CN101616410A - 一种蜂窝移动通信网络的接入方法和系统 - Google Patents

一种蜂窝移动通信网络的接入方法和系统 Download PDF

Info

Publication number
CN101616410A
CN101616410A CN200910148675A CN200910148675A CN101616410A CN 101616410 A CN101616410 A CN 101616410A CN 200910148675 A CN200910148675 A CN 200910148675A CN 200910148675 A CN200910148675 A CN 200910148675A CN 101616410 A CN101616410 A CN 101616410A
Authority
CN
China
Prior art keywords
terminal
base station
key
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910148675A
Other languages
English (en)
Other versions
CN101616410B (zh
Inventor
高滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Hui Construction Technology Co ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910148675XA priority Critical patent/CN101616410B/zh
Priority to EP09846408.4A priority patent/EP2442602B1/en
Priority to PCT/CN2009/075505 priority patent/WO2010148609A1/zh
Priority to US13/257,650 priority patent/US8374582B2/en
Publication of CN101616410A publication Critical patent/CN101616410A/zh
Application granted granted Critical
Publication of CN101616410B publication Critical patent/CN101616410B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

一种蜂窝移动通信网络的接入方法和系统,该方法包括:终端与基站完成测距过程后,与基站进行基本能力协商,基本能力协商过程完成后,基站与终端执行WAPI接入认证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动通信网络;所述WAPI接入认证过程包括:终端向基站发送接入鉴别请求分组,该分组中包含:终端的证书及终端的签名;接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行验证;终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥。

Description

一种蜂窝移动通信网络的接入方法和系统
技术领域
本发明涉及通信领域,尤其涉及一种蜂窝移动通信网络的接入方法和系统。
背景技术
WAPI(WLAN Authentication Privacy Infrastructure,无线局域网鉴别与保密基础结构)是一种应用于无线局域网(Wireless Local Area Networks,简称WLAN)系统的接入认证协议。WAPI将基于三元对等鉴别的访问控制方法应用于无线局域网领域,保障了合法移动终端(Mobile Terminal,简称为MT)通过合法的接入点(Access Point,简称为AP)接入网络,并实现移动终端和接入点间的保密通信。
基于WAPI协议的WLAN安全网络由:ASUE(Authentication SupplicantEntity,鉴别请求者实体,通常驻留在移动终端中)、AE(Authenticator Entity,鉴别器实体,通常驻留在接入点中)和ASE(Authentication Service Entity,鉴别服务实体,通常驻留在鉴别服务器中)三个实体组成,利用公开密码体系完成移动终端和接入点间的双向认证,在认证过程中移动终端和AP采用椭圆曲线密码算法协商出会话密钥,并对通信过程中的数据采用国家密码主管部门指定的加密算法完成加密,安全性极高。同时,WAPI还支持在通信过程中经过一定时间间隔后或传输了一定数量的数据包后,更新会话密钥,极大地提高了数据传输的安全性。
根据WAPI协议,鉴别服务器(AS)负责证书的颁发、验证与吊销等处理,移动终端(MT)与无线接入点(AP)上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当移动终端关联至AP后,在使用或访问网络之前必须通过鉴别服务器进行双方的身份验证,根据验证的结果,持有合法证书的移动终端才能接入持有合法证书的AP,也就是说才能通过AP访问网络。这样不仅可以防止非法移动终端接入AP访问网络并占用网络资源,而且还可以防止移动终端接入非法AP而造成信息泄漏。
下一代基于IP(Internet Protocol,因特网协议)的蜂窝移动通信网络系统,如WiMAX(Worldwide Interoperability for Microwave Access,微波接入全球互操作性认证),LTE(Long Term Evolution,长期演进)等系统中,接入认证由在IP网侧单独设置的一台或一组AAA(AuthenticationAuthorization Accounting,鉴权授权计费)服务器来完成,AAA服务器可以对终端进行单向认证,或基于EAP(Extensible Authentication Protocol,扩展认证协议)与终端进行双向认证。
目前,有许多运营商同时拥有基于IP的蜂窝移动通信网络系统和无线局域网系统,由于需要针对不同的系统采用不同的认证机制,运营商需要部署不同类型的鉴别服务器,增加了运营商的硬件成本,同时也不利于网络融合、业务融合以及网络和业务的整体管理。
同时,随着双模终端的普及,如果能够采用相同的接入认证机制接入蜂窝无线通信系统和无线局域网系统,就可以在双模终端中设置单一的接入认证模块,以降低双模终端的软硬件成本,且更易于实现在不同的接入网络之间的切换。
将WAPI作为蜂窝移动通信网络系统和无线局域网系统的统一认证机制是满足运营商和用户的上述需求的一种可行方案。但是,现有技术中还没有在基于IP的蜂窝无线通信系统中实现WAPI的技术方案。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种蜂窝移动通信网络的接入方法和系统,以在基于IP的蜂窝无线通信系统中实现WAPI接入认证。
为了解决上述问题,本发明提供一种蜂窝移动通信网络的接入方法,该方法包括:
终端与基站完成测距过程后,与基站进行基本能力协商,基本能力协商过程完成后,基站与终端执行无线局域网鉴别与保密基础结构WAPI接入认证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动通信网络;
所述WAPI接入认证过程包括:
终端向基站发送接入鉴别请求分组,该分组中包含:终端的证书及终端的签名;
接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行验证;
终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥。
此外,所述证书鉴别请求分组中还包含基站的证书;
鉴别服务器还对所述基站的证书进行验证,并将证书验证结果和鉴别服务器的签名通过基站发送给终端;
终端根据证书验证结果和鉴别服务器的签名判断对基站的证书是否验证成功。
此外,发送所述接入鉴别请求分组前,终端还生成用于椭圆曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含在所述接入鉴别请求分组中发送给基站;
对所述终端的证书验证成功后,基站还生成用于ECDH交换的临时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK,并将所述py包含在所述接入鉴别响应分组中发送给终端;
终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计算,生成基密钥BK;
终端和基站使用所述基密钥BK协商得到所述单播会话密钥。
此外,终端和基站采用如下方式进行所述基本能力协商:
终端向基站发送基本能力请求消息,该消息中包含终端是否支持WAPI接入认证的信息;
基站根据基本能力请求消息中包含的所述信息判断是否启动与终端的所述WAPI接入认证过程。
此外,基站与终端采用如下方式协商单播会话密钥:
基站生成随机数N1和用于ECDH交换的临时私钥sy和临时公钥py,并向终端发送单播密钥协商请求分组,该分组中包含所述N1和py;
接收到所述单播密钥协商请求分组后,终端生成随机数N2和用于ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥;
终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;
接收到所述单播密钥协商响应分组后,基站对px和sy进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥。
本发明还提供一种蜂窝移动通信网络的接入系统,该系统包含:终端、基站;该系统中还包含鉴别服务器;其中:
所述基站用于在与所述终端完成测距过程后,与所述终端进行基本能力协商;
基本能力协商过程完成后,所述基站还用于接收所述终端发送的接入鉴别请求分组,该分组中包含:终端的证书及终端的签名;
接收到接入鉴别请求分组后,所述基站还用于对所述终端的签名进行认证,签名认证成功后,将终端的证书包含在证书鉴别请求分组中发送给所述鉴别服务器进行验证;
终端的证书验证成功后,所述基站还向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥;
单播会话密钥协商完成后,所述基站还与终端交互,完成后续的接入流程,使终端接入到蜂窝移动通信网络。
此外,所述证书鉴别请求分组中还包含基站的证书;
所述鉴别服务器还用于对所述基站的证书进行验证,并将证书验证结果和鉴别服务器的签名通过所述基站发送给终端。
此外,发送所述接入鉴别请求分组前,所述终端还用于生成用于椭圆曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含在所述接入鉴别请求分组中发送给所述基站;
对所述终端的证书验证成功后,所述基站还生成用于ECDH交换的临时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK,并将所述py包含在所述接入鉴别响应分组中发送给所述终端;
所述终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计算,生成基密钥BK;
所述终端和所述基站使用所述基密钥BK协商得到所述单播会话密钥。
此外,所述基站还用于根据所述基本能力协商过程中所述终端发送的基本能力请求消息中包含的用于标识所述终端是否支持WAPI接入认证的信息来判断是否启动与所述终端的所述WAPI接入认证过程。
此外,所述基站与所述终端采用如下方式协商单播会话密钥:
所述基站生成随机数N1和用于ECDH交换的临时私钥sy和临时公钥py,并向所述终端发送单播密钥协商请求分组,该分组中包含所述N1和py;
接收到所述单播密钥协商请求分组后,所述终端生成随机数N2和用于ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥;
所述终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;
接收到所述单播密钥协商响应分组后,所述基站对px和sy进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥。
综上所述,本发明将基站作为WAPI协议中的AE,蜂窝移动通信终端作为WAPI协议中的ASUE,在蜂窝移动通信网络系统中实现了基于WAPI的接入认证,降低了运营商的运营和管理成本。
附图说明
图1是统一采用WAPI作为接入认证协议的蜂窝移动通信网络系统和无线局域网系统的结构示意图;
图2是本发明实施例LTE网络的接入方法流程图;
图3是LTE终端与基站和鉴别服务器交互完成WAPI接入认证的方法流程图。
具体实施方式
本发明的核心思想是,将基站作为WAPI协议中的AE,蜂窝移动通信终端作为WAPI协议中的ASUE,在蜂窝移动通信网络系统中实现基于WAPI的接入认证。
此外,为了保持兼容性,需要在蜂窝移动通信网络系统中保留原有的接入认证方式,因此,基站需要判断终端是否支持WAPI协议,并根据判断结果启动相应的接入认证方式。
下面将结合附图和实施例对本发明进行详细描述。
图1是统一采用WAPI作为接入认证协议的蜂窝移动通信网络系统和无线局域网系统的结构示意图;如图1所示,蜂窝移动通信网络系统中采用WAPI作为接入认证协议时,蜂窝移动通信网络系统可以和无线局域网系统共用相同的鉴别服务器。
以下将对蜂窝移动通信网络系统中终端接入网络的过程中,终端、基站和鉴别服务器的功能,以及相互之间的消息交互关系进行详细描述。无线局域网系统中终端接入网络的过程与现有技术相同,本文从略。
图2是本发明实施例LTE网络的接入方法流程图,具体包括如下步骤:
201:LTE终端搜索下行信道,搜索到下行信道频点后进行下行同步;
202:下行同步完成后,LTE终端利用获取的上行信道参数,开始测距过程;
203:LTE终端根据测距获得的信息,将其支持基本能力参数包含在基本能力请求消息(SS Basic Capability Request,简称为SBC-REQ)中发送给基站,以启动基本能力协商过程;
如果LTE终端同时支持EAP和WAPI,上述基本能力参数中包含WAPI认证参数和EAP认证参数。
WAPI认证参数中包含:LTE终端支持的WAI(WLAN AuthenticationInfrastructure,无线局域网鉴别基础结构)鉴别和密钥管理方式、LTE终端支持的单播加密算法等,具体描述如下:
WAI鉴别和密钥管理方式分为以下两种:WAI证书鉴别和密钥管理方式,WAI预共享密钥鉴别和密钥管理方式;
其中,如果采用WAI证书鉴别和密钥管理方式,LTE终端需要向基站提供数字证书,与基站和鉴别服务器交互完成证书鉴别过程,并在证书鉴别过程中协商基密钥(BK);如果采用WAI预共享密钥鉴别和密钥管理方式,LTE终端无需进行证书鉴别过程,基密钥由LTE终端和基站的预共享密钥直接导出。
单播加密算法包含了LTE终端支持的一种或多种单播加密算法;例如SMS4算法等;
鉴别服务器列表字段包含了LTE终端所支持(信任)的鉴别服务器的标识。
204:基站接收到基本能力请求消息后,判断其中是否包含WAPI认证参数:
如果基本能力请求消息中未包含WAPI认证参数,基站获知该LTE终端不支持WAPI,因此向LTE终端返回包含EAP认证参数的基本能力应答消息(SS Basic Capability Response,简称为SBC-RSP),并在后续步骤中采用现有技术中的EAP认证方式对LTE终端进行认证,并完成后续的接入过程,本流程结束;
如果基本能力请求消息中包含WAPI认证参数,则基站判断其是否支持终端提供的WAPI认证参数,如果不支持,则向LTE终端返回包含EAP认证参数的基本能力应答消息(SBC-RSP),并在后续步骤中采用现有技术中的EAP认证方式对LTE终端进行认证,并完成后续的接入过程,本流程结束;如果基站支持终端提供的WAPI认证参数,则向LTE终端返回包含基站最终选定的WAPI认证参数(包括基站选定的WAI鉴别和密钥管理方式、单播加密算法)的基本能力应答消息(SBC-RSP),并在后续步骤中采用WAPI接入认证方式对LTE终端进行接入认证。
基站支持终端提供的WAPI认证参数是指:基站支持终端提供的WAPI认证参数中包含的一种或多种鉴别和密钥管理方式;且基站支持终端提供的WAPI认证参数中包含的一种或多种单播加密算法;且基站可以将后续的证书鉴别请求转发到LTE终端信任的鉴别服务器。
需要注意的是,虽然WAPI协议中包含WAI预共享密钥鉴别和密钥管理方式,但该方式的安全性较差,且需要在基站中预先配置每一终端的预共享密钥,因此基站通常不支持这种鉴别和密钥管理方式。也就是说,如果终端提供的WAPI认证参数中不包含WAI证书密钥鉴别和密钥管理方式时,基站通常会选择EAP认证方式与LTE终端完成接入认证。
205:如果LTE终端支持WAPI接入认证方式,且基站支持终端提供的WAPI认证参数,则基站和LTE终端分别作为WAPI协议中的AE和ASUE,与鉴别服务器交互完成WAPI接入认证过程;
WAPI接入认证过程的具体步骤如图3所示,将在下文中详细描述。
206:完成WAPI接入认证后,LTE终端进行网络注册,然后启动DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)过程以获取IP地址;
207:LTE终端通过DHCP过程获取到IP地址、网关、DNS(Domain NameSystem,域名系统)等网络层设置后,尝试进行网络时间同步,以设置终端时钟;
208:LTE终端从基站获取业务参数并进行相应的配置,完成接入过程。
图3是LTE终端与基站和鉴别服务器交互完成WAPI接入认证的方法流程图,WAPI接入认证方法包括:证书鉴别过程(步骤301~309)和单播密钥协商过程(步骤310~314)两部分,具体包括如下步骤:
301:基站向LTE终端发送鉴别激活分组,发起证书鉴别过程;
鉴别激活分组中可以包含:基站的证书等字段。
302:接收到鉴别激活分组后,LTE终端保存基站的证书,并产生用于ECDH(椭圆曲线密码体制的Diffie-Hellman(戴菲-赫曼)交换)交换的临时私钥sx和临时公钥px;
303:LTE终端生成接入鉴别请求分组,并发送给基站;
接入鉴别请求分组中包含:临时公钥px、LTE终端的证书等字段,以及LTE终端对上述字段的签名值。
304:接收到接入鉴别请求分组后,基站对LTE终端的签名进行验证(使用LTE终端证书中包含的公钥),若签名验证失败,则丢弃该分组;否则基站生成证书鉴别请求分组,并将其通过RNC(Radio Network Controller,无线网络控制器)和IP网络发送给LTE终端和基站都信任的鉴别服务器;
证书鉴别请求分组中包含:LTE终端的证书和基站的证书。
305:鉴别服务器对LTE终端的证书和基站的证书进行验证;
306:鉴别服务器根据对LTE终端的证书和基站的证书的验证结果,构造证书鉴别响应分组,并且附加鉴别服务器的签名后将证书鉴别响应分组通过IP网络和RNC发送给基站;
307:基站验证鉴别服务器的签名,签名验证成功后,进一步验证对LTE终端的证书的验证结果,验证成功后,执行以下操作:
307a:生成用于ECDH交换的临时私钥sy和临时公钥py;
307b:使用LTE终端发送的临时公钥px和本地生成的临时私钥sy进行ECDH计算,生成基密钥BK。
308:基站向LTE终端发送接入鉴别响应分组;
接入鉴别响应分组中包含:临时公钥py,证书验证结果,鉴别服务器签名,以及基站对上述字段的签名。
309:接收到接入鉴别响应分组后,LTE终端验证鉴别服务器和基站签名以及证书验证结果,如果签名正确,并且鉴别服务器对基站的证书验证成功,则LTE终端使用临时公钥py和临时私钥sx进行ECDH计算生成BK。
需要注意的是,根据ECDH的原理,LTE终端和基站生成的BK相同。
至此,LTE终端和基站完成了WAPI的证书鉴别过程,并在此过程中协商出了基密钥BK;此后,LTE终端和基站可以使用BK进行单播密钥协商,生成单播会话密钥,具体包括如下步骤:
310:基站向LTE终端发送单播密钥协商请求分组;
单播密钥协商请求分组中包含:BKID和N1等参数,其中:
BKID为基站和LTE终端先前协商得到基密钥BK的标识符;
N1为基站生成的随机数。
311:接收到单播密钥协商请求分组后,LTE终端生成随机数N2,然后计算:
Key=KD-HMAC-SHA256(BK,N1||N2||String);其中:
BK为上述BKID所标识的基密钥;KD-HMAC-SHA256为基于SHA256算法的HMAC(Hashed Message Authentication Code,散列信息认证码)算法,也就是一种带密钥(以BK为密钥)的HASH(哈希)算法;String为一预先设置的字符串;“||”表示字符串连接操作,“||N1||N2||String”为KD-HMAC-SHA256算法所使用的字符参数。
计算得到Key后,LTE终端将其中的一部分(例如,前16个字节)作为单播会话密钥USK。图1中以T(·)表示从Key中提取(或称为截取)部分字符串的操作。
312:LTE终端向基站发送单播密钥协商响应分组;
单播密钥协商响应分组中包含:BKID、随机数N2等参数。
313:基站接收到单播密钥协商响应分组后计算:
Key=KD-HMAC-SHA256(BK,||N1||N2||String),并从中提取USK。
314:基站向LTE终端发送单播密钥协商确认分组,结束单播密钥的协商流程。
至此,基站和LTE终端完成了WAPI证书鉴别和单播密钥协商过程。
由上可知,基站采用上述方式对LTE终端进行接入认证时,鉴别服务器可以同时为蜂窝移动通信网络系统和无线局域网系统提供服务,降低了运营商的运营成本。
需要注意的是,除了LTE以外,本发明的上述接入认证方法还适用于其它蜂窝移动通信网络系统。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
(一)考虑到蜂窝移动通信网络系统与无线局域网系统的不同,在系统中设置非法基站(假冒基站)的可能性较小,因此,终端可以不对基站进行证书鉴别;即:步骤301中的鉴别激活分组中可以不包含基站的证书;步骤304中的证书鉴别请求分组中可以不包含基站的证书;步骤305中也无需对基站的证书进行验证;步骤308中的接入鉴别响应分组中也可以不包含证书验证结果。
(二)在上述实施例中,基站通过终端发送的基本能力请求消息中包含的WAPI认证参数判断终端是否支持WAPI;在本发明的其它实施例中,终端可以在基本能力请求消息中添加一个标识(可以成为WAPI标识)来告知基站其是否支持WAPI,在这种情况下,基站和终端采用默认的WAPI参数(例如,采用WAI证书鉴别和密钥管理方式和SMS4单播加密算法)进行WAPI接入认证及后续的数据加解密;或者当基本能力协商完成后,基站直接向终端发送鉴别激活分组,并设置定时器,若定时器超时时未接收到终端发送的接入鉴别请求分组,则认为终端不支持WAPI,进而与终端进行EAP接入认证。
(三)在上述实施例中,基站和终端在WAPI的证书鉴别过程中交换了ECDH临时公钥,并协商生成了基密钥BK,这样做的优点在于减少了消息的交互;
在本发明的其他实施例中,可以在WAPI的证书鉴别过程中仅完成证书的交换和验证,证书验证成功后再进行ECDH临时公钥的交换,并协商生成基密钥BK。例如:
在步骤310的单播密钥协商请求分组中携带随机数N1和基站的临时公钥py,以及上述字段的签名值;
在步骤311中,终端生成随机数N2、临时公钥px和临时私钥sx,并使用py和sx进行ECDH计算,生成基密钥BK,然后使用基密钥BK和随机数N1和N2生成单播会话密钥USK;
在步骤312中,终端将临时公钥px和随机数N2一起包含在单播密钥协商响应分组中发送给基站;
在步骤313中,基站先使用px和sy生成BK,然后再使用基密钥BK和随机数N1和N2生成单播会话密钥USK。

Claims (10)

1、一种蜂窝移动通信网络的接入方法,其特征在于,该方法包括:
终端与基站完成测距过程后,与基站进行基本能力协商,基本能力协商过程完成后,基站与终端执行无线局域网鉴别与保密基础结构WAPI接入认证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动通信网络;
所述WAPI接入认证过程包括:
终端向基站发送接入鉴别请求分组,该分组中包含:终端的证书及终端的签名;
接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行验证;
终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥。
2、如权利要求1所述的方法,其特征在于,
所述证书鉴别请求分组中还包含基站的证书;
鉴别服务器还对所述基站的证书进行验证,并将证书验证结果和鉴别服务器的签名通过基站发送给终端;
终端根据证书验证结果和鉴别服务器的签名判断对基站的证书是否验证成功。
3、如权利要求1所述的方法,其特征在于,
发送所述接入鉴别请求分组前,终端还生成用于椭圆曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含在所述接入鉴别请求分组中发送给基站;
对所述终端的证书验证成功后,基站还生成用于ECDH交换的临时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK,并将所述py包含在所述接入鉴别响应分组中发送给终端;
终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计算,生成基密钥BK;
终端和基站使用所述基密钥BK协商得到所述单播会话密钥。
4、如权利要求1所述的方法,其特征在于,
终端和基站采用如下方式进行所述基本能力协商:
终端向基站发送基本能力请求消息,该消息中包含终端是否支持WAPI接入认证的信息;
基站根据基本能力请求消息中包含的所述信息判断是否启动与终端的所述WAPI接入认证过程。
5、如权利要求1所述的方法,其特征在于,
基站与终端采用如下方式协商单播会话密钥:
基站生成随机数N1和用于ECDH交换的临时私钥sy和临时公钥py,并向终端发送单播密钥协商请求分组,该分组中包含所述N1和py;
接收到所述单播密钥协商请求分组后,终端生成随机数N2和用于ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥;
终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;
接收到所述单播密钥协商响应分组后,基站对px和sy进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥。
6、一种蜂窝移动通信网络的接入系统,该系统包含:终端、基站;其特征在于,该系统中还包含鉴别服务器;其中:
所述基站用于在与所述终端完成测距过程后,与所述终端进行基本能力协商;
基本能力协商过程完成后,所述基站还用于接收所述终端发送的接入鉴别请求分组,该分组中包含:终端的证书及终端的签名;
接收到接入鉴别请求分组后,所述基站还用于对所述终端的签名进行认证,签名认证成功后,将终端的证书包含在证书鉴别请求分组中发送给所述鉴别服务器进行验证;
终端的证书验证成功后,所述基站还向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥;
单播会话密钥协商完成后,所述基站还与终端交互,完成后续的接入流程,使终端接入到蜂窝移动通信网络。
7、如权利要求6所述的系统,其特征在于,
所述证书鉴别请求分组中还包含基站的证书;
所述鉴别服务器还用于对所述基站的证书进行验证,并将证书验证结果和鉴别服务器的签名通过所述基站发送给终端。
8、如权利要求6所述的系统,其特征在于,
发送所述接入鉴别请求分组前,所述终端还用于生成用于椭圆曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含在所述接入鉴别请求分组中发送给所述基站;
对所述终端的证书验证成功后,所述基站还生成用于ECDH交换的临时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK,并将所述py包含在所述接入鉴别响应分组中发送给所述终端;
所述终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计算,生成基密钥BK;
所述终端和所述基站使用所述基密钥BK协商得到所述单播会话密钥。
9、如权利要求6所述的系统,其特征在于,
所述基站还用于根据所述基本能力协商过程中所述终端发送的基本能力请求消息中包含的用于标识所述终端是否支持WAPI接入认证的信息来判断是否启动与所述终端的所述WAPI接入认证过程。
10、如权利要求6所述的系统,其特征在于,
所述基站与所述终端采用如下方式协商单播会话密钥:
所述基站生成随机数N1和用于ECDH交换的临时私钥sy和临时公钥py,并向所述终端发送单播密钥协商请求分组,该分组中包含所述N1和py;
接收到所述单播密钥协商请求分组后,所述终端生成随机数N2和用于ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥;
所述终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;
接收到所述单播密钥协商响应分组后,所述基站对px和sy进行ECDH计算,得到基密钥BK,使用基密钥BK、所述N1和N2生成所述单播会话密钥。
CN200910148675XA 2009-06-25 2009-06-25 一种蜂窝移动通信网络的接入方法和系统 Expired - Fee Related CN101616410B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN200910148675XA CN101616410B (zh) 2009-06-25 2009-06-25 一种蜂窝移动通信网络的接入方法和系统
EP09846408.4A EP2442602B1 (en) 2009-06-25 2009-12-11 Access method and system for cellular mobile communication network
PCT/CN2009/075505 WO2010148609A1 (zh) 2009-06-25 2009-12-11 一种蜂窝移动通信网络的接入方法和系统
US13/257,650 US8374582B2 (en) 2009-06-25 2009-12-11 Access method and system for cellular mobile communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910148675XA CN101616410B (zh) 2009-06-25 2009-06-25 一种蜂窝移动通信网络的接入方法和系统

Publications (2)

Publication Number Publication Date
CN101616410A true CN101616410A (zh) 2009-12-30
CN101616410B CN101616410B (zh) 2011-08-10

Family

ID=41495741

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910148675XA Expired - Fee Related CN101616410B (zh) 2009-06-25 2009-06-25 一种蜂窝移动通信网络的接入方法和系统

Country Status (4)

Country Link
US (1) US8374582B2 (zh)
EP (1) EP2442602B1 (zh)
CN (1) CN101616410B (zh)
WO (1) WO2010148609A1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101867923A (zh) * 2010-06-11 2010-10-20 西安电子科技大学 基于身份自证实的异构无线网络安全接入认证方法
CN102307349A (zh) * 2011-08-16 2012-01-04 宇龙计算机通信科技(深圳)有限公司 无线网络的接入方法、终端和服务器
CN102421098A (zh) * 2010-09-27 2012-04-18 中国移动通信集团公司 一种用户认证方法、装置及系统
WO2017000446A1 (zh) * 2015-06-30 2017-01-05 中兴通讯股份有限公司 基站维护端口的连接认证方法、基站及系统、存储介质
CN107342860A (zh) * 2017-07-10 2017-11-10 西安电子科技大学 一种实现lte‑wlan融合网络接入认证协议的方法
CN109076086A (zh) * 2016-05-05 2018-12-21 高通股份有限公司 执行认证和密钥协商之前的安全信令
CN112332978A (zh) * 2020-11-10 2021-02-05 上海商米科技集团股份有限公司 一种基于密钥协商的远程密钥注入方法
CN112350823A (zh) * 2019-08-08 2021-02-09 联合汽车电子有限公司 车载控制器间can fd通信方法
WO2022135384A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135379A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135385A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135378A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
CN102833746B (zh) * 2012-09-14 2015-11-25 福建星网锐捷网络有限公司 用户重认证方法及接入控制器
US20160253662A1 (en) * 2015-02-27 2016-09-01 Visa International Service Association Method to use a payment gateway as contextual enabler between different parties
CA3018526C (en) 2015-05-22 2023-06-20 John A. Nix Cryptographic unit for public key infrastructure (pki) operations
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
EP4167165A1 (en) 2016-02-23 2023-04-19 nChain Licensing AG Blockchain-based exchange with tokenisation
EA201891827A1 (ru) 2016-02-23 2019-02-28 Нчейн Холдингс Лимитед Реестр и способ автоматизированного администрирования смарт-контрактов, использующих блокчейн
CN108885748A (zh) 2016-02-23 2018-11-23 区块链控股有限公司 用于区块链的加密货币的通用令牌化系统
CN108885741B (zh) 2016-02-23 2023-05-16 区块链控股有限公司 一种实现区块链上交换的令牌化方法及系统
EP3420513A1 (en) 2016-02-23 2019-01-02 Nchain Holdings Limited System and method for controlling asset-related actions via a blockchain
GB2558484A (en) 2016-02-23 2018-07-11 Nchain Holdings Ltd A method and system for the secure transfer of entities on a blockchain
SG11201806712RA (en) 2016-02-23 2018-09-27 Nchain Holdings Ltd A method and system for securing computer software using a distributed hash table and a blockchain
EP3855677A1 (en) 2016-02-23 2021-07-28 Nchain Holdings Limited Blockchain-implemented method for control and distribution of digital content
KR20180115768A (ko) 2016-02-23 2018-10-23 엔체인 홀딩스 리미티드 블록체인으로부터 데이터의 안전한 추출을 위한 암호화 방법 및 시스템
CA3010116A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys
EP3257002B1 (en) 2016-02-23 2020-03-11 Nchain Holdings Limited Agent-based turing complete transactions integrating feedback within a blockchain system
CN114282928A (zh) 2016-02-23 2022-04-05 恩链控股有限公司 基于区块链系统结合钱包管理系统的加密密钥存储和转移
BR112018016810A2 (pt) 2016-02-23 2018-12-26 nChain Holdings Limited método e sistema implementado por computador para criptografia de dados em um dispositivo eletrônico, dispositivo eletrônico e programa de computador
JP7083754B2 (ja) 2016-02-23 2022-06-13 エヌチェーン ホールディングス リミテッド スマートコントラクトに基づく自動給与支払方法及びシステムをもたらす、ブロックチェーン上の給与支払に関連付けられた暗号通貨の効率的な転送のための方法及びシステム
US10200862B2 (en) 2016-10-28 2019-02-05 Nokia Of America Corporation Verification of cell authenticity in a wireless network through traffic monitoring
EP3471334B1 (en) * 2017-10-10 2023-07-26 Nxp B.V. Method for configuring a transponder, transponder and base station
CN107682150B (zh) * 2017-10-27 2020-03-10 武汉大学 一种适用于计算资源非对称领域的共享密钥建立方法
CN110912686B (zh) * 2019-10-15 2023-05-05 福建联迪商用设备有限公司 一种安全通道的密钥的协商方法及系统
US11363582B2 (en) * 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
CN116582554A (zh) * 2022-04-07 2023-08-11 武汉联影医疗科技有限公司 边缘节点接入处理方法、装置、移动终端和边缘节点

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US20040255037A1 (en) * 2002-11-27 2004-12-16 Corvari Lawrence J. System and method for authentication and security in a communication system
CN100369446C (zh) * 2006-02-28 2008-02-13 西安西电捷通无线网络通信有限公司 接入点的安全接入协议符合性测试方法及其系统
CN100488305C (zh) 2006-09-23 2009-05-13 西安西电捷通无线网络通信有限公司 一种网络接入鉴别与授权方法以及授权密钥更新方法
CN101198181B (zh) * 2007-12-24 2010-10-06 中国科学院计算技术研究所 无线网络入网处理系统及其方法
CN101272616B (zh) * 2008-05-07 2012-05-30 广州杰赛科技股份有限公司 一种无线城域网的安全接入方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101867923A (zh) * 2010-06-11 2010-10-20 西安电子科技大学 基于身份自证实的异构无线网络安全接入认证方法
CN101867923B (zh) * 2010-06-11 2012-12-05 西安电子科技大学 基于身份自证实的异构无线网络安全接入认证方法
CN102421098A (zh) * 2010-09-27 2012-04-18 中国移动通信集团公司 一种用户认证方法、装置及系统
CN102307349A (zh) * 2011-08-16 2012-01-04 宇龙计算机通信科技(深圳)有限公司 无线网络的接入方法、终端和服务器
WO2017000446A1 (zh) * 2015-06-30 2017-01-05 中兴通讯股份有限公司 基站维护端口的连接认证方法、基站及系统、存储介质
CN109076086A (zh) * 2016-05-05 2018-12-21 高通股份有限公司 执行认证和密钥协商之前的安全信令
CN109076086B (zh) * 2016-05-05 2021-04-27 高通股份有限公司 执行认证和密钥协商之前的安全信令
CN107342860A (zh) * 2017-07-10 2017-11-10 西安电子科技大学 一种实现lte‑wlan融合网络接入认证协议的方法
CN112350823A (zh) * 2019-08-08 2021-02-09 联合汽车电子有限公司 车载控制器间can fd通信方法
CN112350823B (zh) * 2019-08-08 2023-08-08 联合汽车电子有限公司 车载控制器间can fd通信方法
CN112332978A (zh) * 2020-11-10 2021-02-05 上海商米科技集团股份有限公司 一种基于密钥协商的远程密钥注入方法
CN112332978B (zh) * 2020-11-10 2022-09-20 上海商米科技集团股份有限公司 一种基于密钥协商的远程密钥注入方法
WO2022135384A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135379A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135385A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
WO2022135378A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置

Also Published As

Publication number Publication date
EP2442602A4 (en) 2013-03-20
US8374582B2 (en) 2013-02-12
EP2442602A1 (en) 2012-04-18
US20120100833A1 (en) 2012-04-26
EP2442602B1 (en) 2014-07-02
CN101616410B (zh) 2011-08-10
WO2010148609A1 (zh) 2010-12-29

Similar Documents

Publication Publication Date Title
CN101616410B (zh) 一种蜂窝移动通信网络的接入方法和系统
US11496320B2 (en) Registration method and apparatus based on service-based architecture
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
Arbaugh et al. Your 80211 wireless network has no clothes
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
TWI293844B (en) A system and method for performing application layer service authentication and providing secure access to an application server
JP5597676B2 (ja) 鍵マテリアルの交換
CN104145465B (zh) 机器类型通信中基于群组的自举的方法和装置
US20060094401A1 (en) Method and apparatus for authentication of mobile devices
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
WO2019137030A1 (zh) 安全认证方法、相关设备及系统
CN101160924A (zh) 在通信系统中分发证书的方法
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
EP2272271A2 (en) Method and system for mutual authentication of nodes in a wireless communication network
JP2011514032A (ja) Idに基づく無線マルチホップネットワーク認証アクセス方法、装置及びシステム
KR20060067263A (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
JP2018532325A (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
WO2010078492A2 (en) Authentication method selection using a home enhanced node b profile
WO2023083170A1 (zh) 密钥生成方法、装置、终端设备及服务器
US20120254615A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
CN101272297B (zh) 一种WiMAX网络用户EAP认证方法
CN213938340U (zh) 5g应用接入认证网络架构
WO2008148348A1 (fr) Procédé de communication, système et station de base domestique
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
CN103078834A (zh) 一种安全连接的方法、系统及网元

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20170406

Address after: Tianhe District Tong East Road Guangzhou city Guangdong province 510665 B-101 No. 5, room B-118

Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd.

Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department

Patentee before: ZTE Corp.

Effective date of registration: 20170406

Address after: 230088 Hefei high tech Development Zone, Anhui Road, No. 22

Patentee after: ANHUI TELECOM ENGINEERING Co.,Ltd.

Address before: Tianhe District Tong East Road Guangzhou city Guangdong province 510665 B-101 No. 5, room B-118

Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 230000 No. 22 Hehuan Road, Hefei High-tech Development Zone, Anhui Province

Patentee after: CHINA HUI CONSTRUCTION TECHNOLOGY Co.,Ltd.

Address before: 230088 No. 22 Hehuan Road, Hefei High-tech Development Zone, Anhui Province

Patentee before: ANHUI TELECOM ENGINEERING Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110810