專利名稱:一種對用戶設(shè)備鑒權(quán)的系統(tǒng)����、方法及其基站子系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子通信領(lǐng)域�,尤其涉及一種對用戶設(shè)備鑒權(quán)的系統(tǒng)�、方法及 其基站子系統(tǒng)。
背景技術(shù):
GPRS (General Packet Radio Service,通用分組無線業(yè)務(wù))是一個基于包交 換的第二代移動通信網(wǎng)絡(luò)�����。到了第三代移動通信系統(tǒng)�����,GPRS演進為UMTS PS (Universal Mobile Telecommunication System Packet Switch,通用移動通4言系統(tǒng)分 組交換)域�。傳統(tǒng)的GSM與分組域網(wǎng)絡(luò)之間無法建立單隧道,可以通過對 GSM/GPRS的網(wǎng)絡(luò)架構(gòu)和BSS-CN接口協(xié)議棧進行 文造來實現(xiàn)單隧道.
如圖l所示��,是一種基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面單隧道的系 統(tǒng)的架構(gòu)圖�。從中可以看出,該系統(tǒng)包括終端(未畫出)�、基站子系統(tǒng)BSS、 分組域網(wǎng)絡(luò)UMTS,其中���,BSS包括基站控制器BSC以及基站收發(fā)信機BST;
該基站子系統(tǒng)通過增強的分組域網(wǎng)絡(luò)Iu控制面接口 eluPS-C與分組域網(wǎng)絡(luò)的 SGSN相耦接��;基站子系統(tǒng)通過增強的分組域網(wǎng)絡(luò)Iu用戶面接口 eIuPS-U與分 組域網(wǎng)絡(luò)的GGSN相耦接�����;基站子系統(tǒng)通過該eluPS-U接口與GGSN之間建立 用戶面單隧道���,其中該eluPS-C和eluPS-U接口是對原IuPS接口 ( IuPS-C�����、 IuPS-U 接口 )的修改和增強��。
如圖2所示�����,是圖1中用戶面協(xié)議棧示意圖;為了實現(xiàn)用戶面單隧道�,需 要BSS (如其中的BSC )能進行用戶面的處理,需要將SNDCP協(xié)議和LLC協(xié) 議下移到BSC中處理�����,并且要求BSC能夠處理GTP-U協(xié)議�,故圖1中的實施例的用戶面協(xié)議棧可以采用圖2的方式�����;
如圖3所示,是圖1中控制面協(xié)議棧示意圖�����;為了支持單隧道�����,對GSM/GPRS 的網(wǎng)絡(luò)架構(gòu)和Gb接口協(xié)議棧進行了改造�,由此帶來了對控制面的影響。故 GSM/GPRS的控制面協(xié)議棧也需要改造���,圖3即為本發(fā)明對應(yīng)于圖1中的一種 改造后的控制面協(xié)議棧����。其中����,BSS中的BSC增加了 RANAP協(xié)議棧的處理, 并且LLC下移到BSC進行處理����。由于2G的NAS/BSSGP( Base Subsystem GPRS Protocol,基站子系統(tǒng)GPRS協(xié)議)和3G的NAS/RANAP ( Radio Access Network Application Part protocol,無線接入網(wǎng)絡(luò)應(yīng)用協(xié)議)的差異,所以BSC需要進行 1) NAS層協(xié)議的適配;2 ) BSSGP與RANAP協(xié)議的適配等�����。
發(fā)明人在實施本發(fā)明時發(fā)現(xiàn)�,對于這種在基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建 立用戶面單隧道的系統(tǒng)中,現(xiàn)在尚沒有合適的用戶設(shè)備鑒權(quán)和加密的方法��。
這是因為現(xiàn)有的GPRS鑒權(quán)和加密機制和UMTS PS域鑒權(quán)和加密流程機制 有很大的區(qū)別�,不能簡單地進行組合。
如圖4所示�����,是GPRS網(wǎng)絡(luò)進行用戶設(shè)備鑒權(quán)和加密的一種實施例的示意 圖�����;從中可以看出���,GPRS鑒權(quán)和加密程序是在同一個流程完成,首先��,SGSN 通過向用戶設(shè)備MS發(fā)送鑒權(quán)及加密請求(AUTHENTICATION AND CIPHERING REQUEST)消息來啟動鑒權(quán)和加密過程�;其次,用戶設(shè)備接收到 該鑒權(quán)及加密請求消息后,完成加密算法的協(xié)商����,并根據(jù)鑒權(quán)及加密請求中的 信息計算產(chǎn)生加密密鑰Kc并啟動加密,然后將相應(yīng)的信息攜帶在鑒權(quán)及加密響 應(yīng)消息(AUTHENTICATION AND CIPHERING RESPONSE)中��,供SGSN對 用戶設(shè)備進行鑒權(quán)�����,判斷該用戶設(shè)備是否為合法的用戶�����。
如圖5所示�,是UMTS網(wǎng)絡(luò)進行用戶設(shè)備鑒權(quán)和加密的一種實施例的示意 圖。從中可以看出��,UMTS PS域的認證過程是通過鑒權(quán)及加密 (AUTHENTICATION AND CIPHERING)程序來實現(xiàn)的��。加密算法和密鑰協(xié)商 是通過安全模式(SECURITY MODE COMMAND )程序來實現(xiàn)的���。其中����,還包 括完整性保護的過程。
從上述可以看出��,對于圖1的在基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面 單隧道的系統(tǒng)中���,現(xiàn)在尚不能采用圖4或圖5中的用戶設(shè)備鑒權(quán)及力�。密方法����。 由于在圖l的系統(tǒng)中,隨著LLC下移BSS,空口信令數(shù)據(jù)下行的加密和上行的 解密功能也由原先由SGSN完成���,下移至由BSS來完成���;如果采用現(xiàn)有的GPRS
9認i正和加密流程,BSS將無法完成對2G用戶凄史據(jù)和信令的解密�。另外,由于 2G的用戶設(shè)備MS也不支持UMTS的認證和加密���。所以���,現(xiàn)在尚沒辦法對圖1 的系統(tǒng)中的用戶設(shè)備進行認證和加密����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題為提供一種對用戶設(shè)備鑒權(quán)的系統(tǒng)�、方法及其 基站子系統(tǒng)����,以實現(xiàn)在基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面單隧道的系統(tǒng) 中實現(xiàn)對用戶i殳備的鑒權(quán)加密。
本發(fā)明實施例提供一種對用戶設(shè)備鑒權(quán)的方法���,用于基站子系統(tǒng)接入分組 域網(wǎng)絡(luò)的系統(tǒng)中�����,所述方法包括
接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求消息��,獲得第一加密密鑰 Kcl及加密算法信息��,并將第一加密密鑰Kcl從鑒權(quán)及加密請求消息中去除�����;
將去除第一加密密鑰Kcl后的所述鑒權(quán)及加密請求消息發(fā)送給接入所述基 站子系統(tǒng)的用戶設(shè)備����;
接收來自所述用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息�,利用所述第 一加 密密鑰Kcl經(jīng)所述加密算法進行解密處理����;
將所述解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN,以使所述SGSN根 據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)���。
本發(fā)明實施例提供一種對用戶設(shè)備鑒權(quán)的方法��,用于基站子系統(tǒng)接入分組 域網(wǎng)絡(luò)的系統(tǒng)中���,所述方法包括
分組域網(wǎng)絡(luò)的SGSN獲取鑒權(quán)向量信息及加密算法信息,生成鑒權(quán)及加密 請求消息并發(fā)送給基站子系統(tǒng)����,所述鑒權(quán)向量信息至少包含第一加密密鑰Kcl;
基站子系統(tǒng)接收來自所述鑒權(quán)及加密請求消息,獲得所述第一加密密鑰Kcl 及加密算法信息并存儲��,并將所述第一加密密鑰Kcl從鑒權(quán)及加密請求消息中 去除�����,并將所述去除第一加密密鑰Kcl后的鑒權(quán)及加密請求消息發(fā)送給接入所 述基站子系統(tǒng)的用戶設(shè)備���;
用戶設(shè)備依據(jù)所述鑒權(quán)及加密請求消息生成鑒權(quán)及加密響應(yīng)消息�,并依據(jù) 所述鑒權(quán)及力����。密請求消息生成第二加密密鑰Kc2,利用所述第二加密密鑰Kc2 經(jīng)所述加密算法對所述鑒權(quán)及加密響應(yīng)消息進行加密處理后,發(fā)送給所述基站 子系統(tǒng)�����;基站子系統(tǒng)接收來自所述用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息�,利用
來自所述第一加密密鑰Kcl經(jīng)所述加密算法進行解密處理,將解密后的鑒權(quán)及
加密響應(yīng)消息發(fā)送癥合SGSN;
所述SGSN根據(jù)所述鑒權(quán)及力口密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)�。 本發(fā)明實施例提供一種基站子系統(tǒng),用于在接入分組域網(wǎng)絡(luò)時對用戶設(shè)備
進行鑒權(quán)�,包括
請求消息接收模塊,用于接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求 消息�����,獲得第一加密密鑰Kcl及加密算法信息���,并將第一加密密鑰Kcl從鑒權(quán) 及加密請求消息中去除���;
鑒權(quán)及加密請求模塊,用于將所述去除第一加密密鑰Kcl的鑒權(quán)及加密請 求消息發(fā)送給接入所述基站子系統(tǒng)的用戶設(shè)備��;
鑒權(quán)及加密響應(yīng)接收模塊�����,用于接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密 響應(yīng)消息;
解密^t塊���,用于利用所述第一加密密鑰Kcl經(jīng)所述加密算法對所述經(jīng)加密 的鑒權(quán)及加密響應(yīng)消息進行解密���;
發(fā)送模塊,將所述解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN,以使所 述SGSN根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)���。
本發(fā)明實施例提供一種對用戶設(shè)備鑒權(quán)的系統(tǒng)��,包括通過增強的分組域網(wǎng) 絡(luò)Iu接口相耦接的基站子系統(tǒng)和SGSN,以及接入所述基站子系統(tǒng)的用戶設(shè)備���, 其中,
SGSN�,用于生成鑒權(quán)及力口密請求消息并發(fā)送給基站子系統(tǒng);且用于接收來 自基站子系統(tǒng)的鑒權(quán)及加密響應(yīng)消息����,并根據(jù)所述鑒權(quán)及加密響應(yīng)消息對接入 所述基站子系統(tǒng)的用戶設(shè)備進行鑒權(quán);
基站子系統(tǒng)�����,用于將所述來自SGSN的鑒權(quán)及力口密請求消息去除第一加密 密鑰后發(fā)送給用戶設(shè)備;并用于接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng) 消息��,以所述第一加密密鑰Kcl經(jīng)加密算法進行解密���,并將所述解密后的鑒權(quán) 及加密響應(yīng)消息發(fā)送給所述SGSN;
用戶設(shè)備,用于根據(jù)接收的所述鑒權(quán)及加密請求消息生成所述鑒權(quán)及加密
響應(yīng)消息并進行加密�����,發(fā)送給基站子系統(tǒng)�。
本發(fā)明實施例的對用戶設(shè)備鑒權(quán)的系統(tǒng)、方法及其基站子系統(tǒng)��,通過基站
ii子系統(tǒng)存儲接收的鑒權(quán)及加密請求消息中的加密密鑰與加密算法�,來對接收的 來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息進行解密,并將解密出來的鑒權(quán)
信息發(fā)送給SGSN����,該SGSN完成對用戶設(shè)備的鑒權(quán)。從而實現(xiàn)對用戶設(shè)備的鑒 權(quán)及加/解密過程���,解決了基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面單隧道的系 統(tǒng)中實現(xiàn)對用戶設(shè)備的鑒權(quán)以及加密問題���。
圖1是一種基站子系統(tǒng)與分組域網(wǎng)絡(luò)UMTS建立用戶面單隧道的系統(tǒng)的架 構(gòu)圖2是一種基站子系統(tǒng)與分組域網(wǎng)絡(luò)UMTS建立用戶面單隧道的系統(tǒng)的用
戶面協(xié)議棧示意圖3是一種基站子系統(tǒng)與分組域網(wǎng)絡(luò)UMTS建立用戶面單隧道的系統(tǒng)的控
制面協(xié)議棧示意圖4是一種GPRS網(wǎng)絡(luò)認證和加密的流程示意圖5是一種UMTS PS域網(wǎng)絡(luò)認證和加密的流程示意圖6是本發(fā)明對用戶設(shè)備鑒權(quán)的系統(tǒng)的一個實施例結(jié)構(gòu)示意圖7是本發(fā)明對用戶設(shè)備鑒權(quán)的方法的 一 個實施例流程示意圖��。
具體實施例方式
下面結(jié)合附圖�,對本發(fā)明實施例的技術(shù)方案進行詳細說明���。
如圖6所示�����,是本發(fā)明對用戶設(shè)備鑒權(quán)的系統(tǒng)的一個實施例結(jié)構(gòu)示意在該實施例中��,對用戶設(shè)備鑒權(quán)的系統(tǒng)包括通過增強的分組域網(wǎng)絡(luò)Iu接口 (elu-PS )相耦接的基站子系統(tǒng)2和SGSN 3,以及接入所述基站子系統(tǒng)2的用
戶設(shè)備l,其中���,
SGSN3用于生成鑒權(quán)及力口密請求消息并發(fā)送給基站子系統(tǒng),以用用于接收 來自基站子系統(tǒng)鑒權(quán)及加密響應(yīng)消息��,并根據(jù)該鑒權(quán)及加密響應(yīng)消息對用戶設(shè) 備1進行鑒權(quán)�����;
基站子系統(tǒng)2,將來自SGSN 3的鑒權(quán)及加密請求消息發(fā)送給用戶設(shè)備1; 并對來自用戶設(shè)備1的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息進行解密�����;并將該解密后 的鑒權(quán)及加密響應(yīng)消息發(fā)送給SGSN 3;用戶設(shè)備l,根據(jù)接收的鑒權(quán)及加密請求消息生成鑒權(quán)及力n密響應(yīng)消息���,并 在進行加密后��,發(fā)送給基站子系統(tǒng)2�����。
更具體地��,該SGSN3進一步包括
鑒權(quán)及加密請求消息生成模塊30,用于根據(jù)獲得的認證向量信息及力��。密算 法信息(如�����,加密算法類型)��,生成對于某個用戶設(shè)備l的鑒權(quán)及加密請求消息��, 該鑒權(quán)及加密請求消息會經(jīng)增強的分組域網(wǎng)絡(luò)Iu接口發(fā)送給基站子系統(tǒng)2,其 中�,該認證向量信息可以包括2G網(wǎng)絡(luò)的鑒權(quán)三元組信息或者3G網(wǎng)絡(luò)的的鑒權(quán) 五元組,其中����,在實現(xiàn)中�,鑒權(quán)三元組中的第一加密密鑰Kcl信息可由3G網(wǎng)絡(luò) 的鑒權(quán)五元組中的加密密鑰CK和完整性密鑰IK轉(zhuǎn)化而來�����。SGSN3可以從該 用戶設(shè)備的歸屬位置寄存器(HLR)或者設(shè)備注冊的鑒權(quán)中心(AUC)中獲得 上述的認證向量信息及加密算法信息�����;
鑒權(quán)及加密響應(yīng)消息接收才莫塊32,用于接收來自基站子系統(tǒng)2的鑒權(quán)及加 密響應(yīng)消息���;
鑒權(quán)模塊34,用于將鑒權(quán)及加密響應(yīng)消息中的第二鑒權(quán)響應(yīng)值SRES2與 SGSN中預(yù)先存儲的第一鑒權(quán)響應(yīng)值SRES1或期望響應(yīng)XRES進行比較�,確定 對該用戶設(shè)備是否鑒權(quán)成功��。例如�����,如果兩者相同��,則指示對用戶設(shè)備鑒權(quán)成 功��;否則指示鑒權(quán)失敗�。
存儲模塊36����,用于存儲與鑒權(quán)及力n密相關(guān)的信息����,例如為每個用戶設(shè)備分 配的鑒權(quán)向量五元組、鑒權(quán)向量三元組信息���、加密算法等等��。
該基站子系統(tǒng)2可進一步包括
請求消息接收模塊20,用于接收來自分組域網(wǎng)絡(luò)的SGSN 3的鑒權(quán)及加密 請求消息�,獲得第一加密密鑰Kcl及加密算法信息并存儲��,以及隨機數(shù)RAND 等信息��,并將第一加密密鑰Kcl從該鑒權(quán)及加密請求消息中去除�����;
鑒權(quán)及加密請求模塊22,用于將該去除第一加密密鑰Kcl的鑒權(quán)及加密請 求消息發(fā)送給接入該基站子系統(tǒng)的用戶設(shè)備1;
鑒權(quán)及加密響應(yīng)接收模塊24��,用于接收來自用戶設(shè)備1的經(jīng)加密的鑒權(quán)及 加密響應(yīng)消息�;
解密模塊26,用于利用存儲的第一加密密鑰Kcl經(jīng)該存儲的加密算法對該 經(jīng)加密的鑒權(quán)及加密響應(yīng)消息進4于解密��;
發(fā)送模塊28,將解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN,以使
13SGSN根據(jù)該鑒權(quán)及加密響應(yīng)消息對該用戶i殳備進行鑒沖又����。 用戶設(shè)備l可進一步包括
鑒權(quán)及加密請求消息接收模塊10,用于接收來自基站子系統(tǒng)的鑒權(quán)及加密 請求消息�,獲得隨機數(shù)RAND、密鑰序列號CKSN及加密算法信息���;
鑒權(quán)及加密響應(yīng)消息生成模塊12����,用于根據(jù)鑒權(quán)及加密請求消息中的信息����, 進行處理生成鑒權(quán)及加密響應(yīng)消息,具體地��,根據(jù)該隨機數(shù)RAND通過計算生 成第二鑒權(quán)響應(yīng)值SRES2,將該第二鑒權(quán)響應(yīng)值攜帶在所述鑒權(quán)及加密響應(yīng)消 息中�����;
加密模塊14�����,根據(jù)該隨機數(shù)RAND與用戶設(shè)備的SIM卡中的Ki (Key identifier,密碼標識)經(jīng)過計算得到第二加密密鑰Kc2,以該第二加密密鑰Kc2 以及獲得的加密算法,對鑒權(quán)及加密響應(yīng)消息進行加密處理���;
鑒權(quán)及加密響應(yīng)消息發(fā)送模塊16���,將經(jīng)加密模塊14加密后的鑒權(quán)及加密響 應(yīng)消息發(fā)送給基站子系統(tǒng)2。
對于本系統(tǒng)中的更多細節(jié)��,可以結(jié)合后述對方法實施例的描述�。
如圖7所示,是本發(fā)明對用戶設(shè)備鑒權(quán)的方法的一個實施例結(jié)構(gòu)示意圖�。 在本發(fā)明的實施例中,該方法流程具體包括
步驟S70,分組域網(wǎng)絡(luò)的SGSN通過配置或其他方式知道要通過elu-PS接 口向基站子系統(tǒng)BSS發(fā)送鑒權(quán)及加密請求消息���,則從該用戶設(shè)備的歸屬位置寄 存器(HLR)或者該用戶設(shè)備注冊的鑒權(quán)中心(AUC)中獲取鑒權(quán)向量信息及 加密算法信息�,生成鑒權(quán)及加密請求消息并發(fā)送給基站子系統(tǒng)���;
具體地,所述鑒權(quán)向量信息為2G網(wǎng)絡(luò)的鑒權(quán)三元組���,包括第一加密密鑰 Kcl���、隨機數(shù)RAND以及第一鑒權(quán)響應(yīng)值SRES1��。此時需要將第一加密密鑰Kcl�、 隨機數(shù)RAND以及加密算法攜帶在鑒權(quán)及加密請求消息中���,例如�����,在一種實施 方式中���,可以將第一加密密鑰Kcl填寫在鑒權(quán)及加密請求消息的AUTN (鑒權(quán) 令牌)參數(shù)中。
或者�,所述鑒權(quán)向量信息為3G網(wǎng)絡(luò)的鑒權(quán)五元組,包括隨^L數(shù)RAND����、期 望響應(yīng)XRES、加密密鑰CK�、完整性密鑰IK以及鑒權(quán)令牌AUTN。此時需要 首先將加密密鑰CK和完整性密鑰IK轉(zhuǎn)化成2G網(wǎng)絡(luò)鑒權(quán)三元組中的第一加密 密鑰Kcl;并將第一加密密鑰Kcl�����、隨機數(shù)RAND以及加密算法攜帶在鑒權(quán)及 加密請求消息中��。可以理解的是��,如果獲得的是下一代的系統(tǒng)演進架構(gòu)的鑒權(quán)向量����,也可以 通過轉(zhuǎn)化成第一加密密鑰Kcl的方式來生成鑒權(quán)及加密請求消息。
步驟S71�����,基站子系統(tǒng)接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求消 息�����,獲得第一加密密鑰Kcl及加密算法信息并存儲����;并將第一加密密鑰Kcl從 鑒權(quán)及加密請求消息中去除,將該去除第一加密密鑰Kcl的鑒權(quán)及加密請求消 息發(fā)送給接入該基站子系統(tǒng)的用戶設(shè)備����;
步驟S72,用戶設(shè)備根據(jù)鑒權(quán)及加密請求消息中的隨機數(shù)RAND生成第二 鑒權(quán)響應(yīng)值SRES2,將該第二鑒權(quán)響應(yīng)值SRES2攜帶在生成的鑒權(quán)及加密響應(yīng) 消息中;利用該隨^U數(shù)RAND和SIM卡中的密碼標識Ki經(jīng)過計算得到第二加 密密鑰Kc,利用該第二加密密鑰Kc經(jīng)加密算法對該鑒權(quán)及加密響應(yīng)消息進行 加密處理��,并發(fā)送癥合基站子系統(tǒng)����;
步驟S73,基站子系統(tǒng)接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息���, 利用步驟S71中存儲的第一加密密鑰Kcl經(jīng)存儲的加密算法進行解密處理�,將 解密后的鑒權(quán)及力口密響應(yīng)消息發(fā)送給SGSN;
步驟S74, SGSN將鑒權(quán)及加密響應(yīng)消息中所攜帶的第二鑒權(quán)響應(yīng)值SRES2 與SGSN中預(yù)先存儲的第一鑒權(quán)響應(yīng)值SRES1或期望響應(yīng)值XRES進行比較����, 如果相同,則指示對所述用戶設(shè)備的鑒權(quán)成功���;否則指示為鑒權(quán)失敗����。
在鑒權(quán)成功之后�,則用戶設(shè)備與基站子系統(tǒng)之間傳遞的數(shù)據(jù)與信令,均可 以通過上述的第二加密密鑰Kc以及力口密算法進行加密或解密的處理��,以保證數(shù) 據(jù)或信令傳輸?shù)谋C苄浴?br>
本發(fā)明實施例的對用戶設(shè)備鑒權(quán)的系統(tǒng)��、方法及其基站子系統(tǒng)進行了詳細 的說明�,通過改造基站子系統(tǒng),使基站子系統(tǒng)適應(yīng)或處理對用戶設(shè)備的鑒權(quán)及 力口/解密過程,解決了基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面單隧道的系統(tǒng)中 實現(xiàn)對用戶設(shè)備的鑒權(quán)加密問題����。
本發(fā)明實施例中以基站子系統(tǒng)中的BSC為例進行了說明,本領(lǐng)域普通技術(shù) 人員可以理解的是����,基站子系統(tǒng)中可能存在其他能實現(xiàn)所述功能的單元,不影 響本發(fā)明的實質(zhì)�,也應(yīng)落入本發(fā)明的保護范圍。
雖然本發(fā)明的特征和元素在優(yōu)選的實施方式中以特定的結(jié)合進行了描述�,
獨使用,或在與或不與本發(fā)明的其他特征和元素結(jié)合的各種情況下使用���。本發(fā)
15明提供的方法或流程圖可以在由通用計算機或處理器執(zhí)行的計算機程序�����、軟件 或固件中實施�����,其中所述計算機程序����、軟件或固件是以有形的方式包含在計算
機可讀存儲介質(zhì)中的。關(guān)于計算機可讀存儲介質(zhì)的實例包括只讀存儲器(ROM )���、 隨機存取存儲器(RAM)、寄存器���、緩沖存儲器���、半導(dǎo)體存儲設(shè)備、內(nèi)部硬盤和 可移動-茲盤之類的���;茲介質(zhì)����、》茲光介質(zhì)以及CD-ROM石萊片和數(shù)字通用光盤 (DVD)之類的光介質(zhì)��。
以上所述是本發(fā)明的優(yōu)選實施方式����,應(yīng)當指出,對于本技術(shù)領(lǐng)域的普通技 術(shù)人員來說���,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進和潤飾����,這 些改進和潤飾也視為本發(fā)明的保護范圍。
權(quán)利要求
1��、一種對用戶設(shè)備鑒權(quán)的方法����,用于基站子系統(tǒng)接入分組域網(wǎng)絡(luò)的系統(tǒng)中,其特征在于���,所述方法包括接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求消息�,獲得第一加密密鑰Kc1及加密算法信息��,并將第一加密密鑰Kc1從鑒權(quán)及加密請求消息中去除��;將去除第一加密密鑰Kc1后的所述鑒權(quán)及加密請求消息發(fā)送給接入所述基站子系統(tǒng)的用戶設(shè)備��;接收來自所述用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息����,利用所述第一加密密鑰Kc1經(jīng)所述加密算法進行解密處理��;將所述解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN��,以使所述SGSN根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)���。
2、 如權(quán)利要求1所述的對用戶設(shè)備鑒權(quán)的方法����,其特征在于�����,進一步包括 所述鑒權(quán)及加密請求消息由所述SGSN獲取鑒權(quán)向量信息及加密算法信息生成�,其中,所述鑒權(quán)向量信息為鑒權(quán)三元組��,包括第一加密密鑰Kcl���、隨機數(shù) RAND以及第 一鑒權(quán)響應(yīng)值SRES1 ���。
3、 如權(quán)利要求1所述的對用戶設(shè)備鑒權(quán)的方法�,其特征在于��,進一步包括 所述鑒權(quán)及加密請求消息由所述SGSN獲取鑒權(quán)向量信息及加密算法信息生成���,其中,所述鑒權(quán)向量信息為鑒權(quán)五元組���,包括隨機數(shù)RAND�����、期望響應(yīng) XRES�、加密密鑰CK����、完整性密鑰IK以及鑒權(quán)令牌AUTN;且由所述鑒權(quán)五元 組的加密密鑰CK和完整性密鑰IK轉(zhuǎn)化成第一加密密鑰Kcl。
4��、 如權(quán)利要求2或3所述的對用戶設(shè)備鑒權(quán)的方法�����,其特征在于�����,所述用 戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息通過下述步驟獲得用戶設(shè)備獲取所述鑒權(quán)及加密請求消息攜帶的密鑰序列號CKSN、加密算法 以及隨機數(shù)RAND;根據(jù)所述隨機數(shù)RAND計算獲得第二鑒權(quán)響應(yīng)值SRES2�����,攜帶在所述鑒權(quán) 及加密響應(yīng)消息中���,且根據(jù)所述隨機數(shù)與用戶設(shè)備中的SIM卡中的密碼標識Ki計算得到第二加密密鑰Kc2;利用所述第二加密密鑰Kc2經(jīng)所述加密算法對所述鑒權(quán)及加密響應(yīng)消息進 行加密處理�����。
5、 如權(quán)利要求4所述的對用戶設(shè)備鑒權(quán)的方法�����,其特征在于��,所述SGSN 根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)為將所述鑒權(quán)及力口密響應(yīng)消息中所攜帶的第二鑒權(quán)響應(yīng)值SRES2與SGSN中 預(yù)先存儲的第一鑒權(quán)響應(yīng)值SRES1或期望響應(yīng)值XRES進行比較���,如果相同�����, 則指示對所述用戶設(shè)備的鑒權(quán)成功���;否則指示為鑒權(quán)失敗����。
6���、 一種對用戶設(shè)備鑒權(quán)的方法�����,用于基站子系統(tǒng)接入分組域網(wǎng)絡(luò)的系統(tǒng)中����, 其特征在于���,所述方法包括分組域網(wǎng)絡(luò)的SGSN獲取鑒權(quán)向量信息及加密算法信息��,生成鑒權(quán)及加密 請求消息并發(fā)送給基站子系統(tǒng)�,所述鑒權(quán)向量信息至少包含第一加密密鑰Kcl;基站子系統(tǒng)接收來自所述鑒權(quán)及加密請求消息�����,獲得所述第一加密密鑰Kcl 及力。密算法信息并存儲���,并將所述第一加密密鑰Kcl從鑒權(quán)及加密請求消息中 去除��,并將所述去除第一加密密鑰Kcl后的鑒權(quán)及加密請求消息發(fā)送給接入所 述基站子系統(tǒng)的用戶設(shè)備���;用戶設(shè)備依據(jù)所述鑒權(quán)及加密請求消息生成鑒權(quán)及加密響應(yīng)消息,并依據(jù) 所述鑒權(quán)及加密請求消息生成第二加密密鑰Kc2,利用所述第二加密密鑰Kc2 經(jīng)所述加密算法對所述鑒權(quán)及加密響應(yīng)消息進行加密處理后�����,發(fā)送給所述基站 子系統(tǒng);基站子系統(tǒng)接收來自所述用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息,利用 來自所述第一加密密鑰Kcl經(jīng)所述加密算法進行解密處理���,將解密后的鑒權(quán)及 加密響應(yīng)消息發(fā)送給SGSN;所述SGSN根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)���。
7、 如權(quán)利要求6所述的對用戶設(shè)備鑒權(quán)的方法����,其特征在于,所述分組域 網(wǎng)絡(luò)的SGSN獲取鑒權(quán)向量信息及加密算法信息����,生成鑒權(quán)及加密請求消息的 步驟具體為所述SGSN獲取鑒權(quán)三元組及加密算法信息�,其中�,所述鑒權(quán)三元組包括 第一加密密鑰Kcl、隨機數(shù)RAND以及第一鑒權(quán)響應(yīng)值SRES1;將所述第一加密密鑰Kcl�、隨機數(shù)RAND以及加密算法攜帶在鑒權(quán)及加密 請求消息中。
8�����、 如權(quán)利要求6所述的對用戶設(shè)備鑒權(quán)的方法���,其特征在于����,所述分組域 網(wǎng)絡(luò)的SGSN獲取鑒權(quán)向量信息及加密算法信息�����,生成鑒權(quán)及加密請求消息的 步驟具體為所述SGSN獲取鑒權(quán)五元組及加密算法信息��,所述鑒權(quán)五元組包括隨機數(shù) RAND��、期望響應(yīng)XRES��、加密密鑰CK、完整性密鑰IK以及鑒權(quán)令牌AUTN; 將所述鑒權(quán)五元組的加密密鑰CK和完整性密鑰IK轉(zhuǎn)化成第一加密密鑰Kcl;將所述第一加密密鑰Kcl�、隨機數(shù)RAND以及加密算法攜帶在鑒權(quán)及加密 請求消息中。
9��、 如權(quán)利要求7或8所述的對用戶設(shè)備鑒權(quán)的方法���,其特征在于�,所述用戶設(shè)^a居所述鑒權(quán)及加密請求消息生成鑒權(quán)及加密響應(yīng)消息的步驟包括獲取所述鑒權(quán)及加密請求消息攜帶的密鑰序列號CKSN���、加密算法以及隨機 數(shù)RAND;根據(jù)所述隨機數(shù)RAND計算獲得第二鑒權(quán)響應(yīng)值SRES2,攜帶在所述鑒權(quán) 及加密響應(yīng)消息中�����。
10���、 如權(quán)利要求9所述的對用戶設(shè)備鑒權(quán)的方法,其特征在于�����,所述依據(jù) 所述鑒權(quán)及加密請求消息生成第二加密密鑰Kc2具體為根據(jù)所述鑒權(quán)及力��。密請求消息中所攜帶的隨機數(shù)RAND與用戶設(shè)備的SIM 卡中的密碼標識Ki經(jīng)過計算得到所述第二加密密鑰Kc2����。
11、 如權(quán)利要求9所述的對用戶設(shè)備鑒權(quán)的方法�����,其特征在于����,所述SGSN 根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)進一步包括將所述鑒權(quán)及力。密響應(yīng)消息中所攜帶的第二鑒權(quán)響應(yīng)值SRES2與SGSN中預(yù)先存儲的第一鑒權(quán)響應(yīng)值SRES1或期望響應(yīng)值XRES進行比較�,如果相同, 則指示對所述用戶設(shè)備的鑒權(quán)成功�;否則指示為對所述用戶設(shè)備的鑒權(quán)失敗。
12�����、 一種基站子系統(tǒng)�����,用于在接入分組域網(wǎng)絡(luò)時對用戶設(shè)備進行鑒權(quán)�����,其 特征在于,包括請求消息接收模塊����,用于接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求 消息,獲得第一加密密鑰Kcl及加密算法信息�����,并將第一加密密鑰Kcl從鑒權(quán) 及加密請求消息中去除����;鑒權(quán)及加密請求模塊,用于將所述去除第一加密密鑰Kcl的鑒權(quán)及加密請 求消息發(fā)送給接入所述基站子系統(tǒng)的用戶設(shè)備�;鑒權(quán)及加密響應(yīng)接收模塊,用于接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密 響應(yīng)消息���;解密^^莫塊�����,用于利用所述第一加密密鑰Kcl經(jīng)所述加密算法對所述經(jīng)加密 的鑒權(quán)及加密響應(yīng)消息進行解密��;發(fā)送模塊����,將所述解密后的鑒權(quán)及力n密響應(yīng)消息發(fā)送給所述SGSN��,以使所 述SGSN根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)��。
13�����、 如權(quán)利要求12所述的基站子系統(tǒng)�����,其特征在于��,所述收到來自SGSN 的鑒權(quán)及加密請求消息中至少包括加密算法信息����、第一加密密鑰Kcl以及隨機 數(shù)RAND。
14�、 一種對用戶設(shè)備鑒權(quán)的系統(tǒng),包括通過增強的分組域網(wǎng)絡(luò)Iu接口相耦 接的基站子系統(tǒng)和SGSN�����,以及接入所述基站子系統(tǒng)的用戶設(shè)備����,其特征在于��, 其中���,SGSN,用于生成鑒權(quán)及加密請求消息并發(fā)送給基站子系統(tǒng)�����;且用于接收來 自基站子系統(tǒng)的鑒權(quán)及加密響應(yīng)消息��,并根據(jù)所述鑒權(quán)及加密響應(yīng)消息對接入 所述基站子系統(tǒng)的用戶設(shè)備進行鑒權(quán)����;基站子系統(tǒng),用于將所述來自SGSN的鑒權(quán)及加密請求消息去除第一加密 密鑰后發(fā)送給用戶設(shè)備��;并用于接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng) 消息����,以所述第一加密密鑰Kcl經(jīng)加密算法進行解密,并將所述解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN;用戶設(shè)備��,用于根據(jù)接收的所述鑒權(quán)及加密請求消息生成所述鑒權(quán)及加密 響應(yīng)消息并進行加密���,發(fā)送給基站子系統(tǒng)���。
15、 如權(quán)利要求14所述的對用戶設(shè)備鑒權(quán)的系統(tǒng)��,其特征在于�,所述基站 子系統(tǒng),進一步包括請求消息接收模塊����,用于接收來自分組域網(wǎng)絡(luò)的SGSN的鑒權(quán)及加密請求 消息,獲得第一加密密鑰Kcl及加密算法信息�����,并將第一加密密鑰Kcl從鑒權(quán) 及加密請求消息中去除�����;鑒權(quán)及加密請求模塊�����,用于將所述去除第一加密密鑰Kcl后的鑒權(quán)及加密 請求消息發(fā)送給接入所述基站子系統(tǒng)的用戶設(shè)備�����;鑒權(quán)及加密響應(yīng)接收模塊,用于接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密 響應(yīng)消息�;解密^t塊,用于利用所述第一加密密鑰Kcl經(jīng)所述加密算法對所述經(jīng)加密 的鑒權(quán)及加密響應(yīng)消息進行解密�;發(fā)送模塊,將所述解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN,以使所 述SGSN根據(jù)所述鑒權(quán)及加密響應(yīng)消息對所述用戶設(shè)備進行鑒權(quán)�����。
16�、 如權(quán)利要求14所述的對用戶設(shè)備鑒權(quán)的系統(tǒng),其特征在于�,所述SGSN 進一步包括鑒權(quán)及加密請求消息生成模塊,用于根據(jù)獲得的認證向量信息及加密算法 信息���,生成對于所述用戶設(shè)備的鑒權(quán)及加密請求消息��;所述認證向量信息包括 鑒權(quán)三元組信息�����,或者由鑒外又五元組中的加密密鑰CK和完整性密鑰IK轉(zhuǎn)化而 來的第一加密密鑰Kcl;鑒權(quán)及加密響應(yīng)消息接收模塊�,用于接收來自基站子系統(tǒng)的鑒權(quán)及加密響 應(yīng)消息;鑒權(quán)模塊����,用于將鑒權(quán)及加密響應(yīng)消息中的第二鑒權(quán)響應(yīng)值SRES2與SGSN 中預(yù)先存儲的第一鑒權(quán)響應(yīng)值SRES1或期望響應(yīng)XRES進行比較,確定對所述 用戶設(shè)備是否鑒權(quán)成功���。
17���、如權(quán)利要求15或16所述的對用戶設(shè)備鑒權(quán)的系統(tǒng)���,其特征在于��,所 述用戶設(shè)備進一步包括鑒權(quán)及加密請求消息接收模塊���,用于接收來自基站子系統(tǒng)的鑒權(quán)及加密請 求消息,獲取攜帶的密鑰序列號CKSN�����、加密算法以及隨機數(shù)RAND;鑒權(quán)及加密響應(yīng)消息生成模塊�����,用于根據(jù)所述隨機數(shù)RAND計算獲得第二 鑒權(quán)響應(yīng)值SRES2,攜帶在鑒權(quán)及加密響應(yīng)消息��;加密才莫塊�����,根據(jù)所述隨機數(shù)RAND以及SIM卡中的密碼標識Ki生成第二 加密密鑰Kc2���,以所述第二加密密鑰Kc2經(jīng)所述加密算法���,對鑒權(quán)及加密響應(yīng) 消息進行加密處理;鑒權(quán)及加密響應(yīng)消息發(fā)送模塊���,用于將所述加密后的鑒權(quán)及加密響應(yīng)消息 發(fā)送給基站子系統(tǒng)�����。
全文摘要
本發(fā)明的實施例公開了一種對用戶設(shè)備鑒權(quán)的方法��,用于基站子系統(tǒng)接入分組域網(wǎng)絡(luò)的系統(tǒng)中�����,包括接收來自SGSN的鑒權(quán)及加密請求消息�,獲得第一加密密鑰Kc1及加密算法信息;將鑒權(quán)及加密請求消息發(fā)送給接入所述基站子系統(tǒng)的用戶設(shè)備�;接收來自用戶設(shè)備的經(jīng)加密的鑒權(quán)及加密響應(yīng)消息,利用第一加密密鑰Kc1經(jīng)加密算法進行解密處理�����;將解密后的鑒權(quán)及加密響應(yīng)消息發(fā)送給所述SGSN�����,以使SGSN根據(jù)該鑒權(quán)及加密響應(yīng)消息對該用戶設(shè)備進行鑒權(quán)��。實施本發(fā)明實施例�����,可以解決基站子系統(tǒng)BSS與分組域網(wǎng)絡(luò)建立用戶面單隧道的系統(tǒng)中實現(xiàn)對用戶設(shè)備的鑒權(quán)加密問題���。
文檔編號H04W12/00GK101588579SQ200810189759
公開日2009年11月25日 申請日期2008年12月31日 優(yōu)先權(quán)日2008年5月20日
發(fā)明者劉建軍, 馬新友 申請人:華為技術(shù)有限公司