[发明专利]一种漫游终端的认证方法、装置及服务器

说明书

技术领域

本发明涉及通信领域，特别是指一种漫游终端的认证方法、装置及服务器。

背景技术

近年来，随着蜂窝网数据流量的爆炸式增长，可以用WLAN分流蜂窝网数据流量，这就涉及到终端与WLAN的接入认证方式和国际漫游接入方式。传统的Web Portal认证虽然可以在主流智能终端上使用从而实现WLAN接入并且可以基于WISPr1.0技术实现国际漫游，但Web Portal认证存在用户需输入用户密码等体验不佳的问题。

3GPP组织提出的EAP-SIM/AKA认证方式是WLAN与蜂窝网融合的用户接入认证基础，不但提升了用户接入WLAN的使用体验，而且可以实现国际漫游，已被运营商广泛采用。但Android和Window MP等智能手机终端没有全面支持EAP-SIM/AKA认证方式，而且不带有(U)SIM卡的PAD（平板电脑）和笔记本等终端也无法使用EAP-SIM/AKA认证。

PEAP认证（Protect EAP认证）广泛适用于IOS、Android、Symbian、BlackBerry和Window Mobile Phone等操作系统的智能手机终端，并且可以在笔记本和PAD等无(U)SIM卡的终端上使用，既全面覆盖用户终端，又提升了用户的WLAN使用体验。但PEAP规范没有定义国际漫游如何实现。

综上分析，为全面实现良好用户体验的WLAN国际漫游，需研制PEAP认证的国际漫游实现方案，为使用不支持-SIM/AKA认证终端的用户也提供良好体验的WLAN国际漫游服务。

现有技术中，终端接入WLAN的接入方式主要有以下几种：

1．基于Web Portal的认证是目前WLAN公共热点最普遍采用的用户接入方式，其特点是认证必须通过Web交互来完成。当终端关联WiFi后，用户需要打开浏览器，输入将任意页面请求，网络将用户请求重定向到登录页面，用户输入并提交用户名和密码，网络验证通过后用户方可访问网络业务；基于WISPr1.0技术，支持Web Portal认证的终端均可支持WLAN国际漫游。

2．EAP-SIM/AKA认证及国际漫游实现

EAP-SIM/AKA是通过用户(U)SIM卡信息进行认证的一种方式，与蜂窝认证方式相同（有时也称其为统一认证方式），当用户使用SIM卡时，执行SIM认证流程，当用户使用USIM卡时，执行AKA认证流程，整个认证过程不需要用户介入任何手工操作，完全由终端自动完成；I-WLAN中EAP-SIM/AKA认证的国际漫游实现方法中，终端提供格式为“homerealm!username@otherrealm”。其中“homerealm”为用户的归属域名，“otherrealm”为用户的拜访域名。目前终端在国际漫游时并没有严格按照I-WALN的规定来执行，而是发出了与本地接入一样的格式为“username@homerealm”的NAI，但通过rfc5580中Type为126的“Operator-Name”属性可传递用户拜访域信息。

3．PEAP认证（WLAN无感知认证）

PEAP认证目前有PEAPv0、PEAPv1和PEAPv2三个版本，均为互联网草案。PEAP认证分两个阶段完成：第一个阶段由终端和认证服务器之间建立TLS隧道。此阶段是由终端基于证书验证网络侧认证服务器的合法性，并由二者协商建立起TLS安全传输隧道。第二个阶段是在TLS隧道内由用户终端和认证服务器之间进行MS-CHAPv2认证交互，网络侧服务器验证用户终端的合法性。

然而上述方案均难以给用户提供良好的WLAN国际漫游体验：1）Web Portal的国际漫游需要用户手动输入，体验较为繁琐。2）EAP-SIM/AKA认证可以实现无用户干预的WLAN漫游接入，但没有覆盖Android和Window Mobile Phone等主流智能终端。3）PEAP认证可覆盖现有主流智能终端，但由于其认证是在TLS隧道内完成，拜访地服务器成为本地终端以及漫游终端的认证流程的终结点，不能实现漫游场景下的对漫游终端的认证信息转发和认证，导致终端无法在国际漫游场景下使用。

发明内容

本发明要解决的技术问题是提供一种漫游终端的认证方法、装置及服务器。可以实现PEAP认证的国际漫游，从而为现有主流智能终端都提供无需用户干预的国际漫游接入。

为解决上述技术问题，本发明的实施例提供一种漫游终端的认证方法，应用于拜访地服务器，包括：

通过第一TLS隧道与终端协商，确定认证过程使用的PEAP版本；