CN104303533A - 移动通信系统的安全认证的方法和网络设备 - Google Patents

移动通信系统的安全认证的方法和网络设备 Download PDF

Info

Publication number
CN104303533A
CN104303533A CN201380000423.7A CN201380000423A CN104303533A CN 104303533 A CN104303533 A CN 104303533A CN 201380000423 A CN201380000423 A CN 201380000423A CN 104303533 A CN104303533 A CN 104303533A
Authority
CN
China
Prior art keywords
sgsn
lte
access network
network elements
umts
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380000423.7A
Other languages
English (en)
Other versions
CN104303533B (zh
Inventor
陈璟
靳维生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104303533A publication Critical patent/CN104303533A/zh
Application granted granted Critical
Publication of CN104303533B publication Critical patent/CN104303533B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种移动通信系统的安全认证的方法和网络设备。一种移动通信系统的安全认证的方法,HSS接收SGSN发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该SGSN识别出是LTE UE接入2G或3G网络后发送,该识别是该SGSN接收到由接入网网元发送的UMTS attach request消息后进行;该HSS根据该SGSN的该请求生成该特殊认证向量;该HSS将该特殊认证向量发送给该SGSN,以便该SGSN、该接入网网元和该LTE UE完成安全认证。本发明实施例公开的移动通信系统的安全认证的方法和网络设备能够使LTE UE使用2G/3G网络。

Description

移动通信系统的安全 ^人证的方法和网络设备
技术领域
本发明实施例涉及通信领域, 尤其涉及移动通信系统的安全认证的方法和 网络设备。
背景技术 长期演进( Long Term Evolution ,筒称为 "LTE" )/系统架构演进 (System
Architecture Evolution , 筒称为 "SAE" )网络是标准组织第三代合作伙伴计 划(3rd Generation Partnership Project , 筒称为 "3GPP" )制定的新的移动通 信系统。 这种网络将是现有的包括宽带码分多址 (Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 网络、 时分-同步码分多址 (Time Division-Synchronous Code Division Multiple Access , 筒称为 "TD-SCDMA" ) 网络、 码分多址 2000 (Code Division Multiple Access 2000 , 筒称为 "CDMA2000" )网络在内的 3G网络的下一步演进方向。 目前在某些国家, 已经有商业部署的 LTE/SAE网络正在运行。安全是移动通信系统商业运营必 不可少的特性, 认证是安全特性中的一个重要特性。 通用移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" ) 网络和 LTE/SAE网络制定了认证和密钥协商 (Authentication and Key Agreement , 筒称为 "AKA" )机制来执行 UE和网络之间的双向认证。 UMTS网络的双 向认证机制称为 UMTS AKA, LTE/SAE网络的双向认证机制称为演进分组 系统 ( Evolved Packet System, 筒称为 "EPS" ) AKA。 在某些特殊场景下, 存在着 LTE 用户设备(User Equipment, 筒称为 "UE" ) 通过 LTE接入网 接入 2G/3G核心网的情况。 由于 2G/3G核心网只能从 HSS获得 UMTS AV ,
TS AV进行认证, 因此 发明内容 有鉴于此, 本发明实施例提供了一种移动通信系统的安全认证的方法和网 络设备, 能够使 LTE UE接入 2G/3G网络完成安全认证, 以便使用 2G/3G核心网资 源。
第一方面, 提供了一种移动通信系统的安全认证方法, 包括:
归属用户服务器 HSS接收 GPRS服务支撑节点 SGSN发送的要求特殊认 证向量的请求, 该要求特殊认证向量的请求由该 SGSN识别出是 LTE UE接 入 2G 或 3G 网络后发送, 该识别是该 SGSN 接收到由接入网网元发送的 UMTS附着请求 attach request消息后进行;
该 HSS根据该要求特殊认证向量的请求, 生成特殊认证向量;
该 HSS将该特殊认证向量发送给该 SGSN , 以便该 SGSN、 该接入网网 元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该 UMTS attach request消息是该接入网网 元将附着请求 attach request消息转换所得,该 attach request消息由该 LTE UE 发送。
在第二种可能的实现方式中, 结合第一方面或第一方面的第一种可能的 实现方式, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第三种可能的实现方式中, 结合第一方面或第一方面的第一种至第二 种可能的实现方式, 该特殊认证向量中包含 XRES、 CK、 IK; 该以便该接 入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元 将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认 证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES是否相同, 当该比 较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网元, 该接入网 网元根据该 CK和或 IK生成 KASME ,该接入网网元和该 LTE UE共享该 KASME
在第四种可能的实现方式中, 结合第一方面的第三种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第五种可能的实现方式中, 结合第一方面或第一方面的第一至第四任 一种可能的实现方式, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 获知该 UMTS attach request消息 来自于该接入网网元, 则该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第一方面或第一方面的第一至第五任 一种可能的实现方式,该接入网网元发送指示信息给该 SGSN, 以便该 SGSN 根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第七种可能的实现方式中, 结合第一方面的第六种可能的实现方式, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定比特 bit作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
在第八种可能的实现方式中, 结合第一方面或第一方面的第一至第七任 一种可能的实现方式, 该 HSS接收要求特殊认证向量的请求包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
在第九种可能的实现方式中, 结合第一方面或第一方面的第一至第八任 一种可能的实现方式, 该 HSS根据该要求特殊认证向量的请求, 生成特殊认 证向量包括: 该 HSS为该 LTE UE生成 EPS AV; 该 HSS将该 EPS AV转换 成 UMTS AV格式, 该转换为 UMTS AV格式的 EPS AV为该特殊认证向量。
在第十种可能的实现方式中, 结合第一方面的第九种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十一种可能的实现方式中, 结合第一方面的第三至第十任一种可能 的实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括: 该接入网网 元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME
第二方面, 提供了一种移动通信系统的安全认证方法, 包括:
SGSN接收接入网网元发送 UMTS attach request消息, 该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得; 该 SGSN接收到由该接入网网元发送的该 UMTS attach request消息后, 识别是 LTE UE接入 2G或 3G网络;
该 SGSN向 HSS请求获取特殊认证向量, 以便该 HSS根据该 SGSN的 该请求生成该特殊认证向量;
该 SGSN接收来自于该 HSS的该特殊认证向量后, 发送 UMTS AKA认 证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安 全认证。
在第一种可能的实现方式中, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括:
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
在第二种可能的实现方式中, 结合第二方面或第二方面的第一种可能的 实现方式, 该特殊认证向量包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
在第三种可能的实现方式中, 结第二方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第二方面或第二方面的第一种至第三 种任一可能的实现方式, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第二方面或第二方面的第一种至第四 种可能的实现方式, 该接入网网元发送指示信息给该 SGSN, 该 SGSN根据 该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第二方面或第二方面的第一种至第五 种任一可能的实现方式, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
在第七种可能的实现方式中, 结合第二方面或第二方面的第一种至第六 种任一可能的实现方式, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
在第八种可能的实现方式中, 结合第二方面或第二方面的第一种至第七 种任一可能的实现方式,该以便该 HSS根据该 SGSN的该请求生成该特殊认 证向量包括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第九种可能的实现方式中, 结合第二方面第八种可能的实现方式, 该
HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十种可能的实现方式中, 结合第二方面的第二种至第九种任一可能 的实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
第三方面, 提供了一种移动通信系统的安全认证方法, 包括:
接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
该接入网网元将该 UMTS attach request消息发送给 SGSN,以便该 SGSN 识别是该 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认证向量, 进 而以便该 HSS根据该 SGSN的该请求生成该特殊认证向量;
该接入网网元接^:该 SGSN发送的 UMTS AKA认证 4 战,该 UMTS AKA 认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括:
该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第二种可能的实现方式中,结合第三方面或第三方面的第一种可能的实 现方式, 该特殊认证向量包含 XRES、 CK和 IK;
该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应,该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN, 以便该 SGSN比较该 RES和该 XRES是否相同, 当该比 较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网元;
该接入网网元根据该 CK和或 IK生成 KASME,该接入网网元和该 LTE UE 共早该 KASME °
在第三种可能的实现方式中, 结合第三方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第三方面或第三方面的第一至第三任 一种可能的实现方式, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第三方面或第三方面的第一至第四任 一种可能的实现方式,该接入网网元发送指示信息给该 SGSN, 以便该 SGSN 根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第三方面的第五种可能的实现方式, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
在第七种可能的实现方式中, 结合第三方面或第三方面的第一至第六任 一种可能的实现方式, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
在第八种可能的实现方式中, 结合第三方面或第三方面的第一至第七任 一种可能的实现方式,该 HSS根据该 SGSN的该请求生成该特殊认证向量包 括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第九种可能的实现方式中, 结合第三方面的第八种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十种可能的实现方式中, 结合第三方面的第二至第九任一种可能的 实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
第四方面, 提供了一种 HSS , 包括: 接收模块, 处理模块, 发送模块; 该接收模块用于接收 SGSN发送的要求特殊认证向量的请求, 该要求特 殊认证向量的请求由该 SGSN识别出是 LTE UE接入 2G或 3G网络后发送, 该识别是该 SGSN接收到由接入网网元发送的 UMTS attach request消息后进 行;
该处理模块用于根据该要求特殊认证向量的请求, 生成特殊认证向量; 该发送模块用于将该特殊认证向量发送给该 SGSN , 以便该 SGSN、该接 入网网元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该 UMTS attach request消息是该接入网网 元将 attach request消息转换所得, 该 attach request消息由该 LTE UE发送。
在第二种可能的实现方式中, 结合第四方面或第四方面的第一种可能的 实现方式, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。 在第三种可能的实现方式中, 结合第四方面或第四方面的第一种至第二 种可能的实现方式, 该特殊认证向量中包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
在第四种可能的实现方式中, 第四方面的第三种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
在第五种可能的实现方式中, 结合第四方面或第四方面的第一至第四任 一种可能的实现方式, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 获知该 UMTS attach request消息 来自于该接入网网元, 则该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第四方面或第四方面的第一至第五任 一种可能的实现方式,该接入网网元发送指示信息给该 SGSN, 以便该 SGSN 根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第七种可能的实现方式中, 结合第四方面的第六种可能的实现方式, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为作为该 指示信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。 在第八种可能的实现方式中, 结合第四方面或第四方面的第一至第七任 一种可能的实现方式, 该接收模块用于接收要求特殊认证向量的请求包括: 该 SGSN在发送给该接收模块的认证向量请求消息中增加指示, 请求该 HSS生成该特殊认证向量。
在第九种可能的实现方式中, 结合第四方面或第四方面的第一至第八任 一种可能的实现方式, 该处理模块用于根据该要求特殊认证向量的请求, 生 成特殊认证向量包括:
该处理模块用于为该 LTE UE生成 EPS AV;
该处理模块用于将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS
AV格式的 EPS AV为该特殊认证向量。
在第十种可能的实现方式中, 结合第四方面的第九种可能的实现方式, 该处理模块用于将该 EPS AV转换成 UMTS AV格式包括:
该处理模块用于将该 EPS AV中的 RAND作为该 UMTS AV的 RAND, 该处理模块用于将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该处 理模块用于将该 EPS AV中的 XRES作为该 UMTS AV的 XRES , 该处理模 块用于将该 EPS AV中的 KASME拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十一种可能的实现方式中, 结合第四方面的第三至第十任一种可能 的实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第五方面, 提供了一种 SGSN , 包括: 接收模块; 识别模块; 发送模块; 该接收模块用于接收接入网网元发送的 UMTS attach request消息, 该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消 息转换所得; 该接收模块接收到由该接入网网元发送的该 UMTS attach request消息 后, 该识别模块用于识别是 LTE UE接入 2G或 3 G网络;
该发送模块用于在该识别模块识别出是该 LTE UE接入 2G或 3G网络后, 向 HSS发送获取特殊认证向量请求, 以便该 HSS根据该获取特殊认证向量 请求生成该特殊认证向量;
该接收模块还用于接收来自于该 HSS的该特殊认证向量, 该发送模块还 用于该接收模块接收到该特殊认证向量后发送 UMTS AKA认证挑战给该接 入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括:
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
在第二种可能的实现方式中, 结合第五方面或第五方面的第一种可能的 实现方式, 该 SGSN还包括处理模块;
该特殊认证向量包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块, 该处理模块用于比较该 RES和 该 XRES是否相同, 当该比较结果为相同时, 该发送模块将该 CK和或 IK发 送给该接入网网元, 该接入网网元才艮据该 CK和或 IK生成 KASME , 该 CK和 或 IK由该发送模块发送, 该接入网网元和该 LTE UE共享该 KASME
在第三种可能的实现方式中, 结第五方面的第二种可能的实现方式, 该 处理模块用于比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相 同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第五方面或第五方面的第一种至第三 种任一可能的实现方式, 该 SGSN还包括可存储模块, 该存储模块用于存储 一个列表, 该列表包括与该 SGSN相连的该接入网网元的节点信息;
该识别模块根据该列表中的该节点信息, 确认该 UMTS attach request消 息来自于该接入网网元时,该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第五方面或第五方面的第一种至第四 种可能的实现方式,该接入网网元发送指示信息给该接收模块, 该识别模块 用于根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第五方面或第五方面的第一种至第五 种任一可能的实现方式, 该接入网网元发送指示信息给该接收模块包括: 该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
在第七种可能的实现方式中, 结合第五方面或第五方面的第一种至第六 种任一可能的实现方式,该发送模块用于向该 HSS发送获取特殊认证向量请 求包括:
该处理模块用于在该发送模块发送给该 HSS的认证向量请求消息中增加 指示, 请求该 HSS生成该特殊认证向量。
在第八种可能的实现方式中, 结合第五方面或第五方面的第一种至第七 种任一可能的实现方式,该以便该 HSS根据该获取特殊认证向量请求生成该 特殊认证向量包括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第九种可能的实现方式中, 结合第五方面第八种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十种可能的实现方式中, 结合第五方面的第二种至第九种任一可能 的实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第六方面, 提供了一种接入网网元, 包括: 接收模块, 处理模块, 发送 模块;
该接收模块用于接收来自 LTE UE的 attach request消息; 该处理模块用 于将该 attach request消息转换为 UMTS attach request消息;
该发送模块用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN识别是该 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认证向量, 进而以便该 HSS根据该 SGSN的该请求生成该特殊认证向量;
该接收模块还用于接收该 SGSN发送的 UMTS AKA认证挑战,该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
该处理模块还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战, 该发送模块还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接 入网网元、 该 SGSN和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括:
该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME; 该接收模块用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响 应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第二种可能的实现方式中,结合第六方面或第六方面的第一种可能的实 现方式, 该特殊认证向量包含 XRES、 CK和 IK;
该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括: 该处理模块还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应, 该发送模块还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否 相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网 元;
该处理模块还用于根据该 CK和或 IK生成 KASME,该接入网网元和该 LTE UE共早该 KASME。
在第三种可能的实现方式中, 结合第六方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第六方面或第六方面的第一至第三任 一种可能的实现方式, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第六方面或第六方面的第一至第四任 一种可能的实现方式, 该发送模块用于发送指示信息给该 SGSN, 以便该 SGSN根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第六方面的第五种可能的实现方式, 该处理模块进一步用于: 该处理模块用于在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit作为该指示信息用于指 示出是该 LTE UE接入 2G或 3G网络;
或该处理模块用于利用现有消息中已有信元中的部分保留字段作为该指 示信息, 该部分保留字段作为该指示信息用于指示出是该 LTE UE接入 2G 或 3G网络。
在第七种可能的实现方式中, 结合第六方面或第六方面的第一至第六任 一种可能的实现方式, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
在第八种可能的实现方式中, 结合第六方面或第六方面的第一至第七任 一种可能的实现方式,该 HSS根据该 SGSN的该请求生成该特殊认证向量包 括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第九种可能的实现方式中, 结合第六方面的第八种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第十种可能的实现方式中, 结合第六方面的第二至第九任一种可能的 实现方式, 该处理模块进一步用于按照生成规则 KASME=CKIIIK , 根据该 CK 和或 IK生成该 KASME
通过上述方案, SGSN识别是 LTE UE接入 2G/3G网络, HSS生成特殊 认证向量, 通过 SGSN、 接入网网元, 使 LTE UE接入 2G/3G网络完成安全 认证, 以便 LTE UE使用 2G/3G核心网资源。
附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对本发明实施例中所 需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明 的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是根据本发明实施例的移动通信系统的认证方法的示意性流程图; 图 2 是根据本发明另一实施例的移动通信系统的认证方法的示意图流程 图;
图 3 是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图;
图 4 是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图;
图 5是根据本发明实施例的归属用户服务器的示意性框图;
图 6是根据本发明实施例的 GPRS服务支撑节点的示意性框图;
图 7是根据本发明实施例的接入网网元的示意性框图;
图 8是根据本发明另一实施例的归属用户服务器的示意性框图;
图 9是根据本发明另一实施例的 GPRS服务支撑节点的示意性框图; 图 10是根据本发明另一实施例的接入网网元的示意性框图。 具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例是本发明的一部分实施例, 而不是全 部实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创造性劳 动的前提下所获得的所有其他实施例, 都应属于本发明保护的范围。 应理解, 本发明实施例的技术方案可以应用于各种 2G或 3G通信系统, 例 如: 全球移动通讯( Global System of Mobile communication, 筒称为 "GSM" ) 系统、 码分多址(Code Division Multiple Access , 筒称为 "CDMA" ) 系统、 宽 带码分多址( Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 系 统、 通用分组无线业务(General Packet Radio Service, 筒称为 "GPRS" )、 通用 移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" )、 全球互联微波接入 ( Worldwide Interoperability for Microwave Access , 筒称为 "WiMAX" )通信系统等。
本发明实施例中的接入网网元, 是一种增强的接入网网元, 用于支持 LTE UE接入 2G/3G核心网。在本发明实施例中,接入网网元可具备如下功能, 包括: LTE eNB的功能, LTE UE可以不需要进行修改通过该接入网网元接入 2G/3G核 心网, 而且使 LTE UE认为其正在接入的是 LTE网络, 而不是 2G/3G核心网; 本发明实施例中的接入网网元还可以实现部分移动性管理实体 ( Mobility Management Entity , 筒称为 "ΜΜΕ" ) 的功能, 如对非接入层 ( Non- Access Stratum, 筒称为 "NAS" )信令的安全保护功能。
图 1示出了根据本发明实施例的移动通信系统的安全认证的方法 100的示 意性流程图。 如图 1所示, 该方法 100包括:
S110 , HSS接收 SGSN发送的要求特殊认证向量的请求, 该要求特殊认 证向量的请求由该 SGSN识别出是 LTE UE接入 2G或 3G网络后发送,该识 别是该 SGSN接收到由接入网网元发送的 UMTS attach request消息后进行; S120 , 该 HSS根据该 SGSN的该请求生成该特殊认证向量;
S130 , 该 HSS将该特殊认证向量发送给该 SGSN, 以便该 SGSN、 该接 入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G网络, 在 SGSN识 别出是 LTE UE接入 2G/3G核心网后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证接入 2G/3G网络, 以便 LTE UE可以使用 2G/3G核心网资源。
可选地, 该 UMTS attach request是该接入网网元将来自 LTEUE的 attach request消息转换所得, 该 attach request消息由该 LTE UE发送。
可选地, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 SGSN识别是 LTE UE接入 2G或 3 G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 获知该 UMTS attach request消息 来自于该接入网网元, 则该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 以便 SGSN根据该指 示信息识别出是该 LTE UE接入 2G或 3G网络。 可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该 HSS接收要求特殊认证向量的请求包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
可选地, 该 HSS根据该要求特殊认证向量的请求, 生成特殊认证向量包 括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例的一个实施场景中,可通过该接入网网元将 LTE UE所发送的 消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入 网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向 量可帮助 LTE UE完成验证,由接入网网元生成 KASME并实现共享,完成 LTE UE 和网络之间的安全认证。本发明实施例方案不需要对 LTE UE做修改,使得 LTE UE可以通过本实施例中的接入网网元完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 2示出了根据本发明实施例的移动通信系统的安全认证的方法 200的示 意性流程图。 图 2及其说明所揭示的方法, 可基于本发明实施例图 1和基于本 发明实施例图 1所揭示的方法。 如图 2所示, 该方法 200包括:
S210 , SGSN接收接入网网元发送 UMTS attach request消息, 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转换所得;
S220 , 该 SGSN接收到由该接入网网元发送的该 UMTS attach request消 息后, 识别是 LTE UE接入 2G或 3G网络;
S230,该 SGSN向 HSS请求获取特殊认证向量,以便该 HSS根据该 SGSN 的该请求生成该特殊认证向量;
S240,该 SGSN接收来自于该 HSS的该特殊认证向量后,发送 UMTS AKA 认证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成 安全认证。
在本发明实施例中, 通过 SGSN识别出 LTE UE接入 2G或 3G网络的场景 后, SGSN向 HSS请求获取特殊认证向量, HSS根据 SGSN的该请求生成特 殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全认证, 实现不需要 对 LTE UE进行修改的条件下使 LTE UE完成安全认证接入使用 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。 可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 SGSN识别是 LTE UE接入 2G或 3 G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 该 SGSN根据该指示 信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。 可选地,该以便该 HSS根据该 SGSN的该请求生成该特殊认证向量包括: 该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G核心网, 以便 LTE UE使用 2G或 3G核心网资源。
图 3示出了根据本发明实施例的移动通信系统的安全认证的方法 300的示 意性流程图。 图 3及其说明所揭示的方法, 可基于本发明实施例图 1至图 2以 及基于本发明实施例图 1至图 2所揭示的方法。 如图 3所示, 该方法 300包括: S310 , 接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
S320 , 该接入网网元将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN识别是该 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认证 向量, 进而以便该 HSS根据该 SGSN的该请求生成该特殊认证向量; S330 ,该接入网网元接收该 SGSN发送的 UMTS AKA认证挑战,该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
S340 ,该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给该 LTE UE , 以便该接入网网元、 该 SGSN和该 LTE UE完成安 全认证。
在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息, 由 SGSN识别出为 LTE UE接入 2G或 3G网络的场 景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完 成安全认证, 使得 LTE UE完成安全认证接入 2G或 3G网络。
可选地, 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应,该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否相同, 当该比 较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网元;
该接入网网元根据该 CK和或 IK生成 KASME ,该接入网网元和该 LTE UE 共早该 KASME °
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 SGSN识别是 LTE UE接入 2G或 3 G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 以便 SGSN根据该指示 信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
可选地, 该 HSS根据该 SGSN的该请求生成该特殊认证向量包括: 该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。 本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证使 LTE UE接入 2G或 3G网络。 本发明实施例方案不需要对 LTE UE做 修改, 使得 LTE UE可以通过安全认证接入 2G或 3G核心网, 以便 LTE UE可 以使用现有 2G或 3G核心网资源。
图 4示出了根据本发明实施例的移动通信系统的安全认证的方法 400的示 意性流程图。 本发明实施例图 1至图 3和基于本发明实施例图 1至图 3所揭示 图 3和基于本发明实施例图 1至图 3所揭示的方法可参考图 4及其说明所揭示 的方法。 如图 4所示, 该方法 400包括:
可选地, LTE UE通过接入网网元接入到 2G/3G核心网, LTE UE和接入网 网元之间建立 RRC连接。
LTE UE发送 attach request消息给接入网网元, 接入网网元将从 LTE UE处 收到的该 attach request消息转换为 UMTS系统中 2G/3G核心网 SGSN可识别的 UMTS attach request消息,接入网网元将转换后的 UMTS attach request消息发送 给 SGSN。 通过该接入网网元对 LTE UE所发送的送 attach request消息的转换, 使 2G/3G核心网可以识别该消息。
SGSN识别是 LTE UE接入 2G/3G核心网。
可选地, SGSN识别是 LTE UE接入 2G/3G核心网包括:
可选地, 在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接 入网网元的节点信息;
可选地,该 SGSN根据该列表中的该节点信息,确认该 UMTS attach request 消息来自于该接入网网元时,该 SGSN识别出是该 LTE UE接入 2G或 3G网 络; 进一步的, 可以在 SGSN上配置一个列表, 该列表中说明与该 SGSN相连 的节点为该接入网网元的节点信息。 如果该 UMTS attach request消息来自于列 表中的接入网网元,则 SGSN认为是 LTE UE接入 2G/3G核心网;当 UMTS attach request消息并非来自于列表中的接入网网元时, 则 SGSN认为不是 LTE UE接 入 2G/3G核心网的场景, SGSN按照 2G/3G的处理流程进行操作。
可选地,该 SGSN也可以对该列表中的接入网网元和该 UMTS attach request 进行匹配, 匹配成功则 SSGSN认为是 LTE UE接入 2G/3G核心网; 匹配不成 功则 SGSN认为不是 LTE UE接入 2G/3G核心网, SGSN按照 2G/3G的处理流 程进行操作。
可选地, SGSN识别是 LTE UE接入 2G/3G核心网还可以包括:
接入网网元给 SGSN发送指示信息,该 SGSN根据该指示信息识别出是该 LTE UE接入 2G或 3G网络此; 可选地,该接入网网元可以在该 UMTS attach request消息中增加信元或增加特定 bit作为该指示信息, 该增加的信元或该 增加的特定 bit作为该指示信息用于指示出是该 LTE UE接入 2G或 3G网络; 或接入网网元可以利用现有消息中已有信元中的部分保留字段作为该指示信 息, 该部分保留字段作为该指示信息用于指示出是该 LTE UE接入 2G或 3G 网络。
该 SGSN识别出是 LTE UE接入 2G/3G核心网后, 向 HSS请求特殊认证向 量。 可选地, SGSN可以在发送给 HSS的认证向量请求消息中增加指示, 请求 HSS生成该特殊认证向量。
可选地, SGSN可以在该认真向量请求信息中增加信元, 该信元用于指示 HSS生成该特殊认证向量。
该 HSS根据该 SGSN发送的认证向量请求消息中的指示识别出此场景为 LTE UE接入 2G/3G网络的场景。 该 HSS生成该特殊认证向量, 包括:
可选地, 该 HSS为该 LTE UE生成 EPS AV;
进一步的, HSS将认证管理域 AMF中第 0个 bit设为 1 以标示此认证向量为 EPS
AV;
HSS生成 RAND、 AUTN、 CK、 IK和 XRES;
HSS根据 CK和 IK推演得到 KASME , 推演规则可以为 KASME =KDF ( CK, IK ) , 其中, KDF为密钥推演函数;
EPS AV由 KASME、 AUTN , XRES , RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式, 以使得 EPS AV可 以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的 方法包括: 将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES,将 EPS AV中的 KASME( 256bits )拆分为两部分,分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。 可选地, 也可对 KASME ( 256bits )不平均 拆分,该 CK和该 IK所占的比例可以不相同。 该 EPS AV转换成 UMTS AV格 式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换成 UMTS AV格式后所得的向量为该特殊认证向量。
该 HSS将该特殊认证向量传输给该 SGSN;
该 SGSN根据从该 HSS处接收到的特殊认证向量执行 UMTS AKA认证流 程。 SGSN发送 UMTS AKA认证挑战给接入网网元, 该 UMTS AKA认证挑战 中包含 RAND和 AUTNo
接入网网元将接收到的 UMTS AKA认证挑战转换成 LTE AKA认证挑战。
UMTS AKA认证挑战中的 RAND和 AUTN被放在 LTE AKA认证挑战中发送给 LTE UE。
LTE UE验证 AUTN。 进一步的, 由于 AUTN中 AMF的第 0个比特的值为 1 , 因此 LTE UE会通过对 AMF的检查。 LTE UE生成 RES和密钥 KASME
LTE UE发送 LTE AKA认证响应给接入网网元,该 LTE AKA认证响应中包 含 RES。 接入网网元将 LTE AKA认证响应转换为 UMTS AKA认证响应, 将 LTE AKA认证响应中的该 RES放在 UMTS AKA认证响应中发送给 SGSN。
SGSN比较该 RES和该 XRES是否相同。
可选地, 如果比较结果为该 RES和该 XRES不相同, 则中止进行安全认 证;
可选地, 如果比较结果为该 RES和该 XRES相同, 则 SGSN发起安全模 式过程, 在安全模式过程中, CK和或 IK被发送给接入网网元。
可选地, 接入网网元根据 CK和或 IK生成 KASME。 可选地, 接入网网元根 据 CK和或 IK生成 KASME的生成规则为 KASME=CKIIIK, "II"表示串联, 即将 IK 加在 CK后面。
接入网网元和 LTE UE共享密钥 KASME
可选地,接入网网元和 LTE UE之间执行 LTE NAS SMC流程和 LTE AS SMC 流程建立 LTE空口安全。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G核心网, 以便 LTE UE使用 2G或 3G核心网资源。
图 5示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务 器 500的示意性框图。 图 5及其说明所揭示的装置, 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法。 如图 5所示, 该归属 用户服务器 HSS500包括: 接收模块 510 , 处理模块 520 , 发送模块 530; 该接收模块 510用于接收 SGSN发送的要求特殊认证向量的请求, 该要 求特殊认证向量的请求由该 SGSN识别出是 LTE UE接入 2G或 3G网络后发 送, 该识别是该 SGSN接收到由接入网网元发送的 UMTS attach request消息 后进行;
该处理模块 520用于根据该 SGSN的该请求生成该特殊认证向量; 该发送模块 530用于将该特殊认证向量发送给该 SGSN, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G核心网, 在 SGSN 识别出是 LTE UE接入 2G/3G网络后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证, 使 LTE UE可以完 成安全认证接入 2G或 3G网络。
可选地, 该 UMTS attach request是该接入网网元将 attach request消息转 换所得, 该 attach request消息由该 LTE UE发送。
可选地, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包 括:
该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选的, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 获知该 UMTS attach request消息 来自于该接入网网元, 则该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 以便 SGSN根据该指示 信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该接收模块 510用于接收要求特殊认证向量的请求包括: 该 SGSN在发送给该接收模块 510的认证向量请求消息中增加指示, 请 求该 HSS生成该特殊认证向量。
可选地, 该处理模块 520用于根据该要求特殊认证向量的请求, 生成特 殊认证向量包括:
该处理模块 520用于为该 LTE UE生成 EPS AV;
进一步的,
该处理模块 520用于将认证管理域 AMF中第 0个 bit设为 1以标示此认 证向量为 EPS AV;
该处理模块 520用于生成 RAND、 AUTN、 CK、 IK和 XRES;
该处理模块 520用于根据 CK和 IK推演得到 KASME , 推演规则可以 为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数; EPS AV由 KASME、 AUTN、 XRES、 RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地,该处理模块 520用于将该 EPS AV转换成 UMTS AV格式, 以使 AV格式的方法包括: 将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV 的 RAND、 AUTN和 XRES, 将 EPS AV中的 KASME ( 256bits )拆分为两部分, 分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换 成 UMTS AV格式后所得的向量为该特殊认证向量。
可选地, 该接入网网元根据该 CK和或 IK生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 6示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支撑 节点 600的示意性框图。 图 6及其说明所揭示的装置, 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发明实 施例图 5以及图 5所揭示的装置。如图 6所示,该 GPRS服务支撑节点 SGSN600 包括: 接收模块 610; 识别模块 620; 发送模块 630;
该接收模块 610用于接收接入网网元发送的 UMTS attach request消息, 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息 转换所得; 该接收模块 610接收到由该接入网网元发送的该 UMTS attach request消 息后, 该识别模块 620用于识别是 LTE UE接入 2G或 3G网络;
该发送模块 630用于在该识别模块 620识别出是该 LTE UE接入 2G或 3G网络后, 向 HSS发送获取特殊认证向量请求, 以便该 HSS根据该获取特 殊认证向量请求生成该特殊认证向量;
该接收模块 610还用于接收来自于该 HSS的该特殊认证向量, 该发送模 块 630还用于该接收模块 610接收到该特殊认证向量后发送 UMTS AKA认 证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安 全认证。
在本发明实施例中, 通过 SGSN识别出 LTE UE接入 2G或 3G网络的场景 后, SGSN向 HSS请求获取特殊认证向量, HSS根据 SGSN的该请求生成特 殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全认证, 实现不需要 对 LTEUE进行修改的条件下使 LTE UE完成安全认证接入 2G或 3G网络。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
可选地, 该 SGSN还包括处理模块 640;
可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块 610 ,该处理模块 640用于比较该 RES和该 XRES是否相同, 当该比较结果为相同时,该发送模块 630将该 CK 和或 IK发送给该接入网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该 CK和或 IK由该发送模块 630发送, 该接入网网元和该 LTE UE共享该
KASME。
可选地, 该处理模块 640用于比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
可选地, 该 SGSN还包括可存储模块 650 , 该存储模块 650用于存储一 个列表, 该列表包括与该 SGSN相连的该接入网网元的节点信息;
该识别模块 620根据该列表中的该节点信息,确认该 UMTS attach request 消息来自于该接入网网元时,该 SGSN识别出是该 LTE UE接入 2G或 3G网 络。
可选地, 该接入网网元发送指示信息给该 SGSN , 该识别模块 620用于 根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地,该发送模块 630用于向该 HSS发送获取特殊认证向量请求包括: 该处理模块 640用于在该发送模块 630发送给该 HSS的认证向量请求消 息中增加指示, 请求该 HSS生成该特殊认证向量。
可选地, 该以便该 HSS根据该获取特殊认证向量请求生成该特殊认证向 量包括:
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。 可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括: 该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 7示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 700 的示意性框图。 图 7及其说明所揭示的装置, 可基于本发明实施例图 1至图 4 以及基于本发明实施例图 1至图 4所揭示的方法,也可以基于本发明实施例图 5 至图 6以及图 5至图 6所揭示的装置。 如图 7所示, 该接入网网元 700包括: 接收模块 710 , 处理模块 720 , 发送模块 730;
该接收模块 710用于接收来自 LTE UE的 attach request消息; 该处理模 块 720用于将该 attach request消息转换为 UMTS attach request消息;
该发送模块 730用于将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN识别是该 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认证 向量, 进而以便该 HSS根据该 SGSN的该请求生成该特殊认证向量;
该接收模块 710还用于接收该 SGSN发送的 UMTS AKA认证挑战, 该
UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送; 该处理模块 720还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证 挑战, 该发送模块 730还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以 便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。
在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息, 由 SGSN识别出为 LTE UE接入 2G或 3G网络的场 景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完 成安全认证接入 2G或 3G网络。
可选地, 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接收模块 710用于接收该 LTE UE发送的包含该 RES的 LTE AKA认 证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该处理模块 720还用于将包含该 RES的 LTE AKA认证响应转换为包含 该 RES的 UMTS AKA认证响应,该发送模块 730还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元;
该处理模块 720还用于才艮据该 CK和或 IK生成 KASME, 该接入网网元和 该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 SGSN识别是 LTE UE接入 2G或 3 G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息; 该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该发送模块 730用于发送指示信息给该 SGSN, 以便该 SGSN 根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该处理模块 720进一步用于:
该处理模块 720用于在该 UMTS attach request消息中增加信元或增加特 定 bit作为该指示信息, 该增加的信元或该增加的特定 bit作为该指示信息用 于指示出是该 LTE UE接入 2G或 3G网络;
或该处理模块 720用于利用现有消息中已有信元中的部分保留字段作为 该指示信息, 该部分保留字段作为该指示信息用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
可选地, 该 HSS根据该 SGSN的该请求生成该特殊认证向量包括: 该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该处理模块 720进一步用于按照生成规则 KASME=CKIIIK , 根 据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 8示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务 器 800的示意性框图。 图 5及其说明所揭示的装置, 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 以及基于本发明实施 例图 5至图 7以及基于本发明实施例图 5至图 7所揭示的装置。 如图 8所示, 该归属用户服务器 HSS800包括: 接收器 810 , 处理器 820 , 发送器 830;
该接收器 810用于接收 SGSN发送的要求特殊认证向量的请求, 该要求 特殊认证向量的请求由该 SGSN识别出是 LTE UE接入 2G或 3G网络后发送, 该识别是该 SGSN接收到由接入网网元发送的 UMTS attach request消息后进 行;
该处理器 820用于根据该 SGSN的该请求生成该特殊认证向量; 该发送器 830用于将该特殊认证向量发送给该 SGSN, 以便该 SGSN、该 接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G核心网, 在 SGSN 识别出是 LTE UE接入 2G/3G网络后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、该接入网网元和该 LTE UE完成安全认证接入 2G或 3G网络。
可选地, 该 UMTS attach request是该接入网网元将 attach request消息转 换所得, 该 attach request消息由该 LTE UE发送。
可选地, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包 括:
该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选的, 该 SGSN识别是 LTE UE接入 2G或 3G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 获知该 UMTS attach request消息 来自于该接入网网元, 则该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 以便 SGSN根据该指示 信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络;
或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。 可选地, 该接收器 810用于接收要求特殊认证向量的请求包括: 该 SGSN在发送给该接收器 810的认证向量请求消息中增加指示, 请求 该 HSS生成该特殊认证向量。
可选地, 该处理器 820用于根据该要求特殊认证向量的请求, 生成特殊 认证向量包括:
该处理器 820用于为该 LTE UE生成 EPS AV;
进一步的,
该处理器 820用于将认证管理域 AMF中第 0个 bit设为 1以标示此认证 向量为 EPS AV;
该处理器 820用于生成 RAND、 AUTN , CK、 IK和 XRES;
该处理器 820用于根据 CK和 IK推演得到 KASME , 推演规则可以为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数;
EPS AV由 KASME、 AUTN , XRES , RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地, 该处理器 820用于将该 EPS AV转换成 UMTS AV格式, 以使得 格式的方法包括: 将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND, AUTN和 XRES, 将 EPS AV中的 KASME ( 256bits )拆分为两部分, 分 别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。 该 EPS AV转换成 UMTS AV格式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换 成 UMTS AV格式后所得的向量为该特殊认证向量。
可选地, 该接入网网元才艮据该 CK和或 IK生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于
2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 9示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支 撑节点 900的示意性框图。 图 9及其说明所揭示的装置, 可基于本发明实施例 图 1至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发 明实施例图 5至图 8以及图 5至图 8所揭示的装置。 如图 9所示, 该 GPRS月良 务支撑节点 SGSN900包括: 接收器 910; 第一处理器 920; 发送器 930;
该接收器 910用于接收接入网网元发送的 UMTS attach request消息, 该
UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转 换所得;
该接收器 910接收到由该接入网网元发送的该 UMTS attach request消息 后, 该第一处理器 920用于识别是 LTE UE接入 2G或 3G网络;
该发送器 930用于在该第一处理器 920识别出是该 LTE UE接入 2G或
3G网络后, 向 HSS发送获取特殊认证向量请求, 以便该 HSS根据该获取特 殊认证向量请求生成该特殊认证向量;
该接收器 910还用于接收来自于该 HSS的该特殊认证向量,该发送器 930 还用于该接收器 910接收到该特殊认证向量后发送 UMTS AKA认证挑战给 该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 通过 SGSN识别出 LTE UE接入 2G或 3G网络的场景 后, SGSN向 HSS请求获取特殊认证向量, HSS根据 SGSN的该请求生成特 殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全认证, 实现不需要 对 LTEUE进行修改的条件下使 LTE UE完成安全认证接入 2G或 3G网络。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
可选地, 该 SGSN还包括第二处理器 940;
可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收器 910 ,该第二处理器 940用于比较该 RES和该 XRES是否相同, 当该比较结果为相同时, 该发送器 930将该 CK 和或 IK发送给该接入网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该 CK和或 IK由该发送器 930发送,该接入网网元和该 LTE UE共享该 KASME
可选地,该第二处理器 940用于比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
可选地, 该 SGSN还包括可存储器 950 , 该存储器 950用于存储一个列 表, 该列表包括与该 SGSN相连的该接入网网元的节点信息;
该第一处理器 920根据该列表中的该节点信息, 确认该 UMTS attach request消息来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G 或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN , 该第一处理器 920用 于根据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该接入网网元发送指示信息给该 SGSN包括:
该接入网网元在该 UMTS attach request消息中增加信元或增加特定 bit 作为该指示信息, 该增加的信元或该增加的特定 bit用于指示出是该 LTE UE 接入 2G或 3G网络; 或该接入网网元利用现有消息中已有信元中的部分保留字段作为该指示 信息, 该部分保留字段用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该发送器 930用于向该 HSS发送获取特殊认证向量请求包括: 该第二处理器 940用于在该发送器 930发送给该 HSS的认证向量请求消 息中增加指示, 请求该 HSS生成该特殊认证向量。
可选地, 该以便该 HSS根据该获取特殊认证向量请求生成该特殊认证向 量包括:
该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 10 示出了根据本发明实施例的移动通信系统的安全认证的接入网网元
1000的示意性框图。 图 10及其说明所揭示的装置, 可基于本发明实施例图 1至 图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发明实施 例图 5至图 9以及图 5至图 9所揭示的装置。 如图 10所示, 该接入网网元 1000 包括: 接收器 1010 , 处理器 1020 , 发送器 1030;
该接收器 1010用于接收来自 LTE UE的 attach request消息; 该处理器 1020用于将该 attach request消息转换为 UMTS attach request消息;
该发送器 1030用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN识别是该 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认证向量, 进而以便该 HSS根据该 SGSN的该请求生成该特殊认证向量;
该接收器 1010还用于接收该 SGSN发送的 UMTS AKA认证挑战, 该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送; 该处理器 1020还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证 挑战, 该发送器 1030还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以 便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。
在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息, 由 SGSN识别出为 LTE UE接入 2G或 3G网络的场 景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完 成安全认证接入 2G或 3G网络。
可选地, 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接收器 1010用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证 响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该处理器 1020还用于将包含该 RES的 LTE AKA认证响应转换为包含该
RES的 UMTS AKA认证响应, 该发送器 1030还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元;
该处理器 1020还用于才艮据该 CK和或 IK生成 KASME, 该接入网网元和 该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 SGSN识别是 LTE UE接入 2G或 3 G网络包括:
在该 SGSN配置有一个列表, 该列表包括与该 SGSN相连的该接入网网 元的节点信息;
该 SGSN根据该列表中的该节点信息, 确认该 UMTS attach request消息 来自于该接入网网元时, 该 SGSN识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该发送器 1030用于发送指示信息给该 SGSN, 以便该 SGSN根 据该指示信息识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该处理器 1020进一步用于:
该处理器 1020用于在该 UMTS attach request消息中增加信元或增加特定 bit作为该指示信息, 该增加的信元或该增加的特定 bit作为该指示信息用于 指示出是该 LTE UE接入 2G或 3G网络;
或该处理器 1020用于利用现有消息中已有信元中的部分保留字段作为 该指示信息, 该部分保留字段作为该指示信息用于指示出是该 LTE UE接入 2G或 3G网络。
可选地, 该 SGSN向 HSS请求获取特殊认证向量包括:
该 SGSN在发送给该 HSS的认证向量请求消息中增加指示,请求该 HSS 生成该特殊认证向量。
可选地, 该 HSS根据该 SGSN的该请求生成该特殊认证向量包括: 该 HSS为该 LTE UE生成 EPS AV; 该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该处理器 1020进一步用于按照生成规则 KASME=CKIIIK , 根据 该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于
2G或 3G网络的消息, 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后, HSS生成特殊的认证向量, 该特殊认证向量可帮助 LTE UE 完成验证, 由接入网网元生成 KASME并实现共享, 完成 LTE UE和网络之间的安 全认证。 本发明实施例方案不需要对 LTE UE做修改, 使得 LTE UE可以完成安 全认证接入 2G或 3G核心网, 以便 LTE UE使用 2G或 3G核心网资源。 通过以上的实施方式的描述, 所属领域的技术人员可以清楚地了解到本 发明可以用硬件实现, 或固件实现, 或它们的组合方式来实现。 当使用软件 实现时, 可以将上述功能存储在计算机可读介质中或作为计算机可读介质上 的一个或多个指令或代码进行传输。 计算机可读介质包括计算机存储介质和 通信介质, 其中通信介质包括便于从一个地方向另一个地方传送计算机程序 的任何介质。 存储介质可以是计算机能够存取的任何可用介质。 以此为例但 不限于: 计算机可读介质可以包括 RAM、 ROM, EEPROM、 CD-ROM或其 他光盘存储、 磁盘存储介质或者其他磁存储设备、 或者能够用于携带或存储 具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他 介质。 此外。 任何连接可以适当的成为计算机可读介质。 例如, 如果软件是 使用同轴电缆、 光纤光缆、 双绞线、 数字用户线 (DSL ) 或者诸如红外线、 无线电和微波之类的无线技术从网站、 服务器或者其他远程源传输的, 那么 同轴电缆、 光纤光缆、 双绞线、 DSL或者诸如红外线、 无线和微波之类的无 线技术包括在所属介质的定影中。 如本发明所使用的, 盘( Disk )和碟( disc ) 包括压缩光碟(CD ) 、 激光碟、 光碟、 数字通用光碟(DVD ) 、 软盘和蓝光 光碟, 其中盘通常磁性的复制数据, 而碟则用激光来光学的复制数据。 上面 的组合也应当包括在计算机可读介质的保护范围之内。 总之, 以上所述仅为本发明技术方案的较佳实施例而已, 并非用于限定 本发明的保护范围。 凡在本发明的精神和原则之内, 所作的任何修改、 等同 替换、 改进等, 均应包含在本发明的保护范围之内。

Claims (68)

  1. 权 利 要 求
    1. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    归属用户服务器 HSS接收 GPRS服务支撑节点 SGSN发送的要求特殊 认证向量的请求,所述要求特殊认证向量的请求由所述 SGSN识别出是 LTE UE接入 2G或 3G网络后发送,所述识别是所述 SGSN接收到由接入网网元 发送的 UMTS附着请求 attach request消息后进行;
    所述 HSS根据所述要求特殊认证向量的请求, 生成特殊认证向量; 所述 HSS将所述特殊认证向量发送给所述 SGSN, 以便所述 SGSN、 所 述接入网网元和所述 LTE UE完成安全认证。
  2. 2. 根据权利要求 1所述的方法, 其特征在于, 所述 UMTS attach request 消息是所述接入网网元将附着请求 attach request消息转换所得, 所述 attach request消息由所述 LTE UE发送给所述接入网网元。
  3. 3. 根据权利要求 1或 2所述的方法,其特征在于,所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括: 网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE;
    所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述 接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成 安全认证。
  4. 4. 根据权利要求 1至 3任一项所述的方法, 其特征在于,
    所述特殊认证向量中包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同,
    当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述 接入网网元,所述接入网网元根据所述 CK和或 IK生成 KASME,所述接入网 网元和所述 LTE UE共享所述 KASME
  5. 5. 根据权利要求 4所述的方法,其特征在于,所述 SGSN比较所述 RES 和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全 认证。
  6. 6. 根据权利要求 1至 5任一项所述的方法, 其特征在于, 所述 SGSN 识别是 LTE UE接入 2G或 3G网络包括:
    在所述 SGSN配置有一个列表, 所述列表包括与所述 SGSN相连的所述 接入网网元的节点信息;
    所述 SGSN根据所述列表中的所述节点信息, 获知所述 UMTS attach request消息来自于所述接入网网元,则所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  7. 7. 根据权利要求 1至 5任一项所述的方法, 其特征在于, 所述接入网网 元发送指示信息给所述 SGSN, 以便该 SGSN根据所述指示信息识别出是所 述 LTE UE接入 2G或 3G网络。
  8. 8. 根据权利要求 7所述的方法, 其特征在于, 所述接入网网元发送指示 信息给所述 SGSN包括:
    所述接入网网元在所述 UMTS attach request消息中增加信元或增加特定 比特作为所述指示信息,所述增加的信元或所述增加的特定比特用于指示出 是所述 LTE UE接入 2G或 3G网络;
    或所述接入网网元利用现有消息中已有信元中的部分保留字段作为所 述指示信息, 所述部分保留字段用于指示出是所述 LTE UE接入 2G或 3G 网络。
  9. 9. 根据权利要求 1至 8任一项所述的方法, 其特征在于, 所述 HSS接 收要求特殊认证向量的请求包括:
    所述 SGSN在发送给所述 HSS的认证向量请求消息中增加指示, 请求 所述 HSS生成所述特殊认证向量。
  10. 10. 根据权利要求 1至 9任一项所述的方法, 其特征在于, 所述 HSS根 据所述要求特殊认证向量的请求, 生成特殊认证向量包括:
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  11. 11. 根据权利要求 10所述的方法,其特征在于,所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  12. 12. 根据权利要求 4至 11任一项所述的方法, 其特征在于, 所述接入网 网元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME
  13. 13. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    SGSN接收接入网网元发送 UMTS attach request消息,所述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所 付;
    所述 SGSN接收到由所述接入网网元发送的所述 UMTS attach request 消息后, 识别是 LTE UE接入 2G或 3G网络; 所述 SGSN向 HSS请求获取特殊认证向量, 以便所述 HSS根据所述 SGSN的所述请求生成所述特殊认证向量;
    所述 SGSN接收来自于所述 HSS的所述特殊认证向量后, 发送 UMTS AKA认证挑战给所述接入网网元, 以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。
  14. 14. 根据权利要求 13所述的方法, 其特征在于, 所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括:
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给所述 LTE UE;
    所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥
    KASME后, 所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述 接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成 安全认证。
  15. 15. 根据权利要求 13或 14所述的方法, 其特征在于,
    所述特殊认证向量包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同,
    当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述 接入网网元,所述接入网网元根据所述 CK和或 IK生成 KASME ,所述接入网 网元和所述 LTE UE共享所述 KASME
  16. 16. 根据权利要求 15所述的方法, 其特征在于, 所述 SGSN比较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  17. 17. 根据权利要求 13至 16任一项所述的方法,其特征在于,所述 SGSN 识别是 LTE UE接入 2G或 3G网络包括:
    在所述 SGSN配置有一个列表, 所述列表包括与所述 SGSN相连的所述 接入网网元的节点信息;
    所述 SGSN根据所述列表中的所述节点信息, 确认所述 UMTS attach request消息来自于所述接入网网元时,所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  18. 18. 根据权利要求 13至 16任一项所述的方法, 其特征在于, 所述接入 网网元发送指示信息给所述 SGSN,所述 SGSN根据所述指示信息识别出是 所述 LTE UE接入 2G或 3G网络。
  19. 19. 根据权利要求 18所述的方法, 其特征在于, 所述接入网网元发送指 示信息给所述 SGSN包括:
    所述接入网网元在所述 UMTS attach request消息中增加信元或增加特定 比特作为所述指示信息,所述增加的信元或所述增加的特定比特用于指示出 是所述 LTE UE接入 2G或 3G网络;
    或所述接入网网元利用现有消息中已有信元中的部分保留字段作为所 述指示信息, 所述部分保留字段用于指示出是所述 LTE UE接入 2G或 3G 网络。
  20. 20. 根据权利要求 13至 19任一项所述的方法,其特征在于,所述 SGSN 向 HSS请求获取特殊认证向量包括:
    所述 SGSN在发送给所述 HSS的认证向量请求消息中增加指示, 请求 所述 HSS生成所述特殊认证向量。
  21. 21. 根据权利要求 13至 20任一项所述的方法, 其特征在于, 所述以便 所述 HSS根据所述 SGSN的所述请求生成所述特殊认证向量包括:
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  22. 22. 根据权利要求 21所述的方法,其特征在于,所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  23. 23. 根据权利要求 15至 22任一项所述的方法, 其特征在于, 所述接入 网网元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  24. 24. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
    所述接入网网元将所述 UMTS attach request消息发送给 SGSN, 以便所 述 SGSN识别是所述 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊认 证向量, 进而以便所述 HSS根据所述 SGSN的所述请求生成所述特殊认证 向量;
    所述接入网网元接收所述 SGSN发送的 UMTS AKA认证挑战, 所述
    UMTS AKA认证 4 战为所述 SGSN收到所述 HSS发送的所述特殊认证向量 后发送给所述接入网网元;
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给所述 LTE UE,以便所述接入网网元、所述 SGSN和所述 LTE UE 完成安全认证。
  25. 25. 根据权利要求 24所述的方法, 其特征在于, 所述以便所述接入网网 元、 所述 SGSN和所述 LTE UE完成安全认证包括:
    所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 KASME; 所述接入网网元接收所述 LTE UE发送的包含所述 RES的 LTE AKA认 证响应, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证。
  26. 26. 根据权利要求 24或 25所述的方法, 其特征在于,
    所述特殊认证向量包含 XRES、 CK和 IK;
    所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将包含所述 RES的 LTE AKA认证响应转换为包含所述
    RES的 UMTS AKA认证响应, 所述接入网网元将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN, 以便所述 SGSN比较所述 RES和 所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和 或 IK发送给所述接入网网元;
    所述接入网网元才艮据所述 CK和或 IK生成 KASME,所述接入网网元和所 述 LTE UE共享所述 KASME
  27. 27. 根据权利要求 26所述的方法, 其特征在于, 所述 SGSN比较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  28. 28. 根据权利要求 24至 27任一项所述的方法,其特征在于,所述 SGSN 识别是 LTE UE接入 2G或 3G网络包括:
    在所述 SGSN配置有一个列表, 所述列表包括与所述 SGSN相连的所述 接入网网元的节点信息;
    所述 SGSN根据所述列表中的所述节点信息, 确认所述 UMTS attach request消息来自于所述接入网网元时,所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  29. 29. 根据权利要求 24至 27任一项所述的方法, 其特征在于, 所述接入 网网元发送指示信息给所述 SGSN , 以便所述 SGSN根据所述指示信息识别 出是所述 LTE UE接入 2G或 3G网络。
  30. 30. 根据权利要求 29所述的方法, 其特征在于, 所述接入网网元发送指 示信息给所述 SGSN包括:
    所述接入网网元在所述 UMTS attach request消息中增加信元或增加特定 比特作为所述指示信息,所述增加的信元或所述增加的特定比特用于指示出 是所述 LTE UE接入 2G或 3G网络;
    或所述接入网网元利用现有消息中已有信元中的部分保留字段作为所 述指示信息, 所述部分保留字段用于指示出是所述 LTE UE接入 2G或 3G 网络。
  31. 31. 根据权利要求 24至 30任一项所述的方法,其特征在于,所述 SGSN 向 HSS请求获取特殊认证向量包括:
    所述 SGSN在发送给所述 HSS的认证向量请求消息中增加指示, 请求 所述 HSS生成所述特殊认证向量。
  32. 32. 根据权利要求 24至 31任一项所述的方法, 其特征在于, 所述 HSS 根据所述 SGSN的所述请求生成所述特殊认证向量包括:
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  33. 33. 根据权利要求 32所述的方法,其特征在于,所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  34. 34. 根据权利要求 26至 33任一项所述的方法, 其特征在于, 所述接入 网网元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME
  35. 35. 一种 HSS , 其特征在于, 包括: 接收模块, 处理模块, 发送模块; 所述接收模块用于接收 SGSN发送的要求特殊认证向量的请求,所述要 求特殊认证向量的请求由所述 SGSN识别出是 LTE UE接入 2G或 3G网络 后发送, 所述识别是所述 SGSN 接收到由接入网网元发送的 UMTS attach request消息后进行;
    所述处理模块用于根据所述要求特殊认证向量的请求, 生成特殊认证向 量;
    所述发送模块用于将所述特殊认证向量发送给所述 SGSN , 以便所述 SGSN, 所述接入网网元和所述 LTE UE完成安全认证。
  36. 36. 根据权利要求 35所述的 HSS ,其特征在于,所述 UMTS attach request 消息是所述接入网网元将 attach request消息转换所得, 所述 attach request 消息由所述 LTE UE发送给所述接入网网元。
  37. 37. 根据权利要求 35或 36所述的 HSS , 其特征在于, 所述以便所述 SGSN, 所述接入网网元和所述 LTE UE完成安全认证包括: 网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE, 所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES 和密钥 K<sub>ASME</sub>后, 所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送 给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一 步完成安全认证。
  38. 38. 根据权利要求 35至 37任一项所述的 HSS , 其特征在于, 所述特殊认证向量中包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所述 CK和或 IK 生成 KASME, 所述接入网网元和所述 LTE UE共享所述 KASME
  39. 39. 根据权利要求 38所述的 HSS , 其特征在于, 所述 SGSN比较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  40. 40. 根据权利要求 35至 39任一项所述的 HSS ,其特征在于,所述 SGSN 识别是 LTE UE接入 2G或 3G网络包括:
    在所述 SGSN配置有一个列表, 所述列表包括与所述 SGSN相连的所述 接入网网元的节点信息;
    所述 SGSN根据所述列表中的所述节点信息, 获知所述 UMTS attach request消息来自于所述接入网网元,则所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  41. 41. 根据权利要求 35至 39任一项所述的 HSS , 其特征在于, 所述接入 网网元发送指示信息给所述 SGSN , 以便所述 SGSN根据所述指示信息识别 出是所述 LTE UE接入 2G或 3G网络。
  42. 42. 根据权利要求 41所述的 HSS , 其特征在于, 所述接入网网元发送 指示信息给所述 SGSN包括:
    所述接入网网元在所述 UMTS attach request消息中增加信元或增加特定 比特作为所述指示信息,所述增加的信元或所述增加的特定比特用于指示出 是所述 LTE UE接入 2G或 3G网络; 或所述接入网网元利用现有消息中已有信元中的部分保留字段作为所 述指示信息, 所述部分保留字段用于指示出是所述 LTE UE接入 2G或 3G 网络。
  43. 43. 根据权利要求 35至 42任一项所述的 HSS , 其特征在于, 所述接收 模块用于接收要求特殊认证向量的请求包括:
    所述 SGSN在发送给所述接收模块的认证向量请求消息中增加指示, 请 求所述 HS S生成所述特殊认证向量。
  44. 44. 根据权利要求 35至 43任一项所述的 HSS , 其特征在于, 所述处理 模块用于根据所述要求特殊认证向量的请求, 生成特殊认证向量包括:
    所述处理模块用于为所述 LTE UE生成 EPS AV;
    所述处理模块用于将所述 EPS AV转换成 UMTS AV格式, 所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量。
  45. 45. 根据权利要求 44所述的 HSS , 其特征在于, 所述处理模块用于将 所述 EPS AV转换成 UMTS AV格式包括:
    所述处理模块用于将所述 EPS AV中的 RAND作为所述 UMTS AV的
    RAND , 所述处理模块用于将所述 EPS AV中的 AUTN作为所述 UMTS AV 的 AUTN,所述处理模块用于将所述 EPS AV中的 XRES作为所述 UMTS AV 的 XRES , 所述处理模块用于将所述 EPS AV中的 KASME拆分为两部分, 分 别作为所述 UMTS AV的所述 CK和所述 IK。
  46. 46. 根据权利要求 38至 45任一项所述的 HSS , 其特征在于, 所述接入 网网元根据所述 CK和或 IK生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  47. 47. —种 SGSN, 其特征在于, 包括: 接收模块; 识别模块; 发送模块; 所述接收模块用于接收接入网网元发送的 UMTS attach request消息,所 述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所得;
    所述接收模块接收到由所述接入网网元发送的所述 UMTS attach request 消息后, 所述识别模块用于识别是 LTE UE接入 2G或 3G网络;
    所述发送模块用于在所述识别模块识别出是所述 LTE UE接入 2G或 3G 网络后, 向 HSS发送获取特殊认证向量请求, 以便所述 HSS根据所述获取 特殊认证向量请求生成所述特殊认证向量;
    所述接收模块还用于接收来自于所述 HSS的所述特殊认证向量,所述发 送模块还用于所述接收模块接收到所述特殊认证向量后发送 UMTS AKA认 证挑战给所述接入网网元,以便所述 SGSN、所述接入网网元和所述 LTE UE 完成安全认证。
  48. 48. 根据权利要求 47所述的 SGSN ,其特征在于,所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括:
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 验证并生成 RES和密钥 KASME后,所述 LTE UE将包含所述 RES的 LTE AKA 认证响应发送给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。
  49. 49. 根据权利要求 47或 48所述的 SGSN, 其特征在于, 所述 SGSN还 包括处理模块;
    所述特殊认证向量包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述接收模块, 所述处理模块用于 比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述发 送模块将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所 述 CK和或 IK生成 KASME , 所述 CK和或 IK由所述发送模块发送, 所述接 入网网元和所述 LTE UE共享所述 KASME。
  50. 50. 根据权利要求 49所述的 SGSN , 其特征在于, 所述处理模块用于比 较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全认证。
  51. 51. 根据权利要求 47至 50任一项所述的 SGSN,其特征在于,所述 SGSN 还包括可存储模块, 所述存储模块用于存储一个列表, 所述列表包括与所述 SGSN相连的所述接入网网元的节点信息;
    所述识别模块根据所述列表中的所述节点信息, 确认所述 UMTS attach request消息来自于所述接入网网元时,所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  52. 52. 根据权利要求 47至 50任一项所述的 SGSN , 其特征在于, 所述接 入网网元发送指示信息给所述接收模块, 所述识别模块用于根据所述指示 信息识别出是所述 LTE UE接入 2G或 3G网络。
  53. 53. 根据权利要求 52所述的 SGSN , 其特征在于, 所述接入网网元发送 指示信息给所述接收模块包括:
    所述接入网网元在所述 UMTS attach request消息中增加信元或增加特定 比特作为所述指示信息,所述增加的信元或所述增加的特定比特用于指示出 是所述 LTE UE接入 2G或 3G网络;
    或所述接入网网元利用现有消息中已有信元中的部分保留字段作为所 述指示信息, 所述部分保留字段用于指示出是所述 LTE UE接入 2G或 3G 网络。
  54. 54. 根据权利要求 47至 53任一项所述的 SGSN , 其特征在于, 所述发 送模块用于向所述 HSS发送获取特殊认证向量请求包括:
    所述处理模块用于在所述发送模块发送给所述 HSS的认证向量请求消 息中增加指示, 请求所述 HSS生成所述特殊认证向量。
  55. 55. 根据权利要求 47至 54任一项所述的 SGSN , 其特征在于, 所述以 便所述 HSS根据所述获取特殊认证向量请求生成所述特殊认证向量包括: 所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  56. 56. 根据权利要求 55所述的 SGSN , 其特征在于, 所述 HSS将所述 EPS AV转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  57. 57. 根据权利要求 49至 56任一项所述的 SGSN , 其特征在于, 所述接 入网网元根据所述 CK和或 IK生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  58. 58. 一种接入网网元, 其特征在于, 包括: 接收模块, 处理模块, 发送 模块;
    所述接收模块用于接收来自 LTE UE的 attach request消息; 所述处理模 块用于将所述 attach request消息转换为 UMTS attach request消息;
    所述发送模块用于将所述 UMTS attach request消息发送给 SGSN, 以便 所述 SGSN识别是所述 LTE UE接入 2G或 3G网络后向 HSS请求获取特殊 认证向量, 进而以便所述 HSS根据所述 SGSN的所述请求生成所述特殊认 证向量;
    所述接收模块还用于接收所述 SGSN发送的 UMTS AKA认证挑战, 所 述 UMTS AKA认证挑战为所述 SGSN收到所述 HSS发送的所述特殊认证向 量后发送;
    所述处理模块还用于将所述 UMTS AKA认证挑战转换成 LTE AKA认
    UE, 以便所述接入网网元、 所述 SGSN和所述 LTE UE完成安全认证。
  59. 59. 根据权利要求 58所述的接入网网元, 其特征在于, 所述以便所述接 入网网元、 所述 SGSN和所述 LTE UE完成安全认证包括:
    所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 KASME; 所述接收模块用于接收所述 LTE UE发送的包含所述 RES的 LTE AKA 认证响应, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安 全认证。
  60. 60. 根据权利要求 58或 59所述的接入网网元, 其特征在于,
    所述特殊认证向量包含 XRES、 CK和 IK;
    所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述处理模块还用于将包含所述 RES的 LTE AKA认证响应转换为包含 所述 RES的 UMTS AKA认证响应, 所述发送模块还用于将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN , 以便所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元;
    所述处理模块还用于根据所述 CK和或 IK生成 KASME,所述接入网网元 和所述 LTE UE共享所述 KASME
  61. 61. 根据权利要求 60所述的接入网网元, 其特征在于, 所述 SGSN比 较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全认证。
  62. 62. 根据权利要求 58至 61任一项所述的接入网网元, 其特征在于, 所 述 SGSN识别是 LTE UE接入 2G或 3G网络包括: 在所述 SGSN配置有一个列表, 所述列表包括与所述 SGSN相连的所述 接入网网元的节点信息;
    所述 SGSN根据所述列表中的所述节点信息, 确认所述 UMTS attach request消息来自于所述接入网网元时,所述 SGSN识别出是所述 LTE UE接 入 2G或 3G网络。
  63. 63. 根据权利要求 58至 61任一项所述的接入网网元, 其特征在于, 所 述发送模块用于发送指示信息给所述 SGSN , 以便所述 SGSN根据所述指示 信息识别出是所述 LTE UE接入 2G或 3G网络。
  64. 64. 根据权利要求 63所述的接入网网元, 其特征在于, 所述处理模块进 一步用于:
    所述处理模块用于在所述 UMTS attach request消息中增加信元或增加特 定比特作为所述指示信息,所述增加的信元或所述增加的特定比特作为所述 指示信息用于指示出是所述 LTE UE接入 2G或 3G网络;
    或所述处理模块用于利用现有消息中已有信元中的部分保留字段作为 所述指示信息,所述部分保留字段作为所述指示信息用于指示出是所述 LTE UE接入 2G或 3G网络。
  65. 65. 根据权利要求 58至 64任一项所述的接入网网元, 其特征在于, 所 述 SGSN向 HSS请求获取特殊认证向量包括:
    所述 SGSN在发送给所述 HSS的认证向量请求消息中增加指示, 请求 所述 HSS生成所述特殊认证向量。
  66. 66. 根据权利要求 58至 65任一项所述的接入网网元, 其特征在于, 所 述 HSS根据所述 SGSN的所述请求生成所述特殊认证向量包括:
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  67. 67. 根据权利要求 66所述的接入网网元, 其特征在于, 所述 HSS将所 述 EPS AV转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  68. 68. 根据权利要求 60至 67任一项所述的接入网网元, 其特征在于, 所述处理模块进一步用于按照生成规则 K<sub>ASME</sub>=CKIIIK , 根据所述 CK 和或 IK生成所述 K<sub>ASME</sub>。
CN201380000423.7A 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备 Active CN104303533B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/070836 WO2014113918A1 (zh) 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备

Publications (2)

Publication Number Publication Date
CN104303533A true CN104303533A (zh) 2015-01-21
CN104303533B CN104303533B (zh) 2019-01-08

Family

ID=51226803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380000423.7A Active CN104303533B (zh) 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备

Country Status (2)

Country Link
CN (1) CN104303533B (zh)
WO (1) WO2014113918A1 (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101588579A (zh) * 2008-05-20 2009-11-25 华为技术有限公司 一种对用户设备鉴权的系统、方法及其基站子系统
EP2164206A1 (en) * 2007-06-22 2010-03-17 ZTE Corporation Method for informing home subscriber server of storing packet data network gateway address information
CN101998395A (zh) * 2009-08-27 2011-03-30 华为技术有限公司 鉴权矢量获取方法、归属服务器和网络系统
CN102469458A (zh) * 2010-11-19 2012-05-23 中兴通讯股份有限公司 一种m2m通信中的组认证方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7587209B2 (en) * 2002-12-30 2009-09-08 Nortel Networks Limited Method of SMS message transfer after GPRS attach
CN1937487A (zh) * 2005-09-22 2007-03-28 北京三星通信技术研究有限公司 Lte中鉴权和加密的方法
US20120252518A1 (en) * 2011-04-01 2012-10-04 Interdigital Patent Holdings, Inc. Network initiated triggering of an offline device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2164206A1 (en) * 2007-06-22 2010-03-17 ZTE Corporation Method for informing home subscriber server of storing packet data network gateway address information
CN101588579A (zh) * 2008-05-20 2009-11-25 华为技术有限公司 一种对用户设备鉴权的系统、方法及其基站子系统
CN101998395A (zh) * 2009-08-27 2011-03-30 华为技术有限公司 鉴权矢量获取方法、归属服务器和网络系统
CN102469458A (zh) * 2010-11-19 2012-05-23 中兴通讯股份有限公司 一种m2m通信中的组认证方法和系统

Also Published As

Publication number Publication date
CN104303533B (zh) 2019-01-08
WO2014113918A1 (zh) 2014-07-31

Similar Documents

Publication Publication Date Title
US9538373B2 (en) Method and device for negotiating security capability when terminal moves
US11582602B2 (en) Key obtaining method and device, and communications system
US11722891B2 (en) User authentication in first network using subscriber identity module for second legacy network
US10588015B2 (en) Terminal authenticating method, apparatus, and system
JP7437405B2 (ja) セキュリティのための方法および装置
US20220060896A1 (en) Authentication Method, Apparatus, And System
WO2020238595A1 (zh) 获取安全上下文的方法、装置和通信系统
CN116391378A (zh) 使用验证数字标识的订阅入网
AU2021248311A1 (en) Communication system, method, and apparatus
US20140286323A1 (en) Wireless network system and connecting method thereof
WO2018053804A1 (zh) 一种加密保护方法及相关设备
CN111448814A (zh) 指示用于远程单元的网络
CN104937965B (zh) 移动通信系统的安全认证的方法和网络设备
CN107820242A (zh) 一种认证机制的协商方法及装置
CN105075306B (zh) 移动通信系统的安全认证的方法和网络设备
CN104303533A (zh) 移动通信系统的安全认证的方法和网络设备
CN104937990B (zh) 移动通信系统的安全认证的方法和网络设备
Alezabi et al. On the authentication and re‐authentication protocols in LTE‐WLAN interworking architecture
US20240022908A1 (en) Authentication using a digital identifier for ue access
WO2021068258A1 (zh) 获得安全参数的方法及装置
CN107005410A (zh) 因特网协议安全性隧道建立方法,用户设备及基站
CN116325840A (zh) 一种密钥推衍方法及其装置、系统
WO2024017487A1 (en) Authorizing a non-seamless wireless local area network offload route

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant