)準(zhǔn)定義的流程如下第1�����、2條消息用于協(xié)商IKE安全聯(lián)盟Security Association, SA)參數(shù)(隧道建立參數(shù))�,以建立IKE信令使用的隧道。第三條消息開始的 若干條消息用于認(rèn)證過程�,如果第三條消息中不攜帶認(rèn)證(Authentication�����,AUTH)載荷�, 表明發(fā)起方希望使用EAP認(rèn)證過程,認(rèn)證過程直到響應(yīng)方返回一個(gè)攜帶認(rèn)證成功或者認(rèn)證 失敗的EAP消息���。EAP認(rèn)證過程結(jié)束之后����,發(fā)起方會向響應(yīng)方發(fā)起對第1、2條消息進(jìn)行認(rèn)證 的消息�����,響應(yīng)方傳送用于建立發(fā)起方和響應(yīng)方之間安全隧道的隧道建立參數(shù)給發(fā)起方���。本發(fā)明實(shí)施例是根據(jù)IKEv2協(xié)議的第三條消息來確定對應(yīng)的IKE發(fā)起設(shè)備是否為 免認(rèn)證設(shè)備���,且本發(fā)明實(shí)施例以WLAN UE接入核心網(wǎng)的認(rèn)證過程為例。進(jìn)一步地����,在實(shí)施時(shí),本發(fā)明實(shí)施例還可以設(shè)置是否需要對IKEv2協(xié)議的第1����、2條 消息進(jìn)行認(rèn)證。當(dāng)不需要對第1����、2條消息進(jìn)行認(rèn)證時(shí),IKE響應(yīng)方可以在根據(jù)第三條消息 對IKE發(fā)起方進(jìn)行認(rèn)證后�,同時(shí)返回隧道建立參數(shù);當(dāng)需要對第1��、2條消息進(jìn)行認(rèn)證時(shí),IKE 發(fā)起方在接收到IKE響應(yīng)方根據(jù)第三條消息對IKE發(fā)起方進(jìn)行認(rèn)證的認(rèn)證結(jié)果后���,再向IKE 響應(yīng)方發(fā)起對第1��、2條消息的認(rèn)證過程����。下述實(shí)施例中的圖2以不需要對第1�、2條消息進(jìn) 行認(rèn)證為例,圖3以需要對第1�、2條消息進(jìn)行認(rèn)證為例。圖2為本發(fā)明第二實(shí)施例的方法流程示意圖�,包括步驟21-22 =WLAN UE (發(fā)起方)與PDG/PDIF (響應(yīng)方)交互消息,該消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息�,即該消息為IKEv2標(biāo)準(zhǔn)中的第1、2條消息��;其中�����,第1����、2條消息為IKEv2協(xié)議中用IKE_SA_INIT表示的消息,第1條消息中攜 帶的參數(shù)包括HDR���,SAi 1���,KEi,Ni���,第2條消息中攜帶的參數(shù)包括HDR����,SArl, KEr, Nr�。該步驟是IKEv2標(biāo)準(zhǔn)中的標(biāo)準(zhǔn)步驟,可以采用現(xiàn)有技術(shù)實(shí)現(xiàn)��,其中第1�����、2條消息中 攜帶的參數(shù)的含義可以參見現(xiàn)有IKEv2標(biāo)準(zhǔn)��。后續(xù)步驟及實(shí)施例中沒有特殊說明的參數(shù)的 含義同樣可以參見現(xiàn)有IKEv2標(biāo)準(zhǔn)�。步驟23 =WLAN UE向PDG/PDIF發(fā)送第一認(rèn)證請求IKE_AUTH,其中攜帶的參數(shù)包括 HDR、SK{IDi�����,SAi2��,[CP, ]TSi}���;本實(shí)施例中第一認(rèn)證請求IKE_AUTH中沒有攜帶AUTH參數(shù)�,因此根據(jù)IKEv2協(xié)議 的規(guī)定則表明將采用EAP認(rèn)證方式����。步驟M :PDG/PDIF判斷該WLAN UE是否通過免認(rèn)證檢查,若是�,執(zhí)行步驟25,否則�����, 執(zhí)行步驟26 ��;其中����,PDG/PDIF可以根據(jù)配置的免認(rèn)證集合和/或免認(rèn)證策略進(jìn)行免認(rèn)證檢查�, 具體可以參見后續(xù)實(shí)施例���。其中,免認(rèn)證集合和/或免認(rèn)證策略可以保存在自身或者外部 設(shè)備中���,外部設(shè)備包括但不限于AAA服務(wù)器�����、PCRF, HLR�����、HSS等����。步驟25 當(dāng)PDG/PDIF中預(yù)先配置不需要對第1��、2條消息進(jìn)行認(rèn)證時(shí)�����,PDG/PDIF向 WLAN UE發(fā)送攜帶認(rèn)證成功信息及隧道建立參數(shù)的第一認(rèn)證響應(yīng)(IKE_AUTH)��。之后,結(jié)束 WLAN UE接入核心網(wǎng)的認(rèn)證過程��;其中��,該第一認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)信息�����,以便WLAN UE與PDG/PDIF建立 安全隧道��。S卩��,此時(shí)的認(rèn)證響應(yīng)IKE_AUTH中攜帶的參數(shù)至少包括認(rèn)證成功信息及隧道建立 參數(shù)信息����,圖中所示認(rèn)證響應(yīng)IKE_AUTH攜帶參數(shù)HDR,SK{ΕΑΡ(SUCCESS)�����,[IDr]}��,SAr2, [CP, JTSr0 SK{ΕΑΡ(SUCCESS)}表示認(rèn)證成功信息���,IDr為響應(yīng)方ID, SAr2及TSr表示隧道建立參數(shù)�����。步驟沈:PDG/PDIF向AAA服務(wù)器發(fā)送認(rèn)證請求�,進(jìn)行現(xiàn)有的認(rèn)證處理�;即對未通過免認(rèn)證檢查的WLAN UE仍然按照原有標(biāo)準(zhǔn)協(xié)議流程進(jìn)行處理,兼容標(biāo) 準(zhǔn)IKEv2協(xié)議���。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn) 證的WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證�����,簡化認(rèn)證流程���,降低認(rèn)證延時(shí),減輕AAA服務(wù)器的負(fù) 擔(dān)���。本實(shí)施例通過設(shè)置不對第1���、2條消息進(jìn)行認(rèn)證,可以進(jìn)一步簡化流程及提高性能�。圖3為本發(fā)明第三實(shí)施例的方法流程示意圖,與第二實(shí)施例不同的是�,本實(shí)施例 的響應(yīng)方?jīng)]有設(shè)置無需對第1���、2條消息進(jìn)行認(rèn)證。參見圖3���,本實(shí)施例包括步驟31-33 與步驟21-23對應(yīng)相同��,不再贅述�����;步驟34 :PDG/PDIF判斷該WLAN UE是否通過免認(rèn)證檢查��,若是����,執(zhí)行步驟35��,否則, 執(zhí)行步驟36 ���;其中�,PDG/PDIF可以根據(jù)配置的免認(rèn)證集合和/或免認(rèn)證策略進(jìn)行免認(rèn)證檢查�����, 其中���,免認(rèn)證集合和/或免認(rèn)證策略可以保存在自身或者外部設(shè)備中�����,外部設(shè)備包括但不 限于AAA服務(wù)器�、PCRF, HLR�、HSS0具體可以參見后續(xù)實(shí)施例。步驟35 當(dāng)PDG/PDIF中預(yù)先配置需要對第1��、2條消息進(jìn)行認(rèn)證時(shí),PDG/PDIF向WLAN UE發(fā)送攜帶認(rèn)證成功信息的第一認(rèn)證響應(yīng)(IKE_AUTH)�����;其中�,當(dāng)PDG/PDIF中預(yù)先配 置需要對第1���、2條消息進(jìn)行認(rèn)證時(shí),該認(rèn)證響應(yīng)中無需攜帶隧道建立參數(shù)信息��,S卩,此時(shí)的 認(rèn)證響應(yīng)IKE_AUTH中攜帶的參數(shù)包括認(rèn)證成功信息,圖中所示認(rèn)證響應(yīng)IKE_AUTH攜帶參 數(shù) HDR����,SK {ΕΑΡ (SUCCESS), [IDr]}��。SK {ΕΑΡ (SUCCESS)}表示認(rèn)證成功信息���,IDr 為響應(yīng)方 ID。步驟36 :PDG/PDIF向AAA服務(wù)器發(fā)送認(rèn)證請求����,進(jìn)行現(xiàn)有的認(rèn)證處理;即對未通過免認(rèn)證檢查的WLAN UE仍然按照原有標(biāo)準(zhǔn)協(xié)議流程進(jìn)行處理�,兼容標(biāo) 準(zhǔn)IKEv2協(xié)議。步驟37 =WLAN UE向PDG/PDIF發(fā)送針對第1�、2條消息的第二認(rèn)證請求IKE_AUTH, 攜帶的參數(shù)包括HDR����,SK{AUTH}��;步驟38 :PDG/PDIF向WLAN UE返回第二認(rèn)證響應(yīng)IKE_AUTH,攜帶的參數(shù)包括HDR����, SK{AUTH, SAr2,[CP, ]TSr}�����。之后��,結(jié)束WLAN UE接入核心網(wǎng)的認(rèn)證過程��;其中����,為了與上述的對WLAN UE的認(rèn)證過程區(qū)別,本發(fā)明實(shí)施例中將對WLAN UE的 認(rèn)證過程涉及的認(rèn)證請求及認(rèn)證響應(yīng)稱為第一認(rèn)證請求和第一認(rèn)證響應(yīng)�,將對第1、2條消 息的認(rèn)證過程涉及的認(rèn)證請求及認(rèn)證響應(yīng)稱為第二認(rèn)證請求和第二認(rèn)證響應(yīng)�����。步驟37-38是兼容現(xiàn)有對第1�、2消息進(jìn)行認(rèn)證流程,具體可以采用現(xiàn)有技術(shù)實(shí)現(xiàn)�。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn) 證的WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證����,簡化認(rèn)證流程���,降低認(rèn)證延時(shí)���,減輕AAA服務(wù)器的負(fù) 擔(dān)。本實(shí)施例通過對第1��、2條消息進(jìn)行認(rèn)證��,可以實(shí)現(xiàn)對現(xiàn)有技術(shù)的兼容�。不論是否對第1、2條消息進(jìn)行認(rèn)證�,在免認(rèn)證檢查時(shí),都可以采用下述的實(shí)施例 實(shí)現(xiàn)�����。圖4為本發(fā)明第四實(shí)施例的方法流程示意圖�����,包括步驟41-42 與步驟21-22對應(yīng)相同�,不再贅述;步驟43 :PDG/PDIF獲取預(yù)先配置的免認(rèn)證集合�;其中,PDG/PDIF可以在自身預(yù)先配置免認(rèn)證集合����,也可以是外部設(shè)備中預(yù)先配置 免認(rèn)證集合,PDG/PDIF從自身或者外部設(shè)備獲取免認(rèn)證集合�。其中,外部設(shè)備包括但不限 于 AAA 服務(wù)器���、PCRF, HLR�����、HSS0步驟44 =WLAN UE向PDG/PDIF發(fā)送第一認(rèn)證請求���,第一認(rèn)證請求中攜帶接入信息, 接入信息為如下項(xiàng)中的至少一項(xiàng)用戶ID�、APN或realm/domain ;步驟45 :PDG/PDIF判斷接入信息中的至少一項(xiàng)是否屬于免認(rèn)證集合�����,若是���,執(zhí)行 步驟46���,否則��,執(zhí)行步驟47;當(dāng)接入信息中的至少一項(xiàng)屬于免認(rèn)證集合時(shí)���,表明該WLAN UE通過免認(rèn)證檢查,否 則未通過���。例如����,預(yù)先設(shè)備的免認(rèn)證集合為免認(rèn)證用戶ID集合���、免認(rèn)證APN集合����,免認(rèn)證 realm/domain集合��,接入信息包括用戶ID��、APN�、realm/domain, PDG/PDIF可以首先判斷認(rèn) 證請求中攜帶的APN是否在免認(rèn)證APN集合中����,或者���,認(rèn)證請求中攜帶的realm/domain是 否在免認(rèn)證realm/domain集合中,之后���,再判斷認(rèn)證請求中攜帶的用戶ID是否在免認(rèn)證用 戶ID集合中����。當(dāng)上述接入信息中的至少一項(xiàng)在免認(rèn)證集合中時(shí)�����,表明通過認(rèn)證��。步驟46 :PDG/PDIF向WLAN UE返回第一認(rèn)證響應(yīng)�����,其中至少攜帶認(rèn)證成功信息��;
步驟47 :PDG/PDIF向AAA服務(wù)器發(fā)送認(rèn)證請求�����,進(jìn)行現(xiàn)有的認(rèn)證處理;12
即對未通過免認(rèn)證檢查的WLAN UE仍然按照原有標(biāo)準(zhǔn)協(xié)議流程進(jìn)行處理�����,兼容標(biāo) 準(zhǔn)IKEv2協(xié)議���。當(dāng)PDG/PDIF預(yù)先配置不需要對第1���、2條消息進(jìn)行認(rèn)證時(shí),該第一認(rèn)證響應(yīng)中還攜 帶隧道建立參數(shù)���;當(dāng)PDG/PDIF需要對第1�、2條消息進(jìn)行認(rèn)證時(shí)���,該第一認(rèn)證響應(yīng)中可以攜 帶認(rèn)證成功信息而無需攜帶隧道建立參數(shù)信息���,之后,WLAN還需向PDG/PDIF發(fā)起對第1���、2 條消息的認(rèn)證過程���。具體可參見圖2或3所示實(shí)施例�,即����,此時(shí)的步驟46-47具體為圖2中 的步驟25-26,或者��,具體為圖3中的步驟35-38���。本實(shí)施例通過免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn)證的 WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證,簡化認(rèn)證流程��,降低認(rèn)證延時(shí)�����,減輕設(shè)備負(fù)擔(dān)����。本實(shí)施例采 用預(yù)先配置免認(rèn)證集合的方式進(jìn)行免認(rèn)證檢查,可以在網(wǎng)關(guān)中保存免認(rèn)證集合���,加快免認(rèn) 證信息的獲取�����。圖5為本發(fā)明第五實(shí)施例的方法流程示意圖���,包括步驟51-52 與步驟21-22對應(yīng)相同�����,不再贅述����;步驟53 =WLAN UE向PDG/PDIF發(fā)送第一認(rèn)證請求�����,第一認(rèn)證請求中攜帶用戶ID ��;步驟M :PDG/PDIF向外部設(shè)備(圖中以AAA服務(wù)器為例)發(fā)送用于查詢用戶免認(rèn) 證策略的查詢請求���,該查詢請求中攜帶用戶ID���,其中�����,外部設(shè)備中保存有與用戶ID對應(yīng)的 簽約信息�,該簽約信息中包括免認(rèn)證策略����。其中,外部設(shè)備包括但不限于AAA服務(wù)器�����、PCRF�、 HLR���、HSS �;步驟55 外部設(shè)備向PDG/PDIF返回與該用戶ID對應(yīng)的免認(rèn)證策略����,該免認(rèn)證策 略為完全免認(rèn)證;步驟56 當(dāng)免認(rèn)證策略為完全免認(rèn)證時(shí)�,PDG/PDIF向WLAN UE返回第一認(rèn)證響應(yīng), 其中至少攜帶認(rèn)證成功信息����;當(dāng)PDG/PDIF預(yù)先配置不需要對第1���、2條消息進(jìn)行認(rèn)證時(shí),該第一認(rèn)證響應(yīng)中還攜 帶隧道建立參數(shù)信息�;當(dāng)PDG/PDIF需要對第1、2條消息進(jìn)行認(rèn)證時(shí)���,該第一認(rèn)證響應(yīng)中可 以攜帶認(rèn)證成功信息而無需攜帶隧道建立參數(shù)信息��,之后����,WLAN還需向PDG/PDIF發(fā)起對第 1��、2條消息的認(rèn)證過程���。具體可參見圖2或3所示實(shí)施例�����,即�,此時(shí)的步驟56具體為圖2中 的步驟25����,或者����,具體為圖3中的步驟35�、37-38。本實(shí)施例通過免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn)證的 WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證�,簡化認(rèn)證流程,降低認(rèn)證延時(shí)�,減輕設(shè)備負(fù)擔(dān)。本實(shí)施例采 用預(yù)先配置免認(rèn)證策略的方式進(jìn)行免認(rèn)證檢查�����,可以有利于運(yùn)營商對用戶的統(tǒng)一管理�����。圖6為本發(fā)明第六實(shí)施例的方法流程示意圖��,包括步驟61-62 與步驟51-52對應(yīng)相同��,不再贅述����;步驟63 =WLAN UE向PDG/PDIF發(fā)送第一認(rèn)證請求,第一認(rèn)證請求中攜帶用戶ID及 其他的接入信息����,例如APN或realm/domain ;步驟64 與步驟M相同�����,不再贅述��;步驟65 外部設(shè)備向PDG/PDIF返回與該用戶ID對應(yīng)的免認(rèn)證策略�����,該免認(rèn)證策 略為有條件免認(rèn)證���;步驟66 當(dāng)免認(rèn)證策略為有條件免認(rèn)證時(shí)����,PDG/PDIF比較接收的第一認(rèn)證請求中 攜帶的接入信息是否滿足該免認(rèn)證策略中的條件���,當(dāng)滿足時(shí)�,執(zhí)行步驟67��,否則,執(zhí)行步驟68 �����;例如�,有條件免認(rèn)證策略可以是,滿足如下條件的WLAN UE可以通過免認(rèn)證檢查 該用戶ID對應(yīng)的APN屬于特定的APN;或者���,該用戶ID對應(yīng)的realm/domain屬于特定的 realm/domain ���;或者,該用戶ID對應(yīng)的realm/domain屬于特定的realm/domain,且該用戶 ID對應(yīng)的APN屬于特定的APN。上述特定的信息是在免認(rèn)證策略中預(yù)先配置的信息�����。步驟67 :PDG/PDIF向WLAN UE返回第一認(rèn)證響應(yīng)����,其中至少攜帶認(rèn)證成功信息;步驟68 :PDG/PDIF向AAA服務(wù)器發(fā)送認(rèn)證請求��,進(jìn)行現(xiàn)有的認(rèn)證處理�����。當(dāng)PDG/PDIF預(yù)先配置不需要對第1��、2條消息進(jìn)行認(rèn)證時(shí)�����,該第一認(rèn)證響應(yīng)中還攜 帶隧道建立參數(shù)����;當(dāng)PDG/PDIF需要對第1、2條消息進(jìn)行認(rèn)證時(shí)����,該第一認(rèn)證響應(yīng)中可以攜 帶認(rèn)證成功信息而無需攜帶隧道建立參數(shù)信息,之后���,WLAN還需向PDG/PDIF發(fā)起對第1����、2 條消息的認(rèn)證過程�����。具體可參見圖2或3所示實(shí)施例���,即�����,此時(shí)的步驟67-68具體為圖2中 的步驟25-26����,或者,具體為圖3中的步驟35-38���。本實(shí)施例通過免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn)證的 WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證��,簡化認(rèn)證流程�,降低認(rèn)證延時(shí)�����,減輕設(shè)備負(fù)擔(dān)����。本實(shí)施例采 用預(yù)先配置免認(rèn)證策略的方式進(jìn)行免認(rèn)證檢查,可以有利于運(yùn)營商對用戶的統(tǒng)一管理����。本 實(shí)施例通過設(shè)備免認(rèn)證條件,可以實(shí)現(xiàn)免認(rèn)證的多樣性�。圖7為本發(fā)明第七實(shí)施例的方法流程示意圖,包括步驟701-704 與步驟41_44對應(yīng)相同�,不再贅述;步驟705 :PDG/PDIF判斷接入信息中的至少一項(xiàng)是否屬于免認(rèn)證集合�����,若是�����,執(zhí)行 步驟709����,否則,執(zhí)行步驟706 ;當(dāng)接入信息中的至少一項(xiàng)屬于免認(rèn)證集合時(shí),表明該WLAN UE通過免認(rèn)證檢查�����,否 則未通過��。例如����,預(yù)先設(shè)備的免認(rèn)證集合為免認(rèn)證用戶ID集合、免認(rèn)證APN集合���,免認(rèn)證 realm/domain集合���,接入信息包括用戶ID、APN�、realm/domain, PDG/PDIF可以首先判斷認(rèn) 證請求中攜帶的APN是否在免認(rèn)證APN集合中,或者��,認(rèn)證請求中攜帶的realm/domain是 否在免認(rèn)證realm/domain集合中��,之后��,再判斷認(rèn)證請求中攜帶的用戶ID是否在免認(rèn)證用 戶ID集合中�����。當(dāng)上述接入信息中的至少一項(xiàng)在免認(rèn)證集合中時(shí)���,表明通過認(rèn)證����。步驟706 與步驟M相同��,不再贅述����;步驟707 外部設(shè)備向PDG/PDIF返回與該用戶ID對應(yīng)的免認(rèn)證策略,該免認(rèn)證策 略可以為完全免認(rèn)證,也可以為有條件免認(rèn)證�����;步驟708 :PDG/PDIF判斷接入信息是否滿足免認(rèn)證策略的需求���,若是�,執(zhí)行步驟 709�����,否則,執(zhí)行步驟710 ;其中�,免認(rèn)證策略可以為完全免認(rèn)證�,也可以為有條件免認(rèn)證�,根據(jù)不同的免認(rèn)證 策略進(jìn)行判斷��,具體可參見圖5或圖6所示的實(shí)施例����。步驟709-710 與步驟67_68對應(yīng)相同��,不再贅述���。本實(shí)施例通過免認(rèn)證檢查可以實(shí)現(xiàn)在WLAN UE接入核心網(wǎng)的過程中不對免認(rèn)證的 WLAN UE向AAA服務(wù)器進(jìn)行認(rèn)證�,簡化認(rèn)證流程��,降低認(rèn)證延時(shí)��,減輕設(shè)備負(fù)擔(dān)��。本實(shí)施例采 用預(yù)先配置免認(rèn)證集合和免認(rèn)證策略的結(jié)合的方式進(jìn)行免認(rèn)證檢查��,可以提高免認(rèn)證的準(zhǔn) 確性。上述實(shí)施例以PDG/PDIF中的IKEv2認(rèn)證過程為例,以EAP認(rèn)證方法為例���,免認(rèn)證信息以用戶ID�����、APN����、realm/domain為例,可以理解的是�����,本發(fā)明實(shí)施例并不限于上述內(nèi)容, 也可以應(yīng)用于其他設(shè)備、認(rèn)證方法、免認(rèn)證信息中�����。本發(fā)明實(shí)施例通過進(jìn)行免認(rèn)證檢查���,可以對滿足免認(rèn)證條件的UE進(jìn)行免認(rèn)證�,減 少了認(rèn)證過程信令交互��,提升設(shè)備的處理能力�����;在不滿足免認(rèn)證條件時(shí)����,實(shí)現(xiàn)與標(biāo)準(zhǔn)流程的 兼容��。本發(fā)明實(shí)施例只需要在認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息�,減少了與AAA服務(wù)器交互時(shí) 的消息數(shù)。本發(fā)明實(shí)施例通過減少交互消息數(shù)��,減少了對AAA服務(wù)器的計(jì)算需求��,減少對 AAA服務(wù)器的部署需求,降低運(yùn)營成本��。本發(fā)明實(shí)施例實(shí)現(xiàn)與現(xiàn)有標(biāo)準(zhǔn)協(xié)議的兼容���,支持標(biāo) 準(zhǔn)協(xié)議流程的處理。圖8為本發(fā)明第八實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖���,包括第一接收模塊81�、確 定模塊82和第一發(fā)送模塊83����。第一接收模塊81用于接收無線局域網(wǎng)用戶設(shè)備發(fā)送的第一 認(rèn)證請求,所述第一認(rèn)證請求中攜帶接入信息���;確定模塊82用于獲取免認(rèn)證條件����,當(dāng)所述 接入信息滿足所述免認(rèn)證條件時(shí)����,確定所述無線局域網(wǎng)用戶設(shè)備為免認(rèn)證用戶設(shè)備;第一 發(fā)送模塊83用于向所述免認(rèn)證用戶設(shè)備返回第一認(rèn)證響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn) 證成功信息��。具體地,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例��,不再贅 述�����。本實(shí)施例通過獲取免認(rèn)證條件���,可以針對免認(rèn)證的IKE發(fā)起設(shè)備不進(jìn)行認(rèn)證���,降 低認(rèn)證時(shí)延,減輕認(rèn)證設(shè)備的負(fù)擔(dān)����。圖9為本發(fā)明第九實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖,與第八實(shí)施例不同的是�����, 本實(shí)施例還包括第一協(xié)商模塊94�,第一發(fā)送模塊83包括第一單元931。第一單元931用于 在預(yù)先設(shè)置無需對所述協(xié)商消息進(jìn)行認(rèn)證時(shí)����,向所述免認(rèn)證用戶設(shè)備返回第一認(rèn)證響應(yīng)�, 所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息及隧道建立參數(shù)�;第一協(xié)商模塊94用于與所述IKE 發(fā)起設(shè)備交互消息,所述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息�。具體地�,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例,不再贅 述�。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)不對免認(rèn)證用戶進(jìn)行認(rèn)證,簡化認(rèn)證流 程�����,降低認(rèn)證延時(shí)����,認(rèn)證設(shè)備的負(fù)擔(dān)。本實(shí)施例通過設(shè)置不對第1�、2條消息進(jìn)行認(rèn)證,可以 進(jìn)一步簡化流程及提高性能�。圖10為本發(fā)明第十實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖,與第八實(shí)施例不同的 是��,本實(shí)施例還包括第一協(xié)商模塊104��、第二接收模塊105和第二發(fā)送模塊106,第一發(fā)送模 塊83包括第二單元1032����。第二單元1032用于在預(yù)先設(shè)置需要對所述協(xié)商消息進(jìn)行認(rèn)證 時(shí),向所述免認(rèn)證用戶設(shè)備返回第一認(rèn)證響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息;第 一協(xié)商模塊104用于與所述IKE發(fā)起設(shè)備交互消息�,所述消息為用于協(xié)商隧道建立參數(shù)的 協(xié)商消息;第二接收模塊105用于接收所述IKE發(fā)起設(shè)備發(fā)送的用于認(rèn)證所述協(xié)商消息的 第二認(rèn)證請求�;第二發(fā)送模塊106用于向所述IKE發(fā)起設(shè)備發(fā)送對應(yīng)所述第二認(rèn)證請求的 第二認(rèn)證響應(yīng),所述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)�。具體地,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例����,不再贅 述。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)不對免認(rèn)證用戶進(jìn)行認(rèn)證��,簡化認(rèn)證流程����,降低認(rèn)證延時(shí),減輕認(rèn)證的負(fù)擔(dān)����。本實(shí)施例通過對第1���、2條消息進(jìn)行認(rèn)證,可以實(shí)現(xiàn)對 現(xiàn)有技術(shù)的兼容��。圖11為本發(fā)明第十一實(shí)施例的IKE響應(yīng)設(shè)備的結(jié)構(gòu)示意圖���,與第八實(shí)施例不同的 是�����,本實(shí)施例的確定模塊82包括第三單元1121或者第四單元1122或者第五單元1123或 者第六單元IlM及第七單元1125。第三單元1121用于從自身或者外部設(shè)備中獲取預(yù)先設(shè)置的免認(rèn)證集合�,當(dāng)所述 接入信息中的至少一項(xiàng)屬于所述免認(rèn)證集合時(shí),確定所述無線局域網(wǎng)用戶設(shè)備為免認(rèn)證用 戶設(shè)備�。此時(shí),所述接入信息中包含如下項(xiàng)中的至少一項(xiàng)用戶標(biāo)識���、接入點(diǎn)名稱��、域標(biāo)識; 所述免認(rèn)證集合包括如下項(xiàng)中的至少一項(xiàng)免認(rèn)證用戶標(biāo)識集合�、免認(rèn)證接入點(diǎn)名稱集合��、 免認(rèn)證域標(biāo)識集合。第四單元1122用于從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策 略�;當(dāng)所述免認(rèn)證策略為完全免認(rèn)證時(shí),確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備此時(shí)接入信 息中攜帶所述IKE發(fā)起設(shè)備的用戶標(biāo)識���。第五單元1123用于從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策 略���;當(dāng)所述免認(rèn)證策略為有條件免認(rèn)證,且所述接入信息中包含的參數(shù)信息滿足所述免認(rèn) 證策略的條件時(shí)�����,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備��,所述免認(rèn)證策略的條件用于表明 與所述用戶標(biāo)識對應(yīng)的如下項(xiàng)中的至少一項(xiàng)需要滿足的條件接入點(diǎn)名稱���、域標(biāo)識此時(shí),所 述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識�,還包含如下參數(shù)信息中的至少一項(xiàng)接 入點(diǎn)名稱、域標(biāo)識����。第六單元IlM用于從自身或者外部設(shè)備中獲取預(yù)先設(shè)置的免認(rèn)證集合,當(dāng)所述 接入信息均不屬于所述免認(rèn)證集合時(shí)�,從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免 認(rèn)證策略�����;第七單元1125用于當(dāng)所述免認(rèn)證策略為完全免認(rèn)證時(shí)�����,或者��,當(dāng)所述免認(rèn)證策 略為有條件免認(rèn)證且所述接入信息中攜帶的參數(shù)信息滿足所述免認(rèn)證策略的條件時(shí)�����,確定 所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備����,所述免認(rèn)證策略的條件用于表明與所述用戶標(biāo)識對應(yīng)的 如下項(xiàng)中的至少一項(xiàng)需要滿足的條件接入點(diǎn)名稱����、域標(biāo)識����。此時(shí),所述接入信息中包含所 述IKE發(fā)起設(shè)備的用戶標(biāo)識�����,還包含如下參數(shù)信息中的至少一項(xiàng)接入點(diǎn)名稱、域標(biāo)識����。具體地,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例��,不再贅 述����。本實(shí)施例通過免認(rèn)證檢查可以實(shí)現(xiàn)對不對免認(rèn)證的設(shè)備進(jìn)行認(rèn)證,簡化認(rèn)證流 程���,降低認(rèn)證延時(shí)��,減輕設(shè)備負(fù)擔(dān)����。本實(shí)施例采用預(yù)先配置免認(rèn)證集合或/和免認(rèn)證策略的 方式進(jìn)行免認(rèn)證檢查�,可以實(shí)現(xiàn)免認(rèn)證檢查的多樣化。圖12為本發(fā)明第十二實(shí)施例的方法流程示意圖���,包括步驟121 =IKE發(fā)起設(shè)備向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求�����,所述第一認(rèn)證請求中 攜帶接入信息����;進(jìn)一步地,在此步驟121之前還可以包括IKE發(fā)起設(shè)備與所述IKE響應(yīng)設(shè)備交互消息���,所述消息為用于協(xié)商隧道建立參數(shù) 的協(xié)商消息���;步驟122 =IKE發(fā)起設(shè)備接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng),所述第一認(rèn) 證響應(yīng)中攜帶認(rèn)證成功信息�,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè)備在所述接入信息滿足所述IKE響應(yīng)設(shè)備獲取的免認(rèn)證條件時(shí)發(fā)送的;其中���,IKE響應(yīng)設(shè)備可以根據(jù)上述實(shí)施例中的方法確定所述接入信息是否滿足所 述IKE響應(yīng)設(shè)備獲取的免認(rèn)證條件�����,不再贅述;具體地���,本步驟122可以包括在預(yù)先設(shè)置無需對所述協(xié)商消息進(jìn)行認(rèn)證時(shí)�,接收所述IKE響應(yīng)設(shè)備返回的第一 認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息及隧道建立參數(shù)���;或者����,在預(yù)先設(shè)置需要對所述協(xié)商消息進(jìn)行認(rèn)證時(shí)�,向所述免認(rèn)證設(shè)備返回第一認(rèn)證響 應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息�;此時(shí),在步驟122之后還包括IKE發(fā)起設(shè)備向 所述IKE響應(yīng)設(shè)備發(fā)送用于認(rèn)證所述協(xié)商消息的第二認(rèn)證請求����;接收所述IKE響應(yīng)設(shè)備發(fā) 送的對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證響應(yīng),所述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)��。上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例�����,不再贅述�����。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)在IKE認(rèn)證過程中不對免認(rèn)證的IKE發(fā)起 設(shè)備進(jìn)行認(rèn)證����,簡化認(rèn)證流程���,降低認(rèn)證延時(shí),減輕認(rèn)證設(shè)備的負(fù)擔(dān)���。圖13為本發(fā)明第十三實(shí)施例的IKE發(fā)起設(shè)備的結(jié)構(gòu)示意圖�����,包括第三發(fā)送模塊 131和第三接收模塊132�����,第三發(fā)送模塊131用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求���,所述 第一認(rèn)證請求中攜帶接入信息;第三接收模塊132用于接收所述IKE響應(yīng)設(shè)備返回的第一 認(rèn)證響應(yīng)����,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè) 備在所述接入信息滿足所述IKE響應(yīng)設(shè)備獲取的免認(rèn)證條件時(shí)發(fā)送的�����。進(jìn)一步地���,本實(shí)施例還可以包括第二協(xié)商模塊133�,第二協(xié)商模塊133用于與所述 IKE響應(yīng)設(shè)備交互消息��,所述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息�。此時(shí),第三接收模塊132可以包括第八單元1321����,第八單元1321用于在預(yù)先設(shè)置 無需對所述協(xié)商消息進(jìn)行認(rèn)證時(shí),接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)����,所述第一 認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息及隧道建立參數(shù);或者����,第三接收模塊可以包括第九單元1322,第九單元1322用于在預(yù)先設(shè)置需要 對所述協(xié)商消息進(jìn)行認(rèn)證時(shí)��,向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)��,所述第一認(rèn)證響應(yīng)中 攜帶認(rèn)證成功信息�����;此時(shí),本實(shí)施例還包括第四發(fā)送模塊134和第四接收模塊135��,第四發(fā) 送模塊134用于向所述IKE響應(yīng)設(shè)備發(fā)送用于認(rèn)證所述協(xié)商消息的第二認(rèn)證請求�����;第四接 收模塊135用于接收所述IKE響應(yīng)設(shè)備發(fā)送的對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證響應(yīng)�����,所 述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)����。具體地,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例��,不再贅 述�。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)在IKE認(rèn)證過程中不對免認(rèn)證的IKE發(fā)起 設(shè)備進(jìn)行認(rèn)證,簡化認(rèn)證流程�,降低認(rèn)證延時(shí),減輕認(rèn)證設(shè)備的負(fù)擔(dān)��。圖14為本發(fā)明第十四實(shí)施例的IKE認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖,包括IKE發(fā)起設(shè)備 141和IKE響應(yīng)設(shè)備142�����,IKE發(fā)起設(shè)備141用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求�����,所述 第一認(rèn)證請求中攜帶接入信息�����;IKE響應(yīng)設(shè)備142用于獲取免認(rèn)證條件����,當(dāng)所述接入信息滿 足所述免認(rèn)證條件時(shí)��,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備����,并向所述免認(rèn)證設(shè)備返回第 一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息17
具體地�,本實(shí)施例中的IKE發(fā)起設(shè)備可以具體為圖13所示的IKE發(fā)起設(shè)備,IKE響 應(yīng)設(shè)備可以具體為圖8-11任一所示的IKE響應(yīng)設(shè)備����。具體地�����,各模塊執(zhí)行的上述協(xié)商過程及免認(rèn)證過程可以參見上述實(shí)施例��,不再贅 述�。本實(shí)施例通過進(jìn)行免認(rèn)證檢查可以實(shí)現(xiàn)在IKE認(rèn)證過程中不對免認(rèn)證的IKE發(fā)起 設(shè)備進(jìn)行認(rèn)證��,簡化認(rèn)證流程�,降低認(rèn)證延時(shí),減輕認(rèn)證設(shè)備的負(fù)擔(dān)����。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中��,該程序 在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟�;而前述的存儲介質(zhì)包括R0M、RAM�、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)��。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對其進(jìn)行限制�����, 盡管參照較佳實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依 然可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而這些修改或者等同替換亦不能使修 改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精神和范圍�����。
權(quán)利要求
1.一種密鑰交換IKE認(rèn)證方法���,其特征在于,包括接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求�,所述第一認(rèn)證請求中攜帶接入信息; 獲取免認(rèn)證條件�����,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)�,確定所述IKE發(fā)起設(shè)備為 免認(rèn)證設(shè)備;向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)���,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求之前還包括與所述IKE發(fā)起設(shè)備交互消 息�,所述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息;所述向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息包 括在預(yù)先設(shè)置無需對所述協(xié)商消息進(jìn)行認(rèn)證時(shí),向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)��,所 述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息及隧道建立參數(shù)�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求之前還包括與所述IKE發(fā)起設(shè)備交互消 息,所述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息���;所述向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息包 括在預(yù)先設(shè)置需要對所述協(xié)商消息進(jìn)行認(rèn)證時(shí)��,向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)����,所 述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息�����;所述向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)之后還包括 接收所述IKE發(fā)起設(shè)備發(fā)送的用于認(rèn)證所述協(xié)商消息的第二認(rèn)證請求��; 向所述IKE發(fā)起設(shè)備發(fā)送對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證響應(yīng)��,所述第二認(rèn)證響應(yīng) 中攜帶隧道建立參數(shù)��。
4.根據(jù)權(quán)利要求1-3任一所述的方法��,其特征在于�����,所述獲取免認(rèn)證條件,當(dāng)所述接入 信息滿足所述免認(rèn)證條件時(shí)�,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備包括從自身或者外部設(shè)備中獲取預(yù)先設(shè)置的免認(rèn)證集合,當(dāng)所述接入信息中的至少一項(xiàng)屬 于所述免認(rèn)證集合時(shí)��,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備�����。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于�,所述接入信息中包含如下項(xiàng)中的至少一項(xiàng)用戶標(biāo)識�����、接入點(diǎn)名稱或域標(biāo)識���; 所述免認(rèn)證集合包括如下項(xiàng)中的至少一項(xiàng)免認(rèn)證用戶標(biāo)識集合��、免認(rèn)證接入點(diǎn)名稱 集合或免認(rèn)證域標(biāo)識集合�。
6.根據(jù)權(quán)利要求1-3任一所述的方法�����,其特征在于���, 所述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識�����;所述獲取免認(rèn)證條件�,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)��,確定所述IKE發(fā)起設(shè) 備為免認(rèn)證設(shè)備包括從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略���; 當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為完全免認(rèn)證時(shí)����,確定所述IKE發(fā)起設(shè)備為免認(rèn)證 設(shè)備。
7.根據(jù)權(quán)利要求1-3任一所述的方法���,其特征在于��,所述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識���,還包含如下參數(shù)信息中的至少一 項(xiàng)接入點(diǎn)名稱或域標(biāo)識;所述獲取免認(rèn)證條件�����,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)��,確定所述IKE發(fā)起設(shè) 備為免認(rèn)證設(shè)備包括從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略��; 當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為有條件免認(rèn)證���,且所述接入信息中包含的參數(shù)信 息滿足所述免認(rèn)證策略的條件時(shí),確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備�,所述免認(rèn)證策略 的條件用于表明與所述用戶標(biāo)識對應(yīng)的如下項(xiàng)中的至少一項(xiàng)需要滿足的條件接入點(diǎn)名稱 或域標(biāo)識��。
8.根據(jù)權(quán)利要求1-3任一所述的方法���,其特征在于,所述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識��,還包含如下參數(shù)信息中的至少一 項(xiàng)接入點(diǎn)名稱或域標(biāo)識���;所述獲取免認(rèn)證條件�,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)�,確定所述IKE發(fā)起設(shè) 備為免認(rèn)證設(shè)備包括從自身或者外部設(shè)備中獲取預(yù)先設(shè)置的免認(rèn)證集合,當(dāng)所述接入信息均不屬于所述免 認(rèn)證集合時(shí)�����,從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略�����;當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為完全免認(rèn)證時(shí)�����,或者,當(dāng)所述用戶標(biāo)識對應(yīng)的免 認(rèn)證策略為有條件免認(rèn)證且所述接入信息中包含的參數(shù)信息滿足所述免認(rèn)證策略的條件 時(shí)�����,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備�����,所述免認(rèn)證策略的條件用于表明與所述用戶標(biāo) 識對應(yīng)的如下項(xiàng)中的至少一項(xiàng)需要滿足的條件接入點(diǎn)名稱或域標(biāo)識�。
9.一種密鑰交換IKE認(rèn)證方法,其特征在于���,包括向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求�����,所述第一認(rèn)證請求中攜帶接入信息�; 接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)�����,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信 息�����,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè)備在所述接入信息滿足所述IKE響應(yīng)設(shè)備獲取的 免認(rèn)證條件時(shí)發(fā)送的���。
10.根據(jù)權(quán)利要求9所述的方法�,其特征在于���,所述向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求之前還包括與所述IKE響應(yīng)設(shè)備交互消息��,所 述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息����;所述接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)����,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功 信息包括在預(yù)先設(shè)置無需對所述協(xié)商消息進(jìn)行認(rèn)證時(shí),接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證 響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息及隧道建立參數(shù)。
11.根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求之前還包括與所述IKE響應(yīng)設(shè)備交互消息�,所 述消息為用于協(xié)商隧道建立參數(shù)的協(xié)商消息;所述接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)�,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功 信息包括在預(yù)先設(shè)置需要對所述協(xié)商消息進(jìn)行認(rèn)證時(shí),向所述免認(rèn)證設(shè)備返回第一認(rèn)證 響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息�;所述接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)之后還包括向所述IKE響應(yīng)設(shè)備發(fā)送用于認(rèn)證所述協(xié)商消息的第二認(rèn)證請求;接收所述IKE響應(yīng)設(shè)備發(fā)送的對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證響應(yīng)����,所述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)。
12.—種密鑰交換IKE響應(yīng)設(shè)備��,其特征在于����,包括第一接收模塊,用于接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求���,所述第一認(rèn)證請求中攜 帶接入信息�;確定模塊����,用于獲取免認(rèn)證條件,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)���,確定所述 IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備�;第一發(fā)送模塊�����,用于向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)����,所述第一認(rèn)證響應(yīng)中攜帶 認(rèn)證成功信息。
13.根據(jù)權(quán)利要求12所述的設(shè)備�,其特征在于,還包括第一協(xié)商模塊���,用于與所述IKE發(fā)起設(shè)備交互消息�,所述消息為用于協(xié)商隧道建立參 數(shù)的協(xié)商消息�����;所述第一發(fā)送模塊包括第一單元�,所述第一單元用于在預(yù)先設(shè)置無需對所述協(xié)商消息 進(jìn)行認(rèn)證時(shí),向所述免認(rèn)證用戶設(shè)備返回第一認(rèn)證響應(yīng)���,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成 功信息及隧道建立參數(shù)����。
14.根據(jù)權(quán)利要求12所述的設(shè)備�,其特征在于�����,還包括第一協(xié)商模塊����,用于與所述IKE發(fā)起設(shè)備交互消息���,所述消息為用于協(xié)商隧道建立參 數(shù)的協(xié)商消息�����;所述第一發(fā)送模塊包括第二單元�,所述第二單元在預(yù)先設(shè)置需要對所述協(xié)商消息進(jìn)行 認(rèn)證時(shí)�,向所述免認(rèn)證用戶設(shè)備返回第一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信 息��;所述設(shè)備還包括第二接收模塊��,用于接收所述IKE發(fā)起設(shè)備發(fā)送的用于認(rèn)證所述協(xié)商消息的第二認(rèn)證 請求����;第二發(fā)送模塊,用于向所述IKE發(fā)起設(shè)備發(fā)送對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證響 應(yīng)����,所述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)��。
15.根據(jù)權(quán)利要求12-14任一所述的設(shè)備�����,其特征在于,所述確定模塊包括第三單元�����,所述第三單元用于從自身或者外部設(shè)備中獲取預(yù)先設(shè)置 的免認(rèn)證集合����,當(dāng)所述接入信息中的至少一項(xiàng)屬于所述免認(rèn)證集合時(shí),確定所述IKE發(fā)起 設(shè)備為免認(rèn)證設(shè)備�����。
16.根據(jù)權(quán)利要求12-14任一所述的設(shè)備���,其特征在于�,所述接入信息中攜帶所述IKE發(fā)起設(shè)備的用戶標(biāo)識���;所述確定模塊包括第四單元����,所述第四單元用于從自身或者外部設(shè)備獲取與所述用 戶標(biāo)識對應(yīng)的免認(rèn)證策略;當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為完全免認(rèn)證時(shí)�,確定所述 IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備。
17.根據(jù)權(quán)利要求12-14任一所述的設(shè)備��,其特征在于����,所述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識,還包含如下參數(shù)信息中的至少一 項(xiàng)接入點(diǎn)名稱或域標(biāo)識��;所述確定模塊包括第五單元��,所述第五單元用于從自身或者外部設(shè)備獲取與所述用戶 標(biāo)識對應(yīng)的免認(rèn)證策略���;當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為有條件免認(rèn)證且所述接入信息中包含的參數(shù)信息滿足所述免認(rèn)證策略的條件時(shí)���,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè) 備,所述免認(rèn)證策略的條件用于表明與所述用戶標(biāo)識對應(yīng)的如下項(xiàng)中的至少一項(xiàng)需要滿足 的條件接入點(diǎn)名稱或域標(biāo)識���。
18.根據(jù)權(quán)利要求12-14任一所述的設(shè)備�,其特征在于,所述接入信息中包含所述IKE發(fā)起設(shè)備的用戶標(biāo)識�����,還包含如下參數(shù)信息中的至少一 項(xiàng)接入點(diǎn)名稱或域標(biāo)識���;所述確定模塊包括第六單元和第七單元�����;所述第六單元用于從自身或者外部設(shè)備中獲取預(yù)先設(shè)置的免認(rèn)證集合,當(dāng)所述接入信 息均不屬于所述免認(rèn)證集合時(shí)���,從自身或者外部設(shè)備獲取與所述用戶標(biāo)識對應(yīng)的免認(rèn)證策 略�;所述第七單元用于當(dāng)所述用戶標(biāo)識對應(yīng)的免認(rèn)證策略為完全免認(rèn)證時(shí)��,或者�����,當(dāng)所述 用戶標(biāo)識對應(yīng)的免認(rèn)證策略為有條件免認(rèn)證且所述接入信息中攜帶的參數(shù)信息滿足所述 免認(rèn)證策略的條件時(shí)���,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備��,所述免認(rèn)證策略的條件用于 表明與所述用戶標(biāo)識對應(yīng)的如下項(xiàng)中的至少一項(xiàng)需要滿足的條件接入點(diǎn)名稱或域標(biāo)識�。
19.一種密鑰交換IK發(fā)起設(shè)備,其特征在于��,包括第三發(fā)送模塊��,用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求�,所述第一認(rèn)證請求中攜帶接 入信息;第三接收模塊�,用于接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng) 中攜帶認(rèn)證成功信息���,所述第一認(rèn)證響應(yīng)為所述IKE響應(yīng)設(shè)備在所述接入信息滿足所述 IKE響應(yīng)設(shè)備獲取的免認(rèn)證條件時(shí)發(fā)送的�����。
20.根據(jù)權(quán)利要求19所述的設(shè)備�����,其特征在于����,還包括第二協(xié)商模塊,用于與所述IKE響應(yīng)設(shè)備交互消息���,所述消息為用于協(xié)商隧道建立參 數(shù)的協(xié)商消息��;所述第三接收模塊包括第八單元���,所述第八單元用于在預(yù)先設(shè)置無需對所述協(xié)商消息 進(jìn)行認(rèn)證時(shí),接收所述IKE響應(yīng)設(shè)備返回的第一認(rèn)證響應(yīng)����,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證 成功信息及隧道建立參數(shù)。
21.根據(jù)權(quán)利要求19所述的設(shè)備����,其特征在于����,還包括第二協(xié)商模塊,用于與所述IKE響應(yīng)設(shè)備交互消息��,所述消息為用于協(xié)商隧道建立參 數(shù)的協(xié)商消息��;所述第三接收模塊包括第九單元�,所述第九單元用于在預(yù)先設(shè)置需要對所述協(xié)商消息 進(jìn)行認(rèn)證時(shí),向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng),所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信 息�;所述設(shè)備還包括第四發(fā)送模塊,用于向所述IKE響應(yīng)設(shè)備發(fā)送用于認(rèn)證所述協(xié)商消息的第二認(rèn)證請求���;第四接收模塊����,用于接收所述IKE響應(yīng)設(shè)備發(fā)送的對應(yīng)所述第二認(rèn)證請求的第二認(rèn)證 響應(yīng)����,所述第二認(rèn)證響應(yīng)中攜帶隧道建立參數(shù)。
22.—種密鑰交換IKE認(rèn)證系統(tǒng)�,其特征在于,包括IKE發(fā)起設(shè)備���,用于向IKE響應(yīng)設(shè)備發(fā)送第一認(rèn)證請求����,所述第一認(rèn)證請求中攜帶接入信息�;IKE響應(yīng)設(shè)備,用于獲取免認(rèn)證條件�����,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí),確定所 述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備���,并向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)�����,所述第一認(rèn)證響 應(yīng)中攜帶認(rèn)證成功信息�。
23.根據(jù)權(quán)利要求22所述的系統(tǒng)�����,其特征在于���,所述IKE發(fā)起設(shè)備為權(quán)利要求19-21任 一權(quán)利要求所述的設(shè)備���。
24.根據(jù)權(quán)利要求22所述的系統(tǒng),其特征在于����,所述IKE響應(yīng)設(shè)備為權(quán)利要求12-18任 一權(quán)利要求所述的設(shè)備���。
全文摘要
本發(fā)明公開了一種IKE認(rèn)證方法�、系統(tǒng)、IKE響應(yīng)設(shè)備和IKE發(fā)起設(shè)備����。該方法包括接收IKE發(fā)起設(shè)備發(fā)送的第一認(rèn)證請求,所述第一認(rèn)證請求中攜帶接入信息�;獲取免認(rèn)證條件,當(dāng)所述接入信息滿足所述免認(rèn)證條件時(shí)����,確定所述IKE發(fā)起設(shè)備為免認(rèn)證設(shè)備;向所述免認(rèn)證設(shè)備返回第一認(rèn)證響應(yīng)���,所述第一認(rèn)證響應(yīng)中攜帶認(rèn)證成功信息����。本發(fā)明實(shí)施例可以簡化認(rèn)證流程�����,降低接入延時(shí)�����、減輕設(shè)備負(fù)擔(dān)���。
文檔編號H04W12/00GK102056154SQ20091020779
公開日2011年5月11日 申請日期2009年10月30日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者武二華, 蔡安寧, 高曉峰 申請人:華為技術(shù)有限公司