一种实现微波接入全球互操作系统鉴权的方法

专利名称：一种实现微波接入全球互操作系统鉴权的方法
技术领域：
本发明涉及到微波接入全球互操作(WiMAX)无线城域网技术，特别涉及到一种实现WiMAX系统鉴权的方法。
背景技术：
目前全球通信市场正在蓬勃地发展，而土地私有化将导致通信线缆铺设困难，甚至无法铺设，这大大阻碍了通信市场的发展进程。在这种情况下，宽带无线接入(BWA)技术作为一种快速、低成本的解决方案被广泛地应用到接入网中。在各种BWA技术中，将应用802.16系列标准实现宽带无线接入的系统称为WiMAX系统。WiMAX是一种可以实现“最后一英里”接入的无线城域网技术，具有覆盖范围广、可扩展性强以及业务质量(QoS)可控制等优点。WiMAX既能够满足传输市场、大中小企业接入和户外接入的室外应用，也能够满足家庭和个人的室内应用，还能够进行数据接入和实时性要求比较高的话音和视频业务，这是其他BWA技术所无法实现的。
但是，目前WiMAX技术尚处于研究阶段，802.16系列标准仅仅定义了WiMAX系统的空中接口部分协议层，主要包括物理层(PHY)和媒体接入控制层(MAC)两个部分，而对于如何实现WiMAX网络用户的接入鉴权并未提出具体的解决方案。
目前常用的一种WiMAX网络用户接入鉴权方法是固定的用户名/密码方式，所述的固定用户名/密码方式是指WiMAX网络用户预先通过开户向WiMAX网络运营商申请固定用户名(帐号)/密码，或者通过购买预付费WiMAX卡的方式获得WiMAX网络运营商提供的固定用户名/密码；WiMAX网络将分配给用户的用户名/密码信息存储在WiMAX系统认证服务器(AS)的数据库中；在用户请求接入WiMAX网络的时候，负责用户接入的接入服务网关(ASN GW)将用户输入的用户名和密码发送到AS，由AS完成用户接入的认证鉴权，判定用户的合法性。
图1显示了采用固定用户名/密码方式实现用户接入鉴权的WiMAX网络示意图。如图1所示，所述的WiMAX网络至少包括基站(BS)102、ASN GW 103以及AS 104。其中，BS 102与WiMAX移动用户终端(MSS，Mobile Subscriber Station)101通过无线接口通信，ASN GW 103作为WiMAX网络的接入服务网关，具有接入控制、用户管理、QoS管理、计费、无线资源调度以及切换控制等功能；AS 104作为认证服务器，负责对用户进行认证、授权和计费。在所述MSS 101请求接入WiMAX网络时，MSS 101通过与BS 102之间的无线链路发送带有固定用户名/密码的接入请求到BS102，BS 102在收到MSS 101的接入请求后，通过ASN GW 103请求AS 104根据用户输入的用户名/密码对该MSS 101进行鉴权，验证该MSS身份的合法性。AS 104根据数据库保存的用户名/密码信息，验证该MSS所输入用户名/密码的正确性，如果正确，则鉴权成功，判定该用户为合法用户，允许该MSS接入WiMAX网络；否则，鉴权失败，判定该用户为非法用户，拒绝该MSS接入WiMAX网络。
上述这种固定用户名/密码的鉴权方式，可以对请求接入WiMAX网络的MSS身份进行验证，但是这种鉴权方式存在如下的缺点首先，这种固定用户名/密码的鉴权方式，实际上是一种单向的认证方式，即仅仅是由网络侧根据用户输入的用户名/密码对请求接入用户的合法性进行验证，而MSS无法对待接入的网络进行鉴权，因此导致鉴权的可靠性较低。其次，采用这种固定用户名/密码的鉴权方式，在MSS认证成功，利用WiMAX网络传输数据时，用于对MSS与BS之间所传输数据进行加密的数据加密密钥是在鉴权前、在MSS和BS之间预先设置的静态密钥，由于这种静态密钥只设置一次，以后不会改变，因此容易被其他人破获，造成数据传输的安全性不高。

发明内容
为了解决上述技术问题，本发明提供了一种WiMAX系统的鉴权方法，可以实现用户终端与网络侧的双向认证，具有较高的鉴权可靠性。
本发明进一步的目的是实现数据传输过程中的动态密钥分配，进一步保证数据传输的安全性。
本发明所述的WiMAX系统鉴权方法，应用于WiMAX网络与位于移动通信系统核心网上归属位置寄存器互连的系统中，其中，所述WiMAX网络中的认证服务器连接到位于移动通信系统核心网中的归属位置寄存器；且设置用户终端将自身用户标识模块信息作为用户身份标识；所述方法包括以下步骤A、WiMAX网络中的鉴权认证点通过与请求接入WiMAX网络用户终端的信息交互获取该用户终端的用户身份标识，并将获取的用户身份标识发送到所述认证服务器；B、所述认证服务器根据所接收的用户身份标识确定本次鉴权过程采用的认证方式，并在确定所述认证方式后，从归属位置寄存器获取所述用户终端的鉴权集；C、所述认证服务器及所述用户终端通过所述鉴权认证点，根据从所述归属位置寄存器获取的鉴权集，采用标准鉴权算法分别得到一个消息认证码，采用标准加密算法分别得到一个加密密码，并根据所述消息认证码及所述加密密码的一致性判断进行所述认证服务器与所述用户终端之间的合法性认证；D、在认证成功后，所述用户终端与WiMAX网络中的基站协商创建业务流。
步骤A所述用户终端与鉴权认证点之间的交互为用户终端发送连接消息到WiMAX网络的鉴权认证点，请求接入WiMAX网络；所述鉴权认证点接收到连接消息后，通过扩展认证协议(EAP)请求消息请求用户终端上报自身的用户身份标识；用户终端通过EAP响应消息将自身的身份标识上报给所述鉴权认证点。
步骤B所述鉴权集至少包括归属位置寄存器随机生成的随机数RAND，根据所述随机数RAND采用标准加密算法计算的第一加密密码，以及包含第一消息认证码的认证参数，所述第一消息认证码是根据随机数RAND采用标准鉴权算法计算得到的。
步骤C所述合法性认证包括C11、所述认证服务器通过鉴权认证点将接收的随机数RAND和认证参数一起发送到用户终端；C12、所述用户终端利用接收的随机数RAND，使用归属位置寄存器计算所述第一消息认证码的方法计算第二消息认证码，然后验证自身计算的第二消息认证码与所接收认证参数中的第一消息认证码是否一致，如果一致，则利用接收的随机数RAND，使用归属位置寄存器计算第一加密密码的方法计算第二加密密码，并将计算得到的第二加密密码通过鉴权认证点发送到所述认证服务器；如果不一致，则所述认证服务器不合法，认证失败，结束当前处理流程；C13、所述认证服务器将接收到的第二加密密码与来自归属位置寄存器的第一加密密码进行比较，如果一致，则认证成功；否则，所述用户终端不合法，认证失败。
本发明所述步骤B在确定本次鉴权过程采用的认证方式之后进一步包括所述认证服务器通过鉴权认证点与所述用户终端进行认证方式协商。
本发明所述认证方式协商包括B1、所述认证服务器将携带有所确定认证方式的EAP请求消息封装到接入挑战消息中，发送到所述鉴权认证点；鉴权认证点提取所述接入挑战消息中的EAP请求消息，并将提取的EAP请求消息发送到所述用户终端；
B2、如果用户终端支持所述EAP请求消息中携带的认证方式，则发送携带有该认证方式的EAP响应消息到鉴权认证点；否则，丢弃所述EAP请求消息，然后结束；B3、所述鉴权认证点在接收到所述EAP响应消息后，将该消息封装到接入请求消息中，发送至认证服务器，完成认证方式协商。
本发明所述步骤B2进一步包括若用户终端支持所述EAP请求消息中携带的认证方式，则用户终端随机生成第一随机数，并在发送至接入服务网关的EAP响应消息中携带所述第一随机数。
步骤B所述鉴权集至少包括归属位置寄存器随机生成的第二随机数，以及根据所述第二随机数采用标准加密算法计算的第三加密密码。
步骤C所述合法性认证包括C21、所述认证服务器利用接收的第一随机数采用标准鉴权算法计算第三消息认证码，然后将计算得到的第三消息认证码以及从归属位置寄存器接收的第二随机数一起通过鉴权认证点发送到用户终端；C22、用户终端利用自身生成的第一随机数，使用认证服务器计算第三消息认证码的方法计算第四消息认证码，然后验证自身计算的第四消息认证码与接收到的第三消息认证码是否一致，如果一致，则利用接收的第二随机数，使用归属位置寄存器计算第三加密密码的方法计算第四加密密码，并将计算得到的第四加密密码通过鉴权认证点发送给认证服务器；如果不一致，则所述认证服务器不合法，认证失败，结束当前处理流程；C23、认证服务器将接收到的第四加密密码与来自归属位置寄存器的第三加密密码进行比较，如果一致，则认证成功，否则，所述用户终端不合法，认证失败。
步骤D在认证成功后进一步包括认证服务器通过鉴权认证点发送接入成功消息到用户终端，同时根据该用户终端的用户签约信息生成动态密钥，并下发给所述基站；步骤D所述协商创建业务流进一步包括D1、用户终端根据自身保存的签约信息生成动态密钥，用户终端与基站根据各自的动态密钥生成认证密钥，并通过三次握手机制确认各自产生的认证密钥是否一致；D2、在确认各自产生的认证密钥一致后，所述用户终端向基站请求数据加密密钥，并在业务流创建完成后，使用所述数据加密密钥加密在用户终端与基站之间传输的数据。
本发明所述移动通信系统为全球移动通信系统；所述用户终端的用户身份标识为用户标识模块SIM；步骤B所述认证方式为EAP-SIM方式；或者所述移动通信系统为码分多址系统；所述用户终端的用户身份标识为用户标识模块UIM；步骤B所述认证方式为EAP-UIM方式；或者所述移动通信系统为宽带码分多址系统；所述用户终端的用户身份标识为用户标识模块USIM；步骤B所述认证方式为EAP-AKA方式。
本发明所述WiMAX网络鉴权认证点为基站；基站通过接入服务网关实现与认证服务器之间的通信；或者所述WiMAX网络鉴权认证点为接入服务网关；接入服务网关通过基站实现与用户终端之间的通信。
本发明所述用户终端为移动用户终端或者固定用户终端，所述固定用户终端通过WiMAX网络的用户台与所述基站通信。
本发明所述WiMAX网络中的认证服务器通过标准七号信令接口连接到位于移动通信系统核心网中的归属位置寄存器。
由此可以看出，本发明所述的方法可以充分利用现有移动通信系统的鉴权机制实现WiMAX系统用户的鉴权。除此之外，本发明所述的方法还具有以下优点首先，本发明所述的方法在实现MSS接入WiMAX网络的同时，可以根据HLR生成的鉴权、加密参数集合——鉴权集实现网络对MSS以及MSS对网络的双向认证，提高系统鉴权的可靠性；其次，由于本发明所述的方法将WiMAX网络与现有的移动通信系统相结合，有利于现有移动通信系统用户使用新的WiMAX网络，并且可以利用已有的移动通信系统核心网实现WiMAX用户的漫游，而不需要组建WiMAX的专用漫游网络，大大节约了建网成本；再次，由于在本发明所述方法中，用户在现有移动通信系统开户的用户签约信息以及开通的WiMAX业务签约信息统一存放在现有移动通信系统的HLR中，因此，可以实现现有移动通信系统业务以及WiMAX业务的统一标识、统一计费以及统一维护，方便运营商运营管理；最后，在本发明所述的鉴权方法中用户不需要人工输入用户名和密码，使其使用WiMAX网络更加方便，并且由于BS为MSS下发的数据加密密钥TEK具有一定的生存时间，数据加密密钥TEK仅在其生存时间内有效，故MSS会在TEK失效之前定期向BS重新申请新的数据加密密钥，实现MSS与BS之间的动态密钥功能，可以进一步保证无线接口上数据传输的安全性。


图1为采用固定用户名/密码方式实现用户接入鉴权的WiMAX网络示意图；图2为本发明所述实现用户接入鉴权的WiMAX网络示意图；图3为本发明所述实现WiMAX系统鉴权方法的流程图；图4为本发明一个优选实施例所述的利用GSM系统鉴权机制实现WiMAX系统接入鉴权的流程图；图5为本发明另一个优选实施例所述的利用WCDMA系统鉴权机制实现WiMAX系统接入鉴权的流程图；图6为本发明又一个优选实施例所述的利用CDMA系统鉴权机制实现WiMAX系统接入鉴权的流程图。
具体实施例方式
虽然现有的802.16系列标准没有规定MSS接入WiMAX网络时的鉴权方法，但是，现有的移动通信系统，例如GSM、CDMA以及WCDMA系统都可以支持依赖于用户标识模块的用户鉴权。例如，GSM系统对移动终端的身份识别和鉴权是根据用户标识模块SIM(Subscriber Identity Module)来完成的，CDMA系统对移动终端的身份识别和鉴权是跟据用户标识模块UIM(User Identity Module)来完成的，而WCDMA系统对移动终端的身份识别和鉴权是根据用户标识模块USIM(User Services Identity Module)来完成的。因此，可以利用现有移动通信系统的鉴权机制实现WiMAX系统用户的鉴权。
本发明的主要思想就是将WiMAX网络与现有的移动通信系统相结合，充分利用现有移动通信系统的鉴权机制完成对WiMAX网络用户的鉴权。
为了实现本发明所述的鉴权方法，接入WiMAX网络的MSS需要能够支持现有移动通信系统的用户标识模块，例如支持GSM系统的SIM卡，支持CDMA系统的UIM卡或者支持WCDMA系统的USIM卡，并且持有这种MSS的用户需要统一在现有移动通信系统运营商处进行开户，开户后用户的签约信息将存放在所述现有移动通信系统的归属位置寄存器(HLR)的数据库中。另外，BS与ASN GW之间要支持扩展接入协议(EAP)，ASNGW与AS之间要支持远端接入拨号用户服务协议(RADIUS)，WiMAX网络的AS通过现有的七号信令协议，例如MAP协议或IS41协议与位于现有移动通信系统核心网(CN)的HLR进行交互，以获取MSS的签约信息以及鉴权所需的参数。除此之外，HLR还需要能够支持WiMAX业务的设置。这样，WiMAX用户在接入WiMAX网络的时候就可以充分利用现有移动通信系统的鉴权机制进行鉴权了。
图2显示了本发明所述利用现有移动通信系统鉴权机制实现WiMAX网络用户鉴权的网络示意图。从图2可以看出，与现有固定用户名/密码的鉴权方式相比，在本发明所述的方法中，WiMAX系统用户的签约信息统一存放在位于现有移动通信系统核心网上HLR 201的数据库中，AS 104通过现有的七号信令协议连接到该HLR 201，并通过与HLR 201的交互实现用户的鉴权。
如图3所示，本发明所述的鉴权方法主要包括以下步骤A、在MSS与BS之间采用现有WiMAX协议进行物理同步、物理连接搜索以及能力协商之后，MSS通过802.16系列协议发起EAP会话，请求接入WiMAX网络，发起本次鉴权过程的鉴权认证点(Authenticator)通过与所述发起接入请求的MSS交互获取该MSS的身份标识，并将获取的身份标识发送到AS。
其中，本发明所述的鉴权认证点是指鉴权过程的发起点。在鉴权过程中，鉴权认证点起到了鉴权控制以及用户终端与鉴权服务器之间的接续作用，负责用户终端和网络之间信令和业务的交互。在本发明所述的方法中，鉴权认证点可以由BS或ASN GW实现。
B、AS根据用户的身份标识确定对该MSS采用的认证方式，主要包括EAP-SIM方式、EAP-AKA方式以及EAP-UIM方式，并在确定该MSS的认证方式后，从HLR读取该MSS的鉴权集。
所述认证方式是根据MSS用户身份标识模块的类型来确定的，例如如果MSS的身份标识模块为SIM，则采用EAP-SIM认证方式；如果MSS的身份标识模块为USIM，则采用EAP-AKA认证方式；如果MSS的身份标识模块为UIM，则采用EAP-UIM认证方式。
C、AS及MSS采用步骤B确定的认证方式，根据HLR发送的鉴权集进行双向认证。
在该步骤中，所述双向认证主要包括以下步骤MSS与AS根据所述鉴权集以及标准的鉴权算法分别得到一个消息认证码，并根据所述鉴权集以及标准的加密算法分别得到一个加密密码；MSS根据自身的消息认证码与来自AS的消息认证码的一致性判断AS的合法性；AS根据自身加密密码与来自MSS加密密码的一致性判断MSS的合法性；如果AS和MSS均合法，则双向认证成功；否则，双向认证失败。
D、在双向认证成功后，MSS与WiMAX网络进行协商，创建业务流。
下面结合附图，分别以WiMAX系统与GSM系统、CDMA系统以及WCDMA系统结合为例，对本发明所述的方法作进一步详细说明。
实施例1本实施例将WiMAX系统与现有的GSM系统相结合，利用GSM系统的鉴权机制实现WiMAX用户的鉴权。
由于在GSM网络中，用户的鉴权是基于用户标识模块SIM来进行的，因此，在本实施例所述的方法中，用户的鉴权也基于SIM卡来进行，故MSS需要支持SIM卡读取SIM卡信息。另外，持有该MSS的用户需要在GSM网络中开户，其用户签约信息统一保存在GSM网的HLR中。
参照图2，在本实施例所述的方法中，BS 102与ASN GW 103之间通过EAP-SIM方式进行消息交互；ASN GW 103与AS 104之间通过RADIUS协议通信，而AS 104与HLR 201之间的接口采用标准的七号信令接口，通信协议采用移动应用部分(MAP)协议。
图4显示了本实施例所述的利用GSM的鉴权机制进行鉴权的消息流程图。图4所示的鉴权方法鉴权认证点由ASN GW实现。如图4所示，本发明所述的方法主要包括以下步骤步骤401-步骤403在MSS与BS之间完成物理同步、物理链路搜索以及能力协商之后，MSS通过BS向鉴权认证点ASN GW发送连接(LINK UP)消息，请求接入WiMAX网络；ASN GW通过BS向MSS发送EAP身份请求消息，请求MSS上报自身的用户身份标识；MSS从自身的SIM卡中读取用户身份信息，然后将读取的信息组成IMSI@Realm的格式作为自身的用户身份标识，并通过EAP身份请求响应消息将上述读取的用户身份标识IMSI@Realm上报给ASN GW；步骤404-步骤405ASN GW将上述携带有MSS身份标识IMSI@Realm的EAP身份请求响应消息封装到接入请求(Access Request)消息中，发送到AS；AS从接收的Access Request消息中提取该MSS的身份标识IMSI@Realm，并根据提取的用户身份标识，判断出该MSS的用户身份标识是SIM类型，由此判定对该MSS应当采用EAP-SIM认证方式进行鉴权；然后，发送接入挑战(Access Challenge)消息到ASN GW，发起EAP-SIM认证方式协商；步骤406ASN GW通过BS向MSS发送携带有EAP-SIM认证开始指示的EAP请求消息到MSS，如果MSS支持EAP-SIM认证方式，则MSS回复携带有EAP-SIM认证开始指示的EAP响应消息到ASN GW，完成所述EAP-SIM认证方式的协商；否则，MSS丢弃接收到的EAP请求消息，本次鉴权失败；在步骤406中，MSS回复的EAP响应消息中还将携带该MSS自身随机产生的长度为128比特的随机数Nonce；步骤407ASN GW接收到MSS回复的EAP响应消息后将该响应消息封装在Access Request消息中发送到AS；步骤408AS通过七号信令中的MAP协议向位于GSM核心网的HLR发送恢复数据(Restore Data)消息，开始读取该MSS的用户签约信息；HLR接收到Restore Data消息后，通过插入用户数据(Insert_Subs_Data)消息将该MSS的用户签约数据发送到AS；AS正确接收到该MSS的用户签约数据后，发送插入用户数据响应消息到HLR；HLR获知AS接收到用户签约数据后，发送恢复数据响应消息到AS，结束所述读取用户签约数据过程；步骤409-步骤410AS首先检查从HLR获取的该MSS的用户签约数据，判断该MSS是否开通了WiMAX业务，如果开通了该业务，则发送取鉴权信息(Send_Auth_Info)消息到HLR，请求该MSS的鉴权集；否则，拒绝该MSS接入WiMAX网络；HLR根据该MSS的用户身份标识IMSI@Realm生成该MSS的鉴权集后，通过发送鉴权信息响应消息将生成的鉴权集发送到AS；所述鉴权集中至少包括由HLR随机产生的用于鉴权的随机数RAND，以及根据该随机数RAND及标准的加密算法计算得到的加密密码SRES；步骤411AS利用在步骤406中接收的随机数Nonce以及步骤408获取的用户签约数据，采用现有标准的鉴权算法计算一个消息认证码(MAC)MACa，然后将计算得到MACa和从HLR接收的随机数RAND一起封装在EAP请求消息中，并通过Access Challenge消息将封装后的EAP请求消息发送给ASN GW；步骤412ASN GW将所接收Access Challenge消息中封装的EAP请求消息发送到MSS，其中携带有AS计算的MACa以及来自HLR的随机数RAND；MSS首先利用Nonce使用与AS计算MAC值时所使用鉴权算法相同的方法计算另一个MAC值MACb，并验证自身计算的MACb与接收到的AS计算的MACa是否一致，如果不一致，则说明MSS对AS的认证失败，丢弃接收到的EAP请求消息；如果一致，则说明AS是合法的，MSS利用接收的、来自HLR的随机数RAND以及与HLR计算SRES时所使用加密算法相同的算法计算另一个加密密码RES，并将计算得到的加密密码RES封装到EAP响应消息中，发送到ASN GW；步骤413-步骤414ASN GW将接收的EAP响应消息进一步封装到接入请求消息中，发送给AS，其中携带MSS计算的加密密码RES；AS将接收到的MSS计算的加密密码RES与在步骤410中接收到的HLR计算的加密密码SERS进行比较，如果一致，则说明该MSS身份合法，发送接入成功消息到ASN GW，其中携带AS根据该MSS用户签约信息生成的动态密钥AAA-Key；ASN GW通过BS将EAP成功消息发送给MSS，同时将所述动态密钥AAA-Key下发给BS；步骤415MSS可以根据自身保存的签约信息生成与上述AAA-Key相同的动态密钥，BS与MSS根据相同的动态密钥AAA-Key以及802.16e规定的算法产生认证密钥AK，并通过三次握手确认各自产生的AK是否一致，同时，在上述三次握手的过程中，BS下发相关安全联盟信息到MSS；在该步骤中产生的AK将作为加密密钥在后续的签名及数据加密密钥TEK的传输过程中使用；步骤416在MSS与BS确认各自产生的AK一致后，MSS向BS请求数据加密密钥TEK。
此后，MSS和BS可以通过动态业务创建/修改/删除(Dynamic ServiceAdd/Change/Delete，DSX)系列消息的交互创建所需的业务流，并使用BS下发给MSS的数据加密密钥TEK对MSS与BS之间传输的数据进行加密。
实施例2本实施例将WiMAX系统与现有的WCDMA系统相结合，利用WCDMA系统的鉴权机制实现WiMAX用户的鉴权。
由于在WCDMA网络中，用户的鉴权是基于用户标识模块USIM来进行的，因此，在本实施例所述的方法中，用户的鉴权也基于USIM来进行，故此时MSS需要支持USIM卡，能够读取USIM卡信息。另外，持有该MSS的用户需要在WCDMA网络中开户，其用户签约信息统一保存在WCDMA核心网的HLR中。在该实施例中，HLR还需要能够支持WiMAX业务的设置。
参照图2，在本实施例所述的方法中，BS 102与ASN GW 103之间通过EAP-AKA方式进行消息交互；ASN GW 103与AS 104之间通过RADIUS协议通信，而AS 104与HLR 201之间的接口采用标准的七号信令接口，通信协议采用MAP协议。
图5显示了本实施例所述的利用WCDMA的鉴权机制进行鉴权的消息流程图。图5所示的鉴权方法鉴权认证点由ASN GW实现。如图5所示，本发明所述的方法主要包括以下步骤步骤501-步骤503在MSS与BS之间完成物理同步、物理链路搜索以及能力协商之后，MSS通过BS向鉴权认证点ASN GW发送LINK UP消息，请求接入WiMAX网络；ASN GW通过BS向MSS发送EAP身份请求消息，请求MSS上报自身的用户身份标识；MSS从自身的USIM卡中的读取用户身份信息，然后将读取的信息组成IMSI@Realm的格式作为自身的用户身份标识，并通过EAP身份请求响应消息将上述读取的用户身份标识IMSI@Realm上报给ASN GW；步骤504ASN GW将上述携带有MSS的身份标识IMSI@Realm的EAP身份请求响应消息封装到Access Request消息中，发送到AS，AS从AccessRequest消息中提取该MSS的身份标识IMSI@Realm，并根据提取的用户身份标识，判断出该MSS的用户身份标识是USIM类型，由此判定对该MSS应当采用EAP-AKA认证方式进行鉴权；步骤505-步骤506AS发送Access Challenge消息到ASN GW，发起EAP-AKA认证方式协商；ASN GW向MSS发送携带有EAP-AKA认证开始指示的EAP请求消息到MSS，如果MSS支持EAP-AKA认证方式，则MSS回复携带有EAP-AKA认证开始指示的EAP响应消息到ASN GW，完成所述EAP-AKA认证方式的协商；否则，MSS丢弃接收到的EAP请求，本次鉴权失败；步骤507ASN GW接收到MSS回复的EAP响应消息后将该响应消息封装在Access Request消息中发送到AS；需要说明的是，在本实施例所述的方法中，也可以不执行上述步骤505-步骤507的认证方式协商过程，而在执行完步骤505之后，直接执行下面的步骤508；步骤508AS通过七号信令中的MAP协议向位于WCDMA核心网的HLR发送用户信息请求(Subscriber_Profile_Request)消息，请求该MSS的用户签约信息；HLR接收到Subscriber_Profile_Request消息后，通过用户信息(Subscriber_Profile)消息将该MSS的用户签约数据发送到AS；AS正确接收到该MSS的用户签约数据后，发送用户描述响应消息到HLR；步骤509-步骤510AS首先检查从HLR获取的该MSS的用户签约数据，判断该MSS是否开通了WiMAX业务，如果开通了该业务，则发送鉴权信息请求(AUTH_Info Request)消息到HLR，请求该MSS的鉴权集；否则，拒绝该MSS接入WiMAX网络；HLR根据该MSS的用户身份标识IMSI@Realm生成该MSS的鉴权集后，将该MSS的鉴权集以及包含TMSI在内的认证信息，通过发送鉴权信息请求响应消息发送到AS；所述鉴权集中至少包括由HLR随机产生的用于鉴权的随机数RAND，根据随机数RAND及标准的加密算法计算得到的加密密码XRES和认证参数AUTN；所述认证参数AUTN由三个固定位数的参数串接而成，最后一个参数是有待MSS验证的消息认证码MAC，该MAC也是根据随机数RAND以及标准的鉴权算法计算得到的；步骤511AS将在步骤423从HLR接收的随机数RAND以及认证参数AUTNa一起封装在EAP请求消息中，并通过Access Challenge消息将封装后的EAP请求消息发送给ASN GW；其中，在所述的EAP请求消息中还可以进一步包括经过加密的TMSI参数；步骤512ASN GW将所接收Access Challenge消息中封装的EAP请求消息发送到MSS，其中携带有来自HLR的随机数RAND及AUTNa；MSS首先利用RAND以及与HLR计算所述MAC时所使用鉴权算法相同的算法计算另一个消息认证码XMAC，并验证自身计算的XMAC与接收到的AUTNa中的MAC是否一致，如果不一致，则认为AS非法，拒绝网络侧的认证，丢弃接收到的EAP请求消息；如果一致，则说明AS是合法的，此时，MSS利用接收的、来自HLR的随机数RAND以及与HLR计算XRES时所使用加密算法相同的算法计算另一个加密密码RES，并将计算得到的加密密码RES封装到EAP响应消息中，发送到ASN GW；如果在所述的EAP请求消息中进一步包含加密的TMSI参数，则MS对该TMSI参数进行解密后，保存在本地；步骤513-步骤514ASN GW将接收的EAP响应消息进一步封装到接入请求消息中，发送给AS，其中携带MSS计算的加密密码RES；AS将接收到的MSS计算的加密密码RES与在步骤510中接收到的HLR计算的加密密码XRES进行比较，如果一致，则说明该MSS身份合法，发送接入成功消息到ASN GW，其中携带AS根据该MSS用户签约信息生成的动态密钥AAA-Key；ASN GW通过BS将EAP成功消息发送给MSS，同时将所述动态密钥AAA-Key下发给BS；步骤515MSS可以根据自身保存的签约信息生成与上述AAA-Key相同的动态密钥，BS与MSS根据动态密钥AAA-Key以及802.16e规定的算法产生认证密钥AK，并通过三次握手确认各自产生的AK是否一致，同时，在上述三次握手的过程中，BS下发相关安全联盟信息到MSS；在该步骤中产生的AK将作为加密密钥在后续的签名及数据加密密钥TEK的传输过程中使用；步骤516在MSS与BS确认各自产生的AK一致后，MSS向BS请求数据加密密钥TEK。
此后，MSS和BS可以通过DSX系列消息的交互创建所需的业务流，并使用BS下发给MSS的数据加密密钥TEK对MSS与BS之间传输的数据进行加密。
实施例3本实施例将WiMAX系统与现有的CDMA系统相结合，利用CDMA系统的鉴权机制实现WiMAX用户的鉴权。
由于在CDMA网络中，用户的鉴权是基于用户标识模块UIM来进行的，因此，在本实施例所述的方法中，用户的鉴权也基于UIM来进行，故此时MSS需要支持UIM卡，能够读取UIM卡信息。另外，持有该MSS的用户需要在CDMA网络中开户，其用户签约信息统一保存在CDMA网的HLR中。因此，在该实施例中，HLR需要能够支持WiMAX业务的设置。
参照图2，在本实施例所述的方法中，BS 102与ASN GW 103之间通过EAP-UIM方式进行消息交互；ASN GW 103与AS 104之间通过RADIUS协议或PPPoE协议通信，而AS 104与HLR 201之间的接口采用标准的七号信令接口，通信协议采用IS-41协议。
图6显示了本实施例所述的利用CDMA的鉴权机制进行鉴权的消息流程图。图6所示的鉴权方法鉴权认证点由ASN GW实现。如图6所示，本发明所述的方法主要包括以下步骤步骤601-步骤603在MSS与BS之间完成物理同步、物理链路搜索以及能力协商之后，MSS通过BS向鉴权认证点ASN GW发送LINK UP消息，请求接入WiMAX网络；ASN GW通过BS向MSS发送EAP身份请求消息，请求MSS上报自身的用户身份标识；MSS从自身的UIM卡中的读取用户身份信息，并将读取的信息组合成IMSI@Realm的格式作为自身的用户身份标识，然后通过EAP身份请求响应消息将上述读取的用户身份标识IMSI@Realm上报给ASN GW；步骤604-步骤605ASN GW将上述携带有MSS的身份标识IMSI@Realm的EAP身份请求响应消息封装到Access Request消息中，发送到AS；AS从Access Request消息中提取该MSS的身份标识IMSI@Realm，并根据提取的用户身份标识，判断出该MSS的用户身份标识是UIM类型，由此判定对该MSS应当采用EAP-UIM认证方式进行鉴权；然后发送AccessChallenge消息到ASN GW，发起EAP-UIM认证方式协商；步骤606ASN GW通过BS向MSS发送携带有EAP-UIM认证开始指示的EAP请求消息到MSS，如果MSS支持EAP-UIM认证方式，则MSS回复携带有EAP-UIM认证开始的EAP响应消息到ASN GW，完成认证方式的协商；否则，丢弃接收的EAP请求消息，本次鉴权失败；在步骤606中，MSS回复的EAP响应消息中还将携带该MSS自身随机产生的长度为128比特的随机数Nonce；步骤607ASN GW接收到MSS回复的EAP响应消息后将该响应消息封装在Access Request消息中发送到AS；步骤608AS通过七号信令中的IS-41协议向位于CDMA核心网的HLR发送注册通知激活(Registration Notification INVOKE)消息，请求该MSS的签约用户信息；HLR在收到Registration Notification INVOKE消息后返回该MSS的用户签约信息；步骤609AS首先根据接收到的用户签约信息判断该用户是否开通了WiMAX业务，如果开通了该业务，则发送认证请求激活(AuthenticationRequest INVOKE)消息，请求该MSS的鉴权集；否则，拒绝该MSS接入WiMAX网络；HLR接收到Authentication Request INVOKE消息后，返回该MSS的用户签约数据到AS；所述鉴权集中至少包括由HLR随机产生的用于鉴权的随机数RAND，以及根据该随机数RAND及标准的加密算法计算得到的加密密码AUTHU；步骤610AS利用在步骤606中接收的随机数Nonce步骤608获取的用户签约数据，采用现有标准的鉴权算法计算一个MACa，然后将计算得到MACa和从HLR接收的随机数RAND一起封装在EAP请求消息中，并通过Access Challenge消息将封装后的EAP请求消息发送给ASN GW；步骤611ASN GW将所接收Access Challenge消息中封装的EAP请求消息发送到MSS，其中携带有AS计算的MACa以及来自HLR的随机数RAND；MSS首先利用Nonce使用与AS计算MACa时所使用鉴权算法相同的方法计算另一个MAC值MACb，并验证自身计算的MACb与接收到的AS计算的MACa是否一致，如果不一致，则说明MSS对AS的认证失败，丢弃接收到的EAP请求消息；如果一致，则说明AS是合法的，MSS将利用接收的、来自HLR的随机数RAND以及与HLR计算AUTHU时所使用加密算法相同的算法计算另一个加密密码RES，并将计算得到的加密密码RES封装到EAP响应消息中，发送到ASN GW；步骤612-步骤613ASN GW将接收的EAP响应消息进一步封装到接入请求消息中，发送给AS，其中携带MSS计算的加密密码RES；AS将接收到的MSS计算的加密密码RES与在步骤609中接收到的HLR计算的加密密码AUTHU进行比较，如果一致，则说明该MSS身份合法，发送接入成功消息到ASN GW，其中携带AS根据该MSS用户签约信息生成的动态密钥AAA-Key；ASN GW通过BS将EAP成功消息发送给MSS，同时，将所述动态密钥AAA-Key下发给BS；步骤614MSS可以根据自身保存的签约信息生成与上述AAA-Key相同的动态密钥，BS与MSS根据所述动态密钥AAA-Key以及802.16e规定的算法产生认证密钥AK，并通过三次握手确认各自产生的AK是否一致，同时，在上述三次握手的过程中，BS下发相关安全联盟信息到MSS；在该步骤中产生的AK将作为加密密钥在后续的签名及数据加密密钥TEK的传输过程中使用；步骤615在MSS与BS确认各自生成的AK一致后，MSS向BS请求数据加密密钥TEK。
此后，MSS和BS可以通过DSX系列消息的交互创建所需的业务流，并使用BS下发给MSS的数据加密密钥TEK对MSS与BS之间传输的数据进行加密。
在上述实施例1、实施例2以及实施例3所述的鉴权方法中，鉴权认证点均位于ASN GW，即在MSS请求接入WiMAX网络后，由ASN GW发起鉴权过程。本领域的技术人员可以理解，本发明所述的鉴权过程也可以由BS发起，即鉴权认证点在BS时也可以实现本发明所述的方法。此时，ASNGW的作用类似于一个代理(Proxy)，实现BS与AS之间消息的转发。由BS作为鉴权认证点的鉴权过程与上述实施例1、实施例2及实施例3所述的过程基本相同，在这里就不再详细描述了。
通过上述流程可以看出，本发明所述的方法可以充分利用现有GSM系统、WCDMA系统以及CDMA系统的鉴权机制实现WiMAX系统用户的鉴权。另外，本发明所述的方法在实现MSS接入WiMAX网络的同时，可以实现网络对MSS以及MSS对网络的双向认证，提高系统鉴权的可靠性；另外，有利于现有的GSM、WCDMA或CDMA用户使用新的WiMAX网络，并且可以利用已有的GSM、WCDMA或CDMA核心网实现WiMAX用户的漫游，而不需要组建WiMAX的专用漫游网络；同时可以实现GSM、WCDMA或CDMA业务以及WiMAX业务的统一标识、统一计费以及统一维护，方便运营商管理等等。
在上文所述的实施例1至实施例3的鉴权方法中，所述请求接入WiMAX网络的MSS是一种移动用户终端，MSS通过无线接口连接到BS。在802.16系列协议中还定义了一种固定用户终端UE的情况。在所述固定用户终端的情况下，UE通过线缆连接到用户站(SS，Subscriber Station)设备，SS设备再通过无线接口连接到BS。熟悉本领域的技术人员可以理解，虽然移动用户终端和固定用户终端接入到WiMAX网络时所使用的协议有所区别，但是，对这种固定用户终端的鉴权方法本质上与对移动用户终端进行鉴权的方法基本相同，此时，可以将所述固定用户终端UE与SS的组合视为本发明优选实施例所述的MSS，并通过本发明所述的方法实现对固定用户终端UE的鉴权。
权利要求
1.一种实现微波接入全球互操作WiMAX系统鉴权的方法，应用于WiMAX网络与位于移动通信系统核心网上归属位置寄存器互连的系统中，其特征在于，所述WiMAX网络中的认证服务器连接到位于移动通信系统核心网中的归属位置寄存器；且设置用户终端将自身用户标识模块信息作为用户身份标识；所述方法包括以下步骤A、WiMAX网络中的鉴权认证点通过与请求接入WiMAX网络用户终端的信息交互获取该用户终端的用户身份标识，并将获取的用户身份标识发送到所述认证服务器；B、所述认证服务器根据所接收的用户身份标识确定本次鉴权过程采用的认证方式，并在确定所述认证方式后，从归属位置寄存器获取所述用户终端的鉴权集；C、所述认证服务器及所述用户终端通过所述鉴权认证点，根据从所述归属位置寄存器获取的鉴权集，采用标准鉴权算法分别得到一个消息认证码，采用标准加密算法分别得到一个加密密码，并根据所述消息认证码及所述加密密码的一致性判断进行所述认证服务器与所述用户终端之间的合法性认证；D、在认证成功后，所述用户终端与WiMAX网络中的基站协商创建业务流。
2.如权利要求1所述的方法，其特征在于，步骤A所述用户终端与鉴权认证点之间的交互为用户终端发送连接消息到WiMAX网络的鉴权认证点，请求接入WiMAX网络；所述鉴权认证点接收到连接消息后，通过扩展认证协议(EAP)请求消息请求用户终端上报自身的用户身份标识；用户终端通过EAP响应消息将自身的身份标识上报给所述鉴权认证点。
3.如权利要求1所示的方法，其特征在于，步骤B所述鉴权集至少包括归属位置寄存器随机生成的随机数RAND，根据所述随机数RAND采用标准加密算法计算的第一加密密码，以及包含第一消息认证码的认证参数，所述第一消息认证码是根据随机数RAND采用标准鉴权算法计算得到的。
4.如权利要求3所示的方法，其特征在于，步骤C所述合法性认证包括C11、所述认证服务器通过鉴权认证点将接收的随机数RAND和认证参数一起发送到用户终端；C12、所述用户终端利用接收的随机数RAND，使用归属位置寄存器计算所述第一消息认证码的方法计算第二消息认证码，然后验证自身计算的第二消息认证码与所接收认证参数中的第一消息认证码是否一致，如果一致，则利用接收的随机数RAND，使用归属位置寄存器计算第一加密密码的方法计算第二加密密码，并将计算得到的第二加密密码通过鉴权认证点发送到所述认证服务器；如果不一致，则所述认证服务器不合法，认证失败，结束当前处理流程；C13、所述认证服务器将接收到的第二加密密码与来自归属位置寄存器的第一加密密码进行比较，如果一致，则认证成功；否则，所述用户终端不合法，认证失败。
5.如权利要求1所述的方法，其特征在于，所述步骤B在确定本次鉴权过程采用的认证方式之后进一步包括所述认证服务器通过鉴权认证点与所述用户终端进行认证方式协商。
6.如权利要求5所述的方法，其特征在于，所述认证方式协商包括B1、所述认证服务器将携带有所确定认证方式的EAP请求消息封装到接入挑战消息中，发送到所述鉴权认证点；鉴权认证点提取所述接入挑战消息中的EAP请求消息，并将提取的EAP请求消息发送到所述用户终端；B2、如果用户终端支持所述EAP请求消息中携带的认证方式，则发送携带有该认证方式的EAP响应消息到鉴权认证点；否则，丢弃所述EAP请求消息，然后结束；B3、所述鉴权认证点在接收到所述EAP响应消息后，将该消息封装到接入请求消息中，发送至认证服务器，完成认证方式协商。
7.如权利要求6所述的方法，其特征在于，步骤B2进一步包括若用户终端支持所述EAP请求消息中携带的认证方式，则用户终端随机生成第一随机数，并在发送至接入服务网关的EAP响应消息中携带所述第一随机数。
8.如权利要求7所述的方法，其特征在于，步骤B所述鉴权集至少包括归属位置寄存器随机生成的第二随机数，以及根据所述第二随机数采用标准加密算法计算的第三加密密码。
9.如权利要求8所述的方法，其特征在于，步骤C所述合法性认证包括C21、所述认证服务器利用接收的第一随机数采用标准鉴权算法计算第三消息认证码，然后将计算得到的第三消息认证码以及从归属位置寄存器接收的第二随机数一起通过鉴权认证点发送到用户终端；C22、用户终端利用自身生成的第一随机数，使用认证服务器计算第三消息认证码的方法计算第四消息认证码，然后验证自身计算的第四消息认证码与接收到的第三消息认证码是否一致，如果一致，则利用接收的第二随机数，使用归属位置寄存器计算第三加密密码的方法计算第四加密密码，并将计算得到的第四加密密码通过鉴权认证点发送给认证服务器；如果不一致，则所述认证服务器不合法，认证失败，结束当前处理流程；C23、认证服务器将接收到的第四加密密码与来自归属位置寄存器的第三加密密码进行比较，如果一致，则认证成功，否则，所述用户终端不合法，认证失败。
10.如权利要求1所述的方法，其特征在于，步骤D在认证成功后进一步包括认证服务器通过鉴权认证点发送接入成功消息到用户终端，同时根据该用户终端的用户签约信息生成动态密钥，并下发给所述基站；步骤D所述协商创建业务流进一步包括D1、用户终端根据自身保存的签约信息生成动态密钥，用户终端与基站根据各自的动态密钥生成认证密钥，并通过三次握手机制确认各自产生的认证密钥是否一致；D2、在确认各自产生的认证密钥一致后，所述用户终端向基站请求数据加密密钥，并在业务流创建完成后，使用所述数据加密密钥加密在用户终端与基站之间传输的数据。
11.如权利要求1所述的方法，其特征在于，所述移动通信系统为全球移动通信系统；所述用户终端的用户身份标识为用户标识模块SIM；步骤B所述认证方式为EAP-SIM方式；或者所述移动通信系统为码分多址系统；所述用户终端的用户身份标识为用户标识模块UIM；步骤B所述认证方式为EAP-UIM方式；或者所述移动通信系统为宽带码分多址系统；所述用户终端的用户身份标识为用户标识模块USIM；步骤B所述认证方式为EAP-AKA方式。
12.如权利要求1所述的方法，其特征在于，所述WiMAX网络鉴权认证点为基站；基站通过接入服务网关实现与认证服务器之间的通信；或者所述WiMAX网络鉴权认证点为接入服务网关；接入服务网关通过基站实现与用户终端之间的通信。
13.如权利要求1所述的方法，其特征在于，所述用户终端为移动用户终端或者固定用户终端，所述固定用户终端通过WiMAX网络的用户台与所述基站通信。
14.如权利要求1所述的方法，其特征在于，所述WiMAX网络中的认证服务器通过标准七号信令接口连接到位于移动通信系统核心网中的归属位置寄存器。
全文摘要
本发明公开了一种实现WiMAX系统鉴权的方法，应用于WiMAX网络与位于移动通信系统核心网上归属位置寄存器互连的系统中，所述方法包括WiMAX网络中的鉴权认证点通过与用户终端的信息交互获取该用户终端的用户身份标识，并将获取的用户身份标识发送到所述认证服务器；所述认证服务器根据所接收的用户身份标识确定本次鉴权过程采用的认证方式，并在确定所述认证方式后，从归属位置寄存器获取该用户终端的鉴权集；认证服务器及用户终端通过所述鉴权认证点根据从归属位置寄存器获取的鉴权集，采用确定的认证方式，进行认证服务器与用户终端之间的双向认证；在双向认证成功后，所述用户终端与WiMAX网络中的基站协商创建业务流。
文档编号H04W12/06GK1848994SQ20051006349
公开日2006年10月18日 申请日期2005年4月11日 优先权日2005年4月11日
发明者赵毅, 高江海 申请人:华为技术有限公司