专利名称:一种鉴权方法及鉴权系统的制作方法
技术领域:
本发明涉及通信系统技术,特别涉及一种鉴权方法及鉴权系统。
背景技术:
目前,一般的企业网为了保护企业信息,通常都采用了某种安全防护机制,例如防 火墙等。用户想要进入企业网内部,访问企业网中的资源,需要经过企业鉴权中心的鉴权, 才能获得相应的授权。移动通信网络是专有的网络,例如3G系统、移动Wimax(M-Wimax) 等,与移动通信网络有关的规范均定义了如何对用户进行认证,如何使合法的用户通过鉴 权过程接入移动通信网络。因此,当采用移动无线接入技术通过移动通信网络访问企业网 的资源时通常需要两次鉴权过程,一次是移动通信网络规定的对用户的移动接入鉴权过 程,一次是企业网需要的企业接入鉴权过程,对于用户而言执行这两种鉴权过程是耗时和 烦琐的。例如企业IBM客户可以使用他们在企业网中的用户标识和密码访问企业网中的 资源,然而,为了接入移动WiMax网络,他们将需要输入另一套用户标识和密码等。这样他 们就需要输入两次用户标识和密码,进行两次鉴权。以下将用户在移动通信网络中使用的 标识称为移动标识,将用户在企业网络中使用的标识称为企业标识,移动标识和企业标识 可以相同,也可以不同。图1为现有利用移动Wimax网络接入企业网的一种典型场景示意 图。图1中移动Wimax网络所涉及的实体主要包括终端(MS)、接入网络(ASN)和核心 网(CSN)。其中,接入网络中包括基站(BQ和网络接入控制器(NWC)或者接入网关 (ASN-GW),核心网中包括移动鉴权中心等实体。接入网络与核心网之间通过路由器进行交互。企业网所涉及的实体主要包括企业鉴权中心、企业资源(包括数据库(DB))等。如图1所示,在通常的网络框架下,一般有两个鉴权中心一个是移动鉴权中心 ( ΑTM^ HAA :Host Authentication and Authorization), MWimax动接入鉴权;另一个是企业鉴权中心(以下简称EAA Enterprise Authentication and Authorization),用于企业网络的接入鉴权。这两个鉴权过程一般都是分离的。这两个鉴 权过程对于用户而言是耗时和烦琐的。
发明内容
有鉴于此,本发明的主要目的在于提供一种鉴权方法和一种鉴权系统,在采用移 动无线接入技术通过移动通信网络访问企业网的资源时,使用户通过一次鉴权过程同时完 成移动通信网络和企业网络的鉴权,从而简化鉴权过程、缩短鉴权所耗费的时间。为达到上述目的,本发明提供了一种鉴权方法,适用于企业用户通过移动通信网 络访问企业网络,该方法包括
A、所述移动通信网络中的移动鉴权中心与所述企业网络中的企业鉴权中心交换 企业用户的鉴权信息;B、移动鉴权中心判断企业用户的接入意图,当企业用户的接入意图是访问企业网 络时,根据企业用户的鉴权信息对企业用户进行移动接入鉴权和企业接入鉴权。本发明还提供了一种鉴权系统,该鉴权系统包括移动通信网络中的移动鉴权中 心和企业网络中的企业鉴权中心;所述移动鉴权中心和所述企业鉴权中心用于交换企业用户的鉴权信息;所述移动鉴权中心,用于判断企业用户的接入意图,在企业用户的接入意图是访 问企业网络时,用于根据企业用户的鉴权信息同时对企业用户进行移动接入鉴权和企业接 入鉴权。由上述技术方案可见,本发明提出的鉴权方法和鉴权系统,可以使用户通过一次 鉴权过程完成移动网络和企业网络的鉴权,并获得相应的授权,对于用户而言这是简单和 快捷的。本发明也可以理解为是为移动鉴权中心和企业鉴权中心如何协同工作的问题提供 了解决方案,使历史AAA和新的AAA之间能很好地协同工作。本发明尤其适合企业用户在通 过移动通信网络接入企业网络资源时采用。这种方法便捷快速、信令交互较少、使用方便。 并且,本发明提供的技术方案对移动通信网络所涉及的规范改动较小、实现简单,具有较好 的后向兼容性。
图1为现有利用移动Wimax网络接入企业网的一种典型场景示意图;图2为本发明一较佳鉴权方法的流程示意图;图3为本发明实施例一中鉴权方法的实现流程示意图;图4为本发明实施例二中鉴权方法的实现流程示意图。
具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对 本发明作进一步详细说明。本发明的主要思想是移动通信网络中的移动鉴权中心与企业网络中的企业鉴权 中心交换企业用户的鉴权信息;移动鉴权中心判断企业用户的接入意图,当企业用户的接 入意图是访问企业网络时,根据企业用户的鉴权信息同时对企业用户进行移动接入鉴权和 企业接入鉴权,从而使用户通过一次鉴权过程完成移动通信网络和企业网络的鉴权,并获 得相应的授权,避免两次输入用户标识和密码,以简化鉴权过程、缩短鉴权所耗费的时间。根据移动鉴权中心和企业鉴权中心的相互信任程度,以及它们各自所选用的鉴权 方法等的差异,本发明基于上述主要思想提出两种鉴权方案。一种方案是移动鉴权过程和 企业鉴权过程均在移动鉴权中心完成,另一种方案是移动鉴权中心对企业用户进行移动 接入鉴权,并在用户的移动接入鉴权过程中转发用户与企业鉴权中心的信息,使企业鉴权 过程同时在企业鉴权中心执行完成。下面对这两种方案分别进行说明。第一种鉴权方案移动鉴权过程和企业鉴权过程均在移动鉴权中心完成。该方案 包括以下步骤
第1步移动鉴权中心获取企业用户的移动标识和企业标识之间的对应关系,并 获取根据企业标识进行企业接入鉴权、授权有关的信息,例如鉴权方法、授权约定等信息。 本步骤移动鉴权中心可以与企业鉴权中心进行信令交互,以获取企业用户的移动标识和企 业标识之间的对应关系等信息。第2步当企业用户接入移动通信网络时,移动鉴权中心判断企业用户的接入意 图,如果企业用户的接入意图是访问企业网络,则继续执行第3步。第3步移动鉴权中心根据企业用户的移动标识对企业用户进行移动接入鉴权, 并根据企业用户的移动标识确定所述企业用户的企业标识,根据该企业标识以及所获取的 根据企业标识进行企业接入鉴权的信息对企业用户进行企业接入鉴权。第4步在移动接入鉴权和企业接入鉴权成功通过后,移动鉴权中心将移动接入 鉴权有关的授权信息和企业接入鉴权授权信息通过移动接入鉴权成功的相关信令发送给 企业用户。本发明提供的第一种鉴权方案适用于移动鉴权中心和企业鉴权中心采用的鉴权 策略相互兼容、且区别不大的应用场景。第二种方案移动鉴权过程在移动鉴权中心完成,企业鉴权过程在企业鉴权中心 完成,移动鉴权中心在企业鉴权中心与企业用户之间转发企业鉴权过程中的消息。该方案 包括以下步骤第1步移动鉴权中心获取企业用户的移动标识和企业标识之间的对应关系。本 步骤中,可选的也可以使移动鉴权中心获取企业鉴权的授权信息。本步骤移动鉴权中心可 以与企业鉴权中心进行信令交互,以获取企业用户的移动标识和企业标识之间的对应关系^fn 息。第2步当企业用户接入移动通信网络时,移动鉴权中心判断企业用户的接入意 图,如果企业用户的接入意图是访问企业网络,则继续执行第3步。第3步移动鉴权中心根据企业用户的移动标识对企业用户进行移动接入鉴权, 并根据企业用户的移动标识确定所述企业用户的企业标识,发送给企业鉴权中心,企业鉴 权中心根据企业标识对企业用户进行企业接入鉴权,移动鉴权中心作为企业用户与企业鉴 权中心之间的代理,在所述进行移动接入鉴权的同时,在企业用户与企业鉴权中心之间转 发企业接入鉴权相关的信息,也就是说真正的鉴权授权信息移动鉴权中心是可以不解析或 者说无权解析的。本步骤中,在企业接入鉴权成功通过后,企业鉴权中心将向移动鉴权中心 发送有关企业鉴权成功的信息。第4步在移动接入鉴权和企业接入鉴权成功通过后,移动鉴权中心将移动接入 鉴权有关的授权信息和企业接入鉴权授权信息发送给用户,例如可以通过移动接入鉴权成 功的相关信令发送给企业用户。本发明提供的第二种鉴权方案适用于当企业鉴权中心和移动鉴权中心的鉴权方 法差别比较大,不兼容,并且移动鉴权中心不想为了企业鉴权而支持额外的鉴权方法;或者 企业鉴权中心对移动鉴权中心的信任级别有限,鉴权策略不想对移动鉴权中心公开,因此, 仅告知移动鉴权中心哪些用户可能可以接入企业网网络的情况。总之,在这种情况下,企业 网络的鉴权不可能在移动鉴权中心中执行,仍需在企业鉴权中心执行,另外企业鉴权中心 的具体的鉴权机制对移动鉴权中心保密。
上述两种鉴权方案的第1步中,可以对移动鉴权中心和企业鉴权中心之间的信令 交互设置相应的安全保护机制。例如可以选用AAA协议,也可以在用户数据报(UDP)协议 的基础上增加相应的安全关联来实现,还可以在移动鉴权中心和企业鉴权中心中建立专用 的安全隧道(例如=IPsec)来实现,本发明对此不做限定。上述两种鉴权方案的第2步中,为了区别企业客户的意图,即有时用户希望通过 一次鉴权过程通过移动通信网络访问企业网资源,但是有时可能仅仅是通过移动接入网在 internet网上遨游,并不想进入企业网,受企业网一些安全规定的约束,本发明提出可以通 过扩展用户的网络接入标识符(ΝΑΙ =Network Access Identifier)或者通过专用的企业终 端来向移动通信网络指示用户的接入意图。当通过NAI向移动通信网络指示用户的接入意图时,可以在NAI中包含表示企业 用户意图接入的企业网络,从而使移动通信网络获知企业用户的接入意图。在M-Wimax NWG 1. 1. 2标准中对NAI进行了如下定义NAI 包含在可扩展鉴权协议(ΕΑΡ Extensible Authentication Protocol)的用 户名响应(ΕΑΡ-Identity Response)消息中,由EAP-对等实体(对于移动通信网络来说是 指MS)传递到ASN(接入网,例如ASN-GW)。NAI作为EAP鉴权协议交互中规定的外部标识 符(outer identity),MS应按如下格式构造NAI [RoutingRealml ! RoutingRealm2 !…! ]{WiMAX-decoration}usernamei realm上述格式中
1) RoutingRealm 可选使用。2) {WiMAX-decoration}可选,用于指示各种MS的能力或者是意图。 WiMAX-decoration是可扩展的。WiMAX-decoration可以由一个或者多个属性值对(avp attribute value pairs)通过“ | ”分离组成,如下所示"{"avpl “ | ” avp2. · · · “} ”这里,每一个avp的格式为mame " = " value," = "的前后没有空格。3)username 为EAP方法定义的用户名,在主域(home realm)中能唯一标识用户。为了指示用户意愿,本发明将上述规范所规定的NAI进行扩展,在 WiMAX-decoration中增加一个属性net,该属性用于表示用户接入网络的意图,该属性的 取值用于表示企业用户意图接入的企业网络。如下net = value扩展后的WiMAX-decoration的示例如下“ {,,net = value “ |,,avp2. · · · “},,假设WiMAX-decoration中只有一个属性值对,扩展后的NAI的示例如下[RoutingRealml ! RoutingRealm2 !…! ]{net = value}usernameirealm“Value”的取值可以是企业网名称对应的数值型的值(index),也可以是用于表示 企业网名称的字符串。例如假设Value的取值与M-WiMax支持的一次性鉴权的企业网的对应关系如 下1 is IBM7
2 is Samsung...因此,当MS想要接入IBM的企业网络时,可以将NAI表示为{net =“1”} usernameOrealm ;当MS想要接入Samsung的企业网络时,可以将NAI表示为{net = “2”} Usernameirealm0此外,还可以对由网络接入控制器(NWC)发送给移动鉴权中心的鉴权请求消息进 行扩展,在鉴权请求消息中包含表示企业用户意图接入的企业网络。在M-Wimax NWG 1.1.2标准中规定NAI中仅username将被传送到HAA。因此,为 了指示MS的意愿,当NWC接收到MS发送的扩展的NAI后,应该在发送鉴权请求消息(即 R3消息)时,包含相关的信息。为此,在鉴权请求消息中增加属性Enterprise name,该属 性的取值用于表示企业用户意图接入的企业网络,其取值根据NAI中扩展的属性的取值进 行设置。以下将该属性称为企业网指示。Enterprise name value也就是说应该扩展R3有关鉴权的消息的属性,即扩展diameter协议中的鉴权 请求(DER :diameter-EAP-request)消息或者!Radius协议中的接入请求(Access Request) 消息,指示用户想要同时接入的企业网络。当接收到企业用户的NAI时,网络接入控制器根据该NAI进行判断,当该NAI中携 带有net属性及其相应的取值时,判定企业用户的接入意图为访问企业网络,并在向移动 鉴权中心发送的鉴权请求消息中携带Enterprisename,根据net的取值设置^iterprise name的取值,当移动鉴权中心接收到携带有Enterprise name及其相应取值的鉴权请求消 息时,就可以确定企业用户意图接入的企业网络。上述两种鉴权方案的第2步中,除了可以采用上述扩展NAI的方式使移动鉴权中 心获知企业用户的接入意图之外,还可以采用其它的方法。例如对于某些特殊的企业客 户,他们使用专用的企业终端,如果企业规定这种专用的企业终端一旦上网就必须进行企 业鉴权,接入企业网,那么,移动鉴权中心就可以根据企业用户所使用的终端设备确定企业 用户的接入意图。这种企业用户的信息应该在上述第1步中由企业鉴权中心通知移动鉴权 中心。移动鉴权中心只要检测到这种特殊用户,即同时执行企业接入鉴权和移动接入鉴权, 即使这种企业用户没有传递他的接入意图。其实这种情况下,可以认为是用户的接入意图 已固定保存在移动鉴权中心,用户在接入网络时不需再提交个人意图,这种用户是受限的。图2为本发明一较佳鉴权方法的流程示意图。图2所示方法以企业用户通过NAI 传递其接入意图为例进行说明。图2所示方法包括步骤201 移动鉴权中心(以下简称HAA)和企业鉴权中心(以下简称EAA)通过 信令交互交换有关企业用户的鉴权信息,可选的,也可以包括授权信息。步骤202 用户(以下简称MS)发送用于鉴权的NAI到基站,该NAI中可以包含用 户是否想接入某企业网络的信息。步骤203 基站(以下简称BS)转发MS的用于鉴权的NAI到网络接入控制器(以 下简称NWC)。步骤204 =NWC分析NAI,将用户有关的鉴权信息封装在有关鉴权的R3消息中,该 消息可能包含扩展的属性值Enterprise name。
步骤205 =NWC将所述R3消息发送给HAA。以下步骤206是上述第一种鉴权方案,步骤207 208是上述第二种鉴权方案,两 者择一执行即可。步骤206 用户的移动鉴权过程和企业鉴权过程同时在HAA中执行,鉴权成功后跳 转步骤209。步骤207 用户的移动鉴权过程在HAA中执行,企业鉴权过程同时在EAA中执行, HAA作为企业接入鉴权的代理,转发MS和EAA之间的有关信息,协助EAA完成企业所需的鉴 权过程。步骤208 企业鉴权成功后,EAA发送企业鉴权成功及有关的授权信息给HAA。步骤209 =HAA发送鉴权成功及有关的授权信息到NWC。例如可以是某些安全秘朗等{曰息。步骤210 =NWC根据安全秘钥派生其他的秘钥。步骤211 =NWC将鉴权成功信息发送到BS。BS和NWC将根据这些秘钥建立起NWC 和BS间的安全关联。步骤212 =BS将鉴权成功信息及有关的授权信息发给MS。至此,结束本较佳鉴权方法流程。对应于上述方法,本发明提供了一种鉴权系统,该系统包括移动通信网络中的移 动鉴权中心和企业网络中的企业鉴权中心;其中移动鉴权中心和所述企业鉴权中心用于交换企业用户的鉴权信息;
移动鉴权中心,用于判断企业用户的接入意图,在企业用户的接入意图是访问企 业网络时,用于根据企业用户的鉴权信息同时对企业用户进行移动接入鉴权和企业接入鉴 权。较佳地,所述移动鉴权中心,用于获取企业用户的移动标识和企业标识之间的对 应关系,并获取根据企业标识进行企业接入鉴权的信息,以及企业鉴权的授权信息;并用于 根据企业用户的移动标识对企业用户进行移动接入鉴权,并根据企业用户的移动标识确定 所述企业用户的企业标识,根据所述企业标识以及所获取的根据企业标识进行企业接入鉴 权的信息对企业用户进行企业接入鉴权;以及用于在移动接入鉴权和企业接入鉴权成功通 过后,将企业鉴权的授权信息发送给企业用户。较佳地,所述移动鉴权中心,用于获取企业用户的移动标识和企业标识之间的对 应关系;并用于根据企业用户的移动标识对企业用户进行移动接入鉴权,作为企业用户与 企业鉴权中心之间的代理,在企业用户与企业鉴权中心之间转发企业接入鉴权相关的信 息;所述企业鉴权中心,用于将移动鉴权中心作为代理,对企业用户进行企业接入鉴权。根据移动鉴权中心和企业鉴权中心相互的信任程度,及移动鉴权和企业鉴权实际 执行的位置,下面通过两个实施例对本发明所提出的鉴权方法和鉴权系统作进一步详细说 明。实施例一移动接入鉴权和企业接入鉴权都在HAA中执行。本实施例中,EAA完全信任HAA,它将所允许接入的用户鉴权授权相关的信息发送 到ΗΑΑ,ΕΑΑ的鉴权方法和HAA采用的鉴权方法兼容。HAA获得用户企业鉴权授权相关的信 息后,将他们保存在本地(User Profile),在用户接入M-WiMax的鉴权过程成功结束后,将企业授权的相关信息发送给用户。当HAA产生用户的授权信息时,可以综合考虑企业网的 授权信息,HAA也可以稍加修改MSK/EMSK的产生方法等。本实施例提出的新的移动通信系统中的鉴权方法如图3所示,主要包括以下步 骤步骤301 :HAA和EAA交换有关企业用户的鉴权信息,可选的也可以包括授权信息。以下步骤302A和302B择一执行即可。步骤302A =HAA发送企业用户的信息给NWC步骤302B 企业用户的信息通过网管中心(WSM)配置在NWC中,WSM中的企业用户信息由运营商提供。步骤303 执行Wimax规范规定的接入过程。具体包括MS向BS发送测距请求消息(RNG-REQ =Ranging Request),基站向BS 返回测距响应消息(RNG-RSP =Ranging response),MS和NWC通过BS交换基本能力信 息包含认证能力信息等,即MS向BS发送用户的基本能力请求消息(SBC-REQ =SS Basic Capability Request),BS和NWC协商后,BS向MS返回基本能力响应消息(SBC-RSP :SS Basic Capability response),NWC 通过 BS 向 MS 发送鉴权转发传输消息(AuthRelay_EAP_ ^Transfer),其中包含EAP Request/Identify。具体的消息及动作可参见移动WiMAX的相 关规范,本发明在此不赘述。步骤304 =MS发送用于鉴权的NAI给BS,该NAI包括用户意图接入某企业网络的 信息,即NAI中包含net = value的属性值对。步骤305 =BS通过鉴权转发传输(AuthRelay-EAPIransfer)消息将用户的NAI发 给 NWC。步骤306 :NWC分析ΝΑΙ。若NAI中含有用户想同时接入企业网的信息,将用户有关 的鉴权信息封装在有关鉴权的R3消息中,该消息同时包含扩展的属性值企业网指示。如 果NWC含有企业用户信息,那么NWC还可以做一些检查,检查意图接入企业网的用户是否包 含在企业用户列表中。步骤307 =NWC采用R3消息,例如diamter DER消息或者Radius-Request消息将 用户提交的鉴权标识(即移动标识)等信息发送给HAA。步骤308 =MS和HAA开始执行端到端的鉴权过程,包括移动接入鉴权过程和企业 接入鉴权过程。步骤309 移动接入鉴权过程和企业接入鉴权过程成功执行完后,HAA将移动 Wimax网规定的授权信息(例如有关的密钥MSK)和企业网规定的授权信息发给NWC。步骤310 :NWC根据所接收的密钥派生有关的其他密钥,派生方法参照Wimax规范。步骤3IlA C =MS和BS建立安全关联,企业用户有关的授权信息可以在EAP的 Payload (ΕΑΡ的数据包)中从NWC经过BS发送到用户。至此,本实施例的鉴权过程完成。实施例一的特点是移动网络规定的鉴权过程和企业网规定的鉴权过程同时在 HAA中执行。在上面描述的步骤中本发明着重描述与本发明相关的过程,也就是对于现有规 范已规定的、未做修改的过程,本发明描述的简单或者有所省略,但这不能理解为是对本发 明的限制。
上述步骤中302A和302B是可以选用的,不是必须的,是否选用取决于运营商。在HAA产生授权信息时,也可以考虑企业授权的属性。例如HAA在产生MSK/EMSK 时,可以考虑企业有关的属性,同理,NWC在产生PMK/AK时,也可以考虑企业有关的授权属 性,本发明对此不做限制。实施例二 移动接入鉴权在HAA中执行,企业接入鉴权同时在EAA中执行,在企业 接入鉴权过程中用户和EAA所需交互的信息通过移动通信网络转发,S卩HAA作为代理转发 用户和EAA所需交互的信息。本实施例提出的新的移动通信系统中的鉴权方法如图4所示,主要包括以下步 骤步骤401 =HAA和EAA交换有关企业用户的鉴权信息。步骤402 执行Wimax规范规定的接入过程。本步骤中所涉及的消息与图3所示步骤303相同,在此不再赘述。步骤403 =MS发送用于鉴权的NAI给BS,该NAI包括用户意图接入某企业网络的 信息,即NAI中包含net = value的属性值对。步骤404 =BS 通过 AuthRelay-EAP-Transfer 消息将用户的 NAI 发给 NWC。步骤405 :NWC分析ΝΑΙ。若NAI中含有用户想同时接入企业网的信息,将用户有关 的鉴权信息封装在有关鉴权的R3消息中,该消息同时包含扩展的属性值企业网指示。如 果NWC含有企业用户信息,那么NWC还可以做一些检查,检查意图接入企业网的用户是否包 含在企业用户列表中。步骤406 =NWC采用R3消息,例如diamter DER消息或者Radius-Request消息将 用户提交的鉴权标识(即移动标识)等信息发送给HAA。步骤407A =MS和HAA开始执行端到端的移动接入鉴权过程。步骤407B 企业鉴权过程在用户和EAA间执行,由HAA转发用户和EAA之间所需 的信息。步骤407A和步骤407B同时执行。步骤408 :EAA所做的企业接入鉴权成功后,发送有关企业鉴权成功及有关的授权 信息到HAA。步骤409 鉴权成功后HAA将移动Wimax网规定的授权信息(例如有关的密钥MSK) 和企业网规定的授权信息发给NWC。步骤410 :NWC根据所接收的密钥派生有关的其他密钥,派生方法参照Wimax规范。步骤41IA C =MS和BS建立安全关联,企业用户有关的授权信息可以在EAP的 Payload (ΕΑΡ的数据包)中从NWC经过BS发送到用户。至此,本实施例的鉴权过程完成。由上述实施例可见,本发明提出的鉴权方法和系统,可以使用户通过一次鉴权过 程完成移动网络和企业网络的鉴权,并获得相应的授权,对于用户而言这是简单和快捷的。 本发明也可以理解为是为移动鉴权中心和企业鉴权中心如何协同工作的问题提供了解决 方案,使历史AAA和新的AAA之间能很好地协同工作。本发明尤其适合企业用户在通过移 动通信网络接入企业网络资源时采用。这种方法便捷快速、信令交互较少、使用方便。并 且,本发明提供的技术方案对移动通信网络所涉及的规范改动较小、实现简单,具有较好的后向兼容性。 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范 围之内。
权利要求
1.一种鉴权方法,适用于企业用户通过移动通信网络访问企业网络,其特征在于,包括A、所述移动通信网络中的移动鉴权中心与所述企业网络中的企业鉴权中心交换企业 用户的鉴权信息;B、移动鉴权中心判断企业用户的接入意图,当企业用户的接入意图是访问企业网络 时,根据企业用户的鉴权信息对企业用户进行移动接入鉴权和企业接入鉴权。
2.根据权利要求1所述的方法,其特征在于A中所述交换企业用户的鉴权信息包括移动鉴权中心获取企业用户的移动标识和企 业标识之间的对应关系,并获取根据企业标识进行企业接入鉴权的信息;所述A中进一步包括移动鉴权中心从企业鉴权中心获取企业鉴权的授权信息;B中所述对企业用户进行移动接入鉴权和企业接入鉴权为移动鉴权中心根据企业用 户的移动标识对企业用户进行移动接入鉴权,并根据企业用户的移动标识确定所述企业用 户的企业标识,根据所述企业标识以及所获取企业接入鉴权的信息对企业用户进行企业接 入鉴权;在移动接入鉴权和企业接入鉴权成功通过后,进一步包括移动鉴权中心将企业鉴权 的授权信息发送给企业用户。
3.根据权利要求1所述的方法,其特征在于A中所述交换企业用户的鉴权信息包括移动鉴权中心获取企业用户的移动标识和企 业标识之间的对应关系;B中所述对企业用户进行移动接入鉴权和企业接入鉴权为移动鉴权中心根据企业用 户的移动标识对企业用户进行移动接入鉴权,并根据企业用户的移动标识确定所述企业用 户的企业标识,发送给企业鉴权中心,企业鉴权中心根据企业标识对企业用户进行企业接 入鉴权。
4.根据权利要求1至3任一项所述的方法,其特征在于所述A中进一步包括移动鉴权中心从企业鉴权中心获取专用企业终端的相关信息;所述B中,移动鉴权中心判断企业用户的接入意图的方式为当企业用户通过所述专 用企业终端接入移动通信网络时,移动鉴权中心判定所述企业用户的接入意图是访问企业 网络。
5.根据权利要求1至3任一项所述的方法,其特征在于该方法进一步包括在网络接入标识符中包含表示企业用户意图接入的企业网络;并 在由网络接入控制器发送给移动鉴权中心的鉴权请求消息中包含表示企业用户意图接入 的企业网络。
6.根据权利要求5所述的方法,其特征在于所述B中,移动鉴权中心判断企业用户的接入意图的方式为网络接入控制器根据企 业用户的网络接入标识符进行判断,当所述网络接入标识符中包含有所述表示企业用户意 图接入的企业网络时,判定企业用户的接入意图为访问企业网络,并在向移动鉴权中心发 送的鉴权请求消息中包含表示企业用户意图接入的企业网络,当移动鉴权中心接收到包含 表示企业用户意图接入的企业网络的鉴权请求消息时,确定企业用户意图接入的企业网
7.一种鉴权系统,其特征在于,包括移动通信网络中的移动鉴权中心和企业网络中 的企业鉴权中心;所述移动鉴权中心和所述企业鉴权中心用于交换企业用户的鉴权信息;所述移动鉴权中心,用于判断企业用户的接入意图,在企业用户的接入意图是访问企 业网络时,用于根据企业用户的鉴权信息同时对企业用户进行移动接入鉴权和企业接入鉴 权。
8.根据权利要求7所述的鉴权系统,其特征在于所述移动鉴权中心,用于获取企业用户的移动标识和企业标识之间的对应关系,并获 取根据企业标识进行企业接入鉴权的信息,以及企业鉴权的授权信息;并用于根据企业用 户的移动标识对企业用户进行移动接入鉴权,并根据企业用户的移动标识确定所述企业用 户的企业标识,根据所述企业标识以及所获取的根据企业标识进行企业接入鉴权的信息对 企业用户进行企业接入鉴权;以及用于在移动接入鉴权和企业接入鉴权成功通过后,将企 业鉴权的授权信息发送给企业用户。
9.根据权利要求7所述的鉴权系统,其特征在于所述移动鉴权中心,用于获取企业用户的移动标识和企业标识之间的对应关系,并用 于根据企业用户的移动标识对企业用户进行移动接入鉴权,以及用于在企业用户与企业鉴 权中心之间转发企业接入鉴权相关的信息;所述企业鉴权中心,用于对企业用户进行企业接入鉴权。
全文摘要
本发明公开了一种鉴权方法,适用于企业用户通过移动通信网络访问企业网络,包括所述移动通信网络中的移动鉴权中心与所述企业网络中的企业鉴权中心交换企业用户的鉴权信息;移动鉴权中心判断企业用户的接入意图,当企业用户的接入意图是访问企业网络时,根据企业用户的鉴权信息对企业用户进行移动接入鉴权和企业接入鉴权。本发明还公开了一种鉴权系统。应用本发明能够使用户通过一次鉴权过程完成移动通信网络和企业网络的鉴权,从而简化鉴权过程、缩短鉴权所耗费的时间。
文档编号H04L29/06GK102056167SQ20091020873
公开日2011年5月11日 申请日期2009年11月5日 优先权日2009年11月5日
发明者王春花 申请人:三星电子株式会社, 北京三星通信技术研究有限公司