[发明专利]一种网络认证的方法、装置、系统及服务器

说明书

技术领域

本发明涉及通信领域的网络技术，具体指一种网络认证的方法、装置、系统及服务器。

背景技术

目前，在下一代网络(Next Generation Network，NGN)的网络架构中，强调了固定和移动的网络融合，基于这个融合的网络，当用户切换到新的网络附着点的时候，从安全角度考虑需要进行安全认证。当用户通过安全认证之后，才能够被网络接纳，同时，在用户和网络之间建立子密钥，保护后续用户和网络侧的信息交互。因此，当用户在不同网络附着点间移动的时候，给用户提供更好的业务体验，快速、低时间延迟的无缝切换是非常有必要的。

对于移动用户，存在两种认证需求。一个是网络接入认证(network accessservice authentication)需求，另一个是移动认证(mobility service authentication)。网络接入认证已经在ITU、TISAPAN都有相应的标准，称为网络附着子系统(Network Attachment Control Functions，NACF)，规定了用户在接入到网络之前所需要的认证，例如用户的IP地址分配，向用户设备发布其他的网络配置参数等过程。移动认证是移动业务认证，通过移动认证的用户，才可以在网络间进行漫游和切换。从二者实现方式上看，可以分为融合式和独立式两种。独立式是指网络接入认证和移动认证各自独立，采用不同的认证系统独立认证互不影响。网络接入认证就用现在ITU Y.NACF，TISPAN NASS等类似的网络附着功能来实现，移动认证则另外采用独立的认证功能实体来实现。在融合式模式下，移动用户通过一套认证系统一次认证来同时解决网络接入认证和移动认证。一旦用户被认证通过，即可认为网络接入认证和移动认证都通过了，用户可以接入到网络，可以在网络间进行移动。由于用户在移动过程中在目标切换网络的认证相对目标网络来讲，也是一次网络接入认证，因此二者存在一定的内在关联，故而基于融合式认证的方法更容易被接受。

上述的认证过程，需要被认证者和网络侧认证功能实体多次交互才能完成。特别是在移动场景中，用户需要在同种甚至异种接入网络中进行切换，如果每次都需要复杂的完整的认证过程，那么用户在域内和域间切换时就会非常耗时，且安全性差，导致用户业务的丢包甚至暂时中断业务，影响用户的体验。

发明内容

有鉴于此，本发明实施例的主要目的在于提供一种网络认证的方法、装置、系统及服务器，用以解决用户在域内和域间切换时，耗时长，且安全性差的问题。

为实现上述目的，本发明实施例提供如下的技术方案：

一种网络认证方法，包括：当用户从第一接入管理功能实体附着到第二接入管理功能实体时，所述方法包括：接收来自所述第二接入管理功能实体转发的用户认证请求；根据所述用户认证请求，获得所述第二接入管理功能实体的安全域的认证密钥；根据所述第二接入管理功能实体的安全域的认证密钥，对用户进行认证。

一种网络认证系统，包括：接入管理功能实体、传送层认证功能实体代理；所述接入管理功能实体，用于与传送层认证功能实体代理进行信息交互，发送用户认证请求给传送层认证功能实体代理；所述传送层认证功能实体代理，用于根据所述用户认证请求，获得用户附着的安全域的认证密钥；根据所述用户附着的安全域的认证密钥，对用户进行认证。

一种传送层认证功能实体代理装置，包括：存储单元，用于存储接入管理功能实体的安全域的认证密钥，所述认证密钥包括：第一接入管理功能实体的安全域的认证密钥；处理单元，用于根据存储单元存储的所述接入管理功能实体的安全域的认证密钥，将获得的所述第一接入管理功能实体的安全域的认证密钥作为所述第二接入管理功能实体的安全域的认证密钥，并将所述认证密钥发送给认证单元；认证单元：用于根据处理单元发送的认证密钥，根据所述认证密钥对用户进行认证。

另一种传送层认证功能实体代理装置，包括：存储单元，用于存储接入管理功能实体的安全域的认证密钥，所述认证密钥包括：第二接入管理功能实体的安全域的认证密钥；认证单元，用于根据处理单元发送的认证密钥，根据所述认证密钥对用户进行认证。

一种网络认证服务器，包括：请求接收单元，用于接收用户认证请求；请求响应单元，用于响应所述用户认证请求，并向传送层认证功能实体代理发送响应信息，所述响应信息包括用户附着的接入管理功能实体的安全域的标识ID、用户附着的接入管理功能实体的安全域的域名信息、用户附着的接入管理功能实体的安全域的认证密钥的一种或多种。