專利名稱:高速分組數(shù)據(jù)網(wǎng)中接入認證方法以及裝置的制作方法
技術(shù)領域:
本發(fā)明涉及高速分組數(shù)據(jù)(High Rate Packet Data�����,以下簡稱HRPD)網(wǎng)絡的接入網(wǎng)認證���、認證�����、計費服務器(Access Network-Authentication��,Authorization and Accounting���,以下簡稱AN-AAA)實現(xiàn)方法,特別涉及同時支持CAVE算法和MD5算法的HRPD網(wǎng)絡的AN-AAA實現(xiàn)方法�。
背景技術(shù):
碼分多址2000(Code Division Multiple Access 2000,以下簡稱cdma2000)網(wǎng)絡已在全球范圍內(nèi)廣泛商用����,在該網(wǎng)絡中采用了基于無線認證與語音加密(Cellular Authentication and Voice Encryption,以下簡稱CAVE)算法的質(zhì)詢握手認證協(xié)議(Challenge HandshakeAuthentication Protocol��,以下簡稱CHAP)對接入終端合法性進行判別�。在這套認證體系中��,有比較完備的防止非法攻擊的方法����。手機(MobileStation����,簡稱MS)的密碼(A-key)和CAVE算法分別存儲在手機和cdma2000網(wǎng)的認證中心中。認證過程主要包括共享保密數(shù)據(jù)(Shared Secret Data��,以下簡稱SSD)的更新和認證執(zhí)行過程兩部分��。共享保密數(shù)據(jù)的A部分(SSD_A)用于接入認證����。由網(wǎng)絡根據(jù)特定條件分別向手機和認證中心發(fā)送攜帶有一段隨機數(shù)的消息來進行SSD_A的更新,手機和認證中心收到這個消息后�,將消息中的隨機數(shù)�、A-key和其他參數(shù)一起輸入SSD生成程序(SSD_GENERATION PROCEDULE),經(jīng)計算后產(chǎn)生SSD_A���,經(jīng)過確認正確后新產(chǎn)生的SSD_A替換掉舊的SSD_A�,將作為密鑰用于接入認證�����。當需要對用戶終端進行認證時,網(wǎng)絡向手機和認證中心發(fā)送要求認證的消息����,在該消息中攜帶有一段隨機數(shù)。手機和認證中心收到該消息后���,利用該消息中的隨機數(shù)���、SSD_A以及其他參數(shù)輸入CAVE算法,計算出認證結(jié)果�。手機將認證結(jié)果發(fā)送到認證中心,通過比較認證結(jié)果的異同來決定認證是否通過����。為防止惡意用戶竊取用戶密碼,作為臨時密鑰的SSD_A可以時常更新�����,所以這種認證方式具有很高的安全性���。在實際使用中�,A-key的存放地點有兩種方式。一種是存儲在手機上����,相應CAVE算法也在手機上執(zhí)行,稱為機卡不分離的手機�;另一種則是將A-key存放在用戶識別模塊(UserIdentity Module,以下稱UIM卡)上���,相應CAVE算法也在UIM卡上執(zhí)行�,稱為機卡分離手機�。目前中國全部采用機卡分離的手機,國外大多采用機卡不分離的手機���。HRPD網(wǎng)是cdma2000網(wǎng)絡的升級網(wǎng)絡���,已逐步在世界范圍內(nèi)開始商用。HRPD的接入認證服務器稱為AN-AAA�。第三代伙伴計劃2(簡稱3GPP2)相應規(guī)范規(guī)定,如果HRPD網(wǎng)采用接入認證�,認證方式也應該是CHAP認證���,具體的加密算法沒有明確要求�,可由運營商指定。與cdma2000網(wǎng)絡相同����,根據(jù)用戶密鑰的存放位置,HRPD的接入終端(Access Terminal�����,簡稱AT)也可以是機卡分離終端與機卡不分離終端兩種���。
HRPD網(wǎng)絡與cdma2000網(wǎng)絡是兩個相互獨立的網(wǎng)絡����,圖6描述了cdma2000網(wǎng)絡結(jié)構(gòu)圖����。其中用戶通過終端傳遞信息。終端和基站通過空中接口相連���?����;竞突究刂破饕黄鸾M成無線接入網(wǎng)部分���,負責終端信令��、數(shù)據(jù)的轉(zhuǎn)換和處理��。移動交換機負責用戶數(shù)據(jù)和業(yè)務的交換���,無線接入網(wǎng)部分和移動交換機通過A接口相連。拜訪位置寄存器負責用戶位置信息的管理并執(zhí)行本地認證功能��,在實現(xiàn)中常和移動交換機合設��。歸屬位置寄存器負責存儲用戶的永久信息��,主要解決用戶漫游問題�。認證中心負責用戶的認證工作,一般本地認證工作由拜訪位置寄存器分擔���。實現(xiàn)中歸屬位置寄存器通常和認證中心合設���。拜訪位置寄存器和歸屬位置寄存器之間通過ANSI-41移動應用規(guī)范(MAP)D接口相連。
圖7描述了HRPD網(wǎng)絡結(jié)構(gòu)圖����。其中用戶通過終端傳遞信息。接入網(wǎng)向用戶提供無線接入功能��,負責終端信令�、數(shù)據(jù)的轉(zhuǎn)換和處理。終端和接入網(wǎng)之間通過空中接口相連�。接入網(wǎng)鑒權(quán)、認證����、計費服務器負責用戶的鑒權(quán)、認證����、計費工作。
cdma2000網(wǎng)和HRPD網(wǎng)在實現(xiàn)中除了可以共用分組數(shù)據(jù)核心網(wǎng)外��,沒有任何的信息交互��。由于HRPD網(wǎng)主要提供數(shù)據(jù)業(yè)務�,用戶可以通過能夠同時支持cdma2000網(wǎng)絡和HRPD網(wǎng)絡的雙模終端享受服務,并且此類用戶是HRPD網(wǎng)的主要用戶群���。在下文中��,如無特殊說明��,雙模終端指cdma2000/HRPD雙模終端����。
為了更好的對本專利進行說明,圖2��、3�����、4描述了在cdma2000網(wǎng)絡認證過程中手機側(cè)的操作過程�,圖5描述了3GPP2定義的HRPD網(wǎng)絡中接入認證時的消息流。
1)現(xiàn)有cdma2000網(wǎng)絡認證過程中手機側(cè)的操作過程現(xiàn)有cdma2000網(wǎng)絡認證過程中手機側(cè)的操作分兩部分SSD_A的更新和認證過程�����。
SSD_A更新過程是為了提高認證體系防止攻擊的能力����,其基本操作過程如圖2所示系統(tǒng)中的HLR/AC向移動終端發(fā)送共享數(shù)據(jù)更新消息,該消息中包含56位隨機數(shù)��,稱為RANDSSD(201)����;移動終端受到上述消息后�����,啟動共享保密數(shù)據(jù)產(chǎn)生過程�。A-key和上述的隨機數(shù)作為該過程的輸入�����,該過程輸出新的共享保密數(shù)據(jù)���,新的共享保密數(shù)據(jù)分A、B兩部分(202)�����;系統(tǒng)側(cè)也執(zhí)行同樣的操作(203)���;移動終端還需要和系統(tǒng)之間確認上述步驟的執(zhí)行的正確性���。方法是由移動終端產(chǎn)生一段隨機數(shù),并同時將這段隨機數(shù)發(fā)往系統(tǒng)��。終端側(cè)將這段隨機數(shù)與新的共享保密數(shù)據(jù)分A部分一起通過認證簽名程序生成終端側(cè)結(jié)果(204);系統(tǒng)側(cè)同樣執(zhí)行認證簽名程序�,并得到基站側(cè)結(jié)果。系統(tǒng)將基站側(cè)結(jié)果發(fā)往終端(205)�;終端比較終端側(cè)結(jié)果和基站側(cè)結(jié)果,如果相同則共享保密數(shù)據(jù)更新成功�,終端和系統(tǒng)同時啟用新的共享保密數(shù)據(jù);否則終端和系統(tǒng)繼續(xù)使用老的共享保密數(shù)據(jù)(206)�����。
上述過程的A-key的長度是64比特(bit)�,由運營商分配給手機。A-key只有手機和網(wǎng)絡的認證中心(AuC)知道�。在實際網(wǎng)絡中AuC一般與歸屬位置寄存器,即HLR合設����,稱為HLR/AuC。
共享保密數(shù)據(jù)產(chǎn)生過程如圖3所示向共享保密數(shù)據(jù)產(chǎn)生過程輸入?yún)?shù)���,包括56比特的隨機數(shù)RANDSSD���、32比特的電子序列號(使用UIM卡時,也可以是UIM識別號)����、64比特終端密碼A-key�����。執(zhí)行共享保密數(shù)據(jù)產(chǎn)生過程后生成64比特的新的共享安全數(shù)據(jù)A部分和64比特的新的共享安全數(shù)據(jù)B部分�。
認證過程是網(wǎng)絡對終端合法性的鑒別過程�����,其基本操作過程如圖4所示AuC向手機發(fā)送認證命令(Challenge)消息�,消息中包含32bit的隨機數(shù)RAND�,手機將RAND和SSD_A作為CAVE算法的輸入,計算出18bit的結(jié)果AUTH�����,手機將AUTH通過認證響應消息(AuthenticationChallenge Response Message)送往認證中心�����,認證中心將手機計算出的結(jié)果與自己按同樣方法計算出的結(jié)果比較��,如果相同��,認證通過,如果不同則拒絕手機的接入�����。
由于存在漫游問題�,為提高接入認證速度,減少網(wǎng)絡傳輸����,在網(wǎng)絡實現(xiàn)中,通常將SSD_A在HLR/AC和距離用戶較近的訪問位置寄存器(VisitLocation Register��,以下簡稱VLR)之間共享�。VLR和HLR/AC之間通過美國國家標準化組織(ANSI)的定義的ANSI-41移動應用規(guī)范(MAP)D接口相連,其間傳送ANSI-41消息����。
(2)現(xiàn)有HRPD網(wǎng)絡中接入認證時的消息流HRPD接入認證包含以下消息流(如圖5所示)接入網(wǎng)絡(AN)向接入終端發(fā)送認證命令(Chap Challenge)消息,該消息中包含有隨機數(shù)Random text����;501終端收到認證命令消息后,利用隨機數(shù)計算出認證參數(shù)1���。圖中以MD5加密算法為例����;502終端向AN發(fā)送認證響應消息(Chap Response),該消息中包含有終端的網(wǎng)絡接入識別號(NAI)���,隨機數(shù)text��,認證參數(shù)1等信息����;503AN收到終端發(fā)來的認證響應消息后���,向AN-AAA送出遠程認證請求消息(Radius Access Request)����,該消息中包含有認證響應消息中的三個參數(shù)��;504AN-AAA利用隨機數(shù)和本地存儲的Password(AN-AAA Password與終端中的Password是同一值)作為輸入��,由MD5算法計算出認證參數(shù)2���;505AN-AAA比較認證參數(shù)1和認證參數(shù)2;506如果相同則向AN發(fā)送遠程認證請求接收(Radius Access Accept)消息表明認證通過,此消息中還包含有與該終端的NAI相對應的IMSI��,IMSI將被AN用于以后的流程中�����;507如果認證參數(shù)1和認證參數(shù)2不同則向AN發(fā)送遠程認證請求拒絕(Radius Access Reject)消息����,拒絕終端接入;508AN收到遠程認證請求接收消息后向終端發(fā)送CHAP認證成功(ChapSuccess)消息表明認證過程成功��;509AN收到遠程認證請求拒絕消息后向終端發(fā)送CHAP認證失敗(ChapFailure)消息表明認證過程失敗��。510上述過程中AT與AN-AAA所使用的加密算法以MD5為例�����,國際規(guī)范中沒用明確指定���,可由運營商確定����。
在實際應用中�����,多為借助cdma2000網(wǎng)絡提供話音業(yè)務,借助HRPD網(wǎng)絡提供數(shù)據(jù)業(yè)務�。因而,既支持cdma2000網(wǎng)絡���,又支持HRPD網(wǎng)絡的雙模終端將占相當大的比重�。由于一般是先建設cdma2000網(wǎng)絡���,再建設HRPD網(wǎng)絡���,HRPD網(wǎng)絡的部分用戶是由cdma2000網(wǎng)絡用戶升級而來的。單現(xiàn)有的機卡分離手機在認證過程中一般僅支持CAVE算法���,如果同時支持雙模操作需要進行將UIM卡升級為多?�??����,使之既能支持CAVE算法,又能支持HRPD網(wǎng)的接入認證算法���,如MD5算法���,以同時支持兩網(wǎng)的鑒權(quán)方式�。由于用戶基數(shù)很大�����,要升級UIM卡將會花費很高的費用����,并且會對用戶帶來不便。并且目前市場上尚無多模UIM卡供應�。
因此,在cdma2000網(wǎng)絡已投入運營����,擁有大量用戶的前提下,在建設HRPD網(wǎng)絡時�����,如何保證以最低的代價��,實現(xiàn)終端的接入認證是一個難題���。
現(xiàn)有的UIM卡僅支持CAVE算法����,要升級到HRPD網(wǎng)絡需要升級網(wǎng)絡以及以及將UIM卡升級為多模卡���,但這樣會帶來一些問題1)目前市場上尚無多模UIM卡��;2)升級UIM卡需要支付一筆費用��;3)必須到運營商處換卡給用戶帶來不便�����。
如果能從網(wǎng)絡側(cè)解決認證問題就能避免以上問題�。但目前沒有能夠解決上述問題的HRPD網(wǎng)絡側(cè)認證的功能以及流程�����,所以��,提出本發(fā)明���。
發(fā)明內(nèi)容
本發(fā)明的目的是在不改變HRPD消息流的前提下�,提供一種高速分組數(shù)據(jù)網(wǎng)中接入認證方法以及裝置�。這種方法以及裝置能夠支持采用CAVE算法的雙模終端在HRPD網(wǎng)絡接入認證。本發(fā)明的另一目的是可以繼續(xù)使用cdma2000網(wǎng)絡上應用的UIM卡���,用戶可以直接將老的UIM卡插入雙模終端��,就可以在需要認證時提供認證功能�。
為實現(xiàn)上述目的�,一種HRPD網(wǎng)絡接入認證方法以及裝置,包括步驟認證服務器收到HRPD AN發(fā)來的接入認證請求消息后�,根據(jù)消息中的NAI值信息判定用戶的歸屬地;認證服務器如果判定用戶為漫游用戶�,則將接入請求轉(zhuǎn)發(fā)到用戶歸屬地的認證服務器進行認證;對于本地用戶�����,認證服務器利用相關(guān)信息判定終端類型���,如利用NAI值信息判定���;對于cdma2000/HRPD雙模終端,認證服務器利用接入認證請求消息中的Random text產(chǎn)生出計算認證參數(shù)2所需的隨機數(shù)RAND��;認證服務器利用RAND通過CAVE運算得到認證參數(shù)2(CAVE運算所用的SSD_A的獲得方法在下文中描述);認證服務器比較認證參數(shù)2和終端通過接入認證請求消息送來的認證參數(shù)1���,如果結(jié)果相同����,則認證通過否則拒絕終端接入���;對于HRPD單模終端����,認證服務器采用MD5算法進行認證���,利用用戶密碼和隨機數(shù)得到認證參數(shù)2���,比較認證參數(shù)2和終端通過接入認證請求消息送來的認證參數(shù)1,如果結(jié)果相同����,則認證通過否則拒絕終端接入。
以上步驟中����,認證服務器中的SSD_A從cdma2000網(wǎng)絡獲得�����。SSD_A的獲得方式有兩種
第一種方式是由雙模終端截取cdma2000網(wǎng)絡發(fā)來的RANDSSD,并通過Chap Response消息中的Result域與認證參數(shù)1一起攜帶到認證服務器(Result域較大�,可以同時承載這兩個參數(shù))。認證服務器利用RANDSSD通過計算得到與cdma2000網(wǎng)絡相同的SSD_A��;第二種方式是認證服務器通過cdma2000網(wǎng)絡中的HLR/AuC獲取SSD_A���,此時需要建立認證服務器與HLR/AuC之間的ANSI-41通道�����。將認證服務器虛擬為cdma2000網(wǎng)絡中得VLR���,通過ANSI-41消息實現(xiàn)SSD_A在認證服務器和HLR/AuC間的共享。圖8描述了認證服務器與HLR/AC共享SSD_A時的網(wǎng)絡連接情況�����;圖9描述了認證服務器與HLR/AC共享SSD_A時的消息流程��,需要共享SSD_A時�����,認證服務器應根據(jù)接入認證請求消息內(nèi)容構(gòu)造認證請求調(diào)用消息發(fā)往HLR/AC,并且需在消息的相應域中注明支持CAVE認證和SSD共享���。當認證請求返回結(jié)果消息中包含SSD參數(shù)時����,認證服務器將會提取SSD并存儲以用于執(zhí)行CAVE認證����;本發(fā)明適用于解決采用CAVE認證算法的cdma2000/HRPD雙模終端在HRPD網(wǎng)的的接入認證問題。不需改變HRPD網(wǎng)消息流程���,即不需改動現(xiàn)有的HRPD接入網(wǎng)絡設備���,用戶不需要更換UIM卡,按照本發(fā)明實現(xiàn)的認證服務器可以實現(xiàn)終端的接入認證�����。
圖1是高速分組數(shù)據(jù)網(wǎng)中接入認證方法���;圖2是cdma2000中的共享保密數(shù)據(jù)更新過程��;圖3是共享保密數(shù)據(jù)生成程序�����;圖4是CAVE認證過程���;圖5是3GPP2定義的HRPD網(wǎng)絡中接入認證消息流。
圖6是cdma2000網(wǎng)絡結(jié)構(gòu)7是HRPD網(wǎng)絡結(jié)構(gòu)8是接入認證服務器與HLR/AC共享SSD_A時的網(wǎng)絡連接情況圖9是接入認證服務器與HLR/AC共享SSD_A時的消息流程
具體實施例方式
本發(fā)明的主要目的是實現(xiàn)HRPD網(wǎng)絡的認證��,特點是不需要改變已在現(xiàn)網(wǎng)上大量使用的cdma2000手機的UIM卡���,不需要改變HRPD網(wǎng)絡認證流程�����。按照本方案實現(xiàn)的接入認證服務器��,可以使得由cdma2000終端升級到cdma2000/HRPD雙模終端后UIM卡可以繼續(xù)使用�����。概括地說�����,實施本方案以很小的代價實現(xiàn)了顯著收益�。
本發(fā)明基于以下事實HRPD網(wǎng)絡不支持CAVE算法,因為HRPD網(wǎng)絡中沒有支持SSD更新的消息流����。但現(xiàn)在用戶的UIM卡只能提供CAVE算法。本發(fā)明主要思想是通過一種高速分組數(shù)據(jù)網(wǎng)中接入認證方法以及裝置����,并借助cdma2000網(wǎng)絡中SSD更新的成果,同時在終端的配合下���,使得現(xiàn)有HRPD消息流能夠支持CAVE算法����,從而實現(xiàn)現(xiàn)有用戶不換卡的目的��。
對于支持MD5算法的HRPD單模終端的認證問題通過本發(fā)明也可得到解決�。
為了在不改變HRPD現(xiàn)有消息流程的前提下,使得HRPD網(wǎng)的接入認證服務器能夠同時支持基于CAVE算法和MD5算法的用戶HRPD接入認證�����,接入認證服務器中應實現(xiàn)如下幾點(1)接入認證服務器對漫游用戶的判斷遠程認證請求消息是由HRPD AN發(fā)來的用戶認證消息,該消息中包含三個參數(shù)NAI����,Random text,Result1�。接入認證服務器接到HRPD AN發(fā)來的遠程認證請求消息后,首先根據(jù)該消息中攜帶的NAI域判斷用戶的歸屬地����。本方案中,NAI值應由IMSI@域名的格式構(gòu)成�����。接入認證服務器可根據(jù)NAI中的域名判定該用戶是否是其他運營商漫游過來的用戶�����,如果判定該用戶來自其他網(wǎng)絡����,接入認證服務器將把該用戶的認證信息轉(zhuǎn)發(fā)給其歸屬網(wǎng)絡�。如果判定用戶為本網(wǎng)用戶,接入認證服務器將根據(jù)NAI中的IMSI判定用戶是否是外地漫游用戶�����,如果判定該用戶是外地用戶,接入認證服務器將根據(jù)IMSI將該用戶的認證信息轉(zhuǎn)發(fā)到其歸屬地的接入認證服務器���。
(2)接入認證服務器對單雙模終端類型的判斷由于NAI值是終端的唯一標識�,互不重復�����,接入認證服務器可根據(jù)NAI值的IMSI判別單雙模終端���。如運營商可以給單雙終端分別分配不同的IMSI號段��,接入認證服務器通過IMSI分屬的號段來判定終端類型����。也可以根據(jù)IMSI檢索接入認證服務器中預存的專門的標志位來判斷終端類型�����。
(3)接入認證服務器對HRPD單模終端接入認證的處理對于HRPD單模終端����,接入認證服務器需要預存用戶的密碼�。接入認證服務器將用戶密碼和遠程認證請求消息中的Random text作為MD5算法的輸入�����,得到認證參數(shù)2�����,并將認證參數(shù)2與遠程認證請求消息消息中Result域中帶來的認證參數(shù)1比較���,如果二者相同則認證通過�����,如果不同���,則接入認證失敗�。
(4)接入認證服務器對cdma2000/HRPD雙模終端接入認證的處理4.1接入認證服務器中用戶SSD_A的獲得為支持CAVE算法,接入認證服務器中的用戶SSD_A應來自于cdma2000網(wǎng)絡�����。接入認證服務器從cdma2000網(wǎng)中獲得SSD_A的方法有兩種����。
第一種方法是通過雙模終端上傳的RANDSSD轉(zhuǎn)化而來�。使用這種方法���,雙模終端需要在cdma2000網(wǎng)絡發(fā)起SSD更新時�����,存儲cdma2000網(wǎng)中HLR/AC下發(fā)的SSD更新所需的參數(shù)RANDSSD�����。當在HRPD網(wǎng)進行接入認證時����,雙模終端將RANDSSD承載在HRPD消息中傳送給AN����,AN通過遠程認證請求消息中的Result域?qū)ANDSSD傳送給接入認證服務器。接入認證服務器收到來自于AN的遠程認證請求消息后�,從Result域中取出RANDSSD。接入認證服務器將RANDSSD作為隨機數(shù)���,與用戶的A-key以及其他參數(shù)一起輸入共享保密數(shù)據(jù)產(chǎn)生過程����,計算出的結(jié)果作為SSD_A。用戶的A-key需要預存在接入認證服務器中���。
第二種方法是接入認證服務器通過cdma2000網(wǎng)中HLR/AuC共享SSD_A����。將接入認證服務器偽裝成cdma2000網(wǎng)絡中的VLR�,在接入認證服務器和HLR/AC之間建立ANSI-41 MAP D接口,并通過標準的ANSI-41消息實現(xiàn)與cdma2000網(wǎng)絡的SSD_A共享�����。如果采用這種方式�����,終端不需要上傳RANDSSD�����,即遠程認證請求消息中不會攜帶RANDSSD���,接入認證服務器也不需要通過計算得到SSD_A����,接入認證服務器中與各用戶對應的SSD_A來自于HLR/AuC�。
4.2接入認證服務器對遠程認證請求消息中Random text參數(shù)域的處理接入認證服務器基于Random text,獲取32bit的隨機數(shù)��。Random text是以八位組表示的一串字符���,且其長度大于32bit��,需要將八位組轉(zhuǎn)換為二進制形式����,然后取其中32bit���,對于32bit的選取方法��,沒有特殊要求��,只要接入終端和接入認證服務器保持一致即可�。接入認證服務器將32bit隨機數(shù)與按上面方法得到的SSD_A還有其他參數(shù)一起輸入CAVE算法�����,計算出認證參數(shù)2,并與認證參數(shù)1相比較��,如果相同則對終端認證通過����,如果不同則拒絕終端接入。
4.3接入認證服務器對遠程認證請求消息中Result參數(shù)域的處理雙模終端通過CAVE算法得到的結(jié)果認證參數(shù)1�����,通過Result域攜帶�,因Result域空間較大,認證參數(shù)1在Result域中的存儲格式接入認證服務器應與雙模終端約定一致���。如果在4.1中接入認證服務器通過RANDSSD獲得SSD_A���,HRPD AN發(fā)來的遠程認證請求消息中的Result域中除載有認證參數(shù)1外還應攜帶RANDSSD。二者的存儲格式接入認證服務器應與雙模終端提前約定���。
圖1是高速分組數(shù)據(jù)網(wǎng)中接入認證方法�����,下面詳細說明各個操作步驟��。
接入認證服務器接收到HRPD AN發(fā)來的遠程認證請求(RadiusAccess Request)消息��,該消息中包含有網(wǎng)絡接入識別號(NAI)���、隨機數(shù)(Random text)、認證參數(shù)1(Result1)等參數(shù)��;101接入認證服務器根據(jù)網(wǎng)絡接入識別號判定用戶是否是漫游用戶���。接入認證服務器根據(jù)網(wǎng)絡接入識別號的后半部分判定是否是本網(wǎng)用戶�����;如屬本網(wǎng)用戶��,再根據(jù)網(wǎng)絡接入識別號的前半部分判定是否是本地用戶���;102
如該用戶屬漫游用戶,接入認證服務器把該用戶的認證信息轉(zhuǎn)發(fā)給其歸屬地�;103如該用戶屬本地用戶,接入認證服務器根據(jù)NAI值中的IMSI判別終端類型�;104如果該用戶屬單模用戶,接入認證服務器將采用MD5算法計算出認證參數(shù)2(Result2);105如果該用戶屬雙模用戶���,接入認證服務器將采用CAVE算法計算出認證參數(shù)2����,此時接入認證服務器通過前述方式得到SSD_A��,遠程認證請求消息中的隨機數(shù)中的32bit作為CAVE算法的隨機數(shù)����;106比較認證參數(shù)1和認證參數(shù)2;107如果二者相同�����,認證通過����,接入認證服務器向HRPD AN發(fā)送遠程認證請求接收消息;108如果二者不同���,認證失敗����,接入認證服務器向HRPD AN發(fā)送遠程認證請求拒絕消息。認證流程結(jié)束���。109發(fā)明效果由于現(xiàn)有的UIM卡僅支持CAVE算法���,如果cdma2000/HRPD雙模終端采用機卡分離的方式�����,需要有能夠支持CAVE和MD5認證算法的多模UIM卡����。在機卡分離手機中,UIM卡是用戶身份合法性的唯一標識�。如果在升級到HRPD網(wǎng)絡后用戶的UIM卡不能繼續(xù)使用,將會造成很大的浪費�����。并且�����,到運營商營業(yè)廳更換UIM卡也會對用戶帶來不便���。
因此�����,運營商在建設HRPD網(wǎng)絡時���,如何采用按本發(fā)明實現(xiàn)的HRPD認證服務器��,將能解決上述問題�。
權(quán)利要求
1.高速分組數(shù)據(jù)網(wǎng)中接入認證方法�����,包括步驟認證服務器利用接入認證請求消息判定用戶是否是漫游用戶��;認證服務器利用接入請求消息判定終端的類型�;若終端類型為cdma2000/HRPD雙模終端,認證服務器采用CAVE算法計算認證參數(shù)2�;若終端類型為HRPD單模終端,認證服務器采用MD5算法計算認證參數(shù)2���;比較認證參數(shù)2和終端送來的認證參數(shù)1�,如果相同�,則接入認證通過否則拒絕�����。
2.按權(quán)利要求1所述的方法����,其特征在于認證服務器判定用戶是否是漫游用戶的方法是根據(jù)接入請求消息中的NAI��;
3.按權(quán)利要求1所述的方法��,其特征在于認證服務器判定用戶是否是漫游用戶分兩種�;
4.權(quán)利要求3所述的方法�����,其特征在于認證服務器先根據(jù)NAI的后半部分即域名部分判定用戶是否是來自其他網(wǎng)的用戶�;
5.權(quán)利要求3所述的方法,其特征在于認證服務器再根據(jù)NAI中前半部分即IMSI判定用戶是否是異地用戶����;
6.權(quán)利要求3所述的方法,其特征在于認證服務器將把漫游用戶的接入請求消息轉(zhuǎn)發(fā)到其歸屬地的認證中心����;
7.權(quán)利要求1所述的方法����,其特征在于認證服務器判定終端類型分兩種情況��;
8.權(quán)利要求7所述的方法���,其特征在于運營商可以給單雙終端分別分配不同的IMSI號段�,認證服務器通過IMSI分屬的號段來判定終端類型��;
9.權(quán)利要求7所述的方法�����,其特征在于認證服務器也可以根據(jù)IMSI檢索認證服務器中預存的專門的標志位來判斷終端類型���;
10.按權(quán)利要求1所述的方法����,其特征在于認證服務器中CAVE算法所需的SSD_A來自于cdma2000網(wǎng)絡���。
11.權(quán)利要求10所述的方法��,其特征在于從cdma2000網(wǎng)絡獲得所述SSD_A的方式�;
12.按權(quán)利要求11所述的方法,其特征在于通過終端截取cdma2000網(wǎng)絡發(fā)來的隨機數(shù)RANDSSD��,并通過Chap Response消息中的Result域攜帶到認證服務器���,由認證服務器利用RANDSSD通過計算得到與cdma2000網(wǎng)絡相同的SSD_A的方式�����;
13.按權(quán)利要求11所述的方法���,其特征在于通過將認證服務器偽裝成cdma2000網(wǎng)絡中的VLR,在認證服務器和HLR/AC之間的建立ANSI-41MAP D接口��,并通過標準的ANSI-41消息實現(xiàn)與cdma2000網(wǎng)絡的SSD_A共享�����;
14.按權(quán)利要求13所述的方法���,其特征在于認證服務器應根據(jù)接入請求消息內(nèi)容構(gòu)造認證請求調(diào)用消息,并且需在消息的相應域中注明支持CAVE認證和SSD共享���,當認證請求返回結(jié)果消息中包含SSD參數(shù)時��,認證服務器將會提取SSD并存儲以用于執(zhí)行CAVE認證�����;
15.按權(quán)利要求1所述的方法����,其特征在于所述接入請求消息中包括參數(shù)域NAI、Random text�����、Result�����。對于雙模終端��,其中Result域中存儲由UIM卡通過CAVE算法計算出的認證參數(shù)1����;
16.按權(quán)利要求15所述的方法,其特征在于用戶NAI值由IMSI和域名組合而成���。
17.按權(quán)利要求1所述的方法�,其特征在于認證服務器執(zhí)行CAVE認證時的隨機數(shù)來自于接入請求消息中的Random text域中的32bit。
全文摘要
高速分組數(shù)據(jù)網(wǎng)中接入認證方法以及裝置�,認證服務器接收到HRPD AN發(fā)來的接入認證請求消息;認證服務器根據(jù)網(wǎng)絡接入識別號判定用戶是否是漫游用戶并把漫游用戶的認證信息轉(zhuǎn)發(fā)給其歸屬地�;如該用戶屬本地用戶,認證服務器根據(jù)NAI值中的IMSI判別終端類型�;對于單模用戶,認證服務器將采用MD5算法計算出認證參數(shù)2���;對于雙模用戶��,認證服務器將采用CAVE算法計算出認證參數(shù)2�����;比較認證參數(shù)1和認證參數(shù)2得出認證結(jié)果�。本發(fā)明解決同時接受cdma2000網(wǎng)絡于HRPD網(wǎng)絡服務的雙模終端的接入認證問題��,不需改變HRPD網(wǎng)消息流程�,即不需改動現(xiàn)有的HRPD接入網(wǎng)絡設備��,不需改變cdma2000網(wǎng)絡中使用的UIM卡����,認證服務器能實現(xiàn)雙模終端在HRPD網(wǎng)絡中的接入認證���,同時能兼容HRPD單模終端的接入認證。
文檔編號H04B7/26GK1662092SQ200410007550
公開日2005年8月31日 申請日期2004年2月27日 優(yōu)先權(quán)日2004年2月27日
發(fā)明者劉衛(wèi)民, 曹華俊, 楊光 申請人:北京三星通信技術(shù)研究有限公司, 三星電子株式會社