CN104937990A - 移动通信系统的安全认证的方法和网络设备 - Google Patents

移动通信系统的安全认证的方法和网络设备 Download PDF

Info

Publication number
CN104937990A
CN104937990A CN201380070864.4A CN201380070864A CN104937990A CN 104937990 A CN104937990 A CN 104937990A CN 201380070864 A CN201380070864 A CN 201380070864A CN 104937990 A CN104937990 A CN 104937990A
Authority
CN
China
Prior art keywords
lte
hss
sgsn
access network
network elements
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380070864.4A
Other languages
English (en)
Other versions
CN104937990B (zh
Inventor
陈璟
靳维生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104937990A publication Critical patent/CN104937990A/zh
Application granted granted Critical
Publication of CN104937990B publication Critical patent/CN104937990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery

Abstract

本发明实施例公开了一种移动通信系统的安全认证的方法和网络设备。一种移动通信系统的安全认证的方法,HSS接收SGSN发送的要求认证向量的请求后,该HSS识别是LTE UE接入2G或3G网络,该要求认证向量的请求由该SGSN在接收到接入网网元发送的UMTS attach request消息后发送给该SGSN;该HSS识别出是LTE UE接入2G或3G网络后,该HSS生成特殊认证向量;该HSS将该特殊认证向量发送给该SGSN,以便该SGSN、该接入网网元和该LTE UE完成安全认证。本发明实施例公开的移动通信系统的安全认证的方法和网络设备能够使LTE UE使用2G/3G网络。

Description

移动通信系统的安全 ^人证的方法和网络设备
技术领域
本发明实施例涉及通信领域, 尤其涉及移动通信系统的安全认证的方法和 网络设备。
背景技术 长期演进( Long Term Evolution ,筒称为 "LTE" )/系统架构演进 (System Architecture Evolution , 筒称为 "SAE" )网络是标准组织第三代合作伙伴计 划(3rd Generation Partnership Project , 筒称为 "3GPP" )制定的新的移动通 信系统。 这种网络将是现有的包括宽带码分多址 (Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 网络、 时分-同步码分多址 (Time Division-Synchronous Code Division Multiple Access , 筒称为 "TD-SCDMA" ) 网络、 码分多址 2000 (Code Division Multiple Access 2000 , 筒称为 "CDMA2000" )网络在内的 3G网络的下一步演进方向。 目前在某些国家, 已经有商业部署的 LTE/SAE网络正在运行。安全是移动通信系统商业运营必 不可少的特性, 认证是安全特性中的一个重要特性。 通用移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" ) 网络和 LTE/SAE网络制定了认证和密钥协商 (Authentication and Key Agreement , 筒称为 "AKA" )机制来执行 UE和网络之间的双向认证。 UMTS网络的双 向认证机制称为 UMTS AKA, LTE/SAE网络的双向认证机制称为演进分组 系统 ( Evolved Packet System, 筒称为 "EPS" ) AKA。 在某些特殊场景下, 存在着 LTE 用户设备(User Equipment, 筒称为 "UE" ) 通过 LTE接入网 接入 2G/3G核心网的情况。 由于 2G/3G核心网只能从 HSS获得 UMTS AV , 而 LTE UE在通过 LTE网络接入时, 会拒绝使用 UMTS AV进行认证, 因此 LTE UE不能够通过 LTE接入网接入 2G/3G核心网。 发明内容
有鉴于此, 本发明实施例提供了一种移动通信系统的安全认证的方法和网 络设备, 能够使 LTE UE完成安全认证接入 2G/3G网络。 第一方面, 提供了一种移动通信系统的安全认证方法, 包括: 归属用户服务器 HSS接收 GPRS服务支撑节点 SGSN发送的要求认证向 量的请求后, 该 HSS识别是 LTE UE接入 2G或 3G网络, 该要求认证向量 的请求由该 SGSN在接收到接入网网元发送的 UMTS 附着请求 attach request 消息后发送给该 SGSN;
该 HSS识别出是 LTE UE接入 2G或 3G网络后, 该 HSS生成特殊认证 向量;
该 HSS将该特殊认证向量发送给该 SGSN , 以便该 SGSN、 该接入网网 元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该 UMTS attach request消息是该接入网网 元将附着请求 attach request消息转换所得,该 attach request消息由该 LTE UE 发送。
在第二种可能的实现方式中, 结合第一方面或第一方面的第一种可能的 实现方式, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第三种可能的实现方式中, 结合第一方面或第一方面的第一种至第二 种可能的实现方式,
该特殊认证向量中包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
在第四种可能的实现方式中, 结合第一方面的第三种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第五种可能的实现方式中, 结合第一方面或第一方面的第一至第四任 一种可能的实现方式, 该 HSS识别是 LTE UE接入 2G或 3G网络包括: 该 HSS配备一个列表,该列表包括通过接入 2G/3G网络的 LTE UE的标 识信息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第一方面或第一方面的第一至第五任 一种可能的实现方式, 该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第七种可能的实现方式中,第一方面的第六种可能的实现方式,该 HSS 将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第八种可能的实现方式中, 结合第一方面的第三至第七任一种可能的 实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括: 该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第二方面, 提供了一种移动通信系统的安全认证方法, 包括:
SGSN接收接入网网元发送 UMTS attach request消息, 该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得; 该 SGSN接收到由该接入网网元发送的该 UMTS attach request消息后, 该 SGSN向 HSS发送要求认证向量的请求, 以便该 HSS收到该 SGSN的该 请求后识别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成该特殊 认证向量;
该 SGSN接收来自于该 HSS的该特殊认证向量后, 发送 UMTS AKA认 证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安 全认证。
在第一种可能的实现方式中, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括:
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
在第二种可能的实现方式中, 结合第二方面或第二方面的第一种可能的 实现方式, 该特殊认证向量包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
在第三种可能的实现方式中, 结第二方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第二方面或第二方面的第一种至第三 种任一可能的实现方式, 该以便该 HSS收到该 SGSN的该请求后识别是该 LTE UE接入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第二方面或第二方面的第一种至第四 种可能的实现方式,该以便该 HSS收到该 SGSN的该请求后生成该特殊认证 向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第六种可能的实现方式中, 结合第二方面第五种可能的实现方式, 该
HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第七种可能的实现方式中, 结合第二方面的第二种至第六种任一可能 的实现方式, 该接入网网元根据该 CK和或 IK生成 KASME包括: 该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第三方面, 提供了一种移动通信系统的安全认证方法, 包括:
接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
该接入网网元将该 UMTS attach request消息发送给 SGSN,以便该 SGSN 向 HSS发送要求认证向量的请求, 该 HSS收到该 SGSN的该请求后识别是 该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成特殊认证向量;
该接入网网元接收该 SGSN发送的 UMTS AKA认证挑战,该 UMTS AKA 认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便接入网网元、该 SGSN和该 LTE UE 完成安全认证包括:
该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第二种可能的实现方式中,结合第三方面或第三方面的第一种可能的实 现方式, 该特殊认证向量包含 XRES、 CK和 IK;
该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应,该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN, 以便该 SGSN比较该 RES和该 XRES是否相同, 当该比 较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网元;
该接入网网元根据该 CK和或 IK生成 KASME,该接入网网元和该 LTE UE 共早该 KASME °
在第三种可能的实现方式中, 结合第三方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第三方面或第三方面的第一至第三任 一种可能的实现方式, 该 HSS收到该 SGSN的该请求后识别是该 LTE UE接 入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第三方面或第三方面的第一至第四任 一种可能的实现方式, 该进而以便该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量; 该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第六种可能的实现方式中, 结合第三方面的第五种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第七种可能的实现方式中, 结合第三方面的第二至第六任一种可能的 实现方式, 该接入网网元根据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
第四方面, 提供了一种 HSS , 包括: 接收模块, 识别模块, 处理模块, 发送模块;
该接收模块用于接收 SGSN发送的要求认证向量的请求, 该要求认证向 量的请求由该 SGSN在接收到接入网网元发送的 UMTS attach request消息后 发送给该 SGSN, 该识别模块用于在该接收模块接收该要求认证向量的请求 后识别出是 LTE UE接入 2G或 3G网络;
该处理模块用于在该识别模块识别出是 LTE UE接入 2G或 3G网络后生 成特殊认证向量;
该发送模块用于将该特殊认证向量发送给该 SGSN , 以便该 SGSN、该接 入网网元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该 UMTS attach request消息是该接入网网 元将 attach request消息转换所得, 该 attach request消息由该 LTE UE发送。
在第二种可能的实现方式中, 结合第四方面或第四方面的第一种可能的 实现方式, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第三种可能的实现方式中, 结合第四方面或第四方面的第一种至第二 种可能的实现方式, 该特殊认证向量中包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
在第四种可能的实现方式中, 第四方面的第三种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相同时, 中止进行安全认证。
在第五种可能的实现方式中, 结合第四方面或第四方面的第一至第四任 一种可能的实现方式, 该 HSS还包括存储模块, 该存储模块用于存储一个列 表, 该列表包括通过接入 2G/3G网络的 LTE UE的标识信息;
该识别模块根据该列表中的该标识信息, 获知该 LTE UE的标识信息包 含在该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第六种可能的实现方式中, 结合第四方面或第四方面的第一至第五任 一种可能的实现方式, 该处理模块用于在该识别模块识别出是 LTE UE接入 2G或 3G网络后生成特殊认证向量包括:
该处理模块用于在该要求认证向量的请求中增加指示信息, 该指示信息 用于指示该 HSS生成该特殊认证向量; 该处理模块用于为该 LTE UE生成 EPS AV;
该处理模块用于将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式的 EPS AV为该特殊认证向量。
在第七种可能的实现方式中, 第四方面的第六种可能的实现方式, 该处 理模块用于将该 EPS AV转换成 UMTS AV格式包括:
该处理模块用于将该 EPS AV中的 RAND作为该 UMTS AV的 RAND, 该处理模块用于将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该处 理模块用于将该 EPS AV中的 XRES作为该 UMTS AV的 XRES , 该处理模 块用于将该 EPS AV中的 KASME拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第八种可能的实现方式中, 结合第四方面的第三至第七任一种可能的 实现方式, 该接入网网元根据该 CK和或 IK生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第五方面, 提供了一种 SGSN, 包括: 接收模块; 发送模块;
该接收模块用于接收接入网网元发送的 UMTS attach request消息, 该
UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转 换所得;
该发送模块用于在该接收模块接收到该 UMTS attach request消息后, 向 HSS发送要求认证向量的请求, 以便该 HSS收到该请求后识别是该 LTE UE 接入 2G或 3G网络, 进而以便该 HSS生成该特殊认证向量;
该接收模块还用于接收来自于该 HSS的该特殊认证向量, 该发送模块还 用于在该接收模块接收到该特殊认证向量后发送 UMTS AKA认证挑战给该 接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括:
该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
在第二种可能的实现方式中, 结合第五方面或第五方面的第一种可能的 实现方式, 该 SGSN还包括处理模块;
该特殊认证向量包含 XRES、 CK、 IK;
该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括: 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块, 该处理模块用于比较该 RES和 该 XRES是否相同, 当该比较结果为相同时, 该发送模块将该 CK和或 IK发 送给该接入网网元, 该接入网网元才艮据该 CK和或 IK生成 KASME , 该 CK和 或 IK由该发送模块发送, 该接入网网元和该 LTE UE共享该 KASME
在第三种可能的实现方式中, 结第五方面的第二种可能的实现方式, 该 处理模块用于比较该 RES和该 XRES是否相同还包括, 当该比较结果为不相 同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第五方面或第五方面的第一种至第三 种任一可能的实现方式, 该以便该 HSS收到该请求后识别是该 LTE UE接入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第五方面或第五方面的第一种至第四 种可能的实现方式, 该以便该 HSS生成该特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量; 该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第六种可能的实现方式中, 结合第五方面第五种可能的实现方式, 该
HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第七种可能的实现方式中, 结合第五方面的第二种至第六种任一可能 的实现方式, 该接入网网元根据该 CK和或 IK生成 KASME包括: 该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
第六方面, 提供了一种接入网网元, 包括: 接收模块, 处理模块, 发送 模块;
该接收模块用于接收来自 LTE UE的 attach request消息; 该处理模块用 于将该 attach request消息转换为 UMTS attach request消息;
该发送模块用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN向 HSS发送要求认证向量的请求,该 HSS收到该 SGSN的该请求后识 别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成特殊认证向量; 该接收模块还用于接收该 SGSN发送的 UMTS AKA认证挑战,该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
该处理模块还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战, 该发送模块还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接 入网网元、 该 SGSN和该 LTE UE完成安全认证。
在第一种可能的实现方式中, 该以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括:
该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接收模块用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响 应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
在第二种可能的实现方式中,结合第六方面或第六方面的第一种可能的实 现方式, 该特殊认证向量包含 XRES、 CK和 IK;
该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括: 该处理模块还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应, 该发送模块还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否 相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网 元;
该处理模块还用于根据该 CK和或 IK生成 KASME ,该接入网网元和该 LTE UE共早该 KASME。
在第三种可能的实现方式中, 结合第六方面的第二种可能的实现方式, 该 SGSN比较该 RES和该 XRES是否相同还包括,当该比较结果为不相同时, 中止进行安全认证。
在第四种可能的实现方式中, 结合第六方面或第六方面的第一至第三任 一种可能的实现方式, 该 HSS收到该 SGSN的该请求后识别是该 LTE UE接 入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
在第五种可能的实现方式中, 结合第六方面或第六方面的第一至第四任 一种可能的实现方式, 该进而以便该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
在第六种可能的实现方式中, 结合第六方面的第五种可能的实现方式, 该 HSS将该 EPS AV转换成 UMTS AV格式包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
在第七种可能的实现方式中, 结合第六方面的第二至第六任一种可能的 实现方式, 该处理模块进一步用于按照生成规则 KASME=CKIIIK , 根据该 CK 和或 IK生成该 KASME
通过上述方案, HSS识别是 LTE UE接入 2G/3G网络, HSS生成特殊认证向量, 通过 SGSN、接入网网元,使 LTE UE接入 2G/3G网络完成安全认证, 以便 LTE UE 可以使用 2G/3G核心网资源。 附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对本发明实施例中所 需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明 的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是根据本发明实施例的移动通信系统的认证方法的示意性流程图; 图 2 是根据本发明另一实施例的移动通信系统的认证方法的示意图流程 图;
图 3 是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图;
图 4 是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图;
图 5是根据本发明实施例的归属用户服务器的示意性框图;
图 6是根据本发明实施例的 GPRS服务支撑节点的示意性框图;
图 7是根据本发明实施例的接入网网元的示意性框图;
图 8是根据本发明另一实施例的归属用户服务器的示意性框图;
图 9是根据本发明另一实施例的 GPRS服务支撑节点的示意性框图; 图 10是根据本发明另一实施例的接入网网元的示意性框图。 具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例是本发明的一部分实施例, 而不是全 部实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创造性劳 动的前提下所获得的所有其他实施例, 都应属于本发明保护的范围。
应理解, 本发明实施例的技术方案可以应用于各种 2G或 3G通信系统, 例 如: 全球移动通讯( Global System of Mobile communication, 筒称为 "GSM" ) 系统、 码分多址(Code Division Multiple Access , 筒称为 "CDMA" ) 系统、 宽 带码分多址( Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 系 统、 通用分组无线业务(General Packet Radio Service, 筒称为 "GPRS" )、 通用 移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" )、 全球互联微波接入 ( Worldwide Interoperability for Microwave Access , 筒称为 "WiMAX" )通信系统等。
本发明实施例中的接入网网元, 是一种增强的接入网网元, 用于支持 LTE UE接入 2G/3G核心网。在发明所有实施例中,接入网网元可具备如下功能: LTE eNB的功能, LTE UE可以不需要进行修改通过该接入网网元接入 2G/3G核心网, 而且使 LTE UE认为其正在接入的是 LTE网络, 而不是 2G/3G核心网; 本发明 实施例中的接入网网元还可以实现部分移动性管理实体( Mobility Management Entity , 筒称为 "ΜΜΕ" ) 的功能, 如对非接入层( Non- Access Stratum, 筒称 为 "NAS" )信令的安全保护功能。
图 1示出了根据本发明实施例的移动通信系统的安全认证的方法 100的示 意性流程图。 如图 1所示, 该方法 100包括:
S110 , HSS接收 SGSN发送的要求认证向量的请求后, 该 HSS识别是
LTE UE接入 2G或 3G网络, 该要求认证向量的请求由该 SGSN在接收到接 入网网元发送的 UMTS attach request消息后发送给该 SGSN;
SI 20 , 该 HSS识别出是 LTE UE接入 2G或 3G网络后, 该 HSS生成特 殊认证向量;
该 HSS将该特殊认证向量发送给该 SGSN , 以便该 SGSN、 该接入网网 元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G核心网, 在 HSS 识别出是 LTE UE接入 2G/3G核心网后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证使得 LTE UE接入 2G或 3G网络, 以便使 LTE UE可以使用 2G或 3G核心网资源。
可选地, 该 UMTS attach request消息是该接入网网元将 attach request消 息转换所得, 该 attach request消息由该 LTE UE发送。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该
LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 HSS识别是 LTE UE接入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括通过接入 2G/3G网络的 LTE UE的标 识信息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 核心网的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以 完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 2示出了根据本发明实施例的移动通信系统的安全认证的方法 200的示 意性流程图。 图 2及其说明所揭示的方法, 可基于本发明实施例图 1和基于本 发明实施例图 1所揭示的方法。 如图 2所示, 该方法 200包括:
S210 , SGSN接收接入网网元发送 UMTS attach request消息, 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转换所得; S220 , 该 SGSN接收到由该接入网网元发送的该 UMTS attach request消 息后, 该 SGSN向 HSS发送要求认证向量的请求,以便该 HSS收到该 SGSN 的该请求后识别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成该 特殊认证向量;
S230,该 SGSN接收来自于该 HSS的该特殊认证向量后,发送 UMTS AKA 认证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成 安全认证。
在本发明实施例中,通过 HSS识别出 LTE UE接入 2G或 3G网络的场景后, HSS生成特殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全认证, 实现不需要对 LTEUE进行修改的条件下 LTE UE可以完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME , 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该以便该 HSS收到该 SGSN的该请求后识别是该 LTE UE接入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该以便该 HSS收到该 SGSN的该请求后生成该特殊认证向量包 括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。 本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, LTE UE可以完成安全 认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 3示出了根据本发明实施例的移动通信系统的安全认证的方法 300的示 意性流程图。 图 3及其说明所揭示的方法, 可基于本发明实施例图 1至图 2以 及基于本发明实施例图 1至图 2所揭示的方法。 如图 3所示, 该方法 300包括:
S310 , 接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
S320 , 该接入网网元将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN向 HSS发送要求认证向量的请求, 该 HSS收到该 SGSN的该请求 后识别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成特殊认证向 量;
S330,该接入网网元接收该 SGSN发送的 UMTS AKA认证挑战,该 UMTS
AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送;
S340 ,该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安 全认证。
在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于
2G或 3G网络系统的信息,由 HSS识别出为 LTE UE接入 2G或 3G网络的场景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完成安 全认证, 使 LTE UE可以完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地, 该以便接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME; 该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应,该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否相同, 当该比 较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入网网元;
该接入网网元才艮据该 CK和或 IK生成 KASME ,该接入网网元和该 LTE UE 共早该 KASME °
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地, 该 HSS收到该 SGSN的该请求后识别是该 LTE UE接入 2G或 3G网络包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该进而以便该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息,该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括: 该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使 LTE UE可以完成安 全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 4示出了根据本发明实施例的移动通信系统的安全认证的方法 400的示 意性流程图。 本发明实施例图 1至图 3和基于本发明实施例图 1至图 3所揭示 图 3和基于本发明实施例图 1至图 3所揭示的方法可参考图 4及其说明所揭示 的方法。 如图 4所示, 该方法 400包括:
可选地, LTE UE通过接入网网元接入到 2G/3G核心网, LTE UE和接入网 网元之间建立 RRC连接。
LTE UE发送 attach request消息给接入网网元, 接入网网元将从 LTE UE处 收到的该 attach request消息转换为 UMTS系统中 2G/3G核心网 SGSN可识别的 UMTS attach request消息,接入网网元将转换后的 UMTS attach request消息发送 给 SGSN。
SGSN向 HSS发送要求认证向量的请求。。
可选地, HSS识别是 LTE UE接入 2G/3G网络, 包括:
可选地, 该 HSS配备一个列表, 该列表包括接入 2G/3G网络的 LTE UE 的标识信息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
该 HSS生成该特殊认证向量, 包括:
该 HSS在该要求认证向量的请求中增加指示信息,该指示信息用于指示 该 HSS生成该特殊认证向量;
可选地, 该 HSS为该 LTE UE生成 EPS AV;
进一步的,
HSS将认证管理域 AMF中第 0个 bit设为 1 以标示此认证向量为 EPS AV;
HSS生成 RAND、 AUTN、 CK、 IK和 XRES;
HSS根据 CK和 IK推演得到 KASME , 推演规则可以为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数;
EPS AV由 KASME、 AUTN , XRES , RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式, 以使得 EPS AV可 以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的 方法包括: 将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES,将 EPS AV中的 KASME( 256bits )拆分为两部分,分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。 可选地, 也可对 KASME ( 256bits )不平均 拆分,该 CK和该 IK所占的比例可以不相同。 该 EPS AV转换成 UMTS AV格 式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换成 UMTS AV格式后所得的向量为该特殊认证向量。
该 HSS将该特殊认证向量传输给该 SGSN;
该 SGSN根据从该 HSS处接收到的特殊认证向量执行 UMTS AKA认证流 程。 SGSN发送 UMTS AKA认证挑战给接入网网元, 该 UMTS AKA认证挑战 中包含 RAND和 AUTNo
接入网网元将接收到的 UMTS AKA认证挑战转换成 LTE AKA认证挑战。 UMTS AKA认证挑战中的 RAND和 AUTN被放在 LTE AKA认证挑战中发送给 LTE UE。
LTE UE验证 AUTN。 进一步的, 由于 AUTN中 AMF的第 0个比特的值为
1 , 因此 LTE UE会通过对 AMF的检查。 LTE UE生成 RES和密钥 KASME
LTE UE发送 LTE AKA认证响应给接入网网元,该 LTE AKA认证响应中包 含 RES。
接入网网元将 LTE AKA认证响应转换为 UMTS AKA认证响应, 将 LTE AKA认证响应中的该 RES放在 UMTS AKA认证响应中发送给 SGSN。
SGSN比较该 RES和该 XRES是否相同。
可选地, 如果比较结果为该 RES和该 XRES不相同, 则中止进行安全认 证;
可选地, 如果比较结果为该 RES和该 XRES相同, 则 SGSN发起安全模 式过程, 在安全模式过程中, CK和或 IK被发送给接入网网元。
可选地, 接入网网元根据 CK和或 IK生成 KASME。 可选地, 接入网网元根 据 CK和或 IK生成 KASME的生成规则为 KASME=CKIIIK, "II"表示串联, 即将 IK 加在 CK后面。
接入网网元和 LTE UE共享密钥 KASME
可选地,接入网网元和 LTE UE之间执行 LTE NAS SMC流程和 LTE AS SMC 流程建立 LTE空口安全。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以完成 安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。。 图 5示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务 器 500的示意性框图。 图 5及其说明所揭示的装置, 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法。 如图 5所示, 该归属 用户服务器 HSS500包括: 接收模块 510 , 识别模块 520 , 处理模块 530, 发 送模块 540;
该接收模块 510用于接收 SGSN发送的要求认证向量的请求, 该要求认 证向量的请求由该 SGSN在接收到接入网网元发送的 UMTS attach request消 息后发送给该 SGSN, 该识别模块 520用于在该接收模块 510接收该要求认 证向量的请求后识别出是 LTE UE接入 2G或 3G网络;
该处理模块 530用于在该识别模块 520识别出是 LTE UE接入 2G或 3G 网络后生成特殊认证向量;
该发送模块 540用于将该特殊认证向量发送给该 SGSN, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G核心网, 在 HSS 识别出是 LTE UE接入 2G/3G核心网后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证, 使得 LTE UE可以 完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地, 该 UMTS attach request消息是该接入网网元将 attach request消 息转换所得, 该 attach request消息由该 LTE UE发送。
可选地, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包 括:
该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。 可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE ΑΚΑ认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选的, 该 HSS还包括存储模块 550 , 该存储模块 550用于存储一个列 表, 该列表包括通过接入 2G/3G网络的 LTE UE的标识信息;
可选地, 该识别模块 520根据该列表中的该标识信息, 获知该 LTE UE 的标识信息包含在该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G 网络。
可选地, 该处理模块 530用于在该识别模块 520识别出是 LTE UE接入 2G或 3G网络后生成特殊认证向量包括:
该处理模块 530用于在该要求认证向量的请求中增加指示信息, 该指示 信息用于指示该 HSS生成该特殊认证向量;
该处理模块 530用于为该 LTE UE生成 EPS AV;
进一步的,
该处理模块 530用于将认证管理域 AMF中第 0个 bit设为 1以标示此认 证向量为 EPS AV;
该处理模块 530用于生成 RAND、 AUTN、 CK、 IK和 XRES;
该处理模块 530用于根据 CK和 IK推演得到 KASME , 推演规则可以 为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数; EPS AV由 KASME、 AUTN , XRES , RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地,该处理模块 530用于将该 EPS AV转换成 UMTS AV格式, 以使 AV格式的方法包括: 将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV 的 RAND、 AUTN和 XRES, 将 EPS AV中的 KASME ( 256bits )拆分为两部分, 分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换 成 UMTS AV格式后所得的向量为该特殊认证向量。
可选地, 该接入网网元根据该 CK和或 IK生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以完成 安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 6示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支 撑节点 600的示意性框图。 图 6及其说明所揭示的装置, 可基于本发明实施例 图 1至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发 明实施例图 5以及图 5所揭示的装置。 如图 6所示, 该 GPRS服务支撑节点 SGSN600包括: 接收模块 610; 发送模块 620;
该接收模块 610用于接收接入网网元发送的 UMTS attach request消息, 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息 转换所得;
该发送模块 620用于在该接收模块 610接收到该 UMTS attach request消 息后, 向 HSS发送要求认证向量的请求, 以便该 HSS收到该请求后识别是 该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成该特殊认证向量; 该接收模块 610还用于接收来自于该 HSS的该特殊认证向量, 该发送模 块 620还用于在该接收模块 610接收到该特殊认证向量后发送 UMTS AKA 认证挑战给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成 安全认证。
在本发明实施例中, 通过 HSS识别出 LTE UE接入 2G或 3G核心网的场景 后, HSS生成特殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全 认证, 实现不需要对 LTEUE进行修改的条件下使 LTE UE可以完成安全认证接 入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE ,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
可选地, 该 SGSN还包括处理模块 630 ;
可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块 610 ,该处理模块 630用于比较该 RES和该 XRES是否相同, 当该比较结果为相同时,该发送模块 620将该 CK 和或 IK发送给该接入网网元, 该接入网网元根据该 CK和或 IK生成 KASME , 该 CK和或 IK由该发送模块 620发送, 该接入网网元和该 LTE UE共享该 KASME。 可选地, 该处理模块 630比较该 RES和该 XRES是否相同还包括, 当该 比较结果为不相同时, 中止进行安全认证。
可选地 ,
该以便该 HSS收到该请求后识别是该 LTE UE接入 2G或 3G网络包括: 该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。 可选地, 该以 便该 HSS生成该特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV ;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以完成 安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 7示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 700 的示意性框图。 图 7及其说明所揭示的装置, 可基于本发明实施例图 1至图 4 以及基于本发明实施例图 1至图 4所揭示的方法,也可以基于本发明实施例图 5 至图 6以及图 5至图 6所揭示的装置。 如图 7所示, 该接入网网元 700包括: 接收模块 710 , 处理模块 720 , 发送模块 730;
该接收模块 710用于接收来自 LTE UE的 attach request消息; 该处理模 块 720用于将该 attach request消息转换为 UMTS attach request消息;
该发送模块 730用于将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN向 HSS发送要求认证向量的请求, 该 HSS收到该 SGSN的该请求 后识别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成特殊认证向 量;
该接收模块 710还用于接收该 SGSN发送的 UMTS AKA认证挑战, 该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送; 该处理模块 720还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证 挑战, 该发送模块 730还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以 便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。
在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息,由 HSS识别出为 LTE UE接入 2G或 3G网络的场景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完成安 全认证, 使得 LTE UE可以完成安全认证接入 2G或 3G网络, 以便 LTE UE使 用 2G或 3G核心网资源。
可选地, 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接收模块 710用于接收该 LTE UE发送的包含该 RES的 LTE AKA认 证响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。 可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该处理模块 720还用于将包含该 RES的 LTE AKA认证响应转换为包含 该 RES的 UMTS AKA认证响应,该发送模块 730还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元;
该处理模块 720还用于才艮据该 CK和或 IK生成 KASME, 该接入网网元和 该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地,
该 HSS收到该 SGSN的该请求后识别是该 LTE UE接入 2G或 3G网络 包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该进而以便该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括: 该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该处理模块 720进一步用于按照生成规则 KASME=CKIIIK , 根 据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 核心网的场景后, HSS 生成特殊的认证向量, 通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以 完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 8 示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务 器 800的示意性框图。 图 8及其说明所揭示的装置, 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 以及基于本发明实施 例图 5至图 7以及基于本发明实施例图 5至图 7所揭示的装置。 如图 8所示, 该归属用户服务器 HSS800包括: 接收器 810 , 第一处理器 820 , 第二处理器 830 , 发送器 840;
该接收器 810用于接收 SGSN发送的要求认证向量的请求, 该要求认证 向量的请求由该 SGSN在接收到接入网网元发送的 UMTS attach request消息 后发送给该 SGSN, 该第一处理器 820用于在该接收器 810接收该要求认证 向量的请求后识别出是 LTE UE接入 2G或 3G网络;
该第二处理器 830用于在该第一处理器 820识别出是 LTE UE接入 2G 或 3G网络后生成特殊认证向量;
该发送器 840用于将该特殊认证向量发送给该 SGSN, 以便该 SGSN、该 接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 为了使 LTE UE能够使用 2G或 3G核心网, 在 HSS 识别出是 LTE UE接入 2G/3G核心网后, HSS为该 LTE UE生成特殊认证向量, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证, 使得 LTE UE接 入 2G或 3G网络, 以便使 LTE UE可以使用 2G或 3G核心网资源。
可选地, 该 UMTS attach request消息是该接入网网元将 attach request消 息转换所得, 该 attach request消息由该 LTE UE发送。
可选地, 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包 括:
该 SGSN发送 UMTS AKA认证挑战给该接入网网元, 该接入网网元将 该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元, 以便 该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量中包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元, 该接入网网元根据该 CK和或 IK生成 KASME, 该接入网网元和该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选的, 该 HSS还包括存储器 850 , 该存储器 850用于存储一个列表, 该列表包括通过接入 2G/3G网络的 LTE UE的标识信息;
可选地, 该第一处理器 820 居该列表中的该标识信息, 获知该 LTE UE 的标识信息包含在该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G 网络。
可选地, 该第二处理器 830用于在该第一处理器 820识别出是 LTE UE 接入 2G或 3G网络后生成特殊认证向量包括:
该第二处理器 830用于在该要求认证向量的请求中增加指示信息, 该指 示信息用于指示该 HSS生成该特殊认证向量;
该第二处理器 830用于为该 LTE UE生成 EPS AV;
进一步的,
该第二处理器 830用于将认证管理域 AMF中第 0个 bit设为 1以标示此 认证向量为 EPS AV;
该第二处理器 830用于生成 RAND、 AUTN, CK、 IK和 XRES;
该第二处理器 830用于根据 CK和 IK推演得到 KASME , 推演规则可 以为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数;
EPS AV由 KASME、 AUTN , XRES , RAND组成, 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。
可选地,该第二处理器 830用于将该 EPS AV转换成 UMTS AV格式, 以 使得 EPS AV可以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的方法包括:将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES ,将 EPS AV中的 KASME ( 256bits )拆分为两部分, 分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式后, AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换 成 UMTS AV格式后所得的向量为该特殊认证向量。
可选地, 该接入网网元才艮据该 CK和或 IK生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于
2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以完成 安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 9示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支 撑节点 900的示意性框图。 图 9及其说明所揭示的装置, 可基于本发明实施例 图 1至图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发 明实施例图 5以及图 8所揭示的装置。 如图 9所示, 该 GPRS服务支撑节点 SGSN900包括: 接收器 910; 发送器 920;
该接收器 910用于接收接入网网元发送的 UMTS attach request消息, 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转 换所得;
该发送器 920用于在该接收器 910接收到该 UMTS attach request消息后, 向 HSS发送要求认证向量的请求, 以便该 HSS收到该请求后识别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成该特殊认证向量;
该接收器 910还用于接收来自于该 HSS的该特殊认证向量,该发送器 920 还用于在该接收器 910接收到该特殊认证向量后发送 UMTS AKA认证挑战 给该接入网网元, 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。
在本发明实施例中, 通过 HSS识别出 LTE UE接入 2G或 3G核心网的场景 后, HSS生成特殊认证向量, 使 SGSN、 接入网网元和该 LTE UE完成安全 认证, 实现不需要对 LTEUE进行修改的条件下使 LTE UE可以完成安全认证接 入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
可选地,该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括: 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 KASME后, 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。
可选地, 该 SGSN还包括处理器 930;
可选地, 该特殊认证向量包含 XRES、 CK、 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括:
该接入网网元将该 LTE ΑΚΑ认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收器 910 ,该处理器 930用于比较该 RES 和该 XRES是否相同, 当该比较结果为相同时, 该发送器 920将该 CK和或 IK发送给该接入网网元, 该接入网网元才艮据该 CK和或 IK生成 KASME , 该 CK和或 IK由该发送器 920发送,该接入网网元和该 LTE UE共享该 KASME
可选地, 该处理器 930比较该 RES和该 XRES是否相同还包括, 当该比 较结果为不相同时, 中止进行安全认证。
可选地 ,
该以便该 HSS收到该请求后识别是该 LTE UE接入 2G或 3G网络包括: 该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。 可选地, 该以 便该 HSS生成该特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME拆 分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该接入网网元才艮据该 CK和或 ΙΚ生成 KASME包括:
该接入网网元按照生成规则 KASME=CKIIIK , 根据该 CK和或 IK生成该
KASME。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 网络的场景后, HSS生成特殊的认证向量, 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以完成 安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。
图 10 示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 1000的示意性框图。 图 10及其说明所揭示的装置, 可基于本发明实施例图 1至 图 4以及基于本发明实施例图 1至图 4所揭示的方法, 也可以基于本发明实施 例图 5至图 9以及图 5至图 9所揭示的装置。 如图 10所示, 该接入网网元 1000 包括: 接收器 1010 , 处理器 1020 , 发送器 1030;
该接收器 1010用于接收来自 LTE UE的 attach request消息; 该处理器 1020用于将该 attach request消息转换为 UMTS attach request消息;
该发送器 1030用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN向 HSS发送要求认证向量的请求,该 HSS收到该 SGSN的该请求后识 别是该 LTE UE接入 2G或 3G网络, 进而以便该 HSS生成特殊认证向量; 该接收器 1010还用于接收该 SGSN发送的 UMTS AKA认证挑战, 该 UMTS AKA认证挑战为该 SGSN收到该 HSS发送的该特殊认证向量后发送; 该处理器 1020还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证 挑战, 该发送器 1030还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以 便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。 在本发明实施例中, 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息,由 HSS识别出为 LTE UE接入 2G或 3G网络的场景, 通过 HSS生成特殊的认证向量, 使接入网网元、 SGSN和 LTE UE能够完成安 全认证, 使得 LTE UE可以使用现有 2G或 3G核心网。
可选地, 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括: 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 KASME;
该接收器 1010用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证 响应, 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。
可选地, 该特殊认证向量包含 XRES、 CK和 IK;
可选地, 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括:
该处理器 1020还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应, 该发送器 1030还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同, 当该比较结果为相同时, 该 SGSN将该 CK和或 IK发送给该接入 网网元;
该处理器 1020还用于才艮据该 CK和或 IK生成 KASME, 该接入网网元和 该 LTE UE共享该 KASME
可选地, 该 SGSN比较该 RES和该 XRES是否相同还包括, 当该比较结 果为不相同时, 中止进行安全认证。
可选地,
该 HSS收到该 SGSN的该请求后识别是该 LTE UE接入 2G或 3G网络 包括:
该 HSS配备一个列表,该列表包括接入 2G/3G网络的 LTE UE的标识信 息;
该 HSS根据该列表中的该标识信息, 获知该 LTE UE的标识信息包含在 该列表中, 则该 HSS识别出是该 LTE UE接入 2G或 3G网络。
可选地, 该进而以便该 HSS生成特殊认证向量包括:
该 HSS在该要求认证向量的请求中增加指示信息, 该指示信息用于指示 该 HSS生成该特殊认证向量;
该 HSS为该 LTE UE生成 EPS AV;
该 HSS将该 EPS AV转换成 UMTS AV格式, 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。
可选地, 该 HSS将该 EPS AV转换成 UMTS AV格式 包括:
该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 KASME ( 256bits ) 拆分为两部分, 分别作为该 UMTS AV的该 CK和该 IK。
可选地, 该处理器 1020进一步用于按照生成规则 KASME=CKIIIK , 根据 该 CK和或 IK生成该 KASME。 ΊΓ 表示串联, 即将 IK加在 CK后面。
本发明实施例中,通过该接入网网元将 LTE UE所发送的消息转换为适用于
2G或 3G网络的消息, 由 HSS识别出 LTE UE通过该接入网网元接入 2G或 3G 核心网的场景后, HSS 生成特殊的认证向量, 通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改, 使得 LTE UE可以 完成安全认证接入 2G或 3G网络, 以便 LTE UE使用 2G或 3G核心网资源。 通过以上的实施方式的描述, 所属领域的技术人员可以清楚地了解到本 发明可以用硬件实现, 或固件实现, 或它们的组合方式来实现。 当使用软件 实现时, 可以将上述功能存储在计算机可读介质中或作为计算机可读介质上 的一个或多个指令或代码进行传输。 计算机可读介质包括计算机存储介质和 通信介质, 其中通信介质包括便于从一个地方向另一个地方传送计算机程序 的任何介质。 存储介质可以是计算机能够存取的任何可用介质。 以此为例但 不限于: 计算机可读介质可以包括 RAM、 ROM, EEPROM、 CD-ROM或其 他光盘存储、 磁盘存储介质或者其他磁存储设备、 或者能够用于携带或存储 具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他 介质。 此外。 任何连接可以适当的成为计算机可读介质。 例如, 如果软件是 使用同轴电缆、 光纤光缆、 双绞线、 数字用户线 (DSL ) 或者诸如红外线、 无线电和微波之类的无线技术从网站、 服务器或者其他远程源传输的, 那么 同轴电缆、 光纤光缆、 双绞线、 DSL或者诸如红外线、 无线和微波之类的无 线技术包括在所属介质的定影中。 如本发明所使用的, 盘( Disk )和碟( disc ) 包括压缩光碟(CD ) 、 激光碟、 光碟、 数字通用光碟(DVD ) 、 软盘和蓝光 光碟, 其中盘通常磁性的复制数据, 而碟则用激光来光学的复制数据。 上面 的组合也应当包括在计算机可读介质的保护范围之内。 总之, 以上所述仅为本发明技术方案的较佳实施例而已, 并非用于限定 本发明的保护范围。 凡在本发明的精神和原则之内, 所作的任何修改、 等同 替换、 改进等, 均应包含在本发明的保护范围之内。

Claims (49)

  1. 权 利 要 求
    1. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    归属用户服务器 HSS接收 GPRS服务支撑节点 SGSN发送的要求认证 向量的请求后, 所述 HSS识别是 LTE UE接入 2G或 3G网络, 所述要求认 证向量的请求由所述 SGSN 在接收到接入网网元发送的 UMTS 附着请求 attach request消息后发送给所述 SGSN;
    所述 HSS识别出是 LTE UE接入 2G或 3G网络后, 所述 HSS生成特殊 认证向量;
    所述 HSS将所述特殊认证向量发送给所述 SGSN, 以便所述 SGSN、 所 述接入网网元和所述 LTE UE完成安全认证。
  2. 2. 根据权利要求 1所述的方法, 其特征在于, 所述 UMTS attach request 消息是所述接入网网元将附着请求 attach request消息转换所得, 所述 attach request消息由所述 LTE UE发送。
  3. 3. 根据权利要求 1或 2所述的方法,其特征在于,所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括: 网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 和密钥 K<sub>ASME</sub>后, 所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送 给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一 步完成安全认证。
  4. 4. 根据权利要求 1至 3任一项所述的方法, 其特征在于,
    所述特殊认证向量中包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所述 CK和或 IK 生成 KASME, 所述接入网网元和所述 LTE UE共享所述 KASME
  5. 5. 根据权利要求 4所述的方法,其特征在于,所述 SGSN比较所述 RES 和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全 认证。
  6. 6. 根据权利要求 1至 5任一项所述的方法, 其特征在于, 所述 HSS识 别是 LTE UE接入 2G或 3G网络包括:
    所述 HSS配备一个列表,所述列表包括通过接入 2G/3G网络的 LTE UE 的标识信息;
    所述 HSS根据所述列表中的所述标识信息,获知所述 LTE UE的标识信 息包含在所述列表中, 则所述 HSS识别出是所述 LTE UE接入 2G或 3G网 络。
  7. 7. 根据权利要求 1至 6任一项所述的方法, 其特征在于, 所述 HSS生 成特殊认证向量包括:
    所述 HSS在所述要求认证向量的请求中增加指示信息,该指示信息用于 指示所述 HSS生成所述特殊认证向量;
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  8. 8. 根据权利要求 7所述的方法, 其特征在于, 所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  9. 9. 根据权利要求 4至 8任一项所述的方法, 其特征在于, 所述接入网网 元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  10. 10. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    SGSN接收接入网网元发送 UMTS attach request消息,所述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所 得;
    所述 SGSN接收到由所述接入网网元发送的所述 UMTS attach request 消息后, 所述 SGSN向 HSS发送要求认证向量的请求, 以便所述 HSS收到 所述 SGSN的所述请求后识别是所述 LTE UE接入 2G或 3G网络, 进而以 便所述 HSS生成所述特殊认证向量;
    所述 SGSN接收来自于所述 HSS的所述特殊认证向量后, 发送 UMTS
    AKA认证挑战给所述接入网网元, 以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。
  11. 11. 根据权利要求 10所述的方法, 其特征在于, 所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括:
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 验证并生成 RES和密钥 KASME后,所述 LTE UE将包含所述 RES的 LTE AKA 认证响应发送给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。
  12. 12. 根据权利要求 10或 11所述的方法, 其特征在于,
    所述特殊认证向量包含 XRES、 CK、 IK; 所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所述 CK和或 IK 生成 KASME, 所述接入网网元和所述 LTE UE共享所述 KASME
  13. 13. 根据权利要求 12所述的方法, 其特征在于, 所述 SGSN比较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  14. 14. 根据权利要求 10至 12任一项所述的方法, 其特征在于, 所述以便 所述 HSS收到所述 SGSN的所述请求后识别是所述 LTE UE接入 2G或 3G 网络包括:
    所述 HSS配备一个列表, 所述列表包括接入 2G/3G网络的 LTE UE的 标识信息;
    所述 HSS根据所述列表中的所述标识信息,获知所述 LTE UE的标识信 息包含在所述列表中, 则所述 HSS识别出是所述 LTE UE接入 2G或 3G网 络。 15. 根据权利要求 10至 14任一项所述的方法, 其特征在于, 所述以便 所述 HSS收到所述 SGSN的所述请求后生成所述特殊认证向量包括:
    所述 HSS在所述要求认证向量的请求中增加指示信息,该指示信息用于 指示所述 HSS生成所述特殊认证向量;
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  15. 16. 根据权利要求 15所述的方法,其特征在于,所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括: 所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K<sub>ASME</sub>拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  16. 17. 根据权利要求 12至 16任一项所述的方法, 其特征在于, 所述接入 网网元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  17. 18. 一种移动通信系统的安全认证方法, 其特征在于, 包括:
    接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息;
    所述接入网网元将所述 UMTS attach request消息发送给 SGSN, 以便所 述 SGSN向 HSS发送要求认证向量的请求, 所述 HSS收到所述 SGSN的所 述请求后识别是所述 LTE UE接入 2G或 3G网络, 进而以便所述 HSS生成 特殊认证向量;
    所述接入网网元接收所述 SGSN发送的 UMTS AKA认证挑战, 所述 UMTS AKA认证 4 战为所述 SGSN收到所述 HSS发送的所述特殊认证向量 后发送;
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给所述 LTE UE,以便所述接入网网元、所述 SGSN和所述 LTE UE 完成安全认证。
  18. 19. 根据权利要求 18所述的方法, 其特征在于, 所述以便接入网网元、 所述 SGSN和所述 LTE UE完成安全认证包括:
    所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 KASME; 所述接入网网元接收所述 LTE UE发送的包含所述 RES的 LTE AKA认 证响应, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证。
  19. 20. 根据权利要求 18或 19所述的方法, 其特征在于,
    所述特殊认证向量包含 XRES、 CK和 IK;
    所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将包含所述 RES的 LTE AKA认证响应转换为包含所述 RES的 UMTS AKA认证响应, 所述接入网网元将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN, 以便所述 SGSN比较所述 RES和 所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和 或 IK发送给所述接入网网元;
    所述接入网网元才艮据所述 CK和或 IK生成 KASME,所述接入网网元和所 述 LTE UE共享所述 KASME
  20. 21. 根据权利要求 20所述的方法, 其特征在于, 所述 SGSN比较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  21. 22. 根据权利要求 18至 21任一项所述的方法, 其特征在于, 所述 HSS 收到所述 SGSN的所述请求后识别是所述 LTE UE接入 2G或 3G网络包括: 所述 HSS配备一个列表, 所述列表包括接入 2G/3G网络的 LTE UE的 标识信息;
    所述 HSS根据所述列表中的所述标识信息, 获知所述 LTE UE的标识 信息包含在所述列表中, 则所述 HSS识别出是所述 LTE UE接入 2G或 3G 网络。
  22. 23. 根据权利要求 18至 22任一项所述的方法, 其特征在于, 所述进而 以便所述 HSS生成特殊认证向量包括:
    所述 HSS在所述要求认证向量的请求中增加指示信息,该指示信息用于 指示所述 HSS生成所述特殊认证向量; 所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  23. 24. 根据权利要求 23所述的方法,其特征在于,所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  24. 25. 根据权利要求 20至 24任一项所述的方法, 其特征在于, 所述接入 网网元根据所述 CK和或 ΙΚ生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME
  25. 26. 一种 HSS , 其特征在于, 包括: 接收模块, 识别模块, 处理模块, 发送模块;
    所述接收模块用于接收 SGSN发送的要求认证向量的请求,所述要求认 证向量的请求由所述 SGSN在接收到接入网网元发送的 UMTS attach request 消息后发送给所述 SGSN, 所述识别模块用于在所述接收模块接收所述要求 认证向量的请求后识别出是 LTE UE接入 2G或 3G网络;
    所述处理模块用于在所述识别模块识别出是 LTE UE接入 2G或 3G网 络后生成特殊认证向量;
    所述发送模块用于将所述特殊认证向量发送给所述 SGSN , 以便所述 SGSN, 所述接入网网元和所述 LTE UE完成安全认证。
  26. 27. 根据权利要求 26所述的 HSS ,其特征在于,所述 UMTS attach request 消息是所述接入网网元将 attach request消息转换所得, 所述 attach request 消息由所述 LTE UE发送。
  27. 28. 根据权利要求 26或 27所述的 HSS , 其特征在于, 所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括: 网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 和密钥 K<sub>ASME</sub>后, 所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送 给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一 步完成安全认证。
  28. 29. 根据权利要求 26至 28任一项所述的 HSS , 其特征在于,
    所述特殊认证向量中包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所述 CK和或 IK 生成 KASME, 所述接入网网元和所述 LTE UE共享所述 KASME
  29. 30. 根据权利要求 29所述的 HSS , 其特征在于, 所述 SGSN比较所述
    RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行 安全认证。
  30. 31. 根据权利要求 26至 30任一项所述的 HSS , 其特征在于, 所述 HSS 还包括存储模块, 所述存储模块用于存储一个列表, 所述列表包括通过接入 2G/3G网络的 LTE UE的标识信息;
    所述识别模块根据所述列表中的所述标识信息, 获知所述 LTE UE的标 识信息包含在所述列表中,则所述 HSS识别出是所述 LTE UE接入 2G或 3G 网络。
  31. 32. 根据权利要求 26至 31任一项所述的 HSS , 其特征在于, 所述处理 模块用于在所述识别模块识别出是 LTE UE接入 2G或 3G网络后生成特殊 认证向量包括:
    所述处理模块用于在所述要求认证向量的请求中增加指示信息, 该指示 信息用于指示所述 HSS生成所述特殊认证向量; 所述处理模块用于为所述 LTE UE生成 EPS AV;
    所述处理模块用于将所述 EPS AV转换成 UMTS AV格式, 所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量。
  32. 33. 根据权利要求 32所述的 HSS , 其特征在于, 所述处理模块用于将 所述 EPS AV转换成 UMTS AV格式包括:
    所述处理模块用于将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND , 所述处理模块用于将所述 EPS AV中的 AUTN作为所述 UMTS AV 的 AUTN,所述处理模块用于将所述 EPS AV中的 XRES作为所述 UMTS AV 的 XRES , 所述处理模块用于将所述 EPS AV中的 KASME拆分为两部分, 分 别作为所述 UMTS AV的所述 CK和所述 IK。
  33. 34. 根据权利要求 29至 33任一项所述的 HSS , 其特征在于, 所述接入 网网元根据所述 CK和或 IK生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  34. 35. 一种 SGSN, 其特征在于, 包括: 接收模块; 发送模块;
    所述接收模块用于接收接入网网元发送的 UMTS attach request消息,所 述 UMTS attach request是所述接入网网元将 LTE UE发送的 attach request 消息转换所得;
    所述发送模块用于在所述接收模块接收到所述 UMTS attach request消息 后, 向 HSS发送要求认证向量的请求, 以便所述 HSS收到所述请求后识别 是所述 LTE UE接入 2G或 3G网络, 进而以便所述 HSS生成所述特殊认证 向量;
    所述接收模块还用于接收来自于所述 HSS的所述特殊认证向量,所述发 送模块还用于在所述接收模块接收到所述特殊认证向量后发送 UMTS AKA 认证挑战给所述接入网网元, 以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证。
  35. 36. 根据权利要求 35所述的 SGSN ,其特征在于,所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括:
    所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 验证并生成 RES和密钥 KASME后,所述 LTE UE将包含所述 RES的 LTE AKA 认证响应发送给所述接入网网元, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。
  36. 37. 根据权利要求 35或 36所述的 SGSN , 其特征在于, 所述 SGSN还 包括处理模块;
    所述特殊认证向量包含 XRES、 CK、 IK;
    所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述接收模块, 所述处理模块用于 比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述发 送模块将所述 CK和或 IK发送给所述接入网网元, 所述接入网网元根据所 述 CK和或 IK生成 KASME, 所述 CK和或 IK由所述发送模块发送, 所述接 入网网元和所述 LTE UE共享所述 KASME
  37. 38. 根据权利要求 37所述的 SGSN , 其特征在于, 所述处理模块用于比 较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全认证。
  38. 39. 根据权利要求 47至 50任一项所述的 SGSN , 其特征在于, 所述以 便所述 HSS收到所述请求后识别是所述 LTE UE接入 2G或 3G网络包括: 所述 HSS配备一个列表, 所述列表包括接入 2G/3G网络的 LTE UE的 标识信息;
    所述 HSS根据所述列表中的所述标识信息,获知所述 LTE UE的标识信 息包含在所述列表中, 则所述 HSS识别出是所述 LTE UE接入 2G或 3G网 络。
  39. 40. 根据权利要求 35至 39任一项所述的 SGSN , 其特征在于, 所述以 便所述 H S S生成所述特殊认证向量包括:
    所述 HSS在所述要求认证向量的请求中增加指示信息,该指示信息用于 指示所述 HSS生成所述特殊认证向量; 所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  40. 41. 根据权利要求 40所述的 SGSN , 其特征在于, 所述 HSS将所述 EPS AV转换成 UMTS AV格式包括:
    所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 KASME拆分为两部分,分别作为所述 UMTS AV的所述 CK 和所述 IK。
  41. 42. 根据权利要求 37至 41任一项所述的 SGSN , 其特征在于, 所述接 入网网元根据所述 CK和或 IK生成 K<sub>ASME</sub>包括:
    所述接入网网元按照生成规则 KASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O
  42. 43. —种接入网网元, 其特征在于, 包括: 接收模块, 处理模块, 发送 模块;
    所述接收模块用于接收来自 LTE UE的 attach request消息; 所述处理模 块用于将所述 attach request消息转换为 UMTS attach request消息;
    所述发送模块用于将所述 UMTS attach request消息发送给 SGSN, 以便 所述 SGSN向 HSS发送要求认证向量的请求, 所述 HSS收到所述 SGSN的 所述请求后识别是所述 LTE UE接入 2G或 3G网络, 进而以便所述 HSS生 成特殊认证向量;
    所述接收模块还用于接收所述 SGSN发送的 UMTS AKA认证挑战, 所 述 UMTS AKA认证挑战为所述 SGSN收到所述 HSS发送的所述特殊认证向 量后发送;
    所述处理模块还用于将所述 UMTS AKA认证挑战转换成 LTE AKA认 UE, 以便所述接入网网元、 所述 SGSN和所述 LTE UE完成安全认证。
  43. 44. 根据权利要求 43所述的接入网网元, 其特征在于, 所述以便所述接 入网网元、 所述 SGSN和所述 LTE UE完成安全认证包括:
    所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 KASME; 所述接收模块用于接收所述 LTE UE发送的包含所述 RES的 LTE AKA 认证响应, 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安 全认证。
  44. 45. 根据权利要求 43或 44所述的接入网网元, 其特征在于,
    所述特殊认证向量包含 XRES、 CK和 IK;
    所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括:
    所述处理模块还用于将包含所述 RES的 LTE AKA认证响应转换为包含 所述 RES的 UMTS AKA认证响应, 所述发送模块还用于将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN , 以便所述 SGSN比较所述 RES和所述 XRES是否相同, 当所述比较结果为相同时, 所述 SGSN将所述 CK和或 IK发送给所述接入网网元;
    所述处理模块还用于根据所述 CK和或 IK生成 KASME,所述接入网网元 和所述 LTE UE共享所述 KASME
  45. 46. 根据权利要求 45所述的接入网网元, 其特征在于, 所述 SGSN比 较所述 RES和所述 XRES是否相同还包括, 当所述比较结果为不相同时, 中止进行安全认证。
  46. 47. 根据权利要求 43至 46任一项所述的接入网网元, 其特征在于, 其 特征在于, 所述 HSS收到所述 SGSN的所述请求后识别是所述 LTE UE接 入 2G或 3G网络包括:
    所述 HSS配备一个列表, 所述列表包括接入 2G/3G网络的 LTE UE的 标识信息;
    所述 HSS根据所述列表中的所述标识信息, 获知所述 LTE UE的标识 信息包含在所述列表中, 则所述 HSS识别出是所述 LTE UE接入 2G或 3G 网络。
  47. 48. 根据权利要求 43至 47任一项所述的接入网网元, 其特征在于, 所 述进而以便所述 HSS生成特殊认证向量包括:
    所述 HSS在所述要求认证向量的请求中增加指示信息,该指示信息用于 指示所述 HSS生成所述特殊认证向量;
    所述 HSS为所述 LTE UE生成 EPS AV;
    所述 HSS将所述 EPS AV转换成 UMTS AV格式,所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。
  48. 49. 根据权利要求 48所述的接入网网元, 其特征在于, 所述 HSS将所 述 EPS AV转换成 UMTS AV格式包括: 所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K<sub>ASME</sub> ( 256bits )拆分为两部分, 分别作为所述 UMTS AV 的所述 CK和所述 IK。
  49. 50. 根据权利要求 45至 49任一项所述的接入网网元, 其特征在于, 所述处理模块进一步用于按照生成规则 K<sub>ASME</sub>=CKIIIK , 根据所述 CK 和或 IK生成所述 K<sub>ASME</sub>。
CN201380070864.4A 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备 Active CN104937990B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/070839 WO2014113920A1 (zh) 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备

Publications (2)

Publication Number Publication Date
CN104937990A true CN104937990A (zh) 2015-09-23
CN104937990B CN104937990B (zh) 2019-06-21

Family

ID=51226805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380070864.4A Active CN104937990B (zh) 2013-01-22 2013-01-22 移动通信系统的安全认证的方法和网络设备

Country Status (2)

Country Link
CN (1) CN104937990B (zh)
WO (1) WO2014113920A1 (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009002841A1 (en) * 2007-06-22 2008-12-31 Interdigital Technology Corporation Method and apparatus for resource management in handover operation
WO2009056938A2 (en) * 2007-10-29 2009-05-07 Nokia Corporation System and method for authenticating a context transfer
CN101600205A (zh) * 2009-07-10 2009-12-09 华为技术有限公司 Sim卡用户设备接入演进网络的方法和相关设备
CN101909368A (zh) * 2009-06-08 2010-12-08 上海贝尔股份有限公司 无线网络安全解决方法和设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101730193B (zh) * 2009-06-09 2012-06-13 中兴通讯股份有限公司 一种选择网关节点的方法及系统
CN101998348A (zh) * 2009-08-25 2011-03-30 中兴通讯股份有限公司 一种计费系统及其进行计费的方法
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN103299684B (zh) * 2011-01-13 2016-10-26 瑞典爱立信有限公司 对于ims apn的漫游控制

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009002841A1 (en) * 2007-06-22 2008-12-31 Interdigital Technology Corporation Method and apparatus for resource management in handover operation
WO2009056938A2 (en) * 2007-10-29 2009-05-07 Nokia Corporation System and method for authenticating a context transfer
CN101909368A (zh) * 2009-06-08 2010-12-08 上海贝尔股份有限公司 无线网络安全解决方法和设备
CN101600205A (zh) * 2009-07-10 2009-12-09 华为技术有限公司 Sim卡用户设备接入演进网络的方法和相关设备

Also Published As

Publication number Publication date
CN104937990B (zh) 2019-06-21
WO2014113920A1 (zh) 2014-07-31

Similar Documents

Publication Publication Date Title
US9538373B2 (en) Method and device for negotiating security capability when terminal moves
US20200162913A1 (en) Terminal authenticating method, apparatus, and system
JP7437405B2 (ja) セキュリティのための方法および装置
WO2020221324A1 (zh) 一种注册方法及通信装置
CN116391378A (zh) 使用验证数字标识的订阅入网
US20220060896A1 (en) Authentication Method, Apparatus, And System
CN104937965B (zh) 移动通信系统的安全认证的方法和网络设备
CN106550362B (zh) 智能设备安全接入无线局域网络的方法和系统
CN107820242A (zh) 一种认证机制的协商方法及装置
CN111448814A (zh) 指示用于远程单元的网络
CN105075306B (zh) 移动通信系统的安全认证的方法和网络设备
CN104937990A (zh) 移动通信系统的安全认证的方法和网络设备
CN104303533A (zh) 移动通信系统的安全认证的方法和网络设备
CN111465007B (zh) 一种认证方法、装置和系统
WO2022174729A1 (zh) 保护身份标识隐私的方法与通信装置
US20240022908A1 (en) Authentication using a digital identifier for ue access
CN107005410A (zh) 因特网协议安全性隧道建立方法,用户设备及基站
CN106937286A (zh) 一种用户接入认证方法及装置
WO2021068258A1 (zh) 获得安全参数的方法及装置
CN102378179B (zh) 防止认证向量被滥用的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant