CN103067342A - 一种使用eap进行外部认证的设备、系统及方法 - Google Patents
一种使用eap进行外部认证的设备、系统及方法 Download PDFInfo
- Publication number
- CN103067342A CN103067342A CN2011103209477A CN201110320947A CN103067342A CN 103067342 A CN103067342 A CN 103067342A CN 2011103209477 A CN2011103209477 A CN 2011103209477A CN 201110320947 A CN201110320947 A CN 201110320947A CN 103067342 A CN103067342 A CN 103067342A
- Authority
- CN
- China
- Prior art keywords
- eap
- message
- authentication
- data network
- grouped data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,用户设备初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息或修改PDP上下文请求消息到分组数据网络网关。采用本发明的技术方案,可实现用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/PDN GW向外部认证授权服务器完成认证授权。
Description
技术领域
本发明涉及通信领域,具体地,涉及一种使用EAP可扩展认证协议进行外部认证的设备、系统及方法。
背景技术
可扩展认证协议(EAP,Extensible Authentication Protocol)是一个用于点到点认证的通用协议,可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法,而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应点到点认证方简单地把收到的认证报文透传给后方的认证服务器,由后方的认证服务器来真正实现各种认证方法。在链路阶段完成以后,认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型,例如是对端的ID、MD5的挑战字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下,认证方首先发送一个ID请求报文随后再发送其他的请求报文。当然,并不是必须要首先发送这个ID请求报文,在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。对端对每一个请求报文回应一个应答报文。和请求报文一样,应答报文中也包含一个类型字段,对应于所回应的请求报文中的类型字段。认证方通过发送一个成功或者失败的报文来结束认证过程。相对于其他认证方法,EAP的优点在于,EAP可以支持多种认证机制,而无需在LCP阶段预协商过程中指定。某些设备(如:网络接入服务器)不需要关心每一个请求报文的真正含义,而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败,然后结束认证阶段。
第三代合作伙伴计划(3rd Generation Partnership Project,简称为3GPP)演进的分组系统(Evolved Packet System,简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal TerrestrialRadio Access Network,简称为E-UTRAN)、移动管理单元(MobilityManagement Entity,简称为MME)、服务网关(Serving Gateway,S-GW)、分组数据网络网关(Packet Data Network Gateway,简称为P-GW或者PDN GW)、归属用户服务器(Home Subscriber Server,简称为HSS)、策略和计费规则功能(Policy and Charging Rules Function,简称为PCRF)实体及其他支撑节点组成。
图1中,MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作;S-GW是与E-UTRAN相连的接入网关设备,在E-UTRAN和P-GW之间转发数据,并且负责对寻呼等待数据进行缓存;P-GW则是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关,负责PDN的接入及在EPS与PDN间转发数据等功能;PCRF是策略和计费规则功能实体,它通过接收接口Rx和运营商网络协议(Internet Protocol,简称为IP)业务网络相连,获取业务信息,此外,它通过Gx/Gxa/Gxc接口与网络中的网关设备相连,负责发起IP承载的建立,保证业务数据的服务质量(Quality of Service,简称为QoS),并进行计费控制。
在用户设备初始附着/切换或者创建新的PDN连接到EPS网络的过程中,GGSN/PDN GW可能向外部分组数据网络中的认证服务器(可能是第三方提供的)为用户设备进行用户认证授权、相关配置参数的下发(比如IP地址)等。当用户设备通过3GPP接入网络即GERAN/UTRAN/E-UTRAN建立PDN连接时,用户设备通过PCO(ProtocolConfiguration Option,协议配置选择)信息元素将需要外部认证授权服务器认证授权的数据透传给GGSN/PDN GW,而后GGSN/PDN GW提取PCO中的用户认证数据,包含在向外部认证授权服务器发送的认证消息中。外部认证授权服务器对用户进行认证授权后将认证结果以及相关数据通过认证响应消息返回给GGSN/PDN GW。GGSN/PDN GW将上述认证结果以及相关数据通过包含在PCO中返回给用户设备。当前标准中,PCO支持携带CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)和PAP(Password Authentication Protocol,密码认证协议)参数,即两种认证方法。随着网络安全的发展,可扩展认证协议(EAP,Extensible Authentication Protocol)因为其具备更好的安全性被运营商所采纳使用,也成为用户设备进行外部认证授权方法的潜在需求。然而,相对于CHAP和PAP认证方法的一轮交互而言,EAP认证方法在客户端和服务器之间有两轮消息交互,上述EAP认证方法的特点决定了对当前的用户设备连接到EPS的流程会产生影响。
发明内容
本发明针对上述用户设备通过EAP认证方法在连接到EPS网络的过程中进行外部认证授权的潜在需求,拟定了用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/PDN GW向外部认证授权服务器完成认证授权的流程。
本发明提供一种使用EAP可扩展认证协议进行外部认证的方法,包括:
用户设备通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
进一步地,所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;
所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括:
分组数据网络网关收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;
所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备;
分组数据网络网关收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果,所述分组数据网络网关将接收的认证结果发送至用户设备。
进一步地,所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中,所述信息元素为PCO中或新定义的信息元素;
移动管理单元收到附着请求后,通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关;
所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元,所述移动管理单元将所述信息元素包含在附着接受消息中发送给用户设备;
所述分组数据网络网关将包含认证结果的信息元素通过更新承载请求消息经服务网关传送给移动管理单元,移动管理单元将所述信息元素通过下行NAS传输消息发给用户设备。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括:
用户设备通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;当所述用户设备收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
进一步地,所述EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括:
GGSN/分组数据网络网关收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,外部认证服务器收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;
所述GGSN/分组数据网络网关将EAP请求信息通过PDP激活接受消息发送到用户设备;
GGSN/分组数据网络网关收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备。
进一步地,所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;
所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的用户设备:
所述用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
进一步地,所述用户设备通过将所述EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;
所述用户设备将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的网络侧设备:
所述网络侧设备包括分组数据网络网关及外部认证服务器;
所述分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备;
所述外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。
进一步地,所述网络侧设备还包括移动管理单元及服务网关;
所述移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备;
所述信息元素为PCO或新定义的信息元素。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的用户设备:
所述用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
进一步地,所述用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的网络侧设备:
所述网络侧设备包括GGSN/分组数据网络网关及外部认证服务器;
所述GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备;
所述外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。
进一步地,所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;
所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
本发明还提供一种使用EAP可扩展认证协议进行外部认证的系统:
所述系统包括施例一所述的用户设备,以及如实施例三所述的网络侧设备;或者,
所述系统包括如实施例二所述的用户设备,以及如实施例四所述的网络侧设备。
综上所述,本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,可实现用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/PDN GW向外部认证授权服务器完成认证授权。
附图说明
图1是演进分组网络(EPS)的系统非漫游情况的结构示意图;
图2是实施例五的流程示意图(E-UTRAN接入EAP认证成功);
图3是实施例六的流程示意图(E-UTRAN接入EAP认证失败);
图4是实施例七的流程示意图(UTRAN/GERAN接入EAP认证成功);
图5是实施例八的流程示意图(UTRAN/GERAN接入EAP认证失败)。
具体实施方式
本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,
设备实施例
实施例一
本实施例提供一种使用EAP进行外部认证的用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
进一步地,用户设备通过将EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
实施例二
本实施例提供一种使用EAP进行外部认证的用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
进一步地,用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
实施例三
本实施例提供一种使用EAP进行外部认证的网络侧设备,包括分组数据网络网关及外部认证服务器;
分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备;
外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。
进一步地,网络侧设备还包括移动管理单元及服务网关;
移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备;
所述信息元素为PCO或新定义的信息元素。
实施例四
本实施例提供一种使用EAP进行外部认证的网络侧设备,包括GGSN/分组数据网络网关及外部认证服务器;
GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备;
外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。
进一步地,GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
系统实施例
本实施例提供一种使用EAP可扩展认证协议进行外部认证的系统,包括如实施例一所述的用户设备,以及如实施例三所述的网络侧设备;或者,
该系统包括如实施例二所述的用户设备,以及如实施例四所述的网络侧设备。
方法实施例
实施例五
图2是利用本发明所述方法,UE通过E-UTRAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权成功的流程描述。
步骤201,用户设备将使用EAP进行外部认证方法所需的EAP认证信息通过附着请求消息发给移动管理单元;
进一步地,EAP认证信息包括身份标识及EAP认证和/或授权参数;
EAP认证信息可以是包含在PCO中,也可以是包含在新定义的信息元素(Information Element,IE)中。
步骤202,如果附着请求消息没有完整性保护,或者完整性保护失败,执行用户的鉴权认证过程;
步骤203~204,移动管理单元通过服务网关将包含了EAP认证信息的PCO或新定义的信息元素携带在建立会话请求消息发送给分组数据网络网关;
步骤205~206,分组数据网络网关收到建立会话请求消息后,从该消息的PCO或新定义的信息元素中提取EAP认证信息,将提取的认证信息包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;
步骤207~208,分组数据网络网关将接入挑战消息中的EAP请求信息包含在PCO或新定义的信息元素中通过建立会话响应消息经服务网关传送给移动管理单元;
步骤209,移动管理单元将PCO或新定义的信息元素包含在附着接受消息中发送给用户设备,至此,用户设备完成了连接到EPS的初始附着,建立了默认承载;
步骤210,用户设备在收到EAP请求信息后发起承载资源修改流程,即用户设备发送包含对上述EAP请求信息的EAP响应信息的请求承载资源修改消息到移动管理单元;
该EAP响应信息可以包含在PCO中或新定义的信息元素中;
步骤211~212,移动管理单元通过服务网关将包含了响应信息的PCO或新定义的信息元素携带在承载资源命令消息发送给分组数据网络网关;
步骤213,分组数据网络网关从PCO或新定义的信息元素中提取EAP响应信息,包含到接入请求消息中发送给外部AAA服务器;
步骤214,AAA服务器收到接入请求消息后确认认证成功,返回包含EAP认证结果为成功的接入接受消息给分组数据网络网关;
步骤215~216,分组数据网络网关将接入接受消息中的EAP认证结果包含在PCO或新定义的信息元素中通过更新承载请求消息经服务网关传送给移动管理单元;
步骤217,移动管理单元将EAP认证结果信息包含在PCO或新定义的信息元素中通过下行NAS传输消息发给用户设备;
步骤218~219,分组数据网络网关和外部AAA服务器交互计费信息,这两个步骤在EAP认证成功后即可进行;
步骤220~222,用户设备发送更新承载响应消息。
实施例六
图3是利用本发明所述方法,UE通过E-UTRAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权失败的流程描述。如果EAP认证授权失败,网络或者用户设备会发起删除当前承载。
步骤301~313,同实施例1第201步到第213步;
步骤314,外部AAA服务器收到请求消息后确认认证失败,返回包含EAP认证结果为失败的接入响应消息给分组数据网络网关;
步骤315~316,分组数据网络网关发现认证失败后,将收到的接入响应消息中的EAP认证结果信息包含在PCO或新定义的信息元素中发送承载资源失败指示消息经服务网关传送给移动管理单元;
步骤317,移动管理单元将包含EAP认证结果信息包含在PCO或新定义的信息元素通过承载资源修改拒绝消息发送给用户设备;
步骤318~319,由于认证失败,当前承载需要进行删除分组数据网络网关在执行315步后发送删除承载请求消息;
步骤320,用户设备和网络之间完成承载去活流程删除当前承载。
实施例七
图4是利用本发明所述方法,UE通过UTRAN/GERAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权成功的流程描述。
步骤401~405,用户设备从UTRAN/GERAN接入系统发起附着流程连接到EPS上;
步骤406,用户设备向SGSN发送PDP上下文激活请求,用户设备将EAP认证所需的EAP认证信息包含在PCO或新定义的信息元素中发送;
步骤407,SGSN将接收的PDP上下文激活请求依次通过MME及SGW转发至GGSN/PDN GW;
步骤408~409,GGSN/PDN GW从PCO或新定义的信息元素中提取EAP认证信息,包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到请求后消息后返回包含EAP请求的接入挑战消息给GGSN/PDN GW;
步骤410,GGSN/PDN GW将接入挑战消息中的EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息依次经过SGW、MME发送至SGSN;
步骤411,SGSN将接收的PDP激活接受消息转发至用户设备;
步骤412,用户设备在收到EAP请求信息后发起修改PDP上下文流程,即用户设备发送携带对上述EAP请求的EAP响应信息的修改PDP上下文请求消息到SGSN;
步骤413,SGSN将接收的修改PDP上下文请求消息依次经过MME、SGW转发至GGSN/PDN GW;
EAP响应信息可以包含在PCO中,也可以包含在新定义的信息元素中;
步骤414~415,GGSN/PDN GW从PCO或新定义的信息元素中提取EAP响应信息,包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到请求消息后确认认证成功,返回包含EAP认证结果为成功的接入接受消息给GGSN/PDN GW;
步骤416~417,GGSN/PDN GW将接入接受消息中的EAP认证结果信息包含在PCO或新定义的信息元素中通过更新上下文响应消息依次经过SGW、MME及SGSN发送给用户设备。
实施例八
图5是利用本发明所述方法,UE通过UTRAN/GERAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权失败的流程描述。如果EAP认证授权失败,网络或者用户设备会发起删除当前PDP上下文。
步骤501~514,同实施例3第401步到第414步;
步骤515,外部AAA服务器收到请求消息后确认认证失败,返回包含EAP认证结果为失败的接入响应消息给GGSN/PDN GW;
步骤516~517,GGSN/PDN GW发现认证失败后将收到的接入响应消息中的EAP认证结果信息包含在PCO或新定义的信息元素中,通过更新PDP上下文响应消息依次经过SGW、MME及SGSN发送给用户设备;
步骤518,用户设备/网络发起删除当前PDP上下文。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (17)
1.一种使用EAP可扩展认证协议进行外部认证的方法,包括:
用户设备通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
2.如权利要求1所述的方法,其特征在于:
所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;
所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
3.一种使用EAP可扩展认证协议进行外部认证的方法,包括:
分组数据网络网关收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;
所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备;
分组数据网络网关收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果,所述分组数据网络网关将接收的认证结果发送至用户设备。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中,所述信息元素为PCO中或新定义的信息元素;
移动管理单元收到附着请求后,通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关;
所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元,所述移动管理单元将所述信息元素包含在附着接受消息中发送给用户设备;
所述分组数据网络网关将包含认证结果的信息元素通过更新承载请求消息经服务网关传送给移动管理单元,移动管理单元将所述信息元素通过下行NAS传输消息发给用户设备。
5.一种使用EAP可扩展认证协议进行外部认证的方法,包括:
用户设备通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;当所述用户设备收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
6.如权利要求5所述的方法,其特征在于:
所述EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
7.一种使用EAP可扩展认证协议进行外部认证的方法,包括:
GGSN/分组数据网络网关收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,外部认证服务器收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;
所述GGSN/分组数据网络网关将EAP请求信息通过PDP激活接受消息发送到用户设备;
GGSN/分组数据网络网关收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备。
8.如权利要求7所述的方法,其特征在于:
所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;
所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
9.一种使用EAP可扩展认证协议进行外部认证的用户设备,其特征在于:
所述用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
10.如权利要求9所述的用户设备,其特征在于:
所述用户设备通过将所述EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;
所述用户设备将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
11.一种使用EAP可扩展认证协议进行外部认证的网络侧设备,其特征在于:
所述网络侧设备包括分组数据网络网关及外部认证服务器;
所述分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备;
所述外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。
12.如权利要求11所述的网络侧设备,其特征在于:
所述网络侧设备还包括移动管理单元及服务网关;
所述移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备;
所述信息元素为PCO或新定义的信息元素。
13.一种使用EAP可扩展认证协议进行外部认证的用户设备,其特征在于:
所述用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
14.如权利要求13所述的用户设备,其特征在于:
所述用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
15.一种使用EAP可扩展认证协议进行外部认证的网络侧设备,其特征在于:
所述网络侧设备包括GGSN/分组数据网络网关及外部认证服务器;
所述GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备;
所述外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。
16.如权利要求15所述的网络侧设备,其特征在于:
所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;
所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
17.一种使用EAP可扩展认证协议进行外部认证的系统,其特征在于:
所述系统包括如权利要求9或10所述的用户设备,以及如权利要求11或12所述的网络侧设备;或者,
所述系统包括如权利要求13或14所述的用户设备,以及如权利要求15或16所述的网络侧设备。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110320947.7A CN103067342B (zh) | 2011-10-20 | 2011-10-20 | 一种使用eap进行外部认证的设备、系统及方法 |
| EP12842443.9A EP2757819A4 (en) | 2011-10-20 | 2012-10-19 | DEVICE, SYSTEM AND METHOD USING EAP FOR EXTERNAL AUTHENTICATION |
| JP2014536105A JP5886438B2 (ja) | 2011-10-20 | 2012-10-19 | Eapを用いて外部認証を行う装置、システム及び方法 |
| PCT/CN2012/083190 WO2013056668A1 (zh) | 2011-10-20 | 2012-10-19 | 一种使用eap进行外部认证的设备、系统及方法 |
| US14/352,355 US9332435B2 (en) | 2011-10-20 | 2012-10-19 | Device, system and method using EAP for external authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110320947.7A CN103067342B (zh) | 2011-10-20 | 2011-10-20 | 一种使用eap进行外部认证的设备、系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103067342A true CN103067342A (zh) | 2013-04-24 |
| CN103067342B CN103067342B (zh) | 2018-01-19 |
Family
ID=48109808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110320947.7A Expired - Fee Related CN103067342B (zh) | 2011-10-20 | 2011-10-20 | 一种使用eap进行外部认证的设备、系统及方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9332435B2 (zh) |
| EP (1) | EP2757819A4 (zh) |
| JP (1) | JP5886438B2 (zh) |
| CN (1) | CN103067342B (zh) |
| WO (1) | WO2013056668A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019024612A1 (zh) * | 2017-08-03 | 2019-02-07 | 华为技术有限公司 | 一种接入鉴权的方法及装置 |
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN110603891A (zh) * | 2017-05-08 | 2019-12-20 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
| CN110602024A (zh) * | 2018-06-13 | 2019-12-20 | 中国电信股份有限公司 | 用户终端二次认证方法和系统、接入和移动性管理装置 |
| CN114301593A (zh) * | 2021-12-30 | 2022-04-08 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
| WO2022179525A1 (en) * | 2021-02-23 | 2022-09-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for authentication |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9992670B2 (en) | 2014-08-12 | 2018-06-05 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| GB2531500A (en) * | 2014-08-12 | 2016-04-27 | Vodafone Ip Licensing Ltd | Machine-to-machine cellular communication security |
| US20160050561A1 (en) * | 2014-08-12 | 2016-02-18 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| US11956635B2 (en) * | 2022-01-20 | 2024-04-09 | Hewlett Packard Enterprise Development Lp | Authenticating a client device |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100035578A1 (en) * | 2008-08-07 | 2010-02-11 | Futurewei Technologies, Inc. | Method and System for Interworking Between Two Different Networks |
| CN101741768A (zh) * | 2008-11-14 | 2010-06-16 | 大唐移动通信设备有限公司 | 一种pco信息的处理方法、系统及装置 |
| CN101778373A (zh) * | 2009-01-13 | 2010-07-14 | 华为技术有限公司 | 一种选择分组数据网络的方法、装置与系统 |
| CN101784027A (zh) * | 2009-01-19 | 2010-07-21 | 中兴通讯股份有限公司 | 紧急会话切换方法及系统 |
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| WO2011051886A1 (en) * | 2009-10-26 | 2011-05-05 | Telefonaktiebolaget Lm Ericsson (Publ) | User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment |
| CN102223634A (zh) * | 2010-04-15 | 2011-10-19 | 中兴通讯股份有限公司 | 一种用户终端接入互联网方式的控制方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4557968B2 (ja) * | 2003-03-18 | 2010-10-06 | トムソン ライセンシング | 無線ネットワークとセルラーネットワークとを接続するためのタイト・カップリング・シグナリング接続管理 |
| FI20050491A0 (fi) | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| CN102448064B (zh) * | 2008-04-11 | 2015-09-16 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| CN101404798A (zh) | 2008-09-12 | 2009-04-08 | 上海顶竹通讯技术有限公司 | 一种藉由固网接入移动核心网的方法 |
| JP5763274B2 (ja) * | 2011-08-01 | 2015-08-12 | インテル コーポレイション | ネットワーク・アクセス制御のための方法及びシステム |
-
2011
- 2011-10-20 CN CN201110320947.7A patent/CN103067342B/zh not_active Expired - Fee Related
-
2012
- 2012-10-19 WO PCT/CN2012/083190 patent/WO2013056668A1/zh active Application Filing
- 2012-10-19 JP JP2014536105A patent/JP5886438B2/ja not_active Expired - Fee Related
- 2012-10-19 EP EP12842443.9A patent/EP2757819A4/en not_active Withdrawn
- 2012-10-19 US US14/352,355 patent/US9332435B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100035578A1 (en) * | 2008-08-07 | 2010-02-11 | Futurewei Technologies, Inc. | Method and System for Interworking Between Two Different Networks |
| CN101741768A (zh) * | 2008-11-14 | 2010-06-16 | 大唐移动通信设备有限公司 | 一种pco信息的处理方法、系统及装置 |
| CN101778373A (zh) * | 2009-01-13 | 2010-07-14 | 华为技术有限公司 | 一种选择分组数据网络的方法、装置与系统 |
| CN101784027A (zh) * | 2009-01-19 | 2010-07-21 | 中兴通讯股份有限公司 | 紧急会话切换方法及系统 |
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| WO2011051886A1 (en) * | 2009-10-26 | 2011-05-05 | Telefonaktiebolaget Lm Ericsson (Publ) | User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment |
| CN102223634A (zh) * | 2010-04-15 | 2011-10-19 | 中兴通讯股份有限公司 | 一种用户终端接入互联网方式的控制方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN110235423B (zh) * | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN110603891A (zh) * | 2017-05-08 | 2019-12-20 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
| CN110603891B (zh) * | 2017-05-08 | 2023-11-21 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
| WO2019024612A1 (zh) * | 2017-08-03 | 2019-02-07 | 华为技术有限公司 | 一种接入鉴权的方法及装置 |
| CN110602024A (zh) * | 2018-06-13 | 2019-12-20 | 中国电信股份有限公司 | 用户终端二次认证方法和系统、接入和移动性管理装置 |
| CN110602024B (zh) * | 2018-06-13 | 2021-12-21 | 中国电信股份有限公司 | 用户终端二次认证方法和系统、接入和移动性管理装置 |
| WO2022179525A1 (en) * | 2021-02-23 | 2022-09-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for authentication |
| CN114301593A (zh) * | 2021-12-30 | 2022-04-08 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9332435B2 (en) | 2016-05-03 |
| CN103067342B (zh) | 2018-01-19 |
| US20140256291A1 (en) | 2014-09-11 |
| JP5886438B2 (ja) | 2016-03-16 |
| WO2013056668A1 (zh) | 2013-04-25 |
| EP2757819A1 (en) | 2014-07-23 |
| JP2014532381A (ja) | 2014-12-04 |
| EP2757819A4 (en) | 2015-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103067342A (zh) | 一种使用eap进行外部认证的设备、系统及方法 | |
| EP3657894B1 (en) | Network security management method and apparatus | |
| CN103392353B (zh) | 无线网络的能力开放系统、网关、代理和方法 | |
| JP4741193B2 (ja) | インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム | |
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| CN104995891B (zh) | 处理业务报文的方法、装置和网关设备 | |
| CN102217363A (zh) | 用于多分组数据网络接入的名称绑定的系统和方法 | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| EP2317694B1 (en) | Method and system and user equipment for protocol configuration option transmission | |
| CN104335641A (zh) | 漫游场景下的数据业务处理方法、装置和系统 | |
| CN104735027A (zh) | 一种安全认证方法及鉴权认证服务器 | |
| US20150230074A1 (en) | Charging Control Method, Device, and System for Data Service of Roaming Subscriber | |
| CN103428664A (zh) | 一种网络融合的方法、设备及通信系统 | |
| JP5930438B2 (ja) | アクセス方法、モビリティ管理デバイス、およびユーザ機器 | |
| CN101925038B (zh) | 数据传输方法、通信装置及网络系统 | |
| CN102369695A (zh) | 关联会话的方法、装置及系统 | |
| CN104506406B (zh) | 一种鉴权认证设备 | |
| WO2016078090A1 (zh) | 计费控制装置、方法及系统 | |
| CN103563419B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| CN108235315B (zh) | 终端免配置的无线vpdn接入方法和系统 | |
| CN103563418B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| CN109982311A (zh) | 一种终端接入核心网设备方法及终端、mme和saegw | |
| CN106790998A (zh) | 一种在飞行模式下设置联系功能的方法及移动终端 | |
| CN104869180A (zh) | 控制终端通信范围的方法和设备 | |
| CN105791256A (zh) | 一种获取用户信息的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180119 Termination date: 20201020 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |