RU2005140546A - METHOD FOR IMPLEMENTING AUTHENTICATION OF HIGH-SPEED PACKAGE DATA TRANSFER SERVICES - Google Patents

METHOD FOR IMPLEMENTING AUTHENTICATION OF HIGH-SPEED PACKAGE DATA TRANSFER SERVICES Download PDF

Info

Publication number
RU2005140546A
RU2005140546A RU2005140546/09A RU2005140546A RU2005140546A RU 2005140546 A RU2005140546 A RU 2005140546A RU 2005140546/09 A RU2005140546/09 A RU 2005140546/09A RU 2005140546 A RU2005140546 A RU 2005140546A RU 2005140546 A RU2005140546 A RU 2005140546A
Authority
RU
Russia
Prior art keywords
authentication
user terminal
message
sends
request
Prior art date
Application number
RU2005140546/09A
Other languages
Russian (ru)
Other versions
RU2321972C2 (en
Inventor
Чжо ЛИ (CN)
Чжо ЛИ
Шикуй ГО (CN)
Шикуй ГО
Ян ШАО (CN)
Ян ШАО
Цз нхай ГАО (CN)
Цзянхай ГАО
Д ньфу ЧЭНЬ (CN)
Дяньфу ЧЭНЬ
Чжимин ЛИ (CN)
Чжимин ЛИ
Вэйдун У (CN)
Вэйдун У
Original Assignee
Хювэй Текнолоджиз Ко., Лтд. (CN)
Хювэй Текнолоджиз Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Хювэй Текнолоджиз Ко., Лтд. (CN), Хювэй Текнолоджиз Ко., Лтд. filed Critical Хювэй Текнолоджиз Ко., Лтд. (CN)
Publication of RU2005140546A publication Critical patent/RU2005140546A/en
Application granted granted Critical
Publication of RU2321972C2 publication Critical patent/RU2321972C2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Claims (21)

1. Способ осуществления аутентификации услуг высокоскоростной передачи пакетных данных, включающий в себя следующие шаги:1. A method for authenticating high-speed packet data services, including the following steps: А. аутентифицирующий объект выполняет аутентификацию терминала пользователя, устанавливая физическое соединение с сетью доступа AN посредством механизма аутентификации основанного на модуле идентификации пользователя UIM, и использует пользовательскую информацию, сохраненную в UIM самого терминала пользователя в качестве идентификатора пользователя;A. the authentication entity authenticates the user terminal by establishing a physical connection to the access network AN through an authentication mechanism based on the UIM user identification module, and uses the user information stored in the UIM of the user terminal itself as the user identifier; Б. аутентифицирующий объект, в соответствии с указанным идентификатором пользователя, получает второе случайное число для аутентификации терминала пользователя и второй аутентифицирующий номер, соответствующий второму случайному числу, отличающийся тем, что второй аутентифицирующий номер вычисляют посредством общих секретных данных SSD данного терминала пользователя, сохраненных на сетевой стороне;B. the authentication object, in accordance with the specified user identifier, receives a second random number for authenticating the user terminal and a second authentication number corresponding to the second random number, characterized in that the second authentication number is calculated using the shared secret data of the SSD of the user terminal stored on the network side; В. указанный терминал пользователя получает первый аутентифицирующий номер вычислением на основе второго случайного числа и самостоятельно сохраненных SSD; аутентифицирующий объект сравнивает первый аутентифицирующий номер со вторым аутентифицирующим номером; при их совпадении аутентификация терминала пользователя аутентифицирующим объектом проходит успешно, в противном случае аутентификация не происходит.B. said user terminal receives a first authentication number by calculation based on a second random number and self-stored SSDs; an authentication entity compares the first authentication number with the second authentication number; if they match, the authentication of the user terminal by the authenticating object is successful, otherwise authentication does not occur. 2. Способ по п.1, отличающийся тем, что указанный аутентифицирующий объект является предварительно сконфигурированным сервером аутентификации или центром аутентификации в беспроводной системе мобильной связи.2. The method according to claim 1, characterized in that the authentication object is a pre-configured authentication server or authentication center in a wireless mobile communication system. 3. Способ по п.2, отличающийся тем, что если аутентифицирующий объект является центром аутентификации в системе беспроводной мобильной связи, то указанное второе случайное число генерируют в центре аутентификации AuC системы беспроводной мобильной связи, и указанные SSD сохраняют в HLR/AuC на сетевой стороне, где HLR - домашний регистр местоположения.3. The method according to claim 2, characterized in that if the authentication object is an authentication center in a wireless mobile communication system, then said second random number is generated in the AuC authentication center of the wireless mobile communication system, and said SSDs are stored in the HLR / AuC on the network side where HLR is the home location register. 4. Способ по п.2, отличающийся тем, что если аутентифицирующий объект является предварительно сконфигурированным сервером, то указанное второе случайное число генерируют на сервере аутентификации, и указанные SSD сохраняют в HLR/AuC на сетевой стороне или на данном сервере аутентификации.4. The method according to claim 2, characterized in that if the authentication object is a pre-configured server, then the specified second random number is generated on the authentication server, and these SSDs are stored in HLR / AuC on the network side or on this authentication server. 5. Способ по п.1, далее включающий в себя: после неудачи при аутентификации на шаге В: аутентифицирующий объект уведомляет HLR на сетевой стороне о результате аутентификации, и HLR выясняет, является ли данная аутентификация первичной; если да, то происходит обновление SSD, а затем выполнение шага В, в противном случае аутентификация не происходит.5. The method according to claim 1, further comprising: after the authentication failure in step B: the authentication entity notifies the HLR on the network side of the authentication result, and the HLR determines whether this authentication is primary; if so, then the SSD is updated, and then step B is completed, otherwise authentication does not occur. 6. Способ по п.1, далее включающий в себя: после неудачи при аутентификации на шаге В: происходит обновление SSD, затем выполнение шага В.6. The method according to claim 1, further comprising: after authentication failure in step B: the SSD is updated, then step B is completed. 7. Способ по п.5 или 6, отличающийся тем, что процесс обновления SSD включает в себя7. The method according to claim 5 or 6, characterized in that the SSD update process includes Г1. HLR генерирует случайное число SSD-обновления и вычисляет аутентифицирующий номер, соответствующий этому случайному числу SSD-обновления;G1. The HLR generates a random number of SSD updates and calculates an authentication number corresponding to this random number of SSD updates; Г2. терминал пользователя вновь вычисляет свои собственные SSD на основе указанного случайного числа SSD-обновления посредством исходного алгоритма системы для SSD-генерирования, а затем вычисляет аутентифицирующий номер, соответствующий случайному числу SSD-обновления, на основе вновь вычисленных SSD;G2. the user terminal again calculates its own SSDs based on the specified random number of SSD updates by the original system algorithm for SSD generation, and then calculates an authentication number corresponding to the random number of SSD updates based on the newly calculated SSDs; Г3. оценка посредством сравнения согласования аутентифицирующего числа, вычисленного терминалом пользователя, и аутентифицирующего числа, вычисленного в HLR; если они согласованы, происходит обновление SSD на стороне терминала пользователя, в противном случае SSD-обновление не происходит.G3. estimation by comparing the agreement of the authentication number calculated by the user terminal and the authentication number calculated in the HLR; if they are agreed, the SSD is updated on the side of the user terminal; otherwise, the SSD update does not occur. 8. Способ по п.7, отличающийся тем, что шаг Г1 далее включает в себя8. The method according to claim 7, characterized in that step G1 further includes Г11. HLR отправляет случайное число SSD-обновления (RADNSSD) и соответствующее аутентифицирующее число аутентифицирующему объекту;G11. The HLR sends a random SSD update number (RADNSSD) and the corresponding authentication number to the authenticating entity; Г12. аутентифицирующий объект отправляет в AN сообщение Access-Challenge, содержащее сообщение EAP-Request/UIM/Update с RADNSSD.G12. the authenticating entity sends an Access-Challenge message containing an EAP-Request / UIM / Update message with RADNSSD to the AN. Г13. AN отправляет сообщение EAP-Request/UIM/Update на терминал пользователя.G13. AN sends an EAP-Request / UIM / Update message to the user terminal. 9. Способ по п.8, отличающийся тем, что шаг Г2 включает в себя9. The method according to claim 8, characterized in that step G2 includes Г21. после получения сообщения EAP-Request/UIM/Update, отправленного AN, терминал пользователя вычисляет новые SSD с использованием RADNSSD, случайным образом генерирует случайное число RANDBS, вычисляет аутентифицирующий номер AUTHBS, соответствующий RANDBS, на основе новых SSD, а затем отправляет RANDBS в AN посредством сообщения ЕАР-Response/UIM/Challenge;G21. after receiving an EAP-Request / UIM / Update message sent by AN, the user terminal calculates new SSDs using RADNSSD, randomly generates a random number of RANDBS, calculates the authentication number AUTHBS corresponding to RANDBS based on the new SSDs, and then sends RANDBS to AN by EAP-Response / UIM / Challenge messages; Г22. AN отправляет сообщение EAP-Response/UIM/Challenge аутентифицирующему объекту; аутентифицирующий объект получает случайное число RANDBS запроса базовой станции и соответствующий аутентифицирующий номер запроса AUTHBS посредством взаимодействия с HLR, при этом указанный AUTHBS получен посредством вычисления на основе RANDBS и самостоятельно сохраненных SSD;G22. AN sends an EAP-Response / UIM / Challenge message to the authenticating entity; the authentication entity receives a random number of RANDBS requests from the base station and the corresponding authentication number of the AUTHBS request by interacting with the HLR, wherein said AUTHBS is obtained by computing based on RANDBS and self-stored SSDs; Г23. аутентифицирующий объект отправляет в AN сообщение Access-Challenge, содержащее EAP-Request/UIM/Challenge с аутентифицирующим номером AUTHBS; после получения этого сообщения AN отправляет это сообщение на терминал пользователя.G23. the authentication entity sends an Access-Challenge message containing an EAP-Request / UIM / Challenge with the authentication number AUTHBS to the AN; after receiving this message, AN sends this message to the user terminal. 10. Способ по п.8, отличающийся тем, что шаг Г3 включает в себя10. The method according to claim 8, characterized in that the step G3 includes Г31. после получения сообщения EAP-Request/UIM/Challenge терминал пользователя оценивает посредством сравнения согласован ли выделенный из него AUTHBS с AUTHBS, вычисленным им самим; если он согласован, происходит обновление SSD на стороне терминала, терминал пользователя успешно проходит аутентификацию аутентифицирующим объектом и отправляет сообщение ЕАР-Response/UIM/Success в AN;G31. after receiving the EAP-Request / UIM / Challenge message, the user terminal evaluates by comparing whether the selected AUTHBS is consistent with the AUTHBS calculated by himself; if it is agreed, the SSD is updated on the terminal side, the user terminal successfully authenticates with the authentication object and sends an EAP-Response / UIM / Success message to AN; Г32. после получения этого сообщения AN отправляет аутентифицирующему объекту сообщение EAP-Response/UIM/Success, содержащее атрибуты соответствующего RADIUS; после получения этого сообщения аутентифицирующий объект обновляет SSD пользователя.G32. after receiving this message, the AN sends an EAP-Response / UIM / Success message containing the attributes of the corresponding RADIUS to the authenticating entity; after receiving this message, the authentication entity updates the user's SSD. 11. Способ по п.7, отличающийся тем, что указанные собственные SSD на шаге Г2 вычислены на основе указанного случайного числа SSD-обновления, электронного серийного номера ESN и A-key.11. The method according to claim 7, characterized in that said native SSDs in step G2 are calculated based on the specified random number of SSD updates, electronic serial number ESN and A-key. 12. Способ по п.1, отличающийся тем, что шаг А включает в себя12. The method according to claim 1, characterized in that step A includes A1. AN отправляет запрос аутентификации на терминал пользователя;A1. AN sends an authentication request to the user terminal; А2. после получения этого запроса аутентификации терминал пользователя считывает пользовательскую информацию, сохраненную в UIM, берет эту пользовательскую информацию в качестве собственного идентификатора пользователя и затем отправляет указанную пользовательскую информацию аутентифицирующему объекту через AN.A2. after receiving this authentication request, the user terminal reads the user information stored in the UIM, takes this user information as its own user identifier, and then sends the specified user information to the authentication object through AN. 13. Способ по п.11, отличающийся тем, что указанная AN соединена с терминалом пользователя посредством расширенного протокола аутентификации ЕАР или протокола аутентификации запроса CHAP.13. The method according to claim 11, characterized in that said AN is connected to a user terminal via an extended EAP authentication protocol or CHAP request authentication protocol. 14. Способ по п.12, отличающийся тем, при направлении запроса аутентификации посредством ЕАР, отправка запроса аутентификации терминалу пользователя по AN на шаге A1 происходит посредством сообщения ЕАР-Request/Identity; и14. The method according to p. 12, characterized in that when sending an authentication request via EAP, sending the authentication request to the user terminal by AN in step A1 occurs through the EAP-Request / Identity message; and шаг А2 включает в себяstep A2 includes А21. указанный терминал пользователя отправляет идентификатор пользователя в AN посредством сообщения ЕАР-Request/Identity;A21. said user terminal sends the user identifier to the AN through an EAP-Request / Identity message; А22. после получения этого сообщения AN отправляет сообщение на основанный на UIM сервер аутентификации, авторизации и учета U-AAA посредством сообщения Access-Request, инициируя запрос аутентификации к U-ААА.A22. upon receipt of this message, the AN sends a message to the UIM-based authentication, authorization and accounting server of the U-AAA via the Access-Request message, initiating an authentication request to the U-AAA. 15. Способ по п.1, отличающийся тем, что шаг Б далее включает в себя: U-ААА отправляет терминалу пользователя по AN полученное второе случайное число для аутентификации терминала пользователя.15. The method according to claim 1, characterized in that step B further includes: U-AAA sends to the user terminal via AN the received second random number for authentication of the user terminal. 16. Способ по п.15, отличающийся тем, что шаг отправки второго случайного числа на терминал пользователя посредством AN на шаге Б включает в себя16. The method according to clause 15, wherein the step of sending the second random number to the user terminal by the AN in step B includes Б1. аутентифицирующий объект вкладывает указанное второе случайное число в сообщение EAP-Request/UIM/Challenge и отправляет это сообщение в AN посредством сообщения Access-Challenge;B1. an authentication entity embeds said second random number in an EAP-Request / UIM / Challenge message and sends this message to the AN through an Access-Challenge message; Б2. после получения сообщения Access-Challenge, отправленного из аутентифицирующего объекта, AN выделяет сообщение ЕАР-Request/UIM/Challenge из сообщения Access-Challenge и отправляет выделенное сообщение на терминал пользователя.B2. after receiving the Access-Challenge message sent from the authentication entity, the AN selects the EAP-Request / UIM / Challenge message from the Access-Challenge message and sends the highlighted message to the user terminal. 17. Способ по п.1, отличающийся тем, что шаг В далее включает в себя после получения первого аутентифицирующего номера посредством вычисления терминал пользователя отправляет первый аутентифицирующий номер аутентифицирующему объекту по AN.17. The method according to claim 1, characterized in that step B further includes, after obtaining the first authentication number by calculation, the user terminal sends the first authentication number to the authenticating entity via AN. 18. Способ по п.17, отличающийся тем, что шаг отправки терминалом пользователя первого аутентифицирующего номера аутентифицирующему объекту по AN на шаге В включает в себя18. The method according to 17, characterized in that the step of sending by the user terminal the first authentication number to the authenticating entity by AN in step B includes В1. терминал пользователя отправляет первый аутентифицирующий номер в AN посредством сообщения EAP-Response/UIM/Challenge;IN 1. the user terminal sends the first authentication number to the AN through an EAP-Response / UIM / Challenge message; В2. AN вкладывает полученное сообщение EAP-Response/UIM/Challenge в сообщение Access-Request и отправляет это сообщение с вложением аутентифицирующему объекту.IN 2. AN attaches the received EAP-Response / UIM / Challenge message to the Access-Request message and sends this message with an attachment to the authenticating entity. 19. Способ по п.1, далее включающий в себя при выполнении шага В: аутентифицирующий объект уведомляет терминал пользователя по AN о том, что аутентификация успешна/неудачна.19. The method according to claim 1, further including when performing step B: the authentication object notifies the user terminal by AN that the authentication is successful / unsuccessful. 20. Способ по п.5, отличающийся тем, что между указанным аутентифицирующим объектом и HLR установлена связь посредством протокола ANSI-41D.20. The method according to claim 5, characterized in that between the specified authentication object and the HLR, communication is established using the ANSI-41D protocol. 21. Способ по п.1, отличающийся тем, что указанная AN включает в себя беспроводную локальную сеть WLAN.21. The method according to claim 1, characterized in that said AN includes a wireless local area network WLAN.
RU2005140546/09A 2003-05-16 2004-05-17 Methods for conducting authentication of high speed packet data transmission services RU2321972C2 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN03131035 2003-05-16
CN03131035.4 2003-05-16
CN200410007188.9 2004-03-02
CN20041007188.9 2004-03-02
CNB2004100071889A CN1327648C (en) 2003-05-16 2004-03-02 Method for realizing high-srate grouped data business identification

Publications (2)

Publication Number Publication Date
RU2005140546A true RU2005140546A (en) 2006-07-27
RU2321972C2 RU2321972C2 (en) 2008-04-10

Family

ID=35578870

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005140546/09A RU2321972C2 (en) 2003-05-16 2004-05-17 Methods for conducting authentication of high speed packet data transmission services

Country Status (3)

Country Link
CN (2) CN1327648C (en)
RU (1) RU2321972C2 (en)
WO (1) WO2004102874A1 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212295B (en) * 2006-12-26 2010-11-03 财团法人资讯工业策进会 System, device, and method for applying for electronic evidence and transmitting key for mobile electronic device
CN101383816B (en) * 2007-09-06 2015-09-02 财团法人工业技术研究院 wireless network authentication system and method thereof
CN102026184B (en) * 2009-09-16 2013-08-07 华为技术有限公司 Authentication method, authentication system and relevant device
EA017487B1 (en) * 2011-08-18 2012-12-28 Али Магомед Оглы Аббасов Method of information transceiving
WO2019010701A1 (en) * 2017-07-14 2019-01-17 Zte Corporation Methods and computing device for transmitting encoded information during authentication
CN112544058B (en) * 2020-07-22 2022-07-19 华为技术有限公司 Authentication detection method, device and system
CN113904856B (en) * 2021-10-15 2024-04-23 广州威戈计算机科技有限公司 Authentication method, switch and authentication system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5172414A (en) * 1991-09-13 1992-12-15 At&T Bell Laboratories Speech and control message encrypton in cellular radio
US5943425A (en) * 1996-05-10 1999-08-24 Lucent Technologies, Inc. Re-authentication procedure for over-the-air activation
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
FR2790177B1 (en) * 1999-02-22 2001-05-18 Gemplus Card Int AUTHENTICATION IN A RADIOTELEPHONY NETWORK
CN1191703C (en) * 2001-12-31 2005-03-02 西安西电捷通无线网络通信有限公司 Safe inserting method of wide-band wireless IP system mobile terminal

Also Published As

Publication number Publication date
WO2004102874A1 (en) 2004-11-25
CN1551561A (en) 2004-12-01
CN1327648C (en) 2007-07-18
RU2321972C2 (en) 2008-04-10
CN1706150A (en) 2005-12-07

Similar Documents

Publication Publication Date Title
US7515906B2 (en) Method of implementing authentication of high-rate packet data services
CA2490131C (en) Key generation in a communication system
CN100539521C (en) A kind of method that realizes radio local area network authentication
US9232398B2 (en) Method and apparatus for link setup
US7206301B2 (en) System and method for data communication handoff across heterogenous wireless networks
US8630414B2 (en) Inter-working function for a communication system
US8094821B2 (en) Key generation in a communication system
US8433286B2 (en) Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
CN101120534A (en) System, method and devices for authentication in a wireless local area network (wlan)
TW200522647A (en) System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
WO2009074050A1 (en) A method, system and apparatus for authenticating an access point device
RU2005140546A (en) METHOD FOR IMPLEMENTING AUTHENTICATION OF HIGH-SPEED PACKAGE DATA TRANSFER SERVICES
EP2371155A1 (en) Prevention of a bidding-down attack in a communication system
CN100479571C (en) A method for preventing abnormal access terminal to access and access network
WO2004102883A1 (en) A kind of method to realize user authentication
CN112566106B (en) Multi-network and multi-link equipment authentication method based on 5G