1.背景
EAP-SIM/AKA是EAP认证方法的一种实现方式,其通过用户(U)SIM 卡信息进行认证,与蜂窝认证方式相同,当用户使用SIM卡时,执行EAP-SIM 认证流程,当用户使用USIM卡时,执行EAP-AKA认证流程,整个认证过程不需要用户介入任何手工操作,完全由终端自动完成。 2.技术原理
如下图,终端与AC之间通过EAPoL协议通信,AC和AAA服务其通过Radius协议转发EAP消息,AAA服务器使用MAP协议从HLR/HSS获取用户(U)SIM卡鉴权向量,并完成认证,AAA服务器是认证的执行点。
EAP-SIM/AKA认证流程参考如下国际标准
非隔离电源模块[1] 3GPP TS 33.234 v6.9.0, "WLAN Interworking Security".
[2] 3GPP TS 23.234 v6.10.0, "WLAN Interworking; System Description".
[3] IETF RFC 4186, "EAP-SIM"
[4] IETF RFC 4187, "EAP-AKA"
[5] IETF RFC 3748, "Extensible Authentication Protocol (EAP)".
3.关键技术问题
3GPP标准规定HSS存放WLAN用户签约信息,AAA 服务器与HSS之间通过Diameter协议互通。对于仍使用HLR的网络,标准建议AAA 服务器模拟成MSC Server或者SGSN与HLR交互,完成认证并获取签约数据。对于认证部分,AAA服务器可完全重用现有D接口或Gr接口的认证消息,但对于如何在HLR标识WLAN签约数据以及如何下发签约数据,标准并未做任何定义和解释。
喷雾面膜
试点阶段,HLR通过运营商自定义签约字段HPLMN ODB第三位(plmn-SpecificBarringType3)存放SIM认证签约开通信息,签约信息通过BOSS开通。HPLMN ODB字段格式见下:
odb-HPLMN-Data {
plmn-SpecificBarringType1 (0 ),
plmn-pecificBarringType2 (1 ),
plmn-SpecificBarringType3 (2 ),
plmn-SpecificBarringType4 (3 )}
压缩空气过滤
为便于BOSS对SIM/PEAP/MAC三种认证方式进行统一业务控制,AAA 服务器也存放用户SIM认证签约开通信息,签约信息通过Portal服务器特定页面开通。
HLR上默认对所有潜在试点用户开通SIM认证,SIM认证是否通过由AAA 根据自身存储的用户手机号对应的SIM认证签约信息进行控制。
需要通过试点评估HLR保留SIM认证签约信息的必要性。
3.2 HLR签约信息下发
如果AAA模拟为MSC服务器,可通过Restore Data方式下发签约参数;如果AAA模拟为SGSN,可通过GPRS Update Location方式下发签约参数。两种下发方式区别如下:
使用GPRS Update Location时,如果分组域自有业务已经在线,此时并发接入WLAN时会导致分组域业务下线;如果WLAN业务已经在线,用户并发使用分组域自有业务,可通过AAA Server的控制,避免对WLAN业务的影响。
试点阶段优选通过Restore Data下发签约参数。对于已支持GPRS Update Location下发签约参数的省份,可在试点中评估此下发方式对分组域自有业务体验影响。AAA服务器需要配置试点省份IMSI号段范围,通过IMSI号段判断归属省,以区别使用签约下发消息。
3.3 SSID设置
需设置新的SSID(CMCC-AUTO),支持存量终端使用SIM认证方式。SIM 认证与PEAP认证使用相同SSID。
3.4 下线控制rat组合
SIM认证仍保留8小时下线机制
可通过AC开关开启/关闭SIM认证对应SSID的15分钟下线机制。(已确认,部分AC厂家已支持,部分AC厂商需升级支持)。
3.5 Keep-alive机制(可选)
AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi覆盖区域),则网络侧对此用户进行下线操作。具体实现机制如下图:
AC在一定时间内无流量后,向终端发送EAP-Request/identity消息,终端如果在线则回复EAP-Response消息,如果AC收到终端响应后,回复EAP-Success,如果AC没有收到终端响应,则在一定时间内重发EAP-Request 消息,在重传一定次数后,仍未收到响应,则从网络侧下线用户。
此机制可能存在如下潜两个问题:
1)上述流程不是标准流程,部分终端周期性收到心跳后,可能出于安全或其它因素考虑,不处理EAP-Request消息。
2)终端在EAP-Response消息中可能不携带网络侧分配的伪随机名或快速鉴权名,而是携带IMSI,增
加空口传输IMSI的概率。
鉴于部分厂家已支持此功能,试点期间作为可选项,在提供此功能的厂家设备上验证其效果。
AC如果支持Keep-alive机制,对AC性能有一定影响,可通过试点进行评估。
粉末注射成型4.接入流程
4.1 总体接入流程菌瓶
统一认证接入包括802.11建立关联、认证、DHCP地址分配、UE与AC保活、计费、网络退出几个阶段。总体接入流程如下图描述:
图1 统一认证总体接入流程
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议