CN102905267A - Me标识鉴权、安全模式控制方法及装置 - Google Patents
Me标识鉴权、安全模式控制方法及装置 Download PDFInfo
- Publication number
- CN102905267A CN102905267A CN2012103851548A CN201210385154A CN102905267A CN 102905267 A CN102905267 A CN 102905267A CN 2012103851548 A CN2012103851548 A CN 2012103851548A CN 201210385154 A CN201210385154 A CN 201210385154A CN 102905267 A CN102905267 A CN 102905267A
- Authority
- CN
- China
- Prior art keywords
- authentication
- eir
- sign
- information
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种移动设备ME标识鉴权、安全模式控制方法及装置,用以提高ME标识鉴权的准确性,从而提高网络通信的安全性。所述ME标识鉴权方法包括:移动性管理实体MME向设备标识寄存器EIR发送移动设备标识检查请求,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;MME接收EIR回复的移动设备标识检查应答,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含鉴权向量Authentication vectors。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种移动设备(ME)标识鉴权、安全模式控制方法及装置。
背景技术
用户设备(User Equipment,UE)是由移动设备(ME)和全球用户标识模块(universal subscriber identity module,USIM)卡组成。目前核心网对于ME的检查过程,是通过UE向网络侧的移动性管理实体(Mobility ManagementEntity,MME)上报全球移动设备标识(International Mobile Equipment Identity,IMEI),MME将IMEI发送给设备标识寄存器(Equipment Identity Register,EIR),由EIR对IMEI进行检查完成的。
该方法比较简单而且很容易被攻破。不法手机制造商,可以将一个合法的IMEI复制到多个手机上,使得多个ME同时拥有一个IMEI号码。在多部手机同时使用该IMEI进行服务的时候,由于网络侧只能检查IMEI号,所以并不能真正对合法的ME和不合法的ME进行辨别和限制。
现有技术方案中,MME可以在安全模式控制过程(Security Mode ControlProcedure)或者认证过程(Identity Procedure)获取到IMEI。
MME在收到UE的IMEI后,MME和EIR之间进行移动设备标识检查过程(ME Identity Check Procedure),具体可参见3GPP TS23.401V10.5.0协议的第5.3.2章节,如图1所示,包括:
步骤1,MME向EIR发送移动设备标识检查请求(ME Identity CheckRequest)消息,将IMEI等终端信息通过消息发送给EIR设备。
步骤2,EIR对IMEI等终端信息进行检查后,通过移动设备标识检查应答(ME Identity CheckAnswer)消息向MME返回检查结果。
其中,步骤1的移动设备标识检查请求(ME Identity Check Request)消息的组成如表1所示。
表1:移动设备标识检查请求(ME Identity Check Request)消息。
其中,步骤2的移动设备标识检查应答(ME Identity Check Answer)消息的组成如表2所示。
表2:移动设备标识检查应答(ME Identity Check Answer)消息
在现有协议方案中,MME对ME的检查是通过IMEI来完成的。MME可以在安全模式控制过程(Security Mode Control Procedure)或者认证过程(Identity Procedure)获取到IMEI。
在获取到IMEI之后,MME将该标识通过设备标识检查请求(ME IdentityCheck Request)消息发送给EIR设备,由EIR对IMEI进行查询和检查。EIR通过设备标识检查应答(ME Identity Check Answer)消息将检查结果告诉MME。如果对IMEI检查结果为正确,则认为ME合法,允许该UE的接入。
如果对IMEI的检查结果为失败,则认为ME非法,拒绝该UE的接入。
但是,现有技术对于原有移动设备检查方法,只是对IMEI进行了检查,从而来判断ME是否合法,该方法比较简单而且很容易被攻破。一些手机可以通过复制IMEI的方法,使得多部手机同时拥有一个IMEI号码,而网络侧在原有检查方法中只检查IMEI,并不能真正对合法的ME和不合法的ME进行辨别和限制。
发明内容
本发明实施例提供了一种ME标识鉴权、安全模式控制方法及装置,用以提高ME标识鉴权的准确性,从而提高网络通信的安全性。
本发明实施例提供的一种ME标识鉴权方法包括:
移动性管理实体MME在收到ME的全球移动设备标识IMEI后,向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
本发明实施例提供的一种安全模式控制方法,包括所述的ME标识鉴权方法。
本发明实施例提供的一种ME标识鉴权方法包括:
设备标识寄存器EIR接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
EIR对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
EIR向MME发送移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
本发明实施例提供的一种ME标识鉴权装置包括:
第一发送单元,用于在收到ME的全球移动设备标识IMEI后,向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
第一接收单元,用于接收EIR回复的移动设备标识检查应答ME IdentityCheck Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authenticationvectors。
本发明实施例提供的一种安全模式控制装置,包括所述的ME标识鉴权装置。
本发明实施例提供的一种MME,包括上述任一装置。
本发明实施例提供的一种ME标识鉴权装置包括:
请求接收单元,用于接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
验证单元,用于对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
应答单元,用于向MME发送移动设备标识检查应答ME Identity CheckAnswer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
本发明实施例提供的一种EIR,包括:所述的ME标识鉴权装置
本发明实施例,通过移动性管理实体MME向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors,从而提高了ME标识鉴权的准确性,以及网络通信的安全性。
附图说明
图1为移动设备标识检查过程(ME Identity Check Procedure)示意图;
图2为EIR对ME进行鉴权示意图;
图3为本发明实施例提供的UE进行鉴权计算示意图;
图4为本发明实施例提供的MME和UE之间的鉴权示意图;
图5为本发明实施例提供的鉴权的成功流程示意图;
图6为本发明实施例提供的UE侧鉴权失败的流程示意图;
图7为本发明实施例提供的MME比对RES不一致导致的鉴权拒绝流程示意图;
图8为本发明实施例提供的MME侧的ME标识鉴权方法的流程示意图;
图9为本发明实施例提供的EIR侧的ME标识鉴权方法的流程示意图;
图10为本发明实施例提供的安全模式控制流程示意图;
图11为本发明实施例提供的MME侧的ME标识鉴权装置的结构示意图;
图12为本发明实施例提供的EIR侧的ME标识鉴权装置的结构示意图。
具体实施方式
本发明实施例提供了一种对ME进行鉴权、安全模式控制方法和装置,由MME控制,在UE、MME、EIR之间通过消息交互和计算,达到双向鉴权的效果,对于保护合法手机用户的身份不被侵犯,以及规范手机使用有突出意义。
本发明实施例中,提供了UE和MME、EIR之间基于IMEI的鉴权流程。
EIR和ME中,都保存有对应于IMEI的密钥(Key,K)、运营商密钥(Operator Key,OP)、鉴权管理值(Authentication management field,AMF)、序列数(Sequence number,SQN)等计算鉴权的参数,这些参数只用于计算鉴权参数,不传递。
EIR中保存对应IMEI的鉴权参数,由EIR对ME进行鉴权。
本发明实施例对原有移动设备标识检查请求(ME Identity Check Request)消息进行改进优化,在ME Identity Check Request消息中增加拜访公共陆上移动网络(Public Land Mobile Network,PLMN)标识(Visited-PLMN-ID)信息元素,如表3所示。
表3:改进后的移动设备标识检查请求(ME Identity Check Request)消息
本发明实施例改变原移动设备标识检查应答(ME Identity Check Answer)消息的结构,在ME Identity Check Answer消息中增加鉴权信息(AuthenticationInfo)信息元素,如表4所示。
表4:改进后的移动设备标识检查应答(ME Identity CheckAnswer)消息
在EIR中,要求保存有对应于IMEI的K、OP、AMF、SQN等计算鉴权的参数。MME通过移动设备标识检查请求(ME Identity Check Request)消息将IMEI、Visited-PLMN-ID传给EIR,EIR用Visited-PLMN-ID对终端进行验证,计算过程参见3GPP TS33.102V9.1.0,第6.3.2章节。
如果EIR对终端验证通过,EIR将会使用收到的参数(包括IMEI和Visited-PLMN-ID)生成一组鉴权向量(AV),AV包括参数RAND(随机数)、AUTN(authentication token,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME,KASME是用来产生非接入层和接入层密钥的总密钥,之后EIR通过移动设备标识检查请求(ME Identity CheckAnswer)将AV传给MME,具体的消息组成参见表4。
如果EIR对终端验证不通过,则在移动设备标识检查请求(ME IdentityCheck Answer)中不携带鉴权向量(AV),并且在ME Identity Check Answer中的结果(Result)中携带对应的失败原因。
参见图2,具体流程包括:
步骤11,MME向EIR发送移动设备标识检查请求(ME Identity CheckRequest)消息,消息格式为优化后的消息格式,参见表3中的格式。ME IdentityCheck Request消息中携带信息元素拜访地PLMN标识(Visited-PLMN-ID)。
步骤12,EIR根据IMEI检索到对应的K、OP、AMF、SQN等信息,根据K、OP、AMF和SQN信息对ME进行验证。如果验证通过,EIR将会使用收到的Visited-PLMN-ID参数和EIR中保存的K、OP、AMF、SQN等参数,计算出一组鉴权向量(Authentication vectors),EIR向MME发送移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。如果验证不通过,EIR将在移动设备检查应答(MEIdentity Check Answer)消息中携带对应的失败原因值,其中不携带鉴权向量。
步骤13,EIR向MME发送移动设备检查应答(ME Identity Check Answer)消息,若验证通过,则其中包括计算的鉴权向量,消息格式为优化后的消息格式,参见表4的格式。
在UE侧,UE使用ME中保存的对应IMEI的鉴权参数,由UE对网络侧进行鉴权,并回复对应的期望的响应值(expected response,XRES)。
对3GPP TS24.301V10.4.0协议中,本发明实施例对鉴权请求(AUTHENTICATION REQUEST)消息做改进,如表5所示,在消息中增加标识类型(Identity type)。具体定义参见3GPP TS24.301V10.4.0第9.9.3.17章节,该标识类型(Identity type)用于表示标识的类型是国际移动用户识别码(International Mobile Subscriber Identity,IMSI)或者IMEI。
表5:鉴权请求消息内容(AUTHENTICATION REQUEST message content)
对3GPP TS24.301V10.4.0协议中,鉴权响应(AUTHENTICATIONRESPONSE)消息做改进,如表5所示,在AUTHENTICATION RESPONSE消息中增加标识类型(Identity type)和Spare half octet。标识类型(Identity type)具体值参见3GPP TS24.301V10.4.0第9.9.3.17章节,用于表示IMSI或者IMEI。
表6:鉴权响应消息内容(AUTHENTICATION RESPONSE messagecontent)
在ME中,要求保存有对应的K、OP、AMF、SQN等计算鉴权的参数。
MME从EIR接收到鉴权向量AV后,MME存储AV,并通过鉴权请求(authentication request)消息将参数AUTN、RAND和KSIASME传给终端。KSIASME是用来标识KASMEKASME,目的是为了终端能获得和网络端一样的KASME。
终端收到的AUTN的AMF(authentication management field,鉴证管理域)后,将会利用保存在ME中的参数信息进行核实。如果可以接受,通过验证,将会进一步生成一个响应RES;RES的具体生成方法如图3所示,具体可参见3GPP TS33.102V9.1.0的第6.3.3章节。如果不接受,UE将向MME发送鉴权失败(AUTHENTICATION FAILURE)消息。
图3中,序列号(sequence number,SQN)是ME中保存的一个计数器。f1和f2为鉴权函数,f3、f4、f5和KDF都是密钥生成函数;AK为一个密钥,AK=f5(K,RAND),主要用于恢复SQN,具体操作是
MAC为网络端产生的信息确认码,在AUTN中携带,XMAC为终端利用ME中保存的参数计算生成的信息确认码。当UE收到MME发来的鉴权请求后,通过验证,使用ME中保存的参数K、SQN(恢复的)和AMF通过函数f1生成XMAC。通过比较XMAC和MAC相等后,即验证通过时,才被允许进行下一步动作。如果比对MAC不成功,即验证失败时,UE将向MME发送鉴权失败(AUTHENTICATION FAILURE)消息。
UE将利用ME中鉴权参数计算的RES参数,通过表6的鉴权响应(AUTHENTICATION RESPONSE)消息发送给MME。并在鉴权响应(AUTHENTICATION RESPONSE)消息中携带认证标识(Identity type)表示为IMEI。
MME比对鉴权响应(AUTHENTICATION RESPONSE)消息中的RES和保存的XRES(在每个鉴权向量AV中,由四个值组成,其中一个就是XRES,XRES是AV的一部分)是否一致,如果一直则鉴权成功;如果不一致,则鉴权失败。
参见图4,具体步骤包括:
步骤21,MME将鉴权请求(Authentication Request)消息发送给UE,消息格式参照表5,携带NAS密钥组标识(NAS key setidentifier ASME),以及标识类型(Identity type),对应的鉴权随机值参数(Authentication parameterRAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤22,UE在判断标识类型(Identity type)表示为IMEI后,在ME中取出保存的K、OP、AMF、SQN等信息进行计算和验证,如果验证成功,则计算出响应值(Response,RES)参数(计算方法在3GPP TS33.102V9.1.0中有说明)。
UE由USIM和ME组成,分别是卡和手机。在卡和手机中都存在这么一组数据。如果标识类型为IMEI,说明是对应手机的,从手机(ME)中取K、OP、AMF、SQN等信息。该处IMEI只是标识的类型,和真实IMEI的内容不同。
步骤23a,如果UE验证成功,则UE向MME返回鉴权响应(AuthenticationResponse)消息,其中携带RES参数。
步骤23b,如果UE验证失败,则UE向MME返回鉴权失败(AuthenticationFailure)消息。
下面介绍一下本发明实施例提供的UE、MME、EIR之间的基于IMEI的双向鉴权流程。
参见图5,UE、MME、EIR之间的基于IMEI的鉴权成功的流程包括:
步骤31,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见表3。
步骤32,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity Check Answer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤33,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifier ASME),以及标识类型(Identity type),对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤34,UE对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(Authentication Response)消息,其中携带RES参数。
参见图6,UE、MME、EIR之间的基于IMEI的鉴权成功的流程包括:
步骤41,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见表3。
步骤42,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity Check Answer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME IdentityCheck Answer)消息中携带对应失败的原因值。
步骤43,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifier ASME),以及标识类型(Identity type),对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤44,UE对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,若计算失败,则UE向MME返回对应的鉴权失败(Authentication Failure)消息。
MME将保存在AV中的XRES和RES进行比对,一致则鉴权成功。如果不一致,则MME向UE发送鉴权拒绝(Authentication Reject)消息,如图7所示,包括:
步骤51,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见表3。
步骤52,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity CheckAnswer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤53,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifierASME),以及标识类型(Identity type),对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authenticationparameter AUTN)。
步骤54,UE对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(Authentication Response)消息,其中携带RES参数。
步骤55,MME将保存在AV中的XRES和RES进行比对,一致则鉴权成功。如果不一致,则MME向UE发送鉴权拒绝(Authentication Reject)消息。
综上所述,在MME侧,参见图8,本发明实施例提供的一种移动设备ME标识鉴权方法,包括:
S101、移动性管理实体MME向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
S102、MME接收EIR回复的移动设备标识检查应答ME Identity CheckAnswer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
较佳地,所述EIR根据ME的国际移动设备标识IMEI检索到对应的K、OP、AMF和SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的K、OP、AMF和SQN信息,计算出所述Authentication vectors。
较佳地,MME获取Authentication vectors后,该方法还包括:
MME向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;
MME比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,当MME对ME标识验证失败时,MME向UE发送鉴权拒绝Authentication Reject消息。
相应地,在EIR侧,参见图9,本发明实施例提供的一种移动设备ME标识鉴权方法,包括:
S201、设备标识寄存器EIR接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
S202、EIR对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
S203、EIR向MME发送移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
较佳地,所述EIR根据ME的国际移动设备标识IMEI检索到对应的K、OP、AMF和SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的K、OP、AMF和SQN信息,计算出所述Authentication vectors。
本发明实施例提供的一种安全模式控制方法,包括上述ME标识鉴权方法。
较佳地,MME获取Authentication vectors后,该安全模式控制方法还包括:
MME使用EIR传递的鉴权向量推衍NAS完整性保护密钥和NAS加密保护密钥,向UE发送安全模式命令消息,其中携带的标识类型为IMEI;
MME接收UE回复的安全模式完成消息,其中携带的标识类型为IMEI。
下面对本发明实施例提供的安全模式控制方法进行具体的解释说明。
在现有安全模式控制技术中,鉴权向量是由基于USIM卡中储存的鉴权信息K、OP、AMF、SQN等信息计算得到。加密密钥和完整性保护密钥是由计算出的鉴权向量中的Kasme推衍得到。但是,由于现有方案使用的密钥以及参数是从USIM卡中的K推衍而来,使用的数据来源比较单一,限制了安全过程加密参数的数据来源。
因此,本发明提出一种可以灵活使用手机移动设备(ME)中保存K,或者USIM卡中保存的K推演出的Kasme密钥进行安全保护的方案。对于增强安全保护方法的多样性是非常大的补充。
本发明对原有安全模式控制消息和安全模式完成消息的消息结构进行改进,改进后的消息结构分别如下面的表7和表8所示。
表7:改进后的安全模式控制消息内容(SECURITY MODE COMMANDmessage content)
表8:安全模式完成消息内容(SECURITY MODE COMPLETE messagecontent)
如果使用从EIR获取的鉴权向量中的密钥Kasme作为推衍完整性保护密钥和加密保护密钥的根密钥,则在改进后的安全模式命令(Security ModeCommand)消息和改进后的安全模式完成(Security Mode Complete)消息中,携带标识类型(Identity type)表示为IMEI。UE在收到安全模式命令(SecurityMode Command)消息后,判断标识类型(Identity Type)为IMEI,则从移动设备(ME)中取对于的鉴权参数计算出鉴权向量,并取对应的Kasme。参见图10,本发明实施例提供的一种安全模式控制方法具体包括:
步骤61,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见表3。
步骤62,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组鉴权向量(AV),它包括参数RAND(随机数)、AUTN(authentication token,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(MEIdentity Check Answer)消息中携带鉴权向量(AV)给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤63,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifierASME),以及标识类型(Identity type),对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤64,UE对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(Authentication Response)消息。携带RES参数。计算失败,则向MME返回对应的鉴权失败(Authentication Failure)消息,
MME将保存的AV中的XRES和RES进行比对,一致则鉴权成功。如果不一致,则MME向UE发送鉴权拒绝(Authentication Reject)消息。
步骤65,MME使用EIR传递的鉴权向量(AV)中的Kasme推衍NAS完整性保护密钥和NAS加密保护密钥,向UE发送安全模式命令(Security ModeCommand)消息,消息格式使用表7中的格式,标识类型(Identity type)表示为IMEI。
步骤66,UE收到消息后,判断标识类型(Identity type)表示为IMEI,则使用从移动设备(ME)中获取的鉴权参数计算的鉴权向量中的Kasme推衍完整性保护密钥和加密密钥,并向MME回复安全模式完成(Security ModeComplete)消息,消息使用表8的格式。其中标识类型(Identity type)表示为IMEI。
参见图11,本发明实施例提供的一种移动设备ME标识鉴权装置,包括:
第一发送单元71,用于向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
第一接收单元72,用于接收EIR回复的移动设备标识检查应答ME IdentityCheck Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authenticationvectors。
较佳地,该装置还包括:
第二发送单元73,用于向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
第二接收单元74,用于当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,该装置还包括:
第三发送单元75,用于当对ME标识验证失败时,向UE发送鉴权拒绝Authentication Reject消息。
本发明实施例提供的一种安全模式控制装置,包括上述的ME标识鉴权装置。
较佳地,该安全模式控制装置还包括:
安全模式命令消息发送单元,用于使用EIR传递的鉴权向量推衍NAS完整性保护密钥和NAS加密保护密钥,向UE发送安全模式命令消息,其中携带的标识类型为IMEI;
安全模式完成消息接收单元,用于接收UE回复的安全模式完成消息,其中携带的标识类型为IMEI。
本发明实施例提供的一种MME,包括上述ME标识鉴权装置,也可以进一步包括上述的安全模式控制装置。
参见图12,本发明实施例提供的一种移动设备ME标识鉴权装置包括:
请求接收单元81,用于接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
验证单元82,用于对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
应答单元83,用于向MME发送移动设备标识检查应答ME Identity CheckAnswer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
较佳地,所述验证单元82根据ME的国际移动设备标识IMEI检索到对应的K、OP、AMF和SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的K、OP、AMF和SQN信息,计算出所述Authentication vectors。
本发明实施例提供的一种EIR,包括:图12所示的ME标识鉴权装置。
综上所述,本发明实施例,通过移动性管理实体MME向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors,从而提高了ME标识鉴权的准确性,以及网络通信的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种移动设备ME标识鉴权方法,其特征在于,该方法包括:
移动性管理实体MME在收到ME的全球移动设备标识IMEI后,向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
2.根据权利要求1所述的方法,其特征在于,所述EIR根据ME的国际移动设备标识IMEI检索到对应的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的所述K、OP、AMF和SQN信息,计算出所述Authentication vectors。
3.根据权利要求1所述的方法,其特征在于,MME获取Authenticationvectors后,该方法还包括:
MME向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
当ME利用自身保存的K、OP、AMF和SQN信息对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;
MME比较RES参数和自身保存的期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
4.根据权利要求3所述的方法,其特征在于,当MME对ME标识验证失败时,MME向UE发送鉴权拒绝Authentication Reject消息。
5.一种安全模式控制方法,其特征在于,该方法包括权利要求1-4任一权项所述的ME标识鉴权方法。
6.根据权利要求5所述的方法,其特征在于,MME获取Authenticationvectors后,该方法还包括:
MME使用EIR传递的鉴权向量推衍非接入层NAS完整性保护密钥和NAS加密保护密钥,向UE发送安全模式命令消息,其中携带的标识类型为IMEI;
MME接收UE回复的安全模式完成消息,其中携带的标识类型为IMEI。
7.一种移动设备ME标识鉴权方法,其特征在于,该方法包括:
设备标识寄存器EIR接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
EIR对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
EIR向MME发送移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
8.根据权利要求7所述的方法,其特征在于,所述EIR根据ME的国际移动设备标识IMEI检索到对应的K、OP、AMF和SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的K、OP、AMF和SQN信息,计算出所述Authenticationvectors。
9.一种移动设备ME标识鉴权装置,其特征在于,该装置包括:
第一发送单元,用于在收到ME的全球移动设备标识IMEI后,向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
第一接收单元,用于接收EIR回复的移动设备标识检查应答ME IdentityCheck Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authenticationvectors。
10.根据权利要求9所述的装置,其特征在于,该装置还包括:
第二发送单元,用于向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
第二接收单元,用于当ME利用自身保存的K、OP、AMF和SQN信息对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;比较RES参数和自身保存的期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
11.根据权利要求10所述的装置,其特征在于,该装置还包括:
第三发送单元,用于当对ME标识验证失败时,向UE发送鉴权拒绝Authentication Rej ect消息。
12.一种安全模式控制装置,其特征在于,该装置包括权利要求9-11任一权项所述的装置。
13.根据权利要求12所述的安全模式控制装置,其特征在于,该安全模式控制装置还包括:
安全模式命令消息发送单元,用于使用EIR传递的鉴权向量推衍非接入层NAS完整性保护密钥和NAS加密保护密钥,向UE发送安全模式命令消息,其中携带的标识类型为IMEI;
安全模式完成消息接收单元,用于接收UE回复的安全模式完成消息,其中携带的标识类型为IMEI。
14.一种MME,其特征在于,该MME包括:权利要求9-13任一权项所述的装置。
15.一种移动设备ME标识鉴权装置,其特征在于,该装置包括:
请求接收单元,用于接收移动性管理实体MME发送的移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息;
验证单元,用于对ME进行验证,当验证通过时,利用Visited-PLMN-ID信息生成鉴权向量Authentication vectors;
应答单元,用于向MME发送移动设备标识检查应答ME Identity CheckAnswer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
16.根据权利要求15所述的装置,其特征在于,所述验证单元根据ME的国际移动设备标识IMEI检索到对应的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息,根据K、OP、AMF和SQN信息对ME进行验证,如果验证通过,EIR利用Visited-PLMN-ID信息和EIR中保存的K、OP、AMF和SQN信息,计算出所述Authentication vectors。
17.一种设备标识寄存器,其特征在于,该设备标识寄存器包括:权利要求11或12所述的ME标识鉴权装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210385154.8A CN102905267B (zh) | 2012-10-11 | 2012-10-11 | Me标识鉴权、安全模式控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210385154.8A CN102905267B (zh) | 2012-10-11 | 2012-10-11 | Me标识鉴权、安全模式控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102905267A true CN102905267A (zh) | 2013-01-30 |
| CN102905267B CN102905267B (zh) | 2015-09-23 |
Family
ID=47577260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210385154.8A Active CN102905267B (zh) | 2012-10-11 | 2012-10-11 | Me标识鉴权、安全模式控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102905267B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019080804A1 (zh) * | 2017-10-23 | 2019-05-02 | 华为技术有限公司 | 一种生成密钥的方法、装置及系统 |
| CN110351725A (zh) * | 2018-04-08 | 2019-10-18 | 华为技术有限公司 | 通信方法和装置 |
| CN111182543A (zh) * | 2018-11-12 | 2020-05-19 | 华为技术有限公司 | 切换网络的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络系统 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| US20110287765A1 (en) * | 2010-05-04 | 2011-11-24 | Vodafone Ip Licensing Limited | Operation of machine-type communication devices |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| CN102656845A (zh) * | 2009-10-16 | 2012-09-05 | 泰克莱克公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| WO2012135680A1 (en) * | 2011-04-01 | 2012-10-04 | Interdigital Patent Holdings, Inc. | System and method for sharing a common pdp context |
-
2012
- 2012-10-11 CN CN201210385154.8A patent/CN102905267B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络系统 |
| CN102656845A (zh) * | 2009-10-16 | 2012-09-05 | 泰克莱克公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| US20110287765A1 (en) * | 2010-05-04 | 2011-11-24 | Vodafone Ip Licensing Limited | Operation of machine-type communication devices |
| WO2012135680A1 (en) * | 2011-04-01 | 2012-10-04 | Interdigital Patent Holdings, Inc. | System and method for sharing a common pdp context |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019080804A1 (zh) * | 2017-10-23 | 2019-05-02 | 华为技术有限公司 | 一种生成密钥的方法、装置及系统 |
| US11576038B2 (en) | 2017-10-23 | 2023-02-07 | Huawei Technologies Co., Ltd. | Key generation method, apparatus, and system |
| US11882436B2 (en) | 2017-10-23 | 2024-01-23 | Huawei Technologies Co., Ltd. | Key generation method, apparatus, and system |
| CN110351725A (zh) * | 2018-04-08 | 2019-10-18 | 华为技术有限公司 | 通信方法和装置 |
| CN111182543A (zh) * | 2018-11-12 | 2020-05-19 | 华为技术有限公司 | 切换网络的方法和装置 |
| CN111182543B (zh) * | 2018-11-12 | 2021-10-19 | 华为技术有限公司 | 切换网络的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102905267B (zh) | 2015-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6979420B2 (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| EP3605942B1 (en) | Key agreement for wireless communication | |
| US9270672B2 (en) | Performing a group authentication and key agreement procedure | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| EP1768426A1 (en) | Authentication method and corresponding information transmission method | |
| EP3657835A1 (en) | Access method of user equipment and user equipment | |
| CN101926188B (zh) | 对通信终端的安全策略分发 | |
| US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
| CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| CN101772020A (zh) | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN102905266A (zh) | 一种实现移动设备附着的方法及装置 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| CN110475249A (zh) | 一种认证方法、相关设备及系统 | |
| CN103476028A (zh) | Nas count翻转时nas消息的处理方法及装置 | |
| WO2011124051A1 (zh) | 终端鉴权方法及系统 | |
| CN103312678B (zh) | 一种客户端安全登录方法、装置及系统 | |
| CN103430582A (zh) | 防止混合式通信系统中的窃听类型的攻击 | |
| CN102905267B (zh) | Me标识鉴权、安全模式控制方法及装置 | |
| CN111246464B (zh) | 身份鉴别方法、装置和系统、计算机可读存储介质 | |
| CN104168566A (zh) | 一种接入网络的方法及装置 | |
| CN102026184B (zh) | 一种鉴权方法及鉴权系统以及相关设备 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| CN102131199B (zh) | 一种wapi认证方法和接入点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |