專利名稱:一種預(yù)認證方法���、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)��,尤其涉及在多認證者場景下的一種預(yù)認證方法�、設(shè)備及系統(tǒng)�。
背景技術(shù):
EAP架構(gòu)通常包括客戶端認證者(Authenticator)���,認證、授權(quán)和計費 (Authentication Authorization and Accounting, AAA)服務(wù)器 /EAP 服務(wù)器三個重要部 件��。認證者一般位于網(wǎng)絡(luò)邊緣位置���,與AAA服務(wù)器/EAP服務(wù)器可以耦合在一起�,也可以分 離獨立存在����。該架構(gòu)提供對客戶端設(shè)備的認證授權(quán)功能,EAP協(xié)議中的EAP方法用于生成 密鑰材料如主會話密鑰(Master Session Key����,MSK)和擴展主會話密鑰(Extended Master Session Key, EMSK)。MSK主要用于EAP底層協(xié)議��,而EMSK用于保護客戶端和AAA服務(wù)器 之間的交互���。由于完整的EAP過程一般需要兩個以上的來回交互����,所以常常會造成認證和 授權(quán)的大量時延�。為了減少這類切換時延,重用初始認證生成的密鑰和狀態(tài)信息以及避免 使用非對稱密鑰的機制被很多方法采用��。但交互次數(shù)隨著使用的EAP方法不同�����,改進的程 度也不同�,而且不管如何改進,���,都需要至少兩次來回交互才能完成認證和授權(quán)過程����。這種 切換時延對于某些實時應(yīng)用來說時不可接受的�����。為了支持快速切換���,常常需要避免基于AAA的完整認證�,因為完整認證需要與移 動節(jié)點的家鄉(xiāng)AAA服務(wù)器經(jīng)過多個來回交互才能完成認證�,帶來比較長的切換時延。快速 切換中常用的EAP認證方法包括EAP重認證和EAP預(yù)認證���。EAP重認證的主要思想是引入 本地EAP服務(wù)器機制�,通過重用初始全認證中的密鑰材料來避免移動終端切換過程中過多 的基于EAP的AAA消息�����,而EAP預(yù)認證的主要思想是在移動終端切換之前預(yù)先生成MSK����,用 于移動終端與候選認證者(Candidate Authenticator, CA)的認證。發(fā)明人在研究過程中發(fā)現(xiàn)�����,上述現(xiàn)有技術(shù)中����,在EAP客戶端與AAA服務(wù)器交互過程 中,通常需要跨越兩個認證者�����,即當前認證者(Serving Authenticator, SA)和候選認證者 CA��,此時,兩個認證者既無法判斷客戶端發(fā)送的是普通認證請求還是預(yù)認證請求�����,也無法判 斷自身是否需要與AAA服務(wù)器進行交互以完成預(yù)認證過程����,因此��,會引起預(yù)認證的失敗��,造 成切換時延���。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種預(yù)認證方法�����、設(shè)備和系統(tǒng)�。通過實施本發(fā)明�,能夠使當前 認證者和候選認證者正確區(qū)分預(yù)認證消息,使用預(yù)認證過程獲取的預(yù)認證密鑰保護移動節(jié) 點和候選認證者之間的通信�,增強了通信的安全性,減少了切換認證的時延���。本發(fā)明實施例所述預(yù)認證方法包括接收預(yù)認證消息�����,所述預(yù)認證消息中攜帶預(yù) 認證選項��;根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點����;向AAA服務(wù)器發(fā)送認證 請求消息,請求對所述移動節(jié)點進行認證���,所述認證請求消息中攜帶所述預(yù)認證選項����;接收 所述AAA服務(wù)器發(fā)送的認證響應(yīng)消息���,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密鑰����;將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點�����。本發(fā)明實施例所述預(yù)認證設(shè)備包括第一接收單元,用于接收預(yù)認證消息��,所述預(yù)認證消息中攜帶預(yù)認證選項����;確定單元,用于根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的 移動節(jié)點����;第一發(fā)送單元��,用于向AAA服務(wù)器發(fā)送認證請求消息���,請求對所述移動節(jié)點進行 認證��,所述認證請求消息中攜帶所述預(yù)認證選項���;第二接收單元,用于接收所述AAA服務(wù)器 發(fā)送的認證響應(yīng)消息���,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密 鑰�����;第二發(fā)送單元����,用于將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點。本發(fā)明實施例所述預(yù)認證系統(tǒng)包括預(yù)認證設(shè)備和AAA服務(wù)器�,其中,所述預(yù)認證 設(shè)備��,用于接收預(yù)認證消息��,所述預(yù)認證消息中攜帶預(yù)認證選項���,根據(jù)所述預(yù)認證消息確定 需要進行預(yù)認證的移動節(jié)點��,向AAA服務(wù)器發(fā)送認證請求消息�����,請求對所述移動節(jié)點進行 認證��,所述認證請求消息中攜帶所述預(yù)認證選項��,接收所述AAA服務(wù)器發(fā)送的認證響應(yīng)消 息�����,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密鑰��;將所述預(yù)認證 密鑰發(fā)送給所述移動節(jié)點��;所述AAA服務(wù)器�����,用于接收所述預(yù)認證設(shè)備發(fā)送的認證請求消 息�,根據(jù)所述認證請求消息生成所述候選認證者和所述移動節(jié)點間的預(yù)認證密鑰,將所述 預(yù)認證密鑰攜帶在所述認證響應(yīng)消息中發(fā)送給所述預(yù)認證設(shè)備�。通過實施本發(fā)明上述實施例��,可以使當前認證者或者候選認證者正確識別預(yù)認證 消息���,在收到預(yù)認證消息后��,通過AAA服務(wù)器獲取候選認證者與移動節(jié)點之間的預(yù)認證密 鑰�,使移動節(jié)點切換到候選認證者之后���,可以使用所述預(yù)認證密鑰保護移動節(jié)點和候選認 證者之間的通信�,增強了通信的安全性����,減少了切換認證的時延��。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案���,下面將對實施例中所需要使用的 附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng) 域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的 附圖�����。圖1為本發(fā)明所述預(yù)認證方法的一個實施例的流程示意圖�;圖2為本發(fā)明所述預(yù)認證方法的另一個實施例的流程示意圖;圖3為本發(fā)明所述預(yù)認證方法的另一個實施例的流程示意圖�;圖4為本發(fā)明所述預(yù)認證方法的另一個實施例的流程示意圖;圖5為本發(fā)明所述預(yù)認證方法的另一個實施例的流程示意圖����;圖6為本發(fā)明所述預(yù)認證設(shè)備的一個實施例的結(jié)構(gòu)示意圖����;圖7為本發(fā)明所述預(yù)認證設(shè)備的另一個實施例的結(jié)構(gòu)示意圖��;圖8為本發(fā)明所述預(yù)認證設(shè)備的另一個實施例的結(jié)構(gòu)示意圖���;圖9為本發(fā)明所述預(yù)認證系統(tǒng)的一個實施例的結(jié)構(gòu)示意圖�。
具體實施例方式以下結(jié)合附圖和實施例對本發(fā)明進行詳細描述��。如圖1所示�����,為本發(fā)明一個實施例中實現(xiàn)預(yù)認證的方法的流程示意圖�����。所述方法 包括
10���、接收預(yù)認證消息,所述預(yù)認證消息中攜帶預(yù)認證選項�。
所述預(yù)認證消息可以是作為客戶端的移動節(jié)點發(fā)出的,也可以是移動節(jié)點的當前 認證者發(fā)出的���,所述預(yù)認證選項可以是預(yù)認證開始標識(Pre-auth Start)或者候選認證者 標識CA_ID���,用于表明所述預(yù)認證消息的用途�����。11��、根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點�����。當所述預(yù)認證消息由移動節(jié)點發(fā)出時�����,則所述預(yù)認證消息的源節(jié)點即為需要進行 預(yù)認證的移動節(jié)點����;當所述預(yù)認證消息由當前認證者發(fā)出時�����,根據(jù)所述預(yù)認證消息的內(nèi)容 確定需要進行預(yù)認證的移動節(jié)點。12���、向AAA服務(wù)器發(fā)送認證請求消息��,所述認證請求中攜帶所述預(yù)認證選項����。所述 認證請求的目的是請求AAA服務(wù)器對作為客戶端的移動節(jié)點進行認證�����,并生成候選認證者 和移動節(jié)點間的預(yù)認證密鑰��。所述認證請求消息中需要攜帶與預(yù)認證選項���,所述預(yù)認證選 項與步驟10中的預(yù)認證選項相同���,具體可以是候選認證者標識CA_ID,該候選認證者標識 可以攜帶在所述預(yù)認證選項中CA_ID����,也可以攜帶在單獨的選項中�。13、接收AAA服務(wù)器發(fā)送的認證響應(yīng)消息,所述認證響應(yīng)消息中攜帶移動節(jié)點和 候選認證者之間的預(yù)認證密鑰���。AAA服務(wù)器在對移動節(jié)點認證通過后����,根據(jù)所述預(yù)認證選項 和其他密鑰材料生成移動節(jié)點和候選認證者間的預(yù)認證密鑰�����。并通過認證響應(yīng)消息將該預(yù) 認證密鑰發(fā)送給候選認證者�。14、將接收的預(yù)認證密鑰發(fā)送給作為客戶端的移動節(jié)點��。其中�����,需要通過當前認證者SA將該預(yù)認證密鑰發(fā)送給移動節(jié)點�����。移動節(jié)點收到該 預(yù)認證密鑰后���,即可認為與候選認證者間的預(yù)認證已經(jīng)完成��。當所述接收預(yù)認證消息的步驟是由候選認證者完成時����,本發(fā)明實施例在步驟11 和12之間還可以包括建立預(yù)認證綁定關(guān)系的步驟。具體可以是候選認證者根據(jù)預(yù)認證消 息建立候選認證者和移動節(jié)點的預(yù)認證綁定關(guān)系���,標注移動節(jié)點的認證狀態(tài)為預(yù)認證狀 態(tài)����。本發(fā)明實施例中所述預(yù)認證密鑰包括了候選認證者和移動節(jié)點之間的預(yù)認證密 鑰����,以及移動節(jié)點和AAA服務(wù)器之間的主會話密鑰MSK和擴展主會話密鑰EMSK。通過實施本發(fā)明實施例�,候選認證者在收到認證消息后,根據(jù)其中攜帶的預(yù)認證 選項�,能夠確定該消息為預(yù)認證消息,進而發(fā)起預(yù)認證過程���,使移動節(jié)點還沒有附著到候選 認證者時就完成了與移動節(jié)點的認證過程��,并在移動節(jié)點切換到候選認證者時�,能夠使用 預(yù)認證密鑰對移動節(jié)點進行快速認證�����,減少了切換認證的時延��。上述圖1所示的方法�����,可以應(yīng)用在移動節(jié)點切換時存在多個認證者(一個當前認 證者以及多個可能的候選認證者)的場景下����,以下分別對本發(fā)明在這些場景下的應(yīng)用進行 介紹。如圖2所示����,為本發(fā)明預(yù)認證方法的另一種實施例。本實施例中可以由當前認證 # (Serving Authenticator, SA) Wi^itlAilE# (Candidate Authenticator, CA)白勺胃 現(xiàn)���,也可以由移動節(jié)點負責(zé)候選認證者CA的發(fā)現(xiàn)��,即由SA或者移動節(jié)點在預(yù)認證開始前通 過發(fā)現(xiàn)機制獲取了候選認證者標識CA_ID�����,其中CA_ID可以是CA的IP地址�、CA的域名或者 其他可以唯一區(qū)別CA的標識。SA在預(yù)認證中承擔Authenticator Relay的功能��。本實施 例所述的方法包括
20�、移動節(jié)點向當前認證者SA發(fā)起預(yù)認證請求,所述預(yù)認證請求中攜帶預(yù)認證選 項��,請求SA為其選擇候選認證者���。所述預(yù)認證選項為預(yù)認證開始標識(Pre-auth start) 或者候選認證者標識CA_ID���。需要說明的是,本步驟并不是必須的��,當存在本步驟時�����,是終端 側(cè)發(fā)起的預(yù)認證����,而省略本步驟時,是網(wǎng)絡(luò)側(cè)發(fā)起的預(yù)認證���。21��、SA向移動節(jié)點發(fā)送預(yù)認證初始化消息�,以請求移動節(jié)點確認是否發(fā)起預(yù)認證。 本步驟中�,SA既可以主動向移動節(jié)點發(fā)送預(yù)認證初始化消息����,也可以根據(jù)移動節(jié)點的請求 發(fā)送預(yù)認證初始化消息。該預(yù)認證初始化消息攜帶預(yù)認證選項����。該預(yù)認證選項為預(yù)認證開 始標識(Pre-auth start)。該預(yù)認證初始化消息中可以攜帶CA_ID (SA進行CA發(fā)現(xiàn)時)�����, 也可以不攜帶CA_ID(移動節(jié)點進行CA發(fā)現(xiàn)時)�����。該預(yù)認證初始化消息可以是攜帶預(yù)認證 開始標識的EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)�����。22���、移動節(jié)點根據(jù)SA發(fā)送的預(yù)認證初始化消息向SA發(fā)送預(yù)認證確認消息�,攜帶預(yù) 認證選項。該預(yù)認證選項可以為預(yù)認證指示標志(Pre-auth Indication)�����,用于區(qū)分發(fā)起的 認證是預(yù)認證還是普通認證�����。該預(yù)認證確認消息中攜帶CA_ID�,用來指出需要進行預(yù)認證的 CA。該預(yù)認證確認消息可以是攜帶預(yù)認證指示標志的EAP發(fā)起消息(ΕΑΡ-Initiate)或者 EAP 響應(yīng)消息(EAP-Rsp)�。23,SA根據(jù)該預(yù)認證確認消息中攜帶的CA_ID確定候選認證者。該CA_ID攜帶在 EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP響應(yīng)消息(EAP-Rsp)的擴展的Peer_ID選項(Peer_ IDiCA_ID)或者單獨的CA_ID選項中�。24、SA將該預(yù)認證確認消息轉(zhuǎn)發(fā)給通過該預(yù)認證確認消息確定的候選認證者CA�。 SA在發(fā)送該消息的過程中,可以將作為預(yù)認證確認消息的EAP發(fā)起消息(ΕΑΡ-Initiate)或 者EAP響應(yīng)消息(EAP-Rsp)通過三層協(xié)議承載��。SA在轉(zhuǎn)發(fā)該預(yù)認證確認消息的時候不對該 消息的內(nèi)容進行修改���。25�、候選認證者CA收到預(yù)認證確認消息后,在本地建立相應(yīng)的預(yù)認證綁定關(guān)系和 預(yù)認證狀態(tài)�����,即建立移動節(jié)點和自身的綁定關(guān)系��,并標注移動節(jié)點的認證狀態(tài)為預(yù)認證��。本 步驟中�����,CA可以根據(jù)該消息中的Peer_ID的擴展選項(Peer_ID@CA_ID)或者預(yù)認證指示標 志等預(yù)認證選項確認該消息為預(yù)認證確認消息�����。26��、候選認證者CA向AAA服務(wù)器發(fā)送認證請求消息��,請求AAA服務(wù)器對該移動節(jié) 點進行認證�����。該認證請求中攜帶預(yù)認證選項以及移動節(jié)點標識���,該移動節(jié)點標識可以為網(wǎng) 絡(luò)訪問標識(Network Access Identifier, ΝΑΙ)或者移動節(jié)點的家鄉(xiāng)域名��。27����、AAA服務(wù)器收到CA發(fā)送的認證請求消息后�,對移動節(jié)點進行認證,認證通過 后��,生成CA和移動節(jié)點間的預(yù)認證密鑰����,并向CA發(fā)送認證響應(yīng)消息,該認證響應(yīng)消息中攜 帶生成的CA和移動節(jié)點間的預(yù)認證密鑰�。28、CA收到AAA服務(wù)器發(fā)送的認證響應(yīng)消息后����,獲取并保存其中的預(yù)認證密鑰。29_210����、CA通過SA向發(fā)送預(yù)認證確認消息的移動節(jié)點發(fā)送預(yù)認證成功消息,該預(yù) 認證成功消息中攜帶AAA服務(wù)器發(fā)送的預(yù)認證密鑰��,該預(yù)認證成功消息可以是攜帶預(yù)認證 密鑰的EAP結(jié)束消息ΕΑΡ-Finish或者EAP成功消息EAP-Success。211���、移動節(jié)點收到SA發(fā)送的預(yù)認證成功消息后���,獲取并保存其中的預(yù)認證密鑰。 移動節(jié)點在獲取到預(yù)認證密鑰后�,完成與AAA服務(wù)器之間的預(yù)認證。當移動節(jié)點附著在候 選認證者CA之后���,就可以使用該預(yù)認證密鑰保護移動節(jié)點與CA之間的通信�。
此外���,本發(fā)明實施例中,AAA服務(wù)器還可以生成自身和移動節(jié)點之間的主會話密鑰 MSK和擴展主會話密鑰EMSK���,該MSK和EMSK同樣可以由AAA服務(wù)器通過CA發(fā)送給麗����。
本實施例由當前認證者根據(jù)移動節(jié)點的選擇向候選認證者發(fā)送預(yù)認證消息�,使候 選認證者在本地建立與移動節(jié)點的預(yù)認證綁定,并在AAA服務(wù)器對作為客戶端的移動節(jié)點 認證通過后將AAA服務(wù)器生成的預(yù)認證密鑰發(fā)送給移動節(jié)點和候選認證者��,完成移動節(jié)點 與AAA服務(wù)器間的預(yù)認證,使移動節(jié)點在切換到候選認證者時����,即可以用接收的預(yù)認證密 鑰保護移動節(jié)點與候選認證者之間的通信,減少了切換認證的時延�。本發(fā)明所述預(yù)認證方法中,還可以由候選認證者CA根據(jù)當前認證者SA的指示 發(fā)起預(yù)認證���。如圖3所示����,為本發(fā)明預(yù)認證方法的另一實施例����。本實施例中當前認證者 (Serving Authenticator, SA) Wi^itlAilE# (CandidateAuthenticator, CA)白勺胃%。* 發(fā)明實施例包括如下步驟30��、當前認證者SA向候選認證者CA發(fā)送預(yù)認證發(fā)起指示消息���,該預(yù)認證發(fā)起指示 消息攜帶預(yù)認證選項����。該預(yù)認證選項具體可以為預(yù)認證指示標志(Pre-auth Indication)��, 用于區(qū)分發(fā)起的認證是預(yù)認證還是普通認證。此外��,預(yù)認證發(fā)起指示消息還攜帶移動節(jié)點 標識����。所述移動節(jié)點標識包括移動節(jié)點的地址、移動節(jié)點的域名或者移動節(jié)點的Peer_ID���。31��、候選認證者CA收到該預(yù)認證發(fā)起指示消息后���,根據(jù)該預(yù)認證發(fā)起指示消息攜 帶的移動節(jié)點標識向移動節(jié)點發(fā)送預(yù)認證初始化消息。該預(yù)認證初始化消息攜帶預(yù)認證選 項��,具體可以是攜帶預(yù)認證開始標識(Pre-auth start)的EAP發(fā)起消息(ΕΑΡ-Initiate) 或者EAP請求消息(EAP-Req)�����。32�����、移動節(jié)點根據(jù)CA發(fā)送的預(yù)認證發(fā)起指示消息向CA發(fā)送預(yù)認證確認消息���,攜帶 預(yù)認證選項���。該預(yù)認證確認消息具體可以是攜帶預(yù)認證指示標志(Pre-auth Indication) 的EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP響應(yīng)消息(EAP-Rsp)。33����、候選認證者收到該預(yù)認證確認消息后,在本地建立相應(yīng)的預(yù)認證綁定關(guān)系和 預(yù)認證狀態(tài)�����。即建立移動節(jié)點和自身的綁定關(guān)系����,并標注移動節(jié)點的認證狀態(tài)為預(yù)認證。本實施例的步驟34-39與圖2所示實施例的步驟26-211基本相同��,在此不再贅 述��。本實施例中���,當前認證者自動發(fā)現(xiàn)可能的候選認證者����,并指示候選認證者向移動 節(jié)點發(fā)起預(yù)認證,避免了候選認證者在收到移動節(jié)點的預(yù)認證消息時不能確認該消息是普 通消息還是預(yù)認證消息而造成的切換認證延時問題�。在本發(fā)明另一實施例中,當前認證者可以代替候選認證者向AAA服務(wù)器請求發(fā)起 對移動節(jié)點的預(yù)認證過程��。如圖4所示��,為本發(fā)明所述預(yù)認證方法的另一實施例的流程 示意圖�����。本實施例中可以由當前認證者(Serving Authenticator, SA)負責(zé)候選認證者 (Candidate Authenticator, CA)的發(fā)現(xiàn)�����,也可以由移動節(jié)點負責(zé)候選認證者CA的發(fā)現(xiàn)����,即 由SA或者移動節(jié)點在預(yù)認證開始前通過發(fā)現(xiàn)機制獲取了候選認證者標識CA_ID,其中CA_ ID可以是CA的IP地址����、CA的域名或者其他可以唯一區(qū)別CA的標識。該方法包括40�、移動節(jié)點向當前認證者SA發(fā)起預(yù)認證請求��,該預(yù)認證請求中可以攜帶預(yù)認證 選項,以請求SA為其選擇候選認證者���。需要說明的是��,本步驟并不是必須的�����,當存在本步驟 時��,是終端側(cè)發(fā)起的預(yù)認證�����,而省略本步驟時�����,是網(wǎng)絡(luò)側(cè)發(fā)起的預(yù)認證�。41�、SA向移動節(jié)點發(fā)送預(yù)認證初始化消息。本步驟中����,SA既可以主動向移動節(jié)點發(fā)送預(yù)認證初始化消息�����,也可以根據(jù)移動節(jié)點的請求發(fā)送預(yù)認證初始化消息�����,攜帶預(yù)認證 選項�。具體來說�,該預(yù)認證初始化消息可以攜帶預(yù)認證開始標識(Pre-auth start),以請求 移動節(jié)點確認是否發(fā)起預(yù)認證�。該預(yù)認證初始化消息中可以攜帶CA _ID(SA進行CA發(fā)現(xiàn) 時),也可以不攜帶CA_ID (移動節(jié)點進行CA發(fā)現(xiàn)時)����。該預(yù)認證初始化消息可以是攜帶預(yù) 認證開始標識的EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)。42�、移動節(jié)點根據(jù)SA發(fā)送的預(yù)認證初始化消息向SA發(fā)送預(yù)認證確認消息, 攜帶預(yù)認證選項����。具體來說,該預(yù)認證確認消息可以攜帶預(yù)認證指示標志(Pre-auth Indication)��,用于區(qū)分發(fā)起的認證是預(yù)認證還是普通認證。該預(yù)認證確認消息中攜帶CA_ ID�,用來指出移動節(jié)點選擇的候選認證者CA�����。該預(yù)認證確認消息可以是攜帶預(yù)認證指示標 志的EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP響應(yīng)消息(EAP-Rsp)���。43����、當前認證者SA根據(jù)接收的預(yù)認證確認消息確定候選認證者CA��。44����、當前認證者SA向AAA服務(wù)器發(fā)送認證請求消息,該認證請求消息中攜帶擴展 的Peer_ID選項(攜帶Peer_ID以及CA_ID)以及其他預(yù)認證選項���,請求AAA服務(wù)器對移動 節(jié)點進行預(yù)認證��。45�、AAA服務(wù)器收到SA發(fā)送的認證請求消息后���,對作為客戶端的移動節(jié)點進行認 證���,提取候選認證者標識CA_ID����,在對移動節(jié)點認證通過后生成CA和移動節(jié)點間的預(yù)認證 密鑰�����,向CA發(fā)送認證響應(yīng)消息����,該認證響應(yīng)消息中攜帶該生成的預(yù)認證密鑰。步驟46-49與圖2所示實施例中的28-211基本相同����,在此不再贅述。本實施例中�,當前認證者收到移動節(jié)點發(fā)送的預(yù)認證確認消息后,代替候選認證 者向AAA服務(wù)器發(fā)起對移動節(jié)點進行預(yù)認證的請求���,使AAA服務(wù)器向移動節(jié)點和候選認證 者分發(fā)預(yù)認證密鑰��。當移動節(jié)點切換到CA時�����,就可以使用AAA服務(wù)器分發(fā)的預(yù)認證密鑰進 行快速認證�����,減少了切換認證延時�。本發(fā)明實施例中�,還可以由移動節(jié)點進行候選認證者的發(fā)現(xiàn)即獲取候選認證者的 標識CA_ID,并在發(fā)現(xiàn)候選認證者后����,主動發(fā)起預(yù)認證過程。如圖5所示���,為本發(fā)明實施例中 MN主動發(fā)起預(yù)認證過程的流程示意圖�。包括50����、移動節(jié)點向當前認證者SA發(fā)送預(yù)認證初始化消息,攜帶預(yù)認證選項���。具體來 說��,該預(yù)認證初始化消息可以是攜帶候選認證者標識CA_ID或者候選認證者對應(yīng)的二層鏈 路標識BS_ID的EAP發(fā)起消息(ΕΑΡ-Initiate)或者EAP請求消息(EAP-Req)����。該CA_ID 或者BS_ID可以作為預(yù)認證初始化消息的選項獨立存在,也可以作為Peer_ID的擴展選項 (以 Peer_ID@CA_ID 或 Peer_ID@BS_ID 的形式)存在�����。51�、SA接收該預(yù)認證初始化消息,通過該消息中攜帶的CA_ID或BS_ID確認該消 息為預(yù)認證初始化消息后���,直接獲得CA或通過查詢二層鏈路標識與三層鏈路標識的映射 獲得候選認證者CA (當該消息中攜帶的BS_ID時)��,將該消息不做改動通過三層協(xié)議承載發(fā) 送給候選認證者CA��。52���、CA通過接收的預(yù)認證初始化消息中的預(yù)認證選項確認該預(yù)認證初始化消息用 于進行預(yù)認證請求后,在本地建立相應(yīng)的預(yù)認證綁定關(guān)系和預(yù)認證狀態(tài)��,即建立移動節(jié)點 和CA的綁定關(guān)系��,并標注移動節(jié)點的認證狀態(tài)為預(yù)認證�。本實施例中步驟53-58與圖2所示實施例的步驟相同�,在此不再贅述�����。本發(fā)明實施例通過移動節(jié)點發(fā)現(xiàn)候選認證者CA或者二層鏈路標識BS_ID后主動發(fā)起預(yù)認證實現(xiàn)CA和移動節(jié)點間的預(yù)認證密鑰分發(fā)���,減少了切換認證延時�����。本發(fā)明實施例還提供了一種預(yù)認證設(shè)備,該預(yù)認證設(shè)備既可以充當前述方法實施例中的當前認證者SA�,也可以充當前述方法實施例中的候選認證者CA。如圖6所示�����,為本發(fā)明所述預(yù)認證設(shè)備的一個實施例的結(jié)構(gòu)示意圖����。該預(yù)認證設(shè) 備60用于發(fā)起對移動節(jié)點的預(yù)認證。第一接收單元610接收到攜帶預(yù)認證選項的預(yù)認證 消息后�����,將該預(yù)認證消息發(fā)送給確定單元620。確定單元620根據(jù)該預(yù)認證消息的源節(jié)點或 者該預(yù)認證消息攜帶的預(yù)認證選項�����,確定需要進行預(yù)認證的移動節(jié)點���。然后��,由第一發(fā)送單 元630向AAA服務(wù)器發(fā)送認證請求消息�,請求AAA服務(wù)器對該移動節(jié)點進行預(yù)認證�����。該認 證請求消息中攜帶預(yù)認證選項以及該需要進行預(yù)認證的移動節(jié)點的標識����,該認證請求消息 中還需要攜帶候選認證者標識,該候選認證者標識可以攜帶在所述預(yù)認證選項或者其他選 項中�。AAA服務(wù)器對該移動節(jié)點認證通過后,根據(jù)該預(yù)認證選項生成移動節(jié)點和候選認證者 之間的預(yù)認證密鑰��,并將該預(yù)認證密鑰通過認證響應(yīng)消息發(fā)送給第二接收單元650����。第二 接收單元650收到AAA服務(wù)器發(fā)送的預(yù)認證密鑰后���,將該預(yù)認證密鑰發(fā)送給第二發(fā)送單元 640,由第二發(fā)送單元640將該預(yù)認證密鑰發(fā)送給所述移動節(jié)點�����,完成預(yù)認證密鑰的分發(fā)過 程�����。上述圖6所示實施例中的兩個或者兩個以上的單元既可以單獨設(shè)置�,也可以集成 在一個模塊上。例如�����,第一接收單元610和第二接收單元650可以集成為同一個接收模塊�����; 第一發(fā)送單元630和第二發(fā)送單元640可以集成為同一個發(fā)送模塊��;第一接收單元610���、第 二接收單元650����、第一發(fā)送單元630和第二發(fā)送單元640可以集成為同一個收發(fā)模塊����。當所述預(yù)認證設(shè)備60充當當前認證者時,如圖7所示���,為本發(fā)明所述預(yù)認證設(shè)備 的另一個實施例的結(jié)構(gòu)示意圖�。該預(yù)認證設(shè)備60在圖6所示基礎(chǔ)上至少還可以包括發(fā)現(xiàn) 單元660�,用于發(fā)現(xiàn)移動節(jié)點的候選認證者。所述第一發(fā)送單元630還用于向所述移動節(jié) 點發(fā)送預(yù)認證初始化消息���,在該預(yù)認證初始化消息中攜帶發(fā)現(xiàn)的候選認證者��,該預(yù)認證初 始化消息具體可以為攜帶預(yù)認證開始標識Pre-auth start的EAP發(fā)起消息EAP-Initiate 或者EAP請求消息EAP-Req�。此時��,該第一接收單元610接收的預(yù)認證消息為移動節(jié)點發(fā) 送的攜帶選定的候選認證者的預(yù)認證確認消息�,具體可以為攜帶預(yù)認證指示標志Pre-auth Indication 的 EAP 發(fā)起消息 ΕΑΡ-Initiate 或者 EAP 響應(yīng)消息 EAP-Rsp。當所述預(yù)認證設(shè)備60充當上述方法實施例中的候選認證者時���,如圖8所示�����,為本 發(fā)明所述預(yù)認證設(shè)備的另一個實施例的結(jié)構(gòu)示意圖����。該預(yù)認證設(shè)備60在圖6所示基礎(chǔ)上 至少還可以包括綁定單元670和存儲單元680。當確定單元620根據(jù)預(yù)認證消息確定需要 進行預(yù)認證的移動節(jié)點后�,綁定單元670在候選認證者本地建立候選認證者與所述移動節(jié) 點的綁定關(guān)系,并設(shè)置所述移動節(jié)點的認證狀態(tài)為預(yù)認證����。當?shù)诙邮諉卧?50收到AAA 服務(wù)器發(fā)送的認證響應(yīng)消息后,獲取其中的預(yù)認證密鑰�,并發(fā)送給存儲單元680,存儲單元 680用于存儲所述預(yù)認證密鑰�。這樣,當移動節(jié)點切換到所述候選認證者時����,能夠使用存儲 的預(yù)認證密鑰對所述移動節(jié)點進行快速認證��,減少了切換認證的時延�。當所述預(yù)認證設(shè)備60為候選認證者時,所述預(yù)認證消息可以為當前認證者發(fā)送的攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標識 CA_ID的EAP發(fā)起消息ΕΑΡ-Initiate或EAP響應(yīng)消息EAP-Rsp ����;或為攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發(fā)起消息ΕΑΡ-Initiate或EAP響應(yīng)消息EAP-Rsp ���;或當前認證者發(fā)送的攜帶候選認證者標識CA_ID或者候選認證者對應(yīng)的二層鏈路 標識BS_ID的EAP發(fā)起消息ΕΑΡ-Initiate或者EAP請求消息EAP-Req。本發(fā)明上述實施例中的預(yù)認證設(shè)備在收到預(yù)認證消息后����,根據(jù)其中的預(yù)認證選項 以及移動節(jié)點相關(guān)信息向AAA服務(wù)器請求對移動節(jié)點進行認證,從AAA服務(wù)器接收移動節(jié) 點與候選認證者之間的預(yù)認證密鑰�,使候選認證者在移動節(jié)點切換到本地時,使用所述預(yù) 認證密鑰對移動接點和候選認證者之間的通信進行保護��,減少了切換認證的時延�����。本發(fā)明實施例還公開了一種預(yù)認證系統(tǒng)����,該預(yù)認證系統(tǒng)90包括預(yù)認證設(shè)備910和 AAA服務(wù)器920。當所述預(yù)認證系統(tǒng)運行時�,所述預(yù)認證設(shè)備910從當前認證SA或者從移 動節(jié)點接收預(yù)認證消息,所述預(yù)認證消息中攜帶預(yù)認證選項�����。預(yù)認證設(shè)備910根據(jù)該預(yù)認 證消息確定需要進行預(yù)認證的移動節(jié)點,其中��,當所述預(yù)認證消息是從移動節(jié)點接收時���,所 述需要進行預(yù)認證的移動節(jié)點即為發(fā)送所述預(yù)認證消息的移動節(jié)點����;當所述預(yù)認證消息是 從當前認證者獲取時�,所述預(yù)認證消息中還需要攜帶需要進行預(yù)認證的移動節(jié)點的信息, 通過所述預(yù)認證消息攜帶的信息確定需要進行預(yù)認證的移動節(jié)點�����。所述預(yù)認證消息的預(yù)認 證選項中包括了預(yù)認證指示標志Pre-auth Identifier或者候選認證者標識CA_ID��。所述 預(yù)認證設(shè)備910根據(jù)所述預(yù)認證消息向AAA服務(wù)器920發(fā)送認證請求消息����,請求對所述需 要進行預(yù)認證的移動節(jié)點進行認證,所述認證請求消息中攜帶與所述預(yù)認證消息中相同的 預(yù)認證選項��,表明對移動節(jié)點的認證是預(yù)認證���。AAA服務(wù)器920收到所述認證請求消息后�,根據(jù)該認證請求消息對所述移動節(jié)點 進行認證�����,認證通過后���,根據(jù)該認證請求消息中的預(yù)認證選項信息生成移動節(jié)點和候選認 證者之間的預(yù)認證密鑰��,將該預(yù)認證密鑰通過認證響應(yīng)消息發(fā)送給所述的預(yù)認證設(shè)備910����, 由所述預(yù)認證設(shè)備910將所述預(yù)認證密鑰發(fā)送給移動節(jié)點(圖9中未示出)��。其中�,預(yù)認證設(shè)備910可以是移動節(jié)點的當前認證者,也可以是移動節(jié)點的候選 認證者����。當預(yù)認證設(shè)備910為當前認證者時,該預(yù)認證設(shè)備還能夠發(fā)現(xiàn)移動節(jié)點的候選認 證者���,并根據(jù)移動節(jié)點的請求發(fā)起預(yù)認證過程或者根據(jù)策略主動發(fā)起預(yù)認證過程�����,所述預(yù) 認證設(shè)備通過所述移動節(jié)點的候選認證者從AAA服務(wù)器獲取所述候選認證者和移動節(jié)點 間的預(yù)認證密鑰�。當預(yù)認證設(shè)備910為候選認證者時,該預(yù)認證設(shè)備還能夠根據(jù)在收到預(yù) 認證請求后��,建立移動節(jié)點和自身的預(yù)認證綁定關(guān)系�,設(shè)置移動節(jié)點的認證狀態(tài)為預(yù)認證, 并且�����,該預(yù)認證設(shè)備還能夠在收到AAA服務(wù)器發(fā)送的預(yù)認證密鑰后�,保存該預(yù)認證密鑰,以 及將所述預(yù)認證密鑰通過當前認證者發(fā)送給移動節(jié)點����。通過實施本發(fā)明上述實施例,可以使當前認證者或者候選認證者正確識別預(yù)認證 消息����,在收到預(yù)認證消息后,通過AAA服務(wù)器獲取候選認證者與移動節(jié)點之間的預(yù)認證密 鑰�����,使移動節(jié)點切換到候選認證者之后,可以使用所述預(yù)認證密鑰保護移動節(jié)點和候選認 證者之間的通信���,增強了通信的安全性,減少了切換認證的時延���。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程�����,是可以通過計算機程序來指令相關(guān)的硬件來完成�,所述的程序可存儲于一計算機可讀取存儲介質(zhì) 中����,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程����。其中,所述的存儲介質(zhì)可為磁 碟�、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等�����。
以上所述,僅為本發(fā)明較佳的具 體實施方式����,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)����。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍 為準��。
權(quán)利要求
一種預(yù)認證方法�����,其特征在于�����,包括接收預(yù)認證消息�,所述預(yù)認證消息中攜帶預(yù)認證選項;根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點���;向AAA服務(wù)器發(fā)送認證請求消息�,請求對所述移動節(jié)點進行認證,所述認證請求消息中攜帶所述預(yù)認證選項����;接收所述AAA服務(wù)器發(fā)送的認證響應(yīng)消息,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密鑰�;將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點���。
2.根據(jù)權(quán)利要求1所述的預(yù)認證方法�,其特征在于����,所述根據(jù)所述預(yù)認證消息確定需 要進行預(yù)認證的移動節(jié)點之后,向AAA服務(wù)器發(fā)送認證請求消息之前����,所述方法還包括根據(jù)所述預(yù)認證消息建立所述候選認證者與所述移動節(jié)點間的預(yù)認證綁定關(guān)系,設(shè)置 所述移動節(jié)點的認證狀態(tài)為預(yù)認證���。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于���,所述預(yù)認證消息為當前認證者發(fā)送 的攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發(fā)起消息 ΕΑΡ-Initiate 或 EAP 響應(yīng)消息 EAP-Rsp�����。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于����,所述接收預(yù)認證消息之前,所述方法還包括所述當前認證者向所述移動節(jié)點發(fā)送攜帶預(yù)認證Pre-auth start開始標識的EAP 發(fā)起消息EAP-Initiate��,并接收所述移動節(jié)點發(fā)送的攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發(fā)起消息ΕΑΡ-Initiate �����;或所述當前認證者向移所述動節(jié)點發(fā)送攜帶預(yù)認證開始標識Pre-auth start的EAP請 求消息EAP-Req����,并接收所述移動節(jié)點發(fā)送的攜帶預(yù)認證指示標志Pre-auth Indication 或候選認證者標識CA_ID的EAP響應(yīng)消息EAP-Rsp。
5.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于�,所述預(yù)認證消息為所述移動節(jié)點發(fā) 送的攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標識CA_ID的EAP發(fā)起消息 ΕΑΡ-Initiate 或 EAP 響應(yīng)消息 EAP-Rsp��。
6.根據(jù)權(quán)利要求5所述的方法�����,其特征在于���,所述接收預(yù)認證消息之前����,所述方法還包括接收當前認證者發(fā)送的預(yù)認證發(fā)起指示消息�����,攜帶移動節(jié)點標識����; 根據(jù)所述預(yù)認證發(fā)起指示消息向所述移動節(jié)點發(fā)送攜帶預(yù)認證開始標識Pre-auth start的EAP發(fā)起消息ΕΑΡ-Initiate或者EAP請求消息EAP-Req �����;接收所述移動接點發(fā)送的攜帶預(yù)認證指示標志Pre-auth Indication或候選認證者標 識CA_ID的EAP發(fā)起消息ΕΑΡ-Initiate或EAP響應(yīng)消息EAP-Rsp。
7.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于�����,所述預(yù)認證消息為當前認證者發(fā)送 的攜帶候選認證者標識CA_ID或者候選認證者對應(yīng)的二層鏈路標識BS_ID的EAP發(fā)起消息 ΕΑΡ-Initiate 或者 EAP 請求消息 EAP-Req�����。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于�����,所述接收預(yù)認證消息之前�,所述方法還包括所述當前認證者接收所述移動節(jié)點發(fā)送的攜帶候選認證者標識CA_ID或者候選認證者對應(yīng)的二層鏈路標識BS_ID的EAP發(fā)起消息ΕΑΡ-Initiate或EAP請求消息EAP-Req,通 過所述EAP發(fā)起消息或EAP請求消息獲得候選認證者CA����,將所述EAP發(fā)起消息或EAP請求 消息發(fā)送給所述候選認證者CA。
9.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述預(yù)認證消息為移動節(jié)點發(fā)送的攜帶 預(yù)認證指示標志Pre-auth Indication的EAP發(fā)起消息ΕΑΡ-Initiate或者EAP響應(yīng)消息 EAP-Rsp。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于�,所述接收預(yù)認證消息之前,所述方法還 包括向移動節(jié)點發(fā)送攜帶預(yù)認證開始標識Pre-auth start的EAP發(fā)起消息EAP-Initiate 或EAP請求消息EAP-Req�����。
11.一種預(yù)認證設(shè)備�����,其特征在于�,包括第一接收單元,用于接收預(yù)認證消息�����,所述預(yù)認證消息中攜帶預(yù)認證選項���; 確定單元,用于根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點����; 第一發(fā)送單元,用于向AAA服務(wù)器發(fā)送認證請求消息,請求對所述移動節(jié)點進行認證�, 所述認證請求消息中攜帶所述預(yù)認證選項;第二接收單元���,用于接收所述AAA服務(wù)器發(fā)送的認證響應(yīng)消息���,所述認證響應(yīng)消息中 攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密鑰;第二發(fā)送單元�����,用于將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點��。
12.根據(jù)權(quán)利要求11所述的預(yù)認證設(shè)備�,其特征在于,所述預(yù)認證設(shè)備還包括 存儲單元���,用于存儲所述第二接收單元從AAA服務(wù)器接收的認證響應(yīng)消息中攜帶的預(yù)認證密鑰��。
13.根據(jù)權(quán)利要求11或12所述的預(yù)認證設(shè)備�,其特征在于����,所述預(yù)認證設(shè)備還包括 綁定單元����,用于在確定單元確定需要進行預(yù)認證的移動節(jié)點后�����,根據(jù)所述預(yù)認證消息建立所述候選認證者與所述移動節(jié)點間的預(yù)認證綁定關(guān)系��,設(shè)置所述移動節(jié)點的認證狀態(tài) 為預(yù)認證�。
14.根據(jù)權(quán)利要求11所述的預(yù)認證設(shè)備,其特征在于���,所述預(yù)認證設(shè)備還包括 發(fā)現(xiàn)單元�����,用于發(fā)現(xiàn)移動節(jié)點的候選認證者����;所述第一發(fā)送單元還用于向所述移動節(jié)點發(fā)送預(yù)認證初始化消息���,使所述移動節(jié)點選 擇候選認證者。
15.一種預(yù)認證系統(tǒng)���,其特征在于���,包括預(yù)認證設(shè)備和AAA服務(wù)器���,其中,所述預(yù)認證設(shè)備��,用于接收預(yù)認證消息����,所述預(yù)認證消息中攜帶預(yù)認證選項,根據(jù)所 述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點���,向AAA服務(wù)器發(fā)送認證請求消息���,請求對 所述移動節(jié)點進行認證,所述認證請求消息中攜帶所述預(yù)認證選項�����,接收所述AAA服務(wù)器 發(fā)送的認證響應(yīng)消息�,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密 鑰;將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點�����;所述AAA服務(wù)器,用于接收所述預(yù)認證設(shè)備發(fā)送的認證請求消息����,根據(jù)所述認證請求 消息生成所述候選認證者和所述移動節(jié)點間的預(yù)認證密鑰,將所述預(yù)認證密鑰攜帶在所述 認證響應(yīng)消息中發(fā)送給所述預(yù)認證設(shè)備��。
16.根據(jù)權(quán)利要求15所述的預(yù)認證系統(tǒng)��,其特征在于�����,所述預(yù)認證設(shè)備為所述移動節(jié)點的當前認證者���,所述預(yù)認證設(shè)備還用于發(fā)現(xiàn)所述移動節(jié)點的候選認證者�;所述預(yù)認證設(shè) 備通過所述移動節(jié)點的候選認證者從AAA服務(wù)器獲取所述候選認證者和所述移動節(jié)點間 的預(yù)認證密鑰���。
17.根據(jù)權(quán)利要求15所述的預(yù)認證系統(tǒng)��,其特征在于����,所述預(yù)認證設(shè)備為所述移動節(jié) 點的候選認證者�,所述預(yù)認證設(shè)備還用于存儲所述從AAA服務(wù)器接收的認證響應(yīng)消息中攜 帶的所述候選認證者和所述移動節(jié)點間的預(yù)認證密鑰。
18.根據(jù)權(quán)利要求15或17所述的預(yù)認證系統(tǒng)�,其特征在于,所述預(yù)認證設(shè)備還用于在 確定需要進行預(yù)認證的移動節(jié)點后�����,在本地建立自身與所述移動節(jié)點的預(yù)認證綁定關(guān)系���, 設(shè)置所述移動節(jié)點的認證狀態(tài)為預(yù)認證狀態(tài)�����。
全文摘要
本發(fā)明涉及移動通信領(lǐng)域�����,公開了一種預(yù)認證方法�����、設(shè)備和系統(tǒng)����。所述方法包括接收預(yù)認證消息,所述預(yù)認證消息中攜帶預(yù)認證選項����;根據(jù)所述預(yù)認證消息確定需要進行預(yù)認證的移動節(jié)點;向AAA服務(wù)器發(fā)送認證請求消息�,請求對所述移動節(jié)點進行認證,所述認證請求消息中攜帶所述預(yù)認證選項�����;接收所述AAA服務(wù)器發(fā)送的認證響應(yīng)消息����,所述認證響應(yīng)消息中攜帶候選認證者與所述移動節(jié)點間的預(yù)認證密鑰;將所述預(yù)認證密鑰發(fā)送給所述移動節(jié)點��。本發(fā)明實施例所述系統(tǒng)包括預(yù)認證設(shè)備和AAA服務(wù)器�����。通過實施本發(fā)明�,可以使用所述預(yù)認證密鑰保護移動節(jié)點和候選認證者之間的通信,增強了通信的安全性����,減少了切換認證的時延��。
文檔編號H04L9/32GK101841811SQ20091010615
公開日2010年9月22日 申請日期2009年3月18日 優(yōu)先權(quán)日2009年3月18日
發(fā)明者宮小玉, 李洪廣, 王云貴, 管紅光 申請人:華為技術(shù)有限公司