WO2004102883A1

WO2004102883A1 - A kind of method to realize user authentication

Info

Publication number: WO2004102883A1
Application number: PCT/CN2004/000497
Authority: WO
Inventors: Jianghai Gao; Yang Shao; Dianfu Chen; Zhuo Li
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2003-05-16
Filing date: 2004-05-17
Publication date: 2004-11-25
Anticipated expiration: 2005-11-16
Also published as: CN1549494A

Description

一种实现用户认证的方法技术领域

本发明涉及用户与网络间的认证技术，特别是指至少包括

IS95/CDMA2000 lx网络的多模网络中，利用 IS95/CDMA2000 lx网络对多模网络中的非 IS95/CDMA2000 lx网絡进行用户认证的方法。发明背景

RFC2284文档中定义了一种点对点（PPP )协议的扩展认证协议，即扩展认证（EAP )协议。该协议可以在 EAP协议基础上进行扩充，承载其他的认证机制，并且提供端到端的认证方式，中间设备不需要采用具体的认证机制。详细的说，就是在认证客户端和认证服务器之间进行认证时，可以采取双方承载在 EAP协议之上的认证机制，不需要中间设备来支持。根据不同的承载类型， EAP认证协议定义不同。比如， EAP 认证协议承载在 PPP协议上，称为 EAPoPPP; EAP认证协议承载在远端接入拨号用户服务（RADIUS )协议上，称为 EAPoRadius; EAP认证协议用在 802. lx协议上，称为 EAPoL。

如图 1 所示， EAP 认证协议报文包括报文代码（Code )、标识符 ( Identifier )、长度（Length ) 、数据 ( Data ) 、类型（Type )四个域。其中 Data域又包括类型（Type )和数据类型（TypeData )两部分，传输时各域从左到右依次传输。

Code域占一个字节，用于标识 EAP报文的类型。如表 1所示，该域有四种取值，取 1表示请求（ Request )域，取 2表示回应（ Response ) 域，取 3表示成功（Success )域，取 4表示失败 ( Failure )域。类型值含义

1 Request

2 Response

3 Success

4 Failure

Identifier域占一个字节 , 用来匹配 Request报文和 Response报文。 Length域占两个字节，用于表示 EAP报文的长度，其包括 Code、 Identifier、 Length和 Data四个域。

Data域占用零个或多个字节，该域采用与 Code域类型值相关的格式。

Type域占一个字节，主要定义了各种认证机制。 Type域只在 Request 和 Response报文中出现。在 RFC 2284中， Type可以为标识（ Identity ), 通知（ Notification )、拒绝（Nak：)、 MD5 ( MD5 -Challenge ), 一次性密码（ One-Time Password )、智能卡（ Generic Token Card )六种类型。

参见表 2 所示，类型值取为 1 表示 Identity; 类型值为 2 表示 Notification; 类型值为 3表示 Nak; 类型值为 4表示 MD5-Challenge; 类型值为 5表示 One-Time Password; 类型值为 6表示 Generic Token Card。并且，类型值 1、 2、 4、 5、 6适用于 Requset和 Respone 4艮文，类型值 3只适用于 Response报文。

Identity用于查询用户的身份，每一个 Identity类型的 Request请求才艮文必须对应一个 Identity类型的 Response响应艮文。

Notification用于由设备端向客户端发送一条可显示的消息。客户端应该将这条消息显示给用户，如果无法显示，则记入日志。每一个 Notification类型的 Request请求艮文必须对应一个 Notification类型的 Response响应才艮文。

Nak仅适用于 Response响应报文。当 Request请求报文中期望的认证机制不被接受时，应该发送 Nak类型的 Response响应报文。

MD5-Challenge与 CHAP协议中的 MD5类似。 MD5-Challenge类型的 Request请求报文中包含了 Challenge 消息。每一个 MD5 -Challenge类型的 Request请求报文必须对应一个 MD5-Challenge类型或者 Nak类型的 Response响应报文。

One-Time Password 类型的 Request 请求艮文包含一个 OTP Challenge每一个 One-Time Password类型的 Request请求^ =艮文必须对应一个 One-Time Password类型或者 ak类型的 Response响应报文。

Generic Token Card类型是为要求用户输入各种 Token Card信息而定义的。 Generic Token Card类型的 Request请求报文中包含一条 ASCII 文本消息，对应的 Generic Token Card类型的 Response响应报文中包含认证所必需的相关 Token Card.信息。通常这些信息由用户从 Token Card 设备读取并以 ACSII文本进行输入。

表 2

TypeData,该域占用零个或多个字节，采用与 Type域的类型值相关的格式。

对于 CDMA IS95/CDMA 2000 lx网络中的用户，客户端与认证点之间是网络侧的移动交换中心（MSC ) /拜访位置寄存器（ VLR )和介质访问寄存器（ HLR ) /鉴权中心（ AC )共同完成认证。共享秘密数据 ( SSD ) 作为认证输入参数之一保存在终端和 HLR/AC中，在终端和 HLR/AC中保存相同的（密码） A-key, 专用于更新 SSD。当需要认证时，以 SSD、随机数、电子串号（ESN )、移动台识别号（MIN )等参数通过蜂窝认证和语音加密（ CAVE )算法计算出认证结果，并由 MSC/VLR或 HLR/AC 比较认证结果是否一致，如果不一致，系统将会发起 SSD更新，在 SSD 更新成功之后，即终端侧和网络侧的 SSD保持一致，下次接入时，用户终端使用 SSD计算出的认证结果应与 HLR/AC中计算出来的认证结果一致，认证才能成功。

目前，随着市场经济以及科学技术的发展，越来越多的运营商需要同时经营多种网络。比如，具有 IS95/CDMA2000 lx网络的运营商想继续将自己的业务扩展到 CDMA2000 lxDO网络， WLAN 网络的运营商也想将业务扩展到 CDMA2000 lxDO网络。而在 CDMA2000 lxDO网络中，要建立专门的 AN认证、授权和计费服务器（AAA )进行认证。这种认证方式，对于同时拥有多种码分多址（CDMA ) 网络的用户，需要在 HLR和 AN AAA两个地方开户，认证方式不统一，维护不方便，不利于统一运营；而且，还需要再组建 AN AAA的全国专用网络进行认证，建网成本高。发明内容

有鉴于此，本发明的目的是提 ^一种实现用户认证的方法，使其在至少包括 IS95/CDMA2000 lx网络的多模网络中实现对用户的认证，且成本低、维护方便。

一种实现用户认证的方法，应用于至少包括 IS95/CDMA2000 lx网络的多模网絡中，该方法包括：

A. 预先设置支持客户端与认证点使用用户身份标识模块（ UIM ) 进行认证的 EAP协议，所述认证点为多模网络中的非 IS95/CDMA2000 lx网络；

B. 客户端利用 UIM中的用户信息作为用户身份标识，与所述认证点进行 EAP-UIM认证。

步骤 A中所述 EAP协议设置为报文代码（ Code )、标识符（ Identifier )、长度（Length ) 、数据（Data ) ，所述 Data又进一步包括类型（ Type ) 和数据类型（TypeData )。

所述 Type设置为包括 Identity、 Notification Nak、 MD5 -Challenge、 One-Time Password、 Generic Token Card、 UIM七种类型。

利用 1 ~ 6取值分别与设置的 Type类型相对应， Type类型为 UIM, 取值为大于 6的任意值。

所述 TypeData设置为包括 Type、 Length和 Data三个域。

所述的 Type、 Length和 Data大于等于 1小于等于 255的值，且 Type、 Length和 Data取值不相等。

所述步骤 B进一步包括：

Bl、客户端将用户身份标识发送至认证点；

B2、认证点根据用户身份标识产生一个对客户端进行认证的随机数，并且根据该随机数及认证点含有的共享秘密数据 ( SSD )计算出对应的第一鉴权数，形成一个鉴权集；

B3、客户端根据所述随机数及客户端的 SSD计算出对应的第二鉴权数； B4、认证点比较笫一鉴权数与第二鉴权数是否一致，如果一致，则认证成功，否则，认证失败。

步骤 B1进一步包括：

B11、认证点向客户端发送客户端请求用户身份标识 ( EAP-Request/Identity )报文，要求客户端送上自己的身份标识；

B12、客户端将用户身份标识通过标识回应（ EAP-Response/Identity ) 寺艮文发送给认证点；

B13 > 认证点收到 EAP-Response/Identity才艮文后，向客户端发送 EAP-UIM认证协议开始请求（EAP-Request/UIM/Start )报文，开始进行 EAP-UIM认证；

B14, 客户端收到 EAP-Request/UIM/Start才艮文后，给认证点发送 EAP-UIM认证协议开始回应（ EAP-Response/UIM/Start )报文。

步骤 B14进一步包括：

认证点收到 EAP-Response/UIM/Start 4艮文后，向客户端发送 EAP-UIM认证协议认证请求（EAP-Request/UIM/Challenge )报文，把从认证服务器获得的随机数发送给客户端。

步骤 B3 进一步包括：客户端将自身计算出的第二鉴权数通过 EAP-UIM认证协议认证回应（ EAP-Response/UIM/Challenge )报文发送给认证点。

在认证失败后，该方法进一步包括：

E. 更新客户端与认证服务器中的 SSD，保证两端 SSD相等，然后再返回步骤 B执行。

本发明通过扩展 EAP认证协议，实现利用 IS95/CDMA2000 lx网络对非 IS95/CDMA2000 lx网络对用户进行认证，该方法可以减少成本投资、认证安全、维护方便。 4 / ϋ 0 0 附图简要说明

图 1 现有技术中 ΕΑΡ协议报文格式示意图；

图 2为实现本发明方法的流程示意图；

图 3为本发明进行首次认证的具体实施例的流程示意图；

图 4为本发明进行一次认证的具体实施例的流程示意图。实施本发明的方式

本发明的核心内容是：通过进一步扩展 ΕΑΡ 认证协议，利用 IS95/CDMA2000 lx 网络中的用户身份识别模块（ UIM ) 对非 IS95/CDMA2000 lx网络用户进行认证。 UIM不仅用在 CDMA IS95和 CDMA 2000 lx网络中，还可以用在其他网络中，如 WLAN网络、 CDMA EVDO网络中。当其用在这些网络中时，需要有一种认证协议能够承载它的认证机制。

实现本发明的组网结构包括客户端、认证点和认证服务器。认证服务器表示在网络侧能够终结 EAP协议和认证点之间通过 AAA协议进行通讯，如通过 Radius协议进行通讯。并且，认证服务器能够与 CDMA 网络之间进行通讯，能够从 CDMA网络的 HLR中获取鉴权集；认证点和认证服务器之间可以通过现有的 AAA通讯协议，如 Radius协议，进行通讯；客户端是指包含了 UIM模块的终端，其包括两种情况，一种是终端和 UIM模块不分离，即通常的机卡不分离的情况；另一种是指终端和 UIM模块分离，两者之间通过相关接口进行通讯，即通常的机卡分离状态。

参见图 2所示，实现本发明的方法包括以下步骤：

步骤 201:预先设置支持客户端与认证点使用 UIM进行认证的 EAP 协议；步骤 202: 客户端利用 UIM中的用户信息作为用户身份标识，与认证点开始进行 EAP-UIM认证；

步驟 203: 认证点根据用户身份标识产生一个对用户终端进行认证的随机数，并且根据该随机数及认证点含有的 SSD计算出对应的第一鉴权数，形成一个鉴权集；

步骤 204: 客户端根据所述随机数及客户端的 SSD计算出对应的第二鉴权数；

步骤 205: 认证点比较第一鉴权数与第二鉴权数是否一致，如果一致，则认证成功，否则，认证失败。

下面结合附图和具体实施例详细说明本发明的技术方案。

本发明是在 EAP 认证协议上进行扩展，生成一种新的认证协议 EAP-UIM。本发明的认证协议格式包括 Code、 Identifier, Length 、 Data 四部分，其中， Data包括 Type和 TypeData两部分，这与现有技术相同。但是其中 Type参数和 TypeData参数与现有技术不同。

进一步的说，就是在现有技术中 EAP协议的 TYPE域中，进一步增加一种新类型 UIM,其值可以为大于 6的值，该类型可以适用于 Requset 和 Respone报文。比如，定义 TYPE域为 31 , 表示采用 EAP-UIM协议的报文类型。

TYPE-DATA域包括 Type 、 Lengths Value三部分。 TYPE域用于表示 EAP-UIM协议的报文类型，该域可以在 1到 255之间任意取值。参见表 3 所示，本实施例中规定为三种类型值； Length域用于说明 EAP-UIM报文的长度，具体包括 Type、 Length和 Data域的长度； Value 域采用与 Type域的类型值相关的格式。取值

11 Start

12 Challenge

13 Update 表 3

利用 UIM 来对用户进行认证的方式，与现有技术中 CDMA IS95/CDMA 2000 lx网络中用户进行认证的方式一样，首次认证中第一次认证会出现失败，这主要由于用户终端侧与网络侧中的 SSD不一致导致，所以在认证失败后，需要进行 SSD更新操作，以使两端的 SSD— 致。

参见图 3所示，用户进行首次认证的具体过程如下：

步骤 301 : 认证点向客户端发送客户端请求用户身份标识 ( EAP-Request/Identity )报文，要求客户端送上自己的身份标识；

步驟 302: 客户端获取 UIM里保存的身份信息，将该身份信息作为用户身份标识，并通过回应用户身份标识（ EAP-Response/Identity )报文将所述用户身份标识发送给认证点；

步骤 303: 认证点收到 EAP-Response Identity报文后，向客户端发送 EAP-UIM认证协议开始请求（EAP-Request/UIM/Start )报文，开始进行 EAP-UIM认证协议的过程；这里，认证点采用扩展后的协议请求得到用户标识，以下步骤中，也将采用扩展后的协议中的 TYPE、 TYPEDATE参数来传送客户端与认证点之间 EAP-UIM认证信息。

步骤 304: 客户端收到 EAP-Request/UIM/Start报文后，给认证点回一个 EAP-UIM认证协议开始回应（ EAP-Response/UIM/Start )报文；步骤 305'. 认证点收到 EAP-Response/UIM/Start后，通过与认证服 W 务器交换得到一个随机数 ( rand )及其对应的第二鉴权数 ( AUTH2 )的鉴权集，然后向客户端发送 EAP-UIM 认证协议认证请求 ( EAP-Request/UIM/Challenge )报文，其中含有随机数；这里，认证服务器得到一个鉴权集的过程是这样：根据用户身份标识产生一个随机数，并根据网络侧保存的 SSD进行计算得出对应的第二鉴权数；

步骤 306:客户端收到 EAP-Request/UIM/Challenge报文后，将 Rand 和 UIM里保存的 SSD进行加密后，得到第一鉴权数 ( AUTH1 )，再通过 EAP-UIM认证协议更新回应报文（ EAP-Response UIM/Challenge )发送给认证点，报文中携带 AUTH1;

步驟 307: 认证点收到 EAP-Response/UIM/Challenge报文后，将接认证月务器对 AUTH1和自己保存的 AUTH2进行比较，如果一致，则通知认证点成功，否则 ,认证失败，然后认证点判断是否需要进行 Update 流程，如果需要，则开始进行 Update流程，更新 SSD, 执行步骤 308，否则，认证失败，跳出；

步驟 308: 认证点获取 SSD认证随机数 ( RANDSSD )及其对应的鉴权数，该鉴权数为根据网络侧和 RANDSSD计算出，然后认证点向客户端发送 EAP-UIM认证协议更新回应 ^艮文（ EAP-Request/UIM/Update ) 报文，其中含有 SSD认证随机数（ RANDSSD );

步骤 309: 客户端在收到 EAP-Request UIM/Update报文后，根据 RANDSSD和客户端保存的 SSD计算得出对应的鉴权数，向认证点发送 EAP-UIM认证协议认证回应（ EAP-Respnse/UIM/Challenge )报文，其中含有客户端计算得出鉴权数；

步骤 310: 认证点收到 EAP-Respnse/UIM/Challenge报文后，判断网络侧与客户端计算出的鉴权数是否一致，如果一致，则给客户端回一个 EAP-UTM认证协议认证请求（ EAP-Request/UIM/Challenge 艮文，否则， SSD更新失败；

步骤 311: 客户端收到 EAP-Request/UIM/Challenge后，更新自身的 SSD,将计算出的 SSD通过 EAP-Response/UIM/Update报文发送给认证点；

步骤 312: 认证点收到 EAP-Response/UIM/Update后，更新网络侧的 SSD, 判断 SSD是否更新完毕，如果更新完毕，结束 Update流程，向客户端发送 EAP-Request/UIM/Challenge报文，重新进行认证；

步骤 313: 客户端收到 EAP-Request/UIM/Challenge报文后，给认证点回一个 EAP-Response/UIM/Challenge报文；

步骤 314: 认证点根据 EAP-Response/UIM/Challenge判断认证成功后，给客户端发送 EAP-Success报文；

在首次认证进行 SSD更新后，由于已确保了客户端和认证点的 SSD 一致，所以之后的认证过程就只有认证流程。参见图 4所示，非首次认证的认证过程如下：

步驟 401: 认证点向客户端发送 EAP-Request/Identity报文，要求客户端送上自己的身份标识；

步骤 402:客户端收到 EAP-Request/Identity报文后，将 UIM里保存的身份信息作为用户身份标识，并通过 EAP-Response/Identity报文将用户身份标识发送给认证点；

步骤 403: 认证点收到 EAP-Response/Identity报文后，向客户端发送 EAP-Request/UIM/Start报文，开始进行 EAP-UIM认证协议的过程；步骤 404: 客户端收到 EAP-Request/UIM/Start报文后，给认证点回一个 EAP-Response/UIM/Start 艮文；

步骤 405: 认证点收到 EAP-Response/UIM/Start报文后，从认证服务器处获得的 Rand 及对应的第二鉴权数（AUTH2 ) , 然后通过 EAP-Request/UIM/Challenge报文将 Rand发送给客户端；这里第二鉴权数是根据随机数及网络侧保存的 SSD进行计算获得；

步骤 406:客户端收到 EAP-Request/UIM/Challenge报文后，将 Rand 和 UIM 里保存的密码进行加密后，得到 AUTH1 , 客户端再通过 EAP-Response/UIM/Challenge 报文发送给认证点，其中报文中携带 AUTH1 ;

步骤 407: 认证点收到 EAP-Response/UIM/Challenge报文后，将接收到的报文通过和认证服务器之间的 AAA通讯协议发送至认证服务器，认证服务器对 AUTH1和自己保存的 AUTH2进行比较，如果一致，则通知认证点成功，然后认证点再向客户端发送 EAP-Success报文，通知客户端认证成功。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种实现用户认证的方法，应用于至少包括 IS95/CDMA2000 lx 网络的多模网络中，其特征在于，该方法包括以下步骤：

A. 预先设置支持客户端与认证点使用用户身份标识模块（ UIM ) 进行认证的扩展认证（EAP ) 协议，所述认证点为多模网络中的非 IS95/CDMA2000 lx网络；

2、根据权利要求 1所述的方法，其特征在于，步骤 A中所述 EAP 协议设置为报文代码 ( Code ), 标识符（ Identifier )、长度 ( Length ) 、数据（Data ) , 所述 Data 又进一步包括类型（Type ) 和数据类型

( TypeData )。

3、根据权利要求 2所述的方法，其特征在于，所述 Type设置为包括标识（Identity ) , 通知（Notification ) , 拒绝（Nak )、 MD5 挑战

( MD5-Challenge )、一次性密码 ( One-Time Password )、智能卡（ Generic Token Card )、用户身份标识模块（UIM )七种类型。

4、根据权利要求 3所述的方法，其特征在于，利用 1 ~ 6取值分别与设置的 Type类型相对应， Type类型为 UIM,取值为大于 6的任意值。

5、根据权利要求 2所述的方法，其特征在于，所述 TypeData设置为包括 Type、 Length和 Data三个域。

6、根据权利要求 5所述的方法，其特征在于，所述的 Type、 Length 和 Data大于等于 1小于等于 255的值，且 Type、 Length和 Data取值不相等。

7、根据权利要求 1所述的方法，其特征在于，所述步骤 B进一步包括：

Bl、客户端将用户身份标识发送至认证点；

B3、客户端根据所述随机数及客户端的 SSD计算出对应的第二鉴权数；

B4、认证点比较第一鉴权数与第二鉴权数是否一致，如果一致，则认证成功，否则，认证失败。

8、根据权利要求 7所述的方法，其特征在于，步骤 B1进一步包括： B11、认证点向客户端发送客户端请求用户身份标识

( EAP-Request/Identity )报文，要求客户端送上自己身份标识；

B12、客户端将用户身份标识通过标识回应（ EAP-Response/Identity ) 报文发送给认证点；

B13、认证点收到 EAP-Response/Identity 报文后，向客户端发送

EAP-UIM认证协议开始请求（EAP-Request UIM/Start )报文，开始进行 EAP-UIM认证；

B14、客户端收到 EAP-Request/UIM/Start报文后，给认证点发送

EAP-UIM认证协议开始回应（ EAP-Response UIM/Start )报文。

9、根据权利要求 8所述的方法，其特征在于，步骤 B14进一步包括：

认证点收到 EAP-Response/UIM/Start 艮文后，向客户端发送 EAP-UIM认证协议认证请求（EAP-Request/UIM/Challenge )报文，把从认证服务器获得的随机数发送给客户端。

10、根据权利要求 7所述的方法，其特征在于，步骤 B3进一步包括：客户端将自身计算出的第二鉴权数通过 EAP-UIM认证协议认证回应（ EAP-Response/UIM/Challenge )报文发送给认证点。

11、根据权利要求 7所述的方法，其特征在于，在认证失败后，该方法进一步包括：

E. 更新客户端与认证服务器中的 SSD, 保证两端 SSD相等，然后再返回步骤 B执行。