CN103596176B - 基于演进分组系统的小规模核心网的鉴权方法及装置 - Google Patents
基于演进分组系统的小规模核心网的鉴权方法及装置 Download PDFInfo
- Publication number
- CN103596176B CN103596176B CN201310492000.3A CN201310492000A CN103596176B CN 103596176 B CN103596176 B CN 103596176B CN 201310492000 A CN201310492000 A CN 201310492000A CN 103596176 B CN103596176 B CN 103596176B
- Authority
- CN
- China
- Prior art keywords
- authentication
- module
- nas
- request message
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种基于演进分组系统的小规模核心网的鉴权方法,所述小规模核心网包括NAS模块,用于实现核心网侧移动管理实体的非接入协议层(NAS)的功能,所述方法包括:NAS模块在鉴权过程触发后,向HSS发送鉴权参数获取请求消息;NAS模块接收包含HSS经过计算得到的鉴权参数的响应消息后,NAS模块保存XRES,并基于鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给UE,以便UE根据鉴权请求消息包含的鉴权参数进行验证计算;NAS模块接收包含UE经过验证计算得到的实际的响应值的结果,并将所述实际的响应值与期望得到的响应值进行比较,如果相同,则鉴权成功。本申请还提供了一种鉴权装置。本申请的技术方案提高了鉴权效率。
Description
技术领域
本申请涉及移动通信技术领域,特别涉及一种基于演进分组系统的小规模核心网的鉴权方法及其鉴权装置。
背景技术
为适应业务带宽要大、传输时延要小、网络覆盖要广等多方面的现实应用需求,3GPP推出了一种演进技术,即演进分组系统(Evolved Packet System,EPS),该系统是3GPP标准委员会制定的3G UMTS中最新的演进标准,其内容主要包括无线接口长期演进(LongTerm Evolution,LTE)和系统架构演进(System Architecture Evolution,SAE)。参见图1,该图示出了EPC各网元拓扑结构图。EPS系统由核心网(Evolved Packet Core,EPC)、基站(eNodeB)和用户设备(UE)三部分组成,其中:EPC负责核心网部分,eNode B负责接入网部分(又称E-UTRAN)。
根据3GPP对演进分组系统相关协议的规定,EPC核心网(参见图1)由移动管理实体(Mobility Management Entity,MME)、服务网关(Serving Gate Way,S-GW)、PDN网关(PDNGateway PDN,P-GW)、归属地签约用户服务器(Home Subscriber Server,HSS)、GPRS服务支持节点(Serving GPRS Support Node,SGSN)、策略和计费规则功能体(Policy andCharging Rules Function,PCRF)等组成。为了保护网络的安全性,协议规定了UE的鉴权流程。该鉴权流程为:当UE接入时,MME收到UE接入产生的附着请求后,生成鉴权参数请求消息,并发送给HSS,HSS收到鉴权参数请求消息后,计算生成鉴权向量AV,该鉴权向量中包含期望得到响应值(Expected Response,XRES);然后将包含鉴权向量AV的鉴权参数响应消息发送给MME,MME存储AV向量,并生成用户鉴权请求消息发送给UE,UE根据用户鉴权请求消息中的参数计算生成用户鉴权响应消息并发送给MME,MME收到用户鉴权响应消息后,根据保存的AV向量计算出RES值,然后将RES值与AV向量中的XRES进行比较,若不相等,则向HSS发送鉴权失败消息,若相等,则鉴权成功,允许UE接入。
上述鉴权过程是基于包含EPC全部功能的网络进行的,该网络具有复杂的结构,各个组成部分之间涉及相当多的接口,如图1所示,若不考虑网络间的切换则涉及的主要接口包括:MME和E-UTRAN间的S1-MME接口、MME和S-GW间的S11接口、MME和HSS间的S6a接口、MME和SGSN间的S3接口、S-GW和E-UTRAN间的S1-U接口、S-GW和P-GW间的S5接口、S-GW和SGSN间的S4接口、P-GW和PCRF间的Gx接口、P-GW和PDN间的SGi接口、PCRF和应用功能AF间的接口。不同接口之间采用的协议栈不完全相同,图2(a)~(g)示出了不同接口之间采用的协议情形。
然而,在某些小规模组网环境时(比如,特定的LTE测试、LTE专网),只需要使用EPC的部分或者主要功能,在该情况下,如果仍然搭建一个庞大而复杂的核心网系统并基于该系统进行鉴权流程,必然增加成本,降低演进分组系统核心网鉴权的效率。
发明内容
为解决上述技术问题,本申请实施例提供了一种基于演进分组系统中的小规模核心网的鉴权方法及装置,以提高LTE鉴权实现的效率。
本申请实施例提供了一种基于演进分组系统的小规模核心网的鉴权方法,所述小规模核心网包括:NAS模块,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能,所述方法包括:
NAS模块在鉴权过程触发后,向归属用户服务器(HSS)发送鉴权参数获取请求消息;
NAS模块接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息,所述计算得到的鉴权参数包括期望得到的响应值(XRES);
NAS模块保存所述期望得到的响应值(XRES),并基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果,并将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
优选地,所述基于演进分组系统的小规模核心网包括安全模块,所述安全模块与NAS模块连接,所述鉴权方法包括:
NAS模块在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数,并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块;
NAS模块接收到鉴权参数后,保存鉴权参数中的期望得到的响应值(XRES),并基于鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果,并将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
进一步优选地,所述基于演进分组系统的小规模核心网还集成有:与NAS模块连接的S1AP模块、与S1AP模块连接的SCTP模块以及控制模块,所述NAS模块、S1AP模块、SCTP模块分别与控制模块连接,所述S1AP模块,用于实现核心网侧移动管理实体的S1接口应用协议层(S1AP)的功能;所述SCTP模块,用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能,所述控制模块,用于协调控制所述NAS模块、S1AP模块、SCTP模块实现各自模块的功能,所述鉴权过程触发包括:
用户设备(UE)侧触发接入过程,向基站发起INITIAL UE MESSAGE消息,通过基站将INITIAL UE MESSAGE消息发送给SCTP模块;
SCTP模块收到INITIAL UE MESSAGE消息后,经过S1AP模块透传给NAS模块;
NAS模块收到S1AP模块传送的消息后向控制模块发送接入指示消息;
控制模块收到接入指示后,记录用户设备(UE)的相关信息,并向NAS模块返回上下文建立请求(CONTEXT SETUP REQUEST)消息,以请求建立用户设备(UE)相关的上下文,所述上下文建立请求消息包含是否需要鉴权的鉴权标识位;
NAS模块收到上下文建立请求消息后,通过上下文建立请求消息的鉴权标识位判断是否需要进行鉴权,如果需要鉴权,则触发鉴权过程。
进一步优选地,所述安全模块根据基础数据计算鉴权参数之前,判断用户设备(UE)是否为首次接入网络,如果是,则初始化序列号(SQN);如果否,则判断UE上次接入网络是否鉴权成功,如果成功,则根据用户设备(UE)的IMSI号提取上次保存的SQN值,如果未成功,则根据用户设备(UE)的IMSI号读取上次接入时获得的随机值(RAND),根据随机值(RAND)和返回的失败AUTS计算SQN值;
所述鉴权请求消息包含的鉴权参数中具有SQN值。
进一步优选地,用户设备(UE)在接收到鉴权请求消息后,所述方法还包括:
用户设备(UE)判断鉴权请求消息中包含的SQN值是否可接受,如果不能接受,则产生包含同步失败的鉴权响应消息返回AUTS,结束流程;如果能接收,则根据鉴权请求消息内包含的鉴权参数进行验证计算。
优选地,所述鉴权请求消息中包含随机值(RAND)、序列号(SQN)、AK、鉴权管理域(AMF)、管理鉴权码(MAC),在根据鉴权请求消息内包含的鉴权参数进行验证计算之前,所述方法还包括:
用户设备(UE)利用鉴权请求消息中包含的RAND、SQN、AK、AMF调用相应的函数计算预期管理鉴权码(XMAC);
用户设备(UE)判断预期管理鉴权码(XMAC)与从鉴权请求消息中得到的管理鉴权码(MAC)的值是否相等,如果相等,则执行根据鉴权请求消息内包含的鉴权参数进行验证计算。
本申请实施例还提供了一种基于演进分组系统的小规模核心网的鉴权装置,所述小规模核心网包括:NAS模块,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能,所述装置包括:获取请求发送单元、响应消息接收单元、XRES保存单元、鉴权请求生成单元、实际响应值接收单元和响应值比较单元,所述装置位于NAS模块内,其中:
所述获取请求发送单元,用于在鉴权过程触发后,向归属用户服务器(HSS)发送鉴权参数获取请求消息;
所述响应消息接收单元,用于接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息,所述计算得到的鉴权参数包括期望得到的响应值(XRES);
所述XRES保存单元,用于保存所述期望得到的响应值(XRES);
所述鉴权请求生成单元,用于基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
所述实际响应值接收单元,用于接收包含用户设备UE经过验证计算得到的实际的响应值(RES)的结果;
所述响应值比较单元,用于将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
优选地,所述基于演进分组系统的小规模核心网包括安全模块,所述安全模块与NAS模块连接,所述鉴权装置包括:基础数据传递单元,用于在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数,并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块内所述装置的XRES保存单元。
本申请实施例针对小规模组网环境需要,以协议为中心划分功能模块,将各功能模块集于一体,在各模块之间通过在原标准通信协议基础上选取必要的字段组成的自定义消息进行通信,然后在此基础上进行鉴权操作。与现有技术相比,本申请实施例的小规模核心网(迷你核心网)避免了以功能实体为独立设备,省去了功能实体接口协议栈,简化了组件网络的流程、节省组网成本,在此基础上进行的鉴权操作也得到改进和简化,提高了基于演进分组系统核心网的鉴权效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的EPC各网元的拓扑结构图;
图2(a)~(g)为现有技术中主要接口间使用的协议栈的示意图;
图3为本申请的小规模核心网的模块组成图;
图4为基于小规模核心网的鉴权方法的一个实施例流程图;
图5为基于小规模核心网的鉴权方法的又一个实施例流程图;
图6(a)为基于小规模核心网的鉴权方法的再一个实施例的流程图;
图6(b)为基于小规模核心网的鉴权方法的再一个实施例的信令图;
图7(a)为图6所述实施例的鉴权参数生成示意图;
图7(b)为AUTS参数的生成示意图;
图8为图6所述实施例中涉及到的函数生成示意图;
图9为基于小规模核心网的鉴权装置的实施例的组成框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
为清晰地说明本申请的鉴权方法,这里先对演进分组系统中的小规模核心网进行介绍,然后再对基于该小规模核心网的LTE鉴权流程进行详细描述。
参见图3,该图示出了演进分组系统中的小规模核心网(以下简称miniEPC)的模块组成结构图。该演进分组系统中的小规模核心网包括:
NAS模块201、S1AP模块202、SCTP模块203、GTPU模块204和控制模块205,这些模块集成于一体,这里的“集成”是相对于现有技术设备中每个功能实体均以独立的设备存在而言的,而且,这些集成的功能模块不再以传统的功能实体为基准进行的划分,而是以协议为基准进行划分,比如,现有技术的模块划分为移动管理实体MME、服务网关S-GW、PDN网关P-GW等,本申请实施例基于MME功能实体需要用到的NAS、S1AP、SCTP、GTPC等协议、S-GW功能实体需要用到的GTPC、GTPU等协议以及其他模块使用的其他协议,将功能模块划分为NAS模块、S1AP模块、SCTP模块和GTPU模块,在进行这些模块划分后,为统一协调各模块的工作,设置了控制模块。
各功能模块完成的功能如下:NAS模块201,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能;S1AP模块202,用于实现核心网侧移动管理实体的S1接口应用协议层(S1AP)的功能;SCTP模块203,用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能;GTPU模块204,用于实现核心网侧服务网关(S-GW)和PDN网关(P-GW)实体的隧道协议层(GTPU)的功能;控制模块205,用于协调控制所述NAS模块、S1AP模块、SCTP模块和GTPU模块实现各模块的功能。
上述功能模块之间的连接关系如图所示:NAS模块201与S1AP202模块连接、S1AP模块202与SCTP模块203连接,NAS模块201、S1AP模块202、SCTP模块203均分别与控制模块205和GTPU模块204连接。这里的“连接”既表达物体实体上的连接关系,也表达信号之间的流转关系。此外,在这些模块与模块之间的连接线路中传输的消息与传统的消息可能不同,现有技术传输的消息是各独立的设备模块之间采用标准通信的协议消息,而本miniEPC将功能模块集成于一体,且功能模块之间的划分出现变化,在这些模块之间传输的消息是改造后的消息,这里的“改造”主要体现为以原标准通信协议为基础,根据各功能模块之间实现各自功能的实际需要,选择标准通信协议中的必要字段进行自定义,自定义的过程即是简化、整合现有技术传输的消息的过程。比如,现有技术的核心网中,由于MME、SGW、PGW均为一个单独设备,MME和SGW间具有会话建立、承载修改两组标准信令交互,SGW和PGW间具有会话建立、承载修改两组标准信令交互。而本申请实施例将核心网的各功能模块集中于一体,可以对各模块之间的消息传输进行简化:将MME和SGW、SGW和PGW间的四组会话建立、承载修改相关的标准信令交互简化为控制模块和GTPU模块间的隧道的配置增加、配置修改两组自定义消息交互即可。
下面描述本申请基于演进分组系统中的小规模核心网的LTE鉴权方法。参见图4,该图示出了LTE鉴权方法的一个实施例的流程,该流程包括:
步骤S401:NAS模块在鉴权过程触发后,将通过Diameter协议栈将鉴权参数获得请求消息发送给HSS;
步骤S402:HSS收到鉴权参数获得请求之后,将鉴权参数通过鉴权参数获取响应发送给小规模核心网的NAS模块;
步骤S403:NAS模块收到鉴权参数后,保存鉴权参数中的期望响应值参数(XRES),并基于鉴权参数生成鉴权请求消息发送给UE,以便UE根据所述鉴权请求消息内包含的鉴权参数进行验证计算;
步骤S404:NAS接收到UE发送的验证计算结果后,将验证结果中包含的实际响应值(RES)与期望相应值进行比较,如果相同,则鉴权成功。
由于上述实施例仅针对小规模组网环境,以协议为中心划分功能模块,各功能模块集于一体,各模块之间通过在原标准通信协议基础上选取必要的字段组成的自定义消息进行通信,使得在此基础之上进行的LTE鉴权过程与包括EPC全部功能的鉴权过程相比,鉴权流程大大简化,提高了鉴权效率。
尽管采用上述实施例已能够解决本申请的技术问题,但是,从上述实施例的流程可以看出,鉴权过程需要HSS的参与,而miniEPC与HSS之间的接口为S6a,采用该接口的两个主体之间进行消息通信必须得到Diameter接口协议栈的支持,因此,在实际应用过程中,需要增加Diameter与SCTP间的层管理相关的配置交互处理、Diameter与SCTP间的数据通信处理、Diameter与NAS间的鉴权参数获取过程处理、NAS需要增加安全相关的协议流程处理等代码,这些工作相当繁杂,需要耗费较多的人力和时间成本。为此,本申请提出了上述实施例的一种变形方式,该变型方式不再借助于HSS,而是通过在演进分组系统中的小规模核心网(miniEPC)中增加安全模块,对该安全模块进行鉴权特殊设计实现发明目的:就硬件实现而言,安全模块与NAS模块连接,就软件实现而言,NAS模块通过函数调用的方式获取所需要的鉴权参数。参见图5,该图示出了基于该改进miniEPC进行的LTE鉴权实施例的流程。该流程包括:
步骤S501:NAS模块在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数;
步骤S502:NAS模块接收到鉴权参数后,保存鉴权参数中的期望响应值参数(XRES),并基于鉴权参数生成鉴权请求消息发送给UE,以便UE根据所述鉴权请求消息内包含的鉴权参数进行验证计算;
步骤S503:NAS接收到UE发送的验证计算结果后,将验证结果中包含的实际响应值(RES)与期望相应值进行比较,如果相同,则鉴权成功。
通过该改进实施例的技术方案,在实现LTE鉴权时,不再需要到miniEPC之外的HSS中获取鉴权参数,而仅仅通过miniEPC内的安全模块即可得到,由于安全模块集成在miniEPC之内,通过简单的函数调用即可顺利取得鉴权参数,避免了按照协议要求进行Diameter与有关模块之间的复杂设计带来的增加Diameter协议栈相关代码的工作,简化了流程,节省了miniEPC的开发成本。
为更清晰说明上述变形实施例的技术方案,下面结合鉴权的应用场景进行全面的描述。鉴权过程属于UE附着过程的一部分,参见图6,其中图6(a)示出了包含鉴权过程的附着过程的信令流转;图6(b)示出了安全模块的数据处理流程。该流程包括:
步骤S601:UE侧触发接入过程,向基站发起INITIAL UE MESSAGE消息,通过基站将INITIAL UE MESSAGE消息发送给miniEPC的SCTP模块;
步骤S602:SCTP模块收到该消息后,经过S1AP模块透传给NAS模块;
步骤S603:NAS模块收到该消息后向控制模块CC发送一个接入指示消息;
步骤S604:控制模块CC收到接入指示后,记录UE有关信息,并向NAS模块返回上下文建立请求(CONTEXT SETUP REQUEST)消息,以请求建立UE相关的上下文,上下文建立请求消息包含是否需要鉴权的标识位。
步骤S605:NAS模块收到上下文建立请求消息后,通过上下文建立请求消息的鉴权标识位判断是否需要进行鉴权,如果需要进行鉴权,从上下文建立请求消息中解析出用于计算鉴权参数的基础数据,并将基础数据传递给安全模块,这些基础数据包括OP/OPC(算法配置域参数)、K(用户安全密钥)、OPTYPE(OP类型参数)、AMF(鉴权管理域)、SNID(服务网络ID参数)、encAlgId(算法类型参数)、intAlgId(算法类型参数),其中OP和K参数是miniEPC和准许接入的UE之间配置的固定参数,OPTYPE用来选择参数类型是OP还OPC,AMF参数的分离比特位在服务网络为LTE时,其值为1,SNID是服务网络的ID号。
步骤S606:安全模块收到NAS传递的基础数据后,根据基础数据计算鉴权参数,并将计算的鉴权参数返回给NAS模块。
安全模块根据基础数据计算鉴权参数的相关步骤可以为:
(1)判断UE是否新UE(即是否是第一次接入网络),如果是,则保存该UE的IMSI号,并初始化SQN(Sequence Number,序列号)值,初始值可设置为“0”,进入第(3)步;如果不是,则执行第(2)步。判断UE新旧的方式有多种,比如根据IMSI号进行判断,即将UE的IMSI号和本地保存的IMSI号进行比较,如果不相同,则说明该UE是新UE,否则,说明该UE先前接入过网络。
(2)判断UE上次接入网络是否鉴权成功,如果成功,则根据IMSI号提取上次保存的SQN值;如果未成功,则根据IMSI号读取上次接入时获得的RAND,根据RAND和返回的失败AUTS计算SQN值,这里的AUTS值是UE鉴权失败后发起重新鉴权时向miniEPC返回的。
(3)判断optype值为“0”还是“1”,如果为“0”,则说明OP参数给出的是OP值,在鉴权参数计算时还不能直接采用该值,需要根据OP值计算OPC值,如果为“1”,则说明OP给出的为OPC值,在鉴权参数计算时可直接使用OP参数;
(4)调用miniEpc的系统函数获取随机值RAND。这里的系统函数可以是随机函数;
(5)根据现有SQN值计算本轮参数计算的SQN值。现有SQN值在UE为新UE,初次接入网络时,为初始化设定的值;在UE为已接入过网络的UE,现有SQN值为上次保存的SQN值。根据现有SQN值计算本轮SQN值的方法很多,比如,可以采用基于时间的生成方法,也可以采用不基于时间的生成方法。一种不基于时间的生成方法如:SQN:=SEQ||IND,将SQN的SEQ和IND分别加1得到,即将SEQ和IND拆分后,分别进行独立运算,再将运算后结合拼合为SQN,如果各自加满溢出,则重新置0。这里SEQ、IND为SQN的一部分,如果SQN占48比特,SEQ通常为43比特,IND为比特。
(6)以OP/OPC、K、RAND、SQN、AMF值为自变量,通过函数f1(OP/OPC,K,RAND,SQN,AMF)获取MAC值;以OP/OPC、K、AND值为自变量分别通过函数f2、f3、f4、f5(op_c,k,RAND,XRES,ak,ck,ik)获取XRES和AK;以SQN、AMF、MAC、AK为自变量,通过函数AUTNComputeFun(SQN,amf,mac,ak,AUTN)获取AUTN值,即AUTN:=SQN⊕AK||AMF||MAC,“||”为连接符。上述鉴权参数的计算过程可参见图7,f1~f5的函数生成过程可参见图8,需要说明的是:图8仅仅是示例性给出f1~f5函数的生成,本领域技术人员可根据实际需要进行调整和相应实现。
步骤S607:安全模块获得鉴权参数后,保存RAND、AUTN、XRES、CK、IK参数,并将RAND、XRES、AUTN通过获取鉴权参数主函数的返回值传给NAS模块。
步骤S608:NAS模块接收返回的鉴权参数后,保存鉴权参数,并基于鉴权参数生成鉴权请求消息,将鉴权请求消息经由S1AP模块发送给UE。
步骤S609:UE接收到鉴权请求后,判断鉴权请求消息中包含的SQN值是否可接受,如果不能接受,则产生包含同步失败的鉴权响应消息返回AUTS,结束流程;如果能接收,则根据鉴权请求消息中包含的RAND、SQN、AK、AMF值调用相应的函数计算XMAC值;其中AUTS的计算过程如图7(b)所示。
步骤S610:UE计算得到XMAC后,判断XMAC值与从鉴权请求消息中得到的MAC值是否相等,如果相等,则根据鉴权请求消息中的参数计算RES值,并将其包含在鉴权响应消息中发送给miniEPC的S1AP模块。
步骤S611:NAS模块通过S1AP模块接收到UE发送的鉴权响应消息后,将RES与本地保存XRES进行比较,如果相等,则鉴权过程成功完成,继续进行附着后续过程;若不相等,则下发鉴权拒绝消息,告知UE由于RES值不匹配鉴导致权拒绝。
上述内容详细描述了本申请的基于演进分组系统的小规模核心网的鉴权方法,相应地,本申请还提供了基于演进分组系统的小规模核心网的鉴权装置的实施例。参见图9,该图示出了基于小规模核心网的鉴权装置的实施例的组成框图,所述小规模核心网包括:NAS模块,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能,所述装置包括:获取请求发送单元901、响应消息接收单元902、XRES保存单元903、鉴权请求生成单元904、实际响应值接收单元905和响应值比较单元906,所述装置位于NAS模块内,其中:
获取请求发送单元901,用于在鉴权过程触发后,向归属用户服务器(HSS)发送鉴权参数获取请求消息;
响应消息接收单元902,用于接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息,所述计算得到的鉴权参数包括期望得到的响应值(XRES);
XRES保存单元903,用于保存所述期望得到的响应值(XRES);
鉴权请求生成单元904,用于基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
实际响应值接收单元905,用于接收包含用户设备UE经过验证计算得到的实际的响应值(RES)的结果;
响应值比较单元906,用于将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
上述装置实施例的工作过程是:获取请求发送单元901在鉴权过程触发后向归属用户服务器(HSS)发送鉴权参数获取请求消息;响应消息接收单元902接收到包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息后触发XRES保存单元903保存鉴权参数中的期望得到的响应值(XRES);然后由鉴权请求生成单元904基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;实际响应值接收单元905接收到包含用户设备UE经过验证计算得到的实际的响应值(RES)的结果后,触发响应值比较单元906将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。本装置实施例能够取得与上述方法实施例相同的技术效果,为避免重复,这里不再重复叙述。
上述装置实施例示出了本申请的一种情形,本申请还可以在上述装置实施例基础上进行各种必要的变形和改进,得到新的鉴权实现装置。比如,在前述装置实施例所处的小规模核心网还包括安全模块的情况下,所述装置实施例还可以包括基础数据传递单元,用于在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数,并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块内所述装置的XRES保存单元。
需要说明的是:为了叙述的简便,本说明书的上述实施例以及实施例的各种变形实现方式重点说明的都是与其他实施例或变形方式的不同之处,各个情形之间相同相似的部分互相参见即可。尤其,对于装置实施例的几个改进方式而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例的各单元可以是或者也可以不是物理上分开的,既可以位于一个地方,或者也可以分布到多个网络环境下。在实际应用过程中,可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的,本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (8)
1.一种基于演进分组系统的小规模核心网的鉴权方法,其特征在于,所述小规模核心网集成有:NAS模块,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能,与NAS模块连接的S1AP模块、与S1AP模块连接的SCTP模块以及控制模块,所述NAS模块、S1AP模块、SCTP模块分别与控制模块连接,所述S1AP模块,用于实现核心网侧移动管理实体的S1接口应用协议层(S1AP)的功能;所述SCTP模块,用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能,所述控制模块,用于协调控制所述NAS模块、S1AP模块、SCTP模块实现各自模块的功能,所述方法包括:
NAS模块在鉴权过程触发后,向归属用户服务器(HSS)发送鉴权参数获取请求消息;
NAS模块接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息,所述计算得到的鉴权参数包括期望得到的响应值(XRES);
NAS模块保存所述期望得到的响应值(XRES),并基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果,并将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
2.根据权利要求1所述的鉴权方法,其特征在于,所述基于演进分组系统的小规模核心网包括安全模块,所述安全模块与NAS模块连接,所述鉴权方法包括:
NAS模块在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数,并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块;
NAS模块接收到鉴权参数后,保存鉴权参数中的期望得到的响应值(XRES),并基于鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
NAS模块接收包含用户设备(UE)经过验证计算得到的实际的响应值(RES)的结果,并将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
3.根据权利要求2所述的鉴权方法,其特征在于,所述鉴权过程触发包括
用户设备(UE)侧触发接入过程,向基站发起INITIAL UE MESSAGE消息,通过基站将INITIAL UE MESSAGE消息发送给SCTP模块;
SCTP模块收到INITIAL UE MESSAGE消息后,经过S1AP模块透传给NAS模块;
NAS模块收到S1AP模块传送的消息后向控制模块发送接入指示消息;
控制模块收到接入指示后,记录用户设备(UE)的相关信息,并向NAS模块返回上下文建立请求(CONTEXT SETUP REQUEST)消息,以请求建立用户设备(UE)相关的上下文,所述上下文建立请求消息包含是否需要鉴权的鉴权标识位;
NAS模块收到上下文建立请求消息后,通过上下文建立请求消息的鉴权标识位判断是否需要进行鉴权,如果需要鉴权,则触发鉴权过程。
4.根据权利要求3所述的鉴权方法,其特征在于,所述安全模块根据基础数据计算鉴权参数之前,判断用户设备(UE)是否为首次接入网络,如果是,则初始化序列号(SQN);如果否,则判断UE上次接入网络是否鉴权成功,如果成功,则根据用户设备(UE)的IMSI号提取上次保存的SQN值,如果未成功,则根据用户设备(UE)的IMSI号读取上次接入时获得的随机值(RAND),根据随机值(RAND)和返回的失败重同步参数(AUTS)计算SQN值;
所述鉴权请求消息包含的鉴权参数中具有SQN值。
5.根据权利要求4所述的鉴权方法,其特征在于,用户设备(UE)在接收到鉴权请求消息后,所述方法还包括:
用户设备(UE)判断鉴权请求消息中包含的SQN值是否可接受,如果不能接受,则产生包含同步失败的鉴权响应消息返回AUTS,结束流程;如果能接收,则根据鉴权请求消息内包含的鉴权参数进行验证计算。
6.根据权利要求1至5中任何一项所述的鉴权方法,其特征在于,所述鉴权请求消息中包含随机值(RAND)、序列号(SQN)、匿名键值(AK)、鉴权管理域(AMF)、管理鉴权码(MAC),在根据鉴权请求消息内包含的鉴权参数进行验证计算之前,所述方法还包括:
用户设备(UE)利用鉴权请求消息中包含的RAND、SQN、AK、AMF调用相应的函数计算预期管理鉴权码(XMAC);
用户设备(UE)判断预期管理鉴权码(XMAC)与从鉴权请求消息中得到的管理鉴权码(MAC)的值是否相等,如果相等,则执行根据鉴权请求消息内包含的鉴权参数进行验证计算。
7.一种基于演进分组系统的小规模核心网的鉴权装置,其特征在于,所述小规模核心网集成有:NAS模块,用于实现核心网侧移动管理实体(MME)的非接入协议层(NAS)的功能,与NAS模块连接的S1AP模块、与S1AP模块连接的SCTP模块以及控制模块,所述NAS模块、S1AP模块、SCTP模块分别与控制模块连接,所述S1AP模块,用于实现核心网侧移动管理实体的S1接口应用协议层(S1AP)的功能;所述SCTP模块,用于实现核心网侧移动管理实体的流控制传输协议层(SCTP)的功能,所述控制模块,用于协调控制所述NAS模块、S1AP模块、SCTP模块实现各自模块的功能,所述装置包括:获取请求发送单元、响应消息接收单元、XRES保存单元、鉴权请求生成单元、实际响应值接收单元和响应值比较单元,所述装置位于NAS模块内,其中:
所述获取请求发送单元,用于在鉴权过程触发后,向归属用户服务器(HSS)发送鉴权参数获取请求消息;
所述响应消息接收单元,用于接收包含归属用户服务器(HSS)经过计算得到的鉴权参数的响应消息,所述计算得到的鉴权参数包括期望得到的响应值(XRES);
所述XRES保存单元,用于保存所述期望得到的响应值(XRES);
所述鉴权请求生成单元,用于基于所述鉴权参数生成鉴权请求消息,将该鉴权请求消息发送给用户设备(UE),以便用户设备(UE)根据鉴权请求消息包含的鉴权参数进行验证计算;
所述实际响应值接收单元,用于接收包含用户设备UE经过验证计算得到的实际的响应值(RES)的结果;
所述响应值比较单元,用于将所述实际的响应值(RES)与所述期望得到的响应值进行比较,如果相同,则鉴权成功。
8.根据权利要求7所述的装置,其特征在于,所述基于演进分组系统的小规模核心网包括安全模块,所述安全模块与NAS模块连接,所述鉴权装置包括:基础数据传递单元,用于在鉴权过程触发后,将用于计算鉴权参数的基础数据传递给安全模块,以便安全模块根据所述基础数据计算鉴权参数,并将计算的包含期望得到的响应值(XRES)的鉴权参数通过函数返回值的方式传递给NAS模块内所述装置的XRES保存单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310492000.3A CN103596176B (zh) | 2013-10-18 | 2013-10-18 | 基于演进分组系统的小规模核心网的鉴权方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310492000.3A CN103596176B (zh) | 2013-10-18 | 2013-10-18 | 基于演进分组系统的小规模核心网的鉴权方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103596176A CN103596176A (zh) | 2014-02-19 |
| CN103596176B true CN103596176B (zh) | 2016-10-12 |
Family
ID=50086118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310492000.3A Active CN103596176B (zh) | 2013-10-18 | 2013-10-18 | 基于演进分组系统的小规模核心网的鉴权方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103596176B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086356A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
| CN106535182A (zh) * | 2015-09-10 | 2017-03-22 | 中兴通讯股份有限公司 | 一种无线网络鉴权方法及核心网网元、接入网网元、终端 |
| CN110839239A (zh) * | 2018-08-17 | 2020-02-25 | 中国电信股份有限公司 | 鉴权方法、设备和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394818A (zh) * | 2011-10-31 | 2012-03-28 | 上海顶竹通讯技术有限公司 | 用于小型移动核心网的分组域系统以及处理报文的方法 |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| EP2613581A1 (en) * | 2010-09-01 | 2013-07-10 | Huawei Technologies Co., Ltd. | User identity information transmission method, and user equipment, web side equipment and system |
-
2013
- 2013-10-18 CN CN201310492000.3A patent/CN103596176B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2613581A1 (en) * | 2010-09-01 | 2013-07-10 | Huawei Technologies Co., Ltd. | User identity information transmission method, and user equipment, web side equipment and system |
| CN102394818A (zh) * | 2011-10-31 | 2012-03-28 | 上海顶竹通讯技术有限公司 | 用于小型移动核心网的分组域系统以及处理报文的方法 |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103596176A (zh) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
| CN109587685B (zh) | 获取密钥的方法、设备和通信系统 | |
| CN110235423A (zh) | 对用户设备的辅认证 | |
| JP2013527673A (ja) | 通信デバイスを認証するための方法および装置 | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN109560919A (zh) | 一种密钥衍生算法的协商方法及装置 | |
| CN101675644A (zh) | 无线通信网络中的用户概况、策略、及pmip密钥分发 | |
| CN102905390A (zh) | 会话关联方法、装置和系统 | |
| CN109788474A (zh) | 一种消息保护的方法及装置 | |
| CN104469977B (zh) | 移动通信方法、装置和系统 | |
| CN110035037A (zh) | 安全认证方法、相关设备及系统 | |
| CN103596176B (zh) | 基于演进分组系统的小规模核心网的鉴权方法及装置 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN110121196A (zh) | 一种安全标识管理方法及装置 | |
| WO2019122495A1 (en) | Authentication for wireless communications system | |
| TWI685267B (zh) | 一種接入控制的方法及設備 | |
| CN109819440A (zh) | 鉴权的方法和装置 | |
| CN109982319A (zh) | 用户认证方法、装置、系统、节点、服务器及存储介质 | |
| CN109891857A (zh) | 防止中立主机网络中移动会话标识符的冲突 | |
| CN110169105A (zh) | 链路重建的方法、装置和系统 | |
| CN109982311A (zh) | 一种终端接入核心网设备方法及终端、mme和saegw | |
| CN103563419B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| WO2014032225A1 (zh) | 服务质量控制的方法、装置及系统 | |
| CN103563418B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191115 Address after: 430073 Hubei province Wuhan Dongxin East Lake high tech Development Zone, Road No. 5 Patentee after: Wuhan Hongxin Communication Technology Co., ltd. Address before: 100085, building 1, tower 5, East Road, Haidian District, Beijing Patentee before: Beifang Fenghuo Tech Co., Ltd., Beijing |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: 430205 Hubei city of Wuhan province Jiangxia Hidden Dragon Island Tan lake two Road No. 1 Patentee after: CITIC Mobile Communication Technology Co., Ltd Address before: 430073 Hubei province Wuhan Dongxin East Lake high tech Development Zone, Road No. 5 Patentee before: Wuhan Hongxin Telecommunication Technologies Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 430205 No.1 tanhu 2nd Road, Canglong Island, Jiangxia District, Wuhan City, Hubei Province Patentee after: CITIC Mobile Communication Technology Co.,Ltd. Address before: 430205 No.1 tanhu 2nd Road, Canglong Island, Jiangxia District, Wuhan City, Hubei Province Patentee before: CITIC Mobile Communication Technology Co., Ltd |
|
| CP01 | Change in the name or title of a patent holder |