CN101420695B - 一种基于无线局域网的3g用户快速漫游认证方法 - Google Patents

一种基于无线局域网的3g用户快速漫游认证方法 Download PDF

Info

Publication number
CN101420695B
CN101420695B CN2008102397091A CN200810239709A CN101420695B CN 101420695 B CN101420695 B CN 101420695B CN 2008102397091 A CN2008102397091 A CN 2008102397091A CN 200810239709 A CN200810239709 A CN 200810239709A CN 101420695 B CN101420695 B CN 101420695B
Authority
CN
China
Prior art keywords
user subject
accesses network
authentication
network
certified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008102397091A
Other languages
English (en)
Other versions
CN101420695A (zh
Inventor
马建峰
杨卫东
杨超
李亚晖
刘文菊
时珍全
王赜
柯永振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin Polytechnic University
Xidian University
Original Assignee
Tianjin Polytechnic University
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin Polytechnic University, Xidian University filed Critical Tianjin Polytechnic University
Priority to CN2008102397091A priority Critical patent/CN101420695B/zh
Publication of CN101420695A publication Critical patent/CN101420695A/zh
Application granted granted Critical
Publication of CN101420695B publication Critical patent/CN101420695B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种基于无线局域网的3G用户快速漫游认证方法,属于无线通讯领域。本方法包括用户实体与新访问网络建立连接,新访问网络获取身份认证信息,然后由旧访问网络验证新访问网络和用户实体的身份,最后由新访问网络认证用户实体。本发明针对3G-WLAN互连网络给出了一个快速漫游认证方法,使3G移动用户在访问网络之间能够更加快捷安全地漫游切换,同时,实现了用户实体与3G无线访问网络的双向认证,对访问网络的身份验证抵御了Re-direction攻击行为,另外,此方法有效减少了认证过程中消息的传送延时,提高了3G与异构互联网络的接入过程的安全性和效率,让移动用户享有更平滑的移动服务。

Description

一种基于无线局域网的3G用户快速漫游认证方法
技术领域
本发明属于无线通讯领域,具体涉及一种基于无线局域网的3G用户快速漫游认证方法。
背景技术
随着全球通信业的发展和普及,3G无线网络已逐渐成为市场的新技术主流。其特点包括网络覆盖范围广,能够提供语音、数据和多媒体等业务,具有很强的漫游功能,但是传输速率较低。WLAN和WiMAX等无线网络作为局部热点范围内的无线应用网络,能够为用户提供较高的传输速率和方便的接入服务。因此WLAN作为3G网络在热点地区的宽带接入方式,成为了一种高效的应用模式。
现有技术中,3GPP针对WLAN和3G网络提出了一套互连方案,并为互连的安全接入设计了一个扩展认证密钥协商协议(EAP-AKA),协议流程如图1所示。在互连方案中,3G用户通过EAP-AKA协议可以在WLAN网络内认证接入到3G网络,并利用WLAN高速率的网络带宽访问Internet资源。但由于EAP-AKA协议在认证过程中没有对访问网络的身份进行验证,所以可能存在因假冒访问网络而导致的Re-direction攻击行为,使移动用户接入到费用较高的网络或安全性较低的网络。另外,EAP-AKA协议的重认证过程要求认证消息必须发送到移动用户的归属网络,才能实现对移动用户的认证、授权和计费,这样对移动用户在访问网络中的漫游、切换和密钥更新等行为带来较大的时延,从而影响移动用户服务的连续性和移动性。
《西安电子科技大学学报》(2008年03期)公开了另一个现有技术,即一种高效的3G-WLAN互联网络认证协议--LFSA协议。该LFSA协议采用快速签名机制实现了同一个WAN内部的局部化快速重认证。对于不同WAN之间的漫游,LFSA协议必须进行一次LFSA的全认证过程,如图2所示。全认证过程需要3G网络的参与,并且相对EAP-AKA协议增加了Token的计算和验证,增加了移动终端的计算复杂度和漫游过程的时延。
发明内容
本发明的目的在于解决上述现有技术中存在的难题,针对WLAN和3GPP互连的认证协议进行分析和改进,提供一种认证方法,实现用户实体与WAN网络的双向认证,抵御假冒访问网络的Re-redirection攻击,在不改变3G网络认证流程的前提下,实现3G移动用户在WLAN之间的快速漫游认证过程,无需3G网络的再次参与,有效地减少移动用户漫游切换的延时。
本发明是通过以下技术方案实现的:
一种基于无线局域网的3G用户快速漫游认证方法,所述方法中涉及到的实体包括用户实体、新访问网络和旧访问网络,其特征在于,所述方法包括以下步骤:
(1)用户实体与新访问网络协商接入连接,并建立访问网络的无线***,同时,利用新访问网络的链路层安全机制来保护无线链路的安全;
(2)新访问网络与用户实体通讯,获取用户实体的身份信息以及用于验证用户实体的信息;
(3)新访问网络与旧访问网络通讯,由旧访问网络验证新访问网络的身份,并向新访问网络发送用于验证用户实体身份信息的3G认证向量信息;
(4)新访问网络与用户实体通讯,对用户实体的身份进行认证,认证通过则发送认证成功的消息给用户实体。
其中,步骤2包括以下步骤:
(21)新访问网络向用户实体发送认证身份的请求消息,所述请求消息包括用于验证新访问网络的新访问网络随机数;
(22)用户实体收到所述请求消息后,向新访问网络发送响应消息,所述响应消息包括用户实体的身份信息以及用于验证用户实体的信息。所述用户实体的身份信息为NAI格式,可以为用户实体的临时身份或者永久身份标识。所述用于验证用户实体的信息包括用户实体随机数以及身份验证码。
步骤3包括以下步骤:
(31)新访问网络收到用户实体发送的所述响应消息后,将所述响应消息和所述新访问网络随机数发送给旧访问网络;
(32)旧访问网络首先搜索与所述响应消息中包含的用户实体的身份信息对应的用户实体的会话密钥,然后利用检索到的会话密钥验证用户实体的身份以及新访问网络的身份;
(33)对用户实体的身份验证通过后,将与该用户实体相关的可用的3G认证向量信息发送给新访问网络。
步骤4包括以下步骤:
(41)新访问网络收到旧访问网络发来的所述可用的3G认证向量信息后,从中随机选择一个认证向量作为挑战消息发送给用户实体;
(42)用户实体收到所述挑战消息后,利用其与3G网络共享的长期密钥来验证所述认证向量中的认证数据是否正确,此处采用的算法是通过在USIM中运行WCDMA算法来验证认证数据是否正确。如果认证数据错误就中止认证过程;如果认证数据正确,就利用WCDMA算法和与3G网络共享的长期密钥来计算认证码,然后验证所接收的认证向量的消息验证码的正确性,并保存新的身份信息;
(43)用户实体计算新消息验证码,并将所述新消息验证码和步骤(42)产生的所述认证码作为挑战响应消息发送给新访问网络;
(44)新访问网络收到所述挑战响应消息后,验证所述新消息验证码的正确性,然后检验所述认证码是否与所述认证向量中的3G网络利用与用户实体共享的长期密钥计算产生的认证码相等,如果两者相等则通过了对用户实体的身份认证,发送认证成功的消息给用户实体。这样就完成了漫游认证。
在本发明中,所述的新访问网络随机数和用户实体随机数是用来抵御Re-direction攻击的。具体来说,在步骤31中,新访问网络将所述响应消息和所述新访问网络随机数发送给旧访问网络,而所述响应消息中包括用户实体随机数和身份验证码,这样,旧访问网络就获得了新访问网络随机数、用户实体随机数和身份验证码。在步骤32中,旧访问网络验证身份验证码,如果验证通过,则表明旧访问网络与用户实体所持有的有关新访问网络的身份是相同的,从而抵御了Re-direction的攻击。
进一步来说,本发明包括访问网络(旧访问网络和新访问网络)对用户实体的认证,即认证用户实体的3G用户身份的合法性,以及用户实体对新访问网络的认证,即认证新访问网络是否为合法的3G无线接入网。对用户实体的认证是通过步骤44来完成的。对新访问网络的认证,是一个间接的认证,即用户实体认证旧访问网络,然后旧访问网络认证新访问网络,从而实现用户实体认证新访问网络。旧访问网络持有用户实体的3G认证向量,仅当旧访问网络验证新访问网络和用户实体合法后,即步骤32,才将3G认证向量传给新访问网络,即步骤33,然后新访问网络将认证向量传给用户实体,即步骤41,用户实体验证3G认证向量的正确性,从而验证了旧访问网络,也间接验证了新访问网络,即步骤42。这样,就完成了用户实体和访问网络之间的双向认证。
另外,当用户实体利用现有技术中的EAP-AKA或者LFSA协议在WAN间进行漫游时,需要执行完整的全认证过程,并且需要3G网络(第三代移动通信网络,The 3rd Generation Mobile Communication Network,比如WCDMA、TDS-CDMA网络)参与认证过程。在本发明中,首次全认证之后,旧访问网络即持有了用户实体的3G认证向量,因此本发明中仅需要旧访问网络来完成认证,这样在漫游认证时就利用旧访问网络验证了新访问网络的合法性,从而避免了3G网络参与认证过程,减少了消息轮数,降低了认证延时,因此实现了快速漫游。
综上所述,与现有技术相比,本发明的有益效果是:(1)实现了用户实体与访问网络之间的双向认证;(2)对访问网络的身份验证,抵御了假冒访问网络的Re-redirection攻击;(3)实现了3G移动用户在WLAN之间的快速漫游认证过程,有效地减少了认证过程中消息的传送延时,并提高了3G与异构互联网络的接入过程的安全性和效率。
附图说明
下面结合附图对本发明作进一步详细描述:
图1是现有技术EAP-AKA协议流程图
图2是现有技术LFSA协议的全认证过程图
图3是本发明的认证消息
图4是本发明的认证流程图
具体实施方式
一种基于无线局域网的3G用户快速漫游认证方法,所述方法中涉及到的实体包括用户实体WAN UE(简称UE)、新访问网络NEW WAN和旧访问网络OLD WAN。本发明方法中所使用消息的内容如图3所示,对消息内容的解释如下:
(1)Nonce是由WAN UE和WAN产生的随机数,用于保证WAN的身份验证码的新鲜性。NonceAN为NEW WAN产生的随机数,NonceUE为WAN UE产生的随机数。
(2)UMAC是WAN身份的验证码,由WAN UE利用与OLD WAN的会话密钥计算UMAC=HMAC(SK,NonceAN||NonceUE||IDAN);IDAN由3G运营商提供给3G用户,然后由3G用户提供给WAN UE。
(3)RAND是由3G网络产生的认证向量中的随机数,每个认证向量都会有一个新的随机数,用于计算会话密钥材料;
(4)XRES是由3G网络利用与WAN UE共享的长期密钥计算产生的认证码,用于验证WAN UE的身份;
(5)SK是由3G网络利用与WAN UE共享的长期密钥计算产生的会话密钥材料,发送给WAN用于WAN UE和WAN之间的会话安全通道;
(6)AUTH是由3G网络产生的认证向量中的认证数据,WAN UE需要利用与3G网络共享的长期密钥来验证该数据的正确性;
(7)MAC是每条消息的消息验证码,消息的接收者通过该消息验证码鉴别消息的完整性;
(8)RES是由WAN UE利用与3G网络共享的长期密钥计算产生的认证码,用于和由3G网络计算的XRES比较,验证WAN UE的身份;
其中,XRES是由3G网络计算并存储,在首次全认证过程中,与WAN UE对应的XRES、RAND和AUTH都放在认证向量中由3G网络传给OLD WAN,因此在漫游认证时就不再需要3G网络的参与。
本发明方法的流程如图4所示,包括以下步骤:
(1)(对应图4中的步骤1)WAN UE与NEW WAN协商接入连接,并建立访问网络的无线***,同时,利用新访问网络的链路层安全机制来保护无线链路的安全;
(2)NEW WAN与WAN UE通讯,获取WAN UE的身份信息以及用于验证WAN UE的信息,包括以下步骤:
(21)(对应图4中的步骤2)NEW WAN向WAN UE发送认证身份的EAP请求消息,要求WAN UE提供3G认证所需要的身份信息,该身份信息可以是临时身份(或一个随机数),也可以是其永久身份标识IMSI,同时携带一个由NEWWAN产生的随机数NonceAN
(22)(对应图4中的步骤3)WAN UE收到所述EAP请求消息后,首先产生一个随机数NonceUE,然后利用与OLD WAN之间的会话密钥计算UMAC=HMAC(SK,NonceAN||NonceUE||IDAN),其中IDAN是NEW WAN的身份信息,然后WAN UE回应EAP响应消息,包含了NAI格式的身份信息,该身份信息可能是一个随机数,也可能是IMSI,并把NonceUE和UMAC附在EAP响应消息中;
(3)NEW WAN与OLD WAN通讯,由OLD WAN验证NEW WAN的身份,并向NEW WAN发送用于验证WAN UE身份信息的3G认证向量信息,包括以下步骤:
(31)(对应图4中的步骤4)NEW WAN收到WAN UE发送的所述EAP响应消息后,将消息(EAP Response/Identity[NAI or IMSI],NonceAN,NonceUE,UMAC)发送给OLD WAN,此消息比步骤(22)中的EAP响应消息增加了参数NonceAN
(32)(对应图4中的步骤5)OLD WAN首先搜索与(31)中发送的消息中包含的WAN UE的身份信息对应的WAN UE的会话密钥,然后利用检索到的会话密钥验证消息中携带的UMAC的正确性;
(33)(对应图4中的步骤6)UMAC验证通过后,将与该移动用户相关的可用的3G认证向量信息发送给NEW WAN;所述3G认证向量信息如图3中的消息(4)所示;
(4)NEW WAN与WAN UE通讯,对WAN UE的身份进行认证,认证通过则发送认证成功的消息给WAN UE,包括以下步骤:
(41)(对应图4中的步骤7)NEW WAN随机选择一个认证向量作为AKA挑战消息发送给WAN UE;
(42)(对应图4中的步骤8)WAN UE接收到AKA挑战消息后,在USIM中运行WCDMA的算法验证AUTH是否正确,如果错误就中止认证过程(没有显示在本实施例中);如果验证通过,就利用WCDMA算法和与UE与3G网络共享的长期密钥K3G,MS计算RES、IK、CK和其他密钥材料,然后验证MAC的正确性,并保存新的身份信息;
(43)(对应图4中的步骤9)WAN UE计算MAC2,然后将RES、MAC2构成AKA挑战响应消息,并发送给NEW WAN;
(44)(对应图4中的步骤10)NEW WAN收到AKA挑战响应消息后,验证MAC2的正确性后,检验RES是否与相应的XRES相等,相等则通过了对WAN UE的身份认证,发送EAP Success消息给WAN UE。
在本发明中,NEW WAN可以通过以下两种方法找到OLD WAN:
方法1:能够实现漫游的WAN之间已经提前建立了安全关联,UE的身份和认证码可以由NEW WAN泛洪或组播到其它WAN,正确的OLD WAN会响应。
方法2:对该发明中的消息进行修改,在步骤(22)中将OLD WAN的ID附在EAP响应消息中。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选地,而并不具有限制性的意义。

Claims (4)

1.一种基于无线局域网的3G用户快速漫游认证方法,所述方法中涉及到的实体包括用户实体、待认证的访问网络和已完成认证的访问网络,其特征在于,所述方法包括以下步骤:
(1)所述用户实体与待认证的访问网络协商接入连接,并建立访问网络的无线***;
(2)所述待认证的访问网络与用户实体进行通讯:获取用户实体的身份信息以及用于验证用户实体的信息;
(3)所述待认证的访问网络与已完成认证的访问网络进行通讯:由已完成认证的访问网络验证待认证的访问网络的身份,并向待认证的访问网络发送用于验证用户实体身份信息的3G认证向量信息;
(4)所述待认证的访问网络与用户实体进行通讯,对用户实体的身份进行认证,认证通过则发送认证成功的消息给用户实体;
其中,步骤(2)包括以下步骤:
(21)待认证的访问网络向用户实体发送认证身份的请求消息,所述请求消息包括用于验证待认证的访问网络的新访问网络随机数;
(22)用户实体收到所述请求消息后,向待认证的访问网络发送响应消息,所述响应消息包括用户实体的身份信息以及用于验证用户实体的信息;所述用于验证用户实体的信息包括用户实体随机数以及身份验证码;
步骤(3)包括以下步骤:
(31)待认证的访问网络收到用户实体发送的所述响应消息后,将所述响应消息和所述新访问网络随机数发送给已完成认证的访问网络;
(32)已完成认证的访问网络首先搜索与所述响应消息中包含用户实体的身份信息对应的用户实体的会话密钥,然后利用检索到的所述会话密钥验证用户实体的身份以及待认证的访问网络的身份;
(33)对用户实体的身份验证通过后,将与该用户实体相关的可用的3G认证向量信息发送给待认证的访问网络;
步骤(4)包括以下步骤:
(41)待认证的访问网络收到已完成认证的访问网络发来的所述可用的3G认证向量信息后,从中随机选择一个认证向量作为挑战消息发送给用户实体;
(42)用户实体收到所述挑战消息后,利用其与3G网络共享的长期密钥来验证所述认证向量中的认证数据是否正确;如果认证数据错误就中止认证过程;如果认证数据正确,就利用WCDMA算法和与3G网络共享的长期密钥来计算认证码,然后验证所接收的认证向量的消息验证码的正确性,并保存新的身份信息;
(43)用户实体计算新消息验证码,并将所述新消息验证码和步骤(42)产生的所述认证码作为挑战响应消息发送给待认证的访问网络;
(44)待认证的访问网络收到所述挑战响应消息后,验证所述新消息验证码的正确性,然后检验所述认证码是否与所述认证向量中的3G网络利用与用户实体共享的长期密钥计算产生的认证码相等,如果两者相等则通过了对用户实体的身份认证,发送认证成功的消息给用户实体。
2.根据权利要求1所述的方法,其特征在于,所述方法中:所述步骤(1)利用待认证的访问网络的链路层安全机制来保护无线链路的安全。
3.根据权利要求1所述的方法,其特征在于,所述方法中:所述步骤(2)中的用户实体的身份信息为NAI格式,所述身份信息为用户实体的临时身份或者永久身份标识。
4.根据权利要求1所述的方法,其特征在于,所述方法中,在所述步骤(42)中是通过在USIM中运行WCDMA算法来验证所述认证向量中的认证数据是否正确。
CN2008102397091A 2008-12-16 2008-12-16 一种基于无线局域网的3g用户快速漫游认证方法 Expired - Fee Related CN101420695B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008102397091A CN101420695B (zh) 2008-12-16 2008-12-16 一种基于无线局域网的3g用户快速漫游认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102397091A CN101420695B (zh) 2008-12-16 2008-12-16 一种基于无线局域网的3g用户快速漫游认证方法

Publications (2)

Publication Number Publication Date
CN101420695A CN101420695A (zh) 2009-04-29
CN101420695B true CN101420695B (zh) 2011-09-07

Family

ID=40631236

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102397091A Expired - Fee Related CN101420695B (zh) 2008-12-16 2008-12-16 一种基于无线局域网的3g用户快速漫游认证方法

Country Status (1)

Country Link
CN (1) CN101420695B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8434132B2 (en) * 2010-08-31 2013-04-30 Intel Corporation Roaming between networks employing different authentication protocols
CN102625306A (zh) * 2011-01-31 2012-08-01 电信科学技术研究院 认证方法、***和设备
CN102685741B (zh) * 2011-03-09 2014-12-03 华为终端有限公司 接入认证处理方法及***、终端和网络设备
CN106664286B (zh) * 2014-08-13 2020-09-11 宇龙计算机通信科技(深圳)有限公司 异构网络之间的切换方法及切换***
CN107005927B (zh) 2015-09-22 2022-05-31 华为技术有限公司 用户设备ue的接入方法、设备及***
EP3407635A1 (en) * 2016-02-23 2018-11-28 Huawei Technologies Co., Ltd. Secure communication method and core network node
CN111669276B (zh) * 2019-03-07 2022-04-22 华为技术有限公司 一种网络验证方法、装置及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1399490A (zh) * 2002-08-15 2003-02-26 西安西电捷通无线网络通信有限公司 无线局域网移动终端的安全接入方法
CN1444362A (zh) * 2002-03-08 2003-09-24 华为技术有限公司 无线局域网加密密钥的分发方法
CN1602108A (zh) * 2004-11-04 2005-03-30 西安西电捷通无线网络通信有限公司 全局信任的无线ip***移动终端的漫游接入方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1444362A (zh) * 2002-03-08 2003-09-24 华为技术有限公司 无线局域网加密密钥的分发方法
CN1399490A (zh) * 2002-08-15 2003-02-26 西安西电捷通无线网络通信有限公司 无线局域网移动终端的安全接入方法
CN1602108A (zh) * 2004-11-04 2005-03-30 西安西电捷通无线网络通信有限公司 全局信任的无线ip***移动终端的漫游接入方法

Also Published As

Publication number Publication date
CN101420695A (zh) 2009-04-29

Similar Documents

Publication Publication Date Title
US8769647B2 (en) Method and system for accessing 3rd generation network
US7546459B2 (en) GSM-like and UMTS-like authentication in a CDMA2000 network environment
CN101420695B (zh) 一种基于无线局域网的3g用户快速漫游认证方法
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
CN101854629B (zh) 家庭基站***中用户终端接入认证及重认证的方法
US20190253407A1 (en) Mobile identity for single sign-on (sso) in enterprise networks
US20070021105A1 (en) Performing authentication in a communications system
KR20060067263A (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
CN101867928A (zh) 移动用户通过家庭基站接入核心网的认证方法
KR20100102026A (ko) 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
CA2571255A1 (en) Wireless device authentication between different networks
CA2523923A1 (en) A method for establishment of the service tunnel in wlan
CN101208901A (zh) 通信***中的认证***及其方法
CN106105134A (zh) 改进的端到端数据保护
EP1992185A2 (en) Fast re-authentication method in umts
KR20100123834A (ko) 1-패스 인증 메커니즘 및 시스템
CN106921965A (zh) 一种wlan网络中实现eap认证的方法
Sharma et al. Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks
CN101945390B (zh) 一种准入控制方法及装置
El Bouabidi et al. Secure handoff protocol in 3GPP LTE networks
CN101610507A (zh) 一种接入3g-wlan互联网络的方法
Yang et al. 3G and WLAN interworking security: Current status and key issues
CN102104872A (zh) 安全访问wapi网络的方法、装置及***
Lin et al. Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks.
WO2010060296A1 (zh) 认证方法、可信任环境单元及家庭基站

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110907

Termination date: 20111216