预认证的方法和认证系统的制作方法

专利名称:预认证的方法和认证系统的制作方法
预认证的方法和认证系统技术领域：
[0001]本发明涉及移动通信领域，特别涉及一种预认证的方法和认证系统。
技术背景[0002]随着通信技术的发展，现代通信对移动性的要求越来越高，当前的移动通信要求 MN在移动或漫游场景下可以正常地通信。[0003]在移动场景下，丽(Mobile Node，移动节点，又称为移动终端)将不可避免地发 生切换，即指丽的网络接入点(attach point)随着丽的移动而发生变化，根据切换前 后attachpoint的相对位置，切换可以分为2层切换和3层切换，其中，3层切换又可以分 ^ ! ) ( I曰白勺 attach point gIf 白勺 attach point ￠11]-^ AAA (Authentication> Authorization andAccounting，认证、授权和计费)服务器管辖范围内)和域间切换(旧 的attach point与新的attach point在不同的AAA管辖范围内)，一个完整的3层切换过 程包含以下几个步骤MN离开原来的attach point切换到新的attach point，进行新的入 网认证，在新的attach point处建立相应的配置关系。[0004]MN从原来的attach point切换到新的attach point需要耗费一段时间，在这 段时间里通信将出现暂时的中断或者延时，对一些对实时性要求很高的业务(例如即时通 信)而言，中断或延时越短越好。但是在实际应用中，由于目前采用的认证方式需要MN与 AAA之间进行多轮交互，并且MN在外地时，依然需要在家乡进行认证，导致进行新的入网认 证需要花费较长的时间，从而使切换产生的中断或延时超出了即时业务所能承受的极限。[0005]现有技术中，通过快速重认证的方式减少切换产生的断或延时。快速重认证在双 方的身份认证过程中，将以前认证所产生的授权或配置信息继承下来，由于无需重新生成 授权及配置信息，因此快速重认证所需的交互及所做的工作少于普通的认证，因而节省了 认证时间。快速重认证主要应用在3层域内切换中，具体过程如下[0006]丽在初次进行入网认证时，将与HAAA (Home AAA,家乡AAA服务器，即丽与之签约 的AAA服务器)共同产生用于快速重认证的信息，该信息可以包括专用于快速重认证的ID 及密钥等；[0007]HAAA将快速重认证的信息发送给拜访网络的VAAA (Visit AAA,拜访域AAA服务 器，即丽在外地时所处拜访网络的AAA服务器)；[0008]当MN的位置发生变化进入拜访网络时，MN将通过新的attach point向拜访网络 的VAAA提供快速重认证的信息，VAAA根据HAAA预先发送的快速重认证的信息对丽作重 认证。[0009]快速重认证方式在MN进行切换时，减少了切换后的VAAA与HAAA在链路上的开销 以及两者之间的交互次数。但是，快速重认证方式需要MN与VAAA之间有现成的安全关系， 但是在域间切换场景下，由于新的VAAA与MN之间不存在该安全关系，因此快速重认证方式 不适用于3层的域间切换。[0010]在实现本发明的过程中，发明人发现上述现有技术中至少存在以下缺点[0011]在MN进行域间切换时，需要切换后的VAAA到HAAA上进行认证，切换产生的时延长。
发明内容
[0012]为了减少域间切换的延时时间，本发明实施例提供了一种预认证的方法和认证系 统。所述技术方案如下[0013]本发明实施例提供了一种预认证的方法，所述方法包括[0014]当终端进入家乡网络以外的拜访网络时，所述终端获取所述拜访网络的身份信 息，根据所述身份信息选择预认证密钥材料和认证票据，所述认证票据携带预认证密钥材 料，所述拜访网络的AAA服务器和所述终端根据所述预认证密钥材料互相进行身份认证。[0015]本发明实施例还提供了一种预认证的方法，所述方法包括[0016]当终端进入家乡网络以外的拜访网络时，所述终端获取所述拜访网络的身份信 息，根据所述拜访网络的身份信息生成预认证密钥，所述终端和所述拜访网络的AAA服务 器根据所述预认证密钥互相进行身份认证。[0017]本发明实施例提供了一种认证系统，所述认证系统包括终端和拜访网络的AAA服 务器[0018]所述终端，用于当进入家乡网络以外的拜访网络时，获取所述拜访网络的身份信 息，根据所述拜访网络的身份信息选择预认证密钥材料和认证票据，所述认证票据携带预 认证密钥材料，并根据所述根据所述预认证密钥材料对所述AAA服务器进行身份认证；[0019]所述拜访网络的AAA服务器，用于根据所述预认证密钥材料对所述终端进行身份 认证。[0020]本发明实施例还提供了一种认证系统，所述认证系统包括终端和拜访网络的AAA 服务器[0021]所述终端，用于当进入家乡网络以外的拜访网络时，获取所述拜访网络的身份信 息，根据所述拜访网络的身份信息生成预认证密钥，并根据所述预认证密钥对所述拜访网 络的AAA服务器进行身份认证；[0022]所述拜访网络的AAA服务器，用于根据所述预认证密钥对所述终端进行身份认 证。[0023]本发明实施例提供的技术方案的有益效果是[0024]本发明实施例通过丽在进入家乡网络以外的拜访网络时，根据获取的认证信息 在拜访网络的AAA服务器上进行入网认证，从而在域间切换时不需要拜访网络的AAA服务 器再到HAAA上进行认证，减少了域间切换的时延。[0025]
[0026]图1是本发明实施例1提供的预认证的方法的流程图；[0027]图2是本发明实施例2提供的另一种预认证的方法的流程图；[0028]图3是本发明实施例3提供的认证系统的结构示意图；[0029]图4是本发明实施例3提供的认证系统中终端的结构示意图；[0030]图5是本发明实施例3提供的认证系统中拜访网络的AAA服务器的结构示意图；[0031]图6是本发明实施例4提供的认证系统的结构示意图；[0032]图7是本发明实施例4提供的认证系统中终端的结构示意图；[0033]图8是本发明实施例4提供的认证系统中拜访网络的AAA服务器的结构示意图。[0034]具体实施方式
[0035]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方 式作进一步地详细描述。[0036]本发明实施例通过在MN与拜访网络的AAA服务器之间预先建立起信任关系，从而 减少新的入网认证所需的时间。[0037]实施例1[0038]本实施例中，HAAA在对丽进行接入认证的同时向它下发可用于访问家乡网络以 外的拜访网络的认证票据(Ticket)，该Ticket中含有由HAAA签发的，由丽与拜访网络 作相互认证时使用的信任状以及相关的参数，这样MN在进入该拜访网络后，就可以通过该 Ticket与该网络的VAAA进行接入认证。[0039]参见图1，本发明实施例提供了一种预认证的方法，具体包括[0040]101 =MN接入初始的网络接入设备，通过网络接入设备向HAAA执行接入认证。[0041]当丽所在的网络为家乡网络时，可以直接向HAAA进行接入认证；当丽所在的网 络为家乡网络以外的拜访网络时，丽通过拜访网络中的VAAA向HAAA进行认证，接入认证 过程为现有技术，此处不再赘述。[0042]进一步地，在接入认证过程中，HAAA会根据预先存储的丽的AAA profile (AAA描 述信息)判断MN是否支持快速预认证，如果是，则执行下述102至113，其中，AAA profile 是预先存储在HAAA里面的，包含丽的身份，MN所能享受的服务以及限制(例如，MN是否支 持快速重认证)等信息。[0043]102 丽所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络，即 是否存在其它覆盖重叠的网络，如果是，则执行103 ；否则，执行117。[0044]其中，网络接入设备可以根据底层技术，例如，对周围信号的感知以及网络部署时 的规划，判断该网络周围是否存在潜在的拜访网络，该过程为现有技术，目前的网络接入设 备可以做到，此处不再详述。[0045]103 网络接入设备根据AAA协议向HAAA发送通知消息，该通知消息中携带潜在的 拜访网络的身份信息。[0046]104 :HAAA收到网络接入设备发送的通知消息后，生成预认证密钥材料 (pre-auth-key-fi 1 e)，例如，可以随机选取一组符合加密算法对密钥要求的数据作为 pre-auth-key-fiIe 0[0047]进一步地，HAAA收到网络接入设备发送的通知消息后还包括[0048]HAAA根据通知消息中的潜在的拜访网络的身份信息判断家乡网络与拜访网络之 间是否存在安全关系，如果是，则HAAA生成预认证密钥材料；否则，家乡网络与拜访网络之 间不能进行信息交互。[0049]105 :HAAA提取通知消息中携带的潜在的拜访网络的身份信息，根据家乡网络与 各个拜访网络之间的安全关系对预认证密钥材料及相关参数进行加密生成相应的票据密 朗fn息。[0050]其中，家乡网络与潜在的拜访网络之间的安全关系可以为家乡网络与潜在的拜访网络之间的预共享密钥，或者为潜在的拜访网络的公私钥对，本实施例中，以Kh-t表示家 乡网络与潜在拜访网络之间的预共享密钥或者潜在的拜访网络的公私钥对。[0051]上述用于生成票据密钥信息的参数中除了 pre-auth-key-file外，相关参数至少 包含以下几项信息HAAA label、Target VAAA label、MN-ID、MN profile 和 lifetime，其 中，每项信息表示的含义如下HAAA label和Target VAAA label分别是能标识家乡网络和 潜在的拜访网络的身份信息；MN-ID表示丽的标识；丽profile表示丽的基本信息以及 MN可以获得哪种服务；lifetime表示Ticket的有效期，根据Kh_t对pre-auth-key-file 及相关参数进行加密生成的票据密钥信息具体表示如下[0052]Kh-t(pre-auth-key-file, HAAA label,Target VAAA label, MN-ID, MN profile, lifetime),[0053]106 :HAAA将HAAA本身的身份信息、潜在的拜访网络的身份信息和相应的票据密 钥信息作为MN进入家乡网络以外的网络的认证票据(Ticket)JPTicket= {HAAA label, TargetVAAA label,Kh-t(pre-auth-key-file, HAAA label,Target VAAA label, MN-ID,MN profile, lifetime)}。[0054]107 :HAAA将pre-auth-key-file、Ticket以及相应的潜在的拜访网络的身份信息 发送给丽。[0055]进一步地，为了保证以上信息的安全性，HAAA可以通过HAAA与丽之间的密钥对 pre-auth-key-file,Ticket以及相应的潜在拜访网络的身份信息进行加密，将加密后的数 据发送给丽。[0056]108 当丽进入家乡网络以外的拜访网络时，MN获取该拜访网络的身份信息。[0057]其中，丽可以从新进入的拜访网络中的网络设备广播的MAC(Media Access Control，媒体访问控制)消息中获取拜访网络的身份信息，该过程为现有技术，此处不再 详述。[0058]109 :MN根据拜访网络的身份信息选择相应的Ticket，并根据pre-auth-key-file 生成第一认证信息。[0059]其中，丽可以根据pre-auth-key-file对选取的参数进行运算生成第一认证信 息，参数可以为随机选取的一组数据等。[0060]110 丽将生成的第一认证信息和选出的Ticket —起发送给拜访网络的VAAA。[0061]进一步地，MN在将第一认证信息和Ticket发送给VAAA后，还将生成第一认证信 息的参数发送给VAAA。[0062]111 =VAAA收到MN发送的Ticket后，从Ticket中获取预认证密钥材料。[0063]从Ticket中获取预认证密钥材料的具体过程如下[0064]根据Ticket中的HAAA label选择相应的密钥对Ticket中的票据密钥信息进行 角军密得至Ij pre-auth-key-fileO[0065]112 =VAAA根据pre-auth-key-f ile采用与丽生成第一认证信息相同的规则生成第二认证信息。[0066]113 =VAAA判断生成的第二认证信息与MN发送的第一认证信息是否相同，如果两 者相同，则表明VAAA对丽的认证通过，执行114 ；否则，结束。114 拜访网络的VAAA生成 第三认证信息，然后将第三认证信息发送给MN。[0067]其中，VAAA生成第三认证信息的过程与丽生成第一认证信息的过程类似，根据 pre-auth-key-file对选取的参数进行运算生成第三认证信息，参数可以为随机选取的一 组数据等，VAAA在发送第三认证信息的同时也将选取的参数发送给MN。[0068]115 丽收到VAAA发送的第三认证信息后，根据VAAA生成第三认证信息相同的规 则生成第四认证信息，判断第四认证信息与MN生成的第三认证信息是否相同，如果是，则 表明丽对VAAA的认证通过，执行116 ；否则，结束。[0069]116 认证通过，丽可以与VAAA继续进行信息交互。[0070]117 按域内切换的流程处理，该过程为现有技术，此处不再赘述。[0071]本实施例中，102至107是在丽进行向HAAA进行EAP认证的过程中发生的，与101 并无先后顺序，为了描述方便，将其放在了 101的后面。[0072]本实施例通过在MN进行初次入网认证的同时，由HAAA向它下发预认证密钥材料 和包含预认证密钥材料的认证票据，在MN认证网络以外的拜访网络时，将预认证密钥材料 和认证票据发送给拜访网络中的VAAA，VAAA根据认证票据对MN进行入网认证，从而不需要 再到HAAA进行认证，减少了在VAAA至HAAA这段链路上的消耗，降低了域间切换的时延。[0073]实施例2[0074]本实施例中，在HAAA对丽进行EAP认证结束后，HAAA和丽根据认证产生的 AAAkey (AAA密钥)生成根密钥，然后HAAA再根据根密钥生成预认证密钥，并将该预认证密 钥发送给潜在的拜访网络的VAAA ；当丽进入家乡网络以外的拜访网络时，首先根据根密钥 生成预认证密钥，然后根据该预认证密钥向拜访网络的VAAA进行接入认证。参见图2，本发 明实施例提供了另一种预认证的方法，具体包括[0075]201 =MN接入初始的网络接入设备，通过网络接入设备向HAAA执行接入认证。[0076]MN进行接入认证的过程与实施例1中所述相同，此处不再赘述。[0077]202 丽所在网络的网络接入设备判断该网络周围是否存在潜在的拜访网络，如 果是，则执行203;否则，执行214;[0078]203 网络接入设备根据AAA协议向HAAA发送通知消息，该通知消息中携带潜在的 拜访网络的身份信息。[0079]204 接入认证完成后，丽和HAAA分别根据AAA key、HAAA的身份信息、丽的标 识(MN-ID)生成根密钥(pre-auth-root-key)。[0080]其中，AAA key是在接入认证过程中，HAAA根据MN与AAA之间的预共享密钥产生 的EMSK及由其派生的子密钥，生成的pre-auth-root-key如下[0081]pre-auth-root-key = prf (MN-ID, HAAA label, AAA key), prf 表示密書月生成函数。[0082]205 :HAAA根据网络接入设备发送的通知消息中携带的潜在的拜访网络的身 份 /[言；窗、禾口 pre_auth_root_key 生成预认 i正密朗(pre_auth_key),艮口 pre_auth_key = prf (pre-auth-root-key, TargetVAAA label)。[0083]206 =HAAA 将 MN-ID 和相应的 pre-auth-key 发送给相应的 VAAA0[0084]207 当丽进入家乡网络以外的拜访网络时，获取该拜访网络的身份信息(Target VAAAlabel)。[0085]208 :MN *艮据 Target VAAA label 禾口 pre—auth—root—key 生成 pre-auth-key,并*艮据pre-auth-key生成第一认证信息，将生成的第一认证信息发送到VAAA。[0086]其中，丽根据pre-auth-key生成第一认证信息的方法与实施例1中所述相同，此 处不再赘述，并且MN在将pre-auth-key和第一认证信息发送给VAAA后，还要将生成第一 认证信息的参数发送给VAAA。[0087]209 =VAAA收到丽发送的第一认证信息后，根据HAAA发送的预认证密钥和丽发送 的生成第一认证信息的参数，采用与MN生成第一认证信息相同的规则生成第二认证信息。[0088]210 =VAAA判断生成的第二认证信息与丽发送的第一认证信息是否相同，如果是， 则表明VAAA对丽的认证通过，执行211 ；否则，结束。211 VAAA生成第三认证信息，然后将 第三认证信息发送给MN。212 丽收到VAAA发送的第三认证信息后，根据与VAAA生成第三 认证信息相同的规则生成第四认证消息，判断MN生成的第四认证信息与第三认证信息是 否相同，如果是，则表明丽对VAAA的认证通过，执行213 ；否则，结束。[0089]213 认证通过，MN可以与Target VAAA继续进行信息交互。[0090]214 按域内切换的流程处理，该过程为现有技术，此处不再赘述。[0091]本实施例中，202至203是在丽向HAAA进行EAP认证的过程中发送的，与201并 无先后顺序，为了描述方便，将其放在了 201的后面。[0092]本实施例通过HAAA预先向家乡网络以外的拜访网络中的VAAA发送丽预认证密 钥，在丽进入该网络后，VAAA根据预先收到的预认证密钥对丽进行接入认证，使得丽在 进入家乡网络以外的网络时可以直接在该拜访网络的VAAA上进行入网认证，从而不需要 再到HAAA进行认证，减少了在VAAA至HAAA这段链路上的消耗，降低了切换时延。[0093]实施例3[0094]参见图3，本发明实施例提供了一种认证系统，该认证系统包括终端和拜访网络的 AAA服务器[0095]终端，用于当进入家乡网络以外的拜访网络时，获取拜访网络的身份信息，根据拜 访网络的身份信息选择预认证密钥材料和认证票据，认证票据携带预认证密钥材料，并根 据预认证密钥材料对拜访网络的AAA服务器进行身份认证；[0096]拜访网络的AAA服务器，用于根据预认证密钥材料对终端进行身份认证。[0097]参见图4，上述终端可以具体包括[0098]获取模块，用于当终端进入家乡网络以外的拜访网络时，获取拜访网络的身份信 息；[0099]选择模块，用于根据获取模块获取的拜访网络的身份信息选择预认证密钥材料和 认证票据，认证票据携带预认证密钥材料；[0100]第一认证模块，用于根据选择模块模块选择的预认证密钥材料，对拜访网络的AAA 服务器进行身份认证。[0101]进一步地，上述第一认证模块可以具体包括[0102]第一生成单元，用于根据选择模块选择的预认证密钥材料生成第一认证信息；[0103]第一发送单元，用于将第一生成单元生成的第一认证信息和选择模块选择的认证 票据发送给拜访网络的AAA服务器；[0104]第四生成单元，用于在收到第三认证信息后，根据拜访网络的AAA服务器生成第 三认证信息相同的规则生成第四认证信息；[0105]第一判断单元，用于判断第四生成单元生成的第四认证信息与第三认证信息是否 相同，如果是，则终端对拜访网络的AAA服务器的认证通过；[0106]参见图5，上述拜访网络的AAA服务器可以具体包括[0107]密钥获取模块，用于收到终端发送的第一认证信息和认证票据后，从认证票据中 获取预认证密钥材料；[0108]第二生成模块，用于根据密钥获取模块获取的预认证密钥材料，采用与终端生成 第一认证信息相同的规则生成第二认证信息；[0109]第二判断模块，用于判断第二生成模块生成的第二认证信息与终端发送的第一认 证信息是否相同，如果是，则拜访网络的AAA服务器对终端的认证通过；[0110]第三生成模块，用于生成第三认证信息；[0111]第三发送模块，用于将第三生成模块生成的第三认证信息发送给终端。[0112]进一步地，上述认证系统还包括网络接入设备和家乡AAA服务器[0113]网络接入设备，用于在终端进入拜访网络之前，判断终端所在的网络周围是否存 在潜在的拜访网络，如果是，则向家乡AAA服务器发送拜访网络的身份信息；[0114]家乡AAA服务器，用于收到网络接入设备发送的身份信息后，生成预认证密钥材 料，并根据家乡网络与拜访网络之间的安全关系对预认证密钥材料以及相关参数进行加密 生成票据密钥信息，将家乡AAA服务器的身份信息、拜访网络的身份信息和票据密钥信息 作为认证票据然后将预认证密钥材料和认证票据，以及相应的拜访网络的身份信息发送给 终端。[0115]本实施例通过在MN进行初次入网认证的同时，由HAAA向它下发预认证密钥材料 和包含预认证密钥的认证票据，使得MN在进入家乡网络以外的拜访网络时，可以直接在该 网络的VAAA上进行入网认证，从而不需要再到HAAA进行认证，减少了在VAAA至HAAA这段 链路上的消耗，降低了切换时延。[0116]实施例4[0117]参见图6，本发明实施例还提供了一种认证系统，该认证系统包括终端和拜访网络 的AAA服务器[0118]终端，用于当进入家乡网络以外的拜访网络时，获取拜访网络的身份信息，根据拜 访网络的身份信息生成预认证密钥，并根据预认证密钥对拜访网络的AAA服务器进行身份 认证；[0119]拜访网络的AAA服务器，用于根据预认证密钥对终端进行身份认证。[0120]参见图7，上述终端可以具体包括[0121]获取模块，用于当终端进入家乡网络以外的拜访网络时，获取拜访网络的身份信 息；[0122]第一生成模块，用于根据获取模块获取的拜访网络的身份信息生成预认证密钥；[0123]第一认证模块，用于根据第一生成模块生成的预认证密钥对拜访网络的AAA服务 器进行身份认证。[0124]进一步地，上述第一认证模块可以具体包括[0125]第一生成单元，用于根据第一生成模块生成的预认证密钥生成第一认证信息；[0126]第一发送单元，用于将第一生成模块生成的第一认证信息发送给拜访网络的AAA服务器；[0127]第一判断单元，用于判断第四生成模块生成的第四认证信息与第三认证信息是否 相同，如果是，则终端对拜访网络的AAA服务器的认证通过。[0128]参见图8，上述拜访网络的AAA服务器可以具体包括[0129]第二生成模块，用于收到终端发送的第一认证信息后，根据家乡AAA服务器发送 的预认证密钥，采用与终端生成第一认证信息相同的规则生成第二认证信息；[0130]第二判断模块，用于判断第二生成模块生成的第二认证信息与终端发送的第一认 证信息是否相同，如果是，则拜访网络的AAA服务器对终端的认证通过；[0131]第三生成模块，用于生成第三认证信息；[0132]第二发送模块，用于将第三生成模块生成的第三认证信息发送给终端。[0133]进一步地，上述认证系统还包括网络接入设备和家乡AAA服务器[0134]网络接入设备，用于在终端进入拜访网络之前，判断终端所在的网络周围是否存 在潜在的拜访网络如果是，则向家乡AAA服务器发送潜在的拜访网络的身份信息；[0135]家乡AAA服务器，用于收到网络接入设备发送的拜访网络的身份信息后，根据终 端的标识、家乡AAA服务器的身份信息和AAA密钥生成根密钥，AAA密钥为家乡AAA服务器 对终端进行接入认证产生的密钥材料；根据网络接入设备发送的拜访网络的身份信息和根 密钥生成预认证密钥；然后将预认证密钥发送给拜访网络的AAA服务器；[0136]相应地，终端还用于当进入拜访网络之后，根据终端的标识、家乡AAA服务器的身 份信息和AAA密钥生成根密钥。[0137]本实施例通过HAAA预先向家乡网络以外的拜访网络中的VAAA发送丽预认证密 钥，在丽进入该拜访网络后，VAAA根据预先收到的预认证密钥对丽进行接入认证，使得丽 在进入家乡网络以外的拜访网络时可以直接在该拜访网络的VAAA上进行入网认证，从而 不需要再到HAAA进行认证，减少了在VAAA至HAAA这段链路上的消耗，降低了切换时延。[0138]本发明实施例可以通过软件实现，相应的软件可以存储到可读取的存储介质中， 例如，计算机的硬盘、软盘或光盘中。[0139]以上仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则 之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种预认证的方法，其特征在于，所述方法包括在终端进入家乡网络以外的拜访网络之前，向家乡AAA服务器发送所述拜访网络的身 份信息；所述家乡AAA服务器收到所述拜访网络的身份信息后，生成预认证密钥材料，并根据 家乡网络与所述拜访网络之间的安全关系对所述预认证密钥材料以及相关参数进行加密 生成票据密钥信息，将所述家乡AAA服务器的身份信息、所述拜访网络的身份信息和票据 密钥信息作为认证票据，然后将所述预认证密钥材料、认证票据和相应的拜访网络的身份 信息发送给所述终端；当所述终端进入所述拜访网络时，根据所述拜访网络的身份信息选 择预认证密钥材料和认证票据，所述认证票据携带预认证密钥材料，所述拜访网络的AAA 服务器和所述终端根据所述预认证密钥材料互相进行身份认证。
2.根据权利要求
1所述的预认证的方法，其特征在于，所述拜访网络的AAA服务器和所 述终端根据所述预认证密钥材料互相进行身份认证，具体包括所述终端根据所述预认证密钥材料生成第一认证信息，然后将所述第一认证信息和认 证票据发送给所述拜访网络的AAA服务器；所述拜访网络的AAA服务器收到所述第一认证信息和认证票据后，从所述认证票据中 获取预认证密钥材料，根据所述预认证密钥材料采用与所述终端生成第一认证信息相同的 规则生成第二认证信息，判断所述第二认证信息与所述第一认证信息是否相同，如果是，则 所述拜访网络的AAA服务器对所述终端的认证通过；所述拜访网络的AAA服务器生成第三认证信息，然后将所述第三认证信息发送给所述 终端；所述终端在收到所述第三认证信息后，根据所述拜访网络的AAA服务器生成所述第三 认证信息相同的规则生成第四认证信息，判断所述第三认证信息与所述第四认证信息是否 相同，如果是，则所述终端对所述拜访网络的AAA服务器的认证通过。
3.根据权利要求
2所述的预认证的方法，其特征在于，所述在终端进入家乡网络以外 的拜访网络之前，向家乡AAA服务器发送所述拜访网络的身份信息，具体包括在所述终端进入所述拜访网络之前，所述终端所在网络中的网络接入设备判断所述网 络周围是否存在潜在的拜访网络，如果是，则向家乡AAA服务器发送所述拜访网络的身份 fn息ο
4.根据权利要求
3所述的预认证的方法，其特征在于，所述参数至少包含所述家乡AAA 服务器的身份信息、所述拜访网络的身份信息、所述终端的标识、所述终端的基本信息和所 述认证票据的有效期限。
5.根据权利要求
2所述的预认证方法，其特征在于，所述从所述认证票据中获取预认 证密钥材料，具体包括所述拜访网络的AAA服务器根据所述家乡网络与所述拜访网络之间的安全关系对所 述认证票据中的票据密钥信息进行解密得到预认证密钥材料。
6.根据权利要求
3或5所述的预认证方法，其特征在于，所述安全关系为所述家乡网络 与所述拜访网络之间的预共享密钥，或者为所述拜访网络的公私钥对。
7.一种预认证的方法，其特征在于，所述方法包括在终端进入家乡网络以外的拜访网络之前，向家乡AAA服务器发送所述拜访网络的身份信息；所述家乡AAA服务器收到所述拜访网络的身份信息后，根据所述终端的标识、所述家 乡AAA的身份信息和AAA密钥生成根密钥，所述AAA密钥为所述家乡AAA服务器对所述终 端进行EAP认证产生的密钥材料；所述家乡AAA服务器根据所述拜访网络的身份信息和所 述根密钥生成预认证密钥，然后将所述预认证密钥发送给所述拜访网络的AAA服务器；当 终端进入所述拜访网络时，所述终端根据所述终端的标识、所述家乡AAA服务器的身份信 息和AAA密钥生成根密钥；根据所述根密钥和所述拜访网络的身份信息生成预认证密钥；所述终端和所述拜访网络的AAA服务器根据所述预认证密钥互相进行身份认证。
8.根据权利要求
7所述的预认证的方法，其特征在于，所述终端和所述拜访网络的AAA 服务器根据所述预认证密钥互相进行身份认证，具体包括所述终端根据所述预认证密钥生成第一认证信息，然后将所述第一认证信息发送给所 述拜访网络的AAA服务器；所述拜访网络的AAA服务器收到所述第一认证信息后，根据家乡AAA服务器发送的预 认证密钥采用与所述终端生成第一认证信息相同的规则生成第二认证信息，判断所述第二 认证信息与所述终端发送的第一认证信息是否相同，如果是，则所述拜访网络的AAA服务 器对所述终端的认证通过；所述拜访网络的AAA服务器生成第三认证信息，然后将所述第三认证信息发送给所述 终端；所述终端在收到所述第三认证信息后，根据与所述拜访网络的AAA服务器生成第三认 证信息相同的规则生成第四认证信息，判断所述第三认证信息与所述第四认证信息是否相 同，如果是，则所述终端对所述拜访网络的AAA服务器的认证通过。
9.根据权利要求
8所述的预认证的方法，其特征在于，所述在终端进入家乡网络以外 的拜访网络之前，向家乡AAA服务器发送所述拜访网络的身份信息，具体包括在所述终端进入所述拜访网络之前，所述终端所在网络中的网络接入设备判断所述网 络周围是否存在潜在的拜访网络，如果是，则向家乡AAA服务器发送所述拜访网络的身份 fn息ο
10.一种认证系统，其特征在于，所述认证系统包括网络接入设备，家乡AAA服务器，终 端和拜访网络的AAA服务器所述网络接入设备，用于在所述终端进入所述拜访网络之前，向所述家乡AAA服务器 发送所述拜访网络的身份信息；所述家乡AAA服务器，用于收到所述网络接入设备发送的身份信息后，生成预认证密 钥材料，并根据家乡网络与所述拜访网络之间的安全关系对所述预认证密钥材料以及相关 参数进行加密生成票据密钥信息，将所述家乡AAA服务器的身份信息、所述拜访网络的身 份信息和票据密钥信息作为认证票据然后将所述预认证密钥材料和认证票据，以及相应的 拜访网络的身份信息发送给所述终端；所述终端，用于当进入所述拜访网络时，根据所述拜访网络的身份信息选择预认证密 钥材料和认证票据，所述认证票据携带预认证密钥材料，并根据所述预认证密钥材料对所 述拜访网络的AAA服务器进行身份认证；所述拜访网络的AAA服务器，用于根据所述预认证密钥材料对所述终端进行身份认证。
11.根据权利要求
10所述的认证系统，其特征在于，所述终端具体包括获取模块，用于当所述终端进入家乡网络以外的拜访网络时，获取所述拜访网络的身 份信息；选择模块，用于根据所述获取模块获取的拜访网络的身份信息选择预认证密钥材料和 认证票据，所述认证票据携带预认证密钥材料；第一认证模块，用于根据所述选择模块模块选择的预认证密钥材料，对所述拜访网络 的AAA服务器进行身份认证。
12.根据权利要求
11所述的认证系统，其特征在于，所述第一认证模块具体包括 第一生成单元，用于根据所述选择模块选择的预认证密钥材料生成第一认证信息；第一发送单元，用于将所述第一生成单元生成的第一认证信息和所述选择模块选择的 认证票据发送给所述拜访网络的AAA服务器；第四生成单元，用于在收到第三认证信息后，根据所述拜访网络的AAA服务器生成所 述第三认证信息相同的规则生成第四认证信息；第一判断单元，用于判断所述第四生成单元生成的第四认证信息与所述第三认证信息 是否相同，如果是，则所述终端对所述拜访网络的AAA服务器的认证通过。
13.根据权利要求
10所述的认证系统，其特征在于，所述拜访网络的AAA服务器具体包括密钥获取模块，用于收到终端发送的第一认证信息和认证票据后，从所述认证票据中 获取预认证密钥材料；第二生成模块，用于根据所述密钥获取模块获取的预认证密钥材料，采用与所述终端 生成第一认证信息相同的规则生成第二认证信息；第二判断模块，用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第 一认证信息是否相同，如果是，则所述拜访网络的AAA服务器对所述终端的认证通过； 第三生成模块，用于生成第三认证信息；第三发送模块，用于将所述第三生成模块生成的第三认证信息发送给所述终端。
14.一种认证系统，其特征在于，所述认证系统包括网络接入设备，家乡AAA服务器，终 端和拜访网络的AAA服务器所述网络接入设备，用于在所述终端进入所述拜访网络之前，向所述家乡AAA服务器 发送所述潜在的拜访网络的身份信息；所述家乡AAA服务器，用于收到所述拜访网络的身份信息后，根据所述终端的标识、所 述家乡AAA服务器的身份信息和AAA密钥生成根密钥，所述AAA密钥为所述家乡AAA服务 器对所述终端进行接入认证产生的密钥材料；根据所述拜访网络的身份信息和所述根密钥 生成预认证密钥；然后将所述预认证密钥发送给所述拜访网络的AAA服务器；所述终端，用于当进入所述拜访网络时，根据所述终端的标识、所述家乡AAA服务器的 身份信息和AAA密钥生成根密钥；根据所述根密钥和所述拜访网络的身份信息生成预认证 密钥，并根据所述预认证密钥对所述拜访网络的AAA服务器进行身份认证；所述拜访网络的AAA服务器，用于根据所述预认证密钥对所述终端进行身份认证。
15.根据权利要求
14所述的认证系统，其特征在于，所述终端具体包括获取模块，用于当所述终端进入家乡网络以外的拜访网络时，获取所述拜访网络的身 份信息；第一生成模块，用于根据所述获取模块获取的拜访网络的身份信息生成预认证密钥； 第一认证模块，用于根据所述第一生成模块生成的预认证密钥对所述拜访网络的AAA 服务器进行身份认证。
16.根据权利要求
14所述的认证系统，其特征在于，所述拜访网络的AAA服务器具体包括第二生成模块，用于收到终端发送的第一认证信息后，根据家乡AAA服务器发送的预 认证密钥，采用与所述终端生成第一认证信息相同的规则生成第二认证信息；第二判断模块，用于判断所述第二生成模块生成的第二认证信息与所述终端发送的第 一认证信息是否相同，如果是，则所述AAA服务器对所述终端的认证通过； 第三生成模块，用于生成第三认证信息；第二发送模块，用于将所述第三生成模块生成的第三认证信息发送给所述终端。
专利摘要
本发明公开了一种预认证的方法和认证系统，属于移动通信领域。所述方法包括当MN进入家乡网络以外的拜访网络时，MN获取所述拜访网络的身份信息，根据拜访网络的身份信息选择预认证密钥材料和认证票据，该认证票据携带预认证密钥材料，拜访网络的AAA服务器和MN根据所述预认证密钥材料互相进行身份认证。所述认证系统包括终端和AAA服务器。本发明通过在MN进入家乡网络以外的拜访网络时，根据获取的认证信息在该拜访网络中的VAAA上进行接入认证，从而在域间切换时不需要拜访网络的VAAA再到HAAA上进行认证，减少了域间切换的时延。
文档编号H04W12/04GKCN101616407 B发布类型授权 专利申请号CN 200810127098
公开日2011年4月27日 申请日期2008年6月25日
发明者潘云波 申请人:华为技术有限公司导出引文BiBTeX, EndNote, RefMan专利引用 (4),