CN102355658A - 鉴权参数更新方法、装置和系统 - Google Patents
鉴权参数更新方法、装置和系统 Download PDFInfo
- Publication number
- CN102355658A CN102355658A CN201110177474XA CN201110177474A CN102355658A CN 102355658 A CN102355658 A CN 102355658A CN 201110177474X A CN201110177474X A CN 201110177474XA CN 201110177474 A CN201110177474 A CN 201110177474A CN 102355658 A CN102355658 A CN 102355658A
- Authority
- CN
- China
- Prior art keywords
- chap
- terminal
- aaa
- authentication
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供鉴权参数更新方法、装置和系统,涉及通信技术领域。用于机卡一体终端的参数更新方法,包括:终端与网关设备建立会话;网关设备接收终端发起的第一次PPP流程,当鉴权参数需要初始化或更新时,网关设备通过与AAA设备的交互,向终端发送CHAP认证失败消息,终端生成终端侧CHAP SS;网关设备接收终端发起的第二次PPP流程,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,同时终端利用终端侧CHAP SS更新终端的存储区;网关设备接收终端发起的第三次PPP流程,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战,AAA设备利用AAA侧CHAP SS对终端进行鉴权以完成鉴权参数的初始化或更新。本发明能够解决机卡一体终端的鉴权参数的初始化及更新问题。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种鉴权参数更新方法、装置和系统。
背景技术
对于码分多址(CDMA)机卡一体终端,由于终端不设用户识别模块(UIM)卡,用户数据及网络数据都是存储在终端上的,因此终端在入网放号时,运营商需要将相关的用户及网络参数写入终端存储器,以使终端能顺利接入网络。目前常用的一种方法是手工写入参数,即通过某些专用工具,将终端的相关参数写入终端相关存储区域,同时相应的更新网络中各网元存储的数据,包括归属位置寄存器(HLR)、认证/授权/计费(AAA)设备、接入网AAA(AN-AAA)设备等。另一种方法是空中下载(OTA)写入。通过OTA方式,可以在线的同步更新终端及网络设备上存储的用户及网络参数,诸如A-Key、国际移动用户识别码(IMSI)、系统识别码(SID)/网络识别码(NID)、优选漫游列表(PRL)等。另外还有终端接入3G网络所需的接入鉴权参数高速分组数据用户配置参数(HRPD UPP)和高速分组数据共享密钥(HRPDSS),以及发起简单互联网协议(SIP)业务实现上网时所需的点到点协议(PPP)鉴权参数简单互联网协议用户配置参数(SIP UPP)和简单互联网协议共享密钥(SIP SS)等。虽然3GPP2的OTA标准在C.S0016-B以后的版本都支持对这些参数(如3GPD)的在线更新,但由于目前大多终端并不支持,因此目前的OTA网络设备及终端的相关功能都无法实现。因此需要提供一种方法,解决对HRPD UPP/SS及SIP UPP/SS参数的在线初始化及更新。由于HRPP UPP及SIP UPP参数中的网络访问标识符(NAI)主要与用户的IMSI相关,终端上用户的IMSI确定后,终端上的NAI基本上也确定,因此,主要需解决HRPD SS及SIP SS的初始化及更新问题。
发明内容
本发明的目的是提出一种鉴权参数更新方法、装置和系统,以解决机卡一体终端的鉴权参数的初始化及更新问题。
为实现上述目的,本发明提供了一种用于机卡一体终端的参数更新方法,包括:终端与网关设备建立会话;网关设备接收终端发起的第一次点对点协议(PPP)流程,当鉴权参数需要初始化或更新时,网关设备通过与认证/授权/计费(AAA)设备的交互,向终端发送握手认证协议(CHAP)认证失败消息,在第一次PPP流程中,终端生成终端侧握手认证协议共享密钥(CHAP SS);网关设备接收终端发起的第二次PPP流程,在第二次PPP流程中,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,同时终端利用终端侧CHAP SS更新终端的存储区;网关设备接收终端发起的第三次PPP流程,在第三次PPP流程中,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战,AAA设备利用AAA侧CHAP SS对终端进行鉴权以完成鉴权参数的初始化或更新。
在一个实施例中,第一次PPP流程包括:网关设备与终端进行链路控制协议(LCP)协商,协商鉴权方式为CHAP鉴权;网关设备向终端发起CHAP挑战;网关设备接收终端返回的CHAP响应消息,CHAP响应消息携带预设标识,标识终端的鉴权参数的初始化情况;根据CHAP响应消息,网关设备向AAA设备发送远程用户拨号认证系统(RADIUS)接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息携带预设标识;当RADIUS接入请求消息中包含终端的鉴权参数未初始化的预设标识,或AAA设备中标识终端的鉴权参数需更新时,AAA设备向网关设备发送接入拒绝消息,接入拒绝消息中携带AAA侧CHAP SS生成参数;网关设备根据接入拒绝消息,向终端发送CHAP认证失败消息,CHAP认证失败消息中携带AAA侧CHAP SS生成参数;终端根据CHAP认证失败消息,生成终端侧CHAP SS生成参数,并利用接收到的AAA侧CHAP SS生成参数和终端侧CHAP SS生成参数生成终端侧CHAP SS。
在一个实施例中,第二次PPP流程包括:终端与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;网关设备向终端发起CHAP挑战;网关设备接收终端返回的CHAP响应消息,CHAP响应消息携带终端生成的终端侧CHAP SS生成参数;根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息包含终端侧CHAP SS生成参数;AAA设备从RADIUS接入请求消息中提取终端侧CHAP SS生成参数,与AAA设备生成的AAA侧CHAP SS生成参数一起生成AAA侧CHAP SS,并更新AAA设备的数据库信息;AAA设备向网关设备发送接入拒绝消息;网关设备根据接入拒绝消息,向终端发送CHAP认证失败消息;终端根据CHAP认证失败消息,利用终端侧CHAP SS更新终端的存储区。
在一个实施例中,第二次PPP流程还包括:RADIUS接入请求消息中包括终端加密后的随机数,随机数由终端利用AAA设备的公钥进行加密,携带于CHAP响应消息中;AAA设备利用本地的私钥通过解密从RADIUS接入请求消息中获取随机数,并将其通过网关设备发送给终端;终端对收到的随机数进行验证,当收到的随机数与终端生成的随机数相同时,利用终端侧CHAP SS更新终端的存储区。
在一个实施例中,第三次PPP流程包括:终端与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;网关设备向终端发起CHAP挑战;网关设备接收终端返回的CHAP响应消息,CHAP响应消息携带终端利用终端侧CHAP SS生成的CHAP响应值;根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权;AAA设备根据RADIUS接入请求消息,利用AAA侧CHAP SS对终端进行鉴权;通过AAA设备的鉴权后,AAA设备向网关设备发送接入接受消息;网关设备根据接入接受消息,向终端发送CHAP认证成功消息。
在一个实施例中,网关设备为接入网(AN设备)设备,AAA设备为AN-AAA设备,CHAP SS为高速分组数据(HRPD)CHAP SS。
在另一个实施例中,网关设备为分组业务数据节点(PDSN),AAA设备为核心网AAA设备,CHAP SS为简单互联网协议(SIP)CHAPSS。
为实现上述目的,本发明还提供了一种用于机卡一体终端的网络接入装置,包括:会话建立模块,用于与网关设备建立会话;第一次PPP流程处理模块,用于向网关设备发起第一次PPP流程,当鉴权参数需要初始化或更新时,接收网关设备通过与AAA设备的交互后发送的CHAP认证失败消息,在第一次PPP流程中,AAA设备生成AAA侧CHAP SS,终端生成终端侧CHAP SS;第二次PPP流程处理模块,用于向网关设备发起第二次PPP流程,在第二次PPP流程中,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,利用终端侧CHAP SS更新终端的存储区;第三次PPP流程处理模块,用于向网关设备发起第三次PPP流程,利用终端侧CHAP SS响应网关设备发起的CHAP挑战,接收AAA设备利用AAA侧CHAP SS对终端进行的鉴权。
在一个实施例中,第一次PPP流程处理模块,包括:协商单元,用于与网关设备进行LCP协商,协商鉴权方式为CHAP鉴权;接收单元,用于接收网关设备向终端发起的CHAP挑战;响应单元,用于向网关设备返回CHAP响应消息,CHAP响应消息携带预设标识,标识终端的鉴权参数的初始化情况,其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息携带预设标识,当RADIUS接入请求消息中包含终端的鉴权参数未初始化的预设标识,或AAA设备中标识终端的鉴权参数需更新时,AAA设备向网关设备发送接入拒绝消息,接入拒绝消息中携带AAA侧CHAP SS生成参数,接收单元接收网关设备根据接入拒绝消息发送的CHAP认证失败消息,CHAP认证失败消息中携带AAA侧CHAP SS生成参数;生成单元,用于根据CHAP认证失败消息,生成终端侧CHAP SS生成参数,并利用接收到的AAA侧CHAP SS生成参数和终端侧CHAP SS生成参数生成终端侧CHAPSS。
在一个实施例中,第二次PPP流程处理模块,包括:协商单元,用于与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;接收单元,用于接收网关设备向终端发起的CHAP挑战;响应单元,用于向网关设备返回CHAP响应消息,CHAP响应消息携带终端生成的终端侧CHAP SS生成参数,其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息包含终端侧CHAP SS生成参数,AAA设备从RADIUS接入请求消息中提取终端侧CHAP SS生成参数,与AAA设备生成的AAA侧CHAP SS生成参数一起生成AAA侧CHAP SS,并更新AAA设备的数据库信息,AAA设备向网关设备发送接入拒绝消息,接收单元接收网关设备根据接入拒绝消息,发送的CHAP认证失败消息;更新单元,用于根据CHAP认证失败消息,利用终端侧CHAP SS更新终端的存储区。
在一个实施例中,第二次PPP流程处理模块还包括:随机数加密单元,用于产生一个随机数,并利用AAA设备的公钥对随机数进行加密,将加密后的随机数通过CHAP响应消息发送给网关设备,其中,网关设备将包含加密后的随机数的RADIUS接入请求消息发送给AAA设备,AAA设备利用本地的私钥通过解密从RADIUS接入请求消息中获取随机数,并通过网关设备返回给终端;验证单元,用于对从AAA设备获取的随机数进行验证,当收到的随机数与终端生成的随机数相同时,更新单元利用终端侧CHAP SS更新终端的存储区。
在一个实施例中,第三次PPP流程处理模块包括:协商单元,用于与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;接收单元,用于接收网关设备向终端发起的CHAP挑战;响应单元,用于向网关设备返CHAP响应消息,CHAP响应消息携带终端利用终端侧CHAP SS生成的CHAP响应值,其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,AAA设备根据RADIUS接入请求消息,利用AAA侧CHAP SS对终端进行鉴权,通过AAA设备的鉴权后,AAA设备向网关设备发送接入接受消息,接收单元接收网关设备根据接入接受消息发送的CHAP认证成功消息。
为实现上述目的,本发明还提供了一种用于机卡一体终端的参数更新的鉴权装置,包括:接收模块,用于接收网关设备响应终端发起的PPP连接建立请求而发送的接入请求消息,其中,终端与网关设备协商的鉴权方式为CHAP鉴权;第一次PPP流程处理模块,用于在第一次PPP流程中,当鉴权参数需要初始化或更新时,通过网关设备向终端发送CHAP认证失败消息,其中,在第一次PPP流程中,终端生成终端侧CHAP SS;第二次PPP流程处理模块,用于在第二次PPP流程中,生成AAA侧CHAP SS,更新AAA设备的数据库信息,并通过网关设备向终端发送CHAP认证失败消息,其中,在第二次PPP流程中,终端利用终端侧CHAP SS更新终端的存储区;第三次PPP流程处理模块,用于在第三次PPP流程中,利用AAA侧CHAP SS对终端进行鉴权以完成鉴权参数的初始化或更新,其中,在第三次PPP流程中,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战。
为实现上述目的,本发明还提供了一种用于机卡一体终端的参数更新系统,包括:终端,用于发起第一次、第二次和第三次PPP流程;网关设备,用于接收终端发起的第一次、第二次和第三次PPP流程;AAA设备,用于与网关设备进行交互,对终端进行鉴权,其中,在第一次PPP流程中,当鉴权参数需要初始化或更新时,网关设备通过与AAA设备的交互,向终端发送CHAP认证失败消息,在第一次PPP流程中,终端生成终端侧CHAP SS;在第二次PPP流程,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,同时终端利用终端侧CHAP SS更新终端的存储区;在第三次PPP流程中,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战,AAA设备利用AAA侧CHAP SS对终端进行鉴权。
在一个实施例中,网关设备为AN设备,AAA设备为AN-AAA设备,CHAP SS为HRPD CHAP SS。
在一个实施例中,网关设备为PDSN,AAA设备为核心网AAA设备,CHAP SS为SIP CHAP SS。
基于上述技术方案,根据本发明的一个方面,通过网关设备与AAA设备的交互,能够对机卡一体终端的鉴权参数进行更新以及初始化,使机卡一体终端能够顺利实现3G网络的接入。
附图说明
此处所说明的附图用来提供对本发明的进一步解释,构成本发明的一部分。本发明的示意性实施例及其说明仅用于解释本发明,但并不构成对本发明的不当限定。在附图中:
图1为根据本发明实施例的用于机卡一体终端的鉴权参数更新方法的流程图。
图2为根据本发明另一实施例的用于机卡一体终端的鉴权参数更新方法的流程图。
图3为根据本发明又一实施例的用于机卡一体终端的鉴权参数更新方法的流程图。
图4为根据本发明实施例的机卡一体终端的网络接入装置的结构示意图。
图5为根据本发明实施例的第一次PPP流程处理模块的结构示意图。
图6为根据本发明实施例的第二次PPP流程处理模块的结构示意图。
图7为根据本发明实施例的第三次PPP流程处理模块的结构示意图。
图8为根据本发明实施例的用于机卡一体终端的参数更新的鉴权装置的结构示意图。
图9为根据本发明实施例的用于机卡一体终端的参数更新系统的结构示意图。
具体实施方式
下面参照附图对本发明进行更详细的描述,其中说明本发明的示例性实施例。在附图中,相同的标号表示相同或者相似的组件或者元素。
图1为根据本发明实施例的用于机卡一体终端的参数更新方法100的流程图。
在步骤102中,终端与网关设备建立会话。
在步骤104中,网关设备接收终端发起的第一次PPP流程,当鉴权参数需要初始化或更新时,网关设备通过与AAA设备的交互,向终端发送CHAP认证失败消息,在第一次PPP流程中,终端生成终端侧CHAP SS。
在步骤106中,网关设备接收终端发起的第二次PPP流程,在第二次PPP流程中,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,同时终端利用终端侧CHAP SS更新终端的存储区。
在步骤108中,网关设备接收终端发起的第三次PPP流程,在第三次PPP流程中,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战,AAA设备利用AAA侧CHAP SS对终端进行鉴权。终端和AAA设备成功完成CHAP SS的更新(包括初始化),终端成功通过网络(如CDMA 3G网络)的鉴权。
图2为根据本发明另一实施例的用于机卡一体终端的参数更新方法200的流程图。
在步骤202中,终端与AN设备建立会话。
在步骤204中,终端向AN设备发起第一次PPP建立流程。首先,AN设备与终端进行LCP协商,协商鉴权方式为CHAP鉴权。
在步骤206中,AN设备向终端发起CHAP挑战。
在步骤208中,AN设备接收终端返回的CHAP响应消息,CHAP响应消息携带预设标识,标识终端的鉴权参数的初始化情况。其中,预设标识可以通过CHAP响应消息中的“Name”域的特殊标识符标识,如用CHAP响应消息中的“Updated”标识鉴权参数已经初始化或更新,用“Update”标识鉴权参数需要初始化或更新。也可以采用其它标识方式。
在步骤210中,根据CHAP响应消息,AN设备向AN-AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息携带预设标识。具体预设标识可以通过利用RADIUS协议中的厂商自定义(Vendor-Specific)属性实现,一个具体的实施例如下:
其中,Type可以为26,表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为1标识鉴权参数更新“预设标识”,为2标识其它值。Vendor-value可以为本“预设标识”的含义,比如值为1标识“Updated”不需要更新,值为2标识“Update”需要初始化或更新。
在步骤212中,当RADIUS接入请求消息中包含终端的鉴权参数未初始化的预设标识,或AN-AAA设备中标识终端的鉴权参数需更新时,AN-AAA设备向AN设备发送接入拒绝消息,接入拒绝消息中携带AN-AAA侧HRPD CHAP SS生成参数。RADIUS接入拒绝消息中所需携带的AN-AAA侧HRPD CHAP SS生成参数可以参考上述预设标识的实现方式,通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type可以为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为2标识“AN-AAA侧HRPDCHAP SS生成参数”。Vendor-Value可以为本生成参数的具体值。
在步骤214中,AN设备根据接入拒绝消息,向终端发送CHAP认证失败消息,CHAP认证失败消息中携带AN-AAA侧HRPD CHAP SS生成参数。在CHAP认证失败消息中携带的AN-AAA侧HRPD CHAPSS生成参数的具体方式可以参考上述预设标识的实现方式。
在步骤216中,终端根据CHAP认证失败消息,生成终端侧HRPD CHAP SS生成参数,并利用接收到的AN-AAA侧HRPD CHAPSS生成参数和终端侧HRPD CHAP SS生成参数生成终端侧HRPDCHAP SS。
在步骤218中,终端向AN设备发起第二次PPP流程。终端与AN设备发起LCP协商,协商鉴权方式为CHAP鉴权。
在步骤220中,AN设备向终端发起CHAP挑战。
在步骤222中,AN设备接收终端返回的CHAP响应消息,CHAP响应消息携带终端生成的终端侧HRPD CHAP SS生成参数。为了对网络的合法性进行验证,在一个实施例中,终端可以产生一个随机数,并利用AN-AAA设备的公钥加密后一起通过CHAP响应消息发送给AN设备。
在步骤224中,根据CHAP响应消息,AN设备向AN-AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权。RADIUS接入请求消息包含终端侧HRPD CHAP SS生成参数,还可以包含加密后的随机数。RADIUS接入请求消息中所需携带的终端侧HRPD CHAP SS生成参数可通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为3标识“终端侧HRPD CHAPSS生成参数”。Vendor-value可以为本生成参数的具体值。
在步骤226中,AN-AAA设备从RADIUS接入请求消息中提取终端侧HRPD CHAP SS生成参数,与AN-AAA设备生成的AN-AAA侧HRPD CHAP SS生成参数一起生成AN-AAA侧HRPD CHAP SS,并更新AN-AAA设备的数据库信息。如果RADIUS接入请求消息中还包括终端发送的加密后的随机数,则AN-AAA设备利用本地的私钥进行解密获得随机数,一并在RADIUS接入拒绝消息中发送给AN设备。
在步骤228中,AN-AAA设备向AN设备发送接入拒绝消息。RADIUS接入拒绝消息中可携带鉴权参数更新“状态标识”,具体可通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为4标识AAA侧鉴权参数更新“状态标识”。Vendor-value可以为本“状态标识”的含义,值为1标识AAA侧更新成功,值为2标识AAA侧更新失败。
在步骤230中,AN设备根据接入拒绝消息,向终端发送CHAP认证失败消息。CHAP认证失败消息可以包含解密后的随机数。
在步骤232中,终端根据CHAP认证失败消息,利用终端侧HRPD CHAP SS更新终端的存储区。如果消息中包含随机数,则在更新之前对比收到的随机数是否与本地生成并发送给AN设备的随机数相同,当两个随机数相同时才更新终端的存储区。
在步骤234中,终端发起第三次PPP流程,终端与AN设备发起LCP协商,协商鉴权方式为CHAP鉴权。
在步骤236中,AN设备向终端发起CHAP挑战。
在步骤238中,AN设备接收终端返回的CHAP响应消息,CHAP响应消息携带终端利用终端侧HRPD CHAP SS生成的CHAP响应值。
在步骤240中,根据CHAP响应消息,AN设备向AN-AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权。
在步骤242中,AN-AAA设备根据RADIUS接入请求消息,利用AN-AAA侧HRPD CHAP SS对终端进行鉴权。
在步骤244中,通过AN-AAA设备的鉴权后,AN-AAA设备向AN设备发送接入接受消息。
在步骤246中,AN设备根据接入接受消息,向终端发送CHAP认证成功消息。终端和AN-AAA设备成功完成HRPD CHAP SS的更新或初始化,终端成功通过网络(如CDMA 3G网络)的接入鉴权。
图3为根据本发明又一实施例的用于机卡一体终端的参数更新方法300的流程图。
在步骤302中,终端与PDSN建立会话。
在步骤304中,终端向PDSN发起第一次PPP建立流程。首先,PDSN与终端进行LCP协商,协商鉴权方式为CHAP鉴权。
在步骤306中,PDSN向终端发起CHAP挑战。
在步骤308中,PDSN接收终端返回的CHAP响应消息,CHAP响应消息携带预设标识,标识终端的鉴权参数的初始化情况。其中,预设标识可以通过CHAP响应消息中的“Name”域的特殊标识符标识,如用CHAP响应消息中的“Updated”标识鉴权参数已经初始化或更新,用“Update”标识鉴权参数需要初始化或更新。也可以采用其它标识方式。
在步骤310中,根据CHAP响应消息,PDSN向核心网AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息携带预设标识。具体预设标识可以通过利用RADIUS协议中的厂商自定义(Vendor-Specific)属性实现,一个具体的实施例如下:
其中,Type可以为26,表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为1标识鉴权参数更新“预设标识”,为2标识其它值。Vendor-value可以为本“预设标识”的含义,比如值为1标识“Updated”不需要更新,值为2标识“Update”需要初始化或更新。
在步骤312中,当RADIUS接入请求消息中包含终端的鉴权参数未初始化的预设标识,或核心网AAA设备中标识终端的鉴权参数需更新时,核心网AAA设备向PDSN发送接入拒绝消息,接入拒绝消息中携带核心网AAA侧SIP CHAP SS生成参数。RADIUS接入拒绝消息中所需携带的核心网AAA侧SIP CHAP SS生成参数可以参考上述预设标识的实现方式,通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type可以为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为2标识“核心网AAA侧SIPCHAP SS生成参数”。Vendor-value可以为本生成参数的具体值。
在步骤314中,PDSN根据接入拒绝消息,向终端发送CHAP认证失败消息,CHAP认证失败消息中携带核心网AAA侧SIP CHAP SS生成参数。在CHAP认证失败消息中携带的核心网AAA侧SIP CHAP SS生成参数的具体方式可以参考上述预设标识的实现方式。
在步骤316中,终端根据CHAP认证失败消息,生成终端侧SIPCHAP SS生成参数,并利用接收到的核心网AAA侧SIP CHAP SS生成参数和终端侧SIP CHAP SS生成参数生成终端侧SIP CHAP SS。
在步骤318中,终端向PDSN发起第二次PPP流程。终端与PDSN发起LCP协商,协商鉴权方式为CHAP鉴权。
在步骤320中,PDSN向终端发起CHAP挑战。
在步骤322中,PDSN接收终端返回的CHAP响应消息,CHAP响应消息携带终端生成的终端侧SIP CHAP SS生成参数。为了对网络的合法性进行验证,在一个实施例中,终端可以产生一个随机数,并利用核心网AAA设备的公钥加密后一起通过CHAP响应消息发送给PDSN。
在步骤324中,根据CHAP响应消息,PDSN向核心网AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息包含终端侧SIP CHAP SS生成参数,还可以包含加密后的随机数。RADIUS接入请求消息中所需携带的终端侧SIP CHAP SS生成参数可通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为3标识“终端侧SIP CHAP SS生成参数”。Vendor-value可以为本生成参数的具体值。
在步骤326中,PDSN-AAA设备从RADIUS接入请求消息中提取终端侧SIP CHAP SS生成参数,与核心网AAA设备生成的核心网AAA侧SIP CHAP SS生成参数一起生成核心网AAA侧SIP CHAPSS,并更新核心网AAA设备的数据库信息。如果RADIUS接入请求消息中还包括终端发送的加密后的随机数,则核心网AAA设备利用本地的私钥进行解密获得随机数,一并在RADIUS接入拒绝消息中发送给PDSN。
在步骤328中,核心网AAA设备向PDSN发送接入拒绝消息。RADIUS接入拒绝消息中可携带鉴权参数更新“状态标识”,具体可通过利用RADIUS协议中的厂商自定义属性实现,一个具体的实施例如下:
其中,Type为26表示本属性为厂商自定义属性。Vendor-ID可以为厂商标识,例如3GPP2为5535,运营商也可以采用自定义的其它值。Vendor-Type可以为本属性值,如为4标识AAA侧鉴权参数更新“状态标识”。Vendor-value可以为本“状态标识”的含义,值为1标识AAA侧更新成功,值为2标识AAA侧更新失败。
在步骤330中,PDSN根据接入拒绝消息,向终端发送CHAP认证失败消息。CHAP认证失败消息可以包含解密后的随机数。
在步骤332中,终端根据CHAP认证失败消息,利用终端侧SIPCHAP SS更新终端的存储区。如果消息中包含随机数,则在更新之前对比收到的随机数是否与本地生成并发送给PDSN的随机数相同,当两个随机数相同时才更新终端的存储区。
在步骤334中,终端发起第三次PPP流程,终端与PDSN发起LCP协商,协商鉴权方式为CHAP鉴权。
在步骤336中,PDSN向终端发起CHAP挑战。
在步骤338中,PDSN接收终端返回的CHAP响应消息,CHAP响应消息携带终端利用终端侧SIP CHAP SS生成的CHAP响应值。
在步骤340中,根据CHAP响应消息,PDSN向核心网AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权。
在步骤342中,核心网AAA设备根据RADIUS接入请求消息,利用核心网AAA侧SIP CHAP SS对终端进行鉴权。
在步骤344中,通过核心网AAA设备的鉴权后,核心网AAA设备向PDSN发送接入接受消息。
在步骤346中,PDSN根据接入接受消息,向终端发送CHAP认证成功消息。终端和核心网AAA设备成功完成SIP CHAP SS的初始化或更新,终端成功通过网络(如3G网络分组域)的鉴权,建立PPP连接。
图4为根据本发明实施例的机卡一体终端的网络接入装置400的结构示意图。网络接入装置400包括:会话建立模块402、第一次PPP流程处理模块404、第二次PPP流程处理模块406和第三次PPP流程处理模块408。
会话建立模块402,用于与网关设备建立会话。
第一次PPP流程处理模块404,用于向网关设备发起第一次PPP流程,当鉴权参数需要初始化或更新时,接收网关设备通过与AAA设备的交互后发送的CHAP认证失败消息,在第一次PPP流程中生成终端侧CHAP SS。
在一个实施例中,第一次PPP流程处理模块404可以如图5所示,包括:协商单元502、接收单元504、响应单元506和生成单元508。
协商单元502,用于与网关设备进行LCP协商,协商鉴权方式为CHAP鉴权。
接收单元504,用于接收网关设备向终端发起的CHAP挑战。
响应单元506,用于向网关设备返回CHAP响应消息,CHAP响应消息携带预设标识,标识终端的鉴权参数的初始化情况。
其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息携带预设标识,当RADIUS接入请求消息中包含终端的鉴权参数未初始化的预设标识,或AAA设备中标识终端的鉴权参数需更新时,AAA设备向网关设备发送接入拒绝消息,接入拒绝消息中携带AAA侧CHAP SS生成参数,接收单元接收网关设备根据接入拒绝消息发送的CHAP认证失败消息,CHAP认证失败消息中携带AAA侧CHAP SS生成参数。
生成单元508,用于根据CHAP认证失败消息,生成终端侧CHAPSS生成参数,并利用接收到的AAA侧CHAP SS生成参数和终端侧CHAP SS生成参数生成终端侧CHAP SS。
第二次PPP流程处理模块406,用于向网关设备发起第二次PPP流程,在第二次PPP流程中,AAA设备生成AAA侧CHAP SS,并更新AAA设备的数据库信息,利用终端侧CHAP SS更新终端的存储区。
在一个实施例中,第二次PPP流程处理模块406可以如图6所示,包括:协商单元602、接收单元604、响应单元606、更新单元608、随机数加密单元610和验证单元612。
协商单元602,用于与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权。
接收单元604,用于接收网关设备向终端发起的CHAP挑战。
响应单元606,用于向网关设备返CHAP响应消息,CHAP响应消息携带终端生成的终端侧CHAP SS生成参数。
其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,RADIUS接入请求消息包含终端侧CHAP SS生成参数,AAA设备从RADIUS接入请求消息中提取终端侧CHAP SS生成参数,与AAA设备生成的AAA侧CHAP SS生成参数一起生成AAA侧CHAP SS,并更新AAA设备的数据库信息,AAA设备向网关设备发送接入拒绝消息,接收单元接收网关设备根据接入拒绝消息,发送的CHAP认证失败消息。
更新单元608,用于根据CHAP认证失败消息,利用终端侧CHAPSS更新终端的存储区。
随机数加密单元610,用于产生一个随机数,并利用AAA设备的公钥对随机数进行加密,将加密后的随机数通过CHAP响应消息发送给网关设备。
其中,网关设备将包含加密后的随机数的RADIUS接入请求消息发送给AAA设备,AAA设备利用本地的私钥通过解密从RADIUS接入请求消息中获取随机数,并通过网关设备返回给终端。
验证单元612,用于对从AAA设备获取的随机数进行验证,当收到的随机数与终端生成的随机数相同时,更新单元608利用终端侧CHAP SS更新终端的存储区。
第三次PPP流程处理模块408,用于向网关设备发起第三次PPP流程,利用终端侧CHAP SS响应网关设备发起的CHAP挑战,接收AAA设备利用AAA侧CHAP SS对终端进行的鉴权。
在一个实施例中,第三次PPP流程处理模块408可以如图7所示,包括:协商单元702、接收单元704和响应单元706。
协商单元702,用于与网关设备发起LCP协商,协商鉴权方式为CHAP鉴权。
接收单元704,用于接收网关设备向终端发起的CHAP挑战。
响应单元706,用于向网关设备返回CHAP响应消息,CHAP响应消息携带终端利用终端侧CHAP SS生成的CHAP响应值。
其中,根据CHAP响应消息,网关设备向AAA设备发送RADIUS接入请求消息,要求对终端进行鉴权,AAA设备根据RADIUS接入请求消息,利用AAA侧CHAP SS对终端进行鉴权,通过AAA设备的鉴权后,AAA设备向网关设备发送接入接受消息,接收单元704接收网关设备根据接入接受消息发送的CHAP认证成功消息。
图8为根据本发明实施例的用于机卡一体终端的参数更新的鉴权装置800的结构示意图。鉴权装置800包括:接收模块802、第一次PPP流程处理模块804、第二次PPP流程处理模块806和第三次PPP流程处理模块808。在一个实施例中,鉴权装置800可以包含于AN-AAA设备中,也可以包含于核心网AAA设备中。
接收模块802,用于接收网关设备响应终端发起的PPP连接建立请求而发送的接入请求消息,其中,终端与网关设备协商的鉴权方式为CHAP鉴权。
第一次PPP流程处理模块804,用于在第一次PPP流程中,当鉴权参数需要初始化或更新时,通过网关设备向终端发送CHAP认证失败消息,其中,在第一次PPP流程中,终端生成终端侧CHAP SS。
第二次PPP流程处理模块806,用于在第二次PPP流程中,生成AAA侧CHAP SS,更新AAA设备的数据库信息,并通过网关设备向终端发送CHAP认证失败消息,其中,在第二次PPP流程中,终端利用终端侧CHAP SS更新终端的存储区。
第三次PPP流程处理模块808,用于在第三次PPP流程中,利用AAA侧CHAP SS对终端进行鉴权以完成鉴权参数的初始化或更新,其中,在第三次PPP流程中,终端利用终端侧CHAP SS响应网关设备发起的CHAP挑战。
图9为根据本发明实施例的用于机卡一体终端的参数更新系统900的结构示意图。参数更新系统900包括:终端902、网关设备904和AAA设备906。其中,终端902可以包括如图4所示的网络接入装置,或是包括如图5、图6或图7所示的PPP流程处理模块,或其它形式的网络接入装置。AAA设备906可以包括如图8所示的鉴权装置800或其它形式的鉴权装置。
终端902,用于发起第一次、第二次和第三次PPP流程。
网关设备904,用于接收终端902发起的第一次、第二次和第三次PPP流程。
AAA设备906,用于与网关设备904进行交互,对终端902进行鉴权。
其中,在第一次PPP流程中,当鉴权参数需要初始化或更新时,网关设备904通过与AAA设备906的交互,向终端902发送CHAP认证失败消息,在第一次PPP流程中,终端902生成终端902侧CHAPSS。
在第二次PPP流程,AAA设备906生成AAA侧CHAP SS,并更新AAA设备906的数据库信息,同时终端902利用终端902侧CHAPSS更新终端902的存储区。
在第三次PPP流程中,终端902利用终端902侧CHAP SS响应网关设备904发起的CHAP挑战,AAA设备906利用AAA侧CHAP SS对终端902进行鉴权。终端902和AAA设备906成功完成CHAP SS的更新(包括初始化),终端902成功通过网络(如CDMA 3G网络)的鉴权。
在一个实施例中,网关设备904为AN设备,AAA设备906为AN-AAA设备,CHAP SS为HRPD CHAP SS。在另一个实施例中,网关设备904为PDSN,AAA设备906为核心网AAA设备,CHAP SS为SIP CHAP SS。
基于上述技术,根据本发明的一个方面,通过网关设备与AAA设备的交互,能够对机卡一体终端的鉴权参数进行更新以及初始化,使机卡一体终端能够顺利实现3G网络的接入。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (16)
1.一种用于机卡一体终端的参数更新方法,其特征在于,包括:
所述终端与网关设备建立会话;
所述网关设备接收所述终端发起的第一次点对点协议(PPP)流程,当鉴权参数需要初始化或更新时,所述网关设备通过与认证/授权/计费(AAA)设备的交互,向所述终端发送握手认证协议(CHAP)认证失败消息,在所述第一次PPP流程中,所述终端生成终端侧握手认证协议共享密钥(CHAP SS);
所述网关设备接收所述终端发起的第二次PPP流程,在所述第二次PPP流程中,所述AAA设备生成AAA侧CHAP SS,并更新所述AAA设备的数据库信息,同时所述终端利用所述终端侧CHAP SS更新所述终端的存储区;
所述网关设备接收所述终端发起的第三次PPP流程,在所述第三次PPP流程中,所述终端利用所述终端侧CHAP SS响应所述网关设备发起的CHAP挑战,所述AAA设备利用所述AAA侧CHAP SS对所述终端进行鉴权以完成鉴权参数的初始化或更新。
2.根据权利要求1的参数更新方法,其特征在于,所述第一次PPP流程包括:
所述网关设备与所述终端进行链路控制协议(LCP)协商,协商鉴权方式为CHAP鉴权;
所述网关设备向所述终端发起CHAP挑战;
所述网关设备接收所述终端返回的CHAP响应消息,所述CHAP响应消息携带预设标识,标识所述终端的鉴权参数的初始化情况;
根据所述CHAP响应消息,所述网关设备向AAA设备发送远程用户拨号认证系统(RADIUS)接入请求消息,要求对所述终端进行鉴权,所述RADIUS接入请求消息携带所述预设标识;
当所述RADIUS接入请求消息中包含所述终端的鉴权参数未初始化的预设标识,或所述AAA设备中标识所述终端的鉴权参数需更新时,所述AAA设备向所述网关设备发送接入拒绝消息,所述接入拒绝消息中携带AAA侧CHAP SS生成参数;
所述网关设备根据所述接入拒绝消息,向所述终端发送CHAP认证失败消息,所述CHAP认证失败消息中携带所述AAA侧CHAP SS生成参数;
所述终端根据所述CHAP认证失败消息,生成终端侧CHAP SS生成参数,并利用接收到的所述AAA侧CHAP SS生成参数和终端侧CHAP SS生成参数生成所述终端侧CHAP SS。
3.根据权利要求1所述的参数更新方法,其特征在于,所述第二次PPP流程包括:
所述终端与所述网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;
所述网关设备向所述终端发起CHAP挑战;
所述网关设备接收所述终端返回的CHAP响应消息,所述CHAP响应消息携带所述终端生成的终端侧CHAP SS生成参数;
根据所述CHAP响应消息,所述网关设备向AAA设备发送RADIUS接入请求消息,要求对所述终端进行鉴权,所述RADIUS接入请求消息包含所述终端侧CHAP SS生成参数;
所述AAA设备从所述RADIUS接入请求消息中提取所述终端侧CHAP SS生成参数,与所述AAA设备生成的AAA侧CHAP SS生成参数一起生成AAA侧CHAP SS,并更新所述AAA设备的数据库信息;
所述AAA设备向所述网关设备发送接入拒绝消息;
所述网关设备根据所述接入拒绝消息,向所述终端发送CHAP认证失败消息;
所述终端根据所述CHAP认证失败消息,利用所述终端侧CHAPSS更新所述终端的存储区。
4.根据权利要求3所述的参数更新方法,其特征在于,所述第二次PPP流程还包括:
所述RADIUS接入请求消息中包括所述终端加密后的随机数,所述随机数由所述终端利用所述AAA设备的公钥进行加密,携带于所述CHAP响应消息中;
所述AAA设备利用本地的私钥通过解密从所述RADIUS接入请求消息中获取所述随机数,并将其通过所述网关设备发送给所述终端;
所述终端对收到的随机数进行验证,当收到的随机数与所述终端生成的所述随机数相同时,利用所述终端侧CHAP SS更新所述终端的存储区。
5.根据权利要求1所述的参数更新方法,其特征在于,所述第三次PPP流程包括:
所述终端与所述网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;
所述网关设备向所述终端发起CHAP挑战;
所述网关设备接收所述终端返回的CHAP响应消息,所述CHAP响应消息携带所述终端利用所述终端侧CHAP SS生成的CHAP响应值;
根据所述CHAP响应消息,所述网关设备向AAA设备发送RADIUS接入请求消息,要求对所述终端进行鉴权;
所述AAA设备根据所述RADIUS接入请求消息,利用AAA侧CHAP SS对所述终端进行鉴权;
通过所述AAA设备的鉴权后,所述AAA设备向所述网关设备发送接入接受消息;
所述网关设备根据所述接入接受消息,向所述终端发送CHAP认证成功消息。
6.根据权利要求1-5之一所述的参数更新方法,其特征在于,所述网关设备为接入网(AN设备)设备,所述AAA设备为AN-AAA设备,所述CHAP SS为高速分组数据(HRPD)CHAP SS。
7.根据权利要求1-5之一所述的参数更新方法,其特征在于,所述网关设备为分组业务数据节点(PDSN),所述AAA设备为核心网AAA设备,所述CHAP SS为简单互联网协议(SIP)CHAP SS。
8.一种用于机卡一体终端的网络接入装置,其特征在于,包括:
会话建立模块,用于与网关设备建立会话;
第一次PPP流程处理模块,用于向所述网关设备发起第一次PPP流程,当鉴权参数需要初始化或更新时,接收所述网关设备通过与AAA设备的交互后发送的CHAP认证失败消息,在所述第一次PPP流程中,所述AAA设备生成AAA侧CHAP SS,所述终端生成终端侧CHAP SS;
第二次PPP流程处理模块,用于向所述网关设备发起第二次PPP流程,在所述第二次PPP流程中,所述AAA设备生成AAA侧CHAPSS,并更新所述AAA设备的数据库信息,利用所述终端侧CHAP SS更新所述终端的存储区;
第三次PPP流程处理模块,用于向所述网关设备发起第三次PPP流程,利用所述终端侧CHAP SS响应所述网关设备发起的CHAP挑战,接收所述AAA设备利用所述AAA侧CHAP SS对所述终端进行的鉴权。
9.根据权利要求8的网络接入装置,其特征在于,所述第一次PPP流程处理模块,包括:
协商单元,用于与所述网关设备进行LCP协商,协商鉴权方式为CHAP鉴权;
接收单元,用于接收所述网关设备向所述终端发起的CHAP挑战;
响应单元,用于向所述网关设备返回CHAP响应消息,所述CHAP响应消息携带预设标识,标识所述终端的鉴权参数的初始化情况,
其中,根据所述CHAP响应消息,所述网关设备向AAA设备发送RADIUS接入请求消息,要求对所述终端进行鉴权,所述RADIUS接入请求消息携带所述预设标识,当所述RADIUS接入请求消息中包含所述终端的鉴权参数未初始化的预设标识,或所述AAA设备中标识所述终端的鉴权参数需更新时,所述AAA设备向所述网关设备发送接入拒绝消息,所述接入拒绝消息中携带AAA侧CHAP SS生成参数,所述接收单元接收所述网关设备根据所述接入拒绝消息发送的CHAP认证失败消息,所述CHAP认证失败消息中携带所述AAA侧CHAP SS生成参数;
生成单元,用于根据所述CHAP认证失败消息,生成终端侧CHAP SS生成参数,并利用接收到的所述AAA侧CHAP SS生成参数和终端侧CHAP SS生成参数生成所述终端侧CHAP SS。
10.根据权利要求8所述的网络接入装置,其特征在于,所述第二次PPP流程处理模块,包括:
协商单元,用于与所述网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;
接收单元,用于接收所述网关设备向所述终端发起的CHAP挑战;
响应单元,用于向所述网关设备返回CHAP响应消息,所述CHAP响应消息携带所述终端生成的终端侧CHAP SS生成参数,
其中,根据所述CHAP响应消息,所述网关设备向AAA设备发送RADIUS接入请求消息,要求对所述终端进行鉴权,所述RADIUS接入请求消息包含所述终端侧CHAP SS生成参数,所述AAA设备从所述RADIUS接入请求消息中提取所述终端侧CHAP SS生成参数,与所述AAA设备生成的AAA侧CHAP SS生成参数一起生成AAA侧CHAP SS,并更新所述AAA设备的数据库信息,所述AAA设备向所述网关设备发送接入拒绝消息,所述接收单元接收所述网关设备根据所述接入拒绝消息,发送的CHAP认证失败消息;
更新单元,用于根据所述CHAP认证失败消息,利用所述终端侧CHAP SS更新所述终端的存储区。
11.根据权利要求10所述的网络接入装置,其特征在于,所述第二次PPP流程处理模块还包括:
随机数加密单元,用于产生一个随机数,并利用所述AAA设备的公钥对所述随机数进行加密,将加密后的所述随机数通过所述CHAP响应消息发送给所述网关设备,
其中,所述网关设备将所述包含所述加密后的随机数的所述RADIUS接入请求消息发送给所述AAA设备,所述AAA设备利用本地的私钥通过解密从所述RADIUS接入请求消息中获取所述随机数,并通过所述网关设备返回给所述终端;
验证单元,用于对从所述AAA设备获取的随机数进行验证,当收到的随机数与所述终端生成的所述随机数相同时,所述更新单元利用所述终端侧CHAP SS更新所述终端的存储区。
12.根据权利要求8所述的网络接入装置,其特征在于,所述第三次PPP流程处理模块包括:
协商单元,用于与所述网关设备发起LCP协商,协商鉴权方式为CHAP鉴权;
接收单元,用于接收所述网关设备向所述终端发起的CHAP挑战;
响应单元,用于向所述网关设备返回CHAP响应消息,所述CHAP响应消息携带所述终端利用所述终端侧CHAP SS生成的CHAP响应值,
其中,根据所述CHAP响应消息,所述网关设备向AAA设备发送RADIUS接入请求消息,要求对所述终端进行鉴权,所述AAA设备根据所述RADIUS接入请求消息,利用AAA侧CHAP SS对所述终端进行鉴权,通过所述AAA设备的鉴权后,所述AAA设备向所述网关设备发送接入接受消息,所述接收单元接收所述网关设备根据所述接入接受消息发送的CHAP认证成功消息。
13.一种用于机卡一体终端的参数更新的鉴权装置,其特征在于,包括:
接收模块,用于接收网关设备响应所述终端发起的PPP连接建立请求而发送的接入请求消息,其中,所述终端与所述网关设备协商的鉴权方式为CHAP鉴权;
第一次PPP流程处理模块,用于在第一次PPP流程中,当鉴权参数需要初始化或更新时,通过所述网关设备向所述终端发送CHAP认证失败消息,其中,在所述第一次PPP流程中,所述终端生成终端侧CHAPSS;
第二次PPP流程处理模块,用于在第二次PPP流程中,生成AAA侧CHAP SS,更新所述AAA设备的数据库信息,并通过所述网关设备向所述终端发送CHAP认证失败消息,其中,在所述第二次PPP流程中,所述终端利用所述终端侧CHAP SS更新所述终端的存储区;
第三次PPP流程处理模块,用于在第三次PPP流程中,利用所述AAA侧CHAP SS对所述终端进行鉴权以完成鉴权参数的初始化或更新,其中,在第三次PPP流程中,所述终端利用所述终端侧CHAP SS响应所述网关设备发起的CHAP挑战。
14.一种用于机卡一体终端的参数更新系统,其特征在于,包括:
终端,用于发起第一次、第二次和第三次PPP流程;
网关设备,用于接收所述终端发起的所述第一次、第二次和第三次PPP流程;
AAA设备,用于与所述网关设备进行交互,对所述终端进行鉴权,
其中,在所述第一次PPP流程中,当鉴权参数需要初始化或更新时,所述网关设备通过与所述AAA设备的交互,向所述终端发送CHAP认证失败消息,在所述第一次PPP流程中,所述终端生成终端侧CHAP SS;
在所述第二次PPP流程,所述AAA设备生成AAA侧CHAP SS,并更新所述AAA设备的数据库信息,同时所述终端利用所述终端侧CHAP SS更新所述终端的存储区;
在所述第三次PPP流程中,所述终端利用所述终端侧CHAP SS响应所述网关设备发起的CHAP挑战,所述AAA设备利用所述AAA侧CHAP SS对所述终端进行鉴权。
15.根据权利要求14所述的参数更新系统,其特征在于,所述网关设备为AN设备,所述AAA设备为AN-AAA设备,所述CHAP SS为HRPD CHAP SS。
16.根据权利要求14所述的参数更新系统,其特征在于,所述网关设备为PDSN,所述AAA设备为核心网AAA设备,所述CHAP SS为SIP CHAP SS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110177474.XA CN102355658B (zh) | 2011-06-29 | 2011-06-29 | 鉴权参数更新方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110177474.XA CN102355658B (zh) | 2011-06-29 | 2011-06-29 | 鉴权参数更新方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102355658A true CN102355658A (zh) | 2012-02-15 |
| CN102355658B CN102355658B (zh) | 2013-12-25 |
Family
ID=45579139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110177474.XA Active CN102355658B (zh) | 2011-06-29 | 2011-06-29 | 鉴权参数更新方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102355658B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904888A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 认证方法及通信设备 |
| CN104378333A (zh) * | 2013-08-15 | 2015-02-25 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| CN106688218A (zh) * | 2014-04-15 | 2017-05-17 | 飞利浦灯具控股公司 | 用于控制分组传输网络中的握手的方法和装置 |
| CN108293055A (zh) * | 2015-12-02 | 2018-07-17 | 格马尔托股份有限公司 | 用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器 |
| WO2019019185A1 (zh) * | 2017-07-28 | 2019-01-31 | 华为技术有限公司 | 网络接入应用鉴权信息的更新方法、终端及服务器 |
| CN109391618A (zh) * | 2018-10-18 | 2019-02-26 | 平安科技(深圳)有限公司 | 一种通信链路的建立方法及系统 |
| CN112188439A (zh) * | 2020-09-28 | 2021-01-05 | 大唐微电子技术有限公司 | 一种车联网中v2x设备的接入鉴权系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1711792A (zh) * | 2002-11-04 | 2005-12-21 | 高通股份有限公司 | 用于无线分组数据服务连接的切换的方法和装置 |
| CN101925049A (zh) * | 2010-08-10 | 2010-12-22 | 中兴通讯股份有限公司 | 空中接口业务处理方法及终端 |
| CN102014388A (zh) * | 2010-11-18 | 2011-04-13 | 中兴通讯股份有限公司 | 合法终端的判定方法及系统 |
-
2011
- 2011-06-29 CN CN201110177474.XA patent/CN102355658B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1711792A (zh) * | 2002-11-04 | 2005-12-21 | 高通股份有限公司 | 用于无线分组数据服务连接的切换的方法和装置 |
| CN101925049A (zh) * | 2010-08-10 | 2010-12-22 | 中兴通讯股份有限公司 | 空中接口业务处理方法及终端 |
| CN102014388A (zh) * | 2010-11-18 | 2011-04-13 | 中兴通讯股份有限公司 | 合法终端的判定方法及系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904888A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 认证方法及通信设备 |
| CN104378333A (zh) * | 2013-08-15 | 2015-02-25 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| US10009290B2 (en) | 2013-08-15 | 2018-06-26 | Huawei Device Co., Ltd. | Method and broadband device for modem dial-up |
| CN104378333B (zh) * | 2013-08-15 | 2018-09-21 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| CN106688218B (zh) * | 2014-04-15 | 2020-07-28 | 飞利浦灯具控股公司 | 用于控制分组传输网络中的握手的方法和装置 |
| CN106688218A (zh) * | 2014-04-15 | 2017-05-17 | 飞利浦灯具控股公司 | 用于控制分组传输网络中的握手的方法和装置 |
| CN108293055B (zh) * | 2015-12-02 | 2020-08-28 | 格马尔托股份有限公司 | 用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器 |
| CN108293055A (zh) * | 2015-12-02 | 2018-07-17 | 格马尔托股份有限公司 | 用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器 |
| WO2019019185A1 (zh) * | 2017-07-28 | 2019-01-31 | 华为技术有限公司 | 网络接入应用鉴权信息的更新方法、终端及服务器 |
| US11937080B2 (en) | 2017-07-28 | 2024-03-19 | Huawei Technologies Co., Ltd. | Method for updating network access application authentication information, terminal, and server |
| CN109391618A (zh) * | 2018-10-18 | 2019-02-26 | 平安科技(深圳)有限公司 | 一种通信链路的建立方法及系统 |
| CN109391618B (zh) * | 2018-10-18 | 2021-09-03 | 平安科技(深圳)有限公司 | 一种通信链路的建立方法及系统 |
| CN112188439A (zh) * | 2020-09-28 | 2021-01-05 | 大唐微电子技术有限公司 | 一种车联网中v2x设备的接入鉴权系统 |
| CN112188439B (zh) * | 2020-09-28 | 2023-08-01 | 大唐微电子技术有限公司 | 一种车联网中v2x设备的接入鉴权系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102355658B (zh) | 2013-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111052777B (zh) | 支持无线通信系统中设备间简档转移的方法和装置 | |
| US10965470B2 (en) | Technique for managing profile in communication system | |
| JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
| CN102355658B (zh) | 鉴权参数更新方法、装置和系统 | |
| JP6752218B2 (ja) | 無線通信システムで端末のプロファイルを管理する方法及び装置 | |
| EP2731382B1 (en) | Method for setting terminal in mobile communication system | |
| CN101406021B (zh) | 基于sim的认证 | |
| EP2676398B1 (en) | Wireless device, registration server and method for provisioning of wireless devices | |
| US8438391B2 (en) | Credential generation management servers and method for communications devices and device management servers | |
| EP2810418B1 (en) | Group based bootstrapping in machine type communication | |
| US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
| JP5998286B2 (ja) | ローカルでの鍵生成によるスマートカードの初期パーソナライゼーション | |
| AU2011248610A1 (en) | Wireless network authentication apparatus and methods | |
| TW201004394A (en) | Method of authenticating home operator for over-the-air provisioning of a wireless device | |
| WO2008118638A1 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| JP2012034381A (ja) | Gaaのための汎用鍵の決定メカニズム | |
| CN101252434A (zh) | 在无线局域网中实现手机接入认证的设备及方法 | |
| WO2009068945A2 (en) | Using gaa to derive and distribute proxy mobile node home agent keys | |
| CN101160780B (zh) | 一种受控的密钥更新方法及装置 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| US12114166B2 (en) | Method for setting up a subscription profile, method for providing a subscription profile, subscriber identity module | |
| KR20140051018A (ko) | 통신 시스템에서 내장 가입자 식별 모듈을 관리하는 방법 및 장치 | |
| CN103139770B (zh) | Wlan接入网络中传递成对主密钥的方法和系统 | |
| CN101247630B (zh) | 实现多媒体广播业务密钥协商的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |