[发明专利]一种WiMAX网络用户EAP认证方法

说明书

技术领域

本发明涉及全球微波接入互通WiMAX网络，具体涉及一种WiMAX网络用户EAP认证方法。

背景技术

全球微波接入互通技术World Interoperability for Microwave Access，简称WiMAX，同时是IEEE组织所制定的标准，所以也称为IEEE 802.16；它是一项“无线宽带”技术，称之为无线城域网WMAN技术。

无线网络中数据加密是非常必须的，IEEE802.1x具体认证协议由扩展鉴权协议Extensible Authentication Protocol，简称EAP，方法决定。EAP体系结构非常灵活，在该协议框架下有多种鉴权认证方式，其中EAP-TTLS，EAP-SIM，EAP-AKA，PEAP等EAP方法支持双向鉴权、用户账号信息匿名传输、动态密钥协商管理等机制；而EAP-MD5等认证方式支持单向鉴权认证。

目前WiMAX的使用EAP协议来完成认证，但EAP本身不是一个认证机制，而是一个通用架构用来传输实际的认证协议。WiMAX的网络工作组Network Working Group，简称NWG，发布的技术协议要求，在终端UE和接入设备Access Service Network，简称ASN，之间按照802.16成功接入网络和初始化后，认证请求者UE向ASN发送一个EAPoL-Start报文，开始802.1x认证的开始。认证通过之后鉴权、授权及计费服务器，即AAA服务器，需要在鉴权过程中产生MSK，终端和媒体网关AGW使用MSK进行后续流程，生成后续秘钥，用于协商加密等方面，所以协议中规定的使用EAP-TLS、EAP-TTLS和EAP-AKA鉴权算法是支持MSK生成的。EAP-TTLS和EAP-TLS鉴权算法是需要公钥基础设施PublicKeyInfrastructure的，简称PKI，而EAP-AKA基于SIM卡的。这几种算法都是很复杂的算法，对于网络侧和终端都是需要一定的成本的，而目前最广泛使用的是EAP-MD5，其通过鉴权、授权及计费服务器提供简单的集中用户认证。在这种方式下，RADIUS服务器不需要证书或者安装在无线工作站中的其它安全信息。用户注册时，RADIUS服务器只是检查用户名和口令，如果匹配，就通知无线访问点允许该客户端访问网络服务。虽然EAP-MD5是一种单向认证机制，只能保证客户端到服务器的认证，并不保证服务器到客户端的认证，但是EAP-MD5认证机制简单和广泛的广泛程度，有利于WiMAX网络的推广。

但是由于无线通信网络非常重视数据保密性，而标准EAP-MD5算法不生成MSK，因此无法直接在WiMAX网络的认证和鉴权中使用。

发明内容

本发明需要解决的技术问题是提供一种WiMAX网络用户EAP认证方法，能够使EAP-MD5认证机制适用于在WiMAX网络的认证和鉴权中使用。

本发明的上述技术问题这样解决，提供一种WiMAX网络用户EAP认证方法，扩展EAP-MD5算法在鉴权过程中生成主会话密钥MSK，包括以下步骤：

1.1)终端通过物理层协议与WiMAX网络的接入设备ASN建立连接；

1.2)用户通过该终端输入用户名和密码，ASN通过与EAP鉴权服务器之间通讯协议转发该用户对应终端接入请求；

1.3)EAP鉴权服务器使用EAP-MD5算法进行该用户的认证和鉴权并在成功认证和鉴权后生成MSK封装于成功报文中；

1.4)WiMAX网络ASN中的接入服务网关AGW与对应终端根据所述成功报文利用其携带的MSK生成空中秘钥并建立保密无线通讯，WiMAX网络开始为该用户提供服务；否则拒绝为该用户提供服务。

按照本发明提供的EAP认证方法，所述生成MSK是根据MD5-Challenge、挑战握手认证协议CHAP-ID和共享密钥生成，编码到成功报文中，具体生成方法如下：

MSK＝P_hash(secret，seed)＝HMAC_md5(secret，A(1)+seed)+

                                HMAC_md5(secret，A(2)+seed)+

                                HMAC_md5(secret，A(3)+seed)+

                                HMAC_md5(secret，A(4)+seed)

        其中