采用diameter协议实现用户和设备分别认证的方法

摘要

一种采用Diameter协议实现用户和设备分别认证的方法，Authenticator设置Diameter客户端认证状态机的初始状态为IDLE；Authenticator根据收到的有关MS认证的属性值，构造相应的消息DER，并向AAA认证服务器发送所述DER消息；当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息，如果解析的DEA消息包含认证成功的属性值时，则表明第一轮认证成功完成；设置第一轮认证成功标志为TRUE；Authenticator根据收到的有关MS认证的属性值构造相应的DER消息，并向AAA认证服务器发送DER消息；当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息；如果解析的DEA消息包含认证成功的属性值，则转入Open状态，认证完成。本发明即可支持单轮认证也能支持double认证；在原有diameter认证状态机的基础上，稍作改动即可支持二轮认证，且具有后向兼容性。

说明书

技术领域

本发明涉及通信系统，特别是移动Wimax系统中一种采用diameter协议实现用户和设备分别认证(Double EAP)的方法。

背景技术

在Wimax关于网络结构的最新规范1.0.0版本中定义了四种认证方式：用户认证：User single EAP；设备认证：Device Single EAP；用户和设备同时认证：User/Device Single EAP；用户和设备分别认证：Double EAP(两个EAP过程被执行)。

用户和设备分别认证(即double EAP)的方法，即需要进行两轮认证：第一轮设备认证，第二轮用户认证。如果用户(User)和移动台(MS)的鉴权需要分开执行，就可以选择double EAP的方式。典型的应用场景是：当用户(User)和移动台(MS)的鉴权不在同一个实体，例如位于不同的AAA服务器时。如果用户(User)和移动台(MS)的鉴权发生在同一个实体，可以选用single EAP的鉴权方式。

Diameter系列协议是新一代的AAA技术。在ITU，3GPP/3GPP2等国际标准组织中，都已经正式将Diameter协议作为NGN，WCDMA和CDMA2000等未来通信网络的首选AAA协议。在Wimax关于网络结构的未来规范1.5版本，将包括Diameter协议。

在Diameter的规范RFC3588给出了采用diameter协议进行认证的session状态机：在Idle模式，Diameter Client向AAA认证服务器发送DER消息，包含认证请求信息；当Diameter client接收到DEA消息，包含认证成功的信息时，将转入OPEN状态，即标志着认证完成，用户可以进行有关的业务例如通话服务等。

根据Diameter协议给出的认证状态机，可以看出这种方式实际上只支持单论认证，即或者是设备认证或者是用户认证，或者是设备认证和用户认证同时进行的三种Single认证方式。一旦一轮认证成功即转入OPEN状态。所以说目前的diameter认证协议不支持用户和设备分别认证的两轮认证(double认证)。

发明内容

本发明的目的是提供一种采用Diameter协议来实现用户和设备两轮认证(double)的方法。

为实现上述目的，一种采用Diameter协议实现用户和设备分别认证的方法，包括步骤：

a)Authenticator设置Diameter客户端认证状态机的初始状态为IDLE；

b)Authenticator根据收到的有关MS认证的属性值，构造相应的消息DER，并向AAA认证服务器发送所述DER消息；

c)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息，如果解析的DEA消息包含认证成功的属性值时，则表明第一轮认证成功完成；

d)设置第一轮认证成功标志为TRUE；

e)Authenticator根据收到的有关MS认证的属性值构造相应的DER消息，并向AAA认证服务器发送DER消息；

f)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息；

i)如果解析的DEA消息包含认证成功的属性值，则转入Open状态，认证完成。

本发明所述方法即可支持单轮认证(Single)也能支持double认证；实现简单，在原有diameter认证状态机的基础上，稍作改动即可支持二轮认证，且具有后向兼容性；实用性强，能用于Wimax Forum、ITU，3GPP/3GPP2等的网络结构NGN中。

附图说明

图1是采用Diameter协议实现用户和设备分别认证(double EAP)的方法；

图2是MS采用Diameter协议执行double EAP认证的初始接入过程的实施例。

具体实施方式

MS初始接入过程中，MS和Authenticator首先交换鉴权能力。由Authenticator选择正确的鉴权方式，通知MS使用该方式开始进行认证。

在Wimax中定义的EAP-method：设备认证一般采用基于证书的X.509，因此相应的MS应该支持EAP-TLS方法。设备的MAC地址作为NAI的用户名在EAP-Identity/Response传递。对于用户认证，MS应该支持EAP-AKA，EAP-TTLS。他们使用SUBC(Subcription Credential)来产生鉴权向量。

对于设备认证和用户认证分离的double认证方法，两轮认证成功完成，Diameter的认证状态机进入OPEN状态后，Authenticator将根据设备认证过程和用户认证过程两轮认证产生的两个MSK来计算PKMv2所需的有关keys，例如AK等，并将AK发送给BS。MS将使用EMSK来计算其他应用有关的key。

涉及的主要功能实体包括MS、BS、Authenticator(ACR)，AAA server(CSN)。MS作为被鉴权的对象；AAA server是鉴权服务器；Authenticator是鉴权者，也可以理解为relay，主要负责转发MS和AAA Server之间的EAPmessages(协议转换)，此外还负责key管理和session管理等。

一种采用Diameter协议实现用户和设备分别认证(double EAP)的方法，参照图1，其主要步骤包括：

1)MS和Authenticator通过BS交换认证策略，Authenticator选择认证方式通知MS，并向MS请求认证标识(EAP-identity)。当Authenticator收到MS EAP-Identiy，置Diameter认证状态机的状态为IDLE；如果Authenticator选择Double认证，则置第一轮认证成功标志的初值为Flase；如果是Single认证，则转步骤6)；

2)Authenticator根据收到的MS的EAP-payload，构造相应的DER消息。向AAA认证服务器发送DER消息，包含设备认证请求信息等，Diameter认证状态机的状态进入Pending状态；

3)在Pending状态，当收到来自AAA认证服务器的DEA消息，Authenticator解析DEA消息，如果其包含认证成功的属性值时，则表明第一轮认证成功完成，转步骤5)；否则继续下一步；

4)在Pending状态，Authenticator将收到的DEA消息中的EAP-Payload，利用有关协议发送到MS，转步骤2)

5)设置第一轮认证成功标志为TRUE，状态仍是Pending state；

6)Authenticator根据收到的MS的EAP-payload，构造相应的DER消息。向AAA认证服务器发送DER消息，Diameter认证状态机的状态处于Pending状态；

7)在Pending状态，当收到来自AAA认证服务器的DEA消息，Authenticator解析DEA消息，如果其包含认证成功的属性值时，转步骤9)；否则继续下一步；

8)在Pending状态，Authenticator将收到的DEA消息中的EAP-Payload，利用有关协议发送到MS，转步骤6)

9)转入Open状态；认证完成。

实施例

采用double EAP认证，某MS使用本发明提出的方法的初始接入过程的实施例，参照图2，其主要步骤包括：

1)MS和Authenticator通过BS交换认证策略；

2)Authenticator选择认证方式，并通过BS向MS发送认证清求AuthRelay_EAP_TRANSFER消息，包含EAP-Request/Identity等信息；

3)MS收到EAP_TRANSFER(EAP-Request/Identity)消息后，通过BS向Authenticator回复EAP_TRANSFER(EAP-response/Identity)，上报认证所需的标识；

4)当Authenticator收到MS EAP-Identiy，置Diameter认证状态机的状态为IDLE，第一轮认证成功标志的初值为Flase；并根据收到的MS的EAP-payload，构造DER消息。

5)Authenticator向AAA认证服务器发送DER消息，包含设备认证请求信息等；

6)Diameter认证状态机的状态处于Pending状态；

7)MS和AAA server进行端到端的认证；MS和Authenticator之间采用EAP协议承载，Authenticator和AAA之间是diameter协议，即使用DER/DEA消息；

8)在AAA服务器端，当第一轮认证成功完成后，构造包含EAP-Success的DEA消息，并向Authenticator发送所述消息；

9)Authenticator的认证状态为Pending状态，当收到来自AAA认证服务器的DEA消息，Authenticator解析DEA消息，如果其包含认证成功的属性值时，则表明第一轮认证成功完成，置第一轮认证成功标志为TRUE；

10)Authenticator根据第一轮认证成功的MSK1/PKM1产生EIK，通过消息Context_Rpt发送到BS，BS回复Context_Rpt_Ack Ack消息；

11)Authenticator向BS发送包含EAP-Success属性的消息，BS使用EIK对此消息加密后发送到MS；

12)MS收到包含EAP-Success属性的消息后，首先验证此消息，若成功，发起第二轮认证请求；

13)BS转发MS的第二轮认证请求；

14)Authenticator收到MS的第二轮认证请求后，根据收到的消息内容构造DER；

15)Authenticator向AAA认证服务器发送DER消息，包含第二轮认证请求信息等，认证状态机处于pending，

16)MS和AAA server进行第二轮端到端的认证；MS和Authenticator之间采用EAP协议承载，Authenticator和AAA之间是diameter协议，即使用DER/DEA消息；

17)在AAA服务器端，当第二轮认证成功完成后，构造包含EAP-Success的DEA消息，并向Authenticator发送所述消息；

18)Authenticator的认证状态为Pending状态，当收到来自AAA认证服务器的DEA消息，Authenticator解析DEA消息，如果其包含认证成功的属性值时，且第一轮认证成功标志为TRUE，则认证完成，转入Open状态；

19)转入Open状态，double认证完成。Authenticator使用两轮认证生成的MSK生成相应的PMK，和AK等；

20)Authenticator向BS发送包含EAP-Success属性的消息；

21)BS向MS转发包含EAP-Success属性的消息；

22)Authenticator向BS发送AK等信息，BS发送对AK等信息的反馈消息；

23)BS和MS校验AK，为所述MS建立安全关联，及为此安全关联使用的合法的TEK等；

24)开始MS的attach过程，和数据链路的建立过程。MS完成初始接入。

上述实施例着重说明采用Diameter协议实现用户和设备分别认证(double EAP)的方法的Authenticator端的认证状态机的变化过程和消息流，其他有关内容有所简略，例如MS和BS间的协议、具体的消息内容，AK，TEK等key的产生过程均有所省略。这些不能理解为是对本发明的限制。