專利名稱:一種接入3g-wlan互聯(lián)網絡的方法
技術領域:
本發(fā)明涉及一種互聯(lián)網絡接入技術����,具體為一種可以快速安全接入 3G-WLAN互聯(lián)網絡的方法。
背景技術:
隨著全球通信業(yè)的發(fā)展和普及����,3G無線網絡已逐漸成為市場的新技術主 流,而WLAN作為3G網絡在熱點地區(qū)的寬帶接入方式也成為一種高效的應用 模式�。3GPP針對WCDMA與WLAN互連提出了兩種完全不同的方案,分別稱 做"緊耦合互連"和"松耦合互連"���。將WLAN無線接口作為WCDMA的承載者����, 所有WLAN都要通過WCDMA核心網���,但是重新配置過于復雜����,費用也太過 昂貴�����,導致緊耦合互連技術缺乏競爭力。松耦合互連技術或機制允許WLAN 繞過WCDMA核心網和接口�����,通過WLAN網關直接接入核心IP網絡�����。這種連 接機制將WLAN和WCDMA數(shù)據(jù)鏈路完全分開����,避免了修改鏈路層。在松耦 合互連技術中��,僅需要WCDMA執(zhí)行認證方法���,在鏈路層上通過擴展認證協(xié) 議和AAA進行認證��。松耦合互連技術的優(yōu)點是融合網絡的結構非常簡單。
與本發(fā)明相關的現(xiàn)有技術是3GPP為3G-WLAN互聯(lián)網絡提出了一個擴展認 證密鑰協(xié)商協(xié)議(EAP-AKA)(該協(xié)議流程圖參見圖l)���。由于EAP-AKA協(xié)議在 認證過程中沒有對WLAN訪問網絡的身份進行驗證����,所以可能存在因假冒WLAN AN而導致的Re-direction攻擊行為,使移動用戶接入到費用較高的網絡或安 全性較低的網絡���。EAP-AKA協(xié)議的重認證過程要求認證消息必須發(fā)送到移動用 戶歸屬的網絡�,才能實現(xiàn)對移動用戶的認證�、授權和計費。這樣對移動用戶 在WLAN網絡中的漫游���、切換和密鑰更新等行為帶來較大的時延����,也會影響對 移動用戶服務的連續(xù)性和移動性��。概言之��,現(xiàn)有技術互聯(lián)網接入方法的缺點 是l.存有潛在的Re-direction攻擊行為�;2.重認證過程時延較長。
發(fā)明內容
針對現(xiàn)有技術的缺點����,本發(fā)明擬解決的技術問題是,提供一種接入3G-WLAN互聯(lián)網絡的方法�。該方法基于WLAN和WCDMA互連的松耦合方式 下的認證協(xié)議,利用離線計費機制的快速認證協(xié)議和重認證過程的局部化認 證���,可避免潛在的Re-direction攻擊行為�,有效地減少移動用戶漫游切換時的 時延,是一種實現(xiàn)安全和快速的接入3G-WLAN互聯(lián)網的方法���。
本發(fā)明解決所述技術問題的技術方案是設計一種接入3G-WLAN互聯(lián)網 絡的方法��,該方法包括WLANUE與3G網絡的雙向認證方法�����、抗假冒WLAN 訪問網絡的Re-direction攻擊方法���、離線的移動用戶計費方法和WLAN網絡 內的局部化的重認證方法,并采用以下執(zhí)行步驟
1. WLAN-UE與WLAN訪問網絡協(xié)商接入鏈接�,并建立WLAN的無線訪 問鏈接;
2. WLAN AN給WLAN-UE發(fā)送EAP請求認證所需的身份消息���,要求 WLAN-UE提供3G認證所需要的身份信息��;
3. WLAN—UE回應EAP響應消息����;
4. WLAN AN收到EAP的身份響應消息后����,將該消息轉發(fā)給3G AAA服 務器;
5. 3G AAA服務器首先搜索自身是否存有與該身份響應消息相應的認證 所需的密鑰材料��?如果沒有���,則將WLAN-UE的身份響應消息發(fā)送給該移動 用戶的歸屬位置寄存器HSS/HLR;
6. 歸屬位置寄存器HSS/HLR收到WLAN-UE的身份響應消息后��,利用 與該移動用戶共享的密鑰生成若干個認證向量VI�����,并將該用戶的授權信息��、 認證向量信息以及新的臨時身份信息一同發(fā)送給3G AAA服務器��;所述臨時 身份信息為一個隨機數(shù)或一個新的重認證ID;
7. 3G AAA服務器根據(jù)移動用戶授權使用WLAN網絡的信息�����,隨機選擇 一個認證向量發(fā)送給WLAN AN;
8. WLAN AN收到第7步所述的信息后�����,選擇一個隨機數(shù)NONCEAN附加 到所述信息中��,構造成新消息��;
9. WLAN AN把構造的新消息發(fā)送給WLAN-UE;
10. WLAN-UE接收到AKA挑戰(zhàn)信息后��,在USIM中運行UMTS的算法�, 驗證AUTH是否正確?如果錯誤����,就中止認證過程;如果驗證通過�,就利用 UMTS算法和預先共享《3(;-密鑰計算RES、 IK和CK�,然后驗證MAC的正
確性,并保存新的身份信息���;11. WLAN-UE將RES作為AKA的響應消息�,計算消息摘要MAC和計 費令牌 Token ���, 選擇 一 個隨機數(shù)NONCEue ��, 并計算 "柳c = //M4C(尺3G,巡,7Vo"ce^ || iVo"ce促|| �����, 然后將RES ��、 NONCEAN ��、
NONCEUE��、 MAC�����、 Umac禾卩Token構成EAP響應消息���,并發(fā)送給WLAN AN;
12. WLANAN收到第11步所述的EAP響應消息后,保留其中的計費令 牌Token,然后將其余的該響應消息發(fā)送給3G網絡�����;
13.3G網絡收到第12步所述的響應消息后�����,驗證MAC的正確性����,檢驗 RES是否與相應的XRES相等�?相等則通過了對WLAN-UE的身份認證��;利 用接收到的NONCEAN和NONCEuE驗證UMAc的正確性�����,通過就說明WLAN AN的身份是正確的��,然后將關于WLAN UE的所有認證向量全部發(fā)送給 WLAN AN;
14. WLAN AN收到所有認證向量后���,利用當前認證向量中的IK和CK 計算新的密鑰材料�����,為發(fā)送消息提供安全保護���,并對新的身份信息進行機密 性和完整性保護,驗證了計費令牌Token的正確性后�����,發(fā)送EAP成功消息給 WLANUE;
15. WLAN AN根據(jù)計費結算需要�����,發(fā)送該移動用戶的計費令牌給3G網 絡,進行計費與結算�����。
與現(xiàn)有技術相比�����,本發(fā)明接入方法主要是針對WLAN和WCDMA互連的 松耦合方式下的認證協(xié)議進行分析�����,提出了一種利用離線計費機制的快速認 證協(xié)議�。本發(fā)明接入方法具有以下特征l.采用了快速簽名機制對WLANAN 身份的認證技術�,可以防止Re-direction潛在攻擊的發(fā)生,提高了網絡互連的 安全性�����;2.利用HMAC和共享密鑰實現(xiàn)快速的二次簽名技術�����,可以實現(xiàn)移動 用戶離線計費的功能,提高了網絡效率�����,節(jié)約了網絡資源��;3.在WLAN網絡 內局部化地實現(xiàn)對移動用戶的重認證過程�����,可以有效的減少重認證過程的時 延�����,或者說有效的減少了移動用戶漫游切換時的時延����,提高了互聯(lián)網接入速 度和通訊效率。
圖1為與本發(fā)明認證協(xié)議相關的現(xiàn)有技術EAP-AKA協(xié)議流程圖2為本發(fā)明認證協(xié)議快速簽名機制的流程圖3為本發(fā)明認證協(xié)議快速簽名的計費過程流程圖��;圖4為本發(fā)明認證協(xié)議的LFSA協(xié)議認證流程圖5為本發(fā)明認證協(xié)議的LFSA協(xié)議重認證消息流程圖����。
具體實施例方式
下面結合實施例及其附圖進一步敘述本發(fā)明
本發(fā)明設計的接入3G-WLAN互聯(lián)網絡的方法(簡稱接入方法,參見圖1 一5)�,包括WLAN UE與3G網絡的雙向認證方法��、抗假冒WLAN訪問網絡 的Re-direction攻擊方法��、離線的移動用戶計費方法和WLAN網絡內的局部 化的重認證方法����。
本發(fā)明接入方法采用如下執(zhí)行流程或步驟(參見圖4):
1. WLAN-UE與WLAN訪問網絡協(xié)商接入鏈接�����,并建立WLAN的無線訪 問鏈接����,并利用IEEE S02.11i安全機制來保護WLAN的無線鏈路的安全��;
2. WLAN AN給WLAN-UE發(fā)送EAP請求認證所需的身份消息�����,要求 WLAN-UE提供3G認證所需要的身份信息����,該身份信息可以是WLAN-UE 的臨時身份(或一個隨機數(shù)NONCEue),也可以是WLAN-UE的永久身份標
識IMSI;
3. WLAN—UE回應EAP身份響應消息��,包含了 NAI格式的身份信息, 該身份信息可以是一個隨機數(shù)NONCEUE�,也可以是IMSI;
4. WLAN AN收到EAP的身份響應消息后,將該消息轉發(fā)給3G AAA服 務器��;
5. 3G AAA服務器首先搜索自身是否存有與該身份響應消息相應的認證 所需的密鑰材料����?如果沒有,則將WLAN-UE的身份響應消息發(fā)送給該移動 用戶的歸屬位置寄存器HSS/HLR��,完成WLANUE與3G網絡的雙向認證����;
6. 歸屬位置寄存器HSS/HLR收到WLAN-UE的身份響應消息后,利用 與該移動用戶共享的密鑰生成若干個認證向量VI,并將該用戶的授權信息�����、 認證向量信息以及新的臨時身份信息等一同發(fā)送給3G AAA服務器�����;所述的 臨時身份信息是指一個隨機數(shù)NONCEuE或一個新的重認證ID;
7. 3G AAA服務器根據(jù)移動用戶的授權使用WLAN網絡的信息����,隨機選 擇一個認證向量發(fā)送給WLAN AN;
8. WLAN AN收到第7步所述的信息即AKA挑戰(zhàn)信息后��,選擇一個隨機 數(shù)NONCEAN附加到該信息中��,構造成新消息����;9. WLAN AN把構造的新消息發(fā)送給WLAN-UE;
10. WLAN-UE接收到AKA挑戰(zhàn)信息后�����,在USIM中運行UMTS算法�, 驗證AUTH響應是否正確?如果錯誤就中止認證過程(沒有顯示在本例子 中)�����;如果驗證通過���,就利用UMTS算法和預先共享密鑰&6^計算RES、 IK�、
CK和其他密鑰材料(其他密鑰材料為公知的現(xiàn)有技術),然后驗證媒體訪問 控制子層協(xié)議(MAC, Media Access Control)消息摘要的正確性�����,并保存 新的身份信息;采用快速簽名機制作為離線計費機制實現(xiàn)了 WLANUE對3G 的認證;
11. WLAN-UE將RES作為AKA挑戰(zhàn)信息的響應消息����,計算消息摘要 MAC和計費令牌Token,選擇一個隨機數(shù)NONCEUE ,并計算 C/M/4C = i/M4C(夂3c���,,iVo"ceM || Mwce邵|| ����, 然后將RES ����、 NONCEAN 、
NONCEUE��、 MAC�、 Umac和Token構成EAP響應消息,并發(fā)送給WLANAN;
12. WLANAN收到第11步所述的EAP響應消息����,保留其中的計費令牌 Token,然后將其余的響應消息發(fā)送給3G網絡;
13. 3G網絡收到第12步所述的響應消息����,驗證MAC正確性后���,檢驗RES 是否與相應的XRES相等?相等則通過了對WLAN-UE的身份認證��;利用接 收到NONCEAN和NONCEuE驗證UMAc的正確性�����,通過就說明WLANAN的 使用者即WLANAN的身份是正確性�,防止重定向身份是正確的,然后將關 于WLAN UE的所有認證向量全部發(fā)送給WLAN AN����,實現(xiàn)抗假冒WLAN訪問 網絡的Re-direction攻擊,保證接入安全����;
14. WLAN AN收到所有認證向量后,利用當前認證向量中的IK和CK 計算新的密鑰材料����,為發(fā)送消息提供安全保護�����,并對新的身份信息進行機密 性和完整性保護,驗證了 Token的正確性后�,發(fā)送EAP成功消息給WLAN UE。
15. WLAN AN根據(jù)計費結算需要��,發(fā)送該移動用戶的計費令牌給3G網 絡��,進行計費與結算����。
為解決目前使用的EAP-AKA協(xié)議存在的效率和安全問題,本發(fā)明接入方 法提出了一種新的快速接入3G-WLAN互聯(lián)網絡的認證協(xié)議�,g卩LFSA協(xié)議,該 協(xié)議是對EAP-AKA協(xié)議的改進�,同時結合了快速簽名機制的雙向認證和離線 計費的網絡認證協(xié)議。進一步說����,LFSA協(xié)議是一種快速、高效和安全的認證 協(xié)議�����,是一種結合了快速簽名機制的雙向認證和離線計費的網絡認證協(xié)議��。 LFSA協(xié)議的WLAN AN和3G網絡之間采用RADIUS作為底層協(xié)議��,并在利用IKE協(xié)議進行密鑰協(xié)商,采用IPSec保護消息的機密性和完整性����,結合快速簽 名機制作為離線計費機制,實現(xiàn)了WLAN AN的身份驗證�;3G用戶局部化重 認證,有效地提高了3G-WLAN互連網絡的接入過程的安全性和效率��。所述的 底層協(xié)議RADIUS為現(xiàn)有技術�,是指AbobaB, Calhoun P. RFC 3579 RADIUS (遠程認證撥號用戶服務)用于遠程認證協(xié)議的技術支持文件(EAP) [S].加 利福尼亞IETF, 2003 (Aboba B, Calhoun P. RFC 3579 RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP) [S]. California: IETF, 2003.)���。
本發(fā)明接入方法所述的離線的移動用戶計費方法(離線計費機制)包括 快速簽名方法或機制和快速簽名計費方法或機制���。
本發(fā)明采用快速簽名機制來實現(xiàn)3G用戶的WLAN環(huán)境中的離線計費過 程。所述快速簽名機制的計費信息是由WLAN-UE來生成�����,并利用實時會話 密鑰和3G共享密鑰對計費信息和自己的身份信息進行快速簽名�,確保計費 信息的完整性和準確性。3G的移動用戶在WLAN中使用網絡時�����,需要將自 己的身份信息(SI���, Subscriber Identity)保密�。這個身份信息可以是國際移動 用戶識別碼(IMSI�, International Mobile Subscriber Identity)采用哈希(Hash) 運算,可防止WLAN管理員獲知其身份����。3G移動用戶與WLAN管理員協(xié)商 網絡使用信息(UI, Usage Information)(如網絡計費標準等)���。為了防止使用 信息泄漏����,采用Hash運算進行隱蔽保護��。WLAN-UE利用會話密鑰進行快速 簽名���,可以讓WLAN管理員對計費信息進行驗證����,但無法獲得用戶的身份信 息。WLAN-UE利用與3G預共享的密鑰進行快速簽名�,可以讓3G的管理員 驗證計費信息,并防止WLAN管理員修改計費信息�����。
所述快速簽名機制包括如下步驟(參見圖2):
WLAN-UE要與WLAN管理者協(xié)商網絡使用信息(如網絡計費標準等)�����; 將自己的身份信息SI進行Hash后���,生成身份信息摘要(SIMD����, Subscriber Identity Message Digest)并對使用信息UI進行Hash后���,生成使用信息摘要 (UIMD �, Usage Information Message Digest);
將SIMD和UIMD拼接成計費信息摘要(POMD����, Payment Order Message Digest),并利用會話密鑰&對POMD進行HMAC計算,生成會話數(shù)字簽名 (Session Digital Signature);
再利用與3G的共享密鑰對S"S進行HMAC計算���,生成數(shù)字簽名(DS�,Digital Signature),并將該DS作為WLAN-UE給WLAN和3G管理員的計費 信息的簽名信息。
所述的快速簽名計費方法或機制是由WLAN-UE計算簽名信息����,交給 WLAN網絡做驗證���,然后提交給3G網絡作為計費信息依據(jù)���。所述的快所述 速簽名計費方法執(zhí)行步驟描述如下(參見圖3):
1. 利用WLANUE生成計費簽名信息DS后,將(A IIS/IIC7/MZ))�,以WLAN UE和WLANAN之間的會話密鑰&作為加密密鑰,采用AES算法進行加密���, 生成DE;
2. 利用WLANUE與3G的共享密鑰^�����。^作為加密密鑰����,將會話密鑰i^
用AES對稱算法迸行加密����,生成KE;
3. 利用WLAN UE將DE���、KE、DS����、UI和SIMD等信息發(fā)送給WLAN AN;
4. 利用WLAN AN對UI進行Hash運算,生成UIMD���,然后與SIMD合 并生成POMD�,并利用會話密鑰A對POMD進行AES加密�,生成SDS;
5. WLAN管理員核對第4步生成的SDS是否和接收到的SDS相同?如 果相同����,則驗證通過;如果不同��,則中斷接入認證��;
6. 當WLAN AN通過了 WLAN AN驗證后���,就將DE和KE信息發(fā)送給 3G管理員�����;
7. 當3G管理員收到DE和KE信息后��,利用共享密鑰^^^解密KE信息��, 獲得會話密鑰^�����,然后利用會話密鑰&解密DE信息獲得DS�����、 SI和UIMD;
8. 3G管理員將SI進行Hash運算���,獲得SIMD,并將SIMD與UIMD連 接���,獲得POMD��,然后用會話密鑰A對POMD加密��,生成SDS��,再利用共 享密鑰《3^s對SDS加密���,生成Z)S';
9. 3G管理員驗證第8步計算生成的DS'與第7步解密獲得的DS是否相 同����?如果相同���,則通過對身份信息SI的使用信息UI的驗證�����;如果不同�,則 中斷接入認證����。
本發(fā)明接入方法的移動用戶在WLAN網絡內部進行快速漫游切換時,采 用LFSA的快速重認證過程�。LFSA的快速重認證過程只需要在WLAN網絡 內進行局部認證,因而是一種局部化重認證方法���,它可以快速高效的實現(xiàn)AP 的切換和會話密鑰的更新��。
本發(fā)明接入方法的局部化重認證方法或機制的執(zhí)行步驟如下(參見圖5): l.WLAN-UE與WLAN訪問網絡協(xié)商接入����,并建立WLAN的無線訪問鏈接,并利用IEEE 802.11i安全機制來保護WLAN的無線鏈路的安全����;
2. WLAN AN給WLAN-UE發(fā)送EAP請求認證所需的身份消息,要求 WLAN-UE提供3G認證所需要的身份信息���,該身份信息可以是臨時身份(或 一個隨機數(shù)NONCEUE)�,也可以是其永久身份標識IMSI;
3. WLAN—UE回應EAP響應消息����,包含了 NAI格式的身份信息���,該身 份信息可能是一個隨機數(shù)NONCEUE���,也可能是IMSI;
4. WLANAN根據(jù)接收到的移動用戶的身份信息,檢索是否保存有該用戶 的認證向量等密鑰材料����,如果沒有,則發(fā)起一次LFSA全認證過程�,如果有�, 則隨即選擇一個新的認證向量VI�,并計算消息摘要MAC;
5. WLAN AN發(fā)送AKA挑戰(zhàn)消息給WLAN-UE,其中包含RUND��, AUTH 和MAC等信息���;
6. WLAN-UE收到AKA挑戰(zhàn)消息后�����,在USIM上運行UMTS的算法����,驗 證AUTH和MAC的正確性���,然后利用i^^密鑰計算新的會話密鑰材料����;
7. WLAN-UE利用新計算的密鑰材料生成RES和消息摘要MAC,計算計 費令牌Token,然后構成AKA響應消息發(fā)送給WLAN AN;
8. WLAN AN收到響應消息后�����,驗證MAC的正確性,然后檢驗RES與 相應的XRES是否相等����?如果相等,則通過對該移動用戶的認證���,保留計費 令牌Token,并驗證Token的正確性�;
9. WLAN AN驗證了計費令牌Token的正確性后�����,就發(fā)送EAP認證成功 的消息給WLAN-UE;
10. WLAN AN根據(jù)計費需求���,發(fā)送Token提交消息給3G網絡進行費用 的計費與結算�。
本發(fā)明接入方法當WLAN-UE在不同的WLAN網絡之間進行漫游切換的 時候����,由于臨時的會話密鑰都已分配給了舊的WLAN AN�����,所以在接入新的 WLAN網絡時�,需要進行一次LFSA的全認證過程。在全認證過程中,新的 WLAN AN會從3G AAA服務器處獲得新的會話密鑰材料和身份信息等�����,為 WLAN-UE在新的WLAN網絡中移動漫游提供快速認證功能�����。
需要說明的是�,本發(fā)明對所涉及的WCDMA中的密碼算法沒有進行修改, 為現(xiàn)有技術�,因此在前面的敘述中,計算會話密鑰和消息認證碼時�����,未提及 具體的密碼算法�����。
本發(fā)明未述及之處適用于現(xiàn)有技術��。
13本發(fā)明針對3G-WLAN互連網絡給出了一個高效安全的接入方法�,該接 入方法使3G移動用戶在WLAN網絡中能夠更加快捷安全地漫游切換。由于 采用共享密鑰對網絡使用信息進行快速簽名�,節(jié)省了 WLANUE的資源消耗, 便于移動終端的使用。對WLAN訪問網絡的身份驗證�����,抵御了 Re-direction 可能的攻擊行為��。WLAN網絡的局部化認證��,有效地減少了重認證過程中消 息的傳送時延��,使移動用戶的漫游切換更加平滑���。
權利要求
1��、一種接入3G-WLAN互聯(lián)網絡的方法���,該方法包括WLAN UE與3G網絡的雙向認證方法、抗假冒WLAN訪問網絡的Re-direction攻擊方法�、離線的移動用戶計費方法和WLAN網絡內的局部化的重認證方法,并采用以下執(zhí)行步驟(1).WLAN-UE與WLAN訪問網絡協(xié)商接入鏈接����,并建立WLAN的無線訪問鏈接����;(2).WLANAN給WLAN-UE發(fā)送EAP請求認證所需的身份消息��,要求WLAN-UE提供3G認證所需要的身份信息�����;(3).WLAN-UE回應EAP身份響應消息�����;(4).WLAN AN收到EAP身份響應消息后���,將該消息轉發(fā)給3G AAA服務器;(5).3G AAA服務器首先搜索自身是否存有與該身份響應消息相應的認證所需的密鑰材料��?如果沒有�����,則將WLAN-UE的身份響應消息發(fā)送給該移動用戶的歸屬位置寄存器HSS/HLR����;(6).歸屬位置寄存器HSS/HLR收到WLAN-UE的身份響應消息后,利用與該移動用戶共享的密鑰生成認證向量VI��,并將該用戶的授權信息、認證向量信息以及新的臨時身份信息一同發(fā)送給3G AAA服務器�;所述臨時身份信息為一個隨機數(shù)或一個新的重認證ID;(7).3G AAA服務器根據(jù)移動用戶授權使用WLAN網絡的信息�,隨機選擇一個認證向量發(fā)送給WLAN AN;(8).WLANAN收到第7步所述的信息后����,選擇一個隨機數(shù)NONCEAN附加到所述信息中,構造成新消息�����;(9).WLANAN把構造的新消息發(fā)送給WLAN-UE��;(10).WLAN-UE接收到AKA挑戰(zhàn)信息后�,在USIM中運行UMTS算法,驗證AUTH是否正確��?如果錯誤�,中止認證過程;如果驗證通過�����,就利用UMTS算法和預先共享K3G�����,MS密鑰計算RES�、IK和CK,然后驗證MAC的正確性���,并保存新的身份信息��;(11).WLAN-UE將RES作為AKA的響應消息�����,計算消息摘要MAC和計費令牌Token�����,選擇一個隨機數(shù)NONCEUE���,并計算UMAC=HMAC(K3G,MS��,NonceAN||NonceUE||IDAN)�����,然后將RES、NONCEAN�����、NONCEUE���、MAC�、UMAC和Token構成EAP響應消息���,并發(fā)送給WLAN AN����;(12).WLANAN收到第11步所述的EAP響應消息后�,保留其中的計費令牌Token,然后將其余的該響應消息發(fā)送給3G網絡���;(13).3G網絡收到第12步所述的響應消息后�����,驗證MAC的正確性�����,檢驗RES是否與相應的XRES相等��?相等則通過了對WLAN-UE的身份認證����;利用接收到的NONCEAN和NONCEUE驗證UMAC的正確性�����,通過就說明WLAN AN的身份是正確的���,然后將關于WLAN UE的所有認證向量全部發(fā)送給WLANAN�;(14).WLAN AN收到所有認證向量后��,利用當前認證向量中的IK和CK計算新的密鑰材料�����,為發(fā)送消息提供安全保護�,并對新的身份信息進行機密性和完整性保護,驗證了計費令牌Token的正確性后���,發(fā)送EAP成功消息給WLAN UE����;(15).WLAN AN根據(jù)計費結算需要,發(fā)送該移動用戶的計費令牌給3G網絡����,進行計費與結算。
2�、根據(jù)權利要求1所述的接入3G-WLAN互聯(lián)網絡的方法,其特征在于 所述離線的移動用戶計費方法包括快速簽名方法和快速簽名計費方法�,所述 快速簽名機制包括如下步驟WLAN-UE要與WLAN管理者協(xié)商網絡使用信息;將自己的身份信息進 行Hash運算后���,生成身份信息摘要SIMD��,并對使用信息UIMD進行Hash 運算后�����,生成使用信息摘要�����;將SIMD和UIMD拼接成計費信息摘要POMD,并利用會話密鑰&對 POMD進行HMAC計算��,生成會話數(shù)字簽名��;再利用與3G的共享密鑰對SDS進行HMAC計算���,生成數(shù)字簽名DS���, 并將該DS作為WLAN-UE給WLAN和3G管理員的計費信息的簽名信息;所述的快速簽名計費方法執(zhí)行步驟如下(1) .利用WLAN UE生成計費簽名信息DS后���,將(DSIiS/IIWMD),以 WLAN UE和WLAN AN之間的會話密鑰尺5作為加密密鑰���,采用AES算法進 行加密��,生成DE;(2) .利用WLANUE與3G的共享密鑰^e-作為加密密鑰���,將會話密鑰A用AES對稱算法進行加密,生成KE;(3) .利用WLAN UE將DE��、 KE��、 DS�����、 UI和SIMD信息發(fā)送給WLANAN;(4) ,利用WLAN AN對UI進行Hash運算,生成UIMD��,然后與SIMD 合并生成POMD��,并利用會話密鑰&對POMD進行AES加密�����,生成SDS;(5) . WLAN管理員核對第4步生成的SDS是否和接收到的SDS相同����? 如果相同,則驗證通過�;如果不同,則中斷接入認證�����;(6) .當WLAN AN通過了 WLAN AN驗證后�,就將DE和KE信息發(fā)送 給3G管理員;(7) .當3G管理員收到DE和KE信息后��,利用共享密鑰《3(3,解密KE 信息��,獲得會話密鑰^,然后利用會話密鑰A解密DE信息獲得DS���、 SI和 UI勵���;(8) . 3G管理員將SI進行Hash運算,獲得SIMD��,并將SIMD與UIMD 連接���,獲得POMD����,然后用會話密鑰&對POMD加密�,生成SDS����,再利用 共享密鑰尺w-對SDS加密,生成AS';(9) . 3G管理員驗證第8步計算生成的Z)S'與第7步解密獲得的DS是 否相同����?如果相同,則通過對身份信息SI的使用信息UI的驗證��;如果不同, 則中斷接入認證��。
3���、根據(jù)權利要求1所述的接入3G-WLAN互聯(lián)網絡的方法���,其特征在于所 述的局部化重認證方法執(zhí)行步驟如下(1) .WLAN-UE與WLAN訪問網絡協(xié)商接入,并建立WLAN的無線訪 問鏈接�����;(2) .WLANAN給WLAN-UE發(fā)送EAP請求認證所需的身份消息����,要 求WLAN-UE提供3G認證所需要的身份信息;(3) .WLAN—UE回應EAP身份響應消息����;(4) .WLANAN根據(jù)接收到的移動用戶的身份響應信息,檢索是否保存 有該用戶的認證向量等密鑰材料����,如果沒有,則發(fā)起一次LFSA全認證過程�, 如果有�����,則隨即選擇一個新的認證向量VI�����,并計算消息摘要MAC;(5) ,WLANAN發(fā)送AKA挑戰(zhàn)消息給WLAN-UE�,其中包含RUND����, AUTH和MAC信息;(6) .WLAN-UE收到AKA挑戰(zhàn)消息后����,在USIM上運行UMTS的算法, 驗證AUTH和MAC的正確性���,然后利用《3(;-密鑰計算新的會話密鑰材料;(7) .WLAN-UE利用新計算的密鑰材料生成RES和消息摘要MAC,計算計費令牌Token,然后構成AKA響應消息發(fā)送給WLANAN;(8) .WLANAN收到響應消息后���,驗證MAC的正確性��,然后檢驗RES 與相應的XRES是否相等��?如果相等����,則通過對該移動用戶的認證,保留計 費令牌Token,并驗證Token的正確性����;(9) .WLAN AN驗證了計費令牌Token的正確性后,就發(fā)送EAP認證 成功的消息給WLAN-UE;(10) .WLAN AN根據(jù)計費需求��,發(fā)送Token提交消息給3G網絡進行 費用的計費與結算����。
全文摘要
本發(fā)明公開一種接入3G-WLAN互聯(lián)網絡的方法,該方法包括WLAN UE與3G網絡的雙向認證方法�、抗假冒WLAN訪問網絡的Re-direction攻擊方法、離線的移動用戶計費方法和WLAN網絡內的局部化的重認證方法�����,并采用1-15個具體執(zhí)行步驟����;該方法基于WLAN和WCDMA互連的松耦合方式下的認證協(xié)議,利用離線計費機制的快速認證協(xié)議和重認證過程的局部化認證�,可避免潛在的Re-direction攻擊行為��,有效地減少移動用戶漫游切換時的時延����,是一種實現(xiàn)安全和快速的接入3G-WLAN互聯(lián)網的方法����。
文檔編號H04W12/00GK101610507SQ20091006927
公開日2009年12月23日 申請日期2009年6月16日 優(yōu)先權日2009年6月16日
發(fā)明者劉文菊, 李亞暉, 超 楊, 楊衛(wèi)東, 柯永振, 琦 王, 賾 王, 馬建峰 申請人:天津工業(yè)大學