WLAN与2G／3G网络融合统一认证流程规范.doc

《WLAN与2G／3G网络融合统一认证流程规范.doc》由会员分享，可在线阅读，更多相关《WLAN与2G／3G网络融合统一认证流程规范.doc（36页珍藏版）》请在三一办公上搜索。

1、中国移动通信企业标准QB-中国移动WLAN与2G/3G网络融合统一认证流程规范（EAP-SIM/AKA）CMCC 2G/3G system and WLAN interworking Authentication Specification (EAP-SIM/AKA)Authentication DivisionPDG Division PDG Division 版本号：0.3.0-实施-发布中国移动通信集团公司 发布目录前 言I1.范围12.规范性引用文件13.术语、定义和缩略语14.I-WLAN认证系统结构14.1.I-WLAN系统架构概述24.2.网络功能实体44.2.1.I-WLAN终

2、端44.2.2.PDG44.2.3.TTG54.2.4.3GPP AAA Server54.2.5.HLR64.2.6.离线计费系统64.3.参考点64.3.1.Wu接口64.3.2.Wa接口64.3.3.Wm接口64.3.4.D/Gr接口74.3.5.Bw接口74.3.6.Wi接口74.3.7.Wz接口74.3.8.Ww接口74.3.9.Gn接口74.4.认证的逻辑体系84.4.1.认证系统结构84.4.2.协议栈95.功能要求95.1.总体要求95.2.用户标识定义(身份保护)95.3.技术流程115.3.1.总体接入流程115.3.2.全鉴权流程125.3.2.1.EAP-AKA135.

3、3.2.2.EAP-SIM165.3.3.快速重鉴权流程195.3.3.1.EAP-AKA195.3.3.2.EAP-SIM215.3.4.密钥协商225.3.4.1.EAP-AKA235.3.4.2.EAP-SIM245.3.4.3.快速重建鉴权情况下的密钥要求265.3.5.混合鉴权场景265.3.6.用户下线流程275.3.6.1.主动下线275.3.6.2.网络发起用户下线275.3.6.3.异常下线286.接口要求286.1.WLAN UE与WLAN AN间的接口Ww接口286.2.WLAN AN与3GPP AAA Server间的接口Wa接口286.3.3GPP AAA Serve

4、r与HLR间的接口D/Gr接口297.编制历史29前言本标准的目的是为中国移动通信集团公司设备引进、网络规划、设备制造、工程设计、网络运行、管理和维护等方面提供技术依据。本标准包括的主要内容包括了设备在功能、性能、接口、操作维护、等方面的要求。本标准是WLAN与2G/3G网络融合系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称1WLAN与2G/3G网络融合总体技术要求2WLAN与2G/3G网络融合PDG设备规范3WLAN与2G/3G网络融合TTG设备规范4WLAN与2G/3G网络融合安全隧道规范5WLAN与2G/3G网络融合计费规范6WLAN与2G/3G网络融合设备接

5、口规范7WLAN与2G/3G网络融合统一认证流程规范（EAP-SIM/AKA）8WLAN与2G/3G网络融合3GPP AAA Server规范本标准由中移号文件印发。本标准由中国移动通信集团计划部提出，集团公司技术部归口。本技术规范解释权属于中国移动通信集团公司。本标准起草单位：中国移动通信研究院。本标准主要起草人：刘利军，王静 1. 范围本标准规定了中国移动I-WLAN系统统一认证流程要求。适用于中国移动I-WLAN系统核心网技术试验，为设备引进、网络规划与设备制造、工程设计、网络运行、管理和维护等提供技术依据。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日

6、期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。图表 21TS23.003Numbering, addressing and identification3GPPTS23.060GPRS; Service description3GPPTS 23.2343GPP system to Wireless Local Area Network (WLAN) interworking3GPPTS 23.836Quality of Service (QoS)

7、and policy aspects of 3GPP - Wirless Local Area Network (WLAN) interworking3GPPTS 24.2343GPP system to Wireless Local Area Network (WLAN) interworking; WLAN User Equipment (WLAN UE) to network protocols; Stage 33GPPTS 29.2343GPP system to Wireless Local Area Network (WLAN) interworking; Stage 33GPPT

8、S 32.252Telecommunication management; Charging management; Wireless Local Area Network (WLAN) charging3GPPTS 33.2343G security; Wireless Local Area Network (WLAN) interworking security3GPPRFC 2403The Use of HMAC-MD5-96 within ESP and AHIETFRFC 2404The Use of HMAC-SHA-1-96 within ESP and AHIETFRFC 24

9、06IP Encapsulating Security Payload (ESP)IETFRFC 2410The NULL Encryption Algorithm and Its Use With IPsecIETFRFC 2865Remote Authentication Dial In User Service (RADIUS)IETFRFC 2866RADIUS AccountingIETFRFC 3261SIP: Session Initiation ProtocolIETFRFC 3265Session Initiation Protocol (SIP)-Specific Even

10、t NotificationIETFRFC 3576Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)IETFRFC 3579RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)IETFRFC 3580IEEE 802.1X Remote Authentication Dial In User Service (RAD

11、IUS) Usage GuidelinesIETFRFC 3948UDP Encapsulation of IPsec ESP PacketsIETFRFC 4186Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)IETFRFC 4187Extensible Authentication Protocol Method for 3rd Generation Authentication

12、and Key Agreement (EAP-AKA)IETFRFC 4282The Network Access IdentifierIETFRFC 4284Identity Selection Hints for the Extensible Authentication Protocol (EAP)IETFRFC 4306Internet Key Exchange (IKEv2) ProtocolIETFRFC 4372 Chargeable User IdentityIETFRFC 4478Repeated Authentication in Internet Key Exchange

13、 (IKEv2) ProtocolIETF3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：图表 31APNAccess Point Name接入点名AKAAuthentication and Key Agreement鉴权和密钥协商CDRCall Detail Record呼叫详细记录CGCharging Gateway 计费网关DHCPDynamic Host Configuration Protocol动态主机配置协议DNSDomain Name Server域名服务器EAPExtensible Authentication Protocol扩展鉴权协议ESPEncapsula

14、ting Security Payload安全封装GGSNGateway GPRS Support Node网关GPRS支持节点HLRHome Location Register归属位置寄存器IETFInternet Engineering Task Force互联网工程任务组IKEv2Internet Key Exchange version 2互联网密钥交换版本2IMSIInternational Mobile Subscriber Identity 国际移动用户识别码IPInternet Protocol互联网协议IPv4Internet Protocol version 4互联网协议版

15、本4IPv6I-WLAN Internet Protocol version 6Interworking-WLAN互联网协议版本6互操作WLANMAPMobile Application Part移动应用部分MCCMobile Country Code移动国家号码MNCMobile Network Code移动网号MTPMessage Transfer Part消息传输部分PDNPacket Data Network 分组数据网PDGPacket Data Gateway分组数据网关PDPPacket Data Protocol分组数据协议PSPacket Switched分组交换RADIUS

16、Remote Authentication Dial-In User Service 远端拨入用户验证服务SIMSubscriber Identity Module用户标识模块SIPSession Initiation Protocol会话初始协议TTGTunnel Termination Gateway隧道终结网关UDPUser Datagram Protocol用户数据报协议4. I-WLAN认证系统结构EAP-AKA/SIM认证适用于基于(U)SIM卡用户接入网络认证。WLAN Web认证适用于无(U)SIM卡用户接入网络认证。4.1. I-WLAN系统架构概述I-WLAN系统定义了WL

17、AN和中国移动2G/TD互操作的网络结构、业务流程和接口，从而将WLAN网络与2G/TD网络建立互通，使得终端能够通过WLAN可以访问中国移动的分组域业务。 I-WLAN系统网络结构网络部署时可以采用独立PDG方式或采用TTG+GGSN方式，本规范这两种方式分别说明。图4-1 I-WLAN系统结构示意图-非漫游场景（PDG模式）图4-2 I-WLAN系统结构示意图-非漫游场景（TTG模式）图4-3 I-WLAN系统结构示意图-漫游场景（PDG模式）图4-4 I-WLAN系统结构示意图-漫游场景（TTG模式）WLAN系统在不改变现有的2G/TD网络和WLAN网络构架的前提下引入3GPP AAA

18、Server和PDG/TTG设备，实现了基于2G/TD网络的接入控制和认证，并且UE可以通过WLAN网络接入PDG/TTG，从而访问中国移动分组域业务。4.2. 网络功能实体4.2.1. I-WLAN终端I-WLAN终端（下文简称UE）同时具备接入WLAN和2G/TD网络的能力，其功能包括：l 接入WLAN网络l 基于EAP-SIM/AKA方法进行接入鉴权l 构建NAIl 获取本地地址（local IP address）l 构建一个合适的W-APN用于选择外部网络l 请求进行W-APN到PDG/TTG地址的解析l 与PDG/TTG之间建立安全隧道l 获得远端地址（remote IP addre

19、ss）l 支持IPv4地址、IPv6地址（可选）l 访问中国移动分组域业务l 根据W-APN选择不同的接入方式l 支持和PDG/TTG间NAT穿越l 支持2G/3G与WLAN之间自动选择网络和用户自定义设置l 能够识别中国移动WLAN网络和非中国移动WLAN网络，从而选中不同的认证过程，针对非中国移动WLAN网络只进行接入PS认证具体参考WLAN与2G/3G网络融合终端技术规范。4.2.2. PDGUE需要通过PDG访问中国移动分组域业务，包括以下功能：l 支持与UE协商隧道模式和安全套件l 支持和UE间的认证功能，在UE和3GPP AAA间转发鉴权请求，接受或拒绝UE的认证请求l 根据3GP

20、P AAA Server的授权结果判断接受或拒绝UE的请求l 分配UE的远端地址（remote IP address）或把外部网络分配的IP地址转发给UEl 记录UE的本地地址（local IP address），本地地址与远端地址进行绑定/解绑定l 进行隧道封装和解封装l 保持接入UE的路由信息l 在外部数据网络与UE之间路由数据l 产生用户计费信息l 支持内容计费l 执行DiffServ功能l 支持业务控制功能l 支持和UE间的NAT穿越具体参考WLAN与2G/3G网络融合PDG设备规范4.2.3. TTGTTG主要完成用户接入控制和隧道管理，包括以下功能：l 支持与UE协商隧道模式和安全

21、套件l 支持和UE间的认证功能, 在UE和3GPP AAA间转发鉴权请求，接受或拒绝UE的认证请求l 根据3GPP AAA Server的授权结果判断接受或拒绝UE的请求l 记录UE的本地地址（local IP address），本地地址与远端地址进行绑定/解绑定l 进行隧道封装和解封装l 支持Gn接口的PDP激活和去激活l 在GGSN与UE之间转发数据l 产生用户的计费信息（可选）l 执行DiffServ功能l 支持和UE间的NAT穿越具体参考WLAN与2G/3G网络融合TTG设备规范4.2.4. 3GPP AAA Server3GPP AAA server位于3GPP网络。对于一个WLAN

22、附着的用户来说，只能有一个3GPP AAA Server。其功能包括：l 支持EAP-SIM/AKA认证，从HLR提取鉴权/授权信息和用户签约信息l 对签约用户进行认证l 向WLAN AN传递授权信息l 生成话单并向离线计费系统报告每个用户的计费/统计信息l 向PDG/TTG传递授权信息l 当用户停机时，根据HLR的要求中断用户连接l 支持HLR要求的取消过程l 如果使用静态远端IP地址分配，则向PDG/TTG提供从HLR接收的UE远端IP地址具体参考WLAN与2G/3G网络融合3GPP AAA Server规范4.2.5. HLRHLR位于签约用户的归属网络，包含用户签约的数据，参考中国移动

23、HLR规范。4.2.6. 离线计费系统离线计费系统位于2G/TD网络，接入PS时，包括CG和计费中心，PDG或GGSN产生的话单通过CG传送给计费中心，CG要具备WLAN话单预处理能力，具体参考WLAN与2G/3G网络融合计费规范4.3. 参考点4.3.1. Wu接口Wu是UE和PDG/TTG之间的接口，用于UE接入PS核心网，包括UE与PDG/TTG之间的接入信令和端到端隧道。具体参考WLAN与2G/3G网络融合设备接口规范4.3.2. Wa接口Wa是WLAN接入网和3GPP AAA Server的接口，用户UE接入WLAN网络时用来传递鉴权、授权和计费相关信息。具体参考WLAN与2G/3G

24、网络融合设备接口规范4.3.3. Wm接口Wm是3GPP AAA Server和PDG/TTG之间的接口，用于UE接入PS核心网时，AAA Server和PDG/TTG间传递鉴权、授权信息。具体参考WLAN与2G/3G网络融合设备接口规范4.3.4. D/Gr接口D/Gr是3GPP AAA Server和HLR间的接口。主要用于3GPP AAA Server从HLR提取鉴权向量、签约用户信息，是D/Gr接口的子集。具体参考WLAN与2G/3G网络融合设备接口规范4.3.5. Bw接口Bw是3GPP AAA Server和离线计费中心接口，用于传送用户接入WLAN产生的相关计费数据。相关计费数据

25、可用于归属运营商生成离线计费账单、对漫游用户进行运营商间的结算等。具体参考WLAN与2G/3G网络融合设备接口规范4.3.6. Wi接口Wi是PDG和外部数据网络的接口，用于PDG接入外部数据网络，包括接入认证和授权，动态获取IP地址，转发数据业务。具体参考WLAN与2G/3G网络融合设备接口规范。4.3.7. Wz接口Wz接口是PDG和CG间的接口，用于传递计费信息。具体参考WLAN与2G/3G网络融合计费规范WLAN与2G/3G网络融合设备接口规范。4.3.8. Ww接口Ww是UE是WLAN AN之间的接口，用于传输UE接入WLAN和分组域核心网的信令和业务。具体参考WLAN与2G/3G网

26、络融合设备接口规范。4.3.9. Gn接口Gn接口是TTG和GGSN之间的接口，用于TTG和GGSN见GTP通道的建立，释放和控制等，是Gn接口的子集。具体参考WLAN与2G/3G网络融合设备接口规范。4.4. 认证的逻辑体系4.4.1. 认证系统结构I-WLAN接入认证体系架构基于802.1X认证体系架构（详见IEEE Std 802.1X-2001），涉及到以下相关网元，示意如下：图4-5 I-WLAN接入认证体系架构1.WLAN UEWLAN UE为I-WLAN认证体系中的接入请求系统，用户统一认证/接入PS域业务时，WLAN UE发起EAP鉴权请求。对应802.1x架构中的客户端系统（

27、Supplicant System）。2.WLAN ANWLAN AN在I-WLAN认证系统中负责WLAN UE统一认证场景的接入鉴权。对应802.1x架构中的认证者系统（Authenticator System）。3.PDGPDG在I-WLAN认证系统中负责WLAN UE接入PS域业务的鉴权。对应802.1x架构中的认证者系统（Authenticator System）。4.3GPP AAA Server3GPP AAA Server为I-WLAN认证体系中用户认证的执行点，负责对WLAN UE认证和授权功能，AAA认证和授权信息取自HLR。3GPP AAA Server与HLR一起，对应8

28、02.1x架构中的认证服务器系统（Authentication Sever System）。5.HLRHLR在I-WLAN网认证体系中负责用户鉴权和签约信息的存储，与3GPP AAA Server交互，完成鉴权和签约信息的交互。4.4.2. 协议栈图4-6 WLAN AN认证协议栈图4-7 PDG/TTG认证协议栈5. 功能要求5.1. 总体要求WLAN和2G/3G网络的统一认证系统，基于802.1X认证架构和EAP-SIM/EAP-AKA鉴权方法实现WLAN认证。本规范结合统一认证场景定义用户EAP鉴权协议和流程。EAP鉴权流程也适用于接入PS域业务的用户鉴权。5.2. 用户标识定义(身份保

29、护)5.2.1. 总体描述基于EAP的网络认证使用网络接入标识（Network Access Identifier, NAI）作为用户标识。网络接入标识包含用户名（username）和域名（realm）两部分。下面的描述中术语“身份”包含网络接入标识的用户名和域名两部分，“用户名”仅仅指网络接入标识中用户名部分。5.2.2. 网络接入标识用户名EAP-AKA/SIM鉴权涉及三种类型的用户名：1、永久用户名2、伪随机用户名3、快速重鉴权用户名伪随机用户名和快速重鉴权用户名都是用临时身份，使用意图和使用方法两者有区别。永久用户名和伪随机用户名仅用于全鉴权，而快速重鉴权用户名仅用于快速重鉴权。EAP

30、-AKA/SIM中描述的永久用户名从IMSI中导出。TS 33.234 、TS 24.234 和TS 23.003 有详细描述。伪随机用户名用于用户身份保护。为保护用户避免被未经授权的接入网络跟踪，在无线传输中需要使用伪随机用户名替代从IMSI中导出的永久标识。快速重鉴权用户名用于快速重鉴权。WLAN UE必须使用之前分配的快速重鉴权身份进行快速重鉴权，且快速重鉴权身份标识只能使用一次。5.2.3. 归属域当WLAN接入认证时，WLAN UE需要按如下步骤从IMSI中导出归属域信息。1、根据MNC采用了2位还是3位，从IMSI中取起始的5或6位。（参见3GPP TS 31.102 , 3GPP

31、 TS 51.011 ），并将其分为MCC和MNC，如果MNC是2位的，则需要在其开始位置补0。2、从第一步中获取的MCC和MNC生成 “mnc.mcc. 3gppnetwork.org” domain name。3、在域名开始位置为“wlan”标签。WLAN NAI 域举例：使用的IMSI: 234150999999999;其中：MCC = 234;MNC = 15;MSIN = 0999999999生成归属域名为：: wlan.mnc015.mcc234.3gppnetwork.org.5.2.4. 永久NAIWLAN UE支持从用户IMSI号码中导出永久NAI。用于WLAN UE全鉴权流

32、程。当WLAN UE首次接入网络或本地没有可用的伪随机NAI和快速重鉴权NAI时，才使用永久NAI接入。5.2.5. 伪随机NAII-WLAN鉴权需要支持EAP-AKA/SIM标识保密中的伪随机NAI功能。3GPP AAA Server在全鉴权流程中生成并下发给WLAN UE完整NAI格式的伪随机NAI，用于WLAN UE在后续的全鉴权中直接使用。5.2.6. 快速重鉴权NAII-WLAN鉴权需要支持EAP-AKA/SIM标识保密中的快速重鉴权NAI功能。3GPP AAA Server在全鉴权流程和快速重鉴权流程中生成并下发给WLAN UE完整NAI格式的快速重鉴权标识，用于WLAN UE在下

33、一次快速重鉴权中直接使用。5.2.7. 对于EAP-AKA/SIM鉴权的NAI的约定：永久NAI：0wlan.mnc.mcc.3gppnetwork.org, for EAP AKA authentication1wlan.mnc.mcc.3gppnetwork.org, for EAP SIM authentication伪随机NAI：2aaa.wlan.mnc.mcc.3gppnetwork.org, for EAP AKA authentication3aaa.wlan.mnc.mcc.3gppnetwork.org, for EAP SIM authentication快速重鉴权NAI

34、：4aaa.wlan.mnc.mcc.3gppnetwork.org, for EAP AKA authentication5aaa.wlan.mnc.mcc.3gppnetwork.org, for EAP SIM authentication注：l IMSI、MNC、MCC、以及WLAN域名的定义，详细参考3GPP TS 23.003。l 针对三种NAI采用固定前缀形式，用于区分鉴权方法和NAI类型，方便AAA业务流程处理，并顺从相关协议（相关协议参见RFC4186、RFC4187、3GPP TS 23.003）。l PseudonymUsername和Re-authenticationU

35、sername，为用户接入认证成功后，为其提供认证的AAA给用户分配的在AAA内部唯一的标识，定长16字符。l 伪随机NAI和快速重鉴权NAI域名中的aaa，是负责为用户提供认证AAA唯一标识符，全网AAA必须保证唯一，ID全网统一分配，定长4个字符。举例：用户的IMSI号码为460001234567890，3GPP AAA Server的编号为0000，三种NAI的格式分别为l 永久NAI：EAP-AKA：0460001234567890wlan.mnc000.mcc460.3gppnetwork.orgEAP-SIM：1460001234567890wlan.mnc000.mcc460.3

36、gppnetwork.orgl 伪随机NAI：EAP-AKA：20123456789ABCDEFaaa0000.wlan.mnc000.mcc460.3gppnetwork.orgEAP-SIM：30123456789ABCDEFaaa0000.wlan.mnc000.mcc460.3gppnetwork.orgl 快速重鉴权NAI：EAP-AKA：40123456789ABCDEFaaa0000.wlan.mnc000.mcc460.3gppnetwork.orgEAP-SIM：50123456789ABCDEFaaa0000.wlan.mnc000.mcc460.3gppnetwork.o

37、rg5.3. 技术流程5.3.1. 总体接入流程统一认证接入包括802.11建立关联、认证、DHCP地址分配、UE与AC保活、计费、网络退出几个阶段。总体接入流程如下图描述：图5-1 统一认证总体接入流程5.3.2. 全鉴权流程5.3.2.1. EAP-AKA图5-2 EAP-AKA全鉴权流程1) WLAN UE 和 WLAN AN建立关联之后，UE向WLAN AN发送EAPoL-Start，发起鉴权请求。2）WLAN AN发送EAP-Request/Identity消息到WLAN UE。3）WLAN UE 回复EAP-Response/Identity消息，向网络发送其用户身份标识信息，身份

38、标识可以为伪随机NAI或永久NAI。4）WLAN AN将EAP报文使用RADIUS Access-Request消息封装，并将Identity放在RADIUS的User-Name属性中，发送给3GPP AAA Server。5）3GPP AAA Server收到包含用户身份的EAP-Response/Identity报文。6）3GPP AAA Server识别出用户准备使用的认证方法为EAP-AKA。如果UE送上的Identity为伪随机NAI，3GPP AAA Server检查本地没有该伪随机NAI与IMSI的映射关系，则使用EAP Request/AKA-Identity消息再次请求永久N

39、AI（6、7、8、9步仅用于WLAN UE漫游到新的拜访地而使用其他AAA分配的伪随机NAI接入认证的场景）。EAP报文封装在RADIUS Access-Challenge消息中，发送给WLAN AN。7）WLAN AN转发EAP-Request/AKA-Identity消息到WLAN UE。8）WLAN UE使用EAP-Response/AKA-Identity消息携带永久NAI进行响应9）WLAN AN转发EAP-Response/AKA-Identity消息携带永久NAI到3GPP AAA Server，EAP报文封装在RADIUS Access-Request消息中。10）3GPP A

40、AA Server检查本地是否缓存可用的鉴权向量，如果没有则向HLR发送MAP_SEND_AUTH_INFO请求，请求获取n组鉴权向量（n可配置，取值范围15）。11）HLR响应3GPP AAA Server鉴权请求，下发n组鉴权五元组。12）3GPP AAA Server检查本地是否存在用户的签约信息。如果没有，则AAA向HLR发起MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制，详见WLAN与2G/3G网络融合3GPP AAA Server规范)请求，获取用户签约信息。13）HLR向3GPP AAA Server发起插入用户数据MAP_INS

41、ERT_SUBS_DATA请求，向3GPP AAA Server插入数据。14）3GPP AAA Server响应HLR插入用户数据消息，完成用户签约信息获取。15)HLR向3GPP AAA Server回复MAP_UPDATE_GPRS_LOC或MAP-RESTORE-DATA(可通过配置开关进行控制，详见WLAN与2G/3G网络融合3GPP AAA Server规范)响应消息，完成HLR的交互流程。16）3GPP AAA Server检查用户签约通过后，根据算法生成TEKs、MSK和EMSK（参见IETF RFC 4187）。为支持标识保密功能，AAA Server还要生成伪随机NAI和快

42、速重鉴权NAI，用于后续的全鉴权和快速重鉴权过程。17）3GPP AAA Server在EAP-Request/AKA-Challenge消息中发送RAND，AUTH, 一个消息鉴权码（MAC）和2个用户标识（伪随机NAI和快速重鉴权NAI）给WLAN AN，EAP报文封装在RADIUS Access-Challenge消息中。3GPP AAA Server可选发送给WLAN UE一个指示。指出希望保护最后的成功结果消息（如果结果成功）。18）WLAN AN转发EAP-Request/AKA-Challenge消息到WLAN UE。19）WLAN UE运行USIM中UMTS算法。USIM验证A

43、UTN并且据此认证网络。如果AUTN验证错误，终端拒绝鉴权（未在本例中显示）。如果序列号验证失败，终端发起同步过程。参见IETF RFC 4187。重同步过程如下：A、USIM计算根据Ki、SQN、AMF以及随机数RAND通过f1star计算MACS，MACS和SQN一起组成AUTS。然后向3GPP AAA Server发送鉴权失败消息，带有参数AUTS。B、3GPP AAA Server收到带有AUTS参数的鉴权失败消息后，发现是重同步过程，就向HLR/AUC索取新的鉴权向量。C、HLR收到3GPP AAA Server的索取鉴权向量请求后，发现是重同步过程，就转入同步过程的处理。首先验证S

44、QN是否在正确的范围内，即下一个产生的序列码SQN是否能被USIM接受。如果SQN在正确的范围内，那么HLR/AUC产生一批新的鉴权向量并把它发送给3GPP AAA Server。如果SQN不在正确的范围内，则HLR/AUC根据Ki、SQN、AMF、RAND通过f1star算法计算并验证XMACS。如果XMACS=MACS，则把SQNms的值赋给SQNHE，然后产生一批新的鉴权向量并把它发送给3GPP AAA Server。D、3GPP AAA Server重新向MS发起一个鉴权流程，处理同正常的鉴权过程。如果AUTN验证正确，USIM计算RES,IK和CK。WLAN UE从由USIM新计算出的IK和CK推导出新的附加密钥素材。用新导出的密钥素材检查收到的MAC。如果收到受保护的伪随机身份和快速重鉴权身份，WLAN UE保存这些临时身份用于后续鉴权。20）WLAN UE 使用新密钥素材覆盖整个EAP消息计算新消息认证码（message authent