认证方法、用户设备、网络实体以及业务侧服务器技术

技术编号:18951265 阅读:34 留言:0更新日期:2018-09-15 13:27
本发明专利技术实施例提供了认证方法、用户设备、网络实体以及业务侧服务器。首先,网络实体向用户设备发送认证请求消息,认证请求消息中携带有网络实体所在域的域名;用户设备根据域名,检测自身是否存有与域名对应的第一密钥,若未检测到,向网络实体发送认证应答消息,使网络实体生成包含认证应答信息的AAA消息并将AAA消息发送给业务侧服务器,认证应答信息中包括第一标识或第二标识中的一种及域名;业务侧服务器根据第一标识或第二标识中的一种及域名,生成第一密钥和第三密钥;业务侧服务器发送包括第一密钥和第三密钥的AAA应答消息给网络实体。本发明专利技术技术方案通过将域名放在认证应答信息,解决了现有技术快速认证过程中需要扩展AAA消息的问题。

Authentication method, user equipment, network entity and service side server

The embodiment of the invention provides an authentication method, a user device, a network entity and a service side server. Firstly, the network entity sends the authentication request message to the user equipment, and the authentication request message carries the domain name of the domain in which the network entity is located; according to the domain name, the user equipment detects whether it has the first key corresponding to the domain name, and if not, sends the authentication reply message to the network entity so that the network entity generates the inclusion. Authentication reply information AAA message and send AAA message to the service side server, authentication reply information includes one of the first identity or the second identity and the domain name; the service side server generates the first key and the third key according to one of the first identity or the second identity and the domain name; the service side server sends including the first key and the third key. A AAA reply message of a key and third key to a network entity. The technical scheme of the invention solves the problem that the AAA message needs to be extended in the rapid authentication process of the prior art by placing the domain name in the authentication reply information.

【技术实现步骤摘要】
认证方法、用户设备、网络实体以及业务侧服务器
本专利技术涉及通信
,尤其涉及认证方法、用户设备、网络实体以及业务侧服务器。
技术介绍
MulteFire是一种新的基于LTE(LongTermEvolution,长期演进)的无线接入技术,其将LTE扩展到非授权频谱中,物理层引入类似Wi-Fi的载波监听技术的先听后说(LBT,ListenBeforeTalk)机制,以实现与非授权频段设备公平竞争空口资源。同时MulteFire还引入了新的网络架构,提供了一种统一规划和自组织的中立主机(NH,NeutralHost)网络,服务提供商、设备供应商或用户都可以参与网络部署,任何人部署的网络都可服务于各种服务提供商,包括互联网服务提供商、有限电视、移动网络运营商、企业及公共场所服务提供者,并且可以向没有SIM卡的终端提供鉴权和网络接入。在MulteFire的NH网络模式中,MF接入点(AP,AccessPoint)连接到NH核心网(CN,CoreNetwork),NHCN类似3GPP的LTE核心网,包括NH移动性管理单元(MME,MobilityManagementElement)、NH网关(GW,Gateway)和NH认证、授权和计费(AAA,AuthenticationAuthorizationAccounting)服务器。NHCN为MulteFire引入的统一规划和自组织的中立网络,接入NH网络的UE(UserEquipmen,用户设备)由AAA服务器通过可扩展认证协议(EAP,ExtensiveAuthenticationProtocol)进行鉴权和认证。NHN网具有以下特性:网络提供商与业务提供商分离,同一个网络可以支持一个或多个业务提供商;此外,同一业务提供商可以使用一个网络提供商或者多个网络提供商,例如,一个业务提供商同时使用两个相邻或者覆盖有重叠的网络为用户提供业务。另外,NHN网络是一种统一规划和自组织的网络,且NHN网络占用的是非授权频段资源,为了保证UE与NHN网络通信的安全性以及稳定性,UE在接入NHN网络需要使用EAP方式进行认证;当UE有一个网络移动到另外一个网络时,需要使用EAP重新认证。通常NHN支持EAP-AKA'、EAP-TLS和EAP-TTLS的3种EAP认证方式。当PSP为3GPP时,使用EAP-AKA'认证流程,即NHN的LocalAAAproxy通过AAA接口与3GPPAAA交互;当PSP的AAAServer使用的是EAP-TLSServer时,使用EAP-TLS认证流程;当PSP的AAAServer使用的是EAP-TTLSServer时,使用EAP-TTLSServer认证流程。常规的EAP的认证流程包括标识请求、EAPMethodexchange、密钥生成及密钥由EAPServer下发到EAPAuthenticator。在认证流程中,Identity可以唯一标识UE。此Identity可以是标识,也可以是与PSP之前协商好的用于认证的证书等。此外,为了简化认证流程,基于EAPAuthentication的拓展出另一种认证方法Re-Authentication,该方法在Peer(用户设备)初始接入NHN网络时,Peer向LocalAAAServer发送EAP应答消息,然后,LocalAAAServer在AAA消息中携带其所在的域的域名以及为LocalAAAServer分配密钥的请求信息,并将AAA消息发送给HomeEAPServer(业务侧服务器),然后,Peer、LocalAAAServer和HomeEAPServer等经过EAPMethodexchange流程生成为LocalAAAServer分配密钥以及对应的根密钥和完整性认证密,HomeEAPServer的密钥以及对应的根密钥和完整性认证密等密钥,其中,为LocalAAAServer分配密钥是由LocalAAAServer所在的域的域名以及HomeEAPServer的密钥生成的。当Peer再次附着时,使用Re-authentication流程,发起EAP验证时,Peer和LocalAAAServer可以使用之前生成的根密钥生成用于保证通信安全的密钥,不需要在执行EAPMethodexchange流程,简化认证流程。在实现Re-Authentication的认证流程中,需要对AAA协议进行拓展,使得Re-Authentication的认证流程实现困难。
技术实现思路
有鉴于此,本专利技术实施例提供了一种认证方法、用户设备、网络实体以及业务侧服务器,用于解决现有技术在实现简化认证流程过程中,需要扩展AAA消息的问题。一方面,本专利技术实施例提供了一种认证方法,应用于用户设备中,包括:接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;根据所述域名,检测自身是否存有与所述域名对应的第一密钥;若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若未检测到与所述域名对应的第一密钥,所述方法还包括:检测自身是否存有与所述当前业务侧服务器对应的第二密钥;若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息包括所述第一标识以及所述域名。如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,若未检测到与所述域名对应的第一密钥,所述方法还包括:检测是否存有与所述当前业务侧服务器对应的第二密钥;若未检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息包括所述第二标识以及所述域名。如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述域名,检测是否存有与所述域名对应的第一密钥包括:检测是否存有所述第一密钥;或者,检测是否存有所述第一密钥的衍生密钥。如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测是否存有与所述当前业务侧服务器对应的第二密钥包括检测是否存有所述第二密钥;或者,检测是否存有所述第二密钥的衍生密钥。第二方面,本专利技术实施例提供了一种认证方法,应用于网络实体中,所述方法包括:向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;将所述AAA消息发送给当前业务侧服务器;其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。第三方面,本专利技术实施例提供了一种认证方法,应用于业务侧服务器中,所述方法包括:接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息;所述认证应答信息中至少包括第一标识或第二标识中的一种,本文档来自技高网
...

【技术保护点】
1.一种认证方法,其特征在于,应用于用户设备中,包括:接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;根据所述域名,检测自身是否存有与所述域名对应的第一密钥;若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。

【技术特征摘要】
1.一种认证方法,其特征在于,应用于用户设备中,包括:接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;根据所述域名,检测自身是否存有与所述域名对应的第一密钥;若未检测到所述第一密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息与所述认证应答消息相关,且所述认证应答信息中包括第一标识或第二标识中的一种,以及,所述域名。2.根据权利要求1所述的方法,其特征在于,若未检测到与所述域名对应的第一密钥,所述方法还包括:检测自身是否存有与所述当前业务侧服务器对应的第二密钥;若检测到与所述当前业务侧服务器对应的第二密钥,发送认证应答消息至所述当前网络实体,使得所述当前网络实体生成包含认证应答信息的AAA消息;其中,所述认证应答信息包括所述第一标识以及所述域名。3.一种认证方法,其特征在于,应用于网络实体中,所述方法包括:向用户设备发送认证请求消息,所述认证请求消息中携带有当前网络实体所在域的域名;接收用户设备发送的认证应答消息,所述认证应答消息中携带有所述域名;生成AAA消息,所述AAA消息中包含有与所述认证应答消息相关的认证应答信息;将所述AAA消息发送给当前业务侧服务器;其中,所述认证应答信息包括第一标号或第二标识中的一种,以及,所述域名。4.一种认证方法,其特征在于,应用于业务侧服务器中,所述方法包括:接收网络实体发送的AAA消息,所述AAA消息中包含认证应答响应信息;所述认证应答信息中至少包括第一标识或第二标识中的一种,以及,所述网络实体所在域的域名;根据所述第一标识或者第二标识中的一种,以及,所述域名,生成第一密钥和第三密钥;发送AAA应答消息给网络实体,所述AAA应答消息中至少包括所述第一密钥和所述第三密钥。5.一种用户设备,其特征在于,所述用户设备包括:接收单元,用于接收当前网络实体发送的认证请求消息,所述认证请求消息中携带有所述当前网络实体所在域的域名;检测单元,用于根据所述域名,检测自身...

【专利技术属性】
技术研发人员:周明宇云翔
申请(专利权)人:北京佰才邦技术有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1