一种WLAN网络中实现EAP认证的方法技术

本发明专利技术公开了一种WLAN网络中实现EAP认证的方法，所述WLAN网络包括绑定有SIM卡或USIM卡的手机终端、无线AP、专用AAA服务器和专用认证服务器，手机终端与无线AP通信，无线AP与专用AAA服务器通信，专用AAA服务器与专用认证服务器通信，每个专用AAA用户在专用认证服务器上均存有IMSI、加密算法、算法标识和密钥信息。本发明专利技术的基于手机用户识别卡(SIM/USIM卡)的多组EAP‑SIM/AKA认证组合，是基于手机移动终端的WIFI认证，以EAP‑SIM/AKA为认证方式，在不影响SIM/USIM卡的标准鉴权命令所需的认证密钥及算法的情况下，使用SIM/USIM卡内其他密钥及算法，并自动完成WIFI认证、登录，具有操作简便，用户可无感知使用WIFI的特点，此外，避开了传统的指向移动运营商的HLR或HSS，为EAP‑SIM/AKA的普及推广提供便捷条件。

Method for implementing EAP authentication in WLAN network

The invention discloses a method for realizing EAP authentication in a WLAN network, the WLAN network has a mobile phone terminal, including binding SIM card or USIM card, AP wireless special AAA server and dedicated authentication server, mobile phone and wireless communication terminal AP, wireless AP and special AAA server, AAA server and the authentication server for special communication, each dedicated AAA users have IMSI, encryption algorithm, the algorithm identifies and key information in special authentication server. Mobile phone users based on the invention of the identification card (SIM/USIM card) of the group of EAP SIM/AKA certification portfolio, is the WIFI of the mobile terminal authentication based on mobile phone, using EAP SIM/AKA authentication in the authentication key and the algorithm does not affect the SIM/USIM card standard authentication commands required under the condition of using the SIM/USIM card and other key and the algorithm, and automatically complete the WIFI authentication, login, has the advantages of simple operation, the user can not use the WIFI perception characteristics, in addition, to avoid the traditional direction of mobile operators HLR or HSS, to provide convenient conditions for the popularization of SIM/AKA EAP.

【技术实现步骤摘要】
一种WLAN网络中实现EAP认证的方法
本专利技术涉及网络通信
，特别涉及一种WLAN网络中实现EAP认证的方法。
技术介绍
EAP协议(ExtensibleAuthenticationProtocol)是使用可扩展的身份验证协议的简称，是一序列验证方式的集合，以满足任何链路层的身份验证需求，支持多种链路曾认证方式。EAP协议是IEEE802.1x认证机制的核心，它将实现细节交由附属的EAPMethod协议完成，如何选取EAPMethod由认证系统特征决定。实现了EAP的扩展性及灵活性，EAP可以提供不同的方法分别支持PPP、以太网、无线局域网的链路验证。EAP-SIM/AKA(指EAP-SIM和EAP-AKA)是采用SIM/USIM卡作为EAP认证和密钥分发的机制(其中，SIM卡采用EAP-SIM认证机制，USIM卡采用EAP-AKA认证机制)。它是基于通用移动通讯系统(UniversalMobileTelecommunicationSystem简称UMTS)认证的基础上产生的。EAP-SIM/AKA在UMTS认证的基础上，提供了双向认证，只有服务器端和客户端相互认证通过后，服务器端才发送EAP-Success认证成功消息至客户端，客户端才可以接入网络。同时，EAP-SIM/AKA认证机制还支持通过多次认证机制，生成更强的回话密钥。RADIUS(RemoteAuthenticationDialInUserService)，远程用户拨号认证系统，是目前应用最广泛的AAA协议(AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务)。由于RADIUS协议简单明确，可扩展性强，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，认证是也支持采用RADIUS协议。EAP-SIM/AKA认证的工作原理是客户端(手机或者具有SIM卡读写接口设备)通过安全通道与支持802.1x的无线接入点(AP)去的联系，通过WLANAP连接到支持EAP-SIM/AKA认证协议的RADIUS服务器连接，然后通过专用通道与存储用户信息的HLR(HomeLocationRegister，归宿位置寄存器)或HSS(HomeSubscriberServer，服务器归属签约用户服务器)进行连接，完成一序列相互认证。目前SIM/USIM卡鉴权认证所使用的密钥KI，只存放在移动运营商的HLR或HSS，由于HLR或HSS存储着移动用户核心数据，移动运营商暂不对外开放，不利于EAP-SIM/AKA的普及推广；另一方面，直接使用HLR或HSS作为认证服务器，对交换网络带宽有较高的要求，此外，将导致HLR或HSS消息交互急剧增加，增加了HLR或HSS的负担，网络不稳定时或业务高峰时段，可能导致正常通话受到影响，甚至导致宕机。
技术实现思路
鉴于上述问题，本专利技术提供一种克服上述问题或者至少部分地解决上述问题的一种WLAN网络中实现EAP认证的方法，该方法利用EAP-SIM/AKA的认证机制，使得SIM/USIM卡除了支持标准SIM/USIM密钥和认证算法外，还支持其他密钥和认证算法，同时将认证系统指向新的专用认证服务器，避开了传统指向移动运营商的HLR或HSS，为EAP-SIM/AKA的普及推广提供便捷条件。本专利技术解决其技术问题所采用的技术方案是：一种WLAN网络中实现EAP认证的方法，所述WLAN网络包括绑定有SIM卡或USIM卡的手机终端、无线AP、专用AAA服务器和专用认证服务器，所述手机终端与所述无线AP通过EAP消息通信，所述无线AP与所述专用AAA服务器通过RADIUS消息通信，所述专用AAA服务器与所述专用认证服务器通过MAP消息通信，所述方法包括：所述手机终端发起EAP鉴权请求消息；所述无线AP对所述手机终端接入鉴权，将EAP鉴权请求消息发送到所专用AAA服务器；所述专用AAA服务器发送获取鉴权向量请求消息到所述专用认证服务器，所述获取鉴权向量请求消息携带移动用户识别号IMSI；所述专用认证服务器接收所述获取鉴权向量请求消息，判断本地是否存储有所述移动用户识别号IMSI，如果有，通过专用随机数产生模块生成挑战随机数RAND，再通过第一专用认证模块生成其他鉴权向量，并将鉴权向量发送到所述专用AAA服务器；所述专用AAA服务器通过所述无线AP发送携带有随机数RAND的鉴权挑战请求消息到所述手机终端，所述手机终端根据鉴权挑战消息中的RAND判断所述RAND是否为专用随机数，如果是，通过第二专用认证模块生成密钥对鉴权挑战请求消息进行验证，并通过所述AP返回鉴权挑战响应消息到所述专用AAA服务器。所述随机数RAND的长度为16个字节，包括如下字段：长度为2个字节的专用随机数标识、长度为1个字节的算法标识、长度为12的随机数字、长度为1的检验和。如果所述算法标识和所述检验和与预期值均符合时，判断所述RAND为专用随机数。如果所述RAND为不是专用随机数，说明鉴权挑战消息不是由专用AAA服务器发送过来的，所述手机终端将消息发送给GSM算法认证模块或UMTS算法认证模块处理。所述WLAN网络还包括HLR或HSS，如果所述专用认证服务器判断本地没有存储所述移动用户识别号IMSI，将所述获取鉴权向量请求消息转发给HLR或HSS。所述第一专用认证模块和第二专用认证模块包括有相同的认证算法，且SIM卡或USIM卡中存储的算法标识与所述专用认证服务器中存储的算法标识一致。所述第一专用认证模块和第二专用认证模块包括A3A8、AES、DES、TDES、RSA、MD5算法中的一种或几种。所述专用AAA服务器为RADIUS服务器。如果所述EAP鉴权请求消息由绑定有SIM卡的手机终端发起，所述鉴权向量为鉴权三元组，包括挑战随机数RAND、符号响应SRES和密钥Kc；所述其他鉴权向量包括符号响应SRES和密钥Kc；所述第二专用认证模块生成密钥对鉴权挑战请求消息中的消息鉴权码MAC进行验证。如果所述EAP鉴权请求消息由绑定有USIM卡的手机终端发起，所述鉴权向量为鉴权五元组，包括：挑战随机数RAND、预期响应XRES、完整性密钥IK、密钥CK和鉴权标记AUTH；所述其他鉴权向量包括预期响应XRES、完整性密钥IK、密钥CK和鉴权标记AUTH；所述第二专用认证模块生成密钥对鉴权挑战请求消息中的消息鉴权码MAC和鉴权标记AUTH进行验证。本专利技术所述的一种WLAN网络中实现EAP认证的方法，提供一种基于手机用户识别卡(SIM/USIM卡)的多组EAP-SIM/AKA认证组合，是基于手机移动终端的WIFI认证，以EAP-SIM/AKA为认证方式，在不影响SIM/USIM卡的标准鉴权命令所需的认证密钥及算法的情况下，使用SIM/USIM卡内其他密钥及算法，并自动完成WIFI认证、登录，具有操作简便，用户可无感知使用WIFI等特点。此外，本专利技术方法避开了传统指向移动运营商的HLR或HSS，为EAP-SIM/AKA本文档来自技高网...

【技术保护点】
一种WLAN网络中实现EAP认证的方法，所述WLAN网络包括绑定有SIM卡或USIM卡的手机终端、无线AP、专用AAA服务器和专用认证服务器，所述手机终端与所述无线AP通过EAP消息通信，所述无线AP与所述专用AAA服务器通过RADIUS消息通信，所述专用AAA服务器与所述专用认证服务器通过MAP消息通信，所述方法包括：所述手机终端发起EAP鉴权请求消息；所述无线AP对所述手机终端接入鉴权，将EAP鉴权请求消息发送到所专用AAA服务器；所述专用AAA服务器发送获取鉴权向量请求消息到所述专用认证服务器，所述获取鉴权向量请求消息携带移动用户识别号IMSI；其特征在于，还包括：所述专用认证服务器接收所述获取鉴权向量请求消息，判断本地是否存储有所述移动用户识别号IMSI，如果有，通过专用随机数产生模块生成挑战随机数RAND，再通过第一专用认证模块生成其他鉴权向量，并将鉴权向量发送到所述专用AAA服务器；所述专用AAA服务器通过所述无线AP发送携带有随机数RAND的鉴权挑战请求消息到所述手机终端，所述手机终端根据鉴权挑战消息中的RAND判断所述RAND是否为专用随机数，如果是，通过第二专用认证模块生成密钥对鉴权挑战请求消息进行验证，并通过所述AP返回鉴权挑战响应消息到所述专用AAA服务器。...

【技术特征摘要】
1.一种WLAN网络中实现EAP认证的方法，所述WLAN网络包括绑定有SIM卡或USIM卡的手机终端、无线AP、专用AAA服务器和专用认证服务器，所述手机终端与所述无线AP通过EAP消息通信，所述无线AP与所述专用AAA服务器通过RADIUS消息通信，所述专用AAA服务器与所述专用认证服务器通过MAP消息通信，所述方法包括：所述手机终端发起EAP鉴权请求消息；所述无线AP对所述手机终端接入鉴权，将EAP鉴权请求消息发送到所专用AAA服务器；所述专用AAA服务器发送获取鉴权向量请求消息到所述专用认证服务器，所述获取鉴权向量请求消息携带移动用户识别号IMSI；其特征在于，还包括：所述专用认证服务器接收所述获取鉴权向量请求消息，判断本地是否存储有所述移动用户识别号IMSI，如果有，通过专用随机数产生模块生成挑战随机数RAND，再通过第一专用认证模块生成其他鉴权向量，并将鉴权向量发送到所述专用AAA服务器；所述专用AAA服务器通过所述无线AP发送携带有随机数RAND的鉴权挑战请求消息到所述手机终端，所述手机终端根据鉴权挑战消息中的RAND判断所述RAND是否为专用随机数，如果是，通过第二专用认证模块生成密钥对鉴权挑战请求消息进行验证，并通过所述AP返回鉴权挑战响应消息到所述专用AAA服务器。2.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，所述随机数RAND的长度为16个字节，包括如下字段：长度为2个字节的专用随机数标识、长度为1个字节的算法标识、长度为12的随机数字、长度为1的检验和。3.根据权利要求2所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述算法标识和所述检验和与预期值均符合时，判断所述RAND为专用随机数。4.根据权利要求3所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述RAND为不是专用...

【专利技术属性】
技术研发人员：李健诚，范绍山，王勇城，洪加滨，
申请(专利权)人：厦门盛华电子科技有限公司，
类型：发明
国别省市：福建,35