專利名稱:一種安全信息存儲(chǔ)設(shè)備�����、認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證技術(shù)�����,特別是指一種安全信息存儲(chǔ)設(shè)備��、認(rèn)證方法及系統(tǒng)���。
背景技術(shù):
根據(jù)市場(chǎng)調(diào)研發(fā)現(xiàn)��,以iPhone�����、黑莓為代表的智能手機(jī)���、以及以iPad為代表的移動(dòng)互聯(lián)網(wǎng)設(shè)備(MID�����,Mobile Internet Device),在終端市場(chǎng)上的占有率越來越高���。與普通的手持終端相比�,這些智能終端具有獨(dú)立的操作系統(tǒng)����,并且安裝有很多第三方服務(wù)商提供的軟件、游戲等等���,而這類程序的使用會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量�����,以AT&T為例����,其iPhone用戶僅占其總客戶3%��,但是卻產(chǎn)生了總流量的40%的網(wǎng)絡(luò)流量�。由于受自身技術(shù)和成本的限制,第三代移動(dòng)通信技術(shù)(3G, 3rd_generation)的空口已經(jīng)無法為這些智能終端用戶提供足夠的無線帶寬��,智能終端用戶所產(chǎn)生的大量因特網(wǎng)·(Internet)流量也已經(jīng)使3G核心網(wǎng)絡(luò)不堪重負(fù)�,從而使得用戶迅猛增長(zhǎng)的需求與系統(tǒng)能力有限的矛盾越來越尖銳,因此,需要對(duì)數(shù)據(jù)業(yè)務(wù)進(jìn)行分流�。由于無線局域網(wǎng)(WLAN, Wireless Local Area Network)技術(shù)是單位帶寬成本最低的無線接入技術(shù),因此����,利用WLAN來對(duì)現(xiàn)網(wǎng)中的數(shù)據(jù)業(yè)務(wù)進(jìn)行分流已經(jīng)成了業(yè)界的共識(shí)。目前�����,市場(chǎng)上出現(xiàn)了多種同時(shí)支持WLAN和第二代移動(dòng)通信技術(shù)(2G����,2ndGeneration)/3G的終端,從2010年起��,國(guó)內(nèi)外各大運(yùn)營(yíng)商開始了大規(guī)模集采并全力建設(shè)WLAN0隨著WLAN熱點(diǎn)的部署越來越密集���,使得在一些區(qū)域�,WLAN已經(jīng)實(shí)現(xiàn)了無縫覆蓋�。網(wǎng)絡(luò)規(guī)模的擴(kuò)大及相關(guān)業(yè)務(wù)的普及同時(shí)也刺激了用戶對(duì)網(wǎng)絡(luò)的需求,例如���,部分手持終端用戶會(huì)經(jīng)常在公交車上或其它低速移動(dòng)情況下��,觀看網(wǎng)絡(luò)視頻或玩網(wǎng)絡(luò)游戲�。然而���,在這個(gè)移動(dòng)過程中���,終端將不可避免地會(huì)發(fā)生切換的情況,在切換的過程中�,需要滿足用戶的業(yè)務(wù)連續(xù)性要求;這里���,所述業(yè)務(wù)連續(xù)性要求就是指終端切換的過程不能對(duì)正在進(jìn)行的業(yè)務(wù)產(chǎn)生不良影響��?�?紤]到用戶切換的過程實(shí)際上是一個(gè)網(wǎng)絡(luò)鏈接重建的過程���,因此,用戶的業(yè)務(wù)連續(xù)性要求對(duì)網(wǎng)絡(luò)提出了如下要求I�、當(dāng)終端切換時(shí),需要有網(wǎng)絡(luò)層或更高層面的機(jī)制來保證終端當(dāng)前的會(huì)話或連接不中斷�;2、當(dāng)終端切換時(shí)����,需要先斷開與原接入設(shè)備的連接����,之后再與新接入設(shè)備建立連接����,由于在這個(gè)連接重建的過程中,終端無法與網(wǎng)絡(luò)進(jìn)行實(shí)際的數(shù)據(jù)交互�����,因此����,連接重建所需的時(shí)間不能大于業(yè)務(wù)所能忍受的丟包或抖動(dòng)極限。雖然在某些區(qū)域����,WLAN能夠保證用戶在其移動(dòng)過程中始終有網(wǎng)絡(luò)覆蓋,但是�����,現(xiàn)網(wǎng)卻無法保證其業(yè)務(wù)連續(xù)性要求����,主要原因在于連接重建所需的時(shí)間不滿足業(yè)務(wù)要求�����。具體地,目前�,常見的實(shí)時(shí)性較強(qiáng)的業(yè)務(wù)所能容忍的丟包極限一般不超過500ms,比如實(shí)時(shí)視頻業(yè)務(wù)及一些網(wǎng)絡(luò)游戲����,而現(xiàn)有的WLAN中,切換時(shí)連接重建所需的時(shí)間一般都大于500ms��。造成WLAN連接重建耗時(shí)大于部分業(yè)務(wù)所能容忍極限的原因是WLAN終端的“先斷后連”機(jī)制�,即終端在與已連接的接入設(shè)備斷開之前,無法與新的接入設(shè)備預(yù)建通信鏈接�����,這就意味著����,當(dāng)終端切換時(shí),終端實(shí)際上執(zhí)行的就是一次完整的入網(wǎng)流程���。
而WLAN終端完成一次完整的入網(wǎng)流程所需要的時(shí)間��,主要包括完成物理層切換所需的時(shí)間����、完成鏈路層切換所需的時(shí)間、以及完成網(wǎng)絡(luò)層其以上信息配置比如因特網(wǎng)協(xié)議(IP, Internet Protocol)地址等切換所需的時(shí)間�����。下面針對(duì)每種切換�����,詳細(xì)說明完成切換所需的時(shí)間����。物理層切換所需的時(shí)間主要是指終端掃描、發(fā)現(xiàn)新接入設(shè)備信號(hào)所需的時(shí)間����,所需的時(shí)間主要與接入點(diǎn)(APjccess Point)的部署、配置方式及終端掃描���、發(fā)現(xiàn)新接入設(shè)備信號(hào)的具體實(shí)現(xiàn)相關(guān)��,包括終端掃描無線信號(hào)的具體方式等��,在理想情況下����,物理層切換所需的時(shí)間約為50ms左右。鏈路層切換所需的時(shí)間主要是指終端接入網(wǎng)絡(luò)�,并與網(wǎng)絡(luò)建立安全關(guān)系所需的時(shí)間�,這里,建立安全關(guān)系的過程包括認(rèn)證�、重認(rèn)證、以及相關(guān)密鑰的分發(fā)����,認(rèn)證服務(wù)器與認(rèn)證者(Authenticator)通過交換機(jī)連接,在理想情況下,終端接入網(wǎng)絡(luò),并與網(wǎng)絡(luò)建立安全關(guān)系所需的時(shí)間分布如表I所示表I
進(jìn)行的過程所需的時(shí)間占認(rèn)證所需時(shí)間的百分比
開放模式(Open Authentication)1.98ms0. 99%
建立關(guān)聯(lián)(Association)1.62ms0. 81 %
EAP 認(rèn)證192.47ms96.28%
四次握手3.84ms1.92%從表I中可以看出���,鏈路層切換所需的時(shí)間主要由可擴(kuò)展認(rèn)證協(xié)議(EAP�,Extensible Authentication Protocol)認(rèn)證的耗時(shí)所決定��,并且,在實(shí)際環(huán)境中����,認(rèn)證����、授權(quán)���、計(jì)費(fèi)(AAA, Authentication, Authorization, Accounting)服務(wù)器一般位于網(wǎng)絡(luò)上層�����,與Authenticator之間還存在多跳路由��,甚至中間還可能存在AAA Proxy等設(shè)備��,因此實(shí)際的切換耗時(shí)會(huì)更長(zhǎng)�����;這里�,所述AAA服務(wù)器就是指認(rèn)證服務(wù)器��。對(duì)于網(wǎng)絡(luò)層及其以上信息配置切換所需的時(shí)間���,在代理移動(dòng)IP(PMIP�,ProxyMobile IP)網(wǎng)絡(luò)中,L3切換的時(shí)間主要取決與新�����、舊接入控制點(diǎn)(AC�����,Acess Controller)及本地移動(dòng)錨點(diǎn)(LMA����,Local Mobile Anchor)之間的網(wǎng)絡(luò)狀況,在實(shí)驗(yàn)室環(huán)境中�����,L3切換所需的時(shí)間約為30-50ms����。從上面的描述中可以看出��,切換時(shí)的EAP認(rèn)證過程所耗的時(shí)間是造成終端切換時(shí)連接重建流程耗時(shí)的主要原因���,因此���,如何縮短切換時(shí)的EAP認(rèn)證過程所耗的時(shí)間是目前亟待解決的問題���。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種認(rèn)證方法��、設(shè)備及系統(tǒng)�,能有效地縮短終端切換時(shí)的連接重建過程所需的時(shí)間。為達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明提供了一種認(rèn)證方法,該方法包括在終端進(jìn)行切換的過程中����,切換后終端所連接的接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行四次握手(4-way-handshake)流程���。上述方案中��,所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息����,為 安全信息存儲(chǔ)設(shè)備依據(jù)策略�,向網(wǎng)絡(luò)中的接入設(shè)備發(fā)送自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息�;所述接入設(shè)備在本地緩存保存收到的安全關(guān)聯(lián)及密鑰信息�,從自身保存的安全關(guān)聯(lián)及密鑰信息中獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;或者���,所述接入設(shè)備向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息��,獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息��。上述方案中�����,在所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息之前��,該方法進(jìn)一步包括所述接入設(shè)備判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,確定未保存時(shí),從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�。上述方案中,該方法進(jìn)一步包括確定本地緩存保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)����,根據(jù)從本地緩存中獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程。上述方案中,在根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程之前��,該方法進(jìn)一步包括檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性���,確定信息有效后����,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程���。上述方案中�����,所述檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性�����,為判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期���、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配,如果超出有效期��、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配����,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效����,如果未超出有效期����、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效���。上述方案中�,當(dāng)所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)���、或者���,確定獲取的安全關(guān)聯(lián)及密鑰信息無效后,該方法進(jìn)一步包括所述接入設(shè)備對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程���,并在完成后���,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備����;安全信息存儲(chǔ)設(shè)備保存上傳的安全關(guān)聯(lián)及密鑰信息�。上述方案中�����,該方法進(jìn)一步包括安全信息存儲(chǔ)設(shè)備維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息��。
本發(fā)明還提供了一種安全信息存儲(chǔ)設(shè)備����,該設(shè)備包括存儲(chǔ)單元及發(fā)送單元;其中���,存儲(chǔ)單元����,用于存儲(chǔ)安全關(guān)聯(lián)及密鑰信息��;發(fā)送單元�����,用于向接入設(shè)備發(fā)送存儲(chǔ)單元存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息���。上述方案中�,該設(shè)備進(jìn)一步包括接收單元,用于接收接入設(shè)備上報(bào)的安全關(guān)聯(lián)及密鑰信息��,并保存至存儲(chǔ)單元���。上述方案中�,該設(shè)備進(jìn)一步包括維護(hù)單元�,用于維護(hù)存儲(chǔ)單元存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息。本發(fā)明還提供了一種認(rèn)證系統(tǒng)�,該系統(tǒng)包括接入設(shè)備及安全信息存儲(chǔ)設(shè)備;其中�����,
接入設(shè)備��,用于在終端進(jìn)行切換的過程中����,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake 流程��;安全信息存儲(chǔ)設(shè)備,用于向接入設(shè)備提供所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息��。上述方案中����,所述接入設(shè)備����,還用于判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,確定未保存時(shí)����,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息。上述方案中��,所述接入設(shè)備��,還用于檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性����,確定信息有效后,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程�。上述方案中,所述接入設(shè)備���,還用于從安全信息存儲(chǔ)設(shè)備未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息����、或確定獲取的安全關(guān)聯(lián)及密鑰信息無效時(shí),對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程�,并在完成后,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�����;所述安全信息存儲(chǔ)設(shè)備�,還用于收到接入設(shè)備上傳的安全關(guān)聯(lián)及密鑰信息后,保存上傳的安全關(guān)聯(lián)及密鑰信息上述方案中�,所述安全信息存儲(chǔ)設(shè)備,還用于維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信肩�、O本發(fā)明提供的認(rèn)證方法及系統(tǒng),在終端進(jìn)行切換的過程中���,切換后終端所連接的接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�;根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程�����,如此��,能有效地縮短終端切換時(shí)的連接重建過程所需的時(shí)間,從而保證業(yè)務(wù)的連續(xù)性�����,進(jìn)而提升用戶體驗(yàn)����。另外���,在網(wǎng)絡(luò)拓?fù)渲?,將安全信息存?chǔ)設(shè)備安置于靠近接入設(shè)備的位置�,如此,能減少認(rèn)證時(shí)的往返時(shí)間(RRT, Roundup-Trip Times),從而進(jìn)一步縮短端切換時(shí)的連接重建過程所需的時(shí)間�����,保證業(yè)務(wù)的連續(xù)性��,進(jìn)而提升用戶體驗(yàn)�����。
圖I為本發(fā)明認(rèn)證的方法流程示意圖�;圖2為實(shí)施例一認(rèn)證的方法流程示意圖;圖3為實(shí)施例二認(rèn)證的方法流程示意圖4為實(shí)施例三認(rèn)證的方法流程示意圖;圖5為本發(fā)明安全信息存儲(chǔ)設(shè)備的結(jié)構(gòu)示意圖�;圖6本發(fā)明認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明��。本發(fā)明的認(rèn)證方法����,如圖I所示,包括以下步驟步驟101 :在終端進(jìn)行切換的過程中�,切換后終端所連接的接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;
這里�,所述接入設(shè)備是指具備用戶接入認(rèn)證功能的WLAN設(shè)備,根據(jù)網(wǎng)絡(luò)形態(tài)的不同�,具體可以是AP,或者�����,可以是AC加AP�,其中,所述AC加AP是指接入設(shè)備包括AC及AP0所述安全關(guān)聯(lián)及密鑰信息包括終端的身份信息��、當(dāng)前接入設(shè)備的信息�����、用于執(zhí)行4-way-handshake流程所需的密鑰材料、以及有效期等�。所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息,具體為安全信息存儲(chǔ)設(shè)備依據(jù)策略�����,向網(wǎng)絡(luò)中的接入設(shè)備發(fā)送自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息���;所述接入設(shè)備保存收到的安全關(guān)聯(lián)及密鑰信息�����,從自身保存的安全關(guān)聯(lián)及密鑰信息中獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;或者����,所述接入設(shè)備向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息,獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息����。其中,安全信息存儲(chǔ)設(shè)備依據(jù)策略��,可以向網(wǎng)絡(luò)中的全部或部分接入設(shè)備發(fā)送自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息��;所述策略可以依據(jù)需要進(jìn)行設(shè)置,比如可以是終端的位置信息等�,安全信息存儲(chǔ)設(shè)備得到終端的位置信息后,即可向終端所連接的接入設(shè)備發(fā)送自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息�����。在接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息之前����,該方法還可以進(jìn)一步包括所述接入設(shè)備判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,確定未保存時(shí)����,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息。其中��,當(dāng)確定本地緩存保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)��,執(zhí)行步驟102����。在WLAN中,認(rèn)證過程的主要作用是建立終端與網(wǎng)絡(luò)�、終端與接入設(shè)備之間的信任關(guān)系,出于安全考慮�,終端與網(wǎng)絡(luò)的信任關(guān)系與當(dāng)前的接入設(shè)備強(qiáng)相關(guān)�,一旦發(fā)生切換�,那么終端與網(wǎng)絡(luò)之前建立的信任關(guān)系就失效了,需要與新接入設(shè)備重新進(jìn)行認(rèn)證�;這里,所述信任關(guān)系包括安全關(guān)聯(lián)及密鑰信息等���??紤]到現(xiàn)網(wǎng)中的接入設(shè)備都在運(yùn)營(yíng)商的控制范圍內(nèi)��,因此��,不太可能發(fā)生前接入設(shè)備故意將安全密鑰泄露出去����,或者利用這些信息干擾���、偵聽終端與后接入設(shè)備通信的行為���,因此,可以采用一旦終端與某個(gè)接入設(shè)備建立了信任關(guān)系后�,當(dāng)終端接入其它接入設(shè)備時(shí),依然可以沿用該信任關(guān)系�����,即采用直至該信任關(guān)系到期或由于其它原因被廢為止。在實(shí)際應(yīng)用過程中��,在網(wǎng)絡(luò)拓?fù)渲?���,可以將安全信息存?chǔ)設(shè)備安置于盡量靠近接入設(shè)備的位置,比如接入設(shè)備與安全信息存儲(chǔ)設(shè)備之間僅僅I 2跳路由的距離�,如此,可以減少認(rèn)證時(shí)的RTT�����。當(dāng)接入設(shè)備從安全信息存儲(chǔ)設(shè)備未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)����,該方法還可以進(jìn)一步包括接入設(shè)備對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程,并在完成后���,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�,安全信息存儲(chǔ)設(shè)備保存上傳的安全關(guān)聯(lián)及密鑰信息�����。。步驟102 :根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-hand shake流程�����。這里�����,本步驟的具體實(shí)現(xiàn)為現(xiàn)有技術(shù)�,這里不再贅述。在執(zhí)行本步驟前�����,該方法還可以進(jìn)一步包括檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性���,確定信息有效后�,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程��;其中�,所述檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性�����,具體為判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配�����,如果超出有效期�����、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配�����,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效�����,如果未超出有效期��、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配���,認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效���。其中,所述安全保護(hù)方式具體可以包括加密算法和/或完整性校驗(yàn)算法等。當(dāng)確定獲取的安全關(guān)聯(lián)及密鑰信息無效后�,該方法還可以進(jìn)一步包括所述接入設(shè)備對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程,并在完成后��,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�,安全信息存儲(chǔ)設(shè)備保存上傳的安全關(guān)聯(lián)及密鑰信息。該方法還可以進(jìn)一步包括安全信息存儲(chǔ)設(shè)備維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息�。其中,維護(hù)操作主要是安全關(guān)聯(lián)及密鑰信息的老化�,具體地,當(dāng)存儲(chǔ)的每條安全關(guān)聯(lián)及密鑰信息超過有效期后����,則刪除該條安全關(guān)聯(lián)及密鑰信息。當(dāng)確定本地緩存保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息����,執(zhí)行本步驟時(shí),獲取的安全關(guān)聯(lián)及密鑰信息為從本地緩存中保存的安全關(guān)聯(lián)及密鑰信息中獲取的安全關(guān)聯(lián)及密鑰信息���。下面結(jié)合實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的描述��。實(shí)施例一本實(shí)施例的應(yīng)用場(chǎng)景為接入設(shè)備是指AP��,即AP具有用戶接入認(rèn)證的功能。本實(shí)施例的認(rèn)證方法���,如圖2所示,包括以下步驟步驟201 :終端進(jìn)行切換時(shí)���,終端確定與某個(gè)AP進(jìn)行關(guān)聯(lián)���;這里,本步驟的具體處理過程為現(xiàn)有技術(shù)�。步驟202 :關(guān)聯(lián)后,AP向終端發(fā)出問詢消息��,詢問終端的身份�;
步驟203 :終端收到消息后,向AP發(fā)出應(yīng)答消息����;這里,所述應(yīng)答消息中攜帶終端的身份信息��。步驟204 AP收到應(yīng)答消息后��,查詢本地緩存�,判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,如果是��,則執(zhí)行步驟211,否則���,執(zhí)行步驟205 �����;這里�����,如果AP沒有本地緩存���,則直接執(zhí)行步驟205。步驟205 AP向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息����;這里,所述查詢消息包含終端的身份信息�����?��!?br>
步驟206 :安全信息存儲(chǔ)設(shè)備根據(jù)自身存儲(chǔ)的實(shí)際情況���,向AP反饋查詢結(jié)果���;具體地�����,根據(jù)查詢消息中的終端身份信息���,在保存的安全關(guān)聯(lián)及密鑰信息中進(jìn)行查詢����,如果查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�,則向AP反饋終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,否則�����,向AP反饋未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息�。另外,安全信息存儲(chǔ)設(shè)備還負(fù)責(zé)維護(hù)終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,維護(hù)操作主要是安全關(guān)聯(lián)及密鑰信息的老化,具體地���,當(dāng)存儲(chǔ)的每條安全關(guān)聯(lián)及密鑰信息超過有效期后����,則刪除該條安全關(guān)聯(lián)及密鑰信息�����。步驟207 AP獲得終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���,則檢驗(yàn)信息的有效性���,如果有效,則執(zhí)行步驟211�����,否則�,執(zhí)行步驟209 ;這里�,檢驗(yàn)信息的有效性的操作為可選操作;所述檢驗(yàn)信息的有效性�����,具體為判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配�����,如果超出有效期�、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配�,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效,如果未超出有效期���、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配����,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效�。步驟208 AP從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信息,之后執(zhí)彳了步驟209 �;這里,AP收到安全信息存儲(chǔ)設(shè)備反饋的未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息���,則表明AP從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���。步驟209 AP對(duì)終端發(fā)起完整的EAP認(rèn)證���,并在終端通過EAP認(rèn)證后,執(zhí)行步驟210 �;這里,AP對(duì)終端發(fā)起完整的EAP認(rèn)證的具體處理過程為現(xiàn)有技術(shù)��,這里不再贅述����。步驟210 AP將執(zhí)行完整EAP所產(chǎn)生的終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備,之后執(zhí)行步驟211 �����;這里�,安全信息存儲(chǔ)設(shè)備收到上傳的安全關(guān)聯(lián)及密鑰信息后,保存上傳的安全關(guān)聯(lián)及密鑰信息���。步驟211 AP向終端發(fā)送EAP成功消息���,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程,之后結(jié)束當(dāng)前處理流程。這里����,在實(shí)際應(yīng)用時(shí)����,步驟210及步驟211中的AP向終端發(fā)送EAP成功消息���,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程的操作,在執(zhí)行上無先后順序����,換句話說�,也可以先執(zhí)行步驟211中的AP向終端發(fā)送EAP成功消息,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程的操作�,再執(zhí)行步驟210���。
實(shí)施例二本實(shí)施例的應(yīng)用場(chǎng)景為終端與AP進(jìn)行關(guān)聯(lián)�����,接入設(shè)備是指A(^APJ :AC與AP共同作用��,具有用戶接入認(rèn)證的功能����。本實(shí)施例的認(rèn)證方法���,如圖3所示���,包括以下步驟步驟301 :終端進(jìn)行切換時(shí)���,終端與某個(gè)AP進(jìn)行關(guān)聯(lián);這里�,本步驟的具體處理過程為現(xiàn)有技術(shù)。步驟302 :關(guān)聯(lián)后����,AP向AC上報(bào)終端與本AP進(jìn)行了關(guān)聯(lián);步驟303 :AC收到上報(bào)后��,AC向終端發(fā)出問詢消息��,詢問終端的身份���;
步驟304 :終端收到消息后���,向AC發(fā)出應(yīng)答消息;這里�,所述該應(yīng)答消息中攜帶中終端的身份信息;步驟305 AC收到應(yīng)答消息后,查詢本地緩存��,判斷本地緩存是否存在終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息��,如果是����,則執(zhí)行步驟312,否則��,執(zhí)行步驟306 �����;這里�����,如果AC沒有本地緩存�,則直接執(zhí)行步驟306�。步驟306 AC向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息;這里��,所述查詢消息包含終端的身份信息�。步驟307 :安全信息存儲(chǔ)設(shè)備根據(jù)自身存儲(chǔ)的實(shí)際情況,向AC反饋查詢結(jié)果;具體地��,根據(jù)查詢消息中的終端身份信息����,在保存的安全關(guān)聯(lián)及密鑰信息中進(jìn)行查詢,如果查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,則向AC反饋終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,否則���,向AC反饋未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息�����;另外�,安全信息存儲(chǔ)設(shè)備還負(fù)責(zé)維護(hù)終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���,維護(hù)操作主要是安全關(guān)聯(lián)及密鑰信息的老化����,具體地,當(dāng)存儲(chǔ)的每條安全關(guān)聯(lián)及密鑰信息超過有效期后�,則刪除該條安全關(guān)聯(lián)及密鑰信息。步驟308 :如果AC獲得終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�,檢驗(yàn)消息有效性,如果有效��,則執(zhí)行步驟312���,否則����,執(zhí)行步驟310 �����;檢驗(yàn)信息的有效性的操作為可選操作����;所述檢驗(yàn)信息的有效性��,具體為判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期�����、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配,如果超出有效期�����、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配���,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效�����,如果未超出有效期�����、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配�,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效���。步驟309 AC從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,之后執(zhí)打步驟310 ���;這里��,這里��,AC收到安全信息存儲(chǔ)設(shè)備反饋的未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息����,則表明AC從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信
肩���、O步驟310 :接入設(shè)備對(duì)終端發(fā)起完整的EAP認(rèn)證����,并在終端通過EAP認(rèn)證后����,執(zhí)行步驟311 ;這里�����,接入設(shè)備對(duì)終端發(fā)起完整的EAP認(rèn)證的具體處理過程為現(xiàn)有技術(shù)���,這里不再贅述�。步驟311 AC將執(zhí)行完整EAP所產(chǎn)生的終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�����,之后執(zhí)行步驟312 �����;這里�,安全信息存儲(chǔ)設(shè)備收到上傳的安全關(guān)聯(lián)及密鑰信息后,保存上傳的安全關(guān)聯(lián)及密鑰信息�。步驟312 :AC向終端發(fā)送EAP成功消息,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP,并結(jié)束當(dāng)前處
理流程�����。這里����,在實(shí)際應(yīng)用時(shí),步驟311及步驟312中的AP向終端發(fā)送EAP成功消息��,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程�����,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP的操作,在執(zhí)行上無先后順序,換句話說����,也可以先步驟312中的AP向終端發(fā)送EAP成功消息,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行 后續(xù)的4-way-handshake流程,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP的操作����,再執(zhí)行步驟311。實(shí)施例三本實(shí)施例的應(yīng)用場(chǎng)景為終端與AC進(jìn)行關(guān)聯(lián)�����,接入設(shè)備是指AC及AP�����,即AC與AP共同作用���,具有用戶接入認(rèn)證的功能�。本實(shí)施例的認(rèn)證方法�,如圖4所示,包括以下步驟步驟401 :終端進(jìn)行切換時(shí)�����,終端與某個(gè)AC進(jìn)行關(guān)聯(lián);這里��,本步驟的具體處理過程為現(xiàn)有技術(shù)����。步驟402 :關(guān)聯(lián)后�,AC向終端發(fā)出問詢消息,詢問終端的身份�����;步驟403 :終端收到消息后�����,向AC發(fā)出應(yīng)答消息�����;這里�,所述該應(yīng)答消息中攜帶中終端的身份信息;步驟404 AC收到應(yīng)答消息后���,查詢本地緩存�,判斷本地緩存是否存在終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,如果是����,則執(zhí)行步驟411,否則����,執(zhí)行步驟405 ;這里��,如果AC沒有本地緩存����,則直接執(zhí)行步驟405。步驟405 AC向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息��;這里�,所述查詢消息包含終端的身份信息。步驟406 :安全信息存儲(chǔ)設(shè)備根據(jù)自身存儲(chǔ)的實(shí)際情況��,向AC反饋查詢結(jié)果�����;具體地,根據(jù)查詢消息中的終端身份信息�,在保存的安全關(guān)聯(lián)及密鑰信息中進(jìn)行查詢,如果查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�,則向AC反饋終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,否則��,向AC反饋未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息��;另外�����,安全信息存儲(chǔ)設(shè)備還負(fù)責(zé)維護(hù)終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���,維護(hù)操作主要是安全關(guān)聯(lián)及密鑰信息的老化,具體地���,當(dāng)存儲(chǔ)的每條安全關(guān)聯(lián)及密鑰信息超過有效期后���,則刪除該條安全關(guān)聯(lián)及密鑰信息。步驟407 :如果AC獲得終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���,檢驗(yàn)消息有效性��,如果有效��,則執(zhí)行步驟411�,否則,執(zhí)行步驟409 �;檢驗(yàn)信息的有效性的操作為可選操作;所述檢驗(yàn)信息的有效性��,具體為判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期��、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配�����,如果超出有效期����、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效����,如果未超出有效期、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配�����,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效。步驟408 AC從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,之后執(zhí)彳了步驟409 �;這里,這里����,AC收到安全信息存儲(chǔ)設(shè)備反饋的未查找到終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息的消息,則表明AC從安全信息存儲(chǔ)設(shè)備未獲取到終端相關(guān)的安全關(guān)聯(lián)及密鑰信
肩�����、O步驟409 :接入設(shè)備對(duì)終端發(fā)起完整的EAP認(rèn)證�����,并在終端通過EAP認(rèn)證后�,執(zhí)打步驟410 ��;這里��,接入設(shè)備對(duì)終端發(fā)起完整的EAP認(rèn)證的具體處理過程為現(xiàn)有技術(shù)�����,這里不再贅述。
·
步驟410 AC將執(zhí)行完整EAP所產(chǎn)生的終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�����,之后執(zhí)行步驟411 �;這里,安全信息存儲(chǔ)設(shè)備收到上傳的安全關(guān)聯(lián)及密鑰信息后,保存上傳的安全關(guān)聯(lián)及密鑰信息。步驟411 :AC向終端發(fā)送EAP成功消息�,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP,并結(jié)束當(dāng)前處
理流程。這里�,在實(shí)際應(yīng)用時(shí),步驟410及步驟411中的AP向終端發(fā)送EAP成功消息����,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程�����,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP的操作,在執(zhí)行上無先后順序�,換句話說,也可以先步驟411中的AP向終端發(fā)送EAP成功消息�,并根據(jù)安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行后續(xù)的4-way-handshake流程,之后將4-way-handshake流程所產(chǎn)生的密鑰交給AP的操作,再執(zhí)行步驟410��。為實(shí)現(xiàn)上述方法,本發(fā)明還提供了一種安全信息存儲(chǔ)設(shè)備�,如圖5所示,該設(shè)備包括存儲(chǔ)單元51及發(fā)送單元52 ;其中��,存儲(chǔ)單元51����,用于存儲(chǔ)安全關(guān)聯(lián)及密鑰信息;發(fā)送單元52����,用于向接入設(shè)備發(fā)送存儲(chǔ)單元51存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息。其中���,該設(shè)備還可以進(jìn)一步包括接收單元53����,用于接收接入設(shè)備上報(bào)的安全關(guān)聯(lián)及密鑰信息����,并保存至存儲(chǔ)單元51��。該設(shè)備還可以進(jìn)一步包括維護(hù)單元�,用于維護(hù)存儲(chǔ)單元51存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息�����。這里����,本發(fā)明所述設(shè)備中的發(fā)送單元及維護(hù)單元的具體處理過程已在上文中詳述�����,不再贅述�。本發(fā)明還提供了一種認(rèn)證系統(tǒng),如圖6所示���,該系統(tǒng)包括接入設(shè)備61及安全信息存儲(chǔ)設(shè)備62 ;其中���,接入設(shè)備61,用于在終端進(jìn)行切換的過程中����,從安全信息存儲(chǔ)設(shè)備62獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake 流程�����;安全信息存儲(chǔ)設(shè)備62,用于向接入設(shè)備61提供所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�����。這里���,需要說明的是所述接入設(shè)備61為切換后終端所連接的接入設(shè)備��。其中�����,所述接入設(shè)備61��,還用于判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,確定未保存時(shí)�����,從安全信息存儲(chǔ)設(shè)備62獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息。所述接入設(shè)備61����,還用于檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性�,確定信息有效后����,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程。所述接入設(shè)備61�����,還用于從安全信息存儲(chǔ)設(shè)備62未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息��、或確定獲取的安全關(guān)聯(lián)及密鑰信息無效時(shí)���,對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程����,并在完成后��,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息 上傳給安全信息存儲(chǔ)設(shè)備62 ��;所述安全信息存儲(chǔ)設(shè)備62�,還用于收到接入設(shè)備61上傳的安全關(guān)聯(lián)及密鑰信息后,保存上傳的安全關(guān)聯(lián)及密鑰信息。所述安全信息存儲(chǔ)設(shè)備62���,還用于維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息��。這里�����,本發(fā)明所述系統(tǒng)中的接入設(shè)備及安全信息存儲(chǔ)設(shè)備的具體處理過程已在上文中詳述�,不再贅述�����。以上所述��,僅為本發(fā)明的較佳實(shí)施例而已����,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種認(rèn)證方法��,其特征在于��,該方法包括 在終端進(jìn)行切換的過程中�,切換后終端所連接的接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息; 根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行四次握手(4-way-handshake)流程。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于����,所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息,為 安全信息存儲(chǔ)設(shè)備依據(jù)策略���,向網(wǎng)絡(luò)中的接入設(shè)備發(fā)送自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息�; 所述接入設(shè)備在本地緩存保存收到的安全關(guān)聯(lián)及密鑰信息����,從自身保存的安全關(guān)聯(lián)及密鑰信息中獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;或者���, 所述接入設(shè)備向安全信息存儲(chǔ)設(shè)備發(fā)送查詢消息�,獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息����。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于����,在所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息之前�,該方法進(jìn)一步包括 所述接入設(shè)備判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息�����,確定未保存時(shí)�,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于,該方法進(jìn)一步包括 確定本地緩存保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)���,根據(jù)從本地緩存中獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程����。
5.根據(jù)權(quán)利要求I至4任一項(xiàng)所述的方法��,其特征在于���,在根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程之前,該方法進(jìn)一步包括 檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性����,確定信息有效后,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程��。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于��,所述檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性,為 判斷獲取的安全關(guān)聯(lián)及密鑰信息是否超出有效期���、和/或密鑰信息中的安全保護(hù)方式是否與自身支持的安全保護(hù)方式匹配���,如果超出有效期、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式不匹配�,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息無效,如果未超出有效期���、和/或密鑰信息中的安全保護(hù)方式與自身支持的安全保護(hù)方式匹配����,則認(rèn)為獲取的安全關(guān)聯(lián)及密鑰信息有效���。
7.根據(jù)權(quán)利要求5所述的方法��,其特征在于�,當(dāng)所述接入設(shè)備從安全信息存儲(chǔ)設(shè)備未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息時(shí)、或者��,確定獲取的安全關(guān)聯(lián)及密鑰信息無效后���,該方法進(jìn)一步包括 所述接入設(shè)備對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程��,并在完成后�����,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備�; 安全信息存儲(chǔ)設(shè)備保存上傳的安全關(guān)聯(lián)及密鑰信息�����。
8.根據(jù)權(quán)利要求I至4任一項(xiàng)所述的方法�����,其特征在于����,該方法進(jìn)一步包括 安全信息存儲(chǔ)設(shè)備維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息���。
9.一種安全信息存儲(chǔ)設(shè)備,其特征在于��,該設(shè)備包括存儲(chǔ)單元及發(fā)送單元����;其中,存儲(chǔ)單元��,用于存儲(chǔ)安全關(guān)聯(lián)及密鑰信息����; 發(fā)送單元����,用于向接入設(shè)備發(fā)送存儲(chǔ)單元存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息。
10.根據(jù)權(quán)利要求9所述的設(shè)備���,其特征在于���,該設(shè)備進(jìn)一步包括接收單元,用于接收接入設(shè)備上報(bào)的安全關(guān)聯(lián)及密鑰信息����,并保存至存儲(chǔ)單元����。
11.根據(jù)權(quán)利要求9或10所述的設(shè)備�,其特征在于,該設(shè)備進(jìn)一步包括維護(hù)單元�,用于維護(hù)存儲(chǔ)單元存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息。
12.—種認(rèn)證系統(tǒng)�����,其特征在于�����,該系統(tǒng)包括接入設(shè)備及安全信息存儲(chǔ)設(shè)備�����;其中��, 接入設(shè)備�,用于在終端進(jìn)行切換的過程中,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行4-way-handshake流程; 安全信息存儲(chǔ)設(shè)備��,用于向接入設(shè)備提供所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)����,其特征在于,所述接入設(shè)備�,還用于判斷本地緩存是否保存有終端的相關(guān)的安全關(guān)聯(lián)及密鑰信息,確定未保存時(shí)�����,從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息�。
14.根據(jù)權(quán)利要求12或13所述的系統(tǒng),其特征在于�����,所述接入設(shè)備�,還用于檢驗(yàn)獲取的安全關(guān)聯(lián)及密鑰信息的有效性�,確定信息有效后,根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行 4-way-handshake 流程�。
15.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于����,所述接入設(shè)備�,還用于從安全信息存儲(chǔ)設(shè)備未獲取到所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息���、或確定獲取的安全關(guān)聯(lián)及密鑰信息無效時(shí)���,對(duì)所述終端發(fā)起完整的入網(wǎng)認(rèn)證流程,并在完成后�,將入網(wǎng)認(rèn)證流程中所產(chǎn)生的所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息上傳給安全信息存儲(chǔ)設(shè)備; 所述安全信息存儲(chǔ)設(shè)備�����,還用于收到接入設(shè)備上傳的安全關(guān)聯(lián)及密鑰信息后����,保存上傳的安全關(guān)聯(lián)及密鑰信息。
16.根據(jù)權(quán)利要求12或13所述的系統(tǒng)�,其特征在于,所述安全信息存儲(chǔ)設(shè)備�,還用于維護(hù)自身存儲(chǔ)的安全關(guān)聯(lián)及密鑰信息。
全文摘要
本發(fā)明公開了一種認(rèn)證方法�,該方法包括在終端進(jìn)行切換的過程中,切換后終端所連接的接入設(shè)備從安全信息存儲(chǔ)設(shè)備獲取所述終端相關(guān)的安全關(guān)聯(lián)及密鑰信息;根據(jù)獲取的安全關(guān)聯(lián)及密鑰信息中的內(nèi)容執(zhí)行四次握手(4-way-handshake)流程�����。本發(fā)明同時(shí)公開了一種安全信息存儲(chǔ)設(shè)備及認(rèn)證系統(tǒng)��,采用本發(fā)明���,能有效地縮短終端切換時(shí)的連接重建過程所需的時(shí)間����,從而保證業(yè)務(wù)的連續(xù)性���,進(jìn)而提升用戶體驗(yàn)��。
文檔編號(hào)H04W36/08GK102984700SQ201110261039
公開日2013年3月20日 申請(qǐng)日期2011年9月5日 優(yōu)先權(quán)日2011年9月5日
發(fā)明者潘云波, 魏元, 嚴(yán)為 申請(qǐng)人:中興通訊股份有限公司