02an-aaa业务流程.ppt

凝聚科技精华 共创美好未来 AN-AAA业务流程介绍2009年 MD5鉴权流程 HRPD： MD5鉴权流程 a. AN 发起空口PPP-LCP 协商过程，协商CHAP 鉴权协议类型，并建立空口PPP 连接。 b. AN 产生鉴权随机数，向AT 发送CHAP 查询消息。 c. AT 根据该随机数利用MD5 算法计算鉴权结果，鉴权结果与鉴权标识一道构成鉴权密钥，并向AN 发送CHAP 响应消息，该消息中包含了NAI、鉴权随机数及鉴权密码等接入鉴权参数。 d. AN 通过A12 接入请求消息向AN-AAA 转发NAI、鉴权随机数及鉴权密码等参数。 e. AN-AAA 将收到的NAI、鉴权随机数及鉴权密码作为MD5 算法的输入参数，计算鉴权结果，并与AN 转发的终端鉴权结果进行比较，若两者一致，则鉴权成功，AN-AAA 向AN发送A12 接入允许消息，并发送MNID（或IMSI）用于建立R-P 会话；否则，鉴权失败，AN-AAA 向AN 发送A12 接入拒绝消息。 f. AN 将接入鉴权的结果通过CHAP 鉴权成功消息或CHAP 鉴权失败消息通知AT，完成接入鉴权过程。 MD5鉴权流程 关于基于MD5 算法的接入鉴权方式，要注意： AT 与AN 之间的接入鉴权信令交互采用CHAP 协议；AN 与AN-AAA 之间的接入鉴权信令交互采用RADIUS 协议。 当用户漫游时，拜访地AN-AAA 无权处理AN 发送来的接入鉴权请求，它将把该请求提交给归属地AN-AAA，由归属地AN-AAA 进行鉴权 CAVE接入流程 CAVE接入流程 a. AN 发起PPP-LCP 协商过程，其中包含CHAP 鉴权协议协商，建立空口PPP 连接。 b. AN 向混合终端发送CHAP 查询消息，其中包含AN 产生的CHAP 鉴权随机数。 c. 混合终端保存鉴权随机数，截取其前32 位作为CAVE 算法的鉴权随机数，如果CHAP鉴权随机数不足32 位，则补零构造32 位的CAVE 鉴权随机数；然后利用CAVE 鉴权随机数与R-UIM 卡上保存的IMSI、SSD 和UIM 卡标识等用户数据，根据CAVE 算法计算鉴权结果，并将CAVE 鉴权结果补零填充到CHAP 鉴权响应消息中的Value Field 字段中，以及将根据IMSI 构造的NAI 值放入到该消息中。 d. AN 收到CHAP 鉴权响应消息后，通过A12 接入请求消息将终端侧CAVE 鉴权结果、NAI 及CHAP 鉴权随机数等参数信息送往AN-AAA。 失败指示。 CAVE接入流程 e. 如果用户首次接入1x EV-DO 网络，则AN-AAA 尚未保存用户的SSD；或者由于用户的SSD 已在CDMA2000 1x 发生了更新而尚未与AN-AAA 共享，或者用户为非法用户，导致AN-AAA 计算的CAVE 鉴权结果与终端侧鉴权结果不一致时，AN-AAA 向HLR/AC 发送鉴权请求消息AUTHREQ，该消息携带了用户的IMSI、SSD、UIM 卡标识及终端侧CAVE 鉴权结果等参数信息。如果AN-AAA 已经正确共享SSD，则AN-AAA 根据AN 上报的CHAP 鉴权随机数和存放的用户参数信息，利用CAVE 算法计算出的鉴权结果将与终端侧的鉴权结果保持一致，这时可以跳过步骤f，直接执行步骤g 和h。 f. HLR/AC 收到鉴权请求消息后，根据该消息中的IMSI、SSD 和UIM 卡标识等用户信息，利用CAVE 算法计算鉴权结果，并与终端侧CAVE 鉴权结果进行比较。若两者一致，则鉴权成功，保存并向AN-AAA 返回SSD；否则，返回鉴权失败指示信息。 g. 若鉴权成功，则AN-AAA 向AN 发送A12 允许接入消息；否则，发送A12 拒绝接入消息。 h. 根据鉴权结果，AN 向AT 发送鉴权成功或 AN-AAA自适应算法 为了适配更多的认证需求场景，AN-AAA配置CAVE或MD5算法自动适配功能。 按照该方式实现认证后，AN-AAA将不使用用户开户数据中的UIMTYPE该字段。 CHAP-Password = 0x01889ec000000000000000000000000000 CHAP-Password = 0x01f1b1140983137b3ebeb137b73d8ca468 AN-AAA漫游流程 基于I