專利名稱:鑒權(quán)方法、通信裝置和通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域:
,尤其涉及鑒權(quán)方法、通信裝置和通信系統(tǒng)。
背景技術(shù):
隨著移動系統(tǒng)的覆蓋范圍越來越大,用戶接入系統(tǒng)的數(shù)目逐漸增多,服務(wù)提供商提供的服務(wù)多元化發(fā)展,使得網(wǎng)絡(luò)的復(fù)雜程度不斷提高,如何保證網(wǎng)絡(luò)和業(yè)務(wù)信息的安全是一個當前迫切需要解決的問題。
在移動通信系統(tǒng)中,為了保證運營業(yè)務(wù)的安全性,網(wǎng)絡(luò)側(cè)需要對接入的用戶設(shè)備(User Equipment, UE)進行鑒權(quán)處理,使得非法UE無法得到網(wǎng)絡(luò)側(cè)提供的服務(wù),保障運營商的利益;同時,UE也需要驗證網(wǎng)絡(luò)側(cè)發(fā)送的鑒權(quán)信息是否有效,即UE對網(wǎng)絡(luò)側(cè)進行鑒權(quán) 處理,防止非法網(wǎng)絡(luò)側(cè)利用合法網(wǎng)絡(luò)側(cè)已經(jīng)使用過的鑒權(quán)信息對UE進行重放攻擊,使UE相信該非法網(wǎng)絡(luò)側(cè)合法。
現(xiàn)有長期演進(Long Term Evolved, LTE)網(wǎng)絡(luò)系統(tǒng)中,UE和演進的基站(E-UTRANNode B, eNB)之間的空口鏈路是單跳的,采用演進的分組系統(tǒng)(Evolved Packet System,EPS)認證和密鑰協(xié)商(Authentication and KeyAgreement, AKA)協(xié)議來完成用戶和網(wǎng)絡(luò)側(cè)的鑒權(quán)過程,即包括身份認證和密鑰協(xié)商的處理,其實現(xiàn)的基礎(chǔ)是用戶和網(wǎng)絡(luò)側(cè)預(yù)共享一個永久性對稱密鑰。整個鑒權(quán)過程包含在一個鑒權(quán)處理中進行,并且采用鑒權(quán)元組的方式來進行認證,鑒權(quán)元組包括包括隨機數(shù)(RAND)、期望響應(yīng)(Expected userResponse,XRES)、密鑰(Kasme)和鑒權(quán)令牌(Authentication token, AUTN),其中,密鑰是由加密密鑰(Cipher Key, CK)和完整性密鑰(Integrity Key, IK)共同派生的;其中,AUTN進一步包括鑒權(quán)序列號(Sequence Number, SQN)、鑒權(quán)管理域(Authentication Management Field,AMF)和消息鑒權(quán)編碼(Message Authentication Code, MAC)三個部分。
引入中繼站(Relay Station, RS)后,LTE系統(tǒng)中UE和eNB之間的空口鏈路被分段,包括UE和RS之間的接入鏈路,以及RS和eNB之間的中繼鏈路。RS的網(wǎng)絡(luò)接入過程中,可以將RS看作為UE進行網(wǎng)絡(luò)接入,即RS采用與傳統(tǒng)UE相同的鑒權(quán)過程,具體接入過程參見圖1,RS接入過程中的鑒權(quán)處理流程為
步驟101 RS 向移動性管理實體(Mobility Management Entity, MME)發(fā)送認證請求,該消息中攜帶了 RS的國際移動用戶標識(International MobileSubscriberIdentity,頂SI)、RS的能力(即所支持的加密和完整性保護算法)、以及派生密鑰(Kasme)所對應(yīng)的密鑰標識符(KSIasme)等內(nèi)容;
步驟102 MME向歸屬用戶服務(wù)器(Home Subscriber Server, HSS)轉(zhuǎn)發(fā)RS的認證請求,該消息中攜帶了 RS的身份標識MSI、服務(wù)網(wǎng)絡(luò)標識等內(nèi)容,HSS根據(jù)RS的IMSI找到該用戶對應(yīng)的共享密鑰K,并隨機產(chǎn)生一個RAND,然后根據(jù)RAND、自身當前保存的鑒權(quán)SQN、RS和HSS共享密鑰K及其它信息生成該RS對應(yīng)的認證向量(Authentication Vector,AV),其中 AV 包括 RAND、XRES、Kasme 和 AUTN ;
步驟103 HSS向MME返回認證響應(yīng),該消息中攜帶了該用戶的認證向量AV,以及密鑰Kasme所對應(yīng)的密鑰標識符KSIasme等內(nèi)容,MME將收到的該RS的認證向量進行保存;
步驟104 MME向RS發(fā)送RS認證請求,該消息中攜帶了該RS認證向量中對應(yīng)的RAND和AUTN,以及密鑰Kasme所對應(yīng)的密鑰標識符KSIasme等內(nèi)容;
步驟105 RS根據(jù)收到的RAND和AUTN,進行校驗,包括根據(jù)RAND、AUTN中的SQN和與網(wǎng)絡(luò)側(cè)共享的密鑰K共同計算出一個MAC值,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致,如果一致,則RS對網(wǎng)絡(luò)側(cè)的鑒權(quán)通過,則利用RAND和與網(wǎng)絡(luò)側(cè)共享的密鑰K共同計算出一個響應(yīng)(Response, RES)發(fā)送給MME ;
步驟106 =MME比較從RS接收到的RES與本地存貯該用戶AV中的XRES是否一致,
如果一致,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過,則MME根據(jù)密鑰Kasme進一步派生出空口密鑰K6NB,并通過安全模式命令(Security Mode Command, SMC)將該空口密鑰以及RS所支持的加密和完整性保護算法下發(fā)給eNB ;
步驟107 :eNB根據(jù)收到的RS所支持的加密和完整性保護算法,以及自身支持的加密和完整性保護算法,確定空口用戶面和控制面的加密和完整性保護密鑰的算法,并將選定的算法通過SMC下發(fā)給RS,此時,RS和eNB可以各自利用空口密鑰K6nb通過選定的密鑰算法進一步派生出用戶空口加密和完整性保護的密鑰。
在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)上述技術(shù)方案至少存在如下缺陷
接入網(wǎng)和核心網(wǎng)分屬于不同的網(wǎng)絡(luò)運營商,隨著不同接入技術(shù)的不斷出現(xiàn),核心網(wǎng)運營商不希望由于接入網(wǎng)的變化而導(dǎo)致核心網(wǎng)的頻繁變動。然而,在現(xiàn)有技術(shù)中,在引入RS后的LTE系統(tǒng)中,RS的鑒權(quán)過程必然需要對核心網(wǎng)的HSS進行相應(yīng)的修改,即增加HSS對RS的安全上下文信息的存貯。
發(fā)明內(nèi)容
本發(fā)明實施例提供鑒權(quán)方法、通信裝置和通信系統(tǒng),能夠避免接入網(wǎng)引入RS后對核心網(wǎng)的改動。
為解決上述問題,本發(fā)明實施例是通過以下技術(shù)方案來實現(xiàn)的
一種鑒權(quán)方法,包括
第一設(shè)備接收中繼站發(fā)送的認證請求,認證請求包含中繼站身份標識;
第一設(shè)備獲取認證向量,向中繼站發(fā)送認證向量,指示中繼站對認證向量進行認證,認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與中繼站身份標識對應(yīng);
第一設(shè)備接收中繼站對認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,當認證通過時,派生空口密鑰。
一種通信裝置,包括
請求接收單元,用于接收中繼站發(fā)送的認證請求,認證請求包含中繼站身份標識;
獲取單元,用于獲取認證向量,認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與中繼站身份標識對應(yīng);
認證向量發(fā)送單元,用于向中繼站發(fā)送獲取單元獲取的認證向量,指示中繼站對認證向量進行認證;
響應(yīng)值接收單元,用于接收中繼站對認證向量發(fā)送單元發(fā)送的認證向量認證通過后發(fā)送的響應(yīng)值;
認證單元,用于對響應(yīng)值接收單元接收的響應(yīng)值進行認證;空口密鑰派生單元,用于在認證單元對所述響應(yīng)值認證通過時,派生空口密鑰。
一種通信系統(tǒng),包括
中繼站,用于向第一設(shè)備發(fā)送認證請求,上述認證請求包含中繼站身份標識,接收第一設(shè)備發(fā)送的認證向量,對上述認證向量進行認證,認證通過后生成響應(yīng)值,向第一設(shè)備發(fā)送所述響應(yīng)值;
第一設(shè)備,用于接收中繼站發(fā)送的認證請求,上述認證請求包含中繼站的身份標識,獲取認證向量,向中繼站發(fā)送上述認證向量,接收中繼站對上述認證向量認證通過后發(fā)送的上述響應(yīng)值,對上述響應(yīng)值進行認證,當認證通過時,派生空口密鑰;
獨立于核心網(wǎng)的第二設(shè)備,用于生成認證向量,上述認證向量與上述中繼站身份標識對應(yīng)。
可見,由于本發(fā)明實施例接入網(wǎng)側(cè)接收RS發(fā)送的認證請求,生成認證向量并發(fā)送給RS,接收RS對認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,認證通過后派生空口密鑰,完成對RS的鑒權(quán)。在接入網(wǎng)側(cè)引入一個網(wǎng)絡(luò)邏輯實體,由接入網(wǎng)側(cè)的邏輯實體與中繼站共享了共享密鑰,由接入網(wǎng)側(cè)完成對RS的身份認證及密鑰派生,從而完成中繼站的網(wǎng)絡(luò)安全接入,因此中繼站的網(wǎng)絡(luò)安全接入不需要對核心網(wǎng)進行改動就可以實現(xiàn),使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
圖I是現(xiàn)有技術(shù)中繼站接入鑒權(quán)的信令圖;
圖2是實現(xiàn)本發(fā)明實施例一的方法的流程圖;
圖3是實現(xiàn)本發(fā)明實施例二的方法的信令圖;
圖4是實現(xiàn)本發(fā)明實施例三的方法的信令圖;
圖5是實現(xiàn)本發(fā)明實施例四的方法的信令圖;
圖6是實現(xiàn)本發(fā)明實施例通信裝置的示意圖;
圖7是實現(xiàn)本發(fā)明實施例通信系統(tǒng)的組成框圖。
具體實施方式
本發(fā)明實施例提供鑒權(quán)方法、通信裝置和通信系統(tǒng),能夠避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動。
RS是一種接入網(wǎng)設(shè)備,大多數(shù)情況下,RS在網(wǎng)絡(luò)中可能是由接入網(wǎng)運營商直接部署的,即RS和eNB同屬于一個運營商。為了使得引入RS后對整個網(wǎng)絡(luò)的影響最小化,可以考慮將引入RS的影響只限定在接入網(wǎng)側(cè),即通過在接入網(wǎng)引入一個邏輯實體(RelayStation Database, RSDA),由RSDA完成對RS的身份驗證及密鑰派生等鑒權(quán)功能,該邏輯實體存貯了 RS所有相關(guān)的上下文信息。因此,引入RS后的LTE系統(tǒng),不需要對核心網(wǎng)進行改動就可以使得RS安全的接入網(wǎng)絡(luò),從而達到對網(wǎng)絡(luò)影響最小化。
本發(fā)明實施例提出的鑒權(quán)方法,其實現(xiàn)的基礎(chǔ)是RS和邏輯實體RSDA之間預(yù)共享一個永久性密鑰K,并采用AKA協(xié)議完成RS和網(wǎng)絡(luò)側(cè)的身份認證和密鑰派生。[0043]本發(fā)明實施例根據(jù)RSDA的物理位置與eNB是否重合以及由eNB還是RSDA對RS進行身份認證,給出了相應(yīng)的實施例,以下分別進行詳細說明。
實施例一
本實施例提供的方案中,由接入網(wǎng)側(cè)的第一設(shè)備和第二設(shè)備一起完成對RS的鑒權(quán),引入RS后支持對稱性密鑰認證方式的各種系統(tǒng)都可以對RS進行鑒權(quán),因此后續(xù)實施例中的eNB都可以為支持對稱性密鑰認證方式的基站。
參見圖2,該方法包括
步驟201 :第一設(shè)備接收RS發(fā)送的認證請求,認證請求包含中繼站 身份標識;
認證請求可以被包含在認證請求消息中。
步驟202 :第一設(shè)備獲取認證向量,,將認證向量發(fā)送給所述RS,指示RS對認證向量進行認證,上述認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與RS身份標識對應(yīng);
獨立于核心網(wǎng)的第二設(shè)備查找與RS身份標識對應(yīng)的共享密鑰,產(chǎn)生隨機數(shù),生成與共享密鑰和隨機數(shù)對應(yīng)的認證向量。
上述第一設(shè)備可以為基站,獨立于核心網(wǎng)的第二設(shè)備為邏輯實體,基站與邏輯實體相連。
第一設(shè)備為基站,獨立于核心網(wǎng)的第二設(shè)備為邏輯實體,所述邏輯實體集成在所述基站中。
第一設(shè)備和獨立于核心網(wǎng)的第二設(shè)備為同一邏輯實體。
上述基站也可以是eNB。
步驟203 :接收RS認證通過后發(fā)送的響應(yīng)值,對所述響應(yīng)值進行認證,如果認證通過,派生空口密鑰。
接收RS認證通過后發(fā)送的響應(yīng)值,將響應(yīng)值與認證向量中的期望響應(yīng)值進行比較,如果一致,認證通過,派生空口密鑰,確定與所述RS的能力對應(yīng)的密鑰派生算法,還可以將所述密鑰派生算法發(fā)送給RS,RS才能派生與密鑰派生算法對應(yīng)的加密和完整性保護密鑰。
至此,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán),為了后續(xù)RS和接入網(wǎng)側(cè)能夠安全通信,還可以包含一個步驟派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
上述派生加密密鑰和完整性保護的密鑰由接入網(wǎng)側(cè)的基站派生,也可以是由eNB派生。
本實施例中,接入網(wǎng)側(cè)通過接收RS發(fā)送的認證請求,生成認證向量并發(fā)送給RS,接收RS對認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,認證通過后派生空口密鑰,完成對RS的鑒權(quán)。本實施例將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè),從而避免接入網(wǎng)引A RS后對核心網(wǎng)的改動,使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
實施例一是從接入網(wǎng)側(cè)實現(xiàn)鑒權(quán)的方法,實施例二是通過RS和eNB/RSDA之間具體的信令交互來說明實現(xiàn)鑒權(quán)的方法。
實施例二
本實施例是當RSDA的物理位置與eNB集成在一起,由eNB/RSDA來完成對RS的鑒權(quán)。引入RS后支持對稱性密鑰認證方式的各種系統(tǒng)都可以對RS進行鑒權(quán),因此本實施例中的eNB都可以為支持對稱性密鑰認證方式的基站。下面結(jié)合附圖進行詳細說明。[0063]參見圖3,下面對實現(xiàn)實施例二的方法的具體步驟進行詳細介紹
步驟301 : RS向eNB/RSDA發(fā)送認證請求;
所述認證請求可以被包含在認證請求消息中,該消息中攜帶了 RS身份標識、所支持的加密和完整性保護算法,以及eNB/RSDA派生密鑰Kasme_ks所對應(yīng)的密鑰標識符KSIasme_ks等內(nèi)容,其中RS的身份標識可以是RS的MSI,也可以是RS的MAC地址等。
步驟302 eNB/RSDA 生成 AV ;
eNB/RSDA根據(jù)RS身份標識找到該RS對應(yīng)的共享密鑰K,并隨機產(chǎn)生一個RAND,然后根據(jù)RAND、自身當前保存的SQN、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV,其中,AV包括RAND、XRES, Kasme_ks、AUTN ;還可以采用其它的參數(shù)來生成AV,本發(fā)明實施例并不限定生成AV的參數(shù)。步驟303 eNB/RSDA向RS返回認證響應(yīng);
該響應(yīng)消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN,以及密鑰Kasme_ks所對應(yīng)的密鑰標識符KSI
ASME-ES 等內(nèi)容。
步驟304 RS進行認證,并生成RES值;
RS根據(jù)收到的RAND和AUTN,進行校驗,包括根據(jù)RAND、AUTN中的SQN和與RSDA共享的密鑰K共同計算出一個MAC值,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致,如果一致,RS對網(wǎng)絡(luò)側(cè)鑒權(quán)通過,則利用RAND和與RSDA共享的密鑰K共同計算出一個RES值。
步驟305 RS 向 eNB/RSDA 返回 RES 值;
步驟306 eNB/RSDA進行認證,并派生出空口密鑰KeNB_KS ;
eNB/RSDA比較從RS接收到的RES與之前生成該RS的AV中的XRES是否一致,如果一致,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過,則eNB/RSDA根據(jù)密鑰Kasme_ks進一步派生出空口密鑰K6NB_ks。
至此,已經(jīng)實現(xiàn)接入網(wǎng)側(cè)的eNB/RSDA對RS的鑒權(quán),為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信,還可以執(zhí)行以下的步驟。
步驟307 eNB/RSDA通過SMC向RS發(fā)送空口密鑰K 和確定的加密算法和完整性保護算法;
eNB/RSDA結(jié)合RS支持的加密和完整性保護算法以及自身支持的加密和完整性保護算法,確定空口用戶面和控制面加密密鑰和完整性保護密鑰的密鑰派生算法,并通過SMC將空口密鑰K 和確定的密鑰派生算法發(fā)送給RS。
步驟308 RS和eNB/RSDA派生出空口加密密鑰和完整性保護的密鑰。
RS和eNB/RSDA就可以各自利用空口密鑰KeNB_KS通過選定的密鑰算法進一步派生出空口加密密鑰和完整性保護的密鑰。
本實施例通過在接入網(wǎng)側(cè)將RSDA和eNB集成在一起,將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè),從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動,使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
實施例二是RSDA的物理位置與eNB重合,由RS和eNB/RSDA實體來完成對RS的鑒權(quán)的實現(xiàn)本發(fā)明的方法,下面介紹當RSDA的物理位置和eNB不重合時實現(xiàn)本發(fā)明方法的實施例,而根據(jù)身份認證位置的不同,又可以分為兩種情況,給出了對應(yīng)的實施例。
實施例三[0083]在本實施例中,身份認證位于eNB上,則由eNB完成RS的鑒權(quán)功能。引入RS后支持對稱性密鑰認證方式的各種系統(tǒng)都可以對RS進行鑒權(quán),因此本實施例中的eNB都可以為支持對稱性密鑰認證方式的基站。下面結(jié)合附圖進行詳細說明。
參見圖4,下面對實現(xiàn)實施例三的方法的具體步驟進行詳細介紹
步驟401 RS向eNB發(fā)送認證請求;
所述認證請求可以被包含在認證請求消息中,該消息中攜帶了 RS身份標識、所支持的加密和完整性保護算法,以及派生密鑰Kasme _ks對應(yīng)的密鑰標識符KSIasme_ks等內(nèi)容,其中RS的身份標識可以是RS的MSI,也可以是RS的MAC地址等。
步驟402 eNB向RSDA轉(zhuǎn)發(fā)RS的認證請求;
該消息中攜帶了 RS的身份標識、服務(wù)網(wǎng)絡(luò)標識等內(nèi)容。
步驟403 =RSDA生成該RS對應(yīng)的AV ;
RSDA根據(jù)RS的身份標識找到該RS對應(yīng)的共享密鑰K,并隨機產(chǎn)生一個RAND,然后根據(jù)RAND、自身當前保存的SQN、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV,其中AV包括RAND、XRES, Kasme_ks、AUTN ;還可以采用其它的參數(shù)來生成AV,本發(fā)明實施例并不限定生成AV的參數(shù)。
步驟404 =RSDA向eNB返回認證響應(yīng);
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN,以及密鑰Kasme_ks所對應(yīng)的密鑰標識符KSIasme_ks等內(nèi)容,eNB將收到的該RS的AV進行保存。
步驟405 eNB向RS發(fā)送RS認證請求消息;
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN,以及密鑰Kasme_ks對應(yīng)的密鑰標識符KSIasme_rs等內(nèi)容。
步驟406 RS進行認證,并生成RES值;
RS根據(jù)收到的RAND和AUTN,進行校驗,包括根據(jù)RAND、AUTN中的SQN和與RSDA共享的密鑰K共同計算出一個MAC值,并比較該MAC值和從接收到的AUTN中解析的MAC值是否一致,如果一致,RS對網(wǎng)絡(luò)側(cè)的鑒權(quán)通過,則利用RAND和與RSDA共享的密鑰K共同計算出一個RES。
步驟407 RS通過發(fā)送RS認證響應(yīng)消息將RES值發(fā)送給eNB ;
步驟408 eNB進行認證,并派生出空口密鑰KeNK_KS ;
eNB比較從RS接收到的RES與本地存貯該RS的AV中的XRES是否一致,如果一致,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過,則eNB根據(jù)密鑰Kam進一步派生出空口密鑰K6NB_ks。
至此,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán),為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信,還可以執(zhí)行以下的步驟。
步驟409 eNB通過SMC向RS發(fā)送空口密鑰KeNB_KS和確定的加密算法和完整性保護算法;
eNB結(jié)合RS支持的加密和完整性保護算法以及自身支持的加密和完整性保護算法,確定用戶面和控制面加密密鑰和完整性保護密鑰的密鑰派生算法,并通過SMC將空口密鑰K 和確定的密鑰派生算法發(fā)送給RS。
步驟410 RS和eNB派生出空口加密密鑰和完整性保護的密鑰。
RS和eNB就可以各自利用空口密鑰KeNB_KS通過選定的密鑰算法進一步派生出空口加密密鑰和完整性保護的密鑰。
本實施例通過在接入網(wǎng)側(cè)引入一個RSDA,存貯了 RS的上下文信息,RS和RSDA預(yù)共享一個永久性密鑰K,RSDA通過有線或無線的方式和eNB相連,由eNB完成RS的鑒權(quán)功能,因而將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè),從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動,使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
實施例三是身份認證位于eNB上,由eNB完成RS的鑒權(quán)功能的實施例,下面介紹一種身份認證位于RSDA上,由RSDA完成RS的鑒權(quán)功能的實施例。
實施例四
在本實施例中,身份認證位于RSDA上,則由RSDA完成RS的鑒權(quán)功能。本實施例的方案要求RSDA上需要配備所有通過有線相連的eNB的網(wǎng)絡(luò)標識。引入RS后支持對稱性 密鑰認證方式的各種系統(tǒng)都可以對RS進行鑒權(quán),因此本實施例中的eNB都可以為支持對稱性密鑰認證方式的基站。下面結(jié)合附圖進行詳細說明。
參見圖5,下面對實現(xiàn)實施例四的方法的具體步驟進行詳細介紹
步驟501 : RS向RSDA發(fā)送認證請求;
所述認證請求可以被包含在認證請求消息中,該消息中攜帶了 RS身份標識、所支持的加密和完整性保護算法,以及派生密鑰Kasme_ks對應(yīng)的密鑰標識符KSIasme_ks等內(nèi)容,其中RS的身份標識可以是RS的MSI,也可以是RS的MAC地址等。
步驟502 =RSDA 生成 AV ;
RSDA根據(jù)RS身份標識找到該RS對應(yīng)的共享密鑰K,并隨機產(chǎn)生一個RAND,然后根據(jù)RAND、自身當前保存的SQN、RS和RSDA之間共享的密鑰K及其它信息生成該RS對應(yīng)的AV,其中,AV包括RAND、XRES, Kasme_ks、AUTN ;還可以采用其它的參數(shù)來生成AV,本發(fā)明實施例并不限定生成AV的參數(shù)。
步驟503 =RSDA向RS返回認證響應(yīng);
該消息中攜帶了該RS的AV中對應(yīng)的RAND和AUTN,以及密鑰Kasme_ks所對應(yīng)的密鑰標識符KSI
ASME-ES 等內(nèi)容。
步驟504與步驟304,此處不再贅述;
步驟505 RS 向 RSDA 返回 RES 值;
步驟506 =RSDA進行認證,并派生出空口密鑰KeNB_KS ;
RSDA比較從RS接收到的RES與之前生成該RS的AV中的XRES是否一致,如果一致,網(wǎng)絡(luò)側(cè)對RS的鑒權(quán)通過,則RSDA根據(jù)密鑰Kam進一步派生出空口密鑰K6NB_ks。
至此,接入網(wǎng)側(cè)已經(jīng)完成對RS的鑒權(quán),為了后續(xù)RS與接入網(wǎng)側(cè)之間安全通信,還可以執(zhí)行以下的步驟。
步驟507 =RSDA通過SMC將該派生密鑰KeNB_KS以及RS所支持的加密和完整性算法發(fā)送給eNB ;
步驟508 eNB通過SMC向RS發(fā)送確定的加密算法和完整性保護算法;
eNB根據(jù)收到RS支持的加密和完整性保護算法以及自身支持的加密和完整性保護算法,確定空口用戶面和控制面加密密鑰和完整保護性密鑰的密鑰派生算法,并通過SMC將該選定的算法發(fā)送給RS。
步驟509與步驟410相同,此處不再贅述。[0125]本實施例通過在接入網(wǎng)側(cè)引入一個RSDA,存貯了 RS的上下文信息,RS和RSDA預(yù)共享一個永久性密鑰K,RSDA通過有線或無線的方式和eNB相連,由RSDA完成RS的鑒權(quán)功能,因而將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè),從而避免由于接入網(wǎng)引入RS后而造成對核心網(wǎng)的改動,使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
上面的實施例介紹了幾種RS接入鑒權(quán)的方法,下面介紹相關(guān)裝置。
參見圖6,一種通信裝置,包括
請求接收單元110,用于接收RS發(fā)送的認證請求,認證請求包含RS身份標識;
獲取單元111,用于獲取認證向量,認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與RS身份標識對應(yīng);
獲取單元111可以是在接收請求接收單元110中的認證請求后獲取認證向量。
認證向量發(fā)送單元112,用于向RS發(fā)送獲取單元111獲取的認證向量,指示RS對認證向量進行認證;
響應(yīng)值接收單元113,用于接收RS對認證向量發(fā)送單元112發(fā)送的認證向量認證通過后發(fā)送的響應(yīng)值;
認證單元114,用于對響應(yīng)值接收單元113接收的響應(yīng)值進行認證;
空口密鑰派生單元115,用于在認證單元114對響應(yīng)值認證通過時,派生空口密鑰。
其中,通信裝置還包括密鑰派生單元,用于派生與所述空口密鑰派生單元派生的所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
參見圖7,一種通信系統(tǒng),包括
中繼站121,用于向第一設(shè)備122發(fā)送認證請求,所述認證請求包含RS身份標識,接收第一設(shè)備122發(fā)送的認證向量,對認證向量進行認證,認證通過后生成響應(yīng)值,向第一設(shè)備122發(fā)送響應(yīng)值;
第一設(shè)備122,用于接收中繼站121發(fā)送的認證請求,認證請求包含中繼站的身份標識,獲取認證向量,向中繼站121發(fā)送認證向量,接收中繼站121對認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,當認證通過時,派生空口密鑰;
獨立于核心網(wǎng)的第二設(shè)備123,用于生成認證向量,認證向量與中繼站身份標識對應(yīng)。
其中,第一設(shè)備122為基站,獨立于核心網(wǎng)的第二設(shè)備123為邏輯實體,邏輯實體與所述基站向量。
其中,第一設(shè)備122為基站,獨立于核心網(wǎng)的第二設(shè)備123為邏輯實體,邏輯實體集成在所述基站中。
其中,第一設(shè)備122和獨立于核心網(wǎng)的第二設(shè)備123為同一邏輯實體。
其中,基站還用于派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
本發(fā)明實施例接入網(wǎng)側(cè)接收RS發(fā)送的認證請求,生成認證向量并發(fā)送給RS,接收RS對認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,認證通過后派生空口密鑰,完成對RS的鑒權(quán)。在接入網(wǎng)側(cè)引入一個網(wǎng)絡(luò)邏輯實體,由接入網(wǎng)側(cè)的邏輯實體與中繼站共享了共享密鑰,由接入網(wǎng)側(cè)完成對RS的身份認證及密鑰派生,從而完成中繼站的網(wǎng)絡(luò)安全接入,因此中繼站的網(wǎng)絡(luò)安全接入不需要對核心網(wǎng)進行改動就可以實現(xiàn),使得引入RS后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
進一步,可以通過在接入網(wǎng)側(cè)將RSDA和eNB集成在一起,將RS的鑒權(quán)功能完全限定在接入網(wǎng)側(cè);通過在接入網(wǎng)側(cè)引入一個RSDA,存貯了 RS的上下文信息,RS和RSDA共享了共享密鑰,RSDA通過有線或無線的方式和eNB相連,由eNB完成RS的鑒權(quán)功能或由RSDA完成RS的鑒權(quán)功能,將RS接入鑒權(quán)完全限定在接入網(wǎng)側(cè)。
以上對本發(fā)明實施例所提供的鑒權(quán)方法、通信裝置和通信系統(tǒng)進行了詳細介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說明只是用 于幫助理解本發(fā)明的方法及其核心思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種鑒權(quán)方法,其特征在于,包括 第一設(shè)備接收中繼站發(fā)送的認證請求,所述認證請求包含中繼站身份標識; 所述第一設(shè)備獲取認證向量,向所述中繼站發(fā)送所述認證向量,指示所述中繼站對所述認證向量進行認證,所述認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與所述中繼站身份標識對應(yīng); 所述第一設(shè)備接收所述中繼站對所述認證向量認證通過后發(fā)送的響應(yīng)值,對所述響應(yīng)值進行認證,當認證通過時,派生空口密鑰; 其中,所述第一設(shè)備為基站,所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA。
2.根據(jù)權(quán)利要求
I所述的鑒權(quán)方法,其特征在于,所述中繼站數(shù)據(jù)庫RSDA與所述基站相連; 所述第一設(shè)備獲取認證向量的步驟具體為 所述第一設(shè)備接收所述第二設(shè)備發(fā)送的認證向量。
3.根據(jù)權(quán)利要求
I所述的鑒權(quán)方法,其特征在于,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站集成在一起,或者,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站不重合。
4.根據(jù)權(quán)利要求
I至3任一項所述的鑒權(quán)方法,其特征在于,所述獨立于核心網(wǎng)的第二設(shè)備生成認證向量的步驟具體為 所述獨立于核心網(wǎng)的第二設(shè)備查找與所述中繼站身份標識對應(yīng)的共享密鑰,產(chǎn)生隨機數(shù),生成與所述共享密鑰和所述隨機數(shù)對應(yīng)的所述認證向量。
5.根據(jù)權(quán)利要求
I至3任一項所述的鑒權(quán)方法,其特征在于,所述認證向量包括期望響應(yīng)值; 所述對所述響應(yīng)值進行認證的步驟具體為 將所述響應(yīng)值與所述認證向量中的所述期望響應(yīng)值進行比較,如果一致,認證通過。
6.根據(jù)權(quán)利要求
2或3所述的鑒權(quán)方法,其特征在于,所述派生空口密鑰的步驟后還包括 基站派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
7.根據(jù)權(quán)利要求
3所述的鑒權(quán)方法,其特征在于,所述派生空口密鑰的步驟后還包括 中繼站數(shù)據(jù)庫RSDA將所述空口密鑰發(fā)送給基站,指示所述基站派生與所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
8.一種通信裝置,其特征在于,包括 請求接收單元,用于接收中繼站發(fā)送的認證請求,所述認證請求包含中繼站身份標識; 獲取單元,用于獲取認證向量,所述認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與所述中繼站身份標識對應(yīng),所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA ; 認證向量發(fā)送單元,用于向所述中繼站發(fā)送所述獲取單元獲取的所述認證向量,指示所述中繼站對所述認證向量進行認證; 響應(yīng)值接收單元,用于接收所述中繼站對所述認證向量發(fā)送單元發(fā)送的所述認證向量認證通過后發(fā)送的響應(yīng)值; 認證單元,用于對所述響應(yīng)值接收單元接收的所述響應(yīng)值進行認證; 空口密鑰派生單元,用于在所述認證單元對所述響應(yīng)值認證通過時,派生空口密鑰。
9.根據(jù)權(quán)利要求
8所述的通信裝置,其特征在于,還包括 密鑰派生單元,用于派生與所述空口密鑰派生單元派生的所述空口密鑰對應(yīng)的加密密鑰和完整性保護的密鑰。
10.一種通信系統(tǒng),其特征在于,包括 中繼站,用于向第一設(shè)備發(fā)送認證請求,所述認證請求包含中繼站身份標識,接收第一設(shè)備發(fā)送的認證向量,對所述認證向量進行認證,認證通過后生成響應(yīng)值,向第一設(shè)備發(fā)送所述響應(yīng)值; 第一設(shè)備,用于接收所述中繼站發(fā)送的認證請求,獲取認證向量,向所述中繼站發(fā)送所述認證向量,接收所述中繼站對所述認證向量認證通過后發(fā)送的所述響應(yīng)值,對所述響應(yīng)值進行認證,當認證通過時,派生空口密鑰; 獨立于核心網(wǎng)的第二設(shè)備,用于生成認證向量,所述認證向量與所述中繼站身份標識對應(yīng); 所述第一設(shè)備為基站,所述第二設(shè)備為中繼站數(shù)據(jù)庫RSDA。
11.根據(jù)權(quán)利要求
10所述的通信系統(tǒng),其特征在于,所述中繼站數(shù)據(jù)庫RSDA與所述基站相連。
12.根據(jù)權(quán)利要求
10所述的通信系統(tǒng),其特征在于,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站集成在一起,或者,所述中繼站數(shù)據(jù)庫RSDA的物理位置與所述基站不重合。
專利摘要
本發(fā)明實施例公開了鑒權(quán)方法、通信裝置和通信系統(tǒng),鑒權(quán)方法包括第一設(shè)備接收中繼站發(fā)送的認證請求,認證請求包含中繼站身份標識;獲取認證向量,向中繼站發(fā)送所述認證向量,指示中繼站對認證向量進行認證,認證向量由獨立于核心網(wǎng)的第二設(shè)備生成,與中繼站身份標識對應(yīng);接收中繼站對所述認證向量認證通過后發(fā)送的響應(yīng)值,對響應(yīng)值進行認證,當認證通過時,派生空口密鑰。本發(fā)明實施例通過在接入網(wǎng)側(cè)引入一個邏輯實體,由接入網(wǎng)側(cè)完成對中繼站的身份認證及密鑰派生,將中繼站的鑒權(quán)功能完全限定在接入網(wǎng)側(cè)實現(xiàn),從而避免接入網(wǎng)引入中繼站后對核心網(wǎng)的改動,使得引入中繼站后的系統(tǒng)對整個網(wǎng)絡(luò)的影響達到最小化。
文檔編號H04W12/06GKCN101640887 B發(fā)布類型授權(quán) 專利申請?zhí)朇N 200810041298
公開日2012年10月3日 申請日期2008年7月29日
發(fā)明者劉菁, 張愛琴, 彭炎, 陳璟 申請人:上海華為技術(shù)有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan專利引用 (2), 非專利引用 (5),