本申請(qǐng)涉及通信系統(tǒng)中的鑒權(quán)技術(shù)，特別涉及一種故障弱化狀態(tài)下的用戶(hù)鑒權(quán)方法。

背景技術(shù)：

目前基于LTE的集群通信架構(gòu)中，由于各種原因可能導(dǎo)致基站與核心網(wǎng)間連接中斷，這種狀態(tài)稱(chēng)為故障弱化狀態(tài)。由于故障弱化狀態(tài)下，基站與核心網(wǎng)間無(wú)法通信，因此沒(méi)有對(duì)用戶(hù)進(jìn)行雙向鑒權(quán)，空口的信令和數(shù)據(jù)也沒(méi)有加密，存在不安全的隱患。

針對(duì)故障弱化狀態(tài)下無(wú)法對(duì)用戶(hù)進(jìn)行雙向鑒權(quán)的問(wèn)題，有些解決方案是在基站中保存特定用戶(hù)的簽約數(shù)據(jù)：一種方式是靜態(tài)配置一些用戶(hù)，在弱化時(shí)只允許這些用戶(hù)訪(fǎng)問(wèn)；另一種方式是基站在網(wǎng)絡(luò)正常時(shí)對(duì)服務(wù)的終端從正常核心網(wǎng)的HSS獲取它的簽約數(shù)據(jù)，包括鑒權(quán)密鑰，在基站緩存。

但是上述兩種解決故障弱化狀態(tài)下用戶(hù)雙向鑒權(quán)問(wèn)題的方式都存在相應(yīng)的問(wèn)題：1)在基站中保存特定用戶(hù)的簽約數(shù)據(jù)屬于靜態(tài)配置方式，這種方式下，由于基站容量有限，只能保存少量用戶(hù)，而且維護(hù)復(fù)雜、麻煩；2)在網(wǎng)絡(luò)正常時(shí)獲取HSS中的用戶(hù)簽約數(shù)據(jù)屬于動(dòng)態(tài)獲取方式，這種方式網(wǎng)絡(luò)交互復(fù)雜，而且會(huì)破壞原來(lái)3GPP的安全架構(gòu)，USIM卡中鑒權(quán)密鑰K會(huì)離開(kāi)鑒權(quán)中心，有泄露的風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┮环N故障弱化狀態(tài)下的用戶(hù)鑒權(quán)方法，能夠簡(jiǎn)單、方便地實(shí)現(xiàn)鑒權(quán)，同時(shí)保障系統(tǒng)的安全性。

為實(shí)現(xiàn)上述目的，本申請(qǐng)采用如下的技術(shù)方案：

一種故障弱化狀態(tài)下的用戶(hù)鑒權(quán)方法，包括：

基站接收OMC配置給自身的故障弱化狀態(tài)下對(duì)所有終端統(tǒng)一的鑒權(quán)密鑰K_AUTH，并加密保存在所述基站中；

終端接收所述OMC發(fā)來(lái)的配置給所述基站的K_AUTH，將其作為軟SIM卡的K值進(jìn)行加密保存；

在故障弱化狀態(tài)下，基站和終端之間利用保存的K_AUTH進(jìn)行雙向鑒權(quán)。

較佳地，所述終端接收所述OMC發(fā)來(lái)的所述K_AUTH包括：所述OMC通過(guò)OTA方式下發(fā)所述K_AUTH，所述終端接收OMC中的OTA密鑰服務(wù)器發(fā)來(lái)的所述K_AUTH。

較佳地，所述OMC通過(guò)OTA方式下發(fā)所述K_AUTH包括：

所述終端登錄所述OMC中的OTA密鑰服務(wù)器，所述OTA密鑰服務(wù)器對(duì)所述終端進(jìn)行合法性驗(yàn)證通過(guò)后，利用OTA通道向所述終端下發(fā)所述K_AUTH。

較佳地，所述基站和終端之間利用所述K_AUTH進(jìn)行雙向鑒權(quán)包括：

在所述故障弱化狀態(tài)下，所述基站啟用所述K_AUTH，并在所述基站內(nèi)嵌核心網(wǎng)的HSS模塊內(nèi)僅啟用鑒權(quán)功能，對(duì)每個(gè)從所述內(nèi)嵌核心網(wǎng)MME模塊發(fā)來(lái)的鑒權(quán)請(qǐng)求，不檢測(cè)IMSI是否開(kāi)卡，都為其計(jì)算鑒權(quán)向量，所述HSS模塊不維護(hù)所述終端的安全上下文，為所有終端公用統(tǒng)一的SQN，并在每次鑒權(quán)之后將所述SQN加1；其中，計(jì)算鑒權(quán)向量時(shí)AMF取16進(jìn)制數(shù)8000，RAND在每次鑒權(quán)時(shí)申請(qǐng)重新生成，OP取全零，SQN初始值取0；

所述終端在故障單站模式下啟用所述K_AUTH，將其作為軟SIM卡的K值進(jìn)行密鑰推導(dǎo)和鑒權(quán)處理，在所述鑒權(quán)處理過(guò)程中，不對(duì)所述SQN的范圍合法性進(jìn)行校驗(yàn)，不進(jìn)行重鑒權(quán)過(guò)程；其中，進(jìn)行鑒權(quán)時(shí)OP取全零。

較佳地，當(dāng)所述K_AUTH進(jìn)行更新時(shí)，所述OMC為所述基站配置更新后的K_AUTH，所述OMC中的OTA密鑰服務(wù)器通過(guò)PUSH方式通知終端，終端通過(guò)OTA方式獲取。

較佳地，在故障弱化狀態(tài)下，基站和終端之間完成鑒權(quán)和密鑰協(xié)商過(guò)程后，建立各自的安全上下文，進(jìn)行空口NAS、RRC信令的加密和完整性保護(hù)，完成空口用戶(hù)面的加密。

由上述技術(shù)方案可見(jiàn)，本申請(qǐng)中，OMC為基站配置故障弱化狀態(tài)下對(duì)所有終端統(tǒng)一的鑒權(quán)密鑰K_AUTH，并加密保存在基站中；該OMC也將配置給基站的K_AUTH發(fā)送給終端，終端將其作為軟SIM卡的K值進(jìn)行加密保存；在故障弱化狀態(tài)下，基站和終端之間利用保存的K_AUTH進(jìn)行雙向鑒權(quán)。通過(guò)上述方式，OMC為基站配置鑒權(quán)密鑰K_AUTH，基站對(duì)所有終端采用統(tǒng)一的K_AUTH進(jìn)行鑒權(quán)，一方面可以簡(jiǎn)單方便地實(shí)現(xiàn)雙向鑒權(quán)，另一方面由于不需要獲取HSS中的鑒權(quán)密鑰，而保障了系統(tǒng)的安全性。

附圖說(shuō)明

圖1為本申請(qǐng)中用戶(hù)鑒權(quán)方法的基本流程示意圖；

圖2為終端和網(wǎng)絡(luò)側(cè)計(jì)算鑒權(quán)相關(guān)參數(shù)的簡(jiǎn)化過(guò)程；

圖3為基站內(nèi)鑒權(quán)向量的計(jì)算過(guò)程示意圖；

圖4為終端內(nèi)鑒權(quán)向量的計(jì)算過(guò)程示意圖。

具體實(shí)施方式

為了使本申請(qǐng)的目的、技術(shù)手段和優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖對(duì)本申請(qǐng)做進(jìn)一步詳細(xì)說(shuō)明。

為了在故障弱化狀態(tài)下支持鑒權(quán)和空口加密，就需要終端和弱化的基站擁有鑒權(quán)密鑰。但是由于基站與核心網(wǎng)間的連接已中斷，因此基站不能再使用核心網(wǎng)的HSS進(jìn)行用戶(hù)的鑒權(quán)?；诖耍旧暾?qǐng)中為所有終端統(tǒng)一配置一個(gè)鑒權(quán)密鑰，與基站設(shè)置的鑒權(quán)密鑰在基站處于故障弱化狀態(tài)時(shí)，以該鑒權(quán)密鑰完成雙向鑒權(quán)過(guò)程，并建立安全上下文，進(jìn)行空口信令和數(shù)據(jù)的加密。若沒(méi)有獲得該鑒權(quán)密鑰的終端，在故障弱化下無(wú)法接入基站，不能獲得網(wǎng)絡(luò)的服務(wù)。統(tǒng)一配置的鑒權(quán)密鑰長(zhǎng)度為128bit，和用戶(hù)開(kāi)卡時(shí)的USIM卡內(nèi)存儲(chǔ)的K值長(zhǎng)度一致。

下面對(duì)本申請(qǐng)中的用戶(hù)鑒權(quán)方法進(jìn)行詳細(xì)描述。圖1為本申請(qǐng)中用戶(hù)鑒權(quán)方法的基本流程示意圖。如圖1所示，該方法包括：

步驟101，基站接收OMC配置給自身的故障弱化狀態(tài)下對(duì)所有終端統(tǒng)一的鑒權(quán)密鑰K_AUTH，并加密保存在基站中。

其中，系統(tǒng)中的OMC為基站配置鑒權(quán)密鑰K_AUTH，且對(duì)所有終端共用該密鑰K_AUTH。具體地，鑒權(quán)密鑰K_AUTH由OMC對(duì)基站內(nèi)的內(nèi)置核心網(wǎng)進(jìn)行統(tǒng)一的配置，鑒權(quán)密鑰在內(nèi)置核心網(wǎng)進(jìn)行加密存儲(chǔ)。

步驟102，終端接收OMC發(fā)來(lái)的配置給基站的K_AUTH，將其作為軟SIM卡的K值進(jìn)行加密保存。

其中，OMC將配置給基站的K_AUTH下發(fā)給終端。優(yōu)選地，為保證安全性，采用OTA的方式下發(fā)。具體地，終端登錄OMC中的OTA密鑰服務(wù)器，OTA密鑰服務(wù)器對(duì)終端進(jìn)行合法性驗(yàn)證，并在驗(yàn)證通過(guò)后，利用OTA通道向終端下發(fā)K_AUTH。這里，K_AUTH下發(fā)的傳輸安全性由OTA通道的HTTPS協(xié)議的安全性保證。終端收到密鑰K_AUTH后，將其作為軟SIM卡的K值加密保存，在故障弱化時(shí)激活使用。

步驟103，在故障弱化狀態(tài)下，基站和終端之間利用保存的K_AUTH進(jìn)行雙向鑒權(quán)。

當(dāng)終端處于故障單站模式下，終端啟用KAUTH，把它作為軟SIM卡的K值進(jìn)行鑒權(quán)流程和密鑰推導(dǎo)。網(wǎng)絡(luò)側(cè)也是一樣，只不過(guò)每個(gè)用戶(hù)的K值都相同。終端和網(wǎng)絡(luò)側(cè)計(jì)算鑒權(quán)相關(guān)參數(shù)的簡(jiǎn)化過(guò)程如圖2所示。

在終端和基站激活K_AUTH進(jìn)行雙向鑒權(quán)的過(guò)程中，基站內(nèi)置HSS認(rèn)證中心采用統(tǒng)一的SQN值，并在每次鑒權(quán)后加1；終端在鑒權(quán)過(guò)程中不對(duì)SQN值的范圍進(jìn)行校驗(yàn)，避免反復(fù)的SQN同步帶來(lái)的重鑒權(quán)權(quán)問(wèn)題。

具體地，基站和終端間進(jìn)行的雙向鑒權(quán)包括：

1)在基站內(nèi)嵌核心網(wǎng)的HSS模塊內(nèi)，只啟用鑒權(quán)功能?；緝?nèi)嵌核心網(wǎng)的MME模塊和HSS模塊之間需要進(jìn)行鑒權(quán)流程。由于HSS模塊內(nèi)沒(méi)有保存任何用戶(hù)的開(kāi)卡開(kāi)戶(hù)信息，對(duì)每一個(gè)從MME模塊發(fā)過(guò)來(lái)的鑒權(quán)請(qǐng)求，不檢查IMSI是否開(kāi)卡，都為其計(jì)算鑒權(quán)向量。具體鑒權(quán)向量的計(jì)算過(guò)程和3GPP標(biāo)準(zhǔn)一致，如圖3所示。其中，各參數(shù)取值如下：

AMF：取8000(16進(jìn)制)；

RAND：隨機(jī)數(shù)，每一鑒權(quán)申請(qǐng)重新生成；

OP：取全零，終端的OP值也需取全零進(jìn)行計(jì)算；

SQN：初始值取0。

基站中內(nèi)嵌核心網(wǎng)的HSS模塊不維護(hù)每個(gè)用戶(hù)的安全上下文，沒(méi)有單個(gè)用戶(hù)專(zhuān)用的SQN值，終端公用的SQN在每次鑒權(quán)之后加1。

2)當(dāng)終端處于故障單站模式下，終端啟用K_AUTH，把它作為軟SIM卡的K值進(jìn)行鑒權(quán)流程和密鑰推導(dǎo)。具體鑒權(quán)向量的計(jì)算過(guò)程如圖4所示。其中，終端在故障弱化模式下，OP值取全零，不對(duì)SQN的范圍合法性進(jìn)行校驗(yàn)，沒(méi)有重鑒權(quán)過(guò)程。鑒權(quán)通過(guò)后，加密算法的配置和協(xié)商與正常網(wǎng)絡(luò)一致。

至此，本申請(qǐng)中的用戶(hù)鑒權(quán)方法流程結(jié)束。

終端和弱化基站的鑒權(quán)和密鑰協(xié)商過(guò)程完成之后，優(yōu)選地，還可以進(jìn)一步建立起各自的安全上下文，完成空口NAS、RRC信令的加密和完整性保護(hù)，完成空口用戶(hù)面的加密，保證通信的安全性。

另外，在故障弱化狀態(tài)下，還可能發(fā)生K_AUTH的更新。當(dāng)K_AUTH更新時(shí)，OMC中的OTA密鑰服務(wù)器需要通過(guò)PUSH方式通知終端，終端再通過(guò)OTA的方式獲取更新后的K_AUTH；OMC也需要為基站及時(shí)配置更新后的K_AUTH，保證故障弱化發(fā)生時(shí)，終端和基站之間的雙向認(rèn)證能夠順利完成。

上述即為本申請(qǐng)中故障弱化狀態(tài)下的用戶(hù)鑒權(quán)方法，通過(guò)該方法，可以彌補(bǔ)故障弱化下終端和基站無(wú)法鑒權(quán)的問(wèn)題，保證終端和基站通信的安全性；同時(shí)，在弱化基站內(nèi)無(wú)需為每個(gè)用戶(hù)配置簽約數(shù)據(jù)，也無(wú)需從正常核心網(wǎng)的HSS獲取該基站所服務(wù)的終端的簽約數(shù)據(jù)，而是采用公共的鑒權(quán)密鑰完成鑒權(quán)過(guò)程，簡(jiǎn)化了系統(tǒng)的復(fù)雜度，保證系統(tǒng)的安全性。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。