專利名稱:一種移動網絡認證的方法及系統的制作方法
技術領域:
本發明涉及到通信技術領域,尤其涉及到一種移動網絡認證的方法及系統。
背景技術:
第三代合作伙伴計劃(3rdGeneration Partnership Pro ject,簡稱 3GPP)網絡支持異構網絡接入、網間漫游和無縫切換。3GPP網絡分為3GPP接入和非3GPP網絡接入。非 3GPP接入包括信任的非3GPP接入和不信任的非3GPP接入。是否信任取決于運營商的策略。運營商在同時部署有非3GPP接入和3GPP接入并且信任該非3GPP接入時,根據目前的認證方案,要求移動管理模塊(Mobile Management Entity,簡稱MME)具有認證功能。 參見圖1,該圖示出了現有技術中終端從3GPP網絡接入的認證流程,包括如下步驟步驟SlOl 終端發送攜帶用戶信息的認證請求到MME ;步驟S102 =MME與HSS交互,獲取認證向量;認證向量包括認證token (令牌)和共享密鑰材料(key material),所述認證令牌中包括隨機數、MAC等信息;MAC ^ HSS /fe^, ^ Message authentication code ElAiM ;所述密鑰材料信息包括密鑰,密鑰的生存時間等;步驟S103 =MME根據認證向量向終端發起認證請求;所述認證請求中包括認證令牌,所述認證令牌中包括隨機數、MAC等信息;步驟S104:終端收到認證請求后,根據認證請求中的信息產生共享密鑰材料,認證網絡,在完成對網絡的認證后,向MME發送認證響應;終端根據接收到的認證令牌中的隨機數以及其自身產生的根密鑰產生共享密鑰材料;終端從認證請求中獲取MAC值,將認證請求中的MAC值與該終端自身產生的MAC 相比較,如果相同,則表示認證成功,如果不同,則表示認證失敗。終端在完成對網絡的認證后,將響應(response,簡稱RES)信息承載于認證響應中發送給MME。步驟S105 :MME根據收到的認證響應,認證終端,然后發送認證結果到終端。MME從所述認證響應中獲取RES信息,將獲取到的RES信息與其自身產生的期望的響應(expected response,簡稱XRES)信息相比較,如果相同,則表示認證終端成功,否則, 表示認證終端失敗。終端從3GPP接入切換到非3GPP接入時需要進行完全鑒權過程,終端需要與驗證、 授權和記賬(Authentication、Authorization、Accounting,簡稱AAA)服務器以及用戶信息服務器(Home Subscriber Server,簡稱 HSS)交互。終端從非3GPP接入切換到3GPP網絡,則要求MME具有認證功能,需要通過MME與 HSS交互完成認證流程。
由上述不同的接入場景可以看出,接入網絡類型的不同會導致認證流程中需要不同的網絡分別與HSS交互,認證流程不統一,增加了網絡復雜性,而且在一些接入場景下, 要求MME要求承擔認證工作,增加了 MME的負擔。
發明內容
本發明要解決的技術問題是,提供一種移動網絡認證的方法及系統,使非3GPP與 3GPP接入均通過AAA與HSS交互,減輕了 MME的認證負擔,使MME的移動管理功能與認證功能分離,統一了認證流程。為了解決上述技術問題,本發明提出了一種移動網絡認證的方法,包括步驟移動管理模塊(MME)在接收到終端發送來的認證請求后,將其轉發至驗證、授權和記賬(AAA)服務器;所述AAA服務器在接收到所述認證請求后,從終端信息服務器(HSQ中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求或所述MME根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求。進一步地,上述方法還可具有以下特點所述AAA服務器在接收到所述認證請求后,從HSS中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求包括所述AAA服務器根據所述認證向量向所述MME發起認證請求,所述MME將所述認證請求轉發給終端。進一步地,上述方法還可具有以下特點所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果信息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。進一步地,上述方法還可具有以下特點終端在3GPP網絡與非3GPP之間切換時,是通過發起附著流程向MME發送認證請求。進一步地,上述方法還可具有以下特點所述認證向量包括密鑰材料。為了解決上述技術問題,本發明還提出了一種移動網絡認證的系統,包括移動管理模塊(MME)、驗證、授權和記賬(AAA)服務器、終端信息服務器HSS,其中移動管理模塊(MME),用于在接收到終端發送來的認證請求后,將其轉發至驗證、 授權和記賬(AAA)服務器;根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求;所述AAA服務器,用于在接收到所述認證請求后,從終端信息服務器HSS中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求。進一步地,上述系統還可具有以下特點所述AAA服務器根據所述認證向量向終端發起認證請求包括所述AAA服務器根據所述認證向量向所述MME發起認證請求,所述MME將所述認證請求轉發給終端。進一步地,上述系統還可具有以下特點所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果信息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。進一步地,上述系統還可具有以下特點在終端在3GPP網絡與非3GPP之間切換時,所述MME是通過附著流程接收到終端發送的認證請求的。進一步地,上述系統還可具有以下特點所述認證向量包括密鑰材料。本發明提供的一種移動網絡認證的方法及系統,使非3GPP與3GPP接入均通過AAA 與HSS交互,減輕了 MME的認證負擔,使MME的移動管理功能與認證功能分離,統一了認證流程。
圖1是現有技術終端從3GPP網絡接入認證流程示意圖;圖2是本發明實施例終端從3GPP網絡接入認證流程的方法示意圖;圖3是本發明實施例終端從非3GPP網絡切換到3GPP網絡的方法一示意圖;圖4是本發明實施例終端從非3GPP網絡切換到3GPP網絡的方法二示意圖;圖5是本發明實施例終端從UTRAN網絡切換到E-UTRAN網絡的方法示意圖;圖6是本發明實施例終端從3GPP網絡切換到非3GPP網絡的方法示意圖。
具體實施例方式本發明提供了一種移動網絡認證的方法及系統,其基本構思是增加MME與AAA之間的接口,將3GPP中的MME中的全部或者部分認證功能交由AAA服務器來完成,從而減少了 MME與HSS的交互,統一了 3GPP與非3GPP的認證網元,而且可以便于3GPP與非3GPP接入的切換。本發明實施例提供的一種移動網絡認證的方法,包括移動管理模塊(MME)在接收到終端發送來的認證請求后,將其轉發至驗證、授權和記賬(AAA)服務器;所述AAA服務器在接收到所述認證請求后,從終端信息服務器(HSQ中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求或所述MME根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求。其中,所述AAA服務器在接收到所述認證請求后,從HSS中獲取并保存認證向量, 并根據所述認證向量向終端發起認證請求包括所述AAA服務器根據所述認證向量向所述 MME發起認證請求,所述MME將所述認證請求轉發給終端。采用本發明實施例上述方法,即可實現由AAA服務器替代MME與HSS交互,獲取認證向量,將部分認證功能從MME上剝離,進而減輕了 MME的負擔。
較佳地,還可以進一步將根據用戶認證響應進行終端認證的工作從MME上剝離, 從而進一步減輕MME的負擔,包括步驟所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果信息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。為了實現上述方法,本發明實施例還提供了一種移動網絡認證的系統,包括MME、 AAA服務器和HSS,其中所述MME,用于在接收到終端發送來的認證請求后,將其轉發至AAA服務器;根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求;所述AAA服務器,用于在接收到所述認證請求后,從終端信息服務器HSS中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求。進一步地,所述AAA服務器根據所述認證向量向終端發起認證請求包括所述AAA 服務器根據所述認證向量向所述MME發起認證請求,所述MME將所述認證請求轉發給終端。進一步地,所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果信息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。進一步地,在終端在3GPP網絡與非3GPP之間切換時,所述MME是通過附著流程接收到終端發送的認證請求的。進一步地,所述認證向量包括密鑰材料。下面將結合幾種不同場景詳細說明本發明實施方式。參見圖2,該圖示出了本發明實施例終端從3GPP網絡接入認證流程的方法,包括步驟步驟S201 終端發送攜帶用戶信息的認證請求到MME ;步驟S202 =MME轉發所述認證請求到AAA服務器;步驟S203 =AAA服務器在接收到認證請求后,與HSS交互,獲取認證向量;所述認證向量包括認證令牌和共享密鑰材料,所述認證令牌中包括隨機數、MAC等 Ih息;MAC 由 HSS /fe^, ^ Message authentication code ElAiM ;所述密鑰材料信息包括密鑰,密鑰的生存時間等;步驟S204 =AAA服務器根據認證向量發起認證請求到MME ;所述認證請求中包括認證令牌,所述認證令牌中包括隨機數、MAC等信息;步驟S205 =MME收到該認證請求后,轉發該認證請求至終端;步驟S206 終端收到認證請求后,根據認證請求中的信息產生共享密鑰材料,認證網絡,在完成對網絡的認證后,向MME發送認證響應;終端根據接收到的認證令牌中的隨機數以及其自身產生的根密鑰產生共享密鑰材料;終端從認證請求中獲取MAC值,將認證請求中的MAC值與自己產生的MAC相比較, 如果相同,則表示認證成功,如果不同,則表示認證失敗。
終端在完成對網絡的認證后,將其RES信息承載于認證響應中發送給MME。步驟S207 =MME轉發該認證響應到AAA服務器;步驟S208 =AAA服務器根據收到的認證響應,認證終端,然后將認證結果信息發送至Ij MME。AAA服務器從所述認證響應中獲取RES信息,將獲取到的RES信息與其自身產生的 XRES信息相比較,如果相同,則表示認證終端成功,否則,表示認證終端失敗。步驟S209 =MME接收到認證結果信息后,將其轉發到終端。本發明圖2所示實施例中的步驟S202 步驟S205,由AAA服務器與HSS交互,獲取認證向量,很好地減輕了 MME的負擔。本發明圖2所示實施例中的步驟S207至步驟S209由AAA服務器承擔MME的認證工作,可以進一步地減輕MME的負擔。在另一實施例中,步驟S204也可以是,AAA服務器將獲取到的認證向量發送至 MME,步驟S205是MME根據認證向量發起認證請求到終端。在另一實施例中,步驟S207至步驟S209也可以是,MME接收到終端的該認證響應后,根據所述認證響應認證終端,并向終端返回認證結果信息。參見圖3,該圖示出了本發明實施例終端從非3GPP網絡切換到3GPP網絡的方法一,包括步驟步驟S301 終端連接到非3GPP接入網絡;步驟S302 終端與AAA服務器進行互相認證,AAA服務器從HSS中獲取用戶認證向量;步驟S303 認證成功后,終端與數據網關(Packet Data Network Gateway,簡稱 PGff)建立DSMIPv6隧道;步驟S304 終端探測到3GPP網絡,發起附著(attach)流程;
步驟S305 =MME發送認證信息請求到AAA服務器;步驟S306 =AAA服務器與HSS交互,獲取用戶認證向量;所述認證向量包括認證令牌和共享密鑰材料,所述認證令牌中包括隨機數、MAC等 Ih息;MAC 由 HSS /fe^, ^ Message authentication code ElAiM ;所述密鑰材料信息包括密鑰,密鑰的生存時間等;步驟S307 =AAA服務器將收到的認證向量發送到MME ;步驟S308 =MME根據認證向量發起認證請求至終端,終端根據收到的認證請求產生認證向量,認證網絡;終端根據接收到的認證令牌中的隨機數以及其自身產生的根密鑰產生共享密鑰材料;終端從認證請求中獲取MAC值,將認證請求中的MAC值與自己產生的MAC相比較, 如果相同,則表示認證成功,如果不同,則表示認證失敗。終端在完成對網絡的認證后,將其RES信息承載于認證響應中發送給MME。步驟S309 終端認證網絡成功,發送認證響應到MME,MME根據收到的認證響應認證終端;
MME從所述認證響應中獲取RES信息,將獲取到的RES信息與其自身產生的XRES 信息相比較,如果相同,則表示認證終端成功,否則,表示認證終端失敗。步驟S310 終端與網絡互相認證成功,終端與網絡建立承載和會話。在另一實施例中,步驟S307也可以是,AAA服務器根據獲取到的認證向量發起認證請求到MME,步驟S308是MME接收到AAA服務器發送來的認證向量后,將其轉發至終端。在圖3所示實施例中,由AAA服務器與HSS交互,獲取用戶認證向量,從而減輕了 MME的工作,在本實施例中,MME還執行對終端的認證,這里的認證只是比對收到的認證信息,即在3GPP中,用戶發送RES到ΜΜΕ,ΜΜΕ根據已有的XRES與RES比較,如果相同,則認證用戶成功。參見圖4,該圖示出了本發明實施例終端從非3GPP網絡切換到3GPP網絡的方法二,包括步驟步驟S401 終端連接到非3GPP接入網絡;步驟S402 終端與AAA服務器進行互相認證,AAA服務器從HSS中獲取用戶認證向量;步驟S403 認證成功后,終端與PGW建立DSMIPv6隧道;步驟S404 終端探測到3GPP網絡,發起附著(attach)流程;
步驟S405 =MME發送認證信息請求到AAA服務器;步驟S406 :AAA服務器與HSS交互,獲取用戶認證向量,所述用戶認證向量中包含密鑰材料;步驟S407 :AAA服務器將收到的認證向量中的部分信息(比如RAND、MAC等)發送至Ij MME ;S卩,處于安全目的,不發送認證向量中的共享材料信息。步驟S408 =MME發送認證請求到終端;步驟S409 終端根據收到的認證請求產生認證向量,據以認證網絡,以及產生密鑰材料,在認證網絡成功后,發送認證響應到MME ;步驟S410 =MME收到的認證響應,發送認證請求信息到AAA服務器,所述認證請求信息包含收到的認證響應信息;步驟S411 =AAA根據收到的認證請求信息,認證終端,產生會話密鑰材料,發送會話密鑰材料到MME ;步驟S412 終端與AAA服務器互相認證成功,終端與網絡建立承載和會話。在圖4所示實施例中,完全將認證工作從MME上分離,包括與HSS交互,獲取用戶認證向量,以及根據終端發送來的認證響應對終端進行認證都是由AAA服務器來執行,MME 對于認證相關信息只執行轉發工作,從而很好地減輕了 MME的負擔。如果MME實現了 MME與AAA的接口,MME的認證功能弱化或完全沒有了,那么這種情況下,UTRAN與E-URTAN的切換如何處理的?針對這種場景,本發明實施例還提供了一種終端從陸地無線接入網(UniversalTerrestrial Radio Access,簡稱UTRAN)網絡切換到演進型的陸地無線接入網(Evolved UTRAN,簡稱E-UTRAN)網絡的方法終端從陸地無線接入網(UTRAN)切換到演進型的陸地無線接入網(E-UTRAN)時, 所述MME在接收到服務GPRS支持節點(SGSN)發送來的重定位前傳請求后,向所述AAA服務器發送密鑰材料請求信息;所述AAA服務器在接收到密鑰材料請求信息后,產生密鑰材料信息,并將其發送至所述MME ;所述MME在接收到密鑰材料信息后,向所述SGSN返回重定位前傳響應。詳細流程參見圖5,包括步驟步驟S501 源無線網絡控制器定義無線網絡控制器(feidio NetworkController, 簡稱RNC)發送重定位請求到服務GPRS支持節點SGSN (SERVICING GPRS SUPPORT NODE,簡稱 SGSN);步驟S502 =SGSN發送重定位前傳請求到MME,重定位前傳請求中包括安全上下文 ^fn 息;步驟S503 =MME發送密鑰材料請求信息到AAA服務器;步驟S504 =AAA服務器生成密鑰信息,發送密鑰信息到MME ;所述密鑰信息包括接入安全管理實體的密鑰材料(Access securitymanagement entity,簡稱 Kasme),以及用于 eNB 的密鑰材料(eNB evolvedNode B,簡稱 KeNB);步驟S505 =MME發送Sl切換請求消息給eNB,該請求消息中包括KeNB等信息;Sl切換請求消息是eNB從一個MME切換到另一個MME的請求信息;步驟S506 :eNB發送Sl切換請求確認消息給MME ;步驟S507 =MME發送重定位前傳響應給SGSN ;步驟S508 SGSN發送重定位命令到源RNC ;步驟S509 源RNC發送UTRAN切換命令到終端;步驟S510 終端生成Kasme’等密鑰材料,發送切換完成消息給eNB ;步驟S511 :eNB發送切換通知消息給MME ;步驟S512 =MME發送重定位前傳完成消息給SGSN ;步驟S513 =SGSN發送重定位前傳完成確認消息給MME。參見圖6,該圖示出了本發明實施例終端從3GPP網絡切換到非3GPP網絡的方法, 包括步驟步驟S601 終端連接到3GPP接入網絡;步驟S602 終端通過MME與AAA服務器進行互相認證,AAA服務器從HSS中獲取用戶認證向量;步驟S603 終端與AAA服務器互相認證成功,終端與網絡建立承載和會話;步驟S604 終端探測到非3GPP網絡,非3GPP網絡發送EAP請求消息到終端;步驟S605 終端發送擴展認證協議(Extended authentication protocol,簡稱 ΕΑΡ)響應消息(包括身份信息)給非3GPP接入,非3GPP接入轉發給EAP響應消息到AAA 服務器;步驟S606 =AAA服務器識別該用戶已經接入到3GPP網絡,如果需要從MME取安全上下文信息,則發送安全上下文信息請求消息到MME ;安全上下文信息就是密鑰材料、密鑰生成算法等信息;步驟S607 :MME發送上下文信息請求響應到AAA服務器,保護安全上下文信息,AAA 服務器可根據收到的安全上下文產生密鑰材料;
步驟S608 =AAA服務器發送EAP響應(包含認證請求消息)到終端;步驟S609 終端根據收到的認證請求消息,產生密鑰材料,認證網絡,認證成功, 終端發送EAP響應到AAA服務器;步驟S610 =AAA服務器根據EAP響應中的挑戰信息認證終端,認證成功,發送成功消息到終端。當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質的情況下,本領域技術人員當可根據本發明作出各種相應的改變和變形,但這些相應的改變和變形都應屬于本發明所附的權利要求的保護范圍。
權利要求
1.一種移動網絡認證的方法,其特征在于移動管理模塊(MME)在接收到終端發送來的認證請求后,將其轉發至驗證、授權和記賬(AAA)服務器;所述AAA服務器在接收到所述認證請求后,從終端信息服務器(HSS)中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求或所述MME根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求。
2.如權利要求1所述的方法,其特征在于,所述AAA服務器在接收到所述認證請求后, 從HSS中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求包括所述AAA服務器根據所述認證向量向所述MME發起認證請求,所述MME將所述認證請求轉發給終端。
3.如權利要求1-2中任一項所述的方法,其特征在于,還包括所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果{曰息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。
4.如權利要求1所述的方法,其特征在于終端在3GPP網絡與非3GPP之間切換時,是通過發起附著流程向MME發送認證請求。
5.如權利要求1所述的方法,其特征在于所述認證向量包括密鑰材料。
6.一種移動網絡認證的系統,其特征在于,包括移動管理模塊(MME)、驗證、授權和記賬(AAA)服務器、終端信息服務器HSS,其中移動管理模塊(MME),用于在接收到終端發送來的認證請求后,將其轉發至驗證、授權和記賬(AAA)服務器;根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求;所述AAA服務器,用于在接收到所述認證請求后,從終端信息服務器HSS中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求。
7.如權利要求6所述的系統,其特征在于,所述AAA服務器根據所述認證向量向終端發起認證請求包括所述AAA服務器根據所述認證向量向所述MME發起認證請求,所述MME將所述認證請求轉發給終端。
8.如權利要求6或7所述的系統,其特征在于所述MME接收到所述終端發送來的認證響應后,將其轉發至AAA服務器;所述AAA服務器在接收到所述認證響應后,認證所述終端,然后向所述MME返回認證結果{曰息;所述MME接收到所述認證結果信息后,將其轉發至所述終端。
9.如權利要求6所述的系統,其特征在于在終端在3GPP網絡與非3GPP之間切換時,所述MME是通過附著流程接收到終端發送的認證請求的。
10.如權利要求6所述的系統,其特征在于所述認證向量包括密鑰材料。
全文摘要
本發明提供了一種移動網絡認證的方法及系統,包括移動管理模塊(MME)在接收到終端發送來的認證請求后,將其轉發至驗證、授權和記賬(AAA)服務器;所述AAA服務器在接收到所述認證請求后,從終端信息服務器(HSS)中獲取并保存認證向量,并根據所述認證向量向終端發起認證請求或所述MME根據從所述AAA服務器中獲得到的認證向量向終端發起認證請求。該方法可以使非3GPP與3GPP接入均通過AAA與HSS交互,減輕了MME的認證負擔,使MME的移動管理功能與認證功能分離,統一了認證流程。
文檔編號H04L9/32GK102238544SQ20101016732
公開日2011年11月9日 申請日期2010年5月6日 優先權日2010年5月6日
發明者朱春暉, 王鴻彥, 韋銀星 申請人:中興通訊股份有限公司