02an-aaa业务流程.ppt

凝聚科技精华共创美好未来
AN-AAA业务流程介绍2009年
MD5鉴权流程
HRPD:
MD5鉴权流程
a. AN 发起空口PPP-LCP 协商过程,协商CHAP 鉴权协议类型,并建立空口PPP 连接。
b. AN 产生鉴权随机数,向AT 发送CHAP 查询消息。
c. AT 根据该随机数利用MD5 算法计算鉴权结果,鉴权结果与鉴权标识一道构成鉴权密钥,并向AN 发送CHAP 响应消息,该消息中包含了NAI、鉴权随机数及鉴权密码等接入鉴权参数。
d. AN 通过A12 接入请求消息向AN-AAA 转发NAI、鉴权随机数及鉴权密码等参数。
e. AN-AAA 将收到的NAI、鉴权随机数及鉴权密码作为MD5 算法的输入参数,计算鉴权结果,并与AN 转发的终端鉴权结果进行比较,若两者一致,则鉴权成功,AN-AAA 向AN发送A12 接入允许消息,并发送MNID(或IMSI)用于建立R-P 会话;否则,鉴权失败,AN-AAA 向AN 发送A12 接入拒绝消息。
f. AN 将接入鉴权的结果通过CHAP 鉴权成功消息或CHAP 鉴权失败消息通知AT,完成接入鉴权过程。
MD5鉴权流程
关于基于MD5 算法的接入鉴权方式,要注意:
AT 与AN 之间的接入鉴权信令交互采用CHAP 协议;AN 与AN-AAA 之间的接入鉴权信令交互采用RADIUS 协议。
当用户漫游时,拜访地AN-AAA 无权处理AN 发送来的接入鉴权请求,它将把该请求提交给归属地AN-AAA,由归属地AN-AAA 进行鉴权
CAVE接入流程
CAVE接入流程
a. AN 发起PPP-LCP 协商过程,其中包含CHAP 鉴权协议协商,建立空口PPP 连接。
b. AN 向混合终端发送CHAP 查询消息,其中包含AN 产生的CHAP 鉴权随机数。
c. 混合终端保存鉴权随机数,截取其前32 位作为CAVE 算法的鉴权随机数,如果CHAP鉴权随机数不足32 位,则补零构造32 位的CAVE 鉴权随机数;然后利用CAVE 鉴权随机数与R-UIM 卡上保存的IMSI、SSD 和UIM 卡标识等用户数据,根据CAVE 算法计算鉴权结果,并将CAVE 鉴权结果补零填充到CHAP 鉴权响应消息中的Value Field 字段中,以及将根据IMSI 构造的NAI 值放入到该消息中。
d. AN 收到CHAP 鉴权响应消息后,通过A12 接入请求消息将终端侧CAVE 鉴权结果、NAI 及CHAP 鉴权随机数等参数信息送往AN-AAA。
失败指示。
CAVE接入流程
e. 如果用户首次接入1x EV-DO 网络,则AN-AAA 尚未保存用户的SSD;或者由于用户的SSD 已在CDMA2000 1x 发生了更新而尚未与AN-AAA 共享,或者用户为非法用户,导致AN-AAA 计算的CAVE 鉴权结果与终端侧鉴权结果不一致时,AN-AAA 向HLR/AC 发送鉴权请求消息AUTHREQ,该消息携带了用户的IMSI、SSD、UIM 卡标识及终端侧CAVE 鉴权结果等参数信息。如果AN-AAA 已经正确共享SSD,则AN-AAA 根据AN 上报的CHAP 鉴权随机数和存放的用户参数信息,利用CAVE 算法计算出的鉴权结果将与终端侧的鉴权结果保持一致,这时可以跳过步骤f,直接执行步骤g 和h。