技術領域

本發明涉及通信系統，特別是移動Wimax系統中一種采用diameter協 議實現用戶和設備分別認證(Double?EAP)的方法。

背景技術

在Wimax關于網絡結構的最新規范1.0.0版本中定義了四種認證方 式：用戶認證：User?single?EAP；設備認證：Device?Single?EAP；用戶和 設備同時認證：User/Device?Single?EAP；用戶和設備分別認證：Double?EAP (兩個EAP過程被執行)。

用戶和設備分別認證(即double?EAP)的方法，即需要進行兩輪認 證：第一輪設備認證，第二輪用戶認證。如果用戶(User)和移動臺(MS) 的鑒權需要分開執行，就可以選擇double?EAP的方式。典型的應用場景 是：當用戶(User)和移動臺(MS)的鑒權不在同一個實體，例如位于 不同的AAA服務器時。如果用戶(User)和移動臺(MS)的鑒權發生在 同一個實體，可以選用single?EAP的鑒權方式。

Diameter系列協議是新一代的AAA技術。在ITU，3GPP/3GPP2等國 際標準組織中，都已經正式將Diameter協議作為NGN，WCDMA和 CDMA2000等未來通信網絡的首選AAA協議。在Wimax關于網絡結構的 未來規范1.5版本，將包括Diameter協議。

在Diameter的規范RFC3588給出了采用diameter協議進行認證的 session狀態機：在Idle模式，Diameter?Client向AAA認證服務器發送DER 消息，包含認證請求信息；當Diameter?client接收到DEA消息，包含認證 成功的信息時，將轉入OPEN狀態，即標志著認證完成，用戶可以進行有 關的業務例如通話服務等。

根據Diameter協議給出的認證狀態機，可以看出這種方式實際上只 支持單論認證，即或者是設備認證或者是用戶認證，或者是設備認證和 用戶認證同時進行的三種Single認證方式。一旦一輪認證成功即轉入 OPEN狀態。所以說目前的diameter認證協議不支持用戶和設備分別認證 的兩輪認證(double認證)。

發明內容

本發明的目的是提供一種采用Diameter協議來實現用戶和設備兩輪 認證(double)的方法。

為實現上述目的，一種采用Diameter協議實現用戶和設備分別認證 的方法，包括步驟：

a)Authenticator設置Diameter客戶端認證狀態機的初始狀態為 IDLE；

b)Authenticator根據收到的有關MS認證的屬性值，構造相應的消 息DER，并向AAA認證服務器發送所述DER消息；

c)當Authenticator收到來自AAA認證服務器的DEA消息時解析DEA 消息，如果解析的DEA消息包含認證成功的屬性值時，則表明第一輪認證 成功完成；

d)設置第一輪認證成功標志為TRUE；

e)Authenticator根據收到的有關MS認證的屬性值構造相應的DER消 息，并向AAA認證服務器發送DER消息；

f)當Authenticator收到來自AAA認證服務器的DEA消息時解析DEA 消息；

i)如果解析的DEA消息包含認證成功的屬性值，則轉入Open狀態， 認證完成。

本發明所述方法即可支持單輪認證(Single)也能支持double認證； 實現簡單，在原有diameter認證狀態機的基礎上，稍作改動即可支持二 輪認證，且具有后向兼容性；實用性強，能用于Wimax?Forum、ITU， 3GPP/3GPP2等的網絡結構NGN中。

附圖說明

圖1是采用Diameter協議實現用戶和設備分別認證(double?EAP)的 方法；

圖2是MS采用Diameter協議執行double?EAP認證的初始接入過程的實 施例。

具體實施方式

MS初始接入過程中，MS和Authenticator首先交換鑒權能力。由 Authenticator選擇正確的鑒權方式，通知MS使用該方式開始進行認證。