CN102685742B - 一种wlan接入认证方法和装置 - Google Patents
一种wlan接入认证方法和装置 Download PDFInfo
- Publication number
- CN102685742B CN102685742B CN201110061634.4A CN201110061634A CN102685742B CN 102685742 B CN102685742 B CN 102685742B CN 201110061634 A CN201110061634 A CN 201110061634A CN 102685742 B CN102685742 B CN 102685742B
- Authority
- CN
- China
- Prior art keywords
- key
- wlan
- asf
- entity
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种WLAN接入认证方法和装置,网络侧设置有认证服务功能ASF实体,该方法包括:用户设备UE向ASF实体发送WLAN密钥获取请求,接收所述ASF实体返回的WLAN密钥获取响应,获取其中携带的WLAN接入密钥;所述UE向接入点AP发送WLAN密钥获取响应,其中携带有获取到的WLAN接入密钥;所述UE根据获取到的WLAN接入密钥与所述AP进行相互验证,并在验证通过后与所述AP建立连接。通过本发明,能够使用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种WLAN(WirelessLocalAreaNetwork,无线局域网)接入认证方法和装置。
背景技术
作为对传统有线网络的延伸,WLAN能够提供一种高速的无线接入解决方案,WLAN具有可移动、高灵活、可扩展和安装简单的特点,因而得到广泛的应用,运营商也开始大量部署WLAN网络。
由于WLAN采用无限电磁波作为载体,任何人都可能窃听或干扰通信,因此,WLAN需要相应的安全机制保障WLAN网络的通信安全。WLAN的安全性主要体现在接入控制和数据加密两个方面,其中,接入控制用于保证只有合法的用户才能接入网络,数据加密用于保证数据无法被窃听。
目前,运营商通过架设公共的WLANAP(AccessPoint,接入点)为用户提供WLAN服务,通过核心网的RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器为用户提供基于时长或者流量的计费服务,并采用基于(U)SIM(SubscriberIdentityModule客户识别模块)卡的EAP(ExtensibleAuthenticationProtocol,扩展认证协议)-SIM/EAP-AKA(AuthenticationandKeyAgreement,认证和密钥协商)认证机制进行接入控制。网络侧通过3GPP(3rdGenerationPartnershipProject,第三代合作伙伴计划)AAA(AuthenticationAuthorizationAccounting,认证授权计费)服务器从HLR(HomeLocationRegister,归属位置寄存器)/HSS(HomeSubscriberServer,归属用户服务器)获得3/5元组鉴权数据,由3GPPAAA服务器作为认证网元,实现对WLAN用户的身份认证。
为了提高运营商的WLAN覆盖,运营商可以不直接部署AP,而是将AP出售给用户、酒店等个人或者组织。上述AP由运营商定制,通过用户家里或酒店的宽带、ADSL(AsymmetricDigitalSubscriberLine,非对称数字用户环路)拨号或TD-SCDMA(TimeDivision-SynchronousCodeDivisionMultipleAccess,时分同步码分多址)接入互联网络,并采用胖AP的方式,即,AP中包括AC(AccessController,接入控制器)的功能。用户可以在AP上自定义SSID(ServiceSetIdentifier,服务集标识),为用户自己(或酒店为客人)的终端提供WLAN接入。运营商也可以在AP上定义运营商统一的SSID,非用户家里的终端(或酒店附近的终端)可以通过该AP提供的运营商统一的SSID享受WLAN接入,使得用户自有终端与其他用户的终端共享AP的WLAN接入,实现与运营商的收入分成等业务模式。上述机制扩大了运营商的AP覆盖,为AP附近的用户提供付费的WLAN接入,而不需要运营商直接部署大量的AP。
在实现本发明的过程中,发明人发现现有技术至少存在如下问题:
在WLAN共享应用场景中,如果采用基于(U)SIM卡的EAP-SIM/EAP-AKA认证机制进行接入控制,AP在每次认证时都需要与3GAAA服务器交互,以对用户进行认证。由于AP可能采用与其定制运营商不同的其他运营商的宽带、ADSL或GSM/TD-SCDMA等方式接入互联网,因此网络情况不一定很好,甚至有可能无法建立连接,进而影响认证效率。
发明内容
本发明的目的在于提供一种WLAN接入认证方法和装置,以使用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况,为此,本发明采用如下技术方案:
一种无线局域网WLAN接入认证方法,网络侧设置有认证服务功能ASF实体,该方法包括:
用户设备UE向ASF实体发送WLAN密钥获取请求,接收所述ASF实体返回的WLAN密钥获取响应,获取其中携带的WLAN接入密钥;
所述UE向接入点AP发送WLAN密钥获取响应,其中携带有获取到的WLAN接入密钥;
所述UE根据获取到的WLAN接入密钥与所述AP进行相互验证,并在验证通过后与所述AP建立连接。
一种用户设备UE,网络侧设置有认证服务功能ASF实体,该UE包括发送模块、接收模块、获取模块、第一验证模块和连接模块;
所述发送模块,用于向ASF实体发送无线局域网WLAN密钥获取请求,向接入点AP发送WLAN密钥获取响应,其中携带有所述获取模块获取到的WLAN接入密钥;
接收模块,用于接收所述ASF实体返回的WLAN密钥获取响应;
获取模块,用于获取所述接收模块接收到的WLAN密钥获取响应中携带的WLAN接入密钥;
第一验证模块,用于根据WLAN接入密钥与所述AP进行相互验证;
连接模块,用于在所述UE与所述AP相互验证通过后,与所述AP建立连接。
一种认证服务功能ASF实体,包括:
接收模块,用于接收用户设备UE发送的无线局域网WLAN密钥获取请求;
发送模块,用于向所述UE返回携带WLAN接入密钥的WLAN密钥获取响应。
本发明的实施例包括以下优点,UE通过与ASF实体之间的信令交互获取WLAN接入密钥,并使用WLAN接入密钥进行WLAN接入认证,使得用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况,能够在AP与网络侧认证网元无法连接的情况下,实现AP在用户侧对UE的WLAN鉴权和计费控制,从而实现WLAN的共享,扩大了运营商的WLAN覆盖,提高了认证效率和用户体验,且无需用户手工输入用户名和密码,实现了AP对UE的匿名认证和计费,有利于保障UE的隐私和提高用户体验。当然,实施本发明的实施例的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
图1为本发明实施例中的WLAN接入认证的系统架构图;
图2为本发明实施例中的一种WLAN接入认证方法流程图;
图3为本发明实施例中的另一种WLAN接入认证方法流程图;
图4为本发明实施例中的UE的结构示意图;
图5为本发明实施例中的ASF实体的结构示意图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例中的WLAN接入认证的系统架构图,包括UE(UserEquipment,用户设备)、AP、ASF(AuthenticationServiceFunction,认证服务功能)实体和BSF(BootstrappingServiceFunction,初始化服务功能)实体,其中,ASF实体为系统中新增的认证服务器,用于分发UE与AP之间的WLAN认证密钥;BSF实体为3GPPGBA(GenericBootstrappingArchitecture,通用认证体系)中定义的核心网元,用于实现UE与平台之间、AP与平台之间的密钥共享。
根据现有技术,当UE上的运营商定制的WLAN接入客户端第一次运行时,UE执行初始化操作,通过2G/3G网络与BSF实体完成GBA初始化过程,在UE和BSF实体之间共享用户密钥Ks_ue,Ks_ue通常具有一定的有效期;BSF实体向UE分配唯一的用户初始化标识B-TID_ue。
根据现有技术,当运营商定制的AP第一次开机时,AP执行初始化操作,通过宽带、ADSL或2G/3G网络与BSF实体完成GBA初始化过程,在AP和BSF实体之间共享AP密钥Ks_ap,Ks_ap通常具有一定的有效期;BSF实体向AP分配了唯一的AP初始化标识B-TID_ap。
需要说明的是,也可以采用预置共享密钥的方式实现UE与BSF实体之间、AP与BSF实体之间的初始化过程,比如,在UE与BSF实体之间预置Ks_ue,在AP与BSF实体之间预置Ks_ap。此时,GBA过程不是必需的,BSF实体仅用于保存UE和AP预置的共享密钥。
基于图1所示的系统架构,在完成初始化过程后,可以进行WLAN接入认证,具体流程如图2所示,包括以下步骤:
步骤201,UE向AP发送WLAN连接请求。
具体地,当UE上的WLAN管理客户端发现运营商的特定SSID时,UE可以向对应的AP发起WLAN连接请求。
步骤202,UE与AP进行WLAN的关联。
具体地,UE可以与AP进行802.11WLAN的关联过程,比如,协商无线信道、建立无线链路等。
步骤203,UE向AP发送WLAN密钥获取请求。
其中,WLAN密钥获取请求中可以包括B-TID_ue和用户随机数rand_ue。
步骤204,AP向UE返回连接ASF失败消息。
具体地,AP在接收到UE发送的WLAN密钥获取请求后,尝试与ASF实体建立连接。当AP由于网络情况等原因无法连接ASF实体时,AP向UE返回连接ASF失败消息,该消息中可以包括B-TID_ap、AP随机数rand_ap和ASF标识ASF_ID。
步骤205,UE向ASF实体发送WLAN密钥获取请求。
具体地,UE可以通过通信网络,例如GPRS(GeneralPacketRadioService,通用分组无线服务)和短信通道,将WLAN密钥获取请求发送给ASF实体,该WLAN密钥获取请求中可以携带B-TID_ue、rand_ue、B-TID_ap,rand_ap。
步骤206,ASF实体向BSF实体发送业务密钥获取请求。
其中,业务密钥获取请求中可以包括ASF_ID。
步骤207,BSF实体向ASF实体返回业务密钥获取响应。
其中,业务密钥获取响应中可以携带与UE对应的用户业务密钥Ks_ue_asf和与AP对应的AP业务密钥Ks_ap_asf。BSF实体可以查询Ks_ue和Ks_ue,根据查询到的有效的Ks_ue和ASF_ID推导得到Ks_ue_asf,根据查询到的有效的Ks_ap和ASF_ID推导得到Ks_ap_asf。
如果BSF实体查询不到有效的Ks_ue,例如无Ks_ue或者Ks_ue已过期,BSF实体计算对应的UEGPI(GBAPushInformation,GBA推送信息),即GPI_ue,根据GPI_ue推导出Ks_ue_asf,将GPI_ue和Ks_ue_asf发送给ASF实体。在之后的流程中,ASF实体可以将GPI_ue发送给UE,UE可根据GPI_ue得出有效性的Ks_ue。
类似地,如果BSF实体查询不到有效的Ks_ap,例如无Ks_ap或者Ks_ap已过期,BSF实体计算对应的AP_GPI,即GPI_ap,根据GPI_ap推导出Ks_ap_asf,并将GPI_ap和Ks_ap_asf发送给ASF实体。在之后的流程中,ASF实体可以将GPI_ap发送给AP,AP可根据GPI_ap得出有效性的Ks_ap。
步骤208,ASF实体随机生成WLAN接入密钥WTKue_ap以及对应的有效期KT,对WTKue_ap和KT进行加密,并根据加密后的WLAN接入密钥生成验证信息。
具体地,ASF实体可以生成经过Ks_ue_asf加密的WLAN接入密钥EK_ue=E(Ks_ue_asf,KT,WTKue_ap),并根据EK_ue的验证信息MAC_ue=MAC(Ks_ue_asf,EK_ue,B-TID_ue,B-TID_ap,rand_ue);ASF实体也可以生成经过Ks_ap_asf加密的WLAN接入密钥EK_ap=E(Ks_ap_asf,KT,WTKue_ap),并根据EK_ap生成针对AP的验证信息MAC_ap=MAC(Ksap_asf,EK_ap,B-TID_ap,B-TID_ue,rand_ap)。
步骤209,ASF实体向UE发送WLAN密钥获取响应。
具体地,ASF实体可以通过通信网络,例如GPRS或短信等通道,向UE返回WLAN密钥获取响应,该WLAN密钥获取响应可以携带EK_ue、EK_ap、MAC_ue、MAC_ap、B-TID_ue和B-TID_ap,也可以在BSF实体将GPI_ap和GPI_ue发送到ASF实体后,进一步携带GPI_ap和GPI_ue。
步骤210,UE对WLAN密钥获取响应携带的验证信息进行验证,从WLAN密钥获取响应携带的加密的WLAN接入密钥中解密得到WLAN接入密钥和对应的有效期KT。
具体地,当UE从ASF实体接收到的WLAN密钥获取响应中携带GPI_ue时,则UE验证GPI_ue的正确性,并在确定GPI_ue正确时,根据GPI_ue生成Ks_ue,进而根据Ks_ue和ASF_ID推导出Ks_ue_asf。当UE从ASF实体接收到的WLAN密钥获取响应中携带MAC_ue和EK_ue时,UE根据Ks_ue_asf、EK_ue、B-TID_ue、B-TID_ap和rand_ue对MAC_ue进行验证,并在验证通过后,根据Ks_ue_asf对EK_ue进行解密,得到WTKue_ap和KT。
步骤211,UE向AP发送WLAN密钥获取响应。
其中,UE向AP发送的WLAN密钥获取响应中可以携带EK_ap、MAC_ap、B-TID_ue、B-TID_ap和rand_ue,也可以在ASF实体将GPI_ap发送到UE后,进一步携带GPI_ap。
步骤212,AP对WLAN密钥获取响应携带的验证信息进行验证,从WLAN密钥获取响应携带的加密的WLAN接入密钥中解密得到WLAN接入密钥和对应的有效期KT,计算AP对UE的认证挑战响应值。
具体地,当UE向AP发送的WLAN密钥获取响应中携带GPI_ap时,AP验证GPI_ap的正确性,并在确定GPI_ap正确时,根据GPI_ap生成Ks_ap,进而根据Ks_ap和ASF_ID推导出Ks_ap_asf。当UE向AP转发的WLAN密钥获取响应中携带MAC_ap和EK_ap时,UE根据Ks_ap_asf、EK_ap、B-TID_ap、B-TID_ue和rand_ap对MAC_ap进行验证,在验证通过后,根据Ks_ap_asf对EK_ap进行解密,得到WTKue_ap和KT,并根据WTKue_ap计算AP对UE的认证挑战响应值auth_MAC_ue(WTKue_ap,B-TID_ap,B-TID_ue,rand_ap,rand_ue)。
步骤213,AP向UE发送auth_MAC_ue。
步骤214,UE验证auth_MAC_ue的正确性,并在通过验证后,计算UE对AP的认证挑战响应值。
具体地,UE可以根据WTKue_ap、B-TID_ap、B-TID_ue、rand_ap和rand_ue验证auth_MAC_ue是否正确,在通过验证后,计算UE对AP的认证挑战响应值auth_MAC_ap=MAC(WTKue_ap,B-TID_ue,B-TID_ap,rand_ue,rand_ap)。
步骤215,UE向AP发送auth_MAC_ap。
步骤216,AP验证auth_MAC_ap的正确性,并在通过验证后,建立B-TID_ue与IP地址、UE的MAC地址的映射表,开始对UE进行计费。
具体地,AP可根据时间、流量等计费策略对UE进行计费,在本地记录UE的WLAN计费话单,并检测与平台侧计费服务器的网络连接情况,如果连接正常,则根据实时上传或定期上传保存的计费话单。
步骤217,AP向UE返回连接成功消息,通过DHCP(DynamicHostConfigurationProtocol,动态主机设置协议)向UE分配IP地址。
步骤218,UE显示连接成功。
步骤219,UE与AP建立连接,通过WLAN访问Internet。
需要说明的是,上述实施方式中的针对UE的验证信息MAC_ue和针对AP的验证信息MAC_ap,分别用于UE和AP对ASF实体进行验证,以提高WLAN接入认证的准确性。在本发明的其他实施方式中,ASF实体也可以不生成和发送针对UE的验证信息MAC_ue和针对AP的验证信息MAC_ap,相应地,UE和AP也可以不对ASF实体进行验证,同样可以实现本发明的发明目的。
另外,上述实施方式中使用用户业务密钥和AP业务密钥分别对WLAN接入密钥进行加密的步骤,为本发明实施例的优选步骤,通过对WLAN接入密钥进行加密,能够提高传输WLAN接入密钥的安全性。在本发明的其他实施方式中,ASF实体可以仅使用用户业务密钥对WLAN接入密钥进行加密,将加密的密钥发送给UE,也可以仅使用AP业务密钥对WLAN接入密钥进行加密,将加密的密钥通过UE发送给AP,还可以不对WLAN接入密钥进行加密,直接将WLAN接入密钥发送给UE和AP,同样可以实现本发明的发明目的。
上述网络架构和相应流程中ASF实体和BSF实体可以由同一个设备实现。
通过以上描述可以看出,UE通过与ASF实体之间的信令交互获取WLAN接入密钥,并使用WLAN接入密钥进行WLAN接入认证,使得用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况,能够在AP与网络侧认证网元无法连接的情况下,实现AP在用户侧对UE的WLAN鉴权和计费控制,从而实现WLAN的共享,扩大了运营商的WLAN覆盖,提高了认证效率和用户体验。使用UE的B-TID完成WLAN接入认证,且无需用户手工输入用户名和密码,实现了AP对UE的匿名认证和计费,有利于保障UE的隐私和提高用户体验。当然,实施本发明的实施例的任一产品并不一定需要同时达到以上所述的所有优点。
上述实施方式提供了在AP无法连接ASF实体时的WLAN接入认证方法流程。在本发明的其他实施方式中,当AP能够连接ASF实体时,相应的WLAN接入认证方法流程如图3所示,其网络架构如图1所示,该流程包括以下步骤:
步骤301,UE向AP发送WLAN连接请求。
步骤302,UE与AP进行WLAN的关联。
步骤303,UE向AP发送WLAN密钥获取请求。
其中,WLAN密钥获取请求中可以包括B-TID_ue和用户随机数rand_ue。
步骤304,AP向ASF实体发送WLAN密钥获取请求。
具体地,AP在接收到UE发送的WLAN密钥获取请求后,尝试与ASF实体建立连接。当AP成功连接ASF实体时,AP向ASF实体发送WLAN密钥获取请求,该WLAN密钥获取请求中可以携带B-TID_ue、rand_ue、B-TID_ap,rand_ap。
步骤305,ASF实体向BSF实体发送业务密钥获取请求。
其中,业务密钥获取请求中可以包括ASF_ID。
步骤306,BSF实体向ASF实体返回业务密钥获取响应。
其中,业务密钥获取响应中可以携带与UE对应的用户业务密钥Ks_ue_asf和与AP对应的AP业务密钥Ks_ap_asf。BSF实体可以查询Ks_ue和Ks_ue,根据查询到的有效的Ks_ue和ASF_ID推导得到Ks_ue_asf,根据查询到的有效的Ks_ap和ASF_ID推导得到Ks_ap_asf。
如果BSF实体查询不到有效的Ks_ue,例如无Ks_ue或者Ks_ue已过期,BSF实体计算对应的UEGPI,即GPI_ue,根据GPI_ue推导出Ks_ue_asf,并将GPI_ue和Ks_ue_asf发送给ASF实体。在之后的流程中,ASF实体可以将GPI_ue发送给UE,UE可根据GPI_ue得出有效性的Ks_ue。
类似地,如果BSF实体查询不到有效的Ks_ap,例如无Ks_ap或者Ks_ap已过期,BSF实体计算对应的APGPI,即GPI_ap,根据GPI_ap推导出Ks_ap_asf,并将GPI_ap和Ks_ap_asf发送给ASF实体。在之后的流程中,ASF实体可以将GPI_ap发送给AP,AP可根据GPI_ap得出有效性的Ks_ap。
步骤307,ASF实体随机生成WLAN接入密钥WTKue_ap以及对应的有效期KT,对WTKue_ap和KT进行加密,并根据加密后的WLAN接入密钥生成验证信息。
具体地,ASF实体可以使用Ks_ue_asf生成针对UE的加密后的WLAN接入密钥EK_ue=E(Ks_ue_asf,KT,WTKue_ap),并根据EK_ue生成针对UE的验证信息MAC_ue=MAC(Ks_ue_asf,EK_ue,B-TID_ue,B-TID_ap,rand_ue);ASF实体也可以使用Ks_ap_asf生成针对AP的加密后的WLAN接入密钥EK_ap=E(Ks_ap_asf,KT,WTKue_ap),并根据EK_ap生成针对AP的验证信息MAC_ap=MAC(Ks_ap_asf,EK_ap,B-TID_ap,B-TID_ue,rand_ap)。
步骤308,ASF实体向AP返回WLAN密钥获取响应。
其中,WLAN密钥获取响应可以携带EK_ue、EK_ap、MAC_ue、MAC_ap、B-TID_ue和B-TID_ap,也可以在BSF实体将GPI_ap和GPI_ue发送到ASF实体后,进一步携带GPI_ap和GPI_ue。
步骤309,AP对WLAN密钥获取响应携带的验证信息进行验证,从WLAN密钥获取响应携带的加密后的WLAN接入密钥中解密得到WLAN接入密钥和对应的有效期KT,计算AP对UE的认证挑战响应值。
具体地,当AP从ASF实体接收到的WLAN密钥获取响应中携带GPI_ap时,则AP验证GPI_ap的正确性,并在确定GPI_ap正确时,根据GPI_ap生成Ks_ap,进而根据Ks_ap和ASF_ID推导出Ks_ap_asf。当AP从ASF实体接收到的WLAN密钥获取响应中携带MAC_ap和EK_ap时,UE根据Ks_ap_asf、EK_ap、B-TID_ap、B-TID_ue和rand_ap对MAC_ap进行验证,在验证通过后,根据Ks_ap_asf对EK_ap进行解密,得到WTKue_ap和KT,并根据WTKue_ap计算AP对UE的认证挑战响应值auth_MAC_ue(WTKue_ap,B-TID_ap,B-TID_ue,rand_ap,rand_ue)。
步骤310,AP向UE发送auth_MAC_ue和WLAN密钥获取响应。
其中,AP向UE发送的WLAN密钥获取响应中可以携带EK_ue、MAC_ue、ASF_ID、B-TID_ue、B-TID_ap和rand_ap,也可以在ASF实体将GPI_ap发送到AP后,进一步携带GPI_ue。
步骤311,UE对WLAN密钥获取响应携带的验证信息进行验证,从WLAN密钥获取响应携带的加密后的WLAN接入密钥中解密得到WLAN接入密钥和对应的有效期KT,计算UE对AP的认证挑战响应值。
具体地,当UE从AP接收到的WLAN密钥获取响应中携带GPI_ue时,则UE验证GPI_ue的正确性,并在确定GPI_ue正确时,根据GPI_ue生成Ks_ue,进而根据Ks_ue和ASF_ID推导出Ks_ue_asf。当UE从AP接收到的WLAN密钥获取响应中携带MAC_ue和EK_ue时,UE根据Ks_ue_asf、EK_ue、B-TID_ue、B-TID_ap和rand_ue对MAC_ue进行验证,并在验证通过后,根据Ks_ue_asf对EK_ue进行解密,得到WTKue_ap和KT,根据WTKue_ap计算UE对AP的认证挑战响应值auth_MAC_ap=MAC(WTKue_ap,B-TID_ue,B-TID_ap,rand_ue,rand_ap)。
步骤312,UE向AP发送auth_MAC_ap。
步骤313,AP验证auth_MAC_ap的正确性,并在通过验证后,建立B-TID_ue与IP地址、UE的MAC地址的映射表,开始对UE进行计费。
具体地,AP可根据时间、流量等计费策略对UE进行计费,在本地记录UE的WLAN计费话单,并检测与平台侧计费服务器的网络连接情况,如果连接正常,则根据实时上传或定期上传保存的计费话单。
步骤314,AP向UE返回连接成功消息,通过DHCP向UE分配IP地址。
步骤315,UE显示连接成功。
步骤316,UE与AP建立连接,通过WLAN访问Internet。
需要说明的是,在WLAN认证完成后,只要UE上的WLAN接入密钥WTKue_ap未过期,则UE和AP之间可以将WTKue_ap作为口令,采用HTTPDigest、WEP或WPA/WPA2等认证机制实现WLAN的接入认证。
另外,当UE主动发起WLAN断开请求,或者AP检测到UE在一定时间(如30分钟)内无流量,则AP停止计费,并根据网络连接情况将计费话单上报网络侧的计费服务器。
通过以上描述可以看出,AP通过与ASF实体之间的信令交互获取WLAN接入密钥,并使用WLAN接入密钥进行WLAN接入认证,能够实现AP在用户侧对UE的WLAN鉴权和计费控制,从而实现WLAN的共享,扩大了运营商的WLAN覆盖,提高了认证效率和用户体验。使用UE的B-TID完成WLAN接入认证,且无需用户手工输入用户名和密码,实现了AP对UE的匿名认证和计费,有利于保障UE的隐私和提高用户体验。此外,在第一次初始化过程完成后,在WLAN接入密钥的有效期内,接入认证过程都不需要经过网络侧,有利于降低对网络侧的负荷。当然,实施本发明的实施例的任一产品并不一定需要同时达到以上所述的所有优点。
根据上述实施方式中提供的WLAN接入认证方法,本发明实施例还提供了应用上述WLAN接入认证方法的装置。
如图4所示,为本发明实施例中的UE的结构示意图,包括发送模块410、接收模块420、获取模块430、第一验证模块440、生成模块450和连接模块460,其中,
发送模块410,用于向ASF实体发送WLAN密钥获取请求,向AP发送WLAN密钥获取响应和生成模块450生成的UE对AP的认证挑战响应值,该WLAN密钥获取响应种携带获取模块430获取到的WLAN接入密钥。
其中,发送模块410向AP发送的WLAN密钥获取响应中可以携带EK_ap、MAC_ap、B-TID_ue、B-TID_ap和rand_ue,也可以进一步携带GPI_ap。
上述发送模块410,具体用于向AP发送WLAN密钥获取请求,在该AP不能与ASF实体连接时,向该ASF实体发送WLAN密钥获取请求。
接收模块420,用于接收ASF实体返回的WLAN密钥获取响应,接收AP发送的该AP对UE的认证挑战响应值,并在UE对AP的认证挑战响应值通过AP的验证时,接收该AP返回的连接成功消息。
具体地,上述发送模块410可以向AP发送WLAN连接请求,并在与该AP完成WLAN的关联后,向AP发送WLAN密钥获取请求。当AP无法连接ASF实体时,接收模块420接收该AP返回的连接ASF失败消息,相应地,发送模块410向ASF实体发送WLAN密钥获取请求。
上述接收模块420,还用于在与UE关联的AP能够与ASF实体连接时,接收该AP发送的WLAN密钥获取响应和该AP对UE的认证挑战响应值。
获取模块430,用于获取接收模块420接收到的WLAN密钥获取响应中携带的WLAN接入密钥。
第一验证模块440,用于根据WLAN接入密钥与AP进行相互验证。
上述第一验证模块440,具体用于根据WLAN接入密钥对接收模块420接收到的AP对UE的认证挑战响应值进行验证。
具体地,第一验证模块440可以根据WTKue_ap、B-TID_ap、B-TID_ue、rand_ap和rand_ue验证auth_MAC_ue是否正确。
生成模块450,用于在第一验证模块440对认证挑战响应值验证通过时,生成UE对AP的认证挑战响应值。
具体地,生成模块450可以计算UE对AP的认证挑战响应值auth_MAC_ap=MAC(WTKue_ap,B-TID_ue,B-TID_ap,rand_ue,rand_ap)。
连接模块460,用于在UE与AP相互验证通过后,与AP建立连接。
上述ASF实体返回的WLAN密钥获取响应中携带的WLAN接入密钥可以包括:经过用户业务密钥加密的WLAN接入密钥和经过AP业务密钥加密的WLAN接入密钥。相应地,上述UE,还包括:
存储模块470,用于保存ASF实体返回的WLAN密钥获取响应中携带的经过用户业务密钥加密的WLAN接入密钥。
上述发送模块410,具体用于将从ASF实体接收到的WLAN密钥获取响应转发给AP;或者从ASF实体返回的WLAN密钥获取响应中获取到经过AP业务密钥加密的WLAN接入密钥后,将其携带于生成的WLAN密钥获取响应中发送给所述AP。
上述ASF实体返回的WLAN密钥获取响应中还可以进一步携带针对UE的验证信息;相应地,上述UE还包括:
第二验证模块480,用于根据用户业务密钥和接收模块420接收到的经过用户业务密钥加密的WLAN接入密钥对接收模块420接收到的验证信息进行验证。
解密模块490,用于在第二验证模块480对验证信息验证通过后,使用用户业务密钥解密经过用户业务密钥加密的WLAN接入密钥。
上述ASF实体返回的WLAN密钥获取响应中还可以携带UEGPI;相应地,上述解密模块490,具体用于根据UEGPI生成用户密钥,根据该用户密钥和ASF标识生成用户业务密钥,并使用该用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密。
具体地,接收模块420接收到的WLAN密钥获取响应中携带GPI_ue时,则验证GPI_ue的正确性,并在确定GPI_ue正确时,根据GPI_ue生成Ks_ue,进而根据Ks_ue和ASF_ID推导出Ks_ue_asf。当接收模块420从ASF实体接收到的WLAN密钥获取响应中携带MAC_ue和EK_ue时,第二验证模块480根据Ks_ue_asf、EK_ue、B-TID_ue、B-TID_ap和rand_ue对MAC_ue进行验证;当验证通过时,解密模块490对EK_ue进行解密,得到WTKue_ap和KT。
本发明的实施例包括以下优点,UE通过与ASF实体之间的信令交互获取WLAN接入密钥,并使用WLAN接入密钥进行WLAN接入认证,使得用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况,能够在AP与网络侧认证网元无法连接的情况下,实现AP在用户侧对UE的WLAN鉴权和计费控制,从而实现WLAN的共享,扩大了运营商的WLAN覆盖,提高了认证效率和用户体验。当然,实施本发明的实施例的任一产品并不一定需要同时达到以上所述的所有优点。
如图5所示,为本发明实施例中的ASF实体的结构示意图,包括:
接收模块510,用于接收UE发送的无线局域网WLAN密钥获取请求。
上述接收模块510,具体用于在与UE关联的AP不能与ASF实体连接时,接收该UE发送的WLAN密钥获取请求。
发送模块520,用于向UE返回携带WLAN接入密钥的WLAN密钥获取响应。
上述接收模块,还用于在与UE关联的AP能够与ASF实体连接时,接收所述AP发送的WLAN密钥获取请求;相应地,上述发送模块520,还用于在上述AP能够与ASF实体连接时,向UE返回携带WLAN接入密钥的WLAN密钥获取响应。
本发明的实施例包括以下优点,UE通过与ASF实体之间的信令交互获取WLAN接入密钥,并使用WLAN接入密钥进行WLAN接入认证,使得用户的WLAN接入不受限于AP与网络侧认证网元的网络连接情况,能够在AP与网络侧认证网元无法连接的情况下,实现AP在用户侧对UE的WLAN鉴权和计费控制,从而实现WLAN的共享,扩大了运营商的WLAN覆盖,提高了认证效率和用户体验。当然,实施本发明的实施例的任一产品并不一定需要同时达到以上所述的所有优点。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (15)
1.一种无线局域网WLAN接入认证方法,其特征在于,网络侧设置有专门用于分发用户设备UE与接入点AP之间的WLAN接入密钥的认证服务功能ASF实体,该方法包括:
用户设备UE向ASF实体发送WLAN密钥获取请求,接收所述ASF实体返回的WLAN密钥获取响应,获取其中携带的UE与AP之间的WLAN接入密钥;
所述UE向接入点AP发送WLAN密钥获取响应,其中携带有获取到的UE与AP之间的WLAN接入密钥;
所述UE根据获取到的WLAN接入密钥与所述AP进行相互验证,并在验证通过后与所述AP建立连接;
其中,所述UE向ASF实体发送WLAN密钥获取请求,具体为:所述UE在接收到所述AP因无法与ASF实体连接而返回的WLAN密钥获取失败响应后,向所述ASF实体发送WLAN密钥获取请求。
2.如权利要求1所述的方法,其特征在于,所述ASF实体返回的WLAN密钥获取响应中携带的WLAN接入密钥包括:经过用户业务密钥加密的WLAN接入密钥和经过AP业务密钥加密的WLAN接入密钥;
所述UE获取到所述WLAN密钥获取响应中携带的所述WLAN接入密钥后,保存其中经过用户业务密钥加密的WLAN接入密钥;
所述UE向所述AP发送WLAN密钥获取响应,其中携带有获取到的WLAN接入密钥,包括:
所述UE将从所述ASF实体接收到的WLAN密钥获取响应转发给所述AP;或者
所述UE从所述ASF实体返回的WLAN密钥获取响应中获取到经过AP业务密钥加密的WLAN接入密钥后,将其携带于生成的WLAN密钥获取响应中发送给所述AP。
3.如权利要求2所述的方法,其特征在于,所述UE保存经过用户业务密钥加密的WLAN接入密钥后,还包括:使用用户业务密钥解密所述经过用户业务密钥加密的WLAN接入密钥;
所述AP接收到经过AP业务密钥加密的WLAN接入密钥后,还包括:使用AP业务密钥解密所述经过AP业务密钥加密的WLAN接入密钥;
所述UE和所述AP根据解密后的WLAN接入密钥进行相互认证。
4.如权利要求3所述的方法,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带第一验证信息;
所述UE在根据用户业务密钥和经过用户业务密钥加密的WLAN接入密钥对所述第一验证信息验证通过后,根据用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密。
5.如权利要求3所述的方法,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带第二验证信息,所述UE向所述AP发送的WLAN密钥获取响应中还携带有所述第二验证信息;
所述AP在根据AP业务密钥和所述经过AP业务密钥加密的WLAN接入密钥对所述第二验证信息验证通过后,根据AP业务密钥对经过所述AP业务密钥加密的WLAN接入密钥进行解密。
6.如权利要求3所述的方法,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带UE通用认证体系推送信息GPI;
所述UE根据用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密,具体为:
所述UE根据所述UEGPI生成用户密钥,根据所述用户密钥和ASF标识生成用户业务密钥,并使用所述用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密。
7.如权利要求3所述的方法,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带APGPI,所述UE向所述AP发送的WLAN密钥获取响应中还携带有所述APGPI;
所述AP根据AP业务密钥对经过AP业务密钥加密的WLAN接入密钥进行解密,具体为:
所述AP根据所述APGPI生成AP密钥,根据所述AP密钥和ASF标识生成AP业务密钥,并使用所述AP业务密钥对经过AP业务密钥加密的WLAN接入密钥进行解密。
8.如权利要求1至7任一项所述的方法,其特征在于,所述UE向ASF实体发送WLAN密钥获取请求之前,还包括:所述UE向所述AP发送WLAN密钥获取请求。
9.一种用户设备UE,其特征在于,网络侧设置有专门用于分发用户设备UE与接入点AP之间的WLAN接入密钥的认证服务功能ASF实体,该UE包括发送模块、接收模块、获取模块、第一验证模块和连接模块;
所述发送模块,用于向ASF实体发送无线局域网WLAN密钥获取请求,向接入点AP发送WLAN密钥获取响应,其中携带有所述获取模块获取到的UE与AP之间的WLAN接入密钥;
接收模块,用于接收所述ASF实体返回的WLAN密钥获取响应;
获取模块,用于获取所述接收模块接收到的WLAN密钥获取响应中携带的UE与AP之间的WLAN接入密钥;
第一验证模块,用于根据WLAN接入密钥与所述AP进行相互验证;
连接模块,用于在所述UE与所述AP相互验证通过后,与所述AP建立连接;
其中,所述发送模块,具体用于向AP发送WLAN密钥获取请求,在所述AP不能与ASF实体连接时,向所述ASF实体发送WLAN密钥获取请求。
10.如权利要求9所述的UE,其特征在于,所述ASF实体返回的WLAN密钥获取响应中携带的WLAN接入密钥包括:经过用户业务密钥加密的WLAN接入密钥和经过AP业务密钥加密的WLAN接入密钥;
所述UE,还包括:
存储模块,用于保存所述ASF实体返回的WLAN密钥获取响应中携带的经过用户业务密钥加密的WLAN接入密钥;
所述发送模块,具体用于将从所述ASF实体接收到的WLAN密钥获取响应转发给所述AP;或者
从所述ASF实体返回的WLAN密钥获取响应中获取到经过AP业务密钥加密的WLAN接入密钥后,将其携带于生成的WLAN密钥获取响应中发送给所述AP。
11.如权利要求10所述的UE,其特征在于,还包括:
解密模块,用于使用用户业务密钥解密所述经过用户业务密钥加密的WLAN接入密钥。
12.如权利要求11所述的UE,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带第一验证信息;
所述UE,还包括:
第二验证模块,用于根据用户业务密钥和经过用户业务密钥加密的WLAN接入密钥对所述第一验证信息进行验证;
所述解密模块,具体用于在所述第二验证模块对所述第一验证信息验证通过后,根据用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密。
13.如权利要求11所述的UE,其特征在于,所述ASF实体返回的WLAN密钥获取响应中还携带UE通用认证体系推送信息GPI;
所述解密模块,具体用于根据所述UEGPI生成用户密钥,根据所述用户密钥和ASF标识生成用户业务密钥,并使用所述用户业务密钥对经过用户业务密钥加密的WLAN接入密钥进行解密。
14.一种认证服务功能ASF实体,其专门用于分发用户设备UE与接入点AP之间的WLAN接入密钥,其特征在于,包括:
接收模块,用于接收用户设备UE发送的无线局域网WLAN密钥获取请求;
发送模块,用于向所述UE返回携带UE与AP之间的WLAN接入密钥的WLAN密钥获取响应;
其中,所述接收模块,具体用于在与所述UE关联的AP不能与所述ASF实体连接时,接收所述UE发送的WLAN密钥获取请求。
15.如权利要求14所述的ASF实体,其特征在于,
所述接收模块,还用于在所述AP能够与ASF实体连接时,接收所述AP发送的WLAN密钥获取请求;
所述发送模块,还用于在所述AP能够与ASF实体连接时,向所述UE返回携带WLAN接入密钥的WLAN密钥获取响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110061634.4A CN102685742B (zh) | 2011-03-15 | 2011-03-15 | 一种wlan接入认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110061634.4A CN102685742B (zh) | 2011-03-15 | 2011-03-15 | 一种wlan接入认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102685742A CN102685742A (zh) | 2012-09-19 |
| CN102685742B true CN102685742B (zh) | 2016-01-27 |
Family
ID=46816977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110061634.4A Active CN102685742B (zh) | 2011-03-15 | 2011-03-15 | 一种wlan接入认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102685742B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104837182B (zh) * | 2015-06-01 | 2018-06-01 | 联想(北京)有限公司 | 接入控制方法、控制方法、接入控制装置和控制装置 |
| WO2017152411A1 (zh) * | 2016-03-10 | 2017-09-14 | 华为技术有限公司 | 5g通信方法、网络侧设备和接入点 |
| CN107295511B (zh) * | 2016-03-31 | 2020-03-20 | 展讯通信(上海)有限公司 | Wlan终端、基站及lte网络向wlan网络的切换控制方法 |
| CN107979841B (zh) * | 2017-08-02 | 2020-11-03 | 上海连尚网络科技有限公司 | 无线接入点认证信息的查询方法与设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207484A (zh) * | 2006-12-22 | 2008-06-25 | 华为技术有限公司 | 多媒体子系统及其建立通道的方法和装置 |
| CN101432717A (zh) * | 2006-04-26 | 2009-05-13 | 思科技术公司 | 用于实现快速再认证的系统和方法 |
| CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1882345A1 (en) * | 2005-05-16 | 2008-01-30 | Thomson Licensing | Secure handoff in a wireless local area network |
| US7339915B2 (en) * | 2005-10-11 | 2008-03-04 | Cisco Technology, Inc. | Virtual LAN override in a multiple BSSID mode of operation |
| US8327143B2 (en) * | 2008-08-04 | 2012-12-04 | Broadcom Corporation | Techniques to provide access point authentication for wireless network |
| CN101699890A (zh) * | 2009-10-30 | 2010-04-28 | 天津工业大学 | 一种3g-wlan认证方法 |
-
2011
- 2011-03-15 CN CN201110061634.4A patent/CN102685742B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101432717A (zh) * | 2006-04-26 | 2009-05-13 | 思科技术公司 | 用于实现快速再认证的系统和方法 |
| CN101207484A (zh) * | 2006-12-22 | 2008-06-25 | 华为技术有限公司 | 多媒体子系统及其建立通道的方法和装置 |
| CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102685742A (zh) | 2012-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2792490C (en) | Key generation in a communication system | |
| US8261078B2 (en) | Access to services in a telecommunications network | |
| US8094821B2 (en) | Key generation in a communication system | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| Dantu et al. | EAP methods for wireless networks | |
| CN103039053A (zh) | 使用单一注册过程的客户端组的安全注册 | |
| CN101442402B (zh) | 认证接入点设备的方法、系统和装置 | |
| CN103139768A (zh) | 融合无线网络中的认证方法以及认证装置 | |
| CN102823282A (zh) | 用于二进制cdma的密钥认证方法 | |
| CN106921965A (zh) | 一种wlan网络中实现eap认证的方法 | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| Tseng | USIM-based EAP-TLS authentication protocol for wireless local area networks | |
| CN101079786B (zh) | 互连系统、互连系统中的认证方法和终端 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN104509144A (zh) | 在终端联接至接入网期间实现安全关联 | |
| Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
| KR101338487B1 (ko) | I-wlan에서 인증 서버 및 그의 접속 인증 방법 | |
| Deng et al. | Practical unified authentication for 3g-wlan interworking | |
| Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks | |
| Tsai et al. | Roaming across wireless local area networks using SIM-based authentication protocol | |
| Lin et al. | Authentication schemes based on the EAP-SIM mechanism in GSM-WLAN heterogeneous mobile networks | |
| KR101361198B1 (ko) | I-wlan에서 인증 서버 및 그의 접속 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |