基于GPRS网络和一体化标识网络的认证方法和装置

技术领域

本发明涉及网络技术领域，特别涉及一种基于GPRS网络和一体化标识网 络的认证方法和装置。

背景技术

传统的互联网针对固定终端设计，IP(Internet Protocol，网络互连协议)地 址可以同时用于表示固定终端用户的身份和位置等属性，但随着互联网规模的 日益膨胀以及移动终端的普及，IP地址的双重属性引起了路由可扩展性问题、 移动性问题、安全性问题等诸多问题。为此，提出了一体化标识网络的体系结 构，引入了接入标识和路由标识的概念，在接入网中采用接入标识表示用户的 身份，在核心网中采用路由标识表示用户的位置，将移动终端的身份和位置分 离，从根本上解决了IP地址双重属性的问题，提高了网络服务质量，提升了网 络性能。

在一体化标识网络中，身份位置寄存器可以用于分配接入标识，接入服务 路由器向身份位置寄存器发送接入标识请求，该接入标识请求携带移动终端的 身份标识，当身份位置寄存器接收到该接入标识请求时，根据该身份标识，为 该移动终端分配接入标识，发送给该接入服务路由器，该接入服务路由器接收 到该接入标识时，为该移动终端分配路由标识，移动终端即可基于该接入标识 和该路由标识进行通信。

但是，该身份位置寄存器仅用于分配该接入标识，该接入标识只能反映移 动终端的位置信息，只根据接入标识分配路由标识时，很可能会受到网络攻击， 安全性差。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种基于GPRS网络和一 体化标识网络的认证方法和装置。所述技术方案如下：

第一方面，提供了一种基于GPRS网络和一体化标识网络的认证方法，所 述方法包括：

移动专用网关接收移动终端的第一认证请求，所述第一认证请求携带接入 标识，所述移动专用网关用于融合通用分组无线服务技术GPRS网络中的网关 通用分组无线服务技术支持节点GGSN和一体化标识网络中的接入交换路由器 ASR的功能；

所述移动专用网关对所述接入标识进行认证；

如果认证通过，当所述移动专用网关接收到所述移动终端的第二认证请求 时，根据所述接入标识，为所述移动终端分配路由标识；

所述移动专用网关向所述移动终端发送所述路由标识，使得所述移动终端 基于所述接入标识和所述路由标识进行通信。

第二方面，提供了一种基于GPRS网络和一体化标识网络的认证方法，所 述方法包括：

认证服务器接收移动专用网关的第三认证请求，所述第三认证请求携带移 动终端的身份标识；

所述认证服务器对所述身份标识进行认证，当所述身份标识认证通过时， 向所述移动专用网关发送身份认证通过消息，所述移动专用网关用于融合通用 分组无线服务技术GPRS网络中的网关通用分组无线服务技术支持节点GGSN 和一体化标识网络中的接入交换路由器ASR的功能。

第三方面，提供了一种基于GPRS网络和一体化标识网络的认证装置，所 述装置用于融合通用分组无线服务技术GPRS网络中的网关通用分组无线服务 技术支持节点GGSN和一体化标识网络中的接入交换路由器ASR的功能，所述 装置包括：

第一请求接收模块，用于接收移动终端的第一认证请求，所述第一认证请 求携带接入标识；

认证模块，用于对所述接入标识进行认证；

路由标识分配模块，用于如果认证通过，当接收到所述移动终端的第二认 证请求时，根据所述接入标识，为所述移动终端分配路由标识；

路由标识发送模块，用于向所述移动终端发送所述路由标识，使得所述移 动终端基于所述接入标识和所述路由标识进行通信。

第四方面，提供了一种基于GPRS网络和一体化标识网络的认证装置，所 述装置包括：

第三认证请求接收模块，用于接收移动专用网关的第三认证请求，所述第 三认证请求携带移动终端的身份标识；

身份标识认证模块，用于对所述身份标识进行认证，当所述身份标识认证 通过时，向所述移动专用网关发送身份认证通过消息，所述移动专用网关用于 融合通用分组无线服务技术GPRS网络中的网关通用分组无线服务技术支持节 点GGSN和一体化标识网络中的接入交换路由器ASR的功能。

本发明实施例提供的技术方案带来的有益效果是：

本发明实施例提供的方法和装置，通过引入移动专用网关，融合了GPRS 网络中的GGSN的功能以及一体化标识网络中ASR的功能，使得移动终端能够 基于接入标识和路由标识进行通信，且，该移动专用网关对该接入标识进行认 证，认证通过时才为该移动终端分配路由标识，避免了可能发生的网络攻击， 大大提高了安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图；

图2是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图；

图3是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图；

图4是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 系统的结构示意图；

图5是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 装置结构示意图；

图6是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部 的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于说明本发明实施例中涉及到的相关内容，首先对GPRS(General  Packet Radio Service，通用分组无线服务技术)网络中的GGSN(Gateway General  Packet Radio Service Support Node，网关通用分组无线服务技术支持节点)和一 体化标识网络中的ASR(Access Switch Router，接入交换路由器)的功能进行 说明：

在GPRS网络中，GGSN具有以下功能：

(1)网络接入控制功能；

(2)维护路由表，实现路由选择和分组的转发功能；

(3)用户数据管理，实现了对分组数据的过滤；

(4)会话管理；

(5)鉴权。

在一体化标识网络中，ASR具有以下功能：

(1)向认证服务器发送认证请求，与认证服务器进行信令交互；

(2)接收移动终端的数据包，检测移动终端的接入标识，为移动终端分配 路由标识，并通知映射服务器；

(3)根据路由标识对移动终端的数据包进行转发。

图1是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图。该发明实施例的执行主体为移动专用网关，参见图1，该方法包 括：

101、移动专用网关接收移动终端的第一认证请求，该第一认证请求携带接 入标识，该移动专用网关用于融合GPRS网络中的GGSN和一体化标识网络中 的ASR的功能。

102、该移动专用网关对该接入标识进行认证。

103、如果认证通过，当该移动专用网关接收到该移动终端的第二认证请求 时，根据该接入标识，为该移动终端分配路由标识。

104、该移动专用网关向该移动终端发送该路由标识，使得该移动终端基于 该接入标识和该路由标识进行通信。

本发明实施例提供的方法，通过引入移动专用网关，融合了GPRS网络中 的GGSN的功能以及一体化标识网络中ASR的功能，使得移动终端能够基于接 入标识和路由标识进行通信，且，该移动专用网关对该接入标识进行认证，认 证通过时才为该移动终端分配路由标识，避免了可能发生的网络攻击，大大提 高了安全性。

可选地，该移动专用网关对该接入标识进行认证包括：

该移动专用网关判断接入标识池中是否包括该接入标识，该接入标识池中 包括该移动专用网关分配的接入标识；

当该接入标识池中包括该接入标识时，确定该接入标识认证通过。

可选地，该第一认证请求还携带该移动终端的身份标识，该方法还包括：

该移动专用网关向认证服务器发送第三认证请求，该第三认证请求携带该 身份标识，使得该认证服务器接收到该第三认证请求时，对该身份标识进行认 证，当该身份标识认证通过时，返回身份认证通过消息；

当该移动专用网关接收到该身份认证通过消息时，确定该身份标识认证通 过。

可选地，该当该移动专用网关接收到该移动终端的第二认证请求时，根据 该接入标识，为该移动终端分配路由标识包括：

当该移动专用网关接收到该第二认证请求时，将该移动终端重定向至认证 服务器，使得该移动终端获取用户账号信息，发送给该认证服务器，该认证服 务器接收到该用户账号信息时，对该用户账号信息进行账号认证，账号认证通 过时，为该移动终端分配令牌，并将该移动终端重定向至该移动专用网关；

该移动专用网关根据该接入标识，为该移动终端分配路由标识。

可选地，该移动专用网关根据该接入标识，为该移动终端分配路由标识之 前，该方法还包括：

该移动专用网关向该认证服务器发送查询请求，该查询请求携带该令牌， 使得该认证服务器接收到该查询请求时，查询该令牌是否有效，当确定该令牌 有效时，返回令牌认证通过消息；

当该移动专用网关接收到该令牌认证通过消息时，执行根据该接入标识， 为该移动终端分配路由标识的步骤。

可选地，该根据该接入标识，为该移动终端分配路由标识之后，该方法还 包括：

建立该接入标识与该路由标识之间的映射关系。

可选地，该移动专用网关接收第一认证请求之前，该方法还包括：

该移动专用网关接收该移动终端的接入标识请求，该接入标识请求携带身 份标识；

该移动专用网关对该身份标识进行认证，该身份标识认证通过时，为该移 动终端分配该接入标识；

向该移动终端发送该接入标识。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在 此不再一一赘述。

图2是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图。该发明实施例的执行主体为认证服务器，参见图2，该方法包括：

201、认证服务器接收移动专用网关的第三认证请求，该第三认证请求携带 移动终端的身份标识。

202、该认证服务器对该身份标识进行认证，当该身份标识认证通过时，向 该移动专用网关发送身份认证通过消息，该移动专用网关用于融合GPRS网络 中的GGSN和一体化标识网络中的ASR的功能。

本发明实施例提供的方法，通过引入移动专用网关，融合了GPRS网络中 的GGSN的功能以及一体化标识网络中ASR的功能，引入认证服务器对身份标 识进行认证的功能，使得移动终端能够基于接入标识和路由标识进行通信，且， 对该接入标识和该身份标识进行认证，认证通过时才为该移动终端分配路由标 识，避免了可能发生的网络攻击，大大提高了安全性。

可选地，该第三认证请求还携带该移动终端的接入标识，该方法还包括：

当该身份标识认证通过时，该认证服务器根据该接入标识，更新该身份标 识对应的接入标识。

可选地，该方法包括：

当该认证服务器接收到该移动终端的用户账号信息时，对该用户账号信息 进行账号认证；

账号认证通过时，该认证服务器为该移动终端分配令牌。

可选地，该账号认证通过时，该认证服务器为该移动终端分配令牌之后， 该方法还包括：

当该认证服务器接收到该移动专用网关的查询请求时，查询该令牌是否有 效，该查询请求携带该令牌；

当该认证服务器确定该令牌有效时，向该移动专用网关发送令牌认证通过 消息。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在 此不再一一赘述。

图3是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 方法的流程图。该发明实施例的交互主体为移动终端、SGSN(Serving General  Packet Radio Service Support Node，服务通用分组无线服务技术支持节点)、移动 专用网关和认证服务器，参见图3，该方法包括：

301、SGSN对该移动终端进行移动性管理。

在本发明实施例中，SGSN检测服务区域内的移动终端，当检测到移动终端 时，对该移动终端的位置进行跟踪定位，基于该移动终端当前的位置，对该移 动终端进行移动性管理，实时地检测该移动终端的状态，如是否完成登记注册、 是否关机、是否移动到其他服务区域等，根据该移动终端的状态为该移动终端 分配资源。

302、SGSN向移动专用网关发送PDP(Packet Data Protocol，分组数据协议) 上下文请求，该PDP上下文请求携带该移动终端的身份标识。

其中，该移动专用网关用于融合GPRS网络中的GGSN和一体化标识网络 中的ASR的功能，也即是，该GPRS网络中，该移动专用网关相当于GGSN， 一体化标识网络中，该移动专用网关相当于ASR。该移动专用网络可以位于 GPRS网络和一体化标识网络的“交接处”。

当该SGSN接入该移动终端时，建立该移动终端与该SGSN之间的通信通 道，但是为了通过该移动专用网关接入外部网络，该SGSN向该移动专用网关 发送PDP上下文请求。

其中，该身份标识用于表示该移动终端的身份，可以为该移动终端的IMSI (International Mobile Subscriber Identification Number，国际移动用户识别码)、 NAI(Network Access Identifier，网络访问标识符)或者其他可以唯一确定该移 动终端的标识，本发明实施例对此不做限定。

303、当该移动专用网关接收到该PDP上下文请求时，对该身份标识进行认 证，该身份标识认证通过时，为该移动终端分配接入标识。

具体地，当该移动专用网关接收到该PDP上下文请求时，判断该身份标识 是否合法，并判断该移动终端是否已经交费，当该身份标识合法时，表示该移 动终端为合法用户。当该移动专用网关确定该移动终端为合法用户且已经交费 时，身份标识认证通过，则该移动专用网关为该移动终端分配接入标识。该移 动终端可以从该移动专用网关预先配置的接入标识池中任意选取一个未分配的 接入标识，分配给该移动终端。

304、该移动专用网关向SGSN发送PDP上下文响应，该PDP上下文响应 携带该接入标识。

305、该SGSN与该移动专用网关之间建立双向隧道。该双向隧道用于基于 GTP(GPRS Tunnel Protocol，GPRS隧道协议)传输数据。该SGSN基于GTP 协议对待传输的原始数据进行封装后，通过该双向隧道传输给该移动专用网关， 当该移动专用网关接收到传输数据时，基于GTP协议对该传输数据进行解封装， 得到原始数据。

306、该移动终端向该SGSN发送第一认证请求，该第一认证请求携带该身 份标识和该接入标识。当该移动终端打开网页时，发起该第一认证请求，启动 认证过程。

307、当该SGSN接收到该第一认证请求时，通过该双向隧道向该移动专用 网关发送该第一认证请求。

需要说明的是，在本发明实施例中，该移动专用网关融合了GPRS网络中 的GGSN的功能以及一体化标识网络中的ASR的功能，则可以将该移动专用网 关划分为两个功能模块：GGSN模块和ASR模块，该步骤303-307中该移动专 用网关执行的步骤可以由该GGSN模块执行。

进一步需要说明的是，在实际应用于Linux系统中时，该ASR模块需要在 内核层检测数据包，并从内核层进入分离映射流程，则必须将接收数据包的网 络端口配置在该ASR模块，且接收到的数据包必须为原始数据包，而不是封装 后的数据包，因此，将GTP虚拟隧道口配置为该ASR模块接收数据包的网络端 口，该GTP隧道口可以对封装后的数据包进行解封装，得到原始数据包，该ASR 即可接收该原始数据包，且Linux系统可以对该GTP隧道口执行与实体网络端 口相同的操作，满足了分离映射系统对网络端口的配置要求。

308、当该移动专用网关接收到该第一认证请求时，对该接入标识进行认证。

在本发明实施例中，当该移动专用网关接收到该第一认证请求时，对该接 入标识进行认证，判断该接入标识是否能够入网。具体地，该移动专用网关判 断接入标识池中是否包括该接入标识，当该接入标识池中包括该接入标识时， 确定该接入标识认证通过，当该接入标识池中不包括该接入标识时，丢弃该接 入标识。其中，该接入标识池包括该移动专用网关分配的接入标识。

可选地，该GGSN模块接收该SGSN通过该双向隧道发送的第一认证请求， 向该ASR模块转发该第一认证请求，当该ASR模块接收到该第一认证请求时， 执行判断接入标识池中是否包括该接入标识的步骤。

为了使该GGSN模块分配的接入标识能够通过一体化标识网络，可以将该 GGSN模块配置的接入标识池写入该一体化标识网络，由该ASR模块维护该接 入标识池。该接入标识池可以为静态接入标识池，该GGSN模块配置待分配的 接入标识池后，发送给该ASR模块，则该ASR模块维护该接入标识池，则只要 是该GGSN模块配置的接入标识均可以通过该ASR模块的认证，信令交互少， 系统负担小。该接入标识池还可以为动态接入标识池，该GGSN模块每分配一 个接入标识，向该ASR模块发送接入标识添加消息，该接入标识添加消息携带 该分配的接入标识，则该ASR模块在该接入标识池中添加该分配的接入标识。 相应的，每有一个用户退出时，该GGSN向该ASR模块发送接入标识删除消息， 该接入标识删除消息携带退出的接入标识，则该ASR模块从该接入标识池中删 除该退出的接入标识，避免了该GGSN模块已配置但未分配的接入标识通过认 证，准确性高。

309、当该接入标识认证通过时，该移动专用网关向认证服务器发送第三认 证请求，该第三认证请求携带该身份标识和该接入标识。

该第三认证请求可以为precheck请求，该移动专用网关向该认证服务器发 送precheck请求，该precheck请求携带该身份标识和该接入标识，以请求该认 证服务器对该身份标识进行认证。

该precheck请求具体可以为：

Request Method：GET

Request URI：//precheck/？ip＝192.168.0.2&gw_id＝ASR-1&id＝zc

Request version:HTTP/1.0

User-Agent:accessmanager1.0\r\n

Host:10.10.0.2\r\n

\r\n

其中，Request Method用于表示客户端希望执行的动作，比如GET、HEAD 或POST，Request URI用于表示请求资源，或者URL路径组件的完整URL， /precheck/用于表示资源路径，“？”用于表示之后是precheck所携带的参数。ip 用于表示接入标识，gw_id用于表示获取数据的GGSN，id用于表示身份标识， Request version用于表示报文所使用的HTTP版本，User-Agent:accessmanager 用于表示将发起请求的应用程序名称告知服务器(User-Agent)用户代理，Host用 于表示目的地址

310、当该认证服务器接收到该第三认证请求时，对该身份标识进行认证。

311、当该身份标识认证通过时，该认证服务器向该移动专用网关发送身份 认证通过消息。

其中，该身份认证通过消息可以为precheck响应，该precheck响应具体可 以为：

Request version:HTTP/1.0

Status Code：200

Response Phrase：OK

Date:Mon，18

其中，Request version用于表示报文所使用的HTTP版本，Status Code用于 表示precheck认证状态，Response Phrase用于表示precheck认证结果的文字解 释，Date用于表示日期。

在本发明实施例中，该认证服务器可以用于存储身份标识与接入标识之间 的映射关系，则当该身份标识认证通过时，该认证服务器根据该第三认证请求 携带的接入标识，更新存储的映射关系中该身份标识对应的接入标识。

312、当该移动专用网关接收到该身份认证通过消息时，确定该身份标识认 证通过。

313、该移动终端通过该SGSN向该移动专用网关发送第二认证请求，该第 二认证请求携带该身份标识和该接入标识。当该移动终端未接收到该第一认证 请求的响应时，将会再次发起认证请求，即为该第二认证请求。具体过程与该 步骤306-307类似，在此不再赘述。

314、当该移动专用网关接收到该第二认证请求时，将该移动终端重定向至 认证服务器。

该移动专用网关接收到该第二认证请求时，将该移动终端重定向至该认证 服务器的认证页面，则该移动终端显示该认证页面。该认证页面包括输入栏， 该输入栏用于输入用户账号信息，该用户账号信息可以为用户账号和密码等， 本发明实施例对此不做限定。

315、该移动终端获取用户账号信息。

316、该移动终端向该认证服务器发送该用户账号信息。

317、当该认证服务器接收到该用户账号信息时，对该用户账号信息进行账 号认证，账号认证通过时，为该移动终端分配令牌，并将该移动终端重定向至 该移动专用网关。

在本发明实施例中，该移动终端可以在该认证服务器提供的账号机制下注 册用户账号信息，当该认证服务器接收到该用户账号信息时，对该用户账号信 息进行账号认证，判断该用户账号信息是否为该认证服务器注册的合法的用户 账号信息，当账号认证通过时，该认证服务器为该移动终端分配令牌(Token)， 允许该移动终端接入网络，并将该移动终端重定向至该移动专用网关。

以该用户账号信息包括用户名和密码为例，该认证服务器用于维护账号数 据库，该账号数据库中存储有该认证服务器注册的用户名和相应的密码，当该 认证服务器接收到该用户账号信息时，判断该账号数据库中是否包括该用户账 号信息中的用户名，如果包括，该认证服务器根据该账号数据库中存储的密码， 判断该用户账号信息中的密码是否正确，如果正确，该用户账号信息认证通过。

318、该移动专用网关向该认证服务器发送查询请求，该查询请求携带该令 牌。

319、当该认证服务器接收到该查询请求时，查询该令牌是否有效。

该认证服务器可以为该令牌配置有效时长，该认证服务器在分配该令牌时， 确定该令牌的有效时长，并记录该令牌的分配时间，根据该令牌的分配时间和 该有效时长，确定该令牌的失效时间，当到达该失效时间时，该令牌失效，此 时该移动终端将不能使用该令牌。则当该认证服务器接收到该查询请求时，根 据该令牌的失效时间，判断该令牌是否有效，如果有效，则向该移动专用网关 发送令牌认证通过消息。

320、当该认证服务器确定该令牌有效时，向该移动专用网关发送令牌认证 通过消息。

321、当该移动专用网关接收到该令牌认证通过消息时，根据该接入标识， 为该移动终端分配路由标识。

当该移动专用网关接收到该令牌认证通过消息时，确定该令牌可以使用， 且该移动终端的身份标识、接入标识和用户账号信息均已认证通过，则该移动 专用网关为该移动终端分配路由标识，发送给该路由标识，并将该移动终端重 定向至该认证服务器的认证成功页面，该移动终端显示该认证成功页面，此时 该移动终端可以基于该接入标识和该路由标识进行通信，该认证服务器开始记 录该移动终端在该一体化标识网络中的数据流量使用情况。

本发明实施例中，该移动专用网关对该移动终端的身份标识、接入标识和 路由标识进行多层次认证，认证通过时才为该移动终端分配路由标识，充分地 保护了用户与路由器的安全，避免了可能发生的网络攻击，大大提高了安全性。

另外，该移动专用网关可以建立该接入标识与该路由标识之间的映射关系， 以便后续当接收到该移动终端基于接入标识发送的数据包时，可以根据该映射 关系，将该接入标识映射为该路由标识，基于该路由标识进行路由转发。

322、该移动专用网关向该移动终端发送该路由标识。

323、当该移动终端接收到该路由标识时，基于该接入标识和该路由标识进 行通信。

当该移动终端发起对服务器的请求时，基于该接入标识发送该请求，当该 移动专用网关接收到该请求时，根据该映射关系，将该接入标识映射为路由标 识，基于该路由标识向该服务器发送该请求，使得该服务器基于该路由标识返 回响应，该移动专用网关再根据该映射关系，将该路由标识映射为该接入标识， 基于该接入标识向该移动终端发送该响应，实现了接入标识和路由标识的分离 映射。

需要说明的是，上述步骤309-323中该移动专用网关执行的步骤可以由该 ASR模块执行。

图4是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 系统的结构示意图，参见图4，将GPRS与一体化标识网络进行融合，由该移动 专用网关实现该GPRS网络中GGSN的功能以及该一体化标识网络中ASR的功 能。以该移动终端访问该服务器的资源为例，该SGSN接入该移动终端，该移 动专用网关对该移动终端的身份标识进行认证后，为该移动终端分配接入标识， 当该移动终端发起访问该服务器的资源的请求时，该移动专用网关对该接入标 识进行认证，认证通过时，由该认证服务器对该移动终端的身份标识进行认证， 当该移动终端再次发起访问该资源的请求时，由该认证服务器对该移动终端的 用户账号信息进行认证，认证通过时，该移动专用网关为该移动终端分配路由 标识，基于该路由标识，将访问该资源的请求发送给该服务器。

本发明实施例将GPRS网络与一体化标识网络进行融合，在保持GPRS网 络原有功能的同时，以尽量少的配置，增加一个移动专用网关，并对该移动专 用网关中的ASR模块进行适当地改变，实现了GGSN与ASR的融合。

本发明实施例提供的方法，通过引入移动专用网关，融合了GPRS网络中 的GGSN的功能以及一体化标识网络中ASR的功能，实现了接入标识和路由标 识的分离映射，使得该移动终端能够基于接入标识和路由标识进行通信，且， 对该移动终端的身份标识、接入标识和路由标识进行多层次认证，认证通过时 才为该移动终端分配路由标识，避免了可能发生的网络攻击，大大提高了安全 性。

图5是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 装置结构示意图，参见图5，该装置用于融合通用GPRS网络中的GGSN和一 体化标识网络中的ASR的功能，该装置包括：

第一请求接收模块501，用于接收移动终端的第一认证请求，该第一认证请 求携带接入标识；

认证模块502，用于对该接入标识进行认证；

路由标识分配模块503，用于如果认证通过，当接收到该移动终端的第二认 证请求时，根据该接入标识，为该移动终端分配路由标识；

路由标识发送模块504，用于向该移动终端发送该路由标识，使得该移动终 端基于该接入标识和该路由标识进行通信。

本发明实施例提供的装置，通过融合GPRS网络中的GGSN的功能以及一 体化标识网络中ASR的功能，使得移动终端能够基于接入标识和路由标识进行 通信，且，对该接入标识进行认证，认证通过时才为该移动终端分配路由标识， 避免了可能发生的网络攻击，大大提高了安全性。

可选地，该认证模块502包括：

判断单元，用于判断接入标识池中是否包括该接入标识，该接入标识池中 包括分配的接入标识，当该接入标识池中包括该接入标识时，确定该接入标识 认证通过。

可选地，该第一认证请求还携带该移动终端的身份标识，该装置还包括：

第三认证请求发送模块，用于向认证服务器发送第三认证请求，该第三认 证请求携带该身份标识，使得该认证服务器接收到该第三认证请求时，对该身 份标识进行认证，当该身份标识认证通过时，返回身份认证通过消息；

身份认证通过模块，用于当接收到该身份认证通过消息时，确定该身份标 识认证通过。

可选地，该路由标识分配模块503包括：

重定向单元，用于当接收到该第二认证请求时，将该移动终端重定向至认 证服务器，使得该移动终端获取用户账号信息，发送给该认证服务器，该认证 服务器接收到该用户账号信息时，对该用户账号信息进行账号认证，账号认证 通过时，为该移动终端分配令牌，并将该移动终端重定向至该移动专用网关；

分配单元，用于根据该接入标识，为该移动终端分配路由标识。

可选地，该装置还包括：

查询请求发送模块，用于向该认证服务器发送查询请求，该查询请求携带 该令牌，使得该认证服务器接收到该查询请求时，查询该令牌是否有效，当确 定该令牌有效时，返回令牌认证通过消息；

该路由标识分配模块，还用于当接收到该令牌认证通过消息时，执行根据 该接入标识，为该移动终端分配路由标识的步骤。

可选地，该装置还包括：

映射关系建立模块，用于建立该接入标识与该路由标识之间的映射关系。

可选地，该装置还包括：

接入标识请求接收模块，用于接收该移动终端的接入标识请求，该接入标 识请求携带身份标识；

接入标识分配模块，用于对该身份标识进行认证，该身份标识认证通过时， 为该移动终端分配该接入标识；

接入标识发送模块，用于向该移动终端发送该接入标识。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在 此不再一一赘述。

图6是本发明实施例提供的一种基于GPRS网络和一体化标识网络的认证 装置结构示意图，参见图6，该装置包括：

第三请求接收模块601，用于接收移动专用网关的第三认证请求，该第三认 证请求携带移动终端的身份标识；

身份标识认证模块602，用于对该身份标识进行认证，当该身份标识认证通 过时，向该移动专用网关发送身份认证通过消息，该移动专用网关用于融合 GPRS网络中的GGSN和一体化标识网络中的ASR的功能。

本发明实施例提供的装置，通过引入移动专用网关，融合了GPRS网络中 的GGSN的功能以及一体化标识网络中ASR的功能，使得移动终端能够基于接 入标识和路由标识进行通信，且，对该接入标识和该身份标识进行认证，认证 通过时才为该移动终端分配路由标识，避免了可能发生的网络攻击，大大提高 了安全性。

可选地，该第三认证请求还携带该移动终端的接入标识，该装置还包括：

更新模块，用于当该身份标识认证通过时，根据该接入标识，更新该身份 标识对应的接入标识。

可选地，该装置还包括：

账号认证模块，用于当接收到该移动终端的用户账号信息时，对该用户账 号信息进行账号认证；

令牌分配模块，用于当账号认证通过时，为该移动终端分配令牌。

可选地，该装置还包括：

查询模块，用于当接收到该移动专用网关的查询请求时，查询该令牌是否 有效，该查询请求携带该令牌；

令牌通过消息发送模块，用于当确定该令牌有效时，向该移动专用网关发 送令牌认证通过消息。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在 此不再一一赘述。

需要说明的是：上述实施例提供的基于GPRS网络和一体化标识网络的认 证装置在进行认证时，仅以上述各功能模块的划分进行举例说明，实际应用中， 可以根据需要而将上述功能分配由不同的功能模块完成，即将移动专用网关的 内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外， 上述实施例提供的基于GPRS网络和一体化标识网络的认证装置与基于GPRS 网络和一体化标识网络的认证方法实施例属于同一构思，其具体实现过程详见 方法实施例，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过 硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于 一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或 光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的 精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的 保护范围之内。