CN101188608A - 协商网络认证方式的方法 - Google Patents
协商网络认证方式的方法 Download PDFInfo
- Publication number
- CN101188608A CN101188608A CNA200610156885XA CN200610156885A CN101188608A CN 101188608 A CN101188608 A CN 101188608A CN A200610156885X A CNA200610156885X A CN A200610156885XA CN 200610156885 A CN200610156885 A CN 200610156885A CN 101188608 A CN101188608 A CN 101188608A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- authentication protocol
- support
- authentication
- enhanced
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种协商网络认证方式的方法,包括以下步骤:用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。本发明实施例使增强型认证协议和标准认证协议共存,解决了支持这两种认证协议的设备之间的互联互通。
Description
技术领域
本发明实施例涉及移动通信领域,尤其涉及一种协商网络认证方式的方法。
背景技术
现有的3GPP(3rd Generation Partnership Project,第三代移动通信标准化伙伴项目)认证方案存在如下安全隐患:首先,根据3GPP的认证协议,MS(MobileStation,移动台)不能对VLR(Visitor Location Register,拜访位置寄存器)的合法性进行认证,如此一来,MS可能被假冒的VLR所欺骗;其次,MS首次申请认证时其IMSI(用户永久身份标识)以明文的方式传输,攻击者截获该IMSI可以假冒用户接入网络,同时IMSI泄漏会造成位置跟踪等攻击;第三,VLR和HLR(Home Location Register,归属位置寄存器)之间的敏感信息以明文方式传输,攻击者能够窃听VLR与HLR间信息得到CK(加密密钥)和IK(完整性密钥)。
针对以上3GPP的认证方案存在的安全隐患,我国已提出对3GPP的认证协议进行完善,称为“增强型认证协议”,并计划将其进行标准化。同时,在增强型认证协议中采用自主的空口加密算法和鉴权算法。在增强型认证协议中要求VLR和HLR之间共享密钥KH、同一种加密算法和同一种完整性验证算法。同时要求终端能产生随机数,也支持与HLR用于加密随机数的同一种加密算法和同一种完整性验证算法。
如此一来,对现有的设备就有了如下的新要求:
1)手机基带芯片集成单路标准算法和改进空口加密算法;
2)手机的USIM(User Service Identity Module,用户服务识别模块)卡支持标准认证协议和增强型认证协议;
3)VLR的基带芯片集成多路标准空口加密算法、改进空口加密算法和加密算法E;
4)VLR软件支持标准认证协议和增强型认证协议;
5)HLR支持标准认证协议、增强型认证协议和加密算法E;
6)AUC(鉴权中心)集中产生共享密钥K,发卡时USIM卡增加该参数;
7)AUC集中产生共享密钥KH,服务网建设时下载到服务网内,并定期更换。
由于国内的网络设备、用户终端和USIM卡无法同时升级以支持增强型认证协议,而且国外的网络设备、用户终端和USIM卡也不一定支持增强型认证协议,因此增强型认证协议和标准认证协议会长期共存。两种不同的认证协议共存会造成支持不同认证协议的设备之间的互联互通问题。
发明内容
本发明实施例所要解决的技术问题在于提供一种能解决不同认证协议共存的协商网络认证方式的方法。
为解决上述技术问题,本发明实施例所采用的技术方案是:提供一种协商网络认证方式的方法,包括以下步骤:
用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。
上述技术方案的进一步改进在于:所述方法还包括:如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式。
所述方法还包括:无线网络控制器向所有用户设备广播消息,所述消息中携带标识网络侧设备是否支持增强型认证协议的安全能力标识。
所述方法还包括:如果所述用户设备预设选择标准认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证。
所述方法还包括:如果所述用户设备不支持增强型认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证。
用户设备接收网络侧发送的消息,根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体包括:
如果所述消息指示所述网络侧设备不支持增强型认证协议,则所述用户设备以标准认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备本端支持增强型认证协议,则以增强型认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体包括:
如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协议,则以增强型认证协议的流程向网络侧设备发送认证请求;
所述网络侧设备接收到该请求后,如果确定本端支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回符合增强型认证协议响应消息;如果确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回拒绝消息;
所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议进行认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进行认证。
所述方法还包括所述用户设备判断本端是否支持增强型认证协议的步骤,具体为:所述用户设备判断用户终端和用户服务识别模块卡都支持增强型认证协议,则确定用户设备本端支持增强型认证协议,否则确定用户设备本端不支持增强型协议。
所述网络侧设备包括归属位置寄存器HLR和/或访问位置寄存器VLR。
本发明实施例的有益效果是:由于本发明实施例根据用户设备和网络设备是否支持增强型认证协议,若支持,则以增强型认证协议的流程进行认证;若不支持,则以标准认证协议进行认证,从而使增强型认证协议和标准认证协议共存,解决了支持这两种认证协议的设备之间的互联互通问题。
附图说明
图1是本发明实施例协商网络认证方式的方法流程示意图。
图2是本发明第一实施例协商网络认证方式的方法流程示意图。
图3是本发明用户设备同时支持增强型认证协议和标准认证协议的第一实施例协商网络认证方式的方法流程示意图。
图4是本发明用户设备不支持增强型认证协议的第一实施例协商网络认证方式的方法流程示意图。
图5是本发明第二实施例协商网络认证方式的方法流程示意图。
具体实施方式
为解决标准认证协议和增强型认证协议共存以达到支持这两种认证协议的设备之间互联互通的问题,本发明实施例采用了如下的解决方案。本发明实施例中用户设备包括用户终端和USIM卡,网络侧设备主要包括VLR和HLR。
请参阅图1,本发明实施例协商网络认证方式的方法包括以下步骤:
用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;
根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。
如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式;如果所述用户设备预设选择标准认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证;如果所述用户设备不支持增强型认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证。
所述方法还包括所述用户设备判断本端是否支持增强型认证协议的步骤,具体为:所述用户设备判断用户终端和用户服务识别模块卡都支持增强型认证协议,则确定用户设备本端支持增强型认证协议,否则确定用户设备本端不支持增强型协议。
本发明第一实施例的协商网络认证方式的方法,在广播消息中新增一安全能力标识,用于标识网络侧设备是否支持增强型认证协议。RNC(Radio NetworkController,无线网络控制器)设备通过广播消息,通知所有用户终端,用户终端如果支持增强型认证协议,必能识别此广播消息中的安全能力标识。
请参阅图2,本发明第一实施例的协商网络认证方式的方法具体包括以下步骤:
无线网络控制器向所有用户设备广播消息,所述消息中携带标识网络侧设备是否支持增强型认证协议的安全能力标识;
如果所述用户设备接收到所述消息,则根据所述消息中的安全能力标识进行网络侧设备和所述用户设备认证方式协商,具体包括:
如果所述消息指示所述网络侧设备不支持增强型认证协议,则所述用户设备以标准认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备本端支持增强型认证协议,则以增强型认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
请参阅图3,本发明用户设备同时支持增强型认证协议和标准认证协议的第一实施例协商网络认证方式的方法包括以下步骤:
1、RNC不断向用户设备广播消息,消息中携带标识网络侧设备是否支持增强型认证协议的安全能力标识;
2、用户设备收到广播消息后,根据消息中的安全能力标识判断网络侧设备是否支持增强型认证协议;若支持,则以增强型认证协议的流程向网络设备发送认证请求;若不支持,则以标准认证协议向网络设备发送认证请求。
请参阅图4,本发明用户设备不支持增强型认证协议的第一实施例协商网络认证方式的方法包括以下步骤:
1、RNC不断向用户设备广播消息,消息中携带标识网络侧设备是否支持增强型认证协议的安全能力标识;
2、用户设备收到广播消息后,将忽略广播消息中的安全能力标识;以标准认证协议向网络设备发送认证请求。
请参阅图5,本发明第二实施例协商网络认证方式的方法,即如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体为:
如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协议,则以增强型认证协议的流程向网络侧设备发送认证请求;
所述网络侧设备接收到该请求后,如果确定本端支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回符合增强型认证协议响应消息;如果确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回拒绝消息;
所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议进行后续认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进行认证。
采用本发明第二实施例协商网络认证方式的方法后,场景分析如下:
1)USIM卡不支持增强型认证协议
由于增强型认证协议对USIM卡有要求,因此无论用户终端或网络设备支持以否,配备不支持增强型认证协议的USIM卡的用户终端无法按照增强型认证协议发起请求,因此这种情况下只能使用标准认证协议。
2)USIM卡支持增强型认证协议,用户终端不支持增强型认证协议
由于用户终端不支持增强型认证协议,因此用户终端无法生成增强型认证协议要求的接入请求,在这种情况下只能使用标准认证协议。
3)USIM卡和用户终端支持增强型认证协议,VLR不支持增强型认证协议
用户设备(用户终端和USIM卡的组合)首先发送增强型认证协议的请求,VLR拒绝或不响应此请求,用户设备接收到拒绝指示或没有接收到任何指示,则用户设备判断出VLR不支持增强型认证协议。用户设备重新按照标准认证协议的流程执行认证。
4)USIM卡支持增强型认证协议,HLR不支持增强型认证协议
只有支持增强型认证协议的HLR才会发行支持增强型认证协议的USIM卡。因此这种情况不存在。
5)USIM卡、用户终端和网络设备全部支持增强型认证协议
按照增强型认证协议的流程执行认证。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种协商网络认证方式的方法,其特征在于包括以下步骤:
用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:无线网络控制器向所有用户设备广播消息,所述消息中携带标识网络侧设备是否支持增强型认证协议的安全能力标识。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:如果所述用户设备预设选择标准认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:如果所述用户设备不支持增强型认证协议,则确定所述网络侧设备和所述用户设备间以标准认证协议流程进行认证。
6.如权利要求1所述的方法,其特征在于,用户设备接收网络侧发送的消息,根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体包括:
如果所述消息指示所述网络侧设备不支持增强型认证协议,则所述用户设备以标准认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备本端支持增强型认证协议,则以增强型认证协议的流程进行认证;
如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
7.如权利要求2所述的方法,其特征在于,如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体包括:
如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协议,则以增强型认证协议的流程向网络侧设备发送认证请求;
所述网络侧设备接收到该请求后,如果确定本端支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回符合增强型认证协议响应消息;如果确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返回拒绝消息;
所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议进行认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进行认证。
8.如权利要求1、5-7任意一项所述的方法,其特征在于,所述方法还包括所述用户设备判断本端是否支持增强型认证协议的步骤,具体为:所述用户设备判断用户终端和用户服务识别模块卡都支持增强型认证协议,则确定用户设备本端支持增强型认证协议,否则确定用户设备本端不支持增强型协议。
9.如权利要求1至7任一项所述的方法,其特征在于,所述网络侧设备包括归属位置寄存器HLR和/或访问位置寄存器VLR。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610156885XA CN101188608B (zh) | 2006-11-16 | 2006-11-16 | 协商网络认证方式的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610156885XA CN101188608B (zh) | 2006-11-16 | 2006-11-16 | 协商网络认证方式的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101188608A true CN101188608A (zh) | 2008-05-28 |
| CN101188608B CN101188608B (zh) | 2010-09-08 |
Family
ID=39480797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610156885XA Active CN101188608B (zh) | 2006-11-16 | 2006-11-16 | 协商网络认证方式的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101188608B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010063190A1 (zh) * | 2008-12-04 | 2010-06-10 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
| CN102056162A (zh) * | 2009-11-03 | 2011-05-11 | 华为技术有限公司 | 接入认证的实现方法和设备及认证系统 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| CN114051244A (zh) * | 2021-11-10 | 2022-02-15 | 杭州萤石软件有限公司 | 一种终端侧设备与网络侧设备之间的认证方法、系统 |
| CN114391239A (zh) * | 2019-04-11 | 2022-04-22 | Lg电子株式会社 | 对抗共存攻击的系统和方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1173529C (zh) * | 2002-06-05 | 2004-10-27 | 华为技术有限公司 | 基于边界网关协议报文的控制报文安全保护方法 |
| EP1515507A1 (en) * | 2003-09-09 | 2005-03-16 | Axalto S.A. | Authentication in data communication |
| CN1717110A (zh) * | 2004-07-01 | 2006-01-04 | 株式会社Ntt都科摩 | 认证矢量生成装置、方法及用户认证模块、方法、移动通信系统 |
| CN100407868C (zh) * | 2005-06-17 | 2008-07-30 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
-
2006
- 2006-11-16 CN CN200610156885XA patent/CN101188608B/zh active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010063190A1 (zh) * | 2008-12-04 | 2010-06-10 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
| CN102056162A (zh) * | 2009-11-03 | 2011-05-11 | 华为技术有限公司 | 接入认证的实现方法和设备及认证系统 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| CN114391239A (zh) * | 2019-04-11 | 2022-04-22 | Lg电子株式会社 | 对抗共存攻击的系统和方法 |
| CN114391239B (zh) * | 2019-04-11 | 2023-06-16 | Lg电子株式会社 | 对抗共存攻击的系统和方法 |
| CN114051244A (zh) * | 2021-11-10 | 2022-02-15 | 杭州萤石软件有限公司 | 一种终端侧设备与网络侧设备之间的认证方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101188608B (zh) | 2010-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3329706B1 (en) | Establishing machine type communications using shared sim parameter | |
| EP2731382B1 (en) | Method for setting terminal in mobile communication system | |
| JP6574236B2 (ja) | Ueベースのネットワークサブスクリプション管理 | |
| AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| US20130080779A1 (en) | Indentifiers in a communication system | |
| CN107710801A (zh) | 免授权传输的方法、用户设备、接入网设备和核心网设备 | |
| US8300605B2 (en) | General access network controller bypass to facilitate use of standard cellular handsets with a general access network | |
| WO2016114843A2 (en) | Wi-fi privacy in a wireless station using media access control address randomization | |
| EP1103137A1 (en) | Arranging authentication and ciphering in mobile communication system | |
| EP2677789B1 (en) | Method and devices for remote smart card personalization | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| US20070188298A1 (en) | Establishing secure tunnels for using standard cellular handsets with a general access network | |
| US20080200147A1 (en) | Authentication of Mobile Communication Networks | |
| CN101188608B (zh) | 协商网络认证方式的方法 | |
| US20140171090A1 (en) | Using Standard Cellular Handsets with a General Access Network | |
| CN107659935B (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
| JP2022530955A (ja) | マルチsim装置及びサブスクリプション情報を検証する方法及びプロセス | |
| KR100983653B1 (ko) | 이동 통신 단말기 인증 장치 및 방법 | |
| KR101434750B1 (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| EP2863669A1 (en) | Method for authenticating a device to a short range radio-frequency communication network and corresponding device and server | |
| KR101385846B1 (ko) | 통신 방법 및 통신 시스템 | |
| CN103249042A (zh) | 一种唤醒终端gprs连接的方法、设备及系统 | |
| EP3160177A1 (en) | Method, server and system for managing a subscriber to a first network | |
| CA2527767A1 (en) | System and method for securing a personalized indicium assigned to a mobile communications device | |
| EP2747480A1 (en) | Method for accessing a second data communication network and corresponding device and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |