专利名称:采用diameter协议实现用户和设备分别认证的方法
技术领域:
本发明涉及通信系统,特别是移动Wimax系统中一种采用diameter协 议实现用户和设备分别认证(Double EAP)的方法。
背景技术:
在Wimax关于网络结构的最新规范1.0.0版本中定义了四种认证方 式用户认证User single EAP;设备认证Device Single EAP;用户禾口 设备同时认证User/Device Single EAP;用户和设备分别认证Double EAP (两个EAP过程被执行)。
用户和设备分别认证(即doubleEAP)的方法,即需要进行两轮认 证第一轮设备认证,第二轮用户认证。如果用户(User)和移动台(MS) 的鉴权需要分开执行,就可以选择doubleEAP的方式。典型的应用场景 是当用户(User)和移动台(MS)的鉴权不在同一个实体,例如位于 不同的AAA服务器时。如果用户(User)和移动台(MS)的鉴权发生在 同一个实体,可以选用singleEAP的鉴权方式。
Diameter系列协议是新一代的AAA技术。在ITU, 3GPP/3GPP2等国 际标准组织中,都己经正式将Diameter协议作为NGN, WCDMA和 CDMA2000等未来通信网络的首选AAA协议。在Wimax关于网络结构的 未来规范1.5版本,将包括Diameter协议。
在Diameter的规范RFC3588给出了采用diameter协议进行认证的 session状态机在Idle模式,Diameter Client向AAA认证服务器发送DER 消息,包含认证请求信息;当Diameter client接收到DEA消息,包含认证 成功的信息时,将转入OPEN状态,即标志着认证完成,用户可以进行有 关的业务例如通话服务等。
根据Diameter协议给出的认证状态机,可以看出这种方式实际上只 支持单论认证,即或者是设备认证或者是用户认证,或者是设备认证和
3用户认证同时进行的三种Single认证方式。 一旦一轮认证成功即转入 OPEN状态。所以说目前的diameter认证协议不支持用户和设备分别认证 的两轮认证(double认证)。
发明内容
本发明的目的是提供一种采用Diameter协议来实现用户和设备两轮 认证(double)的方法。
为实现上述目的, 一种采用Diameter协议实现用户和设备分别认证 的方法,包括步骤
a) Authenticator设置Diameter客户端认证状态机的初始状态为 IDLE;
b) Authenticator根据收到的有关MS认证的属性值,构造相应的消 息DER,并向AAA认证服务器发送所述DER消息;
c) 当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA 消息,如果解析的DEA消息包含认证成功的属性值时,则表明第一轮认证 成功完成;
d) 设置第一轮认证成功标志为TRUE;
e ) Authenticator根据收到的有关MS认证的属性值构造相应的DER消 息,并向AAA认证服务器发送DER消息;
f)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA 消息;
i)如果解析的DEA消息包含认证成功的属性值,则转入Open状态,
认证完成o
本发明所述方法即可支持单轮认证(Single)也能支持double认证; 实现简单,在原有diameter认证状态机的基础上,稍作改动即可支持二 轮认证,且具有后向兼容性;实用性强,能用于WimaxForum、 ITU, 3GPP/3GPP2等的网络结构NGN中。
图l是采用Diameter协议实现用户和设备分别认证(double EAP)的 方法;
图2是MS采用Diameter协议执行double EAP认证的初始接入过程的实 施例。
具体实施例方式
MS初始接入过程中,MS和Authenticator首先交换鉴权能力。由 Authenticator选择正确的鉴权方式,通知MS使用该方式开始进行认证。
在Wimax中定义的EAP-method:设备认证一般采用基于证书的X.509, 因此相应的MS应该支持EAP-TLS方法。设备的MAC地址作为NAI的用户 名在EAP-Identity/Response传递。对于用户认证,MS应该支持EAP-AKA, EAP-TTLS。他们使用SUBC (Subcription Credential)来产生鉴权向量。
对于设备认证和用户认证分离的double认证方法,两轮认证成功完 成,Diameter的认证状态机进入OPEN状态后,Authenticator将根据设备 认证过程和用户认证过程两轮认证产生的两个MSK来计算PKMv2所需的 有关keys,例如AK等,并将AK发送给BS。 MS将使用EMSK来计算其他 应用有关的key。
涉及的主要功能实体包括MS、 BS、 Authenticator(ACR) , AAA server (CSN) 。 MS作为被鉴权的对象;AAAserver是鉴权服务器;Authenticator 是鉴权者,也可以理解为relay,主要负责转发MS和AAA Server之间的EAP messages (协议转换),此外还负责key管理和session管理等。
一种采用Diameter协议实现用户和设备分别认证(double EAP)的方 法,参照图l,其主要步骤包括.-
1) MS和Authenticator通过BS交换认证策略,Authenticator选择认证方 式通知MS,并向MS请求认证标识(EAP-identity)。当Authenticator 收到MSEAP-Identiy,置Diameter认证状态机的状态为IDLE;如 果Authenticator选择Double认证,则置第一轮认证成功标志的初伯 为Flase;如果是Single认证,则转步骤6);
2) Authenticator根据收到的MS的EAP-payload,构造相应的DER消息。 向AAA认证服务器发送DER消息,包含设备认证请求信息等,
5Diameter认证状态机的状态进入Pending状态;
3) 在Pending状态,当收到来自AAA认证服务器的DEA消息, Authenticator解析DEA消息,如果其包含认证成功的属性值时,则表 明第一轮认证成功完成,转步骤5);否则继续下一步;
4) 在Pending状态,Authenticator将收到的DEA消息中的EAP-Payload,利用有关协议发送到MS,转步骤2)
5) 设置第一轮认证成功标志为TRUE,状态仍是Pending state;
6) Authenticator根据收到的MS的EAP-payload,构造相应的DER消息。 向AAA认证服务器发送DER消息,Diameter认证状态机的状态处 于Pending状态;
7) 在Pending状态,当收到来自AAA认证服务器的DEA消息, Authenticator解析DEA消息,如果其包含认证成功的属性值时,转步 骤9);否则继续下一步;
8) 在Pending状态,Authenticator将收到的DEA消息中的EAP-Payload,利用有关协议发送到MS,转步骤6)
9) 转入Open状态;认证完成。
实施例
采用double EAP认证,某MS使用本发明提出的方法的初始接入过程 的实施例,参照图2,其主要步骤包括
1) MS和Authenticator通过BS交换认证策略;
2) Authenticator选择认证方式,并通过BS向MS发送认证清求 AuthRelay—EAP—TRANSFER消息,包含EAP-R叫uest/Identity等信 阜.
3) MS收至呢AP—TRANSFER (EAP-R叫uest/Identity)消息后,通过BS 向Authenticator回复EAP一TRANSFER (EAP-response/Identity),上 报认证所需的标识;
4) 当Authenticator收到MS EAP-Identiy,置Diameter认证状态机的状 态为IDLE,第一轮认证成功标志的初值为Flase;并根据收到的MS 的EAP-payload ,构造DER消息。5) Authenticator向AAA认证服务器发送DER消息,包含设备认证请求 f曰息4;
6) Diameter认证状态机的状态处于Pending状态;
7) MS和AAAserver进行端到端的认证;MS和Authenticator之间采用 EAP协议承载,Authenticator和AAA之间是diameter协议,即使用 DER/DEA消息;
8) 在AAA服务器端,当第一轮认证成功完成后,构造包含EAP-Success 的DEA消息,并向Authenticator发送所述消息;
9) Authenticator的认证状态为Pending状态,当收到来自AAA认证服 务器的DEA消息,Authenticator解析DEA消息,如果其包含认证成 功的属性值时,则表明第一轮认证成功完成,置第一轮认证成功标 志为TRUE;
10) Authenticator根据第一轮认证成功的MSKl/PKMl产生EIK, 通过消息Context—Rpt发送到BS, BS回复Context—Rpt—Ack ACK消
加、5
11) Authenticator向BS发送包含EAP-Success属性的消息,BS使用 EIK对此消息加密后发送到MS;
12) MS收到包含EAP-Success属性的消息后,首先验证此消息, 若成功,发起第二轮认证请求;
13) BS转发MS的第二轮认证请求;
14) Authenticator收到MS的第二轮认证请求后,根据收到的消息 内容构造DER;
15) Authenticator向AAA认证服务器发送DER消息,包含第二轮 认证请求信息等,认证状态机处于pending,
16) MS和AAAserver进行第二轮端到端的认证;MS和 Authenticator之间采用EAP协议承载,Authenticator和AAA之间是 diameter协议,即使用DER/DEA消息;
17) 在AAA服务器端,当第二轮认证成功完成后,构造包含EAP-Success的DEA消息,并向Authenticator发送所述消息;
18) Authenticator的认证状态为Pending状态,当收到来自AAA认
7证服务器的DEA消息,Authenticator解析DEA消息,如果其包含认 证成功的属性值时,且第一轮认证成功标志为TRUE,则认证完成, 转入Open状态;
19) 转入Open状态,double认证完成。Authenticator使用两轮认 证生成的MSK生成相应的PMK,和AK等;
20) Authenticator向B S发送包含EAP-Success属性的消息; 2 i) BS向MS转发包含EAP-Success属性的消息;
22) Authenticator向BS发送AK等信息,BS发送对AK等信息的反 馈消息;
23) BS和MS校验AK,为所述MS建立安全关联,及为此安全关 联使用的合法的TEK等;
24) 开始MS的attach过程,和数据链路的建立过程。MS完成初始 接入。
上述实施例着重说明采用Diameter协议实现用户和设备分别认证 (double EAP)的方法的Authenticator端的认证状态机的变化过程和消息 流,其他有关内容有所简略,例如MS和BS间的协议、具体的消息内容, AK, TEK等key的产生过程均有所省略。这些不能理解为是对本发明的 限制。
权利要求
1. 一种采用Diameter协议实现用户和设备分别认证的方法,包括步骤a)Authenticator设置Diameter客户端认证状态机的初始状态为IDLE;b)Authenticator根据收到的有关MS认证的属性值,构造相应的消息DER,并向AAA认证服务器发送所述DER消息;c)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息,如果解析的DEA消息包含认证成功的属性值时,则表明第一轮认证成功完成;d)设置第一轮认证成功标志为TRUE;e)Authenticator根据收到的有关MS认证的属性值构造相应的DER消息,并向AAA认证服务器发送DER消息;f)当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息;i)如果解析的DEA消息包含认证成功的属性值,则转入Open状态,认证完成。
2. 根据权利要求l所述的方法,其特征在于在步骤a)中,如果是 Double认证方式,则置第一轮认证成功标志的初值为Flase。
3. 根据权利要求l所述的方法,其特征在于在步骤b)中,所述DER 消息包含设备认证请求消息。
4. 根据权利要求l所述的方法,其特征在于在步骤b) -f)中,所述 Diameter认证状态机的状态为Pending。
5. 根据权利要求l所述的方法,其特征在于在步骤b)中所述DER消 息,和步骤c)中所述的DEA消息属于dimeter协议。
全文摘要
一种采用Diameter协议实现用户和设备分别认证的方法,Authenticator设置Diameter客户端认证状态机的初始状态为IDLE;Authenticator根据收到的有关MS认证的属性值,构造相应的消息DER,并向AAA认证服务器发送所述DER消息;当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息,如果解析的DEA消息包含认证成功的属性值时,则表明第一轮认证成功完成;设置第一轮认证成功标志为TRUE;Authenticator根据收到的有关MS认证的属性值构造相应的DER消息,并向AAA认证服务器发送DER消息;当Authenticator收到来自AAA认证服务器的DEA消息时解析DEA消息;如果解析的DEA消息包含认证成功的属性值,则转入Open状态,认证完成。本发明即可支持单轮认证也能支持double认证;在原有diameter认证状态机的基础上,稍作改动即可支持二轮认证,且具有后向兼容性。
文档编号H04L9/32GK101437017SQ200710187148
公开日2009年5月20日 申请日期2007年11月16日 优先权日2007年11月16日
发明者时忆杰, 王春花 申请人:三星电子株式会社;北京三星通信技术研究有限公司