用戶設備的認證方法、裝置和系統的製作方法

2023-07-25 16:49:56

專利名稱：用戶設備的認證方法、裝置和系統的製作方法
技術領域：
本發明涉及通信領域，尤其涉及一種用戶設備的認證方法、裝置和系統。
背景技術：
用戶設備(User Equipment,UE)從源網絡切換到目標網絡之前需要進行目標網絡 的預認證，目前，可擴展認證協議(Extensible Authentication Protocol, ΕΑΡ)是一種使 用很廣泛的認證協議，UE可以採用EAP認證協議與目標網絡的認證器進行交互，通過核心 網的認證伺服器完成目標網絡的預認證。在進行預認證的過程中，UE和認證伺服器均將獲取的目標網絡的預認證信息臨時 存儲在本地的緩存區中，如果認證成功，UE和認證伺服器使用緩存區中存儲的認證信息代 替源網絡的認證信息，如果認證失敗，UE和認證伺服器刪除緩存區中存儲的認證信息，繼續 使用源網絡的認證信息。綜上所述，在現有技術中，UE和認證伺服器對獲取的認證信息進行覆蓋保存，當 UE在目標網絡中預認證成功以後，如果UE不立即切換到該目標網絡，則會因為源網絡的認 證信息被覆蓋而導致UE無法繼續通過源網絡進行通信，從而造成通信中斷；當UE需要從目 標網絡切換回源網絡時，由於源網絡的認證信息被覆蓋，所以UE還需要重新通過認證服務 器對源網絡進行預認證，浪費了網絡資源，並且網絡切換延時較長。

發明內容
鑑於此，本發明的實施例提供一種用戶設備的認證方法和裝置，能夠同時保存多 套認證信息。本發明的實施例採用如下技術方案—種用戶設備的認證方法，包括獲取目標網絡信息；通過所述目標網絡信息對 應的請求者實例向目標網絡的認證器發起認證，獲取用戶設備的認證信息；通過所述目標 網絡信息對應的請求者實例將所述用戶設備的認證信息保存在該請求者實例對應的存儲 區域內，其中，所述目標網絡信息對應的請求者實例對應的存儲區域與其他請求者實例對 應的存儲區域間相互獨立。一種用戶設備，包括第一獲取單元，用於獲取目標網絡信息；第二獲取單元，用於通過所述第一獲取單元獲取的目標網絡信息對應的請求者實 例向目標網絡的認證器發起認證，獲取用戶設備的認證信息；存儲單元，用於通過所述第一獲取單元獲取的目標網絡信息對應的請求者實例將 所述第二獲取單元獲取的用戶設備的認證信息保存在該請求者實例對應的存儲區域內，其 中，所述目標網絡信息對應的請求者實例對應的存儲區域與其他請求者實例對應的存儲區 域相互獨立。本發明實施例提供的用戶設備的認證方法和裝置，能夠並通過與目標網絡信息對4應的請求者實例保存認證過程中獲取的與所述目標網絡產生的用戶設備的認證信息，使得 本發明實施例提供的技術方案能夠同時保存多套認證信息，從而保證認證完成後用戶設備 不馬上切換到目標網絡的情況下通信不受影響，解決了現有技術中認證伺服器對獲取的認 證信息進行覆蓋保存，使得在認證完成後沒有立即切換導致通信中斷的問題；由於本發明 實施例能夠同時保存多套認證信息，所以當用戶設備在所述多個網絡之間進行切換時，不 需要再進行完整的認證操作，節省了認證佔用的網絡資源，提高了網絡切換速度，減小了網 絡切換延時。本發明的實施例還提供一種用戶設備的認證方法、裝置和系統，能夠同時保存多 套認證信息。本發明的實施例採用如下技術方案一種用戶設備的認證方法，包括與目標網絡的認證器進行交互，通過所述認證器 與用戶設備建立的請求者實例之間的交互對所述用戶設備進行認證，獲取所述用戶設備的 認證信息，其中，所述請求者實例與所述目標網絡對應；將所述用戶設備的認證信息保存在 與所述用戶設備和目標網絡對應的條目中。一種認證伺服器，包括獲取單元，用於與目標網絡的認證器進行交互，通過所述認證器與用戶設備建立 的請求者實例之間的交互對所述用戶設備進行認證，獲取所述用戶設備的認證信息，其中， 所述請求者實例與所述目標網絡對應；存儲單元，用於將所述獲取單元獲取的用戶設備的認證信息保存在與所述用戶設 備和目標網絡對應的條目。一種通信系統，其特徵在於，包括認證伺服器，用於與目標網絡的認證器進行交互，對用戶設備進行認證，獲取所述 用戶設備的認證信息，將所述認證信息保存在所述用戶設備和目標網絡對應的條目中。本發明實施例提供的用戶設備的認證方法、裝置和系統，認證伺服器能夠將對用 戶設備進行認證過程中獲取的認證信息存儲在與所述用戶設備和目標網絡對應的條目中， 使得該認證伺服器能夠為所述用戶設備同時保存多套認證信息，解決了現有技術中認證服 務器對獲取的認證信息進行覆蓋保存，使得在認證完成後沒有立即切換導致通信中斷的問 題；同時保存多套密鑰信息也使得用戶設備在曾做過認證的多個網絡間切換不用重複做認 證，從而節省了網絡資源，加快了網絡切換速度。


為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所需要使用 的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本 領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的 附圖。圖1為本發明實施例提供的用戶設備的認證方法流程圖；圖2為本發明另一實施例提供的用戶設備的認證方法流程圖；圖3為本發明又一實施例提供的用戶設備的認證方法時序圖；圖4為本發明再一實施例提供的用戶設備的認證方法時序圖5為本發明實施例提供的用戶設備結構示意圖一；圖6為本發明實施例提供的用戶設備結構示意圖二 ；圖7為本發明實施例提供的認證伺服器結構示意圖；圖8為圖7所示的認證伺服器中存儲單元的結構示意圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於 本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他 實施例，都屬於本發明保護的範圍。為了解決用戶設備和認證伺服器對認證過程獲取的認證信息進行覆蓋保存，造成 通信中斷的問題，本發明實施例提供一種用戶設備的認證方法、裝置和系統。如圖1所示，本發明實施例提供的用戶設備的認證方法，包括步驟101，UE獲取目標網絡信息。UE可以只保存一套與某一類型網絡的認證信息，也可以為某一類型網絡的多個不 同網絡分別保存認證信息。如果為某一類型網絡只保留一套認證信息，UE獲取的目標網絡 信息只需要網絡類型就可以，如果某一類型網絡的多個不同網絡保留多套認證信息，獲取 的目標網絡信息不但需要網絡類型，還需要各個不同網絡的標識信息。在本實施例中，目標網絡的類型包括無線保真接入網絡(Wireless Fidelity Access Network, WiFi AN)以及微波存取全球互通接入服務網絡(Worldwide Interoperability for Microwave Access Access Service Network, WiMAX ASN)等。當目標網絡為WiFi AN時，目標網絡的標識信息可以為服務集標識(Service Set Identifier, SSID)或者移動域標識(Mobile Domain Identification,MDID)等；當目標網 絡為WiMAX ASN時，目標網絡的標識信息可以為運營商標識(Operator ID)等。在本實施例中，當目標網絡信息為目標網絡的類型信息時，UE可以通過與目標網 絡通信所使用的射頻確定目標網絡的類型，獲取目標網絡的類型信息。例如當UE使用 WiFi AN射頻與目標網絡進行通信時，可以確定該目標網絡的類型為WiFi AN，獲取目標網 絡的類型信息為WiFi AN的類型信息；當UE使用WiMAX ASN射頻與目標網絡進行通信時， 可以確定該目標網絡的類型為WiMAXASN，獲取目標網絡的類型信息為WiMAXASN的類型信 肩、ο當目標網絡信息為目標網絡的類型信息和標識信息時，如果目標網絡的類型為 WiFi AN, UE可以從目標AP廣播的信標幀(Beacon)中獲取目標網絡的SSID (或者MDID)； UE也可不通過自身掃描，而是通過查詢信息伺服器，獲得目標AP的BSSID，以及所述AP的 網絡的標識SSID (或者MDID)。當目標網絡信息為目標網絡的類型信息和標識信息時，如果目標網絡的類型為 WiMAXASN,UE可以通過掃描本地或者從信息伺服器獲取的方式得到基站的信息(具體可以 為基站的標識BSID)，基站的標識BSID有48bits，高M位即為網絡標識，也稱為運營商標 識(Operator ID)。當然，在實際的使用過程中，UE還可以通過其他方法獲取目標網絡的標識信息，此處不對每種情況進行一一贅述。進一步地，在步驟101中，當目標網絡為WiFi AN時，UE還可以建立目標AP的 BSSID與目標網絡的SSID(或者MDID)的對應關係，具體地，可以通過兩種方法實現一種方法是，UE從查找到的目標AP的信標幀(Beacon)中獲取目標網絡的 SSID (或者MDID)以及該目標AP的BSSID，建立目標AP的BSSID與目標網絡的SSID (或者 MDID)的對應關係。另一種方法是，UE查詢信息伺服器，獲得目標AP的BSSID，以及所述AP的網絡的 標識SSID (或者MDID)，建立目標AP的BSSID與目標網絡的SSID (或者MDID)的對應關係。可選地，步驟102，UE建立與步驟101獲取的目標網絡信息對應的請求者實例。具體地，在步驟102中，UE可以查詢本地是否存在與步驟101獲取的目標網絡信息 對應的請求者實例，當沒有查詢到與步驟101獲取的目標網絡信息對應的請求者實例時， 建立與該目標網絡信息對應的請求者實例；當查詢到與步驟101獲取的目標網絡信息對應 的請求者實例，則不用重新建立請求者實例。在本實施例中，當用戶設備為某類型網絡只保留一套認證信息時，UE可以為該網 絡類型建立一個請求者實例；當用戶設備為某類型網絡的多個不同網絡保留多套認證信息 時，UE分別為每個目標網絡的類型信息和標識信息的組合建立對應的請求者實例(即為每 個目標網絡建立對應的請求者實例)，並將建立的請求者實例與目標網絡的類型信息和標 識信息的組合的對應關係存儲在如表1所示的對應關係表中。表 1 請求者實例1WiFi AN+SSID/MDID1 或 WiMAX ASN+ Operator IDl請求者實例2WiFi AN+SSID/MDID2 或 WiMAX ASN+ Operator ID2請求者實例3WiFi AN+SSID/MDID3 或 WiMAX ASN+ Operator ID3 步驟103，UE通過步驟101獲取的目標網絡信息對應的請求者實例向目標網絡的 認證器發起認證，獲取該UE的認證信息。7
在本實施例中，UE的認證信息為密鑰信息，包括MSK、EMSK、MIP以及SPI等。在UE的多個請求者實例經認證器與認證伺服器的認證過程中，使用的信任狀 (credential)為同一個信任狀。本實施例以目標網絡是WiFi AN, UE建立與目標網絡的標識信息對應的請求者實 例為例對步驟103進行說明在下行方向上，當UE為WiFi只創建一個請求者實例時，WiFi MAC層收到認證報文後就直接轉交給該請求者實例。當UE為WiFi創建多個請求者實例時， UE接收到認證器發送的消息，通過MAC幀中的源BSSID以及在步驟101中建立的目標AP的 BSSID與目標網絡的SSID (或者MDID)的對應關係，獲取該BSSID對應的目標網絡的標識信 息(SSID或者MDID)，然後根據目標網絡的標識信息將接收到的消息發送給對應的請求者 實例；在上行方向上，UE通過請求者實例向對應的目標網絡中的AP發送消息。步驟104，UE通過目標網絡信息對應的請求者實例將UE的認證信息保存在該請求 者實例對應的存儲區域內。在本實施例中，UE的每個請求者實例擁有各自獨立的存儲區域，每個請求者實例 獲取的認證信息存儲在各自管理的存儲區域。需要說明的是，在本實施例中，如果所述請求者實例已經預先存儲了認證信息，則 該請求者實例可以將步驟103獲取的UE的認證信息覆蓋已經存儲的認證信息。例如當請 求者實例與目標網絡的類型信息對應時，如果該請求者實例已經保存了 UE與其他網絡(網 絡類型與目標網絡類型相同)之間進行認證的信息，則請求者實例獲取UE與目標網絡之間 的認證信息後，採用UE與目標網絡之間的認證信息覆蓋已經保存的UE與其他網絡(網絡 類型與目標網絡類型相同)之間的認證信息。再如當請求者實例與目標網絡的類型信息 和標識信息對應時，如果該請求者實例已經保存了 UE與目標網絡之間的認證信息，則在步 驟103中UE通過請求者實例與目標網絡重新進行認證，獲取新的認證信息以後，請求者實 例採用該新的認證信息覆蓋原先已經保存的UE與目標網絡之間的認證信息。可選地，為了合理利用UE的硬體資源，避免資源浪費的問題，本發明實施例提供 的用戶設備的認證方法還可以包括當所述請求者實例保存的認證信息到達先設置的老化 時間時，刪除所述請求者實例以及所述認證信息。本發明實施例提供的用戶設備的認證方法，能夠通過和目標網絡信息對應的請求 者實例保存認證過程中獲取的與所述目標網絡產生的用戶設備的認證信息，使得本發明實 施例提供的技術方案能夠同時保存多套認證信息，從而保證認證完成後用戶設備不馬上切 換到目標網絡的情況下通信不受影響，解決了現有技術中認證伺服器對獲取的認證信息進 行覆蓋保存，使得在認證完成後沒有立即切換導致通信中斷的問題；由於本發明實施例能 夠同時保存多套認證信息，所以當用戶設備在所述多個網絡之間進行切換時，不需要再進 行完整的認證操作，節省了認證佔用的網絡資源，提高了網絡切換速度，減小了網絡切換延 時。如圖2所示，本發明實施例還提供一種用戶設備的認證方法，包括步驟201，認證伺服器與目標網絡的認證器進行交互，通過認證器與UE建立的請 求者實例之間的交互對該UE進行認證，獲取該UE的認證信息，其中，所述請求者實例與所 述目標網絡對應；
步驟202，認證伺服器將該UE的認證信息保存在與所述UE和目標網絡對應的條目中。在本實施例中，認證伺服器可以根據預先獲取的UE的信任狀和目標網絡信息，查 找與該UE的信任狀和目標網絡信息的組合對應的條目；如果查找到與所述UE的信任狀和 目標網絡信息的組合對應的條目，將UE與所述目標網絡的認證信息存儲在該條目中；如果 未查找到與所述UE的信任狀和目標網絡信息的組合對應的條目，則創建與所述UE的信任 狀和目標網絡信息的組合對應的條目，將UE與所述目標網絡的認證信息存儲在該建立的 條目中。EAP認證過程的第一步，認證伺服器獲取UE的網絡接入標識符(Network Access Identifier, ΝΑΙ)，在NAI的修飾部分(decoration section)可以攜帶目標網絡的標識信 息；NAI中包含用戶的標識信息，認證伺服器可以根據用戶的標識信息查找到對應的用戶 設備的信任狀，認證伺服器把用戶設備的信任狀與目標網絡信息作為一個組合；目標網絡 信息也可通過其它方法獲得，比如認證伺服器可以通過與它交互的認證器的IP位址或認 證器標識，查詢信息伺服器得到認證器所在的目標網絡的信息。在本實施例中，目標網絡信息可以為目標網絡的類型信息和標識信息，或者目標 網絡的類型信息等，其中，目標網絡的類型包括=WiFi AN以及WiMAXASN等。當目標網絡為WiFi AN時，目標網絡的標識信息可以為SSID或者MDID等；當目標 網絡為WiMAX ASN時，目標網絡的標識信息可以為Operator ID等。本發明實施例提供的用戶設備的認證方法，認證伺服器能夠將用戶設備進行認證 過程中獲取的與目標網絡的認證信息存儲在與所述用戶設備和目標網絡對應的條目，使得 該認證伺服器能夠為所述用戶設備同時保存多套認證信息，解決了現有技術中認證伺服器 對獲取的認證信息進行覆蓋保存，使得在認證完成後沒有立即切換導致通信中斷的問題； 同時保存多套密鑰信息也使得用戶設備在曾做過認證的多個網絡間切換不用重複做認證， 從而節省了網絡資源，加快了網絡切換速度。為了使本領域的技術人員能夠更清楚地理解本發明實施例提供的技術方案，下面 通過具體的實施例對本發明實施例提供的用戶設備的認證方法進行詳細說明。在本發明提供的又一實施例中，用戶設備工作在WiMAX射頻，向WiFi AN網絡進行 認證，用戶設備建立與WiFi AN網絡的標識信息對應的請求者實例，並通過該請求者實例保 存認證過程中獲得的認證信息，認證伺服器將認證過程中獲得的認證信息保存在用戶的信 任狀和WiFi AN網絡的標識信息組合對應的條目中。如圖3所示，本發明又一實施例提供的用戶設備的認證方法，包括步驟301，用戶設備掃描WiFi AN,獲取WiFi AN的標識信息(SSID或者MDID)及 目標AP的BSSID，並在用戶設備內部建立BSSID與SSID (或者MDID)的映射關係。具體實 現方法可以參見如圖1所示的步驟101所述，此處不作贅述。步驟302，用戶設備建立與步驟301獲取的WiFi AN的標識信息對應的請求者實 例。具體地，在步驟302中，UE可以查詢本地是否存在與步驟301獲取的WiFiAN的標 識信息對應的請求者實例，當沒有查詢到與步驟301獲取的WiFi AN的標識信息對應的請 求者實例時，建立與該WiFi AN的標識信息對應的請求者實例；或者，當查詢到與步驟301 獲取的WiFi AN的標識信息對應的請求者實例，則不用重新建立請求者實例。
步驟303，用戶設備與WiFi AN進行認證，產生如MSK和EMSK等認證信息。具體地，步驟303可以包括WiFi AN的認證器向用戶設備發送請求消息(ΕΑΡ Request)，要求上報NAI網絡接 入標識符。EAP請求消息通過AP向用戶設備發送時，被封裝在WiFi空口的MAC幀中。用戶設備收到包含EAP請求消息的MAC幀後，根據該MAC幀的幀頭中的BSSID查 找BSSID與SSID (或MDID)映射表，獲得SSID (或MDID)，並根據SSID (MDD)找到對應的EAP 請求者實例，然後按照通常協議棧的做法將去掉MAC層信息的EAP請求消息發送給查找到 的EAP請求者實例。用戶設備中與該WiFi AN對應的EAP請求者實例收到EAP請求後，回復EAP響 應消息(ΕΑΡ Response)，在該EAP響應消息中攜帶NAI網絡接入標識符，其中，NAI網絡 接入標識符的修飾部分(decoration section)包含接入網絡的信息。在本實施例中， 帶修飾的 NAI 格式可以為 {networktype = WiFi |netID = SSID > }@，其中的{networktype = WiFi |netID = SSID>}為所述修飾部分， 該修飾部分以參數的形式表達用戶設備所在的網絡類型和網絡標識。EAP請求者實例產生EAP響應消息後，將該EAP響應消息發送給用戶設備的 WiFiMAC處理層，MAC處理層封裝上MAC頭信息後向外發送。認證器收到包含NAI網絡接入標識符的EAP響應消息後，向認證伺服器發送接入 請求消息(Access Request)，認證器和認證伺服器間可以使用RADIUS (遠程地址撥號用戶 服務)協議，接入請求消息中包含NAI網絡接入標識符。認證伺服器收到接入請求消息後，提取出NAI網絡接入標識符，並找到該NAI網絡 接入標識符中的用戶名對應的信任狀，不論採用WiMAX還是WiFi接入技術，這個信任狀對 用戶設備而言是相同的。認證伺服器查找與該用戶設備的信任狀和WiFi AN的標識信息的 組合對應的條目是否存在；如果查找到與所述用戶設備的信任狀和WiFi AN的標識的組合 對應的條目，不再重新創建；如果未查找到與所述用戶設備的信任狀和WiFi AN的標識信 息的組合對應的條目，則創建與所述用戶設備的信任狀和WiFi AN的標識信息的組合對應 的條目。在本實施例中，信任狀和WiFi AN的標識信息的組合中的信任狀可以為用戶名或 信任狀標識。認證伺服器使用NAI網絡接入標識符對應的信任狀，採用某種(比如EAP-AKA， EAP-TLS)認證方法與用戶設備的EAP請求者實例開展認證。認證通過後，用戶設備和認證伺服器在認證方法(比如EAP-AKA，EAP-TLS)的 基礎上產生出共同的MSK和EMSK。進一步地，為了保證移動IP的安全性，還可以在EMSK 的基礎上產生一系列移動密鑰，並為這些密鑰產生相應的安全參數索引(SPI，Security Parameter Index)以便移動IP設備和移動IP協議中的外部代理以及家鄉代理等設備查找 和取用。步驟304a，用戶設備的EAP請求者實例保存MSK及EMSK等認證信息，以及由MSK 及EMSK得到的衍生密鑰，即步驟303所述的移動密鑰，還有由MSK衍生的授權密鑰、空口安全密鑰等。步驟304b，認證伺服器將MSK及EMSK等認證信息存儲在用戶設備的信任狀及WiFi AN的標識信息的組合對應的條目中，由EMSK得到的衍生密鑰，即步驟303所述的移動密鑰，也存儲在該條目。UE工作在WiFi射頻，採用本實施例提供的用戶設備的認證方法向WiMAXASN網絡 進行認證的過程，與上述UE工作在WiMAX射頻，向WiFi AN網絡進行認證的過程基本相同， 此處不再贅述。本發明實施例提供的用戶設備的認證方法，用戶設備能夠通過與WiFi AN對應的 請求者實例保存該用戶設備與WiFi AN產生的認證信息，認證伺服器能夠將所述用戶設備 與WiFi AN產生的認證信息保存到用戶設備的信任狀和WiFiAN的標識信息的組合對應的 條目，反過來，當用戶設備從WiFi網絡向WiMAX網絡切換時也同樣處理，使得用戶設備和認 證伺服器均能夠同時保存多套認證信息，解決了現有技術中認證伺服器和用戶設備對同一 信任狀僅保存一套認證信息，對獲取的認證信息進行覆蓋保存，使得在異質網絡切換時無 法提前認證導致通信中斷時間較長的問題；同時保存多套密鑰信息也使用戶設備在曾做過 認證的多個網絡間切換不用重複做認證，從而加快了網絡切換速度。在本發明提供的再一實施例中，用戶設備工作在WiMAX射頻，向WiFi AN網絡進行 認證，不區分WiFi AN的差異，用戶設備建立與WiFi AN網絡類型對應的請求者實例，並通 過該請求者實例保存認證過程中獲得的認證信息，認證伺服器將認證過程中獲得的認證信 息保存在用戶的信任狀和WiFi AN網絡類型組合對應的條目中。如圖4所示，本發明又一實施例提供的用戶設備的認證方法，包括步驟401，用戶設備掃描WiFi AN，獲取可用的目標AP。因為不區分WiFi AN的差異，在任何時候僅對WiFi AN保存一套認證信息，因此不 需要建立WiFi AN的標識信息(SSID或MDID)與目標AP的BSSID之間的映射關係。步驟402，用戶設備建立與WiFi AN網絡類型對應的EAP請求者實例。具體地，如果用戶設備上還沒與WiFi AN網絡類型對應的EAP請求者實例，則建立 該WiFi AN網絡類型對應的EAP請求者實例；如果用戶設備上已經建立了與WiFiAN網絡類 型對應的EAP請求者實例，直接使用該EAP請求者實例。步驟403，用戶設備與WiFi AN進行認證，產生如MSK和EMSK等認證信息。具體地，步驟403可以包括WiFi AN的認證器向用戶設備發送請求消息(ΕΑΡ Request)，要求上報NAI網絡接 入標識符。EAP請求消息通過AP向用戶設備發送時，被封裝在WiFi空口的MAC幀中。用戶設備收到包含EAP請求消息的MAC幀後，因為該MAC幀從WiFi接口獲得，因 此用戶設備的WiFi MAC處理層將去掉MAC層信息的EAP請求消息發送給與WiFi AN網絡 類型對應的EAP請求者實例。用戶設備中與WiFi AN網絡類型對應的EAP請求者實例收到EAP請求後，回復 EAP響應消息(ΕΑΡ Response)，在該EAP響應消息中攜帶NAI網絡接入標識符，其中，NAI 網絡接入標識符的修飾部分(decoration section)包含接入網絡類型的信息。在本實 Jli歹Ij巾，Iif ㈣白勺 NAI ^5^ ! : {networktype = WiFi |netID = SSID>}@，其中，{networktype = WiFi}為所述修飾部分，該修飾部分以 參數的形式表達用戶設備所在的網絡類型。EAP請求者實例產生EAP響應消息後，將EAP響應消息發送給用戶設備的WiFi MAC 處理層，MAC處理層封裝上MAC頭信息後向外發送。
認證器收到包含NAI網絡接入標識符的EAP響應消息後，向認證伺服器發送接入 請求消息(Access Request)，認證器和認證伺服器間可以使用RADIUS (遠程地址撥號用戶 服務)協議，接入請求消息中包含NAI網絡接入標識符。認證伺服器收到接入請求消息後，提取出NAI網絡接入標識符，並找到該NAI網絡 接入標識符中的用戶名對應的信任狀，不論採用WiMAX還是WiFi接入技術，該信任狀對用 戶設備而言是相同的。認證伺服器查找與該用戶設備的信任狀和WiFi AN網絡類型的組合 對應的條目是否存在；如果查找到與所述用戶設備的信任狀和WiFi AN網絡類型的組合對 應的條目，不再重新創建；如果未查找到與所述用戶設備的信任狀和WiFi AN網絡類型的 組合對應的條目，則創建與所述用戶設備的信任狀和WiFi AN網絡類型的組合對應的條目。 在本實施例中，信任狀和WiFi AN的標識信息的組合中的信任狀可以為用戶名或信任狀標 識。認證伺服器使用NAI網絡接入標識符對應的信任狀，採用某種(比如EAP-AKA， EAP-TLS)認證方法與用戶設備的EAP請求者實例開展認證。認證通過後，用戶設備和認證伺服器在認證方法(比如EAP-AKA，EAP-TLS)的基礎 上產生出共同的MSK和EMSK。進一步地，為了保證移動IP的安全性，還可以在EMSK的基礎 上產生一系列移動密鑰，並為這些密鑰產生相應的SPI以便移動IP設備和移動IP協議中 的外部代理、家鄉代理等設備查找和取用。步驟40 ，用戶設備的EAP請求者保存MSK及EMSK等認證信息，以及由MSK及 EMSK得到的衍生密鑰，即步驟403所述的移動密鑰，還有由MSK衍生的授權密鑰、空口安全 密鑰等。步驟404b，認證伺服器將MSK及EMSK等認證信息存儲在用戶設備的信任狀及 WiFi網絡類型信息的組合對應的條目中，由EMI得到的衍生密鑰，即步驟403所述的移動 密鑰，也存儲在該條目。UE工作在WiFi射頻，採用本實施例提供的用戶設備的認證方法向WiMAXASN網絡 進行認證的過程，與上述UIE工作在WiMAX射頻向WiFi AN網絡進行認證的過程基本相同， 此處不再贅述。本發明實施例提供的用戶設備的認證方法，用戶設備能夠通過與WiFi AN網絡類 型對應的請求者實例保存該用戶設備與WiFi AN產生的認證信息，認證伺服器能夠將所述 用戶設備與WiFi AN產生的認證信息保存到用戶設備的信任狀和WiFi AN的網絡類型的組 合對應的條目中，反過來，當用戶設備從WiFi網絡向WiMAX網絡切換時也同樣處理，使得用 戶設備和認證伺服器均能夠同時對不同的網絡類型各保存一套認證信息，解決了現有技術 中認證伺服器和用戶設備對同一信任狀僅保存一套認證信息不能支持提前向異質網絡認 證使得異質網絡切換時通信中斷時間較長的問題；同時保存多套密鑰信息也使得用戶設備 在曾做過認證的異質網絡間切換時不用重複做認證，從而加快了網絡切換速度。如圖5所示，本發明實施例還提供一種用戶設備，包括第一獲取單元501，用於獲取目標網絡信息；UE可以只保存一套與某一類型網絡的認證信息，也可以為某一類型網絡的多個不 同網絡分別保存認證信息。如果為某一類型網絡只保留一套認證信息，UE獲取的目標網絡 信息只需要網絡類型就可以，如果某一類型網絡的多個不同網絡保留多套認證信息，獲取12的目標網絡信息不但需要網絡類型，還需要各個不同網絡的標識信息。在本實施例中，目標 網絡的類型包括WiFi AN以及WiMAXASN等。當目標網絡為WiFi AN時，目標網絡的標識信息可以為SSID或者MDID等；當目標 網絡為WiMAXASN時，目標網絡的標識信息可以為Operator ID等。第二獲取單元502，用於通過所述第一獲取單元501獲取的目標網絡信息對應的 請求者實例向目標網絡的認證器發起認證，獲取用戶設備的認證信息；存儲單元503，用於通過所述第一獲取單元501獲取的目標網絡信息對應的請求 者實例將所述第二獲取單元502獲取的用戶設備的認證信息保存在該請求者實例對應的 存儲區域內，其中，所述目標網絡信息對應的請求者實例對應的存儲區域與其他請求者實 例對應的存儲區域相互獨立。進一步地，如圖6所示，用戶設備還可以包括查詢單元504，用於查詢是否存在與所述第一獲取單元501獲取的目標網絡信息 對應的請求者實例；建立單元505，用於當所述查詢單元504未查詢到與所述第一獲取單元501獲取的 目標網絡信息對應的請求者實例時，建立與所述第一獲取單元501獲取的目標網絡信息對 應的請求者實例。進一步地，如圖6所示，用戶設備還可以包括刪除單元506，用於當所述請求者實例保存的用戶設備的認證信息到達預先設置 的老化時間時，刪除所述請求者實例以及所述用戶設備的認證信息。本發明實施例提供的用戶設備的具體實現方法可以參見本發明實施例提供的用 戶設備的認證方法所述，此處不再贅述。本發明實施例提供的用戶設備能夠通過與目標網絡信息對應的請求者實例保存 認證過程中獲取的與所述目標網絡產生的用戶設備的認證信息，使得本發明實施例提供的 技術方案能夠同時保存多套認證信息，從而保證認證完成後用戶設備不馬上切換到目標網 絡的情況下通信不受影響，解決了現有技術中認證伺服器對獲取的認證信息進行覆蓋保 存，使得在認證完成後沒有立即切換導致通信中斷的問題；由於本發明實施例能夠同時保 存多套認證信息，所以當用戶設備在所述多個網絡之間進行切換時，不需要再進行完整的 認證操作，節省了認證佔用的網絡資源，提高了網絡切換速度，減小了網絡切換延時。如圖7所示，本發明實施例還提供一種認證伺服器，包括獲取單元701，用於與目標網絡的認證器進行交互，通過認證器與用戶設備建立的 請求者實例之間的交互對所述用戶設備的認證，獲取所述用戶設備的認證信息，其中，所述 請求者實例與所述目標網絡對應；存儲單元702，用於將所述獲取單元701獲取的用戶設備的認證信息保存在與所 述用戶設備和目標網絡對應的條目中。進一步地，如圖8所示，所述存儲單元702可以包括查找子單元7021，用於根據預先獲取的用戶設備的信任狀和目標網絡的標識信息 的組合，查找與該用戶設備的信任狀和目標網絡信息的組合對應的條目；第一存儲子單元7022，用於如果所述查找子單元7021查找到與所述用戶設備的 信任狀和目標網絡信息的組合對應的條目，將所述用戶設備的認證信息存儲在該條目中；13
第二存儲子單元7023，用於如果所述查找子單元7021未查找到與所述用戶設備 的信任狀和目標網絡信息的組合對應的條目，創建與所述用戶設備的信任狀和目標網絡信 息的組合對應的條目，將所述用戶設備的認證信息存儲在該創建的條目中。其中，目標網絡信息可以為目標網絡的類型信息和標識信息，或者目標網絡的類 型信息等，在本實施例中，目標網絡的類型包括=WiFi AN以及WiMAXASN等。當目標網絡為WiFi AN時，目標網絡的標識信息可以為SSID或者MDID等；當目標 網絡為WiMAX ASN時，目標網絡的標識信息可以為Operator ID等。本發明實施例提供的認證伺服器的具體實現方法可以參見本發明實施例提供的 用戶設備的認證方法所述，此處不再贅述。本發明實施例提供的認證伺服器能夠將用戶設備進行認證過程中獲取的與目標 網絡的認證信息存儲在與所述用戶設備和目標網絡對應的條目中，使得該認證伺服器能夠 為所述用戶設備同時保存多套認證信息，解決了現有技術中認證伺服器對獲取的認證信息 進行覆蓋保存，使得在認證完成後沒有立即切換導致通信中斷的問題；同時保存多套密鑰 信息也使得用戶設備在曾做過認證的多個網絡間切換不用重複做認證，從而節省了網絡資 源，加快了網絡切換速度。本發明實施例還提供一種通信系統，包括認證伺服器，用於與目標網絡的認證器進行交互，通過所述認證器與用戶設備建 立的請求者實例之間的交互對所述用戶設備進行認證，獲取所述用戶設備的認證信息，將 所述認證信息保存在與所述用戶設備和目標網絡對應的條目中。本發明實施例提供的通信系統的具體實現方法可以參見本發明實施例提供的用 戶設備的認證方法所述，此處不再贅述。本發明實施例提供的通信系統中，認證伺服器能夠將用戶設備與目標網絡產生的 認證信息保存到用戶設備和目標網絡對應的條目中，使得用認證伺服器能夠同時保存多套 認證信息，解決了現有技術中認證伺服器對獲取的認證信息進行覆蓋保存，使得在認證完 成後沒有立即切換導致通信中斷的問題；同時保存多套密鑰信息也使得用戶設備在曾做過 認證的多個網絡間切換不用重複做認證，從而節省了網絡資源，加快了網絡切換速度。本發明實施例提供的用戶設備的認證方法、裝置和系統，能夠應用在網絡切換的 過程中。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以 通過程序來指令相關的硬體完成，所述的程序可以存儲於一計算機可讀存儲介質中，如 ROM/RAM、磁碟或光碟等。以上所述，僅為本發明的具體實施方式
，但本發明的保護範圍並不局限於此，任何 熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵 蓋在本發明的保護範圍之內。因此，本發明的保護範圍應所述以權利要求的保護範圍為準。
權利要求
1.一種用戶設備的認證方法，其特徵在於，包括獲取目標網絡信息；通過所述目標網絡信息對應的請求者實例向目標網絡的認證器發起認證，獲取用戶設 備的認證信息；通過所述目標網絡信息對應的請求者實例將所述用戶設備的認證信息保存在該請求 者實例對應的存儲區域內，其中，所述目標網絡信息對應的請求者實例對應的存儲區域與 其他請求者實例對應的存儲區域相互獨立。
2.根據權利要求1所述的方法，其特徵在於，所述通過所述目標網絡信息對應的請求 者實例將所述用戶設備的認證信息保存在該請求者實例對應的存儲空間內包括當所述請求者實例對應的存儲空間已存儲有認證信息時，所述請求者實例採用所述用 戶設備的認證信息覆蓋所述已存儲的認證信息。
3.根據權利要求1所述的方法，其特徵在於，在所述通過所述目標網絡信息對應的請 求者實例向目標網絡的認證器發起認證之前，還包括查詢是否存在與所述目標網絡信息對應的請求者實例；當未查詢到與所述目標網絡信息對應的請求者實例時，建立與所述目標網絡信息對應 的請求者實例。
4.根據權利要求1所述的方法，其特徵在於，還包括當所述請求者實例保存的用戶設備的認證信息到達預先設置的老化時間時，刪除所述 請求者實例以及所述用戶設備的認證信息。
5.根據權利要求1所述的方法，其特徵在於，用戶設備的多個請求者實例與同一認證 伺服器之間的認證過程使用同一信任狀。
6.根據權利要求1-5中任意一項所述的方法，其特徵在於，所述目標網絡信息包括目 標網絡的類型信息和標識信息，或者目標網絡的類型信息。
7.一種用戶設備的認證方法，其特徵在於，包括與目標網絡的認證器進行交互，通過所述認證器與用戶設備建立的請求者實例之間的 交互對所述用戶設備進行認證，獲取所用戶設備的認證信息，其中，所述請求者實例與所述 目標網絡對應；將所述用戶設備的認證信息保存在與所述用戶設備和目標網絡對應的條目中。
8.根據權利要求7所述的方法，其特徵在於，所述將所述用戶設備的預認證信息保存 在與所述用戶設備和目標網絡對應的條目中包括根據預先獲取的用戶設備的信任狀和目標網絡信息，查找與該用戶設備的信任狀和目 標網絡信息的組合對應的條目；如果查找到與所述用戶設備標識和目標網絡信息對應的條目，將所述用戶設備的認證 信息存儲在該條目中；如果未查找到與所述用戶設備的信任狀和目標網絡信息的組合對應的條目，創建與所 述用戶設備的信任狀和目標網絡信息的組合對應的條目，將所述用戶設備的認證信息存儲 在該創建的條目中。
9.根據權利要求8所述的方法，其特徵在於，所述目標網絡信息包括目標網絡的類型 信息和標識信息，或者目標網絡的類型信息。
10.一種用戶設備，其特徵在於，包括第一獲取單元，用於獲取目標網絡信息；第二獲取單元，用於通過所述第一獲取單元獲取的目標網絡信息對應的請求者實例向 目標網絡的認證器發起認證，獲取用戶設備的認證信息；存儲單元，用於通過所述第一獲取單元獲取的目標網絡信息對應的請求者實例將所述 第二獲取單元獲取的用戶設備的認證信息保存在該請求者實例對應的存儲區域內，其中， 所述目標網絡信息對應的請求者實例對應的存儲區域與其他請求者實例對應的存儲區域 相互獨立。
11.根據權利要求10所述的用戶設備，其特徵在於，還包括查詢單元，用於查詢是否存在與所述第一獲取單元獲取的目標網絡信息對應的請求者 實例；建立單元，用於當所述查詢單元未查詢到與所述第一獲取單元獲取的目標網絡信息對 應的請求者實例時，建立與所述第一獲取單元獲取的目標網絡信息對應的請求者實例。
12.根據權利要求10所述的用戶設備，其特徵在於，還包括刪除單元，用於當所述請求者實例保存的用戶設備的認證信息到達預先設置的老化時 間時，刪除所述請求者實例以及所述用戶設備的認證信息。
13.—種認證伺服器，其特徵在於，包括獲取單元，用於與目標網絡的認證器進行交互，通過所述認證器與用戶設備建立的請 求者實例之間的交互對所述用戶設備進行認證，獲取所述用戶設備的認證信息，其中，所述 請求者實例與所述目標網絡對應；存儲單元，用於將所述獲取單元獲取的用戶設備的認證信息保存在與所述用戶設備和 目標網絡對應的條目中。
14.根據權利要求13所述的認證伺服器，其特徵在於，所述存儲單元包括查找子單元，用於根據預先獲取的用戶設備的信任狀和目標網絡信息，查找與該用戶 設備的信任狀和目標網絡信息的組合對應的條目；第一存儲子單元，用於如果所述查找子單元查找到與所述用戶設備的信任狀和目標網 絡信息的組合對應的條目，將所述用戶設備的認證信息存儲在該條目中；第二存儲子單元，用於如果所述查找子單元未查找到與所述用戶設備的信任狀和目標 網絡信息的組合對應的條目，創建與所述用戶設備的信任狀和目標網絡信息的組合對應的 條目，將所述用戶設備的認證信息存儲在該創建的條目中。
15.一種通信系統，其特徵在於，包括認證伺服器，用於與目標網絡的認證器進行交互，通過所述認證器與用戶設備建立的 請求者實例之間的交互對所述用戶設備進行認證，獲取所述用戶設備的認證信息，將所述 認證信息保存在與所述用戶設備和目標網絡對應的條目中。
全文摘要
本發明公開一種用戶設備的認證方法、裝置和系統，涉及通信領域。以解決用戶設備和認證伺服器對認證過程獲取的認證信息進行覆蓋保存，造成通信中斷的問題。本發明提供的技術方案包括獲取目標網絡信息；通過所述目標網絡信息對應的請求者實例向目標網絡的認證器發起認證，獲取用戶設備的認證信息；通過所述目標網絡信息對應的請求者實例將所述用戶設備的認證信息保存在該請求者實例對應的存儲區域內，其中，所述目標網絡信息對應的請求者實例對應的存儲區域與其他請求者實例對應的存儲區域間相互獨立。本發明實施例可以應用在網絡切換的過程中。
文檔編號H04L29/06GK102045173SQ20091020616
公開日2011年5月4日 申請日期2009年10月12日 優先權日2009年10月12日
發明者丁志明, 楊永利, 樹貴明 申請人:華為終端有限公司