本发明专利技术实施例公开了鉴权方法、通信装置和通信系统,鉴权方法包括:第一设备接收中继站发送的认证请求,认证请求包含中继站身份标识;获取认证向量,向中继站发送所述认证向量,指示中继站对认证向量进行认证,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;接收中继站对所述认证向量认证通过后发送的响应值,对响应值进行认证,当认证通过时,派生空口密钥。本发明专利技术实施例通过在接入网侧引入一个逻辑实体,由接入网侧完成对中继站的身份认证及密钥派生,将中继站的鉴权功能完全限定在接入网侧实现,从而避免接入网引入中继站后对核心网的改动,使得引入中继站后的系统对整个网络的影响达到最小化。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及鉴权方法、通信装置和通信系统。
技术介绍
随着移动系统的覆盖范围越来越大,用户接入系统的数目逐渐增多,服务提供商提供的服务多元化发展,使得网络的复杂程度不断提高,如何保证网络和业务信息的安全是一个当前迫切需要解决的问题。在移动通信系统中,为了保证运营业务的安全性,网络侧需要对接入的用户设备(User Equipment, UE)进行鉴权处理,使得非法UE无法得到网络侧提供的服务,保障运营商的利益;同时,UE也需要验证网络侧发送的鉴权信息是否有效,即UE对网络侧进行鉴权 处理,防止非法网络侧利用合法网络侧已经使用过的鉴权信息对UE进行重放攻击,使UE相信该非法网络侧合法。现有长期演进(Long Term Evolved, LTE)网络系统中,UE和演进的基站(E-UTRANNode B, eNB)之间的空口链路是单跳的,采用演进的分组系统(Evolved Packet System,EPS)认证和密钥协商(Authentication and KeyAgreement, AKA)协议来完成用户和网络侧的鉴权过程,即包括身份认证和密钥协商的处理,其实现的基础是用户和网络侧预共享一个永久性对称密钥。整个鉴权过程包含在一个鉴权处理中进行,并且采用鉴权元组的方式来进行认证,鉴权元组包括包括随机数(RAND)、期望响应(Expected userResponse,XRES)、密钥(Kasme)和鉴权令牌(Authentication token, AUTN),其中,密钥是由加密密钥(Cipher Key, CK)和完整性密钥(Integrity Key, IK)共同派生的;其中,AUTN进一步包括鉴权序列号(Sequence Number, SQN)、鉴权管理域(Authentication Management Field,AMF)和消息鉴权编码(Message Authentication Code, MAC)三个部分。引入中继站(Relay Station, RS)后,LTE系统中UE和eNB之间的空口链路被分段,包括UE和RS之间的接入链路,以及RS和eNB之间的中继链路。RS的网络接入过程中,可以将RS看作为UE进行网络接入,即RS采用与传统UE相同的鉴权过程,具体接入过程参见图1,RS接入过程中的鉴权处理流程为步骤101 RS 向移动性管理实体(Mobility Management Entity, MME)发送认证请求,该消息中携带了 RS的国际移动用户标识(International MobileSubscriberIdentity,頂SI)、RS的能力(即所支持的加密和完整性保护算法)、以及派生密钥(Kasme)所对应的密钥标识符(KSIasme)等内容;步骤102 MME向归属用户服务器(Home Subscriber Server, HSS)转发RS的认证请求,该消息中携带了 RS的身份标识MSI、服务网络标识等内容,HSS根据RS的IMSI找到该用户对应的共享密钥K,并随机产生一个RAND,然后根据RAND、自身当前保存的鉴权SQN、RS和HSS共享密钥K及其它信息生成该RS对应的认证向量(Authentication Vector,AV),其中 AV 包括 RAND、XRES、Kasme 和 AUTN ;步骤103 HSS向MME返回认证响应,该消息中携带了该用户的认证向量AV,以及密钥Kasme所对应的密钥标识符KSIasme等内容,MME将收到的该RS的认证向量进行保存;步骤104 MME向RS发送RS认证请求,该消息中携带了该RS认证向量中对应的RAND和AUTN,以及密钥Kasme所对应的密钥标识符KSIasme等内容;步骤105 RS根据收到的RAND和AUTN,进行校验,包括根据RAND、AUTN中的SQN和与网络侧共享的密钥K共同计算出一个MAC值,并比较该MAC值和从接收到的AUTN中解析的MAC值是否一致,如果一致,则RS对网络侧的鉴权通过,则利用RAND和与网络侧共享的密钥K共同计算出一个响应(Response, RES)发送给MME ;步骤106 =MME比较从RS接收到的RES与本地存贮该用户AV中的XRES是否一致,如果一致,网络侧对RS的鉴权通过,则MME根据密钥Kasme进一步派生出空口密钥K6NB,并通过安全模式命令(Security Mode Command, SMC)将该空口密钥以及RS所支持的加密和完整性保护算法下发给eNB ;步骤107 :eNB根据收到的RS所支持的加密和完整性保护算法,以及自身支持的加密和完整性保护算法,确定空口用户面和控制面的加密和完整性保护密钥的算法,并将选定的算法通过SMC下发给RS,此时,RS和eNB可以各自利用空口密钥K6nb通过选定的密钥算法进一步派生出用户空口加密和完整性保护的密钥。在实现本专利技术的过程中,专利技术人发现上述技术方案至少存在如下缺陷接入网和核心网分属于不同的网络运营商,随着不同接入技术的不断出现,核心网运营商不希望由于接入网的变化而导致核心网的频繁变动。然而,在现有技术中,在引入RS后的LTE系统中,RS的鉴权过程必然需要对核心网的HSS进行相应的修改,即增加HSS对RS的安全上下文信息的存贮。
技术实现思路
本专利技术实施例提供鉴权方法、通信装置和通信系统,能够避免接入网引入RS后对核心网的改动。为解决上述问题,本专利技术实施例是通过以下技术方案来实现的一种鉴权方法,包括第一设备接收中继站发送的认证请求,认证请求包含中继站身份标识;第一设备获取认证向量,向中继站发送认证向量,指示中继站对认证向量进行认证,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;第一设备接收中继站对认证向量认证通过后发送的响应值,对响应值进行认证,当认证通过时,派生空口密钥。一种通信装置,包括请求接收单元,用于接收中继站发送的认证请求,认证请求包含中继站身份标识;获取单元,用于获取认证向量,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;认证向量发送单元,用于向中继站发送获取单元获取的认证向量,指示中继站对认证向量进行认证;响应值接收单元,用于接收中继站对认证向量发送单元发送的认证向量认证通过后发送的响应值;认证单元,用于对响应值接收单元接收的响应值进行认证;空口密钥派生单元,用于在认证单元对所述响应值认证通过时,派生空口密钥。一种通信系统,包括中继站,用于向第一设备发送认证请求,上述认证请求包含中继站身份标识,接收第一设备发送的认证向量,对上述认证向量进行认证,认证通过后生成响应值,向第一设备发送所述响应值;第一设备,用于接收中继站发送的认证请求,上述认证请求包含中继站的身份标识,获取认证向量,向中继站发送上述认证向量,接收中继站对上述认证向量认证通过后发送的上述响应值,对上述响应值进行认证,当认证通过时,派生空口密钥;独立于核心网的第二设备,用于生成认证向量,上述认证向量与上述中继站身份标识对应。可见,由于本专利技术实施例接入网侧接收RS发送的认证请求,生成认证向量并发送给RS,接收RS对认证向量认证通过后发送的响应值,对响应值进行认证,认证通过后派生空口密钥,完成对RS本文档来自技高网...
【技术保护点】
一种鉴权方法,其特征在于,包括: 第一设备接收中继站发送的认证请求,所述认证请求包含中继站身份标识; 所述第一设备获取认证向量,向所述中继站发送所述认证向量,指示所述中继站对所述认证向量进行认证,所述认证向量由独立于核心网的第二设备生成 ,与所述中继站身份标识对应; 所述第一设备接收所述中继站对所述认证向量认证通过后发送的响应值,对所述响应值进行认证,当认证通过时,派生空口密钥。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘菁,陈璟,彭炎,张爱琴,
申请(专利权)人:上海华为技术有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。