CN101026863A - 基于服务网络标志的umts认证向量生成方法 - Google Patents
基于服务网络标志的umts认证向量生成方法 Download PDFInfo
- Publication number
- CN101026863A CN101026863A CNA2006100240123A CN200610024012A CN101026863A CN 101026863 A CN101026863 A CN 101026863A CN A2006100240123 A CNA2006100240123 A CN A2006100240123A CN 200610024012 A CN200610024012 A CN 200610024012A CN 101026863 A CN101026863 A CN 101026863A
- Authority
- CN
- China
- Prior art keywords
- service network
- nid
- umts
- network
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于服务网络标志的UMTS认证向量生成方法,首先,按如下公式计算中间量MK,MK=K⊕NID。其中,K为归属网络和用户共享的密钥,NID为服务网络标志,长度均为128bit。当服务网络为电路交换域时,NID的低40bit为位置区标志LAI,高88bit为0;当服务网络为分组交换域时,NID的低48bit为路由区标志RAI,高80bit为0;然后,采用f1算法计算UMTS认证向量五元组之一AUTH中的MAC。本发明可以提高UMTS网络接入认证的安全强度,适用于第三代移动通信系统。
Description
技术领域
本发明涉及一种通用移动通信系统(UMTS)中接入认证时所需认证向量的生成方法。
背景技术
UMTS是第三代移动通信系统的一种可选标准,它采用双向的认证模式。当用户(UE)接入到UMTS时,可以对网络的合法性和可靠性进行认证,从而增强了无线网络的安全性。
目前的3GPP安全标准中(3GPP TS33.102),服务网络(SN)通过提供合法的认证向量五元组(RAND、XRES、CK、IK、AUTH)向UE证明网络的合法性。该认证向量是基于UE和归属网络(HN)共享的密钥K,不包含任何SN的信息。因此通过现行的认证方案,UE可以认证HN和SN的合法性,但是无法保证该SN是UE希望接入的网络。这样UE很容易遭受虚假UTRAN发起的重定位攻击,造成服务网络篡改和抵赖,从而引起计费混乱,甚至造成用户信息泄漏。
发明内容
本发明要解决的技术问题是提供一种基于服务网络标志的UMTS认证向量生成方法,它可以提高UMTS网络接入认证的安全强度。
为解决上述技术问题,本发明基于服务网络标志的UMTS认证向量生成方法包括如下步骤:
首先,按如下公式计算中间量MK
MK=KNID (1)
其中,K为归属网络和用户共享的密钥,NID为服务网络标志,长度均为128bit;
当服务网络为电路交换域时,NID的低40bit为位置区标志LAI,高88bit为0;当服务网络为分组交换域时,NID的低48bit为路由区标志RAI,高80bit为0;
然后,采用3GPP标准TS33.102中所述的f1算法计算UMTS认证向量五元组之一AUTH中的MAC。
由于采用上述方法,本发明通过修改UMTS认证向量中MAC的生成方法,使MAC中包含了服务网络的信息。用户通过认证MAC的合法性,可以获知实际提供服务的网络标志,使UTRAN无法伪装服务网络,从而可以有效地防止重定位攻击,提高无线通信的安全强度。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是采用本发明修改UMTS认证向量五元组之一AUTH中MAC的生成方法方框图;
图2是采用本发明的方法,服务网络为电路交换域时NID的构成图,其中LAI的最低位即是NID的最低位;
图3是采用本发明的方法,服务网络为分组交换域时NID的构成图,其中RAI的最低位即是NID的最低位。
具体实施方式
本发明的安全假设是:归属网络和服务网络是合法和安全的,UTRAN不安全,这符合移动通信的实际情况。
如图1所示,本发明基于服务网络标志的UMTS认证向量生成方法,通过修改UMTS认证向量五元组之一AUTH中的MAC,使MAC中包含服务网络的信息。
所述MAC仍然采用3GPP标准TS33.102中所述的f1算法进行计算,它包括四个输入参数:AMF,SQN,RAND和MK,分别对应原MAC生成算法(3GPP TS33.102)的AMF,SQN,RAND和K。
中间量MK按如下公式计算:
MK=KNID (1)
其中,K为HN和UE共享的密钥,NID为服务网络标志,长度均为128bit;当服务网络为电路交换域时,NID的低40bit为位置区标志LAI,高88bit为0;当服务网络为分组交换域时,NID的低48bit为路由区标志RAI,高80bit为0。
下面结合一个实施例对本发明作进一步的说明。
服务网络的操作
服务网络向归属网络申请认证向量时,提供用户请求的位置区标志LAI或路由区标志RAI。
归属网络的操作
如图2和图3所示,归属网络根据服务网络提供的位置区标志LAI或路由区标志RAI(当用户处于归属网络时,直接由UTRAN提供),构造服务网络标志NID。
归属网络根据与用户共享的密钥K,以及构造的NID计算MK。
归属网络根据RAND、SQN、AMF以及MK按照算法f1计算认证向量五元组之一AUTH中的MAC。认证向量五元组中其它认证向量的生成算法不变。
用户的操作
用户接收到认证向量五元组中的RAND和AUTH后,如果发现AUTH中的SQN合理,则首先根据共享密钥K和请求的服务网络标志NID计算MK,然后根据接收到的RAND以及AUTH中的AMF和SQN计算MAC;如果计算所得的MAC和AUTH中的MAC值一致,那么用户的网络的认证成功,否则认证失败。
Claims (1)
1、一种基于服务网络标志的UMTS认证向量生成方法,其特征在于包括如下步骤:
首先,按如下公式计算中间量MK
MK=KNID
其中,K为归属网络和用户共享的密钥,NID为服务网络标志,长度均为128bit;
当服务网络为电路交换域时,NID的低40bit为位置区标志LAI,高88bit为0;当服务网络为分组交换域时,NID的低48bit为路由区标志RAI,高80bit为0;
然后,采用f1算法计算UMTS认证向量五元组之一AUTH中的MAC。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100240123A CN101026863A (zh) | 2006-02-21 | 2006-02-21 | 基于服务网络标志的umts认证向量生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100240123A CN101026863A (zh) | 2006-02-21 | 2006-02-21 | 基于服务网络标志的umts认证向量生成方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101026863A true CN101026863A (zh) | 2007-08-29 |
Family
ID=38744665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006100240123A Pending CN101026863A (zh) | 2006-02-21 | 2006-02-21 | 基于服务网络标志的umts认证向量生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101026863A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110495198A (zh) * | 2017-05-09 | 2019-11-22 | 华为国际有限公司 | 网络认证方法、网络设备、终端设备及存储介质 |
CN111669276A (zh) * | 2019-03-07 | 2020-09-15 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
-
2006
- 2006-02-21 CN CNA2006100240123A patent/CN101026863A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110495198A (zh) * | 2017-05-09 | 2019-11-22 | 华为国际有限公司 | 网络认证方法、网络设备、终端设备及存储介质 |
CN111669276A (zh) * | 2019-03-07 | 2020-09-15 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
Shin et al. | Wireless network security and interworking | |
CN104661216B (zh) | 在wtru中传送nas消息的方法及wtru | |
US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
Mun et al. | 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA | |
JP5422037B2 (ja) | セルラー無線システムにおける無線基地局鍵を生成する方法と装置 | |
CN107181597B (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
Fu et al. | A fast handover authentication mechanism based on ticket for IEEE 802.16 m | |
Cao et al. | An uniform handover authentication between E-UTRAN and non-3GPP access networks | |
CN101588579B (zh) | 一种对用户设备鉴权的系统、方法及其基站子系统 | |
WO2009048574A2 (en) | Secure wireless communication | |
CN103002442A (zh) | 无线局域网密钥安全分发方法 | |
EP3182665A1 (en) | Switching method and switching system between heterogeneous networks | |
CN104010305A (zh) | 基于物理层密钥的终端和接入网的双向认证增强方法 | |
CN105262591A (zh) | 一种基于数据的网络通信实现方法 | |
CN108235300B (zh) | 移动通信网络用户数据安全保护方法及系统 | |
CN101616407B (zh) | 预认证的方法和认证系统 | |
Zheng et al. | Trusted computing-based security architecture for 4G mobile networks | |
US20080176572A1 (en) | Method of handoff | |
CN101873591A (zh) | 基于评价的无线传感器网络切换预认证方法 | |
CN101026863A (zh) | 基于服务网络标志的umts认证向量生成方法 | |
CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
CN101005489A (zh) | 一种保护移动通信系统网络安全的方法 | |
CN103139218B (zh) | 分离机制网络中可信域间映射更新认证方法 | |
Li et al. | A ticket-based re-authentication scheme for fast handover in wireless local area networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |