专利名称:一种基于用户识别模块的无线局域网终端用户认证方法
技术领域:
本发明涉及无线通信领域的用户终端设备,特别涉及一种支持EAP SIM(Extended Authentication Protocol Subscriber Identity Mode基于用户识别模块的扩展认证协议)的WLAN(Wireless Local Access Network无线局域网)终端设备的用户认证方法。
背景技术:
互联网技术的发展和数据应用的日益广泛推动了无线数据接入技术的飞速发展,在解决无线数据接入方面,采用无线局域网技术是实现移动数据接入的一种很好途径。
利用无线局域网络开展无线数据的公共运营,可以为客户提供廉价的、易实施的高速宽带无线接入服务。特别是运营商在利用无线局域网络技术为用户提供无线接入服务时,往往结合现有的移动通信网络资源,如将无线局域网与全球移动通信系统/通用分组无线业务GSM/GPRS(Global System for MobileCommunications/General Packet Radio Service)移动网络结合,利用GSM/GPRS移动网络成熟的用户认证、计费等资源来实现无线局域网络用户的认证、计费和用户管理,即通过使用移动网络用户的用户识别模块SIM(SubscriberIdentity Model)实现对无线局域网络用户的身份认证与管理,此过程通过EAP SIM协议来实现。
在现有支持EAP SIM认证的无线局域网络终端设备里,集成了SIM卡读卡设备,用户通过在无线局域网络终端设备内插入移动网络运营商发放的SIM卡来实现对无线局域网络用户的认证,此认证主要由两个重要步骤实现一是SIM卡为无线局域网络与EAP SIM认证机制提供用户的原始身份信息,如国际移动用户标识符IMSI(International Mobile Equipment Identifier)与EAP SIM认证中所需的多组随机数、密钥等原始身份信息;二是WLAN终端设备完成EAPSIM客户端算法,实现网络对用户的认证。
目前这种通过无线局域网络终端实现用户认证的方法有如下弊端1、EAP SIM客户端算法由无线局域网络终端设备厂家实现,会导致不同厂家无线局域网络终端设备与网络内EAP SIM服务器不兼容;2、EAP SIM算法在SIM卡外实现,而在EAP SIM客户端算法实现过程中需要SIM卡提供多组的随机数与密钥,这样使得黑客能够比较容易就获得用户SIM卡内的重要信息,这会严重威胁到无线局域网络和整个移动通信网络的安全性;3、EAP SIM算法在客户端的实现与SIM卡分离,容易造成用户身份标识与验证的分离,使移动通信网络对无线局域网络用户的管理出现混乱,容易出现非法用户冒充合法用户接入移动通信网络;4、无线局域网络终端设备要接入无线局域网络正常工作需要进行许多的专业参数配置,这需要具备一定专业知识的人士才能完成。这就为普通用户的使用带来困难,也为运营商扩展无线业务带来困难,限制了无线局域网络的运营和发展。
发明内容
本发明的目的是提供一种支持无线局域网络的用户识别模块WSIM(Wireless Subscriber Identity Mode,无线局域网络用户识别模块),解决现有无线局域网络终端内EAP SIM算法与SIM卡分离的问题,使EAP SIM算法在WSIM卡内实现而不在无线局域网络用户终端内实现;用一种WSIM的接口方式以解决WSIM与无线局域网络终端的信息交互问题;另外,通过WSIM的用户信息存储功能解决无线局域网络终端设备的无线局域网的网络配置问题。
为实现上述目的,本发明提供一种支持基于用户识别模块的扩展认证协议的无线局域网WLAN终端装置,它包括1、WLAN无线局域网络终端实体S1,可完成与WLAN本身有关的声音、数据传输等功能并用于支持EAP SIM的工作流程和接口S4,S1可包括无线局域网卡、GPRS/无线局域网络双模网卡、无线局域网络手持设备、基于无线局域网络技术的语音或数据设备等WLAN终端实体;2、WSIM S3,用于支持无线局域网络网络认证的SIM模块,实现EAP SIM的核心处理算法、存储无线局域网络网络配置信息功能;3、WALN终端设备S1与WSIM S3间的接口S4。
本发明涉及一种基于EAP SIM认证的无线局域网络用户终端网络自动配置方法。该方法的主要特征是EAP SIM的核心处理算法在存储了无线局域网络配置信息的WSIM内实现。WSIM通过本发明的接口S4与无线局域网络终端实体进行信息交互,无线局域网络终端实体完成EAP SIM的流程并自动进行用户终端设备的网络配置。
本发明还涉及一种支持无线局域网网络认证协议EAP SIM的用户识别模块WSIM,其特征在于在WSIM内实现EAP SIM客户端的认证算法并存储无线局域网络的网络配置信息。
本发明还涉及一种无线局域网络终端实体与WSIM间的接口操作方式,通过此接口提供命令信息与响应信息来实现WSIM模块与无线局域网络终端实体间的信息交互,其主要特征是提供下列命令信息以实现对EAP SIM认证流程的支持与无线局域网络网络配置信息的读写获取当前版本命令,无线局域网络终端实体用该命令来获得WSIM支持的EAP SIM协议的版本号与WSIM本身的版本号,并通过反馈响应信息获得当前WSIM支持的EAP SIM协议的版本号与WSIM本身的版本号;获取首选身份命令,无线局域网络终端实体用该命令来获得该WSIM对应的首选用户身份信息,通过反馈响应信息获得该WSIM对应的首选用户身份信息;选择身份命令,无线局域网络终端实体用该命令选择EAP SIM协议里定义的用户身份信息,并通过反馈响应信息获得EAP SIM服务器所要求的用户身份信息;获取随机数命令,无线局域网络终端实体用该命令来获得EAPSIM认证过程中所需的随机数,通过反馈响应信息获得EAP SIM认证过程中所需的随机数;EAP SIM处理命令,无线局域网络终端实体用该命令启动WSIM内的EAP SIM客户端算法,并通过反馈响应信息获得EAP SIM客户端认证结果与主会话密钥;获取无线局域网络网络配置命令,无线局域网络终端实体用这个命令来获得WSIM内存储的无线局域网络网络配置信息,为无线局域网络终端自动进行无线局域网络网络配置提供依据,并通过反馈响应信息获得无线局域网络网络的配置参数。
本发明还包括一种无线局域网络终端实体与WSIM间的接口工作流程,无线局域网络终端实体与WSIM依据该工作流程完成EAP SIM协议所定义的客户端功能,其接口工作流程具有如下特征在无线局域网络终端实体S1收到无线局域网络网络服务器S2发出的请求身份命令后,无线局域网络终端实体S1通过“获取首选身份命令”从WSIM内获得用户的首选身份信息相应信息,并将该身份信息响应给无线局域网络网络服务器S3以判决用户身份的合法性,如为合法用户,则无线局域网络网络服务器S3向无线局域网络终端实体S1发起EAP SIM认证开始信息;无线局域网络终端实体S1收到EAP SIM认证开始信息后,通过“选择身份命令”从WSIM获得无线局域网络网络服务器S3所需要认证的用户身份信息,通过使用“获得当前版本命令”从WSIM卡S3获得WSIM当前版本,通过使用“获得随机数命令”从WSIM内获得EAP SIM认证所需的随机数。无线局域网络终端实体S1将用户身份信息、版本号、随机数发送给无线局域网络网络服务器S3;无线局域网络网络服务器S3根据得到的用户身份信息、版本号、随机数启动EAP SIM协议里规定的服务器端算法,并将计算得到的EAP SIM认证质询信息反馈给无线局域网络终端实体S1,无线局域网络终端实体S1通过“EAP SIM处理命令”传给WSIM,启动EAP SIM客户端算法,并将计算结果通过反馈响应信息反馈给无线局域网络终端实体S1;无线局域网络终端实体S1将WSIM客户端算法处理结果传至无线局域网络网络服务器S3,由无线局域网络网络服务器S3处理该结果,并向无线局域网络终端S1发出EAP SIM认证结果信息。
通过本发明,解决了用户信息与EAP SIM认证算法存在的安全性问题,为WLAN终端多样化与WLAN的广泛应用提供了基础,也为WLAN的公共运营提供了技术上的保证。
图1为WLAN终端实体与其系统应用联网2为WLAN终端实体工作流程3为WLAN终端实体与WSIM之间接口操作命令与工作流程图具体实施方式
下面描述了无线局域网络终端设备及其信息认证方法的一个实施例,并结合实施例对本发明的内容作进一步的描述。
下例为一个支持EAP SIM认证、符合本发明内容的无线局域网络网卡设备。该网卡支持PCMCIA(Personal Computer Memory Card InternationalAssociation个人计算机机内存卡国际协会)接口,通过PCMCIA接口连接到笔记本电脑上。该网卡支持IEEE 802.11b(Institute of Electrical andElectronic Engineers国际电子电气工程协会,802.11b为IEEE制定的一种无线局域网络规范)的无线局域网络规范。在该网卡内内置了用户识别模块WSIM的读卡器设备。
在WSIM卡座插入WSIM,组成一个完整的支持EAP SIM认证的无线局域网络网卡终端设备,如图2所示,该无线局域网络网卡的工作原理与流程如下A1开机,无线局域网络网卡启动;A2无线局域网络网卡通过“获取无线局域网络网络配置命令”从WSIM内取得无线局域网络网络的配置信息,无线局域网络网卡依据这些参数对无线局域网络网卡的参数进行自动配置;A3在对无线局域网络网卡配置过程中,如果检测到无线局域网络可用,终端实体网卡等待系统启动EAP SIM的命令,否则系统停止运行;A4无线局域网络网卡配置自动完成后,从WSIM获取用户版本信息和身份信息;A5无线局域网络终端实体依据EAP SIM的工作流程与无线局域网络认证服务器交互,通过如图1所示的接口S4完成无线局域网络用户的认证。
WSIM与无线局域网络网卡依据上述的工作流程与接口操作方式相互配合完成基于EAP SIM的认证处理。
其中,WSIM与无线局域网络网卡的接口遵照ISO7816标准的规定,采用ISO7816标准所定义的信息结构,信息结构有两种一是命令信息结构;二是响应信息结构。WSIM与无线局域网络网卡通过采用命令与响应的方式进行交互,无线局域网络网卡发出命令,WSIM处理该命令,给出对该命令的响应。
结合上面所述,此无线局域网络网卡设备实现一次完整的EAP SIM认证流程中无线局域网络网卡和WSIM的信息交互过程示例如下P1无线局域网络网卡使用“获取首选身份”命令从WSIM内获得WSIM的AID(应用程序标识符)信息。此命令的参数为“1”表示获取WSIM的AID信息;P2响应信息返回AID,AID标识了该卡是否作为WALN网络的EAP SIM认证用;无线局域网络网卡将上述首选身份信息响应给无线局域网络网络服务器,服务器判决该用户身份的合法性,如果为合法用户,则向无线局域网络网卡发起EAP SIM认证开始信息,在该信息内带有服务器所要认证的用户身份类型信息与服务器支持的EAP SIM版本号信息。
P3无线局域网络网卡收到无线局域网络网络服务器发出的请求身份命令后,通过“选择身份命令”从WSIM内获得用户的身份信息;P4WISM向无线局域网络网卡返回选择身份命令的响应信息;P5无线局域网络网卡收到无线局域网络网络服务器EAP SIM认证开始信息后,使用“获得当前版本命令”从WSIM内获得版本信息;“获得当前版本命令”的数据段内容为服务器支持的EAP SIM版本号信息;P6用户识别模块向无线局域网络网卡返回当前版本命令的响应信息;P7无线局域网络网卡收到无线局域网络网络服务器EAP SIM认证开始信息后,使用“获得随机数命令”从WSIM内获得EAP SIM认证所需的随机数NONCE_MT。
P8用户识别模块向无线局域网络网卡返回随机数响应信息;无线局域网络网卡将从用户识别模块的身份信息、版本信息和随机数信息反馈无线局域网络服务器,运行EAP SIM协议里规定的服务器端的算法,产生EAP SIM认证质询信息,并将质询信息发到无线局域网络网卡。
P9无线局域网络网卡将质询信通过“EAP SIM处理命令”传给WSIM,启动WSIM内的EAP SIM客户端算法;P10WSIM经过EAP SIM客户端算法处理后的结果通过响应信息反馈给无线局域网络网卡。该响应信息里还包括WSIM产生的主会话密,作为后续用户信息加密所用的密钥使用。
无线局域网络网卡将该结果反馈给服务器,EAP SIM客户端的认证结果体现在响应信息的返回状态码与响应信息分组里,可以标示为EAP-RESPONSE,为WSIM运算得到的EAP SIM客户端AT_SRES。服务器将AT_SRES与原先自己计算的SRES比较,如果相同则向无线局域网络网卡发出EAP SIM成功信息,用户就可以接入互联网络。
在实施本发明时,无线局域网络终端设备不局限于上述实施例所述的无线局域网络网卡,也可以是其他的无线局域网络设备,如支持无线局域网络功能的多模网卡,支持无线局域网络的手机设备或其他支持无线局域网络功能的语音、数据设备等,同时也不限于采用IEEE 802.11b规范的无线局域网络设备。采取使用用户识别模块来实现EAP SIM认证的无线局域网络设备,均不脱离本发明的思想;在实施本发明时,也可以不采取上述实施例所述的WSIM与无线局域网络终端接口的方式。
权利要求
1.一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于将EAP SIM的核心处理算法在无线局域网用户识别模块内实现,用户识别模块通过与无线局域网终端实体进行信息交互在无线局域网终端实体内完成EAP SIM的认证流程。
2.根据权利要求1所述的一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于提供命令信息与响应信息来实现无线局域网用户识别模块与无线局域网终端实体间的信息交互,实现对EAP SIM认证流程的支持。
3.根据权利要求1所述的一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于无线局域网络终端实体与WSIM间的接口工作流程如下1).无线局域网络终端实体收到无线局域网服务器发出的请求身份命令后,通过“获取首选身份命令”从用户识别模块内获取用户的首选身份信息;2).无线局域网络终端实体收到无线局域网络网络服务器发出的EAP SIM认证开始信息后,通过“选择身份命令”从用户识别模块获得无线局域网络网络服务器所需要认证的用户身份信息;3).无线局域网络终端实体收到无线局域网络网络服务器发出的EAP SIM认证开始信息后,通过使用“获得当前版本命令”从用户识别模块获得当前版本信息;4).无线局域网络终端实体收到无线局域网络网络服务器发出的EAP SIM认证开始信息后,通过使用“获得随机数命令”从用户识别模块内获得EAP SIM认证所需的随机数;5).无线局域网络终端实体将用户身份信息、版本号、随机数响应给无线局域网络网络服务器,启动EAP SIM协议里规定的服务器端算法,将计算得到的EAP SIM认证质询信息结果反馈给无线局域网络终端实体;6).无线局域网络终端实体通过“EAP SIM处理命令”启动用户识别模块的EAP SIM客户端算法;7).用户识别模块将EAP SIM客户端计算结果通过反馈响应信息反馈给无线局域网络终端实体S1;
4.根据权利要求1所述的一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于无线局域网络终端实体工作流程是1).开机,无线局域网络终端实体启动;2).无线局域网络终端实体通过“获取无线局域网络网络配置命令”从用户识别模块内取得无线局域网络的配置信息,无线局域网络终端实体依据这些参数进行自动配置。在对无线局域网络终端实体配置过程中,如果检测到无线局域网络可用,无线局域网络终端实体等待系统启动EAP SIM的命令,否则系统停止运行;3).无线局域网络终端实体配置自动完成后,从用户识别模块获取用户版本信息和身份信息;4).无线局域网络终端实体依据EAP SIM的工作流程与无线局域网络认证服务器交互,通过无线局域网络终端设备与用户识别模块间的接口完成无线局域网络用户的认证。
5.根据权利要求2所述的一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于信息交互流程中的信息命令包括网络配置参数信息的读写命令、获取当前版本命令、获取首选身份命令、选择身份命令、获取随机数命令、进行EAP SIM处理命令、获取无线局域网络配置命令以及上述命令的响应信息。
6.一种基于用户识别模块的无线局域网终端用户认证方法,其特征在于无线局域网络的配置信息存储在用户识别模块内,无线局域网络终端实体通过与用户识别模块进行信息交互获取无线局域网络配置信息,自动完成用户终端设备的网络配置。
全文摘要
一种基于用户识别模块的无线局域网终端用户认证方法,该方法是在WLAN用户识别模块内存储了WLAN网络的配置信息,并将EAP SIM认证的核心处理算法在WLAN用户识别模块内实现。WLAN用户识别模块通过与WLAN终端实体进行信息的交互,完成EAP SIM的认证流程并自动进行用户终端设备的WLAN网络参数配置。通过将EAP SIM客户端认证算法在WLAN用户识别模块内实现,解决了用户信息与EAP SIM认证算法存在的安全性问题,为WLAN终端多样化与WLAN的广泛应用提供了基础,也为WLAN的公共运营提供了技术上的保证。
文档编号H04W12/06GK1547405SQ20031011897
公开日2004年11月17日 申请日期2003年12月10日 优先权日2003年12月10日
发明者阎雄伟 申请人:大唐电信科技股份有限公司