专利名称:融合无线网络中的认证方法以及认证装置的制作方法
技术领域:
本发明涉及无线网络,尤其涉及融合的无线网络。
背景技术:
移动数据业务的迅猛增长已经对无线蜂窝网络,特别是无线接入网造成了很大的压力。无线接入能力目前急待提高,以满足这种迅猛增长的需求。与此同时,由于WiFi的低价、简易和容易处理,WiFi已经在全球获得广泛部署。越来越多的客户端设备同时具备了 WiFi和无线蜂窝的双模接入功能,例如智能手机、iPad、上网本等等。这种双模式终端的增加的可用性通过将WiFi和3GPP无线接入(3G/4G)整合到一个多模无线接入环境中,双模终端数量的迅速增长使得通过融合WiFi和无线蜂窝接入技术(3G/4G)两种接入技术来提高无线接入容量成为可能。建立这种多模无线接入网络的一种解决方案是将WiFi接入点与无线蜂窝网的基站集成在同一设备,通过公共的回传线路接入移动核心网。典型地,这种多模无线接入系统是ー种具有重叠覆盖的异构网。蜂窝网络提供了完全的覆盖以提供移动性支持,而在WiFi信号可用的地点,例如在热点或热区,WiFi用以增强无线接入能力。在这种融合的多模无线接入网络中,如何在WiFi无线链路上提供的安全的接入控制和安全的数据传输,是ー个需要解决的重要问题。图1示出了典型的WiFi接入过程,这能够被划分为三个阶段:扫描(scan)、认证(authentication;和关联(association)。为了发现WiFi AP (接入点),首先,WiFi站点(STA)进行被称为“扫描”的链路层的过程。在802.11中,有两种扫描方式:主动和被动。在被动扫描中,STA监听由AP以ー定的时间间隔发出的信标帧。该信标包含例如SSID、所支持的速率以及安全參数等信息。在主动的扫描(或探測)过程中,STA发出探测请求帧,AP在收到该探测请求后将向STA发出探测响应帧,该探测响应帧所包含的信息与被动扫描方式中信标帧的信息相似,这样,STA能够收集到所有候选AP的相关信息并从中选择ー个。AP的选择基于某些因素,例如信号质量、接入网性能、用户偏好等等。在选择好AP后,STA继续接入认证过程。一旦认证过程成功完成,STA最后通过关联过程,协商与新AP的通信数据率以及保留资源,而AP最后返回关联响应,其中包含所支持的数据率和会话的ID。目前的WiFi接入认证主要有两种方式,预共享密钥认证和基于802.1x的接入认证。在预共享密钥认证的方法中,密钥在使用之前,需要预先在通信双方进行预置,并且,AP和所有关联的客户端都共享相同的密钥。该认证过程如图1中所示,首先,WiFi STA发送认证请求给AP。一旦AP接收到该请求,它将回复ー个认证巾贞,该认证巾贞含有以随机的方式产生的128个八比特组的质询文本。接下来,STA将复制该质询文本至认证帧中,并以该共享密钥对其加密,接着将加密后的帧发送给AP。在第四个步骤中,AP将使用相同的共享密钥解密该返回的质询文本,并将其与之前发送的原始副本进行比较。如果匹配,那么AP将回复指示成功认证的认证响应;否则,AP将发回认证失败指示。共享密钥认证的方案非常简单,并且它不需要其它设备的介入。但是,该密钥必须提前在AP和所有客户端之间共享,这使得该方案更适合于具有少量客户端的家庭或办公室中。对于具有上千上万个AP和STA的大范围网络来说,这种方案将会导致海量的共享密钥工作。并且,动态的变更密钥也不容易。此外,由于AP和所有相关联的STA中的密钥均是相同的,安全性低。因此,这种方法并不适用于运营商级的大規模网络部署。第二个典型的认证方法是基于802.lx。该过程由图2所示。用于在AP和AS (认证服务器)之间的通信的标准是RADIUS (Remote Authentication Dial In User Service,远程认证拨号用户服务)。在STA和AS之间的认证会话由EAP (扩展认证协议)帧所承载。该EAP帧在802.1x中被作为EAPOL (LAN上的EAP)而承载,在RADIUS中被作为EAP消息參数而承载。在基于共孚密钥的方案中,在关联之后,STA将能够获得网络接入。但是,在基于802.1x的方案中,这还不够。为了通过已经建立的关联发送数据帧,STA必须解锁被映射到该新建关联上的802.1x端ロ。为了进行该操作,STA将使用802.1x帧进行EAP认证。当STA 发出 EAPOL-Start 巾贞(EAP0L-开始巾贞)时,或 AP 发出 EAP-1dentityRequest帧(EAP-身份请求帧)吋,EAP认证被发起。STA接下来使用认证证书和某个EAP认证方法,来对后端的EAP服务器进行认证。AP负责转发来自STA的EAP包至后端EAP服务器,或将来自EAP服务器的包转发给STA。EAP包被从802.1x帧中提取出来,并被打包至RADIUS消息中,然后被发送至后端EAP服务器,EAP后端服务器从该消息中提取出EAP载荷,然后将回复消息通过AP发送回STA。在EAP和STA间完成多次信令交互后(具体过程取决于所用的EAP认证方法)后,EAP服务器决定是否已成功认证了该STA的身份。在成功的情况下,EAP服务器将发出发出EAP-Success消息(EAP-成功消息),密钥信息也将被发送给STA和AP。然后,AP解锁被映射到所关联的STA的802.1x端ロ。该解锁的802.1x端ロ只允许受保护的和已认证的数据帧通过。基于802.1x的认证方法能够为WiFi客户端提供集中式的认证和密钥管理。但是,这种方法比较复杂,不仅需要引入EAP/RADIUS服务器,而且WiFi客户端和AP都必须支持802.1x协议。另外,对于运营商而言,为了便于维护和降低成本,WiFi的认证必须与蜂窝网络相融合。因此,移动蜂窝网的网元,例如HLR/HSS,需要支持与WiFi的认证服务器之间互操作,这进ー步增加了系统的复杂性。总之,预共享密钥认证方法安全性低,易受攻击,难于维护,并不适合大范围部署。而基于802.1x的认证方法需要引入EAP/RADIUS服务器,以及来自WiFi客户端和AP的支持,成本和复杂度较高。另外,与蜂窝网络的互操作也进ー步増加了该方案的复杂度。
发明内容
本发明g在提供ー种新的、用于多模无线接入环境的WiFi接入的认证和数据加密方法。本发明可用的目标场景包括融合多模无线网络,其中,接入节点和用户设备上都具有移动蜂窝无线接口和WiFi无线接ロ。也就是说,用户设备是双模式的,并且,WiFi AP和移动蜂窝基站被集成在一个单ー的设备(融合接入节点)内。本发明的发明构思在于,融合接入节点(基站)能够管理和共享两种无线接ロ的信息,例如,密钥信息、用户设备标识以及小区标识。并且,融合接入节点使用该最初用来加密移动蜂窝无线接口上的信息的密钥,来认证WiFi接入并加密WiFi上的数据传输。由于该密钥对于单个小区中的单个客户端是唯一且独占的,因此,融合接入节点通过以该用户设备的标识作为索引,能够识别该密钥。认证过程能够包括下面ー些方面 双模式用户设备在接入请求中发送它所附着的小区的标识以及它本身的标识。这两个标识是之前通过移动蜂窝网的空ロ所获得的。 当融合接入节点获得这ー请求,如果请求中的小区标识与该节点所服务的小区一致,那么它将发回响应。响应包括以随机方式产生的质询。 双模式用户设备接收来自WiFi接ロ的响应,使用密钥加密该质询文本,并将所得密文发回融合接入节点。其中,密钥是原先用于加密蜂窝无线接口上的数据或信令所用的密钥,它现在转而用于作为密钥来认证WiFi接入并加密WiFi上的数据传输。 融合接入节点获得该密文,使用密钥解密该密文,并将其与之前发出的质询文本的副本进行比较。如果相同,那么认证成功,接入节点发回指示认证成功的响应。否则,它将返回失败指示。其中,融合接入节点能够使用用户标识作为索引,获得与该用户设备在蜂窝无线接口上使用的密钥对应的密钥,例如对称密钥或非対称密钥中的私钥或公钥,作为解密密文所用的密钥。根据本发明在无线接入设备中的改进方面,提供了一种在无线接入设备中对用户设备进行认证的方法,该接入设备集成了第一无线接入网络和第二无线接入网络的接入功能,该方法包括如下步骤:1.维护用于用户设备在该第一无线接入网络中的密钥;i1.接收来自用户设备的、接入该第二无线接入网络的接入请求;ii1.基于所述密钥,进行与该用户设备的认证。
该方面中,接入设备使用已经安全地获得的、该用户设备在第一无线接入网络中的密钥来对该用户设备对第二无线接入网络的接入进行认证,相对于传统的共享密钥方案,保证了安全性;相对于传统的802.1x方案,节省了重新协商获得密钥的操作,不需要密钥服务器等其他网元的介入,仅对接入设备和用户设备进行功能上的调整即可。并且,该方面还提供了ー种集中式的密钥管理,这能够易于维护。根据ー个优选的实施方式,所述步骤iii包括如下步骤:a.确定与对该用户设备唯一的该密钥;b.使用所述密钥进行与该用户设备的认证。在该实施方式中,用户设备在第一无线网络中的该密钥是对各个用户设备分别不同的,即该密钥是唯一的。这样,相对于预共享密钥的方案,提高了安全性,适合于大范围的部署。根据另ー个优选的实施方式,所述接入请求中含有所述用户设备在所述第一无线接入网络的用户设备标识,所述步骤a包括:al.从所述接入请求中提取出所述用户设备标识;a4.基于所述用户设备标识,从所维护的密钥中找出与该用户设备对应的该密钥。在该实施方式中,使用用户设备标识来确定用户设备,并相应地确定该密钥,提供了一种简便的获得密钥的方式。
根据ー个进ー步优选的实施方式,所述接入请求中含有所述用户设备所接入的第ー无线接入网络的网络标识,所述步骤a还包括:a2.从所述接入请求中提取出所述网络标识;a3.根据提取出的所述用户设备标识和所述网络标识,判断该用户设备是否已通过该接入设备接入本第一无线接入网络:在判断是时,进行后继操作。在该实施方式中,在认证之前,还判断该用户设备是否已经通过该接入设备接入了第一无线接入网络,提高了认证过程的鲁棒性。根据ー个优选的实施方式,所述第一无线接入网络包括无线移动性网络,所述第ニ无线接入网络包括无线局域覆盖性网络。无线移动性网络例如是2G、3G或LTE等蜂窝无线网络,这种无线网络所用的密钥具有较强的安全性,适合于在用户设备移动至WiFi等无线局域覆盖网络的覆盖范围中时对该WiFi网络的接入进行认证。相应地,对于本发明在用户设备中的改进方面,提供了一种在用户设备中与无线接入设备进行认证的方法,该用户设备能够从第一无线接入网络和第二无线接入网络接入该接入设备,该方法包括如下步骤:1.维护该用户设备在所述第一无线接入网络中所使用的密钥;i1.向该接入设备发送接入该第二无线接入网络的接入请求;ii1.基于所述密钥,进行与该接入设备的认证。对于本发明的装置角度,一方面提供了一种用于无线接入设备的认证装置,该接入设备集成了第一无线接入网络和第二无线接入网络的接入功能,该认证装置包括:-密钥维护单元,用于维护用户设备在该第一无线接入网络中的密钥;-接收单元,用于接收来自用户设备的、接入该第二无线接入网络的接入请求;-认证单元,用于基于所述密钥,进行与该用户设备的认证。另ー方面提供了一种用于用户设备的认证装置,该用户设备能够从第一无线接入网络和第二无线接入网络接入无线接入设备,该认证装置包括:-密钥维护单元,用于维护该用户设备在所述第一无线接入网络中的密钥;-发送单元,用于向该接入设备发送接入该第二无线接入网络的接入请求;-认证单元,用于基于所述密钥,进行与该接入设备的认证。
通过阅读參照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更加明显:图1是现有的WiFi接入的过程;图2是现有的基于802.1x进行接入认证的过程;图3是融合无线接入网络的示例的网络架构;图4是根据本发明的一个实施方式进行接入认证的过程。
具体实施例方式下面通过具体实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互組合。
下面给出本发明的实施方式。图3示出了融合无线接入网络的示例的网络架构。双模UE同时安装有LTE接口和WiFi接ロ。它能够同时使用这两种无线接ロ进行IP业务流的通信。在融合接入节点中,集成了 WiFi接入点和LTE的eNB的功能,它们使用共同的IP和回传路径连接至移动核心网。在本实施例中,融合接入点能够管理和共享这两个无线接ロ的信息,例如密钥信息、UE标识和小区标识。在这种层叠的异构网中,LTE提供了带有移动性支持的完全覆盖,而WiFi用于提高无线接入的容量。当双模UE初始化吋,它总是尝试接入蜂窝移动网络(LTE网络)来完成认证和授权。在接入蜂窝网络后UE和接入设备都会维护在该蜂窝网络中的密钥,蜂窝网络的信令密钥或业务密钥。该密钥能够是对称密钥,也能够是非对称密钥。其中,在蜂窝移动网络中获得密钥的方法并不是本发明所关注的,使用任何现有的或新开发出的方法获得蜂窝移动网络密钥均适用于本发明。在UE移动过程中,一旦检测到WiFi信号,UE会进行WiFi接入认证,认证通过之后UE才被获准通过WiFi进行接入。WiFi接入过程与图1中所示的类似,包括三个主要阶段,即扫描、认证和关联。其中,认证过程与现有技术有显著的区别,如图4所示。首先,UE向接入节点发出认证请求。该认证请求消息含有UE标识以及它目前通过蜂窝网络接ロ所附着于的蜂窝小区的标识。在ー个具体的实施方式中,UE标识能够是C-RNTI (蜂窝无线网络临时标示符),它指示了 UE在本蜂窝小区内的唯一标识。在ー个具体的实施方式中,蜂窝小区标识能够是ECGI (EUTRAN小区全球标识),它用于在全球范围内唯一地标识ー个小区,该标识是在蜂窝网络中作为蜂窝系统信息广播给UE的,所有UE都能通过蜂窝无线接ロ获得。通过检查该蜂窝小区标识,接入节点能够判断出发送认证请求的UE是否是附着于本蜂窝小区。并且,接入节点还根据UE标识,判断该UE是否是附着于本蜂窝小区的UE之一。但是,可以理解,这两个判断过程并不是必需的。接下来,如果融合接入节点确认所接收到得认证请求消息中含有的蜂窝小区标识与所辖的蜂窝小区相同,且认证请求消息中的UE标识也指示处于附着状态的ー个UE,那么融合接入节点能够发回认证响应。该响应中含有以优选地随机方式产生的质询文本。然后,当UE在WiFi接口上接收到认证响应后,它将质询文本复制到ー个新的认证消息中,并使用已经维护的、蜂窝无线(LTE)网络的密钥对该质询文本进行加密。在蜂窝无线网络层面,UE和蜂窝基站都保留有该共同的加密密钥,该密钥是唯一地用于加密UE和蜂窝基站之间的LTE用户数据或信令。通常,该加密密钥是根据3GPP标准的密钥建立机制而获得的。由于该密钥是蜂窝无线网络层面中专用且唯一的、用于确保数据传输安全的密钥,而在目前的WiFi中,所有连接的WiFi客户端都保留相同的预共享密钥进行数据传输加密,因而,在本实施方式中的该密钥比目前WiFi (WLAN)中所使用的预共享密钥更加安全。融合接入节点获得该认证消息,并使用该密钥解密该质询文本。可以理解,在蜂窝网络中所使用的是对称密钥的情况下,接入节点和UE所使用的密钥相同;在非対称密钥的情况下,接入节点和UE使用的是匹配的公钥和私钥。最后,融合接入节点比较解密结果和最初发出的质询文本。如果解密结果与最初发出的质询文本相同,那么融合接入节点确定认证成功,并将认证响应发送给UE以指示认证成功。否则,融合接入节点将返回认证失败的指示。
相应于以上方法,在装置的角度,本发明提供了一种用于无线接入设备的认证装置,该接入设备集成了第一无线接入网络和第二无线接入网络的接入功能,该认证装置包括:-密钥维护单元,用于维护用户设备在该第一无线接入网络中的密钥;-接收单元,用于接收来自用户设备的、接入该第二无线接入网络的接入请求;-认证单元,用于基于所述密钥,进行与该用户设备的认证。其中,该密钥维护单元能够由密钥数据库所实现,该接收单元包括物理上的WiFi天线以及逻辑上的WiFi协议栈,该认证单元能够由CPU和WiFi天线和WiFi协议栈所实现,其能够实现前述的判断该UE是否是通过本接入设备附着于本蜂窝小区,井能够实现前述具体的认证过程:产生并发送质询消息、接收并解密经UE加密的质询消息并判断两质询消息是否匹配、发送认证响应。同样,本发明还提供了一种用于用户设备的认证装置,该用户设备能够从第一无线接入网络和第二无线接入网络接入无线接入设备,该认证装置包括:-密钥维护单元,用于维护该用户设备在所述第一无线接入网络中的密钥;-发送单元,用于向该接入设备发送接入该第二无线接入网络的接入请求;-认证单元,用于基于所述密钥,进行与该接入设备的认证。其中,该密钥维护单元能够由密钥数据库所实现,该接收单元包括物理上的WiFi天线以及逻辑上的WiFi协议栈,该认证单元能够由CPU、WiFi天线和WiFi协议栈所实现,其能够实现前述具体的认证过程:接收质询消息、解密并发送质询消息、接收认证响应。当然,本发明还可有其他多种实施例。例如,以上以LTE网络和WiFi网络为例分别说明第一和第二无线接入网络。但是可以理解,第一和第二无线接入网络并不受限制,第一无线接入网络也可以是3G网络,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种在无线接入设备中对用户设备进行认证的方法,该接入设备集成了第一无线接入网络和第二无线接入网络的接入功能,该方法包括如下步骤: 1.维护用于用户设备在该第一无线接入网络中的密钥; i1.接收来自用户设备的、接入该第二无线接入网络的接入请求; ii1.基于所述密钥,进行与该用户设备的认证。
2.根据权利要求1所述的方法,其特征在于,所述步骤iii包括如下步骤: a.确定与对该用户设备唯一的密钥; b.使用所述密钥进行与该用户设备的认证。
3.根据权利要求1所述的方法,其特征在于,所述接入请求中含有所述用户设备在所述第一无线接入网络的用户设备标识,所述步骤a包括: al.从所述接入请求中提取出所述用户设备标识; a4.基于所述用户设备标识,从所维护的密钥中找出与该用户设备对应的该密钥。
4.根据权利要求3所述的方法,其特征在于,所述接入请求中含有所述用户设备的所接入的第一无线接入网络的网络标识,所述步骤a还包括: a2.从所述接入请求中提取出所述网络标识; a3.根据提取出的所述用户设备标识和所述网络标识,判断该用户设备是否已通过该接入设备接入本第一无线接 入网络:在判断是时,进行后继操作。
5.根据权利要求1所述的方法,其特征在于,所述步骤b包括以下步骤: -随机地产生ー质询信息; -将该质询信息发送给该用户设备; -接收来自该用户设备的、经加密的该质询信息; -使用所述密钥对该经加密的该质询信息进行解密; -将解密结果与发送的该质询信息进行比较,当两者一致时确定该用户设备认证成功; -发送指示认证成功的认证响应消息给该用户设备。
6.根据权利要求1所述的方法,其特征在于,所述第一无线接入网络包括无线移动性网络,所述第二无线接入网络包括无线局域覆盖性网络。
7.—种在用户设备中与无线接入设备进行认证的方法,该用户设备能够从第一无线接入网络和第二无线接入网络接入该接入设备,该方法包括如下步骤: 1.维护该用户设备在所述第一无线接入网络中所使用的密钥; i1.向该接入设备发送接入该第二无线接入网络的接入请求; ii1.基于所述密钥,进行与该接入设备的认证。
8.根据权利要求7所述的方法,其特征在于,所述步骤ii包括: -将所述用户设备在所述第一无线接入网络中的用户设备标识在所述接入请求中发送给所述接入设备。
9.根据权利要求8所述的方法,其特征在于,所述步骤ii还包括: -将所述用户设备的所接入的第一无线接入网络的网络标识在所述接入请求中发送给所述接入设备。
10.根据权利要求1所述的方法,其特征在于,所述步骤iii包括:-接收来自所述接入设备的质询消息; -使用对该用户设备唯一的所述密钥加密所述质询消息; -将经加密的所述质询消息发送回所述接入设备; -接收来自该接入设备的指示认证成功的认证响应消息。
11.根据权利要求7所述的方法,其特征在于,所述第一无线接入网络包括无线移动性网络,所述第二无线接入网络包括无线局域覆盖性网络。
12.一种用于无线接入设备的认证装置,该接入设备集成了第一无线接入网络和第二无线接入网络的接入功能,该认证装置包括: -密钥维护单元,用于维护用户设备在该第一无线接入网络中的密钥; -接收单元,用于接收来自用户设备的、接入该第二无线接入网络的接入请求; -认证单元,用于基于所述密钥,进行与该用户设备的认证。
13.根据权利要求12所述的认证装置,其特征在于,所述第一无线接入网络包括无线移动性网络,所述第二无线接入网络包括无线局域覆盖性网络。
14.一种用于用户设备的认证装置,该用户设备能够从第一无线接入网络和第二无线接入网络接入无线接入设备,该认证装置包括: -密钥维护单元,用于维护该用户设备在所述第一无线接入网络中的密钥; -发送单元,用于向该接入设备发送接入该第二无线接入网络的接入请求; -认证单元,用于基于所述密钥,进行与该接入设备的认证。
15.根据权利要求14所述的认证装置,其特征在于,所述第一无线接入网络包括无线移动性网络,所述第二无线接入网络包括无线局域覆盖性网络。
全文摘要
在现有的WLAN网络中,使用预共享密钥认证方法安全性低,不适合大范围部署;而基于802.1x的认证方法十分复杂,并且需要引入EAP/RADIUS服务器。本发明提出在融合的无线接入网络中的认证方法以及认证装置,其中,无线接入设备和用户设备都维护用户设备在该第一无线接入网络中的密钥,在用户设备接入第二无线接入网络时,无线接入设备和用户设备都基于该密钥,进行认证。在本发明中,使用已经安全地获得的、该用户设备在第一无线接入网络中的密钥来对该用户设备对第二无线接入网络的接入进行认证,相对于传统的共享密钥方案,保证了安全性;相对于传统的802.1x方案,节省了通过协商获得密钥的操作,不需要密钥服务器等网元的介入。
文档编号H04W12/08GK103139768SQ20111038688
公开日2013年6月5日 申请日期2011年11月28日 优先权日2011年11月28日
发明者张凯宾 申请人:上海贝尔股份有限公司