專利名稱:無線局域網用戶實現接入認證的方法
技術領域:
本發(fā)明涉及無線局域網(WLAN)中的接入認證技術���,尤指在WLAN中一種防止WLAN用戶從多個認證授權計費(AAA)服務器接入認證的方法。
背景技術:
由于用戶對無線接入速率的要求越來越高�����,無線局域網(WLAN,WirelessLocal Area Network)應運而生����,它能在較小范圍內提供高速的無線數據接入。無線局域網包括多種不同技術�,目前應用較為廣泛的一個技術標準是IEEE802.11b,它采用2.4GHz頻段��,最高數據傳輸速率可達11Mbps���,使用該頻段的還有IEEE802.11g和藍牙(Bluetooth)技術���,其中,802.11g最高數據傳輸速率可達54Mbps����。其它新技術諸如IEEE802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達到54Mbps��。
盡管有多種不同的無線接入技術�����,大部分WLAN都用來傳輸因特網協(xié)議(IP)分組數據包���。對于一個無線IP網絡�����,其采用的具體WLAN接入技術對于上層的IP一般是透明的���。其基本的結構都是利用接入點(AP)完成用戶終端的無線接入��,通過網絡控制和連接設備連接組成IP傳輸網絡�����。
隨著WLAN技術的興起和發(fā)展,WLAN與各種無線移動通信網����,諸如GSM、碼分多址(CDMA)系統(tǒng)��、寬帶碼分多址(WCDMA)系統(tǒng)���、時分雙工-同步碼分多址(TD-SCDMA)系統(tǒng)��、CDMA2000系統(tǒng)的互通正成為當前研究的重點�����。在第三代合作伙伴計劃(3GPP)標準化組織中�,用戶終端可以通過WLAN的接入網絡與因特網(Internet)、企業(yè)內部互聯網(Intranet)相連�,還可以經由WLAN接入網絡與3GPP系統(tǒng)的歸屬網絡或3GPP系統(tǒng)的訪問網絡連接,具體地說就是��,WLAN用戶終端在本地接入時�,經由WLAN接入網絡與3GPP的歸屬網絡相連,如圖2所示�����;在漫游時��,經由WLAN接入網絡與3GPP的訪問網絡相連�,3GPP訪問網絡中的部分實體分別與3GPP歸屬網絡中的相應實體互連,比如3GPP訪問網絡中的3GPP認證授權計費(AAA)代理和3GPP歸屬網絡中的3GPP認證授權計費(AAA)服務器�;3GPP訪問網絡中的無線局域網接入關口(WAG)與3GPP歸屬網絡中的分組數據關口(PDG,Packet DataGateway)等等�,如圖1所示。其中�,圖1、圖2分別為漫游情況下和非漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的組網結構示意圖。
參見圖1���、圖2所示����,在3GPP系統(tǒng)中����,主要包括歸屬簽約用戶服務器(HSS)/歸屬位置寄存器(HLR)、3GPP AAA服務器��、3GPP AAA代理��、WAG����、分組數據關口、計費關口(CGw)/計費信息收集系統(tǒng)(CCF)及在線計費系統(tǒng)(OCS)��。用戶終端�、WLAN接入網絡與3GPP系統(tǒng)的所有實體共同構成了3GPP-WLAN交互網絡��,此3GPP-WLAN交互網絡可作為一種無線局域網服務系統(tǒng)����。其中����,3GPP AAA服務器負責對用戶的鑒權����、授權和計費,對WLAN接入網絡送來的計費信息收集并傳送給計費系統(tǒng)��;分組數據關口負責將用戶數據從WLAN接入網絡到3GPP網絡或其他分組網絡的數據傳輸����;計費系統(tǒng)主要接收和記錄網絡傳來的用戶計費信息,還包括OCS根據在線計費用戶的費用情況指示網絡周期性的傳送在線費用信息����,并進行統(tǒng)計和控制。
在非漫游情況下���,當WLAN用戶終端希望直接接入Internet/Intranet時�����,用戶終端通過WLAN接入網與AAA服務器(AS)完成接入認證授權后�,用戶終端可通過WLAN接入網接入到Internet/Intranet。如果WLAN用戶終端還希望接入3GPP分組交換(PS)域業(yè)務�����,則可進一步向3GPP歸屬網絡申請互通場景3(Scenario3)的業(yè)務��,即WLAN用戶終端向3GPP歸屬網絡的AS發(fā)起互通場景3的業(yè)務授權請求���,3GPP歸屬網絡的AS對該業(yè)務授權請求進行業(yè)務鑒權和授權�����,如果成功���,則AS給用戶終端發(fā)送接入允許消息,且AS給用戶終端分配相應的PDG��,用戶終端與所分配的PDG之間建立隧道后�,即可接入3GPPPS域業(yè)務。同時����,CGw/CCF和OCS根據用戶終端的網絡使用情況記錄計費信息���。在漫游情況下�,當WLAN用戶終端希望直接接入Internet/Intranet時,用戶終端可通過3GPP訪問網絡向3GPP歸屬網絡申請接入到Internet/Intranet�����。如果用戶終端還希望申請互通場景3業(yè)務���,接入到3GPP PS域業(yè)務����,則用戶終端需要通過3GPP訪問網絡向3GPP歸屬網絡發(fā)起業(yè)務授權過程��,該過程同樣在用戶終端和3GPP歸屬網絡的AS之間進行��,當授權成功后�����,AS給用戶終端分配相應的歸屬PDG�����,用戶終端通過3GPP訪問網絡中的WAG與分配的PDG之間建立隧道后��,用戶終端即可接入歸屬網絡的3GPP PS域業(yè)務。
根據3GPP協(xié)議規(guī)定�,在現有3GPP-WLAN交互網絡中,WLAN用戶接入網絡的鑒權和授權過程如圖3所示���,包括以下步驟步驟301~302當前WLAN用戶終端與WLAN接入網根據3GPP協(xié)議規(guī)定的流程建立無線連接�����;之后����,發(fā)起當前WLAN用戶終端與3GPP AAA服務器之間的接入認證過程��,該接入認證通過可擴展認證協(xié)議(EAP)進行�,即在當前WLAN用戶終端與3GPP AAA服務器之間進行EAP請求和EAP響應消息的交互。
步驟303~3043GPP AAA服務器收到接入認證請求后�,判斷自身是否存在針對當前WLAN用戶終端的鑒權信息,如果不存在�,則從HSS中獲取當前WLAN用戶終端的鑒權信息,比如鑒權五元組/三元組���。并且����,如果該3GPPAAA服務器中不存在當前WLAN用戶終端的用戶簽約信息,比如授權信息���、用戶臨時標識,同樣要從HSS中獲取��。也就是說�,3GPP AAA服務器自身沒有用戶信息的話,就需要從HSS中獲取���。
步驟3053GPP AAA服務器可以將策略執(zhí)行信息發(fā)送給當前WLAN用戶終端漫游到的訪問公眾陸地移動網絡(VPLMN)中的WAG����,本步驟是可選的�����。
步驟306如果鑒權和授權成功����,則3GPP AAA服務器向WLAN接入網發(fā)送允許接入消息Access Accept,在該消息中包括EAP成功消息EAP Success��,該成功消息中攜帶有連接授權信息�,比如接入過濾規(guī)則�、隧道屬性等等�。
步驟307WLAN接入網收到允許接入消息后,向當前WLAN用戶終端發(fā)送鑒權成功消息EAP Success����。
步驟308如果當前WLAN用戶終端在HSS中沒有當前為其提供接入認證3GPP AAA服務器的登記信息,則為當前WLAN用戶終端提供鑒權的3GPPAAA服務器在HSS中進行登記���,登記消息中根據用戶的臨時標識來確定用戶�����。
從上述流程可以看出�����,當前的規(guī)范和過程還沒有涉及歸屬網絡中有多個AAA服務器提供服務時�,如果用戶己經連接到一個AAA服務器�����,下次發(fā)起認證時如何保障繼續(xù)連接到該AAA的解決方案���。那么����,當一個歸屬公眾陸地移動網絡(HPLMN)網絡中有多個AAA服務器能夠為WLAN用戶提供服務時,某用戶第一次接入AAA服務器1之后�,下次進行認證或接入可能被送入AAA服務器2,而該AAA服務器2會重新與HSS進行交互���,從HSS中請求用戶的簽約數據,從而導致用戶數據分散�,不能集中管理。
雖然目前業(yè)界也提出一種允許同時有多個AAA服務器提供服務的方案����,但該方案的具體實現需要HSS進行多重條件的判斷,經過的過程較為復雜繁瑣���,而且也在一定程度上加大了HSS的負荷�。
發(fā)明內容
有鑒于此�����,本發(fā)明的主要目的在于提供一種無線局域網用戶實現接入認證的方法����,能夠避免同一WLAN用戶從多個AAA服務器接入認證�����,從而保證用戶數據不分散����,且實現簡單����、方便、靈活�。
為達到上述目的,本發(fā)明的技術方案是這樣實現的一種無線局域網用戶實現接入認證的方法���,收到接入認證請求的AAA服務器向歸屬用戶信息服務器請求獲取當前發(fā)送請求的WLAN用戶終端的用戶信息時��,該方法包括a.歸屬用戶信息服務器收到請求后��,判斷自身是否存在當前發(fā)送請求的WLAN用戶終端的AAA登記��,如果沒有�����,則向當前發(fā)送請求的AAA服務器返回用戶數據��;如果有��,再判斷已存在的AAA標識與當前發(fā)送請求的AAA服務器標識是否相同��,如果相同�,則向當前發(fā)送請求的AAA服務器返回用戶數據,否則�����,執(zhí)行步驟b����;b.歸屬用戶信息服務器確定一個AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證��,并對當前發(fā)送請求的WLAN用戶對應的其它AAA服務器發(fā)起清除該用戶相關信息及連接的處理�����。
其中�,步驟b中歸屬用戶信息服務器確定由已登記的AAA服務器完成接入認證,則步驟b進一步包括歸屬用戶信息服務器將已登記AAA服務器的地址發(fā)送給當前發(fā)送請求的AAA服務器����;當前發(fā)送請求的AAA服務器根據收到地址將認證請求信令轉發(fā)給已登記的AAA服務器����,由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證��。
在執(zhí)行步驟b之前����,該方法進一步包括歸屬用戶信息服務器與已登記的AAA服務器定期進行聯系,或者歸屬用戶信息服務器在向當前發(fā)送請求的AAA服務器返回地址前��,先與已登記的AAA服務器進行協(xié)商�。
上述方案中,所述由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證進一步包括當前發(fā)送請求的AAA服務器作為代理或中繼設備����,轉發(fā)當前發(fā)送請求的WLAN用戶終端與已登記的AAA服務器之間的所有信令。
上述方案中�,當前發(fā)送請求的AAA服務器從其下游節(jié)點接收到當前發(fā)送請求的WLAN用戶終端的接入認證,則所述由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證進一步包括當前發(fā)送請求的AAA服務器通知其下游節(jié)點認證交互終點為已登記的AAA服務器���,下游節(jié)點重新發(fā)起到已登記的AAA服務器的接入認證����。
上述方案中,步驟b中歸屬用戶信息服務器確定由當前發(fā)送請求的AAA服務器完成接入認證��,則步驟b進一步包括當前發(fā)送請求的AAA服務器對當前發(fā)送請求的WLAN用戶終端進行接入認證�����,并在認證成功后到歸屬用戶信息服務器中進行登記請求���,歸屬用戶信息服務器指示已登記的AAA服務器刪除其用戶信息和用戶的WLAN連接��,并刪除自身中已登記的AAA服務器的登記信息��,然后將當前發(fā)送請求的AAA服務器的信息進行登記��。
上述方案中�����,所述的用戶信息為當前WLAN用戶的簽約信息、或當前WLAN用戶的鑒權信息���、或兩者的組合����。所述的歸屬用戶信息服務器為HSS、或為HLR與鑒權中心AuC的組合��。
本發(fā)明所提供的無線局域網用戶實現接入認證的方法�����,如果HSS發(fā)現當前WLAN用戶終端采用不同的AAA服務器進行接入認證�,HSS就選定一個AAA服務器為當前WLAN用戶終端提供服務,同時刪除其它AAA服務器的相應數據及其與WLAN的連接��,如此�,可保證僅有一個AAA服務器為每個WLAN用戶終端提供接入認證服務,以避免用戶數據的分散��,保證數據的集中管理��。
本發(fā)明的方法只需要判斷同一個用戶的登記是否來自不同的AAA服務器�,即可確定當前WLAN用戶終端是否采用不同的AAA服務器,實現簡單�����、方便�,既不會增加HSS的負荷,也不會使接入認證流程復雜化��。并且,本發(fā)明可采用不同的方案達到防止一個WLAN用戶終端從多個AAA服務器進行接入認證的目的����,實現更靈活。
圖1為WLAN系統(tǒng)與3GPP系統(tǒng)互通的網絡結構示意圖��;圖2為WLAN運營網絡的一種組網結構示意圖��;圖3為現有技術中WLAN用戶終端進行鑒權和授權的流程圖���;圖4為本發(fā)明一實施例的處理流程圖�;圖5為本發(fā)明另一實施例的處理流程圖�。
具體實施例方式
本發(fā)明的核心思想是收到WLAN用戶終端接入認證請求的AAA服務器向歸屬用戶信息服務器要求獲取用戶信息時,如果歸屬用戶信息服務器根據登記的AAA標識判斷出當前WLAN用戶終端采用不同的AAA服務器進行接入認證����,那么,歸屬用戶信息服務器就確定一個AAA服務器完成對當前WLAN用戶終端的接入認證���,同時刪除其它AAA服務器在自身的登記數據及其與WLAN的連接,如此���,可保證僅有一個AAA服務器為每個WLAN用戶終端提供接入認證服務����。
這里,所述的歸屬用戶信息服務器可以是HSS�、或HLR與鑒權中心(AuC,Authentication Center)等網絡實體的組合��,以下僅以歸屬用戶信息服務器是HSS為例��。所述的僅有一個AAA服務器為每個WLAN用戶終端提供服務�����,并不是指僅采用一個固定的AAA服務器��。也就是說�,所述的HSS確定一個AAA服務器完成對當前WLAN用戶終端的接入認證可以選用舊AAA服務器,也可以選用新AAA服務器�����。
針對HSS當前所選定的不同的AAA服務器�,HSS的處理過程也不相同。假定舊AAA服務器為AAA1��,新AAA服務器為AAA2�����,如果一個WLAN用戶通過AAA1被接入,在AAA1中存儲有簽約信息����、接入狀態(tài)等用戶數據,并且AAA1在HSS中進行了登記�,說明AAA1曾為該WLAN用戶提供接入認證服務;那么��,如果該WLAN用戶又通過AAA2進行接入��,則HSS可以通過已登記的AAA-ID判斷出該WLAN用戶是從新的AAA服務器�����,即AAA2嘗試接入��。這種情況下����,如果AAA2按照HSS的配置規(guī)則屬于合法的AAA服務器,則HSS通常采用的兩種處理過程是第一種����,如果HSS選定采用AAA1完成接入認證,則HSS會將AAA1的地址發(fā)送給AAA2�����,AAA2將通過轉發(fā)機制使信令轉發(fā)到AAA1����。這里,所述的轉發(fā)可通過中繼(RELAY)���、或代理(PROXY)�、或重定向(REDIRECTION)等任選方式實現��。
這種方案中��,考慮到AAA1失敗���、與HSS失去聯系的情況�����,需要HSS及時����、主動取消AAA1的登記,以保障AAA2能正常通過AAA1完成接入認證過程����。因此,就要求HSS及時得到AAA設備失敗或過載的情況�����,具體做法就是HSS和AAA1定期聯系�����,或者HSS在轉發(fā)之前與AAA1進行協(xié)商��,如果協(xié)商失敗或沒有響應�,則認為AAA1有問題,及時取消AAA1的登記�����,接入AAA2����,并將數據發(fā)送給AAA2�����。這里所述的數據是指用戶簽約信息��、用于安全認證的鑒權五元組/三元組等。
第二種�,如果選定采用AAA2完成接入認證,則HSS會將所有相關數據發(fā)給AAA2���,并在AAA2成功完成用戶認證后����,令該AAA2在自身進行登記�����;同時�����,HSS將AAA1在自身的登記刪除����,并指示拆除AAA1與WLAN間的相關連接。這里,所述的相關數據是指用戶簽約信息��、用于安全認證的鑒權五元組/三元組等��;所述的相關連接為AAA服務器中的會話連接�����,或低層物理連接和AAA服務器中的會話連接�。
以上所述方案主要適用于在一個網絡中存在多個AAA服務器可以同時為WLAN用戶終端提供服務的情況。這里所述的網絡可以是HPLMN����,也可以是VPLMN,還可以是WLAN���。實際上��,上述方案所述的過程就相當于是確定當前收到WLAN用戶接入認證請求的AAA在本次接入過程中作為AAA服務器�,還是作為AAA代理的過程�����。
實施例一本實施例就是基于圖3所示的處理流程���,將圖3給出的交互流程與本發(fā)明核心思想的處理步驟相結合���,主要涉及步驟303和步驟304的變化�,其它步驟基本不變����。具體修改是在步驟303中增加HSS對當前要獲取用戶信息的AAA服務器的判斷�,HSS收到AAA服務器發(fā)來的簽約信息請求后,檢查自身是否有該WLAN用戶的AAA登記�����,如果不存在�����,則繼續(xù)原有正常流程��;如果存在��,再根據AAA標識判斷登記的AAA服務器與當前發(fā)請求的AAA服務器是否為同一個AAA服務器�����,如果是同一個AAA服務器,也繼續(xù)原有正常流程�����;如果不是同一個AAA服務器但HSS確定選用當前發(fā)請求的AAA服務器�����,也繼續(xù)原有正常流程�����,只是在步驟308中或步驟308之后需要增加刪除已登記AAA服務器與當前WLAN用戶相關的信息和連接的步驟����。
如果不是同一個AAA服務器且HSS確定選用已登記的AAA服務器,HSS給當前發(fā)請求的AAA服務器返回已登記AAA服務器的地址��,當前發(fā)請求的AAA服務器將接入認證請求轉發(fā)給已登記的AAA服務器�����,步驟303和后續(xù)步驟通過已登記的AAA服務器繼續(xù)完成���。
實施例二本實施例中���,某WLAN用戶終端的歸屬AAA(H-AAA)服務器收到其下游節(jié)點發(fā)來的認證請求���,這里所述的下游節(jié)點是指AAA代理/中繼代理,該下游節(jié)點位于HPLMN����、VPLMN或WLAN中。設定H-AAA為AAA2�����,在HSS中已登記的AAA服務器為AAA1���,且HSS選定由AAA1完成接入認證。那么���,本實施例中實現WLAN用戶終端接入認證的方法如圖4所示����,包括以下步驟步驟401~402當前接入網絡的WLAN用戶終端與WLAN接入網建立無線連接后�����,AAA2收到經由下游節(jié)點發(fā)送來的、該WLAN用戶終端的接入認證請求����。
步驟403~404AAA2根據自身的配置信息確定自身可以對該用戶提供服務,但發(fā)現自身沒有該WLAN用戶終端的用戶信息��,則向HSS發(fā)起用戶信息請求�,請求獲取用戶數據。其中��,所述用戶信息請求在實際操作中可以是認證信息請求�、或簽約信息請求、或是兩者的組合�。這里,所述的配置信息就是預先配置好的條件�����、參數���,比如��,一個網絡中有200個用戶����,用戶號為1~200,三個AAA服務器�,預先配置好AAA1為用戶號為1~100的用戶提供服務,AAA2為用戶號為50~180的用戶提供服務��,AAA3為用戶號為181~200的用戶提供服務���,那么�,就有兩個AAA能為用戶號為50~100的用戶提供服務�����。
步驟405~406HSS收到AAA2發(fā)來的簽約信息請求后�,檢查自身是否有該WLAN用戶終端的AAA登記,發(fā)現已存在AAA1的登記����,并且根據AAA標識可以判斷出AAA1與當前的AAA2不是同一個AAA��,HSS確定選用AAA1�����,則HSS拒絕向AAA2提供用戶數據�,并將當前已登記的AAA1的地址發(fā)送給AAA2����。
為了保證AAA1處于正常工作狀態(tài)���,HSS可以在向AAA2發(fā)送AAA1地址之前�,與AAA1定時聯系或預先與AAA1進行協(xié)商��,以確認AAA1工作正常�����、用戶數據保存和狀態(tài)也都正常�,其中,主要是確認用戶數據沒有丟失�,用戶狀態(tài)可以是attach或detach。
步驟407AAA2根據得到的AAA1的地址�����,將認證請求信令轉送給AAA1����,由AAA1完成后續(xù)的接入認證流程。具體的信令轉發(fā)可通過以下的機制實現1)AAA2作為代理或一個中繼設備,將該認證交互的所有信令轉發(fā)于下游節(jié)點和AAA1之間���,完成當前WLAN用戶終端和AAA1之間的AAA信令交互���。比如可以將AAA2作為DIAMETER協(xié)議中的DIAMETER-PROXY AGENT或DIAMETER-RELAY AGENT,按照IETF草案<draft-ietf-aaa-diameter-17>規(guī)定的方法進行交互�����。
2)AAA2作為轉移代理����,通知下游節(jié)點,該認證交互的終點需要轉移給AAA1�,下游節(jié)點則不再將該認證交互信令送給AAA2,如果此時的下游節(jié)點是proxy或broker�����,則該下游節(jié)點會根據此通知重新發(fā)起到AAA1的信令��,不再與AAA2交互����。比如可以將AAA2作為DIAMETER協(xié)議的DIAMETER-PROXY REDIRECT AGENT,按照IETF規(guī)范規(guī)定的方法進行交互��。
實施例三本實施例中�,假定當前收到認證請求的AAA為AAA2,在HSS中已登記的AAA服務器為AAA1����,且HSS選定由AAA2完成接入認證。那么����,本實施例中實現WLAN用戶終端接入認證的方法如圖5所示,包括以下步驟步驟501~504與實施例一中所有的描述基本相同����。
步驟505~506HSS收到AAA2發(fā)來的簽約信息請求后,檢查自身是否有該WLAN用戶終端的AAA登記��,發(fā)現已存在AAA1的登記�����,并且根據AAA標識可以判斷出AAA1與當前的AAA2不是同一個AAA����,HSS確定選用AAA2�,則HSS向AAA2提供用戶數據��。
步驟507~509AAA2收到用戶數據后�����,對當前WLAN用戶終端完成接入認證�����,在接入認證成功后�,AAA2到HSS中進行登記;HSS將AAA2的信息進行登記����,其中包括AAA2的標識,同時����,刪除原有的AAA1的登記信息,并指示AAA1刪除其與WLAN之間建立的相關連接�。
實施例四本實施例是本發(fā)明方法在EAP-AKA的WLAN接入認證過程中的應用,所述EAP-AKA認證的基本過程在規(guī)范中有詳細規(guī)定��。本實施例主要描述該過程在WLAN-3GPP交互運營網絡中運行時��,如何保障只有一個AAA服務器同時為一個用戶服務。如圖6所示�,本實施例的方法包括以下步驟步驟601WLAN用戶終端與WLAN接入網根據WLAN技術規(guī)范建立無線連接�����。
步驟602WLAN接入網向WLAN用戶終端發(fā)送用戶名請求信令EAPRequest/Identity���,該EAP內容封裝于WLAN具體的技術協(xié)議中���。
步驟603WLAN用戶終端返回用戶名響應消息EAP Response/Identity,該消息中包括該WLAN用戶終端自己的標識�,該標識采用IETF規(guī)范RFC2486定義的網絡接入標識(NAI),該NAI可以是前次認證時分配的臨時標識�、或是永久標識IMSI。其中�,由IMSI構造NAI格式的方法在EAP/AKA規(guī)范中有詳細定義,在此不再贅述�。
步驟604根據NAI的域名,WLAN用戶終端發(fā)起的認證消息被路由到適當的3GPP AAA服務器����。這里,路由中可能有一個或多個AAA代理(圖中省略)���,可以用Dimeter referral方法尋找和確定AAA服務器路由����;也可以通過配置數據確定AAA服務器路由。
步驟6053GPP AAA服務器收到包含有用戶標識的EAP Response/Identity消息后����,該消息中還含有WLAN接入網絡標識、VPLMN標識以及WLAN用戶終端的MAC地址����。
步驟6063GPP AAA服務器根據收到的標識把該用戶作為EAP-AKA認證的候選,然后�,3GPP AAA服務器檢查自身是否有該用戶沒有使用的認證元組(Authentication Vectors),如果沒有��,則向HSS/HLR請求獲取該認證元組�,此時需要一個臨時標識和IMSI的對照關系表。其中��,3GPP AAA服務器是否將當前用戶作為候選也可以是服務器先獲取沒有使用過的認證元組�����,基于獲得的認證元組����,比如獲得UMTS的認證元組����,再決定是否將該用戶作為EAP-AKA認證的候選�。
HSS/HLR收到請求后����,如果經檢查發(fā)現已有另外一個3GPP AAA服務器已登記作為該用戶的服務AAA,并且����,HSS/HLR確認該已登記的AAA服務器工作正常,則該HSS/HLR會將該已登記的AAA服務器的地址通知當前請求獲取認證元組的3GPP AAA服務器�,那么,請求獲取認證元組的3GPP AAA服務器就作為PROXY代理或REDIRECTION代理將認證消息轉移給已登記的3GPPAAA服務器��。此步驟之后���,已登記的3GPP AAA服務器就作為為當前用戶提供服務的3GPP AAA服務器��。
步驟6073GPP AAA服務器發(fā)出EAP Request/AKA Identity消息再次請求用戶標識����,發(fā)出該請求是因為中間節(jié)點可能改變或替換了在EAP Response/Identity消息中收到的用戶標識,但如果確定EAP Response/Identity消息中的用戶標識不可能被改變�,相應處理步驟也可以被歸屬運營商省略。
步驟608~609WLAN接入網將EAP Request/AKA Identity消息轉發(fā)給WLAN用戶終端����;WLAN用戶終端響應一個與EAP Response/Identity中完全相同的用戶標識。
步驟610WLAN接入網轉發(fā)EAP Response/AKA Identity消息到3GPP AAA服務器�,3GPP AAA服務器將使用本消息收到的用戶標識來進行認證。如果EAPResponse/Identity中的用戶標識和EAP Response/AKA Identity中的用戶標識不一致�,則以前從HSS/HLR取得的用戶簽約信息和認證元組都是無效的,應該重新申請��。也就是說�����,在步驟611之前要重復執(zhí)行步驟606中請求認證元組的過程��。
為了優(yōu)化過程��,當3GPP AAA服務器有足夠的信息來識別一個用戶作為EAP-AKA用戶�����,則標識重新請求的過程應該在用戶簽約信息和認證信息被獲得之前進行。雖然Wx接口的協(xié)議設計可能不允許以上四個步驟在所需的用戶簽約信息下載到3GPP AAA服務器上之前進行�。
步驟6113GPP AAA服務器檢查是否已擁有WLAN接入所需的用戶簽約信息,如果沒有這些信息�����,則應該從HSS取得����;然后3GPP AAA服務器檢查用戶是否被授權使用WLAN接入服務。
雖然在本實施例中�����,本步驟在步驟606之后����,但在實際應用中��,本步驟可以在步驟614之前的任意位置執(zhí)行����。
步驟612由IK和C推導得到新的密鑰信息,具體內容在規(guī)范中有詳細規(guī)定�,該密鑰信息是EAP-AKA所需要的,當然���,可能有更多的密鑰信息會被產生出來提供給WLAN接入的安全性或完整性保護使用�。
一個新的假名也可能被選擇,并采用EAP-AKA產生的密鑰信息保護��。
步驟6133GPP AAA服務器在EAP Request/AKA-Challenge消息中發(fā)送給WLAN接入網如下信息RAND��、AUTN���、一個消息認證碼(MAC�����,MessageAuthentication Code)和兩個用戶標識(如果有)�����,其中��,兩個標識是指被保護的假名和/或重認證標識(Re-authentication ID)���。是否發(fā)送重認證標識取決于3GPP運營商的運營規(guī)則是否允許重認證機制,也就是說��,任何時候AAA服務器根據運營商的規(guī)則決定是否包含重認證標識,從而決定允許或不允許重認證過程進行����。
步驟614WLAN接入網將EAP Request/AKA-Challenge消息發(fā)送給WLAN用戶終端。
步驟615WLAN用戶終端運行USIM上的UMTS算法����,USIM驗證AUTN是否正確從而認證網絡,如果AUTN是不正確的���,該WLAN用戶終端就拒絕該認證過程��。如果序列數是不同步的�,則該WLAN用戶終端會發(fā)起一個同步過程���,規(guī)范中有詳細說明,在此不在詳述��。如果AUTN正確�,則USIM計算出RES、IK和CK�����。
WLAN用戶終端根據USIM新計算的IK和CK計算得到其他新的密鑰信息,利用這些密鑰信息檢查得到的MAC如果收到了被保護的假名����,WLAN用戶終端存儲該假名待以后認證使用。
步驟616WLAN用戶終端用新的密鑰信息計算一個覆蓋EAP消息的新的MAC值�,WLAN用戶終端將包含計算得到的RES和新計算的MAC值的EAPResponse/AKA-Challenge消息發(fā)送給WLAN接入網。
步驟617WLAN接入網將EAP Response/AKA-Challenge信息轉發(fā)給3GPPAAA服務器�。
步驟6183GPP AAA服務器檢查得到的MAC,并比較XRES和得到的RES�。
步驟619如果全部檢查通過,則3GPP AAA服務器發(fā)送認證成功消息EAPSuccess給WLAN接入網���,如果一些為WLAN接入層安全和完整性保護準備的新的密鑰產生����,則3GPP AAA服務器把這些密鑰信息包含在承載該EAP信息的AAA層協(xié)議消息中�,即不包含在EAP層的信令中。WLAN接入網保存這些密鑰用來和認證通過的WLAN用戶終端進行通信使用���。
步驟620WLAN接入網用EAP Success消息通知WLAN用戶終端認證成功�。此時���,EAP AKA交互成功的完成����,并且WLAN用戶終端和WLAN接入網都擁有了交互中產生的共享密鑰信息。
步驟6213GPP AAA服務器比較認證交互中用戶的MAC地址��、VPLMN標識和WLAN接入網絡的標識信息與當前運行中的會話對應用戶相應的信息�,如果這些信息和運行中的會話都一致,則該認證過程是與目前運行中的WLAN會話關聯的����,對該會話不需要做任何處理。
如果該用戶的MAC地址或VPLMN標識或WLAN接入網能力信息不同于當前的WLAN會話���,則3GPP AAA服務器判斷該認證過程是為了建立一個新的WLAN會話�����,3GPP AAA服務器就會根據用戶的多個WLAN會話是否被允許或WLAN會話的最多數目是否超過限制�����,來決定是否發(fā)起中止現有WLAN會話的過程。
上述過程中�����,該認證過程可能會在任意階段失敗,比如由于MAC驗證失敗�����、或WLAN用戶終端在網絡發(fā)出請求消息后沒有響應失敗等等��。在這種情況下����,EAP AKA過程就會中止,并且要將失敗的通知信息發(fā)送到HSS/HLR�����。
實施例五本實施例是本發(fā)明方法在EAP-SIM的WLAN接入認證過程中的應用����,所述EAP-SIM認證的基本過程規(guī)范中有詳細規(guī)定。本實施例主要描述該過程在WLAN-3GPP交互運營網絡中運行時�����,如何保障只有一個AAA服務器同時為一個用戶服務����。如圖7所示����,本實施例的方法包括以下步驟步驟701WLAN用戶終端與WLAN接入網根據WLAN技術規(guī)范建立無線連接�。
步驟702WLAN接入網向WLAN用戶終端發(fā)送用戶名請求信令EAPRequest/Identity,該EAP內容封裝于WLAN具體的技術協(xié)議中�����。
步驟703WLAN用戶終端返回用戶名響應消息EAP Response/Identity�����,該消息中包括該WLAN用戶終端自己的標識�,該標識采用IETF規(guī)范RFC2486定義的網絡接入標識(NAI),該NAI可以是前次認證時分配的臨時標識����、或是永久標識IMSI。其中�����,由IMSI構造NAI格式的方法在EAP/SIM規(guī)范中有詳細定義�����,在此不再贅述���。
步驟704根據NAI的域名�����,WLAN用戶終端發(fā)起的認證消息被路由到適當的3GPP AAA服務器��。這里��,路由中可能有一個或多個AAA代理(圖中省略)��,可以用Dimeter referral方法尋找和確定AAA服務器路由���;也可以通過配置數據確定AAA服務器路由。
步驟7053GPP AAA服務器收到包含有用戶標識的EAP Response/Identity消息后���,該消息中還含有WLAN接入網絡標識�、VPLMN標識以及WLAN用戶終端的MAC地址����。
步驟7063GPP AAA服務器根據收到的標識把該用戶作為EAP-SIM認證的候選,然后3GPP AAA服務器發(fā)送EAP Request/SIM-Start給WLAN接入網�����,3GPP AAA服務器重新請求用戶標識,發(fā)出該請求是因為中間節(jié)點可能改變或替換了在EAP Response/Identity消息中收到的用戶的�����。但是����,如果確定EAPResponse/Identity消息中的用戶標識不可能被改變,則相應處理步驟可以被歸屬運營商忽略�。其中,3GPP AAA服務器是否將當前用戶作為候選也可以是服務器先獲取沒有使用過的認證元組�,基于獲得的認證元組,比如獲得GSM的認證元組�����,再決定是否將該用戶作為EAP-SIM認證的候選���。
步驟707~708WLAN接入網將EAP Request/SIM-Start信息發(fā)送給WLAN用戶終端�����;WLAN用戶終端選擇一個新的隨機數NONCE_MT�����,該隨機數用于網絡認證���。WLAN用戶終端響應一個與EAP Response/Identity中完全相同的用戶標識。
WLAN用戶終端發(fā)送給WLAN接入網的EAP Response/SIM-Start信息中包含有NONCE_MT和用戶標識��。
步驟709WLAN接入網發(fā)送EAP Response/SIM-Start信息給3GPP AAA服務器����,3GPP AAA服務器將使用本消息收到的用戶標識來進行認證,如果EAPResponse/Identity中的用戶標識和EAP Response/SIM Start中的用戶標識不一致���,則以前從HSS/HLR取得的用戶簽約信息和認證元組都是無效的����,應該重新申請���。
步驟7103GPP AAA服務器檢查自身是否有該用戶的N個沒有使用的認證元組���,如果有,則N個GSM認證元組被用來產生一個與EAP-AKA長度一致的密鑰信息;如果沒有N個認證元組�,則需要從HSS/HLR獲取一組認證元組,此時需要一個臨時標識和IMSI的對照關系表�。
HSS/HLR收到請求后,如果經檢查發(fā)現已有另外一個3GPP AAA服務器已登記作為該用戶的服務AAA����,并且,HSS/HLR確認該已登記的AAA服務器工作正常�����,則該HSS/HLR會將該已登記的AAA服務器的地址通知當前請求獲取認證元組的3GPP AAA服務器����,那么,請求獲取認證元組的3GPP AAA服務器就作為PROXY代理或REDIRECTION代理將認證消息轉移給已登記的3GPPAAA服務器����。此步驟之后,已登記的3GPP AAA服務器就作為為當前用戶提供服務的3GPP AAA服務器�。
雖然在本實施例中,本步驟在步驟709之后���,但在實際操作中��,本步驟可以在步驟712之前的任意位置執(zhí)行�����,比如在步驟705之后����。
步驟7113GPP AAA服務器檢查是否已擁有WLAN接入所需的用戶簽約信息��,如果沒有這些信息����,則應該從HSS取得;然后3GPP AAA服務器檢查用戶是否被授權使用WLAN接入服務�����。
雖然在本實施例中��,本步驟在步驟710之后��,但在實際操作中�,本步驟可以在步驟718之前的任意位置執(zhí)行。
步驟712由NONCE_MT和N個Kc推導得到新的密鑰信息�,具體內容在規(guī)范中有詳細規(guī)定,該密鑰信息是EAP-SIM所需要的,當然�,可以有更多的密鑰信息被產生出來提供給WLAN接入的安全性或完整性保護使用。
一個新的假名和/或重認證標識可能被選擇�����,并采用EAP-SIM產生的密鑰信息保護��,比如加密并作完整性保護��。
一個消息認證碼(MAC)可以通過采用EAP-SIM得到的密鑰覆蓋整個EAP消息計算得到��,用來進行網絡認證值��。
3GPP AAA服務器在EAP Request/SIM-Challenge消息中發(fā)送給WLAN接入網如下信息RAND����、AUTN、一個消息認證碼(MAC)和兩個用戶標識(如果有)�,其中,兩個標識是指被保護的假名和/或重認證標識(Re-authenticationID)���。是否發(fā)送重認證標識取決于3GPP運營商的運營規(guī)則是否允許重認證機制�,也就是說���,任何時候AAA服務器根據運營商的規(guī)則決定是否包含重認證標識�,從而決定允許或不允許重認證過程進行。
步驟713WLAN發(fā)送EAP Request/SIM-Challenge消息給WLAN用戶終端�。
步驟714WLAN用戶終端在SIM中運行N次GSM A3/A8算法,為每個收到的RAND運行一次���,該計算產生N個SRES和Kc值��。
WLAN用戶終端根據N Kc keys和NONCE_MT計算出其他密鑰信息�����。
WLAN用戶終端用最新得到的密鑰信息計算一個用于網絡認證的MAC,并檢驗其是否和收到的MAC相同����,如果這個MAC不正確,則網絡認證失敗���,WLAN用戶終端取消該認證過程�����,僅當MAC正確WLAN用戶終端才會繼續(xù)認證交互過程����。
WLAN用戶終端用新的密鑰信息覆蓋每個和N個SRES響應關聯的EAP消息,計算一個新的MAC����。
如果收到了被保護的假名,WLAN用戶終端存儲該假名待以后認證使用���。
步驟715WLAN用戶終端將包含新計算得到的MAC的EAP Response/SIM-Challenge消息發(fā)送給WLAN接入網��。
步驟716WLAN接入網發(fā)送EAP Response/SIM-Challenge消息給3GPPAAA服務器�。
步驟7173GPP AAA服務器檢查得到的MAC是否和自己存儲的一致�。
步驟718如果全部檢查通過,則3GPP AAA服務器發(fā)送認證成功EAPSuccess消息給WLAN接入網�����,如果一些為WLAN接入層安全和完整性保護準備的新的密鑰產生�,則3GPP AAA服務器把這些密鑰信息包含在承載該EAP信息的AAA層協(xié)議消息中,即不包含在EAP層的信令中�。WLAN接入網保存這些密鑰用來和認證通過的WLAN用戶終端進行通信使用。
步驟719WLAN接入網用EAP Success消息通知WLAN用戶終端認證成功�。此時EAP SIM交互成功的完成,并且�,WLAN用戶終端和WLAN接入網都擁有了交互中產生的共享密鑰信息��。
步驟7203GPP AAA服務器比較認證交互中用戶的MAC地址����、VPLMN標識和WLAN接入網絡的標識信息與當前運行中的會話對應用戶相應的信息���,如果這些信息和運行中的會話都一致�����,則該認證過程是和目前運行中的WLAN會話關聯的���,對該會話不需要做任何處理。
如果該用戶的MAC地址或VPLMN標識或WLAN接入網能力信息不同于當前的WLAN會話�,則3GPP AAA服務器判斷該認證過程是為了建立一個新的WLAN會話�。3GPP AAA服務器就會根據用戶的多個WLAN會話是否被允許或WLAN會話的最多數目是否超過限制,來決定是否發(fā)起中止現有WLAN會話的過程�。
上述過程中,該認證過程可能會在任意階段失敗��,比如由于MAC驗證失敗�、或WLAN用戶終端在網絡發(fā)出請求消息后沒有響應失敗等等。在這種情況下����,EAP SIM過程就會中止���,并且要將失敗的通知信息發(fā)送到HSS/HLR。
以上所述�,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍��。
權利要求
1.一種無線局域網用戶實現接入認證的方法��,其特征在于���,收到接入認證請求的AAA服務器向歸屬用戶信息服務器請求獲取當前發(fā)送請求的WLAN用戶終端的用戶信息時���,該方法包括a.歸屬用戶信息服務器收到請求后,判斷自身是否存在當前發(fā)送請求的WLAN用戶終端的AAA登記���,如果沒有����,則向當前發(fā)送請求的AAA服務器返回用戶數據����;如果有�,再判斷已存在的AAA標識與當前發(fā)送請求的AAA服務器標識是否相同����,如果相同,則向當前發(fā)送請求的AAA服務器返回用戶數據�,否則,執(zhí)行步驟b��;b.歸屬用戶信息服務器確定一個AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證�����,并對當前發(fā)送請求的WLAN用戶對應的其它AAA服務器發(fā)起清除該用戶相關信息及連接的處理�����。
2.根據權利要求1所述的方法�,其特征在于,步驟b中歸屬用戶信息服務器確定由已登記的AAA服務器完成接入認證��,則步驟b進一步包括歸屬用戶信息服務器將已登記AAA服務器的地址發(fā)送給當前發(fā)送請求的AAA服務器���;當前發(fā)送請求的AAA服務器根據收到地址將認證請求信令轉發(fā)給已登記的AAA服務器,由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證��。
3.根據權利要求2所述的方法,其特征在于�,執(zhí)行步驟b之前,該方法進一步包括歸屬用戶信息服務器與已登記的AAA服務器定期進行聯系�����,或者歸屬用戶信息服務器在向當前發(fā)送請求的AAA服務器返回地址前��,先與已登記的AAA服務器進行協(xié)商�。
4.根據權利要求2所述的方法,其特征在于��,所述由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證進一步包括當前發(fā)送請求的AAA服務器作為代理或中繼設備��,轉發(fā)當前發(fā)送請求的WLAN用戶終端與已登記的AAA服務器之間的所有信令����。
5.根據權利要求2所述的方法,其特征在于���,當前發(fā)送請求的AAA服務器從其下游節(jié)點接收到當前發(fā)送請求的WLAN用戶終端的接入認證��,則所述由已登記的AAA服務器完成對當前發(fā)送請求的WLAN用戶終端的接入認證進一步包括當前發(fā)送請求的AAA服務器通知其下游節(jié)點認證交互終點為已登記的AAA服務器���,下游節(jié)點重新發(fā)起到已登記的AAA服務器的接入認證�����。
6.根據權利要求1所述的方法�,其特征在于�����,步驟b中歸屬用戶信息服務器確定由當前發(fā)送請求的AAA服務器完成接入認證����,則步驟b進一步包括當前發(fā)送請求的AAA服務器對當前發(fā)送請求的WLAN用戶終端進行接入認證,并在認證成功后到歸屬用戶信息服務器中進行登記請求�,歸屬用戶信息服務器指示已登記的AAA服務器刪除其用戶信息和用戶的WLAN連接,并刪除自身中已登記的AAA服務器的登記信息���,然后將當前發(fā)送請求的AAA服務器的信息進行登記����。
7.根據權利要求1所述的方法��,其特征在于��,所述的用戶信息為當前WLAN用戶的簽約信息���、或當前WLAN用戶的鑒權信息��、或兩者的組合����。
8.根據權利要求1至7任一項所述的方法�����,其特征在于�����,所述的歸屬用戶信息服務器為HSS����、或為HLR與鑒權中心AuC的組合。
全文摘要
本發(fā)明公開了一種無線局域網用戶實現接入認證的方法�,當前接入網絡的WLAN用戶終端與WLAN網絡建立無線連接后,向AAA服務器發(fā)送接入認證請求�����;收到WLAN用戶終端接入認證請求的AAA服務器向歸屬用戶信息服務器要求獲取用戶信息時,如果歸屬用戶信息服務器根據登記的AAA標識判斷出當前WLAN用戶終端采用不同的AAA服務器進行接入認證��,那么�,歸屬用戶信息服務器就確定一個AAA服務器完成對當前WLAN用戶終端的接入認證,同時刪除其它AAA服務器在自身的登記數據及其與WLAN的連接���。采用該方法能避免同一WLAN用戶從多個AAA服務器接入認證�����,從而保證用戶數據不分散���,且實現簡單、方便�、靈活。
文檔編號H04L29/06GK1645793SQ20041004914
公開日2005年7月27日 申請日期2004年6月24日 優(yōu)先權日2004年6月24日
發(fā)明者張文林 申請人:華為技術有限公司