公开/公告号CN101437017A
专利类型发明专利
公开/公告日2009-05-20
原文格式PDF
申请/专利权人 三星电子株式会社;北京三星通信技术研究有限公司;
申请/专利号CN200710187148.0
申请日2007-11-16
分类号H04L29/06;H04L9/32;H04L12/28;
代理机构中科专利商标代理有限责任公司;
代理人戎志敏
地址 韩国京畿道
入库时间 2023-12-17 22:01:59
法律状态公告日
法律状态信息
法律状态
2017-01-04
未缴年费专利权终止 IPC(主分类):H04L29/06 授权公告日:20120704 终止日期:20151116 申请日:20071116
专利权的终止
2012-07-04
授权
授权
2009-07-15
实质审查的生效
实质审查的生效
2009-05-20
公开
公开
技术领域
本发明涉及通信系统,特别是移动Wimax系统中一种采用diameter协议实现用户和设备分别认证(Double EAP)的方法。
背景技术
在Wimax关于网络结构的最新规范1.0.0版本中定义了四种认证方式:用户认证:User single EAP;设备认证:Device Single EAP;用户和设备同时认证:User/Device Single EAP;用户和设备分别认证:Double EAP(两个EAP过程被执行)。
用户和设备分别认证(即double EAP)的方法,即需要进行两轮认证:第一轮设备认证,第二轮用户认证。如果用户(User)和移动台(MS)的鉴权需要分开执行,就可以选择double EAP的方式。典型的应用场景是:当用户(User)和移动台(MS)的鉴权不在同一个实体,例如位于不同的AAA服务器时。如果用户(User)和移动台(MS)的鉴权发生在同一个实体,可以选用single EAP的鉴权方式。
Diameter系列协议是新一代的AAA技术。在ITU,3GPP/3GPP2等国际标准组织中,都已经正式将Diameter协议作为NGN,WCDMA和CDMA2000等未来通信网络的首选AAA协议。在Wimax关于网络结构的未来规范1.5版本,将包括Diameter协议。
在Diameter的规范RFC3588给出了采用diameter协议进行认证的session状态机:在Idle模式,Diameter Client向AAA认证服务器发送DER消息,包含认证请求信息;当Diameter client接收到DEA消息,包含认证成功的信息时,将转入OPEN状态,即标志着认证完成,用户可以进行有关的业务例如通话服务等。
根据Diameter协议给出的认证状态机,可以看出这种方式实际上只支持单论认证,即或者是设备认证或者是用户认证,或者是设备认证和用户认证同时进行的三种Single认证方式。一旦一轮认证成功即转入OPEN状态。所以说目前的diameter认证协议不支持用户和设备分别认证的两轮认证(double认证)。
发明内容
本发明的目的是提供一种采用Diameter协议来实现用户和设备两轮认证(double)的方法。
为实现上述目的,一种采用Diameter协议实现用户和设备分别认证的方法,包括步骤:
a)Authenticator设置Diameter客户端认证状态机的初始状态为IDLE;
b)Authenticator根据收到的有关MS认证的属性值,构造相应的消息DER,并向AAA认证服务器发送所述DER消息;
c)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息,如果解析的DEA消息包含认证成功的属性值时,则表明第一轮认证成功完成;
d)设置第一轮认证成功标志为TRUE;
e)Authenticator根据收到的有关MS认证的属性值构造相应的DER消息,并向AAA认证服务器发送DER消息;
f)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息;
i)如果解析的DEA消息包含认证成功的属性值,则转入Open状态,认证完成。
本发明所述方法即可支持单轮认证(Single)也能支持double认证;实现简单,在原有diameter认证状态机的基础上,稍作改动即可支持二轮认证,且具有后向兼容性;实用性强,能用于Wimax Forum、ITU,3GPP/3GPP2等的网络结构NGN中。
附图说明
图1是采用Diameter协议实现用户和设备分别认证(double EAP)的方法;
图2是MS采用Diameter协议执行double EAP认证的初始接入过程的实施例。
具体实施方式
MS初始接入过程中,MS和Authenticator首先交换鉴权能力。由Authenticator选择正确的鉴权方式,通知MS使用该方式开始进行认证。
在Wimax中定义的EAP-method:设备认证一般采用基于证书的X.509,因此相应的MS应该支持EAP-TLS方法。设备的MAC地址作为NAI的用户名在EAP-Identity/Response传递。对于用户认证,MS应该支持EAP-AKA,EAP-TTLS。他们使用SUBC(Subcription Credential)来产生鉴权向量。
对于设备认证和用户认证分离的double认证方法,两轮认证成功完成,Diameter的认证状态机进入OPEN状态后,Authenticator将根据设备认证过程和用户认证过程两轮认证产生的两个MSK来计算PKMv2所需的有关keys,例如AK等,并将AK发送给BS。MS将使用EMSK来计算其他应用有关的key。
涉及的主要功能实体包括MS、BS、Authenticator(ACR),AAA server(CSN)。MS作为被鉴权的对象;AAA server是鉴权服务器;Authenticator是鉴权者,也可以理解为relay,主要负责转发MS和AAA Server之间的EAPmessages(协议转换),此外还负责key管理和session管理等。
一种采用Diameter协议实现用户和设备分别认证(double EAP)的方法,参照图1,其主要步骤包括:
1)MS和Authenticator通过BS交换认证策略,Authenticator选择认证方式通知MS,并向MS请求认证标识(EAP-identity)。当Authenticator收到MS EAP-Identiy,置Diameter认证状态机的状态为IDLE;如果Authenticator选择Double认证,则置第一轮认证成功标志的初值为Flase;如果是Single认证,则转步骤6);
2)Authenticator根据收到的MS的EAP-payload,构造相应的DER消息。向AAA认证服务器发送DER消息,包含设备认证请求信息等,Diameter认证状态机的状态进入Pending状态;
3)在Pending状态,当收到来自AAA认证服务器的DEA消息,Authenticator解析DEA消息,如果其包含认证成功的属性值时,则表明第一轮认证成功完成,转步骤5);否则继续下一步;
4)在Pending状态,Authenticator将收到的DEA消息中的EAP-Payload,利用有关协议发送到MS,转步骤2)
5)设置第一轮认证成功标志为TRUE,状态仍是Pending state;
6)Authenticator根据收到的MS的EAP-payload,构造相应的DER消息。向AAA认证服务器发送DER消息,Diameter认证状态机的状态处于Pending状态;
7)在Pending状态,当收到来自AAA认证服务器的DEA消息,Authenticator解析DEA消息,如果其包含认证成功的属性值时,转步骤9);否则继续下一步;
8)在Pending状态,Authenticator将收到的DEA消息中的EAP-Payload,利用有关协议发送到MS,转步骤6)
9)转入Open状态;认证完成。
实施例
采用double EAP认证,某MS使用本发明提出的方法的初始接入过程的实施例,参照图2,其主要步骤包括:
1)MS和Authenticator通过BS交换认证策略;
2)Authenticator选择认证方式,并通过BS向MS发送认证清求AuthRelay_EAP_TRANSFER消息,包含EAP-Request/Identity等信息;
3)MS收到EAP_TRANSFER(EAP-Request/Identity)消息后,通过BS向Authenticator回复EAP_TRANSFER(EAP-response/Identity),上报认证所需的标识;
4)当Authenticator收到MS EAP-Identiy,置Diameter认证状态机的状态为IDLE,第一轮认证成功标志的初值为Flase;并根据收到的MS的EAP-payload,构造DER消息。
5)Authenticator向AAA认证服务器发送DER消息,包含设备认证请求信息等;
6)Diameter认证状态机的状态处于Pending状态;
7)MS和AAA server进行端到端的认证;MS和Authenticator之间采用EAP协议承载,Authenticator和AAA之间是diameter协议,即使用DER/DEA消息;
8)在AAA服务器端,当第一轮认证成功完成后,构造包含EAP-Success的DEA消息,并向Authenticator发送所述消息;
9)Authenticator的认证状态为Pending状态,当收到来自AAA认证服务器的DEA消息,Authenticator解析DEA消息,如果其包含认证成功的属性值时,则表明第一轮认证成功完成,置第一轮认证成功标志为TRUE;
10)Authenticator根据第一轮认证成功的MSK1/PKM1产生EIK,通过消息Context_Rpt发送到BS,BS回复Context_Rpt_Ack Ack消息;
11)Authenticator向BS发送包含EAP-Success属性的消息,BS使用EIK对此消息加密后发送到MS;
12)MS收到包含EAP-Success属性的消息后,首先验证此消息,若成功,发起第二轮认证请求;
13)BS转发MS的第二轮认证请求;
14)Authenticator收到MS的第二轮认证请求后,根据收到的消息内容构造DER;
15)Authenticator向AAA认证服务器发送DER消息,包含第二轮认证请求信息等,认证状态机处于pending,
16)MS和AAA server进行第二轮端到端的认证;MS和Authenticator之间采用EAP协议承载,Authenticator和AAA之间是diameter协议,即使用DER/DEA消息;
17)在AAA服务器端,当第二轮认证成功完成后,构造包含EAP-Success的DEA消息,并向Authenticator发送所述消息;
18)Authenticator的认证状态为Pending状态,当收到来自AAA认证服务器的DEA消息,Authenticator解析DEA消息,如果其包含认证成功的属性值时,且第一轮认证成功标志为TRUE,则认证完成,转入Open状态;
19)转入Open状态,double认证完成。Authenticator使用两轮认证生成的MSK生成相应的PMK,和AK等;
20)Authenticator向BS发送包含EAP-Success属性的消息;
21)BS向MS转发包含EAP-Success属性的消息;
22)Authenticator向BS发送AK等信息,BS发送对AK等信息的反馈消息;
23)BS和MS校验AK,为所述MS建立安全关联,及为此安全关联使用的合法的TEK等;
24)开始MS的attach过程,和数据链路的建立过程。MS完成初始接入。
上述实施例着重说明采用Diameter协议实现用户和设备分别认证(double EAP)的方法的Authenticator端的认证状态机的变化过程和消息流,其他有关内容有所简略,例如MS和BS间的协议、具体的消息内容,AK,TEK等key的产生过程均有所省略。这些不能理解为是对本发明的限制。
机译: 网络安排为基于Diameter网络协议实现用户注册
机译: 用于管理用户的认证和授权并支持用户的系统,用于管理用户的认证和授权以访问多个网络的服务的方法,用于认证的控制器处理请求消息认证。选择搜索结果身份验证控制器的组合以对用户进行身份验证,并找出通往与dom有业务关系的dom的方法,该方法是授权控制器处理请求消息服务授权的地方,以及为身份验证和授权的控制器执行服务授权,以执行Tion和服务授权的身份验证,以保护用户的身份,并向国内dom u00ecnio用户身份验证的访问控制权限提供控制器的配置文件信息用户签名受限制,以实现快速的身份验证和授权,并仅以访问权限进行注册
机译: Diameter服务器中用户连接其他网络的认证和管理方法