天翼宽带知识库
f. AN 将接入鉴权的结果通过CHAP 鉴权成功消息或CHAP 鉴权失败消息通知AT,完成接入鉴权过程。
上图为CAVE鉴权流程:
a. AN 发起PPP-LCP 协商过程,其中包含CHAP 鉴权协议协商,建立空口PPP 连接。
b. AN 向混合终端发送CHAP 查询消息,其中包含AN 产生的CHAP 鉴权随机数。
c. 混合终端保存鉴权随机数,截取其前32 位作为CAVE 算法的鉴权随机数,如果CHAP鉴权随机数不足32 位,则补零构造32 位的CAVE 鉴权随机数;然后利用CAVE 鉴权随机数与R-UIM 卡上保存的IMSI、SSD 和UIM 卡标识等用户数据,根据CAVE 算法计算鉴权结果,并将CAVE 鉴权结果补零填充到CHAP 鉴权响应消息中的Value Field 字段中,以及将根据IMSI 构造的NAI 值放入到该消息中。
d. AN 收到CHAP 鉴权响应消息后,通过A12 接入请求消息将终端侧CAVE 鉴权结果、NAI 及CHAP 鉴权随机数等参数信息送往AN-AAA。
e. 如果用户首次接入1x EV-DO 网络,则AN-AAA 尚未保存用户的SSD;或者由于用户的SSD 已在CDMA2000 1x 发生了更新而尚未与AN-AAA 共享,或者用户为非法用户,导致AN-AAA 计算的CAVE 鉴权结果与终端侧鉴权结果不一致时,AN-AAA 向HLR/AC 发送鉴权请求消息AUTHREQ,该消息携带了用户的IMSI、SSD、UIM 卡标识及终端侧CAVE 鉴权结果等参数信息。如果AN-AAA 已经正确共享SSD,则AN-AAA 根据AN 上报的CHAP 鉴权随机数和存放的用户参数信息,利用CAVE 算法计算出的鉴权结果将与终端侧的鉴权
- 49 -
天翼宽带知识库
结果保持一致,这时可以跳过步骤f,直接执行步骤g 和h。
f. HLR/AC 收到鉴权请求消息后,根据该消息中的IMSI、SSD 和UIM 卡标识等用户信息,利用CAVE 算法计算鉴权结果,并与终端侧CAVE 鉴权结果进行比较。若两者一致,则鉴权成功,保存并向AN-AAA 返回SSD;否则,返回鉴权失败指示信息。
g. 若鉴权成功,则AN-AAA 向AN 发送A12 允许接入消息;否则,发送A12 拒绝接入消息。
h. 根据鉴权结果,AN 向AT 发送鉴权成功或失败指示。
3.1.1.2 CARD
1、用户向PDSN发送Username/Password
2、PDSN向FAAA发送Access-Request(包含Username/Password,PDSN地址,移动终端号码等),FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游用户
3、如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检查Username和Password是否相符,是否要返回特定的属性等 4、HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或Access-Reject
5、FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject 6、PDSN通知用户认证的结果,是否允许访问网络
7、如果认证通过,PDSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商专有属性
8、FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本 9、HAAA向FAAA发送Accounting-Response,确认计费包已经收到* 10、FAAA向PDSN转发计费确认包,认证、计费过程结束
*HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接
- 50 -
相关推荐:
loading