WLAN與2G／3G網(wǎng)絡(luò)融合統(tǒng)一認(rèn)證流程規(guī)范

1、qb-中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn)qb-中國(guó)移動(dòng)wlan與2g/3g網(wǎng)絡(luò)融合統(tǒng)一認(rèn)證流程規(guī)范（eap-sim/aka）cmcc 2g/3g system and wlan interworking authentication specification (eap-sim/aka)authentication divisionpdg division pdg division 版本號(hào)：0.3.0-實(shí)施-發(fā)布中國(guó)移動(dòng)通信集團(tuán)公司 發(fā)布目錄前 言i1.范圍12.規(guī)范性引用文件13.術(shù)語(yǔ)、定義和縮略語(yǔ)14.i-wlan認(rèn)證系統(tǒng)結(jié)構(gòu)14.1.i-wlan系統(tǒng)架構(gòu)概述24.2.網(wǎng)絡(luò)功能實(shí)體44.2.1.i-wl

2、an終端44.2.2.pdg44.2.3.ttggpp aaa server54.2.5.hlr64.2.6.離線計(jì)費(fèi)系統(tǒng)64.3.參考點(diǎn)64.3.1.wu接口64.3.2.wa接口64.3.3.wm接口64.3.4.d/gr接口74.3.5.bw接口74.3.6.wi接口74.3.7.wz接口74.3.8.ww接口74.3.9.gn接口74.4.認(rèn)證的邏輯體系84.4.1.認(rèn)證系統(tǒng)結(jié)構(gòu)84.4.2.協(xié)議棧95.功能要求95.1.總體要求95.2.用戶標(biāo)識(shí)定義(身份保護(hù))95.3.技術(shù)流程115.3.1.總體接入流程115.3.2.全鑒權(quán)流程.eap-aka1

3、.eap-sim165.3.3.快速重鑒權(quán)流程.eap-aka.eap-sim215.3.4.密鑰協(xié)商.eap-aka.eap-sim.快速重建鑒權(quán)情況下的密鑰要求265.3.5.混合鑒權(quán)場(chǎng)景265.3.6.用戶下線流程2.主動(dòng)下線2.網(wǎng)絡(luò)發(fā)起用戶下線2.異常下線286.接口要求286.1.wlan ue與wlan an間的接口ww接口286.2.wlan an與3gpp aaa server間的接口wa接口286.3.3gpp aaa se

4、rver與hlr間的接口d/gr接口297.編制歷史29i前言本標(biāo)準(zhǔn)的目的是為中國(guó)移動(dòng)通信集團(tuán)公司設(shè)備引進(jìn)、網(wǎng)絡(luò)規(guī)劃、設(shè)備制造、工程設(shè)計(jì)、網(wǎng)絡(luò)運(yùn)行、管理和維護(hù)等方面提供技術(shù)依據(jù)。本標(biāo)準(zhǔn)包括的主要內(nèi)容包括了設(shè)備在功能、性能、接口、操作維護(hù)、等方面的要求。本標(biāo)準(zhǔn)是wlan與2g/3g網(wǎng)絡(luò)融合系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)、名稱或預(yù)計(jì)的名稱如下：序號(hào)標(biāo)準(zhǔn)編號(hào)標(biāo)準(zhǔn)名稱1wlan與2g/3g網(wǎng)絡(luò)融合總體技術(shù)要求2wlan與2g/3g網(wǎng)絡(luò)融合pdg設(shè)備規(guī)范3wlan與2g/3g網(wǎng)絡(luò)融合ttg設(shè)備規(guī)范4wlan與2g/3g網(wǎng)絡(luò)融合安全隧道規(guī)范5wlan與2g/3g網(wǎng)絡(luò)融合計(jì)費(fèi)規(guī)范6wlan與2g/3g網(wǎng)絡(luò)融

5、合設(shè)備接口規(guī)范7wlan與2g/3g網(wǎng)絡(luò)融合統(tǒng)一認(rèn)證流程規(guī)范（eap-sim/aka）8wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范本標(biāo)準(zhǔn)由中移號(hào)文件印發(fā)。本標(biāo)準(zhǔn)由中國(guó)移動(dòng)通信集團(tuán)計(jì)劃部提出，集團(tuán)公司技術(shù)部歸口。本技術(shù)規(guī)范解釋權(quán)屬于中國(guó)移動(dòng)通信集團(tuán)公司。本標(biāo)準(zhǔn)起草單位：中國(guó)移動(dòng)通信研究院。本標(biāo)準(zhǔn)主要起草人：劉利軍，王靜 qb-1. 范圍本標(biāo)準(zhǔn)規(guī)定了中國(guó)移動(dòng)i-wlan系統(tǒng)統(tǒng)一認(rèn)證流程要求。適用于中國(guó)移動(dòng)i-wlan系統(tǒng)核心網(wǎng)技術(shù)試驗(yàn)，為設(shè)備引進(jìn)、網(wǎng)絡(luò)規(guī)劃與設(shè)備制造、工程設(shè)計(jì)、網(wǎng)絡(luò)運(yùn)行、管理和維護(hù)等提供技術(shù)依據(jù)。2. 規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的

6、條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。圖表 21ts23.003numbering, addressing and identification3gppts23.060gprs; service description3gppts 23.2343gpp system to wireless local area network (wlan) interworking3gppts 23.836quality of service

7、 (qos) and policy aspects of 3gpp - wirless local area network (wlan) interworking3gppts 24.2343gpp system to wireless local area network (wlan) interworking; wlan user equipment (wlan ue) to network protocols; stage 33gppts 29.2343gpp system to wireless local area network (wlan) interworking; stage

8、 33gppts 32.252telecommunication management; charging management; wireless local area network (wlan) charging3gppts 33.2343g security; wireless local area network (wlan) interworking security3gpprfc 2403the use of hmac-md5-96 within esp and ahietfrfc 2404the use of hmac-sha-1-96 within esp and ahiet

9、frfc 2406ip encapsulating security payload (esp)ietfrfc 2410the null encryption algorithm and its use with ipsecietfrfc 2865remote authentication dial in user service (radius)ietfrfc 2866radius accountingietfrfc 3261sip: session initiation protocolietfrfc 3265session initiation protocol (sip)-specif

10、ic event notificationietfrfc 3576dynamic authorization extensions to remote authentication dial in user service (radius)ietfrfc 3579radius (remote authentication dial in user service) support for extensible authentication protocol (eap)ietfrfc 3580ieee 802.1x remote authentication dial in user servi

11、ce (radius) usage guidelinesietfrfc 3948udp encapsulation of ipsec esp packetsietfrfc 4186extensible authentication protocol method for global system for mobile communications (gsm) subscriber identity modules (eap-sim)ietfrfc 4187extensible authentication protocol method for 3rd generation authenti

12、cation and key agreement (eap-aka)ietfrfc 4282the network access identifierietfrfc 4284identity selection hints for the extensible authentication protocol (eap)ietfrfc 4306internet key exchange (ikev2) protocolietfrfc 4372 chargeable user identityietfrfc 4478repeated authentication in internet key e

13、xchange (ikev2) protocolietf3. 術(shù)語(yǔ)、定義和縮略語(yǔ)下列術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本標(biāo)準(zhǔn)：圖表 31apnaccess point name接入點(diǎn)名akaauthentication and key agreement鑒權(quán)和密鑰協(xié)商cdrcall detail record呼叫詳細(xì)記錄cgcharging gateway 計(jì)費(fèi)網(wǎng)關(guān)dhcpdynamic host configuration protocol動(dòng)態(tài)主機(jī)配置協(xié)議dnsdomain name server域名服務(wù)器eapextensible authentication protocol擴(kuò)展鑒權(quán)協(xié)議espen

14、capsulating security payload安全封裝ggsngateway gprs support node網(wǎng)關(guān)gprs支持節(jié)點(diǎn)hlrhome location register歸屬位置寄存器ietfinternet engineering task force互聯(lián)網(wǎng)工程任務(wù)組ikev2internet key exchange version 2互聯(lián)網(wǎng)密鑰交換版本2imsiinternational mobile subscriber identity 國(guó)際移動(dòng)用戶識(shí)別碼ipinternet protocol互聯(lián)網(wǎng)協(xié)議ipv4internet protocol version

15、4互聯(lián)網(wǎng)協(xié)議版本4ipv6i-wlan internet protocol version 6interworking-wlan互聯(lián)網(wǎng)協(xié)議版本6互操作wlanmapmobile application part移動(dòng)應(yīng)用部分mccmobile country code移動(dòng)國(guó)家號(hào)碼mncmobile network code移動(dòng)網(wǎng)號(hào)mtpmessage transfer part消息傳輸部分pdnpacket data network 分組數(shù)據(jù)網(wǎng)pdgpacket data gateway分組數(shù)據(jù)網(wǎng)關(guān)pdppacket data protocol分組數(shù)據(jù)協(xié)議pspacket switched分組交

16、換radiusremote authentication dial-in user service 遠(yuǎn)端撥入用戶驗(yàn)證服務(wù)simsubscriber identity module用戶標(biāo)識(shí)模塊sipsession initiation protocol會(huì)話初始協(xié)議ttgtunnel termination gateway隧道終結(jié)網(wǎng)關(guān)udpuser datagram protocol用戶數(shù)據(jù)報(bào)協(xié)議4. i-wlan認(rèn)證系統(tǒng)結(jié)構(gòu)eap-aka/sim認(rèn)證適用于基于(u)sim卡用戶接入網(wǎng)絡(luò)認(rèn)證。wlan web認(rèn)證適用于無(wú)(u)sim卡用戶接入網(wǎng)絡(luò)認(rèn)證。4.1. i-wlan系統(tǒng)架構(gòu)概述i-wlan

17、系統(tǒng)定義了wlan和中國(guó)移動(dòng)2g/td互操作的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)流程和接口，從而將wlan網(wǎng)絡(luò)與2g/td網(wǎng)絡(luò)建立互通，使得終端能夠通過(guò)wlan可以訪問(wèn)中國(guó)移動(dòng)的分組域業(yè)務(wù)。 i-wlan系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)部署時(shí)可以采用獨(dú)立pdg方式或采用ttg+ggsn方式，本規(guī)范這兩種方式分別說(shuō)明。圖4-1 i-wlan系統(tǒng)結(jié)構(gòu)示意圖-非漫游場(chǎng)景（pdg模式）圖4-2 i-wlan系統(tǒng)結(jié)構(gòu)示意圖-非漫游場(chǎng)景（ttg模式）圖4-3 i-wlan系統(tǒng)結(jié)構(gòu)示意圖-漫游場(chǎng)景（pdg模式）圖4-4 i-wlan系統(tǒng)結(jié)構(gòu)示意圖-漫游場(chǎng)景（ttg模式）wlan系統(tǒng)在不改變現(xiàn)有的2g/td網(wǎng)絡(luò)和wlan網(wǎng)絡(luò)構(gòu)架的前提下引入3g

18、pp aaa server和pdg/ttg設(shè)備，實(shí)現(xiàn)了基于2g/td網(wǎng)絡(luò)的接入控制和認(rèn)證，并且ue可以通過(guò)wlan網(wǎng)絡(luò)接入pdg/ttg，從而訪問(wèn)中國(guó)移動(dòng)分組域業(yè)務(wù)。4.2. 網(wǎng)絡(luò)功能實(shí)體4.2.1. i-wlan終端i-wlan終端（下文簡(jiǎn)稱ue）同時(shí)具備接入wlan和2g/td網(wǎng)絡(luò)的能力，其功能包括：l 接入wlan網(wǎng)絡(luò)l 基于eap-sim/aka方法進(jìn)行接入鑒權(quán)l(xiāng) 構(gòu)建nail 獲取本地地址（local ip address）l 構(gòu)建一個(gè)合適的w-apn用于選擇外部網(wǎng)絡(luò)l 請(qǐng)求進(jìn)行w-apn到pdg/ttg地址的解析l 與pdg/ttg之間建立安全隧道l 獲得遠(yuǎn)端地址（remote i

19、p address）l 支持ipv4地址、ipv6地址（可選）l 訪問(wèn)中國(guó)移動(dòng)分組域業(yè)務(wù)l 根據(jù)w-apn選擇不同的接入方式l 支持和pdg/ttg間nat穿越l 支持2g/3g與wlan之間自動(dòng)選擇網(wǎng)絡(luò)和用戶自定義設(shè)置l 能夠識(shí)別中國(guó)移動(dòng)wlan網(wǎng)絡(luò)和非中國(guó)移動(dòng)wlan網(wǎng)絡(luò)，從而選中不同的認(rèn)證過(guò)程，針對(duì)非中國(guó)移動(dòng)wlan網(wǎng)絡(luò)只進(jìn)行接入ps認(rèn)證具體參考wlan與2g/3g網(wǎng)絡(luò)融合終端技術(shù)規(guī)范。4.2.2. pdgue需要通過(guò)pdg訪問(wèn)中國(guó)移動(dòng)分組域業(yè)務(wù)，包括以下功能：l 支持與ue協(xié)商隧道模式和安全套件l 支持和ue間的認(rèn)證功能，在ue和3gpp aaa間轉(zhuǎn)發(fā)鑒權(quán)請(qǐng)求，接受或拒絕ue的認(rèn)證請(qǐng)求

20、l 根據(jù)3gpp aaa server的授權(quán)結(jié)果判斷接受或拒絕ue的請(qǐng)求l 分配ue的遠(yuǎn)端地址（remote ip address）或把外部網(wǎng)絡(luò)分配的ip地址轉(zhuǎn)發(fā)給uel 記錄ue的本地地址（local ip address），本地地址與遠(yuǎn)端地址進(jìn)行綁定/解綁定l 進(jìn)行隧道封裝和解封裝l 保持接入ue的路由信息l 在外部數(shù)據(jù)網(wǎng)絡(luò)與ue之間路由數(shù)據(jù)l 產(chǎn)生用戶計(jì)費(fèi)信息l 支持內(nèi)容計(jì)費(fèi)l 執(zhí)行diffserv功能l 支持業(yè)務(wù)控制功能l 支持和ue間的nat穿越具體參考wlan與2g/3g網(wǎng)絡(luò)融合pdg設(shè)備規(guī)范4.2.3. ttgttg主要完成用戶接入控制和隧道管理，包括以下功能：l 支持與ue協(xié)商

21、隧道模式和安全套件l 支持和ue間的認(rèn)證功能, 在ue和3gpp aaa間轉(zhuǎn)發(fā)鑒權(quán)請(qǐng)求，接受或拒絕ue的認(rèn)證請(qǐng)求l 根據(jù)3gpp aaa server的授權(quán)結(jié)果判斷接受或拒絕ue的請(qǐng)求l 記錄ue的本地地址（local ip address），本地地址與遠(yuǎn)端地址進(jìn)行綁定/解綁定l 進(jìn)行隧道封裝和解封裝l 支持gn接口的pdp激活和去激活l 在ggsn與ue之間轉(zhuǎn)發(fā)數(shù)據(jù)l 產(chǎn)生用戶的計(jì)費(fèi)信息（可選）l 執(zhí)行diffserv功能l 支持和ue間的nat穿越具體參考wlan與2g/3g網(wǎng)絡(luò)融合ttg設(shè)備規(guī)范4.2.4. 3gpp aaa server3gpp aaa server位于3gpp網(wǎng)絡(luò)。對(duì)

22、于一個(gè)wlan附著的用戶來(lái)說(shuō)，只能有一個(gè)3gpp aaa server。其功能包括：l 支持eap-sim/aka認(rèn)證，從hlr提取鑒權(quán)/授權(quán)信息和用戶簽約信息l 對(duì)簽約用戶進(jìn)行認(rèn)證l 向wlan an傳遞授權(quán)信息l 生成話單并向離線計(jì)費(fèi)系統(tǒng)報(bào)告每個(gè)用戶的計(jì)費(fèi)/統(tǒng)計(jì)信息l 向pdg/ttg傳遞授權(quán)信息l 當(dāng)用戶停機(jī)時(shí)，根據(jù)hlr的要求中斷用戶連接l 支持hlr要求的取消過(guò)程l 如果使用靜態(tài)遠(yuǎn)端ip地址分配，則向pdg/ttg提供從hlr接收的ue遠(yuǎn)端ip地址具體參考wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范4.2.5. hlrhlr位于簽約用戶的歸屬網(wǎng)絡(luò)，包含用戶簽約的數(shù)據(jù)

23、，參考中國(guó)移動(dòng)hlr規(guī)范。4.2.6. 離線計(jì)費(fèi)系統(tǒng)離線計(jì)費(fèi)系統(tǒng)位于2g/td網(wǎng)絡(luò)，接入ps時(shí)，包括cg和計(jì)費(fèi)中心，pdg或ggsn產(chǎn)生的話單通過(guò)cg傳送給計(jì)費(fèi)中心，cg要具備wlan話單預(yù)處理能力，具體參考wlan與2g/3g網(wǎng)絡(luò)融合計(jì)費(fèi)規(guī)范4.3. 參考點(diǎn)4.3.1. wu接口wu是ue和pdg/ttg之間的接口，用于ue接入ps核心網(wǎng)，包括ue與pdg/ttg之間的接入信令和端到端隧道。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范4.3.2. wa接口wa是wlan接入網(wǎng)和3gpp aaa server的接口，用戶ue接入wlan網(wǎng)絡(luò)時(shí)用來(lái)傳遞鑒權(quán)、授權(quán)和計(jì)費(fèi)相關(guān)信息。具體參考wla

24、n與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范4.3.3. wm接口wm是3gpp aaa server和pdg/ttg之間的接口，用于ue接入ps核心網(wǎng)時(shí)，aaa server和pdg/ttg間傳遞鑒權(quán)、授權(quán)信息。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范4.3.4. d/gr接口d/gr是3gpp aaa server和hlr間的接口。主要用于3gpp aaa server從hlr提取鑒權(quán)向量、簽約用戶信息，是d/gr接口的子集。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范4.3.5. bw接口bw是3gpp aaa server和離線計(jì)費(fèi)中心接口，用于傳送用戶接入wlan產(chǎn)生的相關(guān)計(jì)費(fèi)數(shù)據(jù)

25、。相關(guān)計(jì)費(fèi)數(shù)據(jù)可用于歸屬運(yùn)營(yíng)商生成離線計(jì)費(fèi)賬單、對(duì)漫游用戶進(jìn)行運(yùn)營(yíng)商間的結(jié)算等。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范4.3.6. wi接口wi是pdg和外部數(shù)據(jù)網(wǎng)絡(luò)的接口，用于pdg接入外部數(shù)據(jù)網(wǎng)絡(luò)，包括接入認(rèn)證和授權(quán)，動(dòng)態(tài)獲取ip地址，轉(zhuǎn)發(fā)數(shù)據(jù)業(yè)務(wù)。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范。4.3.7. wz接口wz接口是pdg和cg間的接口，用于傳遞計(jì)費(fèi)信息。具體參考wlan與2g/3g網(wǎng)絡(luò)融合計(jì)費(fèi)規(guī)范wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范。4.3.8. ww接口ww是ue是wlan an之間的接口，用于傳輸ue接入wlan和分組域核心網(wǎng)的信令和業(yè)務(wù)。具體參考wlan

26、與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范。4.3.9. gn接口gn接口是ttg和ggsn之間的接口，用于ttg和ggsn見(jiàn)gtp通道的建立，釋放和控制等，是gn接口的子集。具體參考wlan與2g/3g網(wǎng)絡(luò)融合設(shè)備接口規(guī)范。4.4. 認(rèn)證的邏輯體系4.4.1. 認(rèn)證系統(tǒng)結(jié)構(gòu)i-wlan接入認(rèn)證體系架構(gòu)基于802.1x認(rèn)證體系架構(gòu)（詳見(jiàn)ieee std 802.1x-2001），涉及到以下相關(guān)網(wǎng)元，示意如下：圖4-5 i-wlan接入認(rèn)證體系架構(gòu)1.wlan uewlan ue為i-wlan認(rèn)證體系中的接入請(qǐng)求系統(tǒng)，用戶統(tǒng)一認(rèn)證/接入ps域業(yè)務(wù)時(shí)，wlan ue發(fā)起eap鑒權(quán)請(qǐng)求。對(duì)應(yīng)802.1x架構(gòu)中

27、的客戶端系統(tǒng)（supplicant system）。2.wlan anwlan an在i-wlan認(rèn)證系統(tǒng)中負(fù)責(zé)wlan ue統(tǒng)一認(rèn)證場(chǎng)景的接入鑒權(quán)。對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證者系統(tǒng)（authenticator system）。3.pdgpdg在i-wlan認(rèn)證系統(tǒng)中負(fù)責(zé)wlan ue接入ps域業(yè)務(wù)的鑒權(quán)。對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證者系統(tǒng)（authenticator system）。4.3gpp aaa server3gpp aaa server為i-wlan認(rèn)證體系中用戶認(rèn)證的執(zhí)行點(diǎn)，負(fù)責(zé)對(duì)wlan ue認(rèn)證和授權(quán)功能，aaa認(rèn)證和授權(quán)信息取自hlr。3gpp aaa server與hl

28、r一起，對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證服務(wù)器系統(tǒng)（authentication sever system）。5.hlrhlr在i-wlan網(wǎng)認(rèn)證體系中負(fù)責(zé)用戶鑒權(quán)和簽約信息的存儲(chǔ)，與3gpp aaa server交互，完成鑒權(quán)和簽約信息的交互。4.4.2. 協(xié)議棧圖4-6 wlan an認(rèn)證協(xié)議棧圖4-7 pdg/ttg認(rèn)證協(xié)議棧5. 功能要求5.1. 總體要求wlan和2g/3g網(wǎng)絡(luò)的統(tǒng)一認(rèn)證系統(tǒng)，基于802.1x認(rèn)證架構(gòu)和eap-sim/eap-aka鑒權(quán)方法實(shí)現(xiàn)wlan認(rèn)證。本規(guī)范結(jié)合統(tǒng)一認(rèn)證場(chǎng)景定義用戶eap鑒權(quán)協(xié)議和流程。eap鑒權(quán)流程也適用于接入ps域業(yè)務(wù)的用戶鑒權(quán)。5.2. 用戶標(biāo)

29、識(shí)定義(身份保護(hù))5.2.1. 總體描述基于eap的網(wǎng)絡(luò)認(rèn)證使用網(wǎng)絡(luò)接入標(biāo)識(shí)（network access identifier, nai）作為用戶標(biāo)識(shí)。網(wǎng)絡(luò)接入標(biāo)識(shí)包含用戶名（username）和域名（realm）兩部分。下面的描述中術(shù)語(yǔ)“身份”包含網(wǎng)絡(luò)接入標(biāo)識(shí)的用戶名和域名兩部分，“用戶名”僅僅指網(wǎng)絡(luò)接入標(biāo)識(shí)中用戶名部分。5.2.2. 網(wǎng)絡(luò)接入標(biāo)識(shí)用戶名eap-aka/sim鑒權(quán)涉及三種類型的用戶名：1、永久用戶名2、偽隨機(jī)用戶名3、快速重鑒權(quán)用戶名偽隨機(jī)用戶名和快速重鑒權(quán)用戶名都是用臨時(shí)身份，使用意圖和使用方法兩者有區(qū)別。永久用戶名和偽隨機(jī)用戶名僅用于全鑒權(quán)，而快速重鑒權(quán)用戶名僅用于快速

30、重鑒權(quán)。eap-aka/sim中描述的永久用戶名從imsi中導(dǎo)出。ts 33.234 、ts 24.234 和ts 23.003 有詳細(xì)描述。偽隨機(jī)用戶名用于用戶身份保護(hù)。為保護(hù)用戶避免被未經(jīng)授權(quán)的接入網(wǎng)絡(luò)跟蹤，在無(wú)線傳輸中需要使用偽隨機(jī)用戶名替代從imsi中導(dǎo)出的永久標(biāo)識(shí)。快速重鑒權(quán)用戶名用于快速重鑒權(quán)。wlan ue必須使用之前分配的快速重鑒權(quán)身份進(jìn)行快速重鑒權(quán)，且快速重鑒權(quán)身份標(biāo)識(shí)只能使用一次。5.2.3. 歸屬域當(dāng)wlan接入認(rèn)證時(shí)，wlan ue需要按如下步驟從imsi中導(dǎo)出歸屬域信息。1、根據(jù)mnc采用了2位還是3位，從imsi中取起始的5或6位。（參見(jiàn)3gpp ts 31.102

31、 , 3gpp ts 51.011 ），并將其分為mcc和mnc，如果mnc是2位的，則需要在其開(kāi)始位置補(bǔ)0。2、從第一步中獲取的mcc和mnc生成 “mnc.mcc. 3” domain name。3、在域名開(kāi)始位置為“wlan”標(biāo)簽。wlan nai 域舉例：使用的imsi: 234150999999999;其中：mcc = 234;mnc = 15;msin = 0999999999生成歸屬域名為：: .5.2.4. 永久naiwlan ue支持從用戶imsi號(hào)碼中導(dǎo)出永久nai。用于wlan

32、 ue全鑒權(quán)流程。當(dāng)wlan ue首次接入網(wǎng)絡(luò)或本地沒(méi)有可用的偽隨機(jī)nai和快速重鑒權(quán)nai時(shí)，才使用永久nai接入。5.2.5. 偽隨機(jī)naii-wlan鑒權(quán)需要支持eap-aka/sim標(biāo)識(shí)保密中的偽隨機(jī)nai功能。3gpp aaa server在全鑒權(quán)流程中生成并下發(fā)給wlan ue完整nai格式的偽隨機(jī)nai，用于wlan ue在后續(xù)的全鑒權(quán)中直接使用。5.2.6. 快速重鑒權(quán)naii-wlan鑒權(quán)需要支持eap-aka/sim標(biāo)識(shí)保密中的快速重鑒權(quán)nai功能。3gpp aaa server在全鑒權(quán)流程和快速重鑒權(quán)流程中生成并下發(fā)給wlan ue完整nai格式的快速重鑒權(quán)標(biāo)識(shí)，用于wl

33、an ue在下一次快速重鑒權(quán)中直接使用。5.2.7. 對(duì)于eap-aka/sim鑒權(quán)的nai的約定：永久nai：0, for eap aka , for eap sim authentication偽隨機(jī)nai：2, for eap aka , for eap sim authentication快

34、速重鑒權(quán)nai：4, for eap aka , for eap sim authentication注：l imsi、mnc、mcc、以及wlan域名的定義，詳細(xì)參考3gpp ts 23.003。l 針對(duì)三種nai采用固定前綴形式，用于區(qū)分鑒權(quán)方法和nai類型，方便aaa業(yè)務(wù)流程處理，并順從相關(guān)協(xié)議（相關(guān)協(xié)議參見(jiàn)rfc4186、rfc4187、3gpp ts 23.003）。l pseudonymusername和re-authenti

35、cationusername，為用戶接入認(rèn)證成功后，為其提供認(rèn)證的aaa給用戶分配的在aaa內(nèi)部唯一的標(biāo)識(shí)，定長(zhǎng)16字符。l 偽隨機(jī)nai和快速重鑒權(quán)nai域名中的aaa，是負(fù)責(zé)為用戶提供認(rèn)證aaa唯一標(biāo)識(shí)符，全網(wǎng)aaa必須保證唯一，id全網(wǎng)統(tǒng)一分配，定長(zhǎng)4個(gè)字符。舉例：用戶的imsi號(hào)碼為460001234567890，3gpp aaa server的編號(hào)為0000，三種nai的格式分別為l 永久nai：eap-aka：0460001234567890eap-sim：1460001234567890wlan.mnc000.m

36、l 偽隨機(jī)nai：eap-aka：20123456789abcdefeap-sim：30123456789abcdefl 快速重鑒權(quán)nai：eap-aka：40123456789abcdefeap-sim：50123456789abcdefaaa0000.wlan.mnc000.mcc460.3gppne

37、5.3. 技術(shù)流程5.3.1. 總體接入流程統(tǒng)一認(rèn)證接入包括802.11建立關(guān)聯(lián)、認(rèn)證、dhcp地址分配、ue與ac?；睢⒂?jì)費(fèi)、網(wǎng)絡(luò)退出幾個(gè)階段。總體接入流程如下圖描述：圖5-1 統(tǒng)一認(rèn)證總體接入流程5.3.2. 全鑒權(quán)流程. eap-aka圖5-2 eap-aka全鑒權(quán)流程1) wlan ue 和 wlan an建立關(guān)聯(lián)之后，ue向wlan an發(fā)送eapol-start，發(fā)起鑒權(quán)請(qǐng)求。2）wlan an發(fā)送eap-request/identity消息到wlan ue。3）wlan ue 回復(fù)eap-response/identity消息，向網(wǎng)絡(luò)發(fā)送其用戶身份

38、標(biāo)識(shí)信息，身份標(biāo)識(shí)可以為偽隨機(jī)nai或永久nai。4）wlan an將eap報(bào)文使用radius access-request消息封裝，并將identity放在radius的user-name屬性中，發(fā)送給3gpp aaa server。5）3gpp aaa server收到包含用戶身份的eap-response/identity報(bào)文。6）3gpp aaa server識(shí)別出用戶準(zhǔn)備使用的認(rèn)證方法為eap-aka。如果ue送上的identity為偽隨機(jī)nai，3gpp aaa server檢查本地沒(méi)有該偽隨機(jī)nai與imsi的映射關(guān)系，則使用eap request/aka-identity消息

39、再次請(qǐng)求永久nai（6、7、8、9步僅用于wlan ue漫游到新的拜訪地而使用其他aaa分配的偽隨機(jī)nai接入認(rèn)證的場(chǎng)景）。eap報(bào)文封裝在radius access-challenge消息中，發(fā)送給wlan an。7）wlan an轉(zhuǎn)發(fā)eap-request/aka-identity消息到wlan ue。8）wlan ue使用eap-response/aka-identity消息攜帶永久nai進(jìn)行響應(yīng)9）wlan an轉(zhuǎn)發(fā)eap-response/aka-identity消息攜帶永久nai到3gpp aaa server，eap報(bào)文封裝在radius access-request消息中。10

40、）3gpp aaa server檢查本地是否緩存可用的鑒權(quán)向量，如果沒(méi)有則向hlr發(fā)送map_send_auth_info請(qǐng)求，請(qǐng)求獲取n組鑒權(quán)向量（n可配置，取值范圍15）。11）hlr響應(yīng)3gpp aaa server鑒權(quán)請(qǐng)求，下發(fā)n組鑒權(quán)五元組。12）3gpp aaa server檢查本地是否存在用戶的簽約信息。如果沒(méi)有，則aaa向hlr發(fā)起map_update_gprs_loc或map-restore-data(可通過(guò)配置開(kāi)關(guān)進(jìn)行控制，詳見(jiàn)wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范)請(qǐng)求，獲取用戶簽約信息。13）hlr向3gpp aaa server發(fā)起插入用戶數(shù)據(jù)

41、map_insert_subs_data請(qǐng)求，向3gpp aaa server插入數(shù)據(jù)。14）3gpp aaa server響應(yīng)hlr插入用戶數(shù)據(jù)消息，完成用戶簽約信息獲取。15)hlr向3gpp aaa server回復(fù)map_update_gprs_loc或map-restore-data(可通過(guò)配置開(kāi)關(guān)進(jìn)行控制，詳見(jiàn)wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范)響應(yīng)消息，完成hlr的交互流程。16）3gpp aaa server檢查用戶簽約通過(guò)后，根據(jù)算法生成teks、msk和emsk（參見(jiàn)ietf rfc 4187）。為支持標(biāo)識(shí)保密功能，aaa server還要生成偽

42、隨機(jī)nai和快速重鑒權(quán)nai，用于后續(xù)的全鑒權(quán)和快速重鑒權(quán)過(guò)程。17）3gpp aaa server在eap-request/aka-challenge消息中發(fā)送rand，auth, 一個(gè)消息鑒權(quán)碼（mac）和2個(gè)用戶標(biāo)識(shí)（偽隨機(jī)nai和快速重鑒權(quán)nai）給wlan an，eap報(bào)文封裝在radius access-challenge消息中。3gpp aaa server可選發(fā)送給wlan ue一個(gè)指示。指出希望保護(hù)最后的成功結(jié)果消息（如果結(jié)果成功）。18）wlan an轉(zhuǎn)發(fā)eap-request/aka-challenge消息到wlan ue。19）wlan ue運(yùn)行usim中umts算法。

43、usim驗(yàn)證autn并且據(jù)此認(rèn)證網(wǎng)絡(luò)。如果autn驗(yàn)證錯(cuò)誤，終端拒絕鑒權(quán)（未在本例中顯示）。如果序列號(hào)驗(yàn)證失敗，終端發(fā)起同步過(guò)程。參見(jiàn)ietf rfc 4187。重同步過(guò)程如下：a、usim計(jì)算根據(jù)ki、sqn、amf以及隨機(jī)數(shù)rand通過(guò)f1star計(jì)算macs，macs和sqn一起組成auts。然后向3gpp aaa server發(fā)送鑒權(quán)失敗消息，帶有參數(shù)auts。b、3gpp aaa server收到帶有auts參數(shù)的鑒權(quán)失敗消息后，發(fā)現(xiàn)是重同步過(guò)程，就向hlr/auc索取新的鑒權(quán)向量。c、hlr收到3gpp aaa server的索取鑒權(quán)向量請(qǐng)求后，發(fā)現(xiàn)是重同步過(guò)程，就轉(zhuǎn)入同步過(guò)程的處

44、理。首先驗(yàn)證sqn是否在正確的范圍內(nèi)，即下一個(gè)產(chǎn)生的序列碼sqn是否能被usim接受。如果sqn在正確的范圍內(nèi)，那么hlr/auc產(chǎn)生一批新的鑒權(quán)向量并把它發(fā)送給3gpp aaa server。如果sqn不在正確的范圍內(nèi)，則hlr/auc根據(jù)ki、sqn、amf、rand通過(guò)f1star算法計(jì)算并驗(yàn)證xmacs。如果xmacs=macs，則把sqnms的值賦給sqnhe，然后產(chǎn)生一批新的鑒權(quán)向量并把它發(fā)送給3gpp aaa server。d、3gpp aaa server重新向ms發(fā)起一個(gè)鑒權(quán)流程，處理同正常的鑒權(quán)過(guò)程。如果autn驗(yàn)證正確，usim計(jì)算res,ik和ck。wlan ue從由u

45、sim新計(jì)算出的ik和ck推導(dǎo)出新的附加密鑰素材。用新導(dǎo)出的密鑰素材檢查收到的mac。如果收到受保護(hù)的偽隨機(jī)身份和快速重鑒權(quán)身份，wlan ue保存這些臨時(shí)身份用于后續(xù)鑒權(quán)。20）wlan ue 使用新密鑰素材覆蓋整個(gè)eap消息計(jì)算新消息認(rèn)證碼（message authentication code，mac）值。wlan ue發(fā)送包含res和新消息認(rèn)證碼的eap response/aka-challenge消息給wlan an。如果wlan ue從3gpp aaa server收到認(rèn)證結(jié)果保護(hù)指示，則wlan ue必須在此消息中包含結(jié)果指示。否則wlan ue必須忽略該指示。21) wlan

46、an發(fā)送eap-response/aka-challenge報(bào)文到3gpp aaa server，eap報(bào)文封裝在radius access-request消息中。22）3gpp aaa server檢查收到的消息認(rèn)證碼（mac）比較xres和收到res。23）如果所有檢查都成功，且3gpp aaa server之前發(fā)送過(guò)認(rèn)證結(jié)果保護(hù)標(biāo)識(shí)，則3gpp aaa server必須在發(fā)送eap success消息前發(fā)送eap-request/aka-notification消息。eap報(bào)文封裝在radius access-challenge消息中，且用mac保護(hù)。24）wlan an轉(zhuǎn)發(fā)eap消息到

47、wlan ue。25）wlan ue發(fā)送eap-response/aka-notification。26）wlan an發(fā)送eap-response/aka-notification 消息到3gpp aaa server，eap報(bào)文封裝在radius access-request消息中。3gpp aaa server必須忽略該消息內(nèi)容。27) 3gpp aaa server發(fā)送eap success消息到wlan an (可能在發(fā)送eap-notification之前，參見(jiàn)第23步描述)。如果3gpp aaa server產(chǎn)生了額外的用于wlanan和wlan ue間鏈路保護(hù)的機(jī)密性和/或完整

48、性保護(hù)的鑒權(quán)密鑰，3gpp aaa server在radius access-accept消息中包含這些密鑰素材（wlan an存儲(chǔ)密鑰信息，暫不使用）。28）wlan an通過(guò)eap success消息通知wlan ue鑒權(quán)成功。至此，eap-aka交互已經(jīng)成功完成。 認(rèn)證處理可能在任何時(shí)候失敗，例如由于消息校驗(yàn)碼檢查失敗或者wlan ue沒(méi)有對(duì)網(wǎng)絡(luò)請(qǐng)求給予響應(yīng)。這種情況下eap-aka過(guò)程將按ietf rfc 4187中描述終止。. eap-sim圖5-3 eap-sim全鑒權(quán)流程1) wlan ue 和 wlan an建立關(guān)聯(lián)之后，ue向wlan an發(fā)送eapol-sta

49、rt，發(fā)起鑒權(quán)請(qǐng)求。2）wlan an發(fā)送 eap-request/identity消息到wlan ue。3）wlan ue回復(fù)eap-response/identity消息，向網(wǎng)絡(luò)發(fā)送其用戶身份標(biāo)識(shí)信息，身份標(biāo)識(shí)可以為偽隨機(jī)nai或永久nai。4）wlan an將eap報(bào)文使用radius access-request消息封裝，并將identity放在radius的user-name屬性中，發(fā)送給3gpp aaa server。5）3gpp aaa server收到包含用戶身份的eap-response/identity報(bào)文。6）3gpp aaa server識(shí)別出用戶準(zhǔn)備使用的認(rèn)證方法為e

50、ap-sim。如果ue送上的identity為偽隨機(jī)nai，3gpp aaa server檢查本地沒(méi)有該偽隨機(jī)nai與imsi的映射關(guān)系，則使用eap request/sim-start消息再次請(qǐng)求永久nai（6、7、8、9步僅用于wlan ue漫游到新的拜訪地而使用其他aaa分配的偽隨機(jī)nai接入認(rèn)證的場(chǎng)景）。eap報(bào)文封裝在radius access-challenge消息中，發(fā)送給wlan an。7）wlan an轉(zhuǎn)發(fā)eap-request/sim-start消息到wlan ue。8）wlan ue使用eap-response/sim-start消息攜帶永久nai進(jìn)行響應(yīng)9）wlan a

51、n轉(zhuǎn)發(fā)eap-response/sim-start消息攜帶永久nai到3gpp aaa server，eap報(bào)文封裝在radius access-request消息中。10）3gpp aaa server檢查本地是否緩存可用的鑒權(quán)向量，如果沒(méi)有則向hlr發(fā)送map_send_auth_info請(qǐng)求，請(qǐng)求獲取n組鑒權(quán)向量（n可配置，取值范圍15）。11）hlr響應(yīng)3gpp aaa server鑒權(quán)請(qǐng)求，下發(fā)n組鑒權(quán)三元組。12）3gpp aaa server檢查本地是否存在用戶的簽約信息。如果沒(méi)有，則aaa向hlr發(fā)起map_update_gprs_loc或map-restore-data(可通

52、過(guò)配置開(kāi)關(guān)進(jìn)行控制，詳見(jiàn)wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范)請(qǐng)求，獲取用戶簽約信息。13）hlr向3gpp aaa server發(fā)起插入用戶數(shù)據(jù)map_insert_subs_data請(qǐng)求，向3gpp aaa server插入數(shù)據(jù)。14）3gpp aaa server響應(yīng)hlr插入用戶數(shù)據(jù)消息，完成用戶簽約信息獲取。15）hlr向3gpp aaa server回復(fù)map_update_gprs_loc或map-restore-data(可通過(guò)配置開(kāi)關(guān)進(jìn)行控制，詳見(jiàn)wlan與2g/3g網(wǎng)絡(luò)融合3gpp aaa server規(guī)范)響應(yīng)消息，完成hlr的交互流程。16）3

53、gpp aaa server檢查用戶簽約通過(guò)后，根據(jù)算法生成teks、msk和emsk（參見(jiàn)ietf rfc 4186），將m組（默認(rèn)m=2，可配置，同步設(shè)備規(guī)范）rand串起來(lái)后生成一個(gè)n*rand。為支持標(biāo)識(shí)保密功能，aaa server還要生成偽隨機(jī)nai和快速重鑒權(quán)nai，用于后續(xù)的全鑒權(quán)和快速重鑒權(quán)過(guò)程。17）3gpp aaa server在eap-request/sim-challenge消息中發(fā)送rand，一個(gè)消息鑒權(quán)碼（mac）和2個(gè)用戶標(biāo)識(shí)（偽隨機(jī)nai和快速重鑒權(quán)nai）給wlan an，eap報(bào)文封裝在radius access-challenge消息中。3gpp aaa

54、 server可選發(fā)送給wlan ue一個(gè)指示。指出希望保護(hù)最后的成功結(jié)果消息（如果結(jié)果成功）。18）wlan an轉(zhuǎn)發(fā)eap request/sim-challenge消息到wlan ue。19）wlan ue根據(jù)每個(gè)rand為128bit，解析出m個(gè)rand，依據(jù)gsm算法得出k_sres，k_int，k_ency，session_key，并且用k_int得出at_mac，和接收到的at_mac進(jìn)行比較，如果一致，表示aaa server認(rèn)證通過(guò)。再利用k_sres作為key用規(guī)定的算法生成mac_sres。20）wlan ue 使用新密鑰素材覆蓋整個(gè)eap消息計(jì)算新消息認(rèn)證碼（message authentication code，mac）值。wlan ue發(fā)送包含res和新消息認(rèn)證碼的eap response/sim/challenge消息給wlan an。如果wlan ue從3gpp aaa server收到認(rèn)證結(jié)果保護(hù)指示，則wlan ue必須在此消息中包含結(jié)果指