CN100539521C - 一种实现无线局域网鉴权的方法 - Google Patents
一种实现无线局域网鉴权的方法 Download PDFInfo
- Publication number
- CN100539521C CN100539521C CNB031310362A CN03131036A CN100539521C CN 100539521 C CN100539521 C CN 100539521C CN B031310362 A CNB031310362 A CN B031310362A CN 03131036 A CN03131036 A CN 03131036A CN 100539521 C CN100539521 C CN 100539521C
- Authority
- CN
- China
- Prior art keywords
- sta
- authentication
- aaa
- hlr
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现无线局域网(WLAN)鉴权的方法,应用于至少包括WLAN网络和具有归属位置寄存器(HLR)的无线漫游的移动网络中,用户终端(STA)与无线接入点(AP)建立物理连接,该方法的核心思想是:在所述多模网络中,设置用来进行用户标识模块的认证、授权和计费服务器(U-AAA),将STA自身用户标识模块中的用户信息作为用户身份标识,U-AAA根据该用户身份标识从支持无线漫游的移动网络中的HLR中获取鉴权集,然后通过STA产生的随机数和支持无线漫游的移动网络中HLR中对应的鉴权集中鉴权数,进行用户终端与U-AAA间的相互认证。该方法简单、操作方便,成本低,安全、可靠性高。
Description
技术领域
本发明涉及网络的鉴权技术,特别是指在至少包括WLAN网络和具有归属位置寄存器(HLR)的无线漫游的移动网络中,WLAN用户接入网络时进行鉴权的方法。
背景技术
WLAN采用射频(RF)技术构成局域网络,是一种便利的数据传输系统。1997年6月,第一个无线局域网标准IEEE802.11正式公布,为无线局域网的物理层和媒体访问控制(MAC)层提供了统一的标准,有力推动了无线局域网的快速发展和应用。
WLAN用户的身份识别和鉴权一般依赖于网络内唯一的帐号及其对应的密码,通过认证中心,如远端接入拨号用户服务协议服务器(RadiusServer),实现用户身份的确认和鉴权过程,这种过程与现有固网认证机制类似。比如,在移动台发出呼叫请求时、在移动台位置登记、位置更新时,系统都需要发起身份识别和鉴权过程,并且只有在鉴权通过之后,才允许接入网络。
目前,对WLAN用户的鉴权通常采用802.1x、PPPoE、Web协议,并且基于帐号/密码的方式实现。如图1所示,以802.1x方式为例,WLAN进行鉴权的组网结构包括无线局域网用户终端(STA)、无线接入点(AP)、接入控制器(AC)、认证服务器(AAA),其中,STA与AC之间采用802.1x协议。
参见图2所示,以802.1x方式为例,WLAN网络进行鉴权的具体过程如下:
步骤201、用户在接入WLAN网络之前,需要STA和AP之间建立物理连接,并且在AAA中开户,从而获得自身的用户名和密码,并且在AAA和STA中保存用户的用户名和密码;
步骤202、STA向认证点AC发送认证起始(EAPoL-Start)报文,开始进行802.1x的过程;
步骤203、AC收到EAPoL-Start报文后,向STA发送请求用户名(EAP-Request/Identity)报文,要求STA将用户身份标识送上来;
步骤204、STA收到EAP-Request/Identity报文后,将自己的用户身份标识通过响应用户名(EAP-Response/Identity)报文发送给AC;
步骤205~206、AC收到EAP-Response/Identity报文后,随机产生一个16字节的随机数Challengel;然后向STA发送含有随机数Challengel的请求MD5方式用户密码(EAP-Request/MD5-Challenge)报文;
步骤207、STA接收到EAP-Request/MD5-Challenge报文后,解析出其中的随机数Challengel,然后将随机数Challengel和密码一起进行加密,得到新的密码Key1后,再将含有加密后的密码Key1的响应MD5方式用户密码(EAP-Response/MD5-Challenge)报文向AC发送;
步骤208、AC收到EAP-Response/MD5-Challenge报文后,将含有随机数Challengel和加密后的密码Key1的接入请求(Access-Request)报文,向AAA发起认证请求;
步骤209、当AAA收到AC发送来的Access-Request报文后,解析出其中携带的随机数Challengel和密码Key1,并且利用和STA一样的方式将获得的Challengel和自己保存的用户密码进行加密,得到加密后的密码Key2;然后将Key1和Key2进行比较,如果一致,则向AC发送允许接入(Access-Accept)报文,如果不一致,则向AC发送拒绝接入(Access-Reject)报文;
步骤210、如果AC接收到Access-Accept报文,则向STA发送认证成功(EAP-Success)报文,通知STA认证成功;如果接收到Access-Reject报文,则向STA发送认证失败(EAP-Failure)报文,通知STA认证失败。
从上面的过程中可以看出,该方法采用单向认证机制,即只实现了AAA对STA的认证,由于STA对AAA的认证没有实现,STA也就无法检验AAA的合法性,因此安全性低。并且,STA认证成功后,接入WLAN进行数据传输时,STA和AP之间需要数据加密,STA和AP之间需要一个初始密钥,该初始密钥是进行鉴权前在STA和AP之间预先设置的静态密钥,这种静态密钥只设置一次,以后不会改变,所以很容易被破获,数据传输的安全性不高。
目前,由于WLAN与CDMA网络的互补性,传统的CDMA移动运营商也在考虑建设WLAN接入业务。在CDMA网络中,移动台(MS)的身份识别和鉴权过程与无线局域网中鉴权方式有明显不同,其依赖于用户标识模块(UIM)进行身份识别和鉴权。3GPP规定了采用基于SIM和USIM卡机制的WLAN鉴权方案,适合于全球移动通信网络(GSM)/通用分组无线业务(GPRS)/宽带码分多址网络(WCDMA)。
CDMA IS95/CDMA 20001x网络中的用户认证,是通过MSC/VLR和HLR/AN共同完成。并且,共享秘密数据(SSD)作为认证输入参数之一保存在终端和HLR/AC中,在终端和HLR/AC中保存相同的A-key,专用于更新SSD。当需要认证时,以SSD、随机数、ESN、MIN等参数通过CAVE算法计算出认证结果,并由MSC/VLR或HLR/AC比较认证结果是否一致,如果不一致,系统将会发起SSD更新,在SSD更新成功之后,即终端侧和网络侧的SSD保持一致,下次接入时,用户终端使用SSD计算出的认证结果应与HLR/AC中计算出来的认证结果一致,认证才能成功。
但是,就目前状况而言,在WLAN与CDMA IS95/CDMA 20001x网络的多模网络中,利用现有的WLAN网络进行鉴权时,将产生许多不利因素。比如,WLAN网络和CDMA IS95/CDMA 20001x网络是两个独立的网络,开户、维护都是独立的,两种网络的鉴权机制不同,所以运营、维护不方便;由于WLAN网络是一个可漫游性的网络,受AAA容量限制,在实现过程中需要多个AAA,并且要求各AAA之间能够互通,这就需要重新建设WLAN与AAA之间的专用漫游网络来实现漫游,所以建网成本高。
综上所述,利用现有WLAN网络鉴权的方法,在WLAN和CDMAIS95/CDMA 20001x网络的多模网络中进行鉴权具有如下缺点:
1)只有AAA对STA进行认证,安全性低;
2)采用静态配置初始密钥,数据传输的安全性不高;
3)运营、维护不方便,成本高。
发明内容
有鉴于此,本发明的目的是提供一种实现无线局域网鉴权的方法,使其能进行网络侧与用户终端相互认证,方法安全、可靠,成本低,运营、维护方便。
本发明公开了一种实现无线局域网WLAN鉴权的方法,应用于至少包括WLAN网络和具有归属位置寄存器HLR的无线漫游的移动网络中,用户终端STA与无线接入点AP建立物理连接,该方法包括:
A.在多模网络中,设置用来进行基于用户标识模块的认证、授权和计费服务器U-AAA,STA将自身用户标识模块UIM中的用户信息作为用户身份标识,开始与U-AAA间的认证;
B.STA产生一个对U-AAA进行认证的第一随机数,U-AAA利用所述第一随机数与相关元素进行加密得到摘要1,并且U-AAA根据对应的用户身份标识从支持无线漫游网络中的HLR获取对STA进行认证的第二随机数以及HLR根据所述第二随机数和自身保存的共享秘密数据SSD计算出的第二随机数所对应的第二鉴权数;
C.STA利用与U-AAA同样的方式将第一随机数与相关元素进行加密得到摘要2,然后比较摘要1与摘要2是否一致,如果一致,则STA对U-AAA认证通过,再执行步骤D,否则,认证失败;
D.STA根据第二随机数、自身保存的密码以及自身保存的SSD进行计算得出第一鉴权数,U-AAA将第一鉴权数与第二鉴权数进行比较,如果相同,则U-AAA对STA认证成功,否则,认证失败。
在执行步骤A之前,该方法进一步包括:STA向接入控制器AC发出认证起始消息,AC收到认证起始请求消息后,要求STA上报用户身份标识。
所述步骤A进一步包括:
STA将自身的用户身份标识通过AC发送至U-AAA,发起认证请求。
所述步骤A进一步包括
A1、STA将用户身份标识通过请求用户名EAP-Response/Identity报文发送给AC;
A2、AC收到EAP-Response/Identity报文后,将该报文封装在接入请求Access-Request报文中,然后将Access-Request报文发送至U-AAA。
在步骤D认证失败后,该方法进一步包括步骤E:
U-AAA通知HLR认证失败,HLR产生SSD更新随机数RANDSSD,并且根据产生的该RANDSSD更新STA和HLR中的SSD,然后再执行步骤B,进行再次认证。
所述步骤E进一步包括:
E1、HLR将产生的RANDSSD发送至U-AAA,发起更新SSD流程;
E2、U-AAA将RANDSSD通过AC发送至STA,STA根据收到的RANDSSD进行计算,得出新SSD,并且产生一个基站查询随机数RANDSB,根据新SSD计算出对应的第一基站查询结果AUTHUSB1,然后将产生的随机数RANDSB通过AC发送至U-AAA;
E3、U-AAA通过与HLR之间的交互得到RANDSB对应的第二基站查询结果AUTHUSB2,然后将得到的AUTHUSB2通过AC发送至STA;
E4、STA比较自身计算出的AUTHUSB1与从HLR中获得的AUTHUSB2是否一致,如果一致,则用步骤E2计算出的新S SD更新STA和HLR中的SSD,然后执行步骤B,否则认证失败。
步骤B中STA产生的对U-AAA进行认证的第一随机数是通过AC发送至U-AAA。
步骤B进一步包括:U-AAA将摘要1和第二随机数通过AC发送至STA。
在步骤D之后,该方法进一步包括:U-AAA将认证结果通过AC通知STA。
步骤B、C中所述相关元素为请求EAP-UIM认证用户密码EAP-Request/UIM/Challenge报文。
在步骤D中STA计算出第一鉴权数后,STA再根据一定的算法获得初始密钥1,则在步骤D所述U-AAA对STA认证成功后,
该方法还进一步包括:U-AAA利用与STA所使用的同样算法计算获得初始密钥2,且初始密钥1和初始密钥2相同,并将计算出的初始密钥2通过AC发送至AP。
步骤B中U-AAA通过IS41协议与HLR进行交互。
从上面的叙述中可以看出,本发明的方法具有如下优点和特点:
1)使用本发明的方法进行鉴权,用户不需手工输入用户名和密码,即可通过UIM接入WLAN网络,方法简单、操作方便;
2)利用已有的CDMA IS-41核心网支持全国漫游,不需要再组建WLAN的全国专用漫游网络,节约了建网成本;
3)用户的CDMA业务和WLAN业务统一在HLR开户,实现了统一标识、统一计费、统一维护,方便运营商操作;
4)可以提供网络与终端之间的相互认证,由于在鉴权过程中可以动态产生一个不同的初始密钥,所以安全性高。
附图说明
图1为现有技术中WLAN网络鉴权的组网结构示意图;
图2为现有技术WLAN网络进行鉴权的方法;
图3为本发明WLAN网络进行鉴权组网结构示意图;
图4为本发明WLAN网络实现鉴权的流程示意图;
图5为实现本发明的具体实施例一流程示意图;
图6为实现本发明的具体实施例二流程示意图,包括图6A、图6B两部分。
具体实施方式
本发明的核心内容是:将STA自身用户标识模块中的用户信息作为用户身份标识,基于用户标识模块的认证、授权和计费服务器(U-AAA)根据该用户身份标识从CDMA IS95/CDMA 20001x网络的HLR中获取鉴权集,然后利用STA产生的随机数和HLR中的鉴权集实现用户终端与U-AAA之间的相互认证。
参见图3所示,本发明进行鉴权的组网结构包括STA、AC、U-AAA和HLR。这里,由于HLR与AC物理上一般位于同一实体,以下统一简称为HLR。本发明所使用的用户标识模块具有WLAN业务功能,且在HLR已开户,详细的说,用户标识模块和HLR中都同时存有对应用户标识和密码等用户认证信息,并且在HLR中存储用户身份标识与鉴权集的对应关系,这与现有技术中CDMA系统中的一致。另外,为了实现本发明的方法,STA要求支持UIM卡,能够读出UIM卡的信息;AC要求支持802.1x协议,支持EAPoRadius的方式和U-AAA进行消息交互;U-AAA支持和AC之间通过EAPoRadius的方式进行消息交互,同时支持通过IS41协议和HLR进行消息交互;HLR支持进行WLAN业务的设置。
需要说明的是,当STA首次开机,进行鉴权的过程具体包括三个阶段:首次认证阶段、SSD更新阶段、二次认证阶段。STA第一次开机进行的认证为首次认证,而且,在STA第一次开机时,对于系统侧和STA侧保存的SSD不一致,所以STA首次认证总是失败的。因此,在首次认证失败后,要进行SSD更新,即通过从HLR中获取的SSD更新随机数(RANDSSD),在STA和HLR中通过RANDSSD、ESN、A-key经过相同的SSD生成算法,计算出新SSD。由于STA和HLR侧的RANDSSD、ESN、A-key相同,算法相同,所以输出的SSD也相同。在SSD进行更新之后,进行二次认证。此时,由于确保了STA和HLR侧的SSD相同,在正常情况下,二次认证将会成功。所以,对于再次开机的用户,系统侧和STA侧的SSD相同,所以以后无须经过SSD更新和二次认证,首次认证即可成功。
参见图4所示,本发明利用HLR实现鉴权的方法包括以下步骤:
步骤401、STA将自身用户标识模块卡中的用户信息作为用户身份标识,并将该用户身份标识通过AC发送至U-AAA;
步骤402、U-AAA收到该用户身份标识后,通过AC向STA发出EAP-UIM认证开始请求消息;
步骤403、STA收到EAP-UIM认证开始请求消息后,随机产生一个对U-AAA进行认证的第一随机数,并将该第一随机数通过AC发送至U-AAA;
步骤404、U-AAA收到第一随机数后,根据对应的用户身份标识从HLR获取对STA进行认证的第二随机数以及HLR根据自身保存的SSD计算出的第二随机数所对应的第二鉴权数,然后将所述第一随机数与相关元素进行加密得到摘要1,并将摘要1和所述第二随机数通过AC发送至STA;
步骤405、STA收到摘要1和所述第二随机数后,利用与U-AAA同样的方法,将所述第一随机数与相关元素进行加密得到摘要2;
步骤406、STA将摘要1与摘要2进行比较,如果一致,则STA对U-AAA认证通过,然后STA将根据所述第二随机数和UIM卡中自身保存的密码以及自身保存的SSD进行计算得出第一鉴权数,同时根据一定的方法,动态获取初始密钥1,并将该初始密钥1保存在用户终端,并将第一鉴权数通过AC发送至U-AAA,执行步骤407,否则,认证失败;
步骤407、U-AAA收到第一鉴权数后,将第一鉴权数与所述第二鉴权数进行比较,如果相同,则U-AAA对STA的认证成功,否则,认证失败,并通知HLR,然后执行步骤408。
步骤408、HLR产生RANDSSD,并将产生的RANDSSD发送至U-AAA,发起更新SSD流程;
步骤409、U-AAA将RANDSSD通过AC发送至STA,STA根据收到的RANDSSD进行计算,得出新SSD,并且产生一个基站查询随机数(RANDSB),根据新SSD计算出对应的第一基站查询结果(AUTHUSB1),然后将产生的随机数RANDSB通过AC发送至U-AAA;
步骤410、U-AAA通过与HLR之间的交互得到RANDSB对应的第二基站查询结果,然后将得到的AUTHUSB2通过AC发送至STA;
步骤411、STA比较自身计算出的AUTHUSB1与从HLR中获得的该AUTHUSB2是否一致,如果一致,则用计算出的新SSD更新STA和HLR中的SSD,然后执行步骤403,重新进行认证,否则SSD更新失败,进而认证失败。
下面结合附图和具体实施例详细说明本发明的技术方案。
需要说明的是,本实施例在STA和AC之间采用802.1x协议,承载EAP/EAP-UIM方式;在AC和U-AAA之间采用Radius协议、该协议承载RADIUS/EAP/EAP-UIM方式;U-AAA和HLR之间使用标准七号接口、IS41协议。
参见图5所示,WLAN网络利用HLR鉴权的流程图描述如下:
步骤501、STA和AP之间建立物理连接;
步骤502、STA向认证点AC发送EAPoL-Start消息,开始进行802.1x的过程;
步骤503、AC收到EAPoL-Start消息后,向STA发送EAP-Request/Identity消息,要求STA将用户身份标识送上来;
步骤504、STA收到EAP-Request/Identity消息后,通过相应的接口,将UIM卡中保存信息读取出来,作为自己的用户身份标识,通过EAP-Response/Identity报文发送给AC;
步骤505、AC收到EAP-Response/Identity报文后,通过Radius协议里的Access-Request报文向U-AAA发起认证请求,报文里封装了EAP-Response/Identity报文;
步骤506、U-AAA在接收到AC发送过来的Access-Request报文后,取出其中携带的用户标识;然后根据自身的相关配置信息判断该用户标识类型,如果是UIM类型,则在接入挑战(Access-Challenge)报文中封装请求EAP-UIM认证开始(EAP-Request/UIM/Start)报文,然后向AC发送,否则,不予处理;
步骤507、AC接收到Access-Challenge报文后,剥离出其中的EAP-Request/UIM/Start报文,然后将剥离出的该报文向STA发送;
步骤508、在STA收到AC发送过来的EAP-Request/UIM/Start报文后,产生一个用来对AAA进行认证的第一随机数Rand1,然后向AC发送EAP-Response/UIM/Start报文,里面携带随机数Rand1;
步骤509、AC接收到STA发出的EAP-Response/UIM/Start报文后,将EAP-Response/UIM/Start报文封装在Access-Request消息里,将Access-Request消息向U-AAA发送;
步骤510、U-AAA接收到AC发送过来的Access-Request报文后,解析出携带的随机数Rand1,并根据对应的用户身份标识开始通过IS41协议和HLR进行交互,从HLR处获得一组含有第二鉴权数(AUTHU2)、第二随机数的鉴权集,这里RAND2由HLR随机产生,HLR根据RAND2和自身保存的SSD进行计算得出RAND2对应的鉴权数AUTHU2;
步骤511、U-AAA将从STA处获得的Rand1和整个EAP-Request/UIM/Challenge报文进行加密,得到一个新的摘要(MAC)1,这里,EAP-Request/UIM/Challenge报文作为相关元素;再将RAND2和MAC1封装在EAP-Request/UIM/Challenge报文中,然后通过含有EAP-Request/UIM/Challenge报文的Access-Challenge报文发送给AC;
步骤512.当AC收到U-AAA发送过来的Access-Challenge报文后,从Access-Challenge报文剥离出EAP-Request/UIM/Challenge,并且将剥离出的该报文发送至STA;
步骤513、当STA收到EAP-Request/UIM/Challenge报文后,取出其中的RAND2和MAC1;然后利用和U-AAA一样的方法将Rand1和整个EAP-Request/UIM/Challenge报文进行加密,得到新的摘要MAC2,然后比较MAC1和MAC2是否一致,如果不一致,则STA对U-AAA的认证不通过;否则,则STA对U-AAA的认证通过,此时,STA将RAND2传给UIM卡,UIM卡根据RAND2和自身保存的密码计算得出第一鉴权数AUTHU1;并将计算出的AUTHU1传送至STA,然后STA将AUTHU1通过EAP-Response/UIM/Challenge报文发送给AC;同时STA可以根据一定的方法得出初始密钥Key1,并保存,用于接入认证时使用;
步骤514、AC将收到的EAP-Response/UIM/Challeng报文封装在Radius协议的接入请求(Access-Request)报文中,并将封装好的Access-Request报文发送至U-AAA;
步骤515、U-AAA收到AC发送的Access-Request报文后,解析出其中的AUTHU1,并将AUTHU1与从HLR处获得的AUTHU2进行比较,如果一致,则U-AAA对STA的认证通过,U-AAA依据和STA一样的方法得出初始密钥Key2,且Key1和Key2相同,然后再将含有EAP-Success报文和Key2的Access-Accept报文向AC发送;否则,则U-AAA对STA的认证失败,U-AAA向AC发送含有EAP-Failure报文的Access-Reject报文;
步骤516、当AC收到U-AAA发送的Access-Accept报文后,剥离出其中的EAP-Success报文和Key2,并将EAP-Success报文发送至STA,通知STA认证成功,同时AC将Key2发送给AP;如果接收到Access-Reject报文后,剥离出其中的EAP-Failure报文,发送给STA,通知STA认证失败。
参见图6所示,当STA首次开机,进行鉴权的具体过程如下:
步骤601~步骤613同图5中步骤501~步骤513;
步骤614、U-AAA设备收到AUTHU1后与保存在本机中的AUTHU1进行比较,如果一致,表示客户端认证通过,如果没有通过,则向HLR回应认证失败的消息,HLR收到后,产生RANDSSD,并将RANDSSD发送至U-AAA,开始更新SSD;
步骤615、U-AAA向AC发送Access-Challenge报文,里面含有携带RADNSSD的EAP-Request/UIM/Update报文;
步骤616、AC将EAP-Request/UIM/Update报文发送给STA;
步骤617、STA接受到AC发送过来的EAP-Request/UIM/Update报文后,解析出其中的RANDSSD,然后根据RANDSSD计算得出新SSD,然后随机产生RANDBS,并根据新SSD计算出RANDBS对应的AUTHBS1,然后通过EAP-Response/UIM/Challenge报文将RANDBS发送至AC;
步骤618、AC以EAPOverRADIUS的报文格式将EAP-Response/UIM/Challenge报文发送给认证服务器U-AAA;
步骤619、U-AAA收到EAP-Response/UIM/Challenge报文后,根据其中的RANDBS与HLR交互获得对应的AUTHBS2;
步骤620、U-AAA向AC发送Access-Challenge报文,里面含有携带AUTHBS2的EAP-Request/UIM/Challenge报文;
步骤621、AC将EAP-Request/UIM/Challenge报文发送给STA;
步骤622、STA接受到AC发送过来的EAP-Request/UIM/Challenge报文后,解析出其中的结果AUTHBS2,然后比较AUTHBS1与AUTHBS2是否一致,如果一致,表示U-AAA合法,然后向AC发送EAP-Response/UIM/success报文;
步骤623、AC收到EAP-Response/UIM/success报文后,以Access-Request的报文格式将EAP-Response/UIM/success发送给认证服务器U-AAA,并且带上相关的RADIUS属性,说明SSD更新过程结束;
步骤624~步骤630同图5的510~516步骤。
从上述过程可以看出,步骤601~步骤613为首次认证阶段,当STA第一次开机,对于网络侧和STA侧的认证流程输入而言,SSD不一致,所以STA第一次开机的首次认证是失败的。随后立即发起SSD更新流程,通过步骤615和步骤623来进行SSD更新过程,重新计算SSD,并更新STA侧和HLR侧的SSD。由于确保了STA和HLR侧的SSD相同,因此,在正常情况下,步骤624~步骤630中进行的二次认证,将会成功。当然,对于二次认证或者非第一次开机时的认证也可能失败,因此,这种情况下也可以进行SSD更新。
本发明的技术方案利用CDMA网络的鉴权机制和已有的全网漫游能力支持在HLR中对WLAN业务进行开户;同时采用802.1x的接入方式,其认证协议采用基于UIM卡的EAP-UIM认证协议;并支持相互认证和动态密钥。当WLAN用户接入WLAN网络时,只要通过在HLR进行了开户,具有WLAN业务的功能的UIM卡,就能实现安全的认证。
Claims (12)
1、一种实现无线局域网WLAN鉴权的方法,应用于至少包括WLAN网络和具有归属位置寄存器HLR的无线漫游的移动网络中,用户终端STA与无线接入点AP建立物理连接,其特征在于,该方法包括以下步骤:
A.在多模网络中,设置用来进行基于用户标识模块的认证、授权和计费服务器U-AAA,STA将自身用户标识模块UIM中的用户信息作为用户身份标识,开始与U-AAA间的认证;
B.STA产生一个对U-AAA进行认证的第一随机数,U-AAA利用所述第一随机数与相关元素进行加密得到摘要1,并且U-AAA根据对应的用户身份标识从支持无线漫游网络中的HLR获取对STA进行认证的第二随机数以及HLR根据所述第二随机数和自身保存的共享秘密数据SSD计算出的第二随机数所对应的第二鉴权数;
C.STA利用与U-AAA同样的方式将第一随机数与相关元素进行加密得到摘要2,然后比较摘要1与摘要2是否一致,如果一致,则STA对U-AAA认证通过,再执行步骤D,否则,认证失败;
D.STA根据第二随机数、自身保存的密码以及自身保存的SSD进行计算得出第一鉴权数,U-AAA将第一鉴权数与第二鉴权数进行比较,如果相同,则U-AAA对STA认证成功,否则,认证失败。
2、根据权利要求1所述的方法,其特征在于,在执行步骤A之前,该方法进一步包括:STA向接入控制器AC发出认证起始消息,AC收到认证起始请求消息后,要求STA上报用户身份标识。
3、根据权利要求1所述的方法,其特征在于,所述步骤A进一步包括:
STA将自身的用户身份标识通过AC发送至U-AAA,发起认证请求。
4、根据权利要求3所述的方法,其特征在于,所述步骤A进一步包括
A1、STA将用户身份标识通过请求用户名EAP-Response/Identity报文发送给AC;
A2、AC收到EAP-Response/Identity报文后,将该报文封装在接入请求Access-Request报文中,然后将Access-Request报文发送至U-AAA。
5、根据权利要求1所述的方法,其特征在于,在步骤D认证失败后,该方法进一步包括步骤E:
U-AAA通知HLR认证失败,HLR产生SSD更新随机数RANDSSD,并且根据产生的该RANDSSD更新STA和HLR中的SSD,然后再执行步骤B,进行再次认证。
6、根据权利要求5所述的方法,其特征在于,所述步骤E进一步包括:
E1、HLR将产生的RANDSSD发送至U-AAA,发起更新SSD流程;
E2、U-AAA将RANDSSD通过AC发送至STA,STA根据收到的RANDSSD进行计算,得出新SSD,并且产生一个基站查询随机数RANDSB,根据新SSD计算出对应的第一基站查询结果AUTHUSB1,然后将产生的随机数RANDSB通过AC发送至U-AAA;
E3、U-AAA通过与HLR之间的交互得到RANDSB对应的第二基站查询结果AUTHUSB2,然后将得到的AUTHUSB2通过AC发送至STA;
E4、STA比较自身计算出的AUTHUSB1与从HLR中获得的AUTHUSB2是否一致,如果一致,则用步骤E2计算出的新SSD更新STA和HLR中的SSD,然后执行步骤B,否则认证失败。
7、根据权利要求1所述的方法,其特征在于,步骤B中STA产生的对U-AAA进行认证的第一随机数是通过AC发送至U-AAA。
8、根据权利要求1所述的方法,其特征在于,步骤B进一步包括:U-AAA将摘要1和第二随机数通过AC发送至STA。
9、根据权利要求1所述的方法,其特征在于,在步骤D之后,该方法进一步包括:U-AAA将认证结果通过AC通知STA。
10、根据权利要求1所述的方法,其特征在于,步骤B、C中所述相关元素为请求EAP-UIM认证用户密码EAP-Request/UIM/Challenge报文。
11、根据权利要求1所述的方法,其特征在于,在步骤D中STA计算出第一鉴权数后,STA再根据一定的算法获得初始密钥1,则在步骤D所述U-AAA对STA认证成功后,
该方法还进一步包括:U-AAA利用与STA所使用的同样算法计算获得初始密钥2,且初始密钥1和初始密钥2相同,并将计算出的初始密钥2通过AC发送至AP。
12、根据权利要求1所述的方法,其特征在于,步骤B中U-AAA通过IS41协议与HLR进行交互。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031310362A CN100539521C (zh) | 2003-05-16 | 2003-05-16 | 一种实现无线局域网鉴权的方法 |
| PCT/CN2004/000498 WO2004102884A1 (fr) | 2003-05-16 | 2004-05-17 | Procede d'authentification par reseau local radio |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031310362A CN100539521C (zh) | 2003-05-16 | 2003-05-16 | 一种实现无线局域网鉴权的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1549526A CN1549526A (zh) | 2004-11-24 |
| CN100539521C true CN100539521C (zh) | 2009-09-09 |
Family
ID=33438172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031310362A Expired - Fee Related CN100539521C (zh) | 2003-05-16 | 2003-05-16 | 一种实现无线局域网鉴权的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100539521C (zh) |
| WO (1) | WO2004102884A1 (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7571313B2 (en) * | 2004-12-28 | 2009-08-04 | Motorola, Inc. | Authentication for Ad Hoc network setup |
| KR100666943B1 (ko) | 2005-01-11 | 2007-01-11 | 삼성전자주식회사 | 복합 무선 단말의 소비전력 감소 방법 및 그 장치 |
| CN100466803C (zh) * | 2005-01-28 | 2009-03-04 | 华为技术有限公司 | 一种码分多址网络中实现终端对网络鉴权的方法 |
| CN100389555C (zh) * | 2005-02-21 | 2008-05-21 | 西安西电捷通无线网络通信有限公司 | 一种适合有线和无线网络的接入认证方法 |
| CN100367701C (zh) * | 2005-05-16 | 2008-02-06 | 航天科工信息技术研究院 | 实现移动通信设备数据安全传输的装置和方法 |
| CN100417285C (zh) * | 2005-08-29 | 2008-09-03 | 华为技术有限公司 | 一种鉴权元组留用方法 |
| KR100725767B1 (ko) * | 2005-11-24 | 2007-06-08 | 삼성전자주식회사 | 다중인터페이스를 가진 통합 단말기의 위치등록을 위한장치 및 방법 |
| US20070192833A1 (en) * | 2006-01-27 | 2007-08-16 | Arcadyan Technology Corporation | System and method for configuring an electronic device to access to a wireless local area network |
| US7945053B2 (en) * | 2006-05-15 | 2011-05-17 | Intel Corporation | Methods and apparatus for a keying mechanism for end-to-end service control protection |
| CN101094063B (zh) * | 2006-07-19 | 2011-05-11 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络系统的安全交互方法 |
| CN101155033B (zh) * | 2006-09-26 | 2010-05-19 | 中兴通讯股份有限公司 | 一种确认客户端身份的方法 |
| CN1976309B (zh) * | 2006-12-22 | 2010-08-18 | 杭州华三通信技术有限公司 | 无线用户接入网络服务的方法、接入控制器和服务器 |
| CN101330384B (zh) * | 2007-06-19 | 2011-12-07 | 中兴通讯股份有限公司 | 终端设备鉴权方法 |
| CN101351021B (zh) * | 2007-07-16 | 2011-11-30 | 中兴通讯股份有限公司 | 一种微波存取全球互通系统及其实现方法 |
| CN101350748B (zh) * | 2007-07-20 | 2012-02-29 | 中兴通讯股份有限公司 | 获取数据摘要计算参数失败后控制终端接入的方法和系统 |
| CN101420687B (zh) * | 2007-10-24 | 2010-07-14 | 中兴通讯股份有限公司 | 一种基于移动终端支付的身份验证方法 |
| CN101453394B (zh) * | 2007-12-03 | 2011-06-01 | 华为技术有限公司 | 一种接入控制方法、系统和设备 |
| CN101217386B (zh) * | 2008-01-16 | 2011-01-19 | 中兴通讯股份有限公司 | 鉴权授权计费服务器及计费方法 |
| CN101730092B (zh) * | 2008-10-20 | 2013-07-03 | 深圳富泰宏精密工业有限公司 | 利用gsm手机产生一次性密码的系统及方法 |
| CN101621800B (zh) * | 2009-08-13 | 2013-01-30 | 深圳市星谷科技有限公司 | 无线终端与无线路由器之间的认证信息交换方法 |
| CN101707773B (zh) * | 2009-11-23 | 2012-05-30 | 中国电信股份有限公司 | Wlan接入网关、移动网与无线宽带网的融合方法和系统 |
| CN101867929B (zh) * | 2010-05-25 | 2013-03-13 | 北京星网锐捷网络技术有限公司 | 认证方法、系统、认证服务器和终端设备 |
| CN101977383A (zh) * | 2010-08-03 | 2011-02-16 | 北京星网锐捷网络技术有限公司 | 网络接入的认证处理方法、系统、客户端和服务器 |
| CN102355701B (zh) * | 2011-09-19 | 2017-12-29 | 中兴通讯股份有限公司 | 接入无线局域网热点的方法及终端 |
| CN103391542B (zh) * | 2012-05-08 | 2016-11-23 | 华为终端有限公司 | Eap认证触发方法及系统、接入网设备、终端设备 |
| CN103685201A (zh) * | 2012-09-24 | 2014-03-26 | 中兴通讯股份有限公司 | 一种wlan用户固网接入的方法和系统 |
| CN105188055B (zh) * | 2015-08-14 | 2018-06-12 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN110876142B (zh) * | 2018-09-02 | 2023-08-18 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
| CN112702776B (zh) * | 2020-12-15 | 2023-03-21 | 锐捷网络股份有限公司 | 一种实现无线终端接入无线局域网的方法和无线接入点 |
| CN113423116B (zh) * | 2021-08-25 | 2021-12-24 | 广州朗国电子科技股份有限公司 | 基于Android系统的5G热点默认模式的配置方法 |
| CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6377691B1 (en) * | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
| US6094487A (en) * | 1998-03-04 | 2000-07-25 | At&T Corporation | Apparatus and method for encryption key generation |
| US6201871B1 (en) * | 1998-08-19 | 2001-03-13 | Qualcomm Incorporated | Secure processing for authentication of a wireless communications device |
| FR2790177B1 (fr) * | 1999-02-22 | 2001-05-18 | Gemplus Card Int | Authentification dans un reseau de radiotelephonie |
| WO2003036867A1 (en) * | 2001-10-26 | 2003-05-01 | Ktfreetel Co., Ltd. | System and method for performing mutual authentication between mobile terminal and server |
| US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
-
2003
- 2003-05-16 CN CNB031310362A patent/CN100539521C/zh not_active Expired - Fee Related
-
2004
- 2004-05-17 WO PCT/CN2004/000498 patent/WO2004102884A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004102884A1 (fr) | 2004-11-25 |
| CN1549526A (zh) | 2004-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100539521C (zh) | 一种实现无线局域网鉴权的方法 | |
| US7190793B2 (en) | Key generation in a communication system | |
| EP3750342B1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| US8094821B2 (en) | Key generation in a communication system | |
| KR100755394B1 (ko) | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 | |
| US8630414B2 (en) | Inter-working function for a communication system | |
| CN1549482B (zh) | 一种实现高速率分组数据业务认证的方法 | |
| US20070178885A1 (en) | Two-phase SIM authentication | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、系统、服务器和终端 | |
| JP2007525731A (ja) | 既存のwlanパブリックアクセス基盤に対してsimベースのローミングを提供する方法及びシステム | |
| KR20080050971A (ko) | 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 | |
| RU2321972C2 (ru) | Способ осуществления аутентификации услуг высокоскоростной передачи пакетных данных | |
| CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
| KR100667186B1 (ko) | 무선 이동 단말의 인증 시스템 구현 장치 및 방법 | |
| CN101827361B (zh) | 身份认证方法、可信任环境单元及家庭基站 | |
| KR101025083B1 (ko) | 확장가능 인증 프로토콜에서의 인증함수 식별 방법 | |
| WO2004102883A1 (fr) | Procede d'authentification de l'utilisateur | |
| Huang et al. | OSNP: Secure wireless authentication protocol using one-time key | |
| HK1072849B (zh) | 一种实现高速率分组数据业务认证的方法 | |
| HK1191467B (zh) | 用於通信系統中的密鑰生成的方法和設備 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160513 Address after: American California Patentee after: Snaptrack, Inc. Address before: 518057 Guangdong city of Shenzhen province science and Technology Park of HUAWEI Road Service Building Patentee before: Huawei Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090909 Termination date: 20190516 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |