CN101945388A - 无线漫游认证方法、无线漫游方法及其装置 - Google Patents
无线漫游认证方法、无线漫游方法及其装置 Download PDFInfo
- Publication number
- CN101945388A CN101945388A CN2010105058157A CN201010505815A CN101945388A CN 101945388 A CN101945388 A CN 101945388A CN 2010105058157 A CN2010105058157 A CN 2010105058157A CN 201010505815 A CN201010505815 A CN 201010505815A CN 101945388 A CN101945388 A CN 101945388A
- Authority
- CN
- China
- Prior art keywords
- authentication
- wireless client
- access device
- certificate server
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线漫游认证方法、无线漫游方法及其装置,该方法包括:认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据该标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;认证服务器接收到该无线客户端通过所述目标无线接入设备发送的认证请求消息后,若判断为允许对该无线客户端漫游到该目标无线接入设备进行预认证,则获取该无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。采用本发明,可实现快速无线漫游,提高快速无线漫游技术的通用性,以及节省***资源开销。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种无线漫游认证方法、无线漫游方法及其装置。
背景技术
当网络环境存在多个AP(Access Point,AP),且它们的微单元互相有一定范围的重合时,无线用户的客户端可以在整个WLAN(Wireless Local AreaNetworks,无线局域网)覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,该过程即为无线漫游过程。
WLAN架构中,通常包括AP(Access Point,接入点)、AC(AccessController,接入控制器)和Station(即符合802.11协议的无线客户端)。其中,AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换;AC主要用于管理和配置AP。
图1示出了一种WLAN中的无线漫游过程。其中,在初始状态时,Station通过AC1/AP1接入无线网络,通过802.1x认证上线。当Station通过扫描网络,选择AP2对应的SSID(Service Set Identifier,服务组合识别码)时,即欲从AP1移动到AP2时,需要与AC2/AP2重新连接,其经过以下几个过程:
步骤1、Station进行链路协商;
步骤2、Station进行802.1x认证;
步骤3、Station根据802.1x认证过程所获取的密钥,进行4次握手,生成会话密钥。其中,Station根据802.1x认证的主密钥,定时通过4次握手的交互过程生成短期的临时密钥,可以保证网络密钥的不断变化。
以上过程中,步骤2耗时最长,一般为一到数秒,其他过程耗时几十毫秒。
为了实现快速漫游,一种改进的方案是:AC1可以在Station发生移动前,预先向AC2发送802.1x认证密钥,因此以上过程缩减为两个步骤:
步骤1、Station进行链路协商;
步骤2、Station根据AC2保存的802.1x认证密钥,进行4次握手,生成会话密钥。
可见,无线漫游过程中,Station与新的AC连接时间可缩短为几十毫秒。
但是,Station从AP1向AP2切换前,并不知道AC2是否已经得到了AC1传过来的802.1x密钥。只有当Station向AP2发起连接过程中,才能知道AC2是否得到密钥,是否可以进行漫游。图2示出了Station向AP2发起连接过程的信令流程示意图,如图所示,该流程可包括:
步骤201,Station向AP2发起关联请求(Association Request),其中携带有802.1x密钥的ID;
步骤202,AP2通过密钥的ID查找对应的密钥;
步骤203,如果在步骤202中,AP2查找到对应密钥,则向Station返回关联响应(Association Response),其中携带有相同的802.1x密钥ID;
步骤204,如果在步骤202中,AP2未能查找到对应密钥,则向Station返回关联响应(Association Response),其中不携带任何802.1x密钥ID;
Station收到关联响应后,如果发现响应中携带有802.1x密钥ID,则直接进行4次握手(漫游),如果发现响应中没有携带802.1x密钥ID,则进行802.1x认证。
发明人在实现本发明的过程中,发现现有技术至少存在以下问题:
(1)虽然现有技术通过链路层的协议一定程度上解决了快速漫游的问题,但该解决办法不够通用。实际上,目前无线方面的链路层协议有很多,除了802.11,还有802.16,ZigBee,3GPP等,因此基于链路层协议解决快速漫游问题,会受制于协议类型或版本的限制,通用性差。
(2)该现有技术方案中,需要建立AC间的控制隧道,AC之间需要进行消息交互以便发送802.1x认证密钥,因此带来了额外的通信负担。
发明内容
本发明的目的在于提供一种无线漫游认证方法、无线漫游方法及其装置,用以解决现有快速无线漫游技术通用性差、***资源开销大的问题,为此,本发明采用如下技术方案:
一种无线漫游认证方法,包括以下步骤:
认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;
所述认证服务器接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
上述方法中,当所述认证服务器根据所述网络接入服务标识判断不允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证时,还包括:
所述认证服务器通过接入层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
上述方法中,所述认证服务器根据所述无线客户端的源无线接入设备的归属信息和所述网络接入服务标识对应的目标无线接入设备的归属信息,判断是否允许对所述无线客户端漫游到所述目标无线接入设备进行预认证。
上述方法中,当所述认证服务器根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,还包括:所述认证服务器将判断结果通过所述源无线接入设备发送给所述无线客户端。
上述方法中,认证服务器与无线接入设备之间交互的所述消息为AAA协议消息,无线接入设备与所述无线客户端之间交互的所述消息为扩展认证协议EAP消息。
一种认证服务器,包括:
预认证处理模块,用于接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;
认证处理模块,用于接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若所述预认证处理模块判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
上述认证服务器中,所述认证处理模块还用于,当所述预认证处理模块判断不允许对所述无线客户端漫游到所述目标无线接入设备进行预认证时,通过链路层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
上述认证服务器中,所述预认证处理模块还用于,当判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,将判断结果通过所述源无线接入设备发送给所述无线客户端。
一种无线漫游方法,包括以下步骤:
无线客户端通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;
所述无线客户端建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备向认证服务器发送认证请求消息;
所述无线客户端接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
上述方法中,所述无线客户端发送预认证请求消息之后,还包括:接收所述认证服务器通过所述源无线接入设备返回的是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证的响应消息,并在所述响应消息表明允许预认证时,发送所述认证请求消息。
上述方法中,若所述无线客户端接收到的所述响应消息表明拒绝预认证时,或者所述无线客户端在设定长时间内未接收到所述认证服务器发送的所述响应消息时,还包括:通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
上述方法中,所述无线客户端与无线接入设备之间交互的所述消息为EAP消息,无线接入设备与所述认证服务器之间交互的所述消息为AAA消息。
一种无线客户端设备,包括:
预认证请求模块,用于通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;
认证请求模块,用于在建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备向认证服务器发送认证请求消息;
认证信息接收模块,用于接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
上述无线客户端设备中,所述预认证请求模块还用于,在发送预认证请求消息之后,接收所述认证服务器通过源无线接入设备返回的是否允许对所述无线客户端进行预认证的响应消息;
所述认证请求模块具体用于,当所述预认证请求模块接收到的响应消息表明允许预认证时,发送所述认证请求消息。
上述无线客户端设备中,所述认证请求模块还用于,若所述预认证请求模块接收到的所述响应消息表明拒绝预认证时,或者所述预认证请求模块在设定长时间内未接收到所述认证服务器发送的所述响应消息时,通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
本发明的有益技术效果包括:
由于认证服务器在允许对无线客户端漫游到目标无线接入设备时,直接获取该无线客户端的授权信息或/和密钥,并分别发送给目标无线接入设备和该无线客户端,即在非接入层进行认证,因而与现有技术所采用的接入层认证技术相比,一方面,不依赖于接入层协议的类型和版本,即不同接入层协议的无线客户端和无线链路层设备都可以基于本发明实施例所提供的通用流程来实现无线漫游中的认证及切换;另一方面,由于本发明实施例不在接入层进行认证处理,因此与现有技术相比,不需要源无线接入设备将接入层的认证密钥发送给目标无线接入设备,因此节省了无线接入设备之间的信息交互,进而节省了网络资源开销;再一方面,由于认证服务器可直接获取无线客户端的授权信息或/和密钥,并发送给目标无线接入设备,从而直接认证通过,无需现有技术中的握手过程以及802.1x认证过程,进而提高了无线漫游的效率。
附图说明
图1为现有技术WLAN中的无线漫游示意图;
图2为现有技术Station向AP2发起连接过程的信令流程示意图;
图3为本发明实施例中预认证消息格式示意图;
图4为本发明实施例中WLAN无线漫游示意图;
图5为本发明实施例提供的WLAN无线漫游信令流程示意图;
图6为本发明实施例提供的认证服务器的结构示意图;
图7为本发明实施例提供的无线客户端的结构示意图。
具体实施方式
为了解决现有技术中存在的上述问题,本发明实施例提供了一种快速无线漫游技术方案。本发明实施例提供的技术方案,通过在EAP(扩展认证协议)层次引入预认证机制,解决快速漫游问题,使得解决快速漫游的方法更为通用,同时减轻AC间的通信负担。
下面结合附图对本发明实施例进行详细描述。
通常,无线客户端会以广播或单播等方式向周围发送Probe(探测)报文,以及接收周围其他AP返回的Probe Response(探测响应)报文。本实施例中,当AP接收到无线客户端发送的Probe报文后,要在返回的Probe Response报文中携带自己的网络接入服务标识(NAS-ID,其中NAS是Network AccessService的英文缩写),无线客户端将保留AP返回的Probe Response报文中携带的NAS-ID。根据现有协议,每个NAS-ID可对应相应的AP/AC,即对应一条AP-AC间的链路,根据NAS-ID,认证服务器可以获知对应的AP/AC。
此外,本发明实施例定义了一种预认证请求消息和一种认证请求消息以及相应的处理机制。其中,无线客户端在漫游开始前,向认证服务器发送携带有目标AP的NAS-ID的预认证请求消息,认证服务器能够根据该NAS-ID获知无线客户端的目标AP;在无线客户端建立与目标AP的无线链路后,通过该目标AP向认证服务器发送认证请求消息,认证服务器能够根据该认证请求消息直接获取该无线客户端的授权信息或/和密钥,并将授权信息或/和密钥分别发送该无线客户端和目标AP/AC,从而实现快速无线漫游。其中,在接入控制由AC实现的情况下,认证服务器将授权信息或/和密钥发送给AC,在接入控制由AP实现的情况下,认证服务器将授权信息或/和密钥发送给AP。本发明实施例中将AC或/和AP统称为无线接入设备。
上述预认证请求消息和认证请求消息及其响应消息的一种典型消息格式可如图3所示。其中:
Code可采用RFC5296,并可进行如下定义:
Code=5,表示Initiate,用于预认证请求消息或预认证响应消息;
Code=6,表示Finish,用于认证响应消息;
Type可进行如下定义:
Type=3,表示Pre-Early-auth,用于预认证请求消息或预认证响应消息;
Type=4,表示Post-Early-auth,用于认证请求消息。
下面以图1所示的场景为例,描述无线客户端从AP1漫游到AP2的过程。
首先,无线客户端在探测过程中接收到AP2返回的探测响应后,将其中携带的AP2的NAS-ID保存在本地,该NAS-ID标识出AP2-AC2间的链路。当无线客户端预计要向AP2漫游时,如图3所示,执行以下步骤:
步骤301,无线客户端通过当前的无线链路,即源链路(AP1->AC1)向认证服务器发送预认证请求消息,该预认证请求消息中携带有AP2的NAS-ID,以告知认证服务器自己要漫游到AP2。
步骤302,认证服务器通过源链路(AC1->AP1),向无线客户端返回预认证响应消息,其中携带有预认证结果信息。
预认证结果通常有两种情况,一种是允许进行预认证,即允许采用本发明实施例提供的预认证方式对该无线客户端随后发送的到该目标AP的认证请求进行快速认证处理;另一种是拒绝预认证,即拒绝采用本发明实施例提供的预认证方式对该无线客户端到该目标AP的认证请求进行快速认证处理。认证服务器进行预认证判决的依据可以包括:目标AP与源AP之间的关系,如信任关系、级别关系等。
在具体实现过程中,可以预先在认证服务器上配置AP相关信息以及预认证判决的策略信息,认证服务器接收到无线客户端发送的携带有NAS-ID的预认证请求后,确定出与该NAS-ID对应的目标AP,并获取该目标AP的相关信息,再根据预认证判决策略,以及目标AP和源AP的相关信息对无线客户端的预认证请求进行判决。其中,AP相关信息可以包括AP的归属信息,如可包括AP所属的公司及部门、AP的级别等;预认证判决的策略可以包括:如果源AP与目标AP同属一公司的不同部门则允许预认证,如果属于不同的公司则拒绝预认证;在属于同一公司的情况下,如果源AP所属部门的级别高于目标AP所属部门的级别则拒绝预认证,反之则允许预认证;如果目标AP信任源AP则允许预认证,反之拒绝预认证。以上仅列举部分预认证策略,本发明实施例对于采用何种预认证判决策略不进行限制。认证服务器通过预认证判决,可以加强无线漫游的安全性,并能够根据用户需要进行灵活的配置。
步骤303,无线客户端根据预认证响应消息,得知认证服务器允许其向AP2发起认证后,与AP2的链路层进行连接,在完成到AP2的无线连接之后,通过新建立的目标链路(AP2->AC2)向认证服务器发送认证请求消息。
步骤304,认证服务器接收到该无线客户端的认证请求消息后,直接对该无线客户端认证通过,即获取该无线客户端的相关授权信息或/和密钥,并通过目标链路(AC2->AP2)向无线客户端返回认证结果,其中可携带有获取到的密钥,还可以进一步包括授权信息。认证服务器还要将认证结果下发到AC2或AP2(如果接入控制由AC2实现则发送到AC2,否则发送到AP2),其中携带有该无线客户端的授权信息或/和密钥。
当无线客户端切换到AP2/AC2后,就可以使用接收到的密钥与AP2/AC2进行通信。其中,AC2/AP2可以根据该无线客户端的授权信息,对该无线客户端的网络资源使用权限进行控制,并可使用该密钥与该无线客户端进行通信。
上述流程中,无线客户端与AP之间交互的消息可采用EAP相关协议,AP/AC与认证服务器之间交互的消息可采用AAA(Authentication,Authorization,Accounting,即:认证、授权、计费)相关协议。
无线客户端在发送预认证请求消息之后,如果接收到认证服务器返回的预认证结果为“拒绝预认证”,则无线客户端在接收到该响应后可向认证服务器发起常规的认证过程,即接入层认证过程。如果无线客户端在发送预认证请求消息之后,在设定长的时间内没有接收到认证服务器的响应消息,则可以向认证服务器发起常规的认证过程。
在本发明的另一实施例中,与上述流程不同的是:认证服务器在接收到无线客户端发送的预认证请求后,不向无线客户端返回响应,可默认允许对该无线客户端进行预认证。
需要说明的是,上述流程中的无线客户端,以及无线链路层的相关设备(如AP或/和AC)所使用的接入层协议不限于802.1x,还可以包括其他协议,如802.16,ZigBee,3GPP等。
通过以上流程可以看出,由于认证服务器在对无线客户端的无线漫游进行认证时,在非接入层进行认证,因而与现有技术所采用的接入层认证技术相比,一方面,不依赖于接入层协议的类型和版本,即不同接入层协议的无线客户端和无线链路层设备都可以基于本发明实施例所提供的通用流程来实现无线漫游中的认证及切换;另一方面,由于本发明实施例不在接入层进行认证处理,因此与现有技术相比,不需要源AC将接入层的认证密钥发送给目标AC,因此节省了AC之间的信息交互,进而节省了网络资源开销;再一方面,由于认证服务器可直接获取无线客户端的授权信息或/和密钥,并发送给对应的AP/AC,从而直接认证通过,无需现有技术中的握手过程以及802.1x认证过程,进而提高了无线漫游的效率。
图5示出了上述流程的信令交互示意图,下面结合图4所示流程,以及图3所示的消息格式,对本发明实施例提供的无线漫游的信令流程进行描述。如图所示,该信令交互过程可包括:
步骤501~502、当无线客户端预计向AP2漫游时,通过当前连接的AP1、AC1向认证服务器发送预认证请求消息(图中未示出AC),其中携带有AP2的NAS-ID。该预认证请求消息的Code值为Initiate,Type值为Pre-Early-auth,采用EAP协议。
步骤503~504,认证服务器允许对该无线客户端进行预认证后,通过AC1、AP1向无线客户端返回预认证响应消息,其中携带结果码(Result Code),此处,该Result Code表示允许预认证。该预认证响应消息的Code值为Finish,Type值为Pre-Early-auth,采用AAA协议。
步骤505~506,无线客户端与AP2完成链路层连接后,通过AP2、AC2向认证服务器发送认证请求消息。该认证请求消息的Code值为Initiate,Type值为Post-Early-auth,采用EAP协议。
步骤507,认证服务器获取该无线客户端的网络访问授权信息和密钥,如认证证书,权限信息等。
步骤508,认证服务器向AP2(本流程中的AP2实现接入控制功能)发送AAA协议消息,其中携带有授权信息和密钥;
步骤509~510,认证服务器通过AC2、AP2向无线客户端返回认证成功消息,其中携带有密钥。该预认证响应消息的Code值为Finish,Type值为Post-Early-auth,采用AAA协议。
基于相同的技术构思,本发明实施例还提供了一种认证服务器和一种无线客户端,可应用于本发明实施例描述的上述流程。
如图6所示,本发明实施例提供的认证服务器可包括:
预认证处理模块601,用于接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;
认证处理模块602,用于接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若预认证处理模块601判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
上述认证服务器中,认证处理模块602可还用于,当预认证处理模块601判断不允许对所述无线客户端漫游到所述目标无线接入设备进行预认证时,通过链路层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
上述认证服务器中,预认证处理模块601还用于,当判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,将判断结果通过所述源无线接入设备发送给所述无线客户端。
如图7所示,本发明实施例提供的无线客户端可包括:
预认证请求模块701,用于通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;
认证请求模块702,用于在建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备向认证服务器发送认证请求消息;
认证信息接收模块703,用于接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
上述无线客户端设备中,预认证请求模块701还用于,在发送预认证请求消息之后,接收所述认证服务器通过源无线接入设备返回的是否允许对所述无线客户端进行预认证的响应消息;认证请求模块702可具体用于,当预认证请求模块701接收到的响应消息表明允许预认证时,发送所述认证请求消息。
上述无线客户端设备中,认证请求模块702还用于,若预认证请求模块701接收到的所述响应消息表明拒绝预认证时,或者预认证请求模块701在设定长时间内未接收到所述认证服务器发送的所述响应消息时,通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
综上所述,本发明实施例通过EAP预认证的方法,解决了无线客户端的快速漫游切换问题。因为是在EAP认证协议的层次上做出的改进,因此方法对链路层的协议没有依赖关系,同时也可以适用于其他无线链路层协议。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (15)
1.一种无线漫游认证方法,其特征在于,包括以下步骤:
认证服务器接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;
所述认证服务器接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
2.如权利要求1所述的方法,其特征在于,当所述认证服务器根据所述网络接入服务标识判断不允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证时,还包括:
所述认证服务器通过接入层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
3.如权利要求1或2所述的方法,其特征在于,所述认证服务器根据所述无线客户端的源无线接入设备的归属信息和所述网络接入服务标识对应的目标无线接入设备的归属信息,判断是否允许对所述无线客户端漫游到所述目标无线接入设备进行预认证。
4.如权利要求1所述的方法,其特征在于,当所述认证服务器根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,还包括:
所述认证服务器将判断结果通过所述源无线接入设备发送给所述无线客户端。
5.如权利要求1、2或4所述的方法,其特征在于,认证服务器与无线接入设备之间交互的所述消息为AAA协议消息,无线接入设备与所述无线客户端之间交互的所述消息为扩展认证协议EAP消息。
6.一种认证服务器,其特征在于,包括:
预认证处理模块,用于接收无线客户端通过源无线接入设备发送的预认证请求消息,获取其中携带的目标无线接入设备所对应的网络接入服务标识,并根据所述网络接入服务标识判断是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证;
认证处理模块,用于接收到所述无线客户端通过所述目标无线接入设备发送的认证请求消息后,若所述预认证处理模块判断为允许对所述无线客户端漫游到所述目标无线接入设备进行预认证,则获取所述无线客户端的授权信息或/和密钥,并将获取到的授权信息或/和密钥分别发送给所述客户端和所述目标无线接入设备。
7.如权利要求6所述的认证服务器,其特征在于,所述认证处理模块还用于,当所述预认证处理模块判断不允许对所述无线客户端漫游到所述目标无线接入设备进行预认证时,通过链路层对所述无线客户端漫游到对应的目标无线接入设备进行认证处理。
8.如权利要求6或7所述的认证服务器,其特征在于,所述预认证处理模块还用于,当判断是否允许对所述无线客户端漫游到对应的目标无线接入设备进行预认证之后,将判断结果通过所述源无线接入设备发送给所述无线客户端。
9.一种无线漫游方法,其特征在于,包括以下步骤:
无线客户端通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;
所述无线客户端建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备向认证服务器发送认证请求消息;
所述无线客户端接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
10.如权利要求9所述的方法,其特征在于,所述无线客户端发送预认证请求消息之后,还包括:
接收所述认证服务器通过所述源无线接入设备返回的是否允许对所述无线客户端漫游到对应的目标接入设备进行预认证的响应消息,并在所述响应消息表明允许预认证时,发送所述认证请求消息。
11.如权利要求10所述的方法,其特征在于,若所述无线客户端接收到的所述响应消息表明拒绝预认证时,或者所述无线客户端在设定长时间内未接收到所述认证服务器发送的所述响应消息时,还包括:
通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
12.如权利要求9、10或11所述的方法,其特征在于,所述无线客户端与无线接入设备之间交互的所述消息为EAP消息,无线接入设备与所述认证服务器之间交互的所述消息为AAA消息。
13.一种无线客户端设备,其特征在于,包括:
预认证请求模块,用于通过源无线接入设备向认证服务器发送预认证请求消息,所述预认证请求消息中携带有目标无线接入设备所对应的网络接入服务标识;
认证请求模块,用于在建立到所述目标无线接入设备的链路后,通过所述目标无线接入设备向认证服务器发送认证请求消息;
认证信息接收模块,用于接收所述认证服务器返回的授权信息或/和密钥,其中,所述认证服务器在根据所述网络接入服务标识判断允许对所述无线客户端漫游到对应的目标接入设备进行预认证时,获取并返回所述授权信息或/和密钥。
14.如权利要求13所述的无线客户端设备,其特征在于,
所述预认证请求模块还用于,在发送预认证请求消息之后,接收所述认证服务器通过源无线接入设备返回的是否允许对所述无线客户端进行预认证的响应消息;
所述认证请求模块具体用于,当所述预认证请求模块接收到的响应消息表明允许预认证时,发送所述认证请求消息。
15.如权利要求13所述的无线客户端设备,其特征在于,所述认证请求模块还用于,若所述预认证请求模块接收到的所述响应消息表明拒绝预认证时,或者所述预认证请求模块在设定长时间内未接收到所述认证服务器发送的所述响应消息时,通过目标无线接入设备向所述认证服务器发起接入层的认证过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105058157A CN101945388A (zh) | 2010-10-14 | 2010-10-14 | 无线漫游认证方法、无线漫游方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105058157A CN101945388A (zh) | 2010-10-14 | 2010-10-14 | 无线漫游认证方法、无线漫游方法及其装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101945388A true CN101945388A (zh) | 2011-01-12 |
Family
ID=43437082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105058157A Pending CN101945388A (zh) | 2010-10-14 | 2010-10-14 | 无线漫游认证方法、无线漫游方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101945388A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997479A (zh) * | 2013-02-17 | 2014-08-20 | 杭州华三通信技术有限公司 | 一种非对称服务ip代理方法和设备 |
| CN104333855A (zh) * | 2014-10-31 | 2015-02-04 | 北京思特奇信息技术股份有限公司 | 一种无线宽带认证漫游转发的方法及*** |
| CN104685963A (zh) * | 2012-07-12 | 2015-06-03 | 柏思科技有限公司 | 管理网络装置的操作 |
| CN105007576A (zh) * | 2015-07-06 | 2015-10-28 | 苏州畅途网络科技有限公司 | 一种漫游装置及其实现方法 |
| CN105939518A (zh) * | 2016-06-30 | 2016-09-14 | 上海斐讯数据通信技术有限公司 | 一种访问控制方法和网络接入设备 |
| CN107820246A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 用户认证的方法、装置和*** |
| CN107864508A (zh) * | 2017-12-26 | 2018-03-30 | 杭州迪普科技股份有限公司 | 一种无线漫游认证状态的预同步方法和装置 |
| US10204073B2 (en) | 2012-07-12 | 2019-02-12 | Pismo Labs Technology Limited | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device |
| CN110248359A (zh) * | 2018-03-07 | 2019-09-17 | ***通信有限公司研究院 | 一种加密方案、终端、网元设备及计算机存储介质 |
| WO2020147139A1 (zh) * | 2019-01-16 | 2020-07-23 | 展讯通信(上海)有限公司 | 无线漫游方法、接入点装置以及移动台 |
| CN113194472A (zh) * | 2021-03-31 | 2021-07-30 | 新华三技术有限公司成都分公司 | Agv无线接入方法及车载设备、网络设备、存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976309A (zh) * | 2006-12-22 | 2007-06-06 | 杭州华为三康技术有限公司 | 无线用户接入网络服务的方法、接入控制器和服务器 |
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
| CN101552985A (zh) * | 2009-05-05 | 2009-10-07 | 广州杰赛科技股份有限公司 | 一种移动通信***切换的预认证方法 |
-
2010
- 2010-10-14 CN CN2010105058157A patent/CN101945388A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976309A (zh) * | 2006-12-22 | 2007-06-06 | 杭州华为三康技术有限公司 | 无线用户接入网络服务的方法、接入控制器和服务器 |
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
| CN101552985A (zh) * | 2009-05-05 | 2009-10-07 | 广州杰赛科技股份有限公司 | 一种移动通信***切换的预认证方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104685963A (zh) * | 2012-07-12 | 2015-06-03 | 柏思科技有限公司 | 管理网络装置的操作 |
| US10657093B2 (en) | 2012-07-12 | 2020-05-19 | Pismo Labs Technology Limited | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device |
| CN104685963B (zh) * | 2012-07-12 | 2019-04-12 | 柏思科技有限公司 | 管理网络装置的操作 |
| US10204073B2 (en) | 2012-07-12 | 2019-02-12 | Pismo Labs Technology Limited | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device |
| CN103997479B (zh) * | 2013-02-17 | 2018-06-15 | 新华三技术有限公司 | 一种非对称服务ip代理方法和设备 |
| WO2014124593A1 (en) * | 2013-02-17 | 2014-08-21 | Hangzhou H3C Technologies Co., Ltd. | Network session control |
| CN103997479A (zh) * | 2013-02-17 | 2014-08-20 | 杭州华三通信技术有限公司 | 一种非对称服务ip代理方法和设备 |
| CN104333855A (zh) * | 2014-10-31 | 2015-02-04 | 北京思特奇信息技术股份有限公司 | 一种无线宽带认证漫游转发的方法及*** |
| CN104333855B (zh) * | 2014-10-31 | 2018-04-27 | 北京思特奇信息技术股份有限公司 | 一种无线宽带认证漫游转发的方法及*** |
| CN105007576A (zh) * | 2015-07-06 | 2015-10-28 | 苏州畅途网络科技有限公司 | 一种漫游装置及其实现方法 |
| CN105939518A (zh) * | 2016-06-30 | 2016-09-14 | 上海斐讯数据通信技术有限公司 | 一种访问控制方法和网络接入设备 |
| CN107820246A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 用户认证的方法、装置和*** |
| CN107820246B (zh) * | 2016-09-14 | 2020-07-21 | 华为技术有限公司 | 用户认证的方法、装置和*** |
| CN107864508A (zh) * | 2017-12-26 | 2018-03-30 | 杭州迪普科技股份有限公司 | 一种无线漫游认证状态的预同步方法和装置 |
| CN110248359A (zh) * | 2018-03-07 | 2019-09-17 | ***通信有限公司研究院 | 一种加密方案、终端、网元设备及计算机存储介质 |
| WO2020147139A1 (zh) * | 2019-01-16 | 2020-07-23 | 展讯通信(上海)有限公司 | 无线漫游方法、接入点装置以及移动台 |
| CN113194472A (zh) * | 2021-03-31 | 2021-07-30 | 新华三技术有限公司成都分公司 | Agv无线接入方法及车载设备、网络设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101945388A (zh) | 无线漫游认证方法、无线漫游方法及其装置 | |
| CN101577909B (zh) | 非3gpp接入***信任类型的获取方法、***及装置 | |
| WO2019062384A1 (zh) | 一种公网用户接入专网的实现方法及设备 | |
| CN102111766B (zh) | 网络接入方法、装置及*** | |
| CN101983517B (zh) | 演进分组***的非3gpp接入的安全性 | |
| EP2584802B1 (en) | Methods and apparatuses for security control in a mobile communication system supporting emergency calls | |
| CN110035037B (zh) | 安全认证方法、相关设备及*** | |
| EP1741308A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| CN113260016B (zh) | 多模终端接入控制方法、装置、电子设备及存储介质 | |
| CN104836787A (zh) | 用于认证客户端站点的***和方法 | |
| JP2018523950A (ja) | 直接通信キーの確立のための方法および装置 | |
| CN102869014A (zh) | 终端和数据通信方法 | |
| CN101785343B (zh) | 用于快速转换资源协商的方法、***和装置 | |
| CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN103391543A (zh) | 一种实现漫游切换的方法和装置 | |
| KR101460766B1 (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、***及设备 | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和*** | |
| US10959097B1 (en) | Method and system for accessing private network services | |
| US11109219B2 (en) | Mobile terminal, network node server, method and computer program | |
| CN103415044A (zh) | 一种WLAN网络中3GPP用户获取QoS签约的方法 | |
| CN112449345B (zh) | 一种安全通信方法和设备 | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110112 |