一种漫游终端的认证方法、装置及服务器制造方法及图纸

本发明专利技术提供一种漫游终端的认证方法、装置及服务器，其中方法包括：通过第一TLS隧道与终端协商，确定认证过程使用的PEAP版本；通过所述第一TLS隧道接收终端发送的认证信息；根据所述认证信息确定漫游终端的归属地服务器；根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证。本发明专利技术的方案可以实现PEAP认证的国际漫游，从而为现有主流智能终端都提供无需用户干预的国际漫游接入。

【技术实现步骤摘要】
一种漫游终端的认证方法、装置及服务器
本专利技术涉及通信领域，特别是指一种漫游终端的认证方法、装置及服务器。
技术介绍
近年来，随着蜂窝网数据流量的爆炸式增长，可以用WLAN分流蜂窝网数据流量，这就涉及到终端与WLAN的接入认证方式和国际漫游接入方式。传统的WebPortal认证虽然可以在主流智能终端上使用从而实现WLAN接入并且可以基于WISPr1.0技术实现国际漫游，但WebPortal认证存在用户需输入用户密码等体验不佳的问题。3GPP组织提出的EAP-SIM/AKA认证方式是WLAN与蜂窝网融合的用户接入认证基础，不但提升了用户接入WLAN的使用体验，而且可以实现国际漫游，已被运营商广泛采用。但Android和WindowMP等智能手机终端没有全面支持EAP-SIM/AKA认证方式，而且不带有(U)SIM卡的PAD（平板电脑）和笔记本等终端也无法使用EAP-SIM/AKA认证。PEAP认证（ProtectEAP认证）广泛适用于IOS、Android、Symbian、BlackBerry和WindowMobilePhone等操作系统的智能手机终端，并且可以在笔记本和PAD等无(U)SIM卡的终端上使用，既全面覆盖用户终端，又提升了用户的WLAN使用体验。但PEAP规范没有定义国际漫游如何实现。综上分析，为全面实现良好用户体验的WLAN国际漫游，需研制PEAP认证的国际漫游实现方案，为使用不支持-SIM/AKA认证终端的用户也提供良好体验的WLAN国际漫游服务。现有技术中，终端接入WLAN的接入方式主要有以下几种：1．基于WebPortal的认证是目前WLAN公共热点最普遍采用的用户接入方式，其特点是认证必须通过Web交互来完成。当终端关联WiFi后，用户需要打开浏览器，输入将任意页面请求，网络将用户请求重定向到登录页面，用户输入并提交用户名和密码，网络验证通过后用户方可访问网络业务；基于WISPr1.0技术，支持WebPortal认证的终端均可支持WLAN国际漫游。2．EAP-SIM/AKA认证及国际漫游实现EAP-SIM/AKA是通过用户(U)SIM卡信息进行认证的一种方式，与蜂窝认证方式相同（有时也称其为统一认证方式），当用户使用SIM卡时，执行SIM认证流程，当用户使用USIM卡时，执行AKA认证流程，整个认证过程不需要用户介入任何手工操作，完全由终端自动完成；I-WLAN中EAP-SIM/AKA认证的国际漫游实现方法中，终端提供格式为“homerealm!username@otherrealm”。其中“homerealm”为用户的归属域名，“otherrealm”为用户的拜访域名。目前终端在国际漫游时并没有严格按照I-WALN的规定来执行，而是发出了与本地接入一样的格式为“username@homerealm”的NAI，但通过rfc5580中Type为126的“Operator-Name”属性可传递用户拜访域信息。3．PEAP认证（WLAN无感知认证）PEAP认证目前有PEAPv0、PEAPv1和PEAPv2三个版本，均为互联网草案。PEAP认证分两个阶段完成：第一个阶段由终端和认证服务器之间建立TLS隧道。此阶段是由终端基于证书验证网络侧认证服务器的合法性，并由二者协商建立起TLS安全传输隧道。第二个阶段是在TLS隧道内由用户终端和认证服务器之间进行MS-CHAPv2认证交互，网络侧服务器验证用户终端的合法性。然而上述方案均难以给用户提供良好的WLAN国际漫游体验：1）WebPortal的国际漫游需要用户手动输入，体验较为繁琐。2）EAP-SIM/AKA认证可以实现无用户干预的WLAN漫游接入，但没有覆盖Android和WindowMobilePhone等主流智能终端。3）PEAP认证可覆盖现有主流智能终端，但由于其认证是在TLS隧道内完成，拜访地服务器成为本地终端以及漫游终端的认证流程的终结点，不能实现漫游场景下的对漫游终端的认证信息转发和认证，导致终端无法在国际漫游场景下使用。
技术实现思路
本专利技术要解决的技术问题是提供一种漫游终端的认证方法、装置及服务器。可以实现PEAP认证的国际漫游，从而为现有主流智能终端都提供无需用户干预的国际漫游接入。为解决上述技术问题，本专利技术的实施例提供一种漫游终端的认证方法，应用于拜访地服务器，包括：通过第一TLS隧道与终端协商，确定认证过程使用的PEAP版本；通过所述第一TLS隧道接收所述终端发送的认证信息；根据所述认证信息确定漫游终端的归属地服务器；根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证。其中，所述认证信息包括：漫游终端的真实用户名和密码；根据所述认证信息确定所述漫游终端的归属地服务器的步骤具体为：根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。其中，根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：若所述PEAP版本为PEAPV0，则与所述漫游终端的归属地服务器建立第二TLS隧道，并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器，并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证；若所述PEAP版本为PEAPV1或PEAPv2，则将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证。其中，通过所述第二TLS隧道将所述漫游终端的认证信息，并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：通过第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息，并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端；通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息，并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息，并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端；通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息，并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息，并通过所述第一TLS隧道转发给所述漫游终端。其中，将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：将所述漫游终端的认证信息直接转发给所述归属地服务器；接收所述归属地服务器返回的挑战消息，并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端；通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息，并将所述挑战消息的回复消息直接转发所述归属地服务器；接收所述归属地服务器发送的挑战成功的消息，并通过所述第一TLS隧道将所述挑战成本文档来自技高网...

【技术保护点】
一种漫游终端的认证方法，应用于拜访地服务器，其特征在于，包括：通过第一TLS隧道与终端协商，确定认证过程使用的PEAP认证版本；通过所述第一TLS隧道接收所述终端发送的认证信息；根据所述认证信息确定漫游终端的归属地服务器；根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证。

【技术特征摘要】
1.一种漫游终端的认证方法，应用于拜访地服务器，其特征在于，包括：通过第一TLS隧道与终端协商，确定认证过程使用的PEAP认证版本；通过所述第一TLS隧道接收所述终端发送的认证信息；根据所述认证信息确定漫游终端的归属地服务器；根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证；根据所述漫游终端使用的PEAP版本，将所述认证信息转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：若所述PEAP版本为PEAPV0，则与所述漫游终端的归属地服务器建立第二TLS隧道，并通过所述第二TLS隧道将所述漫游终端的认证信息转发给所述漫游终端的归属地服务器，并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证；若所述PEAP版本为PEAPV1或PEAPv2，则将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证；其中，通过所述第二TLS隧道将所述漫游终端的认证信息，并通过所述第一TLS隧道、所述第二TLS隧道和所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：通过所述第二TLS隧道将所述漫游终端的认证信息发送给所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器返回的挑战消息，并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端；通过所述第一TLS隧道接收所述漫游终发送的所述挑战消息的回复消息，并通过所述第二TLS隧道将所述挑战消息的回复消息发送给所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器发送的挑战成功的消息，并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端；通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息，并通过所述第二TLS隧道将所述挑战成功的应答消息转发至所述归属地服务器；通过所述第二TLS隧道接收所述归属地服务器发送的PEAP认证成功的消息，并通过所述第一TLS隧道转发给所述漫游终端。2.根据权利要求1所述的漫游终端的认证方法，其特征在于，所述认证信息包括：漫游终端的真实用户名和密码；根据所述认证信息确定所述漫游终端的归属地服务器的步骤具体为：根据所述漫游终端的真实用户名确定所述漫游终端的归属地服务器。3.根据权利要求1所述的漫游终端的认证方法，其特征在于，将所述漫游终端的认证信息直接转发给所述漫游终端的归属地服务器，并通过所述归属地服务器完成对所述漫游终端的PEAP认证的步骤包括：将所述漫游终端的认证信息直接转发给所述归属地服务器；接收所述归属地服务器返回的挑战消息，并通过所述第一TLS隧道将所述挑战消息转发给所述漫游终端；通过所述第一TLS隧道接收所述漫游终端发送的所述挑战消息的回复消息，并将所述挑战消息的回复消息直接转发所述归属地服务器；接收所述归属地服务器发送的挑战成功的消息，并通过所述第一TLS隧道将所述挑战成功的消息发送给所述漫游终端；通过所述第一TLS隧道接收所述漫游终端回应的挑战成功的应答消息，并将所述挑战成功的应答消息转发至所述归属地服务器；接收所述归属地服务器发送的PEAP认证成功的消息，并通过所述第一TLS隧道转发给所述漫游终端。4.一种漫游终端的认证装置，应用于拜访地服务器，其特征在于，包括：第一确定模块，用于通过第一TLS隧道与终端协商，确定认证过程使用的PEAP认证版本；接收模...

【专利技术属性】
技术研发人员：王桢珍，侯志强，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京;11