一種接入點認證的方法、系統及安全網關的製作方法

2023-04-23 17:44:41

專利名稱：一種接入點認證的方法、系統及安全網關的製作方法
技術領域：
本發明涉及通訊技術領域，具體而言是涉及一種接入點認證的方法、系統 及安全網關。
背景技術：
家庭基站(HomeNodeB , HNB )為一種接入點(Access Point, AP)設備， 是一種家用的微型基站，移動用戶可以在家庭、辦公場所等熱點覆蓋區域布置 這種基站，通過Internet或其他IP網絡接入移動通信網絡，來獲得無線通信服 務。家庭基站的引入， 一方面，解決了無線數據業務中空口資源瓶頸問題，使 得用戶可以享用到高速率、高帶寬的網絡服務；另一方面，家庭基站通過Internet 接入，節省了移動運營商的傳輸費用，提高了行動網路的容量；而且，家庭基 站主要應用在家庭、辦公場所等熱點區域，以及邊遠地區的盲點覆蓋，提高了 行動網路的覆蓋，優化了網絡的質量。
目前3GPP標準上對家庭基站進行的認證類型有如下幾種
1) 設備認證；
2) 設備認證+獨立的擁有方(HP, Hosting Party)認證； 3 )綁定的設備認證+HP認證。
其中，對設備認證可以通過對家庭基站的證書(CERT)認證實現，也可以 通過EAP-AKA ( Extensible Authentication Protocol- Authentication and Key Agreement,可擴展認證協議-認證和密鑰協商)協議認i正實現；對HP認證同 樣可以通過證書或EAP-AKA協議認證實現。對於要進行設備認證+獨立的HP 認證的家庭基站，設備認證可以採用證書實現，HP認證可以採用EAP-AKA協 議實現。
在家庭基站認證成功後，家庭基站就可以作為一個合法的接入點(AP)設 備接入網絡。
現有技術中，首先，家庭基站HNB向安全網關(Security Gateway, SeGW) 發送IKE (Internet Key Exchange,網際網路密鑰交換)初始交換請求消息，安全網關向家庭基站返回IKE初始交換響應消息，由於安全網關需要基於家庭基站 的證書來認證家庭基站，因此在響應消息中包含CERTREQ來請求家庭基站的 證書，而且通過欄位MULTIPLE—AUTH—SUPPORTED指示家庭基站其支持 RFC4379規範，可以對家庭基站進行多次認證(在設備認證後進行HP認證)。
經過IKE初始交換流程後，家庭基站向安全網關發送設備認證請求消息， 請求消息中攜帶家庭基站的設備標識HNB ID，家庭基站證書HNB CERT,認證 AUTH參數，並通過CERTREQ請求安全網關的證書，如果家庭基站的遠程IP 地址需要動態配置，在消息中還需要攜帶配置載荷CP(CFG—REQUEST);家庭 基站通過欄位MULTIPLE_AUTH—SUPPORTED指示安全網關其支持RFC4379 規範，可以進行多次認證，並通過欄位ANOTHER一AUTH—FOLLOWS指示安全 網關其希望發起下一個認證。
安全網關驗證該消息中的家庭基站證書和AUTH參數，向家庭基站返回設 備認證響應消息，如果設備認證成功，安全網關在響應消息中攜帶安全網關證 書SeGW CERT。
家庭基站對安全網關證書驗證後，向安全網關請求下一個認證向安全網 關發送HP認證請求消息，在所述HP認證請求消息中攜帶家庭基站的擁有方才莫 塊(Hosting Party Module, HPM)地址HPM ID,開始獨立的HP認證流程。 在實現本發明過程中，發明人發現現有技術中至少存在這樣的問題 在IKE初始交換流程中，安全網關並未對家庭基站的身份進行認證，此時 可能會存在假冒的家庭基站的情況，如果假冒的家庭基站在向安全網關發送設 備認證請求消息中，不向安全網關發送ANOTHER—AUTH_FOLLOWS欄位請求 安全網關其希望發起下一個認證，此時安全網關在驗證完假冒的家庭基站證書 後，將結束對家庭基站的進一步認證，這樣會增大假冒的家庭基站通過網絡認 證的威脅；而且，還存在這樣的情形合法的家庭基站需要進行HP認i正，但在 向安全網關發送設備認證請求消息中未攜帶ANOTHER—AUTH—FOLLOWS字 段，在合法的家庭基站通過了設備認證後，有可能不再主動向安全網關請求下 一個認證，不再繼續進行HP認證，這樣就無法確保合法的家庭基站通過認證接 入網絡。
9

發明內容
有鑑於此，有必要提出一種接入點認證的方法、系統及安全網關，能夠有
效降低假冒的接入點通過網絡認證的威脅；同時在需要對接入點進行多次認證 時，可以確保合法的接入點通過iU正接入網絡。
為實現上述目的，本發明實施例是通過如下技術方案實現的
一方面，糹是供一種4姿入點認證的方法，包括
安全網關獲取接入點的認證類型；
安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入點的 多次認i正流程。
另一方 面，提供一種安全網關，包括 認證類型獲取單元，用於獲取接入點的認證類型；
判斷單元，用於根據認證類型獲取單元獲取的所述接入點的認證類型，判 斷是否發起所述接入點的多次認證流程。
再一方面，提供一種接入點認i正的系統，包括 接入點，用於向安全網關發送設備認證請求消息；
安全網關，用於接收接入點的設備認證請求消息，根據所述設備認證請求 消息對接入點進行設備認證；獲取所述接入點的認證類型，並根據獲取的所述 接入點的認證類型，判斷是否發起所述接入點的多次認證流程。
由以上技術方案可知，安全網關通過獲取接入點的認證類型，在安全網關 對接入點的設備認證成功後，根據獲取的所述接入點的認證類型，由安全網關 判斷是否發起所述接入點的多次認證流程， 一方面可以避免假冒的接入點通過 不向安全網關發送多次認證的指示而增大假冒的接入點通過網絡認證的威脅， 從而能夠有效降低假冒的接入點通過網絡認證的威脅；另一方面可以避免在合 法接入點通過設備認證後，不再主動向安全網關請求下一個認證，通過由安全 網關主動發起下一個認證流程，從而在合法的接入點需要進行多次認證時，可 以確保合法的接入點通過認證接入網絡。


圖1為本發明實施例提供的接入點認證的方法的流程圖2為本發明實施例一提供的認證流程圖3為本發明實施例二提供的認證流程圖4為本發明實施例三提供的認證流程圖5為本發明實施例四提供的認證流程圖6為本發明實施例提供的安全網關的結構示意圖7為本發明實施例提供的接入點認證的系統的組成示意圖。
具體實施例方式
下面結合附圖對本發明實施例提供的技術方案進一步詳細描述。 參見圖1,圖1為本發明實施例提供的一種接入點認證的方法，包括 步驟IOI，安全網關獲取接入點的認證類型。
接入點的認證類型分為兩大類單次認證和多次認證。例如，單次認證可 為設備認證、綁定的設備認證+HP認證；多次認證可為設備認證+獨立的 HP認證。在這三種認證類型中，設備認證是必選的，對擁有方(和運營商籤訂 合同持有接入點的人，3GPP標準上稱為Host Party, HP)的認證是可選。對HP 的認證包括兩種 一種是與對接入點的設備認證綁定在一起完成； 一種是獨立 的HP認證。
認證類型可以用兩位的二進位數來表示，例如，00表示設備認證，01表 示設備認證+獨立的HP認證，11表示綁定的設備認證+HP認證。當然也可以 用其他形式來表示認證類型。
接入點是否支持多次認證，可以用一位的二進位數來表示，例如，0表示 只需進行設備認證，1表示除進行設備認證外還需要進行HP認證。當然也可以 用其他形式來表示接入點是否支持多認證。
安全網關可以通過以下方法獲取接入點的認證類型
方法之一，從接入點的證書中獲取，所述接入點的證書包括表示接入點認 證類型的屬性值。這個證書可能是運營商或製造商向接入點籤發的，由運營商 或製造商在證書中增加一個屬性值，該屬性值用於標識接入點的認證類型。方法之二，從接入點的設備標識中獲取，所述接入點的設備標識根據認證 類型進行不同的命名。安全網關能夠根據其接收到的接入點的設備標識得到接
入點的認證類型，從而決定是否需要對接入點進行HP的認證。
方法之三，從保存所述接入點認證類型的網絡側伺服器上獲取，所述網絡 側伺服器與所述接入點的設備標識有對應關係。安全網關可以以接入點的設備 標識為索引從保存接入點的認證類型的網絡側伺服器上獲取，這個網絡側的服 務器可以是安全網關本身，AAAServer (認證、授權和計費伺服器， Authentication,Authorization and Accountiong Server), HSS ( !^3屬用戶月l務器， Home Subscriber Server )，或者一個獨立的保存接入點的認證類型的伺服器等。 需要說明的是，安全網關獲取接入點的認證類型的時間比較靈活，可以在 對接入點進行設備認證之前，從接入點的證書中、接入點的設備標識中或從保 存所述接入點認證類型的網絡側伺服器上獲取；可以在對接入點進行設備認證 過程中從接入點的證書中獲取；也可以在對接入點的設備認證成功後再獲取接 入點的認證類型。
步驟102,安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述 接入點的多次認證流程。
本步驟可以有多種實現方案
實現方案之一，安全網關接收接入點的設備認證請求消息，所述請求消息 中攜帶所述接入點的設備標識、證書和AUTH參數；
如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 則在安全網關對所述接入點設備認證成功後，安全網關向所述接入點返回設備 認證成功的響應消息，並在所述響應消息中攜帶EAP消息(EAP Request/Identity)，由安全網關發起所述接入點的HP認證。
實現方案之二，安全網關接收接入點的設備認證請求消息，所述請求消息 中攜帶所述接入點的設備標識、證書、AUTH參數以及 MULTIPLE—AUTH—SUPPORTED欄位；
如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 則在安全網關對所述接入點設備認證成功後，安全網關向所述接入點返回設備認證成功的響應消息，並在所述響應消息中攜帶ANOTHER—AUTH—FOLLOWS 欄位，請求所述接入點發起HP認證。
實現方案之三，安全網關接收接入點的設備認證請求消息，所述請求消息 中攜帶所述接入點的設備標識、證書、AUTH參數以及
MULTIPLE—AUTH—SUPPORTED欄位和ANOTHER—AUTH—FOLLOWS欄位；
所述安全網關根據其是否從所述設備認證請求消息中接收到所述 ANOTHER_AUTH—FOLLOWS欄位，與獲取的所述接入點的認證類型進行比對， ^f艮據比對結果來決定其下一步的行為
如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 並且從所述設備認證請求消息中接收到所述ANOTHER_AUTH_FOLLOWS字 段，則在安全網關對所述接入點設備認證成功後，安全網關向所述接入點返回 設備認證成功的響應消息，由所述接入點發起對HP的認證；或者安全網關向所 述接入點返回設備認證成功的響應消息，並在所述響應消息中攜帶EAP消息 (EAP Request/Identity )，請求所述接入點發起HP認證；
如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 寸旦未從所述設備認證請求消息中接收到所述ANOTHER一AUTH一FOLLOWS字 段，則安全網關直接向所述接入點返回設備認證失敗的消息，結束所述接入點 的認證流程；或者在安全網關對所述接入點進行設備認證成功後，安全網關向 所述接入點返回設備認證失敗的消息，結束所述接入點的認證流程；或者在安 全網關對所述接入點設備認證成功後，安全網關向所述接入點返回設備認證成 功的響應消息，並在所述響應消息中攜帶EAP Request/Identity,請求所述接入 點發起HP認證。
實現方案之四，安全網關接收接入點的設備認證請求消息，所述請求消息 中攜帶所述接入點的設備標識、證書、AUTH參數，並在CP中攜帶所述接入點 的擁有方HP的身份標識HPM ID;
所述安全網關根據其是否從所述設備認證請求消息中接收到所述HPM ID， 與獲取的所述接入點的認證類型進行比對，根據比對結果來決定其下一步的行 為如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 並且從所述設備認證請求消息中接收到所述HPM ID,則在安全網關對所述接入 點設備認證成功後，安全網關向AAA Server發送HP認證請求消息，在所述消 息中攜帶所述HPM ID,直接進行所述接入點的HP認證流程；
如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 但未從所述設備認證請求消息中接收到所述HPM ID，則安全網關直接向所述接 入點返回設備認證失敗的消息，結束所述接入點的認證流程；或者在安全網關 對所述接入點進行設備認證成功後，安全網關向所述接入點返回設備認證失敗 的消息，結束所述接入點的認證流程；或者在安全網關對所述接入點設備認證 成功後，安全網關向所述接入點返回設備認證成功的響應消息，並在所述響應 消息中攜帶EAP消息(EAP Request/Identity),請求所述接入點發起HP認證。
本發明實施例提供的接入點認證的方法，通過獲取接入點的認證類型，在 安全網關對接入點的設備認證成功後，根據獲取的所述接入點的認證類型，由 安全網關判斷是否發起所述接入點的下一個認證流程， 一方面可以避免假冒的 接入點通過不向安全網關發送多次認證的指示而增大假冒的接入點通過網絡認 證的威脅，從而能夠有效降低假冒的接入點通過網絡認證的威脅；另一方面可 以避免在合法接入點通過設備認證後，不再主動向安全網關請求下一個認證， 通過由安全網關主動發起下一個認證流程，從而在合法的接入點需要進行多次 認證時，可以確保合法的接入點通過認證接入網絡。
部或部分流程，是可以通過電腦程式來指令相關的硬/f牛來完成，該程序可存 儲於一計算機可讀取存儲介質中，在該程序執行時，可包括如上述各方法的實 施例的流程。其中，該存儲介質可為磁碟、光碟、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
下面以對家庭基站進行設備認證+獨立的HP認證為例，對本發明實施例提 供的接入點認證的方法做詳細說明。 實施例一參見圖2,圖2為本發明實施例一的認證流程圖 步驟201,家庭基站向安全網關發送IKE初始交換請求消息。 步驟202 ，安全網關向家庭基站返回IKE初始交換請求的響應消息。 由於安全網關需要基於家庭基站的證書來認證家庭基站，因此在響應消息 中攜帶CERTREQ來請求家庭基站的證書。
步驟203 ，家庭基站向安全網關發送設備認證請求消息。 在請求消息中攜帶家庭基站的設備標識HNB ID，家庭基站證書HNB CERT， AUTH參數，請求安全網關證書的CERTREQ,如果家庭基站的遠程IP 地址需要動態配置，在請求消息中還攜帶配置載荷CP(CFG_REQUEST)。 步驟204，安全網關獲取家庭基站的認證類型。
安全網關獲取家庭基站的認證類型的方式包括1)從家庭基站的證書中獲 取；2)從保存有家庭基站認證類型的網絡側伺服器中獲取；3)根據家庭基站 本身的設備標識判斷得到。
步驟205 ，安全網關對家庭基站進行設備認證。
安全網關通過驗證家庭基站的證書和AUTH參數，對家庭基站進行設備認證。
需要說明的是，安全網關獲取家庭基站的認證類型可以在家庭基站進行設 備認證步驟之前、之中或之後進行。如果設備認證成功，安全網關將根據獲取 的認證類型，判斷是否發起家庭基站的下一個認證流程。
步驟206,安全網關向家庭基站返回設備認證請求的響應消息。
在響應消息中攜帶安全網關的身份標識SeGW ID、安全網關的證書SeGW GERT和AUTH參數，如果安全網關希望家庭基站發起下一個認證，在響應消 息中還攜帶EAP消息(EAPRequest/Identity),請求家庭基站發送其擁有方的身 份標識HPM ID，從而發起HP認證。
步驟207，家庭基站對安全網關進行驗證。
家庭基站通過驗證安全網關的證書SeGW GERT和AUTH參數，對安全網 關進行驗證。當家庭基站需要基於安全網關的證書來認證安全網關時，家庭基 站需要檢測AUTH參數。
15步驟208,家庭基站向安全網關發送HP認證請求消息。
在家庭基站對安全網關驗證通過後，家庭基站向安全網關發送獨立的HP認證請求消息，所述請求消息中攜帶家庭基站的擁有方的身份標識HPMID。請求消息中不攜帶AUTH參數是為了向安全網關指示其發起的是EAP-AKA認證流程。
步驟209，安全網關向AAA伺服器發送EAP認證請求消息。在所述請求消息中，攜帶空的EAP屬性值對(AVP)，請求消息中僅攜帶
在上一步中接收到的家庭基站的擁有方的身份標識HPMID。
步驟210, AAA伺服器從HSS ( Home Subscriber Sever,歸屬用戶伺服器)
或HLR (Home Location Register,歸屬位置寄存器)上獲取用戶信息和認證向量。
步驟211, AAA伺服器向安全網關發起EAP認證挑戰。在所述EAP認證挑戰中攜帶EAP-Request/AKA-Challenge消息。步驟212，安全網關向家庭基站轉發EAP認證挑戰。
在該EAP認證挑戰中攜帶了 AAA伺服器向安全網關發起的認證挑戰
EAP畫Request/AKA-Challenge消息。
步驟213，家庭基站向安全網關發送EAP認證挑戰響應。
在該EAP認證挑戰響應消息中攜帶有EAP Response/AKA-Challenge。
步驟214,安全網關向AAA伺服器轉發EAP認證挑戰響應。
步驟215, AAA伺服器向安全網關返回EAP認證成功消息。
在所述EAP認證成功消息中攜帶密鑰材料(key material )，所述密鑰材料包
括在認證中生成的主密鑰(MSK)。
步驟216,安全網關使用MSK生成AUTH參數。
為了認證IKE初始交換請求消息，安全網關使用MSK生成AUTH參數。
步驟217，安全網關向家庭基站返回EAP認證成功消息。
至此，對家庭基站的HP認證完成。
步驟218，家庭基站使用自身的MSK生成AUTH參數。
步驟219，家庭基站向安全網關發送AUTH參數驗證請求消息。家庭基站將自身生成的AUTH參數發送給安全網關。步驟220,安全網關驗證AUTH參數。
本步驟中，安全網關使用自身生成的AUTH參數驗證從家庭基站接收到的AUTH參數的正確性。
步驟221,安全網關向家庭基站返回AUTH參悽L瞼i正響應消息。
AUTH參數驗證成功後，安全網關向家庭基站返回AUTH參數驗i正響應消息，在所述響應消息中將家庭基站請求的遠程IP、安全關聯以及其餘的IKE參數一起發給家庭基站，至此整個IKE協商結束。
本發明實施例一是現有技術的一個替代方案，在家庭基站向安全網關發送設備認證請求消息中，未攜帶欄位MULTIPLE—AUTH—SUPPORTED指示安全網關其支持RFC4379規範，也未攜帶欄位ANOTHER—AUTH—FOLLOWS指示安全網關 其希望發起多次認證。由安全網關根據獲取的家庭基站類型來決定是否發起HP認證，在安全網關對家庭基站的設備認證成功後，安全網關根據獲取的認證類型決定是否向家庭基站請求下一個認證。
實施例二
參見圖3，圖3為本發明實施例二的認證流程圖步驟301,家庭基站向安全網關發送IKE初始交換請求消息。步驟302，安全網關向家庭基站返回IKE初始交換請求的響應消息。由於安全網關需要基於家庭基站的證書來認證家庭基站，因此在響應消息中攜帶CERTREQ來請求家庭基站的證書；在響應消息中安全網關通過MULTIPLE—AUTH—SUPPORTED欄位指示家庭基站其支持RFC4379規範。步驟303,家庭基站向安全網關發送設備認證請求消息。在請求消息中攜帶家庭基站的設備標識HNB ID,家庭基站證書HNBCERT， AUTH參數，請求安全網關證書的CERTREQ,如果家庭基站的遠程IP位址需要動態配置，在請求消息中還攜帶配置載荷CP(CFG—REQUEST);家庭基站通過MULTIPLE—AUTH_SUPPORTED欄位指示安全網關其支持RFC4379規範。步驟304，安全網關獲取家庭基站的認證類型。
安全網關獲取家庭基站的認證類型的方式包括1)從家庭基站的證書中獲取；2)從保存有家庭基站認證類型的網絡側伺服器中獲取；3)根據家庭基站本身的設備標識判斷得到。
步驟305,安全網關對家庭基站進行設備認證。
安全網關通過驗證家庭基站的證書和AUTH參數，對家庭基站進行設備認證。
需要說明的是，安全網關獲取家庭基站的認證類型可以在家庭基站進行設備認證步驟之前、之中或之後進行。如果設備認證成功，安全網關將並根據獲取的認證類型，判斷是否發起家庭基站的下一個認證流程。
步驟306,安全網關向家庭基站返回設備認證請求的響應消息。
在響應消息中攜帶安全網關的身份標識SeGW ID、安全網關的證書SeGWGERT和AUTH參數，如果安全網關希望家庭基站發起下一個認證，在響應消息中還攜帶ANOTHER_AUTH—FOLLOWS欄位，請求家庭基站發送其擁有方的身份標識HPM ID,從而發起HP認證。
步驟307,家庭基站對安全網關進行驗證。
家庭基站通過驗證安全網關的證書SeGW GERT和AUTH參數對安全網關進行驗證。當家庭基站需要基於安全網關的證書來認證安全網關時，家庭基站需要檢測AUTH參數。
步驟308,家庭基站向安全網關發送HP認證請求消息。
在家庭基站對安全網關驗證通過後，家庭基站向安全網關發送獨立的HP認證請求消息，所述請求消息中攜帶家庭基站的擁有方的身份標識HPMID。請求消息中不攜帶AUTH參數是為了向安全網關指示其發起的是EAP-AKA認證流程。
安全網關和家庭基站通過AAA伺服器和HSS/HLR完成EAP-AKA認證過程同實施例一中的步驟209 ~步驟221,在此不再贅述。
本發明實施例二是現有技術的一個改進方案，在家庭基站的設備認證請求中未攜帶ANOTHER—AUTH_FOLLOWS欄位指示安全網關其希望發起下一個認證，由安全網關根據獲取的認證類型來判斷是否發起家庭基站的下一個認證。在安全網關對家庭基站的設備認證成功後，安全網關根據獲取的認證類型決定
是否通過字#爻ANOTHER—AUTH一FOLLOWS向家庭基站請求下一個認i正。實施例三
參見圖4,圖4為本發明實施例三的認證流程圖步驟401,家庭基站向安全網關發送IKE初始交換請求消息。步驟402，安全網關向家庭基站返回IKE初始交換請求的響應消息。由於安全網關需要基於家庭基站的證書來認證家庭基站，因此在響應消息中攜帶CERTREQ來請求家庭基站的證書；在響應消息中安全網關通過MULTIPLE_AUTH—SUPPORTED欄位指示家庭基站其支持RFC4379規範。步驟403,家庭基站向安全網關發送設備認證請求消息。在請求消息中攜帶家庭基站的設備標識HNB ID，家庭基站證書HNBCERT， AUTH參數，請求安全網關證書的CERTREQ，如果家庭基站的遠程IP位址需要動態配置，在請求消息中還攜帶配置載荷CP(CFG—REQUEST);家庭基站通過MULTIPLE—AUTH—SUPPORTED欄位指示安全網關其支持RFC4379規範，通過ANOTHER—AUTH—FOLLOWS欄位指示安全網關其希望發起下一個認證。
步驟404，安全網關獲取家庭基站的認證類型。
安全網關獲取家庭基站的認證類型的方式包括1)從家庭基站的證書中獲取；2 )從保存有家庭基站認證類型的網絡側伺服器中獲取；3 )根據家庭基站本身的設備標識判斷得到。
步驟405,安全網關對家庭基站進行設備認證。
安全網關通過驗證家庭基站的證書和AUTH參數，對家庭基站進行設備認證。
需要說明的是，安全網關獲取家庭基站的認證類型可以在家庭基站進行設備認證步驟之前進行。在這種情況下，安全網關首先根據設備認證請求消息中攜帶的進行多次認證的指示(欄位ANOTHER—AUTH—FOLLOWS )與安全網關
19獲取的認證類型是否一致進行判斷，如果不一致，則安全網關可能對家庭基站
不再進行設備認證而直接向家庭基站返回設備認證失敗的響應消息；或者，在 安全網關在對家庭基站設備認證成功後，安全網關根據獲取的認證類型，判斷 是否發起家庭基站的下一個認證流程。當然，安全網關獲取家庭基站的認證類 型也可以在家庭基站進行設備認證之中或之後進行，在這兩種情況下，在安全 網關在對家庭基站設備認證成功後，將根據獲取的認證類型，判斷是否發起家 庭基站的下 一個認i正流程。
步驟406,安全網關將獲取的認證類型與是否從設備認證請求消息中接收到 ANOTHER_AUTH—FOLLOWS欄位進行比對，根據比對結果來決定其下一步的 行為
如果安全網關獲取的認證類型為設備認證+獨立的HP認證，並且從設備認 證請求消息中接收到ANOTHER_AUTH—FOLLOWS欄位，則安全網關向家庭基 站返回設備認證成功的響應消息，由家庭基站發起對HP的認證；其餘的流程完 全同於現有技術。
或者，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，並且從 設備認證請求消息中接收到ANOTHER—AUTH—FOLLOWS欄位，則安全網關向 家庭基站返回設備認證成功的響應消息，並在所述響應消息中攜帶EAP R叫uest/Identity消息，請求家庭基站發起HP認證，其餘流程如實施例 一 中的步 驟206 步驟221，在此不再贅述；
如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從設備認 證請求消息中接收到ANOTHER—AUTH_FOLLOWS欄位，則安全網關向家庭基 站返回設備認證失敗的響應消息，結束家庭基站的認證流程；這樣的操作可以 避免假冒的家庭基站通過不向安全網關發送下一個認證的指示而增大假冒的家 庭基站通過網絡認證的威脅，從而能夠有效降低假冒的家庭基站通過網絡認證 的威脅。
或者，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從 設備認證請求消息中接收到ANOTHER—AUTH一FOLLOWS欄位，則安全網關向 家庭基站返回設備認證成功的響應消息，並在所述響應消息中攜帶EAPRequest/Identity欄位，請求家庭基站發起HP認證；這樣的操作可以避免在合法 家庭基站通過設備認證後，不再主動向安全網關請求下一個認證而無法確保合 法的家庭基站通過認證接入網絡，通過由安全網關主動發起下一個認證流程， 從而在合法的家庭基站需要進行設備認證+獨立的HP認證時，可以確保合法的 家庭基站通過認證4妻入網絡。
本發明實施例三也是現有技術的一個改進方案，在安全網關對家庭基站的 設備認證成功後，安全網關將獲取的認證類型與其是否從設備認證請求中接收 到ANOTHER—AUTH—FOLLOWS欄位進行比對，根據比對結果來決定是否發起 家庭基站的下 一個認證流程。
實施例四
參見圖5，圖5為本發明實施例四的認證流程圖 步驟501,家庭基站向安全網關發送IKE初始交換請求消息。 步驟502，安全網關向家庭基站返回IKE初始交換請求的響應消息。 由於安全網關需要基於家庭基站的證書來認證家庭基站，因此在響應消息 中攜帶CERTREQ來請求家庭基站的證書。
步驟503 ，家庭基站向安全網關發送設備認證請求消息。 在請求消息中攜帶家庭基站的設備標識HNB ID，家庭基站證書HNB CERT, AUTH參數，請求安全網關證書的CERTREQ，如果家庭基站的遠程IP 地址需要動態配置，在請求消息中還攜帶配置載荷CP(CFG—REQUEST);如果 家庭基站支持多認證，還將擁有方HP的身份標識HPMID攜帶在一個CP載荷 中。
步驟504，安全網關獲取家庭基站的認證類型。
安全網關獲取家庭基站的認證類型的方式包括1)從家庭基站的證書中獲 取；2)從保存有家庭基站認證類型的網絡側伺服器中獲取；3)根據家庭基站 本身的設備標識判斷得到。
步驟505,安全網關對家庭基站進行設備認證。
安全網關通過驗證家庭基站的證書和AUTH參數，對家庭基站進行設備認證。
需要說明的是，安全網關獲取家庭基站的認證類型可以在家庭基站進行設 備認證步驟之前進行。在這種情況下，安全網關首先根據設備認證請求消息是
否攜帶了HPMID,如果未攜帶，則安全網關可能對家庭基站不再進行設備認證 而直接向家庭基站返回認證失敗的消息；或者，在安全網關對家庭基站設備認 證成功後，安全網關將根據獲取的認證類型，判斷是否發起家庭基站的下一個 認證流程。當然，安全網關獲取家庭基站的認證類型也可以在家庭基站進行設 備認證之中或之後進行，在這兩種情況下，在安全網關在對家庭基站設備認證 成功後，將根據獲取的認證類型，判斷是否發起家庭基站的下一個認證流程。
步驟506，安全網關將獲取的認證類型與是否從設備認證請求消息中接收到 HPMID進行比對，根據比對結果來決定其下一步的行為
如果安全網關獲取的認證類型為設備認證+獨立的HP認證，並且從設備認 證請求消息中接收到HPM ID,則安全網關向AAA Server發送HP認證請求消 息，在所述消息中攜帶該HPMID,直接進行所述接入點的HP認證流程，即繼 續步驟507的流程。
如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從設備認 證請求消息中接收到HPM ID,則安全網關向家庭基站返回設備認證失敗的響應 消息，結束家庭基站的認證流程；這樣的操作可以避免假冒的家庭基站通過不 向安全網關發送下一個認證的指示而增大假冒的家庭基站通過網絡認證的威 脅，從而能夠有效降低假冒的家庭基站通過網絡認證的威脅。
或者，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從 設備認證請求消息中接收到HPMID,則安全網關向家庭基站返回設備認證成功 的響應消息，並在所述響應消息中攜帶EAP Request/Identity消息，請求家庭基 站發起HP認證；這樣的操作可以避免在合法家庭基站通過設備認證後，不再主 動向安全網關請求下一個認證而無法確保合法的家庭基站通過認證接入網絡， 通過由安全網關主動發起下一個認證流程，從而在合法的家庭基站需要進行設 備認證+獨立的HP認證時，可以確保合法的家庭基站通過認證接入網絡。
步驟507,安全網關向AAA伺服器發送EAP認證請求消息。在所述請求消息中，攜帶空的EAP屬性值對(AVP)，請求消息中僅攜帶 在步驟503中接收到的家庭基站的擁有方的身份標識HPMID。
步驟508， AAA伺服器從HSS ( Home Subscriber Sever,歸屬用戶伺服器) 或HLR (Home Location Register,歸屬位置寄存器)上獲取用戶信息和認證向量。
步驟509， AAA伺服器向安全網關發起EAP認證挑戰。 在所述EAP認證挑戰中攜帶EAP-Request/AKA-Challenge消息。 步驟510，安全網關向家庭基站轉發EAP認證挑戰。
在該EAP認證挑戰中攜帶了 AAA伺服器向安全網關發起的認證挑戰 EAP-Request/AKA-Challenge消息，以及安全網關的身份標識SeGW ID 、安全網 關的證書SeGW GERT和AUTH參數。
步驟511、家庭基站對安全網關進行驗證。
家庭基站通過驗證安全網關的證書SeGW GERT和AUTH參數對安全網關 進行驗證。當家庭基站需要基於安全網關的證書來認證安全網關時，家庭基站 需要檢測AUTH參數。
步驟512 步驟520,依次同於實施例一中的步驟213~步驟221,在此不
再贅述。
本發明實施例四是現有技術的一個替代方案，如果家庭基站支持多認證， 則在家庭基站向安全網關發送的設備認證請求消息中，將HP的身份標識HPM ID攜帶在CP載荷中。安全網關在對家庭基站的設備認證成功後，安全網關根 據獲取的認證類型與其是否從設備認證請求中接收到HPM ID進行比對，根據 比對結果來決定是否發起家庭基站的下 一 個認證流程。
需要說明的是，在本發明實施例提供的接入點認證的方法同樣適用於接入 點僅進行設備認證或進行綁定的設備認證+HP認證的情形。在以上實施例中， 如果安全網關獲取的接入點(家庭基站)的認證類型為僅進行設備認證或進行 綁定的設備認證+HP認證，則安全網關在獲取家庭基站的認證類型步驟後(以 上實施例中的步驟205、步驟305 ),直接向家庭基站返回設備認證請求的響應 消息，完成對家庭基站的認證。或者，如果安全網關獲取的接入點(家庭基站)的認證類型為僅進行設備
認證或進行綁定的設備認證+HP認證，並且未從設備認證中接收到進一步認證 的指示(ANOTHER—AUTH—FOLLOWS欄位或HMP ID )，則在安全網關將獲取 的認證類型與是否從設備認證請求消息中接收到下 一 步認證指示進行比對的步 驟後(以上實施例中的步驟406、步驟506)，直接向家庭基站返回設備認證請 求的響應消息，完成對家庭基站的認證。
或者，如果安全網關獲取的接入點(家庭基站)的認證類型為僅進行設備 認證或進行綁定的設備認證+HP認證，但是從設備認證中接收到進一步認證的 指示(ANOTHER—AUTH—FOLLOWS欄位或HMP ID),則在安全網關將獲取的 認證類型與是否從設備認證請求消息中接收到下 一步認證指示進行比對的步驟 後(以上實施例中的步驟406、步驟506)，安全網關根據運營商或者其本身的 一些規定來決定是否需要對接入點(家庭基站)進行設備認證，還是採取其它 行為。
本發明實施例還提供了一種安全網關，參見圖6，圖6為本發明實施例提供 的安全網關的結構示意圖，包括
認證類型獲取單元601,用於獲取所述接入點的認證類型；
判斷單元602，用於根據認證類型獲取單元601獲取的所述接入點的認證類 型，判斷是否發起所述接入點的多次認證流程。
所述認證類型獲取單元601包括
獲取模塊一，用於從所述接入點的證書中獲取，所述接入點的證書包括表 示接入點認證類型的屬性值；
獲取模塊二，用於從所述接入點的設備標識中獲取，所述接入點的設備標 識根據認證類型進行不同的命名；
獲取;f莫塊三，用於從保存所述接入點認證類型的網絡側伺服器上獲取，所 述網絡側伺服器與所述接入點的設備標識有對應關係。
本發明實施例提供的安全網關還包括
請求接收單元603 ，用於接收接入點的設備認證請求消息；設備認證單元604，用於根據所述設備認證請求消息對接入點進行設備認
證；
響應發送單元605,用於才艮據所述判斷單元602向接入點發送所述設備認i正 請求的響應消息。
其中，請求接收單元603可以有多種接收請求消息方式，包括
請求接收模塊一，用於接收接入點的設備認證請求消息，所述請求消息中 攜帶包括所述接入點的設備標識、證書和AUTH參數；
請求接收模塊二，用於接收接入點的設備認證請求消息，所述請求消息中 攜帶包括所述接入點的設備標識、證書、AUTH參數以及 MULTIPLE—AUTH—SUPPORTED欄位；
請求接收模塊三，用於接收接入點的設備認證請求消息，所述請求消息中 攜帶包括所述接入點的設備標識、證書、AUTH參數以及 MULTIPLE—AUTH—SUPPORTED欄位和ANOTHER—AUTH—FOLLOWS欄位；
請求接收模塊四，用於接收接入點的設備認證請求消息，所述請求消息中 攜帶包括所述接入點的設備標識、證書、AUTH參數，並在配置載荷CP中攜帶 所述接入點的擁有方HP的身份標識HPMID。
在一種優化實施例中，所述的判斷單元602還用於根據其是否從所述設備 認證請求消息中接收到進行多次認證的指示，與獲取的所述接入點的認證類型 進行比對，判斷是否發起所述接入點的多次認證流程。
相應地，響應發送單元605也有多種響應發送方式，包括
響應發送模塊一，用於向所述接入點發送設備認證成功的響應消息，並在 所述響應消息中攜帶EAP消息，由安全網關發起所述接入點的HP認證；
響應發送模塊二，用於向所述接入點發送設備認證成功的響應消息，並在 所述響應消息中攜帶ANOTHER—AUTH—FOLLOWS欄位，請求所述接入點發起 HP認證^
響應發送模塊三，用於向所述接入點發送設備認證成功的響應消息，由所 述接入點發起對HP的認證；
響應發送模塊四，用於向所述接入點發送設備認證失敗的響應消息，結束
25所述接入點的認證流程。
所述的安全網關還包括
HP認證請求單元606，用於根據向認證、授權和計費伺服器AAA Server 發送HP認證請求消息，在所述消息中攜帶所述HPM ID,直接進行所述接入點 的HPiU正流程。
例如，請求接收模塊一接收到接入點的設備認證請求消息，如果認證類型 獲取單元601獲取到的認證類型為設備認證+獨立的HP認證，則判斷單元602 或通過響應發送模塊一或通過響應發送才莫塊三向接入點發送所述設備認證請求 的響應消息。
再如，請求接收模塊二接收到接入點的設備認證請求消息，如果認證類型 獲取單元601獲取到的認證類型為設備認證+獨立的HP認證，則判斷單元602 可通過響應發送模塊二向接入點發送所述設備認證請求的響應消息。
再如，請求接收模塊三接收到接入點的設備認證請求消息，如果認證類型 獲取單元601獲取到的認證類型為設備認證+獨立的HP認證，但未從設備認證 請求消息中接收到所述ANOTHER—AUTH_FOLLOWS欄位，則判斷單元602通 過響應發送模塊四向接入點發送設備認證失敗的響應消息，結束接入點的認證 流程；這樣的操作可以避免假冒的家庭基站通過不向安全網關發送下一個認證 的指示而增大假冒的家庭基站通過網絡認證的威脅，從而能夠有效降低假冒的 家庭基站通過網絡認證的威脅。
或者，判斷單元602通過響應發送模塊一向接入點發送設備認證成功的響 應消息，並在所述響應消息中攜帶EAP Request/Identity欄位，請求所述接入點 發起HP認證；這樣的操作可以避免在合法家庭基站通過設備認證後，不再主動 向安全網關請求下一個認證而無法確保合法的家庭基站通過認證接入網絡，通 過由安全網關主動發起下一個認證流程，從而在合法的家庭基站需要進行設備 認證+獨立的HP認證時，可以確保合法的家庭基站通過認證接入網絡。
再如，請求接收模塊四接收到接入點的設備認證請求消息，如果認證類型 獲取單元601獲取到的認證類型為設備認證+獨立的HP認證，並且從設備認證 請求消息中接收到所述HPM ID,則判斷單元602通過HP認證請求單元606向AAA Server發送HP認證請求消息，直接進行接入點的HP認證流程。
本發明實施例提供的安全網關，通過認證類型獲取單元601獲取接入點的 認證類型，由判斷單元602根據獲取的接入點的認證類型，判斷是否發起所述 接入點的多次認證流程， 一方面可以避免々I冒的接入點通過不向安全網關發送 多次認證的指示而增大假冒的接入點通過網絡認證的威脅，從而能夠有效降低 假冒的接入點通過網絡認證的威脅；另一方面可以避免在合法接入點通過設備 認證後，不再主動向安全網關請求下一個認證，通過由安全網關主動發起下一 個認證流程，從而在合法的接入點需要進行設備認證+獨立的HP認證時，可以 確保合法的接入點通過認證接入網絡。
本發明實施例還提供了一種接入點認證的系統，參見圖7，圖7為本發明實 施例提供的接入點認i正的系統的組成示意圖，包括
接入點710,用於向安全網關720發送設備認證請求消息；
安全網關720,用於接收接入點710的設備認證請求消息，才艮據所述設備i人 證請求消息對接入點進行設備認證；獲取所述接入點的認證類型，並才艮據獲取 的所述接入點的認證類型，判斷是否發起所述接入點的多次認證流程。
所述安全網關720，還用於根據其是否從所述設備認證請求消息中接收到多 次認證的指示，與獲取的所述接入點的認證類型進行比對，判斷是否發起所述 接入點的下 一個認證流程。
例如，接入點向安全網關發送的設備認證請求消息中攜帶有 ANOTHER—AUTH—FOLLOWS欄位或HPM ID,用於指示安全網關其希望進行 多次認證，則安全網關720將獲取的所述接入點的認證類型與是否從所述設備 認證請求消息中接收到多次認證的指示進行比對，根據比對的結果判斷是否發 起所述接入點的下一個認證流程。
根據安全網關的判斷結果，安全網關向所述接入點發送所述設備認證請求 的響應消息，所述響應消息包括如下任一情形
向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜帶 EAP Request/Identity消息，請求所述接入點發起HP認證；或，向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜
帶ANOTHER_AUTH—FOLLOWS欄位，請求所述接入點發起HP認證；
或，向所述接入點發送設備認證成功的響應消息，由所述4妄入點發起對HP 的認證；
或，向所述接入點發送設備認證失敗的響應消息，結束所述接入點的i人i正 流程。
所述安全網關還用於向認證、授權和計費伺服器AAA Server發送HP認證 請求消息，在所述消息中攜帶所述HPMID，直接進行所述接入點的HP認證流程。
例如，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，並且從 設備認證請求消息中接收到ANOTHER—AUTH—FOLLOWS欄位，則安全網關向 家庭基站返回設備認證成功的響應消息，並在所述響應消息中攜帶EAP R叫uest/Identity欄位，請求家庭基站發起HP認證。
再如，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，並且從 設備認證請求消息中接收到HPM ID，則安全網關向AAA Server發送HP認證 請求消息，在所述消息中攜帶該HPMID,直接進行所述接入點的HP認證流程。
再如，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從 設備認證請求消息中接收到ANOTHER一AUTH一FOLLOWS欄位，則安全網關直 接向所述接入點返回認證失敗的消息，結束所述接入點的認證流程；或者在安 全網關對所述接入點進行設備認證成功後，安全網關向家庭基站返回設備認證 失敗的響應消息，結束家庭基站的認證流程；這樣的操作可以避免假冒的家庭 基站通過不向安全網關發送多次認證的指示而增大假冒的家庭基站通過網絡認 證的威脅，從而能夠有效降低假冒的家庭基站通過網絡認證的威脅。
再如，如果安全網關獲取的認證類型為設備認證+獨立的HP認證，但未從 設備認證請求消息中接收到ANOTHER一AUTH一FOLLOWS欄位，則安全網關向 家庭基站返回設備認證成功的響應消息，並在所述響應消息中攜帶EAP Request/Identity欄位，請求家庭基站發起HP認證；這樣的操作可以避免在合法 家庭基站通過設備認證後，不再主動向安全網關請求下一個認證而無法確保合法的家庭基站通過認證接入網絡，通過由安全網關主動發起下一個認證流程，
從而在合法的家庭基站需要進行設備認證+獨立的HP認證時，可以確保合法的 家庭基站通過iU正4妻入網糹各。
在本發明實施例提供的系統中，接入點為家庭基站。
本發明實施例提供的系統，通過安全網關獲取所述接入點的認證類型，在 對接入點的設備認證成功後，根據獲取的接入點的認證類型，由安全網關判斷 是否發起所述接入點的多次認證流程， 一方面可以避免假冒的接入點通過不向 安全網關發送多次認證的指示而增大假冒的接入點通過網絡認證的威脅，從而 能夠有效降低假冒的接入點通過網絡認證的威脅；另一方面可以避免在合法接 入點通過設備認證後，不再主動向安全網關請求下一個認i正，通過由安全網關 主動發起下一個認證流程，從而在合法的接入點需要進行設備認證+獨立的HP 認證時，可以確保合法的接入點通過認證接入網絡。
以上對本發明實施例所提供的接入點認證的方法、系統及安全網關進行了 詳細介紹，本發明主要是通過安全網關獲取接入點的認證類型，根據獲取的所 述接入點的認證類型，由安全網關判斷是否發起所述接入點的下一個認證流程， 來降低假冒的接入點通過網絡認證的威脅，同時在需要對接入點進行多次認證 時，確保合法的接入點通過認證接入網絡。實施例的說明只是用於幫助理解本 發明的方法及其思想；任何熟悉本技術領域的技術人員在本發明揭露的技術範 圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本 發明的保護範圍應所述以權利要求的保護範圍為準。
29
權利要求
1、一種接入點認證的方法，其特徵在於，包括安全網關獲取接入點的認證類型；安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入點的多次認證流程。
2、 根據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 認證類型的方法包括從所述接入點的證書中獲取，所述接入點的證書包括表示4妄入點認證類型 的屬性值；或者，從所述接入點的設備標識中獲取，所述接入點的設備標識根據認證 類型進行不同的命名；或者，從保存所述接入點認證類型的網絡側伺服器上荻取，所述網絡側服 務器與所述接入點的設備標識有對應關係。
3、 根據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 認證類型的步驟可在安全網關對所述接入點進行設備認證之前獲取； 或者在安全網關對所述接入點進行設備認證過程中獲取； 或者在安全網關對所述接入點進行設備認證成功之後獲取。
4、 根據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 認證類型步驟之前還包括安全網關接收所述接入點的設備認證請求消息，所述請求消息中攜帶包括 所述接入點的設備標識、證書和認i正參lt AUTH;所述安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入 點的多次認證流程的步驟包括如果安全網關獲取的接入點的認證類型為設備認證+獨立的擁有方HP認 證，則在安全網關對所述4妄入點進行設備認i正成功後，向所述接入點返回設備 認證成功的響應消息，並在所述響應消息中攜帶可擴展認證協議EAP消息，由 安全網關發起所述接入點的擁有方HP認證。
5、 根據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 iU正類型步驟之前還包括安全網關接收所述接入點的設備認證請求消息，所述請求消息中攜帶包括 所述接入點的設備標識、證書、認證參數AUTH和以及 MULTIPLE—AUTH—SUPPORTED欄位；所述安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入 點的多次認證流程的步驟包括如果安全網關獲取的接入點的認證類型為設備認證+獨立的擁有方HP認 證，則在安全網關對所述接入點進行設備認證成功後，向所述接入點返回設備 認證成功的響應消息，並在所述響應消息中攜帶ANOTHER—AUTH—FOLLOWS 欄位，請求所述接入點發起擁有方HP認證。
6、 4艮據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 認證類型步驟之前還包括安全網關接收所述接入點的設備認證請求消息，所述請求消息中攜帶包括 所述接入點的設備標識、證書、認證參數AUTH和MULTIPLE—AUTH—SUPPORTED欄位、ANOTHER—AUTH—FOLLOWS欄位； 所述安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入點的多次i/^正流程的步驟包括所述安全網關根據其是否從所述設備認證請求消息中接收到所述ANOTHER—AUTH—FOLLOWS欄位，與獲取的所述接入點的認證類型進行比對，判斷是否發起所述接入點的擁有方HP認證流程。
7、 根據權利要求6所述的方法，其特徵在於，所述安全網關根據其是否從所述設備認證請求消息中接收到所述 ANOTHER—AUTH—FOLLOWS欄位，與獲取的所述接入點的認證類型進行比對， 判斷是否發起所述接入點的擁有方HP認證流程的步驟，進一步包括如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 並且從所述設備認證請求消息中接收到所述ANOTHER_AUTH_FOLLOWS字 段，則在安全網關對所述接入點進行設備認證成功後，安全網關向所述接入點返回設備認證成功的響應消息，由所述接入點發起HP認證；或者在安全網關對 所述接入點進行設備認證成功後，安全網關向所述接入點返回設備認證成功的 響應消息，並在所述響應消息中攜帶可擴展認證協議EAP消息，請求所述接入 點發起HP認證；如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 但未從所述設備認證請求消息中接收到所述ANOTHER—AUTH—FOLLOWS字 段，則安全網關直接向所述接入點返回設備認證失敗的消息，結束所述接入點 的認證流程；或者在安全網關對所述接入點進行i殳備iU正成功後，安全網關向 所述接入點返回設備認證失敗的消息，結束所述接入點的認證流程；或者在安 全網關對所述接入點進行設備認證成功後，安全網關向所述接入點返回設備認 證成功的響應消息，並在所述響應消息中攜帶可擴展認證協議EAP消息，請求 所述接入點發起HP認證。
8、 根據權利要求1所述的方法，其特徵在於，所述安全網關獲取接入點的 認證類型步驟之前還包括安全網關接收接入點的設備認證請求消息，所述請求消息中攜帶包括所述 接入點的設備標識、證書和認證參數AUTH，並在配置載荷CP中攜帶所述接入 點的擁有方HP的身份標識HPM ID;所述安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入 點的多次認證流程的步驟包括所述安全網關根據其是否從所述設備認證請求消息中接收到所述HPM ID, 與獲取的所述接入點的認證類型進行比對，判斷是否發起所述接入點的HP認證 流程。
9、 根據權利要求8所述的方法，其特徵在於，所述安全網關根據其是否從 所述設備認證請求消息中接收到所述HPM ID,與獲取的所述接入點的認證類型 進行比對，判斷是否發起所述接入點的HP認證流程的步驟，進一步包括如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 並且從所述設備認證請求消息中接收到所述HPM ID,則在安全網關對所述接入 點進行設備認證成功後，安全網關向認證、授權和計費伺服器AAA Server發送HP認證請求消息，在所述消息中攜帶所述HPM ID,直接進行所述接入點的HP 認證流程；如果安全網關獲取的所述接入點的認證類型為設備認證+獨立的HP認證， 但未從所述設備認證請求消息中接收到所述HPM ID,則安全網關直接向所述接 入點返回設備認證失敗的消息，結束所述接入點的認證流程；或者在安全網關 對所述接入點進行設備認證成功後，安全網關向所述接入點返回設備認證失敗 的響應消息，結束所述接入點的認證流程；或者在安全網關對所述接入點進行 設備認證成功後，安全網關向所述接入點返回設備認證成功的響應消息，並在 所述響應消息中攜帶可擴展認證協議EAP消息，請求所述接入點發起HP認證。
10、 一種安全網關，其特徵在於，包括 認證類型獲取單元，用於獲取接入點的認證類型；判斷單元，用於根據認證類型獲取單元獲取的所述接入點的認證類型，判 斷是否發起所述接入點的多次認證流程。
11、 根據權利要求IO所述的安全網關，其特徵在於，所述認證類型獲取單 元包括獲取模塊一，用於從所述接入點的證書中獲取，所述接入點的證書包括表 示接入點認證類型的屬性值；獲取模塊二，用於從所述接入點的設備標識中獲取，所述接入點的設備標 識根據認證類型進行不同的命名；獲取模塊三，用於從保存所述接入點認證類型的網絡側伺服器上獲取，所 述網絡側伺服器與所述接入點的設備標識有對應關係。
12、 根據權利要求IO所述的安全網關，其特徵在於，還包括 請求接收單元，用於接收接入點的設備認證請求消息； 設備認證單元，用於根據所述設備認證請求消息對接入點進行設備認證； 響應發送單元，用於根據所述判斷單元向接入點發送所述設備認證請求的響應消息。
13、 根據權利要求12所述的安全網關，其特徵在於，所述請求接收單元包括請求接收模塊一，用於接收接入點的設備認證請求消息，所述請求消息中攜帶包括所述接入點的設備標識、證書和認證參數AUTH;請求接收模塊二，用於接收接入點的設備認證請求消息，所述請求消息中攜帶包括所述接入點的設備標識、證書、認證參數AUTH和MULTIPLE—AUTH—SUPPORTED欄位；請求接收模塊三，用於接收接入點的設備認證請求消息，所述請求消息中攜帶包括所述接入點的設備標識、證書、認證參數AUTH和MULTIPLE—AUTH—SUPPORTED欄位、ANOTHER—AUTH—FOLLOWS欄位；請求接收模塊四，用於接收接入點的設備認證請求消息，所述請求消息中攜帶包括所述接入點的設備標識、證書、認證參數AUTH，並在配置載荷CP中攜帶所述接入點的擁有方HP的身份標識HPMID。
14、 根據權利要求13所述的安全網關，其特徵在於，所述的判斷單元，還用於根據其是否從所述設備認證請求消息中接收到進行多次認證的指示，與獲取的所述接入點的認證類型進行比對，判斷是否發起所述接入點的擁有方HP認證流程。
15、 根據權利要求12所述的安全網關，其特徵在於，所述響應發送單元包括響應發送^f莫塊一，用於向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜帶可擴展認證協議EAP消息，由安全網關發起所述接入點的擁有方HP認證；響應發送模塊二，用於向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜帶ANOTHER—AUTH_FOLLOWS欄位，請求所述接入點發起擁有方HP認證；響應發送模塊三，用於向所述接入點發送設備認證成功的響應消息，由所述接入點發起擁有方HP認證；響應發送模塊四，用於向所述接入點發送設備認證失敗的響應消息，結束所述接入點的認證流程。
16、 根據權利要求12所述的安全網關，其特徵在於，還包括HP認證請求單元，用於向認證、授權和計費伺服器AAA Server發送HP認證請求消息，在所述消息中攜帶所述HPMID,直接進行所述接入點的擁有方HP認證流程。
17、 一種接入點認證的系統，其特徵在於，包括接入點，用於向安全網關發送設備認證請求消息；安全網關，用於接收接入點的設備認證請求消息，根據所述設備認證請求消息對接入點進行設備認證；獲取所述接入點的認證類型，並根據獲取的所述接入點的認證類型，判斷是否發起所述接入點的多次認證流程。
18、 根據權利要求17所述的系統，其特徵在於，所述安全網關，還用於根據其是否從所述設備認證請求消息中接收到進行多次認證的指示，與獲取的所述接入點的認證類型進行比對，判斷是否發起所述接入點的下 一個認證流程。
19、 根據權利要求17或18所述的系統，其特徵在於，所述安全網關，還用於向所述接入點發送所述設備認證請求的響應消息，所述響應消息包括如下任一情形向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜帶可擴展認證協議EAP消息，請求所述接入點發起擁有方HP認證；或，向所述接入點發送設備認證成功的響應消息，並在所述響應消息中攜帶ANOTHER—AUTH一FOLLOWS欄位，請求所述接入點發起擁有方HP認證；或，向所述接入點發送設備認證成功的響應消息，由所述接入點發起對擁有方HP的認證；或，向所述接入點發送設備認證失敗的響應消息，結束所述接入點的認證流程；或者，所述安全網關還用於向認證、授權和計費伺服器AAA Server發送擁有方HP認證請求消息，在所述消息中攜帶所述HPMID，直接進行所述接入點的HPiU正流程。
20、 根據權利要求17所述的系統，其特徵在於，所述的接入點為家庭基站。
全文摘要
本發明的實施例公開了一種接入點認證的方法、系統及安全網關，涉及通訊技術領域，能夠有效降低假冒的接入點通過網絡認證的威脅；同時在需要對接入點進行多次認證時，可以確保合法的接入點通過認證接入網絡。本發明實施例提供的方法包括安全網關獲取接入點的認證類型；安全網關根據獲取的所述接入點的認證類型，判斷是否發起所述接入點的多次認證流程。本發明實施例通過由安全網關主動判斷是否發起接入點的多次認證流程，能夠有效降低假冒的接入點通過網絡認證，同時保證合法的接入點正常接入網絡。
文檔編號H04W80/02GK101677440SQ200810161209
公開日2010年3月24日 申請日期2008年9月18日 優先權日2008年9月18日
發明者劉曉寒, 璟 陳 申請人:華為技術有限公司