在WiMAX系统中实现用户鉴权控制移动终端上线方法

摘要

本发明公开了一种在WiMAX系统中实现用户鉴权控制移动终端上线方法，包括如下步骤：用户开户时，在用户标识上增加限制多设备同时在线的签约属性；用户请求登陆，归属计费服务器完成用户鉴权；归属计费服务器检索其它移动终端，判断是否有与用户标识相同的其它移动终端在线，有则归属计费服务器向其它移动终端登录的前一接入服务网关提出请求，强制其它移动终端下线，移动终端上线，否则移动终端正常上线。采用本发明方法，用户可以在WiMAX系统中实现用户鉴权控制一台终端设备使用同一个NAI接入网络，保证运营商能够限制未开户的用户使用别人的账号接入网络。

说明书

技术领域

本发明涉及通讯领域，尤其涉及在全球互操作系统中使用仅用户鉴权时控制任意时刻同一个用户标识(Network Access Identifier，NAI)只允许一个设备上线的方法。

背景技术

全球微波接入互操作性(World Interoperability for Microwave Access，WiMAX)是一项基于IEEE802.16标准的宽带无线接入城域网(BroadbandWireless Access Metropolitan Area Network，BWAMAN)技术，具有覆盖范围广、可扩展性强以及业务质量(QoS)可控制等特点。WiMAX亦常被称为IEEE Wireless MAN(Metropolitan Area Network)，其基本目标是提供一种在城域网一点对多点的多厂商环境下，能有效地实现互操作宽带无线接入手段。

WiMAX网络的体系主要由三部分逻辑实体构成，如图1所示，分别是移动终端(MS)、接入服务网络(ASN)和连接服务网络(CSN)。ASN在MS和基站(BS)之间建立层二连接，其核心功能网元接入服务网关(ASN-GW)连接无线侧和网络侧，完成数据报文的分组路由。CSN主要包含鉴权授权计费服务器(AAA)和DHCP SERVER两个功能网元，其中，AAA维护用户信息、提供鉴权、授权和计费功能等，DHCP SERVER为移动终端分配IP地址。

WiMAX网络使用扩展鉴权协议(Extensible Authentication Protocol，EAP)，鉴权模式包括仅用户鉴权(User-only Authentication)、仅设备鉴权(Device-Only Authentication)、设备和用户单次鉴权(Device-User singleEAP)以及设备和用户两次鉴权(Device-User double EAP)。设备鉴权确认MS同网络是否兼容，并且有助于控制被盗的MS。用户鉴权和授权认证网络接入用户身份，向MS和ASN-GW授权用户签约信息。设备鉴权是一个可选过程，前提是MS预先定制了安全信用证书。对于用户鉴权，网络工作组(NWG)提供了扩展鉴权协议授权密钥确认(Extensible AuthenticationProtocol Authentication and Key Agreement，EAP-AKA)和EAP-TTLS两种鉴权算法。WiMAX网络的用户鉴权流程，如图2所示，包括如下步骤：

201：MS收到用户的登录消息后，向ASN-GW发送认证开始(EAPOL-Start)报文，触发认证过程；

202：ASN-GW向MS发送身份请求(EAP-Request/Identity)报文，要求获取用户名(Network Access Identifier，NAI)；

203：MS将用户名(NAI)通过身份回应(EAP-Response/Identity)报文发给ASN-GW；

204：ASN-GW将身份回应(EAP-Response/Identity)报文封装在EAP-Message属性中，发送远程身份验证拨入用户服务(Remote Authentication Dial In User Service，RADIUS)协议接入鉴权报文(Access-Request)给AAA；

205：AAA发送RADIUS协议质询报文(Access-Challenge)给ASN-GW；

206：ASN-GW透传质询请求(EAP-Request/AKA-Challenge或EAP-Request/TTLS-Start)给MS；

207：继续后续的EAP-AKA或EAP-TTLS鉴权流程；

208：MS接入鉴权成功，与AAA之间建立起主会话密钥(MSK)。

WiMAX网络中，用户的唯一标识是归属鉴权授权计费(HAAA)服务器中存储的用户真实NAI，没有类似于CDMA或GSM分组域网络中能够标识终端设备的国际移动用户识别码(International Mobile SubscriberIdentification Number，IMSI)。由上述用户鉴权流程可以看出，如果多个MS使用同一个NAI接入网络，目前的WiMAX用户鉴权算法是无法控制的，也就是说用户只需要开一个账号就可以提供给多个MS使用；更糟糕的是，用户即使没有开户也可以使用别人的账号接入网络，这对于运营商来说显然是不利的。

反观已经成熟的CDMA2000分组域网络，用户开户时，不仅需要创建NAI，还需要将NAI同MS的IMSI关联在一起。按照运营商的策略，NAI与IMSI之间可以是一对一关系，也可以是多对多关系。MS接入鉴权时，网络接入服务器(NAS)发送给HAAA的接入鉴权报文，同时携带NAI和IMSI，HAAA将会校验NAI，并确认NAI与IMSI是否存在对应关系，如果不存在对应关系，HAAA拒绝MS的接入请求。

WiMAX终端的介质访问控制(Media Access Control，MAC)地址有点类似于IMSI，但是开户时将终端的MAC地址与NAI绑定显然不是很方便，另外用户可能频繁更换使用的电脑，或希望自己的多台电脑使用同一个NAI，因此，CDMA2000分组域网络的办法不适宜推广到WiMAX网络。

因此，现有技术还有待于完善和发展。

发明内容

本发明的目的在于在WiMAX系统中提供一种User-Only EAP鉴权控制一个设备上线的方法，限制多个终端设备使用同一个NAI接入，从而保证运营商能够限制未开户的用户使用别人的账号接入网络。

为了解决上述目的，本发明提供了一种在WiMAX系统中实现用户鉴权控制移动终端上线方法，包括如下步骤：

A、用户开户时，在用户标识上增加限制多台移动终端同时在线的签约属性；

B、用户登陆，移动终端向接入服务网关发送接入网络请求，并由所述归属鉴权授权计费服务器完成用户鉴权；

C、用户鉴权完成后，所述归属鉴权授权计费服务器检索其它移动终端，并判断是否有与所述用户标识相同的其它移动终端在线，有则所述归属鉴权授权计费服务器向其它移动终端登录的前一接入服务网关提出请求，强制其它移动终端下线，所述移动终端上线；否则所述移动终端正常上线。

其中，所述方法还包括如下步骤：

D、所述归属鉴权授权计费服务器根据接入报文中的属性，判断接入鉴权报文携带的介质访问控制地址与所述归属鉴权授权计费服务器上保存的是否一致，是则所述归属鉴权授权计费服务器处理当前移动终端的重鉴权请求；否则重复步骤B和C。

其中，所述步骤B中，所述用户鉴权包括如下步骤：

B1、所述接入服务网关接收到所述移动终端发送来的接入请求后向所述鉴权授权计费服务器发送接入鉴权请求；

B2、所述鉴权授权计费服务器查询其它移动终端上的在线用户是否签约了限制多设备同时在线属性，是则所述鉴权授权计费服务器向前一接入服务网关提出请求，强制所述其它移动终端下线；否则转入步骤B3；

B3、所述鉴权授权计费服务器接受所述移动终端的接入请求，保存所述移动终端的在线用户会话信息，及授权用户的签约信息；

B4、所述其它移动终端的接入服务网关向所述鉴权授权计费服务器发送计费停止消息，且所述鉴权授权计费服务器处理计费停止报文；

B5、所述鉴权授权计费服务器向所述其它移动终端的接入服务网关回复计费停止响应，完成用户鉴权。

其中，步骤B1中包括如下步骤：

B11、所述鉴权授权计费服务器查找出与该用户标识相匹配的真实用户名，并保存该真用户名；

B12、所述鉴权授权计费服务器通过所述真用户名检索是否有使用所述用户标识的其它移动终端在线，有则转至步骤B2；否则转至步骤B3。

其中，步骤B3中，所述在线用户会话信息包括接入服务网关客户端ID、真实用户标识及介质访问控制地址。

其中，步骤B中，所述用户鉴权采用的信令为远程身份验证拨入用户服务协议消息，且所述用户鉴权采用的算法是扩展鉴权协议授权密钥确认鉴权算法。

其中，所述步骤C还包括如下步骤：

C1、其它移动终端下线，所述鉴权授权计费服务器将判断所述移动终端的接入服务网关拆链响应时间是否超，是则转至步骤C2，否则转至步骤C3；

C2、所述拆链响应出错并指示其它的失败原因，所述鉴权授权计费服务器拒绝所述移动终端的登陆请求；

C3、所述拆链响应出错并指示用户会话不存在，所述鉴权授权计费服务器清除所述在线用户会话信息，接受所述移动终端登陆请求。

与现有技术相比，采用本发明方法，用户可以在WiMAX系统中实现用户鉴权控制一台终端设备使用同一个NAI接入网络，保证运营商能够限制未开户的用户使用别人的账号接入网络；同时，该方法可以方便地应用到多种EAP用户鉴权算法中，以一种灵活和便于实现的机制控制多个终端设备使用同一个NAI接入网络，可以满足不同运营商的需要，支持同一个运营商为不同的用户提供差异化的服务。

附图说明

图1是现有WiMAX网络的体系结构示意图；

图2是现有WiMAX网络的用户鉴权消息流程图；

图3是本发明方法的实现流程图；

图4是本发明方法中的User-Only鉴权消息流程图；

图5是WiMAX系统的User-Only鉴权控制一个设备上线的消息流程图。

具体实施方式

下面结合附图，对本发明的较佳实施例作进一步详细说明。

请参阅附图3，本发明提供了一种在WiMAX系统中实现用户鉴权控制移动终端上线方法，该方法提供了一定的灵活性，可以满足不同运营商的需要，并支持同一个运营商为不同的用户提供差异化的服务；其实现步骤如下：

310、用户开户时，在用户标识上增加限制多移动终端(MS)同时在线的签约属性，禁止同一用户标识(NAI)的用户同时在多台移动终端上上线；

320、用户请求登陆，MS向接入服务网关(ASN-GW)发送接入网络请求，并由所述归属鉴权授权计费服务器(HAAA)完成用户鉴权；

330、用户鉴权完成后，HAAA检索其它MS，并判断是否有与NAI相同的用户在线，有则HAAA向其它MS登录的前接入服务网关(Pre-ASN-GW)提出请求，强制其它MS下线，所述移动终端上线；否则所述移动终端正常上线；

340、HAAA根据接入报文中的属性，判断接入鉴权报文携带的MAC地址与HAAA上保存的是否一致，是则HAAA不触发拆链响应，处理当前MS的重鉴权请求，否则重复步骤320和330；

其中，所述步骤320中，请参阅附图4，所述用户鉴权过程包括如下步骤：

321、用户请求登陆，MS发送接入网络请求，且ASN-GW向AAA发送远程身份验证拨入用户服务(RADIUS)协议接入鉴权报文；且AAA判断接入鉴权报文携带的NAI是否是随机用户名，是则查找与其相匹配的真实用户名，并通过真实用户名检索用户是否在线，如果其它用户在线，当前接入用户的MAC地址与在线用户的MAC地址不一致，则转入步骤322；如果其它用户不在线，转入步骤324；

322、AAA查询所述用户是否签约了限制多台MS同时在线属性，是则AAA向其它MS登录的Pre-ASN-GW发送RADIUS协议拆链请求(Disconnect-Request)，强制其它用户所在的移动终端下线，所述MS上线，转入步骤323；否则转入步骤324；

323、如果其它MS成功下线，Pre-ASN-GW回应成功(Disconnect-ACK)响应消息，否则Pre-ASN-GW回应失败(Disconnect-NAK)响应消息。当AAA如果收到Pre-ASN-GW的成功(Disconnect-ACK)或失败(Disconnect-NAK)响应消息，且所述响应消息中出错原因指示用户会话不存在，则AAA清除所述用户会话信息，转入步骤324；AAA如果在超时时间内没有收到Pre-ASN-GW的成功或失败响应消息，且所述响应消息中出错原因指示其它的失败原因，则拒绝MS的接入请求；

324、AAA接受MS的接入请求，保存MS的在线用户会话信息，授权用户签约信息，其中所述在线用户会话信息包括接入服务网关的NAS-ID、当前用户的真实NAI及MAC地址；

325、Pre-ASN-GW向AAA发送计费停止消息，且AAA处理计费停止报文；

326、AAA向Pre-ASN-GW回复计费停止响应，完成用户鉴权。

其中，所述步骤330中，如果其它移动终端成功下线，该步骤包括如下步骤：

331、其它移动终端下线，所述鉴权授权计费服务器将判断所述Pre-ASN-GW拆链响应时间是否超，是则转至步骤332，否则转至步骤333；

332、所述拆链响应出错并指示其它的失败原因，AAA拒绝MS的登陆请求；

333、所述拆链响应出错并指示用户会话不存在，AAA清除所述在线用户会话信息，接受MS登陆请求。

有时为了避免MS接入响应超时，在发送拆链请求(Disconnect-Request)后就向MS回复RADIUS协议接入允许(Access-Accept)报文，并接受当前MS的接入请求。AAA收到Pre-ASN-GW的拆链响应(Disconnect-ACK)后，再清除前一个其它MS的在线用户会话信息。同时，启动AAA后台任务，定时地扫描在线用户会话信息表，如果检索到被强制下线的用户仍然在线，重新发送拆链请求(Disconnect-Request)。

本实施例中，对于所述用户鉴权，网络工作组(NWG)采用扩展鉴权协议授权密钥确认(EAP-AKA)鉴权算法，请参阅附图5，其实现流程包括如下步骤：

401、MS收到用户的登录消息后，向ASN-GW发送认证开始(EAPOL-Start)报文，触发认证过程；

402、ASN-GW向MS发送身份请求(EAP-Request/Identity)报文，要求获取用户名(Outer-NAI)；

403、MS将用户名(Outer-NAI)通过身份回应(EAP-Response/Identity)报文发给ASN-GW；

404、ASN-GW将身份回应(EAP-Response/Identity)报文封装在EAP-Message属性中，发送RADIUS协议接入鉴权报文(Access-Request)给AAA；

405、AAA根据AKA加密算法，计算鉴权向量(RAND，AUTN，XRES，IK，CK)，发送RADIUS协议质询报文(Access-Challenge)给ASN-GW；

406、ASN-GW透传质询请求(EAP-Request/AKA-Challenge)给MS；

407、MS解析EAP-Request/AKA-Challenge，校验AUTN成功，生成鉴权结果RES，并向ASN-GW回复质询响应消息(EAP-Response/AKA-Challenge)；

408、ASN-GW将EAP-Response/AKA-Challenge消息封装在EAP-Message属性中，并再次向AAA发送RADIUS协议接入鉴权报文(Access-Request)，AAA校验MS上传的鉴权结果RES，并与本地计算的值检查比较，确认两者是否一致，如果一致，则表示鉴权通过；如果MS接入鉴权失败，AAA向ASN-GW发送接入拒绝报文(Access-Reject/EAP-Failure)，拒绝MS的接入请求；

409、AAA查询用户是否签约了“限制多设备同时在线”属性，如果签约了该属性，AAA发送RADIUS协议拆链请求(Disconnect-Request)给前一个MS登录的Pre-ASN-GW，强制在线用户下线，启动超时检测定时器；如果没有签约该属性，执行步骤411；

410、如果前一个MS成功下线，Pre-ASN-GW回应ACK消息(Disconnect-ACK)；否则Pre-ASN-GW回应NAK消息(Disconnect-NAK)；

411、AAA保存ASN-GW的NAS-ID、当前用户的真实NAI和MAC地址，向ASN-GW发送接入允许报文(Access-Accept/EAP-Success)，授权主会话密钥(MSK)和用户签约信息；

412、ASN-GW解析并且透传EAP-Success给MS，MS接入鉴权成功；

413、Pre-ASN-GW发送计费停止消息(Accounting-Request Stop)给AAA，AAA处理计费停止报文；

414、AAA向Pre-ASN-GW回复计费停止响应(Accounting-ResponseStop)。

综上所述，采用本发明方法，用户可以在WiMAX系统中实现用户鉴权控制一台终端设备使用同一个NAI接入网络，保证运营商能够限制未开户的用户使用别人的账号接入网络；同时，该方法可以方便地应用到多种EAP用户鉴权算法中，以一种灵活和便于实现的机制控制多个终端设备使用同一个NAI接入网络，可以满足不同运营商的需要，支持同一个运营商为不同的用户提供差异化的服务。

总之，本发明并不限于上述实施方式，任何熟悉此技术者，在不脱离本发明的精神和范围内，都应该落在本发明的保护范围之内。