CN101588579B - 一种对用户设备鉴权的系统、方法及其基站子系统 - Google Patents
一种对用户设备鉴权的系统、方法及其基站子系统 Download PDFInfo
- Publication number
- CN101588579B CN101588579B CN2008101897593A CN200810189759A CN101588579B CN 101588579 B CN101588579 B CN 101588579B CN 2008101897593 A CN2008101897593 A CN 2008101897593A CN 200810189759 A CN200810189759 A CN 200810189759A CN 101588579 B CN101588579 B CN 101588579B
- Authority
- CN
- China
- Prior art keywords
- authentication
- encryption
- request message
- encryption key
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明的实施例公开了一种对用户设备鉴权的方法,用于基站子系统接入分组域网络的系统中,包括:接收来自SGSN的鉴权及加密请求消息,获得第一加密密钥Kcl及加密算法信息;将鉴权及加密请求消息发送给接入所述基站子系统的用户设备;接收来自用户设备的经加密的鉴权及加密响应消息,利用第一加密密钥Kcl经加密算法进行解密处理;将解密后的鉴权及加密响应消息发送给所述SGSN,以使SGSN根据该鉴权及加密响应消息对该用户设备进行鉴权。实施本发明实施例,可以解决基站子系统BSS与分组域网络建立用户面单隧道的系统中实现对用户设备的鉴权加密问题。
Description
本申请要求于2008年5月20日提交中国专利局、申请号为200810028185.1,发明名称为“建立用户面单隧道的方法、系统及其基站子系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及电子通信领域,尤其涉及一种对用户设备鉴权的系统、方法及其基站子系统。
背景技术
GPRS(General Packet Radio Service,通用分组无线业务)是一个基于包交换的第二代移动通信网络。到了第三代移动通信系统,GPRS演进为UMTS PS(Universal Mobile Telecommunication System Packet Switch,通用移动通信系统分组交换)域。传统的GSM与分组域网络之间无法建立单隧道,可以通过对GSM/GPRS的网络架构和BSS-CN接口协议栈进行改造来实现单隧道.
如图1所示,是一种基站子系统BSS与分组域网络建立用户面单隧道的系统的架构图。从中可以看出,该系统包括:终端(未画出)、基站子系统BSS、分组域网络UMTS,其中,BSS包括基站控制器BSC以及基站收发信机BST;分组域网络UMTS至少包括SGSN以及与所述SGSN相耦接的GGSN。其中,该基站子系统通过增强的分组域网络Iu控制面接口eIuPS-C与分组域网络的SGSN相耦接;基站子系统通过增强的分组域网络Iu用户面接口eIuPS-U与分组域网络的GGSN相耦接;基站子系统通过该eIuPS-U接口与GGSN之间建立用户面单隧道,其中该eIuPS-C和eIuPS-U接口是对原IuPS接口(IuPS-C、IuPS-U接口)的修改和增强。
如图2所示,是图1中用户面协议栈示意图;为了实现用户面单隧道,需要BSS(如其中的BSC)能进行用户面的处理,需要将SNDCP协议和LLC协议下移到BSC中处理,并且要求BSC能够处理GTP-U协议,故图1中的实施例的用户面协议栈可以采用图2的方式;
如图3所示,是图1中控制面协议栈示意图;为了支持单隧道,对GSM/GPRS的网络架构和Gb接口协议栈进行了改造,由此带来了对控制面的影响。故GSM/GPRS的控制面协议栈也需要改造,图3即为本发明对应于图1中的一种改造后的控制面协议栈。其中,BSS中的BSC增加了RANAP协议栈的处理,并且LLC下移到BSC进行处理。由于2G的NAS/BSSGP(Base SubSystem GPRSProtocol,基站子系统GPRS协议)和3G的NAS/RANAP(Radio Access NetworkApplication Part protocol,无线接入网络应用协议)的差异,所以BSC需要进行:1)NAS层协议的适配;2)BSSGP与RANAP协议的适配等。
发明人在实施本发明时发现,对于这种在基站子系统BSS与分组域网络建立用户面单隧道的系统中,现在尚没有合适的用户设备鉴权和加密的方法。
这是因为现有的GPRS鉴权和加密机制和UMTS PS域鉴权和加密流程机制有很大的区别,不能简单地进行组合。
如图4所示,是GPRS网络进行用户设备鉴权和加密的一种实施例的示意图;从中可以看出,GPRS鉴权和加密程序是在同一个流程完成,首先,SGSN通过向用户设备MS发送鉴权及加密请求(AUTHENTICATION ANDCIPHERING REQUEST)消息来启动鉴权和加密过程;其次,用户设备接收到该鉴权及加密请求消息后,完成加密算法的协商,并根据鉴权及加密请求中的信息计算产生加密密钥Kc并启动加密,然后将相应的信息携带在鉴权及加密响应消息(AUTHENTICATION AND CIPHERING RESPONSE)中,供SGSN对用户设备进行鉴权,判断该用户设备是否为合法的用户。
如图5所示,是UMTS网络进行用户设备鉴权和加密的一种实施例的示意图。从中可以看出,UMTS PS域的认证过程是通过鉴权及加密(AUTHENTICATIONAND CIPHERING)程序来实现的。加密算法和密钥协商是通过安全模式(SECURITY MODE COMMAND)程序来实现的。其中,还包括完整性保护的过程。
从上述可以看出,对于图1的在基站子系统BSS与分组域网络建立用户面单隧道的系统中,现在尚不能采用图4或图5中的用户设备鉴权及加密方法。由于在图1的系统中,随着LLC下移BSS,空口信令数据下行的加密和上行的解密功能也由原先由SGSN完成,下移至由BSS来完成;如果采用现有的GPRS认证和加密流程,BSS将无法完成对2G用户数据和信令的解密。另外,由于2G的用户设备MS也不支持UMTS的认证和加密。所以,现在尚没办法对图1的系统中的用户设备进行认证和加密。
发明内容
本发明所要解决的技术问题为提供一种对用户设备鉴权的系统、方法及其基站子系统,以实现在基站子系统BSS与分组域网络建立用户面单隧道的系统中实现对用户设备的鉴权加密。
本发明实施例提供一种对用户设备鉴权的方法,用于基站子系统接入分组域网络的系统中,所述方法包括:
接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息,并将第一加密密钥Kc1从鉴权及加密请求消息中去除;
将去除第一加密密钥Kc1后的所述鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
接收来自所述用户设备的经加密的鉴权及加密响应消息,利用所述第一加密密钥Kc1经所述加密算法进行解密处理;
将所述解密后的鉴权及加密响应消息发送给所述SGSN,以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
本发明实施例提供一种对用户设备鉴权的方法,用于基站子系统接入分组域网络的系统中,所述方法包括:
分组域网络的SGSN获取鉴权向量信息及加密算法信息,生成鉴权及加密请求消息并发送给基站子系统,所述鉴权向量信息至少包含第一加密密钥Kc1;
基站子系统接收所述鉴权及加密请求消息,获得所述第一加密密钥Kc1及加密算法信息并存储,并将所述第一加密密钥Kc1从鉴权及加密请求消息中去除,并将所述去除第一加密密钥Kc1后的鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
用户设备依据所述鉴权及加密请求消息生成鉴权及加密响应消息,并依据所述鉴权及加密请求消息生成第二加密密钥Kc2,利用所述第二加密密钥Kc2经所述加密算法对所述鉴权及加密响应消息进行加密处理后,发送给所述基站子系统;
基站子系统接收来自所述用户设备的经加密的鉴权及加密响应消息,利用来自所述第一加密密钥Kc1经所述加密算法进行解密处理,将解密后的鉴权及加密响应消息发送给SGSN;
所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
本发明实施例提供一种基站子系统,用于在接入分组域网络时对用户设备进行鉴权,包括:
请求消息接收模块,用于接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息,并将第一加密密钥Kc1从鉴权及加密请求消息中去除;
鉴权及加密请求模块,用于将所述去除第一加密密钥Kc1的鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
鉴权及加密响应接收模块,用于接收来自用户设备的经加密的鉴权及加密响应消息;
解密模块,用于利用所述第一加密密钥Kc1经所述加密算法对所述经加密的鉴权及加密响应消息进行解密;
发送模块,将所述解密后的鉴权及加密响应消息发送给所述SGSN,以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
本发明实施例提供一种对用户设备鉴权的系统,包括通过增强的分组域网络Iu接口相耦接的基站子系统和SGSN,以及接入所述基站子系统的用户设备,其中,
SGSN,用于生成鉴权及加密请求消息并发送给基站子系统;且用于接收来自基站子系统的鉴权及加密响应消息,并根据所述鉴权及加密响应消息对接入所述基站子系统的用户设备进行鉴权;
基站子系统,用于将来自所述SGSN的鉴权及加密请求消息去除第一加密密钥后发送给用户设备;并用于接收来自用户设备的经加密的鉴权及加密响应消息,以所述第一加密密钥Kc1经加密算法进行解密,并将所述解密后的鉴权及加密响应消息发送给所述SGSN;
用户设备,用于根据接收的所述鉴权及加密请求消息生成所述鉴权及加密响应消息并进行加密,发送给基站子系统。
本发明实施例的对用户设备鉴权的系统、方法及其基站子系统,通过基站子系统存储接收的鉴权及加密请求消息中的加密密钥与加密算法,来对接收的来自用户设备的经加密的鉴权及加密响应消息进行解密,并将解密出来的鉴权信息发送给SGSN,该SGSN完成对用户设备的鉴权。从而实现对用户设备的鉴权及加/解密过程,解决了基站子系统BSS与分组域网络建立用户面单隧道的系统中实现对用户设备的鉴权以及加密问题。
附图说明
图1是一种基站子系统与分组域网络UMTS建立用户面单隧道的系统的架构图;
图2是一种基站子系统与分组域网络UMTS建立用户面单隧道的系统的用户面协议栈示意图;
图3是一种基站子系统与分组域网络UMTS建立用户面单隧道的系统的控制面协议栈示意图;
图4是一种GPRS网络认证和加密的流程示意图;
图5是一种UMTS PS域网络认证和加密的流程示意图;
图6是本发明对用户设备鉴权的系统的一个实施例结构示意图;
图7是本发明对用户设备鉴权的方法的一个实施例流程示意图。
具体实施方式
下面结合附图,对本发明实施例的技术方案进行详细说明。
如图6所示,是本发明对用户设备鉴权的系统的一个实施例结构示意图;在该实施例中,对用户设备鉴权的系统包括通过增强的分组域网络Iu接口(eIu-PS)相耦接的基站子系统2和SGSN 3,以及接入所述基站子系统2的用户设备1,其中,
SGSN 3用于生成鉴权及加密请求消息并发送给基站子系统,以用用于接收来自基站子系统鉴权及加密响应消息,并根据该鉴权及加密响应消息对用户设备1进行鉴权;
基站子系统2,将来自SGSN 3的鉴权及加密请求消息发送给用户设备1;并对来自用户设备1的经加密的鉴权及加密响应消息进行解密;并将该解密后的鉴权及加密响应消息发送给SGSN 3;
用户设备1,根据接收的鉴权及加密请求消息生成鉴权及加密响应消息,并在进行加密后,发送给基站子系统2。
更具体地,该SGSN 3进一步包括:
鉴权及加密请求消息生成模块30,用于根据获得的认证向量信息及加密算法信息(如,加密算法类型),生成对于某个用户设备1的鉴权及加密请求消息,该鉴权及加密请求消息会经增强的分组域网络Iu接口发送给基站子系统2,其中,该认证向量信息可以包括2G网络的鉴权三元组信息或者3G网络的的鉴权五元组,其中,在实现中,鉴权三元组中的第一加密密钥Kc1信息可由3G网络的鉴权五元组中的加密密钥CK和完整性密钥IK转化而来。SGSN 3可以从该用户设备的归属位置寄存器(HLR)或者设备注册的鉴权中心(AUC)中获得上述的认证向量信息及加密算法信息;
鉴权及加密响应消息接收模块32,用于接收来自基站子系统2的鉴权及加密响应消息;
鉴权模块34,用于将鉴权及加密响应消息中的第二鉴权响应值SRES2与SGSN中预先存储的第一鉴权响应值SRES1或期望响应XRES进行比较,确定对该用户设备是否鉴权成功。例如,如果两者相同,则指示对用户设备鉴权成功;否则指示鉴权失败。
存储模块36,用于存储与鉴权及加密相关的信息,例如为每个用户设备分配的鉴权向量五元组、鉴权向量三元组信息、加密算法等等。
该基站子系统2可进一步包括:
请求消息接收模块20,用于接收来自分组域网络的SGSN 3的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息并存储,以及随机数RAND等信息,并将第一加密密钥Kc1从该鉴权及加密请求消息中去除;
鉴权及加密请求模块22,用于将该去除第一加密密钥Kc1的鉴权及加密请求消息发送给接入该基站子系统的用户设备1;
鉴权及加密响应接收模块24,用于接收来自用户设备1的经加密的鉴权及加密响应消息;
解密模块26,用于利用存储的第一加密密钥Kc1经该存储的加密算法对该经加密的鉴权及加密响应消息进行解密;
发送模块28,将解密后的鉴权及加密响应消息发送给所述SGSN,以使SGSN根据该鉴权及加密响应消息对该用户设备进行鉴权。
用户设备1可进一步包括:
鉴权及加密请求消息接收模块10,用于接收来自基站子系统的鉴权及加密请求消息,获得随机数RAND、密钥序列号CKSN及加密算法信息;
鉴权及加密响应消息生成模块12,用于根据鉴权及加密请求消息中的信息,进行处理生成鉴权及加密响应消息,具体地,根据该随机数RAND通过计算生成第二鉴权响应值SRES2,将该第二鉴权响应值携带在所述鉴权及加密响应消息中;
加密模块14,根据该随机数RAND与用户设备的SIM卡中的Ki(Keyidentifier,密码标识)经过计算得到第二加密密钥Kc2,以该第二加密密钥Kc2以及获得的加密算法,对鉴权及加密响应消息进行加密处理;
鉴权及加密响应消息发送模块16,将经加密模块14加密后的鉴权及加密响应消息发送给基站子系统2。
对于本系统中的更多细节,可以结合后述对方法实施例的描述。
如图7所示,是本发明对用户设备鉴权的方法的一个实施例结构示意图。
在本发明的实施例中,该方法流程具体包括:
步骤S70,分组域网络的SGSN通过配置或其他方式知道要通过eIu-PS接口向基站子系统BSS发送鉴权及加密请求消息,则从该用户设备的归属位置寄存器(HLR)或者该用户设备注册的鉴权中心(AUC)中获取鉴权向量信息及加密算法信息,生成鉴权及加密请求消息并发送给基站子系统;
具体地,所述鉴权向量信息为2G网络的鉴权三元组,包括第一加密密钥Kc1、随机数RAND以及第一鉴权响应值SRES1。此时需要将第一加密密钥Kc1、随机数RAND以及加密算法携带在鉴权及加密请求消息中,例如,在一种实施方式中,可以将第一加密密钥Kc1填写在鉴权及加密请求消息的AUTN(鉴权令牌)参数中。
或者,所述鉴权向量信息为3G网络的鉴权五元组,包括随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK以及鉴权令牌AUTN。此时需要首先将加密密钥CK和完整性密钥IK转化成2G网络鉴权三元组中的第一加密密钥Kc1;并将第一加密密钥Kc1、随机数RAND以及加密算法携带在鉴权及加密请求消息中。
可以理解的是,如果获得的是下一代的系统演进架构的鉴权向量,也可以通过转化成第一加密密钥Kc1的方式来生成鉴权及加密请求消息。
步骤S71,基站子系统接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息并存储;并将第一加密密钥Kc1从鉴权及加密请求消息中去除,将该去除第一加密密钥Kc1的鉴权及加密请求消息发送给接入该基站子系统的用户设备;
步骤S72,用户设备根据鉴权及加密请求消息中的随机数RAND生成第二鉴权响应值SRES2,将该第二鉴权响应值SRES2携带在生成的鉴权及加密响应消息中;利用该随机数RAND和SIM卡中的密码标识Ki经过计算得到第二加密密钥Kc,利用该第二加密密钥Kc经加密算法对该鉴权及加密响应消息进行加密处理,并发送给基站子系统;
步骤S73,基站子系统接收来自用户设备的经加密的鉴权及加密响应消息,利用步骤S71中存储的第一加密密钥Kc1经存储的加密算法进行解密处理,将解密后的鉴权及加密响应消息发送给SGSN;
步骤S74,SGSN将鉴权及加密响应消息中所携带的第二鉴权响应值SRES2与SGSN中预先存储的第一鉴权响应值SRES1或期望响应值XRES进行比较,如果相同,则指示对所述用户设备的鉴权成功;否则指示为鉴权失败。
在鉴权成功之后,则用户设备与基站子系统之间传递的数据与信令,均可以通过上述的第二加密密钥Kc以及加密算法进行加密或解密的处理,以保证数据或信令传输的保密性。
本发明实施例的对用户设备鉴权的系统、方法及其基站子系统进行了详细的说明,通过改造基站子系统,使基站子系统适应或处理对用户设备的鉴权及加/解密过程,解决了基站子系统BSS与分组域网络建立用户面单隧道的系统中实现对用户设备的鉴权加密问题。
本发明实施例中以基站子系统中的BSC为例进行了说明,本领域普通技术人员可以理解的是,基站子系统中可能存在其他能实现所述功能的单元,不影响本发明的实质,也应落入本发明的保护范围。
虽然本发明的特征和元素在优选的实施方式中以特定的结合进行了描述,但每个特征或元素可以在没有所述优选实施方式的其他特征和元素的情况下单独使用,或在与或不与本发明的其他特征和元素结合的各种情况下使用。本发明提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施,其中所述计算机程序、软件或固件是以有形的方式包含在计算机可读存储介质中的。关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM碟片和数字通用光盘(DVD)之类的光介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (17)
1.一种对用户设备鉴权的方法,用于基站子系统接入分组域网络的系统中,其特征在于,所述方法包括:
接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息,并将第一加密密钥Kc1从鉴权及加密请求消息中去除;
将去除第一加密密钥Kc1后的所述鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
接收来自所述用户设备的经加密的鉴权及加密响应消息,利用所述第一加密密钥Kc1经所述加密算法进行解密处理;
将所述解密后的鉴权及加密响应消息发送给所述SGSN,以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
2.如权利要求1所述的对用户设备鉴权的方法,其特征在于,进一步包括:
所述鉴权及加密请求消息由所述SGSN获取鉴权向量信息及加密算法信息生成,其中,所述鉴权向量信息为鉴权三元组,包括第一加密密钥Kc1、随机数RAND以及第一鉴权响应值SRES1。
3.如权利要求1所述的对用户设备鉴权的方法,其特征在于,进一步包括:
所述鉴权及加密请求消息由所述SGSN获取鉴权向量信息及加密算法信息生成,其中,所述鉴权向量信息为鉴权五元组,包括随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK以及鉴权令牌AUTN;且由所述鉴权五元组的加密密钥CK和完整性密钥IK转化成第一加密密钥Kc1。
4.如权利要求2或3所述的对用户设备鉴权的方法,其特征在于,所述用户设备的经加密的鉴权及加密响应消息通过下述步骤获得:
用户设备获取所述鉴权及加密请求消息携带的密钥序列号CKSN、加密算法以及随机数RAND;
根据所述随机数RAND计算获得第二鉴权响应值SRES2,携带在所述鉴权及加密响应消息中,且根据所述随机数与用户设备中的SIM卡中的密码标识Ki 计算得到第二加密密钥Kc2;
利用所述第二加密密钥Kc2经所述加密算法对所述鉴权及加密响应消息进行加密处理。
5.如权利要求4所述的对用户设备鉴权的方法,其特征在于,所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权为:
将所述鉴权及加密响应消息中所携带的第二鉴权响应值SRES2与SGSN中预先存储的第一鉴权响应值SRES1或期望响应值XRES进行比较,如果相同,则指示对所述用户设备的鉴权成功;否则指示为鉴权失败。
6.一种对用户设备鉴权的方法,用于基站子系统接入分组域网络的系统中,其特征在于,所述方法包括:
分组域网络的SGSN获取鉴权向量信息及加密算法信息,生成鉴权及加密请求消息并发送给基站子系统,所述鉴权向量信息至少包含第一加密密钥Kc1;
基站子系统接收所述鉴权及加密请求消息,获得所述第一加密密钥Kc1及加密算法信息并存储,并将所述第一加密密钥Kc1从鉴权及加密请求消息中去除,并将所述去除第一加密密钥Kc1后的鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
用户设备依据所述鉴权及加密请求消息生成鉴权及加密响应消息,并依据所述鉴权及加密请求消息生成第二加密密钥Kc2,利用所述第二加密密钥Kc2经所述加密算法对所述鉴权及加密响应消息进行加密处理后,发送给所述基站子系统;
基站子系统接收来自所述用户设备的经加密的鉴权及加密响应消息,利用来自所述第一加密密钥Kc1经所述加密算法进行解密处理,将解密后的鉴权及加密响应消息发送给SGSN;
所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
7.如权利要求6所述的对用户设备鉴权的方法,其特征在于,所述分组域网络的SGSN获取鉴权向量信息及加密算法信息,生成鉴权及加密请求消息的步骤具体为:
所述SGSN获取鉴权三元组及加密算法信息,其中,所述鉴权三元组包括第一加密密钥Kc1、随机数RAND以及第一鉴权响应值SRES1;
将所述第一加密密钥Kc1、随机数RAND以及加密算法携带在鉴权及加密请求消息中。
8.如权利要求6所述的对用户设备鉴权的方法,其特征在于,所述分组域网络的SGSN获取鉴权向量信息及加密算法信息,生成鉴权及加密请求消息的步骤具体为:
所述SGSN获取鉴权五元组及加密算法信息,所述鉴权五元组包括随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK以及鉴权令牌AUTN;
将所述鉴权五元组的加密密钥CK和完整性密钥IK转化成第一加密密钥Kc1;
将所述第一加密密钥Kc1、随机数RAND以及加密算法携带在鉴权及加密请求消息中。
9.如权利要求7或8所述的对用户设备鉴权的方法,其特征在于,所述用户设备依据所述鉴权及加密请求消息生成鉴权及加密响应消息的步骤包括:
获取所述鉴权及加密请求消息携带的密钥序列号CKSN、加密算法以及随机数RAND;
根据所述随机数RAND计算获得第二鉴权响应值SRES2,携带在所述鉴权及加密响应消息中。
10.如权利要求9所述的对用户设备鉴权的方法,其特征在于,所述依据所述鉴权及加密请求消息生成第二加密密钥Kc2具体为:
根据所述鉴权及加密请求消息中所携带的随机数RAND与用户设备的SIM卡中的密码标识Ki经过计算得到所述第二加密密钥Kc2。
11.如权利要求9所述的对用户设备鉴权的方法,其特征在于,所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权进一步包括:
将所述鉴权及加密响应消息中所携带的第二鉴权响应值SRES2与SGSN中 预先存储的第一鉴权响应值SRES1或期望响应值XRES进行比较,如果相同,则指示对所述用户设备的鉴权成功;否则指示为对所述用户设备的鉴权失败。
12.一种基站子系统,用于在接入分组域网络时对用户设备进行鉴权,其特征在于,包括:
请求消息接收模块,用于接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息,并将第一加密密钥Kc1从鉴权及加密请求消息中去除;
鉴权及加密请求模块,用于将所述去除第一加密密钥Kc1的鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
鉴权及加密响应接收模块,用于接收来自用户设备的经加密的鉴权及加密响应消息;
解密模块,用于利用所述第一加密密钥Kc1经所述加密算法对所述经加密的鉴权及加密响应消息进行解密;
发送模块,将所述解密后的鉴权及加密响应消息发送给所述SGSN,以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
13.如权利要求12所述的基站子系统,其特征在于,所述来自SGSN的鉴权及加密请求消息中至少包括加密算法信息、第一加密密钥Kc1以及随机数RAND。
14.一种对用户设备鉴权的系统,包括通过增强的分组域网络Iu接口相耦接的基站子系统和SGSN,以及接入所述基站子系统的用户设备,其特征在于,其中,
SGSN,用于生成鉴权及加密请求消息并发送给基站子系统;且用于接收来自基站子系统的鉴权及加密响应消息,并根据所述鉴权及加密响应消息对接入所述基站子系统的用户设备进行鉴权;
基站子系统,用于将来自所述SGSN的鉴权及加密请求消息去除第一加密密钥后发送给用户设备;并用于接收来自用户设备的经加密的鉴权及加密响应消息,以所述第一加密密钥Kc1经加密算法进行解密,并将所述解密后的鉴权 及加密响应消息发送给所述SGSN;
用户设备,用于根据接收的所述鉴权及加密请求消息生成所述鉴权及加密响应消息并进行加密,发送给基站子系统。
15.如权利要求14所述的对用户设备鉴权的系统,其特征在于,所述基站子系统,进一步包括:
请求消息接收模块,用于接收来自分组域网络的SGSN的鉴权及加密请求消息,获得第一加密密钥Kc1及加密算法信息,并将第一加密密钥Kc1从鉴权及加密请求消息中去除;
鉴权及加密请求模块,用于将所述去除第一加密密钥Kc1后的鉴权及加密请求消息发送给接入所述基站子系统的用户设备;
鉴权及加密响应接收模块,用于接收来自用户设备的经加密的鉴权及加密响应消息;
解密模块,用于利用所述第一加密密钥Kc1经所述加密算法对所述经加密的鉴权及加密响应消息进行解密;
发送模块,将所述解密后的鉴权及加密响应消息发送给所述SGSN,以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。
16.如权利要求14所述的对用户设备鉴权的系统,其特征在于,所述SGSN进一步包括:
鉴权及加密请求消息生成模块,用于根据获得的认证向量信息及加密算法信息,生成对于所述用户设备的鉴权及加密请求消息;所述认证向量信息包括鉴权三元组信息,或者由鉴权五元组中的加密密钥CK和完整性密钥IK转化而来的第一加密密钥Kc1;
鉴权及加密响应消息接收模块,用于接收来自基站子系统的鉴权及加密响应消息;
鉴权模块,用于将鉴权及加密响应消息中的第二鉴权响应值SRES2与SGSN中预先存储的第一鉴权响应值SRES1或期望响应XRES进行比较,确定对所述用户设备是否鉴权成功。
17.如权利要求15或16所述的对用户设备鉴权的系统,其特征在于,所述用户设备进一步包括:
鉴权及加密请求消息接收模块,用于接收来自基站子系统的鉴权及加密请求消息,获取携带的密钥序列号CKSN、加密算法以及随机数RAND;
鉴权及加密响应消息生成模块,用于根据所述随机数RAND计算获得第二鉴权响应值SRES2,携带在鉴权及加密响应消息;
加密模块,根据所述随机数RAND以及SIM卡中的密码标识Ki生成第二加密密钥Kc2,以所述第二加密密钥Kc2经所述加密算法,对鉴权及加密响应消息进行加密处理;
鉴权及加密响应消息发送模块,用于将所述加密后的鉴权及加密响应消息发送给基站子系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101897593A CN101588579B (zh) | 2008-05-20 | 2008-12-31 | 一种对用户设备鉴权的系统、方法及其基站子系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810028185.1 | 2008-05-20 | ||
| CN200810028185 | 2008-05-20 | ||
| CN2008101897593A CN101588579B (zh) | 2008-05-20 | 2008-12-31 | 一种对用户设备鉴权的系统、方法及其基站子系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101588579A CN101588579A (zh) | 2009-11-25 |
| CN101588579B true CN101588579B (zh) | 2011-09-14 |
Family
ID=41372594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101897593A Active CN101588579B (zh) | 2008-05-20 | 2008-12-31 | 一种对用户设备鉴权的系统、方法及其基站子系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101588579B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854630A (zh) * | 2010-05-25 | 2010-10-06 | 中兴通讯股份有限公司 | 一种实现卡鉴权的方法、系统及用户设备 |
| CN102142961B (zh) * | 2010-06-30 | 2014-10-08 | 华为技术有限公司 | 一种网关、节点和服务器进行鉴权的方法、装置及系统 |
| CN102387499A (zh) * | 2011-10-21 | 2012-03-21 | 重庆北高共鸣科技有限公司 | 基于3g传输的塔机信息的鉴权和加密方法 |
| CN102395130B (zh) * | 2011-11-01 | 2014-06-04 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| CN102857911B (zh) * | 2012-06-29 | 2015-07-15 | 北京邮电大学 | 一种定位的方法、终端及服务器 |
| CN102761870B (zh) | 2012-07-24 | 2015-06-03 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、系统和终端 |
| WO2014113918A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| GB2537377B (en) * | 2015-04-13 | 2021-10-13 | Vodafone Ip Licensing Ltd | Security improvements in a cellular network |
| RU2697645C1 (ru) * | 2015-08-13 | 2019-08-15 | Хуавэй Текнолоджиз Ко., Лтд. | Способ защиты сообщений и соответствующее устройство и система |
| CN107135069A (zh) * | 2017-04-24 | 2017-09-05 | 努比亚技术有限公司 | 远程协助控制方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770682A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
| CN1856156A (zh) * | 2005-04-18 | 2006-11-01 | 华为技术有限公司 | 利用鉴权元组进行鉴权的方法 |
-
2008
- 2008-12-31 CN CN2008101897593A patent/CN101588579B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770682A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
| CN1856156A (zh) * | 2005-04-18 | 2006-11-01 | 华为技术有限公司 | 利用鉴权元组进行鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101588579A (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101588579B (zh) | 一种对用户设备鉴权的系统、方法及其基站子系统 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| EP3493462B1 (en) | Authentication method, authentication apparatus and authentication system | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN101755469B (zh) | 长期演进无线设备中实施非接入层(nas)安全性的方法和装置 | |
| CN201286113Y (zh) | 无线发射/接收单元 | |
| CN101473668B (zh) | 用于对初始信令消息中的原始用户标识进行安全保护的方法和设备 | |
| US9392453B2 (en) | Authentication | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CN107888381B (zh) | 一种密钥导入的实现方法、装置及系统 | |
| EP1887730A1 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
| CN101406021A (zh) | 基于sim的认证 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN101102186A (zh) | 通用鉴权框架推送业务实现方法 | |
| CN101309503A (zh) | 无线切换方法、基站及终端 | |
| CN101083814A (zh) | 用于在移动通信终端中加密安全密钥的装置和方法 | |
| CN102223231A (zh) | M2m终端认证系统及认证方法 | |
| US20070154015A1 (en) | Method for cipher key conversion in wireless communication | |
| CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 | |
| US7933597B2 (en) | Method of registering a network, and mobile station and communication system using the same | |
| US20110311047A1 (en) | Method of making secure a link between a data terminal and a data processing local area network, and a data terminal for implementing the method | |
| WO2012022190A1 (zh) | 多系统核心网通知密钥的方法和多系统网络 | |
| CN114258013A (zh) | 数据加密方法、设备和存储介质 | |
| WO2012022188A1 (zh) | 多系统无线接入网获知密钥的方法和多系统无线接入网 | |
| US20230412576A1 (en) | System and method for intermediating cellular voice communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |