异构网络的统一认证框架制造技术

本发明专利技术涉及一种直接与核心网进行通信的用户设备(User Equipment，UE)，包括：第一通信设备、第二通信设备、认证管理模块、处理器、存储介质、存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：对所述核心网进行第一次认证以获得安全上下文；将安全上下文从所述认证管理模块传输到所述第一和第二通信设备(1220，1230)中的至少一个；所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网(1240)的连接。

【技术实现步骤摘要】
【国外来华专利技术】异构网络的统一认证框架
本专利技术涉及一种协同认证移动设备以接入核心网的统一认证框架的方法和系统。具体而言，本专利技术涉及一种用于移动设备与核心网之间的协同认证的统一认证框架的方法和系统。现有技术总结在过去几年中，智能手机用户的数量快速增长，许多移动用户通过移动蜂窝网络接入互联网。然而，目前的宽带码分多址(WidebandCodeDivisionMultipleAccess，WCDMA)或长期演进(LongTermEvolution，LTE)等蜂窝技术无法应对移动互联网流量的快速增长。为了满足移动用户的需求，通信服务提供商(communicationsserviceprovider，CSP)，也称为telco或电信运营商，一直在挖掘无线保真(WirelessFidelity，Wi-Fi)技术的潜力来弥补容量短板。在蜂窝网络中，Wi-Fi技术并不是原生技术。因此，为了将Wi-Fi技术集成在3GPP定义的蜂窝网络中，3GPP定义了一些规范，包括安全性。图1示出了集成包括可信和不可信Wi-Fi在内的Wi-Fi接入技术的网络架构。出于本专利技术的目的，可信Wi-Fi接入是指由电信运营商自己部署用户设备(UserEquipment，UE)连接的接入点(AccessPoint)的情况。不可信Wi-Fi接入是指由电信运营商以外的第三方部署接入点的情况。通常，为了确保设备和网络是真实的，UE接入网络的第一步就是与网络进行相互认证。通过3GPP网络，采用基于全球用户身份模块(UniversalSubscriberIdentityModule，USIM)的预共享密钥认证。在UE侧和网络侧各保存一对共享密钥。在UE侧，凭证保存在USIM卡中，该USIM卡是嵌入在UE中的独立设备。在网络侧，凭证保存在归属用户系统(HomeSubscriberSystem，HSS)中。在认证过程中，从保存的凭证中导出认证向量或主会话密钥。UE和网络使用该认证向量来相互认证。通过目前的3GPP和Wi-Fi集成框架，UE根据保存在USIM中的凭证对网络进行认证。然而，LTE和Wi-Fi技术所使用的认证和密钥生成协议是不同的。使用LTE技术，UE和网络中的移动性管理实体(MobilityManagementEntity，MME)服务器使用演进分组系统认证和密钥协商(EvolvedPacketSystemAuthenticationandKeyAgreement，EPS-AKA)协议来进行相互认证。而使用Wi-Fi技术，UE和网络的认证、授权和计费(Authentication,Authorization,andAccounting，AAA)服务器使用(可扩展认证协议)EAP-AKA或EAP-AKA’协议来进行相互认证。基于现有框架，同一UE必须使用两种不同的协议来对同一网络进行认证。从网络管理的角度来看，这不是最佳的方式，不仅使设计和实现方式复杂化，还浪费网络资源，增加运营成本。因此，本领域技术人员正在努力为异构网络提供更好的认证方法。
技术实现思路
本专利技术实施例提供的系统和方法解决了上述和其它问题，并且在本领域中取得了进步。本专利技术的系统和方法的实施例的第一个优点是：UE中的通信设备可以共享安全上下文对核心网进行认证。其中一个通信设备先前已经对核心网执行完整认证，省去了UE对核心网进行认证的步骤。本专利技术的系统和方法的实施例的第二个优点是：认证流程得以改进，因为UE与核心网之间所需的交互次数大大减少。上述优点通过用于用户设备的认证框架的系统和方法的实施例来提供，其中，所述用户设备具有对核心网的网络认证实体进行认证的至少两个通信设备。根据本专利技术的一个方面，通过以下方式提供直接与核心网进行通信的用户设备(UserEquipment，UE)。所述UE包括第一通信设备、第二通信设备、认证管理模块、处理器、存储介质、存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：对所述核心网进行第一次认证以获得安全上下文；将安全上下文从所述认证管理模块传输到所述第一和第二通信设备中的至少一个；所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网的连接。根据本专利技术实施例，所述指令还包括：响应于断开所述第一通信设备与所述核心网之间的连接，所述第一通信设备使用获得的所述安全上下文对所述核心网进行所述第二次认证的指令。根据本专利技术实施例，所述网络管理模块可以是基于EAP的认证框架中的“请求者”，所述请求者是已知的用于在终端侧进行认证管理的实体。根据本专利技术实施例，所述对所述核心网进行所述第一次认证以获得安全上下文的指令包括指示所述第一通信设备进行以下操作的指令：将快速重认证ID请求传输给所述认证管理模块；以及接收来自所述认证管理模块的响应。根据本专利技术实施例，所述对所述核心网进行所述第一次认证以获得安全上下文的指令包括指示所述第一通信设备进行以下操作的指令：将请求传输/转发给所述认证管理模块以触发认证过程；以及接收来自所述认证管理模块的所述安全上下文。根据本专利技术实施例，对所述核心网进行所述第一次认证以获得安全上下文的所述指令包括：响应于接收来自所述第一通信设备的所述请求，指示所述认证管理模块执行以下操作的指令：检索标识(UEID)；生成包括所述UEID的请求并将其传输给所述核心网；以及接收AKA质询消息，包括随机数(randomnumber，RAND)和网络认证令牌(authenticationtoken，AUTN)、快速重认证ID(FastRe-authenticationID，FRID)和由所述核心网生成的消息认证码(messageauthenticationcode，MAC)。根据本专利技术实施例，对所述核心网进行所述第一次认证以获得安全上下文的所述指令包括：响应于接收所述AKA质询请求，指示所述认证管理模块进行以下操作的指令：使用先前下发给所述第一通信设备的密钥(IK)来验证所述MAC的有效性；响应于所述MAC有效，使用算法来计算认证向量以获得AUTNUE、RES和KASME等参数；以及确定AUTNUE与AUTN是否相同。根据本专利技术实施例，所述对所述核心网进行所述第一次认证以获得安全上下文的指令包括：响应于AUTNUE与AUTN相同，指示所述认证管理模块进行以下操作的指令：生成第一密钥k0；建立包括FRID、k0和计数器的所述安全上下文；生成所述第一通信设备的第二密钥k1。根据本专利技术实施例，所述第一密钥使用输入包括UEID和RAND(或从网络接收到的NONCE)的密钥导出函数(keyderivationfunction，KDF)来生成，而所述第二密钥使用输入包括k0和所述计数器的密钥导出函数(keyderivationfunction，KDF)来生成。根据本专利技术实施例，所述第二密钥k1使用输入包括k0和RAND(或从网络接收到的NONCE)的密钥导出函数(keyderivationfunction，KDF)来生成。根据本专利技术实施例，所述对所述核心网进行所述第一次认证以获得安全上下文的指令还包括指示所述认证管理模块进行以下操作的指令：生成AKA响应消息并将其传输给所述核心网，所述AKA响应消息包括RES。根本文档来自技高网...

【技术保护点】
1.一种直接与核心网进行通信的用户设备(User Equipment，UE)，其特征在于，包括：第一通信设备；第二通信设备；认证管理模块；处理器；存储介质；存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：对所述核心网进行第一次认证以获得安全上下文；以及所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网的连接。

【技术特征摘要】
【国外来华专利技术】2016.07.13 SG 10201605752P1.一种直接与核心网进行通信的用户设备(UserEquipment，UE)，其特征在于，包括：第一通信设备；第二通信设备；认证管理模块；处理器；存储介质；存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：对所述核心网进行第一次认证以获得安全上下文；以及所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网的连接。2.根据权利要求1所述的UE，其特征在于，还包括：响应于断开所述第一通信设备与所述核心网之间的连接，所述第一通信设备使用获得的所述安全上下文对所述核心网进行再一次认证。3.根据权利要求1或2所述的UE，其特征在于，对所述核心网进行第一次认证以获得安全上下文的所述指令包括指示所述第一通信设备进行以下操作的指令：将请求传输给所述认证管理模块以触发所述第一次认证；接收来自所述认证管理模块的响应，其中，所述响应包括所述安全上下文。4.根据权利要求3所述的UE，其特征在于，响应于接收来自所述第一通信设备的所述请求，并且所述认证管理模块不包含快速重认证ID，所述指令还包括指示所述认证管理模块进行以下操作的指令：检索标识(所述UEID)；生成包括所述UEID的请求并将其传输给所述核心网；以及接收AKA质询消息，包括随机数(randomnumber，RAND)和网络认证令牌(authenticationtoken，AUTN)、快速重认证ID(FastRe-authenticationID，FRID)和由所述核心网生成的消息认证码(messageauthenticationcode，MAC)；使用下发给所述认证管理模块的密钥(IK)来验证所述MAC的有效性；响应于所述MAC有效，使用AKA算法来计算认证向量；通过将所述认证向量中的某些信息与所述AKA质询消息中的某些信息进行比较来确定认证是否成功。5.根据权利要求4所述的UE，其特征在于，响应于成功认证，所述指令包括指示所述认证管理模块进行以下操作的指令：生成第一密钥k0；建立包括所述FRID、计数器和所述k0的所述安全上下文。6.根据权利要求5所述的UE，其特征在于，响应于成功认证，所述指令包括指示所述认证管理模块进行以下操作的指令：所述第一通信设备生成第二密钥k1，其中，所述第二密钥使用输入为以下组合中的任意两个或多个的密钥导出函数(keyderivationfunction，KDF)来生成：k0或从k0导出的密钥、计数器、FRID、RAND以及在认证过程中由认证管理模块生成的或从网络接收到的NONCE。7.根据权利要求1至6中任一项所述的UE，其特征在于，所述指令存储在所述存储介质上并且可由所述处理器执行，以进行以下操作：将安全上下文从所述认证管理模块传输到所述第一和第二通信设备中的至少一个。8.根据权利要求7所述的UE，其特征在于，将安全上下文从所述认证管理模块传输到所述第一和第二通信设备中的至少一个的所述指令包括指示所述认证管理模块进行以下操作的指令：接收来自所述第二通信设备的认证请求；生成包含所述UEID和FRID的请求并将其传输给所述核心网；接收来自所述核心网的AKA重认证请求消息，所述AKA重认证请求消息包括计数器、nonce、新FRID和MAC；所述认证管理模块根据所述接收到的计数器值加1来更新本地计数器；将AKA重认证响应传输给所述核心网，所述AKA重认证响应包括所述更新的计数器；接收来自所述核心网的指示所述认证成功的结果消息；使用输入为以下组合中的任意两个或多个的密钥导出函数(keyderivationfunction，KDF)来生成第三密钥k2：k0或从k0导出的密钥、计数器、FRID、RAND以及在认证过程中由认证管理模块生成的或从网络接收到的NONCE；当所述认证成功时，向所述第一和第二通信设备中的至少一个传输所述安全上下文，至少包括k2。9.一种直接与核心网进行通信的用户设备(UserEquipment，UE)，其特征在于，包括：第一通信设备；第二通信设备；认证管理模块；处理器；存储介质；存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：所述第一通信设备对所述核心网进行第一次认证以获得所述第一通信设备的安全上下文；将所述安全上下文从所述认证管理模块传输到所述第二通信设备；以及所述第二通信设备使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证。10.根据权利要求9所述的UE，其特征在于，还包括：响应于丢弃所述第一通信设备与所述核心网之间的连接，所述第一通信设备使用获得的所述安全上下文对所述核心网进行再一次认证。11.根据权利要求9或10所述的UE，其特征在于，所述第一通信设备对所述核心网进行所述第一次认证以获得所述第一通信设备的安全上下文的所述指令包括指示所述第一通信设备进行以下操作的指令：将快速重认证ID请求传输给所述认证管理模块；接收来自所述认证管理模块的响应；所述第一通信设备基于所述响应对所述核心网进行所述第一次认证以获得所述安全上下文。12.根据权利要求11所述的UE，其特征在于，响应于来自所述认证管理模块的所述响应不包含快速重认证ID，所述指令还包括指示所述第一通信设备进行以下操作的指令：检索标识(所述UEID)；生成包括所述UEID的请求并将其传输给所述核心网；接收AKA质询消息，包括随机数(randomnumber，RAND)和网络认证令牌(authenticationtoken，AUTN)、快速重认证ID(FastRe-authenticationID，FRID)和由所述核心网生成的消息认证码(messageauthenticationcode，MAC)；使用先前下发给所述第一通信设备的密钥(IK)来验证所述MAC的有效性；响应于所述MAC有效，使用AKA算法来计算认证向量以获得AUTNUE、RES和KASME；确定AUTNUE与AUTN是否相同；以及响应于AUTNUE与AUTN相同，导出用于蜂窝接入或非蜂窝接入的密钥；将所述安全上下文传输给所述认证管理模块，所述安全上下文包括所述FRID、所述密钥和计数器；以及生成AKA响应消息并将其传输给所述核心网，所述AKA响应消息包括RES。13.根据权利要求12所述的UE，其特征在于，所述密钥使用输入为UEID和RAND的密钥导出函数(keyderivationfunction，KDF)来导出。14.根据权利要求9至13中任一项所述的UE，其特征在于，所述指令还包括指示所述认证管理模块进行以下操作的指令：接收来自所述第二通信设备的快速重认证ID请求；以及生成包含所述快速重认证ID(FastRe-authenticationID，FRID)的响应并将其传输给所述第二通信设备。15.根据权利要求14所述的UE，其特征在于，所述第二通信设备使用来自所述第一通信设备的所述安全上下文对所述核心网进行所述第二次认证的所述指令包括：响应于接收来自所述认证管理模块的所述FRID，指示所述第二通信设备进行以下操作的指令：生成包含所述UEID、FRID和标志的请求并将其传输给所述核心网，所述标志包括所述FRID不属于所述第二通信设备的指示；接收来自所述核心网的AKA重认证请求消息，所述AKA重认证请求消息包括计数器、nonce、新FRID和MAC；验证所述MAC的正确性和所述计数器的新鲜度；响应于所述MAC有效，将所述新FRID作为所述新快速重认证ID传输给所述认证管理模块，并根据所述接收到的计数器值加1更新所述本地计数器；将AKA重认证响应传输给所述核心网，所述AKA重认证响应消息包括更新的计数器；接收指示所述认证成功的结果消息；生成用于蜂窝或非蜂窝接入的密钥；以及使用所述密钥与所述核心网进行数据传输和接收。16.根据权利要求15所述的UE，其特征在于，当所述值不小于所述UE所存储的所述计数器时，所述接收到的计数器被认为是新的。17.根据权利要求15或16所述的UE，其特征在于，通过使用SK生成具有计数器、nonce和新FRID的MAC，并将所述生成的MAC与从所述核心网接收的所述MAC进行比较，来确定所述MAC的正确性。18.一种直接与核心网进行通信的用户设备(UserEquipment，UE)，...

【专利技术属性】
技术研发人员：王海光，李漓春，康鑫，时杰，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡,SG