CN101640887A - 鉴权方法、通信装置和通信系统 - Google Patents
鉴权方法、通信装置和通信系统 Download PDFInfo
- Publication number
- CN101640887A CN101640887A CN200810041298A CN200810041298A CN101640887A CN 101640887 A CN101640887 A CN 101640887A CN 200810041298 A CN200810041298 A CN 200810041298A CN 200810041298 A CN200810041298 A CN 200810041298A CN 101640887 A CN101640887 A CN 101640887A
- Authority
- CN
- China
- Prior art keywords
- key
- authentication
- equipment
- relay station
- ciphering key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Abstract
本发明实施例公开了鉴权方法、通信装置和通信系统,鉴权方法包括:第一设备接收中继站发送的认证请求,认证请求包含中继站身份标识;获取认证向量,向中继站发送所述认证向量,指示中继站对认证向量进行认证,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;接收中继站对所述认证向量认证通过后发送的响应值,对响应值进行认证,当认证通过时,派生空口密钥。本发明实施例通过在接入网侧引入一个逻辑实体,由接入网侧完成对中继站的身份认证及密钥派生,将中继站的鉴权功能完全限定在接入网侧实现,从而避免接入网引入中继站后对核心网的改动,使得引入中继站后的系统对整个网络的影响达到最小化。
Description
技术领域
本发明涉及通信技术领域,尤其涉及鉴权方法、通信装置和通信系统。
背景技术
随着移动系统的覆盖范围越来越大,用户接入系统的数目逐渐增多,服务提供商提供的服务多元化发展,使得网络的复杂程度不断提高,如何保证网络和业务信息的安全是一个当前迫切需要解决的问题。
在移动通信系统中,为了保证运营业务的安全性,网络侧需要对接入的用户设备(User Equipment,UE)进行鉴权处理,使得非法UE无法得到网络侧提供的服务,保障运营商的利益;同时,UE也需要验证网络侧发送的鉴权信息是否有效,即UE对网络侧进行鉴权处理,防止非法网络侧利用合法网络侧已经使用过的鉴权信息对UE进行重放攻击,使UE相信该非法网络侧合法。
现有长期演进(Long Term Evolved,LTE)网络系统中,UE和演进的基站(E-UTRAN Node B,eNB)之间的空口链路是单跳的,采用演进的分组系统(Evolved Packet System,EPS)认证和密钥协商(Authentication and KeyAgreement,AKA)协议来完成用户和网络侧的鉴权过程,即包括身份认证和密钥协商的处理,其实现的基础是用户和网络侧预共享一个永久性对称密钥。整个鉴权过程包含在一个鉴权处理中进行,并且采用鉴权元组的方式来进行认证,鉴权元组包括:包括:随机数(RAND)、期望响应(Expected userResponse,XRES)、密钥(KASME)和鉴权令牌(Authentication token,AUTN),其中,密钥是由加密密钥(Cipher Key,CK)和完整性密钥(Integrity Key,IK)共同派生的;其中,AUTN进一步包括鉴权序列号(Sequence Number,SQN)、鉴权管理域(Authentication Management Field,AMF)和消息鉴权编码(Message Authentication Code,MAC)三个部分。
引入中继站(Relay Station,RS)后,LTE系统中UE和eNB之间的空口链路被分段,包括UE和RS之间的接入链路,以及RS和eNB之间的中继链路。RS的网络接入过程中,可以将RS看作为UE进行网络接入,即RS采用与传统UE相同的鉴权过程,具体接入过程参见图1,RS接入过程中的鉴权处理流程为:
步骤101:RS向移动性管理实体(Mobility Management Entity,MME)发送认证请求,该消息中携带了RS的国际移动用户标识(International MobileSubscriber Identity,IMSI)、RS的能力(即所支持的加密和完整性保护算法)、以及派生密钥(KASME)所对应的密钥标识符(KSIASME)等内容;
步骤102:MME向归属用户服务器(Home Subscriber Server,HSS)转发RS的认证请求,该消息中携带了RS的身份标识IMSI、服务网络标识等内容,HSS根据RS的IMSI找到该用户对应的共享密钥K,并随机产生一个RAND,然后根据RAND、自身当前保存的鉴权SQN、RS和HSS共享密钥K及其它信息生成该RS对应的认证向量(Authentication Vector,AV),其中AV包括RAND、XRES、KASME和AUTN;
步骤103:HSS向MME返回认证响应,该消息中携带了该用户的认证向量AV,以及密钥KASME所对应的密钥标识符KSIASME等内容,MME将收到的该RS的认证向量进行保存;
步骤104:MME向RS发送RS认证请求,该消息中携带了该RS认证向量中对应的RAND和AUTN,以及密钥KASME所对应的密钥标识符KSIASME等内容;
步骤105:RS根据收到的RAND和AUTN,进行校验,包括:根据RAND、AUTN中的SQN和与网络侧共享的密钥K共同计算出一个MAC值,并比较该MAC值和从接收到的AUTN中解析的MAC值是否一致,如果一致,则RS对网络侧的鉴权通过,则利用RAND和与网络侧共享的密钥K共同计算出一个响应(Response,RES)发送给MME;
步骤106:MME比较从RS接收到的RES与本地存贮该用户AV中的XRES是否一致,如果一致,网络侧对RS的鉴权通过,则MME根据密钥KASME进一步派生出空口密钥KeNB,并通过安全模式命令(Security Mode Command,SMC)将该空口密钥以及RS所支持的加密和完整性保护算法下发给eNB;
步骤107:eNB根据收到的RS所支持的加密和完整性保护算法,以及自身支持的加密和完整性保护算法,确定空口用户面和控制面的加密和完整性保护密钥的算法,并将选定的算法通过SMC下发给RS,此时,RS和eNB可以各自利用空口密钥KeNB通过选定的密钥算法进一步派生出用户空口加密和完整性保护的密钥。
在实现本发明的过程中,发明人发现上述技术方案至少存在如下缺陷:
接入网和核心网分属于不同的网络运营商,随着不同接入技术的不断出现,核心网运营商不希望由于接入网的变化而导致核心网的频繁变动。然而,在现有技术中,在引入RS后的LTE系统中,RS的鉴权过程必然需要对核心网的HSS进行相应的修改,即增加HSS对RS的安全上下文信息的存贮。
发明内容
本发明实施例提供鉴权方法、通信装置和通信系统,能够避免接入网引入RS后对核心网的改动。
为解决上述问题,本发明实施例是通过以下技术方案来实现的:
一种鉴权方法,包括:
第一设备接收中继站发送的认证请求,认证请求包含中继站身份标识;
第一设备获取认证向量,向中继站发送认证向量,指示中继站对认证向量进行认证,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;
第一设备接收中继站对认证向量认证通过后发送的响应值,对响应值进行认证,当认证通过时,派生空口密钥。
一种通信装置,包括:
请求接收单元,用于接收中继站发送的认证请求,认证请求包含中继站身份标识;
获取单元,用于获取认证向量,认证向量由独立于核心网的第二设备生成,与中继站身份标识对应;
认证向量发送单元,用于向中继站发送获取单元获取的认证向量,指示中继站对认证向量进行认证;
响应值接收单元,用于接收中继站对认证向量发送单元发送的认证向量认证通过后发送的响应值;
认证单元,用于对响应值接收单元接收的响应值进行认证;
空口密钥派生单元,用于在认证单元对所述响应值认证通过时,派生空口密钥。
一种通信系统,包括:
中继站,用于向第一设备发送认证请求,上述认证请求包含中继站身份标识,接收第一设备发送的认证向量,对上述认证向量进行认证,认证通过后生成响应值,向第一设备发送所述响应值;
第一设备,用于接收中继站发送的认证请求,上述认证请求包含中继站的身份标识,获取认证向量,向中继站发送上述认证向量,接收中继站对上述认证向量认证通过后发送的上述响应值,对上述响应值进行认证,当认证通过时,派生空口密钥;
独立于核心网的第二设备,用于生成认证向量,上述认证向量与上述中继站身份标识对应。
可见,由于本发明实施例接入网侧接收RS发送的认证请求,生成认证向量并发送给RS,接收RS对认证向量认证通过后发送的响应值,对响应值进行认证,认证通过后派生空口密钥,完成对RS的鉴权。在接入网侧引入一个网络逻辑实体,由接入网侧的逻辑实体与中继站共享了共享密钥,由接入网侧完成对RS的身份认证及密钥派生,从而完成中继站的网络安全接入,因此中继站的网络安全接入不需要对核心网进行改动就可以实现,使得引入RS后的系统对整个网络的影响达到最小化。
附图说明
图1是现有技术中继站接入鉴权的信令图;
图2是实现本发明实施例一的方法的流程图;
图3是实现本发明实施例二的方法的信令图;
图4是实现本发明实施例三的方法的信令图;
图5是实现本发明实施例四的方法的信令图;
图6是实现本发明实施例通信装置的示意图;
图7是实现本发明实施例通信系统的组成框图。
具体实施方式
本发明实施例提供鉴权方法、通信装置和通信系统,能够避免由于接入网引入RS后而造成对核心网的改动。
RS是一种接入网设备,大多数情况下,RS在网络中可能是由接入网运营商直接部署的,即RS和eNB同属于一个运营商。为了使得引入RS后对整个网络的影响最小化,可以考虑将引入RS的影响只限定在接入网侧,即通过在接入网引入一个逻辑实体(Relay Station Database,RSDA),由RSDA完成对RS的身份验证及密钥派生等鉴权功能,该逻辑实体存贮了RS所有相关的上下文信息。因此,引入RS后的LTE系统,不需要对核心网进行改动就可以使得RS安全的接入网络,从而达到对网络影响最小化。
本发明实施例提出的鉴权方法,其实现的基础是RS和逻辑实体RSDA之间预共享一个永久性密钥K,并采用AKA协议完成RS和网络侧的身份认证和密钥派生。
本发明实施例根据RSDA的物理位置与eNB是否重合以及由eNB还是RSDA对RS进行身份认证,给出了相应的实施例,以下分别进行详细说明。
实施例一
本实施例提供的方案中,由接入网侧的第一设备和第二设备一起完成对RS的鉴权,引入RS后支持对称性密钥认证方式的各种系统都可以对RS进行鉴权,因此后续实施例中的eNB都可以为支持对称性密钥认证方式的基站。
参见图2,该方法包括:
步骤201:第一设备接收RS发送的认证请求,认证请求包含中继站身份标识;
认证请求可以被包含在认证请求消息中。
步骤202:第一设备获取认证向量,,将认证向量发送给所述RS,指示RS对认证向量进行认证,上述认证向量由独立于核心网的第二设备生成,与RS身份标识对应;
独立于核心网的第二设备查找与RS身份标识对应的共享密钥,产生随机数,生成与共享密钥和随机数对应的认证向量。
上述第一设备可以为基站,独立于核心网的第二设备为逻辑实体,基站与逻辑实体相连。
第一设备为基站,独立于核心网的第二设备为逻辑实体,所述逻辑实体集成在所述基站中。
第一设备和独立于核心网的第二设备为同一逻辑实体。
上述基站也可以是eNB。
步骤203:接收RS认证通过后发送的响应值,对所述响应值进行认证,如果认证通过,派生空口密钥。
接收RS认证通过后发送的响应值,将响应值与认证向量中的期望响应值进行比较,如果一致,认证通过,派生空口密钥,确定与所述RS的能力对应的密钥派生算法,还可以将所述密钥派生算法发送给RS,RS才能派生与密钥派生算法对应的加密和完整性保护密钥。
至此,接入网侧已经完成对RS的鉴权,为了后续RS和接入网侧能够安全通信,还可以包含一个步骤:派生与所述空口密钥对应的加密密钥和完整性保护的密钥。
上述派生加密密钥和完整性保护的密钥由接入网侧的基站派生,也可以是由eNB派生。
本实施例中,接入网侧通过接收RS发送的认证请求,生成认证向量并发送给RS,接收RS对认证向量认证通过后发送的响应值,对响应值进行认证,认证通过后派生空口密钥,完成对RS的鉴权。本实施例将RS的鉴权功能完全限定在接入网侧,从而避免接入网引入RS后对核心网的改动,使得引入RS后的系统对整个网络的影响达到最小化。
实施例一是从接入网侧实现鉴权的方法,实施例二是通过RS和eNB/RSDA之间具体的信令交互来说明实现鉴权的方法。
实施例二
本实施例是当RSDA的物理位置与eNB集成在一起,由eNB/RSDA来完成对RS的鉴权。引入RS后支持对称性密钥认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB都可以为支持对称性密钥认证方式的基站。下面结合附图进行详细说明。
参见图3,下面对实现实施例二的方法的具体步骤进行详细介绍:
步骤301:RS向eNB/RSDA发送认证请求;
所述认证请求可以被包含在认证请求消息中,该消息中携带了RS身份标识、所支持的加密和完整性保护算法,以及eNB/RSDA派生密钥KASME-RS所对应的密钥标识符KSIASME-RS等内容,其中RS的身份标识可以是RS的IMSI,也可以是RS的MAC地址等。
步骤302:eNB/RSDA生成AV;
eNB/RSDA根据RS身份标识找到该RS对应的共享密钥K,并随机产生一个RAND,然后根据RAND、自身当前保存的SQN、RS和RSDA之间共享的密钥K及其它信息生成该RS对应的AV,其中,AV包括RAND、XRES、KASME-RS、AUTN;还可以采用其它的参数来生成AV,本发明实施例并不限定生成AV的参数。
步骤303:eNB/RSDA向RS返回认证响应;
该响应消息中携带了该RS的AV中对应的RAND和AUTN,以及密钥KASME-RS所对应的密钥标识符KSIASME-RS等内容。
步骤304:RS进行认证,并生成RES值;
RS根据收到的RAND和AUTN,进行校验,包括:根据RAND、AUTN中的SQN和与RSDA共享的密钥K共同计算出一个MAC值,并比较该MAC值和从接收到的AUTN中解析的MAC值是否一致,如果一致,RS对网络侧鉴权通过,则利用RAND和与RSDA共享的密钥K共同计算出一个RES值。
步骤305:RS向eNB/RSDA返回RES值;
步骤306:eNB/RSDA进行认证,并派生出空口密钥KeNB-RS;
eNB/RSDA比较从RS接收到的RES与之前生成该RS的AV中的XRES是否一致,如果一致,网络侧对RS的鉴权通过,则eNB/RSDA根据密钥KASME-RS进一步派生出空口密钥KeNB-RS。
至此,已经实现接入网侧的eNB/RSDA对RS的鉴权,为了后续RS与接入网侧之间安全通信,还可以执行以下的步骤。
步骤307:eNB/RSDA通过SMC向RS发送空口密钥KeNB-RS和确定的加密算法和完整性保护算法;
eNB/RSDA结合RS支持的加密和完整性保护算法以及自身支持的加密和完整性保护算法,确定空口用户面和控制面加密密钥和完整性保护密钥的密钥派生算法,并通过SMC将空口密钥KeNB-RS和确定的密钥派生算法发送给RS。
步骤308:RS和eNB/RSDA派生出空口加密密钥和完整性保护的密钥。
RS和eNB/RSDA就可以各自利用空口密钥KeNB-RS通过选定的密钥算法进一步派生出空口加密密钥和完整性保护的密钥。
本实施例通过在接入网侧将RSDA和eNB集成在一起,将RS的鉴权功能完全限定在接入网侧,从而避免由于接入网引入RS后而造成对核心网的改动,使得引入RS后的系统对整个网络的影响达到最小化。
实施例二是RSDA的物理位置与eNB重合,由RS和eNB/RSDA实体来完成对RS的鉴权的实现本发明的方法,下面介绍当RSDA的物理位置和eNB不重合时实现本发明方法的实施例,而根据身份认证位置的不同,又可以分为两种情况,给出了对应的实施例。
实施例三
在本实施例中,身份认证位于eNB上,则由eNB完成RS的鉴权功能。引入RS后支持对称性密钥认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB都可以为支持对称性密钥认证方式的基站。下面结合附图进行详细说明。
参见图4,下面对实现实施例三的方法的具体步骤进行详细介绍:
步骤401:RS向eNB发送认证请求;
所述认证请求可以被包含在认证请求消息中,该消息中携带了RS身份标识、所支持的加密和完整性保护算法,以及派生密钥KASME-RS对应的密钥标识符KSIASME-RS等内容,其中RS的身份标识可以是RS的IMSI,也可以是RS的MAC地址等。
步骤402:eNB向RSDA转发RS的认证请求;
该消息中携带了RS的身份标识、服务网络标识等内容。
步骤403:RSDA生成该RS对应的AV;
RSDA根据RS的身份标识找到该RS对应的共享密钥K,并随机产生一个RAND,然后根据RAND、自身当前保存的SQN、RS和RSDA之间共享的密钥K及其它信息生成该RS对应的AV,其中AV包括RAND、XRES、KASME-RS、AUTN;还可以采用其它的参数来生成AV,本发明实施例并不限定生成AV的参数。
步骤404:RSDA向eNB返回认证响应;
该消息中携带了该RS的AV中对应的RAND和AUTN,以及密钥KASME-RS所对应的密钥标识符KSIASME-RS等内容,eNB将收到的该RS的AV进行保存。
步骤405:eNB向RS发送RS认证请求消息;
该消息中携带了该RS的AV中对应的RAND和AUTN,以及密钥KASME-RS对应的密钥标识符KSIASME-RS等内容。
步骤406:RS进行认证,并生成RES值;
RS根据收到的RAND和AUTN,进行校验,包括:根据RAND、AUTN中的SQN和与RSDA共享的密钥K共同计算出一个MAC值,并比较该MAC值和从接收到的AUTN中解析的MAC值是否一致,如果一致,RS对网络侧的鉴权通过,则利用RAND和与RSDA共享的密钥K共同计算出一个RES。
步骤407:RS通过发送RS认证响应消息将RES值发送给eNB;
步骤408:eNB进行认证,并派生出空口密钥KeNR-RS;
eNB比较从RS接收到的RES与本地存贮该RS的AV中的XRES是否一致,如果一致,网络侧对RS的鉴权通过,则eNB根据密钥KASME-RS进一步派生出空口密钥KeNB-RS。
至此,接入网侧已经完成对RS的鉴权,为了后续RS与接入网侧之间安全通信,还可以执行以下的步骤。
步骤409:eNB通过SMC向RS发送空口密钥KeNB-RS和确定的加密算法和完整性保护算法;
eNB结合RS支持的加密和完整性保护算法以及自身支持的加密和完整性保护算法,确定用户面和控制面加密密钥和完整性保护密钥的密钥派生算法,并通过SMC将空口密钥KeNB-RS和确定的密钥派生算法发送给RS。
步骤410:RS和eNB派生出空口加密密钥和完整性保护的密钥。
RS和eNB就可以各自利用空口密钥KeNB-RS通过选定的密钥算法进一步派生出空口加密密钥和完整性保护的密钥。
本实施例通过在接入网侧引入一个RSDA,存贮了RS的上下文信息,RS和RSDA预共享一个永久性密钥K,RSDA通过有线或无线的方式和eNB相连,由eNB完成RS的鉴权功能,因而将RS接入鉴权完全限定在接入网侧,从而避免由于接入网引入RS后而造成对核心网的改动,使得引入RS后的系统对整个网络的影响达到最小化。
实施例三是身份认证位于eNB上,由eNB完成RS的鉴权功能的实施例,下面介绍一种身份认证位于RSDA上,由RSDA完成RS的鉴权功能的实施例。
实施例四
在本实施例中,身份认证位于RSDA上,则由RSDA完成RS的鉴权功能。本实施例的方案要求RSDA上需要配备所有通过有线相连的eNB的网络标识。引入RS后支持对称性密钥认证方式的各种系统都可以对RS进行鉴权,因此本实施例中的eNB都可以为支持对称性密钥认证方式的基站。下面结合附图进行详细说明。
参见图5,下面对实现实施例四的方法的具体步骤进行详细介绍:
步骤501:RS向RSDA发送认证请求;
所述认证请求可以被包含在认证请求消息中,该消息中携带了RS身份标识、所支持的加密和完整性保护算法,以及派生密钥KASME-RS对应的密钥标识符KSIASME-RS等内容,其中RS的身份标识可以是RS的IMSI,也可以是RS的MAC地址等。
步骤502:RSDA生成AV;
RSDA根据RS身份标识找到该RS对应的共享密钥K,并随机产生一个RAND,然后根据RAND、自身当前保存的SQN、RS和RSDA之间共享的密钥K及其它信息生成该RS对应的AV,其中,AV包括RAND、XRES、KASME-RS、AUTN;还可以采用其它的参数来生成AV,本发明实施例并不限定生成AV的参数。
步骤503:RSDA向RS返回认证响应;
该消息中携带了该RS的AV中对应的RAND和AUTN,以及密钥KASME-RS所对应的密钥标识符KSIASME-RS等内容。
步骤504与步骤304,此处不再赘述;
步骤505:RS向RSDA返回RES值;
步骤506:RSDA进行认证,并派生出空口密钥KeNB-RS;
RSDA比较从RS接收到的RES与之前生成该RS的AV中的XRES是否一致,如果一致,网络侧对RS的鉴权通过,则RSDA根据密钥KASME-RS进一步派生出空口密钥KeNB-RS。
至此,接入网侧已经完成对RS的鉴权,为了后续RS与接入网侧之间安全通信,还可以执行以下的步骤。
步骤507:RSDA通过SMC将该派生密钥KeNB-RS以及RS所支持的加密和完整性算法发送给eNB;
步骤508:eNB通过SMC向RS发送确定的加密算法和完整性保护算法;
eNB根据收到RS支持的加密和完整性保护算法以及自身支持的加密和完整性保护算法,确定空口用户面和控制面加密密钥和完整保护性密钥的密钥派生算法,并通过SMC将该选定的算法发送给RS。
步骤509与步骤410相同,此处不再赘述。
本实施例通过在接入网侧引入一个RSDA,存贮了RS的上下文信息,RS和RSDA预共享一个永久性密钥K,RSDA通过有线或无线的方式和eNB相连,由RSDA完成RS的鉴权功能,因而将RS接入鉴权完全限定在接入网侧,从而避免由于接入网引入RS后而造成对核心网的改动,使得引入RS后的系统对整个网络的影响达到最小化。
上面的实施例介绍了几种RS接入鉴权的方法,下面介绍相关装置。
参见图6,一种通信装置,包括:
请求接收单元110,用于接收RS发送的认证请求,认证请求包含RS身份标识;
获取单元111,用于获取认证向量,认证向量由独立于核心网的第二设备生成,与RS身份标识对应;
获取单元111可以是在接收请求接收单元110中的认证请求后获取认证向量。
认证向量发送单元112,用于向RS发送获取单元111获取的认证向量,指示RS对认证向量进行认证;
响应值接收单元113,用于接收RS对认证向量发送单元112发送的认证向量认证通过后发送的响应值;
认证单元114,用于对响应值接收单元113接收的响应值进行认证;
空口密钥派生单元115,用于在认证单元114对响应值认证通过时,派生空口密钥。
其中,通信装置还包括:密钥派生单元,用于派生与所述空口密钥派生单元派生的所述空口密钥对应的加密密钥和完整性保护的密钥。
参见图7,一种通信系统,包括:
中继站121,用于向第一设备122发送认证请求,所述认证请求包含RS身份标识,接收第一设备122发送的认证向量,对认证向量进行认证,认证通过后生成响应值,向第一设备122发送响应值;
第一设备122,用于接收中继站121发送的认证请求,认证请求包含中继站的身份标识,获取认证向量,向中继站121发送认证向量,接收中继站121对认证向量认证通过后发送的响应值,对响应值进行认证,当认证通过时,派生空口密钥;
独立于核心网的第二设备123,用于生成认证向量,认证向量与中继站身份标识对应。
其中,第一设备122为基站,独立于核心网的第二设备123为逻辑实体,逻辑实体与所述基站向量。
其中,第一设备122为基站,独立于核心网的第二设备123为逻辑实体,逻辑实体集成在所述基站中。
其中,第一设备122和独立于核心网的第二设备123为同一逻辑实体。
其中,基站还用于派生与所述空口密钥对应的加密密钥和完整性保护的密钥。
本发明实施例接入网侧接收RS发送的认证请求,生成认证向量并发送给RS,接收RS对认证向量认证通过后发送的响应值,对响应值进行认证,认证通过后派生空口密钥,完成对RS的鉴权。在接入网侧引入一个网络逻辑实体,由接入网侧的逻辑实体与中继站共享了共享密钥,由接入网侧完成对RS的身份认证及密钥派生,从而完成中继站的网络安全接入,因此中继站的网络安全接入不需要对核心网进行改动就可以实现,使得引入RS后的系统对整个网络的影响达到最小化。
进一步,可以通过在接入网侧将RSDA和eNB集成在一起,将RS的鉴权功能完全限定在接入网侧;通过在接入网侧引入一个RSDA,存贮了RS的上下文信息,RS和RSDA共享了共享密钥,RSDA通过有线或无线的方式和eNB相连,由eNB完成RS的鉴权功能或由RSDA完成RS的鉴权功能,将RS接入鉴权完全限定在接入网侧。
以上对本发明实施例所提供的鉴权方法、通信装置和通信系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1、一种鉴权方法,其特征在于,包括:
第一设备接收中继站发送的认证请求,所述认证请求包含中继站身份标识;
所述第一设备获取认证向量,向所述中继站发送所述认证向量,指示所述中继站对所述认证向量进行认证,所述认证向量由独立于核心网的第二设备生成,与所述中继站身份标识对应;
所述第一设备接收所述中继站对所述认证向量认证通过后发送的响应值,对所述响应值进行认证,当认证通过时,派生空口密钥。
2、根据权利要求1所述的鉴权方法,其特征在于,所述第一设备为基站,所述第二设备为逻辑实体,所述逻辑实体与所述基站相连;
所述第一设备获取认证向量的步骤具体为:
所述第一设备接收所述第二设备发送的认证向量。
3、根据权利要求1所述的鉴权方法,其特征在于,所述第一设备为基站,所述第二设备为逻辑实体,所述逻辑实体集成在所述基站中。
4、根据权利要求1所述的鉴权方法,其特征在于,所述第一设备和所述第二设备为同一逻辑实体。
5、根据权利要求1至4任一项所述的鉴权方法,其特征在于,所述独立于核心网的第二设备生成认证向量的步骤具体为:
所述独立于核心网的第二设备查找与所述中继站身份标识对应的共享密钥,产生随机数,生成与所述共享密钥和所述随机数对应的所述认证向量。
6、根据权利要求1至4任一项所述的鉴权方法,其特征在于,所述认证向量包括期望响应值;
所述对所述响应值进行认证的步骤具体为:
将所述响应值与所述认证向量中的所述期望响应值进行比较,如果一致,认证通过。
7、根据权利要求2或3所述的鉴权方法,其特征在于,所述派生空口密钥的步骤后还包括:
基站派生与所述空口密钥对应的加密密钥和完整性保护的密钥。
8、根据权利要求4所述的鉴权方法,其特征在于,所述派生空口密钥的步骤后还包括:
逻辑实体将所述空口密钥发送给基站,指示所述基站派生与所述空口密钥对应的加密密钥和完整性保护的密钥。
9、一种通信装置,其特征在于,包括:
请求接收单元,用于接收中继站发送的认证请求,所述认证请求包含中继站身份标识;
获取单元,用于获取认证向量,所述认证向量由独立于核心网的第二设备生成,与所述中继站身份标识对应;
认证向量发送单元,用于向所述中继站发送所述获取单元获取的所述认证向量,指示所述中继站对所述认证向量进行认证;
响应值接收单元,用于接收所述中继站对所述认证向量发送单元发送的所述认证向量认证通过后发送的响应值;
认证单元,用于对所述响应值接收单元接收的所述响应值进行认证;
空口密钥派生单元,用于在所述认证单元对所述响应值认证通过时,派生空口密钥。
10、根据权利要求9所述的通信装置,其特征在于,还包括:
密钥派生单元,用于派生与所述空口密钥派生单元派生的所述空口密钥对应的加密密钥和完整性保护的密钥。
11、一种通信系统,其特征在于,包括:
中继站,用于向第一设备发送认证请求,所述认证请求包含中继站身份标识,接收第一设备发送的认证向量,对所述认证向量进行认证,认证通过后生成响应值,向第一设备发送所述响应值;
第一设备,用于接收所述中继站发送的认证请求,所述认证请求包含中继站的身份标识,获取认证向量,向所述中继站发送所述认证向量,接收所述中继站对所述认证向量认证通过后发送的所述响应值,对所述响应值进行认证,当认证通过时,派生空口密钥;
独立于核心网的第二设备,用于生成认证向量,所述认证向量与所述中继站身份标识对应。
12、根据权利要求11所述的通信系统,其特征在于,所述第一设备为基站,所述第二设备为逻辑实体,所述逻辑实体与所述基站相连。
13、根据权利要求11所述的通信系统,其特征在于,所述第一设备为基站,所述第二设备为逻辑实体,所述逻辑实体集成在所述基站中。
14、根据权利要求11所述的通信系统,其特征在于,所述第一设备和所述第二设备为同一逻辑实体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810041298A CN101640887B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、通信装置和通信系统 |
| PCT/CN2009/072845 WO2010012201A1 (zh) | 2008-07-29 | 2009-07-21 | 鉴权方法、通信装置和通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810041298A CN101640887B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、通信装置和通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101640887A true CN101640887A (zh) | 2010-02-03 |
| CN101640887B CN101640887B (zh) | 2012-10-03 |
Family
ID=41609952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810041298A Active CN101640887B (zh) | 2008-07-29 | 2008-07-29 | 鉴权方法、通信装置和通信系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101640887B (zh) |
| WO (1) | WO2010012201A1 (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102158860A (zh) * | 2010-02-12 | 2011-08-17 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| CN102238484A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 机器对机器的通信系统中基于组的认证方法及系统 |
| CN102480727A (zh) * | 2010-11-30 | 2012-05-30 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| CN102893646A (zh) * | 2010-06-18 | 2013-01-23 | 高通股份有限公司 | 用于中继节点管理和授权的方法和装置 |
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN106034300A (zh) * | 2015-03-11 | 2016-10-19 | 普天信息技术有限公司 | 基于td-lte无线通信网络的鉴权连接方法及基站 |
| CN106416321A (zh) * | 2014-11-07 | 2017-02-15 | 华为技术有限公司 | 一种建立连接的方法、设备及系统 |
| CN106792788A (zh) * | 2015-11-24 | 2017-05-31 | 大唐移动通信设备有限公司 | 一种终端附着方法及基站 |
| CN107809776A (zh) * | 2016-09-09 | 2018-03-16 | 中兴通讯股份有限公司 | 信息处理方法、装置以及网络系统 |
| CN108112013A (zh) * | 2013-03-13 | 2018-06-01 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
| CN110192381A (zh) * | 2017-09-15 | 2019-08-30 | 华为技术有限公司 | 密钥的传输方法及设备 |
| CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
| WO2024027417A1 (zh) * | 2022-08-04 | 2024-02-08 | 华为技术有限公司 | 一种鉴权方法、通信装置和系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102612029B (zh) * | 2011-01-19 | 2015-09-30 | 华为技术有限公司 | 认证方法和认证设备 |
| CN108270560B (zh) * | 2017-01-03 | 2023-06-09 | 中兴通讯股份有限公司 | 一种密钥传输方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801704B (zh) * | 2004-12-31 | 2010-12-08 | 华为技术有限公司 | 用户接入核心网的方法和系统 |
| CN100349496C (zh) * | 2005-07-15 | 2007-11-14 | 华为技术有限公司 | 一种消息认证方法 |
| CN1937487A (zh) * | 2005-09-22 | 2007-03-28 | 北京三星通信技术研究有限公司 | Lte中鉴权和加密的方法 |
| CN101098221A (zh) * | 2006-06-26 | 2008-01-02 | 华为技术有限公司 | 一种无线蜂窝网络中网络层安全认证方法 |
-
2008
- 2008-07-29 CN CN200810041298A patent/CN101640887B/zh active Active
-
2009
- 2009-07-21 WO PCT/CN2009/072845 patent/WO2010012201A1/zh active Application Filing
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| WO2011098048A1 (zh) * | 2010-02-12 | 2011-08-18 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
| CN102158860A (zh) * | 2010-02-12 | 2011-08-17 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| WO2011127810A1 (zh) * | 2010-04-12 | 2011-10-20 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| US20130035067A1 (en) * | 2010-04-12 | 2013-02-07 | Huawei Technolgoies Co., Ltd. | Method and apparatus for authenticating communication device |
| US8706085B2 (en) * | 2010-04-12 | 2014-04-22 | Huawei Technologies Co., Ltd. | Method and apparatus for authenticating communication device |
| CN102238484A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 机器对机器的通信系统中基于组的认证方法及系统 |
| CN102238484B (zh) * | 2010-04-22 | 2016-03-30 | 中兴通讯股份有限公司 | 机器对机器的通信系统中基于组的认证方法及系统 |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN102893646B (zh) * | 2010-06-18 | 2016-05-04 | 高通股份有限公司 | 用于中继节点管理和授权的方法和装置 |
| CN102893646A (zh) * | 2010-06-18 | 2013-01-23 | 高通股份有限公司 | 用于中继节点管理和授权的方法和装置 |
| CN101951590B (zh) * | 2010-09-03 | 2015-07-22 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| WO2012028043A1 (zh) * | 2010-09-03 | 2012-03-08 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| WO2012028010A1 (zh) * | 2010-09-03 | 2012-03-08 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101931955B (zh) * | 2010-09-03 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102480727A (zh) * | 2010-11-30 | 2012-05-30 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| CN102480727B (zh) * | 2010-11-30 | 2015-08-12 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| CN108112013A (zh) * | 2013-03-13 | 2018-06-01 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
| CN106416321B (zh) * | 2014-11-07 | 2020-02-14 | 华为技术有限公司 | 一种建立连接的方法、设备及系统 |
| CN106416321A (zh) * | 2014-11-07 | 2017-02-15 | 华为技术有限公司 | 一种建立连接的方法、设备及系统 |
| US10542433B2 (en) | 2014-11-07 | 2020-01-21 | Huawei Technologies Co., Ltd. | Connection establishment method, device, and system |
| US11096051B2 (en) | 2014-11-07 | 2021-08-17 | Huawei Technologies Co., Ltd. | Connection establishment method, device, and system |
| CN106034300A (zh) * | 2015-03-11 | 2016-10-19 | 普天信息技术有限公司 | 基于td-lte无线通信网络的鉴权连接方法及基站 |
| CN106792788A (zh) * | 2015-11-24 | 2017-05-31 | 大唐移动通信设备有限公司 | 一种终端附着方法及基站 |
| CN106792788B (zh) * | 2015-11-24 | 2019-08-23 | 大唐移动通信设备有限公司 | 一种终端附着方法及基站 |
| CN107809776A (zh) * | 2016-09-09 | 2018-03-16 | 中兴通讯股份有限公司 | 信息处理方法、装置以及网络系统 |
| CN107809776B (zh) * | 2016-09-09 | 2021-06-15 | 中兴通讯股份有限公司 | 信息处理方法、装置以及网络系统 |
| CN110192381A (zh) * | 2017-09-15 | 2019-08-30 | 华为技术有限公司 | 密钥的传输方法及设备 |
| CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
| WO2024027417A1 (zh) * | 2022-08-04 | 2024-02-08 | 华为技术有限公司 | 一种鉴权方法、通信装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010012201A1 (zh) | 2010-02-04 |
| CN101640887B (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101640887B (zh) | 鉴权方法、通信装置和通信系统 | |
| CN101640886B (zh) | 鉴权方法、重认证方法和通信装置 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| US10306432B2 (en) | Method for setting terminal in mobile communication system | |
| CN102090093B (zh) | 空口链路安全机制建立的方法、设备 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
| EP1768426B1 (en) | Method for transmitting information | |
| US8954739B2 (en) | Efficient terminal authentication in telecommunication networks | |
| CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN101720539A (zh) | 密钥刷新sae/lte系统 | |
| CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
| CN108880813A (zh) | 一种附着流程的实现方法及装置 | |
| WO2012084484A1 (en) | Operator-assisted key establishment | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| Cao et al. | G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks | |
| CN106888092A (zh) | 信息处理方法及装置 | |
| CN101977378A (zh) | 信息传输方法、网络侧及中继节点 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| CN102905267B (zh) | Me标识鉴权、安全模式控制方法及装置 | |
| CN101867925A (zh) | 空口密钥处理方法及系统 | |
| CN1968096B (zh) | 一种同步流程优化方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |