CN101079786B - 互连系统、互连系统中的认证方法和终端 - Google Patents

Abstract

本发明公开了一种在全球接入微波互操作性WiMAX和第三代移动通信标准化伙伴项目3GPP互连系统中，3GPP系统对由WiMAX系统接入的终端进行认证的方法，该方法包括：终端在可扩展认证协议EAP响应消息中设置3GPP认证、授权和计费AAA服务器的地址信息，并将该消息发送给WiMAX AAA服务器；WiMAX AAA服务器根据接收的EAP响应消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；3GPP AAA服务器根据接收的EAP响应消息对终端进行EAP认证。本发明还公开了一种互连系统和一种终端。本发明通过终端在发出的EAP认证响应消息中设置3GPP AAA服务器的地址信息，实现了3GPP系统对由WiMAX系统接入的终端的认证。

Description

互连系统、互连系统中的认证方法和终端

技术领域

本发明涉及无线通信认证技术领域，特别是指一种全球接入微波互操作性(WiMAX)与第三代移动通信标准化伙伴项目(3GPP)互连系统，一种在WiMAX与3GPP互连系统中，3GPP系统对由WiMAX系统接入的终端进行认证的方法，和一种终端。

背景技术

在IEEE802.16协议中，可以采用可扩展认证协议(EAP)对终端(MS/SS)进行认证，在认证过程中生成用于派生其他密钥的主会话密钥和扩展主会话密钥，系统通过该认证方式在认证成功后，根据MSK或EMSK派生出其他密钥，如移动因特网协议(MIP)相关密钥和授权密钥(Authorized Key，AK)等，然后通过AK再生成其他在通信过程中所利用的密钥。

在现有技术中，分别提供了在3GPP系统中和WiMAX系统中，采用EAP协议对终端进行认证的技术方案。但目前无线通信的一种发展趋势是WiMAX与3GPP系统进行互连，互连后终端可以通过WiMAX系统接入到3GPP系统。但通过现有采用EAP协议对终端进行认证的技术方案，无法实现3GPP系统对通过WiMAX系统接入的终端的认证。

发明内容

本发明实施例提供了一种互连系统、一种互连系统中的认证方法和一种终端，能够实现3GPP系统对通过WiMAX系统接入的终端的认证。

本发明实施例提供的一种在全球接入微波互操作性WiMAX和第三代移动通信标准化伙伴项目3GPP互连系统中，3GPP系统对由WiMAX系统接入的终端进行认证的方法，包括：

WiMAX AAA服务器接收来自终端的可扩展认证协议EAP响应消息，其中，所述消息中设置有3GPP认证、授权和计费AAA服务器的地址信息；

WiMAX AAA服务器根据接收的EAP响应消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；

3GPP AAA服务器根据接收的EAP响应消息对终端进行EAP认证；

该方法进一步包括：

当所述WiMAX AAA服务器获知所述EAP认证成功时，生成主会话密钥MSK，并将生成的MSK发送给认证者；

或者3GPP AAA服务器在对终端进行所述EAP认证成功后，生成MSK，并将生成的MSK通过所述WiMAX AAA服务器发送给认证者。

本发明实施例提供的一种WiMAX和3GPP互连系统，包括：终端、WiMAX AAA服务器和3GPP AAA服务器；

所述终端用于在可扩展认证协议EAP响应消息中设置3GPP AAA服务器的地址信息，并将该消息发送给WiMAX AAA服务器；

所述WiMAX AAA服务器用于接收所述EAP响应消息，根据该消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；

所述3GPP AAA服务器用于接收所述EAP响应消息，并根据该消息对终端进行EAP认证；

所述WiMAX AAA服务器用于获知所述EAP认证成功时，生成主会话密钥MSK，并将生成的MSK发送给认证者；

或者，所述3GPP AAA服务器用于在对终端进行所述EAP认证成功后，生成MSK，并将生成的MSK通过所述WiMAX AAA服务器发送给认证者。

由上述方案可以看出，本发明实施例中终端在EAP响应消息中设置3GPP AAA服务器的地址信息，使EAP响应消息能够到达3GPP AAA服务器，从而3GPP AAA服务器能够根据接收的EAP响应消息，对终端进行EAP认证，即实现了3GPP系统对由WiMAX系统接入的终端的认证。

附图说明

图1为本发明第一实施例的流程图；

图2为本发明第二实施例的流程图；

图3为本发明第二实施例中一种密钥派生流程图；

图4为本发明第二实施例中又一种密钥派生流程图；

图5为本发明具体实施例提供的终端的组成示意图。

具体实施方式

本发明具体实施例的EAP认证过程中，终端在EAP响应消息中设置3GPP AAA服务器的地址信息，并将该消息发送给WiMAX AAA服务器；WiMAX AAA服务器根据接收的EAP响应消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；3GPP AAA服务器根据接收的EAP响应消息对终端进行EAP认证，从而实现了3GPP AAA服务器对通过WiMAX系统接入的终端的认证。

由WiMAX系统接入3GPP系统的终端，可以在所发送的EAP认证相关信息中将网络接入标识符(NAI)域中携带3GPP AAA服务器的地址信息，则WiMAX接收到EAP认证相关信息后，根据其NAI域中的3GPP AAA服务器的地址信息，可以确定出所接收的信息需要发送给3GPP系统，则将接收的信息转发给对应的3GPP AAA服务器。

在3GPP AAA服务器对终端进行认证成功后，可以通过WiMAX AAA服务器向终端返回认证成功信息。

此外，本发明实施例还进一步提供了在EAP认证成功情况下，生成各种密钥的方法。在3GPP用户接入WiMAX网络的情况下，WiMAX AAA服务器中可能没有生成MSK/EMSK的全部必要信息，所以在EAP认证成功情况下，由3GPP AAA服务器来生成MSK或EMSK，或者由WiMAX AAA服务器从3GPP AAA服务器获取生成MSK或EMSK的必要信息后生成MSK/EMSK；而在WiMAX用户通过WiMAX网络接入3GPP网络的情况下，则由WiMAX AAA服务器来生成MSK或EMSK，或者由3GPP AAA服务器从WiMAX AAA服务器获取生成MSK或EMSK的必要信息后生成MSK或EMSK。以下通过具体实施例详细说明。

在本发明的第一实施例中，网络侧密钥中的MSK/EMSK由WiMAXAAA服务器生成，MIP相关密钥也由WiMAX AAA服务器根据自身生成的EMSK派生。

本实施例的流程如图1所示，具体包括如下步骤：

步骤(1)、按照IEEE std802.16e协议执行网络初始化，具体包括步骤111和步骤112：终端与基站(BS)进行802.16e连接交互建立终端与基站间的空口连接，以及基站在建立空口连接后向认证者(Authenticator)发送连接激活信息，以通知认证者可以开始EAP交换过程。

步骤(2)、EAP交换过程，该过程具体包括：

步骤211、认证者向终端发送EAP请求消息(EAP-Request)，该EAP请求消息属于EAP标识(EAP-Identity)请求消息，被封装在基站中的一个媒体接入控制(MAC)管理协议控制单元(PDU)中发送。

认证者可以设置于基站中，也可以设置于接入服务网络网关(ASN GW)中，如果认证者设置于基站中，则认证者通过基站直接与终端进行消息交互；如果认证者设置于ASN GW中，则认证者与终端通过认证中继协议经由ASN GW与基站的接口和基站与终端的空口进行消息交互。

步骤212、终端上的EAP模块接收到EAP请求消息后，将该请求消息传送给本地EAP功能实体(EAP method)进行处理，然后向认证者返回EAP响应消息。

这里，为使终端发送的EAP响应消息能够到达3GPP AAA服务器，终端中的EAP功能实体在EAP响应消息中设置3GPP AAA服务器的地址信息，具体可以在EAP响应消息的NAI域中设置。由于终端接入的是WiMAX系统，所以终端发送给3GPP AAA服务器的消息需要经由WiMAX系统中的实体转发，本实施例中，通过WiMAX AAA服务器转发，所以终端还需在EAP响应消息的NAI域中设置WiMAX AAA服务器的地址信息。例如，终端可以设置NAI域的地址信息为：NSP_4！user-name NSP_1，其中NSP_4为终端接入的WiMAX系统中，WiMAX AAA服务器所在NSP的地址信息，则认证者根据该地址信息能够确定WiMAX AAA服务器的地址；NSP_1是3GPP AAA服务器的地址信息，具体是MS的家乡网络中3GPPAAA服务器所在NSP的地址信息，则NSP_4对应的WiMAX AAA服务器根据该地址信息能够确定3GPP AAA服务器的地址。

在步骤213，认证者根据NAI域中WiMAX AAA服务器所在NSP的地址信息将EAP响应消息转发给WiMAX AAA服务器。

在步骤214，WiMAX AAA服务器接收到EAP响应消息后，读取其中的NAI域的地址信息，根据该NAI域中3GPP AAA服务器所在NSP的地址信息，将该EAP响应消息转发到对应的3GPP AAA服务器。

在步骤215，接收到EAP响应消息后，3GPP AAA服务器获取对终端进行EAP认证的必须信息，并通过EAP交互过程对终端进行EAP认证，认证成功后，在步骤216，通过WiMAX AAA服务器和认证者向终端转发认证成功消息。

3GPP AAA服务器获取对终端进行EAP认证的必须信息时，首先查询自身是否包括这些必须信息，如果是，则直接根据这些必须信息对终端进行EAP认证；否则，需要先执行步骤217，与HSS/HLR交互获取对该终端进行EAP认证的必须信息，然后再根据这些必须信息对终端进行EAP认证。

在对终端进行EAP认证时，3GPP AAA服务器具体可以根据AAA协议，如RADIUS协议对终端进行认证，认证过程中3GPP AAA服务器与终端可能进行多次交互以获取认证所需信息。在交互过程中，由于终端接入WiMAX网络，需要由WiMAX网络中的WiMAX AAA服务器在3GPP AAA服务器和终端之间转发EAP交互过程中的相关消息，即由WiMAX AAA服务器作为3GPP AAA服务器的代理。在WiMAX AAA服务器转发EAP交互过程中的相关信息时，WiMAX AAA服务器可以从转发的信息中提取生成MSK/EMSK所需要的EAP认证相关信息。

此外，在EAP交互过程中，3GPP AAA服务器还可能根据现有协议向WAG发送策略强制信息，以建立WAG与分组数据业务网关(PDG)的交互。

如果3GPP AAA服务器对终端进行EAP认证失败，则3GPP AAA服务器可以通过WiMAX AAA服务器向终端返回认证失败信息，然后直接结束该流程。

在上述步骤217，3GPP AAA服务器与HSS/HLR的具体交互过程，可以参考3GPP TS 23.234协议中关于EAP认证的描述实现，这里简单说明如下：3GPP AAA服务器首先向HSS/HLR发起请求，请求获取EAP认证的必须信息。HSS/HLR在收到该请求后，检查是否存在另外一个已经注册了的3GPP AAA服务器为上述终端提供服务，如果是则HSS/HLR将上述已经注册的3GPP AAA服务器地址发送给发送请求的3GPP AAA服务器，要求该3GPP AAA服务器将认证信令路由到上述已经注册的3GPP AAA服务器，由该已经注册的3GPP AAA服务器对终端进行EAP认证，则后续步骤中所涉及的3GPP AAA服务器均为上述已经注册的3GPP AAA服务器；否则，HSS/HLR向发起请求的3GPP AAA服务器返回EAP认证的必须信息。在由上述已经注册的3GPP AAA服务器对终端进行认证的EAP交互过程中，该已经注册的3GPP AAA服务器可以直接通过WiMAX AAA服务器与终端交互，也可以通过上述发送请求的3GPP AAA服务器和WiMAX AAA服务器与终端交互。

步骤(3)、共享的主会话密钥(MSK)的生成和移动节点向归属代理进行注册时使用的密钥等MIP密钥的生成和传送，具体包括步骤311至步骤316：

步骤311、WiMAX AAA服务器和终端分别生成MSK和EMSK。这里，终端可以在接收到EAP认证成功消息之前或之后生成MSK和EMSK；而WiMAX AAA服务器具体生成MSK和EMSK的时间，可以是在收到3GPPAAA服务器发送的EAP认证成功消息后，并将该EAP认证成功消息通过认证者转发给终端之前进行。

对于3GPP用户接入WiMAX网络的情形，由于WiMAX AAA服务器中没有生成MSK/EMSK所需的原始密钥，故WiMAX AAA服务器生成MSK/EMSK之前，还需从3GPP AAA服务器中获取原始密钥。具体可以是由WiMAX AAA服务器向3GPP AAA服务器请求获取该原始密钥；也可以是3GPP AAA服务器主动将该原始密钥发送给WiMAX AAA服务器。而对于WiMAX用户要接入3GPP网络的情形，WiMAX AAA服务器无需与3GPPAAA服务器交互即可获取上述原始密钥。这里的原始密钥可以是用户终端开户时候，运营商配置的初始密钥；也可以是用户购买接入卡时，卡中的秘密信息。

步骤312、WiMAX AAA服务器将生成的MSK发送给认证者。这里，WiMAX AAA服务器可以将生成的MSK，与需要转发给终端的EAP认证成功消息，一同或分别发送给认证者。

步骤313、WiMAX AAA服务器接收到来自3GPP AAA服务器的认证成功消息后，按照目前WiMAX协议的方式，根据MSK或EMSK计算出MIP相关密钥，并将生成的MIP相关密钥发送给认证者。

本实施例中，WiMAX AAA服务器在接收到来自3GPP AAA服务器的认证成功消息，获知所述EAP认证成功时，也可以不生成MIP相关密钥，而是将生成的MSK或EMSK下发给认证者，或根据自身生成的MSK或EMSK派生出中间密钥(MMSK)，将该MMSK下发给认证者，由认证者根据接收的MSK、EMSK或MMSK计算出MIP相关密钥。

MIP具体有两种实现方式，网络侧代理发起移动IP注册请求(PMIP)和客户端移动IP(CMIP)两种方式。在这两种方式中，上述计算出的MIP相关密钥略有区别：

当所述终端采用CMIP方式时，计算出的MIP相关密钥可以包括：HA-RK和MIP-RK；或，HA-RK、MIP-RK和MN-FA key；或，HA-RK和FA-RK；或，HA-RK、FA-RK和MN-FA key。其中，HA-RK是用于生成FA-HAkey的父密钥，FA-HA key是用于FA和HA之间相互认证的密钥，FA-RK是用于生成MN-FA key的父密钥；MIP-RK泛指MN和FA/HA之间密钥的父密钥，MN-FA key是终端和FA之间相互认证的密钥。这里，认证者接收或计算出MIP相关密钥后，进一步包括：FA从所述认证者获取MIP相关密钥，并根据其中的HA-RK生成FA-HA key；当所述MIP相关密钥不包括所述MN-FA key，而包括所述MIP-RK或FA-RK时，所述FA获取所述MIP相关密钥后还需要根据所述MIP-RK或FA-RK生成MN-FA key。

另外，在终端采用CMIP方式时，终端自行根据EAP交互过程中的信息在本地生成MIP-RK，MN-FA key和MN-HA Key等MIP相关密钥。

当终端采用PMIP方式时，计算出的MIP相关密钥可以包括：HA-RK和MIP-RK；或，HA-RK、FA-RK和MN-HA key；或，HA-RK、MIP-RK、MN-HA key和MN-FA key；或，HA-RK、FA-RK、MN-HA key和MN-FA key。这里，认证者接收或计算出MIP相关密钥后，进一步包括：FA从所述认证者获取MIP相关密钥，并根据其中的HA-RK生成FA-HA key；当所述MIP相关密钥不包括所述MN-FA key，而包括所述MIP-RK或FA-RK时，所述FA获取所述MIP相关密钥后还需要根据所述MIP-RK或FA-RK生成MN-FAkey。另外，当MIP相关密钥包括MN-HA key和MN-FA key时，认证者接收或计算出MIP相关密钥后，还需将MN-HA key和MN-FA key发送给所述终端的代理移动节点；当MIP相关密钥中不包括MN-HA key和MN-FAkey，而包括MIP-RK时，认证者接收或计算出MIP相关密钥后，根据MIP-RK计算出MN-HA key和MN-FA key，并将计算出的MN-HA key和MN-FA key发送给所述终端的代理移动节点；当MIP相关密钥中不包括MN-FA key，而包括FA-RK和MN-HA key时，认证者接收或计算出MIP相关密钥后，将MN-HA key发送给所述终端的代理移动节点，并在根据FA-RK计算出MN-FA key后，将计算出的MN-FA key发送给所述终端的代理移动节点。

步骤314、WiMAX AAA服务器将生成的HA-RK传送给HA，则HA可以根据该HA-RK生成FA-HA key用于HA对FA进行认证，WiMAX AAA服务器还将MN-HA KEY或者MIP-RK传送到归属代理(HA)中用于HA对终端进行认证。如果WiMAX传送到HA中的密钥为MIP-RK，则HA还需要根据MIP-RK生成MN-HA key。这里，WiMAX AAA服务器也可以不将HA-RK、MN-HA KEY、MIP-RK传送到HA中，而是将HA-RK、MIP-RK、MN-HA KEY保存在本地，后续HA需要使用这些密钥时，再由HA向其请求。

步骤315、3GPP AAA服务器生成用于在终端和PDG之间进行加密认证的MS-PDG KEY，并将生成的MS-PDG key给发送到PDG中。

由于在实际情况中，终端可能是3GPP用户，只是需要接入WiMAX网络享受WiMAX业务，而不需要享受3GPP业务，所以本步骤可选。即只有在终端需要享受3GPP业务时，才执行本步骤，则当MS通过PDG享受3GPP业务的时候，MS和PDG通过IKE过程建立IPsec隧道，上述MS-PDG KEY作为IKE过程中的共享密钥。

本步骤中，生成MS-PDG key的方式，可以是3GPP AAA服务器从WiMAX AAA服务器获取其生成的MSK或EMSK，并根据该MSK或EMSK计算出MS-PDG key；还可以是，WiMAX AAA服务器根据MSK或EMSK生成一个中间密钥(MMSK)，并将该中间密钥传送给3GPP AAA服务器，然后3GPP AAA服务器根据该中间密钥，计算出MS-PDG key。

步骤316、终端和认证者分别根据IEEE 802.16e协议生成PMK。

步骤(4)、鉴权密钥的生成。这里，认证者和终端可以基于IEEE 802.16e协议中提供的算法生成AK。

步骤(5)、认证者将生成的AK传送到基站。这里，由认证者中的密钥分发者(KEY Distributor)实体将AK和它的上下文(context)传递给终端服务BS(Serving BS)中的密钥接收者(KEY Receiver)实体。密钥接收者实体缓存AK以及与终端有关的私密上下文(security context)，并从AK以及它的上下文中生成IEEE 802.16e规定密钥的其余部分。

步骤(6)、终端与基站通过三次握手来实现安全联盟(SA)传送。该步骤具体包括基站向终端发送安全联盟实际加密密钥挑战(SA-TEKchallenge)，终端向基站返回SA-TEK响应，基站再向终端返回SA-TEK响应。

步骤(7)、实际加密密钥(TEK)的生成和发送。这里，终端为每一个SA从基站请求两个TEK。对于每一个SA，都重复执行该步骤。

步骤(8)、在终端和基站之间创建服务流，所创建的服务流用上述步骤7中的TEK进行加密。

在上述第一实施例里，网络侧密钥中的MSK和EMSK由WiMAX AAA服务器生成，MIP keys等密钥也由WiMAX AAA服务器根据自身生成的EMSK派生。而在下述第二实施例中，网络侧密钥中的MSK和EMSK由3GPP AAA服务器生成，MIP keys等密钥则由WiMAX AAA服务器生成，以下详细说明。

如图2所示，为第二实施例的流程图。其中，除步骤(3)之外，其余步骤均与第一实施例的具体实现相同。本实施例中，步骤(3)具体包括：

步骤321、3GPP AAA服务器和终端分别生成MSK/EMSK。这里，终端可以在接收到EAP认证成功消息之前或之后生成MSK/EMSK；而3GPPAAA服务器通常在确定EAP认证成功之后，将EAP认证成功消息发送给WiMAX AAA服务器之前或之后生成MSK/EMSK。

对于WiMAX用户接入3GPP网络的情形，由于3GPP AAA服务器中没有生成MSK/EMSK所需的原始密钥，故3GPP AAA服务器生成MSK/EMSK之前，还需从WiMAX AAA服务器中获取原始密钥。具体可以是由3GPPAAA服务器向WiMAX AAA服务器请求获取该原始密钥；也可以是WiMAXAAA服务器主动将该原始密钥发送给3GPP AAA服务器。而对于3GPP用户要接入WiMAX网络的情形，3GPP AAA服务器无需与WiMAX AAA服务器交互即可获取上述原始密钥。

步骤322、3GPP AAA服务器将生成的MSK，通过WiMAX AAA服务器发送给认证者。

步骤323、WiMAX AAA服务器按照目前WiMAX协议的方式，根据MSK或EMSK计算出MIP相关密钥，并将生成的MIP相关密钥发送给认证者。

这里具体生成的MIP相关密钥以及后续对MIP相关密钥的处理与图1中的步骤313相同。

本步骤中，WiMAX AAA服务器生成MIP相关密钥可以有几种方式：第一种为，在3GPP AAA服务器生成MSK和EMSK后，将生成的MSK或EMSK与EAP认证成功消息一同或分别下发给WiMAX AAA服务器，则WiMAX AAA服务器根据接收的MSK或EMSK计算出MIP相关密钥；第二种为，WiMAX AAA服务器在接收到来自3GPP AAA服务器的EAP认证成功消息后，在本地产生随机数(WiMAX RND)作为根密钥(MMSK)，再由该MMSK计算出MIP相关密钥；第三种为，3GPP AAA服务器在生成MSK或EMSK后，根据MSK或EMSK生成一个中间密钥(MMSK)，并将该中间密钥与EAP认证成功消息一同或分别传送给WiMAX AAA服务器，然后WiMAX AAA服务器根据接收的该中间密钥，计算出MIP相关密钥。上述第二种方式仅限于终端采用PMIP的情况，其余两种方式可以用于终端采用PMIP或CMIP的情况。以上述第二种方式和第三种方式为例，本实施例种密钥派生的流程分别如图3和图4所示。

本步骤中，WiMAX AAA服务器向认证者下发的MIP相关密钥，也可以由派生出该MIP相关密钥的MSK、EMSK或MMSK替代，则认证者根据接收到的EMSK或MMSK生成需要的MIP相关密钥。

步骤324、WiMAX AAA服务器将生成的HA-RK传送给HA用于HA对FA进行认证，并将MN-HA KEY或者MIP-RK传送到归属代理(HA)中用于HA对终端进行认证。如果WiMAX传送到HA中的密钥为MIP-RK，则HA还需要根据MIP-RK生成MN-HA key。这里，WiMAX AAA服务器也可以不将HA-RK、MN-HA KEY、MIP-RK传送到HA中，而是将HA-RK、MIP-RK、MN-HA KEY保存在本地，后续HA需要使用这些密钥时，再由HA向其请求。

步骤325、3GPP AAA服务器根据EMSK，生成用于在终端和PDG之间进行加密认证的MS-PDG KEY，并将生成的MS-PDG key给发送到PDG中。与步骤315类似地，本步骤可选。

步骤326、终端和认证者分别根据IEEE 802.16e协议生成PMK。

本发明实施例还提供了一种终端，如图5所示，该终端包括EAP模块和EAP功能实体。其中，EAP模块用于接收来自认证者的EAP认证请求消息，并将该EAP认证请求消息发送给EAP功能实体；EAP功能实体用于接收来自EAP模块的EAP认证请求消息，根据该EAP认证请求消息生成EAP认证响应消息，并在该EAP认证响应消息中设置3GPP AAA服务器的地址信息，以及发送该EAP认证响应消息。在EAP功能实体发送EAP响应消息后，该EAP响应消息将通过WiMAX AAA服务器发送给设置的地址信息对应的3GPP AAA服务器。EAP功能实体可以在EAP认证响应消息的NAI域中设置3GPP AAA服务器的地址信息，具体设置方式在步骤212中已有详细说明，参照执行即可。

本发明实施例还提供了一种WiMAX和3GPP互连系统，该系统包括：终端、WiMAX AAA服务器和3GPP AAA服务器；其中，终端用于在EAP响应消息中设置3GPP AAA服务器的地址信息，并将该消息发送给WiMAXAAA服务器；WiMAX AAA服务器用于接收所述EAP响应消息，根据该消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；3GPP AAA服务器用于接收所述EAP响应消息，并根据该消息对终端进行EAP认证。此外，上述互连系统中还可以包括认证者、基站、HA、FA、PDG、WAG等，这些网络实体之间的交互在上述图1和图2的流程中已有详细说明，这里不再赘述。

通过上述描述可以看出，本发明实施例在互连系统中，3GPP AAA服务器对终端EAP认证成功后，在网络侧提供了多种生成MSK和MIP相关密钥的方法，使得本发明在应用过程中更加灵活。

以上是对本发明具体实施例的说明，在具体的实施过程中可对本发明的方法进行适当的改进，以适应具体情况的具体需要。因此可以理解，根据本发明的具体实施方式只是起示范作用，并不用以限制本发明的保护范围。

Claims (9)

1.一种在全球接入微波互操作性WiMAX和第三代移动通信标准化伙伴项目3GPP互连系统中，3GPP系统对由WiMAX系统接入的终端进行认证的方法，其特征在于，该方法包括：

WiMAX AAA服务器接收来自终端的可扩展认证协议EAP响应消息，其中，所述消息中设置有3GPP认证、授权和计费AAA服务器的地址信息；

WiMAX AAA服务器根据接收的EAP响应消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；

3GPP AAA服务器根据接收的EAP响应消息对终端进行EAP认证；

该方法进一步包括：

当所述WiMAX AAA服务器获知所述EAP认证成功时，生成主会话密钥MSK，并将生成的MSK发送给认证者；

或者3GPP AAA服务器在对终端进行所述EAP认证成功后，生成MSK，并将生成的MSK通过所述WiMAX AAA服务器发送给认证者。

2.根据权利要求1所述的方法，其特征在于，所述3GPP AAA服务器的地址信息设置在EAP响应消息的网络接入标识符域中。

3.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

当所述WiMAX AAA服务器获知所述EAP认证成功时，生成移动因特网协议MIP相关密钥并发送给认证者；

或者，当所述WiMAX AAA服务器获知所述EAP认证成功时，将主会话密钥MSK、扩展主会话密钥EMSK或中间密钥MMSK发送给认证者，认证者根据接收的MSK、EMSK或MMSK生成MIP相关密钥；

所述MSK或EMSK为所述WiMAX AAA服务器自身生成的；

所述MMSK为WiMAX AAA服务器根据所述自身生成的MSK或EMSK派生出来的；或者，所述MMSK为3GPP AAA服务器发送给所述WiMAX AAA服务器的。

4.根据权利要求1或3所述的方法，其特征在于，所述终端为3GPP用户；

则当所述WiMAX AAA服务器获知所述EAP认证成功时，WiMAXAAA服务器向3GPP AAA服务器请求获得原始密钥；

或者3GPP AAA服务器将原始密钥发送给WiMAX AAA服务器。

5.根据权利要求3所述的方法，其特征在于，当所述终端采用客户端移动IPCMIP方式时，所述MIP相关密钥包括：

归属代理根密钥HA-RK和移动因特网协议根密钥MIP-RK；

或，HA-RK、MIP-RK和移动节点和外部代理之间的密钥MN-FA key；

或，HA-RK和外部代理根密钥FA-RK；

或，HA-RK、FA-RK和MN-FA key；

则所述认证者接收或生成MIP相关密钥后，进一步包括：外部代理FA从所述认证者获取所述MIP相关密钥，并根据其中的HA-RK生成FA-HAkey；

当所述MIP相关密钥包括HA-RK和MIP-RK时，所述FA获取所述MIP相关密钥后进一步包括：根据所述MIP-RK生成MN-FA key；

当所述MIP相关密钥包括HA-RK和FA-RK时，所述FA获取所述MIP相关密钥后进一步包括：根据所述FA-RK生成MN-FA key。

6.根据权利要求3所述的方法，其特征在于，当所述终端采用移动IP注册请求PMIP方式时，所述MIP相关密钥包括：

归属代理根密钥HA-RK和移动因特网协议根密钥MIP-RK；

或，HA-RK、外部代理根密钥FA-RK和移动节点和归属代理之间的密钥MN-HA key；

或，HA-RK、MIP-RK、MN-HA key和移动节点和外部代理之间的密钥MN-FA key；

或，HA-RK、FA-RK、MN-HA key和MN-FA key；

则所述认证者接收或生成MIP相关密钥后，进一步包括：外部代理FA从所述认证者获取所述MIP相关密钥中除MN-HA-key之外的密钥，并根据其中的HA-RK生成FA-HA key；

当所述MIP相关密钥包括所述HA-RK和MIP-RK时，所述FA获取所述MIP相关密钥后进一步包括：根据所述MIP-RK生成MN-FA key，所述认证者接收或生成MIP相关密钥后，进一步包括：根据MIP-RK计算出MN-HA key和MN-FA key，并将计算出的MN-HA key和MN-FA key发送给所述终端的代理移动节点；

当所述MIP相关密钥包括HA-RK、FA-RK和MN-HA key时，所述FA获取所述MIP相关密钥后进一步包括：根据所述FA-RK生成MN-FA key，所述认证者接收或生成MIP相关密钥后，进一步包括：将MN-HA key发送给所述终端的代理移动节点，并将根据FA-RK计算出的MN-FA key发送给所述终端的代理移动节点；

当所述MIP相关密钥包括MN-HA key和MN-FA key时，认证者接收或生成MIP相关密钥后，进一步包括：将MN-HA key和MN-FA key发送给所述终端的代理移动节点。

7.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

当WiMAX AAA服务器获知所述EAP认证成功时，生成移动因特网协议MIP相关密钥，并根据请求或直接将生成的MIP相关密钥发送至归属代理HA，所述MIP相关密钥包括归属代理根密钥HA-RK和移动因特网协议根密钥MIP-RK，或者，包括HA-RK和移动节点和归属代理之间的密钥MN-HA KEY；

HA接收到MIP相关密钥后，根据其中的HA-RK生成FA-HA key；

当WiMAX AAA服务器发送给HA的MIP相关密钥包括HA-RK和MIP-RK时，HA接收到MIP-RK后进一步包括：根据接收的MIP-RK生成MN-HA key。

8.根据权利要求3或7所述的方法，其特征在于，所述WiMAX AAA服务器生成MIP相关密钥的方法包括：

当所述WiMAX AAA服务器在获知所述EAP认证成功时，生成主会话密钥MSK或扩展主会话密钥EMSK，并根据生成的MSK或EMSK计算出所述MIP相关密钥；

或者，所述3GPP AAA服务器在所述EAP认证成功并生成MSK或EMSK后，将生成的MSK或EMSK发送给所述WiMAX AAA服务器，所述WiMAX AAA服务器根据接收的MSK或EMSK计算出所述MIP相关密钥；

或者，当所述WiMAX AAA服务器在获知所述EAP认证成功时，在本地产生随机数作为根密钥，再由该根密钥计算出MIP相关密钥；

或者，所述3GPP AAA服务器在所述EAP认证成功并生成MSK或EMSK后，根据MSK或EMSK生成中间密钥，并将该中间密钥传送给WiMAX AAA服务器，WiMAX AAA服务器根据接收的该中间密钥，计算出MIP相关密钥。

9.一种WiMAX和3GPP互连系统，其特征在于，该系统包括：终端、WiMAX AAA服务器和3GPP AAA服务器；

所述终端用于在可扩展认证协议EAP响应消息中设置3GPP AAA服务器的地址信息，并将该消息发送给WiMAX AAA服务器；

所述WiMAX AAA服务器用于接收所述EAP响应消息，根据该消息中3GPP AAA服务器的地址信息将该响应消息转发给3GPP AAA服务器；

所述3GPP AAA服务器用于接收所述EAP响应消息，并根据该消息对终端进行EAP认证；

所述WiMAX AAA服务器用于获知所述EAP认证成功时，生成主会话密钥MSK，并将生成的MSK发送给认证者；

或者，所述3GPP AAA服务器用于在对终端进行所述EAP认证成功后，生成MSK，并将生成的MSK通过所述WiMAX AAA服务器发送给认证者。

Images