浙江联通WW统一认证业务对WLAN网络技术要求.doc

第 PAGE 12页 / 共 NUMPAGES 12页 浙江联通W+W统一认证业务对WLAN网络技术要求 目标系统架构 目标网络拓扑示意如下图所示： 对WLAN网络要求 WLAN网络（WLAN AN，AP/AC/BRAS）需要支持EAP认证。 WLAN网络在现有的WLAN SSID上同时开启WEB认证和EAP认证。 业务实现流程 本地WLAN用户连接至联通的SSID后，将自动发起EAP-SIM/AKA认证流程，经过AAA认证平台和HLR的认证鉴权，完成认证流程，建立WLAN网络连接。可以直接访问互联网。相关的业务流程如下图所示： 总体接入流程 用户通过WLAN手机终端（WLAN UE）与联通WLAN网络（WLAN AN）建立802.11关联，并向认证平台（AAA认证系统）发起EAP-SIM/AKA认证，认证平台收到请求后向HLR请求获取n组鉴权向量和用户签约信息，认证通过后由WLAN网络向终端进行DHCP地址分配，并允许终端访问CHINA169。总体接入流程如下图描述： 图1-1总体接入流程图 EAP-AKA认证流程 对于使用3G WLAN手机的全鉴权流程如下图所示： 图1-2 EAP-AKA认证流程图 1) WLAN UE 和 WLAN AN建立关联之后，UE向WLAN AN发送EAPoL-Start，发起鉴权请求。 2）WLAN AN发送EAP-Request/Identity消息到WLAN UE。 3）WLAN UE 回复EAP-Response/Identity消息，向网络发送其用户身份标识信息，身份标识可以为伪随机NAI或永久NAI。 4）WLAN AN将EAP报文使用RADIUS Access-Request消息封装，并将Identity放在RADIUS的User-Name属性中，发送给AAA Server。 5）AAA Server收到包含用户身份的EAP-Response/Identity报文。 6）AAA Server识别出用户准备使用的认证方法为EAP-AKA。如果UE送上的Identity为伪随机NAI， AAA Server检查本地没有该伪随机NAI与IMSI的映射关系，则使用EAP Request/AKA-Identity消息再次请求永久NAI（6、7、8、9步仅用于WLAN UE漫游到新的拜访地而使用其他AAA分配的伪随机NAI接入认证的场景）。EAP报文封装在RADIUS Access-Challenge消息中，发送给WLAN AN。 7）WLAN AN转发EAP-Request/AKA-Identity消息到WLAN UE。 8）WLAN UE使用EAP-Response/AKA-Identity消息携带永久NAI进行响应 9）WLAN AN转发EAP-Response/AKA-Identity消息携带永久NAI到AAA Server，EAP报文封装在RADIUS Access-Request消息中。 10）AAA Server检查本地是否缓存可用的鉴权向量，如果没有则向HLR发送MAP_SEND_AUTH_INFO请求，请求获取n组鉴权向量（n可配置，取值范围1~5）。 11）HLR响应AAA Server鉴权请求，下发n组鉴权五元组。 12）AAA Server检查本地是否存在用户的签约信息。如果没有，则AAA向HLR发起MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)请求，获取用户签约信息。 13）HLR向AAA Server发起插入用户数据MAP_INSERT_SUBS_DATA请求，向AAA Server插入数据。 14）AA Server响应HLR插入用户数据消息，完成用户签约信息获取。 15)HLR向AAA Server回复MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制)响应消息，完成HLR的交互流程。 16）AAA Server检查用户签约通过后，根据算法生成TEKs、MSK和EMSK（参见IETF RFC 4187）。为支持标识保密功能，AAA Server还要生成伪随机NAI和快速重鉴权NAI，用于后续的全鉴权和快速重鉴权过程。 17）AAA Server在EAP-Request/AKA-Challenge消息中发送RAND，AUTH, 一个消息鉴权码（MAC）和2个用户标识（伪随机NAI和快速重鉴权NAI）给WLAN AN，EAP报文封装在RADIUS Access-Challenge消息中。 AAA Server可选发送给WLAN UE一个指示。指出希望保护最后的成功结果消息（如果结果成功