终端认证方法、装置及系统制造方法及图纸

本发明专利技术公开了一种终端认证方法、装置及系统，属于通讯技术领域，适应于无USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端。该终端认证方法包括：终端向接入网关发起初始附着请求；根据初始附着请求，接入网关向3GPP AAA服务器发送DER消息；3GPP AAA服务器接收DER消息，并确定DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时，则终端为EAP-TLS接入；以及3GPP AAA服务器通过EAP-TLS交互对终端进行鉴权认证。由此可见，本实施例的终端认证方法，能够使USIM/SIM卡终端或者无法获取USIM/SIM卡信息的终端接入LTE网络，并使用VoWiFi业务，提高了用户体验。

【技术实现步骤摘要】
终端认证方法、装置及系统
本专利技术涉及通讯
，尤其涉及一种终端认证方法、装置及系统。
技术介绍
随着网络技术的快速发展，用户的通信需求不断从固定语音业务迁移到移动通信业务。当前的移动通信发展到第四代长期演进(TheFourthGenerationLongTermEvolution，4GLTE)网络，用户终端可以通过无线局域网络(WirelessLocalAreaNetworks，WLAN)接入，以实现WiFi网络语音(VoWiFi)业务，例如VoWiFi电话等。在现有技术中，终端以WLAN的方式接入LTE网络，通过全球用户识别卡/客户识别卡(UniversalSubscriberIdentityModule/SubscriberIdentityModule，USIM/SIM)进行可扩展认证协议-认证与密钥协商协议(ExtensibleAuthenticationProtocol-AuthenticationandKeyAgreement，EAP-AKA)或者EAP-AKA’鉴权认证的方式接入网络。其中，EAP-AKA是基于EAP协议的用于第三带移动通信的鉴权认证接入方法，EAP-AKA’是对EAP-AKA认证进行了修正后的一种新的认证方式。然而，上述两种鉴权认证方式都需要终端具有USIM/SIM卡才能够实现，对于无USIM/SIM卡的终端(例如PAD、PC等)、由于权限或者系统限制等原因无法获取USIM/SIM卡信息的终端来说，则无法接入LTE网络，也不能使用VoWiFi业务，给用户的使用带来不便。
技术实现思路
本专利技术的主要目的在于提出一种终端认证方法、装置及系统，旨在解决现有技术中的无卡终端或者无法获取USIM/SIM卡信息类型的终端无法接入LTE网络的问题。为实现上述目的，本专利技术提供的一种终端认证方法，所述方法包括：终端向接入网关发起初始附着请求；根据所述初始附着请求，所述接入网关向第三代协作组验证、授权和记账3GPPAAA服务器发送DER消息；所述3GPPAAA服务器接收所述DER消息，并确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时，则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入；以及所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。可选地，所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证，包括：所述3GPPAAA服务器接收到所述接入网关发送的握手消息后，返回服务端服证书给所述接入网关；所述终端接收所述接入网关发送的所述服务端证书，并对所述服务端证书进行验证，当对所述服务端证书验证通过时，所述终端将终端证书发送给所述接入网关；所述3GPPAAA服务器接收并校验所述接入网关发送的所述终端证书，当校验通过时，将握手完成消息发送给所述接入网关，以完成对所述终端的认证。可选地，所述方法还包括：所述3GPPAAA服务器接收所述接入网关发送的确认收到握手完成消息的DER消息后，向演进分组核心网-归属用户服务器EPC-HSS服务器发送MAR消息和SAR消息，以获取鉴权数据和用户数据并进行授权检查，在授权检查成功时，向所述接入网关发送授权检查成功的DEA消息，完成所述终端和所述3GPPAAA服务器之间的授权。可选地，DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符，当所述前缀为预设字符时，则其鉴权方式为EAP-TLS，其中，所述预设字符为英文字符。可选地，所述终端安装有终端证书，所述终端证书中至少包含所述终端进行通信业务的IMSI信息，所述3GPPAAA服务器安装有服务端证书。此外，为实现上述目的，本专利技术还提出一种终端认证方法，应用于无无全球用户识别卡/客户识别卡USIM/SIM终端或者无法获取USIM/SIM卡信息的终端中，所述方法包括：发送初始附着请求给接入网关，以通过所述接入网关发送DER消息给3GPPAAA服务器；当所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时，则接收所述接入网关转发的服务端证书；对所述服务端证书进行验证；当所述服务端证书验证通过时，发送终端证书给所述接入网关，以通过所述接入网关发送所述终端证书给3GPPAAA服务器进行校验。可选地，所述终端证书中至少包含所述终端进行通信业务的IMSI信息。此外，为实现上述目的，本专利技术还提出一种终端认证方法，应用于3GPPAAA服务器中，所述方法包括：接收来自接入网关的DER消息；确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时，则所述终端为EAP-TLS接入，并通过EAP-TLS交互对所述终端进行鉴权认证。可选地，所述通过EAP-TLS交互对所述终端进行鉴权认证，包括：接收来自所述接入网关的握手消息；发送服务端证书给所述接入网关，以使所述终端对所述服务端证书进行验证；当所述终端对所述服务端证书验证通过时，则接收来自所述接入网关的终端证书；校验所述终端证书；当校验通过时，发送握手完成消息给所述接入网关，以完成对所述终端的认证。可选地，所述方法还包括：接收来自所述接入网关的确认收到握手完成消息的DER消息；发送MAR消息和SAR消息给EPC-HSS服务器，以获取鉴权数据和用户数据并进行授权检查；当对所述鉴权数据和所述用户数据的授权检查成功时，则发送授权检查成功的DEA消息给所述接入网关。此外，为实现上述目的，本专利技术还提出一种终端认证系统，所述系统包括终端、接入网关及3GPPAAA服务器，其中，所述终端，用于向所述接入网关发起初始附着请求；所述接入网关，用于根据所述初始附着请求，向所述3GPPAAA服务器发送DER消息；所述3GPPAAA服务器，用于接收所述DER消息，并确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时，则所述终端为EAP-TLS接入，并通过EAP-TLS交互对所述终端进行鉴权认证。可选地，所述3GPPAAA服务器，还用于接收到所述接入网关发送的握手消息后，返回服务端服证书给所述接入网关；所述终端，还用于接收所述接入网关发送的所述服务端证书，并对所述服务端证书进行验证，当对所述服务端证书验证通过后，将终端证书发送给所述接入网关；所述3GPPAAA服务器，还用于接收并校验所述接入网关发送的所述终端证书，当校验成功时，将握手完成消息发送给所述接入网关，以完成对所述终端的认证。可选地，所述系统还包括EPC-HSS服务器，其中：所述EPC-HSS服务器，用于接收所述3GPPAAA服务器发送的MAR消息和SAR消息，并向所述3GPPAAA服务器发送鉴权数据和用户数据；所述3GPPAAA服务器，还用于根据所述鉴权数据和用户数据对所述终端进行授权检查，在授权检查成功时，向接入网关发送授权检查成功的DEA消息，完成所述终端和所述3GPPAAA服务器之间的授权。可选地，DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符，当所述前缀为预设字符时，则其鉴权方式为EAP-TLS，其中，所述预设字符为英文字符。可选地，所述终端安装有终端证书，所述终端证书中至少包含所述终端进行通信业务的IMSI信息，所本文档来自技高网...

【技术保护点】
一种终端认证方法，其特征在于，所述方法包括：终端向接入网关发起初始附着请求；根据所述初始附着请求，所述接入网关向第三代协作组验证、授权和记账3GPP AAA服务器发送DER消息；所述3GPP AAA服务器接收所述DER消息，并检查所述DER消息中的EAP‑PAYLOAD属性中的EAP‑IDENTITY前缀是否为预设的字符时，则所述终端为可扩展认证协议‑安全传输层协议EAP‑TLS接入；以及所述3GPP AAA服务器通过EAP‑TLS交互对所述终端进行鉴权认证。

【技术特征摘要】
1.一种终端认证方法，其特征在于，所述方法包括：终端向接入网关发起初始附着请求；根据所述初始附着请求，所述接入网关向第三代协作组验证、授权和记账3GPPAAA服务器发送DER消息；所述3GPPAAA服务器接收所述DER消息，并检查所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀是否为预设的字符时，则所述终端为可扩展认证协议-安全传输层协议EAP-TLS接入；以及所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证。2.根据权利要求1所述的终端认证方法，其特征在于，所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证，包括：所述3GPPAAA服务器接收到所述接入网关发送的握手消息后，返回服务端服证书给所述接入网关；所述终端接收所述接入网关发送的所述服务端证书，并对所述服务端证书进行验证，当对所述服务端证书验证通过时，所述终端将终端证书发送给所述接入网关；以及所述3GPPAAA服务器接收并校验所述接入网关发送的所述终端证书，当校验通过时，将握手完成消息发送给所述接入网关，以完成对所述终端的认证。3.根据权利要求2所述的终端认证方法，其特征在于，所述方法还包括：所述3GPPAAA服务器接收所述接入网关发送的确认收到握手完成消息的DER消息后，向演进分组核心网-归属用户服务器EPC-HSS服务器发送MAR消息和SAR消息，以获取鉴权数据和用户数据并进行授权检查，在授权检查成功时，向所述接入网关发送授权检查成功的DEA消息，完成所述终端和所述3GPPAAA服务器之间的授权。4.根据权利要求1所述的终端认证方法，其特征在于，DER消息中的EAP-IDENTITY前缀经扩展后使用英文字符，当所述前缀为预设字符时，则其鉴权方式为EAP-TLS，其中，所述预设字符为英文字符。5.根据权利要求1所述的终端认证方法，其特征在于，所述终端安装有终端证书，所述终端证书中至少包含所述终端进行通信业务的IMSI信息，所述3GPPAAA服务器安装有服务端证书。6.一种终端认证方法，其特征在于，应用于无全球用户识别卡/客户识别卡USIM/SIM的终端或者无法获取USIM/SIM卡信息的终端中，所述方法包括：发送初始附着请求给接入网关，以通过所述接入网关发送DER消息给3GPPAAA服务器；当所述3GPPAAA服务器通过EAP-TLS交互对所述终端进行鉴权认证时，则接收所述接入网关转发的服务端证书；对所述服务端证书进行验证；以及当所述服务端证书验证通过时，发送终端证书给所述接入网关，以通过所述接入网关发送所述终端证书给3GPPAAA服务器进行校验。7.根据权利要求6所述的终端认证方法，其特征在于，所述终端证书中至少包含所述终端进行通信业务的IMSI信息。8.一种终端认证方法，应用于3GPPAAA服务器中，其特征在于，所述方法包括：接收来自接入网关的DER消息；确定所述DER消息中的EAP-PAYLOAD属性中的EAP-IDENTITY前缀为预设的字符时则所述终端为EAP-TLS接入，并通过EAP-TLS交互对所述终端进行鉴权认证。9.根据权利要求8所述的终端认证方法，其特征在于，所述通过EAP-TLS交互对所述终端进行鉴权认证，包括：接收来自所述接入网关的握手消息；发送服务端证书给所述接入网关，以使所述终端对所述服务端证书进行验证；当所述终端对所述服务端证书验证通过时，则接收来自所述接入网关的终端证书；校验所述终端证书；以及当校验通过时，发送握手完成消息给所述接入网关，以完成对所述终端的认证。10.根据权利要求8或9所述的终端认证方法，其特征在于，所述方法还包括：接收来自所述接入网关的确认收到握手完成消息的DER消息；发送MAR消息和SAR消息给EPC-HSS服务器，以获取鉴权数据和用户数据并进行授权检查；以及当对所述鉴权数据和所述用户数据的授权检查成功时，则发送授权检查成功的DEA消息给所述接入网关。11.一种终端认证系统，其特征在于，所述系统包括：终端、接入网关及3GPPAAA服务器，其中；所...

【专利技术属性】
技术研发人员：范红伟，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44