專利名稱:一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)的鑒權(quán)技術(shù),特別是指一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法。
背景技術(shù):
CDMA是一種先進(jìn)的數(shù)字蜂窩移動(dòng)通信技術(shù),是國(guó)際電聯(lián)(ITU)接受的最重要的3G無(wú)線傳輸技術(shù)(RTT)之一,自1990年由美國(guó)高通公司首次發(fā)布標(biāo)準(zhǔn)以來(lái),已經(jīng)歷了IS95、CDMA2000 1x兩個(gè)重要階段。
如圖1所示,CDMA2000 1x網(wǎng)絡(luò)結(jié)構(gòu)包括移動(dòng)臺(tái)(MS)、基站收發(fā)信機(jī)(BTS)、基站控制器(BSC)、分組控制功能(PCF)、分組數(shù)據(jù)業(yè)務(wù)服務(wù)接點(diǎn)(PDSN)、業(yè)務(wù)認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)和IS-41核心網(wǎng)。其中,IS-41核心網(wǎng)包括移動(dòng)交換中心(MSC)、訪問(wèn)位置寄存器(VLR)、歸屬位置寄存器(HLR)。
CDMA IS95和CDMA 2000 1x網(wǎng)絡(luò)中的用戶認(rèn)證,是通過(guò)MSC/VLR和HLR/AC共同完成。并且,共享秘密數(shù)據(jù)(SSD)作為認(rèn)證輸入?yún)?shù)之一保存在終端和HLR/AC中,在終端和HLR/AC中保存相同的密碼(A-key),專用于更新SSD。當(dāng)需要認(rèn)證時(shí),以SSD、隨機(jī)數(shù)、電子串號(hào)(ESN)、移動(dòng)臺(tái)識(shí)別號(hào)(MIN)等參數(shù)通過(guò)蜂窩認(rèn)證和語(yǔ)音加密(CAVE)算法計(jì)算出認(rèn)證結(jié)果,并由MSC/VLR或HLR/AC比較認(rèn)證結(jié)果是否一致,如果不一致,系統(tǒng)將會(huì)發(fā)起SSD更新,在SSD更新成功之后,即終端側(cè)和網(wǎng)絡(luò)側(cè)的SSD保持一致,下次接入時(shí),用戶終端使用SSD計(jì)算出的認(rèn)證結(jié)果應(yīng)與HLR/AC中計(jì)算出來(lái)的認(rèn)證結(jié)果一致,認(rèn)證才能成功。
CDMA2000 HRPD(CDMA2000 1xEV-DO),簡(jiǎn)稱HRPD,是CDMA20001x技術(shù)的升級(jí),提供高速分組數(shù)據(jù)業(yè)務(wù),單用戶下行最高速率達(dá)2.4Mbps。
如圖2所示,HRPD網(wǎng)絡(luò)階段1的組網(wǎng)結(jié)構(gòu)包括接入終端(AT)、接入網(wǎng)絡(luò)(AN)、AN AAA、PCF、PDSN、AAA。HRPD網(wǎng)絡(luò)主要是利用ANAAA進(jìn)行用戶認(rèn)證。在認(rèn)證成功后,AN AAA向AT返回該終端的國(guó)際移動(dòng)用戶識(shí)別(IMSI)信號(hào),用于以后進(jìn)行切換、計(jì)費(fèi)等過(guò)程。在HRPD認(rèn)證過(guò)程中,使用BSC/PCF與AN AAA的接口-A12接口,該接口使用遠(yuǎn)端接入撥號(hào)用戶服務(wù)協(xié)議(RADIUS),其認(rèn)證機(jī)制主要有口令認(rèn)證協(xié)議(PAP)和查詢-握手認(rèn)證協(xié)議(CHAP),由于CHAP協(xié)議的保密性相對(duì)好一些,所以使用CHAP協(xié)議進(jìn)行認(rèn)證更加廣泛。
CHAP采用了基于私有密鑰的消息摘要(MD-Message Digest)身份認(rèn)證算法。參見(jiàn)圖3所示,以CHAP協(xié)議為例,RADIUS協(xié)議進(jìn)行認(rèn)證的過(guò)程具體如下步驟301用戶終端與網(wǎng)絡(luò)側(cè)通過(guò)PPP/LCP協(xié)商,確認(rèn)使用CHAP協(xié)議進(jìn)行認(rèn)證;步驟302AN向終端發(fā)出認(rèn)證查詢(Challenge)消息發(fā)起認(rèn)證,該消息中包含有AN產(chǎn)生的隨機(jī)數(shù);步驟303終端通過(guò)CHAP規(guī)定的加密算法由隨機(jī)數(shù)計(jì)算出摘要,然后通過(guò)回應(yīng)(Response)消息將用戶名和摘要發(fā)送給AN;步驟304AN在A12接口用RADIUS協(xié)議的接入請(qǐng)求(Access Request)消息承載用戶名、隨機(jī)數(shù)和摘要發(fā)送給AN AAA;步驟305AN AAA用同樣的算法由隨機(jī)數(shù)計(jì)算出摘要,比較這個(gè)摘要與終端發(fā)送上來(lái)的是否一致,若一致,則認(rèn)證成功,AN AAA發(fā)送AccessAccept消息給AN,否則,認(rèn)證失?。徊襟E306AN發(fā)送Success消息給終端,通知用戶終端認(rèn)證成功。
從上面過(guò)程可以看出,現(xiàn)有技術(shù)對(duì)HRPD網(wǎng)絡(luò)用戶進(jìn)行認(rèn)證時(shí),需要使用AN AAA,并且其認(rèn)證過(guò)程為單向方式。
目前,隨著市場(chǎng)經(jīng)濟(jì)以及科學(xué)技術(shù)的發(fā)展,越來(lái)越多的運(yùn)營(yíng)商需要同時(shí)經(jīng)營(yíng)多種網(wǎng)絡(luò)。比如,具有IS95/CDMA2000 1x網(wǎng)絡(luò)的運(yùn)營(yíng)商還想繼續(xù)將自己的業(yè)務(wù)擴(kuò)展到CDMA2000 1xDO網(wǎng)絡(luò),而在CDMA2000 1xDO網(wǎng)絡(luò)中,進(jìn)行認(rèn)證要建立專門的AN AAA進(jìn)行認(rèn)證。這種認(rèn)證方式,對(duì)于同時(shí)擁有多種CDMA網(wǎng)絡(luò)的用戶,需要在HLR和AN AAA兩個(gè)地方開(kāi)戶,認(rèn)證方式不統(tǒng)一,維護(hù)不方便,不利于統(tǒng)一運(yùn)營(yíng);而且,還需要再組建AN AAA的全國(guó)專用網(wǎng)絡(luò)進(jìn)行HRPD用戶認(rèn)證,建網(wǎng)成本高;認(rèn)證方式為網(wǎng)絡(luò)對(duì)用戶的單項(xiàng)認(rèn)證,認(rèn)證不安全。
無(wú)線局域網(wǎng)(WLAN,Wireless Local Area Network)作為一種高速的無(wú)線數(shù)據(jù)接入技術(shù)受到人們?cè)絹?lái)越多的關(guān)注。無(wú)線局域網(wǎng)包括多種不同技術(shù),目前應(yīng)用較為廣泛的一個(gè)技術(shù)標(biāo)準(zhǔn)是IEEE 802.11b,它采用2.4GHz頻段,最高數(shù)據(jù)傳輸速率可達(dá)11Mbps,使用該頻段的還有IEEE 802.11g和藍(lán)牙(Bluetooth)技術(shù),其中,802.11g最高數(shù)據(jù)傳輸速率可達(dá)54Mbps。其它新技術(shù)諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達(dá)到54Mbps。
WLAN網(wǎng)絡(luò)主要用于傳輸因特網(wǎng)協(xié)議(IP)分組數(shù)據(jù)包,即通過(guò)接入點(diǎn)(AP)完成用戶終端的無(wú)線接入,然后通過(guò)網(wǎng)絡(luò)控制器和連接設(shè)備完成IP包的傳輸。
隨著WLAN技術(shù)的興起和發(fā)展,WLAN與各種無(wú)線移動(dòng)通信網(wǎng),諸如GSM、碼分多址(CDMA)系統(tǒng)、寬帶碼分多址(WCDMA)系統(tǒng)、時(shí)分雙工-同步碼分多址(TD-SCDMA)系統(tǒng)、CDMA2000系統(tǒng)的互通正成為當(dāng)前研究的重點(diǎn)。在第三代合作伙伴計(jì)劃2(3GPP2)標(biāo)準(zhǔn)化組織中,目前正在進(jìn)行WLAN用戶接入3GPP2網(wǎng)絡(luò)的工作。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法,使其簡(jiǎn)單,維護(hù)方便。
本發(fā)明提供的一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法包括A.與接入網(wǎng)絡(luò)建立物理連接的用戶終端將自身用戶標(biāo)識(shí)模塊中保存的用戶信息作為用戶身份標(biāo)識(shí),網(wǎng)絡(luò)采用基于用戶標(biāo)識(shí)模塊認(rèn)證機(jī)制對(duì)用戶進(jìn)行認(rèn)證;B.認(rèn)證實(shí)體根據(jù)所述用戶身份標(biāo)識(shí),產(chǎn)生含有對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)以及根據(jù)網(wǎng)絡(luò)側(cè)保存的共享秘密數(shù)據(jù)計(jì)算出的第二隨機(jī)數(shù)所對(duì)應(yīng)的第二鑒權(quán)數(shù);C.所述用戶終端根據(jù)第二隨機(jī)數(shù)和自身保存的共享秘密數(shù)據(jù)進(jìn)行計(jì)算,得出第一鑒權(quán)數(shù),認(rèn)證實(shí)體將第一鑒權(quán)數(shù)與第二鑒權(quán)數(shù)進(jìn)行比較,如果相同,則認(rèn)證實(shí)體對(duì)用戶終端認(rèn)證成功,否則,認(rèn)證失敗。
所述認(rèn)證實(shí)體是預(yù)先設(shè)置的認(rèn)證服務(wù)器,或無(wú)線移動(dòng)通信系統(tǒng)中的鑒權(quán)中心。
所述第二隨機(jī)數(shù)是從無(wú)線移動(dòng)通信系統(tǒng)中的鑒權(quán)中心中獲取,并且所述共享秘密數(shù)據(jù)保存在網(wǎng)絡(luò)側(cè)的歸屬位置寄存器/AC。
所述第二隨機(jī)數(shù)是從預(yù)先設(shè)置的認(rèn)證服務(wù)器中獲取,并且所述共享秘密數(shù)據(jù)保存在網(wǎng)絡(luò)側(cè)的歸屬位置寄存器/AuC,或認(rèn)證服務(wù)器中。
在步驟C認(rèn)證失敗后,進(jìn)一步包括認(rèn)證實(shí)體將認(rèn)證結(jié)果通知?dú)w屬位置寄存器,歸屬位置寄存器判斷本次認(rèn)證是否是首次認(rèn)證,如果是首次認(rèn)證,則更新共享秘密數(shù)據(jù),然后執(zhí)行步驟C,否則,認(rèn)證失敗。
在步驟C認(rèn)證失敗后,進(jìn)一步包括更新共享秘密數(shù)據(jù),然后再執(zhí)行步驟C。
步驟D中更新SSD的過(guò)程包括D1、歸屬位置寄存器收到認(rèn)證實(shí)體的認(rèn)證失敗通知后,產(chǎn)生共享秘密數(shù)據(jù)更新隨機(jī)數(shù),并且計(jì)算出共享秘密數(shù)據(jù)更新隨機(jī)數(shù)對(duì)應(yīng)的鑒權(quán)數(shù);D2、用戶終端根據(jù)所述SSD更新隨機(jī)數(shù)利用系統(tǒng)原來(lái)SSD生成算法重新計(jì)算自身的SSD,然后用戶終端再根據(jù)該SSD計(jì)算出與SSD更新隨機(jī)數(shù)對(duì)應(yīng)的鑒權(quán)數(shù);比較用戶終端計(jì)算出的鑒權(quán)數(shù)與歸屬位置寄存器中計(jì)算出的鑒權(quán)數(shù)是否一致,如果一致,則更新用戶終端側(cè)的SSD,否則,SSD更新失敗。
步驟D2中所述自身的SSD是根據(jù)所述SSD更新隨機(jī)數(shù)、電子串號(hào)、密碼計(jì)算。
所述步驟A包括A1、無(wú)線局域網(wǎng)向用戶終端發(fā)出認(rèn)證請(qǐng)求;A2、用戶終端收到該認(rèn)證請(qǐng)求后,讀取用戶標(biāo)識(shí)模塊中保存的用戶信息,并將該用戶信息作為自己的用戶身份標(biāo)識(shí),然后將所述用戶身份標(biāo)識(shí)通過(guò)無(wú)線局域網(wǎng)發(fā)送至認(rèn)證實(shí)體。
所述無(wú)線局域網(wǎng)通過(guò)EAP協(xié)議或CHAP協(xié)議與用戶終端進(jìn)行通信。
當(dāng)認(rèn)證請(qǐng)求通過(guò)EAP協(xié)議發(fā)送的,無(wú)線局域網(wǎng)向用戶終端發(fā)送EAP-Request/Identity消息;所述用戶終端通過(guò)EAP-Response/Identity報(bào)文將用戶身份標(biāo)識(shí)發(fā)送給無(wú)線局域網(wǎng),無(wú)線局域網(wǎng)收到該報(bào)文后,再通過(guò)Radius協(xié)議里的Access-Request報(bào)文發(fā)送至U-AAA,向U-AAA發(fā)起認(rèn)證請(qǐng)求。
所述步驟B進(jìn)一步包括U-AAA將獲取到對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)通過(guò)無(wú)線局域網(wǎng)發(fā)送至用戶終端。
所述步驟B進(jìn)一步包括B1、認(rèn)證實(shí)體將所述對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)封裝在EAP-Request/UIM/Challenge報(bào)文中,然后通過(guò)Access-Challenge報(bào)文發(fā)送給無(wú)線局域網(wǎng);B2、當(dāng)無(wú)線局域網(wǎng)收到認(rèn)證實(shí)體發(fā)送過(guò)來(lái)的Access-Challenge報(bào)文后,從Access-Challenge報(bào)文剝離出EAP-Request/UIM/Challenge,并且將剝離出的該報(bào)文發(fā)送至用戶終端。
所述步驟C進(jìn)一步包括在用戶終端計(jì)算得出第一鑒權(quán)數(shù)后,用戶終端將計(jì)算出的第一鑒權(quán)數(shù)通過(guò)無(wú)線局域網(wǎng)發(fā)送至認(rèn)證實(shí)體。
所述步驟C還進(jìn)一步包括C1、用戶終端將第一鑒權(quán)數(shù)通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送給無(wú)線局域網(wǎng);C2、無(wú)線局域網(wǎng)將收到的EAP-Response/UIM/Challeng報(bào)文封裝在Radius協(xié)議的接入請(qǐng)求(Access-Request)報(bào)文中,并將封裝好的Access-Request報(bào)文發(fā)送至認(rèn)證實(shí)體。
在執(zhí)行步驟C的同時(shí)步驟C中進(jìn)一步包括認(rèn)證實(shí)體通過(guò)無(wú)限局域網(wǎng)通知用戶終端認(rèn)證成功/失敗。
所述第一鑒權(quán)數(shù)是用戶終端根據(jù)所述第二隨機(jī)數(shù)和用戶標(biāo)識(shí)模塊自身保存的密碼計(jì)算得出。
所述認(rèn)證實(shí)體與歸屬位置寄存器之間通過(guò)ANSI-41D協(xié)議進(jìn)行通信。
從上述方法中可以看出,本發(fā)明具有如下優(yōu)點(diǎn)和特點(diǎn)1、IS95/CDMA2000 1x和HRPD統(tǒng)一認(rèn)證,用戶不需手工輸入用戶名和密碼,使用方便;而且由于用戶的IS95/CDMA2000 1x業(yè)務(wù)和HRPD業(yè)務(wù)通過(guò)IMSI統(tǒng)一在HLR開(kāi)戶,統(tǒng)一標(biāo)識(shí),統(tǒng)一認(rèn)證,運(yùn)營(yíng)商操作方便;2、利用已有的CDMA IS-41核心網(wǎng)支持全國(guó)漫游,不需要再組建ANAAA的全國(guó)專用網(wǎng)絡(luò),節(jié)省了投資成本;3、利用EAP-UIM協(xié)議,AT也可以對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證,這樣可以提供相互認(rèn)證,即網(wǎng)絡(luò)對(duì)終端的認(rèn)證、終端對(duì)網(wǎng)絡(luò)的認(rèn)證,安全性高;4、由于HRPD用戶可以繼續(xù)使用IS95/CDMA2000 1x用戶以前的UIM卡,所以有利于IS95/CDMA2000 1x用戶向HRPD用戶遷移。
圖1為IS95/CDMA2000 1x系統(tǒng)的組網(wǎng)示意圖;圖2為HRPD網(wǎng)絡(luò)組網(wǎng)示意圖;圖3為現(xiàn)有技術(shù)中HRPD進(jìn)行認(rèn)證的流程示意圖;圖4為實(shí)現(xiàn)本發(fā)明的組網(wǎng)結(jié)構(gòu)示意圖;圖5為實(shí)現(xiàn)本發(fā)明具體實(shí)施例一首次開(kāi)機(jī)進(jìn)行認(rèn)證的流程示意圖;圖6為實(shí)現(xiàn)本發(fā)明實(shí)施例一的二次開(kāi)機(jī)進(jìn)行認(rèn)證的具體實(shí)施例流程示意圖。
圖7為實(shí)現(xiàn)本發(fā)明具體實(shí)施例二首次開(kāi)機(jī)進(jìn)行認(rèn)證的流程示意圖;圖8的首次開(kāi)機(jī)進(jìn)行認(rèn)證的具體實(shí)施例流程示意圖,由8A、8B組成;圖9為本發(fā)明中的用戶終端與接入網(wǎng)絡(luò)之間通過(guò)CHAP協(xié)議進(jìn)行通信的實(shí)例流程圖。
具體實(shí)施例方式
本發(fā)明的核心內(nèi)容是與無(wú)線局域網(wǎng)已建立物理連接的用戶終端將自身用戶標(biāo)識(shí)模塊中保存的用戶信息作為用戶身份標(biāo)識(shí),開(kāi)始與基于用戶標(biāo)識(shí)模塊的認(rèn)證實(shí)體間的認(rèn)證;認(rèn)證實(shí)體根據(jù)該用戶終端的用戶身份標(biāo)識(shí),獲取含有對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)以及根據(jù)網(wǎng)絡(luò)側(cè)保存的共享秘密數(shù)據(jù)所計(jì)算出的第二隨機(jī)數(shù)所對(duì)應(yīng)的第二鑒權(quán)數(shù);用戶終端根據(jù)第二隨機(jī)數(shù)和自身保存的共享秘密數(shù)據(jù)進(jìn)行計(jì)算,得出第一鑒權(quán)數(shù),認(rèn)證服務(wù)器將第一鑒權(quán)數(shù)與第二鑒權(quán)數(shù)進(jìn)行比較,如果相同,則認(rèn)證服務(wù)器對(duì)用戶終端認(rèn)證成功,否則,認(rèn)證失敗。
這里,認(rèn)證實(shí)體可以為預(yù)先設(shè)置的認(rèn)證服務(wù)器也可以是原來(lái)的鑒權(quán)中心。認(rèn)證服務(wù)器與HLR之間可以通過(guò)ANSI-41D協(xié)議進(jìn)行通信。第二隨機(jī)數(shù)可以是網(wǎng)絡(luò)側(cè)的任何實(shí)體產(chǎn)生,比如HLR/AuC、AAA等。并且SSD保存在網(wǎng)絡(luò)側(cè)的HLR/AuC,也可以保存在認(rèn)證服務(wù)器中。當(dāng)由HLR/AuC產(chǎn)生第二隨機(jī)數(shù)時(shí),第二鑒權(quán)數(shù)可以直接從HLR/AuC中獲取得到。當(dāng)由AAA產(chǎn)生第二隨機(jī)數(shù)時(shí),第二鑒權(quán)數(shù)可以根據(jù)用戶身份標(biāo)識(shí)和第一隨機(jī)數(shù)從歸屬位置寄存器中獲取。AT與AN之間可以通過(guò)CHAP協(xié)議進(jìn)行通信,也可以通過(guò)EAP協(xié)議進(jìn)行通信,也可以采用CDMA2000原有的空中接口消息進(jìn)行通信。
以下參見(jiàn)附圖和具體實(shí)施例詳細(xì)說(shuō)明本發(fā)明的技術(shù)方案。
參見(jiàn)圖4所示,實(shí)現(xiàn)本發(fā)明方法的組網(wǎng)結(jié)構(gòu)包括AT、AN、基于用戶標(biāo)識(shí)模塊的認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(U-AAA)、PCF、PDSN、AAA、HLR。這里,AN提供終端和分組交換數(shù)據(jù)網(wǎng)之間的數(shù)據(jù)連接,相當(dāng)于CDMA20001x中的BTS和BSC,當(dāng)然也相當(dāng)于WLAN;并且U-AAA是預(yù)先設(shè)置的,專門進(jìn)行認(rèn)證、計(jì)費(fèi)的服務(wù)器。
這里所用的網(wǎng)元,如BTS、PCF、PDSN、HLR無(wú)需改動(dòng);用戶終端要求為HRPD終端或支持HRPD的混合終端,如HRPD/GSM、HRPD/CDMA2000 1x、HRPD/無(wú)線局域網(wǎng)(WLAN)等,并且終端硬件上要支持讀UIM卡或者提供外接讀卡器,支持EAP-UIM協(xié)議,支持通過(guò)GSMHLR或CDMA HLR進(jìn)行的認(rèn)證;AN要求在空口和A12接口支持EAP-UIM認(rèn)證協(xié)議,其中空口是EAP-UIM over PPP,A12接口是EAP-UIM overRADIUS。AAA可以取消,計(jì)費(fèi)功能由預(yù)先設(shè)置的U-AAA實(shí)現(xiàn)。U-AAA網(wǎng)元取代了AN AAA,主要要求支持CDMA的IS41協(xié)議,并且能夠支持EAP-UIM over RADIUS認(rèn)證協(xié)議。另外,HLR、AC物理上一般位于同一實(shí)體,以下統(tǒng)一簡(jiǎn)稱為HLR。
需要說(shuō)明的是,首次開(kāi)機(jī)使用時(shí)的認(rèn)證過(guò)程包括首次認(rèn)證,SSD更新、二次認(rèn)證共三個(gè)部分。AT第一次開(kāi)機(jī)進(jìn)行的認(rèn)證為首次認(rèn)證,而且,在AT第一次開(kāi)機(jī)時(shí),由于系統(tǒng)側(cè)和AT側(cè)保存的SSD不一致,所以AT首次認(rèn)證總是失敗的。因此,在首次認(rèn)證失敗后,要進(jìn)行SSD更新,即通過(guò)EAP-REQUEST/UIM/Update消息下發(fā)RANDSSD,在AT和HLR中通過(guò)RANDSSD、ESN、A-key經(jīng)過(guò)相同的SSD生成算法,計(jì)算出新SSD。由于AT和HLR側(cè)的上述信息相同,算法相同,所以輸出的SSD也相同。在SSD進(jìn)行更新之后,進(jìn)行二次認(rèn)證。此時(shí),由于確保了AT和HLR側(cè)的SSD相同,在正常情況下,二次認(rèn)證將會(huì)成功。對(duì)于再次開(kāi)機(jī)的用戶,系統(tǒng)側(cè)和AT側(cè)的SSD相同,以后無(wú)須經(jīng)過(guò)SSD更新和二次認(rèn)證,一次認(rèn)證即可成功。
參見(jiàn)圖9所示,以CHAP協(xié)議為例說(shuō)明用戶終端與接入網(wǎng)絡(luò)之間的通信。其具體過(guò)程如下(a)AT和AN之間建立HRPD會(huì)話,AT做好在接入流上交換數(shù)據(jù)的準(zhǔn)備。
(b)AT和AN為接入鑒權(quán)發(fā)起PPP和LCP協(xié)商。
(c)AN發(fā)起一個(gè)Random Challenge,通過(guò)CHAP Challenge消息發(fā)送給AT。
(d)AT執(zhí)行CAVE-based鑒權(quán),并且發(fā)送CHAP Response消息。
(e)AN向U-AAA發(fā)送A12-Access Request消息。
(f)U-AAA根據(jù)A12-Access Request消息內(nèi)容構(gòu)造Authentication RequestINVOKE消息,并發(fā)送給HLR/AC。
(g)HLR/AC執(zhí)行CAVE-based鑒權(quán)。如果鑒權(quán)通過(guò),HLR/AC將向U-AAA發(fā)送Authentication Request Return Result消息,并包含SharedSecretData(SSD)參數(shù)。
(h)U-AAA存儲(chǔ)由HLR/AC分配的SSD。
(i)U-AAA向AN發(fā)送A12-Access Accept消息。
(j)AN向AT返回CHAP Authentication Success的指示。
(k)AT和AN接著執(zhí)行后續(xù)的處理過(guò)程。
下面結(jié)合附圖和具體實(shí)施例一詳細(xì)說(shuō)明本發(fā)明的技術(shù)方案。
參見(jiàn)圖5所示,當(dāng)用戶終端處于非首次開(kāi)機(jī)狀態(tài),實(shí)現(xiàn)鑒權(quán)的具體過(guò)程如下步驟501WLAN MS和WLAN之間建立物理連接;
步驟502WLAN MS向網(wǎng)絡(luò)發(fā)起認(rèn)證請(qǐng)求(即WLAN MS向網(wǎng)絡(luò)發(fā)送EAPoL-Start報(bào)文)。
步驟503WLAN向WLAN MS發(fā)送請(qǐng)求用戶名(EAP-Request/Identity)報(bào)文,開(kāi)始進(jìn)行認(rèn)證,要求WLAN MS將用戶身份標(biāo)識(shí)送上來(lái);步驟504WLAN MS收到EAP-Request/Identity報(bào)文后,通過(guò)相應(yīng)的接口,將UIM卡中保存的信息讀取出來(lái),作為自己的用戶身份標(biāo)識(shí),通過(guò)響應(yīng)用戶名(EAP-Response/Identity)報(bào)文發(fā)送給WLAN;步驟505WLAN收到EAP-Response/Identity報(bào)文后,通過(guò)Radius協(xié)議里的接入請(qǐng)求(Access-Request)報(bào)文向U-AAA發(fā)起認(rèn)證請(qǐng)求,接入請(qǐng)求報(bào)文里封裝了EAP-Response/Identity報(bào)文;步驟506U-AAA在接收到WLAN發(fā)送過(guò)來(lái)的Access-Request報(bào)文后,取出其中攜帶的用戶身份標(biāo)識(shí),然后根據(jù)自身的相關(guān)配置信息判斷該用戶標(biāo)識(shí)類型,如果是UIM類型,則在接入查詢(Access-Challenge)報(bào)文中封裝請(qǐng)求EAP-UIM認(rèn)證開(kāi)始(EAP-Request/UIM/Start)報(bào)文,然后向WLAN發(fā)送,否則,不予處理;步驟507WLAN收到Access-Challenge報(bào)文后,剝離出其中的EAP-Request/UIM/Start報(bào)文,然后將剝離出的報(bào)文向WLAN MS發(fā)送;步驟508在WLAN MS收到WLAN發(fā)送的EAP-Request/UIM/Start報(bào)文后,向WLAN發(fā)送EAP-Response/UIM/Start報(bào)文,表示同意使用EAP-UIM認(rèn)證協(xié)議;步驟509WLAN接收到AT發(fā)出的EAP-Response/UIM/Start報(bào)文后,將EAP-Response/UIM/Start報(bào)文封裝在Access-Request消息里,然后將Access-Request消息向U-AAA發(fā)送;步驟510U-AAA接收到WLAN發(fā)送過(guò)來(lái)的Access-Request報(bào)文后,確定采用獨(dú)特查詢方式,即U-AAA產(chǎn)生對(duì)WLAN MS進(jìn)行認(rèn)證的隨機(jī)數(shù)(RANDU)-第二隨機(jī)數(shù),并且根據(jù)自身保存的SSD計(jì)算出該隨機(jī)數(shù)對(duì)應(yīng)的第二鑒權(quán)數(shù)(AUTHU2),從而形成一個(gè)鑒權(quán)集;步驟511U-AAA將RANDU封裝在EAP-Request/UIM/Challenge報(bào)文中,然后通過(guò)Access-Challenge報(bào)文發(fā)送給WLAN;步驟512當(dāng)WLAN收到U-AAA發(fā)送過(guò)來(lái)的Access-Challenge報(bào)文后,從Access-Challenge報(bào)文剝離出EAP-Request/UIM/Challenge,并且將剝離出的該報(bào)文發(fā)送至WLAN MS;步驟513當(dāng)WLAN MS收到EAP-Request/UIM/Challenge報(bào)文后,取出其中的RANDU,WLAN MS將RANDU傳給UIM卡,UIM卡根據(jù)RANDU和自身保存的密碼計(jì)算得出第一鑒權(quán)數(shù)(AUTHU1),并將計(jì)算出的AUTHU1傳送至WLAN MS;步驟514WLAN MS將AUTHU1通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送給WLAN;步驟515WLAN將收到的EAP-Response/UIM/Challeng報(bào)文封裝在Radius協(xié)議的接入請(qǐng)求(Access-Request)報(bào)文中,并將封裝好的Access-Request報(bào)文發(fā)送至U-AAA;步驟516U-AAA收到WLAN發(fā)送的Access-Request報(bào)文后,解析出其中的AUTHU1,并將AUTHU1與自身計(jì)算獲得的AUTHU2進(jìn)行比較。如果一致,則U-AAA對(duì)WLAN MS的認(rèn)證通過(guò),否則,認(rèn)證過(guò)程失敗。
步驟517U-AAA向WLAN發(fā)送含有EAP-Success報(bào)文的Access-Accept報(bào)文(認(rèn)證成功);或U-AAA向WLAN發(fā)送含有EAP-Failure報(bào)文的Access-Reject報(bào)文(認(rèn)證失敗);步驟518當(dāng)WLAN收到U-AAA發(fā)送的Access-Accept報(bào)文后,剝離出其中的EAP-Success報(bào)文,并將EAP-Success報(bào)文發(fā)送至WLAN MS,通知WLAN MS認(rèn)證成功;如果接收到Access-Reject報(bào)文后,剝離出其中的EAP-Failure報(bào)文,發(fā)送各WLAN MS,通知WLAN MS認(rèn)證失敗。
參見(jiàn)圖6所示,當(dāng)AT處于首次開(kāi)機(jī)狀態(tài),進(jìn)行鑒權(quán)的具體過(guò)程如下
步驟601~615同圖5的501-515步驟;步驟616U-AAA設(shè)備收到AUTHU1后與保存在本機(jī)中的AUTHU1進(jìn)行比較,如果一致,表示客戶端認(rèn)證通過(guò),否則,向HLR回應(yīng)認(rèn)證失敗的消息,HLR收到返回響應(yīng)后,隨機(jī)產(chǎn)生RANDSSD和RANDU兩個(gè)隨機(jī)數(shù),并且根據(jù)RANDU計(jì)算對(duì)應(yīng)的AUTHU,然后再將RANDSSD/RANDU/AUTHU發(fā)送至U-AAA,啟動(dòng)更新SSD的流程;步驟617U-AAA向WLAN發(fā)送Access-Challenge報(bào)文,里面含有攜帶RADNSSD隨機(jī)數(shù)的EAP-Request/UIM/Update報(bào)文;步驟618WLAN將EAP-Request/UIM/Update報(bào)文發(fā)送至WLAN MS;步驟619WLAN MS接受到WLAN發(fā)送過(guò)來(lái)的EAP-Request/UIM/Update報(bào)文后,解析出其中的RANDSSD,然后計(jì)算得出自己新SSD,并且,隨機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)RANDBS,根據(jù)新SSD計(jì)算出對(duì)應(yīng)的鑒權(quán)數(shù)AUTHBS,然后將RANDBS通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送至WLAN,開(kāi)始對(duì)U-AAA進(jìn)行認(rèn)證;步驟620WLAN以EAP Over RADIUS的報(bào)文格式將EAP-Response/UIM/Challenge發(fā)送給認(rèn)證服務(wù)器U-AAA;步驟621U-AAA收到EAP-Response/UIM/Challenge后,通過(guò)和HLR交互獲得基站查詢隨機(jī)數(shù)(RANDBS)及其對(duì)應(yīng)的結(jié)果(AUTHBS),這里,HLR隨機(jī)產(chǎn)生RANDBS,并且根據(jù)該隨機(jī)數(shù)和自身保存的SSD進(jìn)行計(jì)算得出AUTHBS;步驟622U-AAA向WLAN發(fā)送Access-Challenge報(bào)文,里面含有攜帶AUTHBS鑒權(quán)數(shù)的EAP-Request/UIM/Challenge報(bào)文;步驟623WLAN收到EAP-Request/UIM/Challenge報(bào)文后,將該報(bào)文發(fā)送至WLAN MS;步驟624WLAN MS接受到WLAN發(fā)送過(guò)來(lái)的EAP-Request/UIM/Challenge報(bào)文后,解析出其中的AUTHBS,然后比較解析出的AUTHBS與WLAN MS側(cè)自己計(jì)算的AUTHBS是否一致,如果一致,WLAN MS對(duì)U-AAA認(rèn)證通過(guò),然后發(fā)送EAP-Response/UIM/success報(bào)文至WLAN;步驟625WLAN收到該報(bào)文后,以Access-Request的報(bào)文格式將EAP-Response/UIM/success發(fā)送給認(rèn)證服務(wù)器U-AAA,并且?guī)舷嚓P(guān)的RADIUS的屬性,說(shuō)明SSD更新過(guò)程結(jié)束;步驟626~步驟634同圖5的510~518步驟。
下面結(jié)合附圖和具體實(shí)施例二詳細(xì)說(shuō)明本發(fā)明的技術(shù)方案。
參見(jiàn)圖7所示,本實(shí)施例采用全球認(rèn)證方式,對(duì)WLAN MS進(jìn)行認(rèn)證的過(guò)程如下步驟701WLAN MS和WLAN之間建立物理連接;步驟702WLAN MS向網(wǎng)絡(luò)請(qǐng)求進(jìn)行認(rèn)證(即WLAN MS向網(wǎng)絡(luò)發(fā)送EAPoL-Start報(bào)文)。
步驟703WLAN向WLAN MS發(fā)送請(qǐng)求用戶名(EAP-Request/Identity)報(bào)文,開(kāi)始進(jìn)行認(rèn)證,要求WLAN MS將用戶身份標(biāo)識(shí)送上來(lái);步驟704WLAN MS收到EAP-Request/Identity報(bào)文后,通過(guò)相應(yīng)的接口,將UIM卡中保存的信息讀取出來(lái),作為自己的用戶身份標(biāo)識(shí),通過(guò)響應(yīng)用戶名(EAP-Response/Identity)報(bào)文發(fā)送給WLAN;步驟705WLAN收到EAP-Response/Identity報(bào)文后,通過(guò)Radius協(xié)議里的接入請(qǐng)求(Access-Request)報(bào)文向U-AAA發(fā)起認(rèn)證請(qǐng)求,報(bào)文里封裝了EAP-Response/Identity報(bào)文;步驟706U-AAA在接收到WLAN發(fā)送過(guò)來(lái)的Access-Request報(bào)文后,取出其中攜帶的用戶標(biāo)識(shí);然后根據(jù)自身的相關(guān)配置信息判斷該用戶標(biāo)識(shí)類型,如果是UIM類型,則在接入查詢(Access-Challenge)報(bào)文中封裝請(qǐng)求EAP-UIM認(rèn)證開(kāi)始(EAP-Request/UIM/Start)報(bào)文,然后向WLAN發(fā)送,否則,不予處理;
步驟707WLAN收到Access-Challenge報(bào)文后,剝離出其中的EAP-Request/UIM/Start報(bào)文,然后將剝離出的報(bào)文向WLAN MS發(fā)送;步驟708在WLAN MS收到WLAN發(fā)送的EAP-Request/UIM/Start報(bào)文后,向WLAN發(fā)送EAP-Response/UIM/Start報(bào)文,表示同意使用EAP-UIM認(rèn)證協(xié)議;步驟709WLAN接收到WLAN MS發(fā)出的EAP-Response/UIM/Start報(bào)文后,將EAP-Response/UIM/Start報(bào)文封裝在Access-Request消息里,然后將Access-Request消息向U-AAA發(fā)送;步驟710U-AAA接收到WLAN發(fā)送過(guò)來(lái)的Access-Request報(bào)文后,確定采用全球認(rèn)證方式,即U-AAA產(chǎn)生對(duì)WLAN MS進(jìn)行認(rèn)證的隨機(jī)數(shù)(RAND)-第二隨機(jī)數(shù),并且根據(jù)自身保存的SSD計(jì)算出該隨機(jī)數(shù)對(duì)應(yīng)的第二鑒權(quán)數(shù)(AUTHR2),從而形成一個(gè)鑒權(quán)集,并且U-AAA利用一定的算法計(jì)算出相應(yīng)MAC地址;步驟711U-AAA將RAND和MAC封裝在EAP-Request/UIM/Challenge報(bào)文中,然后通過(guò)Access-Challenge報(bào)文發(fā)送給WLAN;步驟712當(dāng)WLAN收到U-AAA發(fā)送過(guò)來(lái)的Access-Challenge報(bào)文后,從Access-Challenge報(bào)文剝離出EAP-Request/UIM/Challenge,并且將剝離出的該報(bào)文發(fā)送至WLANMS;步驟713當(dāng)WLAN MS收到EAP-Request/UIM/Challenge報(bào)文后,取出其中的RAND,WLAN MS將RAND傳給UIM卡,UIM卡根據(jù)RAND和自身保存的密碼計(jì)算得出第一鑒權(quán)數(shù)(AUTHR1);并將計(jì)算出的AUTHR1傳送至WLAN MS;步驟714WLAN MS將AUTHR1、ESN、MIN、MAC以及RANDC,通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送給WLAN;步驟715WLAN將收到的EAP-Response/UIM/Challeng報(bào)文封裝在Radius協(xié)議的接入請(qǐng)求(Access-Request)報(bào)文中,并將封裝好的Access-Request報(bào)文發(fā)送至U-AAA;步驟716U-AAA收到WLAN發(fā)送的Access-Request報(bào)文后,根據(jù)其中的RANDC確定對(duì)應(yīng)RAND;然后U-AAA判斷是否已經(jīng)得到用戶的SSD,如果是,解析出其中的AUTHR1,接收到的AUTHR1與自身保存的是否該用戶終端的AUTHR2是否一致,如果一致,則U-AAA對(duì)WLAN MS的認(rèn)證通過(guò),否則,認(rèn)證過(guò)程失??;步驟717U-AAA向WLAN發(fā)送含有EAP-Success和MAC地址的報(bào)文的認(rèn)證成功(Access-Accept)報(bào)文;或U-AAA向WLAN發(fā)送含有EAP-Failure報(bào)文和MAC地址的認(rèn)證失敗(Access-Reject)報(bào)文;步驟718當(dāng)WLAN收到U-AAA發(fā)送的Access-Accept報(bào)文后,剝離出其中的EAP-Success報(bào)文,并將EAP-Success報(bào)文發(fā)送至WLAN MS,通知WLAN MS認(rèn)證成功;如果接收到Access-Reject報(bào)文后,剝離出其中的EAP-Failure報(bào)文,發(fā)送各WLAN MS,通知WLAN MS認(rèn)證失敗。當(dāng)WLANMS首先對(duì)MAC進(jìn)行校驗(yàn),只有當(dāng)接收到的MAC參數(shù)與本地計(jì)算得到的MAC一致時(shí),才確認(rèn)該EAP-request消息報(bào)文是正確的。
參見(jiàn)圖8所示,當(dāng)用戶終端處于首次開(kāi)機(jī)狀態(tài),進(jìn)行鑒權(quán)的具體過(guò)程如下步驟801~815同圖7的701-715步驟;步驟816U-AAA設(shè)備收到AUTHU1后與保存在本機(jī)中的AUTHU1進(jìn)行比較,如果一致,表示客戶端認(rèn)證通過(guò),否則,向HLR/AuC回應(yīng)認(rèn)證失敗的消息,HLR/AuC收到返回響應(yīng)后,隨機(jī)產(chǎn)生RANDSSD和RAND兩個(gè)隨機(jī)數(shù),并且根據(jù)RAND計(jì)算對(duì)應(yīng)的AUTH,然后再將RANDSSD/RAND/AUTH發(fā)送至U-AAA,啟動(dòng)更新SSD的流程;步驟817U-AAA向WLAN發(fā)送Access-Challenge報(bào)文,里面含有攜帶RADNSSD隨機(jī)數(shù)的EAP-Request/UIM/Update報(bào)文;步驟818WLAN將EAP-Request/UIM/Update報(bào)文發(fā)送至WLAN MS;
步驟819WLAN MS接受到WLAN發(fā)送過(guò)來(lái)的EAP-Request/UIM/Update報(bào)文后,解析出其中的RANDSSD,然后計(jì)算得出自己新SSD,并且,隨機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)RANDBS,根據(jù)新SSD計(jì)算出對(duì)應(yīng)的鑒權(quán)數(shù)AUTHBS,然后將RANDBS通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送至WLAN,開(kāi)始對(duì)U-AAA進(jìn)行認(rèn)證;步驟820WLAN以EAP Over RADIUS的報(bào)文格式將EAP-Response/UIM/Challenge發(fā)送給認(rèn)證服務(wù)器U-AAA;步驟821U-AAA收到EAP-Response/UIM/Challenge后,通過(guò)和HLR交互獲得基站查詢隨機(jī)數(shù)(RANDBS)及其對(duì)應(yīng)的結(jié)果(AUTHBS),這里,HLR隨機(jī)產(chǎn)生RANDBS,并且根據(jù)該隨機(jī)數(shù)和自身保存的SSD進(jìn)行計(jì)算得出AUTHBS;步驟822U-AAA向WLAN發(fā)送Access-Challenge報(bào)文,里面含有攜帶AUTHBS鑒權(quán)數(shù)的EAP-Request/UIM/Challenge報(bào)文;步驟821WLAN收到EAP-Request/UIM/Challenge報(bào)文后,將該報(bào)文發(fā)送至WLAN MS;步驟823WLAN MS接受到WLAN發(fā)送過(guò)來(lái)的EAP-Request/UIM/Challenge報(bào)文后,解析出其中的AUTHBS,然后比較解析出的AUTHBS與WLAN MS側(cè)自己計(jì)算的AUTHBS是否一致,如果一致,WLAN MS對(duì)U-AAA認(rèn)證通過(guò),然后發(fā)送EAP-Response/UIM/success報(bào)文至WLAN;步驟824WLAN收到該報(bào)文后,以Access-Request的報(bào)文格式將EAP-Response/UIM/success發(fā)送給認(rèn)證服務(wù)器U-AAA,并且?guī)舷嚓P(guān)的RADIUS的屬性,說(shuō)明SSD更新過(guò)程結(jié)束;步驟825~834與步驟710~718。
通過(guò)上述兩個(gè)實(shí)施例可以看出,當(dāng)用戶需要接入WLAN-3GPP2互通網(wǎng)絡(luò)時(shí),或者網(wǎng)絡(luò)需要對(duì)已經(jīng)認(rèn)證通過(guò)的WLAN用戶進(jìn)行重新認(rèn)證時(shí),啟動(dòng)本流程。
實(shí)施例一是唯一查詢流程,實(shí)施例二是全球認(rèn)證流程,二者在流程上基本相同,只是U-AAA對(duì)WLAN MS進(jìn)行認(rèn)證時(shí),產(chǎn)生的隨機(jī)數(shù)類型不同,且WLAN MS和U-AAA之間的認(rèn)證消息中攜帶的參數(shù)有所不同。
實(shí)施例一和實(shí)施例二的主要不同點(diǎn)(1)產(chǎn)生的隨機(jī)數(shù)類型不同。對(duì)于獨(dú)特查詢方式,U-AAA產(chǎn)生RANDU和AUTHU。對(duì)于全球認(rèn)證方式,U-AAA產(chǎn)生RAND和AUTHR。
(2)對(duì)于獨(dú)特查詢方式,當(dāng)-AAA將生成的RANDU發(fā)送給WLAN MS時(shí),WLAN MS通過(guò)CAVE算法,以RANDU、A-key、MIN和ESN作為輸入?yún)?shù),生成AUTHU;對(duì)于全球認(rèn)證,當(dāng)U-AAA將生成的RAND發(fā)送給WLAN MS時(shí),WLAN MS通過(guò)CAVE算法,以RAND,A-key,MIN,ESN作為輸入?yún)?shù),生成AUTHR。
(3)對(duì)于獨(dú)特查詢,WLAN MS在計(jì)算出AUTHU后,向U-AAA發(fā)送該參數(shù);對(duì)于全球認(rèn)證,WLAN MS在計(jì)算出AUTHR后,向U-AAA發(fā)送該參數(shù),并同時(shí)向U-AAA發(fā)送RANDC參數(shù),該參數(shù)根據(jù)RAND導(dǎo)出。
實(shí)施例一和實(shí)施例二的相同點(diǎn)(1)WLAN MS在計(jì)算出AUTHU或AUTHR后,向U-AAA發(fā)送響應(yīng)消息,響應(yīng)消息中均包括WLAN MS的ESN(電子序列號(hào))和MIN(移動(dòng)臺(tái)標(biāo)識(shí)號(hào))。
(2)WLAN MS在接收到U-AAA發(fā)送來(lái)的UIM認(rèn)證開(kāi)始消息(EAP-request/UIM/Start)后,WLAN MS內(nèi)部生成一隨機(jī)數(shù)AT_NONCE_MT,并將該隨機(jī)數(shù)通過(guò)消息EAP-response/UIM/Start發(fā)送給U-AAA,作為終端對(duì)網(wǎng)絡(luò)的認(rèn)證參數(shù)。
(3)U-AAA接收到WLAN MS發(fā)送來(lái)的AT_NONCE_MT后,通過(guò)算法計(jì)算響應(yīng)MAC,并將MAC通過(guò)隨后的EAP-request消息發(fā)送給WLANMS,WLAN MS首先對(duì)MAC進(jìn)行校驗(yàn),只有當(dāng)接收到的MAC參數(shù)與本地計(jì)算得到的MAC一致時(shí),才確認(rèn)該EAP-request消息報(bào)文是正確的。
總之,以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法,其特征在于,該方法包括以下步驟A.與接入網(wǎng)絡(luò)建立物理連接的用戶終端將自身用戶標(biāo)識(shí)模塊中保存的用戶信息作為用戶身份標(biāo)識(shí),網(wǎng)絡(luò)采用基于用戶標(biāo)識(shí)模塊認(rèn)證機(jī)制對(duì)用戶進(jìn)行認(rèn)證;B.認(rèn)證實(shí)體根據(jù)所述用戶身份標(biāo)識(shí),產(chǎn)生含有對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)以及根據(jù)網(wǎng)絡(luò)側(cè)保存的共享秘密數(shù)據(jù)計(jì)算出的第二隨機(jī)數(shù)所對(duì)應(yīng)的第二鑒權(quán)數(shù);C.所述用戶終端根據(jù)第二隨機(jī)數(shù)和自身保存的共享秘密數(shù)據(jù)進(jìn)行計(jì)算,得出第一鑒權(quán)數(shù),認(rèn)證實(shí)體將第一鑒權(quán)數(shù)與第二鑒權(quán)數(shù)進(jìn)行比較,如果相同,則認(rèn)證實(shí)體對(duì)用戶終端認(rèn)證成功,否則,認(rèn)證失敗。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證實(shí)體是預(yù)先設(shè)置的認(rèn)證服務(wù)器,或無(wú)線移動(dòng)通信系統(tǒng)中的鑒權(quán)中心。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第二隨機(jī)數(shù)是從無(wú)線移動(dòng)通信系統(tǒng)中的鑒權(quán)中心中獲取,并且所述共享秘密數(shù)據(jù)保存在網(wǎng)絡(luò)側(cè)的歸屬位置寄存器/AC。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第二隨機(jī)數(shù)是從預(yù)先設(shè)置的認(rèn)證服務(wù)器中獲取,并且所述共享秘密數(shù)據(jù)保存在網(wǎng)絡(luò)側(cè)的歸屬位置寄存器/AuC,或認(rèn)證服務(wù)器中。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,在步驟C認(rèn)證失敗后,進(jìn)一步包括認(rèn)證實(shí)體將認(rèn)證結(jié)果通知?dú)w屬位置寄存器,歸屬位置寄存器判斷本次認(rèn)證是否是首次認(rèn)證,如果是首次認(rèn)證,則更新共享秘密數(shù)據(jù),然后執(zhí)行步驟C,否則,認(rèn)證失敗。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,在步驟C認(rèn)證失敗后,進(jìn)一步包括更新共享秘密數(shù)據(jù),然后再執(zhí)行步驟C。
7.根據(jù)權(quán)利要求5或6所述的方法,其特征在于,步驟D中更新SSD的過(guò)程包括D1、歸屬位置寄存器收到認(rèn)證實(shí)體的認(rèn)證失敗通知后,產(chǎn)生共享秘密數(shù)據(jù)更新隨機(jī)數(shù),并且計(jì)算出共享秘密數(shù)據(jù)更新隨機(jī)數(shù)對(duì)應(yīng)的鑒權(quán)數(shù);D2、用戶終端根據(jù)所述SSD更新隨機(jī)數(shù)利用系統(tǒng)原來(lái)SSD生成算法重新計(jì)算自身的SSD,然后用戶終端再根據(jù)該SSD計(jì)算出與SSD更新隨機(jī)數(shù)對(duì)應(yīng)的鑒權(quán)數(shù);比較用戶終端計(jì)算出的鑒權(quán)數(shù)與歸屬位置寄存器中計(jì)算出的鑒權(quán)數(shù)是否一致,如果一致,則更新用戶終端側(cè)的SSD,否則,SSD更新失敗。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,步驟D2中所述自身的SSD是根據(jù)所述SSD更新隨機(jī)數(shù)、電子串號(hào)、密碼計(jì)算。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟A包括A1、無(wú)線局域網(wǎng)向用戶終端發(fā)出認(rèn)證請(qǐng)求;A2、用戶終端收到該認(rèn)證請(qǐng)求后,讀取用戶標(biāo)識(shí)模塊中保存的用戶信息,并將該用戶信息作為自己的用戶身份標(biāo)識(shí),然后將所述用戶身份標(biāo)識(shí)通過(guò)無(wú)線局域網(wǎng)發(fā)送至認(rèn)證實(shí)體。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于,所述無(wú)線局域網(wǎng)通過(guò)EAP協(xié)議或CHAP協(xié)議與用戶終端進(jìn)行通信。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于,當(dāng)認(rèn)證請(qǐng)求通過(guò)EAP協(xié)議發(fā)送的,無(wú)線局域網(wǎng)向用戶終端發(fā)送EAP-Request/Identity消息;所述用戶終端通過(guò)EAP-Response/Identity報(bào)文將用戶身份標(biāo)識(shí)發(fā)送給無(wú)線局域網(wǎng),無(wú)線局域網(wǎng)收到該報(bào)文后,再通過(guò)Radius協(xié)議里的Access-Request報(bào)文發(fā)送至U-AAA,向U-AAA發(fā)起認(rèn)證請(qǐng)求。
12.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟B進(jìn)一步包括U-AAA將獲取到對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)通過(guò)無(wú)線局域網(wǎng)發(fā)送至用戶終端。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于,所述步驟B進(jìn)一步包括B1、認(rèn)證實(shí)體將所述對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)封裝在EAP-Request/UIM/Challenge報(bào)文中,然后通過(guò)Access-Challenge報(bào)文發(fā)送給無(wú)線局域網(wǎng);B2、當(dāng)無(wú)線局域網(wǎng)收到認(rèn)證實(shí)體發(fā)送過(guò)來(lái)的Access-Challenge報(bào)文后,從Access-Challenge報(bào)文剝離出EAP-Request/UIM/Challenge,并且將剝離出的該報(bào)文發(fā)送至用戶終端。
14.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟C進(jìn)一步包括在用戶終端計(jì)算得出第一鑒權(quán)數(shù)后,用戶終端將計(jì)算出的第一鑒權(quán)數(shù)通過(guò)無(wú)線局域網(wǎng)發(fā)送至認(rèn)證實(shí)體。
15.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述步驟C還進(jìn)一步包括C1、用戶終端將第一鑒權(quán)數(shù)通過(guò)EAP-Response/UIM/Challenge報(bào)文發(fā)送給無(wú)線局域網(wǎng);C2、無(wú)線局域網(wǎng)將收到的EAP-Response/UIM/Challeng報(bào)文封裝在Radius協(xié)議的接入請(qǐng)求(Access-Request)報(bào)文中,并將封裝好的Access-Request報(bào)文發(fā)送至認(rèn)證實(shí)體。
16.根據(jù)權(quán)利要求1所述的方法,其特征在于,在執(zhí)行步驟C的同時(shí)步驟C中進(jìn)一步包括認(rèn)證實(shí)體通過(guò)無(wú)限局域網(wǎng)通知用戶終端認(rèn)證成功/失敗。
17.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一鑒權(quán)數(shù)是用戶終端根據(jù)所述第二隨機(jī)數(shù)和用戶標(biāo)識(shí)模塊自身保存的密碼計(jì)算得出。
18.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述認(rèn)證實(shí)體與歸屬位置寄存器之間通過(guò)ANSI-41D協(xié)議進(jìn)行通信。
全文摘要
本發(fā)明公開(kāi)了一種實(shí)現(xiàn)高速率分組數(shù)據(jù)業(yè)務(wù)認(rèn)證的方法,該方法包括與接入網(wǎng)絡(luò)建立物理連接的用戶終端將自身用戶標(biāo)識(shí)模塊中保存的用戶信息作為用戶身份標(biāo)識(shí),開(kāi)始與基于用戶標(biāo)識(shí)模塊的認(rèn)證實(shí)體間的認(rèn)證;認(rèn)證實(shí)體根據(jù)所述用戶身份標(biāo)識(shí),獲取含有對(duì)用戶終端進(jìn)行認(rèn)證的第二隨機(jī)數(shù)以及根據(jù)網(wǎng)絡(luò)側(cè)保存的共享秘密數(shù)據(jù)計(jì)算出的第二隨機(jī)數(shù)所對(duì)應(yīng)的第二鑒權(quán)數(shù);所述用戶終端根據(jù)第二隨機(jī)數(shù)和自身保存的共享秘密數(shù)據(jù)進(jìn)行計(jì)算,得出第一鑒權(quán)數(shù),認(rèn)證服務(wù)器將第一鑒權(quán)數(shù)與第二鑒權(quán)數(shù)進(jìn)行比較,如果相同,則認(rèn)證服務(wù)器對(duì)用戶終端認(rèn)證成功,否則,認(rèn)證失敗。該方法認(rèn)證安全、成本低、操作方便。
文檔編號(hào)H04L9/32GK1551561SQ200410007188
公開(kāi)日2004年12月1日 申請(qǐng)日期2004年3月2日 優(yōu)先權(quán)日2003年5月16日
發(fā)明者李卓, 郭士奎, 邵洋, 高江海, 陳殿福, 李志明, 吳衛(wèi)東, 卓 李 申請(qǐng)人:華為技術(shù)有限公司