[发明专利]接入认证方法及装置

说明书

技术领域

本发明涉及移动通信技术领域，具体涉及一种接入认证方法以及实现该方法的装置。

背景技术

在现有的移动通信网络中，用户设备(UE，User Equipment)可以通过分组数据网络接入因特网，浏览因特网上的信息。为保证只有获得授权的用户设备才可以通过分组数据网络接入因特网，移动通信网络需要对用户设备进行认证和鉴权。

在现有技术中，演进的分组域系统(EPS，Evolved Packet System)提供了用户设备与分组数据网络之间的连接。当用户设备通过S2c接口请求分组数据业务时，需要通过分组数据网网关(PDN GW，Packet Data Network Gateway)和认证鉴权服务器(AAA Server，Authentication Authorization Accounting Server)进行认证。在现有技术中，用户设备对分组数据网网关的认证使用基于证书的公钥签名机制，而用户设备和认证鉴权服务器之间的认证采用扩展协议认证(EAP，Extensible Authentication Protocol)机制。

用户设备请求分组数据业务时，域名系统(DNS，Domain Name System)服务器为用户设备分配分组数据网网关，用户设备和该网关之间开始进行初始化交互过程，在初始化交互完成之后，用户设备向网关发送接入请求信息，用于请求证书以及鉴权向量组。网关在接收到接入请求信息后，通过认证请求信息将接入请求信息转发给认证鉴权服务器。

认证鉴权服务器在接收到该认证请求信息后，向归属用户服务器请求鉴权向量组，其中鉴权向量组中包括认证令牌AUTN、随机数RAND、加密密钥CK1、完整性密钥IK1以及期望值XRES，然后认证鉴权服务器向用户设备发送扩展协议认证请求，扩展协议认证请求中仅包含认证令牌AUTN和随机数RAND。网关在接收到扩展协议认证请求后，通过接入响应信息将证书和扩展协议认证请求发送给用户设备，用户设备根据该证书完成对网关的认证，并且响应认证鉴权服务器发送的扩展协议认证请求。

用户设备根据接收到的扩展协议认证请求中的认证令牌AUTN和随机数RAND对认证鉴权服务器进行认证。在对认证鉴权服务器认证成功后，用户设备根据鉴权令牌AUTN和随机数RAND来计算认证值RES，并且向认证鉴权服务器发送包含认证值RES的扩展协议认证响应信息。

认证鉴权服务器验证接收到的扩展协议认证响应信息，其中包括验证认证值RES是否等于鉴权向量组中的期望值XRES，在验证成功后，向用户设备发送扩展协议认证成功信息，认证鉴权服务器完成对用户设备的接入认证过程。

发明人在实现本发明的过程中发现，当用户设备首次通过一个网关接入到分组数据网络请求的业务完成，断开业务连接之后，用户设备再次向同一认证鉴权服务器管理下的分组数据网络请求连接时，认证鉴权服务器还需要对用户设备进行完整的扩展协议认证流程，即认证过程还需要认证鉴权服务器向归属用户服务器请求鉴权向量组，归属用户服务器在重新计算新的鉴权向量组后向，向认证鉴权服务器发送鉴权向量组，因而整个认证过程较复杂。

发明内容

为解决现有技术中用户设备接入认证过程复杂的问题，本发明实施例提供一种用户设备在通过同一认证鉴权服务器管理下网关再次请求接入认证时，认证鉴权服务器对用户设备实现快速认证的方法和实现该方法的装置。

本发明实施例提供的接入认证方法，包括：在用户设备成功通过扩展协议认证之后，对用户设备分配授权码，该授权码和用户标识信息相对应，向用户设备发送包含授权码的扩展协议认证成功信息；接收用户设备的接入请求信息，根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。

本发明实施例还提供一种接入认证方法，包括：在成功通过扩展协议认证之后，接收认证鉴权服务器发送的包含授权码的扩展协议认证成功信息，保存该授权码；发送包含授权码以及用户标识信息的接入请求信息，以使得认证鉴权服务器根据授权码以及用户标识信息对其进行认证。

本发明实施例还提供一种认证鉴权服务器，包括：授权码分配单元，用于在用户设备成功通过扩展协议认证之后，对用户设备分配授权码，该授权码和用户标识信息相对应，向用户设备发送包含授权码的扩展协议认证成功信息；第一接收单元，用于接收用户设备的接入请求信息，接入请求信息中包含授权码和用户标识信息；以及授权码认证单元，用于根据接入请求信息中包含的授权码和用户标识信息对用户设备进行认证。