用于实现快速再认证的系统和方法技术方案

一种用于对网络的客户端进行高效再认证的系统。在具体实施例中，该系统包括认证服务器和与该服务器通信的安全网关（ＳＧＷ）。ＳＧＷ包括与客户端相关联的再认证信息。在更具体的实施例中，认证服务器包括认证、授权和计费（ＡＡＡ）服务器。ＳＧＷ还包括一个或多个例程，用于采用再认证信息来对客户端进行再认证。ＡＡＡ服务器对客户端执行初始认证以使得客户端可以接入网络，这产生了再认证信息。再认证信息包括由ＡＡＡ服务器预先确定的一个或多个密钥和／或计数器，例如，授权密钥、加密密钥和主密钥。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
本专利技术一般地涉及网络，尤其是涉及用于增强对网络客户端进行认证和再认证的网络认证功能性的系统和方法。对网络客户端进行认证和再认证的系统和方法被用于各种需求应用，包括蜂窝网络、WiFi网络(例如，IEEE 802.11网络)、非许可移动接入(UMA)或者通用接入网络(GAN)、其组合等。这些网络通常服务于称为移动台的诸如无线电话或便携式计算机之类的客户端。移动台首先经过认证以确保它们是非假冒的(genuine)，并在随后被授权以验证客户端被允许采用或能够采用什么网络服务(如果有的话)。通常在无线电话或其它客户端暂时松开到网络的连接时，或者在先前证书的有效时间段已经期满时，执行再认证。蜂窝、WiFi和UMA或GAN网络通常采用与一个或多个归属位置寄存器(HLR)通信的一个或多个认证、授权、和计费(AAA)服务器来辅助客户端认证和再认证。HLR通常维护与客户端(也称为订户)相关的信息，包括国际移动订户身份(IMSI)号码、当前位置、所预订的服务、等。AAA服务器可以辅助从IP网络的客户端获取标识信息，并将所获取的标识信息与HLR中的相应记录进行比较以确定是否授权该客户端使用特定网络服务。认证处理通常是相对耗时且资源密集的，从而消耗AAA服务器和HLR处的网络资源。因此，在某些情形中，例如当失去客户端网络连接时，采用更有效的再认证技术来对客户端进行再认证。AAA服务器通常在RADIUS可扩展认证协议(EAP)—订户身份模块(EAP-SIM)消息内经由关联GAN或UMA来将经过加密的再认证信息传达到移动台。如果移动台失去与GAN或UMA的连接，则如果在预定时间间隔内进行再认证，移动台可以采用再认证信息来相对较快地进行-->再认证。不幸的是，现有的用于实现再认证的系统和方法保持着不合希望地耗时和网络资源密集性。附图说明图1是图示出根据本专利技术一个实施例、采用适用于实现非常快速再认证的安全网关(SGW)和认证、授权和计费(AAA)服务器的UMA网络的示图。图2是适用于结合图1的网络使用的第一方法的流程图。图3是适用于结合图1的网络使用的第二方法的流程图。具体实施方式本专利技术的优选实施例实现了用于辅助网络客户端的快速再认证的系统和方法。该系统包括在安全网关内的缓存存储器，该缓存存储器存储从认证服务器获得的再认证信息。SGW实现了用于采用再认证信息来执行客户端的快速再认证而无需SGW和认证服务器之间的额外信令的一个或多个例程。在一个更具体的实施例中，网络包括非许可移动接入(UMA)网络、通用接入网络(GAN)和/或公众无线局域网(PWLAN)。认证服务器包括认证、授权和计费(AAA)服务器。AAA服务器可以将包括许可权在内的认证信息传达到SGW，以允许在由SGW执行非常快速再认证之前，由SGW执行自治的非常快速再认证。为了当前论述的目的，SGW可以是下述任何网络实体，该网络实体可以辅助维护安全性或者以其它方式维护网络实体之间的加密连接，例如硬件或软件模块或程序。认证或再认证信息可以是下述任何信息，该信息可以用于判断客户端或其它网络实体是否被授权访问网络或以其它方式利用其某些服务。为了当前论述的目的，诸如AAA服务器之类的认证服务器可以是下述任何服务器，该服务器适于实现认证功能以对诸如客户端之类的网络实体进行认证或授权以使用网络所提供的某些服务。认证功能可以包括跟踪客户端的网络服务使用率、维护针对客户端所使用的服务的帐单信息等。-->服务器可以是可以用硬件和/或软件实现的任何计算机程序，该计算机程序能够响应于来自另一个程序或模块的查询或者经由向另一个程序或模块的主动推给(push)，向诸如该另一个程序或模块之类的另一个网络实体提供数据和/或功能。AAA服务器可以是下述任何认证服务器，该认证服务器可以对客户端进行认证，并且还授权客户端使用给定网络服务或功能性，以及对客户端所使用的服务进行计费，或者以其它方式量化客户端所使用的服务。为了清楚起见，从附图中省略了各种已知组件，例如，电源、调制解调器、防火墙、网卡、因特网服务提供商(ISP)、因特网协议安全性(IPSEC)集中器、媒体网络(MGW)、移动交换中心(MSC)、负载均衡器等。但是，本领域技术人员在获得本专利技术的教导的情况下，将知道实现哪些组件以及如何实现它们以满足给定应用的需要。图1是图示出根据本专利技术一个实施例、采用适于实现快速再认证的SGW 22和AAA服务器30的UMA网络10的示图。网络10包括与接入点14进行无线通信的移动台12，接入点14与覆盖区域16相关联，而移动台12位于覆盖区域16中。移动台12可以是下述任何设备，该设备可以与网络进行无线通信。移动台的示例包括无线电话、具有IEEE 802.11无线卡的膝上型电脑、蓝牙使能的设备、其它无线客户端等等。AP 14可以是辅助将移动台12连接到网络10的IEEE 802.11a、802.11b、802.11g、802.16、红外、蓝牙、或者其它类型的AP。为了当前论述的目的，移动台12是网络10的客户端。客户端可以是从网络或服务器获得服务、数据或其它信息的任何设备。AP14经由宽带因特网协议(IP)网络18而耦合到SGW 22，IP安全性(IPSEC)隧道是通过该宽带IP网络18来建立的。IPSEC隧道发起于移动台12并延伸至SGW 22，SGW 22被并入在UMA网络控制器(UNC)20内。UNC 20可以叫做另一个名称，例如通用接入网络控制器(GANC)。本领域技术人员将会了解，在不同的实现方式中，诸如控制器之类的网络组件可以叫做不同名称。-->SGW 22包括非常快速再认证模块24，非常快速再认证模块24包括经由AAA服务器30获得的再认证信息26。再认证信息26辅助使得非常快速再认证模块24可以进行快速再认证，以下将更完整地论述。AAA服务器30可以将认证信息维护在与AAA服务器30相耦合的归属位置寄存器32中。虽然非常快速再认证模块24被示出为实现在SGW 22内，但是非常快速再认证模块24可以是与SGW 22耦合的分立模块，而不会脱离本专利技术的范围。此外，SGW 22不必集成在UNC 20内，而可以被实现为与UNC 20耦合的分立模块。服务GPRS(通用分组无线电服务)支持节点(SGSN)28与UNC20、AAA服务器30和网关GPRS支持节点(GGSN)34耦合本文档来自技高网...

【技术保护点】
一种用于对客户端进行再认证以接入到网络的系统，该系统包括：　认证服务器；以及　与所述客户端和所述认证服务器通信的安全网关（ＳＧＷ），其中，所述安全网关包括：　由所述ＳＧＷ从所述认证服务器获得的与所述客户端相关联的再认证信息 。

【技术特征摘要】
【国外来华专利技术】US 2006-4-26 11/411,4821.一种用于对客户端进行再认证以接入到网络的系统，该系统包
括：
认证服务器；以及
与所述客户端和所述认证服务器通信的安全网关(SGW)，其中，所
述安全网关包括：
由所述SGW从所述认证服务器获得的与所述客户端相关联的再
认证信息。
2.如权利要求1所述的系统，其中，所述SGW还包括：
一个或多个例程，适用于采用所述再认证信息来对所述客户端进行再
认证。
3.如权利要求2所述的系统，其中，AAA服务器适用于对所述客户
端执行初始认证以使得可以接入所述网络，从而响应于其而产生所述再认
证信息。
4.如权利要求3所述的系统，其中，所述一个或多个例程适用于在
所述AAA服务器对所述客户端的初始认证之后将所述再认证信息传送到
所述SGW。
5.如权利要求3所述的系统，其中，所述一个或多个例程包括：
A3/A8算法。
6.如权利要求3所述的系统，其中，所述再认证信息包括：
再认证标识信息。
7.如权利要求3所述的系统，其中，所述再认证信息包括：
由所述AAA服务器预先确定的一个或多个密钥和/或计数器。
8.如权利要求7所述的系统，其中，所述一个或多个计数器包括：
授权计数器，该授权计数器辅助确定在预定时间间隔内所述客户端经
由所述系统采用快速再认证的连续尝试的次数的上限。
9.如权利要求7所述的系统，其中，所述再认证信息还包括：
再认证标识信息。
10.一种用于实现网络中的快速再认证的装置，所述装置包括：
与客户端通信的安全网关，其中，所述安全网关包括：
再认证模块，该再认证模块包括从认证服务器卸载的快速再认
证功能性。
11.如权利要求10所述的装置，其中，所述再认证模块还包括：
由认证、授权和计费(AAA)服务器响应于先前对所述客户端执行的
认证而获得的再认证信息。
12.如权利要求11所述的装置，其中，所述再认证信息还包括标识
下述服务的信息，所述服务是移动台预订的或者以其它方式被授权访问的
服务。
13.如权利要求11所述的装置，其中，所述再认证信息包括国际移
动订户身份(IMSI)或者伪IMSI。
14.如权利要求11所述的装置，其中，所述再认证信息包括...

【专利技术属性】
技术研发人员：凯文沙茨凯莫尔，阿南德K奥斯瓦尔，马克格雷森，贾亚拉曼耶尔，纳维安纳昂，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：US[美国]