CN101640886B - 鉴权方法、重认证方法和通信装置 - Google Patents
鉴权方法、重认证方法和通信装置 Download PDFInfo
- Publication number
- CN101640886B CN101640886B CN2008100412970A CN200810041297A CN101640886B CN 101640886 B CN101640886 B CN 101640886B CN 2008100412970 A CN2008100412970 A CN 2008100412970A CN 200810041297 A CN200810041297 A CN 200810041297A CN 101640886 B CN101640886 B CN 101640886B
- Authority
- CN
- China
- Prior art keywords
- authentication
- key
- base station
- enb
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了鉴权方法、重认证方法和通信装置,鉴权方法包括:中继站向基站发送认证请求,认证请求包含中继站的数字证书;接收基站发送的认证响应,认证响应包含基站的数字证书,认证响应由基站对中继站的数字证书认证通过后发送;对基站的数字证书进行认证,获取认证密钥。本发明实施例通过中继站向基站发送包含中继站的数字证书的认证请求,接收基站发送的包含基站的数字证书的认证响应,通过双向认证方式进行鉴权,使得中继站不需要配备用户识别卡,基站就能够完成对中继站的网络安全接入,本发明实施例提供的重认证方法能够保证认证密钥的有效性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及鉴权方法、重认证方法和通信装置。
背景技术
随着移动系统的覆盖范围越来越大,用户接入系统的数目逐渐增多,服务提供商提供的服务多元化发展,使得网络的复杂程度不断提高,如何保证网络和业务信息的安全是一个当前迫切需要解决的问题。
在移动通信系统中,为了保证运营业务的安全性,网络侧需要对接入的用户设备(User Equipment,UE)进行鉴权处理,使得非法UE无法得到网络侧提供的服务,保障运营商的利益;同时,UE也需要验证网络侧发送的鉴权信息是否有效,即UE对网络侧进行鉴权处理,防止非法网络侧利用合法网络侧已经使用过的鉴权信息对UE进行重放攻击,使UE相信该非法网络侧合法。
现有长期演进(Long Term Evolved,LTE)网络系统中,UE和演进的基站(E-UTRAN Node B,eNB)之间的空口链路是单跳的,采用演进的分组系统(Evolved Packet System,EPS)认证和密钥协商(Authentication and KeyAgreement,AKA)协议来完成用户和网络侧的鉴权过程,即包括身份认证和密钥协商的处理,其实现的基础是用户和网络侧预共享一个永久性对称密钥。整个鉴权过程包含在一个鉴权处理中进行,并且采用鉴权元组的方式来进行认证,鉴权元组包括:包括:随机数(RAND)、期望响应(Expected userResponse,XRES)、密钥(KASME)和鉴权令牌(Authentication token,AUTN),其中,密钥是由加密密钥(Cipher Key,CK)和完整性密钥(Integrity Key,IK)共同派生的;其中,AUTN进一步包括鉴权序列号(Sequence Number,SQN)、鉴权管理域(Authentication Management Field,AMF)和消息鉴权编码(Message Authentication Code,MAC)三个部分。
引入中继站(Relay Station,RS)后,LTE系统中UE和eNB之间的空口链路被分段,包括UE和RS之间的接入链路,以及RS和eNB之间的中继链路。RS的网络接入过程中,可以将RS看作为UE进行网络接入,即RS采用与传统UE相同的鉴权过程,具体接入过程参见图1,RS接入过程中的鉴权处理流程为:
步骤101:RS向移动性管理实体(Mobility Management Entity,MME)发送认证请求,该消息中携带了RS的国际移动用户标识(International MobileSubscriber Identity,IMSI)、RS的能力(即所支持的加密和完整性保护密钥派生算法)、以及派生密钥(KASME)所对应的密钥标识符(KSIASME)等内容;
步骤102:MME向归属用户服务器(Home Subscriber Server,HSS)转发RS的认证请求,该消息中携带了RS的身份标识IMSI、服务网络标识等内容,HSS根据RS的IMSI找到该用户对应的共享密钥K,上述RS与HSS之间的共享密钥在RS侧是存贮在用户识别(User Subscriber Identify Module,USIM)卡中,并随机产生一个RAND,然后根据RAND、自身当前保存的鉴权SQN、RS和HSS共享密钥K及其它信息生成该RS对应的认证向量(Authentication Vector,AV),其中AV包括RAND、XRES、KASME和AUTN;
步骤103:HSS向MME返回认证响应,该消息中携带了该用户的认证向量AV,以及密钥KASME所对应的密钥标识符KSIASME等内容,MME将收到的该RS的认证向量进行保存;
步骤104:MME向RS发送RS认证请求,该消息中携带了该RS认证向量中对应的RAND和AUTN,以及密钥KASME所对应的密钥标识符KSIASME等内容;
步骤105:RS根据收到的RAND和AUTN,进行校验,包括:根据RAND、AUTN中的SQN和与网络侧共享的密钥K共同计算出一个MAC值,并比较该MAC值和从接收到的AUTN中解析的MAC值是否一致,如果一致,则RS对网络侧的鉴权通过,则利用RAND和与网络侧共享的密钥K共同计算出一个响应(Response,RES)发送给MME;
步骤106:MME比较从RS接收到的RES与本地存储该用户AV中的XRES是否一致,如果一致,则网络侧对RS的鉴权通过,则MME根据密钥KASME进一步派生出空口密钥KeNB,并通过安全模式命令(Security ModeCommand,SMC)将该空口密钥以及RS所支持的加密和完整性保护密钥派生算法下发给eNB;
步骤107:eNB根据收到的RS所支持的加密和完整性保护密钥派生算法,以及自身支持的加密和完整性保护密钥派生算法,确定空口用户面和控制面的加密和完整性保护密钥的密钥派生算法,并将确定的密钥派生算法通过SMC下发给RS,此时,RS和eNB可以各自利用空口密钥KeNB通过确定的密钥派生算法进一步派生出用户空口加密和完整性保护的密钥。
在实现本发明的过程中,发明人发现上述技术方案至少存在如下缺陷:
在引入RS后的LTE系统中,RS的鉴权过程必然需要在RS上配备一个USIM卡,以存储RS和HSS之间预共享的永久性密钥等内容,这样会增加RS的复杂程度。
发明内容
本发明实施例提供鉴权方法、重认证方法和通信装置,使得RS不需要配备USIM卡就可以正常接入网络。
为解决上述问题,本发明实施例是通过以下技术方案来实现的:
一种鉴权方法,包括:
中继站向基站发送认证请求,认证请求包含中继站的数字证书;
接收基站发送的认证响应,认证响应包含基站的数字证书,认证响应由所述基站对中继站的数字证书认证通过后发送;
对基站的数字证书进行认证,获取认证密钥。
一种重认证方法,包括:
接收中继站发送的重认证请求;
派生加密密钥和完整性保护密钥;
生成与加密密钥和完整性保护密钥对应的第一消息鉴权编码,将第一消息鉴权编码发送给中继站,指示中继站对第一消息鉴权编码进行认证;
接收中继站认证通过后发送的第二消息鉴权编码,对第二消息鉴权编码进行认证。
一种通信装置,包括:
认证请求发送单元,用于向基站发送认证请求,认证请求包含中继站的数字证书;
认证响应接收单元,用于接收基站发送的认证响应,认证响应包含基站的数字证书,认证响应由基站对中继站的数字证书认证通过后发送;
认证单元,用于对认证响应接收单元接收到的基站的数字证书进行认证;
获取单元,用于获取认证密钥。
一种通信装置,包括:
重认证请求接收单元,用于接收中继站发送的重认证请求;
密钥派生单元,用于派生加密密钥和完整性保护密钥;
生成单元,用于生成与密钥派生单元派生的加密密钥和完整性保护密钥对应的第一消息鉴权编码;
发送单元,用于将生成单元生成的第一消息鉴权编码发送给中继站,指示中继站对第一消息鉴权编码进行认证;
接收单元,用于接收中继站认证通过后发送的第二消息鉴权编码;
认证单元,用于对接收单元接收到的第二消息鉴权编码进行认证。
可见,本发明实施例通过RS向基站发送包含RS的数字证书的认证请求,接收基站发送的包含基站的数字证书的认证响应,通过双向认证方式进行鉴权,使得RS不需要配备USIM卡,基站就能够完成对RS的网络安全接入;同时,为了缩短认证密钥更新的延时,本发明实施例还提供RS实现快速重认证的方法,基站通过接收RS的重认证请求,重新派生加密和完整性保护密钥,利用重新派生的加密和完整性保护密钥进行认证,确保RS和基站之间新派生的认证密钥的同步,从而保证空口认证密钥的有效性。
附图说明
图1是现有技术中继站接入鉴权的信令图;
图2是实现本发明实施例一方法的流程图;
图3是实现本发明实施例二方法的信令图;
图4是实现本发明实施例三方法的信令图;
图5是实现本发明实施例四方法的信令图;
图6是实现本发明实施例五方法的流程图;
图7是实现本发明实施例六方法的信令图;
图8是实现本发明实施例七方法的流程图;
图9是实现本发明实施例八方法的信令图;
图10是实现本发明实施例九方法的信令图;
图11是实现本发明实施例十方法的信令图;
图12是实现本发明实施例十一方法的信令图;
图13是本发明实施例通信装置一的示意图;
图14是本发明实施例通信装置二示意图;
图15是本发明实施例系统一组成框图;
图16是本发明实施例系统二组成框图。
具体实施方式
本发明实施例提供的鉴权方法、重认证方法和通信装置,使得RS不需要配备USIM卡就可以正常接入网络。
RS是一种接入网设备,大多数情况下,RS在网络中可能是由接入网运营商直接部署的,即RS和eNB同属于一个运营商。如果RS上没有配备USIM卡,则其无法使用传统的AKA认证方式,因此,可以考虑使用基于数字证书的非对称性密钥的认证方式,使得RS不需要配备USIM卡就可以正常接入网络,进一步地,本发明实施例仅由接入网侧实现对RS的身份验证及密钥派生等鉴权功能,从而避免由于接入网引入RS后对核心网的改动,使得引入RS后对整个网络的影响最小化。
本发明提出的基于数字证书的RS鉴权方法,其实现的基础是RS和eNB双方都包含第三方所签发的各自的数字证书,上述数字证书可以是现有技术中使用的数字证书,例如可以是X.509数字证书。
实施例一至六根据生成认证密钥的主体不同以及下发密钥的时间不同给出了对应的实施例。
实施例一
本发明实施例可以采用以下方法实现RS的网络安全接入,且RS不需要配备USIM卡,下面结合附图进行详细说明。
参见图2,一种鉴权方法,包括:
步骤201:向基站发送认证请求,认证请求包含RS的数字证书;
也可以向eNB发送认证请求,引入RS后支持数字证书认证方式的各种系统都可以对RS进行鉴权,因此后续实施例中的eNB指可以支持数字证书认证方式的基站。
认证请求包含RS的数字证书,例如X.509数字证书、RS的能力、RS对数字证书的签名、RS生成的第一随机数。
步骤202:接收基站对RS的数字证书认证通过后发送的认证响应,认证响应包含基站的数字证书;
也可以是接收eNB对RS的数字证书认证通过后发送的认证响应,认证响应包含eNB的数字证书,例如X.509数字证书,认证响应还包含eNB对数字证书的签名、eNB生成的第二随机数以及eNB选定的与RS的能力对应的空口加密和完整性保护密钥派生算法。
步骤203:对基站的数字证书进行认证;
可以是对eNB的数字证书进行认证。
步骤204:获取认证密钥。
至此,RS已经完成了与网络侧的双向认证,上述网络侧可以是指基站,为了后续RS和基站之间通信的安全性,还可以包含一个步骤:派生与认证密钥对应的空口加密密钥和完整性保护密钥。
本实施例通过RS向基站发送包含RS的数字证书的认证请求,接收基站发送的包含基站的数字证书的认证响应,通过双向认证方式进行鉴权,使得RS不需要配备USIM卡,基站就能完成RS的网络安全接入。
上述鉴权方法可以有几种实现方式,实施例二至实施例六将分别进行详细说明。
实施例二
在本实施例中,RS和eNB之间完成双向认证后,eNB派生认证密钥并发送给RS。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。参见图3,下面对实现实施例二的方法的具体步骤进行详细介绍:
步骤301:RS向eNB发送认证请求;
认证请求可以被包含在认证请求消息中,认证请求包含RS的数字证书,如X.509数字证书,RS的能力、RS对该数字证书的签名以及RS随机产生的第一随机数RAND1,RS的能力即RS所支持的加密/完整性保护密钥派生算法。
步骤302:eNB通过收到的签名对RS数字证书进行认证,产生第二随机数RAND2;
eNB可以通过收到的签名和RAND1对RS数字证书进行认证,认证通过后,完成网络侧对RS的鉴权,产生RAND2,eNB将根据RS上报的其所支持的加密和完整性保护密钥派生算法,以及自身所支持的加密和完整性保护密钥派生算法,进一步选定空口的加密和完整性保护密钥派生算法。
步骤303:eNB向RS发送认证响应;
该认证响应中包含了eNB的数字证书,如X.509数字证书、eNB对该数字证书的签名、eNB随机产生的随机数RAND2,以及选定的空口加密和完整性保护密钥派生算法。
步骤304:RS对eNB的数字证书进行认证;
RS通过收到的签名和RAND2对eNB的数字证书进行认证,认证通过后,则完成RS对网络侧的鉴权。
步骤305:RS向eNB发送授权请求;
授权请求可以被包含在授权请求消息中,授权请求通过RS的私钥进行完整性保护生成第一消息鉴权编码MAC1后发送,此外,该授权请求通过完整性保护后,还可以选择性的通过eNB的公钥加密后发送。
步骤306:eNB派生认证密钥AK;
eNB收到RS的授权请求后,如果该消息是被加密的,则eNB首先使用eNB的私钥对该授权请求消息进行解密,然后再根据RS的公钥对MAC1进行完整性校验;如果该授权请求消息未被加密,则eNB直接根据RS的公钥对MAC1进行完整性校验,校验通过后,由eNB派生认证密钥AK。
步骤307:eNB向RS发送授权响应;
授权响应可以被包含在授权响应消息中,eNB通过授权响应消息将该认证密钥AK通过eNB的私钥进行完整性保护后,再通过RS的公钥进行加密发送给RS。
至此,RS已经完成了与网络侧的双向认证,上述网络侧可以是指基站,为了后续RS和基站之间通信的安全性,还可以包含步骤308。
步骤308:RS和eNB派生空口加密密钥和完整性保护密钥。
RS对收到的授权响应进行解密和完整性校验后,获得与eNB共享的空口认证密钥AK。至此,RS和eNB双方可以根据该空口认证密钥AK,通过选定的密钥派生算法进一步派生空口用户面和控制面的加密密钥和完整性保护密钥。
本实施例通过RS向eNB发送包含RS的数字证书的认证请求,eNB向RS发送包含eNB的数字证书的认证响应,在双方认证通过后,eNB派生认证密钥并发送给RS实现RS的接入鉴权,使得RS不需要配备USIM卡,进一步地,也不需要对核心网进行改动就可以实现RS的网络安全接入。
在实施例二的方案中,RS和eNB之间完成双向认证后,由eNB派生认证密钥并发送给RS;下面介绍的实施例是在eNB完成对RS的单向认证后,eNB派生认证密钥并下发给RS。
实施例三
本实施例是在eNB完成对RS的单向认证后,就由eNB派生认证密钥并下发给RS。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
参见图4,下面对实现实施例三的方法的具体步骤进行详细介绍:
步骤401与步骤301相同,此处不再赘述。
步骤402:eNB对RS进行认证,产生RAND2,eNB生成认证密钥AK;
eNB通过收到的签名和RAND1对RS数字证书进行认证,认证通过后,完成网络侧对RS的鉴权,eNB生成认证密钥AK,使用eNB的私钥对认证密钥AK进行完整性保护生成MAC1。
步骤403:eNB向RS发送认证响应;
eNB使用RS的公钥对认证密钥AK以及MAC1进行加密,并通过认证响应下发给RS,其中,该认证响应中还包括了eNB的数字证书,如X.509数字证书、eNB选定的空口加密和完整性保护密钥派生算法、eNB对该数字证书的签名以及eNB产生的RAND2。
步骤404:RS对eNB进行认证;
RS通过收到的签名和RAND2对eNB的数字证书进行认证,认证通过后,完成RS对网络侧的鉴权,RS通过使用其私钥进行解密,再通过eNB的公钥进行完整性校验,得到eNB派生的空口认证密钥AK。
步骤405:RS向eNB发送授权请求;
授权请求可以包含在授权请求消息中。RS使用获得的AK对授权请求消息进行完整性保护生成MAC2后,还可以选择性的通过eNB的公钥加密后再发送给eNB;
至此,RS已经接入网络,即基站完成了对RS的鉴权,为了后续RS和基站之间通信的安全性,还可以包含步骤406。
步骤406:RS和eNB派生空口加密密钥和完整性保护密钥。
eNB根据生成的AK进行完整性校验,从而进一步确定RS和eNB之间认证密钥的同步。至此,RS和eNB双方可以根据该空口认证密钥AK,并通过选定的密钥派生算法进一步派生空口用户面和控制面的加密密钥和完整性保护密钥。
本实施例通过RS向eNB发送包含RS的数字证书的认证请求,eNB向RS发送包含eNB的数字证书的认证响应,且在eNB完成对RS的单向认证后,由eNB派生认证密钥并发送给RS,实现RS的接入鉴权,使得RS不需要配备USIM卡,进一步地,也不需要对核心网进行改动就可以实现RS的网络安全接入。
实施例二和实施例三中,认证密钥都是由eNB派生出来的,下面介绍的实施例是由RS派生认证密钥,并通过认证交互过程下发给eNB。
实施例四
本实施例是由RS派生认证密钥,并通过认证交互过程下发给eNB。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
参见图5,下面对实现实施例四的方法的具体步骤进行详细介绍:
步骤501至503与步骤301至303相同,此处不再赘述;
步骤504:RS对eNB进行认证,生成认证密钥AK;
RS通过收到的签名和RAND2对eNB的数字证书进行认证,认证通过后,完成RS对网络侧的鉴权,RS生成认证密钥AK。
步骤505:RS向eNB发送授权请求;
该认证密钥AK使用RS的私钥进行完整性保护生成MAC1,再使用eNB的公钥进行加密后可以通过授权请求消息发送给eNB。
步骤506:eNB向RS发送授权响应;
eNB通过使用其私钥对授权请求进行解密,再通过RS的公钥进行完整性校验,得到RS派生的空口认证密钥AK,eNB使用获得的AK对授权响应进行完整性保护生成MAC2后,还可以选择性的通过RS的公钥进行加密后再发送给RS。
至此,RS已经完成了与网络侧的双向认证,上述网络侧可以是指基站,为了后续RS和基站之间通信的安全性,还可以包含步骤507。
步骤507:RS和eNB派生空口加密密钥和完整性保护密钥。
RS根据生成的AK进行完整性校验,从而进一步确定RS和eNB之间认证密钥的同步。至此,RS和eNB双方可以根据该空口认证密钥AK,并通过选定的密钥派生算法进一步派生空口用户面和控制面的加密密钥和完整性保护密钥。
本实施例通过RS向eNB发送包含RS的数字证书的认证请求,eNB向RS发送包含eNB的数字证书的认证响应,且在双方认证通过后由RS派生认证密钥并发送给eNB实现RS的接入鉴权,使得RS不需要配备USIM卡,进一步地,也不需要对核心网进行改动就可以实现RS的网络安全接入。
上述的实施例是通过认证一方产生认证密钥后,通过加密保护后发送给认证的另一方,下面介绍的实施例是采用密钥交换算法(Diffie-Hellman,DH)交换的方式来协商空口共享认证密钥,即通过RS和eNB交互根据DH算法生成共享密钥所需的密钥材料,如DHrs/DHbs值,使得RS和eNB通过交互可以各自生成出完全一样的共享认证密钥,DH交换过程以及交互过程中所涉及到的密钥材料等内容与现有技术相同,这里不再赘述。
实施例五
本实施例是采用DH交换的方式来协商空口共享认证密钥,实现RS的网络安全接入,引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
参见图6,一种鉴权方法,包括:
步骤601:向eNB发送认证请求;
认证请求包含RS的数字证书,如X.509数字证书、RS的能力以及RS的密钥材料、RS对数字证书的签名以及RAND1。
步骤602:接收eNB发送的认证响应,该认证响应由eNB利用RS对数字证书的签名对RS的数字证书认证通过后发出;
认证响应包含eNB的数字证书,如X.509数字证书、eNB选定的与RS的能力对应的空口加密和完整性保护密钥派生算法、eNB的密钥材料、eNB对数字证书的签名以及eNB生成的RAND2。
步骤603:对eNB的数字证书进行认证;
利用RAND2和eNB对数字证书的签名对eNB的数字证书进行认证。
步骤604:生成与eNB的密钥材料对应的认证密钥;
至此,RS已经完成了与网络侧的双向认证,上述网络侧可以是指基站,为了后续RS和基站之间通信的安全性,还可以包含步骤605。
步骤605:派生与认证密钥对应的空口加密密钥和完整性密钥。
本实施例是通过RS向eNB发送包含RS的数字证书的认证请求,eNB向RS发送包含eNB的数字证书的认证响应,通过认证请求和认证响应交互双方的密钥材料,且在双方通过交互的密钥材料后可以各自派生完全一样的共享认证密钥,使得RS不需要配备USIM卡,进一步地,也不需要对核心网进行改动就可以实现RS的网络安全接入。
实施例五是在双方通过交互的密钥材料后可以各自派生完全一样的共享认证密钥实现RS的网络安全接入,下面介绍的实施例是认证双方各自派生完全一样的共享认证密钥后,通过后续的交互进一步协商双方派生认证密钥的一致性。
实施例六
本实施例是采用DH交换的方式来协商空口共享认证密钥,并通过后续的交互进一步协商双方派生认证密钥的一致性,实现RS的网络安全接入。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
步骤701:RS向eNB发送认证请求;
RS产生一个RAND1,RS向eNB发送认证请求,认证请求可以被包含在认证请求消息中,认证请求包含RS的数字证书,如X.509数字证书、RS的能力、RS侧的密钥材料DHrs、RS对该数字证书的签名以及RAND1。
步骤702:eNB对RS进行认证,产生RAND2;
eNB通过收到的签名和RAND1对RS数字证书进行认证,认证通过后,完成网络侧对RS的鉴权。
步骤703:eNB向RS发送认证响应;
eNB将根据RS的能力,以及自身的能力,进一步选定空口的加密和完整性保护密钥派生算法,并通过认证响应返回给RS,其中,该认证响应中还包含eNB的数字证书,如X.509数字证书、eNB对该数字证书的签名、eNB随机产生的随机数RAND2以及eNB侧的密钥材料DHbs。
至此,RS和eNB之间通过交互的密钥材料,可以各自生成出完全一样的共享认证密钥AK。
步骤704:RS对eNB进行认证;
RS通过收到的eNB对该数字证书的签名和RAND2对eNB的数字证书进行认证。
步骤705:RS向eNB发送授权请求;
RS使用自己派生的AK对授权请求进行完整性保护生成MAC1,授权请求可以包含在授权请求消息中;RS可以将MAC1通过授权请求发送给eNB。
步骤706:eNB向RS发送授权响应;
eNB通过自己派生的AK对授权请求进行认证,认证通过后,eNB可以使用自己派生的AK对授权响应,进行完整性保护生成MAC2后发送给RS。
至此,RS已经完成了与网络侧的双向认证,上述网络侧可以是指基站,为了后续RS和基站之间通信的安全性,还可以包含步骤707。
步骤707:RS和eNB派生空口加密密钥和完整性保护密钥。
RS收到授权响应后,通过自己派生的AK对MAC2进行认证,认证通过后,则可以进一步确定RS和eNB之间认证密钥的同步,至此,RS和eNB双方可以根据该空口认证密钥AK,并通过选定的密钥派生算法进一步派生空口用户面和控制面的加密和完整性保护密钥。
本实施例是通过RS向eNB发送包含RS的数字证书的认证请求,eNB向RS发送包含eNB的数字证书的认证响应,通过认证请求和认证响应交互双方的密钥材料,且在双方通过交互的密钥材料后可以各自派生完全一样的共享认证密钥,使得RS不需要配备USIM卡,同时也不需要对核心网进行改动就可以实现RS的网络安全接入。
采用上述实施例中的RS鉴权过程进行初始认证,当空口认证密钥的生命周期超时,为了缩短重新认证的延时,RS可以采用实施例七至九方案中的快速重认证的方式对认证密钥进行更新,从而保证空口认证密钥的有效性。当采用除本发明实施例中RS接入鉴权的方式以外的鉴权方式进行初始认证时,如果空口认证密钥的生命周期超时,为了缩短重新认证的延时,RS也可以采用实施例七至十一方案中的快速重认证的方式对认证密钥进行更新,从而保证空口认证密钥的有效性。
实施例七
本实施例是实现重认证的方法,引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。参见图8,该方法包括:
步骤801:接收RS发送的重认证请求;
eNB接收RS发送的重认证请求,重认证请求可以被包含在重认证请求消息中,也可以被包含在其它的消息中。
步骤802:eNB派生出加密密钥和完整性保护密钥;
步骤803:eNB生成与加密密钥和完整性保护密钥对应的MAC1,将MAC1发送给RS,指示RS对MAC1进行认证;
步骤804:eNB接收RS认证通过后发送的MAC2,对MAC2进行认证。
RS快速重认证过程可以是由RS触发,也可以是由eNB触发。
本实施例通过派生用户面和控制面的加密密钥和完整性保护密钥实现快速重认证的方法,从而保证了空口认证密钥的有效性。
下面以RS触发的重认证过程为例,根据不同的实现方式给出了对应的实施例。
实施例八
本实施例中,通过RS和eNB之间共享的空口密钥AK重新派生出一个新的空口密钥,并根据该新空口密钥进一步派生出新的用户面和控制面的加密和完整性保护密钥来实现快速重认证的方法。由于每次重认证过程获得的新空口密钥都是由不同的原空口密钥AK派生得到的,从而出现两次派生出相同空口密钥的可能性很小。为了避免重认证过程中的重放攻击,因此,只需要通过简单的单向函数推演即可。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
参见图9,下面对实现实施例八的方法的具体步骤进行详细介绍:
步骤901:RS向eNB发送重认证请求;
重认证请求可以被包含在重认证请求消息中,也可以被包含在其它的消息中。
步骤902:eNB由原空口密钥通过密钥派生功能KDF重新派生出新空口密钥;
eNB收到RS发送的重认证请求后,可以通过KDF派生与初始认证的原空口密钥AK对应的新空口密钥,并进一步派生与新空口密钥对应的加密密钥和完整性保护密钥。
步骤903:eNB向RS发送MAC1;
eNB可以通过新派生的完整性保护密钥对SMC,进行完整性保护生成MAC1,并发送给RS。
步骤904:RS向eNB发送MAC2。
RS收到MAC1消息后,将原空口密钥AK作为密钥派生参数,通过KDF派生出与eNB对应的新空口密钥AK,以及对应的新的用户面和控制面的加密密钥和完整性保护密钥,并利用派生的新完整性保护密钥对获得的MAC1进行认证,认证通过后,RS使用新派生的完整性密钥对安全模式完成消息,也可以是其它消息,进行完整性保护生成MAC2后发送给eNB,eNB收到后根据自己派生的新完整性保护密钥生成MAC1与收到的MAC2比较,如果一致,则校验通过,进一步明确RS和eNB之间新派生认证密钥的同步。
本实施例是以RS触发的重认证过程为例来说明,上述方法同样适用于eNB触发的重认证过程。
本实施例是直接通过RS和eNB之间共享的原空口密钥AK重新派生出新空口密钥,并根据该新空口密钥进一步派生出新的用户面和控制面的加密和完整性保护密钥来实现快速重认证,从而保证了空口认证密钥的有效性。
实施例八是直接通过RS和eNB之间共享的空口密钥AK重新派生出新空口密钥,并根据该新空口密钥进一步派生出新的用户面和控制面的加密和完整性保护密钥来实现快速重认证的方法,下面介绍一种直接对RS和eNB之间共享的用户面和控制面的加密和完整性保护密钥进行更新来实现快速重认证的方法。
实施例九
本实施例是直接对RS和eNB之间共享的用户面和控制面的加密和完整性保护密钥进行更新。由于每次空口用户面和控制面的加密和完整性保护密钥都是由不同的原空口用户面和控制面的加密和完整性保护密钥派生得到的,从而出现两次派生出相同空口密钥的可能性很小。为了避免重认证过程中的重放攻击,因此,只需要通过简单的单向函数推演即可。引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB可以为基站。下面结合附图进行详细说明。
参见图10,下面对实现实施例九的方法的具体步骤进行详细介绍:
步骤1001与步骤901相同,此处不再赘述;
步骤1002:eNB派生与初始认证的原加密密钥和完整性保护密钥对应的加密密钥和完整性保护密钥;
eNB收到该重认证请求后,将初始认证的原加密密钥和完整性保护密钥作为参数,可以通过KDF直接派生出加密和完整性保护密钥。
步骤1003与步骤903相同,此处不再赘述;
步骤1004:RS向eNB发送MAC2。
RS收到该MAC1消息后,将原空口用户面和控制面的加密和完整性保护密钥作为参数,通过KDF派生出与eNB对应的新空口用户面和控制面的加密和完整性保护密钥,并利用派生的新完整性保护密钥对获得的MAC1进行认证,认证通过后,RS使用新派生的完整性密钥对安全模式完成消息,也可以是其它消息,进行完整性保护生成MAC2后发送给eNB,eNB收到后根据自己派生的新完整性保护密钥生成MAC1与收到的MAC2比较,如果一致,则校验通过,进一步明确RS和eNB之间新派生认证密钥的同步。
本实施例是以RS触发的重认证过程为例来说明,上述方法同样适用于eNB触发的重认证过程。
本实施例是直接通过RS和eNB之间共享的用户面和控制面的加密和完整性保护密钥进行更新来实现快速重认证,从而保证了空口认证密钥的有效性。
实施例十
本实施例是采用现有LTE系统中防止重放攻击的方式,通过RS和eNB之间维护的COUNT值来实现。具体COUNT值的维护机制与现有技术相同,这里不再赘述。下面结合附图进行详细说明。
参见图11,下面对实现实施例六的方法的具体步骤进行详细介绍:
首先RS和eNB对维护的COUNT值进行同步处理;
步骤1101:RS向eNB发送重认证请求;
所述重认证请求可以被包含在重认证请求消息中。
步骤1102:eNB将COUNT值加1,并重新派生密钥;
eNB收到RS发送的重认证请求后,将其维护的COUNT值加1,派生与共享密钥KASME-RS对应的新空口密钥KeNB-RS,并进一步派生与新空口密钥对应的加密密钥和完整性保护密钥,上述共享密钥KASME-RS是由eNB和RS之间共享。
步骤1103:eNB向RS发送MAC1;
eNB使用新生成的完整性保护密钥对携带其维护COUNT值的安全模式命令进行完整性保护生成MAC1,也可以是对携带其维护COUNT值的其它消息进行完整性保护生成MAC1,再通过原空口加密密钥进行加密后发送给RS。
步骤1104:RS向eNB发送MAC2。
RS利用原空口解密密钥对MAC1进行解密后,通过共享密钥KASME-RS及解密后获得的COUNT值作为入参重新派生出与eNB对应的新空口密钥KeNB-RS,以及对应的新的用户面和控制面的加密密钥和完整性保护密钥,并利用新派生的完整性保护密钥对MAC1进行认证,认证通过后,RS比较收到的COUNT值与自己维护的COUNT值,如果前者大于后者,则说明没有发生重放攻击,否则认为发生了重放攻击;RS利用新生成的完整性密钥对安全模式完成消息进行完整性保护生成MAC2发送给eNB,也可以是对其它消息进行完整性保护生成MAC2发送给eNB;eNB收到后根据自己派生的新完整性保护密钥生成MAC与收到的MAC2比较,如果一致,则校验通过,进一步明确RS和eNB之间新派生认证密钥的同步。
本实施例是以RS触发的重认证过程为例来说明,上述方法同样适用于eNB触发的重认证过程。
本实施例是利用共享密钥KASME-RS,重新派生RS和eNB之间的新空口密钥KeNB-RS,从而根据该新空口密钥进一步派生出新的用户面和控制面的加密和完整性保护密钥,通过采用现有LTE系统中防止重放攻击的方式,通过RS和eNB之间维护的COUNT值来实现快速重认证,从而保证了空口认证密钥的有效性。
实施例十是通过采用现有LTE系统中防止重放攻击的方式,通过RS和eNB之间维护的COUNT值来实现,下面介绍一种通过采用随机数的方式,在每次密钥派生时引入一些变量作为密钥派生参数,实现快速重认证的方法。
实施例十一、
本实施例通过采用随机数的方式,在每次密钥派生时引入一些变量作为密钥派生参数实现快速重认证的方法,下面结合附图进行详细说明。
参见图12,下面对实现实施例七的方法的具体步骤进行详细介绍:
步骤1201:RS向eNB发送重认证请求;
所述重认证请求可以被包含在重认证请求消息中,RS生成一个RAND1,并通过重认证请求将该RAND1发送给eNB。
步骤1202:eNB随机产生一个RAND2,并重新派生密钥;
eNB收到该消息后,生成一个RAND2,可以通过KDF派生空口密钥,所述空口密钥与RAND1、RAND2以及共享密钥对应,上述共享密钥KASME-RS是由eNB和RS之间共享,派生与空口密钥对应的加密密钥和完整性保护密钥。
步骤1203:eNB向RS发送MAC1;
eNB使用新派生的完整性密钥对携带RAND2的SMC,也可以是其它消息,进行完整性保护生成MAC1,再通过原空口加密密钥对MAC1以及RAND2进行加密保护后返回给RS。
步骤1204:RS向eNB发送MAC2。
RS利用原空口解密密钥对该消息进行解密,并将解密后获得的RAND2,结合RAND1以及共享密钥KASME-RS作为密钥派生参数,通过密钥派生函数(KeyDeriving Function.,KDF)派生出与eNB对应的新空口密钥KeNB-RS,以及对应的新的用户面和控制面的加密密钥和完整性保护密钥,并利用派生的新完整性保护密钥对获得的MAC1进行认证。认证通过后,RS利用新生成的完整性密钥对安全模式完成消息,也可以是其它消息,进行完整性保护生成MAC2发送给eNB,eNB收到后根据自己派生的新完整性保护密钥生成MAC与收到的MAC2比较,如果一致,则校验通过,进一步明确RS和eNB之间新派生认证密钥的同步。
本实施例是以RS触发的重认证过程为例来说明,上述方法同样适用于eNB触发的重认证过程。
本实施例是利用共享密钥KASME-RS,重新派生RS和eNB之间的新空口密钥KeNB-RS,从而根据该新空口密钥进一步派生出新的用户面和控制面的加密和完整性保护密钥,通过采用随机数的方式,在每次密钥派生时引入一些变量作为密钥派生参数,实现快速重认证,从而保证了空口认证密钥的有效性。
上面的实施例介绍了几种RS接入鉴权的方法和RS重认证的方法,下面介绍相关装置。
参见图13,引入RS后支持数字证书的认证方式的各种系统都可以对RS进行鉴权,因此下面提及的eNB可以为基站。一种通信装置130,包括:
认证请求发送单元131,用于向eNB发送认证请求,认证请求包含RS的数字证书;
认证响应接收单元132,用于接收eNB发送的认证响应,认证响应包含eNB的数字证书,上述认证响应是由eNB对RS的数字证书认证通过后发送;
认证响应接收单元132在eNB对认证请求发送单元131发送的RS的数字证书认证通过后,接收eNB发送的认证响应。
认证单元133,用于对认证响应接收单元132接收到的eNB的数字证书进行认证;
获取单元134,用于获取认证密钥。
获取单元134可以是在认证单元133认证通过后获取认证密钥,或生成认证密钥,也可以是从认证响应接收单元132中获取认证密钥。
其中,通信装置还包括:派生单元135,用于派生与获取单元134获取到的认证密钥对应的空口加密密钥和完整性保护密钥。
其中,通信装置还包括:授权请求发送单元,用于在认证单元133通过认证后向eNB发送授权请求,指示eNB对授权请求进行校验;授权响应接收单元,用于接收eNB对授权请求校验通过后发送的授权响应,授权响应包含eNB生成的认证密钥;校验单元,用于对授权响应接收单元接收到的授权响应进行校验。
其中,认证响应接收单元132还用于接收eNB生成的认证密钥。
其中,获取单元134用于生成认证密钥;通信装置还包括:授权请求发送单元,用于向eNB发送授权请求,指示eNB对授权请求进行校验,授权请求包含认证密钥;授权响应接收单元,用于接收eNB校验通过后发送的授权响应;校验单元,用于对授权响应接收单元接收到的授权响应进行校验。
其中,认证响应接收单元132还用于接收eNB的密钥材料;获取单元134用于生成与eNB的密钥材料对应的认证密钥。
上述通信装置130可以用来实现上述各实施例提及的鉴权方法,但不限于实现上述鉴权方法。
参见图14,一种通信装置140,包括:
重认证请求接收单元141,用于接收RS发送的重认证请求;
密钥派生单元142,用于派生加密密钥和完整性保护密钥;
密钥派生单元142是在接收到重认证请求接收单元141的重认证请求后,派生加密密钥和完整性保护密钥。
生成单元143,用于生成与密钥派生单元142派生的加密密钥和完整性保护密钥对应的MAC1;
发送单元144,用于将生成单元143生成的MAC1发送给RS,指示RS对MAC1进行认证;
接收单元145,用于接收RS认证通过后发送的第二消息鉴权编码MAC2;
接收单元145可以是在RS对发送单元144发送的MAC1认证通过后,接收RS发送的MAC2。
认证单元146,用于对接收单元145接收到的MAC2进行认证。
参见图15,一种通信系统,包括:
RS151,用于向eNB152发送认证请求,认证请求包含RS的数字证书,接收eNB152对RS的数字证书认证通过后发送的认证响应,认证响应包含eNB的数字证书,对eNB的数字证书进行认证,获取认证密钥,根据密钥派生算法派生与认证密钥对应的空口加密密钥和完整性保护密钥;
eNB152,用于接收RS151发送的认证请求,认证请求包含RS的数字证书,对RS的数字证书进行认证,如果认证通过,,向RS151发送认证响应,认证响应包含eNB的数字证书,派生空口加密密钥和完整性密钥。
其中,RS151还用于向eNB152发送授权请求,接收eNB152对授权请求校验通过后发送的授权响应,对授权响应进行校验;eNB152还用于对授权请求进行校验,校验通过后生成认证密钥,向RS151发送授权响应,授权响应包含eNB生成的认证密钥。
其中,eNB152还用于生成认证密钥,对RS151发送的授权请求进行校验;RS151还用于接收eNB152发送的认证密钥,向eNB发送授权请求。
其中,RS151还用于生成认证密钥,向eNB152发送授权请求,授权请求包含认证密钥,接收eNB152校验通过后发送的授权响应,对授权响应进行校验;eNB152还用于接收授权请求,授权请求包含RS151生成的认证密钥,对授权请求进行校验,校验通过后向RS151发送授权响应。
其中,RS151还用于接收eNB152的密钥材料,生成与eNB的密钥材料对应的认证密钥;eNB152还用于向RS151发送eNB的密钥材料。
其中,RS151还用于向eNB152发送RS的密钥材料;eNB152还用于生成与RS的密钥材料对应的认证密钥。
其中,RS151还用于向eNB152发送授权请求,接收eNB152校验通过后发送的授权响应,对授权响应进行校验;eNB152还用于对授权请求进行校验,校验通过后向RS151发送授权响应。
其中,上述通信系统的RS151还用于生成第一随机数,向eNB152发送RS对数字证书的签名以及第一随机数,接收eNB152对eNB的数字证书的签名以及eNB生成的第二随机数;eNB152还用于生成第二随机数,向RS151发送eNB对eNB的数字证书的签名以及eNB生成的第二随机数。
参见图16,一种通信系统,包括
RS161,用于发送重认证请求,接收eNB162发送的MAC1,派生加密密钥和完整性保护密钥,利用加密密钥和完整性保护密钥对接收到的MAC1进行认证,认证通过后,生成与加密密钥和完整性保护密钥对应的MAC2,将MAC2发送给eNB162;
eNB162,用于接收RS161发送的重认证请求,派生加密密钥和完整性保护密钥,生成与加密密钥和完整性保护密钥对应的MAC1,将MAC1发送给RS161,接收RS161认证通过后发送的MAC2,对MAC2进行认证。
本发明实施例通过RS向基站发送包含RS的数字证书的认证请求,接收基站发送的包含基站的数字证书的认证响应,认证响应由基站对RS的数字证书认证通过后发送,通过双向认证方式进行鉴权,使得RS不需要配备USIM卡,基站就能够完成RS的网络安全接入;同时,为了缩短认证密钥更新的延时,本发明实施例还提供RS实现快速重认证的方法,基站通过接收RS发送的重认证请求,重新派生加密和完整性保护密钥,利用重新派生的加密和完整性保护密钥进行认证,确保RS和基站之间新派生的认证密钥的同步,从而保证空口认证密钥的有效性。
进一步,可以由RS或基站派生认证密钥,并发送给认证另一方,或采用DH交换的方式来协商空口共享认证密钥,使得RS不需要配备USIM卡,基站就能够实现RS的网络安全接入。
进一步,本发明实施例仅由接入网侧来实现RS的鉴权,不需要对核心网进行改动就能够实现RS的网络安全接入,从而使得引入RS后的系统对整个网络的影响最小化。
进一步,基站通过接收RS的重认证请求,基站利用RS和基站之间共享的空口密钥重新派生出一个新的空口密钥,或通过RS和基站之间共享的用户面和控制面的加密和完整性保护密钥进行更新,实现快速重认证,从而保证了空口认证密钥的有效性。
以上对本发明实施例所提供的鉴权方法、重认证方法和通信装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种鉴权方法,其特征在于,包括:
中继站向基站发送认证请求,所述认证请求包含中继站的数字证书;
中继站接收基站发送的认证响应,所述认证响应包含基站的数字证书,所述认证响应由所述基站对所述中继站的数字证书认证通过后发送;
中继站对所述基站的数字证书进行认证,获取认证密钥并派生与所述认证密钥对应的空口加密密钥和完整性保护密钥;
其中,所述获取认证密钥包括:
获取所述认证响应中携带的所述基站生成的认证密钥;或,自身生成认证密钥,或,生成与所述认证响应中携带的所述基站的密钥材料对应的认证密钥。
2.根据权利要求1所述的鉴权方法,其特征在于,若所述认证密钥由所述中继站自身生成;
所述获取认证密钥后还包括:
向所述基站发送授权请求,指示所述基站对所述授权请求进行校验,所述授权请求包含所述认证密钥;
接收所述基站校验通过后发送的授权响应,对所述授权响应进行校验。
3.根据权利要求1所述的鉴权方法,其特征在于,所述认证请求还包括:
中继站的密钥材料,指示基站生成与所述中继站的密钥材料对应的认证密钥。
4.一种鉴权方法,其特征在于,包括:
中继站向基站发送认证请求,所述认证请求包含中继站的数字证书;
中继站接收基站发送的认证响应,所述认证响应包含基站的数字证书,所述认证响应由所述基站对所述中继站的数字证书认证通过后发送;
中继站对所述基站的数字证书进行认证;
在对所述基站的数字证书进行认证后还包括:
向所述基站发送授权请求,指示所述基站对所述授权请求进行校验;
接收所述基站对所述授权请求校验通过后发送的授权响应,对所述授权响应进行校验,所述授权响应包含基站生成的认证密钥;从所述授权响应获取所述认证密钥,并派生与所述认证密钥对应的空口加密密钥和完整性保护密钥。
5.一种重认证方法,其特征在于,包括:
基站接收中继站发送的重认证请求;
基站派生加密密钥和完整性保护密钥;
基站生成与所述加密密钥和完整性保护密钥对应的第一消息鉴权编码,将所述第一消息鉴权编码发送给所述中继站,指示所述中继站对所述第一消息鉴权编码进行认证;
基站接收所述中继站认证通过后发送的第二消息鉴权编码,对所述第二消息鉴权编码进行认证。
6.根据权利要求5所述的重认证方法,其特征在于,所述派生加密密钥和完整性保护密钥的步骤包括:
派生与初始认证的原空口密钥对应的新空口密钥,派生与所述新空口密钥对应的加密密钥和完整性保护密钥。
7.根据权利要求5所述的重认证方法,其特征在于,所述派生加密密钥和完整性保护密钥的步骤包括:
派生与初始认证的原加密密钥和完整性保护密钥对应的加密密钥和完整性保护密钥。
8.根据权利要求5所述的重认证方法,其特征在于,所述派生加密密钥和完整性保护密钥的步骤包括:
派生与共享密钥对应的空口密钥,派生与所述空口密钥对应的加密密钥和完整性保护密钥,所述共享密钥由基站与所述中继站之间共享。
9.根据权利要求5所述的重认证方法,其特征在于,接收的所述重认证请求包括所述中继站生成的第一随机数;
派生加密密钥和完整性保护密钥前还包括:
基站生成第二随机数;
所述派生加密密钥和完整性保护密钥的步骤包括:
派生空口密钥,所述空口密钥与所述第一随机数、第二随机数以及共享密钥对应,所述共享密钥由基站和所述中继站之间共享;
派生与所述空口密钥对应的加密密钥和完整性保护密钥。
10.一种通信装置,其特征在于,包括:
认证请求发送单元,用于向基站发送认证请求,所述认证请求包含中继站的数字证书;
认证响应接收单元,用于接收基站发送的认证响应,所述认证响应包含基站的数字证书,所述认证响应由所述基站对所述中继站的数字证书认证通过后发送;
认证单元,用于对所述认证响应接收单元接收到的所述基站的数字证书进行认证;
获取单元,用于获取认证密钥,具体包括:获取所述认证响应中携带的所述基站生成的认证密钥;或,生成认证密钥,或,由生成与所述认证响应中携带的所述基站的密钥材料对应的认证密钥;
派生单元,用于派生与所述获取单元获取到的所述认证密钥对应的空口加密密钥和完整性保护密钥。
11.根据权利要求10所述的通信装置,其特征在于,若所述获取单元用于生成认证密钥;
所述通信装置还包括:
授权请求发送单元,用于向所述基站发送授权请求,指示所述基站对所述授权请求进行校验,所述授权请求包含所述认证密钥;
授权响应接收单元,用于接收所述基站校验通过后发送的授权响应;
校验单元,用于对所述授权响应接收单元接收到的所述授权响应进行校验。
12.一种通信装置,其特征在于,包括:
认证请求发送单元,用于向基站发送认证请求,所述认证请求包含中继站的数字证书;
认证响应接收单元,用于接收基站发送的认证响应,所述认证响应包含基站的数字证书,所述认证响应由所述基站对所述中继站的数字证书认证通过后发送;
认证单元,用于对所述认证响应接收单元接收到的所述基站的数字证书进行认证;
授权请求发送单元,用于在所述认证单元通过认证后向所述基站发送授权请求,指示基站对所述授权请求进行校验;
授权响应接收单元,用于接收所述基站对所述授权请求校验通过后发送的授权响应,所述授权响应包含基站生成的认证密钥;
校验单元,用于对所述授权响应接收单元接收到的授权响应进行校验;
获取单元,用于获取所述授权响应包含基站生成的认证密钥;
派生单元,用于派生与所述获取单元获取到的所述认证密钥对应的空口加密密钥和完整性保护密钥。
13.一种通信装置,其特征在于,包括:
重认证请求接收单元,用于接收中继站发送的重认证请求;
密钥派生单元,用于派生加密密钥和完整性保护密钥;
生成单元,用于生成与所述密钥派生单元派生的所述加密密钥和完整性保护密钥对应的第一消息鉴权编码;
发送单元,用于将所述生成单元生成的所述第一消息鉴权编码发送给所述中继站,指示所述中继站对所述第一消息鉴权编码进行认证;
接收单元,用于接收所述中继站认证通过后发送的第二消息鉴权编码;
认证单元,用于对所述接收单元接收到的所述第二消息鉴权编码进行认证。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100412970A CN101640886B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、重认证方法和通信装置 |
| EP09802396A EP2296392A4 (en) | 2008-07-29 | 2009-07-22 | AUTHENTICATION METHOD, RECERTIFICATION METHOD, AND COMMUNICATION DEVICE |
| EP17194016.6A EP3328108A1 (en) | 2008-07-29 | 2009-07-22 | Authentication method, re-authentication method and communication apparatus |
| PCT/CN2009/072864 WO2010012203A1 (zh) | 2008-07-29 | 2009-07-22 | 鉴权方法、重认证方法和通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100412970A CN101640886B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、重认证方法和通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101640886A CN101640886A (zh) | 2010-02-03 |
| CN101640886B true CN101640886B (zh) | 2012-04-25 |
Family
ID=41609953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100412970A Expired - Fee Related CN101640886B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、重认证方法和通信装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (2) | EP2296392A4 (zh) |
| CN (1) | CN101640886B (zh) |
| WO (1) | WO2010012203A1 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2421292B1 (en) | 2009-04-30 | 2015-04-15 | Huawei Technologies Co., Ltd. | Method and device for establishing security mechanism of air interface link |
| CN102143489A (zh) * | 2010-02-01 | 2011-08-03 | 华为技术有限公司 | 中继节点的认证方法、装置及系统 |
| CN102158860B (zh) * | 2010-02-12 | 2014-05-21 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
| CA2803180A1 (en) * | 2010-06-21 | 2011-12-29 | Nokia Siemens Networks Oy | Method for establishing a secure and authorized connection between a smart card and a device in a network |
| CN102387052B (zh) * | 2010-09-06 | 2013-09-25 | 中商商业发展规划院有限公司 | 农村流通管理服务平台集成系统与方法 |
| CN102469459B (zh) * | 2010-11-05 | 2014-12-10 | 中国移动通信集团公司 | 一种中继节点的设备完整性检测方法、系统和装置 |
| CN103179679A (zh) * | 2011-12-21 | 2013-06-26 | 国民技术股份有限公司 | 安全通道与开放通道绑定的方法 |
| CN103428693B (zh) * | 2012-05-14 | 2016-12-14 | 国民技术股份有限公司 | 一种通讯方法、通讯终端及系统 |
| LT3777834T (lt) | 2012-06-01 | 2022-05-25 | Novartis Ag | Švirkštas |
| CN102833754B (zh) * | 2012-08-17 | 2016-08-03 | 中国电力科学研究院 | 一种基于数字证书的移动设备可信接入方法 |
| WO2014060013A1 (en) * | 2012-10-15 | 2014-04-24 | Nokia Solutions And Networks Oy | Network authentication |
| CN104769982B (zh) * | 2013-10-23 | 2019-05-03 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
| CN104955040B (zh) * | 2014-03-27 | 2019-12-24 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
| WO2016011588A1 (zh) * | 2014-07-21 | 2016-01-28 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理实体、归属服务器、终端、身份认证系统和方法 |
| CN105472764A (zh) | 2014-08-20 | 2016-04-06 | 深圳市中兴微电子技术有限公司 | 一种接入lte网络的方法及电子设备 |
| US9998449B2 (en) | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
| CN106714156A (zh) * | 2015-07-13 | 2017-05-24 | 中兴通讯股份有限公司 | 一种无线接入点和管理平台鉴权的方法和装置 |
| CN106535182A (zh) * | 2015-09-10 | 2017-03-22 | 中兴通讯股份有限公司 | 一种无线网络鉴权方法及核心网网元、接入网网元、终端 |
| SG10201509342WA (en) | 2015-11-12 | 2017-06-29 | Huawei Int Pte Ltd | Method and system for session key generation with diffie-hellman procedure |
| CN107547466A (zh) * | 2016-06-23 | 2018-01-05 | 南京中兴软件有限责任公司 | 一种简单网络协议认证方法及装置 |
| JP6637407B2 (ja) | 2016-12-27 | 2020-01-29 | 株式会社日立ハイテクノロジーズ | 自動分析装置 |
| CN109391938A (zh) * | 2017-08-04 | 2019-02-26 | 中兴通讯股份有限公司 | 密钥协商方法、装置及系统 |
| CN109586913B (zh) * | 2017-09-28 | 2022-04-01 | 中国移动通信有限公司研究院 | 安全认证方法、安全认证装置、通信设备及存储介质 |
| CN113015159B (zh) * | 2019-12-03 | 2023-05-09 | 中国移动通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
| CN114830705A (zh) * | 2019-12-31 | 2022-07-29 | 华为技术有限公司 | 认证方法、装置及系统 |
| CN112585549B (zh) * | 2020-02-29 | 2022-05-31 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
| CN111479270B (zh) * | 2020-04-15 | 2021-10-12 | 青岛交互物联科技有限公司 | 一种入网双向鉴权的方法及装置 |
| CN113329025B (zh) * | 2021-06-07 | 2022-06-28 | 中国电子科技集团公司第二十九研究所 | 基于软件授权嵌入式对称加密的记录数据保护方法及系统 |
| US20240080666A1 (en) * | 2022-09-01 | 2024-03-07 | T-Mobile Innovations Llc | Wireless communication network authentication for a wireless user device that has a circuitry identifier |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802018A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种消息认证方法 |
| CN1953369A (zh) * | 2006-09-30 | 2007-04-25 | 中国移动通信集团公司 | 一种发起与识别更新密钥请求的方法、系统和装置 |
| CN1980451A (zh) * | 2005-11-29 | 2007-06-13 | 华为技术有限公司 | 无线通信系统中的重认证方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| JP2002186037A (ja) * | 2000-12-12 | 2002-06-28 | Ntt Docomo Inc | 認証方法、通信装置、および中継装置 |
| CN101167356B (zh) * | 2005-03-24 | 2013-03-06 | 客得富移动通信股份有限公司 | 针对单频网络中各个发射机的条件接入系统及方法 |
| KR101137340B1 (ko) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | 릴레이 스테이션의 보안 제공 방법 |
| WO2008004102A2 (en) * | 2006-07-06 | 2008-01-10 | Nortel Networks Limited | Wireless access point security for multi-hop networks |
| CN101166090A (zh) * | 2006-10-20 | 2008-04-23 | 中兴通讯股份有限公司 | 一种基于多重认证以及rsa认证的授权方法 |
| CN101197673B (zh) * | 2006-12-05 | 2011-08-10 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
-
2008
- 2008-07-29 CN CN2008100412970A patent/CN101640886B/zh not_active Expired - Fee Related
-
2009
- 2009-07-22 EP EP09802396A patent/EP2296392A4/en not_active Withdrawn
- 2009-07-22 EP EP17194016.6A patent/EP3328108A1/en not_active Withdrawn
- 2009-07-22 WO PCT/CN2009/072864 patent/WO2010012203A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802018A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种消息认证方法 |
| CN1980451A (zh) * | 2005-11-29 | 2007-06-13 | 华为技术有限公司 | 无线通信系统中的重认证方法 |
| CN1953369A (zh) * | 2006-09-30 | 2007-04-25 | 中国移动通信集团公司 | 一种发起与识别更新密钥请求的方法、系统和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101640886A (zh) | 2010-02-03 |
| EP2296392A1 (en) | 2011-03-16 |
| WO2010012203A1 (zh) | 2010-02-04 |
| EP2296392A4 (en) | 2012-01-18 |
| EP3328108A1 (en) | 2018-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101640886B (zh) | 鉴权方法、重认证方法和通信装置 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN101640887B (zh) | 鉴权方法、通信装置和通信系统 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| US11799650B2 (en) | Operator-assisted key establishment | |
| WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| WO2018040758A1 (zh) | 认证方法、认证装置和认证系统 | |
| CN102036238B (zh) | 一种基于公钥实现用户与网络认证和密钥分发的方法 | |
| KR101038096B1 (ko) | 바이너리 cdma에서 키 인증 방법 | |
| US8230218B2 (en) | Mobile station authentication in tetra networks | |
| CN103098435A (zh) | 中继节点设备认证机制 | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| WO2017188895A1 (en) | Method and system for authentication with asymmetric key | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| WO2011092138A1 (en) | Efficient terminal authentication in telecommunication networks | |
| CN101741555A (zh) | 身份认证和密钥协商方法及系统 | |
| CN101945386A (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN102413463B (zh) | 填充序列长度可变的无线媒体接入层鉴权和密钥协商方法 | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120425 Termination date: 20210729 |