CN101610507A - 一种接入3g-wlan互联网络的方法 - Google Patents
一种接入3g-wlan互联网络的方法 Download PDFInfo
- Publication number
- CN101610507A CN101610507A CNA2009100692764A CN200910069276A CN101610507A CN 101610507 A CN101610507 A CN 101610507A CN A2009100692764 A CNA2009100692764 A CN A2009100692764A CN 200910069276 A CN200910069276 A CN 200910069276A CN 101610507 A CN101610507 A CN 101610507A
- Authority
- CN
- China
- Prior art keywords
- wlan
- information
- authentication
- key
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种接入3G-WLAN互联网络的方法,该方法包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法,并采用1-15个具体执行步骤;该方法基于WLAN和WCDMA互连的松耦合方式下的认证协议,利用离线计费机制的快速认证协议和重认证过程的局部化认证,可避免潜在的Re-direction攻击行为,有效地减少移动用户漫游切换时的时延,是一种实现安全和快速的接入3G-WLAN互联网的方法。
Description
技术领域
本发明涉及一种互联网络接入技术,具体为一种可以快速安全接入3G-WLAN互联网络的方法。
背景技术
随着全球通信业的发展和普及,3G无线网络已逐渐成为市场的新技术主流,而WLAN作为3G网络在热点地区的宽带接入方式也成为一种高效的应用模式。3GPP针对WCDMA与WLAN互连提出了两种完全不同的方案,分别称做“紧耦合互连”和“松耦合互连”。将WLAN无线接口作为WCDMA的承载者,所有WLAN都要通过WCDMA核心网,但是重新配置过于复杂,费用也太过昂贵,导致紧耦合互连技术缺乏竞争力。松耦合互连技术或机制允许WLAN绕过WCDMA核心网和接口,通过WLAN网关直接接入核心IP网络。这种连接机制将WLAN和WCDMA数据链路完全分开,避免了修改链路层。在松耦合互连技术中,仅需要WCDMA执行认证方法,在链路层上通过扩展认证协议和AAA进行认证。松耦合互连技术的优点是融合网络的结构非常简单。
与本发明相关的现有技术是:3GPP为3G-WLAN互联网络提出了一个扩展认证密钥协商协议(EAP-AKA)(该协议流程图参见图1)。由于EAP-AKA协议在认证过程中没有对WLAN访问网络的身份进行验证,所以可能存在因假冒WLANAN而导致的Re-direction攻击行为,使移动用户接入到费用较高的网络或安全性较低的网络。EAP-AKA协议的重认证过程要求认证消息必须发送到移动用户归属的网络,才能实现对移动用户的认证、授权和计费。这样对移动用户在WLAN网络中的漫游、切换和密钥更新等行为带来较大的时延,也会影响对移动用户服务的连续性和移动性。概言之,现有技术互联网接入方法的缺点是:1.存有潜在的Re-direction攻击行为;2.重认证过程时延较长。
发明内容
针对现有技术的缺点,本发明拟解决的技术问题是,提供一种接入3G-WLAN互联网络的方法。该方法基于WLAN和WCDMA互连的松耦合方式下的认证协议,利用离线计费机制的快速认证协议和重认证过程的局部化认证,可避免潜在的Re-direction攻击行为,有效地减少移动用户漫游切换时的时延,是一种实现安全和快速的接入3G-WLAN互联网的方法。
本发明解决所述技术问题的技术方案是:设计一种接入3G-WLAN互联网络的方法,该方法包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法,并采用以下执行步骤:
1.WLAN-UE与WLAN访问网络协商接入链接,并建立WLAN的无线访问链接;
2.WLAN AN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息;
3.WLAN-UE回应EAP响应消息;
4.WLAN AN收到EAP的身份响应消息后,将该消息转发给3G AAA服务器;
5.3G AAA服务器首先搜索自身是否存有与该身份响应消息相应的认证所需的密钥材料?如果没有,则将WLAN-UE的身份响应消息发送给该移动用户的归属位置寄存器HSS/HLR;
6.归属位置寄存器HSS/HLR收到WLAN-UE的身份响应消息后,利用与该移动用户共享的密钥生成若干个认证向量VI,并将该用户的授权信息、认证向量信息以及新的临时身份信息一同发送给3G AAA服务器;所述临时身份信息为一个随机数或一个新的重认证ID;
7.3GAAA服务器根据移动用户授权使用WLAN网络的信息,随机选择一个认证向量发送给WLANAN;
8.WLAN AN收到第7步所述的信息后,选择一个随机数NONCEAN附加到所述信息中,构造成新消息;
9.WLAN AN把构造的新消息发送给WLAN-UE;
10.WLAN-UE接收到AKA挑战信息后,在USIM中运行UMTS的算法,验证AUTH是否正确?如果错误,就中止认证过程;如果验证通过,就利用UMTS算法和预先共享K3G,MS密钥计算RES、IK和CK,然后验证MAC的正确性,并保存新的身份信息;
11.WLAN-UE将RES作为AKA的响应消息,计算消息摘要MAC和计费令牌Token,选择一个随机数NONCEUE,并计算UMAC=HMAC(K3G,MS,NonceAN||NonceUE||IDAN),然后将RES、NONCEAN、NONCEUE、MAC、UMAC和Token构成EAP响应消息,并发送给WLAN AN;
12.WLAN AN收到第11步所述的EAP响应消息后,保留其中的计费令牌Token,然后将其余的该响应消息发送给3G网络;
13.3G网络收到第12步所述的响应消息后,验证MAC的正确性,检验RES是否与相应的XRES相等?相等则通过了对WLAN-UE的身份认证;利用接收到的NONCEAN和NONCEUE验证UMAC的正确性,通过就说明WLANAN的身份是正确的,然后将关于WLAN UE的所有认证向量全部发送给WLANAN;
14.WLAN AN收到所有认证向量后,利用当前认证向量中的IK和CK计算新的密钥材料,为发送消息提供安全保护,并对新的身份信息进行机密性和完整性保护,验证了计费令牌Token的正确性后,发送EAP成功消息给WLAN UE;
15.WLAN AN根据计费结算需要,发送该移动用户的计费令牌给3G网络,进行计费与结算。
与现有技术相比,本发明接入方法主要是针对WLAN和WCDMA互连的松耦合方式下的认证协议进行分析,提出了一种利用离线计费机制的快速认证协议。本发明接入方法具有以下特征:1.采用了快速签名机制对WLANAN身份的认证技术,可以防止Re-direction潜在攻击的发生,提高了网络互连的安全性;2.利用HMAC和共享密钥实现快速的二次签名技术,可以实现移动用户离线计费的功能,提高了网络效率,节约了网络资源;3.在WLAN网络内局部化地实现对移动用户的重认证过程,可以有效的减少重认证过程的时延,或者说有效的减少了移动用户漫游切换时的时延,提高了互联网接入速度和通讯效率。
附图说明
图1为与本发明认证协议相关的现有技术EAP-AKA协议流程图;
图2为本发明认证协议快速签名机制的流程图;
图3为本发明认证协议快速签名的计费过程流程图;
图4为本发明认证协议的LFSA协议认证流程图;
图5为本发明认证协议的LFSA协议重认证消息流程图。
具体实施方式
下面结合实施例及其附图进一步叙述本发明:
本发明设计的接入3G-WLAN互联网络的方法(简称接入方法,参见图1-5),包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法。
本发明接入方法采用如下执行流程或步骤(参见图4):
1.WLAN-UE与WLAN访问网络协商接入链接,并建立WLAN的无线访问链接,并利用IEEE 802.11i安全机制来保护WLAN的无线链路的安全;
2.WLAN AN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息,该身份信息可以是WLAN-UE的临时身份(或一个随机数NONCEUE),也可以是WLAN-UE的永久身份标识IMSI;
3.WLAN-UE回应EAP身份响应消息,包含了NAI格式的身份信息,该身份信息可以是一个随机数NONCEUE,也可以是IMSI;
4.WLANAN收到EAP的身份响应消息后,将该消息转发给3GAAA服务器;
5.3G AAA服务器首先搜索自身是否存有与该身份响应消息相应的认证所需的密钥材料?如果没有,则将WLAN-UE的身份响应消息发送给该移动用户的归属位置寄存器HSS/HLR,完成WLAN UE与3G网络的双向认证;
6.归属位置寄存器HSS/HLR收到WLAN-UE的身份响应消息后,利用与该移动用户共享的密钥生成若干个认证向量VI,并将该用户的授权信息、认证向量信息以及新的临时身份信息等一同发送给3G AAA服务器;所述的临时身份信息是指一个随机数NONCEUE或一个新的重认证ID;
7.3G AAA服务器根据移动用户的授权使用WLAN网络的信息,随机选择一个认证向量发送给WLAN AN;
8.WLAN AN收到第7步所述的信息即AKA挑战信息后,选择一个随机数NONCEAN附加到该信息中,构造成新消息;
9.WLAN AN把构造的新消息发送给WLAN-UE;
10.WLAN-UE接收到AKA挑战信息后,在USIM中运行UMTS算法,验证AUTH响应是否正确?如果错误就中止认证过程(没有显示在本例子中);如果验证通过,就利用UMTS算法和预先共享密钥K3G,MS计算RES、IK、CK和其他密钥材料(其他密钥材料为公知的现有技术),然后验证媒体访问控制子层协议(MAC,Media Access Control)消息摘要的正确性,并保存新的身份信息;采用快速签名机制作为离线计费机制实现了WLAN UE对3G的认证;
11.WLAN-UE将RES作为AKA挑战信息的响应消息,计算消息摘要MAC和计费令牌Token,选择一个随机数NONCEUE,并计算UMAC=HMAC(K3G,MS,NonceAN||NonceUE||IDAN),然后将RES、NONCEAN、NONCEUE、MAC、UMAC和Token构成EAP响应消息,并发送给WLAN AN;
12.WLANAN收到第11步所述的EAP响应消息,保留其中的计费令牌Token,然后将其余的响应消息发送给3G网络;
13.3G网络收到第12步所述的响应消息,验证MAC正确性后,检验RES是否与相应的XRES相等?相等则通过了对WLAN-UE的身份认证;利用接收到NONCEAN和NONCEUE验证UMAC的正确性,通过就说明WLAN AN的使用者即WLANAN的身份是正确性,防止重定向身份是正确的,然后将关于WLAN UE的所有认证向量全部发送给WLANAN,实现抗假冒WLAN访问网络的Re-direction攻击,保证接入安全;
14.WLAN AN收到所有认证向量后,利用当前认证向量中的IK和CK计算新的密钥材料,为发送消息提供安全保护,并对新的身份信息进行机密性和完整性保护,验证了Token的正确性后,发送EAP成功消息给WLAN UE。
15.WLAN AN根据计费结算需要,发送该移动用户的计费令牌给3G网络,进行计费与结算。
为解决目前使用的EAP-AKA协议存在的效率和安全问题,本发明接入方法提出了一种新的快速接入3G-WLAN互联网络的认证协议,即LFSA协议,该协议是对EAP-AKA协议的改进,同时结合了快速签名机制的双向认证和离线计费的网络认证协议。进一步说,LFSA协议是一种快速、高效和安全的认证协议,是一种结合了快速签名机制的双向认证和离线计费的网络认证协议。LFSA协议的WLAN AN和3G网络之间采用RADIUS作为底层协议,并在利用IKE协议进行密钥协商,采用IPSec保护消息的机密性和完整性,结合快速签名机制作为离线计费机制,实现了WLAN AN的身份验证;3G用户局部化重认证,有效地提高了3G-WLAN互连网络的接入过程的安全性和效率。所述的底层协议RADIUS为现有技术,是指:Aboba B,Calhoun P.RFC 3579 RADIUS(远程认证拨号用户服务)用于远程认证协议的技术支持文件(EAP)[S].加利福尼亚:IETF,2003(Aboba B,Calhoun P.RFC 3579 RADIUS(RemoteAuthentication Dial In User Service)Support For Extensible AuthenticationProtocol(EAP)[S].Califomia:IETF,2003.)。
本发明接入方法所述的离线的移动用户计费方法(离线计费机制)包括快速签名方法或机制和快速签名计费方法或机制。
本发明采用快速签名机制来实现3G用户的WLAN环境中的离线计费过程。所述快速签名机制的计费信息是由WLAN-UE来生成,并利用实时会话密钥和3G共享密钥对计费信息和自己的身份信息进行快速签名,确保计费信息的完整性和准确性。3G的移动用户在WLAN中使用网络时,需要将自己的身份信息(SI,Subscriber Identity)保密。这个身份信息可以是国际移动用户识别码(IMSI,International Mobile Subscriber Identity)采用哈希(Hash)运算,可防止WLAN管理员获知其身份。3G移动用户与WLAN管理员协商网络使用信息(UI,Usage Information)(如网络计费标准等)。为了防止使用信息泄漏,采用Hash运算进行隐蔽保护。WLAN-UE利用会话密钥进行快速签名,可以让WLAN管理员对计费信息进行验证,但无法获得用户的身份信息。WLAN-UE利用与3G预共享的密钥进行快速签名,可以让3G的管理员验证计费信息,并防止WLAN管理员修改计费信息。
所述快速签名机制包括如下步骤(参见图2):
WLAN-UE要与WLAN管理者协商网络使用信息(如网络计费标准等);将自己的身份信息SI进行Hash后,生成身份信息摘要(SIMD,SubscriberIdentity Message Digest)并对使用信息UI进行Hash后,生成使用信息摘要(UIMD,Usage Information Message Digest);
将SIMD和UIMD拼接成计费信息摘要(POMD,Payment Order MessageDigest),并利用会话密钥KS对POMD进行HMAC计算,生成会话数字签名(Session Digital Signature);
再利用与3G的共享密钥对SDS进行HMAC计算,生成数字签名(DS,Digital Signature),并将该DS作为WLAN-UE给WLAN和3G管理员的计费信息的签名信息。
所述的快速签名计费方法或机制是由WLAN-UE计算签名信息,交给WLAN网络做验证,然后提交给3G网络作为计费信息依据。所述的快所述速签名计费方法执行步骤描述如下(参见图3):
1.利用WLAN UE生成计费签名信息DS后,将(DS||SI||UIMD),以WLANUE和WLAN AN之间的会话密钥KS作为加密密钥,采用AES算法进行加密,生成DE;
2.利用WLAN UE与3G的共享密钥K3G,MS作为加密密钥,将会话密钥KS用AES对称算法进行加密,生成KE;
3.利用WLAN UE将DE、KE、DS、UI和SIMD等信息发送给WLAN AN;
4.利用WLAN AN对UI进行Hash运算,生成UIMD,然后与SIMD合并生成POMD,并利用会话密钥KS对POMD进行AES加密,生成SDS;
5.WLAN管理员核对第4步生成的SDS是否和接收到的SDS相同?如果相同,则验证通过;如果不同,则中断接入认证;
6.当WLAN AN通过了WLAN AN验证后,就将DE和KE信息发送给3G管理员;
7.当3G管理员收到DE和KE信息后,利用共享密钥K3G,MS解密KE信息,获得会话密钥KS,然后利用会话密钥KS解密DE信息获得DS、SI和UIMD;
8.3G管理员将SI进行Hash运算,获得SIMD,并将SIMD与UIMD连接,获得POMD,然后用会话密钥KS对POMD加密,生成SDS,再利用共享密钥K3G,MS对SDS加密,生成DS′;
9.3G管理员验证第8步计算生成的DS′与第7步解密获得的DS是否相同?如果相同,则通过对身份信息SI的使用信息UI的验证;如果不同,则中断接入认证。
本发明接入方法的移动用户在WLAN网络内部进行快速漫游切换时,采用LFSA的快速重认证过程。LFSA的快速重认证过程只需要在WLAN网络内进行局部认证,因而是一种局部化重认证方法,它可以快速高效的实现AP的切换和会话密钥的更新。
本发明接入方法的局部化重认证方法或机制的执行步骤如下(参见图5):
1.WLAN-UE与WLAN访问网络协商接入,并建立WLAN的无线访问链接,并利用IEEE 802.11i安全机制来保护WLAN的无线链路的安全;
2.WLAN AN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息,该身份信息可以是临时身份(或一个随机数NONCEUE),也可以是其永久身份标识IMSI;
3.WLAN-UE回应EAP响应消息,包含了NAI格式的身份信息,该身份信息可能是一个随机数NONCEUE,也可能是IMSI;
4.WLAN AN根据接收到的移动用户的身份信息,检索是否保存有该用户的认证向量等密钥材料,如果没有,则发起一次LFSA全认证过程,如果有,则随即选择一个新的认证向量VI,并计算消息摘要MAC;
5.WLAN AN发送AKA挑战消息给WLAN-UE,其中包含RUND,AUTH和MAC等信息;
6.WLAN-UE收到AKA挑战消息后,在USIM上运行UMTS的算法,验证AUTH和MAC的正确性,然后利用K3G,MS密钥计算新的会话密钥材料;
7.WLAN-UE利用新计算的密钥材料生成RES和消息摘要MAC,计算计费令牌Token,然后构成AKA响应消息发送给WLAN AN;
8.WLAN AN收到响应消息后,验证MAC的正确性,然后检验RES与相应的XRES是否相等?如果相等,则通过对该移动用户的认证,保留计费令牌Token,并验证Token的正确性;
9.WLAN AN验证了计费令牌Token的正确性后,就发送EAP认证成功的消息给WLAN-UE;
10.WLAN AN根据计费需求,发送Token提交消息给3G网络进行费用的计费与结算。
本发明接入方法当WLAN-UE在不同的WLAN网络之间进行漫游切换的时候,由于临时的会话密钥都已分配给了旧的WLAN AN,所以在接入新的WLAN网络时,需要进行一次LFSA的全认证过程。在全认证过程中,新的WLAN AN会从3G AAA服务器处获得新的会话密钥材料和身份信息等,为WLAN-UE在新的WLAN网络中移动漫游提供快速认证功能。
需要说明的是,本发明对所涉及的WCDMA中的密码算法没有进行修改,为现有技术,因此在前面的叙述中,计算会话密钥和消息认证码时,未提及具体的密码算法。
本发明未述及之处适用于现有技术。
本发明针对3G-WLAN互连网络给出了一个高效安全的接入方法,该接入方法使3G移动用户在WLAN网络中能够更加快捷安全地漫游切换。由于采用共享密钥对网络使用信息进行快速签名,节省了WLAN UE的资源消耗,便于移动终端的使用。对WLAN访问网络的身份验证,抵御了Re-direction可能的攻击行为。WLAN网络的局部化认证,有效地减少了重认证过程中消息的传送时延,使移动用户的漫游切换更加平滑。
Claims (3)
1、一种接入3G-WLAN互联网络的方法,该方法包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法,并采用以下执行步骤:
(1).WLAN-UE与WLAN访问网络协商接入链接,并建立WLAN的无线访问链接;
(2).WLANAN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息;
(3).WLAN-UE回应EAP身份响应消息;
(4).WLAN AN收到EAP身份响应消息后,将该消息转发给3G AAA服务器;
(5).3G AAA服务器首先搜索自身是否存有与该身份响应消息相应的认证所需的密钥材料?如果没有,则将WLAN-UE的身份响应消息发送给该移动用户的归属位置寄存器HSS/HLR;
(6).归属位置寄存器HSS/HLR收到WLAN-UE的身份响应消息后,利用与该移动用户共享的密钥生成认证向量VI,并将该用户的授权信息、认证向量信息以及新的临时身份信息一同发送给3G AAA服务器;所述临时身份信息为一个随机数或一个新的重认证ID;
(7).3G AAA服务器根据移动用户授权使用WLAN网络的信息,随机选择一个认证向量发送给WLAN AN;
(8).WLANAN收到第7步所述的信息后,选择一个随机数NONCEAN附加到所述信息中,构造成新消息;
(9).WLANAN把构造的新消息发送给WLAN-UE;
(10).WLAN-UE接收到AKA挑战信息后,在USIM中运行UMTS算法,验证AUTH是否正确?如果错误,中止认证过程;如果验证通过,就利用UMTS算法和预先共享K3G,MS密钥计算RES、IK和CK,然后验证MAC的正确性,并保存新的身份信息;
(11).WLAN-UE将RES作为AKA的响应消息,计算消息摘要MAC和计费令牌Token,选择一个随机数NONCEUE,并计算UMAC=HMAC(K3G,MS,NonceAN||NonceUE||IDAN),然后将RES、NONCEAN、NONCEUE、MAC、UMAC和Token构成EAP响应消息,并发送给WLAN AN;
(12).WLANAN收到第11步所述的EAP响应消息后,保留其中的计费令牌Token,然后将其余的该响应消息发送给3G网络;
(13).3G网络收到第12步所述的响应消息后,验证MAC的正确性,检验RES是否与相应的XRES相等?相等则通过了对WLAN-UE的身份认证;利用接收到的NONCEAN和NONCEUE验证UMAC的正确性,通过就说明WLAN AN的身份是正确的,然后将关于WLAN UE的所有认证向量全部发送给WLANAN;
(14).WLAN AN收到所有认证向量后,利用当前认证向量中的IK和CK计算新的密钥材料,为发送消息提供安全保护,并对新的身份信息进行机密性和完整性保护,验证了计费令牌Token的正确性后,发送EAP成功消息给WLAN UE;
(15).WLAN AN根据计费结算需要,发送该移动用户的计费令牌给3G网络,进行计费与结算。
2、根据权利要求1所述的接入3G-WLAN互联网络的方法,其特征在于所述离线的移动用户计费方法包括快速签名方法和快速签名计费方法,所述快速签名机制包括如下步骤:
WLAN-UE要与WLAN管理者协商网络使用信息;将自己的身份信息进行Hash运算后,生成身份信息摘要SIMD,并对使用信息UIMD进行Hash运算后,生成使用信息摘要;
将SIMD和UIMD拼接成计费信息摘要POMD,并利用会话密钥KS对POMD进行HMAC计算,生成会话数字签名;
再利用与3G的共享密钥对SDS进行HMAC计算,生成数字签名DS,并将该DS作为WLAN-UE给WLAN和3G管理员的计费信息的签名信息;
所述的快速签名计费方法执行步骤如下:
(1).利用WLAN UE生成计费签名信息DS后,将(DS||SI||UIMD),以WLAN UE和WLAN AN之间的会话密钥KS作为加密密钥,采用AES算法进行加密,生成DE;
(2).利用WLAN UE与3G的共享密钥K3G,MS作为加密密钥,将会话密钥KS用AES对称算法进行加密,生成KE;
(3).利用WLAN UE将DE、KE、DS、UI和SIMD信息发送给WLANAN;
(4).利用WLAN AN对UI进行Hash运算,生成UIMD,然后与SIMD合并生成POMD,并利用会话密钥KS对POMD进行AES加密,生成SDS;
(5).WLAN管理员核对第4步生成的SDS是否和接收到的SDS相同?如果相同,则验证通过;如果不同,则中断接入认证;
(6).当WLANAN通过了WLANAN验证后,就将DE和KE信息发送给3G管理员;
(7).当3G管理员收到DE和KE信息后,利用共享密钥K3G,MS解密KE信息,获得会话密钥KS,然后利用会话密钥KS解密DE信息获得DS、SI和UIMD;
(8).3G管理员将SI进行Hash运算,获得SIMD,并将SIMD与UIMD连接,获得POMD,然后用会话密钥KS对POMD加密,生成SDS,再利用共享密钥K3G,MS对SDS加密,生成DS′;
(9).3G管理员验证第8步计算生成的DS′与第7步解密获得的DS是否相同?如果相同,则通过对身份信息SI的使用信息UI的验证;如果不同,则中断接入认证。
3、根据权利要求1所述的接入3G-WLAN互联网络的方法,其特征在于所述的局部化重认证方法执行步骤如下:
(1).WLAN-UE与WLAN访问网络协商接入,并建立WLAN的无线访问链接;
(2).WLAN AN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息;
(3).WLAN-UE回应EAP身份响应消息;
(4).WLANAN根据接收到的移动用户的身份响应信息,检索是否保存有该用户的认证向量等密钥材料,如果没有,则发起一次LFSA全认证过程,如果有,则随即选择一个新的认证向量VI,并计算消息摘要MAC;
(5).WLAN AN发送AKA挑战消息给WLAN-UE,其中包含RUND,AUTH和MAC信息;
(6).WLAN-UE收到AKA挑战消息后,在USIM上运行UMTS的算法,验证AUTH和MAC的正确性,然后利用K3G,MS密钥计算新的会话密钥材料;
(7).WLAN-UE利用新计算的密钥材料生成RES和消息摘要MAC,计算计费令牌Token,然后构成AKA响应消息发送给WLAN AN;
(8).WLANAN收到响应消息后,验证MAC的正确性,然后检验RES与相应的XRES是否相等?如果相等,则通过对该移动用户的认证,保留计费令牌Token,并验证Token的正确性;
(9).WLAN AN验证了计费令牌Token的正确性后,就发送EAP认证成功的消息给WLAN-UE;
(10).WLAN AN根据计费需求,发送Token提交消息给3G网络进行费用的计费与结算。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009100692764A CN101610507A (zh) | 2009-06-16 | 2009-06-16 | 一种接入3g-wlan互联网络的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009100692764A CN101610507A (zh) | 2009-06-16 | 2009-06-16 | 一种接入3g-wlan互联网络的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101610507A true CN101610507A (zh) | 2009-12-23 |
Family
ID=41484038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2009100692764A Pending CN101610507A (zh) | 2009-06-16 | 2009-06-16 | 一种接入3g-wlan互联网络的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101610507A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055589A (zh) * | 2011-01-27 | 2011-05-11 | 北京傲天动联技术有限公司 | 用户认证的方法和系统 |
WO2011127732A1 (zh) * | 2010-04-13 | 2011-10-20 | 中兴通讯股份有限公司 | 下一代网络中多接入认证方法及系统 |
CN102595405A (zh) * | 2012-01-21 | 2012-07-18 | 华为技术有限公司 | 一种网络接入的认证方法、系统和设备 |
WO2012151933A1 (zh) * | 2011-07-27 | 2012-11-15 | 中兴通讯股份有限公司 | 自有业务认证方法及系统 |
CN103609154A (zh) * | 2012-06-08 | 2014-02-26 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
CN111726804A (zh) * | 2015-06-05 | 2020-09-29 | 康维达无线有限责任公司 | 用于集成小型小区和Wi-Fi网络的统一认证 |
CN112260987A (zh) * | 2020-09-10 | 2021-01-22 | 西安电子科技大学 | 一种数字内容保护系统中双向安全认证方法及系统 |
WO2022135382A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
-
2009
- 2009-06-16 CN CNA2009100692764A patent/CN101610507A/zh active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011127732A1 (zh) * | 2010-04-13 | 2011-10-20 | 中兴通讯股份有限公司 | 下一代网络中多接入认证方法及系统 |
US8949944B2 (en) | 2010-04-13 | 2015-02-03 | Zte Corporation | Method and system for multi-access authentication in next generation network |
CN102055589B (zh) * | 2011-01-27 | 2012-11-21 | 北京傲天动联技术有限公司 | 用户认证的方法和系统 |
CN102055589A (zh) * | 2011-01-27 | 2011-05-11 | 北京傲天动联技术有限公司 | 用户认证的方法和系统 |
WO2012151933A1 (zh) * | 2011-07-27 | 2012-11-15 | 中兴通讯股份有限公司 | 自有业务认证方法及系统 |
CN102595405A (zh) * | 2012-01-21 | 2012-07-18 | 华为技术有限公司 | 一种网络接入的认证方法、系统和设备 |
CN103609154A (zh) * | 2012-06-08 | 2014-02-26 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
CN103609154B (zh) * | 2012-06-08 | 2017-08-04 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
CN111726804A (zh) * | 2015-06-05 | 2020-09-29 | 康维达无线有限责任公司 | 用于集成小型小区和Wi-Fi网络的统一认证 |
US11032706B2 (en) * | 2015-06-05 | 2021-06-08 | Convida Wireless, Llc | Unified authentication for integrated small cell and Wi-Fi networks |
US11818566B2 (en) | 2015-06-05 | 2023-11-14 | Ipla Holdings Inc. | Unified authentication for integrated small cell and Wi-Fi networks |
CN112260987A (zh) * | 2020-09-10 | 2021-01-22 | 西安电子科技大学 | 一种数字内容保护系统中双向安全认证方法及系统 |
WO2022135382A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
EP1897268B1 (en) | Method for refreshing a pairwise master key | |
US7624267B2 (en) | SIM-based authentication method capable of supporting inter-AP fast handover | |
CN101371491B (zh) | 提供无线网状网络的方法和装置 | |
CN102118387B (zh) | 无线通信装置与服务器之间的数据安全事务的系统和方法 | |
US8385549B2 (en) | Fast authentication between heterogeneous wireless networks | |
CN101610507A (zh) | 一种接入3g-wlan互联网络的方法 | |
CN102823282B (zh) | 用于二进制cdma的密钥认证方法 | |
Fu et al. | A fast handover authentication mechanism based on ticket for IEEE 802.16 m | |
CN103096311A (zh) | 家庭基站安全接入的方法及系统 | |
CN101114957A (zh) | 无线局域网中的快速切换方法及系统 | |
CN101695165A (zh) | 切换方法、装置和系统 | |
CN101009910A (zh) | 在无线网络中实现扩展认证协议认证的方法及装置 | |
CN103096307A (zh) | 密钥验证方法及装置 | |
US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
CN101436931B (zh) | 无线通信系统中提供安全通信的方法、系统、基站与中继站 | |
CN101616407A (zh) | 预认证的方法和认证系统 | |
CN101420695A (zh) | 一种基于无线局域网的3g用户快速漫游认证方法 | |
CN101114958A (zh) | WiMAX系统中实现移动IP密钥更新的方法 | |
CN101742492B (zh) | 密钥处理方法及系统 | |
Kumar et al. | A secure, efficient and lightweight user authentication scheme for wireless LAN | |
CN101668289B (zh) | 无线通信系统中空口密钥更新的方法及系统 | |
Lim et al. | A secure handover protocol design in wireless networks with formal verification | |
Ameur et al. | Secure Reactive Fast Proxy MIPv6-Based NEtwork MObility (SRFP-NEMO) for Vehicular Ad-hoc Networks (VANETs). |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091223 |