[发明专利]一种基于身份认证进行无线接入的方法及系统

权利要求书

1.一种基于身份认证进行无线接入的方法，所述方法包括：

接收与用户设备的身份认证相关联的经过加密的身份认证消息，对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文；

对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息，对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验；

当确定所述认证请求报文通过签名校验时，将请求信息中的账号数据与转发规则进行匹配，以确定所述认证请求报文所归属的认证服务器；

对所述认证请求报文进行重新签名，并将包括第二数字签名的认证请求报文发送给所归属的认证服务器，以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证；以及

当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时，获取所述第一认证响应报文中的授权等级信息和标识信息，将所述授权等级信息和标识信息发送给用户设备所归属的网关设备，以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。

2.根据权利要求1所述的方法，当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时，经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。

3.根据权利要求2所述的方法，促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后，生成第一数字签名和请求信息，并将所述第一数字签名、请求信息和身份信息构成身份认证消息。

4.根据权利要求3所述的方法，促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息，并经由所述接入设备获取所述经过加密的身份认证消息。

5.根据权利要求1所述的方法，当确定所述认证请求报文未通过签名校验时，丢弃所述认证请求报文并经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。

6.一种基于身份认证进行无线接入的系统，所述系统包括：

接收单元，接收与用户设备的身份认证相关联的经过加密的身份认证消息，对所述经过加密的身份认证消息进行解密以获得来自所述用户设备的认证请求报文；

解析单元，对所述认证请求报文进行解析以确定第一数字签名、身份信息和请求信息，对所述第一数字签名进行验证以确定所述认证请求报文是否通过签名校验；

匹配单元，当确定所述认证请求报文通过签名校验时，将请求信息中的账号数据与转发规则进行匹配，以确定所述认证请求报文所归属的认证服务器；

发送单元，对所述认证请求报文进行重新签名，并将包括第二数字签名的认证请求报文发送给所归属的认证服务器，以促使所归属的认证服务器基于所述身份信息对所述认证请求报文进行身份认证；当从所述认证服务器接收的第一认证响应报文指示用户设备通过身份认证时，获取所述第一认证响应报文中的授权等级信息和标识信息，将所述授权等级信息和标识信息发送给用户设备所归属的网关设备，以使得所述用户设备能够经由所述网关设备以基于身份认证的无线接入方式访问互联网。

7.根据权利要求6所述的系统，当确定接入设备接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时，所述发送单元经由接入设备向所述用户设备发送用于指示能够基于身份认证进行无线接入的通知消息。

8.根据权利要求7所述的系统，还包括促使所述用户设备在接收到所述用于指示能够基于身份认证进行无线接入的通知消息后，生成第一数字签名和请求信息，并将所述第一数字签名、请求信息和身份信息构成身份认证消息。

9.根据权利要求8所述的系统，促使所述用户设备将所述身份认证消息进行加密以生成经过加密的身份认证消息，并使得接收单元经由所述接入设备获取所述经过加密的身份认证消息。

10.根据权利要6所述的系统，还包括处理单元，当确定所述认证请求报文未通过签名校验时，丢弃所述认证请求报文；

使得发送单元经由接入设备向所述用户设备发送用于指示身份认证失败的第二认证响应报文。