專利名稱:一種使用用戶標(biāo)識(shí)模塊信息進(jìn)行用戶認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信系統(tǒng)中的用戶認(rèn)證方法�,具體涉及使用現(xiàn)有的用于移動(dòng)通信的用戶標(biāo)識(shí)模塊(UIM)內(nèi)的信息進(jìn)行遠(yuǎn)端接入撥號(hào)用戶服務(wù)協(xié)議(RADIUS)用戶認(rèn)證的方法。
背景技術(shù):
隨著移動(dòng)通信技術(shù)的迅速發(fā)展����,碼分多址(CDMA)2000作為一種先進(jìn)的數(shù)字蜂窩移動(dòng)通信技術(shù)����,已經(jīng)成為國際電聯(lián)(ITU)目前接受的三個(gè)第三代移動(dòng)通信系統(tǒng)(3G)技術(shù)之一,從1990年初次發(fā)布CDMA的標(biāo)準(zhǔn)以來�����,CDMA已經(jīng)經(jīng)歷了CDMA IS95和CDMA 2000 1x兩個(gè)重要階段�����。而為了適應(yīng)不斷發(fā)展的數(shù)據(jù)通信的需要���,目前在CDMA 2000 1x技術(shù)的基礎(chǔ)上又提出了CDMA 2000高速率分組數(shù)據(jù)業(yè)務(wù)(HRPD)技術(shù)�,它能提供高速數(shù)據(jù)分組業(yè)務(wù),單用戶下行最高速率可達(dá)2.4Mbps�。這里需要說明的是,CDMA 2000HRPD技術(shù)也被稱為CDMA 2000 1xEV-DO技術(shù)��,在下文中將統(tǒng)一簡稱為HRPD技術(shù)���。
圖1示出了HRPD網(wǎng)絡(luò)階段的模型��。從圖1中可以看出��,HRPD網(wǎng)絡(luò)單元包括接入終端(AT)��、接入網(wǎng)絡(luò)(AN)��、接入網(wǎng)認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AN AAA)�����、分組控制功能(PCF)單元�、分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)和認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)���。其中AN提供終端和分組交換數(shù)據(jù)網(wǎng)之間的數(shù)據(jù)連接�����,PCF提供分組數(shù)據(jù)包控制��,PDSN提供分組數(shù)據(jù)���,AAA提供業(yè)務(wù)認(rèn)證��、授權(quán)和計(jì)費(fèi),AN AAA的功能則是對用戶進(jìn)行接入網(wǎng)級(jí)別的認(rèn)證和授權(quán)����。圖中所示的空中接口傳輸AT和AN之間的信令及業(yè)務(wù)數(shù)據(jù),A8和A9分別傳輸AN和PCF之間的用戶業(yè)務(wù)數(shù)據(jù)和信令消息�����,A10和A11分別傳輸PCF和PDSN之間的用戶業(yè)務(wù)數(shù)據(jù)和信令消息����,A12傳輸AN和AN AAA之間的認(rèn)證和授權(quán)信令消息,A13傳輸AN和其他AN之間的漫游信令消息�����。
在上述網(wǎng)絡(luò)環(huán)境中,AN和AN AAA之間的A12接口以及PDSN和AAA之間的接口使用RADIUS協(xié)議�����,其認(rèn)證機(jī)制主要有口令認(rèn)證協(xié)議(PAP)和查詢—握手認(rèn)證協(xié)議(CHAP)兩種���,其中CHAP協(xié)議由于保密性更好�����,相比之下使用得更為廣泛���。
CHAP采用了基于私有密鑰的消息摘要(MD-Message Digest)身份認(rèn)證算法,其基本思想是設(shè)計(jì)一個(gè)如下所示的單向散列函數(shù)(hash函數(shù))M=hash(T�,S)在這個(gè)公式中,M是一個(gè)長度固定的數(shù)據(jù)�,被稱之為摘要;T是一個(gè)長度可變的明文��,即一組數(shù)字或字符組成的隨機(jī)數(shù)���;S是由收發(fā)雙方共有的私有密鑰��,其長度為1-16字節(jié)���。在實(shí)際使用中���,如果已知明文T和密鑰S,則可以根據(jù)已知的hash函數(shù)很容易地計(jì)算出摘要M��,而如果要通過M和T反推出密鑰S��,則是極其困難的��。
在現(xiàn)有的CDMA移動(dòng)通信系統(tǒng)中提出了機(jī)卡分離技術(shù)���,例如中國的聯(lián)通公司已經(jīng)將這種技術(shù)投入了商用,而且機(jī)卡分離技術(shù)也已經(jīng)被確定為3G的正式標(biāo)準(zhǔn)�。在這種機(jī)卡分離技術(shù)中,用戶必須同時(shí)使用終端和UIM卡才能接入CDMA網(wǎng)絡(luò)進(jìn)行通信����。其中UIM卡保存了國際移動(dòng)用戶識(shí)別(IMSI)、UIM卡號(hào)(UIM ID)和64比特的A-key等用戶信息��,其中的IMSI用于標(biāo)識(shí)用戶�����,含有歸屬地址信息,A-key則用于對用戶進(jìn)行身份合法性認(rèn)證�。如果離開這些信息,通信網(wǎng)絡(luò)將不能正確識(shí)別終端的身份��,并提供相應(yīng)的服務(wù)���。
由于CDMA 2000 1x側(cè)重于提供語音服務(wù)�����,而CDMA 2000 HRPD則側(cè)重于提供數(shù)據(jù)服務(wù)����,因?yàn)檫@種差別��,它們的用戶認(rèn)證方式也不盡相同����。在HRPD網(wǎng)絡(luò)中使用了新的RADIUS協(xié)議,而原有的終端和UIM卡卻不支持這種新協(xié)議�����,因此在CDMA網(wǎng)絡(luò)升級(jí)到HRPD網(wǎng)絡(luò)的過程中,用戶需要對終端側(cè)設(shè)備進(jìn)行更新�。
此時(shí),用戶當(dāng)然可以選擇將原有終端和UIM卡分別更新為支持HRPD技術(shù)的新終端和新UIM卡�����,但是人們通常出于手續(xù)方便和節(jié)約成本的考慮���,希望繼續(xù)使用原有的UIM卡��,因此希望在僅僅更換終端的情況下也能使用HRPD技術(shù)�����。由于目前全世界只有中國聯(lián)通公司使用機(jī)卡分離標(biāo)準(zhǔn)的CDMA終端��,而聯(lián)通公司尚未建立商用的HRPD網(wǎng)絡(luò)����,所以目前還沒有任何使現(xiàn)有的IS95/CDMA 2000 1x網(wǎng)絡(luò)的UIM卡支持HRPD網(wǎng)絡(luò)的技術(shù)�����,而這種技術(shù)的核心在于如何解決使用現(xiàn)有的UIM卡信息可以通過HRPD網(wǎng)絡(luò)所需要的RADIUS用戶認(rèn)證����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的一個(gè)目的在于提供一種通過現(xiàn)有的UIM卡信息進(jìn)行RADIUS用戶認(rèn)證的方法����。
本發(fā)明的上述目的是通過如下的技術(shù)方案予以實(shí)現(xiàn)的一種使用UIM信息進(jìn)行RADIUS用戶認(rèn)證的方法,包括如下步驟a.對于每一個(gè)UIM����,預(yù)先設(shè)置由UIM中包含的IMSI信息生成由用戶標(biāo)識(shí)和域名組成的用戶名的第一函數(shù),以及由UIM中包含的一個(gè)數(shù)據(jù)信息生成密碼信息的第二函數(shù)���,并將根據(jù)第一函數(shù)和第二函數(shù)得到的用戶名和密碼信息存儲(chǔ)在認(rèn)證服務(wù)器中����;b.每一個(gè)終端需要進(jìn)行認(rèn)證時(shí)���,終端根據(jù)UIM的IMSI信息和用于生成密碼信息的數(shù)據(jù)信息分別使用第一函數(shù)和第二函數(shù)得到用戶名和密碼信息�����,在此基礎(chǔ)上得到認(rèn)證信息�,將得到的認(rèn)證信息發(fā)送到認(rèn)證服務(wù)器;c.認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證信息和預(yù)先存儲(chǔ)的用戶名和密碼信息進(jìn)行用戶認(rèn)證處理����。
在上述方法中,第一函數(shù)生成的用戶名可以包含用戶的歸屬地址信息�����。此時(shí)�,第一函數(shù)可以令用戶名的用戶標(biāo)識(shí)等于IMSI,用戶名的域名等于IMSI的前11個(gè)數(shù)字����,也可以令用戶名的用戶標(biāo)識(shí)和域名均為IMSI的一部分,還可以令用戶名的用戶標(biāo)識(shí)和域名均為對IMSI進(jìn)行一種數(shù)學(xué)計(jì)算的結(jié)果�����。
在上述方法中��,在步驟a中可以進(jìn)一步包括建立并存儲(chǔ)由生成的用戶名中的域名和認(rèn)證服務(wù)器的IP地址或域名之間的映射關(guān)系表�����。這個(gè)映射關(guān)系表可以存儲(chǔ)在認(rèn)證服務(wù)器�、認(rèn)證服務(wù)器的代理服務(wù)器或認(rèn)證服務(wù)器的域名服務(wù)器中,也可以存儲(chǔ)在終端中�,當(dāng)映射關(guān)系表存儲(chǔ)在終端中,在終端向認(rèn)證服務(wù)器發(fā)送認(rèn)證信息時(shí)將歸屬地認(rèn)證服務(wù)器的IP地址或域名信息作為用戶名的組成部分發(fā)送到認(rèn)證服務(wù)器���。���。
在上述方法中,步驟c可以包括如下步驟c1.認(rèn)證服務(wù)器通過用戶名中的域名信息判斷接收到的用戶名是否是本地用戶的用戶名�����,如果是��,直接進(jìn)行具體認(rèn)證過程�,否則執(zhí)行步驟c2;c2.通過讀取映射關(guān)系表�����,認(rèn)證服務(wù)器將接收到的認(rèn)證信息轉(zhuǎn)發(fā)到用戶名歸屬地的認(rèn)證服務(wù)器����,并接收歸屬地的認(rèn)證服務(wù)器對其進(jìn)行具體認(rèn)證過程之后得到的認(rèn)證結(jié)果;c3.認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證結(jié)果拒絕用戶或接收用戶���。
其中具體認(rèn)證過程包括用戶名歸屬地認(rèn)證服務(wù)器在存儲(chǔ)用戶名的數(shù)據(jù)庫中查找是否有接收到的用戶名信息�����,如果數(shù)據(jù)庫中有該用戶名信息���,執(zhí)行下一步�����,否則拒絕該次認(rèn)證��;用戶名歸屬地認(rèn)證服務(wù)器比較接收到的認(rèn)證信息和所存儲(chǔ)的認(rèn)證信息���,如果一致,接受該次認(rèn)證��,否則拒絕該次認(rèn)證��。
在上述方法中���,第二函數(shù)可以使用UIM中的A-key信息生成密碼信息���,此時(shí)可以直接令密碼信息為A-key�,也可以使用標(biāo)識(shí)符(UIM ID)信息生成密碼信息��。
在上述方法中��,認(rèn)證服務(wù)器可以是對用戶進(jìn)行接入網(wǎng)認(rèn)證的認(rèn)證服務(wù)器��,也可以是對用戶進(jìn)行業(yè)務(wù)認(rèn)證的認(rèn)證服務(wù)器��。
在上述方法中�����,第一函數(shù)和第二函數(shù)可以存儲(chǔ)在終端中���,在步驟b中,終端通過讀取UIM中的IMSI和用于生成密碼信息的數(shù)據(jù)信息使用存儲(chǔ)在終端中的第一函數(shù)和第二函數(shù)生成用戶名和密碼信息����。第一函數(shù)和第二函數(shù)也可以存儲(chǔ)在UIM中,此時(shí)在步驟b中����,UIM根據(jù)其內(nèi)的ISMI和用戶生成密碼信息的數(shù)據(jù)信息使用第一函數(shù)和第二函數(shù)生成用戶名和密碼信息,終端直接從UIM讀取已經(jīng)生成的用戶名和密碼信息�����。
上述RADIUS認(rèn)證可以是查詢—握手認(rèn)證協(xié)議(CHAP)認(rèn)證,此時(shí)密碼信息是私有密鑰����,認(rèn)證信息包含用戶名、明文以及由明文和私有密鑰通過hash函數(shù)運(yùn)算得到的摘要��,同時(shí)��,RADIUS認(rèn)證也可以是口令認(rèn)證協(xié)議(PAP)認(rèn)證����,此時(shí)密碼信息是密碼,認(rèn)證信息則包含用戶名和密碼���。
從本發(fā)明的上述技術(shù)方案可以看出����,通過預(yù)先設(shè)置的自動(dòng)生成用戶名和私有密鑰或密碼的函數(shù)����,使用原來的UIM卡內(nèi)的信息即可完成RADIUS認(rèn)證,這樣在使用HRPD技術(shù)的CDMA網(wǎng)絡(luò)或者其他需要RADIUS認(rèn)證的網(wǎng)絡(luò)中,用戶不需要更換現(xiàn)有的UIM卡就一樣能在新網(wǎng)絡(luò)中使用��,從而為用戶節(jié)約了更換UIM卡所需的時(shí)間和成本���。
同時(shí)��,由于很多用戶可能覺得更換UIM卡浪費(fèi)時(shí)間并且還需要支付成本����,因此寧可只接受原有網(wǎng)絡(luò)的服務(wù)�����,而不接受新網(wǎng)絡(luò)的服務(wù)���,從而為系統(tǒng)運(yùn)營商推廣具有更高技術(shù)含量的新網(wǎng)絡(luò)設(shè)置了障礙,并阻礙了新業(yè)務(wù)的發(fā)展和系統(tǒng)運(yùn)營商的收入����。而本發(fā)明有效地解決了這個(gè)問題,為系統(tǒng)運(yùn)營商的發(fā)展提供了強(qiáng)有力的支持����。
在本發(fā)明的具體使用過程中,由于用戶名和私有密鑰或密碼對用戶和其他人來說都是不可見的,用戶不需要重新輸入用戶名和私有密鑰或密碼就可以實(shí)現(xiàn)RADIUS認(rèn)證�����,因此這種方法既方便又安全����。
同時(shí),根據(jù)本發(fā)明生成的私有密鑰或密碼的長度可以達(dá)到64比特�����,不容易被破解�����,具有非常高的安全性��。而且�,在網(wǎng)絡(luò)升級(jí)的過渡過程中,可以向希望進(jìn)行RADIUS認(rèn)證的用戶和不需要RADIUS認(rèn)證的用戶提供一樣的UIM卡及其信息����,方便了系統(tǒng)運(yùn)營商的操作。另外�,本發(fā)明采用了機(jī)卡分離原則,將用戶信息保存在UIM卡中,終端只包含硬件信息�����,這樣符合了未來的3G標(biāo)準(zhǔn)����,適合將來的3G網(wǎng)絡(luò)認(rèn)證。
圖1是CDMA 2000 HRPD網(wǎng)絡(luò)的示意模型����;圖2是UIM卡中包含的ISMI的結(jié)構(gòu)圖;圖3是本發(fā)明的處理流程圖����;圖4是CHAP的用戶認(rèn)證處理過程的示意圖�;圖5是漫游終端的CHAP的用戶認(rèn)證過程的示意圖。
具體實(shí)施例方式
下面以CDMA 2000 HRPD網(wǎng)絡(luò)環(huán)境中使用CHAP協(xié)議進(jìn)行接入網(wǎng)用戶認(rèn)證為例��,結(jié)合附圖和具體實(shí)施方式
對本發(fā)明進(jìn)行詳細(xì)說明��。
為了利用現(xiàn)有的UIM卡信息生成RADIUS認(rèn)證所需的用戶名和私有密鑰�,就需要利用現(xiàn)有的UIM卡已經(jīng)包含的信息,前面已經(jīng)提到��,現(xiàn)有的UIM卡包含IMSI、UIM ID和A-key等信息���,下面對它們進(jìn)行具體說明���。
在CDMA移動(dòng)通信系統(tǒng)中,對于每一個(gè)用戶分配有一個(gè)唯一的IMSI�����,其結(jié)構(gòu)如圖2所示�。從圖2中可以看到,一個(gè)IMSI由15位數(shù)字組成�,其中前3位是移動(dòng)國家碼(MCC),接下來的兩位是移動(dòng)網(wǎng)絡(luò)號(hào)(MNC)�,剩下H0、H1��、H2���、H3�、H4�����、H5、A��、B��、C����、D等10位數(shù)字組成了移動(dòng)用戶識(shí)別碼(MSIN)。在這些數(shù)字中��,MNC加上MSIN構(gòu)成了國內(nèi)移動(dòng)用戶識(shí)別(NMSI)����,MCC加上NMSI則構(gòu)成了由15位數(shù)字組成的IMSI。在IMSI中�,由H2、H3�、H4和H5四位數(shù)字中包含有該用戶在CDMA網(wǎng)中的歸屬地信息����。例如一個(gè)ISMI可能是460030901002345,其中的460是移動(dòng)國家碼�����,03是移動(dòng)網(wǎng)絡(luò)號(hào),09是一個(gè)號(hào)段�,0100代表歸屬地信息,例如北京�����,剩下的2345則是將信息存儲(chǔ)在該歸屬地的號(hào)碼的順序編號(hào)�。
前面介紹了在CDMA 2000 1x技術(shù)基礎(chǔ)上發(fā)展起來的HRPD技術(shù)的接入網(wǎng)用戶認(rèn)證?�?梢钥闯?,和現(xiàn)有的CDMA 2000 1x用戶認(rèn)證方法不同,使用HRPD技術(shù)時(shí)需要用戶提供用戶名和私有密鑰��。這里需要說明的是���,在現(xiàn)有的CDMA 2000 1x網(wǎng)絡(luò)和目前提出的HRPD網(wǎng)絡(luò)中對用戶名都提出了如下的限制條件(1)在某一個(gè)運(yùn)營商的網(wǎng)絡(luò)內(nèi)沒有重復(fù)�,例如對于中國聯(lián)通公司的CDMA網(wǎng)絡(luò)來說���,每個(gè)用戶的用戶名都是唯一的���;(2)包含歸屬地址信息,這樣用戶在開戶地以外的外地漫游時(shí)����,RADIUS代理服務(wù)器能夠根據(jù)用戶名得到該用戶的歸屬地址信息���,從而能夠得到用戶資料,以支持用戶在全網(wǎng)內(nèi)的漫游�。
為了滿足這兩個(gè)限制條件,目前的用戶名都是由用戶標(biāo)識(shí)和域名兩部分構(gòu)成���,例如一個(gè)北京的用戶的用戶名可能是userl@beijing.cdma.unicom.cn�����,在這個(gè)用戶名中��,@符號(hào)前面的userl是用戶標(biāo)識(shí)�����,后面的beijing.cdma.unicom.cn是域名�。在HRPD網(wǎng)絡(luò)中的用戶名將繼續(xù)使用這種用戶標(biāo)識(shí)加域名的結(jié)構(gòu)����。
同樣�,在HRPD網(wǎng)絡(luò)中的CHAP協(xié)議對私有密鑰也有一定的限制�����,那就是出于安全的考慮��,其長度至少為一個(gè)字節(jié)����,也就是8比特�����。
在此實(shí)施例中�,選擇UIM卡中的IMSI信息生成用戶名,選擇A-key信息生成私有密鑰�����,其具體步驟如下步驟301系統(tǒng)運(yùn)營商預(yù)先將分配給用戶的UIM卡中包含的IMSI信息作為預(yù)先確定的函數(shù)f(x)的自變量得到一個(gè)函數(shù)值��,也就是用戶名�,同時(shí)將得到的A-key信息作為預(yù)定函數(shù)g(x)的自變量得到一個(gè)函數(shù)值,也就是私有密鑰��。
這里的函數(shù)f(x)可以是任何形式的函數(shù)�����,只要得到的函數(shù)值滿足前述對用戶名的要求即可。由于前面提到了用戶名的形式為A@B�,其中A是用戶標(biāo)識(shí),B是域名���,因此也可以將f(x)變形為f1(x)@f2(x)�,f1(x)和f2(x)是兩個(gè)相互獨(dú)立的函數(shù)����。舉一個(gè)簡單的例子,令f1(IMSI)=IMSI���,f2(IMSI)=MCC+MNC+H0H1H2H3H4H5
如此生成的用戶名即為IMSI@MCC+MNC+H0H1H2H3H4H5��。例如UIM卡中的IMSI為460030901002345�,那么生成的用戶名即為460030901002345@46003090100�����。由于ISMI在全網(wǎng)內(nèi)是唯一的�����,并且它包含了歸屬地址信息H2H3H4H5�����,因此這樣一個(gè)用戶名完全滿足HRPD網(wǎng)絡(luò)對用戶名的要求����。
和生成用戶名的方法相似,函數(shù)g(x)也可以是任何形式的函數(shù)����,只要得到的函數(shù)值滿足前述對私有密鑰的要求即可。同樣舉一個(gè)簡單的例子�����,令g(A-key)=A-key如此生成的私有密鑰即為A-key����,由于A-key的長度為64比特,它完全滿足長度至少為8比特的要求����,因此完全可以作為HRPD網(wǎng)絡(luò)接入網(wǎng)認(rèn)證中所需的私有密鑰。
當(dāng)然,上述實(shí)際函數(shù)的例子是很簡單的��,在實(shí)際應(yīng)用中��,可以對用戶標(biāo)識(shí)或域名進(jìn)行一定的數(shù)學(xué)變換�����,例如各位數(shù)字加1或者減1等等���,這樣得到的用戶名一樣是可行的���。
另外,也可以不使用一個(gè)完整的IMSI作為用戶標(biāo)識(shí)����,而只使用它的一部分,例如令f(IMSI)=ABCD��。在這種情況下�����,用戶標(biāo)識(shí)沒有包含歸屬地址信息����,域名部分則必須包含該信息����,以滿足對用戶名必須包含歸屬地址信息的要求��。反之亦然��;如果域名不包含歸屬地址信息�,則用戶標(biāo)識(shí)就必須包含該信息�����。而且如此生成的用戶名還可能和其他用戶的用戶名重復(fù)�����,因此還受到用戶名必須唯一的限制�����。與此相比����,使用前面提到的用完整的IMSI作為用戶標(biāo)識(shí)就沒有這種擔(dān)心了。
對于域名來說,也并不是必須使用MCC+MNC+H0H1H2H3H4H5���,例如可以省略MCC或省略MCC+MNC�����,但是由于不包含相應(yīng)的國家代碼甚至不包含國內(nèi)網(wǎng)絡(luò)代碼�����,這樣的域名對于國際間漫游或者國內(nèi)網(wǎng)際之間的漫游的支持不足���,因此其使用效果不及使用MCC+MNC+H0H1H2H3H4H5的情況�。
步驟302在生成了用戶名和私有密鑰之后���,系統(tǒng)運(yùn)營商將該用戶名和私有密鑰保存在認(rèn)證服務(wù)器中����,也就是AN AAA中。
步驟303為了支持終端的漫游���,認(rèn)證服務(wù)器將用戶名的域名f2(IMSI)和本地AN AAA的IP地址的映射關(guān)系加入到存儲(chǔ)在AN AAA或者AN AAA的代理服務(wù)器或者AN AAA的域名服務(wù)器的映射表中��。該表如表1所示
表1表1中左列是用戶名中的域名信息��,右列是該域名信息映射到的實(shí)際網(wǎng)絡(luò)IP地址或域名�。本領(lǐng)域技術(shù)人員很容易理解��,這里的IP地址和域名是一一對應(yīng)的關(guān)系����。如果HRPD網(wǎng)絡(luò)容量擴(kuò)大�,也就是當(dāng)?shù)赜脩魯?shù)量增多,一個(gè)AN AAA已經(jīng)不能滿足要求時(shí)�����,可以增加AN AAA��,同時(shí)在表1中將用戶名中不同的域名信息映射到不同的當(dāng)?shù)氐腁N AAA����,從而實(shí)現(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容�。
步驟304當(dāng)用戶使用帶有UIM卡的終端進(jìn)行網(wǎng)絡(luò)接入時(shí)��,終端從UIM卡讀取IMSI信息和A-key信息��,然后通過存儲(chǔ)在終端中的函數(shù)f(x)和g(x)分別得到用戶名和私有密鑰�,然后根據(jù)從AN接收到的隨機(jī)產(chǎn)生的明文和私有密鑰通過hash函數(shù)得到一個(gè)摘要,將得到的用戶名���、明文和摘要組成認(rèn)證信息發(fā)送到AN AAA����。
步驟305AN AAA接收到來自用戶終端的包含用戶名���、明文和摘要的認(rèn)證信息后�,進(jìn)行具體認(rèn)證處理��。由于具體的認(rèn)證過程對于本領(lǐng)域技術(shù)人員很容易實(shí)現(xiàn)����,因此這里只對其進(jìn)行簡單介紹。
下面參考圖4說明RADIUS認(rèn)證過程����。首先���,終端用戶將用戶名和口令,也就是用戶名�、明文T和摘要M,發(fā)送給認(rèn)證服務(wù)器�,認(rèn)證服務(wù)器首先查看用戶名屬性,如果認(rèn)證服務(wù)器數(shù)據(jù)庫中不存在該用戶名則拒絕這次認(rèn)證�����,如果數(shù)據(jù)庫中存在該用戶名���,則根據(jù)明文T和存儲(chǔ)在認(rèn)證服務(wù)器中的用戶的密鑰S計(jì)算摘要M,如果計(jì)算得到的摘要M和終端用戶發(fā)送的摘要M完全一致�,則通知用戶認(rèn)證成功,否則通知用戶認(rèn)證失敗����。
如果終端在外地漫游,那么還涉及到一個(gè)從漫游地到本地的信息傳輸過程���。如圖5所示���,假設(shè)在本地網(wǎng)1開戶的終端漫游到本地網(wǎng)2����,那么終端首先在步驟501和502將自己的用戶名和私有密鑰通過本地網(wǎng)2的AN發(fā)送到AN AAA 2���,AN AAA 2通過用戶名的歸屬地址信息發(fā)現(xiàn)該終端是外地終端�,則在步驟503將認(rèn)證信息發(fā)送到AN AAA的代理服務(wù)器���,AN AAA的代理服務(wù)器通過讀取表1所示的映射關(guān)系表��,在步驟504將認(rèn)證信息轉(zhuǎn)發(fā)到本地網(wǎng)1的AN AAA 1��,然后AN AAA 1對認(rèn)證信息進(jìn)行如圖4所示的認(rèn)證處理��,并將認(rèn)證結(jié)果在步驟505通知代理服務(wù)器���,在步驟506和507,代理服務(wù)器通過AN AAA 2將結(jié)果轉(zhuǎn)發(fā)給本地網(wǎng)2的AN�,在步驟508,AN即根據(jù)該認(rèn)證結(jié)果接受或拒絕該終端登記入網(wǎng)���。
可以發(fā)現(xiàn)����,在使用本發(fā)明的過程中,需要對終端和認(rèn)證服務(wù)器進(jìn)行適應(yīng)性修改����,并且還可能需要對認(rèn)證服務(wù)器的代理服務(wù)器或域名服務(wù)器進(jìn)行修改。
在上述實(shí)施例中使用的是UIM卡中的A-key信息來生成私有密鑰�,其實(shí)也可以不使用A-key信息,而是使用UIM卡中的任何其他一個(gè)大于8比特的數(shù)據(jù)信息��,例如UIM ID信息����,同樣可以得到私有密鑰。但本領(lǐng)域技術(shù)人員可以知道����,由于UIM ID信息只有32比特�,少于A-key的64比特,因此由UIM ID生成的私有密鑰的安全性相對于用A-key生成的私有密鑰來說��,其保密性和安全性會(huì)差一些�。
另外,在上述實(shí)施例中如表1所示的映射關(guān)系表形成并存儲(chǔ)在AN AAA或者其代理服務(wù)器或域名服務(wù)器中�,在實(shí)際應(yīng)用中也可以將該表存儲(chǔ)在用戶終端�,在這種情況下����,終端向認(rèn)證服務(wù)器發(fā)送用戶名和摘要時(shí),將用戶名的域名對應(yīng)的AN AAA的IP地址或域名信息作為用戶名的組成部分發(fā)送到認(rèn)證服務(wù)器����。但是在這種情況下,每一次AN AAA的域名發(fā)生變化時(shí)����,終端的映射表都必須隨之升級(jí),因此這種方法使用起來會(huì)有一些不方便�����。
此外��,上述實(shí)施例使用了CHAP協(xié)議為例說明如何通過UIM卡的信息實(shí)現(xiàn)RADIUS認(rèn)證�����,本發(fā)明同樣適用于PAP協(xié)議認(rèn)證方式��。所不同的是,通過A-key生成的不是私有密鑰��,而是密碼�����;而且在PAP中直接比較這個(gè)密碼����,而不需要通過明文計(jì)算摘要。
上述實(shí)施例使用了CDMA 2000 HRPD網(wǎng)絡(luò)中的RADIUS協(xié)議進(jìn)行了說明�,可以理解,本發(fā)明可以適用于其他任何需要使用用戶名和密鑰的認(rèn)證協(xié)議����。同樣,本發(fā)明也并不局限于應(yīng)用在CDMA 2000 HRPD網(wǎng)絡(luò)中�,同樣可以應(yīng)用在CDMA 2000 1x的分組域業(yè)務(wù)認(rèn)證過程,以及CDMA網(wǎng)絡(luò)的其它后續(xù)升級(jí)網(wǎng)絡(luò)形態(tài)��,例如CDMA 2000 1xEV-DV��、CDMA 2000 3xEV-DO����、CDMA 2000 3xEV-DV等網(wǎng)絡(luò),以及其他例如GPRS和WCDMA等網(wǎng)絡(luò)形態(tài)都可以使用本發(fā)明�,只要在這些網(wǎng)絡(luò)中需要使用RADIUS服務(wù)器,并采用使用用戶名和密鑰進(jìn)行認(rèn)證的協(xié)議���。
因此可以理解��,上述實(shí)施例只是對本發(fā)明精神的具體展示�����,而不是限制�����。
權(quán)利要求
1.一種使用用戶標(biāo)識(shí)模塊(UIM)信息進(jìn)行遠(yuǎn)端接入撥號(hào)用戶服務(wù)協(xié)議(RADIUS)用戶認(rèn)證的方法��,包括如下步驟a.對于每一個(gè)UIM����,預(yù)先設(shè)置由UIM中包含的國際移動(dòng)用戶識(shí)別(IMSI)信息生成由用戶標(biāo)識(shí)和域名組成的用戶名的第一函數(shù)�����,以及由UIM中包含的一個(gè)數(shù)據(jù)信息生成密碼信息的第二函數(shù)��,并將根據(jù)第一函數(shù)和第二函數(shù)得到的用戶名和密碼信息存儲(chǔ)在認(rèn)證服務(wù)器中;b.每一個(gè)終端需要進(jìn)行認(rèn)證時(shí)��,終端根據(jù)UIM的IMSI信息和用于生成密碼信息的數(shù)據(jù)信息分別使用所述第一函數(shù)和第二函數(shù)得到用戶名和密碼信息�����,在此基礎(chǔ)上得到認(rèn)證信息�,將得到的認(rèn)證信息發(fā)送到認(rèn)證服務(wù)器;c.認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證信息和預(yù)先存儲(chǔ)的用戶名和密碼信息進(jìn)行用戶認(rèn)證處理����。
2.根據(jù)權(quán)利要求1所述的方法,其特征是��,根據(jù)所述第一函數(shù)生成的用戶名包含用戶的歸屬地址信息�����。
3.根據(jù)權(quán)利要求2所述的方法��,其特征是���,所述第一函數(shù)是令用戶名的用戶標(biāo)識(shí)等于IMSI���,用戶名的域名等于IMSI的前11個(gè)數(shù)字�。
4.根據(jù)權(quán)利要求2所述的方法����,其特征是�,所述第一函數(shù)是令用戶名的用戶標(biāo)識(shí)和域名均為IMSI的一部分�。
5.根據(jù)權(quán)利要求2所述的方法,其特征是��,所述第一函數(shù)是令用戶名的用戶標(biāo)識(shí)和域名均為對IMSI進(jìn)行一種數(shù)學(xué)計(jì)算的結(jié)果���。
6.根據(jù)權(quán)利要求2所述的方法�,其特征是�,在步驟a中進(jìn)一步包括建立并存儲(chǔ)由生成的用戶名中的域名和認(rèn)證服務(wù)器的IP地址或域名之間的映射關(guān)系表。
7.根據(jù)權(quán)利要求6所述的方法���,其特征是�����,所述映射關(guān)系表存儲(chǔ)在認(rèn)證服務(wù)器��、認(rèn)證服務(wù)器的代理服務(wù)器或認(rèn)證服務(wù)器的域名服務(wù)器中��,或者存儲(chǔ)在終端中��。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征是����,當(dāng)映射關(guān)系表存儲(chǔ)在終端中,在終端向認(rèn)證服務(wù)器發(fā)送認(rèn)證信息時(shí)將歸屬地認(rèn)證服務(wù)器的IP地址或域名信息作為用戶名的組成部分發(fā)送到認(rèn)證服務(wù)器��。
9.根據(jù)權(quán)利要求6所述的方法����,其特征是,步驟c包括如下步驟c1.認(rèn)證服務(wù)器通過用戶名中的域名信息判斷接收到的用戶名是否是本地用戶的用戶名�����,如果是���,直接進(jìn)行具體認(rèn)證過程���,否則執(zhí)行步驟c2����;c2.通過讀取映射關(guān)系表��,認(rèn)證服務(wù)器將接收到的認(rèn)證信息轉(zhuǎn)發(fā)到用戶名歸屬地的認(rèn)證服務(wù)器���,并接收歸屬地的認(rèn)證服務(wù)器對其進(jìn)行具體認(rèn)證過程之后得到的認(rèn)證結(jié)果;c3.認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證結(jié)果拒絕用戶或接收用戶���。
10.根據(jù)權(quán)利要求9所述的方法����,其特征是��,所述具體認(rèn)證過程包括用戶名歸屬地認(rèn)證服務(wù)器在存儲(chǔ)用戶名的數(shù)據(jù)庫中查找是否有接收到的用戶名信息�,如果數(shù)據(jù)庫中有該用戶名信息,執(zhí)行下一步���,否則拒絕該次認(rèn)證���;用戶名歸屬地認(rèn)證服務(wù)器比較接收到的認(rèn)證信息和所存儲(chǔ)的認(rèn)證信息,如果一致����,接受該次認(rèn)證�,否則拒絕該次認(rèn)證�����。
11.根據(jù)權(quán)利要求1所述的方法����,其特征是,所述第二函數(shù)使用UIM中的A-key信息生成密碼信息�����。
12.根據(jù)權(quán)利要求11所述的方法����,其特征是,所述第二函數(shù)是令密碼信息為A-key����。
13.根據(jù)權(quán)利要求1所述的方法,其特征是�,所述第二函數(shù)使用標(biāo)識(shí)符(UIMID)信息生成密碼信息。
14.根據(jù)權(quán)利要求1所述的方法,其特征是��,所述認(rèn)證服務(wù)器是對用戶進(jìn)行接入網(wǎng)認(rèn)證的認(rèn)證服務(wù)器�����。
15.根據(jù)權(quán)利要求1所述的方法�,其特征是,所述認(rèn)證服務(wù)器是對用戶進(jìn)行業(yè)務(wù)認(rèn)證的認(rèn)證服務(wù)器���。
16.根據(jù)權(quán)利要求1所述的方法�,其特征是��,所述第一函數(shù)和第二函數(shù)存儲(chǔ)在終端中��,在步驟b中���,終端通過讀取UIM中的IMSI和用于生成密碼信息的數(shù)據(jù)信息使用存儲(chǔ)在終端中的第一函數(shù)和第二函數(shù)生成用戶名和密碼信息。
17.根據(jù)權(quán)利要求1所述的方法���,其特征是����,所述第一函數(shù)和第二函數(shù)存儲(chǔ)在UIM中����,在步驟b中����,UIM根據(jù)其內(nèi)的ISMI和用戶生成密碼信息的數(shù)據(jù)信息使用所述第一函數(shù)和第二函數(shù)生成用戶名和密碼信息����,終端直接從UIM讀取已經(jīng)生成的用戶名和密碼信息。
18.根據(jù)權(quán)利要求1所述的方法�����,其特征是��,所述RADIUS認(rèn)證是查詢—握手認(rèn)證協(xié)議(CHAP)認(rèn)證���,所述密碼信息是私有密鑰��,所述認(rèn)證信息包含用戶名�����、明文以及由明文和私有密鑰計(jì)算得到的摘要����。
19.根據(jù)權(quán)利要求18所述的方法,其特征是����,所述摘要是通過對明文和私有密鑰進(jìn)行一種單項(xiàng)散列函數(shù)(hash函數(shù))運(yùn)算得到的。
20.根據(jù)權(quán)利要求1所述的方法�����,其特征是��,所述RADIUS認(rèn)證是口令認(rèn)證協(xié)議(PAP)認(rèn)證�,所述密碼信息是密碼,所述認(rèn)證信息包含用戶名和密碼�。
全文摘要
本發(fā)明公開了一種使用用戶標(biāo)識(shí)模塊(UIM)信息進(jìn)行遠(yuǎn)端接入撥號(hào)用戶服務(wù)協(xié)議(RADIUS)用戶認(rèn)證的方法,包括對于每一個(gè)UIM���,預(yù)先設(shè)置由UIM中包含的國際移動(dòng)用戶識(shí)別(IMSI)信息生成用戶名的第一函數(shù),以及由UIM中包含的一個(gè)數(shù)據(jù)信息生成密碼信息的第二函數(shù)��,并將根據(jù)第一函數(shù)和第二函數(shù)得到的用戶名和密碼信息存儲(chǔ)在認(rèn)證服務(wù)器中����;每一個(gè)終端需要進(jìn)行認(rèn)證時(shí),終端根據(jù)UIM的IMSI信息和用于生成密碼信息的數(shù)據(jù)信息分別使用第一函數(shù)和第二函數(shù)得到用戶名和密碼信息,在此基礎(chǔ)上得到認(rèn)證信息�����,將得到的認(rèn)證信息發(fā)送到認(rèn)證服務(wù)器����;認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證信息和預(yù)先存儲(chǔ)的用戶名和密碼信息進(jìn)行用戶認(rèn)證處理。
文檔編號(hào)H04W12/06GK1533072SQ03120938
公開日2004年9月29日 申請日期2003年3月25日 優(yōu)先權(quán)日2003年3月25日
發(fā)明者郭士奎, 李卓, 郄臣 申請人:華為技術(shù)有限公司