专利名称:一种预认证方法、设备及系统的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及在多认证者场景下的一种预认证方法、设备及系统。
背景技术:
EAP架构通常包括客户端认证者(Authenticator),认证、授权和计费 (Authentication Authorization and Accounting, AAA)服务器 /EAP 服务器三个重要部 件。认证者一般位于网络边缘位置,与AAA服务器/EAP服务器可以耦合在一起,也可以分 离独立存在。该架构提供对客户端设备的认证授权功能,EAP协议中的EAP方法用于生成 密钥材料如主会话密钥(Master Session Key,MSK)和扩展主会话密钥(Extended Master Session Key, EMSK)。MSK主要用于EAP底层协议,而EMSK用于保护客户端和AAA服务器 之间的交互。由于完整的EAP过程一般需要两个以上的来回交互,所以常常会造成认证和 授权的大量时延。为了减少这类切换时延,重用初始认证生成的密钥和状态信息以及避免 使用非对称密钥的机制被很多方法采用。但交互次数随着使用的EAP方法不同,改进的程 度也不同,而且不管如何改进,,都需要至少两次来回交互才能完成认证和授权过程。这种 切换时延对于某些实时应用来说时不可接受的。为了支持快速切换,常常需要避免基于AAA的完整认证,因为完整认证需要与移 动节点的家乡AAA服务器经过多个来回交互才能完成认证,带来比较长的切换时延。快速 切换中常用的EAP认证方法包括EAP重认证和EAP预认证。EAP重认证的主要思想是引入 本地EAP服务器机制,通过重用初始全认证中的密钥材料来避免移动终端切换过程中过多 的基于EAP的AAA消息,而EAP预认证的主要思想是在移动终端切换之前预先生成MSK,用 于移动终端与候选认证者(Candidate Authenticator, CA)的认证。发明人在研究过程中发现,上述现有技术中,在EAP客户端与AAA服务器交互过程 中,通常需要跨越两个认证者,即当前认证者(Serving Authenticator, SA)和候选认证者 CA,此时,两个认证者既无法判断客户端发送的是普通认证请求还是预认证请求,也无法判 断自身是否需要与AAA服务器进行交互以完成预认证过程,因此,会引起预认证的失败,造 成切换时延。
发明内容
本发明实施例提供了一种预认证方法、设备和系统。通过实施本发明,能够使当前 认证者和候选认证者正确区分预认证消息,使用预认证过程获取的预认证密钥保护移动节 点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。本发明实施例所述预认证方法包括接收预认证消息,所述预认证消息中携带预 认证选项;根据所述预认证消息确定需要进行预认证的移动节点;向AAA服务器发送认证 请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;接收 所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点。本发明实施例所述预认证设备包括第一接收单元,用于接收预认证消息,所述预认证消息中携带预认证选项;确定单元,用于根据所述预认证消息确定需要进行预认证的 移动节点;第一发送单元,用于向AAA服务器发送认证请求消息,请求对所述移动节点进行 认证,所述认证请求消息中携带所述预认证选项;第二接收单元,用于接收所述AAA服务器 发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密 钥;第二发送单元,用于将所述预认证密钥发送给所述移动节点。本发明实施例所述预认证系统包括预认证设备和AAA服务器,其中,所述预认证 设备,用于接收预认证消息,所述预认证消息中携带预认证选项,根据所述预认证消息确定 需要进行预认证的移动节点,向AAA服务器发送认证请求消息,请求对所述移动节点进行 认证,所述认证请求消息中携带所述预认证选项,接收所述AAA服务器发送的认证响应消 息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证 密钥发送给所述移动节点;所述AAA服务器,用于接收所述预认证设备发送的认证请求消 息,根据所述认证请求消息生成所述候选认证者和所述移动节点间的预认证密钥,将所述 预认证密钥携带在所述认证响应消息中发送给所述预认证设备。通过实施本发明上述实施例,可以使当前认证者或者候选认证者正确识别预认证 消息,在收到预认证消息后,通过AAA服务器获取候选认证者与移动节点之间的预认证密 钥,使移动节点切换到候选认证者之后,可以使用所述预认证密钥保护移动节点和候选认 证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的 附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领 域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的 附图。图1为本发明所述预认证方法的一个实施例的流程示意图;图2为本发明所述预认证方法的另一个实施例的流程示意图;图3为本发明所述预认证方法的另一个实施例的流程示意图;图4为本发明所述预认证方法的另一个实施例的流程示意图;图5为本发明所述预认证方法的另一个实施例的流程示意图;图6为本发明所述预认证设备的一个实施例的结构示意图;图7为本发明所述预认证设备的另一个实施例的结构示意图;图8为本发明所述预认证设备的另一个实施例的结构示意图;图9为本发明所述预认证系统的一个实施例的结构示意图。
具体实施例方式以下结合附图和实施例对本发明进行详细描述。如图1所示,为本发明一个实施例中实现预认证的方法的流程示意图。所述方法 包括
10、接收预认证消息,所述预认证消息中携带预认证选项。
所述预认证消息可以是作为客户端的移动节点发出的,也可以是移动节点的当前 认证者发出的,所述预认证选项可以是预认证开始标识(Pre-auth Start)或者候选认证者 标识CA_ID,用于表明所述预认证消息的用途。11、根据所述预认证消息确定需要进行预认证的移动节点。当所述预认证消息由移动节点发出时,则所述预认证消息的源节点即为需要进行 预认证的移动节点;当所述预认证消息由当前认证者发出时,根据所述预认证消息的内容 确定需要进行预认证的移动节点。12、向AAA服务器发送认证请求消息,所述认证请求中携带所述预认证选项。所述 认证请求的目的是请求AAA服务器对作为客户端的移动节点进行认证,并生成候选认证者 和移动节点间的预认证密钥。所述认证请求消息中需要携带与预认证选项,所述预认证选 项与步骤10中的预认证选项相同,具体可以是候选认证者标识CA_ID,该候选认证者标识 可以携带在所述预认证选项中CA_ID,也可以携带在单独的选项中。13、接收AAA服务器发送的认证响应消息,所述认证响应消息中携带移动节点和 候选认证者之间的预认证密钥。AAA服务器在对移动节点认证通过后,根据所述预认证选项 和其他密钥材料生成移动节点和候选认证者间的预认证密钥。并通过认证响应消息将该预 认证密钥发送给候选认证者。14、将接收的预认证密钥发送给作为客户端的移动节点。其中,需要通过当前认证者SA将该预认证密钥发送给移动节点。移动节点收到该 预认证密钥后,即可认为与候选认证者间的预认证已经完成。当所述接收预认证消息的步骤是由候选认证者完成时,本发明实施例在步骤11 和12之间还可以包括建立预认证绑定关系的步骤。具体可以是候选认证者根据预认证消 息建立候选认证者和移动节点的预认证绑定关系,标注移动节点的认证状态为预认证状 态。本发明实施例中所述预认证密钥包括了候选认证者和移动节点之间的预认证密 钥,以及移动节点和AAA服务器之间的主会话密钥MSK和扩展主会话密钥EMSK。通过实施本发明实施例,候选认证者在收到认证消息后,根据其中携带的预认证 选项,能够确定该消息为预认证消息,进而发起预认证过程,使移动节点还没有附着到候选 认证者时就完成了与移动节点的认证过程,并在移动节点切换到候选认证者时,能够使用 预认证密钥对移动节点进行快速认证,减少了切换认证的时延。上述图1所示的方法,可以应用在移动节点切换时存在多个认证者(一个当前认 证者以及多个可能的候选认证者)的场景下,以下分别对本发明在这些场景下的应用进行 介绍。如图2所示,为本发明预认证方法的另一种实施例。本实施例中可以由当前认证 # (Serving Authenticator, SA) Wi^itlAilE# (Candidate Authenticator, CA)白勺胃 现,也可以由移动节点负责候选认证者CA的发现,即由SA或者移动节点在预认证开始前通 过发现机制获取了候选认证者标识CA_ID,其中CA_ID可以是CA的IP地址、CA的域名或者 其他可以唯一区别CA的标识。SA在预认证中承担Authenticator Relay的功能。本实施 例所述的方法包括
20、移动节点向当前认证者SA发起预认证请求,所述预认证请求中携带预认证选 项,请求SA为其选择候选认证者。所述预认证选项为预认证开始标识(Pre-auth start) 或者候选认证者标识CA_ID。需要说明的是,本步骤并不是必须的,当存在本步骤时,是终端 侧发起的预认证,而省略本步骤时,是网络侧发起的预认证。21、SA向移动节点发送预认证初始化消息,以请求移动节点确认是否发起预认证。 本步骤中,SA既可以主动向移动节点发送预认证初始化消息,也可以根据移动节点的请求 发送预认证初始化消息。该预认证初始化消息携带预认证选项。该预认证选项为预认证开 始标识(Pre-auth start)。该预认证初始化消息中可以携带CA_ID (SA进行CA发现时), 也可以不携带CA_ID(移动节点进行CA发现时)。该预认证初始化消息可以是携带预认证 开始标识的EAP发起消息(ΕΑΡ-Initiate)或者EAP请求消息(EAP-Req)。22、移动节点根据SA发送的预认证初始化消息向SA发送预认证确认消息,携带预 认证选项。该预认证选项可以为预认证指示标志(Pre-auth Indication),用于区分发起的 认证是预认证还是普通认证。该预认证确认消息中携带CA_ID,用来指出需要进行预认证的 CA。该预认证确认消息可以是携带预认证指示标志的EAP发起消息(ΕΑΡ-Initiate)或者 EAP 响应消息(EAP-Rsp)。23,SA根据该预认证确认消息中携带的CA_ID确定候选认证者。该CA_ID携带在 EAP发起消息(ΕΑΡ-Initiate)或者EAP响应消息(EAP-Rsp)的扩展的Peer_ID选项(Peer_ IDiCA_ID)或者单独的CA_ID选项中。24、SA将该预认证确认消息转发给通过该预认证确认消息确定的候选认证者CA。 SA在发送该消息的过程中,可以将作为预认证确认消息的EAP发起消息(ΕΑΡ-Initiate)或 者EAP响应消息(EAP-Rsp)通过三层协议承载。SA在转发该预认证确认消息的时候不对该 消息的内容进行修改。25、候选认证者CA收到预认证确认消息后,在本地建立相应的预认证绑定关系和 预认证状态,即建立移动节点和自身的绑定关系,并标注移动节点的认证状态为预认证。本 步骤中,CA可以根据该消息中的Peer_ID的扩展选项(Peer_ID@CA_ID)或者预认证指示标 志等预认证选项确认该消息为预认证确认消息。26、候选认证者CA向AAA服务器发送认证请求消息,请求AAA服务器对该移动节 点进行认证。该认证请求中携带预认证选项以及移动节点标识,该移动节点标识可以为网 络访问标识(Network Access Identifier, ΝΑΙ)或者移动节点的家乡域名。27、AAA服务器收到CA发送的认证请求消息后,对移动节点进行认证,认证通过 后,生成CA和移动节点间的预认证密钥,并向CA发送认证响应消息,该认证响应消息中携 带生成的CA和移动节点间的预认证密钥。28、CA收到AAA服务器发送的认证响应消息后,获取并保存其中的预认证密钥。29_210、CA通过SA向发送预认证确认消息的移动节点发送预认证成功消息,该预 认证成功消息中携带AAA服务器发送的预认证密钥,该预认证成功消息可以是携带预认证 密钥的EAP结束消息ΕΑΡ-Finish或者EAP成功消息EAP-Success。211、移动节点收到SA发送的预认证成功消息后,获取并保存其中的预认证密钥。 移动节点在获取到预认证密钥后,完成与AAA服务器之间的预认证。当移动节点附着在候 选认证者CA之后,就可以使用该预认证密钥保护移动节点与CA之间的通信。
此外,本发明实施例中,AAA服务器还可以生成自身和移动节点之间的主会话密钥 MSK和扩展主会话密钥EMSK,该MSK和EMSK同样可以由AAA服务器通过CA发送给丽。
本实施例由当前认证者根据移动节点的选择向候选认证者发送预认证消息,使候 选认证者在本地建立与移动节点的预认证绑定,并在AAA服务器对作为客户端的移动节点 认证通过后将AAA服务器生成的预认证密钥发送给移动节点和候选认证者,完成移动节点 与AAA服务器间的预认证,使移动节点在切换到候选认证者时,即可以用接收的预认证密 钥保护移动节点与候选认证者之间的通信,减少了切换认证的时延。本发明所述预认证方法中,还可以由候选认证者CA根据当前认证者SA的指示 发起预认证。如图3所示,为本发明预认证方法的另一实施例。本实施例中当前认证者 (Serving Authenticator, SA) Wi^itlAilE# (CandidateAuthenticator, CA)白勺胃%。* 发明实施例包括如下步骤30、当前认证者SA向候选认证者CA发送预认证发起指示消息,该预认证发起指示 消息携带预认证选项。该预认证选项具体可以为预认证指示标志(Pre-auth Indication), 用于区分发起的认证是预认证还是普通认证。此外,预认证发起指示消息还携带移动节点 标识。所述移动节点标识包括移动节点的地址、移动节点的域名或者移动节点的Peer_ID。31、候选认证者CA收到该预认证发起指示消息后,根据该预认证发起指示消息携 带的移动节点标识向移动节点发送预认证初始化消息。该预认证初始化消息携带预认证选 项,具体可以是携带预认证开始标识(Pre-auth start)的EAP发起消息(ΕΑΡ-Initiate) 或者EAP请求消息(EAP-Req)。32、移动节点根据CA发送的预认证发起指示消息向CA发送预认证确认消息,携带 预认证选项。该预认证确认消息具体可以是携带预认证指示标志(Pre-auth Indication) 的EAP发起消息(ΕΑΡ-Initiate)或者EAP响应消息(EAP-Rsp)。33、候选认证者收到该预认证确认消息后,在本地建立相应的预认证绑定关系和 预认证状态。即建立移动节点和自身的绑定关系,并标注移动节点的认证状态为预认证。本实施例的步骤34-39与图2所示实施例的步骤26-211基本相同,在此不再赘 述。本实施例中,当前认证者自动发现可能的候选认证者,并指示候选认证者向移动 节点发起预认证,避免了候选认证者在收到移动节点的预认证消息时不能确认该消息是普 通消息还是预认证消息而造成的切换认证延时问题。在本发明另一实施例中,当前认证者可以代替候选认证者向AAA服务器请求发起 对移动节点的预认证过程。如图4所示,为本发明所述预认证方法的另一实施例的流程 示意图。本实施例中可以由当前认证者(Serving Authenticator, SA)负责候选认证者 (Candidate Authenticator, CA)的发现,也可以由移动节点负责候选认证者CA的发现,即 由SA或者移动节点在预认证开始前通过发现机制获取了候选认证者标识CA_ID,其中CA_ ID可以是CA的IP地址、CA的域名或者其他可以唯一区别CA的标识。该方法包括40、移动节点向当前认证者SA发起预认证请求,该预认证请求中可以携带预认证 选项,以请求SA为其选择候选认证者。需要说明的是,本步骤并不是必须的,当存在本步骤 时,是终端侧发起的预认证,而省略本步骤时,是网络侧发起的预认证。41、SA向移动节点发送预认证初始化消息。本步骤中,SA既可以主动向移动节点发送预认证初始化消息,也可以根据移动节点的请求发送预认证初始化消息,携带预认证 选项。具体来说,该预认证初始化消息可以携带预认证开始标识(Pre-auth start),以请求 移动节点确认是否发起预认证。该预认证初始化消息中可以携带CA _ID(SA进行CA发现 时),也可以不携带CA_ID (移动节点进行CA发现时)。该预认证初始化消息可以是携带预 认证开始标识的EAP发起消息(ΕΑΡ-Initiate)或者EAP请求消息(EAP-Req)。42、移动节点根据SA发送的预认证初始化消息向SA发送预认证确认消息, 携带预认证选项。具体来说,该预认证确认消息可以携带预认证指示标志(Pre-auth Indication),用于区分发起的认证是预认证还是普通认证。该预认证确认消息中携带CA_ ID,用来指出移动节点选择的候选认证者CA。该预认证确认消息可以是携带预认证指示标 志的EAP发起消息(ΕΑΡ-Initiate)或者EAP响应消息(EAP-Rsp)。43、当前认证者SA根据接收的预认证确认消息确定候选认证者CA。44、当前认证者SA向AAA服务器发送认证请求消息,该认证请求消息中携带扩展 的Peer_ID选项(携带Peer_ID以及CA_ID)以及其他预认证选项,请求AAA服务器对移动 节点进行预认证。45、AAA服务器收到SA发送的认证请求消息后,对作为客户端的移动节点进行认 证,提取候选认证者标识CA_ID,在对移动节点认证通过后生成CA和移动节点间的预认证 密钥,向CA发送认证响应消息,该认证响应消息中携带该生成的预认证密钥。步骤46-49与图2所示实施例中的28-211基本相同,在此不再赘述。本实施例中,当前认证者收到移动节点发送的预认证确认消息后,代替候选认证 者向AAA服务器发起对移动节点进行预认证的请求,使AAA服务器向移动节点和候选认证 者分发预认证密钥。当移动节点切换到CA时,就可以使用AAA服务器分发的预认证密钥进 行快速认证,减少了切换认证延时。本发明实施例中,还可以由移动节点进行候选认证者的发现即获取候选认证者的 标识CA_ID,并在发现候选认证者后,主动发起预认证过程。如图5所示,为本发明实施例中 MN主动发起预认证过程的流程示意图。包括50、移动节点向当前认证者SA发送预认证初始化消息,携带预认证选项。具体来 说,该预认证初始化消息可以是携带候选认证者标识CA_ID或者候选认证者对应的二层链 路标识BS_ID的EAP发起消息(ΕΑΡ-Initiate)或者EAP请求消息(EAP-Req)。该CA_ID 或者BS_ID可以作为预认证初始化消息的选项独立存在,也可以作为Peer_ID的扩展选项 (以 Peer_ID@CA_ID 或 Peer_ID@BS_ID 的形式)存在。51、SA接收该预认证初始化消息,通过该消息中携带的CA_ID或BS_ID确认该消 息为预认证初始化消息后,直接获得CA或通过查询二层链路标识与三层链路标识的映射 获得候选认证者CA (当该消息中携带的BS_ID时),将该消息不做改动通过三层协议承载发 送给候选认证者CA。52、CA通过接收的预认证初始化消息中的预认证选项确认该预认证初始化消息用 于进行预认证请求后,在本地建立相应的预认证绑定关系和预认证状态,即建立移动节点 和CA的绑定关系,并标注移动节点的认证状态为预认证。本实施例中步骤53-58与图2所示实施例的步骤相同,在此不再赘述。本发明实施例通过移动节点发现候选认证者CA或者二层链路标识BS_ID后主动发起预认证实现CA和移动节点间的预认证密钥分发,减少了切换认证延时。本发明实施例还提供了一种预认证设备,该预认证设备既可以充当前述方法实施例中的当前认证者SA,也可以充当前述方法实施例中的候选认证者CA。如图6所示,为本发明所述预认证设备的一个实施例的结构示意图。该预认证设 备60用于发起对移动节点的预认证。第一接收单元610接收到携带预认证选项的预认证 消息后,将该预认证消息发送给确定单元620。确定单元620根据该预认证消息的源节点或 者该预认证消息携带的预认证选项,确定需要进行预认证的移动节点。然后,由第一发送单 元630向AAA服务器发送认证请求消息,请求AAA服务器对该移动节点进行预认证。该认 证请求消息中携带预认证选项以及该需要进行预认证的移动节点的标识,该认证请求消息 中还需要携带候选认证者标识,该候选认证者标识可以携带在所述预认证选项或者其他选 项中。AAA服务器对该移动节点认证通过后,根据该预认证选项生成移动节点和候选认证者 之间的预认证密钥,并将该预认证密钥通过认证响应消息发送给第二接收单元650。第二 接收单元650收到AAA服务器发送的预认证密钥后,将该预认证密钥发送给第二发送单元 640,由第二发送单元640将该预认证密钥发送给所述移动节点,完成预认证密钥的分发过 程。上述图6所示实施例中的两个或者两个以上的单元既可以单独设置,也可以集成 在一个模块上。例如,第一接收单元610和第二接收单元650可以集成为同一个接收模块; 第一发送单元630和第二发送单元640可以集成为同一个发送模块;第一接收单元610、第 二接收单元650、第一发送单元630和第二发送单元640可以集成为同一个收发模块。当所述预认证设备60充当当前认证者时,如图7所示,为本发明所述预认证设备 的另一个实施例的结构示意图。该预认证设备60在图6所示基础上至少还可以包括发现 单元660,用于发现移动节点的候选认证者。所述第一发送单元630还用于向所述移动节 点发送预认证初始化消息,在该预认证初始化消息中携带发现的候选认证者,该预认证初 始化消息具体可以为携带预认证开始标识Pre-auth start的EAP发起消息EAP-Initiate 或者EAP请求消息EAP-Req。此时,该第一接收单元610接收的预认证消息为移动节点发 送的携带选定的候选认证者的预认证确认消息,具体可以为携带预认证指示标志Pre-auth Indication 的 EAP 发起消息 ΕΑΡ-Initiate 或者 EAP 响应消息 EAP-Rsp。当所述预认证设备60充当上述方法实施例中的候选认证者时,如图8所示,为本 发明所述预认证设备的另一个实施例的结构示意图。该预认证设备60在图6所示基础上 至少还可以包括绑定单元670和存储单元680。当确定单元620根据预认证消息确定需要 进行预认证的移动节点后,绑定单元670在候选认证者本地建立候选认证者与所述移动节 点的绑定关系,并设置所述移动节点的认证状态为预认证。当第二接收单元650收到AAA 服务器发送的认证响应消息后,获取其中的预认证密钥,并发送给存储单元680,存储单元 680用于存储所述预认证密钥。这样,当移动节点切换到所述候选认证者时,能够使用存储 的预认证密钥对所述移动节点进行快速认证,减少了切换认证的时延。当所述预认证设备60为候选认证者时,所述预认证消息可以为当前认证者发送的携带预认证指示标志Pre-auth Indication或候选认证者标识 CA_ID的EAP发起消息ΕΑΡ-Initiate或EAP响应消息EAP-Rsp ;或为携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息ΕΑΡ-Initiate或EAP响应消息EAP-Rsp ;或当前认证者发送的携带候选认证者标识CA_ID或者候选认证者对应的二层链路 标识BS_ID的EAP发起消息ΕΑΡ-Initiate或者EAP请求消息EAP-Req。本发明上述实施例中的预认证设备在收到预认证消息后,根据其中的预认证选项 以及移动节点相关信息向AAA服务器请求对移动节点进行认证,从AAA服务器接收移动节 点与候选认证者之间的预认证密钥,使候选认证者在移动节点切换到本地时,使用所述预 认证密钥对移动接点和候选认证者之间的通信进行保护,减少了切换认证的时延。本发明实施例还公开了一种预认证系统,该预认证系统90包括预认证设备910和 AAA服务器920。当所述预认证系统运行时,所述预认证设备910从当前认证SA或者从移 动节点接收预认证消息,所述预认证消息中携带预认证选项。预认证设备910根据该预认 证消息确定需要进行预认证的移动节点,其中,当所述预认证消息是从移动节点接收时,所 述需要进行预认证的移动节点即为发送所述预认证消息的移动节点;当所述预认证消息是 从当前认证者获取时,所述预认证消息中还需要携带需要进行预认证的移动节点的信息, 通过所述预认证消息携带的信息确定需要进行预认证的移动节点。所述预认证消息的预认 证选项中包括了预认证指示标志Pre-auth Identifier或者候选认证者标识CA_ID。所述 预认证设备910根据所述预认证消息向AAA服务器920发送认证请求消息,请求对所述需 要进行预认证的移动节点进行认证,所述认证请求消息中携带与所述预认证消息中相同的 预认证选项,表明对移动节点的认证是预认证。AAA服务器920收到所述认证请求消息后,根据该认证请求消息对所述移动节点 进行认证,认证通过后,根据该认证请求消息中的预认证选项信息生成移动节点和候选认 证者之间的预认证密钥,将该预认证密钥通过认证响应消息发送给所述的预认证设备910, 由所述预认证设备910将所述预认证密钥发送给移动节点(图9中未示出)。其中,预认证设备910可以是移动节点的当前认证者,也可以是移动节点的候选 认证者。当预认证设备910为当前认证者时,该预认证设备还能够发现移动节点的候选认 证者,并根据移动节点的请求发起预认证过程或者根据策略主动发起预认证过程,所述预 认证设备通过所述移动节点的候选认证者从AAA服务器获取所述候选认证者和移动节点 间的预认证密钥。当预认证设备910为候选认证者时,该预认证设备还能够根据在收到预 认证请求后,建立移动节点和自身的预认证绑定关系,设置移动节点的认证状态为预认证, 并且,该预认证设备还能够在收到AAA服务器发送的预认证密钥后,保存该预认证密钥,以 及将所述预认证密钥通过当前认证者发送给移动节点。通过实施本发明上述实施例,可以使当前认证者或者候选认证者正确识别预认证 消息,在收到预认证消息后,通过AAA服务器获取候选认证者与移动节点之间的预认证密 钥,使移动节点切换到候选认证者之后,可以使用所述预认证密钥保护移动节点和候选认 证者之间的通信,增强了通信的安全性,减少了切换认证的时延。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
以上所述,仅为本发明较佳的具 体实施方式,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围 为准。
权利要求
一种预认证方法,其特征在于,包括接收预认证消息,所述预认证消息中携带预认证选项;根据所述预认证消息确定需要进行预认证的移动节点;向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点。
2.根据权利要求1所述的预认证方法,其特征在于,所述根据所述预认证消息确定需 要进行预认证的移动节点之后,向AAA服务器发送认证请求消息之前,所述方法还包括根据所述预认证消息建立所述候选认证者与所述移动节点间的预认证绑定关系,设置 所述移动节点的认证状态为预认证。
3.根据权利要求1或2所述的方法,其特征在于,所述预认证消息为当前认证者发送 的携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息 ΕΑΡ-Initiate 或 EAP 响应消息 EAP-Rsp。
4.根据权利要求3所述的方法,其特征在于,所述接收预认证消息之前,所述方法还包括所述当前认证者向所述移动节点发送携带预认证Pre-auth start开始标识的EAP 发起消息EAP-Initiate,并接收所述移动节点发送的携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息ΕΑΡ-Initiate ;或所述当前认证者向移所述动节点发送携带预认证开始标识Pre-auth start的EAP请 求消息EAP-Req,并接收所述移动节点发送的携带预认证指示标志Pre-auth Indication 或候选认证者标识CA_ID的EAP响应消息EAP-Rsp。
5.根据权利要求1或2所述的方法,其特征在于,所述预认证消息为所述移动节点发 送的携带预认证指示标志Pre-auth Indication或候选认证者标识CA_ID的EAP发起消息 ΕΑΡ-Initiate 或 EAP 响应消息 EAP-Rsp。
6.根据权利要求5所述的方法,其特征在于,所述接收预认证消息之前,所述方法还包括接收当前认证者发送的预认证发起指示消息,携带移动节点标识; 根据所述预认证发起指示消息向所述移动节点发送携带预认证开始标识Pre-auth start的EAP发起消息ΕΑΡ-Initiate或者EAP请求消息EAP-Req ;接收所述移动接点发送的携带预认证指示标志Pre-auth Indication或候选认证者标 识CA_ID的EAP发起消息ΕΑΡ-Initiate或EAP响应消息EAP-Rsp。
7.根据权利要求1或2所述的方法,其特征在于,所述预认证消息为当前认证者发送 的携带候选认证者标识CA_ID或者候选认证者对应的二层链路标识BS_ID的EAP发起消息 ΕΑΡ-Initiate 或者 EAP 请求消息 EAP-Req。
8.根据权利要求7所述的方法,其特征在于,所述接收预认证消息之前,所述方法还包括所述当前认证者接收所述移动节点发送的携带候选认证者标识CA_ID或者候选认证者对应的二层链路标识BS_ID的EAP发起消息ΕΑΡ-Initiate或EAP请求消息EAP-Req,通 过所述EAP发起消息或EAP请求消息获得候选认证者CA,将所述EAP发起消息或EAP请求 消息发送给所述候选认证者CA。
9.根据权利要求1所述的方法,其特征在于,所述预认证消息为移动节点发送的携带 预认证指示标志Pre-auth Indication的EAP发起消息ΕΑΡ-Initiate或者EAP响应消息 EAP-Rsp。
10.根据权利要求9所述的方法,其特征在于,所述接收预认证消息之前,所述方法还 包括向移动节点发送携带预认证开始标识Pre-auth start的EAP发起消息EAP-Initiate 或EAP请求消息EAP-Req。
11.一种预认证设备,其特征在于,包括第一接收单元,用于接收预认证消息,所述预认证消息中携带预认证选项; 确定单元,用于根据所述预认证消息确定需要进行预认证的移动节点; 第一发送单元,用于向AAA服务器发送认证请求消息,请求对所述移动节点进行认证, 所述认证请求消息中携带所述预认证选项;第二接收单元,用于接收所述AAA服务器发送的认证响应消息,所述认证响应消息中 携带候选认证者与所述移动节点间的预认证密钥;第二发送单元,用于将所述预认证密钥发送给所述移动节点。
12.根据权利要求11所述的预认证设备,其特征在于,所述预认证设备还包括 存储单元,用于存储所述第二接收单元从AAA服务器接收的认证响应消息中携带的预认证密钥。
13.根据权利要求11或12所述的预认证设备,其特征在于,所述预认证设备还包括 绑定单元,用于在确定单元确定需要进行预认证的移动节点后,根据所述预认证消息建立所述候选认证者与所述移动节点间的预认证绑定关系,设置所述移动节点的认证状态 为预认证。
14.根据权利要求11所述的预认证设备,其特征在于,所述预认证设备还包括 发现单元,用于发现移动节点的候选认证者;所述第一发送单元还用于向所述移动节点发送预认证初始化消息,使所述移动节点选 择候选认证者。
15.一种预认证系统,其特征在于,包括预认证设备和AAA服务器,其中,所述预认证设备,用于接收预认证消息,所述预认证消息中携带预认证选项,根据所 述预认证消息确定需要进行预认证的移动节点,向AAA服务器发送认证请求消息,请求对 所述移动节点进行认证,所述认证请求消息中携带所述预认证选项,接收所述AAA服务器 发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密 钥;将所述预认证密钥发送给所述移动节点;所述AAA服务器,用于接收所述预认证设备发送的认证请求消息,根据所述认证请求 消息生成所述候选认证者和所述移动节点间的预认证密钥,将所述预认证密钥携带在所述 认证响应消息中发送给所述预认证设备。
16.根据权利要求15所述的预认证系统,其特征在于,所述预认证设备为所述移动节点的当前认证者,所述预认证设备还用于发现所述移动节点的候选认证者;所述预认证设 备通过所述移动节点的候选认证者从AAA服务器获取所述候选认证者和所述移动节点间 的预认证密钥。
17.根据权利要求15所述的预认证系统,其特征在于,所述预认证设备为所述移动节 点的候选认证者,所述预认证设备还用于存储所述从AAA服务器接收的认证响应消息中携 带的所述候选认证者和所述移动节点间的预认证密钥。
18.根据权利要求15或17所述的预认证系统,其特征在于,所述预认证设备还用于在 确定需要进行预认证的移动节点后,在本地建立自身与所述移动节点的预认证绑定关系, 设置所述移动节点的认证状态为预认证状态。
全文摘要
本发明涉及移动通信领域,公开了一种预认证方法、设备和系统。所述方法包括接收预认证消息,所述预认证消息中携带预认证选项;根据所述预认证消息确定需要进行预认证的移动节点;向AAA服务器发送认证请求消息,请求对所述移动节点进行认证,所述认证请求消息中携带所述预认证选项;接收所述AAA服务器发送的认证响应消息,所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥;将所述预认证密钥发送给所述移动节点。本发明实施例所述系统包括预认证设备和AAA服务器。通过实施本发明,可以使用所述预认证密钥保护移动节点和候选认证者之间的通信,增强了通信的安全性,减少了切换认证的时延。
文档编号H04L9/32GK101841811SQ20091010615
公开日2010年9月22日 申请日期2009年3月18日 优先权日2009年3月18日
发明者宫小玉, 李洪广, 王云贵, 管红光 申请人:华为技术有限公司