一種Wi-Fi無線節點入網方法及系統的制作方法

一種Wi-Fi無線節點入網方法及系統的制作方法
【技術領域】
[0001]本發明屬于通信安全領域，涉及一種通過移動終端設備授信W1-Fi節點接入互聯網的認證方法及系統。
【背景技術】
[0002]W1-Fi接入網絡是實現固網、移動網絡的形成融合互補的有效方案，無線網絡接入點即本文所述W1-Fi節點。對于無線網絡接入點的部署，需要跳出傳統移動網絡的觀念，通過創新的業務模式和應用模式將移動業務主導的蜂窩基站和固定業務主導的W1-Fi站點相結合，在互利共贏基礎上探尋開放運營模式，使得W1-Fi技術能作為一種更安全低廉的無線接入方案，提供高速數據無線接入，改善宏蜂窩網絡的小區負荷，更重要得是可以增強用戶綜合感知度，使移動業務和寬帶業務在市場競爭中相互促進相互支撐。
[0003]近年來，無線互聯網業務的迅猛發展，對無線寬帶網絡建設提出極大的帶寬需求，相比于運營商現有部署的3G/4G無線寬帶網絡，W1-Fi技術具有自組織、自動偵測、接入設備小、易于安裝、接入成本低等綜合優勢，且回程線路多利用有線寬帶，特別適合在局部區域部署吸收移動互聯網中高速率低附加值業務，對現有的移動寬帶網絡進行分流吸熱，提升移動寬帶網絡的流量營收附加值。雖然近年來W1-Fi技術以其簡便靈活易用在蜂窩網絡吸熱分流中的得到廣泛應用，但是受網絡安全和移動性制約，在電信級運營部署中一直未受到主力技術體制部署。
[0004]與蜂窩宏基站不同，W1-Fi接入點(AP)需要大量部署，一般通過固網運營商不可信的有線鏈路連接到互聯網，這必然為運營商實現電信級W1-Fi接入管理和運營帶來諸多不便。一方面，W1-Fi接入點部署在不可信的互聯網環境中，極易受到惡意用戶的攻擊，并以W1-Fi接入點為通道(例如偽接入點或者偽基站)，進一步對UE造成網絡安全威脅，另一方面，大量部署W1-Fi接入點需要耗費運營商大量的人力物力，隨著城市快速變化，第三方虛擬運營商大量興起，如何促進虛擬運營商投入到W1-Fi接入點建設，是關系到W1-Fi能否成為一種新興的虛擬運營商務模式的關鍵。雖然業界已經提出一系列基于SIM卡鑒權認證的W1-Fi接入認證安全方案，但主要還是建立在基于安全接入鏈路和授信AP節點上的UE的接入鑒權，并沒有完整的UE通過W1-Fi接入點接入互聯網的安全認證方法。
[0005]本發明提出一種適合在無線業務熱點快速部署的W1-Fi節點通過電信網絡認證接入互聯網的方法及系統設備，基于此項技術，運營商可以基于W1-Fi接入技術構建適合用戶安全接入的無線局域網絡，并且支持用戶不受打擾的無縫接入，同時支持開展第三方合作部署的新運營模式。

【發明內容】

[0006]本發明針對現有技術中缺少完整的用戶設備直接通過無線訪問接入點接入互聯網的安全認證方法，提出一種適合在無線業務熱點快速部署的W1-Fi節點通過電信網絡認證接入互聯網的方法及系統設備。
[0007]本發明涉及使用的網絡設備包括:
用戶設備，簡稱UE，一般指移動終端等網絡用戶側接入設備，通過該設備用戶訪問網絡，其用戶身份信息為WDl。
[0008]無線訪問接入點設備，簡稱AP，一般指運營商部署的小型接入站點，UE通過該小型站點完成認證及必要的報文加密后，接入到網絡，其用戶身份信息為WD2。
[0009]接入控制器設備，簡稱AC，一般指作為認證鑒權網關設備代表核心網對AP及UE進行接入認證與授權管理，認證通過后，指示AP為UE開放相關網絡接入資源，從而確保用戶能夠安全接入到網絡。
[0010]AAA服務器，根據核心網網元HSS服務器所保留的用戶簽約數據庫信息對AP和UE設備進行鑒權計算。
[0011]歸屬用戶服務器，簡稱HSS服務器，管理用戶的各種簽約數據。
[0012]本發明通過在UE、AP和AAA服務器實體之間三方交互消息，傳遞攜帶證書性質的認證信息，進行AP與AAA、UE與AAA之間的雙向認證，從而建立起面向UE的授信AP接入線路，既使UE可以無感知的接入該授信節點，同時也使得UE接入網絡更加安全。具體方案如下:
一種W1-Fi無線節點入網方法，包括步驟SI，無線訪問接入點通過接入控制器進行接入核心網認證，建立認證安全信道Ipsec，具體為無線訪問接入點和接入控制器之間采用標準密鑰交換協議IKEv2承載EAP-AKA/SM的方式進行如下雙向認證:
(1.1)無線訪問接入點和接入控制器通過初始交換信息進行接入鑒權。
[0013](1.2)無線訪問接入點將SIM卡承載的身份信息通過接入控制器發送給AAA服務器。
[0014](1.3)AAA服務器檢查無線訪問接入點身份，并獲取一組認證向量:挑戰隨機數RAND、認證令牌AUTN、認證挑戰SRES、加密密鑰CKl和完整性密鑰IKl。
[0015](1.4)AAA服務器計算主密鑰MKl并保存，建立與該主密鑰MKl對應的無線訪問接入點身份列表。
[0016](^^么么服務器計算消息認證碼嫩&虹代^連同(1.3)中得到的挑戰隨機數RAND、認證令牌AUTN通過EAP-Request/AKA(SIM) -Challenge消息發送給無線訪問接入點。
[0017](1.6)無線訪問接入點用步驟(1.4)的方法分別計算主密鑰MKl和主會話密鑰MSKl并存儲，計算響應XRES和消息認證碼MACuser。
[0018](1.7)無線訪問接入點驗證步驟(1.5)接收到的消息認證碼MACserver和挑戰隨機數RAND，驗證通過后，將步驟(1.6)中得到的認證響應XRES和消息認證碼MACuser，通過 EAP-Response/AKA-Challenge 消息發送給 AAA 服務器。
[0019](1.8) AAA服務器驗證接收到的認證響應XRES和消息認證碼MACuser，如果驗證通過，AAA發送EAP-Success消息到無線訪問接入點，并將主會話密鑰MSKl發送給接入控制器。
[0020](1.9)無線訪問接入點和接入控制器將主會話密鑰MSKl作為種子，計算出子密鑰MSK_S，無線訪問接入點和接入控制器之間利用該子密鑰進行安全通信。
[0021]步驟S2，用戶設備與無線訪問接入點之間進行如下認證:
(2.1)用戶設備向無線訪問接入點發起鑒權請求，無線訪問接入點向用戶設備發送EAPRequest/identity消息，用于請求用戶設備的身份。
[0022](2.2)用戶設備將自己的身份信息通過無線訪問接入點連接的接入控制器發送給AAA服務器。
[0023](2.3)AAA服務器對獲得的用戶設備身份進行檢查，并從歸屬用戶服務器服務器獲取認證向量:挑戰隨機數RAND、認證令牌AUTN、認證挑戰SRES、加密密鑰CK2和完整性密鑰IK2。
[0024](2.4) AAA 服務器計算主密鑰:MK2= prf (Identity_UE | ΙΚ2 | CK2))，并使用主密鑰MK2生成主會話密鑰MSK2，其中I表示比特串的鏈接，prf是偽隨機函數，Identity_UE是用戶設備身份。
[0025](2.5)AAA服務器保存主密鑰MK2，建立與該主密鑰MK2對應的用戶設備身份列表。
[0026]^^^么么服務器計算消息認證碼嫩&虹代^連同(2.3)中得到的挑戰隨機數RAND、認證令牌AUTN通過EAP-Request/AKA (SM) -Challenge消息發送給用戶設備。
[0027](2.7)用戶設備用步驟(2.4)的方法分別計算主密鑰MK2和主會話密鑰MSK2，并將這兩個密鑰存儲后，計算認證響應XRES和消息認證碼MACuser。
[0028](2.8)用戶設備驗證步驟(2.6)接收到的消息認證碼MACserver和挑戰隨機數RAND，驗證通過后，將步驟(2.7)中得到的認證響應XRES和消息認證碼MACuser，通過EAP-Response/AKA-ChalIenge 消息發送給 AAA 服務器。
[0029](2.9) AAA服務器驗證接收到的認證響應XRES和消息認證碼MACuser，如果驗證通過，AAA發送EAP-Success消息到無線訪問接入點，并將主會話密鑰MSK2發送給無線訪問接入點。
[0030](2.10)用戶設備和無線訪問接入點將主會話密鑰MSK2作為種子，計算出子密鑰MSK_U，用戶設備和無線訪問接入點之間利用該子密鑰進行安全通信。
[0031](2.11)無線訪問接入點在本地為用戶設備分配IP地址，轉發經MSK_U加密的EAP-Success消息，通知用戶設備鑒權成功。
[0032]進一步地，步驟(1.1)具體為:(a)無線訪問接入點向接入控制器發送初始交換IKE_SA_INIT請求消息；
(b)接入控制器向無線訪問接入點返回初始交換IKE_SA_INIT響應消息。
[0033]步驟(1.3)中AAA服務器獲取認證向量需先查找所述無線接入點是否在AAA服務器中存在有效認證向量，若存在則直接使用，若不存在則從歸屬用戶服務器服務器獲取一組認證向量，所述有效認證向量為在預先設定有效時間內的認證向量。
[0034]步驟(1.4)AAA服務器計算主密鑰公式為MKl=prf (Identity_AP | IKl | CKl))，其中表示比特串的鏈接，prf是偽隨機函數，Identity_AP是無線訪問接入點身份。
[0035]步驟(1.5) AAA服務器通過分組加密算法計算消息認證碼。
[0036]步驟(1.4)中建立與主密鑰MKl對應的無線訪問接入點身份列表的方法