CN100493247C - 高速分组数据网中接入认证方法 - Google Patents
高速分组数据网中接入认证方法 Download PDFInfo
- Publication number
- CN100493247C CN100493247C CNB2004100075502A CN200410007550A CN100493247C CN 100493247 C CN100493247 C CN 100493247C CN B2004100075502 A CNB2004100075502 A CN B2004100075502A CN 200410007550 A CN200410007550 A CN 200410007550A CN 100493247 C CN100493247 C CN 100493247C
- Authority
- CN
- China
- Prior art keywords
- access authentication
- authentication server
- user
- authentication
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 62
- 239000000203 mixture Substances 0.000 claims description 2
- 230000009977 dual effect Effects 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 25
- 230000008859 change Effects 0.000 description 9
- 230000004044 response Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000003780 insertion Methods 0.000 description 5
- 230000037431 insertion Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000000926 separation method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Abstract
高速分组数据网中接入认证方法以及装置,认证服务器接收到HRPD AN发来的接入认证请求消息;认证服务器根据网络接入识别号判定用户是否是漫游用户并把漫游用户的认证信息转发给其归属地;如该用户属本地用户,认证服务器根据NAI值中的IMSI判别终端类型;对于单模用户,认证服务器将采用MD5算法计算出认证参数2;对于双模用户,认证服务器将采用CAVE算法计算出认证参数2;比较认证参数1和认证参数2得出认证结果。本发明解决同时接受cdma2000网络于HRPD网络服务的双模终端的接入认证问题,不需改变HRPD网消息流程,即不需改动现有的HRPD接入网络设备,不需改变cdma2000网络中使用的UIM卡,认证服务器能实现双模终端在HRPD网络中的接入认证,同时能兼容HRPD单模终端的接入认证。
Description
技术领域
本发明涉及高速分组数据(High Rate Packet Data,以下简称HRPD)网络的接入网认证、认证、计费服务器(Access Network-Authentication,Authorization and Accounting,以下简称AN-AAA)实现方法,特别涉及同时支持CAVE算法和MD5算法的HRPD网络的AN-AAA实现方法。
背景技术
码分多址2000(Code Division Multiple Access 2000,以下简称cdma2000)网络已在全球范围内广泛商用,在该网络中采用了基于无线认证与语音加密(Cellular Authentication and Voice Encryption,以下简称CAVE)算法的质询握手认证协议(Challenge HandshakeAuthentication Protocol,以下简称CHAP)对接入终端合法性进行判别。在这套认证体系中,有比较完备的防止非法攻击的方法。手机(MobileStation,简称MS)的密码(A-key)和CAVE算法分别存储在手机和cdma2000网的认证中心中。认证过程主要包括共享保密数据(Shared Secret Data,以下简称SSD)的更新和认证执行过程两部分。共享保密数据的A部分(SSD_A)用于接入认证。由网络根据特定条件分别向手机和认证中心发送携带有一段随机数的消息来进行SSD_A的更新,手机和认证中心收到这个消息后,将消息中的随机数、A-key和其他参数一起输入SSD生成程序(SSD_GENERATION PROCEDULE),经计算后产生SSD_A,经过确认正确后新产生的SSD_A替换掉旧的SSD_A,将作为密钥用于接入认证。当需要对用户终端进行认证时,网络向手机和认证中心发送要求认证的消息,在该消息中携带有一段随机数。手机和认证中心收到该消息后,利用该消息中的随机数、SSD_A以及其他参数输入CAVE算法,计算出认证结果。手机将认证结果发送到认证中心,通过比较认证结果的异同来决定认证是否通过。为防止恶意用户窃取用户密码,作为临时密钥的SSD_A可以时常更新,所以这种认证方式具有很高的安全性。在实际使用中,A-key的存放地点有两种方式。一种是存储在手机上,相应CAVE算法也在手机上执行,称为机卡不分离的手机;另一种则是将A-key存放在用户识别模块(UserIdentity Module,以下称UIM卡)上,相应CAVE算法也在UIM卡上执行,称为机卡分离手机。目前中国全部采用机卡分离的手机,国外大多采用机卡不分离的手机。HRPD网是cdma2000网络的升级网络,已逐步在世界范围内开始商用。HRPD的接入认证服务器称为AN-AAA。第三代伙伴计划2(简称3GPP2)相应规范规定,如果HRPD网采用接入认证,认证方式也应该是CHAP认证,具体的加密算法没有明确要求,可由运营商指定。与cdma2000网络相同,根据用户密钥的存放位置,HRPD的接入终端(Access Terminal,简称AT)也可以是机卡分离终端与机卡不分离终端两种。
HRPD网络与cdma2000网络是两个相互独立的网络,图6描述了cdma2000网络结构图。其中用户通过终端传递信息。终端和基站通过空中接口相连。基站和基站控制器一起组成无线接入网部分,负责终端信令、数据的转换和处理。移动交换机负责用户数据和业务的交换,无线接入网部分和移动交换机通过A接口相连。拜访位置寄存器负责用户位置信息的管理并执行本地认证功能,在实现中常和移动交换机合设。归属位置寄存器负责存储用户的永久信息,主要解决用户漫游问题。认证中心负责用户的认证工作,一般本地认证工作由拜访位置寄存器分担。实现中归属位置寄存器通常和认证中心合设。拜访位置寄存器和归属位置寄存器之间通过ANSI-41移动应用规范(MAP)D接口相连。
图7描述了HRPD网络结构图。其中用户通过终端传递信息。接入网向用户提供无线接入功能,负责终端信令、数据的转换和处理。终端和接入网之间通过空中接口相连。接入网鉴权、认证、计费服务器负责用户的鉴权、认证、计费工作。
cdma2000网和HRPD网在实现中除了可以共用分组数据核心网外,没有任何的信息交互。由于HRPD网主要提供数据业务,用户可以通过能够同时支持cdma2000网络和HRPD网络的双模终端享受服务,并且此类用户是HRPD网的主要用户群。在下文中,如无特殊说明,双模终端指cdma2000/HRPD双模终端。
为了更好的对本专利进行说明,图2、3、4描述了在cdma2000网络认证过程中手机侧的操作过程,图5描述了3GPP2定义的HRPD网络中接入认证时的消息流。
1)现有cdma2000网络认证过程中手机侧的操作过程
现有cdma2000网络认证过程中手机侧的操作分两部分:SSD_A的更新和认证过程。
SSD_A更新过程是为了提高认证体系防止攻击的能力,其基本操作过程如图2所示:
系统中的HLR/AC向移动终端发送共享数据更新消息,该消息中包含56位随机数,称为RANDSSD(201);
移动终端受到上述消息后,启动共享保密数据产生过程。A-key和上述的随机数作为该过程的输入,该过程输出新的共享保密数据,新的共享保密数据分A、B两部分(202);
系统侧也执行同样的操作(203);
移动终端还需要和系统之间确认上述步骤的执行的正确性。方法是由移动终端产生一段随机数,并同时将这段随机数发往系统。终端侧将这段随机数与新的共享保密数据分A部分一起通过认证签名程序生成终端侧结果(204);
系统侧同样执行认证签名程序,并得到基站侧结果。系统将基站侧结果发往终端(205);
终端比较终端侧结果和基站侧结果,如果相同则共享保密数据更新成功,终端和系统同时启用新的共享保密数据;否则终端和系统继续使用老的共享保密数据(206)。
上述过程的A-key的长度是64比特(bit),由运营商分配给手机。A-key只有手机和网络的认证中心(AuC)知道。在实际网络中AuC一般与归属位置寄存器,即HLR合设,称为HLR/AuC。
共享保密数据产生过程如图3所示:向共享保密数据产生过程输入参数,包括56比特的随机数RANDSSD、32比特的电子序列号(使用UIM卡时,也可以是UIM识别号)、64比特终端密码A—key。执行共享保密数据产生过程后生成64比特的新的共享安全数据A部分和64比特的新的共享安全数据B部分。
认证过程是网络对终端合法性的鉴别过程,其基本操作过程如图4所示:
AuC向手机发送认证命令(Challenge)消息,消息中包含32bit的随机数RAND,手机将RAND和SSD_A作为CAVE算法的输入,计算出18bit的结果AUTH,手机将AUTH通过认证响应消息(AuthenticationChallenge Response Message)送往认证中心,认证中心将手机计算出的结果与自己按同样方法计算出的结果比较,如果相同,认证通过;如果不同则拒绝手机的接入。
由于存在漫游问题,为提高接入认证速度,减少网络传输,在网络实现中,通常将SSD_A在HLR/AC和距离用户较近的访问位置寄存器(VisitLocation Register,以下简称VLR)之间共享。VLR和HLR/AC之间通过美国国家标准化组织(ANSI)的定义的ANSI-41移动应用规范(MAP)D接口相连,其间传送ANSI-41消息。
(2)现有HRPD网络中接入认证时的消息流
HRPD接入认证包含以下消息流(如图5所示):
接入网络(AN)向接入终端发送认证命令(Chap Challenge)消息,该消息中包含有随机数Random text;501
终端收到认证命令消息后,利用随机数计算出认证参数1。图中以MD5加密算法为例;502
终端向AN发送认证响应消息(Chap Response),该消息中包含有终端的网络接入识别号(NAI),随机数text,认证参数1等信息;503
AN收到终端发来的认证响应消息后,向AN-AAA送出远程认证请求消息(Radius Access Request),该消息中包含有认证响应消息中的三个参数;504
AN-AAA利用随机数和本地存储的Password(AN-AAA Password与终端中的Password是同一值)作为输入,由MD5算法计算出认证参数2;505
AN-AAA比较认证参数1和认证参数2;506
如果相同则向AN发送远程认证请求接收(Radius Access Accept)消息表明认证通过,此消息中还包含有与该终端的NAI相对应的IMSI,IMSI将被AN用于以后的流程中;507
如果认证参数1和认证参数2不同则向AN发送远程认证请求拒绝(Radius Access Reject)消息,拒绝终端接入;508
AN收到远程认证请求接收消息后向终端发送CHAP认证成功(ChapSuccess)消息表明认证过程成功;509
1)AN收到远程认证请求拒绝消息后向终端发送CHAP认证失败(Chap Failure)消息表明认证过程失败。510
上述过程中AT与AN-AAA所使用的加密算法以MD5为例,国际规范中没用明确指定,可由运营商确定。
在实际应用中,多为借助cdma2000网络提供话音业务,借助HRPD网络提供数据业务。因而,既支持cdma2000网络,又支持HRPD网络的双模终端将占相当大的比重。由于一般是先建设cdma2000网络,再建设HRPD网络,HRPD网络的部分用户是由cdma2000网络用户升级而来的。但现有的机卡分离手机在认证过程中一般仅支持CAVE算法,如果同时支持双模操作需要进行将UIM卡升级为多模卡,使之既能支持CAVE算法,又能支持HRPD网的接入认证算法,如MD5算法,以同时支持两网的鉴权方式。由于用户基数很大,要升级UIM卡将会花费很高的费用,并且会对用户带来不便。并且目前市场上尚无多模UIM卡供应。
因此,在cdma2000网络已投入运营,拥有大量用户的前提下,在建设HRPD网络时,如何保证以最低的代价,实现终端的接入认证是一个难题。
现有的UIM卡仅支持CAVE算法,运营商要将cdma2000网络升级到HRPD网络时需要升级网络以及将UIM卡升级为多模卡,但这样会带来一些问题:1)目前市场上尚无多模UIM卡;2)升级UIM卡需要支付一笔费用;3)必须到运营商处换卡给用户带来不便。
如果能从网络侧解决认证问题就能避免以上问题。但目前没有能够解决上述问题的HRPD网络侧认证的功能以及流程,所以,提出本发明。
发明内容
本发明的目的是在不改变HRPD消息流的前提下,提供一种高速分组数据网中接入认证方法以及装置。这种方法以及装置能够支持采用CAVE算法的双模终端在HRPD网络接入认证。本发明的另一目的是可以继续使用cdma2000网络上应用的UIM卡,用户可以直接将老的UIM卡插入双模终端,就可以在需要认证时提供认证功能。
为实现上述目的,一种高速分组数据网中接入认证方法,包括步骤:
接入认证服务器利用接入认证请求消息判定用户是否是漫游用户;
如该用户属漫游用户,接入认证服务器把该用户的认证信息转发给其归属地;
如该用户属本地用户,接入认证服务器利用接入认证请求消息判定终端的类型;
若终端类型为cdma2000/HRPD双模终端,接入认证服务器采用CAVE算法计算认证参数2;
若终端类型为HRPD单模终端,接入认证服务器采用MD5算法计算认证参数2;
比较认证参数2和终端送来的认证参数1,如果相同,则接入认证通过,否则拒绝。
以上步骤中,接入认证服务器中的SSD_A从cdma2000网络获得。SSD_A的获得方式有两种:
第一种方式是由双模终端截取cdma2000网络发来的RANDSSD,并通过Chap Response消息中的Result域与认证参数1一起携带到接入认证服务器(Result域较大,可以同时承载这两个参数)。接入认证服务器利用RANDSSD通过计算得到与cdma2000网络相同的SSD_A
第二种方式是接入认证服务器通过cdma2000网络中的HLR/AuC获取SSD_A,此时需要建立接入认证服务器与HLR/AuC之间的ANSI-41通道。将接入认证服务器虚拟为cdma2000网络中得VLR,通过ANSI-41消息实现ssD_A在接入认证服务器和HLR/AuC间的共享。图8描述了接入认证服务器与HLR/AC共享SSD_A时的网络连接情况;图9描述了接入认证服务器与HLR/AC共享SSD_A时的消息流程,需要共享SSD_A时,接入认证服务器应根据接入认证请求消息内容构造认证请求调用消息发往HLR/AC,并且需在消息的相应域中注明支持CAVE认证和SSD共享。当认证请求返回结果消息中包含SSD参数时,接入认证服务器将会提取SSD并存储以用于执行CAVE认证;
本发明适用于解决采用CAVE认证算法的cdma2000/HRPD双模终端在HRPD网的的接入认证问题。不需改变HRPD网消息流程,即不需改动现有的HRPD接入网络设备,用户不需要更换UIM卡,按照本发明实现的接入认证服务器可以实现终端的接入认证。
附图说明
图1是高速分组数据网中接入认证方法;
图2是cdma2000中的共享保密数据更新过程;
图3是共享保密数据生成程序;
图4是CAVE认证过程;
图5是3GPP2定义的HRPD网络中接入认证消息流。
图6是cdma2000网络结构图
图7是HRPD网络结构图
图8是接入认证服务器与HLR/AC共享SSD_A时的网络连接情况
图9是接入认证服务器与HLR/AC共享SSD_A时的消息流程
具体实施方式
本发明的主要目的是实现HRPD网络的认证,特点是不需要改变已在现网上大量使用的cdma2000手机的UIM卡,不需要改变HRPD网络认证流程。按照本方案实现的接入认证服务器,可以使得由cdma2000终端升级到cdma2000/HRPD双模终端后UIM卡可以继续使用。概括地说,实施本方案以很小的代价实现了显著收益。
本发明基于以下事实:HRPD网络不支持CAVE算法,因为HRPD网络中没有支持SSD更新的消息流。但现在用户的UIM卡只能提供CAVE算法。本发明主要思想是通过一种高速分组数据网中接入认证方法以及装置,并借助cdma2000网络中SSD更新的成果,同时在终端的配合下,使得现有HRPD消息流能够支持CAVE算法,从而实现现有用户不换卡的目的。
对于支持MD5算法的HRPD单模终端的认证问题通过本发明也可得到解决。
为了在不改变HRPD现有消息流程的前提下,使得HRPD网的接入认证服务器能够同时支持基于CAVE算法和MD5算法的用户HRPD接入认证,接入认证服务器中应实现如下几点:
(1)接入认证服务器对漫游用户的判断
远程认证请求消息是由HRPD AN发来的用户认证消息,该消息中包含三个参数:NAI,Random text,Result1。接入认证服务器接到HRPD AN发来的远程认证请求消息后,首先根据该消息中携带的NAI域判断用户的归属地。本方案中,NAI值应由IMSI@域名的格式构成。接入认证服务器可根据NAI中的域名判定该用户是否是其他运营商漫游过来的用户,如果判定该用户来自其他网络,接入认证服务器将把该用户的认证信息转发给其归属网络。如果判定用户为本网用户,接入认证服务器将根据NAI中的IMSI判定用户是否是外地漫游用户,如果判定该用户是外地用户,接入认证服务器将根据IMSI将该用户的认证信息转发到其归属地的接入认证服务器。
(2)接入认证服务器对单双模终端类型的判断
由于NAI值是终端的唯一标识,互不重复,接入认证服务器可根据NAI值的IMSI判别单双模终端。如运营商可以给单双终端分别分配不同的IMSI号段,接入认证服务器通过IMSI分属的号段来判定终端类型。也可以根据IMSI检索接入认证服务器中预存的专门的标志位来判断终端类型。
(3)接入认证服务器对HRPD单模终端接入认证的处理
对于HRPD单模终端,接入认证服务器需要预存用户的密码。接入认证服务器将用户密码和远程认证请求消息中的Random text作为MD5算法的输入,得到认证参数2,并将认证参数2与远程认证请求消息中Result域中带来的认证参数1比较,如果二者相同则认证通过,如果不同,则接入认证失败。
(4)接入认证服务器对cdma2000/HRPD双模终端接入认证的处理
4.1接入认证服务器中用户SSD_A的获得
为支持CAVE算法,接入认证服务器中的用户SSD_A应来自于cdma2000网络。接入认证服务器从cdma2000网中获得SSD_A的方法有两种。
第一种方法是通过双模终端上传的RANDSSD转化而来。使用这种方法,双模终端需要在cdma2000网络发起SSD更新时,存储cdma2000网中HLR/AC下发的SSD更新所需的参数RANDSSD。当在HRPD网进行接入认证时,双模终端将RANDSSD承载在HRPD消息中传送给AN,AN通过远程认证请求消息中的Result域将RANDSSD传送给接入认证服务器。接入认证服务器收到来自于AN的远程认证请求消息后,从Result域中取出RANDSSD。接入认证服务器将RANDSSD作为随机数,与用户的A-key以及其他参数一起输入共享保密数据产生过程,计算出的结果作为SSD_A。用户的A-key需要预存在接入认证服务器中。
第二种方法是接入认证服务器通过cdma2000网中HLR/AuC共享SSD_A。将接入认证服务器伪装成cdma2000网络中的VLR,在接入认证服务器和HLR/AC之间建立ANSI-41 MAP D接口,并通过标准的ANSI-41消息实现与cdma2000网络的SSD_A共享。如果采用这种方式,终端不需要上传RANDSSD,即远程认证请求消息中不会携带RANDSSD,接入认证服务器也不需要通过计算得到SSD_A,接入认证服务器中与各用户对应的SSD_A来自于HLR/AuC。
4.2接入认证服务器对远程认证请求消息中Random text参数域的处理
接入认证服务器基于Random text,获取32bit的随机数。Random text是以八位组表示的一串字符,且其长度大于32bit,需要将八位组转换为二进制形式,然后取其中32bit,对于32bit的选取方法,没有特殊要求,只要接入终端和接入认证服务器保持一致即可。接入认证服务器将32bit随机数与按上面方法得到的SSD_A还有其他参数一起输入CAVE算法,计算出认证参数2,并与认证参数1相比较,如果相同则对终端认证通过,如果不同则拒绝终端接入。
4.3接入认证服务器对远程认证请求消息中Result参数域的处理
双模终端通过CAVE算法得到的结果认证参数1,通过Result域携带,因Result域空间较大,认证参数1在Result域中的存储格式接入认证服务器应与双模终端约定一致。如果在4.1中接入认证服务器通过RANDSSD获得SSD_A,HRPD AN发来的远程认证请求消息中的Result域中除载有认证参数1外还应携带RANDSSD。二者的存储格式接入认证服务器应与双模终端提前约定。
图1是高速分组数据网中接入认证方法,下面详细说明各个操作步骤。
接入认证服务器接收到HRPD AN发来的远程认证请求(Radius AccessRequest)消息,该消息中包含有网络接入识别号(NAI)、随机数(Randomtext)、认证参数1(Result1)等参数;101
接入认证服务器根据网络接入识别号判定用户是否是漫游用户。接入认证服务器根据网络接入识别号的后半部分判定是否是本网用户;如属本网用户,再根据网络接入识别号的前半部分判定是否是本地用户;102
如该用户属漫游用户,接入认证服务器把该用户的认证信息转发给其归属地;103
如该用户属本地用户,接入认证服务器根据NAI值中的IMSI判别终端类型;104
如果该用户属单模用户,接入认证服务器将采用MD5算法计算出认证参数2(Result2);105
如果该用户属双模用户,接入认证服务器将采用CAVE算法计算出认证参数2,此时接入认证服务器通过前述方式得到SSD_A,远程认证请求消息中的随机数中的32bit作为CAVE算法的随机数;106
比较认证参数1和认证参数2;107
如果二者相同,认证通过,接入认证服务器向HRPD AN发送远程认证请求接收消息;108
如果二者不同,认证失败,接入认证服务器向HRPD AN发送远程认证请求拒绝消息。认证流程结束。109
Claims (17)
1.一种高速分组数据网中接入认证方法,包括步骤:
接入认证服务器利用接入认证请求消息判定用户是否是漫游用户;
如该用户属漫游用户,接入认证服务器把该用户的认证信息转发给其归属地;
如该用户属本地用户,接入认证服务器利用接入认证请求消息判定终端的类型;
若终端类型为cdma2000/HRPD双模终端,接入认证服务器采用CAVE算法计算认证参数2;
若终端类型为HRPD单模终端,接入认证服务器采用MD5算法计算认证参数2;
比较认证参数2和终端送来的认证参数1,如果相同,则接入认证通过,否则拒绝。
2.按权利要求1所述的方法,其特征在于接入认证服务器判定用户是否是漫游用户的方法是根据接入认证请求消息中的NAI。
3.按权利要求2所述的方法,其特征在于接入认证服务器根据NAI中的域名判定用户是否是其它运营商漫游过来的用户,如果判定该用户是其它运营商漫游过来的用户,接入认证服务器将把该用户的认证信息转发给其归属网络;如果判定用户为本网用户,接入认证服务器将根据NAI中的IMSI判定用户是否是外地漫游用户,如果判定该用户是外地漫游用户,接入认证服务器将根据IMSI将该用户的认证信息转发到其归属地的接入认证服务器。
4.按权利要求3所述的方法,其特征在于接入认证服务器先根据NAI的后半部分即域名部分判定用户是否是来自其他网的用户。
5.按权利要求4所述的方法,其特征在于接入认证服务器再根据NAI中前半部分即IMSI判定用户是否是外地漫游用户。
6.按权利要求3所述的方法,其特征在于接入认证服务器将把漫游用户的接入认证请求消息转发到其归属地的认证中心。
7.按权利要求1所述的方法,其特征在于接入认证服务器判定终端类型分单模终端或双模终端两种情况。
8.按权利要求7所述的方法,其特征在于运营商给单/双模终端分别分配不同的IMSI号段,接入认证服务器通过IMSI分属的号段来判定终端类型。
9.按权利要求7所述的方法,其特征在于接入认证服务器根据IMSI检索接入认证服务器中预存的专门的标志位来判断终端类型。
10.按权利要求1所述的方法,其特征在于接入认证服务器中CAVE算法所需的SSD_A来自于cdma2000网络。
11.按权利要求10所述的方法,其特征在于从cdma2000网络获得所述SSD_A的方式分两种:
通过双模终端上传的RANDSSD转化而来;
依靠接入认证服务器通过cdma2000网络中的HLR/AuC获取SSD_A。
12.按权利要求11所述的方法,其特征在于通过终端截取cdma2000网络发来的随机数RANDSSD,将RANDSSD承载在HRPD消息中传送给接入网络AN,AN通过远程认证请求消息中的Result域将RANDSSD传送给接入认证服务器,由接入认证服务器利用RANDSSD通过计算得到与cdma2000网络相同的SSD_A。
13.按权利要求11所述的方法,其特征在于通过将接入认证服务器伪装成cdma2000网络中的VLR,在接入认证服务器和HLR/AC之间建立ANSI-41MAP D接口,并通过标准的ANSI-41消息实现与cdma2000网络的SSD_A共享。
14.按权利要求1所述的方法,其特征在于接入认证服务器应根据接入认证请求消息内容构造认证请求调用消息,并且需在消息的相应域中注明支持CAVE认证和SSD共享,当认证请求返回结果消息中包含SSD参数时,接入认证服务器将会提取SSD并存储以用于执行CAVE认证。
15.按权利要求1所述的方法,其特征在于所述接入认证请求消息中包括参数域:NAI、Random text、Result,对于双模终端,其中Result域中存储由UIM卡通过CAVE算法计算出的认证参数1。
16.按权利要求15所述的方法,其特征在于用户NAI值由IMSI和域名组合而成。
17.按权利要求1所述的方法,其特征在于接入认证服务器执行CAVE认证时的随机数来自于接入认证请求消息中的Random text域中的32bit。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100075502A CN100493247C (zh) | 2004-02-27 | 2004-02-27 | 高速分组数据网中接入认证方法 |
| US11/068,188 US7607013B2 (en) | 2004-02-27 | 2005-02-28 | Method and apparatus for access authentication in wireless mobile communication system |
| PCT/KR2005/000555 WO2005083910A1 (en) | 2004-02-27 | 2005-02-28 | Method and apparatus for access authentication in wireless mobile communication system |
| KR1020067020026A KR101075713B1 (ko) | 2004-02-27 | 2005-02-28 | 무선 이동 통신 시스템에서 접근 인증을 위한 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100075502A CN100493247C (zh) | 2004-02-27 | 2004-02-27 | 高速分组数据网中接入认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1662092A CN1662092A (zh) | 2005-08-31 |
| CN100493247C true CN100493247C (zh) | 2009-05-27 |
Family
ID=34892096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100075502A Expired - Lifetime CN100493247C (zh) | 2004-02-27 | 2004-02-27 | 高速分组数据网中接入认证方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7607013B2 (zh) |
| KR (1) | KR101075713B1 (zh) |
| CN (1) | CN100493247C (zh) |
| WO (1) | WO2005083910A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8806608B2 (en) | 2008-07-09 | 2014-08-12 | Zte Corporation | Authentication server and method for controlling mobile communication terminal access to virtual private network |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006105717A1 (fr) * | 2005-04-04 | 2006-10-12 | Huawei Technologies Co., Ltd. | Procede de mise en communication pour terminaux bimodes |
| WO2007066203A2 (en) * | 2005-12-05 | 2007-06-14 | Nokia Corporation | Computer program product, apparatus and method for secure http digest response verification and integrity protection in a mobile terminal |
| CN101064928B (zh) * | 2006-04-25 | 2010-08-11 | 华为技术有限公司 | 一种实现位置注册更新的方法及装置 |
| CN101141436B (zh) * | 2006-09-08 | 2010-09-29 | 中兴通讯股份有限公司 | 一种分组数据服务节点发起的ip流的释放方法 |
| KR100842261B1 (ko) | 2006-11-08 | 2008-06-30 | 한국전자통신연구원 | Cdma 방식의 이동통신 시스템을 위한 해쉬 알고리즘을이용한 데이터생성방법 |
| CN101242601B (zh) * | 2007-02-06 | 2011-05-11 | 中兴通讯股份有限公司 | 一种双模双卡双待机终端实现单号的方法 |
| US20080242264A1 (en) * | 2007-03-30 | 2008-10-02 | Motorola, Inc. | Methods and system for terminal authentication using a terminal hardware indentifier |
| US8463258B2 (en) | 2007-12-06 | 2013-06-11 | Evolving Systems, Inc. | Extended wireless device activation |
| US8509767B2 (en) | 2007-12-06 | 2013-08-13 | Evolving Systems, Inc. | Controlled access to a wireless network |
| CA2759732C (en) | 2009-04-24 | 2018-11-13 | Evolving Systems, Inc. | Occasional access to a wireless network |
| KR101652516B1 (ko) * | 2009-07-13 | 2016-08-30 | 엘지전자 주식회사 | 무선으로 연결된 보조 단말기를 이용한 이동 단말기 제어 방법 |
| US9807819B1 (en) | 2009-09-04 | 2017-10-31 | Sprint Communications Company L.P. | Cross-technology session continuity |
| CN102026184B (zh) * | 2009-09-16 | 2013-08-07 | 华为技术有限公司 | 一种鉴权方法及鉴权系统以及相关设备 |
| EP2617213A4 (en) * | 2010-09-13 | 2016-11-30 | Evolving Systems Inc | EXTENDED ACTIVATION OF A WIRELESS DEVICE |
| CN103188669B (zh) * | 2011-12-28 | 2016-09-14 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103188671B (zh) * | 2011-12-28 | 2016-08-03 | 中国电信股份有限公司 | 使HRPD手机卡接入eHRPD网络的方法、系统和移动终端 |
| US9235406B2 (en) * | 2012-04-24 | 2016-01-12 | Apple Inc. | Methods and apparatus for user identity module update without service interruption |
| US9015808B1 (en) * | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
| US8929863B2 (en) | 2012-10-01 | 2015-01-06 | Evolving Systems, Inc. | Methods and systems for temporarily permitting a wireless device to access a wireless network |
| US9491563B1 (en) | 2015-10-16 | 2016-11-08 | Evolving Systems, Inc. | Pre-provisioning mobile application acquisition and utilization |
| JP6903223B2 (ja) * | 2017-08-29 | 2021-07-14 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | 非セキュアな共有通信媒体を使用する前方秘匿性を備えた線形鍵合意のための方法及びシステム |
| CN109067788B (zh) | 2018-09-21 | 2020-06-09 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6201871B1 (en) * | 1998-08-19 | 2001-03-13 | Qualcomm Incorporated | Secure processing for authentication of a wireless communications device |
| US6550010B1 (en) * | 1998-09-30 | 2003-04-15 | Bellsouth Intellectual Property Corp. | Method and apparatus for a unit locked against use until unlocked and/or activated on a selected network |
| US6839434B1 (en) * | 1999-07-28 | 2005-01-04 | Lucent Technologies Inc. | Method and apparatus for performing a key update using bidirectional validation |
| KR100398991B1 (ko) * | 2001-03-26 | 2003-09-19 | 주식회사 케이티프리텔 | 지에스엠 서비스 가입자에 대한 씨디엠에이 서비스 지역에서의 로밍 서비스가 가능한 씨디엠에이 단말기 및 그 cdma 단말기에서의 로밍 서비스 방법 |
| US20060050680A1 (en) * | 2002-04-15 | 2006-03-09 | Spatial Communications Technologies, Inc. | Method and system for providing authentication of a mobile terminal in a hybrid network for data and voice services |
| JP2004260444A (ja) * | 2003-02-25 | 2004-09-16 | Ntt Docomo Inc | ハンドオーバ制御システム及びその方法並びに移動端末、ハンドオーバ制御装置 |
| CN1601958B (zh) | 2003-09-26 | 2010-05-12 | 北京三星通信技术研究有限公司 | 基于cave算法的hrpd网络接入认证方法 |
-
2004
- 2004-02-27 CN CNB2004100075502A patent/CN100493247C/zh not_active Expired - Lifetime
-
2005
- 2005-02-28 US US11/068,188 patent/US7607013B2/en active Active
- 2005-02-28 KR KR1020067020026A patent/KR101075713B1/ko active IP Right Grant
- 2005-02-28 WO PCT/KR2005/000555 patent/WO2005083910A1/en active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8806608B2 (en) | 2008-07-09 | 2014-08-12 | Zte Corporation | Authentication server and method for controlling mobile communication terminal access to virtual private network |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101075713B1 (ko) | 2011-10-21 |
| WO2005083910A1 (en) | 2005-09-09 |
| US20050197104A1 (en) | 2005-09-08 |
| KR20060135003A (ko) | 2006-12-28 |
| CN1662092A (zh) | 2005-08-31 |
| US7607013B2 (en) | 2009-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100493247C (zh) | 高速分组数据网中接入认证方法 | |
| CN1601958B (zh) | 基于cave算法的hrpd网络接入认证方法 | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN100417274C (zh) | 用于松散耦合互操作的基于证书的认证授权计费方案 | |
| RU2333607C2 (ru) | Генерирование ключей в системе связи | |
| CN100539521C (zh) | 一种实现无线局域网鉴权的方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN1805441B (zh) | Wlan网络集成认证体系结构及实现结构层的方法 | |
| CN100388664C (zh) | 实现wlan多模安全认证的接入方法 | |
| CN100456726C (zh) | 基于wapi的互联网接入认证的实现方法 | |
| US20040172536A1 (en) | Method for authentication between a portable telecommunication object and a public access terminal | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| DK2924944T3 (en) | Presence authentication | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| RU2006126074A (ru) | Система, способ и устройства для аутентификации в беспроводной локальной вычислительной сети (wlan) | |
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN101304319A (zh) | 移动通信网络以及用于认证其中的移动节点的方法和装置 | |
| CN101711022A (zh) | 一种wlan接入终端、认证服务器和认证方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN106203021B (zh) | 一种多认证模式一体化的应用登录方法和系统 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| CN101662768A (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| CN102185868A (zh) | 基于可扩展认证协议的认证方法、系统和设备 | |
| CN107659935A (zh) | 一种认证方法、认证服务器、网管系统及认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20070921 Address after: 100081, Chaoyang District International Building, No. 16, Wangjing North Road, Beijing, 3 Applicant after: Samsung Electronics Co.,Ltd. Co-applicant after: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant after: China United Telecommunications Corp.,Ltd. Address before: 100081, Beijing, Zhongguancun 9 Avenue, Haidian District science and technology building, 4 floor Applicant before: Samsung Electronics Co.,Ltd. Co-applicant before: Samsung Electronics Co.,Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20081219 Address after: Zip code 12, Beijing, Chaoyang District, 9, China: 100125 Applicant after: Samsung Electronics Co.,Ltd. Co-applicant after: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant after: China Telecommunication Group Corp. Address before: Zip code 3, middle timber International Building, 16 Wangjing North Road, Chaoyang District, Beijing, zip code: 100081 Applicant before: Samsung Electronics Co.,Ltd. Co-applicant before: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant before: China United Telecommunications Corp.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SAMSUNG ELECTRONICS CO., LTD. CHINA TELECOMMUNICAT Free format text: FORMER OWNER: SAMSUNG ELECTRONICS CO., LTD. CHINA TELECOM GROUP CO., LTD. Effective date: 20130111 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130111 Address after: 100125 Beijing city Chaoyang District Xiaguang Electric Development Building No. 9 12 floor Patentee after: SAMSUNG ELECTRONICS Co.,Ltd. Patentee after: CHINA TELECOM Corp.,Ltd. Address before: 100125 Beijing city Chaoyang District Xiaguang Electric Development Building No. 9 12 floor Patentee before: SAMSUNG ELECTRONICS Co.,Ltd. Patentee before: China Telecom Corp.,Ltd. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090527 |