【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种认证方法、装置及系统。
技术介绍
长期演进(Long Term Evolution,简称为LTE)网络,如图1所示,由演进全球陆地 无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为 E—UTRAN) 和演进分组交换中心(Evolved Packet Core,简称为EPC)组成,网络呈现扁平化。EUTRAN 通过Sl接口与EPC相连。其中,EUTRAN由多个相互连接的演进基站(Evolved NodeB,简称为 eNB)组成,各个eNB之间通过X2接口连接;EPC由移动性管理实体(Mobility Management Entity,简称为MME)和服务网关实体(Serving Gateway,简称为S-GW)组成。另外,在系 统架构中还有一个归属环境(Home Environment,简称为HE),即归属用户服务器(Home Subscriber Server,简称为 HSS)或归属位置寄存器(Home Location Register,简称为...
【技术保护点】
一种认证方法,其特征在于,包括:中继节点RN接收设备认证请求,其中,所述设备认证请求中携带有使用用户认证向量生成的设备认证数据;所述RN根据所述设备认证数据生成对应的设备认证响应值,并将携带有所述设备认证响应值的设备认证响应发送至网络侧,用于认证所述RN。
【技术特征摘要】
一种认证方法,其特征在于,包括中继节点RN接收设备认证请求,其中,所述设备认证请求中携带有使用用户认证向量生成的设备认证数据;所述RN根据所述设备认证数据生成对应的设备认证响应值,并将携带有所述设备认证响应值的设备认证响应发送至网络侧,用于认证所述RN。2.根据权利要求1所述的方法,其特征在于,在RN接收设备认证请求之前,还包括所述网络侧通过接收到的非接入层NAS消息获取所述RN的设备标识或所述RN的设备证书信息;所述网络侧根据所述RN的设备标识或所述网络侧的设备证书信息确定所述RN的设备 相关密钥;所述网络侧使用所述设备相关密钥生成所述设备认证数据,并将所述设备认证数据通 过所述设备认证请求发送给所述RN。3.根据权利要求2所述的方法,其特征在于,所述设备相关密钥为以下之一所述设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数;所述设备相关密钥是由所述预共享密钥或所述参数生成的新密钥或新参数。4.根据权利要求2所述的方法,其特征在于,所述网络侧使用所述设备相关密钥生成 所述设备认证数据包括使用所述RN的设备相关密钥、可选参数、所述用户认证向量中的{RAND,XRES, Kasme, AUTN}中的RAND和/或AUTN按照预定算法进行加密,并生成设备认证数据RAND_D和/或 AUTN_D ;或使用所述设备相关密钥、所述可选参数、所述用户认证向量中的{RAND,XRES, Kasme, AUTN}中的RAND和/或AUTN中的字段按照所述预定算法进行加密,并生成设备认证数据 RAND_D*/或AUTH_D1,其中,RAND是网络侧生成的随机数,XRES是期望设备响应,Kasme 是中间密钥,AUTN是网络认证标志,且包含了多个字段,具体为AUTN= SQN*AK| AMF MAC, 其中SQN*AK是指由归属用户服务器HSS生成的序列号SQN和匿名密钥AK的异或操作,AMF 是认证管理域,MAC为消息验证码,可选参数为以下之一所述RN和所述网络侧共享的数 据;所述网络侧和/或所述RN生成的随机数。5.根据权利要求4所述的方法,其特征在于,所述RN根据所述设备认证数据生成对应 的设备认证响应值包括所述RN使用所述设备相关密钥、所述可选参数、接收到的RAND_D和/或AUTN_D按照 所述预定算法进行解密,并得到RAND和/或AUTN ;使用所述RAND和/或所述AUTN按照分 组演进系统鉴权认证和密钥协定EPS AKA的用户认证方法生成用户响应值RES,并确定所 述用户响应值RES为设备认证响应值RES_D ;或所述RN使用所述RN的设备相关密钥、所述可选参数、接收到的RAND_D和/或AUTH_D1 按照预定算法进行解密,并得到RAND和/或AUTH ;使用所述RAND和/或所述AUTN按照所述EPS AKA的用户 认证方法生成用户响应值RES,并确定所述用户响应值RES为设备认证响应值RES_D。6.根据权利要求2所述的方法,其特征在于,所述网络侧使用所述设备相关密钥生成 所述设备认证数据包括选取所述用户认证向量{RAND,XRES,Kasme,AUTN}中的RAND和AUTN为设备认证数据;使用所述设备相关密钥、用户认证向量{RAND,XRES, Kasme, AUTN}中的期望用户响应 XRES和可选参数按照预定算法生成期望设备认证响应XRES_D,并确定所述XRES_D作为设 备认证数据,其中,RAND是网络侧生成的随机数,Kasme是中间密钥,AUTN是网络认证标志, 所述可选参数为以下之一所述RN和所述网络侧共享的数据;所述网络侧和/或所述RN生 成的随机数。7.根据权利要求6所述的方法,其特征在于,所述RN根据所述设备认证数据生成对应 的设备认证响应值包括所述RN按照EPS AKA的用户认证方法生成用户响应值RES ;使用所述设备相关密钥、所述RES和所述可选参数按照所述预定算法生成设备认证响 应值RES_D。8.根据权利要求2所述的方法,其特征在于,所述网络侧使用所述设备相关密钥生成 所述设备认证数据包括使用所述设备相关密钥、网络侧生成的随机值RAND和可选参数按照预定算法生成新 的随机值RAND_D,其中,所述可选参数为以下之一所述RN和所述网络侧共享的数据;所述 网络侧和/或所述RN生成的随机数;使用所述RAND_D作为计算所述用户认证向量的随机口令生成新的用户认证向量 {RAND_D, XRES_D, Kasme_D, AUTN_D};并确定发送给所述RN的设备认证数据为所述RAND和 所述AUTN_D,其中,RAND是网络侧生成的随机数,XRES_D是所述计算后新的网络侧期望响 应,Kasme_D是所述计算后新的中间密钥,AUTN_D是所述计算后新的网络认证标志。9.根据权利要求8所述的方法,其特征在于,所述RN根据所述设备认证数据生成对应 的设备认证响应值包括所述RN使用所述设备相关密钥、所述可选参数和接收到的所述RAND按照所述预定算 法生成所述新的随机值RAND_D ;所述RN按照EPS AKA的用户认证方法使用所述新的随机值RAND_D对接收到的所述 AUTN_D进行验证,并生成设备认证响应值RES_D。10.根据权利要求5、7或9所述的方法,其特征在于,在将所述设备认证响应值发送至 网络侧,用于认证所述RN之后,还包括所述网络侧接收所述设备认证响应值RES_D ;判断所述设备认证响应值RES_D与期望设备响应XRES_D是否一致;如果判断结果为一致,则确定所述RN认证通过。11.根据权利要求10所述的方法,其特征在于,在确定所述RN认证通过之后,还包括所述RN和所述网络侧设置关联密钥,其中,所述关联密钥为以下之一所述设备相关密钥;使用所述设备相关密钥与参量按照预定派生算法生成的新密钥,所述参量包括 Kasme,由Kasme派生的密钥、与所述RN的用户签约信息相关的密钥或参数。12.根据权利要求1-9中任一项所述的方法,其特征在于,在所述设备认证请求中设置 信元指示所述RN进行设备认证;或在所述设备认证请求中设置已有信元或字段间接指示所述RN进行设备认证。13.根据权利要求1-9中任一项所述的方法,其特征在于,所述网络侧包括移动管理 实体MME和归属用户服务器HSS。14.一种中继节点RN,其特征在于,包括第一接收模块,用于接收设备认证请求,其中所述设备认证请求中携带有使用用户认 证向量生成的设备认证数据;第一生成模块,用于根据所述设备认证数据生成对应的设备认证响应值;第一发送模块,用于将携带有所述设备认证响应值的设备认证响应发...
【专利技术属性】
技术研发人员:和峰,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。