认证方法、服务器、用户设备及通信系统的制作方法

文档序号：7710603阅读：350来源：国知局

专利名称：认证方法、服务器、用户设备及通信系统的制作方法
技术领域：
本发明涉及通信技术，特别是涉及一种认证方法、服务器、用户设备及通信系统。
背景技术：
无线WLAN域网(Wireless Local Area Network,简称WLAN)与第三代移动通信系统(简称3G系统)的网络融合(以下称为3G-WLAN),是通信发展的必然趋势。在3G-WLAN应用环境中，3G网络给UE提供服务主要包括两类一类是认证服务，即3G网络帮助WLAN对UE的身份进行认证；另外一类是数据服务，即用户设备(User Equipment,简称UE )通过与3G网络的分组数据网关(Packet Data Gateway ，简称PDG )相互认i正从而获取各类应用服务。
对于3G-WLAN融合网络而言，UE使用3G网络中的用户标识完成在WLAN 网络或者3G网络中的接入，因此需由3G网络提供用户设备接入WLAN以及用户设备接入3G网络的认证控制。现有的认证控制是由3G网络中用户设备对应的家乡域认证服务器对认证进行集中控制。WLAN域内或拜访域内都部署有各自的认证代理。无论用户设备当前位置是位于第一网络覆盖范围内，还是在拜访域内的第二网络覆盖范围内，相应域内的认证代理都会将用户设备的认证信息转发到家乡域认证服务器上，由家乡域认证服务器对该用户设备进行集中处理。
发明人在实现本发明实施例过程中发现，现有技术采用家乡域认证服务器对用户设备的认证进行集中管理的技术方案，家乡域认证服务器认证负荷 4交重，从而导致认证效率较低。

发明内容
本发明实施例提供一种认证方法、服务器、用户设备及通信系统，用以提高用户设备接入融合网络时的认证效率。
本发明实施例提供了一种认证方法，包括
家乡域认证服务器在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，与所述用户设备基于所述家乡域根密钥对用户设备接入家乡域内的第二网络进行认证；
在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，所述家乡域认证服务器才艮据所述家乡域根密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域4艮密钥，以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例还提供了另一种认证方法，包括
用户设备在接入第一网络的认证过程中生成家乡域根密钥；与家乡域认证服务器基于所述家乡域根密钥，进行所述用户设备在家乡域内的第二网络的认证控制；
所述用户设备根据所述家乡域根密钥，生成拜访域根密钥；与拜访域认证服务器基于所述拜访域根密钥，进行所述用户设备在拜访域内的第二网络的认证控制。
本发明实施例还提供了一种认证服务器，包括
家乡域根密钥生成模块，用于在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，以供自身与所述用户设备基于所述家乡域根密钥，对所述用户设备接入家乡域内的第二网络进行认证；
拜访域根密钥生成和发送模块，用于在与自身关联的认证服务器包括拜访域认证服务器时，根据所述家乡域根密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域根密钥，以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例还提供了一种用户设备，包括
家乡域认证控制模块，用于在接入第一网络的认证过程中，生成家乡域
根密钥；与家乡域认证服务器基于所述家乡域根密钥，进行用户设备在家乡域内的第二网络的认证控制；
拜访域认证控制模块，用于根据所述家乡域根密钥，生成拜访域根密钥；与拜访域认证服务器基于所述拜访域根密钥，进行所述用户设备在拜访域内的第二网络的认证控制。
本发明实施例还提供了一种通信系统，包括家乡域认证服务器、拜访域认证服务器和用户设备；
所述家乡域认证服务器用于在对用户设备接入第一网络的认证过程中，生成家乡域才艮密钥，以供自身与所述用户设备基于所述家乡域才艮密钥，对所述用户设备接入家乡域内的第二网络进行认证；在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，根据所述家乡域根密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域根密钥；
所述拜访域认证服务器用于与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行认证。
本发明实施例为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器分别生成不同层次的根密钥，以使得各层次的认证服务器根据各自与用户设备共享的根密钥，对本域内的认证过程进行控制，从而降低了家乡域认证服务器的认证负荷，减少了认证信息的多级转发，提高了用户设备接入融合网络时的认证效率，为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的认证方法流程图2为本发明第二实施例提供的认证方法流程图3a为本发明实施例扩展后的3G-WLAN网络逻辑关系图3b为本发明实施例扩展后的密钥层次示意图3c为本发明实施例扩展后的密钥在3G-WLAN网络各逻辑实体中的持有关系示意图4为本发明实施例提供的3G-WLAN网络结构示意图一；图5a为本发明第三实施例提供的3G-WLAN网络中第一阶段认证方法信令交互示意图5b为本发明第三实施例生成的密钥结构示意图6为本发明第四实施例提供的WLAN UE在WLAN域内不同AP之间切换方法信令交互示意图7为本发明第五实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图8为本发明实施例提供的3G-WLAN网络结构示意图二；图9为本发明第六实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图10为本发明第七实施例提供的认证服务器结构示意图；图11为本发明第八实施例提供的用户设备结构示意图；图12为本发明第九实施例提供的通信系统结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
图1为本发明第一实施例提供的认证方法流程图。本实施例从网络侧说明本发明认证方法的技术方案，其执行主体可为用户设备对应的家乡域认证
服务器，如HAAA月l务器(Home AAA Server)。如图1所示，本实施例认证方法包括
步骤11、家乡域认证服务器在对用户设备接入第一网络的认证过程中，
生成家乡域根密钥，与用户设备基于家乡域根密钥对用户设备接入家乡域内的第二网络进行认证。
用户设备在接入由第一网络和第二网络组成的融合网络时，首先需要通过家乡域认i正服务器对用户设备接入第一网络进行认证。在用户设备接入第一网络的认证过程中，家乡域认证服务器生成家乡域根密钥，该家乡域根密钥为家乡域认证服务器与用户设备的共享密钥。如果用户设备成功接入第一网络并希望接入家乡域内的第二网络时，家乡域认证服务器基于该家乡域根密钥可对用户设备接入家乡域内的第二网络进行认证。
步骤12、在与家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，家乡域认证服务器根据家乡域根密钥，为拜访域认证服务器生成拜访域根密钥，向拜访域认证服务器发送拜访域根密钥，以供拜访域认证服务器与用户设备基于拜访域根密钥，对用户设备接入拜访域内的第二网络进行认证。
家乡域认证服务器可在用户设备接入第一网络的认证过程中，根据家乡域根密钥生成拜访与根密钥，该拜访域根密钥为拜访域认证服务器与用户设备共享的根密钥。如果用户设备成功接入第一网络并希望接入拜访域内的第二网络时，拜访域认证^11务器基于该拜访域#>密钥对用户i殳备接入拜访域内的第二网络进行认证。
在上述技术方案的基础上，如果与家乡域认证服务器关联的认证服务器
包括WLAN域认证服务器，家乡域认证服务器还可根据家乡域根密钥为WLAN 域认证服务器生成WLAN域才艮密钥，向WLAN域i^iE服务器发送WLAN域根密钥，以供WLAN域认证服务器与用户设备基于WLAN域根密钥，进行用户设备在WLAN 域内不同接入点间的快速重认证或快速切换控制。
在上述技术方案的基础上，如果与拜访域认证服务器关联的认证服务器包括WLAN域认证服务器，拜访域认证服务器还可根据拜访域根密钥为WLAN 域认证服务器生成WLAN域才艮密钥，向WLAN域认证服务器发送WLAN域根密钥，以供WLAN域认证服务器与用户设备基于WLAN域才艮密钥，进行用户设备在WLAN 域内不同接入点间的快速重认证或快速切换控制。
本发明实施例为由第一网络和第二网络互通组成的融合网络的不同层次分别生成不同层次的根密钥，如为WLAN域、家乡域以及拜访域分别生成相应的根密钥，各层次的认证服务器根据各层次与用户设备共享的根密钥，对本域内的认证过程进行控制，从而降低了家乡域认证服务器的认证负荷，减少了认证信息的多级转发，提高了用户设备接入融合网络时的认证效率，从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
图2为本发明第二实施例提供的认证方法流程图。本实施例从终端侧说明本发明认证方法的技术方案，其执行主体可为用户设备。如图2所示，本实施例认证方法包括
步骤21、用户设备在接入第一网络的认证过程中，生成家乡域根密钥；与家乡域认证服务器基于家乡域根密钥，进行用户设备在家乡域内的第二网络的认证控制。
步骤22、用户设备根据家乡域根密钥，生成拜访域根密钥；与拜访域认证服务器基于拜访域根密钥，进行用户设备在拜访域内的第二网络的认证控制。
在上述技术方案的基础上，如果用户设备当前处于家乡域关联的WLAN域覆盖范围内，用户设备还可根据家乡域根密钥，生成WLAN域子密钥；与WLAN 域认证服务器基于所述WLAN域根密钥，进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
在上述技术方案的基础上，如果用户设备当前处于拜访域关联的WLAN域覆盖范围内，用户设备还可根据拜访域根密钥，生成WLAN域子密钥；与WLAN 域认证服务器基于WLAN域子密钥，进行用户设备在乳AN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例在用户设备接入由第一网络和第二网络互通组成的融合网络过程中，通过与融合网络的不同层次的认证服务器生成共享的根密钥，基于各层次共享的根密钥进行相应层次的认证控制，因此少了认证信息的多级转发，有利于提高了用户设备接入融合网络时的认证效率，从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
本发明以下实施例提供了上述实施例在3G-WLAN融合网络中的应用实例，其中，第一网络即为WLAN，第二网络即为3G网络。首先对下面实施例中涉及的相关网元属性进行说明。根据3G-WLAN融合组网的需要，3GPP为WLAN 与3G网络的互联结构才莫型定义了以下网元
(1) WLAN UE: WLAN User Equipment,有访问WLAN权限的用户设备，如手机，PDA等。该用户设备包含一个3G用户使用的USIM卡，用于接入WLAN 接入网。
(2) WLAN AN: WLAN Access Network,即WLAN接入网；在WLANAN中可设置一个或多个接入点(Access Point,简称AP)，用于为WLAN UE提供无线IP连接，以使WLAN UE的请求能够被3G网络中的服务器认证和授权。
(3) 3GPPAAA^理3GPP AAA Proxy,位于拜访网络(Visited Network )，完成AAA的代理和过滤功能。
(4) 3GPPAAA服务器3GPP AAA Server,位于归属网络(Home Network )，完成AAA功能，以及必要时为分组数据网关、WLAN接入网关和WLAN AN提供授权、策略实施以及路由信息等。
(5) HLR/HSS:归属位置寄存器/归属用户服务器，位于归属网络，存储有用户访问互联服务时所需的认证信息和服务订阅信息，可表现为一个信息数据库。
(6) WAG: WLAN Access Gateway, WLAN接入网关，通过此网关把发送到或者来自于WLAN AN的数据经由拜访/>众陆地移动通信网(Visited Public Land Mobile Network,简称VPLMN )发送出去，目的是为WLAN UE提供3G分组域服务。
(7) PDG: Packet Data Gateway,分组数据网关，可能位于归属网络，也能位于拜访网络。WLAN UE通过PDG可访问3G分组域的服务，提供了 3G分组域服务的访问权限控制，是WLANUE建立隧道以向3G核心网络传输数据的重要关卡。
(8) SLF: Subscription Locator Function,签约定4立功能，叶立于归属网络，其作用是使得3GPP AAA服务器能够找到HSS的地址。
(9) 离线计费系统Offline Charging System,可同时位于拜访网络和归属网络。
(10) 在线计费系统Online Charging System,位于归属网络。本发明实施例在上述现有网元3GPP AAA代理原有功能的基础上进行了
认证功能扩展，使其具有为UE提供拜访网络AAA支持的功能，为便于与原 3GPP AAA代理网元进行区分，功能扩展后的3GPP AAA代理网元以VAAA服务器表示。此外，为便于区分位于拜访网络中的VAAA服务器，将位于归属网络中的3GPP AAA服务器表示为HAAA服务器。进一步的，为便于描述，将WLAN AN抽象为具有为协助提供WLAN域AAA支持功能的实体，表示为WAAA服务器(WLAN AAA Server )。
本发明实施例还可将用户设备在接入WLAN (即第一网络)使用的密钥与用户设备接入3G网络(即第二网络)时使用的密钥进行关联，有利于简化用户设备在接入第二网络流程过程中对用户设备进行重复认证，从而精简了认证流程，提高了用户设备接入3G网络的认证效率。
图3a为本发明实施例扩展后的3G-WLAN网络逻辑关系图。基于扩展后的 3G-WLAN网络逻辑关系图，可对WLAN UE在3G-WLAN网络中的iU正密钥层次进行扩展。本发明实施例扩展出的密钥层次是遵循对称密钥体系，所谓的对称密钥体系的才几理在于WLAN UE与网全各側共享相同的密钥素材，即WLAN UE 与网络侧的网元共享相应密钥。因此，下面实施例中涉及的扩展密钥均为WLAN UE与相应网元的共享密钥。
本发明实施例的密钥层次主要包括以下三个部分的扩展
本发明实施例密钥层次第I部分扩展:在HAAA服务器(或VAAA服务器)、 PDG与WLAN UE之间进行密钥层次扩展，该部分扩展的密钥例如HBK、 HBSK、 VBK和VBSK等。将WLAN UE在第一阶段认证过程中与HAAA服务器共享的根密钥MK，用于产生第二阶段认证所需使用的其它密钥，因而建立第一阶段认证过程使用的密钥与第二阶4更过程使用的密钥之间的关联。对于初始接入 3G-WLAN网络的WLAN UE,本部分密钥层次扩展可应用于简化WLAN UE接入 3G-WLAN网络第二阶段的认证过程；和/或，对于已成功接入3G-WLAN网络的 WLAN UE,本部分密钥层次扩展可为WLAN UE在不同PDG之间进行快速切换 (Fast Handoff，简称FH )提供^支术支撑。
第II部分扩展在HAAA服务器、VAAA服务器、WAAA服务器、AP以及 WLAN UE之间进行密钥扩展，该部分扩展的密钥例如VnMK、 WnMK和APnSK等。对于已成功接入3G-WLAN网络的WLAN UE，本部分密钥层次扩展可应用于减少由HAAA月l务器处理的快速重iU正(Fast Reauthentication,简称FR)或快速切换过程中的认证时延。第III部分扩展在HLR/HSS、 HAAA与VAAA之间进行扩展，该部分扩展的密钥如MK、 VnMK和WnMK等。本部分密钥层次扩展可应用于WLAN UE在3G 网络中不同的VAAA服务器之间，或HAAA服务器与VAAA服务器之间进行安全快速切换过程中，用以减少了 HLR/HSS提供的用于推演密钥的认证向量的使用数量，缩减认证消息转发次数，减轻归属网络负载。
以上三部分扩展的密钥可根据贯穿在不同应用场景中对应生成。图3b 为本发明实施例扩展后的密钥层次示意图，其中，虚线框内的部分为本发明实施例相对于现有技术扩展的内容。图3c为本发明实施例扩展后的密钥在 3G-WLAN网络各逻辑实体中的持有关系示意图，即密钥存放在哪个或哪些网元中。三部分的密钥扩展分别对应于家乡域的根密钥MK,拜访域的根密钥 VnMK，以及WLAN域的根密钥WnMK,三者依次导出，即
MK由HAAA服务器根据自身与WLAN UE共享的AV导出，作为家乡域根密钥；MK由HAAA服务器和WLAN UE共享。
VnMK由MK导出，作为拜访域根密钥；HAAA服务器根据MK生成VnMK， HAAA服务器将生成的VnMK发送给VnAAA服务器并可删除自身緩存的该VnMK; VnAAA服务器持有VnMK,并与WLAN UE共享。
WnMK由VnMK导出，作为WLAN域才艮密钥；VnAAA月良务器才艮据VnMK生成 WnMK，将生成的WnMK发送给WnAAA服务器并可删除自身緩存的该WnMK; WnAAA 服务器持有WnMK，并与WLAN UE共享。
MK、 VnMK和WnMK三者可分别用于导出本域所需的其它密钥；其中，VnMK 中的下脚表"n"用于表示与HAAA服务器连接的VAAA服务器的序号，WnMK 中的下脚表"n，，用于表示与VAAA服务器或HAAA服务器连接的WAAA服务器的序号。
下面结合图3b和图3c，对涉及的各层次密钥应用场景及其与其他层次密钥的导出关系说明如下
1、 MK的生成及其应用场景101、 MK的生成
HLR/HSS与WLAN UE共享有UE注册时生成的注册密钥信息及加密算法。 HLR/HSS基于该加密算法可从注册密钥信息中推演出一个或多个认证向量组 AV;在对WLAN UE的i人证过程中，HAAA月l务器向WLAN UE对应的HLR/HSS获取认证向量组AV。 WLAN UE与HLR/HSS共享的注册密钥信息及加密算法可在具体产品制造过程中烧入WLAN UE使用的USIM卡中，因此，当WLAN UE可基于注册密钥信息及加密算法进行推演运算，保证WLAN UE与HAAA服务器获取的AV的信息同步，如WLAN UE与HAAA服务器共享某一认证向量组AV， AV 可包括密钥推演参数CK和IK。
HAAA服务器才艮据与UE共享的AV可推演得到家乡域才艮密钥MK,MK为HAAA 服务器与UE的共享家乡域根密钥。
102、 MK的应用场景举例
MK可应用于WLAN UE在不同的拜访域之间的切换的应用场景中，例如 WLAN UE需要从源拜访域切换到目标拜访域，该情形下，WLAN UE的认证请求信息将由目标拜访域对应的VAAA服务器，转发至用于管理拜访域的上一级 AAA服务器，即HAAA服务器，WLAN UE与HAAA服务器^f吏用双方共享的MK完成快速切换流程，之后，HAAA服务器生成WLAN UE与目标VAAA服务器共享的新的拜访域根密钥VnMK。
2、 VnMK的生成及其应用场景
201、 HAAA服务器可通过/>式(1)生成VnMK:
VnMK=PRF (MK|I RAND||HAAA—ID||VnAAA_ID||UEM) ( 1 )
公式(1 )中，"VnMK"为拜访域根密钥，"PRF"为密钥推演函数，"RAND" 为由家乡域认证服务器生成的随机数；"HAAA_ID" 为家乡域认证服务器的标识，"VnAAA-ID" 为拜访域认证服务器的标识，"UEM" 为用户设备的介质访问控制(Media Access Control,简称MAC)地址。
202、 VnMK的应用场景举例VnMK可应用于WLAN UE在与同一个拜访域覆盖的不同WLAN域之间的切换的应用场景，该场景下的切换可称为"水平切换"。
例如WLAN UE需要从与某一拜访域覆盖下的源WLAN域切换到该拜访域覆盖的目标WLAN域中，该情形下，WLAN UE的认证请求信息将被与目标WLAN 域对应的目标WAAA服务器，转发至用于管理WLAN域的上一级AAA服务器，即VAAA服务器，WLAN UE与VAAA服务器使用双方共享的VnMK完成快速切换，之后，VAAA服务器生成WLAN UE与目标WAAA服务器共享的新的WLAN域根密钥WnMK。
举例二
VnMK可应用于WLAN UE在漫游情况下，在3G网络与WLAN网络之间进行切换的应用场景中，该场景下的切换可称为"垂直切换"。
认证请求信息被转发到该拜访域对应的VAAA服务器，通过VAAA服务器使用自身与WLAN UE共享的拜访域根密钥VnMK,在拜访域内完成WLAN UE在3G 网络和WLAN网络之间的垂直切换。
3、 WnMK的生成及其应用场景
301、 HAAA服务器可通过公式(2a )生成WnMK:
WnMK- PRF (MKI|RAND||HAAA_ID||WnAAA—ID||UEM) (2a) 公式(2a)中，"WnMK"为WLAN域根密钥，"PRF"为密钥推演函数， "MK"为家乡域根密钥，"RAND"为由家乡域认证服务器生成的随机数， "WnAAA_ID" 为WLAN域iU正服务器的标识，"UEM" 为用户设备的介质访
问4空制i也址。
VAAA服务器可通过7>式(2b )生成WnMK:
WnMK-PRF (VnMKIIRANDnl|WnAAA_ID|IUEM) (2b)
公式(2b)中，"WnMK"为WLAN域根密钥，"PRF"为密钥推演函数，"VnMK"为拜访域#~密钥，"RANDn"为由拜访域认证服务器生成的随机数， "WnAAA-ID" 为WLAN域认证服务器的标识，"UEM" 为用户设备的介质访问控制i也址。
302、 WnMK的应用场景举例
举例一WnMK可用于WLAN UE在WLAN域内的快速重认证的应用场景。举例二 WnMK可用于WLAN UE在同一 WLAN域内的不同AP之间进行快速切换的应用场景。
当上述快速重认证或者快速切换过程发生时，认证请求信息被转发到 WLAN域对应的WAAA服务器，WMA服务器通过自身与WLAN UE之间共享的WLAN 域根密钥WnMK完成i人证。WnMK在^皮发送给相应的WAAA之后也将被从VAAA 中删除。WnMK取代了密钥体系扩展前的原有MSK (如图3b所示)，原EAP-AKA 中生成的MSK与EMSK不再使用，而是作为两个扩展密钥留作其它用途。
4、 APnSK的生成及其应用场景
401、 WAAA服务器可通过公式(3)生成APnSK: APnSK=PRF (WnMK | |APn_ID| |醒) (3)
公式(3 )中,"APnSK"为WLAN UE与AP共享的WLAN域子密钥,"PRF" 为密钥推演函数，"WnMK，，为WLAN域根密钥，"APn-ID"为AP的标识，"UEM" 为WLAN UE的MAC地址。
APnSK由WAAA服务器生成，当WAAA服务器将生成APnSK发送给相应的 AP之后，WAAA服务器上的该APnSK将被删除。APnSK为WLAN UE与AP之间
的共享密钥。
402、 APnSK的应用场景举例
APnSK的功能类似于现有密钥PMK，即APnSK可应用于WLAN UE与AP之间进行四步握手的应用场景中。AP会根据APnSK生成一个或多个会话密钥 PTK， PTK可应用到WLAN UE与AP建立的相应会话中。
5、 VBK的生成及其应用场景501、 VAAA服务器可通过公式(4)生成VBK:
VBK=PRF ( IMSIIIVAAA-IDIIEAP-AKA SessionID||VnMKI|UEM ) (4) 公式(4 )中，"VBK"为WLAN UE与VAAA服务器共享的拜访域子密钥，以供VAAA服务器对UE在拜访域内进行快速重认证或在拜访域内不同PDG之间进行快速切换控制；"PRF"为密钥推演函数，"IMSI"为乳ANUE的长期身份信息，"VAAA—ID"为WLAN UE连接的VAAA服务器的标识，"VnMK"为拜访域根密钥，"UEM"为用户设备的介质访问控制地址，"EAP-AKA SessionID"为当前会话标识，"EAP-AKA SessionID"可采用公式(5 )生成 EAP-AKA SessionID = (EAP Type Code I|RAND||AUTN) (5) 公式(5 )中,"EAP Type Code"为EAP类型码；"RAND"为VAAA服务器生成的随机数，用于保证产生的"EAP-AKA SessionID"未祐:使用过，即保证"EAP-AKA SessionID"的新鲜性；"AUTN"为认证令牌。
在生成VBK之后，VAAA服务器可根据公式(6 ),为不同的PDG推演得到相应的拜访域分密钥VBSK:
VBSK=PRF (VBKI|V_N||VAAA_ID||PDG_ID||UEM) (6) 公式(5 )中，"VBSK"为WLAN UE与拜访域内的PDG共享的拜访域分密钥，以供WLAN UE与拜访域内的PDG之间进行会话接入认证；"V—N"为VAAA 服务器生成的随机数，用于保证产生的"VBSK"未被使用过，即保证"VBSK" 的新鲜性；"PDG—ID"为WLAN UE连接的PDG的标识；"VAAA—ID"为PDG连接的VAAA服务器的标识。
502、 VBK的应用场景举例
举例一VBK可应用于WLAN UE在同一拜访域覆盖范围下的不同PDG之间进行快速切换的应用场景中。
例如WLAN UE需要从某一拜访域覆盖下的源PDG切换到该拜访域覆盖的目标PDG中，该情形下，WLAN UE和该拜访域对应的VAAA服务器之间可以使用VBK完成对认证信息的鉴别。在进行拜访域内不同PDG间的切换时，UE与VAAA服务器共享密钥VBK。当UE选择新的PDG作为目标PDG时，可经由源PDG或目标PDG转发实现UE与VAAA服务器之间的认证消息传递，双方使用VBK对各自获得的消息计算MAC值，同时对对方发送的随机数进行运算并将结果发至对方，从而完成双向认证。之后，VAAA服务器计算新的VBSK值发送至目标PDG，而UE亦可计算相同的值，使用新的VBSK完成与目标PDG 的认证。至此，拜访域内不同PDG间的切换完成。
举例二 VBK可应用于WLAN UE在拜访域覆盖范围下的某一 PDG内进行快速重认证的应用场景中。
例如当前PDG需要对WLAN UE进行快速重认证，该情形下，WLAN UE 和当前PDG所属的拜访域对应的VAAA服务器之间可以使用VBK完成对认证信息的鉴别。在快速重认证时，由于UE与VAAA服务器均持有VBK, VAAA服务器可发送新的随机数，并要求UE发回其当前重认证计数器中所储存的重认证次数，UE校验VAAA服务器发送的消息中包含的MAC值，VAAA服务器校验重认证次数值，完成双向快速重认证。之后，VAAA服务器计算新的VBSK发送至PDG，由PDG与UE协商完成会话密钥的更新。至此，快速重认证完成。
6、 HBK的生成及其应用场景
601、 HAAA服务器可通过公式(7)生成HBK:
HBK=PRF (IMSIIIHAAA-ID|IEAP-AU SessionIDl|MK||UEM) (7) 公式(7)中，"HBK"为WLAN UE与HAAA服务器共享的家乡域子密钥，以供HAAA服务器对UE在家乡域内进行快速重认证或在家乡域内不同PDG之间进行快速切换控制，"PRF"为密钥推演函数，"IMSI"为WLANUE的长期身份信息，"HAAA—ID"为WLAN UE连接的HAAA服务器的标识，"MK"为家乡域根密钥，"UEM"为用户设备的介质访问控制地址，"EAP-AKASessionID" 为当前会话标识。
在生成HBK之后，HAAA服务器可根据公式(8 )，为家乡域覆盖范围下的不同的PDG"j侏演得到相应的家乡域分密钥HBSK:HBSK-PRF (HBKI|H_N||HAAA—ID|IPDG—ID||UEM) (8) 公式(8 )中，"HBSK"为WLAN UE与家乡域内的PDG共享的家乡域分密钥，以供WLAN UE与拜访域内的PDG之间进行会话接入认证；"H_N"为HAAA 服务器生成的随机数，用于保证产生的"HBSK"未被使用过，即保证"HBSK" 的新鲜性；"PDG—ID"为WLAN UE连才妄的PDG的标识；"VAAA-ID"为PDG连接的HAAA服务器的标识。
602、 HBK的应用场景举例:
举例一HBK可应用于WLAN UE在家乡域覆盖范围下的不同PDG之间进行快速切换的应用场景中。
例如WLAN UE需要从家乡域覆盖下的源PDG切换到家乡域覆盖的目标 PDG中，该情形下，WLAN UE和HAAA服务器之间可以使用HBK完成对认证信息的鉴别。
举例二 HBK可应用于WLAN UE在家乡域覆盖范围下的某一 PDG内进行快速重认证的应用场景中。
例如家乡域覆盖范围下的某一 PDG需要对WLAN UE进行快速重认证，该情形下，WLAN UE和当前PDG所属的HAAA服务器之间可以4吏用HBK完成对 iU正信息的鉴别。
通过本发明实施例上述对密钥层次的扩展及各级密钥在不同应用场景中的应用，可实现如下4支术效杲
(1) 将WLAN UE接入3G-WLAN网络过程中，将第一阶段认证过程和第二阶段认证过程中使用的密钥进行关联，即根据第一阶段认证使用的密钥MK, 生成第二阶段认证使用的其它密钥，因此，在第二阶段认证过程中减少了一次完整的EAP-AKA认证过程，明显减少了认证交互次数，从而提高了WLANUE 接入3G-WLAN网络的认证效率。
(2) 扩展3G-WLAN网络中原3GPP AAA代理的认证功能，并为3G-WLAN 网络的不同层次分别生成同层次的根密钥，使得对漫游情形下的WLAN UE执行快速重认证判断的服务器，可由VAAA服务器直接执行，而不需要转发到 HAAA服务器，且对漫游情形下的WLAN UE执行快速切换判断的服务器，可由与发生切换的域的上一级AAA服务器，这种认证局部化改进减少了快速重认 -江过程中认证消息转发的数量，提高了快速重认证的效率，并减少了认证所需的时延。
(3 )由HAAA服务器向HLR/HSS获取向量组AV,并基向量组AV推演得到HAAA服务器与WLAN UE共享的家乡域根密钥MK，之后，基于MK推演得到拜访域、WLAN域等其它层次与WUN UE共享的根密钥，不需要每发起一次认证操作，就使用一组AV生成所需的密钥，因此减少了 3G-WLAN系统中向量组 AV的使用数量。
(4)进行密钥层次扩展后，对于同层次实体间密钥的生成都是独立的，这有效的避免了多米诺效应，确保一个域内认证服务器被攻破不会影响其他域内i人证的安全性。
(5 )新方案将关于WLAN与3G两个网络互操作的三个场景，即UE处于非漫游场景，UE处于漫游场景且通过位于拜访域的PDG接入3G网络，以及 UE处于漫游场景且通过位于家乡域的PDG接入3G网络等三个场景，进行统一考虑进行方案设计，新的密钥层次可根据不同场景对应生成。
(6 )扩展后的密钥层次可满足WLAN UE在同一层次不同实体之间进行水平切换的应用要求，也可满足WLAN UE在3G网络与WLAN网络之间的垂直切换的应用要求。
总之，本发明实施例提供的密钥生成和分发方法对3G-WLAN互操作多个场景进行了统一考虑，所获得的密钥层次可以灵活的适应WLAN UE的多种使用，相对于现有技术而言，基于本发明实施例提供的认证密钥层次进行认证，在信息交互轮数、网络负载、接入时延等方面都有较大提高。
下面对本发明实施例提出的新的密钥层次在3G-WLAN网络中两阶段认证过程、以及快速重认证和快速切换过程中的使用为例，说明新的密钥层次的具体应用实例。
图4为本发明实施例^是供的3G-WLAN网络结构示意图一。如图4所示的网络结构对应WLAN UE漫游的应用场景。其中，WAG位于VPLMN; PDG所在的位置与WLAN UE使用由哪个网络提供的3GPP分组域业务有关，例如如果 UE使用由归属公众陆地移动通信网(Home Public Land Mobile Network ，筒称HPLMN )提供的3GPP分组域业务，则PDG位于HPLMN中；如果UE使用由VPL匪提供的3GPP分组域业务，则PDG位于VPLMN中，图4示出了 PDG位于VPLMN中的情形。
图4中各网元的功能可参见上文描述，其中网元VAAA服务器(Visited AAA Server)是在现有网元3GPP AAA代理原有功能的基础上进行了认证功能扩展，使其具有为UE提供拜访网络AAA支持的功能，为便于与原3GPPAAA 代理网元进行区分，功能扩展后的3GPP AAA代理网元以VAAA服务器表示。此外，为便于区分位于拜访网络中的VAAA服务器，将位于归属网络中的3GPP AAA力l务器表示为HAAA服务器。
图5a为本发明第三实施例提供的3G-WLAN网络中第一阶段认证方法信令交互示意图。本实施例以WLAN UE漫游应用场景下，在图4所示的网络结构中进行第一阶段认证，即进行"WLAN Direct IP Access"阶段的认证为例，进行说明。如图5a所示，本实施例第一阶段认证方法包括
步骤51 、 UE通过家乡域认证服务器(Home AAA Server,简称HAAA月良务器)提供的认证服务，与家乡域认证设备(如WLAN的接入点设备(Access Point,简称AP))进行第一阶段，即"WLAN Direct IP Access"阶段的认证。
当WLAN UE接入WLAN时，首先需要对WLAN进行身份认证，即进行第一阶段("WLAN Direct IP Access"阶段)认证。HAAA服务器从HLR/HSS获得iU正向量AV，通过WLAN AN执行认证和密钥协商(EAP-AKA )过程。如果第一阶段认证成功，WLAN UE通过WLAN AN可接入IP网络；如果IP网络是因特网(Internet/Intranet)，则WLAN UE发送的用户数据可直接从WLAN AN 3各由到IP网络，此时，对于仅需要获取WLAN业务的WLAN UE而言，只需要通过第一阶段认证即可。
步骤51可进一步包括步骤511-步骤5115(图中未示出)，511-步骤5115 是以遵循EAP-AKA协议的认证流程为例，对WLAN UE与AP之间进行第一阶段的双向iU正的流程进行i兌明。
步骤511、 WLAN UE与AP建立连接。
WLAN UE通过本步骤接入WLAN网络，基于WLAN网络空中接口资源，与 AP建立安全通道以及开启链路层的通信端口。
步骤512-步骤514、 WLAN UE向AP发送身份信息，并传输给HAAA服务器，获取WLAN UE的4受权信息。
步骤515-步骤519、 HAAA服务器向HLR/HSS发送WLAN UE的身份信息； HLR/HSS通过自身与WLAN UE共享的密钥信息，并基于预设算法生成认证向量组，将认证向量组发送给HAAA服务器。
上述认证向量组用于完成对WLANUE的接入认证、4受4又和计费，具体的，该认证向量组可包括密钥推演参数(IK, CK)。
步骤5110-步骤5111、 HAAA服务器向AP发送用以对WLAN UE身份进行认证的挑战消息，并由AP将该挑战信息转发给WLAN UE。在HAAA服务器发送挑战信息之前，HAAA服务器根据密钥推演参数(IK， CK)推演得到对WLAN UE进行身份认证的根密钥MK，基于根密钥MK对用于对UE身份进行认证的挑战消息进行加密处理，并将加密处理后的挑战信息发送给AP， AP将收到的挑战信息转发给UE。
步骤5112-步骤5114、 WLAN UE与HLR/HSS共享的密钥信息及预设算法可在具体产品制造过程中烧入用于USIM卡中。WLAN UE通过USIM卡中的密钥信息及算法，推演出HLR/HSS发送给HAAA服务器的认证向量组，并基于该认证向量组中的密钥推演参数(IK， CK)推演根密钥MK,基于根密钥MK认证收到的挑战信息的正确性。如果挑战信息的正确性验证成功，WLAN UE向 AP发送身份响应消息，该身份响应消息中可包括WLAN UE计算获得的会话密钥推演参数。
步骤5115、 AP将收到的身份响应消息转发给HAAA服务器，HAAA服务器验证身份响应消息的正确性。如果身份响应消息的正确性验证成功，执行步骤52;否则，退出本流程。
步骤52、 HAAA服务器向AP发送认证成功(EAP Success)消息，该认证成功消息中携带有^^舌密钥推演参数，以供WLANUE在WLAN中发起^^舌业务时使用。
现有RFC 4187协议中规定，EAP-AKA认证结束后，EAP认i正成功消息，如EAP-Success帧以及主会话密钥MSK将被从AAA服务器发送到相应的AP，之后按照802. lli规定的方法用于生成PMK和PTK。
如果^f吏用Radius完成EAP-Success帧和MSK从AAA服务器到AP的传递，则应按照rfc2548 (Microsoft Vendor-specific RADIUS Attributes)协议中的相关规定对EAP包以及MSK密钥素材进行封装，MSK的前32字节添加到 "MS-MPPE-RECV-KEY"域中，同时，后32字节添加到"MS-MPPE-SEND-KEY"中。
本实施例中对密钥的修改限于HAAA月l务器与VAAA服务器，以及VAAA 服务器与WAAA服务器之间，这两段通信都是服务期间通信，通过Radius (或 Diameter )来实现。在从HAAA服务器到AP的链路上，可能存在多个不同级别的AAA服务器(如VAAA服务器和WAAA服务器)，各级服务器需要获取上级服务器分发的，用于本级密钥导出的密钥素材，同时为下级服务器密钥的生成导出新的密钥。在该过程中，每级服务器都需要4艮据RFC2548的规定，乂人成EAP-Success消息中的"MS-MPPE-RECV-KEY"域和"MS-MPPE-SEND-KEY" 域中提取上级服务器发送的密钥，同时将生成的用于下级密钥导出的密钥填充至上述两个域中。对应图4的应用场景，HAAA服务器与AP之间的通信链路还经过其它层的服务器，如VAAA服务器和MAA服务器；具体的密钥生成和分发实现过程中，步骤52可包括步骤521-步骤529。
步骤521-步骤522、 HAAA服务器根据家乡域根密钥MK生成拜访域根密钥VMK;将拜访域根密钥VMK以及EAP认证成功(EAP-Success )消息中发送给VAAA服务器，同时删除HAAA服务器上的拜访域根密钥VMK。
VMK可携带在EAP-Success消息中的"MS-MPPE-RECV-KEY ，，域和 "MS-MPPE-SEND-KEY"域中。
步骤523-步骤524、 VAAA服务器根据接收的EAP-Success消息，获取拜访域根密钥VMK;根据拜访域根密钥VMK生成WLAN域根密钥WMK;将WLAN域根密钥丽K以及EAP-Success消息发送给WAAA服务器，同时删除VAAA服务器上的WLAN域根密钥丽K。
如果上述步骤522中，HAAA ^^务器将VMK携带在EAP Success消息中发送给VAAA服务器，VAAA服务器可从成EAP-Success消息中的 "MS-MPPE-RECV-KEY"域和"MS-MPPE-SEND-KEY"域中提取HAAA服务器发送的拜访域根密钥VMK,同时将生成的WLAN域根密钥填充至上述两个域，并发送给WAAA力i务器。
步骤525-步骤526、 WAAA服务器获取WLAN域根密钥丽K,根据丽K生成 AP与UE iU正WLAN域子密钥APnSK;将APnSK以及EAP-Success消息发送给 WLAN UE所连接的AP，同时删除VAAA ll务器上的WLAN域子密钥APnSK。
本发明实施例扩展后的WLAN域根密钥西K取代了原有的密钥MSK,基于西K生成的WLAN域子密钥APnSK替代原有的PMK发送给AP。
步骤527-步骤528、 AP获取WLAN域子密钥APnSK;向WLAN UE发送 EAP-Success消息，用于通知UE第一阶段认证已经完成。
步骤529、在WLANUE端，WLAN UE仍按照对称密钥的思想生成相应的密钥，并于相应网元共享，如根据MK生成VMK,并于VAAA服务器共享；才艮据VM〖生成，并与WAAA服务器共享；才艮据丽K生成APnSK，并与AP共享。
步骤53、 WLAN UE与AP通过四步握手方式，建立会话连接，AP根据AP 与WLAN UE的共享密钥APnSK,为本次会话生成与WLAN UE共享的会话密钥 PTK。
图讣为本发明第三实施例生成的密钥结构示意图。本实施例通过上述步骤生成各层次根密钥，并进行根密钥下发流程后，生成的根密钥结构及其共享关系如图3c所示。各级服务器通过根密钥可进一步推演出本层次的下级网元所需的其它密钥，例如WAAA服务器根据WLAN域根密钥丽K,推演出与自身连接的AP所需的WLAN子密钥APnSK。
发明人在实现本发明实施例过程中发现，现有的3G-WLAN网络接入管理中，由于3G网络是以认证服务提供者的角色出现在WLAN与3G网络互操作的场景中，WLAN UE的接入控制权集中在位于家乡域的HAAA服务器中。这种集中式认证授权方式的优点是提供了很强的安全保障，但是，接入控制权限的过分集中也会导致系统性能降低，例如在从UE到HAAA服务器的链路上可能存在多个AAA代理(如位于WLAN域的WAAA服务器WAAA,多个位于拜访域的VAAA服务器等)，现有的这些AAA代理没有处理权限，仅将认证信息逐跳的转发给HAAA服务器，同样的，VAAA服务器与HAAA服务器都处在相当强度的安全保护中。缺乏对这些AAA服务器的有效利用是制约FR、 FH性能提高的根本原因。本实施例通过扩展密钥结构，增加密钥层次的方法，为各层次的 AAA服务器分别生成本层次专用的根密钥，形成以家乡域、拜访域和WLAN域为实体的三层组织形式，有利于实现WLAN UE在3G-WLAN网络快速重认证或
快速切换过程的WLAN UE所在地AAA服务器的决策，从而有利于提高系统性
6匕月匕。
图6为本发明第四实施例提供的WLAN UE在WLAN域内不同AP之间切换方法信令交互示意图。本实施例的应用场景为WLAN UE发起从当前连接的 AP (以下称为源AP， Associated AP)到目标AP (Target AP )之间的切才奐，其中，源AP所在的源WLAN域处于源拜访域VAAA (Associated VAAA)服务器的管辖范围；目标AP在的目标WLAN域处于目标拜访域VAAA( Target VAAA ) 服务器的管辖范围。如图6所示，WLAN UE在WLAN域内不同AP之间切换方法包括
步骤61、 WLANUE向源AP发送切换请求，如EAP-Start请求消息，用于请求从源AP切换到目标AP。
步骤62-步骤65、源AP向UE发出身份请求消息，如EAP Request/Identity消息；WLAN UE将当前的重认证标识(Reauthentication ID)、目标VAAA的标识(VAAA-ID)、目标WAAA的标识(TWAAA-ID)，以及目标AP的标识(TAP-ID )经VnMK加密发给源VAAA服务器；这些信息可携带在身份响应消息，如EAPResponse/Identity消息发送给源VMA服务器。其中，VnMK为源VAAA服务器与WLAN UE共享的拜访域根密钥。源VAAA服务器将身份响应消息，如EAP Response/Identity消息转发给HAAA服务器。
步骤66、 HAAA服务器生成新的随机数H—N,并基于新的随机数H_N以及 HAAA服务器与WLAN UE共享的家乡域根密钥MK，向WLAN UE发送挑战信息，如EAP Response/AKA-Challenge消息。
步骤67、 WLAN UE根据自身与HAAA服务器共享的家乡域才艮密钥MK,向 HAAA服务器发送挑战应答消息，同时发送WLAN UE产生的新的随机数(U_E) 以及认证次数R-Coun t er 。
步骤68-步骤69、 HAAA服务器校验新的随机数H_N的正确性，同时校验认证次数R-Counter是否超出预设次数的限制，并验证MK是否处于有效期内。如果上述才交—验全部成功，则发送iU正成功，如EAP-Success消息以及新生成的目标拜访域密钥V，nMK给目标VAAA服务器，同时删除HAAA服务器上的 V，nMK。
步骤610-步骤611、 VAAA服务器根据新拜访域根密钥V，nMK生成目标 WLAN域的新根密钥W,nMK;将W，nMK以及EAP-Success消息发送给目标WAAA服务器，同时删除目标VAAA服务器上的W，nMK。
步骤612-步骤613 、目标WAAA服务器根据W，nMK为目标AP生成目标WLAN 域的新子密钥APnSK,,将APnSK，以及EAP-Success消息发送给目标AP,同时删除目标WAAA服务器上的APnSK，。
步骤614-步骤615、目标AP获取目标WLAN域子密钥APnSK，；向WLAN UE 发送EAP-Success消息，用于通知UE切换过程已经完成。
步骤616、在WLANUE端，WLAN UE仍按照对称密钥的思想生成相应的密钥，并于相应网元共享，如根据MK生成VMK，并于VAAA服务器共享；根据VMK生成，并与WAAA服务器共享；根据画K生成APnSK，并与AP共享。
步骤617、 WLAN UE与目标AP通过四步握手方式，建立会话连接。
本实施例通过扩展的密钥层次，实现了 WLAN UE在不同拜访域之间的切换，切换过程涉及的认证过程明显减少了冗余信息的转发，提高了认证效率。
对于其他切换场景，如在同一 WAAA域内不同AP之间的切换，或者同一拜访域内不同WLAN域之间的切换等应用场景中，密钥生成的分发方法的实现流程与本实施例相似，不再赘述。
图7为本发明第五实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图。当用户需要接入3G网络PDG的时候需要发起第二阶段(WLAN 3GPP IP Access)认证，在图4的应用场景中，WLAN UE选择拜访域的PDG 接入3G网络。如图7所示，第二阶段认证方法包括
步骤71、 WLAN UE和VAAA基于二者共享的拜访i或4艮密钥VMK,推演得到拜访域子密钥VBK， VBK为WLAN UE与VAAA服务器共享的拜访域子密钥。
步骤72-步骤74、 WLAN UE与拜访域内的PDG进行一次密钥信息交换(即 DH交换)，协商创建一个通信通道，如创建IKE SA通信通道，用于保护后续的通信。
步骤75、 WLAN UE与PDG使用已经创建的IKE SA通信通道，建立IPsec SA通信通道，即建立IPSec安全关联。本实施例在WLAN UE与PDG建立IPSec安全关耳关过程中，WLAN UE与VAAA 服务器之间可使用VBK完成对认证信息的鉴别，该情形下，步骤75可包括步骤751-步骤757。
步骤751、 WLAN UE根据VBK推演得到用于建立IPSec安全关联所需的密钥VBSK。
步骤752、 WLAN UE将自身的认证信息经过VBSK加密处理后发送给PDG。
步骤753-步骤755、 PDG向VAAA服务器获取用于建立IPSec安全关联所需的密钥VBSK, VAAA服务器根据VBK推演得到密钥VBSK,将VBSK发送给PDG。
步骤756-步骤757、 PDG以VBSK密钥为^5出，进行PDG与WLAN UE之间的双向iU正，建立IPSec安全关联。
发明人在实现本发明实施例过程中发现，现有实现方式中，在IKE—SA 建立之后开始进行IKE封装下的EAP-AKA认证。
本实施例取消了整个EAP-AKA的认证过程，基于随机数和WLAN UE与PDG 共享的密钥VBSK进行认证，从而快速简便的实现WLAN UE与PDG双向认证的目的。
第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP ) 发布的TS33. 2 34规范中规定了 UE接入3G网络所需要进行的认证方式和认证流程。对于一个仅仅期望获得WLAN服务的用户，3G网络能够提供的只是对该用户身份进行认证的服务，这在规范中被称为"WLAN Direct IP Access" (以下称为第一阶段认证)。而当用户希望获得3G网络的数据服务时，则在维持通过第一阶段认证而在WLAN网络中建立的安全连接的同时，还需要与 3G网络中提供数据服务的PDG建立安全关联,这个过程在规范中被称为"WLAN 3GPP IP Access"(以下称为第二阶段认证)。
可见，当UE期望从3G网络中获得数据服务时，保障数据服务的安全性有赖于两个认证阶段的安全关联。例如当UE需要接入一个PDG时，UE需要通过两个阶段的认证，即在第一阶段认证过程中，通过接入点(AccessPoint,简称AP)与认证授权计费(简称Authentication Authorization Accounting ，筒称AAA)服务器完成一次遵循可扩展认证协议-认证与密钥协商 (Extensible Authentication Protocol-Authentication and Key Agreement,简称EAP-AKA )协议的认证。在UE通过第一阶段的认证的前提下，进行第二阶段认证，并且在第二阶段认证过程中，须按照因特网密钥交换协议版本2 (Internet Key Exchange,简称IKEv2)的规定，将遵循EAP-AKA 协议的认证内容封装到遵循KE协议的数据包格式中，并通过PDG再次在AAA 服务器中获得认证。
发明人在实现本发明实施例过程中发现，现有3G-WLAN网络互操作过程中，第一阶段认证和第二阶段认证是两个完全独立的认证阶段，相互之间再密钥使用上没有连续性。EAP-AKA在两个阶段分别被执行，这样就产生了大量冗余的交互消息大大降低了 WLAN UE接入网络和进行切换时的性能。当UE 需要4姿入一个PDG时，其必须首先通过AP与HAAA完成一次EAP-AKA认i正。接着，EAP-AKA又要按照IKEv2的规定被封装到IKE数据包格式中通过PDG, 再次在家乡域的AAA服务器中获得认证。从本质上说，这种设计方式是两次 EAP-AU认证的简单累加，认证消息大量冗余，网络效率明显降低。如果考虑快速重认证(FR)和快速切换(FH)的情况，两个独立的认证阶段需要两个独立的FR或FH过程。然而，从33. 234中规定的第二阶段的FR过程中可以看出，FR过程仅比完整的认证过程减少一步认证向量提取，几乎没有提升性能的空间。而且经历两个阶段认证的FH无论如何不能满足多媒体应用切换对时延的要求。为解决这个问题，33. 234规定，当WLAN为3G网络所信任时，第一阶段的EAP-AKA认证可以被省略。从网络的逻辑结构上看，当用户不需要认证就可以获得本地IP从而接入WLAN时，相当于拆除了 3G核心网络设备之前的屏障，将整个3G网络暴露在用户面前。攻击者可以直接对PDG发起 DOS攻击，从而在更大范围上影响网络的性能。因此，这种以牺牲网络安全性为代价换取性能提高的方式并不可取。本实施例建立两个认证阶段的关联，即根据第一阶段生成的拜访域根密
钥VMK生成WLAN UE接入拜访域PDG所需的认证密钥(如VBK ),在VAAA服务器上即可基于VBK进行对WLAN UE的身份信息进行鉴别，从而在第二阶段认证过程中，省去了一次完整的EAP-AKA认证过程，明显减少了冗余的多条信息转发，从而精简了认证步骤；此外，VAAA服务器可基于VBK对WLAN UE 的快速重认证或快速切换流程进行认证决策，有利于提高快速重认证或快速切换流程中的认证效率。
发明人在实现本发明实施例过程中还发现，现有3G-WLAN网络互操作过程中，如图3c所示的密钥结构来看，EAP-AKA的家乡域根密钥MK是通过AV 中的IK和CK导出的，因此，一次EAP-AKA认证过程中就将使用一组AV向量。可见，WLAN UE的一次接入WLAN-GW网络经过了两个阶段的认证，现有流程需使用两组AV。这样带来的后果就是相应AAA服务器将频繁经过多跳链路向只存在于家乡域的HLR/HSS申请AV。另外，如果WLAN UE的认证消息到达某 AAA服务器，由于没有可供使用的AV，当前AAA服务器须经过多跳链路向 HLR/HSS发出AV请求。经HLR/HSS查询发现，该WLAN UE通过另一AAA服务器完成注册，因此，当前AAA服务器收到的认证信息被转发到原注册的AAA 服务器上，使用其已获得的AV向量组完成认证。如果此时原注册的AAA服务器上的AV恰好用完，则原注册的AAA服务器仍然需要向HLR/HSS申请AV，从而引入了更多跳数的转发链路。
本实施例通过建立两个认证阶段的关联，根据第一认证阶段生成的根密钥(MK、 VMK或丽K)生成用于进行第二阶段认证的子密钥(HBK或VBK)，因此，两个认证阶段只需要一组认证向量AV即可实现，节省了认证向量的使用数量，并提高了同一组认证向量的使用效率。
图8为本发明实施例提供的3G-WLAN网络结构示意图二。图8所示的网络接过对应的是WLAN UE漫游的另一应用场景。与图4对应3G-WLAN网络结构的区别在于，图8示出了 PDG位于HPLMN中的情形。图9为本发明第六实施例提供的3G-WLAN网络中第二阶段认证方法信令交互示意图。当用户需要接入3G网络PDG的时候需要发起第二阶段(WLAN 3GPP IP Access)认证，在图7的应用场景中，WLANUE选择家乡域的PDG接入3G网络。如图9所示，第二阶段认证方法包括
步骤91、 WLAN UE和HAAA服务器基于二者共享的家乡Jt或才艮密钥MK,推演得到拜访域子密钥HBK, HBK为WLAN UE与HAAA服务器共享的家乡域子密钥。
步骤92-步骤94、 WLAN UE与家乡域内的PDG进行一次密钥信息交换(即 DH交换)，协商创建一个通信通道，如创建IKLSA通信通道，用于保护后续的通信。
步骤95、 WLAN UE与PDG使用已经创建的IKE_SA通信通道，建立IPsec SA通信通道，即建立IPSec安全关联。
本实施例在WLAN UE与PDG建立IPSec安全关联过程中，WLAN UE与HAAA 服务器之间可使用HBK完成对认证信息的鉴别，该情形下，步骤95可包括步骤951-步骤957。
步骤951、 WLAN UE根据HBK推演得到用于建立IPSec安全关联所需的密钥HBSK。
步骤952、 WLAN UE将自身的认证信息经过HBSK加密处理后发送给PDG。
步骤953-步骤955、 PDG向VAAA服务器获取用于建立IPSec安全关联所需的密钥HBSK， HAAA服务器接收PDG的认证请求，根据HBK推演得到密钥 HBSK，通过i人i正响应将HBSK发送给PDG。
步骤956-步骤957、 PDG以HBSK密钥为基础，进行PDG与WLAN UE之间的双向认证，建立IPSec安全关联。
本实施例通过建立两个认证阶段的关联，根据第一认证阶段生成的根密钥(MK、 VMK或丽K)生成用于进行第二阶段认证的子密钥(HBK或VBK), 因此，两个认证阶段只需要一组认证向量AV即可实现，节省了认证向量的使用数量，并提高了同一组认证向量的使用效率。图10为本发明第七实施例提供的认证服务器结构示意图。如图IO所示，
本实施例认证服务器包括家乡域根密钥生成模块101和拜访域根密钥生成和发送模块1D2。
家乡域根密钥生成模块101用于在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，以供自身基于上述家乡域根密钥，对用户设备接入家乡域内的第二网络进行认证。
拜访域根密钥生成和发送模块102用于在与自身关联的认证服务器包括拜访域认证服务器时，根据上述家乡域根密钥，为拜访域认证服务器生成拜访域才艮密钥，向拜访域认证服务器发送上述拜访域才艮密钥，以供拜访域认证服务器与用户设备基于上述拜访域根密钥，对用户设备接入拜访域内的第二网络进行认证。
在上述技术方案的勤出上，认证服务器还可包括WLAN域根密钥生成和发送模块103。
WLAN域根密钥生成和发送模块103用于在与自身关联的认证服务器包括无线局域网WLAN域认证服务器时，根据上述家乡域根密钥为WLAN域认证服务器生成WLAN域根密钥，向WLAN域认证服务器发送上述WLAN域根密钥，以供WLAN域认证服务器与用户设备基于上述WLAN域根密钥，进行用户设备在 WLAN域内不同接入点间的快速重认证或快速切换控制。
为了实现家乡域内不同分组数据网关之间的快速重认证或快速切换控制，认证服务器还可包括家乡域子密钥生成模块104。
家乡域子密钥生成模块104用于才艮据上述家乡域根密钥，生成家乡域子密钥，以供自身与用户设备基于上述家乡域子密钥，进行上述用户设备在上述家乡域内的不同分组数据网关间的快速重认证或快速切换控制。
为了实现用户设备在家乡域内的会话接入控制，认证服务器还可包括家乡域分密钥生成和发送^t块105。
家乡域分密钥生成和发送模块105用于根据上述家乡域子密钥，生成家乡域分密钥；向家乡域内的分组数据网关发送上述家乡域分密钥，以供家乡域内的分组数据网关与用户设备基于上述家乡域分密钥，进行用户设备在家乡域内的会话接入认证控制。
为了实现用户设备在拜访域间的切换控制，认证服务器还可包括拜访域切换控制模块106。
拜访域切换控制模块106用于和用户设备基于上述家乡域根密钥，进行用户设备从与自身关联的第一拜访域到与自身关联的第二拜访域之间的切换控制。
为了实现用户设备在WLAN域间的切换控制，认证服务器还可包括WLAN 域切换控制模块107。
WLAN域切换控制模块107用于和用户设备基于上述家乡域根密钥，进4亍用户设^^从与自身关联的第一 WLAN域到与上述自身关联的第二 WLAN域之间的切换控制。
本发明实施例提供的认证服务器，可为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器，如拜访域认证服务器和/或WLAN域认证服务器分别生成不同层次的根密钥，以使得各层次的认证服务器根据各自与用户设备共享的根密钥，对本域内的认证过程进行控制，从而降低了家乡域认证服务器的认证负荷，减少了认证信息的多级转发，提高了用户设备接入融合网络时的认证效率，为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例认证服务器工作机理，可参见图1 图9对应实施例中关于家乡域认证服务器的记载，不再赘述。
图11为本发明第八实施例提供的用户设备结构示意图。如图11所示，本实施例用户设备包括家乡域认证控制模块111和拜访域认证控制模块 112。
家乡域认证控制冲莫块111用于在接入第一网络的认证过程中，生成家乡域根密钥；与家乡域认证服务器基于上述家乡域根密钥，进行用户设备在家乡域内的第二网络的认证控制。
拜访域认证控制模块112用于根据上述家乡域根密钥，生成拜访域根密钥；与拜访域认证服务器基于上述拜访域根密钥，进行用户设备在拜访域内的第二网络的认证控制。
在上述技术方案的^5出上，本发明实施例提供的用户设备还可包括WLAN 域认证控制模块113。
WLAN域认证控制模块113用于根据上述家乡域根密钥或拜访域根密钥，生成无线局域网WLAN域根密钥；与WLAN域认证服务器基于上述WLAN域才艮密钥，进行用户设备在WLAN域内不同接入点间的快速重认证或快速切换控制。
本发明实施例提供的用户设备，在自身接入由第一网络和第二网络互通组成的融合网络过程中，通过与融合网络的不同层次的认证服务器生成共享的根密钥，基于各层次共享的根密钥进行相应层次的认证控制，因此少了认证信息的多级转发，有利于提高了用户设备接入融合网络时的认证效率，从而为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例用户设备工作机理，可参见图1 图9对应实施例中关于用户设备的记载，不再赘述。
图12为本发明第九实施例提供的通信系统结构示意图。如图12所示，本实施例通信系统包括家乡域认证服务器121、拜访域认证服务器122和用户设备123。
家乡域认证服务器121用于在对用户设备123接入第一网络的认证过程中，生成家乡域根密钥，以供自身与用户设备123基于上述家乡域根密钥，对用户设备123接入家乡域内的第二网络进行认证；在与家乡域认证服务器 121关联的认证服务器包括拜访域认证服务器122时，根据上述家乡域根密钥，为拜访域认证服务器122生成拜访域根密钥，向拜访域认证服务器122 发送上述拜访域根密钥。拜访域认证服务器122用于与用户设备123基于上述拜访域根密钥，对用户设备123接入拜访域内的第二网络进行认证。
用户设备123用于在接入第一网络的认证过程中，生成家乡域根密钥；与家乡域认证服务器121基于上述家乡域根密钥，进行用户设备123在家乡域内的第二网络的认证控制；根据上述家乡域根密钥，生成拜访域根密钥，与拜访域认证服务器122基于上述拜访域根密钥，进行用户设备123在拜访域内的第二网络的iU正控制。
在上述技术方案的基础上，本实施例通信系统还可包括WLAN域认证月1 务器124。
WLAN域认证服务器124可与家乡域认证服务器121关联，该情形下；
证服务器124时，才艮据上述家乡域根密钥为WUN域认证服务器124生成WLAN 域才艮密钥，向WLAN域认证服务器124发送上述WLAN域根密钥。
WLAN域认证服务器124用于在与家乡域认证服务器121关联时，接收家乡域认证服务器121发送的上述WLAN域根密钥；与用户设备123基于上述 WLAN域根密钥，进行用户设备12 3在上述WLAN域内不同接入点间的快速重认证或快速切换控制。
或者，WLAN域认证服务器124还可与拜访域认证服务器122关联，该情形下
拜访域认证服务器122还用于在与自身关联的认证服务器包括WLAN域认证服务器124时，根据上述拜访域根密钥为WLAN域认证服务器124生成WLAN 域根密钥，向WLAN域认证服务器124发送上述WLAN域根密钥；
WLAN域认证服务器124用于在与拜访域认证服务器122关联时，接收拜访域认证服务器122发送的上述WLAN域根密钥；与用户设备123基于上述 WLAN域根密钥，进行用户设备12 3在上述WLAN域内不同接入点间的快速重认证或快速切换控制。本发明实施例提供的通信系统中，家乡域认证服务器为由第一网络和第二网络互通组成的融合网络的不同层次的认证服务器分别生成不同层次的根密钥，以使得各层次的认证服务器根据各自与用户设备共享的根密钥，对本域内的认证过程进行控制，从而降低了家乡域认证服务器的认证负荷，减少了认证信息的多级转发，提高了用户设备接入融合网络时的认证效率，为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。关于本发明实施例通信系统中各节点之间的交互机理，可参见图l 图9对应实施例的记载，不再赘述。
本领域普通技术人员可以理解附图只是一个实施例的示意图，附图中
的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前迷的存储介质包括R0M、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通^t支术人员应当理解其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应才支术方案的本质脱离本发明实施例技术方案的精神和范围。
权利要求
1、一种认证方法，其特征在于，包括家乡域认证服务器在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，与所述用户设备基于所述家乡域根密钥对用户设备接入家乡域内的第二网络进行认证；在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，所述家乡域认证服务器根据所述家乡域根密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域根密钥，以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行认证。
2、根据权利要求1所述的认证方法，其特征在于，在与所述家乡域认证服务器关联的认证服务器包括无线局域网WLAN域认证服务器时，还包括所述家乡域认证服务器根据所述家乡域根密钥为所述WLAN域认i正服务器生成WLAN域根密钥，向所述WLAN域认证服务器发送所述WLAN域根密钥，以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制；或者在与所述拜访域认证服务器关联的认证服务器包括WLAN域认证服务器时，还包括所述拜访域认证服务器根据所述拜访域根密钥为所述WLAN域认证服务器生成WLAN域4艮密钥，向所述WLAN域认证服务器发送所述WLAN域根密钥，以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
3、根据权利要求1或2所述的认证方法，其特征在于，在所述家乡域认证服务器生成所述家乡域才艮密钥之后，还包括所述家乡域认证服务器根据所述家乡域根密钥生成家乡域子密钥，与所述用户设备基于所述家乡域子密钥进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制；或者在所述家乡域认证服务器生成所述家乡域根密钥之后，还包括所述家乡域认证服务器根据所述家乡域子密钥生成家乡域分密钥；向家乡域内的分组数据网关发送所述家乡域分密钥，以供所述家乡域内的分组数据网关与所述用户设备基于所述家乡域分密钥，对所述用户设备在家乡域内的会话进行接入认证控制；或者在所述家乡域认证服务器生成所述拜访域根密钥之后，还包括所述拜访域认证服务器根据所述拜访域根密钥生成拜访域子密钥，以供所述拜访域认证服务器与所述用户设备基于所述拜访域子密钥，进行所迷用户设备在拜访域内的不同分组数据网关间的快速重认证或快速切换控制；或者在所述家乡域认证服务器生成所述拜访域子密钥之后，还包括所述拜访域认证服务器根据所述拜访域子密钥生成拜访域分密钥；向拜访域内的分组数据网关发送所述拜访域分密钥，以供所述拜访域内的分组数据网关与所述用户设备基于所述拜访域分密钥，进行所述用户设备在拜访域内的会话接入iU正控制；或者在所述家乡域认证服务器生成所述WLAN域4艮密钥之后，还包括所述WLAN i人i正服务器才艮据所述WLAN域根密钥生成WLAN域子密钥；向所述WLAN域内的接入点发送所述WLAN域子密钥，以供所述WLAN域内的接入点与所述用户设备基于所述WLAN域子密钥进行所述用户设备在WLAN域内的会话接入认证控制；或者在所述家乡域认证服务器生成所述家乡域根密钥之后，还包括所述家乡域认证服务器与所述用户设备基于所述家乡域根密钥，进行所述用户设备从与所述家乡域认证服务器关联的第一拜访域到与所述家乡域认证服务器关联的第二拜访域之间的切换控制；或者在所述家乡域认证服务器生成所述家乡域根密钥之后，还包括所述家乡域认证服务器与所述用户设备基于所述家乡域根密钥，进行所述用户设备从与所述家乡域认证服务器关联的第一 WLAN域到与所述家乡域认证服务器关联的第二 WLAN域之间的切换控制；或者在所述家乡域认证服务器生成所述拜访域根密钥之后，还包括所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥，进行所述用户设备从与所述拜访域认证服务器关联的第一 WUN域到与所述拜访域认证服务器关联的第二 WLAN域之间的切换控制。
4、根据权利要求1或2所述的认证方法，其特征在于，采用以下公式生成所述拜访域根密钥VnMK=PRF (MK|I RAND||HAAA_ID||VnAAA_ID||UEM)上式中，"VnMK"为拜访域根密钥，"PRF" 为密钥推演函数，"MK"为家乡域根密钥；"RAND"为由家乡域认证服务器生成的随机数；"HAAA-ID"为家乡域认证服务器的标识，"VnAAA_ID"为拜访域认证服务器的标识，"UEM" 为用户设备的介质访问控制地址。
5、根据权利要求2所述的认证方法，其特征在于，采用以下7>式生成所述WLAN域^f艮密钥WnMK=PRF (MK||RAND||HAAA_ID||WnAAA_ID|IUEM)上式中，"WnMK"为WLAN域根密钥，"PRF"为密钥推演函数，"MK"为家乡域根密钥；"RAND"为由家乡域认证服务器生成的随机数；"HAAA_ID"为家乡域认证服务器的标识，"WnAAA_ID，，为WLAN域认证服务器的标识，"UEM" 为用户设备的介质访问控制地址；或者采用以下/>式生成所述WLAN域才艮密钥WnMK=PRF ( VnMK|IRANDnI IWnAAA—ID||UEM)上式中，"WnMK"为WLAN域根密钥，"PRF"为密钥推演函数，"VnMK"为拜访域根密钥，"RANDn"为由拜访域认证服务器生成的随机数，"WnAAA_ID，，为WLAN域认证服务器的标识，"UEM" 为用户设备的介质访问控制地址。
6、根据权利要求3所述的认证方法，其特征在于，采用以下公式生成所述家乡域子密钥HBK-PRF ( IMSI IIHAAA-IDI|EAP-AKA SessionIDl|MK||UEM)上式中，"HBK"为家乡域子密钥，"PRF"为密钥推演函数，"IMSI"为用户设备的长期身份信息，"HAAA-ID"为家乡域认证服务器的标识，"MK"为家乡域根密钥，"UEM"为用户设备的介质访问控制地址，"EAP-AKASessionID"为当前会i舌标识；采用以下公式生成所述家乡域分密钥HBSK=PRF (HBKI|H_N||HAAA_ID||PDG_ID||UEM)上式中，"HBK"为家乡域子密钥；"HBSK"为家乡域分密钥；"H_N"为家乡域认证服务器生成的随机数；"PDG_ID"为用户设备连接的家乡域内的分组数据网关的标识；"HAAA_ID"为分组数据网关连接的家乡域认证服务器的标识；釆用以下公式生成所述拜访域子密钥VBK=PRF ( IMSIIIVAAA-IDI|EAP-AKA SessionID||VnMKI IUEM)上式中，"VBK"为拜访域子密钥，"PRF" 为密钥推演函数，"IMSI"为用户设备的身份标识，"VAAA-ID"为拜访域认证服务器的标识，"EAP-AKASessionID"为当前会话标识，"MK" 为家乡域根密钥，"UEM" 为用户设备的介质访问控制地址；采用以下公式生成所述拜访域分密钥VBSK=PRF (VBKI|V_N||VAAA_ID||PDG_ID||UEM)上式中，"VBSK"为拜访域分密钥；"V_N"为拜访域服务器生成的随机数；"PDG-ID"为用户设备连接的拜访域内的分组数据网关的标识；"VAAA_ID"为分组数据网关连接的拜访域认证服务器的标识。采用以下公式生成所述WLAN域子密钥APnSK=PRF ( W認I |APn_ID| l画)上式中，"APnSK"为WLAN域子密钥，"PRF"为密钥推演函数，"WnMK"为WLAN域根密钥，"APn—ID"为用户设备连接的WLAN域内的接入点的标识，"UEM"为用户设备的介质访问控制地址。
7、一种认i正方法，其特征在于，包括用户设备在接入第一网络的认证过程中生成家乡域根密钥；与家乡域认证服务器基于所述家乡域根密钥进行所述用户设备在家乡域内的第二网络的认证控制；所述用户设备根据所述家乡域根密钥，生成拜访域根密钥；与拜访域认证服务器基于所述拜访域根密钥进行所述用户设备在拜访域内的第二网络的认证控制。
8、根据权利要求7所述的认证方法，其特征在于，在所述用户设备生成所述家乡域根密钥或拜访域根密钥之后，还包括所述用户设备根据所述家乡域根密钥或拜访域根密钥，生成无线局域网WLAN域才艮密钥；与WLAN域认i正服务器基于所述WLAN域才艮密钥进4亍所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
9、根据权利要求7或8所述的认证方法，其特征在于，在所述用户设备生成所述家乡域根密钥之后，还包括根据所述家乡域根密钥生成家乡域子密钥；与所述家乡域认证服务器基于所述家乡域子密钥进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制；或者在所述用户设备生成所述家乡域子密钥之后，还包括根据所述家乡域子密钥，生成家乡域分密钥；与家乡域内的分组数据网关基于所述家乡域分密钥进行所述用户设备在家乡域内的会话接入认证控制；或者在生成所述拜访域根密钥之后，还包括根据所述拜访域根密钥生成拜访域子密钥；与所述拜访域认i正月良务器基于所述拜访域子密钥进^f亍所述用户设备在所述拜访域内不同分组数据网关间的快速重认证或快速切换控制；或者在所述用户设备生成所述拜访域子密钥之后，还包括根据所述拜访域子密钥生成拜访域分密钥；与拜访域内的分组数据网关基于所述拜访域分密钥进行所述用户设备在拜访域内的会话接入认证控制；或者在所述用户设备生成所述WLAN域根密钥之后，还包括根据所述WLAN 域才艮密钥生成WLAN域子密钥；与所述WLAN域认i正H务器基于所述WLAN域子密钥进行所述用户设备在WLAN域内的会话接入认证控制。
10、一种认证服务器，其特征在于，包括家乡域根密钥生成模块，用于在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，以供自身与所述用户设备基于所述家乡域^f艮密钥，对所述用户设备接入家乡域内的第二网络进行认证；拜访域根密钥生成和发送模块，用于在与自身关联的认证服务器包括拜访域认证服务器时，根据所述家乡域才艮密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域根密钥，以供所述拜访域认证服务器与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行"i人证。
11、根据权利要求10所述的认证服务器，其特征在于，还包括WLAN域根密钥生成和发送模块，用于在与自身关联的认证服务器包括无线局域网WLAN域认证服务器时，根据所述家乡域根密钥为所述WLAN域认证服务器生成WLAN域根密钥，向所述WLAN域认证服务器发送所述WLAN域根密钥，以供所述WLAN域认证服务器与所述用户设备基于所述WLAN域根密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
12、根据权利要求10或11所述的认证服务器，其特征在于，所述认证服务器至少还包括以下任意一种模块家乡域子密钥生成模块，用于根据所述家乡域^f艮密钥，生成家乡域子密钥，以供自身与所述用户设备基于所述家乡域子密钥，进行所述用户设备在所述家乡域内的不同分组数据网关间的快速重认证或快速切换控制；家乡域分密钥生成和发送模块，用于根据所述家乡域子密钥，生成家乡域分密钥；向家乡域内的分组数据网关发送所述家乡域分密钥，以供所述家乡域内的分组数据网关与所述用户设备基于所述家乡域分密钥，进行所述用户设备在家乡域内的会话接入认证控制；拜访域切换控制模块，用于和所述用户i殳备基于所述家乡域根密钥，进行所述用户设备从与自身关联的第一拜访域到与自身关联的第二拜访域之间的切换控制；WLAN域切换控制模块，用于和所述用户设备基于所述家乡域根密钥，进行所述用户设备从与自身关联的第一 WLAN域到与所述自身关联的第二 WLAN 域之间的切换控制。
13、一种用户设备，其特征在于，包括；家乡域认证控制模块，用于在接入第一网络的认证过程中生成家乡域根密钥；与家乡域认证服务器基于所述家乡域根密钥进行用户设备在家乡域内的第二网络的认证控制；拜访域认证控制模块，用于根据所述家乡域根密钥生成拜访域根密钥；与拜访域认证服务器基于所述拜访域根密钥进行所述用户设备在拜访域内的第二网络的认证控制。
14、根据权利要求13所述的用户设备，其特征在于，所述用户设备还包括WLAN域认证控制模块，用于根据所述家乡域根密钥或拜访域根密钥，生成无线局域网WLAN域根密钥；与WLAN域认证服务器基于所述WLAN域根密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
15、一种通信系统，其特征在于，包括家乡域认证服务器、拜访域认证服务器和用户设备；所述家乡域认证服务器用于在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，以供自身与所述用户设备基于所述家乡域根密钥，对所述用户设备接入家乡域内的第二网络进行认证；在与所述家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，根据所述家乡域根密钥，为所述拜访域认证服务器生成拜访域根密钥，向所述拜访域认证服务器发送所述拜访域根密钥；所述拜访域认证服务器用于与所述用户设备基于所述拜访域根密钥，对所述用户设备接入拜访域内的第二网络进行认证。
16、根据权利要求15所述的通信系统，其特征在于，还包括WLAN域认证服务器；所述家乡域认证服务器还用于在与自身关联的认证服务器包括WLAN域认证服务器时，根据所述家乡域根密钥为所述WLAN域认证服务器生成WLAN 域根密钥，向所述WLAN域认证服务器发送所述WLAN域根密钥；所述WLAN域认证服务器用于在与所述家乡域认证服务器关联时，接收所述家乡域认证服务器发送的所述WLAN域#^密钥；与所述用户设备基于所述 WLAN域根密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制；或者述拜访域认证服务器发送的所述WLAN域才艮密钥；与所述用户设备基于所述 WLAN域才艮密钥，进行所述用户设备在所述WLAN域内不同接入点间的快速重认证或快速切换控制。
全文摘要
本发明实施例涉及一种认证方法、服务器、用户设备及通信系统。认证方法包括家乡域认证服务器在对用户设备接入第一网络的认证过程中，生成家乡域根密钥，与用户设备基于家乡域根密钥对用户设备接入家乡域内的第二网络进行认证；在与家乡域认证服务器关联的认证服务器包括拜访域认证服务器时，家乡域认证服务器根据家乡域根密钥为拜访域认证服务器生成拜访域根密钥，向拜访域认证服务器发送拜访域根密钥，以供拜访域认证服务器与用户设备基于拜访域根密钥对用户设备接入拜访域内的第二网络进行认证。本发明实施例有利于提高用户设备接入融合网络时的认证效率，为各层次对应的认证服务器对用户设备实现快速重认证或快速切换提供实现的可能性。
文档编号H04W12/00GK101594616SQ20091015932
公开日2009年12月2日申请日期2009年7月8日优先权日2009年7月8日
发明者奇姜, 李兴华, 罗耀平, 翔芦, 马建峰, 龙水平申请人:深圳华为通信技术有限公司;西安电子科技大学

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：李兴华;芦翔;马建峰;姜奇;罗耀平;龙水平
技术所有人：深圳华为通信技术有限公司;西安电子科技大学
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。