專利名稱:無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法及安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信系統(tǒng)安全技術(shù)�����,尤指一種無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法及安全系統(tǒng)�����。
背景技術(shù):
目前的第三代(3G)通信系統(tǒng)如碼分多址2000(CDMA2000)網(wǎng)絡(luò)自身具有安全體系和機制�。早期的版本CDMA2000 1x系統(tǒng)或簡稱為1x系統(tǒng),在電路域采用基于蜂窩認(rèn)證和語音加密協(xié)議(CAVE�����,Cellular Authenticationand Voice Encryption)的認(rèn)證方法,當(dāng)用戶請求電路域業(yè)務(wù)和位置更新時�,移動交換中心(MSC)會發(fā)起對用戶的認(rèn)證,這種認(rèn)證只是網(wǎng)絡(luò)對用戶的單向認(rèn)證��;在認(rèn)證成功后��,MSC將協(xié)商好的密鑰發(fā)給基站(BS)�����,用于保護(hù)移動臺(MS)和BS間的空口信令和用戶數(shù)據(jù)��,這種保護(hù)只對專用信令信道上的某些消息進(jìn)行完整性和機密性保護(hù)��,而不包括對公用信令信道的信令和業(yè)務(wù)信道的用戶信息安全的保護(hù)�。保護(hù)中使用的加密算法可以是蜂窩消息加密算法(CMEA�����,Cellular Message Encryption Algorithm)或增強CMEA(ECMEA)����。
為了改變CAVE認(rèn)證的不足,在作為1x系統(tǒng)的演進(jìn)方案的EV-DV系統(tǒng)中�,除了CAVE認(rèn)證外,還增加了基于認(rèn)證和密鑰協(xié)商(AKA,Authenticationand Key Agreement)的認(rèn)證����,這種認(rèn)證機制是雙向認(rèn)證,包括網(wǎng)絡(luò)對終端及終端對網(wǎng)絡(luò)的認(rèn)證�����。AKA同時也是一個密鑰協(xié)商協(xié)議��,在認(rèn)證的過程中���,同時計算用于保護(hù)數(shù)據(jù)安全的密鑰����。類似的��,MSC也會將計算得到的密鑰發(fā)給BS��,用于保護(hù)MS和BS間的數(shù)據(jù)�����。數(shù)據(jù)保護(hù)的方法與1x系統(tǒng)相同��。
1x系統(tǒng)演進(jìn)的另一個方向是高速率分組數(shù)據(jù)(HRPD)或稱EV-DO系統(tǒng)。EV-DO系統(tǒng)只存在分組域而沒有電路域���,因此��,認(rèn)證方法與EV-DV系統(tǒng)有所不同���,用戶的認(rèn)證包括兩個層次,即接入網(wǎng)(AN)認(rèn)證和核心網(wǎng)(CN)認(rèn)證����。
其中,接入網(wǎng)認(rèn)證是AN在與接入終端(AT)建立點到點協(xié)議(PPP����,Point-to Point Protocol)過程中,通過PPP挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)對AT進(jìn)行認(rèn)證����,這種認(rèn)證是單向的��?��?湛诘陌踩矫?,使用密鑰交換協(xié)議協(xié)商密鑰保證空口數(shù)據(jù)的完整性和機密性,但協(xié)商過程沒有包含對雙方的認(rèn)證����。這里,AT是HRPD相關(guān)規(guī)范中的移動終端�。
對于CMDA 2000分組核心網(wǎng)的認(rèn)證,1x系統(tǒng)���、EV-DV系統(tǒng)和EV-DO系統(tǒng)的認(rèn)證方法基本相同��。簡單IP中���,分組數(shù)據(jù)服務(wù)結(jié)點(PDSN,Packet DataServing Node)在與MS/AT建立PPP時���,利用密碼認(rèn)證協(xié)議(PAP)或CHAP對終端進(jìn)行認(rèn)證�;移動IP中����,當(dāng)MS獲得轉(zhuǎn)交地址后,會向家鄉(xiāng)代理(HA)發(fā)送注冊請求�����,這時MS會包含移動節(jié)點-認(rèn)證、授權(quán)��、計費(MN-AAA)認(rèn)證擴展和MN-HA認(rèn)證擴展�,PDSN利用AAA服務(wù)器校驗MN-AAA認(rèn)證擴展以實現(xiàn)對MS的認(rèn)證,而HA會對MN-HA擴展進(jìn)行校驗����,如果正確,說明MS是合法用戶�����。
綜上所述��,現(xiàn)有的CDMA2000系統(tǒng)的安全存在以下問題1)各種版本的認(rèn)證和空口安全機制差別比較大����,例如1x和EV-DV系統(tǒng)的認(rèn)證不同;EV-DO系統(tǒng)的空口安全與1x����、EV-DV系統(tǒng)的空口安全不同;2)接入網(wǎng)認(rèn)證中�,除了EV-DV系統(tǒng)支持雙向認(rèn)證外��,1x和EV-DO系統(tǒng)均只支持單向認(rèn)證;3)對信令和用戶數(shù)據(jù)的保護(hù)比較復(fù)雜��,要求保護(hù)某些信令的某些字段����,而不是保護(hù)整個報文,這給系統(tǒng)的判斷和處理都帶來了難度��;4)上述安全機制不能滿足跨接入系統(tǒng)漫游的要求�����。
為了保證未來系統(tǒng)的競爭力��,增強分組交換能力���、簡化網(wǎng)絡(luò)結(jié)構(gòu)�、提高服務(wù)質(zhì)量(QoS)���、減少時延����、提高用戶數(shù)據(jù)率�、提高系統(tǒng)容量和覆蓋率���、減少運營成本等,3GPP2和3GPP標(biāo)準(zhǔn)組織一直在研究現(xiàn)有網(wǎng)絡(luò)���,主要是IP分組網(wǎng)絡(luò)的長期演進(jìn)方案�,使分組網(wǎng)絡(luò)能更有效地提供對實時業(yè)務(wù)和非實時業(yè)務(wù)的承載����。另外,由于其它基于IP的接入技術(shù)特別是無線接入技術(shù)���,如無線局域網(wǎng)(WLAN)和寬帶互聯(lián)微波接入(WiMAX)體系也越來越成熟�����,應(yīng)用越來越廣泛����,未來的IP移動設(shè)備也具有多種接入能力�,因此,未來的演進(jìn)網(wǎng)絡(luò)必須考慮如何與這些接入網(wǎng)絡(luò)實現(xiàn)無縫移動性等����。
由于現(xiàn)有的3G網(wǎng)絡(luò)的安全系統(tǒng)本身存在很多問題�,很多安全機制是不適合應(yīng)用于演進(jìn)網(wǎng)絡(luò)的�����,因此�,演進(jìn)網(wǎng)絡(luò)的安全也是目前研究的重點�。演進(jìn)網(wǎng)絡(luò)的特點是網(wǎng)絡(luò)結(jié)構(gòu)的簡化,為了減少時延��,提高呼叫的建立速度和用戶數(shù)據(jù)包的傳輸效率��,接入網(wǎng)和核心網(wǎng)的節(jié)點將被簡化��。演進(jìn)網(wǎng)絡(luò)的簡化需要對原有網(wǎng)絡(luò)功能的重新調(diào)整和分配�,對信令以及用戶數(shù)據(jù)的處理也會有比較大的調(diào)整。
另外���,演進(jìn)網(wǎng)絡(luò)可能還會在分組網(wǎng)絡(luò)中引入承載和控制分離的概念�,這樣可以簡化網(wǎng)絡(luò)的管理���,提高用戶數(shù)據(jù)的傳輸效率�����。由于用戶數(shù)據(jù)與信令的特點不同�,因此,需要在保護(hù)機制上使控制面實體和用戶面實體采用不同的SA進(jìn)行保護(hù)����。
此外,不同接入系統(tǒng)間的漫游對安全也提出了很高的要求�。目前各個接入系統(tǒng)都有各自的安全技術(shù),而且這些安全技術(shù)與接入技術(shù)結(jié)合很緊密�,比如某種接入認(rèn)證只能應(yīng)用到特定的網(wǎng)絡(luò)環(huán)境或鏈路上。而演進(jìn)網(wǎng)絡(luò)必須解決跨接入系統(tǒng)的安全問題��。
基于網(wǎng)絡(luò)演進(jìn)的需求��,目前已經(jīng)衍生出很多演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)��,業(yè)界比較流行和認(rèn)可的演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示�。圖1是現(xiàn)有演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)的示意圖,如圖1所示����,演進(jìn)網(wǎng)絡(luò)的結(jié)構(gòu)主要分為三部分移動臺、演進(jìn)接入網(wǎng)(eAN�����,evolved Access Network)和演進(jìn)核心網(wǎng)(eCN,evolved Core Network)���。圖1中�����,密虛線連接線表示傳遞的是信令,實線連接線表示傳遞的是數(shù)據(jù)�����。
eAN包括演進(jìn)接入網(wǎng)信令實體如演進(jìn)基站(eBS�����,evolved Base Station)和演進(jìn)接入網(wǎng)控制器(eANC���,evolved Access Network Controller)���。其中,eBS的主要功能是完成物理層和媒體接入控制(MAC)層的接入�����,eBS還包括自身內(nèi)部無線資源管理的功能;eANC主要完成跨eBS的無線資源管理����,控制無線資源的分配等,eANC也可以與eBS合并���。
eCN的主要實體是演進(jìn)核心網(wǎng)實體(eCNE���,evolved Core NetworkController),eCNE包括用戶面實體(UPE�����,User Plane Entity)和演進(jìn)核心網(wǎng)信令實體如控制面實體(CPE���,Control Plane Entity)����。UPE和CPE可以分離于不同設(shè)備或者位于同一設(shè)備上��。其中�,UPE完成用戶業(yè)務(wù)數(shù)據(jù)的傳遞���,作為業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)路由器;CPE完成會話控制��、呼叫的控制��、用戶的認(rèn)證���、移動性管理��、QOS支持等。之外���,eCN中還包括AAA服務(wù)器�,用于保存用戶的簽約信息和與用戶共享的密鑰等數(shù)據(jù)�����;接入系統(tǒng)間實體(IASE�����,InterAccess System Entry)��,用于處理與不同接入系統(tǒng)間的移動性管理、信令的轉(zhuǎn)換��、用戶數(shù)據(jù)的傳遞等���,在安全方面����,IASE完成認(rèn)證信息和安全參數(shù)的傳遞�����。
圖2是現(xiàn)有演進(jìn)網(wǎng)絡(luò)中的認(rèn)證機制示意圖����,圖2是2005年9月的3GPP2標(biāo)準(zhǔn)會議上提出了一種演進(jìn)網(wǎng)絡(luò)框架,記錄在會議資料X31-20050926-029中���。圖2中����,本地移動家鄉(xiāng)代理(LMHA���,Local Mobility Home Agent)承擔(dān)本地移動性管理�����,并為MS分配IP地址��?��?刂平尤朦c(CAP��,ControllingAccess Point)包括接入網(wǎng)關(guān)(AGW�,Access Gateway)和無線資源管理(RRM����,Radio Resource Management),其中���,AGW作為MS/AT的第一跳路由器,用于完成認(rèn)證功能����,AGW作為遠(yuǎn)程認(rèn)證撥號接入用戶業(yè)務(wù)(RADIUS,Remote Authentication Dial In User Service)的客戶端實現(xiàn)移動性管理����、QOS支持��、承擔(dān)部分原PDSN的功能����;RRM的功能包括公用資源管理�����、專用資源管理�����、無線會話管理�����、維護(hù)MS/AT的會話狀態(tài)���、無線鏈路管理等����。在會議資料X31-20050926-029記錄的方案中���,包含了安全認(rèn)證機制�,簡單的說,該方案建議采用可擴展認(rèn)證協(xié)議(EAP)作為移動終端和網(wǎng)絡(luò)認(rèn)證的框架��。承載EAP有兩種方式�����,一種以CDMA2000鏈路層作為承載���,另一種以網(wǎng)絡(luò)接入認(rèn)證承載協(xié)議(PANA)作為承載���。后一種方式中,可以將CAP看作PANA協(xié)議中的執(zhí)行點(EP)和PANA認(rèn)證代理(PAA����,PANA AuthenticationAgent),也就是說EP和PAA在一個實體中����,將MS看作PANA客戶端(PaC)����。基于圖2所示的認(rèn)證機制中��,認(rèn)證的基本的流程如下1)MS與CAP建立連接和會話;2)MS獲得認(rèn)證前的IP地址�����;3)MS與CAP進(jìn)行PANA會話���,也就是進(jìn)行一次EAP認(rèn)證���,具體的認(rèn)證方法可以是AKA或者其它認(rèn)證方法。CAP會通過家鄉(xiāng)AAA(HAAA)服務(wù)器對MS發(fā)送的認(rèn)證信息進(jìn)行校驗�,而MS也會校驗HAAA的認(rèn)證信息;4)如果校驗成功�����,MS完成與網(wǎng)絡(luò)間的雙向認(rèn)證���。
在完成EAP認(rèn)證后�����,MS和CAP/BTS還執(zhí)行了密鑰交換過程���,用來保護(hù)MS和CAP/BTS間的空口(OTA�����,Over The Air)數(shù)據(jù)���。
圖2所示的現(xiàn)有演進(jìn)網(wǎng)絡(luò)的認(rèn)證方案中,提出了兩種承載EAP的方式��,第一種認(rèn)證方式是直接將EAP承載在CDMA2000鏈路層上��,這種方法的缺點是��,沒有現(xiàn)有的封裝標(biāo)準(zhǔn)將EAP承載在CDMA2000鏈路層上�,必須重新開發(fā)新的協(xié)議,這樣����,需要很長的開發(fā)時間,而且工作量也比較大���;并且采用第一種認(rèn)證方式����,會使得接入認(rèn)證與鏈路層耦合�,從而使得第一種認(rèn)證機制只適用于CDMA2000演進(jìn)網(wǎng)絡(luò),對網(wǎng)絡(luò)演進(jìn)中需要在不同接入系統(tǒng)間漫游非常不利��。
第二種認(rèn)證方式是采用PANA對EAP進(jìn)行封裝�,在會議資料記錄的方案中,EP和PAA的功能由CAP來實現(xiàn)�,這樣認(rèn)證前必須由CAP對MS的數(shù)據(jù)包進(jìn)行控制,阻止非授權(quán)的數(shù)據(jù)包接入網(wǎng)絡(luò)���,增加了CAP的負(fù)荷�����。認(rèn)證后��,只能在MS和CAP間建立安全聯(lián)盟���,保護(hù)MS和CAP之間的數(shù)據(jù)。但還有很多其它信令和用戶數(shù)據(jù)����,比如MS和BTS間的資源管理信令等需要進(jìn)行安全保護(hù),現(xiàn)有方案中均未解決����。
另外�,該現(xiàn)有方案不能解決跨接入系統(tǒng)漫游情況下���,MS如何完成認(rèn)證����,以及信令和用戶數(shù)據(jù)如何保護(hù)的問題���。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供一種無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法��,能夠在網(wǎng)絡(luò)層實現(xiàn)移動終端與網(wǎng)絡(luò)間的雙向認(rèn)證����,使得認(rèn)證具有通用性��。
本發(fā)明的另一目的在于提供一種無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)���,能夠有效的保護(hù)移動終端的信令和用戶數(shù)據(jù)�,以及網(wǎng)絡(luò)內(nèi)各實體間的信令安全���。
為達(dá)到上述目的�,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法,移動臺與無線演進(jìn)接入網(wǎng)建立連接�,該方法還包括A.移動臺通過無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體�,與無線演進(jìn)網(wǎng)絡(luò)間進(jìn)行雙向認(rèn)證,并生成共享密鑰���;B.移動臺與所述核心網(wǎng)信令實體之間利用生成的共享密鑰�����,建立安全聯(lián)盟����。
步驟A之前�,該方法還包括所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體和所述無線演進(jìn)核心網(wǎng)中的用戶面實體,拒絕來自所述移動臺的數(shù)據(jù)接入無線演進(jìn)網(wǎng)絡(luò)�����。
步驟B之后����,該方法還包括所述核心網(wǎng)信令實體向接入網(wǎng)信令實體和用戶面實體發(fā)送新的數(shù)據(jù)控制策略��,所述接入網(wǎng)信令實體和用戶面實體根據(jù)新的控制策略����,允許來自所述移動臺的數(shù)據(jù)接入無線演進(jìn)網(wǎng)絡(luò)����。
該方法還包括,在所述移動臺和無線演進(jìn)核心網(wǎng)中的認(rèn)證�、授權(quán)、計費服務(wù)器中設(shè)置共享的長期密鑰���;步驟A中所述雙向認(rèn)證并生成共享密鑰的方法為A11.所述核心網(wǎng)信令實體向移動臺請求移動臺的身份信息��;A12.所述核心網(wǎng)信令實體將接收到的移動臺的身份信息轉(zhuǎn)發(fā)給所述認(rèn)證���、授權(quán)、計費服務(wù)器��,所述認(rèn)證�����、授權(quán)���、計費服務(wù)器檢查移動臺的身份���,并根據(jù)所述長期密鑰生成認(rèn)證挑戰(zhàn)數(shù)據(jù)及主密鑰�;A13.所述認(rèn)證��、授權(quán)��、計費服務(wù)器將生成的認(rèn)證挑戰(zhàn)數(shù)據(jù)經(jīng)所述核心網(wǎng)信令實體發(fā)送給移動臺�,將所述主密鑰發(fā)送給所述核心網(wǎng)信令實體����;所述核心網(wǎng)信令實體利用接收到的主密鑰衍生出自身與所述移動臺間的共享密鑰;A14.所述移動臺對接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)進(jìn)行檢驗����,并向所述核心網(wǎng)信令實體返回認(rèn)證響應(yīng);所述移動臺根據(jù)長期密鑰生成主密鑰��,并利用該主密鑰���,采用與所述核心網(wǎng)信令實體相同的方法衍生出自身與所述核心網(wǎng)信令實體間的共享密鑰����。
步驟B之后,該方法還包括所述核心網(wǎng)信令實體利用所述主密鑰及網(wǎng)絡(luò)實體相關(guān)參數(shù)��,為所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體���、無線演進(jìn)核心網(wǎng)中的用戶面實體�����,衍生密鑰并下發(fā)����;所述移動臺利用所述主密鑰及相關(guān)參數(shù)����,采用與所述核心網(wǎng)信令實體相同的衍生方法衍生出自身與所述接入網(wǎng)信令實體、用戶面實體間的衍生密鑰��;所述移動臺分別與所述接入網(wǎng)信令實體����、用戶面實體利用各自的衍生密鑰建立安全聯(lián)盟。
所述接入網(wǎng)信令實體為兩個或兩個以上����,所述核心網(wǎng)信令實體和移動臺同時為各接入網(wǎng)信令實體衍生出各自的衍生密鑰��。
該方法還包括若所述移動臺切換至目標(biāo)核心網(wǎng)信令實體�,且所述移動臺正在進(jìn)行通信或正在進(jìn)行呼叫��,則所述移動臺所屬原核心網(wǎng)信令實體將與所述移動臺相關(guān)的密鑰傳遞給所述目標(biāo)核心網(wǎng)信令實體����。
該方法還包括若所述移動臺切換至目標(biāo)核心網(wǎng)信令實體,且所述移動臺處于空閑狀態(tài)�,所述移動臺再次發(fā)起呼叫請求時,刪除自身與原網(wǎng)絡(luò)協(xié)商的所有密鑰�����,重新進(jìn)行認(rèn)證和密鑰協(xié)商�。
所述移動臺移動到不同于歸屬網(wǎng)絡(luò)接入技術(shù)的接入網(wǎng)絡(luò)中��,在所述移動臺和所述移動臺所屬歸屬網(wǎng)絡(luò)中的認(rèn)證�、授權(quán)、計費服務(wù)器中設(shè)置共享的長期密鑰�;步驟A中所述雙向認(rèn)證并生成共享密鑰的方法為A21.所述接入網(wǎng)絡(luò)中的接入路由器向移動臺請求移動臺的身份信息;
A22.所述接入路由器經(jīng)接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體和所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體�,將接收到的所述移動臺的身份信息轉(zhuǎn)發(fā)給所述歸屬網(wǎng)絡(luò)中的認(rèn)證、授權(quán)����、計費服務(wù)器���,所述認(rèn)證、授權(quán)����、計費服務(wù)器檢查移動臺的身份,并根據(jù)所述長期密鑰生成認(rèn)證挑戰(zhàn)數(shù)據(jù)及主密鑰�����;A23.所述認(rèn)證�、授權(quán)、計費服務(wù)器將生成的認(rèn)證挑戰(zhàn)數(shù)據(jù)經(jīng)所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體發(fā)送給接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體�,再經(jīng)所述接入路由器發(fā)送給移動臺,將所述主密鑰發(fā)送給所述接入路由器���;所述接入路由器利用接收到的主密鑰衍生出自身與所述移動臺間的共享密鑰�;A24.所述移動臺對接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)進(jìn)行檢驗�,并向所述接入路由器返回認(rèn)證響應(yīng);所述移動臺根據(jù)所述長期密鑰生成主密鑰��,并利用該主密鑰,采用與所述接入路由器相同的方法衍生出自身與所述接入路由器間的共享密鑰���。
步驟A22中�,所述經(jīng)接入網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)身份信息的方法為A221.所述接入路由器根據(jù)所述身份信息確定所述移動臺不是接入網(wǎng)絡(luò)的用戶���,將身份信息作為數(shù)據(jù)包轉(zhuǎn)發(fā)給接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體�����;A222.所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體將接收到的數(shù)據(jù)包的IP源地址更換成自身的IP地址�����、目的地址為移動臺歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體的地址��,并發(fā)送該數(shù)據(jù)包�;A223.所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體將接收到的數(shù)據(jù)包的IP源地址更換成自身的IP地址��、目的地址為移動臺歸屬網(wǎng)絡(luò)中的認(rèn)證�����、授權(quán)����、計費服務(wù)器的地址,并發(fā)送該數(shù)據(jù)包����。
步驟A22中,所述經(jīng)接入網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)身份信息的方法為采用隧道方式轉(zhuǎn)發(fā)��。
步驟A22具體包括所述接入路由器將接收到的來自所述移動臺的數(shù)據(jù)包外層再封裝一層IP頭����;
所述IP頭的地址為從所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體傳遞至所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體,再經(jīng)由所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)中的認(rèn)證��、授權(quán)�、計費服務(wù)器。
步驟A23中��,所述經(jīng)歸屬網(wǎng)絡(luò)和接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)認(rèn)證挑戰(zhàn)數(shù)據(jù)的方法為A231.所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體�����,將承載認(rèn)證挑戰(zhàn)數(shù)據(jù)的數(shù)據(jù)包的IP源地址更換成自身的IP地址�、目的地址為經(jīng)查詢后得到的接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體的地址;A232.所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體接到該數(shù)據(jù)包后���,將該數(shù)據(jù)包的IP源地址更換成自身的IP地址����、目的地址為所述接入路由器的地址并發(fā)送。
步驟A23中���,所述經(jīng)歸屬網(wǎng)絡(luò)和接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)認(rèn)證挑戰(zhàn)數(shù)據(jù)的方法為采用隧道方式轉(zhuǎn)發(fā)�����。
所述移動臺和核心網(wǎng)信令實體之間的雙向認(rèn)證位于網(wǎng)絡(luò)層�;所述雙向認(rèn)證采用網(wǎng)絡(luò)接入認(rèn)證承載PANA協(xié)議���,或?qū)崿F(xiàn)認(rèn)證并協(xié)商密鑰的網(wǎng)絡(luò)層認(rèn)證協(xié)議��。
所述移動臺為PANA客戶端���;所述核心網(wǎng)信令實體為PANA認(rèn)證代理;所述接入網(wǎng)信令實體和用戶面實體為執(zhí)行點�����。
一種無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)���,包括移動臺�����,無線演進(jìn)接入網(wǎng)和無線演進(jìn)核心網(wǎng)����,該安全系統(tǒng)還包括在移動臺和無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體中均設(shè)置安全聯(lián)盟建立模塊�����,用于建立保護(hù)移動臺與無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體之間連接的安全聯(lián)盟�。
所述安全系統(tǒng)還包括在所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體中設(shè)置安全聯(lián)盟建立模塊,用于建立保護(hù)所述移動臺與無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體之間連接的安全聯(lián)盟�����;在所述無線演進(jìn)核心網(wǎng)中的用戶面實體中設(shè)置安全聯(lián)盟建立模塊����,用于建立保護(hù)所述移動臺與無線演進(jìn)核心網(wǎng)中的用戶面實體之間連接的安全聯(lián)盟。
所述安全系統(tǒng)還包括所述核心網(wǎng)信令實體的安全聯(lián)盟模塊��,所述接入網(wǎng)信令實體的安全聯(lián)盟模塊����、所述用戶面實體的安全聯(lián)盟模塊�,分別用于建立保護(hù)所述核心網(wǎng)信令實體的安全聯(lián)盟模塊與所述接入網(wǎng)信令實體�、所述用戶面實體之間連接的安全聯(lián)盟。
所述安全系統(tǒng)還包括所述核心網(wǎng)信令實體的安全聯(lián)盟建立模塊�����、無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體的安全聯(lián)盟建立模塊�����、無線演進(jìn)核心網(wǎng)中的用戶面實體的安全聯(lián)盟建立模塊�����,分別用于建立保護(hù)所述核心網(wǎng)信令實體分別與無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體����、無線演進(jìn)核心網(wǎng)中的用戶面實體之間連接的安全聯(lián)盟。
所述安全系統(tǒng)還包括分別在所述無線演進(jìn)核心網(wǎng)中的認(rèn)證���、授權(quán)���、計費服務(wù)器和接入系統(tǒng)間實體中設(shè)置安全聯(lián)盟建立模塊�,用于建立保護(hù)所述無線演進(jìn)核心網(wǎng)中的認(rèn)證����、授權(quán)���、計費服務(wù)器與接入系統(tǒng)間實體之間連接的安全聯(lián)盟����、以及保護(hù)所述無線演進(jìn)核心網(wǎng)中的接入系統(tǒng)間實體與其它接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體之間連接的安全聯(lián)盟�����。
所述核心網(wǎng)信令實體為控制面實體�。
所述接入網(wǎng)信令實體包括演進(jìn)基站和/或演進(jìn)接入網(wǎng)控制器。
由上述技術(shù)方案可見���,本發(fā)明無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)中�����,移動臺與演進(jìn)核心網(wǎng)信令實體如CPE之間建立有安全聯(lián)盟��,該安全聯(lián)盟用于保護(hù)交互的信令�;進(jìn)一步地,移動臺與演進(jìn)接入網(wǎng)信令實體如eBS和eANC�,以及演進(jìn)核心網(wǎng)UPE之間建立有安全聯(lián)盟,該安全聯(lián)盟用于保護(hù)交互的用戶數(shù)據(jù)����;進(jìn)一步地,網(wǎng)絡(luò)實體之間如演進(jìn)核心網(wǎng)信令實體與演進(jìn)接入網(wǎng)信令實體之間���、演進(jìn)核心網(wǎng)信令實體與演進(jìn)核心網(wǎng)用戶面實體之間����,建立有安全聯(lián)盟����,該安全聯(lián)盟用于保護(hù)交互的信令。
本發(fā)明無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法中����,移動臺與演進(jìn)接入網(wǎng)建立連接后,移動臺通過無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體�����,與無線演進(jìn)網(wǎng)絡(luò)間進(jìn)行雙向認(rèn)證,并生成共享密鑰��;移動臺與所述核心網(wǎng)信令實體之間利用生成的共享密鑰����,建立安全聯(lián)盟。本發(fā)明方法基于無線演進(jìn)網(wǎng)絡(luò)的發(fā)展趨勢���,實現(xiàn)了移動終端和網(wǎng)絡(luò)間的雙向認(rèn)證,且認(rèn)證在網(wǎng)絡(luò)層進(jìn)行���,與鏈路層技術(shù)無關(guān)�����。
進(jìn)一步地��,MS在認(rèn)證前發(fā)給網(wǎng)絡(luò)的數(shù)據(jù)包會受到接入網(wǎng)信令實體和核心網(wǎng)用戶面實體的控制���,禁止未授權(quán)的數(shù)據(jù)接入網(wǎng)絡(luò)。認(rèn)證完成后���,核心網(wǎng)信令實體會將新的數(shù)據(jù)控制策略發(fā)給無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體和核心網(wǎng)用戶面實體���,繼續(xù)由接入網(wǎng)信令實體和核心網(wǎng)用戶面實體執(zhí)行新的控制策略�����,并允許MS的數(shù)據(jù)接入網(wǎng)絡(luò)�。使得認(rèn)證前和認(rèn)證后都可有效的控制移動臺的數(shù)據(jù)流����,只允許授權(quán)的數(shù)據(jù)接入網(wǎng)絡(luò),同時也保障了用戶終端不受到非法基站或網(wǎng)絡(luò)設(shè)備的欺騙�����。
進(jìn)一步地�,認(rèn)證成功后,演進(jìn)核心網(wǎng)信令實體和移動臺可基于認(rèn)證和密鑰協(xié)商過程產(chǎn)生的共享密鑰�����,為需要安全保護(hù)的網(wǎng)絡(luò)實體如演進(jìn)接入網(wǎng)信令實體和用戶面實體再衍生密鑰�,以建立所需要的安全聯(lián)盟。這樣有效地保護(hù)了各種類型的信息�����,而且安全聯(lián)盟的建立比較簡單,不會增加網(wǎng)絡(luò)的負(fù)擔(dān)�����。
此外�����,本發(fā)明方案支持移動臺在不同接入網(wǎng)絡(luò)間的漫游認(rèn)證��,并對數(shù)據(jù)進(jìn)行有效保護(hù)�����,由于認(rèn)證在網(wǎng)絡(luò)層進(jìn)行�����,認(rèn)證數(shù)據(jù)通過網(wǎng)絡(luò)層傳遞����,因此對移動臺和接入網(wǎng)設(shè)備影響非常小���。
圖1是現(xiàn)有演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)的示意圖��;圖2是現(xiàn)有演進(jìn)網(wǎng)絡(luò)中的認(rèn)證機制示意圖��;圖3是本發(fā)明演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)的示意圖�;圖4是本發(fā)明演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)中密鑰體系的示意圖;圖5是本發(fā)明實現(xiàn)認(rèn)證的流程圖��;圖6是本發(fā)明MS漫游到其它IP接入網(wǎng)絡(luò)時實現(xiàn)認(rèn)證的流程圖�����。
具體實施例方式
本發(fā)明的核心思想是移動臺與無線演進(jìn)接入網(wǎng)建立連接后���,移動臺通過無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體��,與無線演進(jìn)網(wǎng)絡(luò)間進(jìn)行雙向認(rèn)證���,并生成共享密鑰;移動臺與所述核心網(wǎng)信令實體之間利用生成的共享密鑰��,建立安全聯(lián)盟��。
為使本發(fā)明的目的���、技術(shù)方案及優(yōu)點更加清楚明白��,以下參照附圖并舉較佳實施例��,對本發(fā)明進(jìn)一步詳細(xì)說明���。
圖3是本發(fā)明演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)的示意圖��,本發(fā)明基于圖1所示的演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)為例進(jìn)行描述�,但不限于應(yīng)用于圖1所示的演進(jìn)網(wǎng)絡(luò)���。
如圖3所示�����,MS通過核心網(wǎng)中用于完成會話控制、呼叫的控制�����、用戶的認(rèn)證�����、移動性管理�����、QOS支持等的演進(jìn)核心網(wǎng)信令實體如CPE,實現(xiàn)MS與網(wǎng)絡(luò)的雙向認(rèn)證���。為了使認(rèn)證更具有通用性���,認(rèn)證與鏈路層分離,而在網(wǎng)絡(luò)層實現(xiàn)�。為了保護(hù)MS與其它各網(wǎng)絡(luò)實體間的數(shù)據(jù)安全,本發(fā)明演進(jìn)網(wǎng)絡(luò)安全體系中可以建立以下四個安全聯(lián)盟(SA)����,即MS分別建立與CPE、演進(jìn)接入網(wǎng)信令實體如eBS和eANC��,以及UPE之間的SA���,如圖3中的SA1����、SA2��、SA3和SA4所示���,其中SA1����、SA2、SA3用于保護(hù)信令�,SA4用于保護(hù)用戶業(yè)務(wù)數(shù)據(jù),MS與CPE之間的SA是必須建立的��,其它SA的建立可以根據(jù)需要選擇建立�����。為了保證演進(jìn)網(wǎng)絡(luò)中各實體間的數(shù)據(jù)安全�����,CPE與eBS����、eANC及UPE之間也可以建立SA�,如圖3中的SAa、SAb和SAc所示����。如果CPE和UPE位于同一個網(wǎng)絡(luò)設(shè)備���,那么,CPE與UPE間的接口是內(nèi)部接口���,可以不需要SAc���,同時,SA1和SA4合并成一個SA����。
在實現(xiàn)跨接入系統(tǒng)間的認(rèn)證時,為了保證AAA服務(wù)器與ISAE之間��,以及不同接入網(wǎng)絡(luò)的ISAE之間傳遞的認(rèn)證信息的安全性���,也可以在AAA服務(wù)器與ISAE之間���、及不同接入網(wǎng)絡(luò)的ISAE之間建立SA,以保證數(shù)據(jù)的安全�����,如圖3中的SAI和SAII所示����。
在演進(jìn)網(wǎng)絡(luò)中�����,若將eBS和eANC合并在同一實體中���,并完成物理層、MAC層��,以及無線控制協(xié)議的工作如無線資源管理����,安全系統(tǒng)中若建立有SA2和SA3、SAa和SAb��,則將SA2和SA3合并為一個SA��、將SAa和SAb合并為一個SA���。
如上所述��,MS和各網(wǎng)絡(luò)實體間的信令和用戶數(shù)據(jù)保護(hù)包括1)MS和CPE間的信令保護(hù);2)MS和eBS的信令保護(hù)�����;3)MS和eANC的信令保護(hù);4)MS和UPE間的用戶數(shù)據(jù)保護(hù)���。
其中����,對信令的保護(hù)中�����,完整性保護(hù)是必須的���,機密性保護(hù)是可選的����;對用戶數(shù)據(jù)的保護(hù)中��,一般機密性保護(hù)是必須的���,完整性保護(hù)是可選的�����。
SA是兩個需要安全通信的實體在進(jìn)行數(shù)據(jù)交換之前�,建立的某種約定。比如雙方需要就如何保護(hù)信息���、交換信息等公用的安全設(shè)置達(dá)成一致����,定義了實體間如何使用安全服務(wù)如加密進(jìn)行通信等��,所以����,在上述各實體中均設(shè)置有用于建立安全聯(lián)盟的安全聯(lián)盟建立模塊,用于建立保護(hù)所述移動臺與無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體之間連接的安全聯(lián)盟��。
圖4是本發(fā)明演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)中密鑰體系的示意圖����,如圖4所示,K是MS和AAA服務(wù)器共享的長期密鑰�,用于進(jìn)行認(rèn)證,認(rèn)證和密鑰協(xié)商完成后���,根據(jù)長期密鑰K推演出主密鑰Kmaster�����,這里����,推演的方法很多��,如AKA等���;AAA服務(wù)器將主密鑰Kmaster傳遞給CPE�����,CPE利用主密鑰Kmaster以及其它相關(guān)參數(shù)比如隨機數(shù)等�,協(xié)商出CPE與MS間的共享密鑰Kmc�,同時MS也利用推演出的主密鑰Kmaster及其它相關(guān)參數(shù),協(xié)商出MS與CPE間的共享密鑰Kmc��。此時�,MS和CPE之間可以采用該共享密鑰Kmc建立SA,以對MS和CPE之間傳遞的數(shù)據(jù)進(jìn)行保護(hù)����。其中����,長期密鑰是MS和網(wǎng)絡(luò)長期共享的�����,一般保存在MS的用戶身份模塊中�����,是在用戶入網(wǎng)時分配的���。
如果eBS���、eANC和UPE網(wǎng)絡(luò)實體也需要和MS之間建立SA,則CPE可以利用共享密鑰Kmc將計算MS和所屬網(wǎng)絡(luò)實體間共享密鑰所需要的參數(shù)如隨機數(shù)��、eBS��、eANC和UPE的身份標(biāo)識等發(fā)給MS��,這樣�,在MS和CPE中分別采用相同的密鑰計算方法衍生相應(yīng)的衍生密鑰Kmb����,Kma和Kmu��;之后����,CPE將衍生密鑰Kmb���,Kma和Kmu分別發(fā)送給eBS����、eANC和UPE�����。此時����,MS與eBS、eANC和UPE網(wǎng)絡(luò)實體之間��,分別采用衍生密鑰Kmb���,Kma和Kmu建立SA�����。需要說明的是����,MS和eBS、eANC和UPE網(wǎng)絡(luò)實體可以直接使用上述衍生密鑰�����,也可以根據(jù)需要再衍生新的密鑰���。
進(jìn)一步地���,為了提高切換的速度,CPE可以將衍生多個密鑰的數(shù)據(jù)發(fā)給MS�����。例如CPE將衍生MS和多個eBS間的密鑰的數(shù)據(jù)發(fā)給MS��,MS計算出多個衍生密鑰Kmb�,假設(shè)MS與其中一個原eBS進(jìn)行通信��,當(dāng)MS切換到目標(biāo)eBS時�����,可以直接使用已生成的MS與目標(biāo)eBS間的密鑰進(jìn)行通信��,而不需要再協(xié)商��。需要說明的是����,如果此時目標(biāo)eBS沒有相應(yīng)的密鑰����,可向CPE索取�。其他網(wǎng)絡(luò)實體存在多個時,也可以采用同時生成多個衍生密鑰的方式��。
如果MS切換到另一個CPE的管理范圍內(nèi)�����,且MS處于空閑狀態(tài)�����,則MS再次發(fā)起呼叫請求時,通常需要重新進(jìn)行認(rèn)證和密鑰協(xié)商�。但是,如果MS切換到另一個CPE的管理范圍內(nèi)時����,MS正在進(jìn)行通信或者正在進(jìn)行某些呼叫,那么��,原CPE可以將當(dāng)前的與所述移動臺相關(guān)的密鑰如Kmc����,Kmb等,傳遞給目標(biāo)CPE����,保證通信的連續(xù)性,在用戶進(jìn)入空閑狀態(tài)后�����,再進(jìn)行重認(rèn)證和密鑰協(xié)商�����。
MS與演進(jìn)網(wǎng)絡(luò)中各實體之間SA的建立為MS與網(wǎng)絡(luò)在認(rèn)證過程中,同時協(xié)商共享密鑰Kmaster���,該共享密鑰Kmaster由AAA服務(wù)器傳遞給CPE�,該共享密鑰Kmaster可以作為建立SA1的密鑰材料�����;之后����,CPE在共享密鑰Kmaster的基礎(chǔ)上結(jié)合其它相關(guān)參數(shù)如隨機數(shù)、各實體的設(shè)備標(biāo)識等�,為SA2、SA3和SA4的建立生成衍生密鑰����,并傳遞給各實體���;各實體可以直接使用接收到的衍生密鑰建立SA�,或者也可以利用其它協(xié)議產(chǎn)生新的密鑰來建立SA���,只是此時必須保證建立SA的兩個實體采用相同的協(xié)議及算法產(chǎn)生新的密鑰��。從上述可見���,本發(fā)明MS與演進(jìn)網(wǎng)絡(luò)中各實體之間SA的建立由一個網(wǎng)絡(luò)實體���,即CPE進(jìn)行認(rèn)證及負(fù)責(zé)密鑰的分發(fā),因此實現(xiàn)和管理都很簡單����。
其中,演進(jìn)網(wǎng)絡(luò)中網(wǎng)絡(luò)實體之間SA的建立���,可以根據(jù)情況采用各種技術(shù)建立�,如使用IP安全(IPsec)進(jìn)行保護(hù)建立等�����。
MS和CPE之間的網(wǎng)絡(luò)層認(rèn)證可采用現(xiàn)有的IETF標(biāo)準(zhǔn)PANA協(xié)議����,或其它網(wǎng)絡(luò)層認(rèn)證協(xié)議,只要所使用的認(rèn)證方法能夠同時支持協(xié)商密鑰即可�。如果采用PANA協(xié)議對EAP進(jìn)行封裝實現(xiàn)認(rèn)證,那么,可以將MS看作PaC����,CPE看作PAA,eBS��、eANC和UPE三個實體均可被看作EP�,PAA和EP位于不同的網(wǎng)絡(luò)實體中;EAP協(xié)議的方法也可以有多種���,但必須支持雙向認(rèn)證�,可保護(hù)用戶的身份�����,比如EAP-AKA認(rèn)證方案��、EAP-隧道方式傳輸層安全(EAP-TTLS)等��。
MS完成認(rèn)證之前�����,eANC��、eBS����、UPE可以對MS發(fā)出的數(shù)據(jù)包進(jìn)行控制,阻止非授權(quán)的數(shù)據(jù)包接入網(wǎng)絡(luò)���;在MS認(rèn)證成功后���,CPE根據(jù)用戶簽約信息和預(yù)先配置的用戶的權(quán)限數(shù)據(jù)如是否允許接入網(wǎng)絡(luò)等,生成對數(shù)據(jù)包的控制策略����,并將該控制策略傳遞給eANC、eBS���、UPE�,以便在各實體中按照當(dāng)前對數(shù)據(jù)包的控制策略執(zhí)行相應(yīng)的控制�。
圖5是本發(fā)明實現(xiàn)認(rèn)證的流程圖,如圖5所示���,假設(shè)在MS和AAA服務(wù)器中已共享有長期密鑰K���,MS已獲得IP地址�����,該IP地址可以是本地地址或全球唯一地址���,只要能滿足可路由到CPE即可。本發(fā)明無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)實現(xiàn)認(rèn)證包括以下步驟步驟500MS與eBS建立連接���。
本步驟具體實現(xiàn)屬于現(xiàn)有技術(shù)�����,這里不再詳述���。
此時,eBS或eANC對MS的數(shù)據(jù)包進(jìn)行控制����,阻止MS接入網(wǎng)絡(luò),控制可以在鏈路層或網(wǎng)絡(luò)層進(jìn)行����,控制的實現(xiàn)屬于現(xiàn)有技術(shù),可參見相關(guān)協(xié)議�����,這里不再贅述����,這里強調(diào)的是在MS完成雙向認(rèn)證之前,是不允許接入網(wǎng)絡(luò)的���。
步驟501~步驟502如果MS不知道CPE的地址����,可以通過廣播���,或利用eBS或eANC等網(wǎng)絡(luò)實體進(jìn)行查詢�;CPE響應(yīng)查詢請求�,并同時請求MS的身份信息。
本步驟中�����,CPE請求MS的身份����,也可以通過另外的數(shù)據(jù)包來請求�。
如果MS已通過配置獲知CPE的地址����,則本步驟中僅包括CPE請求MS的身份信息。
步驟503~步驟505MS將自身的身份信息如身份標(biāo)識發(fā)送給CPE��,CPE將接收到的身份信息轉(zhuǎn)發(fā)給AAA服務(wù)器�,由AAA服務(wù)器檢查MS的身份,并生成認(rèn)證挑戰(zhàn)數(shù)據(jù)��,并根據(jù)長期密鑰推算出的主密鑰Kmaster�����。該認(rèn)證挑戰(zhàn)數(shù)據(jù)主要包括用于校驗MS的數(shù)據(jù)�、將要發(fā)給MS等待MS認(rèn)證網(wǎng)絡(luò)的數(shù)據(jù)。
步驟506~步驟507AAA服務(wù)器將生成的認(rèn)證挑戰(zhàn)數(shù)據(jù)和主密鑰Kmaster發(fā)給CPE����,CPE將接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)轉(zhuǎn)發(fā)給MS。
同時CPE利用接收到的主密鑰Kmaster����,以及其它相關(guān)參數(shù)如隨機數(shù)等,協(xié)商出CPE與MS間的共享密鑰Kmc�。
步驟508~步驟509MS對接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)進(jìn)行檢驗���,以實現(xiàn)對網(wǎng)絡(luò)進(jìn)行認(rèn)證,并向CPE返回認(rèn)證響應(yīng)�����,CPE對認(rèn)證響應(yīng)進(jìn)行檢查�����,以實現(xiàn)對MS的認(rèn)證��;MS根據(jù)長期密鑰K����,按照與AAA服務(wù)器相同的推演方法獲得主密鑰Kmaster��。
同時MS也利用推演出的主密鑰Kmaster及其它相關(guān)參數(shù)如隨機數(shù)����,協(xié)商出MS與CPE間的共享密鑰Kmc。
步驟510~步驟511認(rèn)證成功后���,CPE向MS發(fā)送認(rèn)證成功消息����,并在MS與CPE之間采用共享密鑰Kmc建立SA,以對MS和CPE之間傳遞的數(shù)據(jù)進(jìn)行保護(hù)���。
步驟512CPE可以進(jìn)一步為MS重新分配IP地址�����。
本步驟可以省略���。
步驟513~步驟514CPE根據(jù)主密鑰Kmaster以及網(wǎng)絡(luò)實體的相關(guān)參數(shù)如eBS、eANC����、UPE身份信息等計算MS與eBS、eANC���、UPE之間的衍生密鑰Kma�、Kmb和Kmu����,并發(fā)送給eBS、eANC、UPE網(wǎng)絡(luò)實體��。
共享密鑰材料的下發(fā)�����,需要使用CPE與eBS��、eANC���、UPE網(wǎng)絡(luò)實體之間的SA進(jìn)行保護(hù),網(wǎng)絡(luò)內(nèi)部實體間的SA一旦建立��,就可以一直使用�����,不論接入的MS是否相同����。
需要說明的是,MS可以通過自身和CPE間的安全聯(lián)盟�,從CPE獲得用于衍生密鑰的相關(guān)參數(shù)。
步驟515MS可以進(jìn)一步與eBS�、eANC、UPE之間��,根據(jù)得到的衍生密鑰建立SA。
本步驟可以省略�����。
步驟516CPE向eBS��、eANC�、UPE網(wǎng)絡(luò)實體下發(fā)新的控制策略,eBS����、eANC、UPE網(wǎng)絡(luò)實體根據(jù)新的控制策略對MS的數(shù)據(jù)包進(jìn)行控制�,允許MS接入網(wǎng)絡(luò)。
本步驟中���,CPE根據(jù)用戶簽約信息和預(yù)先配置的數(shù)據(jù)如是否允許用戶接入網(wǎng)絡(luò)等權(quán)限數(shù)據(jù)����,生成對數(shù)據(jù)包的控制策略�。
至此,MS利用與各網(wǎng)絡(luò)實體間的SA保護(hù)相互之間的信令或用戶數(shù)據(jù)交互�����。
以上步驟501~步驟508是無線網(wǎng)絡(luò)中典型的認(rèn)證方法,也可采用其它現(xiàn)有認(rèn)證方法如基于證書的認(rèn)證等�。
圖5所示的各實體間交互的消息是基于IP層傳遞的,保證了整個認(rèn)證過程與鏈路層無關(guān)��,由于認(rèn)證是在IP層上進(jìn)行的�����,所以在認(rèn)證前�,需要給MS分配IP地址。如果認(rèn)證采用PANA協(xié)議��,各實體間交互的消息可以直接使用PANA的消息�����,但不限制其它形式的封裝�。
圖6是本發(fā)明MS漫游到其它IP接入網(wǎng)絡(luò)時實現(xiàn)認(rèn)證的流程圖��,這里��,其它IP接入網(wǎng)絡(luò)是指與MS所歸屬的演進(jìn)網(wǎng)絡(luò)具有不同接入技術(shù)的接入網(wǎng)���,本發(fā)明中將.MS漫游到的其它IP接入網(wǎng)絡(luò)簡稱為接入網(wǎng)絡(luò)����。如圖6所示,在MS所在的接入網(wǎng)絡(luò)中����,接入點(AP,Access Point)�,主要用于完成物理層和鏈路層的功能,接入路由器(AR����,Access Router),用于完成IP數(shù)據(jù)的轉(zhuǎn)發(fā)�。V-ISAE表示拜訪網(wǎng)絡(luò)中的ISAE,H-ISAE表示歸屬網(wǎng)絡(luò)中的ISAE�����。
假設(shè)接入網(wǎng)絡(luò)中接入網(wǎng)的設(shè)備能提供與用戶歸屬網(wǎng)絡(luò)相同的網(wǎng)絡(luò)層的認(rèn)證協(xié)議����,那么,接入網(wǎng)絡(luò)中接入網(wǎng)的處理和圖5所示基本相同����,即MS對網(wǎng)絡(luò)的認(rèn)證及網(wǎng)絡(luò)對MS的認(rèn)證在MS當(dāng)前所屬接入網(wǎng)絡(luò)進(jìn)行�����,僅在發(fā)送MS的身份信息到用戶歸屬網(wǎng)絡(luò)�,從歸屬網(wǎng)獲取認(rèn)證挑戰(zhàn)數(shù)據(jù)時�����,需要通過接入網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)中的ISAE進(jìn)行傳遞��。傳遞的方法可以有多種�����,典型的有以下兩種���,但不限于下面的方法第一種傳遞方法,AR得到MS的身份信息后����,根據(jù)該身份信息確定MS不是本網(wǎng)絡(luò)的用戶后,將身份信息作為數(shù)據(jù)包轉(zhuǎn)發(fā)給V-ISAE�;如果V-ISAE能夠維護(hù)這次認(rèn)證的狀態(tài)信息�,V-ISAE會將數(shù)據(jù)包的IP源地址更換成自身的IP地址����、目的地址是經(jīng)查詢后得到的用戶歸屬網(wǎng)絡(luò)的H-ISAE的地址;H-ISAE接到數(shù)據(jù)包也可以做相同的地址轉(zhuǎn)換處理�,并最終發(fā)給AAA服務(wù)器。當(dāng)AAA服務(wù)器返回認(rèn)證挑戰(zhàn)數(shù)據(jù)時�,經(jīng)由H-ISAE和V-ISAE做反向的處理傳遞給MS即可,具體來講包括H-ISAE將承載認(rèn)證挑戰(zhàn)數(shù)據(jù)的數(shù)據(jù)包的IP源地址更換成自身的IP地址����、目的地址是經(jīng)查詢后得到的V-ISAE的地址;V-ISAE接到該數(shù)據(jù)包也可以做相同的地址轉(zhuǎn)換處理�,并發(fā)給AR。
第二種傳遞方法����,若V-ISAE和H-ISAE不能維護(hù)認(rèn)證的狀態(tài)信息,則可以采用隧道的方式傳遞數(shù)據(jù)����,比如Ip in IP隧道、通用路由封裝協(xié)議(GRE�,Generic Routing Encapsulation)隧道等。具體實現(xiàn)是AR將接收到的來自MS的數(shù)據(jù)包外層再封裝一層IP頭�����,地址為從V-ISAE傳遞至H-ISAE,再經(jīng)由H-ISAE轉(zhuǎn)發(fā)給AAA服務(wù)器��,而數(shù)據(jù)返回時���,H-ISAE和V-ISAE去掉隧道封裝后轉(zhuǎn)發(fā)至AR���,直至返回MS即可。
如果接入網(wǎng)絡(luò)設(shè)備不能提供與用戶歸屬網(wǎng)絡(luò)相同的網(wǎng)絡(luò)層的認(rèn)證協(xié)議����,那么,可以直接將MS發(fā)送的數(shù)據(jù)包進(jìn)行封裝后�,經(jīng)隧道發(fā)送給歸屬網(wǎng)絡(luò),歸屬網(wǎng)絡(luò)返回的數(shù)據(jù)包也同時進(jìn)行封裝后��,經(jīng)隧道轉(zhuǎn)發(fā)給MS��,具體封裝實現(xiàn)與上述第二種傳遞方法中的相同���,這里不再重述。此時���,網(wǎng)絡(luò)對MS的認(rèn)證在歸屬網(wǎng)絡(luò)中進(jìn)行���,而不是在當(dāng)前MS所屬接入網(wǎng)絡(luò)中進(jìn)行���。
以上所述,僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改��、等同替換�����、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法��,移動臺與無線演進(jìn)接入網(wǎng)建立連接�����,其特征在于,該方法還包括A.移動臺通過無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體��,與無線演進(jìn)網(wǎng)絡(luò)間進(jìn)行雙向認(rèn)證����,并生成共享密鑰;B.移動臺與所述核心網(wǎng)信令實體之間利用生成的共享密鑰��,建立安全聯(lián)盟����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,步驟A之前���,該方法還包括所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體和所述無線演進(jìn)核心網(wǎng)中的用戶面實體����,拒絕來自所述移動臺的數(shù)據(jù)接入無線演進(jìn)網(wǎng)絡(luò)。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于�����,步驟B之后����,該方法還包括所述核心網(wǎng)信令實體向接入網(wǎng)信令實體和用戶面實體發(fā)送新的數(shù)據(jù)控制策略,所述接入網(wǎng)信令實體和用戶面實體根據(jù)新的控制策略�����,允許來自所述移動臺的數(shù)據(jù)接入無線演進(jìn)網(wǎng)絡(luò)��。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,該方法還包括�,在所述移動臺和無線演進(jìn)核心網(wǎng)中的認(rèn)證、授權(quán)、計費服務(wù)器中設(shè)置共享的長期密鑰���;步驟A中所述雙向認(rèn)證并生成共享密鑰的方法為A11.所述核心網(wǎng)信令實體向移動臺請求移動臺的身份信息���;A12.所述核心網(wǎng)信令實體將接收到的移動臺的身份信息轉(zhuǎn)發(fā)給所述認(rèn)證、授權(quán)����、計費服務(wù)器,所述認(rèn)證�、授權(quán)、計費服務(wù)器檢查移動臺的身份����,并根據(jù)所述長期密鑰生成認(rèn)證挑戰(zhàn)數(shù)據(jù)及主密鑰;A13.所述認(rèn)證���、授權(quán)��、計費服務(wù)器將生成的認(rèn)證挑戰(zhàn)數(shù)據(jù)經(jīng)所述核心網(wǎng)信令實體發(fā)送給移動臺����,將所述主密鑰發(fā)送給所述核心網(wǎng)信令實體���;所述核心網(wǎng)信令實體利用接收到的主密鑰衍生出自身與所述移動臺間的共享密鑰��;A14.所述移動臺對接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)進(jìn)行檢驗��,并向所述核心網(wǎng)信令實體返回認(rèn)證響應(yīng)�;所述移動臺根據(jù)長期密鑰生成主密鑰�����,并利用該主密鑰���,采用與所述核心網(wǎng)信令實體相同的方法衍生出自身與所述核心網(wǎng)信令實體間的共享密鑰�����。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,步驟B之后����,該方法還包括所述核心網(wǎng)信令實體利用所述主密鑰及網(wǎng)絡(luò)實體相關(guān)參數(shù),為所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體、無線演進(jìn)核心網(wǎng)中的用戶面實體�����,衍生密鑰并下發(fā)��;所述移動臺利用所述主密鑰及相關(guān)參數(shù)�,采用與所述核心網(wǎng)信令實體相同的衍生方法衍生出自身與所述接入網(wǎng)信令實體、用戶面實體間的衍生密鑰����;所述移動臺分別與所述接入網(wǎng)信令實體、用戶面實體利用各自的衍生密鑰建立安全聯(lián)盟����。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于����,所述接入網(wǎng)信令實體為兩個或兩個以上,所述核心網(wǎng)信令實體和移動臺同時為各接入網(wǎng)信令實體衍生出各自的衍生密鑰�����。
7.根據(jù)權(quán)利要求1所述的方法�����,其特征在于,該方法還包括若所述移動臺切換至目標(biāo)核心網(wǎng)信令實體�,且所述移動臺正在進(jìn)行通信或正在進(jìn)行呼叫,則所述移動臺所屬原核心網(wǎng)信令實體將與所述移動臺相關(guān)的密鑰傳遞給所述目標(biāo)核心網(wǎng)信令實體����。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于��,該方法還包括若所述移動臺切換至目標(biāo)核心網(wǎng)信令實體�,且所述移動臺處于空閑狀態(tài)�����,所述移動臺再次發(fā)起呼叫請求時���,刪除自身與原網(wǎng)絡(luò)協(xié)商的所有密鑰���,重新進(jìn)行認(rèn)證和密鑰協(xié)商。
9.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述移動臺移動到不同于歸屬網(wǎng)絡(luò)接入技術(shù)的接入網(wǎng)絡(luò)中��,在所述移動臺和所述移動臺所屬歸屬網(wǎng)絡(luò)中的認(rèn)證�����、授權(quán)��、計費服務(wù)器中設(shè)置共享的長期密鑰�;步驟A中所述雙向認(rèn)證并生成共享密鑰的方法為A21.所述接入網(wǎng)絡(luò)中的接入路由器向移動臺請求移動臺的身份信息;A22.所述接入路由器經(jīng)接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體和所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體����,將接收到的所述移動臺的身份信息轉(zhuǎn)發(fā)給所述歸屬網(wǎng)絡(luò)中的認(rèn)證、授權(quán)�、計費服務(wù)器,所述認(rèn)證���、授權(quán)�����、計費服務(wù)器檢查移動臺的身份���,并根據(jù)所述長期密鑰生成認(rèn)證挑戰(zhàn)數(shù)據(jù)及主密鑰�;A23.所述認(rèn)證���、授權(quán)�、計費服務(wù)器將生成的認(rèn)證挑戰(zhàn)數(shù)據(jù)經(jīng)所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體發(fā)送給接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體�����,再經(jīng)所述接入路由器發(fā)送給移動臺�����,將所述主密鑰發(fā)送給所述接入路由器���;所述接入路由器利用接收到的主密鑰衍生出自身與所述移動臺間的共享密鑰;A24.所述移動臺對接收到的認(rèn)證挑戰(zhàn)數(shù)據(jù)進(jìn)行檢驗����,并向所述接入路由器返回認(rèn)證響應(yīng);所述移動臺根據(jù)所述長期密鑰生成主密鑰�����,并利用該主密鑰��,采用與所述接入路由器相同的方法衍生出自身與所述接入路由器間的共享密鑰。
10.根據(jù)權(quán)利要求9所述的方法�,其特征在于,步驟A22中����,所述經(jīng)接入網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)身份信息的方法為A221.所述接入路由器根據(jù)所述身份信息確定所述移動臺不是接入網(wǎng)絡(luò)的用戶,將身份信息作為數(shù)據(jù)包轉(zhuǎn)發(fā)給接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體��;A222.所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體將接收到的數(shù)據(jù)包的IP源地址更換成自身的IP地址����、目的地址為移動臺歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體的地址,并發(fā)送該數(shù)據(jù)包���;A225.所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體將接收到的數(shù)據(jù)包的IP源地址更換成自身的IP地址�����、目的地址為移動臺歸屬網(wǎng)絡(luò)中的認(rèn)證����、授權(quán)�����、計費服務(wù)器的地址,并發(fā)送該數(shù)據(jù)包�����。
11.根據(jù)權(quán)利要求9所述的方法�����,其特征在于����,步驟A22中,所述經(jīng)接入網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)身份信息的方法為采用隧道方式轉(zhuǎn)發(fā)����。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于����,步驟A22具體包括所述接入路由器將接收到的來自所述移動臺的數(shù)據(jù)包外層再封裝一層IP頭��;所述IP頭的地址為從所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體傳遞至所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體�,再經(jīng)由所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)中的認(rèn)證、授權(quán)���、計費服務(wù)器�����。
13.根據(jù)權(quán)利要求9所述的方法��,其特征在于���,步驟A23中�,所述經(jīng)歸屬網(wǎng)絡(luò)和接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)認(rèn)證挑戰(zhàn)數(shù)據(jù)的方法為A231.所述歸屬網(wǎng)絡(luò)中的接入系統(tǒng)間實體����,將承載認(rèn)證挑戰(zhàn)數(shù)據(jù)的數(shù)據(jù)包的IP源地址更換成自身的IP地址、目的地址為經(jīng)查詢后得到的接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體的地址��;A232.所述接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體接到該數(shù)據(jù)包后���,將該數(shù)據(jù)包的IP源地址更換成自身的IP地址����、目的地址為所述接入路由器的地址并發(fā)送���。
14.根據(jù)權(quán)利要求9所述的方法�,其特征在于,步驟A23中�����,所述經(jīng)歸屬網(wǎng)絡(luò)和接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體轉(zhuǎn)發(fā)認(rèn)證挑戰(zhàn)數(shù)據(jù)的方法為采用隧道方式轉(zhuǎn)發(fā)����。
15.根據(jù)權(quán)利要求1或4所述的方法,其特征在于�,所述移動臺和核心網(wǎng)信令實體之間的雙向認(rèn)證位于網(wǎng)絡(luò)層;所述雙向認(rèn)證采用網(wǎng)絡(luò)接入認(rèn)證承載PANA協(xié)議��,或?qū)崿F(xiàn)認(rèn)證并協(xié)商密鑰的網(wǎng)絡(luò)層認(rèn)證協(xié)議����。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于�����,所述移動臺為PANA客戶端�����;所述核心網(wǎng)信令實體為PANA認(rèn)證代理��;所述接入網(wǎng)信令實體和用戶面實體為執(zhí)行點�����。
17.一種無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)�,包括移動臺,無線演進(jìn)接入網(wǎng)和無線演進(jìn)核心網(wǎng)�,其特征在于,該安全系統(tǒng)還包括在移動臺和無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體中均設(shè)置安全聯(lián)盟建立模塊��,用于建立保護(hù)移動臺與無線演進(jìn)核心網(wǎng)中的核心網(wǎng)信令實體之間連接的安全聯(lián)盟���。
18.根據(jù)權(quán)利要求17所述的安全系統(tǒng)�,其特征在于��,所述安全系統(tǒng)還包括在所述無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體中設(shè)置安全聯(lián)盟建立模塊�,用于建立保護(hù)所述移動臺與無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體之間連接的安全聯(lián)盟;在所述無線演進(jìn)核心網(wǎng)中的用戶面實體中設(shè)置安全聯(lián)盟建立模塊�,用于建立保護(hù)所述移動臺與無線演進(jìn)核心網(wǎng)中的用戶面實體之間連接的安全聯(lián)盟。
19.根據(jù)權(quán)利要求18所述的安全系統(tǒng)��,其特征在于���,所述安全系統(tǒng)還包括所述核心網(wǎng)信令實體的安全聯(lián)盟模塊����,所述接入網(wǎng)信令實體的安全聯(lián)盟模塊、所述用戶面實體的安全聯(lián)盟模塊����,分別用于建立保護(hù)所述核心網(wǎng)信令實體的安全聯(lián)盟模塊與所述接入網(wǎng)信令實體、所述用戶面實體之間連接的安全聯(lián)盟����。
20.根據(jù)權(quán)利要求17所述的安全系統(tǒng),其特征在于���,所述安全系統(tǒng)還包括所述核心網(wǎng)信令實體的安全聯(lián)盟建立模塊���、無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體的安全聯(lián)盟建立模塊、無線演進(jìn)核心網(wǎng)中的用戶面實體的安全聯(lián)盟建立模塊���,分別用于建立保護(hù)所述核心網(wǎng)信令實體分別與無線演進(jìn)接入網(wǎng)中的接入網(wǎng)信令實體���、無線演進(jìn)核心網(wǎng)中的用戶面實體之間連接的安全聯(lián)盟。
21.根據(jù)權(quán)利要求20所述的安全系統(tǒng)�����,其特征在于,所述安全系統(tǒng)還包括分別在所述無線演進(jìn)核心網(wǎng)中的認(rèn)證����、授權(quán)��、計費服務(wù)器和接入系統(tǒng)間實體中設(shè)置安全聯(lián)盟建立模塊�����,用于建立保護(hù)所述無線演進(jìn)核心網(wǎng)中的認(rèn)證����、授權(quán)、計費服務(wù)器與接入系統(tǒng)間實體之間連接的安全聯(lián)盟�����、以及保護(hù)所述無線演進(jìn)核心網(wǎng)中的接入系統(tǒng)間實體與其它接入網(wǎng)絡(luò)中的接入系統(tǒng)間實體之間連接的安全聯(lián)盟��。
22.根據(jù)權(quán)利要求17所述的安全系統(tǒng)�����,其特征在于,所述核心網(wǎng)信令實體為控制面實體�����。
23.根據(jù)權(quán)利要求18所述的安全系統(tǒng)��,其特征在于�����,所述接入網(wǎng)信令實體包括演進(jìn)基站和/或演進(jìn)接入網(wǎng)控制器�。
全文摘要
本發(fā)明公開了一種無線演進(jìn)網(wǎng)絡(luò)實現(xiàn)認(rèn)證的方法,包括移動臺與無線演進(jìn)接入網(wǎng)建立連接后��,移動臺與通過無線演進(jìn)核心網(wǎng)信令實體�,與無線演進(jìn)網(wǎng)絡(luò)間進(jìn)行雙向認(rèn)證,并生成共享密鑰���;移動臺與無線演進(jìn)核心網(wǎng)信令實體之間利用生成的共享密鑰�����,建立安全聯(lián)盟��。本發(fā)明同時還公開了一種無線演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)����,在移動臺與無線演進(jìn)核心網(wǎng)信令實體之間建立安全聯(lián)盟,用于保護(hù)交互的信令和用戶數(shù)據(jù)��。本發(fā)明基于無線演進(jìn)網(wǎng)絡(luò)的發(fā)展趨勢�,實現(xiàn)了移動終端和網(wǎng)絡(luò)間的雙向認(rèn)證,且認(rèn)證在網(wǎng)絡(luò)層進(jìn)行�,與鏈路層技術(shù)無關(guān)�����,使得認(rèn)證具有了通用性����。
文檔編號H04W12/06GK101056456SQ200610073018
公開日2007年10月17日 申請日期2006年4月10日 優(yōu)先權(quán)日2006年4月10日
發(fā)明者李志明 申請人:華為技術(shù)有限公司