[发明专利]一种认证控制的方法,认证服务器和系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种认证控制的方法，装置和系统。

背景技术

一般的通信网络，例如：微波存取全球互通(Worldwide Interoperability forMicrowave Access，WiMAX)、第三代移动通信伙伴项目(Third GenerationPartnership Project，3GPP)、无线保真(Wireless Fidelity，WiFi)等，都使用基于可扩展的认证协议(Extensible Authentication Protocol，EAP)的认证过程。EAP认证过程通常包含三个角色，位于终端的请求者、在接入网络中的认证器、位于核心网络的认证服务器。

在认证过程中，认证器向终端请求标识信息发起认证，终端将其标识发送给认证器，认证器将终端发送的标识发送给认证服务器。终端发送的标识可以是终端标识也可以是用户标识，即EAP认证可用于对设备进行认证也可以用于对用户进行认证。认证服务器确认终端发送的标识存在时，与终端完成相互认证，同时协商出一个主会话密钥(Main Session Key，MSK)。在这期间，认证器仅在终端和服务器之间转发消息。之后，认证服务器将MSK发送给认证器，认证器与终端在MSK基础上协商它们之间的主密钥(PairwiseMaster Key，PMK)。通常认证器可以直接取MSK的一部分作为PMK，这样就省去了和终端的协商过程。之后，认证器和终端在PMK基础上协商用于终端和基站/接入点之间的密钥，例如WiMAX规范中的授权密钥(Authorization Key，AK)，认证器将AK发送给基站，之后基站和终端之间利用AK进行进一步的交换产生空口安全密钥。如果基站和终端能够成功地利用AK握手，则实现了基站和终端的相互认证。如果终端和认证器能够通过PMK成功的协商出AK，则终端和认证器实现了相互认证。

为了保证安全性，上述密钥都有生命期，生命期超时后需要重新进行认证以便产生新的密钥。当不同的网络或者不同运营商网络之间进行交互时，在终端准备向目标网络切换而进行预认证时，终端在当前服务网络中的密钥生命期可能刚好即将超时，并已经开始重认证过程，上述重认证的结果可能覆盖终端与目标网络之间进行切换的预认证结果，导致切换时因目标网络中认证器持有的密钥与终端持有的密钥不一致而使切换过程失败。

为了解决上述问题，现有的认证控制方式是：新认证器在进行预认证时向老认证器发送一个消息，使得老认证器不会因密钥生命期快过时而发起重认证。上述老认证器是用户在切换前使用的认证器，新认证器是切换目标网络的认证器。

发明人在实现本发明的过程中发现：当新认证器和老认证器处于不同的信任域时，老认证器不会接受新认证器的控制而对终端的接入认证进行控制。因而，切换时因目标网络中认证器持有的密钥与终端持有的密钥不一致而使切换过程失败的问题依然存在。

发明内容

本发明实施例要解决的技术问题是提供一种认证控制的方法，装置和系统，提高切换认证的成功率。

为解决上述技术问题，本发明所提供的认证控制的方法实施例可以通过以下技术方案实现：

接收第二认证器发送的认证请求；所述认证请求中包含待认证的标识；

若所述认证请求中的标识使用的第一认证器和所述第二认证器不同，则，向所述第一认证器发送认证锁定消息，用于控制所述第一认证器停止所述标识的认证；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；

执行所述第二认证器的认证请求对应的认证操作。

本发明实施例还提供了一种认证服务器，包括：

认证请求接收单元，用于接收第二认证器发送的认证请求；所述认证请求中包含待认证的标识；

锁定消息发送单元，用于在所述认证请求中的标识使用的第一认证器和所述第二认证器不同的情况下，向所述第一认证器发送认证锁定消息，以控制所述第一认证器停止所述标识的认证；所述第二认证器为终端本次认证使用的认证器，第一认证器为本次认证之前的认证使用的认证器；

认证执行单元，用于执行所述第二认证器的认证请求对应的认证操作。

本发明实施例还提供了一种认证控制的系统，包括：

第二认证器，用于向认证服务器发送认证请求；