一种Wi-Fi无线节点入网方法及系统的制作方法

一种Wi-Fi无线节点入网方法及系统的制作方法
【技术领域】
[0001]本发明属于通信安全领域，涉及一种通过移动终端设备授信W1-Fi节点接入互联网的认证方法及系统。
【背景技术】
[0002]W1-Fi接入网络是实现固网、移动网络的形成融合互补的有效方案，无线网络接入点即本文所述W1-Fi节点。对于无线网络接入点的部署，需要跳出传统移动网络的观念，通过创新的业务模式和应用模式将移动业务主导的蜂窝基站和固定业务主导的W1-Fi站点相结合，在互利共赢基础上探寻开放运营模式，使得W1-Fi技术能作为一种更安全低廉的无线接入方案，提供高速数据无线接入，改善宏蜂窝网络的小区负荷，更重要得是可以增强用户综合感知度，使移动业务和宽带业务在市场竞争中相互促进相互支撑。
[0003]近年来，无线互联网业务的迅猛发展，对无线宽带网络建设提出极大的带宽需求，相比于运营商现有部署的3G/4G无线宽带网络，W1-Fi技术具有自组织、自动侦测、接入设备小、易于安装、接入成本低等综合优势，且回程线路多利用有线宽带，特别适合在局部区域部署吸收移动互联网中高速率低附加值业务，对现有的移动宽带网络进行分流吸热，提升移动宽带网络的流量营收附加值。虽然近年来W1-Fi技术以其简便灵活易用在蜂窝网络吸热分流中的得到广泛应用，但是受网络安全和移动性制约，在电信级运营部署中一直未受到主力技术体制部署。
[0004]与蜂窝宏基站不同，W1-Fi接入点(AP)需要大量部署，一般通过固网运营商不可信的有线链路连接到互联网，这必然为运营商实现电信级W1-Fi接入管理和运营带来诸多不便。一方面，W1-Fi接入点部署在不可信的互联网环境中，极易受到恶意用户的攻击，并以W1-Fi接入点为通道(例如伪接入点或者伪基站)，进一步对UE造成网络安全威胁，另一方面，大量部署W1-Fi接入点需要耗费运营商大量的人力物力，随着城市快速变化，第三方虚拟运营商大量兴起，如何促进虚拟运营商投入到W1-Fi接入点建设，是关系到W1-Fi能否成为一种新兴的虚拟运营商务模式的关键。虽然业界已经提出一系列基于SIM卡鉴权认证的W1-Fi接入认证安全方案，但主要还是建立在基于安全接入链路和授信AP节点上的UE的接入鉴权，并没有完整的UE通过W1-Fi接入点接入互联网的安全认证方法。
[0005]本发明提出一种适合在无线业务热点快速部署的W1-Fi节点通过电信网络认证接入互联网的方法及系统设备，基于此项技术，运营商可以基于W1-Fi接入技术构建适合用户安全接入的无线局域网络，并且支持用户不受打扰的无缝接入，同时支持开展第三方合作部署的新运营模式。

【发明内容】

[0006]本发明针对现有技术中缺少完整的用户设备直接通过无线访问接入点接入互联网的安全认证方法，提出一种适合在无线业务热点快速部署的W1-Fi节点通过电信网络认证接入互联网的方法及系统设备。
[0007]本发明涉及使用的网络设备包括:
用户设备，简称UE，一般指移动终端等网络用户侧接入设备，通过该设备用户访问网络，其用户身份信息为WDl。
[0008]无线访问接入点设备，简称AP，一般指运营商部署的小型接入站点，UE通过该小型站点完成认证及必要的报文加密后，接入到网络，其用户身份信息为WD2。
[0009]接入控制器设备，简称AC，一般指作为认证鉴权网关设备代表核心网对AP及UE进行接入认证与授权管理，认证通过后，指示AP为UE开放相关网络接入资源，从而确保用户能够安全接入到网络。
[0010]AAA服务器，根据核心网网元HSS服务器所保留的用户签约数据库信息对AP和UE设备进行鉴权计算。
[0011]归属用户服务器，简称HSS服务器，管理用户的各种签约数据。
[0012]本发明通过在UE、AP和AAA服务器实体之间三方交互消息，传递携带证书性质的认证信息，进行AP与AAA、UE与AAA之间的双向认证，从而建立起面向UE的授信AP接入线路，既使UE可以无感知的接入该授信节点，同时也使得UE接入网络更加安全。具体方案如下:
一种W1-Fi无线节点入网方法，包括步骤SI，无线访问接入点通过接入控制器进行接入核心网认证，建立认证安全信道Ipsec，具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP-AKA/SM的方式进行如下双向认证:
(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权。
[0013](1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器。
[0014](1.3)AAA服务器检查无线访问接入点身份，并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CKl和完整性密钥IKl。
[0015](1.4)AAA服务器计算主密钥MKl并保存，建立与该主密钥MKl对应的无线访问接入点身份列表。
[0016](^^么么服务器计算消息认证码嫩&虹代^连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM) -Challenge消息发送给无线访问接入点。
[0017](1.6)无线访问接入点用步骤(1.4)的方法分别计算主密钥MKl和主会话密钥MSKl并存储，计算响应XRES和消息认证码MACuser。
[0018](1.7)无线访问接入点验证步骤(1.5)接收到的消息认证码MACserver和挑战随机数RAND，验证通过后，将步骤(1.6)中得到的认证响应XRES和消息认证码MACuser，通过 EAP-Response/AKA-Challenge 消息发送给 AAA 服务器。
[0019](1.8) AAA服务器验证接收到的认证响应XRES和消息认证码MACuser，如果验证通过，AAA发送EAP-Success消息到无线访问接入点，并将主会话密钥MSKl发送给接入控制器。
[0020](1.9)无线访问接入点和接入控制器将主会话密钥MSKl作为种子，计算出子密钥MSK_S，无线访问接入点和接入控制器之间利用该子密钥进行安全通信。
[0021]步骤S2，用户设备与无线访问接入点之间进行如下认证:
(2.1)用户设备向无线访问接入点发起鉴权请求，无线访问接入点向用户设备发送EAPRequest/identity消息，用于请求用户设备的身份。
[0022](2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器。
[0023](2.3)AAA服务器对获得的用户设备身份进行检查，并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2。
[0024](2.4) AAA 服务器计算主密钥:MK2= prf (Identity_UE | ΙΚ2 | CK2))，并使用主密钥MK2生成主会话密钥MSK2，其中I表示比特串的链接，prf是伪随机函数，Identity_UE是用户设备身份。
[0025](2.5)AAA服务器保存主密钥MK2，建立与该主密钥MK2对应的用户设备身份列表。
[0026]^^^么么服务器计算消息认证码嫩&虹代^连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA (SM) -Challenge消息发送给用户设备。
[0027](2.7)用户设备用步骤(2.4)的方法分别计算主密钥MK2和主会话密钥MSK2，并将这两个密钥存储后，计算认证响应XRES和消息认证码MACuser。
[0028](2.8)用户设备验证步骤(2.6)接收到的消息认证码MACserver和挑战随机数RAND，验证通过后，将步骤(2.7)中得到的认证响应XRES和消息认证码MACuser，通过EAP-Response/AKA-ChalIenge 消息发送给 AAA 服务器。
[0029](2.9) AAA服务器验证接收到的认证响应XRES和消息认证码MACuser，如果验证通过，AAA发送EAP-Success消息到无线访问接入点，并将主会话密钥MSK2发送给无线访问接入点。
[0030](2.10)用户设备和无线访问接入点将主会话密钥MSK2作为种子，计算出子密钥MSK_U，用户设备和无线访问接入点之间利用该子密钥进行安全通信。
[0031](2.11)无线访问接入点在本地为用户设备分配IP地址，转发经MSK_U加密的EAP-Success消息，通知用户设备鉴权成功。
[0032]进一步地，步骤(1.1)具体为:(a)无线访问接入点向接入控制器发送初始交换IKE_SA_INIT请求消息；
(b)接入控制器向无线访问接入点返回初始交换IKE_SA_INIT响应消息。
[0033]步骤(1.3)中AAA服务器获取认证向量需先查找所述无线接入点是否在AAA服务器中存在有效认证向量，若存在则直接使用，若不存在则从归属用户服务器服务器获取一组认证向量，所述有效认证向量为在预先设定有效时间内的认证向量。
[0034]步骤(1.4)AAA服务器计算主密钥公式为MKl=prf (Identity_AP | IKl | CKl))，其中表示比特串的链接，prf是伪随机函数，Identity_AP是无线访问接入点身份。
[0035]步骤(1.5) AAA服务器通过分组加密算法计算消息认证码。
[0036]步骤(1.4)中建立与主密钥MKl对应的无线访问接入点身份列表的方法