CN101136904A - 一种接入网鉴权服务器通知发起接入鉴权的方法 - Google Patents
一种接入网鉴权服务器通知发起接入鉴权的方法 Download PDFInfo
- Publication number
- CN101136904A CN101136904A CNA2006100630637A CN200610063063A CN101136904A CN 101136904 A CN101136904 A CN 101136904A CN A2006100630637 A CNA2006100630637 A CN A2006100630637A CN 200610063063 A CN200610063063 A CN 200610063063A CN 101136904 A CN101136904 A CN 101136904A
- Authority
- CN
- China
- Prior art keywords
- user
- access network
- authentication
- authentication server
- notice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种接入网鉴权服务器通知发起接入鉴权的方法,AN-AAA从用户放号开始,就维护该用户的变更信息记录,其中包含用户属性变更、用户存活信息,作为向AN侧发送归属用户鉴权通知的依据;当变更信息记录发生变更时,AN-AAA主动向AN侧发送通知消息,告知应对指定用户或用户组群进行处理;AN侧收到通知消息后,根据其要求进行操作。本发明可以建立AN-AAA和AN侧间的信息及时通知机制,保证用户属性变更信息的及时通知AN侧,以便使AN侧能够及时调整策略,保护合法用户的利益,简化AN侧对用户判定合法性的处理,避免判定上的时间差和滞后性,弥补系统在应用中的漏洞。
Description
技术领域:
本发明涉及CDMA2000-EVDO(数据优化演进)移动通讯系统中的数据通信,具体涉及在这种移动通讯系统中AN-AAA(接入网鉴权服务器)的通知发起接入鉴权。
背景技术:
CDMA2000-EVDO移动通讯系统中的AN-AAA作为接入网络侧的鉴权网元,主要用于对EVDO终端进行接入认证。
无线接入网认证是确认将要接入EVDO无线网(AN)的EVDO终端合法性的机制。接入认证由AN侧和AN-AAA配合完成,使用CHAP(PPP挑战握手认证协议)认证,认证成功后,AN-AAA向AN返回MNID(移动节点标识符),用于确定A8/A9、A10/A11接口消息中的MNID。一旦用户通过AN-AAA鉴权,则会在AN侧保留自己的身份信息。在一般情况下,下次用户起呼不用再进行AN-AAA鉴权,直接根据AN侧保留的身份信息建立连接。
AN和AN-AAA之间是通过标准的A12接口进行通讯的,通过A12消息的交互完成鉴权认证,其具体过程包括以下步骤:
(1)AN侧收到EVDO终端的呼叫请求,如果确定是新用户或需要鉴权的用户,就需要对其进行接入鉴权,也就是立即发起认证请求,构造A12接口的接入请求消息,通过RADIUS协议栈发送给AN-AAA进行认证。
(2)对A12接口接入请求消息的重发机制的管理。如果在一段时间内没有收到AN-AAA的鉴权响应则重发接入请求消息。
(3)AN侧接收到AN-AAA的认证结果,如果鉴权成功则返回有效的MNID,否则拒绝终端建立连接。
在整个鉴权过程中,AN-AAA一直处于被动等待接收AN侧发起认证请求的状态,只能对鉴权请求做出适当的应答,而用户一旦鉴权成功就会在AN侧保留自己的身份信息,除非用户触发了重鉴权等操作,下一次用户接入就不需要进行AN-AAA鉴权。这种鉴权过程在实际应用中可能导致以下几点问题:
(1)用户一旦取消服务,虽然在AN-AAA中的用户信息被删除,但AN侧仍然保留该用户的“有效”的身份信息,一定时间内用户仍然可以作为“合法”用户来访问AN并获取服务。
(2)当用户与服务相关的等级信息(如QoS等级等)发生变更时,虽然AN-AAA已经更新了用户信息,但AN侧并不能及时从AN-AAA得到通知,确定用户需要重新鉴权。
(3)用户在AN侧存储的身份信息不能够保持更新。出现这个问题的原因不是AN侧不能更新用户的身份信息,而是目前AN侧缺乏一种机制来触发用户信息的更新操作。
分析出现上面出现的问题,其根源是AN-AAA服务器虽然能够确定用户的合法性,但只是被动的鉴权,而没有将用户的信息变动及时通知AN侧,因而需要同时维护AN-AAA和AN侧的用户信息,并保证其一致性,这无疑将增加管理难度,另一方面也说明EVDO移动通讯系统在鉴权处理上存在漏洞。
针对这个问题,目前的解决方法主要集中在AN侧,通过强制用户进行重新鉴权,定时来更新身份信息,并确定用户的合法性。但这种方法并没有彻底解决问题,因为在定时器超时前仍然会存在上面的问题。另外,还加了AN侧系统的复杂性和维护难度,将本该由AN-AAA对用户进行合法性检测的管理功能放在AN侧来实现。
发明内容:
本发明要解决的技术问题是,针对现有技术的缺陷,提出一种方法,让AN-AAA能够将所管理用户的变更信息主动通知AN侧,以便AN侧发起相关操作更新用户信息。
本发明的方法包括以下步骤:
步骤1、AN-AAA从用户放号开始,就维护该用户的变更信息记录,其中包含用户属性变更、用户存活信息,作为向AN侧发送归属用户鉴权通知的依据;
步骤2、当变更信息记录发生变更时,AN-AAA主动向AN侧发送通知消息,告知应对指定用户或用户组群进行处理;
步骤3、AN侧收到通知消息后,根据其要求进行操作。
上述方案中,AN-AA可以将维护信息发生变化的用户暂时按照易于检索、发送和处理的方式缓存,当达到规定数目时,一齐发送给其归属AN。
AN-AAA可以在出现以下情况之一时,主动向AN侧发送用户鉴权通知:
3.1AN-AAA维护用户的单项或多项可扩展属性信息(比如用户QoS等级)发生变更;
3.2AN-AAA维护用户的存在时间大于需要重新鉴权的预置时间;
3.3发生删除AN-AAA维护用户的时候;
3.4发生用户信息部分丢失,用户进行非法操作、用户信息不完整等异常情况的时候。
AN-AAA可以决定处理3.1至3.4情况的优先级,以确定指定用户或用户群组优先处理。
AN-AAA可以根据用户信息情况选择以下模式之一:
立即发送用户鉴权通知;
在预定义时间段后发送用户鉴权通知;
不发送用户鉴权通知。
AN侧收到通知消息后,可能根据情况选择以下方式之一操作:
对用户进行删除身份信息的操作;
对用户发起重新鉴权的操作。
本发明可以建立AN-AAA和AN侧间的信息及时通知机制,保证用户属性变更信息的及时通知AN侧,以便使AN侧能够及时调整策略,保护合法用户的利益,简化AN侧对用户判定合法性的处理,避免判定上的时间差和滞后性,弥补系统在应用中的漏洞。
附图说明:
图1是本发明的一种实施方式中AN-AAA通知发起鉴权的流程图。
具体实施方式:
如图1所示,这是AN-AAA通知发起鉴权实施例的信令流程图,具体介绍如下:
a、当AN-AAA检测出管理用户的关键信息发生变更时,自动(根据实际应用需要可以提供人工出发该消息的方式)向AN发送A12通知消息。该消息可以按照A12标准接口的信息格式自定义新的A12接口消息,也可以通过扩展现有的标准A12消息(如A12AccessAccept)的消息元素来实现,后者的好处是最大限度兼容标准。AN收到AN-AAA发来的A12通知消息,AN根据消息中带来信息来确定需要进行操作的目标终端,重新设定鉴权标识。
b、如果AT和PDSN之间不存在PPP链接,则直接跳至第d步。如果AT和PDSN之间已存在活动的PPP链接,则释放当前连接(包括空中口和A口)。
c、如果AT和PDSN之间已存在空闲状态下的PPP链接,这时通常空中口已经释放,但保留A口。因而需要释放当前A口连接,否则直接跳至第d步。
d、AT重新发起连接建立,在接入信道上向AN发送连接请求消息和路由消息。每次AT在接入信道上发送包,总会包含路由消息,该消息包含了AT以当前时间为基准的参考导频和强度足够的其它导频,作为当前无线链路状态报告。
e、AN对收到的接入信道数据包进行确认,通过控制信道向AT发送ACAck应答,通知AT进行接入准备。随即AN进行内部数据配置,准备AT接入。
f、配置完成后,向AT发送业务信道指派消息,开始向AT请求业务信道的配置数据,等待反向AT捕获和前向数据速率控制捕获。
g、AT收到业务信道指派消息后,开始在反向发送导频和数据速率控制信息。AN根据收到的信息进行配置。由于鉴权标识重置,只建立空中口连接。
h、AN配置完成,通过业务信道发送RTCAck应答,向AT确认已经收到反向业务信道导频和数据速率控制信息。
i、AT发回业务信道配置完成消息,确定AT侧业务信道配置完成。
j、AN则发送SLPAck响应,作为该消息的信令链路层的确认。
k、AN根据AT的需要,发起流建立。建立成功后打开流并通知AT可以传送数据。
l、AN和AT在打开的流上建立PPP连接,进行LCP(链路层控制协议)协商。
m、在LCP协商完成后,AN发送CHAP挑战消息,包含一个随机值。该消息通过前向业务信道发送给AT。
n、AT根据收到的CHAP挑战消息,按照LCP协商的认证算法(如MD5),计算出响应值,然后附上标识和CHAP用户名称,通过CHAP应答消息中通过无线链路分组发给AN。
o、AN将这个认证请求包封装到A12AccessRequest消息中,通过对外网口透传到AN-AAA,使用UDP数据报。
p、AN AAA根据收到A12AccessRequest消息中的用户名称查找数据库中的Password,使用和AT相同的算法(如MD5),把计算的结果和CHAP-Password中的值比较,如果一致,则返回A12AccessAccept消息,消息中返回AT标识信息,否则,返回A12AccessReject消息。
q、AN收到A12AccessAccept数据包后,验证了数据包来自合法的AN-AAA,给AT发送CHAP成功消息,指示接入认证成功;
r、CHAP鉴权流程完毕,AN拆除和AT的PPP连接。CHAP鉴权流程完毕,AN拆除和AT的PPP连接。
s、AN关闭相应的RLP流。
如果鉴权成功,AT下次起呼将同时建立空中口和A口连接,进行正常的数据业务应用;如果鉴权失败,则AT无法接入DO网络进行数据业务应用。
Claims (6)
1.一种接入网鉴权服务器通知发起接入鉴权的方法,包括以下步骤:
步骤1、接入网鉴权服务器从用户放号开始,就维护该用户的变更信息记录,其中包含用户属性变更、用户存活信息,作为向无线接入网侧发送归属用户鉴权通知的依据;
步骤2、当变更信息记录发生变更时,接入网鉴权服务器主动向无线接入网侧发送通知消息,告知应对指定用户或用户组群进行处理;
步骤3、无线接入网侧收到通知消息后,根据其要求进行操作。
2.权利要求1所述的接入网鉴权服务器通知发起接入鉴权的方法,其特征在于,接入网鉴权服务器将维护信息发生变化的用户暂时按照易于检索、发送和处理的方式缓存,当达到规定数目时,一齐发送给其归属无线接入网。
3.权利要求1所述的接入网鉴权服务器通知发起接入鉴权的方法,其特征在于,接入网鉴权服务器在出现以下情况之一时,主动向无线接入网侧发送用户鉴权通知:
3.1接入网鉴权服务器维护用户的单项或多项可扩展属性信息发生变更;
3.2接入网鉴权服务器维护用户的存在时间大于需要重新鉴权的预置时间;
3.3发生删除接入网鉴权服务器维护用户的时候;
3.4发生用户信息部分丢失,用户进行非法操作、用户信息不完整异常情况的时候。
4.权利要求3所述的接入网鉴权服务器通知发起接入鉴权的方法,其特征在于,接入网鉴权服务器可以决定处理3.1至3.4情况的优先级,以确定指定用户或用户群组优先处理。
5.权利要求1所述的接入网鉴权服务器通知发起接入鉴权的方法,其特征在于,接入网鉴权服务器根据用户信息情况选择以下模式之一:
立即发送用户鉴权通知;
在预定义时间段后发送用户鉴权通知;
不发送用户鉴权通知。
6.权利要求1所述的接入网鉴权服务器通知发起接入鉴权的方法,其特征在于,无线接入网侧收到通知消息后,根据情况选择以下方式之一操作:
对用户进行删除身份信息的操作;
对用户发起重新鉴权的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100630637A CN101136904A (zh) | 2006-10-10 | 2006-10-10 | 一种接入网鉴权服务器通知发起接入鉴权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100630637A CN101136904A (zh) | 2006-10-10 | 2006-10-10 | 一种接入网鉴权服务器通知发起接入鉴权的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101136904A true CN101136904A (zh) | 2008-03-05 |
Family
ID=39160737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100630637A Pending CN101136904A (zh) | 2006-10-10 | 2006-10-10 | 一种接入网鉴权服务器通知发起接入鉴权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136904A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017876A1 (zh) * | 2009-08-12 | 2011-02-17 | 中兴通讯股份有限公司 | 一种对终端进行重鉴权的方法和系统 |
| CN101534504B (zh) * | 2008-03-10 | 2011-04-20 | 中兴通讯股份有限公司 | 无线高速分组数据系统使用本地鉴权完成呼叫的方法 |
| CN102025469A (zh) * | 2010-12-22 | 2011-04-20 | 中兴通讯股份有限公司 | 发送ACAck消息的方法及基站 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
-
2006
- 2006-10-10 CN CNA2006100630637A patent/CN101136904A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101534504B (zh) * | 2008-03-10 | 2011-04-20 | 中兴通讯股份有限公司 | 无线高速分组数据系统使用本地鉴权完成呼叫的方法 |
| WO2011017876A1 (zh) * | 2009-08-12 | 2011-02-17 | 中兴通讯股份有限公司 | 一种对终端进行重鉴权的方法和系统 |
| CN101626569B (zh) * | 2009-08-12 | 2012-12-19 | 中兴通讯股份有限公司 | 对终端进行重鉴权的方法和装置 |
| CN102025469A (zh) * | 2010-12-22 | 2011-04-20 | 中兴通讯股份有限公司 | 发送ACAck消息的方法及基站 |
| CN102025469B (zh) * | 2010-12-22 | 2014-04-30 | 中兴通讯股份有限公司 | 发送ACAck消息的方法及基站 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6047071A (en) | Network-initiated change of mobile phone parameters | |
| KR101487074B1 (ko) | 액세스 단말기 아이덴티티의 인증 용이화 | |
| ES2272824T3 (es) | Procedimiento y sistema para comprobar la autenticidad de un proveedor de servicios en una red de comunicaciones. | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| US8732458B2 (en) | Method, system and terminal device for realizing locking network by terminal device | |
| JP2007524290A (ja) | ワイヤレス・ローカル・エリア・ネットワーク内のサービストンネルの削除方法 | |
| WO2012151805A1 (zh) | 控制终端接入的方法及系统、移动管理单元 | |
| US20070043676A1 (en) | Prepaid accounting system for a wireless local area network and method thereof | |
| CN1885770B (zh) | 一种认证方法 | |
| CN112491829A (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| US20060116122A1 (en) | Mobile terminal identity protection through home location register modification | |
| CN101640685A (zh) | 一种传递私有属性信息的方法及系统 | |
| CN101136904A (zh) | 一种接入网鉴权服务器通知发起接入鉴权的方法 | |
| WO2011147156A1 (zh) | 一种限制接入特定区域的方法及系统 | |
| CN101159625B (zh) | WiMAX网络实现警用监听的系统及方法 | |
| JP5205469B2 (ja) | 無線アクセスネットワークにおける閉グループにアクセスするための方法 | |
| JP4971445B2 (ja) | 通信ネットワークにおける端末機器の緊急メッセージを転送する方法 | |
| EP1320236A1 (en) | Access control for network services for authenticating a user via separate link | |
| WO2009155818A1 (zh) | 一种接入设备位置验证方法、接入设备、网络设备及系统 | |
| RU2002103720A (ru) | Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет | |
| CN102387502B (zh) | 一种异构网络的控制方法和系统 | |
| US20220232382A1 (en) | Controlling provision of access to restricted local operator services by user equipment | |
| CN110536295B (zh) | 初始接入控制方法、装置、终端、智能卡及存储介质 | |
| EP3902303B1 (en) | Method for enabling zero touch connectivity (ztc) access in a communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080305 |