一种实现用户认证的方法 【技术领域】
本发明涉及用户与网络间的认证技术,特别是指至少包括IS95/CDMA2000 1x网络的多模网络中,利用IS95/CDMA2000 1x网络对多模网络中的非IS95/CDMA2000 1x网络用户进行认证的方法。
背景技术
RFC2284文档中定义了一种点对点(PPP)协议的扩展认证协议,即扩展认证(EAP)协议。该协议可以在EAP协议基础上进行扩充,承载其他的认证机制,并且提供端到端的认证方式,中间设备不需要采用具体的认证机制。详细的说,就是在认证客户端和认证服务器之间进行认证时,可以采取双方承载在EAP协议之上的认证机制,不需要中间设备来支持。根据不同的承载类型,EAP认证协议定义不同。比如,EAP认证协议承载在PPP协议上,称为EAPoPPP;EAP认证协议承载在远端接入拨号用户服务(RADIUS)协议上,称为EAPoRadius;EAP认证协议用在802.1x协议上,称为EAPoL。
如图1所示,EAP认证协议报文包括报文代码(Code)、标识符(Identifier)、长度(Length)、数据(Data)、类型(Type)四个域。其中Data域又包括类型(Type)和数据类型(TypeData)两部分,传输时各域从左到右依次传输。 类型值 含义 1 Request 2 Response 3 Success 4 Failure
表1
Code域占一个字节,用于标识EAP报文的类型。如表1所示,该域有四种取值,取1表示请求(Request)域,取2表示回应(Response)域,取3表示成功(Success)域,取4表示失败(Failure)域。
Identifier域占一个字节,用来匹配Request报文和Response报文。
Length域占两个字节,用于表示EAP报文的长度,其包括Code、Identifier、Length和Data四个域。
Data域占用零个或多个字节,该域采用与Code域类型值相关的格式。
Type域占一个字节,主要定义了各种认证机制。Type域只在Request和Response报文中出现。在RFC 2284中,Type可以为标识(Identity)、通知(Notification)、拒绝(Nak)、MD5挑战(MD5-Challenge)、一次性密码(One-Time Password)、智能卡(Generic Token Card)六种类型。
参见表2所示,类型值取为1表示Identity;类型值为2表示Notification;类型值为3表示Nak;类型值为4表示MD5-Challenge;类型值为5表示One-Time Password;类型值为6表示Generic Token Card。并且,类型值1、2、4、5、6适用于Requset和Respone报文,类型值3只适用于Response报文。
Identity用于查询用户的身份,每一个Identity类型的Request请求报文必须对应一个Identity类型的Response响应报文。
Notification用于由设备端向客户端发送一条可显示的消息。客户端应该将这条消息显示给用户,如果无法显示,则记入日志。每一个Notification类型的Request请求报文必须对应一个Notification类型的Response响应报文。
Nak仅适用于Response响应报文。当Request请求报文中期望的认证机制不被接受时,应该发送Nak类型的Response响应报文。
MD5-Challenge与CHAP协议中的MD5类似。MD5-Challenge类型的Request请求报文中包含了Challenge消息。每一个MD5-Challenge类型地Request请求报文必须对应一个MD5-Challenge类型或者Nak类型的Response响应报文。
One-Time Password类型的Request请求报文包含一个OTP Challenge。每一个One-Time Password类型的Request请求报文必须对应一个One-TimePassword类型或者Nak类型的Response响应报文。
Generic Token Card类型是为要求用户输入各种Token Card信息而定义的。Generic Token Card类型的Request请求报文中包含一条ASCII文本消息,对应的Generic Token Card类型的Response响应报文中包含认证所必需的相关Token Card信息。通常这些信息由用户从Token Card设备读取并以ACSII文本进行输入。 取值 含义 1 Identity 2 Notification 3 Nak 4 MD5-Challenge 5 One-Time Password 6 Generic Token Card
表2
TypeData,该域占用零个或多个字节,采用与Type域的类型值相关的格式。
对于CDMA IS95/CDMA 2000 1x网络中的用户,客户端与认证点之间是网络侧的移动交换中心(MSC)/拜访位置寄存器(VLR)和介质访问寄存器(HLR)/鉴权中心(AC)共同完成认证。共享秘密数据(SSD)作为认证输入参数之一保存在终端和HLR/AC中,在终端和HLR/AC中保存相同的(密码)A-key,专用于更新SSD。当需要认证时,以SSD、随机数、(电子串号)ESN、移动台识别号(MIN)等参数通过蜂窝认证和语音加密(CAVE)算法计算出认证结果,并由MSC/VLR或HLR/AC比较认证结果是否一致,如果不一致,系统将会发起SSD更新,在SSD更新成功之后,即终端侧和网络侧的SSD保持一致,下次接入时,用户终端使用SSD计算出的认证结果应与HLR/AC中计算出来的认证结果一致,认证才能成功。
目前,随着市场经济以及科学技术的发展,越来越多的运营商需要同时经营多种网络。比如,具有IS95/CDMA2000 1x网络的运营商想继续将自己的业务扩展到CDMA2000 1xDO网络,WLAN网络的运营商也想将业务扩展到CDMA2000 1xDO网络。而在CDMA2000 1xDO网络中,要建立专门的AN认证、授权和计费服务器(AAA)进行认证。这种认证方式,对于同时拥有多种码分多址(CDMA)网络的用户,需要在HLR和AN AAA两个地方开户,认证方式不统一,维护不方便,不利于统一运营;而且,还需要再组建AN AAA的全国专用网络进行认证,建网成本高。
【发明内容】
有鉴于此,本发明的目的是提供一种实现用户认证的方法,使其在至少包括IS95/CDMA2000 1x网络的多模网络中实现对用户的认证,且成本低、维护方便。
一种实现用户认证的方法,应用于至少包括IS95/CDMA2000 1x网络的多模网络中,该方法包括:
A.预先设置支持客户端与认证点使用用户身份标识模块(UIM)进行认证的EAP协议,所述认证点为多模网络中的非IS95/CDMA2000 1x网络;
B.客户端利用UIM中的用户信息作为用户身份标识,与所述认证点进行EAP-UIM认证。
步骤A中所述EAP协议设置为报文代码(Code)、标识符(Identifier)、长度(Length)、数据(Data),所述Data又进一步包括类型(Type)和数据类型(TypeData)。
所述Type设置为包括Identity、Notification、Nak、MD5-Challenge、One-Time Password、Generic Token Card、UIM七种类型。
利用1~6取值分别与设置的Type类型相对应,Type类型为UIM,取值为大于6的任意值。
所述TypeData设置为包括Type、Length和Data三个域。
所述的Type、Length和Data大于等于1小于等于255的值,且Type、Length和Data取值不相等。
所述步骤B进一步包括:
B1、客户端将用户身份标识发送至认证点;
B2、认证点根据用户身份标识产生一个对客户端进行认证的随机数,并且根据该随机数及认证点含有的共享秘密数据(SSD)计算出对应的第一鉴权数,形成一个鉴权集;
B3、客户端根据所述随机数及客户端的SSD计算出对应的第二鉴权数;
B4、认证点比较第一鉴权数与第二鉴权数是否一致,如果一致,则认证成功,否则,认证失败。
步骤B1进一步包括:
B11、认证点向客户端发送客户端请求用户身份标识(EAP-Request/Identity)报文,要求客户端送上自己的身份标识;
B12、客户端将用户身份标识通过标识回应(EAP-Response/Identity)报文发送给认证点;
B13、认证点收到EAP-Response/Identity报文后,向客户端发送EAP-UIM认证协议开始请求(EAP-Request/UIM/Start)报文,开始进行EAP-UIM认证;
B14、客户端收到EAP-Request/UIM/Start报文后,给认证点发送EAP-UIM认证协议开始回应(EAP-Response/UIM/Start)报文。
步骤B14进一步包括:
认证点收到EAP-Response/UIM/Start报文后,向客户端发送EAP-UIM认证协议认证请求(EAP-Request/UIM/Challenge)报文,把从认证服务器获得的随机数发送给客户端。
步骤B3进一步包括:客户端将自身计算出的第二鉴权数通过EAP-UIM认证协议认证回应(EAP-Response/UIM/Challenge)报文发送给认证点。
在认证失败后,该方法进一步包括:
E.更新客户端与认证服务器中的SSD,保证两端SSD相等,然后再返回步骤B执行。
本发明通过扩展EAP认证协议,实现利用IS95/CDMA2000 1x网络对非IS95/CDMA2000 1x网络对用户进行认证,该方法可以减少成本投资、认证安全、维护方便。
【附图说明】
图1现有技术中EAP协议报文格式示意图;
图2为实现本发明方法的流程示意图;
图3为本发明进行首次认证的具体实施例的流程示意图;
图4为本发明进行一次认证的具体实施例的流程示意图。
【具体实施方式】
本发明的核心内容是:通过进一步扩展EAP认证协议,利用IS95/CDMA2000 1x网络中的UIM对非IS95/CDMA2000 1x网络用户进行认证。用户身份识别模块(UIM)不仅用在CDMA IS95和CDMA 20001x网络中,还可以用在其他网络中,如WLAN网络、CDMA EVDO网络中。当其用在这些网络中时,需要有一种认证协议能够承载它的认证机制。
实现本发明的组网结构包括客户端、认证点和认证服务器。需要说明的是,认证服务器表示是在网络侧能够终结EAP协议,和认证点之间通过AAA协议进行通讯,如通过Radius协议进行通讯;并且认证服务器能够与CDMA网络之间进行通讯,能够从CDMA网络的HLR中获取鉴权集;认证点和认证服务器之间可以通过现有的AAA通讯协议如Radius协议进行通讯;客户端指包含了UIM模块的终端,其包括两种情况,一种是终端和UIM模块不分离,即通常说的机卡不分离情况;另一种是指终端和UIM模块分离,两者之间通过相关接口进行通讯,即通常的机卡分离状态。
参见图2所示,实现本发明的方法包括以下步骤:
步骤201、预先设置支持客户端与认证点使用UIM进行认证的EAP协议;
步骤202、客户端利用UIM中的用户信息作为用户身份标识,与认证点开始进行EAP-UIM认证;
步骤203、认证点根据用户身份标识产生一个对用户终端进行认证的随机数,并且根据该随机数及认证点含有的SSD计算出对应的第一鉴权数,形成一个鉴权集;
步骤204、客户端根据所述随机数及客户端的SSD计算出对应的第二鉴权数;
步骤205、认证点比较第一鉴权数与第二鉴权数是否一致,如果一致,则认证成功,否则,认证失败。
下面结合附图和具体实施例详细说明本发明的技术方案。
本发明是在EAP认证协议上进行扩展,生成一种新的认证协议EAP-UIM。本发明的认证协议格式包括Code、Identifier、Length、Data四部分,其中,Data包括Type和TypeData两部分,这与现有技术相同。但是其中Type参数和TypeData参数与现有技术不同。
进一步的说,就是在现有技术中EAP协议的TYPE域中,进一步增加一种新类型UIM,其值可以为大于6的值,该类型可以适用于Requset和Respone报文。比如,定义TYPE域为31,表示采用EAP-UIM协议的报文类型。
TYPE-DATA域包括Type、Length、Value三部分。TYPE域用于表示EAP-UIM协议的报文类型,该域可以在1到255之间任意取值。参见表3所示,本实施例中规定为三种类型值;Length域用于说明EAP-UIM报文的长度,具体包括Type、Length和Data域的长度;Value域采用与Type域的类型值相关的格式。 取值 类型 11 Start 12 Challenge 13 Update
表3
需要说明的是,利用UIM来对用户进行认证时,与现有技术中CDMAIS95/CDMA 2000 1x网络中的用户进行认证一样,首次认证中第一次认证会出现失败,这主要由于用户终端侧与网络侧中的SSD不一致导致,所以在认证失败后,需要进行SSD更新操作,以使两端的SSD一致。
参见图3所示,用户进行首次认证的具体过程如下:
步骤301、认证点向客户端发送客户端请求用户身份标识(EAP-Request/Identity)报文,要求客户端送上自己的身份标识;
步骤302、客户端获取UIM里保存的身份信息,将该身份信息作为用户身份标识,并通过回应用户身份标识(EAP-Response/Identity)报文将所述用户身份标识发送给认证点;
步骤303、认证点收到EAP-Response/Identity报文后,向客户端发送EAP-UIM认证协议开始请求(EAP-Request/UIM/Start)报文,开始进行EAP-UIM认证协议的过程;这里,认证点采用扩展后的协议请求得到用户标识,以下步骤中,也将采用扩展后的协议中的TYPE、TYPEDATE参数来传送客户端与认证点之间EAP-UIM认证信息。
步骤304、客户端收到EAP-Request/UIM/Start报文后,给认证点回一个EAP-UIM认证协议开始回应(EAP-Response/UIM/Start)报文;
步骤305、认证点收到EAP-Response/UIM/Start后,通过与认证服务器交换得到一个随机数(rand)及其对应的第二鉴权数(AUTH2)的鉴权集,然后向客户端发送EAP-UIM认证协议认证请求(EAP-Request/UIM/Challenge)报文,其中含有随机数;这里,认证服务器得到一个鉴权集的过程是这样:根据用户身份标识产生一个随机数,并根据网络侧保存的SSD进行计算得出对应的第二鉴权数;
步骤306、客户端收到EAP-Request/UIM/Challenge报文后,将Rand和UIM里保存的SSD进行加密后,得到第一鉴权数(AUTH1),再通过EAP-UIM认证协议更新回应报文(EAP-Response/UIM/Challenge)发送给认证点,报文中携带AUTH1;
步骤307、认证点收到EAP-Response/UIM/Challenge报文后,将接收到的报文通过和认证服务器之间的AAA通讯协议发送给认证服务器,认证服务器对AUTH1和自己保存的AUTH2进行比较,如果一致,则通知认证点成功,否则,认证失败,然后认证点判断是否需要进行Update流程,如果需要,则开始进行Update流程,更新SSD,执行步骤308,否则,认证失败,跳出;
步骤308、认证点获取SSD认证随机数(RANDSSD)及其对应的鉴权数,该鉴权数为根据网络侧和RANDSSD计算出,然后认证点向客户端发送EAP-UIM认证协议更新回应报文(EAP-Request/UIM/Update)报文,其中含有SSD认证随机数(RANDSSD);
步骤309、客户端在收到EAP-Request/UIM/Update报文后,根据RANDSSD和客户端保存的SSD计算得出对应的鉴权数,向认证点发送EAP-UIM认证协议认证回应(EAP-Respnse/UIM/Challenge)报文,其中含有客户端计算得出鉴权数;
步骤310、认证点收到EAP-Respnse/UIM/Challenge报文后,判断网络侧与客户端计算出的鉴权数是否一致,如果一致,则给客户端回一个EAP-UIM认证协议认证请求(EAP-Request/UIM/Challenge)报文,否则,SSD更新失败;
步骤311、客户端收到EAP-Request/UIM/Challenge后,更新自身的SSD,将计算出的SSD通过EAP-Response/UIM/Update报文发送给认证点;
步骤312、认证点收到EAP-Response/UIM/Update后,更新网络侧的SSD,判断SSD是否更新完毕,如果更新完毕,结束Update流程,向客户端发送EAP-Request/UIM/Challenge报文,重新进行认证;
步骤313、客户端收到EAP-Request/UIM/Challenge报文后,给认证点回一个EAP-Response/UIM/Challenge报文;
步骤314、认证点根据EAP-Response/UIM/Challenge判断认证成功后,给客户端发送EAP-Success报文;
在首次认证进行SSD更新后,由于已确保了客户端和认证点的SSD一致,所以之后的认证过程就只有认证流程。参见图4所示,非首次认证的认证过程如下:
步骤401、认证点向客户端发送EAP-Request/Identity报文,要求客户端送上自己的身份标识;
步骤402、客户端收到EAP-Request/Identity报文后,将UIM里保存的身份信息作为用户身份标识,并通过EAP-Response/Identity报文将用户身份标识发送给认证点;
步骤403、认证点收到EAP-Response/Identity报文后,向客户端发送EAP-Request/UIM/Start报文,开始进行EAP-UIM认证协议的过程;
步骤404、客户端收到EAP-Request/UIM/Start报文后,给认证点回一个EAP-Response/UIM/Start报文;
步骤405、认证点收到EAP-Response/UIM/Start报文后,从认证服务器处获得的Rand及对应的第二鉴权数(AUTH2),然后通过EAP-Request/UIM/Challenge报文将Rand发送给客户端;这里第二鉴权数是根据随机数及网络侧保存的SSD进行计算获得;
步骤406、客户端收到EAP-Request/UIM/Challenge报文后,将Rand和UIM里保存的密码进行加密后,得到AUTH1,客户端再通过EAP-Response/UIM/Challenge报文发送给认证点,其中报文中携带AUTH1;
步骤407、认证点收到EAP-Response/UIM/Challenge报文后,将接收到的报文通过和认证服务器之间的AAA通讯协议发送至认证服务器,认证服务器对AUTH1和自己保存的AUTH2进行比较,如果一致,则通知认证点成功,然后认证点再向客户端发送EAP-Success报文,通知客户端认证成功。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。