中国移动WLANSIM认证Word文件下载.docx
- 文档编号:14272125
- 上传时间:2022-10-21
- 格式:DOCX
- 页数:37
- 大小:407.48KB
中国移动WLANSIM认证Word文件下载.docx
《中国移动WLANSIM认证Word文件下载.docx》由会员分享,可在线阅读,更多相关《中国移动WLANSIM认证Word文件下载.docx(37页珍藏版)》请在冰豆网上搜索。
WLANInterworking;
SystemDescription"
[3]IETFRFC4186,"
EAP-SIM"
[4]IETFRFC4187,"
EAP-AKA"
[5]IETFRFC3748,"
ExtensibleAuthenticationProtocol(EAP)"
3.关键技术问题
3.1SIM认证签约
3GPP标准规定HSS存放WLAN用户签约信息,AAA服务器与HSS之间通过Diameter协议互通。
对于仍使用HLR的网络,标准建议AAA服务器模拟成MSCServer或者SGSN与HLR交互,完成认证并获取签约数据。
对于认证部分,AAA服务器可完全重用现有D接口或Gr接口的认证消息,但对于如何在HLR标识WLAN签约数据以及如何下发签约数据,标准并未做任何定义和解释。
试点阶段,HLR通过运营商自定义签约字段HPLMNODB第三位(plmn-SpecificBarringType3)存放SIM认证签约开通信息,签约信息通过BOSS开通。
HPLMNODB字段格式见下:
odb-HPLMN-Data{
plmn-SpecificBarringType1(0),
plmn-pecificBarringType2
(1),
plmn-SpecificBarringType3
(2),
plmn-SpecificBarringType4(3)}
为便于BOSS对SIM/PEAP/MAC三种认证方式进行统一业务控制,AAA服务器也存放用户SIM认证签约开通信息,签约信息通过Portal服务器特定页面开通。
HLR上默认对所有潜在试点用户开通SIM认证,SIM认证是否通过由AAA根据自身存储的用户手机号对应的SIM认证签约信息进行控制。
需要通过试点评估HLR保留SIM认证签约信息的必要性。
3.2HLR签约信息下发
如果AAA模拟为MSC服务器,可通过RestoreData方式下发签约参数;
如果AAA模拟为SGSN,可通过GPRSUpdateLocation方式下发签约参数。
两种下发方式区别如下:
下发方式
业务签约
WLAN与PS同时附着
在线停机
复制卡控制
厂家支持情况
MAPrestoredata
共有参数+CS特有
支持
不支持
爱立信HLR需改造其他厂家均支持
MAPGPRSupdatelocation
共有参数+PS特有
中兴、诺西HLR需改造,其他厂家均支持
使用GPRSUpdateLocation时,如果分组域自有业务已经在线,此时并发接入WLAN时会导致分组域业务下线;
如果WLAN业务已经在线,用户并发使用分组域自有业务,可通过AAAServer的控制,避免对WLAN业务的影响。
试点阶段优选通过RestoreData下发签约参数。
对于已支持GPRSUpdateLocation下发签约参数的省份,可在试点中评估此下发方式对分组域自有业务体验影响。
AAA服务器需要配置试点省份IMSI号段围,通过IMSI号段判断归属省,以区别使用签约下发消息。
3.3SSID设置
需设置新的SSID(CMCC-AUTO),支持存量终端使用SIM认证方式。
SIM认证与PEAP认证使用相同SSID。
3.4下线控制
SIM认证仍保留8小时下线机制
可通过AC开关开启/关闭SIM认证对应SSID的15分钟下线机制。
(已确认,部分AC厂家已支持,部分AC厂商需升级支持)。
3.5Keep-alive机制(可选)
AC利用EAP信令周期性探测UE状态,如果UE在一定时间无响应(异常关机、移出WiFi覆盖区域),则网络侧对此用户进行下线操作。
具体实现机制如下图:
AC在一定时间无流量后,向终端发送EAP-Request/identity消息,终端如果在线则回复EAP-Response消息,如果AC收到终端响应后,回复EAP-Success,如果AC没有收到终端响应,则在一定时间重发EAP-Request消息,在重传一定次数后,仍未收到响应,则从网络侧下线用户。
此机制可能存在如下潜两个问题:
1)上述流程不是标准流程,部分终端周期性收到心跳后,可能出于安全或其它因素考虑,不处理EAP-Request消息。
2)终端在EAP-Response消息中可能不携带网络侧分配的伪随机名或快速鉴权名,而是携带IMSI,增加空口传输IMSI的概率。
鉴于部分厂家已支持此功能,试点期间作为可选项,在提供此功能的厂家设备上验证其效果。
AC如果支持Keep-alive机制,对AC性能有一定影响,可通过试点进行评估。
4.接入流程
4.1总体接入流程
统一认证接入包括802.11建立关联、认证、DHCP地址分配、UE与AC保活、计费、网络退出几个阶段。
总体接入流程如下图描述:
图1统一认证总体接入流程
4.2EAP-SIM认证
图2EAP-SIM全鉴权认证接入流程
EAP-SIM全鉴权认证接入流程说明:
1)WLANUE和WLANAN建立关联之后,UE向WLANAN发送EAPoL-Start,发起鉴权请求。
2)WLANAN发送EAP-Request/Identity消息到WLANUE。
3)WLANUE回复EAP-Response/Identity消息,向网络发送其用户身份标识信息,身份标识可以为伪随机NAI或永久NAI。
4)WLANAN将EAP报文使用RADIUSAccess-Request消息封装,并将Identity放在RADIUS的User-Name属性中,发送给3GPPAAAServer。
5)3GPPAAAServer收到包含用户身份的EAP-Response/Identity报文。
6)3GPPAAAServer识别出用户准备使用的认证方法为EAP-SIM。
如果UE送上的Identity为伪随机NAI,3GPPAAAServer检查本地没有该伪随机NAI与IMSI的映射关系,则使用EAPRequest/SIM-Start消息再次请求永久NAI(6、7、8、9步仅用于WLANUE漫游到新的拜访地而使用其他AAA分配的伪随机NAI接入认证的场景)。
EAP报文封装在RADIUSAccess-Challenge消息中,发送给WLANAN。
7)WLANAN转发EAP-Request/SIM-Start消息到WLANUE。
8)WLANUE使用EAP-Response/SIM-Start消息携带永久NAI进行响应
9)WLANAN转发EAP-Response/SIM-Start消息携带永久NAI到3GPPAAAServer,EAP报文封装在RADIUSAccess-Request消息中。
10)3GPPAAAServer检查本地是否缓存可用的鉴权向量,如果没有则向HLR发送MAP_SEND_AUTH_INFO请求,请求获取n组鉴权向量(n可配置,取值围1~5,缺省建议5组,具体要求参见本试点方案6.3.1节AAA鉴权功能容)。
11)HLR响应3GPPAAAServer鉴权请求,下发n组鉴权三元组。
12)3GPPAAAServer检查本地是否存在用户的签约信息。
如果没有,则AAA向HLR发起MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA获取用户签约信息,具体消息的使用请参照3.2节HLR签约消息下发要求。
13)HLR向3GPPAAAServer发起插入用户数据MAP_INSERT_SUBS_DATA请求,向3GPPAAAServer插入数据。
14)3GPPAAAServer响应HLR插入用户数据消息,完成用户签约信息获取。
15)HLR向3GPPAAAServer回复MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA完成HLR的交互流程。
具体消息的使用必须与步骤12)中使用的消息匹配,且必须符合3.2节HLR签约消息下发要求。
16)3GPPAAAServer检查用户签约通过后,根据算法生成TEKs、MSK和EMSK(参见IETFRFC4186),将N组(N可配置,取值为2或3,默认N=2)RAND串起来后生成一个N*RAND。
为支持标识功能,AAAServer还要生成伪随机NAI和快速重鉴权NAI,用于后续的全鉴权和快速重鉴权过程。
17)3GPPAAAServer在EAP-Request/SIM-Challenge消息中发送RAND,一个消息鉴权码(MAC)和2个用户标识(伪随机NAI和快速重鉴权NAI)给WLANAN,EAP报文封装在RADIUSAccess-Challenge消息中。
3GPPAAAServer可选发送给WLANUE一个指示。
指出希望保护最后的成功结果消息(如果结果成功)。
18)WLANAN转发EAPRequest/SIM-Challenge消息到WLANUE。
19)WLANUE根据每个RAND为128bit,解析出m个RAND,依据GSM算法得出K_sres,K_int,K_ency,Session_Key,并且用K_int得出AT_MAC,和接收到的AT_MAC进行比较,如果一致,表示AAAServer认证通过。
再利用K_sres作为key用规定的算法生成MAC_SRES。
20)WLANUE使用新密钥素材覆盖整个EAP消息计算新消息认证码(messageauthenticationcode,MAC)值。
WLANUE发送包含RES和新消息认证码的EAPResponse/SIM/Challenge消息给WLANAN。
如果WLANUE从3GPPAAAServer收到认证结果保护指示,则WLANUE必须在此消息中包含结果指示。
否则WLANUE必须忽略该指示。
21)WLANAN发送EAPResponse/SIM-Challenge报文到3GPPAAAServer,EAP报文封装在RADIUSAccess-Request消息中。
22)3GPPAAAServer利用本端产生的K_sres作为key生成MAC_SRES,和接收到的MAC_SRES进行比较,如果一致,表示客户端认证通过。
23)如果所有检查都成功,且3GPPAAAServer之前发送过认证结果保护标识,则3GPPAAAServer必须在发送EAPSuccess消息前发送EAPRequest/SIM/Notification消息。
EAP报文封装在RADIUSAccess-Challen
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国移动 WLANSIM 认证