_浙江联通W+W统一认证业务对WLAN网络技术要求.doc

浙江联通W+W统一认证业务对WLAN网络技术要求1.1 目标系统架构目标网络拓扑示意如下图所示：1.2 对WLAN网络要求1、 WLAN网络（WLAN AN，AP/AC/BRAS）需要支持EAP认证。2、 WLAN网络在现有的WLAN SSID上同时开启WEB认证和EAP认证。1.3 业务实现流程本地WLAN用户连接至联通的SSID后，将自动发起EAP-SIM/AKA认证流程，经过AAA认证平台和HLR的认证鉴权，完成认证流程，建立WLAN网络连接。可以直接访问互联网。相关的业务流程如下图所示： 总体接入流程用户通过WLAN手机终端（WLAN UE）与联通WLAN网络（WLAN AN）建立802.11关联，并向认证平台（AAA认证系统）发起EAP-SIM/AKA认证，认证平台收到请求后向HLR请求获取n组鉴权向量和用户签约信息，认证通过后由WLAN网络向终端进行DHCP地址分配，并允许终端访问CHINA169。总体接入流程如下图描述：图1-1总体接入流程图 EAP-AKA认证流程对于使用3G WLAN手机的全鉴权流程如下图所示：图1-2 EAP-AKA认证流程图1) WLAN UE 和 WLAN AN建立关联之后，UE向WLAN AN发送EAPoL-Start，发起鉴权请求。2）WLAN AN发送EAP-Request/Identity消息到WLAN UE。3）WLAN UE 回复EAP-Response/Identity消息，向网络发送其用户身份标识信息，身份标识可以为伪随机NAI或永久NAI。4）WLAN AN将EAP报文使用RADIUS Access-Request消息封装，并将Identity放在RADIUS的User-Name属性中，发送给AAA Server。5）AAA Server收到包含用户身份的EAP-Response/Identity报文。6）AAA Server识别出用户准备使用的认证方法为EAP-AKA。如果UE送上的Identity为伪随机NAI， AAA Server检查本地没有该伪随机NAI与IMSI的映射关系，则使用EAP Request/AKA-Identity消息再次请求永久NAI（6、7、8、9步仅用于WLAN UE漫游到新的拜访地而使用其他AAA分配的伪随机NAI接入认证的场景）。EAP报文封装在RADIUS Access-Challenge消息中，发送给WLAN AN。7）WLAN AN转发EAP-Request/AKA-Identity消息到WLAN UE。8）WLAN UE使用EAP-Response/AKA-Identity消息携带永久NAI进行响应9）WLAN AN转发EAP-Response/AKA-Identity消息携带永久NAI到AAA Server，EAP报文封装在RADIUS Access-Request消息中。10）AAA Server检查本地是否缓存可用的鉴权向量，如果没有则向HLR发送MAP_SEND_AUTH_INFO请求，请求获取n组鉴权向量（n可配置，取值范围15）。11）HLR响应AAA Server鉴权请求，下发n组鉴权五元组。12）AAA Server检查本地是否存在用户的签约信息。如果没有，则AAA向HLR发起MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)请求，获取用户签约信息。13）HLR向AAA Server发起插入用户数据MAP_INSERT_SUBS_DATA请求，向AAA Server插入数据。14）AA Server响应HLR插入用户数据消息，完成用户签约信息获取。15)HLR向AAA Server回复MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)响应消息，完成HLR的交互流程。16）AAA Server检查用户签约通过后，根据算法生成TEKs、MSK和EMSK（参见IETF RFC 4187）。为支持标识保密功能，AAA Server还要生成伪随机NAI和快速重鉴权NAI，用于后续的全鉴权和快速重鉴权过程。17）AAA Server在EAP-Request/AKA-Challenge消息中发送RAND，AUTH, 一个消息鉴权码（MAC）和2个用户标识（伪随机NAI和快速重鉴权NAI）给WLAN AN，EAP报文封装在RADIUS Access-Challenge消息中。AAA Server可选发送给WLAN UE一个指示。指出希望保护最后的成功结果消息（如果结果成功）。18）WLAN AN转发EAP-Request/AKA-Challenge消息到WLAN UE。19）WLAN UE运行USIM中UMTS算法。USIM验证AUTN并且据此认证网络。如果AUTN验证错误，终端拒绝鉴权（未在本例中显示）。如果序列号验证失败，终端发起同步过程。参见IETF RFC 4187。重同步过程如下：A、USIM计算根据Ki、SQN、AMF以及随机数RAND通过f1star计算MACS，MACS和SQN一起组成AUTS。然后向AAA Server发送鉴权失败消息，带有参数AUTS。B、AAA Server收到带有AUTS参数的鉴权失败消息后，发现是重同步过程，就向HLR/AUC索取新的鉴权向量。C、HLR收到AAA Server的索取鉴权向量请求后，发现是重同步过程，就转入同步过程的处理。首先验证SQN是否在正确的范围内，即下一个产生的序列码SQN是否能被USIM接受。如果SQN在正确的范围内，那么HLR/AUC产生一批新的鉴权向量并把它发送给AAA Server。如果SQN不在正确的范围内，则HLR/AUC根据Ki、SQN、AMF、RAND通过f1star算法计算并验证XMACS。如果XMACS=MACS，则把SQNms的值赋给SQNHE，然后产生一批新的鉴权向量并把它发送给AAA Server。D、AAA Server重新向MS发起一个鉴权流程，处理同正常的鉴权过程。如果AUTN验证正确，USIM计算RES,IK和CK。WLAN UE从由USIM新计算出的IK和CK推导出新的附加密钥素材。用新导出的密钥素材检查收到的MAC。如果收到受保护的伪随机身份和快速重鉴权身份，WLAN UE保存这些临时身份用于后续鉴权。20）WLAN UE 使用新密钥素材覆盖整个EAP消息计算新消息认证码（message authentication code，MAC）值。WLAN UE发送包含RES和新消息认证码的EAP Response/AKA-Challenge消息给WLAN AN。如果WLAN UE从AAA Server收到认证结果保护指示，则WLAN UE必须在此消息中包含结果指示。否则WLAN UE必须忽略该指示。21) WLAN AN发送EAP-Response/AKA-Challenge报文到AAA Server，EAP报文封装在RADIUS Access-Request消息中。22）AAA Server检查收到的消息认证码（MAC）比较XRES和收到RES。23）如果所有检查都成功，且AAA Server之前发送过认证结果保护标识，则AAA Server必须在发送EAP Success消息前发送EAP-Request/AKA-Notification消息。EAP报文封装在RADIUS Access-Challenge消息中，且用MAC保护。24）WLAN AN转发EAP消息到WLAN UE。25）WLAN UE发送EAP-Response/AKA-Notification。26）WLAN AN发送EAP-Response/AKA-Notification 消息到AAA Server，EAP报文封装在RADIUS Access-Request消息中。AAA Server必须忽略该消息内容。27) AAA Server发送EAP Success消息到WLAN AN (可能在发送EAP-Notification之前，参见第23步描述)。如果AAA Server产生了额外的用于WLANAN和WLAN UE间链路保护的机密性和/或完整性保护的鉴权密钥， AAA Server在RADIUS Access-Accept消息中包含这些密钥素材（WLAN AN存储密钥信息，暂不使用）。28）WLAN AN通过EAP Success消息通知WLAN UE鉴权成功。至此，EAP-AKA交互已经成功完成。 EAP-SIM认证流程对于使用2G WLAN手机的全鉴权流程如下图所示：图1-3 EAP-SIM认证流程图1) WLAN UE 和 WLAN AN建立关联之后，UE向WLAN AN发送EAPoL-Start，发起鉴权请求。2）WLAN AN发送 EAP-Request/Identity消息到WLAN UE。3）WLAN UE回复EAP-Response/Identity消息，向网络发送其用户身份标识信息，身份标识可以为伪随机NAI或永久NAI。4）WLAN AN将EAP报文使用RADIUS Access-Request消息封装，并将Identity放在RADIUS的User-Name属性中，发送给AAA Server。5）AAA Server收到包含用户身份的EAP-Response/Identity报文。6）AAA Server识别出用户准备使用的认证方法为EAP-SIM。如果UE送上的Identity为伪随机NAI， AAA Server检查本地没有该伪随机NAI与IMSI的映射关系，则使用EAP Request/SIM-Start消息再次请求永久NAI（6、7、8、9步仅用于WLAN UE漫游到新的拜访地而使用其他AAA分配的伪随机NAI接入认证的场景）。EAP报文封装在RADIUS Access-Challenge消息中，发送给WLAN AN。7）WLAN AN转发EAP-Request/SIM-Start消息到WLAN UE。8）WLAN UE使用EAP-Response/SIM-Start消息携带永久NAI进行响应9）WLAN AN转发EAP-Response/SIM-Start消息携带永久NAI到AAA Server，EAP报文封装在RADIUS Access-Request消息中。10）AAA Server检查本地是否缓存可用的鉴权向量，如果没有则向HLR发送MAP_SEND_AUTH_INFO请求，请求获取n组鉴权向量（n可配置，取值范围15）。11）HLR响应AAA Server鉴权请求，下发n组鉴权三元组。12）AAA Server检查本地是否存在用户的签约信息。如果没有，则AAA向HLR发起MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)请求，获取用户签约信息。13）HLR向AAA Server发起插入用户数据MAP_INSERT_SUBS_DATA请求，向AAA Server插入数据。14）AAA Server响应HLR插入用户数据消息，完成用户签约信息获取。15）HLR向AAA Server回复MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)响应消息，完成HLR的交互流程。16）AAA Server检查用户签约通过后，根据算法生成TEKs、MSK和EMSK（参见IETF RFC 4186），将m组（默认m=2，可配置，同步设备规范）RAND串起来后生成一个N*RAND。为支持标识保密功能，AAA Server还要生成伪随机NAI和快速重鉴权NAI，用于后续的全鉴权和快速重鉴权过程。17）AAA Server在EAP-Request/SIM-Challenge消息中发送RAND，一个消息鉴权码（MAC）和2个用户标识（伪随机NAI和快速重鉴权NAI）给WLAN AN，EAP报文封装在RADIUS Access-Challenge消息中。AAA Server可选发送给WLAN UE一个指示。指出希望保护最后的成功结果消息（如果结果成功）。18）WLAN AN转发EAP Request/SIM-Challenge消息到WLAN UE。19）WLAN UE根据每个RAND为128bit，解析出m个RAND，依据GSM算法得出K_sres，K_int，K_ency，Session_Key，并且用K_int得出AT_MAC，和接收到的AT_MAC进行比较，如果一致，表示AAA Server认证通过。再利用K_sres作为key用规定的算法生成MAC_SRES。20）WLAN UE 使用新密钥素材覆盖整个EAP消息计算新消息认证码（message authentication code，MAC）值。WLAN UE发送包含RES和新消息认证码的EAP Response/SIM/Challenge消息给WLAN AN。如果WLAN UE从AAA Server收到认证结果保护指示，则WLAN UE必须在此消息中包含结果指示。否则WLAN UE必须忽略该指示。21）WLAN AN发送EAP Response/SIM-Challenge报文到AAA Server，EAP报文封装在RADIUS Access-Request消息中。22）AAA Server利用本端产生的K_sres作为key生成MAC_SRES，和接收到的MAC_SRES进行比较，如果一致，表示客户端认证通过。23）如果所有检查都成功，且AAA Server之前发送过认证结果保护标识，则AAA Server必须在发送EAP Success消息前发送EAP Request/SIM/Notification消息。EAP报文封装在RADIUS Access-Challenge消息中，且用MAC保护。24）WLAN AN转发EAP消息到WLAN UE。25）WLAN UE发送EAP Response/SIM-Notification。26）WLAN AN转发EAP Response/SIM-Notification 消息到AAA Server，EAP报文封装在RADIUS Access-Request消息中。AAA Server必须忽略该消息内容。27) AAA Server发送EAP-Success消息到WLAN AN (可能在发送EAP Notification之前，参见第23步描述)。如果AAA