或多套通用分組核屯、演進(jìn)鑒權(quán)向量{隨機(jī)數(shù)，鑒 權(quán)令牌，預(yù)期響應(yīng)，根密鑰}給移動(dòng)管理實(shí)體，其中包含AMF分隔符，"1"代表LTE/SAE，"0" 代表非LTE/SAE ; 發(fā)送步驟，移動(dòng)管理實(shí)體收到后保存預(yù)期用戶(hù)響應(yīng)、根密鑰，并將隨機(jī)數(shù)和鑒權(quán)令牌發(fā) 送給用戶(hù)； 用戶(hù)端鑒權(quán)步驟，用戶(hù)通過(guò)鑒權(quán)特征向量對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)，用戶(hù)根據(jù)鑒權(quán)特征向量& 隨機(jī)數(shù)計(jì)算出鑒權(quán)響應(yīng)&CK/IK，進(jìn)一步計(jì)算出根密鑰，用戶(hù)將鑒權(quán)響應(yīng)發(fā)送到移動(dòng)管理實(shí) 體，移動(dòng)管理實(shí)體將鑒權(quán)響應(yīng)和預(yù)期用戶(hù)響應(yīng)進(jìn)行對(duì)比； 推導(dǎo)步驟，用戶(hù)與移動(dòng)管理實(shí)體根據(jù)根密鑰推導(dǎo)出非接入層與接入層所需的加密密鑰 和完整性保護(hù)密鑰。
2. 根據(jù)權(quán)利要求1所述的鑒權(quán)和密鑰衍生方法，其特征在于，在鑒權(quán)和密鑰衍生方法 中，IK，IV是密鑰衍生機(jī)制的初始輸入密鑰，CK/IK分別表示加密和完整性密鑰；Kasme是一 個(gè)中間密鑰，是終端和歸屬用戶(hù)服務(wù)器在AKA過(guò)程中根據(jù)K生成的；ASME是一個(gè)網(wǎng)絡(luò)實(shí)體， 根據(jù)接收到的歸屬用戶(hù)服務(wù)器發(fā)送的密鑰，負(fù)責(zé)建立和維持歸屬用戶(hù)服務(wù)器與終端的安全 協(xié)商；K。^也是一個(gè)中間密鑰，是終端和移動(dòng)管理實(shí)體根據(jù)根密鑰生成的；KeWB的值取決于 eNodeB識(shí)別碼，用于eNodeB為RRC業(yè)務(wù)和UP業(yè)務(wù)生成密鑰；最后，為了 NAS信令、AS信令 和用戶(hù)平面數(shù)據(jù)進(jìn)行完整性保護(hù)和機(jī)密性保護(hù)，還要生成如下5個(gè)密鑰；K。^，KwAsht，IU。。。， Kupe。。，和IWe。。。，lU是演進(jìn)型基站密鑰，KmSIM是接入層完整性密鑰，KmS。。。是接入層 安全性密鑰，Kup。。。是用戶(hù)層安全密鑰，K kkum是接入控制完整性密鑰，K 是接入控制安全 性密鑰。
3. 根據(jù)權(quán)利要求2所述的鑒權(quán)和密鑰衍生方法，其特征在于， 用戶(hù)在鑒權(quán)過(guò)程中AS層和AS層密鑰將由初始密鑰K進(jìn)行KDF算法處理后得出根密鑰 K化皿； 根密鑰Kasme在NAS層進(jìn)行衍生出NAS層使用的安全性密鑰KwAse。。和完整性保護(hù)密鑰 Kmsim，其中安全性密鑰和完整性密鑰的生成是根據(jù)用戶(hù)所支持的安全算法，通過(guò)選擇不同 的安全算法組合生成不同的安全性保護(hù)密鑰和完整性保護(hù)密鑰； 根密鑰Kasmc通過(guò)衍生得出中間密鑰K eWB，中間密鑰K。?主要用于AS層的安全性保護(hù)密 鑰IWe。。。和完整性保護(hù)密鑰K KKUM的生成，其生成方式與NAS層相同，其中，通過(guò)改變安全性 算法中輸入的標(biāo)志位BEA服R則得到用戶(hù)層密鑰Kup。。。。
4. 根據(jù)權(quán)利要求1所述的鑒權(quán)和密鑰衍生方法，其特征在于，該鑒權(quán)和密鑰衍生方法 還包括密鑰生成方法，該密鑰生成方法包括如下步驟： CK和IK實(shí)現(xiàn)步驟；IK和IV是初始密鑰和向量，代入KDF算法得到K，K為KDF算法得 到的初始密鑰，根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，K分別代入EEA模塊和EIA模 塊中得到安全性密鑰CK和完整性IK ; 基于用戶(hù)安全等級(jí)的密鑰K步驟；用戶(hù)安全等級(jí)高時(shí)，將K帶入到KDF函數(shù)中進(jìn)行衍生 得到復(fù)雜度高的K，當(dāng)用戶(hù)安全等級(jí)低時(shí)，直接將初始的K，通過(guò)衍生次數(shù)得到不同復(fù)雜度 的K來(lái)表示用戶(hù)安全等級(jí)； Kasme實(shí)現(xiàn)步驟，將K代入到KDF算法中再截取后32位得到K ASME; Kmsim，Kms。。。實(shí)現(xiàn)步驟：根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，將Kasme分別代入 到邸4算法和EIA算法中得到Knasim，KwASenc; 實(shí)現(xiàn)步驟：將Kasme代入到KDF算法中再截取后32位可w得到K cw; KuPenc;，K邸ant和K邸Cenc實(shí)現(xiàn)步驟:根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，將K eNB分 另Ij代入到EEA算法和EIA算法中得到Kccce。。和K wcht，Kupe。。是用戶(hù)層使用的保密性密鑰，K wee。。 是控制層使用的保密性密鑰，區(qū)別是設(shè)置不同的標(biāo)志位炬BARER = 0,1)。
5. -種基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生系統(tǒng)，其特征在于，包括LTE鑒權(quán)單元，在 LTE鑒權(quán)單元中包括； 鑒權(quán)請(qǐng)求發(fā)起模塊，用戶(hù)向非接入層移動(dòng)管理實(shí)體發(fā)起鑒權(quán)請(qǐng)求； 索要鑒權(quán)向量模塊，移動(dòng)管理實(shí)體向歸屬用戶(hù)服務(wù)器索要鑒權(quán)向量； 返回模塊，歸屬用戶(hù)服務(wù)器返回一套或多套通用分組核屯、演進(jìn)鑒權(quán)向量{隨機(jī)數(shù)，鑒 權(quán)令牌，預(yù)期響應(yīng)，根密鑰}給移動(dòng)管理實(shí)體，其中包含AMF分隔符，"1"代表LTE/SAE，"0" 代表非LTE/SAE ; 發(fā)送模塊，移動(dòng)管理實(shí)體收到后保存預(yù)期用戶(hù)響應(yīng)、根密鑰，并將隨機(jī)數(shù)和鑒權(quán)令牌發(fā) 送給用戶(hù)； 用戶(hù)端鑒權(quán)模塊，用戶(hù)通過(guò)鑒權(quán)特征向量對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)，用戶(hù)根據(jù)鑒權(quán)特征向量& 隨機(jī)數(shù)計(jì)算出鑒權(quán)響應(yīng)&CK/IK，進(jìn)一步計(jì)算出根密鑰，用戶(hù)將鑒權(quán)響應(yīng)發(fā)送到移動(dòng)管理實(shí) 體，移動(dòng)管理實(shí)體將鑒權(quán)響應(yīng)和預(yù)期用戶(hù)響應(yīng)進(jìn)行對(duì)比； 推導(dǎo)模塊，用戶(hù)與移動(dòng)管理實(shí)體根據(jù)根密鑰推導(dǎo)出非接入層與接入層所需的加密密鑰 和完整性保護(hù)密鑰。
6. 根據(jù)權(quán)利要求5所述的鑒權(quán)和密鑰衍生系統(tǒng)，其特征在于，在鑒權(quán)和密鑰衍生系統(tǒng) 中，IK，IV是密鑰衍生機(jī)制的初始輸入密鑰，CK/IK分別表示加密和完整性密鑰；Kasme是一 個(gè)中間密鑰，是終端和歸屬用戶(hù)服務(wù)器在AKA過(guò)程中根據(jù)K生成的；ASME是一個(gè)網(wǎng)絡(luò)實(shí)體， 根據(jù)接收到的歸屬用戶(hù)服務(wù)器發(fā)送的密鑰，負(fù)責(zé)建立和維持歸屬用戶(hù)服務(wù)器與終端的安全 協(xié)商；K。^也是一個(gè)中間密鑰，是終端和移動(dòng)管理實(shí)體根據(jù)根密鑰生成的；KeWB的值取決于 eNodeB識(shí)別碼，用于eNodeB為RRC業(yè)務(wù)和UP業(yè)務(wù)生成密鑰；最后，為了 NAS信令、AS信令 和用戶(hù)平面數(shù)據(jù)進(jìn)行完整性保護(hù)和機(jī)密性保護(hù)，還要生成如下5個(gè)密鑰；K。^，KwAsht，IU。。。， Kupe。。，和IWe。。。，lU是演進(jìn)型基站密鑰，KmSIM是接入層完整性密鑰，KmS。。。是接入層 安全性密鑰，Kup。。。是用戶(hù)層安全密鑰，K kkum是接入控制完整性密鑰，K 是接入控制安全 性密鑰。
7. 根據(jù)權(quán)利要求6所述的鑒權(quán)和密鑰衍生系統(tǒng)，其特征在于， 用戶(hù)在鑒權(quán)過(guò)程中AS層和AS層密鑰將由初始密鑰K進(jìn)行KDF算法處理后得出根密鑰 K化皿； 根密鑰Kasme在NAS層進(jìn)行衍生出NAS層使用的安全性密鑰KwAse。。和完整性保護(hù)密鑰 Kmsim，其中安全性密鑰和完整性密鑰的生成是根據(jù)用戶(hù)所支持的安全算法，通過(guò)選擇不同 的安全算法組合生成不同的安全性保護(hù)密鑰和完整性保護(hù)密鑰； 根密鑰Kasmc通過(guò)衍生得出中間密鑰K eWB，中間密鑰K。?主要用于AS層的安全性保護(hù)密 鑰IWe。。。和完整性保護(hù)密鑰K KKUDt的生成，其生成方式與NAS層相同，其中，通過(guò)改變安全性 算法中輸入的標(biāo)志位BEA服R則得到用戶(hù)層密鑰Kup。。。。
8.根據(jù)權(quán)利要求5所述的鑒權(quán)和密鑰衍生系統(tǒng)，其特征在于，該鑒權(quán)和密鑰衍生系統(tǒng) 還包括密鑰生成單元，該密鑰生成單元包括： CK和IK實(shí)現(xiàn)模塊；IK和IV是初始密鑰和向量，代入KDF算法得到K，K為KDF算法得 到的初始密鑰，根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，K分別代入EEA模塊和EIA模 塊中得到安全性密鑰CK和完整性IK ; 基于用戶(hù)安全等級(jí)的密鑰K模塊；用戶(hù)安全等級(jí)高時(shí)，將K帶入到KDF函數(shù)中進(jìn)行衍生 得到復(fù)雜度高的K，當(dāng)用戶(hù)安全等級(jí)低時(shí)，直接將初始的K，通過(guò)衍生次數(shù)得到不同復(fù)雜度 的K來(lái)表示用戶(hù)安全等級(jí)； Kasme實(shí)現(xiàn)模塊，將K代入到KDF算法中再截取后32位得到K ASME; Kmsim，Kms。。。實(shí)現(xiàn)模塊：根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，將Kasme分別代入 到邸4算法和EIA算法中得到IW。。KwASenc; 實(shí)現(xiàn)模塊：將Kasme代入到KDF算法中再截取后32位可W得到K IW，IW和K邸Cenc實(shí)現(xiàn)模塊:根據(jù)用戶(hù)的算法選擇來(lái)選擇使用的安全算法，將K e皿分 另IJ代入到EEA算法和EIA算法中得到Kccce。。和K wcht，Kupe。。是用戶(hù)層使用的保密性密鑰，K WC。。。 是控制層使用的保密性密鑰，區(qū)別是設(shè)置不同的標(biāo)志位炬EARER = 0,1)。
【專(zhuān)利摘要】本發(fā)明提供了一種基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生方法及系統(tǒng)，本發(fā)明致力于研究基于TD-LTE系統(tǒng)集群業(yè)務(wù)的安全性。本發(fā)明的有益效果是：本發(fā)明提出的密鑰衍生機(jī)制將增加初始密鑰對(duì)用戶(hù)安全等級(jí)的支持，初始密鑰K根據(jù)，用戶(hù)安全等級(jí)進(jìn)行IK，IV級(jí)聯(lián)不同衍生次數(shù)的處理，能夠?qū)崿F(xiàn)對(duì)不同安全等級(jí)不同復(fù)雜度密鑰的支持密鑰。以引入用戶(hù)安全等級(jí)的密鑰衍生機(jī)制，其中密鑰K的復(fù)雜度表示用戶(hù)的安全等級(jí)。當(dāng)用戶(hù)安全等級(jí)較高時(shí)，需要系統(tǒng)使用更高的安全機(jī)制來(lái)保證用戶(hù)的安全，密鑰生成時(shí)高安全等級(jí)用戶(hù)專(zhuān)用的復(fù)雜密鑰K如K3，安全等級(jí)要求低的用戶(hù)可以通過(guò)使用K1作為初始密鑰。
【IPC分類(lèi)】H04W12-06, H04W12-04
【公開(kāi)號(hào)】CN104661217
【申請(qǐng)?zhí)枴緾N201510066838
【發(fā)明人】張?chǎng)? 張欽宇, 崔文華, 邢學(xué)強(qiáng)
【申請(qǐng)人】哈爾濱工業(yè)大學(xué)深圳研究生院
【公開(kāi)日】2015年5月27日
【申請(qǐng)日】2015年2月9日