| 发明名称 | 一种接入3G-WLAN互联网络的方法 | ||
| 摘要 | 本发明公开一种接入3G-WLAN互联网络的方法,该方法包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法,并采用1-15个具体执行步骤;该方法基于WLAN和WCDMA互连的松耦合方式下的认证协议,利用离线计费机制的快速认证协议和重认证过程的局部化认证,可避免潜在的Re-direction攻击行为,有效地减少移动用户漫游切换时的时延,是一种实现安全和快速的接入3G-WLAN互联网的方法。 | ||
| 申请公布号 | CN101610507A | 申请公布日期 | 2009.12.23 |
| 申请号 | CN200910069276.4 | 申请日期 | 2009.06.16 |
| 申请人 | 天津工业大学 | 发明人 | 马建峰;李亚晖;刘文菊;杨卫东;王赜;杨超;柯永振;王琦 |
| 分类号 | H04W12/02(2006.01)I;H04W12/06(2009.01)I;H04L29/06(2006.01)I | 主分类号 | H04W12/02(2006.01)I |
| 代理机构 | 天津翰林知识产权代理事务所(普通合伙) | 代理人 | 张国荣 |
| 主权项 | 1、一种接入3G-WLAN互联网络的方法,该方法包括WLAN UE与3G网络的双向认证方法、抗假冒WLAN访问网络的Re-direction攻击方法、离线的移动用户计费方法和WLAN网络内的局部化的重认证方法,并采用以下执行步骤:(1).WLAN-UE与WLAN访问网络协商接入链接,并建立WLAN的无线访问链接;(2).WLANAN给WLAN-UE发送EAP请求认证所需的身份消息,要求WLAN-UE提供3G认证所需要的身份信息;(3).WLAN-UE回应EAP身份响应消息;(4).WLAN AN收到EAP身份响应消息后,将该消息转发给3G AAA服务器;(5).3G AAA服务器首先搜索自身是否存有与该身份响应消息相应的认证所需的密钥材料 如果没有,则将WLAN-UE的身份响应消息发送给该移动用户的归属位置寄存器HSS/HLR;(6).归属位置寄存器HSS/HLR收到WLAN-UE的身份响应消息后,利用与该移动用户共享的密钥生成认证向量VI,并将该用户的授权信息、认证向量信息以及新的临时身份信息一同发送给3G AAA服务器;所述临时身份信息为一个随机数或一个新的重认证ID;(7).3G AAA服务器根据移动用户授权使用WLAN网络的信息,随机选择一个认证向量发送给WLAN AN;(8).WLANAN收到第7步所述的信息后,选择一个随机数NONCEAN附加到所述信息中,构造成新消息;(9).WLANAN把构造的新消息发送给WLAN-UE;(10).WLAN-UE接收到AKA挑战信息后,在USIM中运行UMTS算法,验证AUTH是否正确 如果错误,中止认证过程;如果验证通过,就利用UMTS算法和预先共享K3G,MS密钥计算RES、IK和CK,然后验证MAC的正确性,并保存新的身份信息;(11).WLAN-UE将RES作为AKA的响应消息,计算消息摘要MAC和计费令牌Token,选择一个随机数NONCEUE,并计算UMAC=HMAC(K3G,MS,NonceAN||NonceUE||IDAN),然后将RES、NONCEAN、NONCEUE、MAC、UMAC和Token构成EAP响应消息,并发送给WLAN AN;(12).WLANAN收到第11步所述的EAP响应消息后,保留其中的计费令牌Token,然后将其余的该响应消息发送给3G网络;(13).3G网络收到第12步所述的响应消息后,验证MAC的正确性,检验RES是否与相应的XRES相等 相等则通过了对WLAN-UE的身份认证;利用接收到的NONCEAN和NONCEUE验证UMAC的正确性,通过就说明WLAN AN的身份是正确的,然后将关于WLAN UE的所有认证向量全部发送给WLANAN;(14).WLAN AN收到所有认证向量后,利用当前认证向量中的IK和CK计算新的密钥材料,为发送消息提供安全保护,并对新的身份信息进行机密性和完整性保护,验证了计费令牌Token的正确性后,发送EAP成功消息给WLAN UE;(15).WLAN AN根据计费结算需要,发送该移动用户的计费令牌给3G网络,进行计费与结算。 | ||
| 地址 | 300160天津市河东区成林道63号 | ||