1 WLAN 无感知认证试点技术方案(SIM 认证) 1. 背景 EAP-SIM/AKA 是 EAP 认证方法的一种实现方式,其通过用户(U)SIM卡信息进行认证,与蜂窝认证方式相同,当用户使用 SIM 卡时,执行 EAP-SIM认证流程,当用户使用 USIM 卡时,执行 EAP-AKA 认证流程,整个认证过程不需要用户介入任何手工操作,完全由终端自动完成。 2. 技术原理 如下图,终端与 AC 之间通过 EAPoL 协议通信,AC 和 AAA 服务其通过 Radius 协议转发 EAP 消息,AAA 服务器使用 MAP 协议从 HLR/HSS 获取用户(U)SIM 卡鉴权向量,并完成认证,AAA 服务器是认证的执行点。 EAP-SIM/AKA 认证流程参考如下国际标准 [1] 3GPP TS 33.234 v6.9.0, "WLAN Interworking Security". [2] 3GPP TS 23.234 v6.10.0, "WLAN Interworking; System Description". [3] IETF RFC 4186, "EAP-SIM" [4] IETF RFC 4187, "EAP-AKA" 2 [5] IETF RFC 3748, "Extensible Authentication Protocol (EAP)". 3. 关键技术问题 3.1 SIM 认证签约 3GPP 标准规定 HSS 存放 WLAN 用户签约信息,AAA 服务器与 HSS 之间通过 Diameter 协议互通。对于仍使用 HLR 的网络,标准建议 AAA 服务器模拟成 MSC Server 或者 SGSN 与 HLR 交互,完成认证并获取签约数据。对于认证部分,AAA 服务器可完全重用现有 D 接口或 Gr 接口的认证消息,但对于如何在HLR 标识 WLAN 签约数据以及如何下发签约数据,标准并未做任何定义和解释。 试点阶段,HLR 通过运营商自定义签约字段 HPLMN ODB 第三位(plmn-SpecificBarringType3)存放 SIM 认证签约开通信息,签约信息通过BOSS 开通。HPLMN ODB 字段格式见下: odb-HPLMN-Data { plmn-SpecificBarringType1 (0 ), plmn-pecificBarringType2 (1 ), plmn-SpecificBarringType3 (2 ), plmn-SpecificBarringType4 (3 )} 为便于 BOSS 对 SIM/PEAP/MAC 三种认证方式进行统一业务控制,AAA服务器也存放用户 SIM 认证签约开通信息,签约信息通过 Portal 服务器特定页面开通。 HLR 上默认对所有潜在试点用户开通 SIM 认证,SIM 认证是否通过由 AAA根据自身存储的用户手机号对应的 SIM 认证签约信息进行控制。 3 需要通过试点评估 HLR 保留 SIM 认证签约信息的必要性。 3.2 HLR 签约信息下发 如果 AAA 模拟为 MSC 服务器,可...