WLAN與2G／3G網絡融合統(tǒng)一認證流程規(guī)范

1、中國移動通信企業(yè)標準qb-中國移動wlan與2g/3g網絡融合統(tǒng)一認證流程規(guī)范（eap-sim/aka）cmcc 2g/3g system and wlan interworking authentication specification (eap-sim/aka)authentication divisionpdg division pdg division 版本號：0.3.0-實施-發(fā)布中國移動通信集團公司 發(fā)布目錄前 言i1.范圍12.規(guī)范性引用文件13.術語、定義和縮略語14.i-wlan認證系統(tǒng)結構14.1.i-wlan系統(tǒng)架構概述24.2.網絡功能實體44.2.1.i-wlan終

2、端44.2.2.pdg44.2.3.ttggpp aaa server54.2.5.hlr64.2.6.離線計費系統(tǒng)64.3.參考點64.3.1.wu接口64.3.2.wa接口64.3.3.wm接口64.3.4.d/gr接口74.3.5.bw接口74.3.6.wi接口74.3.7.wz接口74.3.8.ww接口74.3.9.gn接口74.4.認證的邏輯體系84.4.1.認證系統(tǒng)結構84.4.2.協(xié)議棧95.功能要求95.1.總體要求95.2.用戶標識定義(身份保護)95.3.技術流程115.3.1.總體接入流程115.3.2.全鑒權流程.eap-aka135.

3、3.2.2.eap-sim165.3.3.快速重鑒權流程.eap-aka.eap-sim215.3.4.密鑰協(xié)商.eap-aka.eap-sim.快速重建鑒權情況下的密鑰要求265.3.5.混合鑒權場景265.3.6.用戶下線流程2.主動下線2.網絡發(fā)起用戶下線2.異常下線286.接口要求286.1.wlan ue與wlan an間的接口ww接口286.2.wlan an與3gpp aaa server間的接口wa接口286.3.3gpp aaa serve

4、r與hlr間的接口d/gr接口297.編制歷史29前言本標準的目的是為中國移動通信集團公司設備引進、網絡規(guī)劃、設備制造、工程設計、網絡運行、管理和維護等方面提供技術依據。本標準包括的主要內容包括了設備在功能、性能、接口、操作維護、等方面的要求。本標準是wlan與2g/3g網絡融合系列標準之一，該系列標準的結構、名稱或預計的名稱如下：序號標準編號標準名稱1wlan與2g/3g網絡融合總體技術要求2wlan與2g/3g網絡融合pdg設備規(guī)范3wlan與2g/3g網絡融合ttg設備規(guī)范4wlan與2g/3g網絡融合安全隧道規(guī)范5wlan與2g/3g網絡融合計費規(guī)范6wlan與2g/3g網絡融合設備接

5、口規(guī)范7wlan與2g/3g網絡融合統(tǒng)一認證流程規(guī)范（eap-sim/aka）8wlan與2g/3g網絡融合3gpp aaa server規(guī)范本標準由中移號文件印發(fā)。本標準由中國移動通信集團計劃部提出，集團公司技術部歸口。本技術規(guī)范解釋權屬于中國移動通信集團公司。本標準起草單位：中國移動通信研究院。本標準主要起草人：劉利軍，王靜 1. 范圍本標準規(guī)定了中國移動i-wlan系統(tǒng)統(tǒng)一認證流程要求。適用于中國移動i-wlan系統(tǒng)核心網技術試驗，為設備引進、網絡規(guī)劃與設備制造、工程設計、網絡運行、管理和維護等提供技術依據。2. 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日

6、期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。圖表 21ts23.003numbering, addressing and identification3gppts23.060gprs; service description3gppts 23.2343gpp system to wireless local area network (wlan) interworking3gppts 23.836quality of service (qos)

7、and policy aspects of 3gpp - wirless local area network (wlan) interworking3gppts 24.2343gpp system to wireless local area network (wlan) interworking; wlan user equipment (wlan ue) to network protocols; stage 33gppts 29.2343gpp system to wireless local area network (wlan) interworking; stage 33gppt

8、s 32.252telecommunication management; charging management; wireless local area network (wlan) charging3gppts 33.2343g security; wireless local area network (wlan) interworking security3gpprfc 2403the use of hmac-md5-96 within esp and ahietfrfc 2404the use of hmac-sha-1-96 within esp and ahietfrfc 24

9、06ip encapsulating security payload (esp)ietfrfc 2410the null encryption algorithm and its use with ipsecietfrfc 2865remote authentication dial in user service (radius)ietfrfc 2866radius accountingietfrfc 3261sip: session initiation protocolietfrfc 3265session initiation protocol (sip)-specific even

10、t notificationietfrfc 3576dynamic authorization extensions to remote authentication dial in user service (radius)ietfrfc 3579radius (remote authentication dial in user service) support for extensible authentication protocol (eap)ietfrfc 3580ieee 802.1x remote authentication dial in user service (rad

11、ius) usage guidelinesietfrfc 3948udp encapsulation of ipsec esp packetsietfrfc 4186extensible authentication protocol method for global system for mobile communications (gsm) subscriber identity modules (eap-sim)ietfrfc 4187extensible authentication protocol method for 3rd generation authentication

12、and key agreement (eap-aka)ietfrfc 4282the network access identifierietfrfc 4284identity selection hints for the extensible authentication protocol (eap)ietfrfc 4306internet key exchange (ikev2) protocolietfrfc 4372 chargeable user identityietfrfc 4478repeated authentication in internet key exchange

13、 (ikev2) protocolietf3. 術語、定義和縮略語下列術語、定義和縮略語適用于本標準：圖表 31apnaccess point name接入點名akaauthentication and key agreement鑒權和密鑰協(xié)商cdrcall detail record呼叫詳細記錄cgcharging gateway 計費網關dhcpdynamic host configuration protocol動態(tài)主機配置協(xié)議dnsdomain name server域名服務器eapextensible authentication protocol擴展鑒權協(xié)議espencapsula

14、ting security payload安全封裝ggsngateway gprs support node網關gprs支持節(jié)點hlrhome location register歸屬位置寄存器ietfinternet engineering task force互聯網工程任務組ikev2internet key exchange version 2互聯網密鑰交換版本2imsiinternational mobile subscriber identity 國際移動用戶識別碼ipinternet protocol互聯網協(xié)議ipv4internet protocol version 4互聯網協(xié)議版

15、本4ipv6i-wlan internet protocol version 6interworking-wlan互聯網協(xié)議版本6互操作wlanmapmobile application part移動應用部分mccmobile country code移動國家號碼mncmobile network code移動網號mtpmessage transfer part消息傳輸部分pdnpacket data network 分組數據網pdgpacket data gateway分組數據網關pdppacket data protocol分組數據協(xié)議pspacket switched分組交換radius

16、remote authentication dial-in user service 遠端撥入用戶驗證服務simsubscriber identity module用戶標識模塊sipsession initiation protocol會話初始協(xié)議ttgtunnel termination gateway隧道終結網關udpuser datagram protocol用戶數據報協(xié)議4. i-wlan認證系統(tǒng)結構eap-aka/sim認證適用于基于(u)sim卡用戶接入網絡認證。wlan web認證適用于無(u)sim卡用戶接入網絡認證。4.1. i-wlan系統(tǒng)架構概述i-wlan系統(tǒng)定義了wl

17、an和中國移動2g/td互操作的網絡結構、業(yè)務流程和接口，從而將wlan網絡與2g/td網絡建立互通，使得終端能夠通過wlan可以訪問中國移動的分組域業(yè)務。 i-wlan系統(tǒng)網絡結構網絡部署時可以采用獨立pdg方式或采用ttg+ggsn方式，本規(guī)范這兩種方式分別說明。圖4-1 i-wlan系統(tǒng)結構示意圖-非漫游場景（pdg模式）圖4-2 i-wlan系統(tǒng)結構示意圖-非漫游場景（ttg模式）圖4-3 i-wlan系統(tǒng)結構示意圖-漫游場景（pdg模式）圖4-4 i-wlan系統(tǒng)結構示意圖-漫游場景（ttg模式）wlan系統(tǒng)在不改變現有的2g/td網絡和wlan網絡構架的前提下引入3gpp aaa

18、server和pdg/ttg設備，實現了基于2g/td網絡的接入控制和認證，并且ue可以通過wlan網絡接入pdg/ttg，從而訪問中國移動分組域業(yè)務。4.2. 網絡功能實體4.2.1. i-wlan終端i-wlan終端（下文簡稱ue）同時具備接入wlan和2g/td網絡的能力，其功能包括：l 接入wlan網絡l 基于eap-sim/aka方法進行接入鑒權l(xiāng) 構建nail 獲取本地地址（local ip address）l 構建一個合適的w-apn用于選擇外部網絡l 請求進行w-apn到pdg/ttg地址的解析l 與pdg/ttg之間建立安全隧道l 獲得遠端地址（remote ip addre

19、ss）l 支持ipv4地址、ipv6地址（可選）l 訪問中國移動分組域業(yè)務l 根據w-apn選擇不同的接入方式l 支持和pdg/ttg間nat穿越l 支持2g/3g與wlan之間自動選擇網絡和用戶自定義設置l 能夠識別中國移動wlan網絡和非中國移動wlan網絡，從而選中不同的認證過程，針對非中國移動wlan網絡只進行接入ps認證具體參考wlan與2g/3g網絡融合終端技術規(guī)范。4.2.2. pdgue需要通過pdg訪問中國移動分組域業(yè)務，包括以下功能：l 支持與ue協(xié)商隧道模式和安全套件l 支持和ue間的認證功能，在ue和3gpp aaa間轉發(fā)鑒權請求，接受或拒絕ue的認證請求l 根據3gp

20、p aaa server的授權結果判斷接受或拒絕ue的請求l 分配ue的遠端地址（remote ip address）或把外部網絡分配的ip地址轉發(fā)給uel 記錄ue的本地地址（local ip address），本地地址與遠端地址進行綁定/解綁定l 進行隧道封裝和解封裝l 保持接入ue的路由信息l 在外部數據網絡與ue之間路由數據l 產生用戶計費信息l 支持內容計費l 執(zhí)行diffserv功能l 支持業(yè)務控制功能l 支持和ue間的nat穿越具體參考wlan與2g/3g網絡融合pdg設備規(guī)范4.2.3. ttgttg主要完成用戶接入控制和隧道管理，包括以下功能：l 支持與ue協(xié)商隧道模式和安全

21、套件l 支持和ue間的認證功能, 在ue和3gpp aaa間轉發(fā)鑒權請求，接受或拒絕ue的認證請求l 根據3gpp aaa server的授權結果判斷接受或拒絕ue的請求l 記錄ue的本地地址（local ip address），本地地址與遠端地址進行綁定/解綁定l 進行隧道封裝和解封裝l 支持gn接口的pdp激活和去激活l 在ggsn與ue之間轉發(fā)數據l 產生用戶的計費信息（可選）l 執(zhí)行diffserv功能l 支持和ue間的nat穿越具體參考wlan與2g/3g網絡融合ttg設備規(guī)范4.2.4. 3gpp aaa server3gpp aaa server位于3gpp網絡。對于一個wlan

22、附著的用戶來說，只能有一個3gpp aaa server。其功能包括：l 支持eap-sim/aka認證，從hlr提取鑒權/授權信息和用戶簽約信息l 對簽約用戶進行認證l 向wlan an傳遞授權信息l 生成話單并向離線計費系統(tǒng)報告每個用戶的計費/統(tǒng)計信息l 向pdg/ttg傳遞授權信息l 當用戶停機時，根據hlr的要求中斷用戶連接l 支持hlr要求的取消過程l 如果使用靜態(tài)遠端ip地址分配，則向pdg/ttg提供從hlr接收的ue遠端ip地址具體參考wlan與2g/3g網絡融合3gpp aaa server規(guī)范4.2.5. hlrhlr位于簽約用戶的歸屬網絡，包含用戶簽約的數據，參考中國移動

23、hlr規(guī)范。4.2.6. 離線計費系統(tǒng)離線計費系統(tǒng)位于2g/td網絡，接入ps時，包括cg和計費中心，pdg或ggsn產生的話單通過cg傳送給計費中心，cg要具備wlan話單預處理能力，具體參考wlan與2g/3g網絡融合計費規(guī)范4.3. 參考點4.3.1. wu接口wu是ue和pdg/ttg之間的接口，用于ue接入ps核心網，包括ue與pdg/ttg之間的接入信令和端到端隧道。具體參考wlan與2g/3g網絡融合設備接口規(guī)范4.3.2. wa接口wa是wlan接入網和3gpp aaa server的接口，用戶ue接入wlan網絡時用來傳遞鑒權、授權和計費相關信息。具體參考wlan與2g/3g

24、網絡融合設備接口規(guī)范4.3.3. wm接口wm是3gpp aaa server和pdg/ttg之間的接口，用于ue接入ps核心網時，aaa server和pdg/ttg間傳遞鑒權、授權信息。具體參考wlan與2g/3g網絡融合設備接口規(guī)范4.3.4. d/gr接口d/gr是3gpp aaa server和hlr間的接口。主要用于3gpp aaa server從hlr提取鑒權向量、簽約用戶信息，是d/gr接口的子集。具體參考wlan與2g/3g網絡融合設備接口規(guī)范4.3.5. bw接口bw是3gpp aaa server和離線計費中心接口，用于傳送用戶接入wlan產生的相關計費數據。相關計費數據

25、可用于歸屬運營商生成離線計費賬單、對漫游用戶進行運營商間的結算等。具體參考wlan與2g/3g網絡融合設備接口規(guī)范4.3.6. wi接口wi是pdg和外部數據網絡的接口，用于pdg接入外部數據網絡，包括接入認證和授權，動態(tài)獲取ip地址，轉發(fā)數據業(yè)務。具體參考wlan與2g/3g網絡融合設備接口規(guī)范。4.3.7. wz接口wz接口是pdg和cg間的接口，用于傳遞計費信息。具體參考wlan與2g/3g網絡融合計費規(guī)范wlan與2g/3g網絡融合設備接口規(guī)范。4.3.8. ww接口ww是ue是wlan an之間的接口，用于傳輸ue接入wlan和分組域核心網的信令和業(yè)務。具體參考wlan與2g/3g網

26、絡融合設備接口規(guī)范。4.3.9. gn接口gn接口是ttg和ggsn之間的接口，用于ttg和ggsn見gtp通道的建立，釋放和控制等，是gn接口的子集。具體參考wlan與2g/3g網絡融合設備接口規(guī)范。4.4. 認證的邏輯體系4.4.1. 認證系統(tǒng)結構i-wlan接入認證體系架構基于802.1x認證體系架構（詳見ieee std 802.1x-2001），涉及到以下相關網元，示意如下：圖4-5 i-wlan接入認證體系架構1.wlan uewlan ue為i-wlan認證體系中的接入請求系統(tǒng)，用戶統(tǒng)一認證/接入ps域業(yè)務時，wlan ue發(fā)起eap鑒權請求。對應802.1x架構中的客戶端系統(tǒng)（

27、supplicant system）。2.wlan anwlan an在i-wlan認證系統(tǒng)中負責wlan ue統(tǒng)一認證場景的接入鑒權。對應802.1x架構中的認證者系統(tǒng)（authenticator system）。3.pdgpdg在i-wlan認證系統(tǒng)中負責wlan ue接入ps域業(yè)務的鑒權。對應802.1x架構中的認證者系統(tǒng)（authenticator system）。4.3gpp aaa server3gpp aaa server為i-wlan認證體系中用戶認證的執(zhí)行點，負責對wlan ue認證和授權功能，aaa認證和授權信息取自hlr。3gpp aaa server與hlr一起，對應8

28、02.1x架構中的認證服務器系統(tǒng)（authentication sever system）。5.hlrhlr在i-wlan網認證體系中負責用戶鑒權和簽約信息的存儲，與3gpp aaa server交互，完成鑒權和簽約信息的交互。4.4.2. 協(xié)議棧圖4-6 wlan an認證協(xié)議棧圖4-7 pdg/ttg認證協(xié)議棧5. 功能要求5.1. 總體要求wlan和2g/3g網絡的統(tǒng)一認證系統(tǒng)，基于802.1x認證架構和eap-sim/eap-aka鑒權方法實現wlan認證。本規(guī)范結合統(tǒng)一認證場景定義用戶eap鑒權協(xié)議和流程。eap鑒權流程也適用于接入ps域業(yè)務的用戶鑒權。5.2. 用戶標識定義(身份保

29、護)5.2.1. 總體描述基于eap的網絡認證使用網絡接入標識（network access identifier, nai）作為用戶標識。網絡接入標識包含用戶名（username）和域名（realm）兩部分。下面的描述中術語“身份”包含網絡接入標識的用戶名和域名兩部分，“用戶名”僅僅指網絡接入標識中用戶名部分。5.2.2. 網絡接入標識用戶名eap-aka/sim鑒權涉及三種類型的用戶名：1、永久用戶名2、偽隨機用戶名3、快速重鑒權用戶名偽隨機用戶名和快速重鑒權用戶名都是用臨時身份，使用意圖和使用方法兩者有區(qū)別。永久用戶名和偽隨機用戶名僅用于全鑒權，而快速重鑒權用戶名僅用于快速重鑒權。eap

30、-aka/sim中描述的永久用戶名從imsi中導出。ts 33.234 、ts 24.234 和ts 23.003 有詳細描述。偽隨機用戶名用于用戶身份保護。為保護用戶避免被未經授權的接入網絡跟蹤，在無線傳輸中需要使用偽隨機用戶名替代從imsi中導出的永久標識?？焖僦罔b權用戶名用于快速重鑒權。wlan ue必須使用之前分配的快速重鑒權身份進行快速重鑒權，且快速重鑒權身份標識只能使用一次。5.2.3. 歸屬域當wlan接入認證時，wlan ue需要按如下步驟從imsi中導出歸屬域信息。1、根據mnc采用了2位還是3位，從imsi中取起始的5或6位。（參見3gpp ts 31.102 , 3gpp

31、 ts 51.011 ），并將其分為mcc和mnc，如果mnc是2位的，則需要在其開始位置補0。2、從第一步中獲取的mcc和mnc生成 “mnc.mcc. 3” domain name。3、在域名開始位置為“wlan”標簽。wlan nai 域舉例：使用的imsi: 234150999999999;其中：mcc = 234;mnc = 15;msin = 0999999999生成歸屬域名為：: .5.2.4. 永久naiwlan ue支持從用戶imsi號碼中導出永久nai。用于wlan ue全鑒權流

32、程。當wlan ue首次接入網絡或本地沒有可用的偽隨機nai和快速重鑒權nai時，才使用永久nai接入。5.2.5. 偽隨機naii-wlan鑒權需要支持eap-aka/sim標識保密中的偽隨機nai功能。3gpp aaa server在全鑒權流程中生成并下發(fā)給wlan ue完整nai格式的偽隨機nai，用于wlan ue在后續(xù)的全鑒權中直接使用。5.2.6. 快速重鑒權naii-wlan鑒權需要支持eap-aka/sim標識保密中的快速重鑒權nai功能。3gpp aaa server在全鑒權流程和快速重鑒權流程中生成并下發(fā)給wlan ue完整nai格式的快速重鑒權標識，用于wlan ue在下

33、一次快速重鑒權中直接使用。5.2.7. 對于eap-aka/sim鑒權的nai的約定：永久nai：0, for eap aka , for eap sim authentication偽隨機nai：2, for eap aka , for eap sim authentication快速重鑒權nai

34、：4, for eap aka , for eap sim authentication注：l imsi、mnc、mcc、以及wlan域名的定義，詳細參考3gpp ts 23.003。l 針對三種nai采用固定前綴形式，用于區(qū)分鑒權方法和nai類型，方便aaa業(yè)務流程處理，并順從相關協(xié)議（相關協(xié)議參見rfc4186、rfc4187、3gpp ts 23.003）。l pseudonymusername和re-authenticationu

35、sername，為用戶接入認證成功后，為其提供認證的aaa給用戶分配的在aaa內部唯一的標識，定長16字符。l 偽隨機nai和快速重鑒權nai域名中的aaa，是負責為用戶提供認證aaa唯一標識符，全網aaa必須保證唯一，id全網統(tǒng)一分配，定長4個字符。舉例：用戶的imsi號碼為460001234567890，3gpp aaa server的編號為0000，三種nai的格式分別為l 永久nai：eap-aka：0460001234567890eap-sim：1460001234567890wlan.mnc000.mcc460.3

36、l 偽隨機nai：eap-aka：20123456789abcdefeap-sim：30123456789abcdefl 快速重鑒權nai：eap-aka：40123456789abcdefeap-sim：50123456789abcdefaaa0000.wlan.mnc000.mcc460.3gppnetwork.o

37、rg5.3. 技術流程5.3.1. 總體接入流程統(tǒng)一認證接入包括802.11建立關聯、認證、dhcp地址分配、ue與ac保活、計費、網絡退出幾個階段。總體接入流程如下圖描述：圖5-1 統(tǒng)一認證總體接入流程5.3.2. 全鑒權流程. eap-aka圖5-2 eap-aka全鑒權流程1) wlan ue 和 wlan an建立關聯之后，ue向wlan an發(fā)送eapol-start，發(fā)起鑒權請求。2）wlan an發(fā)送eap-request/identity消息到wlan ue。3）wlan ue 回復eap-response/identity消息，向網絡發(fā)送其用戶身份標識信息，身份

38、標識可以為偽隨機nai或永久nai。4）wlan an將eap報文使用radius access-request消息封裝，并將identity放在radius的user-name屬性中，發(fā)送給3gpp aaa server。5）3gpp aaa server收到包含用戶身份的eap-response/identity報文。6）3gpp aaa server識別出用戶準備使用的認證方法為eap-aka。如果ue送上的identity為偽隨機nai，3gpp aaa server檢查本地沒有該偽隨機nai與imsi的映射關系，則使用eap request/aka-identity消息再次請求永久n

39、ai（6、7、8、9步僅用于wlan ue漫游到新的拜訪地而使用其他aaa分配的偽隨機nai接入認證的場景）。eap報文封裝在radius access-challenge消息中，發(fā)送給wlan an。7）wlan an轉發(fā)eap-request/aka-identity消息到wlan ue。8）wlan ue使用eap-response/aka-identity消息攜帶永久nai進行響應9）wlan an轉發(fā)eap-response/aka-identity消息攜帶永久nai到3gpp aaa server，eap報文封裝在radius access-request消息中。10）3gpp a

40、aa server檢查本地是否緩存可用的鑒權向量，如果沒有則向hlr發(fā)送map_send_auth_info請求，請求獲取n組鑒權向量（n可配置，取值范圍15）。11）hlr響應3gpp aaa server鑒權請求，下發(fā)n組鑒權五元組。12）3gpp aaa server檢查本地是否存在用戶的簽約信息。如果沒有，則aaa向hlr發(fā)起map_update_gprs_loc或map-restore-data(可通過配置開關進行控制，詳見wlan與2g/3g網絡融合3gpp aaa server規(guī)范)請求，獲取用戶簽約信息。13）hlr向3gpp aaa server發(fā)起插入用戶數據map_ins

41、ert_subs_data請求，向3gpp aaa server插入數據。14）3gpp aaa server響應hlr插入用戶數據消息，完成用戶簽約信息獲取。15)hlr向3gpp aaa server回復map_update_gprs_loc或map-restore-data(可通過配置開關進行控制，詳見wlan與2g/3g網絡融合3gpp aaa server規(guī)范)響應消息，完成hlr的交互流程。16）3gpp aaa server檢查用戶簽約通過后，根據算法生成teks、msk和emsk（參見ietf rfc 4187）。為支持標識保密功能，aaa server還要生成偽隨機nai和快

42、速重鑒權nai，用于后續(xù)的全鑒權和快速重鑒權過程。17）3gpp aaa server在eap-request/aka-challenge消息中發(fā)送rand，auth, 一個消息鑒權碼（mac）和2個用戶標識（偽隨機nai和快速重鑒權nai）給wlan an，eap報文封裝在radius access-challenge消息中。3gpp aaa server可選發(fā)送給wlan ue一個指示。指出希望保護最后的成功結果消息（如果結果成功）。18）wlan an轉發(fā)eap-request/aka-challenge消息到wlan ue。19）wlan ue運行usim中umts算法。usim驗證a

43、utn并且據此認證網絡。如果autn驗證錯誤，終端拒絕鑒權（未在本例中顯示）。如果序列號驗證失敗，終端發(fā)起同步過程。參見ietf rfc 4187。重同步過程如下：a、usim計算根據ki、sqn、amf以及隨機數rand通過f1star計算macs，macs和sqn一起組成auts。然后向3gpp aaa server發(fā)送鑒權失敗消息，帶有參數auts。b、3gpp aaa server收到帶有auts參數的鑒權失敗消息后，發(fā)現是重同步過程，就向hlr/auc索取新的鑒權向量。c、hlr收到3gpp aaa server的索取鑒權向量請求后，發(fā)現是重同步過程，就轉入同步過程的處理。首先驗證s

44、qn是否在正確的范圍內，即下一個產生的序列碼sqn是否能被usim接受。如果sqn在正確的范圍內，那么hlr/auc產生一批新的鑒權向量并把它發(fā)送給3gpp aaa server。如果sqn不在正確的范圍內，則hlr/auc根據ki、sqn、amf、rand通過f1star算法計算并驗證xmacs。如果xmacs=macs，則把sqnms的值賦給sqnhe，然后產生一批新的鑒權向量并把它發(fā)送給3gpp aaa server。d、3gpp aaa server重新向ms發(fā)起一個鑒權流程，處理同正常的鑒權過程。如果autn驗證正確，usim計算res,ik和ck。wlan ue從由usim新計算出

45、的ik和ck推導出新的附加密鑰素材。用新導出的密鑰素材檢查收到的mac。如果收到受保護的偽隨機身份和快速重鑒權身份，wlan ue保存這些臨時身份用于后續(xù)鑒權。20）wlan ue 使用新密鑰素材覆蓋整個eap消息計算新消息認證碼（message authentication code，mac）值。wlan ue發(fā)送包含res和新消息認證碼的eap response/aka-challenge消息給wlan an。如果wlan ue從3gpp aaa server收到認證結果保護指示，則wlan ue必須在此消息中包含結果指示。否則wlan ue必須忽略該指示。21) wlan an發(fā)送eap

46、-response/aka-challenge報文到3gpp aaa server，eap報文封裝在radius access-request消息中。22）3gpp aaa server檢查收到的消息認證碼（mac）比較xres和收到res。23）如果所有檢查都成功，且3gpp aaa server之前發(fā)送過認證結果保護標識，則3gpp aaa server必須在發(fā)送eap success消息前發(fā)送eap-request/aka-notification消息。eap報文封裝在radius access-challenge消息中，且用mac保護。24）wlan an轉發(fā)eap消息到wlan ue

47、。25）wlan ue發(fā)送eap-response/aka-notification。26）wlan an發(fā)送eap-response/aka-notification 消息到3gpp aaa server，eap報文封裝在radius access-request消息中。3gpp aaa server必須忽略該消息內容。27) 3gpp aaa server發(fā)送eap success消息到wlan an (可能在發(fā)送eap-notification之前，參見第23步描述)。如果3gpp aaa server產生了額外的用于wlanan和wlan ue間鏈路保護的機密性和/或完整性保護的鑒權密

48、鑰，3gpp aaa server在radius access-accept消息中包含這些密鑰素材（wlan an存儲密鑰信息，暫不使用）。28）wlan an通過eap success消息通知wlan ue鑒權成功。至此，eap-aka交互已經成功完成。 認證處理可能在任何時候失敗，例如由于消息校驗碼檢查失敗或者wlan ue沒有對網絡請求給予響應。這種情況下eap-aka過程將按ietf rfc 4187中描述終止。. eap-sim圖5-3 eap-sim全鑒權流程1) wlan ue 和 wlan an建立關聯之后，ue向wlan an發(fā)送eapol-start，發(fā)起鑒權

49、請求。2）wlan an發(fā)送 eap-request/identity消息到wlan ue。3）wlan ue回復eap-response/identity消息，向網絡發(fā)送其用戶身份標識信息，身份標識可以為偽隨機nai或永久nai。4）wlan an將eap報文使用radius access-request消息封裝，并將identity放在radius的user-name屬性中，發(fā)送給3gpp aaa server。5）3gpp aaa server收到包含用戶身份的eap-response/identity報文。6）3gpp aaa server識別出用戶準備使用的認證方法為eap-sim。

50、如果ue送上的identity為偽隨機nai，3gpp aaa server檢查本地沒有該偽隨機nai與imsi的映射關系，則使用eap request/sim-start消息再次請求永久nai（6、7、8、9步僅用于wlan ue漫游到新的拜訪地而使用其他aaa分配的偽隨機nai接入認證的場景）。eap報文封裝在radius access-challenge消息中，發(fā)送給wlan an。7）wlan an轉發(fā)eap-request/sim-start消息到wlan ue。8）wlan ue使用eap-response/sim-start消息攜帶永久nai進行響應9）wlan an轉發(fā)eap-

51、response/sim-start消息攜帶永久nai到3gpp aaa server，eap報文封裝在radius access-request消息中。10）3gpp aaa server檢查本地是否緩存可用的鑒權向量，如果沒有則向hlr發(fā)送map_send_auth_info請求，請求獲取n組鑒權向量（n可配置，取值范圍15）。11）hlr響應3gpp aaa server鑒權請求，下發(fā)n組鑒權三元組。12）3gpp aaa server檢查本地是否存在用戶的簽約信息。如果沒有，則aaa向hlr發(fā)起map_update_gprs_loc或map-restore-data(可通過配置開關進行

52、控制，詳見wlan與2g/3g網絡融合3gpp aaa server規(guī)范)請求，獲取用戶簽約信息。13）hlr向3gpp aaa server發(fā)起插入用戶數據map_insert_subs_data請求，向3gpp aaa server插入數據。14）3gpp aaa server響應hlr插入用戶數據消息，完成用戶簽約信息獲取。15）hlr向3gpp aaa server回復map_update_gprs_loc或map-restore-data(可通過配置開關進行控制，詳見wlan與2g/3g網絡融合3gpp aaa server規(guī)范)響應消息，完成hlr的交互流程。16）3gpp aaa

53、 server檢查用戶簽約通過后，根據算法生成teks、msk和emsk（參見ietf rfc 4186），將m組（默認m=2，可配置，同步設備規(guī)范）rand串起來后生成一個n*rand。為支持標識保密功能，aaa server還要生成偽隨機nai和快速重鑒權nai，用于后續(xù)的全鑒權和快速重鑒權過程。17）3gpp aaa server在eap-request/sim-challenge消息中發(fā)送rand，一個消息鑒權碼（mac）和2個用戶標識（偽隨機nai和快速重鑒權nai）給wlan an，eap報文封裝在radius access-challenge消息中。3gpp aaa server

54、可選發(fā)送給wlan ue一個指示。指出希望保護最后的成功結果消息（如果結果成功）。18）wlan an轉發(fā)eap request/sim-challenge消息到wlan ue。19）wlan ue根據每個rand為128bit，解析出m個rand，依據gsm算法得出k_sres，k_int，k_ency，session_key，并且用k_int得出at_mac，和接收到的at_mac進行比較，如果一致，表示aaa server認證通過。再利用k_sres作為key用規(guī)定的算法生成mac_sres。20）wlan ue 使用新密鑰素材覆蓋整個eap消息計算新消息認證碼（message authentication code，mac）值。wlan ue發(fā)送包含res和新消息認證碼的eap response/sim/challenge消息給wlan an。如果wlan ue從3gpp aaa server收到認證結果保護指示，則wlan ue必須在此消息中包含結果指示。否則wlan ue必須忽略該指示。21）wlan an發(fā)送eap respons