【技术实现步骤摘要】
本专利技术涉及移动通讯领域,尤其涉及一种移动通讯网络中的接入认证的方法和系 统。
技术介绍
接入认证是一个通讯网络的安全正常运行的基本需求,利用接入认证,网络可正 确的鉴别用户身份,并赋予合法用户所签约的业务能力,防止其他用户盗用业务,保证计费 的正确性。目前 WCDMA (Wideband Code Division Multiple Access,宽带码分多址)所采 用的AKA(Authentication and Key Agreement,认证与密钥协商)认证方法是较完善的 认证方法之一,WCDMA认证采用了共享密钥方式,用户终端的USIM(Universal Subscriber Identity Module,全球用户识别卡)卡和HLR(Home Location Register,归属位置寄存 器)之间存在一个共享密钥K,同时,由HLR生成随机数RAND,然后通过几种专有算法,生 成AUTN(认证令牌)、XRES (期望响应值)、CK (加密密钥)和IK (完整性保护密钥),这 四个参数连同随机数RAND,生成鉴权五元组向量,然后HLR将XRES、AUTN、RAND传递到 SGSN(Serving GPRS Support Node,服务GPRS支持节点),SGSN保存XRES,并将随机数RAND 和AUTN传递到UE (User Equipment,用户终端),UE利用RAND和共享密钥K计算出AUTN, 然后比对计算出的AUTN是否和传过来的AUTN —致,如果一致则表明终端接入的是合法的 网络,如果不一致说明是假冒的网络。当UE确定所 ...
【技术保护点】
一种移动通讯网络中的接入认证的方法,其特征在于,所述移动通讯网络包括身份位置寄存器(ILR)对用户终端的接入认证过程,所述方法具体包括如下步骤: 所述用户终端需要进行认证时,产生随机数RAND↓[UE],并获取接入服务器在网络中的路由标识符(RID)以及所述ILR产生的随机数RAND↓[ILR]; 所述用户终端利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果RES↓[2ILR],并将该认证结果RES↓[2ILR]发送给所述接入服务器; 所述接入服务器收到所述认证结果RES↓[2ILR]后,产生随机数RAND↓[ASN],并将所述认证结果RES↓[2ILR]与所述随机数RAND↓[ASN]发送给所述ILR; 所述ILR利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果XRES↓[2ILR],并将该认证结果XRES↓[2ILR]与接收到的认证结果RES↓[2ILR]进行比较,如果所述认证结果XRES↓[2ILR]与所述认证结果RES↓[2ILR]一致,所述接入认证通过;否则,所述接入认证失败; 其中,所述预共享密钥K1为所 ...
【技术特征摘要】
1.一种移动通讯网络中的接入认证的方法,其特征在于,所述移动通讯网络包括身份 位置寄存器(ILR)对用户终端的接入认证过程,所述方法具体包括如下步骤所述用户终端需要进行认证时,产生随机数RANDue,并获取接入服务器在网络中的路由 标识符(RID)以及所述ILR产生的随机数RANDiui ;所述用户终端利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算 得到认证结果RES2iui,并将该认证结果RES2iui发送给所述接入服务器;所述接入服务器收到所述认证结果RES2iui后,产生随机数RANDasn,并将所述认证结果 RES2ile与所述随机数RANDasn发送给所述ILR ;所述ILR利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算 得到认证结果XRES·,并将该认证结果XRK5·与接收到的认证结果RE^m进行比较,如果 所述认证结果XRES2iui与所述认证结果RES2mi —致,所述接入认证通过;否则,所述接入认 证失败;其中,所述预共享密钥Kl为所述用户终端与所述ILR的预共享密钥;所述第二认证参 数包括所述随机数RANDue、所述随机数RANDmi、用户身份标识符(SID)和所述RID为参数。2.如权利要求1所述的方法,其特征在于,所述接入服务器产生随机数RANDasn后,并将所述认证结果RES2mi与所述随机数RANDasn 发送给所述ILR进一步包括如下步骤所述接入服务器将所述认证结果RES2mi和随机数RANDasn用所述ILR的公钥采用非对 称加密算法加密后生成加密数据E2 ;所述接入服务器将该加密数据E2发送给所述ILR ; 所述ILR计算所述认证结果XRES2mi之前还包括所述ILR用所述ILR的私钥Ki对所述加密数据E2解密,获取所述认证结果RES2iui和 所述随机数RANDasn。3.如权利要求2所述的方法,其特征在于,所述接入服务器将所述加密数据E2发送给 所述ILR进一步包括如下步骤所述接入服务器用所述接入服务器的私钥Ka对所述加密数据E2进行数字签名 SIGNasn ;所述接入服务器将所述加密数据E2和所述数字签名SIGNasn发送给所述ILR ; 所述ILR对所述加密数据E2解密前,还包括所述ILR用所述接入服务器的公钥Kasn检验数字签名SIGNasn的正确性,如果正确,继续 执行所述ILR用所述ILR的私钥Ki对所述加密数据E2解密的步骤。4.如权利要求1所述的方法,其特征在于,所述ILR对所述用户终端的接入认证过程之 前,还包括所述用户终端对所述ILR的认证,具体包括如下步骤当用户终端需要接入认证时,将所述SID和所述随机数RANDue发送给所述接入服务器;所述接入服务器将接收到的所述SID和随机数RANDue,连同所述接入服务器的公钥Kasn 以及所述RID发送给所述ILR ;所述ILR利用所述预共享密钥Kl通过第一消息完整性校验算法对第一认证参数计算 得到认证结果RES2ue,并用所述Kasn采用非对称加密算法对第一加密参数加密后,将加密数 据El发送给所述接入服务器;其中,所述第一认证参数包括所述随机数RANDiie和随机数 RANDile ;所述第一加密参数包括所述认证结果RES2ue和随机数RANDiui ;所述接入服务器利用接入服务器的私钥Ka对所述加密数据El解密后,将得到的认证 结果RES2ue和随机数RANDiui发送给所述用户终端;所述用户终端收到所述认证结果RES21ie和随机数RANDiui后,利用所述预共享密钥Kl通 过第一消息完整性校验算法对第一认证参数计算得到认证结果XRES2ue后与所述认证结果 RES2ue进行比较,如果一致,所述用户终端对所述认证服务器的认证通过,否则,所述用户终 端对所述认证服务器的认证失败。5.如权利要求4所述的方法,其特征在于,所述ILR对所述用户终端的认证通过后,还 包括所述接入服务器对所述ILR的认证,具体包括如下步骤所述ILR利用所述ILR与所述接入服务器共享的认证密钥Kai,通过第三消息完整性校 验算法对第三认证参数计算得到认证结果RES2asn,并用所述接入服务器的公钥Kasn对第二 加密参数加密后得到加密数据E3,将该加密数据E3发送给所述接入服务器;其中,所述第 三认证参数包括RANDasn,RANDue, RANDile, RID, ILR的网络标识符(IID)和SID ;所述第二加 密参数包括所述认证结果RES2asn ;所述接入服务器接收到所述加密数据E3后,用所述接入服务器的私钥Ka将所述加密 数据E3解密,提取所述RES2asn,并用所述认证密钥Kai通过第三消息完整性校验算法对第三 认证参数计算得到认证结果RES2ASN ;所述接入服务器将所述XRES2asn和所述RE^asn进行比较,如果一致,则所述接入服务器 对所述ILR的认证通过;如果不一致,所述接入服务器对所述ILR的认证失败。6.如权利要求5所述的方法,其特征在于,所述第一加密参数还包括所述ILR的公钥Kiui和IID ;所述第二加密参数还包括接入数据加密密钥Keic,接入数据完整性校验密钥Kint,以及 其他密钥...
【专利技术属性】
技术研发人员:张世伟,符涛,吴强,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。