CN101330384B - 终端设备鉴权方法 - Google Patents
终端设备鉴权方法 Download PDFInfo
- Publication number
- CN101330384B CN101330384B CN2007101115712A CN200710111571A CN101330384B CN 101330384 B CN101330384 B CN 101330384B CN 2007101115712 A CN2007101115712 A CN 2007101115712A CN 200710111571 A CN200710111571 A CN 200710111571A CN 101330384 B CN101330384 B CN 101330384B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal equipment
- base station
- message
- functions entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种终端设备鉴权方法,包括以下步骤:S202,鉴权功能实体为终端设备进行鉴权;S204,在鉴权失败的情况下,鉴权功能实体向基站发送包含鉴权失败操作指示的消息;以及S206,基站根据鉴权失败操作指示,进行下一步处理。通过本发明,基站和终端设备可以根据接入网关的指示决定进行重新接入或者重新鉴权。
Description
技术领域
本发明涉及通信领域,更具体地涉及一种终端设备鉴权方法。
背景技术
WiMAX是新一代的宽带无线接入技术,相比于传统的3G接入技术,WiMAX在高速率、服务质量(Quality of Service,简称QoS)灵活性、以及安全性方面具有一定的优势。
WiMAX系统网络结构如图1所示,其中包括基站(Base Station,简称BS)、接入网关(Access Gateway,简称AGW)、鉴权者(Authenticator)、以及鉴权授权计费模块(AAA)等功能模块。
基站和接入网关相连(或通过中继接入网关),接入网关负责整个接入网所在IP网段的出口路由,接入网关和鉴权者相连,鉴权者是扩展认证协议(Extensible Authentication Protocal,简称EAP)中的鉴权逻辑实体,负责处理终端设备的鉴权。在WiMAX网络中,鉴权者通常集成在AGW中。AAA分为拜访地AAA和家乡AAA,用于维护用户信息、实现用户鉴权、业务授权、以及计费等功能。
在制定WiMAX标准的网络工作组(Network Working Group,简称NWG)State3协议中,系统可以采用EAP鉴权方式。EAP方法层可以确定采用具体的鉴权方法(比如TLS等)。在网络接入过程中,终端设备在完成同步、测距、以及基本能力协商流程之后需要开始初始接入流程。在主会话密钥生命周期超时后,应该由鉴权者或者终端设备发起重鉴权流程。NWG协议详细规定了终端设备进行初始鉴权以及重鉴权的流程。在鉴权成功后,终端设备可以继续后面的接入流程。但是对于鉴权失败的处理方式,协议并没有明确描述。
发明内容
鉴于以上所述的一个或多个问题,本发明提供了一种在终端设备鉴权方法。
根据本发明的终端设备鉴权方法,包括以下步骤:S202,鉴权功能实体为终端设备进行鉴权;S204,在鉴权失败的情况下,鉴权功能实体向基站发送包含鉴权失败操作指示的消息;以及S206,基站根据鉴权失败操作指示,进行下一步处理。
其中,在步骤S202中,可以是鉴权功能实体通过基站来发起对终端设备的鉴权,也可以是终端设备请求鉴权功能实体为其进行鉴权。
其中,步骤S202具体包括以下步骤:S2022,鉴权功能实体通过基站向终端设备发送鉴权发起消息;S2024,终端设备收到鉴权请求消息后,通过基站向鉴权功能实体发送鉴权响应消息;S2026,鉴权功能实体根据鉴权响应消息,通知鉴权授权计费实体对终端设备进行鉴权。
在步骤S206中,基站根据鉴权失败操作指示,发起终端设备的网络退出流程或等待终端设备或鉴权功能实体发起下一轮鉴权。
其中,根据本发明的终端设备鉴权方法采用EAP鉴权方式,适用于宽带无线接入系统中,尤其适用于WiMAX系统中。
通过本发明,基站和终端设备可以根据接入网关的指示决定进行重新接入或者重新鉴权。并且对于后者,终端设备重新进行鉴权可以避免终端设备的网络重入过程中的初始接入等复杂流程,从而可以避免对终端设备的业务造成影响。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是WiMAX系统的网络结构图;
图2是根据本发明实施例的终端设备鉴权方法的流程图;
图3是根据本发明实施例的终端设备初始鉴权过程的流程图;
图4是根据本发明实施例的终端设备重鉴权过程的流程图。
具体实施方式
下面参考附图,详细说明本发明的具体实施方式。
参考图2,说明根据本发明实施例的终端设备鉴权方法。如图2所示,该终端设备鉴权方法包括以下步骤:S202,鉴权功能实体为终端设备进行鉴权;S204,在鉴权失败的情况下,鉴权功能实体向基站发送包含鉴权失败操作指示的消息;以及S206,基站根据鉴权失败操作指示,进行下一步处理。
其中,在步骤S202中,可以是鉴权功能实体通过基站来发起对终端设备的鉴权,也可以是终端设备请求鉴权功能实体为其进行鉴权。
其中,步骤S202具体包括以下步骤:S2022,鉴权功能实体通过基站向终端设备发送鉴权发起消息;S2024,终端设备收到鉴权请求消息后,通过基站向鉴权功能实体发送鉴权响应消息;S2026,鉴权功能实体根据鉴权响应消息,通知鉴权授权计费实体对终端设备进行鉴权。
在步骤S206中,基站根据鉴权失败操作指示,发起终端设备的网络退出流程或等待终端设备或鉴权功能实体发起下一轮鉴权。
其中,根据本发明的终端设备鉴权方法采用EAP鉴权方式,适用于宽带无线接入系统中,尤其适用于WiMAX系统中。
参考图3,说明根据本发明实施例的用于WiMAX系统中的终端设备初始鉴权过程。如图3所示,该终端设备初始鉴权过程包括以下步骤:
S302,终端设备开始网络接入以及基本能力协商,在此阶段,终端设备和接入网关之间通过协商来确定采用的安全策略。
S304和S306,位于接入网关上的鉴权功能实体通过基站作为中继向终端设备发送EAP转发(EAP-Transfer)消息,开始发起EAP鉴权流程;
S308和S310,终端设备接收到EAP-Transfer消息后,通过基站的中继向鉴权功能实体发送上层的EAP响应/标识(EAPResponse/Identity)消息(该消息通过空口的EAP Transfer消息承载),消息中包含了网络接入标示符(Network Access Identifier,简称NAI)参数;用于寻址参与终端设备进行鉴权的AAA。
S312,鉴权功能实体根据消息中携带的NAI信息,通过远程用户拨号认证系统(Remote Authentication Dial In User Service,简称RADUIS)协议中的接入请求(Access Request)消息将EAP负载(EAP Payload)转发到终端设备的家乡AAA,EAP终端设备鉴权在终端设备和家乡AAA之间进行。其中,根据不同的鉴权模式和EAP鉴权方法,EAP报文的交互可以有多轮。
S314,鉴权功能实体接收来自家乡AAA的接入接受(AccessAccept)消息,该消息中承载了指示鉴权结果的EAP Transfer消息以及鉴权所需的安全上下文(如MSK等)。如果鉴权失败,鉴权功能实体会收到来自家乡AAA的接入拒绝(Access Reject)消息,该消息中带有失败的EAP消息(EAP Message)指示。
S316和S318,接入网关通过基站向终端设备透传EAP Transfer消息,指示EAP鉴权结果。
S320,接入网关向基站发送Key_Change_Directive消息指示鉴权完成,该消息内容见表1所示,其中,至少包括鉴权结果和鉴权失败操作码。其中,鉴权失败操作码用于指示用户鉴权失败后,基站的处理策略,鉴权失败操作码可以指示为终端设备发起网络退出,也可以指示等待下一轮的EAP鉴权。
S322和S324,基站在接收到消息的同时,向接入网关反馈Key_Change_Directive Ack消息。如果鉴权成功,基站将启动和终端设备之间的SA-TEK三步握手以确认双方获取的AK信息。如果鉴权失败,基站将按照鉴权功能实体的指示发起终端设备的网络退出流程或者等待下一轮的EAP鉴权。
S326,终端设备继续完成剩余的网络接入流程,比如登记协商以及IP地址获取流程等。在登记协商阶段,基站向鉴权功能实体反馈SA-TEK三步握手的结果。
参考图4,说明根据本发明实施例的用于WiMAX系统中的终端设备重鉴权过程。如图4所示,该终端设备初始鉴权过程包括以下步骤:
S402,当重鉴权触发条件满足(比如PMK生命周期即将超时)时,触发重鉴权流程。如果是终端设备发起重鉴权流程,则终端设备首先向鉴权功能实体发送EAP启动(EAP Start)消息;如果是鉴权功能实体发起重鉴权流程,则直接执行步骤S404。
S404和S406,位于接入网关上的鉴权功能实体通过基站作为中继向终端设备发送EAP-Transfer消息,开始发起EAP鉴权流程。
S408和S410,终端设备接收到EAP-Transfer消息后,通过基站的中继向鉴权功能实体发送上层的EAP Response/Identity消息(该消息通过空口的EAP Transfer消息承载),消息中包含了NAI参数;用于寻址参与终端设备进行鉴权的AAA。
S412,鉴权功能实体根据消息中携带的NAI信息,通过RADUIS协议中的Access Request消息将EAP Payload转发到终端设备的家乡AAA,EAP终端设备鉴权在终端设备和家乡AAA之间进行,根据不同的鉴权模式和EAP鉴权方法,EAP报文的交互可以有多轮。
S414,鉴权功能实体接收来自家乡AAA的Access Accept消息,该消息中承载了指示鉴权结果的EAP Transfer消息以及鉴权所需的安全上下文(如MSK等)。如果鉴权失败,鉴权功能实体会收到来自家乡AAA的Access Reject消息,该消息中带有失败的EAPMessage指示。
S416和S418,接入网关通过基站向终端设备透传EAP Transfer消息,指示EAP鉴权结果。
S420,接入网关向基站发送Key_Change_Directive消息指示鉴权完成,该消息内容见表1所示。其中至少包括以下鉴权结果和鉴权失败操作码。其中,鉴权失败操作码用于指示终端设备鉴权失败后,基站的处理策略。鉴权失败操作码可以指示为终端设备发起网络退出流程,也可以指示等待下一轮的EAP鉴权。
S422和S424,基站在接收到消息的同时向接入网关反馈Key_Change_Directive Ack消息。如果鉴权成功,基站将启动和终端设备之间的SA-TEK三步握手以确认双方获取的AK信息。如果鉴权失败,基站将按照鉴权功能实体的指示发起终端设备的网络退出流程或者等待下一轮的EAP鉴权。
表1
综上所述,由于本发明仅在接入网关到基站之间的Key ChangeDirective消息中增加了鉴权失败操作码参数,所以无需修改空口协议,因此不会对终端设备的实现造成任何影响。
另外,根据本发明的终端设备鉴权方法,当鉴权失败时,可以由鉴权功能实体决定释放用户还是重新开始EAP重鉴权,对于后者,由于无需释放用户,可以避免用户重新接入所需要的部分重复的网络流程。从而,可以缩短用户因鉴权失败导致的业务中断时间,提高了用户在网的稳定性和可靠性。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (8)
1.一种终端设备鉴权方法,其特征在于,包括以下步骤:
S202,鉴权功能实体为终端设备进行鉴权;
S204,在鉴权失败的情况下,所述鉴权功能实体向基站发送包含鉴权失败操作指示的消息,所述鉴权失败操作指示的信息中至少包括鉴权结果和鉴权失败操作码,其中,鉴权失败操作码指示所述基站为所述终端设备发起网络退出流程,或者指示所述基站等待下一轮的EAP鉴权;以及
S206,所述基站根据所述鉴权失败操作指示,进行下一步处理。
2.根据权利要求1所述的终端设备鉴权方法,其特征在于,在所述步骤S202中,所述鉴权功能实体通过基站来发起对所述终端设备的鉴权。
3.根据权利要求1所述的终端设备鉴权方法,其特征在于,在所述步骤S202中,所述终端设备请求所述鉴权功能实体为其进行鉴权。
4.根据权利要求1至3中任一项所述的终端设备鉴权方法,其特征在于,所述步骤S202包括以下步骤:
S2022,所述鉴权功能实体通过所述基站向所述终端设备发送鉴权发起消息;
S2024,所述终端设备收到所述鉴权发起消息后,通过所述基站向所述鉴权功能实体发送鉴权响应消息;
S2026,所述鉴权功能实体根据所述鉴权响应消息,通知鉴权授权计费实体对所述终端设备进行鉴权。
5.根据权利要求4所述的终端设备鉴权方法,其特征在于,在所述步骤S206中,所述基站根据所述鉴权失败操作指示,发起所述终端设备的网络退出流程或等待所述终端设备或所述鉴权功能实体发起下一轮鉴权。
6.根据权利要求5所述的终端设备鉴权方法,其特征在于,所述终端设备鉴权方法采用EAP鉴权方式。
7.根据权利要求6所述的终端设备鉴权方法,其特征在于,所述终端设备鉴权方法用于宽带无线接入系统中。
8.根据权利要求6所述的终端设备鉴权方法,其特征在于,所述终端设备鉴权方法用于WiMAX系统中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101115712A CN101330384B (zh) | 2007-06-19 | 2007-06-19 | 终端设备鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101115712A CN101330384B (zh) | 2007-06-19 | 2007-06-19 | 终端设备鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101330384A CN101330384A (zh) | 2008-12-24 |
| CN101330384B true CN101330384B (zh) | 2011-12-07 |
Family
ID=40205994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101115712A Expired - Fee Related CN101330384B (zh) | 2007-06-19 | 2007-06-19 | 终端设备鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101330384B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11496473B2 (en) | 2014-10-17 | 2022-11-08 | Advanced New Technologies Co., Ltd. | Systems and methods for interaction among terminal devices and servers |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860865A (zh) * | 2009-04-10 | 2010-10-13 | 中兴通讯股份有限公司 | 二次接入实现方法和装置 |
| WO2020041933A1 (en) * | 2018-08-27 | 2020-03-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for a secure connection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1283062C (zh) * | 2004-06-24 | 2006-11-01 | 华为技术有限公司 | 无线局域网用户实现接入认证的方法 |
| CN1294722C (zh) * | 2004-09-23 | 2007-01-10 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
-
2007
- 2007-06-19 CN CN2007101115712A patent/CN101330384B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1283062C (zh) * | 2004-06-24 | 2006-11-01 | 华为技术有限公司 | 无线局域网用户实现接入认证的方法 |
| CN1294722C (zh) * | 2004-09-23 | 2007-01-10 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2006-252016A 2006.09.21 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11496473B2 (en) | 2014-10-17 | 2022-11-08 | Advanced New Technologies Co., Ltd. | Systems and methods for interaction among terminal devices and servers |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101330384A (zh) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101150857B (zh) | 用于松散耦合互操作的基于证书的认证授权计费方案 | |
| EP3657894B1 (en) | Network security management method and apparatus | |
| JP5572314B2 (ja) | 無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法 | |
| CN1765082B (zh) | 利用动态认证信息的快速重鉴权 | |
| RU2326429C2 (ru) | Аутентификация в системе связи | |
| US7962123B1 (en) | Authentication of access terminals in a cellular communication network | |
| CN1859614B (zh) | 一种无线传输的方法、装置和系统 | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| US8150317B2 (en) | Method and system for managing mobility of an access terminal in a mobile communication system using mobile IP | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| CN101919278A (zh) | 使用数字证书的无线设备认证 | |
| CN101432717A (zh) | 用于实现快速再认证的系统和方法 | |
| CN101478753A (zh) | Wapi终端接入ims网络的安全管理方法及系统 | |
| WO2005083910A1 (en) | Method and apparatus for access authentication in wireless mobile communication system | |
| CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
| CN101536436B (zh) | 网络侧支持移动ip增强能力的通知方法 | |
| CA2690017C (en) | A method for releasing a high rate packet data session | |
| CN109906624A (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
| US20060205386A1 (en) | Method and apparatus for providing encryption and integrity key set-up | |
| TW564627B (en) | System and method for authentication in public networks | |
| CN103402201B (zh) | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 | |
| CN101330384B (zh) | 终端设备鉴权方法 | |
| CN100361436C (zh) | 在移动终端和服务器之间执行相互认证的系统和方法 | |
| KR101208722B1 (ko) | 무선 액세스 네트워크에서 폐쇄 그룹에 액세스하는 방법 | |
| CN101925058A (zh) | 一种身份认证的方法、系统和鉴别器实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111207 Termination date: 20160619 |