CN1327648C - 一种实现高速率分组数据业务认证的方法 - Google Patents
一种实现高速率分组数据业务认证的方法 Download PDFInfo
- Publication number
- CN1327648C CN1327648C CNB2004100071889A CN200410007188A CN1327648C CN 1327648 C CN1327648 C CN 1327648C CN B2004100071889 A CNB2004100071889 A CN B2004100071889A CN 200410007188 A CN200410007188 A CN 200410007188A CN 1327648 C CN1327648 C CN 1327648C
- Authority
- CN
- China
- Prior art keywords
- authentication
- wlan
- message
- user terminal
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Abstract
本发明公开了一种实现高速率分组数据业务认证的方法,包括:与接入网络建立物理连接的用户终端将自身用户标识模块中保存的用户信息作为用户身份标识,开始与基于用户标识模块的认证服务器间的认证;基于用户标识模块的认证服务器或鉴权中心根据所述用户身份标识,获取对用户终端进行认证的第二随机数,并根据该第二随机数和网络侧保存的共享秘密数据计算出对应的第二鉴权数;所述用户终端根据第二随机数和自身保存的共享秘密数据进行计算,得出第一鉴权数,基于用户标识模块的认证服务器将第一鉴权数与第二鉴权数进行比较,如果相同,则基于用户标识模块的认证服务器对用户终端认证成功,否则,认证失败。该方法认证安全、成本低、操作方便。
Description
技术领域
本发明涉及网络的鉴权技术,特别是指一种实现高速率分组数据业务认证的方法。
背景技术
CDMA是一种先进的数字蜂窝移动通信技术,是国际电联(ITU)接受的最重要的3G无线传输技术(RTT)之一,自1990年由美国高通公司首次发布标准以来,已经历了IS95、CDMA2000 1x两个重要阶段。
如图1所示,CDMA2000 1x网络结构包括移动台(MS)、基站收发信机(BTS)、基站控制器(BSC)、分组控制功能(PCF)、分组数据业务服务接点(PDSN)、业务认证、授权和计费服务器(AAA)和IS-41核心网。其中,IS-41核心网包括移动交换中心(MSC)、访问位置寄存器(VLR)、归属位置寄存器(HLR)。
CDMA IS95和CDMA 2000 1x网络中的用户认证,是通过MSC/VLR和HLR/AC共同完成。并且,共享秘密数据(SSD)作为认证输入参数之一保存在终端和HLR/AC中,在终端和HLR/AC中保存相同的密码(A-key),专用于更新SSD。当需要认证时,以SSD、随机数、电子串号(ESN)、移动台识别号(MIN)等参数通过蜂窝认证和语音加密(CAVE)算法计算出认证结果,并由MSC/VLR或HLR/AC比较认证结果是否一致,如果不一致,系统将会发起SSD更新,在SSD更新成功之后,即终端侧和网络侧的SSD保持一致,下次接入时,用户终端使用SSD计算出的认证结果应与HLR/AC中计算出来的认证结果一致,认证才能成功。
CDMA2000 HRPD(CDMA2000 1xEV-DO),简称HRPD,是CDMA20001x技术的升级,提供高速分组数据业务,单用户下行最高速率达2.4Mbps。
如图2所示,HRPD网络阶段1的组网结构包括接入终端(AT)、接入网络(AN)、AN AAA、PCF、PDSN、AAA。HRPD网络主要是利用ANAAA进行用户认证。在认证成功后,AN AAA向AT返回该终端的国际移动用户识别(IMSI)信号,用于以后进行切换、计费等过程。在HRPD认证过程中,使用BSC/PCF与AN AAA的接口-A12接口,该接口使用远端接入拨号用户服务协议(RADIUS),其认证机制主要有口令认证协议(PAP)和查询-握手认证协议(CHAP),由于CHAP协议的保密性相对好一些,所以使用CHAP协议进行认证更加广泛。
CHAP采用了基于私有密钥的消息摘要(MD-Message Digest)身份认证算法。参见图3所示,以CHAP协议为例,RADIUS协议进行认证的过程具体如下:
步骤301:用户终端与网络侧通过PPP/LCP协商,确认使用CHAP协议进行认证;
步骤302:AN向终端发出认证查询(Challenge)消息发起认证,该消息中包含有AN产生的随机数;
步骤303:终端通过CHAP规定的加密算法由随机数计算出摘要,然后通过回应(Response)消息将用户名和摘要发送给AN;
步骤304:AN在A12接口用RADIUS协议的接入请求(Access Request)消息承载用户名、随机数和摘要发送给AN AAA;
步骤305:AN AAA用同样的算法由随机数计算出摘要,比较这个摘要与终端发送上来的是否一致,若一致,则认证成功,AN AAA发送AccessAccept消息给AN,否则,认证失败;
步骤306:AN发送Success消息给终端,通知用户终端认证成功。
从上面过程可以看出,现有技术对HRPD网络用户进行认证时,需要使用AN AAA,并且其认证过程为单向方式。
目前,随着市场经济以及科学技术的发展,越来越多的运营商需要同时经营多种网络。比如,具有IS95/CDMA2000 1x网络的运营商还想继续将自己的业务扩展到CDMA2000 1xDO网络,而在CDMA2000 1xDO网络中,进行认证要建立专门的AN AAA进行认证。这种认证方式,对于同时拥有多种CDMA网络的用户,需要在HLR和AN AAA两个地方开户,认证方式不统一,维护不方便,不利于统一运营;而且,还需要再组建AN AAA的全国专用网络进行HRPD用户认证,建网成本高;认证方式为网络对用户的单项认证,认证不安全。
无线局域网(WLAN,Wireless Local Area Network)作为一种高速的无线数据接入技术受到人们越来越多的关注。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE 802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
WLAN网络主要用于传输因特网协议(IP)分组数据包,即通过接入点(AP)完成用户终端的无线接入,然后通过网络控制器和连接设备完成IP包的传输。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划2(3GPP2)标准化组织中,目前正在进行WLAN用户接入3GPP2网络的工作。
发明内容
有鉴于此,本发明的目的是提供一种实现高速率分组数据业务认证的方法,使其简单,维护方便。
本发明提供的一种实现高速率分组数据业务认证的方法包括:
A.与接入网络建立物理连接的用户终端将自身用户标识模块中保存的用户信息作为用户身份标识,将该用户身份标识通过接入网络发送给基于用户标识模块的认证服务器;
B.基于用户标识模块的认证服务器或鉴权中心根据所述用户身份标识,产生对用户终端进行认证的第二随机数,根据该第二随机数和网络侧保存的共享秘密数据计算出第二鉴权数;
C.所述用户终端根据第二随机数和自身保存的共享秘密数据进行计算,得出第一鉴权数,基于用户标识模块的认证服务器将第一鉴权数与第二鉴权数进行比较,如果相同,则确定对用户终端认证成功,否则,确定对用户终端认证失败。
当所述第二随机数由鉴权中心中产生时,所述共享秘密数据保存在网络侧的归属位置寄存器/AC。
当所述第二随机数由预先设置的基于用户标识模块的认证服务器产生时,所述共享秘密数据保存在网络侧的归属位置寄存器/AuC,或基于用户标识模块的认证服务器中。
在步骤C认证失败后,进一步包括:
基于用户标识模块的认证服务器将认证结果通知归属位置寄存器,归属位置寄存器判断本次认证是否是首次认证,如果是首次认证,则更新共享秘密数据,然后执行步骤C,否则,认证失败。
在步骤C认证失败后,进一步包括:
更新共享秘密数据,然后再执行步骤C。
步骤D中更新SSD的过程包括:
D1、归属位置寄存器收到基于用户标识模块的认证服务器的认证失败通知后,产生共享秘密数据更新随机数,并且计算出共享秘密数据更新随机数对应的鉴权数;
D2、用户终端根据所述SSD更新随机数利用系统原来SSD生成算法重新计算自身的SSD,然后用户终端再根据该SSD计算出与SSD更新随机数对应的鉴权数;比较用户终端计算出的鉴权数与归属位置寄存器中计算出的鉴权数是否一致,如果一致,则更新用户终端侧的SSD,否则,SSD更新失败。
步骤D2中所述自身的SSD是根据所述SSD更新随机数、电子串号、密码计算。
所述步骤A包括:
A1、无线局域网向用户终端发出认证请求;
A2、用户终端收到该认证请求后,读取用户标识模块中保存的用户信息,并将该用户信息作为自己的用户身份标识,然后将所述用户身份标识通过无线局域网发送至基于用户标识模块的认证服务器。
所述无线局域网通过EAP协议或CHAP协议与用户终端进行通信。
当认证请求通过EAP协议发送的,无线局域网向用户终端发送EAP-Request/Identity消息;
所述用户终端通过EAP-Response/Identity报文将用户身份标识发送给无线局域网,无线局域网收到该报文后,再通过Radius协议里的Access-Request报文发送至基于用户标识模块的认证服务器U-AAA,向U-AAA发起认证请求。
所述步骤B进一步包括:
基于用户标识模块的认证服务器U-AAA将获取到对用户终端进行认证的第二随机数通过无线局域网发送至用户终端。
所述步骤B进一步包括:
B1、基于用户标识模块的认证服务器将所述对用户终端进行认证的第二随机数封装在EAP-Request/UIM/Challenge报文中,然后通过Access-Challenge报文发送给无线局域网;
B2、当无线局域网收到基于用户标识模块的认证服务器发送过来的Access-Challenge报文后,从Access-Challenge报文剥离出EAP-Request/UIM/Challenge,并且将剥离出的该报文发送至用户终端。
所述步骤C进一步包括:
在用户终端计算得出第一鉴权数后,用户终端将计算出的第一鉴权数通过无线局域网发送至基于用户标识模块的认证服务器。
所述步骤C还进一步包括:
C1、用户终端将第一鉴权数通过EAP-Response/UIM/Challenge报文发送给无线局域网;
C2、无线局域网将收到的EAP-Response/UIM/Challeng报文封装在Radius协议的接入请求(Access-Request)报文中,并将封装好的Access-Request报文发送至基于用户标识模块的认证服务器。
在执行步骤C的同时步骤C中进一步包括:
基于用户标识模块的认证服务器通过无限局域网通知用户终端认证成功/失败。
所述第一鉴权数是用户终端根据所述第二随机数和用户标识模块自身保存的密码计算得出。
所述基于用户标识模块的认证服务器与归属位置寄存器之间通过ANSI-41D协议进行通信。
从上述方法中可以看出,本发明具有如下优点和特点:
1、IS95/CDMA2000 1x和HRPD统一认证,用户不需手工输入用户名和密码,使用方便;而且由于用户的IS95/CDMA2000 1x业务和HRPD业务通过IMSI统一在HLR开户,统一标识,统一认证,运营商操作方便;
2、利用已有的CDMA IS-41核心网支持全国漫游,不需要再组建ANAAA的全国专用网络,节省了投资成本;
3、利用EAP-UIM协议,AT也可以对网络侧进行认证,这样可以提供相互认证,即网络对终端的认证、终端对网络的认证,安全性高;
4、由于HRPD用户可以继续使用IS95/CDMA2000 1x用户以前的UIM卡,所以有利于IS95/CDMA2000 1x用户向HRPD用户迁移。
附图说明
图1为IS95/CDMA2000 1x系统的组网示意图;
图2为HRPD网络组网示意图;
图3为现有技术中HRPD进行认证的流程示意图;
图4为实现本发明的组网结构示意图;
图5为实现本发明具体实施例一首次开机进行认证的流程示意图;
图6为实现本发明实施例一的二次开机进行认证的具体实施例流程示意图。
图7为实现本发明具体实施例二首次开机进行认证的流程示意图;
图8的首次开机进行认证的具体实施例流程示意图,由8A、8B组成;
图9为本发明中的用户终端与接入网络之间通过CHAP协议进行通信的实例流程图。
具体实施方式
本发明的核心内容是:与无线局域网已建立物理连接的用户终端将自身用户标识模块中保存的用户信息作为用户身份标识,开始与基于用户标识模块的认证实体间的认证;认证实体根据该用户终端的用户身份标识,获取含有对用户终端进行认证的第二随机数以及根据网络侧保存的共享秘密数据所计算出的第二随机数所对应的第二鉴权数;用户终端根据第二随机数和自身保存的共享秘密数据进行计算,得出第一鉴权数,认证服务器将第一鉴权数与第二鉴权数进行比较,如果相同,则认证服务器对用户终端认证成功,否则,认证失败。
这里,认证实体可以为预先设置的认证服务器也可以是原来的鉴权中心。认证服务器与HLR之间可以通过ANSI-4 1 D协议进行通信。第二随机数可以是网络侧的任何实体产生,比如HLR/AuC、AAA等。并且SSD保存在网络侧的HLR/AuC,也可以保存在认证服务器中。当由HLR/AuC产生第二随机数时,第二鉴权数可以直接从HLR/AuC中获取得到。当由AAA产生第二随机数时,第二鉴权数可以根据用户身份标识和第二随机数从归属位置寄存器中获取。AT与AN之间可以通过CHAP协议进行通信,也可以通过EAP协议进行通信,也可以采用CDMA2000原有的空中接口消息进行通信。
以下参见附图和具体实施例详细说明本发明的技术方案。
参见图4所示,实现本发明方法的组网结构包括AT、AN、基于用户标识模块的认证、授权和计费服务器(U-AAA)、PCF、PDSN、AAA、HLR。这里,AN提供终端和分组交换数据网之间的数据连接,相当于CDMA20001x中的BTS和BSC,当然也相当于WLAN;并且U-AAA是预先设置的,专门进行认证、计费的服务器。
这里所用的网元,如:BTS、PCF、PDSN、HLR无需改动;用户终端要求为HRPD终端或支持HRPD的混合终端,如:HRPD/GSM、HRPD/CDMA2000 1x、HRPD/无线局域网(WLAN)等,并且终端硬件上要支持读UIM卡或者提供外接读卡器,支持EAP-UIM协议,支持通过GSMHLR或CDMA HLR进行的认证;AN要求在空口和A12接口支持EAP-UIM认证协议,其中空口是EAP-UIM over PPP,A12接口是EAP-UIM overRADIUS。AAA可以取消,计费功能由预先设置的U-AAA实现。U-AAA网元取代了AN AAA,主要要求支持CDMA的IS41协议,并且能够支持EAP-UIM over RADIUS认证协议。另外,HLR、AC物理上一般位于同一实体,以下统一简称为HLR。
需要说明的是,首次开机使用时的认证过程包括首次认证,SSD更新、二次认证共三个部分。AT第一次开机进行的认证为首次认证,而且,在AT第一次开机时,由于系统侧和AT侧保存的SSD不一致,所以AT首次认证总是失败的。因此,在首次认证失败后,要进行SSD更新,即通过EAP-REQUEST/UIM/Update消息下发RANDSSD,在AT和HLR中通过RANDSSD、ESN、A-key经过相同的SSD生成算法,计算出新SSD。由于AT和HLR侧的上述信息相同,算法相同,所以输出的SSD也相同。在SSD进行更新之后,进行二次认证。此时,由于确保了AT和HLR侧的SSD相同,在正常情况下,二次认证将会成功。对于再次开机的用户,系统侧和AT侧的SSD相同,以后无须经过SSD更新和二次认证,一次认证即可成功。
参见图9所示,以CHAP协议为例说明用户终端与接入网络之间的通信。其具体过程如下:
(a)AT和AN之间建立HRPD会话,AT做好在接入流上交换数据的准备。
(b)AT和AN为接入鉴权发起PPP和LCP协商。
(c)AN发起一个Random Challenge,通过CHAP Challenge消息发送给AT。
(d)AT执行CAVE-based鉴权,并且发送CHAP Response消息。
(e)AN向U-AAA发送A12-Access Request消息。
(f)U-AAA根据A12-Access Request消息内容构造Authentication RequestINVOKE消息,并发送给HLR/AC。
(g)HLR/AC执行CAVE-based鉴权。如果鉴权通过,HLR/AC将向U-AAA发送Authentication Request Return Result消息,并包含SharedSecretData(SSD)参数。
(h)U-AAA存储由HLR/AC分配的SSD。
(i)U-AAA向AN发送A12-Access Accept消息。
(j)AN向AT返回CHAPAuthentication Success的指示。
(k)AT和AN接着执行后续的处理过程。
下面结合附图和具体实施例一详细说明本发明的技术方案。
参见图5所示,当用户终端处于非首次开机状态,实现鉴权的具体过程如下:
步骤501:WLAN MS和WLAN之间建立物理连接;
步骤502:WLAN MS向网络发起认证请求(即WLAN MS向网络发送EAPoL-Start报文)。
步骤503:WLAN向WLAN MS发送请求用户名(EAP-Request/Identity)报文,开始进行认证,要求WLAN MS将用户身份标识送上来;
步骤504:WLAN MS收到EAP-Request/Identity报文后,通过相应的接口,将UIM卡中保存的信息读取出来,作为自己的用户身份标识,通过响应用户名(EAP-Response/Identity)报文发送给WLAN;
步骤505:WLAN收到EAP-Response/Identity报文后,通过Radius协议里的接入请求(Access-Request)报文向U-AAA发起认证请求,接入请求报文里封装了EAP-Response/Identity报文;
步骤506:U-AAA在接收到WLAN发送过来的Access-Request报文后,取出其中携带的用户身份标识,然后根据自身的相关配置信息判断该用户标识类型,如果是UIM类型,则在接入查询(Access-Challenge)报文中封装请求EAP-UIM认证开始(EAP-Request/UIM/Start)报文,然后向WLAN发送,否则,不予处理;
步骤507:WLAN收到Access-Challenge报文后,剥离出其中的EAP-Request/UIM/Start报文,然后将剥离出的报文向WLAN MS发送;
步骤508:在WLAN MS收到WLAN发送的EAP-Request/UIM/Start报文后,向WLAN发送EAP-Response/UIM/Start报文,表示同意使用EAP-UIM认证协议;
步骤509:WLAN接收到AT发出的EAP-Response/UIM/Start报文后,将EAP-Response/UIM/Start报文封装在Access-Request消息里,然后将Access-Request消息向U-AAA发送;
步骤510:U-AAA接收到WLAN发送过来的Access-Request报文后,确定采用独特查询方式,即U-AAA产生对WLAN MS进行认证的随机数(RANDU)-第二随机数,并且根据自身保存的SSD计算出该随机数对应的第二鉴权数(AUTHU2),从而形成一个鉴权集;
步骤511:U-AAA将RANDU封装在EAP-Request/UIM/Challenge报文中,然后通过Access-Challenge报文发送给WLAN;
步骤512:当WLAN收到U-AAA发送过来的Access-Challenge报文后,从Access-Challenge报文剥离出EAP-Request/UIM/Challenge,并且将剥离出的该报文发送至WLAN MS;
步骤513:当WLAN MS收到EAP-Request/UIM/Challenge报文后,取出其中的RANDU,WLAN MS将RANDU传给UIM卡,UIM卡根据RANDU和自身保存的密码计算得出第一鉴权数(AUTHU1),并将计算出的AUTHU1传送至WLAN MS;
步骤514:WLAN MS将AUTHU1通过EAP-Response/UIM/Challenge报文发送给WLAN;
步骤515:WLAN将收到的EAP-Response/UIM/Challeng报文封装在Radius协议的接入请求(Access-Request)报文中,并将封装好的Access-Request报文发送至U-AAA;
步骤516:U-AAA收到WLAN发送的Access-Request报文后,解析出其中的AUTHU1,并将AUTHU1与自身计算获得的AUTHU2进行比较。如果一致,则U-AAA对WLAN MS的认证通过,否则,认证过程失败。
步骤517:U-AAA向WLAN发送含有EAP-Success报文的Access-Accept报文(认证成功);或U-AAA向WLAN发送含有EAP-Failure报文的Access-Reject报文(认证失败);
步骤518:当WLAN收到U-AAA发送的Access-Accept报文后,剥离出其中的EAP-Success报文,并将EAP-Success报文发送至WLAN MS,通知WLAN MS认证成功;如果接收到Access-Reject报文后,剥离出其中的EAP-Failure报文,发送各WLAN MS,通知WLAN MS认证失败。
参见图6所示,当AT处于首次开机状态,进行鉴权的具体过程如下:
步骤601~615同图5的501-515步骤;
步骤616:U-AAA设备收到AUTHU1后与保存在本机中的AUTHU1进行比较,如果一致,表示客户端认证通过,否则,向HLR回应认证失败的消息,HLR收到返回响应后,随机产生RANDSSD和RANDU两个随机数,并且根据RANDU计算对应的AUTHU,然后再将RANDSSD/RANDU/AUTHU发送至U-AAA,启动更新SSD的流程;
步骤617:U-AAA向WLAN发送Access-Challenge报文,里面含有携带RADNSSD随机数的EAP-Request/UIM/Update报文;
步骤618:WLAN将EAP-Request/UIM/Update报文发送至WLAN MS;
步骤619:WLAN MS接受到WLAN发送过来的EAP-Request/UIM/Update报文后,解析出其中的RANDSSD,然后计算得出自己新SSD,并且,随机产生一个随机数RANDBS,根据新SSD计算出对应的鉴权数AUTHBS,然后将RANDBS通过EAP-Response/UIM/Challenge报文发送至WLAN,开始对U-AAA进行认证;
步骤620:WLAN以EAP Over RADIUS的报文格式将EAP-Response/UIM/Challenge发送给认证服务器U-AAA;
步骤621:U-AAA收到EAP-Response/UIM/Challenge后,通过和HLR交互获得基站查询随机数(RANDBS)及其对应的结果(AUTHBS),这里,HLR随机产生RANDBS,并且根据该随机数和自身保存的SSD进行计算得出AUTHBS;
步骤622:U-AAA向WLAN发送Access-Challenge报文,里面含有携带AUTHBS鉴权数的EAP-Request/UIM/Challenge报文;
步骤623:WLAN收到EAP-Request/UIM/Challenge报文后,将该报文发送至WLAN MS;
步骤624:WLAN MS接受到WLAN发送过来的EAP-Request/UIM/Challenge报文后,解析出其中的AUTHBS,然后比较解析出的AUTHBS与WLAN MS侧自己计算的AUTHBS是否一致,如果一致,WLAN MS对U-AAA认证通过,然后发送EAP-Response/UIM/success报文至WLAN;
步骤625:WLAN收到该报文后,以Access-Request的报文格式将EAP-Response/UIM/success发送给认证服务器U-AAA,并且带上相关的RADIUS的属性,说明SSD更新过程结束;
步骤626~步骤634同图5的510~518步骤。
下面结合附图和具体实施例二详细说明本发明的技术方案。
参见图7所示,本实施例采用全球认证方式,对WLAN MS进行认证的过程如下:
步骤701:WLAN MS和WLAN之间建立物理连接;
步骤702:WLAN MS向网络请求进行认证(即WLAN MS向网络发送EAPoL-Start报文)。
步骤703:WLAN向WLAN MS发送请求用户名(EAP-Request/Identity)报文,开始进行认证,要求WLAN MS将用户身份标识送上来;
步骤704:WLAN MS收到EAP-Request/Identity报文后,通过相应的接口,将UIM卡中保存的信息读取出来,作为自己的用户身份标识,通过响应用户名(EAP-Response/Identity)报文发送给WLAN;
步骤705:WLAN收到EAP-Response/Identity报文后,通过Radius协议里的接入请求(Access-Request)报文向U-AAA发起认证请求,报文里封装了EAP-Response/Identity报文;
步骤706:U-AAA在接收到WLAN发送过来的Access-Request报文后,取出其中携带的用户标识;然后根据自身的相关配置信息判断该用户标识类型,如果是UIM类型,则在接入查询(Access-Challenge)报文中封装请求EAP-UIM认证开始(EAP-Request/UIM/Start)报文,然后向WLAN发送,否则,不予处理;
步骤707:WLAN收到Access-Challenge报文后,剥离出其中的EAP-Request/UIM/Start报文,然后将剥离出的报文向WLAN MS发送;
步骤708:在WLAN MS收到WLAN发送的EAP-Request/UIM/Start报文后,向WLAN发送EAP-Response/UIM/Start报文,表示同意使用EAP-UIM认证协议;
步骤709:WLAN接收到WLAN MS发出的EAP-Response/UIM/Start报文后,将EAP-Response/UIM/Start报文封装在Access-Request消息里,然后将Access-Request消息向U-AAA发送;
步骤710:U-AAA接收到WLAN发送过来的Access-Request报文后,确定采用全球认证方式,即U-AAA产生对WLAN MS进行认证的随机数(RAND)-第二随机数,并且根据自身保存的SSD计算出该随机数对应的第二鉴权数(AUTHR2),从而形成一个鉴权集,并且U-AAA利用一定的算法计算出相应MAC地址;
步骤711:U-AAA将RAND和MAC封装在EAP-Request/UIM/Challenge报文中,然后通过Access-Challenge报文发送给WLAN;步骤712:当WLAN收到U-AAA发送过来的Access-Challenge报文后,从Access-Challenge报文剥离出EAP-Request/UIM/Challenge,并且将剥离出的该报文发送至WLANMS;
步骤713:当WLAN MS收到EAP-Request/UIM/Challenge报文后,取出其中的RAND,WLAN MS将RAND传给UIM卡,UIM卡根据RAND和自身保存的密码计算得出第一鉴权数(AUTHR1);并将计算出的AUTHR1传送至WLAN MS;
步骤714:WLAN MS将AUTHR1、ESN、MIN、MAC以及RANDC,通过EAP-Response/UIM/Challenge报文发送给WLAN;
步骤715:WLAN将收到的EAP-Response/UIM/Challeng报文封装在Radius协议的接入请求(Access-Request)报文中,并将封装好的Access-Request报文发送至U-AAA;
步骤716:U-AAA收到WLAN发送的Access-Request报文后,根据其中的RANDC确定对应RAND;然后U-AAA判断是否已经得到用户的SSD,如果是,解析出其中的AUTHR1,接收到的AUTHR1与自身保存的是否该用户终端的AUTHR2是否一致,如果一致,则U-AAA对WLAN MS的认证通过,否则,认证过程失败;
步骤717:U-AAA向WLAN发送含有EAP-Success和MAC地址的报文的认证成功(Access-Accept)报文;或U-AAA向WLAN发送含有EAP-Failure报文和MAC地址的认证失败(Access-Reject)报文;
步骤718:当WLAN收到U-AAA发送的Access-Accept报文后,剥离出其中的EAP-Success报文,并将EAP-Success报文发送至WLAN MS,通知WLAN MS认证成功;如果接收到Access-Reject报文后,剥离出其中的EAP-Failure报文,发送各WLAN MS,通知WLAN MS认证失败。当WLANMS首先对MAC进行校验,只有当接收到的MAC参数与本地计算得到的MAC一致时,才确认该EAP-request消息报文是正确的。
参见图8所示,当用户终端处于首次开机状态,进行鉴权的具体过程如下:
步骤801~815同图7的701-715步骤;
步骤816:U-AAA设备收到AUTHU1后与保存在本机中的AUTHU1进行比较,如果一致,表示客户端认证通过,否则,向HLR/AuC回应认证失败的消息,HLR/AuC收到返回响应后,随机产生RANDSSD和RAND两个随机数,并且根据RAND计算对应的 AUTH,然后再将RANDSSD/RAND/AUTH发送至U-AAA,启动更新SSD的流程;
步骤817:U-AAA向WLAN发送Access-Challenge报文,里面含有携带RADNSSD随机数的EAP-Request/UIM/Update报文;
步骤818:WLAN将EAP-Request/UIM/Update报文发送至WLAN MS;
步骤819:WLAN MS 接受到 WLAN 发送过来的EAP-Request/UIM/Update报文后,解析出其中的RANDSSD,然后计算得出自己新SSD,并且,随机产生一个随机数RANDBS,根据新SSD计算出对应的鉴权数AUTHBS,然后将RANDBS通过EAP-Response/UIM/Challenge报文发送至WLAN,开始对U-AAA进行认证;
步骤820:WLAN以EAP Over RADIUS的报文格式将EAP-Response/UIM/Challenge发送给认证服务器U-AAA;
步骤821:U-AAA收到EAP-Response/UIM/Challenge后,通过和HLR交互获得基站查询随机数(RANDBS)及其对应的结果(AUTHBS),这里,HLR随机产生RANDBS,并且根据该随机数和自身保存的SSD进行计算得出AUTHBS;
步骤822:U-AAA向WLAN发送Access-Challenge报文,里面含有携带AUTHBS鉴权数的EAP-Request/UIM/Challenge报文;
步骤821:WLAN收到EAP-Request/UIM/Challenge报文后,将该报文发送至WLAN MS;
步骤 823:WLAN MS接受到WLAN发送过来的EAP-Request/UIM/Challenge报文后,解析出其中的AUTHBS,然后比较解析出的AUTHBS与WLAN MS侧自己计算的AUTHBS是否一致,如果一致,WLAN MS对U-AAA认证通过,然后发送EAP-Response/UIM/success报文至WLAN;
步骤824:WLAN收到该报文后,以Access-Request的报文格式将EAP-Response/UIM/success发送给认证服务器U-AAA,并且带上相关的RADIUS的属性,说明SSD更新过程结束;
步骤825~834与步骤710~718。
通过上述两个实施例可以看出,当用户需要接入WLAN-3GPP2互通网络时,或者网络需要对已经认证通过的WLAN用户进行重新认证时,启动本流程。
实施例一是唯一查询流程,实施例二是全球认证流程,二者在流程上基本相同,只是U-AAA对WLAN MS进行认证时,产生的随机数类型不同,且WLAN MS和U-AAA之间的认证消息中携带的参数有所不同。
实施例一和实施例二的主要不同点:
(1)产生的随机数类型不同。对于独特查询方式,U-AAA产生RANDU和AUTHU。对于全球认证方式,U-AAA产生RAND和AUTHR。
(2)对于独特查询方式,当U-AAA将生成的RANDU发送给WLAN MS时,WLAN MS通过CAVE算法,以RANDU、A-key、MIN和ESN作为输入参数,生成AUTHU;对于全球认证,当U-AAA将生成的RAND发送给WLAN MS时,WLAN MS通过CAVE算法,以RAND,A-key,MIN,ESN作为输入参数,生成AUTHR。
(3)对于独特查询,WLAN MS在计算出AUTHU后,向U-AAA发送该参数;对于全球认证,WLAN MS在计算出AUTHR后,向U-AAA发送该参数,并同时向U-AAA发送RANDC参数,该参数根据RAND导出。
实施例一和实施例二的相同点:
(1)WLAN MS在计算出AUTHU或AUTHR后,向U-AAA发送响应消息,响应消息中均包括WLAN MS的ESN(电子序列号)和MIN(移动台标识号)。
(2)WLAN MS在接收到U-AAA发送来的UIM认证开始消息(EAP-request/UIM/Start)后,WLAN MS内部生成一随机数AT NONCE MT,并将该随机数通过消息EAP-response/UIM/Start发送给U-AAA,作为终端对网络的认证参数。
(3)U-AAA接收到WLAN MS发送来的AT NONCE MT后,通过算法计算响应MAC,并将MAC通过随后的EAP-request消息发送给WLANMS,WLAN MS首先对MAC进行校验,只有当接收到的MAC参数与本地计算得到的MAC一致时,才确认该EAP-request消息报文是正确的。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (17)
1、一种实现高速率分组数据业务认证的方法,其特征在于,该方法包括以下步骤:
A.与接入网络建立物理连接的用户终端将自身用户标识模块中保存的用户信息作为用户身份标识,将该用户身份标识通过接入网络发送给基于用户标识模块的认证服务器;
B.基于用户标识模块的认证服务器或鉴权中心根据所述用户身份标识,产生对用户终端进行认证的第二随机数,根据该第二随机数和网络侧保存的共享秘密数据计算出第二鉴权数;
C.所述用户终端根据第二随机数和自身保存的共享秘密数据进行计算,得出第一鉴权数,基于用户标识模块的认证服务器将第一鉴权数与第二鉴权数进行比较,如果相同,则确定对用户终端认证成功,否则,确定对用户终端认证失败。
2、根据权利要求1所述的方法,其特征在于,当所述第二随机数由鉴权中心产生时,所述共享秘密数据保存在网络侧的归属位置寄存器/鉴权中心AC。
3、根据权利要求1所述的方法,其特征在于,当所述第二随机数由预先设置的基于用户标识模块的认证服务器产生时,所述共享秘密数据保存在网络侧的归属位置寄存器/AC,或基于用户标识模块的认证服务器中。
4、根据权利要求1所述的方法,其特征在于,在步骤C认证失败后,进一步包括:
基于用户标识模块的认证服务器将认证结果通知归属位置寄存器,归属位置寄存器判断本次认证是否是首次认证,如果是首次认证,则更新共享秘密数据,然后执行步骤C,否则,认证失败。
5、根据权利要求1所述的方法,其特征在于,在步骤C认证失败后,进一步包括:
更新共享秘密数据,然后再执行步骤C。
6、根据权利要求4或5所述的方法,其特征在于,步骤D中更新SSD的过程包括:
D1、归属位置寄存器收到基于用户标识模块的认证服务器的认证失败通知后,产生共享秘密数据更新随机数,并且计算出共享秘密数据更新随机数对应的鉴权数;
D2、用户终端根据所述SSD更新随机数利用系统原来SSD生成算法重新计算自身的SSD,然后用户终端再根据该SSD计算出与SSD更新随机数对应的鉴权数;比较用户终端计算出的鉴权数与归属位置寄存器中计算出的鉴权数是否一致,如果一致,则更新用户终端侧的SSD,否则,SSD更新失败。
7、根据权利要求6所述的方法,其特征在于,步骤D2中所述自身的SSD是根据所述SSD更新随机数、电子串号、密码计算。
8、根据权利要求1所述的方法,其特征在于,所述步骤A包括:
A1、无线局域网向用户终端发出认证请求;
A2、用户终端收到该认证请求后,读取用户标识模块中保存的用户信息,并将该用户信息作为自己的用户身份标识,然后将所述用户身份标识通过无线局域网发送至基于用户标识模块的认证服务器。
9、根据权利要求8所述的方法,其特征在于,所述无线局域网通过EAP协议或CHAP协议与用户终端进行通信。
10、根据权利要求9所述的方法,其特征在于,当认证请求通过EAP协议发送的,无线局域网向用户终端发送EAP-Request/Identity消息;
所述用户终端通过EAP-Response/Identity报文将用户身份标识发送给无线局域网,无线局域网收到该报文后,再通过Radius协议里的Access-Request报文发送至基于用户标识模块的认证服务器U-AAA,向U-AAA发起认证请求。
11、根据权利要求1所述的方法,其特征在于,所述步骤B进一步包括:
基于用户标识模块的认证服务器U-AAA将获取到对用户终端进行认证的第二随机数通过无线局域网发送至用户终端。
12、根据权利要求11所述的方法,其特征在于,所述步骤B进一步包括:
B1、基于用户标识模块的认证服务器将所述对用户终端进行认证的第二随机数封装在EAP-Request/UIM/Challenge报文中,然后通过Access-Challenge报文发送给无线局域网;
B2、当无线局域网收到基于用户标识模块的认证服务器发送过来的Access-Challenge报文后,从Access-Challenge 报文剥离出EAP-Request/UIM/Challenge,并且将剥离出的该报文发送至用户终端。
13、根据权利要求1所述的方法,其特征在于,所述步骤C进一步包括:
在用户终端计算得出第一鉴权数后,用户终端将计算出的第一鉴权数通过无线局域网发送至基于用户标识模块的认证服务器。
14、根据权利要求13所述的方法,其特征在于,所述步骤C还进一步包括:
C1、用户终端将第一鉴权数通过EAP-Response/UIM/Challenge报文发送给无线局域网;
C2、无线局域网将收到的EAP-Response/UIM/Challeng报文封装在Radius协议的接入请求Access-Request报文中,并将封装好的Access-Request报文发送至基于用户标识模块的认证服务器。
15、根据权利要求1所述的方法,其特征在于,在执行步骤C的同时步骤C中进一步包括:
基于用户标识模块的认证服务器通过无限局域网通知用户终端认证成功/失败。
16、根据权利要求1所述的方法,其特征在于,所述第一鉴权数是用户终端根据所述第二随机数和用户标识模块自身保存的密码计算得出。
17、根据权利要求4所述的方法,其特征在于,所述基于用户标识模块的认证服务器与归属位置寄存器之间通过ANSI-41D协议进行通信。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100071889A CN1327648C (zh) | 2003-05-16 | 2004-03-02 | 一种实现高速率分组数据业务认证的方法 |
RU2005140546/09A RU2321972C2 (ru) | 2003-05-16 | 2004-05-17 | Способ осуществления аутентификации услуг высокоскоростной передачи пакетных данных |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN03131035.4 | 2003-05-16 | ||
CN03131035 | 2003-05-16 | ||
CNB2004100071889A CN1327648C (zh) | 2003-05-16 | 2004-03-02 | 一种实现高速率分组数据业务认证的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1551561A CN1551561A (zh) | 2004-12-01 |
CN1327648C true CN1327648C (zh) | 2007-07-18 |
Family
ID=35578870
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100071889A Expired - Fee Related CN1327648C (zh) | 2003-05-16 | 2004-03-02 | 一种实现高速率分组数据业务认证的方法 |
CNA2004800012910A Pending CN1706150A (zh) | 2003-05-16 | 2004-05-17 | 一种实现高速率分组数据业务认证的方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2004800012910A Pending CN1706150A (zh) | 2003-05-16 | 2004-05-17 | 一种实现高速率分组数据业务认证的方法 |
Country Status (3)
Country | Link |
---|---|
CN (2) | CN1327648C (zh) |
RU (1) | RU2321972C2 (zh) |
WO (1) | WO2004102874A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212295B (zh) * | 2006-12-26 | 2010-11-03 | 财团法人资讯工业策进会 | 替移动电子装置申请电子凭证及传递密钥的系统、装置及方法 |
CN101383816B (zh) * | 2007-09-06 | 2015-09-02 | 财团法人工业技术研究院 | 无线网络认证系统及其方法 |
CN102026184B (zh) * | 2009-09-16 | 2013-08-07 | 华为技术有限公司 | 一种鉴权方法及鉴权系统以及相关设备 |
EA017487B1 (ru) * | 2011-08-18 | 2012-12-28 | Али Магомед Оглы Аббасов | Способ приёмопередачи информации |
WO2019010701A1 (en) * | 2017-07-14 | 2019-01-17 | Zte Corporation | METHODS AND COMPUTER DEVICE FOR TRANSMITTING ENCODED INFORMATION DURING AUTHENTICATION |
EP4181093A4 (en) * | 2020-07-22 | 2023-08-23 | Huawei Technologies Co., Ltd. | AUTHENTICATION DETECTION METHOD, APPARATUS AND SYSTEM |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5729537A (en) * | 1996-06-14 | 1998-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for providing anonymous data transfer in a communication system |
US5943425A (en) * | 1996-05-10 | 1999-08-24 | Lucent Technologies, Inc. | Re-authentication procedure for over-the-air activation |
JP2000124898A (ja) * | 1991-09-13 | 2000-04-28 | At & T Corp | 通信チャネルを開設するための方法および移動機 |
CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2790177B1 (fr) * | 1999-02-22 | 2001-05-18 | Gemplus Card Int | Authentification dans un reseau de radiotelephonie |
-
2004
- 2004-03-02 CN CNB2004100071889A patent/CN1327648C/zh not_active Expired - Fee Related
- 2004-05-17 CN CNA2004800012910A patent/CN1706150A/zh active Pending
- 2004-05-17 RU RU2005140546/09A patent/RU2321972C2/ru active
- 2004-05-17 WO PCT/CN2004/000495 patent/WO2004102874A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124898A (ja) * | 1991-09-13 | 2000-04-28 | At & T Corp | 通信チャネルを開設するための方法および移動機 |
US5943425A (en) * | 1996-05-10 | 1999-08-24 | Lucent Technologies, Inc. | Re-authentication procedure for over-the-air activation |
US5729537A (en) * | 1996-06-14 | 1998-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for providing anonymous data transfer in a communication system |
CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
Also Published As
Publication number | Publication date |
---|---|
RU2321972C2 (ru) | 2008-04-10 |
CN1706150A (zh) | 2005-12-07 |
RU2005140546A (ru) | 2006-07-27 |
WO2004102874A1 (fr) | 2004-11-25 |
CN1551561A (zh) | 2004-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100539521C (zh) | 一种实现无线局域网鉴权的方法 | |
AU2003243680B2 (en) | Key generation in a communication system | |
CN1549482B (zh) | 一种实现高速率分组数据业务认证的方法 | |
US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
US8094821B2 (en) | Key generation in a communication system | |
EP2144399B1 (en) | Inter-working function for the authentication of a terminal in a wireless local area network | |
CN106921965B (zh) | 一种wlan网络中实现eap认证的方法 | |
CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
CN1327648C (zh) | 一种实现高速率分组数据业务认证的方法 | |
CN100527668C (zh) | 实现wapi协议与802.1x协议兼容的方法 | |
JP4612637B2 (ja) | 第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法 | |
KR100667186B1 (ko) | 무선 이동 단말의 인증 시스템 구현 장치 및 방법 | |
Zhao et al. | Security authentication of 3G-WLAN interworking | |
Deng et al. | Practical unified authentication for 3g-wlan interworking | |
Yang et al. | A robust authentication protocol with non-repudiation service for integrating WLAN and 3G network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070718 Termination date: 20210302 |
|
CF01 | Termination of patent right due to non-payment of annual fee |