CN1645793A - 无线局域网用户实现接入认证的方法 - Google Patents
无线局域网用户实现接入认证的方法 Download PDFInfo
- Publication number
- CN1645793A CN1645793A CNA2004100491419A CN200410049141A CN1645793A CN 1645793 A CN1645793 A CN 1645793A CN A2004100491419 A CNA2004100491419 A CN A2004100491419A CN 200410049141 A CN200410049141 A CN 200410049141A CN 1645793 A CN1645793 A CN 1645793A
- Authority
- CN
- China
- Prior art keywords
- aaa server
- wlan
- server
- transmission request
- current transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本发明公开了一种无线局域网用户实现接入认证的方法,当前接入网络的WLAN用户终端与WLAN网络建立无线连接后,向AAA服务器发送接入认证请求;收到WLAN用户终端接入认证请求的AAA服务器向归属用户信息服务器要求获取用户信息时,如果归属用户信息服务器根据登记的AAA标识判断出当前WLAN用户终端采用不同的AAA服务器进行接入认证,那么,归属用户信息服务器就确定一个AAA服务器完成对当前WLAN用户终端的接入认证,同时删除其它AAA服务器在自身的登记数据及其与WLAN的连接。采用该方法能避免同一WLAN用户从多个AAA服务器接入认证,从而保证用户数据不分散,且实现简单、方便、灵活。
Description
技术领域
本发明涉及无线局域网(WLAN)中的接入认证技术,尤指在WLAN中一种防止WLAN用户从多个认证授权计费(AAA)服务器接入认证的方法。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连,如图2所示;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG,Packet DataGateway)等等,如图1所示。其中,图1、图2分别为漫游情况下和非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。
参见图1、图2所示,在3GPP系统中,主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络,此3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中,3GPP AAA服务器负责对用户的鉴权、授权和计费,对WLAN接入网络送来的计费信息收集并传送给计费系统;分组数据关口负责将用户数据从WLAN接入网络到3GPP网络或其他分组网络的数据传输;计费系统主要接收和记录网络传来的用户计费信息,还包括OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息,并进行统计和控制。
在非漫游情况下,当WLAN用户终端希望直接接入Internet/Intranet时,用户终端通过WLAN接入网与AAA服务器(AS)完成接入认证授权后,用户终端可通过WLAN接入网接入到Internet/Intranet。如果WLAN用户终端还希望接入3GPP分组交换(PS)域业务,则可进一步向3GPP归属网络申请互通场景3(Scenario3)的业务,即:WLAN用户终端向3GPP归属网络的AS发起互通场景3的业务授权请求,3GPP归属网络的AS对该业务授权请求进行业务鉴权和授权,如果成功,则AS给用户终端发送接入允许消息,且AS给用户终端分配相应的PDG,用户终端与所分配的PDG之间建立隧道后,即可接入3GPPPS域业务。同时,CGw/CCF和OCS根据用户终端的网络使用情况记录计费信息。在漫游情况下,当WLAN用户终端希望直接接入Internet/Intranet时,用户终端可通过3GPP访问网络向3GPP归属网络申请接入到Internet/Intranet。如果用户终端还希望申请互通场景3业务,接入到3GPP PS域业务,则用户终端需要通过3GPP访问网络向3GPP归属网络发起业务授权过程,该过程同样在用户终端和3GPP归属网络的AS之间进行,当授权成功后,AS给用户终端分配相应的归属PDG,用户终端通过3GPP访问网络中的WAG与分配的PDG之间建立隧道后,用户终端即可接入归属网络的3GPP PS域业务。
根据3GPP协议规定,在现有3GPP-WLAN交互网络中,WLAN用户接入网络的鉴权和授权过程如图3所示,包括以下步骤:
步骤301~302:当前WLAN用户终端与WLAN接入网根据3GPP协议规定的流程建立无线连接;之后,发起当前WLAN用户终端与3GPP AAA服务器之间的接入认证过程,该接入认证通过可扩展认证协议(EAP)进行,即:在当前WLAN用户终端与3GPP AAA服务器之间进行EAP请求和EAP响应消息的交互。
步骤303~304:3GPP AAA服务器收到接入认证请求后,判断自身是否存在针对当前WLAN用户终端的鉴权信息,如果不存在,则从HSS中获取当前WLAN用户终端的鉴权信息,比如:鉴权五元组/三元组。并且,如果该3GPPAAA服务器中不存在当前WLAN用户终端的用户签约信息,比如:授权信息、用户临时标识,同样要从HSS中获取。也就是说,3GPP AAA服务器自身没有用户信息的话,就需要从HSS中获取。
步骤305:3GPP AAA服务器可以将策略执行信息发送给当前WLAN用户终端漫游到的访问公众陆地移动网络(VPLMN)中的WAG,本步骤是可选的。
步骤306:如果鉴权和授权成功,则3GPP AAA服务器向WLAN接入网发送允许接入消息Access Accept,在该消息中包括EAP成功消息EAP Success,该成功消息中携带有连接授权信息,比如:接入过滤规则、隧道属性等等。
步骤307:WLAN接入网收到允许接入消息后,向当前WLAN用户终端发送鉴权成功消息EAP Success。
步骤308:如果当前WLAN用户终端在HSS中没有当前为其提供接入认证3GPP AAA服务器的登记信息,则为当前WLAN用户终端提供鉴权的3GPPAAA服务器在HSS中进行登记,登记消息中根据用户的临时标识来确定用户。
从上述流程可以看出,当前的规范和过程还没有涉及归属网络中有多个AAA服务器提供服务时,如果用户己经连接到一个AAA服务器,下次发起认证时如何保障继续连接到该AAA的解决方案。那么,当一个归属公众陆地移动网络(HPLMN)网络中有多个AAA服务器能够为WLAN用户提供服务时,某用户第一次接入AAA服务器1之后,下次进行认证或接入可能被送入AAA服务器2,而该AAA服务器2会重新与HSS进行交互,从HSS中请求用户的签约数据,从而导致用户数据分散,不能集中管理。
虽然目前业界也提出一种允许同时有多个AAA服务器提供服务的方案,但该方案的具体实现需要HSS进行多重条件的判断,经过的过程较为复杂繁琐,而且也在一定程度上加大了HSS的负荷。
发明内容
有鉴于此,本发明的主要目的在于提供一种无线局域网用户实现接入认证的方法,能够避免同一WLAN用户从多个AAA服务器接入认证,从而保证用户数据不分散,且实现简单、方便、灵活。
为达到上述目的,本发明的技术方案是这样实现的:
一种无线局域网用户实现接入认证的方法,收到接入认证请求的AAA服务器向归属用户信息服务器请求获取当前发送请求的WLAN用户终端的用户信息时,该方法包括:
a.归属用户信息服务器收到请求后,判断自身是否存在当前发送请求的WLAN用户终端的AAA登记,如果没有,则向当前发送请求的AAA服务器返回用户数据;如果有,再判断已存在的AAA标识与当前发送请求的AAA服务器标识是否相同,如果相同,则向当前发送请求的AAA服务器返回用户数据,否则,执行步骤b;
b.归属用户信息服务器确定一个AAA服务器完成对当前发送请求的WLAN用户终端的接入认证,并对当前发送请求的WLAN用户对应的其它AAA服务器发起清除该用户相关信息及连接的处理。
其中,步骤b中归属用户信息服务器确定由已登记的AAA服务器完成接入认证,则步骤b进一步包括:归属用户信息服务器将已登记AAA服务器的地址发送给当前发送请求的AAA服务器;当前发送请求的AAA服务器根据收到地址将认证请求信令转发给已登记的AAA服务器,由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证。
在执行步骤b之前,该方法进一步包括:归属用户信息服务器与已登记的AAA服务器定期进行联系,或者归属用户信息服务器在向当前发送请求的AAA服务器返回地址前,先与已登记的AAA服务器进行协商。
上述方案中,所述由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证进一步包括:当前发送请求的AAA服务器作为代理或中继设备,转发当前发送请求的WLAN用户终端与已登记的AAA服务器之间的所有信令。
上述方案中,当前发送请求的AAA服务器从其下游节点接收到当前发送请求的WLAN用户终端的接入认证,则所述由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证进一步包括:当前发送请求的AAA服务器通知其下游节点认证交互终点为已登记的AAA服务器,下游节点重新发起到已登记的AAA服务器的接入认证。
上述方案中,步骤b中归属用户信息服务器确定由当前发送请求的AAA服务器完成接入认证,则步骤b进一步包括:当前发送请求的AAA服务器对当前发送请求的WLAN用户终端进行接入认证,并在认证成功后到归属用户信息服务器中进行登记请求,归属用户信息服务器指示已登记的AAA服务器删除其用户信息和用户的WLAN连接,并删除自身中已登记的AAA服务器的登记信息,然后将当前发送请求的AAA服务器的信息进行登记。
上述方案中,所述的用户信息为当前WLAN用户的签约信息、或当前WLAN用户的鉴权信息、或两者的组合。所述的归属用户信息服务器为HSS、或为HLR与鉴权中心AuC的组合。
本发明所提供的无线局域网用户实现接入认证的方法,如果HSS发现当前WLAN用户终端采用不同的AAA服务器进行接入认证,HSS就选定一个AAA服务器为当前WLAN用户终端提供服务,同时删除其它AAA服务器的相应数据及其与WLAN的连接,如此,可保证仅有一个AAA服务器为每个WLAN用户终端提供接入认证服务,以避免用户数据的分散,保证数据的集中管理。
本发明的方法只需要判断同一个用户的登记是否来自不同的AAA服务器,即可确定当前WLAN用户终端是否采用不同的AAA服务器,实现简单、方便,既不会增加HSS的负荷,也不会使接入认证流程复杂化。并且,本发明可采用不同的方案达到防止一个WLAN用户终端从多个AAA服务器进行接入认证的目的,实现更灵活。
附图说明
图1为WLAN系统与3GPP系统互通的网络结构示意图;
图2为WLAN运营网络的一种组网结构示意图;
图3为现有技术中WLAN用户终端进行鉴权和授权的流程图;
图4为本发明一实施例的处理流程图;
图5为本发明另一实施例的处理流程图。
具体实施方式
本发明的核心思想是:收到WLAN用户终端接入认证请求的AAA服务器向归属用户信息服务器要求获取用户信息时,如果归属用户信息服务器根据登记的AAA标识判断出当前WLAN用户终端采用不同的AAA服务器进行接入认证,那么,归属用户信息服务器就确定一个AAA服务器完成对当前WLAN用户终端的接入认证,同时删除其它AAA服务器在自身的登记数据及其与WLAN的连接,如此,可保证仅有一个AAA服务器为每个WLAN用户终端提供接入认证服务。
这里,所述的归属用户信息服务器可以是HSS、或HLR与鉴权中心(AuC,Authentication Center)等网络实体的组合,以下仅以归属用户信息服务器是HSS为例。所述的仅有一个AAA服务器为每个WLAN用户终端提供服务,并不是指仅采用一个固定的AAA服务器。也就是说,所述的HSS确定一个AAA服务器完成对当前WLAN用户终端的接入认证可以选用旧AAA服务器,也可以选用新AAA服务器。
针对HSS当前所选定的不同的AAA服务器,HSS的处理过程也不相同。假定旧AAA服务器为AAA1,新AAA服务器为AAA2,如果一个WLAN用户通过AAA1被接入,在AAA1中存储有签约信息、接入状态等用户数据,并且AAA1在HSS中进行了登记,说明AAA1曾为该WLAN用户提供接入认证服务;那么,如果该WLAN用户又通过AAA2进行接入,则HSS可以通过已登记的AAA-ID判断出该WLAN用户是从新的AAA服务器,即AAA2尝试接入。这种情况下,如果AAA2按照HSS的配置规则属于合法的AAA服务器,则HSS通常采用的两种处理过程是:
第一种,如果HSS选定采用AAA1完成接入认证,则HSS会将AAA1的地址发送给AAA2,AAA2将通过转发机制使信令转发到AAA1。这里,所述的转发可通过中继(RELAY)、或代理(PROXY)、或重定向(REDIRECTION)等任选方式实现。
这种方案中,考虑到AAA1失败、与HSS失去联系的情况,需要HSS及时、主动取消AAA1的登记,以保障AAA2能正常通过AAA1完成接入认证过程。因此,就要求HSS及时得到AAA设备失败或过载的情况,具体做法就是:HSS和AAA1定期联系,或者HSS在转发之前与AAA1进行协商,如果协商失败或没有响应,则认为AAA1有问题,及时取消AAA1的登记,接入AAA2,并将数据发送给AAA2。这里所述的数据是指:用户签约信息、用于安全认证的鉴权五元组/三元组等。
第二种,如果选定采用AAA2完成接入认证,则HSS会将所有相关数据发给AAA2,并在AAA2成功完成用户认证后,令该AAA2在自身进行登记;同时,HSS将AAA1在自身的登记删除,并指示拆除AAA1与WLAN间的相关连接。这里,所述的相关数据是指:用户签约信息、用于安全认证的鉴权五元组/三元组等;所述的相关连接为AAA服务器中的会话连接,或低层物理连接和AAA服务器中的会话连接。
以上所述方案主要适用于:在一个网络中存在多个AAA服务器可以同时为WLAN用户终端提供服务的情况。这里所述的网络可以是HPLMN,也可以是VPLMN,还可以是WLAN。实际上,上述方案所述的过程就相当于是:确定当前收到WLAN用户接入认证请求的AAA在本次接入过程中作为AAA服务器,还是作为AAA代理的过程。
实施例一:
本实施例就是基于图3所示的处理流程,将图3给出的交互流程与本发明核心思想的处理步骤相结合,主要涉及步骤303和步骤304的变化,其它步骤基本不变。具体修改是:
在步骤303中增加HSS对当前要获取用户信息的AAA服务器的判断,HSS收到AAA服务器发来的签约信息请求后,检查自身是否有该WLAN用户的AAA登记,如果不存在,则继续原有正常流程;如果存在,再根据AAA标识判断登记的AAA服务器与当前发请求的AAA服务器是否为同一个AAA服务器,如果是同一个AAA服务器,也继续原有正常流程;如果不是同一个AAA服务器但HSS确定选用当前发请求的AAA服务器,也继续原有正常流程,只是在步骤308中或步骤308之后需要增加删除已登记AAA服务器与当前WLAN用户相关的信息和连接的步骤。
如果不是同一个AAA服务器且HSS确定选用已登记的AAA服务器,HSS给当前发请求的AAA服务器返回已登记AAA服务器的地址,当前发请求的AAA服务器将接入认证请求转发给已登记的AAA服务器,步骤303和后续步骤通过已登记的AAA服务器继续完成。
实施例二:
本实施例中,某WLAN用户终端的归属AAA(H-AAA)服务器收到其下游节点发来的认证请求,这里所述的下游节点是指AAA代理/中继代理,该下游节点位于HPLMN、VPLMN或WLAN中。设定H-AAA为AAA2,在HSS中已登记的AAA服务器为AAA1,且HSS选定由AAA1完成接入认证。那么,本实施例中实现WLAN用户终端接入认证的方法如图4所示,包括以下步骤:
步骤401~402:当前接入网络的WLAN用户终端与WLAN接入网建立无线连接后,AAA2收到经由下游节点发送来的、该WLAN用户终端的接入认证请求。
步骤403~404:AAA2根据自身的配置信息确定自身可以对该用户提供服务,但发现自身没有该WLAN用户终端的用户信息,则向HSS发起用户信息请求,请求获取用户数据。其中,所述用户信息请求在实际操作中可以是认证信息请求、或签约信息请求、或是两者的组合。这里,所述的配置信息就是预先配置好的条件、参数,比如,一个网络中有200个用户,用户号为1~200,三个AAA服务器,预先配置好:AAA1为用户号为1~100的用户提供服务,AAA2为用户号为50~180的用户提供服务,AAA3为用户号为181~200的用户提供服务,那么,就有两个AAA能为用户号为50~100的用户提供服务。
步骤405~406:HSS收到AAA2发来的签约信息请求后,检查自身是否有该WLAN用户终端的AAA登记,发现已存在AAA1的登记,并且根据AAA标识可以判断出AAA1与当前的AAA2不是同一个AAA,HSS确定选用AAA1,则HSS拒绝向AAA2提供用户数据,并将当前已登记的AAA1的地址发送给AAA2。
为了保证AAA1处于正常工作状态,HSS可以在向AAA2发送AAA1地址之前,与AAA1定时联系或预先与AAA1进行协商,以确认AAA1工作正常、用户数据保存和状态也都正常,其中,主要是确认用户数据没有丢失,用户状态可以是attach或detach。
步骤407:AAA2根据得到的AAA1的地址,将认证请求信令转送给AAA1,由AAA1完成后续的接入认证流程。具体的信令转发可通过以下的机制实现:
1)AAA2作为代理或一个中继设备,将该认证交互的所有信令转发于下游节点和AAA1之间,完成当前WLAN用户终端和AAA1之间的AAA信令交互。比如:可以将AAA2作为DIAMETER协议中的DIAMETER-PROXY AGENT或DIAMETER-RELAY AGENT,按照IETF草案<draft-ietf-aaa-diameter-17>规定的方法进行交互。
2)AAA2作为转移代理,通知下游节点,该认证交互的终点需要转移给AAA1,下游节点则不再将该认证交互信令送给AAA2,如果此时的下游节点是proxy或broker,则该下游节点会根据此通知重新发起到AAA1的信令,不再与AAA2交互。比如:可以将AAA2作为DIAMETER协议的DIAMETER-PROXY REDIRECT AGENT,按照IETF规范规定的方法进行交互。
实施例三:
本实施例中,假定当前收到认证请求的AAA为AAA2,在HSS中已登记的AAA服务器为AAA1,且HSS选定由AAA2完成接入认证。那么,本实施例中实现WLAN用户终端接入认证的方法如图5所示,包括以下步骤:
步骤501~504:与实施例一中所有的描述基本相同。
步骤505~506:HSS收到AAA2发来的签约信息请求后,检查自身是否有该WLAN用户终端的AAA登记,发现已存在AAA1的登记,并且根据AAA标识可以判断出AAA1与当前的AAA2不是同一个AAA,HSS确定选用AAA2,则HSS向AAA2提供用户数据。
步骤507~509:AAA2收到用户数据后,对当前WLAN用户终端完成接入认证,在接入认证成功后,AAA2到HSS中进行登记;HSS将AAA2的信息进行登记,其中包括AAA2的标识,同时,删除原有的AAA1的登记信息,并指示AAA1删除其与WLAN之间建立的相关连接。
实施例四:
本实施例是本发明方法在EAP-AKA的WLAN接入认证过程中的应用,所述EAP-AKA认证的基本过程在规范中有详细规定。本实施例主要描述该过程在WLAN-3GPP交互运营网络中运行时,如何保障只有一个AAA服务器同时为一个用户服务。如图6所示,本实施例的方法包括以下步骤:
步骤601:WLAN用户终端与WLAN接入网根据WLAN技术规范建立无线连接。
步骤602:WLAN接入网向WLAN用户终端发送用户名请求信令EAPRequest/Identity,该EAP内容封装于WLAN具体的技术协议中。
步骤603:WLAN用户终端返回用户名响应消息EAP Response/Identity,该消息中包括该WLAN用户终端自己的标识,该标识采用IETF规范RFC2486定义的网络接入标识(NAI),该NAI可以是前次认证时分配的临时标识、或是永久标识IMSI。其中,由IMSI构造NAI格式的方法在EAP/AKA规范中有详细定义,在此不再赘述。
步骤604:根据NAI的域名,WLAN用户终端发起的认证消息被路由到适当的3GPP AAA服务器。这里,路由中可能有一个或多个AAA代理(图中省略),可以用Dimeter referral方法寻找和确定AAA服务器路由;也可以通过配置数据确定AAA服务器路由。
步骤605:3GPP AAA服务器收到包含有用户标识的EAP Response/Identity消息后,该消息中还含有WLAN接入网络标识、VPLMN标识以及WLAN用户终端的MAC地址。
步骤606:3GPP AAA服务器根据收到的标识把该用户作为EAP-AKA认证的候选,然后,3GPP AAA服务器检查自身是否有该用户没有使用的认证元组(Authentication Vectors),如果没有,则向HSS/HLR请求获取该认证元组,此时需要一个临时标识和IMSI的对照关系表。其中,3GPP AAA服务器是否将当前用户作为候选也可以是:服务器先获取没有使用过的认证元组,基于获得的认证元组,比如获得UMTS的认证元组,再决定是否将该用户作为EAP-AKA认证的候选。
HSS/HLR收到请求后,如果经检查发现已有另外一个3GPP AAA服务器已登记作为该用户的服务AAA,并且,HSS/HLR确认该已登记的AAA服务器工作正常,则该HSS/HLR会将该已登记的AAA服务器的地址通知当前请求获取认证元组的3GPP AAA服务器,那么,请求获取认证元组的3GPP AAA服务器就作为PROXY代理或REDIRECTION代理将认证消息转移给已登记的3GPPAAA服务器。此步骤之后,已登记的3GPP AAA服务器就作为为当前用户提供服务的3GPP AAA服务器。
步骤607:3GPP AAA服务器发出EAP Request/AKA Identity消息再次请求用户标识,发出该请求是因为中间节点可能改变或替换了在EAP Response/Identity消息中收到的用户标识,但如果确定EAP Response/Identity消息中的用户标识不可能被改变,相应处理步骤也可以被归属运营商省略。
步骤608~609:WLAN接入网将EAP Request/AKA Identity消息转发给WLAN用户终端;WLAN用户终端响应一个与EAP Response/Identity中完全相同的用户标识。
步骤610:WLAN接入网转发EAP Response/AKA Identity消息到3GPP AAA服务器,3GPP AAA服务器将使用本消息收到的用户标识来进行认证。如果EAPResponse/Identity中的用户标识和EAP Response/AKA Identity中的用户标识不一致,则以前从HSS/HLR取得的用户签约信息和认证元组都是无效的,应该重新申请。也就是说,在步骤611之前要重复执行步骤606中请求认证元组的过程。
为了优化过程,当3GPP AAA服务器有足够的信息来识别一个用户作为EAP-AKA用户,则标识重新请求的过程应该在用户签约信息和认证信息被获得之前进行。虽然Wx接口的协议设计可能不允许以上四个步骤在所需的用户签约信息下载到3GPP AAA服务器上之前进行。
步骤611:3GPP AAA服务器检查是否已拥有WLAN接入所需的用户签约信息,如果没有这些信息,则应该从HSS取得;然后3GPP AAA服务器检查用户是否被授权使用WLAN接入服务。
虽然在本实施例中,本步骤在步骤606之后,但在实际应用中,本步骤可以在步骤614之前的任意位置执行。
步骤612:由IK和C推导得到新的密钥信息,具体内容在规范中有详细规定,该密钥信息是EAP-AKA所需要的,当然,可能有更多的密钥信息会被产生出来提供给WLAN接入的安全性或完整性保护使用。
一个新的假名也可能被选择,并采用EAP-AKA产生的密钥信息保护。
步骤613:3GPP AAA服务器在EAP Request/AKA-Challenge消息中发送给WLAN接入网如下信息:RAND、AUTN、一个消息认证码(MAC,MessageAuthentication Code)和两个用户标识(如果有),其中,两个标识是指被保护的假名和/或重认证标识(Re-authentication ID)。是否发送重认证标识取决于3GPP运营商的运营规则是否允许重认证机制,也就是说,任何时候AAA服务器根据运营商的规则决定是否包含重认证标识,从而决定允许或不允许重认证过程进行。
步骤614:WLAN接入网将EAP Request/AKA-Challenge消息发送给WLAN用户终端。
步骤615:WLAN用户终端运行USIM上的UMTS算法,USIM验证AUTN是否正确从而认证网络,如果AUTN是不正确的,该WLAN用户终端就拒绝该认证过程。如果序列数是不同步的,则该WLAN用户终端会发起一个同步过程,规范中有详细说明,在此不在详述。如果AUTN正确,则USIM计算出RES、IK和CK。
WLAN用户终端根据USIM新计算的IK和CK计算得到其他新的密钥信息,利用这些密钥信息检查得到的MAC
如果收到了被保护的假名,WLAN用户终端存储该假名待以后认证使用。
步骤616:WLAN用户终端用新的密钥信息计算一个覆盖EAP消息的新的MAC值,WLAN用户终端将包含计算得到的RES和新计算的MAC值的EAPResponse/AKA-Challenge消息发送给WLAN接入网。
步骤617:WLAN接入网将EAP Response/AKA-Challenge信息转发给3GPPAAA服务器。
步骤618:3GPP AAA服务器检查得到的MAC,并比较XRES和得到的RES。
步骤619:如果全部检查通过,则3GPP AAA服务器发送认证成功消息EAPSuccess给WLAN接入网,如果一些为WLAN接入层安全和完整性保护准备的新的密钥产生,则3GPP AAA服务器把这些密钥信息包含在承载该EAP信息的AAA层协议消息中,即不包含在EAP层的信令中。WLAN接入网保存这些密钥用来和认证通过的WLAN用户终端进行通信使用。
步骤620:WLAN接入网用EAP Success消息通知WLAN用户终端认证成功。此时,EAP AKA交互成功的完成,并且WLAN用户终端和WLAN接入网都拥有了交互中产生的共享密钥信息。
步骤621:3GPP AAA服务器比较认证交互中用户的MAC地址、VPLMN标识和WLAN接入网络的标识信息与当前运行中的会话对应用户相应的信息,如果这些信息和运行中的会话都一致,则该认证过程是与目前运行中的WLAN会话关联的,对该会话不需要做任何处理。
如果该用户的MAC地址或VPLMN标识或WLAN接入网能力信息不同于当前的WLAN会话,则3GPP AAA服务器判断该认证过程是为了建立一个新的WLAN会话,3GPP AAA服务器就会根据用户的多个WLAN会话是否被允许或WLAN会话的最多数目是否超过限制,来决定是否发起中止现有WLAN会话的过程。
上述过程中,该认证过程可能会在任意阶段失败,比如:由于MAC验证失败、或WLAN用户终端在网络发出请求消息后没有响应失败等等。在这种情况下,EAP AKA过程就会中止,并且要将失败的通知信息发送到HSS/HLR。
实施例五:
本实施例是本发明方法在EAP-SIM的WLAN接入认证过程中的应用,所述EAP-SIM认证的基本过程规范中有详细规定。本实施例主要描述该过程在WLAN-3GPP交互运营网络中运行时,如何保障只有一个AAA服务器同时为一个用户服务。如图7所示,本实施例的方法包括以下步骤:
步骤701:WLAN用户终端与WLAN接入网根据WLAN技术规范建立无线连接。
步骤702:WLAN接入网向WLAN用户终端发送用户名请求信令EAPRequest/Identity,该EAP内容封装于WLAN具体的技术协议中。
步骤703:WLAN用户终端返回用户名响应消息EAP Response/Identity,该消息中包括该WLAN用户终端自己的标识,该标识采用IETF规范RFC2486定义的网络接入标识(NAI),该NAI可以是前次认证时分配的临时标识、或是永久标识IMSI。其中,由IMSI构造NAI格式的方法在EAP/SIM规范中有详细定义,在此不再赘述。
步骤704:根据NAI的域名,WLAN用户终端发起的认证消息被路由到适当的3GPP AAA服务器。这里,路由中可能有一个或多个AAA代理(图中省略),可以用Dimeter referral方法寻找和确定AAA服务器路由;也可以通过配置数据确定AAA服务器路由。
步骤705:3GPP AAA服务器收到包含有用户标识的EAP Response/Identity消息后,该消息中还含有WLAN接入网络标识、VPLMN标识以及WLAN用户终端的MAC地址。
步骤706:3GPP AAA服务器根据收到的标识把该用户作为EAP-SIM认证的候选,然后3GPP AAA服务器发送EAP Request/SIM-Start给WLAN接入网,3GPP AAA服务器重新请求用户标识,发出该请求是因为中间节点可能改变或替换了在EAP Response/Identity消息中收到的用户的。但是,如果确定EAPResponse/Identity消息中的用户标识不可能被改变,则相应处理步骤可以被归属运营商忽略。其中,3GPP AAA服务器是否将当前用户作为候选也可以是:服务器先获取没有使用过的认证元组,基于获得的认证元组,比如获得GSM的认证元组,再决定是否将该用户作为EAP-SIM认证的候选。
步骤707~708:WLAN接入网将EAP Request/SIM-Start信息发送给WLAN用户终端;WLAN用户终端选择一个新的随机数NONCE_MT,该随机数用于网络认证。WLAN用户终端响应一个与EAP Response/Identity中完全相同的用户标识。
WLAN用户终端发送给WLAN接入网的EAP Response/SIM-Start信息中包含有NONCE_MT和用户标识。
步骤709:WLAN接入网发送EAP Response/SIM-Start信息给3GPP AAA服务器,3GPP AAA服务器将使用本消息收到的用户标识来进行认证,如果EAPResponse/Identity中的用户标识和EAP Response/SIM Start中的用户标识不一致,则以前从HSS/HLR取得的用户签约信息和认证元组都是无效的,应该重新申请。
步骤710:3GPP AAA服务器检查自身是否有该用户的N个没有使用的认证元组,如果有,则N个GSM认证元组被用来产生一个与EAP-AKA长度一致的密钥信息;如果没有N个认证元组,则需要从HSS/HLR获取一组认证元组,此时需要一个临时标识和IMSI的对照关系表。
HSS/HLR收到请求后,如果经检查发现已有另外一个3GPP AAA服务器已登记作为该用户的服务AAA,并且,HSS/HLR确认该已登记的AAA服务器工作正常,则该HSS/HLR会将该已登记的AAA服务器的地址通知当前请求获取认证元组的3GPP AAA服务器,那么,请求获取认证元组的3GPP AAA服务器就作为PROXY代理或REDIRECTION代理将认证消息转移给已登记的3GPPAAA服务器。此步骤之后,已登记的3GPP AAA服务器就作为为当前用户提供服务的3GPP AAA服务器。
虽然在本实施例中,本步骤在步骤709之后,但在实际操作中,本步骤可以在步骤712之前的任意位置执行,比如:在步骤705之后。
步骤711:3GPP AAA服务器检查是否已拥有WLAN接入所需的用户签约信息,如果没有这些信息,则应该从HSS取得;然后3GPP AAA服务器检查用户是否被授权使用WLAN接入服务。
虽然在本实施例中,本步骤在步骤710之后,但在实际操作中,本步骤可以在步骤718之前的任意位置执行。
步骤712:由NONCE_MT和N个Kc推导得到新的密钥信息,具体内容在规范中有详细规定,该密钥信息是EAP-SIM所需要的,当然,可以有更多的密钥信息被产生出来提供给WLAN接入的安全性或完整性保护使用。
一个新的假名和/或重认证标识可能被选择,并采用EAP-SIM产生的密钥信息保护,比如:加密并作完整性保护。
一个消息认证码(MAC)可以通过采用EAP-SIM得到的密钥覆盖整个EAP消息计算得到,用来进行网络认证值。
3GPP AAA服务器在EAP Request/SIM-Challenge消息中发送给WLAN接入网如下信息:RAND、AUTN、一个消息认证码(MAC)和两个用户标识(如果有),其中,两个标识是指被保护的假名和/或重认证标识(Re-authenticationID)。是否发送重认证标识取决于3GPP运营商的运营规则是否允许重认证机制,也就是说,任何时候AAA服务器根据运营商的规则决定是否包含重认证标识,从而决定允许或不允许重认证过程进行。
步骤713:WLAN发送EAP Request/SIM-Challenge消息给WLAN用户终端。
步骤714:WLAN用户终端在SIM中运行N次GSM A3/A8算法,为每个收到的RAND运行一次,该计算产生N个SRES和Kc值。
WLAN用户终端根据N Kc keys和NONCE_MT计算出其他密钥信息。
WLAN用户终端用最新得到的密钥信息计算一个用于网络认证的MAC,并检验其是否和收到的MAC相同,如果这个MAC不正确,则网络认证失败,WLAN用户终端取消该认证过程,仅当MAC正确WLAN用户终端才会继续认证交互过程。
WLAN用户终端用新的密钥信息覆盖每个和N个SRES响应关联的EAP消息,计算一个新的MAC。
如果收到了被保护的假名,WLAN用户终端存储该假名待以后认证使用。
步骤715:WLAN用户终端将包含新计算得到的MAC的EAP Response/SIM-Challenge消息发送给WLAN接入网。
步骤716:WLAN接入网发送EAP Response/SIM-Challenge消息给3GPPAAA服务器。
步骤717:3GPP AAA服务器检查得到的MAC是否和自己存储的一致。
步骤718:如果全部检查通过,则3GPP AAA服务器发送认证成功EAPSuccess消息给WLAN接入网,如果一些为WLAN接入层安全和完整性保护准备的新的密钥产生,则3GPP AAA服务器把这些密钥信息包含在承载该EAP信息的AAA层协议消息中,即不包含在EAP层的信令中。WLAN接入网保存这些密钥用来和认证通过的WLAN用户终端进行通信使用。
步骤719:WLAN接入网用EAP Success消息通知WLAN用户终端认证成功。此时EAP SIM交互成功的完成,并且,WLAN用户终端和WLAN接入网都拥有了交互中产生的共享密钥信息。
步骤720:3GPP AAA服务器比较认证交互中用户的MAC地址、VPLMN标识和WLAN接入网络的标识信息与当前运行中的会话对应用户相应的信息,如果这些信息和运行中的会话都一致,则该认证过程是和目前运行中的WLAN会话关联的,对该会话不需要做任何处理。
如果该用户的MAC地址或VPLMN标识或WLAN接入网能力信息不同于当前的WLAN会话,则3GPP AAA服务器判断该认证过程是为了建立一个新的WLAN会话。3GPP AAA服务器就会根据用户的多个WLAN会话是否被允许或WLAN会话的最多数目是否超过限制,来决定是否发起中止现有WLAN会话的过程。
上述过程中,该认证过程可能会在任意阶段失败,比如:由于MAC验证失败、或WLAN用户终端在网络发出请求消息后没有响应失败等等。在这种情况下,EAP SIM过程就会中止,并且要将失败的通知信息发送到HSS/HLR。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (8)
1、一种无线局域网用户实现接入认证的方法,其特征在于,收到接入认证请求的AAA服务器向归属用户信息服务器请求获取当前发送请求的WLAN用户终端的用户信息时,该方法包括:
a.归属用户信息服务器收到请求后,判断自身是否存在当前发送请求的WLAN用户终端的AAA登记,如果没有,则向当前发送请求的AAA服务器返回用户数据;如果有,再判断已存在的AAA标识与当前发送请求的AAA服务器标识是否相同,如果相同,则向当前发送请求的AAA服务器返回用户数据,否则,执行步骤b;
b.归属用户信息服务器确定一个AAA服务器完成对当前发送请求的WLAN用户终端的接入认证,并对当前发送请求的WLAN用户对应的其它AAA服务器发起清除该用户相关信息及连接的处理。
2、根据权利要求1所述的方法,其特征在于,步骤b中归属用户信息服务器确定由已登记的AAA服务器完成接入认证,则步骤b进一步包括:归属用户信息服务器将已登记AAA服务器的地址发送给当前发送请求的AAA服务器;当前发送请求的AAA服务器根据收到地址将认证请求信令转发给已登记的AAA服务器,由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证。
3、根据权利要求2所述的方法,其特征在于,执行步骤b之前,该方法进一步包括:归属用户信息服务器与已登记的AAA服务器定期进行联系,或者归属用户信息服务器在向当前发送请求的AAA服务器返回地址前,先与已登记的AAA服务器进行协商。
4、根据权利要求2所述的方法,其特征在于,所述由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证进一步包括:当前发送请求的AAA服务器作为代理或中继设备,转发当前发送请求的WLAN用户终端与已登记的AAA服务器之间的所有信令。
5、根据权利要求2所述的方法,其特征在于,当前发送请求的AAA服务器从其下游节点接收到当前发送请求的WLAN用户终端的接入认证,则所述由已登记的AAA服务器完成对当前发送请求的WLAN用户终端的接入认证进一步包括:当前发送请求的AAA服务器通知其下游节点认证交互终点为已登记的AAA服务器,下游节点重新发起到已登记的AAA服务器的接入认证。
6、根据权利要求1所述的方法,其特征在于,步骤b中归属用户信息服务器确定由当前发送请求的AAA服务器完成接入认证,则步骤b进一步包括:当前发送请求的AAA服务器对当前发送请求的WLAN用户终端进行接入认证,并在认证成功后到归属用户信息服务器中进行登记请求,归属用户信息服务器指示已登记的AAA服务器删除其用户信息和用户的WLAN连接,并删除自身中已登记的AAA服务器的登记信息,然后将当前发送请求的AAA服务器的信息进行登记。
7、根据权利要求1所述的方法,其特征在于,所述的用户信息为当前WLAN用户的签约信息、或当前WLAN用户的鉴权信息、或两者的组合。
8、根据权利要求1至7任一项所述的方法,其特征在于,所述的归属用户信息服务器为HSS、或为HLR与鉴权中心AuC的组合。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100491419A CN1283062C (zh) | 2004-06-24 | 2004-06-24 | 无线局域网用户实现接入认证的方法 |
| PT57548935T PT1693995E (pt) | 2004-06-24 | 2005-06-20 | Um método para implementação de autenticação de acesso de um utilizador de wlan |
| EP05754893A EP1693995B1 (en) | 2004-06-24 | 2005-06-20 | A method for implementing access authentication of wlan user |
| PCT/CN2005/000880 WO2006000149A1 (fr) | 2004-06-24 | 2005-06-20 | Procédé d'application d'une authentification d'accès d'un utilisateur wlan |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100491419A CN1283062C (zh) | 2004-06-24 | 2004-06-24 | 无线局域网用户实现接入认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1645793A true CN1645793A (zh) | 2005-07-27 |
| CN1283062C CN1283062C (zh) | 2006-11-01 |
Family
ID=34868700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100491419A Active CN1283062C (zh) | 2004-06-24 | 2004-06-24 | 无线局域网用户实现接入认证的方法 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1693995B1 (zh) |
| CN (1) | CN1283062C (zh) |
| PT (1) | PT1693995E (zh) |
| WO (1) | WO2006000149A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010149072A1 (zh) * | 2009-06-25 | 2010-12-29 | 华为技术有限公司 | 信息处理方法、系统以及移动性管理网元 |
| CN102036270A (zh) * | 2010-12-16 | 2011-04-27 | 中兴通讯股份有限公司 | 一种aaa的实现方法及aaa服务器 |
| CN101350748B (zh) * | 2007-07-20 | 2012-02-29 | 中兴通讯股份有限公司 | 获取数据摘要计算参数失败后控制终端接入的方法和系统 |
| CN101106508B (zh) * | 2006-07-14 | 2012-06-20 | 华为技术有限公司 | 一种在异构系统中获取用户规格的方法 |
| CN102685805A (zh) * | 2012-04-18 | 2012-09-19 | 中兴通讯股份有限公司 | 一种选择aaa服务器的方法、网关及hplmn |
| CN101166363B (zh) * | 2006-10-18 | 2012-11-07 | 华为技术有限公司 | 获取鉴权策略的方法、鉴权方法、鉴权器、通信设备以及终端 |
| WO2013016967A1 (zh) * | 2011-08-03 | 2013-02-07 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN107872445A (zh) * | 2016-09-28 | 2018-04-03 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| WO2019033967A1 (zh) * | 2017-08-16 | 2019-02-21 | 华为技术有限公司 | 安全接入方法、设备及系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247295A (zh) * | 2007-02-13 | 2008-08-20 | 华为技术有限公司 | 一种在无线局域网获得接入控制器信息的方法和装置 |
| CN101330384B (zh) * | 2007-06-19 | 2011-12-07 | 中兴通讯股份有限公司 | 终端设备鉴权方法 |
| US8495713B2 (en) * | 2010-05-17 | 2013-07-23 | Telefonaktiebolaget L M Ericsson (Publ) | Systems and methods for host authentication |
| CN102137401B (zh) | 2010-12-09 | 2018-07-20 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| CN102440018A (zh) * | 2011-06-30 | 2012-05-02 | 华为技术有限公司 | 通用鉴权架构下的用户设备鉴权方法和鉴权装置 |
| CA2985663C (en) * | 2015-05-12 | 2020-04-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for handling access to epc services via a non-3gpp network |
| FR3039954A1 (fr) | 2015-08-05 | 2017-02-10 | Orange | Procede et dispositif d'identification de serveurs d'authentification visite et de domicile |
| US11070555B2 (en) | 2015-08-25 | 2021-07-20 | Telefonaktiebolaget Lm Ericsson (Publ) | User profile provisioning in WLAN |
| WO2018015033A1 (en) * | 2016-07-18 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Network nodes and methods performed by network node for selecting authentication mechanism |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE313201T1 (de) * | 2002-04-22 | 2005-12-15 | Bedienerauswählender server, methode und system für die beglaubigung, ermächtigung und buchhaltung | |
| KR100427551B1 (ko) * | 2002-05-14 | 2004-04-28 | 에스케이 텔레콤주식회사 | 공중 무선랜과 셀룰러망 간의 로밍 방법 |
| US7280505B2 (en) * | 2002-11-13 | 2007-10-09 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from WLAN to cellular network |
-
2004
- 2004-06-24 CN CNB2004100491419A patent/CN1283062C/zh active Active
-
2005
- 2005-06-20 PT PT57548935T patent/PT1693995E/pt unknown
- 2005-06-20 EP EP05754893A patent/EP1693995B1/en active Active
- 2005-06-20 WO PCT/CN2005/000880 patent/WO2006000149A1/zh not_active Application Discontinuation
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106508B (zh) * | 2006-07-14 | 2012-06-20 | 华为技术有限公司 | 一种在异构系统中获取用户规格的方法 |
| CN101166363B (zh) * | 2006-10-18 | 2012-11-07 | 华为技术有限公司 | 获取鉴权策略的方法、鉴权方法、鉴权器、通信设备以及终端 |
| CN101350748B (zh) * | 2007-07-20 | 2012-02-29 | 中兴通讯股份有限公司 | 获取数据摘要计算参数失败后控制终端接入的方法和系统 |
| WO2010149072A1 (zh) * | 2009-06-25 | 2010-12-29 | 华为技术有限公司 | 信息处理方法、系统以及移动性管理网元 |
| CN102036270A (zh) * | 2010-12-16 | 2011-04-27 | 中兴通讯股份有限公司 | 一种aaa的实现方法及aaa服务器 |
| WO2013016967A1 (zh) * | 2011-08-03 | 2013-02-07 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN102685805A (zh) * | 2012-04-18 | 2012-09-19 | 中兴通讯股份有限公司 | 一种选择aaa服务器的方法、网关及hplmn |
| CN102685805B (zh) * | 2012-04-18 | 2016-03-30 | 中兴通讯股份有限公司 | 一种选择aaa服务器的方法、网关及hplmn |
| CN107872445A (zh) * | 2016-09-28 | 2018-04-03 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| CN107872445B (zh) * | 2016-09-28 | 2021-01-29 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| WO2019033967A1 (zh) * | 2017-08-16 | 2019-02-21 | 华为技术有限公司 | 安全接入方法、设备及系统 |
| US11323440B2 (en) | 2017-08-16 | 2022-05-03 | Huawei Technologies Co., Ltd. | Secure access method, device, and system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1693995A4 (en) | 2008-09-03 |
| WO2006000149A1 (fr) | 2006-01-05 |
| CN1283062C (zh) | 2006-11-01 |
| PT1693995E (pt) | 2013-05-21 |
| EP1693995B1 (en) | 2013-03-13 |
| EP1693995A1 (en) | 2006-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1310476C (zh) | 无线局域网用户建立会话连接的方法 | |
| CN1283062C (zh) | 无线局域网用户实现接入认证的方法 | |
| EP1707024B1 (en) | Improvements in authentication and authorization in heterogeneous networks | |
| JP5992554B2 (ja) | 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 | |
| US8332912B2 (en) | Method and apparatus for determining an authentication procedure | |
| JP3984993B2 (ja) | アクセスネットワークを通じて接続を確立するための方法及びシステム | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| EP1741308B1 (en) | Improved subscriber authentication for unlicensed mobile access network signaling | |
| CN1330214C (zh) | 无线局域网用户终端重新选择运营网络的交互方法 | |
| EP3120515B1 (en) | Improved end-to-end data protection | |
| US20060019635A1 (en) | Enhanced use of a network access identifier in wlan | |
| CN1298194C (zh) | 基于漫游密钥交换认证协议的无线局域网安全接入方法 | |
| EP3371993B1 (en) | Method, ue and network node for protecting user privacy in networks | |
| US20060128362A1 (en) | UMTS-WLAN interworking system and authentication method therefor | |
| EP1770940A1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| EP1988730A1 (en) | Radio access system and radio access method | |
| CN1813457A (zh) | 通过一个不信任接入网络的单点登陆验证的设备和方法 | |
| CN1848994A (zh) | 一种实现微波接入全球互操作系统鉴权的方法 | |
| CN101056456A (zh) | 无线演进网络实现认证的方法及安全系统 | |
| CN1549526A (zh) | 一种实现无线局域网鉴权的方法 | |
| JP2005530459A (ja) | 通信システムにおけるインターワーキング機能 | |
| CN101064605A (zh) | 一种多主机网络的aaa架构及认证方法 | |
| JP2022043175A (ja) | コアネットワークへの非3gpp装置アクセス | |
| CN1271822C (zh) | 无线局域网中用户终端网络选择信息的交互处理方法 | |
| CN1976309A (zh) | 无线用户接入网络服务的方法、接入控制器和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |