CN1674497A - Wlan终端接入移动网络的认证方法 - Google Patents
Wlan终端接入移动网络的认证方法 Download PDFInfo
- Publication number
- CN1674497A CN1674497A CNA2004100309100A CN200410030910A CN1674497A CN 1674497 A CN1674497 A CN 1674497A CN A2004100309100 A CNA2004100309100 A CN A2004100309100A CN 200410030910 A CN200410030910 A CN 200410030910A CN 1674497 A CN1674497 A CN 1674497A
- Authority
- CN
- China
- Prior art keywords
- access
- wlan terminal
- service unit
- authentication
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种WLAN终端接入移动网络的认证方法,包括:WLAN终端经AP向鉴别授权服务单元发送包含有该WLAN终端公钥证书的接入请求;鉴别授权服务单元根据WLAN终端公钥证书获取该WLAN终端在移动网络中的移动用户标识,通过获取的移动用户标识向移动网络的归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则将接入认证的成功信息经AP发送至当前WLAN终端,否则,将接入认证的失败信息经AP发送至当前WLAN终端。通过本发明方案使WLAN终端能够在WAPI机制下实现对移动网络的接入认证。
Description
技术领域
本发明涉及无线设备对移动网络的接入技术,特别是指一种无线局域网(WLAN)终端接入移动网络的认证方法。
背景技术
WLAN主要用于传输互联网协议(IP)分组数据包,一般由接入点(AP)提供用户终端的无线接入,然后通过网络控制器和连接设备完成IP包的传输。
无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是电气和电子工程师学会(IEEE)的IEEE 802.11b,它采用2.4GHz频段,最高数据传输速率可达到11Mbps。使用该频段的还有IEE802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE802.11a和欧洲通信标准化协会(ETSI)的ETSI BRANHiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)、宽带码分多址(WCDMA)、时分双工-同步码分多址(TD-SCDMA)、CDMA2000等***的互通正成为当前研究的重点。对于WLAN终端接入3GPP/3GPP2网络,第三代合作伙伴计划(3GPP)和第三代合作伙伴计划2(3GPP2)的方案标准化组织正在进行相关工作。
3GPP组织确定了采用扩展认证协议-签约用户标识模块(EAP-SIM)或扩展认证协议-认证和密钥协商(EAP-AKA)机制实现WLAN网络和3GPP网络的接入互通。对于WLAN-3GPP2网络的接入互通,EAP-AKA、扩展认证协议-无线认证和语音加密(EAP-CAVE)等机制则尚未确定。
上述方法均采用基于3GPP/3GPP2现有接入认证机制的基础上实现WLAN-3GPP/3GPP2网络的互通。在我国,目前制定了WLAN网络安全接入规范,即基于无线局域网鉴别和保密基础结构(WAPI)体制的接入认证机构。
无线局域网鉴别和保密基础结构(WAPI)由无线局域网鉴别基础结构(WAI)和无线局域网保密基础结构(WPI)组成。WAI完成认证功能,WPP提供空口加密功能。WAPI机制采用公钥密码技术实现客户的身份鉴别。鉴别服务单元(ASU)为每个用户分配公钥证书。公钥认证过程中公钥证书的格式参见表1所示:
公钥证书版本号 |
证书的序列号 |
证书颁发者采用的签名算法 |
证书颁发者名称 |
证书颁发者的公钥信息 |
证书的有效期 |
证书持有者名称 |
证书持有者的公钥信息 |
证书类型 |
保留字段 |
证书颁发者对证书的签名 |
表1
表1中,证书的序列号为每个由ASU颁发的公钥证书都需要分配的一个唯一的号码。证书颁发者采用的签名算法指定了证书颁发者所采用的签名算法,包括签名算法名称、签名长度与签名者采用的公钥长度。证书的颁发者名称指定颁发者的身份。证书持有者名称指定证书持有者的身份。证书类型表示证书持有者的设备类型,即STA、AP或ASU证书颁发者对证书的签名由证书颁发者对该证书上的所有字段项进行签名得到。
现有技术采用WAI机制WLAN终端的WLAN网络接入认证过程,参见图1所示。包括:
步骤101,AP给WLAN终端,此处举例为无线终端(STA),发送鉴别激活消息。
步骤102,STA接收到鉴别激活消息后,将STA的公钥证书通过接入鉴别请求消息发送给AP。
步骤103,AP接收到STA发来的接入鉴别请求消息后,提取出WLAN终端的证书,并将其连同AP自身的公钥证书和AP的签名封装在证书鉴别请求消息中,发送给ASU。
步骤104,ASU接收到证书鉴别请求消息后,验证AP的签名和AP证书的有效性,判断是否正确,如果不正确,则鉴别过程失败;如果正确,则ASU进一步验证STA的公钥证书。
步骤105,ASU将鉴别结果和ASU的签名构成证书鉴别响应消息发送给AP。
步骤106,AP对ASU返回的证书鉴别响应进行签名验证,得到请求STA的鉴别结果,根据该结果对WLAN终端进行接入控制,即当STA鉴别成功时,允许该STA接入,否则,拒绝该STA接入。AP将证书鉴别响应发送到请求STA,STA验证ASU的签名,判断鉴别结果,根据该结果确定是否接入AP,即当鉴别成功时,该STA可以接入AP,进入步骤107;否则,该STA不从该AP接入。
如果鉴别成功,STA和AP进行密钥协商,得到用于空口加密的密钥。
当WLAN终端为3GPP/3GPP2网络的签约用户,且WLAN终端希望通过WLAN网络接入3GPP/3GPP2网络业务时,例如:WLAN终端通过WLAN网络接收短信息(SMS)/多媒体短消息(MMS),且该WLAN网必须采用WAI认证时,如何实现基于WAPI机制的WLAN终端对移动网络接入认证,目前尚未有解决方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种WLAN终端接入移动网络的认证方法,使WLAN终端能够在WAPI机制下实现对移动网络的接入认证。
本发明提供的一种WLAN终端接入移动网络的认证方法,包括:
a)WLAN终端经AP向鉴别授权服务单元发送包含有该WLAN终端公钥证书的接入请求;
b)鉴别授权服务单元根据收到的接入请求中当前WLAN终端公钥证书获取该WLAN终端在移动网络中的移动用户标识;
c)鉴别授权服务单元通过当前获取的移动用户标识向移动网络的归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;
d)鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则将接入认证的成功信息经AP发送至当前WLAN终端,否则,将接入认证的失败信息经AP发送至当前WLAN终端。
该方法所述WLAN终端的公钥证书中与该WLAN终端在移动网络中的移动用户标识一一对应。
该方法所述WLAN终端的公钥证书中的证书持有者名称为该WLAN终端在移动网中的移动用户标识。
该方法预先设置公钥证书的证书持有者名称与移动用户标识的对应关系,则步骤b)具体包括:鉴别授权服务单元从所述当前WLAN终端的公钥证书中提取出证书持有者名称,根据证书持有者名称与移动用户标识的对应关系获取该WLAN终端在移动网络中的移动用户标识。
该方法所述步骤a)前进一步包括:所述AP向WLAN终端发送鉴别激活消息。
该方法所述步骤a)具体包括:a1)所述WLAN终端向AP发送包含有自身公钥证书的接入鉴别请求消息;
a2)所述AP将收到的接入鉴别请求消息中的当前WLAN终端公钥证书连同AP自身的公钥证书和AP签名通过证书鉴别请求消息向移动网络的鉴别授权服务单元发送;
所述步骤a)与b)之间进一步包括:b1)所述鉴别授权服务单元判断收到的证书鉴别请求消息中AP签名和AP公钥证书的是否有效,如果是,则进入步骤b2),否则,将接入认证的失败信息经AP发送至当前WLAN终端;
b2)所述鉴别授权服务单元判断接入请求中WLAN公钥证书的是否有效,如果是,则进入步骤b),否则,将接入认证的失败信息经AP发送至当前WLAN终端;
步骤d)中所述鉴别授权服务单元将接入认证的成功信息经AP发送至当前WLAN终端,具体包括:鉴别授权服务单元将包含有鉴权成功信息和鉴别授权服务单元自身的签名的证书鉴别响应消息发送至AP;
AP验证收到的证书鉴别响应消息中鉴别授权服务单元的签名是否正确,如果错误,则丢弃该证书鉴别响应消息,如果正确,则AP将证书鉴别响应消息中的信息通过接入鉴别响应消息发送至当前WLAN终端;
当前WLAN终端验证收到的接入鉴别响应消息中ASU签名是否正确,如果错误,则丢弃该接入鉴别响应消息,如果正确,则通过判定该接入鉴别响应消息中为鉴权成功的信息,准备通过该AP接入移动网络;
步骤b1)、b2)和d)中所述鉴别授权服务单元将接入认证的失败信息经AP发送至当前WLAN终端,具体包括:鉴别授权服务单元将包含有鉴权失败信息和鉴别授权服务单元自身的签名的证书鉴别响应消息发送至AP;
AP验证收到的证书鉴别响应消息中鉴别授权服务单元的签名是否正确,如果错误,则丢弃该证书鉴别响应消息,如果正确,则AP将证书鉴别响应消息中的信息通过接入鉴别响应消息发送至当前WLAN终端;
当前WLAN终端验证收到的接入鉴别响应消息中ASU签名是否正确,如果错误,则丢弃该接入鉴别响应消息,如果正确,则通过判断该接入鉴别响应消息中为鉴权成功的信息,放弃从该AP接入移动网络。
该方法步骤c)具体包括:c1)所述鉴别授权服务单元向移动网络的归属认证服务单元发送包含有当前WLAN终端移动用户标识的签约用户配置文件请求消息;
c2)归属认证服务单元根据签约用户配置文件请求消息中的移动用户标识查找该移动用户标识对应的WLAN接入配置文件,如果找到,则将找到的WLAN接入配置文件信息通过签约用户配置文件请求响应消息返回所述鉴别授权服务单元,否则,将包含有失败信息的接入配置文件通过签约用户配置文件请求响应消息返回所述鉴别授权服务单元;
步骤d)所述鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证的过程具体包括:鉴别授权服务单元对返回的签约用户配置文件请求响应消息进行分析,如果该响应消息中接入配置文件信息允许该WLAN客户端接入到移动网络,则移动网络接入认证通过,如果该响应消息中包含有查找失败的信息,或者响应消息中的接入配置文件信息拒绝该WLAN客户端接入到移动网络,则移动网络接入认证失败。
该方法步骤c2)中所述归属认证服务单元如果找到WLAN接入配置文件,则所述WLAN接入配置文件信息至少包括:授权信息、计费信息。
该方法所述步骤d)中如果当前WLAN终端通过接入认证,则进一步包括所述鉴别授权服务单元将当前WLAN终端注册到所述归属认证服务单元。
该方法所述鉴别授权服务单元中包括有ASU和移动网络的AAA服务器。
该方法所述鉴别授权服务单元中的ASU和移动网络的AAA服务器各自独立设置,则
所述步骤a)为WLAN终端经AP向ASU发送接入请求;
所述步骤b)为ASU根据公钥证书获取移动用户标识;
并在步骤b)与c)之间进一步包括:ASU向AAA服务器发送包含有所述移动用户标识的接入请求消息;
所述步骤c)为AAA服务器根据收到的接入请求消息中的移动用户标识从归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;
所述步骤d)为AAA服务器根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则AAA服务器将接入认证的成功信息通过接入请求响应消息发送至ASU,ASU将接入认证成功的信息经AP发送至当前WLAN终端,否则,AAA服务器将接入认证失败的信息通过接入请求响应消息发送至ASU,ASU将接入认证失败的信息经AP发送至当前WLAN终端。
该方法所述归属认证服务单元为HLR、或HSS、或H-AAA。
该方法所述移动用户标识为IMSI、或MSISDN、或MIN、或MDN。
从上述方案可以看出,本发明提供的一种WLAN终端接入移动网络的认证方法采用WAPI机制使WLAN终端对移动网进行接入认证,通过由鉴别授权服务单元获取WLAN终端的移动用户标识,并根据该移动用户标识向移动网络的归属认证服务单元获取WLAN接入配置文件,从而实现WLAN终端对移动网络的接入认证。本发明方案由于充分利用已有的技术标准,使方案更加简单,并且更具有通用性。通过本发明使移动网络运营商可以利用WLAN网络的WAPI鉴权加密机制完成WLAN用户的接入控制功能,使WLAN用户可以方便的通过WLAN网络接入移动网络业务。
附图说明
图1为现有技术采用WAI机制的WLAN终端对WLAN网络的接入认证过程示意图;
图2为本发明较佳实施例的WLAN终端接入移动网络的认证过程示意图;
图3为本发明另一较佳实施例的WLAN终端接入移动网络的认证过程示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的前提为:WLAN终端的WLAN网络接入认证采用WAI机制,在此情况下,ASU给每个WLAN客户颁发公钥数字证书,WLAN终端采用公钥证书标识自身。当WLAN终端通过WAI认证后,即可以访问Internet网络或其它专有网络,WLAN终端在接入WLAN时,空口采用WPI机制进行加密,以保护WLAN网络的通信安全。
对于3GPP/3GPP2等移动网络,移动用户采用国际移动签约用户标识(IMSI)、移动用户综合业务数字号码(MSISDN)、移动标识号码(MIN)或移动目录号码(MDN)标识自身,3GPP/3GPP2网络采用认证和密钥协商(AKA)或CAVE机制对移动用户进行接入认证。与此同时,3GPP/3GPP2网络中的归属认证服务单元,如:归属位置寄存器(HLR)、归属签约服务器(HSS)或归属认证、授权和计费服务器(Home AAA)中存储有移动用户的签约信息,签约信息中至少包括用户的移动用户标识、用户的业务号码、用户的业务属性等参数。其中,所述移动用户标识为IMSI或移动用户的手机号码(MSISDN)或移动用户标识号码(MIN)或移动目录号码(MDN)。用户的业务属性参数包括:话音业务参数、补充业务参数、分组域业务参数、定位业务参数、多媒体短消息(MMS)参数、短信(SMS)参数、流媒体等参数。
本发明WLAN终端接入移动网络的方案为WLAN终端经AP向ASU和AAA服务器共同构成的鉴别授权服务单元发送包含有该WLAN终端公钥证书的接入请求;鉴别授权服务单元根据WLAN终端公钥证书获取该WLAN终端在移动网络中的移动用户标识,再通过移动用户标识向移动网络的归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;然后,鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则将接入认证的成功信息经AP发送至当前WLAN终端,否则,将接入认证的失败信息经AP发送至当前WLAN终端。
本发明实施例的具体流程,参见图2所示。
步骤201,AP给WLAN终端,此处举例为STA,发送鉴别激活消息。
步骤202,STA接收到鉴别激活消息后,将本STA的公钥证书通过接入鉴别请求消息发送给AP。
步骤203,AP接收到STA发送来的接入鉴别请求消息后,提取出STA的公钥证书,并将其连同AP自身的公钥证书。AP的签名封装在证书鉴别请求消息中,发送给ASU。
步骤204,ASU接收到证书鉴别请求消息后,验证AP的签名和AP公钥证书的有效性,判断是否正确,如果不正确,则接入认证失败,进入步骤209;如果正确,则ASU进一步验证STA的公钥证书,如果STA的公钥证书验证成功,则进入步骤205,否则,接入认证失败,进入步骤209。
步骤205,ASU根据STA的公钥证书获取STA的移动用户标识,即IMSI或MSISDN,向3GPP/3GPP2的AAA服务器发送包含有STA移动用户标识的接入请求消息。
步骤206,当AAA服务器接收到接入请求消息后,根据消息中的移动用户标识,从3GPP/3GPP2的HLR/HSS/H-AAA中获取该用户的WLAN接入配置文件。
根据现有标准,AAA服务器从HLR/HSS/H-AAA获取WLAN接入配置信息的过程具体包括:
206a)AAA向HLR/HSS/H-AAA发送签约用户配置文件请求消息,消息中包括该请求STA的移动用户标识。
206b)HLR/HSS/H-AAA根据移动用户标识,查找该请求STA的配置文件,如果找到,将包含有授权信息、计费等信息的该STA的WLAN接入配置文件通过签约用户配置文件请求响应消息发送给AAA;如果没有找到,则将包含有失败信息的WLAN接入配置文件通过签约用户配置文件请求响应消息发送给AAA。
206c)AAA收到签约用户配置文件请求响应消息后向HLR/HSS/H-AAA返回确认消息。
步骤207,AAA服务器根据从HLR/HSS/H-AAA获取的签约用户配置文件请求响应消息内容判断是否允许该STA接入到3GPP/3GPP2网络,如果允许,则向ASU发送包括成功的接入标识接入请求响应消息,指示允许该STA接入到3GPP/3GPP2网络;如果签约用户配置文件请求响应消息内容为失败,则向ASU发送包括失败的接入标识接入请求响应消息,指示该STA不允许接入到3GPP/3GPP2网络。
步骤208,当ASU接收到AAA服务器发送来的接入请求响应消息后,对消息内容进行判断,如果接入请求响应消息中有成功的接入标识,则接入认证成功,进入步骤209;如果接入请求响应消息中为失败的接入标识,则接入认证失败,进入步骤209。
步骤209,如果接入认证成功,则ASU将由鉴别成功信息和ASU的签名构成证书鉴别响应消息发送给AP,进入步骤210;如果接入认证失败,则ASU将由鉴别失败信息和ASU的签名构成证书鉴别响应消息发送给AP,进入步骤210。
步骤210,AP对ASU返回的证书鉴别响应消息进行签名验证是否正确,如果错误,则丢弃该消息,如果正确,则判断鉴别响应消息中所包含的鉴别结果,如果为成功,则允许STA接入,将证书鉴别响应消息中的信息通过接入鉴别响应消息返回STA;如果为失败,则拒绝该STA接入,将证书鉴别响应消息中的信息通过接入鉴别响应消息返回STA。
STA收到接入鉴别响应消息后,验证接入鉴别响应消息中ASU的签名是否正确,如果错误,则丢弃该消息,如果正确,则判断消息中的鉴别结果,如果为成功,则STA准备从该AP接入3GPP/3GPP2网络;否则,该STA不从该AP接入,结束流程。
如果接入认证过程成功,在STA和AP进行密钥协商,得到用于空口加密的密钥后,通知AAA服务器,由AAA服务器将STA注册到HLR/HSS/H-AAA。
根据现有标准,AAA服务器将STA注册到HLR/HSS/H-AAA的过程具体包括:
1a)AAA向HLR/HSS/H-AAA发送WLAN注册消息,消息中包括所述STA的移动用户标识和AAA的地址。
1b)HLR/HSS/H-AAA存储与此移动用户标识相对应的AAA的地址,并向AAA返回WLAN终端注册确认消息,该消息中包括所述STA的移动用户标识。
另外,该AAA服务器将STA注册到用HLR/HSS/H-AAA的过程也可以在所述步骤207中AAA服务器根据从HLR/HSS/H-AAA获取的签约用户配置文件请求响应消息内容确定允许该STA接入到3GPP/3GPP2网络后直接执行。
在上述实施例中ASU和AAA服务器处于不同的实体中,在实际部署网络时,ASU和AAA可能为同一实体,比如:在AAA中设置ASU功能模块。为了叙述方便本发明中将ASU和AAA服务器的集合称为鉴别授权服务单元,在鉴别授权服务单元中ASU和AAA服务器可以如上面所述彼此独立,也可以共同构成一个实体,在这种情况下,相应WLAN终端用户接入过程,参见图3所示。
步骤301,AP给WLAN终端,此处举例为STA,发送鉴别激活消息。
步骤302,STA接收到鉴别激活消息后,将本STA的公钥证书通过接入鉴别请求消息发送给AP。
步骤303,AP接收到STA发送来的接入鉴别请求消息后,提取出STA的公钥证书,并将其连同AP自身的公钥证书、AP的签名封装在证书鉴别请求消息中,发送给鉴别授权服务单元。
步骤304,鉴别授权服务单元接收到证书鉴别请求消息后,验证AP的签名和AP公钥证书的有效性,判断是否正确,如果不正确,则接入认证失败失败,进入步骤307;如果正确,则鉴别授权服务单元进一步验证STA的公钥证书,如果STA的公钥证书验证成功,则进入步骤305,否则,接入认证失败失败,进入步骤307。
步骤305,鉴别授权服务单元根据STA的公钥证书获取STA的移动用户标识,从HLR/HSS/H-AAA中获取该用户的WLAN接入配置文件。
根据现有标准,鉴别授权服务单元从HLR/HSS/H-AAA获取WLAN接入配置信息的过程具体包括:
305a)鉴别授权服务单元向HLR/HSS/H-AAA发送签约用户配置文件请求消息,消息中包括该请求STA的移动用户标识。
305b)HLR/HSS/H-AAA根据用户标识,查找该请求STA的配置文件,如果找到,将包含有授权信息、计费等信息的该STA的WLAN接入配置文件通过签约用户配置文件请求响应消息发送给鉴别授权服务单元;如果没有找到,则将包含有失败信息的WLAN接入配置文件通过签约用户配置文件请求响应消息发送给鉴别授权服务单元。
305c)鉴别授权服务单元收到签约用户配置文件请求响应消息后向HLR/HSS/H-AAA返回确认消息。
步骤306,鉴别授权服务单元根据从HLR/HSS/H-AAA获取的签约用户配置文件请求响应消息内容确定是否允许该STA接入到3GPP/3GPP2网络,如果允许,则接入认证成功,进入步骤307;否则,接入认证失败,进入步骤307。
步骤307,如果接入认证成功,则鉴别授权服务单元将由鉴别成功信息和ASU的签名构成证书鉴别响应消息发送给AP,进入步骤308;如果接入认证失败,则鉴别授权服务单元将由鉴别失败信息和ASU的签名构成证书鉴别响应消息发送给AP,进入步骤308。
步骤308,AP验证证书鉴别响应消息中ASU的签名是否正确,如果错误,则丢弃该消息,如果正确,则判断鉴别响应消息中所包含的鉴别结果,如果为成功,则允许STA接入,将证书鉴别响应消息中的信息通过接入鉴别响应消息返回STA;如果为失败,则拒绝该STA接入,将证书鉴别响应消息中的信息通过接入鉴别响应消息返回STA。
STA收到接入鉴别响应消息后,验证接入鉴别响应消息中ASU的签名是否正确,如果错误,则丢弃该消息,如果正确,则判断消息中的鉴别结果,如果为成功,则STA准备从该AP接入3GPP/3GPP2网络;否则,该STA不从该AP接入,结束流程。
如果接入认证过程成功,在STA和AP进行密钥协商,得到用于空口加密的密钥后,通知鉴别授权服务单元,由鉴别授权服务单元将STA注册到HLR/HSS/H-AAA。
根据现有标准,A鉴别授权服务单元将STA注册到HLR/HSS/H-AAA的过程具体包括:
2a)鉴别授权服务单元向HLR/HSS/H-AAA发送WLAN注册消息,消息中包括所述STA的移动用户标识和鉴别授权服务单元的地址。
2b)HLR/HSS/H-AAA存储与此用户标识相对应的鉴别授权服务单元的地址,并向鉴别授权服务单元返回WLAN终端注册确认消息,该消息中包括所述STA的移动用户标识。
另外,该鉴别授权服务单元将STA注册到HLR/HSS/H-AAA的过程也可以在所述步骤306中鉴别授权服务单元根据从HLR/HSS/H-AAA获取的签约用户配置文件请求响应消息内容确定允许该STA接入到3GPP/3GPP2网络后直接执行。
本发明较佳的所述WLAN终端的公钥证书与该WLAN终端在移动网络中的移动用户标识一一对应。在以上两个实施例的步骤205和步骤305中,所述获取STA的移动用户标识的过程可以有两种方案:一种方案可以设定STA的公钥证书中证书持有者名称为移动网中该用户的移动用户标识,这样ASU可以直接提取出STA的公钥证书中的证书持有者名称作为用户的移动网标识。
另一种方案为配置一个目录服务器,该服务器中存储用户的证书持有者名称和移动用户标识的对应关系。该目录服务器可以位于ASU或AAA中,也可以独立配置。这样ASU首先提取出STA的公钥证书中的证书持有者名称,再通过目录服务器查找该证书持有者名称对应的移动用户标识。
本发明方案可适用于对3GPP、3GPP2等移动网络的接入。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1、一种WLAN终端接入移动网络的认证方法,其特征在于,包括:
a)WLAN终端经AP向鉴别授权服务单元发送包含有该WLAN终端公钥证书的接入请求;
b)鉴别授权服务单元根据收到的接入请求中当前WLAN终端公钥证书获取该WLAN终端在移动网络中的移动用户标识;
c)鉴别授权服务单元通过当前获取的移动用户标识向移动网络的归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;
d)鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则将接入认证的成功信息经AP发送至当前WLAN终端,否则,将接入认证的失败信息经AP发送至当前WLAN终端。
2、根据权利要求1所述的方法,其特征在于,所述WLAN终端的公钥证书中与该WLAN终端在移动网络中的移动用户标识一一对应。
3、根据权利要求2所述的方法,其特征在于,所述WLAN终端的公钥证书中的证书持有者名称为该WLAN终端在移动网中的移动用户标识。
4、根据权利要求2所述的方法,其特征在于,预先设置公钥证书的证书持有者名称与移动用户标识的对应关系,则步骤b)具体包括:鉴别授权服务单元从所述当前WLAN终端的公钥证书中提取出证书持有者名称,根据证书持有者名称与移动用户标识的对应关系获取该WLAN终端在移动网络中的移动用户标识。
5、根据权利要求1所述的方法,其特征在于,所述步骤a)前进一步包括:所述AP向WLAN终端发送鉴别激活消息。
6、根据权利要求1所述的方法,其特征在于,所述步骤a)具体包括:a1)所述WLAN终端向AP发送包含有自身公钥证书的接入鉴别请求消息;
a2)所述AP将收到的接入鉴别请求消息中的当前WLAN终端公钥证书连同AP自身的公钥证书和AP签名通过证书鉴别请求消息向移动网络的鉴别授权服务单元发送;
所述步骤a)与b)之间进一步包括:b1)所述鉴别授权服务单元判断收到的证书鉴别请求消息中AP签名和AP公钥证书的是否有效,如果是,则进入步骤b2),否则,将接入认证的失败信息经AP发送至当前WLAN终端;
b2)所述鉴别授权服务单元判断接入请求中WLAN公钥证书的是否有效,如果是,则进入步骤b),否则,将接入认证的失败信息经AP发送至当前WLAN终端;
步骤d)中所述鉴别授权服务单元将接入认证的成功信息经AP发送至当前WLAN终端,具体包括:鉴别授权服务单元将包含有鉴权成功信息和鉴别授权服务单元自身的签名的证书鉴别响应消息发送至AP;
AP验证收到的证书鉴别响应消息中鉴别授权服务单元的签名是否正确,如果错误,则丢弃该证书鉴别响应消息,如果正确,则AP将证书鉴别响应消息中的信息通过接入鉴别响应消息发送至当前WLAN终端;
当前WLAN终端验证收到的接入鉴别响应消息中ASU签名是否正确,如果错误,则丢弃该接入鉴别响应消息,如果正确,则通过判定该接入鉴别响应消息中为鉴权成功的信息,准备通过该AP接入移动网络;
步骤b1)、b2)和d)中所述鉴别授权服务单元将接入认证的失败信息经AP发送至当前WLAN终端,具体包括:鉴别授权服务单元将包含有鉴权失败信息和鉴别授权服务单元自身的签名的证书鉴别响应消息发送至AP;
AP验证收到的证书鉴别响应消息中鉴别授权服务单元的签名是否正确,如果错误,则丢弃该证书鉴别响应消息,如果正确,则AP将证书鉴别响应消息中的信息通过接入鉴别响应消息发送至当前WLAN终端;
当前WLAN终端验证收到的接入鉴别响应消息中ASU签名是否正确,如果错误,则丢弃该接入鉴别响应消息,如果正确,则通过判断该接入鉴别响应消息中为鉴权成功的信息,放弃从该AP接入移动网络。
7、根据权利要求1所述的方法,其特征在于,步骤c)具体包括:c1)所述鉴别授权服务单元向移动网络的归属认证服务单元发送包含有当前WLAN终端移动用户标识的签约用户配置文件请求消息;
c2)归属认证服务单元根据签约用户配置文件请求消息中的移动用户标识查找该移动用户标识对应的WLAN接入配置文件,如果找到,则将找到的WLAN接入配置文件信息通过签约用户配置文件请求响应消息返回所述鉴别授权服务单元,否则,将包含有失败信息的接入配置文件通过签约用户配置文件请求响应消息返回所述鉴别授权服务单元;
步骤d)所述鉴别授权服务单元根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证的过程具体包括:鉴别授权服务单元对返回的签约用户配置文件请求响应消息进行分析,如果该响应消息中接入配置文件信息允许该WLAN客户端接入到移动网络,则移动网络接入认证通过,如果该响应消息中包含有查找失败的信息,或者响应消息中的接入配置文件信息拒绝该WLAN客户端接入到移动网络,则移动网络接入认证失败。
8、根据权利要求7所述的方法,其特征在于,步骤c2)中所述归属认证服务单元如果找到WLAN接入配置文件,则所述WLAN接入配置文件信息至少包括:授权信息、计费信息。
9、根据权利要求1所述的方法,其特征在于,所述步骤d)中如果当前WLAN终端通过接入认证,则进一步包括所述鉴别授权服务单元将当前WLAN终端注册到所述归属认证服务单元。
10、根据权利要求1所述的方法,其特征在于,所述鉴别授权服务单元中包括有ASU和移动网络的AAA服务器。
11、根据权利要求10所述的方法,其特征在于,所述鉴别授权服务单元中的ASU和移动网络的AAA服务器各自独立设置,则
所述步骤a)为WLAN终端经AP向ASU发送接入请求;
所述步骤b)为ASU根据公钥证书获取移动用户标识;
并在步骤b)与c)之间进一步包括:ASU向AAA服务器发送包含有所述移动用户标识的接入请求消息;
所述步骤c)为AAA服务器根据收到的接入请求消息中的移动用户标识从归属认证服务单元中获取当前WLAN终端的WLAN接入配置文件;
所述步骤d)为AAA服务器根据获取的WLAN接入配置文件判断当前WLAN终端是否通过接入认证,如果是,则AAA服务器将接入认证的成功信息通过接入请求响应消息发送至ASU,ASU将接入认证成功的信息经AP发送至当前WLAN终端,否则,AAA服务器将接入认证失败的信息通过接入请求响应消息发送至ASU,ASU将接入认证失败的信息经AP发送至当前WLAN终端。
12、根据权利要求1所述的方法,其特征在于,所述归属认证服务单元为HLR、或HSS、或H-AAA。
13、根据权利要求1所述的方法,其特征在于,所述移动用户标识为IMSI、或MSISDN、或MIN、或MDN。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2004100309100A CN1674497A (zh) | 2004-03-26 | 2004-03-26 | Wlan终端接入移动网络的认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2004100309100A CN1674497A (zh) | 2004-03-26 | 2004-03-26 | Wlan终端接入移动网络的认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1674497A true CN1674497A (zh) | 2005-09-28 |
Family
ID=35046785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2004100309100A Pending CN1674497A (zh) | 2004-03-26 | 2004-03-26 | Wlan终端接入移动网络的认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1674497A (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008080351A1 (fr) * | 2006-12-29 | 2008-07-10 | China Iwncomm Co., Ltd. | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) |
CN100454876C (zh) * | 2007-02-06 | 2009-01-21 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
CN100456725C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络***和方法 |
WO2009106003A1 (zh) * | 2008-02-29 | 2009-09-03 | 西安西电捷通无线网络通信有限公司 | 在无线局域网中实现手机接入认证的设备及方法 |
CN101754203A (zh) * | 2009-12-25 | 2010-06-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络*** |
CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证*** |
WO2010102493A1 (zh) * | 2009-03-11 | 2010-09-16 | 西安西电捷通无线网络通信股份有限公司 | 在wlan中为不同终端提供特定接入流程的方法 |
CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、***及客户端 |
CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
CN101527908B (zh) * | 2009-04-08 | 2011-04-20 | 中兴通讯股份有限公司 | 一种无线局域网终端的预鉴别方法及无线局域网*** |
CN102420799A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
CN102421097A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
US8195935B2 (en) | 2006-09-23 | 2012-06-05 | China Iwncomm Co., Ltd. | Systems, methods and computer-accessible media for acquiring and authenticating public key certificate status |
CN102893669A (zh) * | 2012-07-02 | 2013-01-23 | 华为技术有限公司 | 接入移动网络的方法、装置及*** |
US8417951B2 (en) | 2008-05-09 | 2013-04-09 | China Iwncomm Co., Ltd. | Roaming authentication method based on WAPI |
US8516133B2 (en) | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
CN103379494A (zh) * | 2012-04-26 | 2013-10-30 | 丛林网络公司 | 移动网络网关连接的非移动认证 |
WO2013174190A1 (zh) * | 2012-05-23 | 2013-11-28 | 中兴通讯股份有限公司 | 路由选择方法及功能网元 |
CN104349295A (zh) * | 2013-07-31 | 2015-02-11 | 中国电信股份有限公司 | Wapi计费方法、***与接入控制器 |
CN105981345A (zh) * | 2013-09-27 | 2016-09-28 | 瑞典爱立信有限公司 | Wi-fi/分组核心网接入的合法侦听 |
CN103379494B (zh) * | 2012-04-26 | 2016-11-30 | 丛林网络公司 | 移动网络网关连接的非移动认证 |
WO2017035781A1 (en) * | 2015-09-01 | 2017-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-sim mobile terminals accessing a wireless communication network |
CN107005927A (zh) * | 2015-09-22 | 2017-08-01 | 华为技术有限公司 | 用户设备ue的接入方法、设备及*** |
CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
US10693770B2 (en) | 2013-09-30 | 2020-06-23 | Juniper Networks, Inc. | Service chaining within computer networks |
CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的***及方法 |
-
2004
- 2004-03-26 CN CNA2004100309100A patent/CN1674497A/zh active Pending
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
US8195935B2 (en) | 2006-09-23 | 2012-06-05 | China Iwncomm Co., Ltd. | Systems, methods and computer-accessible media for acquiring and authenticating public key certificate status |
WO2008080351A1 (fr) * | 2006-12-29 | 2008-07-10 | China Iwncomm Co., Ltd. | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) |
CN100454876C (zh) * | 2007-02-06 | 2009-01-21 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
CN100456725C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络***和方法 |
US8516133B2 (en) | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
WO2009106003A1 (zh) * | 2008-02-29 | 2009-09-03 | 西安西电捷通无线网络通信有限公司 | 在无线局域网中实现手机接入认证的设备及方法 |
US8417951B2 (en) | 2008-05-09 | 2013-04-09 | China Iwncomm Co., Ltd. | Roaming authentication method based on WAPI |
WO2010102493A1 (zh) * | 2009-03-11 | 2010-09-16 | 西安西电捷通无线网络通信股份有限公司 | 在wlan中为不同终端提供特定接入流程的方法 |
CN101527908B (zh) * | 2009-04-08 | 2011-04-20 | 中兴通讯股份有限公司 | 一种无线局域网终端的预鉴别方法及无线局域网*** |
CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络*** |
CN101754203A (zh) * | 2009-12-25 | 2010-06-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络*** |
CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证*** |
CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、***及客户端 |
CN102420799A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
CN102421097A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
CN102420799B (zh) * | 2010-09-27 | 2015-03-11 | ***通信集团公司 | 一种用户认证方法、装置及*** |
CN102421097B (zh) * | 2010-09-27 | 2015-12-09 | ***通信集团公司 | 一种用户认证方法、装置及*** |
CN103379494B (zh) * | 2012-04-26 | 2016-11-30 | 丛林网络公司 | 移动网络网关连接的非移动认证 |
CN103379494A (zh) * | 2012-04-26 | 2013-10-30 | 丛林网络公司 | 移动网络网关连接的非移动认证 |
US9264898B2 (en) | 2012-04-26 | 2016-02-16 | Juniper Networks, Inc. | Non-mobile authentication for mobile network gateway connectivity |
US10021566B2 (en) | 2012-04-26 | 2018-07-10 | Juniper Networks, Inc. | Non-mobile authentication for mobile network gateway connectivity |
WO2013174190A1 (zh) * | 2012-05-23 | 2013-11-28 | 中兴通讯股份有限公司 | 路由选择方法及功能网元 |
CN103428800A (zh) * | 2012-05-23 | 2013-12-04 | 中兴通讯股份有限公司 | 路由选择方法及功能网元 |
WO2014005267A1 (zh) * | 2012-07-02 | 2014-01-09 | 华为技术有限公司 | 接入移动网络的方法、装置及*** |
CN102893669A (zh) * | 2012-07-02 | 2013-01-23 | 华为技术有限公司 | 接入移动网络的方法、装置及*** |
CN102893669B (zh) * | 2012-07-02 | 2016-05-25 | 华为技术有限公司 | 接入移动网络的方法、装置及*** |
CN104349295A (zh) * | 2013-07-31 | 2015-02-11 | 中国电信股份有限公司 | Wapi计费方法、***与接入控制器 |
CN104349295B (zh) * | 2013-07-31 | 2018-02-16 | 中国电信股份有限公司 | Wapi计费方法、***与接入控制器 |
CN105981345A (zh) * | 2013-09-27 | 2016-09-28 | 瑞典爱立信有限公司 | Wi-fi/分组核心网接入的合法侦听 |
CN105981345B (zh) * | 2013-09-27 | 2019-06-18 | 瑞典爱立信有限公司 | Wi-fi/分组核心网接入的合法侦听 |
US10693770B2 (en) | 2013-09-30 | 2020-06-23 | Juniper Networks, Inc. | Service chaining within computer networks |
WO2017035781A1 (en) * | 2015-09-01 | 2017-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-sim mobile terminals accessing a wireless communication network |
EP3345416A4 (en) * | 2015-09-01 | 2019-03-06 | Telefonaktiebolaget LM Ericsson (PUBL) | METHODS AND DEVICES FOR AUTHENTICATING SIM-FREE MOBILE TERMINALS ACCESSING A WIRELESS COMMUNICATION NETWORK |
US10582382B2 (en) | 2015-09-01 | 2020-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-SIM mobile terminals accessing a wireless communication network |
CN107005927A (zh) * | 2015-09-22 | 2017-08-01 | 华为技术有限公司 | 用户设备ue的接入方法、设备及*** |
CN107005927B (zh) * | 2015-09-22 | 2022-05-31 | 华为技术有限公司 | 用户设备ue的接入方法、设备及*** |
CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的***及方法 |
CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的***及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1674497A (zh) | Wlan终端接入移动网络的认证方法 | |
US9392435B2 (en) | Method, system and apparatus for accessing a visited network | |
CN1689369A (zh) | 用于经由接入网建立连接的方法和*** | |
CN1265607C (zh) | 无线局域网中业务隧道建立的方法 | |
AU2007232622B2 (en) | System and method for optimizing authentication procedure during inter access system handovers | |
CN1274181C (zh) | 管理本地终端设备接入网络的方法 | |
CN1298194C (zh) | 基于漫游密钥交换认证协议的无线局域网安全接入方法 | |
CN1645826A (zh) | 无线局域网用户建立会话连接的方法 | |
CN1645960A (zh) | 无线局域网用户终端重新选择运营网络的交互方法 | |
CN1549526A (zh) | 一种实现无线局域网鉴权的方法 | |
CN1848994A (zh) | 一种实现微波接入全球互操作***鉴权的方法 | |
CN1842000A (zh) | 实现无线局域网接入认证的方法 | |
CN1283062C (zh) | 无线局域网用户实现接入认证的方法 | |
CN1259811A (zh) | 用于在通信***中进行鉴权的方法和装置 | |
CN1762129A (zh) | Wlan相互连接中的服务和地址管理***及方法 | |
CN1610319A (zh) | 无线局域网中选定业务的解析接入处理方法 | |
CN1809072A (zh) | 一种向后兼容的认证、授权、计费***网络结构和实现方法 | |
CN1889781A (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
CN1859335A (zh) | 无线局域网中无线局域网接入网关策略加载方法 | |
CN1756428A (zh) | Ip多媒体子***中对终端用户标识模块进行鉴权的方法 | |
CN1277368C (zh) | 无线局域网用户终端重新选择运营网络的交互方法 | |
CN1695132A (zh) | 终端验证***、终端验证方法和终端验证服务器 | |
CN1901486A (zh) | 一种无线局域网中隧道建立方法及*** | |
CN1848823A (zh) | 基于ip接入网络与移动网络短消息互通的***和方法 | |
CN1691582A (zh) | 实现wapi协议与802.1x协议兼容的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20050928 |