[发明专利]一种WLAN网络中实现EAP认证的方法

权利要求书

1.一种WLAN网络中实现EAP认证的方法，其特征在于：所述WLAN网络包括绑定有SIM卡或USIM卡的手机终端、无线AP、专用AAA服务器和专用认证服务器；所述手机终端与所述无线AP通过EAP消息通信，所述无线AP与所述专用AAA服务器通过RADIUS消息通信，所述专用AAA服务器与所述专用认证服务器通过MAP消息通信，所述方法包括：

所述手机终端发起EAP鉴权请求消息；所述无线AP对所述手机终端接入鉴权，将EAP鉴权请求消息发送到所专用AAA服务器；所述专用AAA服务器发送获取鉴权向量请求消息到所述专用认证服务器，所述获取鉴权向量请求消息携带移动用户识别号IMSI；所述专用认证服务器接收所述获取鉴权向量请求消息，判断本地是否存储有所述移动用户识别号IMSI，如果有，通过专用随机数产生模块生成挑战随机数RAND，再通过第一专用认证模块生成其他鉴权向量，并将鉴权向量发送到所述专用AAA服务器；

所述专用AAA服务器通过所述无线AP发送携带有随机数RAND的鉴权挑战请求消息到所述手机终端，所述手机终端根据鉴权挑战消息中的RAND判断所述RAND是否为专用随机数，如果是，通过第二专用认证模块生成密钥对鉴权挑战请求消息进行验证，并通过所述AP返回鉴权挑战响应消息到所述专用AAA服务器；

其中，所述手机终端的WIFI认证模式设置为EAP-SIM模式或AKA模式；所述无线AP设置为采用RADIUS认证方式，并指向所述AAA服务器。

2.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，所述随机数RAND的长度为16个字节，包括如下字段：长度为2个字节的专用随机数标识、长度为1个字节的算法标识、长度为12的随机数字、长度为1的检验和。

3.根据权利要求2所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述算法标识和所述检验和与预期值均符合时，判断所述RAND为专用随机数。

4.根据权利要求3所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述RAND为不是专用随机数，所述手机终端将消息发送给GSM算法认证模块或UMTS算法认证模块处理。

5.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，所述WLAN网络还包括HLR或HSS，如果所述专用认证服务器判断本地没有存储所述移动用户识别号IMSI，将所述获取鉴权向量请求消息转发给HLR或HSS。

6.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，所述第一专用认证模块和第二专用认证模块包括有相同的认证算法，且SIM卡或USIM卡中存储的算法标识与所述专用认证服务器中存储的算法标识一致。

7.根据权利要求6所述的WLAN网络中实现EAP认证的方法，其特征在于，所述第一专用认证模块和第二专用认证模块包括A3A8、AES、DES、TDES、RSA、MD5算法中的一种或几种。

8.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，所述专用AAA服务器为RADIUS服务器。

9.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述EAP鉴权请求消息由绑定有SIM卡的手机终端发起，所述鉴权向量为鉴权三元组，包括挑战随机数RAND、符号响应SRES和密钥Kc；所述其他鉴权向量包括符号响应SRES和密钥Kc；所述第二专用认证模块生成密钥对鉴权挑战请求消息中的消息鉴权码MAC进行验证。

10.根据权利要求1所述的WLAN网络中实现EAP认证的方法，其特征在于，如果所述EAP鉴权请求消息由绑定有USIM卡的手机终端发起，所述鉴权向量为鉴权五元组，包括：挑战随机数RAND、预期响应XRES、完整性密钥IK、密钥CK和鉴权标记AUTH；所述其他鉴权向量包括预期响应XRES、完整性密钥IK、密钥CK和鉴权标记AUTH；所述第二专用认证模块生成密钥对鉴权挑战请求消息中的消息鉴权码MAC和鉴权标记AUTH进行验证。