专利名称:无线漫游认证方法、无线漫游方法及其装置的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种无线漫游认证方法、无线漫游方法及 其装置。
背景技术:
当网络环境存在多个AP (Access Point,AP),且它们的微单元互相有一定范围的 重合时,无线用户的客户端可以在整个WLAN(Wireless Local AreaNetworks,无线局域网) 覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据, 保持不间断的网络连接,该过程即为无线漫游过程。WLAN 架构中,通常包括 AP (Access Point,接入点)、AC (AccessController,接入 控制器)和Station (即符合802. 11协议的无线客户端)。其中,AP提供无线客户端到局域 网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换; AC主要用于管理和配置AP。图1示出了一种WLAN中的无线漫游过程。其中,在初始状态时,Station通过 AC1/AP1接入无线网络,通过802. Ix认证上线。当Station通过扫描网络,选择AP2对应 的SSID (Service Set Identifier,服务组合识别码)时,即欲从APl移动到AP2时,需要与 AC2/AP2重新连接,其经过以下几个过程步骤1、Station进行链路协商;步骤2、Station 进行 802. Ix 认证;步骤3、Station根据802. Ix认证过程所获取的密钥,进行4次握手,生成会话密 钥。其中,Station根据802. Ix认证的主密钥,定时通过4次握手的交互过程生成短期的 临时密钥,可以保证网络密钥的不断变化。以上过程中,步骤2耗时最长,一般为一到数秒,其他过程耗时几十毫秒。为了实现快速漫游,一种改进的方案是AC1可以在Station发生移动前,预先向 AC2发送802. Ix认证密钥,因此以上过程缩减为两个步骤步骤1、Station进行链路协商;步骤2、Stati0n根据AC2保存的802. Ix认证密钥,进行4次握手,生成会话密钥。可见,无线漫游过程中,Station与新的AC连接时间可缩短为几十毫秒。但是,Station从APl向AP2切换前,并不知道AC2是否已经得到了 ACl传过来的 802. Ix密钥。只有当Station向AP2发起连接过程中,才能知道AC2是否得到密钥,是否可 以进行漫游。图2示出了 Station向AP2发起连接过程的信令流程示意图,如图所示,该流 程可包括步骤201,Station向AP2发起关联请求(Association Request),其中携带有 802. Ix密钥的ID ;步骤202,AP2通过密钥的ID查找对应的密钥;步骤203,如果在步骤202中,AP2查找到对应密钥,则向Station返回关联响应(Association Response),其中携带有相同的 802. Ix 密钥 ID;步骤204,如果在步骤202中,AP2未能查找到对应密钥,则向Station返回关联响 应(Association Response),其中不携带任何 802. Ix 密钥 ID ;Station收到关联响应后,如果发现响应中携带有802. Ix密钥ID,则直接进行4 次握手(漫游),如果发现响应中没有携带802. Ix密钥ID,则进行802. Ix认证。发明人在实现本发明的过程中,发现现有技术至少存在以下问题(1)虽然现有技术通过链路层的协议一定程度上解决了快速漫游的问题,但该解 决办法不够通用。实际上,目前无线方面的链路层协议有很多,除了 802. 11,还有802. 16, ZigBee, 3GPP等,因此基于链路层协议解决快速漫游问题,会受制于协议类型或版本的限 制,通用性差。(2)该现有技术方案中,需要建立AC间的控制隧道,AC之间需要进行消息交互以 便发送802. Ix认证密钥,因此带来了额外的通信负担。
发明内容
本发明的目的在于提供一种无线漫游认证方法、无线漫游方法及其装置,用以解 决现有快速无线漫游技术通用性差、系统资源开销大的问题,为此,本发明采用如下技术方 案一种无线漫游认证方法,包括以下步骤认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其 中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判 断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;所述认证服务器接收到所述无线客户端通过所述目标无线接入设备发送的认证 请求消息后,若判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证, 则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发 送给所述客户端和所述目标无线接入设备。上述方法中,当所述认证服务器根据所述网络接入服务标识判断不允许对所述无 线客户端漫游到对应的目标无线接入设备进行预认证时,还包括所述认证服务器通过接入层对所述无线客户端漫游到对应的目标无线接入设备 进行认证处理。上述方法中,所述认证服务器根据所述无线客户端的源无线接入设备的归属信息 和所述网络接入服务标识对应的目标无线接入设备的归属信息,判断是否允许对所述无线 客户端漫游到所述目标无线接入设备进行预认证。上述方法中,当所述认证服务器根据所述网络接入服务标识判断是否允许对所述 无线客户端漫游到对应的目标无线接入设备进行预认证之后,还包括所述认证服务器将 判断结果通过所述源无线接入设备发送给所述无线客户端。上述方法中,认证服务器与无线接入设备之间交互的所述消息为AAA协议消息, 无线接入设备与所述无线客户端之间交互的所述消息为扩展认证协议EAP消息。一种认证服务器,包括预认证处理模块,用于接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入 服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;认证处理模块,用于接收到所述无线客户端通过所述目标无线接入设备发送的认 证请求消息后,若所述预认证处理模块判断为允许对所述无线客户端漫游到所述目标无线 接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权 信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。上述认证服务器中,所述认证处理模块还用于,当所述预认证处理模块判断不允 许对所述无线客户端漫游到所述目标无线接入设备进行预认证时,通过链路层对所述无线 客户端漫游到对应的目标无线接入设备进行认证处理。上述认证服务器中,所述预认证处理模块还用于,当判断是否允许对所述无线客 户端漫游到对应的目标无线接入设备进行预认证之后,将判断结果通过所述源无线接入设 备发送给所述无线客户端。一种无线漫游方法,包括以下步骤无线客户端通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证 请求消息中携带有目标无线接入设备所对应的网络接入服务标识;所述无线客户端建立到所述目标无线接入设备的链路后,通过所述目标无线接入 设备向认证服务器发送认证请求消息;所述无线客户端接收所述认证服务器返回的授权信息或/和密钥,其中,所述认 证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接 入设备进行预认证时,获取并返回所述授权信息或/和密钥。上述方法中,所述无线客户端发送预认证请求消息之后,还包括接收所述认证服 务器通过所述源无线接入设备返回的是否允许对所述无线客户端漫游到对应的目标接入 设备进行预认证的响应消息,并在所述响应消息表明允许预认证时,发送所述认证请求消 肩、ο上述方法中,若所述无线客户端接收到的所述响应消息表明拒绝预认证时,或者 所述无线客户端在设定长时间内未接收到所述认证服务器发送的所述响应消息时,还包 括通过目标无线接入设备向所述认证服务器发起接入层的认证过程。上述方法中,所述无线客户端与无线接入设备之间交互的所述消息为EAP消息, 无线接入设备与所述认证服务器之间交互的所述消息为AAA消息。一种无线客户端设备,包括预认证请求模块,用于通过源无线接入设备向认证服务器发送预认证请求消息, 所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;认证请求模块,用于在建立到所述目标无线接入设备的链路后,通过所述目标无 线接入设备向认证服务器发送认证请求消息;认证信息接收模块,用于接收所述认证服务器返回的授权信息或/和密钥,其中, 所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的 目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。上述无线客户端设备中,所述预认证请求模块还用于,在发送预认证请求消息之 后,接收所述认证服务器通过源无线接入设备返回的是否允许对所述无线客户端进行预认证的响应消息;所述认证请求模块具体用于,当所述预认证请求模块接收到的响应消息表明允许 预认证时,发送所述认证请求消息。上述无线客户端设备中,所述认证请求模块还用于,若所述预认证请求模块接收 到的所述响应消息表明拒绝预认证时,或者所述预认证请求模块在设定长时间内未接收到 所述认证服务器发送的所述响应消息时,通过目标无线接入设备向所述认证服务器发起接 入层的认证过程。本发明的有益技术效果包括由于认证服务器在允许对无线客户端漫游到目标无线接入设备时,直接获取该无 线客户端的授权信息或/和密钥,并分别发送给目标无线接入设备和该无线客户端,即在 非接入层进行认证,因而与现有技术所采用的接入层认证技术相比,一方面,不依赖于接入 层协议的类型和版本,即不同接入层协议的无线客户端和无线链路层设备都可以基于本发 明实施例所提供的通用流程来实现无线漫游中的认证及切换;另一方面,由于本发明实施 例不在接入层进行认证处理,因此与现有技术相比,不需要源无线接入设备将接入层的认 证密钥发送给目标无线接入设备,因此节省了无线接入设备之间的信息交互,进而节省了 网络资源开销;再一方面,由于认证服务器可直接获取无线客户端的授权信息或/和密钥, 并发送给目标无线接入设备,从而直接认证通过,无需现有技术中的握手过程以及802. Ix 认证过程,进而提高了无线漫游的效率。
图1为现有技术WLAN中的无线漫游示意图;图2为现有技术Station向AP2发起连接过程的信令流程示意图;图3为本发明实施例中预认证消息格式示意图;图4为本发明实施例中WLAN无线漫游示意图;图5为本发明实施例提供的WLAN无线漫游信令流程示意图;图6为本发明实施例提供的认证服务器的结构示意图;图7为本发明实施例提供的无线客户端的结构示意图。
具体实施例方式为了解决现有技术中存在的上述问题,本发明实施例提供了一种快速无线漫游技 术方案。本发明实施例提供的技术方案,通过在EAP(扩展认证协议)层次引入预认证机制, 解决快速漫游问题,使得解决快速漫游的方法更为通用,同时减轻AC间的通信负担。下面结合附图对本发明实施例进行详细描述。通常,无线客户端会以广播或单播等方式向周围发送Probe (探测)报文,以及接 收周围其他AP返回的Probe Response (探测响应)报文。本实施例中,当AP接收到无线客 户端发送的Probe报文后,要在返回的Probe Response报文中携带自己的网络接入服务标 识(NAS-ID,其中NAS是Network AccessService的英文缩写),无线客户端将保留AP返回 的Probe Response报文中携带的NAS-ID。根据现有协议,每个NAS-ID可对应相应的AP/ AC,即对应一条AP-AC间的链路,根据NAS-ID,认证服务器可以获知对应的AP/AC。
此外,本发明实施例定义了一种预认证请求消息和一种认证请求消息以及相应的 处理机制。其中,无线客户端在漫游开始前,向认证服务器发送携带有目标AP的NAS-ID的 预认证请求消息,认证服务器能够根据该NAS-ID获知无线客户端的目标AP ;在无线客户端 建立与目标AP的无线链路后,通过该目标AP向认证服务器发送认证请求消息,认证服务器 能够根据该认证请求消息直接获取该无线客户端的授权信息或/和密钥,并将授权信息或 /和密钥分别发送该无线客户端和目标AP/AC,从而实现快速无线漫游。其中,在接入控制 由AC实现的情况下,认证服务器将授权信息或/和密钥发送给AC,在接入控制由AP实现的 情况下,认证服务器将授权信息或/和密钥发送给AP。本发明实施例中将AC或/和AP统 称为无线接入设备。上述预认证请求消息和认证请求消息及其响应消息的一种典型消息格式可如图3 所示。其中Code可采用RFC5296,并可进行如下定义Code = 5,表示Initiate,用于预认证请求消息或预认证响应消息;Code = 6,表示Finish,用于认证响应消息;Type可进行如下定义Type = 3,表示Pre-Early-auth,用于预认证请求消息或预认证响应消息;Type = 4,表示Post-Early-auth,用于认证请求消息。下面以图1所示的场景为例,描述无线客户端从APl漫游到AP2的过程。首先,无线客户端在探测过程中接收到AP2返回的探测响应后,将其中携带的AP2 的NAS-ID保存在本地,该NAS-ID标识出AP2-AC2间的链路。当无线客户端预计要向AP2 漫游时,如图3所示,执行以下步骤步骤301,无线客户端通过当前的无线链路,即源链路(AP1_> ACl)向认证服务器 发送预认证请求消息,该预认证请求消息中携带有AP2的NAS-ID,以告知认证服务器自己 要漫游到AP2。步骤302,认证服务器通过源链路(AC1- > API),向无线客户端返回预认证响应消 息,其中携带有预认证结果信息。预认证结果通常有两种情况,一种是允许进行预认证,即允许采用本发明实施例 提供的预认证方式对该无线客户端随后发送的到该目标AP的认证请求进行快速认证处 理;另一种是拒绝预认证,即拒绝采用本发明实施例提供的预认证方式对该无线客户端到 该目标AP的认证请求进行快速认证处理。认证服务器进行预认证判决的依据可以包括目 标AP与源AP之间的关系,如信任关系、级别关系等。在具体实现过程中,可以预先在认证服务器上配置AP相关信息以及预认证判决 的策略信息,认证服务器接收到无线客户端发送的携带有NAS-ID的预认证请求后,确定出 与该NAS-ID对应的目标AP,并获取该目标AP的相关信息,再根据预认证判决策略,以及目 标AP和源AP的相关信息对无线客户端的预认证请求进行判决。其中,AP相关信息可以包 括AP的归属信息,如可包括AP所属的公司及部门、AP的级别等;预认证判决的策略可以包 括如果源AP与目标AP同属一公司的不同部门则允许预认证,如果属于不同的公司则拒 绝预认证;在属于同一公司的情况下,如果源AP所属部门的级别高于目标AP所属部门的 级别则拒绝预认证,反之则允许预认证;如果目标AP信任源AP则允许预认证,反之拒绝预认证。以上仅列举部分预认证策略,本发明实施例对于采用何种预认证判决策略不进行限 制。认证服务器通过预认证判决,可以加强无线漫游的安全性,并能够根据用户需要进行灵 活的配置。步骤303,无线客户端根据预认证响应消息,得知认证服务器允许其向AP2发起 认证后,与AP2的链路层进行连接,在完成到AP2的无线连接之后,通过新建立的目标链路 (AP2- > AC2)向认证服务器发送认证请求消息。步骤304,认证服务器接收到该无线客户端的认证请求消息后,直接对该无线客户 端认证通过,即获取该无线客户端的相关授权信息或/和密钥,并通过目标链路(AC2- > AP2)向无线客户端返回认证结果,其中可携带有获取到的密钥,还可以进一步包括授权信 息。认证服务器还要将认证结果下发到AC2或AP2(如果接入控制由AC2实现则发送到AC2, 否则发送到AP2),其中携带有该无线客户端的授权信息或/和密钥。当无线客户端切换到AP2/AC2后,就可以使用接收到的密钥与AP2/AC2进行通信。 其中,AC2/AP2可以根据该无线客户端的授权信息,对该无线客户端的网络资源使用权限进 行控制,并可使用该密钥与该无线客户端进行通信。上述流程中,无线客户端与AP之间交互的消息可采用EAP相关协议,AP/AC与认证 服务器之间交互的消息可采用AAA (Authentication,Authorization, Accounting,即认 证、授权、计费)相关协议。无线客户端在发送预认证请求消息之后,如果接收到认证服务器返回的预认证结 果为“拒绝预认证”,则无线客户端在接收到该响应后可向认证服务器发起常规的认证过 程,即接入层认证过程。如果无线客户端在发送预认证请求消息之后,在设定长的时间内没 有接收到认证服务器的响应消息,则可以向认证服务器发起常规的认证过程。在本发明的另一实施例中,与上述流程不同的是认证服务器在接收到无线客户 端发送的预认证请求后,不向无线客户端返回响应,可默认允许对该无线客户端进行预认 证。需要说明的是,上述流程中的无线客户端,以及无线链路层的相关设备(如AP或/ 和AC)所使用的接入层协议不限于802. lx,还可以包括其他协议,如802. 16,ZigBee, 3GPP寸。通过以上流程可以看出,由于认证服务器在对无线客户端的无线漫游进行认证 时,在非接入层进行认证,因而与现有技术所采用的接入层认证技术相比,一方面,不依赖 于接入层协议的类型和版本,即不同接入层协议的无线客户端和无线链路层设备都可以基 于本发明实施例所提供的通用流程来实现无线漫游中的认证及切换;另一方面,由于本发 明实施例不在接入层进行认证处理,因此与现有技术相比,不需要源AC将接入层的认证密 钥发送给目标AC,因此节省了 AC之间的信息交互,进而节省了网络资源开销;再一方面,由 于认证服务器可直接获取无线客户端的授权信息或/和密钥,并发送给对应的AP/AC,从而 直接认证通过,无需现有技术中的握手过程以及802. Ix认证过程,进而提高了无线漫游的 效率。图5示出了上述流程的信令交互示意图,下面结合图4所示流程,以及图3所示的 消息格式,对本发明实施例提供的无线漫游的信令流程进行描述。如图所示,该信令交互过 程可包括
步骤501 502、当无线客户端预计向AP2漫游时,通过当前连接的AP1、AC1向认 证服务器发送预认证请求消息(图中未示出AC),其中携带有AP2的NAS-ID。该预认证请 求消息的Code值为Initiate,Type值为Pre-Early-auth,采用EAP协议。步骤503 504,认证服务器允许对该无线客户端进行预认证后,通过AC1、AP1向 无线客户端返回预认证响应消息,其中携带结果码(Result Code),此处,该Result Code表 示允许预认证。该预认证响应消息的Code值为Finish,Type值为Pre-Early-auth,采用 AAA协议。步骤505 506,无线客户端与AP2完成链路层连接后,通过AP2、AC2向认证服务 器发送认证请求消息。该认证请求消息的Code值为Initiate,Type值为Post-Early-auth, 采用EAP协议。步骤507,认证服务器获取该无线客户端的网络访问授权信息和密钥,如认证证 书,权限信息等。步骤508,认证服务器向AP2 (本流程中的AP2实现接入控制功能)发送AAA协议 消息,其中携带有授权信息和密钥;步骤509 510,认证服务器通过AC2、AP2向无线客户端返回认证成功消息,其中 携带有密钥。该预认证响应消息的Code值为Finish,Type值为Post-Early-auth,采用AAA 协议。基于相同的技术构思,本发明实施例还提供了一种认证服务器和一种无线客户 端,可应用于本发明实施例描述的上述流程。如图6所示,本发明实施例提供的认证服务器可包括预认证处理模块601,用于接收无线客户端通过源无线接入设备发送的预认证请 求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络 接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;认证处理模块602,用于接收到所述无线客户端通过所述目标无线接入设备发送 的认证请求消息后,若预认证处理模块601判断为允许对所述无线客户端漫游到所述目标 无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的 授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。上述认证服务器中,认证处理模块602可还用于,当预认证处理模块601判断不允 许对所述无线客户端漫游到所述目标无线接入设备进行预认证时,通过链路层对所述无线 客户端漫游到对应的目标无线接入设备进行认证处理。上述认证服务器中,预认证处理模块601还用于,当判断是否允许对所述无线客 户端漫游到对应的目标无线接入设备进行预认证之后,将判断结果通过所述源无线接入设 备发送给所述无线客户端。如图7所示,本发明实施例提供的无线客户端可包括预认证请求模块701,用于通过源无线接入设备向认证服务器发送预认证请求消 息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;认证请求模块702,用于在建立到所述目标无线接入设备的链路后,通过所述目标 无线接入设备向认证服务器发送认证请求消息;认证信息接收模块703,用于接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应 的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。上述无线客户端设备中,预认证请求模块701还用于,在发送预认证请求消息之 后,接收所述认证服务器通过源无线接入设备返回的是否允许对所述无线客户端进行预认 证的响应消息;认证请求模块702可具体用于,当预认证请求模块701接收到的响应消息表 明允许预认证时,发送所述认证请求消息。上述无线客户端设备中,认证请求模块702还用于,若预认证请求模块701接收到 的所述响应消息表明拒绝预认证时,或者预认证请求模块701在设定长时间内未接收到所 述认证服务器发送的所述响应消息时,通过目标无线接入设备向所述认证服务器发起接入 层的认证过程。综上所述,本发明实施例通过EAP预认证的方法,解决了无线客户端的快速漫游 切换问题。因为是在EAP认证协议的层次上做出的改进,因此方法对链路层的协议没有依 赖关系,同时也可以适用于其他无线链路层协议。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若 干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视本发明的保护范围。
权利要求
一种无线漫游认证方法,其特征在于,包括以下步骤认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;所述认证服务器接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
2.如权利要求1所述的方法,其特征在于,当所述认证服务器根据所述网络接入服务 标识判断不允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证时,还包 括所述认证服务器通过接入层对所述无线客户端漫游到对应的目标无线接入设备进行 认证处理。
3.如权利要求1或2所述的方法,其特征在于,所述认证服务器根据所述无线客户端的 源无线接入设备的归属信息和所述网络接入服务标识对应的目标无线接入设备的归属信 息,判断是否允许对所述无线客户端漫游到所述目标无线接入设备进行预认证。
4.如权利要求1所述的方法,其特征在于,当所述认证服务器根据所述网络接入服务 标识判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,还 包括所述认证服务器将判断结果通过所述源无线接入设备发送给所述无线客户端。
5.如权利要求1、2或4所述的方法,其特征在于,认证服务器与无线接入设备之间交互 的所述消息为AAA协议消息,无线接入设备与所述无线客户端之间交互的所述消息为扩展 认证协议EAP消息。
6.一种认证服务器,其特征在于,包括预认证处理模块,用于接收无线客户端通过源无线接入设备发送的预认证请求消息, 获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务 标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;认证处理模块,用于接收到所述无线客户端通过所述目标无线接入设备发送的认证请 求消息后,若所述预认证处理模块判断为允许对所述无线客户端漫游到所述目标无线接入 设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息 或/和密钥分别发送给所述客户端和所述目标无线接入设备。
7.如权利要求6所述的认证服务器,其特征在于,所述认证处理模块还用于,当所述预 认证处理模块判断不允许对所述无线客户端漫游到所述目标无线接入设备进行预认证时, 通过链路层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
8.如权利要求6或7所述的认证服务器,其特征在于,所述预认证处理模块还用于,当 判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,将判断 结果通过所述源无线接入设备发送给所述无线客户端。
9.一种无线漫游方法,其特征在于,包括以下步骤无线客户端通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;所述无线客户端建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备 向认证服务器发送认证请求消息;所述无线客户端接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服 务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设 备进行预认证时,获取并返回所述授权信息或/和密钥。
10.如权利要求9所述的方法,其特征在于,所述无线客户端发送预认证请求消息之 后,还包括接收所述认证服务器通过所述源无线接入设备返回的是否允许对所述无线客户端漫 游到对应的目标接入设备进行预认证的响应消息,并在所述响应消息表明允许预认证时, 发送所述认证请求消息。
11.如权利要求10所述的方法,其特征在于,若所述无线客户端接收到的所述响应消 息表明拒绝预认证时,或者所述无线客户端在设定长时间内未接收到所述认证服务器发送 的所述响应消息时,还包括通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
12.如权利要求9、10或11所述的方法,其特征在于,所述无线客户端与无线接入设备 之间交互的所述消息为EAP消息,无线接入设备与所述认证服务器之间交互的所述消息为 AAA消息。
13.一种无线客户端设备,其特征在于,包括预认证请求模块,用于通过源无线接入设备向认证服务器发送预认证请求消息,所述 预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;认证请求模块,用于在建立到所述目标无线接入设备的链路后,通过所述目标无线接 入设备向认证服务器发送认证请求消息;认证信息接收模块,用于接收所述认证服务器返回的授权信息或/和密钥,其中,所述 认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标 接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
14.如权利要求13所述的无线客户端设备,其特征在于,所述预认证请求模块还用于,在发送预认证请求消息之后,接收所述认证服务器通过 源无线接入设备返回的是否允许对所述无线客户端进行预认证的响应消息;所述认证请求模块具体用于,当所述预认证请求模块接收到的响应消息表明允许预认 证时,发送所述认证请求消息。
15.如权利要求13所述的无线客户端设备,其特征在于,所述认证请求模块还用于,若 所述预认证请求模块接收到的所述响应消息表明拒绝预认证时,或者所述预认证请求模块 在设定长时间内未接收到所述认证服务器发送的所述响应消息时,通过目标无线接入设备 向所述认证服务器发起接入层的认证过程。
全文摘要
本发明公开了一种无线漫游认证方法、无线漫游方法及其装置,该方法包括认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据该标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;认证服务器接收到该无线客户端通过所述目标无线接入设备发送的认证请求消息后,若判断为允许对该无线客户端漫游到该目标无线接入设备进行预认证,则获取该无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。采用本发明,可实现快速无线漫游,提高快速无线漫游技术的通用性,以及节省系统资源开销。
文档编号H04W12/06GK101945388SQ20101050581
公开日2011年1月12日 申请日期2010年10月14日 优先权日2010年10月14日
发明者汪昊 申请人:杭州华三通信技术有限公司