WO2010130121A1

WO2010130121A1 - 一种第三代网络的接入方法及系统

Info

Publication number: WO2010130121A1
Application number: PCT/CN2009/074143
Authority: WO
Inventors: 梁洁辉; 施元庆; 刘家兵
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2009-05-15
Filing date: 2009-09-23
Publication date: 2010-11-18
Anticipated expiration: 2011-11-15
Also published as: EP2445143B1; EP2445143A4; US8769647B2; US20120131329A1; CN101562814A; EP2445143A1

Abstract

本发明提供一种第三代网络的接入方法及系统，所述方法包括：终端采用无线局域网认证和保密基础结构 WAPI协议接入无线局域网，通过无线局域网的接入点 AP通知第三代3G网络的认证授权和审计 AAA服务器所述终端准备接入3G网络；所述 AAA服务器通过 AP获取所述终端的身份信息，并根据所述身份信息判定所述终端为3G网络的签约终端后，通过 AP与所述终端进行可扩展认证协议-传输层安全 EAP-TLS协商过程；所述 EAP-TLS协商过程完成后，所述终端接入3G网络。所述系统包括：无线局域网的 AP和3G网络的 AAA服务器。本发明减少了不必要的消息交互、证书验证和签名验证等处理，提高了系统的效率。

Description

一种第三代网络的接入方法及系统

技术领域

本发明涉及通信领域，尤其涉及一种第三代（3rd Generation, 3G ) 网络的接入方法及系统。

背景技术

为了应对无线局域网 IEEE( Institute of Electrical and Electronics Engineers , 电气和电子工程师协会） 802.11的安全机制 WEP ( Wried Equivalent Privacy , 有线等效隐私 )和 WPA ( Wi-Fi Protected Access, 无线保真保护访问 )存在的安全隐患，提出了 WAPI ( WLAN Authentication Privacy Infrastructure, 无线局域网认证和保密基础结构）安全协议。该协议实现了 ASUE (鉴别请求实体，设置在终端中）和 AE (鉴别器实体，设置在接入点中）的对等认证，确保了无线局域网（WLAN ) 的链路层安全。

WAPI安全协议支持两种格式的证书： GBW(国家标准物质正书和 X.509 v3证书。 X.509 v3证书支持多种扩展属性 /字段，包括：密钥标识符、密钥用法、扩展密钥用法、 CRL ( Certificate Revocation List,证书吊销列表）分布点、证书策略、证书机构策略映射、证书主体别名、颁发者别名和证书主体目录属性。

如图 1所示，无线局域网终端（简称终端）完成接入认证后，如果无线局域网与因特网相连，则终端可以通过无线局域网访问因特网；但对于 3G( 3rd Generation, 第三代）网络，终端还必须经过 3G网络的 AAA ( Authentication Authorization Accounting, 认证授权和审计）服务器的接入认证，才能访问电路业务和分组业务等 3G网络资源。

AAA服务器负责对具备 IP ( Internet Protocol, 因特网协议）能力的终端进行接入认证，检索存储在 HSS ( Home Subscriber Server, 归属用户服务器）中的用户信息，判断当前用户是否合法，维护 WLAN接入的连续性，提供 WLAN的漫游功能，生成用户接入 3G网络的账单，并报告给用户。如果 3G 网络应用 QoS ( Quality of Service, 服务质量）机制，那么 AAA服务器还需实现授权和存储无线局域网的 QoS配置，并将其映射到作为接入网的无线局域网中。

现有技术中， 3G 网络的 AAA 服务器釆用 EAP-SIM ( Extensible Authentication Protocol-Subscriber Identification Module , 可扩展认证协议 -用户 i只另l模块 )和 EAP-AKA ( Extensible Authentication Protocol- Authentication and Key Agreement, 可扩展认证协议-认证和密钥协商 )对釆用 IEEE 802.11i作为安全机制的无线局域网终端进行接入认证。这两种认证机制需要终端具备读取 UICC ( Universal Integrated Circuit Card, 通用集成电路卡）的能力，这就限制了无线局域网终端用户必须使用多模终端下才能享受 3G 网络服务。而对于釆用 WAPI安全机制而不具备读取 UICC能力的 WLAN终端， 3GPP( 3rd Generation Partnership Project, 第三代合作伙伴计划）组织目前尚未提出如何接入到 3G网络的技术方案。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种 3G 网络的接入方法及系统，使釆用 WAPI安全机制而不具备读取 UICC 能力的 WLAN终端可以安全地接入 3G网络。

本发明提供一种第三代网络的接入方法，该方法包括：

终端釆用无线局域网认证和保密基础结构 WAPI协议接入无线局域网后，通过无线局域网的接入点 AP通知第三代 3G网络的认证授权和审计 AAA 服务器该终端准备接入 3G网络；

AAA服务器通过 AP获取所述终端的身份信息，并根据所述身份信息判定所述终端为 3G网络的签约终端后，通过 AP与所述终端进行可扩展认证协议 -传输层安全 EAP-TLS协商过程；

EAP-TLS协商过程完成后，所述终端接入 3G网络。

此外，通知 AAA服务器该终端准备接入 3G网络的所述步骤包括：所述终端向 AP发送局域网可扩展认证协议的开始分组；接收到所述开始分组后， AP向 AAA服务器发送远程用户拨入认证系统 RADIUS协议的接入请求分组，以通知 AAA服务器有终端准备接入 3G网络。

此外，获取所述终端的身份信息的所述步骤包括：

AAA服务器通过 AP向所述终端发送可扩展认证协议的身份请求消息；接收到所述身份请求消息后，所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中，通过 AP发送给 AAA服务器。

此外，所述身份信息是记录在所述终端的终端证书中的： 3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。

此外，所述 EAP-TLS协商过程包括如下步骤：

AAA服务器通过 AP向所述终端发送包含 TLS启动消息的 EAP请求分组，以启动 EAP-TLS协商过程；

所述终端通过 AP向 AAA服务器发送包含 TLS客户端问候消息的 EAP 响应分组；所述 TLS客户端问候消息中包含所述终端的能力信息；

AAA服务器通过 AP向所述终端发送包含 TLS服务器问候消息、 TLS月良务器密钥交换消息的 EAP请求分组；所述 TLS服务器问候消息中包含 AAA 服务器根据所述终端的能力信息选择的密钥套件和压缩算法； TLS服务器密钥交换消息中包含 AAA服务器侧的密钥交换参数；

所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组；所述 TLS客户端密钥交换消息中包含终端侧的密钥交换参数。

此外， AAA服务器通过 AP向所述终端发送的、包含 TLS服务器问候消息和 TLS服务器密钥交换消息的所述 EAP请求分组中还包含： TLS证书消息和 TLS证书请求消息；所述 TLS证书消息中包含 AAA服务器证书；所述 TLS 证书请求消息用于指示所述终端提供终端证书；

所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组的所述步骤还包括：所述终端接收到所述 TLS证书消息和 TLS证书请求消息，对 TLS证书消息中包含的 AAA服务器证书进行验证，并根据所述 TLS 证书请求消息在其发送的所述 EAP响应分组中携带 TLS证书消息；所述 TLS 证书消息中包含终端证书；

进行可扩展认证协议 -传输层安全 EAP-TLS协商过程的所述步骤在所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组之后还包括： AAA服务器对接收到的所述 TLS证书消息中包含的所述终端证书进行验证。

本发明还提供一种第三代网络的接入系统，用于对无线局域网终端进行 3G网络的接入认证；该系统包含：无线局域网的 AP和 3G网络的 AAA服务器，其中：

所述 AP设置成釆用 WAPI协议对所述终端进行无线局域网的接入认证，并在终端接入无线局域网之后，向所述 AAA服务器发送所述终端准备接入 3G网络的通知消息；

所述 AAA服务器设置成通过所述 AP获取所述终端的身份信息，并根据所述身份信息判定所述终端是 3G网络的签约终端后，通过所述 AP与所述终端进行 EAP-TLS协商过程；并在 EAP-TLS协商过程完成后，允许所述终端接入 3G网络。

此外，所述 AP设置成釆用如下方式通知所述 AAA服务器所述终端准备接入 3G网络：

接收到所述终端发送的局域网可扩展认证协议的开始分组后，所述 AP 向所述 AAA服务器发送 RADIUS协议的接入请求分组，以通知所述 AAA服务器有终端准备接入 3G网络。

此外，所述 AAA服务器设置成釆用如下方式获取所述终端的身份信息：所述 AAA服务器通过所述 AP向所述终端发送可扩展认证协议的身份请求消息；

接收到所述身份请求消息后 , 所述终端将所述身份信息包含在可扩展认证协议的身份响应消息中，通过所述 AP发送给所述 AAA服务器。

此外，所述身份信息是记录在所述终端的终端证书中的： 3G网络中与所述终端的终端证书绑定的初始会话协议帐号、或所述终端的国际移动用户识别码。综上所述，本发明通过将 WAPI的终端证书作为接入 3G网络的凭证，使得 WLAN终端在签约后，使用同一证书即可同时安全地接入 WLAN和 3G 网络，极大地方便了用户。

此外，本发明对 AAA服务器侧的接入认证方法进行了优化，即 AAA服务器先通过 AP获取终端身份信息，并根据终端身份信息对终端进行初步的鉴别（判断终端是否是签约终端）后，再与终端进行 EAP-TLS协商，避免了与没有在 3G网络中签约的 WLAN终端发起 EAP-TLS协商，减少了不必要的消息交互、证书验证和签名验证等处理，提高了系统的效率。

附图概述

图 1 WLAN终端接入 3G网络示意图；

图 2是本发明实施例 WLAN终端接入 3G网络的方法流程图；

图 3是本发明实施例 3G网络的接入系统结构示意图。

本发明的较佳实施方式

本发明的核心思想是，终端釆用 WAPI协议接入无线局域网后，通过无线局域网的 AP通知 3G网络的 AAA服务器该终端准备接入 3G网络； AAA 服务器通过 AP获取终端的 3G接入身份信息，并判定该终端为 3G网络的签约终端后发起 EAP-TLS ( Extensible Authentication Protocol-Transport Layer Security, 可扩展认证协议-传输层安全）协商过程；终端与 AAA服务器通过 EAP-TLS协商过程完成 3G网络的证书鉴别（即接入认证）和密钥交换，主要包括：

( 1 )终端和 AAA服务器之间通过 TLS客户端问候消息 /TLS服务器问候消息的交互完成了双方能力参数（主要包括密钥套件和压缩算法）的协商； ( 2 )终端和 AAA服务器之间通过 TLS证书消息交换双方的证书（可选）；

( 3 )终端和 AAA服务器之间通过 TLS客户端密钥交换消息 /TLS服务器密钥交换消息完成密钥参数的交换和密钥的协商。下面将结合附图和实施例对本发明进行详细描述。

图 2是本发明实施例 WLAN终端接入 3G网络的方法流程图，如图 2所示，该方法包括如下步骤：

201 : 当 WLAN终端（简称终端或 UE ) 关联或重新关联至 AP时， AP 向终端发送鉴别激活分组；

鉴别激活分组中包含： AP证书和 AP信任的鉴别服务器标识。

202: 终端收到鉴别激活分组后，保存 AP证书，根据 AP信任的鉴别服务器标识选择 AP信任的鉴别服务器所颁发的终端证书，生成 ECDH (椭圓曲线密码体制的 Diffie-Hellman (戴菲 -赫曼 ) )交换所使用的临时密钥对（包括：临时公钥 px、临时私钥 sx ) , 向 AP发送接入鉴别请求分组；

接入鉴别请求分组中包含：终端证书、终端的临时公钥 px以及终端的签名等参数。

203: AP收到接入鉴别请求分组后，验证终端的签名是否正确：如果终端的签名正确，则向鉴别服务器发送证书鉴别请求分组；否则丟弃该接入鉴别请求分组，本流程结束；

证书鉴别请求分组中包含： AP证书和终端证书。

204: 鉴别服务器收到证书鉴别请求分组后，对 AP证书和终端证书进行验证，并将证书验证结果以及鉴别服务器的签名包含在证书鉴别响应分组中发送给 AP。

205: AP收到证书鉴别响应分组后，根据其中包含的证书验证结果及鉴别服务器的签名检查终端的证书是否有效，如果终端证书无效，则丟弃证书鉴别响应分组，本流程结束；如果终端证书有效，则生成用于 ECDH交换的临时密钥对（包括：临时公钥 py、临时私钥 sy ) , 使用 AP的临时私钥 sy和终端的临时公钥 px进行 ECDH运算，得到基密钥 BK, 并向终端发送接入鉴别响应分组。

接入鉴别响应分组中包含：证书验证结果、鉴别服务器的签名、 AP的临时公钥 y和 AP的签名。

206: 终端收到接入鉴别响应分组后，根据证书验证结果、鉴别服务器的签名以及 AP的签名检查 AP证书是否有效：如果 AP证书无效，则丟弃接入鉴别响应分组，本流程结束；否则使用终端的临时私钥 sx和 AP的临时公钥 py进行 ECDH运算，得到基密钥 BK。

需要注意的是，根据 ECDH原理， AP和终端生成的基密钥 BK相同。经过步骤 201 ~ 206的交互，终端和 AP完成了证书鉴别过程，并在证书鉴别过程中协商出了基密钥 BK; 在后续步骤中，终端和 AP将使用基密钥 BK协商生成单播会话密钥。

207: AP向终端发送单播密钥协商请求分组；

单播密钥协商请求分组中包含： AP生成的随机数等参数。

208: 接收到单播密钥协商请求分组后，终端生成随机数 N₂; 使用基密钥 BK、随机数和随机数 N₂计算生成单播会话密钥；并向 AP发送单播密钥协商响应分组；

单播密钥协商响应分组中包含随机数 N₂等参数。

209: AP接收到单播密钥协商响应分组后，使用基密钥 BK、随机数和随机数 N₂计算生成单播会话密钥，并向终端发送单播密钥协商确认分组，结束单播密钥的协商过程。

至此，终端和 AP完成了 WAPI协议的证书鉴别过程和单播会话密钥协商过程，终端成功接入无线局域网。在以下步骤中，终端将釆用 EAP-TLS协商过程接入 3G 网络，在此过程中，终端与 AP之间通过 EAPoL协议封装 EAP-TLS 消息， WLAN接入网络与 3G AAA之间通过 RADIUS ( Remote Authentication Dial-In User Service , 远程用户拨入认证系统）协议封装 EAP-TLS消息，并且终端与 AP之间可以使用上述单播密钥协商过程中协商得到的单播会话密钥进行链路层的加密。

210:当终端准备接入 3G网络时 ,首先向 AP发送 EAPoL( EAP Over LAN, 局域网可扩展认证协议）的 START (开始）分组，通知 AP该终端准备接入 3G网络。

211 : AP收到终端发送的 EAPoL START (开始）分组后，将其封装成 RADIUS协议的接入请求分组，发送给 3G网络的 AAA服务器，通知 AAA 服务器有终端要接入 3G网络。

212:接收到上述接入请求分组后， AAA服务器通过 AP向终端发送 EAP ( Extensible Authentication Protocol , 可扩展认证协议）身份请求 ( EAP-Request/Identity ) 消息，以获取终端的身份信息。

213: 终端收到 EAP身份请求消息后，将终端证书的主体别名字段中记录的身份信息包含在 EAP身份响应（ EAP-Response/Identity ) 消息中通过 AP 发送给 AAA服务器；

上述主体别名字段中记录的身份信息可以是在 3G 网络中与终端证书绑定的 SIP ( Session Initial Protocol, 初始会话协议）账号或 IMSI ( International Mobile Subscriber Identifier, 国际移动用户识别码 )等信息。

214: AAA服务器收到 EAP身份响应消息后，根据该消息中携带的终端身份信息判断该终端是否已签约（即是否为 3G 网络的签约终端），如果未签约，则本流程结束；如果终端已签约，则通过 AP向终端发送包含 TLS启动（TLS Start ) 消息的 EAP请求分组，开始进行 TLS协商过程。

AAA服务器可以在本地存储的用户签约信息或存储在 HSS 中的用户签约信息中检索上述消息中携带的终端身份信息，并根据检索的结果判断对应终端是否已签约。

215: 终端开始正常的 TLS握手过程，向服务器发送包含 TLS客户端问候（ TLS client_hello ) 消息的 EAP响应分组；

TLS客户问候消息中包含终端的 TLS能力信息，具体包含： TLS版本号、会话标识、初始随机数、客户端支持的密钥套件和压缩算法等参数。

216 : AAA服务器通过 AP 向终端发送包含 TLS 服务器问候（ TLS server hello ) 消息、 TLS证书（ TLS certificate ) 消息、 TLS服务器密钥交换 ( TLS server— key— exchange ) 消息、 TLS证书请求 ( TLS certificate— request ) 消息和 TLS服务器问候结束（TLS server— hello— done )消息的 EAP请求分组；其中：

TLS服务器问候消息中包含： AAA服务器根据终端的能力信息，从终端支持的密钥套件和压缩算法中选择的 AAA服务器支持的密钥套件和压缩算法等信息；

TLS证书消息中包含 AAA服务器证书；

TLS服务器密钥交换消息中包含 AAA服务器侧的密钥交换参数；

TLS证书请求消息用于指示终端提供证书；

TLS服务器问候结束消息用于表示本阶段的服务器握手过程结束， AAA 服务器开始等待终端的应答。

217:终端接收到上述 EAP请求分组后，验证 TLS证书消息中包含的 AAA 服务器证书，验证通过后，通过 AP向 AAA服务器发送包含 TLS证书（TLS certificate )消息、 TLS客户端密钥交换（ TLS client— key— exchange )消息、 TLS 证书验证（ TLS certificate_verify ) 消息、 TLS 改变加密说明（ TLS change— cipher— spec ) 消息和 TLS握手完成（TLS finished ) 消息的 EAP响应分组；其中：

TLS证书消息中包含终端证书；

TLS客户端密钥交换消息中包含终端侧的密钥交换参数；

TLS证书验证消息中包含终端的签名信息，防止非授权终端仿冒该终端接入 3G网络；

TLS改变加密说明消息用于通知 AAA服务器开始启用新的密钥套件和压缩算法；

TLS握手完成消息用于表示终端已完成本阶段的 TLS握手协议。

218: 接收到上述 EAP响应分组后， AAA服务器验证其中包含的终端证书和终端的签名；如果验证失败，则丟弃该分组，本流程结束；如果验证通过，则通过 AP向终端发送包含 TLS改变加密说明（ TLS change cipher spec ) 消息和 TLS握手完成（TLS finished ) 消息的 EAP请求分组；其中：

TLS 改变加密说明消息用于通知终端开始启用新的密钥套件和压缩算法；

TLS握手完成消息用于表示 AAA服务器已完成本阶段的 TLS握手协议。 219: 终端向 AAA服务器发送 EAP响应分组，指示已完成 TLS协商。 220: AAA服务器发送 EAP成功（ EAP-SUCCESS ) 消息，表明完成对终端的证书鉴别（即接入认证）并协商出会话密钥，允许终端接入 3G网络。

221 : 接收到 EAP成功消息后，终端获知接入认证成功，因此通过 WAG ( Wireless Access Gateway, 无线接入网关） /PDG ( Packet Data Gateway, 分组数据网关）使用 3G网络的资源，发起音频、视频等 3G业务。

根据本发明的基本原理，上述实施例还可以有多种变换方式，例如：

(一 )根据 WAPI协议，除了在步骤 201 ~ 205所示的证书鉴别过程中进行 BK的协商外，终端和 AP也可以使用预共享密钥（PSK )直接导出 BK。

(二）根据 WAPI协议， AP在接收到包含终端证书的接入鉴别请求后，也可以在本地进行证书的验证，因此步骤 203 ~ 204可省略；同样，终端也无需使用鉴别服务器的证书验证结果，而在本地对 AP证书进行验证。

(三）在步骤 211中， AP接收到终端发送的 EAPoL START (开始）分组后，获知终端准备接入 3G网络，也就是获知终端与 AAA服务器的后续消息交互是用于 3G 网络的接入认证和密钥协商，因此 AP可以不对后续的 EAP-TLS 协商过程中的 EAP-TLS 消息进行链路层加密，终端也无需对 EAP-TLS消息进行链路层加密。

图 3是本发明实施例 3G网络的接入系统结构示意图，该系统用于对无线局域网终端（简称终端）进行 3G 网络的接入认证；该系统包含：无线局域网的 AP、无线局域网的鉴别服务器和 3G网络的 AAA服务器，其中： AP和鉴别服务器用于釆用 WAPI协议对终端进行无线局域网的接入认证，在终端接入无线局域网之后， AP向 AAA服务器发送终端准备接入 3G 网络的通知消息；

AAA服务器用于通过 AP获取终端的身份信息，并根据所述身份信息判定终端是 3G网络的签约终端后，通过 AP与终端进行 EAP-TLS协商过程；并在 EAP-TLS协商过程完成后，允许终端接入 3G网络。

上述身份信息是记录在终端证书中的： 3G网络中与该终端证书绑定的初始会话协议帐号、或该终端的国际移动用户识别码。

AP可以釆用如下方式通知 AAA服务器终端准备接入 3G网络：接收到终端发送的局域网可扩展认证协议的开始分组后， AP 向 AAA服务器发送 RADIUS协议的接入请求分组，以通知 AAA服务器有终端准备接入 3G网络。

AAA服务器可以釆用如下方式获取终端的身份信息： AAA服务器通过 AP向终端发送可扩展认证协议的身份请求消息；接收到该消息后，终端将身份信息包含在可扩展认证协议的身份响应消息中，通过 AP发送给 AAA服务哭口

上述系统中包含的其它网元、各网元的详细功能、以及各网元间的连接关系（消息交互关系）详见上述对图 2所示的方法的描述部分。

工业实用性

本发明对 AAA服务器侧的接入认证方法进行了优化，即 AAA服务器先通过 AP获取终端身份信息，并根据终端身份信息对终端进行初步的鉴别 (判断终端是否是签约终端）后，再与终端进行 EAP-TLS协商，避免了与没有在 3G网络中签约的 WLAN终端发起 EAP-TLS协商，减少了不必要的消息交互、证书验证和签名验证等处理，提高了系统的效率。

Claims

权利要求书

1、一种第三代网络的接入方法，该方法包括：

终端釆用无线局域网认证和保密基础结构 WAPI协议接入无线局域网，通过无线局域网的接入点 AP通知第三代 3G网络的认证授权和审计 AAA服务器所述终端准备接入 3G网络；

所述 AAA服务器通过 AP获取所述终端的身份信息，并根据所述身份信息判定所述终端为 3G网络的签约终端后，通过 AP与所述终端进行可扩展认证协议 -传输层安全 EAP-TLS协商过程；

所述 EAP-TLS协商过程完成后，所述终端接入 3G网络。

2、如权利要求 1所述的方法，其中，通过无线局域网的接入点 AP通知第三代 3G网络的认证授权和审计 AAA服务器所述终端准备接入 3G网络的所述步骤包括：

所述终端向 AP发送局域网可扩展认证协议的开始分组；

所述 AP接收所述开始分组，向 AAA服务器发送远程用户拨入认证系统 RADIUS协议的接入请求分组，以通知所述 AAA服务器有终端准备接入 3G 网络。

3、如权利要求 1或 2所述的方法，其中，所述 AAA服务器通过 AP获取所述终端的身份信息的所述步骤包括：

AAA服务器通过 AP向所述终端发送可扩展认证协议的身份请求消息；所述终端接收所述身份请求消息，将所述身份信息包含在可扩展认证协议的身份响应消息中，通过 AP发送给所述 AAA服务器。

4、如权利要求 1所述的方法，其中，

所述身份信息是记录在所述终端的终端证书中的以下信息之一：

所述终端的国际移动用户识别码。

5、如权利要求 1所述的方法，其中，进行可扩展认证协议 -传输层安全 EAP-TLS协商过程的所述步骤包括： AAA服务器通过 AP向所述终端发送包含 TLS启动消息的 EAP请求分组，以启动 EAP-TLS协商过程；

所述终端通过 AP向 AAA服务器发送包含 TLS客户端问候消息的 EAP 响应分组，所述 TLS客户端问候消息中包含所述终端的能力信息；

AAA服务器通过 AP向所述终端发送包含 TLS服务器问候消息和 TLS服务器密钥交换消息的 EAP请求分组，所述 TLS服务器问候消息中包含 AAA 服务器根据所述终端的能力信息选择的密钥套件和压缩算法，所述 TLS服务器密钥交换消息中包含 AAA服务器侧的密钥交换参数；以及

所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组，所述 TLS客户端密钥交换消息中包含终端侧的密钥交换参数。

6、如权利要求 5所述的方法，其中，

AAA服务器通过 AP向所述终端发送的、包含 TLS服务器问候消息和 TLS 服务器密钥交换消息的 EAP请求分组中还包含： TLS证书消息和 TLS证书请求消息，所述 TLS证书消息中包含 AAA服务器证书，所述 TLS证书请求消息用于指示所述终端提供终端证书；

所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组的所述步骤还包括：

所述终端接收到所述 TLS证书消息和 TLS证书请求消息，对所接收到的 TLS证书消息中包含的 AAA服务器证书进行验证，并根据所接收到的 TLS 证书请求消息在所发送的 EAP响应分组中携带 TLS证书消息，所携带的 TLS 证书消息中包含终端证书；

进行可扩展认证协议 -传输层安全 EAP-TLS协商过程的所述步骤在所述终端向 AAA服务器发送包含 TLS客户端密钥交换消息的 EAP响应分组之后还包括：

AAA服务器对接收到的 TLS证书消息中包含的终端证书进行验证。

7、一种第三代网络的接入系统，该系统包括：无线局域网的 AP和 3G 网络的 AAA服务器，其中：

所述 AP设置成釆用 WAPI协议对终端进行无线局域网的接入认证，并在终端接入无线局域网之后，向所述 AAA服务器发送有终端准备接入 3G网络的通知消息；

所述 AAA服务器设置成通过所述 AP获取终端的身份信息，根据所述身份信息判定所述终端是 3G网络的签约终端后，通过所述 AP与所述终端进行 EAP-TLS协商过程，并在 EAP-TLS协商过程完成后，允许所述终端接入 3G 网络。

8、如权利要求 7所述的系统，其中，

所述 AP设置成釆用如下方式通知所述 AAA服务器有终端准备接入 3G 网络：

所述 AP接收终端发送的局域网可扩展认证协议的开始分组，向所述

AAA服务器发送 RADIUS协议的接入请求分组，以通知所述 AAA服务器有终端准备接入 3G网络。

9、如权利要求 7或 8所述的系统，其中，

所述 AAA服务器设置成釆用如下方式获取终端的身份信息：

所述 AAA服务器通过所述 AP向终端发送可扩展认证协议的身份请求消息；

所述终端接收所述身份请求消息 , 将所述身份信息包含在可扩展认证协议的身份响应消息中，通过所述 AP发送给所述 AAA服务器。

10、如权利要求 9所述的系统，其中，

所述终端的身份信息是记录在终端的终端证书中的以下信息之一：

3G网络中与终端的终端证书绑定的初始会话协议帐号；或

终端的国际移动用户识别码。