CN101562814A - 一种第三代网络的接入方法及系统 - Google Patents
一种第三代网络的接入方法及系统 Download PDFInfo
- Publication number
- CN101562814A CN101562814A CNA2009101404459A CN200910140445A CN101562814A CN 101562814 A CN101562814 A CN 101562814A CN A2009101404459 A CNA2009101404459 A CN A2009101404459A CN 200910140445 A CN200910140445 A CN 200910140445A CN 101562814 A CN101562814 A CN 101562814A
- Authority
- CN
- China
- Prior art keywords
- terminal
- tls
- network
- certificate
- aaa server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000008569 process Effects 0.000 claims abstract description 38
- 230000004044 response Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 14
- 230000008859 change Effects 0.000 claims description 9
- 230000006835 compression Effects 0.000 claims description 8
- 238000007906 compression Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012550 audit Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000010421 standard material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一种第三代网络的接入方法及系统,该方法包括:终端采用WAPI协议接入无线局域网后,通过无线局域网的AP通知3G网络的AAA服务器该终端准备接入3G网络;AAA服务器通过AP获取所述终端的身份信息,并根据所述身份信息判定所述终端为3G网络的签约终端后,通过AP与所述终端进行EAP-TLS协商过程;EAP-TLS协商过程完成后,所述终端接入3G网络。本发明通过将WAPI的终端证书作为接入3G网络的凭证,使得WLAN终端在签约后,使用同一证书即可同时安全地接入WLAN和3G网络,极大地方便了用户。
Description
技术领域
本发明涉及通信领域,尤其涉及一种第三代(3rd Generation,3G)网络的接入方法及系统。
背景技术
为了应对无线局域网IEEE(Institute of Electrical and ElectronicsEngineers,电气和电子工程师协会)802.11的安全机制WEP(WriedEquivalent Privacy,有线等效隐私)和WPA(Wi-Fi Protected Access,无线保真保护访问)存在的安全隐患,提出了WAPI(WLAN Authentication PrivacyInfrastructure,无线局域网认证和保密基础结构)安全协议。该协议实现了ASUE(鉴别请求实体,设置在终端中)和AE(鉴别器实体,设置在接入点中)的对等认证,确保了无线局域网(WLAN)的链路层安全。
WAPI安全协议支持两种格式的证书:GBW(国家标准物质)证书和X.509 v3证书。X.509 v3证书支持多种扩展属性/字段,包括:密钥标识符、密钥用法、扩展密钥用法、CRL(Certificate Revocation List,证书吊销列表)分布点、证书策略、证书机构策略映射、证书主体别名、颁发者别名和证书主体目录属性。
如图1所示,无线局域网终端(简称终端)完成接入认证后,如果无线局域网与因特网相连,则终端可以通过无线局域网访问因特网;但对于3G(3rd Generation,第三代)网络,终端还必须经过3G网络的AAA(Authentication Authorization Accounting,认证授权和审计)服务器的接入认证,才能访问电路业务和分组业务等3G网络资源。
AAA服务器负责对具备IP(Internet Protocol,因特网协议)能力的终端进行接入认证,检索存储在HSS(Home Subscriber Server,归属用户服务器)中的用户信息,判断当前用户是否合法,维护WLAN接入的连续性,提供WLAN的漫游功能,生成用户接入3G网络的账单,并报告给用户。如果3G网络应用QoS(Quality of Service,服务质量)机制,那么AAA服务器还需实现授权和存储无线局域网的QoS配置,并将其映射到作为接入网的无线局域网中。
现有技术中,3G网络的AAA服务器采用EAP-SIM(ExtensibleAuthentication Protocol-Subscriber Identification Module,可扩展认证协议-用户识别模块)和EAP-AKA(Extensible Authentication Protocol-Authenticationand Key Agreement,可扩展认证协议-认证和密钥协商)对采用IEEE 802.11i作为安全机制的无线局域网终端进行接入认证。这两种认证机制需要终端具备读取UICC(Universal Integrated Circuit Card,通用集成电路卡)的能力,这就限制了无线局域网终端用户必须使用多模终端下才能享受3G网络服务。而对于采用WAPI安全机制而不具备读取UICC能力的WLAN终端,3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)组织目前尚未提出如何接入到3G网络的技术方案。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种3G网络的接入方法及系统,使采用WAPI安全机制而不具备读取UICC能力的WLAN终端可以安全地接入3G网络。
为了解决上述问题,本发明提供一种第三代网络的接入方法,该方法包括:
终端采用无线局域网认证和保密基础结构WAPI协议接入无线局域网后,通过无线局域网的接入点AP通知第三代3G网络的认证授权和审计AAA服务器该终端准备接入3G网络;
AAA服务器通过AP获取所述终端的身份信息,并根据所述身份信息判定所述终端为3G网络的签约终端后,通过AP与所述终端进行可扩展认证协议-传输层安全EAP-TLS协商过程;
EAP-TLS协商过程完成后,所述终端接入3G网络。
此外,采用如下方法通知AAA服务器所述终端准备接入3G网络:
所述终端向AP发送局域网可扩展认证协议的开始分组;
接收到所述开始分组后,AP向AAA服务器发送远程用户拨入认证系统RADIUS协议的接入请求分组,以通知AAA服务器有终端准备接入3G网络。
此外,采用如下方式获取所述终端的身份信息:
AAA服务器通过AP向所述终端发送可扩展认证协议的身份请求消息;
接收到所述身份请求消息后,所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中,通过AP发送给AAA服务器。
此外,所述身份信息是记录在所述终端的终端证书中的:3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。
此外,所述EAP-TLS协商过程包括如下步骤:
A:AAA服务器通过AP向所述终端发送包含TLS启动消息的EAP请求分组,以启动EAP-TLS协商过程;
B:所述终端通过AP向AAA服务器发送包含TLS客户端问候消息的EAP响应分组;所述TLS客户端问候消息中包含所述终端的能力信息;
C:AAA服务器通过AP向所述终端发送包含TLS服务器问候消息、TLS服务器密钥交换消息的EAP请求分组;所述TLS服务器问候消息中包含AAA服务器根据所述终端的能力信息选择的密钥套件和压缩算法;TLS服务器密钥交换消息中包含AAA服务器侧的密钥交换参数;
D:所述终端向AAA服务器发送包含TLS客户端密钥交换消息的EAP响应分组;所述TLS客户端密钥交换消息中包含终端侧的密钥交换参数。
此外,步骤C中,所述EAP请求分组中还包含:TLS证书消息和TLS证书请求消息;所述TLS证书消息中包含AAA服务器证书;所述TLS证书请求消息用于指示所述终端提供终端证书;
步骤D中,所述终端接收到所述TLS证书消息后,对该消息中包含的AAA服务器证书进行验证,并根据所述TLS证书请求消息在其发送的所述EAP响应分组中携带TLS证书消息;所述TLS证书消息中包含终端证书;
所述EAP-TLS协商过程在步骤D之后还包含如下步骤:AAA服务器对接收到的所述TLS证书消息中包含的所述终端证书进行验证。
本发明还提供一种第三代网络的接入系统,用于对无线局域网终端进行3G网络的接入认证;该系统包含:无线局域网的AP和3G网络的AAA服务器,其中:
所述AP用于采用WAPI协议对所述终端进行无线局域网的接入认证,并在终端接入无线局域网之后,向所述AAA服务器发送所述终端准备接入3G网络的通知消息;
所述AAA服务器用于通过所述AP获取所述终端的身份信息,并根据所述身份信息判定所述终端是3G网络的签约终端后,通过所述AP与所述终端进行EAP-TLS协商过程;并在EAP-TLS协商过程完成后,允许所述终端接入3G网络。
此外,所述AP采用如下方式通知所述AAA服务器所述终端准备接入3G网络:
接收到所述终端发送的局域网可扩展认证协议的开始分组后,所述AP向所述AAA服务器发送RADIUS协议的接入请求分组,以通知所述AAA服务器有终端准备接入3G网络。
此外,采用如下方式获取所述终端的身份信息:
所述AAA服务器通过所述AP向所述终端发送可扩展认证协议的身份请求消息;
接收到所述身份请求消息后,所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中,通过所述AP发送给所述AAA服务器。
此外,所述身份信息是记录在所述终端的终端证书中的:3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。
综上所述,本发明通过将WAPI的终端证书作为接入3G网络的凭证,使得WLAN终端在签约后,使用同一证书即可同时安全地接入WLAN和3G网络,极大地方便了用户。
此外,本发明对AAA服务器侧的接入认证方法进行了优化,即AAA服务器先通过AP获取终端身份信息,并根据终端身份信息对终端进行初步的鉴别(判断终端是否是签约终端)后,再与终端进行EAP-TLS协商,避免了与没有在3G网络中签约的WLAN终端发起EAP-TLS协商,减少了不必要的消息交互、证书验证和签名验证等处理,提高了系统的效率。
附图说明
图1 WLAN终端接入3G网络示意图;
图2是本发明实施例WLAN终端接入3G网络的方法流程图;
图3是本发明实施例3G网络的接入系统结构示意图。
具体实施方式
本发明的核心思想是,终端采用WAPI协议接入无线局域网后,通过无线局域网的AP通知3G网络的AAA服务器该终端准备接入3G网络;AAA服务器通过AP获取终端的3G接入身份信息,并判定该终端为3G网络的签约终端后发起EAP-TLS(Extensible Authentication Protocol-Transport LayerSecurity,可扩展认证协议-传输层安全)协商过程;终端与AAA服务器通过EAP-TLS协商过程完成3G网络的证书鉴别(即接入认证)和密钥交换,主要包括:
(1)终端和AAA服务器之间通过TLS客户端问候消息/TLS服务器问候消息的交互完成了双方能力参数(主要包括密钥套件和压缩算法)的协商;
(2)终端和AAA服务器之间通过TLS证书消息交换双方的证书(可选);
(3)终端和AAA服务器之间通过TLS客户端密钥交换消息/TLS服务器密钥交换消息完成密钥参数的交换和密钥的协商。
下面将结合附图和实施例对本发明进行详细描述。
图2是本发明实施例WLAN终端接入3G网络的方法流程图,如图2所示,该方法包括如下步骤:
201:当WLAN终端(简称终端或UE)关联或重新关联至AP时,AP向终端发送鉴别激活分组;
鉴别激活分组中包含:AP证书和AP信任的鉴别服务器标识。
202:终端收到鉴别激活分组后,保存AP证书,根据AP信任的鉴别服务器标识选择AP信任的鉴别服务器所颁发的终端证书,生成ECDH(椭圆曲线密码体制的Diffie-Hellman(戴菲-赫曼))交换所使用的临时密钥对(包括:临时公钥px、临时私钥sx),向AP发送接入鉴别请求分组;
接入鉴别请求分组中包含:终端证书、终端的临时公钥px以及终端的签名等参数。
203:AP收到接入鉴别请求分组后,验证终端的签名是否正确:如果终端的签名正确,则向鉴别服务器发送证书鉴别请求分组;否则丢弃该接入鉴别请求分组,本流程结束;
证书鉴别请求分组中包含:AP证书和终端证书。
204:鉴别服务器收到证书鉴别请求分组后,对AP证书和终端证书进行验证,并将证书验证结果以及鉴别服务器的签名包含在证书鉴别响应分组中发送给AP。
205:AP收到证书鉴别响应分组后,根据其中包含的证书验证结果及鉴别服务器的签名检查终端的证书是否有效,如果终端证书无效,则丢弃证书鉴别响应分组,本流程结束;如果终端证书有效,则生成用于ECDH交换的临时密钥对(包括:临时公钥py、临时私钥sy),使用AP的临时私钥sy和终端的临时公钥px进行ECDH运算,得到基密钥BK,并向终端发送接入鉴别响应分组。
接入鉴别响应分组中包含:证书验证结果、鉴别服务器的签名、AP的临时公钥py和AP的签名。
206:终端收到接入鉴别响应分组后,根据证书验证结果、鉴别服务器的签名以及AP的签名检查AP证书是否有效:如果AP证书无效,则丢弃接入鉴别响应分组,本流程结束;否则使用终端的临时私钥sx和AP的临时公钥py进行ECDH运算,得到基密钥BK。
需要注意的是,根据ECDH原理,AP和终端生成的基密钥BK相同。
经过步骤201~206的交互,终端和AP完成了证书鉴别过程,并在证书鉴别过程中协商出了基密钥BK;在后续步骤中,终端和AP将使用基密钥BK协商生成单播会话密钥。
207:AP向终端发送单播密钥协商请求分组;
单播密钥协商请求分组中包含:AP生成的随机数N1等参数。
208:接收到单播密钥协商请求分组后,终端生成随机数N2;使用基密钥BK、随机数N1和随机数N2计算生成单播会话密钥;并向AP发送单播密钥协商响应分组;
单播密钥协商响应分组中包含随机数N2等参数。
209:AP接收到单播密钥协商响应分组后,使用基密钥BK、随机数N1和随机数N2计算生成单播会话密钥,并向终端发送单播密钥协商确认分组,结束单播密钥的协商过程。
至此,终端和AP完成了WAPI协议的证书鉴别过程和单播会话密钥协商过程,终端成功接入无线局域网。在以下步骤中,终端将采用EAP-TLS协商过程接入3G网络,在此过程中,终端与AP之间通过EAPoL协议封装EAP-TLS消息,WLAN接入网络与3G AAA之间通过RADIUS(RemoteAuthentication Dial-In User Service,远程用户拨入认证系统)协议封装EAP-TLS消息,并且终端与AP之间可以使用上述单播密钥协商过程中协商得到的单播会话密钥进行链路层的加密。
210:当终端准备接入3G网络时,首先向AP发送EAPoL(EAP OverLAN,局域网可扩展认证协议)的START(开始)分组,通知AP该终端准备接入3G网络。
211:AP收到终端发送的EAPoL START(开始)分组后,将其封装成RADIUS协议的接入请求分组,发送给3G网络的AAA服务器,通知AAA服务器有终端要接入3G网络。
212:接收到上述接入请求分组后,AAA服务器通过AP向终端发送EAP(Extensible Authentication Protocol,可扩展认证协议)身份请求(EAP-Request/Identity)消息,以获取终端的身份信息。
213:终端收到EAP身份请求消息后,将终端证书的主体别名字段中记录的身份信息包含在EAP身份响应(EAP-Response/Identity)消息中通过AP发送给AAA服务器;
上述主体别名字段中记录的身份信息可以是在3G网络中与终端证书绑定的SIP(Session Initial Protocol,初始会话协议)账号或IMSI(InternationalMobile Subscriber Identifier,国际移动用户识别码)等信息。
214:AAA服务器收到EAP身份响应消息后,根据该消息中携带的终端身份信息判断该终端是否已签约(即是否为3G网络的签约终端),如果未签约,则本流程结束;如果终端已签约,则通过AP向终端发送包含TLS启动(TLS Start)消息的EAP请求分组,开始进行TLS协商过程。
AAA服务器可以在本地存储的用户签约信息或存储在HSS中的用户签约信息中检索上述消息中携带的终端身份信息,并根据检索的结果判断对应终端是否已签约。
215:终端开始正常的TLS握手过程,向服务器发送包含TLS客户端问候(TLS client_hello)消息的EAP响应分组;
TLS客户问候消息中包含终端的TLS能力信息,具体包含:TLS版本号、会话标识、初始随机数、客户端支持的密钥套件和压缩算法等参数。
216:AAA服务器通过AP向终端发送包含TLS服务器问候(TLSserver_hello)消息、TLS证书(TLS certificate)消息、TLS服务器密钥交换(TLS server_key_exchange)消息、TLS证书请求(TLS certificate_request)消息和TLS服务器问候结束(TLS server_hello_done)消息的EAP请求分组;其中:
TLS服务器问候消息中包含:AAA服务器根据终端的能力信息,从终端支持的密钥套件和压缩算法中选择的AAA服务器支持的密钥套件和压缩算法等信息;
TLS证书消息中包含AAA服务器证书;
TLS服务器密钥交换消息中包含AAA服务器侧的密钥交换参数;
TLS证书请求消息用于指示终端提供证书;
TLS服务器问候结束消息用于表示本阶段的服务器握手过程结束,AAA服务器开始等待终端的应答。
217:终端接收到上述EAP请求分组后,验证TLS证书消息中包含的AAA服务器证书,验证通过后,通过AP向AAA服务器发送包含TLS证书(TLS certificate)消息、TLS客户端密钥交换(TLS client_key_exchange)消息、TLS证书验证(TLS certificate_verify)消息、TLS改变加密说明(TLSchange_cipher_spec)消息和TLS握手完成(TLS finished)消息的EAP响应分组;其中:
TLS证书消息中包含终端证书;
TLS客户端密钥交换消息中包含终端侧的密钥交换参数;
TLS证书验证消息中包含终端的签名信息,防止非授权终端仿冒该终端接入3G网络;
TLS改变加密说明消息用于通知AAA服务器开始启用新的密钥套件和压缩算法;
TLS握手完成消息用于表示终端已完成本阶段的TLS握手协议。
218:接收到上述EAP响应分组后,AAA服务器验证其中包含的终端证书和终端的签名;如果验证失败,则丢弃该分组,本流程结束;如果验证通过,则通过AP向终端发送包含TLS改变加密说明(TLSchange_cipher_spec)消息和TLS握手完成(TLS finished)消息的EAP请求分组;其中:
TLS改变加密说明消息用于通知终端开始启用新的密钥套件和压缩算法;
TLS握手完成消息用于表示AAA服务器已完成本阶段的TLS握手协议。
219:终端向AAA服务器发送EAP响应分组,指示已完成TLS协商。
220:AAA服务器发送EAP成功(EAP-SUCCESS)消息,表明完成对终端的证书鉴别(即接入认证)并协商出会话密钥,允许终端接入3G网络。
221:接收到EAP成功消息后,终端获知接入认证成功,因此通过WAG(Wireless Access Gateway,无线接入网关)/PDG(Packet Data Gateway,分组数据网关)使用3G网络的资源,发起音频、视频等3G业务。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
(一)根据WAPI协议,除了在步骤201~205所示的证书鉴别过程中进行BK的协商外,终端和AP也可以使用预共享密钥(PSK)直接导出BK。
(二)根据WAPI协议,AP在接收到包含终端证书的接入鉴别请求后,也可以在本地进行证书的验证,因此步骤203~204可省略;同样,终端也无需使用鉴别服务器的证书验证结果,而在本地对AP证书进行验证。
(三)在步骤211中,AP接收到终端发送的EAPoL START(开始)分组后,获知终端准备接入3G网络,也就是获知终端与AAA服务器的后续消息交互是用于3G网络的接入认证和密钥协商,因此AP可以不对后续的EAP-TLS协商过程中的EAP-TLS消息进行链路层加密,终端也无需对EAP-TLS消息进行链路层加密。
图3是本发明实施例3G网络的接入系统结构示意图,该系统用于对无线局域网终端(简称终端)进行3G网络的接入认证;该系统包含:无线局域网的AP、无线局域网的鉴别服务器和3G网络的AAA服务器,其中:
AP和鉴别服务器用于采用WAPI协议对终端进行无线局域网的接入认证,在终端接入无线局域网之后,AP向AAA服务器发送终端准备接入3G网络的通知消息;
AAA服务器用于通过AP获取终端的身份信息,并根据所述身份信息判定终端是3G网络的签约终端后,通过AP与终端进行EAP-TLS协商过程;并在EAP-TLS协商过程完成后,允许终端接入3G网络。
上述身份信息是记录在终端证书中的:3G网络中与该终端证书绑定的初始会话协议帐号、或该终端的国际移动用户识别码。
AP可以采用如下方式通知AAA服务器终端准备接入3G网络:接收到终端发送的局域网可扩展认证协议的开始分组后,AP向AAA服务器发送RADIUS协议的接入请求分组,以通知AAA服务器有终端准备接入3G网络。
AAA服务器可以采用如下方式获取终端的身份信息:AAA服务器通过AP向终端发送可扩展认证协议的身份请求消息;接收到该消息后,终端将身份信息包含在可扩展认证协议的身份响应消息中,通过AP发送给AAA服务器。
上述系统中包含的其它网元、各网元的详细功能、以及各网元间的连接关系(消息交互关系)详见上述对图2所示的方法的描述部分。
Claims (10)
1、一种第三代网络的接入方法,其特征在于,该方法包括:
终端采用无线局域网认证和保密基础结构WAPI协议接入无线局域网后,通过无线局域网的接入点AP通知第三代3G网络的认证授权和审计AAA服务器该终端准备接入3G网络;
AAA服务器通过AP获取所述终端的身份信息,并根据所述身份信息判定所述终端为3G网络的签约终端后,通过AP与所述终端进行可扩展认证协议-传输层安全EAP-TLS协商过程;
EAP-TLS协商过程完成后,所述终端接入3G网络。
2、如权利要求1所述的方法,其特征在于,
采用如下方法通知AAA服务器所述终端准备接入3G网络:
所述终端向AP发送局域网可扩展认证协议的开始分组;
接收到所述开始分组后,AP向AAA服务器发送远程用户拨入认证系统RADIUS协议的接入请求分组,以通知AAA服务器有终端准备接入3G网络。
3、如权利要求1或2所述的方法,其特征在于,
采用如下方式获取所述终端的身份信息:
AAA服务器通过AP向所述终端发送可扩展认证协议的身份请求消息;
接收到所述身份请求消息后,所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中,通过AP发送给AAA服务器。
4、如权利要求1所述的方法,其特征在于,
所述身份信息是记录在所述终端的终端证书中的:3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。
5、如权利要求1所述的方法,其特征在于,
所述EAP-TLS协商过程包括如下步骤:
A:AAA服务器通过AP向所述终端发送包含TLS启动消息的EAP请求分组,以启动EAP-TLS协商过程;
B:所述终端通过AP向AAA服务器发送包含TLS客户端问候消息的EAP响应分组;所述TLS客户端问候消息中包含所述终端的能力信息;
C:AAA服务器通过AP向所述终端发送包含TLS服务器问候消息、TLS服务器密钥交换消息的EAP请求分组;所述TLS服务器问候消息中包含AAA服务器根据所述终端的能力信息选择的密钥套件和压缩算法;TLS服务器密钥交换消息中包含AAA服务器侧的密钥交换参数;
D:所述终端向AAA服务器发送包含TLS客户端密钥交换消息的EAP响应分组;所述TLS客户端密钥交换消息中包含终端侧的密钥交换参数。
6、如权利要求5所述的方法,其特征在于,
步骤C中,所述EAP请求分组中还包含:TLS证书消息和TLS证书请求消息;所述TLS证书消息中包含AAA服务器证书;所述TLS证书请求消息用于指示所述终端提供终端证书;
步骤D中,所述终端接收到所述TLS证书消息后,对该消息中包含的AAA服务器证书进行验证,并根据所述TLS证书请求消息在其发送的所述EAP响应分组中携带TLS证书消息;所述TLS证书消息中包含终端证书;
所述EAP-TLS协商过程在步骤D之后还包含如下步骤:AAA服务器对接收到的所述TLS证书消息中包含的所述终端证书进行验证。
7、一种第三代网络的接入系统,用于对无线局域网终端进行3G网络的接入认证;该系统包含:无线局域网的AP和3G网络的AAA服务器,其中:
所述AP用于采用WAPI协议对所述终端进行无线局域网的接入认证,并在终端接入无线局域网之后,向所述AAA服务器发送所述终端准备接入3G网络的通知消息;
所述AAA服务器用于通过所述AP获取所述终端的身份信息,并根据所述身份信息判定所述终端是3G网络的签约终端后,通过所述AP与所述终端进行EAP-TLS协商过程;并在EAP-TLS协商过程完成后,允许所述终端接入3G网络。
8、如权利要求7所述的系统,其特征在于,
所述AP采用如下方式通知所述AAA服务器所述终端准备接入3G网络:
接收到所述终端发送的局域网可扩展认证协议的开始分组后,所述AP向所述AAA服务器发送RADIUS协议的接入请求分组,以通知所述AAA服务器有终端准备接入3G网络。
9、如权利要求7或8所述的系统,其特征在于,
采用如下方式获取所述终端的身份信息:
所述AAA服务器通过所述AP向所述终端发送可扩展认证协议的身份请求消息;
接收到所述身份请求消息后,所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中,通过所述AP发送给所述AAA服务器。
10、如权利要求9所述的系统,其特征在于,
所述身份信息是记录在所述终端的终端证书中的:3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101404459A CN101562814A (zh) | 2009-05-15 | 2009-05-15 | 一种第三代网络的接入方法及系统 |
| US13/257,913 US8769647B2 (en) | 2009-05-15 | 2009-09-23 | Method and system for accessing 3rd generation network |
| PCT/CN2009/074143 WO2010130121A1 (zh) | 2009-05-15 | 2009-09-23 | 一种第三代网络的接入方法及系统 |
| EP09844533.1A EP2445143B1 (en) | 2009-05-15 | 2009-09-23 | Method and system for accessing a 3rd generation network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101404459A CN101562814A (zh) | 2009-05-15 | 2009-05-15 | 一种第三代网络的接入方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101562814A true CN101562814A (zh) | 2009-10-21 |
Family
ID=41221391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009101404459A Pending CN101562814A (zh) | 2009-05-15 | 2009-05-15 | 一种第三代网络的接入方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8769647B2 (zh) |
| EP (1) | EP2445143B1 (zh) |
| CN (1) | CN101562814A (zh) |
| WO (1) | WO2010130121A1 (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754203A (zh) * | 2009-12-25 | 2010-06-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
| WO2010148804A1 (zh) * | 2009-12-25 | 2010-12-29 | 中兴通讯股份有限公司 | 一种访问Web应用站点的系统及方法 |
| WO2012055093A1 (zh) * | 2010-10-26 | 2012-05-03 | 华为技术有限公司 | 移动交换中心池中的寻呼处理方法及装置 |
| CN103188676A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| WO2013181847A1 (zh) * | 2012-06-08 | 2013-12-12 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
| CN104640111A (zh) * | 2013-11-11 | 2015-05-20 | 中兴通讯股份有限公司 | 网络接入处理方法、装置及系统 |
| WO2015110080A1 (zh) * | 2014-01-26 | 2015-07-30 | 华为技术有限公司 | 一种数据处理的方法、装置及系统 |
| WO2017020530A1 (zh) * | 2015-07-31 | 2017-02-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种增强的wlan证书鉴别方法、装置及系统 |
| WO2017107745A1 (zh) * | 2015-12-22 | 2017-06-29 | 中兴通讯股份有限公司 | 终端认证方法、装置及系统 |
| CN106973383A (zh) * | 2016-08-31 | 2017-07-21 | 上海博达通信科技有限公司 | 一种分布式portal认证方法 |
| WO2018045590A1 (en) * | 2016-09-12 | 2018-03-15 | Telefonaktiebolaget Lm Ericsson (Publ) | A method for secure link layer connection over wireless local area networks |
| CN112954679A (zh) * | 2021-01-28 | 2021-06-11 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
| WO2022135383A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN116528225A (zh) * | 2023-07-03 | 2023-08-01 | 广东电网有限责任公司珠海供电局 | 一种wapi终端接入网络的数据安全管理方法、系统及装置 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US9100388B2 (en) * | 2012-02-10 | 2015-08-04 | Qualcomm Incorporated | Secure mechanism for obtaining authorization for a discovered location server |
| BR112014019937A8 (pt) * | 2012-02-14 | 2017-07-11 | Apple Inc | Método e aparelho para distribuição em grande escala de clientes de acesso eletrônico |
| EP2642777B1 (en) * | 2012-03-20 | 2015-03-11 | Giesecke & Devrient GmbH | Methods and devices for OTA management of mobile stations |
| KR102098239B1 (ko) * | 2012-12-04 | 2020-04-08 | 삼성전자주식회사 | 무선 통신 시스템에서 인터넷 프로토콜 어드레스를 설정하는 방법 및 장치 |
| CN103973658A (zh) * | 2013-02-04 | 2014-08-06 | 中兴通讯股份有限公司 | 静态用户终端认证处理方法及装置 |
| US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| EP2852118B1 (en) * | 2013-09-23 | 2018-12-26 | Deutsche Telekom AG | Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment |
| US8966267B1 (en) * | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9184911B2 (en) | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| FR3031211B1 (fr) * | 2014-12-31 | 2017-02-10 | Thales Sa | Infrastructure d'authentification de telephones ip d'un systeme toip proprietaire par un systeme eap-tls ouvert |
| US9979711B2 (en) * | 2015-06-26 | 2018-05-22 | Cisco Technology, Inc. | Authentication for VLAN tunnel endpoint (VTEP) |
| CN105187409B (zh) * | 2015-08-18 | 2018-09-21 | 杭州古北电子科技有限公司 | 一种设备授权系统及其授权方法 |
| US10548005B2 (en) * | 2016-07-18 | 2020-01-28 | Lg Electronics Inc. | Method for security of user equipment connection identifier in wireless communication system and apparatus therefor |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| CN110234112B (zh) * | 2018-03-05 | 2020-12-04 | 华为技术有限公司 | 消息处理方法、系统及用户面功能设备 |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| CN114786177B (zh) * | 2022-04-07 | 2023-05-30 | 武汉联影医疗科技有限公司 | 边缘节点接入处理方法、移动终端和边缘节点 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030139180A1 (en) | 2002-01-24 | 2003-07-24 | Mcintosh Chris P. | Private cellular network with a public network interface and a wireless local area network extension |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| EP1766915B1 (en) * | 2004-06-24 | 2008-11-19 | Telecom Italia S.p.A. | Method and system for controlling access to communication networks, related network and computer program therefor |
| CN101079786B (zh) | 2006-05-26 | 2011-12-07 | 华为技术有限公司 | 互连系统、互连系统中的认证方法和终端 |
| CN100586067C (zh) * | 2006-12-22 | 2010-01-27 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
| CN101056177B (zh) * | 2007-06-01 | 2011-06-29 | 清华大学 | 基于无线局域网安全标准wapi的无线网状网重认证方法 |
-
2009
- 2009-05-15 CN CNA2009101404459A patent/CN101562814A/zh active Pending
- 2009-09-23 EP EP09844533.1A patent/EP2445143B1/en not_active Not-in-force
- 2009-09-23 WO PCT/CN2009/074143 patent/WO2010130121A1/zh active Application Filing
- 2009-09-23 US US13/257,913 patent/US8769647B2/en active Active
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
| WO2010148804A1 (zh) * | 2009-12-25 | 2010-12-29 | 中兴通讯股份有限公司 | 一种访问Web应用站点的系统及方法 |
| CN101754203A (zh) * | 2009-12-25 | 2010-06-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
| CN101771722B (zh) * | 2009-12-25 | 2014-05-28 | 中兴通讯股份有限公司南京分公司 | 一种WAPI终端访问Web应用站点的系统及方法 |
| WO2012055093A1 (zh) * | 2010-10-26 | 2012-05-03 | 华为技术有限公司 | 移动交换中心池中的寻呼处理方法及装置 |
| CN103188676A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| WO2013097348A1 (zh) * | 2011-12-29 | 2013-07-04 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| CN103188676B (zh) * | 2011-12-29 | 2017-12-26 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| WO2013181847A1 (zh) * | 2012-06-08 | 2013-12-12 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
| CN104640111A (zh) * | 2013-11-11 | 2015-05-20 | 中兴通讯股份有限公司 | 网络接入处理方法、装置及系统 |
| WO2015110080A1 (zh) * | 2014-01-26 | 2015-07-30 | 华为技术有限公司 | 一种数据处理的方法、装置及系统 |
| US10051607B2 (en) | 2014-01-26 | 2018-08-14 | Huawei Technologies Co., Ltd. | Data processing method, apparatus and system |
| WO2017020530A1 (zh) * | 2015-07-31 | 2017-02-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种增强的wlan证书鉴别方法、装置及系统 |
| CN106912047A (zh) * | 2015-12-22 | 2017-06-30 | 中兴通讯股份有限公司 | 终端认证方法、装置及系统 |
| WO2017107745A1 (zh) * | 2015-12-22 | 2017-06-29 | 中兴通讯股份有限公司 | 终端认证方法、装置及系统 |
| CN106912047B (zh) * | 2015-12-22 | 2021-04-20 | 中兴通讯股份有限公司 | 终端认证方法、装置及系统 |
| CN106973383B (zh) * | 2016-08-31 | 2020-06-09 | 上海博达通信科技有限公司 | 一种分布式portal认证方法 |
| CN106973383A (zh) * | 2016-08-31 | 2017-07-21 | 上海博达通信科技有限公司 | 一种分布式portal认证方法 |
| US11388145B2 (en) | 2016-09-12 | 2022-07-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Tunneling data traffic and signaling over secure etls over wireless local area networks |
| WO2018045590A1 (en) * | 2016-09-12 | 2018-03-15 | Telefonaktiebolaget Lm Ericsson (Publ) | A method for secure link layer connection over wireless local area networks |
| CN109906625A (zh) * | 2016-09-12 | 2019-06-18 | 瑞典爱立信有限公司 | 无线局域网上的安全链路层连接的方法 |
| CN109906625B (zh) * | 2016-09-12 | 2022-01-25 | 瑞典爱立信有限公司 | 无线局域网上的安全链路层连接的方法 |
| WO2022135383A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN112954679A (zh) * | 2021-01-28 | 2021-06-11 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
| CN112954679B (zh) * | 2021-01-28 | 2022-07-01 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
| CN116528225A (zh) * | 2023-07-03 | 2023-08-01 | 广东电网有限责任公司珠海供电局 | 一种wapi终端接入网络的数据安全管理方法、系统及装置 |
| CN116528225B (zh) * | 2023-07-03 | 2023-09-08 | 广东电网有限责任公司珠海供电局 | 一种wapi终端接入网络的数据安全管理方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8769647B2 (en) | 2014-07-01 |
| EP2445143B1 (en) | 2015-08-12 |
| EP2445143A1 (en) | 2012-04-25 |
| EP2445143A4 (en) | 2013-11-13 |
| US20120131329A1 (en) | 2012-05-24 |
| WO2010130121A1 (zh) | 2010-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101562814A (zh) | 一种第三代网络的接入方法及系统 | |
| Koien et al. | Security aspects of 3G-WLAN interworking | |
| TWI293844B (en) | A system and method for performing application layer service authentication and providing secure access to an application server | |
| CA2792490C (en) | Key generation in a communication system | |
| JP4723158B2 (ja) | パケット・データ・ネットワークにおける認証方法 | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| CN101437223B (zh) | 一种家庭基站接入的方法、系统和装置 | |
| US8094821B2 (en) | Key generation in a communication system | |
| EP2214430A1 (en) | An access authentication method applying to ibss network | |
| CN101375545A (zh) | 用于提供无线网状网的方法和设备 | |
| CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| EP1540878A1 (en) | Linked authentication protocols | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、系统、服务器和终端 | |
| WO2009074050A1 (fr) | Procede, systeme et appareil d'authentification de dispositif de point d'acces | |
| CN113507705A (zh) | 一种基于eap-tls协议的5g二次认证方法及系统 | |
| US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
| US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
| WO2012068801A1 (zh) | 移动终端的认证方法及移动终端 | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| CN111526008A (zh) | 移动边缘计算架构下认证方法及无线通信系统 | |
| Latze | Towards a secure and user friendly authentication method for public wireless networks | |
| Ramezani | Coordinated Robust Authentication In Wireless Networks | |
| KR20080004920A (ko) | 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20091021 |