基于演进分组系统的小规模核心网的鉴权方法及装置制造方法及图纸

本申请公开了一种基于演进分组系统的小规模核心网的鉴权方法，所述小规模核心网包括NAS模块，用于实现核心网侧移动管理实体的非接入协议层（NAS）的功能，所述方法包括：NAS模块在鉴权过程触发后，向HSS发送鉴权参数获取请求消息；NAS模块接收包含HSS经过计算得到的鉴权参数的响应消息后，NAS模块保存XRES，并基于鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给UE，以便UE根据鉴权请求消息包含的鉴权参数进行验证计算；NAS模块接收包含UE经过验证计算得到的实际的响应值的结果，并将所述实际的响应值与期望得到的响应值进行比较，如果相同，则鉴权成功。本申请还提供了一种鉴权装置。本申请的技术方案提高了鉴权效率。

【技术实现步骤摘要】
基于演进分组系统的小规模核心网的鉴权方法及装置
本申请涉及移动通信
，特别涉及一种基于演进分组系统的小规模核心网的鉴权方法及其鉴权装置。
技术介绍
为适应业务带宽要大、传输时延要小、网络覆盖要广等多方面的现实应用需求，3GPP推出了一种演进技术,即演进分组系统(Evolved Packet System,EPS),该系统是3GPP标准委员会制定的3G UMTS中最新的演进标准，其内容主要包括无线接口长期演进(LongTerm Evolution, LTE)和系统架构演进(System Architecture Evolution, SAE)。参见图1，该图示出了 EPC各网元拓扑结构图。EPS系统由核心网(Evolved Packet Core，EPC)、基站(eNodeB)和用户设备(UE)三部分组成，其中:EPC负责核心网部分，eNode B负责接入网部分(又称E-UTRAN)。根据3GPP对演进分组系统相关协议的规定，EPC核心网(参见图1)由移动管理实体(Mobility Management Entity, MME)、服务网关(Serving Gate Way, S-GW)、PDN 网关(PDN Gateway PDN, P-GW)、归属地签约用户服务器(Home Subscriber Server，HSS)、GPRS服务支持节点(Serving GPRS Support Node, SGSN)、策略和计费规则功能体(Policy andCharging Rules Function,PCRF)等组成。为了保护网络的安全性,协议规定了 UE的鉴权流程。该鉴权流程为:当UE接入时，MME收到UE接入产生的附着请求后，生成鉴权参数请求消息，并发送给HSS，HSS收到鉴权参数请求消息后，计算生成鉴权向量AV，该鉴权向量中包含期望得到响应值(Expected Response，XRES);然后将包含鉴权向量AV的鉴权参数响应消息发送给MME，MME存储AV向量，并生成用户鉴权请求消息发送给UE，UE根据用户鉴权请求消息中的参数计算生成用户鉴权响应消息并发送给MME，MME收到用户鉴权响应消息后，根据保存的AV向量计算出RES值，然后将RES值与AV向量中的XRES进行比较，若不相等，则向HSS发送鉴权失败消息，若相等，则鉴权成功，允许UE接入。上述鉴权过程是基于包含EPC全部功能的网络进行的，该网络具有复杂的结构，各个组成部分之间涉及相当多的接口，如图1所示，若不考虑网络间的切换则涉及的主要接口包括:MME和E-UTRAN间的Sl-MME接口、MME和S-GW间的SI I接口、MME和HSS间的S6a 接口、MME 和 SGSN 间的 S3 接口、S-Gff 和 E-UTRAN 间的 Sl-U 接口、S-Gff 和 P-Gff 间的 S5接口、S-Gff和SGSN间的S4接口、P-Gff和PCRF间的Gx接口、P-Gff和PDN间的SGi接口、PCRF和应用功能AF间的接口。不同接口之间采用的协议栈不完全相同，图2 (a)?(g)示出了不同接口之间采用的协议情形。然而，在某些小规模组网环境时(比如，特定的LTE测试、LTE专网)，只需要使用EPC的部分或者主要功能，在该情况下，如果仍然搭建一个庞大而复杂的核心网系统并基于该系统进行鉴权流程，必然增加成本，降低演进分组系统核心网鉴权的效率。
技术实现思路
为解决上述技术问题，本申请实施例提供了一种基于演进分组系统中的小规模核心网的鉴权方法及装置，以提高LTE鉴权实现的效率。本申请实施例提供了一种基于演进分组系统的小规模核心网的鉴权方法，所述小规模核心网包括:NAS模块，用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能，所述方法包括:NAS模块在鉴权过程触发后，向归属用户服务器(HSS)发送鉴权参数获取请求消息；NAS模块接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息，所述计算得到的鉴权参数包括期望得到的响应值(XRES)；NAS模块保存所述期望得到的响应值(XRES)，并基于所述鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给用户设备(UE)，以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算；NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果，并将所述实际的响应值(RES)与所述期望得到的响应值进行比较，如果相同，则鉴权成功。优选地，所述基于演进分组系统的小规模核心网包括安全模块，所述安全模块与NAS模块连接，所述鉴权方法包括:NAS模块在鉴权过程触发后，将用于计算鉴权参数的基础数据传递给安全模块，以便安全模块根据所述基础数据计算鉴权参数，并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块；NAS模块接收到鉴权参数后，保存鉴权参数中的期望得到的响应值(XRES)，并基于鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给用户设备(UE)，以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算；NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果，并将所述实际的响应值(RES)与所述期望得到的响应值进行比较，如果相同，则鉴权成功。进一步优选地，所述基于演进分组系统的小规模核心网还集成有:与NAS模块连接的SlAP模块、与SlAP模块连接的SCTP模块以及控制模块，所述NAS模块、SlAP模块、SCTP模块分别与控制模块连接，所述SlAP模块，用于实现核心网侧移动管理实体的SI接口应用协议层(SlAP)的功能；所述SCTP模块，用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能，所述控制模块，用于协调控制所述NAS模块、SlAP模块、SCTP模块实现各自模块的功能，所述鉴权过程触发包括:用户设备(UE)侧触发接入过程，向基站发起INITIAL UE MESSAGE消息，通过基站将INITIAL UE MESSAGE消息发送给SCTP模块；SCTP模块收到INITIAL UE MESSAGE消息后，经过SlAP模块透传给NAS模块；NAS模块收到SlAP模块传送的消息后向控制模块发送接入指示消息；控制模块收到接入指示后，记录用户设备(UE)的相关信息，并向NAS模块返回上下文建立请求(CONTEXT SETUP REQUEST)消息，以请求建立用户设备(UE)相关的上下文，所述上下文建立请求消息包含是否需要鉴权的鉴权标识位；NAS模块收到上下文建立请求消息后，通过上下文建立请求消息的鉴权标识位判断是否需要进行鉴权，如果需要鉴权，则触发鉴权过程。进一步优选地，所述安全模块根据基础数据计算鉴权参数之前，判断用户设备(UE)是否为首次接入网络，如果是，则初始化序列号(SQN);如果否，则判断UE上次接入网络是否鉴权成功，如果成功，则根据用户设备(UE)的IMSI号提取上次保存的SQN值，如果未成功，则根据用户设备(UE)的IMSI号读取上次接入时获得的随机值(RAND)，根据随机值(RAND)和返回的失败AUTS计算SQN值；所述鉴权请求消息包含的鉴权参数中具有SQN值本文档来自技高网...

【技术保护点】
一种基于演进分组系统的小规模核心网的鉴权方法，其特征在于，所述小规模核心网包括：NAS模块，用于实现核心网侧移动管理实体（MME）的非接入协议层（NAS）的功能，所述方法包括：NAS模块在鉴权过程触发后，向归属用户服务器（HSS）发送鉴权参数获取请求消息；NAS模块接收包含归属用户服务器（HSS）经过计算得到的鉴权参数的响应消息，所述计算得到的鉴权参数包括期望得到的响应值（XRES）；NAS模块保存所述期望得到的响应值（XRES），并基于所述鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给用户设备（UE），以便用户设备（UE）根据鉴权请求消息包含的鉴权参数进行验证计算；NAS模块接收包含用户设备（UE）经过验证计算得到的实际的响应值（RES）的结果，并将所述实际的响应值（RES）与所述期望得到的响应值进行比较，如果相同，则鉴权成功。

【技术特征摘要】
1.一种基于演进分组系统的小规模核心网的鉴权方法，其特征在于，所述小规模核心网包括:NAS模块，用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能，所述方法包括: NAS模块在鉴权过程触发后，向归属用户服务器(HSS)发送鉴权参数获取请求消息；NAS模块接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息，所述计算得到的鉴权参数包括期望得到的响应值(XRES)； NAS模块保存所述期望得到的响应值(XRES)，并基于所述鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给用户设备(UE)，以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算； NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果，并将所述实际的响应值(RES)与所述期望得到的响应值进行比较，如果相同，则鉴权成功。2.根据权利要求1所述的鉴权方法，其特征在于，所述基于演进分组系统的小规模核心网包括安全模块，所述安全模块与NAS模块连接，所述鉴权方法包括: NAS模块在鉴权过程触发后，将用于计算鉴权参数的基础数据传递给安全模块，以便安全模块根据所述基础数据计算鉴权参数，并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块； NAS模块接收到鉴权参数后，保存鉴权参数中的期望得到的响应值(XRES)，并基于鉴权参数生成鉴权请求消息，将该鉴权请求消息发送给用户设备(UE)，以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算； NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果，并将所述实际的响应值(RES)与·所述期望得到的响应值进行比较，如果相同，则鉴权成功。3.根据权利要求2所述的鉴权方法，其特征在于，所述基于演进分组系统的小规模核心网还集成有:与NAS模块连接的SlAP模块、与SlAP模块连接的SCTP模块以及控制模块，所述NAS模块、SlAP模块、SCTP模块分别与控制模块连接，所述SlAP模块，用于实现核心网侧移动管理实体的SI接口应用协议层(SlAP)的功能；所述SCTP模块，用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能，所述控制模块，用于协调控制所述NAS模块、SlAP模块、SCTP模块实现各自模块的功能，所述鉴权过程触发包括: 用户设备(UE)侧触发接入过程，向基站发起INITIAL UE MESSAGE消息，通过基站将INITIAL UE MESSAGE消息发送给SCTP模块； SCTP模块收到INITIAL UE MESSAGE消息后，经过SlAP模块透传给NAS模块； NAS模块收到SlAP模块传送的消息后向控制模块发送接入指示消息； 控制模块收到接入指示后，记录用户设备(UE)的相关信息，并向NAS模块返回上下文建立请求(CONTEXT SETUP REQUEST)消息，以请求建立用户设备(UE)相关的上下文，所述上下文建立请求消息包含是否需要鉴权的鉴权标识位； NAS模块收到上下文建立请求消息后，通过上下文建立请求消息的鉴权标识位判断是否需要进行鉴权，如果需要鉴权，则触发鉴权过程。4....

【专利技术属性】
技术研发人员：王璐，何爽，朱宇霞，付永魁，马赛，
申请(专利权)人：北京北方烽火科技有限公司，
类型：发明
国别省市：