专利名称:一种网络认证的方法、装置、系统及服务器的制作方法
技术领域:
本发明涉及通信领域的网络技术,具体指一种网络认证的方法、装置、 系统及服务器。
背景技术:
目前,在下一代网络(Next Generation Network, NGN)的网络架构中,强 调了固定和移动的网络融合,基于这个融合的网络,当用户切换到新的网络 附着点的时候,从安全角度考虑需要进行安全认证。当用户通过安全认证之 后,才能够被网络接纳,同时,在用户和网络之间建立子密钥,保护后续用 户和网络侧的信息交互。因此,当用户在不同网络附着点间移动的时候,给 用户提供更好的业务体验,快速、低时间延迟的无缝切换是非常有必要的。
对于移动用户,存在两种认证需求。 一个是网络接入认证(networkaccess service authentication^求,另 一个是移动认证(mob卄ity service authentication)。 网 络接入认证已经在ITU、 TISAPAN都有相应的标准,称为网络附着子系统 (Network Attachment Control Functions, NACF),规定了用户在接入到网络之前 所需要的认证,例如用户的IP地址分配,向用户设备发布其他的网络配置参 数等过程。移动认证是移动业务认证,通过移动认证的用户,才可以在网络 间进行漫游和切换。/人二者实现方式上看,可以分为融合式和独立式两种。 独立式是指网络接入认证和移动认证各自独立,采用不同的认证系统独立认 证互不影响。网络接入认证就用现在ITU Y.NACF, TISPAN NASS等类似的 网络附着功能来实现,移动认证则另外采用独立的认证功能实体来实现。在 融合式模式下,移动用户通过一套认证系统一次认证来同时解决网络接入认 证和移动认证。 一旦用户祐:i人证通过,即可i人为网绍4妻入i人证和移动认证都通过了,用户可以4妄入到网络,可以在网络间进4亍移动。由于用户在移动过 程中在目标切换网络的认证相对目标网络来讲,也是一次网络接入认证,因 此二者存在一定的内在关联,故而基于融合式认证的方法更容易被接受。
上述的认证过程,需要被认证者和网络侧认证功能实体多次交互才能完 成。特别是在移动场景中,用户需要在同种甚至异种接入网络中进行切换, 如果每次都需要复杂的完整的认证过程,那么用户在域内和域间切换时就会 非常耗时,且安全性差,导致用户业务的丢包甚至暂时中断业务,影响用户 的体验。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种网络认证的方法、装 置、系统及服务器,用以解决用户在域内和域间切换时,耗时长,且安全性 差的问题。
为实现上述目的,本发明实施例提供如下的技术方案
一种网络认证方法,包括当用户从第一接入管理功能实体附着到第 二接入管理功能实体时,所述方法包括接收来自所述第二接入管理功能实 体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功 能实体的安全域的认证密钥;根据所述第二接入管理功能实体的安全域的认 证密钥,对用户进4亍i人证。
一种网络认证系统,包括接入管理功能实体、传送层认证功能实体代 理;所述接入管理功能实体,用于与传送层认证功能实体代理进行信息交互, 发送用户认证请求给传送层认证功能实体代理;所述传送层认证功能实体代 理,用于根据所述用户认证请求,获得用户附着的安全域的认证密钥;根据 所述用户附着的安全域的认证密钥,对用户进行认证。
一种传送层认证功能实体代理装置,包括存储单元,用于存储接入管 理功能实体的安全域的认证密钥,所述认证密钥包括第一接入管理功能实体的安全域的认证密钥;处理单元,用于根据存储单元存储的所述接入管理 功能实体的安全域的认证密钥,将获得的所述第 一接入管理功能实体的安全 域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥,并将所 述认证密钥发送给认证单元;认证单元用于才艮据处理单元发送的认证密钥, 根据所述认证密钥对用户进行认证。
另一种传送层认证功能实体代理装置,包括存储单元,用于存储接入 管理功能实体的安全域的认证密钥,所述认证密钥包括第二接入管理功能 实体的安全域的认证密钥;认证单元,用于4艮据处理单元发送的认证密钥, 根据所述认证密钥对用户进行认证。
一种网络认证服务器,包括请求接收单元,用于接收用户认证请求; 请求响应单元,用于响应所述用户认证请求,并向传送层认证功能实体代理 发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全域的 标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接 入管理功能实体的安全域的"^人证密钥的 一种或多种。
本发明实施例能够解决现有技术中用户在域内和域间切换时,耗时长, 且安全性差,导致用户业务的丢包甚至暂时中断业务的问题,实现了用户在 域内或者域间移动的安全认证,提高了用户认证的安全性、可靠性。
图1-1为本发明实施方式中一种跨安全域的组网示意图l-2为本发明实施方式中一种安全域内的组网示意图2为本发明实施方式中 一种跨安全域的网络i人证方法流程图3为本发明实施方式中一种安全域内的网络认证方法流程图4为本发明实施方式中 一 种网络认证系统的结构图5为本发明实施方式中一种传送层认证功能实体代理装置结构图6为本发明实施方式中另 一种传送层认证功能实体代理装置结构图7为本发明实施方式中一种网络认证服务器。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发 明的实施例作进一步地详细描述。
本发明实施例提供了一种网络认证方法,当用户从接入管理功能实体附 着到第二接入管理功能实体时,接收来自所述第 一接入管理功能实体转发的 用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的 安全域的认证密钥;根据所述第二接入管理功能实体的安全域的认证密钥, 对用户进行认证。所述认证请求具体为用户第一次接入安全域的完全认证 和用户在安全域内的重新认证;所述第二接入管理功能实体的安全域的认证 密钥具体根据第 一接入管理功能实体和所述第二接入管理功能实体是否属于 同一安全i或而不同。
本发明实施例的应用场景为,用户的业务签约地在家乡网(Home Network),所述用户的移动业务相关信息存储在家乡网,当用户漫游到拜访 网(Visited Network ),在拜访地进行域内切换和3争域(即域间)切换。
所述移动业务相关信息为配置信息,共享密钥(即原始会话协商密钥), 移动业务配置参数等信息。所述拜访网的安全域(也称"接入管理域")是 根据每个域按照唯——组管理实体组成来划分的,所述管理实体组包括移动 管理功能子系统(Mobility Management Control Functions , MMCF )、传送 层iU正4受4又功能实体(Transport Authentication Funtional Entity, TAA-FE)、 才妄入管玉里功能实体(Access Management Functional Entity, AM-FE )的一种 或几种的组合。
下面具体结合下面的附图进行详细说明
请参阅图1-2为一种跨安全域的组网示意图,结合图2对发明一实施方 式中 一种跨安全域的网络认证方法流程图作具体介绍。
所述图l-2为用户10从所在第一安全域20附着至第二安全域30的组 网示意图。用户10从所在第一安全域20的接入管理功能实体2002 (AccessManagement Functional Entity, AM-FE1 )移动至第二安全域30的接入管理 功能实体3002 ( AM-FE3 ),第二安全域30的传送层认证授权功能实体代理 3006 ( Transport Authentication and Authoriztion Functional Entity , TAA-FEproxy2 )#4居用户发送的完全认证请求,确定第二安全域的认证密钥, 根据所述第二安全域的认证密钥,对所述用户进行完全认证。结合图2对网 络认证的方法作进 一 步地详细描述。
在步骤S200中,用户(UE)发启完全认证请求。
用户在跨域认证前需要判断附着点AM-FE1和AM-FE3是在同一安全域 内还是在不同的安全域,具体判断步骤如下
用户向周边发起二层链路扫描,发现周边的接入点,并获得周边接入点 (Access Point, AP )或基站(Base Station, BS )的标识;然后用户携带备 选或目标接入点的标识信息,向当前所在网络发起查询,获得备选或目标接 入点所属的接入域信息,即本发明实施例中AM-FE3的信息;若用户通过判 断结果,检测到AM-FE1和AM-FE3在不同的安全域,则用户发起完全认证请 求;若AM-FE1和AM-FE3在相同的安全域,则用户发起重新认证请求。本发 明实施例的图2流程图即为AM-FE1和AM-FE3在不同的安全域,即域间切换 认证的场景,即发起完全认证请求。所述用户为移动用户,例如手机终端等; 所述完全认证请求为预先完全认证(Pre-Authentication )。所述认证请求包 括用户名、密码、用户初始门控信息、家乡域信息、用户标识、原始共享密 钥等。
步骤S202中AM-FE1将所述完全认证请求发送给AM-FE3,所述 AM-FE3转发给TAA-FE proxyl 。
步骤S204中所述TAA-FE proxyl将用户相关的信息承载在所述认证 请求中,判断并发送所述完全认证请求给TAA-FE sever进行安全认证。
所述认证服务器TAA-FE sever位于家乡网,TAA-FE proxyl位于拜访网 的第一安全域中,因此所述TAA-FE proxyl首先#4居*接收的完全认证请求信息中的家乡网信息判断将所述完全认证请求发送给家乡网的TAA-FE sever; 然后将AM- FE2的域名或域标识(ID)等用户相关的信息承载在所述完全认证 请求中,并发送给位于家乡网的TAA-FE sever。
所述认证请求包括用户附着的安全域的标识(ID)或者域名信息的一 种或多种的任意组合,也可以包括用户协商的序列号(SEQ)等信息;所述 用户相关信息可以是TAA-FE proxy 1承载在完全^人证请求中,也可以是用户 发送完全认证请求时就将所述用户相关信息承载在完全认证请求中。
步骤S205中所述TAA-FE sever根据认证请求,与第 一安全域内的传 送层用户配置库功能实体(TUP-FE)进行信息交互,确认用户是否为合法用 户。
具体为所述认证服务器根据认证请求,与第一安全域内的传送层用户 配置库功能实体(TUP-FE)进行信息交互,获取第一安全域内TUP-FE的移 动配置信息;根据所述移动配置信息,通过挑战字协商,原始共享密钥等对 所述用户身份信息(ID)进行认证,确认所述用户是否为合法用户。
所述传送层用户配置库功能实体(TUP-FE )存储所述用户的移动配置信 息,所述移动配置信息包括传送用户标识、支持的认证方法列表、密钥、 移动用户的网络配置信息(如IP地址)、最大接入带宽、网络切换策略等信 息的一种或多种。
步骤S206:所述TAA-FE sever根据所述安全认证请求携带的原始共享 密钥信息和AM-FE3所在安全域的域ID或域名,生成所在安全域的认证密 钥(DSRK),并存储当前域的认证密钥,同时,将所述认证密钥返回给TAA-FE proxy1。
具体为所述TAA-FE sever根据所述安全认证请求中携带的原始共享密 钥信息和AM-FE3所在安全域的域ID或域名,生成AM-FE3所在安全域的 认证密钥(DSRK),将所述认证密钥发送给所述第一安全域内的第一传送 层认证功能实体代理TAA-FE proxy 1。由TAA-FE sever分层次生成该第二接
10入管理功能实体的安全域的认证密钥,使得系统便于统一管理和存储安全域
的iU正密钥信息。
也可以由TAA-FE proxyl生成第二4妄入管理功能实体的安全域的认证 密钥。由第二接入管理功能实体所在的域的认证功能实体代理生成所述认证 密钥(DSRK),可以便于简化认证流程,方便用户直接在第二接入管理功 能实体的安全域直接完成认证过程。
当然,步骤S206和步骤S206'是互为代替的两个步骤,各有优点,因 此执行该步骤时,可以由步骤S206完成该步骤的过程,也可以由步骤S206, 完成该过程。
步骤S208: TAA-FE proxyl根据认证服务器返回的认证密钥,对用户进 行认证。
所述TAA-FE proxyl接收到当前域的认证密钥(DSRK)并保存,同时, 所述TAA-FE proxyl根据所述第一安全域的认证密钥,与用户进行协商,生 成所述用户和所述第一安全域内的其他功能实体之间的子密钥;并将相应的 子密钥配置到相应的功能实体,即所述TAA-FE proxyl根据接收到当前域的 认证密钥(DSRK),生成用户与NAC-FE之间的子密钥,生成用户与MMCF 之间的子密钥;同时,所述TAA-FE proxyl将相应的子密钥分别配置到相应 的功能实体上,建立起用户到各个功能实体之间的安全通道,完成初始化用 户认证,以充分保证后续过程信息交互的安全性和可靠性。所述子密钥也可 以理解为所述用户和所述第 一安全域内的其他功能实体之间的安全联盟。所 述第一安全域内的其他功能实体至少包括网络地址配置功能实体NAC-FE、 和移动管理功能子系统MMCF,即完成用户的完全认i正,以充分保证后续过 程信息交互的安全性和可靠性。
在本发明实施例中,通过用户检测到第 一接入管理功能实体与第二接入 管理功能实体属于不同安全域时,向位于家乡域的认证服务器发起完全认证 请求;所述认证服务器根据传送成认证功能实体代理携带原始共享密钥和第二接入管理功能实体所属的域的标识(ID)或者域名,分层生成认证密钥,
并发送生成的认证密钥,使得用户与其它各功能实体生成相对应的子密钥, 完成用户的跨域的完全认证,在充分保证了用户在域间移动的安全性和可靠 性的基础上,降低了用户在域内移动中的认证延时,使得用户体验到更为平 滑的网络切换效果。
请参阅图l-2为一种安全域内的组网示意图,结合图3对本发明实施方式 中 一种安全域内的网络认证方法流程图作具体介绍。
所述图l-2为用户10从所在第一安全域20内的接入管理功能实体2002 (Access Management Functional Entity, AM-FEl )附着至第一安全域20内 的接入管理功能实体2004 ( AM-FE2)时的组网示意图。传送层认证授权功
TAA-FEproxyl )根据所述用户IO发送的重新认证请求,确定第一安全域20 的认证密钥;根据所述认证密钥对用户进行重新认证,结合图3对网络认证 的方法作进一 步地详细描述。
步骤S300:当用户在第一安全域内从AM-FE1附着至第一安全域内的 AM-FE2时,用户发送重新认证请求。
具体为用户在域内认证前需要判断附着点AM-FE1和AM-FE3是否在 同一安全域内,具体判断步骤如下
用户向周边发起二层链路扫描,发现周边的接入点,并获得周边接入点 (Access Point, AP )或基站(Base Station, BS )的标识;然后用户携带备 选或目标接入点的标识信息,向当前所在网络发起查询,获得备选或目标接 入点所属的接入域信息,即本发明实施例中AM-FE2的信息;若用户通过判 断结果,检测到AM-FEl和AM-FE2在相同的安全域,则用户发起重认证请 求;所述认证请求包括用户附着的安全域的标识(ID)或者域名信息的一 种或多种的任意组合,也可以包括用户协商的序列号(SEQ)等信息。步骤S302中AM-FE1将所述重新认证请求发送给AM-FE2,所述 AM-FE2转发给TAA-FE proxyl 。
步骤S304中所述TAA-FE proxyl接收到所述用户发送的重新认证请 求时,根据所述第一安全域的认证密钥,对用户进行认证。
TAA-FE proxyl接收到所述用户发送的重新认证请求时,根据所述用户 的重新认证请求,直接查找出所述用户所在第一安全域的认证密钥,即 AM-FE1所在域的认证密钥;根据所述认证密钥,与功能实体NAC-FE 、 MMCF 进行协商,生成相应的多个子密钥,并将多个子密钥配置到相应的功能实体, 使得通过TAA-FE proxyl,建立起用户到各个功能实体之间的子密钥,完成 用户在第一安全域内从AM-FEl附着至第一安全域内的AM-FE2的重新认 证,以充分保证后续过程信息交互的安全性和可靠性。
其中,所述第一安全域的认证密钥是用户首次接入安全域时完成完全认 证过程中,由认证服务器生成并发送给TAA-FE proxyl ,所述TAA-FE proxyl 保存所述第一安全域的认证密钥,当用户从同一安全域内的AM-FEl移动到 AM-FE2时,直接查询获取AM-FEl所在安全域的认证密钥,其具体认证过 程参照上面实施例中的步骤S200到步骤S206,这里不再详细描述。
在本发明实施例中,通过TAA-FE proxy 1根据用户所在域的认证密钥 (DSRK),对用户进行域内认证,实现了用户在域内一次认证成功后即可 通过移动业务认证,使其在保证用户在域内移动的安全性和可靠性的基础上, 降低了用户在域内移动中的重认证延时,使得用户体验到更为平滑的网络切 换效果。
请参阅图4 ,为本发明实施方式中 一 种网络认证系统的组成结构示意图。 一种网络认证系统40,包括接入管理功能实体402、传送层认证功能 实体代理404。
所述接入管理功能实体402,用于与传送层认证功能实体代理进行信息 交互,发送用户认证请求给传送层认证功能实体代理;进一步而言,所述接入管理功能实体402支持用户认证信息的预认证,所述预认证为本发明实施 例提到的用户重新认证和用户完全认证。
所述传送层认证功能实体代理404,用于根据所述用户认证请求,获得 用户附着的安全域的认证密钥;根据所述用户附着的安全域的认证密钥,对 用户进行认证。所述用户附着的安全域为与所述接入管理功能实体的安全域 相同的其它接入管理功能实体的安全域;和/或所述用户附着的安全域为与所 述接入管理功能实体的安全域不相同的其它接入管理功能实体的安全域。
所述传送层认证功能实体代理404支持对一次用户会话的,来自不同的 接入管理功能实体的多个关联绑定状态。多个关联绑定状态中,有一个时 Active状态,多个是Proactive状态,并能根据移动切换状态的情况进行关联 状态转换。
所述系统进一步还包括认证服务器406,和/或其它功能实体408。 所述认证服务器406:用于接收用户认证请求,根据用户认证请求向所 述传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接 入管理功能实体的安全域的标识ID 、用户附着的接入管理功能实体的安全域 的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多 种。所述认证密钥由安全域的标识ID和/或域名信息确定。
所述其它功能实体408,所述其它功能实体与用户之间具有基于所述认 证密钥的子密钥,其中,所述其它功能实体包括网络地址配置功能实体、传 送层用户配置功能实体和移动管理功能子系统的一个或多个功能实体。其中, 网络地址配置功能实体,用于实现IP地址和接入参^:的配置;传送层用户配 置功能实体,用于保存用户移动相关的配置信息及用户订制的配置文件,例 如不同接入技术下允许支持的最大接入带宽,网络切换策略,移动位置管 理器地址等;移动管理功能子系统,用于实现用户的地址绑定更新功能;还 可以包括传送位置管理功能实体,用于支持一次用户会话的多个关联绑定 状态,并能根据移动切换的情况,进行状态转化,并将目标或备选接入点的
14位置信息(如接入点AP信息或基站BS信息,以及目标或备选接入管理功能 实体的信息或接入路由器的信息),作为位置信息,提供给资源接纳控制功 能子系统。
请参阅图5,为本发明实施方式中一种传送层认证功能实体代理装置的 组成结构示意图。
一种接入管理功能实体代理装置50,包括存储单元502:用于存储接 入管理功能实体的安全域的认证密钥,所述认证密钥包括第一传送认证功 能实体的安全域的认证密钥;
处理单元504:用于根据存储单元存储的所述第一传送认证功能实体的 安全域的认证密钥,将获得的所述第一传送认证功能实体的安全域的认证密 钥作为所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥 发送给认证单元。
认证单元506:用于根据处理单元发送的认证密钥,根据所述认证密钥 对用户进4亍认i正。
请参阅图6,为本发明另一实施方式中一种传送层认证功能实体代理装 置的组成结构示意图。
一种传送层认证功能实体代理装置60,包括
存储单元602:用于存储接入管理功能实体的安全域的认证密钥,所述 认证密钥包括第二传送认证功能实体的安全域的认证密钥;
认证单元604:用于4艮据处理单元发送的认证密钥,才艮据所述认证密钥 对用户进4iS人i正。
所述传送层认证功能实体代理进一步包括密钥生成单元606:用于根 据所述第二接入管理功能实体的安全域的标识ID和/或域名信息生成所述第 二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送给所述存 储单元。
请参阅图7,为本发明另一实施方式中一种传送层认证功能实体代理装置的组成结构示意图。
一种网络认证服务器70,其特征在于,包括请求接收单元702,用于 接收用户认证请求;请求响应单元704,用于响应所述用户认证请求,并向 传送层认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入 管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的 域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
综上所述,本发明实施例提出了一种网络认证的方法、装置、系统及服 务器,克服了现有技术中用户在域内和域间切换时,耗时长,且安全性差, 导致用户业务的丟包甚至暂时中断业务的问题,实现了用户在域内或者域间 移动的快速、安全的认证,降低了用户在移动过程中的重新认证延时,提高 了用户认证的安全性、可靠性,确保了无缝的、更为平滑的网络切换效果。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并补 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应该涵盖在本发明的保护范围之内。因此,本发 明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种网络认证方法,其特征在于,当用户从第一接入管理功能实体附着到第二接入管理功能实体时,所述方法包括接收来自所述第二接入管理功能实体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;根据所述第二接入管理功能实体的安全域的认证密钥,对用户进行认证。
2、 根据权利要求1所述的网络认证方法,其特征在于,所述第一接入管 理功能实体,所述第二接入管理功能实体属于不同安全域,所述获得所述第 二接入管理功能实体的安全域的认证密钥的步骤具体包括根据所述第二接入管理功能实体的安全域的标识ID和/或域名信息生成 所述第二接入管理功能实体的安全域的认证密钥;和/或将所述第二接入管理功能实体的安全域的标识ID和/或域名信息发送给 认证服务器,并接收所述认证服务器返回的所述第二接入管理功能实体的安 全i或的iU正密钥。
3、 根据权利要求1所述的网络认证方法,其特征在于,所述第一接入管 理功能实体和所述第二接入管理功能实体属于同一安全域,所述获得所述第 二接入管理功能实体的安全域的认证密钥的步骤具体包括获得所述第 一 接入管理功能实体的安全域的认证密钥,将获得的所述第 一接入管理功能实体的安全域的认证密钥作为所述第二接入管理功能实体的 安全域的iU正密钥。
4、 根据权利要求1所述的网络认证方法,其特征在于,所述方法进一步 包括根据所述认证密钥,与用户进行协商,生成所述用户和其他功能实体之 间的子密钥;所述其他功能实体包括网络地址配置功能实体、传送层用户配置功能实体和移动管理功能子系统的一个或多个功能实体。
5、 一种网络认证系统,其特征在于,包括接入管理功能实体、传送层 认证功能实体代理;所述接入管理功能实体,用于与传送层认证功能实体代理进行信息交互, 发送用户认证请求给传送层认证功能实体代理;所述传送层认证功能实体代理,用于根据所述用户认证请求,获得用户 附着的安全域的认证密钥;根据所述用户附着的安全域的认证密钥,对用户 进行认证。
6、 根据权利要求5所述的网络认证系统,其特征在于,所述用户附着的 安全域为其它接入管理功能实体的安全域,其中,所述其它接入管理功能实 体的安全域与所述接入管理功能实体的安全域相同和/或不同。
7、 根据权利要求5所述的网络认证系统,其特征在于,所述系统进一 步包括认证服务器用于接收用户认证请求,根据用户认证请求向所述传送层 认证功能实体代理发送响应信息,所述响应信息包括用户附着的接入管理功 能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信 息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。
8、 根据权利要求5、 6或7所述的网络认证系统,其特征在于,所述认 证密钥由安全域的标识ID和/或域名信息确定。
9、 根据权利要求5所述的网络认证系统,其特征在于,所述系统进一步 包括其它功能实体,所述其它功能实体与用户之间具有基于所述认证密钥的 子密钥,其中,所述其它功能实体包括网络地址配置功能实体、传送层用户 配置功能实体和移动管理功能子系统的一个或多个功能实体。
10、 一种网络-〖人证装置,其特征在于,包括存储单元用于存储接入管理功能实体的安全域的认证密钥,所述认证 密钥包括第一接入管理功能实体的安全域的认证密钥;处理单元用于根据存储单元存储的所述第一接入管理功能实体的安全 域的认证密钥,将获得的所述第一接入管理功能实体的安全域的认证密钥作 为所述第二接入管理功能实体的安全域的认证密钥,并将所述认证密钥发送 给认证单元;认证单元用于根据处理单元发送的认证密钥,根据所述认证密钥对用 户进行认证。
11、 一种网络认证装置,其特征在于,包括存储单元用于存储接入管理功能实体的安全域的认证密钥,所述认证 密钥包括第二接入管理功能实体的安全域的认证密钥;认证单元用于根据处理单元发送的认证密钥,根据所述认证密钥对用 户进行认证。
12、 根据权利要求11所述的网络认证装置,其特征在于,所述传送层认 证功能实体代理进一步包括密钥生成单元用于根据所述第二接入管理功能实体的安全域的标识ID 和/或域名信息生成所述第二接入管理功能实体的安全域的认证密钥,并将所 述认证密钥发送给所述存储单元。
13、 一种网络认证服务器,其特征在于,包括 请求接收单元,用于接收用户认证请求;请求响应单元,用于响应所述用户认i正请求,并向传送层i^证功能实体 代理发送响应信息,所述响应信息包括用户附着的接入管理功能实体的安全 域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着 的接入管理功能实体的安全域的认证密钥的一种或多种。
全文摘要
本发明提供了一种网络认证的方法、装置、系统及服务器。本发明所述方法包括当用户从第一接入管理功能实体附着到第二接入管理功能实体时,接收来自所述第一接入管理功能实体转发的用户认证请求;根据所述用户认证请求,获得所述第二接入管理功能实体的安全域的认证密钥;根据所述认证密钥,对用户进行认证。解决了现有技术中用户在域内和域间切换时,耗时长,且安全性差,导致用户业务的丢包甚至暂时中断业务的问题,实现了用户在域内或者域间移动的安全的认证,提高了用户认证的安全性、可靠性。
文档编号H04L9/08GK101621374SQ20081006819
公开日2010年1月6日 申请日期2008年6月30日 优先权日2008年6月30日
发明者宫小玉, 李洪广 申请人:华为技术有限公司