一种认证控制的方法，认证服务器和系统技术方案

本发明专利技术实施例公开了一种认证控制的方法，认证服务器和系统，其中方法的实现包括：接收第二认证器发送的认证请求；认证请求中包含待认证的标识；若认证请求中的标识使用的第一认证器和第二认证器不同，则，向第一认证器发送认证锁定消息，用于控制第一认证器停止标识的认证；第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；执行第二认证器的认证请求对应的认证操作。在认证服务器接收到认证请求之后，若上述认证请求中的标识使用的第一认证器和第二认证器不同，则锁定第一认证器的认证，从而消除第一认证器和第二认证器同时认证产生的冲突，使切换的认证成功，进而提高切换认证成功率。

【技术实现步骤摘要】

本专利技术 涉及通信
，特别涉及一种认证控制的方法，装置和系统。
技术介绍
一般的通信网络，例如微波存取全球互通(Worldwide Interoperability forMicrowave Access，WiMAX)、第三代移动通信伙伴项目(Third GenerationPartnership Project，3GPP)、无线保真(Wireless Fidelity, WiFi)等，都使用基于可扩展的认证协议 (Extensible Authentication Protocol,ΕΑΡ)的认证过程。EAP认证过程通常包含三个角 色，位于终端的请求者、在接入网络中的认证器、位于核心网络的认证服务器。在认证过程中，认证器向终端请求标识信息发起认证，终端将其标识发送给认证 器，认证器将终端发送的标识发送给认证服务器。终端发送的标识可以是终端标识也可 以是用户标识，即EAP认证可用于对设备进行认证也可以用于对用户进行认证。认证服务 器确认终端发送的标识存在时，与终端完成相互认证，同时协商出一个主会话密钥(Main Session Key，MSK)。在这期间，认证器仅在终端和服务器之间转发消息。之后，认证服务器 将MSK发送给认证器，认证器与终端在MSK基础上协商它们之间的主密钥(PairwiseMaster Key, PMK)。通常认证器可以直接取MSK的一部分作为PMK，这样就省去了和终端的协商过 程。之后，认证器和终端在PMK基础上协商用于终端和基站/接入点之间的密钥，例如WiMAX 规范中的授权密钥(Authorization Key，AK)，认证器将AK发送给基站，之后基站和终端之 间利用AK进行进一步的交换产生空口安全密钥。如果基站和终端能够成功地利用AK握手， 则实现了基站和终端的相互认证。如果终端和认证器能够通过PMK成功的协商出AK，则终 端和认证器实现了相互认证。为了保证安全性，上述密钥都有生命期，生命期超时后需要重新进行认证以便产 生新的密钥。当不同的网络或者不同运营商网络之间进行交互时，在终端准备向目标网络 切换而进行预认证时，终端在当前服务网络中的密钥生命期可能刚好即将超时，并已经开 始重认证过程，上述重认证的结果可能覆盖终端与目标网络之间进行切换的预认证结果， 导致切换时因目标网络中认证器持有的密钥与终端持有的密钥不一致而使切换过程失败。为了解决上述问题，现有的认证控制方式是新认证器在进行预认证时向老认证 器发送一个消息，使得老认证器不会因密钥生命期快过时而发起重认证。上述老认证器是 用户在切换前使用的认证器，新认证器是切换目标网络的认证器。专利技术人在实现本专利技术的过程中发现当新认证器和老认证器处于不同的信任域 时，老认证器不会接受新认证器的控制而对终端的接入认证进行控制。因而，切换时因目标 网络中认证器持有的密钥与终端持有的密钥不一致而使切换过程失败的问题依然存在。
技术实现思路
本专利技术实施例要解决的技术问题是提供一种认证控制的方法，装置和系统，提高 切换认证的成功率。为解决上述技术问题，本专利技术所提供的认证控制的方法实施例可以通过以下技术方案实现接收第二认证器发送的认证请求；所述认证请求中包含待认证的标识；若所述认证请求中的标识使用的第一认证器和所述第二认证器不同，则，向所述 第一认证器发送认证锁定消息，用于控制所述第一认证器停止所述标识的认证；所述第二 认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；执行所述第二认证器的认证请求对应的认证操作。本专利技术实施例还提供了一种认证服务器，包括认证请求接收单元，用于接收第二认证器发送的认证请求；所述认证请求中包含 待认证的标识；锁定消息发送单元，用于在所述认证请求中的标识使用的第一认证器和所述第二 认证器不同的情况下，向所述第一认证器发送认证锁定消息，以控制所述第一认证器停止 所述标识的认证；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证 之前的认证使用的认证器；认证执行单元，用于执行所述第二认证器的认证请求对应的认证操作。本专利技术实施例还提供了一种认证控制的系统，包括第二认证器，用于向认证服务器发送认证请求；认证服务器，用于接收第二认证器发送的认证请求；在所述认证请求中的标识使 用的第一认证器和所述第二认证器不同的情况下，向所述第一认证器发送认证锁定消息， 以控制所述第一认证器停止所述标识的认证；执行所述第二认证器的认证请求对应的认证 操作；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证 使用的认证器；第一认证器，用于接收到所述认证锁定消息后，拒绝接受或拒绝执行所述标识的 认证。本专利技术实施例还提供了另一种认证控制的方法，包括接收第二认证器发送的认证请求；若所述认证请求中的标识使用的第一认证器和所述第二认证器不同，则，在接收 到所述第一认证器发送的带有所述标识的认证请求时，拒绝所述第一认证器的认证请求； 所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的 认证器；执行所述第二认证器发送的认证请求对应的认证操作。本专利技术实施例还提供了另一种认证服务器，包括认证请求接收单元，接收第二认证器发送的认证请求；认证控制单元，用于在所述认证请求中的标识使用的第一认证器和所述第二认证 器不同的情况下，在接收到所述第一认证器发送的带有所述标识的认证请求时，拒绝所述 第一认证器的认证请求；所述第二认证器为终端本次认证使用的认证器，第一认证器为本 次认证之前的认证使用的认证器；执行所述第二认证器提出的认证请求对应的认证操作。本专利技术实施例还提供了另一种认证控制的系统，包括第一认证器，用于向认证服务器发送认证请求；第二认证器，用于向认证服务器发送认证请求； 认证服务器，用于接收第二认证器发送的认证请求；若所述认证请求中的标识使 用的第一认证器和所述第二认证器不同，则，在接收到所述第一认证器发送的带有所述标 识的认证请求时，拒绝所述第一认证器的认证请求；执行所述第二认证器提出的认证请求 对应的认证操作；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证 之前的认证使用的认证器。上述技术方案具有如下有益效果在认证服务器接收到认证请求之后，若上述认 证请求中的标识使用的第一认证器和第二认证器不同，则锁定第一认证器的认证，从而消 除第一认证器和第二认证器同时认证产生的冲突，使切换的认证成功，进而提高切换认证 成功率。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于 本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其 他的附图。图1为本专利技术实施例一方法流程示意图；图2为本专利技术实施例二方法流程示意图；图3为本专利技术实施例三认证服务器结构示意图；图4为本专利技术实施例三认证服务器结构示意图；图5为本专利技术实施例三认证服务器结构示意图；图6为本专利技术实施例四系统结构示意图；图7为本专利技术实施例五方法流程示意图；图8为本专利技术实施例六方法流程示意图；图9为本专利技术实施例七认证服务器结构示意图；图10为本专利技术实施例七认证服务器结构示意本文档来自技高网...

【技术保护点】
一种认证控制的方法，其特征在于，包括：接收第二认证器发送的认证请求；所述认证请求中包含待认证的标识；若所述认证请求中的标识使用的第一认证器和所述第二认证器不同，则，向所述第一认证器发送认证锁定消息，用于控制所述第一认证器停止所述标识的认证；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；执行所述第二认证器的认证请求对应的认证操作。

【技术特征摘要】
1.一种认证控制的方法，其特征在于，包括接收第二认证器发送的认证请求；所述认证请求中包含待认证的标识；若所述认证请求中的标识使用的第一认证器和所述第二认证器不同，则，向所述第一 认证器发送认证锁定消息，用于控制所述第一认证器停止所述标识的认证；所述第二认证 器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；执行所述第二认证器的认证请求对应的认证操作。2.根据权利要求1所述方法，其特征在于，所述控制第一认证器停止所述标识的认证 包括控制所述第一认证器拒绝接受或拒绝执行所述标识的认证。3.根据权利要求1或2所述方法，其特征在于，若所述认证请求中的标识使用的第一认 证器和所述第二认证器不同且所述第一认证器已经发起所述标识的认证，则终止所述第一 认证器的认证。4.根据权利要求1或2所述方法，其特征在于，执行所述第二认证器的认证请求对应的 认证操作之后还包括向第一认证器发送解除认证锁定消息，用于控制所述第一认证器解除所述标识的认证 的锁定。5.一种认证服务器，其特征在于，包括认证请求接收单元，用于接收第二认证器发送的认证请求；所述认证请求中包含待认 证的标识；锁定消息发送单元，用于在所述认证请求中的标识使用的第一认证器和所述第二认证 器不同的情况下，向所述第一认证器发送认证锁定消息，以控制所述第一认证器停止所述 标识的认证；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前 的认证使用的认证器；认证执行单元，用于执行所述第二认证器的认证请求对应的认证操作。6.根据权利要求5所述认证服务器，其特征在于，还包括认证终止单元，用于若所述认证请求中的标识使用的第一认证器和所述第二认证器不 同且所述第一认证器已经发起所述标识的认证，则终止所述第一认证器的认证。7.根据权利要求5所述认证服务器，其特征在于，还包括解除锁定消息发送单元，用于在所述认证执行单元执行所述第二认证器的认证请求对 应的认证操作完成之后，向第一认证器发送解除认证锁定消息，以控制所述第一认证器解 除所述标识的认证的锁定。8.一种认证控制的系统，其特征在于，包括第二认证器，用于向认证服务器发送认证请求；认证服务器，用于接收第二认证器发送的认证请求；在所述认证请求中的标识使用的 第一认证器和所述第二认证器不同的情况下，向所述第一认证器发送认证锁定消息，以控 制所述第一认证器停止所述标识的认证；执行所述第二认证器的认证请求对应的认证操 作；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使 用的认证器；第一认证器，用于接收到所述认证锁定消息后，拒绝接受或拒绝执行所述标识的认证。9.根据权利要求8所述系统，其特征在于，所述认证服务器，还用于若所述认证请求中的标识使用的第一认证器和所述第二认证 器不同且所述第一认证器已经发起所述标识的认证，则终止所述第一认证器的认证。10.根据权利要求8所述系统，其特征在于，还包括所述认证服务器，还用于在执行所述第二认证器的认证请求对应的认证操作之后，向 第一认证器发送解除认证锁定消息，用于控制所述第一认证器解除所述标识的认证的锁定。11.一种认证控制的方...

【专利技术属性】
技术研发人员：丁志明，杨永利，树贵明，
申请(专利权)人：华为终端有限公司，
类型：发明
国别省市：94[中国|深圳]