專利名稱:鑒權(quán)方法�、通信裝置和通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域:
,尤其涉及鑒權(quán)方法����、通信裝置和通信系統(tǒng)。
背景技術(shù):
隨著移動(dòng)系統(tǒng)的覆蓋范圍越來越大����,用戶接入系統(tǒng)的數(shù)目逐漸增多����,服務(wù)提供商提供的服務(wù)多元化發(fā)展�����,使得網(wǎng)絡(luò)的復(fù)雜程度不斷提高����,如何保證網(wǎng)絡(luò)和業(yè)務(wù)信息的安全是一個(gè)當(dāng)前迫切需要解決的問題。
在移動(dòng)通信系統(tǒng)中,為了保證運(yùn)營業(yè)務(wù)的安全性�,網(wǎng)絡(luò)側(cè)需要對接入的用戶設(shè)備(User Equipment, UE)進(jìn)行鑒權(quán)處理,使得非法UE無法得到網(wǎng)絡(luò)側(cè)提供的服務(wù),保障運(yùn)營商的利益���;同時(shí),UE也需要驗(yàn)證網(wǎng)絡(luò)側(cè)發(fā)送的鑒權(quán)信息是否有效�,即UE對網(wǎng)絡(luò)側(cè)進(jìn)行鑒權(quán) 處理,防止非法網(wǎng)絡(luò)側(cè)利用合法網(wǎng)絡(luò)側(cè)已經(jīng)使用過的鑒權(quán)信息對UE進(jìn)行重放攻擊���,使UE相信該非法網(wǎng)絡(luò)側(cè)合法。
現(xiàn)有長期演進(jìn)(Long Term Evolved, LTE)網(wǎng)絡(luò)系統(tǒng)中��,UE和演進(jìn)的基站(E-UTRANNode B, eNB)之間的空口鏈路是單跳的,采用演進(jìn)的分組系統(tǒng)(Evolved Packet System,EPS)認(rèn)證和密鑰協(xié)商(Authentication and KeyAgreement, AKA)協(xié)議來完成用戶和網(wǎng)絡(luò)側(cè)的鑒權(quán)過程�����,即包括身份認(rèn)證和密鑰協(xié)商的處理�����,其實(shí)現(xiàn)的基礎(chǔ)是用戶和網(wǎng)絡(luò)側(cè)預(yù)共享一個(gè)永久性對稱密鑰���。整個(gè)鑒權(quán)過程包含在一個(gè)鑒權(quán)處理中進(jìn)行����,并且采用鑒權(quán)元組的方式來進(jìn)行認(rèn)證����,鑒權(quán)元組包括包括隨機(jī)數(shù)(RAND)、期望響應(yīng)(Expected userResponse,XRES)���、密鑰(Kasme)和鑒權(quán)令牌(Authentication token, AUTN)����,其中�����,密鑰是由加密密鑰(Cipher Key, CK)和完整性密鑰(Integrity Key, IK)共同派生的;其中�����,AUTN進(jìn)一步包括鑒權(quán)序列號(hào)(Sequence Number, SQN)�、鑒權(quán)管理域(Authentication Management Field,AMF)和消息鑒權(quán)編碼(Message Authentication Code, MAC)三個(gè)部分�����。
引入中繼站(Relay Station, RS)后����,LTE系統(tǒng)中UE和eNB之間的空口鏈路被分段�,包括UE和RS之間的接入鏈路,以及RS和eNB之間的中繼鏈路。RS的網(wǎng)絡(luò)接入過程中�����,可以將RS看作為UE進(jìn)行網(wǎng)絡(luò)接入,即RS采用與傳統(tǒng)UE相同的鑒權(quán)過程�,具體接入過程參見圖1,RS接入過程中的鑒權(quán)處理流程為
步驟101 RS 向移動(dòng)性管理實(shí)體(Mobility Management Entity, MME)發(fā)送認(rèn)證請求�,該消息中攜帶了 RS的國際移動(dòng)用戶標(biāo)識(shí)(International MobileSubscriberIdentity,頂SI)�����、RS的能力(即所支持的加密和完整性保護(hù)算法)�����、以及派生密鑰(Kasme)所對應(yīng)的密鑰標(biāo)識(shí)符(KSIasme)等內(nèi)容;
步驟102 MME向歸屬用戶服務(wù)器(Home Subscriber Server, HSS)轉(zhuǎn)發(fā)RS的認(rèn)證請求,該消息中攜帶了 RS的身份標(biāo)識(shí)MSI�、服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)等內(nèi)容�����,HSS根據(jù)RS的IMSI找到該用戶對應(yīng)的共享密鑰K����,并隨機(jī)產(chǎn)生一個(gè)RAND���,然后根據(jù)RAND��、自身當(dāng)前保存的鑒權(quán)SQN、RS和HSS共享密鑰K及其它信息生成該RS對應(yīng)的認(rèn)證向量(Authentication Vector,AV),其中 AV 包括 RAND、XRES����、Kasme 和 AUTN ����;
步驟103 HSS向MME返回認(rèn)證響應(yīng),該消息中攜帶了該用戶的認(rèn)證向量AV,以及密鑰Kasme所對應(yīng)的密鑰標(biāo)識(shí)符KSIasme等內(nèi)容��,MME將收到的該RS的認(rèn)證向量進(jìn)行保存;
步驟104 MME向RS發(fā)送RS認(rèn)證請求,該消息中攜帶了該RS認(rèn)證向量中對應(yīng)的RAND和AUTN�,以及密鑰Kasme所對應(yīng)的密鑰標(biāo)識(shí)符KSIasme等內(nèi)容���;
步驟105 RS根據(jù)收到的RAND和AUTN�����,進(jìn)行校驗(yàn)�����,包括根據(jù)RAND��、AUTN中的SQN和與網(wǎng)絡(luò)側(cè)共享的密鑰K共同計(jì)算出一個(gè)MAC值����,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致,如果一致���,則RS對網(wǎng)絡(luò)側(cè)的鑒權(quán)通過,則利用RAND和與網(wǎng)絡(luò)側(cè)共享的密鑰K共同計(jì)算出一個(gè)響應(yīng)(Response, RES)發(fā)送給MME �;
步驟106 =MME比較從RS接收到的RES與本地存貯該用戶AV中的XRES是否一致��,
如果一致,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過�,則MME根據(jù)密鑰Kasme進(jìn)一步派生出空口密鑰K6NB,并通過安全模式命令(Security Mode Command, SMC)將該空口密鑰以及RS所支持的加密和完整性保護(hù)算法下發(fā)給eNB �����;
步驟107 :eNB根據(jù)收到的RS所支持的加密和完整性保護(hù)算法�,以及自身支持的加密和完整性保護(hù)算法,確定空口用戶面和控制面的加密和完整性保護(hù)密鑰的算法�����,并將選定的算法通過SMC下發(fā)給RS�,此時(shí)����,RS和eNB可以各自利用空口密鑰K6nb通過選定的密鑰算法進(jìn)一步派生出用戶空口加密和完整性保護(hù)的密鑰�。
在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)上述技術(shù)方案至少存在如下缺陷
接入網(wǎng)和核心網(wǎng)分屬于不同的網(wǎng)絡(luò)運(yùn)營商,隨著不同接入技術(shù)的不斷出現(xiàn),核心網(wǎng)運(yùn)營商不希望由于接入網(wǎng)的變化而導(dǎo)致核心網(wǎng)的頻繁變動(dòng)���。然而����,在現(xiàn)有技術(shù)中�����,在引入RS后的LTE系統(tǒng)中�����,RS的鑒權(quán)過程必然需要對核心網(wǎng)的HSS進(jìn)行相應(yīng)的修改�����,即增加HSS對RS的安全上下文信息的存貯���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供鑒權(quán)方法����、通信裝置和通信系統(tǒng)����,能夠避免接入網(wǎng)引入RS后對核心網(wǎng)的改動(dòng)��。
為解決上述問題��,本發(fā)明實(shí)施例是通過以下技術(shù)方案來實(shí)現(xiàn)的
一種鑒權(quán)方法�,包括
第一設(shè)備接收中繼站發(fā)送的認(rèn)證請求��,認(rèn)證請求包含中繼站身份標(biāo)識(shí)�����;
第一設(shè)備獲取認(rèn)證向量�,向中繼站發(fā)送認(rèn)證向量���,指示中繼站對認(rèn)證向量進(jìn)行認(rèn)證,認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成�,與中繼站身份標(biāo)識(shí)對應(yīng)�;
第一設(shè)備接收中繼站對認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值�,對響應(yīng)值進(jìn)行認(rèn)證�����,當(dāng)認(rèn)證通過時(shí)���,派生空口密鑰�����。
一種通信裝置,包括
請求接收單元,用于接收中繼站發(fā)送的認(rèn)證請求,認(rèn)證請求包含中繼站身份標(biāo)識(shí)��;
獲取單元���,用于獲取認(rèn)證向量,認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成����,與中繼站身份標(biāo)識(shí)對應(yīng)����;
認(rèn)證向量發(fā)送單元,用于向中繼站發(fā)送獲取單元獲取的認(rèn)證向量�����,指示中繼站對認(rèn)證向量進(jìn)行認(rèn)證;
響應(yīng)值接收單元,用于接收中繼站對認(rèn)證向量發(fā)送單元發(fā)送的認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值;
認(rèn)證單元,用于對響應(yīng)值接收單元接收的響應(yīng)值進(jìn)行認(rèn)證;空口密鑰派生單元,用于在認(rèn)證單元對所述響應(yīng)值認(rèn)證通過時(shí),派生空口密鑰����。
一種通信系統(tǒng),包括
中繼站,用于向第一設(shè)備發(fā)送認(rèn)證請求����,上述認(rèn)證請求包含中繼站身份標(biāo)識(shí)�����,接收第一設(shè)備發(fā)送的認(rèn)證向量�,對上述認(rèn)證向量進(jìn)行認(rèn)證,認(rèn)證通過后生成響應(yīng)值���,向第一設(shè)備發(fā)送所述響應(yīng)值����;
第一設(shè)備��,用于接收中繼站發(fā)送的認(rèn)證請求�,上述認(rèn)證請求包含中繼站的身份標(biāo)識(shí)���,獲取認(rèn)證向量��,向中繼站發(fā)送上述認(rèn)證向量���,接收中繼站對上述認(rèn)證向量認(rèn)證通過后發(fā)送的上述響應(yīng)值�,對上述響應(yīng)值進(jìn)行認(rèn)證���,當(dāng)認(rèn)證通過時(shí),派生空口密鑰;
獨(dú)立于核心網(wǎng)的第二設(shè)備,用于生成認(rèn)證向量��,上述認(rèn)證向量與上述中繼站身份標(biāo)識(shí)對應(yīng)��。
可見���,由于本發(fā)明實(shí)施例接入網(wǎng)側(cè)接收RS發(fā)送的認(rèn)證請求�,生成認(rèn)證向量并發(fā)送給RS�����,接收RS對認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進(jìn)行認(rèn)證,認(rèn)證通過后派生空口密鑰,完成對RS的鑒權(quán)�����。在接入網(wǎng)側(cè)引入一個(gè)網(wǎng)絡(luò)邏輯實(shí)體,由接入網(wǎng)側(cè)的邏輯實(shí)體與中繼站共享了共享密鑰,由接入網(wǎng)側(cè)完成對RS的身份認(rèn)證及密鑰派生,從而完成中繼站的網(wǎng)絡(luò)安全接入�����,因此中繼站的網(wǎng)絡(luò)安全接入不需要對核心網(wǎng)進(jìn)行改動(dòng)就可以實(shí)現(xiàn),使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化�����。
圖I是現(xiàn)有技術(shù)中繼站接入鑒權(quán)的信令圖��;
圖2是實(shí)現(xiàn)本發(fā)明實(shí)施例一的方法的流程圖;
圖3是實(shí)現(xiàn)本發(fā)明實(shí)施例二的方法的信令圖;
圖4是實(shí)現(xiàn)本發(fā)明實(shí)施例三的方法的信令圖���;
圖5是實(shí)現(xiàn)本發(fā)明實(shí)施例四的方法的信令圖����;
圖6是實(shí)現(xiàn)本發(fā)明實(shí)施例通信裝置的示意圖����;
圖7是實(shí)現(xiàn)本發(fā)明實(shí)施例通信系統(tǒng)的組成框圖。
具體實(shí)施方式
本發(fā)明實(shí)施例提供鑒權(quán)方法��、通信裝置和通信系統(tǒng),能夠避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動(dòng)。
RS是一種接入網(wǎng)設(shè)備�,大多數(shù)情況下����,RS在網(wǎng)絡(luò)中可能是由接入網(wǎng)運(yùn)營商直接部署的��,即RS和eNB同屬于一個(gè)運(yùn)營商�����。為了使得引入RS后對整個(gè)網(wǎng)絡(luò)的影響最小化����,可以考慮將引入RS的影響只限定在接入網(wǎng)側(cè)��,即通過在接入網(wǎng)引入一個(gè)邏輯實(shí)體(RelayStation Database, RSDA)�,由RSDA完成對RS的身份驗(yàn)證及密鑰派生等鑒權(quán)功能��,該邏輯實(shí)體存貯了 RS所有相關(guān)的上下文信息�����。因此���,引入RS后的LTE系統(tǒng)���,不需要對核心網(wǎng)進(jìn)行改動(dòng)就可以使得RS安全的接入網(wǎng)絡(luò)����,從而達(dá)到對網(wǎng)絡(luò)影響最小化。
本發(fā)明實(shí)施例提出的鑒權(quán)方法��,其實(shí)現(xiàn)的基礎(chǔ)是RS和邏輯實(shí)體RSDA之間預(yù)共享一個(gè)永久性密鑰K�����,并采用AKA協(xié)議完成RS和網(wǎng)絡(luò)側(cè)的身份認(rèn)證和密鑰派生。[0043]本發(fā)明實(shí)施例根據(jù)RSDA的物理位置與eNB是否重合以及由eNB還是RSDA對RS進(jìn)行身份認(rèn)證��,給出了相應(yīng)的實(shí)施例����,以下分別進(jìn)行詳細(xì)說明���。
實(shí)施例一
本實(shí)施例提供的方案中����,由接入網(wǎng)側(cè)的第一設(shè)備和第二設(shè)備一起完成對RS的鑒權(quán)�,引入RS后支持對稱性密鑰認(rèn)證方式的各種系統(tǒng)都可以對RS進(jìn)行鑒權(quán),因此后續(xù)實(shí)施例中的eNB都可以為支持對稱性密鑰認(rèn)證方式的基站���。
參見圖2��,該方法包括
步驟201 :第一設(shè)備接收RS發(fā)送的認(rèn)證請求,認(rèn)證請求包含中繼站 身份標(biāo)識(shí)�����;
認(rèn)證請求可以被包含在認(rèn)證請求消息中���。
步驟202 :第一設(shè)備獲取認(rèn)證向量,���,將認(rèn)證向量發(fā)送給所述RS,指示RS對認(rèn)證向量進(jìn)行認(rèn)證���,上述認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成,與RS身份標(biāo)識(shí)對應(yīng)�;
獨(dú)立于核心網(wǎng)的第二設(shè)備查找與RS身份標(biāo)識(shí)對應(yīng)的共享密鑰,產(chǎn)生隨機(jī)數(shù)�,生成與共享密鑰和隨機(jī)數(shù)對應(yīng)的認(rèn)證向量。
上述第一設(shè)備可以為基站��,獨(dú)立于核心網(wǎng)的第二設(shè)備為邏輯實(shí)體,基站與邏輯實(shí)體相連�����。
第一設(shè)備為基站���,獨(dú)立于核心網(wǎng)的第二設(shè)備為邏輯實(shí)體�����,所述邏輯實(shí)體集成在所述基站中����。
第一設(shè)備和獨(dú)立于核心網(wǎng)的第二設(shè)備為同一邏輯實(shí)體���。
上述基站也可以是eNB�。
步驟203 :接收RS認(rèn)證通過后發(fā)送的響應(yīng)值���,對所述響應(yīng)值進(jìn)行認(rèn)證�����,如果認(rèn)證通過���,派生空口密鑰�����。
接收RS認(rèn)證通過后發(fā)送的響應(yīng)值�,將響應(yīng)值與認(rèn)證向量中的期望響應(yīng)值進(jìn)行比較����,如果一致�,認(rèn)證通過,派生空口密鑰���,確定與所述RS的能力對應(yīng)的密鑰派生算法����,還可以將所述密鑰派生算法發(fā)送給RS��,RS才能派生與密鑰派生算法對應(yīng)的加密和完整性保護(hù)密鑰����。
至此,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán),為了后續(xù)RS和接入網(wǎng)側(cè)能夠安全通信�,還可以包含一個(gè)步驟派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰。
上述派生加密密鑰和完整性保護(hù)的密鑰由接入網(wǎng)側(cè)的基站派生��,也可以是由eNB派生����。
本實(shí)施例中,接入網(wǎng)側(cè)通過接收RS發(fā)送的認(rèn)證請求,生成認(rèn)證向量并發(fā)送給RS,接收RS對認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值��,對響應(yīng)值進(jìn)行認(rèn)證�����,認(rèn)證通過后派生空口密鑰�����,完成對RS的鑒權(quán)�。本實(shí)施例將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè),從而避免接入網(wǎng)引A RS后對核心網(wǎng)的改動(dòng)���,使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化�。
實(shí)施例一是從接入網(wǎng)側(cè)實(shí)現(xiàn)鑒權(quán)的方法��,實(shí)施例二是通過RS和eNB/RSDA之間具體的信令交互來說明實(shí)現(xiàn)鑒權(quán)的方法。
實(shí)施例二
本實(shí)施例是當(dāng)RSDA的物理位置與eNB集成在一起����,由eNB/RSDA來完成對RS的鑒權(quán)。引入RS后支持對稱性密鑰認(rèn)證方式的各種系統(tǒng)都可以對RS進(jìn)行鑒權(quán)��,因此本實(shí)施例中的eNB都可以為支持對稱性密鑰認(rèn)證方式的基站����。下面結(jié)合附圖進(jìn)行詳細(xì)說明。[0063]參見圖3��,下面對實(shí)現(xiàn)實(shí)施例二的方法的具體步驟進(jìn)行詳細(xì)介紹
步驟301 : RS向eNB/RSDA發(fā)送認(rèn)證請求���;
所述認(rèn)證請求可以被包含在認(rèn)證請求消息中,該消息中攜帶了 RS身份標(biāo)識(shí)���、所支持的加密和完整性保護(hù)算法��,以及eNB/RSDA派生密鑰Kasme_ks所對應(yīng)的密鑰標(biāo)識(shí)符KSIasme_ks等內(nèi)容�,其中RS的身份標(biāo)識(shí)可以是RS的MSI���,也可以是RS的MAC地址等�。
步驟302 eNB/RSDA 生成 AV ;
eNB/RSDA根據(jù)RS身份標(biāo)識(shí)找到該RS對應(yīng)的共享密鑰K���,并隨機(jī)產(chǎn)生一個(gè)RAND���,然后根據(jù)RAND、自身當(dāng)前保存的SQN��、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV�,其中,AV包括RAND���、XRES, Kasme_ks�����、AUTN ;還可以采用其它的參數(shù)來生成AV��,本發(fā)明實(shí)施例并不限定生成AV的參數(shù)��。步驟303 eNB/RSDA向RS返回認(rèn)證響應(yīng)�;
該響應(yīng)消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN����,以及密鑰Kasme_ks所對應(yīng)的密鑰標(biāo)識(shí)符KSI
ASME-ES 等內(nèi)容����。
步驟304 RS進(jìn)行認(rèn)證����,并生成RES值;
RS根據(jù)收到的RAND和AUTN���,進(jìn)行校驗(yàn)����,包括根據(jù)RAND��、AUTN中的SQN和與RSDA共享的密鑰K共同計(jì)算出一個(gè)MAC值��,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致�����,如果一致����,RS對網(wǎng)絡(luò)側(cè)鑒權(quán)通過���,則利用RAND和與RSDA共享的密鑰K共同計(jì)算出一個(gè)RES值�����。
步驟305 RS 向 eNB/RSDA 返回 RES 值����;
步驟306 eNB/RSDA進(jìn)行認(rèn)證,并派生出空口密鑰KeNB_KS ��;
eNB/RSDA比較從RS接收到的RES與之前生成該RS的AV中的XRES是否一致���,如果一致�,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過��,則eNB/RSDA根據(jù)密鑰Kasme_ks進(jìn)一步派生出空口密鑰K6NB_ks����。
至此,已經(jīng)實(shí)現(xiàn)接入網(wǎng)側(cè)的eNB/RSDA對RS的鑒權(quán)�,為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信,還可以執(zhí)行以下的步驟�����。
步驟307 eNB/RSDA通過SMC向RS發(fā)送空口密鑰K 和確定的加密算法和完整性保護(hù)算法;
eNB/RSDA結(jié)合RS支持的加密和完整性保護(hù)算法以及自身支持的加密和完整性保護(hù)算法��,確定空口用戶面和控制面加密密鑰和完整性保護(hù)密鑰的密鑰派生算法���,并通過SMC將空口密鑰K 和確定的密鑰派生算法發(fā)送給RS�。
步驟308 RS和eNB/RSDA派生出空口加密密鑰和完整性保護(hù)的密鑰���。
RS和eNB/RSDA就可以各自利用空口密鑰KeNB_KS通過選定的密鑰算法進(jìn)一步派生出空口加密密鑰和完整性保護(hù)的密鑰����。
本實(shí)施例通過在接入網(wǎng)側(cè)將RSDA和eNB集成在一起���,將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè)�����,從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動(dòng)��,使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化�����。
實(shí)施例二是RSDA的物理位置與eNB重合�,由RS和eNB/RSDA實(shí)體來完成對RS的鑒權(quán)的實(shí)現(xiàn)本發(fā)明的方法��,下面介紹當(dāng)RSDA的物理位置和eNB不重合時(shí)實(shí)現(xiàn)本發(fā)明方法的實(shí)施例�����,而根據(jù)身份認(rèn)證位置的不同����,又可以分為兩種情況,給出了對應(yīng)的實(shí)施例��。
實(shí)施例三[0083]在本實(shí)施例中��,身份認(rèn)證位于eNB上�����,則由eNB完成RS的鑒權(quán)功能�。引入RS后支持對稱性密鑰認(rèn)證方式的各種系統(tǒng)都可以對RS進(jìn)行鑒權(quán),因此本實(shí)施例中的eNB都可以為支持對稱性密鑰認(rèn)證方式的基站����。下面結(jié)合附圖進(jìn)行詳細(xì)說明。
參見圖4,下面對實(shí)現(xiàn)實(shí)施例三的方法的具體步驟進(jìn)行詳細(xì)介紹
步驟401 RS向eNB發(fā)送認(rèn)證請求��;
所述認(rèn)證請求可以被包含在認(rèn)證請求消息中�����,該消息中攜帶了 RS身份標(biāo)識(shí)�����、所支持的加密和完整性保護(hù)算法�����,以及派生密鑰Kasme _ks對應(yīng)的密鑰標(biāo)識(shí)符KSIasme_ks等內(nèi)容����,其中RS的身份標(biāo)識(shí)可以是RS的MSI,也可以是RS的MAC地址等����。
步驟402 eNB向RSDA轉(zhuǎn)發(fā)RS的認(rèn)證請求;
該消息中攜帶了 RS的身份標(biāo)識(shí)���、服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)等內(nèi)容���。
步驟403 =RSDA生成該RS對應(yīng)的AV �����;
RSDA根據(jù)RS的身份標(biāo)識(shí)找到該RS對應(yīng)的共享密鑰K,并隨機(jī)產(chǎn)生一個(gè)RAND��,然后根據(jù)RAND�、自身當(dāng)前保存的SQN、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV���,其中AV包括RAND�����、XRES, Kasme_ks����、AUTN ;還可以采用其它的參數(shù)來生成AV�����,本發(fā)明實(shí)施例并不限定生成AV的參數(shù)��。
步驟404 =RSDA向eNB返回認(rèn)證響應(yīng);
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN����,以及密鑰Kasme_ks所對應(yīng)的密鑰標(biāo)識(shí)符KSIasme_ks等內(nèi)容,eNB將收到的該RS的AV進(jìn)行保存���。
步驟405 eNB向RS發(fā)送RS認(rèn)證請求消息����;
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN�����,以及密鑰Kasme_ks對應(yīng)的密鑰標(biāo)識(shí)符KSIasme_rs等內(nèi)容����。
步驟406 RS進(jìn)行認(rèn)證,并生成RES值����;
RS根據(jù)收到的RAND和AUTN,進(jìn)行校驗(yàn)�,包括根據(jù)RAND、AUTN中的SQN和與RSDA共享的密鑰K共同計(jì)算出一個(gè)MAC值�,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致���,如果一致,RS對網(wǎng)絡(luò)側(cè)的鑒權(quán)通過�,則利用RAND和與RSDA共享的密鑰K共同計(jì)算出一個(gè)RES。
步驟407 RS通過發(fā)送RS認(rèn)證響應(yīng)消息將RES值發(fā)送給eNB ���;
步驟408 eNB進(jìn)行認(rèn)證,并派生出空口密鑰KeNK_KS ����;
eNB比較從RS接收到的RES與本地存貯該RS的AV中的XRES是否一致,如果一致��,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過�,則eNB根據(jù)密鑰Kam進(jìn)一步派生出空口密鑰K6NB_ks。
至此�����,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán)����,為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信,還可以執(zhí)行以下的步驟���。
步驟409 eNB通過SMC向RS發(fā)送空口密鑰KeNB_KS和確定的加密算法和完整性保護(hù)算法���;
eNB結(jié)合RS支持的加密和完整性保護(hù)算法以及自身支持的加密和完整性保護(hù)算法�,確定用戶面和控制面加密密鑰和完整性保護(hù)密鑰的密鑰派生算法��,并通過SMC將空口密鑰K 和確定的密鑰派生算法發(fā)送給RS�����。
步驟410 RS和eNB派生出空口加密密鑰和完整性保護(hù)的密鑰���。
RS和eNB就可以各自利用空口密鑰KeNB_KS通過選定的密鑰算法進(jìn)一步派生出空口加密密鑰和完整性保護(hù)的密鑰�。
本實(shí)施例通過在接入網(wǎng)側(cè)引入一個(gè)RSDA�,存貯了 RS的上下文信息,RS和RSDA預(yù)共享一個(gè)永久性密鑰K��,RSDA通過有線或無線的方式和eNB相連��,由eNB完成RS的鑒權(quán)功能,因而將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè),從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動(dòng)�,使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化�。
實(shí)施例三是身份認(rèn)證位于eNB上��,由eNB完成RS的鑒權(quán)功能的實(shí)施例,下面介紹一種身份認(rèn)證位于RSDA上���,由RSDA完成RS的鑒權(quán)功能的實(shí)施例�����。
實(shí)施例四
在本實(shí)施例中�,身份認(rèn)證位于RSDA上�,則由RSDA完成RS的鑒權(quán)功能。本實(shí)施例的方案要求RSDA上需要配備所有通過有線相連的eNB的網(wǎng)絡(luò)標(biāo)識(shí)�。引入RS后支持對稱性 密鑰認(rèn)證方式的各種系統(tǒng)都可以對RS進(jìn)行鑒權(quán)���,因此本實(shí)施例中的eNB都可以為支持對稱性密鑰認(rèn)證方式的基站����。下面結(jié)合附圖進(jìn)行詳細(xì)說明����。
參見圖5,下面對實(shí)現(xiàn)實(shí)施例四的方法的具體步驟進(jìn)行詳細(xì)介紹
步驟501 : RS向RSDA發(fā)送認(rèn)證請求���;
所述認(rèn)證請求可以被包含在認(rèn)證請求消息中����,該消息中攜帶了 RS身份標(biāo)識(shí)、所支持的加密和完整性保護(hù)算法���,以及派生密鑰Kasme_ks對應(yīng)的密鑰標(biāo)識(shí)符KSIasme_ks等內(nèi)容���,其中RS的身份標(biāo)識(shí)可以是RS的MSI,也可以是RS的MAC地址等���。
步驟502 =RSDA 生成 AV ����;
RSDA根據(jù)RS身份標(biāo)識(shí)找到該RS對應(yīng)的共享密鑰K�����,并隨機(jī)產(chǎn)生一個(gè)RAND�����,然后根據(jù)RAND�����、自身當(dāng)前保存的SQN、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV���,其中���,AV包括RAND、XRES, Kasme_ks����、AUTN ;還可以采用其它的參數(shù)來生成AV,本發(fā)明實(shí)施例并不限定生成AV的參數(shù)��。
步驟503 =RSDA向RS返回認(rèn)證響應(yīng)����;
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN�,以及密鑰Kasme_ks所對應(yīng)的密鑰標(biāo)識(shí)符KSI
ASME-ES 等內(nèi)容。
步驟504與步驟304��,此處不再贅述���;
步驟505 RS 向 RSDA 返回 RES 值���;
步驟506 =RSDA進(jìn)行認(rèn)證����,并派生出空口密鑰KeNB_KS ����;
RSDA比較從RS接收到的RES與之前生成該RS的AV中的XRES是否一致,如果一致���,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過���,則RSDA根據(jù)密鑰Kam進(jìn)一步派生出空口密鑰K6NB_ks。
至此��,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán)��,為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信��,還可以執(zhí)行以下的步驟���。
步驟507 =RSDA通過SMC將該派生密鑰KeNB_KS以及RS所支持的加密和完整性算法發(fā)送給eNB ��;
步驟508 eNB通過SMC向RS發(fā)送確定的加密算法和完整性保護(hù)算法����;
eNB根據(jù)收到RS支持的加密和完整性保護(hù)算法以及自身支持的加密和完整性保護(hù)算法,確定空口用戶面和控制面加密密鑰和完整保護(hù)性密鑰的密鑰派生算法���,并通過SMC將該選定的算法發(fā)送給RS���。
步驟509與步驟410相同,此處不再贅述�。[0125]本實(shí)施例通過在接入網(wǎng)側(cè)引入一個(gè)RSDA,存貯了 RS的上下文信息�����,RS和RSDA預(yù)共享一個(gè)永久性密鑰K��,RSDA通過有線或無線的方式和eNB相連�,由RSDA完成RS的鑒權(quán)功能,因而將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè)��,從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動(dòng)�,使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化��。
上面的實(shí)施例介紹了幾種RS接入鑒權(quán)的方法��,下面介紹相關(guān)裝置。
參見圖6�����,一種通信裝置�����,包括
請求接收單元110,用于接收RS發(fā)送的認(rèn)證請求,認(rèn)證請求包含RS身份標(biāo)識(shí)����;
獲取單元111,用于獲取認(rèn)證向量�,認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成,與RS身份標(biāo)識(shí)對應(yīng)�����;
獲取單元111可以是在接收請求接收單元110中的認(rèn)證請求后獲取認(rèn)證向量�����。
認(rèn)證向量發(fā)送單元112,用于向RS發(fā)送獲取單元111獲取的認(rèn)證向量��,指示RS對認(rèn)證向量進(jìn)行認(rèn)證����;
響應(yīng)值接收單元113,用于接收RS對認(rèn)證向量發(fā)送單元112發(fā)送的認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值�;
認(rèn)證單元114���,用于對響應(yīng)值接收單元113接收的響應(yīng)值進(jìn)行認(rèn)證����;
空口密鑰派生單元115���,用于在認(rèn)證單元114對響應(yīng)值認(rèn)證通過時(shí)����,派生空口密鑰��。
其中����,通信裝置還包括密鑰派生單元,用于派生與所述空口密鑰派生單元派生的所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰�。
參見圖7,一種通信系統(tǒng)�����,包括
中繼站121�,用于向第一設(shè)備122發(fā)送認(rèn)證請求,所述認(rèn)證請求包含RS身份標(biāo)識(shí)�,接收第一設(shè)備122發(fā)送的認(rèn)證向量,對認(rèn)證向量進(jìn)行認(rèn)證��,認(rèn)證通過后生成響應(yīng)值����,向第一設(shè)備122發(fā)送響應(yīng)值;
第一設(shè)備122���,用于接收中繼站121發(fā)送的認(rèn)證請求�����,認(rèn)證請求包含中繼站的身份標(biāo)識(shí)�,獲取認(rèn)證向量��,向中繼站121發(fā)送認(rèn)證向量,接收中繼站121對認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值�����,對響應(yīng)值進(jìn)行認(rèn)證�����,當(dāng)認(rèn)證通過時(shí),派生空口密鑰�����;
獨(dú)立于核心網(wǎng)的第二設(shè)備123��,用于生成認(rèn)證向量��,認(rèn)證向量與中繼站身份標(biāo)識(shí)對應(yīng)�。
其中,第一設(shè)備122為基站��,獨(dú)立于核心網(wǎng)的第二設(shè)備123為邏輯實(shí)體����,邏輯實(shí)體與所述基站向量。
其中�����,第一設(shè)備122為基站����,獨(dú)立于核心網(wǎng)的第二設(shè)備123為邏輯實(shí)體���,邏輯實(shí)體集成在所述基站中。
其中����,第一設(shè)備122和獨(dú)立于核心網(wǎng)的第二設(shè)備123為同一邏輯實(shí)體����。
其中,基站還用于派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰��。
本發(fā)明實(shí)施例接入網(wǎng)側(cè)接收RS發(fā)送的認(rèn)證請求�����,生成認(rèn)證向量并發(fā)送給RS�,接收RS對認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進(jìn)行認(rèn)證���,認(rèn)證通過后派生空口密鑰���,完成對RS的鑒權(quán)。在接入網(wǎng)側(cè)引入一個(gè)網(wǎng)絡(luò)邏輯實(shí)體��,由接入網(wǎng)側(cè)的邏輯實(shí)體與中繼站共享了共享密鑰,由接入網(wǎng)側(cè)完成對RS的身份認(rèn)證及密鑰派生���,從而完成中繼站的網(wǎng)絡(luò)安全接入�����,因此中繼站的網(wǎng)絡(luò)安全接入不需要對核心網(wǎng)進(jìn)行改動(dòng)就可以實(shí)現(xiàn)�����,使得引入RS后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化���。
進(jìn)一步,可以通過在接入網(wǎng)側(cè)將RSDA和eNB集成在一起��,將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè)����;通過在接入網(wǎng)側(cè)引入一個(gè)RSDA,存貯了 RS的上下文信息�,RS和RSDA共享了共享密鑰,RSDA通過有線或無線的方式和eNB相連�,由eNB完成RS的鑒權(quán)功能或由RSDA完成RS的鑒權(quán)功能,將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè)�。
以上對本發(fā)明實(shí)施例所提供的鑒權(quán)方法�、通信裝置和通信系統(tǒng)進(jìn)行了詳細(xì)介紹����,本文中應(yīng)用了具體個(gè)例對本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用 于幫助理解本發(fā)明的方法及其核心思想���;同時(shí)���,對于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明的思想��,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處�,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制��。
權(quán)利要求
1.一種鑒權(quán)方法����,其特征在于,包括 第一設(shè)備接收中繼站發(fā)送的認(rèn)證請求�,所述認(rèn)證請求包含中繼站身份標(biāo)識(shí)�����; 所述第一設(shè)備獲取認(rèn)證向量�����,向所述中繼站發(fā)送所述認(rèn)證向量��,指示所述中繼站對所述認(rèn)證向量進(jìn)行認(rèn)證��,所述認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成��,與所述中繼站身份標(biāo)識(shí)對應(yīng)��; 所述第一設(shè)備接收所述中繼站對所述認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值��,對所述響應(yīng)值進(jìn)行認(rèn)證�,當(dāng)認(rèn)證通過時(shí)���,派生空口密鑰�; 其中�,所述第一設(shè)備為基站,所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA。
2.根據(jù)權(quán)利要求
I所述的鑒權(quán)方法����,其特征在于,所述中繼站數(shù)據(jù)庫RSDA與所述基站相連�����; 所述第一設(shè)備獲取認(rèn)證向量的步驟具體為 所述第一設(shè)備接收所述第二設(shè)備發(fā)送的認(rèn)證向量���。
3.根據(jù)權(quán)利要求
I所述的鑒權(quán)方法��,其特征在于�,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站集成在一起����,或者����,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站不重合。
4.根據(jù)權(quán)利要求
I至3任一項(xiàng)所述的鑒權(quán)方法�����,其特征在于,所述獨(dú)立于核心網(wǎng)的第二設(shè)備生成認(rèn)證向量的步驟具體為 所述獨(dú)立于核心網(wǎng)的第二設(shè)備查找與所述中繼站身份標(biāo)識(shí)對應(yīng)的共享密鑰����,產(chǎn)生隨機(jī)數(shù),生成與所述共享密鑰和所述隨機(jī)數(shù)對應(yīng)的所述認(rèn)證向量����。
5.根據(jù)權(quán)利要求
I至3任一項(xiàng)所述的鑒權(quán)方法,其特征在于�����,所述認(rèn)證向量包括期望響應(yīng)值�; 所述對所述響應(yīng)值進(jìn)行認(rèn)證的步驟具體為 將所述響應(yīng)值與所述認(rèn)證向量中的所述期望響應(yīng)值進(jìn)行比較,如果一致���,認(rèn)證通過���。
6.根據(jù)權(quán)利要求
2或3所述的鑒權(quán)方法,其特征在于���,所述派生空口密鑰的步驟后還包括 基站派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰���。
7.根據(jù)權(quán)利要求
3所述的鑒權(quán)方法���,其特征在于,所述派生空口密鑰的步驟后還包括 中繼站數(shù)據(jù)庫RSDA將所述空口密鑰發(fā)送給基站����,指示所述基站派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰。
8.一種通信裝置���,其特征在于���,包括 請求接收單元,用于接收中繼站發(fā)送的認(rèn)證請求�,所述認(rèn)證請求包含中繼站身份標(biāo)識(shí); 獲取單元�����,用于獲取認(rèn)證向量����,所述認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成�����,與所述中繼站身份標(biāo)識(shí)對應(yīng),所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA �����; 認(rèn)證向量發(fā)送單元�����,用于向所述中繼站發(fā)送所述獲取單元獲取的所述認(rèn)證向量����,指示所述中繼站對所述認(rèn)證向量進(jìn)行認(rèn)證; 響應(yīng)值接收單元�����,用于接收所述中繼站對所述認(rèn)證向量發(fā)送單元發(fā)送的所述認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值����; 認(rèn)證單元,用于對所述響應(yīng)值接收單元接收的所述響應(yīng)值進(jìn)行認(rèn)證; 空口密鑰派生單元��,用于在所述認(rèn)證單元對所述響應(yīng)值認(rèn)證通過時(shí)�,派生空口密鑰。
9.根據(jù)權(quán)利要求
8所述的通信裝置��,其特征在于,還包括 密鑰派生單元��,用于派生與所述空口密鑰派生單元派生的所述空口密鑰對應(yīng)的加密密鑰和完整性保護(hù)的密鑰��。
10.一種通信系統(tǒng)��,其特征在于���,包括 中繼站�,用于向第一設(shè)備發(fā)送認(rèn)證請求���,所述認(rèn)證請求包含中繼站身份標(biāo)識(shí)��,接收第一設(shè)備發(fā)送的認(rèn)證向量�����,對所述認(rèn)證向量進(jìn)行認(rèn)證��,認(rèn)證通過后生成響應(yīng)值�����,向第一設(shè)備發(fā)送所述響應(yīng)值��; 第一設(shè)備���,用于接收所述中繼站發(fā)送的認(rèn)證請求,獲取認(rèn)證向量�,向所述中繼站發(fā)送所述認(rèn)證向量,接收所述中繼站對所述認(rèn)證向量認(rèn)證通過后發(fā)送的所述響應(yīng)值���,對所述響應(yīng)值進(jìn)行認(rèn)證�,當(dāng)認(rèn)證通過時(shí)�,派生空口密鑰; 獨(dú)立于核心網(wǎng)的第二設(shè)備���,用于生成認(rèn)證向量����,所述認(rèn)證向量與所述中繼站身份標(biāo)識(shí)對應(yīng)���; 所述第一設(shè)備為基站�����,所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA����。
11.根據(jù)權(quán)利要求
10所述的通信系統(tǒng),其特征在于����,所述中繼站數(shù)據(jù)庫RSDA與所述基站相連。
12.根據(jù)權(quán)利要求
10所述的通信系統(tǒng)����,其特征在于,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站集成在一起���,或者�����,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站不重合�����。
專利摘要
本發(fā)明實(shí)施例公開了鑒權(quán)方法�����、通信裝置和通信系統(tǒng)��,鑒權(quán)方法包括第一設(shè)備接收中繼站發(fā)送的認(rèn)證請求��,認(rèn)證請求包含中繼站身份標(biāo)識(shí)����;獲取認(rèn)證向量�����,向中繼站發(fā)送所述認(rèn)證向量�����,指示中繼站對認(rèn)證向量進(jìn)行認(rèn)證����,認(rèn)證向量由獨(dú)立于核心網(wǎng)的第二設(shè)備生成,與中繼站身份標(biāo)識(shí)對應(yīng)�;接收中繼站對所述認(rèn)證向量認(rèn)證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進(jìn)行認(rèn)證�,當(dāng)認(rèn)證通過時(shí),派生空口密鑰���。本發(fā)明實(shí)施例通過在接入網(wǎng)側(cè)引入一個(gè)邏輯實(shí)體�,由接入網(wǎng)側(cè)完成對中繼站的身份認(rèn)證及密鑰派生,將中繼站的鑒權(quán)功能完全限定在接入網(wǎng)側(cè)實(shí)現(xiàn)��,從而避免接入網(wǎng)引入中繼站后對核心網(wǎng)的改動(dòng)�,使得引入中繼站后的系統(tǒng)對整個(gè)網(wǎng)絡(luò)的影響達(dá)到最小化。
文檔編號(hào)H04W12/06GKCN101640887 B發(fā)布類型授權(quán) 專利申請?zhí)朇N 200810041298
公開日2012年10月3日 申請日期2008年7月29日
發(fā)明者劉菁, 張愛琴, 彭炎, 陳璟 申請人:上海華為技術(shù)有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan專利引用 (2), 非專利引用 (5),