CN104852896B - 一种Wi‑Fi无线节点入网方法及系统 - Google Patents
一种Wi‑Fi无线节点入网方法及系统 Download PDFInfo
- Publication number
- CN104852896B CN104852896B CN201510055088.1A CN201510055088A CN104852896B CN 104852896 B CN104852896 B CN 104852896B CN 201510055088 A CN201510055088 A CN 201510055088A CN 104852896 B CN104852896 B CN 104852896B
- Authority
- CN
- China
- Prior art keywords
- key
- access points
- wireless access
- identity
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种Wi‑Fi无线节点入网方法和系统,主要在不改变现有无线网络接入点及其移动运营商网络接入控制器设备的条件下,采用本发明提出的Wi‑Fi节点入网系统对现有无线网络接入点通过基于认证和密钥分配协议EAP‑AKA和密钥交换协议IKEv2进行用户设备接入Wi‑Fi的认证,主要步骤为:(1)无线网络接入点和接入控制器通过EAP‑AKA/SIM建立安全信道IPsec;(2)AP利用核心网中的用户信息进行接入控制器辅助完成用户设备的入网认证。本发明与传统的使用EAP‑AKA的Wi‑Fi认证方法相比,提升了移动终端用户接入授信无线网络接入点的安全性能,同时降低了现有电信级WiFi站点部署的难度,具有安全、快速、便利的优点,有利于通过第三方部署开展移动宽带接入的场景。
Description
技术领域
本发明属于通信安全领域,涉及一种通过移动终端设备授信Wi-Fi节点接入互联网的认证方法及系统。
背景技术
Wi-Fi接入网络是实现固网、移动网络的形成融合互补的有效方案,无线网络接入点即本文所述Wi-Fi节点。对于无线网络接入点的部署,需要跳出传统移动网络的观念,通过创新的业务模式和应用模式将移动业务主导的蜂窝基站和固定业务主导的Wi-Fi站点相结合,在互利共赢基础上探寻开放运营模式,使得Wi-Fi技术能作为一种更安全低廉的无线接入方案,提供高速数据无线接入,改善宏蜂窝网络的小区负荷,更重要得是可以增强用户综合感知度,使移动业务和宽带业务在市场竞争中相互促进相互支撑。
近年来,无线互联网业务的迅猛发展,对无线宽带网络建设提出极大的带宽需求,相比于运营商现有部署的3G/4G无线宽带网络,Wi-Fi技术具有自组织、自动侦测、接入设备小、易于安装、接入成本低等综合优势,且回程线路多利用有线宽带,特别适合在局部区域部署吸收移动互联网中高速率低附加值业务,对现有的移动宽带网络进行分流吸热,提升移动宽带网络的流量营收附加值。虽然近年来Wi-Fi技术以其简便灵活易用在蜂窝网络吸热分流中的得到广泛应用,但是受网络安全和移动性制约,在电信级运营部署中一直未受到主力技术体制部署。
与蜂窝宏基站不同,Wi-Fi接入点(AP)需要大量部署,一般通过固网运营商不可信的有线链路连接到互联网,这必然为运营商实现电信级Wi-Fi接入管理和运营带来诸多不便。一方面,Wi-Fi接入点部署在不可信的互联网环境中,极易受到恶意用户的攻击,并以Wi-Fi接入点为通道(例如伪接入点或者伪基站),进一步对UE造成网络安全威胁,另一方面,大量部署Wi-Fi接入点需要耗费运营商大量的人力物力,随着城市快速变化,第三方虚拟运营商大量兴起,如何促进虚拟运营商投入到Wi-Fi接入点建设,是关系到Wi-Fi能否成为一种新兴的虚拟运营商务模式的关键。虽然业界已经提出一系列基于SIM卡鉴权认证的Wi-Fi接入认证安全方案,但主要还是建立在基于安全接入链路和授信AP节点上的UE的接入鉴权,并没有完整的UE通过Wi-Fi接入点接入互联网的安全认证方法。
本发明提出一种适合在无线业务热点快速部署的Wi-Fi节点通过电信网络认证接入互联网的方法及系统设备,基于此项技术,运营商可以基于Wi-Fi接入技术构建适合用户安全接入的无线局域网络,并且支持用户不受打扰的无缝接入,同时支持开展第三方合作部署的新运营模式。
发明内容
本发明针对现有技术中缺少完整的用户设备直接通过无线访问接入点接入互联网的安全认证方法,提出一种适合在无线业务热点快速部署的Wi-Fi节点通过电信网络认证接入互联网的方法及系统设备。
本发明涉及使用的网络设备包括:
用户设备,简称UE,一般指移动终端等网络用户侧接入设备,通过该设备用户访问网络,其用户身份信息为UID1。
无线访问接入点设备,简称AP,一般指运营商部署的小型接入站点,UE通过该小型站点完成认证及必要的报文加密后,接入到网络,其用户身份信息为UID2。
接入控制器设备,简称AC,一般指作为认证鉴权网关设备代表核心网对AP及UE进行接入认证与授权管理,认证通过后,指示AP为UE开放相关网络接入资源,从而确保用户能够安全接入到网络。
AAA服务器,根据核心网网元HSS服务器所保留的用户签约数据库信息对AP和UE设备进行鉴权计算。
归属用户服务器,简称HSS服务器,管理用户的各种签约数据。
本发明通过在UE、AP和AAA服务器实体之间三方交互消息,传递携带证书性质的认证信息,进行AP与AAA、UE与AAA之间的双向认证,从而建立起面向UE的授信AP接入线路,既使UE可以无感知的接入该授信节点,同时也使得UE接入网络更加安全。具体方案如下:
一种Wi-Fi无线节点入网方法,包括步骤S1,无线访问接入点通过接入控制器进行接入核心网认证,建立认证安全信道Ipsec,具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP-AKA/SIM的方式进行如下双向认证:
(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权。
(1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器。
(1.3)AAA服务器检查无线访问接入点身份,并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1。
(1.4)AAA服务器计算主密钥MK1并保存,建立与该主密钥MK1对应的无线访问接入点身份列表。
(1.5)AAA服务器计算消息认证码MACserver,连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给无线访问接入点。
(1.6)无线访问接入点用步骤(1. 4)的方法分别计算主密钥MK1和主会话密钥MSK1并存储,计算响应XRES和消息认证码MACuser。
(1.7)无线访问接入点验证步骤(1. 5)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1. 6)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器。
(1.8)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK1发送给接入控制器。
(1.9)无线访问接入点和接入控制器将主会话密钥MSK1作为种子,计算出子密钥MSK_S,无线访问接入点和接入控制器之间利用该子密钥进行安全通信。
步骤S2,用户设备与无线访问接入点之间进行如下认证:
(2.1)用户设备向无线访问接入点发起鉴权请求,无线访问接入点向用户设备发送EAPRequest/identity消息,用于请求用户设备的身份。
(2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器。
(2.3)AAA服务器对获得的用户设备身份进行检查,并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2。
(2.4)AAA服务器计算主密钥:MK2= prf(Identity_UE|IK2|CK2)),并使用主密钥MK2生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity_UE是用户设备身份。
(2.5)AAA服务器保存主密钥MK2,建立与该主密钥MK2对应的用户设备身份列表。
(2.6)AAA服务器计算消息认证码MACserver,连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给用户设备。
(2.7)用户设备用步骤(2.4)的方法分别计算主密钥MK2和主会话密钥MSK2,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser。
(2.8)用户设备验证步骤(2.6)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(2.7)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器。
(2.9)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK2发送给无线访问接入点。
(2.10)用户设备和无线访问接入点将主会话密钥MSK2作为种子,计算出子密钥MSK_U,用户设备和无线访问接入点之间利用该子密钥进行安全通信。
(2.11)无线访问接入点在本地为用户设备分配IP地址,转发经MSK_U加密的EAP-Success消息,通知用户设备鉴权成功。
进一步地,步骤(1.1)具体为:(a)无线访问接入点向接入控制器发送初始交换IKE_SA_INIT请求消息;
(b)接入控制器向无线访问接入点返回初始交换IKE_SA_INIT响应消息。
步骤(1.3)中AAA服务器获取认证向量需先查找所述无线接入点是否在AAA服务器中存在有效认证向量,若存在则直接使用,若不存在则从归属用户服务器服务器获取一组认证向量,所述有效认证向量为在预先设定有效时间内的认证向量。
步骤(1.4)AAA服务器计算主密钥公式为MK1=prf(Identity_AP|IK1|CK1)),其中|表示比特串的链接,prf是伪随机函数,Identity_AP是无线访问接入点身份。
步骤(1.5)AAA服务器通过分组加密算法计算消息认证码。
步骤(1.4)中建立与主密钥MK1对应的无线访问接入点身份列表的方法为,在AAA服务器中建立一个数据库,该数据库包括无线访问接入点的身份Identity_AP和对应的主密钥MK1,当使用无线访问接入点的身份Identity_AP对该数据库进行搜索时,就能找到相应的主密钥MK1。
步骤(2.5)中建立与主密钥MK2对应的用户设备身份列表的方法为在AAA服务器中建立一个数据库,该数据库包括用户设备的身份Identity_UE和对应的主密钥MK2,当使用用户设备的身份Identity_UE对该数据库进行搜索时,就能找到相应的主密钥MK2。
加密密钥CK1、CK2和完整性密钥IK1、IK2是由用户和核心网预先共享的主密钥K按照3GPP标准中的方法生成。
一种WI-FI无线节点入网系统,包括用户设备、无线访问接入点、接入控制器、AAA服务器、归属用户服务器,AAA服务器和归属用户服务器是核心网网元,用户设备与无线访问输入点之间可以双向认证通信,无线访问输入点可以通过接入控制器与AAA服务器之间双向认证通信,AAA服务器根据归属用户服务器保留的用户签约数据库信息对无线访问接入点和用户设备进行鉴权计算,接入控制器代表核心网对无线访问接入点和用户设备进行接入认证与授权管理。
本发明直接利用AP上装载SIM卡通过EAP-AKA对AP进行入网认证,方便了AP的快速部署。由于其整个认证过程以认证与密钥分配协议EAP-AKA和密钥交换协议IKEv2为基础,保证了认证的安全性,同时与传统的认证方法相比,步骤2直接利用步骤1中建立的安全信道进行通信,不需要重新建立安全信道,从而减少了整个认证过程的信令传输。整个技术方案依据3GPP标准认证方案为基础流程进行设计,有利于移动运营商设备兼容性扩展。
说明书附图
图1 本发明Wi-Fi无线节点入网系统具体实施例的网络结构框图。
图2 本发明具体实施例无线访问接入点与核心网的认证过程。
图3 本发明具体实施例用户设备与无线访问接入点的认证过程。
具体实施方式
本发明Wi-Fi无线节点入网方法的具体实施方案是通过密钥分享协议以及同时运行在UE侧的客户端和AAA侧鉴权端的认证进程管理Wi-Fi接入认证,通过分别读取传递UE、AP上的用户身份模块(SIM)卡的认证信息和网络侧的认证信息,对UE与AP、AAA的鉴权进行交互,实现AP和核心网之间的鉴权。本发明的WI-FI无线节点入网系统的网络结构如图1所示,主要包括用户设备UE、无线访问接入点AP、接入控制器AC、AAA服务器、归属用户服务器HSS,AAA服务器和HSS服务器是核心网网元,UE与AP之间可以双向认证通信,AP可以通过AC与AAA服务器之间双向认证通信,AAA服务器根据HSS服务器保留的用户签约数据库信息对AP和UE进行鉴权计算,AC代表核心网对AP和UE进行接入认证与授权管理。
下面结合附图具体描述本发明Wi-Fi无线节点入网方法实施例实现步骤:步骤1,AP通过SIM卡认证协议EAP-AKA(SIM)或者写入到本地的证书接入核心网进行认证,建立认证安全信道Ipsec,本具体实施例以SIM卡存储为具体实施例,不失本地证书存储的一般性。AP端的SIM卡实际上也承载着AP本身的信息,这时AP在AAA那端看来也是一个用户,只是这个用户不是自己收发数据,而是转发真正的用户设备UE的数据。
如图2所示,步骤1的具体实现是采用标准密钥交换协议IKEv2承载EAP-AKA/SIM的方式,对AP和AC进行如下双向认证,网络两侧事先生成并分别存储分配用户密钥IK与网络密钥CK:
(1.1)AP通过EAPol/Start向AC发起鉴权请求,AP向AC发送初始交换IKE_SA_INIT请求消息,AC向AP返回初始交换IKE_SA_INIT响应消息,AC向AP发送EAPRequest /identity消息,用于请求AP的身份。
(1.2)AP通过EAP Response/identity消息将SIM卡所携带的的国际用户识别码IMSI或临时识别码TMSI通过AC发送给AAA服务器。
(1.3)AAA服务器获得AP的身份后,对其身份进行检查,并查找该AP是否存在有效的认证向量,即在预先设定有效时间内的认证向量。
(1.4)如果在AAA服务器中存在有效的认证向量,则直接使用;否则要向HSS服务器获取一组新的认证向量,该认证向量包括挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1,其中加密密钥CK1和完整性密钥IK1的生成是由用户和核心网预先共享的主密钥K生成的,生成方法直接使用3GPP标准中提供的方法。
(1.5)AAA服务器选择这组认证向量中的一个用于接下来的EAP-AKA认证过程,保存剩下的认证向量为以后使用,并为它们设定有效时间。
(1.6)AAA服务器计算主密钥:MK1=prf(Identity_AP|IK1|CK1)),并使用主密钥MK1生成主会话密钥MSK1,其中|表示比特串的链接,prf是伪随机函数,Identity_AP是AP身份。
(1. 7) AAA服务器保存步骤(1. 6)生成的主密钥MK1,建立与该主密钥对应的AP身份列表,其方法是:在AAA服务器中建立一个数据库,该数据库包括AP的身份ID和对应的主密钥MK1,当使用AP的身份Identity_AP对该数据库进行搜索时,就能找到相应的主密钥MK1。
(1.8)AAA服务器通过分组加密算法计算消息认证码MACserver,并连同(1.5)中得到的挑战随机数RAND,认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给AP,用于验证发送消息的完整性。
(1.9)AP使用步骤(1.6)的方法分别计算主密钥MK和主会话密钥MSK1,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser,XRES的计算方法可以采用3GPP标准中提供的方法,消息认证码 MACuser的计算方法与步骤(1.8)方法一样。
(1.10)AP验证从步骤(1. 8)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1. 9)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器。
(1.11)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到AP,并将主会话密钥MSK1发送给AC。
(1.12)AP和AC将主会话密钥MSK1作为种子,使用EAP/3GPP标准中的子密钥生成算法,计算出用于它们之间安全通信的子密钥MSK_S,AP与AC之间利用该子密钥进行安全通信。
至此,AP与AC之间通过基于SIM卡的双向认证手段构建起一条安全信道,用于下一步UE的入网鉴权认证。
步骤2,UE设备通过EAP-AKA(SIM)接入AP的认证,如图3所示,本步骤的具体实现如下:(2.1)UE通过EAPol/Start向AP发起鉴权请求,UE向AP发送初始交换IKE_SA_INIT请求消息,AP向UE返回初始交换IKE_SA_INIT响应消息,AP向UE发送EAPRequest /identity消息,用于请求UE的身份。
(2.2)UE通过EAP Response/identity消息将自己的国际UE识别码IMSI或临时UE识别码TMSI通过AP连接的AC发送给AAA服务器。
(2.3)AAA服务器获得UE的身份后,对其身份进行检查,并查找该UE是否存在有效的认证向量,即在预先设定有效时间内的认证向量。
(2.4)如果在AAA服务器中存在有效的认证向量,则直接使用;否则要向HSS服务器获取一组新的认证向量,该认证向量包括挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2,其中加密密钥CK2和完整性密钥IK2的生成是由用户和核心网预先共享的主密钥K生成的,与AP存储的K类似,生成方法直接使用3GPP标准中提供的方法。
(2.5)AAA服务器选择这组认证向量中的一个用于接下来的EAP-AKA认证过程,保存剩下的认证向量为以后使用,并为它们设定有效时间。
(2.6)AAA服务器计算主密钥:MK2=prf(Identity_UE|IK2|CK2)),并使用主密钥MK生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity_UE是UE身份。
(2.7)AAA服务器保存步骤(2. 6)生成的主密钥MK2,建立与该主密钥对应的UE身份列表,其方法是:在AAA服务器中建立一个数据库,该数据库包括UE的身份ID和对应的主密钥MK2,当使用UE的身份ID对该数据库进行搜索时,就能找到相应的主密钥MK2。
(2.8)AAA服务器通过分组加密算法计算消息认证码MACserver,并连同(2.5)中得到的挑战随机数RAND,认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给UE,用于验证发送消息的完整性。
(2.9)UE使用步骤(2.6)的方法分别计算主密钥MK2和主会话密钥MSK2,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser,XRES的计算方法采用3GPP标准中提供的方法,消息认证码MACuser的计算方法与步骤(2.8)方法一样。
(2.10)UE验证从步骤(2.8)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(2.9)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器。
(2.11)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到AP,并将主会话密钥MSK2发送给AP。
(2.12)UE和AP将主会话密钥MSK2作为种子,使用EAP/3GPP标准中的子密钥生成算法,计算出用于它们之间安全通信的子密钥MSK_U,UE与AP之间利用该子密钥进行安全通信。
(2.13)AP在本地为UE分配IP地址,转发经MSK_U加密的EAP-Success消息通知UE鉴权成功。
至此,UE、AP、AC之间分别建立起安全通道,确保UE在通过AP连接时接入的是经过认证的授信接入点。
以上所述内容仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种Wi-Fi无线节点入网方法,包括如下步骤:
步骤S1,无线访问接入点通过接入控制器进行接入核心网认证,建立认证安全信道Ipsec,具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP-AKA/SIM的方式进行如下双向认证:
(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权;
(1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器;
(1.3)AAA服务器检查无线访问接入点身份,并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1;
(1.4)AAA服务器计算主密钥MK1并保存,建立与该主密钥MK1对应的无线访问接入点身份列表;
(1.5)AAA服务器计算消息认证码MACserver,连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给无线访问接入点;
(1.6)无线访问接入点用步骤(1.4)的方法分别计算主密钥MK1和主会话密钥MSK1并存储,计算响应XRES和消息认证码MACuser;
(1.7)无线访问接入点验证步骤(1.5)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1.6)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器;
(1.8)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK1发送给接入控制器;
(1.9)无线访问接入点和接入控制器将主会话密钥MSK1作为种子,计算出子密钥MSK_S,无线访问接入点和接入控制器之间利用该子密钥进行安全通信;
步骤S2,用户设备与无线访问接入点之间进行如下认证:
(2.1)用户设备向无线访问接入点发起鉴权请求,无线访问接入点向用户设备发送EAPRequest /identity消息,用于请求用户设备的身份;
(2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器;
(2.3)AAA服务器对获得的用户设备身份进行检查,并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2;
(2.4)AAA服务器计算主密钥:MK2= prf(Identity_UE|IK2|CK2) ),并使用主密钥MK2生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity _UE是用户设备身份;
(2.5)AAA服务器保存主密钥MK2,建立与该主密钥MK2对应的用户设备身份列表;
(2.6) AAA服务器计算消息认证码MACserver,连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给用户设备;
(2.7) 用户设备用步骤(2.4)的方法分别计算主密钥MK2和主会话密钥MSK2,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser;
(2.8) 用户设备验证步骤(2.6)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(2.7)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器;
(2.9) AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK2发送给无线访问接入点;
(2.10) 用户设备和无线访问接入点将主会话密钥MSK2作为种子,计算出子密钥MSK_U,用户设备和无线访问接入点之间利用该子密钥进行安全通信;
(2.11)无线访问接入点在本地为用户设备分配IP地址,转发经MSK_U加密的EAP-Success消息,通知用户设备鉴权成功。
2.根据权利要求1所述的Wi-Fi无线节点入网方法,其特征在于,步骤(1.1)具体为:
(a)无线访问接入点向接入控制器发送初始交换IKE_SA_INIT请求消息;
(b)接入控制器向无线访问接入点返回初始交换IKE_SA_INIT响应消息。
3.根据权利要求2所述的Wi-Fi无线节点入网方法,其特征在于:步骤(1.3)中AAA服务器获取认证向量需先查找所述无线接入点是否在AAA服务器中存在有效认证向量,若存在则直接使用,若不存在则从归属用户服务器服务器获取一组认证向量,所述有效认证向量为在预先设定有效时间内的认证向量。
4.根据权利要求3所述的Wi-Fi无线节点入网方法,其特征在于:步骤(1.4)AAA服务器计算主密钥公式为MK1 = prf(Identity_AP|IK1|CK1) ),其中|表示比特串的链接,prf是伪随机函数,Identity _AP是无线访问接入点身份。
5.根据权利要求4所述的Wi-Fi无线节点入网方法,其特征在于:步骤(1.5)AAA服务器通过分组加密算法计算消息认证码。
6.根据权利要求1所述的Wi-Fi无线节点入网方法,其特征在于,步骤(1.4)中建立与主密钥MK1对应的无线访问接入点身份列表的方法为,在AAA服务器中建立一个数据库,该数据库包括无线访问接入点的身份Identity_AP和对应的主密钥MK1,当使用无线访问接入点的身份Identity_AP对该数据库进行搜索时,就能找到相应的主密钥MK1。
7.根据权利要求1所述的Wi-Fi无线节点入网方法,其特征在于,步骤(2.5)中建立与主密钥MK2对应的用户设备身份列表的方法为在AAA服务器中建立一个数据库,该数据库包括用户设备的身份Identity_UE和对应的主密钥MK2,当使用用户设备的身份Identity_UE对该数据库进行搜索时,就能找到相应的主密钥MK2。
8.根据权利要求1所述的Wi-Fi无线节点入网方法,其特征在于,所述加密密钥CK1、CK2和完整性密钥IK1、IK2是由用户和核心网预先共享的主密钥K按照3GPP标准中的方法生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510055088.1A CN104852896B (zh) | 2015-02-03 | 2015-02-03 | 一种Wi‑Fi无线节点入网方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510055088.1A CN104852896B (zh) | 2015-02-03 | 2015-02-03 | 一种Wi‑Fi无线节点入网方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104852896A CN104852896A (zh) | 2015-08-19 |
| CN104852896B true CN104852896B (zh) | 2017-09-05 |
Family
ID=53852254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510055088.1A Active CN104852896B (zh) | 2015-02-03 | 2015-02-03 | 一种Wi‑Fi无线节点入网方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104852896B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
| EP3509265B1 (en) * | 2016-09-28 | 2021-07-21 | Huawei Technologies Co., Ltd. | Network access authorization method, and related device and system |
| CN108235317B (zh) | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
| DE102017219809A1 (de) * | 2017-11-08 | 2019-05-09 | Robert Bosch Gmbh | Verfahren zur Absicherung einer Verbindung zwischen einem Endgerät und Zugangspunkt zu einem Netzwerk |
| CN109818903B (zh) * | 2017-11-21 | 2021-07-23 | 中国电信股份有限公司 | 数据传输方法、系统、装置和计算机可读存储介质 |
| CN108777843B (zh) * | 2018-05-24 | 2019-12-24 | 西安电子科技大学 | 基于位置信息的无线局域网认证方法 |
| US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
| CN110740444A (zh) * | 2019-09-20 | 2020-01-31 | 上海酷潮信息科技有限公司 | 5g云sim认证方法 |
| CN115412909A (zh) * | 2021-05-10 | 2022-11-29 | 华为技术有限公司 | 一种通信方法及装置 |
| CN113852959A (zh) * | 2021-08-30 | 2021-12-28 | 浪潮软件科技有限公司 | 一种5GC对Wi-Fi设备的鉴权方法及装置 |
| CN114006696A (zh) * | 2021-12-20 | 2022-02-01 | 中国电信股份有限公司 | 通信方法、装置、系统及计算机可读存储介质 |
| CN115299326A (zh) * | 2022-08-31 | 2022-11-08 | 四川通信科研规划设计有限责任公司 | 一种基于算力网络调度与5g的智能灌溉系统 |
| CN115988492A (zh) * | 2022-12-12 | 2023-04-18 | 国网吉林省电力有限公司 | 物联网设备可信入网方法、装置、服务器及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2272238A2 (en) * | 2008-03-12 | 2011-01-12 | QUALCOMM Incorporated | Providing multiple levels of service for wireless communication |
| CN102546154A (zh) * | 2011-12-19 | 2012-07-04 | 上海顶竹通讯技术有限公司 | 移动通信网络以及终端的切换方法 |
| CN103262610A (zh) * | 2011-12-15 | 2013-08-21 | 华为技术有限公司 | 切换处理方法、设备和系统 |
| US8599701B2 (en) * | 2009-04-16 | 2013-12-03 | Qualcomm Incorporated | Systems, methods and devices to enable management of wireless network resources |
| WO2014193840A1 (en) * | 2013-05-28 | 2014-12-04 | Rivada Networks Llc | Cell selection in dynamic spectrum arbitrage system |
-
2015
- 2015-02-03 CN CN201510055088.1A patent/CN104852896B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2272238A2 (en) * | 2008-03-12 | 2011-01-12 | QUALCOMM Incorporated | Providing multiple levels of service for wireless communication |
| US8599701B2 (en) * | 2009-04-16 | 2013-12-03 | Qualcomm Incorporated | Systems, methods and devices to enable management of wireless network resources |
| CN103262610A (zh) * | 2011-12-15 | 2013-08-21 | 华为技术有限公司 | 切换处理方法、设备和系统 |
| CN102546154A (zh) * | 2011-12-19 | 2012-07-04 | 上海顶竹通讯技术有限公司 | 移动通信网络以及终端的切换方法 |
| WO2014193840A1 (en) * | 2013-05-28 | 2014-12-04 | Rivada Networks Llc | Cell selection in dynamic spectrum arbitrage system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104852896A (zh) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104852896B (zh) | 一种Wi‑Fi无线节点入网方法及系统 | |
| TWI356614B (en) | Improved subscriber authentication for unlicensed | |
| US7974234B2 (en) | Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes | |
| CN100539521C (zh) | 一种实现无线局域网鉴权的方法 | |
| CN101127659B (zh) | 在WiMAX系统中实现用户鉴权控制移动终端上线方法 | |
| KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| CN107070755A (zh) | 用于为用户实体提供网络接入的方法及装置 | |
| US20050135624A1 (en) | System and method for pre-authentication across wireless local area networks (WLANS) | |
| CN101562814A (zh) | 一种第三代网络的接入方法及系统 | |
| CN101267365B (zh) | 设备接入通信网络的认证方法、系统及设备 | |
| JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
| CN101867928A (zh) | 移动用户通过家庭基站接入核心网的认证方法 | |
| PT1693995E (pt) | Um método para implementação de autenticação de acesso de um utilizador de wlan | |
| CN106921965A (zh) | 一种wlan网络中实现eap认证的方法 | |
| Kim et al. | Improving mobile authentication with new AAA protocols | |
| CN104683343B (zh) | 一种终端快速登录WiFi热点的方法 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
| CN101420695B (zh) | 一种基于无线局域网的3g用户快速漫游认证方法 | |
| Yang et al. | 3G and WLAN interworking security: Current status and key issues | |
| CN101079786B (zh) | 互连系统、互连系统中的认证方法和终端 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN102752298B (zh) | 安全通信方法、终端、服务器及系统 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |