一种无线蜂窝网络中网络层安全认证方法

专利名称：一种无线蜂窝网络中网络层安全认证方法
技术领域：
本发明涉及网络安全认证技术，特别是指一种无线蜂窝网络中网络层安 全认证方法。
背景技术：
现有技术中位于网络层也就是互联网协议(IP)层用于完成安全认证功
能的协议主要有两个网络接入认证承载协议(PANA， Protocol for Carrying Authentication for Network Access)禾口密钥交换(IKE， Internet Key Exchange Internet)协议。
PANA严格来说不是一种新的安全协议，而是作为承载，将现有的机制， 如可扩展认证协议(EAP， Extensible Authentication Protocol)重用，完成网 络层的接入认证。重用了现有的安全技术，如EAP、认证和密钥协商(AKA， Authentication and Key Agreement )、 传输层安全(TLS， Transport Layer Security)等来实现客户端与服务器间的双向认证，也可利用EAP方法协商 后续的保护两者之间数据的会话密钥。该协议使得认证在网络层进行，而与 具体的链路层技术无关，并为未来能支持多种IP接入能力的终端提供了统一 的认证和授权机制。
IKE协议也可以提供认证功能，但它的主要目的是为通信的双方协商IP 安全(IPsec， IP security)的安全关联(SA， Security Association),从而保护 后续的数据流，而不是一个专门的接入认证协议。它可以利用双方拥有的预 共享密钥或者基于公钥基础设施(PKI， Public Key Infrastructure)完成身份 的认证，使得对方相信正在通信的实体的身份。
虽然都可提供认证，但这两种协议的侧重点不同，PANA侧重接入认证 和授权，IKE协议则侧重SA的协商。
另外，AKA是3G网络采用的主要认证技术。该机制基于预共享密钥实 现网络与终端的双向认证。现有的流程中，终端会首先将身份发给网络，让
网络通过身份査询必要的信息，生成认证向量(AV)。 AV由随机数(RAND， Random challenge)、认证值(AUTN， Authentication Token)、期待的响应 (XRES， Expected Response )、完整性密钥(IK， Integrity Key)和加密密钥 (CK， Cipher Key)组成。网络会把RAND和AUTN发给终端，终端会根据 RAND、 AUTN中的序列号(SQN， Sequence Number)以及共享密钥生成相 同的AV，并比较生成的AUTN是否与接收到的AUTN相同，如果相同，则 成功认证网络。并且会将自己生成的响应(RES， Response)发给网络，同样 网络会将XRES和RES对比，如果相同，说明终端是合法的。由于AKA也 是EAP协议的一种认证方法，因此也可以用在PANA框架下。
近年来在3GPP2组织的会议中，提出了使用PANA协议作为未来 CDMA2000网络分组域无PPP操作(PFO， PPP Free Operation)中认证方式 的建议。这是考虑到PANA的一些优势，如与链路层技术无关等。在提案中 使用了标准的PANA流程。
然而，PANA协议要求客户端也就是PANA客户端(PaC， PANA Client) 在执行PANA之前已经获得了IP地址，这个要求在一般的局域网(LAN)或 者无线局域网(WLAN)容易满足。但对于无线蜂窝网络，如CDMA2000和 WCDMA的分组域，由于资源的限制，运营商对IP地址的控制会更严格一些。 以CDMA2000 lx EVDO (Evolution Data Optimization演进数据优化)为例， 网络会在接入终端(AT， Access Terminal)与分组数据服务节点(PDSN， Packet Data Serving Node)间完成认证后，才给AT分配IP地址，这个认证不是在 网络层进行的。
如果将PANA应用到未来的无线蜂窝网络来实现接入认证和授权，也需 要在执行PANA前给移动台(MS, Mobile Station)分配一个IP地址，但如 果执行过程中网络不能成功地认证终端，则需要收回原来分配的IP地址或等 待终端主动释放。通常动态主机配置协议(DHCP)会给IP地址设定生命期， 在生命期内，如果网络不主动收回地址，会造成IP地址资源的消耗，攻击者
也可利用这一点实施地址耗尽攻击。
因此，如果使用标准的PANA流程，需要在移动台MS发起认证前就获
得IP地址，由于无线蜂窝网络对IP地址的分配控制的比较严格，虽然可以
分配一个内部地址，但IP地址仍旧是网络的一种资源，在MS认证前就分配，
对于蜂窝网是不太合适的，因为如果认证失败，还需要收回原来分配的地址。 并且也容易导致一些攻击。

发明内容
本发明提出了一种在无线蜂窝网络网络层安全认证方法，避免在安全认 证过程中IP资源的过度消耗。
基于上述目的本发明提供的一种无线蜂窝网络中网络层安全认证方法， 包括-
A. 移动台MS与分组域承担认证功能的实体之间建立针对该MS的信息 交互专用通道；
B. 当前MS通过所建立的专用通道以及分组域承担认证功能的实体的转 发，与无线蜂窝网络中的网络认证实体之间进行安全认证；
C. 如果分组域承担认证功能的实体收到认证成功的信息，则分组域承担 认证功能的实体将为当前MS分配的IP地址通过所建立的专用通道发送给该 MS。
该方法在步骤B所述安全认证过程中，所述当前MS通过多播数据包、 或者广播数据包、或者源地址为不确定的数据包将安全认证过程中需要交互 的信息从所述专用通道发送给分组域承担认证功能的实体；
所述分组域承担认证功能的实体通过多播数据包、或者广播数据包、或 者目的地址为不确定的数据包将安全认证过程中需要交互的信息从所述专用 通道发送给当前MS;
在步骤C所述分组域承担认证功能的实体通过多播数据包、或者广播数 据包、或者目的地址为不确定的数据包将为当前MS分配的IP地址通过所建 立的专用通道发送给该MS。
该方法所述数据包为IP数据包格式，或者PANA协议的报文格式。
该方法步骤B中所述安全认证过程包括
all.所述分组域承担认证功能的实体通过所述专用通道向MS发送身份 请求；
a12.当前MS接收到身份请求后，通过所述专用通道向分组域承担认证
功能的实体发送自身的身份信息；
a13.分组域承担认证功能的实体将当前MS的身份信息发送给网络认证 实体；
a14.网络认证实体根据所收到的身份信息生成网络认证参数，并发送给 分组域承担认证功能的实体；
a15.分组域承担认证功能的实体将网络认证参数通过所述专用通道转发 给MS;
a16.当前MS根据分组域承担认证功能的实体发送来的网络认证参数验 证网络的合法性，如果验证通过，当前MS发送包含有终端认证参数的认证 响应给分组域承担认证功能的实体；
a17.分组域承担认证功能的实体将当前MS的终端认证参数转发给网络 认证实体；
a18.网络认证实体根据终端认证参数验证终端的合法性，如果验证通过， 网络认证实体向分组域承担认证功能的实体发送认证成功的结果。 该方法步骤C包括
a19.分组域承担认证功能的实体将认证成功的结果和为当前MS分配的 IP地址通过所述专用通道发送给当前MS;
a20.当前MS收到认证成功的结果后，通过所述专用通道向分组域承担 认证功能的实体回送确认消息。
该方法步骤a20中所述确认消息承载在源地址为所述为当前MS分配的 IP地址的单播数据包中发送。
该方法步骤C包括
al9'.分组域承担认证功能的实体将认证成功的结果通过所述专用通道 发送给当前MS;
a20，.当前MS收到认证成功的结果后，通过所述专用通道向分组域承担 认证功能的实体回送确认消息；
a21，.分组域承担认证功能的实体将为当前MS分配的IP地址通过所述 专用通道发送给当前MS。
该方法步骤B中所述安全认证由终端侧发起，所述步骤all前进一步包括当前MS发送认证请求的消息；分组域承担认证功能的实体收到该消息
后，执行步骤all。
该方法步骤B所述安全认证过程采用认证和密钥协商协议AKA。 该方法所述步骤A包括当前MS与所属基站BS建立物理层和链路层
连接，BS为该MS分配空口无线资源；
所述BS与分组域承担认证功能的实体之间建立针对当前MS的数据链路。
该方法所述分组域承担认证功能的实体是CDMA2000网络的接入节点 AN，或者是分组数据业务网络PDSN，或者演进网络实体控制接入点CAP， 或通用分组无线服务GPRS网络的GPRS业务支持节点SGSN。
该方法所述网络认证实体是认证、授权和计费AAA服务器、或认证中心 AuC。
从上面所述可以看出，本发明提供的无线蜂窝网络网络层安全认证方法， 认证前不需要给MS分配IP地址，只有在MS被成功认证后，才给它分配IP 地址，从而有效的保护了IP地址资源，同时，地址的分配与认证结合在一起， 不用执行通常复杂而且耗时的地址分配流程，提高了效率，对于减少时延也 是非常有利的。


图1为本发明采用IP数据包承载认证参数进行网络层安全认证的流程示 意图2为本发明采用PANA协议承载认证参数进行网络层安全认证的流程 示意图。
具体实施例方式
现有和未来无线蜂窝网的IP分组域基本上都包括移动台(MS);基站 (BS， Base Station);分组域实体(PDE， Packet Domain Entry),例如 CDMA2000网络的接入节点(AN)、分组数据业务网络(PDSN)，或者演进 网络实体控制接入点(CAP, Controlling Access Point),或者通用分组无线服 务(GPRS)网络的GPRS业务支持节点(SGSN);以及网络认证实体，例如 认证、授权和计费(AAA)服务器、或认证中心(AuC， Authentication Center)。
通常分组域实体也承担了与MS进行认证的功能。在后面的描述中，所指的 PDE都具有对移动台认证的功能。
无线蜂窝网络的IP分组域与一般的以太网络有一定差别。MS和BS建 立空口连接后，BS会给MS分配空口资源，MS有自己独立的物理信道和链 路。这个信道与其他用户的信道是独立的，它不像以太网，媒体是共享的。 并且BS会与PDE建立通道，用来传输某个MS的数据，例如CDMA2000中 的A8和A10连接。MS发送的数据包通过空口的无线链路，以及BS与PDE 间的通道到达PDE， PDE是MS的IP层第一跳设备。MS发送广播或多播包 时，首先只有PDE能够接收到，同样，PDE也可以对MS的广播或多播包进 行应答。并且这样的报文对于其他MS是不可见的。本发明利用了无线蜂窝 网的这种特点，首先，在MS与PDE之间建立针对该MS的信息交互专用通 道；此后MS通过所建立的专用通道以及PDE的转发，与无线蜂窝网络中的 网络认证实体之间进行安全认证；如果PDE收到认证成功的信息，贝U PDE 将为MS分配的IP地址通过所建立的专用通道发送给该MS。
下面仍然以采用AKA协议进行认证为例，对本发明的几个较佳的实施例 进行详细说明。
基于AKA协议，AV中各种参数的计算与AKA认证中的相同，MS上的 用户身份模块与AAA服务器间存在预共享密钥K。
参见图1所示，为采用IP数据包承载认证参数进行网络层安全认证的过 程，包括以下步骤
步骤101， MS与BS建立物理层和链路层连接，BS为MS分配空口无线 资源。
步骤102， BS与PDE间建立针对当前这个MS的数据链路。 在经过步骤IOI和102后，当前MS与PDE之间建立起了为该MS传递 消息的专用通道。
步骤103，如果由网络侧首先发起认证，则PDE通过建立的所述通道向 MS发送身份请求，由于这个时候MS还没有IP地址，因此承载该身份请求 的数据包是多播、广播、或者目的地址是不确定的数据包。
由于通过所述专用通道发送的数据包对于其他MS来说是不可见的，因
此这些数据包只有当前MS能够接收。
步骤104，当前MS接收到身份请求后，通过建立的通道向PDE回送自 身的身份信息。其中，由于尚未给该MS分配IP地址，因此，用于承载身份 信息的数据包是多播、广播、或者源地址不确定的数据包。
由于PDE是MS的IP层第一跳设备，因此MS通过上述方式发送数据包 时，首先只有PDE能够接收到。
步骤105， PDE接收到当前MS的身份信息后，将当前MS的身份信息 转发给AAA服务器。具体可以利用RADIUS协议通过RADIUS Access-R叫uest消息将当前MS的身份信息转发给AAA服务器。
步骤106， AAA服务器根据所收到的身份信息生成网络认证参数。 具体包括AAA服务器根据所收到的身份信息查询对应的用户的密钥K 以及其他所需要的用户信息，接着执行AKA的算法，生成认证向量五元组 AV，包括RAND、 AUTN、 XRES、 IK和CK。另外，由于需要对EAPAKA 数据包进行完整性保护，AAA服务器还会衍生密钥TEK( Transient EAP Key), TEK中的完整性密钥用于计算完整性值AT—MAC 。
步骤107， AAA服务器将生成网络认证参数发送给PDE。 具体包括AAA服务器将计算得到的RAND、 AUTN以及EAP AKA的 消息完整性值AT—MAC利用RADIUS协议通过该协议的RADIUS Access-Challenge消息发给PDE。
步骤108， PDE将网络认证参数通过所述专用通道转发给MS。 具体包括PDE生成包含有上述RAND、 AUTN，以及AT—MAC的认证 请求，通过所建立的专用通道向MS发送。其中，承载该认证请求的数据包 是多播、广播、或者目的地址为不确定的数据包。
步骤109,当前MS根据收到的网络认证参数验证网络的合法性。 具体包括当前MS根据PDE发送来的RAND和AUTN中的序列号SQN， 以及已知的预共享密钥K生成对应的AV，然后验证AUTN是否与自身计算 的相同，并根据计算的TEK校验AT一MAC是否正确，如果全部通过，说明 网络是合法的；否则，说明是不合法的，认证失败。另外，为了防止重放攻 击，当前MS还会检查序列号是否在正确的范围内，如果不正确，还会再执
行重同步过程。
步骤IIO，若对网络的认证成功，当前MS发送包含有终端认证参数的认 证响应给PDE。
具体为当前MS将自身生成的AV中MS侧的认证值响应RES通过所
述专用通道发送给PDE。其中，承载该RES的数据包是多播、广播、或者源
地址为不确定的数据包。
步骤111， PDE将当前MS终端认证参数转发给AAA服务器。 具体可利用RADIUS协议通过该协议的RADIUS Access-Request消息将
当前MS的RES发给AAA服务器。
步骤112， AAA服务器利用终端认证参数验证终端的合法性。 具体包括AAA服务器将前面计算的AV中的XRES与接收到的RES
做比较，如果相同，说明对当前MS的认证成功；否则，认证失败。
步骤113，若对当前MS的认证成功，AAA服务器将认证成功的结果发
送给PDE。
所述认证成功的结果具体可以通过RADIUS协议的RADIUS Access-Accept消息。另外还可以同时将这次AKA协商好的用于保护后续通 信的主密钥(MSK， Master Session Key)发给PDE。
步骤114， PDE将认证成功的结果通过所建立的通道发送给当前MS。另 外，也可以将PDE分配给当前MS的IP地址同时发送给当前MS。其中，承 载该认证成功结果的数据包是多播、广播、或者目的地址为不确定的数据包。 此外，MS的IP地址的分配也可以在认证结束后进行，即在收到MS返回的 认证成功的确认消息后，PDE通过所述通道将分配给当前MS的IP地址发送 给MS。同样，承载该IP地址的数据包是多播、广播、或者目的地址不确定 的数据包。
步骤115，当前MS收到认证成功的结果后通过所建立的通道向PDE回 送确认消息。如果MS得到了IP地址，则承载这个确认消息的数据包是单播 数据包，源地址为当前MS得到的IP地址；否则仍采用多播、广播、或者源 地址不确定的数据包发送。
上述流程中，由于MS在初始认证时还没有IP地址，因此以上步骤103、
104、 108、 110和114中会使用多播、广播、或者MS地址不确定的数据包， 以IPv4为例如果PDE不知道MS的地址，发送的数据包地址可以是(a.b.c.d —〉255.255.255.255)应答，而MS的应答也可以是(255.255.255.255—> a.b.c.d)最后MS在得到IP地址后，使用(m.n.o.p—>a.b.c.d)发送确认消息。 本实施例在MS第一次执行认证前，是不具有IP地址的，在认证成功后， PDE才会给MS分配IP地址。后续，PDE和MS都还可以再发起认证，由于 这时MS已获取了IP地址，因此只是都以单播进行通信，除承载认证信息的 IP数据包改为单播数据包外，认证流程与上述步骤103至步骤115相同，这 里不在赘述。
上述实施例中初始的安全认证过程都是由网络侧发起的，也可以由终端 侧发起。在由终端侧发起时，与网络侧发起的流程相同，也需要首先在MS 和BS之间建立物理层和链路层连接，BS为MS分配空口无线资源；BS和 PDE间建立针对这个MS的数据链路。这时，MS可以首先发送认证请求的 消息，由于MS此时没有IP地址，因此该消息也是多播、或广播、或者源地 址不确定的数据包。PDE是网络中处理MS的IP包的第一个实体，因此中间 实体如BS不会关心该IP包的内容，只是做转发。当PDE收到这个消息后， 得知MS希望进行认证，因此会发送相应的应答消息，请求MS的身份，其 中应答消息也可以通过多播、或广播、或者目的地址不确定的数据包发送。 后续的过程与前面所述的网络侧发起的认证过程相同。
以上的实施例中给出了在网络层利用IP数据包来传输认证参数的方法流 程。另外，也可以利用现有的PANA协议，采用现有的PANA协议的报文格 式，或者还可使用其他封装模式来传递认证参数。下面对采用PANA协议来 传递认证参数实现安全认证的过程进行具体说明，参见图2所示。
步骤201, MS与BS建立物理层和链路层连接，BS为MS分配空口无线 资源。
步骤202， BS与PDE间建立针对当前这个MS的数据链路。 至此，当前MS与PDE之间建立起了为该MS传递消息的专用通道。 步骤203，如果由网络首先发起认证，则PDE首先利用PANA发现与握 手阶段的Start-Request消息通过所建立的通道向MS发送身份请求。
步骤204，当前MS接收到身份请求后，通过建立的通道将自身的身份信 息承载在Start-Answer消息中回送给PDE。
步骤205， PDE利用RADIUS协议通过RADIUS Access-Request消息将 当前MS的身份信息转发给AAA服务器。
步骤206， AAA服务器根据MS的身份信息查询对应的密钥K以及其他 用户信息，接着执行AKA的算法，生成认证向量五元组AV，包括RAND、 AUTN、 XRES， IK和CK。由于需要对EAP AKA数据包进行完整性保护， AAA服务器还会衍生密钥TEK， TEK中的完整性密钥用于计算完整性值 AT—MAC 0
步骤207， AAA服务器将计算得到的RAND、 AUTN以及EAP AKA的 消息完整性值AT—MAC利用RADIUS协议通过该协议的RADIUS Access-Challenge消息发给PDE。
步骤208， PDE通过建立的通道向MS发送PANA的Auth-Request消息， 该消息的EAP参数中包含了 RAND、 AUTN以及AT一MAC。
步骤209，当前MS根据收到的随机数RAND和AUTN中的序列号SQN， 以及已知的预共享密钥K计算AV，校验收到的AUTN是否与自身计算的相 同，并根据计算的TEK校验AT—MAC是否正确，如果全部通过，则说明网 络是合法的；否则，说明是不合法的，认证失败。另外，为了防止重放攻击， 当前MS还会检査序列号是否在正确的范围内，如果不正确，还会在执行重 同步过程。
步骤210，若对网络的认证成功，当前MS将自身生成的AV中MS侧的 认证值响应RES利用PANA的Auth-Answer消息通过所建立的通道发给PDE。
步骤211， PDE将当前MS的RES利用RADIUS协议通过该协议的 RADIUS Access-Request消息发给AAA服务器。
步骤212， AAA服务器将前面计算的AV中的XRES与接收到的RES做 比较，如果相同，说明对当前MS的认证成功；否则，认证失败。
步骤213， AAA服务器通过RADIUS协议的RADIUS Access-Accept消 息返回认证成功的结果给PDE。另外，还可以同时将EAP AKA协商的主会 话密钥MSK也发给PDE，用于保护后续的数据。
步骤214， PDE将认证成功的结果承载在PANA Bind-Request消息中通 过建立的通道发送给MS。此外，在这个报文中还可包含PPAC参数、所配置 的IP地址ADDR—CFG参数、以及消息的完整性值AUTH参数。PPAC用于 表明分配地址的方式，这里可在原有方式中扩展一种新类型，即直接在PANA 消息中分配，而ADDR—CFG中就包含了所分配的IP地址，地址的类型可以 根据需要设置，如IPv4地址、或IPv6地址、或IPv6地址前缀等。
步骤215，当前MS收到认证成功的结果后通过建立的通道向PDE发送 Bind-Answer对PDE的消息进行响应。如果MS收到了 PDE分配的地址，在 这个响应消息中也可以包含PPAC和ADDR一CFG，如果MS不能接受所分配 的IP地址，也可以在这条消息中指出原因，这样地址的分配过程可以在后面 再执行。
以上流程中，步骤203、 204、 208、 210和214都不是单播数据包，而是 可以采用多播、广播、或者MS地址不确定的数据包传送。只有步骤215中， 如果MS已获得了 PDE分配的IP地址，则给PDE发送单播数据包。
在上述流程中，利用PANA中的PPAC和ADDR—CFG参数进行IP地址 的分配时，需要对现有PANA进行扩展，包括对PPAC的类型进行扩展，增 加直接在PANA消息中分配地址的类型。而ADDR—CFG是新增的AVP (Attribute Value Pairs)。另一种分配地址的方式是利用Notification参数进行 分配，现有的协议中，Notification参数可以用来传递一些可显示的信息，所 以可以将分配给MS的地址利用这个参数传递给MS。当然，也可以使用PANA 本身具有的分配POPA的方法分配IP地址，但这需要在整个PANA认证完成 后才进行。
如果由终端侧首先发起安全认证，则当MS发起认证时，它首先会发送 PANAPAA-Discover消息，但与通常的情况不同，MS采用多播、广播、或源 地址不确定的数据包，而不是单播数据包发送，当PDE收到这个消息后，也 可以通过多播、或广播、或者目的地址不确定的数据包回送PANA Start-Request消息，进而与MS进行后续的认证过程，后续的认证过程与前面 所述的网络侧发起的认证过程相同。
除PANA协议以外，也可以采用其他协议实现认证参数的交互完成安全
认证。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在 本发明的保护范围之内。
权利要求
1.一种无线蜂窝网络中网络层安全认证方法，其特征在于，包括A.移动台MS与分组域承担认证功能的实体之间建立针对该MS的信息交互专用通道；B.当前MS通过所建立的专用通道以及分组域承担认证功能的实体的转发，与无线蜂窝网络中的网络认证实体之间进行安全认证；C.如果分组域承担认证功能的实体收到认证成功的信息，则分组域承担认证功能的实体将为当前MS分配的IP地址通过所建立的专用通道发送给该MS。
2. 根据权利要求1所述的方法，其特征在于，在步骤B所述安全认证过 程中，所述当前MS通过多播数据包、或者广播数据包、或者源地址为不确 定的数据包将安全认证过程中需要交互的信息从所述专用通道发送给分组域 承担认证功能的实体；所述分组域承担认证功能的实体通过多播数据包、或者广播数据包、或 者目的地址为不确定的数据包将安全认证过程中需要交互的信息从所述专用 通道发送给当前MS;在步骤C所述分组域承担认证功能的实体通过多播数据包、或者广播数 据包、或者目的地址为不确定的数据包将为当前MS分配的IP地址通过所建 立的专用通道发送给该MS。
3. 根据权利要求2所述的方法，其特征在于，所述数据包为IP数据包格 式，或者PANA协议的报文格式。
4. 根据权利要求1至3任意一项所述的方法，其特征在于，步骤B中所 述安全认证过程包括all.所述分组域承担认证功能的实体通过所述专用通道向MS发送身份 请求；a12.当前MS接收到身份请求后，通过所述专用通道向分组域承担认证 功能的实体发送自身的身份信息；a13.分组域承担认证功能的实体将当前MS的身份信息发送给网络认证实体；a14.网络认证实体根据所收到的身份信息生成网络认证参数，并发送给 分组域承担认证功能的实体；a15.分组域承担认证功能的实体将网络认证参数通过所述专用通道转发 给MS;a16.当前MS根据分组域承担认证功能的实体发送来的网络认证参数验 证网络的合法性，如果验证通过，当前MS发送包含有终端认证参数的认证 响应给分组域承担认证功能的实体；a17.分组域承担认证功能的实体将当前MS的终端认证参数转发给网络 认证实体；a18.网络认证实体根据终端认证参数验证终端的合法性，如果验证通过， 网络认证实体向分组域承担认证功能的实体发送认证成功的结果。
5. 根据权利要求4所述的方法，其特征在于，步骤C包括a19.分组域承担认证功能的实体将认证成功的结果和为当前MS分配的 IP地址通过所述专用通道发送给当前MS;a20.当前MS收到认证成功的结果后，通过所述专用通道向分组域承担 认证功能的实体回送确认消息。
6. 根据权利要求5所述的方法，其特征在于，步骤a20中所述确认消息 承载在源地址为所述为当前MS分配的IP地址的单播数据包中发送。
7. 根据权利要求4所述的方法，其特征在于，步骤C包括a19，.分组域承担认证功能的实体将认证成功的结果通过所述专用通道 发送给当前MS;a20，.当前MS收到认证成功的结果后，通过所述专甩通道向分组域承担 认证功能的实体回送确认消息；a21，.分组域承担认证功能的实体将为当前MS分配的IP地址通过所述 专用通道发送给当前MS。
8. 根据权利要求4所述的方法，其特征在于，步骤B中所述安全认证由 终端侧发起，所述步骤all前进一步包括当前MS发送认证请求的消息； 分组域承担认证功能的实体收到该消息后，执行步骤all。
9. 根据权利要求4所述的方法，其特征在于，步骤B所述安全认证过程采用认证和密钥协商协议AKA。
10. 根据权利要求1所述的方法，其特征在于，所述步骤A包括当前MS与所属基站BS建立物理层和链路层连接，BS为该MS分配空口无线资 源；所述BS与分组域承担认证功能的实体之间建立针对当前MS的数据链路。
11. 根据权利要求1所述的方法，其特征在于，所述分组域承担认证功 能的实体是CDMA2000网络的接入节点AN,或者是分组数据业务网络 PDSN，或者演进网络实体控制接入点CAP，或通用分组无线服务GPRS网 络的GPRS业务支持节点SGSN。
12. 根据权利要求1所述的方法，其特征在于，所述网络认证实体是认 证、授权和计费AAA服务器、或认证中心AuC。
全文摘要
本发明公开了一种无线蜂窝网络中网络层安全认证方法，包括在MS与分组域承担认证功能之间建立针对该MS的信息交互专用通道；此后MS通过所建立的专用通道以及分组域承担认证功能的转发，与无线蜂窝网络中的网络认证实体之间进行安全认证；如果分组域承担认证功能收到认证成功的信息，则分组域承担认证功能将为MS分配的IP地址通过所建立的专用通道发送给该MS。本发明有效的保护了IP地址资源，同时，地址的分配与认证结合在一起，不用执行通常复杂而且耗时的地址分配流程，提高了效率，对于减少时延也是非常有利的。
文档编号H04L29/06GK101098221SQ20061009354
公开日2008年1月2日 申请日期2006年6月26日 优先权日2006年6月26日
发明者洁 赵, 鑫 钟, 璟 陈 申请人:华为技术有限公司