CN101272297B - 一种WiMAX网络用户EAP认证方法 - Google Patents
一种WiMAX网络用户EAP认证方法 Download PDFInfo
- Publication number
- CN101272297B CN101272297B CN2007100892916A CN200710089291A CN101272297B CN 101272297 B CN101272297 B CN 101272297B CN 2007100892916 A CN2007100892916 A CN 2007100892916A CN 200710089291 A CN200710089291 A CN 200710089291A CN 101272297 B CN101272297 B CN 101272297B
- Authority
- CN
- China
- Prior art keywords
- eap
- authentication
- message
- user
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种WiMAX网络用户EAP认证方法,包括:终端通过物理层协议与ASN建立连接;用户通过该终端输入用户名和密码,ASN通过与EAP鉴权服务器之间通讯协议转发该用户对应终端接入请求;EAP鉴权服务器使用EAP-MD5算法进行该用户的认证和鉴权并在成功认证和鉴权后生成MSK封装于成功报文中;根据成功报文利用MSK生成空中秘钥,WiMAX网络与对应终端建立保密无线通讯;否则根据失败报文拒绝提供服务。这种方法扩展EAP-MD5算法在鉴权过程中生成MSK,能使EAP-MD5认证适用于WiMAX网络,从而可以降低终端和网络设备成本,有利于WiMAX网络的使用和推广。
Description
技术领域
本发明涉及全球微波接入互通WiMAX网络,具体涉及一种WiMAX网络用户EAP认证方法。
背景技术
全球微波接入互通技术World Interoperability for Microwave Access,简称WiMAX,同时是IEEE组织所制定的标准,所以也称为IEEE802.16;它是一项“无线宽带”技术,称之为无线城域网WMAN技术。
无线网络中数据加密是非常必须的,IEEE802.1x具体认证协议由扩展鉴权协议Extensible Authentication Protocol,简称EAP,方法决定。EAP体系结构非常灵活,在该协议框架下有多种鉴权认证方式,其中EAP-TTLS,EAP-SIM,EAP-AKA,PEAP等EAP方法支持双向鉴权、用户账号信息匿名传输、动态密钥协商管理等机制;而EAP-MD5等认证方式支持单向鉴权认证。
目前WiMAX的使用EAP协议来完成认证,但EAP本身不是一个认证机制,而是一个通用架构用来传输实际的认证协议。WiMAX的网络工作组Network Working Group,简称NWG,发布的技术协议要求,在终端UE和接入设备Access Service Network,简称ASN,之间按照802.16成功接入网络和初始化后,认证请求者UE向ASN发送一个EAPoL-Start报文,开始802.1x认证的开始。认证通过之后鉴权、授权及计费服务器,即AAA服务器,需要在鉴权过程中产生MSK,终端和媒体网关AGW使用MSK进行后续流程,生成后续秘钥,用于协商加密等方面,所以协议中规定的使用EAP-TLS、EAP-TTLS和EAP-AKA鉴权算法是支持MSK生成的。EAP-TTLS和EAP-TLS鉴权算法是需要公钥基础设施PublicKeyInfrastructure的,简称PKI,而EAP-AKA基于SIM卡的。这几种算法都是很复杂的算法,对于网络侧和终端都是需要一定的成本的,而目前最广泛使用的是EAP-MD5,其通过鉴权、授权及计费服务器提供简单的集中用户认证。在这种方式下,RADIUS服务器不需要证书或者安装在无线工作站中的其它安全信息。用户注册时,RADIUS服务器只是检查用户名和口令,如果匹配,就通知无线访问点允许该客户端访问网络服务。虽然EAP-MD5是一种单向认证机制,只能保证客户端到服务器的认证,并不保证服务器到客户端的认证,但是EAP-MD5认证机制简单和广泛的广泛程度,有利于WiMAX网络的推广。
但是由于无线通信网络非常重视数据保密性,而标准EAP-MD5算法不生成MSK,因此无法直接在WiMAX网络的认证和鉴权中使用。
发明内容
本发明需要解决的技术问题是提供一种WiMAX网络用户EAP认证方法,能够使EAP-MD5认证机制适用于在WiMAX网络的认证和鉴权中使用。
本发明的上述技术问题这样解决,提供一种WiMAX网络用户EAP认证方法,扩展EAP-MD5算法在鉴权过程中生成主会话密钥MSK,包括以下步骤:
1.1)终端通过物理层协议与WiMAX网络的接入设备ASN建立连接;
1.2)用户通过该终端输入用户名和密码,ASN通过与EAP鉴权服务器之间通讯协议转发该用户对应终端接入请求;
1.3)EAP鉴权服务器使用EAP-MD5算法进行该用户的认证和鉴权并在成功认证和鉴权后生成MSK封装于成功报文中;
1.4)WiMAX网络ASN中的接入服务网关AGW与对应终端根据所述成功报文利用其携带的MSK生成空中秘钥并建立保密无线通讯,WiMAX网络开始为该用户提供服务;否则拒绝为该用户提供服务。
按照本发明提供的EAP认证方法,所述生成MSK是根据MD5-Challenge、挑战握手认证协议CHAP-ID和共享密钥生成,编码到成功报文中,具体生成方法如下:
MSK=P_hash(secret,seed)=HMAC_md5(secret,A(1)+seed)+
HMAC_md5(secret,A(2)+seed)+
HMAC_md5(secret,A(3)+seed)+
HMAC_md5(secret,A(4)+seed)
其中
A()is defined as:
A(0)=seed,
A(i)=HMAC_hash(secret,A(i-1))
seed数据为:CHAP-ID+MD5-Challenge
secret数据为:共享密钥。
按照本发明提供的EAP认证方法,所述MD5-Challenge是一个16字节随机数,是位于挑战报文Access-Challenge的EAP-Message属性中封装的EAP请求MD5挑战报文EAP-Request/MD5-Challenge中。
按照本发明提供的EAP认证方法,所述CHAP-ID是在EAP MD5挑战字中封装的挑战握手认证协议中挑战报文标识符,详见RFC1994描述。
按照本发明提供的EAP认证方法,所述共享密钥是用户与EAP鉴权服务器之间的共享密钥。
按照本发明提供的EAP认证方法,所述步骤1.3)还包括认证和鉴权失败后,EAP鉴权服务器直接回应失败报文;所述步骤1.4)是根据该失败报文拒绝为该用户提供服务。
按照本发明提供的EAP认证方法,所述EAP鉴权服务器集成在AAA服务器中;所述通讯协议是RADIUS协议。
按照本发明提供的EAP认证方法,所述失败报文是RADIUS接入拒绝Access-Rject报文。
按照本发明提供的EAP认证方法,所述成功报文是RADIUS接入认可Access-Accept报文,即EAP-Success的Radius-Accept消息。
按照本发明提供的EAP认证方法,所述物理层协议可以是IEEE802.1x,具体可以是IEEE802.16。
本发明提供的WiMAX网络用户EAP认证方法,扩展EAP-MD5算法在鉴权过程中生成主会话密钥MSK,能够使EAP-MD5认证机制适用于在WiMAX网络的认证和鉴权中使用,从而降低***和终端成本,有利于WiMAX网络的推广。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是本发明应用的组网结构图。
图2是本发明实现EAP-MD5Challenge MSK的流程图。
具体实施方式
如图1所示,应用本发明方法的WiMAX网络具体组成包括:
(一)WiMAX用户终端11:WiMAX网络中用户终端设备,用户通过该终端输入用户名和密码登录WiMAX网络,认证通过后,用户可以使用该设备使用Internet资源。
(二)接入服务网络12:WiMAX网络中,用户控制用户接入,分配资源的接入网络。在用户认证阶段能够转发和解析用户接入认证信令。
(三)AAA服务器13:存储用户鉴权和授权信息,接收ASN转发用户认证消息并进行合法性验证,根据用户授权信息通知ASN分配用户权限。在本发明中,该AAA服务器兼做EAP鉴权服务器的功能。
如图2所示,本发明实现EAP-MD5Challenge MSK的流程具体包括以下步骤:
201)在WiMAX终端,以下简称UE,和ASN之间按照802.16成功接入网络和初始化成功。
202)认证请求者UE向ASN发送一个EAP开始鉴权EAPoL-Start报文,开始802.1x认证的开始。
203)ASN向UE发送EAP请求用户标识EAP-Request/Identity报文,要求认证请求者将用户名送上来。
204)认证请求者回应一个EAP响应用户标识EAP-Response/Identity报文,其中包括用户标识UserName。
205)ASN将EAP响应用户标识EAP-Response/Identity报文封装到远程鉴别拨号用户服务RADIUS接入请求Access-Request报文中,发送给AAA服务器,请求RADIUS认证。
206)AAA服务器向ASN发送RADIUS挑战Access-Challenge报文,在挑战中的EAP-Message属性中封装EAP请求MD5挑战EAP-Request/MD5-Challenge报文,其中MD5-Challenge实际上就是一个16字节的随机数。
207)ASN通过RADIUS挑战Access-Challenge报文,解析其中的EAP请求携带MD5挑战EAP-Request/MD5-Challenge报文发送给UE,请求挑战。
208)UE收到EAP请求携带MD5挑战EAP-Request/MD5-Challenge报文后,将密码和MD5挑战进行MD5运算,之后通过EAP响应携带MD5挑战、挑战密码和用户EAP-Response/MD5-Challenge{Challenge/Challenge-Password/User Name}标识发送给ASN。
209)ASN将终端的EAP响应携带的MD5挑战EAP-Response/MD5-Challenge报文封装到RADIUS接入请求Access-Request报文中,由AAA服务器进行认证。
210)AAA服务器根据用户信息判断用户是否合法,然后回应RADIUS认证成功/失败报文到ASN,RADIUS报文中的EAP-Message属性封装EAP成功/失败结果。如果认证成功,回应RADIUS接入认可Access-Accept报文携带EAP成功结果以及用户的相关业务属性给用户授权,其中包含根据本发明算法生成的MSK。如果失败,回应RADIUS接入拒绝Access-Rject报文携带EAP失败结果。
211)ASN将EAP成功/失败EAP-Success/EAP-Failure报文回应给认证请求者UE,表明认证成功,认证成功后,进入IP地址分配流程,启动计费过程。如果认证失败,拒绝用户接入网络。
最后,再次着重说明本发明生成MSK的具体算法,在认证鉴权通过阶段AAA服务器根据MD5-Challenge、CHAP-ID、共享密钥生成MSK,编码到包含EAP-Success的Radius-Accept消息中,生成方法如下:
MSK=P_hash(secret,seed)=HMAC_md5(secret,A(1)+seed)+
HMAC_md5(secret,A(2)+seed)+
HMAC_md5(secret,A(3)+seed)+
HMAC_md5(secret,A(4)+seed)
其中
A()is defined as:
A(0)=seed,
A(i)=HMAC_hash(secret,A(i-1))
seed数据为:CHAP-ID+MD5-Challenge
secret数据为:用户与AAA间共享密钥。
Claims (6)
1.一种全球微波接入互通技术WiMAX网络用户扩展鉴权协议EAP认证方法,其特征在于,扩展EAP-MD5算法在鉴权过程中生成MSK,包括以下步骤:
1.1)终端通过物理层协议与WiMAX网络的接入设备ASN建立连接;
1.2)用户通过该终端输入用户名和密码,ASN通过与EAP鉴权服务器之间通讯协议转发该用户对应终端接入请求;
1.3)EAP鉴权服务器使用EAP-MD5算法进行该用户的认证和鉴权并在成功认证和鉴权后生成MSK封装于成功报文中;
1.4)根据所述成功报文利用MSK生成空中密钥,WiMAX网络与对应终端建立保密无线通讯;否则拒绝为该用户提供服务;
所述生成MSK是根据MD5-Challenge、CHAP-ID和共享密钥生成,编码到成功报文中,具体生成方法如下:
MSK=P_hash(secret,seed)=HMAC_md5(secret,A(1)+seed)+
HMAC_md5(secret,A(2)+seed)+
HMAC_md5(secret,A(3)+seed)+
HMAC_md5(secret,A(4)+seed)
其中
A()is defined as:
A(0)=seed,
A(i)=HMAC_hash(secret,A(i-1))
seed数据为:CHAP-ID+MD5-Challenge
secret数据为:用户与EAP鉴权服务器间共享密钥
所述MD5-Challenge是一个16字节随机数,位于挑战报文Access-Challenge的EAP-Message属性中封装的EAP请求MD5挑战报文EAP-Request/MD5-Challenge中;
所述CHAP-ID是在EAP MD5挑战字中封装的挑战握手认证协议中挑战报文标识符。
2.根据权利要求1所述EAP认证方法,其特征在于,所述步骤1.3)还包括认证和鉴权失败后,EAP鉴权服务器直接回应失败报文;所述步骤1.4)是根据该失败报文拒绝为该用户提供服务。
3.根据权利要求1所述EAP认证方法,其特征在于,所述EAP鉴权服务器集成在AAA服务器中;所述通讯协议是RADIUS协议。
4.根据权利要求2所述EAP认证方法,其特征在于,所述失败报文是RADIUS接入拒绝Access-Rject报文。
5.根据权利要求1所述EAP认证方法,其特征在于,所述成功报文是RADIUS接入认可Access-Accept报文。
6.根据权利要求1所述EAP认证方法,其特征在于,所述物理层协议是IEEE802.1x。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100892916A CN101272297B (zh) | 2007-03-20 | 2007-03-20 | 一种WiMAX网络用户EAP认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100892916A CN101272297B (zh) | 2007-03-20 | 2007-03-20 | 一种WiMAX网络用户EAP认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101272297A CN101272297A (zh) | 2008-09-24 |
| CN101272297B true CN101272297B (zh) | 2011-10-26 |
Family
ID=40006004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100892916A Expired - Fee Related CN101272297B (zh) | 2007-03-20 | 2007-03-20 | 一种WiMAX网络用户EAP认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101272297B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | ***通信集团公司 | 一种认证方法、***和装置 |
| KR20180086286A (ko) * | 2013-05-22 | 2018-07-30 | 콘비다 와이어리스, 엘엘씨 | 액세스 네트워크 지원형 부트스트랩핑 |
| CN103987037A (zh) | 2014-05-28 | 2014-08-13 | 大唐移动通信设备有限公司 | 一种保密通信实现方法及装置 |
| CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1439667A2 (en) * | 2003-01-14 | 2004-07-21 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| CN1845490A (zh) * | 2005-04-06 | 2006-10-11 | 华为技术有限公司 | 一种全球接入互操作网络的接入认证***及方法 |
-
2007
- 2007-03-20 CN CN2007100892916A patent/CN101272297B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1439667A2 (en) * | 2003-01-14 | 2004-07-21 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| CN1845490A (zh) * | 2005-04-06 | 2006-10-11 | 华为技术有限公司 | 一种全球接入互操作网络的接入认证***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101272297A (zh) | 2008-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2003243680B2 (en) | Key generation in a communication system | |
| US7707412B2 (en) | Linked authentication protocols | |
| EP1997292B1 (en) | Establishing communications | |
| US8094821B2 (en) | Key generation in a communication system | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和*** | |
| TWI293844B (en) | A system and method for performing application layer service authentication and providing secure access to an application server | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| US20090217048A1 (en) | Wireless device authentication between different networks | |
| KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| CN101536480A (zh) | 用于网络接入的设备和/或用户认证 | |
| KR20080047587A (ko) | 분산된 인증 기능 | |
| CN101304319A (zh) | 移动通信网络以及用于认证其中的移动节点的方法和装置 | |
| WO2007131426A1 (en) | Aaa system and authentication method of multi-hosts network | |
| CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| CN115278660A (zh) | 接入认证方法、装置及*** | |
| KR101068426B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| Kucharzewski et al. | Mobile identity management system in heterogeneous wireless networks | |
| KR20080004920A (ko) | 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111026 Termination date: 20150320 |
|
| EXPY | Termination of patent right or utility model |