專利名稱:無(wú)線漫游認(rèn)證方法、無(wú)線漫游方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別是涉及一種無(wú)線漫游認(rèn)證方法�、無(wú)線漫游方法及 其裝置�。
背景技術(shù):
當(dāng)網(wǎng)絡(luò)環(huán)境存在多個(gè)AP (Access Point,AP)�,且它們的微單元互相有一定范圍的 重合時(shí),無(wú)線用戶的客戶端可以在整個(gè)WLAN(Wireless Local AreaNetworks�,無(wú)線局域網(wǎng)) 覆蓋區(qū)內(nèi)移動(dòng),無(wú)線網(wǎng)卡能夠自動(dòng)發(fā)現(xiàn)附近信號(hào)強(qiáng)度最大的AP����,并通過(guò)這個(gè)AP收發(fā)數(shù)據(jù), 保持不間斷的網(wǎng)絡(luò)連接�,該過(guò)程即為無(wú)線漫游過(guò)程。WLAN 架構(gòu)中���,通常包括 AP (Access Point���,接入點(diǎn))��、AC (AccessController�,接入 控制器)和Station (即符合802. 11協(xié)議的無(wú)線客戶端)���。其中���,AP提供無(wú)線客戶端到局域 網(wǎng)的橋接功能,在無(wú)線客戶端與無(wú)線局域網(wǎng)之間進(jìn)行無(wú)線到有線和有線到無(wú)線的幀轉(zhuǎn)換�����; AC主要用于管理和配置AP����。圖1示出了一種WLAN中的無(wú)線漫游過(guò)程。其中�,在初始狀態(tài)時(shí),Station通過(guò) AC1/AP1接入無(wú)線網(wǎng)絡(luò)�,通過(guò)802. Ix認(rèn)證上線。當(dāng)Station通過(guò)掃描網(wǎng)絡(luò)����,選擇AP2對(duì)應(yīng) 的SSID (Service Set Identifier,服務(wù)組合識(shí)別碼)時(shí)���,即欲從APl移動(dòng)到AP2時(shí)��,需要與 AC2/AP2重新連接�����,其經(jīng)過(guò)以下幾個(gè)過(guò)程步驟1���、Station進(jìn)行鏈路協(xié)商;步驟2����、Station 進(jìn)行 802. Ix 認(rèn)證;步驟3�����、Station根據(jù)802. Ix認(rèn)證過(guò)程所獲取的密鑰�,進(jìn)行4次握手,生成會(huì)話密 鑰���。其中��,Station根據(jù)802. Ix認(rèn)證的主密鑰�,定時(shí)通過(guò)4次握手的交互過(guò)程生成短期的 臨時(shí)密鑰,可以保證網(wǎng)絡(luò)密鑰的不斷變化��。以上過(guò)程中��,步驟2耗時(shí)最長(zhǎng)����,一般為一到數(shù)秒,其他過(guò)程耗時(shí)幾十毫秒���。為了實(shí)現(xiàn)快速漫游����,一種改進(jìn)的方案是AC1可以在Station發(fā)生移動(dòng)前���,預(yù)先向 AC2發(fā)送802. Ix認(rèn)證密鑰���,因此以上過(guò)程縮減為兩個(gè)步驟步驟1、Station進(jìn)行鏈路協(xié)商�����;步驟2、Stati0n根據(jù)AC2保存的802. Ix認(rèn)證密鑰�����,進(jìn)行4次握手�,生成會(huì)話密鑰?���?梢?����,無(wú)線漫游過(guò)程中�,Station與新的AC連接時(shí)間可縮短為幾十毫秒。但是�,Station從APl向AP2切換前,并不知道AC2是否已經(jīng)得到了 ACl傳過(guò)來(lái)的 802. Ix密鑰�����。只有當(dāng)Station向AP2發(fā)起連接過(guò)程中�,才能知道AC2是否得到密鑰,是否可 以進(jìn)行漫游����。圖2示出了 Station向AP2發(fā)起連接過(guò)程的信令流程示意圖����,如圖所示����,該流 程可包括步驟201,Station向AP2發(fā)起關(guān)聯(lián)請(qǐng)求(Association Request)�����,其中攜帶有 802. Ix密鑰的ID ���;步驟202����,AP2通過(guò)密鑰的ID查找對(duì)應(yīng)的密鑰��;步驟203����,如果在步驟202中,AP2查找到對(duì)應(yīng)密鑰���,則向Station返回關(guān)聯(lián)響應(yīng)(Association Response)����,其中攜帶有相同的 802. Ix 密鑰 ID;步驟204,如果在步驟202中���,AP2未能查找到對(duì)應(yīng)密鑰����,則向Station返回關(guān)聯(lián)響 應(yīng)(Association Response)��,其中不攜帶任何 802. Ix 密鑰 ID ����;Station收到關(guān)聯(lián)響應(yīng)后����,如果發(fā)現(xiàn)響應(yīng)中攜帶有802. Ix密鑰ID,則直接進(jìn)行4 次握手(漫游)��,如果發(fā)現(xiàn)響應(yīng)中沒(méi)有攜帶802. Ix密鑰ID����,則進(jìn)行802. Ix認(rèn)證。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問(wèn)題(1)雖然現(xiàn)有技術(shù)通過(guò)鏈路層的協(xié)議一定程度上解決了快速漫游的問(wèn)題����,但該解 決辦法不夠通用。實(shí)際上�����,目前無(wú)線方面的鏈路層協(xié)議有很多�����,除了 802. 11����,還有802. 16, ZigBee, 3GPP等�����,因此基于鏈路層協(xié)議解決快速漫游問(wèn)題���,會(huì)受制于協(xié)議類型或版本的限 制��,通用性差�。(2)該現(xiàn)有技術(shù)方案中,需要建立AC間的控制隧道��,AC之間需要進(jìn)行消息交互以 便發(fā)送802. Ix認(rèn)證密鑰�����,因此帶來(lái)了額外的通信負(fù)擔(dān)����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種無(wú)線漫游認(rèn)證方法、無(wú)線漫游方法及其裝置����,用以解 決現(xiàn)有快速無(wú)線漫游技術(shù)通用性差、系統(tǒng)資源開銷大的問(wèn)題��,為此�,本發(fā)明采用如下技術(shù)方 案一種無(wú)線漫游認(rèn)證方法,包括以下步驟認(rèn)證服務(wù)器接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng)求消息��,獲取其 中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)����,并根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判 斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證���;所述認(rèn)證服務(wù)器接收到所述無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送的認(rèn)證 請(qǐng)求消息后�,若判斷為允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證, 則獲取所述無(wú)線客戶端的授權(quán)信息或/和密鑰���,并將獲取到的授權(quán)信息或/和密鑰分別發(fā) 送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備�。上述方法中�,當(dāng)所述認(rèn)證服務(wù)器根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷不允許對(duì)所述無(wú) 線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí),還包括所述認(rèn)證服務(wù)器通過(guò)接入層對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備 進(jìn)行認(rèn)證處理���。上述方法中����,所述認(rèn)證服務(wù)器根據(jù)所述無(wú)線客戶端的源無(wú)線接入設(shè)備的歸屬信息 和所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備的歸屬信息�,判斷是否允許對(duì)所述無(wú)線 客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證。上述方法中�����,當(dāng)所述認(rèn)證服務(wù)器根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷是否允許對(duì)所述 無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證之后����,還包括所述認(rèn)證服務(wù)器將 判斷結(jié)果通過(guò)所述源無(wú)線接入設(shè)備發(fā)送給所述無(wú)線客戶端。上述方法中��,認(rèn)證服務(wù)器與無(wú)線接入設(shè)備之間交互的所述消息為AAA協(xié)議消息, 無(wú)線接入設(shè)備與所述無(wú)線客戶端之間交互的所述消息為擴(kuò)展認(rèn)證協(xié)議EAP消息��。一種認(rèn)證服務(wù)器�,包括預(yù)認(rèn)證處理模塊,用于接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng)求消息�,獲取其中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí),并根據(jù)所述網(wǎng)絡(luò)接入 服務(wù)標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證�����;認(rèn)證處理模塊�����,用于接收到所述無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送的認(rèn) 證請(qǐng)求消息后����,若所述預(yù)認(rèn)證處理模塊判斷為允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線 接入設(shè)備進(jìn)行預(yù)認(rèn)證,則獲取所述無(wú)線客戶端的授權(quán)信息或/和密鑰����,并將獲取到的授權(quán) 信息或/和密鑰分別發(fā)送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備。上述認(rèn)證服務(wù)器中�,所述認(rèn)證處理模塊還用于�����,當(dāng)所述預(yù)認(rèn)證處理模塊判斷不允 許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí),通過(guò)鏈路層對(duì)所述無(wú)線 客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行認(rèn)證處理��。上述認(rèn)證服務(wù)器中�,所述預(yù)認(rèn)證處理模塊還用于,當(dāng)判斷是否允許對(duì)所述無(wú)線客 戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證之后����,將判斷結(jié)果通過(guò)所述源無(wú)線接入設(shè) 備發(fā)送給所述無(wú)線客戶端。一種無(wú)線漫游方法�����,包括以下步驟無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消息�����,所述預(yù)認(rèn)證 請(qǐng)求消息中攜帶有目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)�;所述無(wú)線客戶端建立到所述目標(biāo)無(wú)線接入設(shè)備的鏈路后,通過(guò)所述目標(biāo)無(wú)線接入 設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息����;所述無(wú)線客戶端接收所述認(rèn)證服務(wù)器返回的授權(quán)信息或/和密鑰,其中�����,所述認(rèn) 證服務(wù)器在根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接 入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí),獲取并返回所述授權(quán)信息或/和密鑰�����。上述方法中����,所述無(wú)線客戶端發(fā)送預(yù)認(rèn)證請(qǐng)求消息之后,還包括接收所述認(rèn)證服 務(wù)器通過(guò)所述源無(wú)線接入設(shè)備返回的是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入 設(shè)備進(jìn)行預(yù)認(rèn)證的響應(yīng)消息�����,并在所述響應(yīng)消息表明允許預(yù)認(rèn)證時(shí)��,發(fā)送所述認(rèn)證請(qǐng)求消 肩����、ο上述方法中,若所述無(wú)線客戶端接收到的所述響應(yīng)消息表明拒絕預(yù)認(rèn)證時(shí)�,或者 所述無(wú)線客戶端在設(shè)定長(zhǎng)時(shí)間內(nèi)未接收到所述認(rèn)證服務(wù)器發(fā)送的所述響應(yīng)消息時(shí),還包 括通過(guò)目標(biāo)無(wú)線接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起接入層的認(rèn)證過(guò)程�����。上述方法中���,所述無(wú)線客戶端與無(wú)線接入設(shè)備之間交互的所述消息為EAP消息��, 無(wú)線接入設(shè)備與所述認(rèn)證服務(wù)器之間交互的所述消息為AAA消息����。一種無(wú)線客戶端設(shè)備�����,包括預(yù)認(rèn)證請(qǐng)求模塊�,用于通過(guò)源無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消息, 所述預(yù)認(rèn)證請(qǐng)求消息中攜帶有目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)��;認(rèn)證請(qǐng)求模塊���,用于在建立到所述目標(biāo)無(wú)線接入設(shè)備的鏈路后����,通過(guò)所述目標(biāo)無(wú) 線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�����;認(rèn)證信息接收模塊,用于接收所述認(rèn)證服務(wù)器返回的授權(quán)信息或/和密鑰���,其中���, 所述認(rèn)證服務(wù)器在根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的 目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí),獲取并返回所述授權(quán)信息或/和密鑰��。上述無(wú)線客戶端設(shè)備中��,所述預(yù)認(rèn)證請(qǐng)求模塊還用于�����,在發(fā)送預(yù)認(rèn)證請(qǐng)求消息之 后�,接收所述認(rèn)證服務(wù)器通過(guò)源無(wú)線接入設(shè)備返回的是否允許對(duì)所述無(wú)線客戶端進(jìn)行預(yù)認(rèn)證的響應(yīng)消息;所述認(rèn)證請(qǐng)求模塊具體用于����,當(dāng)所述預(yù)認(rèn)證請(qǐng)求模塊接收到的響應(yīng)消息表明允許 預(yù)認(rèn)證時(shí),發(fā)送所述認(rèn)證請(qǐng)求消息�����。上述無(wú)線客戶端設(shè)備中,所述認(rèn)證請(qǐng)求模塊還用于����,若所述預(yù)認(rèn)證請(qǐng)求模塊接收 到的所述響應(yīng)消息表明拒絕預(yù)認(rèn)證時(shí),或者所述預(yù)認(rèn)證請(qǐng)求模塊在設(shè)定長(zhǎng)時(shí)間內(nèi)未接收到 所述認(rèn)證服務(wù)器發(fā)送的所述響應(yīng)消息時(shí)����,通過(guò)目標(biāo)無(wú)線接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起接 入層的認(rèn)證過(guò)程��。本發(fā)明的有益技術(shù)效果包括由于認(rèn)證服務(wù)器在允許對(duì)無(wú)線客戶端漫游到目標(biāo)無(wú)線接入設(shè)備時(shí)��,直接獲取該無(wú) 線客戶端的授權(quán)信息或/和密鑰���,并分別發(fā)送給目標(biāo)無(wú)線接入設(shè)備和該無(wú)線客戶端���,即在 非接入層進(jìn)行認(rèn)證,因而與現(xiàn)有技術(shù)所采用的接入層認(rèn)證技術(shù)相比�����,一方面�,不依賴于接入 層協(xié)議的類型和版本,即不同接入層協(xié)議的無(wú)線客戶端和無(wú)線鏈路層設(shè)備都可以基于本發(fā) 明實(shí)施例所提供的通用流程來(lái)實(shí)現(xiàn)無(wú)線漫游中的認(rèn)證及切換�;另一方面,由于本發(fā)明實(shí)施 例不在接入層進(jìn)行認(rèn)證處理,因此與現(xiàn)有技術(shù)相比��,不需要源無(wú)線接入設(shè)備將接入層的認(rèn) 證密鑰發(fā)送給目標(biāo)無(wú)線接入設(shè)備���,因此節(jié)省了無(wú)線接入設(shè)備之間的信息交互��,進(jìn)而節(jié)省了 網(wǎng)絡(luò)資源開銷�����;再一方面�����,由于認(rèn)證服務(wù)器可直接獲取無(wú)線客戶端的授權(quán)信息或/和密鑰�����, 并發(fā)送給目標(biāo)無(wú)線接入設(shè)備�,從而直接認(rèn)證通過(guò)���,無(wú)需現(xiàn)有技術(shù)中的握手過(guò)程以及802. Ix 認(rèn)證過(guò)程��,進(jìn)而提高了無(wú)線漫游的效率����。
圖1為現(xiàn)有技術(shù)WLAN中的無(wú)線漫游示意圖;圖2為現(xiàn)有技術(shù)Station向AP2發(fā)起連接過(guò)程的信令流程示意圖����;圖3為本發(fā)明實(shí)施例中預(yù)認(rèn)證消息格式示意圖;圖4為本發(fā)明實(shí)施例中WLAN無(wú)線漫游示意圖��;圖5為本發(fā)明實(shí)施例提供的WLAN無(wú)線漫游信令流程示意圖�����;圖6為本發(fā)明實(shí)施例提供的認(rèn)證服務(wù)器的結(jié)構(gòu)示意圖����;圖7為本發(fā)明實(shí)施例提供的無(wú)線客戶端的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式為了解決現(xiàn)有技術(shù)中存在的上述問(wèn)題�,本發(fā)明實(shí)施例提供了一種快速無(wú)線漫游技 術(shù)方案。本發(fā)明實(shí)施例提供的技術(shù)方案����,通過(guò)在EAP(擴(kuò)展認(rèn)證協(xié)議)層次引入預(yù)認(rèn)證機(jī)制����, 解決快速漫游問(wèn)題��,使得解決快速漫游的方法更為通用����,同時(shí)減輕AC間的通信負(fù)擔(dān)。下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述��。通常��,無(wú)線客戶端會(huì)以廣播或單播等方式向周圍發(fā)送Probe (探測(cè))報(bào)文���,以及接 收周圍其他AP返回的Probe Response (探測(cè)響應(yīng))報(bào)文��。本實(shí)施例中��,當(dāng)AP接收到無(wú)線客 戶端發(fā)送的Probe報(bào)文后����,要在返回的Probe Response報(bào)文中攜帶自己的網(wǎng)絡(luò)接入服務(wù)標(biāo) 識(shí)(NAS-ID�,其中NAS是Network AccessService的英文縮寫),無(wú)線客戶端將保留AP返回 的Probe Response報(bào)文中攜帶的NAS-ID�。根據(jù)現(xiàn)有協(xié)議�����,每個(gè)NAS-ID可對(duì)應(yīng)相應(yīng)的AP/ AC,即對(duì)應(yīng)一條AP-AC間的鏈路���,根據(jù)NAS-ID,認(rèn)證服務(wù)器可以獲知對(duì)應(yīng)的AP/AC�。
此外,本發(fā)明實(shí)施例定義了一種預(yù)認(rèn)證請(qǐng)求消息和一種認(rèn)證請(qǐng)求消息以及相應(yīng)的 處理機(jī)制�。其中,無(wú)線客戶端在漫游開始前����,向認(rèn)證服務(wù)器發(fā)送攜帶有目標(biāo)AP的NAS-ID的 預(yù)認(rèn)證請(qǐng)求消息,認(rèn)證服務(wù)器能夠根據(jù)該NAS-ID獲知無(wú)線客戶端的目標(biāo)AP ��;在無(wú)線客戶端 建立與目標(biāo)AP的無(wú)線鏈路后���,通過(guò)該目標(biāo)AP向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息,認(rèn)證服務(wù)器 能夠根據(jù)該認(rèn)證請(qǐng)求消息直接獲取該無(wú)線客戶端的授權(quán)信息或/和密鑰����,并將授權(quán)信息或 /和密鑰分別發(fā)送該無(wú)線客戶端和目標(biāo)AP/AC,從而實(shí)現(xiàn)快速無(wú)線漫游���。其中�����,在接入控制 由AC實(shí)現(xiàn)的情況下�����,認(rèn)證服務(wù)器將授權(quán)信息或/和密鑰發(fā)送給AC��,在接入控制由AP實(shí)現(xiàn)的 情況下���,認(rèn)證服務(wù)器將授權(quán)信息或/和密鑰發(fā)送給AP�����。本發(fā)明實(shí)施例中將AC或/和AP統(tǒng) 稱為無(wú)線接入設(shè)備����。上述預(yù)認(rèn)證請(qǐng)求消息和認(rèn)證請(qǐng)求消息及其響應(yīng)消息的一種典型消息格式可如圖3 所示��。其中Code可采用RFC5296����,并可進(jìn)行如下定義Code = 5���,表示Initiate,用于預(yù)認(rèn)證請(qǐng)求消息或預(yù)認(rèn)證響應(yīng)消息����;Code = 6,表示Finish����,用于認(rèn)證響應(yīng)消息;Type可進(jìn)行如下定義Type = 3����,表示Pre-Early-auth,用于預(yù)認(rèn)證請(qǐng)求消息或預(yù)認(rèn)證響應(yīng)消息��;Type = 4��,表示Post-Early-auth���,用于認(rèn)證請(qǐng)求消息。下面以圖1所示的場(chǎng)景為例���,描述無(wú)線客戶端從APl漫游到AP2的過(guò)程����。首先,無(wú)線客戶端在探測(cè)過(guò)程中接收到AP2返回的探測(cè)響應(yīng)后���,將其中攜帶的AP2 的NAS-ID保存在本地����,該NAS-ID標(biāo)識(shí)出AP2-AC2間的鏈路�����。當(dāng)無(wú)線客戶端預(yù)計(jì)要向AP2 漫游時(shí)���,如圖3所示�,執(zhí)行以下步驟步驟301�����,無(wú)線客戶端通過(guò)當(dāng)前的無(wú)線鏈路��,即源鏈路(AP1_> ACl)向認(rèn)證服務(wù)器 發(fā)送預(yù)認(rèn)證請(qǐng)求消息��,該預(yù)認(rèn)證請(qǐng)求消息中攜帶有AP2的NAS-ID,以告知認(rèn)證服務(wù)器自己 要漫游到AP2���。步驟302��,認(rèn)證服務(wù)器通過(guò)源鏈路(AC1- > API)�����,向無(wú)線客戶端返回預(yù)認(rèn)證響應(yīng)消 息��,其中攜帶有預(yù)認(rèn)證結(jié)果信息���。預(yù)認(rèn)證結(jié)果通常有兩種情況,一種是允許進(jìn)行預(yù)認(rèn)證����,即允許采用本發(fā)明實(shí)施例 提供的預(yù)認(rèn)證方式對(duì)該無(wú)線客戶端隨后發(fā)送的到該目標(biāo)AP的認(rèn)證請(qǐng)求進(jìn)行快速認(rèn)證處 理;另一種是拒絕預(yù)認(rèn)證��,即拒絕采用本發(fā)明實(shí)施例提供的預(yù)認(rèn)證方式對(duì)該無(wú)線客戶端到 該目標(biāo)AP的認(rèn)證請(qǐng)求進(jìn)行快速認(rèn)證處理��。認(rèn)證服務(wù)器進(jìn)行預(yù)認(rèn)證判決的依據(jù)可以包括目 標(biāo)AP與源AP之間的關(guān)系��,如信任關(guān)系���、級(jí)別關(guān)系等����。在具體實(shí)現(xiàn)過(guò)程中���,可以預(yù)先在認(rèn)證服務(wù)器上配置AP相關(guān)信息以及預(yù)認(rèn)證判決 的策略信息�,認(rèn)證服務(wù)器接收到無(wú)線客戶端發(fā)送的攜帶有NAS-ID的預(yù)認(rèn)證請(qǐng)求后�����,確定出 與該NAS-ID對(duì)應(yīng)的目標(biāo)AP�,并獲取該目標(biāo)AP的相關(guān)信息,再根據(jù)預(yù)認(rèn)證判決策略���,以及目 標(biāo)AP和源AP的相關(guān)信息對(duì)無(wú)線客戶端的預(yù)認(rèn)證請(qǐng)求進(jìn)行判決�。其中�,AP相關(guān)信息可以包 括AP的歸屬信息,如可包括AP所屬的公司及部門�、AP的級(jí)別等;預(yù)認(rèn)證判決的策略可以包 括如果源AP與目標(biāo)AP同屬一公司的不同部門則允許預(yù)認(rèn)證����,如果屬于不同的公司則拒 絕預(yù)認(rèn)證�����;在屬于同一公司的情況下���,如果源AP所屬部門的級(jí)別高于目標(biāo)AP所屬部門的 級(jí)別則拒絕預(yù)認(rèn)證,反之則允許預(yù)認(rèn)證��;如果目標(biāo)AP信任源AP則允許預(yù)認(rèn)證��,反之拒絕預(yù)認(rèn)證��。以上僅列舉部分預(yù)認(rèn)證策略�,本發(fā)明實(shí)施例對(duì)于采用何種預(yù)認(rèn)證判決策略不進(jìn)行限 制。認(rèn)證服務(wù)器通過(guò)預(yù)認(rèn)證判決��,可以加強(qiáng)無(wú)線漫游的安全性�,并能夠根據(jù)用戶需要進(jìn)行靈 活的配置。步驟303����,無(wú)線客戶端根據(jù)預(yù)認(rèn)證響應(yīng)消息,得知認(rèn)證服務(wù)器允許其向AP2發(fā)起 認(rèn)證后��,與AP2的鏈路層進(jìn)行連接�,在完成到AP2的無(wú)線連接之后���,通過(guò)新建立的目標(biāo)鏈路 (AP2- > AC2)向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息。步驟304��,認(rèn)證服務(wù)器接收到該無(wú)線客戶端的認(rèn)證請(qǐng)求消息后�,直接對(duì)該無(wú)線客戶 端認(rèn)證通過(guò)���,即獲取該無(wú)線客戶端的相關(guān)授權(quán)信息或/和密鑰���,并通過(guò)目標(biāo)鏈路(AC2- > AP2)向無(wú)線客戶端返回認(rèn)證結(jié)果,其中可攜帶有獲取到的密鑰���,還可以進(jìn)一步包括授權(quán)信 息���。認(rèn)證服務(wù)器還要將認(rèn)證結(jié)果下發(fā)到AC2或AP2(如果接入控制由AC2實(shí)現(xiàn)則發(fā)送到AC2, 否則發(fā)送到AP2)�����,其中攜帶有該無(wú)線客戶端的授權(quán)信息或/和密鑰��。當(dāng)無(wú)線客戶端切換到AP2/AC2后��,就可以使用接收到的密鑰與AP2/AC2進(jìn)行通信。 其中���,AC2/AP2可以根據(jù)該無(wú)線客戶端的授權(quán)信息���,對(duì)該無(wú)線客戶端的網(wǎng)絡(luò)資源使用權(quán)限進(jìn) 行控制,并可使用該密鑰與該無(wú)線客戶端進(jìn)行通信�。上述流程中,無(wú)線客戶端與AP之間交互的消息可采用EAP相關(guān)協(xié)議�,AP/AC與認(rèn)證 服務(wù)器之間交互的消息可采用AAA (Authentication,Authorization, Accounting����,即認(rèn) 證、授權(quán)����、計(jì)費(fèi))相關(guān)協(xié)議。無(wú)線客戶端在發(fā)送預(yù)認(rèn)證請(qǐng)求消息之后�,如果接收到認(rèn)證服務(wù)器返回的預(yù)認(rèn)證結(jié) 果為“拒絕預(yù)認(rèn)證”,則無(wú)線客戶端在接收到該響應(yīng)后可向認(rèn)證服務(wù)器發(fā)起常規(guī)的認(rèn)證過(guò) 程�����,即接入層認(rèn)證過(guò)程��。如果無(wú)線客戶端在發(fā)送預(yù)認(rèn)證請(qǐng)求消息之后,在設(shè)定長(zhǎng)的時(shí)間內(nèi)沒(méi) 有接收到認(rèn)證服務(wù)器的響應(yīng)消息���,則可以向認(rèn)證服務(wù)器發(fā)起常規(guī)的認(rèn)證過(guò)程�。在本發(fā)明的另一實(shí)施例中���,與上述流程不同的是認(rèn)證服務(wù)器在接收到無(wú)線客戶 端發(fā)送的預(yù)認(rèn)證請(qǐng)求后,不向無(wú)線客戶端返回響應(yīng)���,可默認(rèn)允許對(duì)該無(wú)線客戶端進(jìn)行預(yù)認(rèn) 證����。需要說(shuō)明的是����,上述流程中的無(wú)線客戶端,以及無(wú)線鏈路層的相關(guān)設(shè)備(如AP或/ 和AC)所使用的接入層協(xié)議不限于802. lx���,還可以包括其他協(xié)議�����,如802. 16�,ZigBee, 3GPP寸。通過(guò)以上流程可以看出���,由于認(rèn)證服務(wù)器在對(duì)無(wú)線客戶端的無(wú)線漫游進(jìn)行認(rèn)證 時(shí)��,在非接入層進(jìn)行認(rèn)證�����,因而與現(xiàn)有技術(shù)所采用的接入層認(rèn)證技術(shù)相比��,一方面�,不依賴 于接入層協(xié)議的類型和版本�����,即不同接入層協(xié)議的無(wú)線客戶端和無(wú)線鏈路層設(shè)備都可以基 于本發(fā)明實(shí)施例所提供的通用流程來(lái)實(shí)現(xiàn)無(wú)線漫游中的認(rèn)證及切換�����;另一方面��,由于本發(fā) 明實(shí)施例不在接入層進(jìn)行認(rèn)證處理��,因此與現(xiàn)有技術(shù)相比,不需要源AC將接入層的認(rèn)證密 鑰發(fā)送給目標(biāo)AC���,因此節(jié)省了 AC之間的信息交互�,進(jìn)而節(jié)省了網(wǎng)絡(luò)資源開銷�;再一方面,由 于認(rèn)證服務(wù)器可直接獲取無(wú)線客戶端的授權(quán)信息或/和密鑰����,并發(fā)送給對(duì)應(yīng)的AP/AC,從而 直接認(rèn)證通過(guò)��,無(wú)需現(xiàn)有技術(shù)中的握手過(guò)程以及802. Ix認(rèn)證過(guò)程��,進(jìn)而提高了無(wú)線漫游的 效率����。圖5示出了上述流程的信令交互示意圖��,下面結(jié)合圖4所示流程�����,以及圖3所示的 消息格式��,對(duì)本發(fā)明實(shí)施例提供的無(wú)線漫游的信令流程進(jìn)行描述�。如圖所示����,該信令交互過(guò) 程可包括
步驟501 502��、當(dāng)無(wú)線客戶端預(yù)計(jì)向AP2漫游時(shí)���,通過(guò)當(dāng)前連接的AP1��、AC1向認(rèn) 證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消息(圖中未示出AC)���,其中攜帶有AP2的NAS-ID。該預(yù)認(rèn)證請(qǐng) 求消息的Code值為Initiate����,Type值為Pre-Early-auth,采用EAP協(xié)議����。步驟503 504,認(rèn)證服務(wù)器允許對(duì)該無(wú)線客戶端進(jìn)行預(yù)認(rèn)證后���,通過(guò)AC1����、AP1向 無(wú)線客戶端返回預(yù)認(rèn)證響應(yīng)消息,其中攜帶結(jié)果碼(Result Code)����,此處,該Result Code表 示允許預(yù)認(rèn)證���。該預(yù)認(rèn)證響應(yīng)消息的Code值為Finish�����,Type值為Pre-Early-auth���,采用 AAA協(xié)議。步驟505 506����,無(wú)線客戶端與AP2完成鏈路層連接后�����,通過(guò)AP2����、AC2向認(rèn)證服務(wù) 器發(fā)送認(rèn)證請(qǐng)求消息�。該認(rèn)證請(qǐng)求消息的Code值為Initiate�,Type值為Post-Early-auth, 采用EAP協(xié)議���。步驟507��,認(rèn)證服務(wù)器獲取該無(wú)線客戶端的網(wǎng)絡(luò)訪問(wèn)授權(quán)信息和密鑰�,如認(rèn)證證 書����,權(quán)限信息等。步驟508�,認(rèn)證服務(wù)器向AP2 (本流程中的AP2實(shí)現(xiàn)接入控制功能)發(fā)送AAA協(xié)議 消息,其中攜帶有授權(quán)信息和密鑰���;步驟509 510���,認(rèn)證服務(wù)器通過(guò)AC2、AP2向無(wú)線客戶端返回認(rèn)證成功消息����,其中 攜帶有密鑰����。該預(yù)認(rèn)證響應(yīng)消息的Code值為Finish�,Type值為Post-Early-auth,采用AAA 協(xié)議���?�;谙嗤募夹g(shù)構(gòu)思�����,本發(fā)明實(shí)施例還提供了一種認(rèn)證服務(wù)器和一種無(wú)線客戶 端���,可應(yīng)用于本發(fā)明實(shí)施例描述的上述流程。如圖6所示�,本發(fā)明實(shí)施例提供的認(rèn)證服務(wù)器可包括預(yù)認(rèn)證處理模塊601,用于接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng) 求消息���,獲取其中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)�����,并根據(jù)所述網(wǎng)絡(luò) 接入服務(wù)標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證�����;認(rèn)證處理模塊602��,用于接收到所述無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送 的認(rèn)證請(qǐng)求消息后�,若預(yù)認(rèn)證處理模塊601判斷為允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo) 無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證�,則獲取所述無(wú)線客戶端的授權(quán)信息或/和密鑰,并將獲取到的 授權(quán)信息或/和密鑰分別發(fā)送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備��。上述認(rèn)證服務(wù)器中���,認(rèn)證處理模塊602可還用于����,當(dāng)預(yù)認(rèn)證處理模塊601判斷不允 許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí)��,通過(guò)鏈路層對(duì)所述無(wú)線 客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行認(rèn)證處理���。上述認(rèn)證服務(wù)器中���,預(yù)認(rèn)證處理模塊601還用于,當(dāng)判斷是否允許對(duì)所述無(wú)線客 戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證之后����,將判斷結(jié)果通過(guò)所述源無(wú)線接入設(shè) 備發(fā)送給所述無(wú)線客戶端�����。如圖7所示��,本發(fā)明實(shí)施例提供的無(wú)線客戶端可包括預(yù)認(rèn)證請(qǐng)求模塊701����,用于通過(guò)源無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消 息�,所述預(yù)認(rèn)證請(qǐng)求消息中攜帶有目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí);認(rèn)證請(qǐng)求模塊702�,用于在建立到所述目標(biāo)無(wú)線接入設(shè)備的鏈路后,通過(guò)所述目標(biāo) 無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息��;認(rèn)證信息接收模塊703��,用于接收所述認(rèn)證服務(wù)器返回的授權(quán)信息或/和密鑰����,其中,所述認(rèn)證服務(wù)器在根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng) 的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí)����,獲取并返回所述授權(quán)信息或/和密鑰。上述無(wú)線客戶端設(shè)備中��,預(yù)認(rèn)證請(qǐng)求模塊701還用于��,在發(fā)送預(yù)認(rèn)證請(qǐng)求消息之 后��,接收所述認(rèn)證服務(wù)器通過(guò)源無(wú)線接入設(shè)備返回的是否允許對(duì)所述無(wú)線客戶端進(jìn)行預(yù)認(rèn) 證的響應(yīng)消息��;認(rèn)證請(qǐng)求模塊702可具體用于��,當(dāng)預(yù)認(rèn)證請(qǐng)求模塊701接收到的響應(yīng)消息表 明允許預(yù)認(rèn)證時(shí)��,發(fā)送所述認(rèn)證請(qǐng)求消息�。上述無(wú)線客戶端設(shè)備中,認(rèn)證請(qǐng)求模塊702還用于�����,若預(yù)認(rèn)證請(qǐng)求模塊701接收到 的所述響應(yīng)消息表明拒絕預(yù)認(rèn)證時(shí)����,或者預(yù)認(rèn)證請(qǐng)求模塊701在設(shè)定長(zhǎng)時(shí)間內(nèi)未接收到所 述認(rèn)證服務(wù)器發(fā)送的所述響應(yīng)消息時(shí),通過(guò)目標(biāo)無(wú)線接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起接入 層的認(rèn)證過(guò)程��。綜上所述�����,本發(fā)明實(shí)施例通過(guò)EAP預(yù)認(rèn)證的方法,解決了無(wú)線客戶端的快速漫游 切換問(wèn)題�����。因?yàn)槭窃贓AP認(rèn)證協(xié)議的層次上做出的改進(jìn)����,因此方法對(duì)鏈路層的協(xié)議沒(méi)有依 賴關(guān)系,同時(shí)也可以適用于其他無(wú)線鏈路層協(xié)議��。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中���,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中���。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊����。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�,當(dāng)然也可以通過(guò)硬件,但很多情況下前者是更 佳的實(shí)施方式?���;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)�,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中���,包括若 干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)����,個(gè)人計(jì)算機(jī)�����,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明各個(gè)實(shí)施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng) 視本發(fā)明的保護(hù)范圍��。
權(quán)利要求
一種無(wú)線漫游認(rèn)證方法���,其特征在于��,包括以下步驟認(rèn)證服務(wù)器接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng)求消息��,獲取其中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)��,并根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證�����;所述認(rèn)證服務(wù)器接收到所述無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息后�����,若判斷為允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證���,則獲取所述無(wú)線客戶端的授權(quán)信息或/和密鑰,并將獲取到的授權(quán)信息或/和密鑰分別發(fā)送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備�。
2.如權(quán)利要求1所述的方法,其特征在于��,當(dāng)所述認(rèn)證服務(wù)器根據(jù)所述網(wǎng)絡(luò)接入服務(wù) 標(biāo)識(shí)判斷不允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí),還包 括所述認(rèn)證服務(wù)器通過(guò)接入層對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行 認(rèn)證處理�。
3.如權(quán)利要求1或2所述的方法,其特征在于�,所述認(rèn)證服務(wù)器根據(jù)所述無(wú)線客戶端的 源無(wú)線接入設(shè)備的歸屬信息和所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備的歸屬信 息,判斷是否允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證����。
4.如權(quán)利要求1所述的方法,其特征在于���,當(dāng)所述認(rèn)證服務(wù)器根據(jù)所述網(wǎng)絡(luò)接入服務(wù) 標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證之后,還 包括所述認(rèn)證服務(wù)器將判斷結(jié)果通過(guò)所述源無(wú)線接入設(shè)備發(fā)送給所述無(wú)線客戶端�。
5.如權(quán)利要求1、2或4所述的方法�,其特征在于,認(rèn)證服務(wù)器與無(wú)線接入設(shè)備之間交互 的所述消息為AAA協(xié)議消息��,無(wú)線接入設(shè)備與所述無(wú)線客戶端之間交互的所述消息為擴(kuò)展 認(rèn)證協(xié)議EAP消息�����。
6.一種認(rèn)證服務(wù)器�,其特征在于,包括預(yù)認(rèn)證處理模塊�����,用于接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng)求消息, 獲取其中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)��,并根據(jù)所述網(wǎng)絡(luò)接入服務(wù) 標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證�����;認(rèn)證處理模塊����,用于接收到所述無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送的認(rèn)證請(qǐng) 求消息后,若所述預(yù)認(rèn)證處理模塊判斷為允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入 設(shè)備進(jìn)行預(yù)認(rèn)證��,則獲取所述無(wú)線客戶端的授權(quán)信息或/和密鑰�����,并將獲取到的授權(quán)信息 或/和密鑰分別發(fā)送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備�。
7.如權(quán)利要求6所述的認(rèn)證服務(wù)器,其特征在于�����,所述認(rèn)證處理模塊還用于,當(dāng)所述預(yù) 認(rèn)證處理模塊判斷不允許對(duì)所述無(wú)線客戶端漫游到所述目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí)�����, 通過(guò)鏈路層對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行認(rèn)證處理����。
8.如權(quán)利要求6或7所述的認(rèn)證服務(wù)器,其特征在于�,所述預(yù)認(rèn)證處理模塊還用于,當(dāng) 判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證之后���,將判斷 結(jié)果通過(guò)所述源無(wú)線接入設(shè)備發(fā)送給所述無(wú)線客戶端�����。
9.一種無(wú)線漫游方法,其特征在于���,包括以下步驟無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消息�����,所述預(yù)認(rèn)證請(qǐng)求消息中攜帶有目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)��;所述無(wú)線客戶端建立到所述目標(biāo)無(wú)線接入設(shè)備的鏈路后��,通過(guò)所述目標(biāo)無(wú)線接入設(shè)備 向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息����;所述無(wú)線客戶端接收所述認(rèn)證服務(wù)器返回的授權(quán)信息或/和密鑰,其中�����,所述認(rèn)證服 務(wù)器在根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè) 備進(jìn)行預(yù)認(rèn)證時(shí)�����,獲取并返回所述授權(quán)信息或/和密鑰����。
10.如權(quán)利要求9所述的方法,其特征在于�,所述無(wú)線客戶端發(fā)送預(yù)認(rèn)證請(qǐng)求消息之 后,還包括接收所述認(rèn)證服務(wù)器通過(guò)所述源無(wú)線接入設(shè)備返回的是否允許對(duì)所述無(wú)線客戶端漫 游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證的響應(yīng)消息��,并在所述響應(yīng)消息表明允許預(yù)認(rèn)證時(shí)���, 發(fā)送所述認(rèn)證請(qǐng)求消息����。
11.如權(quán)利要求10所述的方法,其特征在于��,若所述無(wú)線客戶端接收到的所述響應(yīng)消 息表明拒絕預(yù)認(rèn)證時(shí)���,或者所述無(wú)線客戶端在設(shè)定長(zhǎng)時(shí)間內(nèi)未接收到所述認(rèn)證服務(wù)器發(fā)送 的所述響應(yīng)消息時(shí)���,還包括通過(guò)目標(biāo)無(wú)線接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起接入層的認(rèn)證過(guò)程。
12.如權(quán)利要求9��、10或11所述的方法�,其特征在于�,所述無(wú)線客戶端與無(wú)線接入設(shè)備 之間交互的所述消息為EAP消息,無(wú)線接入設(shè)備與所述認(rèn)證服務(wù)器之間交互的所述消息為 AAA消息���。
13.一種無(wú)線客戶端設(shè)備��,其特征在于�����,包括預(yù)認(rèn)證請(qǐng)求模塊����,用于通過(guò)源無(wú)線接入設(shè)備向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證請(qǐng)求消息,所述 預(yù)認(rèn)證請(qǐng)求消息中攜帶有目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)�;認(rèn)證請(qǐng)求模塊,用于在建立到所述目標(biāo)無(wú)線接入設(shè)備的鏈路后�����,通過(guò)所述目標(biāo)無(wú)線接 入設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息���;認(rèn)證信息接收模塊�����,用于接收所述認(rèn)證服務(wù)器返回的授權(quán)信息或/和密鑰��,其中��,所述 認(rèn)證服務(wù)器在根據(jù)所述網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)判斷允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo) 接入設(shè)備進(jìn)行預(yù)認(rèn)證時(shí)���,獲取并返回所述授權(quán)信息或/和密鑰�����。
14.如權(quán)利要求13所述的無(wú)線客戶端設(shè)備�,其特征在于���,所述預(yù)認(rèn)證請(qǐng)求模塊還用于�,在發(fā)送預(yù)認(rèn)證請(qǐng)求消息之后����,接收所述認(rèn)證服務(wù)器通過(guò) 源無(wú)線接入設(shè)備返回的是否允許對(duì)所述無(wú)線客戶端進(jìn)行預(yù)認(rèn)證的響應(yīng)消息;所述認(rèn)證請(qǐng)求模塊具體用于���,當(dāng)所述預(yù)認(rèn)證請(qǐng)求模塊接收到的響應(yīng)消息表明允許預(yù)認(rèn) 證時(shí)����,發(fā)送所述認(rèn)證請(qǐng)求消息��。
15.如權(quán)利要求13所述的無(wú)線客戶端設(shè)備���,其特征在于�����,所述認(rèn)證請(qǐng)求模塊還用于�,若 所述預(yù)認(rèn)證請(qǐng)求模塊接收到的所述響應(yīng)消息表明拒絕預(yù)認(rèn)證時(shí)�,或者所述預(yù)認(rèn)證請(qǐng)求模塊 在設(shè)定長(zhǎng)時(shí)間內(nèi)未接收到所述認(rèn)證服務(wù)器發(fā)送的所述響應(yīng)消息時(shí),通過(guò)目標(biāo)無(wú)線接入設(shè)備 向所述認(rèn)證服務(wù)器發(fā)起接入層的認(rèn)證過(guò)程�。
全文摘要
本發(fā)明公開了一種無(wú)線漫游認(rèn)證方法、無(wú)線漫游方法及其裝置��,該方法包括認(rèn)證服務(wù)器接收無(wú)線客戶端通過(guò)源無(wú)線接入設(shè)備發(fā)送的預(yù)認(rèn)證請(qǐng)求消息�����,獲取其中攜帶的目標(biāo)無(wú)線接入設(shè)備所對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)標(biāo)識(shí)��,并根據(jù)該標(biāo)識(shí)判斷是否允許對(duì)所述無(wú)線客戶端漫游到對(duì)應(yīng)的目標(biāo)接入設(shè)備進(jìn)行預(yù)認(rèn)證�;認(rèn)證服務(wù)器接收到該無(wú)線客戶端通過(guò)所述目標(biāo)無(wú)線接入設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息后,若判斷為允許對(duì)該無(wú)線客戶端漫游到該目標(biāo)無(wú)線接入設(shè)備進(jìn)行預(yù)認(rèn)證��,則獲取該無(wú)線客戶端的授權(quán)信息或/和密鑰�����,并將獲取到的授權(quán)信息或/和密鑰分別發(fā)送給所述客戶端和所述目標(biāo)無(wú)線接入設(shè)備。采用本發(fā)明�����,可實(shí)現(xiàn)快速無(wú)線漫游���,提高快速無(wú)線漫游技術(shù)的通用性��,以及節(jié)省系統(tǒng)資源開銷�����。
文檔編號(hào)H04W12/06GK101945388SQ20101050581
公開日2011年1月12日 申請(qǐng)日期2010年10月14日 優(yōu)先權(quán)日2010年10月14日
發(fā)明者汪昊 申請(qǐng)人:杭州華三通信技術(shù)有限公司