专利名称:一种安全信息存储设备、认证方法及系统的制作方法
技术领域:
本发明涉及认证技术,特别是指一种安全信息存储设备、认证方法及系统。
背景技术:
根据市场调研发现,以iPhone、黑莓为代表的智能手机、以及以iPad为代表的移动互联网设备(MID,Mobile Internet Device),在终端市场上的占有率越来越高。与普通的手持终端相比,这些智能终端具有独立的操作系统,并且安装有很多第三方服务商提供的软件、游戏等等,而这类程序的使用会产生大量的网络流量,以AT&T为例,其iPhone用户仅占其总客户3%,但是却产生了总流量的40%的网络流量。由于受自身技术和成本的限制,第三代移动通信技术(3G, 3rd_generation)的空口已经无法为这些智能终端用户提供足够的无线带宽,智能终端用户所产生的大量因特网·(Internet)流量也已经使3G核心网络不堪重负,从而使得用户迅猛增长的需求与系统能力有限的矛盾越来越尖锐,因此,需要对数据业务进行分流。由于无线局域网(WLAN, Wireless Local Area Network)技术是单位带宽成本最低的无线接入技术,因此,利用WLAN来对现网中的数据业务进行分流已经成了业界的共识。目前,市场上出现了多种同时支持WLAN和第二代移动通信技术(2G,2ndGeneration)/3G的终端,从2010年起,国内外各大运营商开始了大规模集采并全力建设WLAN0随着WLAN热点的部署越来越密集,使得在一些区域,WLAN已经实现了无缝覆盖。网络规模的扩大及相关业务的普及同时也刺激了用户对网络的需求,例如,部分手持终端用户会经常在公交车上或其它低速移动情况下,观看网络视频或玩网络游戏。然而,在这个移动过程中,终端将不可避免地会发生切换的情况,在切换的过程中,需要满足用户的业务连续性要求;这里,所述业务连续性要求就是指终端切换的过程不能对正在进行的业务产生不良影响。考虑到用户切换的过程实际上是一个网络链接重建的过程,因此,用户的业务连续性要求对网络提出了如下要求I、当终端切换时,需要有网络层或更高层面的机制来保证终端当前的会话或连接不中断;2、当终端切换时,需要先断开与原接入设备的连接,之后再与新接入设备建立连接,由于在这个连接重建的过程中,终端无法与网络进行实际的数据交互,因此,连接重建所需的时间不能大于业务所能忍受的丢包或抖动极限。虽然在某些区域,WLAN能够保证用户在其移动过程中始终有网络覆盖,但是,现网却无法保证其业务连续性要求,主要原因在于连接重建所需的时间不满足业务要求。具体地,目前,常见的实时性较强的业务所能容忍的丢包极限一般不超过500ms,比如实时视频业务及一些网络游戏,而现有的WLAN中,切换时连接重建所需的时间一般都大于500ms。造成WLAN连接重建耗时大于部分业务所能容忍极限的原因是WLAN终端的“先断后连”机制,即终端在与已连接的接入设备断开之前,无法与新的接入设备预建通信链接,这就意味着,当终端切换时,终端实际上执行的就是一次完整的入网流程。
而WLAN终端完成一次完整的入网流程所需要的时间,主要包括完成物理层切换所需的时间、完成链路层切换所需的时间、以及完成网络层其以上信息配置比如因特网协议(IP, Internet Protocol)地址等切换所需的时间。下面针对每种切换,详细说明完成切换所需的时间。物理层切换所需的时间主要是指终端扫描、发现新接入设备信号所需的时间,所需的时间主要与接入点(APjccess Point)的部署、配置方式及终端扫描、发现新接入设备信号的具体实现相关,包括终端扫描无线信号的具体方式等,在理想情况下,物理层切换所需的时间约为50ms左右。链路层切换所需的时间主要是指终端接入网络,并与网络建立安全关系所需的时间,这里,建立安全关系的过程包括认证、重认证、以及相关密钥的分发,认证服务器与认证者(Authenticator)通过交换机连接,在理想情况下,终端接入网络,并与网络建立安全关系所需的时间分布如表I所示表I
进行的过程所需的时间占认证所需时间的百分比
开放模式(Open Authentication)1.98ms0. 99%
建立关联(Association)1.62ms0. 81 %
EAP 认证192.47ms96.28%
四次握手3.84ms1.92%从表I中可以看出,链路层切换所需的时间主要由可扩展认证协议(EAP,Extensible Authentication Protocol)认证的耗时所决定,并且,在实际环境中,认证、授权、计费(AAA, Authentication, Authorization, Accounting)服务器一般位于网络上层,与Authenticator之间还存在多跳路由,甚至中间还可能存在AAA Proxy等设备,因此实际的切换耗时会更长;这里,所述AAA服务器就是指认证服务器。对于网络层及其以上信息配置切换所需的时间,在代理移动IP(PMIP,ProxyMobile IP)网络中,L3切换的时间主要取决与新、旧接入控制点(AC,Acess Controller)及本地移动锚点(LMA,Local Mobile Anchor)之间的网络状况,在实验室环境中,L3切换所需的时间约为30-50ms。从上面的描述中可以看出,切换时的EAP认证过程所耗的时间是造成终端切换时连接重建流程耗时的主要原因,因此,如何缩短切换时的EAP认证过程所耗的时间是目前亟待解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种认证方法、设备及系统,能有效地缩短终端切换时的连接重建过程所需的时间。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种认证方法,该方法包括在终端进行切换的过程中,切换后终端所连接的接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息;根据获取的安全关联及密钥信息中的内容执行四次握手(4-way-handshake)流程。上述方案中,所述接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息,为 安全信息存储设备依据策略,向网络中的接入设备发送自身存储的安全关联及密钥信息;所述接入设备在本地缓存保存收到的安全关联及密钥信息,从自身保存的安全关联及密钥信息中获取所述终端相关的安全关联及密钥信息;或者,所述接入设备向安全信息存储设备发送查询消息,获取所述终端相关的安全关联及密钥信息。上述方案中,在所述接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息之前,该方法进一步包括所述接入设备判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备获取所述终端相关的安全关联及密钥信息。上述方案中,该方法进一步包括确定本地缓存保存有终端的相关的安全关联及密钥信息时,根据从本地缓存中获取的安全关联及密钥信息中的内容执行4-way-handshake流程。上述方案中,在根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程之前,该方法进一步包括检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程。上述方案中,所述检验获取的安全关联及密钥信息的有效性,为判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,则认为获取的安全关联及密钥信息有效。上述方案中,当所述接入设备从安全信息存储设备未获取到所述终端相关的安全关联及密钥信息时、或者,确定获取的安全关联及密钥信息无效后,该方法进一步包括所述接入设备对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备;安全信息存储设备保存上传的安全关联及密钥信息。上述方案中,该方法进一步包括安全信息存储设备维护自身存储的安全关联及密钥信息。
本发明还提供了一种安全信息存储设备,该设备包括存储单元及发送单元;其中,存储单元,用于存储安全关联及密钥信息;发送单元,用于向接入设备发送存储单元存储的安全关联及密钥信息。上述方案中,该设备进一步包括接收单元,用于接收接入设备上报的安全关联及密钥信息,并保存至存储单元。上述方案中,该设备进一步包括维护单元,用于维护存储单元存储的安全关联及密钥信息。本发明还提供了一种认证系统,该系统包括接入设备及安全信息存储设备;其中,
接入设备,用于在终端进行切换的过程中,从安全信息存储设备获取所述终端相关的安全关联及密钥信息,根据获取的安全关联及密钥信息中的内容执行4-way-handshake 流程;安全信息存储设备,用于向接入设备提供所述终端相关的安全关联及密钥信息。上述方案中,所述接入设备,还用于判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备获取所述终端相关的安全关联及密钥信息。上述方案中,所述接入设备,还用于检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程。上述方案中,所述接入设备,还用于从安全信息存储设备未获取到所述终端相关的安全关联及密钥信息、或确定获取的安全关联及密钥信息无效时,对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备;所述安全信息存储设备,还用于收到接入设备上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息上述方案中,所述安全信息存储设备,还用于维护自身存储的安全关联及密钥信肩、O本发明提供的认证方法及系统,在终端进行切换的过程中,切换后终端所连接的接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息;根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程,如此,能有效地缩短终端切换时的连接重建过程所需的时间,从而保证业务的连续性,进而提升用户体验。另外,在网络拓扑中,将安全信息存储设备安置于靠近接入设备的位置,如此,能减少认证时的往返时间(RRT, Roundup-Trip Times),从而进一步缩短端切换时的连接重建过程所需的时间,保证业务的连续性,进而提升用户体验。
图I为本发明认证的方法流程示意图;图2为实施例一认证的方法流程示意图;图3为实施例二认证的方法流程示意图4为实施例三认证的方法流程示意图;图5为本发明安全信息存储设备的结构示意图;图6本发明认证系统的结构示意图。
具体实施例方式下面结合附图及具体实施例对本发明再作进一步详细的说明。本发明的认证方法,如图I所示,包括以下步骤步骤101 :在终端进行切换的过程中,切换后终端所连接的接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息;
这里,所述接入设备是指具备用户接入认证功能的WLAN设备,根据网络形态的不同,具体可以是AP,或者,可以是AC加AP,其中,所述AC加AP是指接入设备包括AC及AP0所述安全关联及密钥信息包括终端的身份信息、当前接入设备的信息、用于执行4-way-handshake流程所需的密钥材料、以及有效期等。所述接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息,具体为安全信息存储设备依据策略,向网络中的接入设备发送自身存储的安全关联及密钥信息;所述接入设备保存收到的安全关联及密钥信息,从自身保存的安全关联及密钥信息中获取所述终端相关的安全关联及密钥信息;或者,所述接入设备向安全信息存储设备发送查询消息,获取所述终端相关的安全关联及密钥信息。其中,安全信息存储设备依据策略,可以向网络中的全部或部分接入设备发送自身存储的安全关联及密钥信息;所述策略可以依据需要进行设置,比如可以是终端的位置信息等,安全信息存储设备得到终端的位置信息后,即可向终端所连接的接入设备发送自身存储的安全关联及密钥信息。在接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息之前,该方法还可以进一步包括所述接入设备判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备获取所述终端相关的安全关联及密钥信息。其中,当确定本地缓存保存有终端的相关的安全关联及密钥信息时,执行步骤102。在WLAN中,认证过程的主要作用是建立终端与网络、终端与接入设备之间的信任关系,出于安全考虑,终端与网络的信任关系与当前的接入设备强相关,一旦发生切换,那么终端与网络之前建立的信任关系就失效了,需要与新接入设备重新进行认证;这里,所述信任关系包括安全关联及密钥信息等。考虑到现网中的接入设备都在运营商的控制范围内,因此,不太可能发生前接入设备故意将安全密钥泄露出去,或者利用这些信息干扰、侦听终端与后接入设备通信的行为,因此,可以采用一旦终端与某个接入设备建立了信任关系后,当终端接入其它接入设备时,依然可以沿用该信任关系,即采用直至该信任关系到期或由于其它原因被废为止。在实际应用过程中,在网络拓扑中,可以将安全信息存储设备安置于尽量靠近接入设备的位置,比如接入设备与安全信息存储设备之间仅仅I 2跳路由的距离,如此,可以减少认证时的RTT。当接入设备从安全信息存储设备未获取到所述终端相关的安全关联及密钥信息时,该方法还可以进一步包括接入设备对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备,安全信息存储设备保存上传的安全关联及密钥信息。。步骤102 :根据获取的安全关联及密钥信息中的内容执行4-way-hand shake流程。这里,本步骤的具体实现为现有技术,这里不再赘述。在执行本步骤前,该方法还可以进一步包括检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程;其中,所述检验获取的安全关联及密钥信息的有效性,具体为判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,认为获取的安全关联及密钥信息有效。其中,所述安全保护方式具体可以包括加密算法和/或完整性校验算法等。当确定获取的安全关联及密钥信息无效后,该方法还可以进一步包括所述接入设备对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备,安全信息存储设备保存上传的安全关联及密钥信息。该方法还可以进一步包括安全信息存储设备维护自身存储的安全关联及密钥信息。其中,维护操作主要是安全关联及密钥信息的老化,具体地,当存储的每条安全关联及密钥信息超过有效期后,则删除该条安全关联及密钥信息。当确定本地缓存保存有终端的相关的安全关联及密钥信息,执行本步骤时,获取的安全关联及密钥信息为从本地缓存中保存的安全关联及密钥信息中获取的安全关联及密钥信息。下面结合实施例对本发明再作进一步详细的描述。实施例一本实施例的应用场景为接入设备是指AP,即AP具有用户接入认证的功能。本实施例的认证方法,如图2所示,包括以下步骤步骤201 :终端进行切换时,终端确定与某个AP进行关联;这里,本步骤的具体处理过程为现有技术。步骤202 :关联后,AP向终端发出问询消息,询问终端的身份;
步骤203 :终端收到消息后,向AP发出应答消息;这里,所述应答消息中携带终端的身份信息。步骤204 AP收到应答消息后,查询本地缓存,判断本地缓存是否保存有终端的相关的安全关联及密钥信息,如果是,则执行步骤211,否则,执行步骤205 ;这里,如果AP没有本地缓存,则直接执行步骤205。步骤205 AP向安全信息存储设备发送查询消息;这里,所述查询消息包含终端的身份信息。·
步骤206 :安全信息存储设备根据自身存储的实际情况,向AP反馈查询结果;具体地,根据查询消息中的终端身份信息,在保存的安全关联及密钥信息中进行查询,如果查找到终端的相关的安全关联及密钥信息,则向AP反馈终端的相关的安全关联及密钥信息,否则,向AP反馈未查找到终端的相关的安全关联及密钥信息的消息。另外,安全信息存储设备还负责维护终端相关的安全关联及密钥信息,维护操作主要是安全关联及密钥信息的老化,具体地,当存储的每条安全关联及密钥信息超过有效期后,则删除该条安全关联及密钥信息。步骤207 AP获得终端相关的安全关联及密钥信息,则检验信息的有效性,如果有效,则执行步骤211,否则,执行步骤209 ;这里,检验信息的有效性的操作为可选操作;所述检验信息的有效性,具体为判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,则认为获取的安全关联及密钥信息有效。步骤208 AP从安全信息存储设备未获取到终端相关的安全关联及密钥信息,之后执彳了步骤209 ;这里,AP收到安全信息存储设备反馈的未查找到终端的相关的安全关联及密钥信息的消息,则表明AP从安全信息存储设备未获取到终端相关的安全关联及密钥信息。步骤209 AP对终端发起完整的EAP认证,并在终端通过EAP认证后,执行步骤210 ;这里,AP对终端发起完整的EAP认证的具体处理过程为现有技术,这里不再赘述。步骤210 AP将执行完整EAP所产生的终端相关的安全关联及密钥信息上传给安全信息存储设备,之后执行步骤211 ;这里,安全信息存储设备收到上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息。步骤211 AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程,之后结束当前处理流程。这里,在实际应用时,步骤210及步骤211中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程的操作,在执行上无先后顺序,换句话说,也可以先执行步骤211中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程的操作,再执行步骤210。
实施例二本实施例的应用场景为终端与AP进行关联,接入设备是指A(^APJ :AC与AP共同作用,具有用户接入认证的功能。本实施例的认证方法,如图3所示,包括以下步骤步骤301 :终端进行切换时,终端与某个AP进行关联;这里,本步骤的具体处理过程为现有技术。步骤302 :关联后,AP向AC上报终端与本AP进行了关联;步骤303 :AC收到上报后,AC向终端发出问询消息,询问终端的身份;
步骤304 :终端收到消息后,向AC发出应答消息;这里,所述该应答消息中携带中终端的身份信息;步骤305 AC收到应答消息后,查询本地缓存,判断本地缓存是否存在终端的相关的安全关联及密钥信息,如果是,则执行步骤312,否则,执行步骤306 ;这里,如果AC没有本地缓存,则直接执行步骤306。步骤306 AC向安全信息存储设备发送查询消息;这里,所述查询消息包含终端的身份信息。步骤307 :安全信息存储设备根据自身存储的实际情况,向AC反馈查询结果;具体地,根据查询消息中的终端身份信息,在保存的安全关联及密钥信息中进行查询,如果查找到终端的相关的安全关联及密钥信息,则向AC反馈终端的相关的安全关联及密钥信息,否则,向AC反馈未查找到终端的相关的安全关联及密钥信息的消息;另外,安全信息存储设备还负责维护终端相关的安全关联及密钥信息,维护操作主要是安全关联及密钥信息的老化,具体地,当存储的每条安全关联及密钥信息超过有效期后,则删除该条安全关联及密钥信息。步骤308 :如果AC获得终端相关的安全关联及密钥信息,检验消息有效性,如果有效,则执行步骤312,否则,执行步骤310 ;检验信息的有效性的操作为可选操作;所述检验信息的有效性,具体为判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,则认为获取的安全关联及密钥信息有效。步骤309 AC从安全信息存储设备未获取到终端相关的安全关联及密钥信息,之后执打步骤310 ;这里,这里,AC收到安全信息存储设备反馈的未查找到终端的相关的安全关联及密钥信息的消息,则表明AC从安全信息存储设备未获取到终端相关的安全关联及密钥信
肩、O步骤310 :接入设备对终端发起完整的EAP认证,并在终端通过EAP认证后,执行步骤311 ;这里,接入设备对终端发起完整的EAP认证的具体处理过程为现有技术,这里不再赘述。步骤311 AC将执行完整EAP所产生的终端相关的安全关联及密钥信息上传给安全信息存储设备,之后执行步骤312 ;这里,安全信息存储设备收到上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息。步骤312 :AC向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP,并结束当前处
理流程。这里,在实际应用时,步骤311及步骤312中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP的操作,在执行上无先后顺序,换句话说,也可以先步骤312中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行 后续的4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP的操作,再执行步骤311。实施例三本实施例的应用场景为终端与AC进行关联,接入设备是指AC及AP,即AC与AP共同作用,具有用户接入认证的功能。本实施例的认证方法,如图4所示,包括以下步骤步骤401 :终端进行切换时,终端与某个AC进行关联;这里,本步骤的具体处理过程为现有技术。步骤402 :关联后,AC向终端发出问询消息,询问终端的身份;步骤403 :终端收到消息后,向AC发出应答消息;这里,所述该应答消息中携带中终端的身份信息;步骤404 AC收到应答消息后,查询本地缓存,判断本地缓存是否存在终端的相关的安全关联及密钥信息,如果是,则执行步骤411,否则,执行步骤405 ;这里,如果AC没有本地缓存,则直接执行步骤405。步骤405 AC向安全信息存储设备发送查询消息;这里,所述查询消息包含终端的身份信息。步骤406 :安全信息存储设备根据自身存储的实际情况,向AC反馈查询结果;具体地,根据查询消息中的终端身份信息,在保存的安全关联及密钥信息中进行查询,如果查找到终端的相关的安全关联及密钥信息,则向AC反馈终端的相关的安全关联及密钥信息,否则,向AC反馈未查找到终端的相关的安全关联及密钥信息的消息;另外,安全信息存储设备还负责维护终端相关的安全关联及密钥信息,维护操作主要是安全关联及密钥信息的老化,具体地,当存储的每条安全关联及密钥信息超过有效期后,则删除该条安全关联及密钥信息。步骤407 :如果AC获得终端相关的安全关联及密钥信息,检验消息有效性,如果有效,则执行步骤411,否则,执行步骤409 ;检验信息的有效性的操作为可选操作;所述检验信息的有效性,具体为判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,则认为获取的安全关联及密钥信息有效。步骤408 AC从安全信息存储设备未获取到终端相关的安全关联及密钥信息,之后执彳了步骤409 ;这里,这里,AC收到安全信息存储设备反馈的未查找到终端的相关的安全关联及密钥信息的消息,则表明AC从安全信息存储设备未获取到终端相关的安全关联及密钥信
肩、O步骤409 :接入设备对终端发起完整的EAP认证,并在终端通过EAP认证后,执打步骤410 ;这里,接入设备对终端发起完整的EAP认证的具体处理过程为现有技术,这里不再赘述。
·
步骤410 AC将执行完整EAP所产生的终端相关的安全关联及密钥信息上传给安全信息存储设备,之后执行步骤411 ;这里,安全信息存储设备收到上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息。步骤411 :AC向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP,并结束当前处
理流程。这里,在实际应用时,步骤410及步骤411中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP的操作,在执行上无先后顺序,换句话说,也可以先步骤411中的AP向终端发送EAP成功消息,并根据安全关联及密钥信息中的内容执行后续的4-way-handshake流程,之后将4-way-handshake流程所产生的密钥交给AP的操作,再执行步骤410。为实现上述方法,本发明还提供了一种安全信息存储设备,如图5所示,该设备包括存储单元51及发送单元52 ;其中,存储单元51,用于存储安全关联及密钥信息;发送单元52,用于向接入设备发送存储单元51存储的安全关联及密钥信息。其中,该设备还可以进一步包括接收单元53,用于接收接入设备上报的安全关联及密钥信息,并保存至存储单元51。该设备还可以进一步包括维护单元,用于维护存储单元51存储的安全关联及密钥信息。这里,本发明所述设备中的发送单元及维护单元的具体处理过程已在上文中详述,不再赘述。本发明还提供了一种认证系统,如图6所示,该系统包括接入设备61及安全信息存储设备62 ;其中,接入设备61,用于在终端进行切换的过程中,从安全信息存储设备62获取所述终端相关的安全关联及密钥信息,根据获取的安全关联及密钥信息中的内容执行4-way-handshake 流程;安全信息存储设备62,用于向接入设备61提供所述终端相关的安全关联及密钥信息。这里,需要说明的是所述接入设备61为切换后终端所连接的接入设备。其中,所述接入设备61,还用于判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备62获取所述终端相关的安全关联及密钥信息。所述接入设备61,还用于检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程。所述接入设备61,还用于从安全信息存储设备62未获取到所述终端相关的安全关联及密钥信息、或确定获取的安全关联及密钥信息无效时,对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息 上传给安全信息存储设备62 ;所述安全信息存储设备62,还用于收到接入设备61上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息。所述安全信息存储设备62,还用于维护自身存储的安全关联及密钥信息。这里,本发明所述系统中的接入设备及安全信息存储设备的具体处理过程已在上文中详述,不再赘述。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种认证方法,其特征在于,该方法包括 在终端进行切换的过程中,切换后终端所连接的接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息; 根据获取的安全关联及密钥信息中的内容执行四次握手(4-way-handshake)流程。
2.根据权利要求I所述的方法,其特征在于,所述接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息,为 安全信息存储设备依据策略,向网络中的接入设备发送自身存储的安全关联及密钥信息; 所述接入设备在本地缓存保存收到的安全关联及密钥信息,从自身保存的安全关联及密钥信息中获取所述终端相关的安全关联及密钥信息;或者, 所述接入设备向安全信息存储设备发送查询消息,获取所述终端相关的安全关联及密钥信息。
3.根据权利要求I所述的方法,其特征在于,在所述接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息之前,该方法进一步包括 所述接入设备判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备获取所述终端相关的安全关联及密钥信息。
4.根据权利要求3所述的方法,其特征在于,该方法进一步包括 确定本地缓存保存有终端的相关的安全关联及密钥信息时,根据从本地缓存中获取的安全关联及密钥信息中的内容执行4-way-handshake流程。
5.根据权利要求I至4任一项所述的方法,其特征在于,在根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程之前,该方法进一步包括 检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程。
6.根据权利要求5所述的方法,其特征在于,所述检验获取的安全关联及密钥信息的有效性,为 判断获取的安全关联及密钥信息是否超出有效期、和/或密钥信息中的安全保护方式是否与自身支持的安全保护方式匹配,如果超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式不匹配,则认为获取的安全关联及密钥信息无效,如果未超出有效期、和/或密钥信息中的安全保护方式与自身支持的安全保护方式匹配,则认为获取的安全关联及密钥信息有效。
7.根据权利要求5所述的方法,其特征在于,当所述接入设备从安全信息存储设备未获取到所述终端相关的安全关联及密钥信息时、或者,确定获取的安全关联及密钥信息无效后,该方法进一步包括 所述接入设备对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备; 安全信息存储设备保存上传的安全关联及密钥信息。
8.根据权利要求I至4任一项所述的方法,其特征在于,该方法进一步包括 安全信息存储设备维护自身存储的安全关联及密钥信息。
9.一种安全信息存储设备,其特征在于,该设备包括存储单元及发送单元;其中,存储单元,用于存储安全关联及密钥信息; 发送单元,用于向接入设备发送存储单元存储的安全关联及密钥信息。
10.根据权利要求9所述的设备,其特征在于,该设备进一步包括接收单元,用于接收接入设备上报的安全关联及密钥信息,并保存至存储单元。
11.根据权利要求9或10所述的设备,其特征在于,该设备进一步包括维护单元,用于维护存储单元存储的安全关联及密钥信息。
12.—种认证系统,其特征在于,该系统包括接入设备及安全信息存储设备;其中, 接入设备,用于在终端进行切换的过程中,从安全信息存储设备获取所述终端相关的安全关联及密钥信息,根据获取的安全关联及密钥信息中的内容执行4-way-handshake流程; 安全信息存储设备,用于向接入设备提供所述终端相关的安全关联及密钥信息。
13.根据权利要求12所述的系统,其特征在于,所述接入设备,还用于判断本地缓存是否保存有终端的相关的安全关联及密钥信息,确定未保存时,从安全信息存储设备获取所述终端相关的安全关联及密钥信息。
14.根据权利要求12或13所述的系统,其特征在于,所述接入设备,还用于检验获取的安全关联及密钥信息的有效性,确定信息有效后,根据获取的安全关联及密钥信息中的内容执行 4-way-handshake 流程。
15.根据权利要求14所述的系统,其特征在于,所述接入设备,还用于从安全信息存储设备未获取到所述终端相关的安全关联及密钥信息、或确定获取的安全关联及密钥信息无效时,对所述终端发起完整的入网认证流程,并在完成后,将入网认证流程中所产生的所述终端相关的安全关联及密钥信息上传给安全信息存储设备; 所述安全信息存储设备,还用于收到接入设备上传的安全关联及密钥信息后,保存上传的安全关联及密钥信息。
16.根据权利要求12或13所述的系统,其特征在于,所述安全信息存储设备,还用于维护自身存储的安全关联及密钥信息。
全文摘要
本发明公开了一种认证方法,该方法包括在终端进行切换的过程中,切换后终端所连接的接入设备从安全信息存储设备获取所述终端相关的安全关联及密钥信息;根据获取的安全关联及密钥信息中的内容执行四次握手(4-way-handshake)流程。本发明同时公开了一种安全信息存储设备及认证系统,采用本发明,能有效地缩短终端切换时的连接重建过程所需的时间,从而保证业务的连续性,进而提升用户体验。
文档编号H04W36/08GK102984700SQ201110261039
公开日2013年3月20日 申请日期2011年9月5日 优先权日2011年9月5日
发明者潘云波, 魏元, 严为 申请人:中兴通讯股份有限公司