CN104982053B - 用于获得认证无线设备的永久身份的方法和网络节点 - Google Patents
用于获得认证无线设备的永久身份的方法和网络节点 Download PDFInfo
- Publication number
- CN104982053B CN104982053B CN201380072846.XA CN201380072846A CN104982053B CN 104982053 B CN104982053 B CN 104982053B CN 201380072846 A CN201380072846 A CN 201380072846A CN 104982053 B CN104982053 B CN 104982053B
- Authority
- CN
- China
- Prior art keywords
- identity
- wireless device
- message
- network node
- permanent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在仅为无线设备提供了别名的情况下,一种诸如Wi‑Fi接入点/认证方的网络节点(2)能够获得请求认证的无线设备(1)的永久设备身份。网络节点是通过以下方式实现这一点的:拦截来自无线设备的认证消息,其中所述认证消息包括无线设备的发信号通知的身份,并提取发信号通知的身份。在所提取的身份是别名而不是无线设备的永久身份的情况下,网络节点操作至少一个其他认证消息,以使无线设备在后续认证消息中发信号通知永久设备身份。
Description
技术领域
本发明涉及网络节点中用于获得请求认证的无线设备的永久设备身份的方法,并且涉及用于执行所述方法的网络节点。
背景技术
在3GPP***中,如果无线设备与允许无线通信网络认证无线设备的订阅相关联,则允许无线设备附接并接入无线通信网络。第三代合作伙伴计划3GPP无线局域网WLAN交互指定基于可扩展认证协议EAP的网络接入认证。EAP认证框架为不同的认证方法提供支持。在数据链路层(DLL)上直接承载该协议,并且当前尤其在有线和无线局域网中广泛采用该协议。EAP-S1M(订户身份模块)是一种使用GSMSIM的认证和会话密钥分发的方法,并且EAP-AKA是一种与EAP-SIM类似的方法,区别在于它使用认证和密钥协商AKA机制。EAP-AKA’(也表示为EAP-A Prime)是EAP-AKA方法的修改,使用将所导出的密钥与接入网的名称绑定的一种新的密钥导出函数。
EAP-SIM、EAP-AKA和EAP-AKA’共享同一框架,并因此具有非常类似的信令流。在EAP术语中,存在参与认证的三个主要实体:
-请求方-请求认证的实体。以下,对于请求方将同义地使用术语无线设备。
-认证方-通常使用认证服务器协议(例如RADIUS协议或DIAMETER协议)与认证服务器(如下所述)通信,并在请求方和认证服务器之间中继消息的前端实体。然而,除RADIUS协议和DIAMETER协议以外的其他协议也在以下公开的范围内。此外,在以下公开中,认证方还将被描述为网络节点。
-认证服务器-负责基于请求方的网络秘密承载认证和密钥导出的后端实体。
Wi-Fi被认为是移动宽带异构网络的小小区解决方案的关键候选。因此,作为有趣的研究对象出现了Wi-Fi与3GPP无线接入网RAN的整合。为使运营商从将Wi-Fi整合到3GPPRAN中所提供的全部优点中获益,与当前实施方式(其中决定纯粹是基于设备的)相比,运营商需要对他们的订户的接入选择的更好的控制。整合(integration)可以包括在小微微基站中组合3GPP和Wi-Fi二者,以用3GPP技术来获得对Wi-Fi的接入,并且反之亦然。可以实现的整合的第二等级包括:基于不同接入中的组合情况的知识,通过在3GPP和Wi-Fi之间引入增强的网络控制业务引导来将Wi-Fi接入更紧密地整合到RAN中。该第二等级的整合的目的是:避免设备控制的Wi-Fi选择(例如当Wi-Fi连接不好或无线设备正在移动时选择Wi-Fi)的潜在问题,由此给出更好的终端用户性能并更好地利用组合的Wi-Fi和蜂窝无线网络资源。
为了实现对网络控制的Wi-Fi/3GPP接入选择和服务映射的良好支持,需要将3GPPRAN中的无线设备上下文(用于保持例如3GPP侧的无线性能和设备移动性的有关信息)与Wi-Fi网络中的设备上下文链接(或连接)。然后这可以使网络实体/节点能取决于例如无线设备是否是固定的和/或具有与Wi-Fi AP(Wi-Fi接入点)的良好连接来决定无线设备是否应当接入Wi-Fi网络。该决定可以向无线设备发信号通知或在3GPP/Wi-Fi网络内部执行,例如用于控制UE对Wi-Fi网络的准入。
已经提出了不同的增强网络控制的Wi-Fi/3GPP接入选择的解决方案。在解决方案之一中,在能够基于每个用户执行接入选择之前,网络侧上的逻辑实体从3GPP和Wi-Fi***二者选择信息。
为了适合地工作,逻辑实体必须能够将从两个***中选择的信息进行互相关,以做出接入选择决定。这意味着逻辑实体需要能够使用两个网络中的合适的标识符来识别Wi-Fi和3GPP网络中的每个特定无线设备。
可以通过探测EAP消息来满足该需求,EAP消息包含无线设备的永久身份。该身份包含国际移动订户身份(IMSI)-对于每个无线设备唯一的3GPP标识符。IMSI在EAP认证期间使用,并且由无线设备经由作为Wi-Fi接入点(Wi-Fi AP)并且与根据EAP技术的认证方相对应的网络节点发送。在EAP信令期间,网络节点可以拦截并提取IMSI。网络节点还知道无线设备的媒体接入控制(MAC)地址,无线设备的媒体接入控制(MAC)地址充当Wi-Fi网络中的无线设备标识符。IMSI和MAC之间的映射使逻辑实体能够分别在两个***中独立地跟踪同一无线设备,并且是使能基于网络的接入选择的关键需求。
在EAP-SIM、EAP-AKA和EAP-AKA Prime的认证框架内,认证服务器可以为请求方(在这种情况下无线设备)提供化名(pseudonym)和/或快速重新认证身份,意图在于无线设备使用化名和/或快速重新认证身份而不是它的永久身份。这主要是由于安全原因。然而,如果无线设备使用化名和/或快速重新认证身份而不是它的永久身份,则上述身份映射和两个***之间的后续信息互相关可能不成功。
Wi-Fi整合到3GPP网络中的一个重要方面是需要公共性能监视(PM)***,其中运营商能够(例如为了用户关心目的)监视两个***中每个订户的性能。在那种情况下,***必须能够基于每个订户针对PM数据互相关来执行MAC/IMSI映射。然而,在使用化名和/或快速重新认证身份而不是包含IMSI的永久身份的情况下,这会非常麻烦。
因此,如上所述,现有框架的问题与以下情形相关:当网络节点由于不同的目的需要无线设备的永久身份,但是无线设备却使用化名和/或快速重新认证身份作为替代。例如,在接入网选择的情况下,会需要永久身份作为用于从3GPP网络中找到用户专用信息的标识符。然而,当前不存在以下方法:当无线设备使用化名,或者针对快速重新认证过程,当无线设备使用快速重新认证身份而不是它的永久身份时,在认证过程中在网络节点处获得无线设备的永久身份。
发明内容
根据本公开的本发明的实施例的目的是解决以上概述问题的至少一些,并通过根据所附独立权利要求的方法和结构以及通过根据从属权利要求的实施例来实现该目的和其他目的。
实施例的第一方面提供了一种在网络节点中用于获得请求在所述网络节点处的认证的无线设备的永久设备身份的方法。网络节点拦截包括请求认证的无线设备的发信号通知的身份的认证消息,并从认证消息中提取发信号通知的身份,其中做出关于发信号通知的身份是否是别名的确定。当设备身份是别名时,操作至少一个其他认证消息,以使得在后续的认证消息中发信号通知永久设备身份。
可以从后续认证消息中获取永久设备身份,该后续认证消息可以是来自无线设备的可扩展认证协议EAP响应消息。
设备身份是否是别名的确定可以包括检查发信号通知的身份的格式,并且别名可以代表后端认证服务器提供的化名身份或认证服务器提供的重新认证身份。
此外,永久设备身份可以包括国际移动订户身份IMSI。
根据第一实施例,对至少一个其他认证消息的操作包括网络节点用拦截的认证消息中的假身份来替换别名,由此提供修改后的认证消息。将修改后的认证消息转发给认证服务器。
第一实施例的优点在于:它构建了一种可以用最少努力实现且不影响标准化框架的方法。
根据第二实施例,对至少一个其他认证消息的操作包括:网络节点在所述其他认证消息中包括请求所述无线设备在所述后续认证消息中呈递永久设备身份的属性。与第一实施例类似,第二实施例的优点在于:它构建了一种用最少努力实现的方法,并提供第一实施例的备选。
根据第三实施例,对至少一个其他认证消息的操作包括:网络节点在拦截的认证消息中***针对永久设备身份的请求,由此提供修改后的认证消息。将修改后的认证消息转发给认证服务器。从认证服务器接收向无线设备查询永久设备身份的请求,因而网络节点向无线设备发送针对永久设备身份的请求。
第三实施例的优点在于,它构建了一种鲁棒的解决方案,在这种解决方案中认证服务器和请求方的行为是可预测的,原因在于它们遵循标准化的框架。
实施例的第二方面提供了一种用于实现所公开的方法实施例的网络节点。该网络节点可以是Wi-Fi接入点,并且可以与根据EAP术语的认证方相对应。
本实施例的优点在于:当网络节点在认证过程期间仅从无线设备接收别名(例如化名或快速重新认证身份时),使网络节点(例如认证方)能获得无线设备的永久身份。
附图说明
现在将参照附图更详细地描述实施例,其中:
图1示意性示出了移动通信网;
图2a示意性示出了EAP认证的***架构的示例;
图2b示意性示出了EAP认证架构的示例;
图3是示出传统EAP-SIM信令过程的信令图;
图4是示出根据实施例的方法的流程图;
图5a-5c是示出本发明的三个备选实施例的信令图,以及
图6a和6b示意性示出了用于执行根据实施例的网络节点的不同方面。
具体实施方式
以下,将参照附图更详细地描述本发明的实施例。为了解释而非限制的目的,公开了特定细节(例如具体场景和技术的)以提供透彻的理解。
应当主要在逻辑意义上理解以下结合附图描述的多个步骤,同时每个步骤可以包括取决于所使用的实施方式和协议的一个或更多个特定消息的通信。本公开涉及的实施例通常涉及使用EAP-SIM、EAP-AKA或EAP-AKA’认证框架的EAP认证领域。然而必须理解的是,在具有类似信令流的其他认证框架中可以适用同一原则。在本公开中,通常使用术语无线设备。作为3GPP规范中所使用的术语的无线设备或用户设备UE可以指能够与无线网络通信的任意无线设备。这种无线设备的示例是移动电话、智能电话、膝上型电脑和机器对机器M2M设备。
图1示意性示出了移动通信网络10。网络10包括无线设备1、蜂窝网络40和无线局域网30(例如Wi-Fi)。在所示示例中,无线设备1经由基站41与蜂窝网40连接,并且无线设备1位于基站41所定义的小区42内。无线设备1也在无线局域网30的范围r内(例如具有Wi-Fi接入点2的Wi-Fi网络,其在下文中被称为网络节点)。无线设备的接入选择是网络决定,并且已经使用了无线设备的永久身份以实现对于网络控制的Wi-Fi/3GPP接入选择和服务映射的良好支持。在3GPP侧保持关于无线性能、设备移动性等信息的3GPP RAN中的无线设备上下文必须与Wi-Fi网络中的设备上下文相链接,这需要基于永久设备身份的设备身份的映射。
图2a示意性示出了用于EAP认证的***架构的示例,包括:无线设备1、为无线设备提供接入点的网络节点(Wi-Fi AP)2和认证服务器3。(附图中的虚线仅指示控制面,并且实线指示控制面和用户面二者,或仅指示用户面)。
图2b示出了EAP认证过程的简化的架构和协议组织的示例。在EAP的框架内,请求认证的无线设备1被称为请求方,Wi-Fi AP 2被称为认证方,其主要角色是将EAP消息转发给后端认证服务器3(在这种情况下是AAA服务器)。后端认证服务器负责基于请求方的网络秘密执行认证和密钥提取。它可以是已经具备请求方的网络秘密的3GPP网络的一部分(通常情况)或自主AAA服务器。在LAN上的EAP(EAPOL)帧中、以及在接入点2和AAA服务器3之间的RADIUS帧或DIAMETER帧中封装无线设备1和Wi-Fi接入点2之间的EAP业务。然而,本文中将针对请求方使用术语无线设备,并且将针对认证方/接入点使用术语网络节点。(图2b中的虚线代表EAPoL或RADIUS协议内封装的EAP隧道)。
请注意,即便本文档通常引用如所描述的认证过程中的EAP-SIM,但是可以对于EAP-AKA和EAP-AKA Prime或遵循类似原则的任意其他认证框架等同地应用所有实施例。
图3是请求方/无线设备1、认证方/网络节点2和认证服务器3之间的示例性常规EAP-SIM信令过程的信令图。在EAP-SIM认证的第一步骤1中,认证方2发送要求请求方1报告它的身份的EAP-请求。该身份由以下部分组成:用户名部分、之后是“@”符号和范围部分,并且用户名可以是以下三种不同类型的用户名中的任何一个:
a)-永久用户名(通常为国际订户身份模块-IMSI);
b)-化名用户名(认证服务器提供);
c)-快速重新认证用户名(认证服务器提供)。
在步骤2中,请求方1以它的身份(例如“[email protected]”)做出响应;在步骤3中,认证方2在RADIUS消息中(或备选地,在DIAMETER消息中)封装EAP-响应消息,并将其转发给认证服务器3。认证服务器3识别EAP方法,并在步骤4中发送RADIUS接入质询/EAP-请求/SIM/开始,指示对于那个请求方已经发起了EAP-SIM过程。还在该消息中包括所支持的SIM版本的列表。认证方2然后在步骤5中将EAP-请求/SIM/开始消息中继给请求方1,并且请求方在步骤6中以EAP-响应/SIM/开始消息进行响应,EAP-响应/SIM/开始消息承载关于请求方的随机数(随机选择的数)以及所选的SIM版本(AT_SELECTED_VERSION)的信息。在步骤7中,认证方向认证服务器转发RADIUS接入请求/EAP-响应/SIM/开始。
在步骤8中,认证服务器8获得GSM三元组(RAND、SRES和Kc)并导出加密钥材料。GSM三元组由以下组成:
RAND-当请求订户认证时,认证中心(在初始附接时用于认证订户的GSM核心网内的实体)生成的128比特随机数。它的主要用途是导出签署响应(SRES)和Kc;
SRES-用于质询移动台(即,在EAP-SIM情况下的请求方)的32比特变量;
Kc-用于对在请求方和认证方之间发送的数据进行加密和解密的64比特加密密钥。
在步骤9中,认证服务器3生成包括RAND质询和消息认证码属性(AT_MAC)的RADIUS接入质询/EAP-请求/SIM/质询消息,并将其转发给认证方,其中AT_MAC导出基于RAND和Kc值。在步骤10中,认证方向请求方转发EAP-请求/SIM/质询消息。在步骤11中,请求方将接收到的RAND馈入在SIM上运行的GSM算法中,并且输出是AT_MAC和SRES值的副本。请求方通过检查从认证服务器接收的AT_MAC值是否与SIM生成的AT_MAC值相匹配来验证所生成的AT_MAC。如果匹配,则请求方继续认证。否则,请求方以EAP-响应/SIM/客户端错误消息来响应,并基于先前生成的SRES导出新的AT_MAC。在步骤12中,在EAP-响应/SIM/质询消息中向认证服务器发送AT_MAC。在步骤13中,认证方向认证服务器转发RADIUS接入请求/EAP-响应/SIM/质询,并且认证服务器对请求方刚才发送的新AT_MAC值进行验证。如果验证成功,则它在步骤14中发送还承载加密钥材料-成对主密钥(PMK)的RADIUS接入请求/EAP-成功消息。PMK是仅针对认证方的,并且不向请求方转发PMK,但是请求方可以自主地导出同一密钥。在步骤15中,认证方将EAP-成功消息转发给请求方并存储PMK。
图4中示出了本发明的实施例的概念,图4是示出网络节点获得请求在网络节点处的认证的无线设备的永久设备身份的方法的流程图。该方法包括:网络节点/认证方/Wi-Fi接入点2在步骤210中拦截来自无线设备1的认证消息,并在步骤220中从所拦截的认证消息中提取发信号通知的身份。在步骤230中,网络节点2确定所提取的发信号通知的身份是否是别名。如果并且当设备身份是别名时,网络节点在步骤240中操作至少一个其他认证消息,以使无线设备在后续认证消息中发信号通知它的永久设备身份。
上述别名可以表示在认证过程期间与无线设备相关联的任意类型的非永久身份,例如化名身份或快速重新认证身份。永久设备身份可以包含国际移动订户身份IMSI或唯一或明确地标识无线设备的任意其他类型的标识符。
对发信号通知的身份的格式的检查可以理解为在步骤230中确定无线设备是否已经提供了它的永久身份的手段。然而,该方法不限于该检查,并且确定化名身份的发信号通知的其他手段也在本公开的范围内。
如图4所示,该方法还可以包括:例如从来自无线设备的后续认证消息(例如可扩展认证协议EAP响应消息)中获取250永久设备身份的步骤。
然而,可以根据三种备选方法来执行如网络节点在步骤240中执行的对至少一个其他认证消息的上述操作,以使无线设备在后续认证消息中发信号通知它的永久设备身份,该三种备选方法在三个信令图5a、5b和5c中示出。
图5a是公开了本公开的第一实施例的信令图,其中操作至少一个其他认证消息的步骤240包括:网络节点2用所拦截的认证消息中的假身份来替换别名,并提供修改后的认证消息。将修改后的认证消息转发给认证服务器3。可以在置于网络节点/认证方2中的功能模块F1中(在该附图中未示出)执行用该假身份的替换。因此,在从请求方接收EAP-响应/身份时,在发信号通知过程的步骤2中,网络节点2(即认证方)检测无线设备是否已经提供了它的永久身份。在一个示例中,网络节点检查来自无线设备的发信号通知的身份的格式,以检测该身份是否是它的永久身份。在检测到永久身份的情况下,网络节点2如图3中所示的常规EAP-SIM过程中所定义的,只是转发RADIUS接入请求/EAP响应身份消息。然而,在请求方使用别名(例如作为替代的化名或快速重新认证身份)的情况下,在图5a所示的信令过程的步骤2A中,网络节点2拦截EAP-响应/身份消息并在转发RADIUS接入请求/EAP响应/身份消息之前,用“假(dummy)”字符串来替代发信号通知的身份字符串。用这种方式,防止认证服务器能够将化名(或快速重新认证)身份映射至该用户的永久身份,并将进而在步骤4中通过***AT_PERMANENT_ID_REQ属性以在以下RADIUS接入质询/EAP请求/SIM/开始中请求用户的永久身份,在步骤5中认证方将AT_PERMANENT_ID_REQ属性转发给请求方。认证方等待直至请求方在步骤6中最终发送它的永久身份,在步骤7中将该永久身份转发给认证服务器3。根据标准EAP-SIM过程,剩余步骤8-15与图3中具有该标号的步骤相对应。
此外关于该第一实施例,从后续认证消息中获取250永久设备身份的步骤可以包括:网络节点接收来自认证服务器的请求(例如EAP-请求/SIM/开始消息),以向无线设备查询永久设备身份,并向无线设备转发针对永久设备身份的请求,其暗示EAP-请求/SIM/开始消息从网络节点向无线设备的中继。
图5b是示出第二实施例的信令图,其中操作至少一个其他认证消息的步骤包括:在所述其他认证消息中包括请求无线设备在后续认证消息中呈递永久设备身份的属性。如先前所解释的,请求方与无线设备相对应,并且认证方与网络节点相对应。图5b公开了第二实施例,其中可以在认证方中放置功能模块F2(该附图中未示出),并且它包括以下方法:拦截EAP-SIM消息,并且当从请求方接收EAP-响应/身份时,在图5b所示的信令过程的步骤2中,认证方检测请求方是否已经提供了它的永久身份。在检测到永久身份的情况下,如图3所示,根据正常的EAP-SIM过程,网络节点仅转发RADIUS接入请求/EAP响应/身份消息。
然而,在请求方使用别名(例如作为替代的化名或快速重新认证身份)的情况下,网络节点2在信令过程的步骤4中从认证服务器3拦截接收的RADIUS接入质询/EAP请求/SIM/开始消息,并检查EAP消息是否正承载AT_PERMANENT_ID_REQ属性。如果没有,则网络节点在步骤5中将其转发给请求方之前,在信令过程的步骤4-A中在EAP/SIM/开始消息中***AT_PERMANENT_ID属性。用那种方式,请求请求方在接下来的EAP/SIM/开始消息中提供它的永久身份。认证方等待直至请求方在步骤6中发送它的永久身份,它的永久身份在步骤7中被转发给认证服务器3。根据标准EAP-SIM过程,剩余步骤8-15与图3中具有该标号的步骤相对应。
此外,关于该第二实施例,从后续认证消息中获取250永久设备身份的步骤包括:网络节点从无线设备接收EAP-响应/SIM/开始消息,从该消息中获取永久设备身份,并将该消息封装在Radius消息或在DIAMETER消息中转发给认证服务器。
图5c示出了第三实施例,其中操作至少一个其他认证消息的步骤240包括:在接收来自请求方的EAP-响应/身份时,网络节点/认证方/Wi-Fi AP在信令过程的步骤2中检测请求方是否已经提供了它的永久身份。在请求方使用化名或快速重新认证身份而非它的永久身份的情况下,在步骤2a中,认证方在RADIUS接入请求/EAP响应/身份消息中***表明认证方希望认证服务器请求请求方的永久身份的属性(或标签),并在步骤3中将修改后的认证消息转发给认证服务器。进而,在步骤4中,认证服务器将解释标签并在RADIUS接入质询/EAP请求/SIM/开始消息中***AT_PERMANENT_ID_REQ属性,在步骤5中,在EAP/SIM/开始消息中将AT_PERMANENT_ID_REQ属性转发给请求方。认证方等待直至请求方在步骤6中发送它的永久身份,在步骤7中该永久身份被转发给认证服务器3。根据标准EAP-SIM过程,剩余步骤8-15与图3中具有该标号的步骤相对应。
然而,即使在所述实施例中仅提及了RADIUS协议,也可以使用DIAMETER协议。
因此,本发明的实施例为认证方/网络节点/Wi-Fi接入点提供请求方/无线设备在认证过程期间揭示它的永久身份的手段,该手段进而导致认证方在认证期间能够获得无线设备的永久身份。所提出的机制覆盖本文描述的三个实施例,但是其他实施例也在本发明的范围内。在上述第一和第二实施例中,不需要标准框架中的改变。然而,在第三实施例中,需要对认证框架的小改变。
图6a和6b示意性示出了网络节点/认证方/Wi-Fi接入点2的示例实施例。
图6a示出了包括网络通信单元602、处理单元606和存储器609的网络节点的第一方面。网络通信单元602被配置为与正在被认证的无线设备交换认证数据,并与后端认证服务器交换认证数据。处理器606被配置为基于接收到的认证数据允许/拒绝对正在被认证的无线设备的接入,并拦截和改变认证消息。存储器609被配置为:存储计算机可读指令,当处理器606执行该计算机指令时被配置为实现本文所述的方法。此外,网络节点2包括存储器609中存储的至少一个计算机程序产品608,并且计算机程序产品包括具有编码的指令的计算机程序610,当在处理单元606中执行该编码的指令时,使网络节点2执行例如先前结合图4描述的过程的动作。
存储器609可以是非易失性存储器的形式,例如EEPROM(电可擦除可编程只读存储器)、闪存和硬件驱动。计算机程序610可以被配置为在计算机程序模块610a-610d中构建的计算机程序代码。因此,在示例性实施例中,网络节点的计算机程序中的编码指令包括:拦截模块610a被配置为拦截来自无线设备的认证消息,其中认证消息包括无线设备的发信号通知的身份,提取模块610b被配置为从认证消息中提取发信号通知的身份,确定模块610c被配置为确定发信号通知的身份是否是别名,并且操作模块610d被配置为:如果/当设备身份是别名时,操作至少一个其他认证消息,以使在来自无线设备的后续认证消息中发信号通知永久设备身份。因此,计算机程序模块可以必要地执行图4中所示的流的动作,以仿真网络节点2。
根据另一实施例,计算机程序代码当在处理器中运行时,使网络节点从后续认证消息中获取永久设备身份。
网络节点可以与根据可扩展认证协议EAP的认证方实体相对应,并且后续认证消息可以是来自无线设备的可扩展认证协议EAP响应消息。此外,确定发信号通知的身份是否是别名可以包括:检查发信号通知的身份的格式,并且别名可以由认证服务器提供并代表化名身份或快速重新认证身份。永久设备身份可以包含国际移动订户身份IMSI。
根据操作的第一备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:通过用假身份来替代别名来提供修改后的认证消息,并将修改后的认证消息转发给认证服务器。此外,从后续认证消息中获取永久设备身份包括:从认证服务器接收向无线设备查询永久设备身份的请求,并将针对无线设备的请求转发给无线设备。
在认证过程期间,针对永久设备身份的请求可以包括AT_PERMANENT_ID_REQ-属性的使用,并且可以在EAP-请求/SIM/开始消息中包括针对永久设备身份的请求。此外,可以从认证服务器接收EAP-请求/SIM/开始消息,并且向无线设备发送针对永久设备身份的请求可以暗示从网络节点向无线设备中继EAP-请求/SIM/开始消息。
根据操作的第二备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:在所述其他认证消息中包括请求无线设备在后续认证消息中呈递永久设备身份的属性。此外,从另一认证消息中获取永久设备身份包括:网络节点从无线设备接收EAP/响应/SIM/开始消息,获取永久设备身份并将在RADIUS消息和/或在DIAMETER消息中封装的EAP/响应/SIM/开始消息转发给认证服务器。属性可以是AT_PERMANENT_ID_REQ-属性。
根据操作的第三备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:在所拦截的认证消息中***针对永久设备身份的请求以提供修改后的认证消息;向认证服务器转发修改后的认证消息;从认证服务器接收向无线设备查询永久设备身份的请求;以及向无线设备发送针对永久设备身份的请求。此外,修改后的认证消息可以包括:在后续认证消息中***针对AT-PERMANENT_ID_REQ-属性的请求。
然而,即使在上述结合图6a所公开的实施例中的编码指令被实现为计算机程序模块,所述计算机模块当在相应处理单元中执行时使网络节点结合上述附图来执行上述动作,在备选实施例中至少一个模块可以被至少部分地实现为硬件电路。
图6b示出网络节点/认证器/Wi-Fi AP2的另一方面,示出了网络通信单元602;拦截单元621,用于拦截来自无线设备的认证消息;提取单元622,用于从所述认证消息提取发信号通知的身份;和确定单元623,用于确定发信号通知的身份是否是别名。网络节点还包括操作单元624,用于在所述设备身份是别名时,操作至少一个其他认证消息,使得在来自所述无线设备的后续认证消息中发信号通知永久设备身份。可选地,网络节点包括获取单元625,用于从所述后续认证消息中获取无线设备的永久设备身份。因此,图6b中的单元执行的方法与图6a中的计算机程序模块中执行的方法相对应。然而,显然可以将至少一个上述单元至少部分地实现为硬件电路。处理器606可以是单个CPU(中央处理单元),还可以包括两个或更多个处理单元。例如,处理器可以包括通用目的的微处理器、指令集处理器和/或相关的芯片集和/或特殊目的微处理器(例如ASIC(专用集成电路))。处理器还可以包括用于高速缓存目的的板存储器。
应该理解的是,交互单元的选择,以及本公开内的单元的命名仅是示例的目的,并且可以用多种备选方式来任意上述方法,以能够执行所提出的过程动作。
尽管已经关于若干实施例描述了实施例,所理解的是,在阅读说明书和研读附图备选方式、修改、置换及其等价形式将显而易见。因此,目的在于:以下所附的权利要求包括这些备选、修改、置换和等价形式作为落入有所附权利要求定义的实施例的范围内。
Claims (14)
1.一种在网络节点中用于获得请求在所述网络节点处的认证的无线设备的永久设备身份的方法,所述方法包括:
-拦截(210)来自无线设备的认证消息,其中所述认证消息包括所述无线设备的发信号通知的身份,
-从所述认证消息中提取(220)所述发信号通知的身份,
-确定(230)所述发信号通知的身份是否是别名,以及
-当设备身份是别名时,对至少一个其他认证消息进行操作(240),使得在来自所述无线设备的后续认证消息中发信号通知永久设备身份,所述操作包括:
通过用假身份替代所述别名或通过***针对永久设备身份的请求来提供修改后的认证消息,
向认证服务器转发所述修改后的认证消息,
从认证服务器接收向所述无线设备查询所述永久设备身份的请求,以及
向所述无线设备发送针对所述永久设备身份的请求。
2.根据权利要求1所述的方法,其中所述网络节点是Wi-Fi接入点。
3.根据权利要求1或2所述的方法,所述方法还包括:从来自所述无线设备的所述后续认证消息中获取(250)所述永久设备身份。
4.根据权利要求1或2所述的方法,其中所述后续认证消息是来自所述无线设备的可扩展认证协议EAP响应消息。
5.根据权利要求1或2所述的方法,其中确定(230)所述发信号通知的身份是否是别名的步骤包括:检查所述发信号通知的身份的格式。
6.根据权利要求1或2所述的方法,其中所述别名是由认证服务器提供的,并且代表化名身份或快速重新认证身份。
7.根据权利要求1或2所述的方法,其中所述永久设备身份包含国际移动订户身份IMSI。
8.一种网络节点(2),被配置为获得请求在所述网络节点处的认证的无线设备(1)的永久设备身份,所述网络节点包括:
处理单元(606);以及
存储器(609),用于存储包括计算机程序代码的计算机程序(610),所述计算机程序代码当在处理器中运行时,使所述网络节点:
-拦截来自无线设备的认证消息,其中所述认证消息包括所述无线设备的发信号通知的身份,
-从所述认证消息中提取所述发信号通知的身份,
-确定所述发信号通知的身份是否是别名,以及当设备身份是别名时,对至少一个其他认证消息进行操作,使得在来自所述无线设备的后续认证消息中发信号通知永久设备身份,
其中所述操作包括:
通过用假身份替代所述别名或通过***针对永久设备身份的请求来提供修改后的认证消息,
向认证服务器转发所述修改后的认证消息,
从认证服务器接收向所述无线设备查询所述永久设备身份的请求,以及
向所述无线设备发送针对所述永久设备身份的请求。
9.根据权利要求8所述的网络节点,其中所述网络节点是Wi-Fi接入点。
10.根据权利要求8或9所述的网络节点,其中所述计算机程序代码当在处理器中运行时使所述网络节点:从来自所述无线设备的所述后续认证消息中获取所述永久设备身份。
11.根据权利要求10所述的网络节点,其中所述后续认证消息是来自所述无线设备的可扩展认证协议EAP响应消息。
12.根据权利要求8或9所述的网络节点,其中确定发信号通知的身份是否是别名包括:检查发信号通知的身份的格式。
13.根据权利要求8或9所述的网络节点,其中所述别名是由认证服务器提供的,并且代表化名身份或快速重新认证身份。
14.根据权利要求8或9所述的网络节点,其中所述永久设备身份包含国际移动订户身份IMSI。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361764229P | 2013-02-13 | 2013-02-13 | |
US61/764,229 | 2013-02-13 | ||
PCT/SE2013/050937 WO2014126518A1 (en) | 2013-02-13 | 2013-07-29 | Method and network node for obtaining a permanent identity of an authenticating wireless device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104982053A CN104982053A (zh) | 2015-10-14 |
CN104982053B true CN104982053B (zh) | 2018-12-04 |
Family
ID=51354412
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380072846.XA Active CN104982053B (zh) | 2013-02-13 | 2013-07-29 | 用于获得认证无线设备的永久身份的方法和网络节点 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9807088B2 (zh) |
EP (1) | EP2957114B1 (zh) |
CN (1) | CN104982053B (zh) |
WO (1) | WO2014126518A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016224522A (ja) * | 2015-05-27 | 2016-12-28 | 京セラ株式会社 | 端末装置およびサービスサーバ |
US10856135B2 (en) | 2016-01-25 | 2020-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for network access |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US9807104B1 (en) * | 2016-04-29 | 2017-10-31 | STEALTHbits Technologies, Inc. | Systems and methods for detecting and blocking malicious network activity |
CN107278364B (zh) * | 2017-05-04 | 2020-04-24 | 深圳前海达闼云端智能科技有限公司 | 节点认证方法及节点认证*** |
US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
US20190014095A1 (en) | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
US11943619B2 (en) * | 2020-10-29 | 2024-03-26 | Cisco Technology, Inc. | Openroaming augmentation method for EAP failures |
US20220167159A1 (en) * | 2020-11-25 | 2022-05-26 | Qualcomm Incorporated | Systems and methods for authenticating a wireless device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1645826A (zh) * | 2004-07-05 | 2005-07-27 | 华为技术有限公司 | 无线局域网用户建立会话连接的方法 |
EP2023564A1 (en) * | 2007-08-10 | 2009-02-11 | Nokia Siemens Networks Oy | Method and device fordata interception and communication system comprising such device |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7836305B2 (en) | 2004-05-06 | 2010-11-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method of and system for storage of I-WLAN temporary identities |
CN1274181C (zh) * | 2004-06-25 | 2006-09-06 | 华为技术有限公司 | 管理本地终端设备接入网络的方法 |
JP4966432B2 (ja) * | 2008-04-11 | 2012-07-04 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 非3gppアクセスネットワーク経由のアクセス |
US8965338B2 (en) * | 2008-06-09 | 2015-02-24 | Apple Inc | Network access control methods and apparatus |
US9237448B2 (en) * | 2012-08-15 | 2016-01-12 | Interdigital Patent Holdings, Inc. | Enhancements to enable fast security setup |
US10412666B2 (en) * | 2012-12-19 | 2019-09-10 | Telefonaktiebolabet Lm Ericsson (Publ) | UE accessibility indication for WI-FI integration in RAN |
-
2013
- 2013-07-29 CN CN201380072846.XA patent/CN104982053B/zh active Active
- 2013-07-29 US US14/767,497 patent/US9807088B2/en active Active
- 2013-07-29 WO PCT/SE2013/050937 patent/WO2014126518A1/en active Application Filing
- 2013-07-29 EP EP13875194.6A patent/EP2957114B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1645826A (zh) * | 2004-07-05 | 2005-07-27 | 华为技术有限公司 | 无线局域网用户建立会话连接的方法 |
EP2023564A1 (en) * | 2007-08-10 | 2009-02-11 | Nokia Siemens Networks Oy | Method and device fordata interception and communication system comprising such device |
Non-Patent Citations (1)
Title |
---|
3GPP TSG SA WG3 Security #27 S3-030081;Ericsson;《3GPP TSG SA WG3 Security #27 S3-030081》;20030220;1-2 * |
Also Published As
Publication number | Publication date |
---|---|
EP2957114A4 (en) | 2016-03-02 |
US20150381611A1 (en) | 2015-12-31 |
US9807088B2 (en) | 2017-10-31 |
WO2014126518A1 (en) | 2014-08-21 |
EP2957114B1 (en) | 2016-12-21 |
CN104982053A (zh) | 2015-10-14 |
EP2957114A1 (en) | 2015-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104982053B (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
US9668139B2 (en) | Secure negotiation of authentication capabilities | |
US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
US7707412B2 (en) | Linked authentication protocols | |
CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
US10880291B2 (en) | Mobile identity for single sign-on (SSO) in enterprise networks | |
JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
US8881235B2 (en) | Service-based authentication to a network | |
US20160119316A1 (en) | Wireless network authentication method and wireless network authentication apparatus | |
US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
US11917416B2 (en) | Non-3GPP device access to core network | |
BR112021003460A2 (pt) | dispositivo sem identidade de assinante, dispositivo de identidade do assinante, método para uso em um dispositivo sem identidade de assinante, método para uso em um dispositivo com identidade de assinante e produto de programa de computador | |
CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
JP7312279B2 (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
CN102026184A (zh) | 一种鉴权方法及鉴权***以及相关设备 | |
WO2019141135A1 (zh) | 支持无线网络切换的可信服务管理方法以及装置 | |
WO2021236078A1 (en) | Simplified method for onboarding and authentication of identities for network access | |
Asokan et al. | Man-in-the-middle in tunnelled authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |