CN101951590A - 认证方法、装置及系统 - Google Patents
认证方法、装置及系统 Download PDFInfo
- Publication number
- CN101951590A CN101951590A CN2010102758078A CN201010275807A CN101951590A CN 101951590 A CN101951590 A CN 101951590A CN 2010102758078 A CN2010102758078 A CN 2010102758078A CN 201010275807 A CN201010275807 A CN 201010275807A CN 101951590 A CN101951590 A CN 101951590A
- Authority
- CN
- China
- Prior art keywords
- key
- network side
- rand
- device authentication
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Abstract
本发明公开了一种认证方法、装置及系统,该方法包括:RN接收设备认证请求,其中设备认证请求中携带有使用随机数生成的设备认证数据;RN根据设备认证数据生成对应的设备认证响应值,并将设备认证响应值发送至网络侧,用于认证RN。本发明可以保证RN作为基站的合法性,并提高RN服务的用户设备的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种认证方法、装置及系统。
背景技术
长期演进(Long Term Evolution,简称为LTE)网络,如图1所示,由演进全球陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为E-UTRAN)和演进分组交换中心(Evolved Packet Core,简称为EPC)组成,网络呈现扁平化。EUTRAN通过S1接口与EPC相连。其中,EUTRAN由多个相互连接的演进基站(Evolved NodeB,简称为eNB)组成,各个eNB之间通过X2接口连接;EPC由移动性管理实体(Mobility Management Entity,简称为MME)和服务网关实体(Serving Gateway,简称为S-GW)组成。另外,在系统架构中还有一个归属环境(Home Environment,简称为HE),即归属用户服务器(Home Subscriber Server,简称为HSS)或归属位置寄存器(Home Location Register,简称为HLR),作为用户数据库。它包含用户配置文件,执行用户的身份验证和授权,并可提供有关用户物理位置的信息等。
为了满足日益增长的大带宽高速移动接入的需求,第三代伙伴组织计划(Third Generation Partnership Projects,简称为3GPP)推出高级长期演进(Long-Term Evolution advance,简称为LTE-Advanced)标准。LTE-Advanced对于长期演进(Long-TermEvolution,简称为LTE)系统的演进保留了LTE的核心,在此基础上采用一系列技术对频域、空域进行扩充,以达到提高频谱利用率、增加系统容量等目的。无线中继(Relay)技术即是LTE-Advanced中的核心技术之一,旨在扩展小区的覆盖范围,减少通信中的死角地区,平衡负载,转移热点地区的业务,节省用户设备(UserEquipment,简称为UE)即终端的发射功率。图2是根据相关技术的引入中继节点后的接入网络架构示意图,如图2所示,在现有的网络架构中增加一种新的中继节点(Relay-Node,简称为RN),这种新增的RN和施主演进基站(Donor-eNB)之间使用无线连接。其中,Donor-eNB和RN之间的接口称为Un口,两者之间的无线链路称为回程链路(backhaul link);RN和用户设备(User Equipment,简称为UE)之间的接口称为Uu口,其间的无线链路称为接入链路(access link)。下行数据先到达Donor-eNB,然后传递给RN,RN再传输至UE,上行反之。在本发明的后续描述中,施主演进基站DeNB统一描述为演进基站eNB。
在实际通信过程中,RN即可以作为一个普通的终端设备,也可以作为一个基站。当RN作为一个终端设备时,RN可以像普通UE一样接入无线网络。普通UE在接入时网络侧会对该其进行用户的鉴权认证和密钥协定(Authentication and Key Agreement,简称为AKA),在LTE系统中该过程也称为演进分组系统(Evolved Packet System,简称为EPS)AKA,即EPS AKA,图3是根据相关技术的UE的AKA过程流程图,其大体过程为如图3所示:
步骤S301:MME向HSS发起认证数据请求消息,其中携带了UE的用户标识信息,比如UE的国际移动用户标识(International Mobile Subscriber Identity,简称为IMSI),以及服务网络标识(SN id)和网络类型信息(Network type)。
步骤S303:HSS根据请求消息生成认证向量{RAND,XRES,Kasme,AUTN},并通过认证数据响应消息发送给MME。其中认证向量中各个分量的意义为:RAND为HSS产生的随机数,XRES为网络侧期望的用户响应,Kasme为HSS产生的一个中间密钥,该密钥主要用于派生非接入层(Non-access stratum,NAS)和接入层(Access Stratum,AS)的安全密钥,而AUTN为网络认证标志(Authentication token)。AUTN=SQN*AK||AMF||MAC,其中SQN*AK是指由HSS生成的序列号SQN和匿名密钥AK的异或操作,AMF是认证管理域(Authentication Management field),MAC为消息验证码。
步骤S305:MME向UE发送用户认证请求消息(User authentication Request),其中携带了HSS生成的认证数据RAND和AUTN。
步骤S307:UE收到对AUTN进行验证,验证的方法是利用RAND、AUTN中的SQN*AK,以及UE的根密钥K生成消息验证码XMAC,并验证XMAC与AUTN中的MAC值是否一致,如果一致则人作为AUTN验证通过,则根据RAND和根密钥K按照约定算法计算RES值,并通过用户认证响应消息(User authentication Response)发送给MME。
步骤S309:MME收到后会比较UE发来的RES和最初从HSS收到的XRES,如果两者一致,则认为用户的AKA过程成功完成。
需要说明的是,上述描述中UE是指移动设备(Mobile Equipment,简称为ME)和全球用户标识模块(Universal Subscriber Identity Module,简称为USIM)的总称,上述过程实际是由USIM完成的,该过程完成了USIM的认证,即用户认证。上述过程完成后,USIM会根据根密钥K生成IK和CK发送给ME,ME根据IK和CK生成中间密钥Kasme,通过上述过程完成了网络对终端的签约认证(subscription Authentication)或称USIM认证和密钥协定。
相关技术中,采用上述认证方法只能实现RN作为一个终端接入时,对RN进行用户认证,但是上述认证无法确保RN作为基站的合法性,继而导致RN服务的用户设备的安全性比较低。
发明内容
本发明的主要目的在于提供一种认证方法、装置及系统,以解决相关技术中的认证方法无法保证RN作为基站的合法性,继而导致RN服务的用户设备的安全性比较低的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种认证方法。
根据本发明的认证方法包括:RN接收设备认证请求,其中设备认证请求中携带有使用随机数生成的设备认证数据;RN根据设备认证数据生成对应的设备认证响应值,并将设备认证响应值发送至网络侧,用于认证RN。
进一步地,在RN接收设备认证请求之前,上述方法还包括:网络侧通过空口消息获取RN的设备标识或RN的设备证书信息;网络侧根据RN的设备标识或RN的设备证书信息确定RN的设备相关密钥;网络侧使用设备相关密钥生成设备认证数据,并将设备认证数据通过设备认证请求发送给RN。
进一步地,网络侧使用设备相关密钥生成设备认证数据包括:根据RN的设备相关密钥对随机参量Para_RAND按照预定加密算法进行加密,并生成设备认证数据Para_RAND_D,其中,随机参量为网络侧生成的随机数;和/或选取用于生成RN设备认证响应值的随机数RAND_NW为设备认证数据。
进一步地,设备相关密钥为以下之一:设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数;设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。
进一步地,RN根据设备认证数据生成对应的设备认证响应值包括:使用预定密钥派生算法KDF确定设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对接收到的设备认证数据Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和网络侧共享的数据和/或网络侧生成的随机数。
进一步地,在将设备认证响应值发送至网络侧,用于认证RN之后,上述方法还包括:网络侧判断接收到的设备认证响应值RES_D与网络侧生成的期望设备响应XRES_D是否一致,其中,XRES_D为使用预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和网络侧共享的数据和/或网络侧生成的随机数;如果判断结果为是,确定RN认证通过。
进一步地,在确定RN认证通过之后,上述方法还包括:RN和网络侧生成关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法派生的新密钥,参量包括:Kasme或由Kasme派生的密钥,其中,Kasme为中间密钥。
进一步地,网络侧包括:MME和HSS。
为了实现上述目的,根据本发明的另一个方面,提供了一种RN。
根据本发明的RN包括:接收模块,用于接收设备认证请求,其中设备认证请求中携带有使用随机数生成的设备认证数据;第一生成模块,用于根据设备认证数据生成对应的设备认证响应值;第一发送模块,用于将设备认证响应值发送至网络侧,用于认证RN。
进一步地,第一生成模块还用于使用预定密钥派生算法KDF确定设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X可选参数,且X为以下之一:RN和网络侧共享的数据;网络侧生成的随机数。
进一步地,上述RN还包括第一关联密钥生成模块,用于生成关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法生成的新密钥,参量包括:Kasme或由Kasme生成的密钥,其中,Kasme为中间密钥。
为了实现上述目的,根据本发明的又一个方面,提供了一种网络侧。
根据本发明的网络侧包括:获取模块,用于通过空口消息获取RN的设备标识或RN的设备证书信息;确定模块,用于根据RN的设备标识或RN的设备证书信息确定RN的设备相关密钥;第二生成模块,用于使用设备相关密钥生成设备认证数据;第二发送模块,用于将设备认证数据通过设备认证请求发送给RN。
进一步地,第二生成模块包括:设备认证数据生成子模块,用于根据RN的设备相关密钥对随机参量Para_RAND按照预定加密算法进行加密,并生成设备认证数据Para_RAND_D,其中,随机参量为网络侧生成的随机数;和/或选取子模块,用于选取用于生成RN设备认证响应值的随机数RAND_NW为设备认证数据。
进一步地,上述网络侧还包括:判断模块,用于判断接收到的设备认证响应值与网络侧生成的期望设备响应XRES_D是否一致,其中,XRES_D为使用预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和网络侧共享的数据;网络侧生成的随机数;认证模块,用于在判断模块的判断结果为是时,确定RN认证通过。
进一步地,上述网络侧还包括第二关联密钥生成模块,用于生成关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法派生的新密钥,参量包括:Kasme或由Kasme派生的密钥,其中,Kasme是相关密钥。
进一步地,上述网络侧包括MME和HSS。
为了实现上述目的,根据本发明的又一个方面,提供了一种认证系统。
根据本发明的认证系统包括上述RN和上述网络侧。
通过本发明,采用中继节点接收携带有设备认证数据的设备认证请求,其中并将生成的对应的设备认证响应值发送给MME,用于认证RN,解决了相关技术中的认证方法无法保证RN作为基站的合法性,继而导致RN服务的用户设备的安全性比较低的问题,保证了RN作为基站的合法性,从而提高了RN服务的用户设备的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的LTE网络架构示意图;
图2是根据相关技术的引入中继节点后的接入网络架构示意图;
图3是根据相关技术的UE的AKA过程流程图;
图4是根据本发明实施例的认证方法的流程图;
图5是根据本发明优选实施例的设备认证流程图一;
图6是根据本发明优选实施例的设备认证流程图二;
图7是根据本发明优选实施例的设备认证流程图三;
图8是根据本发明优选实施例的设备认证流程图四;
图9是根据本发明优选实施例的设备认证流程图五;
图10是根据本发明优选实施例的认证数据生成示意图;
图11是根据本发明优选实施例的设备响应生成示意图;
图12是根据本发明优选实施例的设备关联密钥生成示意图;
图13是根据本发明实施例的RN的结构框图;
图14是根据本发明实施例的RN的优选的结构框图;
图15是根据本发明实施例的网络侧的结构框图;
图16是根据本发明实施例的网络侧的优选的结构框图;以及
图17是根据本发明实施例的认证系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本实施例提供了一种认证方法,图4是根据本发明实施例的认证方法的流程图,如图4所示,该方法包括:
步骤S402,RN接收设备认证请求,其中设备认证请求中携带有使用随机数生成的设备认证数据;
步骤S404,RN根据设备认证数据生成对应的设备认证响应值,并将设备认证响应值发送至网络侧,用于认证RN。
通过上述步骤,RN接收用于认证的设备认证请求,并将生成的对应的设备认证响应值发送给网络侧,用于认证RN,解决了相关技术中的认证方法无法保证RN作为基站的合法性,继而导致RN服务的用户设备的安全性比较低的问题,保证了RN作为基站的合法性,从而提高了RN服务的用户设备的安全性。
优选地,在步骤S402之前,上述方法还包括:网络侧通过空口消息获得RN的设备标识或RN的设备证书信息;根据RN的设备标识或RN的设备证书信息确定RN的设备相关的密钥,然后使用设备相关密钥生成设备认证数据,并将设备认证数据通过设备认证请求发送给RN。通过本优选实施例的生成步骤,实现了网络侧生成设备认证数据,提高了认证方法的适用性。
下面对上述步骤网络侧使用设备相关密钥生成设备认证数据的优选的实施方式进行说明。根据RN的设备相关密钥对随机参量Para_RAND按照预定加密算法进行加密,并生成设备认证数据Para_RAND_D,其中,随机参量为网络侧选取的随机数;和/或选取用于生成RN设备认证响应值的随机数RAND_NW为设备认证数据。通过本优选实施例的生成步骤,实现了对随机参量加密并得到设备认证数据,提高了认证参数的可靠性。
优选地,设备相关密钥为以下之一:设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数;设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。通过本优选实施例,实现密钥设定的灵活性。
下面对步骤S404的RN根据设备认证数据生成对应的设备认证响应值RES_D的一个优选实施方式进行说明。使用预定密钥派生算法KDF确定设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对接收到的设备认证数据Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的为网络侧生成的随机数的设备认证数据,X是可选参数,且X为RN和网络侧共享的数据,比如用户认证向量中的期望响应值XRES;网络侧生成的随机数。通过本优选实施例,实现了RN根据接收到的设备认证数据确定设备认证响应值,提高了认证的可靠性。
优选地,下面对步骤S404中将设备认证响应值发送至网络侧,用于认证RN的一个优选的实施方式进行说明。网络侧判断判断接收到的设备认证响应值RES_D与网络侧生成的期望设备认证响应值XRES_D是否一致,其中,XRES_D为使用预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为RN和网络侧共享的数据,比如用户认证向量中的期望响应值XRES,和/或网络侧生成的随机数。
如果判断结果为是,确定RN认证通过。
优选地,上述的约定加密/解密算法,以及约定密钥派生算法是RN与网络实现约定好的算法,具体计算方式可以使用当前已知的计算方法,本发明在此不做赘述。
优选地,在上述步骤确定RN认证通过之后,上述方法还还包括:
RN和网络侧生成关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法生成的新密钥,参量包括:Kasme或由Kasme派生的密钥,其中,Kasme是相关密钥。
实施例一
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,该方法包括:
步骤1:HSS生成RN设备认证所需的设备认证数据发送给MME,由MME向RN发起设备认证请求,消息中携带所述设备认证数据,RN收到根据设备认证数据生成设备认证响应值并通过设备认证响应消息发送给网络侧,由网络侧验证RN设备的响应值确认RN设备认证是否成功。
优选地,MME向RN发起的设备认证过程可以复用EPS AKA流程,也可使用新的消息流程。
优选地,步骤1中的设备认证数据的可以采用以下两种方式至少其中之一生成:
(1)与设备相关的验证信元Para_RAND_D,设备相关的验证信元的生成方法可以为:根据RN的设备相关的密钥Ke对指定参数Para_RAND通过约定加密算法进行加密。其中所述的指定参数Para_RAND可以是随机生成的随机值,或其他RN在解密之前无法知道的数值。
(2)用于生成RN设备认证响应值的指定参数RAND_NW,该参数是随机生成的随机数。
优选地,相应于不同的设备认证数据生成方法,步骤1中的RN生成设备认证响应值(RES_D)可以采用以下至少其中之一的方法生成:
(1)首先对RN设备认证数据中的验证信元进行解密,获得指定参数Para_RAND,其中解密的密钥使用RN的设备相关的密钥Ke(如果使用的是非对称形式的设备密钥,则这里要使用加密密钥Ke对应的解密密钥Kd),解密算法使用与约定加密算法对应的约定解密算法。然后利用RN的设备相关的密钥Ks和指定参数Para_RAND利用约定的密钥派生算法(Key Derivation Function,KDF)生成RES_D:RES_D=KDF(Ks,Para_RAND)。可选的该算法还可以有其他输入,比如设备认证数据中的指定参数RAND_NW,或者是RN随机生成的指定参数RAND_RN。
(2)直接利用RN的设备相关的密钥Ks和设备认证数据中的指定参数RAND_NW其利用约定的密钥派生算法生成RES_D:RES_D=KDF(Ks,RAND_NW)。可选的该算法还可以有其他输入,比如RN随机生成的指定参数RAND_RN,或者RN与网络侧共享的参数。
步骤2:验证RN设备认证响应值。该方法包括验证该响应值RES_D是否与期望设备认证响应值XRES_D一致,如果一致则认为RN设备认证成功。
优选地,步骤2中的期望设备认证响应值XRES_D由HSS或者MME生成,生成方法与RN生成RN设备响应RES_D的方法和参数相同。
优选地,HSS(或者MME)生成期望设备认证响应值XRES_D的时间可以是在发起设备认证过程之前,也可以是在设备认证过程完成之后。
优选地,在上述认证过程中还可以实现HSS和RN生成共享的设备关联密钥,设备关联密钥与设备身份相关,该密钥可以用来保护设备与网络侧(比如MME或者eNB)之间的通信安全,也可以用来派生用于保护设备与网络侧之间的通信安全的其他密钥。HSS侧生成设备关联密钥的时间可以在生成设备认证数据的同时,也可以是在完成RN设备认证之后;RN侧生成设备关联密钥的时间时在完成RN设备认证之后。
需要说明的是,设备关联密钥的生成方法包括:直接使用RN设备相关的密钥Ks,或者是利用RN设备相关的密钥和额外参数利用约定的密钥派生算法生成的新密钥。其中所述的额外参数可以是用户认证过程协定的中间密钥Kasme,或者由Kasme派生的其他密钥,也可以是其他RN和网络侧共享的一个数值。
优选地,设备关联密钥也可以由MME完成。
优选地,上述的RN设备相关的密钥Ks,和/或加密密钥Ke,和/或解密密钥Kd都是RN和HSS(或者MME)共享的密钥,该密钥可以是存在于RN设备签约信息(Subscription data)或者设备证书(Device Certificate)中的预共享密钥,也可以是由该共享派生的新密钥,它们可以是同一个密钥,也可以是由共享密钥派生的不同密钥。上述的约定加密/解密算法,以及约定密钥派生算法是只RN与网络实现约定好的算法,具体计算方式可以使用当前已知的计算方法,本发明在此不做赘述。
实施例二
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,在本实施例中的设备认证过程复用现有的AKA流程,在请求消息中携带验证信元,期望设备响应由HSS生成,并在MME侧做验证;同时HSS在设备认证之前的生成设备关联密钥。图5是根据本发明优选实施例的设备认证流程图一,如图5所示,该方法包括:
步骤S501:RN向MME发起NAS消息(比如Attach request),消息中携带了RN的设备标识信息IMEI。
步骤S503:MME收到后向HSS发起认证数据请求(Authentication data Request)消息,消息中携带RN设备标识信息IMEI。
步骤S505:HSS生成IMEI对应设备的设备认证数据AUTH_NW、RN关联密钥Kasme_D,以及期望设备认证响应值XRES_D。其中认证数据由HSS根据RN的设备相关的密钥(比如Ke)对指定参数Para_RAND进行加密获得,如图8所示,其中Para_RAND是HSS生成的随机数。其中Kasme_D由设备相关密钥(比如Ks)和用户认证向量中的中间密钥Kasme按照约定密钥派生算法计算得出,如图10所示,。其中期望设备认证响应值XRES_D,由HSS利用RN设备相关密钥(比如Ks)和指定参数Para_RAND按照约定KDF算法计算得出,如图9所示。然后HSS向MME发送认证数据响应(Authentication data Response)消息,消息中携带了RN的认证数据AUTH_NW,期望设备认证响应值XRES_D,以及对应的RN关联密钥Kasme_D。
步骤S507:MME向RN发送认证请求消息,消息中携带设备的认证数据AUTH_NW。
步骤S509:RN收到后,利用RN设备相关的密钥Ke(如果RN设备使用的是非对称密钥形式,则此时需要使用加密密钥ke对应的解密密钥Kd)对认证数据AUTH_NW进行解密,获得指定参数Para_RAND,然后利用与HSS计算Kasme_D和XRES_D时相同的方法计算出设备关联密钥Kasme_D和设备相应RES_D。并通过设备认证响应消息将RES_D发送给MME。
步骤S511:MME收到后将RES_D与XRES_D,如果两者一致,则表示RN成功完成了设备认证,因为只有合法设备才有与网络侧共享的计算方法和算法密钥,非法设备因为得不到这些信息而无法生成正确的RES_D。该认证过程之后MME和RN也拥有了相同的关联密钥Kasme_D,根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。
优选地,上述过程中,Kasme_D和XRES_D的计算也可以由MME完成,计算方法同HSS计算方法。
实施例三
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,在本实施例中,设备认证过程复用现有的AKA流程,在请求消息中携带验证信元和生成设备响应的输入参数,同时期望设备响应由HSS生成,并在MME侧做验证;另外MME在设备认证完成之后生成设备关联。图6是根据本发明优选实施例的设备认证流程图二,如图6所示,该方法包括:
步骤S601:同实施例二步骤S501。
步骤S603:同实施例二步骤S503。
步骤S605:HSS生成IMEI对应设备的设备认证数据AUTH_NW,以及期望设备认证响应值XRES_D。其中认证数据由HSS根据RN的设备相关的加密密钥(比如Ke)对指定参数Para_RAND进行加密获得,如图8所示,其中Para_RAND是HSS生成的随机数。其中期望设备认证响应值XRES_D,由HSS利用RN设备相关密钥Ks、指定参数Para_RAND以及HSS随机生成的随机数RAND_NW作为入参,按照约定KDF算法计算得出,如图9所示:XRES_D=KDF(Ks,Para_RAND,RAND_NW)。然后HSS向MME发送认证数据响应(Authentication data Response)消息,消息中携带了RN的认证数据AUTH_NW,期望设备认证响应值XRES_D,以及RN设备相关的密钥Ks。
优选的,上述设备认证数据AUTH_NW和期望设备相应XRES_D也可以由MME生成,具体计算方法同HSS计算方法。
步骤S607:MME向RN发送认证请求消息,消息中携带设备的认证数据AUTH_NW,以及随机值RAND_NW。
步骤S609:RN收到后,对认证数据AUTH_NW进行解密,获得指定参数Para_RAND,然后利用与HSS计算XRES_D相同的方法计算设备认证相应RES_D。并通过设备认证响应消息将RES_D发送给MME。然后RN利用设备相关的密钥Ks,中间密钥Kasme以及RN随机生成的随机值RAND_RN作为入参,采用约定的KDF算法计算出设备关联密钥Kasme_D:Kasme_D=KDF(Ks,Kasme,RAND_RN)。其中中间密钥Kasme在用户认证过程中生成的用户认证向量中的中间密钥。可选的Kasme_D的入参还可以包含HSS生成的随机值RAND_NW,如图9所示。
步骤S611:MME收到后比较RES_D与之前HSS发来的XRES_D,如果两者一致,则表示RN成功完成了设备认证,同时MME利用与RN生成Kasme_D相同的计算方法生成相同的关联密钥Kasme_D,从而完成设备关联密钥的协定。根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。
实施例四
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,在本实施例中该设备认证过程使用新的认证流程,该流程发生在RN的用户认证之后,设备请求消息中携带验证信元和生成设备响应的输入参数,同时期望设备响应由MME生成,并在MME侧做验证;另外HSS在设备认证发起之前生成设备关联。图7是根据本发明优选实施例的设备认证流程图三,该方法包括:
S701:网络侧利用EPS AKA流程对RN进行用户认证。同时RN在该步骤中通过NAS消息将RN的设备标识信息,比如设备证书信息发送给MME,其中设备证书信息包括了设备的标识。
步骤S703:MME向HSS发送RN设备标识信息(或设备证书信息)。
步骤S705:HSS生成该设备的设备认证数据AUTH_NW、RN关联密钥Kasme_D。其中认证数据由HSS根据RN的设备相关的加密密钥(比如Ke)对指定参数Para_RAND进行加密获得,如图8所示,其中Para_RAND是HSS生成的随机数。其中Kasme_D由相关密钥(比如Ks)和用户认证向量中的中间密钥Kasme按照约定密钥派生算法计算得出,如图10所示。然后HSS向MME发送认证数据响应(Authentication data Response)消息,消息中携带了RN的认证数据AUTH_NW,对应的RN关联密钥Kasme_D,以及RN设备相关的密钥Ks。
步骤S707:MME根据密钥Ks和MME随机生成的随机值RAND_NW,按照约定KDF算法生成期望设备响应XRES_D,如图9所示,然后MME向RN发送设备认证请求消息,消息中携带设备的认证数据AUTH_NW,以及随机值RAND_NW。
步骤S709:RN收到后,利用RN签约信息中的相关解密密钥(比如Kd)对消息中的设备认证数据AUTH_NW进行解密获得指定参数Para_RAND。然后RN利用与MME计算XRES_D相同的方法计算设备认证响应值RES_D。然后向MME发送认证响应消息,其中携带了RES_D。然后RN利用与HSS生成Kasme_D相同的方法计算设备关联密钥Kasme_D。
步骤S711:MME收到后利用比较XRES_D是否与RES_D一致,如果一致则说明RN成功完成的设备认证。此时MME和RN也拥有了相同的设备关联密钥(比如Kasme_D),根据该密钥可以生成其他的用于保护空口信令的安全密钥。
实施例五
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,在本实施例中该设备认证过程使用新的认证流程,该流程发生在RN的用户认证之后,设备请求消息中只携带生成设备响应的输入参数,同时期望设备响应由HSS生成,并在MME侧做验证;另外由HSS在设备认证发起之前生成设备关联。图8是根据本发明优选实施例的设备认证流程图四,如图8所示,该方法包括:
步骤S801:同实施例四步骤S701。
步骤S803:同实施例四步骤S703。
步骤S805:HSS生成该设备的设备关联密钥Kasme_D以及期望的设备相应XRES_D。其中Kasme_D由相关密钥(比如Ks)和用户认证向量中的中间密钥Kasme按照约定密钥派生算法计算得出,如图9所示。其中期望设备认证响应值XRES_D,由HSS利用RN设备相关密钥Ks以及HSS随机生成的随机数RAND_NW作为入参,按照约定KDF算法计算得出:XRES_D=KDF(Ks,RAND_NW)。可选的,在该计算过程中还可以使用其他参数,比如使用RN和HSS共享的某个数值。然后HSS向MME发送认证数据响应(Authentication data Response)消息,消息中携带了期望设备相应XRES_D、相应的随机参数RAND_NW,以及RN关联密钥Kasme_D。
可选的,上述随机参数RAND_NW和期望设备认证响应值XRES_D也可以由MME生成,具体生成方法同HSS的生成方法。
步骤S807:MME向RN发送设备认证请求消息,消息中携带用于生成设备响应的输入RAND_NW。
步骤S809:RN收到后,利用与HSS生成XRES_D时相同的方法计算设备认证响应值RES_D,同样的利用与HSS生成设备关联密钥Kasme_D相同的方法计算Kasme_D。然后向MME发送认证响应消息,其中携带了RES_D。
步骤S811:MME收到后利用比较XRES_D是否与RES_D一致,如果一致则说明RN成功完成的设备认证。此时MME和RN也拥有了相同的设备关联密钥(比如Kasme_D),根据该密钥可以生成其他的用于保护空口信令的安全密钥。
实施例六
在本实施例结合了上述实施例及其中的优选实施方式,本实施例提供了一种设备认证方法,在本实施例中该设备认证过程复用现有的AKA流程,在请求消息中携带生成设备响应的输入参数,同时期望设备响应由HSS生成,并在HSS侧做验证;另外HSS在设备认证完成之后生成设备关联并发送给MME。图9是根据本发明优选实施例的设备认证流程图五,如图9所示,该方法包括:
步骤S901.同实施例二步骤S501。
步骤S903:同实施例二步骤S503。
步骤S905:HSS随机生成随机值RAND_NW。然后HSS向MME发送认证数据响应(Authentication data Response)消息,消息中携带随机参数RAND_NW。
步骤S907:MME向RN发送认证请求消息,消息中携带随机值RAND_NW。
步骤S909:RN收到后,利用设备相应的密钥Ks、随机值RAND_NW和RN随机生成的随机值RAND_RN作为入参,采用约定的KDF算法生成设备认证相应RES_D:RES_D=KDF(Ks,RAND_NW,RAND_RN),可选的生成过程还可以使用其他参数,比如使用RN和HSS共享的某个数值。然后RN通过设备认证响应消息将RES_D和RN生成的随机数RAND_RN发送给MME。同时RN利用设备相关的密钥Ks,中间密钥Kasme,HSS生成的随机数RAND_NW以及RN随机生成的随机值RAND_RN作为入参,采用约定的KDF算法计算出设备关联密钥Kasme_D:Kasme_D=KDF(Ks,Kasme,RAND_NW,RAND_RN)。其中Kasme是在用户认证过程中生成的用户认证向量中的中间密钥。
步骤S911:MME收到后将RES_D随机数RAND_RN通过验证请求消息发送给HSS。
步骤S913:HSS利用与RN生成RES_D相同的方法计算期望设备相应XRES_D,并比较RES_D与之前HSS发来的XRES_D,如果两者一致,则表示RN成功完成了设备认证。同时HSS利用与RN生成Kasme_D相同的计算方法生成相同的关联密钥Kasme_D,然后HSS通过验证响应消息将Kasme_D发送给MME。从而完成了RN与MME之间的设备关联密钥的协定。根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。
可选的上述步骤S911和S913中的验证请求/响应过程,可以复用现有的S6a接口上消息,也可以是新增消息。
需要说明的是,上述所有实施例中的约定加密/密钥派生算法都可以采用现有的已知方法,在此不做赘述,具体使用哪一种,可以根据实际情况决定。
优选的,上述所有实施例用的加密/密钥密钥都可以采用在RN签约数据中或RN设备证书中的预共享密钥,或者由此密钥派生的新密钥。具体情况可以根据实际情况决定。
优选地,如果RN设备使用的是非对称密钥,则需要保证通信双方都知道对端的公钥。
需要说明的是,上述实施例中的设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数;或者设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。上述各个实施例中所述的设备相关密钥可以相同的同一个新密钥、新参数,也可以是由共享密钥生成的不同密钥或参数。
在以上实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例提供了一种RN,图13是根据本发明实施例的RN的结构框图,RN包括接收模块132、第一生成模块134和第一发送模块136,下面对上述结构进行详细描述:
第一接收模块132,用于接收设备认证请求,其中设备认证请求中携带有使用随机数生成的设备认证数据;第一生成模块134,连接至第一接收模块132,用于根据第一接收模块132接收到的设备认证数据生成对应的设备认证响应值;第一发送模块136,连接至第一生成模块134,用于将第一生成模块134生成的设备认证响应值发送至网络侧,用于认证RN。
优选地,第一生成模块134还用于使用预定密钥派生算法KDF确定设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和网络侧共享的数据;网络侧生成的随机数。
图14是根据本发明实施例的RN的优选的结构框图,如图14所示,第一关联密钥生成模块142,下面对上述结构进行详细描述:
第一关联密钥生成模块142,连接至网络侧,用于生成关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法派生的新密钥,参量包括:Kasme或由Kasme派生的密钥,其中,Kasme为中间密钥。
本实施例提供了一种网络侧,图15是根据本发明实施例的网络侧的结构框图,如图15所示,网络侧包括:获取模块152、确定模块154、第二生成模块156、第二发送模块158,下面对上述结构进行详细描述:
获取模块152,用于通过空口消息获取RN的设备标识或RN的设备证书信息;确定模块154,连接至获取模块152,用于根据获取模块模块152获取到的RN的设备标识或RN的设备证书信息确定RN的设备相关密钥;第二生成模块156,连接至确定模块154,用于使用确定模块154确定的设备相关密钥生成设备认证数据;第二发送模块158,连接至第二生成模块156,用于将第二生成模块156生成的设备认证数据通过设备认证请求发送给RN。
图16是根据本发明实施例的网络侧的优选的结构框图,如图16所示,第二生成模块156包括:设备认证数据生成子模块162和选取子模块164;网络侧还包括:判断模块166、认证模块168、第二关联密钥生成模块169,下面对上述结构进行详细描述:
判断模块166,用于判断接收到的设备认证响应值与网络侧生成的期望设备响应XRES_D是否一致,其中,XRES_D为使用预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是RN对Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和网络侧共享的数据;网络侧生成的随机数;认证模块168,连接至判断模块166,用于在判断模块166的判断结果为是时,确定RN认证通过。
第二关联密钥设置模块169,连接至认证模块168,用于在认证模块168认证通过后设置关联密钥,其中,关联密钥为以下之一:设备相关密钥;设备相关密钥和参量使用预定密钥派生算法生成的新密钥,参量包括:Kasme或由Kasme派生的密钥,其中,Kasme为中间密钥。
本实施例提供了一种认证系统,图17是根据本发明实施例的认证系统的结构框图,如图17所示,该认证系统包括:RN 2、网络侧4,RN 2和网络侧4的具体结构如上所示,在此不再赘述。
通过上述实施例,可以实现网络对中继节点设备的认证,确保RN的合法性,有效保护RN服务的用户设备的安全性。同时利用在设备认证过程中协定的密钥保护RN与网络之间的通信安全,从而防止攻击者对通信内容的窃听及篡改,也保证了网络侧网元的安全。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种认证方法,其特征在于,包括:
中继节点RN接收设备认证请求,其中所述设备认证请求中携带有使用随机数生成的设备认证数据;
所述RN根据所述设备认证数据生成对应的设备认证响应值,并将所述设备认证响应值发送至网络侧,用于认证所述RN。
2.根据权利要求1所述的方法,其特征在于,在RN接收设备认证请求之前,还包括:
网络侧通过空口消息获取所述RN的设备标识或所述RN的设备证书信息;
所述网络侧根据所述RN的设备标识或所述RN的设备证书信息确定所述RN的设备相关密钥;
所述网络侧使用所述设备相关密钥生成所述设备认证数据,并将所述设备认证数据通过所述设备认证请求发送给所述RN。
3.根据权利要求2所述的方法,其特征在于,所述网络侧使用所述设备相关密钥生成所述设备认证数据包括:
根据所述RN的设备相关密钥对随机参量Para_RAND按照预定加密算法进行加密,并生成所述设备认证数据Para_RAND_D,其中,所述随机参量为所述网络侧生成的随机数;和/或
选取用于生成所述RN设备认证响应值的随机数RAND_NW为所述设备认证数据。
4.根据权利要求2所述的方法,其特征在于,所述设备相关密钥为以下之一:
所述设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数;
所述设备相关密钥是由所述预共享密钥或所述参数生成的新密钥或新参数。
5.根据权利要求3所述的方法,其特征在于,所述RN根据所述设备认证数据生成对应的设备认证响应值包括:
使用预定密钥派生算法KDF确定所述设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是所述RN对接收到的设备认证数据Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:所述RN和所述网络侧共享的数据和/或所述网络侧生成的随机数。
6.根据权利要求4所述的方法,其特征在于,在将所述设备认证响应值发送至网络侧,用于认证所述RN之后,还包括:
所述网络侧判断接收到的所述设备认证响应值RES_D与所述网络侧生成的期望设备响应XRES_D是否一致,其中,XRES_D为使用所述预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是所述RN对Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:RN和所述网络侧共享的数据和/或所述网络侧生成的随机数;
如果判断结果为是,确定所述RN认证通过。
7.根据权利要求6所述的方法,其特征在于,在确定所述RN认证通过之后,还包括:
所述RN和所述网络侧生成关联密钥,其中,所述关联密钥为以下之一:所述设备相关密钥;
所述设备相关密钥和参量使用预定密钥派生算法派生的新密钥,所述参量包括:Kasme或由Kasme派生的密钥,其中,Kasme为中间密钥。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述网络侧包括:移动管理实体MME和归属用户服务器HSS。
9.一种中继节点RN,其特征在于,包括:
接收模块,用于接收设备认证请求,其中所述设备认证请求中携带有使用随机数生成的设备认证数据;
第一生成模块,用于根据所述设备认证数据生成对应的设备认证响应值;
第一发送模块,用于将所述设备认证响应值发送至网络侧,用于认证所述RN。
10.根据权利要求9所述的RN,其特征在于,
所述第一生成模块还用于使用预定密钥派生算法KDF确定所述设备认证响应值RES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是所述RN对Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X可选参数,且X为以下之一:所述RN和所述网络侧共享的数据;所述网络侧生成的随机数。
11.根据权利要求9所述的RN,其特征在于,还包括:
第一关联密钥生成模块,用于生成关联密钥,其中,所述关联密钥为以下之一:所述设备相关密钥;
所述设备相关密钥和参量使用预定密钥派生算法生成的新密钥,所述参量包括:Kasme或由Kasme生成的密钥,其中,Kasme为中间密钥。
12.一种网络侧,其特征在于,包括:
获取模块,用于通过空口消息获取所述RN的设备标识或所述RN的设备证书信息;
确定模块,用于根据所述RN的设备标识或所述RN的设备证书信息确定所述RN的设备相关密钥;
第二生成模块,用于使用所述设备相关密钥生成所述设备认证数据;
第二发送模块,用于将所述设备认证数据通过所述设备认证请求发送给所述RN。
13.根据权利要求12所述的网络侧,其特征在于,所述第二生成模块包括:
设备认证数据生成子模块,用于根据所述RN的设备相关密钥对随机参量Para_RAND按照预定加密算法进行加密,并生成所述设备认证数据Para_RAND_D,其中,所述随机参量为所述网络侧生成的随机数;和/或
选取子模块,用于选取用于生成所述RN设备认证响应值的随机数RAND_NW为所述设备认证数据。
14.根据权利要求12所述的网络侧,其特征在于,还包括:
判断模块,用于判断接收到的所述设备认证响应值与所述网络侧生成的期望设备响应XRES_D是否一致,其中,XRES_D为使用所述预定密钥派生算法KDF生成的网络侧期望设备响应XRES_D=KDF(Ks,Y,X),其中,Ks是设备相关密钥,Y为Para_RAND和/或RAND_NW,Para_RAND是所述RN对Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量,RAND_NW是接收到的随机数,X是可选参数,且X为以下之一:所述RN和所述网络侧共享的数据;所述网络侧生成的随机数;
认证模块,用于在所述判断模块的判断结果为是时,确定所述RN认证通过。
15.根据权利要求12所述的网络侧,还包括:
第二关联密钥生成模块,用于生成关联密钥,其中,所述关联密钥为以下之一:所述设备相关密钥;
所述设备相关密钥和参量使用预定密钥派生算法派生的新密钥,所述参量包括:Kasme或由Kasme派生的密钥,其中,Kasme是相关密钥。
16.根据权利要求12至15中任一项所述的网络侧,所述网络侧包括:移动管理实体MME和归属用户服务器HSS。
17.一种认证系统,其特征在于,包括:如权利要求9至11中任一项所述的RN和如权利要求12至16中任一项所述的网络侧。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010275807.8A CN101951590B (zh) | 2010-09-03 | 2010-09-03 | 认证方法、装置及系统 |
| PCT/CN2011/077458 WO2012028043A1 (zh) | 2010-09-03 | 2011-07-21 | 认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010275807.8A CN101951590B (zh) | 2010-09-03 | 2010-09-03 | 认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101951590A true CN101951590A (zh) | 2011-01-19 |
| CN101951590B CN101951590B (zh) | 2015-07-22 |
Family
ID=43454919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010275807.8A Expired - Fee Related CN101951590B (zh) | 2010-09-03 | 2010-09-03 | 认证方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101951590B (zh) |
| WO (1) | WO2012028043A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012028043A1 (zh) * | 2010-09-03 | 2012-03-08 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102595400A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN105188055A (zh) * | 2015-08-14 | 2015-12-23 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN106888092A (zh) * | 2016-09-12 | 2017-06-23 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| CN108141355A (zh) * | 2015-11-12 | 2018-06-08 | 华为国际有限公司 | 使用Diffie-Hellman过程生成会话密钥的方法和系统 |
| CN108809903A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信有限公司研究院 | 一种认证方法、装置及系统 |
| CN108881280A (zh) * | 2018-07-11 | 2018-11-23 | 中国联合网络通信集团有限公司 | 接入方法、内容分发网络系统及接入系统 |
| CN109104726A (zh) * | 2017-06-20 | 2018-12-28 | 上海中兴软件有限责任公司 | 网络切片的认证方法及相应装置、系统和介质 |
| CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
| CN112640360A (zh) * | 2018-07-03 | 2021-04-09 | 株式会社宙连 | 用于对认证信息的设定进行中介的装置及方法 |
| CN112640360B (zh) * | 2018-07-03 | 2024-04-26 | 株式会社宙连 | 用于对认证信息的设定进行中介的装置及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6819764B1 (en) * | 1998-08-24 | 2004-11-16 | Kabushiki Kaisha Toshiba | Data processor, communication system and recording medium |
| CN101039180A (zh) * | 2007-05-09 | 2007-09-19 | 中兴通讯股份有限公司 | 密钥生成及传输方法和系统 |
| CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN101651950A (zh) * | 2009-09-09 | 2010-02-17 | 新邮通信设备有限公司 | 一种长期演进网络中的业务实现方法、设备及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951590B (zh) * | 2010-09-03 | 2015-07-22 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101931955B (zh) * | 2010-09-03 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
-
2010
- 2010-09-03 CN CN201010275807.8A patent/CN101951590B/zh not_active Expired - Fee Related
-
2011
- 2011-07-21 WO PCT/CN2011/077458 patent/WO2012028043A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6819764B1 (en) * | 1998-08-24 | 2004-11-16 | Kabushiki Kaisha Toshiba | Data processor, communication system and recording medium |
| CN101039180A (zh) * | 2007-05-09 | 2007-09-19 | 中兴通讯股份有限公司 | 密钥生成及传输方法和系统 |
| CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN101651950A (zh) * | 2009-09-09 | 2010-02-17 | 新邮通信设备有限公司 | 一种长期演进网络中的业务实现方法、设备及系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012028043A1 (zh) * | 2010-09-03 | 2012-03-08 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102595400A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| WO2013139071A1 (zh) * | 2012-03-19 | 2013-09-26 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN102595400B (zh) * | 2012-03-19 | 2018-08-03 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN105188055A (zh) * | 2015-08-14 | 2015-12-23 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN105188055B (zh) * | 2015-08-14 | 2018-06-12 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN108141355A (zh) * | 2015-11-12 | 2018-06-08 | 华为国际有限公司 | 使用Diffie-Hellman过程生成会话密钥的方法和系统 |
| CN108141355B (zh) * | 2015-11-12 | 2021-05-18 | 华为国际有限公司 | 使用Diffie-Hellman过程生成会话密钥的方法和系统 |
| US10931445B2 (en) | 2015-11-12 | 2021-02-23 | Huawei International Pte Ltd. | Method and system for session key generation with diffie-hellman procedure |
| CN106888092B (zh) * | 2016-09-12 | 2019-06-25 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| CN106888092A (zh) * | 2016-09-12 | 2017-06-23 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| CN108809903A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信有限公司研究院 | 一种认证方法、装置及系统 |
| CN108809903B (zh) * | 2017-05-02 | 2021-08-10 | 中国移动通信有限公司研究院 | 一种认证方法、装置及系统 |
| CN109104726A (zh) * | 2017-06-20 | 2018-12-28 | 上海中兴软件有限责任公司 | 网络切片的认证方法及相应装置、系统和介质 |
| CN112640360A (zh) * | 2018-07-03 | 2021-04-09 | 株式会社宙连 | 用于对认证信息的设定进行中介的装置及方法 |
| CN112640360B (zh) * | 2018-07-03 | 2024-04-26 | 株式会社宙连 | 用于对认证信息的设定进行中介的装置及方法 |
| CN108881280B (zh) * | 2018-07-11 | 2021-02-02 | 中国联合网络通信集团有限公司 | 接入方法、内容分发网络系统及接入系统 |
| CN108881280A (zh) * | 2018-07-11 | 2018-11-23 | 中国联合网络通信集团有限公司 | 接入方法、内容分发网络系统及接入系统 |
| CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101951590B (zh) | 2015-07-22 |
| WO2012028043A1 (zh) | 2012-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN109644134B (zh) | 用于大型物联网组认证的系统和方法 | |
| KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
| US7793103B2 (en) | Ad-hoc network key management | |
| CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| US8954739B2 (en) | Efficient terminal authentication in telecommunication networks | |
| CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| CN101977378B (zh) | 信息传输方法、网络侧及中继节点 | |
| CN107925874B (zh) | 超密集网络安全架构和方法 | |
| CN102595403A (zh) | 绑定中继节点的认证方法及装置 | |
| KR20140030518A (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| CN101359990A (zh) | 时分同步码分多址与自组织网络融合的认证方法 | |
| Yang et al. | Two different schemes of authentication in IEEE 802.16 j multi-hop relay network | |
| Peng et al. | A novel key derivation method for eavesdropper in LTE system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150722 Termination date: 20200903 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |