CN101827066A - 一种入网认证方法和装置 - Google Patents
一种入网认证方法和装置 Download PDFInfo
- Publication number
- CN101827066A CN101827066A CN200910004511A CN200910004511A CN101827066A CN 101827066 A CN101827066 A CN 101827066A CN 200910004511 A CN200910004511 A CN 200910004511A CN 200910004511 A CN200910004511 A CN 200910004511A CN 101827066 A CN101827066 A CN 101827066A
- Authority
- CN
- China
- Prior art keywords
- access point
- authentication
- networking
- fap
- safe key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种入网认证方法和装置,其中,所述方法应用于接入点的入网认证装置发生重定向后,包括:接收接入点发送的认证请求消息;从认证服务器或入网认证装置获取接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;根据安全密钥与接入点建立安全隧道。本发明实施例提供了一种入网认证装置。上述技术方案因为入网认证装置采用请求接入点经过默认网关和认证服务器已经鉴权生成的安全密钥,并根据反馈的安全密钥与接入点建立安全隧道的技术手段,所以解决了入网认证装置重定向后如何对接入点认证的问题。
Description
技术领域
本发明涉及入网认证领域,尤其涉及一种入网认证方法和装置。
背景技术
Femto Cell(超迷你基站)是由Femto接入点(Femto Access Point,FAP)和其他为用户通过FAP接入无线网络提供必要功能的网络实体组成的***。如图1所示,为现有技术Femto Cell网络架构图,其包括:
FAP 101,其是一种低功耗的微波存取全球互通(WorldwideInteroperability for Microwave Access,WIMAX)基站(BS)。这种BS提供小范围的无线覆盖,主要应用在室内,如SOHO(单独办公、家里办公)环境。它采用有线宽带网络,例如数字用户线路/IP(DSL/IP)网络等接入,这里的有线宽带网络可能和WIMAX网络属于不同的运营商。
安全网关(SeGW)102,位于有线网络与WiMAX网络之间,为FAP提供从有线网络到WiMAX网络的接入,实现网关功能和安全功能(Authenticator在SeGW中,为入网认证装置),为现有技术,不再详述。每一个签约的FAP都配置了一个SeGW的信息(至少包含SeGW地址),用于默认的入网连接。SeGW可以单独部署,也可与图1中的接入服务网-网关(ASN-GW)105一起部署,或者将SeGW各功能分离,分开部署。
配置中心104,用于接入服务网(ASN)对FAP进行集中的配置管理和网络资源的分配,可以单独部署也可以与其它网元一起部署。
FAP授权、验证和计费服务器(FAP AAA Server)103,用于保存与其签约的FAP的目录、维护一份签约SeGW列表和一份签约网络服务提供商(Network Service Provider,NSP)列表,负责FAP的入网认证授权和其它管理维护工作。FAP AAA Server的部署随签约关系而定,可以位于ASN(网络接入提供商NAP签约),也可位于连接服务网(CSN,NSP签约)。
整个Femtocell***的安全信道可分为三部分:
1、MS(Mobile Station,移动台、终端)到FAP,属于空中接口部分,仍采用WiMAX网络MS到BS的安全信道建立模式。
2、FAP到SeGW,此部分要经过一段不安全的Backhaul(回程)链路,采用IKEv2(Internet Key Exchange v2,互联网密钥交换协议v2)协议建立IPSec(IP安全)隧道且在IKEv2中加入对EAP协议的支持。
3、FAP经SeGW接入WIMAX网络是通过EAP(Extensible authenticationprotocol,扩展鉴权协议)协议认证,具体的EAP方法可协商。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:接入点(例如FAP)作为接入网的一部分,一般是由用户部署的,接入点可能在任意的时间和任意的地点接入网络,一般接入点上配置有一个默认的入网安全网关地址,接入点首先向接入点默认的安全网关地址发送接入网络请求,向FAP AAA服务器认证,FAP AAA服务器鉴权后可能根据接入点(例如FAP)的位置信息,为接入点分配一个更符合接入点入网要求的入网地址(另一个接入安全网关)给接入点,让接入点重新用分配的非默认入网地址接入无线网络。这样就需要在认证后完成入网认证装置(例如安全网关)的重定向,一般需要重新进行上述的鉴权过程,由于新的鉴权过程太繁琐,入网认证装置重定向后,认证服务器如何对接入点进行认证,即接入点位置发生转移时,认证服务器如何对接入点进行认证,以使接入点与新的入网认证装置之间快速建立安全隧道,这是亟待解决的一个重要问题。
发明内容
本发明的发明目的是为了解决入网认证装置重定向后如何对接入点认证的问题。
一方面,本发明实施例提供了一种重定向方法,应用于接入点的入网认证装置发生重定向后,所述方法包括:接收接入点发送的认证请求消息;从认证服务器或入网认证装置获取接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;根据安全密钥与接入点建立安全隧道。
另一方面,本发明实施例提供了一种入网认证装置,所述入网认证装置包括:消息接收单元,用于接收接入点发送的认证请求消息;文件获取单元,用于从认证服务器或入网认证装置获取接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;隧道建立单元,用于根据安全密钥与接入点建立安全隧道。
上述技术方案具有如下有益效果:因为入网认证装置采用请求接入点经过默认网关和认证服务器已经鉴权生成的安全密钥,并根据反馈的安全密钥与接入点建立安全隧道的技术手段,所以解决了入网认证装置重定向后如何对接入点认证的问题,进而达到了接入点与新的入网认证装置之间快速建立安全隧道的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为现有技术Femto Cell网络架构图;
图2为本发明实施例一种入网认证装置结构示意图;
图3为本发明实施例图2中的隧道建立单元结构示意图;
图4为本发明实施例图2中的文件请求单元结构示意图;
图5为本发明实施例一种入网认证装置重定向网络架构图;
图6为本发明实施例一种入网认证方法流程图;
图7为本发明应用实例一种入网认证装置重定向网络架构图;
图8为本发明应用实例1的SeGW重定向入网认证信令交互示意图;
图9为本发明应用实例2的SeGW重定向入网认证信令交互示意图;
图10为本发明应用实例3的SeGW重定向入网认证信令交互示意图。
具体实施方式
为使本发明的目的、技术方案和有益效果更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
实施例一:
如图2所示,为本发明实施例一种入网认证装置结构示意图,该入网认证装置20包括:消息接收单元201,用于接收接入点发送的认证请求消息;文件获取单元202,用于从认证服务器或入网认证装置获取接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;隧道建立单元203,用于根据安全密钥与接入点建立安全隧道。
可选的,接入点发送的认证请求消息可以包括扩展鉴权协议认证消息。如图3所示,为本发明实施例图2中的隧道建立单元结构示意图。隧道建立单元203可以包括:计算模块2031,用于根据安全密钥计算出认证参数以与接入点建立安全隧道。如图4所示,为本发明实施例图2中的文件获取单元结构示意图。入网认证装置20可以包括接入点的默认网关,文件获取单元202可以包括:第一获取模块2021,用于向认证服务器发送请求,接收认证服务器发送的安全密钥;或第二获取模块2022,用于向接入点的默认网关发送请求,接收接入点的默认网关发送的安全密钥;或第三获取模块2023,用于经过接入点的拜访地认证服务器向接入点的归属地认证服务器发送请求,接收接入点的归属地认证服务器经过所述接入点的拜访地认证服务器发送的安全密钥。隧道建立单元203,具体可以用于根据安全密钥与接入点利用互联网密钥交换协议认证建立IP安全隧道。上述接入点可以包括FAP,入网认证装置可以包括安全网关,认证服务器可以包括FAP授权、验证和计费服务器。接入点只要是用户设备,有牧游/漫游方式使用的设备先经过默认地址入网认证,再从非默认地址入网的,都可以用本发明实施例的方案。
如图5所示,为本发明实施例一种入网认证装置重定向网络架构图,所述网络架构包括接入点501、认证服务器503和入网认证装置(分为默认入网认证装置502和非默认入网认证装置504):接入点501,用于和认证服务器503鉴权生成安全密钥;用于接收包括接入点501的非默认入网认证装置504地址消息的重定向消息;用于向接入点501的非默认入网认证装置504发送接入认证请求消息;还用于与非默认入网认证装置504建立安全隧道。非默认入网认证装置504,用于接收包括接入点501的非默认入网认证装置504地址消息的重定向消息后发送的接入认证请求消息;用于请求接入点501和认证服务器503鉴权生成的安全密钥;还用于根据反馈的安全密钥与接入点501建立安全隧道。认证服务器503,用于和接入点501鉴权生成安全密钥;还用于在生成安全密钥后,向接入点501的默认入网认证装置502发送包括接入点501的非默认入网认证装置504地址消息的重定向消息。
可选的,上述接入点501可以包括FAP,上述入网认证装置可以包括安全网关,上述认证服务器503可以包括FAP授权、验证和计费(AAA)服务器。
如图6所示,为本发明实施例一种入网认证方法流程图,所述方法包括:
步骤601,接收接入点发送的认证请求消息。
步骤602,从认证服务器或入网认证装置获取接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥。
接入点发送的认证请求消息可以包括扩展鉴权协议认证消息。可以向认证服务器发送请求,接收认证服务器发送的安全密钥;或向接入点的默认网关发送请求,接收接入点的默认网关发送的安全密钥;或经过接入点的拜访地认证服务器向接入点的归属地认证服务器发送请求,接收接入点的归属地认证服务器经过所述接入点的拜访地认证服务器发送的安全密钥。
步骤603,根据安全密钥与接入点建立安全隧道。
可以根据安全密钥计算出认证参数以与接入点建立安全隧道。具体的,可以根据安全密钥与接入点利用互联网密钥交换协议认证建立IP安全隧道。
上述本发明实施例因为入网认证装置采用请求接入点经过默认网关和认证服务器已经鉴权生成的安全密钥,并根据反馈的安全密钥与接入点建立安全隧道的技术手段,所以解决了入网认证装置重定向后如何对接入点认证的问题,进而达到了接入点与新的入网认证装置之间快速建立安全隧道的技术效果。
实施例二:
上述接入点可以为FAP,入网认证装置可以为安全网关,认证服务器可以为FAP授权、验证和计费服务器。以下举应用实例予以说明。值得一提的是,并不以此为限,本技术方案除了可用在Femtocell***中,还可用在其它出现入网认证装置重定向情况的***中。
如图7所示,为本发明应用实例一种入网认证装置重定向网络架构图,本发明下述实施例意在解决在SeGW(安全网关)重定向后(从SeGW1(认证装置1)702变为SeGW2(认证装置2)704)对FAP701的认证授权,即在认证实体-位于安全网关的认证装置(Authenticator in SeGW)位置发生转移时的EAP认证,并在FAP701与SeGW之间建立IPSec隧道。当FAP701经有线网络从默认SeGW接入并连接到FAP AAA Server703时,将经过一个基本的认证,认证成功后所生成的相关密钥作为SeGW重定向后认证授权和建立IPSec隧道的材料。
FAP701向终端提供接入服务前,FAP701必须成功入网,自身接入网络。FAP701通过有线网络接到安全网关,然后接入到WiMAX网络。在部署网络时,每个FAP都配置一个默认的安全网关,这个默认的安全网关部署在本地接入网(ASN)或本地连接网(CSN)中。若FAP701在拜访地接入网或拜访地的连接网中接入,FAP701仍要通过有线网络从本地默认的安全网关接入到WiMAX网络,然后FAP AAA Server703将对FAP701定位,确定FAP701所在位置,并为它选取相关的安全网关,把此安全网关位置信息传达给FAP701,这个过程就是安全网关的重定向,FAP701收到消息后将重新从新的安全网关接入。
因为在EAP认证流程中,框架体系为:接入点、认证装置和认证服务器,即接入点(在FAP中)、认证装置(在SeGW中)、认证服务器(在FAP AAA服务器中)。认证服务器对接入点进行鉴别,然后告知认证装置,该接入点是否为授权用户,若为授权用户,就把生成的安全密钥下发给认证装置以做后用。当SeGW重定向时,那么认证装置(Authenticator)也发生了变化,从Authenticator1到Authenticator2,则Authenticator2需从认证服务器或Authenticator1中得到安全密钥。
下述应用实例是SeGW重定向后,FAP入网认证流程之一,具体方案为:
每个Femto Cell有默认的安全网关,设为SeGW1,当Femto cell连接到非默认的安全网关(SeGW2)时,FAP要先通过默认的安全网关SeGW1入网,然后和FAP AAA进行EAP鉴权,鉴权成功后,FAP和FAP AAA都生成安全密钥(Security Keys)。
认证后,FAP AAA服务器重定向FAP所在范围的安全网关,即确定SeGW2的位置,并通知FAP。FAP获知SeGW2地址,发起连接和认证请求,SeGW2接收到请求后向FAP AAA服务器请求安全密钥。
FAP AAA服务器响应的安全密钥给SeGW2,FAP与SeGW2经过IKEv2协议认证建立安全联盟,IPSec隧道建立。
注:SeGW1与SeGW2可能在同一个NAP内,也可能在同一个NSP,不同的NAP内,也可能在不同的NSP内。
如图8所示,为本发明应用实例1的SeGW重定向入网认证信令交互示意图,图中框中的步骤为本发明新增步骤,后续各实例中的框标识具有相同含义,交互流程包括:
步骤801:FAP默认的SeGW1发送互联网密钥交换协议初始请求(IKE_SA_INIT request)消息给FAP,发起IKEv2请求。
步骤802:FAP回复IKE初始请求响应(IKE_SA_INIT response)消息。
步骤803:SeGW1发起EAP认证请求(IKE_AUTH request)消息告诉FAP要进行EAP认证。
步骤804:FAP响应请求,提供网络接入标识(Network Access Identifier,NAI)给Authenticator1(in SeGW1)。NAI指标识身份的统称,可能是物理地址或ID,或两者的结合等。
步骤805:EAP鉴权过程在FAP与鉴权服务器(in FAP AAA服务器)通过Authenticator1(in SeGW1)进行,EAP鉴权成功后,安全密钥在EAP认证两端生成(FAP和FAP AAA服务器)。
步骤806:EAP鉴权成功,在EAP认证两端的FAP和FAP AAA生成安全密钥(security keys),Authenticator1收到EAP鉴权成功消息和FAP AAA下发的安全密钥。
步骤807:因FAP目前不在默认的SeGW1范围内,FAP AAA服务器接收到FAP入网消息后会对FAP所在的SeGW2进行重定向。FAP AAA服务器将包括SeGW2地址的重定向消息发送给Authenticator1(in SeGW1)。
步骤808:Authenticator1(in SeGW1)中继续将步骤807的消息转发给FAP,FAP获知所在地的SeGW2地址。
步骤809:FAP重新发接入认证请求消息给Authenticator2(in SeGW2)。
步骤810:Authenticator2(in SeGW2)收到步骤809的消息后,请求FAPAAA服务器已生成的安全密钥。
步骤811:FAP AAA服务器下发安全密钥给SeGW2中的Authenticator2。
步骤812:SeGW2利用接收到的安全密钥经过算法运算计算出认证参数来用作后面的安全隧道的建立。
步骤813:在FAP与SeGW2之间利用IKEv2协议进行认证,建立IPSec隧道。
上述实例因为向FAP AAA服务器请求鉴权生成的安全密钥,并根据反馈的安全密钥与FAP建立安全隧道,所以克服了SeGW重定向入网认证的问题,从而提供了SeGW重定向过程的入网认证方案。
下述应用实例是SeGW重定向后,FAP入网认证流程之二,具体实现方案为:
每个Femto cell有默认的安全网关,设为SeGW1,当Femto cell连接到非默认的安全网关(SeGW2)时,FAP要先通过默认的安全网关SeGW1入网,然后和FAP AAA服务器进行EAP鉴权,鉴权成功后,FAP和FAP AAA服务器都生成安全密钥(Security Keys),且FAP AAA服务器和SeGW1保留生成的安全密钥。
认证后,FAP AAA服务器重定向FAP所在范围的安全网关,即确定SeGW2的位置,并通知FAP。FAP获知SeGW2地址,发起连接和认证请求,SeGW2接收到请求后向FAP默认网关SeGW1请求安全密钥。
利用SeGW1回应的安全密钥,FAP与SeGW2经过IKEv2协议认证建立安全联盟,IPSec隧道建立。
注:SeGW1与SeGW2可能在同一个NAP内,也可能在同一个NSP,不同的NAP内,也可能在不同的NSP内。
如图9所示,为本发明应用实例2的SeGW重定向入网认证信令交互示意图,包括:
步骤901:FAP默认的SeGW1发送互联网密钥交换协议初始请求(IKE_SA_INIT request)消息给FAP,发起IKEv2请求。
步骤902:FAP回复IKE初始请求响应(IKE_SA_INIT response)消息。
步骤903:SeGW1发起EAP认证请求(IKE_AUTH request)消息告诉FAP要进行EAP认证。
步骤904:FAP响应请求,提供NAI给Authenticator1(in SeGW1)。
步骤905:EAP鉴权过程在FAP与鉴权服务器(in FAP AAA服务器)通过Authenticator1(in SeGW1)进行,EAP鉴权成功后,安全密钥在EAP认证两端生成(FAP和FAP AAA服务器)。
步骤906:EAP鉴权成功,在EAP认证两端的FAP和FAP AAA生成安全密钥(security keys),Authenticator1收到EAP鉴权成功消息和FAP AAA下发的安全密钥。
步骤907:因FAP目前不在默认的SeGW1范围内,FAP AAA服务器接收到FAP入网消息后会对FAP所在的SeGW2进行重定向。FAP AAA服务器将包括SeGW2地址的重定向消息发送给Authenticator1(in SeGW1)。
步骤908:Authenticator1(in SeGW1)中继续将步骤907的消息转发给FAP,FAP获知所在地的SeGW2地址。
步骤909:FAP重新发接入认证请求消息给Authenticator2(in SeGW2)。
步骤910:Authenticator2(in SeGW2)向SeGW1中的Authenticator1,请求已生成的安全密钥。
步骤911:Authenticator1(in SeGW1)下发安全密钥给SeGW2中的Authenticator2。
步骤912:SeGW2利用接收到的安全密钥经过算法运算计算出认证参数来用作后面的安全隧道的建立。
步骤913:在FAP与SeGW2之间利用IKEv2协议进行认证,建立IPSec隧道。
上述实例因为向FAP的默认SeGW请求鉴权生成的安全密钥,并根据反馈的安全密钥与FAP建立安全隧道,所以克服了SeGW重定向入网认证的问题,从而提供了SeGW重定向过程的入网认证方案。
下述应用实例是FAP在拜访地入网时的认证流程之三,漫游是SeGW重定向中的一个场景,SeGW是属于不同的NSP,因此多了一个H-FAP AAA与V-FAP AAA交互的过程。具体方案为:
连接到拜访地的安全网关(SeGW2)时,FAP要先通过默认的安全网关SeGW1入网,然后和FAP AAA进行EAP鉴权,鉴权成功后,FAP和FAP AAA都生成密钥,且FAP AAA和SeGW1保留生成的安全密钥。
认证后,FAP AAA重定向FAP所在范围的安全网关,即确定SeGW2的位置,并通知FAP。FAP获知SeGW2地址,发起连接和认证请求,SeGW2向V-FAP AAA中继FAP的请求。V-FAP AAA与H-FAP AAA交互,请求相关安全密钥,H-FAP AAA响应请求,把安全密钥传给V-FAP AAA,V-FAPAAA再透传给SeGW2的Authenticator2。
SeGW2收到安全密钥后,FAP与SeGW2经过IKEv2协议认证建立安全联盟,IPSec隧道建立。
如图10所示,为本发明应用实例3的SeGW重定向入网认证信令交互示意图,包括:
步骤1001:FAP默认的SeGW1发送互联网密钥交换协议初始请求(IKE_SA_INIT request)消息给FAP,发起IKEv2请求。
步骤1002:FAP回复IKE初始请求响应(IKE_SA_INIT response)消息。
步骤1003:SeGW1发起EAP认证请求(IKE_AUTH request)消息告诉FAP要进行EAP认证。
步骤1004:FAP响应请求,提供NAI给Authenticator1(in SeGW1)。
步骤1005:EAP鉴权过程在FAP与鉴权服务器(in FAP AAA服务器)通过Authenticator1(in SeGW1)进行,EAP鉴权成功后,安全密钥在EAP认证两端生成(FAP和FAP AAA服务器)。
步骤1006:EAP鉴权成功,在EAP认证两端的FAP和FAP AAA生成安全密钥(security keys),Authenticator1收到EAP鉴权成功消息和FAP AAA下发的安全密钥。
步骤1007:因FAP目前不在默认的SeGW1范围内,FAP AAA服务器接收到FAP入网消息后会对FAP所在的SeGW2进行重定向。FAP AAA服务器将包括SeGW2地址的重定向消息发送给Authenticator1(in SeGW1)。
步骤1008:Authenticator1(in SeGW1)中继续将步骤1007的消息转发给FAP,FAP获知所在地的SeGW2地址。
步骤1009:FAP重新发接入认证请求消息给Authenticator2(in SeGW2)。
步骤1010:SeGW2向拜访地的FAP AAA服务器(V-FAP AAA服务器)请求已生成的安全密钥。
步骤1011:V-FAP AAA服务器接受到请求后,同归属地的FAP AAA服务器(H-FAP AAA服务器)交互,请求FAP相关的安全密钥。
步骤1012:H-FAP AAA服务器响应请求,下发安全密钥给V-FAP AAA服务器。
步骤1013:V-FAP AAA服务器透传安全密钥信息给Authenticator2(inSeGW2)。
步骤1014:SeGW2利用接收到的安全密钥经过算法运算计算出认证参数来用作后面的安全隧道的建立。
步骤1015:在FAP与SeGW2之间利用IKEv2协议进行认证,建立IPSec隧道。
上述实例因为经过FAP的V-FAP AAA服务器向FAP的H-FAP AAA服务器请求鉴权生成的安全密钥,并根据反馈的安全密钥与FAP建立安全隧道,所以克服了SeGW重定向入网认证的问题,从而提供了SeGW重定向过程的入网认证方案。
本发明上述实施例技术方案带来如下的有益效果:在FAP的网络架构下,提供了SeGW重定向过程的入网认证方案,解决了在SeGW重定向场景中FAP入网的认证授权以及安全密钥分发的问题,该重定向方案节省了接入点FAP的入网时间,在保证入网安全的情况下有利于提高整个网络的运行性能。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种入网认证方法,其特征在于,应用于接入点的入网认证装置发生重定向后,所述方法包括:
接收接入点发送的认证请求消息;
从认证服务器或入网认证装置获取所述接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;
根据所述安全密钥与所述接入点建立安全隧道。
2.如权利要求1所述方法,其特征在于,
所述接入点发送的认证请求消息包括扩展鉴权协议认证消息。
3.如权利要求1所述方法,其特征在于,所述的根据所述安全密钥与所述接入点建立安全隧道具体为:
根据所述安全密钥计算出认证参数以与所述接入点建立安全隧道。
4.如权利要求1所述方法,其特征在于,所述的获取所述接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥具体包括:
向所述认证服务器发送请求,接收所述认证服务器发送的所述安全密钥;或
向所述接入点的默认网关发送请求,接收所述接入点的默认网关发送的所述安全密钥;或
经过所述接入点的拜访地认证服务器向所述接入点的归属地认证服务器发送请求,接收所述接入点的归属地认证服务器经过所述接入点的拜访地认证服务器发送的所述安全密钥。
5.如权利要求1-4任意一项所述方法,其特征在于:
所述接入点包括Femto接入点FAP,所述入网认证装置包括安全网关,所述认证服务器包括FAP授权、验证和计费服务器。
6.一种入网认证装置,其特征在于,所述入网认证装置包括:
消息接收单元,用于接收接入点发送的认证请求消息;
文件获取单元,用于从认证服务器或入网认证装置获取所述接入点与认证服务器之间通过所述入网认证装置已经鉴权生成的安全密钥;
隧道建立单元,用于根据所述安全密钥与所述接入点建立安全隧道。
7.如权利要求6所述入网认证装置,其特征在于,
所述接入点发送的认证请求消息包括扩展鉴权协议认证消息。
8.如权利要求6所述入网认证装置,其特征在于,所述隧道建立单元包括:
计算模块,用于根据所述安全密钥计算出认证参数以与所述接入点建立安全隧道。
9.如权利要求6所述入网认证装置,其特征在于,所述文件获取单元包括:
第一获取模块,用于向所述认证服务器发送请求,接收所述认证服务器发送的所述安全密钥;或
第二获取模块,用于向所述接入点的默认网关发送请求,接收所述接入点的默认网关发送的所述安全密钥;或
第三获取模块,用于经过所述接入点的拜访地认证服务器向所述接入点的归属地认证服务器发送请求,接收所述接入点的归属地认证服务器经过所述接入点的拜访地认证服务器发送的所述安全密钥。
10.如权利要求6-9任意一项所述入网认证装置,其特征在于,所述接入点包括Femto接入点FAP,所述入网认证装置包括安全网关,所述认证服务器包括FAP授权、验证和计费服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910004511A CN101827066A (zh) | 2009-03-06 | 2009-03-06 | 一种入网认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910004511A CN101827066A (zh) | 2009-03-06 | 2009-03-06 | 一种入网认证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101827066A true CN101827066A (zh) | 2010-09-08 |
Family
ID=42690778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910004511A Pending CN101827066A (zh) | 2009-03-06 | 2009-03-06 | 一种入网认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101827066A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102612078A (zh) * | 2011-01-25 | 2012-07-25 | 电信科学技术研究院 | 一种无线接入***、装置及数据传输方法 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入*** |
| CN103024742A (zh) * | 2012-12-04 | 2013-04-03 | 广州杰赛科技股份有限公司 | 家庭基站网络安全接入方法、设备和*** |
| CN107431645A (zh) * | 2015-03-31 | 2017-12-01 | 阿费罗有限公司 | 用于自动无线网络认证的***和方法 |
| CN109104435A (zh) * | 2018-10-12 | 2018-12-28 | 中国科学院上海高等研究院 | 一种实现数据按序传送的方法 |
-
2009
- 2009-03-06 CN CN200910004511A patent/CN101827066A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102612078A (zh) * | 2011-01-25 | 2012-07-25 | 电信科学技术研究院 | 一种无线接入***、装置及数据传输方法 |
| WO2012100702A1 (zh) * | 2011-01-25 | 2012-08-02 | 电信科学技术研究院 | 一种无线接入***、装置及数据传输方法 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入*** |
| CN102625307B (zh) * | 2011-01-31 | 2014-07-09 | 电信科学技术研究院 | 一种无线网络接入*** |
| CN103024742A (zh) * | 2012-12-04 | 2013-04-03 | 广州杰赛科技股份有限公司 | 家庭基站网络安全接入方法、设备和*** |
| CN103024742B (zh) * | 2012-12-04 | 2015-09-02 | 广州杰赛科技股份有限公司 | 家庭基站网络安全接入方法、设备和*** |
| CN107431645A (zh) * | 2015-03-31 | 2017-12-01 | 阿费罗有限公司 | 用于自动无线网络认证的***和方法 |
| CN107431645B (zh) * | 2015-03-31 | 2021-04-16 | 阿费罗有限公司 | 用于自动无线网络认证的***和方法 |
| US10992672B2 (en) | 2015-03-31 | 2021-04-27 | Afero, Inc. | System and method for automatic wireless network authentication |
| US11683307B2 (en) | 2015-03-31 | 2023-06-20 | Afero, Inc. | System and method for automatic wireless network authentication |
| CN109104435A (zh) * | 2018-10-12 | 2018-12-28 | 中国科学院上海高等研究院 | 一种实现数据按序传送的方法 |
| CN109104435B (zh) * | 2018-10-12 | 2021-04-06 | 中国科学院上海高等研究院 | 一种实现数据按序传送的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2520772C (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
| US20180013568A1 (en) | Authentication Mechanism for 5G Technologies | |
| EP2547134B1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| CN104168669B (zh) | 用于使用蜂窝基础设施来管理小小区接入的方法和*** | |
| US8270382B2 (en) | System and method for securing mesh access points in a wireless mesh network, including rapid roaming | |
| US7451316B2 (en) | Method and system for pre-authentication | |
| KR101931601B1 (ko) | 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치 | |
| US9521149B2 (en) | Means and method for controlling network access in integrated communications networks | |
| US20130095789A1 (en) | Access point | |
| CN104285422A (zh) | 用于利用邻近服务的计算设备的安全通信 | |
| KR20090005971A (ko) | 이종망간 핸드오버시 빠른 보안연계 설정방법 | |
| CN101043706B (zh) | 终端进入空闲模式、网络重入的方法 | |
| CN103686709A (zh) | 一种无线网格网认证方法和*** | |
| US8661510B2 (en) | Topology based fast secured access | |
| KR20070051233A (ko) | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN100558187C (zh) | 一种无线接入方法及接入控制器 | |
| CN101827066A (zh) | 一种入网认证方法和装置 | |
| Wang et al. | Fast authentication for inter-domain handover | |
| US8443431B2 (en) | Authenticator relocation method for WiMAX system | |
| JP4468449B2 (ja) | セキュアハンドオーバをサポートする方法および装置 | |
| CN101321396B (zh) | 移动台的切换实现方法及构建安全接入服务网络的方法 | |
| Kassab et al. | Securing fast handover in WLANs: a ticket based proactive authentication scheme | |
| KR101131841B1 (ko) | 적응적 로밍 임계치 매개변수 설정 시스템 및 방법 | |
| KR101171311B1 (ko) | 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100908 |