本发明专利技术提出了一种Wi‑Fi无线节点入网方法和系统,主要在不改变现有无线网络接入点及其移动运营商网络接入控制器设备的条件下,采用本发明专利技术提出的Wi‑Fi节点入网系统对现有无线网络接入点通过基于认证和密钥分配协议EAP‑AKA和密钥交换协议IKEv2进行用户设备接入Wi‑Fi的认证,主要步骤为:(1)无线网络接入点和接入控制器通过EAP‑AKA/SIM建立安全信道IPsec;(2)AP利用核心网中的用户信息进行接入控制器辅助完成用户设备的入网认证。本发明专利技术与传统的使用EAP‑AKA的Wi‑Fi认证方法相比,提升了移动终端用户接入授信无线网络接入点的安全性能,同时降低了现有电信级WiFi站点部署的难度,具有安全、快速、便利的优点,有利于通过第三方部署开展移动宽带接入的场景。
【技术实现步骤摘要】
一种Wi-Fi无线节点入网方法及系统
本专利技术属于通信安全领域,涉及一种通过移动终端设备授信Wi-Fi节点接入互联网的认证方法及系统。
技术介绍
Wi-Fi接入网络是实现固网、移动网络的形成融合互补的有效方案,无线网络接入点即本文所述Wi-Fi节点。对于无线网络接入点的部署,需要跳出传统移动网络的观念,通过创新的业务模式和应用模式将移动业务主导的蜂窝基站和固定业务主导的Wi-Fi站点相结合,在互利共赢基础上探寻开放运营模式,使得Wi-Fi技术能作为一种更安全低廉的无线接入方案,提供高速数据无线接入,改善宏蜂窝网络的小区负荷,更重要得是可以增强用户综合感知度,使移动业务和宽带业务在市场竞争中相互促进相互支撑。近年来,无线互联网业务的迅猛发展,对无线宽带网络建设提出极大的带宽需求,相比于运营商现有部署的3G/4G无线宽带网络,Wi-Fi技术具有自组织、自动侦测、接入设备小、易于安装、接入成本低等综合优势,且回程线路多利用有线宽带,特别适合在局部区域部署吸收移动互联网中高速率低附加值业务,对现有的移动宽带网络进行分流吸热,提升移动宽带网络的流量营收附加值。虽然近年来Wi-Fi技术以其简便灵活易用在蜂窝网络吸热分流中的得到广泛应用,但是受网络安全和移动性制约,在电信级运营部署中一直未受到主力技术体制部署。与蜂窝宏基站不同,Wi-Fi接入点(AP)需要大量部署,一般通过固网运营商不可信的有线链路连接到互联网,这必然为运营商实现电信级Wi-Fi接入管理和运营带来诸多不便。一方面,Wi-Fi接入点部署在不可信的互联网环境中,极易受到恶意用户的攻击,并以Wi-Fi接入点为通道(例如伪接入点或者伪基站),进一步对UE造成网络安全威胁,另一方面,大量部署Wi-Fi接入点需要耗费运营商大量的人力物力,随着城市快速变化,第三方虚拟运营商大量兴起,如何促进虚拟运营商投入到Wi-Fi接入点建设,是关系到Wi-Fi能否成为一种新兴的虚拟运营商务模式的关键。虽然业界已经提出一系列基于SIM卡鉴权认证的Wi-Fi接入认证安全方案,但主要还是建立在基于安全接入链路和授信AP节点上的UE的接入鉴权,并没有完整的UE通过Wi-Fi接入点接入互联网的安全认证方法。本专利技术提出一种适合在无线业务热点快速部署的Wi-Fi节点通过电信网络认证接入互联网的方法及系统设备,基于此项技术,运营商可以基于Wi-Fi接入技术构建适合用户安全接入的无线局域网络,并且支持用户不受打扰的无缝接入,同时支持开展第三方合作部署的新运营模式。
技术实现思路
本专利技术针对现有技术中缺少完整的用户设备直接通过无线访问接入点接入互联网的安全认证方法,提出一种适合在无线业务热点快速部署的Wi-Fi节点通过电信网络认证接入互联网的方法及系统设备。本专利技术涉及使用的网络设备包括:用户设备,简称UE,一般指移动终端等网络用户侧接入设备,通过该设备用户访问网络,其用户身份信息为UID1。无线访问接入点设备,简称AP,一般指运营商部署的小型接入站点,UE通过该小型站点完成认证及必要的报文加密后,接入到网络,其用户身份信息为UID2。接入控制器设备,简称AC,一般指作为认证鉴权网关设备代表核心网对AP及UE进行接入认证与授权管理,认证通过后,指示AP为UE开放相关网络接入资源,从而确保用户能够安全接入到网络。AAA服务器,根据核心网网元HSS服务器所保留的用户签约数据库信息对AP和UE设备进行鉴权计算。归属用户服务器,简称HSS服务器,管理用户的各种签约数据。本专利技术通过在UE、AP和AAA服务器实体之间三方交互消息,传递携带证书性质的认证信息,进行AP与AAA、UE与AAA之间的双向认证,从而建立起面向UE的授信AP接入线路,既使UE可以无感知的接入该授信节点,同时也使得UE接入网络更加安全。具体方案如下:一种Wi-Fi无线节点入网方法,包括步骤S1,无线访问接入点通过接入控制器进行接入核心网认证,建立认证安全信道Ipsec,具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP-AKA/SIM的方式进行如下双向认证:(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权。(1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器。(1.3)AAA服务器检查无线访问接入点身份,并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1。(1.4)AAA服务器计算主密钥MK1并保存,建立与该主密钥MK1对应的无线访问接入点身份列表。(1.5)AAA服务器计算消息认证码MACserver,连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给无线访问接入点。(1.6)无线访问接入点用步骤(1.4)的方法分别计算主密钥MK1和主会话密钥MSK1并存储,计算响应XRES和消息认证码MACuser。(1.7)无线访问接入点验证步骤(1.5)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1.6)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器。(1.8)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK1发送给接入控制器。(1.9)无线访问接入点和接入控制器将主会话密钥MSK1作为种子,计算出子密钥MSK_S,无线访问接入点和接入控制器之间利用该子密钥进行安全通信。步骤S2,用户设备与无线访问接入点之间进行如下认证:(2.1)用户设备向无线访问接入点发起鉴权请求,无线访问接入点向用户设备发送EAPRequest/identity消息,用于请求用户设备的身份。(2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器。(2.3)AAA服务器对获得的用户设备身份进行检查,并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2。(2.4)AAA服务器计算主密钥:MK2=prf(Identity_UE|IK2|CK2)),并使用主密钥MK2生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity_UE是用户设备身份。(2.5)AAA服务器保存主密钥MK2,建立与该主密钥MK2对应的用户设备身份列表。(2.6)AAA服务器计算消息认证码MACserver,连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给用户设备。(2.7)用户设备用步骤(2.4)的方法分别计算主密钥MK2和主会话密钥MSK2,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser。(2.8)用户设备验证步骤(2.6)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(2.7)中得到的认证响应XRES和本文档来自技高网...
【技术保护点】
一种Wi‑Fi无线节点入网方法,包括如下步骤:步骤S1,无线访问接入点通过接入控制器进行接入核心网认证,建立认证安全信道Ipsec,具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP‑AKA/SIM的方式进行如下双向认证:(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权;(1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器;(1.3)AAA服务器检查无线访问接入点身份,并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1;(1.4)AAA服务器计算主密钥MK1并保存,建立与该主密钥MK1对应的无线访问接入点身份列表;(1.5)AAA服务器计算消息认证码MACserver,连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP‑Request/AKA(SIM)‑Challenge消息发送给无线访问接入点;(1.6)无线访问接入点用步骤(1.4)的方法分别计算主密钥MK1和主会话密钥MSK1并存储,计算响应XRES和消息认证码MACuser;(1.7)无线访问接入点验证步骤(1.5)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1.6)中得到的认证响应XRES和消息认证码MACuser,通过EAP‑Response/AKA‑Challenge消息发送给AAA服务器;(1.8)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP‑Success消息到无线访问接入点,并将主会话密钥MSK1发送给接入控制器;(1.9)无线访问接入点和接入控制器将主会话密钥MSK1作为种子,计算出子密钥MSK_S,无线访问接入点和接入控制器之间利用该子密钥进行安全通信;步骤S2,用户设备与无线访问接入点之间进行如下认证:(2.1)用户设备向无线访问接入点发起鉴权请求,无线访问接入点向用户设备发送EAPRequest /identity消息,用于请求用户设备的身份;(2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器;(2.3)AAA服务器对获得的用户设备身份进行检查,并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2;(2.4)AAA服务器计算主密钥:MK2= prf(Identity_UE|IK2|CK2) ),并使用主密钥MK2生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity _UE是用户设备身份;(2.5)AAA服务器保存主密钥MK2,建立与该主密钥MK2对应的用户设备身份列表;(2.6) AAA服务器计算消息认证码MACserver,连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP‑Request/AKA(SIM)‑Challenge消息发送给用户设备;(2.7) 用户设备用步骤(2. 4)的方法分别计算主密钥MK2和主会话密钥MSK2,并将这两个密钥存储后,计算认证响应XRES和消息认证码MACuser;(2.8) 用户设备验证步骤(2.6)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(2.7)中得到的认证响应XRES和消息认证码MACuser,通过EAP‑Response/AKA‑Challenge消息发送给AAA服务器;(2.9) AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP‑Success消息到无线访问接入点,并将主会话密钥MSK2发送给无线访问接入点;(2.10) 用户设备和无线访问接入点将主会话密钥MSK2作为种子,计算出子密钥MSK_U,用户设备和无线访问接入点之间利用该子密钥进行安全通信;(2.11)无线访问接入点在本地为用户设备分配IP地址,转发经MSK_U加密的EAP‑Success消息,通知用户设备鉴权成功。...
【技术特征摘要】
1.一种Wi-Fi无线节点入网方法,包括如下步骤:步骤S1,无线访问接入点通过接入控制器进行接入核心网认证,建立认证安全信道Ipsec,具体为无线访问接入点和接入控制器之间采用标准密钥交换协议IKEv2承载EAP-AKA/SIM的方式进行如下双向认证:(1.1)无线访问接入点和接入控制器通过初始交换信息进行接入鉴权;(1.2)无线访问接入点将SIM卡承载的身份信息通过接入控制器发送给AAA服务器;(1.3)AAA服务器检查无线访问接入点身份,并获取一组认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK1和完整性密钥IK1;(1.4)AAA服务器计算主密钥MK1并保存,建立与该主密钥MK1对应的无线访问接入点身份列表;(1.5)AAA服务器计算消息认证码MACserver,连同(1.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给无线访问接入点;(1.6)无线访问接入点用步骤(1.4)的方法分别计算主密钥MK1和主会话密钥MSK1并存储,计算响应XRES和消息认证码MACuser;(1.7)无线访问接入点验证步骤(1.5)接收到的消息认证码MACserver和挑战随机数RAND,验证通过后,将步骤(1.6)中得到的认证响应XRES和消息认证码MACuser,通过EAP-Response/AKA-Challenge消息发送给AAA服务器;(1.8)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser,如果验证通过,AAA发送EAP-Success消息到无线访问接入点,并将主会话密钥MSK1发送给接入控制器;(1.9)无线访问接入点和接入控制器将主会话密钥MSK1作为种子,计算出子密钥MSK_S,无线访问接入点和接入控制器之间利用该子密钥进行安全通信;步骤S2,用户设备与无线访问接入点之间进行如下认证:(2.1)用户设备向无线访问接入点发起鉴权请求,无线访问接入点向用户设备发送EAPRequest/identity消息,用于请求用户设备的身份;(2.2)用户设备将自己的身份信息通过无线访问接入点连接的接入控制器发送给AAA服务器;(2.3)AAA服务器对获得的用户设备身份进行检查,并从归属用户服务器服务器获取认证向量:挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK2和完整性密钥IK2;(2.4)AAA服务器计算主密钥:MK2=prf(Identity_UE|IK2|CK2)),并使用主密钥MK2生成主会话密钥MSK2,其中|表示比特串的链接,prf是伪随机函数,Identity_UE是用户设备身份;(2.5)AAA服务器保存主密钥MK2,建立与该主密钥MK2对应的用户设备身份列表;(2.6)AAA服务器计算消息认证码MACserver,连同(2.3)中得到的挑战随机数RAND、认证令牌AUTN通过EAP-Request/AKA(SIM)-Challenge消息发送给用户设备;(2.7)用户设备用步骤(2...
【专利技术属性】
技术研发人员:王燚,陈宇,罗凤娅,
申请(专利权)人:四川通信科研规划设计有限责任公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。