一種漫游終端的認(rèn)證方法、裝置及服務(wù)器的制造方法
【專利摘要】本發(fā)明提供一種漫游終端的認(rèn)證方法�、裝置及服務(wù)器����,其中方法包括:通過(guò)第一TLS隧道與終端協(xié)商����,確定認(rèn)證過(guò)程使用的PEAP版本���;通過(guò)所述第一TLS隧道接收終端發(fā)送的認(rèn)證信息�;根據(jù)所述認(rèn)證信息確定漫游終端的歸屬地服務(wù)器��;根據(jù)所述漫游終端使用的PEAP版本����,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。本發(fā)明的方案可以實(shí)現(xiàn)PEAP認(rèn)證的國(guó)際漫游��,從而為現(xiàn)有主流智能終端都提供無(wú)需用戶干預(yù)的國(guó)際漫游接入����。
【專利說(shuō)明】一種漫游終端的認(rèn)證方法、裝置及服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域���,特別是指一種漫游終端的認(rèn)證方法�、裝置及服務(wù)器。
【背景技術(shù)】
[0002]近年來(lái)�����,隨著蜂窩網(wǎng)數(shù)據(jù)流量的爆炸式增長(zhǎng)�,可以用WLAN分流蜂窩網(wǎng)數(shù)據(jù)流量,這就涉及到終端與WLAN的接入認(rèn)證方式和國(guó)際漫游接入方式�����。傳統(tǒng)的Web Portal認(rèn)證雖然可以在主流智能終端上使用從而實(shí)現(xiàn)WLAN接入并且可以基于WISPr1.0技術(shù)實(shí)現(xiàn)國(guó)際漫游���,但Web Portal認(rèn)證存在用戶需輸入用戶密碼等體驗(yàn)不佳的問(wèn)題����。
[0003]3GPP組織提出的EAP-SM/AKA認(rèn)證方式是WLAN與蜂窩網(wǎng)融合的用戶接入認(rèn)證基礎(chǔ)����,不但提升了用戶接入WLAN的使用體驗(yàn),而且可以實(shí)現(xiàn)國(guó)際漫游�,已被運(yùn)營(yíng)商廣泛采用。但Android和Window MP等智能手機(jī)終端沒(méi)有全面支持EAP-SM/AKA認(rèn)證方式���,而且不帶有(U) SIM卡的PAD (平板電腦)和筆記本等終端也無(wú)法使用EAP-SM/AKA認(rèn)證�����。
[0004]PEAP 認(rèn)證(Protect EAP 認(rèn)證)廣泛適用于 IOS����、An droid�、SymbiaruBlackBerry 和Window Mobile Phone等操作系統(tǒng)的智能手機(jī)終端,并且可以在筆記本和PAD等無(wú)(U) SIM卡的終端上使用,既全面覆蓋用戶終端����,又提升了用戶的WLAN使用體驗(yàn)。但PEAP規(guī)范沒(méi)有定義國(guó)際漫游如何實(shí)現(xiàn)�����。
[0005]綜上分析��,為全面實(shí)現(xiàn)良好用戶體驗(yàn)的WLAN國(guó)際漫游��,需研制PEAP認(rèn)證的國(guó)際漫游實(shí)現(xiàn)方案�����,為使用不支持-SIM/AKA認(rèn)證終端的用戶也提供良好體驗(yàn)的WLAN國(guó)際漫游服務(wù)。
[0006]現(xiàn)有技術(shù)中��,終 端接入WLAN的接入方式主要有以下幾種:
[0007]1.基于Web Portal的認(rèn)證是目前WLAN公共熱點(diǎn)最普遍采用的用戶接入方式,其特點(diǎn)是認(rèn)證必須通過(guò)Web交互來(lái)完成�����。當(dāng)終端關(guān)聯(lián)WiFi后��,用戶需要打開(kāi)瀏覽器��,輸入將任意頁(yè)面請(qǐng)求�,網(wǎng)絡(luò)將用戶請(qǐng)求重定向到登錄頁(yè)面,用戶輸入并提交用戶名和密碼�,網(wǎng)絡(luò)驗(yàn)證通過(guò)后用戶方可訪問(wèn)網(wǎng)絡(luò)業(yè)務(wù);基于WISPrl.0技術(shù),支持Web Portal認(rèn)證的終端均可支持WLAN國(guó)際漫游�����。
[0008]2.EAP-SM/AKA認(rèn)證及國(guó)際漫游實(shí)現(xiàn)
[0009]EAP-S頂/AKA是通過(guò)用戶(U) SM卡信息進(jìn)行認(rèn)證的一種方式�,與蜂窩認(rèn)證方式相同(有時(shí)也稱其為統(tǒng)一認(rèn)證方式),當(dāng)用戶使用SIM卡時(shí)�����,執(zhí)行SM認(rèn)證流程���,當(dāng)用戶使用USM卡時(shí)�,執(zhí)行AKA認(rèn)證流程,整個(gè)認(rèn)證過(guò)程不需要用戶介入任何手工操作����,完全由終端自動(dòng)完成���;I_WLAN中EAP-SIM/AKA認(rèn)證的國(guó)際漫游實(shí)現(xiàn)方法中���,終端提供格式為^homerealm!usernameiotherrealm^o 其中“homerealm”為用戶的歸屬域名,“otherrealm”為用戶的拜訪域名��。目前終端在國(guó)際漫游時(shí)并沒(méi)有嚴(yán)格按照1-WALN的規(guī)定來(lái)執(zhí)行���,而是發(fā)出了與本地接入一樣的格式為“usernameOhomerealm”的NAI,但通過(guò)rfc5580中Type為126的“ Operator-Name ”屬性可傳遞用戶拜訪域信息��。
[0010]3.PEAP認(rèn)證(WLAN無(wú)感知認(rèn)證)
[0011]PEAP認(rèn)證目前有PEAPvO���、PEAPvl和ΡΕΑΡν2三個(gè)版本,均為互聯(lián)網(wǎng)草案��。PEAP認(rèn)證分兩個(gè)階段完成:第一個(gè)階段由終端和認(rèn)證服務(wù)器之間建立TLS隧道�。此階段是由終端基于證書(shū)驗(yàn)證網(wǎng)絡(luò)側(cè)認(rèn)證服務(wù)器的合法性�,并由二者協(xié)商建立起TLS安全傳輸隧道���。第二個(gè)階段是在TLS隧道內(nèi)由用戶終端和認(rèn)證服務(wù)器之間進(jìn)行MS-CHAPv2認(rèn)證交互���,網(wǎng)絡(luò)側(cè)服務(wù)器驗(yàn)證用戶終端的合法性。
[0012]然而上述方案均難以給用戶提供良好的WLAN國(guó)際漫游體驗(yàn):1) Web Portal的國(guó)際漫游需要用戶手動(dòng)輸入�����,體驗(yàn)較為繁瑣����。2)EAP-SM/AKA認(rèn)證可以實(shí)現(xiàn)無(wú)用戶干預(yù)的WLAN漫游接入,但沒(méi)有覆蓋Android和Window Mobile Phone等主流智能終端�����。3)PEAP認(rèn)證可覆蓋現(xiàn)有主流智能終端����,但由于其認(rèn)證是在TLS隧道內(nèi)完成,拜訪地服務(wù)器成為本地終端以及漫游終端的認(rèn)證流程的終結(jié)點(diǎn)�,不能實(shí)現(xiàn)漫游場(chǎng)景下的對(duì)漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)和認(rèn)證,導(dǎo)致終端無(wú)法在國(guó)際漫游場(chǎng)景下使用���。
【發(fā)明內(nèi)容】
[0013]本發(fā)明要解決的技術(shù)問(wèn)題是提供一種漫游終端的認(rèn)證方法��、裝置及服務(wù)器�。可以實(shí)現(xiàn)PEAP認(rèn)證的國(guó)際漫游���,從而為現(xiàn)有主流智能終端都提供無(wú)需用戶干預(yù)的國(guó)際漫游接入�����。
[0014]為解決上述技術(shù)問(wèn)題,本發(fā)明的實(shí)施例提供一種漫游終端的認(rèn)證方法���,應(yīng)用于拜訪地服務(wù)器�����,包括:
[0015]通過(guò)第一 TLS隧道與終端協(xié)商�����,確定認(rèn)證過(guò)程使用的PEAP版本���;
[0016]通過(guò)所述第一 TLS隧道接收所述終端發(fā)送的認(rèn)證信息���;
[0017]根據(jù)所述認(rèn)證信息確定漫游終端的歸屬地服務(wù)器;
[0018]根據(jù)所述漫游終端使用的PEAP版本��,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器���,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。
[0019]其中���,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼;
[0020]根據(jù)所述認(rèn)證信息確定所述漫游終端的歸屬地服務(wù)器的步驟具體為:
[0021]根據(jù)所述漫游終端的真實(shí)用戶名確定所述漫游終端的歸屬地服務(wù)器���。
[0022]其中�,根據(jù)所述漫游終端使用的PEAP版本����,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括:
[0023]若所述PEAP版本為PEAPV0�,則與所述漫游終端的歸屬地服務(wù)器建立第二 TLS隧道,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器���,并通過(guò)所述第一 TLS隧道�、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證;
[0024]若所述PEAP版本為PEAPVl或PEAPv2�����,則將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器���,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證���。
[0025]其中,通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息����,并通過(guò)所述第一 TLS隧道�、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括:
[0026]通過(guò)第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器;
[0027]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息�,并通過(guò)所述第一TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端;[0028]通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息���,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器�����;
[0029]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息�,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端;
[0030]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息��,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器���;
[0031]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息����,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端���。
[0032]其中����,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器��,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括:
[0033]將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器���;
[0034]接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息�����,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端�;
[0035]通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器�����;
[0036]接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息���,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端�;
[0037]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息����,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器;
[0038]接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息�����,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端��。
[0039]本發(fā)明的實(shí)施例還提供一種漫游終端的認(rèn)證裝置���,應(yīng)用于拜訪地服務(wù)器,包括:
[0040]第一確定模塊���,用于通過(guò)第一 TLS隧道與所述終端協(xié)商���,確定認(rèn)證過(guò)程使用的PEAP版本�����;
[0041]接收模塊����,用于通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的認(rèn)證信息���;
[0042]第二確定模塊�,用于根據(jù)所述認(rèn)證信息確定所述漫游終端的歸屬地服務(wù)器�;
[0043]認(rèn)證擴(kuò)展模塊,用于根據(jù)所述漫游終端使用的PEAP版本�,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。
[0044]其中��,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼�����;
[0045]所述第二確定模塊具體用于:根據(jù)所述漫游終端的真實(shí)用戶名確定所述漫游終端的歸屬地服務(wù)器。
[0046]其中���,所述認(rèn)證擴(kuò)展模塊包括:
[0047]第一認(rèn)證子模塊����,用于在所述PEAP版本為PEAPVO時(shí)���,與所述漫游終端的歸屬地服務(wù)器建立第二 TLS隧道�����,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器��,并通過(guò)所述第一 TLS隧道���、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�;
[0048]第二認(rèn)證子模塊,用于在所述PEAP版本為PEAPVl或PEAPv2時(shí)����,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證。
[0049]其中��,所述第一認(rèn)證子模塊具體用于:
[0050]通過(guò)第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器���;
[0051]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息����,并通過(guò)所述第一TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端���;
[0052]通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息����,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器;
[0053]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端����;
[0054]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器;
[0055]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息��,并通過(guò)所述第一 TLS轉(zhuǎn)發(fā)給所述漫游終端�����。
[0056]其中����,所述第二認(rèn)證子模塊具體用于:
[0057]將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器;
[0058]接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息��,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端�;
[0059]通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息�����,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器;
[0060]接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端;
[0061]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息�����,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器��;
[0062]接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息�����,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端����。
[0063]本發(fā)明的實(shí)施例還提供一種服務(wù)器���,包括:如上所述的漫游終端的認(rèn)證裝置。
[0064]其中�����,上述服務(wù)器還包括:
[0065]接口模塊�����,用于在漫游終端的拜訪地服務(wù)器所屬的WLAN與歸屬地服務(wù)器所屬的WLAN直接組網(wǎng)時(shí)�����,進(jìn)行網(wǎng)絡(luò)拓?fù)涞碾[藏和漫游匯聚���,并作為所述漫游終端接入認(rèn)證的安全篩選點(diǎn)���;或者
[0066]用于將漫游終端的認(rèn)證過(guò)程中的所有消息發(fā)送給第三方中轉(zhuǎn)服務(wù)器,并接收所述第三方中轉(zhuǎn)服務(wù)器轉(zhuǎn)發(fā)的來(lái)自所述漫游終端的歸屬地服務(wù)器的所有消息��。
[0067]其中�,上述服務(wù)器還包括:
[0068]本地認(rèn)證模塊��,用于根據(jù)終端的認(rèn)證信息確定所述終端為本地終端時(shí)�,通過(guò)與所述本地終端之間的第三TLS隧道完成PEAP認(rèn)證��。
[0069]本發(fā)明的上述技術(shù)方案的有益效果如下:
[0070]上述方案中�����,通過(guò)第一 TLS隧道與所述終端協(xié)商��,確定認(rèn)證過(guò)程使用的PEAP版本�����;通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的認(rèn)證信息��;根據(jù)所述認(rèn)證信息確定所述漫游終端的歸屬地服務(wù)器��;根據(jù)所述漫游終端使用的PEAP版本��,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證��;從而實(shí)現(xiàn)了對(duì)PEAP認(rèn)證國(guó)際漫游場(chǎng)景的擴(kuò)展���。
【專利附圖】
【附圖說(shuō)明】
[0071]圖1為本發(fā)明的漫游終端的認(rèn)證方法的流程示意圖���;
[0072]圖2為本發(fā)明的漫游終端的認(rèn)證方法的應(yīng)用場(chǎng)景流程示意圖�;
[0073]圖3為本發(fā)明的漫游終端的認(rèn)證裝置的結(jié)構(gòu)示意圖�;
[0074]圖4為本發(fā)明的服務(wù)器的結(jié)構(gòu)示意圖;
[0075]圖5為本發(fā)明的漫游終端的拜訪地服務(wù)器和歸屬地服務(wù)器的組網(wǎng)架構(gòu)示意圖�。【具體實(shí)施方式】
[0076]為使本發(fā)明要解決的技術(shù)問(wèn)題���、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖及具體實(shí)施例進(jìn)行詳細(xì)描述���。
[0077]如圖1所示���,本發(fā)明的實(shí)施例提供一種漫游終端的認(rèn)證方法,應(yīng)用于拜訪地服務(wù)器�����,其中,該拜訪地服務(wù)器為AAA服務(wù)器�,該方法包括:
[0078]步驟11,通過(guò)第一 TLS(安全傳輸)隧道與所述終端協(xié)商���,確定認(rèn)證過(guò)程使用的PEAP認(rèn)證版本�����;其中����,該第一 TLS隧道為拜訪地服務(wù)器與終端之間建立的TLS隧道����;
[0079]步驟12���,通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的認(rèn)證信息���;
[0080]步驟13,根據(jù)所述認(rèn)證信息確定所述漫游終端的歸屬地服務(wù)器�;
[0081 ] 步驟14,根據(jù)所述漫游終端使用的PEAP版本��,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。
[0082]該實(shí)施例通過(guò)根據(jù)所述漫游終端使用的PEAP版本�����,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證;從而實(shí)現(xiàn)了對(duì)PEAP認(rèn)證國(guó)際漫游場(chǎng)景的擴(kuò)展���。
[0083]其中���,上述實(shí)施例中,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼����;該真實(shí)用戶名可以是如:終端的手機(jī)號(hào)碼;上述步驟13具體為:根據(jù)所述漫游終端的真實(shí)用戶名(如手機(jī)號(hào)碼)確定所述漫游終端的歸屬地服務(wù)器����。
[0084]在本發(fā)明的另一實(shí)施例�����,包括上述步驟11 - 13的基礎(chǔ)上�����,步驟14包括:
[0085]步驟141�����,若所述PEAP版本為PEAPV0����,則與所述漫游終端的歸屬地服務(wù)器建立第
二TLS隧道�,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述第一 TLS隧道�、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����;
[0086]步驟142��,若所述PEAP版本為PEAPVl或PEAPv2��,則將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證���。
[0087]其中��,步驟141中��,通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息��,并通過(guò)所述第一 TLS隧道����、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的包括:
[0088]步驟1411�����,通過(guò)第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器����;
[0089]步驟1412,通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息���,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端��;
[0090]步驟1413���,通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息����,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器�����;
[0091]步驟1414��,通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息�,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端;
[0092]步驟1415��,通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息����,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器;
[0093]步驟1416���,通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端�����。
[0094]另外,上述步驟142中��,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的包括:
[0095]步驟1421�,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器;
[0096]步驟1422���,接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息�����,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端����;
[0097]步驟1423�����,通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息���,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器�����;
[0098]步驟1424���,接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息���,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端;
[0099]步驟1425�,通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器�����;
[0100]步驟1426�,接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息,并通過(guò)所述第一TLS隧道轉(zhuǎn)發(fā)給所述漫游終端�。
[0101]下面結(jié)合圖2說(shuō)明上述流程的具體應(yīng)用場(chǎng)景實(shí)現(xiàn)過(guò)程,如圖2所示�����,包括:
[0102]1.終端交付匿名��,使用證書(shū)與拜訪地服務(wù)器(3GPP AAA Server)建立第一 TLS隧道,協(xié)商認(rèn)證使用的PEAP版本��;
[0103]2.終端在第一 TLS隧道內(nèi)交付自己的認(rèn)證信息���,其中,該認(rèn)證信息包括:真實(shí)用戶名(手機(jī)號(hào)碼)和密碼���;
[0104]3.拜訪地服務(wù)器依據(jù)終端的手機(jī)號(hào)碼區(qū)分出該終端是本地用戶還是漫游用戶�����;
[0105]4.拜訪地服務(wù)器依據(jù)用戶歸屬及認(rèn)證版本做選擇性處理:
[0106]4.1)對(duì)本地用戶��,本地終端直接與拜訪地服務(wù)器做標(biāo)準(zhǔn)的PEAP認(rèn)證流程�,即在第一 TLS隧道內(nèi)進(jìn)行MS-CHAPv2流程��,從而完成對(duì)本地終端的PEAP認(rèn)證����;
[0107]4.2)對(duì)漫游用戶,拜訪服務(wù)器將漫游終端的認(rèn)證信息全部轉(zhuǎn)發(fā)至其歸屬地:
[0108]4.2.1)對(duì)使用PEAPvO版本認(rèn)證的漫游用戶�����,拜訪地服務(wù)器將和歸屬地服務(wù)器(3GPP AAA Server)將建立起第二 TLS隧道��,并在第二隧道內(nèi)依據(jù)MS_CHAPv2的流程進(jìn)行用戶信息的驗(yàn)證;
[0109]4.2.2)對(duì)使用PEAPvl或PEAPv2版本認(rèn)證的漫游用戶��,拜訪地服務(wù)器將和歸屬地服務(wù)器依據(jù)MS-CHAPv2的流程傳遞標(biāo)準(zhǔn)的Radius消息進(jìn)行用戶信息的驗(yàn)證����。[0110]本發(fā)明的上述實(shí)施例首先在漫游終端和拜訪地服務(wù)器之間進(jìn)行標(biāo)準(zhǔn)的PEAP認(rèn)證,即第一階段建立漫游終端和拜訪地服務(wù)器之間的第一 TLS隧道���,第二階段在第一隧道內(nèi)進(jìn)行MS-CHAPv2交互����。其次�,在拜訪地服務(wù)器內(nèi)對(duì)用戶在第一 TLS隧道內(nèi)傳遞的認(rèn)證信息進(jìn)行識(shí)別,甄別出本地用戶和漫游用戶�,以及用戶所使用的PEAP認(rèn)證的具體版本。最后����,對(duì)本地用戶的認(rèn)證信息,拜訪地服務(wù)器將依據(jù)標(biāo)準(zhǔn)PEAP流程處理��;對(duì)于被判定是漫游用戶的認(rèn)證信息�,I)當(dāng)用戶使用PEAPvO認(rèn)證,拜訪地服務(wù)器將和歸屬地服務(wù)器建立起第二 TLS隧道,并在第二 TLS隧道內(nèi)依據(jù)MS-CHAPv2的流程進(jìn)行用戶信息的驗(yàn)證����。2)當(dāng)用戶使用PEAPvl或PEAPv2認(rèn)證,拜訪地服務(wù)器將和歸屬地服務(wù)器依據(jù)MS-CHAPv2的流程傳遞標(biāo)準(zhǔn)的Radius消息進(jìn)行用戶信息的驗(yàn)證���;從而讓拜訪地服務(wù)器在第一 TLS隧道內(nèi)識(shí)別出漫游用戶的歸屬及用戶PEAP認(rèn)證版本,并以上述信息為依據(jù)與用戶歸屬的服務(wù)器之間建立標(biāo)準(zhǔn)的PEAP交互過(guò)程或標(biāo)準(zhǔn)的MS-CHAPv2過(guò)程�����,將漫游用戶的認(rèn)證信息發(fā)回其歸屬服務(wù)器進(jìn)行驗(yàn)證�。實(shí)施該方案后,拜訪地服務(wù)器不再僅是本地用戶PEAP認(rèn)證隧道的終結(jié)點(diǎn)�����,還是漫游用戶PEAP認(rèn)證的中轉(zhuǎn)點(diǎn)���,從而也使得WLAN用戶可使用PEAP認(rèn)證進(jìn)行WLAN國(guó)際漫游�。其中��,上述的MS-CHAPv2過(guò)程如步驟1411 一步驟1416所示的過(guò)程或者步驟1421 —步驟1426所示的過(guò)程����。
[0111]如圖3所示��,本發(fā)明的實(shí)施例還提供一種漫游終端的認(rèn)證裝置20�,應(yīng)用于拜訪地服務(wù)器�,包括:
[0112]第一確定模塊21,用于通過(guò)第一 TLS隧道與終端協(xié)商��,確定認(rèn)證過(guò)程使用的PEAP認(rèn)證版本���;
[0113]接收模塊22���,用于通過(guò)所述第一 TLS隧道接收所述終端發(fā)送的認(rèn)證信息;
[0114]第二確定模塊23��,用于根據(jù)所述認(rèn)證信息確定漫游終端的歸屬地服務(wù)器��;
[0115]認(rèn)證擴(kuò)展模塊24�����,用于根據(jù)所述漫游終端使用的PEAP認(rèn)證版本���,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證��。
[0116]其中�����,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼�;
[0117]所述第二確定模塊具體用于:根據(jù)所述漫游終端的真實(shí)用戶名確定所述漫游終端的歸屬地服務(wù)器��。
[0118]其中����,所述認(rèn)證擴(kuò)展模塊包括:
[0119]第一認(rèn)證子模塊,用于在所述PEAP版本為PEAPVO時(shí)��,與所述漫游終端的歸屬地服務(wù)器建立第二 TLS隧道���,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器���,并通過(guò)所述第一 TLS隧道、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�;
[0120]第二認(rèn)證子模塊�,用于在所述PEAP版本為PEAPVl或PEAPv2時(shí)�,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證����。
[0121]其中,所述第一認(rèn)證子模塊具體用于:
[0122]通過(guò)第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器����;
[0123]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息,并通過(guò)所述第一TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端�;[0124]通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器��;
[0125]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息���,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端���;
[0126]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器����;
[0127]通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端�����。
[0128]其中,所述第二認(rèn)證子模塊具體用于:
[0129]將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器����;
[0130]接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端����;
[0131]通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器�����;
[0132]接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息���,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端;
[0133]通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息���,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器�����;
[0134]接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息��,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端���。
[0135]需要說(shuō)明的是:該裝置是與上述圖1和圖2所示的方法對(duì)應(yīng)的裝置���,上述方法實(shí)施例中的所有實(shí)現(xiàn)方式均適用于該裝置實(shí)施例中,也能達(dá)到相同的技術(shù)效果�。
[0136]如圖4所示,本發(fā)明的實(shí)施例還提供一種服務(wù)器40�,包括:如上所述的漫游終端的認(rèn)證裝置20。其中���,上述服務(wù)器40還包括:
[0137]接口模塊31�,用于在漫游終端的拜訪地服務(wù)器所屬的WLAN與歸屬地服務(wù)器所屬的WLAN直接組網(wǎng)時(shí)�����,進(jìn)行網(wǎng)絡(luò)拓?fù)涞碾[藏和漫游匯聚�,并作為所述漫游終端接入認(rèn)證的安全篩選點(diǎn);或者
[0138]用于將漫游終端的認(rèn)證過(guò)程中的所有消息發(fā)送給第三方中轉(zhuǎn)服務(wù)器��,并接收所述第三方中轉(zhuǎn)服務(wù)器轉(zhuǎn)發(fā)的來(lái)自所述漫游終端的歸屬地服務(wù)器的所有消息��。
[0139]其中���,上述服務(wù)器40還包括:本地認(rèn)證模塊30�����,用于根據(jù)終端的認(rèn)證信息確定所述終端為本地終端時(shí)����,通過(guò)與所述本地終端之間的第三TLS隧道完成PEAP認(rèn)證,其中��,該第三TLS隧道與上述第一 TLS的功能相同����。
[0140]具體的,該服務(wù)器作為漫游終端的拜訪地服務(wù)器時(shí)���,通過(guò)該拜訪地服務(wù)器實(shí)現(xiàn)PEAP認(rèn)證的國(guó)際漫游系統(tǒng)的組網(wǎng)架構(gòu)如圖5所示����,拜訪地WLAN網(wǎng)絡(luò)和歸屬地WLAN網(wǎng)絡(luò)可以采取直連組網(wǎng)����,也可以通過(guò)第三方轉(zhuǎn)接商(AAA代理服務(wù)器)轉(zhuǎn)接�。當(dāng)采取直連組網(wǎng)時(shí)���,運(yùn)營(yíng)商雙方均應(yīng)建立關(guān)口局(即上述接口模塊)進(jìn)行網(wǎng)絡(luò)拓?fù)涞碾[藏、漫游匯聚�,同時(shí)作為接入認(rèn)證的安全篩選點(diǎn)。
[0141]本發(fā)明的上述方法提出一種在國(guó)際漫游場(chǎng)景下使用PEAP認(rèn)證的WLAN接入實(shí)現(xiàn)方法���,對(duì)用戶的認(rèn)證信息進(jìn)行甄別�,當(dāng)拜訪地服務(wù)器判定用戶為漫游用戶時(shí)����,一方面繼續(xù)與終端的TLS隧道內(nèi)信息交互,另一方面與歸屬地服務(wù)器進(jìn)行隧道外的信息交互�,實(shí)現(xiàn)了對(duì)PEAP認(rèn)證國(guó)際漫游場(chǎng)景的擴(kuò)展。
[0142]以上所述是本發(fā)明的優(yōu)選實(shí)施方式���,應(yīng)當(dāng)指出����,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來(lái)說(shuō)��,在不脫離本發(fā)明所述原理的前提下�,還可以作出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種漫游終端的認(rèn)證方法��,應(yīng)用于拜訪地服務(wù)器�����,其特征在于����,包括: 通過(guò)第一 TLS隧道與終端協(xié)商,確定認(rèn)證過(guò)程使用的PEAP認(rèn)證版本����; 通過(guò)所述第一 TLS隧道接收所述終端發(fā)送的認(rèn)證信息; 根據(jù)所述認(rèn)證信息確定漫游終端的歸屬地服務(wù)器���; 根據(jù)所述漫游終端使用的PEAP版本�����,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器��,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。
2.根據(jù)權(quán)利要求1所述的漫游終端的認(rèn)證方法��,其特征在于���,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼; 根據(jù)所述認(rèn)證信息確定所述漫游終端的歸屬地服務(wù)器的步驟具體為: 根據(jù)所述漫游終端的真實(shí)用戶名確定所述漫游終端的歸屬地服務(wù)器�����。
3.根據(jù)權(quán)利要求1所述的漫游終端的認(rèn)證方法����,其特征在于,根據(jù)所述漫游終端使用的PEAP版本��,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括: 若所述PEAP版本為PEAPVO,則與所述漫游終端的歸屬地服務(wù)器建立第二 TLS隧道��,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�����,并通過(guò)所述第一 TLS隧道、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證����; 若所述PEAP版本為PEAPVl或PEAPv2,則將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地 服務(wù)器���,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����。
4.根據(jù)權(quán)利要求3所述的漫游終端的認(rèn)證方法�,其特征在于�����,通過(guò)所述第二TLS隧道將所述漫游終端的認(rèn)證信息�����,并通過(guò)所述第一 TLS隧道��、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括: 通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器�; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端����; 通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器�; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息,并通過(guò)所述第一TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端���; 通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息��,并通過(guò)所述第二TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器���; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端���。
5.根據(jù)權(quán)利要求3所述的漫游終端的認(rèn)證方法��,其特征在于����,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證的步驟包括: 將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器���; 接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息�����,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端�;通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器���; 接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息��,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端�; 通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息�����,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器���; 接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息�����,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端����。
6.一種漫游終端的認(rèn)證裝置,應(yīng)用于拜訪地服務(wù)器�����,其特征在于�,包括: 第一確定模塊����,用于通過(guò)第一 TLS隧道與終端協(xié)商,確定認(rèn)證過(guò)程使用的PEAP認(rèn)證版本�; 接收模塊,用于通過(guò)所述第一 TLS隧道接收所述終端發(fā)送的認(rèn)證信息����; 第二確定模塊,用于根據(jù)所述認(rèn)證信息確定漫游終端的歸屬地服務(wù)器��; 認(rèn)證擴(kuò)展模塊���,用于根據(jù)所述漫游終端使用的PEAP版本�����,將所述認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證。
7.根據(jù)權(quán)利要求6所述的漫游終端的認(rèn)證裝置���,其特征在于�����,所述認(rèn)證信息包括:漫游終端的真實(shí)用戶名和密碼�����;· 所述第二確定模塊具體用于:根據(jù)所述漫游終端的真實(shí)用戶名確定所述漫游終端的歸屬地服務(wù)器���。
8.根據(jù)權(quán)利要求6所述的漫游終端的認(rèn)證裝置,其特征在于��,所述認(rèn)證擴(kuò)展模塊包括: 第一認(rèn)證子模塊����,用于在所述PEAP版本為PEAPVO時(shí),與所述漫游終端的歸屬地服務(wù)器建立第二 TLS隧道�,并通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器,并通過(guò)所述第一 TLS隧道���、所述第二 TLS隧道和所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證�����; 第二認(rèn)證子模塊�����,用于在所述PEAP版本為PEAPVl或PEAPv2時(shí)�,將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述漫游終端的歸屬地服務(wù)器�����,并通過(guò)所述歸屬地服務(wù)器完成對(duì)所述漫游終端的PEAP認(rèn)證���。
9.根據(jù)權(quán)利要求8所述的漫游終端的認(rèn)證裝置���,其特征在于,所述第一認(rèn)證子模塊具體用于: 通過(guò)所述第二 TLS隧道將所述漫游終端的認(rèn)證信息發(fā)送給所述歸屬地服務(wù)器�����; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息�,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端����; 通過(guò)所述第一 TLS隧道接收所述漫游終發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息�,并通過(guò)所述第二 TLS隧道將所述挑戰(zhàn)消息的回復(fù)消息發(fā)送給所述歸屬地服務(wù)器; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息���,并通過(guò)所述第一TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端����; 通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息��,并通過(guò)所述第二TLS隧道將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器����; 通過(guò)所述第二 TLS隧道接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端���。
10.根據(jù)權(quán)利要求8所述的漫游終端的認(rèn)證裝置��,其特征在于���,所述第二認(rèn)證子模塊具體用于: 將所述漫游終端的認(rèn)證信息直接轉(zhuǎn)發(fā)給所述歸屬地服務(wù)器; 接收所述歸屬地服務(wù)器返回的挑戰(zhàn)消息,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)消息轉(zhuǎn)發(fā)給所述漫游終端���; 通過(guò)所述第一 TLS隧道接收所述漫游終端發(fā)送的所述挑戰(zhàn)消息的回復(fù)消息��,并將所述挑戰(zhàn)消息的回復(fù)消息直接轉(zhuǎn)發(fā)所述歸屬地服務(wù)器�����; 接收所述歸屬地服務(wù)器發(fā)送的挑戰(zhàn)成功的消息��,并通過(guò)所述第一 TLS隧道將所述挑戰(zhàn)成功的消息發(fā)送給所述漫游終端�; 通過(guò)所述第一 TLS隧道接收所述漫游終端回應(yīng)的挑戰(zhàn)成功的應(yīng)答消息�����,并將所述挑戰(zhàn)成功的應(yīng)答消息轉(zhuǎn)發(fā)至所述歸屬地服務(wù)器�����; 接收所述歸屬地服務(wù)器發(fā)送的PEAP認(rèn)證成功的消息�,并通過(guò)所述第一 TLS隧道轉(zhuǎn)發(fā)給所述漫游終端�。
11.一種服務(wù)器,其特征在于����,包括:如權(quán)利要求6 — 10任一項(xiàng)所述的漫游終端的認(rèn)證裝置��。
12.根據(jù)權(quán) 利要求11所述的服務(wù)器���,其特征在于,還包括: 接口模塊�����,用于在漫游終端的拜訪地服務(wù)器所屬的WLAN與歸屬地服務(wù)器所屬的WLAN直接組網(wǎng)時(shí)�����,進(jìn)行網(wǎng)絡(luò)拓?fù)涞碾[藏和漫游匯聚��,并作為所述漫游終端接入認(rèn)證的安全篩選點(diǎn)����;或者 用于將漫游終端的認(rèn)證過(guò)程中的所有消息發(fā)送給代理服務(wù)器,并接收所述代理服務(wù)器轉(zhuǎn)發(fā)的來(lái)自所述漫游終端的歸屬地服務(wù)器的所有消息��。
13.根據(jù)權(quán)利要求11所述的服務(wù)器��,其特征在于�,還包括: 本地認(rèn)證模塊�����,用于根據(jù)終端的認(rèn)證信息確定所述終端為本地終端時(shí)����,通過(guò)與所述本地終端之間的第三TLS隧道完成PEAP認(rèn)證���。
【文檔編號(hào)】H04W8/06GK103856933SQ201210506105
【公開(kāi)日】2014年6月11日 申請(qǐng)日期:2012年11月30日 優(yōu)先權(quán)日:2012年11月30日
【發(fā)明者】王楨珍, 侯志強(qiáng) 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司