[发明专利]一种预认证方法、设备及系统

说明书

技术领域

本发明涉及移动通信技术，尤其涉及在多认证者场景下的一种预认证方法、设备及系统。

背景技术

EAP架构通常包括客户端认证者(Authenticator)，认证、授权和计费(Authentication Authorization and Accounting，AAA)服务器/EAP服务器三个重要部件。认证者一般位于网络边缘位置，与AAA服务器/EAP服务器可以耦合在一起，也可以分离独立存在。该架构提供对客户端设备的认证授权功能，EAP协议中的EAP方法用于生成密钥材料如主会话密钥(Master Session Key，MSK)和扩展主会话密钥(Extended Master Session Key，EMSK)。MSK主要用于EAP底层协议，而EMSK用于保护客户端和AAA服务器之间的交互。由于完整的EAP过程一般需要两个以上的来回交互，所以常常会造成认证和授权的大量时延。为了减少这类切换时延，重用初始认证生成的密钥和状态信息以及避免使用非对称密钥的机制被很多方法采用。但交互次数随着使用的EAP方法不同，改进的程度也不同，而且不管如何改进，，都需要至少两次来回交互才能完成认证和授权过程。这种切换时延对于某些实时应用来说时不可接受的。

为了支持快速切换，常常需要避免基于AAA的完整认证，因为完整认证需要与移动节点的家乡AAA服务器经过多个来回交互才能完成认证，带来比较长的切换时延。快速切换中常用的EAP认证方法包括EAP重认证和EAP预认证。EAP重认证的主要思想是引入本地EAP服务器机制，通过重用初始全认证中的密钥材料来避免移动终端切换过程中过多的基于EAP的AAA消息，而EAP预认证的主要思想是在移动终端切换之前预先生成MSK，用于移动终端与候选认证者(Candidate Authenticator，CA)的认证。

发明人在研究过程中发现，上述现有技术中，在EAP客户端与AAA服务器交互过程中，通常需要跨越两个认证者，即当前认证者(Serving Authenticator，SA)和候选认证者CA，此时，两个认证者既无法判断客户端发送的是普通认证请求还是预认证请求，也无法判断自身是否需要与AAA服务器进行交互以完成预认证过程，因此，会引起预认证的失败，造成切换时延。

发明内容

本发明实施例提供了一种预认证方法、设备和系统。通过实施本发明，能够使当前认证者和候选认证者正确区分预认证消息，使用预认证过程获取的预认证密钥保护移动节点和候选认证者之间的通信，增强了通信的安全性，减少了切换认证的时延。

本发明实施例所述预认证方法包括：接收预认证消息，所述预认证消息中携带预认证选项；根据所述预认证消息确定需要进行预认证的移动节点；向AAA服务器发送认证请求消息，请求对所述移动节点进行认证，所述认证请求消息中携带所述预认证选项；接收所述AAA服务器发送的认证响应消息，所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥；将所述预认证密钥发送给所述移动节点。

本发明实施例所述预认证设备包括：第一接收单元，用于接收预认证消息，所述预认证消息中携带预认证选项；确定单元，用于根据所述预认证消息确定需要进行预认证的移动节点；第一发送单元，用于向AAA服务器发送认证请求消息，请求对所述移动节点进行认证，所述认证请求消息中携带所述预认证选项；第二接收单元，用于接收所述AAA服务器发送的认证响应消息，所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥；第二发送单元，用于将所述预认证密钥发送给所述移动节点。

本发明实施例所述预认证系统包括：预认证设备和AAA服务器，其中，所述预认证设备，用于接收预认证消息，所述预认证消息中携带预认证选项，根据所述预认证消息确定需要进行预认证的移动节点，向AAA服务器发送认证请求消息，请求对所述移动节点进行认证，所述认证请求消息中携带所述预认证选项，接收所述AAA服务器发送的认证响应消息，所述认证响应消息中携带候选认证者与所述移动节点间的预认证密钥；将所述预认证密钥发送给所述移动节点；所述AAA服务器，用于接收所述预认证设备发送的认证请求消息，根据所述认证请求消息生成所述候选认证者和所述移动节点间的预认证密钥，将所述预认证密钥携带在所述认证响应消息中发送给所述预认证设备。