專利名稱:一種認證控制的方法,認證服務(wù)器和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明 涉及通信技術(shù)領(lǐng)域,特別涉及一種認證控制的方法��,裝置和系統(tǒng)��。
背景技術(shù):
一般的通信網(wǎng)絡(luò)�����,例如微波存取全球互通(Worldwide Interoperability forMicrowave Access��,WiMAX)�����、第三代移動通信伙伴項目(Third GenerationPartnership Project,3GPP)���、無線保真(Wireless Fidelity, WiFi)等����,都使用基于可擴展的認證協(xié)議 (Extensible Authentication Protocol,ΕΑΡ)的認證過程����。EAP認證過程通常包含三個角 色,位于終端的請求者�、在接入網(wǎng)絡(luò)中的認證器、位于核心網(wǎng)絡(luò)的認證服務(wù)器�。在認證過程中,認證器向終端請求標識信息發(fā)起認證����,終端將其標識發(fā)送給認證 器,認證器將終端發(fā)送的標識發(fā)送給認證服務(wù)器�����。終端發(fā)送的標識可以是終端標識也可 以是用戶標識���,即EAP認證可用于對設(shè)備進行認證也可以用于對用戶進行認證�����。認證服務(wù) 器確認終端發(fā)送的標識存在時�����,與終端完成相互認證����,同時協(xié)商出一個主會話密鑰(Main Session Key,MSK)����。在這期間��,認證器僅在終端和服務(wù)器之間轉(zhuǎn)發(fā)消息�。之后,認證服務(wù)器 將MSK發(fā)送給認證器�����,認證器與終端在MSK基礎(chǔ)上協(xié)商它們之間的主密鑰(PairwiseMaster Key, PMK)���。通常認證器可以直接取MSK的一部分作為PMK�,這樣就省去了和終端的協(xié)商過 程。之后����,認證器和終端在PMK基礎(chǔ)上協(xié)商用于終端和基站/接入點之間的密鑰,例如WiMAX 規(guī)范中的授權(quán)密鑰(Authorization Key����,AK),認證器將AK發(fā)送給基站�,之后基站和終端之 間利用AK進行進一步的交換產(chǎn)生空口安全密鑰。如果基站和終端能夠成功地利用AK握手���, 則實現(xiàn)了基站和終端的相互認證���。如果終端和認證器能夠通過PMK成功的協(xié)商出AK,則終 端和認證器實現(xiàn)了相互認證���。為了保證安全性�,上述密鑰都有生命期��,生命期超時后需要重新進行認證以便產(chǎn) 生新的密鑰�。當不同的網(wǎng)絡(luò)或者不同運營商網(wǎng)絡(luò)之間進行交互時��,在終端準備向目標網(wǎng)絡(luò) 切換而進行預(yù)認證時�����,終端在當前服務(wù)網(wǎng)絡(luò)中的密鑰生命期可能剛好即將超時�����,并已經(jīng)開 始重認證過程�,上述重認證的結(jié)果可能覆蓋終端與目標網(wǎng)絡(luò)之間進行切換的預(yù)認證結(jié)果�����, 導(dǎo)致切換時因目標網(wǎng)絡(luò)中認證器持有的密鑰與終端持有的密鑰不一致而使切換過程失敗����。為了解決上述問題���,現(xiàn)有的認證控制方式是新認證器在進行預(yù)認證時向老認證 器發(fā)送一個消息��,使得老認證器不會因密鑰生命期快過時而發(fā)起重認證��。上述老認證器是 用戶在切換前使用的認證器�,新認證器是切換目標網(wǎng)絡(luò)的認證器。發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)當新認證器和老認證器處于不同的信任域 時�,老認證器不會接受新認證器的控制而對終端的接入認證進行控制。因而����,切換時因目標 網(wǎng)絡(luò)中認證器持有的密鑰與終端持有的密鑰不一致而使切換過程失敗的問題依然存在。
發(fā)明內(nèi)容
本發(fā)明實施例要解決的技術(shù)問題是提供一種認證控制的方法�����,裝置和系統(tǒng)�����,提高 切換認證的成功率�����。
為解決上述技術(shù)問題���,本發(fā)明所提供的認證控制的方法實施例可以通過以下技術(shù)方案實現(xiàn)接收第二認證器發(fā)送的認證請求��;所述認證請求中包含待認證的標識��;若所述認證請求中的標識使用的第一認證器和所述第二認證器不同�����,則�����,向所述 第一認證器發(fā)送認證鎖定消息����,用于控制所述第一認證器停止所述標識的認證;所述第二 認證器為終端本次認證使用的認證器���,第一認證器為本次認證之前的認證使用的認證器���;執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操作。本發(fā)明實施例還提供了一種認證服務(wù)器���,包括認證請求接收單元��,用于接收第二認證器發(fā)送的認證請求;所述認證請求中包含 待認證的標識���;鎖定消息發(fā)送單元����,用于在所述認證請求中的標識使用的第一認證器和所述第二 認證器不同的情況下,向所述第一認證器發(fā)送認證鎖定消息��,以控制所述第一認證器停止 所述標識的認證�;所述第二認證器為終端本次認證使用的認證器,第一認證器為本次認證 之前的認證使用的認證器����;認證執(zhí)行單元,用于執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操作���。本發(fā)明實施例還提供了一種認證控制的系統(tǒng)���,包括第二認證器,用于向認證服務(wù)器發(fā)送認證請求����;認證服務(wù)器,用于接收第二認證器發(fā)送的認證請求����;在所述認證請求中的標識使 用的第一認證器和所述第二認證器不同的情況下,向所述第一認證器發(fā)送認證鎖定消息, 以控制所述第一認證器停止所述標識的認證���;執(zhí)行所述第二認證器的認證請求對應(yīng)的認證 操作�;所述第二認證器為終端本次認證使用的認證器�����,第一認證器為本次認證之前的認證 使用的認證器�����;第一認證器�,用于接收到所述認證鎖定消息后,拒絕接受或拒絕執(zhí)行所述標識的 認證�。本發(fā)明實施例還提供了另一種認證控制的方法,包括接收第二認證器發(fā)送的認證請求����;若所述認證請求中的標識使用的第一認證器和所述第二認證器不同,則�����,在接收 到所述第一認證器發(fā)送的帶有所述標識的認證請求時�,拒絕所述第一認證器的認證請求����; 所述第二認證器為終端本次認證使用的認證器���,第一認證器為本次認證之前的認證使用的 認證器;執(zhí)行所述第二認證器發(fā)送的認證請求對應(yīng)的認證操作����。本發(fā)明實施例還提供了另一種認證服務(wù)器,包括認證請求接收單元����,接收第二認證器發(fā)送的認證請求;認證控制單元�,用于在所述認證請求中的標識使用的第一認證器和所述第二認證 器不同的情況下,在接收到所述第一認證器發(fā)送的帶有所述標識的認證請求時�����,拒絕所述 第一認證器的認證請求����;所述第二認證器為終端本次認證使用的認證器,第一認證器為本 次認證之前的認證使用的認證器�����;執(zhí)行所述第二認證器提出的認證請求對應(yīng)的認證操作。本發(fā)明實施例還提供了另一種認證控制的系統(tǒng)�����,包括
第一認證器����,用于向認證服務(wù)器發(fā)送認證請求;第二認證器�,用于向認證服務(wù)器發(fā)送認證請求; 認證服務(wù)器���,用于接收第二認證器發(fā)送的認證請求����;若所述認證請求中的標識使 用的第一認證器和所述第二認證器不同���,則���,在接收到所述第一認證器發(fā)送的帶有所述標 識的認證請求時,拒絕所述第一認證器的認證請求���;執(zhí)行所述第二認證器提出的認證請求 對應(yīng)的認證操作����;所述第二認證器為終端本次認證使用的認證器,第一認證器為本次認證 之前的認證使用的認證器�。上述技術(shù)方案具有如下有益效果在認證服務(wù)器接收到認證請求之后�����,若上述認 證請求中的標識使用的第一認證器和第二認證器不同����,則鎖定第一認證器的認證,從而消 除第一認證器和第二認證器同時認證產(chǎn)生的沖突�,使切換的認證成功,進而提高切換認證 成功率���。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案���,下面將對實施例描述中所需要使 用的附圖作簡單地介紹,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于 本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其 他的附圖�。圖1為本發(fā)明實施例一方法流程示意圖;圖2為本發(fā)明實施例二方法流程示意圖����;圖3為本發(fā)明實施例三認證服務(wù)器結(jié)構(gòu)示意圖;圖4為本發(fā)明實施例三認證服務(wù)器結(jié)構(gòu)示意圖�;圖5為本發(fā)明實施例三認證服務(wù)器結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例四系統(tǒng)結(jié)構(gòu)示意圖�;圖7為本發(fā)明實施例五方法流程示意圖;圖8為本發(fā)明實施例六方法流程示意圖����;圖9為本發(fā)明實施例七認證服務(wù)器結(jié)構(gòu)示意圖;圖10為本發(fā)明實施例七認證服務(wù)器結(jié)構(gòu)示意圖�����;圖11為本發(fā)明實施例七認證服務(wù)器結(jié)構(gòu)示意圖��;圖12為本發(fā)明實施例八系統(tǒng)結(jié)構(gòu)示意圖�����。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚��、完 整地描述�����,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例���。基于 本發(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍�。在進行本發(fā)明實施的說明中,為了方便敘述���,將終端進行切換認證使用的認證器 稱為第二認證器�,將之前使用的認證器稱為第一認證器;后續(xù)實施例中不再一一說明�。實施例一,如圖1所示��,本發(fā)明實施例提供了一種認證控制的方法�,包括步驟101 接收第二認證器發(fā)送的認證請求;上述認證請求中包含待認證的標識�����。在EAP認證過程中�,認證器首先向終端發(fā)送標識請求消息,終端將待認證的標識發(fā)送給認 證器�����,然后認證器將終端發(fā)送的標識轉(zhuǎn)發(fā)給認證服務(wù)器����,以請求一次認證的開始; 步驟102 若上述認證請求中的標識使用的第一認證器和上述第二認證器不同����, 貝1J,向上述第一認證器發(fā)送認證鎖定消息,用于控制上述第一認證器停止上述標識的認證�; 若上述認證請求中的標識使用的第一認證器和上述第二認證器相同,則執(zhí)行上述認證請求 對應(yīng)的認證操作�,按照重認證的流程進行認證,不發(fā)出認證鎖定消息����;上述控制第一認證器停止上述標識的認證包括控制上述第一認證器拒絕接受或拒絕執(zhí)行上述標識的認證。所謂拒絕執(zhí)行認證是 指所述標識對應(yīng)的密鑰生命期即將超時�����、或密鑰對應(yīng)的報文計數(shù)器即將溢出等按照安全規(guī) 范應(yīng)該重新認證以產(chǎn)生新密鑰的情況發(fā)生時�����,所述認證器不發(fā)起重認證�。若上述認證請求中的標識使用的第一認證器和上述第二認證器不同且上述第一 認證器已經(jīng)發(fā)起上述標識的認證��,則終止上述第一認證器的認證�����。步驟103 執(zhí)行上述第二認證器的認證請求對應(yīng)的認證操作及后續(xù)認證步驟�����。上述實施例各步驟的執(zhí)行主體為認證服務(wù)器,在認證服務(wù)器接收到認證請求之 后�����,若上述認證請求中的標識使用的第一認證器和第二認證器不同���,則鎖定第一認證器的 認證����,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突�����,使切換過程不會因切換認 證的結(jié)果被覆蓋而導(dǎo)致失敗����。實施例二,本發(fā)明實施例還提供了在WiMAX下的認證控制的實現(xiàn)方式��,其它網(wǎng)絡(luò) 以及異質(zhì)網(wǎng)絡(luò)切換與之原理相同��,不再一一說明���。在本實施例中當終端通過新的認證器認 證時�����,認證服務(wù)器發(fā)一個鎖定消息給老的認證器���,使得其不再發(fā)起重認證過程���。下面詳細描 述其過程。如圖2所示��,包括以下步驟步驟201 終端切換到新的網(wǎng)絡(luò)���,發(fā)起新的認證過程�。新的認證過程可以由終端發(fā) 起��,也可以由新的認證器發(fā)起�,如果新的認證器可以在其它入網(wǎng)步驟后直接開始認證過程�����, 則不需要此步驟�����。步驟202 新認證器向終端發(fā)送EAP請求/標識消息,一個認證過程正式開始�����。EAP 請求/標識的消息用于請求終端返回終端的標識信息��。步驟203 終端向新認證器發(fā)送EAP響應(yīng)/標識消息�,其中包含終端的終端標識或 用戶標識信息。步驟204 認證器收到終端的標識信息后��,將標識發(fā)送到認證服務(wù)器����。步驟205 認證服務(wù)器在收到終端的標識之后,可以根據(jù)標識找到該標識之前使 用的認證器(即老認證器)���,如果存在一個老的認證器�����,不管老認證器是否已經(jīng)發(fā)起認證����, 都發(fā)送認證鎖定消息給老認證器,消息中可以包含所述標識�。老認證器收到認證鎖定消息 后不再接受或發(fā)起指定標識對應(yīng)的認證過程,已經(jīng)發(fā)起的認證過程也終止���。步驟206 終端與認證服務(wù)器通過新認證器繼續(xù)完成后續(xù)認證步驟�。詳細過程可 參考相關(guān)的EAP認證標準規(guī)范����,這里不再詳細描述。步驟207 在EAP認證過程之后�����,還可以有密鑰分發(fā)過程和IP層的切換過程����,這里 不詳細描述。步驟208 在EAP認證和密鑰分發(fā)過程之后����,認證服務(wù)器如果向老認證器發(fā)送過認 證鎖定消息,向老認證器發(fā)送解除鎖定消息�����,其中包含所述標識���。老認證器收到解除鎖定消息�����,可以立即或稍后刪除所述標識對應(yīng)的認證信息���。這個步驟不是必須的,老認證器可以在收到其它的消息時刪除所述標識對應(yīng)的認證信息��,例如計費終止消息��。上述實施方式����,在認證服務(wù)器接收到認證請求之后,若上述認證請求來自新的認 證器��,則鎖定認證請求中的標識使用的老認證器��,從而消除新���、老認證器同時認證產(chǎn)生的沖 突��,使切換過程不會因為終端和服務(wù)器通過新認證的認證結(jié)果被老認證器發(fā)起的重認證的 認證結(jié)果覆蓋而導(dǎo)致失敗�。實施例三,如圖3所示�,本發(fā)明實施例還提供了一種認證服務(wù)器,包括認證請求接收單元301����,用于接收第二認證器發(fā)送的認證請求;上述認證請求中 包含待認證的標識���;鎖定消息發(fā)送單元302����,用于在上述認證請求中的標識使用的第一認證器和上述 第二認證器不同的情況下�����,向上述第一認證器發(fā)送認證鎖定消息�,用于控制上述第一認證 器停止上述標識的認證;其中��,所述第二認證器為終端本次認證使用的認證器�����,第一認證器 為本次認證之前的認證使用的認證器;認證執(zhí)行單元303�����,用于執(zhí)行上述第二認證器的認證請求對應(yīng)的認證操作����?���?蛇x地,如圖4所示�����,上述認證服務(wù)器����,還包括認證終止單元401,用于若上述認證請求中的標識使用的第一認證器和上述第二 認證器不同且上述第一認證器已經(jīng)發(fā)起上述標識的認證�,則終止上述第一認證器的認證;進一步地����,還可以包括終止原因發(fā)送單元402�����,用于向上述第一認證器發(fā)送終止 認證的原因為上述標識正在進行切換的認證�����?����?蛇x地����,如圖5所示�,上述認證服務(wù)器,還包括解除鎖定消息發(fā)送單元501�����,用于在上述認證執(zhí)行單元303執(zhí)行所述第二認證器 的認證請求對應(yīng)的認證操作完成之后��,向第一認證服務(wù)器發(fā)送解除認證鎖定消息�����,以控制 上述第一認證器解除上述標識的認證的鎖定。上述實施方式��,在認證服務(wù)器接收到來自第二認證器的認證請求之后����,若上述認 證請求中的標識已使用的第一認證器和第二認證器不同�,則終止并拒絕第一認證器的認 證,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突�,使切換過程不會因通過第二 認證器的認證結(jié)果被第一認證器的認證結(jié)果覆蓋而失敗。另外��,向第一認證器發(fā)送終止認證的原因�,可以方便第一認證器進行認證的控制, 例如拒絕接受或拒絕執(zhí)行上述標識的認證����。實施例四,如圖6所示�����,本發(fā)明實施例還提供了一種認證控制的系統(tǒng)��,包括第二認證器601,用于向認證服務(wù)器602發(fā)送認證請求��;認證服務(wù)器602�����,用于接收第二認證器601發(fā)送的認證請求���;在上述認證請求中的 標識使用的第一認證器603和上述第二認證器601不同的情況下�,向上述第一認證器603 發(fā)送認證鎖定消息�,以控制上述第一認證器603停止上述標識的認證;執(zhí)行上述第二認證 器601的認證請求對應(yīng)的認證操作�����;其中第二認證器603為終端本次認證使用的認證器����,第 一認證器601為本次認證之前的認證使用的認證器;第一認證器603���,用于接收到上述認證鎖定消息后�,拒絕接受或拒絕執(zhí)行上述標識 的認證����。上述認證服務(wù)器602��,還用于若上述認證請求中的標識使用的第一認證器603和上述第二認證器601不同且上述第一認證器603已經(jīng)發(fā)起上述標識的認證��,則終止上述第 一認證器603的認證����,進一步地還可以向上述第一認證器603發(fā)送終止認證的原因為上述 標識正在進行切換的認證���。上述認證服務(wù)器���,還用于在執(zhí)行上述第二認證器601的認證請求對應(yīng)的認證操作 之后���,向第一認證器603發(fā)送解除認證鎖定消息�,用于控制上述第一認證器601解除上述標 識的認證的鎖定�。上述實施方式,在認證服務(wù)器接收到來自第二認證器的認證請求之后�,若上述認 證請求中的標識已使用的第一認證器和第二認證器不同,則終止并拒絕第一認證器的認 證����,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突,使切換過程不會因通過第二 認證器的認證結(jié)果被第一認證器的認證結(jié)果覆蓋而失敗。另外���,向第一認證器發(fā)送終止認證的原因�����,可以方便第一認證器進行認證的控制��, 例如拒絕接受或拒絕執(zhí)行上述標識的認證�����。實施例五��,如圖7所示�����,本發(fā)明實施例還提供了一種認證控制的方法���,包括
步驟701 接收第二認證器發(fā)送的認證請求;步驟702 若上述認證請求中的標識使用的第一認證器和上述第二認證器不同�����, 貝1J,在接收到上述第一認證器發(fā)送的帶有上述標識的認證請求時�,拒絕上述第一認證器的 認證;所述第二認證器為終端本次認證使用的認證器��,第一認證器為本次認證之前的認證 使用的認證器�����;若上述認證請求中的標識使用的第一認證器和上述第二認證器不同且上述第一 認證器已經(jīng)發(fā)起上述標識的認證�,則終止上述標識的認證。認證服務(wù)器可以向上述第一認 證器發(fā)送終止認證的原因為上述標識正在進行切換的認證��。步驟703 執(zhí)行上述第二認證器發(fā)送的認證請求對應(yīng)的認證操作及后續(xù)認證步
馬聚ο上述實施方式�����,在認證服務(wù)器接收到來自第二認證器的認證請求之后��,若上述認 證請求中的標識已使用的第一認證器和第二認證器不同��,則終止并拒絕第一認證器的認 證���,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突,使切換過程不會因通過第二 認證器的認證結(jié)果被第一認證器的認證結(jié)果覆蓋而失敗���。實施例六��,本發(fā)明實施例還提供了在WiMAX下的認證控制的實現(xiàn)方式���,其它網(wǎng)絡(luò) 以及異質(zhì)網(wǎng)絡(luò)切換與之原理相同����,不再一一說明��。如圖7所示�����,與實施例二的不同點在于���, 認證服務(wù)器沒有發(fā)認證鎖定消息給老認證器�����,而是在有關(guān)終端或用戶標識的信息中設(shè)置一 個標志�,表示該標識正在進行認證�����,不允許其它的認證器發(fā)起新的認證。之后��,如果老認證 器發(fā)起重認證��,服務(wù)器就回一個失敗消息給老認證器���,并可以表明失敗原因��,或不響應(yīng)其任 何消息�。老認證器收到這個失敗消息后����,不再發(fā)起重認證。當然���,此時終端知道自己在認證 中��,不會主動向老認證器發(fā)起重認證�����。如果老認證器早于新認證器發(fā)起重認證,認證服務(wù)器 按照新認證器優(yōu)先老認證器的規(guī)則��,同樣可以向老認證器發(fā)送失敗消息或不再響應(yīng)老認證 的后續(xù)消息終止重認證過程。如圖8所示�����,具體可以包括以下步驟步驟801 終端切換到新的網(wǎng)絡(luò)���,發(fā)起新的認證過程��。新的認證過程可以由終端發(fā) 起��,也可以由新的認證器發(fā)起�,如果新的認證器可以在其它入網(wǎng)步驟后直接開始認證過程��, 則不需要此步驟�。
步驟802 新認證器向終端發(fā)送EAP請求/標識消息,一個認證過程正式開始�����。EAP 請求/標識的消息用于請求終端返回終端的標識信息���。步驟803 終端向新認證器發(fā)送EAP響應(yīng)/標識消息����,其中包含終端的標識信息。步驟804 認證器收到終端的標識信息后�,將標識發(fā)送到認證服務(wù)器。
步驟805 認證服務(wù)器鎖定重認證���,具體可以為首先認證服務(wù)器要確認這次認證 來自新的認證器�����,即所述標識在服務(wù)器中存在認證記錄�,且其使用的認證器與本次認證器 不同�����。如果本次認證確實來自新的認證器����,在有關(guān)標識的信息中設(shè)置一個標志,表示該標識 正在進行認證�����,不允許其它的認證器發(fā)起對該標識的新的認證��。步驟810 認證服務(wù)器和終端繼續(xù)完成后續(xù)認證步驟�,這里不詳細描述。如果在上述過程中�,老的認證器也發(fā)起認證過程,例如因為老認證器上的所述標 識相關(guān)密鑰即將過期���,按規(guī)定認證器發(fā)起重認證����,如下所述步驟806 老認證器向終端發(fā)送EAP請求/標識消息���。步驟807 終端向老認證器發(fā)送EAP響應(yīng)/標識消息����,其中包含終端的標識信息����。步驟808 老認證器收到終端的標識信息后,將標識發(fā)送到認證服務(wù)器��。步驟809 認證服務(wù)器收到老認證器發(fā)送的標識信息后�����,識別出發(fā)送標識信息的 認證器是所述標識使用的老認證器,且所述標識正有來自新認證器的認證過程�����,即認證過 程已被鎖定����,則向老認證器發(fā)送認證失敗的消息,老認證器可以進一步將該消息發(fā)送到終 端��,終端知道來自老認證器的認證失敗了����。認證服務(wù)器也可以對老認證器的認證消息不作 任何響應(yīng),而不發(fā)送認證失敗消息����。上述步驟806到步驟809可以在步驟805之后步驟811之前的任意時間發(fā)生,不 影響本發(fā)明實施例的實現(xiàn)�。步驟811 在EAP認證和密鑰分發(fā)、切換等過程之后�����,認證服務(wù)器解除鎖定�����,老認證 器的認證信息將被刪除,新認證器變成老認證器�。上述實施方式��,在認證服務(wù)器接收到來自新認證器的認證請求之后��,若上述認證 請求中的標識已使用的老認證器和新認證器不同��,則終止并拒絕老認證器的認證�,從而消 除老認證器和新認證器同時認證產(chǎn)生的沖突,使切換過程不會因通過新認證器的認證結(jié)果 被老認證器的認證結(jié)果覆蓋而失敗實施例七���,如圖9所示�,本發(fā)明實施例還提供了一種認證服務(wù)器����,包括認證請求接收單元901,接收第二認證器發(fā)送的認證請求���;認證控制單元902��,用于在上述認證請求中的標識使用的第一認證器和上述第二 認證器不同的情況下���,在接收到上述第一認證器發(fā)送的帶有上述標識的認證請求時�,拒絕 上述第一認證器的認證����;所述第二認證器為終端本次認證使用的認證器,第一認證器為本 次認證之前的認證使用的認證器�����;認證執(zhí)行單元903���,用于執(zhí)行上述第二認證器提出的認證請求對應(yīng)的認證操作�。如圖10所示����,上述認證服務(wù)器,還包括認證終止單元1001�����,用于在上述認證請求中的標識使用的第一認證器和上述第二 認證器不同且上述第一認證器已經(jīng)發(fā)起上述標識的認證的情況下�,終止上述標識的認證;進一步還可以包括終止原因發(fā)送單元1002�����,用于向上述第一認證器發(fā)送終止認 證的原因為上述標識正在進行切換的認證。
上述認證請求接收單元901�����,還用于上述執(zhí)行上述第二認證器提出的認證請求對 應(yīng)的認證操作之后���,接收第一認證器發(fā)送的帶有上述標識的認證請求; 上述認證控制單元902�����,還用于執(zhí)行上述第一認證器的認證請求對應(yīng)的認證操作�。可選地���,如圖11所示���,所述認證服務(wù)器,還包括標識設(shè)置單元1101���,用于若所述認證請求中的標識使用的第一認證器和所述第二 認證器不同�����,則在所述第二認證器發(fā)起認證的所述標識的信息中設(shè)置標識位����,所述標識位 表示該標識正在進行認證。上述實施方式���,在認證服務(wù)器接收到來自第二認證器的認證請求之后�����,若上述認 證請求中的標識已使用的第一認證器和第二認證器不同���,則終止并拒絕第一認證器的認 證,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突�,使切換過程不會因通過第二 認證器的認證結(jié)果被第一認證器的認證結(jié)果覆蓋而失敗實施例八,如圖12所示��,本發(fā)明實施例還提供了一種認證控制的系統(tǒng)���,包括第一認證器1201�����,用于向認證服務(wù)器1203發(fā)送認證請求���;第二認證器1202�,用于向認證服務(wù)器1203發(fā)送認證請求�����;認證服務(wù)器1203�����,用于接收第二認證器1202發(fā)送的認證請求�;若上述認證請求中 的標識使用的第一認證器1201和上述第二認證器1202不同���,則�����,在接收到上述第一認證器 1201發(fā)送的帶有上述標識的認證請求時���,拒絕上述第一認證器1201的認證;執(zhí)行上述第二 認證器1202提出的認證請求對應(yīng)的認證操作�。上述認證服務(wù)器1203���,還用于若上述認證請求中的標識使用的第一認證器1201 和上述第二認證器1202不同且上述第一認證器1201已經(jīng)發(fā)起上述標識的認證,則終止上 述標識的認證�����,進一步還可以向上述第一認證器1201發(fā)送終止認證的原因為上述標識正 在進行切換的認證�;上述第二認證器1201為終端本次認證使用的認證器,第一認證器1202 為本次認證之前的認證使用的認證器���。上述認證服務(wù)器1203�,還用于執(zhí)行上述第二認證器1202提出的認證請求對應(yīng)的 認證操作之后�����,在接收到上述第一認證器1201發(fā)送的帶有上述標識的認證請求時����,執(zhí)行上 述第一認證器1201發(fā)送的帶有上述標識的認證請求對應(yīng)的認證操作。所述認證服務(wù)器1203�,還用于在所述認證請求中的標識使用的第一認證1201器 和所述第二認證器1202不同,則在所述第二認證器1202發(fā)起認證的所述標識的信息中設(shè) 置標識位�����,所述標識位表示該標識正在進行認證。上述實施方式�����,在認證服務(wù)器接收到來自第二認證器的認證請求之后���,在上述認 證請求中的標識已使用的第一認證器和第二認證器不同的情況下�,則終止并拒絕第一認證 器的認證�����,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突���,使切換過程不會因通 過第二認證器的認證結(jié)果被第一認證器的認證結(jié)果覆蓋而失敗本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以 通過程序來指令相關(guān)的硬件完成�,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中�����,上 述提到的存儲介質(zhì)可以是只讀存儲器��,磁盤或光盤等����。以上對本發(fā)明實施例所提供的一種認證控制的方法,認證服務(wù)器和系統(tǒng)進行了詳 細介紹����,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說 明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處��,綜上所述����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種認證控制的方法��,其特征在于����,包括接收第二認證器發(fā)送的認證請求;所述認證請求中包含待認證的標識;若所述認證請求中的標識使用的第一認證器和所述第二認證器不同�����,則��,向所述第一 認證器發(fā)送認證鎖定消息���,用于控制所述第一認證器停止所述標識的認證����;所述第二認證 器為終端本次認證使用的認證器��,第一認證器為本次認證之前的認證使用的認證器���;執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操作����。
2.根據(jù)權(quán)利要求1所述方法��,其特征在于��,所述控制第一認證器停止所述標識的認證 包括控制所述第一認證器拒絕接受或拒絕執(zhí)行所述標識的認證��。
3.根據(jù)權(quán)利要求1或2所述方法�����,其特征在于��,若所述認證請求中的標識使用的第一認 證器和所述第二認證器不同且所述第一認證器已經(jīng)發(fā)起所述標識的認證���,則終止所述第一 認證器的認證���。
4.根據(jù)權(quán)利要求1或2所述方法,其特征在于��,執(zhí)行所述第二認證器的認證請求對應(yīng)的 認證操作之后還包括向第一認證器發(fā)送解除認證鎖定消息���,用于控制所述第一認證器解除所述標識的認證 的鎖定����。
5.一種認證服務(wù)器����,其特征在于,包括認證請求接收單元�����,用于接收第二認證器發(fā)送的認證請求;所述認證請求中包含待認 證的標識���;鎖定消息發(fā)送單元�����,用于在所述認證請求中的標識使用的第一認證器和所述第二認證 器不同的情況下��,向所述第一認證器發(fā)送認證鎖定消息����,以控制所述第一認證器停止所述 標識的認證��;所述第二認證器為終端本次認證使用的認證器��,第一認證器為本次認證之前 的認證使用的認證器����;認證執(zhí)行單元,用于執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操作�����。
6.根據(jù)權(quán)利要求5所述認證服務(wù)器,其特征在于���,還包括認證終止單元,用于若所述認證請求中的標識使用的第一認證器和所述第二認證器不 同且所述第一認證器已經(jīng)發(fā)起所述標識的認證��,則終止所述第一認證器的認證����。
7.根據(jù)權(quán)利要求5所述認證服務(wù)器,其特征在于���,還包括解除鎖定消息發(fā)送單元��,用于在所述認證執(zhí)行單元執(zhí)行所述第二認證器的認證請求對 應(yīng)的認證操作完成之后�,向第一認證器發(fā)送解除認證鎖定消息����,以控制所述第一認證器解 除所述標識的認證的鎖定。
8.一種認證控制的系統(tǒng)�����,其特征在于����,包括第二認證器�,用于向認證服務(wù)器發(fā)送認證請求��;認證服務(wù)器���,用于接收第二認證器發(fā)送的認證請求���;在所述認證請求中的標識使用的 第一認證器和所述第二認證器不同的情況下,向所述第一認證器發(fā)送認證鎖定消息��,以控 制所述第一認證器停止所述標識的認證�����;執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操 作���;所述第二認證器為終端本次認證使用的認證器����,第一認證器為本次認證之前的認證使 用的認證器����;第一認證器�,用于接收到所述認證鎖定消息后�����,拒絕接受或拒絕執(zhí)行所述標識的認證��。
9.根據(jù)權(quán)利要求8所述系統(tǒng)���,其特征在于,所述認證服務(wù)器�,還用于若所述認證請求中的標識使用的第一認證器和所述第二認證 器不同且所述第一認證器已經(jīng)發(fā)起所述標識的認證,則終止所述第一認證器的認證�。
10.根據(jù)權(quán)利要求8所述系統(tǒng),其特征在于�,還包括所述認證服務(wù)器,還用于在執(zhí)行所述第二認證器的認證請求對應(yīng)的認證操作之后��,向 第一認證器發(fā)送解除認證鎖定消息���,用于控制所述第一認證器解除所述標識的認證的鎖定����。
11.一種認證控制的方法���,其特征在于�����,包括接收第二認證器發(fā)送的認證請求�����;若所述認證請求中的標識使用的第一認證器和所述第二認證器不同�,則,在接收到所 述第一認證器發(fā)送的帶有所述標識的認證請求時��,拒絕所述第一認證器的認證請求����;所述 第二認證器為終端本次認證使用的認證器,第一認證器為本次認證之前的認證使用的認證 器��;執(zhí)行所述第二認證器發(fā)送的認證請求對應(yīng)的認證操作���。
12.根據(jù)權(quán)利要求11所述方法���,其特征在于,若所述認證請求中的標識使用的第一認 證器和所述第二認證器不同且所述第一認證器已經(jīng)發(fā)起所述標識的認證,則終止所述標識 的認證�����。
13.根據(jù)權(quán)利要求11所述方法�,其特征在于,若所述認證請求中的標識使用的第一認 證器和所述第二認證器不同還包括在所述第二認證器發(fā)起認證的所述標識的信息中設(shè)置標識位��,所述標識表示該標識位 正在進行認證����。
14.一種認證服務(wù)器�,其特征在于,包括認證請求接收單元����,接收第二認證器發(fā)送的認證請求;認證控制單元�����,用于在所述認證請求中的標識使用的第一認證器和所述第二認證器不 同的情況下�����,在接收到所述第一認證器發(fā)送的帶有所述標識的認證請求時,拒絕所述第一 認證器的認證請求����;所述第二認證器為終端本次認證使用的認證器,第一認證器為本次認 證之前的認證使用的認證器���;執(zhí)行所述第二認證器提出的認證請求對應(yīng)的認證操作��。
15.根據(jù)權(quán)利要求14所述認證服務(wù)器����,其特征在于���,還包括認證終止單元���,用于在所述認證請求中的標識使用的第一認證器和所述第二認證器不 同且所述第一認證器已經(jīng)發(fā)起所述標識的認證的情況下,終止所述標識的認證�。
16.根據(jù)權(quán)利要求14所述認證服務(wù)器,其特征在于��,還包括標識設(shè)置單元��,用于若所述認證請求中的標識使用的第一認證器和所述第二認證器不 同��,則在所述第二認證器發(fā)起認證的所述標識的信息中設(shè)置標識位,所述標識位表示該標 識正在進行認證���。
17.一種認證控制的系統(tǒng)�,其特征在于��,包括第一認證器�,用于向認證服務(wù)器發(fā)送認證請求;第二認證器�����,用于向認證服務(wù)器發(fā)送認證請求�����;認證服務(wù)器�����,用于接收第二認證器發(fā)送的認證請求���;若所述認證請求中的標識使用的第一認證器和所述第二認證器不同,則���,在接收到所述第一認證器發(fā)送的帶有所述標識的 認證請求時��,拒絕所述第一認證器的認證請求���;執(zhí)行所述第二認證器提出的認證請求對應(yīng) 的認證操作����;所述第二認證器為終端本次認證使用的認證器���,第一認證器為本次認證之前 的認證使用的認證器����。
18.根據(jù)權(quán)利要求17所述系統(tǒng)�����,其特征在于�����,所述認證服務(wù)器�����,還用于在所述認證請求中的標識使用的第一認證器和所述第二認證 器不同且所述第一認證器已經(jīng)發(fā)起所述標識的認證的情況下,則終止所述標識的認證����。
19.根據(jù)權(quán)利要求17或18所述系統(tǒng),其特征在于����,所述認證服務(wù)器,還用于執(zhí)行所述第二認證器提出的認證請求對應(yīng)的認證操作之后�, 在接收到所述第一認證器發(fā)送的帶有所述標識的認證請求時,執(zhí)行所述第一認證器發(fā)送的 帶有所述標識的認證請求���。
20.根據(jù)權(quán)利要求17所述系統(tǒng)���,其特征在于,所述認證服務(wù)器����,還用于在所述認證請求中的標識使用的第一認證器和所述第二認證 器不同�,則在所述第二認證器發(fā)起認證的所述標識的信息中設(shè)置標識位,所述標識位表示 該標識正在進行認證�����。
全文摘要
本發(fā)明實施例公開了一種認證控制的方法,認證服務(wù)器和系統(tǒng)�����,其中方法的實現(xiàn)包括接收第二認證器發(fā)送的認證請求�����;認證請求中包含待認證的標識���;若認證請求中的標識使用的第一認證器和第二認證器不同�����,則���,向第一認證器發(fā)送認證鎖定消息,用于控制第一認證器停止標識的認證���;第二認證器為終端本次認證使用的認證器�,第一認證器為本次認證之前的認證使用的認證器�����;執(zhí)行第二認證器的認證請求對應(yīng)的認證操作。在認證服務(wù)器接收到認證請求之后����,若上述認證請求中的標識使用的第一認證器和第二認證器不同,則鎖定第一認證器的認證���,從而消除第一認證器和第二認證器同時認證產(chǎn)生的沖突����,使切換的認證成功����,進而提高切換認證成功率。
文檔編號H04L29/06GK102035802SQ200910177419
公開日2011年4月27日 申請日期2009年9月28日 優(yōu)先權(quán)日2009年9月28日
發(fā)明者丁志明, 楊永利, 樹貴明 申請人:華為終端有限公司