CN102378174A - 一种sim卡的用户终端的接入方法、装置及系统 - Google Patents
一种sim卡的用户终端的接入方法、装置及系统 Download PDFInfo
- Publication number
- CN102378174A CN102378174A CN2010102634291A CN201010263429A CN102378174A CN 102378174 A CN102378174 A CN 102378174A CN 2010102634291 A CN2010102634291 A CN 2010102634291A CN 201010263429 A CN201010263429 A CN 201010263429A CN 102378174 A CN102378174 A CN 102378174A
- Authority
- CN
- China
- Prior art keywords
- sim
- user terminal
- network side
- sres
- lte
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种SIM卡的用户终端的接入方法、装置及系统,用于令SIM卡的用户终端顺利接入LTE-SAE系统,该方法为:SIM卡的用户终端在接入LTE-SAE系统时,终端侧和网络侧会分别根据基于SIM卡永久密钥Ki和RAND生成的SRES,采用约定的第一指定算法,生成终端侧的RES及网络侧的XRES,再由网络侧根据RES和XRES对SIM卡进行鉴权认证并接入LTE-SAE系统,这样,便将SIM卡返回的SRES转换为LTE标准中可以识别的RES,令用户终端可以顺利接入LTE-SAE系统,从而在LTE-SAE系统中实现了不换卡机制,提高了系统的兼容性。本发明同时公开了相应的装置和系统。
Description
技术领域
本发明涉及通信领域,特别涉及一种SIM卡的用户终端的接入方法、装置及系统。
背景技术
目前,在时分-同步码分多址(TD-SCDMA)系统中,引入了不换卡原则,即令TD-SCDMA系统中的用户继续使用用户识别模块(SIM)卡,而不更换为通用用户识别模块(USIM)卡,这样,便于用户从二代移动通信系统(如,GSM系统)平滑升级到三代移动通信系统(如,TD-SCDMA系统),减少了不必要的操作,取得了良好的效果。
而从三代移动通信系统向长期演进-系统架构演进(LTE-SAE)系统升级过程中,为了便于用户操作,仍希望引入不换卡原则,但是,由于二代移动通信系统、三代移动通信系统和LTE-SAE系统的鉴权、加密体系的不同,因此,在LTE-SAE系统中引入不换卡原则时,存在以下技术障碍:
1、在二代移动通信系统(如,GSM系统)中,SIM卡用户采用“单向鉴权”机制,即只由网络侧对SIM卡用户进行鉴权。鉴权加密参数为3元组,包括随机数(RAND),加密密钥(Kc)和SIM卡鉴权响应(SRES)。
网络侧和SIM卡用户均可以根据RAND和SIM卡中保存的永久密钥(Ki),基于A3算法计算出移动台应向网络侧返回的SRES,以及基于A8算法计算出后续进行数据传输时用于加密数据的密钥Kc。
网络侧在鉴权和密钥协商(AKA)过程中,向SIM卡用户发送RAND,SIM卡用户向网络侧反馈其计算得到SRES,如果网络侧发现接收到的SRES与本地计算获得的SRES一致,认为鉴权通过,且可以利用Kc进行后续加密操作。
2、在三代移动通信系统〔如,TD-SCDMA系统,宽带码分多址(WCDMS系统)〕中,SIM卡用户仍然采用“单向鉴权”,即只由网络侧对SIM卡用户进行鉴权。鉴权加密参数为3元组,包括RAND,Kc和SRES。
与GSM系统不同,三代移动通信系统的服务网络的移动业务交换中心(MSC)、拜访位置登记器(VLR)或者服务GPRS支持结点(SGSN)需要通过标准的转换函数将SIM卡使用的Kc转换为加密密钥(CK)和完整性保护密钥(IK),然后将CK和IK发送至为三代移动通信系统服务的无线网络控制器(RNC);而移动台从SIM卡中获取Kc后,也需要通过同样的转换函数将Kc转换为CK和IK,接着,移动台和上述RNC之间可以基于CK和IK,采用f8、f9算法,进行数据加密和完整性保护。
3、在LTE-SAE系统中,目前的不允许SIM卡用户接入,只允许USIM卡用户接入,并且采用“双向鉴权”,即除了网络侧对USIM卡用户进行鉴权,USIM卡用户也需要对网络侧进行鉴权。鉴权加密参数为4元组,包括Kasme、RAND、认证(AUTH)和期望鉴权响应(XRES)。
网络侧在AKA过程中,向USIM卡用户发送RAND和AUTH,USIM卡用户通过RAND和USIM卡中永久密钥(K),计算出AUTH认证,将其与网络侧发送的AUTH认证进行比较,如果一致,则认为网络侧合法,然后USIM用户通过RAND、K、AUTH,计算RES反馈给网络,网络则判断接收的RES是否和XRES一致,如果一致,则确定双方鉴权通过。
在AKA过程中,网络侧Auc根据RAND、K,通过特定算法得到CK和IK,网络侧HSS,根据CK、IK,生成Kasme;USIM卡根据接收的RAND和自身存储的K,也通过Auc相同的算法的得到CK和IK,然后终端采用HSS相同的算法计算出Kasme,接着,可以根据Kasme计算出各级密钥,并采用各级密钥对通信数据进行加密。
然而,在现有LTE-SAE中,若采用不换卡机制,直接将SIM卡插入符合LTE标准的移动台,则会产生如下问题:
首先,SIM卡中保存的RAND、Ki、以及基于RAND、Ki计算RES时采用的算法,同LTE标准中规定的不同,因此无法通过网络侧鉴权。
其次,SIM卡不能提供移动台在通信过程中所需的CK和IK,因此,移动台不能生成Kasme,那么,移动台便不能使用LTE-SAE系统的加密体系,即无法顺利接入LTE-SAE。
有鉴于此,需要提供一种新的接入机制,令使用SIM卡的移动台可以顺利接入LTE-SAE系统。
发明内容
本发明实施例提供一种SIM卡的用户终端的接入方法,用于令SIM卡的用户终端顺利接入LTE-SAE系统。
本发明实施例提供的具体技术方案如下:
一种SIM卡的用户终端接入LTE-SAE系统的方法,包括:
SIM卡的用户终端请求接入LTE-SAE系统时,接收网络侧发送的RAND,并将该RAND发往所述SIM卡;
用户终端接收所述SIM卡返回的SRES,该SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
用户终端采用与网络侧约定的第一指定算法,基于所述SRES生成RES;
用户终端将所述RES发往网络侧进行鉴权认证,并在根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
一种SIM卡的用户终端接入LTE-SAE系统的方法,包括:
网络侧装置确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送RAND,指示所述SIM卡基于所述RAND向网络侧的鉴权装置返回相应的RES;
网络侧装置获取所述SIM卡的SIM卡永久密钥Ki,并基于所述Ki和所述RAND生成SRES;
网络侧装置采用与终端侧约定的第一指定算法,基于所述SRES生成XRES;
网络侧装置将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
一种用于SIM卡的用户终端接入LTE-SAE系统的装置,包括:
接收单元,用于在确定本地使用SIM卡且请求接入LTE-SAE系统时,接收网络侧发送的RAND,并将该RAND发往所述SIM卡;
处理单元,用于接收所述SIM卡返回的SRES,并采用与网络侧约定的第一指定算法,基于所述SRES生成RES,其中,所述SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
发送单元,用于将所述RES发往网络侧进行鉴权认证,以及根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
一种用于SIM卡的用户终端接入LTE-SAE系统的装置,包括:
发送单元,用于在确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送RAND,指示所述SIM卡基于所述RAND返回相应的RES;
处理单元,用于获取所述SIM卡的SIM卡永久密钥Ki,并基于所述Ki和所述RAND生成SRES,以及采用与终端侧约定的第一指定算法,基于所述SRES生成XRES;
指示单元,用于将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
一种用于接入SIM卡的用户终端的LTE-SAE系统,包括SIM卡的用户终端和网络侧装置,其中,
所述用户终端,确定本用户终端请求接入LTE-SAE系统时,接收网络侧发送的RAND,将该RAND发往所述SIM卡,并接收所述SIM卡返回的SRES,该SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的,以及采用与网络侧约定的第一指定算法,基于所述SRES生成RES,并将所述RES发往网络侧进行鉴权认证,在根据网络侧响应确认鉴权通过后,接入LTE-SAE系统;
所述网络侧装置,用于在确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送RAND,指示所述SIM卡基于所述RAND向网络侧的鉴权装置返回相应的RES,并获取所述SIM卡的SIM卡永久密钥Ki,基于所述Ki和所述RAND生成SRES,再采用与终端侧约定的第一指定算法,基于所述SRES生成XRES,以及将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
本发明实施例中,SIM卡的用户终端在接入LTE-SAE系统时,终端侧和网络侧会分别根据,基于SIM卡永久密钥Ki和RAND生成的SRES,采用约定的第一指定算法,生成相应的鉴权响应(终端侧为RES,网络侧为XRES),再由网络侧根据RES和XRES对SIM卡进行鉴权认证并接入LTE-SAE系统,这样,便通过用户终端和网络侧的协助,基于SIM卡内保存的Ki、将SIM卡返回的SRES转换为LTE标准中可以识别的RES,令用户终端可以顺利通过LTE-SAE系统的鉴权认证,接入LTE-SAE系统,从而在LTE-SAE系统中实现了不换卡机制,提高了系统的兼容性,也提升了系统的服务质量。
附图说明
图1为本发明实施例中LTE-SAE系统体系架构示意图;
图2为本发明实施例中SIM卡的用户终端功能结构示意图;
图3为本发明实施例中Auc功能结构示意图;
图4为本发明实施例中SIM卡的用户终端接入LTE-SAE系统流程图;
图5为本发明实施例中SIM卡的用户终端操作示意图;
图6为本发明实施例中Auc控制SIM卡的用户终端接入LTE-SAE系统流程图;
图7为本发明实施例中Auc操作示意图;
图8为本发明实施例中SIM卡的用户终端和Auc在接入过程中的交互流程图;
图9为本发明实施例中UE和各指定网元使用的各级密钥示意图。
具体实施方式
为了令SIM卡的用户终端在不更换SIM卡的前提下,顺利接入到LTE-SAE系统,本发明实施例中,重新设计了用户终端和网络侧装置的相关功能,允许用户终端使用SIM卡接入LTE-SAE系统。具体为:
SIM卡的用户终端请求接入LTE-SAE系统时,接收网络侧发送的RAND,并将该RAND发往所述SIM卡,以及接收SIM卡返回的SRES,该SRES是SIM卡基于SIM卡永久密钥(Ki)和上述RAND生成的,接着,用户终端采用与网络侧约定的第一指定算法,基于SIM卡返回的SRES生成鉴权响应(RES),并将该RES发往网络侧进行鉴权认证,以及在根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
相应地,网络侧装置,如,鉴权认证中心(Auc),确定SIM卡的用户终端请求接入LTE-SAE系统时,通过该用户终端向上述SIM卡发送RAND,指示SIM卡基于接收的RAND向网络侧的鉴权装置返回相应的RES,并获取SIM卡的SIM卡永久密钥Ki,基于Ki和上述RAND生成SRES,再采用与终端侧约定的第一指定算法,基于SRES生成XRES,以及将XRES发往上述鉴权装置,指示该鉴权装置根据接收的RES和XRES对上述SIM卡进行鉴权认证,确认鉴权通过后,允许用户终端接入LTE-SAE系统。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1、图2和图3所示,本发明实施例中,LTE-SAE系统中包括网络侧装置和若干用户终端,其中,
用户终端包括接收单元20、处理单元21和发送单元22,其中,
接收单元20,用于在确定本地使用SIM卡且请求接入LTE-SAE系统时,接收网络侧发送的RAND,并将该RAND发往所述SIM卡;
处理单元21,用于接收SIM卡返回的SRES,并采用与网络侧约定的第一指定算法,基于SRES生成鉴权响应RES,其中,SRES是SIM卡基于SIM卡永久密钥Ki和接收的RAND生成的;
发送单元22,用于将生成的RES发往网络侧进行鉴权认证,以及根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
网络侧装置包括发送单元30、处理单元31和指示单元32,其中
发送单元30,用于在确定SIM卡的用户终端请求接入LTE-SAE系统时,通过用户终端向SIM卡发送RAND,指示SIM卡基于接收RAND向网络侧的鉴权装置返回相应的RES;
处理单元31,用于获取SIM卡的SIM卡永久密钥Ki,并基于Ki和接收的RAND生成SRES,以及采用与终端侧约定的第一指定算法,基于SRES生成XRES;
指示单元32,,用于将XRES发往上述鉴权装置,指示该鉴权装置根据接收的RES和XRES对SIM卡进行鉴权认证,确认鉴权通过后,允许上述用户终端接入LTE-SAE系统。
实际应用中,网络侧装置可以是Auc,以下实施例中以Auc为例进行介绍。
参阅图4所示,本发明实施例中,SIM卡的用户终端接入LTE-SAE系统的详细流程如下:
步骤400:SIM卡的用户终端请求接入LTE-SAE系统时,接收Auc发送的RAND,并将该RAND发往所述SIM卡。
步骤410:用户终端接收SIM卡返回的SRES,该SRES是SIM卡基于SIM卡永久密钥Ki和接收的RAND生成的。
本实施例中,SIM卡可以基于Ki和RAND生成SRES时,可以采用A3算法。
步骤420:用户终端采用与网络侧约定的第一指定算法,基于上述SRES生成RES。
所谓的第一指定算法有多种实现方式,例如,本发明实施例中,用户终端采用的第一指定算法,即是将SRES按照设定次数进行合并生成RES,或者,在SRES前增加设定比特数目的填充位生成RES。具体为:
SRES包含32Bit,RES可以包含32Bit到128Bit,因此可以将SRES重复多次(如,1次、2次、3次或4次)合并为RES,例如,SRES||SRES||SRES||SRES;或者,在SRES前面增加设定比特数目的“0”生成RES,例如,(32、64或96)个Bit的“0”||SRES。
步骤430:用户终端将生成的RES发往网络侧进行鉴权认证,并根据网络侧返回的鉴权响应确认鉴权通过后,接入LTE-SAE系统。
实际应用中,Auc产生鉴权向量,即GSM系统的三元组(RAND,Kc,SRES)或LTE-SAE系统的四元组(RAND,Kasme,XRES,AUTH),并将这些向量发送给MSC和SGSN(2G),MME(4G);MSC、SGSN、MME将RAND发送给用户终端,并判断用户终端是否通过鉴权。
在上述实施例中,用户终端将RAND发往所述SIM卡后,进一步包括:
用户终端接收SIM卡返回的第一加密密钥Kc,该Kc是SIM卡基于Ki和所述RAND生成的,可以采用A8算法生成。
用户终端基于所述Kc,采用与网络侧约定的第二指定算法,生成第二加密密钥(CK)和完整性保护密钥(IK),并基于生成的CK和IK,与网络侧进行数据通信。具体为:用户终端基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥(Kasme),用户终端确认鉴权通过后(也可以在确认鉴权通过之前,此处仅为举例),基于所述Kasme,生成通信过程中使用的各级密钥,并采用所述各级密钥与网络侧进行数据通信。
其中,所谓的第二指定算法有多种实现方式,例如,可以是3G系统下的C4算法和C5算法。具体为:
Kc包含64Bit,CK和IK均包含128Bit,因此,可以采用C4算法基于Kc生成CK,例如,CK=Kc||Kc;又可以采用C5算法基于Kc生成IK,例如,IK=64Bit的“0”||Kc,同理,生成IK的方法可以多样,如,IK=64Bit的“X”||Kc,X取任意设定值(如,X取1,X取1010101010等等)。
而所谓的LTE标准算法也有多种实现方式,例如,3GPP协议中制定的密钥推衍函数(KDF)算法。
本发明实施例中,当用户终端确定本地接入的是SIM卡时,才会执行上述流程将Ki转换为Kc,以及进一步转换为CK和IK,而当用户终端确定本地接入的是USIM卡时,直接读取USIM卡的CK和IK进行后续流程,无需启用转换流程,其相关操作示意过程如图5所示。
相应地,参阅图6所示,本发明实施例中,Auc控制SIM卡的用户终端接入LTE-SAE系统的详细流程如下:
步骤600:Auc确定SIM卡的用户终端请求接入LTE-SAE系统时,通过用户终端向SIM卡发送本地生成的RAND,指示SIM卡基于接收的RAND向鉴权装置返回相应的RES。
步骤610:Auc获取SIM卡的SIM卡永久密钥Ki,并基于Ki和生成的RAND生成SRES。
本发明实施例中,Auc可以根据SIM卡的标识在本地数据库中获取Ki。
步骤620:Auc采用与终端侧约定的第一指定算法,基于上述SRES生成XRES。
与步骤420同理,所谓的第一指定算法有多种实现方式,例如,本发明实施例中,用户终端采用的第一指定算法,即是将SRES按照设定次数进行合并生成RES,或者,在SRES前增加设定比特数目的冗余位生成RES。具体为:
SRES包含32Bit,RES可以包含32Bit到128Bit,因此可以将SRES重复多次(如,1次、2次、3次或4次)合并为RES,例如,SRES||SRES||SRES||SRES;或者,在SRES前面增加设定比特数目的“0”生成RES,例如,(32、64或96)个Bit的“0”||SRES。
步骤630:Auc将XRES发送至网络侧的鉴权装置,指示鉴权装置根据接收的RES和XRES对SIM卡进行鉴权认证,确认鉴权通过后,允许用户终端接入LTE-SAE系统。
在上述实施例中,在执行步骤610时,Auc获取所述SIM卡的Ki后,进一步包括:
Auc基于Ki和RAND,生成第一加密密钥Kc,可以采用A8算法。
Auc基于Kc,采用与终端侧约定的第二指定算法,生成第二加密密钥(CK)和完整性保护密钥(IK),并基于生成的CK和IK,与终端侧进行数据通信。具体为:Auc基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥(Kasme),Auc确认用户终端鉴权通过后(也可以在确认鉴权通过之前,此处仅为举例),将Kasme发往各指定网元,指示各指定网元基于Kasme生成通信过程中使用的各级密钥,并采用生成的各级密钥与终端侧进行数据通信。
其中,所谓的第二指定算法有多种实现方式,例如,可以是3G系统下的C4算法和C5算法。具体为:
Kc包含64Bit,CK和IK均包含128Bit,因此,可以采用C4算法基于Kc生成CK,例如,CK=Kc||Kc;又可以采用C5算法基于Kc生成IK,例如,IK=64Bit的“0”||Kc,同理,生成IK的方法可以多样,如,IK=64Bit的“X”||Kc,X取任意设定值(如,X取1,X取1010101010等等)。
所谓的LTE标准算法也有多种实现方式,例如,3GPP协议中制定的KDF算法。
本发明实施例中,当Auc确认用户终端使用的是SIM卡时,将根据Ki和RAND生成为Kc,再进一步转换为CK和IK,而当Auc确认用户终端使用的是USIM卡时,根据K和RAND,直接生成CK和IK进行后续流程,其相关操作示意流程如图7所示。
基于上述两个实施例,参阅图8所示,本发明实施例中,SIM卡的用户终端接入LTE-SAE系统时,用户终端与Auc的交互流程如下:
步骤800:SIM卡的用户终端向网络侧发送接入请求消息,该接入请求消息中至少携带SIM卡的临时标识(如,GUTI或TMSI)。
步骤810:Auc接收用户终端发送的接入请求消息,并根据其携带的临时标识获取SIM卡的标识(IMSI),以及根据SIM卡的标识该SIM卡的SIM卡永久密钥Ki。
步骤820:Auc生成RAND,并基于RAND和获取的Ki,采用A3算法生成SRES,以及采用与终端侧约定的第一指定算法,将SRES转换为XRES。
在执行820的过程,Auc进一步基于RAND和获取的Ki,采用A8算法生成第一加密密钥Kc,以及基于Kc,采用与终端侧约定的第二指定算法,生成CK和IK,并基于生成的CK和IK,采用LTE标准算法,生成Kasme。
步骤830:Auc将生成的RAND发往用户终端。
上述步骤820和步骤830并不限定执行顺序,可以同步执行,也可以先执行步骤830,再执行步骤820,本流程仅为举例。
另一方面,Auc在发送RAND的同时,也会将认证(AUTH)发送至SIM卡的用户终端,用户终端因使用SIM卡而仅能单向鉴权,因此,用户终端总认为网络合法,不校验网络侧下发的AUTH。
步骤840:用户终端接收Auc发送的RAND,并将该RAND发送至本地的SIM卡。
步骤850:用户终端接收SIM卡返回的SRES,该SRES是SIM卡基于接收的RAND和SIM卡永久密钥Ki,采用A3算法生成的。
在执行步骤850的过程,用户终端还需要接收SIM卡返回的Kc,该Kc是SIM卡基于接收的RAND和Ki,采用A8算法生成的。用户终端基于接收的Kc,采用与网络侧约定的第二指定算法,生成CK和IK,并基于生成的CK和IK,采用LTE标准算法,生成Kasme。
步骤860:用户终端采用与网络侧约定的第一指定算法,将SIM卡返回的SRES转换为RES,并将该RES发往网络侧的鉴权装置。
步骤870:Auc将本地生成的XRES发往鉴权装置,指示该鉴权装置根据接收的RES和XRES对SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
Auc确认用户终端鉴权通过时(也可以在确认鉴权通过之前,此处仅为举例),需要指示各指定网元基于生成的Kasme,继续生成通信过程中使用的各级密钥,并采用生成的各级密钥与终端侧进行数据通信。
步骤880:用户终端接收鉴权装置返回的鉴权响应,确认鉴权通过后,接入LTE-SAE系统。
用户终端确认鉴权通过后(也可以在确认鉴权通过之前,此处仅为举例),需要基于本地生成的Kasme,继续生成通信过程中使用的各级密钥,并采用所述各级密钥与网络侧进行数据通信。
基于上述实施例,参阅图9所示,本发明实施例中,加密机制为:采用接入层(AS)和非接入层(NAS)的两层安全机制。其密钥层次架构如图9所示,由Ki派生出多层次的密钥,分别实现各层的保密性和完整性保护,提高了通信中的安全性。其中,
1)用户终端和HSS间共享的密钥:
Ki:存储在SIM卡和AuC的永久密钥。
CK和IK:AuC和SIM卡在AKA认证过程中基于Ki生成的密钥对。
2)用户终端和接入安全管理实体(ASME)共享的中间密钥:
Kasme:用户终端和HSS根据CK和IK推演得到的密钥,用于推演下层密钥。
3)用户终端与eNB和MME的共享密钥:
KNASint:用户终端和MME根据Kasme推演得到的密钥,用于保护用户终端和MME间NAS流量的完整性。
KNASenc:用户终端和MME根据Kasme推演得到的密钥,用于保护用户终端和MME间NAS流量的保密性。
KeNB:用户终端和MME根据Kasme推演得到的密钥,用于推导AS层密钥。
KUPenc:用户终端和eNB根据KeNB和加密算法的标识符推演得到,用于保护用户终端和eNB间用户面(UP)的保密性。
KRRCint:用户终端和eNB根据KeNB和完整性算法的标识符推演得到,用于保护用户终端和eNB间RCC的完整性。
KRRCenc:用户终端和eNB根据KeNB和加密算法的标识符推演得到,用于保护用户终端和eNB间RCC的保密性。
基于图9所示的内容,在步骤860中,Auc还需要指示MME基于生成的Kasme,推演生成KNASenc、KNASint和KeNB,以及指示eNB,基于生成的KeNB,推演生成KUPenc、KRRCenc和KRRCint,相应地,在步骤870中,SIM卡的用户终端还需要基于生成的Kasme,推演生成KNASenc、KNASiin和KeNB,以及基于生成的KeNB,推演生成KUPenc、KRRCenc和KRRCint,这样,用户终端和eNB及MME之间就可以使用推演出的各级密钥进行数据通信,在此不再赘述。
综上所述,本发明实施例中,SIM卡的用户终端在接入LTE-SAE系统时,终端侧和网络侧会分别根据,基于SIM卡永久密钥Ki和RAND生成的SRES,采用约定的第一指定算法,生成相应的鉴权响应(终端侧为RES,网络侧为XRES),再由网络侧根据RES和XRES对SIM卡进行鉴权认证并接入LTE-SAE系统,这样,便通过用户终端和网络侧的协助,基于SIM卡内保存的Ki、将SIM卡返回的SRES转换为LTE标准中可以识别的RES,令用户终端可以顺利通过LTE-SAE系统的鉴权认证,接入LTE-SAE系统,从而在LTE-SAE系统中实现了不换卡机制,提高了系统的兼容性,也提升了系统的服务质量。进一步地,终端侧和网络侧还可以分别根据,基于SIM卡永久密钥Ki和RAND生成的Kc,采用约定的第二指定算法,生成相应的Kamse,并基于Kamse进行后续的数据通信,这样,样,便通过用户终端和网络侧的协助,令SIM卡的用户终端在接入LTE-SAE系统后,可以顺利与网络侧进行通信并使用相关的系统服务,从而进一步完善了LTE-SAE系统中的不换卡机制,提高了系统兼容性和系统性能,方便了用户的迁移,节省了运营成本。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (21)
1.一种用户识别模块SIM卡的用户终端接入长期演进-系统架构演进LTE-SAE系统的方法,其特征在于,包括:
SIM卡的用户终端请求接入LTE-SAE系统时,接收网络侧发送的随机数RAND,并将该RAND发往所述SIM卡;
用户终端接收所述SIM卡返回的SIM卡鉴权响应SRES,该SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
用户终端采用与网络侧约定的第一指定算法,基于所述SRES生成鉴权响应RES;
用户终端将所述RES发往网络侧进行鉴权认证,并在根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
2.如权利要求1所述的方法,其特征在于,用户终端将所述RAND发往所述SIM卡后,进一步包括:
所述用户终端接收所述SIM卡返回的第一加密密钥Kc,该Kc是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
用户终端基于所述Kc,采用与网络侧约定的第二指定算法,生成第二加密密钥CK和完整性保护密钥IK;
用户终端基于生成的CK和IK,与网络侧进行数据通信。
3.如权利要求2所述的方法,其特征在于,所述用户终端基于生成的CK和IK,与网络侧进行数据通信,包括:
用户终端基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥Kasme;
用户终端基于所述Kasme,生成通信过程中使用的各级密钥,并采用所述各级密钥与网络侧进行数据通信。
4.如权利要求1、2或3所述的方法,其特征在于,用户终端采用与网络侧约定的第一指定算法,基于所述SRES生成RES时,包括:
将SRES按照设定次数进行合并生成RES,或者,在SRES前增加设定比特数目的填充位生成RES。
5.如权利要求2或3所述的方法,其特征在于,用户终端基于所述Kc,采用与网络侧约定的第二指定算法,生成CK和IK时,包括:
用户终端基于所述Kc,分别采用C4算法和C5算法生成CK和IK。
6.一种用户识别模块SIM卡的用户终端接入长期演进-系统架构演进LTE-SAE系统的方法,其特征在于,包括:
网络侧装置确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送随机数RAND,指示所述SIM卡基于所述RAND向网络侧的鉴权装置返回相应的鉴权响应RES;
网络侧装置获取所述SIM卡的SIM卡永久密钥Ki,并基于所述Ki和所述RAND生成SIM卡鉴权响应SRES;
网络侧装置采用与终端侧约定的第一指定算法,基于所述SRES生成期望鉴权响应XRES;
网络侧装置将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
7.如权利要求6所述的方法,其特征在于,所述网络侧装置获取所述SIM卡的SIM卡永久密钥Ki后,进一步包括:
网络侧装置基于所述Ki和所述RAND,生成第一加密密钥Kc;
网络侧装置基于所述Kc,采用与终端侧约定的第二指定算法,生成第二加密密钥CK和完整性保护密钥IK;
网络侧装置基于生成的CK和IK,指示各指定网元与终端侧进行数据通信。
8.如权利要求7所述的方法,其特征在于,所述网络侧装置基于生成的CK和IK,指示各指定网元与终端侧进行数据通信,包括:
网络侧装置基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥Kasme;
网络侧装置将所述Kasme下发至各指定网元,指示各指定网元基于所述Kasme生成通信过程中使用的各级密钥,并采用所述各级密钥与终端侧进行数据通信。
9.如权利要求6、7或8所述的方法,其特征在于,网络侧装置采用与终端侧约定的第一指定算法,基于所述SRES生成应XRES,包括:
将SRES按照设定次数进行合并生成RES,或者,在SRES前增加设定比特数目的填充位生成RES。
10.如权利要求7或8所述的方法,其特征在于,网络侧装置基于所述Kc,采用与终端侧约定的第二指定算法,生成CK和IK时,包括:
网络侧装置基于所述Kc,分别采用C4算法和C5算生成CK和IK。
11.一种用于用户识别模块SIM卡的用户终端接入长期演进-系统架构演进LTE-SAE系统的装置,其特征在于,包括:
接收单元,用于在确定本地使用SIM卡且请求接入LTE-SAE系统时,接收网络侧发送的随机数RAND,并将该RAND发往所述SIM卡;
处理单元,用于接收所述SIM卡返回的SIM卡鉴权响应SRES,并采用与网络侧约定的第一指定算法,基于所述SRES生成鉴权响应RES,其中,所述SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
发送单元,用于将所述RES发往网络侧进行鉴权认证,以及根据网络侧响应确认鉴权通过后,接入LTE-SAE系统。
12.如权利要求11所述的装置,其特征在于,所述处理单元将所述RAND发往所述SIM卡后,进一步包括:
所述处理单元接收所述SIM卡返回的第一加密密钥Kc,该Kc是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的;
所述处理单元基于所述Kc,采用与网络侧约定的第二指定算法,生成第二加密密钥CK和完整性保护密钥IK;
所述处理单元基于生成的CK和IK,与网络侧进行数据通信。
13.如权利要求12所述的装置,其特征在于,所述处理单元基于生成的CK和IK,与网络侧进行数据通信,包括:
所述处理单元基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥Kasme;
所述处理单元基于所述Kasme,生成通信过程中使用的各级密钥,并采用所述各级密钥与网络侧进行数据通信。
14.如权利要求11、12或13所述的装置,其特征在于,所述处理单元采用与网络侧约定的第一指定算法,基于所述SRES生成RES时,包括:
所述处理单元将所述SRES直接作为RES。
15.如权利要求12或13所述的装置,其特征在于,所述处理单元基于所述Kc,采用与网络侧约定的第二指定算法,生成CK和IK时,包括:
所述处理单元基于所述Kc,采用C4算法或C5算生成CK和IK。
16.一种用于用户识别模块SIM卡的用户终端接入长期演进-系统架构演进LTE-SAE系统的装置,其特征在于,包括:
发送单元,用于在确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送随机数RAND,指示所述SIM卡基于所述RAND返回相应的鉴权响应RES;
处理单元,用于获取所述SIM卡的SIM卡永久密钥Ki,并基于所述Ki和所述RAND生成SIM卡鉴权响应SRES,以及采用与终端侧约定的第一指定算法,基于所述SRES生成期望鉴权响应XRES;
指示单元,用于将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
17.如权利要求16所述的装置,其特征在于,所述处理单元获取所述SIM卡的SIM卡永久密钥Ki后,进一步包括:
所述处理单元基于所述Ki和所述RAND,生成第一加密密钥Kc;
所述处理单元基于所述Kc,采用与终端侧约定的第二指定算法,生成第二加密密钥CK和完整性保护密钥IK;
所述处理单元基于生成的CK和IK,指示各指定网元与终端侧进行数据通信。
18.如权利要求17所述的装置,其特征在于,所述处理单元基于生成的CK和IK,指示各指定网元与终端侧进行数据通信,包括:
所述处理单元基于生成的CK和IK,采用LTE标准算法,生成非接入层根密钥Kasme;
所述处理单元将所述Kasme下发至各指定网元,指示各指定网元基于所述Kasme生成通信过程中使用的各级密钥,并采用所述各级密钥与终端侧进行数据通信。
19.如权利要求16、17或18所述的装置,其特征在于,所述处理单元采用与终端侧约定的第一指定算法,基于所述SRES生成应XRES,包括:
所述处理单元将所述SRES直接作为XRES。
20.如权利要求17或18所述的装置,其特征在于,所述处理单元基于所述Kc,采用与终端侧约定的第二指定算法,生成CK和IK时,包括:
所述处理单元基于所述Kc,采用C4算法或C5算生成CK和IK。
21.一种用于接入用户识别模块SIM卡的用户终端的长期演进-系统架构演进LTE-SAE系统,包括SIM卡的用户终端和网络侧装置,其特征在于,其中,
所述用户终端,确定本用户终端请求接入LTE-SAE系统时,接收网络侧发送的随机数RAND,将该RAND发往所述SIM卡,并接收所述SIM卡返回的SIM卡鉴权响应SRES,该SRES是所述SIM卡基于SIM卡永久密钥Ki和所述RAND生成的,以及采用与网络侧约定的第一指定算法,基于所述SRES生成鉴权响应RES,并将所述RES发往网络侧进行鉴权认证,在根据网络侧响应确认鉴权通过后,接入LTE-SAE系统;
所述网络侧装置,用于在确定SIM卡的用户终端请求接入LTE-SAE系统时,通过所述用户终端向所述SIM卡发送RAND,指示所述SIM卡基于所述RAND向网络侧的鉴权装置返回相应的RES,并获取所述SIM卡的SIM卡永久密钥Ki,基于所述Ki和所述RAND生成SRES,再采用与终端侧约定的第一指定算法,基于所述SRES生成XRES,以及将XRES发往所述鉴权装置,指示该鉴权装置根据接收的RES和XRES对所述SIM卡进行鉴权认证,确认鉴权通过后,允许所述用户终端接入LTE-SAE系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102634291A CN102378174A (zh) | 2010-08-25 | 2010-08-25 | 一种sim卡的用户终端的接入方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102634291A CN102378174A (zh) | 2010-08-25 | 2010-08-25 | 一种sim卡的用户终端的接入方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102378174A true CN102378174A (zh) | 2012-03-14 |
Family
ID=45795996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102634291A Pending CN102378174A (zh) | 2010-08-25 | 2010-08-25 | 一种sim卡的用户终端的接入方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102378174A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103702328A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | Uim卡接入epc网络的认证方法和系统 |
| CN103796202A (zh) * | 2012-11-01 | 2014-05-14 | 中国电信股份有限公司 | 接入网络的方法、系统、终端、接入网设备和核心网设备 |
| CN103841558A (zh) * | 2012-11-26 | 2014-06-04 | 中国移动通信集团北京有限公司 | 一种终端鉴权方法、系统及移动通信终端 |
| CN105813006A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种信息升级方法、终端设备、网络管理设备及系统 |
| CN106161577A (zh) * | 2015-04-28 | 2016-11-23 | 李明 | 基于云平台的sim卡认证方法及系统与移动终端 |
| CN109525989A (zh) * | 2017-09-19 | 2019-03-26 | 阿里巴巴集团控股有限公司 | 数据处理、身份认证方法及系统、终端 |
| TWI692228B (zh) * | 2018-10-24 | 2020-04-21 | 啟碁科技股份有限公司 | 用於網狀網路的連線建立系統及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
| WO2007108651A1 (en) * | 2006-03-22 | 2007-09-27 | Lg Electronics Inc. | Security considerations for the lte of umts |
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
-
2010
- 2010-08-25 CN CN2010102634291A patent/CN102378174A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
| WO2007108651A1 (en) * | 2006-03-22 | 2007-09-27 | Lg Electronics Inc. | Security considerations for the lte of umts |
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103702328A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | Uim卡接入epc网络的认证方法和系统 |
| CN103702328B (zh) * | 2012-09-28 | 2017-11-21 | 中国电信股份有限公司 | Uim卡接入epc网络的认证方法和系统 |
| CN103796202A (zh) * | 2012-11-01 | 2014-05-14 | 中国电信股份有限公司 | 接入网络的方法、系统、终端、接入网设备和核心网设备 |
| CN103841558A (zh) * | 2012-11-26 | 2014-06-04 | 中国移动通信集团北京有限公司 | 一种终端鉴权方法、系统及移动通信终端 |
| CN103841558B (zh) * | 2012-11-26 | 2017-05-03 | 中国移动通信集团北京有限公司 | 一种终端鉴权方法、系统及移动通信终端 |
| CN105813006A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种信息升级方法、终端设备、网络管理设备及系统 |
| CN105813006B (zh) * | 2014-12-30 | 2019-06-25 | 中国移动通信集团公司 | 一种信息升级方法、终端设备、网络管理设备及系统 |
| CN106161577A (zh) * | 2015-04-28 | 2016-11-23 | 李明 | 基于云平台的sim卡认证方法及系统与移动终端 |
| CN106161577B (zh) * | 2015-04-28 | 2019-01-18 | 李明 | 基于云平台的sim卡认证方法及系统与移动终端 |
| CN109525989A (zh) * | 2017-09-19 | 2019-03-26 | 阿里巴巴集团控股有限公司 | 数据处理、身份认证方法及系统、终端 |
| TWI692228B (zh) * | 2018-10-24 | 2020-04-21 | 啟碁科技股份有限公司 | 用於網狀網路的連線建立系統及方法 |
| US11265720B2 (en) | 2018-10-24 | 2022-03-01 | Wistron Neweb Corporation | Connection establishing system and method for mesh network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187202B2 (en) | Key agreement for wireless communication | |
| CN111133728B (zh) | 订阅隐藏标识符 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| DK2528268T3 (en) | GENERATION OF CRYPING KEY | |
| US11075752B2 (en) | Network authentication method, and related device and system | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| KR102112542B1 (ko) | 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 | |
| US10103887B2 (en) | Operator-assisted key establishment | |
| KR101038096B1 (ko) | 바이너리 cdma에서 키 인증 방법 | |
| US9088408B2 (en) | Key agreement using a key derivation key | |
| EP2854329B1 (en) | Method, system, and device for securely establishing wireless local area network | |
| CN108012266B (zh) | 一种数据传输方法及相关设备 | |
| CN102378174A (zh) | 一种sim卡的用户终端的接入方法、装置及系统 | |
| CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN101860863A (zh) | 一种增强的加密及完整性保护方法 | |
| US20200236536A1 (en) | Security establishment method, terminal device, and network device | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 | |
| CN101867925A (zh) | 空口密钥处理方法及系统 | |
| CN102378168A (zh) | 多系统核心网通知密钥的方法和多系统网络 | |
| CN108809635B (zh) | 锚密钥生成方法、设备以及系统 | |
| CN117792630A (zh) | 量子安全路灯控制无线通信模组 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120314 |