CN106034300A - 基于td-lte无线通信网络的鉴权连接方法及基站 - Google Patents
基于td-lte无线通信网络的鉴权连接方法及基站 Download PDFInfo
- Publication number
- CN106034300A CN106034300A CN201510106682.9A CN201510106682A CN106034300A CN 106034300 A CN106034300 A CN 106034300A CN 201510106682 A CN201510106682 A CN 201510106682A CN 106034300 A CN106034300 A CN 106034300A
- Authority
- CN
- China
- Prior art keywords
- authentication
- base station
- verification data
- mme
- xres
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于TD-LTE无线通信网络的鉴权连接方法及基站,涉及无线通信技术领域,所述方法包括:向MME发送S1建立请求消息;接收MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,对AUTN进行校验,在对AUTN校验通过时,计算实际验证数据RES,向MME发送鉴权响应消息,以使得MME将XRES和RES进行匹配;在匹配成功时,接收MME发送的S1建立响应消息,并根据S1建立响应消息建立与所述MME之间的S1连接。本发明在与移动管理实体MME建立S1连接时,先进行双向鉴权,在双向鉴权成功后,再与移动管理实体MME建立S1连接,从而提高了安全性。
Description
技术领域
本发明涉及无线通信技术领域,特别涉及一种基于TD-LTE无线通信网络的鉴权连接方法、基于TD-LTE无线通信网络的鉴权连接系统、移动管理实体及基站。
背景技术
TD-LTE无线通信系统网络的架构主要包括:用户设备(UserEquipment,UE)、接入网(Evolved Universal Terrestrial Radio AccessNetwork,E-UTRAN)及核心网(Evolved Packet Core,EPC)。UE也称为终端,拥有国际移动用户识别码(International Mobile SubscriberIdentity,IMSI)。E-UTRAN由基站(Evolved NodeB,eNodeB)组成,eNodeB通过空中接口与UE进行信令及用户面数据的交互,功能包括接收来自UE的信令和上行数据,以及发送信令响应和下行数据到UE。EPC对外呈现为三个接口,S1-MME接口是EPC与eNodeB之间的信令接口,S1-U接口是EPC与eNodeB之间的用户面接口,SGI接口是EPC与分组数据网(Packet Data Network,PDN)之间的接口。EPC还包括移动管理实体(Mobility Management Entity,MME)、归属用户服务器(Home Subscriber Server,HSS)。
eNodeB与EPC建立过程目的在于交换eNodeB和EPC在S1接口上正确协作需要的应用层数据。该过程是TNL集合(TNLassociation)已经变得具有操作性之后触发的第一个S1AP过程,该过程使用与UE无关的信令。
该过程覆盖两个节点中任何存在的应用层配置数据,并由接收到的值替换原来的数据。同时该过程重新初始化E-UTRAN S1AP与UE相关的上下文(如果有的话),覆盖掉两个节点中所有相关的信令连接,就像重置过程一样,并且清除掉eNodeB处EPC超载状态信息。
在目前现有技术的条件下,eNodeB与EPC建立S1连接是通过TD-LTE无线通信系统架构协议中的S1Setup流程进行的,该流程具体消息交互流程参照图1。
该流程中,eNB通过向EPC发送一条包含相应数据的S1建立请求(S1Setup Request)消息,发起S1建立过程。该EPC收到消息后检查该eNodeB是否在EPC中进行配置,如果已配置则EPC以包含相应数据的S1Setup Response消息回应。
交换的数据存储在各自的节点中,在TNL连接存在期间使用。当该过程结束后,S1接口具有可操作性时,其它的S1消息可以进行交换。S1连接建立成功。
如果S1Setup Request消息包含:基站名称信息单元(eNB NameIE),那么EPC可使用该信息单元(IE)作为此eNB的名称。如果S1Setup Response消息包含:移动管理实体名称信息单元(MMEName IE),那么eNB可使用该信息单元(IE)作为此EPC的名称。
如果EPC无法建立该连接,如EPC检查发现该eNodeB没有在EPC中进行配置,则触发S1连接建立失败流程,以具有相应原因值的S1Setup Failure消息回应,该流程具体消息交互流程参照图2。
从上述的现有方案中可以看出,现有方案没有任何鉴权认证流程、EPC只对eNodeB的ID进行判断,如果该eNB ID已配置到EPC,则允许该eNodeB接入到EPC,并允许该eNodeB进行基于S1连接的所有通信。这就存在着一个非常大的安全隐患,如果非法基站获取了EPC已配置的eNodeB ID,则可以伪造这个eNodeB ID,并接入到EPC中,后续它下辖的UE等均可以与EPC进行连接,这就使得无线通信网络暴露在非常严重的安全隐患之下。同样,若非法核心网通过网络与eNodeB物理相连接,非法核心网就会收到eNodeB发送的S1Setup消息,进而与eNodeB建立S1连接,替换掉真核心网。所有的UE发送的信息将都发送到非法核心网,用户信息将被大量泄漏。
TD-LTE无线通信系统网络架构中现有的S1连接建立过程仅仅是单纯的双向对通的流程,没有任何安全保证。唯一的接入标识eNodeB ID属于协议定义的通用标识,任何厂商、任何人都可以构造或仿造。EPC侧则只对eNodeB ID进行检查,只有EPC中配置了该eNodeB ID,就会允许该eNodeB接入核心网。
现有技术中还有一种实现方案,即在EPC上配置eNode ID的同时,也配置该eNodeB的IP地址,当EPC中EPC接收到S1Setup所在的SCTP消息后,还会获取该消息头中的IP地址,然后根据eNodeBID和对应的IP地址来判读该eNodeB是否为合法的eNodeB。若eNodeB ID、eNodeB IP地址均与EPC中配置的相同,则EPC允许该eNodeB接入。
但这些方案中均由于S1连接的建立流程过于简单,导致安全性过低。
发明内容
鉴于上述问题,提出了一种克服上述问题或者至少部分地解决上述问题的一种基于TD-LTE无线通信网络的鉴权连接方法及基站。
依据本发明的一个方面,提供了一种基于TD-LTE无线通信网络的鉴权连接方法,所述方法包括:
向移动管理实体MME发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K及所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
其中,在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息,并结束流程。
依据本发明的另一个方面,提供了一种基站,所述基站包括:
请求发送单元,用于向移动管理实体MME发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
令牌校验单元,用于接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K和随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
连接建立单元,用于在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
其中,所述基站还包括:
鉴权拒绝接收单元,用于在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息。
依据本发明的另一个方面,提供了一种基于TD-LTE无线通信网络的鉴权连接方法,所述方法包括:
接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
其中,在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息,并结束流程。
依据本发明的另一个方面,提供了一种移动管理实体,所述移动管理实体包括:
信息请求单元,用于接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
信息回应单元,用于接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
校验计算单元,用于向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
数据匹配单元,用于接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
其中,所述移动管理实体,还包括:
鉴权拒绝发送单元,用于在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息。
依据本发明的另一个方面,提供了一种基于TD-LTE无线通信网络的鉴权连接系统,所述系统包括:所述的基站和所述的移动管理实体,所述基站和所述移动管理实体进行数据交互。
其中,所述系统还包括:归属用户服务器HSS,所述归属用户服务器HSS和所述移动管理实体进行数据交互。
本发明在与移动管理实体MME建立S1连接时,先进行双向鉴权,在双向鉴权成功后,再与移动管理实体MME建立S1连接,从而提高了安全性。
附图说明
图1是现有技术中的S1建立成功时的消息交互流程图;
图2是现有技术中的S1建立失败时的消息交互流程图;
图3是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接方法的流程图;
图4是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接方法的流程图;
图5是本发明一种实施方式的基站的结构框图;
图6是本发明一种实施方式的移动管理实体的结构框图;
图7是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接系统的结构框图;
图8是本发明一种实施例的基于TD-LTE无线通信网络的鉴权连接系统中的数据交互流程图;
图9是本发明一种实施例的HSS中获取与所述基站ID对应的认证矢量的流程示意图;
图10是本发明一种实施例的基站中对AUTN进行校验的流程示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图3是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接方法的流程图;参照图3,所述方法包括:
S301:向移动管理实体(MME)发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
S302:接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K及所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
S303:在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
本实施方式在与移动管理实体MME建立S1连接时,先进行双向鉴权,在双向鉴权成功后,再与移动管理实体MME建立S1连接,从而提高了安全性。
为实现在鉴权不成功后的消息通知,可选地,在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息,并结束流程。
需要说明的是,本实施方式的方法的执行主体为基站。
本实施方式在原有S1连接建立过程中增加了六条消息,该六条消息中包括:四条正常流程安全鉴权消息和两条异常流程消息。
其中两条正常流程消息为核心网内部的MME与HSS之间的传递,即MME收到S1建立请求消息后,根据消息中的基站ID组成鉴权信息请求消息发给HSS,以获取与基站ID对应的认证矢量。HSS获取由RAND、AUTN及XRES组成的认证矢量,通过鉴权信息回应消息发给MME开始基站的鉴权过程。
另外两条正常流程消息为基站与MME之间的鉴权消息。MME将RAND、AUTN通过鉴权请求消息发给基站,等待接受响应。基站根据RAND及自身保存的K值校验AUTN,如果成功则根据所述主密钥K和随机数RAND计算实际验证数据RES,向MME发送包含所述RES的鉴权信息回应消息。MME收到基站发来的鉴权信息回应消息后,检验接收到的鉴权信息回应消息中的RES,如果与XRES相同则向基站发送S1建立响应消息,以完成S1连接的建立过程。
两条异常流程消息为鉴权失败消息和鉴权拒绝消息。当基站收到MME发送的鉴权请求消息后,根据接收到的RAND及自身保存的K值校验AUTN,如果失败则发送鉴权失败消息。MME收到鉴权响应消息后,若RES与XRES不同,或者MME收到鉴权失败消息,则向基站发送鉴权拒绝消息。
本实施方式中在原有S1连接建立过程中增加的六条消息的结构如下:
1、鉴权请求消息
该消息由MME发送,用于传输鉴权信息,具体的结构如下表:
Information element name | Cat. | Description |
Message Type | ||
>Procedure Code | M | S1Setup |
>Type of Message | M | S1Authentication Request |
RAND | M | |
AUTN | M |
2、鉴权信息回应消息
该消息由eNodeB发送,用于传输鉴权信息,具体的结构如下表:
Information element name | Cat. | Description |
Message Type | ||
>Procedure Code | M | S1Setup |
>Type of Message | M | S1Authentication Response |
RES | M |
3、鉴权失败消息
该消息由eNodeB发送,用于传输鉴权失败信息,具体的结构如下表:
Information element name | Cat. | Description |
Message Type | ||
>Procedure Code | M | S1Setup |
>Type of Message | M | S1Authentication Failure |
Cause | M | S1Authentication FailureCause |
4、鉴权拒绝消息
该消息由MME发送,用于传输鉴权拒绝信息,具体的结构如下表:
Information element name | Cat. | Description |
Message Type | ||
>Procedure Code | M | S1Setup |
>Type of Message | M | S1Authentication Reject |
Cause | M | S1Authentication Reject Cause |
5、鉴权信息请求消息
该消息由MME发送给HSS,向HSS请求鉴权向量,具体的结构如下表:
6、鉴权信息回应消息
该消息由HSS发送给MME,向MME发送鉴权信息,具体的结构如下表:
图4是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接方法的流程图;参照图4,所述方法包括:
S401:接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
S402:接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
S403:向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
S404:接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
为实现在鉴权不成功后的消息通知,可选地,在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息,并结束流程。
图5是本发明一种实施方式的移动管理实体的结构框图;参照图5,所述基站包括:
请求发送单元501,用于向移动管理实体MME发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
令牌校验单元502,用于接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K和随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
连接建立单元503,用于在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
可选地,所述基站还包括:
鉴权拒绝接收单元,用于在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息。
图6是本发明一种实施方式的移动管理实体的结构框图;参照图6,所述移动管理实体包括:
信息请求单元601,用于接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
信息回应单元602,用于接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
校验计算单元603,用于向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
数据匹配单元604,用于接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
可选地,所述移动管理实体,还包括:
鉴权拒绝发送单元,用于在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息。
图7是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接系统的结构框图;参照图7,所述系统包括:所述的基站和所述的移动管理实体MME,所述基站和所述MME进行数据交互。
可选地,所述系统还包括:归属用户服务器HSS,所述HSS和所述MME进行数据交互。
实施例1
下面以一个具体的实施例来说明本发明,但不对本发明的保护范围进行限制。图8是本发明一种实施方式的基于TD-LTE无线通信网络的鉴权连接系统中的数据交互流程图;参照图8,各个网元之间的数据交互流程包括:
步骤801,基站发起S1连接建立,向MME发送带有基站ID的S1建立请求消息。
步骤802,MME收到S1建立请求消息后,根据消息中的基站ID组成鉴权信息请求消息发给HSS。
步骤803,HSS接收到所述鉴权信息请求消息,获取与所述基站ID对应的RAND、AUTN及XRES,并将RAND、AUTN及XRES组成认证矢量,通过鉴权信息回应消息发给MME开始基站的鉴权过程。
步骤804,MME将RAND、AUTN通过鉴权请求消息发给基站。
步骤805,基站根据RAND及自身保存的K值校验AUTN,如果成功,则根据所述主密钥K和随机数RAND计算实际验证数据RES,向MME发送包含所述RES的鉴权信息回应消息,否则执行步骤S807。
步骤806,MME收到基站发来的鉴权信息回应消息后,检验接收到的鉴权信息回应消息中的RES,如果与XRES相同,则向基站发送S1建立响应消息,完成S1建立流程,否则执行步骤S808。
步骤807,向MME发送鉴权失败消息,所述鉴权失败消息中的原因为:MAC Failure或者non-EPS authentication unacceptable。
步骤808,如果RES与XRES不同或者MME收到鉴权失败消息,则向基站发送鉴权拒绝消息。
步骤809,MME发送鉴权拒绝消息后,随后向基站发送S1建立失败消息,并结束S1建立流程。
实施例2
下面以一个具体的实施例来说明本发明,但不对本发明的保护范围进行限制。图9是本发明一种实施例的HSS中获取与所述基站ID对应的认证矢量的流程示意图;参照图9,HSS中获取与所述基站ID对应的认证矢量的流程具体包括:
步骤901,产生SQN,SQN是序列号;
步骤902,产生RAND,RAND通过随机函数f0产生,RAND为随机数;
步骤903,计算MAC,使用K,SQN,AMF和RAND通过f1函数,计算生成MAC值,AMF为鉴权密钥管理域,K为本地存储的主密钥(可理解为HSS中存有各个基站的K,此处的K即为与基站ID对应的K,该K与基站中存储的K相同);
步骤904,计算XRES,使用K和RAND通过f2函数,计算生成XRES值。
步骤905,计算CK,使用K和RAND通过f3函数,计算生成CK值,CK为加密密钥。
步骤906,计算IK,使用K和RAND通过f4函数,计算生成IK值,IK为完整性密钥。
步骤907,计算AK,使用K和RAND通过f5函数,计算生成AK值,AK为匿名密钥,用于对SQN进行隐藏处理。
步骤908,构造AUTN,AUTN由被隐藏的SQN(即SQN⊕AK)、AMF和消息鉴权码MAC连接组成,如网络类型为E-UTRAN,AUTN的AMF部分的分离位(separation bit)将置为1向UE指示认证矢量AV仅适用于全球性双向网络寻呼系统(EPS)上下文认证与密钥协商协议(AKA),如果分离位为0则AV只适用于非EPS上下文(GSMUMTS)。对于分离位为1的AV,AKA中生成的CK、IK不离开HSS,使主要密钥不发生传输,提高了安全性;
步骤909,构造认证矢量AV,一组AV由一个随机数RAND、一个期望响应XRES和一个认证令牌AUTN组成。
实施例3
下面以一个具体的实施例来说明本发明,但不对本发明的保护范围进行限制。图10是本发明一种实施例的基站中对AUTN进行校验的流程示意图,参照图10,基站中对AUTN进行校验的流程具体包括以下步骤:
步骤1001,先计算AK,通过本地存储的K和AV中的RAND值,使用f5函数计算AK值;
步骤1002,获取SQN,通过AV中AUTN中的SQN⊕AK值,和步骤1001计算出的AK值,计算出SQN的值;
步骤1003,计算XMAC,通过本地存储的K、AV中的RAND、步骤1002计算出的SQN值和AUTN中的AMF,使用f1函数计算出XMAC的值;
步骤1004,计算RES,通过K,RAND,使用f2函数计算出RES的值;
步骤1005,计算CK,通过K,RAND,使用f3函数计算出CK的值;
步骤1006,计算IK,通过K,RAND,使用f4函数计算出IK的值;
步骤1007,比较XMAC和MAC,如果不相等,发送拒绝消息;
步骤1008,如XMAC和MAC相等,可再验证SQN是否在有效范围,从而防止重放攻击。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种基于TD-LTE无线通信网络的鉴权连接方法,其特征在于,所述方法包括:
向移动管理实体MME发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K及所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
2.如权利要求1所述的方法,其特征在于,在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息,并结束流程。
3.一种基站,其特征在于,所述基站包括:
请求发送单元,用于向移动管理实体MME发送带有基站ID的S1建立请求消息,以使得所述MME从归属用户服务器HSS中获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
令牌校验单元,用于接收所述MME发送的包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,根据本地存储的主密钥K和随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES,向所述MME发送包含所述实际验证数据RES的鉴权响应消息,以使得所述MME将所述预期校验数据XRES和实际验证数据RES进行匹配;
连接建立单元,用于在所述预期校验数据XRES和实际验证数据RES匹配成功时,接收所述MME发送的S1建立响应消息,并根据所述S1建立响应消息建立与所述MME之间的S1连接。
4.如权利要求3所述的基站,其特征在于,所述基站还包括:
鉴权拒绝接收单元,用于在对所述认证令牌AUTN校验不通过时,向所述MME发送鉴权失败消息,接收所述MME发送的鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,接收所述MME发送的鉴权拒绝消息。
5.一种基于TD-LTE无线通信网络的鉴权连接方法,其特征在于,所述方法包括:
接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
6.如权利要求5所述的方法,其特征在于,在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息,并结束流程;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息,并结束流程。
7.一种移动管理实体,其特征在于,所述移动管理实体包括:
信息请求单元,用于接收基站发送的S1建立请求消息后,向归属用户服务器HSS发送带有基站ID的鉴权信息请求消息,以使得所述HSS获取与所述基站ID对应的随机数RAND、认证令牌AUTN和预期校验数据XRES;
信息回应单元,用于接收所述HSS发送的包含随机数RAND、认证令牌AUTN和预期校验数据XRES的鉴权信息回应消息;
校验计算单元,用于向所述基站发送包含所述随机数RAND和认证令牌AUTN的鉴权请求消息,以使得所述基站根据所述随机数RAND对所述认证令牌AUTN进行校验,在对所述认证令牌AUTN校验通过时,根据所述主密钥K和随机数RAND计算实际验证数据RES;
数据匹配单元,用于接收由所述基站发送的包含所述实际验证数据RES的鉴权响应消息,将所述预期校验数据XRES和实际验证数据RES进行匹配,在所述预期校验数据XRES和实际验证数据RES匹配成功时,向所述基站发送S1建立响应消息,以实现与所述基站之间S1连接的建立。
8.如权利要求5所述的移动管理实体,其特征在于,所述移动管理实体,还包括:
鉴权拒绝发送单元,用于在接收到所述基站发送来的鉴权失败消息时,向所述基站发送鉴权拒绝消息;
或,
在所述预期校验数据XRES和实际验证数据RES未匹配成功时,向所述基站发送鉴权拒绝消息。
9.一种基于TD-LTE无线通信网络的鉴权连接系统,其特征在于,所述系统包括:权利要求3~4中任一项所述的基站和权利要求7~8中任一项所述的移动管理实体,所述基站和所述移动管理实体进行数据交互。
10.如权利要求9所述的系统,其特征在于,所述系统还包括:归属用户服务器HSS,所述归属用户服务器HSS和所述移动管理实体进行数据交互。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510106682.9A CN106034300A (zh) | 2015-03-11 | 2015-03-11 | 基于td-lte无线通信网络的鉴权连接方法及基站 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510106682.9A CN106034300A (zh) | 2015-03-11 | 2015-03-11 | 基于td-lte无线通信网络的鉴权连接方法及基站 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106034300A true CN106034300A (zh) | 2016-10-19 |
Family
ID=57149793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510106682.9A Pending CN106034300A (zh) | 2015-03-11 | 2015-03-11 | 基于td-lte无线通信网络的鉴权连接方法及基站 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106034300A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108419241A (zh) * | 2018-03-07 | 2018-08-17 | 北京元心科技有限公司 | 确定伪基站的方法、装置及终端设备 |
CN110087338A (zh) * | 2019-04-23 | 2019-08-02 | 海信集团有限公司 | 一种窄带物联网进行鉴权的方法及设备 |
CN110557753A (zh) * | 2019-08-13 | 2019-12-10 | 成都电科慧安科技有限公司 | 一种基于中继接入的dns重定向方法 |
CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
-
2015
- 2015-03-11 CN CN201510106682.9A patent/CN106034300A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108419241A (zh) * | 2018-03-07 | 2018-08-17 | 北京元心科技有限公司 | 确定伪基站的方法、装置及终端设备 |
CN108419241B (zh) * | 2018-03-07 | 2021-06-15 | 北京元心科技有限公司 | 确定伪基站的方法、装置及终端设备 |
CN110087338A (zh) * | 2019-04-23 | 2019-08-02 | 海信集团有限公司 | 一种窄带物联网进行鉴权的方法及设备 |
CN110557753A (zh) * | 2019-08-13 | 2019-12-10 | 成都电科慧安科技有限公司 | 一种基于中继接入的dns重定向方法 |
CN112105024A (zh) * | 2020-11-12 | 2020-12-18 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
CN112105024B (zh) * | 2020-11-12 | 2021-03-23 | 新华三技术有限公司 | 一种基站身份认证方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11224032B2 (en) | Layer 2 relay to support coverage and resource-constrained devices in wireless networks | |
US8605904B2 (en) | Security method in wireless communication system having relay node | |
KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
US11272361B2 (en) | Zero-touch onboarding in a network | |
EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
CN103686709B (zh) | 一种无线网格网认证方法和系统 | |
US8954739B2 (en) | Efficient terminal authentication in telecommunication networks | |
CN104185227B (zh) | 一种双连接架构下的csg接入控制方法及系统 | |
CN102395130B (zh) | 一种lte中鉴权的方法 | |
CN102158860B (zh) | 无线节点入网方法、系统及中继节点 | |
CN107800664A (zh) | 一种防止信令攻击方法及装置 | |
CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
CN109121469A (zh) | 设备识别与认证的系统和方法 | |
CN106464690A (zh) | 一种安全认证方法、配置方法以及相关设备 | |
CN108880813A (zh) | 一种附着流程的实现方法及装置 | |
CN102625306A (zh) | 认证方法、系统和设备 | |
KR102278296B1 (ko) | 사용자 장비에 대한 라디오 링크 복구 | |
WO2015018327A1 (zh) | 一种终端设备与网关设备间的互联方法和装置 | |
CN106034300A (zh) | 基于td-lte无线通信网络的鉴权连接方法及基站 | |
CN102045714B (zh) | 提供3gpp网络与无线局域网互通安全的方法和装置 | |
CN104349315A (zh) | 一种保障基站与用户设备信息安全的方法和系统 | |
US20140157373A1 (en) | Authentication apparatus and method thereof, and computer program | |
CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
WO2016155478A1 (zh) | 用户设备的认证方法和装置 | |
CN110226319B (zh) | 用于紧急接入期间的参数交换的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161019 |