CN1849003A - 一种对用户鉴权的方法 - Google Patents
一种对用户鉴权的方法 Download PDFInfo
- Publication number
- CN1849003A CN1849003A CNA2005100852163A CN200510085216A CN1849003A CN 1849003 A CN1849003 A CN 1849003A CN A2005100852163 A CNA2005100852163 A CN A2005100852163A CN 200510085216 A CN200510085216 A CN 200510085216A CN 1849003 A CN1849003 A CN 1849003A
- Authority
- CN
- China
- Prior art keywords
- authentication
- portable terminal
- nas
- imsi
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013475 authorization Methods 0.000 claims description 6
- 230000004913 activation Effects 0.000 description 6
- 241000209094 Oryza Species 0.000 description 4
- 235000007164 Oryza sativa Nutrition 0.000 description 4
- 238000000151 deposition Methods 0.000 description 4
- 235000021186 dishes Nutrition 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 235000009566 rice Nutrition 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对用户鉴权的方法,用以解决现有技术中存在根据CHAP协议的规定,用户在发起无线接入请求时必须输入用户名,使得接入操作较复杂的问题。本发明方法包括步骤:在移动终端发起接入鉴权时,网络访问服务器(NAS)获取该移动终端唯一对应的标识信息;以及用获得的标识信息替换鉴权报文中的用户名信息,并将替换后的鉴权报文发送到认证授权计费服务器(AAA服务器)完成鉴权。
Description
技术领域
本发明涉及无线通信领域,特别是涉及一种CDMA系统中对用户鉴权的方法。
背景技术
点到点协议(PPP)是用于在点到点链路上进行多协议包传送的协议。
由于PPP具有良好的可管理性,目前,其管理模式被应用于无线分组域,即使用询问握手鉴权协议(CHAP)的认证方式配合AAA服务器对用户进行认证。
基于CDMA系统建立一个PPP连接包括以下流程:
a、移动终端发起接入请求时输入用户名和密码,并建立与NAS之间的连接。
b、建立连接后,移动终端和NAS进行链路控制协议(LCP)协商。
c、若LCP协商后,规定认证方式为CHAP认证,则NAS向该移动终端发送挑战口令(challenge)消息,所述挑战口令消息中包括会话标识和一个任意生成的挑战字串(arbitrary challengestring)。
d、移动终端利用CHAP协议定义的消息摘要5(MD5:message digest 5)算法对所述挑战口令、密钥和会话标识进行计算,并生成摘要。之后,将所述摘要携带于鉴权报文(response)消息中发送给NAS。
e、NAS收到所述鉴权报文后,通过RADIUS协议发送给AAA服务器。由AAA服务器完成对用户的鉴权。
f、鉴权完毕之后,终端和NAS进行网间协议控制协议(IPCP)协商,为用户分配IP地址等接入信息。之后,完成接入工作。
从上述流程可以看出,若在CDMA系统中建立基于PPP的连接,需要用户在移动终端侧输入用户名,其原因在于,所述鉴权报文中包含用于携带用户名的名字域字段,按照CHAP协议的规定,所述名字域字段的内容必须为非空。这样规定的用意在于,以所述名字域字段的内容作为关键字,并以所述关键字在数据库中查询与之对应的认证信息。所以在无线网络中,只有用户输入了用户名,才可利用PPP在管理模式上的优点。而在无线网络中,在移动终端上输入用户名操作繁琐,有些移动终端甚至无法配置用户名,若用户不输入用户名,则无法满足CHAP协议的要求,对该用户进行认证管理。
发明内容
本发明提供一种CDMA系统中对用户鉴权的方法,以解决现有技术中用户在发起无线接入请求时必须输入用户名,而存在接入操作较复杂的问题。
本发明方法应用于WCDMA或CDMA2000系统,包括下列步骤:在移动终端发起接入鉴权时,网络访问服务器(NAS)获取该移动终端唯一对应的标识信息;以及用获得的标识信息替换鉴权报文中的用户名信息,并将替换后的鉴权报文发送到认证授权计费服务器(AAA服务器)完成鉴权。
所述与移动终端唯一对应的标识信息为国际移动用户识别码(IMSI)和/或移动号码(MDN)。
在CDMA2000系统中的NAS通过所述NAS与分组控制功能(PCF)设备之间的接口(A11),从PCF设备上获取移动终端的IMSI。所述CDMA2000系统中的NAS为分组数据服务节点(PDSN)。
在WCDMA系统中的NAS从通用分组无线业务服务支撑节点(SGSN)发来的消息中获取移动终端的IMSI和MDN。所述WCDMA系统中的NAS为通用分组无线业务网关支撑节点(GGSN)。
所述移动终端向NAS发送的鉴权报文中用户名为空,或者所述移动终端发起接入鉴权时,在终端侧随机生成用户名,并携带于鉴权报文中。
所述AAA服务器是以所述标识信息作为关键字,在数据库中查找与之对应的认证信息,并完成鉴权。
本发明有益效果如下:
基于WCDMA或CDMA2000系统,本发明通过对CHAP协议的修改,使所述协议中的鉴权报文中用于携带用户名的名字域字段可为空,这样在用户发起无线接入时,可不输入用户名。也可采用终端侧随机生成用户名的方式,使用户无需输入用户名,或者按照正常流程输入用户名。
发起接入请求之后,网络访问服务器获取该移动终端的标识信息,并以获得的所述标识信息替换所述名字域字段中的信息,即以所述IMSI和/或MDN等与该移动终端唯一对应的标识信息来替代用户名。
之后,将所述携带有标识信息的鉴权报文发送到AAA服务器,AAA服务器以所述标识信息作为关键字,在数据库中查询与之对应的认证信息,完成鉴权工作。
附图说明
图1为基于CDMA2000系统用户不输入用户名完成接入鉴权的流程图;
图2为基于WCDMA系统用户不输入用户名完成接入鉴权的流程图
图3为基于CDMA2000系统随机生成用户名完成接入鉴权的流程图;
图4为基于WCDMA系统随机生成用户名完成接入鉴权的流程图。
具体实施方式
基于WCDMA或CDMA2000系统,为了使用户在发起无线接入请求时,即可输入用户名,也可不输入用户名,本发明对CHAP协议加以修改,使所述协议中的鉴权报文中用于携带用户名的名字域字段可为空,或者在终端侧随机生成用户名,用以满足现有的CHAP协议;并以移动终端唯一对应的标识信息(例如:IMSI和/或MDN)来替代用户名作为关键字,用于在数据库中查询与之对应的认证信息,完成对该用户的鉴权。以下基于CDMA2000和WCDMA系统,分别以不输入用户名和随机生成用户名来具体描述本发明方法。
在基于CDMA2000系统中,由于所述IMSI与移动终端唯一对应,所以在用户不输入用户名时可用IMSI作为鉴权报文中的用户名来对用户进行鉴权。参阅图1所示,其具体处理步骤如下:
S101、用户发起无线接入时,用户终端直接向分组数据服务节点(PDSN)发送名字域字段为空的鉴权报文;所述PDSN为CDMA2000系统中的NAS。
由于现有技术中的CHAP协议要求鉴权报文中用于携带用户名的名字域字段为非空,为了使用户无须输入用户名即可发起无线接入请求,本发明中定义协议中的鉴权报文中的名字域字段可为空。
S102、所述PDSN在收到所述鉴权报文后,下发建链消息使移动终端与分组控制功能设备(PCF)之间建立空口信道,并获取移动终端的IMSI。
根据现有协议,移动终端与PCF建立空口信道后,移动终端自动提取其自身的IMSI,并将该IMSI通过交互消息发送到PCF;在PDSN与PCF建立连接时,所述PDSN通过自身与PCF之间的A11接口,从PCF中获取该移动终端的IMSI。
S103、PDSN获得了所述IMSI后,将该IMSI添加到鉴权报文中作为所述名字域字段中的信息(即替换鉴权报文中的空字符)。
S104、PDSN将该携带有所述IMSI的鉴权报文通过RADIUS协议发送到认证授权计费服务器(AAA服务器)进行鉴权。
RADIUS协议同样要求鉴权报文中用于携带用户名的名字域字段为非空,而PDSN发送的鉴权报文中的名字域字段添加有IMSI,所以符合协议规定。
S105、AAA服务器解析收到的鉴权报文并从中获取所述IMSI,以该IMSI作为关键字在存放有认证信息的数据库中查找与该移动终端对应的认证信息,然后利用该认证信息对用户鉴权,其鉴权的具体处理过程与现有技术相同。
在基于WCDMA系统中,由于所述IMSI和MDN均与移动终端唯一对应,所以在用户不输入用户名时可用IMSI和/或MDN作为鉴权报文中的用户名来对用户进行鉴权。参阅图2所示,其具体处理步骤如下:
S201、用户发起无线接入时,用户终端直接向通用分组无线业务网关支撑节点(GGSN)发送名字域字段为空的鉴权报文。所述GGSN为WCDMA系统中的NAS。
由于现有技术中的CHAP协议要求鉴权报文中用于携带用户名的名字域字段为非空,为了使用户无须输入用户名即可发起无线接入请求,定义协议中的鉴权报文中的名字域字段可为空。
S202、GGSN从SGSN转发来的激活请求消息中获取移动终端的IMSI和MDN。
用户发起接入请求后,附着在通用分组无线业务服务支撑节点(SGSN)上;附着成功后,用户通过移动终端向所述SGSN发送激活请求消息,在所述激活请求消息中携带有该移动终端自身的IMSI和MDN;所述SGSN将所述激活请求消息转发到GGSN;所述GGSN从中获取该移动终端对应的IMSI和MDN;之后,根据系统配置决定使用IMSI和MDN中的哪个标识来进行鉴权。
S203、GGSN获得了所述IMSI和MDN后,根据GGSN上的配置来决定以IMSI和/或MDN进行鉴权。将IMSI和/或MDN添加到鉴权报文中作为所述名字域字段中的信息(即替换鉴权报文中的空字符)。
S204、GGSN将该携带有所述IMSI和/或MDN的鉴权报文通过RADIUS协议发送到认证授权计费服务器(AAA服务器)进行鉴权。
RADIUS协议同样要求鉴权报文中用于携带用户名的名字域字段为非空,而GGSN发送的鉴权报文中的名字域字段添加有IMSI和/或MDN,所以符合协议规定。
S205、AAA服务器解析收到的鉴权报文并从中获取所述IMSI和/或MDN,以该IMSI和/或MDN作为关键字在存放有认证信息的数据库中查找与该移动终端对应的认证信息,然后利用该认证信息对用户鉴权,其鉴权的具体处理过程与现有技术相同。
参阅图3所示,基于CDMA2000系统,将移动终端侧随机生成的用户名添加到鉴权报文中发起鉴权的具体处理步骤如下:
S301、用户发起无线接入时,由终端侧自动随机生成用户名,并自动添加到鉴权报文中的名字域字段中,再向分组数据服务节点(PDSN)发送所述鉴权报文;所述PDSN为CDMA2000系统中的NAS。
由于所述名字域字段为非空,所以无需修改协议,并且无需用户手工输入用户名。
S302、所述PDSN在收到所述鉴权报文后,下发建链消息使移动终端与分组控制功能设备(PCF)之间建立空口信道,并获取移动终端的IMSI。
根据现有协议,移动终端与PCF建立空口信道后,移动终端自动提取其自身的IMSI,并将该IMSI通过交互消息发送到PCF;在PDSN与PCF建立连接时,所述PDSN通过自身与PCF之间的A11接口,从PCF中获取该移动终端的IMSI。
S303、PDSN获得了所述IMSI后,以该IMSI替换鉴权报文中所述名字域字段中的信息。
S304、PDSN将该携带有所述IMSI的鉴权报文通过RADIUS协议发送到认证授权计费服务器(AAA服务器)进行鉴权。
S305、AAA服务器解析收到的鉴权报文并从中获取所述IMSI,以该IMSI作为关键字在存放有认证信息的数据库中查找与该移动终端对应的认证信息,然后利用该认证信息对用户鉴权,其鉴权的具体处理过程与现有技术相同。
参阅图4所示,基于WCDMA系统,将移动终端侧随机生成的用户名添加到鉴权报文中发起鉴权的具体处理步骤如下:
S401、用户发起无线接入时,由终端侧自动随机生成用户名,并自动添加到鉴权报文中的名字域字段中,再向通用分组无线业务网关支撑节点(GGSN)发送所述鉴权报文;所述GGSN为WCDMA系统中的NAS。
由于所述名字域字段为非空,所以无需修改协议,并且无需用户手工输入用户名。
S402、GGSN从SGSN转发来的激活请求消息中获取移动终端的IMSI和MDN。
用户发起接入请求后,附着在通用分组无线业务服务支撑节点(SGSN)上;附着成功后,用户通过移动终端向所述SGSN发送激活请求消息,在所述激活请求消息中携带有该移动终端自身的IMSI和MDN;所述SGSN将所述激活请求消息转发到GGSN;所述GGSN从中获取该移动终端对应的IMSI和MDN;之后,根据系统配置决定使用IMSI和MDN中的哪个标识来进行鉴权。
S403、GGSN获得了所述IMSI和MDN后,根据GGSN上的配置来决定以IMSI和/或MDN进行鉴权,并以IMSI和/或MDN替换鉴权报文中所述名字域字段中的信息。
S404、GGSN将该携带有所述IMSI和/或MDN的鉴权报文通过RADIUS协议发送到认证授权计费服务器(AAA服务器)进行鉴权。
S405、AAA服务器解析收到的鉴权报文并从中获取所述IMSI和/或MDN,以该IMSI和/或MDN作为关键字在存放有认证信息的数据库中查找与该移动终端对应的认证信息,然后利用该认证信息对用户鉴权,其鉴权的具体处理过程与现有技术相同。
本发明也同样适用于现有的操作流程,即用户输入用户名后进行鉴权。
-用户输入用户名后,向NAS发送携带有用户名的鉴权报文。
-NAS获取该移动终端唯一对应的标识信息。
-NAS以所述标识信息替换用户输入的用户名。
-发送到AAA服务器进行鉴权。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1、一种对用户鉴权的方法,其特征在于,包括下列步骤:
在移动终端发起接入鉴权时,网络访问服务器(NAS)获取该移动终端唯一对应的标识信息;以及
用获得的标识信息替换鉴权报文中的用户名信息,并将该鉴权报文发送到认证授权计费服务器(AAA服务器)完成鉴权。
2、如权利要求1所述的方法,其特征在于,所述与移动终端唯一对应的标识信息为国际移动用户识别码(IMSI)和/或移动号码(MDN)。
3、如权利要求2所述的方法,其特征在于,CDMA2000系统中的NAS通过所述NAS与分组控制功能(PCF)设备之间的接口(A11),从PCF设备上获取移动终端的IMSI。
4、如权利要求3所述的方法,其特征在于,所述CDMA2000系统中的NAS为分组数据服务节点(PDSN)。
5、如权利要求2所述的方法,其特征在于,WCDMA系统中的NAS从通用分组无线业务服务支撑节点(SGSN)发来的消息中获取移动终端的IMSI和MDN。
6、如权利要求5所述的方法,其特征在于,所述WCDMA系统中的NAS为通用分组无线业务网关支撑节点(GGSN)。
7、如权利要求1至6任一项所述的方法,其特征在于,所述移动终端向NAS发送的鉴权报文中用户名为空,
或者,所述移动终端发起接入鉴权时,在终端侧随机生成用户名,并携带于鉴权报文中。
8、如权利要求7所述的方法,其特征在于,所述AAA服务器是以所述标识信息作为关键字,在数据库中查找与之对应的认证信息,并完成鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100852163A CN1849003A (zh) | 2005-07-21 | 2005-07-21 | 一种对用户鉴权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100852163A CN1849003A (zh) | 2005-07-21 | 2005-07-21 | 一种对用户鉴权的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1849003A true CN1849003A (zh) | 2006-10-18 |
Family
ID=37078322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100852163A Pending CN1849003A (zh) | 2005-07-21 | 2005-07-21 | 一种对用户鉴权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1849003A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140902A1 (zh) * | 2008-05-19 | 2009-11-26 | 华为技术有限公司 | 超小型蜂窝网络与宏网络之间进行通信的方法、系统及超小型网关 |
| WO2011017876A1 (zh) * | 2009-08-12 | 2011-02-17 | 中兴通讯股份有限公司 | 一种对终端进行重鉴权的方法和系统 |
| CN103701758A (zh) * | 2012-09-27 | 2014-04-02 | 中国电信股份有限公司 | 通过移动终端客户端使用业务的方法、系统及认证网关 |
| CN103812653A (zh) * | 2012-11-15 | 2014-05-21 | 中国电信股份有限公司 | 自动获得无线网络接入帐号信息的方法与系统 |
| CN106453199A (zh) * | 2015-08-06 | 2017-02-22 | 中国电信股份有限公司 | 基于用户识别卡的统一认证方法和系统 |
| CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
-
2005
- 2005-07-21 CN CNA2005100852163A patent/CN1849003A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140902A1 (zh) * | 2008-05-19 | 2009-11-26 | 华为技术有限公司 | 超小型蜂窝网络与宏网络之间进行通信的方法、系统及超小型网关 |
| CN101304610B (zh) * | 2008-05-19 | 2011-05-04 | 华为技术有限公司 | 超小型蜂窝网络与宏网络间通信方法、系统及超小型网关 |
| WO2011017876A1 (zh) * | 2009-08-12 | 2011-02-17 | 中兴通讯股份有限公司 | 一种对终端进行重鉴权的方法和系统 |
| CN101626569B (zh) * | 2009-08-12 | 2012-12-19 | 中兴通讯股份有限公司 | 对终端进行重鉴权的方法和装置 |
| CN103701758A (zh) * | 2012-09-27 | 2014-04-02 | 中国电信股份有限公司 | 通过移动终端客户端使用业务的方法、系统及认证网关 |
| CN103701758B (zh) * | 2012-09-27 | 2017-07-07 | 中国电信股份有限公司 | 通过移动终端客户端使用业务的方法、系统及认证网关 |
| CN103812653A (zh) * | 2012-11-15 | 2014-05-21 | 中国电信股份有限公司 | 自动获得无线网络接入帐号信息的方法与系统 |
| CN103812653B (zh) * | 2012-11-15 | 2017-07-07 | 中国电信股份有限公司 | 自动获得无线网络接入帐号信息的方法与系统 |
| CN106453199A (zh) * | 2015-08-06 | 2017-02-22 | 中国电信股份有限公司 | 基于用户识别卡的统一认证方法和系统 |
| CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1392703A (zh) | 管理移动互联网协议网络中的外部代理选择的系统和方法 | |
| CN1241368C (zh) | 假想私设网 | |
| CN101069382A (zh) | 有线/无线集成服务网络中通过实时会话管理进行集成计费管理的装置与方法 | |
| CN1750508A (zh) | 包转发装置以及接入网系统 | |
| CN1441569A (zh) | 一种网络设备的集群管理方法 | |
| CN1713629A (zh) | 用户登录名和ip地址绑定的实现方法 | |
| CN101079703A (zh) | 在互联网上使用用户识别卡认证的系统及方法 | |
| CN1929482A (zh) | 一种网络业务认证方法及装置 | |
| CN1738446A (zh) | 一种多媒体消息系统及转发多媒体消息的方法 | |
| CN101039312A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法及装置 | |
| CN1968507A (zh) | 一种移动终端定位方法及系统 | |
| CN1578487A (zh) | 一种移动终端接入分组网络的方法 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| CN101035367A (zh) | 移动通讯回传接口实现信息源统一接入交互的方法 | |
| CN1849003A (zh) | 一种对用户鉴权的方法 | |
| CN1787656A (zh) | 通信系统中的时效处理设备和方法 | |
| CN101030937A (zh) | 一种基于分群组的多级随机接入方法 | |
| CN1601960A (zh) | 手机银行系统的安全认证方法 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN100344094C (zh) | IPv6网络中对多地址用户进行授权计费的实现方法 | |
| CN1773904A (zh) | 一种通用的安全等级协商方法 | |
| CN1848977A (zh) | 一种移动通信网络中接入点获取接入网关地址的方法 | |
| CN1859200A (zh) | 一种终端管理同步标记语言终端设备的方法、系统及终端 | |
| CN1866823A (zh) | 一种ims网络中的鉴权方法、鉴权装置和鉴权系统 | |
| CN1753411A (zh) | 通过接口标识符分配网络标识符的改进方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |